概况近期，毒霸安全团队通过“捕风”系统监测到一款在内网中传播的挖矿病毒，该病毒打包了方程式攻击工具包，在内网中利用永恒之蓝（Eternalblue）和双脉冲星（DoublePulsar）进行横向传播，被...

一、概述近期有公安、气象等行业若干单位反馈，他们检测出VRVNAC“桌面监控”软件携带恶意程序。经分析，该产品所使用的功能组件（AdvancedAll.dll）遭Ramnit病毒感染，恶意代码被包含在文件的...

1.   样本描述该恶意软件利用WindowsSMB漏洞传播，释放虚拟货币矿机挖矿的肉鸡集群，并伪装成系统进程spoolsv.exe，其自身在释放攻击载荷之后，还会开启对局域网络445端口的疯狂扫描，一旦发...

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。0x01 MS08-067漏洞原理MS08-067漏洞是通过MSRPC over SMB通道调用Serv...

Computrace背景Computrace是一款防盗追踪软件，它来自于国外Absolute公司，该软件主要确保用户在笔记本丢失后，通过定位帮助用户能够找回被盗笔记本，同时，该软件还具有远程锁定、文件传输等功...

*本文作者：小司马WHY，本文属 FreeBuf 原创奖励计划，未经许可禁止转载。0x1 事件概述在一次应急响应中，无意发现来自不同地区和人员的攻击，两种留后门的方法，截然不同的操作，不同的技术手...

一、情况概述1.1 情况拓扑由于运维过程中可能存在违规操作、过失操作或者防护能力不足导致被恶意操作使得主机遭受挖矿程序的侵害，该挖矿程序会下载恶意程序至WMI中，实现无文件挖矿和内网渗透...

0x01 什么是内核级木马内核级木马一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序。其利用线程注射DLL到系统进程，解除DLL映射并删除自身文件和启动项，关机...

一、什么是内核级木马内核级木马一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序。其利用线程注射DLL到系统进程，解除DLL映射并删除自身文件和启动项，关机时...

前言 在网络安全的世界里，白帽子与黑帽子之间无时无刻都在进行着正与邪的对抗，似乎永无休止。正所谓，道高一尺魔高一丈，巨大的利益驱使着个人或组织利用技术进行不法行为，花样层出不穷，...