分类威胁预警下的文章

360烽火实验室(360 Beaconlab) 发布于 10月11, 2018

剪贴板幽灵:币圈的神偷圣手

摘 要2018年4月,360互联网安全中心在PC平台首次监控到一类加密数字货币木马。该木马不断监控用户的剪贴板内容,判断是否为比特币、以太坊等加密数字货币地址,然后在用户交易的时候将目标地址改成自己的地址,悄悄实施盗窃,我们将其命名为“剪贴板幽灵”。由于攻击电子钱包能直接获取大量收益,PC上已经出了攻击电子钱包的木马。截至到2018年6月,360安全卫士共拦截了超过5万笔这类木马攻击,帮助用...

阅读全文 »

admin001 发布于 09月20, 2018

毒云藤(APT-C-01)军政情报刺探者揭露

第1章 概述1. 主要发现从2007年开始至今,360追日团队发现毒云藤组织对中国国防、政府、科技、教育以及海事机构等重点单位和部门进行了长达11年的网络间谍活动。该组织主要关注军工、中美关系、两岸关系和海洋相关领域,其关注的领域与我们之前发布的海莲花(OceanLotus)APT组织有一定相似的地方。360追日团队捕获毒云藤的首个木马出现在2007年12月。在之后的11年中我们先后...

阅读全文 »

360烽火实验室(360 Beaconlab) 发布于 09月07, 2018

ArmaRat:针对伊朗用户长达两年的间谍活动

360烽火实验室一、 主要发现2016年7月起至今,360烽火实验室发现一起针对伊朗Android手机用户长达两年之久的间谍活动。截至目前我们一共捕获了Android 样本18个,涉及的 C&C 域名5个。 2016 年7月,我们捕获了第一个Android平台下伪装成“Telegram Channel Assistance”应用的木马,在此后的两年中,我们又先后捕获了与此相关的数十个...

阅读全文 »

dqriot 发布于 01月24, 2018

Android平台挖矿木马研究报告

360烽火实验室

摘 要

  • 手机挖矿木马就是在用户不知情的情况下利用其手机的计算能力来为攻击者获取电子加密货币的应用程序。
  • 电子加密货币是一种匿名性的虚拟货币,由于不受政府控制、相对匿名、难以追踪的特性,电子加密货币常被用来进行非法交易,也成为犯罪工具、或隐匿犯罪所得的工具。
  • 2014年3月首个Android平台挖矿木马被曝光。
  • 从2013年开始至2018年1月,360烽火实验室共捕获Android平台挖矿木马1200余个,其中仅2018年1月Android平台挖矿木马接近400个。
  • 从Android平台挖矿木马伪装应用类型看,工具类(20%)、下载器类(17%)、壁纸类(14%)是最常伪装的应用类型。
  • 从样本来源来看,除了被曝光的在Google play中发现的十多个挖矿木马外,我们在第三方下载站点捕获了300多个挖矿木马,总下载次数高达260万余次。
  • 从网站来看,据Adguard数据显示,2017年近1个月时间内在Alexa排行前十万的网站上,约有220多个网站在用户打开主页时无告知的利用用户计算机进行挖矿,影响人数多达5亿。大多是以视频门户网站,文件分享站,色情网站和新闻媒体站等这类相对访问时间较长的站点。
  • Android平台发现的挖矿木马选择的币种主要有(BitCoin)、莱特币(Litecoin)、狗币(Dogecoin)、卡斯币(Casinocoin) 以及门罗币(Monero)这五种。
  • 挖矿方式有单独挖矿和矿池挖矿两种,Android平台挖矿木马主要采用矿池挖矿。
  • Android平台挖矿木马技术原理从代码上看,主要分为使用开源的矿池代码库进行挖矿和使用浏览器JavaScript脚本挖矿。
  • 挖矿木马的技术手段包括检测设备电量、唤醒状态、充电状态、设置不可见页面以及仿冒应用下载器。
  • 应用盈利模式由广告转向挖矿,门罗币成为挖矿币种首选以及攻击目标向电子货币钱包转移成为Android平台挖矿木马的趋势。
  • 目前挖矿木马的防御措施,PC平台已经具备防御能力,移动平台由于权限控制不能彻底防御。
  • 移动平台挖矿受限于电池容量和处理器能力,但电子加密货币正在快速增长,现有货币增值并出现新的货币币种,挖矿最终会变得更有利可图。
  • 国外这种全新的盈利模式,还处在起步阶段,还需要更多的控制和监管,避免被恶意利用。

关键词:手机挖矿木马、电子货币

阅读全文 »

dqriot 发布于 08月29, 2017

关于“WireX Botnet”事件Android样本分析报告

360烽火实验室

WireX家族病毒基本上都会在内部硬编码存放两个URL地址(部分变种的URL经过加密),变种A在内部硬编码了如下两个URL

http://u.*******.store/?utm_source=tfikztteuic

http://g.*******.store/?utm_source=tfikztteuic

这些URL地址是病毒的C&C Server的地址,用于返回要攻击的网站的信息,不同之处在于,对这两个URL返回的信息,处理方式不同,执行的恶意行为也不同。

阅读全文 »

dqriot 发布于 05月25, 2017

内网穿透——Android木马进入高级攻击阶段(二)

360烽火实验室 一.概述 移动互联网时代的到来,企业内部数据越来越有价值。近年来,黑客以移动设备为跳板,入侵企业内网,窃取企业数据资产的趋势愈发明显。近日,360烽火实验室发现一批感染了一种名为“MilkyDoor”的恶意代码,这是继去年6月份首次出现的“DressCode”[1]恶意代码后,又一种利用移动设备攻击企业内网的木马。然而,与“DressCode”不同的是,“MilkyDoor...

阅读全文 »

dqriot 发布于 03月22, 2017

手机勒索软件又现新手段

360烽火实验室

手机勒索软件是一种通过锁住用户移动设备,使用户无法正常使用设备,并以此胁迫用户支付解锁费用的恶意软件。这类大多伪装成系统类、色情类以及各式外挂类等软件诱导用户安装。尽管它们的锁屏样式、方式以及解锁方式不尽相同,但这类软件的目的却是一样的——谋财。

阅读全文 »

dqriot 发布于 05月17, 2016

安全预警:勒索软件正成为制马人的新方向

作者:360移动安全团队引言4月份360 移动安全团队发布的《Android勒索软件研究报告》详细揭露了目前国内Android勒索软件黑色产业链情况。其中,报告中指出国内勒索软件传播方式主要借助QQ群、受害者、贴吧和网盘。另外,报告也指出国内勒索软件的制作门槛低,制作人群呈现年轻化等特点。 我们在最近的研究分析中发现,勒索软件的恶意行为出现了新的变化趋势,开始出现交叉式传播。勒索软件通过遍历手机通...

阅读全文 »

dqriot 发布于 12月08, 2014

正规APP存泄隐私风险,360呼吁开发者注意安全规范

360互联网安全中心近期研究发现一些正规的手机软件在读取用户的通讯录和短信内容后,会进行明文上传或简单可逆加密上传,这会导致手机用户个人隐私信息存在泄露风险。360呼吁正规手机APP开发者要重视和规范软件开发行为,对用户手机中的隐私数据做到“非必要不上传,上传即加密”,以防被中间人劫持攻击造成用户的隐私泄露。

阅读全文 »