支持双系统挖矿，警惕新型挖矿病毒入侵

背景概述近日，深信服漏洞团队和终端安全团队联手通过信服云安全防护体系捕获一个针对云主机可以进行双系统挖矿的新型挖矿病毒，该病毒在入侵终端后会检测并结束终端的安全防护软件，具备一定的查杀对抗能力；且能够…

 Further_eye 3天前

3,139 0 0

勒索方式升级，谨防双重加密

近日，终端安全团队收到一起安全求助，用户反馈其主机文件被加密，加密后缀为”.perfection”。通过安全专家的深入分析，发现这次勒索事件比较特别，虽然只有一种文件加密后缀，然而事实上是中了两种不同…

 Further_eye 3天前

3,016 0 0

瞄准各行企业及政府组织，LockBit勒索入侵加密无得解

背景概述Lockbit勒索病毒最初于2019年9月被发现，当时称之为“ABCD病毒”，该别名是参考了当时被加密文件的后缀。利用此勒索病毒进行攻击的黑客团伙以针对企业及政府组织而出名，主要目标为中国，印…

 Further_eye 3天前

3,894 0 0

企业安全建设：资产管理面面观

IT的资产管理在国外有专门的领域叫做ITAM（IT Asset Management），主要视角集中在包括硬件角度、财务角度和合同角度，比如购买的硬件资产的状况、资产价值、供应商的服务水平、拥有者等等…

 青藤云安全 2021-06-25 17:35:27

6,640 0 1

Xmrig挖矿木马分析

本篇文章由ChaMd5安全团队逆向分析小组投稿前提：某天腾讯云发来一封邮件来提醒，自己的服务器中木马了。根据邮件中的提示，把疑似木马的程序tsm64拷贝下来，上传到vt上，确认是木马。好了，开始分析它…

 ChaMd5安全团队 2021-06-18 16:23:25

4,715 0 2

窃取终端数据成本低，谨防Formbook恶意软件入侵窃密

背景概述科学技术的高速发展，带来了大量的商业发展机会，同时也为终端安全带来巨大的挑战。近日，深信服终端安全团队捕获了Formbook样本病毒。这是一款著名的商业恶意软件，自2016以来在黑客论坛出售，…

 Further_eye 2021-05-28 12:10:33

7,022 0 0

Cryakl勒索病毒改名换姓，更名Crylock持续活跃

背景概述近日，深信服终端安全团队捕获了Crylock勒索软件变种。早在2014年，名为Cryakl的勒索软件开始运营，期间进行了多次迭代后在2020年更名为Crylock。根据文件二进制信息，该勒索软…

 Further_eye 2021-05-10 14:12:02

7,758 0 1

技术揭秘：勒索苹果代工厂5000万美元的REvil有什么不同？

背景概述REvil（又名Sodinokibi）勒索病毒团伙近期活跃度非常高，上个月才加密并窃取了某计算机巨头企业机密数据的REvil，在本月又入侵了苹果代工厂要价5000万美元，堪称勒索病毒界的“劳模…

 Further_eye 2021-04-30 12:00:43

5,975 0 0

[CVE-2021-1732] win32k内核提权漏洞分析

CVE-2021-1732是今年二月份被披露的蔓灵花（BITTER）APT组织在某次攻击行动中使用的0Day漏洞【1】【2】【3】。该漏洞利用Windows操作系统win32k内核模块一处用户态回调机…

 Further_eye 2021-04-28 12:03:21

6,291 0 0

HVV之Windows应急排查tricks

 0x01 序言HVV开始，之前分享Linux下的入侵排查，现在补上Windows的入侵排查tricks，最近查看疑似问题终端比较多，个人感觉这些tricks应该可以帮助大家。常见的应急响应…

 Am1azi3ng 2021-03-22 14:16:49

7,234 0 1

HVV应急之Linux入侵排查

0x01 序言新一度的HVV开始了，总要碰见很多需要应急处置的终端需要查看，这里总结一下简单Linux入侵排查思路0x02 常规命令1.查看用户密码文件>cat /etc/pwd对应的…

 Am1azi3ng 2021-03-19 18:02:30

8,677 1 2

我们是如何快速阻击针对Exchange服务器Zero-Day漏洞的入侵活动的（下）

原文地址：https://www.crowdstrike.com/blog/falcon-complete-stops-microsoft-exchange-server-zero-day-explo…

 mssp299 2021-03-16 11:54:18

5,522 1 0

我们是如何快速阻击针对Exchange服务器Zero-Day漏洞的入侵活动的（上）

原文地址：https://www.crowdstrike.com/blog/falcon-complete-stops-microsoft-exchange-server-zero-day-explo…

 mssp299 2021-03-16 11:11:58

7,193 1 1

GlobeImposter勒索热度不减，改头换面再出5.1变种

背景概述近日，深信服终端安全团队捕获到了Globelmposter家族的又一新变种，经分析其代码结构与以往变种有很大变化，但其行为流程却具有鲜明的Globelmposter特点，且在攻击现场发现的样本…

 Further_eye 2021-03-09 13:49:53

7,083 0 0

基于modprobe_path覆盖的Linux内核漏洞利用技术

原文地址：https://lkmidas.github.io/posts/20210223-linux-kernel-pwn-modprobe/  前言 在本文中，我们将…

 mssp299 2021-02-26 15:56:45

7,970 0 0