分类样本分析下的文章

kangxiaopao 发布于 12月15, 2016

嘿,你的wallet!

前言

前段时间,Crysis敲诈者的同门——XTBL木马在服务器上的敲诈风波刚刚平息,新的一波Wallet服务器敲诈又再起波澜。Wallet木马最早出现在11月末,虽爆发规模不算大,但是由于是针对服务器的攻击,造成用户的损失着实不可估计。根据360互联网安全中心的分析发现,这次的Wallet虽然也是通过服务器传播,但是入侵者采用了更多样的手法——不再仅仅是对3389端口的简单扫描了,而是更有针对性的对服务器进行系统性攻击。

阅读全文 »

hyabcd 发布于 12月01, 2016

从Locky新变种谈敲诈者木马的一些免疫技巧

0x1 前言

Locky敲诈者木马算是敲诈者木马中传播时间较长,变种较多的一款。在最近一段时间里,其变种Thor、Aesir开始频繁出现。这些Locky变种之间的核心加密功能代码几乎是相同的,只是改动了加密的后缀名,不过相比较老版本的Locky敲诈者,此类新变种在自我防御机制上有了较大改变,例如利用全局原子表代替注册表项存储标志字符串以应对对于相关注册表项的检测。不过即使填补了旧版Locky的坑,Locky新变种依然存在一些可以用来免疫的点,本文就旨在通过对Locky新变种的一些技术细节的分析来谈谈对此类木马的免疫手段。

阅读全文 »

hyabcd 发布于 11月18, 2016

Linux远控分析

0x1 前言

在国内,Linux操作系统以一般运用于服务器及相关后台,个人用户相对较少,因此Linux平台的木马病毒数量也远远不及Windows平台,其变种数量以及变化速度也比不上Windows平台。但Linux平台下的木马病毒有个非常显著的特点,就是不必与安全软件进行过多的对抗,因此导致其攻击手段的针对性极强,攻击面相当集中。以本文分析的样本为例,该样本为一远控木马,但不同于Windows下的远控木马,该木马只针对文件信息窃取与相应的删除,修改等操作,程序的每一部分都是为该功能服务,结构十分清晰。下图显示的是木马程序的简要运行流程。

阅读全文 »

hyabcd 发布于 11月09, 2016

“XTBL”敲诈者木马分析

0x1 前言

“XTBL”敲诈者是一款专门针对Windows服务器的敲诈者木马,最早出现于2015年,不过当时只在小范围传播,并未大面积影响国内服务器。自今年六月起,“XTBL”敲诈者再次爆发,开始大面积影响国内服务器,同时出现多个变种,其危害程度不容小觑。

阅读全文 »

hyabcd 发布于 10月24, 2016

浅谈hook007的自启动手法

0x1 前言

hook007是国产远控木马的代表性产物,已经在远控市场上活跃了好几个年头。该款远控木马的攻击目标为游戏玩家,木马持有者以交易游戏装备为理由私信玩家,并利用QQ等即时通信软件联系玩家,发送伪装装备截图来诱导玩家点击,之后玩家计算机会出现鼠标被强制移动,黑屏等情况,等一切恢复正常后玩家的游戏装备已经被转移到木马持有者账号中。因此在游戏界该款木马也被称做“强制交易马”。

阅读全文 »

hyabcd 发布于 09月07, 2016

分享一款失败的国产加密勒索软件

lx_20160907193535

一、前言

近两年,以敲诈勒索为目的的文件加密恶意软件逐渐成为恶意软件中的主力军。以Locky家族,ceber家族为典型代表的加密勒索软件席卷国外,对政府机构,公司乃至个人用户造成了极大的危害。早期的加密勒索软件一般以网页挂马形式出现,“落户”到本地运行后会经过一系列的代码重组及解密操作得到用于执行主要功能的shellcode,然后运行shellcode对指定文件进行加密。由于程序代码段在解密和解混淆之后与之前已经完全不同,主要功能又移至shellcode中执行,因此此类加密勒索软件较容易躲过杀软的静态检测。但为了对抗杀软不断更新的特征库,软件作者也必须不断更改加密方法,这也造成了研发成本的增加。在最近这段时间,加密勒索类软件有简化的趋势,软件开发者将目光转向了拥有较为完善的加密函数类库的.NET平台,同时也去除一些混淆操作,直接使用.NET平台下一些公开的混淆方法。当然,软件开发的简化也“造福”了国内一大帮急于发财但技术又不是那么过关的“伪黑客”。从最近的样本捕获可以发现,已有一些国内黑客试水.NET平台下的加密勒索软件。

阅读全文 »

hyabcd 发布于 08月17, 2016

“百合一”盗号木马分析报告

0x1 前言

近日,360互联网安全中心捕获到一枚窃取国外用户个人信息的木马程序。该木马外壳使用c#语言编写,经过两次代码解密操作后完成“金蝉脱壳”,执行最终的功能代码。在木马的运行过程中,关键代码只在内存中执行,并没有“落地”,这也增强了木马的隐蔽性。木马的主要功能是盗取用户计算机中超过一百种敏感信息,包括浏览器中自动保存的账号密码,facebook账号密码,本机登陆账号密码等,真正的大合集盗号木马:

阅读全文 »

hyabcd 发布于 08月04, 2016

某针对韩国网银的后门程序分析

0x1 前言

最近,360互联网安全中心捕捉到一枚针对韩国网银的后门程序,该后门程序与2014-2015年爆发的KRBanker木马攻击手法相似,极有可能是同一团伙所为。KRBanker木马是一种结构复杂,针对性强的银行木马,它利用网络挂马等方式欺骗用户下载安装,通过监听劫持DNS协同本地数据打包上传的方式盗取用户网银账户信息。此次捕获的样本相对于之前的木马在功能上有所改进,不再是单一的DNS劫持,而是具有后门的特征,并根据用户计算机实际情况利用控制端指令下达进行相应攻击。

阅读全文 »

hyabcd 发布于 07月29, 2016

别一言不合就退杀软

0x1 前言

随着游戏产业的不断发展,外挂行业也变得热门。许多游戏玩家为了能在游戏中获得远超于他人的发展速度开始大量使用外挂,而在外挂中嵌入木马进行盗号或者远程控制的行为层出不穷,加上外挂作者要求用户关闭杀软“躲避查杀”等因素,外挂是否安全成为未知数。最近,360互联网安全中心接到用户反馈,在关闭360安全卫士和360杀毒使用外挂之后,360安全卫士和360杀毒竟然无法重新打开。究竟是何原因导致这一情况的发生?让我们来探个究竟。

阅读全文 »

Luke Viruswalker 发布于 06月22, 2016

用世界上最好的编程语言写成的敲诈者木马

报告更新相关时间节点
2016年4月29日,形成攻击简报和样本分析报告
2016年5月12日,形成综合分析报告
2016年6月20日,修改公开版

一、概述

人面狮行动是活跃在中东地区的网络间谍活动,主要目标可能涉及到埃及和以色列等国家的不同组织,目的是窃取目标敏感数据信息。活跃时间主要集中在2014年6月到2015年11月期间,相关攻击活动最早可以追溯到2011年12月。主要采用利用社交网络进行水坑攻击,截止到目前我总共捕获到恶意代码样本314个,C&C域名7个。

阅读全文 »