1.为什么恶意软件开发者转向开放源代码
2.针对macOS盗版UltraEdit恶意软件的恶意恶意深度技术剖析
3.什么是用于构建大规模攻击平台的恶意代码
4.AutoIt恶意软件:从编译的二进制脚本到纯文本脚本
5.源代码泄露的后果
为什么恶意软件开发者转向开放源代码
骗子们通过软件窃取银行信息
为了让他们的恶意软件对骗子来说更有价值,恶意软件开发者正在努力转向开源模式。软件软件
除了窃取金融和个人资料,源码源码恶意软开发者希望通过免费提供程序代码,恶意恶意扩大既有木马程序的软件软件使用范围。
根据来自赛门铁克安全实验室的源码源码源码全国代理研究员坎迪特·维斯特的说法,在现在的恶意恶意木马市场中,百分之十的软件软件工具是开源的。
迁移到开放源代码的源码源码商业模式将让犯罪分子可以为他们的恶意软件增加额外的功能。
“这种模式的恶意恶意优点是会有更多的人参与开发,因此,软件软件某个精通密码学的源码源码人可以编写一个加密插件,熟悉关注视频的恶意恶意人可能编写桌面控制远程流媒体的工具。”维斯特说。软件软件
开放源代码形式木马的源码源码历史可以追溯到年,当时死牛教派黑客集团发布了Back Orifice木马的源代码。
最近,Limbo木马的开发者也公布了其源代码,以提升骗子们的使用频率,扭转占有率下降的颓势。
根据来自安全厂商RSA的调查结果显示,在年问世后,Limbo木马迅速成为全球范围内使用最广泛的木马,但很快在年就被更先进的Zeus木马所取代。
主宰木马市场的是巨额的利润,被感染的计算机和窃取的金融及个人信息,在黑市上价值数百万美元。源码时代天使保持在开放源代码之前,Limbo木马工具包的通常价格为每套美元,而Zeus木马的市价目前仍在到美元之间。
不过,RSA新技术部门总监尤里·瑞文表示,转向开源并未扭转Limbo客户减少逐渐被淘汰的命运。
“和其他任何开源项目一样,这一商业模式采取的是免费提供基础版,接下来出售更高端的版本、专业服务或定制化项目的方式。”
“在刚刚宣布开源的时间,这的确是重要新闻,但不久以后人们就不想再用它了。
“它已经不是最好的木马了,但因为是开源的,你可以把它当作第一个木马试用,所以它仍然适用于某些地方。”他说。
尽管基础版包含了众多功能,可以让犯罪分子在假银行网站上加入额外的PIN码选项,并记录被感染计算机上的键盘和文件操作,但Limbo的使用者数量还是在持续降低。
开源不仅没有推动Limbo的发展,反而为网络骗子带来了新的问题:开源让安全专家更容易获得恶意软件了。
“如果(木马)开放了源代码,就意味着,桌面提示程序源码安全公司也可以找到这些源代码,并且更容易进行普通的启发式检测,因为他们知道里面包含了什么内容。”来自赛门铁克的维斯特说。
根据RSA瑞文的说法,大部分的计算机感染木马,都是在浏览不安全的网站时被自动下载,或是木马伪装成合法软件的安全更新,再经由社交网站传来的信息,鼓励使用者下载的情况下发生的。
这些感染方法已经证明相比传统的电子邮件链接或附件,能更有效地传播恶意软件。
RSA分析师指出,这些新方法造成木马感染率的大幅增长,该公司侦测到的木马感染事件数量,从年8月的起,猛增到年8月的起。
针对macOS盗版UltraEdit恶意软件的深度技术剖析
在近期,MalwareHunterTeam的专家揭露了一起涉及盗版macOS程序的恶意软件事件。该程序文件名是“ultraedit.dmg”,内含一个名为“libConfigurer.dylib”的恶意库。最初发现时间在年。本文将深入分析此次事件,从磁盘镜像文件入手,进而探讨恶意动态库的详细内容。
macOS用户熟悉UltraEdit,圣盛游戏源码这是一款功能强大的文本与十六进制编辑器,支持大型文件编辑。然而,盗版版的UltraEdit应用程序隐藏着风险。在VirusTotal平台,该样本被数十家反病毒软件标记,但标记名称并不特定,如“Trojan.MAC.Generic”或“Trojan-Downloader.OSX.Agent”,这使得识别恶意软件类型变得困难。
通过加载磁盘镜像,我们发现该盗版程序被挂载至/Volumes/UltraEdit .0.0.,且无任何签名信息,而正版UltraEdit应用程序则包含合法签名。在盗版软件中寻找恶意组件,通常较为困难,特别是对于大型应用而言。然而,我们成功识别了一个名为“libConfigurer.dylib”的恶意组件。
该组件为无符号位(Intel)dylib库,也被VirusTotal平台标记。它被添加为依赖库,意味着当用户启动盗版UltraEdit时,此库会自动加载。通过反汇编工具,我们发现其中包含了一个名为initialize的构造器,执行此构造器后,核心线指标源码会下载并执行名为download.ultraedit.info的代码。
下载的代码文件被转储为/tmp/.test和/Users/Shared/.fseventsd,文件内容通过解码后,似乎与已知的恶意软件Khepri相关联,这是一款基于Golang和C++开发的开源跨平台代理+后渗透工具。同时,libConfigurer.dylib从download.ultraedit.info下载的文件也包含了一些混淆的Mach-O源码。
进一步分析显示,.test文件似乎是恶意软件的一部分,它使用/usr/local/bin/ssh执行,这可能用于远程控制或数据传输。而.fseventsd文件则通过文件监控器实现持久化,每次用户登录时自动启动或重启。
总结此次事件,盗版UltraEdit应用程序不仅引入了恶意动态库,还通过网络下载和执行了额外的恶意代码。恶意软件组件通过混淆和持久化技术,增加了检测和移除的难度。在分析过程中,我们使用了多种工具,包括VirusTotal、otool、nm、反汇编工具等,以及第三方安全资源和开源工具,以获得更全面的理解和证据。
面对此类恶意软件,用户应避免下载和使用盗版软件,以保护系统安全。同时,持续监控和更新防病毒软件也是防范恶意软件的重要措施。尽管本文中详细介绍了此次事件的分析过程,但请注意,恶意软件的变种和更新不断,因此保持警惕和采用多层安全防护策略是应对恶意软件的关键。最终,确保系统的安全性,避免遭受潜在的威胁。
什么是用于构建大规模攻击平台的恶意代码
用于构建大规模攻击平台的恶意代码通常被称为“恶意软件”或“恶意工具包”。
恶意软件是一种被设计用于破坏、干扰、拦截或非法访问计算机系统的软件。它可以被用来窃取敏感信息、破坏数据、制造混乱或者将计算机系统变成攻击其他系统的工具。恶意软件的制作和传播已经成为网络犯罪活动的一个重要组成部分,被广泛应用于各种攻击活动中,包括大规模攻击平台的构建。
在大规模攻击中,攻击者通常会使用恶意工具包来自动化攻击流程,提高效率。这些工具包中包含了各种恶意代码,例如远程控制木马、蠕虫病毒、勒索软件等。这些代码可以被用来扫描目标系统、传播恶意程序、窃取敏感信息或者执行其他恶意操作。攻击者可以通过各种途径将这些恶意代码传播到目标系统中,例如通过电子邮件附件、恶意网站、社交工程等方式。
例如,一种被称为“Mirai”的恶意软件就被广泛用于构建大规模攻击平台。Mirai最初被设计用于攻击物联网设备,并通过扫描互联网上的IP地址来寻找目标。一旦找到目标,Mirai就会尝试使用默认的用户名和密码登录设备,并将设备的控制权交给攻击者。攻击者可以使用这些设备来发动各种攻击,例如DDoS攻击、垃圾邮件攻击等。Mirai的源代码被泄露后,被广泛应用于各种攻击活动中,并被不断升级和改进。
总之,恶意软件是构建大规模攻击平台的重要工具之一。攻击者可以使用这些软件来自动化攻击流程、提高效率,并通过各种途径将恶意代码传播到目标系统中。为了保护计算机系统的安全,我们需要时刻保持警惕,及时更新系统和软件的安全补丁,并避免打开来自陌生人的电子邮件和链接。
AutoIt恶意软件:从编译的二进制脚本到纯文本脚本
AutoIt是一种开发语言,恶意软件作者利用它来创建并混淆恶意软件。AutoIt与恶意软件有紧密联系,其网站上甚至提供了解决方案,应对合法的AutoIt二进制文件常被防病毒软件误判为恶意文件的问题。本文将展示如何将已编译的AutoIt二进制文件转换为纯文本脚本,以提供分析起点。AutoIt提供了两种编译选项:编译脚本和独立可执行文件。编译脚本通常包括合法的AutoIt解释器和一个编译后的脚本,独立可执行文件则将脚本作为资源嵌入。在编译脚本情况下,恶意有效载荷通过两个文件呈现:合法的解释器和编译后的脚本。受害者在执行时,通过命令行运行脚本。独立可执行文件则仅显示为一个.exe文件,其中脚本被嵌入。为了识别恶意文件,可利用文件哈希值、PEStudio版本信息和AutoIt覆盖分析等方法。然而,独立可执行文件无法通过哈希值验证其合法性。为解决此问题,可利用Exe2Aut应用程序进行反编译。Exe2Aut是一个简单的应用程序,用于对已编译的AutoIt脚本进行反编译。只需将解释器可执行文件拖放至应用程序中,选择已编译的脚本并单击“打开”,即可在几分钟内获得纯文本源代码。此操作适用于编译脚本和独立可执行文件,后者更易于反编译,因为脚本已嵌入。反编译后,脚本可能高度混淆,手动进行模糊处理并识别代码模式可能有所帮助。尽管调试选项有限,但通过分析源代码中的标识元素,可以增强对原始可执行文件的调试。例如,识别特定函数调用(如对Kernel.OpenProcess的CALL),可在调试器中设置断点进行深入分析。通过上述步骤,可以更直观地分析AutoIt恶意软件,并为后续研究和防御提供基础。
源代码泄露的后果
源代码泄露的后果会被有心人利用,篡改代码,恶意生成一些页面,严重影响公司个人声誉,造成公司个人经济损失。
源代码(也称源程序)是指未编译的按照一定的程序设计语言规范书写的文本文件,是一系列人类可读的计算机语言指令。在现代程序语言中,源代码可以是以书籍或者磁带的形式出现,但最为常用的格式是文本文件,这种典型格式的目的是为了编译出计算机程序。计算机源代码的最终目的是将人类可读的文本翻译成为计算机可以执行的二进制指令,这种过程叫做编译,通过编译器完成。如果按照源代码类型区分软件,通常被分为两类:自由软件和非自由软件。自由软件一般是不仅可以免费得到,而且公开源代码;相对应地,非自由软件则是不公开源代码。所有一切通过非正常手段获得非自由软件源代码的行为都将被视为非法。