政府黑客使用无文件技术投放远程控制木马

最新推荐文章于 2024-02-23 10:37:50 发布
最新推荐文章于 2024-02-23 10:37:50 发布
阅读量299 收藏 1
点赞数
原文链接:https://yq.aliyun.com/articles/216432
版权

本文讲的是 政府黑客使用无文件技术投放远程控制木马,亚洲的国家黑客正使用一种新技术投放远程控制木马,回避安全产品的检测。

image

终端安全公司SentinelOne发布消息称,这些威胁小组使用的方法能够将远程控制木马注入到受害设备的内存。反病毒软件、甚至是更新型的技术,只要基于文件检测,就无法发现此类威胁。

研究人员通过分析攻击过程发现,硬盘上的确被写入了一些新文件,但恶意载荷从未在未经加密的状况下触及硬盘。

约瑟夫·兰德瑞 (Joseph Landry) 是SentinelOne公司的高级安全研究人员,他对媒体表示,亚洲多个国家的政府黑客正使用这一技术。尽管此类攻击主要出现在亚洲范围内,但也存在黑客使用该技术对付世界其它地方的政府及企业的可能性。

SentinelOne披露了一种使用已知远程控制木马NanoCore(也即Nancrat) 的攻击,它让攻击者能够监视受害者。然而,专家也同时指出,该技术能够用于投放任意类型的木马。

首次在系统上执行时,恶意软件会在%APPDATA%文件夹下创建两个二进制文件并运行。为了保持自身持续存在,软件会创建一个注册表键,指向两个文件之一。

另有一个加密过的DLL被用于解包并将解密后的远程控制木马注入到内存。该DLL和NanoCore可执行文件本身的设置是通过多个PNG图像文件的像素数据存储的。

image

在全部组件解密之后,使用多种Win32 API和系统调用,可将NanoCore恶意载荷注入到新进程中。

SentinelOne公司的博客上详细介绍了这种感染手段。

无文件感染技术已经在多种类型的攻击中出现,这些攻击中使用了漏洞利用包、勒索软件和点击欺诈恶意软件。

原文发布时间为: 四月 25, 2016
本文作者:Venvoo
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/15329.html

weixin_34315189
关注
[网络安全自学篇] 二十一.GeekPwn 2019极客大赛之安全攻防技术总结及ShowTime
杨秀璋的专栏
11-04 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。这篇文章主要分享作者10月24日参加上海GeekPwn极客大赛的体会,包括各种安全技术、ShowTime及疑惑。作者尽量还原当时的现场情景,以观众第一视角,带着网络安全初学者的无数疑问,并查询资料分享一些技术点。写这篇文章不容易,花费了两部手机电量,许多笔记、照片和资料完成,希望您喜欢,不喜勿喷~
文件形式的恶意软件:了解非恶意软件攻击(一)
systemino的博客
10-08 1446
与基于文件的攻击不同,无文件恶意软件不会利用传统的可执行文件。无文件攻击滥用了操作系统内置的工具来进行攻击。从本质上讲,Windows是反对自己的。 没有可执行文件,杀毒软件就无法检测到签名,这就是无文件攻击如此危险的原因,因为它们能够轻松逃避防病毒产品。 利用MITRE ATT&CK框架防御这些攻击,MITRE ATT&CK是一款可以加速检测与响应的最新工具(对手战...
Linux无文件木马程序渗透测试复现
永远是少年
06-15 1191
今天继续给大家介绍渗透测试相关知识,本文主要内容是Linux无文件木马程序渗透测试复现。 一、实战介绍 二、初次渗透测试 三、无文件木马渗透测试
无进程无DLL无硬盘文件无启动项木马思路(转载)
blackbean的专栏
08-20 1114
现在网络上流行的木马后门类工具很多,但可以称为精品的则没有多少,大多数新手们还在使用Radmin一类的软件来替代后门程序。不幸的是,它们并不是一个真正的后门,极容易服务器管理员察觉,因此肉鸡经常飞掉也就很正常了。  一个合格的后门至少应该做到不能有陌生进程存在于任务管理器里,给后门进程起一个看起来像系统进程的名字只是掩耳盗铃;不能在注册表Run启动项或者服务启动项里留下众所周知的启动键值或新
远控木马的事情
zihan422的专栏
08-29 3004
前几天也玩了玩远控木马,今天也总结下,首先我搞的就是最经典的灰鸽子,黑防专版,现在已经传到资源上去了,一开始显示无法自动上线,然后我改了端口为8000和重启机器就好了,不能多次开鸽子,不过具体的生成客户端啥的因为我是win7的系统据说因为07年灰鸽子停止更新而只限于兼容xp,开双系统又太麻烦,也就没试,然后我在网上又找了好多远控,想找一个能用于win7的免杀的远控,现在电脑上放着黑洞,上兴2014
远程控制-Farfli远控木马
傲月大人的博客
07-23 9203
威胁描述: Farfli是一种运行于Windows系统的木马程序。该恶意代码通过创建服务方式自启。受此恶意代码感染的计算机可以被用作DDoS攻击 Farfli家族木马的最新出现时间约在2007-2008年间,并且作者将源代码通过某种途径开源于互联网,导致各黑产组织在源代码的基础上衍生出诸多变种,以致Farfli家族木马达到了“泛滥成灾”的态势。据统计,一般家族的RAT木马年新增量在4000个左右,通过安天病毒库查询Farfli家族样本,2017全年其木马新增量达到了12,538个,远高于普通RAT木马
木马雪崩到APT的关联与必然——对2006年一次技术报告的反思
热门推荐
江海客每月安全天下事 (全本)
02-17 1万+
木马雪崩到APT的关联与必然 ——对2006年一次技术报告的反思 安天实验室 江海客 注:本文刊发于2013年《中国信息安全》1月刊,是笔者在第一届全国网络与信息安全防护峰会(XDEF,武汉大学,2012)上的演讲整理稿,刊发时有删节。 温故.2006 ——这是一个充满预言、谶语和诅咒的年代,这是一个人人皆神、诸佛俱死的年代,我自己也曾因某个只言片语的应验,找到先知先觉的感觉,但推敲
《信息安全技术》学习笔记02
m0_72683647的博客
11-13 1073
计算机病毒是一种计算机程序,它通过修改其他程序把它自己的一个拷贝或其演化的拷贝插入到其他程序中,从而感染它们。
网络安全-攻击篇-攻击载体
qq_53439698的博客
01-06 1914
随着网络的安全事态不断演变、新的威胁不断出现,从而也萌生了形式多样的网络攻击手段。网络安全攻击是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的任何类型的进攻动作。这些攻击可能会破坏网络系统运行的安全、信息内容的安全、信息通信与传播安全,使计算机或网络系统中的数据被篡改、窃取或丢失,导致严重的安全后果。网络安全攻击通常由黑客或其他恶意行为者发起,他们利用各种技术手段和漏洞来实施攻击,以获得非法利益或造成损害。
无dll无进程木马源代码
benny5609的专栏
02-27 1113
#include//#include#include#include#pragma comment(lib,"Shlwapi.lib")//参数结构 ;typedef struct _RemotePara{DWORD dwLoadLibrary;DWORD dwFreeLibrary;DWORD dwGetProcAddress;DWORD dwGetModuleHandle;DWORD dwWS
揭秘无文件恶意软件的前生今世
weixin_34144848的博客
09-19 261
本文讲的是揭秘无文件恶意软件的前生今世, 一听到无文件恶意软件,很多企业和个人用户都感觉无所适从。因为目前的很过防御检测技术还足以对这些攻击产生有效的拦截。无文件恶意真有这么厉害吗?今天我们就来详细的回顾一下它的历史,并结合一些目前已经查明的恶意软件样本进行具体分析。 根据Google Trends监测,无文件恶意软件这个词出现在2012年到2014年...
文件攻击与病毒样本分析-1-5-2-无文件攻击之本地程序交互:LNK文件攻击
不忘初心,护天下安全!
07-15 284
利用lnk快捷方式文件执行无文件攻击
文件执行木马的方式
最新发布
m0_62207482的博客
02-23 112
powershell(脚本解析器) 》》》powershell.exe(应用程序)VB.script(脚本解析器) 》》》cscript.exe(应用程序)javaSrtipt(脚本解析器) 》》》mshta.exe(应用程序)bat处理 (脚本解析器) 》》》cmd.exe(应用程序)
MSF-msfvenom Linux 无文件木马程序
枫梓林のBlog
04-21 1262
Linux 无文件木马程序 环境准备 文章目录Linux 无文件木马程序一、生成恶意文件二、启动Apache服务三、Vegile 使用四、获取Linux 系统的shell五、创建无文件后门程序 Kali Linux 2020.4 CentOS 7.6 IP地址 Kali Linux :192.168.37.139 CentOS :192.168.37.133 一、生成恶意文件 生成恶意文件让目标系统执行来获取 shell ┌──(root????fengzilin54)-[~] └─# msfve
安全之路 —— 无DLL文件实现远程进程注入
雨者
08-20 1430
简介         在之前的章节中,笔者曾介
解密无文件攻击的各种姿势及最新检测方法
systemino的博客
06-04 1831
“无文件攻击”不代表真的没有文件,只是一种攻击策略,其出发点就是避免将恶意文件放在磁盘上,以逃避安全检测。所说的无文件,也未必是攻击全程无文件,而是其中的一部分采用了无文件攻击[1]。近期,受NDSS2020顶会文章[2]启发,查阅趋势科技等数篇安全报告及网页文章,认为无文件攻击是一种趋势,“离地/隐形/无文件”是一个目前很热门的方向。故本文围绕无文件展开调研,收集2020年4月前的相关资料,内容包括无文件勒索、无文件挖矿等最新的无文件攻击方式,并对其进行归纳、总结。同时,分析了该篇顶会文章的核心内容,进一
“三无”(无病毒、无木马、无插件)标志是什么样子?
dcoz83028的博客
10-12 331
江民反病毒专家提醒广大电脑用户,目前各种“木马”以及“流氓软件”已成为危害互联网的最主要因素,用户平时上网时务必小心提防,不要随意从小网站下载任何软件,网上下载软件时要认准“三无”(无病毒、无木马、无插件)标志,以免遭木马以及流氓软件侵害。如不幸中招,可使用带有“流氓软件清除”功能的杀毒软件(如江民KV2007等)进行处理。.................还不清楚“三无”(无病毒、无木...
内存马攻击
Finlinlts的博客
08-30 1208
Webshell内存马,是在内存中写入恶意后门和木马并执行,达到远程控制Web服务器的一类内存马,其瞄准了企业的对外窗口:网站、应用。但传统的Webshell都是基于文件类型的,黑客可以利用上传工具或网站漏洞植入木马,区别在于Webshell内存马是无文件马,利用中间件的进程执行某些恶意代码,不会有文件落地,给检测带来巨大难度。 以java为例,客户端发起的web请求会依次经过Listener、Filter、Servlet三个组件,我们只要在这个请求的过程中做手脚,在内存中修改已有的组件或者动态注册一个新的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值