文章图片
技术分析
MITREATT&CKFramework

文章图片

文章图片
APT41
APT41是一个多产的网络威胁组织 ， 该小组的活动可以追溯到2012年 ， 当时APT41主要针对视频游戏行业 。 APT41进行供应链攻击 ， 够将恶意代码注入合法文件中 。 攻击影响了许多组织和个人 ， 但是APT41仅对一部分受害者进行了后续活动 ， 表明APT41只对特定目标感兴趣 。 根据早期观察到的活动以及APT41对视频游戏行业的关注 ， 该组织很可能是出于经济利益或业余爱好发起的攻击活动 。 之后该组织瞄准高等教育 ， 电信 ， 旅行服务和新闻/媒体公司 。 该组织最新活动包括定位通话记录信息和SMS数据 。

文章图片
安全分析恶意软件家族
作为一个家族 ， 不需要代码是100％相同的 ， 家族成员之间的差异与配置 ， 命令控制 ， 地址和功能有关 。 根据功能和恶意软件的演变方式 ， 会识别并跟踪恶意软件家族中的子组或子家族 。 2018年10月至2019年9月期间 ， 研究人员遇到了186个恶意软件家族 ， 数以万计的恶意软件样本 。
今年出现的恶意软件家族中有41％第一次发现 。
确定的样本中有70％属于五个最常出现的家族之一 ， 这些家族基于开源工具开发的 。
在此报告期观察到的恶意软件中 ， 有23％可公开获得 ， 并被一系列攻击者使用 。
绝大多数恶意软件是以提高权限 ， 横向移动为目的 。
类别
根据恶意软件样本的功能和行为给它们分类 。 每个文件仅属于一个类别 。

文章图片
文件类型
恶意软件的文件格式或文件结构可能表明攻击者针对的体系结构或操作系统 。 大多数样本都是可执行文件 ， 其余部分包括脚本 ， WebShell和.NET恶意软件 。

文章图片
可访问性
恶意软件可访问性标记为可获得或私有 。 可获得指该样本可通过开放源访问获得 ， 或在地下论坛上获得 。 私有指不容易找到或是封闭源 。

文章图片
混淆
脚本被混淆或打包以阻碍分析 ， 尤其是通过自动化系统进行分析 。 例如 ， WebShell可以更改变量和函数名称 ， 控制流和字符串编码 。 可执行文件使用打包技术来减小其有效负载或阻止分析 。

文章图片
新家族
研究人员过去一年中发现新恶意软件家族占41％ 。

文章图片
TOP家族
在2019年分析了186个恶意软件家族的数以万计的恶意软件变体 ， 70％的变体属于五个恶意软件家族 ， 分别是BEACON、EMPIRE、TRICKBOT、SHORTBENCH、QAKBOT 。

文章图片
勒索软件货币化
勒索软件攻击货币化促进了勒索软件案件的增加 ， 2019年发现针对敏感信息的攻击者转向利用访问权获利 。
FIN6
攻击者使用域管理员凭据运行包含psexec命令的批处理文件 ， 连接到远程服务器并部署LockerGoga 。 批处理脚本将LockerGoga作为服务执行 ， 攻击者试图伪装成合法的Windows服务 。 攻击者使用的批处理文件名为“xaa.bat” ， “xab.bat” ， “xac.bat”等 。
startcopysvchost.exe10.1.1.1c$windowsempstartpsexec.exe10.1.1.1-udomaindomainadmin-p“password”-d-h-rmstdc-s-accepteula-nobannerc:windowsempsvchost.exe

• 盘点科技SE上手，体验能否依旧精彩？，“狂降400元”的新款iPhone
• 科技圈测评哥罗永浩直播间的一幕，揭露与雷军真实关系！网友看后：喊话董明珠
• 王石头科技阿里和华为终有一场较量！AI芯片自研实力，究竟谁更胜一筹？
• 乐居网姑苏区新增四个科技创新重点项目！，刚刚
• 快科技这就是丰巢收费的理由：扛不住了，4年亏了20亿
• 推哥科技爆料支持120hz屏，安卓优势不再！，iPhone12曝三大优势
• SENSORO升哲科技需要物联网技术来寻找新的增长点，后疫情时代下的零售业
• 天天科技范Plus正式发布，iQOO将全球首发，天玑1000
• 数码科技大爆炸前魅族高管李楠再放狠话！华为旗舰机瀑布屏设计没用：只是炒作概念
• 快科技Air装上Windows后：屏幕亮度暴增30%，给全新MacBook