众所周知，通常被称为APT33的威胁组织主要针对石油和航空业。该威胁组的报告 已有多年，但我们的最新发现表明，该组已经使用了大约十二个实时命令与控制（C＆C）服务器进行极窄的目标锁定。该小组针对针对中东，美国和亚洲的组织的针对性极强的恶意软件攻击活动，进行了多层混淆处理，以运行这些C＆C服务器。我们认为，这些僵尸网络（每个僵尸网络由一小组组成，最多可包含十二台受感染的计算机）可用于在选定目标的网络内保持持久性。该恶意软件相当基本，并且功能有限，包括下载和运行其他恶意软件。在2019年的活跃感染中，有一家提供美

我们在网上诱骗网站上发现了一个伪装成聊天应用程序的新间谍软件系列。我们认为，这些具有多种网络间谍行为的应用最初是用于有针对性的攻击活动的。我们在5月的网站http：// gooogle [。] press /上首次发现了这种威胁，该网站的广告是一个名为“ Chatrious”的聊天应用。用户可以通过单击下载按钮下载恶意Android应用程序包（APK）文件。在网站上指出。在五月份的那次遭遇之后的几个月中，该网站变得无效。我们只是注意到它是在10月推出的，这次是使用另一个名为“ Apex App”的应用程序。我们将其识别为间谍软件家族，可以窃取用户的个人

一、概述OceanLotus恶意组织（又名APT32、CobaltKitty）正在使用一系列名为“Ratsnif”的远程访问木马来实现新的网络攻击功能。Blackberry Cylance的威胁研究人员对Ratsnif木马进行了分析，发现该木马使用了一种名副其实的瑞士军刀网络攻击技术。该恶意木马自2016年以来就不断更新，目前已经结合了数据包嗅探、网关和设备ARP投毒、DNS毒化、HTTP注入和MAC欺骗等功能。我们总共深入研究了四个不同的Ratsnif样本，其中前三个在2016年开发完成，第四个在2018年下半年创建。二、恶意样本12.1 基本信息MD5：516ad28f8fa161f086be7ca122351edfSH

介绍Intezer安全研究团队近日检测到了一类新型后门——ACBackdoor，它具有Linux和Windows两种变种，能提供shell命令的任意执行、任意二进制文件执行、持久性和更新功能。目前尚无法将ACBackdoor关联到任何已知的威胁组织。在VirusTotal上，对Linux变种的检测率为0，而Windows变种的检测率要相对高些，如下图所示。图1.ACBackdoor Linux变种的VirusTotal检测率图2.ACBackdoor Windows变种的VirusTotal检测率本文将对ACBackdoor做技术分析，区分其两类变种实现上的差异。最终的调查结果表明，该恶意软件背后的团队先前具有针对Linux系统的经

家族背景以及现状介绍XorDDoS僵尸网络家族从2014年一直存活至今，因其解密方法大量使用Xor而被命名为XorDDoS，该僵尸网络家族目前活跃程度仍旧较高，主要是攻击者对其C2一直持续进行更新，下图是深信服云脑中对XorDDoS网络请求趋势分析，从访问情况来看较为稳定。下图为该僵尸网络家族在国内的感染分布图，可以看到主要存在广东以及江浙一带。防护原理分析深信服安全团队对XorDDos家族的防护原理进行详细分析，并对其做清除处理。主要进程的执行流程如下：cron.hourly下的bash文件,其中包含了其比较明显的特征名称，曾经出现过以下几种(可

PowerGhost是从2018年被发现使用powershell无文件方式进行攻击感染的挖矿以及DDOS病毒，本次深信服安全团队捕获到其最新样本，其感染方式利用了永恒之蓝，MSSQL爆破，SSH爆破，wmi以及smb爆破远程命令执行等，同时对windows和linux进行攻击，一旦该病毒进入内网，会在内网迅速传播。目前其主要感染地区在广东、浙江、上海以及江苏。详细分析该病毒母体模块分为2个版本，x86和x64，x86使用antitrojan.ps1，x64使用antivirus.ps1，本次分析x64版本的antivirus.ps1。当前病毒版本为1.5。母体payload分布以及执行图，antivirus.ps1中主要分为3

一分钟了解什么是挖矿木马什么是挖矿木马？攻击者通过各种手段将挖矿程序植入受害者的计算机中，在受害者不知情的情况下利用其计算机的云算力进行挖矿，从而获取利益，这类非法植入用户计算机的挖矿程序就是挖矿木马。挖矿木马，挖的是啥？由于比特币的成功，许多基于区块链技术的数字货币纷纷问世，如以太币、达世币等；从深信服安全团队接到的挖矿木马案例来看，门罗币是最受挖矿木马青睐的数字货币，主要有如下几个原因：1. 门罗币交易价格可观；2. 门罗币是一种匿名币，安全性更高；3. 门罗币的算法通过计算机CPU和GPU即可进行运算，不

我们最近在Google Play上发现了49种新的广告软件应用，它们伪装成游戏和时尚相机。这些应用程序是典型的广告软件，它们隐藏在移动设备中以显示广告并部署防卸载和逃避功能。这些应用程序不再可用，但是在被Google拒绝之前，下载总数已超过300万。这次最近的事件延续了移动广告软件激增的持续趋势–仅在去年八月，我们发现了85个假摄影和游戏广告软件应用程序，它们也采用了独特的技术来逃避检测。对于移动公司来说，这些广告软件应用程序一直是一个长期存在的问题。Google需要一波又一波地淘汰广告-在8月份发布一批广告软件应用之前，七月

对求生感觉最近一直很火，当然作为一个程序员来说我是不怎么喜欢玩游戏的，特别是这种烧配置的游戏。最关键还是没钱。绝对求生的各种辅助（外挂）遍地横生，也听说卖外挂月收入几万、几十万，也有很多人在问我要不要写个外挂然后卖赚点钱。对于这些我还是一口否决了（我就一个web开发的程序员不懂0day不懂游戏不懂cs开发叫我怎么写，在这堆不懂程序的人面前不能说自己不会，因为他们觉得程序员就是万能的）。正题：朋友在卖外挂（跟我没关系我没同流合污）虽然我不喜欢但是也不反感，他让我看看能不能写个外挂就给我发了一个外挂。压缩包打

在过去的几个月里，FortiGuard SE团队一直在利用和增强Fortinet机器学习系统来检测新出现的威胁。最近，其中一台机器检测到一个异常的峰值，正是根据这个结果，我们发现了一个恶意软件活动，该活动在过去一段时间曾专门针对日本用户。与大多数钓鱼活动一样，这种攻击从一封试图欺骗收件人打开附件的电子邮件开始，在本文的示例中，附件是一个恶意的Excel文档，其中包含恶意宏。然而，在这次调查中，我们发现了这些攻击者使用的反分析技术，以及一个Excel变量(目前没有文档记录)。FortiGuard机器学习系统发现的异常峰值观察到的流量主要集中

我们发现了一个间谍软件（检测为ANDROIDOS_MOBSTSPY），该间谍软件伪装成合法的Android应用程序，可以从用户那里收集信息。这些应用程序已于2018年在Google Play上下载，其中一些记录已被全世界用户下载超过100,000次。我们最初研究的应用程序之一是名为Flappy Birr Dog的游戏，如图1所示。其他应用程序包括FlashLight，HZPermis Pro Arabe，Win7imulator，Win7Launcher和Flappy Bird。自2018年2月以来，这些应用中有五分之二已从Google Play暂停。截至撰写本文时，Google已从Google Play中删除了所有这些应用。图1. Flappy Birr Dog下载页

在今年年初，Google 更新了其在Android应用程序中的权限请求，尤其是对SMS和CALL Log权限的受限访问。Google还增加了对非默认应用程序（或不提供关键核心功能的应用程序）的要求，使它们可以提示并请求用户访问设备数据的权限。此限制旨在防止伪造或恶意应用滥用这些功能来传递恶意软件，窃取可识别个人身份的信息或进行欺诈。但是，正如去年的移动威胁态势所示，欺诈者和网络犯罪分子将始终努力追随金钱，无论是调整其策略，寻找绕过限制的方法，还是在最近的案例中，我们都仿效过时的做法，和经过测试的技术。最近，我们在Google Play上

Check Point研究人员最近发现了一种新的移动恶意软件变种，它悄悄感染了大约2500万个设备，而用户仍然完全不知道。伪装成与Google相关的应用程序，恶意软件的核心部分利用各种已知的Android漏洞，并自动将设备上已安装的应用程序替换为恶意版本，而无需用户干预。这种独特的实时设备上（JIT）方法启发了研究人员将这种恶意软件称为“ Agent Smith”。“ Agent Smith”目前使用对设备资源的广泛访问来展示欺诈性广告，以获取经济利益。此活动类似于以前的活动，例如Gooligan，HummingBad和CopyCat。到目前为止，主要目标是印度，尽管其他亚

当这个Project Zero报告出来时，我开始更多地考虑将USB作为物联网设备的一个有趣的攻击面。其中许多设备允许用户插入USB，然后自动使用该USB执行某些操作，并且自动功能可能过于信任USB设备。那个帖子在我的脑海中被遗忘了，并且大部分都被遗忘了一段时间，直到带有USB端口的物联网设备出现在我的门口，带有USB端口。可悲的是，我还没有得到提到的Raspberry Pi Zero并且运输可能需要比我的注意力范围允许更长的时间，但是一位同事提到Android有ConfigFS支持所以我决定调查那条路线，但让我们稍微回顾一下并设置场景。我发现有问题的物联网

自从它于2015年首次出现以来，Asruex以其后门功能和与间谍软件DarkHotel的连接而闻名。然而，当我们在PDF文件中遇到Asruex时，我们发现恶意软件的变体也可以充当传感器，特别是通过使用旧的漏洞CVE-2012-0158和CVE-2010-2883，它们在Word中注入代码并且分别是PDF文件。使用旧的修补漏洞可能暗示该变体的设计知道它可以影响使用旧版Adobe Reader（版本9.x至9.4之前）和Acrobat（版本8.x至8.2之前）的目标.5）在Windows和Mac OS X上。由于这种独特的感染能力，安全研究人员可能不会考虑检查Asruex感染的文件，并继续专注于其后门能力。意识到

【快讯】近日，火绒安全团队根据用户反馈，发现一起利用腾讯QQ升级漏洞植入后门病毒的攻击事件，攻击者可利用该漏洞下发任意恶意代码。截止到目前，最新版QQ（包括TIM、QQ、QQ轻聊版、QQ国际版等等）都存在该漏洞。经分析，该事件中被利用的升级漏洞曾在2015年就被公开披露过（https://www.secpulse.com/archives/29912.html），之后腾讯对该漏洞进行修复并增加了校验逻辑。但从目前来看，QQ此处升级逻辑仍存在逻辑漏洞。另外，在排除本地劫持的可能后（LSP、驱动劫持等等），火绒工程师推测可能是运营商劫持或路由器劫持。通过和用户沟通

7月份，我们遇到了一个网上诱骗电子邮件，声称是一个新订单通知，其中包含一个恶意附件，该附件通向远程访问工具Remcos RAT（趋势科技检测为BKDR_SOCMER.SM）。此攻击使用AutoIt包装器提供Remcos，该包装器结合了各种混淆和反调试技术来逃避检测，这是分发已知恶意软件的常用方法。2016年出现了Remcos RAT作为黑客论坛中的服务 - 广告，销售和提供在各种网站和论坛上破解。RAT似乎仍然受到网络犯罪分子的积极推动。2017年，我们曾报道点滴Remcos被传递通过一个恶意的PowerPoint幻灯片，与利用为CVE-2017-0199嵌入式。最近，RAT已经成为网络

CobaltStrike（以下全部简称为CS）是渗透测试中常用的一个后渗透工具，它可以快速地生成后门并通过其控制目标主机。其中，捆绑型后门是攻击者较为喜欢的一种后门，因为其具有较好的隐蔽性及免杀效果。下面，就来剖析一下该类后门的捆绑及免杀原理。1. 后门制作制作捆绑型后门前，先得创建一个监听器用于与后门通信，点击 Cobalt Strike-Listener创建一个监听器，填上IP和端口号，点击save，就可完成创建。选择端口时，可以使用一些较少为使用的协议端口，好伪装，如下选择的2333端口，是snapp协议的端口。接下来，就可以制作捆绑型的后门，

网络威胁研究团队Makoto Shimamura由于其作为最活跃的物联网（IoT）恶意软件系列之一而臭名昭着，Mirai是一个恶意软件家族系统管理员，始终密切关注以确保系统和设备受到保护。尽管恶意软件已经收到了所有关注，但似乎网络犯罪分子仍在不断开发和使用这种恶意软件。自从发现新的Miori变种以来仅仅一个月，我们通过我们的研究发现了另一个新的Mirai样本。与以前的Mirai变种一样，它允许攻击者通过IP摄像头和DVR等物联网设备中的暴露端口和默认凭据进行远程访问和控制，并允许攻击者通过各种方法（如用户）使用受感染设备进行分布式拒绝服务

Elasticsearch对网络犯罪滥用并不陌生，因为它受到了组织的欢迎和使用。事实上，今年第一季度看到的攻击激增-无论是通过利用漏洞或利用安全漏洞的-水平反对Elasticsearch服务器。这些攻击主要是提供 加密货币挖掘恶意软件，就像我们去年看到的一次攻击一样。我们发现的最新攻击通过提供后门作为其有效载荷而偏离了通常的利润驱动动机。这些威胁可以将受影响的目标转变为分布式拒绝服务（DDoS）攻击中使用的僵尸网络僵尸。攻击链涉及搜索暴露或可公开访问的Elasticsearch数据库/服务器。恶意软件将使用带有编码Java命令的攻击者制作的搜索查