在个人的两天电脑上安装了华为乾坤终端安全个人版，都出现了无法正常关机的情况，点击关机就自动重启了，要关机的话必须长按电源键强制关机，请问这是怎么回事？

@SuppressLint("MissingPermission") // permissions are managed by the UI layerpublic class DiscoverClassicDevicesRequest extends Request<Void, DiscoveredDevice, BluetoothStatus> { private static final String TAG = "DiscoverClassicDevicesRequest"; private boolean mIsScanning = false; private final BluetoothDiscoveryReceiver mDiscoveryReceiver = new BluetoothDiscoveryReceiver(new BluetoothDiscoveryReceiver.BluetoothDiscoveryListener() { @Override public void onDeviceFound(DiscoveredDevice device) { DiscoverClassicDevicesRequest.this.onProgress(device); } @Override public void onStartDiscovery() { mIsScanning = true; } @Override public void onStopDiscovery(Context context) { mIsScanning = false; DiscoverClassicDevicesRequest.this.onDiscoveryStopped(context); DiscoverClassicDevicesRequest.this.onComplete(null); context.unregisterReceiver(mDiscoveryReceiver); } }); public DiscoverClassicDevicesRequest(@NonNull RequestListener<Void, DiscoveredDevice, BluetoothStatus> listener) { super(listener); } @Override public void run(@Nullable Context context) { BluetoothAdapter adapter = BluetoothUtils.getBluetoothAdapter(context); if (adapter == null || context == null) { // if context is null, adapter is also null // the condition is to ensure that context is non null for startScan Log.w(TAG, "[run] error: Bluetooth is unavailable."); onError(BluetoothStatus.NO_BLUETOOTH); return; } if (!areScanningPermissionsGranted(context)) { // scanning for devices requires the location permissions to be granted Log.w(TAG, "[run] error: missing permissions to scan for devices."); onError(BluetoothStatus.NO_PERMISSIONS); return; } if (Build.VERSION.SDK_INT <= Build.VERSION_CODES.R && !isLocationEnabled(context)) { // scanning for devices requires the location services Log.w(TAG, "[run] error: location is disabled."); onError(BluetoothStatus.NO_LOCATION); return; } // cancelling any ongoing discovery adapter.cancelDiscovery(); // starting or re-starting the discovery BluetoothStatus status = startScan(context, adapter); // check returned status if (status != BluetoothStatus.IN_PROGRESS) { onError(status); } } @Override protected void onEnd() { } private BluetoothStatus startScan(@NonNull Context context, @NonNull BluetoothAdapter adapter) { if (mIsScanning) { return BluetoothStatus.IN_PROGRESS; } // register a receiver to get discovered devices IntentFilter filter = new IntentFilter(BluetoothDevice.ACTION_FOUND); filter.addAction(BluetoothAdapter.ACTION_DISCOVERY_STARTED); filter.addAction(BluetoothAdapter.ACTION_DISCOVERY_FINISHED); context.registerReceiver(mDiscoveryReceiver, filter); // start discovery boolean isDiscovering = adapter.startDiscovery(); // analyse result if (isDiscovering) { return BluetoothStatus.IN_PROGRESS; } else { onDiscoveryStopped(context); return BluetoothStatus.DISCOVERY_FAILED; } } private void onDiscoveryStopped(Context context) { if (mIsScanning) { mIsScanning = false; context.unregisterReceiver(mDiscoveryReceiver); } }}/** * <p>This class allows reception of information from the system about Bluetooth devices that have * been found during a device discovery.</p> * <p>This receiver should be used with the following intent filter: * {@link BluetoothDevice#ACTION_FOUND ACTION_FOUND}.</p> */public class BluetoothDiscoveryReceiver extends BroadcastReceiver { private static final String TAG = "BluetoothDiscoveryReceiver"; private static final boolean LOG_METHODS = DEBUG.Bluetooth.DISCOVERY_RECEIVER; /** * The listener to dispatch discovered devices from this receiver. */ private final BluetoothDiscoveryListener mListener; /** * <p>Constructor.</p> * * @param listener * The listener to inform of discovered devices. */ public BluetoothDiscoveryReceiver(BluetoothDiscoveryListener listener) { this.mListener = listener; } @SuppressLint("MissingPermission") @Override public void onReceive(Context context, Intent intent) { final String action = intent.getAction(); Logger.log(LOG_METHODS, TAG, "onReceive", new Pair<>("action", action)); if (action == null || context == null) { Log.w(TAG, "[onReceive] action or context is null."); return; } switch (action) { case BluetoothAdapter.ACTION_DISCOVERY_STARTED: mListener.onStartDiscovery(); break; case BluetoothAdapter.ACTION_DISCOVERY_FINISHED: mListener.onStopDiscovery(context); break; case BluetoothDevice.ACTION_FOUND: BluetoothDevice device = intent.getParcelableExtra(BluetoothDevice.EXTRA_DEVICE); if (device != null && (device.getType() == BluetoothDevice.DEVICE_TYPE_CLASSIC || device.getType() == BluetoothDevice.DEVICE_TYPE_DUAL)) { mListener.onDeviceFound(new DiscoveredDevice(device.getName(), device.getAddress(), DeviceType.DISCOVERED)); } break; } } /** * <p>The listener for the * {@link BluetoothDiscoveryReceiver BluetoothDiscoveryReceiver} receiver.</p> */ public interface BluetoothDiscoveryListener { /** * <p>The method to dispatch a found device to a listener of this receiver.</p> * * @param device * The device that has been found. */ void onDeviceFound(DiscoveredDevice device); void onStartDiscovery(); void onStopDiscovery(Context context); }}按照上述的代码应该是可以打开手机的蓝牙搜索功能的，但是按照上述的方式无法打开华为手机的蓝牙搜索，用同样的代码在小米系统vivo系统可以正常打开蓝牙搜索功能，是我获取的搜索的接口不对嘛

今天更新显卡驱动显示更新失败-未安装，更新最新WIN11系统以及重启计算机后还是不行。因为华为乾坤终端是这两天才安装的我就怀疑是它的问题，退出后仍然无法安装，然后我就删了乾坤，立马就能安装上了希望你们能早点修复

1. 乾坤的静态引擎目前是否具有解包/脱壳的能力？如果没有，日后是否考虑加入？比如，对Inno Setup/自解压/NSIS打包，UPX这种简单压缩壳的解包脱壳能力。实现之后对通过FakeApp传播的白加黑可以提供pre-execution阶段的检测。2. 乾坤的静态引擎目前是否具备对脚本(vbs, js, ps1, AutoIT, etc.)的特征侦测能力？3. 乾坤是否考虑添加/增强引擎对感染型病毒的修复手段？

关于勒索病毒被锁文件回滚的逻辑问题：个人感觉最好还是加个主动回滚的入口，万一在“自动弹窗提示用户进行勒索回滚”的时候用户手滑点了不回滚或者用户需要斟酌回滚是否会破坏文件而取消回滚操作（有些勒索病毒可以用解锁工具解锁，不需要回滚用旧文件覆盖新文件），后续就没回滚的机会了，希望官方考虑一下。

华为乾坤个人版没有适用win7旗舰版（32位）的客户端。

软件整体界面以及子窗口（设置、日志、隔离、信任）偏宽，和主流PC软件不一样，观感不协调，希望能适当减少（大概减少2/9的宽度）软件整体界面以及子窗口的宽度，让软件看着更加协调方正。乾坤安全软件很简洁，没有过多的信息显示，但是软件横向过宽显得界面有廉价感、不协调，毕竟是面向消费者的软件，这样设计容易让用户担忧产品品质（界面都做不好，安全员能力和功能要画问号了）。

这个高级勒索防御会备份被软件修改的文件，在设置里能找到调整设置的入口，但是我似乎没找到恢复文件的入口，想问下官方这个高级勒索防御备份的文件从哪里去恢复？另外这个勒索防御似乎也没有说明支持那些格式文件的备份？能否后续告知用户支持备份哪些格式的文件，并允许用户添加自定义想备份的文件格式（毕竟专业软件种类繁多，工程作图、3D建模、平面设计、插画绘制等重要文件的格式非常繁杂，官方不可能全考虑的到，允许用户添加自定义格式是个解决问题的好办法）这个功能可以参考360、腾讯管家的相关功能设计。

高级防勒索设置这里选择文件备份路径不支持新建文件夹。建议在截图所示的位置添加一个“新建文件夹”按钮，用户选择路径过程中支持自定义新建文件夹。

升级检测显示最新病毒库版本是14号的，升级完也是14号的，但是最后界面却显示是13号的。。。什么问题？

9月15日下午，以“算力支撑，*筑高地”为主题，2023世界计算大会产业对接专场在长沙举行，来自政府、高校、科研院所等创新机构及创新平台的代表齐聚一堂，共同探讨计算领域前沿研究、创新支撑、应用场景等议题，携手推进先进计算领域高水平科技自立自强，共筑算力高地。​本次专场对接会由湖南省政府、国家工信部主办，湖南省工信厅、长沙市政府、湖南湘江新区、中国电子信息产业发展研究院联合承办，湖南湘江新区科技创新和产业促进局执行，湖南省鲲鹏生态创新中心等单位支持，旨在进一步助推计算技术加速创新，打造协作共赢的产业生态。会上，岳麓山大学科技城党工委副书记、管委会主任屈志峰，湖南大学党委**、副校长李肯立，中国工业互联网研究院党委副书记李炜，国防科技大学计算机学院计算机所所长黎铁军，北京大学长沙计算与数字经济研究院算力网络研究中心主任樊春分别发表《湘江科学城——建设全球研发中心城市的核心引领区》《打造算力高地 赋能区域发展》《工业互联网赋能中小企业数字化转型》《领域定制体系结构推动未来算力可持续发展》《算力平台建设关键基础软件及其对产学研的支撑》等主题演讲。算力是新型生产力，是支撑数字经济发展的重要“底座”。我省高度重视数字经济发展和算力支撑能力提升，前瞻布局算力、算网、算法、算据“四算一体”发展，算力支撑能力得到长足发展。目前，全省总算力达5100P，超算算力居全国第三；2022年，湖南湘江新区数字经济总量达2200亿元，占长沙市的53.6%，具备领先而坚实的数字产业发展基础。​会上，世界计算•长沙智谷携手长沙人工智能创新中心发布200P AI算力及第二批智慧场景。据介绍，坐落于湖南湘江新区核心区的世界计算•长沙智谷占地1000亩，总投资超180亿元。作为长沙全力打造全球研发中心城市首开区，项目以打造“产城融合、智慧低碳、生态友好、青年向往、宜居宜业”的计算之城为目标，2025年全面建成后，将为10万科研人员以及1500家研发机构提供最佳成长载体。据悉，坐落于世界计算·长沙智谷的人工智能创新中心是由长沙市政府与湖南湘江新区共同出资建设，由长沙市政府与湖南湘江新区共同出资建设，是目前省内AI算力规模最大的人工智能创新中心，在去年发布首批18大类AI+智慧场景基础上，未来将打造AI+园林景观、AI+物流、AI+数字人等全新8大智慧场景。现场，长沙昇腾人工智能创新中心大模型联合研发启动与算力合作签约，将与中南大学、智慧眼、视旅网络正式启动大模型联合研发，聚力打造国产“大模型+自主算力”集群，进一步助力湖南算力产业发展。转自鲲鹏创新中心

扫描时Windows索引服务与Defender服务会同时占用大量cpu和磁盘io资源。

 2023年国家网络安全宣传周将于9月10日至16日在全国范围内统一举行，其中包括网安周开幕式、网络安全技术高峰论坛、网络安全博览会等重要活动。华为数据通信产品线安全产品领域也将在网络安全宣传周期间发布华为终端防护与响应EDR新品。为了让广大华为安全爱好者更好地了解新品武器，华为安全专家齐聚一堂，推出EDR“大安全，新思路”系列文章，敬请持续关注。网络威胁最新趋势在2022年到2023年期间，最新的威胁攻击有哪些？这些攻击呈现出什么趋势？从现网安全运营和安全报告披露的数据看，勒索、挖矿、蠕虫、窃密和远控木马依然活跃，并呈现出隐蔽性、多样性的特点。根据《2023年恶意软件准备和防御报告》的调查结果显示，企业面临的头号威胁是勒索软件，其次是网络钓鱼和信息窃取程序，具体数据如图1-1所示。三者“相伴相生”，互为攻击的前后脚。如果问首先需要防御哪种类型的恶意软件，很多组织可能很难回答。​观察几款持久存活的恶意软件，例如，国内勒索感染排名第二的TargetCompay、挖矿窃密勒索远控复合恶意软件DarkGate、银行木马LokiBot、Emotet僵尸网络等，这些恶意软件在进化过程中，其真正的有效载荷变化不大，但初始入侵感染手段不断翻新，融合了更复杂多变的技术，如钓鱼、漏洞利用、被盗凭据、Shellcode、进程挖空躲避等手段。因此，检测这些恶意软件的难度与日俱增。整体上，当前的威胁形式融合了三个变量：第一个是数字化先行，组织暴露出更多的风险面；第二个是攻击技术、生态系统和工业化程度的进化；最后，更多攻击组织参与到新的地缘政治冲突中，加速了高级威胁武器的应用和民间滥用泛化。这些因素都加剧了网络空间环境的恶化。如果企业设备不能保障安装最新的补丁、部署下一代反恶意软件，从攻击者角度思考纵深应对方案，那么如何建立“安全感”呢？安全防御现状和挑战为了应对复杂的威胁界面，企业需要构筑一套贯穿威胁攻击全链路的自防御体系，在事前、事中和事后投入更多的人力和时间成本。但安全投资是有限的，如何从可视、防御、检测和响应多个层面来建设一套纵深安全体系，兼备平衡实效和成本呢？2013年Gartner首次提出EDR（Endpoint Detection and Response，终端威胁检测与响应）的概念之后，该技术立即引起了安全界的广泛关注。如图1-2所示，EDR是一种新型的、智能化和快速迅捷的主动防御技术，遵循Gartner “预测、防护、检测和响应”的技术体系，其作用贯穿安全事件发生的全过程。由于终端是威胁攻击的主要作用点，大部分攻击都发生在各类端点计算设备上。以终端为锚点，可以达到撬动整个安全防御体系的效果。在2023年Gartner最新的终端安全魔术象限报告中，EDR被作为EPP（Endpoint Protection Platform，终端防御平台）的关键特性，主流安全厂商已经实现EPP与EDR的合一（后面文章以EDR统称）。​EDR集成了下一代AV、行为分析、机器学习、诱骗、XDR（Extended Detection and Response，可扩展威胁检测与响应）大数据日志存储和分析、沙箱、威胁信息、网络安全联动和自动恢复响应等最先进的技术。它可以覆盖办公终端、服务器、虚拟机、云Workload和容器监控，甚至扩展到IOT设备等对象。部分安全厂商还添加了身份保护、钓鱼防护和微隔离等特性，为EDR注入更多新的涵义。EDR“小小”身材，可撬动端、网、云大安全。在2023年最新的攻防演练热点话题中，“如何防范0-Day打穿网络，从主机层面如何阻断已经攻入内网的红队”成为了主要关注点。可见，EDR从不同层面被赋予了厚望，主流安全厂商也纷纷布局EDR产品。尽管业界厂商提供的终端安全功能繁多，从业界实践总结（参考Gartner）和客户反馈中，以下几个方面被认为是EDR产品的核心能力：01防御和阻止安全威胁，包括已知恶意软件、无文件利用。02具备行为分析能力，覆盖设备活动、应用程序、身份和用户数据，集成威胁信息能力，检测和预防未知威胁。03在攻击被实锤前，提供进一步事件调查和溯源能力。04具备攻击响应恢复能力，如恶意软件感染后文件恢复能力。05支持多种操作系统和终端类型，并且支持多种部署模式，包括线下On Premise、云端和混合部署。更多高级能力包括XDR整合联动，以及部分EPP传统功能的反向整合，例如安全基线、漏洞管理、数据防泄密等。其中，XDR整合能力在业界普遍还不成熟，它包含了集成SOAR、IT服务管理、网络整合等功能。从业界实践来看，针对不同类型客户，在应对不断变化的威胁攻击时，如何做到低误报高检出、还原攻击链、自动响应和恢复，部分EDR产品还存在不少差距。例如，针对安全不成熟的客户，易用性是一个关键考量，但不少厂商缺乏自动分析攻击链、一键自动响应和修复能力、无预定义威胁搜索和感染文件恢复等功能。针对中大型客户，很多厂商的EDR在现网应用中，上报数据噪声大、行为检测误报高、ATT&CK覆盖不全，无法真正拦截变种恶意软件和未知威胁；缺乏对多个操作系统和新的工作负载（如容器）的支持；与安全工作流程整合不够紧密，缺乏可定制的Playbook和行为规则能力。此外，XDR整合联动还停留在宣传层面，终端、应用和网络安全管理界面分离，远没有达到消除跨团队、系统和数据孤岛的目的。华为终端检测与响应EDR产品亮点EDR的防御理念是很好的，与经典的PPDR（Predict 、Prevent 、Detect、Response，预测、防护、检测、响应）的安全防御模型完全吻合，但是将这种思想转化为具体的产品并达到实效，还需要不断在组织、管理流程和技术上进行实践和迭代创新。从EPP到EDR，再到二者的合体，在终端安全发展的起承转合中，谁才是真正具备实效、可对抗未知、易用性高的产品？华为安全推出EDR新品，致力于在网络空间抵御新型威胁攻击。作为大安全的锚点和托底，整合网络安全、云端大数据安全深度分析能力，深度协同，形成感知、防御、检测、和响应多层面的自适应防御闭环。依托OneAgent统一终端平台，以小身材，撬动安全大乾坤。华为终端检测与响应EDR产品具备如下优势：01轻量化、易部署EDR足够轻、上报噪声低、在主机操作系统上留下的足迹足够小，才能对用户业务影响最小，有效收敛信号，将安全风险面收到最小。华为终端检测与响应EDR轻量级Agent，支持分钟级批量部署上线，实时防护CPU占用小于1%，内存占用小；它基于可信进程树、白名单自学习和威胁图降噪专利技术，能够在各类数据采集无损的条件下，去除80%以上的噪声和冗余数据，单终端平均数据上报小于20MB/天，提升云端检测的有效性，降低云端存储成本。02集成下一代AV检测引擎华为终端检测与响应EDR产品集成了自主研发的下一代AV引擎CDE（Content-based Detection Engine，内容检测引擎），可实时扫描发现勒索、挖矿、远控等早期的恶意载荷投递，阻止进一步释放有效恶意载荷；基于内核级文件写入、运行阻断查杀技术，在有效载荷落盘或运行前高速扫描，确保恶意代码不运行下的高查杀率。CDE采用MDL（Malware Detection Language，恶意软件检测语言）专有病毒语言，以少量资源精准覆盖海量变种；集成专有在线神经网络等高精度AI算法、反躲避等技术，可检测深度隐藏、嵌套、压缩的病毒，并具备未知病毒检测能力；借助华为乾坤云端强大的文件安全生产系统，基于10种以上自动化签名算法和专家经验，对海量样本进行高效高质覆盖，持续对抗分析每日百万级新样本，准确检测流行勒索、挖矿、木马、僵尸、后门、蠕虫等各类恶意软件。CDE在对抗检测、AI检测算法、签名泛化能力和扫描性能方面处于领先地位。03创新威胁溯源图捕获未知威胁据统计，有20%的恶意软件可以成功绕过杀软的检测。未知行为检测是对抗杀软绕过的关键能力。要想有效地防御未知威胁，首先要精确感知终端行为异常，并且采集的数据越全面、越深入，检测的上限就越高。华为终端检测与响应EDR产品支持进程、文件、网络、DNS、注册表等细粒度的数据采集，并支持API、Shellcode和内存深度采集。即使威胁攻击采用隐蔽性极高的躲避技术，如内存型无文件攻击、白加黑、Shellcode注入、直接系统调用、合法工具或Powershell命令等进行躲避，也能被EDR采集器感知。终端行为是一张以进程为中心的网状行为图。华为终端检测与响应EDR产品独创内存威胁溯源图，对单终端进程树、文件、凭据等对象访问行为链进行实时捕捉，拟合成网状行为“快照”；基于这张“影子”快照图，华为终端检测与响应EDR可执行毫秒级上下文关联，覆盖原始事件可疑信号和主机IPS行为打点告警，信号实时沿图传播汇聚，结合威胁打分和威胁根溯源算法研判，输出高置信度恶意威胁事件，研判准确率可达99%以上。消除误报和“告警疲劳”，将90%的未知攻击实时阻断闭环在终端侧。华为终端检测与响应EDR联动云端，可撬动乾坤云对跨终端、异构数据源（资产、威胁信息）进行时空层面的综合关联和溯源，结合AI算法和云端强大的威胁知识库，通过全局威胁溯源图深度归因，自动还原攻击意图和攻击链条，检测多主机横向移动、和高级持续隐蔽型攻击。针对0-Day，华为终端检测与响应EDR产品支持多层漏洞防御，在漏洞执行关键路径打点，通过细粒度行为检测斩断ROP攻击链；结合未知Shellcode采集，识别攻击意图；最后一道防线是端云结合的白程序行为基线学习，即使系统被漏洞攻陷也能识别异常，结合溯源图进一步研判。针对中大型客户，华为终端检测与响应EDR产品端侧威胁溯源图、主机IPS、诱饵、云端关联分析和全局溯源图引擎，均支持客户依据现网业务特点，自定义检测算法和策略，提升场景化防御的业务适应性。04华为乾坤云统一威胁联动分析和响应华为终端检测与响应EDR后台是基于乾坤统一威胁分析和管理平台研发，该平台同时支持边界防护、威胁信息、网络威胁评估、漏洞扫描等多安全APP部署。通过华为乾坤统一安全运营中心，可天然支持多安全APP的日志中心化存储、检索、统一分析和可视。跨产品管理控制后台统一，可基于一套管理界面配置策略。通过跨域关联分析规则和算法，实现XDR跨域威胁研判，以及一键自动化编排响应。比如在典型勒索攻击场景，防火墙在勒索攻击初始访问阶段，识别勒索下载器的C2外联，华为乾坤云通过告警日志，实时联动EDR对失陷主机进行一键响应，终止恶意代码片段进程、隔离文件，对网络访问进行阻断，抑制下载器二次复发带来的被勒索风险。05独创勒索加密文件恢复勒索加密家族LockBit最高可在4分钟加密10万个文件，检测的速度必须足够快和准。针对不断变异进化的勒索软件，要确保数据零损失，提供加密文件恢复是一个有效的兜底技术。华为终端检测与响应EDR产品独创内核级勒索行为捕获技术，可动态感知非受信程序的可疑文件访问模式，如诱饵文件访问、批量文件遍历、修改后缀名等，实时触发本地文件备份。支持轻量化勒索AI动态行为本地分析，在勒索攻击正确研判后，针对勒索病毒整个进程链自动执行处置，并将备份文件回滚，确保恢复到正确的文件修改版本，备份单文件<10ms，将数据损失数量减少到个位数或0损失。结束语威胁攻击持续演进，防御对抗是长期性的。华为终端检测与响应EDR产品撬动云、网、端三方协同，将核心的PPDR防御逻辑、知识和能力流程化、自动化。在事前、事中和事后提升数字韧性和反攻击双向能力，获取攻防主动权，对各类新型攻击进行常态化治理，守护组织和企业的数字资产安全。

伴随着新的恶意软件系列层出不穷，其中一些逐渐没落消亡，有些只是昙花一现，而另一些则保持着持久的繁荣。为了跟上这一变化趋势，卡巴斯基依赖检测到的样本及其对僵尸网络和地下论坛的监测结果，剖析了犯罪软件世界中的最新进展。DarkGate2023年6月，一名恶意软件开发者在一个流行的暗网论坛上发布了一则广告，吹嘘自己自2017年以来便开发了一个加载程序，该程序目前已活跃2万多个小时，且具备如下一些主要功能：隐藏的虚拟网络控制台（VNC）；Windows Defender免疫；浏览器历史记录窃取器；逆向代理；文件管理器；Discord（一款聊天软件和社区）token窃取器；利用获得的一些样本，研究人员重构了整个感染链。结果发现，在加载最终有效载荷（即DarkGate本身）之前，要经历以下阶段：VBS下载器脚本：该脚本比较简单。它设置了几个环境变量来混淆后续的命令调用。然后从C2下载两个文件（exe和script.au3），并使用script.au3来执行Autoit3.exe作为一个论据。AutoIT V3脚本：AutoIT V3是一种类似BASIC的免费软件脚本语言，因其可以模拟击键和鼠标移动等操作而备受恶意软件开发者的青睐。执行的脚本会被混淆，但最终会为嵌入的shellcode分配内存，并最终执行shellcode。Shellcode：该Shellcode非常简单，它在内存中构造一个PE文件，动态解析导入并将控制传递给它。DarkGate执行器（由shellcode构造的PE文件）：该执行器会加载脚本。将Au3文件放入内存中，并在脚本中定位加密的blob。然后对加密的blob进行解密（使用XOR密钥和final NOT操作）。这将产生一个PE文件，其导入表是动态解析的。最后的结果就是DarkGate加载器。DarkGate加载器包含以下变量，描述了恶意软件的一些核心功能：找到杀毒软件（AV）时设置的变量；找到虚拟环境时设置的变量；找到Xeon处理器时设置的变量；C2端口数；除了多功能性之外，DarkGate的亮点是它实现了进程挖空的行为——将合法进程加载到系统上，将其用作隐藏恶意代码的“掩护”。为了实现这一目的，DarkGate还滥用了进程vbc.exe或regasm.exe。此外，DarkGate还利用用户帐户控制（UAC）绕过功能来提升其权限。DarkGate的另一个显著特点是其人性化的“反应式”C2基础设施由真人构成。研究人员指出，这些运营者会根据收到加密钱包的新感染通知采取行动。同时，当运营者检测到任何有趣的活动时，他们会继续在被感染的机器上安装自定义远程访问工具以进行手动操作。为了隐藏这些特殊的C2基础设施，DarkGate还对其恶意服务器进行了伪装，并通过监控通常在沙箱或虚拟机环境中发现的情况，以及检查是否存在特定的AV解决方案，来逃避检测。LokiBotLokiBot于2016年首次曝光，至今仍然十分活跃。它旨在窃取各种应用程序的凭据，例如浏览器、FTP客户端和其他应用程序。LokiBot的首要定位是银行木马，不过在进行攻击时，如果它的银行木马访问权限被禁止或者用户试图删除它时，它能够立马启动勒索软件模块，瞬间转变成一款勒索软件。一旦勒索软件的特性被激活，LokiBot能够破译用户所有的数据变成另一种流氓软件。最近，研究人员发现了一起使用LokiBot瞄准货船公司的网络钓鱼活动。在这起案例中，受害者收到了一封看似来自业务联系人的电子邮件，上面写着需要支付的港口费用。邮件的附件是一份Excel文档。正如预期的那样，在打开文档时要求用户启用宏。然而，这是一个虚假的警告，因为该文档并不包含任何宏，而是试图利用CVE-2017-0199。该漏洞使得通过提供链接打开远程文档成为可能。这会导致下载RTF文档，从而利用另一个漏洞，即CVE-2017-11882。通过利用这个漏洞，LokiBot便得以顺利下载并执行。一旦执行，它就会从各种来源收集凭据并保存到恶意软件内部的缓冲区中，然后将它们发送到C2。数据通过POST请求经由APLib压缩发送。发送系统信息后，恶意软件还会监听其他C2命令。这些命令可用于下载其他恶意软件、运行键盘记录程序等恶意操作。EmotetEmotet是一个臭名昭著的僵尸网络，尽管在2021年就已被关闭，但后来又重新复苏。研究人员发现，在最近的攻击浪潮中，它们加入了OneNote感染的行列，开始发送带有恶意OneNote文件的电子邮件。打开其中一个OneNote文件会显示一个类似于下图的页面。【Emotet OneNote诱饵文档】点击“查看”（view）按钮会自动执行嵌入和混淆的恶意VBScript。不过，好在反混淆（deobfuscated）代码相当简单。【反混淆下载器脚本】从上图可以看出有多个站点包含有效载荷。脚本会尝试每一种方法，直到成功为止，然后将有效负载（一个DLL）保存在临时目录中，并使用regsvc32.exe执行它。然后，执行的DLL从其资源部分加载一个资源（LXGUM），并使用简单的滚动XOR算法对其进行解密，具体如下所示。【资源解密代码】该解密的有效负载实际上是执行典型的哈希导入的shellcode。其中两个解析函数是ldrloadll和LdrGetProcedureAddress，恶意软件开发者经常使用它们来逃避对知名API（在此案例中指的是LoadLibrary和GetProcAddress）的动态分析。接下来分配内存，并将资源部分的blob （PE文件）写入分配的内存，这就是最终的Emotet有效负载。之后解析DLL依赖项，并重建导入地址表（IAT）。然后shellcode覆盖PE文件的DOS标头，以便EDR解决方案更难以检测内存中的二进制文件。最后执行Emotet。研究人员指出，总的来说，Emotet有效载荷本身与前几波攻击相同。结语恶意软件仍在不断发展，而攻击者的TTP也在不断变化，检测难度只会与日俱增。此外，组织还很难决定首先防御哪种类型的恶意软件威胁。保持情报更新可以帮助组织及时有效地识别与业务相关的威胁，并强化对这些威胁的防御力度。原文链接：https://securelist.com/emotet-darkgate-lokibot-crimeware-report/110286/转载自FreeBuf.COM