比特币爆涨,打响挖矿木马围攻云主机的发令枪,SupermanMiner 冲上来了

一、概述 受近期比特币爆涨带动数字虚拟币整体市值飙升影响,挖矿木马十分活跃。腾讯安全威胁情报中心检测到利用Redis未授权访问漏洞直接写入计划任务,下载用golang语言编写的挖矿木马下载器superman,根据挖矿算力推测该团伙已控制约1万台失陷系统进行门罗币挖矿。 腾讯安全近期已捕获较多利用golang语言编写的各类脚本木马,这些木马利用多个不同linux服务器组件的高危漏洞或弱密码入侵云服务器挖矿。对这些挖矿木马进行分析溯源,发现分属不同的黑产团伙控制,有点“千军万马一窝蜂携漏洞武器弱口令武器抢占云主机挖矿淘金”的意思。腾讯安全专家建议政企机构安全运维人员及时修补漏洞,排查弱口令,避免服务器沦为黑产控制的肉鸡。 在本例中,部分政企机构使用Redis时,由于没有对redis进行良好的配置,如使用空口令或者弱口令等,导致攻击者可以直接访问redis服务器,并可以通过该问题直接写入计划任务甚至可以直接拿到服务器权限。 自查处置建议 腾讯安全专家推荐的修复建议: 1.针对未配置redis密码访问的,需要对其进行配置添加用户和密码访问。针对弱口令则需要使用强密码。 2.如非必须,不对外开放redis端口,如需要对外开放服务则正确配置好ACL策略。 清理利用漏洞入侵的挖矿木马 1.清除计划任务中的python3.8m.sh相关条目; 2.在确认JavaUpdate和mysqlserver进程异常后,将其kill掉; 3.删除/var/tmp/下的.system-python3.8-Updates和.Javadoc 文件夹。 腾讯安全响应清单 针对supermanminer系列挖矿木马的活动,腾讯安全各产品均已响应拦截。 详细响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)SupermanMiner挖矿木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)SupermanMiner挖矿木马相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)SupermanMiner挖矿木马相关IOCs识别检测; 2)检测Redis未授权漏洞利用;   有关云防火墙的更多信息,可参考:  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀SupermanMiner挖矿木马; 2)支持检测Redis未授权漏洞利用;   腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)支持通过协议检测SupermanMiner挖矿木马与服务器的网络通信; 2)支持redis未授权访问漏洞利用检测。关于T-Sec高级威胁检测系统的更多信息,可参考:https://cloud.tencent.com/product/nta 二、详细分析 在使用redis应用时没有配置好访问策略导致攻击者可以利用弱口令或者空口令直接访问redis应用,并通过该应用直接向系统写入计划任务或者通过写入ssh公钥文件直接控制服务器。 通过未授权直接写入计划任务 在/var/spool/cron/root可以看到如下内容: 通过计划任务到pastebin下载脚本并执行。 下载的脚本内容用base64进行编码 解码后的内容: 该脚本主要功能是判断当前主机进程中是否有包含/var/tmp/.system-python3.8-Updates路径,然后指定站点下载superman文件,命名为f存放到/var/tmp/目录下,运行后将该文件删除。 superman是一个go编写的下载器,主要功能是下载核心挖矿程序xmrig及配置文件,并通过重新下载superman,并将其命名为mysqlserver,写入计划任务的方式进行持久化操作。 在运行superman后会写入计划任务。 其中python3.8m.sh的内容为: 脚本中的将mysqlserver是将superman下载后重命名,并将其存放在.system-python3.8-updates路径下。 通过流量分析发现,木马会频繁请求www.hellomeyou.cyou,且域名对应的IP一直在变化。该网站主要是查询在NameSilo注册的域名的whois信息等, 通过查看网站源码,发现源码中嵌入了一些内容,包括xmirg下载链接,矿池配置,superman下载链接及文件大小等。 通过查询域名相关信息该域名与namesilo属于同一组织,判断应该是hellomeyou这个网站被攻击后,在网站中嵌入了这些内容。 通过对superman文件分析,发现其通过正则表达式的方式匹配相应内容,分别匹配superman下载的url,xmrig下载路径,文件大小及矿池配置内容。 Superman文件通过github下载xmrig文件,并将其命名为JavaUpdate,并将其存放在/var/tmp/.Javadoc/路径下。同时通过匹配到的矿池内容修改相应的config.json文件。 Congfig文件内容: 其中挖矿使用矿池: 54.37.7.208:443(xmrpool.eu) 挖矿使用钱包: 88XEAsyefa9DyzyMJSdcEUR9PJPphWrSp632D2ia83zuJHLKDBxQZ1iDSVY8MspBoFiqdZdQupm4xBasSkahdfdXRuUU1j6 根据其钱包算力223Kh/s推算,该挖矿团伙已控制约1万台电脑进行挖矿。 Superman采用Go语言编写,除了启动挖矿程序之外,还具有下载文件、执行任意程序、执行远程命令、在线升级、安装crontab定时任务等功能。 IOCs URL hxxp://138.124.180.20:8080/superman hxxps://github.com/xmrig/xmrig/releases/download/v6.6.1/xmrig-6.6.1-linux-x64.tar.gz hxxps://pastebin.com/raw/xnxWdRJ8 hxxp://www.hellomeyou.cyou/ MD5 JavaUpdate a66c6c00d09529066b03070646127286 superman/mysqlserver 96dc8dcd5bf8f6e62c3ce5219e556ba3 矿池地址 xmrpool.eu 钱包地址88XEAsyefa9DyzyMJSdcEUR9PJPphWrSp632D2ia83zuJHLKDBxQZ1iDSVY8MspBoFiqdZdQupm4xBasSkahdfdXRuUU1j6 参考链接: https://paper.seebug.org/1440/

黑客利用特朗普丑闻假视频传播恶意软件

Cybesecurity研究人员今天观察到一个恶意垃圾邮件活动,该活动通过发布美国总统唐纳德·特朗普(Donald Trump)的丑闻假视频来传播远程访问木马(RAT)。 电子邮件的主题为“ GOOD LOAN OFFER !!”,附带一个名为“ TRUMP_SEX_SCANDAL_VIDEO.jar”的Java存档(JAR)文件,一旦被下载,该文件会将Qua或Quaverse RAT(QRAT)安装到系统中。 Trustwave高级安全研究员戴安娜·洛帕(Diana Lopera)在文章中说:“我们怀疑,黑客正试图利用最近结束的总统大选的噱头进行网络犯罪活动。” 最新的恶意活动是八月份发现的基于Windows的QRAT下载器的变体。 感染链从包含嵌入式附件或指向恶意zip文件的链接的垃圾邮件开始,它们均会检索使用Allatori Java混淆器加扰的JAR文件(“ Spec#0034.jar”)。 第一阶段下载程序将Node.Js平台设置到系统上,下载并执行称为“ wizard.js”的第二阶段下载程序,该程序负责持久获取并运行Qnode RAT(“ qnode-win32-ia32。 js”)。 QRAT是典型的远程访问木马,具有获取系统信息、执行文件操作以及从Google Chrome、Firefox、Thunderbird和Microsoft Outlook等应用程序获取凭据的功能。 这次恶意活动的变化是包含了一个新的弹出警报,该警报会通知受害者正在运行的JAR是用于渗透测试的远程访问软件。这也意味着,一旦用户单击“确定”按钮,该样本的恶意行为就会开始显现。 此外,JAR下载程序的恶意代码被分为不同的随机编号的缓冲区以逃避检测。 其他变化包括JAR文件大小的增加以及为更新的恶意软件链而取消了第二阶段的下载程序,更新的恶意软件链可立即获取QRAT有效负载(现称为“ boot.js”)。 就其本身而言,RAT除了通过VBS脚本负责保持在目标系统上的持久性外,还使用了base64编码对代码进行了加密。 Topera总结说:“自我们首次检查以来,该恶意软件的威胁已大大增强。”他敦促管理员在电子邮件安全网关中阻止传入的JAR。         消息及封面来源:The Hacker News,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

JetBrains 否认参与 SolarWinds 黑客攻击

捷克软件开发公司JetBrains今天声明,否认 《纽约时报》和《华尔街日报》 刊登的JetBrains涉嫌参与SolarWinds黑客攻击事件的报道。 调查人员认为,黑客将JetBrains的产品命名为TeamCity,该产品是用于将组件组装到软件应用程序中的CI / CD(持续集成/持续开发)服务器。 JetBrains首席执行官马克西姆·沙菲罗夫(Maxim Shafirov)发表博客表示: “ SolarWinds是我们TeamCity的用户,这是用作构建软件的持续集成和部署系统 。” 他补充说:“ SolarWinds或政府机构尚未与我们联系,提供有关违规的任何详细信息。我们会给予充分的合作。” 但俄罗斯JetBrains首席执行官并没有完全排除其产品被SolarWinds黑客滥用的可能性。 这位高管说:“要强调TeamCity是需要适当配置的产品。如果TeamCity被滥用,那很可能是由于配置错误,而不是特定的漏洞。” 我们仍不清楚所谓的JetBrains违规行为。 正如ETH安全研究中心研究员Stefan Soesanto早些时候在Twitter表示的那样:在对JetBrains承担责任之前,我们需要澄清更多细节。       消息及封面来源:ZDnet,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

美国财政部警告 COVID-19 疫苗研究组织遭攻击

美国财政部的金融犯罪执行网络(FinCEN)发布了通知,警告金融机构针对COVID-19疫苗研究组织的勒索软件攻击。 FinCEN通知表示:“发布此通知,旨在提醒金融机构有关与COVID-19疫苗研究组织的勒索软件攻击等网络犯罪活动。 FinCEN发现了针对疫苗研究的勒索软件,要求金融机构保持警惕。”  美国食品和药物管理局(FDA)还发布了两项 紧急使用COVID-19疫苗授权,提供了有关与COVID-19疫苗及其分发的可疑活动的报告(SAR)归档说明。 FinCEN敦促金融机构对针对COVID-19疫苗交付操作以及供应链开发疫苗的勒索软件攻击保持警惕,金融机构及其客户也应警惕有关COVID-19疫苗的网络钓鱼活动。FinCEN已于10月发布了有关勒索软件的咨询报告,包含相关洗钱活动的趋势、类型和潜在指标。 欧洲刑警组织 等国际机构也发出了类似的警告:“网络罪犯已经迅作出反应,新型勒索软件已成为COVID-19大流行期间最突出的犯罪活动。”           消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

CISA 敦促美国政府机构更新 SolarWinds 版本

美国网络安全和基础设施安全局(CISA)已官方发布声明,督促美国联邦机构在年底之前更新SolarWinds 版本。 CISA发布的《紧急指令21-01补充指南》表示,所有运行SolarWinds Orion应用程序的美国政府机构都必须在年底之前将其更新为2020.2.1HF2最新版本。 SolarWinds在12月15日发布了2020.2.1HF2版本,以确保其安装安全并从其系统中删除与Sunburst相关的代码。《紧急指令21-01补充指南》于在发现SolarWinds供应链攻击后的12月18日发布。 美国CERT协调中心详细介绍了Orion API中的身份验证绕过漏洞,跟踪该漏洞为CVE-2020-10148,这使得黑客可以在Orion安装上执行远程代码。 黑客利用此漏洞在与SolarWinds供应链黑客无关的攻击中安装了后门。 基于此,CISA敦促相关联邦政府机构将SolarWinds Orion更新至2020.2.1HF2版本,以修复包括CVE-2020-10148在内的漏洞。 受影响的版本列表如下: Orion Platform 2019.4 HF5 版本2019.4.5200.9083 Orion Platform 2020.2 RC1 版本2020.2.100.12219 Orion Platform 2020.2 RC2 版本2020.2.5200.12394 Orion Platform 2020.2、2020.2 HF1版本2020.2.5300.12432             消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c  

SolarWinds 黑客旨在窃取用户的云数据

微软表示,日前SolarWinds黑客正部署Solorigate后门,以破坏相关用户的云基础架构。 Microsoft 365 安全团队透露,SolarWinds供应链攻击幕后黑客旨在利用Sunburst / Solorigate后门感染受害者网络,进而破坏用户的云基础架构。 微软表示:“黑客可以随意挑选目标受众群体。根据调查,此网络攻击的下一阶段涉及本地活动,其目标是非本地访问云资源。” 一旦部署后门,黑客就可以窃取凭据、提升特权并在目标网络内获得创建有效SAML的权限,进而来访问云资源并窃取电子邮件及相关敏感数据。   专家表示:“这种网络攻击是具有极强的的隐身能力,因此我们很难发现相关活动。”  基于此,CISA和网络安全公司Crowdstrike都发布了用于审核Azure和MS 365安全环境的免费工具。           消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

CISA 发布检测 Azure/Microsoft 365 中恶意活动的 PowerShell 工具

近日,网络安全和基础设施安全局(CISA)的云安全小组发布了检测 Azure/Microsoft 365 中恶意活动的 PowerShell 工具。 CISA发帖声明:“ CISA创建了一个用于检测 Azure/Microsoft 365 中恶意活动的免费工具,供相关事件响应者使用,且仅关注最近基于身份验证的网络攻击活动。”用户和管理员可访问此GitHub页面,以获取更多信息和检测对策。 Sparrow.ps1脚本检查并在计算机上安装必需的PowerShell模块,在MSAzure / M365中审核日志中是否存在某些IoC,列出Azure AD域并检查Azure服务主体及其Microsoft Graph API权限以识别潜在的恶意活动。该工具将数据输出放置在默认目录中的多个CSV文件中。 基于使用Azure管理工具审核第三方经销商和合作伙伴的权限时存在困难的情况,CrowdStrike安全专家创建了自己的工具。因此管理员可以使用此工具分析微软Azure环境和审核分配给第三方合作伙伴及代理商的权限。             消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

日本川崎重工披露安全漏洞

近日,日本川崎重工披露了一项安全漏洞,该公司发现多个海外办事处未授权访问日本公司服务器,该安全漏洞可能导致其海外办事处的信息被盗。 川崎重工有限公司是一家日本的跨国公司,主要生产摩托车、发动机、重型设备、航空航天、国防设备、机车车辆和船舶,也涉及工业机器人、燃气轮机、锅炉和其他工业产品的生产。 公司发布声明:“截止2020年6月11日,安全人员发现从泰国站点未经授权访问日本服务器的情况,随后又发现了从其他海外站点(印度尼西亚、菲律宾和美国)未经授权的访问日本服务器的情况。” 该公司随后加强了对海外办事处访问的监控操作,还限制了从国外对日本服务器的访问。 11月30日,公司恢复了海外办事处与日本总部之间终止的网络通信。 川崎重工有限公司表示:“经过调查,海外办事处的相关信息可能已被泄露。” 自发现该漏洞以来,川崎安全团队与外部安全专家公司合作调查并实施对策。其调查证实了信息泄露可能性。但截止目前,还未发现泄露信息的证据。 除此之外,国防承包商Pasco、神户制铁和 三菱电机等日本知名企业在今年也受到了类似的网络攻击。               消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

Google Docs 存在安全漏洞 可使黑客窃取私人文档

日前,谷歌反馈工具中的存在安全漏洞,可使黑客窃取私人文档。该漏洞于7月9日被安全研究员Sreeram KL发现,他因此项发现获得了$ 3133.70的奖励。 Google的许多产品,包括Google Docs,都带有“发送反馈”或“帮助提升”的选项,用户可发送反馈反映相关问题。但反馈功能部署在Google官方网站(“ www.google.com”)中,并通过iframe元素集成到其他域中,该元素从“反馈”加载.googleusercontent.com弹出式窗口。” 这意味着,每当包含Google文档窗口的屏幕被截图时,图像都需要将每个像素的RGB值传输到父域(www.google.com),然后将这些RGB值重定向到反馈域,最终构造图像并将其以Base64编码格式发送回去。 Sreeram发现了传递到“ feedback.googleusercontent.com”方式中的漏洞,使黑客可以将框架修改为任意外部网站,进而窃取Google Docs屏幕截图。 值得注意的是,该漏洞源于Google Docs域中缺少X-Frame-Options标头,这使得黑客可以更改消息的目标来源并利用页面与其中的框架之间的跨域进行通信。 尽管此类网络攻击需要一定形式的用户交互,但利用程序可以轻松捕获上传的屏幕快照的URL并将其泄漏到恶意站点。这可以通过在恶意网站上的iFrame中嵌入Google Docs文件并劫持反馈弹出框以将内容重定向到黑客选择的域来实现。 在跨域通信期间未能提供目标源会引起安全人员的注意,因为它会公开将数据发送到任意网站。 Mozilla文档警示:“恶意站点可以在用户不知情的情况下更改窗口位置,进而拦截使用postMessage发送的数据。因此当使用postMessage将数据发送到其他窗口时,请始终指定确切的目标来源,而不是* 。”               消息及封面来源:The Hacker News,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

芬兰国会议员的电子邮件帐户遭黑客攻击

芬兰国会议员表示:“芬兰议会技术监控部门发现,芬兰议会在2020年秋天遭受了网络攻击,此次攻击活动可能导致议员的电子邮件帐户遭到入侵。” 2020年秋天同一时刻,与俄罗斯有关的黑客访问了部分挪威议会代表的电子邮件数据。 芬兰中央刑警(KRP)正在议会的支持下调查安全漏洞。根据KRP专员Tero Muurman的说法,这次攻击互活动很可能是民族主义者开展的,目前未对议会的基础设施造成损害。“此次攻击活动影响广泛,但不幸的是,我们仍无法提供确切的数字。” 芬兰议会会长AnuVehviläinen表示,此次事件针对芬兰社会民主的恶意攻击活动。“我们不能接受任何形式的针对政府或非政府机构的网络攻击活动,” 她补充说,“为了加强网络安全,我们需要采取相关国家措施,配合欧盟和其他国际合作中的积极行动。”         消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c