概述 XiaoBa勒索病毒,是一种新型电脑病毒,是一款国产化水平极高的勒索病毒,主要以邮件,程序木马,网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。倒计时200秒还不缴赎金,被加密的文件就会被全部销毁。 以上说明摘自百度百科,但是我分析的这个XiaoBa变种并没有以上行为特征,不过它拥有很强的隐蔽性和感染性,并且具有文件加密,文件删除和挖矿三项主要功能。 样本分析 此样本经过微步云沙箱分析(相关链接请参见《参考链接》),确认为恶意样本 行为简图 权限调整 样本运行之后,首先调整进程权限,确保自己有足够的权限进行后续的操作    ...

0×1 概况 海莲花(OceanLotus)也叫APT32或APT-C-00,是一个长期针对中国及其他东亚国家(地区)政府、科研机构、海运企业等领域进行攻击的APT组织。近日腾讯御见威胁情报中心捕获到了一个该组织的最新攻击样本。在本次攻击事件中,该组织使用了CVE-2017-11882漏洞并结合白签名利用程序来最大化隐藏自己的后门木马。后门木马将常驻用户电脑,并根据云控指令伺机窃取机密信息或进行第二阶段攻击。 (攻击流程图) 0×2 载荷投递 本次攻击时使用了CVE-2017-11882漏洞文档,诱饵文档文件名为《Document_GPI Invitation-UNSOOC China.doc》,内容为一模糊的图片。 ...

快上车!我们一起去幼儿园,哦不,是去黑客 party 逛一圈。 阳光明媚的午后,我正认真看着安全相关的新闻,突然,手机叮咚一响,收到了一条消息:“小姐姐,你去 DEFCON China 吗?” 打开手机一看,这不是那个 13 岁就学着破解网站,自己看书钻研到现在已经可以写出完整技术文还能挖洞的 FreeBuf ...

由于我个人时间的限制,因此我很少或者说是几乎不参加赏金计划任务。虽然我早早的就注册了HackerOne,但你们可以到我的主页并没有任何的记录。在这里我不得不提及我的同事,他与我截然相反,可以说他把大部分时间都花在了研究赏金计划上。就在上个月的一个傍晚,当我们连接到我们的工作Jabber server时,他告诉我成人网站YouPorn也已在HackerOne上,启动了他们的bug奖励计划: 他:今天youporn加入了bug赏金计划 我:在hacker one? 他:是的 我:没时间,我正在迁移我的DNS服务器 当我正在阅读关于绑定的文档时,他回复了我: 他: oh shit,不敢相信,搜索栏中存在可利用的XSS 事情开始变得有趣起来,使我不得不停下手中的工作。我很惊讶,这个问题之前竟然没有人能发现它。搜做表单中的XSS是最基本的情况之一,我和我的朋友都经常逛YouPorn,但从来没有发现过这个问题。 时间对我们来说是非常宝贵的,我们必须要在其他人之前利用并报告该漏洞。 从缺少过滤到开放重定向 我启动了浏览器和Burp,并在搜索表单上发送了一个请求。我搜索了foobar”。正如你在下面的截图中看到的那样,搜索词是在meta标签中,以没有任何过滤(大写字母除外)的形式输出的: ...

近期,360安全卫士监测到了一批通过微信群传播的远控木马,木马针对在网上倒卖微信号的人群定向投放。卖号人的交流群里时常有不同的小号在散播诱导性的木马程序,不知情的卖号人运行木马后,电脑上就被植入后门。 认识卖号人 在分析远控木马之前,我们先来认识一下这批远控木马的目标人群——卖号人。卖号分为很多种,本文主要指的是倒卖微信号,更具体的应该是卖“微信62数据”。这里简单认识一下“微信62数据”,这个数据是微信用户登录新设备后生成的加密数据,通过导入该数据到新设备中,可以跳过新设备登录验证的步骤直接登录账号,这一串数据是以数字“62”开头,被卖号人习惯性的称为“62数据”。如下是一条卖号人提供的微信号数据,格式为“账号—密码—62数据—最后登录时间”。 图1 众所周知,微信是个天然营销的平台,围绕在微信圈里的产业链更是举不胜举,自然就有人搞起了微信号的买卖交易。而对于账号交易至关重要的62数据,本身使用起来颇为麻烦(需要辅助工具),所以免不了有人要做一些科普性工作,网上随便找一下62数据相关。 图2 看上去营销工作做得还可以,于是加扣扣打探一下行情,发现的确是一条产业链。 ...