分类: 恶意软件

新磁盘擦除恶意软件 StoneDrill 针对沙特阿拉伯和欧洲工业

卡巴斯基研究员发现一个新型复杂的恶意软件“ StoneDrill ”,它与此前发现的磁盘擦除恶意软件 Shamoon 2 和 Charming Kitten 有些相关性。StoneDrill 可用于网络间谍活或破坏活动,具有像 Shamoon 那样擦拭硬盘记录的功能。该恶意软件被攻击者用于打击沙特阿拉伯实体组织和欧洲组织,不过截止卡巴斯基发布报告,研究员还没有收到 StoneDrill 攻击造成损害的事件通报。 虽然恶意软件 StoneDrill 与 Shamoon 并不共享代码,但仍让专家发现了几种“风格”相似之处,并有多个有趣的因素和技术,可以更好地逃避检测。研究人员仍在调查感染过程,他们证实 StoneDrill 采用了更加复杂的技术来逃避安全应用程序的检查。相比于 Shamoon 在部署时使用驱动程序,StoneDrill 利用内存注入机制,将擦除模块注入受害者的浏览器。擦除物理和逻辑驱动器完成后可重启系统。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

新 PowerShell 恶意软件利用 DNS 请求接收 C&C 命令,通信流量更隐蔽

思科安全研究人员发现一种可利用 PowerShell 脚本从 DNS 记录中提取 C&C 服务器命令的恶意软件。该恶意软件借助垃圾邮件传播并借用 McAfee 的名声利用武器化的 Word 文档感染用户。攻击过程中使用的恶意代码基于 Windows PowerShell 脚本,后门木马通过 DNS 域名服务与 C&C 基础设施实现通信。这种通过 DNS 流量进行的通信联系的方式将更加隐蔽。 攻击者利用社会工程学来欺骗受害者打开恶意 Word 文档。该文档内容显示“此文档受 McAfee 保护”,由于 McAfee 是一个十分知名的安全公司,这大大增加了受害者对该文件的信任并按照“ McAfee ”提示启用内容。当受害者打开文档时,恶意宏将启动 PowerShell 命令进行安装后门。此后恶意代码将执行 PowerShell 命令通过 DNS TXT 消息向 C&C 服务器发送请求并接收响应。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

勒索软件 Dharma 密钥“泄露”,用户可免费解密恢复文件

勒索软件 Dharma 的受害者现在可以免费获得解密密钥。周四上午卡巴斯基实验室的 Rakhni 解密工具添加了勒索软件 Dharma 的解密密钥。 据称,一个名为“ gektar ”的用户在 BleepingComputer.com 论坛上发布了一个 Pastebin 链接,其中包含该勒索软件的解密密钥。研究员对密钥进行分析发现钥匙是有效的,并将其纳入现有的解密工具。勒索软件 Dharma 是勒索软件 Crysis 的变种,最初出现在去年 11 月,受害者 C 盘下的文件被加密并以“ .dharma ”结尾。在某些情况下,文件名也会被更改为电子邮件地址“ @ india.com ” 。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

银行木马 Dridex 使用“ AtomBombing ”恶意代码注入技术逃避杀软检测

安全研究人员发现了一个新的银行木马变种 Dridex 4 ,它使用一种新的、复杂的代码注入技术“ AtomBombing ”来逃避杀毒软件的查杀。目前,研究人员已检测到银行木马 Dridex 4 针对欧洲网上银行的活动,预计在未来几个月内,活动范围将扩展到美国金融机构。 IBM X-Force 博客中介绍到,Dridex 是第一个利用这种复杂代码注入技术“ AtomBombing ”来逃避检测的恶意软件。“ AtomBombing ”技术由 enSilo 的研究人员在 2016 年 10 月发现,由于原子表是系统的共享表,各类应用程序均能访问、修改这些表内的数据,攻击者可以将恶意代码注入 Windows 的原子表( atom table ),并通过检索调用恶意代码并在内存空间中执行,从而绕过杀毒软件的检查。 值得注意的是,Dridex 4 木马只使用“ AtomBombing ”技术将有效载荷写入原子表,然后利用其它方法来获得权限、执行代码。此外,木马通过调用 NtQueueAPCThread API 来利用 Windows 异步过程调用( APC )机制。总的来说,Dridex 4 出现的最大意义不在于利用了“ AtomBombing ”技术逃避检测,而是它将新型技术融入主流恶意软件的速度。可以预见,为了应对银行越来越完善的后端反欺诈算法,恶意软件将越来越多的采用更加先进的技术来提升木马能力。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌商店 132 款应用试图使用 Windows 恶意软件感染用户

安全公司 Palo Alto Networks 发现,谷歌应用商店中有 132 款 Android 应用程序正在尝试使用 Windows 恶意软件感染用户。 调查表明,这些恶意应用并不是开发人员故意上传的,开发方可能也是受害者之一。安全专家认为,应用程序开发者的开发平台很可能也感染了恶意软件,应用程序包含一个隐藏的 IFrames 标签,该标签将链接到本地 HTML 页面中的一个恶意网页,恶意软件将搜索 HTML 页面并在页面末尾插入恶意网页链接。恶意页面会尝试下载、安装恶意 Microsoft Windows 可执行文件。但由于大部分用户是通过 Android 设备浏览谷歌商店的,所以恶意文件并不会真正执行。目前这些问题应用已经下架。 所有应用程序都有一个共同点,它们都使用 Android WebView 来显示静态 HTML 页面,虽然看起来这些页面只加载本地存储的图片并显示硬编码文本,但是深入分析后发现页面中含有一个隐藏的 iframe 标签链接到恶意网址。目前该链接的网址页面已经关闭。此外,这些开发人员都来自印度尼西亚,他们很可能从同一网站下载了受感染的集成开发平台。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

Necurs 僵尸网络不断发展,新增 DDoS 攻击模块

近日,BitSight 的 Anubis 实验室发现,Necurs 僵尸网络有了新的发展——增加了一个可实现 DDoS 攻击的模块。Necurs 僵尸网络是世界上最大的恶意网络之一,主要用于发送垃圾邮件活动,而 Necurs 则是一种恶意软件,用于传播各种致命威胁如勒索软件“ Locky ”。 大约六个月前,Pereira 和他的团队发现,除了通常用于通信的 80 端口之外,恶意软件 Necurs 还使用不同的协议通过不同的端口与一组特定 IP 进行通信。经过逆向分析,研究员发现了一个简单的 SOCKS / HTTP 代理模块可用于肉鸡与 C&C 服务器通信,其中一个命令将导致机器人开始无限循环地向任意目标发出 HTTP 或 UDP 请求。 C&C 发送给肉鸡的三种命令类型,按头部中 msgtype 字节来区分: ○ 启动 Proxybackconnect( msgtype 1); ○ 睡眠( msgtype 2); ○ 启动 DDOS( msgtype 5),包括 HTTPFlood 和 UDPFlood 模式。 HTTP 攻击的工作原理是启动 16 个线程执行无限循环的 HTTP 请求。UDP Flood 攻击通过重复发送大小在 128 到 1024 字节之间的随机有效负载来实现。 目前,研究人员还未发现 Necurs 被用于 DDOS 攻击,只是注意到恶意软件加载了有 DDoS 攻击能力的模块。不过,基于 Necurs 僵尸网络现有的规模,产生的 DDoS 攻击流量将会相当大。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

ASERT 小组分析恶意软件 Shamoon 2 阐明 C&C 与感染过程

ASERT( Arbor 安全工程响应小组 )研究员对恶意软件 Shamoon 2 进行了分析发现 C&C 基础设施以及感染过程的更多细节。 2012 年,Shamoon 首次被发现对沙特阿拉伯的目标企业展开攻击,其中的受害者,包括石油巨头阿美石油公司(Saudi Aramco)。在针对阿美石油公司的攻击中,Shamoon 清除了超过 3 万台计算机上的数据,并用一张焚烧美国国旗的图片改写了硬盘的主引导记录( Master Boot Record,MBR ) Shamoon 2 则在 2016 年 11 月被首次发现,今年 1 月安全公司 Palo Alto Networks 发现它的新变种可针对虚拟化产品展开攻击。 研究员对 X-Force 的恶意软件样本进行分析发现,攻击者使用恶意宏文件传播恶意软件,并通过 PowerShell 命令连接 C&C 服务器。研究员在 IP 上执行了被动 DNS 查找发现,get.adobe.go-microstf[.]com 托管在 04.218.120[.]128 上,这个通信活动发生在 2016 年 11 月。go-microstf[.]com 托管在 45.63.10[.]99 上,该域名最初设置为伪装成 Google Analytics 登录页面。 研究员还发现 X-Force 的恶意软件样本创建了一个新文件“ sloo.exe ”,该文件存储在 C:\Documents and Settings\Admin\Local Settings\Temp\sloo.exe 中。该样本还与 104.238.184[.]252 连接并执行 PowerShell 命令。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Swift 语言勒索软件出现:面向 macOS 伪装成破解工具

据外媒 AppleInsider 报道,一种新的以 Swift 语言编写的恶意勒索软件开始浮现互联网,其攻击目标为 macOS 系统的盗版软件用户,其伪装成 Adobe CC 软件或者微软 Office for Mac 2016 等常用生产力套件的破解工具传播。一旦感染,其就会开始将用户的文件和数据加密并要求支付来解锁,更加恶意的是即使用户真的按要求支付,该勒索软件也不会为你解锁任何文件。 据安全研究人员 Marc-Etienne M.Léveillé 发现,该恶意软件始于 BitTorrent 站点传播,其伪装成 Patcher 破解工具,使用盗版软件的用户常用破解工具来绕开正版保护或者认证系统。常用创意或者生产力套件软件,目前发现有伪装成 Microsoft Office for Mac 2016和Adobe Premiere Pro CC 2017 的破解工具,不过报道有更多实例出现。当用户点击恶意软件中的开始按钮准备破解时,软件就会弹出“请先阅读”文本来吸引用户注意力,而在后台开始加密用户文件,随机生成 25 位密钥,并且删除原文件。“请先阅读”会向用户说明其文件已经被加密,需要在 7 日内支付 0.25 比特币来解锁,或者选择支付 0.45 比特币以一日内解锁 然而即使用户按要求支付了赎金,也不会帮你解密文件。而安全人员表示,这款由 Swift 语言编写的恶意勒索软件的编码技巧差,有很多错误。比如窗口被关闭了就无法打开,调用根目录磁盘实用工具抹掉磁盘空间的路径也是错的。而且经过专家发现,该源文件中根本就未包含支付后向目标发送密钥解锁的指令,而密码长度也难以通过暴力破解完成。 Léveillé建议用户尽量为其重要数据和安全软件进行离线备份,小心使用不明来源的文件,尤其是破解工具很有可能包含恶意代码,尽量使用正版授权。 稿源:cnbeta,有删改,封面来源于网络

新型恶意程序利用硬盘 LED 指示灯窃取信息

以色列本古里安大学网络安全研究中心的科研人员近日成功研发出了新型恶意程序,能够通过相对高速的硬盘 LED 指示灯窃取密码和加密密钥等数据。目前计算机受到的攻击都来自网络,而这种方式在离线状态下也能发起攻击。 科研人员研发的这款恶意程序能够以每秒 5800 次的速度不断闪烁,通过这款恶意软件能够对敏感数据进行编码,通过不断闪烁的 LED 指示灯传递给其他硬盘上。科研人员将这款恶意程序称之为 LED-it-GO (PDF)。 为了接收机械硬盘 LED 编码的数据,科研人员使用无人机和包含相机的其他设备进行传输,通过这项技术能够每秒传输 4000 bits 的文件容量。科研人员表示相比较依赖于光学发射的 air-gap 隐蔽渠道要快 10 倍。而且科研人员表示各种新型的信息窃取方式已经涌现,例如通过 PC 的音响、风扇的速度和发出的热量等等。 稿源:cnBeta,封面源自网络

针对 Android 平台的勒索软件攻击一年内增长了 50%

趋势科技进行的一项调查发现,针对 Android 操作系统的勒索攻击在短短一年内增长了超过 50%,因为越来越多的消费者从他们的 PC 切换到他们的智能手机,使移动操作系统生态系统成为网络犯罪分子更有价值的目标。 根据安全公司 ESET 的报告,加密恶意软件攻击的最大峰值来自 2016 年上半年。还发现锁定屏幕上的所谓“警察勒索软件”一直是 Android 平台上勒索软件的主要类型,可以有效地吓唬一些受害者,这类软件声称受害者犯罪,这导致许多人向攻击者支付所谓赎金。 除此之外,研究人员还发现,犯罪者通过将恶意软件的有效载荷加密深入到被感染的应用程序内,增加了它们被发现的难度。在 ESET 发布的勒索软件白皮书中表示,东欧是勒索软件开发商的主要目标。然而,随着时间的推移,这种情况已经改变,勒索软件记录在案的成功攻击事件当中,有 72% 发生在美国。研究发现,这种转变是由于在美国的移动用户一般比东欧更富有,因此针对美国的用户的攻击将为他们带来更多的利润。 为了确保 Android 设备安全,ESET 建议用户远离第三方应用商店,及时更新移动安全软件并且小心访问那些未知网站,因为并不是每一个登陆页面都是安全的。 稿源:cnBeta;封面源自网络