algorithms）等技术来进一步强化检测逃避能力；（2）使用多种窃密木马配合勒索病毒进行多重勒索，例如Azorult、ArkeiStealer和RedLine等，使用的通信域名同样采用Fast

专利，实现攻击和检测技术的相互赋能，并及时把能力输入到业务线中，实现自身产品的迭代优化。未来，深信服千里目安全技术中心也将不断提高专业技术造诣，深度洞察网络安全威胁，持续为网络安全赋能。

模型,搭建分布式集群结构，通过在主控节点提交程序，并由调度器进行任务调度，将任务分配至多个工作节点执行，实现模型训练流程的并行化、高性能计算。工作节点支持各类异构处理器（GPU、POWER

效果领跑一路了解更多网络安全技术消息

0，意味着较其他进程关闭得最迟。终止服务为了确保在系统加密过程中不中断其加密过程，恶意软件会枚举和检索受害者机器上所有可用的服务，在加密系统之前尝试终止服务。打开服务控制管理器数据库

内核中存在权限提升漏洞，攻击者可以利用该漏洞在目标系统获取更高的权限。该漏洞经过评估，危害比较大，我们建议用户及时更新微软安全补丁。影响范围漏洞名称、CVE编号受影响版本Windows

的部分代码并在其基础上开发恶意模块。该程序的释放的文件包含具有数字签名的正常的库文件，以及没有数字签名但伪装成正常系统文件的

上半年的漏洞态势，得出如下结论：开源软件的安全性逐渐引起重视；Nday漏洞利用形势严峻，侧面反映出人员的安全意识不足；企业、政府、教育类行业更易遭受到攻击。信息安全漏洞基本情况漏洞总体情况截止

5.18漏洞类型：权限提升利用条件：1、用户认证：低权限用户2、前置条件：默认配置3、触发方式：本地综合评价：：容易，仅需要低权限用户。：高危，能获取

启动进程。二、释放的程序的运行流程创建互斥量，防止进程重复运行。使用不同的命令行再次启动，第二个参数为当前进程的窗口句柄，用于接收窗口消息，后续将用此接收消息并循环运行：如果

简介网络爬虫——一种让网站维护人员长期头痛的存在。网站维护人员既要考虑为搜索引擎开方便之门，以便提升网站排名、广告引入等，又要应对恶意爬虫所带来的危害，如数据被非法获取，甚至出售。因此，爬虫和反爬虫一直是场旷日持久的战斗。爬虫的开发从最初的简单脚本到

等采取阻断缓解措施。可建立实时监控仪表盘，跟踪风险发展趋势。可生成报表支撑事件复盘与汇报。可模拟攻击行为组织攻防演练，提升客户应急响应能力。【深信服WAF/云WAF】可开启

专项检测、专家定期全面排查，有效预防基于专项的勒索病毒Checklist，安全专家定期开展勒索风险排查，确保勒索风险全面可视。安全设备内置勒索病毒对抗专项配置及加固，勒索病毒防御更有效。·

漏洞是黑产发起攻击的重要手段，尤其是0day或Nday漏洞已经成为僵尸网络的常用套路，僵尸网络为了更有效和广泛的传播，会在漏洞被披露的第一时间更新进武器库。在本次漏洞事件中，Apache

通过在操作系统主机（云主机、物理主机）上批量部署深信服CWPP，通过资产梳理模块，无需额外更新规则以及软件版本，即可快速梳理主机资产（操作系统、中间件、应用软件）的信息，定位及评估到Apache

Log4j2远程代码执行漏洞组件名称

近期深信服安全团队捕获到了Lazarus组织针对加密货币相关行业的社工攻击活动，该组织在寻找到攻击目标信息后，疑似通过即时通讯软件主动和目标取得联系，并发送修改过的开源PDF软件(Secure

documentName)以Decompress为例，混淆前和混淆后对比如下:前后对比可以发现，代码基本逻辑没有变化，但是一些函数名和变量的名字被替换了。这样一来，代码反编译后的可读性就很差了。

背景概述REvil（又名Sodinokibi）勒索病毒团伙近期活跃度非常高，上个月才加密并窃取了某计算机巨头企业机密数据，在本月又入侵了苹果代工厂要价5000万美元，堪称勒索病毒界的“劳模”。点击链接查看：《3.25

C:\PowerUpSQL-master\Scripts\pending\Get-SQLServiceAccountPwHashes.ps1Get-SQLServiceAccountPwHashes

http[:]//msoffice.user-assist.site/refresh/wordhttp[:]//msoffice.user-assist.site/update/content

背景概述Hospit勒索病毒最早于2020年12月被发现，其主要通过RDP暴破等方式传播，具有很强的行业针对性。早期变种加密后缀为”.guanhospit”，攻击目标均为医疗单位。（相关分析报告：针对医院的新型勒索病毒Hospit曝光，疫情抬头期间更需关注信息安全!）而此次发现的变种加密后缀为”.builder”，攻击目标均为制造业。由此可以看出，Hospit勒索病毒背后的团伙似乎不同于其他勒索团伙的随机选择，该团伙每一次行动都具有很强的目标性，未来可能将有更多的行业成为其攻击目标。深信服终端安全团队通过对捕获的样本进行分析，其对于10M以下的文件加密存在漏洞，加密秘钥存在被暴破的可能，第一时间开发了对该勒索病毒的解密工具，可以对被hospit勒索病毒加密的低于10M的文件进行解密，挽回部分损失数据。勒索解密解密工具下载地址：https://edr.sangfor.com.cn/api/download/DecryptHospit.exe使用说明：1.

加载恶意文件，传入16位随机字符串解密密钥“5I9YjCZ0xlV45Ui8”，payload命名方式（都以db为后缀），也与Lazarus组织2020年9月攻击活动的手法相似：

背景概述近日，深信服安全团队捕获到一种新型勒索病毒，加密文件后缀为.guanhospit。该勒索病毒具有很强的行业特征，截止至目前国内已发现多起感染案例，均为医疗单位。深信服安全团队将其命名为Hospit家族。感染病毒后，会将数据库、文档等重要文件加密，其采用了非对称加密算法，加密后的文件目前无法解密。由于其主要针对医疗行业进行攻击，而该行业具有很大的业务紧迫性，并且当前国内出现疫情反复的情况，一旦被勒索，将导致业务中断，造成的损失不可估量，这又会导致这个行业的受害者为了快速恢复业务，而选择给黑客支付赎金的方式。勒索信息：传播方式分析发现病毒无主动传播行为，主要是通过RDP暴破后人工运行勒索病毒，如下为RDP入侵日志：RDP暴破成功后，上传黑客工具及勒索病毒，如下，其中hospit.exe为勒索病毒文件，其余为黑客工具，用于结束安全软件及关闭防火墙等：病毒分析使用了今年11月份刚出的最新的c#的混淆SmartAssembly

根据全网数据统计，使用Spring的网站多达80万余，其中大部分集中在美国，中国的使用量排在第二位。其中香港、北京、上海、广东四省市使用量最高。通过网络空间搜索引擎的数据统计和柱状图表，如下图所示。

企业内网中的僵尸网络主机可能存在更大的潜在安全风险。如果没有及时处理内网中的僵尸网络主机，导致的不仅仅是僵尸网络病毒在内网的持续扩散，且越来越多的“肉鸡”也必将带来更大的数据泄露以及勒索的风险；

将内存中释放出的PE文件进行dump，经过对比第一代样本发现相似度非常高，第二代变种所不同的是增加了反分析的手段，采用了流行勒索家族惯用的外壳伪装技巧，在内存中进行进程替换。

路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System，值：EnableLUA。

一、背景介绍随着疫情的缓解，各地企业纷纷复工，而勒索病毒家族也并没有停下他们的脚步。近期深信服安全团队就收到多个地区关于用户主机遭受大面积.C4H勒索病毒入侵的求助，经过安全团队分析，确认为GlobeImposter勒索病毒家族的最新变种。GlobeImposter家族首次出现的时间为2017年5月，随后在2018与2019年出现不同系列的变种，如：以特征字符“.Dragon4444

近日，深信服安全团队连续收到不少关于中了勒索病毒的求助。经过分析排查发现，其中的勒索病毒文件相同，为Sodinokibi家族变种，且攻击痕迹也有相似之处，疑似为同一伙黑客团体连续作案。两次攻击的相似点1、都创建了一个“intel”文件夹用于保存病毒文件及黑客工具：2、都将病毒命名为“d.exe”并复制到启动目录：病毒分析动态获取程序运行所需API地址：创建互斥量“Global\1DE3C565-E22C-8190-7A66-494816E6C5F5”，避免重复运行：解密出加密配置信息：配置信息为json格式文本，其包含如下信息：豁免文件夹："tencent

Federation，并比较地区代码，如有符合则退出程序不进行加密：接着测试是否能在Temp目录下释放文件，如果可以则遍历进程，随机选取一个进程名称作为文件名，拷贝自身到%appdata%

一分钟了解什么是挖矿木马什么是挖矿木马？攻击者通过各种手段将挖矿程序植入受害者的计算机中，在受害者不知情的情况下利用其计算机的云算力进行挖矿，从而获取利益，这类非法植入用户计算机的挖矿程序就是挖矿木马。挖矿木马，挖的是啥？由于比特币的成功，许多基于区块链技术的数字货币纷纷问世，如以太币、达世币等；从深信服安全团队接到的挖矿木马案例来看，门罗币是最受挖矿木马青睐的数字货币，主要有如下几个原因：1.

早前，我们从赎金角度探讨了下勒索病毒的发展演变，详细参考从赎金角度看勒索病毒演变。加密数字货币和Tor网络对勒索病毒的基础性支撑不再赘述，今天，我们回归技术，从另外一个角度，看勒索病毒为何会如此猖獗。为了很好的回答这个问题，我们同样不急于切入主题。首先，深信服安全团队基于大量真实的客户案例及大量的威胁情报信息，来盘点近几年勒索病毒使用过的工具和漏洞。工具本质上来讲，工具是无害的，取决于使用的人，就像一把菜刀，可以用来切菜，也可以用来砍人，不过话又说回来，在特定场景和环境，我们又不得不对这些工具进行限制，同样以菜刀为例，菜刀在国内地铁环境下，即密集人流环境下，多数情况下是不允许被携带的，原因相信大家都懂的。

背景PowerGhost是从2018年被发现使用powershell无文件方式进行攻击感染的挖矿以及DDOS病毒，本次深信服安全团队捕获到其最新样本，其感染方式利用了永恒之蓝，MSSQL爆破，SSH爆破，wmi以及smb爆破远程命令执行等，同时对windows和linux进行攻击，一旦该病毒进入内网，会在内网迅速传播。目前其主要感染地区在广东、浙江、上海以及江苏。详细分析该病毒母体模块分为2个版本，x86和x64，x86使用antitrojan.ps1，x64使用antivirus.ps1，本次分析x64版本的antivirus.ps1。当前病毒版本为1.5。母体payload分布以及执行图，antivirus.ps1中主要分为3个部分，如下图：第一段payload，开头部分如下：Invoke-WmiExec以及Invoke-SmbExec远程命令执行。永恒之蓝利用，$sc为shellcode，主要从网上下载恶意脚本进行感染。SSH爆破，加载的SSH模块Rence.SshNet。

概述勒索圈有个任性的病毒家族Satan，无论比特币价格如何波动，解密要价都是1

近期，深信服安全团队通过对海外第三方数据样本的监测，捕获到勒索病毒Megacortex新型变种。该家族样本最早出现在今年1月份，并对国外多个行业发起勒索攻击行为。该变种相对以往所遇到的勒索病毒，在勒索手法上更为激进：不但加密用户文件，还会进一步修改Windwos登录密码，并在加密完毕后进行锁屏，更进一步还会威胁受害者，若不缴纳赎金则将主机上的文件公开。

近日，深信服安全团队观察到Globelmposter勒索病毒再次出现最新变种，加密文件后缀以十二生肖+865qq的方式出现，截至目前国内多个省市均发现感染案例，覆盖多行业，其中医疗行业影响最严重，个别省份同一天出现10家以上医院受感染。结合早期Globelmposter勒索病毒特征，深信服安全团队将其命名为“十二生肖”2.0版本。病毒名称：Globelmposter“十二生肖”2.0版本病毒性质：勒索病毒影响范围：多省市多行业发现感染案例，医疗行业感染最严重危害等级：高危传播方式：通过社会工程、RDP暴力破解等方式入侵

概述近日，Unit42安全团队在Github上公开了自己研发的powershell自动反混淆工具，Star数几日之间就突破了300，接下来，就来了解下这款神器的用法及原理。项目地址：https://github.com/pan-unit42/public_tools/tree/master/powershellprofiler使用方法工具用法很简洁，python

“紫狐”木马最早出现于2018年3月，通过与游戏外挂、第三方安装程序捆绑传播，该木马如同其名字一样具有狐狸般的狡猾，应用了极强的反检测能力，除了功能DLL文件加强壳外，还会通过加载驱动的方式进行隐藏，并且利用PendingFileRenameOperations实现延时删除，注入系统进程以躲避检测。近日，深信服安全团队监测到“紫狐”木马再次升级，在原有的“反侦察”能力上，新增了“永恒之蓝”漏洞利用功能和1433端口扫描爆破功能，一旦感染便迅速蔓延内网，并不断对外网发起攻击。通过深信服安全感知平台报警提示多个安全事件，包含大量横向传播的恶意行为：由深信服安全云脑对此次捕获到的相关域名进行统计，各省份均存在“紫狐”木马感染情况，推测原因是由于其利用了软件捆绑的方式进行传播，因此，下载运行不明来源安装程序的用户极易遭到感染：通过分析关联，“紫狐”木马母体的最新下载链接使用了域名bk.xdzxxf.xyz，而下载的文件一直在不断变化：木马母体为一个msi文件，通过解压可以看到其中包含了三个文件，分别是：x86下的dll文件winupdate32.logx64下的dll文件winupdate64.log加密的PE文件sysupdate.log其中，两个DLL文件都加了VMP壳，成功运行后会删除母体和运行过程中的各个跳板进程，以躲避追踪检测，最终只残留驱动隐藏的DLL文件通过PendingFileRenameOperations实现延时删除。

事件追踪近日，深信服安全团队关注到，国外安全研究人员Misterch0c在twitter上发现疑似某APT组织的后台，时间节点在2019年10月27日。28日，另外一名安全研究员跟推，指出有部分中国用户被控制。关于此次事件的重要C2服务器lmhostsvc.net，深信服安全云脑威胁情报显示，只有极少数的访问记录，访问时间在2019年10月29号，并非关键核心部门，是一些学院性质的学校，疑似是twitter曝光lmhostsvc.net后，一些在校安全研究人员在研究和访问。样本分析该次事件所关联的样本母体是一个.msi文件，这个病毒以钓鱼邮件附件的方式分发到被攻击的目标。病毒运行后，会弹出一个提示框提示用户等待安装，来以掩盖背后的恶意行为。该msi会释放主程序audiodq.exe，该程序的主要功能为发送主机信息及接收C&C端下发的组件，如下图所示，regdl.exe和MSAServices.exe即为下发的后门组件。各组件功能如下：样本名称MD5功能audiodq.exe46EF2C0DB107B794516DC2B2622E44AD发送主机信息及接收C&C端下发的组件regdl.exebe171b4df9b7db48c67f31c678421bfd设置注册表自启动项MSAServices.exe49B9A0FDF026019B76DF0F03722B0D88.NET后门模块MSAServices.exe是一个.NET编写的后门，反编译后，其核心功能如下，主要为：文件操作、进程管理、远程执行命令。最后，从监控到的流量可以发现，中招主机上线URL形如：http://lmhostsvc.net/healthne/accept.php?a=MT&b=MT&c=Windows

概述Linux环境下处理应急响应事件往往会更加的棘手，因为相比于Windows，Linux没有像Autorun、procexp这样的应急响应利器，也没有统一的应急响应处理流程。所以，这篇文章将会对Linux环境下的应急响应流程进行讲解，并且提供每一个环节中所用到的shell命令，以帮助大家快速、系统化地处理Linux环境下的病毒。处理Linux应急响应主要分为这4个环节:识别现象->清除病毒->闭环兜底->系统加固首先从用户场景的主机异常现象出发，先识别出病毒的可疑现象。然后定位到具体的病毒进程以及病毒文件，进行清除。完成前2步还不够，病毒一般会通过一些自启动项及守护程序进行重复感染，所以我们要执行闭环兜底确保病毒不再被创建。将主机上的病毒项清除干净后，最后就是进行系统加固了，防止病毒从Web再次入侵进来。走完这4个环节，才能算是一个应急响应流程的结束。01识别现象第1个环节要求我们通过系统运行状态、安全设备告警，发现主机异常现象，以及确认病毒的可疑行为。系统CPU是否异常枚举进程，CPU降序排序：topCPU占用率超过70%且名字比较可疑的进程，大概率就是挖矿病毒了。是否存在可疑进程枚举进程命令行：ps

APT组织的最新变种样本，此样本的诱饵文档为日历型电子表格，通过执行表格中宏代码释放恶意程序，窃取受害者主机的敏感信息。样本执行整体流程图：

该病毒通过U盘进行传播，会创建一个窗口用于监听USB的插入。当有U盘插入后，会检测是否已存在感染的文件，进行删除，重新感染，并设置文件属性为隐藏。持久化模块

家族背景以及现状介绍XorDDoS僵尸网络家族从2014年一直存活至今，因其解密方法大量使用Xor而被命名为XorDDoS，该僵尸网络家族目前活跃程度仍旧较高，主要是攻击者对其C2一直持续进行更新，下图是深信服云脑中对XorDDoS网络请求趋势分析，从访问情况来看较为稳定。下图为该僵尸网络家族在国内的感染分布图，可以看到主要存在广东以及江浙一带。防护原理分析深信服安全团队对XorDDos家族的防护原理进行详细分析，并对其做清除处理。主要进程的执行流程如下：流程图cron.hourly下的bash文件,其中包含了其比较明显的特征名称，曾经出现过以下几种(可能还有更多)/etc/cron.hourly/udev.sh

前言近日，一个叫MedusaLocker的勒索病毒在国外安全圈被炒的沸沸扬扬，原因是该病毒的多个版本被泄露了出来，其中包括了黑客开发过程中的Debug版本。近期，深信服借助强大的威胁情报来源，观察到菲律宾等东南亚国家，及国内不少企业接连中了该病毒，有持续爆发的趋势，深信服安全团队对该病毒进行追踪，实现检测与防御。正常情况下，为了防止被追踪，黑客分发恶意软件之前，都会对敏感信息进行抹除的，而这个Debug版本的MedusaLocker，很有可能是黑客在开发过程中不慎泄露的，Debug版本包含了较多的样本信息，我们可以通过研究它，制定有效的检测防御方案。由于Twitter上没有公布该样本的MD5，只好在VT上根据关键字进行搜索，最后筛选出两个相关样本，根据发现的时间排序，第二个样本很可能就是提前泄露的Debug版本。本地运行该样本，主机文件被加密成”.skynet”，同时生成了以下勒索提示文件”Readme.html”。仔细一看“Your

持久化（Persistence）是一个攻击链周期中非常重要的环节，攻击者会利用各种技术确保恶意软件在系统上驻留的时间更加长久，即使在设备重启、凭据修改或其他可能破坏当前恶意活动的操作发生后，也能够重新拉起和保持恶意的行为。建立持久化又分为持久化注入和持久化触发两个部分。持久化注入通常指植入恶意payload，通常包括进程注入、EXE文件注入、动态链接库（DLL）注入、HTML应用程序（HTA）注入、脚本注入等；而持久化触发则包括添加自启动项、服务、计划任务等。国外安全研究人员在九月发布了一个用C#编写的持久化工具包SharPersist，主要用于实现Windows下的各类持久化操作，该项目的开源地址为：https://github.com/fireeye/SharPersistSharPersist支持的持久化技术包括以下几种：keepass

背景近日，深信服安全团队捕获到针对国内企业的新型勒索病毒攻击事件，攻击者通过爆破获得跳板机权限后，利用全套黑客工具包对内网主机进行渗透，人工投放勒索病毒进行加密，该勒索病毒加密邮箱与后缀为硬编码的字符串“.[DeAdmin@cock.li].DEADMIN”，并在勒索信息文件中自命名为DEADMIN

✎[Alcatrazlocker勒索软件解密工具]https://files.avast.com/files/decryptor/avast_decryptor_alcatrazlocker.exe

官方发布的最新版本已经完成对此漏洞的修复，使用受影响版本的Joomla用户可以下载最新版本进行防御。下载链接：https://downloads.joomla.org/cms/joomla3