翰海源受邀出席第二届江苏省信息安全宣传周活动

“共建网络安全,共享网络生活”,第二届江苏省信息安全宣传周活动上周在南京议事园胜利召开。翰海源公司也受邀参加并且由技术总监王伟做了“新一代威胁,新解决方案”的报告。 此次宣传周设立的主题非常好,“共建网络安全,共享网络生活”,只有建设好网络的安全,才能享受到美好的网络生活。然而当前网络安全的形式却是越来……

攻防对抗升级,新高级Malware引入隐写术

概述 前面我们介绍过关于Smoke Loader和Andromeda僵尸网络采用相同的.NET恶意程序框架来进行免杀处理的一些例子: http://blog.vulnhunt.com/index.php/2014/10/29/smoke-loader_and_andromeda_botnet/ 近期我们又发现一种新的.NET恶意程序框架正在被使用,这些恶意程序大部分通过钓鱼邮件进行传播。根据邮件的主题和内容……

MS14-063(CVE-2014-4115)FAT32驱动内核溢出分析

    Background 近日,ICEWALL在博客上放出了CVE-2014-4115的讨论: http://www.icewall.pl/?p=680&lang=en 叙述了这个漏洞的细节,恶意的fat32格式的U盘,可造成windows内核崩溃。 我们来看下这究竟是怎么回事。 BSOD 首先来关注下FAT32的数据结构,下图展示的是FAT32 Boot Sector的格式: 该段数据位于……

有关IE VB神洞CVE-2014-6332的DVE利用分析

The Background CVE-2014-6332是VB Array错位分配方面的漏洞,我司(翰海源)小伙伴0xBigBan同学已经放出该漏洞原理的完整分析(《有关IE VB神洞CVE-2014-6332》)。上周三@yuange1975放出的DVE利用 验证代码(POC) ,使用该漏洞可以稳定攻击Windows IE3~IE11,因此本文重点分析一下该DVE样本的技术利用细节。 The Prepa……

IE浏览器“神洞”CVE-2014-6332已经被用作定向攻击

1.概述 前几天CVE-2014-6332的利用样本被公开在网上,由于该漏洞利用十分稳定,可以通杀没有打过补丁的IE3-IE10. 在该漏洞利用被公布刚刚不到一个星期,我们已经捕获到利用该漏洞的定向攻击事件。 攻击代码改写目前网上流传的alliedve.htm中的runmuma函数: 该函数通过Windows脚本宿主调用cmd.exe执行以下命令: 1.添加……

有关IE VB神洞CVE-2014-6332

The Background 微软11月的更新补丁放出后,许多资深安全研究员纷纷表示该月补丁是微软的一次大补丸。 修复的许多重大漏洞中有一个自IE出生便存在的神洞CVE-2014-6332,贯穿win95+ie3-win10+ie11。 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6332 随后yuange 在微博上称他的神洞躺着中枪了,并且在个人……

互联网灰色产业链一角:流氓软件也挺”拼”的

1 概述 流氓软件作为互联网灰色产业链上的一块重要的组成部分,其增长和传播的速度也越来越快,目前国内随处可见这类强制捆绑、强制安装的流氓软件,随着这条利益链带来的巨大收益,流氓软件所使用的手段也越来越高级,这些流氓软件采用更加隐蔽、更具迷惑性、更加暴力的推广方式,用户在毫不知情的情况下就已经沦为其利……

金融攻击事件分析:Tyupkin样本技术分析及攻击过程还原

1背景概述 前段时间,卡巴斯基发现并报告了一种新型的恶意程序Tyupkin,该恶意程序针对银行的ATM自动取款机发起攻击,通过微软提供的金融服务控件MSXFS.dl来直接操控ATM设备来实现从取款机任意取钱。 虽然事件过去了一段时间,没有太多的热度了,但是深入研究彻底分析下金融领域的攻击还是很有必要的。了解针对金融ATM的……

文件B超-中国的VirusTotal

by 翰海源小编 of vulnhunt Lab update: 2014-10-31 亲爱的文件B超用户们:非常抱歉上线了一天的类似virustotal功能要下线了,我们的合作方认为我们喊出的口号和方向威胁了他们的业务,故停止了合作。文件B超团队非常理解合作方的顾虑和担忧。本着为用户更好的服务原则,我们会努力的再次为大家提供更好的在线服务,感谢……

威胁情报预警:警惕最新的Smoke Loader和Andromeda变种botnet

一、概述 近期翰海源团队一直在持续关注着一个Botnet的演变,该Botnet从2014年8月末开始活动,一直持续到2014年10月底,截至目前该Botnet仍然存活,同时我们也在金融、IT、政府、银行等行业发现了攻击样本,翰海源提醒客户请警惕最新的Smoke Loader和Andromeda变种botnet。有任何问题可以联系翰海源团队。 Botnet使用钓鱼……