分类: 今日推送

Microsoft.com 等微软系网站被发现存在子域劫持问题

NIC.gp 的安全研究员和开发人员 Michel Gaschet 于近日提出,Microsoft 在其数千个子域的管理方面存在问题,存在有许多子域可以被劫持并用于攻击用户、员工或显示垃圾内容。据 ZDNet 报道称,Gaschet 在接受其采访时说,在过去三年中,他一直在向 Microsoft 报告带有错误配置的 DNS 记录的子域,但该公司要么忽略报告,要么就是默默地保护某些子域。 Gaschet 表示,他已经在 2017 年向微软报告了 21 个容易受到劫持的 msn.com 子域 [1, 2],并在 2019 年报告了 142 个错误配置的 microsoft.com 子域 [1, 2]。此外,他还分享了其于去年向微软报告的 117 个 microsoft.com 子域列表。 Gaschet 透露,在其报告的所有错误配置的子域中,微软仅解决了其中的几个,被修复的数量占比只有他所报告数量的 5%-10% 左右。并称,该操作系统制造商通常会修复较大的子域,例如 cloud.microsoft.com 和 account.dpedge.microsoft.com,却使其他子域暴露在劫持之下。 他还表示,大多数 Microsoft 子域在其各自的 DNS 条目中容易受到基本错误配置的攻击。Gaschet 称,“根本原因/错误是忘记了 DNS 条目,指向不再存在或根本不存在的内容,例如 DNS 条目内容中的错字。” Gaschet 在 Twitter 上指出,至少有一个垃圾邮件小组已经发现了他们可以劫持 Microsoft 的子域,并通过将其托管在信誉良好的域中来增加其垃圾内容。并表明,他已在至少四个合法的 Microsoft 子域中发现了印度尼西亚扑克赌场的广告,分别为 portal.ds.microsoft.com、perfect10.microsoft.com、ies.global.microsoft.com 和 blog-ambassadors.microsoft.com。 目前,ZDNet 已向微软征求意见,并要求该公司在当日的 Twitter 话题中对 Gaschet 提出的一系列问题发表评论。 Gaschet 在 Twitter 上猜测,微软不优先解决这些问题的原因之一是因为“subdomain takeovers”不属于公司的漏洞悬赏计划的一部分,这意味着即使所报告的问题很严重,这些报告也不会得到优先处理。 同时,Gaschet 敦促微软改变其管理 DNS 记录的方式。并称,这是造成这些错误配置的主要原因。   (稿源:开源中国,封面源自网络。)

Let’s Encrypt 倡议新证书策略 提高抗网络攻击能力

Let’s Encrypt是一家得到Mozilla Firefox和Google Chrome支持的自动化证书颁发机构。今天该机构宣布了一项新措施,从而进一步保护用户免受网络攻击的侵害。这项新功能称之为多角度域认证(multi-perspective domain validation),可帮助证书颁发机构(CA)证明申请人对他们想要获得证书的域具有掌控权。 域验证并不是什么新问题,但在验证过程中还存在很多的漏洞,这意味着网络攻击者可以诱使CA机构错误的颁发证书。而通过多角度域认证,网络攻击者需要同时破坏三个不同的网络路径,这不仅大大提高了安全系数,而且在互联网拓扑社区中也能更快发现网络攻击行为。 在新闻稿中,Let’s Encrypt特别感谢了普林斯顿大学的几位研究人员在多角度域验证方面的帮助,并表示将继续与研究人员合作,以改善设计和实施的有效性。   (稿源:cnBeta,封面源自网络。)

僵尸网络 Emotet 能通过相邻 Wi-Fi 网络传播

Emotet 是最具危险性的恶意程序之一,它能窃取银行账号,安装不同类型的其它恶意程序。最近其运营者被发现开始采用新的方法进行传播:通过相邻的 Wi-Fi 网络。它利用名为 wlanAPI 的 API 收集附近无线网络的 SSID、信号强度、加密方法如 WPA,然后使用一个常用用户名密码组合列表尝试登陆。 如果成功登陆,被感染的设备会枚举所有连接到该网络的非隐藏设备,然后使用第二个密码列表去猜测连接设备的凭证。 它还会尝试猜共享资源的管理员密码。如果它成功猜出连接设备的密码,那么它就会加载  Emotet 和其它恶意程序。弱密码用户最好修改密码使用强密码。   (稿源:solidot,封面源自网络。)  

2019 勒索病毒专题报告

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/DzfUlKXkkMuBJS0UrdboSw   一、概述 勒索病毒作为全球最严峻的网络安全威胁之一,2019年持续对全球范围内的医疗、教育、能源、交通等社会基础服务设施,社会支柱产业造成重创。围绕目标优质化、攻击精准化、赎金定制化的勒索策略,以数据加密为核心,同时展开数据窃取、诈骗恐吓的勒索战术稳定成型,促使勒索病毒在2019年索取赎金的额度有明显增长。老的勒索家族持续活跃,新的勒索病毒层出不穷,犯罪行为愈演愈烈,安全形势不容乐观。 勒索病毒攻击2019典型事件 2019年3月初,国内发现大量境外黑客组织借助恶意邮件传播的GandCrab勒索病毒,黑客通过假冒司法机构发件人,成功攻击感染了我国多个政企机构内网,随后我国多地区机构发起安全预警。 2019年3月下旬,世界最大的铝产品生产商之一挪威海德鲁公司(Norsk Hydro)遭遇勒索软件公司,随后该公司被迫关闭了几条自动化生产线,损失不可估量。 2019年5月26日,易到用车发布公告称其服务器遭受到连续攻击,服务器内核心数据被加密,攻击者索要巨额的比特币。易到表示严厉谴责该不法行为,并已报警。 2019年5月29日,美国佛罗里达州里维埃拉海滩警察局因员工运行了恶意的电子邮件,从而导致该城市基础服务设施遭受勒索软件加密。市政官员于随后召开会议,批准通过一笔大约60万美元的资金用于支付勒索赎金。 2019年6月中旬,世界最大飞机零件供应商之一ASCO遭遇勒索病毒攻击,由于被病毒攻击导致的生产环境系统瘫痪,该公司将1400名工人中大约1000人送回家带薪休假,同时停止了四个国家的工厂生产。 2019年9月22日,国内某大型建筑设计有限公司遭到勒索病毒攻击,被勒索的每台电脑要给出1.5个比特币才能解锁,该公司的电脑全面崩溃,所有图纸都无法外发,该事件引发微博热议。 2019年10月,全球最大的助听器制造商之一Demant遭受勒索病毒入侵,该公司是目前听力行业唯一产品线涵盖助听器、人工中耳、骨导助听器、电子耳蜗及调频语训系统的全面听力解决方案提供者,全球听力检测设备领域的领先者,攻击导致的造成的损失高达9500W美元。 2019年12月,Maze(迷宫)勒索团伙向Southwire集团勒索600W美元,Southwire是北美领先的电线电缆制造商之一,勒索团伙声称:如果Southwire不交赎金,则会在网络上公布该公司的泄漏的120G重要数据。 二、2019年勒索病毒特点总结 1.老牌勒索家族转向精准化,高质量的狩猎行动 观察过去一年腾讯安全威胁情报中心收到的勒索求助反馈,主流老牌勒索家族(如GlobeImposter,Crysis)实施的勒索攻击中,企业用户占据了其绝大部分。这意味着老牌勒索家族已经从广撒网无差别模式的攻击,转变为精准化、高质量的行动,该转变使攻击者每次攻击行动后的收益转化过程更有效。 企业服务器被攻陷则多为对外开放相关服务使用弱口令导致,当企业内一台服务器被攻失陷,攻击者则会将该机器作为跳板机,继续尝试攻击其它局域网内的重要资产,在部分勒索感染现场我们也看到攻击者留下的大量相关对抗、扫描工具,个别失陷环境中攻击者光是使用的密码抓取工具就有数十款之多。 2.威胁公开机密数据成勒索攻击新手段 勒索病毒发展历程中,攻击者勒索的加密币种包括门罗币、达世币、比特币、平台代金券等。观察2019年相关数据可知,基于匿名性,稳定性,便捷性,相对保值性等特点,比特币已基本成为勒索市场中唯一不二的硬通货。 付款方式上,基本使用虚拟货币钱包转账。勒索交涉的沟通过程中,使用IM工具私信的方式在大型攻击中已消失(少量恶搞、锁机类低赎金还在使用),攻击者多选择以匿名、非匿名邮箱沟通交涉,或使用Tor登录暗网,浏览器直接访问明网相应站点使用相应的赎金交涉服务。 2019年,勒索病毒团伙开始偏向于赎金定制化,对不同目标要价各不相同,往往根据被加密数据的潜在价值定价(通常在5K-10w人民币),勒索病毒运营者的这种手法大幅提高了单笔勒索收益。这也导致个别大型政企机构在遭受到针对性的加密攻击后,被开出的勒索金额高达数百万元。 当企业有完善的数据备份方案,拒绝缴纳赎金时,勒索团伙则采取另一种手段:威胁泄露受害者的机密文件来勒索。下图为Maze病毒团伙在数据加密勒索企业失败后,公开放出了被攻击企业2GB私密数据。 Sodinokibi勒索团伙也在黑客论坛发声,称如果被攻击者拒绝拒绝缴纳赎金,则会将其商业信息出售给其竞争对手。通过加密前先窃取企业重要数据,当企业拒绝交付解密赎金情况时,再以公开机密数据为筹码,对企业实施威胁勒索。数据泄露对大型企业而言,带来的损失可能更加严重,不仅会造成严重的经济损失,还会使企业形象受损,造成严重的负面影响。 3.僵尸网络与勒索病毒相互勾结 僵尸网络是一种通过多重传播手段,将大量主机感染bot程序,从而在控制者和感染僵尸网络程序之间所形成的一对多控制的网络,僵尸网络拥有丰富的资源(肉鸡),勒索病毒团伙与其合作可迅速提升其勒索规模,进而直接有效增加勒索收益。在2019年,国内借助僵尸网络实施的勒索攻击趋势也进一步提升,我们观察到主要有以下相互勾结。 A.Emotet僵尸网络伙同Ryuk实施勒索 Ryuk勒索病毒家族起源于Hermes家族,最早的活跃迹象可追溯到2018年8月,国内自2019年7月开始有活动迹象,该团伙的特征之一为勒索赎金额度通常极高(超过百万),观察国内被勒索环境中可知,该染毒环境中同时会伴随着Emotet病毒的检出,而国外也有相关分析,指出该病毒常借助Trickbot,Emotet进行分发。 B.Phorpiex僵尸网络伙同Nemty实施勒索 Nemty 病毒在国内早期主要依靠垃圾邮件传播,在2019年中也依靠Phorpiex僵尸网络大面积投递,下图中IP:185.176.27.132,腾讯安图情报平台中已标识为Phorpiex僵尸网络资产,其上投递了Nemty 1.6版本的勒索变种,此次病毒间的勾结行为导致在2019年国庆期间Nemty勒索病毒一度高发,国内多家企业受到Nemty勒索病毒影响。 C.Phorpiex僵尸网络伙同GandCrab实施的勒索 GandCrab勒索病毒首次出现于2018年1月,也是2019上半年是最为活跃的病毒之一。该病毒在一年多的时间里经历了5个大版本的迭代,于2019年6月1日在社交媒体公开宣布已成功勒索20亿美元将停止运营,GandCrab勒索病毒的整个历程与使用Phorpiex僵尸网络长期投递有密不可分的关系。 D.Phorpiex僵尸网络群发勒索恐吓邮件 你可能收到过类似的邮件:“你已经感染了我的私人木马,我知道你的所有密码和隐私信息(包括隐私视频),唯一让我停下来的方式就是三天内向我支付价值900美元的比特币。” Phorpiex僵尸网络利用网络中的历史泄漏邮箱信息,对千万级别的邮箱发起了诈骗勒索,当命中收件人隐私信息后,利用收件人的恐慌心里,进而成功实施欺诈勒索。勒索过程中,受害者由于担心自己隐私信息遭受进一步的泄漏,极容易陷入勒索者的圈套,从而受骗缴纳赎金。 4.丧心病狂的反复加密,文件名加密 腾讯安全御见威胁情报中心在日常处理勒索病毒的现场发现,有个别系统内同时被多个勒索病毒感染。后来的攻击者在面对文件已被加密的失陷系统,依然将已损坏数据再次加密。导致受害者需缴纳两次赎金,且由于解密测试过程无法单一验证,即使缴纳赎金,数据还原难度也有所提高。 同时还注意到部分勒索病毒并不满足于加密文件,连同文件名也一同进行修改,从侧面反映出勒索病毒运营者也存在竞争激烈,攻击者对赎金的追求已丧心病狂。 5.中文定制化 中国作为拥有8亿多网民的网络应用大国,毫无疑问成为勒索病毒攻击的重要目标,一部分勒索病毒运营者开始在勒索信、暗网服务页面提供中文语言界面。 三、2019年勒索病毒攻击数据盘点 2019年,勒索病毒攻击以1月份攻击次数最多,下半年整体攻击次数较上半年有所下降。但根据腾讯安全威胁情报中心接收到的众多反馈数据,下半年企业遭受勒索病毒攻击的反馈数不减反增,主要原因为部分老牌勒索家族对企业网络的攻击更加精准,致企业遭遇勒索病毒的损失更加严重。 从2019我们接受到的勒索反馈来看,通过加密用户系统内的重要资料文档,数据,再勒索虚拟币实施犯罪仍为当前勒索病毒攻击的的主要形式。使用群发勒索恐吓邮件,命中收件人隐私信息后,再利用收件人的恐慌心里,实施欺诈勒索的方式也较为流行。 加密数据勒索不成以泄漏数据再次胁迫企业的方式也成为了勒索团伙新的盈利模式(Maze和Sodinokibi已使用)。以锁定系统的方式进行勒索多以易语言为代表编写的游戏外挂、辅助工具中。同时也有极少数以勒索攻击为表象,以消除入侵痕迹掩盖真相为目的的攻击事件,该类型的勒索病毒通常出现在部分定向窃密行动中。 观察2019全年勒索病毒感染地域数据可知,国内遭受勒索病毒攻击中,广东,北京,江苏,上海,河北,山东最为严重,其它省份也有遭受到不同程度攻击。传统企业,教育,政府机构遭受攻击最为严重,互联网,医疗,金融,能源紧随其后。 2019全年勒索病毒攻击方式依然以弱口令爆破为主,其次为通过海量的垃圾邮件传播,勾结僵尸网络发起的攻击有上升趋势。勒索病毒也通过高危漏洞,软件供应链形等形式传播。   四、2019年国内勒索病毒活跃TOP榜 观察2019全年勒索病毒活跃度,GlobeImposter家族最为活跃,该病毒在国内传播主要以其12生肖系列,12主神系列为主(加密扩展后缀中包含相关英文,例如:.Zeus865),各政企机构都是其重点攻击目标。 其次为Crysis系列家族,该家族伙同其衍生Phobos系列一同持续活跃,紧随GlobeImposter之后。 GandCrab家族虽然在2019年6月1日宣布停止运营,但在之后短时间内依然有部分余毒扩散,该病毒以出道16个月,非法获利20亿美元结束传播,虽然其2019生命周期只有一半,但其疯狂敛财程度堪称年度之最。 紧随其后的则是被称为GandCrab接班人的Sodinokibi,该病毒在传播手法,作案方式,病毒行为上于GandCrab有许多相似,为2019年勒索病毒中最具威胁的新型家族之一。 Stop家族则寄生于大量的破解软件中,持续攻击加密了国内大量技术人员的工程制图,音频,视频制作材料。老牌勒索家族持续活跃,新的勒索病毒不断涌现。越来越多的不法分子参与到这个黑产行业中来。 GlobeImposter GlobeImposter出现于2017年中,加密文件完成后会留下名为HOW TO BACK YOUR FILES.(txt html exe)类型的勒索说明文件。该病毒加密扩展后缀繁多,其规模使用且感染泛滥的类型有12生肖4444,12生肖/主神666,12生肖/主神865,12生肖/主神865qq等系列,由于该病毒出现至今仍然无有效的解密工具,各政企机构需提高警惕。 Crysis Crysis勒索病毒从2016年开始具有勒索活动 ,加密文件完成后通常会添加“ID+邮箱+指定后缀”格式的扩展后缀,例:“id-编号.[gracey1c6rwhite@aol.com].bip”,其家族衍生Phobos系列变种在今年2月开始也有所活跃。该病毒通常使用弱口令爆破的方式入侵企业服务器,安全意识薄弱的企业由于多台机器使用同一弱密码,面对该病毒极容易引起企业内服务器的大面积感染,进而造成业务系统瘫痪。 GandCrab GandCrab勒索病毒首次出现于2018年1月,是国内首个使用达世币(DASH)作为赎金的勒索病毒,也是2019上半年是最为活跃的病毒之一。该病毒在一年多的时间里经历了5个大版本的迭代,该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件等各种方式传播。 2018年10月16日,一位叙利亚用户在推特表示,GandCrab病毒加密了他的电脑文件,因无力支付勒索赎金,他再也无法看到因为战争丧生的小儿子的照片。随后GandCrab放出了叙利亚地区的部分密钥,并在之后的病毒版本中将叙利亚地区列入白名单不再感染,这也是国内有厂商将其命名为“侠盗勒索”的原因。 2019年6月1日,GandCrab运营团队在某俄语论坛公开声明“从出道到现在的16个月内共赚到20多亿美金,平均每人每年入账1.5亿,并成功将这些钱洗白。同时宣布关闭勒索服务,停止运营团队,后续也不会放出用于解密的密钥,往后余生,要挥金如土,风流快活去”。 2019年6月17日,Bitdefender联合罗马尼亚与欧洲多地区警方一起通过线上线下联合打击的方式,实现了对GandCrab最新病毒版本v5.2的解密。该事件也标志着GandCrab勒索团伙故事的终结。 Sodinokibi Sodinokibi勒索病毒首次出现于2019年4月底,由于之后GandCrab停止运营事件,该病毒紧跟其后将GandCrab勒索家族的多个传播渠道纳入自身手中。该病毒目前在国内主要通过web相关漏洞和海量的钓鱼邮件传播,也被国内厂商称为GandCrab的“接班人”,从该病毒传播感染势头来看,毫无疑问是勒索黑产中的一颗上升的新星。 Stop Stop勒索病毒家族在国内主要通过破解软件等工具捆绑进行传播,加密时通常需要下载其它病毒辅助工作模块。Stop勒索病毒使用勒索后缀变化极为频繁,通常勒索980美元,并声称72小时内联系病毒作者将获得50%费用减免,同时,该病毒除加密文件外,还具备以下行为特点。 1.加密时,禁用任务管理器、禁用Windows Defender、关闭Windows Defender的实时监控功能; 2.通过修改hosts文件阻止系统访问全球范围内大量安全厂商的网站; 3.因病毒执行加密时,会造成系统明显卡顿,为掩人耳目,病毒会弹出伪造的Windows 自动更新窗口; 4.释放一个被人为修改后不显示界面的TeamViewer模块,用来实现对目标电脑的远程控制; 5.下载AZORult窃密木马,以窃取用户浏览器、邮箱、多个聊天工具的用户名密码; Paradise Paradise勒索病毒最早出现于2018年7月,该病毒勒索弹窗样式与Crysis极为相似,勒索病毒加密文件完成后将修改文件名为以下格式:[原文件名]_[随机字符串]_{邮箱}.随机后缀,并留下名为Instructions with your files.txt 或###_INFO_you_FILE_###.txt 的勒索说明文档。 Maze Maze(迷宫)勒索病毒也叫ChaCha勒索病毒,擅长使用Fallout EK漏洞利用工具通过网页挂马等方式传播。被挂马的网页,多见于黄赌毒相关页面,通常会逐步扩大到盗版软件、游戏外挂(或破解)、盗版影视作品下载,以及某些软件内嵌的广告页面,该病毒的特点之一是称根据染毒机器的价值来确认勒索所需的具体金额,该勒索病毒同时也是将数据加密勒索转向数据泄露的先行者。 Nemty NEMTY勒索病毒出现于今年8月,该病毒早期版本加密文件完成后会添加NEMTY扩展后缀,也因此得名。NEMTY 变种病毒加密文件完成后会添加“._NEMTY_random_7个随机字符”扩展名后缀,由于该病毒与Phorpiex僵尸网络合作,在2019年国庆期间感染量有一次爆发增长,该病毒会避开感染俄罗斯、白俄罗斯、乌克兰及多个中亚国家。 Medusalocker Medusalocker该病毒出现于2019年10月,已知该病毒主要通过钓鱼欺诈邮件及托口令爆破传播。该病毒早期版本加密文件完成后添加扩展后缀.encrypted,最新传播病毒版本加密文件后添加.ReadTheInstructions扩展后缀。攻击者会向受害者勒索1BTC(比特币),市值约6.5万元。 Ryuk Ryuk的特点之一是倾向于攻击数据价值较高的政企机构,且赎金普遍极高(最近联系作者要价11个比特币,价值约75万元RMB,在国外该病毒开出的赎金额度通常高达数百万RMB),Ryuk勒索家族起源于Hermes家族,最早的活跃迹象可追溯到2018年8月,国内发现该病毒的投递与Emotet僵尸网络有着密不可分的关系。 五、勒索病毒接下来会怎样 1、勒索病毒与安全软件的对抗加剧 随着安全软件对勒索病毒的解决方案成熟完善,勒索病毒更加难以成功入侵用户电脑,病毒传播者会不断升级对抗技术方案。 2、勒索病毒传播场景多样化 过去勒索病毒传播主要以钓鱼邮件为主,现在勒索病毒更多利用了高危漏洞、鱼叉式攻击,或水坑攻击等方式传播,乃至通过软件供应链传播,都大大提高了入侵成功率。 3、勒索病毒攻击目标转向企业用户 个人电脑大多能够使用安全软件完成漏洞修补,在遭遇勒索病毒攻击时,个人用户往往会放弃数据,恢复系统。而企业用户在没有及时备份的情况下,会倾向于支付赎金,挽回数据。因此,已发现越来越多攻击目标是政府机关、企业、医院、学校。 4、勒索病毒更新迭代加快 随着安全厂商与警方的不断努力,越来越多的勒索病毒将会被破解,被打击,这也将加剧黑产从业者对病毒进行更新迭代。 5、勒索赎金定制化,赎金进一步提高 随着用户安全意识提高、安全软件防御能力提升,勒索病毒入侵成本越来越高,攻击者更偏向于向不同企业开出不同价格的勒索赎金,定制化的赎金方案能有效提升勒索成功率,直接提升勒索收益。如某公司被勒索病毒入侵后,竟被勒索9.5个比特币,还有Ryuk团伙动辄开出上百万的勒索赎金单,都代表勒索病毒赎金未来会有进一步的提高。 6、勒索病毒开发门槛降低 观察近期勒索病毒开发语言类型可知,越来越多基于脚本语言开发出的勒索病毒开始涌现,甚至开始出现使用中文编程“易语言”开发的勒索病毒。 例如使用Python系列的“Py-Locker”勒索病毒,易语言供应链传播闹的沸沸扬扬的“unname1989”勒索病毒,甚至利用bat脚本结合Winrar相关模块直接对文件进行压缩包密码加密的“FakeGlobeimposter”病毒等,门槛低意味着将有更多的黑产人群进入勒索产业这个领域,也意味着该病毒将持续发展泛滥。 7、勒索病毒产业化加剧 随着勒索病毒的不断涌现,腾讯安全御见威胁情报中心观察到勒索代理同样繁荣。当企业遭遇勒索病毒攻击,关键业务数据被加密,而理论上根本无法解密时,勒索代理机构,承接了受害者和攻击者之间谈判交易恢复数据的业务。我们注意到勒索代理机构常年购买搜索关键字广告承接生意。 8、勒索病毒多平台扩散 目前受到的勒索病毒攻击主要是windows系统,但是管家也陆续发现了MacOS、Android等平台的勒索病毒,随着windows的防范措施完善和攻击者永不满足的贪欲,未来勒索病毒在其他平台的影响力也会逐步增大。 9、勒索病毒黑产参与者持续上升,勒索病毒影响规模进一步扩大 GandCrab通过16个月赚够20亿美金高调“退休”的故事被广为流传,可以预见,此事件将引爆黑暗中更多人的贪欲,在未来相当长一段时间内,将会有越来越多的人投身勒索行业,黑产从业者将持续上升。 随着各类型病毒木马盈利模式一致,各类型病毒均有可能随时附加勒索属性。蠕虫,感染,僵尸网络,挖矿木马,在充分榨干感染目标剩余价值后,都极有可能下发勒索模块进行最后一步敲诈,2019年老的勒索家族持续活跃,新的勒索病毒也层出不穷,可预测未来由勒索病毒导致的网络攻击将依然是企业安全面临的重要问题之一。 六、勒索病毒防范措施 企业用户可参考以下措施加强防御 A、定期进行安全培训,日常安全管理可参考“三不三要”思路 1.不上钩:标题吸引人的未知邮件不要点开 2.不打开:不随便打开电子邮件附件 3.不点击:不随意点击电子邮件中附带网址 4.要备份:重要资料要备份 5.要确认:开启电子邮件前确认发件人可信 6.要更新:系统补丁/安全软件病毒库保持实时更新 B、全网安装专业的终端安全管理软件,由管理员批量杀毒和安装补丁,后续定期更新各类系统高危补丁。 C、部署流量监控/阻断类设备/软件,便于事前发现,事中阻断和事后回溯。 D、建议由于其他原因不能及时安装补丁的系统,考虑在网络边界、路由器、防火墙上设置严格的访问控制策略,以保证网络的动态安全。 E、使用内网强制密码安全策略来避免使用简单密码。 1.一些关键服务,应加强口令强度,同时需使用加密传输方式,对于一些可关闭的服务来说,建议关闭不要的服务端口以达到安全目的。不使用相同口令管理多台关键服务器。 2.建议对数据库账户密码策略建议进行配置,对最大错误登录次数、超过有效次数进行锁定、密码有效期、到期后的宽限时间、密码重用等策略进行加固设置。 F、建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞,攻与防的循环,伴随每个主流操作系统、应用服务的生命周期。 G、建议对数据库的管理访问节点地址进行严格限制,只允许特定管理主机IP进行远程登录数据库。 H、做好安全灾备方案,可按数据备份三二一原则来指导实施 1.至少准备三份:重要数据备份两份 2.两种不同形式:将数据备份在两种不同的存储类型,如服务器/移动硬盘/云端/光盘等 3.一份异地备份:至少一份备份存储在异地,当发生意外时保证有一份备份数据安全。 个人消费者可使用安全防护软件 腾讯电脑管家可对各勒索病毒家族变种及时防御拦截,同时管家文档守护者通过集成多个主流勒索家族的解密方案,通过完善的数据备份防护方案,在2019中为数千万的管家用户提供文档保护恢复服务。通过自研解密方案成功为上千名不幸感染勒索病毒者提供了解密服务,帮助其成功恢复了被病毒加密的文件。  

美国拉辛市遭勒索软件攻击 多行业网络受影响

1月31日,美国威斯康星州的拉辛市被勒索软件入侵,事件发生后,该市大部分计算机系统瘫痪。 该地政府科技网站发布报告称:本市的计算机网络系统周五被勒索软件入侵,至周日下午网络系统仍处于瘫痪状态。目前,该市的网站、电子邮件以及在线支付系统都收到影响。拉辛警方发布Facebook,称其目前无法支付事件的处理费用,也无法提供事件的侦测报告。 周五,该市的信息管理部门开启了事件响应程序,地方当局以及联邦政府对事件展开调查,调查声称税收以及911公共安全系统未受这次勒索软件入侵影响。 鲍威尔在一份声明中称:MIS worked over the weekend 公司联合网络安全公司制作了一个周密的计划,在不传播勒索软件的情况下恢复网络系统,目前对事件发生原因以及波及范围都在进行调查。 去年12月,Maze勒索软件运营商发布消息,称其利用勒索软件盗取彭萨科拉市的2GB文件。 去年11月,路易斯安那周政府遭到勒索软件攻击,多州的服务机构包括机动车管理局、卫生部以及运输发展部都受到影响。这一事件使得路易斯安那州关闭了该州的几个网站以及邮件和互联网服务。 8月份,近23个地方政府遭受勒索软件攻击,佛罗里达州的一些城市也受到黑客影响。去年6月,佛罗里达州被勒索软件攻击系统,里维埃拉海滩城同意支付60万美元的赎金来解密其数据。几天后,莱克城也同意支付近50万美元的赎金机密遭勒索软件攻击系统。   消息来源:securityaffairs, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

节日期间某企业远程办公遭遇 XRed 病毒攻击

感谢腾讯御见威胁情报中心来稿! 原文:https://s.tencent.com/research/report/880.html 腾讯企业安全应急响应中心(下称腾讯安全)接到某互联网公司求助,该公司一位业务主管分享到内部工作群的远程办公工具及电子表格文件被发现感染病毒,导致部门200多名员工电脑被感染,该公司担心系统业务安全受到威胁。 一、概述 受疫情影响,多个省市延长春节假期,一些企事业单位、互联网公司或推迟开工日期,或全员进行远程办公,一部分员工使用个人电脑临时替代工作电脑,增加了企业被感染的风险。 近日,腾讯企业安全应急响应中心(下称腾讯安全)接到某互联网公司求助,该公司一位业务主管分享到内部工作群的远程办公工具及电子表格文件被发现感染病毒,导致部门200多名员工电脑被感染,该公司担心系统业务安全受到威胁,希望腾讯安全协助处理。 接到求助后,腾讯安全工程师和该公司密切配合,快速梳理了相关信息,通过溯源发现是该企业在进行远程办公时,某位业务主管使用个人电脑办公,该电脑被XRed病毒感染,致使电脑EXE文件及电子表格文件均被病毒感染,通过内部工作群分享远程办公工具之后,造成该病毒在同事间扩散。 通过分析,腾讯安全专家发现XRed病毒是具备远程控制、信息窃取能力的感染型病毒,可以感染本地EXE文件及xlsx电子表格文件,病毒可通过文件分享和U盘、移动硬盘等媒介传播。 该企业因发现比较及时,使用腾讯电脑管家或腾讯T-sec终端安全管理系统清除病毒后,已完美恢复被感染的文件,本次病毒攻击未对该企业造成重大影响。 二、病毒感染源排查 1.该公司前期内部排查:公司网管注意到某员工通过内部工作群分享的压缩包中远程办公工具exe文件被感染,而公司统一提供的远程办公工具exe则为正常文件。因此基本确认病毒传播源头。 2.腾讯安全工程师对此进行了远程排查,发现怀疑感染病毒的电脑有如下现象: (1)在该电脑上解压文件,发现解压出来的exe文件对比原始文件大,已被感染 (2)任意复制一个exe文件放到桌面上,exe文件都会被感染,感染后文件描述被修改成触摸板设备驱动程序,据此可以基本确认该病毒为同行已披露过的“Synaptics”蠕虫病毒。 (3)继续检查发现,这台中毒电脑上破解版压缩软件并未发现“供应链污染”类问题。基本可以确认是这台个人电脑更早前某个时刻感染XRed病毒,在本次应急用作工作电脑远程办公使用,对外分享文件时,被该公司IT人员监测发现异常。 三、阻断病毒传播和修复方案 该公司IT人员立即对感染病毒的机器进行断网处理,避免进一步扩散。 在确认电脑管家云主防可以拦截病原体“Synaptics.exe”之后,立即要求未安装“腾讯T-sec终端安全管理系统”的电脑安装腾讯电脑管家。病原体“Synaptics.exe”有超过2万个变种,最近一次更新是2020年1月,目前仍处于活跃状态,建议企业及时升级杀毒软件,做好防范。 对已感染病毒对电脑,使用腾讯电脑管家(或腾讯T-sec终端安全管理系统)进行全盘查杀修复被感染的文件。XRed病毒感染方式相对比较特殊(详情可参见后续“样本详细分析”部分),腾讯电脑管家可以准确识别和完美修复,将被感染文件还原成原始状态。 四、样本详细分析 根据该病毒在写入的日志信息以及Gmail用户名的关键词,将该感染型病毒名确定为“XRed”。XRed病毒最近四个月较为活跃,有一定增长态势。 该病毒通过感染指定位置的32位的“.exe”后缀文件与“.xlsx”后缀文件,使其恶意代码可以通过文件共享大量传播但不会导致系统明显卡顿。 如下三个指定的感染位置: %USERPROFILE%\Desktop %USERPROFILE%\Documents %USERPROFILE%\Downloads 被感染的文件被执行时,会执行恶意逻辑,包括释放伪装名为“Synaptics.exe”的文件常驻系统,进行远程控制,回传窃取的敏感信息等恶意行为。 主要功能逻辑如下图所示: 被感染的可执行文件体积增量约为753KB,包含一个名为“EXERESX”的资源,该资源是原始正常的程序。被感染的文件资源如下图所示。 EXERESX”资源会在宿主文件运行时被释放到当前目录并设置隐藏属性后执行。添加“ ._cache_”前缀拼接文件名,如下图所示。 该病毒释放并加载名为“KBHKS”的动态库资源,通过设置相关钩子消息以记录键盘输入信息及其窗口信息等, Hook代码关键逻辑如下: 病毒使用“XLSM”资源感染xlsx后缀文件,并将“.xlsx”后缀改为“.xlsm”。修改office组件设置以及xlsm后缀目的为了能够自动静默启用宏。 “XLSM”资源包含了恶意VBA脚本,恶意功能如下: 篡改Word和Excel组件的宏设置,启用所有宏。 通过公有云盘下载并执行Synaptics.exe病毒。 键盘记录特殊虚拟键码转换如下图所示 用于回传敏感信息的邮箱账密、配置与病毒本体的更新链接等硬编码配置如下图所示: 具有基础的远程控制功能,包括执行CMD命令、屏幕截图、打印目录、下载文件、删除文件等。功能代码如下图所示: 远控功能 IOCs: md5 13358cfb6040fd4b2dba262f209464de C2 & URL xred.mooo.com freedns.afraid.org/api/?action=getdyndns&sha=a30fa9*****797bcc613562978 hxxps://docs.google.com/uc?id=0BxsM*****aHFYVkQxeFk&export=download hxxps://www.dropbox.com/s/zh*****hwylq/Synaptics.rar?dl=1 hxxp://xred.site50.net/syn/*****.rar 病毒作者邮箱地址 xredline1@gmail.com xredline2@gmail.com xredline3@gmail.com 参考资料: https://www.freebuf.com/articles/terminal/222991.html

伪装为 WAV 的恶意软件在受害设备上挖矿 但其 bug 导致 BSOD

Guardicore的安全研究人员揭示了一种复杂的恶意软件攻击,该攻击成功地破坏了属于医疗技术行业中型公司的800多种设备。恶意软件伪装成WAV文件,并包含一个Monero挖矿软件,它利用臭名昭著的EternalBlue漏洞来危害网络中的设备。 这款恶意软件唯一的bug,是最终导致受感染的电脑蓝屏死亡(BSOD),并且显示相关错误代码,最终引起受害者怀疑,并引发对事件的深入调查。 研究人员表示,BSOD于10月14日首次发现,当时发生致命崩溃的机器正在尝试执行长命令行(实际上是基于base-64编码的PowerShell脚本)。对脚本进行解码后,研究人员获得了可读的Powershell脚本,该脚本用于部署恶意软件。该脚本首先检查系统架构(基于指针大小)。然后,它读取存储在上述注册表子项中的值,并使用Windows API函数WriteProcessMemory将该值加载到内存中。研究人员指出,恶意软件负载通过获取和调用函数指针委托来执行。 该恶意软件尝试使用基于EternalBlue的漏洞传播到网络中的其他设备,该漏洞与WannaCry于2017年使用的漏洞相同,感染了全球数千台电脑。在对恶意软件进行反向工程之后,研究人员发现该恶意软件实际上隐藏了伪装成WAV文件的Monero挖矿模块,使用CryptonightR算法来挖掘Monero虚拟货币。此外,该恶意软件利用隐写术并将其恶意模块隐藏在外观清晰的WAV文件中。” 研究人员发现,完全删除恶意软件(包括终止恶意进程)阻止了在受害设备上发生BSOD。   (稿源:cnBeta,封面源自网络。)

外媒评俄罗斯攻击 Burisma 一事:证据不完全可靠

据外媒报道,2016年美国民主党全国委员会灾难性的黑客攻击给所有担心国际混乱竞选的人敲响了警钟。当地时间周一晚,美国人又有了一个担心2020年大选的新理由。《纽约时报》和网络安全公司Area1报道了俄罗斯情报机构针对乌克兰天然气公司Burisma发起的新一轮黑客攻击。 几个月来,共和党方面一直在暗示该公司内部存在一些可怕的腐败行为,如果俄罗斯间谍真的侵入了这家公司的网络那么可能就会带来非常可怕的后果。 一些国会议员则已经在预测2016年大选将会重演,民主党众议员Adam Schiff评论道:“看起来他们又想帮助这位总统(特朗普)。这是一个令人担忧的想法,考虑到特朗普上次拒绝承认俄罗斯的黑客行为,没有迹象表明白宫会采取任何措施来阻止它。” 尽管报告描绘了一幅可怕的画面,但证据并不像看上去那么确凿。虽然已经有强有力的证据表明Burisma成功地成为了网络钓鱼活动的目标,但很难确定是谁在背后支持这个活动。确实有迹象表明,俄罗斯的GRU情报机构可能参与其中,但证据大多是间接的。 据了解,大部分证据都在一份跟《纽约时报》文章一起发布的八页报告中。核心证据是以前针对Hudson Institute和George Soros的攻击模式。最糟糕的是,这些钓鱼活动都使用了相同的SSL供应商和相同URL的不同版本然后伪装成一个名为“My Sharepoint”的服务。在Area1看来,这是GRU的战术,Burisma只是众多目标中最新的一个。 但并不是所有人都认为基于域名属性的推断就是十拿九稳的。当Kyle Ehmke检查ThreatConnect相同模式的早期迭代时,他得出了一个更为慎重的结论,即“适度自信”地评估这些域名跟APT28有关–APT28是俄罗斯GRU的缩写。“我们看到了一致性,但在某些情况下,这些一致性并不适用于单个演员,”Ehmke告诉TheVerge。这种注册和网络钓鱼攻击的模式确实像是GRU的剧本,但它不是唯一的剧本也不是其利用的唯一剧本。 实际上,这意味着网络运营商应该在任何时候发现符合这种情况的攻击时发出警报,但要对单个事件做出明确的裁决就显得困难得多。竞选活动中使用的网络基础设施都是公开的,而且还被其他很多政党使用,所以这些都不能算是确凿的证据。而最显著的特征是术语“sharepoint”,研究人员只在跟GRU紧密相连的url中看到过这个词。但任何人都可以注册一个带有“sharepoint”的URL,所以这种连接只是间接的。 Ehmke指出:“这是一组值得注意的一致性,它可以用来寻找和识别他们的基础设施。但这并不是说所有具有这些一致性的东西都已经是而且将会是APT28。” 在缺乏一个特定机构的战略和目标的具体信息的情况下很难做出更强的归因。走向相反的方向–从一个弱归因到一个意图的假设–可能是危险的。 令人沮丧的是,这种弱归因在网络安全世界中非常常见,当各国努力搞清楚网络战的国际外交时它可能会引发真正的问题。乔治亚理工学院Internet Governance Project前执行董事Farzaneh Badii把原因不明归为“可以在技术上受到质疑的间接证据”。她认为这是一个全球性的问题,并主张成立国际归因小组来解决这种僵局,这样观察员就不必依赖私营公司或政府情报机构。如果没有这个信任问题就很难解决。   (稿源:cnBeta,封面源自网络。)

安全公司发现俄黑客成功入侵 Burisma 网络:或对美大选产生干扰

据《纽约时报》报道,硅谷一家名为Area1的安全公司表示,他们发现有迹象表明,由国家资助的俄罗斯黑客成功入侵了乌克兰天然气公司Burisma。该公司在美国政治中扮演了核心角色,因为它跟民主党总统候选人领跑者约瑟夫·拜登关系密切。拜登的儿子亨特则是该公司的董事。 约瑟夫·拜登资料图 今年7月,特朗普总统要求乌克兰政府调查Burisma事件以找出有关拜登家族的破坏性信息。据称,特朗普曾威胁称,如果乌克兰总理不宣布展开调查,他将停止对乌克兰的军事援助。这一要求是总统正在进行的弹劾程序的核心,这也使得Burisma成为任何试图干涉美国政治的人的诱人目标。 而据安全公司Area1披露,他们发现了发送给Burisma员工的钓鱼邮件,这些邮件带有GRU黑客活动的许多特征。这些黑客显然成功获取了员工的登录信息,不过目前还不清楚他们究竟获取了多少信息。如果GRU真的有参与其中,那么该组织可能会在2020年总统大选期间曝出令人尴尬的信息。 据了解,在攻击Burisma的过程中,俄罗斯黑客可能采取了跟2016年大选期间其破坏希拉里·克林顿总统竞选活动类似的手段。   (稿源:cnBeta,封面源自网络。)  

50 多家组织致信谷歌:允许用户卸载所有 Android 预装应用程序

包括国际隐私组织、数字权利基金会,DuckDuckGo和电子前沿基金会在内的50多个组织,近日向Alphabet和Google首席执行官Sundar Pichai发出公开信,就Android设备预装软件所存在的漏洞以及它们如何给消费者带来隐私风险表明了自己的立场。 在这封公开信中,这些组织表示所有Android OEM厂商都在其设备上预装了无法删除的应用程序,并且具备厂商定值的特殊权限,因此可以绕过Android的权限模型。 这使的这些预装应用程序可以在没有用户干预的情况下,就能访问麦克风、摄像头、定位以及其他权限。这也导致很多智能手机OEM厂商可以在没有征得用户明确许可的情况下收集用户数据,并用于其他利益。 因此,这些组织希望谷歌对Android预装应用程序(Bloatware)采取一些调整,并希望公司能够为用户提供永久卸载设备上所有预装应用程序的功能。虽然可以在Android设备上禁用某些预加载的应用程序,但它们仍会继续运行某些后台进程,这使得禁用它们成为一个争论的焦点。 公开信中要求确保所有预装应用程序能够和常规应用程序一样罗列在Google Play应用商城中,并进行相同的审查。他们还希望即使设备没有用户登录,也可以通过Google Play更新所有预安装的应用。如果Google检测到OEM试图利用用户的隐私及其数据,则出于隐私和保护用户数据方面的考量拒绝认证该设备。 Google在Android 10中进行了许多针对隐私的更改,但仍有很多地方可以进行完善,帮助用户免受预装应用程序的侵害。   (稿源:cnBeta,封面源自网络。)