移动平台流量黑产研究——色情播放器类恶意软件产业链

360烽火实验室 摘    要 360烽火实验室8月底发现了三组异常流量曲线,流量曲线呈现存活时间短,连续3天此消彼长的态势,访问量集中最高峰值达到近2万次。 大量可疑下载链接数指向的文件均为名称具有诱惑性、图标暴露的色情播放器类恶意软件,并且链接都包含固定的“list/日期”格式。 可疑下载链接均来自重定向跳转,流量数据包中的Set-Cookie的值都有一个十分明显的固定特征“cdm=http”…

继续阅读 →

嘿,你的wallet!

前言 前段时间,Crysis敲诈者的同门——XTBL木马在服务器上的敲诈风波刚刚平息,新的一波Wallet服务器敲诈又再起波澜。Wallet木马最早出现在11月末,虽爆发规模不算大,但是由于是针对服务器的攻击,造成用户的损失着实不可估计。根据360互联网安全中心的分析发现,这次的Wallet虽然也是通过服务器传播,但是入侵者采用了更多样的手法——不再仅仅是对3389端口的简单扫描了,而是更有针对性…

继续阅读 →

从Locky新变种谈敲诈者木马的一些免疫技巧

0x1前言 Locky敲诈者木马算是敲诈者木马中传播时间较长,变种较多的一款。在最近一段时间里,其变种Thor、Aesir开始频繁出现。这些Locky变种之间的核心加密功能代码几乎是相同的,只是改动了加密的后缀名,不过相比较老版本的Locky敲诈者,此类新变种在自我防御机制上有了较大改变,例如利用全局原子表代替注册表项存储标志字符串以应对对于相关注册表项的检测。不过即使填补了旧版Locky的坑,L…

继续阅读 →

内网穿透——Android木马进入高级攻击阶段

  360烽火实验室 一.    概述 近日,360烽火实验室发现有数千个样本感染了一种名为“DressCode”的恶意代码,该恶意代码利用实下流行的SOCKS代理反弹技术突破内网防火墙限制,窃取内网数据。这种通过代理穿透内网绕过防火墙的手段在PC上并不新鲜,然而以手机终端为跳板实现对企业内网的渗透还是首见[1]。 SOCKS是一种网络传输协议,SOCKS协议位于传输层与应用层之间,所以…

继续阅读 →

Three roads lead to Rome

Linan Hao of Qihoo 360 Vulcan Team 前言: 在过去的两年里一直关注于浏览器方面的研究,主要以Fuzz为主,fuzzing在用户态的漏洞挖掘中,无论是漏洞质量还是CVE产出一直效果不错。直到一些大玩家的介入,以及大量的fuzzer在互联网公开,寻找bug需要更苛刻的思路。后来Edge中使用的MemGC使fuzz方式找漏洞更加困难,fuzz出仅有的几个能用的漏洞还总被…

继续阅读 →

Linux远控分析

0x1 前言 在国内,Linux操作系统以一般运用于服务器及相关后台,个人用户相对较少,因此Linux平台的木马病毒数量也远远不及Windows平台,其变种数量以及变化速度也比不上Windows平台。但Linux平台下的木马病毒有个非常显著的特点,就是不必与安全软件进行过多的对抗,因此导致其攻击手段的针对性极强,攻击面相当集中。以本文分析的样本为例,该样本为一远控木马,但不同于Windows下的远…

继续阅读 →

“XTBL”敲诈者木马分析

0x1前言 “XTBL”敲诈者是一款专门针对Windows服务器的敲诈者木马,最早出现于2015年,不过当时只在小范围传播,并未大面积影响国内服务器。自今年六月起,“XTBL”敲诈者再次爆发,开始大面积影响国内服务器,同时出现多个变种,其危害程度不容小觑。 图1 搜索引擎返回结果显示“XTBL”敲诈者盛行         服务器感染“XTBL”敲诈者后,服务器中文档,压缩包,图片等文件均遭到加密,…

继续阅读 →

Android N限制重置密码以遏制勒索软件

360烽火实验室 一.     Android N安全特性概览 Android N即Android 7.0,代号“牛轧糖”,是Google于2016年7月份推出的最新版智能手机操作系统。Android N带来了诸多新特性与功能,它们将对系统整体性能进行提升,特别对安全性进行了强化。 图1给出了Android N带来的主要变更,一方面,Android N对部分原有功能进行了优化,如应用程序编译、电池…

继续阅读 →

浅谈hook007的自启动手法

0x1前言 hook007是国产远控木马的代表性产物,已经在远控市场上活跃了好几个年头。该款远控木马的攻击目标为游戏玩家,木马持有者以交易游戏装备为理由私信玩家,并利用QQ等即时通信软件联系玩家,发送伪装装备截图来诱导玩家点击,之后玩家计算机会出现鼠标被强制移动,黑屏等情况,等一切恢复正常后玩家的游戏装备已经被转移到木马持有者账号中。因此在游戏界该款木马也被称做“强制交易马”。 hook007是基…

继续阅读 →