中国骇客云平台官网产品有需要请联系我们的广告客服!

短信轰炸延迟 云胡渣!

棋牌透视辅助!!

短信轰炸

中国骇客云平台官网因部分的国内业务调整有需求请联系下我们的客服!!!感谢大家的支持噢 ~~~~
更多软件后续视频发..因为有些不能平台发..请大家添加客服即可!感谢老客户以及大家一致以来的支持!
平台官网:www.anonymouoschina.org  www.anonymouschina.com www.hackerschina.org

微信定位刷粉

查kf

手机即使监控  间谍程序

呼死你轰炸接听..麻仁

定位装B神奇

 

资金转账无功能有显示装B神奇

胡思你轰炸!!!!
更多软件:手机改号   菠菜开奖平台  菠菜开奖劫持开奖号篡改等!

中国骇客云平台教你揭秘微信支付存在的一些安全漏洞,之前官网上面有介绍,今天另介绍一种方法提醒网民。

首先这里介绍一种微信的支付安全尝试算是一些支付的一种安全策略漏洞。|
以前官网介绍的是一种二维码直接支付免密支付一种安全漏洞,那么今天官方网站介绍一种更为牛逼的支付免密支付、
教程开始:
首先打开微信,点击+号,点击收付款,点击第一行条形码,点击上面灰色文字显示:“点击可查看付款码数字”而支付胡付款码数字一旦被泄露给黑客或者是有心人,将会造成财产损失。
这里本站测试了 中国石化加油 使用该付款码进行支付,那么这些付款均存在以上的安全支付问题,容易造成付款码泄露。
微信厂商做了实时更新付款码,但是以上安全漏洞还是可以被利用。
条形码就是把付款码存储在条形码中使用机器扫描支付,如果条形码或者以上支付二维码,支付付款码被泄露,那么就会造成用户的财产损失。
这里就不上图了……
更多请关注本站官方网站。

灰产之色情网站,微信平台,QQ平台等直播平台进行擦边网赚!(揭秘)

关于色情网站,有时候不仅仅是自己的资源,只要做到引流就可以进行网赚!
教程揭秘开始:
自己做一个html页面或者直接架设一个网站,资源做嵌入式开发即可!(直接套用其他网站的资源..也可以自己买)一个网盘60块钱  10000部或者更多!
微信群,QQ群则成了交易平台:农民工啊..学生啊..这些群体很容易的!(犯法的事情咱们不干!揭秘)
…..广告业务真心可以赚钱!,但是网络就应该是绿色的!本篇文本身还有后续!但是..不想再发了!….这只是其中之一…..网络毒瘤!请大家远离!
因为近期打掉了很多app以及网站!所以…网络环境需要你我他共同维护!
不过有人就有网赚,如果你有1000个人…随便扔出多少就有收货多少!
我们仅仅是为了揭秘!我们只是告诫大家远离黄赌毒!….网络需要绿色的!感谢大家一直以来的支持!

中国骇客云IP地理位置截取,精准度非常高!想使用的会员们可以加入我们噢 ~~

中国骇客云平台将在本平台vip客户端发布网页工具:ip地理位置获取信息。
之前有的人在做hrml5地理位置信息获取,前提必须通过手机点击允许才可以获取目标的信息,弊端:如果用户不点击允许的话是测试不到对方的真实地理位置的,那么必须得需要一些钓鱼等技术让用户点击才可以的。
第二种方法是我们骇客云出的教程使用高德地图以及百度地图谷歌地图等API接口,接入目标网站然后使用xss获取经度纬度页面信息,伪造数据,进行查看目标的真实地理位置,这样操作有点高比较麻烦。得需要自己模拟用户当时的数据。
今天我们介绍一种直接在IP真实地理位置数据库直接查询IP地理位置,根据官网的高德地图接口进行查询。
教程如下:
首先使用ip信息获取,这里官网的ip信息采集页面为:http://hackerschinaip.eu5.org/    因为之前做的aip接口和xss数据获取的,及时手机用户不点击允许都可以获取对方的IP信息。操作如下图:

这是官网的获取数据,直接查看IP就可以。
第二步:进入骇客云平台。
点击开始,打开菜单的应用库,搜索:hackerip地理位置 找到该应用,如下图:

然后点击安装,安装完毕以后。
打开,搜索获取到的IP地址:如下图所示:
查看到的ip地址最后一个是非常精准的,今天我们获取的IP地理位置应该是我们官微上用户的真实地理位置。他当时触发的是官网的xss获取ip、
最后官网的高德应用中查看最后的信息:如下图:

我用的QQ截图,可能上传到官网的时候会出现模糊的现象,不过咱们官网的用户可以亲自去测试。
最后说明一下:该ip数据库的地理位置非常准确。
如果不准确可以进行报错,第二我们并没有申请该站的api接口,嵌入式开发,所以在应用上还得需要手动去看。第三,该应用是有弊端的,经过测试:对于机房服务器的ip地址,使用流量手机的Ip地址,不准确。连入内网的wifi手机ip,办公内网,家庭公网准确率在85%,所以请大家在测试的时候看一下最后数据是否显示街区,如果显示说明成功率已经在85%精确度大概在1到2公里左右。
分界线。
获取目标Ip的方法:
可以自己写xss获取方法,详情查询我们的历史文章。
可以使用网页插件监控的方法。
可以使用qq显ip、
可以用软件查看对方Ip。、
方法很多:百度一下吧。
我们官网用的是:官网页面采集,xss页面采集,官网游客监控采集。
大家也可以使用一些网站统计的代码直接可以获取当时用户访问的Ip地址后台就可以查询的。教程到此结束!感谢支持。

中国骇客云平台最新新闻勒索病毒黑客组织,将发布更多的黑客工具和黑客代码,把这些代码发布在网上进行全球攻击?

本周二,美国政府部门开始关注可能出现的新一波信息安全威胁。泄露了WannaCry病毒所使用漏洞的黑客组织警告称,将发布更多的恶意代码。

WannaCry勒索病毒自上周五以来快速传播,感染了全球超过30万台计算机。本周二,该病毒的传播势头有所放缓。不过,病毒制作者的身份和动机依然不明。

WannaCry病毒使用了来自美国国家安全局(NSA)的工具。上月,该工具被泄露至网上。

更多关注www.hackerschina.org

泄露该工具的组织Shadow Brokers周二威胁称,将发布更多代码,使黑客可以攻击全球最广泛使用的计算机、软件和手机。

该组织在博客中表示,从6月份开始,每月将发布工具。任何人只要愿意付费,就可以获得科技行业最重大的商业秘密。

该组织还威胁发布使用SWIFT国际转账网络的银行数据,以及来自俄罗斯、中国、伊朗和朝鲜的核导项目信息。该组织宣布:“更多细节将于6月份公布。”

WannaCry病毒的传播周二开始放慢。关于该病毒的感染,只有零星、孤立的报道出现。

在加拿大,蒙特利尔大学受到了影响。该校的8300台计算机中有120台被感染。

美国没有发生新的重大病毒感染事件。美国官员周二表示,自周五以来,不到10家美国机构向国土安全部报告了攻击事件。

根据捷克信息安全公司Avast的数据,此次病毒攻击的重灾区包括俄罗斯、台湾、乌克兰和印度。

美国的情况较好或许是由于,WannaCry病毒利用了Windows系统较老版本的漏洞。与全球其他地区相比,美国用户大多使用正版、最新的、及时打补丁的软件。

美国官员表示,国土安全部启动了“积极的宣传行动”,告知科技行业安装微软3月份最新补丁的重要性。

微软周二表示,已知晓Shadow Brokers近期的宣告,而该公司的信息安全团队正在监控可能的威胁,从而“帮助我们确定优先级,采取适当的行动”。

微软总裁、首席法务官布拉德·史密斯(Brad Smith)本周早些时候表示,WannaCry攻击使用了窃取自NSA的工具。美国政府部门尚未对此做出直接回应。

勒索病毒黑客组织:更厉害的还在后面!

中国骇客云平台官方新闻:”勒索病毒”黑客称将售新程式码 资料或涉朝鲜核武

黑客组织在网上发出最新公告

更多新闻关注中国骇客云平台www.hackerschina.org

海外网5月17日电 引起勒索软件WannaCry全球性攻击事件的黑客组织“Shadow Brokers”,周二(16日)在网上发表声明,指6月起会出售可用以入侵大部分电脑的程式码,甚至是俄罗斯、伊朗及朝鲜的核武及导弹计划资料。

黑客称,每月将出售新资料

据香港东网消息,“Shadow Brokers”在网文中表示,由下月开始,每个月都会发布用以入侵电脑的新软件及工具,让有意者购入,对浏览器、路由器、手机等发动攻击。当中会有未曾披露过的Windows 10系统漏洞“零日”(Zero-days),表示会于6月公布更多详情。

此外该黑客组织扬言会发布一批银行资料,当中涉及转账平台“环球银行金融电讯协会”(SWIFT),以及包括俄罗斯、伊朗或朝鲜核武和导弹计划的资料。

此前有消息称,造成全球近百国逾14万电脑瘫痪的勒索软体WannaCry,原为美国国家安全局(NSA)设计的间谍软体,主要用于对付圣战恐怖组织“伊斯兰国”(IS)、阻断其国际金流。不料遭黑客团体“影子掮客”(Shadow Brokers)窃取、在近8个月期间持续改版并于网路上广泛散播,导致此次全球范围的大规模网攻。对此,美国国土安全及反恐顾问博塞特周一(15日)否认有关指控

勒索病毒最新报道 勒索病毒幕后黑手的最终目的是什么?它是有意为知?还是恶意破坏呢?中国骇客云平台整理!

勒索病毒最新报道 揭秘勒索病毒背后黑客组织,偷了官方网络武器库

原标题:揭秘勒索病毒背后黑客组织:偷了官方网络武器库,多次卖病毒

一场席卷全球的勒索病毒仍在入侵人们的电脑,同时也让一个黑客组织浮出水面。

5月13日开始,一种名为“WanaCrypt0r 2.0”的蠕虫病毒开始在互联网上蔓延,它可以使感染的电脑在10秒内锁住,电脑里所有文件全被加密无法打开,只有按弹窗提示交赎金才能解密。

据《华盛顿邮报》报道,这种病毒被广泛认定为是根据美国国家安全局(NSA)此前泄露的黑客渗透工具之一——永恒之蓝(Eternal Blue)升级而来。网络专家称,这份文件被叫做影子经纪人(Shadow Brokers)的犯罪团伙偷走,并于4月公布于众。

根据此前的报道,影子经纪人盗走的黑客工具远不止“永恒之蓝”,他们声称入侵了NSA的黑客武器库,获得了大量的互联网攻击工具。

曾挑战美国最牛黑客团伙“方程式组织”

历史资料显示,影子经纪人在互联网上初露锋芒是在2016年8月。这个神秘黑客组织宣布自己攻破了NSA的防火墙,并且公布了思科ASA系列防火墙、思科PIX防火墙的漏洞。

据《连线》报道,当时影子经纪人明目张胆地在推特上表示,他们将免费提供一些网络攻击和黑客工具的下载,而这些攻击武器均来自另一黑客团队“方程式组织”。

“方程式组织”隶属于NSA,被称为NSA的网络“武器库”。有业内人士表示,“方程式组织”是全球最顶尖的黑客团队,这个团队的加密程度无人能及。2010年毁掉伊朗核设备的震网病毒和火焰病毒,也被广泛认为出自“方程式组织”之手。

网络安全厂商卡巴斯基在2015年发布监测报告称,“方程式组织”是全球技术最牛的黑客组织之一,在网上活跃近20年,是网络间谍中的“王冠制造者”。当年,卡巴斯基在全球42个国家发现了“方程式组织”的500个感染行为。同时卡巴斯基还表示,这只是冰山一角,由于这个黑客团队制造的“武器”拥有超强的自毁能力,绝大多数进攻完成之后,不会留下任何痕迹。

黑客中的“军火贩子”

在声称盗取了“方程式组织”的攻击武器之后,影子经纪人开始在网上拍卖这些文件。

影子经纪人表示,如果他们收到超过100万比特币,他们就会释放他们已经拥有的更多的黑客工具。但那次拍卖最终只获得了价值25美元的比特币。

2016年10月,影子经纪人停止了销售,并开通了类似众筹的活动。他们表示,如果最终他们完成10000比特币的众筹目标,就将提供给参与众筹的人每人一份黑客工具。当两个月后,该组织的众筹尝试再次宣告失败。

但影子经纪人并没有因此放弃利用这批文件赚钱的努力。他们之后开始在ZeroBin上小批量地销售黑客工具。2017年1月,该组织以750比特币的价格出售一批能够绕过杀毒软件的Windows黑客工具。

有媒体评价称,“影子经纪人”好像黑客中的军火商。他们时常会贩卖高级的攻击武器,有时也贩卖重要的世界军政信息。他们喜欢在竞争对手之间贩卖武器,客户在发现对手的攻击能力和本人一样后,很自然就会成为“影子经纪人”的回头客,以求购更新的“武器”配备。

今年4月8日,影子经纪人在medium.com博客网站上发表博文,其中公开了曾经多次拍卖失败的方程式组织Equation Group(为NSA提供服务专门对国外进行间谍活动的组织的黑客工具包——EQGRP-Auction-Files。现在任何人都可以去解密这个文件,获取其中的一些有价值的东西。

通过网友的解密,该工具包中包括:rpc.cmsd——针对Solaris-基于Unix的操作系统的远程0day漏洞;TOAST框架——国家安全局的TAO团队用来清除的Unix wtmp文件的事件日志;ElectricSlide工具——模拟中文浏览器的工具;NSA访问涉及巴基斯坦移动运营商Mobilink的GSM网络的证据等等。

泄密美国国安局资料

继2016年的拍卖失败以后,影子经纪人最重要的发布发生在今年4月中旬,该组织声称获得了NSA黑客工具的详细信息,据说美国政府正是利用这些工具入侵国际银行系统,侦查各国间资金流向,监控中东和拉美国家银行间的资金往来。

影子经纪人从“方程式组织”获取的这份300M的泄密文档显示,其中的黑客工具主要针对微软的Windows系统和装载环球银行间金融通信协会(SWIFT)系统的银行。这些恶意攻击工具中,包括恶意软件、私有的攻击框架及其他攻击工具。根据已知资料,其中至少有设计微软23个系统漏洞的12种攻击工具,而这次造成勒索病毒的永恒之蓝,不过12种的其中之一。

不过,随后SWIFT否认了曾被黑客攻入。

按照英国广播公司的说法,如果4月曝光的资料和工具被确认来自NSA,这将是“棱镜”事件后,NSA遭遇的最严重“爆料”。

《连线》在报道中称,连前美国国家安全局工作人员爱德华·斯诺登也认为,影子经纪人盗取了NSA的“武器库”似乎是真的。因为由该组织提供的恶意软件中,包含了与NSA在内部文件中使用的相同的16个字符的识别码。

谁是影子经纪人?

尽管在互联网上兴风作浪,但至今没有人知道影子经纪人究竟是谁。

此前,斯诺登曾发表了一系列推特分析,NSA恶意软件的分段式服务器攻击并非前所未有,他认为,从间接证据来看影子,经纪人与俄罗斯当局有关。不过,路透社在评论文章中称,如果俄罗斯是影子经纪人背后的力量,那么俄罗斯就不会公布数据被盗的情况。

美国知名作家兼记者詹姆斯·班福德(James Bamford)则分析指出,影子经纪人有可能来自美国安全部门的内部人士。在斯诺登2013年公布NSA的相关文件中,出现了与影子经纪人泄露内容相同的代码——名为SecondDate-3021.exe的恶意软件中的一串数字,同时出现在斯诺登和影子经纪人发布的文件中。

一份言语学分析报告显示,“影子经纪人”在运用英语时有明显错误,显然是为了迷惑别人,让人误以为这一黑客组织成员并非以英语为母语。英俄双语翻译阿列克谢·科瓦列夫也赞同这种观点:“有太多破绽暴露了作者的母语是英语

Sathurbot: Distributed WordPress password attack HackersChina分布式WordPress密码攻击

This article sheds light on the current ecosystem of the Sathurbot backdoor trojan, in particular exposing its use of torrents as a delivery medium and its distributed brute-forcing of weak WordPress administrator accounts.

The torrent leecher

Looking to download a movie or software without paying for it? There might be associated risks. It just might happen that your favorite search engine returns links to torrents on sites that normally have nothing to do with file sharing. They may, however, run WordPress and have simply been compromised.

Some examples of search results:

Clicking on some of those links returns the pages below (notice how some even use HTTPS):

The movie subpages all lead to the same torrent file; while all the software subpages lead to another torrent file. When you begin torrenting in your favorite torrent client, you will find the file is well-seeded and thus appears legitimate. If you download the movie torrent, its content will be a file with a video extension accompanied by an apparent codec pack installer, and an explanatory text file. The software torrent contains an apparent installer executable and a small text file. The objective of both is to entice get the victim to run the executable which loads the Sathurbot DLL.

After you start the executable, you are presented with a message like this:

While you ponder your options, bad things start to happen in the background. You have just become a bot in the Sathurbot network.

Backdoor and downloader

On startup, Sathurbot retrieves its C&C with a query to DNS. The response comes as a DNS TXT record. Its hex string value is decrypted and used as the C&C domain name for status reporting, task retrieval and to get links to other malware downloads.

Sathurbot can update itself and download and start other executables. We have seen variations ofBoaxxe, Kovter and Fleercivet, but that is not necessarily an exhaustive list.

The Sathurbot then reports its successful installation along with a listening port to the C&C. Periodically, it reports to the C&C that it is alive and well, waiting for additional tasks.

Web crawler

Sathurbot comes with some 5,000 plus basic generic words. These are randomly combined to form a 2-4 word phrase combination used as a query string via the Google, Bing and Yandex search engines.

From the webpages at each of those search result URLs, a random 2-4 word long text chunk is selected (this time it might be more meaningful as it is from real text) and used for the next round of search queries.

Finally, the second set of search results (up to first three pages) are harvested for domain names.

The extracted domain names are all subsequently probed for being created by the WordPress framework. The trick here is to check the response for the URL http://[domain_name]/wp-login.php.

Afterward the root index page of the domain is fetched and probed for the presence of other frameworks. Namely, they are also interested in: Drupal, Joomla, PHP-NUKE, phpFox, and DedeCMS.

Upon startup, or at certain time intervals, the harvested domains are sent to the C&C (a different domain is used than the one for the backdoor – a hardcoded one).

Distributed WordPress password attack

The client is now ready to get a list of domain access credentials (formatted aslogin:password@domain) to probe for passwords. Different bots in Sathurbot’s botnet try different login credentials for the same site. Every bot only attempts a single login per site and moves on. This design helps ensure that the bot doesn’t get its IP address blacklisted from any targeted site and can revisit it in the future.

During our testing, lists of 10,000 items to probe were returned by the C&C.

For the attack itself, the XML-RPC API of WordPress is used. Particularly the wp.getUsersBlogsAPI is abused. A typical request looks like:

The sequence of probing a number of domain credentials is illustrated in the following figure:

The response is evaluated and results posted to the C&C.

Torrent client – seeder

The bot has the libtorrent library integrated and one of the tasks is to become a seeder – a binary file is downloaded, torrent created and seeded.

The BitTorrent bootstrap

That completes the cycle from a leecher to an involuntary seeder:

Note: Not every bot in the network is performing all the functions, some are just web crawlers, some just attack the XML-RPC API, and some do both. Also, not every bot seems to be seeding a torrent.

Impact

The above-mentioned attempts on /wp-login.php from a multitude of users, even to websites that do not host WordPress, is the direct impact of Sathurbot. Many web admins observe this and wonder why it is happening. In addition, WordPress sites can see the potential attacks onwp.getUsersBlogs in their logs.

Through examination of logs, system artifacts and files, the botnet consists of over 20,000 infected computers and has been active since at least June 2016.

Occasionally, we have seen torrent links being sent by email as well.

Detection

Web Admins – Check for unknown subpages and/or directories on the server. If they contain any references to torrent download offers, check logs for attacks and possible backdoors.

Users – Run Wireshark with the filter http.request with no web browser open to see too many requests like GET /wp-login.php and/or POST /xmlrpc.php. Alternatively, check for files or registry entries listed in the IoC section, below.

ESET users are protected from this threat on multiple levels.

Removal

Web Admins – Change passwords, remove subpages not belonging to site, optionally wipe and restore the site from a backup.

Users – Using a third-party file manager find the suspect .DLL (note that the files and directories have the hidden attribute set), open Process Explorer or Task Manager, kill explorer.exeand/or rundll32.exe, delete (quarantine) the affected .DLL, reboot.

Note: this will remove Sathurbot only, and not any other malware it may have also downloaded.

Alternatively, consider a comprehensive anti-malware product, or at least an online scanner.

Prevention

Web Admins – Should the normal functioning of the website not require the XML-RPC API, you are advised to disable it and use complex passwords.

Users – Avoid both running executables downloaded from sources other than those of respected developers, and downloading files from sites not designed primarily as file-sharing sites.

IoCs

Currently, we have observed Sathurbot installing to:

\ProgramData\Microsoft\Performance\Monitor\PerformanceMonitor.dll

\ProgramData\Microsoft\Performance\TheftProtection\TheftProtection.dll

\ProgramData\Microsoft\Performance\Monitor\SecurityHelper.dll

\Users\*****\AppData\Local\Microsoft\Protect\protecthost.dll

Runs in the context of rundll32.exe or explorer.exe process and locks files and registry keys from editing. It is present in both x32 and x64 bit versions in the installer.

Subfolders to the above (contain the seeded files by torrent)
\SecurityCache\cache\resume\
\SecurityCache\cache\rules\
\SecurityCache\data\
\SecurityCache\zepplauncher.mif – contains the DHT nodes
\temp\

%appdata%\SYSHashTable\ – contains folders representing the hashes of visited domains
%appdata%\SYSHashTable\SyshashInfo.db – collection of interesting domains found incl. framework info

Samples (SHA-1)

Installers:
2D9AFB96EAFBCFCDD8E1CAFF492BFCF0488E6B8C
3D08D416284E9C9C4FF36F474C9D46F3601652D5
512789C90D76785C061A88A0B92F5F5778E80BAA
735C8A382400C985B85D27C67369EF4E7ED30135
798755794D124D00EAB65653442957614400D71D
4F52A4A5BA897F055393174B3DFCA1D022416B88
8EDFE9667ECFE469BF88A5A5EBBB9A75334A48B9
5B45731C6BBA7359770D99124183E8D80548B64F
C0F8C75110123BEE7DB5CA3503C3F5A50A1A055E
C8A514B0309BCDE73F7E28EB72EB6CB3ABE24FDD
AF1AE760F055120CA658D20A21E4B14244BC047D
A1C515B965FB0DED176A0F38C811E6423D9FFD86
B9067085701B206D2AC180E82D5BC68EDD584A8B
77625ADEA198F6756E5D7C613811A5864E9874EA
Sathurbot dll:
F3A265D4209F3E7E6013CA4524E02D19AAC951D9
0EA717E23D70040011BD8BD0BF1FFAAF071DA22C
2381686708174BC5DE2F04704491B331EE9D630B
2B942C57CEE7E2E984EE10F4173F472DB6C15256
2F4FAA5CB5703004CA68865D8D5DACBA35402DE4
4EBC55FDFB4A1DD22E7D329E6EF8C7F27E650B34
0EF3ECD8597CE799715233C8BA52D677E98ABDFD
0307BBAC69C54488C124235449675A0F4B0CCEFA
149518FB8DE56A34B1CA2D66731126CF197958C3
3809C52343A8F3A3597898C9106BA72DB7F6A3CB
4A69B1B1191C9E4BC465F72D76FE45C77A5CB4B0
5CCDB41A34ADA906635CE2EE1AB4615A1AFCB2F2
6C03F7A9F826BB3A75C3946E3EF75BFC19E14683
8DA0DC48AFB8D2D1E9F485029D1800173774C837
AC7D8140A8527B8F7EE6788C128AFF4CA92E82C2
E1286F8AE85EB8BD1B6BE4684E3C9E4B88D300DB

Additional payloads:

C439FC24CAFA3C8008FC01B6F4C39F6010CE32B6
ABA9578AB2588758AD34C3955C06CD2765BFDF68
DFB48B12823E23C52DAE03EE4F7B9B5C9E9FDF92
FAFF56D95F06FE4DA8ED433985FA2E91B94EE9AD
B728EB975CF7FDD484FCBCFFE1D75E4F668F842F
59189ABE0C6C73B66944795A2EF5A2884715772E
C6BDB2DC6A48136E208279587EFA6A9DD70A3FAA
BEAA3159DBE46172FC79E8732C00F286B120E720
5ED0DF92174B62002E6203801A58FE665EF17B76
70DFABA5F98B5EBC471896B792BBEF4DB4B07C53
10F92B962D76E938C154DC7CBD7DEFE97498AB1E
426F9542D0DDA1C0FF8D2F4CB0D74A1594967636
AA2176834BA49B6A9901013645C84C64478AA931
1C274E18A8CAD814E0094C63405D461E815D736A
61384C0F690036E808F5988B5F06FD2D07A87454
F32D42EF1E5ED221D478CFAA1A76BB2E9E93A0C1
594E098E9787EB8B7C13243D0EDF6812F34D0FBA
1AAFEBAA11424B65ED48C68CDEED88F34136B8DC
BA4F20D1C821B81BC324416324BA7605953D0605
E08C36B122C5E8E561A4DE733EBB8F6AE3172BF0
7748115AF04F9FD477041CB40B4C5048464CE43E
3065C1098B5C3FC15C783CDDE38A14DFA2E005E4
FA25E212F77A06C0B7A62C6B7C86643660B24DDA
FADADFFA8F5351794BC5DCABE301157A4A2EBBCF
B0692A03D79CD2EA7622D3A784A1711ADAABEE8D
9411991DCF1B4ED9002D9381083DE714866AEA00

Associated domains

DNS:
zeusgreekmaster.xyz
apollogreekmaster.xyz

C&C:
jhkabmasdjm2asdu7gjaysgddasd.xyz
boomboomboomway.xyz
mrslavelemmiwinkstwo.xyz
uromatalieslave.space
newforceddomainisherenow.club
justanotherforcedomain.xyz
artemisoslave.xyz
asxdq2saxadsdawdq2sasaddfsdfsf4ssfuckk.xyz
kjaskdhkaudhsnkq3uhaksjndkud3asds.xyz
badaboommail.xyz

Torrent trackers:
badaboomsharetracker.xyz
webdatasourcetraffic.xyz
sharetorrentsonlinetracker.xyz
webtrafficsuccess.xyz

Registry values

You may need to use a third-party tool, as Windows Regedit might not even show these:

HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{variable GUID} = “v2.10|Action=Allow|Active=TRUE|Dir=In|Profile=Private|Profile=Public|App=C:\\Windows\\explorer.exe|Name=Windows Explorer|”

HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{variable GUID} = “v2.10|Action=Allow|Active=TRUE|Dir=In|Profile=Private|Profile=Public|App=C:\\Windows\\system32\\rundll32.exe|Name=Windows host process (Rundll32)|”

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\0TheftProtectionDll = {GUID1}
HKLM\SOFTWARE\Classes\CLSID\{GUID1} = “Windows Theft Protection”
HKLM\SOFTWARE\Classes\CLSID\{GUID1}\InprocServer32 = “C:\\ProgramData\\Microsoft\\Performance\\TheftProtection\\TheftProtection.dll”
HKLM\SOFTWARE\Classes\CLSID\{GUID1}\InprocServer32\ThreadingModel = “Apartment”

HKLM\SOFTWARE\Classes\CLSID\{GUID2}

The {GUID2} entries are variable across samples and have 6 char long subkeys, content is binary type and encrypted – used to store variables, temporary values and settings, IP’s, C&C’s, UID

e.g. {GUID2} entries look like

HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00000003
HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00000002
HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00000001
HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00000009
HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00000011
HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00010001
HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00010002
HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00000008
HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00000007
HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00000004
HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00000010
HKLM\SOFTWARE\Classes\CLSID\{8E577F7E-03C2-47D1-B4C0-BCE085F78F66}\00020001

BENWEN揭示了当前生态系统sathurbot后门木马,特别是在其使用的种子作为输送介质及其分布式蛮弱的WordPress的管理员帐户的强迫。HACKERSCHINA

torrent下载者

想不付钱就下载一部电影或软件?可能会有相关的风险。它很可能会发生,你最喜欢的搜索引擎返回到正常无关的文件共享网站Torrent链接。他们可以,但是,运行WordPress和已经被攻破。

一些搜索结果的例子:

点击那些链接返回以下页面(注意,有的甚至使用HTTPS):

这部电影的子页面都导致相同的torrent文件;而所有软件的子页面导致另一个torrent文件。当你开始在你的喜爱torrenting BT客户端,你会发现文件是好种子,从而出现合法。如果你下载电影的洪流,其内容将与视频延长伴有明显的编解码器包的安装程序文件,并解释文本文件。该软件包含了一个明显的安装程序可执行文件和洪流的一个小的文本文件。两者的目的都是让让受害者运行可执行文件加载DLL的sathurbot。

在你开始执行,你会有这样的消息:

当你思考你的选择,不好的事情开始发生在背景。你刚刚成为BOTsathurbot网络

后门和下载

在启动时,sathurbot检索与C的一个查询的DNS。该反应是一个DNS的TXT等记录。它的字符串值解密作为C & C状态报告域名,任务检索到其他恶意软件下载链接。

sathurbot可以自我更新和下载和启动其他可执行文件。我们已经看到的变化boaxxeKovterfleercivet,但这不一定是一个详尽的列表。

的sathurbot然后报告其成功安装在一个监听端口的C&C的定期报告到C和C,它是活得很好,等待额外的任务。

网络爬虫

sathurbot附带一些5000再加上基本的通用词。这些都是随机组合形成2-4字词组合作为通过谷歌查询字符串,Bing搜索引擎Yandex。

从网页在每一个这样的搜索结果网址,随机2-4词长文本块选择(这次可能是更有意义的因为它是从真实文本)和用于搜索查询下一轮。

最后,搜索结果的第二集(第三页)收获的域名。

提取的域名都是随后探讨由WordPress框架创建。这里的诀窍是检查响应的URLhttp://〔〕/wp-login.php _名字域

随后该域的根目录页取了其他框架的存在。换句话说,他们也感兴趣:Drupal、Joomla,php-nuke,phpfox,和dedecms。

在启动时,或在一定的时间间隔,收获的域发送到C和C(一个不同的域是用比借壳–硬编码的一个)。

分布式的WordPress的密码攻击

客户现在可以得到一个列表域访问凭据(格式为登录名:密码@域)探讨密码。在Sathurbot的僵尸网络不同的机器人尝试不同的登录凭据相同的网站。每个机器人只尝试每网站和移动单点登录。这种设计有助于确保BOT没有IP地址被列入黑名单的任何目标网站,可以重温它的未来。

在我们的测试中,探讨10000项列表是由C和C返回

对于攻击本身的XML-RPC APIWordPress是使用。特别是wp.getusersblogsAPI的滥用。一个典型的请求看起来像:

探索一个数域凭据如下图所示的序列:

响应进行评估和结果发布到C和C

洪流客户端,播种机

BOT具有libtorrent图书馆集成和任务之一是成为一个播种机–二进制文件下载、创建和种子的种子。

BitTorrent的引导

完成周期从吸血一个非自愿的播种机

注:在网络不是每个BOT是执行所有的功能,有些只是网络爬虫,有的只是攻击XML-RPC API,有的做。而且,并不是每一个BOT似乎是播种的洪流。

影响

上述的尝试wp-login.php /从众多的用户,甚至网站不主机WordPress的,是sathurbot的直接影响。许多网站管理员观察和想知道为什么会发生。此外,WordPress网站可以看到潜在的攻击wp.getusersblogs在他们的日志

通过检查日志,系统构件和文件,僵尸网络由超过20000受感染的计算机,至少从六月2016活跃。

偶尔,我们看到Torrent链接通过电子邮件发送以及。

检测

网络管理员–检查服务器上的未知的子页面和/或目录。如果他们有任何引用洪流下载提供,检查和可能的后门攻击日志。

用户–运行Wireshark的滤波器http.request没有浏览器打开看到太多的要求,喜欢wp-login.php /和/或邮政/ xmlrpc.php。另外,检查文件或注册表项在国际奥委会部分上市,下面。

ESET用户免受这一威胁的多层次。

搬家公司

网络管理员–修改密码,删除不属于网站的子页面,随意擦拭,从备份中恢复的网站。

用户–使用第三方的文件管理器找到嫌犯。DLL(注意,文件和目录都有隐藏属性设置),打开进程管理器、任务管理器,杀死explorer.exe和/或rundll32.exe,删除(检疫)的影响。DLL,启动。

注意:这将删除sathurbot而已,并没有任何其他恶意软件可能还下载了。

另外,考虑全面的反恶意软件产品,或者至少是一个在线扫描

预防

网络管理员–应该正常运作的网站不需要XML-RPC API,建议您禁用它并使用复杂的密码。

用户–避免运行的可执行文件从其他来源比尊重开发者下载,并不是设计作为主要的文件共享网站的站点下载文件。

IOC

目前,我们已经观察到sathurbot安装:

programdata \ Microsoft \ \ \ \ performancemonitor.dll性能监视器

\下\微软\ \ \ theftprotection.dll theftprotection性能

\下\微软\ \ \ securityhelper.dll性能监控

\用户\ ***** \ AppData \地方\微软\保护\ protecthost.dll

运行中rundll32.exe或Explorer.exe进程锁和编辑文件和注册表键。它是在安装x32和x64位版本目前。

子文件夹,以上(含种子文件的洪流)
securitycache \ \ \ \缓存摘要
\ \ \ \ securitycache缓存规则
securitycache日期\ \ \
“securitycache \ zepplauncher.mif–包含DHT节点
\温度\

syshashtable %APPDATA%directory \ \–包含表示哈希文件夹访问域
syshashtable %APPDATA%directory \ \ syshashinfo.db–收集有趣的领域,包括框架的信息

中国骇客云业务调整通知

尊敬的用户您好!

尊敬的网友,会员们,国际团队,中国团队,国际网友大家好!欢迎使用中国骇客云平台的技术文章博客页面,我们感谢您的到来。业务量的不断增加,导致了一些技术人员的业务量跟不上,我们感到非常的惭愧。我们慎重说一下我们的业务以及全网公开招募业务员以及技术员若干奖励分红制度!

1.国际团队以及中国团队主要进行(业务评估)
2.业务员无需黑客技术,只要接单,通过国际团队与中国团队的业务评估水平进行评估收益价格,业务员业务通过技术员的成功所得分红20%的所得款。
3.技术人员通过官方授权客服所得(黑产业务等),按照成功的80%进行所有项目款额进行获取(由官方打钱到指定账户中)
4.金字塔业务营销模式(可以自由形成代理,官方不收取一分钱!业务员或者技术员每开一个代理,并成功一条业务我们将进行5%的方式进行分红,以此类推!)

官方招募说明:业务员若干(什么都不会也可以,我们会通过培训,所以请加官方微信客服前说明您是业务人员即可,加入后进行全体培训),网络技术员若干(精通webshell,渗透,社工,破解,免杀,一手数据,博彩站点数据,SEO,等技术)

以上业务均为黑产,有技术的请联系我们!欢迎加入我们。

官方网站授权开通代理网说明:
如果您开的是博客站点,个人网站,社交类站点,视频站,软件下载站,搜索站,论坛等,我们真诚的希望与您合作!授权代理站我们不会向您收取一分钱,为了中国地区的业务更广,代理站点说明。
1.网站域名为:hackerschina,hackerchina,hacker,chianhackers,hackersyun,后缀可以是任意一个  如:hackerschina.org  hackerschina.tk  hackerschina.top等请申请国际顶级域名!
2.申请交换连接:www.hackerschina.org  交换连接!
3.公告需要进行和官方网站同步!
4.内容自由发布不需要进行官网授权。
5.官方logo以“中国骇客云平台地区站”如:中国骇客云平台搜索引擎北京站官网等,中国骇客云平台湖南站官网,中国骇客云平台业务网海南站,中国骇客云安全网社交站官网等字样即可!这样的好处是可以进行网站排名至搜素搜索引擎首页,也可以进行和官网的互动,如果没有以上字样将不可能进行授权、。
如果您想加入我们的官网代理,而又不会网站制作怎么办?
我们可以出技术人员帮您进行网站制作一条龙服务。可自带虚拟主机等。
方法:网站程序上传  如:论坛网站程序上传至虚拟主机!按照域名给出的提示完成网站安装即可。

Ladies and gentlemen
Dear friends, members, the international team, the Chinese team, international friends good! Welcome to the Chinese hacker cloud platform technology blog page, we thank you for coming. The increasing volume of business, resulting in a number of technical staff can not keep up with the business, we feel very ashamed. We carefully repeat our business and the whole network open recruitment clerk and technician several bonus system!
1 international team and the Chinese team to conduct the business assessment
2 salesman without hacking technology, as long as the single, through the international team and the Chinese team to assess the level of business income assessment price, salesman business success of the proceeds from the technician to pay 20% of the proceeds.
3 technical personnel authorized by the official customer service (black production business), all in accordance with the amount of 80% of the project success (obtained by the official money to the designated account)
4 Pyramid business marketing model (free agent, the official does not charge a penny)! Salesman or technician for each agent, and a successful business we will carry out 5% of the dividends, and so on!
The official explanation: recruiting merchandisers (what would also, we will through training, so please add the official WeChat customer service before you can join the business personnel, after all the training), some network technician (Master webshell, social worker, penetration, crack, free to kill, first-hand data, data, gaming sites SEO, etc)
All of the above are black, please contact us! Welcome to join us.
Official website authorized agent network description:
If you are a blog site, personal sites, social networking sites, video stations, software download stations, search sites, forums, etc., we sincerely hope to cooperate with you! We will not charge you a fee, in order to more business in China, the proxy site description.
1 website domain name: hackerschina, hackerchina, hacker, chianhackers, hackersyun, suffix can be any one such as: hackerschina.org hackerschina.tk hackerschina.top, please apply for international top-level domain name!
2 application exchange connection: www.hackerschina.org exchange connection!
3 announcements need to be synchronized with the official website!
4 content free release does not require official website authorization.
5 official logo to “Chinese platform cloud area such as: China hacker hacker station cloud platform search engine Beijing Railway Station official website, the hacker China cloud platform Hunan station official website, Chinese hacker cloud platform business network Hainan station, China hacker cloud security network social networking website can stand on! The advantage is that the site can be ranked to search the search engine home page, you can also interact with the official website, if there is no more than the words will not be authorized,.
If you want to join our official website agent, and not the site to do?
We can help you with the technical staff to create a one-stop service website. Can bring virtual host.
Methods: Web site upload procedures such as: Web site upload to the virtual host! According to the domain name to give the prompt to complete the site installation.

中国骇客云最新0dayxss漏洞之雅虎漏洞,现在固定,允许黑客访问任何用户的电子邮件

雅虎已经固定的一个关键的跨站点脚本(XSS)漏洞可能被黑客利用来访问任何雅虎邮箱用户的私人邮件。

如果不打补丁,该漏洞可能让估计3亿雅虎邮件账户的风险。

该安全漏洞是建立由芬兰漏洞研究员Jouko Pynnö嫩,为安全公司klikki公司工作的人。pynnö嫩有揭露网络面向软件XSS漏洞的历史,在喜欢有负责任披露的安全漏洞WordPress和优步在过去的

这是修补缺陷,在十一月下旬Pynnö嫩的负责任的披露的细节,雅虎的安全团队,允许恶意的JavaScript被嵌入到一个特殊格式的电子邮件。

要发送一个冷下来的脊柱是一个攻击利用该漏洞不需要任何用户交互。所有的受害者都要有自己的帐户妥协仅仅是查看邮件,无需点击链接或打开附件。

Yahoo XSS vulnerability

恶意代码嵌入在电子邮件可能会被攻击者用来折中考虑,改变其设置,邮件转发到外部账户,甚至传播雅虎邮件的感染病毒。

他的努力pynnö嫩获得了10000美元的奖金的雅虎的错误赏金计划下。

这不是Pynnö嫩自己挣来的报告在雅虎的邮件系统中关键的安全漏洞,一个英俊的奖励第一时间。一年前,pynnö嫩告诉雅虎关于不同但类似的存储型XSS漏洞允许攻击者将恶意脚本里面boobytrapped电子邮件。

只是看消息足以触发恶意代码–意味者没有被诱骗点击任何链接或打开任何附件。恶意脚本可以用来妥协的帐户–改变设置,或转发或发送电子邮件,在用户不知情的情况下。

pynnö嫩有概念的电子邮件,将受害者的邮箱一个第三方网站证明雅虎的安全团队,和一个病毒,会感染的账户和依附以后每封电子邮件从雅虎邮件帐户发送。

不难想象,这样的攻击可能会蔓延得很快,会吸引网络罪犯利用。

幸运的是,有没有已知的漏洞在野外,和脆弱性修补2016年一月

这是雅虎当时修理缺陷也没有抵御最新的漏洞,工作的耻辱。一个强大的过滤器在雅虎的网关,恶意HTML狩猎,可以阻止这些类型的攻击在其轨道上死了。

谢天谢地,pynnö嫩相信负责任的披露他的发现细节的技术公司,而雅虎的这一最新情况作出适当的反应。