分类: 恶意软件

黑客组织窃取 ESET 杀毒软件日志 观察他们的恶意程序有没有检测出

安全公司 ESET 的研究人员披露了俄罗斯国家支持黑客组织 Turla 发动的最新攻击。攻击发生在今年1月,三个目标分别是国家议会和外交部,黑客部署了新版的 ComRAT 恶意程序。旧版的 ComRAT 曾在 2008 年用于从五角大楼网络窃取数据。 ComRAT 的最新版本是 v4,研究人员观察到了 ComRAT v4 的新变种包含了两项新功能:收集杀毒软件的日志和使用 Gmail 收件箱控制恶意程序。 安全研究人员认为,黑客收集杀毒软件日志是为了更好的理解对其恶意程序的检测。如果程序被检测出来,他们可以进行调整以躲避检测。     (稿源:solidot,封面源自网络。)

Sarwent 恶意软件更新命令功能持续发展

Sarwent很少受到研究人员的关注,但是该后门恶意软件仍在积极开发中,在持续更新命令并专注于RDP的研发。 Sarwent恶意软件的更新表明,人们对后门功能(例如执行PowerShell命令)的兴趣不断增强; 其更新还显示了使用RDP的偏好; Sarwent被发现至少使用一个与TrickBot运算符相同的二进制签名器。 自2018年以来,Sarwent的使用率在不断提高,但相关的研究报告却很少。 过去,Sarwent功能一直围绕着如何成为装载程序而展开,另外它的AV(防病毒)检查功能在持续更新。   …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1216/     消息来源:sentinelone, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接    

加密文件增加 .Cov19 扩展名,FushenKingdee 勒索病毒正在活跃​

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/GnXrOJ2Ep469c0WUbMplag   一、概述 腾讯安全威胁情报中心检测到一款名为FushenKingdee的勒索病毒正在活跃,已有企业遭受攻击。该病毒系Scarab勒索病毒的变种,会使用RSA+AES的方式对文件进行加密。病毒不仅会加密文件内容,同时还会使用RC4+非标准的Base64对文件名进行加密编码,被攻击后系统内文件将被修改为“固定名的编码数据.cov19”格式。 攻击者留下勒索信,要求联系指定邮箱FushenKingdee@protonmail.com购买解密工具。被该病毒加密破坏的文件,目前暂不能解密恢复,腾讯安全专家提醒用户小心处理不明邮件,政企用户须强化网络安全管理措施,避免受害。 FushenKingdee勒索病毒作者疑似来自俄语地区,病毒加密时会排除俄罗斯、白俄罗斯、乌克兰等地。根据攻击者在受害电脑残留的processhacker(一款安全分析工具),NetworkShare v.2.exe(网络共享扫描)等工具,腾讯安全专家推测攻击者不仅限于加密一台电脑,还有进行网络扫描横向扩散的意图,攻击者可能采用钓鱼邮件、弱口令爆破、或漏洞入侵等方式尝试入侵,再释放勒索病毒。 目前,腾讯电脑管家、腾讯T-Sec终端安全管理系统均可查杀FushenKingdee勒索病毒。 二、安全建议与解决方案 腾讯安全专家建议用户采取必要措施提升网络安全性,避免遭遇勒索病毒攻击。 企业用户 1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆; 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问; 3、采用高强度的密码,避免使用弱口令密码,并定期更换。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理; 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器; 5、对重要文件和数据(数据库等数据)定期备份,至少保留一份非本地的备份; 6、建议企业终端用户谨慎处理陌生电子邮件附件,若非必要,应禁止启用Office宏代码; 7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务平台。. 8、建议全网安装腾讯T-Sce终端安全管理系统(腾讯御点,https://s.tencent.com/product/yd/index.html)。 御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户 1、建议启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码; 2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。 三、样本分析 FushenKingdee勒索病毒使用了复杂的加密流程,在没有获得私钥的情况下,无法完成解密,因而中招后会损失惨重。 加密部分分析 病毒运行后首先从内存中使用ZLib解压出大量要使用的明文字串信息,其中包含了硬编码的RSA 2048公钥信息。 随后生成本地RSA 512密钥对信息,将其RSA 512 Private Key(N , D)导出后拼接保存待用。 之后再使用解压后配置中硬编码的RSA 2048 Public Key对其RSA 512 Private Key进行加密,加密结果待进一步处理。 RSA 512 Private Key被加密后,再进行以下3个流程处理: 计算RSA 512 Private Key被加密后的内容长度:下图(Offset:0x0,Size: 0x8); 对RSA 512 Private Key被加密后的内容进行CRC32校验,保存其Hash:下图(Offset:0x8,Size:0x4); 将其RSA 512 Private Key被加密后的内容进行ZLib-Level 2压缩,去除其压缩前2字节压缩标志,去除尾5字节后保存(Offset:0xC,Size:压缩后大小)。 最后再对其处理后的3部分数据使用修改过的Base64进行编码: 标准Base64-Table为: ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/ 病毒修改后的Base64-Table为: ABCDEFGHIJKLMNOPQRSTUVWXYZ+=0123456789abcdefghijklmnopqrstuvwxyz 非标准Base64处理后的结果将保存作为用户ID,即勒索信中的personal identifier部分内容。 病毒加密文件前,会使用rdtsc对每个文件单独生成共计0x30(0x10+0x20两部分)字节的随机密钥数据。 其生成大小0x20字节部分会被首先作为Key,并结合使用RC4对其文件名进行加密 随后对RC4加密过的文件名数据进行非标准Base64编码,编码后的字串就是文件加密后的随机文件名,例如下图中文件名cef_100_percent.pak最终将被重命名为iDQbLSy99iHpsRqiT2f7kwmrQhhHKOcKFaq5TnhlZgEX5gLATUo.cov19 文件加密则使用了AES-256 CBC模式,之前生成的0x10字节数据将再次作为IV,0x20字节部分随机数据为作为Key,对文件内容进行加密。 文件内容加密完成后,再把随机生成的0x30字节数据拼接到一起使用本地生成的RSA 512 Public Key进行加密,最后附加到文件末尾,由于RSA 512 Private Key信息被硬编码RSA 2048 Public Key加密后再Zlib压缩Base64编码存放在勒索信中,无法获取其明文,故被加密文件在无私钥情况下无法解密。 其他行为分析 该病毒作者疑似来自俄语系国家,病毒加密会避开以下地域0x7(俄罗斯),0x177(白俄罗斯),0x17C(乌克兰) 病毒会加密大量扩展后缀文件,几乎包括所有的数据文件类型: 由于病毒会删除系统备份,文件卷影信息,被加密后的文件也无法通过文件恢复的方式找回,系统内大量文件将被加密为”乱码.cov19”形式,且病毒会对文件修改时间进行重设置以防止时间相关的随机生成参数被爆破的可能。 在病毒的实际攻击环境中,同时还发现了攻击者留下的processhacker(一款安全分析工具),NetworkShare v.2.exe(网络共享扫描)等工具,这说明攻击者并不满足于只加密一台机器,攻击者还会尝试扫描攻击局域网内其它机器以扩大战果。 IOCs MD5 aa87be1b17d851905ea3fa5d93223912

Wolf 恶意软件再次发起攻击

泰国Android设备用户正受到“ WolfRAT”的DenDroid升级版的攻击,目前,它主要针对如WhatsApp,Facebook Messenger和Line等社交软件。该升级版主要由臭名昭著的Wolf Research进行操作。其操作水平相当业余,主要进行代码重叠,开源项目复制粘贴,类的实例化,不稳定的程序打包和不安全的面板操作。 相关背景 思科Talos根据DenDroid恶意软件系列的泄漏发现了一种新的Android恶意软件,由于该恶意软件(其命令和控制(C2)基础结构)与Wolf Research之间的结构重合以及字符串的引用,因此我们将其命名为“ WolfRAT”。目前该开发团队似乎已经关闭,但黑客们还是非常活跃。 我们发现了一些针对泰国用户及其设备的攻击活动,部分C2服务器就在泰国。它的面板中有着泰文的JavaScript注释、域名还有泰式食品的引用,通过这些策略,诱使用户对这些面板进行访问,其过程并不复杂。 运作过程 该恶意软件模仿一些合法服务进程,如Google服务,GooglePlay或Flash更新。其操作主要是对于网络上大量的公共资源进行复制粘贴。 造成的后果 在被丹麦的威胁情报公司CSIS Group公开谴责之后,Wolf Research被关闭但成立了一个名为LokD的新组织,该组织致力于Android设备的安全保护。但由于设备的共享以及面板名被遗忘,我们认为该组织的黑客依然活跃而且还在进行开恶意软件的深层开发。此外,在C2面板上我们还发现了Wolf Research与另一个名为Coralco Tech的塞浦路斯组织之间存在潜在联系,而这个组织还在进行技术拦截研究。   …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1216/     消息来源:talosintelligence, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Eleethub:使用 Rootkit 进行自我隐藏的加密货币挖矿僵尸网络

Unit 42研究人员发现了一个新的使用Perl Shellbot的僵尸网络活动,旨在挖掘比特币,同时使用专门制作的rootkit以避免检测。 该僵尸网络传播的方式是将一个恶意的shell脚本发送到一个受攻击的设备,然后该设备下载其他脚本。在受害者设备执行下载的脚本之后,它开始等待来自其命令和控制(C2)服务器的命令。尽管Perl编程语言因其广泛的兼容性而在恶意软件中流行,但这种僵尸网络不仅可能影响基于unix的系统,还可能影响使用Linux子系统的Windows 10系统。 本次发现的新活动使用了一个名为libprocesshider.so的共享库来隐藏挖掘过程,并且用一个专门制作的rootkit来避免检测。该恶意活动幕后者使用“Los Zetas”这个名字,暗指一个墨西哥犯罪组织,该组织被认为是该国最危险的贩毒集团之一。尽管如此,他们实际上不太可能是这个犯罪组织的一部分。此外,这个僵尸网络还连接到最大的IRC(Internet中继聊天)网络之一的UnderNet,讨论了包括恶意软件和网络犯罪在内的各种主题。 而且,僵尸网络在被发现时仍在开发中。但是,重要的是在攻击者危害更多设备之前阻止它。我们观察到,僵尸网络越来越多地使用xmrig和emech等已知的挖掘工具,在受害设备上挖掘比特币。这些工具已经在最近的挖矿活动中被检测到,例如VictoryGate和Monero mining开采了超过6000美元的利润。我们估计,如果Eleethub僵尸网络在一到两年的时间内扩张,它也可以赚取数千美元。   …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1214/     消息来源:PaloAltoNetworks, 译者:吴烦恼。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

小心魔域私服客户端捆绑传播远控木马和挖矿木马

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/eBPMlCSbYM_Ql5Mky9XTAw 一、概述 近期腾讯安全威胁情报中心检测到网络游戏《魔域》私服传播挖矿木马和远程控制木马。木马首先伪装成游戏保护进程TQAT.exe随着游戏启动而执行,随后释放大灰狼远控木马DhlServer.exe,并利用远控木马的下载执行功能继续下载门罗币挖矿木马ws.exe,腾讯安全威胁情报中心将其命名为MoyuMiner。 大灰狼远控木马安装后会完全控制用户系统,上传用户文件,窃取隐私,在用户电脑下载安装其他木马,利用用户电脑做跳板攻击其他系统。而门罗币挖矿木马运行之后,会增加系统资源消耗,影响游戏软件的流畅运行。 《魔域》是网龙网络控股有限公司研发的大型网络游戏,在外网存在较多私服版本,这些私服版本游戏由于不受官方控制,容易成为病毒木马的传播渠道,截止目前MoyuMiner已感染超过5000台电脑。腾讯电脑管家和腾讯T-Sec终端安全管理系统均可查杀该病毒。 二、解决方案 针对MoyuMiner挖矿木马,腾讯系列安全软件已支持全面检测和拦截。 三、样本分析 传播大灰狼远控木马的游戏为《魔域》,并且是由私服下载的版本,官网下载的游戏安装包不包含病毒。 通过溯源分析发现,传播病毒的部分游戏文件md5和文件路径如下: 木马伪装成游戏的保护模块C:\Program Files(x86)\NetDragon\魔域-御剑天下\TQAT\TQAT.exe,随着游戏启动而运行。 TQAT.exe拷贝自身到:C:\Users\Administrator\AppData\Roaming\TQAT.exe,然后释放大灰狼远控木马到Temp目录:C:\Users\Administrator\AppData\Local\Temp\DhlServer.exe、 C:\Users\Administrator\AppData\Local\Temp\DHLDAT.exe DhlServer.exe申请内存空间,解密出大灰狼DLL文件并通过LoadLibrary加载执行。 大灰狼DLL具有标记SER-V1.8,导出3个函数:DllFuUpgStop、DllFuUpgradrs、DllEntryPoint供调用。 远控木马部分协议字段如下: 大灰狼远控木马利用下载并执行文件的功能下载挖矿木马母体http[:]//www.baihes.com:8285/ws.exe,存放至C:\Windows\SysWOW64\ws.exe。ws.exe运行后释放文件BthUdTask.exe、BthUdTask.dll,BthUdTask.exe通过写入垃圾数据增肥文件大小到超过70兆。 BthUdTask.exe解密BthUdTask.dll得到门罗币矿机程序System.exe,然后连接矿池141.255.164.28:5559挖矿 IOCs Md5 1a0f5b63b51eb71baa1b3b273edde9c9 a5532e7929a1912826772a0e221ce50f 1b6a3fa139983b69f9205aabe89d6747 418b11efdd38e3329fbb47ef27d64c14 37dff5776986eb5f6bb01c3b1df18557   Domain fujinzhuang.f3322.net linbin522.f3322.net mine.gsbean.com www.baihes.com   C2 116.202.251.12:8585 114.115.156.39:9624 43.248.188.172:30017   URL http[:]//www.baihes.com:8285/ws.exe http[:]//www.baihes.com:8282/cpa.exe

COMpfun 操作者利用基于 HTTP 状态的木马欺骗签证申请

2019年秋,相关网站发布了一篇文章,其主要讲述了一个名为Reducor的COMpfun后继文件是如何即时感染文件以破坏TLS流量的,目前该恶意软件的开发者们还在开发新的功能。同年11月下旬,相关搜索引擎发现了一个新的木马,其之前发现的代码高度相似,经过进一步的研究表明,它使用的是与COMPFun相同的代码库。 本次恶意活动幕后操纵者聚焦于外交实体上,其目标是在欧洲。他们将最初的释放器以伪造签证申请的形式进行传播。合法的应用程序及32位或64位的恶意软件被保存在加密释放器中,但恶意代码是如何传递到目标中的这点我们尚不清楚。     …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1212/     消息来源:securelist, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Mirai 和 Hoaxcalls 僵尸网络瞄准旧版赛门铁克 Web 网关

作为Unit 42主动监控野外传播威胁工作的一部分,我最近发现了新的Hoaxcalls和Mirai僵尸网络活动,是针对赛门铁克安全Web网关5.0.2.8中的身份验证后的远程执行代码漏洞。该产品已逐渐淘汰,于2015年到期,产品支持于2019年到期。目前还没证据表明其他版本的固件易受攻击,我已与赛门铁克共享这些发现。他们证实赛门铁克Web网关5.2.8中已不再存在当前被利用的漏洞,他们还想强调一点,此漏洞不会影响安全的Web网关解决方案,包括代理程序和Web安全服务。 2020年4月24日,第一个利用该漏洞的攻击实例浮出水面,这是同月早些时候首次发现的僵尸网络演化的一部分。这个最新版本的Hoaxcalls支持其它命令,这些命令允许攻击者对受感染的设备进行更大的控制,比如代理通信、下载更新、保持跨设备重启的持久性或防止重启,以及可以发起更多的DDoS攻击。在漏洞细节公布的几天后,就开始在野外使用该漏洞利用程序,这说明了一个事实,这个僵尸网络的作者一直在积极测试新漏洞的有效性。 此后,在5月的第一周,我还发现了一个Mirai变体活动,其中涉及使用相同的漏洞利用,尽管在该活动中,样本本身不包含任何DDoS功能。相反,它们的目的是使用证书暴力进行传播以及利用赛门铁克Web网关RCE漏洞。本文讲述有关这两个活动值得注意的技术细节。 …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1211/     消息来源:PaloAltoNetworks, 译者:吴烦恼。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

欧洲多台超级计算机中毒 沦为挖矿肉鸡

本周,欧洲突然曝出多达十数台超级计算机感染恶意挖矿软件,沦为挖矿肉鸡。据悉周一英国爱丁堡大学首先公布了ARCHER超级计算机遭到攻击的报告,表示关闭ARCHER的系统进行调查,并且为了防止再次被攻击,重置了SSH(安全外壳协议)密码。 同一天德国超级计算机管理组织bwHPC宣布因为类似的安全问题,旗下5台超级计算机/高性能计算集群bwUniCluster 2.0、ForHLR II、bwForCluster JUSTUS、bwForCluster BinAC、Hawk现起关闭。 周三安全研究员Felix von Leitner在博客中称,位于西班牙巴塞罗那的一台超级计算机也受到安全问题的影响,因此被关闭。 周四更多被感染的超级计算机浮出水面,巴伐利亚科学院下属的莱布尼兹计算中心当天表示因为安全漏洞,其管理的计算集群断开互联网连接。 当天晚些时候,德国朱利希研究中心紧接着表示由于发生“IT安全事件”,必须关闭旗下JURECA,JUDAC和JUWELS超级计算机。 就在昨天瑞士苏黎世的瑞士科学计算中心也表示在直到外部环境安全之前,将持续关闭其超级计算机的外部访问。 目前尚不清楚究竟是什么人或组织实施了这些攻击,但据安全公司分析,黑客是通过窃取SSH凭证获得了超级计算机的访问权限,而大学内部人士因为有权访问这些超级计算机而最有嫌疑。 实际上被劫持的SSH登录名分别属于加拿大、中国和波兰的大学。 而且虽然没有证据证明所有的攻击都是由同一组织实施的,但所有恶意软件的文件名和网络指示器都证明它们的源头可能是同一个地方。     (稿源:快科技,封面源自网络。)

Mikroceen 后门程序:对中亚地区政府机构和组织进行秘密间谍活动

ESET研究人员剖析了部署在针对亚洲两个重要基础设施领域的多个政府机构和主要组织的攻击中的后门程序。 在这篇与Avast研究员的联合博文中,我们提供了一项技术分析,介绍一种不断发展的RAT技术,自2017年末以来,它被用于各种针对公共和私人目标的间谍活动中。我们观察到该RAT的多起攻击实例,而且都发生在中亚地区。目标对象包括电信和天然气行业中的几家重要公司以及政府机构。 此外,我们把最新的间谍活动与之前发表的三篇报道联系起来:卡巴斯基(Kaspersky)对针对俄罗斯军事人员的Microcin的报道、Palo Alto Networks对针对白俄罗斯政府的BYEBY的报道,以及Checkpoint对针对蒙古公共部门的Vicious Panda的报道。此外,我们还讨论了通常是攻击者工具集中一部分的其他恶意软件。我们选择了“Mikroceen”这个名字来涵盖RAT的所有实例,以感谢卡巴斯基关于这个恶意软件家族的最初报告。这里的拼写错误是我们有意的,为了区别已有的微生物概念,同时也保持发音一致。 …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1206/   消息来源:welivesecurity, 译者:吴烦恼。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接