On September 28, 2017, Qihoo 360 Core Security (@360CoreSec) detected an in-the-wild attack that leveraged CVE-2017-11826, an office 0day vulnerability. This vulnerability exists in all the supported office versions. The attack only targeted limited customers. The attacker embedded malicious .docx in the RTF files. Through reversing analysis of the sample C&C, we found that the attack was initiated in August and the launch date of the attack can be dated back to September. It was in this time window that the vulnerability has been exploited as a 0day. Qihoo 360 Core Security has been the first security vendor to share the details of the vulnerability and coordinated with Microsoft to disclose the news, as well as a timely patch to resolve the Office 0day vulnerability within a week. The latest versions of 360 security products could detect and prevent exploitation of this vulnerability and are available for download. In the meanwhile, we also highly suggest users to update Microsoft Patch in time.

阅读全文 »

第一章 前言

2017年6月27日晚，乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭受大规模Petya勒索病毒袭击，该病毒远程锁定设备，然后索要赎金。其中，乌克兰地区受灾最为严重，政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响，包括首都基辅的鲍里斯波尔国际机场（Boryspil International Airport）、乌克兰国家储蓄银行（Oschadbank）、船舶公司（AP Moller-Maersk）、俄罗斯石油公司（Rosneft）和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击。

阅读全文 »

Chapter 1 Introduction

Recently, 360 Internet Security Center detected a new variant of ransomware that targets both enterprises and individuals in multiple countries and regions. 360 released timely emrgency warning on May 12th upon the detection to remind the users of the upcoming risks. The ransomware spread itself with fast speed all around the world. According to incomplete statistics, in just a few hours of its burst, tens of thousands of devices in 99 countries have been infected and the Worm is still trying to expand its impact.

阅读全文 »

第一章 前言

近日，360互联网安全中心发现全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击，并于5月12日国内率先发布紧急预警。该款勒索软件在短时间内在全球范围内爆发了广泛的攻击活动，据不完全统计，它在爆发后的几个小时内就迅速攻击了99个国家的近万台设备，并在大量企业组织和个人间蔓延。外媒和多家安全公司将其命名为“WanaCrypt0r”（直译：“想哭勒索蠕虫”）。

阅读全文 »

WanaCrypt0r Ransomware Analysis Report0x1 IntroductionEarlier, 360 Internet Security Center detected a new variant of ransomware that targets both enterprises and individuals in multiple countries and...

阅读全文 »

0x1 前言

360互联网安全中心近日发现全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击，比于5月12日国内率先发布紧急预警，外媒和多家安全公司将该病毒命名为“WanaCrypt0r”（直译：“想哭勒索蠕虫”），常规的勒索病毒是一种趋利明显的恶意程序，它会使用非对称加密算法加密受害者电脑内的重要文件进行勒索，除非受害者交出勒索赎金，否则加密文件无法被恢复，而新的“想哭勒索蠕虫”尤其致命，它利用了窃取自美国国家安全局的黑客工具EternalBlue（直译：“永恒之蓝”）实现了全球范围内的快速传播，在短时间内造成了巨大损失。360追日团队对“想哭勒索蠕虫”国内首家对该蠕虫进行了完全的技术分析，帮助大家深入了解此次攻击！

阅读全文 »

摘要

• 2016年5月起至今，双尾蝎组织（APT-C-23）对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。
• 攻击平台主要包括Windows与Android，攻击范围主要为中东地区，截至目前我们一共捕获了Android样本24个，Windows样本19个，涉及的C&C域名29个。
• 后门程序主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件，通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透，向特定目标人群进行攻击。
• 相关恶意可执行程序多为“.exe”和“.scr”扩展名，但是这些程序都伪装成doc、xls文档图标，并且文件中还包含一些用以迷惑用户的文档。
• 攻击者在诱饵文档命名时也颇为讲究，如“الاجهزة الامنية”（安全服务）、“Egyptian Belly Dancer Dina Scandal, Free Porn”（肚皮舞者Dina丑闻，色情），此类文件名容易诱惑用户点击。
• Android端后门程序功能主要包括定位、短信拦截、电话录音等，并且还会收集文档、图片、联系人、短信等情报信息；PC端后门程序功能包括收集用户信息上传到指定服务器、远程下载文件以及远控。
• 通过相关信息的分析，发现该组织极有可能来自中东。

关键词：双尾蝎、APT-C-23、巴勒斯坦、教育、军事、鱼叉、水坑、伪装

阅读全文 »

一、 概述

美国网络安全公司Forcepoint[1]近期发布了一篇报告，该报告主要披露了巴基斯坦政府官员最近遭到了来源不明的网络间谍活动。该报告描述了攻击者使用了鱼叉邮件以及利用系统漏洞等方式，在受害者计算机中植入了定制的AndroRAT，意图窃取敏感信息和资料。Forcepoint研究人员认为该组织与BITTER相关，而且可能还不止发起了这一起攻击事件。BITTER攻击始于2013年11月，且多年来一直未被检测到，目前攻击者背景尚未明确。相关APP信息包括提供关于印度和巴基斯坦之间的争议地区新闻的Kashmir News等。

阅读全文 »

核心安全事业部-追日团队一、 概述2015年底 ，乌克兰一家供电公司遭到黑客攻击，直接导致22万户用户失去供电，造成了巨大损失。随后，美国政府协助乌克兰政府调查此次事件。2016年1月，ESET公司公布了事件中使用的部分恶意代码，并将攻击源头直指具有俄罗斯背景的沙虫组织。此次事件在电力行业和安全行业都引起了巨大的轰动，整个事件中，攻击者并没有使用很高端的攻击技术，比如没有使用0Day漏洞。仅...

阅读全文 »

核心安全事业部-追日团队 报告更新相关时间节点:2016年6月27日，形成样本分析报告2016年7月15日，形成攻击行动报告简版2016年8月10日，剔除修改部分内容2016年9月7日，添加补充相关内容2016年9月18日，修改部分内容 披露申明本报告中出现的IOC（Indicators of Compromise，威胁指标），进一步包括涉及到相关攻击事件的样本文件MD5等哈希值、域名、IP、UR...

阅读全文 »