勒索软件家族TeslaCrypt最新变种技术特点分析

Antiy CERT近期发现勒索软件TeslaCrypt的最新变种TeslaCrypt 4.0,它具有多种特性,例如:对抗安全工具、具有PDB路径、利用CMD自启动、使用非常规的函数调用、同一域名可以下载多个勒索软件等。尤其值得一提的是,通常勒索软件在感染受害主机后均会修改被加密文件的扩展名,如 TeslaCrypt早期版本(.vvv、.mp3、.ccc、.abc、.ttt等),其他勒索软件Locky、CTB-Locker(.Locky,.oinpgca)。而TeslaCrypt的最新变种具有在加密文件后不修改原文件扩展名的特点。

更多内容

多起利用POWERSHELL传播恶意代码的事件分析

PowerShell具有许多实用与强大的功能,在方便用户使用的同时,也为不法份子打开了便捷之门。攻击者可以利用PowerShell命令下载恶意代码到用户系统中运行,这种方法可以躲避部分反病毒产品的检测;同时,还可以通过命令行调用PowerShell将一段加密数据加载到内存中执行,实现这种无实体文件的攻击方法。本文将对近期发现的PowerShell攻击事件进行分析。

更多内容

乌克兰电力系统遭受攻击事件综合分析报告

这是一起以电力基础设施为目标;以BlackEnergy等相关恶意代码为主要攻击工具,通过BOTNET体系进行前期的资料采集和环境预置;以邮件发送恶意代码载荷为最终攻击的直接突破入口,通过远程控制SCADA节点下达指令为断电手段;以摧毁破坏SCADA系统实现迟滞恢复和状态致盲;以DDoS服务电话作为干扰,最后达成长时间停电并制造整个社会混乱的具有信息战水准的网络攻击事件。 

更多内容

首例具有中文提示的比特币勒索软件"LOCKY"

安天安全研究与应急处理中心(安天CERT)发现一款新的勒索软件家族,名为“Locky”,它通过RSA-2048和AES-128算法对100多种文件类型进行加密,同时在每个存在加密文件的目录下释放一个名为_Locky_recover_instructions.txt的勒索提示文件。经过安天CERT研究人员分析发现,这是一类利用垃圾邮件进行传播的勒索软件,是首例具有中文提示的比特币勒索软件。 

更多内容

2015年网络安全威胁的回顾与展望

面对威胁高速演进变化、防御技术同样快速改善的现状,无论我们做怎样的努力,都已无法用一篇年报来涵盖网络安全威胁的全景,这亦使参与本文档编写的安天分析工程师们无比纠结。对于安天安全研究与应急处理中心(安天CERT)来说,在数年前,年报工作是相对简单的,我们只需从恶意代码存储和分析的后台系统导出足够多的统计图表,就可以构成一篇年度报告。在网络安全领域,恶意代码自动化分析是一个成型较早的基础设施,恶意代码样本集更是一个非常容易进行统计的大集合,这一度让我们偏离了网络安全的本质,弱化了我们对保障用户价值的信念。  从去年开始,安天颠覆了自身传统的数据表年报的风格,面对当前威胁的纵深化、复杂化特点,大量简单的统计已经失去意义,我们非常明确地提出了做“观点型年报”的自我要求。尽管我们拥有更多的样本、更多的数据,但我们依然不敢说已经能够驾驭安全大数据,目前我们能做到的只有学习和思考,我们要学习更丰富的数据分析方式,我们要做能独立思考、有观点、有立场的安全团队,而非做大数据和计算资源的奴隶。 

更多内容

盗用数字签名DDOS样本分析

安天追影小组通过安天态势感知系统发现了一款带有过期签名的DDoS恶意程序,该DDoS样本包含多种DDoS攻击方式,并主要针对国内的在线销售减肥药、在线赌博、电子交易平台进行攻击。攻击者对灰色或非法网站进行DDoS攻击的目的可能是敲诈或者同业竞争。……

更多内容

一例以"采访"为社工手段的定向木马攻击分析

2015年12月2日22时25分,安天监控预警体系感知到如下信息线索:某知名作家在新浪微博发布消息,曝光有人以发送"采访提纲"为借口,利用微博私信功能,发送恶意代码链接。 安天安全研究与应急处理中心(安天CERT)根据微博截图指向的链接,下载该样本并连夜展开分析。随着分析的不断深入,我们看到了这样的一幕……

更多内容

邮件发送js脚本传播敲诈者木马的分析报告

安天威胁态势感知系统2015年12月2日捕获到有新的传播特点的敲诈者变种邮件,其不再采用直接发送二进制文件载荷的传播模式,而是以一个存放在压缩包中的JS脚本为先导。安天追影分析小组对相关事件和样本进行了分析。该样本系TeslaCrypt的另一个变种TeslaCrypt 2.x,邮件附近是一个zip压缩文件,解压zip文件得到一个js文件,运行js文件,会下载TeslaCrypt2.x运行,遍历计算机文件,对包括文档、图片、影音等186种后缀格式文件进行加密,加密完成后打开敲诈者的主页,在指定期限内需要支付500美元才能得到解密密钥,过期需要支付1000美元。因为TeslaCrypt2.x变种改变了密钥的计算方式,采用了ECDH算法,黑客与受害者双方可以在不共享任何秘密的情况下协商出一个密钥,采用此前思科等厂商发布的TeslaCrypt解密工具[1]已经无法进行解密。

更多内容

疯狂的窃密者——TEPFER

该家族最早出现于2011年,以窃取FTP、邮箱、网站、比特币等账号和密码为目的,至今已有数十万变种。Tepfer主要通过注册表项或子键获取FTP的账号并获取安装目录下的.dat加密文件,通过破解算法获取密码;通过自带密码表尝试破解系统开机密码并辅助用来破解chrome浏览器缓存的网站登陆账号、密码信息;通过.dat文件窃取比特币信息。 Tepfer家族可以盗取60种以上的FTP客户端软件所保存的密码;10种以上的浏览器保存的密码;31种比特币信息;还能获取多个邮件客户端所保存的密码,可推测恶意代码作者熟练掌握各种密码的存储方案和破解方法。该家族是一个无需交互、自动窃密并上传的木马家族,主要利用垃圾邮件进行传播,并将窃取的这些信息加密后上传到指定的网站。

更多内容

Xcode非官方版本恶意代码污染事件(XcodeGhost)的分析与综述

2015年9月14日起,一例Xcode非官方版本恶意代码污染事件逐步被关注,并成为社会热点事件。多数分析者将这一事件称之为“XcodeGhost”。攻击者通过对Xcode进行篡改,加入恶意模块,并进行各种传播活动,使大量开发者使用被污染过的版本,建立开发环境。经过被污染过的Xcode版本编译出的APP程序,将被植入恶意逻辑,其中包括向攻击者注册的域名回传若干信息,并可能导致弹窗攻击和被远程控制的风险。

更多内容