方程式组织EQUATION DRUG平台解析(提纲)—方程式组织系列分析报告之四

对于“方程式组织”,在过去的两年中,安天已经连续发布了三篇分析报告:在《修改硬盘固件的木马——探索方程式(EQUATION)组织的攻击组件》 中,安天对多个模块进行了分析,并对其写入硬盘固件的机理进行了分析验证。;在《方程式(EQUATION)部分组件中的加密技巧分析》报告中,对攻击组件中使用的加密方式实现了破解;在《从“方程式”到“方程组”——EQUATION攻击组织高级恶意代码的全平台能力解析》报告中,安天独家提供了方程式Linux和Solaris系统的样本分析,这也是业内首次正式证实这些“恶灵”真实存在的公开分析。

更多内容

从方程式到“方程组”EQUATION攻击组织高级恶意代码的全平台能力解析

安天从2015年2月起,陆续公布了两篇针对方程式攻击组织的分析报告,分析了其针对Windows平台的恶意代码组件构成、对硬盘的持久化能力和对加密算法的使用。本报告则将首次公布安天对方程式攻击组织针对Solaris平台和Linux平台的部分样本分析,我们也可以自豪的说,这是业内首次正式证实这些幽灵真实存在的公开分析。

更多内容

IOT僵尸网络严重威胁网络基础设施安全

安天安全研究与应急处理中心在北京时间1022日下午启动高等级分析流程,针对美国东海岸DNS服务商Dyn遭遇DDoS攻击事件进行了跟进分析。安天团队分析认为,此事件有一定的政治因素背景,涉及到IoTInternet of Things,物联网)设备安全等多种因素,在表象的DDoS攻击和DNS安全之外,依然有很多值得关注和研究的问题。

更多内容

Trojan[DDOS]/Linux. Znaich分析笔记

安天CERT这篇分析笔记完成于2015年1月18日,但撰写后并未公开,为让安全工作者更进一步了解IoT僵尸网络的威胁,安天CERT决定公开本报告,作为《IOT僵尸网络严重威胁网络基础设施安全》一文的参考资料。

更多内容

白象的舞步——来自南亚次大陆的网络攻击

在过去的四年中,安天的工程师们关注到了中国的机构和用户反复遭遇来自“西南方向”的网络入侵尝试。这些攻击虽进行了一些掩盖和伪装,我们依然可以将其推理回原点——来自南亚次大陆的某个国家。尽管我们积极地提醒和协助我们的客户进行改进防护,并谨慎而有限地披露信息、给予警告,但这种攻击并未偃旗息鼓,恰恰相反,其却以更高的能力卷土重来。安天本报告披露其中两组高频度攻击事件,尽管我们尚未最终确定这两个攻击波的内在关联,但可以确定的是其具有相似的目的和同样的国家背景,我们将其两组攻击统称为——“白象行动”

更多内容

勒索软件家族TeslaCrypt最新变种技术特点分析

Antiy CERT近期发现勒索软件TeslaCrypt的最新变种TeslaCrypt 4.0,它具有多种特性,例如:对抗安全工具、具有PDB路径、利用CMD自启动、使用非常规的函数调用、同一域名可以下载多个勒索软件等。尤其值得一提的是,通常勒索软件在感染受害主机后均会修改被加密文件的扩展名,如 TeslaCrypt早期版本(.vvv、.mp3、.ccc、.abc、.ttt等),其他勒索软件Locky、CTB-Locker(.Locky,.oinpgca)。而TeslaCrypt的最新变种具有在加密文件后不修改原文件扩展名的特点。

更多内容

多起利用POWERSHELL传播恶意代码的事件分析

PowerShell具有许多实用与强大的功能,在方便用户使用的同时,也为不法份子打开了便捷之门。攻击者可以利用PowerShell命令下载恶意代码到用户系统中运行,这种方法可以躲避部分反病毒产品的检测;同时,还可以通过命令行调用PowerShell将一段加密数据加载到内存中执行,实现这种无实体文件的攻击方法。本文将对近期发现的PowerShell攻击事件进行分析。

更多内容

乌克兰电力系统遭受攻击事件综合分析报告

这是一起以电力基础设施为目标;以BlackEnergy等相关恶意代码为主要攻击工具,通过BOTNET体系进行前期的资料采集和环境预置;以邮件发送恶意代码载荷为最终攻击的直接突破入口,通过远程控制SCADA节点下达指令为断电手段;以摧毁破坏SCADA系统实现迟滞恢复和状态致盲;以DDoS服务电话作为干扰,最后达成长时间停电并制造整个社会混乱的具有信息战水准的网络攻击事件。 

更多内容

首例具有中文提示的比特币勒索软件"LOCKY"

安天安全研究与应急处理中心(安天CERT)发现一款新的勒索软件家族,名为“Locky”,它通过RSA-2048和AES-128算法对100多种文件类型进行加密,同时在每个存在加密文件的目录下释放一个名为_Locky_recover_instructions.txt的勒索提示文件。经过安天CERT研究人员分析发现,这是一类利用垃圾邮件进行传播的勒索软件,是首例具有中文提示的比特币勒索软件。 

更多内容

2015年网络安全威胁的回顾与展望

面对威胁高速演进变化、防御技术同样快速改善的现状,无论我们做怎样的努力,都已无法用一篇年报来涵盖网络安全威胁的全景,这亦使参与本文档编写的安天分析工程师们无比纠结。对于安天安全研究与应急处理中心(安天CERT)来说,在数年前,年报工作是相对简单的,我们只需从恶意代码存储和分析的后台系统导出足够多的统计图表,就可以构成一篇年度报告。在网络安全领域,恶意代码自动化分析是一个成型较早的基础设施,恶意代码样本集更是一个非常容易进行统计的大集合,这一度让我们偏离了网络安全的本质,弱化了我们对保障用户价值的信念。  从去年开始,安天颠覆了自身传统的数据表年报的风格,面对当前威胁的纵深化、复杂化特点,大量简单的统计已经失去意义,我们非常明确地提出了做“观点型年报”的自我要求。尽管我们拥有更多的样本、更多的数据,但我们依然不敢说已经能够驾驭安全大数据,目前我们能做到的只有学习和思考,我们要学习更丰富的数据分析方式,我们要做能独立思考、有观点、有立场的安全团队,而非做大数据和计算资源的奴隶。 

更多内容

盗用数字签名DDOS样本分析

安天追影小组通过安天态势感知系统发现了一款带有过期签名的DDoS恶意程序,该DDoS样本包含多种DDoS攻击方式,并主要针对国内的在线销售减肥药、在线赌博、电子交易平台进行攻击。攻击者对灰色或非法网站进行DDoS攻击的目的可能是敲诈或者同业竞争。……

更多内容

一例以"采访"为社工手段的定向木马攻击分析

2015年12月2日22时25分,安天监控预警体系感知到如下信息线索:某知名作家在新浪微博发布消息,曝光有人以发送"采访提纲"为借口,利用微博私信功能,发送恶意代码链接。 安天安全研究与应急处理中心(安天CERT)根据微博截图指向的链接,下载该样本并连夜展开分析。随着分析的不断深入,我们看到了这样的一幕……

更多内容

邮件发送js脚本传播敲诈者木马的分析报告

安天威胁态势感知系统2015年12月2日捕获到有新的传播特点的敲诈者变种邮件,其不再采用直接发送二进制文件载荷的传播模式,而是以一个存放在压缩包中的JS脚本为先导。安天追影分析小组对相关事件和样本进行了分析。该样本系TeslaCrypt的另一个变种TeslaCrypt 2.x,邮件附近是一个zip压缩文件,解压zip文件得到一个js文件,运行js文件,会下载TeslaCrypt2.x运行,遍历计算机文件,对包括文档、图片、影音等186种后缀格式文件进行加密,加密完成后打开敲诈者的主页,在指定期限内需要支付500美元才能得到解密密钥,过期需要支付1000美元。因为TeslaCrypt2.x变种改变了密钥的计算方式,采用了ECDH算法,黑客与受害者双方可以在不共享任何秘密的情况下协商出一个密钥,采用此前思科等厂商发布的TeslaCrypt解密工具[1]已经无法进行解密。

更多内容

疯狂的窃密者——TEPFER

该家族最早出现于2011年,以窃取FTP、邮箱、网站、比特币等账号和密码为目的,至今已有数十万变种。Tepfer主要通过注册表项或子键获取FTP的账号并获取安装目录下的.dat加密文件,通过破解算法获取密码;通过自带密码表尝试破解系统开机密码并辅助用来破解chrome浏览器缓存的网站登陆账号、密码信息;通过.dat文件窃取比特币信息。 Tepfer家族可以盗取60种以上的FTP客户端软件所保存的密码;10种以上的浏览器保存的密码;31种比特币信息;还能获取多个邮件客户端所保存的密码,可推测恶意代码作者熟练掌握各种密码的存储方案和破解方法。该家族是一个无需交互、自动窃密并上传的木马家族,主要利用垃圾邮件进行传播,并将窃取的这些信息加密后上传到指定的网站。

更多内容

Xcode非官方版本恶意代码污染事件(XcodeGhost)的分析与综述

2015年9月14日起,一例Xcode非官方版本恶意代码污染事件逐步被关注,并成为社会热点事件。多数分析者将这一事件称之为“XcodeGhost”。攻击者通过对Xcode进行篡改,加入恶意模块,并进行各种传播活动,使大量开发者使用被污染过的版本,建立开发环境。经过被污染过的Xcode版本编译出的APP程序,将被植入恶意逻辑,其中包括向攻击者注册的域名回传若干信息,并可能导致弹窗攻击和被远程控制的风险。

更多内容

黑客用HFS搭建服务器来传播恶意代码

安天蜜罐捕风系统捕获到一个下载者样本。该样本运行后访问一个由黑客搭建的轻型文件服务器(Http File Server)。通过使用捕风系统进行追溯与关联分析,分析人员发现目前有很多使用HFS搭建的服务器。通过对其中一个下载服务器进行监控,其在线6天的总点击量近3W次,可见其传播范围极广。该软件的"傻瓜式"教程颇受低水平的攻击者喜爱,同时由于其架设方便,便于传播等特点,已被黑客多次恶意利用。经过安天CERT分析人员进行关联与分析发现,目前这种轻型服务器工具已普遍流行。

更多内容

利用路由器传播的DYREZA家族变种分析

Dyreza家族以窃取用户银行账号和比特币为目的,以利用入侵的路由器进行传播为特点,应引起用户和企业的关注。在此之前,2014年4月份的CVE-2014-0160(心脏出血)漏洞即可入侵大量的路由器设备。安天CERT判定,Dyreza家族与Rovnix家族有着必然的联系,它们使用相同的Upatre下载者进行传播,并使用相似的下载地址。在本报告发布前,安天又捕获到一个更新的Dyreza变种,在传播方式上,它使用与Rovnix攻击平台相似的下载地址,都使用WordPress搭建的网站,或入侵由WordPress搭建的第三方正常网站。

更多内容

VBA病毒"制造机"正在流行

宏病毒是一个古老而又风靡一时的病毒,它不像普通病毒可以感染EXE文件,宏病毒可以感染office文档文件,有跨平台能力,并且感染宏病毒的文档会很危险,其破坏程度完全取决于病毒作者的想象力。宏病毒在上个世纪90年代的时候比较流行,在后来相当长一段时间内销声匿迹,慢慢淡出了"安全圈"。近两年,宏病毒再次出现,配合钓鱼邮件、社工手段等方式又有卷土重来的气势。

更多内容

采用多种沙箱识别技术的Kasidet家族分析

安天CERT的研究人员针对Kasidet家族对调试器、模拟器、虚拟机、沙箱和在线自动化恶意代码分析平台的检测进行了详细分析。从Kasidet家族反制在线自动化恶意代码分析平台的方法上看,该家族的作者有可能通过对常见的在线自动化恶意代码分析平台进行过针对性的研究,利用收集各种系统信息的恶意代码提炼出反制在线自动化恶意代码分析平台的方法,并应用到Kasidet家族中。

更多内容

揭开勒索软件的真面目

勒索软件(ransomware)是一种流行的木马,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。一般来说,勒索软件作者还会设定一个支付时限,有时赎金数目也会随着时间的推移而上涨。有时,即使用户支付了赎金,最终也还是无法正常使用系统,无法还原被加密的文件。

更多内容

ROVNIX攻击平台分析-利用WordPress平台传播的多插件攻击平台

近期,安天安全研究与应急处理中心(安天CERT)的安全研究人员在跟踪分析HaveX家族样本的过程中,意外地发现了Rovnix家族(Trojan/Win32.Rovnix)在建立其恶意代码下载服务器时,也开始使用类似HaveX的方式,即:使用WordPress搭建的网站,或入侵第三方由WordPress搭建的正常网站(HaveX的C&C服务器地址都是通过入侵由WrdPress搭建的网站得到的)。因此,安天CERT 的研究人员对Rovnix家族展开分析。

更多内容

部分利用社工技巧的群发邮件样本关联分析

近年来,安天诱饵信箱系统持续捕获大量利用社工技巧进行批量传播的带毒邮件。安天分析人员从诱饵信箱中随机抽取了两封附件攻击手段一致的邮件作为分析起点。其中第一封邮件的捕获时间为2015年4月11号,这是一封伪装成摩根大通集团的钓鱼邮件,邮件包括一个ZIP压缩包,压缩包解压后是一个PDF图标的PE文件,运行PE文件后会从后端下载其它文件,另一封邮件的捕获时间为2015年4月13号,这两封邮件的附件行为一致。安天CERT分析人员首先对第一封邮件样本进行了分析,随后对两封邮件的传播手段、附件文件的技巧方法进行了关联,最后通过提取类似特点挖掘出更多的类似攻击邮件进行了整体的关联分析与总结。

更多内容

一例针对中方机构的准APT攻击中所使用的样本分析

安天近期发现一例针对中方机构的准APT攻击事件,在攻击场景中,攻击者依托自动化攻击测试平台Cobalt Strike生成的、使用信标(Beacon)模式进行通信的Shellcode,实现了对目标主机进行远程控制的能力。这种攻击模式在目标主机中体现为:无恶意代码实体文件、每60秒发送一次网络心跳数据包、使用Cookie字段发送数据信息等行为,这些行为在一定程度上可以躲避主机安全防护检测软件的查杀与防火墙的拦截。鉴于这个攻击与Cobalt Strike平台的关系,我们暂时将这一攻击事件命名为APT-TOCS(TOCS,取Threat on Cobalt Strike之意。)

更多内容

短信拦截马"相册"综合分析报告

该病毒为最近两年在国内肆虐的短信拦截马的一个新变种。短信拦截马的主要传播过程是,攻击者把木马上传到某个站点,攻击者构造带有木马下载地址的相关短信进行初始传播。如果有用户点击URL后,导致下载木马并安装,木马执行后,将对用户通讯录中的人员继续发送带有样本下载URL的短信,导致接力式传播。

更多内容

"攻击WPS样本"实为敲诈者

4月30日,安天接到用户提供的恶意邮件附件,据该用户称已将该附件提交至第三方开放沙箱,并怀疑其专门攻击wps办公系统及窃取信息。由于该样本可能与国产办公软件环境相关,引发了部分用户的关注,希望安天能尽快给予帮助确认,经过安天CERT分析确认,该样本确实是恶意代码,但并对WPS办公环境并无针对性。经安天CERT分析确认该样本为CTB-Locker(敲诈者)。

更多内容

方程式(EQUATION)部分组件中的加密技巧分析

安天分析团队从2月启动“方程式(EQUATION)”分析工作,在形成了第一篇分析报告后,后续整体分析没有取得更多的进展和亮点。基于这种情况,我们首先尝试对部分组件中的加密技巧进行了分析树立,以利后续工作,我们将相关工作进行分享,希望得到业内同仁的批评指点。.

更多内容

IIS再出远程执行漏洞:警惕新红色代码

微软在2014年4月的补丁日进行了多个漏洞修补,涉及到Windows、OFFICE、IE、IIS等多个环节,本次补丁数量显著高于平均水平。安天安全研究与应急处理中心通过补丁相关信息研判,认为其中有多个OFFICE和IE漏洞可能与近期各种攻击相关,而其中编号为MS15-034的IIS远程执行漏洞极为值得高度关注。 ...

更多内容

修改硬盘固件的木马 探索方程式(EQUATION)组织的攻击组件

2015年2月18日,安天实验室根据紧急研判,对被友商称为“方程式(Equation)”的攻击组织所使用的攻击组件,开始了初步的分析验证。后于2月25日正式组建了跨部门联合分析小组,于3月4日形成本报告第一版本。事件相关背景为:卡巴斯基安全实验室在2月16日起发布系列报告(以下简称“友商报告”),披露了一个可能是目前...

更多内容

DDoS攻击组织肉鸡美眉分析

本文主要针对一个跨平台DDoS攻击组织“肉鸡美眉”进行了分析,该组织所开发的DDoS工具利用SSH弱密码和服务器漏洞控制了众多Linux肉鸡,经验证,该组织的恶意代码可追溯到2009年。本文主要分析了该工具的控制端、生成器以及Windows和Linux被控端变种,并对这些样本进行了同源分析和网络感染疫情的展示。...

更多内容

BlackEnergy简报

BlackEnergy是一种颇为流行的犯罪软件,用于实施自动化犯罪活动,贩卖于俄罗斯的地下网络。其最早出现的时间可追溯到2007年。该软件最初被设计用于创建僵尸网络,实施DDoS攻击。逐渐演变为支持多种插件的工具,其插件可根据不同攻击意图,组合使用。 

更多内容

“破界”木马(WIRELURKER)综合分析报告

北京时间11月6日起,引发业内关注的一个被称为“WireLurker”新样本通过Windows和Mac OS X系统实现对iOS系统的侵害。这个样本的形态和特点,无疑值得关注和深入分析,鉴于此样本影响的平台非常广泛,安天组成了由安天CERT(安天安全研究与应急处理中心)和AVL TEAM(安天旗下独立移动安全研究团队)的联合分析小组...

更多内容

沙虫(CVE-2014-4114)相关威胁综合分析报告——及对追影安全平台检测问题的复盘

首次发布时间:2014年10月15日21时40分 本版本更新时间:2014年10月15日23时30分.CVE-2014-4114 是OLE包管理INF 任意代码执行漏洞,该漏洞影响Win Vista,Win7等以上操作系统,攻击者使用PowerPoint作为攻击载体,该漏洞是在Microsoft Windows和服务器上的OLE包管理器。在OLE打包文件(packer.dll)中能够下载并执行类似的INF外部文件,允许攻击者执行命令...

更多内容

"破壳"漏洞的关联威胁进化与类UNIX系统的恶意代码现状 ——“破壳”相关分析之三

“破壳”漏洞的广泛影响,在于GNU Bash的广泛分布。GNU Bash在完全兼容Bourne Shell的基础上功能又有所增强,包含了C ShellKorn Shell中很多优点,在编辑接口上更灵活,在用户界面上更友好。因其为开源程序且有诸多Shell的长处,所以Bash成为Linux的默认Shell,同时也被应用于大多数的类UNIX操作系统中。而类UNIX系统的自同一个原点展开,一脉相承的特点,导致了同一个漏洞影响到多个操作系统的问题出现。Ken Thompson等大师在上世纪60年代末开启了UNIX系统创世之旅,而这一种子今天已经成长为一个庞大的操作系统家族,这个家族被称为类UNIX操作系统…

更多内容

“破壳”漏洞相关恶意代码样本分析报告 ——“破壳”相关分析之二

最后一次更新时间: 9月30日01时 安天CERT于 9月25日凌晨开始响应“破壳”漏洞,针对改漏洞的背景、原理等进行了快速的分析,摸索完善了验证方法和网络检测方法。在25号发布了《破壳”漏洞(CVE-2014-6271)综合分析》(对应网址:http://www.antiy.com/response/CVE-2014-6271.html ),并更新了多个版本。在这个过程中安天 监测采集和样本交换体系发现了大量利用该漏洞的扫描攻击、后门投放等行为,以及发现了多个于此漏洞相关的恶意代码……

更多内容

”破壳“漏洞(CVE-2014-6271)综合分析

安天安全研究与应急处理中心(Antiy CERT) 2014年9月24日bash被公布存在远程代码执行漏洞,漏洞会影响目前主流的操作系统平台,包括但不限于redhat、CentOS、ubuntu等平台,此漏洞目前虽然有部分系统给出了补丁,但因为漏洞修补的时效性,及漏洞的……

更多内容

Heartbleed漏洞(CVE-2014-0160)FAQ

一、关于HEARTBLEED本身和相关的背景知识 二、关于HEARTBLEED的起源 三、关于HEARTBLEED的威胁和影响范围……

更多内容

CVE-2014-0160(TLS心跳读远程信息泄露)漏洞简述与网络侧检测建议

2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160)。OpenSSL……

更多内容

Android下恶意代码隐藏的一种方式

一、背景 在Android操作系统中,APK文件是一个包含多种普通文件和可执行文件的ZIP格式文件。在一个正常的……

更多内容

反虚拟机沙箱恶意代码分析

随着高级可持续攻击威胁对抗技术的不断发展,针对恶意代码进行分析,检测未知恶意代码,经常利用虚拟机技……

更多内容

利用CVE-2012-0158老漏洞最新APT攻击 V1.0

格式溢出漏洞经常被APT攻击所利用。在这类漏洞中,CVE-2012-0158是过去一年中最常被用到的一个。利用该漏……

更多内容

DLL劫持恶意代码对主动防御技术的挑战

2010年出现的利用DLL劫持漏洞的恶意代码,现在开始进一步利用签名过的正常软件来对抗主动防御,这种方法……

更多内容

关于浮点指令(8087)的编码规则

近日,在对一些样本进行OPCODE提取时,发现有一些样本调用了浮点指令,而现有的反汇编器并没有支持,所以……

更多内容

新IE零日漏洞样本分析

2012年9月17日,安全研究人员Eric Romang在他的博客发表了文章Zero-Day Season Is Really Not Over Yet [……

更多内容

Flame蠕虫样本集分析报告

Flame的文件数量和总体大小都是令人震撼的,与之前我们看到的APT场景下的恶意代码一样,类似样本采用模块化,框架化开发,结构复杂,文件较多,但Flame几乎达到了难以想象的程度。其模块分工亦导致了其隐蔽性较好,躲避杀软的能力较高。并且内部封装了各种加密模块来隐藏重要信息。这些体积庞大结构复杂的恶意代码在APT攻击中扮演着精密的任务,其对环境特征的监察非常准确,如果发现环境信息不符合其感染的目的则直接退出,并完全清除痕迹,这种样本不会大规模爆发,依托大量配置信息和远程调度完成工作,在被发现时一般目的已经达成。

更多内容

对Stuxnet蠕虫攻击工业控制系统事件的 综合分析报告

Stuxnet蠕虫(俗称“震网”、“双子”)在7月开始爆发。它利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;为衍生的驱动程序使用有效的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞,对其展开攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计,目前全球已有约45000个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。 安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种,在第一时间展开分析,发布了分析报告及防范措施,并对其持续跟踪。截止至本报告发布,安天已经累计捕获13个变种、 600多个不同哈希值的样本实体。

更多内容