标签360safe下的文章

hyabcd 发布于 08月03, 2018

2018年7月勒索病毒疫情分析

author:kangxiaopao

前言

勒索病毒的传播导致大量用户的重要文件被加密,360互联网安全中心针对勒索病毒进行了多方位的监控以及防御。从反馈数据分析本月勒索病毒的感染量处于下降状态,同时防黑加固相关数据显示对于弱口令爆破拦截的次数持续上升,且单日的拦截次数高达400多万次。

另外,本月更新的文件解密工具针对部分版本Satan勒索病毒提供了对应的解密支持。并已为受到此类病毒感染的受害者成功解密了大量重要文件。

阅读全文 »

Luke Viruswalker 发布于 08月02, 2017

用Python写成的MCR乐队敲诈者木马:这种操作很朋克!

几年前,敲诈者木马还是一个默默无闻的木马种类。然而,由于其极强的破坏力和直接且丰厚的财富回报,敲诈者木马这几年已经一跃成为曝光率最高的木马类型——甚至超越了盗号木马、远控木马、网购木马这传统三强。与此同时,各种敲诈者木马也在不断推陈出新,变着花样地出现在分析人员的视野中。

阅读全文 »

progmboy 发布于 04月19, 2017

Eternalromance (永恒浪漫) 漏洞分析

1 环境

EXPLOIT:
Eternalromance-1.3.0

TARGET:
windows xp sp3

FILE:
srv.sys 5.1.2600.5512

2 Exploit使用

我们可以发现工具包中有两个Eternalromance, 一个1.4.0, 另外一个是1.3.0。经过我一翻折腾也没有把1.4.0跑起来。无奈试了下1.3.0发现竟然能成功运行。因此便有了这篇分析。大家可能都会用fuzzbunch这个命令行了。但是我们调试的时候总不能调一次都要重新输入TargetIp等那些配置吧。告诉大家一个省劲的方法。首先fuzzbunch按正常流程走一遍。在最后跑起exp的时候,在Log目录下会生成一个xml的配置文件。然后大家就可以用Eternalromance.1.3.0 –inconfig “xml路径” 来调用了。还有就是你也可以改exploit下的那个配置文件不过你得填非常多的参数。

阅读全文 »

progmboy 发布于 04月17, 2017

NSA Eternalblue SMB 漏洞分析

环境

EXPLOIT:
Eternalblue-2.2.0.exe

TARGET:
win7 sp1 32bits
srv.sys 6.1.7601.17514
srvnet.sys 6.1.7601.17514

PATCH:
MS17-010

漏洞原理

srv.sys在处理SrvOs2FeaListSizeToNt的时候逻辑不正确导致越界拷贝。我们首先看下漏洞的触发点:

阅读全文 »

Luke Viruswalker 发布于 03月07, 2017

可以,这很朋友圈

近日,360互联网安全中心接到用户的反馈,说浏览器会莫名其妙地弹出各种广告,360浏览器也不幸背锅。这些广告的内容非常令人尴尬,比如壮阳的、防脱生发的……接到反馈后,我们的工作人员第一时间进行排查,发现广告源头来自腾讯新闻迷你首页不慎混入的一个恶意Flash,目前360已通报腾讯方面及时清除了恶意Flash。

阅读全文 »

hyabcd 发布于 02月22, 2017

伪装QQ飞车外挂的“MBR锁”木马分析

0x1 前言

在过完年开工之际,黑产从业者也回到了他们的工作岗位上,在短短的一周内,相继爆发了“纵情”敲诈者以及伪装QQ飞车外挂的“MBR”敲诈者两款国产敲诈者木马。国产敲诈者在敲诈金额,技术手段以及加密方式上都远远落后于国外的敲诈者木马,但国产敲诈者的最大优点就是能把握住卖点,比如以游戏外挂作为噱头。除此之外,国产敲诈者还喜欢诱导用户关闭杀软以达到所谓的“最佳体验”。可以说,国产敲诈者胜在了“套路”。

阅读全文 »

kangxiaopao 发布于 12月15, 2016

嘿,你的wallet!

前言

前段时间,Crysis敲诈者的同门——XTBL木马在服务器上的敲诈风波刚刚平息,新的一波Wallet服务器敲诈又再起波澜。Wallet木马最早出现在11月末,虽爆发规模不算大,但是由于是针对服务器的攻击,造成用户的损失着实不可估计。根据360互联网安全中心的分析发现,这次的Wallet虽然也是通过服务器传播,但是入侵者采用了更多样的手法——不再仅仅是对3389端口的简单扫描了,而是更有针对性的对服务器进行系统性攻击。

阅读全文 »

hyabcd 发布于 12月01, 2016

从Locky新变种谈敲诈者木马的一些免疫技巧

0x1 前言

Locky敲诈者木马算是敲诈者木马中传播时间较长,变种较多的一款。在最近一段时间里,其变种Thor、Aesir开始频繁出现。这些Locky变种之间的核心加密功能代码几乎是相同的,只是改动了加密的后缀名,不过相比较老版本的Locky敲诈者,此类新变种在自我防御机制上有了较大改变,例如利用全局原子表代替注册表项存储标志字符串以应对对于相关注册表项的检测。不过即使填补了旧版Locky的坑,Locky新变种依然存在一些可以用来免疫的点,本文就旨在通过对Locky新变种的一些技术细节的分析来谈谈对此类木马的免疫手段。

阅读全文 »

Luke Viruswalker 发布于 11月29, 2016

Three roads lead to Rome

Linan Hao of Qihoo 360 Vulcan Team

Preface :

In the past two years, I did some work on browser security, mainly focus on Fuzzing, as to user mode vulnerability hunting, fuzzing is performing well in the quality of the bugs and the CVE production.

Until some big players involved, and a growing number of fuzzers were published online, vulnerability hunting requires a more rigorous approach. What’s more, the MemGC used by Microsoft Edge make it much more difficult to find a bug by the way of fuzzing than before. Only a little bugs which are exploitable that find by fuzzing always killed by other bug hunters, because as time goes on, our fuzzers become the same.

阅读全文 »