分类: 恶意软件

美国 CERT 预警:恶意软件 BrickerBot 能使物联网设备“变砖”

近期,网络安全公司 Radware 维护的蜜罐中检测到一款新型恶意软件 BrickerBot ,主要通过锁定 Linux 中使用 BusyBox 工具包的物联网设备进行暴力攻击,从而破解设备账户与密码信息。 分析显示,恶意软件 BrickerBot 在成功入侵系统后,会执行一系列 Linux 命令破坏存储空间,致使受感染设备永久性拒绝服务( PDoS )攻击,也称为“ 变砖 ”。Radware 表示,这种攻击会严重损害系统设备,一旦遇上则必须替换或重新安装硬件设备。调查表明,恶意软件 BrickerBot 一些行为也与 Mirai 相似,都会通过预植的用户密码进行暴力破解以窃取账户。 目前,Radware 并未列出网络连接设备,而常见的网络摄像头、玩具甚至智能灯泡都存在存在被网络攻击的风险。 研究人员表示,攻击者也对 Ubiquiti 网络中的设备进行定位并针对目标设备发动攻击。恶意软件进入设备系统会立即执行一系列命令、删除默认网关与设备文件,禁用 TCP 时间戳,打乱设备内存数据。 研究人员表示,恶意软件将增加额外命令,刷新所有 iptables 防火墙与 NAT 规则,并添加规则有效擦除所有感染痕迹。不幸的是,即使在恢复出厂设置也无法恢复设备。调查表明,由于设备制造商通过 Tor 匿名网络隐藏位置,目前还无法确定攻击来源。 恶意软件 BrickerBot 的出现促使美国国土安全部的网络应急响应团队( CERT )发布预警通告,指出目前还未收集到关于被攻击设备类型与数量的统计报告。研究人员表示,这一恶意软件或许已经危及 2100 万台物联网设备,但尚不清楚 BrickerBot 攻击意图。 原作者:Zack Whittaker,译者:青楚,译审:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索软件 CradleCore 源码已被公开销售,或衍生多种变体

Forcepoint 安全专家表示,CradleCore 作者正在许多地下犯罪论坛提供该勒索软件源码,允许犯罪分子请求代码定制版本,有别于典型的 ransomware-as-a-service ( RaaS ) 模式。 勒索软件 CradleCore 采用 C++ 源码,配合必要的 PHP Web 服务器脚本与支付面板。两周前,该款恶意软件售价 0.35 比特币(约合 428 美元),接收议价。 恶意软件开发者一般通过 RaaS 商业模式牟利。只有在具体做法不可行的情况下才会考虑出售恶意软件源码。据悉,该销售模式将导致 CradleCore 衍生更多变体。 CradleCore 功能相对完整,采用 Blowfish 进行文件加密,此外还允许离线加密。其恶意代码可以实现沙箱对抗机制并通过 Tor2Web 网关与 C2 服务器通信。调查表明,目标系统一旦感染,勒索软件 CradleCore 将对文件进行加密处理并向受感染系统发送 “ 死亡威胁 ”。加密后的文件被附加 .cradle 扩展名。 虽然 CradleCore 的广告网站托管在暗网上,但该网站的 Apache 服务器状态页面显示为可查询状态。日志显示,托管 Onion 网站的 Apache 服务器还有一个托管 clearnet 网站的虚拟主机( VHost ),允许多个网站托管在一台机器与一个 IP 地址之上。 Linode 分配的托管网站 IP 地址看似专用。这实质上意味着服务器或遭受入侵、被滥用托管 CradleCore 网站,或 clearnet 网站与 CradleCore 属于同一所有者。 由此看出,CradleCore 是又一款可供网络犯罪分子利用的新型勒索软件。作为源码销售的原因可能是作者对恶意软件商业模型了解有限,或为开发者寻找额外收入的首个项目或附加项目。也就是说,购买者不仅可以更新该款勒索软件,还可将源码分享至他人。 原作者:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

远程访问木马 jRAT 瞄准税务人员发起攻击

据外媒 17 日报道,垃圾邮件攻击者正在通过名为 “ IRS Updates.jar ” 与 “ Important_PDF.jar ” 的附件传播基于 Java 的远程访问木马 jRAT,主要攻击目标为税务人员。该木马一旦成功执行,攻击者即可获取被入侵终端访问权限。 互联网安全公司 Zscaler 在跟踪 jRAT 的过程中发现,上个月针对 Android 手机的部分攻击活动可能与木马 Loki 有关。Zscaler 安全研究员 Sameer Patil 表示,该恶意软件继续利用当前漏洞与相关事件引起不知情受害者注意并以此展开攻击。 2017 年 3 月,微软公布了一系列通过税务诈骗传播 Zdowbot 与 Omaneat 银行木马的网络钓鱼活动。4 月 18 日,也就是纳税期限的前一天,相关部门出示警告,为税务诈骗案高发季节再添波澜。 Patil 表示,用户一键点击即可成为 jRAT 木马受害者,使个人或企业网络陷于囹圄。据悉,jRAT 有效载荷能够从 C2 服务器接收命令,在受害者设备中下载与执行任意有效载荷,以悄悄激活相机拍摄照片的方式窥探受害者信息。尽管使用基于 Java 的 RAT 并非仅此一例,这款 RAT 与近期发现的其他 RAT(如利用 EPS 漏洞的 ROKRAT 以及针对 Android 设备的 SpyNote RAT )起到的作用形成对比。 Patil 指出某个 jRAT 样本利用的混淆级别——晦涩难懂、不易反编译。一旦收件人打开恶意 Java 归档( JAR )附件,VBScript 就会在 Windows “ %APPDATA% ”目录中放置一个名为 “ Retrive <Random number>.vbs ”的文件。随后,dropper 为现有防病毒软件或防火墙软件运行检查。研究人员表示,JAR 文件只是 jRAT 主文件的一个 dropper 与 decrypter,基本上包含了加密形式的 jRAT 样本。具体加密通过嵌入式 AES 密钥实现,而该 ASE 密钥则通过 RSA 密钥进行加密。 调查表明,攻击者利用包含机器人通信细节的加密配置文件与 C2 服务器进行通信,经由系统重启时自动启动的注册表项实现主机上的持久功能,通过硬编码 URL(workfromhomeplc[.]ru/dmp/PO%233555460.exe)下载其他恶意可执行文件,但 URL 在分析之时并不处于活跃状态。研究人员指出,URL 也被用于承载 Loki 木马。 上个月,多家手机制造商生产的移动设备供应链被曝发现预先安装恶意软件,其中六台设备被查出感染 Loki 木马。 Loki 木马具有持久性机制,不仅可以通过广告展示产生收益,还可以拦截 Android 设备的通信与渗透数据。 原作者:Tom Spring,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索软件 Cerber 超越 Locky 获得暗网市场最大份额

据外媒 13 日报道,勒索软件 Cerber 出色的传播能力使 2017 年第一季度最常见的勒索软件 Locky 也黯然失色。Malwarebytes 实验室最新发布的一份网络犯罪报告中指出,勒索软件 Cerber 在暗网中的市场份额从 1 月份的 70% 上升至 3 月份的 87%。 Malwarebytes 研究人员表示,勒索软件 Cerber 能够肆意传播归功于其强大的加密功能,如离线加密等。与此同时,Cerber 采用了 RaaS( ransomware-as-a-service,勒索软件即服务) 商务模式,允许攻击者进行修改或租赁,致使非技术攻击者也可轻松获取勒索软件的自定义版本。 Malwarebytes 研究人员从 Microsoft 分析报告中发现,感染 windows 10 的勒索软件中 Cerber 已然排名第一。相比之下,勒索软件 Locky (去年排名第一)已脱离暗网的主流,或是因为攻击者利用僵尸网络 Necurs 发送垃圾邮件的攻击战术发生了改变。迄今为止,Malwarebytes 发表的报告中并未出现勒索软件 Locky 的最新版本。 调查表明,勒索软件 Cerber 通常以弹出式广告或电话呼叫的方式感染目标设备。倘若受害者发出回应,攻击者则利用各种社会工程技术哄骗受害者安装其他软件或订阅有害服务。由于攻击者难以通过正规渠道获得赎金,他们已开始接受其他支付方式进行诈骗,如苹果礼品卡与比特币。 原作者:John Leyden,译者:青楚,译审:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

NSA 内部工具可通过提权远程入侵 Solaris 系统

继黑客组织 Shadow Brokers(影子经纪人)泄露美国国家安全局( NSA )黑客工具与攻击代码相关文档后,安全专家们对其庞大、宝贵的数据信息展开分析。一组专门用于入侵 Oracle Solaris 系统的攻击代码新近浮出水面。 网络安全专家 Matthew Hickey 是英国安全公司 Hacker House 创始人之一。他在挖掘存档文件时发现两款专门用于攻击 Solaris 系统的黑客工具—— EXTREMEPARR 与 EBBISLAND。攻击者可使用这两款黑客工具升级权限并通过网络远程获取 root 访问权限。安全专家表示,这两款黑客工具可在 x86 与 Sparc 平台的 Solaris 6 至 10、甚至最新的 11 版本中运行。 EXTREMEPARR 工具通过滥用 dtappgather、文件权限与 setuid 二进制文件将登陆实体(用户、脚本)升级为 root 权限。 EBBISLAND 工具可用于入侵任何开放式 RPC 服务并对漏洞设备的root shell实施远程控制。此外,EBBISLAND 还可在 Solaris 系统的 XDR 代码中触发缓冲区溢出漏洞。 调查表明,NSA 可以在任何 Solaris 系统中打开 root shell 。据悉,使用这些黑客工具并不要求掌握其他特定技能,因为它们都是预先构建的静态二进制文件。 Hickey 在使用 Shodan.io 搜索引擎扫描互联网设备后发现具有该漏洞的系统数量高达数千个,而且漏洞设备多在防火墙内部运行。这意味着,一旦攻击者潜入组织机构内部即可利用攻击代码对目标网络展开攻击并进行横向传播。 原作者:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

僵尸网络 Sathurbot 发动分布式 WordPress 密码暴力破解

据外媒近日报道,安全专家监测到一种针对 WordPress 安装程序的新型威胁:攻击者可通过僵尸网络 Sathurbot 爆破 WordPress 帐户并利用被入侵网站进行恶意软件传播。 Sathurbot 采取种子传播机制。被入侵网站将被用于托管伪造的电影与软件种子。调查表明,Sathurbot 可自行更新并下载启动其他可执行文件。受害者在搜索电影或下载软件时会收到含有可执行文件的恶意链接,点击该链接可令系统当即加载 Sathurbot DLL,致使受害者机器完全受外界控制。此外,Sathurbot 还执行黑帽 SEO 技术,主要通过搜索引擎提供恶意链接。 据悉,每当成功感染目标网站,恶意软件就会将结果报告至 C&C 服务器并连接监听端口进行通信。Sathurbot 在等待其他指令的同时定期与 C&C 服务器取得联系。机器人将收集到的域名发送至 C&C 服务器,攻击者使用不同机器人尝试对同一网站的不同登录凭据展开分布式 WordPress 密码攻击。由于每个机器人在对每个网站进行一次登陆尝试后即转移至下一个域名,可以有效避免遭受拦截。安全专家表示,攻击者还倾向将目标锁定在运行 CMS 的其他网站,如 Drupal、Joomla、PHP-NUKE、phpFox 与 DEdeCMS 框架网站等。 机器人通过集成 libtorrent 库实现恶意软件传播,但并非所有机器人都执行此功能,其中一些仅作为Web爬虫或用于网站爆破。近期,安全专家在对日志与系统文件进行检查后推测,Sathurbot 至少从 2016 年 6 月起就一直处于活跃状态,迄今已感染逾 20,000 台计算机。 原作者:Pierluigi Paganini , 译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新僵尸网络 Amnesia 出现,利用漏洞攻击逾 22 万 DVR 设备

据外媒 7 日报道,Palo Alto Networks 的安全专家 Rotem Kerner 近期透露,一种新型僵尸网络 Amnesia 允许攻击者利用未修补的远程代码执行漏洞攻击其硬盘录像机( DVR )设备。 消息显示僵尸网络 Amnesia 主要瞄准零售商系统硬盘录像机进行两项操作: 1、验证主机是否属于目标零售商 2、立足于本地网络,入侵 POS 机系统 安全专家 Kerner 曾在去年 3 月上报此漏洞但并未得到供应商答复,一年后,他选择公开披露漏洞具体信息。Amnesia 是僵尸网络 Tsunami 的新变种,主要针对嵌入式系统设备发起 DDoS 攻击,尤其是中国制造的 DVR 设备。 调查表明这一安全漏洞至今仍未得到修复。目前,全球约有 227,000 个 DVR 设备存在安全隐患,主要分布于台湾、美国、以色列、土耳其与印度等地区/国家。 安全专家表示,僵尸网络 Amnesia 可通过虚拟机逃逸技术躲避沙箱,以便对其目标设备展开网络攻击。 虚拟机逃逸技术通常与 Windows 或安卓恶意软件相关联。如果僵尸网络 Amnesia 运行于 VirtualBox、VMware 或 QEMU 虚拟机中,它将通过删除文件系统中的所有文件去除虚拟化 Linux 系统。据悉,这不仅影响 Linux 恶意软件分析沙箱的正常运行,还会导致 Linux 服务器出现异常。 PaloAlto 专家认为,Amnesia 会逐渐成为威胁网络安全的主要僵尸网络之一,被利用于进行大规模网络攻击, 原作者:Pierluigi Paganini , 译者:青楚 ,审核:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

恶意软件的玩笑?弹幕射击游戏获得高分方可解锁文件

据外媒报道, “Rensenware”是一种能锁住用户文件的新型恶意软件。不过与其他恶意软件有所不同的是,这款恶意软件并不要求受感染的用户支付一笔费用来解锁文件,而是要求用户在一款弹幕射击类游戏中获得高分来解锁文件。 这种恶意软件要求玩家在《东方星莲船 ~ Undefined Fantastic Object.》的最高难度 “Lunatic” 中取得 2 亿分的高分。 “Rensenware” 恶意软件创造者 Tvple Eraser 随后向公众致歉:“我把它当成一个玩笑,只是希望希望东方官方系列作品的人们也能开怀大笑。” Tvple Eraser 随后也发布了一个工具来帮助那些任何可能错误地下载原始版本的人进行解锁。Tvple Eraser 已经用更安全的“剪切”版本替换了 “Rensenware” 版本,其不会通过强制加密文件来锁住文件。 稿源:cnBeta,封面源自网络

Google 揭安卓间谍软件 Chrysaor 隐藏三年终被发现

安全公司 Lookout 与 Google 专家 4 日透露,安卓间谍软件 Chrysaor 感染移动设备逾三年终被发现。专家表示,Chrysaor 主要通过著名的安卓生根漏洞(称为 Framaroot) 感染移动设备并全面控制系统应用。 据悉,Chrysaor 是最为复杂的移动间谍软件之一,由以色列监视公司 NSO Group Technologies 开发。目前,安全专家已确定不到三十台安卓设备受到该间谍软件的攻击。调查表明,尽管间谍软件 Chrysaor 将以色列锁定为主要攻击目标,但格鲁吉亚、土耳其、墨西哥、阿联酋等国家也纷纷受到影响。 间谍软件 Chrysaor 主要实现功能: 从 Gmail、WhatsApp、Facebook、Twitter 等流行应用中窃取数据 基于 SMS 的命令远程控制设备 录制直播音频和视频 键盘记录和捕获截图 禁用系统更新以防止漏洞修补 监视联系人、短信、电子邮件和浏览器历史记录 自毁逃避检测 安全专家表示,虽然这些应用程序从未在 Google Play 中使用,但他们已经联系潜在受影响的用户禁用感染设备中的应用程序,并及时更改验证应用程序以确保用户系统的安全。 该间谍软件具有明显的自我毁灭能力,因此无法分析其攻击性能。事实上,早在 2014 年 NSO 科技公司就已在安卓操作系统中发现这一零日漏洞,并实施利用最新版本的恶意软件 Chrysaor 代码感染移动设备。 原作者:Pierluigi Paganini, 译者:青楚,审核:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Skype 用户抱怨“ 假Flash ”让他们暴露于恶意软件当中

许多用户抱怨 Skype 一直在托管流氓广告,这很可能会让用户感染恶意软件。上个星期三,这个问题被提交到reddit,原始的帖子表示,他的 Skype 主屏幕上出现恶意广告,这个广告伪装成电脑浏览器的 Flash 更新,并且提示用户下载一个名为“ FlashPlayer.hta ”的 HTML 应用程序,这个应用程序看起来像一个合法的程序。然而,一旦打开,它将下载恶意的有效载荷,这可能会对用户电脑造成长期的有害影响。 ZDNet 对此进行了调查,他们联系的专家表示,Skype 当中的流氓广告专为 Windows 电脑设计的“ 假 Flash ”广告并且推送了一个下载,打开时会触发一个 JavaScript 代码,启动一个新的命令行,然后删除用户刚刚打开的应用程序,并运行一个 PowerShell 命令,然后从不再存在的域下载一个 JavaScript 编码脚本( JSE )进行恶意活动。 据网络安全公司 Phobos 集团的联合创始人 Ali-Reza Anghaie 表示,这个问题就是所谓的“ 两级投放 ”,恶意软件的实用程序组件实际上是根据远程命令和控制来决定其任务和工作。虽然攻击者使用的域名不再存在,但 Anghaie 认为它很有可能为勒索类型的恶意软件提供服务。 针对这个问题,微软发言人表示,这个问题是“社会工程”,微软对恶意内容不负责任。该公司进一步解释说:我们知道一种社会工程技术,可用于将一些客户引导到恶意网站。我们继续鼓励客户在打开已知和未知来源,未经请求的附件和链接时谨慎操作,并安装并定期更新防病毒软件。 稿源:cnBeta;封面源自网络