heliosteam 发布于 10月11, 2017

New Office 0day (CVE-2017-11826) Exploited in the Wild

On September 28, 2017, Qihoo 360 Core Security (@360CoreSec) detected an in-the-wild attack that leveraged CVE-2017-11826, an office 0day vulnerability. This vulnerability exists in all the supported office versions. The attack only targeted limited customers. The attacker embedded malicious .docx in the RTF files. Through reversing analysis of the sample C&C, we found that the attack was initiated in August and the launch date of the attack can be dated back to September. It was in this time window that the vulnerability has been exploited as a 0day. Qihoo 360 Core Security has been the first security vendor to share the details of the vulnerability and coordinated with Microsoft to disclose the news, as well as a timely patch to resolve the Office 0day vulnerability within a week. The latest versions of 360 security products could detect and prevent exploitation of this vulnerability and are available for download. In the meanwhile, we also highly suggest users to update Microsoft Patch in time.

阅读全文 »

heliosteam 发布于 06月28, 2017

Petya勒索蠕虫完全分析报告

第一章 前言

2017年6月27日晚,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭受大规模Petya勒索病毒袭击,该病毒远程锁定设备,然后索要赎金。其中,乌克兰地区受灾最为严重,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响,包括首都基辅的鲍里斯波尔国际机场(Boryspil International Airport)、乌克兰国家储蓄银行(Oschadbank)、船舶公司(AP Moller-Maersk)、俄罗斯石油公司(Rosneft)和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击。

阅读全文 »

heliosteam 发布于 05月18, 2017

WanaCrypt0r Data Recovery Feasibility Analysis Report

Chapter 1 Introduction

Recently, 360 Internet Security Center detected a new variant of ransomware that targets both enterprises and individuals in multiple countries and regions. 360 released timely emrgency warning on May 12th upon the detection to remind the users of the upcoming risks. The ransomware spread itself with fast speed all around the world. According to incomplete statistics, in just a few hours of its burst, tens of thousands of devices in 99 countries have been infected and the Worm is still trying to expand its impact.

阅读全文 »

heliosteam 发布于 05月18, 2017

WanaCrypt0r想哭勒索蠕虫数据恢复可行性分析报告

第一章 前言

近日,360互联网安全中心发现全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击,并于5月12日国内率先发布紧急预警。该款勒索软件在短时间内在全球范围内爆发了广泛的攻击活动,据不完全统计,它在爆发后的几个小时内就迅速攻击了99个国家的近万台设备,并在大量企业组织和个人间蔓延。外媒和多家安全公司将其命名为“WanaCrypt0r”(直译:“想哭勒索蠕虫”)。

阅读全文 »

heliosteam 发布于 05月13, 2017

WanaCrypt0r勒索蠕虫完全分析报告

0x1 前言

360互联网安全中心近日发现全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击,比于5月12日国内率先发布紧急预警,外媒和多家安全公司将该病毒命名为“WanaCrypt0r”(直译:“想哭勒索蠕虫”),常规的勒索病毒是一种趋利明显的恶意程序,它会使用非对称加密算法加密受害者电脑内的重要文件进行勒索,除非受害者交出勒索赎金,否则加密文件无法被恢复,而新的“想哭勒索蠕虫”尤其致命,它利用了窃取自美国国家安全局的黑客工具EternalBlue(直译:“永恒之蓝”)实现了全球范围内的快速传播,在短时间内造成了巨大损失。360追日团队对“想哭勒索蠕虫”国内首家对该蠕虫进行了完全的技术分析,帮助大家深入了解此次攻击!

阅读全文 »

heliosteam 发布于 03月09, 2017

双尾蝎组织(APT-C-23)伸向巴以两国的毒针

摘要

  • 2016年5月起至今,双尾蝎组织(APT-C-23)对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。
  • 攻击平台主要包括Windows与Android,攻击范围主要为中东地区,截至目前我们一共捕获了Android样本24个,Windows样本19个,涉及的C&C域名29个。
  • 后门程序主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件,通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。
  • 相关恶意可执行程序多为“.exe”和“.scr”扩展名,但是这些程序都伪装成doc、xls文档图标,并且文件中还包含一些用以迷惑用户的文档。
  • 攻击者在诱饵文档命名时也颇为讲究,如“الاجهزة الامنية”(安全服务)、“Egyptian Belly Dancer Dina Scandal, Free Porn”(肚皮舞者Dina丑闻,色情),此类文件名容易诱惑用户点击。
  • Android端后门程序功能主要包括定位、短信拦截、电话录音等,并且还会收集文档、图片、联系人、短信等情报信息;PC端后门程序功能包括收集用户信息上传到指定服务器、远程下载文件以及远控。
  • 通过相关信息的分析,发现该组织极有可能来自中东。

关键词:双尾蝎、APT-C-23、巴勒斯坦、教育、军事、鱼叉、水坑、伪装

阅读全文 »

heliosteam 发布于 11月15, 2016

蔓灵花攻击行动(简报)

一、 概述

美国网络安全公司Forcepoint[1]近期发布了一篇报告,该报告主要披露了巴基斯坦政府官员最近遭到了来源不明的网络间谍活动。该报告描述了攻击者使用了鱼叉邮件以及利用系统漏洞等方式,在受害者计算机中植入了定制的AndroRAT,意图窃取敏感信息和资料。Forcepoint研究人员认为该组织与BITTER相关,而且可能还不止发起了这一起攻击事件。BITTER攻击始于2013年11月,且多年来一直未被检测到,目前攻击者背景尚未明确。相关APP信息包括提供关于印度和巴基斯坦之间的争议地区新闻的Kashmir News等。

阅读全文 »

heliosteam 发布于 08月25, 2016

关于近期曝光的针对银行SWIFT系统攻击事件综合分析

一、概述

2016年2月孟加拉国央行被黑客攻击导致8100万美元被窃取的事件被曝光后,如越南先锋银行、厄瓜多尔银行等,针对银行SWIFT系统的其他网络攻击事件逐一被公开。在相关事件曝光后,我们立即对相关攻击事件的展示溯源分析,就越南先锋银行相关攻击样本,我们形成了技术报告:《SWIFT之殇——针对越南先锋银行的黑客攻击技术初探》[1]

阅读全文 »

heliosteam 发布于 08月04, 2016

摩诃草组织 (APT-C-09)

报告更新相关时间节点
2016年7月25日,形成综合分析报告
2016年7月26日,补充修改部分内容
2016年7月29日,补充修改部分内容

披露申明

本报告中出现的IOC(Indicators of Compromise,威胁指标),进一步包括涉及到相关攻击事件的样本文件MD5等哈希值、域名、IP、URL、邮箱等威胁情报信息,由于其相关信息的敏感性和特殊性,所以在本报告中暂不对外披露,在报告中呈现的相关内容(文字、图片等)均通过打码隐藏处理。

若您对本报告的内容感兴趣,需要了解报告相关细节或相关IOC,可与360追日团队通过电子邮件进行联系,另外我们目前只提供电子邮件联系方式:360zhuiri@360.cn,敬请谅解!

阅读全文 »