一 概述启明星辰ADLab实验室在近几个月内，通过威胁情报检测系统接连捕获到多起针对哥伦比亚国家的政府部门，金融、银行、保险等行业及卫生和制药机构发起的钓鱼邮件定向攻击。...

一、样本简介及行为检测 样本伪装成了eset的升级程序 图标如下 由于再分析之初对样本行为不太清楚，这里需要用到相应的行为检测工具，此类工具有火绒剑，systracer，Procmon，Sysmon...

此程序源自吾爱动画大赛作品《勒索软件从入门到入狱》，拿到软件先去一些云沙箱做一个简单扫描，结果如下： 沙箱检测的的高危行为如下： 可疑和低危行为如下： 软件的执行大致流程如...

作者：萌新合天智汇0x00前言 本文章数据集来自Mandiant对某APT组织样本的整理，分析结果仅做学习探讨之用。0x01 在本文开始之前，我们首先要明白为什么要做恶意样本的聚类分析。...

Bitdefender研究人员Janos Gergo SZELES和Ruben Andrei CONDOR已经记录了新的Metamorfo活动，该活动使用合法的软件组件来破坏计算机。Metamorfo是一家银行木马家族，自2018年中...

研究人员在过去4个月中发现，Hangover组织（又名Neon，Viceroy Tiger，MONSOON）使用BackConfig恶意软件，通过鱼叉式网络钓鱼攻击南亚的政府和军​​事组织。BackConfig木马具有灵活的...

近期，国外安全公司ESET发布了恶意软件Ramsay针对物理隔离网络的攻击报告，本文针对该物理隔离网络的一些攻击进行技术层面的分析。一、背景 近期，国外安全公司ESET发布了恶意软...

 大家好，我是 零日情报局。本文首发于公众号零日情报局，微信ID：lingriqingbaoju。 WannaCry爆发三周年之际，美国政府一次性集中披露了三种新型朝鲜恶意软件家族，成了安全圈热议...

大家好，我是 零日情报局。本文首发于公众号零日情报局，微信ID：lingriqingbaoju。 最近，微软和英特尔合作开展了一个新的安全研究项目——STAMINA（STAtic Malware-as-Image Networ...

Inhale - Malware InhalerInhale是一款针对恶意软件的分析与分类工具，广大安全研究人员可以利用Inhale来对恶意软件中的很多的静态分析操作进行自动化实现以及扩大覆盖范围。...

Google采取多种措施保护其应用商店并阻止恶意软件进入，但黑客仍在寻找渗透应用商店和访问用户设备的方法。数百万手机用户无意间下载了恶意应用程序，这些应用程序可以访问用户...

由于COVID-19疫情越来越严重，世界各地的公司都已选择远程办公。早在病毒爆发之前，zoom就已经被许多公司和远程工作的人用来召开会议等。与此同时，网络犯罪分子也在利用这些工具...

近两年来，Shlayer木马一直是Mac OS平台上最常见的恶意软件，十分之一的Mac OS用户受到它的攻击，占该操作系统检测到攻击行为的30%。第一批样本发现于2018年2月，此后收集了近32000...

 大家好，我是 零日情报局。 本文首发于公众号 零日情报局，微信ID：lingriqingbaoju。  Turla，一个圈内人尽皆知的俄罗斯背景APT间谍组织。这次这只毒蛇开发了一种新型恶意软...

最近在Google Play上发现了多个恶意应用程序（由Trend Micro检测为AndroidOS_BadBooster.HRX），它们能够访问远程恶意广告配置服务器、进行广告欺诈并下载多达3000多个恶意软件变...

概述抗疫大战，我们不仅要抗现实中的病毒，还得同时应对随之而来的网络空间病毒。在此前奇安信威胁情报中心曝光了一次黑产控制药物研究机构邮箱搞钓鱼的攻击行动后(https://mp....

过去一年中C2服务器分布 在攻击活动中，攻击者和APT组经常利用远程配置控制恶意软件。此类配置通常包含命令和控制（C2）服务器、服务器通信密码、活动标识符、互斥锁、安...

工具介绍 Attack Monitor是一款Python应用程序，可以帮助安全研究人员增强Windows 7/2008（及所有更高版本）工作站或服务器的安全监控功能，并且能够自动对恶意软件进行...

写在前面的话 Sednit组织，也被称为APT28、Fancy Bear、Sofacy或STRONTIUM，从2004年起该组织一直活跃至今，而且只要该组织参与的网络攻击活动一般都会上报纸头条。在...

自2008年以来，网络犯罪分子一直在制造恶意软件，以攻击诸如路由器和其他类型的网络IoT设备。 这些物联网/嵌入式设备的主要问题在于，它们根本无法安装任何类型的安全软件。 我们...

2018年夏末，发现了一款针对印度银行的atm恶意软件，进一步的分析表明，该恶意软件被设计用于植入目标的自动柜员机，可以读取和存储插入机器的卡中数据，在之后又发现了180多个恶意软...

在过去的两个月，我们一直在对一款采用Golang开发的恶意软件进行逆向分析。Golang，即Go语言，它是一种静态类型的编译语言，由Google设计和维护，而且在恶意软件开发社区中，这种语言开...

*严正声明：本文仅限于技术讨论与分享，严禁用于非法途径Google play和ios应用商店对试图诱骗用户下载广告或恶意软件的应用有很严密的检测。最近，我们还发现了隐藏在应用商店合...

挖掘加密货币恶意软件仍然是一个普遍的威胁。网络罪犯也越来越多地探索新的平台和方法来进一步利用挖矿恶意软件——从移动设备、Unix和类Unix系统到服务器和云环境。攻击者...

最近发现了恶意软件glupteba的网络攻击行为。它是一个旧的恶意软件，曾在名为“windigo”的行动中出现过，并通过漏洞传播给windows用户。2018年，一家安全公司报告说，glupteba已经...

虽然处于暑期，但sednit组织一直在为zebrocy恶意软件开发新的组件。sednit组织（又称apt28、Fancy Bear、Sofacy 、STRONTIUM）从2004年开始运营，近年来频频登上各大新闻头条。2019...

2012年初，开发人员开始销售Adwind家族的第一个基于Java的远程访问工具（RAT），称为“Frutas”。在随后的几年里它被改写了至少七次。它的其他名字包括adwind、unrecom、alien spy...

过去一年里，发生了一连串开源软件遭受供应链攻击的事件，并且态势愈演愈烈。就在最近，甚至发现2个独立的后门漏洞进入了数十万服务器管理员下载的库中。第一个曝光的后门来自Web...

Ke3chang组织也被称为APT15,该组织的攻击行为于2012年第一次被曝光，该组织当时利用远程后门攻击全世界的高价值目标。该组织活动最早可以追溯到2010年，在火眼2013年报告中显示...

Ocean Lotus Group，也被称之为APT32，这个黑客组织此前主要的攻击目标以越南、老挝和菲律宾等东亚国家为主，虽然私营企业是该组织的主要目标，但外国政府、政治活动家和新闻记...