安天应对微软SMB漏洞(CVE-2017-11780)响应手册

近日,国家信息安全漏洞共享平台(CNVD)收录了Microsoft Windows SMB Server远程代码执行漏洞(CNVD-2017-29681,对应CVE-2017-11780)。远程攻击者成功利用漏洞可允许在目标系统上执行任意代码,如果利用失败将导致拒绝服务。CNVD对该漏洞的综合评级为“高危”。综合业内各方研判情况,该漏洞影响版本范围跨度大,一旦漏洞细节披露,将造成极为广泛的攻击威胁,或可诱发APT攻击,安天提醒用户警惕出现“WannaCry”蠕虫翻版,建议根据本手册中“受影响系统版本”和“微软官方补丁编号”及时做好漏洞排查和处置工作。

更多内容

安天基于蓝牙协议漏洞的BlueBorne攻击综合分析报告

使用蓝牙通信协议的设备数量随着物联网时代的开启日益增多。近期,物联安全公司Armis Labs纰漏了一个攻击向量BlueBorne,称攻击者可利用一系列与蓝牙相关的安全漏洞,在一定场景下可实现对具有蓝牙功能的远端设备的控制,进而窃取受害者数据、进行中间人攻击以及在感染一个设备后蠕虫式感染其它设备,且此攻击方式无需向用户申请认证授权,具有较大的危害性。为此,安天微电子与嵌入式安全实验室和安天移动安全公司两部门组成联合分析小组,认真剖析了整个攻击流程并做出威胁总结。

更多内容

安天针对“魔鼬”木马DDOS事件分析

2017年7月30日,安天安全研究与应急处理中心(Antiy CERT)的工程师发现一种具备拒绝服务(DoS)攻击能力的新型木马。经初步分析,安天CERT工程师认为该木马属于一个新家族,并将其命名为“魔鼬”。通过关联查询安天对于DDoS攻击的历史监测数据,发现本次事件中受攻击的域名同时也在遭受Trojan/Linux.BillGates、Trojan/Linux.Mayday等家族的DDoS攻击。

更多内容

安天针对攻击乌克兰等国的“必加”(PETYA)病毒分析与应对

安天安全研究与应急处理中心(Antiy CERT)于北京时间201762721时许关注到乌克兰银行等相关机构包括、政府首脑计算机遭到计算机病毒攻击的相关信息。综合各方威胁情报后,初步判断受影响最严重的国家是乌克兰(副总理Pavlo Rozenko、国家储蓄银行(Oschadbank)、Privatbank等银行、国家邮政(UkrPoshta)、国家电信、市政地铁、乌克兰首都基辅的鲍里斯波尔机场、电力公司KyivEnergo),其他部分国家均受到不同程度的影响,包括俄罗斯(俄罗斯石油公司(Rosneft))、西班牙、法国、英国、丹麦、印度、美国(律师事务所DLA Piper)等国家。

更多内容

安天蠕虫式勒索软件WannaCry免疫工具FAQ 4

在安天发布蠕虫勒索软件免疫工具(WannaCry)后,有大量用户就专杀工具提出问题,我们选择了其中的高频问题,形成了本FAQ。我们会继续跟进网友的问题。

更多内容

安天针对大规模DDoS事件 “暗云3” 样本分析

安天安全研究与应急处理中心(Antiy CERT)在北京时间5月26日19点,监测到中国发生了一次大规模的DDoS攻击事件。参与攻击的源地址覆盖广泛,几乎在全国所有省市运营商的骨干网络上均有明显活动。研究人员将此次攻击命名为“RainbowDay”——“暗云Ⅲ”。经过多次取证分析发现,其恶意代码感染量较大,并且其恶意代码的功能非常复杂,利用带有正常数字签名的文件进行传播,同时具有下载文件执行、刷流量、DDoS攻击等行为。

更多内容

安天关于系统化应对NSA网络军火装备的操作手册

在面对各种严峻的安全风险时,除了通过有效的安全设计和使用安全产品形成防御能力之外,我们必须要做好合理的补丁策略、端口和应用的管理策略、边界的安全条件等基础安全工作。针对部分网络节点规模及数量较大的内网用户或部分对业务系统的稳定性及安全性要求较高的用户,有可能不能实施全面的系统的补丁策略,同时实时获取补丁的方法一定程度上受到网络隔离的相应影响或限制,因此,可能需要采用对严重漏洞进行单点补丁的策略。微软补丁包机制是不安装基础补丁包则无法安装后续的部分补丁。因此安天建议普通的桌面系统和不重要的服务系统在内部无法安装在线补丁的情况下,先安装基础补丁包,然后再安装无法安装的补丁包。因为基础补丁包体积较大,一旦出现大型的安全事故,由于大量用户进行下载,可能造成下载不成功的情况,因此希望网络管理员提前储备基础补丁包及重要补丁包。

更多内容

安天对勒索者蠕虫“魔窟”WannaCry支付解密流程分析

WannaCry勒索者蠕虫爆发以来,网上存在着很多的“误解”和“谣传”,也包括一些不够深入的错误分析。其中有的分析认为“WannaCry的支付链接是为硬编码的固定比特币地址,受害者无法提交标识信息给攻击者,其勒索功能并不能构成勒索的业务闭环。”安天安全研究与应急处理中心(Antiy CERT)经分析认为经分析猜测上述错误的分析结论可能是因为分析环境TOR(暗网)地址不能正常访问引起的。如可以访问TOR网络则会为每一个受害者分配一个比特币地址进行支付。

更多内容

关于“魔窟”(WannaCry)勒索蠕虫变种情况的进一步分析

同时我们需要注意,抹掉开关域名的样本,原则上不受当前开关灭活机制的控制,应该有更大的传播面积(但事实上,业内并未监控到其大面积传播)。修改者选择了一个实际不能完成加密勒索的版本来修改,这是巧合还是偶然,是值得思考的。修订者究竟是希望造成更大面积的传播,还是因其他原因修改样本,甚至只是为了证明这个样本的存在,目前还很难判断动机。同时,我们也需要思考和警惕的是:正如我们在安天2016基础威胁年报中所指出的那样,“威胁情报也是情报威胁”。类似Virustotal多引擎扫描等威胁情报来源,构成了能够精准分发“样本”到全球所有主要安全厂商的通道,他们即是重要的威胁来源,但也是一个信息干扰与反干扰的斗争舞台。 

更多内容

勒索蠕虫“魔窟(WannaCry)”FAQ(3)

在安天发布《安天应对勒索者蠕虫病毒WannaCry FAQ》后,陆续有用户提出问题,我们形成了第三版本FAQ。并对其中一些传言进行了解释。

更多内容

安天防勒索解决方案

安天防勒索解决方案
下载地址: http://www.antiy.com/response/wannacry/Antiy_Wannacry_Solution.pdf

安天发布蠕虫病毒WannaCry免疫工具和专杀工具

蠕虫勒索软件专杀工具(WannaCry)--Wannacry勒索者软件清除工具可以对已经感染的主机进行勒索软件的清除,但无法恢复已经被加密的文件。
下载地址: http://www.antiy.com/response/wannacry/ATScanner.zip

蠕虫勒索软件免疫工具(WannaCry)-- 本工具提供禁用系统服务、修改hosts文件、设置ipsec本地组策略等功能,能阻断通过SMB漏洞MS17-010向本机传播WannaCry勒索软件,但不能阻断WannaCry在本机上的运行。
下载地址: http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip

更多内容

应对勒索软件“WannaCry”,安天发布开机指南

在周末两天,各大安全厂商和新闻媒体频繁报道“WannaCry” 勒索软件事件,听起来很恐怖。如果您的机器周末处于关机状态,那很庆幸逃避了此次“灾难”,但到了周一,请别轻易打开机器和联网,我们将为您提供正确的“开机指南”,避免被感染。

更多内容

安天应对勒索者蠕虫病毒WannaCry FAQ(2)-传言验证者

在安天发布《安天应对勒索者蠕虫病毒WannaCry FAQ》后,陆续有用户提出问题,我们形成了第二版本FAQ。并对其中一些传言进行了解释。

更多内容

关机等待离线恢复数据-——安天对已感染勒索蠕虫 “魔窟”(WannaCry)用户的重要建议

安天已经针对勒索蠕虫 “魔窟”(WannaCry)陆续发布了全面分析报告、开机指南、和两份FAQ,以及相关的专杀与免疫工具,对已经感染了病毒的用户,安天有如下重要建议。
如果该病毒已经发作,且有重要文件被加密,请用户不要惊慌,马上关机保存好硬盘,找到专业机构或者使用专业工具对硬盘进行数据恢复。尽管被魔窟蠕虫加密过的多数文件,目前依然是没有解密方法的,但有可能用数据恢复的方式找到被魔窟蠕虫删除过的加密前原始文件。注意,此时不要让系统继续运行,更不要在已经染毒的当前系统中运行各种数据恢复工具,因为系统运行时进行的各种写操作,都可能进一步降低文件恢复的成功率。

更多内容

安天应对勒索者蠕虫病毒WannaCry FAQ

在安天今天清晨发布报告《安天紧急应对新型“蠕虫”式勒索软件“wannacry”全球爆发》后,有大量用户就本次事件提出问题,我们选择了其中的高频问题,形成了本FAQ。我们会继续跟进网友的问题。

更多内容

安天应对勒索软件“WannaCry”防护手册

鉴于病毒还在全面传播,如暂时无法进行系统处置,内网用户应尽量先断网关机,等候使用离线工具处理。根据实际情况配置指南的版本会动态持续更新。

更多内容

【全面更新】安天针对勒索蠕虫“魔窟”(WannaCry)的深度分析报告

安天安全研究与应急处理中心(Antiy CERT)发现,北京时间2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,我国大量行业企业内网遭受大规模感染。截止到5月13日23时,病毒影响范围进一步扩大,包括企业、医疗、电力、能源、银行、交通等多个行业均受到不同程度的影响。 经过安天CERT紧急分析,判定该勒索软件是一个名称为“魔窟”(WannaCry)的新家族。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口的SMB漏洞MS17-010,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织“影子经纪人”(Shadow Brokers)公布的“方程式”组织(Equation Group)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了此次全球性的大规模攻击事件。

更多内容

2016年网络安全威胁回顾与展望

自2014年起,安天提出了“观点型年报”的自我要求,我们需要有自己的视角、立场和分析预测,我们放弃了传统的以后台恶意代码的数据输出来构筑模板式“统计型”年报,我们深知那些精确到行为和静态标签的“蔚为壮观”的统计数据,虽然看上去很美,但其并不具备足够的参考价值;而那种用传输扫描次数来表征威胁严重程度的度量衡,尽管对部分类型的风险依旧有效,但那确实是“蠕虫”和DDoS时代的产物,其掩盖了那些更为严重的、更为隐蔽的威胁。但仅仅有观点型年报这样的意识就足够么?回看此前几年安天自己的年报,在充满着“全面转向”、“日趋严重”、“不断浮现”、“接踵而至”这些成语的描述中,真的揭示了威胁的现状和趋势么?

更多内容

CRYPTKEEPER发现通用密码事件分析报告

2017年1月31日,Softpedia网站发布了一篇名为《Cryptkeeper Linux Encryption App Fails at Job, Has One Letter Skeleton Key - "P"》的文章,其中提及,CryptKeeper应用在Debian 9中存在一个BUG,会使得用户为加密文件夹设定的密码被替换为单个字符“p”,从而使字符“p”作为解密由其加密的文件夹的通用密码。

更多内容

方程式组织EQUATION DRUG平台解析—方程式组织系列分析报告之四

对于“方程式组织”,在过去的两年中,安天已经连续发布了三篇分析报告:在《修改硬盘固件的木马——探索方程式(EQUATION)组织的攻击组件》 中,安天对多个模块进行了分析,并对其写入硬盘固件的机理进行了分析验证。;在《方程式(EQUATION)部分组件中的加密技巧分析》报告中,对攻击组件中使用的加密方式实现了破解;在《从“方程式”到“方程组”——EQUATION攻击组织高级恶意代码的全平台能力解析》报告中,安天独家提供了方程式Linux和Solaris系统的样本分析,这也是业内首次正式证实这些“恶灵”真实存在的公开分析。

更多内容

从方程式到“方程组”EQUATION攻击组织高级恶意代码的全平台能力解析

安天从2015年2月起,陆续公布了两篇针对方程式攻击组织的分析报告,分析了其针对Windows平台的恶意代码组件构成、对硬盘的持久化能力和对加密算法的使用。本报告则将首次公布安天对方程式攻击组织针对Solaris平台和Linux平台的部分样本分析,我们也可以自豪的说,这是业内首次正式证实这些幽灵真实存在的公开分析。

更多内容

IOT僵尸网络严重威胁网络基础设施安全

安天安全研究与应急处理中心在北京时间1022日下午启动高等级分析流程,针对美国东海岸DNS服务商Dyn遭遇DDoS攻击事件进行了跟进分析。安天团队分析认为,此事件有一定的政治因素背景,涉及到IoTInternet of Things,物联网)设备安全等多种因素,在表象的DDoS攻击和DNS安全之外,依然有很多值得关注和研究的问题。

更多内容

Trojan[DDOS]/Linux. Znaich分析笔记

安天CERT这篇分析笔记完成于2015年1月18日,但撰写后并未公开,为让安全工作者更进一步了解IoT僵尸网络的威胁,安天CERT决定公开本报告,作为《IOT僵尸网络严重威胁网络基础设施安全》一文的参考资料。

更多内容

白象的舞步——来自南亚次大陆的网络攻击

在过去的四年中,安天的工程师们关注到了中国的机构和用户反复遭遇来自“西南方向”的网络入侵尝试。这些攻击虽进行了一些掩盖和伪装,我们依然可以将其推理回原点——来自南亚次大陆的某个国家。尽管我们积极地提醒和协助我们的客户进行改进防护,并谨慎而有限地披露信息、给予警告,但这种攻击并未偃旗息鼓,恰恰相反,其却以更高的能力卷土重来。安天本报告披露其中两组高频度攻击事件,尽管我们尚未最终确定这两个攻击波的内在关联,但可以确定的是其具有相似的目的和同样的国家背景,我们将其两组攻击统称为——“白象行动”

更多内容

勒索软件家族TeslaCrypt最新变种技术特点分析

Antiy CERT近期发现勒索软件TeslaCrypt的最新变种TeslaCrypt 4.0,它具有多种特性,例如:对抗安全工具、具有PDB路径、利用CMD自启动、使用非常规的函数调用、同一域名可以下载多个勒索软件等。尤其值得一提的是,通常勒索软件在感染受害主机后均会修改被加密文件的扩展名,如 TeslaCrypt早期版本(.vvv、.mp3、.ccc、.abc、.ttt等),其他勒索软件Locky、CTB-Locker(.Locky,.oinpgca)。而TeslaCrypt的最新变种具有在加密文件后不修改原文件扩展名的特点。

更多内容

多起利用POWERSHELL传播恶意代码的事件分析

PowerShell具有许多实用与强大的功能,在方便用户使用的同时,也为不法份子打开了便捷之门。攻击者可以利用PowerShell命令下载恶意代码到用户系统中运行,这种方法可以躲避部分反病毒产品的检测;同时,还可以通过命令行调用PowerShell将一段加密数据加载到内存中执行,实现这种无实体文件的攻击方法。本文将对近期发现的PowerShell攻击事件进行分析。

更多内容

乌克兰电力系统遭受攻击事件综合分析报告

这是一起以电力基础设施为目标;以BlackEnergy等相关恶意代码为主要攻击工具,通过BOTNET体系进行前期的资料采集和环境预置;以邮件发送恶意代码载荷为最终攻击的直接突破入口,通过远程控制SCADA节点下达指令为断电手段;以摧毁破坏SCADA系统实现迟滞恢复和状态致盲;以DDoS服务电话作为干扰,最后达成长时间停电并制造整个社会混乱的具有信息战水准的网络攻击事件。 

更多内容

首例具有中文提示的比特币勒索软件"LOCKY"

安天安全研究与应急处理中心(安天CERT)发现一款新的勒索软件家族,名为“Locky”,它通过RSA-2048和AES-128算法对100多种文件类型进行加密,同时在每个存在加密文件的目录下释放一个名为_Locky_recover_instructions.txt的勒索提示文件。经过安天CERT研究人员分析发现,这是一类利用垃圾邮件进行传播的勒索软件,是首例具有中文提示的比特币勒索软件。 

更多内容

2015年网络安全威胁的回顾与展望

面对威胁高速演进变化、防御技术同样快速改善的现状,无论我们做怎样的努力,都已无法用一篇年报来涵盖网络安全威胁的全景,这亦使参与本文档编写的安天分析工程师们无比纠结。对于安天安全研究与应急处理中心(安天CERT)来说,在数年前,年报工作是相对简单的,我们只需从恶意代码存储和分析的后台系统导出足够多的统计图表,就可以构成一篇年度报告。在网络安全领域,恶意代码自动化分析是一个成型较早的基础设施,恶意代码样本集更是一个非常容易进行统计的大集合,这一度让我们偏离了网络安全的本质,弱化了我们对保障用户价值的信念。  从去年开始,安天颠覆了自身传统的数据表年报的风格,面对当前威胁的纵深化、复杂化特点,大量简单的统计已经失去意义,我们非常明确地提出了做“观点型年报”的自我要求。尽管我们拥有更多的样本、更多的数据,但我们依然不敢说已经能够驾驭安全大数据,目前我们能做到的只有学习和思考,我们要学习更丰富的数据分析方式,我们要做能独立思考、有观点、有立场的安全团队,而非做大数据和计算资源的奴隶。 

更多内容

盗用数字签名DDOS样本分析

安天追影小组通过安天态势感知系统发现了一款带有过期签名的DDoS恶意程序,该DDoS样本包含多种DDoS攻击方式,并主要针对国内的在线销售减肥药、在线赌博、电子交易平台进行攻击。攻击者对灰色或非法网站进行DDoS攻击的目的可能是敲诈或者同业竞争。……

更多内容

一例以"采访"为社工手段的定向木马攻击分析

2015年12月2日22时25分,安天监控预警体系感知到如下信息线索:某知名作家在新浪微博发布消息,曝光有人以发送"采访提纲"为借口,利用微博私信功能,发送恶意代码链接。 安天安全研究与应急处理中心(安天CERT)根据微博截图指向的链接,下载该样本并连夜展开分析。随着分析的不断深入,我们看到了这样的一幕……

更多内容

邮件发送js脚本传播敲诈者木马的分析报告

安天威胁态势感知系统2015年12月2日捕获到有新的传播特点的敲诈者变种邮件,其不再采用直接发送二进制文件载荷的传播模式,而是以一个存放在压缩包中的JS脚本为先导。安天追影分析小组对相关事件和样本进行了分析。该样本系TeslaCrypt的另一个变种TeslaCrypt 2.x,邮件附近是一个zip压缩文件,解压zip文件得到一个js文件,运行js文件,会下载TeslaCrypt2.x运行,遍历计算机文件,对包括文档、图片、影音等186种后缀格式文件进行加密,加密完成后打开敲诈者的主页,在指定期限内需要支付500美元才能得到解密密钥,过期需要支付1000美元。因为TeslaCrypt2.x变种改变了密钥的计算方式,采用了ECDH算法,黑客与受害者双方可以在不共享任何秘密的情况下协商出一个密钥,采用此前思科等厂商发布的TeslaCrypt解密工具[1]已经无法进行解密。

更多内容

疯狂的窃密者——TEPFER

该家族最早出现于2011年,以窃取FTP、邮箱、网站、比特币等账号和密码为目的,至今已有数十万变种。Tepfer主要通过注册表项或子键获取FTP的账号并获取安装目录下的.dat加密文件,通过破解算法获取密码;通过自带密码表尝试破解系统开机密码并辅助用来破解chrome浏览器缓存的网站登陆账号、密码信息;通过.dat文件窃取比特币信息。 Tepfer家族可以盗取60种以上的FTP客户端软件所保存的密码;10种以上的浏览器保存的密码;31种比特币信息;还能获取多个邮件客户端所保存的密码,可推测恶意代码作者熟练掌握各种密码的存储方案和破解方法。该家族是一个无需交互、自动窃密并上传的木马家族,主要利用垃圾邮件进行传播,并将窃取的这些信息加密后上传到指定的网站。

更多内容

Xcode非官方版本恶意代码污染事件(XcodeGhost)的分析与综述

2015年9月14日起,一例Xcode非官方版本恶意代码污染事件逐步被关注,并成为社会热点事件。多数分析者将这一事件称之为“XcodeGhost”。攻击者通过对Xcode进行篡改,加入恶意模块,并进行各种传播活动,使大量开发者使用被污染过的版本,建立开发环境。经过被污染过的Xcode版本编译出的APP程序,将被植入恶意逻辑,其中包括向攻击者注册的域名回传若干信息,并可能导致弹窗攻击和被远程控制的风险。

更多内容

黑客用HFS搭建服务器来传播恶意代码

安天蜜罐捕风系统捕获到一个下载者样本。该样本运行后访问一个由黑客搭建的轻型文件服务器(Http File Server)。通过使用捕风系统进行追溯与关联分析,分析人员发现目前有很多使用HFS搭建的服务器。通过对其中一个下载服务器进行监控,其在线6天的总点击量近3W次,可见其传播范围极广。该软件的"傻瓜式"教程颇受低水平的攻击者喜爱,同时由于其架设方便,便于传播等特点,已被黑客多次恶意利用。经过安天CERT分析人员进行关联与分析发现,目前这种轻型服务器工具已普遍流行。

更多内容

利用路由器传播的DYREZA家族变种分析

Dyreza家族以窃取用户银行账号和比特币为目的,以利用入侵的路由器进行传播为特点,应引起用户和企业的关注。在此之前,2014年4月份的CVE-2014-0160(心脏出血)漏洞即可入侵大量的路由器设备。安天CERT判定,Dyreza家族与Rovnix家族有着必然的联系,它们使用相同的Upatre下载者进行传播,并使用相似的下载地址。在本报告发布前,安天又捕获到一个更新的Dyreza变种,在传播方式上,它使用与Rovnix攻击平台相似的下载地址,都使用WordPress搭建的网站,或入侵由WordPress搭建的第三方正常网站。

更多内容

VBA病毒"制造机"正在流行

宏病毒是一个古老而又风靡一时的病毒,它不像普通病毒可以感染EXE文件,宏病毒可以感染office文档文件,有跨平台能力,并且感染宏病毒的文档会很危险,其破坏程度完全取决于病毒作者的想象力。宏病毒在上个世纪90年代的时候比较流行,在后来相当长一段时间内销声匿迹,慢慢淡出了"安全圈"。近两年,宏病毒再次出现,配合钓鱼邮件、社工手段等方式又有卷土重来的气势。

更多内容

采用多种沙箱识别技术的Kasidet家族分析

安天CERT的研究人员针对Kasidet家族对调试器、模拟器、虚拟机、沙箱和在线自动化恶意代码分析平台的检测进行了详细分析。从Kasidet家族反制在线自动化恶意代码分析平台的方法上看,该家族的作者有可能通过对常见的在线自动化恶意代码分析平台进行过针对性的研究,利用收集各种系统信息的恶意代码提炼出反制在线自动化恶意代码分析平台的方法,并应用到Kasidet家族中。

更多内容

揭开勒索软件的真面目

勒索软件(ransomware)是一种流行的木马,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。一般来说,勒索软件作者还会设定一个支付时限,有时赎金数目也会随着时间的推移而上涨。有时,即使用户支付了赎金,最终也还是无法正常使用系统,无法还原被加密的文件。

更多内容

ROVNIX攻击平台分析-利用WordPress平台传播的多插件攻击平台

近期,安天安全研究与应急处理中心(安天CERT)的安全研究人员在跟踪分析HaveX家族样本的过程中,意外地发现了Rovnix家族(Trojan/Win32.Rovnix)在建立其恶意代码下载服务器时,也开始使用类似HaveX的方式,即:使用WordPress搭建的网站,或入侵第三方由WordPress搭建的正常网站(HaveX的C&C服务器地址都是通过入侵由WrdPress搭建的网站得到的)。因此,安天CERT 的研究人员对Rovnix家族展开分析。

更多内容

部分利用社工技巧的群发邮件样本关联分析

近年来,安天诱饵信箱系统持续捕获大量利用社工技巧进行批量传播的带毒邮件。安天分析人员从诱饵信箱中随机抽取了两封附件攻击手段一致的邮件作为分析起点。其中第一封邮件的捕获时间为2015年4月11号,这是一封伪装成摩根大通集团的钓鱼邮件,邮件包括一个ZIP压缩包,压缩包解压后是一个PDF图标的PE文件,运行PE文件后会从后端下载其它文件,另一封邮件的捕获时间为2015年4月13号,这两封邮件的附件行为一致。安天CERT分析人员首先对第一封邮件样本进行了分析,随后对两封邮件的传播手段、附件文件的技巧方法进行了关联,最后通过提取类似特点挖掘出更多的类似攻击邮件进行了整体的关联分析与总结。

更多内容

一例针对中方机构的准APT攻击中所使用的样本分析

安天近期发现一例针对中方机构的准APT攻击事件,在攻击场景中,攻击者依托自动化攻击测试平台Cobalt Strike生成的、使用信标(Beacon)模式进行通信的Shellcode,实现了对目标主机进行远程控制的能力。这种攻击模式在目标主机中体现为:无恶意代码实体文件、每60秒发送一次网络心跳数据包、使用Cookie字段发送数据信息等行为,这些行为在一定程度上可以躲避主机安全防护检测软件的查杀与防火墙的拦截。鉴于这个攻击与Cobalt Strike平台的关系,我们暂时将这一攻击事件命名为APT-TOCS(TOCS,取Threat on Cobalt Strike之意。)

更多内容

短信拦截马"相册"综合分析报告

该病毒为最近两年在国内肆虐的短信拦截马的一个新变种。短信拦截马的主要传播过程是,攻击者把木马上传到某个站点,攻击者构造带有木马下载地址的相关短信进行初始传播。如果有用户点击URL后,导致下载木马并安装,木马执行后,将对用户通讯录中的人员继续发送带有样本下载URL的短信,导致接力式传播。

更多内容

"攻击WPS样本"实为敲诈者

4月30日,安天接到用户提供的恶意邮件附件,据该用户称已将该附件提交至第三方开放沙箱,并怀疑其专门攻击wps办公系统及窃取信息。由于该样本可能与国产办公软件环境相关,引发了部分用户的关注,希望安天能尽快给予帮助确认,经过安天CERT分析确认,该样本确实是恶意代码,但并对WPS办公环境并无针对性。经安天CERT分析确认该样本为CTB-Locker(敲诈者)。

更多内容

方程式(EQUATION)部分组件中的加密技巧分析

安天分析团队从2月启动“方程式(EQUATION)”分析工作,在形成了第一篇分析报告后,后续整体分析没有取得更多的进展和亮点。基于这种情况,我们首先尝试对部分组件中的加密技巧进行了分析树立,以利后续工作,我们将相关工作进行分享,希望得到业内同仁的批评指点。.

更多内容

IIS再出远程执行漏洞:警惕新红色代码

微软在2014年4月的补丁日进行了多个漏洞修补,涉及到Windows、OFFICE、IE、IIS等多个环节,本次补丁数量显著高于平均水平。安天安全研究与应急处理中心通过补丁相关信息研判,认为其中有多个OFFICE和IE漏洞可能与近期各种攻击相关,而其中编号为MS15-034的IIS远程执行漏洞极为值得高度关注。 ...

更多内容

修改硬盘固件的木马 探索方程式(EQUATION)组织的攻击组件

2015年2月18日,安天实验室根据紧急研判,对被友商称为“方程式(Equation)”的攻击组织所使用的攻击组件,开始了初步的分析验证。后于2月25日正式组建了跨部门联合分析小组,于3月4日形成本报告第一版本。事件相关背景为:卡巴斯基安全实验室在2月16日起发布系列报告(以下简称“友商报告”),披露了一个可能是目前...

更多内容

DDoS攻击组织肉鸡美眉分析

本文主要针对一个跨平台DDoS攻击组织“肉鸡美眉”进行了分析,该组织所开发的DDoS工具利用SSH弱密码和服务器漏洞控制了众多Linux肉鸡,经验证,该组织的恶意代码可追溯到2009年。本文主要分析了该工具的控制端、生成器以及Windows和Linux被控端变种,并对这些样本进行了同源分析和网络感染疫情的展示。...

更多内容

BlackEnergy简报

BlackEnergy是一种颇为流行的犯罪软件,用于实施自动化犯罪活动,贩卖于俄罗斯的地下网络。其最早出现的时间可追溯到2007年。该软件最初被设计用于创建僵尸网络,实施DDoS攻击。逐渐演变为支持多种插件的工具,其插件可根据不同攻击意图,组合使用。 

更多内容

“破界”木马(WIRELURKER)综合分析报告

北京时间11月6日起,引发业内关注的一个被称为“WireLurker”新样本通过Windows和Mac OS X系统实现对iOS系统的侵害。这个样本的形态和特点,无疑值得关注和深入分析,鉴于此样本影响的平台非常广泛,安天组成了由安天CERT(安天安全研究与应急处理中心)和AVL TEAM(安天旗下独立移动安全研究团队)的联合分析小组...

更多内容

沙虫(CVE-2014-4114)相关威胁综合分析报告——及对追影安全平台检测问题的复盘

首次发布时间:2014年10月15日21时40分 本版本更新时间:2014年10月15日23时30分.CVE-2014-4114 是OLE包管理INF 任意代码执行漏洞,该漏洞影响Win Vista,Win7等以上操作系统,攻击者使用PowerPoint作为攻击载体,该漏洞是在Microsoft Windows和服务器上的OLE包管理器。在OLE打包文件(packer.dll)中能够下载并执行类似的INF外部文件,允许攻击者执行命令...

更多内容

"破壳"漏洞的关联威胁进化与类UNIX系统的恶意代码现状 ——“破壳”相关分析之三

“破壳”漏洞的广泛影响,在于GNU Bash的广泛分布。GNU Bash在完全兼容Bourne Shell的基础上功能又有所增强,包含了C ShellKorn Shell中很多优点,在编辑接口上更灵活,在用户界面上更友好。因其为开源程序且有诸多Shell的长处,所以Bash成为Linux的默认Shell,同时也被应用于大多数的类UNIX操作系统中。而类UNIX系统的自同一个原点展开,一脉相承的特点,导致了同一个漏洞影响到多个操作系统的问题出现。Ken Thompson等大师在上世纪60年代末开启了UNIX系统创世之旅,而这一种子今天已经成长为一个庞大的操作系统家族,这个家族被称为类UNIX操作系统…

更多内容

“破壳”漏洞相关恶意代码样本分析报告 ——“破壳”相关分析之二

最后一次更新时间: 9月30日01时 安天CERT于 9月25日凌晨开始响应“破壳”漏洞,针对改漏洞的背景、原理等进行了快速的分析,摸索完善了验证方法和网络检测方法。在25号发布了《破壳”漏洞(CVE-2014-6271)综合分析》(对应网址:http://www.antiy.com/response/CVE-2014-6271.html ),并更新了多个版本。在这个过程中安天 监测采集和样本交换体系发现了大量利用该漏洞的扫描攻击、后门投放等行为,以及发现了多个于此漏洞相关的恶意代码……

更多内容

”破壳“漏洞(CVE-2014-6271)综合分析

安天安全研究与应急处理中心(Antiy CERT) 2014年9月24日bash被公布存在远程代码执行漏洞,漏洞会影响目前主流的操作系统平台,包括但不限于redhat、CentOS、ubuntu等平台,此漏洞目前虽然有部分系统给出了补丁,但因为漏洞修补的时效性,及漏洞的……

更多内容

Heartbleed漏洞(CVE-2014-0160)FAQ

一、关于HEARTBLEED本身和相关的背景知识 二、关于HEARTBLEED的起源 三、关于HEARTBLEED的威胁和影响范围……

更多内容

CVE-2014-0160(TLS心跳读远程信息泄露)漏洞简述与网络侧检测建议

2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160)。OpenSSL……

更多内容

Android下恶意代码隐藏的一种方式

一、背景 在Android操作系统中,APK文件是一个包含多种普通文件和可执行文件的ZIP格式文件。在一个正常的……

更多内容

反虚拟机沙箱恶意代码分析

随着高级可持续攻击威胁对抗技术的不断发展,针对恶意代码进行分析,检测未知恶意代码,经常利用虚拟机技……

更多内容

利用CVE-2012-0158老漏洞最新APT攻击 V1.0

格式溢出漏洞经常被APT攻击所利用。在这类漏洞中,CVE-2012-0158是过去一年中最常被用到的一个。利用该漏……

更多内容

DLL劫持恶意代码对主动防御技术的挑战

2010年出现的利用DLL劫持漏洞的恶意代码,现在开始进一步利用签名过的正常软件来对抗主动防御,这种方法……

更多内容

关于浮点指令(8087)的编码规则

近日,在对一些样本进行OPCODE提取时,发现有一些样本调用了浮点指令,而现有的反汇编器并没有支持,所以……

更多内容

新IE零日漏洞样本分析

2012年9月17日,安全研究人员Eric Romang在他的博客发表了文章Zero-Day Season Is Really Not Over Yet [……

更多内容

Flame蠕虫样本集分析报告

Flame的文件数量和总体大小都是令人震撼的,与之前我们看到的APT场景下的恶意代码一样,类似样本采用模块化,框架化开发,结构复杂,文件较多,但Flame几乎达到了难以想象的程度。其模块分工亦导致了其隐蔽性较好,躲避杀软的能力较高。并且内部封装了各种加密模块来隐藏重要信息。这些体积庞大结构复杂的恶意代码在APT攻击中扮演着精密的任务,其对环境特征的监察非常准确,如果发现环境信息不符合其感染的目的则直接退出,并完全清除痕迹,这种样本不会大规模爆发,依托大量配置信息和远程调度完成工作,在被发现时一般目的已经达成。

更多内容

对Stuxnet蠕虫攻击工业控制系统事件的 综合分析报告

Stuxnet蠕虫(俗称“震网”、“双子”)在7月开始爆发。它利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;为衍生的驱动程序使用有效的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞,对其展开攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计,目前全球已有约45000个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。 安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种,在第一时间展开分析,发布了分析报告及防范措施,并对其持续跟踪。截止至本报告发布,安天已经累计捕获13个变种、 600多个不同哈希值的样本实体。

更多内容