后门

观察到威胁行为者在受感染的WordPress站点上安装废弃的Eval PHP插件以进行后门部署。 Sucuri的研究人员警告说，威胁行为者正在受感染的WordPress网站上安装废弃的Eval PHP插件以进行后门部署。 Eval PHP插件允许…

CrowdStrike的新发现显示，未知威胁行为者使用恶意自解压存档 (SFX) 文件，试图建立对受害者环境的持久后门访问。 SFX文件能够提取其中包含的数据，而无需专用软件来显示文件内容。它通过包含一个解压缩程序存根…

被追踪为RedGolf的威胁活动组织被归因于使用名为KEYPLUG的自定义Windows和Linux后门。 Recorded Future告诉The Hacker News：“RedGolf是一个特别多产的中国国家支持的威胁组织，可能多年来一直活跃于全球范围内的…

据称与中国有关的威胁行为者使用自定义后门感染了未打补丁的 SonicWall 安全移动访问(SMA)设备。 Mandiant研究人员报告称，据称与中国有关的威胁行为者（被追踪为UNC4540）在SonicWall SMA设备上部署了自定义恶意…

Broadcom Symantec 研究人员发现了一种新的恶意软件，被追踪为 Frebniis，它滥用 Microsoft Internet Information Services (IIS) 来部署后门并监视所有 HTTP 流量到受感染系统，Symantec 报告。 目前未知的威胁…

译文声明 本文是翻译文章，文章原作者Ruian Duan, Omar Alrawi, Ranjita Pai Kasturi, Ryan Elder, Brendan Saltaformaggio, Wenke Lee，文章来源：arxiv.org原文地址：https://arxiv.org/pdf/2002.01139.pdf 译…

0.前言 本篇文章记录下9-2样本的分析步骤, 依然以IDA为主,OD为辅. 样本中涉及到了一个简单的字符串内存解密的操作. 1.初步静态分析 查壳 一个简单的无壳程序 提串看一下 排除掉垃圾信息, 只有一些API名字和一个cm…

概述该样本为无文件门罗币挖矿，传播行为通过ms17010和hash传递进行传播，相关脚本保存在WMI 对象中，挖矿程序通过开源的PowerSploit中Invoke-MemoryLoadLibrary进行调用，相关操作比较隐蔽，在分析时部分相关的…

 背景 近期，安恒信息威胁情报中心猎影实验室监测到大量通过免费网盘进行攻击载荷存储与分发的恶意样本，其样本在执行过程中使用了多家知名公司带签名的正常程序内存加载木马程序。根据投递的文件名称，判断…

译文声明 本文是翻译文章，文章原作者arxiv，文章来源：arxiv.org原文地址：https://arxiv.org/pdf/2011.09527 译文仅供参考，具体内容表达以及含义原文为准 数据中毒和后门攻击是通过恶意修改训练数据来操纵受害…

1.    概述Cobalt Strike是渗透测试神器,其功能简介就不用多说了，其4.0版本更新已有一段时间了，这里献丑分析一下，若有错误的地方望大伙指出，谢谢。2.    样本信息样本名   &nb…

背景： 基于现阶段红蓝对抗强度的提升，诸如WAF动态防御、态势感知、IDS恶意流量分析监测、文件多维特征监测、日志监测等手段，能够及时有效地检测、告警甚至阻断针对传统通过文件上传落地的Webshell或需以文件形…

译文声明 本文是翻译文章，文章原作者Catalin Cimpanu，文章来源：原文地址：https://www.zdnet.com/article/vietnam-targeted-in-complex-supply-chain-attack/ 译文仅供参考，具体内容表达以及含义原文为准× …

周日晚，某群里突然发布了一则消息，宝塔面板的phpmyadmin存在未授权访问漏洞的紧急漏洞预警，并给出了一大批存在漏洞的URL： 随便点开其中一个，赫然就是一个大大的phpmyadmin后台管理页面，无需任何认证与登录…

  作者：H4lo@海特实验室 前言 2020年2月4日，有外国研究人员发表了一篇文章：基于Xiongmai的DVR，NVR和IP摄像机的固件后门漏洞。最新的固件版本虽然默认禁用了Telnet访问和调试端口（9527/tcp），但打开了9…