存档

‘恶意软件’ 分类的存档

俄罗斯网络威胁概览

2014年12月22日 没有评论

原文:《The Cyber Threat Landscape of the Russian Federation》(2010年7月21日)

翻译:lgt945

*译文长达近三万字,故本文仅贴出前两章,应iDefense要求,我们不再提供原版报告下载。由于译者水平有限,译文或有翻译不当之处,欢迎各位指正。

一、摘要

与中国和美国不同,俄罗斯(见图1-1)是世界上发生恶意网络活动和网络犯罪行为最多的国家,而这主要是由于其IT产业爆炸式的增长以及一定程度上俄罗斯政府的主导导致的。基本上每种经济网络犯罪和政治网络攻击都会在俄罗斯发生,本报告对这两种行为进行了详细的描述。

俄罗斯的地理条件、社会经济环境、杂乱的历史和严厉的政策等因素使得这里产生了一个了网络犯罪的平台。优秀的教育环境使得俄罗斯大量有高科技思想的人工作在远低于他们能力的位置上。犯罪文化的流行和人情变得冷漠,甚至年轻的俄罗斯政府的腐败,都导致许多人进入了这个很容易从西方公司和私人个体获取名声和金钱的地下犯罪环境中来。

图1-1

图1-1:俄罗斯地图

在约束网络犯罪方面,俄罗斯的政府领导几乎起不到帮助作用。一直到最近,由于俄罗斯本土的受害者并不多,而且有限的资源迫使官方主要将注意力集中在了反恐方面,使得关心网络犯罪的群体异常稀少。这一情形随着俄罗斯公民受到的网络攻击逐渐增长而开始缓慢的改变。贪污腐败也是一大问题,而且还受到上述资源的限制。私人企业,尤其是大型的网络服务提供商(ISP),开始合作应对网络犯罪[……]

阅读全文

印度网络威胁概览

2014年10月29日 没有评论

原文:iDefense全球威胁调查报告(GTRR)《The Cyber Threat Landscape in India》(2010年1月30日)

翻译:刘盖特

一、摘要

印度是一个充满反差和多样化的国家,其众多的族群、信仰、语言和政治变化构成了如今的文化和社会。印度最近也成为了世界IT产业的主角,印度的高等学校有很多的毕业生成为了程序员、计算机工程师或其他IT专业人士,这其中有许多人工作在在美国、澳大利亚、欧洲和全球其他国家。同时,班加罗尔地区也已经演变为印度的硅谷,那里运营着数量庞大且多样的IT公司。随着这种在信息和通信技术(ICT)方面激增式的发展,一个值得注意且充满IT安全挑战的特色网络已然在印度形成。

印度的IT安全挑战主要集中在来自斯里兰卡、巴基斯坦、马来西亚、印度尼西亚、泰国、中国和俄罗斯等地组织缜密的跨国团伙进行的信用卡和银行卡欺诈方面。这里也有大量的僵尸网络和命令与控制服务器(C&C)以及数量可观的旨在攻击本地和国际商务业务的钓鱼网站。iDefense分析师有充足的证据表明中东地区存在有政治动机的黑客主义(即黑客行为),在印度也是如此;由于其复杂和动态的社会政治性,黑客主义是普遍存在的,但是相对于其他信息安全威胁来说其危险性几乎可以忽略不计。

除了类似僵尸网络、银行欺诈、数据偷窃或网络间谍等纯粹的基于网络的威胁之外,在印度还有更多的基于真实世界的威胁。在这些威胁中可能有也可能没有网络因素,但都存在对国家的商业运营产生显著影响的可能性。这些威胁包括恐怖主义、政治暴力、[……]

阅读全文

虎视眈眈的Pitty Tiger

2014年9月17日 1 条评论

原文:Airbus Defence & Space公司2014年发布的《The Eye of the Tiger》

翻译:做个好人、Archer

原作者

Ivan FONTARENSKY    Malware Research

Fabien PERIGAUD    Reverse Engineering

Ronan MOUCHOUX    Threat Intelligence

Cedric PERNET    Threat Intelligence

David BIZEUL    Head of CSIRT

摘要

近些年来,通过网络窃取机密的事情屡见不鲜。各路媒体争相报道以APT为代表的计算机攻击以及其危害。频发于网络的数字攻击已经影响到现实的生产和生活,我们必须从战略上解决这一问题。

AIRBUS Defense & Space不仅可为顾客提高网络安全事故的应急响应服务,而且能够指导顾客拟定完整的解决方案。

今天,我们决定公开一个叫做“Pitty Tigger” 的APT组织的相关信息。这片报道所涉及的资料,均是AIRBUS Defense & Space的Threat Intelligence组织的第一手信息。

我们的资料表明,Pitty Tiger组织在2011年就锋芒毕露。他们攻击过多个领域的各种单位。他们对国防和通讯业的承包商下过手,也对一个(或更多)政府部门发起过攻击。

我们投入了大量精力以追踪这个组织,现在已经能够披露他们的各类信息。我们已经对他们“恶意软件军火[……]

阅读全文

瞅一瞅Andromeda僵尸网络

2014年9月1日 1 条评论

原文:http://blog.fortinet.com/post/A-Good-Look-at-the-Andromeda-Botnet

翻译:徐文博

Andromeda是一个模块化的bot。最原始的bot仅包含一个加载器,在其运行期间会从C&C服务器上下载相关模块和更新,它同时也拥有反虚拟机和反调试的功能。它会注入到可信进程中来隐藏自己,然后删除原始的bots。该bot会潜伏很长时间(从几天到几个月不等)才与C&C服务器进行通信。所以,很难获取到感染主机和C&C服务器间的网络流量信息。

最新的官方编译版本是2.06,该版本的bot所发的包中有新增的内容。此外,它也能够分发其他多样的僵尸变种,下载相关模块和更新。

Hex1

图1:GeoIP地图显示的Andromeda的分布

一、打包器

打包器中有大量的冗余代码,所以可以很好的隐藏真实代码。它会调用GetModuleHandlerA API去获取bot的基址,检查MZ标记和PE特征码,然后确认是否有6个段。如果是,则会从第4个段中加载数据,进行解密,然后会校验解密的MZ标记、PE特征码,调用CreateProcessW API来重新加载执行原始的bot,但会把dwCreationFlags值设为CREATE_SUSPENDED。打包器会用解密的第4个段中的代码,来注入到这第二个进程中。稍后,打包器会采用同样的方法,从第5个段中加载另一个PE。

这个强大的打包器能[……]

阅读全文

也来黑记者:写个恶意软件玩玩(二)

2014年5月14日 没有评论

原文:http://blog.spiderlabs.com/2013/11/hacking-a-reporter-writing-malware-for-fun-and-profit-part-2-of-3.html 

翻译:徐文博

Mattew Jakubowski(@jaku) 对此文的编写做出了贡献。

该篇是3篇系列中的第2篇(可在此读第1篇)。 第1和2两部分详细的介绍了我们自身团队(Matt Jakubowski, Daniel Chechik和我)所做的用于攻击的恶意软件。 在第3部分,我们的同事Garret Picchioni将发布更多的关于现场和无线攻击部分的技术细节。

简单总结一下第1部分:我们编写了与平台无关的恶意软件,经过几番处理,安装在了Adam妻子的手提电脑上,等待再次与手提电脑建立连接。 最终,那晚深夜,我们再次收到了连接,故事继续着。

An actual image of us writing the malware for this engagement

图1:我们所编写的用于此次行动的恶意软件的图片(当然不是啦,来自热播的电影,《剑鱼行动》(Swordfish))

第3步:进一步的妥协与收获

这次行动整体的目标不是很明确。只是想造成尽可能大的假设性破坏。为此,我们希望尽可能多的获取到Adam的帐号权限、敏感信息。我们进入Adam妻子的手提电脑后,就开始翻查文档目录、下载目录和桌面。不幸的是,整个行动期间,与手提电脑的连接总是很快就丢失[……]

阅读全文

也来黑记者:写个恶意软件玩玩(一)

2014年5月14日 没有评论

原文:http://blog.spiderlabs.com/2013/10/hacking-a-reporter-writing-malware-for-fun-and-profit-part-1-of-3.html

翻译:徐文博

Mattew Jakubowski(@jaku) 对此文的编写做出了贡献。

潘多省日报(Pando Daily)的编辑Adam Penenberg最近发表了一篇文章“我让黑客来调查我,他们的发现让我不寒而栗”,讲述了我和我的小伙伴“骚扰”他生活的事情。 如果你还没读过, 那我强烈建议你去瞅瞅。

本周该日报上又发布了一篇后续文章,“一个记者让我们黑他,我们是怎么做到的呢”,从我们的角度进行了阐述。

我想有些读者朋友可能比较好奇更详细的渗透技术细节。所以我们决定对此发表3篇的系列文章以示阐述。

第一部分和第二部分将详细介绍我们自身团队( Matt Jakubowski, Daniel Chechik,和我)所做的用于本次渗透的恶意软件和钓鱼邮件。下周,我们的同事Garret Picchioni将会展示更多的关于现场和无线入侵的技术细节。

我在蜘蛛实验室(SpiderLabs)的恶意软件分析小组(Malware Analysis Team)作[……]

阅读全文

0day星期三——新型恶意软件遭遇战

2014年3月27日 2 条评论

原文:http://www.gironsec.com/blog/2013/12/0day-wednesday-newish-malware-that-came-across-my-desk/

翻译:徐文博

可能有人会说这标题很疯狂,但我把它称之为“星期三”。

这款较为新颖的恶意软件是我昨天遇到的,今天就被我搞定了。它是一个老的2012 CVE的java攻击包(可能针对SecurityManager)的负载。压缩与解压缩的在VirusTotal/Malwr上都没有查到,所以这又是一个0day啊。

利用IDA进行初步检测,报出一个错误:

p1

估计制作这家伙的兄弟也知道, 迟早某一天它会被像我这样的人拿来瞅瞅的。确实有许多的修改可以用来搅乱反汇编结果,而丝毫不影响Windows上的运行。

用CFF Explorer来看看,发现NT头部的一个错误在“Data Directories”的“Delay Import Directory RVA”项中。CFF很好的为我们指出0x00000040值是错的。将其清零就可以解决此问题。

p2

保存修改的exe,在IDA中重新打开,之前的错误提示就消失了,一切正常。

在IDA里简单的过一眼就可以知道这是一个MFC程序。我咋知道的呢?在导入表的Library字段很清[……]

阅读全文

分类: 恶意软件 标签: , ,