研究报告

➢  收到“来自自己”的敲诈邮件,请不要恐慌

诈骗者通过构造邮件信头数据,让邮件用户收到一封“来自自己的邮件”,以此让用户相信自己的邮箱被入侵,来欺骗、恐吓受骗者主动向其指定比特币账户汇款,请大家提高警惕,不要汇款,以防上当。更多

➢  “绿斑”行动——持续多年的攻击

“绿斑”组织的攻击以互联网暴露目标和资产为攻击入口,采用社工邮件结合漏洞进行攻击,其活跃周期可能长达十年以上。更多

➢  安天发布针对工控恶意代码TRISIS的技术分析

TRISIS是一种攻击工业网络安全仪表系统(SIS)控制器的恶意代码,基于对施耐德的Tricon安全仪表系统处理过程及环境的具体细节深度了解,修改和部署新的PLC梯形图,以对目标产生符合攻击者预设的影响。更多

➢  警惕通过垃圾邮件传播的FlawedAmmyy远控木马

近日,安天CERT(安全研究与应急处理中心)在梳理网络安全事件时发现一种新型远程访问木马。该木马(Trojan/Win32.RA-based)属于“FlawedAmmyy”家族,系远控软件Ammyy Admin V3泄漏源代码的修改版本。根据安天研究人员分析,其可允许更多

➢  警惕AgentTesla商业键盘记录器新型变种

近日,安天CERT(安全研究与应急处理中心)发现了Agent Tesla商业键盘记录器的新型变种。Agent Tesla原本只是个简单的键盘记录器,记录用户的每一次按键并回传至攻击者服务器。自2014年发展至今,Agent Tesla的开发者为其添加了更多的功能更多

➢  “挖矿”恶意代码肆虐,安天智甲有效防护

随着虚拟货币被疯狂炒作,伴随而来的是疯狂的“挖矿”行为。“挖矿”方式有两种:一种是solo式(直接连入中心网络工作),产出收益均归自己所有;另一种是连入矿池,收益与矿池分成。由于连入矿池的技术难度较低并且收益相对稳定,所以恶意更多

➢  安天智甲有效防御ATM恶意代码Prilex

安天在梳理网络安全事件时注意到针对ATM自动取款机的恶意代码家族Trojan/Win32.Prilex,其最初在2017年10月被披露用于针对拉丁美洲葡萄牙语系ATM的攻击活动。通过对Prilex分析发现,恶意代码使用Visual Basic 6.0(VB6)编写更多

➢  安天针对CHM银行木马的检测分析及有效防护

安天在近期捕获的样本中发现了一种利用CHM传播的银行木马,该银行木马来源于一种垃圾邮件传播的附件中。当用户收到这种垃圾邮件并打开附件中的CHM文件时,恶意软件就会执行一个小的PowerShell命令更多

➢  GANDCRAB勒索软件着眼“达世币”,安天智甲有效防护

近日,一款勒索达世币(DASH)的勒索软件GandCrab被发现,其为首个勒索比特币以外的虚拟货币的勒索软件,安天安全研究与应急处理中心(安天CERT)迅速对其展开分析。更多

➢  警惕GLOBEIMPOSTER勒索软件,安天智甲有效防护

安天安全研究与应急处理中心(Antiy CERT)的工程师在近日接到用户反馈,其服务器被勒索软件加密。经过分析判定认为该加密服务器的勒索软件是GlobeImposter家族的新变种。更多

➢  GANDCRAB勒索软件着眼“达世币”,安天智甲有效防护

近日,安天捕风蜜网系统监控并捕获到大量异常的UDP流量,通过对该流量的分析,发现存在僵尸网络控制节点(C2)位于美国的黑客组织正在对全球网络的NetCore 53413/UDP后门端口进行扫描攻击。更多

➢  2017全球僵尸网络DDOS攻击威胁态势报告

本报告由安天捕风小组与电信云堤联合发布,本年度报告主要以安天捕风蜜网和电信云堤流量监测数据为基础,针对2017年发生的僵尸网络DDoS(分布式拒绝服务)攻击事件进行汇总分析。更多

➢  处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵) FAQ

在安天1月4日和1月5日分别发布《》《处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)分析报告》[2]之后,有用户就A级漏洞事件影响范围、利用方式和如何检测提出问题,针对此类形成了本FAQ。更多

➢  一个硬件安全工程师眼中的Meltdown

本文作者是安天微电子与嵌入式安全实验室的Tbsoft博士,为大家讲述一个硬件安全工程师眼中的Meltdown。更多

➢  处理器A级漏洞MELTDOWN(熔毁)和SPECTRE(幽灵)分析报告

安天应急处理中心在2018年1月4日,针对Google公司的Project Zero等安全团队披露出的英特尔等处理器芯片存在非常严重的安全漏洞,发布了A级漏洞风险通告,并提醒该漏洞演化为针对云和信息基础设施的A级网络安全灾难。更多

➢  重大处理器漏洞MELTDOWN(熔毁)和SPECTRE(幽灵)应急通报

安天安全研究与应急处理中心(Antiy CERT)发现,北京时间2018年01月03日左右,Google公司的Project Zero安全团队披露,英特尔处理器芯片存在非常严重的安全漏洞,该漏洞事件源于芯片硬件层面的设计BUG,利用漏洞能够允许具有用户态权限的进程执行未经过授权的CPU缓存数据读取,这有可能导致攻击者获取到用户设备上的一些敏感数据... 更多

➢  安天发布:潜伏的象群——越过世界屋脊的攻击

在过去五年间,中国所遭遇到的“越过世界屋脊”的网络攻击从未停止过。在这些此起彼伏的攻击行动中,安天此前称之为“白象”(White Elephant)的组织最为活跃,从2012年到2013年,安天陆续捕获了该攻击组织的多次载荷投放... 更多

➢  安天对CVE-2017-11882漏洞利用样本的检测与防御

在过去五年间,中国所遭遇到的“越过世界屋脊”的网络攻击从未停止过。在这些此起彼伏的攻击行动中,安天此前称之为“白象”(White Elephant)的组织最为活跃,从2012年到2013年,安天陆续捕获了该攻击组织的多次载荷投放... 更多

➢  安天针对VBA宏勒索软件BLUFISH的检测分析与有效防护

传统勒索软件的重要功能模块多半为二进制可执行程序,而脚本仅作为加载器使用。安天在近期捕获的样本中发现了一种新型的完全使用VBA宏编写的文件加密勒索软件家族BluFish。不同于其他勒索软件(如Locky),其加密文件时不会改变文件名称... 更多

➢  安天追影对利用"CVE-2017-0199"漏洞的病毒变种的监测与分析

安天追影威胁分析系统(英文简称PTA,以下简称“安天追影”),是一款将安天后台的核心自动化分析能力前置在用户侧的深度分析设备。安天追影可针对文件、URL等对象进行动静态深度分析与鉴定,全面评估对象信誉,有效触发0 Day漏洞,有效检测免杀木马、高级攻击样本等威胁,细粒度揭示文件行为... 更多

➢  僵尸网络团伙利用MIRAI开源代码改造升级攻击装备

2017年11月1日,安天捕风蜜网系统自动捕获到一批最新的Mirai变种被控端样本。该批样本明显区别于之前的Mirai样本,包括IoT_reaper变种[1]。根据多方面的分析,确认该批样本为Mirai家族衍生变种,且处于完善测试和拓展僵尸网络的阶段,故将该批木马命名为Trojan[DDoS]/Linux.Mirai.Nov(以下简称:Mirai.Nov)。更多

➢  安天智甲有效防御最新宏逃避手段

安天在近期捕获的样本中发现一例利用“自动”宏AutoClose来逃避沙箱检测的Office样本。攻击者诱使受害者点击垃圾邮件中的恶意链接,下载恶意文档。当用户打开Office文档文件并且启用宏时... 更多

➢  坏兔子来袭,安天智甲有效防护

安天安全研究与应急处理中心(Antiy CERT)在北京时间2017年10月24日关注到“Bad Rabbit”(坏兔子)勒索软件的活动情况,并给与了跟踪分析。截止到2017年10月26日晚,包括德国、乌克兰、土耳其在内的欧洲多国基础设施遭受病毒攻击... 更多

➢  安天炼石发布无线网络(WI-FI)保护协议标准WPA2漏洞联合分析报告

欧洲鲁汶大学的博士后安全研究员Mathy Vanhoef在10月15日披露无线网络(Wi-Fi)保护协议标准WPA2的高危漏洞。漏洞允许在Wi-Fi范围内的攻击者监听计算机和接入点之间的Wi-Fi流量。该漏洞影响协议本身,且对WPA和WPA2均有效,因此支持... 更多

➢  警惕出现下一个“WannaCry”,安天紧急发布CVE-2017-11780漏洞免疫工具

近日,国家信息安全漏洞共享平台(CNVD)收录了Microsoft Windows SMB Server远程代码执行漏洞(CNVD-2017-29681,对应CVE-2017-11780)。远程攻击者成功利用漏洞可允许在目标系统上执行任意代码,如果利用失败将导致拒绝服务。CNVD对该漏洞的综合评级为“高危”... 更多

➢  基于蓝牙协议漏洞的BlueBorne攻击综合分析报告

使用蓝牙通信协议的设备数量随着物联网时代的开启日益增多。近期,物联网安全公司Armis Labs披露了一个攻击向量BlueBorne,称攻击者可利用一系列与蓝牙相关的安全漏洞,在一定场景下可实现对具有蓝牙功能的远端设备的控制... 更多

➢  CVE-2017-7925_漏洞分析报告

近日,安天追影团队在整理网络安全事件时,发现一个影响范围广,危害性较高的漏洞,漏洞编号为CVE-2017-7925,可绕过身份认证下载到配置文件(包含用户名和密码)。目前,经统计存在此漏洞的设备还有40多万台,数量庞大... 更多

➢  安天发布《Staser家族样本分析报告》

近日,安天CERT(安全研究与应急处理中心)在梳理网络安全事件时注意到,一种可以对抗安全软件且通过移动设备与IPC$传播的恶意代码家族在网络上比较活跃,该家族名为“Staser”。... 更多

➢  CVE-2017-8225_漏洞分析报告

安天追影团队在整理网络安全事件时,发现一个影响范围极广,危害性极高的漏洞,漏洞编号为CVE-2017-8225(自定义http服务器中的预授权的身份信息/凭证泄漏)。Shodan列出了185000个易受攻击的摄像头... 更多

➢  安天发布《TeamSpy家族样本分析报告》

安天CERT(安全研究与应急处理中心)在梳理网络安全事件时注意到,一种利用远程控制软件TeamViewer进行恶意操作的恶意代码TeamSpy使用针对性的垃圾邮件进行攻击。TeamViewer是一种用于远程支持、远程管理、家庭办公在线协作和会议功能的软件... 更多

➢  安天发布《Fireball家族样本分析报告》

安天CERT(安全研究与应急处理中心)在梳理网络安全事件时注意到,一种名为Fireball的恶意代码家族正在世界范围内活跃。研究人员称,该恶意代码已经感染数量高达2.5亿和20%的企业网络,感染机器成为僵尸网络的一部分... 更多

➢  新型物联网恶意软件Persirai分析报告

安天追影团队在整理网络安全事件时,发现一个新型物联网恶意软件,命名为Persirai,恶意软件Persirai已影响了1000多种型号的网络摄像机,目前大约有12万的设备容易受到这种恶意软件的影响。Persirai可以通过利用最近公开的0Day漏洞入侵网络摄像头... 更多