在我们2023年1月的最新全球威胁指数中,信息窃取者Vidar在品牌劫持事件增加以及在中东和北非发起大型njRAT恶意软件网络钓鱼活动后重返前十名,位列第七。1月,信息窃取者Vidar被发现通过声称与远程桌面软件公司AnyDesk有关联的虚假域传播。该恶意软件对各种流行的应用程序使用URL劫持,将人们重定向到一个声称是官方AnyDesk网站的IP地址。下载后,该恶意软件会伪装成合法安装程序以窃取敏感信息,例如登录凭据、密码、加密货币钱包数据和银行详细信息。研究人员还发现了一个名为EarthBogle的主要活动,将njRAT恶意软件发送到中东和北非的目标。攻击者使用包含地缘政治主题的钓鱼邮件,诱
在我们2023年1月的最新全球威胁指数中,信息窃取者Vidar在品牌劫持事件增加以及在中东和北非发起大型njRAT恶意软件网络钓鱼活动后重返前十名,位列第七。1月,信息窃取者Vidar被发现通过声称与远程桌面软件公司AnyDesk有关联的虚假域传播。该恶意软件对各种流行的应用程序使用URL劫持,将人们重定向到一个声称是官方AnyDesk网站的IP地址。下载后,该恶意软件会伪装成合法安装程序以窃取敏感信息,例如登录凭据、密码、加密货币钱包数据和银行详细信息。研究人员还发现了一个名为EarthBogle的主要活动,将njRAT恶意软件发送到中东和北非的目标。攻击者使用包含地缘政治主题的钓鱼邮件,诱
近期,一种新的难以捉摸的严重威胁已经出现,自2021年9月以来,它一直在渗透并驻留在全球的服务器上。这种被称为HeadCrab的高级威胁利用了一种最先进的定制恶意软件方式,使得该恶意软件无法被无代理和传统的防病毒解决方案检测到,会危害大量Redis服务器。HeadCrab僵尸网络已经控制了至少1,200台服务器。本报告将深入研究HeadCrab攻击的细节,研究其操作方法、用于逃避检测的技术以及组织可以采取的保护其系统的步骤。什么是Redis?Redis是一种开源的内存数据结构存储,可用作数据库、缓存或消息代理。默认情况下,Redis服务器不启用身份验证,旨在运行在安全、封闭的网络上,而非暴露在
近期,一种新的难以捉摸的严重威胁已经出现,自2021年9月以来,它一直在渗透并驻留在全球的服务器上。这种被称为HeadCrab的高级威胁利用了一种最先进的定制恶意软件方式,使得该恶意软件无法被无代理和传统的防病毒解决方案检测到,会危害大量Redis服务器。HeadCrab僵尸网络已经控制了至少1,200台服务器。本报告将深入研究HeadCrab攻击的细节,研究其操作方法、用于逃避检测的技术以及组织可以采取的保护其系统的步骤。什么是Redis?Redis是一种开源的内存数据结构存储,可用作数据库、缓存或消息代理。默认情况下,Redis服务器不启用身份验证,旨在运行在安全、封闭的网络上,而非暴露在
AhnLab安全应急响应中心(ASEC)发现了ShellBot恶意软件的一种新变种,该变种被用于针对LinuxSSH服务器。ShellBot,也称为PerlBot,是一个基于Perl的DDoS机器人,使用IRC协议进行C2通信。ShellBot对打开端口22的服务器执行SSH暴力攻击,它使用包含已知SSH凭据列表的字典。ShellBot恶意软件是攻击者在目标系统上使用扫描仪和SSH暴力破解恶意软件获得的帐户凭据之后安装的。在扫描具有可操作端口22的系统后,攻击者会搜索SSH服务处于活动状态的系统,并使用常用的SSH帐户凭据列表来发起字典攻击。以下是ShellBot操作员用于危害目标服务器的帐户
AhnLab安全应急响应中心(ASEC)发现了ShellBot恶意软件的一种新变种,该变种被用于针对LinuxSSH服务器。ShellBot,也称为PerlBot,是一个基于Perl的DDoS机器人,使用IRC协议进行C2通信。ShellBot对打开端口22的服务器执行SSH暴力攻击,它使用包含已知SSH凭据列表的字典。ShellBot恶意软件是攻击者在目标系统上使用扫描仪和SSH暴力破解恶意软件获得的帐户凭据之后安装的。在扫描具有可操作端口22的系统后,攻击者会搜索SSH服务处于活动状态的系统,并使用常用的SSH帐户凭据列表来发起字典攻击。以下是ShellBot操作员用于危害目标服务器的帐户
尽管研究人员发现,在2022年10月至2023年2月期间,每个组织每周遭受的平均攻击次数减少了44%,但在俄罗斯入侵之后,乌克兰仍然是网络犯罪分子的热门目标。在最近的一次活动中,攻击者在大量电子邮件分发中冒充UkrtelecomJSC,使用恶意RAR附件传播Remcos木马,该木马自2022年10月以来首次重返恶意软件排行榜。安装后,该工具会打开一个受感染系统上的后门,允许远程用户完全访问数据泄露和命令执行等活动。由于事件的行为模式和攻击能力,目前的攻击被认为与网络间谍活动有关。尽管针对乌克兰的出于政治动机的攻击数量有所减少,但它们仍然是网络犯罪分子的战场。自俄乌战争开始以来,黑客行动主义通常
尽管研究人员发现,在2022年10月至2023年2月期间,每个组织每周遭受的平均攻击次数减少了44%,但在俄罗斯入侵之后,乌克兰仍然是网络犯罪分子的热门目标。在最近的一次活动中,攻击者在大量电子邮件分发中冒充UkrtelecomJSC,使用恶意RAR附件传播Remcos木马,该木马自2022年10月以来首次重返恶意软件排行榜。安装后,该工具会打开一个受感染系统上的后门,允许远程用户完全访问数据泄露和命令执行等活动。由于事件的行为模式和攻击能力,目前的攻击被认为与网络间谍活动有关。尽管针对乌克兰的出于政治动机的攻击数量有所减少,但它们仍然是网络犯罪分子的战场。自俄乌战争开始以来,黑客行动主义通常
前言注:本文不涉及对MySQL协议报文研究,仅讲解原理,并且做部分演示。搭建MySQL恶意服务器读取文件这件事,虽然直接利用门槛较高,但是由于在网上看到了一种比较新颖的利用方式(利用社会工程学引诱用户连接MySQL进而读取用户文件),个人觉得比较有意思,总结了一下攻击原理以及攻击方式,因此就有了这篇文章。原理在阐述具体原理之前,先介绍几个SQL语句,以便后文理解首先在tmp目录下新建一个tmp.txt内容如下:image.png然后执行下方SQL语句,即可将tmp.txt文件导入其中:mysql>loaddatalocalinfile"/tmp/tmp.txt"intotabletestfie
前言注:本文不涉及对MySQL协议报文研究,仅讲解原理,并且做部分演示。搭建MySQL恶意服务器读取文件这件事,虽然直接利用门槛较高,但是由于在网上看到了一种比较新颖的利用方式(利用社会工程学引诱用户连接MySQL进而读取用户文件),个人觉得比较有意思,总结了一下攻击原理以及攻击方式,因此就有了这篇文章。原理在阐述具体原理之前,先介绍几个SQL语句,以便后文理解首先在tmp目录下新建一个tmp.txt内容如下:image.png然后执行下方SQL语句,即可将tmp.txt文件导入其中:mysql>loaddatalocalinfile"/tmp/tmp.txt"intotabletestfie
