标签: 僵尸网络

黑客轻松接管 29 个僵尸网络,只因运营商太菜

ZDNet 网站报导,安全专家一次性接管了 29 个僵尸网络,原理十分简单,利用了运营商技术“太菜”的方法。 在采访中,安全专家 Subby 介绍了他接管的这 29 个僵尸网络,他指出其实这些僵尸网络都比较小,最初的机器人数量显示总计将近 40 000,但在删除重复数据后,实际数量仅为 25 000,这样的数据对于一个单独的 IoT 僵尸网络来说都是很小的,更不用说是 29 个的总和了。 同时,因为机器少,所以输出流量也相当低,Subby 说:“我能够获得一个可靠的网络流量图,该图表由所有僵尸网络产生的流量组合而来,它的速度低于 300 gbit/ s” 谈到为什么能一次性轻易黑掉 29 个僵尸网络,Subby 解释一些僵尸网络运营商经常使用比较弱的凭证来保护其 C&C 服务器后端。 Subby 使用了一个用户名词典和一个常用密码列表对这些僵尸网络的 C&C 基础设施进行暴力破解,收获非常多。这其中,有一些设备使用了非常弱的用户与密码组合,如`root:root`、`admin:admin`和`oof:oof`。 为什么会发生这种情况?Subby 解释:“很大一部分僵尸网络运营商只是简单地关注在社区中传播的教程,或者是在 YouTube 上学习以建立他们的僵尸网络”,他说:“在对着这些教程按部就班的过程中,他们不会更改默认凭据。而且就算他们更改了凭据,通常密码也很弱,因此容易受到暴力破解的影响。”   (稿源:开源中国,封面源自网络。)

新型 Mirai 木马变种利用 27 个漏洞 瞄准企业设备

据外媒ZDNet报道,安全研究人员发现了一种新型的Mirai IoT恶意软件变种,针对2种设备——智能信号电视和无线演示系统。 Palo Alto Networks 的安全研究人员在今年早些时候发现了一种新的 IoT 僵尸网络,正使用这种新型 Mirai 木马变种。该僵尸网络的制造者似乎已投入大量时间来利用新漏洞升级旧版本的 Mirai,新型变种共使用了 27 个漏洞,其中 11 个是 Mirai 的新型攻击,指向智能 IoT 设备和网络设备。 此外,该僵尸网络背后的黑客还扩展了 Mirai 内置的默认证书列表,以利用该列表来破解使用默认密码的设备,Mirai 默认证书的列表中已增加了 4 种新的用户名和密码的组合。新型变种的目标和作案手法与之前的僵尸网络相同,受感染的设备会在互联网上扫描具有公开 Telnet 端口的其他 IoT 设备,并使用来自其内部列表的默认证书来中断并接管这些新设备。受感染的设备还会扫描互联网上特定的设备类型,然后尝试使用27个漏洞中的一个来接管未打补丁的系统。 通常 Mirai 僵尸网络针对的是路由器、调制解调器、安全摄像头和DVR / NVR,极少数情况下会针对智能电视、手机和一些企业Linux和Apache Struts服务器。然而根据 Palo Alto Networks 研究人员的报告,他们今年发现的新 Mirai 僵尸网络是故意针对两种使用特制技术的新设备类型,即LG Supersign 电视和WePresent WiPG-1000无线演示系统。他们所使用的漏洞在网络上已经暴露过数月,但这是首次被利用于攻击。 新增的漏洞利用: 漏洞 受影响的设备 CVE-2018-17173 LG Supersign电视 WePresent WiPG-1000命令注入 WePresent WiPG-1000无线演示系统 DLink DCS-930L远程命令执行 DLink DCS-930L网络视频摄像机 DLink diagnostic.php命令执行 DLink DIR-645,DIR-815路由器 Zyxel P660HN远程命令执行 Zyxel P660HN-T路由器 CVE-2016至1555年 Netgear WG102,WG103,WN604,WNDAP350,WNDAP360,WNAP320,WNAP210,WNDAP660,WNDAP620器件 CVE-2017-6077,CVE-2017-6334 Netgear DGN2200 N300无线ADSL2 +调制解调器路由器 Netgear Prosafe远程命令执行 Netgear Prosafe WC9500,WC7600,WC7520无线控制器     消息来源:ZDNet,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

物联网火爆背后隐藏的巨大安全风险

伴随着越来越多的美国家庭、企业和政府推进、购买和部署智能设备,而这些价格相对低廉的物联网设备引发了新的安全问题。目前物联网设备规模突破百亿,在营造更舒适、更高效的生活方式同时由于缺乏真正的安全保护,也成为僵尸网络的一员,被黑客劫持参与各种攻击。 根据 The Conversation 制作的预估图表数据显示,2018 年物联网设备规模已经达到70亿台,非物联网设备数量在 108 亿台,而预估 2025 年物联网设备数量将突破至 215 亿台。这些物联网设备涵盖网络摄像头、血压传感器、温度计、麦克风、智能音箱和毛绒玩具等等,这些产品很多都是由不为人知的小型工厂设计生产,通常没有妥善的安全保护。 2016 年 10 月利用僵尸网络对全球网络发起的攻击 这就意味着大量物联网设备存在非常严重且广泛的漏洞,包括使用弱密码、对通信不加密以及不安全的 Web 界面等等。而黑客往往会劫持数千甚至是数十万个遍布全球的设备来发起 DDoS 在内的攻击。如果制造商在特定类型的设备上设置了不可更改的管理密码,黑客就可以在网络上搜索这些设备,在登陆控制和安装自己的恶意程序之后将设备招募到僵尸网络中。   稿源:cnBeta,封面源自网络;

物联网僵尸网络“捉迷藏”新变种发现:Android 设备成新受害者

继今年1月发现首个物联网僵尸网络Hide and Seek(HNS,捉迷藏)之后,近日Bitdefender Labs发布报告称已经发现新型变种。利用Android开发者调试之用的Android Debug Bridge (ADB)功能中所存在的漏洞,该变种通过WiFi网络连接来感染Android设备,使之成为僵尸网络的一员。 虽然并非所有Android都默认启用ADB功能,但部分Android手机厂商会默认自动启用,可以通过5555端口使用WiFi ADB远程连接就能轻松进行攻击。在连接至默认激活ADB的Android系统之后,允许攻击者以root级别获得shell访问,可以在受感染设备上运行和安装任何东西。 图片来自于 Bitdefender Labs Hide and Seek于今年1月24日由Bitdefender首次发现,感染设备数量大约为1.4万台。不过在1月26日感染设备数量迅速扩大,超过3.2万台物联网设备被感染,而且在设备重启之后依然会保留在受感染的设备上。这种物联网恶意软件在某些情况下会将其自身复制到/etc/init.d/,这是一个在基于Linux的操作系统上放置守护程序脚本的文件夹,就像路由器和物联网设备上的守护程序脚本一样。由此,设备的操作系统将在重启后自动启动恶意软件的进程。   稿源:cnBeta,封面源自网络;

新型僵尸勒索软件 Virobot 肆虐微软 Outlook

根据趋势实验室披露的安全报告,一种全新的僵尸网络勒索软件Virobot正通过微软Outlook进行大肆传播。报告中指出该恶意软件同时兼具僵尸网络和勒索软件的特征,在微软Outlook上以垃圾邮件的方式进行传播。 报告中写道:“Virobot首次发现于2018年9月17日,是对臭名昭著的Locky勒索软件变种分析7天之后发现的。一旦感染Virobot,它就会检查注册表键值(计算机GUID和产品秘钥)来确认系统是否应该加密。然后通过加密随机数生成器(Random Number Generator)来生成加密和解密你要。此外伴随着生成的秘钥,Virobot还会将收集的受害者数据通过POST发送到C&C服务器上。” 趋势科技还表示Virobot还可以记录用户敲击键盘的次数,并共享诸如信用卡信息和密码在内的诸多敏感数据。键盘记录器也会将这些信息发送至C&C服务器上。所以为了预防受到感染,请确保你不要打开非可靠源的附件。   稿源:cnBeta,封面源自网络;

研究人员发现了具有僵尸网络功能勒索功能和挖掘加密货币功能的新蠕虫

Palo Alto Networks的Unit 42研究团队发现了一种新的恶意软件类,能够针对Linux和Windows服务器,将加密货币挖掘,僵尸网络和勒索软件功能结合在一个自我扩展的蠕虫软件包中。正如Unit 42所详述的那样,名为Xbash的新恶意软件系列与Iron Group有关,Iron Group是一个以前知道可以执行勒索软件攻击的威胁行为者,显然已经转向更复杂的攻击媒介。 据观察,Xbash使用可利用的漏洞和弱密码强制组合在服务器之间传播,与其他勒索软件不同,默认情况下启用了数据销毁功能,没有恢复功能,几乎不可能进行文件恢复。此外,Xbash的僵尸网络和勒索软件组件通过利用未受保护和易受攻击但未修补的服务来定位Linux服务器,立即清除MySQL,PostgreSQL和MongoDB,并要求比特币赎金恢复数据。 另一方面,Xbash的加密货币挖掘和自传播模块旨在使用未修补的Hadoop,Redis和ActiveMQ数据库中的已知漏洞来破坏Windows系统。此外,Xbash具有自我传播的能力,类似于Petya / NoPetya和WannaCry的能力,以及尚未启用的传播功能集合,但可以使其在企业或家庭网络中快速传播。 Xbash还具有由代码编译,代码压缩和转换以及代码加密提供支持的反检测功能,所有这些功能都会模糊其恶意行为,以防止反恶意软件工具检测到它。Unit 42已经发现48个传入到Xbash勒索软件组件中的硬编码钱包总计6000美元,这意味着新的恶意软件系列已经活跃并收集受害者的赎金。   稿源:cnBeta,封面源自网络;

Talos:FBI重启路由器的建议失效 僵尸网络感染了更多设备

还记得两周前,联邦调查局(FBI)要求所有人重启路由器,以帮助“摧毁”僵尸网络吗?遗憾的是,根据思科 Talos 安全部门周三发布的报告,这款名叫“虚拟专用网过滤器”的恶意软件不仅没被干掉,反而可能拥有了更多的功能、并且正在利用比以往更多的设备!Talos 指出,他们发现了一个可被黑客用来拦截受感染设备或路由器流量的“ssler”模块(读作 Esler)。 简而言之,即便 FBI 寻求公众的帮助来摧毁该僵尸网络,这款名为“虚拟专用网过滤器”的恶意软件却依然存活,导致人们仍易受到它的威胁。 Talos 资深技术领导人 Craig Williams 在接受 ARS Technica 采访时表示: 我们担心 FBI 给公众营造了一种虚假的安全感,该恶意软件仍在运行,且感染了比我们最初认为更多的设备。它的能力远远超出了我们最初的想象,人们需要从这个僵尸网络中摆脱出来。 至于 FBI 此前的建议到底多有效,该机构未立即置评。此前受影响的设备包括 Linksys、MikroTik、NetGear、以及 TP-Link 。 然而Talos 指出,他们在更多的路由器上发现了该恶意软件的身影,涉及华硕、D-Link、华为、Ubiquiti、UPVEL、中兴等厂家。   稿源:cnBeta,封面源自网络;

Brain Food 僵尸网络散布恶意 PHP 脚本,已有超 5000 个网站受损

据外媒报道, Proofpoint 研究员 Andrew Conway 上周对一个名为” Brain Food ”的僵尸网络进行了剖析。根据 Conway 的说法,由该僵尸网络推动的垃圾邮件活动早在去年 3 月就已被发现,其源头可能是来自于一个恶意的 PHP 脚本,因为该脚本一直秘密地将用户重定向到减肥和提高智力药片的网页上。据统计,目前已有超过 5000 个网站上存在该脚本 , Conway 通过对这些站点进行追踪后发现,其中绝大多数都是在 GoDaddy 的网络上找到的,并且仅在上周内活跃的网站已超过 2400 个。 Conway 表示,该脚本用于让被黑网站处于网络犯罪分子的控制之下,并对各种垃圾邮件活动的动态重定向进行管理。 根据最近的垃圾邮件活动发现,该 PHP 脚本能够从 Brain Food 运营商那里获得新的“重定向目标”,并收集到每次活动的点击统计数据。 虽然僵尸网络只是推送了一些垃圾内容,对用户并无实际害处,但这对被感染的网站来说是危险的,主要是因为它具有类似后门的功能,允许僵尸网络运营商随时执行他们想要的任何代码。 消息来源:Bleeping Computer,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

垃圾邮件僵尸网络运营商 Necurs 采用新技术避免检测

外媒近日消息,全球最大的垃圾邮件僵尸网络运营商 Necurs 目前正在使用一种新的逃避技术,其通过 Internet 快捷方式或 .URL 文件来绕过检测。Necurs 僵尸网络自 2012 年以来一直存在,它由全世界数百万台被感染的电脑组成,目前趋势科技观察到其恶意软件已经得到改进,企图能够成功地打败网络安全措施。 Necurs 新变种试图通过向用户发送一个包含压缩文件的恶意电子邮件来躲开检测。该文件一旦被解压缩,就会显示一个扩展名为 . url 的文件,.url 扩展名文件与 Windows 快捷方式文件相关联,该快捷方式文件会在浏览器中打开一个指向远程脚本文件活动的 URL。随后,该脚本会生成了一个名为 QuantLoader 的下载程序(这是一个普通的恶意软件家族)来下载并执行最终的有效负载。 图 1.先前版本的恶意软件图 图2. 演变的 Necurs 恶意软件图 以前,Necurs的JavaScript下载器会下载最终的有效载荷。但在最新版本中,是通过远程脚本生成 QUANTLOADER  下载程序 (由趋势科技检测为 TROJ_QUANT) ,然后下载最终的有效负载,这是添加到 Necurs 的 感染链上的另一层。 QUANTLOADER 的使用可能是双重的: 首先,它会在下载最终有效负载之前增加另一个下载阶段,以此来混淆并逃避行为检测。 其次,QUANTLOADER 本质上是持久性的 , 它会删除自身的副本并创建一个自动运行注册表,以便在启动时执行。 根据趋势科技的说法,为了找到其他有效的方法来欺骗受害者,并且消除针对它的反措施,Necurs 事实上在不断演变,比如说为了使用户更加相信,攻击通过 Internet 快捷方式具有 INI 文件格式的内容来伪造成文件夹图标。 注意,除了伪装成文件夹的图标之外,文件名还被制作成典型的文件夹名称,例如上图所示的 IMG-20180404-9AC4DD、SCN-20180404-268CC1 和 PIC-20180404-ADEEEE 等等。 趋势科技分析报告: 《Necurs Evolves to Evade Spam Detection via Internet Shortcut File》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

乌克兰警方成功逮捕 Avalanche (“ 仙女座 ”)僵尸网络组织者

外媒 2 月 26 日报道,乌克兰警方于周一表示,大规模僵尸网络 Avalanche (仙女座)的组织者之一被成功逮捕。 Andromeda (仙女座)是市场上最大的僵尸网络之一,自 2011 年以来一直存在。它为世界各地的恶意软件和 DDoS(分布式拒绝服务)垃圾邮件攻击提供基础架构。乌克兰网络警察在一份声明中说, 国际犯罪平台 Avalanche 的组织者在全球范围内每天感染的设备数量约达 50 万台。 其实早在 2016 年 11 月,来自欧洲刑警组织以及其他地区的检察官和调查人员进行了一场国际执法合作,成功摧毁了国际犯罪基础设施平台 Avalanche ,并逮捕了其高层老板。欧洲刑警组织表示,在当时的行动中,数百台服务器被关闭或扣留,80 万个互联网域名被封锁,成为迄今为止最大的拆除行动之一。 在这次行动中,一位网络警察发言人向法新社证实,被捕的男子是一名乌克兰公民 Gennadiy Kapkanov。警察搜查了该名男子的公寓,并对一台笔记本电脑和存储设备进行了取证。在调查过程中,警方发现,为了隐藏犯罪行为,该名男子使用了不同身份的护照。 不过乌克兰媒体称,Gennadiy Kapkanov 似乎是失踪了。因为虽然 Gennadiy Kapkanov 被拘留在他位于乌克兰中部城市波尔塔瓦的家中,但由于当地法院并没有实行正式逮捕。 于是周一晚些时候,法院将不得不再次决定是否要正式逮捕 Gennadiy Kapkanov 。 消息来源:SecurityWeek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。