存档

文章标签 ‘恶意代码’

在签名的程序中隐藏和执行恶意软件?

2016年10月16日 3 条评论

在Blackhat USA 2016上,来自Deep Instinct的安全研究人员呈现了一个名为《Certificate Bypass: Hiding and Executing Malware from a Digitally Signed Executable》的演讲,咋一看还觉得挺惊奇的,听过演讲之后才发现原理十分简单,而且大部分内容都集中在内存加载PE文件上,于是忍不住又是一阵惊奇:这也可以?在仔细读完作者的Paper之后,发现和传统技术点还是有区别的,不过也有很大的限制。
早期的恶意[......]

继续阅读

诡异的百度实时热点以及搜索引擎劫持

2012年9月23日 14 条评论

去年的某个时候,百度推出了个性化的首页,当百度注册用户登录时可以选择一个个性化的百度页面,个人最关注的当属“实时热点”这一个小模块,按我个人的理解,这个模块罗列出当前热门的搜索关键字,类似从百度实时热点排行榜抽取数据。

今天在“实时热点”发现了一个叫做“利来娱乐”的关键词,抱着好奇的心态我点开了其中一个链接,结果居然跳转到了一个博彩网站,可网站明明写着“三秦都市报”呀,第一感觉就是“三秦都市报”被黑了,同时进行了搜索引擎劫持。所谓搜索引擎劫持,通俗地讲就是在页面代码中断流量是否来自搜索引擎,如果是则跳转到第三方网址,否则打开正常页面。[......]

[译]追踪PlugX Rat作者

2012年9月21日 9 条评论

若干天前,趋势科技发布了一些关于PlugX的信息(RAT的一种新版本)。最近几个月以来我们一直在追踪一群人,他们使用PlugX RAT来攻击不同的目标,尤其是日本、台湾、韩国以及西藏的组织和个人。

本文将着重讲解我们从攻击样本中提取出来的情报信息以及我们如何利用这些信息来追踪RAT的作者,该作者很有可能也参与了这些攻击事件。

在过去的几个月中我们看到了一些使用微软Office溢出攻击(CVE-2012-0158)针对西藏目标发起的钓鱼活动,其中用到的Office恶意文档使用了这样的技巧:恶意样本下载下来的是一个NVIDIA正常文件(NvSmart.exe)、一个DLL(NvSmartMax.dll)以及一个二进制文件(boot.ldr),赛门铁克公司有解释过这种技术。[......]

Windows NT WinLogon Notify

2012年5月31日 没有评论

在NT系列Windows操作系统中,恶意软件可以通过关联Winlogon特定的事件来使自身被启动,如Lock,Logoff,Logon,Shutdown,StartScreenSaver,StartShell,Startup,StopScreenSaver,Unlock等,这甚至能够使得恶意软件在安全模式下被加载。WinLogon的通知事件在注册表的位置是:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

当WinLogon.exe产生一个事件通知的时候,Windows会检查注册表里面指定的DLL并调用DLL指定的导出函数。示例(当屏幕锁定时调用WinLogonDemo.dll导出的LockFun函数)。

从Windows Vista开始,这项特性被取消了。可以通过注册一个服务来监听相应的事件(部分事件不支持),参见Using Service Control Manager (SCM) Notifications[......]