一、背景肚脑虫组织（APT-C-35），又称Donot，是一个针对克什米尔地区相关国家的政府机构等领域进行网络间谍活动，以窃取敏感信息为主的攻击组织。该组织具备针对Windows与Android双平台的攻击能力。该组织的攻击活动最早可追溯到2016年，近年来该组织活动频繁不断被数个国内外安全团队持续追踪和披露。近期，360烽火实验室再次监测到肚脑虫组织针对巴基斯坦的移动端攻击活动。根据我们监测数据...

阅读全文 »

  今年4月底，360安全大脑监控到有黑客通过Weblogic漏洞为主的各类Web组件漏洞攻击服务器，植入sodinokibi勒索病毒（小蓝屏勒索病毒）。在这之后的几天内，黑客开始使用更多方式传播sodinokibi勒索病毒，扩大传播范围。该病毒还利用了cve-2018-8453 Windows内核提权漏洞，使病毒威力进一步加强。根据360安全大脑的监控，这一病毒近期在持续发起攻击，管理员和企业用户应该做好防范。

阅读全文 »

author:kangxiaopao

前言

勒索病毒的传播导致大量用户的重要文件被加密，360互联网安全中心针对勒索病毒进行了多方位的监控以及防御。从反馈数据分析本月勒索病毒的感染量处于下降状态，同时防黑加固相关数据显示对于弱口令爆破拦截的次数持续上升，且单日的拦截次数高达400多万次。

另外，本月更新的文件解密工具针对部分版本Satan勒索病毒提供了对应的解密支持。并已为受到此类病毒感染的受害者成功解密了大量重要文件。

阅读全文 »

几年前，敲诈者木马还是一个默默无闻的木马种类。然而，由于其极强的破坏力和直接且丰厚的财富回报，敲诈者木马这几年已经一跃成为曝光率最高的木马类型——甚至超越了盗号木马、远控木马、网购木马这传统三强。与此同时，各种敲诈者木马也在不断推陈出新，变着花样地出现在分析人员的视野中。

阅读全文 »

2017年3月14日，白色情人节这天，微软发布了编号为MS17-010的Windows SMB服务器安全更新。该更新修复了攻击者可通过向SMB v1服务器发送特定消息实现远程代码执行的漏洞。而我们的技术团队在之后也对该漏洞进行了技术分析——《NSA Eternalblue SMB 漏洞分析》。

阅读全文 »

0x1 前言

360互联网安全中心近日捕获到一款“ceber”敲诈者木马变种，该变种与其他“ceber”敲诈者木马变种在代码执行流程上并没有太大区别。唯一值得注意的是，该木马利用CVE-2016-7255权限提升漏洞对自身进行提权。本文将分析该敲诈者对CVE-2016-7255权限提升漏洞的利用过程。

阅读全文 »

近日，360互联网安全中心接到用户的反馈，说浏览器会莫名其妙地弹出各种广告，360浏览器也不幸背锅。这些广告的内容非常令人尴尬，比如壮阳的、防脱生发的……接到反馈后，我们的工作人员第一时间进行排查，发现广告源头来自腾讯新闻迷你首页不慎混入的一个恶意Flash，目前360已通报腾讯方面及时清除了恶意Flash。

阅读全文 »

0x1 前言

在过完年开工之际，黑产从业者也回到了他们的工作岗位上，在短短的一周内，相继爆发了“纵情”敲诈者以及伪装QQ飞车外挂的“MBR”敲诈者两款国产敲诈者木马。国产敲诈者在敲诈金额，技术手段以及加密方式上都远远落后于国外的敲诈者木马，但国产敲诈者的最大优点就是能把握住卖点，比如以游戏外挂作为噱头。除此之外，国产敲诈者还喜欢诱导用户关闭杀软以达到所谓的“最佳体验”。可以说，国产敲诈者胜在了“套路”。

阅读全文 »

前言

前段时间，Crysis敲诈者的同门——XTBL木马在服务器上的敲诈风波刚刚平息，新的一波Wallet服务器敲诈又再起波澜。Wallet木马最早出现在11月末，虽爆发规模不算大，但是由于是针对服务器的攻击，造成用户的损失着实不可估计。根据360互联网安全中心的分析发现，这次的Wallet虽然也是通过服务器传播，但是入侵者采用了更多样的手法——不再仅仅是对3389端口的简单扫描了，而是更有针对性的对服务器进行系统性攻击。

阅读全文 »

0x1 前言

Locky敲诈者木马算是敲诈者木马中传播时间较长，变种较多的一款。在最近一段时间里，其变种Thor、Aesir开始频繁出现。这些Locky变种之间的核心加密功能代码几乎是相同的，只是改动了加密的后缀名，不过相比较老版本的Locky敲诈者，此类新变种在自我防御机制上有了较大改变，例如利用全局原子表代替注册表项存储标志字符串以应对对于相关注册表项的检测。不过即使填补了旧版Locky的坑，Locky新变种依然存在一些可以用来免疫的点，本文就旨在通过对Locky新变种的一些技术细节的分析来谈谈对此类木马的免疫手段。

阅读全文 »