使用NB Exploit Kit攻击的APT样本分析 from:https://cloud.tencent.com/developer/article/1092136 1.起因 近期,安恒工程师在某网络中部署的APT威胁分析设备中发现一条高危告警,该告警包含了较多可疑行为,包含在沙箱运行环境中进行增加自启动.创建网络套接字连接.读取网络文件.收集磁盘信息.获取当前用户名信息等敏感内容,并通过对原始报文分析发现该样本的下载链接也存在较大的可疑性,经过对告警内容的初步分析,基本可以推测可能是一种网页…

RIG exploit kit:恶意活动分析报告 from:https://www.freebuf.com/articles/web/110835.html 在过去的几周里,我们曾撰文讨论过Neutrino和Magnitude的exploit kit.现在,我们来研究下RIG的exploit kit,看看它有什么特别的分发渠道和payload. 与其他同类的比较 像大多数exploit kit一样,RIG会用被黑的网站和恶意广告进行流量分发.但是,它也会借助较老的exploit进行辅助攻击.比如…

MS Office CVE-2015-1641 恶意 Exploit 样本分析 在对最近的一个恶意 MS Office 文档样本进行分析时,我们发现了一些有趣的特性.这个文档利用 CVE-2015-1641 来释放和执行一个名为 Troldesh 的勒索软件. 本文我们会先分析漏洞成因,随后分析攻击者是如何让恶意文档躲避检测的. RTF 文档 我们要分析的 RTF 文档哈希值为72b14306c9f95536d03d88cf63204f70630dd9cd00664ad7f86c1d774c85…

RIG Exploit Kit使用PROPagate注入技术传播Monero Miner from:https://www.4hou.com/technology/12310.html 导语:FireEye研究人员探讨了综合使用RIG EK与各种漏洞利用来攻击终端的技术,展示了NSIS Loader如何利用鲜为人知的PROPagate进程注入技术来规避安全产品. 一.介绍 通过FireEye动态威胁情报(DTI),我们观察到RIG漏洞利用工具包(EK)增添了一个新功能代码:使用PROPagate…

之前都是调试flash的漏洞,相关的样本接触较少,碰巧看到一篇不错的分析,尝试了一下,留个记录. 调试flasher样本一般建议使用调试版的flash player,在调试版本下可以输出swf文件运行时的相关日志,便于进行相关的分析,安装之后会在家目录(C:\User\<your name>mm.cfg)生成该文件(早期的flash调试版本不会生成该文件,需要手动生成). 文件中包含以下配置选项,手动生成的话红色框中的选项为必选项,用于告诉flash生成错误日志及trace日志(对应的日志文件…

第一章 分析概述 该恶意木马样本为运行于winodws平台上的PE文件(名称:evtdiag.exe).文件大小为64KB,编译时间是2016年2月5日. 经分析,该样本为定制的攻击SWIFT客户端程序的恶意木马程序,未做加壳和代码混淆处理,主要功能是与本地的SWIFT客户端软件Alliance交互.该木马以windows服务形式运行,通过遍历读取SWIFT客户端软件Alliance安装目录下的配置文件和交易记录文件,从而获取Alliance的重要授权等配置文件.通过监控Alliance软件的收…

一个DOS攻击木马的详细分析过程 0×01 起因 网路流量里发现了大量的的1.exe的文件,而且一直在持续,第一感觉就像是一个木马程序,而且每个1.exe的MD5都不一样,对比发现只有几个字节不一样(如下图),按了几下PgDn就到尾了!一看大小,只有5k.一下想到了以前分析的一个老外写的兼容xp,win7,x86,x64系统的非常小的MBR bootkit木马,当时分析的时候真的是忍不住拍手叫绝.喜欢“小而美”的东西,后面分析里有段代码,也可以看出作者写代码的确比较讲究:检查http方法是POS…

locky勒索软件恶意样本分析1 1 locky勒索软件构成概述 前些时期爆发的Locky勒索软件病毒这边也拿到了一个样本,简要做如下分析.样本主要包含三个程序: A xx.js文件:Jscript脚本文件,以脚本形式存在主要用于邮件传播和方便免杀杀毒软件,用于联网下载PE1 B PE程序(PE1):外壳程序,主要负责解密内存load PE2. C PE程序(PE2):功能代码存在于该文件,主要负责和C&C服务器通讯获取加密密钥,遍历磁盘驱动器使用crypt系列windows函数对文件加密. P…

利用foo函数的Bof漏洞攻击:构造攻击字符串 一.基础知识储备 objdump反汇编指令.gdb函数调试运行.Perl语言.|管道符 二.实验步骤 1. 通过反汇编了解程序功能及代码 ①反汇编查看文件内容 ②可以知道getShell函数地址为0804847d ③可知foo函数执行完成之后,系统会调用的下一条指令的地址为80484ba,此地址为返回地址 我们要做的就是通过foo函数的Bof漏洞输入一段设计好的字符串覆盖掉80484ba,使得80484ba的值为0804847d,这样就会执行get…

locky勒索软件恶意样本分析2 阿尔法实验室陈峰峰.胡进 前言 随着安全知识的普及,公民安全意识普遍提高了,恶意代码传播已经不局限于exe程序了,Locky敲诈者病毒就是其中之一,Locky敲诈者使用js进行传播,js负责下载外壳程序,外壳程序负责保护真正病毒样本,免除查杀.本文主要对Locky外壳程序和核心程序做了一个分析,来一起了解Locky代码自我保护的手段以及核心程序对文件加密勒索过程的分析. 一        样本基本信息 Js下载者:f16c46c917fa5012810dc35b…

背景 今天遇到一个JSONRPC的告警,怀疑挖矿木马,IOC是132.148.245.101,无其他信息,随即google一波. 查询网络 遇到了,主动下载样本分析,下载地址:http://rjj.qibaxia.com/ 运行后会有连接IOC的流量 确认 分析结构 本质是一个zip包,里面有很多东西,首先会打开lauch-installer安装程序,通过运行专用下载器执行script文件,文件利用curl下载sketch.AutoCAD.Betterzip.Moveist等常用mac os软件…

一.前言 之前一个Wannacry病毒样本在PC端肆意了很久,就是RSA加密文件,勒索钱财.不给钱就删除.但是现在移动设备如此之多,就有一些不法分子想把这个病毒扩散到移动设备了,这几天一个哥们给了一个病毒样本,就抽空看了一下,下面就来分析一下这个病毒样本程序. 二.病毒样本分析 首先国际惯例,这类的病毒都是用一些特殊的app名称吸引诱导用户下载,这里是一个叫做:魅影WIFI,下载安装之后界面如下: 我们点击免费激活,出现授权界面: 需要设备管理器,这时候应该猜到了,他是想修改锁机密码,我们就授权…

问题引出: 今天公司派出安全任务,说是要解决一个Flash XSS攻击,一看顿时傻眼,都没听说过.而且flash已经淘汰了,根本没研究过flash,搜了资料才开始慢慢开始工作. 要求: 1.过滤URL参数. 2.禁止外部嵌套. 1.Flash XSS漏洞出现的原因 1.1原因方式一:把flashvars传入的参数(或者其他能被别人控制的方式)当ExternalInterface.call的第一个参数 package { import flash.display.Sprite; import fl…

写在前面的话 能看懂此博客的朋友,深信你有一定的Kali基础了. 使用APT软件包处理工具(apt-get).Debian软件包管理器(dpkg)来维护.升级和安装自定义及第三方应用程序 APT软件包处理工具(apt-get) APT软件包处理工具是一个轻量级但功能强大的命令行工具,用于安装和删除软件包,通常简写为apt-get.apt-get会对所有安装过的软件做好记录,并且处理好依赖关系. 例如,用于渗透的最佳工具Metasploit就依赖一门叫做Ruby的编程语言.如果Ruby没有预先安装…

逆向分析 之后我们通过ida对该样本进行更深入的分析样本的main函数中,一开始会调用函数dec_conf对样本中的大量加密的字符串进行解密,如下图所示.…

不久前收到的一个linux样本,之前linux平台下的样本见得并不多,正好做个记录. 样本启动之后,会将自身重命名拷贝到/usr/bin下,并删除自身,如此处就将自身文件amdhzbenfi命名为usnfpnglab. 运行中的样本进程.…

1. 简介 该样本是前几周爆发的THINKPHP漏洞中,被批量上传的一个病毒样本.如图所示. 2. 分析 该样本未经混淆,加壳,所以直接拖到IDA中即可分析. 首先从main函数开始.做一些初始化的函数,然后fork进程,父进程退出,子进程继续执行,推测是为了更好的迷惑. 如图 然后设置sid,更改病毒运行目录为根目录,设置信号.主要是忽略SIGPIPE信号,防止进程出错.参考 https://blog.csdn.net/qq_34888036/article/details/81014529…

0x01 前言 CVE-2010-2883 漏洞的成因是由于 CoolType.dll 这个动态链接库在解析 SING 表中的 uniqueName 这个项时没有对长度进行限制,导致使用 strcat 函数拼接字符串时造成了溢出 分析工具:OD.Immunity Debutter(基于 OD 的漏洞调试工具).PdfStreamDumper(PDF文档分析工具) 环境:Windows 7 家庭版(虚拟机).开启了 ASLR 和 DEP 保护 样本:触发漏洞的 PDF 文件(提取码:95h4,请在…

前段时间收到locky样本,分析之后遂做一个分析. 样本如下所示,一般locky勒索的先决条件是一个js的脚本,脚本经过了复杂的混淆,主要用于下载该样本文件并运行,. 解密 样本本身进行了保护,通过ida打开之后只有少量几个函数,如下图所示为样本的入口地址,代码进行了重度的混淆加密.…

最近接手的一个样本,样本中使用了大量的xor加密,由于本身样本不全,无法运行(好吧我最稀饭的动态调试没了,样本很有意思,以后有时间做票大的分析),这个时候就只好拜托idapython大法了(当然用idc也一样),期间遇到几个问题,遂记录一番. 样本加密的字符如下,很简单,push压栈之后,反复调用sub_1000204D解密. 此时,要写脚本的话,我们希望这个脚本能够足够通用,通常样本中的加密都是由一个函数实现,函数本身实现解密,传入的参数通常是解密字符,和key两个参数(当然肯定也有其他的模式…

样本行为 该样本为国庆期间接到的一个应急,发现为今年比较流行的xorddos,遂分析一番. 运行之后,查看进程,可以发现可疑进程ydxrooqtno,以及ppkzkneour. 多次运行发现除了ydxrooqtno之外,其余进程的id,名称一直在改变.…

英文原文:New Reflection API affected by a known 10+ years old attack 据 SECLISTS 透露,他们发现新的 Reflection API 在引进 Java SE 7 时并未经过非常安全的复查,并且存在着一个非常大的漏洞. 该漏洞可以允许黑客利用 10 年前便广为人知的手法来攻击 Java 虚拟机.Java SE 7 中的 Reflection API 并未采取应有的保护机制来防堵该攻击. SECLISTS 公司关于该漏洞的概念验证代…

1)场景 摩诃草组织(APT-C-09),又称HangOver.Patchwork.Dropping Elephant以及白象.该组织归属南亚某国,主要针对中国.巴基斯坦等亚洲国家和地区进行网络间谍活动,也逐渐将渗透目标蔓延至欧洲和中东等地. https://www.anquanke.com/post/id/160869#h2-0 2)问题难点 1.恶意代码分析提取出的哪些行为信息有助于分析组织的行为? 2.用什么工具进行分析判断通过样本自身的信息跟现有样本库关联分析判断为同一个组织? 3.如何…

CVE-2013-1347 漏洞是典型的 IE 浏览器 UAF 漏洞,所以其利用方法和一般的 IE 浏览器漏洞的利用方法非常相似,所以流程大体上可以分为这些步骤:(1) 对象被释放 (2) 精确覆盖被释放对象的内存空间,更改 EIP 寄存器从而控制程序的流程 (3) 触发漏洞实现重引用 以下就是利用此漏洞的样本 <!doctype html> <HTML XMLNS:t ="urn:schemas-microsoft-com:time"> <head>…

基本信息 对象 值 文件名 Photo.scr 文件类型 PE32 executable for MS Windows (GUI) Intel 80386 32-bit 文件大小 6271259 bytes MD5 a20727b81b50a20483ba59ae65443dfe SHA256 af94ddf7c35b9d9f016a5a4b232b43e071d59c6beb1560ba76df20df7b49ca4c 其它信息 \ 对象 值 文件名 HelpPane.exe 文件类型 PE3…

  当前样本是一个RTF文档,内嵌一个公式编辑器对象,该对象利用Office编辑器漏洞CVE-2018-0798执行shellcode,对EQNEDT32.exe进行代码注入,执行恶意代码.   使用rtfobj查看文档结构,可以看到携带了3个OLE对象,但是id为1的对象并未被使用.   第二个是一个package对象,原路径为" C:\Users\n3o\AppData\Local\Microsoft\Windows\INetCache\Content.Word\wd32PrvSE.wmf&…

学编程又有材料了 http://blog.nsfocus.net/malware-sample-analysis-api/…

ubunut安装软件时候需要查看源内可供选择的安装包的一些信息,此处提供一些指令方便以后查阅 apt-get sudo apt-get update #更新源 sudo apt-get upgrade #更新已安装的包 sudo apt-get dist-upgrade 升级系统 sudo apt-get dselect-upgrade 使用 dselect 升级 sudo apt-get build-dep package 安装相关的编译环境 apt-get source package 下载…

修改中 本文出自 "李晨光原创技术博客" 博客,谢绝转载!…

文件检测 信息 值 文件名 1.virus 文件类型 WIN 32 EXE 文件大小 41664 bytes MD5 3d466b0f8ba9f3fe03e137a34d79f682 SHA-256 7c4d73c8c9e394a72cc0eeda7e3ce78340a23f40cb3f682c06715e948c09feca 加壳 upx 2.90 导入函数 通过导入表函数可以看出病毒有以下行为: 文件创建 线程注入 注册表修改 网络行为 动态行为分析 regshot创建注册表快照,同时监控程…