返回 TI 主页

2020-01-19 By 汪列军 | 安全观点

威胁情报是发现网络威胁的有效手段,针对流行的恶意代码和攻击,主要依赖基于互联网流量和样本数据生成的威胁情报;针对具有高度定向性与针对性的高级威胁,则严重依赖于攻击目标自身的本地化数据与判断能力。因此,基于内部信息化和业务系统实现“情报内生”,构建内生安全能力,成为实现和提升高级威胁检测的必要条件。
威胁情报 高级威胁检测

2020-01-15 By 红雨滴团队 | 事件追踪

近日,奇安信病毒响应中心在日常跟踪黑产团伙过程中,发现了一个利用正规监控软件窃取用户信息,甚至监控聊天记录的黑客团伙,由于正规监控软件带有数字签名,杀软一般不会对其进行查杀,从而达到免杀的效果。 样本在执行过程中会在从远程服务器下载远控客户端安装程序,通过消息操作实现客户端自动化安装,安装成功后主进程则会连接远程服务器。可以实现屏幕监控、流量监控、屏幕录像、监控上网行为、软件管理、访问控制、文档备份、下发文件等复杂功能,同时其释放的驱动注册了进程回调来保护主进程不被结束。
黑产

2020-01-10 By 红雨滴团队 | 专题报告

本报告为奇安信移动安全团队,基于2019年国内外发生的移动安全事件、各个安全厂商披露的移动安全威胁活动以及我们内部产生的威胁情报数据,对2019年移动安全事件的总结。
移动安全 2019总结

2020-01-10 By 红雨滴团队 | 事件追踪

近日,奇安信病毒响应中心在日常样本监控过程中发现了一批伪装成点读通.apk、作业帮.apk、手机找回.apk、PUBG.apk等国内用户常用软件的MobiHok家族样本。 样本在执行过程中为了迷惑用户会安装内置的正规APK,真正的恶意程序则隐匿执行,用户在此过程中一般感觉不到异常,从而窃取用户短信、联系人、通话记录、地理位置、键盘记录、文件目录、应用信息、手机固件信息、录音、录像、截屏、拨打电话、发送短信等。
阿拉伯木马 APP

2019-12-27 By 红雨滴团队 | 事件追踪

年末已至,奇安信病毒响应中心在对本年度勒索软件相关线索、情报和新闻整理和研判的过程中,发现了勒索软件在未来两个值得关注的趋势。第一是勒索软件攻击的定向化、攻击手法朝着APT攻击转变。第二勒索软件在攻击过程中开始窃取文件数据,并以此来要挟相关企业支付赎金,否则将会公开窃取的文件数据。本文将结合相关案例从多个角度来进行阐述。
勒索软件

2019-12-23 By 红雨滴团队 | 事件追踪

近日,奇安信病毒响应中心在日常移动样本监控过程中发现一款伪装名为“CBRC”的APP,CBRC应该是中国银监会或银监会的英文简称(China Banking Regulatory Commission),此类仿冒监管机构的APP常用于电信诈骗行业获取受害人的银行账户密码信息[1];经过分析发现此类伪装的APP还具有一双“千里眼”,时刻监控着受害者的一举一动并能及时作出反侦查行为,提前一步脱离犯罪现场;同时也设置了APP运行超过7天时间后,则关闭服务(即没法进入到“资产清查”界面,给取证办案人员带来困扰)。
电信诈骗 恶意APP

2019-12-23 By 红雨滴团队 | 事件追踪

奇安信威胁情报中心红雨滴团队在日常的高级威胁监测过程中,发现多起疑似针对韩国地区Android用户的恶意代码攻击活动。攻击者通过将恶意安卓应用伪装成韩国常用移动应用,从而诱导受害者安装使用。经关联分析,我们发现此次攻击活动无论从攻击手法还是木马框架都与ESTsecurity披露的KONNI Android木马一致。红雨滴团队针对该样本及样本传播的渠道进行了详细分析和关联,并通过技术手段深度挖掘了攻击活动使用的网络资产及其背后的攻击者的相关背景信息,希望提供奇安信威胁情报中心视野内更多的信息来构成该APT组织更大的拼图。
KONNI APT ANDROID

2019-12-13 By 红雨滴团队 | 事件追踪

近日,奇安信病毒响应中心在日常样本监控过程中发现Snatch勒索家族新变种开始肆虐,其在执行过程中会创建服务,并使服务器重启进入保护模式,在安全模式下删除卷影,启动服务进行加密,由于在保护模式下大部分的杀软都无法正常运行,如果杀软没有在服务器重启之前除掉该勒索软件,那么一旦进入保护模式,勒索软件将会无可匹敌。目前已经检测到国内有用户中招,由于新变种暂无解密工具,我们提醒政企用户多加防范。
SNATCH勒索

2019-12-09 By 红雨滴团队 | 事件追踪

近期,奇安信病毒响应中心在日常跟踪黑产团伙过程中,发现了一个针对在东南亚从事博彩、狗推相关人员以及海外华人群体的黑客团伙,其业务范围涵盖远控、挖矿、DDOS和流量相关。样本主要在Telegram群组中进行传播,样本免杀效果好,有些诱饵针对性强,且极具诱惑性。
金眼狗黑产 木马

2019-12-05 By 红雨滴团队 | 事件追踪

近日,奇安信病毒响应中心发现Nemty勒索家族新变种开始肆虐,目前已经监测到国内有用户陆续中招,由于新变种暂无解密工具,我们提醒政企用户多加防范。 Nemty勒索在国内主要通过弱口令爆破的方式进行传播,本次捕获到的新变种为2.2版本,添加的文件名后缀. NEMTY_<random{7}>。相较于之前版本,除了代码结构的改变,新变种同时提供了Tor浏览器和Web浏览器两种沟通模式,而且限定了交易时间,如果三个月内不支付赎金,网站将会停止支付赎金服务可能导致数据永久损失。
NEMTY勒索病毒 黑产

关注我们

奇安信威胁情报中心

分享微信