Luke Viruswalker 发布于 07月19, 2019

Sodinokibi勒索病毒利用CVE-2018-8453发起攻击

  今年4月底,360安全大脑监控到有黑客通过Weblogic漏洞为主的各类Web组件漏洞攻击服务器,植入sodinokibi勒索病毒(小蓝屏勒索病毒)。在这之后的几天内,黑客开始使用更多方式传播sodinokibi勒索病毒,扩大传播范围。该病毒还利用了cve-2018-8453 Windows内核提权漏洞,使病毒威力进一步加强。根据360安全大脑的监控,这一病毒近期在持续发起攻击,管理员和企业用户应该做好防范。

阅读全文 »

Luke Viruswalker 发布于 08月02, 2017

用Python写成的MCR乐队敲诈者木马:这种操作很朋克!

几年前,敲诈者木马还是一个默默无闻的木马种类。然而,由于其极强的破坏力和直接且丰厚的财富回报,敲诈者木马这几年已经一跃成为曝光率最高的木马类型——甚至超越了盗号木马、远控木马、网购木马这传统三强。与此同时,各种敲诈者木马也在不断推陈出新,变着花样地出现在分析人员的视野中。

阅读全文 »

Luke Viruswalker 发布于 03月07, 2017

可以,这很朋友圈

近日,360互联网安全中心接到用户的反馈,说浏览器会莫名其妙地弹出各种广告,360浏览器也不幸背锅。这些广告的内容非常令人尴尬,比如壮阳的、防脱生发的……接到反馈后,我们的工作人员第一时间进行排查,发现广告源头来自腾讯新闻迷你首页不慎混入的一个恶意Flash,目前360已通报腾讯方面及时清除了恶意Flash。

阅读全文 »

Luke Viruswalker 发布于 11月29, 2016

Three roads lead to Rome

Linan Hao of Qihoo 360 Vulcan Team

Preface :

In the past two years, I did some work on browser security, mainly focus on Fuzzing, as to user mode vulnerability hunting, fuzzing is performing well in the quality of the bugs and the CVE production.

Until some big players involved, and a growing number of fuzzers were published online, vulnerability hunting requires a more rigorous approach. What’s more, the MemGC used by Microsoft Edge make it much more difficult to find a bug by the way of fuzzing than before. Only a little bugs which are exploitable that find by fuzzing always killed by other bug hunters, because as time goes on, our fuzzers become the same.

阅读全文 »

Luke Viruswalker 发布于 11月29, 2016

Three roads lead to Rome

Linan Hao of Qihoo 360 Vulcan Team

前言:

在过去的两年里一直关注于浏览器方面的研究,主要以Fuzz为主,fuzzing在用户态的漏洞挖掘中,无论是漏洞质量还是CVE产出一直效果不错。直到一些大玩家的介入,以及大量的fuzzer在互联网公开,寻找bug需要更苛刻的思路。后来Edge中使用的MemGC使fuzz方式找漏洞更加困难,fuzz出仅有的几个能用的漏洞还总被其他人撞掉,因为大家的fuzzer是越长越像。于是今年上半年pwn2own之后开始更多的源码审计并有了些效果,起初认为存量足够了,但大概在7月份左右开始,手头的bug以每月2+的速度被撞掉(MS、ChakraCodeTeam、ZDI、Natalie、360…),本文描述的bug也是其中一个。因为这个漏洞的利用方式还是比较有趣的,经历了几次改变,值得说一下。

阅读全文 »

Luke Viruswalker 发布于 06月22, 2016

用世界上最好的编程语言写成的敲诈者木马

报告更新相关时间节点
2016年4月29日,形成攻击简报和样本分析报告
2016年5月12日,形成综合分析报告
2016年6月20日,修改公开版

一、概述

人面狮行动是活跃在中东地区的网络间谍活动,主要目标可能涉及到埃及和以色列等国家的不同组织,目的是窃取目标敏感数据信息。活跃时间主要集中在2014年6月到2015年11月期间,相关攻击活动最早可以追溯到2011年12月。主要采用利用社交网络进行水坑攻击,截止到目前我总共捕获到恶意代码样本314个,C&C域名7个。

阅读全文 »

Luke Viruswalker 发布于 04月05, 2016

Petya到底是个什么鬼

上个月底,德国老牌安全厂商歌德塔发布安全报告,报告中指出出现了一种名为Petya的新型敲诈木马。那么这个新型的敲诈木马到底是怎么回事呢?

阅读全文 »