方程式(EQUATION)部分组件中的加密技巧分析

安天分析团队从2月启动“方程式(EQUATION)”分析工作,在形成了第一篇分析报告后,后续整体分析没有取得更多的进展和亮点。基于这种情况,我们首先尝试对部分组件中的加密技巧进行了分析树立,以利后续工作,我们将相关工作进行分享,希望得到业内同仁的批评指点。.

更多内容

IIS再出远程执行漏洞:警惕新红色代码

微软在2014年4月的补丁日进行了多个漏洞修补,涉及到Windows、OFFICE、IE、IIS等多个环节,本次补丁数量显著高于平均水平。安天安全研究与应急处理中心通过补丁相关信息研判,认为其中有多个OFFICE和IE漏洞可能与近期各种攻击相关,而其中编号为MS15-034的IIS远程执行漏洞极为值得高度关注。 ...

更多内容

修改硬盘固件的木马 探索方程式(EQUATION)组织的攻击组件

2015年2月18日,安天实验室根据紧急研判,对被友商称为“方程式(Equation)”的攻击组织所使用的攻击组件,开始了初步的分析验证。后于2月25日正式组建了跨部门联合分析小组,于3月4日形成本报告第一版本。事件相关背景为:卡巴斯基安全实验室在2月16日起发布系列报告(以下简称“友商报告”),披露了一个可能是目前...

更多内容

DDoS攻击组织肉鸡美眉分析

本文主要针对一个跨平台DDoS攻击组织“肉鸡美眉”进行了分析,该组织所开发的DDoS工具利用SSH弱密码和服务器漏洞控制了众多Linux肉鸡,经验证,该组织的恶意代码可追溯到2009年。本文主要分析了该工具的控制端、生成器以及Windows和Linux被控端变种,并对这些样本进行了同源分析和网络感染疫情的展示。...

更多内容

BlackEnergy简报

BlackEnergy是一种颇为流行的犯罪软件,用于实施自动化犯罪活动,贩卖于俄罗斯的地下网络。其最早出现的时间可追溯到2007年。该软件最初被设计用于创建僵尸网络,实施DDoS攻击。逐渐演变为支持多种插件的工具,其插件可根据不同攻击意图,组合使用。 

更多内容

“破界”木马(WIRELURKER)综合分析报告

北京时间11月6日起,引发业内关注的一个被称为“WireLurker”新样本通过Windows和Mac OS X系统实现对iOS系统的侵害。这个样本的形态和特点,无疑值得关注和深入分析,鉴于此样本影响的平台非常广泛,安天组成了由安天CERT(安天安全研究与应急处理中心)和AVL TEAM(安天旗下独立移动安全研究团队)的联合分析小组...

更多内容

沙虫(CVE-2014-4114)相关威胁综合分析报告——及对追影安全平台检测问题的复盘

首次发布时间:2014年10月15日21时40分 本版本更新时间:2014年10月15日23时30分.CVE-2014-4114 是OLE包管理INF 任意代码执行漏洞,该漏洞影响Win Vista,Win7等以上操作系统,攻击者使用PowerPoint作为攻击载体,该漏洞是在Microsoft Windows和服务器上的OLE包管理器。在OLE打包文件(packer.dll)中能够下载并执行类似的INF外部文件,允许攻击者执行命令...

更多内容

"破壳"漏洞的关联威胁进化与类UNIX系统的恶意代码现状 ——“破壳”相关分析之三

“破壳”漏洞的广泛影响,在于GNU Bash的广泛分布。GNU Bash在完全兼容Bourne Shell的基础上功能又有所增强,包含了C ShellKorn Shell中很多优点,在编辑接口上更灵活,在用户界面上更友好。因其为开源程序且有诸多Shell的长处,所以Bash成为Linux的默认Shell,同时也被应用于大多数的类UNIX操作系统中。而类UNIX系统的自同一个原点展开,一脉相承的特点,导致了同一个漏洞影响到多个操作系统的问题出现。Ken Thompson等大师在上世纪60年代末开启了UNIX系统创世之旅,而这一种子今天已经成长为一个庞大的操作系统家族,这个家族被称为类UNIX操作系统…

更多内容

“破壳”漏洞相关恶意代码样本分析报告 ——“破壳”相关分析之二

最后一次更新时间: 9月30日01时 安天CERT于 9月25日凌晨开始响应“破壳”漏洞,针对改漏洞的背景、原理等进行了快速的分析,摸索完善了验证方法和网络检测方法。在25号发布了《破壳”漏洞(CVE-2014-6271)综合分析》(对应网址:http://www.antiy.com/response/CVE-2014-6271.html ),并更新了多个版本。在这个过程中安天 监测采集和样本交换体系发现了大量利用该漏洞的扫描攻击、后门投放等行为,以及发现了多个于此漏洞相关的恶意代码……

更多内容

”破壳“漏洞(CVE-2014-6271)综合分析

安天安全研究与应急处理中心(Antiy CERT) 2014年9月24日bash被公布存在远程代码执行漏洞,漏洞会影响目前主流的操作系统平台,包括但不限于redhat、CentOS、ubuntu等平台,此漏洞目前虽然有部分系统给出了补丁,但因为漏洞修补的时效性,及漏洞的……

更多内容