分类: 黑客事件

区块链火了,Sality 病毒感染 3 万电脑伺机盗取比特币

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/OXwqWtjIHz1aTezwevg_Mw   一、背景 腾讯安全御见威胁情报中心监测到Sality感染型病毒活跃,该病毒同时传播“剪切板大盗”木马盗取数字加密货币。在国家大力发展区块链相关产业的大背景下,各种数字加密币的交易空前活跃,以比特币为首的各种数字加密币趁势爆涨。Sality病毒也趁机利用自己建立的P2P网络,传播以盗取、劫持虚拟币为目的的剪切板大盗木马,将会对虚拟币交易安全构成严重威胁。 Sality病毒最早于2003年被发现,最初只是一个简单的文件感染程序,具有后门和按键记录功能。Sality后来增加了组建P2P分布式网络的功能,在增强了传播速度的同时也具有了更大的破坏能力。 Sality病毒拥有一个内置的URL列表,同时可以从其他受感染的P2P网络中接收新的URL,通过下载,解密和执行列表中的每个URL,Sality可以植入其他木马或者收取推广安装渠道费,Sality病毒构造的P2P网络传播其他病毒木马或以恶意推广软件获利的策略十分灵活。 该版本Sality病毒有以下特点 1、破坏系统安全设置; 2、感染本地硬盘、可移动存储设备、远程共享目录下的可执行文件; 3、利用可移动、远程共享驱动器的自动播放功能进行感染; 4、将自身注入到其他进程中,以便能够将下载的DLL加载到目标进程; 5、创建一个对等(P2P)僵尸网络; 6、从URL列表下载并执行“剪切板大盗”木马,通过剪切板内容中的字符格式判断以太币或比特币钱包地址,并将剪切板内容替换为指定钱包,若用户在此时粘贴并进行转账操作,数字资产就会被盗。 根据腾讯御见威胁情报中心统计数据,此次Sality病毒攻击影响超过3万台电脑。从地区分布来看,Sality在全国各地均有感染,最严重地区分别为广东、江苏、河南、山东。 从感染行业分布来看,Sality影响最严重的依次为科技、制造业和房地产行业。 二、详细分析 Sality感染型病毒 Sality使用外壳程序保护,执行后首先解密出核心代码,然后跳转到入口执行。 创建互斥体”uxJLpe1m”以保证木马进程具有唯一实例。 枚举和删除位于以下注册表子项中的所有条目来阻止受感染的计算机进入安全模式。 HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot 将恶意代码指令注入到其他进程(排除属于系统,本地服务或网络服务的进程)中,从而允许代码将从远程服务器下载的外部程序加载到目标进程中,病毒使用基于每次注入进程PID命名的互斥锁来避免重复注入。 感染本地、可移动和远程共享驱动器上不受保护的可执行文件。修改可执行文件的入口点,以病毒代码替换原始文件代码,使得所有被感染程序启动时执行病毒功能。 在本地、可移动和远程共享驱动器根目录下创建autorun.inf,并在其中设置自动执行的文件指向拷贝到其中的病毒程序,使得网络共享盘和可移动盘被打开时病毒自动运行,继续传播感染病毒。 创建驱动程序,文件路径C:\WINDOWS\system32\drivers\<random>.sys,符号链接为“\DosDevices\amsint32”,该驱动程序用来阻止对各类安全软件供应商网站的访问。 构建基于UDP协议的P2P网络,通过P2P网络共享用于下载、解密和执行文件的URL列表。 获取内置的下载URL列表。 获取计时器转换成字符,并以“?%x=%d”格式拼接在URL的末尾。 目前URL使用的活跃域名如下: tudorbuildersfl.com energy-guru.com acostaphoto.com ptcgic.com cikmayedekparca.com brucegarrod.com cbbasimevi.com brandaoematos.com.br caglarteknik.com bharatisangli.in cacs.org.br butacm.go.ro boyabateml.k12.tr casbygroup.com iqhouse.kiev.ua 从下载的文件中解密出PE程序保存到%Temp%\win%s.exe。   剪切板大盗 感染型病毒Sality最终下载的是针对剪切板中的数字加密货币钱包地址进行替换的木马程序,木马启动后循环打开剪切板并获取剪切板中数据。 通过剪切板内容中的字符格式特点判断以太币或比特币钱包地址,并将切板内容替换为指定钱包,若用户在此时粘贴并进行转账操作,数字资产便落入黑客的口袋。 根据监测数据,Sality下载的盗取数字加密货币木马每一个月更换一次样本,我们从这些样本中提取到28个比特钱包,1个以太币钱包。查询钱包收益,木马已累计盗取比特币3.965个,以太币2.94个,这些数字资产按当前市场价格折合人民币约27万元。 三、安全建议 防御重点:使用腾讯电脑管家或腾讯御点防御感染型病毒的传播。 个人用户应避免从危险网站下载高风险软件,如游戏外挂、破解工具、盗版软件等。关闭U盘的自动播放功能,防止感染型病毒通过U盘传播。 企业用户应加强内网共享文件的管理,可通过配置企业安全策略来降低风险。具体防范措施如下: 1、禁用自动播放以防止自动启动网络和可移动驱动器上的可执行文件,并在不需要时断开驱动器的连接。如果不需要写访问权限,在可用选项下启用只读模式。 2、如果不需要使用文件共享,则用户应关闭文件共享。如果需要文件共享,则用户应使用ACL和密码保护来限制访问。 3、确保计算机的程序和用户使用完成任务所需的最低权限。当提示输入root或UAC密码时,需确保要求管理级访问的程序是合法应用程序; 4、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理; 5、及时安装系统补丁,尤其是在承载公共服务且可通过防火墙访问的计算机上,例如HTTP,FTP,邮件和DNS服务; 6、建议企业用户安装部署腾讯御点终端安全管理系统防御病毒攻击。腾讯御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。企业可登录腾讯安全主页申请免费试用(https://s.tencent.com/product/yd/index.html)。 IOCs Sality f90e3875bb0bb255b1f4aee5e32609be f76632ca9119490381be2c80dd705b29 f4749b0542f22db4a15ea9116e3d4158 Clipboardstealer b013271b23de42de21ad813266b5155b bce9b8ce30eb68f2661c21d979c16270 72392e93001dba2c3bc761eac28fd0c5 72392e93001dba2c3bc761eac28fd0c5 e0ff8d9617cdbc1284ccb906d93f774e 508d177fb70362076a564d0e3486de2a abbf96e689413786673a6c18d3602edc 1964b13bbaa11b68b28cd0e81e6c51d2 5633e7a29466dad62d682c795e839dad c7a52a04577263e9f76d48f4ce2aace0 d8b867e7802cbd34c672217a51aeca46 Domain tudorbuildersfl.com energy-guru.com acostaphoto.com ptcgic.com cikmayedekparca.com brucegarrod.com cbbasimevi.com brandaoematos.com.br caglarteknik.com bharatisangli.in cacs.org.br butacm.go.ro boyabateml.k12.tr casbygroup.com iqhouse.kiev.ua URL http[:]//tudorbuildersfl.com/wp-content/logo.gif http[:]//energy-guru.com/blog/styles.gif http[:]//acostaphoto.com/wp-content/styles.gif http[:]//ptcgic.com/wp-content/logo.gif http[:]//cikmayedekparca.com/images/logos.gif http[:]//brucegarrod.com/images/logos.gif http[:]//cbbasimevi.com/images/logos.gif http[:]//brandaoematos.com.br/images/logoi.gif http[:]//caglarteknik.com/logos.gif http[:]//bharatisangli.in/logoi.gif http[:]//cacs.org.br/novosite/logos.gif http[:]//butacm.go.ro/logos.gif http[:]//boyabateml.k12.tr/images/logos.gif http[:]//casbygroup.com/images/logos.gif http[:]//iqhouse.kiev.ua/wp-content/themes/iqhouse/img/style.gif BTC钱包 13vCFp3Vy7CurndiRNbpLaY6zM9HQqkVdA 13dcpcWqwUy8SqTmJLrwqFKUwhRCjX2yft 13wJMZru75JRy8FdGby3LJsELKCsd5MRRf 3HhDZVzqQMDYAohDKn6mqLCQCkhcfFYFrJ 3FnZdSVgaGXVGLPQtDXkjuqCEukXvArPyM 3FbZWGphdHFQkQ68jkksnsrh78T7YaUKqC 1BZrwyZBHLGvfHpbaXJuRAzGArm8WhJNkH 1LnAVGVMaE3eQMo15XYog5MLh9e6PsiHJH 1Az5j3DqBkrF5tEbdkmh4QRKJHi4xf5Ku4 1NWExenf5bHSLNFk8mUUTSJrCQa7zzwQtJ 1Lp4pvz22XPzfJp63RnvphGugo7ovJP4Mm 1Ps6xwyaN1VomuXnWv8zJLHfCvU6nQ53VS 1D4TwJ5GifCE2egLZuPJ65yN4L41UvZz71 14qPT6GX9r3XfAKzjLLNbpnUpT98tUwmUm 1M15x8b92b9kJybBofB3dDFBC9MaBv2V2A 18i1RNfixmmvFARtDwXwRWmgVguoS2kD1N 3HnSjByFQVZQt17eZURbLmWjn6PiSxeQ5S 19dNcWbQWFrdn1Un2YbJspCLz82P8DYWd5 32eNWBWZrTFBuHQwGShNQvWj6TGM8LqsQ9 12tUcJYmrqdcgQYQVMb2RXAaJ4MZEVd7Y2 1qMNdHVvqs8udpBVEMymm3SBTvvqynqD8 1Hm9Nrw6H4mpKvLs5MGSd8T1ZxcriBxSzc 32VKibW5UkTr7fvfQQuPXw32Brnbigp9ng 13d29ksg6nGdmy2zySn4mWSosRHuYMd9xr 13kBn9tJ9bzf5E9nzXN73ahbLWvdFZonTh 3FZjd1oXQ3utyTT8s9y8iJ6CAyxwPaVgWp 18ihjyRYde3ToUys9rCebRbeTDcpkAehq6 3QgsfCXS3tzhcvzbMnrcKdo6xFBJoBR3CJ ETH钱包 3D15c7341BBD7cCc193769de903ea711a2e4b43e 参考链接: https://www.symantec.com/security-center/writeup/2006-011714-3948-99

微软警告:2020 年奥运会将可能成为俄罗斯黑客组织攻击对象

据外媒报道,科技巨头公司微软周一宣布,该公司追踪了针对体育主管部门和反兴奋剂机构的大型网络攻击。微软警告称,这个名为Strontium, Fancy Bear(或称APT28)的组织可能会影响到2020年东京奥运会。 微软威胁情报中心指出,自今年9月16日以来,来自三大洲的16个国家和国际组织已经成为目标。对此,微软已经通知了所有受影响的人。 微软表示:“其中一些攻击是成功的,但大多数不是。” 微软表示,Strontium/Fancy Bear“经常”会针对政府、军队、律师事务所、人权机构、金融公司和大学发起攻击,而他们采取的攻击方式有鱼叉式网络钓鱼、密码喷涂、利用联网设备以及使用开源和定制的恶意软件等。 微软建议对所有账户都使用双重身份验证、学习如何识别钓鱼攻击并启用可疑链接和文件安全警报。 (稿源:cnBeta,封面源自网络。)

打击网络钓鱼和相似域名滥用 Facebook 起诉两家托管服务商

本周一向美国加州北区地方法院提交的诉讼中,Facebook指控网络托管服务提供商OnlineNIC和ID Shield侵犯商标和抢注域名。诉讼中,FB指控这两家供应商一直在托管HackingFacebook.net和iiinstagram.com之类的网站,而这些网站沦为了黑客攻击Facebook用户以及网络钓鱼的工具。 在诉讼文件中,Facebook此前已经向两家被告公司发送了多项删除请求,称这些网站侵犯了该公司的商标。Facebook表示,它已至少向ID Shield发送了5条通知,以披露“facebook-login.com”等网站背后的所有者。但是这两家公司始终没有做出回应。 这两家公司托管了至少20个类似的网站,而其中有很多网站涉嫌在Facebook和Instagram上进行非法活动。域名包括:“HackSomeonesFacebook.com”以及“BuyInstagramFans.com”等等。 这两家公司还托管了很多看起来像是官方Facebook和Instagram的URL地址网站,例如其中一个网站的URL为“ m-facebook-login.com”,而且页面设计为与Facebook的登录页面完全一样。 Facebook要求为每个域名赔偿10万美元,总计至少200万美元。Facebook发言人在一份声明中说:“人们指望我们保护我们的应用程序和服务的完整性。我们不容忍有人创建与我们的应用程序系列相关联的网址。今天的诉讼表明,我们将对这种滥用行为的使用者采取行动。”   (稿源:cnBeta,封面源自网络。)

疑似Group123(APT37)针对中韩外贸人士的攻击活动分析

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/Wnb-r7SWbGGN-XuQ8fW_jw 一、事件概述 腾讯御见威胁情报中心在2019年8月底到9月中旬,检测到一批针对疑似中韩贸易等相关人士的钓鱼攻击活动。经过分析溯源发现,疑似是Group123攻击组织的最新攻击活动。 Group123,又被称为APT37,疑似来自朝鲜的攻击组织,该组织经常攻击国内的外贸公司、在华外企高管,甚至政府部门。该组织最常使用鱼叉钓鱼邮件进行定向攻击,使用Nday或者0day漏洞进行木马捆绑和伪装。 二、技术细节分析 1、初始攻击 本次攻击活动虽然未获取到相关攻击邮件,但是从相关日志来进行分析,可以确定是一次邮件钓鱼攻击,使用的诱饵名字包括제안서.rar、BN-190820.rar、list of delivery.rar等。 2、恶意文件植入 本次投递的诱饵为一个rar的压缩文件,解压后为一个伪装成word图标和名字的可执行文件: 该可执行文件实际为一个下载器,该下载器的技术分析如下: 1) 具有延时执行功能: 2) 下载恶意模块,下载http://artmuseums.or.kr/swfupload/fla/1.jpg文件到%temp%\winsxz: 3) 解密文件,简单异或解密,密钥如下: 42 32 33 37 38 33 35 31 36 41 36 34 39 44 36 37 42 32 44 38 31 43 41 46 45 41 31 42 41 33 39 33 4) 设置注册表 实现开机启动木马: 3、RAT分析 下载回来的jpg文件经过解密后,为真正的RAT,文件路径为:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\svchost.exe 该文件加了vmp壳: 执行后创建名为HD_March的互斥量,防止重复运行: 与downloader使用同样的方法延时运行: 通过执行命令收集计算机信息,值得注意的是收集主机文档文件信息的时候含有.hwp文件信息的收集,该文件是韩国主流办公文件生成的文档文件,具有明显的地域特征: RAT的功能已控制码如下: ControlCode1 ControlCode2 行为 SLEEP interval Sleep指定时间 RUNCMD cmdline CMD Shell url SETBURL burl 下载相关 rurl remove EXEC src 执行文件 dst crypt UPLOAD type 上传文件相关 url extlist dirlist 4、下发文件分析 此外,svchost还下发了一个文件C:\\Users\\Administrator\\AppData\\Local\\Temp\\mscmgr 该文件执行后,首先读取同目录下的aconfig.ini文件,从中获取C2信息: 释放{rand}.exe文件,MD5为:6f29df571ac82cfc99912fdcca3c7b4c,初步分析该文件为winrar命令行版压缩文件: 打包指定目录下的指定扩展名文件: 扫描全盘文件,打包指定扩展名的文件: 打包的文件均上传到C2上: 有意思的是,通信中存在下面的字符串,具体意义不明: 三、关联分析 1、攻击背景 由于诱饵诱饵文件中存在的韩文,而且收集的文件中包含有韩国主流办公文件生成的文档文件hwp,此外从受控机的背景可以发现为从事一些商贸的人士,且机器中出现过包含朝鲜语的文件,因此我们猜测攻击的对象为疑似跟韩国相关的贸易人士。 此外,从攻击的C2来看,都跟韩国相关,如:artmuseums.or.kr,腾讯安图检索结果如下: 而该站点为韩国博物馆的网站,因此我们猜测攻击者先攻击了该网站,然后以改站做为C2,以此来躲避查杀: 2、基础设施关联 1) 某RAT的C2:casaabadia.es,我们关联到相关文件: 相关文件为:gallery.jpg (3cc51847c2b7b20138ad041300d7d722) 通过该文件分析,我们关联到某文章: https://www.fortinet.com/blog/threat-research/evasive-malware-campaign-abuses-free-cloud-service-targets-korean-speakers.html 虽然该文件并未明确支持组织名,但是从相关iocs的杀软家族来看为ScarCruft ,即为Group123: 2) 某些受控机在下载附件前会访问某url:www.chateau-eu.fr,具体原因不明。通过腾讯安图检索www.chateau-eu.fr如下: 而根据www.chateau-eu.fr进行反查,同样关联到另一篇文章: 该文章提到的信息跟这次攻击活动都非常相似: 如文件名svchost,但是样本无法下载,因此无法实锤; 基础设施域名重合; url都都存在wp-content。 而该文章中提到的组织正好为Group123。 3、TTPs 从攻击手法上来看,该活动的攻击TTPs、攻击对象、攻击者背景跟Darkhotel和Group123类似。但是由于攻击对象主要为韩国,以及通过RAT下发收集文件的插件的方式,跟Group123都极为相似,因此我们猜测大概率为Group123。 4、结论 综上,我们对该次攻击定性为攻击组织Group123的新的攻击活动。 四、总结 Group123是针对中国大陆攻击活动非常频繁的一个攻击组织,该组织有使用0day进行攻击的能力,因此攻击战斗力不容小觑。虽然目前发现的一些受控机都为跟外贸相关的单位和人士,但是相关的政府部门也不能掉以轻心。 五、安全建议 我们建议外贸企业及重要机构参考以下几点加强防御: 通过官方渠道或者正规的软件分发渠道下载相关软件; 谨慎连接公用的WiFi网络。若必须连接公用WiFi网络,建议不要进行可能泄露机密信息或隐私信息的操作,如收发邮件、IM通信、银行转账等;最好不要在连接公用WiFi时进行常用软件的升级操作; 3.不要打开不明来源的邮件附件、可疑文档勿启用宏代码; 4.及时打系统补丁和重要软件的补丁; 5.使用腾讯电脑管家或腾讯御点终端安全管理系统防御可能的病毒木马攻击; 6.推荐企业用户部署腾讯御界高级威胁检测系统及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) 六、附录 1、IOCs hxxp://artmuseums.or.kr/swfupload/fla/1.jpg hxxp://fjtlephare.fr/wp-content/uploads/2018/05/null/ hxxp://casaabadia.es/ wp-content/uploads/2018/06/null/ svchost.exe(RAT) e26c81c569f6407404a726d48aa4d886 list of delivery.doc.exe ce4614fcf12ef25bcfc47cf68e3d008d BN-190820.doc.exe(RAT) 94fd9ed97f1bc418a528380b1d0a59c3 plugin b23a707a8e34d86d5c4902760990e6b1 winrar 6f29df571ac82cfc99912fdcca3c7b4c 2019-08-08.doc.exe 51da0042fe2466747e6e6bc7ff6012b2 2、参考文章 1) https://www.fortinet.com/blog/threat-research/evasive-malware-campaign-abuses-free-cloud-service-targets-korean-speakers.html 2) https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07170728/Guerrero-Saade-Raiu-VB2017.pdf

新的 PHP 漏洞可能使黑客入侵在 Nginx 服务器上运行的网站

如果您正在 NGINX 服务器上运行任何基于 PHP 的网站,并且启用了 PHP-FPM 功能,请当心最近新公开的一个漏洞,黑客有可能利用这个漏洞远程入侵您的网站服务器。 PHP-FPM 是一个PHPFastCGI管理器,可为用 PHP 编程语言编写的脚本提供高级且高效的处理。 主要漏洞是 PHP-FPM 模块中的“ env_path_info”下溢内存损坏问题,攻击者可能借助这个漏洞在易受攻击的 Web 服务器上远程执行任意代码。 尽管公开发布的PoC漏洞专门针对运行PHP 7+版本的易受攻击的服务器,但PHP-FPM下溢错误也影响到了早期的PHP版本,并且可以采用其他方式进行武器化。 简而言之,如果存在以下情况,则网站容易受到攻击: NGINX经过配置,会将PHP页面请求转发到PHP-FPM处理器, fastcgi_split_path_info指令存在于配置中,并且是以’^’符号开头和以’$’符号结尾的正则表达式, PATH_INFO变量是使用fastcgi_param指令定义的, 没有诸如try_files $ uri = 404或if(-f $ uri)之类的检查来确定文件是否存在。 受影响的提供商之一就是Nextcloud,该公司昨天发布通知,警告其用户“Nextcloud NGINX的默认配置也会受到此漏洞影响”,并建议管理员立即采取行动。 在专家们向PHP开发人员小组报告该漏洞近一个月后,该漏洞补丁已于10月25号发布。 即使当前的配置不会受到攻击,用户也最好将PHP更新到最新的PHP 7.3.11和PHP 7.2.24。   消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

750 万 Adobe Creative Cloud 用户记录遭到泄露

由于配置错误,Adobe使用的 Elasticsearch 数据库无需密码就能连接。这一故障导致近 750 万 Adobe Creative Cloud 用户的基本信息暴露在互联网上。 这些信息主要包括帐户信息,涵盖用户 ID、国家、电子邮件地址、以及用户使用的Adobe 产品,还有帐户创建日期、最后登录日期,用户是否是 Adobe 员工以及订阅和付款状态。不包括密码或财务信息。 10月19日,Security Discovery 的专家 Bob Diachenko 和 CompariTech 的技术记者Paul Bischoff 发现了这些被泄露的数据。两人通知了Adobe的安全团队,后者在当天对服务器进行了维护。 这一次的数据泄漏不像过去在其他公司发现的那样严重,因为它不包含密码,付款数据,甚至没有用户的真实姓名。 但是,尚不清楚其他人是否也访问了该数据库并下载了其内容。黑客有可能向那些暴露了电子邮件地址的用户发送钓鱼邮件,并盗取用户的 Creative Cloud 帐户拿去暗网销售。 Adobe 于10月25日在一篇博客文章中对这场事故作出了回应,并表示此次事故是因为配置错误,使得服务器被暴露在互联网上。     消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

伪装成 Office 文档的 sodinokibi 勒索病毒大量攻击中韩企业

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/_F1YQR1LoapIvO2doWHl9A   一、背景 近期腾讯安全御见威胁情报中心检测到大量借助钓鱼邮件传播的sodinokibi勒索病毒攻击中韩两国企业。中招用户被勒索0.15个比特币(市值7800元人民币),中招企业主要集中在广东、山东、江苏、上海、北京等地,主要受害企业包括IT公司、科研和技术服务机构,以及传统制造企业。 钓鱼邮件伪装成以“偿还债务”、“支付汇款建议”为主题,并在附件中添加包含勒索病毒的压缩文件,中文版为“您的账号.zip”、韩文版为“송장 10.2019.zip”,解压后分别为“付款发票.xls.exe”、“10 월 송장.xls.exe”,都是伪装成表格文件的sodinokibi勒索病毒。从钓鱼邮件内容格式、主题和投递的样本类型来看,此次针对中国和韩国的攻击为同一来源。 sodinokibi勒索病毒出现于2019年4月底,早期使用web服务相关漏洞传播。病毒主要特点为对使用到的大量字串使用RC4算法进行加密,使用RSA+salsa20的方式配合IOCP完成端口模型进行文件的加密流程,加密后修改桌面背景为深蓝色并创建勒索文本<random>-readme.txt,被该病毒加密破坏的文件暂时无法解密。 腾讯安全专家提醒用户务必小心处理来历不明的邮件,推荐修改系统默认的文件查看方式,选择查看已知文件类型的扩展名,就可以简单识别那些伪装成doc、xls文档图标的危险程序。目前,腾讯电脑管家和腾讯御点均可查杀该勒索病毒。 根据腾讯安全御见威胁情报中心数据,在一天之内攻击者使用伪造的近1000个邮箱地址针对国内目标发送超过5万封钓鱼邮件,此次邮件传播的Sodinokibi勒索病毒在国内的感染地区分布如下图所示,受害最严重地区为广东、山东、江苏、上海、北京等地。 此次Sodinokibi勒索病毒影响行业分布如下,受害最严重的包括IT行业、科研和技术服务行业以及制造业等。 二、钓鱼邮件 攻击中国的邮件样本 攻击者伪装成digis.net公司的人员Min Zhu Li作为发件人,邮件标题为“你需要偿还的债务”,附件文件为“您的账号.zip”,邮件内容是非正常显示的中文字符,最后一行为“财务选择”。 该附件压缩包解压后为伪装成xlsx文件的exe可执行程序“付款发票.xls.exe”,一旦误判为电子表格双击便会运行Sodinokibi勒索病毒。 攻击韩国的邮件样本 邮箱附件文件名为 “发票10.2019(译文)”,解压后是伪装成xls文件的PE程序“10 월 송장.xls.exe”,一旦双击便会运行Sodinokibi勒索病毒。     三、Sodinokibi勒索病毒 Sodinokibi(付款发票.xls.exe)运行后首先创建互斥体 “Global\AC00ECAF-B4E1-14EB-774F-B291190B3B2B”,以保证具有唯一实例。 然后通过外壳程序从内存中解密核心勒索payload。 payload执行后首先动态解密修正IAT,共157处。之前的版本分别为修正131处、138处,此次的样本新增了19处。 通过获取键盘布局信息获取机器所在地,然后在加密时避开以下国家(主要是俄语国家及部分东欧国家)。 样本内使用的大量明文字串使用RC4算法进行了加密处理,通过动态解密后使用。 解密出所需配置文件,包含以下关键信息。 RSA公钥信息: "pzprC6xbhNFhM/+qJI6gCrd2pnCgyRdai+B89OUhWAw=" 白名单过滤目录: ["programdata","program files (x86)","windows","program files","$windows.~ws","intel","mozilla","application data","perflogs","tor browser","$windows.~bt","google","$recycle.bin","appdata","msocache","boot","windows.old","system volume information"] 白名单过滤文件: ["ntldr","ntuser.dat","ntuser.dat.log","autorun.inf","thumbs.db","bootsect.bak","bootfont.bin","ntuser.ini","desktop.ini","boot.ini","iconcache.db"] 白名单过滤后缀: ["icns","msstyles","cpl","hlp","lnk","deskthemepack","cmd","ics","adv","dll","ico","exe","com","nls","bat","rtp","spl","msu","rom","key","ocx","ps1","msp","386","drv","lock","mod","wpx","cab","idx","sys","icl","nomedia","cur","scr","hta","themepack","bin","diagcfg","shs","ldf","theme","prf","msc","mpa","msi","diagcab","ani","diagpkg"] 结束进程列表: ["sqlbrowser","isqlplussvc","msaccess","onenote","wordpad","thebat64","outlook","msftesql","winword","xfssvccon","excel","mysqld_opt","ocomm","firefoxconfig","mysqld","ocssd","dbeng50","thunderbird","ocautoupds","tbirdconfig","sqlwriter","synctime","mysqld_nt","mydesktopqos","dbsnmp","oracle","mspub","mydesktopservice","sqbcoreservice","sqlagent","encsvc","agntsvc","thebat","infopath","steam","sqlservr","powerpnt","visio"] 删除服务列表: ["veeam","backup","memtas","svc$","mepocs","vss","sql","sophos"] 另外还包括以下内容: 开始加密前通过服务管理器枚举服务,找到并删除在配置文件中指定的服务。 删除系统卷影信息防止文件恢复。 枚举磁盘及磁盘中的文件。 在文件目录下写入勒索提示文档<random>-readme.txt。 使用RSA+salsa20的方式配合IOCP完成端口模型进行文件的加密流程。 加密完成后将文件添加随机名后缀,修改桌面背景为深蓝色,并在在桌面显示文本“All of your files are encrypted! Find <random>-readme.txt and follow instuctions”。 勒索提示文档<random>-readme.txt内容如下: 根据提示内容,有两种方法可以提交赎金和解密文档: 1、安装TOR Browser (暗网浏览器) 并访问指定页面 http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/492CCF5D44A96A6E; 2、直接通过浏览器访问指定页面 https://decryptor.top/492CCF5D44A96A6E。 我们使用方法2访问进行查看,页面显示需要在6天之内购买并转账约0.15个比特币(约合人民币7800元)到比特币钱包35ekbqx8jFt9hiUWExDJKh8grznLaXGtQP,6天之后赎金会翻倍。 四、安全建议 1 企业用户针对该病毒的重点防御措施 1.该病毒主要通过垃圾邮件传播,需要企业用户小心处理电子邮件,打开文件夹选项中的“查看已知类型的扩展名”,若发现使用Office关联图标,又是含exe的多重扩展名,就表明风险极高,建议不要打开。 2. 对重要文件和数据(数据库等数据)进行定期非本地备份,普通终端电脑可以使用腾讯御点终端管理系统及腾讯电脑管家内置的文档守护者备份数据。 企业用户通用的防病毒措施 1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆; 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问; 3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理; 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器; 5、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码; 6、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 7、建议全网安装御点终端安全管理系统。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。尚未部署的企业可登录腾讯安全官网申请免费试用腾讯御点(https://s.tencent.com/product/yd/index.html)。 个人用户 1、勿随意打开陌生邮件,关闭Office执行宏代码; 2、使用腾讯电脑管家拦截病毒; 3、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。 IOCs 您的账号.zip 84f2c98a08c50db10996da7d80567695 송장 10.2019.zip 0bdbf296b7ccd864b74365449225ea22 미지급 송장.zip eb3a1a8f6db25217a85866e15bed866e sodinokibi 57191a04cf06228c0643cc99b252ad1e 0fd100bc752335d0023893cc2104019a 33d31fee52e03138f9582232da8df284 比特币钱包: 35ekbqx8jFt9hiUWExDJKh8grznLaXGtQP 垃圾邮件发件人邮箱地址(部分): kostergaard@digis.net sbsoo@plantynet.com payment@scholaranswer.com gina@firegalwisdom.com micah@everettwalocksmith.com julia@bluechiptraining.com eric@homedames.com gh156@zrtg.com reed.pannell@metis-media.com me@bankim.net jenna@charlesandvalerie.com iszy@iszard.com jchauvet@corptw.com info@maestrobobbyramirez.com matt@sheetssupply.com nobouncewangyi03@haohua.chemchina.com operacional@swjexpress.com meredith@dawnfam.com leonardo.claudio@zap.co.ao cbaker@requisite-development.com jim@intelinternational.com info@trendestly.com andy@themktgco.com legare@legaresbeads.com karen@richert.ca info@yoasobi365.com john@codecommode.com customercare@coutureandtiaras.com mark@happywatch99.com support@logoman.ca azul@azulnight.com info@polvodellanta.mx marocco@studiosoftware.net timberpines@arnauds.net info@refrigerationottawa.ca zhangjq@postel.com.cn rizna.trinayana@exploraprima.com gazunta@gazunta.com social@thegirafe.com stratford@futurestepsintl.com frankdoerr@schlau.com jcampos@intica.cl hrd.ga@369-group.com emilio@karakey.com cbb@dalgashave.dk info@billetawoodphotography.com.au crenova@crenova.ma aude@rondvert.com nina@mypost.com pdseo@partydepotstore.com fabio.carvalho@alphaclube.com.br mauricio@infoxpert.com.br zhanglimin@sunhongs.com wangchunming@bqhszy.com lumingming@bjca.org.cn treefrog@go4more.de info@drhinkens.com jon@blossom-landscaping.com info@polkcountyfarms.org szczesny@sttb.pl rajat@ridobiko.com rajkishore.bhuyan@rakbgroup.com bondi@bangkokbites.com.au cofm604@domozmail.com burner@computerdoctors.org gaizers@sourcecode.co.th lisa@newquaycleaner.com steve.prime@primefamily.org michaellapeyrouse@hikag.com mengqj@seari.com.cn neva1945@surnet.cl cesarcabanillas@eprofsa.com tg.foot@tsf47.net info@stratacomm.com elacasta@inicia.es stephaniem@rittermail.com jackj@americananglers.net higor@icbrasil.inf.br postmaster@corpease.net redaccion@revistafantastique.com kathi@kathikirchmeier.com submissions@roofnexteriorsco.com pollyanacurcio@maismaquinas.com oliver@kane.ac peter@best-internet-security.uk info@locksmithincollegepark.com cw@zscg.com christopher@4sanchez.com pink-ma@barak.net.il hanlang@yaic.com.cn 参考资料: 警惕sodinokibi勒索病毒借助钓鱼邮件传播,被加密的文件暂不能解密

美国国土安全部门及 FBI 发布警告 提醒企业防范恶意脚本注入

E-skimming 是指黑客将恶意代码植入电子商务网站,并窃取信用卡数据或个人身份信息的行为。联邦调查局(FBI)近期对企业发布警告,提醒他们注意此类型的攻击。 “此警告专门针对在线进行信用卡付款的中小型企业和政府机构。黑客会通过将恶意代码注入网站来盗取信息。他们可能已经通过钓鱼攻击和攻击服务器厂商获得了员工访问权限。”——FBI. E-skimming 最早于2016年出现并迅速发展。在过去的几年中,黑客在 Magecart 组织下进行了许多次攻击。 实现 e-skimming 的方式有多种,例如利用电子商务平台 Magento,OpenCart 中的漏洞等等。其他方法还包括通过供应链攻击破坏这些平台的插件,或者将信用卡读取脚本注入某个公司的网站,或者获取管理员权限并在电子商店中植入恶意代码。 Magecart  组织的黑客主要致力于利用软件盗窃者窃取支付卡数据。自2010年以来,安全公司至少盗取了十几个团体的活动 ,其中就包括  英国航空,  Newegg,  Ticketmaster,  MyPillow和Amerisleep以及  Feedify。 为防范黑客攻击,FBI 提供了如下建议: 1.使用最新的安全软件更新和修补所有系统。需要将防病毒和反恶意软件升级到最新版,并且开启防火墙。 2.更改所有系统上的默认登录凭据。 3.对员工进行网络安全教育,不要轻易点击邮件中的链接或附件。 4.隔离和分段网络系统,防止黑客连续攻击。     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Facebook:来自伊朗和俄罗斯的对美大选干预正在路上

据外媒报道,就在微软披露了一场由伊朗人领导的网络运动以此来破坏2020年美国大选的几周后,Facebook宣布删除了一些旨在传播虚假信息的不真实账户、页面和群组。与此同时,这家社交网络公司还概述了几项将有助于在2020年美国大选之前“保护民主进程”的新战略。 Facebook网络安全政策主管Nathaniel Gleicher对此专门发表了一篇详细的帖子。据其披露,Facebook发现并清除了来自四个不同网络账户,包括100多个Facebook和Instagram虚假账户。其中三个可疑网络被发现跟伊朗有关,一个在跟俄罗斯有关,它们的大部分欺骗活动针对的则都是美国。 有趣的是,俄罗斯的活动主要被确定为来自Instagram,对此Facebook删除了50个可疑账号。Gleicher写道:“这次行动显示了一些跟互联网研究机构(IRA)的联系并有一个资源充足的行动的标志,其采取了持续的行动安全措施来隐藏他们的身份和位置。” 一个来自美国保守团体的表情包被一个跟俄罗斯有关的账号分享 社交媒体分析公司Graphika也独立核实了Facebook的调查并发布了一份相关报告。 Graphika报告中列出的一个例子:2016年被认定来自俄罗斯的一个网络迷因,2019年似乎又被重新利用 与此同时,Facebook还提出了一些新措施以帮助在2020年美国大选前对抗这些外国威胁。Facebook表示,它将通过明确识别网页所有者、标注国家控制的媒体来源以及为民选官员的账户提供更强的安全保护来提高透明度。 另外,Facebook还称,在第三方事实核查人员审查之前它将减缓被标记为可能虚假的内容的传播从而更快地防止虚假信息的病毒式传播。 “我们不会核实政治广告的真实性,”马克·扎克伯格最近在一次演讲中说道,“我们这样做不是为了帮助政客,而是因为我们认为人们应该能够自己看到政客们在说什么。如果内容有新闻价值,我们也不会撤下它,即使它跟我们的许多标准相冲突。” 作为对Facebook这一政策立场的回应,美国民主党总统候选人伊丽莎白·沃伦发文称,其团队曾在10月初在该平台购买了一则政治广告,而这则广告的内容并不真实。对此,外媒戏谑,扎克伯格的最新表态暗示了他将支持特朗普连任。     (稿源:cnBeta,封面源自网络。)

黑客盗取 BriansClub 超过 2600 万张信用卡信息

BriansClub 通过贩卖信用卡中的个人信息而盈利,是世界最大的黑市网站之一,却与于不久前遭到了黑客的攻击。最先报告数据泄露事件的 Brian Krebs 表示,黑客窃取了超过2600万张信用卡的信息。 专家估计,从 BriansClub 泄漏的被盗卡总数约占黑市上可用卡的30%。 BriansClub 的管理员确认,网站的数据中心已于今年早些时候被黑客入侵,并且声称被盗数据已经删除,但有多个消息确认这些数据仍在BriansClub上销售。 Krebs 还是俄罗斯黑客论坛 Verified 的管理员。据他所说,BriansClub 的攻击者的昵称为 “ MrGreen” ,并且他还经营着一家与自己同名的信用卡店。 目前这名 “ MrGreen” 已经被 Verified 拉黑。     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接