360烽火实验室(360 Beaconlab) 发布于 05月18, 2020

双尾蝎组织(APT-C-23)针对中东地区的最新攻击活动

一、背景双尾蝎组织(APT-C-23),是一个针对中东地区相关国家的教育机构、军事机构等重要领域进行网络间谍活动,以窃取敏感信息为主的网络攻击组织。攻击平台主要包括 Windows 与 Android。该组织的攻击活动最早可追溯到2016年,近年来该组织活动频繁不断被数个国内外安全团队持续追踪和披露。2020年2月16日,以色列国防军IDF网站称,他们发现哈马斯的一系列网络攻击行动,通过制作了多个...

阅读全文 »

mj0011 发布于 05月02, 2020

Windows 10 20H1.19577开始System进程内Ntdll的一点变化

背景最近为了解决一个兼容问题,看了下Windows 10 20H1的内核,发现了一处有点意思的改动。简单来说, ntdll.dll过去映射在System进程以及其他所有进程内的时候,都是以可执行页面进行映射的。但从19577开始,在System进程内,NTDLL开始映射为只读页面,而在其他所有进程内,NTDLL仍映射为可执行页面。初步检查VADs这点可以用Windbg来印证:切换到System进程...

阅读全文 »

360烽火实验室(360 Beaconlab) 发布于 04月28, 2020

肚脑虫组织(APT-C-35)针对巴基斯坦的攻击活动

一、背景肚脑虫组织(APT-C-35),又称Donot,是一个针对克什米尔地区相关国家的政府机构等领域进行网络间谍活动,以窃取敏感信息为主的攻击组织。该组织具备针对Windows与Android双平台的攻击能力。该组织的攻击活动最早可追溯到2016年,近年来该组织活动频繁不断被数个国内外安全团队持续追踪和披露。近期,360烽火实验室再次监测到肚脑虫组织针对巴基斯坦的移动端攻击活动。根据我们监测数据...

阅读全文 »

360烽火实验室(360 Beaconlab) 发布于 04月22, 2020

深度揭露Anubis移动银行木马

介绍Anubis是古希腊语,原本表示埃及神话中一位与木乃伊制作及死后生活有关的胡狼头死亡之神;然而2017年之后,Anubis成了最流行的Android银行木马代名词,已经给全球300多家金融机构造成了不少麻烦。2016年12月19日,一个名为maza-in的用户在exploit.in的恶意软件开发者论坛中分享了一种新的Android银行木马BankBot的源代码,该木马能够发送和拦截文本消息以及...

阅读全文 »

admin001 发布于 03月13, 2020

微软SMBv3客户端/服务端远程代码执行漏洞(CVE-2020-0796)技术分析

微软安全中心在北京时间3月12日23时发布了影响Windows 10 等系统用户的SMBv3远程代码执行漏洞补丁。我们建议受影响的用户尽快按微软更新信息指南安装该补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796。同时,360Vulcan Team对该漏洞进行了快速分析,该漏洞属于高...

阅读全文 »

360烽火实验室(360 Beaconlab) 发布于 02月28, 2020

2019年Android恶意软件专题报告

摘 要2019年全年,360安全大脑共截获移动端新增恶意程序样本约180.9万个,平均每天截获新增手机恶意程序样本约0.5万个。新增恶意程序类型主要为资费消耗,占比46.8%;其次为隐私窃取(41.9%)、远程控制(5.0%)、流氓行为(4.6%)、恶意扣费(1.5%)、欺诈软件(0.1%)。2019年全年,360安全大脑累计为全国手机用户拦截恶意程序攻击约9.5亿次,平均每天拦截手机恶意程...

阅读全文 »

admin001 发布于 02月11, 2020

Darkhotel(APT-C-06)使用“双星”0Day漏洞(CVE-2019-17026、CVE-2020-0674)针对中国发起的APT攻击分析

背景2020年1月14日,微软正式宣告Windows 7系统停止更新。在Windows 7正式停服关键时间节点的第二天,即2020年1月15日,360安全大脑在全球范围内就捕获了首例同时利用IE浏览器和火狐浏览器两个0day漏洞进行的复合攻击,由于是全球首家捕获,我们将其命名为“双星”0day漏洞攻击。“双星”0day漏洞的细节已第一时间分别报告给了微软和Mozilla,在通过短暂的沟通后,微软和...

阅读全文 »