最近几周,OneNote 引起了媒体的广泛关注,因为威胁行为者在他们的网络钓鱼活动中滥用 OneNote 中的嵌入式文件功能。在这篇文章中,我们将分析这种新的恶意软件传递方式并为其创建检测规则。
Analysis of a trojanized jQuery script: GootLoader unleashed
更新 202 年 10 月 24 日:自 3 个月前发布此报告以来,我们注意到有 2 处变化。该代码已被改编为使用注册表项“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Personalization”而不是“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Phone”(样本 SHA256 ed2f654b5c5e8c05c27457876f3855e51d89c5f946c8aefecca7f110a6276a6e)当有效载荷为 Cobalt Strike 时,信标配置现在包含 C2 的主机名,如 r1dark[.]ssndob[.]cn
VSTO Office 文件是链接到 Visual Studio Office File 应用程序的 Office 文档文件。打开后,它们会启动自定义 .NET 应用程序。有多种方法可以实现这一点,包括通过外部 Web 服务器提供 VSTO 文件的方法。最近发表了一篇关于为……创建这些文档文件的文章继续阅读分析 VSTO Office 文件 →
Hunting Emotet campaigns with Kusto
介绍 Emotet 不再需要介绍——它是最常见的网络犯罪团伙之一,已经存在很多年了。 2021 年 1 月,欧洲刑警组织和其他执法机构采取了一项破坏行动,彻底取缔了 Emotet。 [1] 事实上,Emotet 恶意活动显着减少……继续阅读使用 Kusto 追踪 Emotet 活动 →
Kernel Karnage – Part 7 (Out of the Lab and Back to Reality)
本周我从实验室出来,戴上了不同的帽子。 1. 换帽子 Interceptor 成功使 $vendor2 失明,足以运行 meterpreter 反向 shell,现在是时候戴上红队的帽子,离开完美的实验室环境了。为了做到这一点,我必须……继续阅读 Kernel Karnage – 第 7 部分(走出实验室,回到现实)→
Kernel Karnage – Part 6 (Last Call)
随着这篇博文的发布,我的实习已经过去了一半;玩得开心的时候时间过得真快。 1. 介绍 - 状态报告 在这 6 周的时间里,我介绍了内核驱动程序和 EDR/AV 内核机制的几个方面。我一开始就研究了内核回调,以及为什么 EDR/AV 产品……继续阅读 Kernel Karnage – 第 6 部分(最后一次调用)→
New mobile malware family now also targets Belgian financial apps
虽然银行木马已经存在很长时间了,但我们从未见过移动恶意软件家族攻击比利时金融机构的应用程序。直到今天……本周早些时候,总部位于意大利的 Cleafy 发表了一篇关于一种新的安卓恶意软件家族的文章,他们将其称为 TeaBot。我们将要研究的样本……继续阅读新的移动恶意软件家族现在也针对比利时金融应用程序 →
How to analyze mobile malware: a Cabassous/FluBot Case study
这篇博文解释了我在分析 Cabassous/FluBot 恶意软件时采取的所有步骤。我在分析样本时写了这篇文章,并写下了前进的成功和失败的尝试,以及我在此过程中的想法/选择。因此,这篇博文不是 Cabassous/FluBot 恶意软件的写作,而是……继续阅读如何分析移动恶意软件:Cabassous/FluBot 案例研究 →
Epic Manchego – atypical maldoc delivery brings flurry of infostealers
2020 年 7 月,NVISO 检测到一组恶意 Excel 文档,也称为“maldocs”,它们通过 VBA 激活的电子表格传递恶意软件。虽然恶意 VBA 代码和丢弃的有效载荷是我们以前见过的,但 Excel 文档本身的具体创建方式引起了我们的注意。创作者……继续阅读 Epic Manchego – 非典型 maldoc 传递带来大量信息窃取者 →
