分类: 安全快讯

UU 页游助手升级通道传播独狼 Rootkit 病毒,已感染上万台电脑

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/MchLCxba26Z0KMZthv-uLA 一、概述 腾讯安全威胁情报中心检测发现,UU页游助手通过其软件升级通道,传播独狼Rootkit病毒。独狼Rootkit家族是一个长期依赖第三方Ghost镜像传播的恶性锁主页后门病毒。本次由于通过借助UU页游助手推广渠道流氓传播,使得独狼Rootkit病毒在短时间内感染量激增,受害网民已过万,分布在全国各地。中毒电脑会出现莫名其妙安装不请自来的软件、频繁弹出广告、浏览器主页被锁定等现象。 二、病毒分析 UU页游助手安装完毕后,会在安装目录内安装名为PopTip.exe的模块,该模块负责与hxxp://update.uuyyzs.com/query_action.php页面通信。 PopTip.exe模块负责拉取弹窗广告信息、托盘广告信息、升级信息等,例如下图中从云端拉取的Mini页信息。 由于广告窗口没有显示厂商标识,没有广告来源信息,该软件在系统托盘区闪动消息提示,点击后会自动创建桌面页游图标,这些行为令用户十分反感。而PopTip.exe模块提供的升级功能,较多使用了流氓手段恶意推广安装,其中甚至包含病毒木马文件。 PopTip.exe模块通过“虚假更新提示”的弹出框恶意推装用户不需要的软件:该窗口右上角的关闭按钮,无论如何点击均无法关闭,该弹出框强迫用户点击升级完成按钮。该窗口还默认勾选两个文字描述模糊,颜色极浅的可选项。放大图片发现分别为亿迅图片转换器和数据优化。用户点击完成,UU游戏助手则进行全程静默安装行为。 当前版本的poptip.exe模块通过以下两个地址,拉取推装程序到Roaming目录静默安装执行: hxxp://www.fikuu.com/app/YXConvert_105301.exe(亿迅图片转换器) Hxxp://www.jia7788.top:7788/new/a109.exe(数据优化服务:实际为病毒文件) a109.exe模块会判断当前系统内是否包含安全软件的进程,当进程存在则向其窗口发送WM_QUIT尝试退出相关进程,同时该模块通过拉起系统svchost.exe作为傀儡进程执行恶意代码,释放随机名的驱动程序。或下载执行xww999.exe执行释放随机名驱动程序,将独狼Rootkit模块植入到系统内。 独狼Rootkit病毒,该病毒的特点之一是通过创建Minifilter文件过滤系统,用户使用系统文件管理器就会发现Drivers目录不可见,同时将所有访问病毒驱动随机名母体文件的请求重定向到系统acpi.sys文件。意思是,当你试图查看那些莫名其妙进来的随机文件名驱动文件时,你看到的实际是acpi.sys。 独狼Rootkit模块最终通过插APC的方式向浏览器进程注入恶意代码达到主页劫持、后门代码驻留等恶意行为。 独狼rootkit病毒会向浏览器进程注入恶意代码,实现劫持浏览器启动命令行,达到主页劫持的目的。 分析发现,当前主页配置信息暂未下发,病毒暂未执行锁定用户浏览器主页的能力。推测当前病毒处于投递扩散期,保留了部分恶意行为暂不执行,当其感染量到达一定程度时,再随时下发劫持指令,实现浏览器劫持功能。 独狼Rootkit病毒可劫持数十款主流浏览器软件,包括IE、Chrome及其他国内用户常见的浏览器等等: 以插apc的方式向浏览器注入恶意代码: 我们通过对该病毒以往版本的分析,知道该病毒可以简单修改或升级配置,实现对浏览器主页的锁定功能,通常会将浏览器主页劫持到带推广id的2345广告站点。 当前病毒配置 简单构造病毒劫持配置文件desktop.ini 打开浏览器主页发现主页已被劫持到指定地址: 三、解决方案及安全建议 网上各种小众工具软件分发渠道良莠不齐,不少软件下载站暗藏玄机,很容易下载安装不需要的软件,甚至部分软件下载站还会推广危害严重的勒索软件。腾讯安全专家建议用户尽可能从相应软件的官方网站下载软件,或者通过腾讯电脑管家的软件管理功能下载需要的软件,启用腾讯电脑管家的权限雷达,帮助过滤软件包中存在的静默安装、恶意弹窗,管理开机自动运行等有损用户体验的情况发生。 腾讯电脑管家查杀UU页游助手 管家急救箱清理独狼Rootkit木马 IOCs MD5: 717d43d175430844467993ac4834396f 21a9876550dcebe12df9ec1011a01035 75f39f61ecc20a088766eb319d1ec9e2 7652ad8e2c69bef67c786eff3e9e3ef3 51991e47adb0b9160f077a0fc722f115 238b0180e66d16309efe50143b46560d 94f31a6d0d3243811705e0c9796cf060 8ec5ee614f76d0c547e2b76a52e8dae2 1374c22e5c861813c82bf6a1c8c159f9 Domain: www.jia7788.top update.uuyyzs.com URL hxxp://update.uuyyzs.com/query_action.php(UU页游助手云控地址) Hxxp://www.jia7788.top:7788/new/a109.exe(独狼病毒母体投递地址)

微软发布令牌漏洞公告:可绕过 Chromium 沙盒执行任意代码

谷歌的安全团队近日发现存在于Windows 10 May 2019(Version 1903)功能更新中的某个BUG,能够破坏所有基于Chromium浏览器的沙盒。想要利用这个漏洞发起攻击比较复杂,主要是更改操作系统代码中与安全令牌分配有关的代码。将“NewToken->ParentTokenId = OldToken->TokenId”更改为了“NewToken->ParentTokenId = OldToken->ParentTokenId;”。 在今天微软发布的安全公告(CVE-2020-0981 | Windows令牌安全特性绕过漏洞)对其进行了最简洁的解释: 当Windows无法正确处理令牌关系时,存在安全功能绕过漏洞。成功利用该漏洞的攻击者可以让具有一定完整性级别的应用程序在不同的完整性级别执行代码,从而导致沙盒逃脱。 谷歌的Project Zero安全团队发现了这个漏洞,如果被黑客利用能够绕过Chromium沙盒,运行任意代码。幸运的是,在本月补丁星期二活动日发布的累积更新(KB4549951)中,已经修复了这个漏洞。   (稿源:cnBeta,封面源自网络。)

安全漏洞让用户紧张 Zoom引入重量级安全员修复

4月17日消息,据国外媒体报道,由于视频会议平台Zoom的安全漏洞引起美国相关部门注意且让客户担忧,公司雇佣了一批重量级安全员来修复漏洞。 疫情期间广受欢迎的Zoom在过去两周内已经聘请了数十名外部安全顾问。据知情人士透露,这些人中有来自Facebook、微软和谷歌等公司的前安全和隐私专家,他们希望迅速解决有关安全漏洞的问题。 Facebook前首席安全官亚历克斯·斯塔莫斯(Alex Stamos)表示,Zoom此举是借鉴了微软将近20年前为恢复Windows软件形象而采取的行动。微软在2002年转向“值得信赖的计算”之前,存在多年的安全问题让Windows用户容很易受到互联网蠕虫和其他病毒的攻击,从而损害微软的声誉。 疫情期间数百万人呆在家中,使得Zoom人气飙升,也引来了很多网络流氓和黑客的注意,以及隐私倡导者的审查。未经授权闯入会议的“Zoombombing”现象成为许多用户面临的问题。 报道称,安全专家在Zoom用于保护对话安全的密码系统中发现了大量软件漏洞和错误,这让Zoom公司受到打击。 据曾与公司合作过的顾问说,Zoom公司修复其系统和声誉所利用的资源远远少于当时已经是软件巨头的微软公司。 “他们被推到聚光灯下接受世界上最大科技公司才会受到的严格审查,”斯塔莫斯说。“那些公司往往有数百名工程师组成的团队,多年专门致力于安全实践。” Zoom目前引入的安全公司包括英国安全供应商NCC Group PLC、总部位于美国纽约的Trail of Bits、位于亚利桑那州坦佩的Bishop Fox以及位于德克萨斯州奥斯汀的Praetorian Security等公司。Zoom还正在使用CrowdStrike和Queen Associates旗下安全情报机构DarkTower提供的安全情报服务。 Zoom公司首席执行官袁征在4月1日的一篇博客文章中宣布,Zoom公司将冻结产品开发,并承诺在未来90天内解决公司安全问题。几天后他说,“我真的搞砸了。”他还表示,公司现在会优先考虑安全性,而不是易用性。   (稿源:网易科技,封面源自网络。)

警惕某黑产团伙针对 Windows/Linux 双平台的批量抓鸡行动,已有上千台服务器失陷

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/zFW8Niekso7uVCyOjoMn2w 一、概述 近期腾讯安全威胁情报中心发现一黑产团伙通过多种自动化扫描爆破工具攻击Windows/Linux服务器,攻击者使用的爆破工具包括ssh/mysql/rdp等多种爆破工具,爆破成功后会在windows/Linux平台植入后门。腾讯安全威胁情报中心在攻击者的HFS服务器上发现3个攻击载荷,包括2个针对Linux系统的DDoS僵尸网络木马billgates及一个针对windows系统的后门窃密木马。 攻击载荷服务器 该黑产团伙的主要特点: 1.针对windows/Linux双平台的攻击载荷都是通过生成器生成,可配置上线地址,自动化、专业化程度高。 2.入侵手段主要是通过多种自动化扫描爆破工具包进行扫描爆破,包括3306/1433端口(mysql/sqlServer默认端口)、3389端口(远程桌面)、SSH爆破等等。 3.通过一键免杀工具进行免杀,通过代理频繁更换服务器IP躲避追踪,频繁更换HFS服务器上的文件,使点击量重新计数等方式躲避追踪查杀。 4.攻击载荷针对Linux系统的是DDoS僵尸网络木马billgates,针对windows系统的为后门窃密类木马。 该黑产团伙从四月份开始活跃,目前已有上千台主机失陷,失陷主机分布在全国各地,排名前三的省份为浙江、江苏、广东。 受该团伙攻击失陷的服务器分布 二、黑客攻击工具包分析 腾讯安全威胁情报中心的检测数据显示,攻击载荷同一台机器上的IP地址每天都会修改更换一个。该黑产团伙为了躲避追踪,用了代理工具频繁修改IP地址,所使用的域名xnsj.f3322.net近期被解析指向的多个IP,实际上也是同一台机器设备: 我们在这台HFS服务器上发现多个黑客工具包,包括3389抓鸡工具包、 红尘网安1433工具包,Linux爆破工具、3306抓鸡、SA弱口令、1433扫描工具、 一键免杀工具、 Linux/win平台生成器、DDoS压力测试工具等等。 部分黑客工具包及说明: 黑客工具包对应的功能 3389抓鸡工具包为远程桌面爆破工具,内置了爆破密码字典: 红尘网安1433工具包及3306工具包主要是针对mysql及sqlsver进行弱密码爆破: DDoS压力测试工具 三、Billgates僵尸网络木马分析 该团伙针对攻陷的Linux服务器会安装Billgate僵尸网络木马,Billgates僵尸网络最早出现在2014年,是最为活跃的僵尸网络家族之一,曾多次被安全厂商披露,在本案例中Billgates bot通过生成器生成,可配置ip/域名及端口。 Billgates bot生成器 持久化配置 Billgates Bot在多个目录创建了自启动脚本及文件。包括在自启动目录init.d创建自启动脚本。 DbSecuritySpt及在rc.d多个目录创建了自启动项 创建的自启动项: DDoS攻击 在函数MainProcess中完成主要的DDoS攻击功能,包括Tcp/Udp/Syn洪水攻击,DNS反射攻击等。 完整的攻击类型如下: MainProcess函数DDoS功能: 四、针对Windows平台的后门分析 该黑产团伙投放的Windows平台后门木马,也是通过生成器生成,可配置C2上线地址,监听端口,及标识码。 此外还可以选择是否加UPX壳及是否添加到开机自启动(默认添加)。 有后门类木马的几乎所有功能,包括键盘记录嗅探,文件下载、上传、执行,执行CMD命令等等。 目前其C2地址为116.207.21.252|xnsj.f3322.net:1999 功能函数: 五、安全建议 1.针对Linux平台的排查:可通过排除相关启动项查看是否中招,如果有包含 /etc/rc.d/init.d/DbSecuritySpt等自启动项则表示已经中招,建议网管及时清除。 2.推荐企业用户使用腾讯T-Sec终端安全管理系统(御点)查杀该团伙安装的Windows系统后门木马;   3.建议网管使用高强度密码,并经常更换,避免遭遇爆破入侵。推荐企业用户部署适当的腾讯安全完整解决方案提升系统安全性。 IOCs: MD5: 488d0393825b9d4aeebd30e236020d78 e133a6078a38e983c1a7a3fb14670c63 fe642d12ef1f884395a3bfd501949ebf b21f8aa2d18cb64b779161d475b68209 7145110d75992a0f0ab2332293fb73ab b4caaea9a5621a595d051da143b40015 935c5a016862605b9d62564c3acdb2aa 544344fb1410184109f85e6343bf0e15 4363993917d8386de4a4d07b4a1f70de 49ec29cab36ccf726c8c25f7aca6875c be89d31b7d876bc6058bd8e64f88c9e1 IP 116.207.21.252 111.176.102.38 116.207.16.45 111.176.101.97 域名: xnsj.f3322.net

2020Q1网络钓鱼报告:苹果用户是诈骗者最热衷的目标

根据安全公司Check Point Research公布的最新季度《品牌网络钓鱼报告》,苹果依然是网络钓鱼诈骗者最惯用的品牌,而去年第四季度的排名是第七位。Check表示:“部分原因是新款Apple Watch的预期发布,诈骗者利用在线预热发起了数次钓鱼攻击”。 和去年第三/四季度相比,针对移动平台的网络钓鱼已经成为第二大常见攻击媒介。Check Point推测这可能是由于人们现在比以往任何时刻都依赖通过智能手机来获取信息,而新冠疫情的影响让更多人困在家中。 报告中指出,网络钓鱼在2020年第一季度的钓鱼攻击类型中占比达到59%,主要针对以下品牌的消费者: Apple Netflix PayPal eBay 移动网络钓鱼攻击,主要针对以下品牌 Netflix Apple WhatsApp Chase 为了避免自己成为受害者,报告建议采取以下步骤: ● 确认您使用的是真实网站或正在从真实网站订购。一种方法是不单击电子邮件中的促销链接,而是通过谷歌搜索零售商并直接从Google结果页中单击链接。 ● 另外,提防特别优惠。有一些常识可以知道,最新款iPhone的80%折扣并不是一个可靠或值得信赖的机会。 ● 最后,请尝试留意电子邮件或网站以及不熟悉的电子邮件发件人的拼写错误。   (稿源:cnBeta,封面源自网络。)

TikTok 视频地址未启用 HTTPS 连接 研究者警告易受篡改攻击

热门短视频应用 TikTok 近日被发现存在一个较大的安全隐患,由于部分资源内容未启用安全的 HTTPS 加密连接,导致其容易被黑客攻击而篡改。开发者 Talal Haj Baktry 和 Tommy Mysk 以近期流行的新冠病毒资讯类视频为例,对 TikTok 默认通过 HTTP 连接的资源进行了拦截追踪和篡改攻击。 月份的时候,专注于研究热门 App 中漏洞的两人,发现了一个能够用于窥探 iOS 用户剪贴板中内容的 bug 。 现在,Baktry 和 Mysk 又揭示了月用户 8 亿的热门短视频应用 TikTok 中的一个安全隐患 —— 即便是最新的版本,其仍在通过未加密的 HTTP 连接,来获取 CDN 上的资源。 这意味着 Android / iOS 客户端的 TikTok 用户的观看历史记录易受拦截,甚至为更隐蔽的中间人攻击(MITM)敞开了大门。 研究人员警告称,攻击者甚至可以通过入侵本地网络,将客户端上的视频替换成任何虚假的信息。 为作概念验证,二人搭建了模仿 TikTok 内容交付网络(CDN)的假服务器,然后顺利地利用 MITM 技术欺骗看 TikTok 客户端,将虚假信息视频呈现在了用户的手机屏幕上。 二人以充满错误信息的有关新冠病毒的编造视频片段,代替了世界卫生组织和红十字会的官方内容。Baktry 和 Mysk 写道: “我们成功拦截了 TikTok 的流量,并欺骗客户端来显示编造后的视频,就像它是经过验证的官方账户所发布的那样。对于那些以误导事实来污染互联网内容的人们来说,这简直是一款完美的工具”。 需要指出的是,这种特定的攻击需要访问确切的路由器配置,意味着它很可能被 Wi-Fi 运营商所利用。 此外,默认以 HTTP 连接来调取 CDN 内容的方式,或导致 TikTok 被恶意的无线网络接入点、虚拟专用网、互联网服务提供商、甚至情报机构所利用。 据悉,TikTok 通过 HTTP 来传说包括视频、个人资料照片和剪辑的预览图像等信息,但视频仍是此类社交媒体平台的最主要功能。 为消除安全等方面的诸多不良影响,大多数线上服务和网站都已经转移到 HTTPS 连接。遗憾的是,尽管苹果和谷歌也向 App 开发者提出了要求,但仍提供了向后兼容的非强制性选项。   (稿源:cnBeta,封面源自网络。)

安全研究人员再次对恶意软件 xHelper 发出警告

安全研究人员再次对难以删除的恶意程序 xHelper 发出警告。过去一年,xHelper 主要通过第三方应用商店在俄罗斯、欧洲和西南亚运行 Android 6 和 7 的设备上传播。一旦安装它就难以卸载了,即使设备恢复到出厂设置也无法清除它。 当它伪装成合法应用安装到设备上之后,它会通过互联网下载一个木马收集信息,然后下载另一个木马,再利用一组漏洞利用代码获得设备的 root 权限。 这组漏洞利用代码主要针对中国制造的  Android 6 和 7 的设备。获得 root 权限之后,恶意程序会挂载到启用写访问的操作系统分区,改变 mount() 函数代码,防止其遭到删除。 要彻底删除 xHelper 可能需要完全抹掉设备上的文件,重新安装一个干净的版本,恢复出厂设置无法消灭它。   (稿源:cnBeta,封面源自网络。)

俄罗斯 Rostelecom 被发现劫持 Google/AWS/Cloudflare 等公司的互联网流量

本周早些时候,全球最大的200多家内容传输网络(CDN)和云主机提供商的流量被怀疑通过俄罗斯国有电信运营商Rostelecom转发。该事件影响了200多个网络的8800多条互联网流量路线。受影响的公司都是云和CDN市场的知名企业,包括Google、Amazon、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner和Linode等公司。 受害网络的完整名单可以参考这个Twitter信息流地址: https://twitter.com/search?q=AS12389%20(from%3Abgpstream)%20until%3A2020-04-07%20since%3A2020-04-01&src=typed_query 这次事件是一个典型的 “BGP劫持”,BGP是边界网关协议的缩写,BGP是全球互联网网络之间的互联网流量路由系统,从设计上,整个系统就非常脆弱,因为任何一个参与网络都可以简单地 “撒谎”式地发布一个BGP路由通告,例如声称 “Facebook的服务器”在他们的网络上,随后所有的互联网实体都会把它当作合法的目标,从而将Facebook的流量全部发送到劫持者的服务器上。 过去,在HTTPS被广泛用于加密流量之前,BGP劫持允许攻击者进行中间人(MitM)攻击,拦截和改变互联网流量。 如今,BGP劫持仍然是危险的,因为它可以让劫持者记录流量,并试图在以后的日子里对流量进行分析和解密,现时由于密码学科学的进步,用于保护流量的加密技术已经被削弱。 自90年代中期以来,BGP劫持一直是互联网主干网的一个问题,多年来通信从业者一直在努力加强BGP协议的安全性,自此产生了ROV、RPKI,以及最近的MANRS等项目。然而,在采用这些新协议方面的进展一直很缓慢,BGP劫持事件仍时有发生。 专家们过去曾多次指出,并非所有的BGP劫持都是恶意的。大多数事件可能是人为操作者误输入了一个ASN(自主系统号,即互联网实体的识别代码),意外劫持了该公司的互联网流量。 然而,一些实体的BGP劫持事件的幕后黑手仍然时有发生,许多专家在事件的背后都被贴上了可疑的标签,说明这些事件不仅仅是意外。 Rostelecom(AS12389)虽然没有像之前部分国家的运营商那样直接故意地参与到BGP劫持事件中,但其背后也有很多类似的可疑事件。 上一次抢占头条的Rostelecom重大劫持事件发生在2017年,当时该电信公司劫持了包括Visa、Mastercard、汇丰银行等全球最大的金融实体的BGP路由。 这一次,通信业内还没有定论。BGPMon的创始人Andree Toonk正在给予俄罗斯电信公司以怀疑的理由。Toont在Twitter上表示,他认为这次 “劫持 “事件发生的原因是俄罗斯电信内部的流量整形系统可能在公共互联网上不小心暴露了错误的BGP路由,而不是俄罗斯电信内部网络的整体问题。 不幸的是,这个小小的失误被Rostelecom的上游供应商拿着新公布的BGP路由在互联网上重新传播,从而将BGP劫持事件在几秒钟内放大了,这让这个小错误变得更加严重。 但是,过去很多互联网专家也曾指出,故意的BGP劫持是有可能出现的,因为没有人能够分辨出来差异。在国家控制的电信实体中发生的BGP劫持一向被视为可疑-主要是由于政治因素,而不是技术原因。   (稿源:cnBeta,封面源自网络。)    

Zoom 就隐私和安全问题道歉 并将冻结新功能以专注于修复各种问题

由于在冠状病毒大流行期间使用量增加,外界开始关注视频会议软件Zoom众多安全和隐私问题。现在,Zoom公司首席执行官Eric S Yuan向用户发表了冗长的声明,对不可预见的问题表示歉意,并承诺会进行改善。 ric S Yuan表示:“这些新的用例帮助我们发现了平台上无法预料的问题。记者和安全研究人员还帮助识别了先前存在的问题。我们感谢这些详细检查和疑问,其中包括有关服务的工作方式,我们的基础架构和容量,以及我们的隐私和安全政策。这些问题将使Zoom本身变得更加完善,为用户提供更好的服务。我们非常认真地对待这些详细检查和疑问,我们正在仔细研究每一个问题,并尽快解决它们。” Zoom已经采取了措施来回应对此提出的批评。该公司已更新了隐私政策,从其iOS应用中删除了Facebook SDK,试图解决Zoombombing问题,修复了UNC链接的安全性问题,并阐明了其在端到端加密中的地位。 Eric S Yuan解释了Zoom在接下来的几个月中还会做什么。在接下来的90天内,Zoom致力于提供必要的资源,以更好地主动识别,解决和解决问题。Zoom还致力于在整个过程中保持透明,Zoom将尽一切努力保持您的信任,其中包括:立即冻结添加新功能,并立即转移所有工程资源以专注于最大的信任,安全和隐私问题。与第三方专家和代表用户进行全面审查,以了解并确保Zoom所有新消费者使用案例的安全性。准备透明度报告,其中详细说明了与数据,记录或内容请求有关的信息。增强当前的漏洞赏金计划。进行一系列白盒渗透测试,以进一步发现和解决问题。 Eric S Yuan表示,从下周开始,将在太平洋标准时间每周三上午10点举办每周一次的网络研讨会,向社区提供隐私和安全更新。   (稿源:cnBeta,封面源自网络。)

DDG 僵尸网络一月升级 9 个版本攻击 Linux 系统挖矿

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/8pJCK6vyxbXJK08VgBZ6Ng 一、概述 DDG僵尸网络最早出现于2017年, 主要是通过对SSH 服务和 Redis 服务进行扫描暴破入侵LINUX系统挖门罗币获利,腾讯安全威胁情报中心曾多次披露该团伙的挖矿活动。近日,腾讯安全发现DDG僵尸网络频繁更新,在最近最近一个月内总共更新了9个版本,平均每周更新2个版本(DDG/5015-DDG/5023)。 DDG挖矿木马执行后会请求下发配置文件,根据配置文件下载挖矿木马wordpress及病毒脚本i.sh执行,此外最新版的DDG挖矿木马一大变化是会下载脚本uninstall.sh,quartz_uninstall.sh卸载腾讯云云镜,阿里云安骑士等安全防护产品以增强挖矿木马在服务器的存活时间。 病毒的挖矿行为会对服务器性能产生极大影响,腾讯安全专家建议Linux管理员注意避免使用弱密码,及时修补系统漏洞,在企业内网部署腾讯T-Sec高级威胁检测系统及时发现黑客控制服务器挖矿的事件发生。 二、详细分析 1.DDG挖矿木马一月更新九个版本 DDG挖矿木马更新频繁,最近一次更新是在3月31日,目前已更新到DDG/5023版本。从服务器文件变更时间看,最近一个月内(2月27-3月31),总共更新了9个版本,平均每周更新2个版本(DDG/5015-DDG/5023) DDG挖矿木马最新的服务器下载地址为:hxxp://67.205.168.20:8000/static/xxxx/ddgs.$(uname -m),其中xxxx为版本号,通过系统命令$(uname -m)获取到具体的系统版本来下载对应的版本。 2.下发配置文件 DDG木马通过向服务器hxxp:[ip]:[port]/slave发送 HTTP POST 请求来获取配置数据,最新的返回的配置数据包括挖矿木马wordpress的md5, ddg最新的更新地址,病毒脚本i.sh下载地址等信息。 3.病毒脚本i.sh 下载i.sh执行,下载地址:hxxp://67.205.168.20:8000/i.sh。主要功能有: (1) 创建定时任务,每15分钟执行一次,定时任务主要内容是下载执行  i.sh (2) 下载更新最新版的DDG病毒,目前已更新到DDG/5023版本 (3) 结束旧版本的木马进程。 4.卸载服务器安防产品 最新版的DDG木马一大变化是会下载脚本uninstall.sh,quartz_uninstall.sh,以卸载腾讯云云镜,阿里云安骑士等安全防护产品以实现在服务器的长时间驻留。 5.改写hosts文件,屏蔽竞争木马的网址 修改hosts文件,将trumpzwlvlyrvlss.onion等竞争木马的网址映射到ip地址0.0.0.0,以实现屏蔽竞争对手木马独占系统资源的目的。修改后的hosts文件如下 6.挖矿木马wordpress 下载门罗币挖矿木马wordpress,该木马由开源挖矿程序XMRig编译,挖矿木马执行后可以发现占用了极大的系统资源。 挖矿时使用矿池: 178.128.108.158:443 103.195.4.139:443 68.183.182.120:443 三、安全建议 腾讯安全专家建议企业采取以下措施防止挖矿木马控制服务器: 1.为Redis添加强密码验证,切勿使用弱口令; 2.定期对服务器进行加固,尽早修复企业服务器相关组件的安全漏洞,并及时进行漏洞修复; 3.推荐企业在终端或服务器上部署腾讯T-Sec终端安全管理系统拦截恶意软件,亦可考虑将Web服务器部署在腾讯云等具备专业安全防护能力的云服务上; 4.推荐企业用户使用腾讯T-Sec高级威胁检测系统(御界)检测黑客攻击和挖矿行为。腾讯T-Sec高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs MD5 DDG(5015-5023) e64b247d4cd9f8c58aedc708c822e84b 2c4b9d01d2f244bb6530b48df99d04ae d2a81a0284cdf5280103bee06d5fe928 495dfc4ba85fac2a93e7b3f19d12ea7d 682f839c1097af5fae75e0c5c39fa054 dc87e9c91503cc8f2e8e3249cd0b52d7 c8b416b148d461334ae52aa75c5bfa79 f84a0180ebf1596df4e8e8b8cfcedf63 14fcb1d3a0f6ecea9e18eff2016bc271 挖矿木马: d146612bed765ba32200e0f97d0330c8 i.sh: bceb6cbb2657e9a04b6527161ba931d8 IP: 67.205.168.20 47.94.153.241 61.129.51.79 47.101.35.209 矿池: 178.128.108.158:443 103.195.4.139:443 68.183.182.120:443