Deep Dive into Trickbot's Web Injection
概述 TrickBot 是一种模块化木马,自 2016 年以来一直活跃在恶意软件领域。它以攻击工具包中拥有各种模块而闻名,其中一些模块非常新,一些模块正在积极开发中。这让我们想到了它的 Web 注入模块,injectDLL,自恶意软件首次被发现以来就一直存在。该模块的核心目的仍然保持不变,即向网站注入脚本以窃取信息。
概述 AnchorDNS 是 TrickBot 攻击者用来针对选定的高价值受害者的后门。TrickBot 和 Bazar1 恶意软件活动2 都发现它存在。 AnchorDNS 特别难以追踪,因为它仅在感染后部署,而且只有在经过一段时间的侦察后,一旦恶意软件操作员确定目标具有特别的兴趣,它才会被部署。在分析了最近报告23中发布的 AnchorDNS 样本后,我们观察到 AnchorDNS 的 C2 通信协议已经发生了变化。
概述 TrickBot 是一种成熟且广泛使用的多用途木马。自 2016 年以来一直活跃,本质上是模块化的,它可以实现从凭证盗窃到横向移动的各种目标。恶意软件的许多功能都是作为独立模块提供的,恶意软件被指示从 C2 下载。最初,TrickBot 的主要重点是银行欺诈,但后来转向针对企业的勒索软件攻击,最终导致其欺诈行动停止。
概述 TrickBot 自 2016 年以来一直活跃,是最流行的模块化银行木马之一。僵尸网络的模块执行诸如凭证收集、通过网络传播、Web 注入等目标。作为一个积极开发的僵尸网络,我们经常会遇到更新的模块,在某些情况下还会遇到作为其武器库一部分添加的新工具。最近,我们发现了一个相对较新的模块,名为 masrv。
Automated string de-gobfuscation
上周,360网络安全研究实验室发布了一篇博客文章,介绍了一款用Go编写的名为Blackrota的混淆后门。他们声称Blackrota后门可用于x86/x86-64架构,考虑到Golang的交叉编译能力,这并不奇怪。在过去的4年里,我们一直在使用Golang进行内部服务,我绝对可以看到Golang对恶意软件作者的吸引力:
BlueKeep (CVE 2019-0708) exploitation spotted in the wild
概述 自从 Microsoft Windows RDP CVE 2019-0708 中一个令人震惊的漏洞(称为 BlueKeep)被修补以来,已经过去了近六个月。今天,安全研究员 Kevin Beaumont 在 Twitter 上发布了一个帖子,报告了他的 BlueKeep 蜜罐网络中的 BSOD(蓝屏死机)。嗯,EternalPot RDP 蜜罐最近都开始出现 BSOD 了。它们仅公开端口 3389。pic.twitter.com/VdiKoqAwkr— Kevin Beaumont (@GossiTheDog) 2019 年 11 月 2 日 Kevin 好心地与我们分享了崩溃转储,根据
Emotet scales use of stolen email content for context-aware phishing
概述 Emotet的自动定位网络钓鱼活动已经到来,而且非常激进。正如我们在之前关于Emotet大规模电子邮件收集的文章中最初发现和预测的那样,感染Emotet和电子邮件收集模块的计算机可用于创建可信的电子邮件,即使是精明的电子邮件用户也可能会受到欺骗而点击这些电子邮件。从那时起,Kryptos的威胁情报团队在窃取的电子邮件宝库的帮助下观察到了Emotet行为的演变。
North Korean APT(?) and recent Ryuk Ransomware attacks
我们的威胁情报团队在 2018 年一直在跟踪 Emotet 僵尸网络。在我们之前的文章中,我们报道了一场大规模的 Emotet 活动,重点关注电子邮件内容泄露。今天,我们回顾了从 Telltale 威胁情报服务收集的证据,这些证据表明 Emotet 参与了最新一波 Ryuk 勒索软件攻击的传递机制,被称为朝鲜国家支持的网络攻击。来自数据集的证据补充了缺失的叙述,以显示通过有组织的犯罪软件活动可能完整的攻击链。
Emotet Awakens With New Campaign of Mass Email Exfiltration
Emotet 恶意软件家族刚刚将电子邮件泄露功能添加到其武器库中,从而将其网络间谍能力提升到一个新的高度。虽然 Emotet 最近因向美国水务公司等基础设施发送勒索软件负载而登上头条新闻,但在过去一个月里,它基本上处于休眠状态。然而,在过去的几天里,木乃伊在万圣节前夕又回来了,我们观察到一个能够将电子邮件内容泄露给僵尸网络运营商的新模块。
Inside Look at Emotet's Global Victims and Malspam Qakbot Payloads
Emotet 僵尸网络名声在外;历史上它具有攻击性和恶意性,如今它已经发展并融入了许多进步,以创建一个更具弹性的僵尸网络传递系统,几乎不会被删除。最近,美国计算机应急响应小组 (CERT) 报告称,Emotet 事件(及其后续的有效载荷投放器)正在影响州、地方、部落和领土 (SLTT) 政府,每次事件造成的损失高达 100 万美元。我们已经捕获了最新 Emotet 僵尸网络中许多活跃感染的全球视图。
Introducing Telltale and Addressing the Lingering Wannacry Threat
鉴于最近有关于 WannaCry 零星爆发的新闻,即国防承包商波音公司、上个月早些时候康涅狄格州政府机构以及本田公司,我们认为有必要提供进一步的指导,以评估与 WannaCry 爆发相关的持续和隐藏危险。为了立即开始降低风险并增强您现有的安全防御,我们免费提供 Telltale,这是 Vantage Breach Intelligence Feed 的免费版本。Telltale 是我们漏洞监控的简化版本,可以帮助您的组织评估过去或正在进行的恶意软件感染,包括但不限于 WannaCry。
WannaCry: End of Year Retrospective
去年 11 月是 WannaCry 六个月纪念日,WannaCry 可以说是历史上影响最大的全球网络攻击。持续的 WannaCry 攻击是一种重新利用的勒索软件,由(据称)从 NSA 泄露的漏洞代码放大。有关 WannaCry 内部运作的先前详细信息,请参阅我们之前的帖子。今天,美国宣布朝鲜对 WannaCry 攻击负责。这篇文章将介绍分析结果和观点,说明这些攻击的规模究竟有多大,以及维持全球安全危机所需的空间有多么小。
关于当前的勒索软件 Petya,有几件有趣的事情值得一提。有一点很清楚,没有“终止开关”。在对可能为其 RTF(Windows 文档漏洞)传递系统传递有效载荷的域进行初步跟踪并将其与有关域名的被动情报进行交叉引用后,我们注意到一小时内的点击频率为 200 万次。我们跟踪的域目前没有提供有效载荷,并且已关闭。
WannaCry: Two Weeks and 16 Million Averted Ransoms Later
WannaCrypt,又名 WannaCry,是过去几周信息安全领域的热门话题。它最初只是一个不起眼的勒索软件,后来变成了一个由 NSA 驱动的蠕虫病毒,肆意传播,造成全球性破坏。幸运的是,当我们的安全研究人员 MalwareTech 为 Vantage Breach Intelligence Feed 收集情报时,WannaCry 的扩散停止了,他注册了一个与该恶意软件相关的域名,最终触发了它的“终止开关”。
