某僵尸网络被控端恶意样本分析

by 360信息安全部-王阳东(云安全研究员)   0x0. 引子 近期, 部署于360云平台( https://cloud.360.cn )的”360天眼威胁感知系统”发现系统告警某合作伙伴刚开通的云主机存在异常流量,联合排查后发现有恶意攻击者利用redis crackit漏洞入侵服务器并种植了名为unama的恶意程序。 360云安全研究员 –“王阳东”对此恶意程序进行较为深入的分析…

继续阅读 →

罪恶家族hook007之潜伏篇

前言   这个样本的逻辑关系比较强,根据不同的环境在做不同的操作,让整个程序完整运作起来有大量的程序参与进来。则个样本已经有5年历史,饱经360的查杀,却依旧在不断的更新。采取各种免杀手段去避开360安全卫士的查杀,该样本对用户的诱惑性也特别的强,该样本主要利用了用户的安全意识薄弱,诱导用户点击一些看似不会造成危害的快捷方式,在用户点击后,同时也会出现用户预期的效果,以蒙蔽用户   样本…

继续阅读 →

Hacking Team后门分析(一)

前言 前段时间HackingTeam数据泄露事件引起了一场轩然大波,足足400G的干货。虽然这件事已经过去很久了,但是意图不轨的人试图利用HackingTeam里面的干货,来干一些坏事。 对目标进行监听。这篇博文是对其中的一个dll的部分分析。仅仅这个dll也就让人够头疼的了。   样本分析 0x01敏感信息加密处理   1.对敏感字符串进行加密处理   列出被加密的…

继续阅读 →

木马盗用“湖南省农村信用社”签名兴风作浪

数字签名相当于一款软件的身份证,身份证如果丢了,那意味着可能会有其他人冒用你的身份去做坏事,而如果数字签名丢了,情况是完全一样的。 最近,360安全中心就监控到了大量恶意程序(主要是远控木马)使用了“湖南省泥岗村信用社”的数字签名————“Hunan Rural Credit Cooperative”,并且签名有效。这意味着该签名已经被盗用做木马传播了,而一些传统安全软件往往内置了针对数字签名的信…

继续阅读 →

bt天堂挂马事件

上周有用户反映,在其访问“bt天堂电影下载站”时,360安全卫士提示拦截到网站挂马攻击(利用漏洞:CVE-2014-6332)。由于bt天堂拥有较高人气,影响用户数量巨大,我们对此事件进行了追踪调查,发现此挂马样本还出现在一家政府网站上,很可能是黑客利用非法入侵手段获取了网站权限,从而在bt天堂等网站上挂马。 根据监测,bt天堂在7月24日晚间已经清除了恶意代码。以下是我们对此事件的回溯和简要分析…

继续阅读 →

新暗云木马分析

近期360安全中心收到大量网友反馈,浏览器主页被改为  ur99.com、zf12.com、m162.com等可疑网址,或者是CPU占用莫名奇妙的高,尤其是svchost.exe消耗大量系统资源。 我们联系求助网友,跟踪样本来源发现,这些现象是一个最新的暗云木马变种作祟。该木马变种使用了多种技术对抗杀毒软件,并在关机时反复写入MBR(主引导记录),原始样本为注入svchost的一个系统服务。以下为…

继续阅读 →

祸起萧墙:由播放器引爆的全国性大规模挂马分析

事件起因 从5月底开始,360云安全系统监测到一个名为“中国插件联盟”的下载者木马感染量暴涨。令人匪夷所思的是,该木马的下载通道竟然是多款用户量上千万甚至过亿的播放器客户端。 起初,我们怀疑这些播放器的升级文件被木马进行了网络劫持。通过对木马下载重灾区搜狐影音的分析,我们发现搜狐影音对网络下载的运行代码做了完整性校验,但并没有对安全性做校验,比如签名信息等,确实可以被劫持升级种木马。不过从数据分析…

继续阅读 →

不猜!叔叔,我们不猜!

近日,360安全卫士反病毒组捕获到了一个网购木马的样本,在其伪造的购物页面中,看到了木马作者在页面中的用户名:“SB你猜”…… 遇到这样的质问……我也只能说:“不猜!叔叔,我们不猜!” Faking… 其实说木马是网购木马并不十分准确,木马的主体只是一个下载器(Downloader)。而且程序会判断自己的文件名,除非是“9 刷单要求.exe”,否则就会展示出一副人畜无害的样子,企图用这种方式骗…

继续阅读 →

“万蓝”ROM级手机木马分析报告

摘要          今年五月中旬,有用户向360安全中心反馈手机经常自动安装新的游戏应用,经过360互联网安全中心分析排查发现用户中的是一个ROM级别的木马。该木马主要通过获取云端指令进行静默安装推广应用,并可以实现自身升级。木马自身支持多达40个命令类型[附录1],用以辅助实现静默安装推广应用和自身升级。          通过对已有数据和木马网络后台的挖掘查询,发现该木马历史上曾出现的版本…

继续阅读 →

CTB-LOCKER分析报告

摘     要 CTB-Locker是“比特币敲诈者”系列病毒的一个家族,2015年初传入国内,4-5月呈高发趋势。此病毒主要来自英文邮件附件,如果用户不慎运行,系统中的文档、图片、数据库等重要资料会被病毒高强度加密。 病毒在用户桌面显示勒索信息,要求受害者向病毒作者限期支付一定数目的比特币赎金才能够解密还原文件内容,否则电子数据就会被销毁。 为了防止自身被定位到,获取密钥的过程在Tor网络中进行…

继续阅读 →