在我们的第一篇文章中，我们讨论了有针对性的勒索软件攻击的增长模式，其中第一个感染阶段通常是一种信息窃取类恶意软件，用于获取凭据/访问权以确定目标是否对勒索软件攻击有价值。在第二部分中，我们将从中断的地方继续前进：攻击者可以通过控制受感染的主机来在网络上立足，或者拥有有效的帐户来访问远程服务。使用有效的帐户或有权访问公司系统的东西，您要了解的前两件事是：我可以从这台机器获得什么样的权利？我在这个网络中到底在哪里？作为响应者，您会观察到的第一个命令是“ whoami / all”。该命令的输出将提供攻击者在计算机

多年来，我一直在数字取证，恶意软件分析和威胁情报领域工作和教学。在上一堂课时，我们总是谈论洛克的交换原则：“两个项目接触，就会进行交换”。如果我们将其转换为数字世界：“当对手违反系统时，他们将留下证据的痕迹”。面临的挑战通常是如何及时发现证据以采取行动并发现可用于检测的来源。易失性证据来源必须尽快得到保护，而非易失性证据来源的优先级较低。波动顺序的一个例子：在本系列的两篇文章中，您将看到一个示例，这是我们在过去几个月中一直关注的趋势。在第一阶段，公司会受到某种信息窃取恶意软件（Azorult，Dridex，T

威胁行动者正在不断创造出更复杂的方式来使恶意软件逃避防御。我们已经观察到Netwalker 勒索软件攻击所涉及的恶意软件不是经过编译而是用PowerShell编写，而是直接在内存中执行，而没有将实际的勒索软件二进制文件存储到磁盘中。这使该勒索软件变种成为无文件的威胁，从而使其能够保持持久性并通过滥用系统中已经存在的工具来发起攻击来逃避检测。这种类型的威胁利用了一种称为反射式动态链接库（DLL）注入的技术，也称为反射式DLL加载。该技术允许从内存而不是从磁盘注入DLL。该技术比常规的DLL注入更为隐秘，因为除了不需要磁盘上的实际

我们最近注意到MalwareHunterTeam 在Twitter上发布的帖子显示Java下载器的检测率较低。其名称为“由于Covid-19爆发CI + PL.jar而导致的公司PLP_Tax减免”，表明它可能已用于以Covid-19为主题的网络钓鱼活动。运行该文件导致下载了一个用Node.js编写的，未检测到的新恶意软件样本。该木马被称为“ QNodeService”。对于编写商品恶意软件的恶意软件作者来说，使用Node.js是不寻常的选择，因为它主要是为Web服务器开发而设计的，并且不会预先安装在可能成为目标的机器上。但是，使用不常见的平台可能有助于逃避防病毒软件的检测。该恶意软件具

前言本文分析的病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。该病毒会扫描端口，目标机器被成功攻陷后会从攻击机下载WannaCry病毒进行感染，并作为攻击机再次扫描互联网和局域网其他机器，形成蠕虫感染。病毒运行1.电脑感染勒索病毒后，电脑桌面出现新的文本文件或网页文件，敲诈加密程序tasksche.exe、敲诈者解密程序 @WanaDecryptor@.exe

概述在本篇文章中，我们将重点介绍Mispadu，这是一个主要以拉丁美洲地区为目标的银行木马，伪装成麦当劳的广告从而将其攻击面扩展到Web浏览器。我们认为，该恶意软件家族针对的是普通用户，其主要目标是窃取金钱和用户凭据。在巴西地区，我们发现其背后的攻击者分发了一个恶意的Google Chrome扩展程序，该程序时图窃取信用卡数据和在线网银数据，并伪装成Boleto支付系统。恶意软件特征Mispadu是一个恶意软件家族，我们在针对拉丁美洲银行木马的研究过程中发现该恶意软件，该恶意软件家族主要针对巴西和墨西哥，使用Delphi语言编写，使用相

说明：  萌新一枚，最近一段时间在面试病毒相关岗位，有的公司会电话、远程面试询问相关知识，有的则会直接发送病毒样本要求分析，写出分析报告。下面要分析的就是面试过程中的某个样本，整理成文，发表出来，供大家参考学习，一起进步！如有不当之处，也希望大佬批评指正，晚辈一定虚心受教。由于考虑到时间问题，不能让面试官等太久，所以我只将病毒关键功能模块进行分析说明，没有之前文章那么详细，也请大家见谅，不懂之处欢迎提出，我也尽量解答，加油！注意：  此样本存在成人图片内容，未成年同学请勿下载

【快讯】近日，有企业用户向火绒安全团队求助，称电脑CPU、带宽无缘无故占用变高，电脑出现发热、变慢等现象。火绒工程师远程查看后，在用户电脑中发现一组暗刷木马造成上述现象。经溯源发现是来自一款名为“舟大师”的程序携带点击器木马，目前火绒已对该其进行拦截查杀。根据火绒工程师分析显示：1、该软件在未经过用户同意的情况下，进行默认安装；2、安装后默认执行开机自启，在没有任何提示的情况下，根据云控指令通过隐藏浏览器窗口暗刷特定搜索词；3、该软件没有卸载程序，普通用户无法卸载。上述行为均在用户完全不知的情况下完成

近日，深信服安全团队捕获到一款新型的Linux挖矿木马，该木马通过bash命令下载执行多个功能模块，通过SSH暴力破解、SSH免密登录利用、Hadoop Yarn未授权访问漏洞和自动化运维工具内网扩散，且该木马的文件下载均利用暗网代理，感染后会清除主机上的其他挖矿木马，以达到资源独占的目的。感染现象被感染的Linux服务器上，可以明显看到一个CPU占用率很高的进程，名字为随机字符：查看进程对应的可执行文件，是以一串疑似MD5的字符命名（并非文件真实MD5），但已经被删除：通过crontab –l命令可以看到可疑的定时任务：定时任务对应的sh脚本内

因此，您可能听说过FBI已将三种恶意软件与一个名为Lazarus的朝鲜网络犯罪组织（或HIDDEN COBRA，请选择）相关联。第一个病毒是Dropper（这是我将在本文中分析的病毒），其中包含两个DLL（其他两个病毒）：功能齐全的远程访问工具（RAT）和蠕虫，它们利用SMB漏洞进行传播WannaCry利用并试图强行强制SMB登录。尽管这些压力在2009年开始出现，这意味着我参加该党已经很晚了，但联邦调查局没有更早地弄清这一点并不是我的错。和往常一样，您可以在VirusBay上下载所有三个文件。，如果您在这里获得文件的功能和概述，请跳到最后。无论如何，让分