Aggregator

Europol Arrests XSS Forum Admin in Kyiv After 12-Year Run Operating Cybercrime Marketplace

The Hackers News
1 month 4 weeks ago
Europol on Monday announced the arrest of the suspected administrator of XSS.is (formerly DaMaGeLaB), a notorious Russian-speaking cybercrime platform. The arrest, which took place in Kyiv, Ukraine, on July 222, 2025, was led by the French Police and Paris Prosecutor, in collaboration with Ukrainian authorities and Europol. The action is the result of an investigation that was launched by the
The Hacker News

英国将禁止公共部门向勒索软件组织支付赎金

Solidot
1 month 4 weeks ago
英国政府计划禁止公共部门和关键基础设施运营商在遭受勒索软件攻击后支付赎金。地方议会、学校以及 NHS(英国国家医疗服务系统)都需要遵守拟议中的新规定。勒索软件组织在利用漏洞或其它手段入侵一组织的计算机系统之后,通常会实施双重勒索,窃取数据然后加密数据,以恢复数据和不泄漏数据勒索受害者。如果受害者没有备份,那么除了支付赎金他们可能别无选择。要遏制勒索软件组织,拒绝支付赎金以及做好备份等安全措施至关重要。而支付赎金只会强化网络罪犯的犯罪动机。英国政府表示,禁令就是为了确保公众所依赖的关键服务不再成为勒索软件黑帮的攻击目标。

扣子空间网页设计,是在挑战 V0 吗?

不安全
1 month 4 weeks ago
扣子(coze.cn)是字节旗下的智能体平台,支持AI应用开发与运行。其新增网页设计工具可实现截图还原、Figma设计稿转换及可视化编辑。生成代码基于React+Tailwind框架,并支持本地运行。尽管目前存在部分限制如无法直接同步GitHub,但免费且实用性较强。

Darka5恶意家族样本分析

嘶吼
1 month 4 weeks ago

近期,广州大学、国家工业信息安全发展研究中心与杭州海康威视数字技术股份有限公司安全研究团队在研究过程中捕获到一例具有显著特征的病毒样本,该样本具有独特的攻击手法和高度的隐蔽性,根据其在下载服务器上的文件命名,该样本被命名为darka5。经过对该样本的深入分析,研究团队发现其不仅运用了先进的加密技术,还具备复杂的网络通信混淆手段,使得追踪和防御工作面临巨大挑战。

本报告将详细剖析darka5恶意家族样本的关键特征,涵盖其攻击向量、下载器行为、数据加密差异、通信流量混淆以及特殊的隐蔽手段,旨在为网络安全专家和防御者提供深入的见解,以更好地理解和应对这一新兴安全威胁。

一 样本分析

(一)攻击向量

darka5是一个通过IoT设备命令执行漏洞进行传播的恶意样本,研究团队通过物联网威胁诱捕系统成功捕获该样本,其投递方式较为复杂,通过分析捕获所得攻击日志可知,攻击者首先通过echo的方式实现样本文件的拼接,然后写入一个微型下载器,最终通过该下载器进行攻击样本的下载和执行。攻击载荷如下图所示:

攻击源IP为109.205.213.198,经公开信息追溯,该IP最早的活跃时间为2023年12月27日:

(二)下载器分析

基于对攻击向量的分析,研究团队成功还原出大小为1980字节的ELF文件,该文件未使用libc,推测其使用汇编语言编写。完整的函数列表如下:

在主函数中,该程序尝试通过HTTP协议从远程服务器(http://2.57.122.83:80/darka5)下载文件到本地的/dev/.j目录下:

(三)数据加密差异

通过分析,darka5样本采用了ChaCha20加密算法,该样本基于Mirai修改而来,与2023年360 Netlab曾分析过的Rimasuta样本相似,同样引入了ChaCha20算法,但仅限于常量字符串加密。

ChaCha20算法所使用的Key和Nonce硬编码在常量段:

在Key实际使用时,会先经过异或后再传入ChaCha20加密函数:

解密后,该样本的常量字符串表如下:

(四)通信流量混淆

在darka5样本中,对于Key的异或手段同样用在了与C2通信的过程中。当解析来自C2的攻击指令时,该样本会将流量内容与0x82异或操作,以还原出原始的攻击者指令:

(五)特殊的隐蔽手段

通过对darka5样本进行深入分析发现,该样本使用了较为特殊的C2连接方式。darka5样本具有一个统一的函数入口,用来返回即将要连接的C2服务器。该函数使用了加密常量表中存储的域名:iwant.coin、chongwa.bazar、packetsyikes.lib、qq.com、git.hbmc.net,以及端口:8338、9944、3177。在连接C2服务器的函数时,会根据连接失败的次数随机选择不同的域名:

除根据域名重试次数和随机数选择域名之外,darka5样本在解析域名的方式上亦呈现出与以往常见病毒的不同之处。通过逆向分析发现该样本在选择五个域名之中的任意一个之后,还会随机选择一个硬编码的DNS服务器来进行域名解析,以此提高域名解析的成功率。可能选择的DNS服务器列表如下:

在经过上述C2服务器地址解析过程后,如若C2服务器解析或者连接失败,darka5样本将自动增加重试计数,并影响下一次C2服务器的解析逻辑,此过程将持续进行,直至成功解析并连接到C2服务器为止。

在这种C2服务器解析的逻辑机制中,涉及多个具有不确定的变量因素,包括重试失败的次数、随机选取的域名结果以及随机选择的DNS服务器,这些变量因素均会对最终解析到的C2地址产生影响。同时,在这种随机选择和重试的机制下,C2服务器信息的隐蔽性得到了显著提升。darka5样本能够成功迷惑各类沙箱服务,使其在有限的分析时间内提取到错误的C2服务器信息。

二 总结

darka5样本运用多种技术手段,使其在与常规Mirai样本相比,展现出明显的差异性。无论是常量表使用ChaCha20算法加密,还是控制指令混淆,或是特殊的C2解析方式,这些特征都极大地增加了样本分析的难度,使得现有的自动化分析流程难以从中提取出有价值的信息。此外,根据捕获到的攻击向量分析,该病毒开发者显然擅长追踪和利用新漏洞,对此病毒家族后续可能造成的更大影响与危害,需予以高度警觉。

三 loc

注:该成果源自广州大学牵头的国家重点研发计划项目(2022YFB3104100)中的课题四“高质量攻击数据诱捕与分析关键技术及系统”(2022YFB3104104),旨在构建面向大规模物联网攻击威胁的主动防护能力。

企业资讯

Darka5恶意家族样本分析

不安全
1 month 4 weeks ago
Darka5是一种新型恶意软件样本,通过IoT设备漏洞传播。其采用ChaCha20加密算法、复杂的通信流量混淆技术和特殊的C2服务器连接方式以增强隐蔽性。研究团队分析发现其具备高度复杂的攻击手段和防御机制,对网络安全构成严重威胁。

Darka5恶意家族样本分析

嘶吼专业版
1 month 4 weeks ago
本报告将详细剖析darka5恶意家族样本的关键特征,涵盖其攻击向量、下载器行为、数据加密差异、通信流量混淆以及特殊的隐蔽手段

Oorlogsslachtoffer na 80 jaar geïdentificeerd

Defensie.nl - Nieuwsberichten
1 month 4 weeks ago
Ruim 80 jaar na zijn dood heeft Defensie de identiteit vastgesteld van Dirk Frederik ‘Dick’ de Veer. Hij was sinds 2 februari 1945 vermist. Aangenomen werd dat hij was gefusilleerd door de Duitse bezetter. Dankzij DNA-onderzoek is nu duidelijk dat de tot voor kort onbekende stoffelijke resten van De Veer zijn.

Steam 之后 Itch.io 限制成人游戏

Solidot
1 month 4 weeks ago
在 Valve 因支付公司 Mastercard 和 Visa 等的压力而下架部分成人游戏之后,著名独立游戏发行平台 Itch.io 也在相同的压力下采取了类似的措施:它在搜索结果中移除了成人游戏,这意味着用户将很难找到和发现成人游戏。用户在官方论坛指责 Itch.io 在没有任何通知的情况下限制成人游戏,是对信任的辜负。
更新:Itch.io 证实在支付公司压力下被迫对 NSFW 内容急速采取行动,否则平台的支付功能可能受到影响。

Managed ad