新版师傅银行木马出来了 这次主要是更新了漏洞利用方式CVE-2016-0167

最新推荐文章于 2023-03-19 18:00:00 发布
最新推荐文章于 2023-03-19 18:00:00 发布
阅读量226 收藏
点赞数
原文链接:https://yq.aliyun.com/articles/207328
版权

师傅银行木马是一款Windows恶意程序,在 2015 年首次发现。师傅基于 Shiz 源代码构建,使用了 Zeus 所使用的技术。攻击者使用师傅在全球各网上银行网站窃取证书凭据,最早在俄罗斯,后来日本、英国、 意大利和其他国家也发现了它的身影。

Arbor Unit 42 研究发现,师傅作者已经在 2016 年更新了这个银行木马恶意软件。师傅银行木马现已加入多个新技术,用于感染更多的计算机,同时规避微软 Windows 系统的检测。其中包括︰

  • CVE-2016-0167 Microsoft Windows 权限提升漏洞来获得系统级权限。早期版本的师傅利用 CVE-2015-0003 实现相同的目标
  • 使用一个 Windows atom以确定当前主机是否已经感染了师傅,以便与以前版本使用互斥
  • 使用“push-calc-ret” API 混淆隐藏恶意软件分析的函数调用
  • 使用附加的 Namecoin .bit 域

师傅银行木马的基本功能

最初发布的师傅银行木马具有如下功能

  • anti-reseach,anti-VM和anti-sandbox;
  • HOOK 浏览器和web 注入解析器;
  • 键盘记录;
  • 屏幕截图;
  • 证书采集;
  • 端点分类,监控感兴趣的应用程序;
  • 远程控制和bot-control模块。

Shifu_1.png

详细分析见 http://researchcenter.paloaltonetworks.com/2017/01/unit42-2016-updates-shifu-banking-trojan/



原文发布时间:2017年3月24日

本文由:安全加 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/new-shifu-banking-trojan

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

weixin_34216036
关注
复现awvs——DROWN跨协议攻击TLS漏洞(CVE-2016-0800),LogJam中间人安全限制绕过漏洞 (CVE-2015-4000)和Sweet32攻击漏洞(CVE-2016-2183)
记录并分享学习安全的知识点..
12-30 4060
1.首先介绍一下漏洞: (1)DROWN跨协议攻击TLS漏洞(CVE-2016-0800): 现在流行的服务器和客户端使用TLS加密,SSL和TLS协议保证用户上网冲浪,购物,即时通信而不被第三方读取到,但是DROWN(溺亡)漏洞允许攻击者破坏这个加密体系,通过“中间人劫持攻击”读取或偷取敏感通信,包括密码,信用卡帐号,商业机密,金融数据等。 (2)LogJam中间人安全限制绕过漏洞 (CVE-2015-4000): LogJam攻击是一个 SSL/TLS 漏洞,允许攻击者拦截易受攻击的客户端和服务
[系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及蠕虫解析
杨秀璋的专栏
03-01 8615
作者前文采用Github资源实现永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
对 UAF 漏洞 CVE-2016-0167 的分析和利用
最新发布
javagty6778的博客
03-19 363
这篇文章分析了发生在窗口管理器(User)子系统的菜单管理组件中的 CVE-2016-0167 释放后重用(UAF)漏洞。在内核函数调用向目标弹出菜单对象关联的通知窗口对象发送消息期间,执行流存在发生用户回调的可能性;在发送消息的函数调用返回后,函数没有重新验证目标弹出菜单对象内存的有效性而继续对其进行访问。如果用户进程在特殊时机触发菜单取消的操作使作为利用目标的弹出菜单对象的成员标志位被取消置位,并在特定时机调用函数销毁该弹出菜单对象关联的菜单窗口对象,执行流在内核中执行函数时发送。
CVE-2016-0167分析
qq_41252520的博客
08-12 760
文章目录CVE-2016-01670x1 前言0x2 漏洞描述0x3 影响版本0x4 评级0x5 漏洞分析■ xxxMNDestroyHandler逆向分析■ MNFreePopup逆向分析■ HMAssignmentUnlock逆向分析■ MNFlushDestroyedPopups■ xxxMNDestroyHandler简要执行流程图■ xxxTrackPopupMenuEx逆向分析■ xxxMNLoop逆向分析■ 一条通往xxxMNDestroyHandler的路径分析0x6 漏洞利用■ 漏洞触发■
OpenSSL CVE-2016-0800和CVE-2016-0703漏洞修复细节拾趣
weixin_34327761的博客
09-04 1325
引子 本文讲的是OpenSSL CVE-2016-0800和CVE-2016-0703漏洞修复细节拾趣,本来最近和360 Nirvan Team的DQ430愉快的参加某加密厂商的年度大会,结果openssl也出来碰热闹,也许真是为了DH兄弟送大礼,苦了我们这些安全运维的。 感谢Shawn的指点!hf! 细节 360在内部信息安全实践历程中,“360信息...
TLS/SSl相关的攻击漏洞及检测方法大杂烩!
qq_50854662的博客
08-15 4307
TLS/SSl相关的攻击漏洞及检测方法大杂烩!
【漏洞复现】phpmyadmin后台任意文件包含(CVE-2018-12613)
野原新之助
09-29 800
由于对index.php中包含文件的target参数未作严格的安全校验,导致可以被利用绕过白名单、黑名单校验从而进行本地文件包含,达到GetShell和命令执行的效果。
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
热门推荐
杨秀璋的专栏
04-20 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了通过Python利用永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
[系统安全] 二十五.WannaCry勒索病毒分析 (1)Python复现永恒之蓝漏洞实现勒索加密
杨秀璋的专栏
02-27 1万+
作者前文介绍了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将分享新知识,最近WannaRen勒索软件爆发(下图是安天的分析攻击流程),其名称和功能与WannaCry相似,所以接下来作者将连续分享WannaCry勒索病毒的复现及分析,第一篇文章将采用Github资源实现永恒之蓝漏洞利用及Windows7系统文件加密。希望这系列文章对您有所帮助,漫漫长征路,偏向虎山行。享受过程,一起加油~
解决OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)安全漏洞,升级OpenSSL到OpenSSL 1.0.1g
10-25
近期服务器开放的https的访问,确被安全组扫描出安全漏洞(OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)),为修复该漏洞,升级OpenSSL到OpenSSL 1.0.1g,同时重新编译升级OpenSSH和nginx,在此提供升级脚本及升级所用安装包供大家参考
【实战】SSL和TLS漏洞验证
weixin_30725315的博客
12-19 1500
工具下载:git clone https://github.com/drwetter/testssl.sh.git 实验环境:192.168.1.22(bee-box v1.6)  192.168.1.20(kali-linux-2017.3) 一、SWEET32(CVE-2016-2183) 使用3DES的任何密码都易受SWEET32影响 命令:./testssl.sh -W 192.1...
从补丁到POC CVE-2015-0003(2015.3)
weixin_30781631的博客
05-02 161
从补丁到POC CVE-2015-0003 1. 简介 该漏洞是由于Windows的win32k.sys模块存在对用户层参数验证不完全,导致存在空指针解引用(Null Pointer Dereference)的问题。 实现对漏洞的有效利用,攻击者可以实现权限提升。 影响的系统包括(32bit & 64 bit): Windows Server 2003 Windows V...
spring security oauth rce (cve-2016-4977) 漏洞分析
whatday的专栏
07-02 1035
背景描述 Spring Security OAuth 2016年以前有出一个CVE,这里写一个记录学习的东西。 漏洞详细 Spring Security OAuth官网有CVE-2016-4977的介绍,但是讲的不怎么清楚,就只是说了一下漏洞原理,我们就只知道是因为执行一个SpEL表达式https://pivotal.io/de/security/cve-2016-4977而产生的。看看利用的poc,大概了解一下整个过程。 http://localhost:8080/oauth/authorize?resp
OpenSSH客户端漏洞:CVE-2016-0777和CVE-2016-0778
核桃树
01-20 8272
from:http://bobao.360.cn/learning/detail/2566.html?utm_source=tuicool&utm_medium=referral from:https://www.qualys.com/2016/01/14/cve-2016-0777-cve-2016-0778/openssh-cve-2016-0777-cve-2016-0778.txt
【信息安全服务】FireEye 红队工具被盗事件-已公开的漏洞列表(持续更新
Keylion ,Your Hero
12-15 886
1.事件回顾 2020年12月8日,安全公司FireEye发布博客表示,其内部网络遭到某高级组织攻击,FireEye红队工具箱遭窃取。 据FireEye称,此次被盗的红队工具主要用来为其客户提供基本的渗透测试服务,其中并不包含 0day 漏洞的利用和未公开技术。所涉及工具包含开源工具、开源工具的二次开发版本以及部分自研武器化工具。从工具用途看基本覆盖了包括持久化、权限提升、防御绕过、凭证获取、域内信息收集、横向移动等攻击生命周期的各个阶段。其中部分工具此前已被发布到社区和开源虚...
linux ssh权限漏洞,OpenSSH 安全限制绕过漏洞(CVE-2016-10012)
weixin_39711867的博客
04-30 892
OpenSSH 安全限制绕过漏洞(CVE-2016-10012)发布日期:2016-12-20更新日期:2016-12-26受影响系统:OpenSSH OpenSSH <= 7.3不受影响系统:OpenSSH OpenSSH 7.4描述:BUGTRAQ ID: 94975CVE(CAN) ID: CVE-2016-10012OpenSSH 是一组用于安全地访问远程计算机的连接工具。Open...
Pegasus内核漏洞CVE-2016-4655 & CVE-2016-4656分析与利用详解
"本文主要分析了Pegasus间谍软件利用的两个内核漏洞,CVE-2016-4655和CVE-2016-4656,这两个漏洞影响了OSX 10.11.6和iOS 9.3.4版本。文章深入探讨了漏洞的原理和利用技术,特别是对OSUnserializeBinary的二进制反...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值