分类: 热点

美运营商对短信路由方式做出安全调整

根据帮助短信路由的通信公司Aerialink的公告,美国所有的主要运营商都对短信的路由方式进行了重大改变,以防止黑客能够轻易地对目标短信进行改道。此举是在Motherboard网站调查后发生的。 该调查发现一个黑客,以最小的努力,支付16美元,就可以重新路由短信,然后使用这种能力,闯入一些在线帐户,包括Postmates,WhatsApp和Bumble,暴露了美国电信基础设施存在的一个缺陷。 3月25日来Aerialink公告表示,无线运营商将不再支持在各自的无线号码上启用短信或彩信文本,这一变化是全行业的,影响到移动生态系统中的所有短信提供商。请注意,Verizon、T-Mobile和AT&T已经在全行业范围内收回了被覆盖的支持短信的无线号码。因此,任何Verizon、T-Mobile或AT&T的无线号码,如果曾作为BYON启用文本,则不再通过Aerialink网关路由消息流量。 T-Mobile,Verizon和AT&T没有立即回应评论请求。联邦通信委员会(FCC)和CTIA(运营商的贸易机构)也没有回应评论请求。上周,Motherboard公布了一项调查,其中假名Lucky225的黑客向一家名为Sakari的公司支付了一小笔钱,以证明这个问题,此前并没有详细报道。Sakari是一家帮助企业进行短信营销和群发信息的公司。作为其中的一部分,Sakari从另一家名为Bandwidth的公司获得了短信改道的能力,而Bandwidth又从另一家名为NetNumber的公司获得了这种能力。 当输入相应的电话号码时,Lucky225被要求签署一份文件,基本上是用小指头发誓确保目标已同意短信改道。Lucky225真实身份是网络安全公司Okey Systems的首席信息官,在输入Motherboard提供的电话号码几分钟后,Lucky225就开始收到原本要发给Motherboard手机的短信。从这里,Lucky225登录了各种使用短信作为登录或认证机制的服务。 不难看出,这种攻击对安全保障造成的巨大威胁。美国联邦通信委员会必须利用其权力迫使电话公司保护其网络免受黑客攻击。对此,Sakari公司联合创始人Adam Horsman表示,Sakari推出了一项安全功能,输入的号码会收到一个自动呼叫,以确保号码所有者同意信息改道。现在,随着运营商切断手机号码短信的启用,广大的商业短信公司生态系统很可能根本无法执行这项服务。 Horsman在周四的一份声明中告诉Motherboard,我们欢迎这一消息,并希望行业内的其他公司也能效仿。我们Sakari的政策一直是只支持VoIP和固定电话号码的短信功能,一旦行业问题被提出,我们就对任何移动号码进行了全面封杀。 作为我们内部审计的一部分,除了Lucky225的账户,我们没有发现其他手机号码受到影响。           (消息来源:cnBeta;封面源自网络)

微软分享 Exchange Server 攻击背后的破坏活动情报

许多企业内部的Exchange服务器正在忙着打补丁,但微软警告说,调查发现,在已经被入侵的系统上潜伏着多种威胁。攻击者惯常使用Web Shell脚本来获得服务器上的持久权限,或者攻击者在早期的攻击中就已经窃取了凭证。微软在3月2日发布了Exchange内部系统的补丁。四个Exchange错误已经受到了一个名为Hafnium的国家支持的黑客组织的攻击。 微软本周早些时候表示,已经检测到92%的脆弱的Exchange服务器已经打了补丁或采取了缓解措施。然而,网络安全公司F-Secure表示,已经有 “数万台”Exchange服务器被入侵。 在一篇新的博客文章中,微软重申了它的警告,即 “给系统打补丁并不一定能消除攻击者的访问”。”许多被入侵的系统还没有收到二次行动,例如人为操作的勒索软件攻击或数据外流,这表明攻击者可能正在建立和保留他们的访问权限,以便以后的潜在行动,”微软365 Defender威胁情报团队指出。 在系统被入侵的地方,微软敦促管理员实践最小特权原则,减轻网络上的横向移动。最低权限将有助于解决常见的做法,即Exchange服务或计划任务已被配置为具有高级权限的帐户来执行备份等任务。”由于服务账户凭证不会经常改变,这可以为攻击者提供很大的优势,即使他们由于防病毒检测而失去了最初的Web Shell访问,因为该账户可以用于以后提升权限,”微软指出。 以DoejoCrypt勒索软件(又名DearCry)为例,微软指出,该病毒株使用的web shell会将一个批处理文件写入C:\Windows\Temp\xx.bat。这在所有被DoejoCrypt击中的系统中都被发现,并且可能为攻击者提供了一条重新获得访问的途径,在那里感染已经被检测和删除。 “这个批处理文件会执行安全账户管理器(SAM)数据库以及系统和安全注册表蜂巢的备份,允许攻击者稍后访问系统上本地用户的密码,更关键的是,在注册表的LSA[本地安全]部分,那里存储着服务和计划任务的密码,”微软指出。 即使在受害者没有被勒索的情况下,攻击者使用特殊设计后的xx.bat批处理文件也可以通过当初投放该文件的Web Shell设法继续访问。在下载勒索软件载荷和加密文件之前,Web Shell还会协助下载Cobalt Strike渗透测试套件。换句话说,受害者今天可能没有被勒索,但攻击者已经在网络上留下了明天动手的工具。 Exchange服务器面临的另一个网络犯罪威胁来自于恶意加密货币矿工。据观察,Lemon Duck加密货币僵尸网络就在利用脆弱的Exchange服务器。有趣的是,Lemon Duck的操作者用xx.bat文件和一个Web Shell清理了一台之前已经被黑过的Exchange服务器,使其独占Exchange服务器的权限。微软还发现,服务器被用来安装其他恶意软件,而不仅仅是挖掘加密货币。 微软同时公布了大量的泄密指标,系统管理员可以利用这些指标来搜索这些威胁的存在和凭证被盗的迹象。           (消息及封面来源:cnBeta)

Android 间谍软件伪装成系统更新

安全研究人员表示,一种强大的新型Android恶意软件伪装成关键的系统更新,可以完全控制受害者的设备,并窃取他们的数据。该恶意软件被发现捆绑在一个名为 “系统更新 “的应用中,必须在Android设备的应用商店Google Play之外安装。 一旦用户安装后,该应用就会隐藏并隐秘地将受害者设备中的数据发送到的自己控制的服务器。发现该恶意应用的移动安全公司Zimperium的研究人员表示,一旦受害者安装了该恶意应用,该恶意软件就会与运营商的Firebase服务器进行通信,用于远程控制设备。 该间谍软件可以窃取信息、联系人、设备细节、浏览器书签和搜索历史记录,从麦克风记录通话和环境声音,并使用手机摄像头拍照。该恶意软件还可以跟踪受害者的位置,搜索文档文件,并从设备的剪贴板上抓取复制的数据。 恶意软件隐藏在受害者身边,并试图通过向攻击者的服务器上传缩略图而不是完整的图像来减少网络数据的消耗,从而逃避捕获。该恶意软件还能捕获最新的数据,包括位置和照片。 Zimperium首席执行官Shridhar Mittal表示,该恶意软件很可能是定向攻击的一部分。诱骗别人安装恶意应用是一种简单但有效的方法,可以危害受害者的设备。这就是为什么安卓设备会警告用户不要安装应用商店以外的应用。但许多旧设备并不能运行最新的应用,迫使用户依赖来自盗版应用商店的旧版应用。             (消息及封面来源:cnBeta)  

37 多万台 Exchange 服务器已部署补丁

本月对于 IT 管理员来说是非常忙碌的,因为他们不得不尽快对内部的 Exchange Server 实例部署补丁。不过在政府的高度重视、微软的积极引导下,现在情况有所好转。微软今天宣布,92% 易受攻击的 Exchange IP 均已部署补丁或者得到缓解。 微软安全响应中心(MSRC)今天发布推文,表示 Exchange Server 实例被修复的势头强劲。在推文中写道:“我们的工作仍在继续,但是我们看到内部 Exchange 服务器更新的强劲势头。全球92%的 Exchange IP 已经打上补丁或得到缓解。上周全球范围改善了 43%” 。 从上图可以看到,还有将近 3 万个实例并没有被打上补丁。根据 RiskIQ 的遥测数据,在微软自 3 月 1 日以来观察到的 40 万个实例中,约占 8%。除了 IT 管理员的努力外,显著的减少可以归功于微软在过去几周内发布的多个建议,以及它在 Microsoft Defender 中引入的一键工具和自动缓解功能。 该公司还发布了对不再支持的预置Exchange Server实例的带外更新。剩下的实例需要多长时间才能打上补丁还有待观察,但微软可能会寄希望于未来几周持续的势头,以便实现这一目标。         (消息来源:cnBeta;封面源自网络)

破解 D-Link DIR3060 固件加密—分析篇(上)

在第一篇中,我们突出了相关侦察步骤!在本文中,我们深入研究了IDA历险,更好地了解imgdecrypt如何操作,以确保最新路由器型号的固件完整性。 将二进制文件加载到IDA中时,将会出现一个功能列表。我们已经发现二进制代码应该是从调试符号中剥离出来的,使得调试整个代码变得较为困难,但从IDA提供给我们的方式来看,它还是相当不错的。 … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1524/           消息来源:Low-level adventures,译者:小江; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

71% 的 Office 365 用户遭恶意账户接管

网络检测和响应公司Vectra AI的最新研究显示,由于COVID-19,88%的公司已经加快了云和数字化转型项目。但它还发现,71%的Office 365用户遭遇恶意账户接管。 令人担忧的是,只有三分之一的安全专业人员认为他们可以立即识别和阻止账户接管攻击,大多数人预计需要几天甚至几周的时间来拦截这种违规行为。Vectra公司CTO团队技术总监Tim Wade说:”我们经常看到基于身份的攻击被用来绕过传统外围防御,如多因素认证(MFA)。帐户接管正在取代网络钓鱼成为最常见的攻击载体,而MFA防御系统现在已经变成减速带,而无法阻止攻击。组织需要认真对待这一点,并计划在业务发生实质性中断之前检测和控制账户泄露。恶意访问,即使是短时间的,也会造成巨大的损失。” 安全团队对自己公司安全措施有效性有很高的信心。近五分之四的人声称对绕过防火墙等外围防御的攻击有良好或非常好的可视性。然而,管理层受访者和SOC分析师等从业人员之间的意见存在有趣的对比,管理人员对自己的防御能力表现出更大的信心。总的来说,微软Office365客户提到的最主要的安全问题是云端保存的数据被泄露的风险、账户被接管的风险以及黑客隐藏行踪的能力。 经理们明显比那些在工作场所进行具体工作的人更有信心,这里有一定程度的自欺欺人,也许是因为与高级管理层分享的指标往往更多关注的是被阻止的攻击量,而不是攻击的严重性或达成确定结论的调查数量。不管是什么原因,重要的是不要自满,要对新类型的攻击保持持续的警惕。           (消息及封面来源:cnBeta)

微软或从美国网络安全资金中获 1.5 多亿美元拨款

北京时间3月16日早间消息,据报道,消息人士称,微软将从美国政府获得1.5亿美元的网络安全资金,这占了美国新冠救助资金中用于网络安全防卫的近四分之一。然而,一些立法者对此感到不满,他们并不希望美国政府为这家软件公司提供资金。黑客攻击对国家安全构成重大威胁,这令美国立法者深感挫折,因此美国国会在周四签署的新冠救助法案中配置了网络安全方面的援助资金。 俄勒冈州参议员罗恩·怀登(Ron Wyden)是国会情报委员会的主要民主党人,他说:“微软长期忽视软件设计方面的缺陷,造成了重大漏洞,并被黑客所利用。如果解决这一问题的唯一办法是给微软更多的钱,那么政府需要重新评估对这家公司的依赖。”“对那些向政府销售不安全软件的公司,如果还继续给与更大的政府合同,这样的做法无异于是在奖励这些公司。” 微软此前表示,它将优先修复那些遭到广泛攻击的漏洞。 根据媒体获得的一份美国网络基础设施安全开支计划草案,在6.5亿美元的新资金中,约有1.5亿多美元被用于“安全云平台”的建设。知情人士透露,这笔钱实际上已经编入了微软的预算,主要用于帮助联邦机构升级现有的微软软件,以提高其云系统的安全性。 微软的一项称为“活动日志”的关键服务,允许其客户端监视其所在云中的数据流量,从而发现可能的黑客活动。微软周日表示,尽管其所有云产品都具有安全功能,“但规模较大的组织机构可能需要更先进的功能,比如更深入的安全日志以及调查这些日志并采取行动的能力。” 大多数主要软件都曾经遭到过黑客的攻击,而微软产品的广泛流行性又使其成为了黑客们的首要目标。 许多针对政府机构以及私营公司的攻击是通过操纵微软的系统来进行。 虽然主管网络的一些美国高官认为除了向微软拨款别无选择,但怀登和其他三名立法者已公开对这一拨款计划表示担忧。在2月26日的一场听证会上,针对微软收取额外日志费用的问题,罗得岛州众议员吉姆·兰格文(Jim Langevin)就向微软总裁布拉德·史密斯(Brad Smith)提出了质疑。 兰格文问道:“这究竟是微软的一种盈利方式,还是向客户提供的成本价服务?” 史密斯的回答是:“我们是一家营利性公司。我们所做的一切都是为了产生回报,而不是做慈善。” 微软已经把安全产品变成了一个重要的收入来源,该业务目前每年可为微软带来100亿美元的收入,较以前增长了40%。         (消息及封面来源:cnBeta)

10 余个 APT 黑客组织攻击微软 Exchange 服务器

3 月 2 日,微软面向 Microsoft Exchange Server 2013, 2016 和 2019 紧急发布带外(Out of Band)安全更新,修复了一个预认证的远程代码执行(RCE)漏洞链(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065)。 黑客可以利用这些漏洞在不知道有效账户凭证的情况下接管任意可访问的 Exchange 服务器。截止发稿为止,目前有超过 5000 台右键服务器检测到了 webshells,超过 6 万个客户受到影响,而欧洲银行业管理局等多个重要机构遭到攻击。 该漏洞最早是由知名漏斗研究专家 Orange Tsai 发现的,他在 2021 年 1 月 5 日向微软报告了这些漏洞。不过根据外媒 Volexity 的报道,有迹象表明早在 1 月 3 日就有黑客利用该漏洞链发起了攻击。因此,如果这些日期是正确的,那么这些漏洞要么是由两个不同的漏洞研究团队独立发现的,要么就是这些漏洞的信息以某种方式被恶意团伙获得。 2021 年 2 月 28 日开始,不断有 Exchange 用户遭到网络攻击,首先是 Tick,然后 LuckyMouse、Calypso 和 Winnti 团伙也开始迅速发起攻击。这表明,多名黑客在补丁发布之前就获得了漏洞的细节,这意味着我们可以摒弃他们通过对微软更新进行逆向工程构建漏洞的可能性。 在补丁发布的第 2 天,黑客采取了更加疯狂的攻击,包括 Tonto Team 和 Mikroceen 等团队也对 Exchange 服务器发起攻击。有趣的是,所有这些都是对间谍活动感兴趣的高级持续威胁(APT)组织,除了一个例外(DLTMiner),它与一个已知的加密采矿活动有关。下图是攻击时间线概要。 在过去几天时间里,ESET 研究人员一直在密切关注这些漏洞的 webshell 检测数量。基于 ESET 的遥测数据,在补丁发布日有超过 115 个国家的 5000 多台 Exchange 服务器被标记为 webshell,而实际受感染的服务器数量肯定更多。图 2 展示了微软补丁前后的检测情况。 图 3 的热图显示了根据 ESET 遥测的 webshell 检测的地理分布情况。由于大规模的利用,它很可能代表了全球安装 ESET 安全产品的易受攻击的 Exchange 服务器的分布情况。 ESET 已经确定了超过 10 个不同的网络威胁者,他们很可能利用最近的 Microsoft Exchange RCE,以便在受害者的电子邮件服务器上安装植入物。 我们的分析是基于电子邮件服务器,我们在这些服务器上发现了离线地址簿(OAB)配置文件中的webshell,这是利用RCE漏洞的一种特殊技术,已经在42单元的一篇博客文章中详细介绍过。遗憾的是,我们不能排除一些威胁行为者可能劫持了其他组投放的webshells,而不是直接使用该漏洞。一旦漏洞被利用,webshell 被安装到位,我们观察到有人试图通过它安装更多的恶意软件。我们还注意到,在某些情况下,几个威胁行为者针对的是同一个组织。           (消息及封面来源:cnBeta)

报道称 SolarWinds 黑客或已入侵 NASA 和 FAA 网络

据《华盛顿邮报》周二报道,SolarWinds黑客或已入侵美国宇航局(NASA)和美国联邦航空管理局(FAA)的网络,这是针对美国政府机构和私营公司的更广泛的间谍活动的一部分。这是在参议院情报委员会举行听证会前几个小时发生的,该委员会的任务是调查这次广泛的网络攻击。美国政府此前表示,这次攻击“很可能源自俄罗斯”。 NASA发言人没有对该报道提出异议,但以 “正在进行的调查”为由拒绝发表评论。FAA的发言人没有回应置评请求。 据悉,NASA和FAA是被证实受到攻击的9个政府机构中剩下的两个未命名的机构。其他七家包括商务部、能源部、国土安全部、司法部和国务院、财政部和国家卫生研究院,不过据信攻击者并没有入侵他们的机密网络。FireEye、微软和Malwarebytes等多家网络安全公司也在攻击中被攻破。 据报道,拜登政府正在准备对俄罗斯进行制裁,很大程度上是因为黑客攻击活动,《华盛顿邮报》也报道了这一消息。 去年,FireEye在自己的网络被攻破后,对黑客活动发出警报后,发现了这些攻击。每个受害者都是美国软件公司SolarWinds的客户,该公司的网络管理工具被联邦政府和财富500强企业广泛使用。黑客入侵SolarWinds的网络,在其软件中植入后门,并将后门与受污染的软件更新推送到客户网络中。 这不是唯一的入侵方式。据称,黑客还瞄准了其他公司,侵入受害者网络上的其他设备和电器,以及瞄准微软厂商,入侵其他客户的网络。 上周,上个月被提拔到白宫国家安全委员会,担任负责网络和新兴技术的副国家安全顾问的前国家安全局网络安全主管安妮·诺伊伯格表示,这次攻击花了 “几个月的时间来计划和执行”,“我们需要一些时间来逐层揭开这个真相”。         (消息及封面来源:cnBeta)

Sysrv-hello 僵尸网络集木马、后门、蠕虫于一身,攻击 Linux、Windows 主机挖矿

一、概述 腾讯安全威胁情报中心检测到Sysrv-hello僵尸网络对云上Nexus Repository Manager 3存在默认帐号密码的服务器进行攻击。得手后再下载门罗币矿机程序挖矿,同时下载mysql、Tomcat弱口令爆破工具,Weblogic远程代码执行漏洞(CVE-2020-14882)攻击工具进行横向扩散。其攻击目标同时覆盖Linux和Windows操作系统。 Sysrv-hello僵尸网络挖矿前,恶意脚本还会尝试结束占用系统资源较多的进程,以独占系统资源,这一行为可能造成企业正常业务中断。CVE-2020-14882漏洞由Oracle 2020年10月21日发布公告修复,属于较新的漏洞攻击工具,因部分企业漏洞修复进度较慢,使得该团伙的攻击成功率较高。 该僵尸网络于2020年12月首次被国内安全研究人员发现,由于具备木马、后门、蠕虫等多种恶意软件的综合攻击能力,使用的漏洞攻击工具也较新,仅仅用了一个多月时间,该僵尸网络已具有一定规模,对政企机构危害较大。   自查处置建议 腾讯安全专家建议政企用户尽快修复weblogic远程代码执行漏洞(CVE-2020-14882),修复Nexus Repository Manager 3、mysql、Tomcat服务器存在的弱口令风险,对系统以下条目进行排查: 文件: Linux: /tmp/network01 /tmp/sysrv /tmp/flag.txt   Windows: %USERPROFILE%\appdata\loacal\tmp\network01.exe %USERPROFILE%\appdata\loacal\tmp\sysrv.exe   进程: network01 sysrv   定时任务: 排查下拉执行(hxxp://185.239.242.71/ldr.sh)的crontab项   腾讯安全响应清单 腾讯安全全系列产品支持在各个环节检测、防御Sysrv-hello僵尸网络对云上主机的攻击。   具体响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)威胁情报已加入,可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Sysrv-hello相关情报已支持检索,可自动关联分析到该病毒家族最新变种,使用资产。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud  Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,阻断恶意攻击流量,阻断恶意通信流量: 1)Sysrv-hello相关联的IOCs已支持识别检测; 2)支持检测和拦截Sysrv-hello发起的Nexus 恶意攻击、weblogic(CVE_2020_14882)恶意攻击; 3)支持检测mysql爆破攻击。 有关云防火墙的更多信息,可参考:  https://cloud.tencent.com/product/cfw 腾讯T-Sec   主机安全 (Cloud  Workload Protection,CWP) 1)云镜已支持Sysrv-hello关联模块的检测告警,查杀清理。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。 关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)支持识别、检测Sysrv-hello相关联的IOCs; 2)支持检测和拦截Sysrv-hello发起的Nexus 恶意攻击、weblogic(CVE_2020_14882)恶意攻击; 3)支持检测mysql爆破攻击。 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec 零信任无边界 访问控制系统 (iOA) 1)已支持Sysrv-hello关联模块的检测告警和查杀清理。 零信任无边界访问控制系统(iOA)是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念,推出的网络边界访问管控整体解决方案。更多资料,可参考:https://s.tencent.com/product/ioa/index.html   二、详细分析 腾讯云防火墙检测到Sysrv_hello僵尸网络针对使用Nexus Repository Manager 3默认账户密码资产发起攻击,下图为攻击过程中产生的恶意payload。 恶意payload执行后Nexus将添加名为t的task脚本执行任务,该任务触发执行后(“action”:”coreui_Task”,”method”:”run”…)进一步下拉恶意脚本执行,恶意脚本地址(hxxp://185.239.242.71/ldr.sh) ldr.sh恶意脚本首先会尝试卸载云主机安全软件(aliyun,yunjing),停止部分服务(安全软件,挖矿木马),同时删除部分docker挖矿镜像。 清理高CPU占用进程达到资源独占目的(对CPU占用达到50%的进程进行清理) 尝试下载矿机命令执行,进程名为network01,矿池,钱包地址如下: Pool.minexmr.com 49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa xmr.f2pool.com 49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa 下载sysrv蠕虫扩散模块、下载挖矿守护进程功能模块执行 最后将其自身写入计划任务,并删除本地相关对应文件 该木马不仅攻击Linux系统,同时发现针对Windows平台的恶意载荷,攻击Windows系统成功后会植入powershell恶意脚本,脚本会进一步拉取Windows平台的相同模块到tmp目录执行。 Linux系统下sysrv模块通过使用52013端口作为互斥量,端口开启状态判定为已感染环境直接退出,否则打开本地该端口进行占用。 sysrv通过检测进程,判断network01进程(矿机进程)是否正常运行,如果未正常运行,就在tmp目录进一步释放出文件内嵌的elf文件,并命名为network01将其执行。 network01模块为门罗币矿机程序,该团伙通过清理可能的竞品挖矿进程或其他占CPU资料较多的进程实现独占CPU资源挖矿。 sysrv确认挖矿行为正常运行后,会开始进行蠕虫式的攻击传播:进行随机IP的端口扫描与漏洞利用,会尝试对mysql,Tomcat服务进行爆破攻击,尝试对Weblogic服务使用CVE-2020-14882漏洞(该漏洞公告由Oracle官方于2020年10月21日公开)进行远程代码执行攻击,这一横向扩散行为使该团伙控制的肉鸡规模迅速增大。 hello_src_exp爆破,漏洞利用组合攻击 攻击mysql服务使用的弱口令爆破字典 攻击Tomcat服务使用的爆破口令 对Weblogic组件利用CVE-2020-14882 远程代码执行漏洞攻击,该安全漏洞为2020年10月Oracle官方公告修复,属于相对比较新的漏洞攻击武器。 IOCs MD5: 33c78ab9167e0156ff1a01436ae39ca1 6db4f74c02570917e087c06ce32a99f5 750644690e51db9f695b542b463164b9 d708a5394e9448ab38201264df423c0a bc2530a3b8dc90aca460a737a28cf54b 236d7925cfafc1f643babdb8e48966bf URL: hxxp://185.239.242.71/ldr.sh hxxp://185.239.242.71/ldr.ps1 hxxp://185.239.242.71/xmr64 hxxp://185.239.242.71/xmr32 hxxp://185.239.242.71/xmr32.exe hxxp://185.239.242.71/xmr64.exe hxxp://185.239.242.71/sysrv hxxp://185.239.242.71/sysrv.exe IP: 185.239.242.71(ZoomEye搜索结果) 矿池&钱包 pool.minexmr.com xmr.f2pool.com 49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa