Cetus:针对 Docker daemons 的加密劫持蠕虫

摘要 自容器诞生以来,安全专家就将不安全的Docker daemons 称为主要威胁。我们最近还撰写了有关Graboid(第一个Docker密码劫持蠕虫和不安全的Docker daemons)的文章。我通过设置Docker daemons蜜罐进行了进一步的研究,以研究在野外寻找普通Docker daemons的情况,并了解由COVID-19导致的向云的转移是否增加了针对性云攻击的普及率和复杂性。 本文将详细介绍Cetus的发现,Cetus是针对Monero的一种新的和改进的Docker密码劫持蠕虫挖掘,可在我们创建的Docker daemons蜜罐中找到。 蜜罐 为了进行研究,我设置了受限的Docker daemons,并记录了5月份的所有流量。在这段时间里,我目睹了各种各样的攻击,从僵尸网络到蠕虫,一切都在进行,其中大多数是为了进行加密劫持,特别是对门罗币。 最常见的攻击之一引起了我的注意,因为它具有蠕虫的潜在特征。与其他攻击不同,蜜罐在这里受到来自许多不同的不安全Docker daemons实例的攻击。根据我的honeypot部署和其他有关容器安全性的研究项目,看到蠕虫针对不安全的Docker daemons的情况并不常见。我分析有效负载,并确定这是一个新的Docker蠕虫:恶意软件的每个实例都试图发现和感染本地网络和外部的其他Docker daemons实例。 Cetus如何运作     … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1322/ 消息与封面来源:paloalto ,译者:叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

柠檬鸭加密矿工:针对云应用和 Linux

企业一直是恶意加密矿工团队的首选目标。他们不仅经常操作大量的计算资源(这有助于密码劫持者更快地开采加密货币),而且企业运营的网络对随后的攻击也很有帮助:犯罪分子可能会使用最初的受感染机器作为立足点,从中试图横向移动。在网络中感染更多计算机,并通过新的漏洞和社交工程技术不断调整攻击 “柠檬鸭”(Lemon_Duck)是一个我们见过的十分先进的密码劫持者。它的创建者不断使用新的威胁向量和混淆技术来更新代码,以逃避检测,并且矿工本身是“无文件的”,这意味着它驻留在内存中,并且不会在受害者的文件系统上留下任何痕迹。 在这篇文章中,我分享了有关此活动使用新攻击媒介的信息,以及我在上一则文章中讨论的其余媒介的一些后续工作。 以Covid-19为主题的电子邮件和附件 一些传播垃圾邮件的攻击者通常从重大事件中获利,例如年末假期,各个国家/地区的报税截止日期。因此,柠檬鸭背后的威胁者与许多其他威胁者一样,在大规模垃圾邮件活动中利用了全球对COVID-19大流行的忧虑,使收件人收到恶意附件。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1314/ 消息与封面来源:Sophos   ,译者:叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

以法律和金融组织为目标的 DeathStalker APT

国家赞助的威胁者和复杂的攻击经常成为人们关注的焦点。确实,他们的创新技术,先进的恶意软件平台和 0day漏洞利用链吸引了我们的想象力。但是,在大多数公司中,这些群体仍然不太可能成为风险模型的一部分,也不应该成为风险模型的一部分。当今的企业面临着更多直接的威胁,从勒索软件和客户信息泄漏到从事不道德商业行为的竞争对手。在此博客文章中,我们将重点关注DeathStalker:这是一个独特的威胁组,似乎针对律师事务所和金融部门的公司(尽管我们偶尔在其他垂直行业也看到过)。据我们所知,他们不受经济利益的驱使。他们不部署勒索软件,不窃取付款信息并转售,或从事与网络犯罪黑社会相关的任何类型的活动。他们对收集敏感的业务信息感兴趣,这使我们相信DeathStalker是一群雇佣兵,他们提供黑客出租服务,或在金融界充当某种信息经纪人的角色。 DeathStalker首先通过Powersing的基于PowerShell的植入程序引起了我们的注意。通过分解该线程,我们可以确定可追溯到2018年甚至2012年的活动。但是,在深入探究DeathStalker的历史之前,我们将从一些背景开始,以下先介绍威胁者的武器库。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1312/ 消息与封面来源:SUCURELIST,译者:叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

透明部落黑客组织进化分析

背景和主要发现 透明部落(又称PROJECTM和MYTHIC LEOPARD)是一个活动频繁的组织,其活动可以追溯到2013年。Proofpoint 在2016年发表了一篇有关他们的很好的文章,从那时起,我们一直关注着。我们已经通过APT威胁情报报告了他们的活动,在过去的四年中,这个APT小组从未休假。他们的目标通常是印度军方和政府人员。 多年来,该小组TTP一直保持一致,不断使用某些工具并为特定的活动创建新的程序。他们最喜欢的感染媒介是带有嵌入式宏的恶意文档,这些文档似乎是由自定义生成器生成的。 他们的主要恶意软件是自定义的.NET RAT,俗称Crimson RAT,但多年来,我们还观察到了其他自定义.NET恶意软件和基于Python的RAT Peppy的使用。 在过去的一年中,我们看到该组织加强了其活动,开始了大规模的感染运动,开发了新的工具并加强了对阿富汗的关注。 我们最近的调查将在两个博客文章中进行介绍。第一部分将涵盖以下关键点: 我们发现了Crimson Server组件,这是Transparent Tribe用来管理受感染机器和进行间谍活动的C2。该工具证实了我们对Crimson RAT的大多数观察结果,并帮助我们了解了攻击者的观点。 透明部落继续传播深红RAT,感染了多个国家(主要是印度和阿富汗)的受害者。 USBWorm组件是真实的,并且已在数百个系统上检测到它。这种恶意软件的存在早在几年前就已被推测出来,但是据我们所知,它从未被公开描述过。     … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1305/ 消息与封面来源:SUCURELIST,译者:叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。    

PurpleWave:来自俄罗斯的信息窃取程序

Infostealer是网络犯罪分子最赚钱的工具之一,因为从感染了该恶意软件的系统收集的信息可以在地下网络犯罪分子中出售或用于凭据填充攻击。Zscaler ThreatLabZ团队遇到了一个名为PurpleWave的新Infostealer,它是用C ++编写的,并自动将其静默安装到用户的系统上。它连接到命令和控制(C&C)服务器以发送系统信息,并将新的恶意软件安装到受感染的系统上。 该恶意软件的作者在俄罗斯网络犯罪论坛上销售PurpleWave,终身更新的费用为5,000 RUB(US 54)。 图1:俄罗斯论坛上的PurpleWave销售帖子出售PurpleWave的作者声称,这种窃取程序能够窃取Chromium和Mozilla浏览器的密码,cookie,卡以及自动填充形式。该窃取程序还会从指定路径中收集文件,进行屏幕截图并安装其他模块。     … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1298/ 消息与封面来源:zscaler,译者:叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

人为操控攻击的 Maze 勒索软件

摘要 Maze勒索软件是目前在野外使用最广泛的勒索软件之一,由具有能力的参与者进行分发。 我们发现了一个Maze分支机构,在交付勒索软件之前部署了量身定制的持久性方法。 行动者似乎使用了被盗的证书在其信标上签名。 与其他攻击一样,行动者使用HTA有效载荷作为交互式外壳,能够捕获到实时的和去模糊化的内容。 背景 Maze勒索软件在过去的大约一年时间里被广泛使用,成为全世界许多不同参与者的最终有效载荷。今年,臭名昭著的Maze运营商不仅开始通过加密文件勒索公司,而且威胁会在线发布被窃取的文件,从而勒索公司。最近,我们抓住了一个Maze会员,该会员尝试通过借由我们客户的网络进行传播。 在这篇文章中,我们分享有关该Maze会员使用方法的详细信息,以阐明他们的策略并帮助安全团队在其自己的网络中寻找类似的IOC。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1294/ 消息与封面来源:SentinelLABS,译者:叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

AgentTesla 间谍木马的新骗术

Tesla RAT(远程访问特洛伊木马)已成为2020年上半年威胁企业的最流行的恶意软件系列之一,被发现的攻击次数甚至超过TrickBot或Emotet,仅次于Dridex 。尽管Agent RAT代理已经存在了至少6年,但它仍在不断适应和发展,挫败了许多组织的安全工作。在COVID-19大流行期间,引入了具有附加功能的新变种,并且该恶意软件已广泛用于以冠状病毒为主题的网络钓鱼活动中。 AgentTesla | 背景与概述 AgentTesla的核心是键盘记录程序和信息窃取者。AgentTesla于2014年底首次发现,在过去的1-2年中,其使用量一直稳定增长。该恶意软件最初在各种地下论坛和市场上出售,还有它自己的AgentTesla.com网站(现已停产),与许多同时代代理商一样,AgentTesla也提供了该恶意软件本身以及数据收集管理面板,从被攻击设备获取的信息可以通过面板界面快速获得给攻击者。 最初推出时,可以购买各种“包”。每个软件包的基本区别在于许可期限和构建/更新的访问权限。当时,价格颇具竞争力,1个月的许可证售价为12.00美元,一直到6个月的许可证售价为35.00美元。还值得注意的是,与许多其他这种性质的工具一样,AgentTesla大力的破解版很快出现。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1293/  消息与封面来源:SentinelLABS,译者:叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Mirai 僵尸网络利用 CVE-2020-5902 漏洞攻击物联网设备

在7月的第一周首次披露了两个F5 BIG-IP漏洞之后,我们继续监视和分析这些漏洞以及其他相关活动,以进一步了解其严重性。根据针对CVE-2020-5902发布的变通办法,我们找到了一个物联网(IoT)Mirai僵尸网络下载程序(由趋势科技检测为Trojan.SH.MIRAI.BOI),可以将其添加到新的恶意软件变体中进行扫描以暴露Big-IP盒。 本次发现的样本还尝试利用最新披露的未修补漏洞。建议系统管理员和使用相关设备的个人立即修补其各自的工具。 常规 如先前所报道,此安全漏洞涉及BIG-IP管理界面中的远程代码执行(RCE)漏洞,即交通管理用户界面(TMUI)。在分析了已发布的信息之后,我们从Apache httpd的缓解规则中注意到,利用此漏洞的一种方法是在URI中包含一个包含分号字符的HTTP GET请求。在Linux命令行中,分号向解释器发送命令行已完成的信号,这是漏洞需要触发的一个字符。     … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1286/       消息来源:TrendMicro,译者:叶绿体。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

研究人员演示了 4 种 HTTP 请求走私攻击的新变种

一项新的研究确定了四种针对HTTP请求走私攻击的新变种,它们可以针对各种商用现成的Web服务器和HTTP代理服务器。 SafeBreach安全研究副总裁Amit Klein在8月5日的Black Hat安全会议上介绍了调查结果,他说,这种攻击突显了Web服务器和HTTP代理服务器仍然易受HTTP请求走私的影响(即使自首次记录以来已有15年)。 什么是HTTP请求走私? HTTP请求走私(或HTTP异步)是一种用于干扰网站处理从一个或多个用户接收的HTTP请求序列的方式的技术。 当前端服务器(负载平衡器或代理)和后端服务器以不同的方式解释HTTP请求的边界时,通常会出现与HTTP请求走私有关的漏洞,从而使不良行为者发送(或“走私”)模糊请求,此优先于下一个合法用户请求。 请求的这种不同步可以被用来劫持凭据,向用户注入响应,甚至从受害者的请求中窃取数据,并将信息泄露给攻击者控制的服务器。 该技术首次展示于2005年一组来自Watchfire的研究人员,其中包括Klein,Chaim Linhart,Ronen Heled和Steve Orrin。但是在过去的五年中,已经设计了许多改进,在攻击面上进行了扩展,以将请求拼接成其他请求,并“获得对内部API的最大权限访问”,污染Web缓存,并破坏流行应用程序的登录页面。 新的威胁 Klein公开的新变体涉及使用各种代理服务器组合,包括在Web服务器模式下的Aprelium的Abyss,Microsoft IIS,Apache和Tomcat,以及在HTTP代理模式下的Nginx,Squid,HAProxy,Caddy和Traefik。 所有四个新变体的列表如下,其中包括一个由研究人员在实验中成功利用的旧变体。 变体1:“标头SP / CR垃圾邮件:……” 变体2 –“等待” 变体3 – HTTP / 1.2绕过类似于mod_security的防御 变体4 –一个简单的解决方案 变体5 –“ CR标头” 例如,在处理包含两个Content-Length标头字段的HTTP请求时,发现Abyss接受第二个标头为有效,而Squid使用第一个Content-Length标头,从而导致两个服务器以不同的方式解释请求并实现请求走私。 在Abyss收到长度小于指定的Content-Length值的主体的HTTP请求的情况下,它将等待30秒以完成该请求,但不会忽略该请求的其余主体。Klein发现,这也导致Squid与Abyss之间存在差异,后者会将出站HTTP请求的部分解释为第二个请求。 攻击的第三种形式使用HTTP / 1.2来规避OWASP ModSecurity中定义的WAF防御用于防止HTTP请求走私攻击的核心规则集(CRS)会生成触发该行为的恶意有效负载。 最后,克莱因(Klein)发现使用“ Content-Type:text / plain”标头字段足以绕过CRS中指定的偏执狂级别检查1和2,并产生HTTP请求走私漏洞。 有哪些可能的防御措施? 在将发现披露给Aprelium,Squid和OWASP CRS之后,问题已在Abyss X1 v2.14,Squid版本4.12和5.0.3和CRS v3.3.0中修复。 Klein呼吁规范来自代理服务器的出站HTTP请求,强调了对开源、强大的Web应用程序防火墙解决方案的需求,该解决方案能够处理HTTP请求走私攻击。 Klein指出:“ ModSecurity(与CRS结合使用)确实是一个开源项目,但是就稳健性和通用性而言,mod_security具有多个缺点。” “它不能提供针对HTTP请求走私的全面保护,并且仅可用于Apache,IIS和nginx。” 为此,Klein发布了一个基于C ++的库,该库通过严格遵守HTTP标头格式和请求行格式来确保所有传入的HTTP请求都是完全有效,合规且明确的。可以点击此处GitHub来访问。     稿件与封面来源:The Hacker News,译者:叶绿体。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Apple Touch ID漏洞可能会让攻击者劫持 iCloud 帐户

苹果今年早些时候修复了iOS和macOS中的一个安全漏洞,该漏洞可能允许攻击者未经授权访问用户的iCloud帐户。 IT安全公司Computest的安全专家Thijs Alkemade于2月发现了该漏洞,该漏洞存在于Apple实施的TouchID(或FaceID)生物识别功能上,该功能对用户进行了身份验证以登录Safari上的网站,特别是那些使用Apple ID登录的网站。 该漏洞通过披露程序将问题报告给Apple后,iPhone制造商在服务器端更新中解决了该漏洞。 认证缺陷 漏洞的核心主要是:当用户尝试登录需要Apple ID的网站时,将提示以使用Touch ID对登录进行身份验证。这样做会跳过两因素身份验证步骤,因为它已经利用了多种因素进行标识,例如设备和生物特征信息。 在登录到Apple域(例如“ icloud.com”)时,通常会使用ID和密码进行对比,其中网站嵌入了指向Apple登录验证服务器(“ https://idmsa.apple.com”)的iframe,来处理身份验证过程。 URL还包含其他两个参数-标识服务(例如iCloud)的“ client_id”和具有成功验证后要重定向到的URL的“ redirect_uri”。 但是,在使用TouchID验证用户的情况下,iframe的处理方式有所不同,因为它与AuthKit守护程序(akd)通信以处理生物识别身份验证,并随后检索icloud.com使用的令牌(“ grant_code”)页面以继续登录过程。 为此,daemon与“ gsa.apple.com”上的API通信,向该API发送请求的详细信息,并从该API接收令牌。 Computest发现的安全漏洞存在于上述gsa.apple.com API中,从理论上讲,它可以滥用这些域来验证客户端ID,而无需进行身份验证。 Alkemade指出:“即使akd提交给它的数据中包含client_id和redirect_uri,它也不会检查重定向URI是否与客户端ID相匹配。” “相反,AKAppSSOExtension仅在这些域上应用了白名单。所有以apple.com,icloud.com和icloud.com.cn结尾的域都被允许。”意味着攻击者可以利用Apple任意一个子域上的跨站点脚本漏洞来运行JavaScript代码的恶意代码段,这些代码段可以使用iCloud客户端ID触发登录提示,并使用授权令牌在icloud上获取会话.com。 设置伪热点来接管iCloud帐户 在另一种情况下,可以通过在第一次连接到Wi-Fi网络(通过“ captive.apple.com”)时显示的网页上嵌入JavaScript来执行攻击,从而使攻击者可以访问用户,只需接受该页面上的TouchID提示即可创建该帐户。 “恶意Wi-Fi网络可以与JavaScript启动的OAuth作为iCloud的网页回应,” 艾尔克梅德说。“用户会收到一个TouchID提示,但不清楚含义是什么。如果用户在该提示下进行身份验证,则其会话令牌将被发送到恶意站点,从而使攻击者可以在iCloud上为其帐户提供会话。” “通过在用户希望接收热点的位置(例如,在机场,酒店或火车站)设置一个伪造的热点,就有可能获得访问大量iCloud帐户的权限,允许访问图片的备份,手机的位置,文件等等。” 这并不是Apple第一次在身份验证基础结构中发现安全问题。苹果在5月修补了一个影响其“用Apple登录”系统的漏洞,该漏洞使远程攻击者可以绕过身份验证,并接管已使用Apple登录功能注册的第三方服务和应用程序上目标用户的帐户。     稿件与封面来源:The Hacker News,译者:叶绿体。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。