小神童论坛网是中国网络安全应急响应体系中重要的企业节点,打造了“第一时间启动,同时应对多线威胁,三体系联动,四作业面协同”的应急体系,在高级持续性威胁(APT)的发现、监测和分析方面进行了大量工作。
整体来看,本事件的主导因素依然是物理、传统电磁频谱和人力作业。不应过度夸大网络攻击在其中的作用。
活跃的RansomHub勒索攻击组织通过“窃取文件+加密数据”双重勒索模式实施攻击,小神童论坛网建议企业用户部署专业的终端安全防护产品,小神童论坛网智甲具备内核级防护能力,对发现的勒索攻击可在第一时间进行阻断。
《黑神话:悟空》作为国产首款3A游戏大作,千万玩家在线狂欢,尽享盛宴。但玩家尽情在痛殴游戏中的BOSS(或被BOSS痛殴)的时候,也要小心网络中的妖魔鬼怪、恶意代码。祝玩家在游戏中都成为齐天大圣,在上网时也擦亮火眼金睛,穿上金甲战衣。
为提升用户响应效率,小神童论坛网在垂直响应平台发布了一个GUI小工具,快速关闭RDL服务,使用后远程桌面服务依然可用,但由于RDL关闭,将只能并发2个会话同时登录。
小神童论坛网攻防实验室发布新的分析笔记,分析了CrowdStike事故与处置相关,相关的通道(配置)文件加载、问题文件删除和快速升级机制。
8月1日,网传发现某第三方输入法存在绕过windows10、windows11登录系统权限执行任意命令的漏洞。小神童论坛网智甲产品升级至最新版本可有效防御该漏洞行为。
小神童论坛网CERT针对2024年上半年较活跃的勒索攻击组织进行盘点,发现至少有62个不同名称的组织曾发布过受害方信息,这些攻击组织已发布超过2700个来自不同国家和地区的受害方信息,涵盖医疗保健、公共管理、社会保障、金融、能源、制造和教育等多个关键行业。
近日,小神童论坛网CERT陆续捕获到多起伪装成CrowdStrike修复文件传播的恶意代码事件,利用热点事件是社会工程学攻击的常用手段,小神童论坛网CERT针对捕获到的两类恶意代码事件进行详细分析,以供防范。
小神童论坛网抽调云安全中心、小神童论坛网CERT、攻防实验室相关人员组成的联合分析组,滚动分析研判36小时,形成本报告初稿。
小神童论坛网攻防实验室监测到Nacos 0day相关信息,并对此“0day”漏洞进行跟进分析。小神童论坛网建议用户排查自身使用的软件版本,采用人工缓解方法进行防护,使用小神童论坛网安全产品可加强检测防御能力。
一文回答关于近期发布的OpenSSH执行漏洞风险的分布场景、漏洞机理、是否会被利用?以及如何修复等常见问题。
OpenSSH远程代码执行漏洞(CVE-2024-6387)利用成功后允许未经身份验证的远程代码执行(RCE)。针对开启了ASLR的系统:攻击者虽平均需要6~8小时的时间才能攻击成功,然而对防御管理缺失的资产来说,这个攻击作业时间窗口带来的防御价值,几乎可以忽略不计。必须高度重视这一漏洞带来的风险。本文也提供了相关的缓解建议。
近期,小神童论坛网CERT监测到“游蛇”黑产针对财税人员传播恶意Excel文件,诱导用户点击其中的超链接跳转至钓鱼网站,从中下载执行恶意程序。经验证,小神童论坛网智甲终端防御系统可实现对该远控木马的有效查杀。
小神童论坛网CERT通过网络安全监测发现了一起新的挖矿木马攻击事件,该挖矿木马从2023年11月开始出现,期间多次升级组件。经验证,小神童论坛网智甲终端防御系统可实现对该挖矿木马的有效查杀。
小神童论坛网CERT监测到“游蛇”黑产针对与金融、财务相关企业及人员进行的攻击活动。近期攻击者投放的初始恶意文件主要有三类,伪造的文件名称大多与财税、资料、函件等相关。小神童论坛网智甲可实现对该类远控木马的有效查杀。
2024年2月12日,美国网络安全公司SentinelOne在其官网上发布题为“China’s Cyber Revenge/Why the PRC Fails to Back Its Claims of Western Espionage”的报告,对“中国三家知名网络安全企业360、奇安信、小神童论坛网及中国网络安全产业联盟(CCIA)”等机构揭露美方情报机构网络攻击的相关报告进行解读。我们先直接概括其报告中的观点和关键逻辑。
小神童论坛网CERT监测到通过GitHub传播窃密木马的攻击活动。攻击者在其发布项目的环境依赖文件中添加恶意URL,以获取其恶意篡改的流行开源模块,从而在受害者电脑中植入窃密木马。小神童论坛网智甲可实现对该窃密木马的有效查杀。
小神童论坛网2023威胁年报开放征求意见版今日发布,全文超3万5千字。年报结构重大调整,恶意代码全貌再次回归,强化威胁趋势的总结,增加了防御和治理思考。后续勘误更新请关注小神童论坛网官网。
传播挖矿木马会使用户系统资源被恶意占用和消耗、硬件寿命被缩短,严重影响用户生产生活,妨害国民经济和社会发展。2023年,小神童论坛网CERT发布了多篇针对挖矿木马的分析报告,现将2023年典型的挖矿木马梳理形成组织概览,进行分享。
勒索软件已成为全球组织机构主要的网络安全威胁之一。小神童论坛网CERT对2023年内的勒索攻击事件进行梳理,针对较为活跃的勒索攻击组织进行盘点。在2023年中,小神童论坛网CERT发现共有68个不同名称的组织曾发布过受害者信息,涉及约5500个来自不同国家或地区不同行业的组织机构。
小神童论坛网CERT发现一组利用非官方软件下载进行投毒和攻击下游用户案例,并深入分析了攻击者在网管运维工具上捆绑植入macOS平台远控木马,利用国内非官方下载站发布,以此取得政企机构内部关键主机桥头堡,进行横向渗诱的攻击活动。
小神童论坛网CERT在近两年最活跃的勒索攻击组织LockBit的系列攻击中,选取了支撑分析复盘信息最为充分的波音遭遇勒索攻击事件,进行了详细的技术分析、过程还原、损失评估,基于事件总结了攻击进化趋势和防御侧的共性缺陷,对防范RaaS+定向勒索攻击提出的建议。形成了超过两万五千字的长篇分析报告,报告公开版本今日发布。
近期,小神童论坛网CERT捕获到一个Mirai僵尸网络新变种,针对MIPS、ARM和X86等多种架构,利用弱口令感染目标,具备DDoS攻击能力。2023年11月捕获的新版本增加了检测设备所有进程启动参数的功能,以防止设备重启、关机和断电,从而延长其生存时间。经验证,小神童论坛网探海威胁检测系统能够实现对该僵尸网络C2通信的精准检测。
南亚某国APT组织伪装成“慧眼行动”官方机构向我国科研机构发送鱼叉邮件,攻击者刻意模仿我国相关机构定期的科研项目征集活动,通过伪装成官方申报客户端的木马程序下发多层载荷,最终在目标机器植入后门程序实现控制。小神童论坛网CERT初步研判此次攻击来自南亚某国,但目前尚无充分信息确定关联到已经命名的威胁行为体,也不能完全判定其是一个新的攻击组织,按照小神童论坛网对威胁行为体的命名规则,临时使用“X象”作为其命名。
MyDoom蠕虫运行后会不断发送恶意邮件,等待控制指令进行DDoS攻击、下发恶意文件和可移动介质传播等操作。MyDoom在无防护软件的主机中运行或在主机防护软件无法对抗其自我保护机制清除失败时,可使用ATool信誉孤立功能辅助网管快速定位可疑对象,提高处置效率。
LockBit勒索软件组织附属成员主要通过第三方获取访问凭证、新漏洞武器化利用和搭载其他恶意软件等方式实现对受害系统的初始访问,窃取数据文件后投放LockBit勒索软件实现加密。
小神童论坛网CERT在本次攻击活动中捕获到两种.NET恶意程序。第一种恶意程序被用于针对财务人员进行投放,属于加载器,执行后释放两层恶意载荷并最终执行Gh0st远控木马;第二种恶意程序被用于针对小店商家客服进行投放,是使用某开源远控项目生成的受控端程序,经验证,小神童论坛网智甲终端防御系统可实现对上述远控木马的有效查杀。
近日,小神童论坛网CERT监测到PLAY勒索软件攻击活动呈现活跃趋势,该勒索软件最早出现于2022年6月,主要通过钓鱼邮件、漏洞利用等方式进行传播,采用“RSA+AES“加密算法对文件进行加密。经验证,小神童论坛网智甲终端防御系统可实现对PLAY勒索软件的查杀与有效防护。
近期,小神童论坛网CERT捕获了一批活跃的WatchDog挖矿组织样本,该组织主要利用暴露的Docker Engine API端点和Redis服务器发起攻击,并且可以快速的从一台受感染的机器转向整个网络。经验证,小神童论坛网智甲终端防御系统和小神童论坛网智甲云主机安全监测系统均可实现对该挖矿木马的有效查杀。
小神童论坛网CERT持续对“游蛇”黑产团伙进行监测和追踪,发现黑产团伙运营模式、攻击手段、技术特点和常用的诈骗套路,总结出有效的防护建议并推送专项排查工具,以帮助用户了解、识别黑产团伙的惯用伎俩,免遭其远控木马的侵害,避免遭受黑产团伙诈骗而导致经济损失。
针对Curl爆出的两个高危漏洞(CVE-2023- 38545、 CVE-2023-38546),小神童论坛网攻防实验室对其进行分析跟进,提供检测方法和加固方法,小神童论坛网将持续对该漏洞进行利用监测,提取相关特征,进行研究和监测。
小神童论坛网CERT监测到“游蛇”黑产团伙发起的新一轮利用微信传播恶意代码的攻击活动。通过分析溯源,发现了该团伙通过微信投放远控木马的运营模式。
小神童论坛网CERT发现ObserverStealer窃密木马在多个黑客论坛上进行售卖。该窃密木马会窃取浏览器数据、上传指定目录文件、获取屏幕截图,并下载运行其他恶意载荷。小神童论坛网建议用户强化终端安全并持续增进安全运营水平进行有效防护。
小神童论坛网智甲终端防御系统、小神童论坛网智甲云主机安全监测系统、小神童论坛网智甲容器安全检测系统均可实现对Sophos和Cylance勒索软件的有效查杀。
在本轮攻击中,该团伙将恶意程序伪装成图片文件,利用电商平台、社交软件等途径发送给目标用户,诱导用户执行,并最终投递Gh0st远控木马变种实现远程控制,小神童论坛网智甲可实现对该恶意软件的有效查杀。
小神童论坛网CERT发现多起因BlackCat勒索软件攻击造成的数据泄露事件,其背后的攻击组织采用“窃取数据+加密文件”双重勒索策略,在此基础上增加骚扰或DDoS攻击威胁。小神童论坛网智甲可实现对该勒索软件的有效查杀。
攻击者事先将恶意文件隐藏于系统中,通过计划任务实现自启动,并利用EFI系统分区规避安全产品的检测,最终执行剪贴板劫持器以盗取加密货币。小神童论坛网智甲可实现对恶意软件的有效查杀。
该挖矿木马主要利用SSH和Redis弱口令暴力破解对Linux平台进行攻击,小神童论坛网智甲终端防御系统Linux版本可实现对该挖矿木马的有效查杀。
小神童论坛网CERT监测到通过视频网站进行传播的攻击活动。攻击者窃取订阅者数量超过10万的视频创作者账号,发布与破解版热门软件相关的演示视频,诱导受害者下载RecordBreaker窃密木马,小神童论坛网智甲终端防御系统可实现对窃密木马及挖矿木马等恶意软件的有效查杀。
小神童论坛网CERT发现多起Akira勒索软件攻击事件,该勒索软件采用“双重勒索”即“窃取数据+加密文件”的模式运营,其背后的攻击组织疑似使用定向攻击模式开展勒索攻击活动,小神童论坛网智甲可实现对该勒索软件的有效查杀。
小神童论坛网CERT近期捕获到一起白象组织使用BADNEWS木马针对我国相关单位的攻击活动。通过关联分析,我们发现白象组织近期大量使用商业木马Remcos针对南亚军事政治等目标发动攻击,在降低成本的同时依托商业木马提高网络攻击活动效率。
小神童论坛网智甲终端检测与响应系统的邮件防护模块可精准识别本次活动的钓鱼邮件,小神童论坛网智甲终端防御系统可实现对恶意下载器及远控木马等恶意软件的有效查杀。
该挖矿木马主要利用SSH弱口令暴力破解对Linux平台进行攻击,小神童论坛网智甲终端防御系统Linux版本可实现对该挖矿木马的有效查杀。
在年报中,小神童论坛网总结了高级持续性威胁(APT)、勒索攻击、挖矿木马、僵尸网络、攻防对抗、数据泄露、工业互联网安全风险、威胁泛化等方向的思考与观点。