![](https://img-blog.csdnimg.cn/20201014180756922.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
安全知识
文章平均质量分 73
病毒,安全事件
Sword-heart
悟已往之不谏 知来者之可追
展开
-
文件结构介绍
壳是在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。我们通常将 壳 分为两类,一类是压缩壳,另一类是加密壳。压缩壳早在 DOS 时代就已经出现了,但是当时因为计算能力有限,解压开销过大,并没有得到广泛的运用。使用压缩壳可以帮助缩减 PE 文件的大小,隐藏了 PE 文件内部代码和资源,便于网络传输和保存。原创 2022-08-23 23:19:32 · 2209 阅读 · 0 评论 -
恶意文件分类
后门程序就是留在计算机系统中,供某位特殊使用者通过某种特殊方式控制计算机系统的途径。后门程序,跟我们通常所说的"木马"有联系也有区别。联系在于:都是隐藏在用户系统中向外发送信息,而且本身具有一定权限,以便远程机器对本机的控制。区别在于:木马是一个完整的软件,而后门则体积较小且功能都很单一。后门程序类似于特洛依木马(简称"木马"),其用途在于潜伏在电脑中,从事搜集信息或便于黑客进入的动作。后门程序和电脑病毒最大的差别,在于后门程序不一定有自我复制的动作,也就是后门程序不一定会“感染”其它电脑。原创 2022-08-23 23:04:41 · 3767 阅读 · 0 评论 -
获取特定账户操作权限
获取特定账户操作权限NTLM认证1.用户通过输入的windows账户和密码登录客户端主机。在登录之前,客户端会缓存输入的密码的哈希值,原始密码被丢弃。成功登录客户端的windows的用户如果试图访问服务器资源,需要向对方发送一个请求。该请求中包含一个以明文表示的用户名。2.服务器收到请求后,生成一个16位的随机数。这个随机数被称为Challenge或者Nonce。服务器在将该challenge发给客户端之前,该challenge会先保存起来。Challenge以明文的形式发送。3.客原创 2022-01-24 09:12:45 · 131 阅读 · 0 评论 -
SMB会话枚举
SMB会话枚举原理说明攻击者通过用户探测后知道域内的用户和他们对应的权限,但是还不知道他们感兴趣的机器的IP,这时候可以通过SMB会话枚举(可以利用NetSess工具)来获取到哪个IP登陆了哪个账号。危害说明1、主机可能已被攻陷,成为内网跳板机对域控服务器进行攻击。2、主机可能已中毒,主机敏感信息存在被泄露的风险。处置建议1、推荐使用深信服EDR工具进行分析并查杀:http://edr.sangfor.com.cn/tool/SfabAntiBot.zip...原创 2022-01-24 09:10:01 · 863 阅读 · 0 评论 -
用户(组)探测攻击
用户(组)探测攻击原理说明攻击者只需要在域内某个主机上执行”net user /domain”, “net group /domain”之类的cmd命令,就可以进行用户(组)探测攻击,获取到域内的用户、用户组、以及对应的权限,从而确定下一步的攻击对象。危害说明1、主机可能已被攻陷,成为内网跳板机对域控服务器进行攻击。2、主机可能已中毒,主机敏感信息存在被泄露的风险。处置建议1、推荐使用深信服EDR工具进行分析并查杀:http://edr.sangfor.com.cn/tool原创 2022-01-24 09:08:55 · 526 阅读 · 0 评论 -
DNS探测
DNS探测原理说明攻击者伪造成副DNS服务器向域控服务器(同时也是DNS服务器)发起伪造AXFR请求,从而获取域的主机IP和对应域名,进一步确定攻击目标。危害说明1、主机可能已被攻陷,成为内网跳板机对域控服务器进行攻击。2、主机可能已中毒,主机敏感信息存在被泄露的风险。处置建议1、推荐使用深信服EDR工具进行分析并查杀:http://edr.sangfor.com.cn/tool/SfabAntiBot.zip...原创 2022-01-24 09:07:00 · 845 阅读 · 0 评论 -
DNS隧道
DNS隧道原理说明DNS隧道是一种隐秘隧道,通过将其他协议封装到DNS协议中传输建立通信的方式。因为DNS协议在网络中一种基础必不可少的服务,所以大部分防火墙和入侵检测设备是不会对对DNS流量进行拦截过滤,这就给DNS作为隐蔽通信提供了有力条件,从而可以利用它实现诸如僵尸网络或木马的远程控制通道和对外传输数据等。DNS隧道运营的原理可以归结为:“如果你不知道,请问别人”。当DNS服务器收到要解析的地址的DNS请求时,服务器开始在其数据库中查找。如果没有找到记录,则服务器向数据库中指定的域发送请求原创 2022-01-24 09:03:54 · 5011 阅读 · 0 评论 -
DNS放大攻击
DNS放大攻击原理说明利用DNS对DNS服务器发起DoS攻击:肉鸡向DNS服务器发起大量伪造DNS请求,当DNS服务器解析在本机数据库之中查询不到该域名信息时,会向下一级DNS服务器进行询问,但肉鸡本身就是发起大量伪造DNS域名请求,导致DNS服务器查询业务逐级放大,消耗DNS服务器资源,以至于正常的DNS请求无法及时得到响应。最终达到攻击DNS服务器的目的。利用DNS发起放大(DoS)攻击:放大攻击又叫杠杆攻击,攻击者不把通信包直接发给受害者,而是发给放大器(DNS服务器),然原创 2022-01-24 09:00:10 · 2834 阅读 · 0 评论 -
扫描事件介绍
扫描事件介绍1、原理说明利用TCP协议原理,对网络中存在主机IP和端口进行扫描,根据是否影响,查找互联网中存在的存活主机或开放的端口;而根据开放端口可以判断出该主机对外提供的协议;扫描事件相当于攻击事件前期的踩点活动,为攻击者下一步攻击做准备。2、危害说明主机感染类病毒,病毒欲想感染更多主机,先会对内网其他主机进行扫描,获取内网更多主机相关信息,为下一步攻击做准备;主机感染病毒后,可能导致该主机信息被攻击者窃取,如机密文件、关键资产的用户名和密码等。对互联网其他主机发起扫描,违反原创 2022-01-24 08:56:12 · 691 阅读 · 0 评论 -
暴力破解介绍
暴力破解介绍1、原理说明暴力破解即账号枚举,攻击者使用自己的用户名和密码字典,对目的服务器进行一个一个尝试登陆,主要字典足够强大,肯定就会猜解成功。尝试爆破成功后,为攻击者下一步渗透做准备。2、危害说明目的主机账号猜解成功后,攻击通常利用该账号做如下操作:1、攻击者通过泄露账户非法登录主机,盗取用户数据;2、攻击者通过泄露账户非法登录主机,注入病毒程序,执行挖矿或勒索,如gobleImposter勒索病毒、飞客蠕虫;3、攻击者通过泄露账户非法登录主机,作为跳板机攻原创 2022-01-24 08:49:18 · 4222 阅读 · 0 评论 -
Bad Rabbit
Bad Rabbit1、原理说明1、病毒概述2017年10月24日晚,俄罗斯、乌克兰等多个东欧国家遭Bad Rabbit勒索病毒的袭击,政府、交通、新闻等200多家机构收到不同程度影响。该勒索病毒通过虚假Flash更新链接传播,当用户访问被入侵控制的合法网站是,网页跳转到虚假的Flash更新网站,一旦用户下载并安装虚假的Flash更新包则导致系统被感染。且被感染主机开始SMB扫描内网主机,通过硬编码的用户名和密码对内网SMB服务器进行暴力破解。爆破成功后,利用永恒浪漫漏洞进行提权,再释放in原创 2022-01-23 20:41:23 · 352 阅读 · 0 评论 -
GlobeImposter
GlobeImposter1、原理说明1、病毒概述Globelmposter家族首次发现在2017年5月份,这次发现的样本为Globelmposter家族的最新样本,没有内网传播功能,其加密文件使用.TECHNO扩展名,取消了勒索付款的比特币钱包地址以及回传信息的“洋葱”网络地址,而是直接通过邮件地址告知受害者联系,然后取得相应的付款方式,由于Globelmposter采用RSA2048算法加密,目前该勒索样本加密的文件无解密工具。加密过程与以往的勒索软件并无太差差异,主要是差异在于..原创 2022-01-23 20:36:39 · 451 阅读 · 0 评论 -
Petya勒索病毒
Petya勒索病毒1、原理说明2017年6月27日晚,印度、俄罗斯、西班牙以及欧洲多国遭受大规模Petya勒索病毒袭击,该病毒远程锁定设备,并索要赎金。其中乌克兰地区受灾害最为严重,政府、银行、电力系统、通讯系统、企业等都受到不同程度的影响。此次攻击者采用早前Petya勒索病毒的变种,其传播方式和WannaCry类似,但该病毒除了使用永恒之蓝(MS17-010)漏洞之外,还罕见使用了黑客的横向渗透攻击技术。在勒索方面与WannaCry等不同之处在于,Petya木马主要通过加密硬盘驱动器主文件表(原创 2022-01-23 20:29:39 · 12231 阅读 · 0 评论 -
变种WannaCry
变种WannaCry1、原理说明1、病毒概述“永恒之蓝”勒索变种比较多,这次在医院传播的变种,其主要目的是为了挖矿。病毒作者是一个很有想法的人,他利用了“永恒之蓝”漏洞,但并不施行勒索,而是后台偷偷挖矿,让中毒主机默默为黑客长期赚外快。由于可通过“永恒之蓝”漏洞,在局域网内实现快速的横向传播,故感染量巨大。挖矿是一种非常占用系统资源的行为,故中毒主机可能出现卡顿现象。另外,利用“永恒之蓝”漏洞进行攻击的时候,可能会出现蓝屏现象。2、病毒分析(1)spoolsv.exe是母体文原创 2022-01-23 20:26:25 · 860 阅读 · 0 评论 -
WannaCry
WannaCry1、原理说明1、病毒概述又名Wanna Decryptor,它是蠕虫式病毒,它是通过MS17-010漏洞在全球范围内爆发,并短时间内感染大量的主机;该蠕虫感染了主机后,会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支持价值相当于300美元(约合2069人民币)的比特币才可以解锁;目前已经波及99个国家。该病毒通过KillSwitch域名开关进行控制,当病毒可以正常访问该域名(www.iuqerfsodp9ifjaposdfjhgosur原创 2022-01-23 20:19:33 · 2045 阅读 · 0 评论 -
暗云木马Ⅲ病毒
暗云木马Ⅲ病毒1、病毒简介暗云木马是迄今为止最复杂的木马之一,其通过感染硬盘MBR(主引导记录)——这是电脑开机时最早加载的程序位置,此时Windows尚未被加载,更不用说依赖Windows的杀毒软件了,所以当电脑完成正常开机过程后,病毒已在内存运行多时了,一般方法极难清除。就算用户将电脑硬盘格式化重装,因为暗云病毒存在于硬盘MBR,仅仅格式化硬盘不会对病毒造成任何影响。2、病毒危害暗云木马是一个云控的木马,云端可以下发指令,动态地控制这些感染的机器,那么它可以做任何事情,它可以去窃取.原创 2022-01-23 20:06:54 · 3261 阅读 · 1 评论 -
LPK病毒
LPK病毒1、病毒简介LPK类病毒是指伪装成系统文件lpk.dll的木马病毒,受影响系统为微软Windows。LPK类病毒通常会释放自身病毒体lpk.dll到所有的进程文件夹中,由于Windows优先加载进程当前文件夹中的lpk.dll,导致了类似全盘感染的现象。2、病毒危害感染LPK类病毒的主机通常性能会大大下降,可能有大量的病毒进程占用系统资源,主机上的安全软件、办公软件、游戏应用也有可能受影响而不可用。LPK类病毒的目的在于长期控制受害者主机,窃取用户重要信息(含个人银行账号、原创 2022-01-23 19:59:40 · 4295 阅读 · 0 评论 -
Ramnit蠕虫
Ramnit蠕虫1、病毒简介Ramnit 是一个典型的VBScript蠕虫病毒,能够通过网页挂马的方式进行传播,用户在浏览器中浏览挂载该恶意代码的HTML页面后并点击加载ActiveX控件后主机就有可能受到恶意代码的感染2、病毒危害Ramnit病毒可以监控网络访问活动等,可能导致网上银行交易等信息的泄露或盗取;该病毒还可以扫描和浏览服务器中的文件系统,获取敏感的文件信息;此外该病毒通过控制某台计算机可以作为攻击者的跳板对整个内部网络造成危害。3、终端验证1、文件在被植入了原创 2022-01-23 19:56:18 · 6352 阅读 · 0 评论 -
Virut僵尸网络
Virut僵尸网络1、病毒简介Virut感染性病毒,是通过感染全盘可执行文件、HTML文档来达到破坏计算机系统的目的。一般是将恶意代码注入到其它进程中运行的,可以是系统进程或者其它应用进程,注入比较多的进程是系统进程winlogon.exe。感染主机的绝大多数进程都被挂了类型为inline的进程钩子,持续关注关键系统调用,截取或篡改系统信息2、病毒危害Virut的目的在于长期利用受害者主机,窃取用户重要信息,下载并给用户安装不必要的流氓或恶意软件,以赚取软件安装费用,也可做为DDoS终端原创 2022-01-23 19:49:36 · 2319 阅读 · 0 评论 -
Gamarue僵尸网络
Gamarue僵尸网络1、病毒简介Gamarue病毒是一种通过移动设备传播的蠕虫病毒,病毒运行后创建进程“wuauclt.exe”,将进程的内存镜像替换成病毒镜像,然后执行病毒代码。修改注册表,实现开机自启动。病毒会将自身写入至系统目录,临时文件夹中也会存在随机文件名的病毒主体。当U盘、移动硬盘等移动存储设备插入时被立刻感染,U盘内的所有文件被转移到一个隐藏文件夹中。染毒U盘中会出现一个thumbs.db文件,其本体是加密后的PE文件“TrustedInstaller.exe”,程序会把这个文件原创 2022-01-20 15:45:48 · 2707 阅读 · 0 评论 -
Nitol僵尸网络
1、病毒简介Nitol木马病毒是一种具有侵略性的计算机病毒。Nitol木马病毒执行后,会自我复制到”C:/Windows/System32/”下的一个随机文件名,把它注册为服务,服务名称为”netscvre”。然后将病毒服务的信息写入注册表'HKLM/SYSTEM/CurrentControlSet/Services/'下的键值对中,实现开机自启动。并在每个有”.exe”后缀的路径下释放一个”lpk.dll”的文件,进行DLL注入。病毒可以利用IPC建立连接,入侵用户的主机,向C&C服务器发送.原创 2022-01-20 15:41:52 · 2374 阅读 · 0 评论 -
飞客蠕虫(Conficker)
飞客蠕虫(Conficker)1、病毒简介1什么是飞客蠕虫Conficker飞客蠕虫(国外常用叫法conficker, kido, downup,downadup)是利用微软MS08-067漏洞发起攻击的蠕虫病毒,常用端口是445、139,中毒症状包括请求解析随机域名、不能正常访问安全厂商的网站或服务器、下载木马。飞客蠕虫主要通过这些系统进程explorer.exe、services.exe、svchost.exe注入自己的病毒dll,此病毒dll的名字是随机值,一般为方便开机即运行该蠕虫,有其原创 2022-01-20 15:35:16 · 3663 阅读 · 0 评论 -
黑链-介绍
1、黑链简介本章主要介绍了黑链的定义和危害,并介绍了安全感知平台的识别原理。1.1 黑链简介黑链,是指看不见,但是却被搜索引擎计算权重的外链,也叫暗链。主要是黑客所为,故黑链一词流传最广。黑链是搜索引擎优化(SEO)手法中相当普遍的一种手段,笼统地说,它就是指一些人用非正常的手段获取其它网站的反向链接。最常见的黑链就是通过各种网站程序漏洞获取搜索引擎权重较高网站的webshell,进而在被黑网站上链接自己的网站,其性质与明链一致,都是属于为高效率提升排名,而使用的作弊手法。1.2 黑链危原创 2022-01-20 15:24:55 · 3792 阅读 · 0 评论