分类: 恶意软件

勒索软件攻击加拿大Nunavut地区 当地政府所有电子信息服务瘫痪

勒索软件攻击了加拿大Nunavut地区,政府的所有联网服务都受到了影响。Nunavut地区面积超过190万平方公里,人口约36,000。 当地政府称:“在2019年11月2日(星期六),一种新型的勒索软件影响了整个城市。勒索软件会加密各种服务器和工作站上的单个文件。除了Qulliq能源公司以外,所有需要访问GN网络上存储的电子信息的政府服务都受到了影响。” 特区区长乔·萨维卡塔克(Joe Savikataaq)说:“我向Nunavut保证,我们正在尽全力解决这个问题。基本服务将不会受到影响,并且在此期间GN将继续运行。重新上线时可能会导致些许延迟,我感谢大家的耐心和理解。” 一半的GN IT系统今天清晨被针对公共服务的病毒入侵。我们会全天候工作,排查问题并让电脑恢复上网功能。在问题获得全面解决之前,您将无法访问您的GN帐户。 据CBC报道,勒索信息具体内容如下: “您的网络已被渗透,全部文件已被强大的算法进行了加密。我们可以为您提供解密软件。如果您一直未进入链接取得密钥,您的数据将被完全删除。” 专家注意到,勒索信息要求受害者下载加密的浏览器并在21天内访问指定的URL,专家注意到勒索信息是用生硬的英语书写的。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

西班牙两家公司同天遭勒索软件攻击,引发 WannaCry 级恐慌

近日,西班牙两家大型公司在同一天内受到勒索软件打击。 其中一家是Everis,这是NTT Data Group旗下的IT咨询公司,其发言人目前还没有发表正式声明。第二个是西班牙最大的无线电网络公司Cadena SER,其在官网发表了声明,确认公司遭遇了攻击。 两家公司都要求员工关闭计算机,并断开网络连接。 Everis在18个国家/地区拥有超过24,500名员工,是受影响最大的公司之一。该公司其他分支也受到了影响,勒索软件已通过公司的内部网络传播。 疑似有Everis员工在社交媒体上发布了截图,显示勒索软件 BitPaymer 攻击了 IT 公司,该勒索软件也袭击了法国电视台M6和德国自动化工具制造商Pilz。尚未公布攻击 Cadena SER 的勒索软件。 图片:Alex Barredo(Twitter@somospostpc) 西班牙当局立即作出反应 由于西班牙是早期遭受WannaCry重创的国家之一,因此这一次政府组织迅速做出了反应。 西班牙国家安全局在事件发生后的数小时内发布安全建议,敦促公司改善网络安全措施,并且建议其他受害者向西班牙国家网络安全研究所INCIBE寻求帮助。 尽管没有类似WannaCry的勒索软件爆发的迹象,但这两次勒索软件感染对西班牙当地的商业环境产生了重大影响。许多本地公司使用Everis软件进行日常活动,有人担心自己被感染,选择关闭程序来检查系统。 网上还出现了谣言,有人猜测除了Everis之外,其他IT公司也受到了影响。金融咨询公司毕马威(KPMG)的西班牙支部和软件巨头埃森哲(Accenture)今天早些时候在Twitter上发布声明,告诉用户他们没有受到感染,并且一切正常。   消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

警惕来自节假日的祝福:APT 攻击组织”黑格莎(Higaisa)”攻击活动披露

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/W87E6_v9YCnsmQWDd7NOHw   一、概述 腾讯安全御见威胁情报中心曾经在2019年年初捕获到一次有意思的攻击活动,该攻击活动一直持续到现在。根据对该组织活动中所使用的攻击技术、被攻击人员背景等分析研判,我们认为该攻击组织为来自朝鲜半岛的一个具有政府背景的APT攻击组织。 根据腾讯安全御见威胁情报中心的大数据分析发现,该组织的攻击活动至少可以追溯到2016年,而一直持续活跃到现在。该组织常利用节假日、朝鲜国庆等朝鲜重要时间节点来进行钓鱼活动,诱饵内容包括新年祝福、元宵祝福、朝鲜国庆祝福,以及重要新闻、海外人员联系录等等。 此外,该攻击组织还具有移动端的攻击能力。被攻击的对象还包括跟朝鲜相关的外交实体(如驻各地大使馆官员)、政府官员、人权组织、朝鲜海外居民、贸易往来人员等。目前监测到的受害国家包括中国、朝鲜、日本、尼泊尔、新加坡、俄罗斯、波兰、瑞士等。 对于该组织的归属,腾讯安全分析了大量样本,我们确信其来自于朝鲜半岛。对攻击背景分析后,我们认为该组织为来自韩国的一个攻击组织。从样本的技术细节、基础设施等经过详细分析后,我们尚无证据证明该组织跟韩国的另一攻击组织DarkHotel(黑店)有关联,即便是攻击对象、某些攻击手法跟DarkHotel(黑店)有一些类似。 我们决定把该组织列为来自韩国的又一独立的攻击组织,取名为”黑格莎(Higaisa)“。源于作者喜欢使用的RC4的解密密钥为“Higaisakora”,取Higaisa的英译。 “黑格莎(Higaisa)”组织攻击流程图: 目前尚不排除该组织为DarkHotel的某一分支。由于受限于样本、受控机、基础设施等等客观情况,可能在组织归属上存在一些细节的误判和遗漏,我们希望安全社区同仁来共同完善该组织的一些细节。 值得注意的是,我们曾在腾讯安全2019年上半年APT总结报告中有提及该组织的攻击活动,当时我们错误的把该组织归属到了Group123。因此也借本文对该错误归属进行勘误和致歉,同时本文也对该活动进行更为详细的活动披露。若存在错误,望安全同仁一起来指正。 “黑格莎(Higaisa)”组织攻击活动的完整技术报告,请从这里下载: https://dlied6.qq.com/invc/qqpcmgr/skin/1572851347.pdf 二、攻击过程 最初始的攻击,从邮件钓鱼开始,邮件内容如下: 邮件内容为韩语的元旦祝福: 而从后面的分析可知,在节假日发祝福邮件投递恶意文件,是该组织的惯用伎俩。 邮件的附件为一个压缩包,解压后为一个可执行文件,该可执行文件其实为一个dropper木马: 执行后,会释放并打开诱饵,以及释放恶意文件carsrvdx.sed到系统目录并通过设置注册表创建服务使得该dll以系统服务的方式开机自启动实现持久化: 其中,payload文件加密存储在资源中,释放的过程涉及简单的RC4解密,密钥为ssove0117: 释放的carsrvdx.sed实际为一个downloader,该文件首先会构造url,从http://info.hangro.net/file/start?session=[8位随机数字]&imsi=0获取要下载的文件名: 得到文件名avp.exe、avpif.exe后再构造以下URL进行下载后再构造以下URL进行下载: http://info.hangro.net/file/start?session=[8位随机数字]&imsi=avp.exe http://info.hangro.net/file/start?session=[8位随机数字]&imsi=avpif.exe 下载回来的文件同样需要经过简单的RC4解密,密钥为Higaisakora.0。下载回来的文件avp.exe(fca3260cff04a9c89e6e5d23a318992c),是一个基于gh0st开源远控框架修改而来远程控制木马,除了命令分发和数据包压缩算法弃用原来的之外,其他内容未发现重大改动,基本保留的原来的框架。 而命令分发部分改动较大,删除了绝大部分的命令处理函数,只保留了插件管理功能,木马的所有功能都将通过插件完成,成功下载了回来的插件为FileManager.dll(dd99d917eb17ddca2fb4460ecf6304b6,注:内存加载不落地),为文件管理插件,其命令分发与gh0st源码相似性达90%以上: 下载回来的另外一个文件为avpif.exe (77100e638dd8ef8db4b3370d066984a9),该文件的功能主要是收集系统信息,并回传。 收集的信息包括: 系统信息:计算机硬件、系统版本、用户信息、系统补丁、网卡信息等 网络信息:本地网络信息 进程列表 显示域、计算机、等共享资源的列表 C盘文件列表 D盘文件列表 E盘文件列表 收集完成后加密上传到服务器中,上传url为:http://180.150.227.24/do/index.php?id=ssss 三、关联分析 通过腾讯安全御见威胁情报中心的大数据分析和挖掘,我们发现大量跟该攻击相关的样本。我们对该组织的攻击活动进行梳理,使我们对该组织的攻击活动有更深入的了解。 1、初始攻击 通过监测发现,攻击活动均为使用鱼叉邮件攻击的方式。而攻击的时间窗口基本都在重要节假日。通过发送节日祝福,附带恶意文件的方式进行攻击。 我们根据payload解密的密码” Higaisakora.0″进行搜索,搜索到了另一篇分析文章:https://malware.prevenity.com/2018/03/happy-new-year-wishes-from-china.html 虽然无法获取该报告中的样本,但根据报告中的截图和描述,可以确定为同一木马的不同变种。而根据该文章的披露,攻击方式同样为通过在节假日发送祝福邮件,并附带恶意文件的方式: 此外,有意思的是,我们发现该邮件的发送邮箱为gov.cn的邮箱,我们猜测攻击者可能首先攻破了某gov.cn的邮箱,然后利用该邮箱继续进行钓鱼工作。同样我们发现发件人邮箱同样存在china字眼,因此我们猜测,该组织习惯利用跟中国有关的邮箱做为跳板来进行下一步的攻击。 2、攻击诱饵 诱饵的类型根据文件种类分为两类,一类为可执行文件,另一类为恶意文档类。 1)可执行文件类诱饵: 可执行文件类又分为两个类型: 类型一:伪装为图像文件或文档文件,运行后会释放相关的图片或文档 该类型的可执行文件的图标一般要么伪装成word、excel、pdf、txt、邮件等软件的图标,要么直接是图片的内容图标: 内容主要分为: (1)传统节假日问候,如新年、元宵节、端午节、圣诞节等: (2)朝鲜国庆、领导人纪念日等相关: (3)新闻: (4)其他(包括色情图片或文本): 类型一诱饵的技术特点 将payload及伪装文件存放在PE资源中; 伪装文件未加密无需解密,payload需使用RC4解密后释放; 字符串以局部数组的形式存储,绝大部分API函数使用动态调用; 释放payload后,创建系统服务将其加载执行。 此外,我们发现这些诱饵内容都非常的及时,如某一诱饵为一个新闻,讲的是牡丹峰团长玄松月在平昌冬奥会前访问韩国: 通过搜索,该新闻是2018年1月22日: 而发现的利用该诱饵攻击的另一攻击样本(fa8c53431746d9ccc550f75f15b14b97),其编译日期为1月26日: 可以发现该组织非常擅长利用最新热点新闻。 类型二:伪装成Winrar、Teamview、播放器等常用软件 如运行后,除了释放原本的安装文件外,还会释放gh0st木马: 释放文件路径:C:\WINDOWS\system32\dilmtxce32.dll,而释放的文件同样需要通过解密,密钥为HXvsEoal_s。 2)恶意文档型诱饵: 我们发现的另一个攻击母体为(a5a0bc689c1ea4b1c1336c1cde9990a4),其路径为\AppData\Roaming\Microsoft\Word\STARTUP\winhelp.wll,而该目录为word的启动文件夹,当word启动的时候,会自动加载该目录下的模块文件。因此该手法常做为office后门加载方式的重要手法。 遗憾的是,我们并未获取到相关的文档文件,因此尚不知该启动文件是执行了某一恶意文档释放的(因为有很多攻击诱饵会利用漏洞等方式释放相关恶意文件到word启动目录),还是其他的母体释放到该目录的。不过我们认为由某一恶意文档通过漏洞释放的可能性更大。 该wll文件加载后,会释放文件在%USERPROFILE%\PolicyDefinitions\MMCSnapins.exe,该文件是个downloader,下载回来的文件有3个,分别为infostealer木马,用于窃取文件目录结构;gh0st RAT插件版;另一个未知的完整功能的RAT木马。 3、解密密码 我们发现该组织非常喜欢使用RC4加密算法,如解密释放的payload,解密下载回来的文件等。我们发现他的payload的解密密码跟随着时间而进行变化,但是downloader下载回来的文件解密木马始终都为Higaisakora.0。目前其解密payload的最新使用的密码为XsDAe0601。我们整理了一份时间和密码的对应表如下(相同的密码只取了一个): 可以看到,随着时间的变化,密码也相应的进行了变化。虽然密码上并未有相应的规律可以获取,但是至少也说明了作者一直在进行更新。 4、其他文件分析 我们还在相关受控机上发现大量其他文件,相信是该组织下发用来进行持续渗透和横向移动的工具。具体如下: 1)键盘记录器 文件BioCredProv.exe(6e95c5c01f94ef7154e30b4b23e81b36) 用于记录按键、窗口信息。 2)邮件相关 out1 .exe (901e131af1ee9e7fb618fc9f13e460a7),pdb为:E:\code\PasswordRecover\do_ok\OutlookPassRecover\Release\OutlookPassRecover.pdb 该文件的功能是outlook密码窃取,窃取的outlook账号密码保存到c:\users\public\result.dat。 文件out12.exe (08993d75bee06fc44c0396b4e643593c),pdb路径为: E:\code\PasswordRecover\outlook\OutlookPasswordRecovery-master\OutlookPasswordRecovery\obj\Release\OutlookPasswordRecovery.pdb 该文件的功能同样为窃取outlook账号密码,窃取的信息保存为Module.log。 根据pdb的路径在github上搜索,发现了该工程: https://github.com/0Fdemir/OutlookPasswordRecovery 跟文件里的完全一致: 3)非插件版的Gh0st RAT 之前发现的gh0st RAT均为插件版的gh0st RAT,也就是说所有功能通过插件来完成,但是我们在某台受控机上还发现一个非插件版的gh0st RAT,并且通过Installer解密数据文件.vnd后执行。 安装器的文件路径为:E:\360Rec\sun.exe(cc63f5420e61f2ee2e0d791e13e963f1) 最后解密后生成的文件C:\\Windows\\system32\\PRT\\WinDef32.dll(c5f0336b18a1929d7bd17d09777bdc6c)就为非插件版的gh0st。 其中主命令分发,只保留了部分gh0st功能,包括文件管理、屏幕监控、键盘记录、远程Shell等,而文件管理功能,保留了gh0st RAT文件管理的全部指令,并增加了获取和设置文件时间的功能。 5、移动端木马分析 通过拓展分析,我们还发现了几个安卓木马,如검찰청(翻译:监察厅).apk(8d3af3fea7cd5f93823562c1a62e598a): 该apk执行后界面如下: 伪装韩国检察厅APP,主要为访问网站http://www.spo.go.kr/spo/index.jsp。 实际上该app为一个远控木马,能够实现手机截屏、GPS位置信息获取、SMS短信获取、通话录音、通讯录获取、下载木马、上传文件等功能。 6、攻击归属分析 1)攻击样本中的地域分析 我们抽取了部分样本对编译的时间戳进行了分析(不包含被篡改的): 可以发现编译的时间主要发生在上午8点后,大部分时间都在晚上23点前。按照普通人的生活习惯,我们认为可能是在东9区的攻击者。正好覆盖朝鲜半岛。 其次我们发现样本中出现的naver.com字符: naver为韩国最大的搜索引擎和门户网站。 2)攻击对象分析: 因为诱饵内容几乎都跟朝鲜有一定的关系,包括朝鲜的国庆、朝鲜的联系人名单等;从钓鱼目标对象来看,基本都为朝鲜的外交官、海外居民、和朝有贸易往来人员等等;从受控机属性来看也几乎都为中朝贸易人员。 因此我们判断攻击的对象为与朝鲜相关的人员。 3)攻击手法 攻击手法包括钓鱼、伪装常用软件、下载插件等等,并且还具有多平台的攻击能力。 4)结论 从上述分析我们认为,攻击者可能来自朝鲜半岛,由于攻击目标为跟朝鲜相关,我们判断攻击者可能来自韩国。其次,从攻击手法、对象来看,跟韩国的另外一个APT攻击组织DarkHotel(黑店)比较类似。但是,从样本、基础设施等分析来看,我们并未发现有跟DarkHotel重叠的部分,也未有明确证据证明跟DarkHotel相关。但我们并不排除该组织或为DarkHotel的分支。 鉴于此,我们决定暂时把该攻击小组列为一个独立的攻击组织,取名为”黑格莎(Higaisa)“。源于作者喜欢使用的RC4的解密密钥为“Higaisakora”,取Higaisa的英译。归属过程可能因信息有限,或存在错误,我们希望安全同仁一起来完善该组织的更多信息。 四、总结 当节假日来临,我们往往会收到来自各地的祝福信息,尤其是单位的邮箱。但是一些别有用心的攻击者往往利用此机会,附带恶意文件进行攻击。而本次攻击主要是针对朝鲜相关的一些政治实体、人权组织、商贸等关系单位和人员,因此也有波及中国境内和朝鲜进行贸易的一些人员。 此外,该攻击组织的攻击武器库也一直在进行更新,而且除了pc端,也具有移动端攻击的能力。我们判断,该攻击活动必然还会继续进行下去,因此我们提醒相关人员,一定要提高安全意识,避免遭受不必要的损失。 五、安全建议 我们建议外贸企业及重要机构参考以下几点加强防御: 1、通过官方渠道或者正规的软件分发渠道下载相关软件; 2、谨慎连接公用的WiFi网络。若必须连接公用WiFi网络,建议不要进行可能泄露机密信息或隐私信息的操作,如收发邮件、IM通信、银行转账等;最好不要在连接公用WiFi时进行常用软件的升级操作; 3、不要打开不明来源的邮件附件、即使查看可疑文档也切勿启用宏代码; 4、及时安装操作系统补丁和Office等重要软件的补丁; 5、使用腾讯电脑管家或腾讯御点终端安全管理系统防御可能的病毒木马攻击; 6、推荐企业用户部署腾讯御界高级威胁检测系统及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) 六、附录 1、IOCs MD5: 7c94a0e412cc46db5904080980d993c3 6febd1729c49f434b6b062edf8d3e7f3 fca3260cff04a9c89e6e5d23a318992c 77100e638dd8ef8db4b3370d066984a9 dd99d917eb17ddca2fb4460ecf6304b6 7d6f2cd3b7984d112b26ac744af8428d 8d3af3fea7cd5f93823562c1a62e598a C2: info.hangro.net console.hangro.net register.welehope.com www.phpvlan.com wiki.xxxx.com 180.150.227.24 39.109.4.143 103.81.171.157 2、参考文章 1)https://malware.prevenity.com/2018/03/happy-new-year-wishes-from-china.html 2)https://s.tencent.com/research/report/762.html “黑格莎(Higaisa)”组织攻击活动的完整技术报告,请从这里下载: https://dlied6.qq.com/invc/qqpcmgr/skin/1572851347.pdf

恶意软件将路由器捆绑至僵尸网络 黑客可以借此发动DDoS攻击

成千上万的Wi-Fi路由器可能遭到恶意软件的新型攻击,恶意软件将设备捆绑到僵尸网络中,使其具有分布式拒绝服务(DDoS)攻击功能,并以此向黑客出售。 Gafgyt恶意软件可以通过小型办公室和家庭路由器的漏洞访问到这些设备。 最近Gafgyt(也称为Bashlite)进行了更新,华为HG532和Realtek RTL81XX一直是Gafgyt的目标,现在还将Zyxel P660HN-T1A列入了攻击目标。 一般情况下,恶意软件都通过扫描程序来查找公网节点,然后利用漏洞实现入侵。专家称,为了在攻击时获得充分资源,新版本的Gafgyt会杀死JenX之类的其他恶意软件,从而使其可以充分利用设备发起攻击。Gafgyt僵尸网络似乎正在直接与另一个僵尸网络JenX竞争,后者的攻击目标正是华为和Realtek路由器。 黑客除了利用 Gafgyt 发起DDoS攻击,还主要将其用于攻击游戏服务器,尤其是那些使用Valve Source Engine的游戏,包括热门游戏《反恐精英》和《军团要塞2》。目标服务器不是由Valve部署的,而是由玩家部署的私有服务器。 很多年轻玩家出于报复对手的心态而选择攻击对方。玩家甚至不需要访问地下论坛就可以使用这些恶意服务。专家指出,僵尸网络租用服务在Instagram上使用伪造的个人资料做广告,租用费用仅为8美元。 专家介绍说:“显然,他们可以通过该平台接触到大量年轻人,所有人都可以使用这些服务,而且比地下站点更容易访问。” 随着越来越多的物联网产品连接到互联网,如果设备没有保持最新状态,将设备捆绑到僵尸网络和其他恶意活动中将会变得更加容易。 新版Gafgyt主要针对的是旧路由器,其中一些已经投放市场长达五年以上。专家建议用户将路由器升级到较新的型号,并应定期应用软件更新以确保设备受到保护,尽可能地抵抗攻击。 Davila说道:“总的来说,用户可以养成习惯,例如更新路由器,安装最新补丁程序,并设置复杂的密码,从而抵御僵尸网络的攻击。”   消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

区块链火了,Sality 病毒感染 3 万电脑伺机盗取比特币

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/OXwqWtjIHz1aTezwevg_Mw   一、背景 腾讯安全御见威胁情报中心监测到Sality感染型病毒活跃,该病毒同时传播“剪切板大盗”木马盗取数字加密货币。在国家大力发展区块链相关产业的大背景下,各种数字加密币的交易空前活跃,以比特币为首的各种数字加密币趁势爆涨。Sality病毒也趁机利用自己建立的P2P网络,传播以盗取、劫持虚拟币为目的的剪切板大盗木马,将会对虚拟币交易安全构成严重威胁。 Sality病毒最早于2003年被发现,最初只是一个简单的文件感染程序,具有后门和按键记录功能。Sality后来增加了组建P2P分布式网络的功能,在增强了传播速度的同时也具有了更大的破坏能力。 Sality病毒拥有一个内置的URL列表,同时可以从其他受感染的P2P网络中接收新的URL,通过下载,解密和执行列表中的每个URL,Sality可以植入其他木马或者收取推广安装渠道费,Sality病毒构造的P2P网络传播其他病毒木马或以恶意推广软件获利的策略十分灵活。 该版本Sality病毒有以下特点 1、破坏系统安全设置; 2、感染本地硬盘、可移动存储设备、远程共享目录下的可执行文件; 3、利用可移动、远程共享驱动器的自动播放功能进行感染; 4、将自身注入到其他进程中,以便能够将下载的DLL加载到目标进程; 5、创建一个对等(P2P)僵尸网络; 6、从URL列表下载并执行“剪切板大盗”木马,通过剪切板内容中的字符格式判断以太币或比特币钱包地址,并将剪切板内容替换为指定钱包,若用户在此时粘贴并进行转账操作,数字资产就会被盗。 根据腾讯御见威胁情报中心统计数据,此次Sality病毒攻击影响超过3万台电脑。从地区分布来看,Sality在全国各地均有感染,最严重地区分别为广东、江苏、河南、山东。 从感染行业分布来看,Sality影响最严重的依次为科技、制造业和房地产行业。 二、详细分析 Sality感染型病毒 Sality使用外壳程序保护,执行后首先解密出核心代码,然后跳转到入口执行。 创建互斥体”uxJLpe1m”以保证木马进程具有唯一实例。 枚举和删除位于以下注册表子项中的所有条目来阻止受感染的计算机进入安全模式。 HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot 将恶意代码指令注入到其他进程(排除属于系统,本地服务或网络服务的进程)中,从而允许代码将从远程服务器下载的外部程序加载到目标进程中,病毒使用基于每次注入进程PID命名的互斥锁来避免重复注入。 感染本地、可移动和远程共享驱动器上不受保护的可执行文件。修改可执行文件的入口点,以病毒代码替换原始文件代码,使得所有被感染程序启动时执行病毒功能。 在本地、可移动和远程共享驱动器根目录下创建autorun.inf,并在其中设置自动执行的文件指向拷贝到其中的病毒程序,使得网络共享盘和可移动盘被打开时病毒自动运行,继续传播感染病毒。 创建驱动程序,文件路径C:\WINDOWS\system32\drivers\<random>.sys,符号链接为“\DosDevices\amsint32”,该驱动程序用来阻止对各类安全软件供应商网站的访问。 构建基于UDP协议的P2P网络,通过P2P网络共享用于下载、解密和执行文件的URL列表。 获取内置的下载URL列表。 获取计时器转换成字符,并以“?%x=%d”格式拼接在URL的末尾。 目前URL使用的活跃域名如下: tudorbuildersfl.com energy-guru.com acostaphoto.com ptcgic.com cikmayedekparca.com brucegarrod.com cbbasimevi.com brandaoematos.com.br caglarteknik.com bharatisangli.in cacs.org.br butacm.go.ro boyabateml.k12.tr casbygroup.com iqhouse.kiev.ua 从下载的文件中解密出PE程序保存到%Temp%\win%s.exe。   剪切板大盗 感染型病毒Sality最终下载的是针对剪切板中的数字加密货币钱包地址进行替换的木马程序,木马启动后循环打开剪切板并获取剪切板中数据。 通过剪切板内容中的字符格式特点判断以太币或比特币钱包地址,并将切板内容替换为指定钱包,若用户在此时粘贴并进行转账操作,数字资产便落入黑客的口袋。 根据监测数据,Sality下载的盗取数字加密货币木马每一个月更换一次样本,我们从这些样本中提取到28个比特钱包,1个以太币钱包。查询钱包收益,木马已累计盗取比特币3.965个,以太币2.94个,这些数字资产按当前市场价格折合人民币约27万元。 三、安全建议 防御重点:使用腾讯电脑管家或腾讯御点防御感染型病毒的传播。 个人用户应避免从危险网站下载高风险软件,如游戏外挂、破解工具、盗版软件等。关闭U盘的自动播放功能,防止感染型病毒通过U盘传播。 企业用户应加强内网共享文件的管理,可通过配置企业安全策略来降低风险。具体防范措施如下: 1、禁用自动播放以防止自动启动网络和可移动驱动器上的可执行文件,并在不需要时断开驱动器的连接。如果不需要写访问权限,在可用选项下启用只读模式。 2、如果不需要使用文件共享,则用户应关闭文件共享。如果需要文件共享,则用户应使用ACL和密码保护来限制访问。 3、确保计算机的程序和用户使用完成任务所需的最低权限。当提示输入root或UAC密码时,需确保要求管理级访问的程序是合法应用程序; 4、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理; 5、及时安装系统补丁,尤其是在承载公共服务且可通过防火墙访问的计算机上,例如HTTP,FTP,邮件和DNS服务; 6、建议企业用户安装部署腾讯御点终端安全管理系统防御病毒攻击。腾讯御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。企业可登录腾讯安全主页申请免费试用(https://s.tencent.com/product/yd/index.html)。 IOCs Sality f90e3875bb0bb255b1f4aee5e32609be f76632ca9119490381be2c80dd705b29 f4749b0542f22db4a15ea9116e3d4158 Clipboardstealer b013271b23de42de21ad813266b5155b bce9b8ce30eb68f2661c21d979c16270 72392e93001dba2c3bc761eac28fd0c5 72392e93001dba2c3bc761eac28fd0c5 e0ff8d9617cdbc1284ccb906d93f774e 508d177fb70362076a564d0e3486de2a abbf96e689413786673a6c18d3602edc 1964b13bbaa11b68b28cd0e81e6c51d2 5633e7a29466dad62d682c795e839dad c7a52a04577263e9f76d48f4ce2aace0 d8b867e7802cbd34c672217a51aeca46 Domain tudorbuildersfl.com energy-guru.com acostaphoto.com ptcgic.com cikmayedekparca.com brucegarrod.com cbbasimevi.com brandaoematos.com.br caglarteknik.com bharatisangli.in cacs.org.br butacm.go.ro boyabateml.k12.tr casbygroup.com iqhouse.kiev.ua URL http[:]//tudorbuildersfl.com/wp-content/logo.gif http[:]//energy-guru.com/blog/styles.gif http[:]//acostaphoto.com/wp-content/styles.gif http[:]//ptcgic.com/wp-content/logo.gif http[:]//cikmayedekparca.com/images/logos.gif http[:]//brucegarrod.com/images/logos.gif http[:]//cbbasimevi.com/images/logos.gif http[:]//brandaoematos.com.br/images/logoi.gif http[:]//caglarteknik.com/logos.gif http[:]//bharatisangli.in/logoi.gif http[:]//cacs.org.br/novosite/logos.gif http[:]//butacm.go.ro/logos.gif http[:]//boyabateml.k12.tr/images/logos.gif http[:]//casbygroup.com/images/logos.gif http[:]//iqhouse.kiev.ua/wp-content/themes/iqhouse/img/style.gif BTC钱包 13vCFp3Vy7CurndiRNbpLaY6zM9HQqkVdA 13dcpcWqwUy8SqTmJLrwqFKUwhRCjX2yft 13wJMZru75JRy8FdGby3LJsELKCsd5MRRf 3HhDZVzqQMDYAohDKn6mqLCQCkhcfFYFrJ 3FnZdSVgaGXVGLPQtDXkjuqCEukXvArPyM 3FbZWGphdHFQkQ68jkksnsrh78T7YaUKqC 1BZrwyZBHLGvfHpbaXJuRAzGArm8WhJNkH 1LnAVGVMaE3eQMo15XYog5MLh9e6PsiHJH 1Az5j3DqBkrF5tEbdkmh4QRKJHi4xf5Ku4 1NWExenf5bHSLNFk8mUUTSJrCQa7zzwQtJ 1Lp4pvz22XPzfJp63RnvphGugo7ovJP4Mm 1Ps6xwyaN1VomuXnWv8zJLHfCvU6nQ53VS 1D4TwJ5GifCE2egLZuPJ65yN4L41UvZz71 14qPT6GX9r3XfAKzjLLNbpnUpT98tUwmUm 1M15x8b92b9kJybBofB3dDFBC9MaBv2V2A 18i1RNfixmmvFARtDwXwRWmgVguoS2kD1N 3HnSjByFQVZQt17eZURbLmWjn6PiSxeQ5S 19dNcWbQWFrdn1Un2YbJspCLz82P8DYWd5 32eNWBWZrTFBuHQwGShNQvWj6TGM8LqsQ9 12tUcJYmrqdcgQYQVMb2RXAaJ4MZEVd7Y2 1qMNdHVvqs8udpBVEMymm3SBTvvqynqD8 1Hm9Nrw6H4mpKvLs5MGSd8T1ZxcriBxSzc 32VKibW5UkTr7fvfQQuPXw32Brnbigp9ng 13d29ksg6nGdmy2zySn4mWSosRHuYMd9xr 13kBn9tJ9bzf5E9nzXN73ahbLWvdFZonTh 3FZjd1oXQ3utyTT8s9y8iJ6CAyxwPaVgWp 18ihjyRYde3ToUys9rCebRbeTDcpkAehq6 3QgsfCXS3tzhcvzbMnrcKdo6xFBJoBR3CJ ETH钱包 3D15c7341BBD7cCc193769de903ea711a2e4b43e 参考链接: https://www.symantec.com/security-center/writeup/2006-011714-3948-99

无法删除的恶意软件 xHelper 持续感染大量安卓设备

过去几个月来,一些安卓用户被一款名为 xHelper 的恶意软件持续困扰,它的自动重新安装机制令人们束手无策。 xHelper 最早发现于 3 月。到 8 月,它逐渐感染了 32,000 多台设备。而截至本月,根据赛门铁克的数据,感染总量已达到 45,000。该恶意软件的感染轨迹不断上升。赛门铁克表示,xHelper 每天平均造成 131 名新受害者,每月约有 2400 名新的受害者。 根据 Malwarebytes 的说法,这些感染的来源是“网络重定向”,它会将用户发送到托管 Android 应用程序的网页。这些网站指导用户如何从 Play 商店外部间接加载非官方的 Android 应用。这些应用程序中隐藏的代码将下载 xHelper 木马。 好消息是该木马目前没有执行破坏性操作,多数时间它会显示侵入式弹出广告和垃圾邮件通知。广告和通知会将用户重定向到 Play 商店,并要求用户安装其他应用程序——通过这种方式,xHelper 从按安装付费的方式中赚钱。 恼人的是 xHelper 服务无法删除,因为该木马每次都会重新安装自身,即使用户对整个设备进行了出厂重置后也是如此。xHelper 如何在恢复出厂设置后得以生存仍然是个谜。不过,Malwarebytes 和赛门铁克均表示 xHelper 不会篡改系统服务和系统应用程序。 在某些情况下,用户说,即使他们删除了 xHelper 服务,然后禁用了“从未知来源安装应用程序”选项,它还是会在几分钟内重新感染设备。也有少数用户报告说使用某些付费的移动防病毒解决方案取得了成功。 赛门铁克在最新发布的博客文章中表示,该木马正仍在不断发展,定期发布的代码更新解释了为什么某些防病毒解决方案在某些情况下会删除 xHelper,而在更高版本中却不会。 同时,赛门铁克也作出警告,尽管该木马目前从事垃圾邮件和广告收入活动,但它还具有其他更危险的功能。xHelper 可以下载并安装其他应用程序,xHelper 团队可以在任何时候使用该功能来部署第二阶段恶意软件有效负载,例如勒索软件、银行木马、DDoS僵尸程序或密码窃取程序等。   (稿源:开源中国,封面源自网络。)

伪装成 Office 文档的 sodinokibi 勒索病毒大量攻击中韩企业

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/_F1YQR1LoapIvO2doWHl9A   一、背景 近期腾讯安全御见威胁情报中心检测到大量借助钓鱼邮件传播的sodinokibi勒索病毒攻击中韩两国企业。中招用户被勒索0.15个比特币(市值7800元人民币),中招企业主要集中在广东、山东、江苏、上海、北京等地,主要受害企业包括IT公司、科研和技术服务机构,以及传统制造企业。 钓鱼邮件伪装成以“偿还债务”、“支付汇款建议”为主题,并在附件中添加包含勒索病毒的压缩文件,中文版为“您的账号.zip”、韩文版为“송장 10.2019.zip”,解压后分别为“付款发票.xls.exe”、“10 월 송장.xls.exe”,都是伪装成表格文件的sodinokibi勒索病毒。从钓鱼邮件内容格式、主题和投递的样本类型来看,此次针对中国和韩国的攻击为同一来源。 sodinokibi勒索病毒出现于2019年4月底,早期使用web服务相关漏洞传播。病毒主要特点为对使用到的大量字串使用RC4算法进行加密,使用RSA+salsa20的方式配合IOCP完成端口模型进行文件的加密流程,加密后修改桌面背景为深蓝色并创建勒索文本<random>-readme.txt,被该病毒加密破坏的文件暂时无法解密。 腾讯安全专家提醒用户务必小心处理来历不明的邮件,推荐修改系统默认的文件查看方式,选择查看已知文件类型的扩展名,就可以简单识别那些伪装成doc、xls文档图标的危险程序。目前,腾讯电脑管家和腾讯御点均可查杀该勒索病毒。 根据腾讯安全御见威胁情报中心数据,在一天之内攻击者使用伪造的近1000个邮箱地址针对国内目标发送超过5万封钓鱼邮件,此次邮件传播的Sodinokibi勒索病毒在国内的感染地区分布如下图所示,受害最严重地区为广东、山东、江苏、上海、北京等地。 此次Sodinokibi勒索病毒影响行业分布如下,受害最严重的包括IT行业、科研和技术服务行业以及制造业等。 二、钓鱼邮件 攻击中国的邮件样本 攻击者伪装成digis.net公司的人员Min Zhu Li作为发件人,邮件标题为“你需要偿还的债务”,附件文件为“您的账号.zip”,邮件内容是非正常显示的中文字符,最后一行为“财务选择”。 该附件压缩包解压后为伪装成xlsx文件的exe可执行程序“付款发票.xls.exe”,一旦误判为电子表格双击便会运行Sodinokibi勒索病毒。 攻击韩国的邮件样本 邮箱附件文件名为 “发票10.2019(译文)”,解压后是伪装成xls文件的PE程序“10 월 송장.xls.exe”,一旦双击便会运行Sodinokibi勒索病毒。     三、Sodinokibi勒索病毒 Sodinokibi(付款发票.xls.exe)运行后首先创建互斥体 “Global\AC00ECAF-B4E1-14EB-774F-B291190B3B2B”,以保证具有唯一实例。 然后通过外壳程序从内存中解密核心勒索payload。 payload执行后首先动态解密修正IAT,共157处。之前的版本分别为修正131处、138处,此次的样本新增了19处。 通过获取键盘布局信息获取机器所在地,然后在加密时避开以下国家(主要是俄语国家及部分东欧国家)。 样本内使用的大量明文字串使用RC4算法进行了加密处理,通过动态解密后使用。 解密出所需配置文件,包含以下关键信息。 RSA公钥信息: "pzprC6xbhNFhM/+qJI6gCrd2pnCgyRdai+B89OUhWAw=" 白名单过滤目录: ["programdata","program files (x86)","windows","program files","$windows.~ws","intel","mozilla","application data","perflogs","tor browser","$windows.~bt","google","$recycle.bin","appdata","msocache","boot","windows.old","system volume information"] 白名单过滤文件: ["ntldr","ntuser.dat","ntuser.dat.log","autorun.inf","thumbs.db","bootsect.bak","bootfont.bin","ntuser.ini","desktop.ini","boot.ini","iconcache.db"] 白名单过滤后缀: ["icns","msstyles","cpl","hlp","lnk","deskthemepack","cmd","ics","adv","dll","ico","exe","com","nls","bat","rtp","spl","msu","rom","key","ocx","ps1","msp","386","drv","lock","mod","wpx","cab","idx","sys","icl","nomedia","cur","scr","hta","themepack","bin","diagcfg","shs","ldf","theme","prf","msc","mpa","msi","diagcab","ani","diagpkg"] 结束进程列表: ["sqlbrowser","isqlplussvc","msaccess","onenote","wordpad","thebat64","outlook","msftesql","winword","xfssvccon","excel","mysqld_opt","ocomm","firefoxconfig","mysqld","ocssd","dbeng50","thunderbird","ocautoupds","tbirdconfig","sqlwriter","synctime","mysqld_nt","mydesktopqos","dbsnmp","oracle","mspub","mydesktopservice","sqbcoreservice","sqlagent","encsvc","agntsvc","thebat","infopath","steam","sqlservr","powerpnt","visio"] 删除服务列表: ["veeam","backup","memtas","svc$","mepocs","vss","sql","sophos"] 另外还包括以下内容: 开始加密前通过服务管理器枚举服务,找到并删除在配置文件中指定的服务。 删除系统卷影信息防止文件恢复。 枚举磁盘及磁盘中的文件。 在文件目录下写入勒索提示文档<random>-readme.txt。 使用RSA+salsa20的方式配合IOCP完成端口模型进行文件的加密流程。 加密完成后将文件添加随机名后缀,修改桌面背景为深蓝色,并在在桌面显示文本“All of your files are encrypted! Find <random>-readme.txt and follow instuctions”。 勒索提示文档<random>-readme.txt内容如下: 根据提示内容,有两种方法可以提交赎金和解密文档: 1、安装TOR Browser (暗网浏览器) 并访问指定页面 http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/492CCF5D44A96A6E; 2、直接通过浏览器访问指定页面 https://decryptor.top/492CCF5D44A96A6E。 我们使用方法2访问进行查看,页面显示需要在6天之内购买并转账约0.15个比特币(约合人民币7800元)到比特币钱包35ekbqx8jFt9hiUWExDJKh8grznLaXGtQP,6天之后赎金会翻倍。 四、安全建议 1 企业用户针对该病毒的重点防御措施 1.该病毒主要通过垃圾邮件传播,需要企业用户小心处理电子邮件,打开文件夹选项中的“查看已知类型的扩展名”,若发现使用Office关联图标,又是含exe的多重扩展名,就表明风险极高,建议不要打开。 2. 对重要文件和数据(数据库等数据)进行定期非本地备份,普通终端电脑可以使用腾讯御点终端管理系统及腾讯电脑管家内置的文档守护者备份数据。 企业用户通用的防病毒措施 1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆; 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问; 3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理; 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器; 5、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码; 6、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 7、建议全网安装御点终端安全管理系统。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。尚未部署的企业可登录腾讯安全官网申请免费试用腾讯御点(https://s.tencent.com/product/yd/index.html)。 个人用户 1、勿随意打开陌生邮件,关闭Office执行宏代码; 2、使用腾讯电脑管家拦截病毒; 3、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。 IOCs 您的账号.zip 84f2c98a08c50db10996da7d80567695 송장 10.2019.zip 0bdbf296b7ccd864b74365449225ea22 미지급 송장.zip eb3a1a8f6db25217a85866e15bed866e sodinokibi 57191a04cf06228c0643cc99b252ad1e 0fd100bc752335d0023893cc2104019a 33d31fee52e03138f9582232da8df284 比特币钱包: 35ekbqx8jFt9hiUWExDJKh8grznLaXGtQP 垃圾邮件发件人邮箱地址(部分): kostergaard@digis.net sbsoo@plantynet.com payment@scholaranswer.com gina@firegalwisdom.com micah@everettwalocksmith.com julia@bluechiptraining.com eric@homedames.com gh156@zrtg.com reed.pannell@metis-media.com me@bankim.net jenna@charlesandvalerie.com iszy@iszard.com jchauvet@corptw.com info@maestrobobbyramirez.com matt@sheetssupply.com nobouncewangyi03@haohua.chemchina.com operacional@swjexpress.com meredith@dawnfam.com leonardo.claudio@zap.co.ao cbaker@requisite-development.com jim@intelinternational.com info@trendestly.com andy@themktgco.com legare@legaresbeads.com karen@richert.ca info@yoasobi365.com john@codecommode.com customercare@coutureandtiaras.com mark@happywatch99.com support@logoman.ca azul@azulnight.com info@polvodellanta.mx marocco@studiosoftware.net timberpines@arnauds.net info@refrigerationottawa.ca zhangjq@postel.com.cn rizna.trinayana@exploraprima.com gazunta@gazunta.com social@thegirafe.com stratford@futurestepsintl.com frankdoerr@schlau.com jcampos@intica.cl hrd.ga@369-group.com emilio@karakey.com cbb@dalgashave.dk info@billetawoodphotography.com.au crenova@crenova.ma aude@rondvert.com nina@mypost.com pdseo@partydepotstore.com fabio.carvalho@alphaclube.com.br mauricio@infoxpert.com.br zhanglimin@sunhongs.com wangchunming@bqhszy.com lumingming@bjca.org.cn treefrog@go4more.de info@drhinkens.com jon@blossom-landscaping.com info@polkcountyfarms.org szczesny@sttb.pl rajat@ridobiko.com rajkishore.bhuyan@rakbgroup.com bondi@bangkokbites.com.au cofm604@domozmail.com burner@computerdoctors.org gaizers@sourcecode.co.th lisa@newquaycleaner.com steve.prime@primefamily.org michaellapeyrouse@hikag.com mengqj@seari.com.cn neva1945@surnet.cl cesarcabanillas@eprofsa.com tg.foot@tsf47.net info@stratacomm.com elacasta@inicia.es stephaniem@rittermail.com jackj@americananglers.net higor@icbrasil.inf.br postmaster@corpease.net redaccion@revistafantastique.com kathi@kathikirchmeier.com submissions@roofnexteriorsco.com pollyanacurcio@maismaquinas.com oliver@kane.ac peter@best-internet-security.uk info@locksmithincollegepark.com cw@zscg.com christopher@4sanchez.com pink-ma@barak.net.il hanlang@yaic.com.cn 参考资料: 警惕sodinokibi勒索病毒借助钓鱼邮件传播,被加密的文件暂不能解密

美国国土安全部门及 FBI 发布警告 提醒企业防范恶意脚本注入

E-skimming 是指黑客将恶意代码植入电子商务网站,并窃取信用卡数据或个人身份信息的行为。联邦调查局(FBI)近期对企业发布警告,提醒他们注意此类型的攻击。 “此警告专门针对在线进行信用卡付款的中小型企业和政府机构。黑客会通过将恶意代码注入网站来盗取信息。他们可能已经通过钓鱼攻击和攻击服务器厂商获得了员工访问权限。”——FBI. E-skimming 最早于2016年出现并迅速发展。在过去的几年中,黑客在 Magecart 组织下进行了许多次攻击。 实现 e-skimming 的方式有多种,例如利用电子商务平台 Magento,OpenCart 中的漏洞等等。其他方法还包括通过供应链攻击破坏这些平台的插件,或者将信用卡读取脚本注入某个公司的网站,或者获取管理员权限并在电子商店中植入恶意代码。 Magecart  组织的黑客主要致力于利用软件盗窃者窃取支付卡数据。自2010年以来,安全公司至少盗取了十几个团体的活动 ,其中就包括  英国航空,  Newegg,  Ticketmaster,  MyPillow和Amerisleep以及  Feedify。 为防范黑客攻击,FBI 提供了如下建议: 1.使用最新的安全软件更新和修补所有系统。需要将防病毒和反恶意软件升级到最新版,并且开启防火墙。 2.更改所有系统上的默认登录凭据。 3.对员工进行网络安全教育,不要轻易点击邮件中的链接或附件。 4.隔离和分段网络系统,防止黑客连续攻击。     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客伪造 WordPress 插件并植入后门

伪造 WordPress 插件是黑客的常用攻击方式之一。然而安全人员近期发现了一些具有后门功能的插件,如 initiatorseo 和 updrat123 等。 黑客依照 UpdraftPlus 伪造了这些恶意插件。前者拥有超过 200 万活跃用户,并且会定期发布更新。 恶意插件隐藏在 WordPress 首页,只有使用具有特定User-Agent字符串(随插件而异)的浏览器才能看到它们。 即使原始感染源被删除,黑客也仍然可以在用户的电脑上建立后门,并且仍然具有对服务器的访问权限。 这些后门通过 POST 请求,将恶意文件上传到服务器。该请求包含了文件下载位置的远程 URL ,以及将在受感染服务器上创建的文件的路径和名称。 到目前为止,这些 POST 参数对于每个插件都是唯一的。 黑客利用插件,将文件(即5d9196744f88d5d9196744f893.php) 上传至站点根目录。他们将会用文件中的脚本对其他站点进行暴力攻击。就算是管理员也看不到通过 WordPress 插件安装的后门。 此外,受感染的网站可能会遭到恶意攻击,包括 DDoS 和暴力攻击,发送垃圾邮件或被用于挖矿。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

最新报告称黑客正利用 WAV 音频文件隐藏挖矿恶意代码

根据最近几个月连续发布的两个安全报告,黑客正在尝试利用WAV音频文件来隐藏恶意代码。这项技术称之为隐写术(steganography),是一种将信息隐藏在另一种数据介质中的技术。 在软件领域,steganography也简称为“stego”,用于描述将文件或文本隐藏在其他格式的文件中的过程。例如,将纯文本隐藏在图像的二进制格式中。事实上黑客已经使用隐写术有十多年了,通常不会用来破坏或者感染设备,而是作为一种转移方法。隐写术允许隐藏恶意代码的文件绕过将不可执行文件格式(例如多媒体文件)列入白名单的安全软件。 以前所有使用隐写术进行恶意软件攻击的实例都围绕使用图像文件格式(例如PNG或JEPG)展开。最近发布的两份报告中的新颖之处在于发现黑客开始使用WAV音频文件,在今年开始被广泛使用。 早在今年6月份,就有报告检测到隐藏在WAV音频文件中的恶意程序活动。赛门铁克安全研究人员表示,他们发现了一个名为Waterbug(或Turla)的俄罗斯网络间谍组织,该组织使用WAV文件将恶意代码从其服务器隐藏并传输到已经感染的受害者。 BlackBerry Cylance在本月发现了第二个恶意软件活动。在今天发布并上周与ZDNet共享的报告中,Cylance说它看到了与赛门铁克几个月前类似的东西。 但是,尽管赛门铁克报告描述了一个国家级的网络间谍活动,但Cylance表示,他们看到WAV隐写技术在日常的加密采矿恶意软件操作中被滥用。Cylance说,这个特殊的威胁参与者正在将WAV音频文件中的隐藏DLL。 该黑客的使用WAV隐写技术用于挖矿,调用系统资源来挖掘加密货币。Lemos告诉ZDNet:“使用隐秘技术需要对目标文件格式有深入的了解。通常,复杂的威胁参与者希望长时间不被发现。 隐写术可以与任何文件格式一起使用,只要攻击者遵守该格式的结构和约束,这样对目标文件进行的任何修改都不会破坏其完整性。 换句话说,通过阻止易受攻击的文件格式来防御隐写术不是正确的解决方案,因为这样最后的结果是许多流行格式都下载不了,例如 JPEG、PNG、BMP、WAV、GIF、WebP、TIFF 等。   (稿源:cnBeta,封面源自网络。)