Check Point研究人员最近发现了一种新的移动恶意软件变种，它悄悄感染了大约2500万个设备，而用户仍然完全不知道。伪装成与Google相关的应用程序，恶意软件的核心部分利用各种已知的Android漏洞，并自动将设备上已安装的应用程序替换为恶意版本，而无需用户干预。这种独特的实时设备上（JIT）方法启发了研究人员将这种恶意软件称为“ Agent Smith”。“ Agent Smith”目前使用对设备资源的广泛访问来展示欺诈性广告，以获取经济利益。此活动类似于以前的活动，例如Gooligan，HummingBad和CopyCat。到目前为止，主要目标是印度，尽管其他亚

当这个Project Zero报告出来时，我开始更多地考虑将USB作为物联网设备的一个有趣的攻击面。其中许多设备允许用户插入USB，然后自动使用该USB执行某些操作，并且自动功能可能过于信任USB设备。那个帖子在我的脑海中被遗忘了，并且大部分都被遗忘了一段时间，直到带有USB端口的物联网设备出现在我的门口，带有USB端口。可悲的是，我还没有得到提到的Raspberry Pi Zero并且运输可能需要比我的注意力范围允许更长的时间，但是一位同事提到Android有ConfigFS支持所以我决定调查那条路线，但让我们稍微回顾一下并设置场景。我发现有问题的物联网

自从它于2015年首次出现以来，Asruex以其后门功能和与间谍软件DarkHotel的连接而闻名。然而，当我们在PDF文件中遇到Asruex时，我们发现恶意软件的变体也可以充当传感器，特别是通过使用旧的漏洞CVE-2012-0158和CVE-2010-2883，它们在Word中注入代码并且分别是PDF文件。使用旧的修补漏洞可能暗示该变体的设计知道它可以影响使用旧版Adobe Reader（版本9.x至9.4之前）和Acrobat（版本8.x至8.2之前）的目标.5）在Windows和Mac OS X上。由于这种独特的感染能力，安全研究人员可能不会考虑检查Asruex感染的文件，并继续专注于其后门能力。意识到

【快讯】近日，火绒安全团队根据用户反馈，发现一起利用腾讯QQ升级漏洞植入后门病毒的攻击事件，攻击者可利用该漏洞下发任意恶意代码。截止到目前，最新版QQ（包括TIM、QQ、QQ轻聊版、QQ国际版等等）都存在该漏洞。经分析，该事件中被利用的升级漏洞曾在2015年就被公开披露过（https://www.secpulse.com/archives/29912.html），之后腾讯对该漏洞进行修复并增加了校验逻辑。但从目前来看，QQ此处升级逻辑仍存在逻辑漏洞。另外，在排除本地劫持的可能后（LSP、驱动劫持等等），火绒工程师推测可能是运营商劫持或路由器劫持。通过和用户沟通

7月份，我们遇到了一个网上诱骗电子邮件，声称是一个新订单通知，其中包含一个恶意附件，该附件通向远程访问工具Remcos RAT（趋势科技检测为BKDR_SOCMER.SM）。此攻击使用AutoIt包装器提供Remcos，该包装器结合了各种混淆和反调试技术来逃避检测，这是分发已知恶意软件的常用方法。2016年出现了Remcos RAT作为黑客论坛中的服务 - 广告，销售和提供在各种网站和论坛上破解。RAT似乎仍然受到网络犯罪分子的积极推动。2017年，我们曾报道点滴Remcos被传递通过一个恶意的PowerPoint幻灯片，与利用为CVE-2017-0199嵌入式。最近，RAT已经成为网络

CobaltStrike（以下全部简称为CS）是渗透测试中常用的一个后渗透工具，它可以快速地生成后门并通过其控制目标主机。其中，捆绑型后门是攻击者较为喜欢的一种后门，因为其具有较好的隐蔽性及免杀效果。下面，就来剖析一下该类后门的捆绑及免杀原理。1. 后门制作制作捆绑型后门前，先得创建一个监听器用于与后门通信，点击 Cobalt Strike-Listener创建一个监听器，填上IP和端口号，点击save，就可完成创建。选择端口时，可以使用一些较少为使用的协议端口，好伪装，如下选择的2333端口，是snapp协议的端口。接下来，就可以制作捆绑型的后门，

网络威胁研究团队Makoto Shimamura由于其作为最活跃的物联网（IoT）恶意软件系列之一而臭名昭着，Mirai是一个恶意软件家族系统管理员，始终密切关注以确保系统和设备受到保护。尽管恶意软件已经收到了所有关注，但似乎网络犯罪分子仍在不断开发和使用这种恶意软件。自从发现新的Miori变种以来仅仅一个月，我们通过我们的研究发现了另一个新的Mirai样本。与以前的Mirai变种一样，它允许攻击者通过IP摄像头和DVR等物联网设备中的暴露端口和默认凭据进行远程访问和控制，并允许攻击者通过各种方法（如用户）使用受感染设备进行分布式拒绝服务

Elasticsearch对网络犯罪滥用并不陌生，因为它受到了组织的欢迎和使用。事实上，今年第一季度看到的攻击激增-无论是通过利用漏洞或利用安全漏洞的-水平反对Elasticsearch服务器。这些攻击主要是提供 加密货币挖掘恶意软件，就像我们去年看到的一次攻击一样。我们发现的最新攻击通过提供后门作为其有效载荷而偏离了通常的利润驱动动机。这些威胁可以将受影响的目标转变为分布式拒绝服务（DDoS）攻击中使用的僵尸网络僵尸。攻击链涉及搜索暴露或可公开访问的Elasticsearch数据库/服务器。恶意软件将使用带有编码Java命令的攻击者制作的搜索查

Dephi- 木马分析0x0 前言样本本身为Dephi编写，本人并不精通dephi编写的思路，所以如果存在纰漏或者错误，还请指出，共同进步。样本本身因为存在混淆，乱序，并且我没有找到可以去混淆乱序的工具，只能手动调试。看起来比较麻烦。适合新手。0x01 样本信息样本MD5: 067C37A6C5CFF406520914AABACA3136样本大小: 537K语言: Dephi来源:https://www.virustotal.com/gui/file/9ae664348eb29f92142f177b1abb142ca93bb35246165e8fc62f965d337be71b/detection查壳，Dephi编写0x02 环境与工具Win 32、OD、IDA、python0x03 分析原始样本分析寻找突破口

作者：Daniel Lunghi和Jaromir Horejsi我们发现了似乎佩戴MuddyWater徽章的新广告系列。对这些活动的分析揭示了新工具和有效载荷的使用，这表明着名的威胁行动者小组正在不断发展他们的计划。我们还挖掘并详细介绍了我们对MuddyWater的其他调查结果，例如它与四个Android恶意软件系列的连接以及使用虚假旗帜技术等等，在我们的报告中发现了“ 新的泥泞活动未被发现：威胁演员使用的多阶段后门，虚假旗帜” ，Android恶意软件等。”其中一项活动向约旦大学和土耳其政府发送了鱼叉式网络钓鱼电子邮件。上述合法实体的发件人地址并未欺骗欺骗

据网络安全服务专家报道，一名自称为Lab Dookhtegan的黑客组织透露了有关与伊朗政府有关的一群恶意黑客OilRig部署黑客攻击活动的一些细节。OilRig是一组与伊朗政权有关的先进持续性威胁（APT）至少自2014年以来一直活跃。除了美国的电力，电信和制药公司以及中东的一些国家外，该组织的主要受害者是金融和政府组织。 。根据网络安全服务专家的说法，Lab Dookhtegan黑客在Telegram 频道上发布了有关OilRig黑客攻击活动和基础设施的信息; 泄露的信息包含数据，例如黑客组成员的名称，使用的工具以及攻击中涉及的IP地址和域。最有可能的是，负

我们使用垃圾邮件中的重定向URL发现了Trickbot银行木马的一种变体（趋势科技检测为TrojanSpy.Win32.TRICKBOT.THDEAI）。在这种特殊情况下，该变体使用Google从URL hxxps：// google [。] dm：443 / url？q = 重定向，其中查询字符串中的URL，url？q = ，是用户重定向到的恶意URL。重定向URL是一种回避可能在开始时阻止Trickbot的垃圾邮件过滤器的方法。因此它为电子邮件和重定向提供了一些真实性。

我们的概述为您提供信息和资源链接; 我们将涵盖所有Microsoft平台的所有主要更新版本，概述关键更新（您可能希望快速解决），操作系统分发统计信息和下载说明。

Microsoft的May 安全版包括针对许多Microsoft产品的80个漏洞的更新，包括主要客户支持通知中未包含的不支持的操作系统（如Windows XP和Server 2003）的安全更新

最近，一个有趣的矿工实现出现在卡巴斯基实验室的雷达上。我们称之为PowerGhost的恶意软件能够在一个系统中秘密地建立自己，并传播到感染工作站和服务器的大型企业网络中。

新一轮的Qakbot或Qbot银行恶意软件活动利用先进的持久性机制来窃取凭证并耗尽其银行账户，Qbot主要针对具有复杂规避技术的企业，以保持未被发现并使用户更难以检测和删除恶意软件。

BasBanke是针对巴西用户的新Android恶意软件系列。它是一种银行木马，用于窃取凭证和信用卡/借记卡号等财务数据，但不限于此功能。这种威胁的传播始于2018年的巴西选举期间，仅从官方谷歌Play商店到2019年4月就已经安装了10,000多个装置。

我们的蜜罐传感器最近检测到一个AESDDoS僵尸网络恶意软件变种（趋势科技检测为Backdoor.Linux.AESDDOS.J）利用Atlassian Confluence Server中Widget连接器宏中的服务器端模板注入漏洞（CVE-2019-3396），DevOps专业人员使用的协作软件程序。

OTS社区_各种自动化可以帮助人们完成日常工作，使其更快更简单。虽然ATM欺诈是一种非常特殊的工作，但是一些网络犯罪分子花了很多精力来实现自动化。在2018年3月，我们遇到了一个名为WinPot的相当简单但有效的恶意软件。它的创建是为了让一家受欢迎的ATM供应商自动分配ATM，以便从他们最有价值的磁带中自动分配所有现金。我们称之为ATMPot。

在1月到2月的最后一周之间，我们注意到黑客工具安装尝试的增加，这些尝试将看似随机的文件丢弃到Windows目录中。最初出现不相关的分析显示最终有效载荷是Monero加密货币挖掘恶意软件变体，因为它扫描开放端口445并利用Windows SMB服务器漏洞MS17-010（2017年打补丁）进行感染和传播例程，目标公司为中国，台湾，意大利和香港。