标签: 加密货币

Souleman 矿工利用永恒之蓝漏洞攻击企业,获利超 27万元

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/6mTvjKUesPS0MrpoIW5_5Q 一、概述 腾讯安全威胁情报中心发现利用永恒之蓝漏洞攻击传播的挖矿木马SoulemanMiner。该挖矿木马在2020年1月开始出现,攻击时利用永恒之蓝漏洞在内网攻击传播,攻击成功后会继续下载由XMRig编译的门罗币挖矿程序。SoulemanMiner挖矿木马运行时,会结束其他挖矿木马进程以独占资源。 对SoulemanMiner使用的下载服务器上的样本进行分析,还发现了在攻击时传播的窃密木马AZORult和盗取数字货币的木马Bitcoin-Grabber。AZORult会从浏览器、邮件和各类客户端软件中获取登录密码并上传至远程服务器,Bitcoin-Grabber或将剪切板中的比特币、以太坊币、莱特币、门罗币等多个类型的数字钱包地址进行替换,企图在用户进行交易时盗取相应的数字货币。 通过公开的钱包地址查询交易历史记录,发现SoulemanMiner挖矿木马团伙已通过挖矿和剪切板劫持数字交易获利超过27万元人民币。 二、安全建议与解决方案 腾讯安全专家建议企业用户尽快修复永恒之蓝相关安全漏洞,避免挖矿木马利用漏洞在局域网内扩散;网管可以关闭内网暂时非必要的端口(如135、139、445、3389等),减少网络攻击面;使用腾讯T-Sec终端安全管理系统及腾讯电脑管家均已支持对SoulemanMiner的查杀。企业用户还可使用腾讯安全系列产品对网络流量进行检测,及时发现内网挖矿行为。 三、样本分析 SoulemanMiner在失陷机器解压new3.exe释放 “双脉冲星”、“永恒之蓝”漏洞攻击工具,以及1×64.dll、1×86.dll、2×64.dll、2×86.dll、3×64.dll、3×86.dll共6个Payload文件。 攻击包安装完成后,启动rundll.exe开始攻击。该文件采用Pyinstaller打包生成,我们利用开源工具pyinstxtractor.py解压文件,然后利用Easy Python Decompiler对解压出的pyc文件进行反编译得到rundll.py。 rundll.py获取本机IP地址。 针对本机IP的同A、B网段(遍历C、D网段)地址进行445端口扫描,保存结果至Result.txt。 使用“双脉冲星”、“永恒之蓝”漏洞攻击工具进行攻击。 漏洞攻击成功后,针对三组不同的IP地址,植入不同的Payload文件。 1.挖矿 Payload在目标系统执行后,分别下载x.rar、y.rar、z.rar,保存至c:\programdata\lsass4.exe 并运行。下载地址如下: http[:]//178.32.53.209/x.rar http[:]//178.32.53.209/y.rar http[:]//178.32.53.209/z.rar x.rar、y.rar、z.rar是利用NSIS生成的可执行文件,通过解压可以看到 Parameters.ini里面是配置信息: Processlist.txt是检测运行环境是否存在监控进程: taskmgr.exe ProcessHacker.exe perfmon.exe procexp.exe procexp64.exe procexp32.exe resmon.exe autoruns.exe procmon.exe aida64.exe rpexplorer.exe anvir.exe AutoCloseExe.txt是需要杀死的竞品挖矿进程名单,包括WannaMiner等: C:\Windows\System32\SearchIndexer.exe C:\Windows\System32\WUDFHost.exe C:\Windows\Fonts\runhost.exe C:\Windows\debug\winlogond.exe C:\Windows\System32\dllhost.exe C:\Windows\System32\msdtc.exe C:\Windows\System32\ctfmon.exe C:\Windows\System32\TrustedHostex.exe C:\Windows\System32\SearchProtocolHost.exe C:\Windows\System32\wuauclt.exe C:\Windows\YZebx\Xs.exe C:\Windows\odeZP\dW.exe C:\Windows\dwVSF\TW.exe C:\Windows\AppDiagnostics\wininit.exe C:\Windows\AppDiagnostics\svchost.exe C:\Windows\SysWOW64\InstallShield\setup.exe C:\ProgramData\Microsoft\clr_optimization_v4.0.30318_64\csrss.exe C:\Windows\Fonts\Mysql\svchost.exe C:\ProgramData\clr_optimization_v4.0.30318_64\svchost.exe C:\Windows\svchost.exe C:\Windows\SysWOW64\svchost.exe C:\Windows\Fonts\Mysql\puls.exe C:\Windows\System32\WUDFHostex.exe C:\Program Files\Microsoft Security Client\MpCmdRun.exe C:\Windows\Fonts\d1lhots.exe C:\Windows\kkOqZ\wM.exe C:\Windows\SysWOW64\Application.exe C:\Windows\XIPNL\EM.exe C:\Windows\MicrosoftUpdateLink.exe C:\Windows\System32\dllhostex.exe 从NSIS脚本中可以看到,样本执行后会释放conhost.exe等文件到C:\Windows\System32\drivers\目录下,然后将conhost.exe安装为服务“WinsockSvc”启动。 conhost.exe会检测是否存在Processlist.txt的监控进程,杀死AutoCloseExe.txt中的竞品挖矿进程,然后从Parameters.ini配置的服务器地址下载挖矿木马http[:]//178.32.53.209/xm64.zip。 下载得到由开源挖矿程序XMRig编译而成的挖矿木马。 2.窃密 分析发现,SoulemanMiner使用的服务器185.228.83.153还传播除挖矿外的其他木马http[:]//185.228.83.153/st.exe,st.exe通过自解压释放自身到全局启动目录C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\。 st.exe是采用Delphi编写的窃密木马AZORult,运行后会窃取以下信息加密后发送至C2服务器:http[:]//soulemanivsusa.xyz/32/index.php 窃取保存在浏览器中的各类密码; 窃取数字加密货币钱包; 窃取浏览器历史记录; 盗取网站cookie; 窃取电子邮件登陆账号密码; 窃取Telegram、Steam密码; Skype密码和聊天记录; 获取中招机器屏幕截图; 执行自定义命令 3.盗取数字货币 通过服务器下载的另一样本http[:]//185.228.83.153/777.exe,自解压得到svhosts.exe,同样安装到全局启动目录下。svhosts.exe是采样C#编写的数字货币盗取程序(也称剪切板劫持木马)Bitcoin-Grabber。 Bitcoin-Grabber实时监测获取电脑剪切板内容,通过正则匹配发现其中的数字加密货币地址,并将匹配到的不同类型钱包地址替换成木马的钱包地址,以便在用户进行转账时盗取数字货币。 盗取数字货币用的钱包地址如下: 通过公开的矿池、交易历史可查到的信息,该木马的部分钱包通过盗取和挖矿已获利超过27万元人民币。 IOCs IP 116.203.240.6 178.32.53.209 185.228.83.153 Domain klicoverof.world handler1.soulemanifight.club 3.soulemanifight.club 2.soulemanifight.club 1.soulemanifight.club 1.blackhohol.online 2.blackhohol.online km1.maxvarlamoff.club km2.maxvarlamoff.club km1.koronavirusfuck.xyz km2.koronavirusfuck.xyz km2.dancingblack.online 1.novichok.xyz 2.novichok.xy 1.soulemanivsusa.xyz 2.soulemanivsusa.xyz soulemanivsusa.xyz Md5 2662452d7f77c434b185040575c87932 fdae88d3a3e21ab29f0e4390f960543c fb59c96176c1453cd2a05eadb8368026 a8f757a0a871b2aaca3535f16f0c8b66 b9ae13778f36534ddfeccf7329f4f62e 04d04cbd71f45ad36a03fd9a3a761055 1ed7e0fdd1e072cb92b8115579aac391 8c50dabe5dd305d1f6d28f5164075ff7 0f38c4b35c4f830ba14d9237bf82af56 6fa76c8b29b4da063766d2e6df001ed6 04ac52778d6871d24a5dc957a41d84fd 4cf0ff9887c3e7de5d4c0ed9674d2903 67a7c1c24de0026b9d367fc5f0048a0e 6fa76c8b29b4da063766d2e6df001ed6 8ab5c496b795f12526e7ae0bf26365fb URL http[:]//178.32.53.209/x.rar http[:]//178.32.53.209/y.rar http[:]//178.32.53.209/z.rar http[:]//185.228.83.153/new3.exe http[:]//3.soulemanifight.club/z.rar http[:]//185.228.83.153/xm32.zip http[:]//178.32.53.209/777.exe http[:]//185.228.83.153/777.exe C2 http[:]//soulemanivsusa.xyz/32/index.php

Eleethub:使用 Rootkit 进行自我隐藏的加密货币挖矿僵尸网络

Unit 42研究人员发现了一个新的使用Perl Shellbot的僵尸网络活动,旨在挖掘比特币,同时使用专门制作的rootkit以避免检测。 该僵尸网络传播的方式是将一个恶意的shell脚本发送到一个受攻击的设备,然后该设备下载其他脚本。在受害者设备执行下载的脚本之后,它开始等待来自其命令和控制(C2)服务器的命令。尽管Perl编程语言因其广泛的兼容性而在恶意软件中流行,但这种僵尸网络不仅可能影响基于unix的系统,还可能影响使用Linux子系统的Windows 10系统。 本次发现的新活动使用了一个名为libprocesshider.so的共享库来隐藏挖掘过程,并且用一个专门制作的rootkit来避免检测。该恶意活动幕后者使用“Los Zetas”这个名字,暗指一个墨西哥犯罪组织,该组织被认为是该国最危险的贩毒集团之一。尽管如此,他们实际上不太可能是这个犯罪组织的一部分。此外,这个僵尸网络还连接到最大的IRC(Internet中继聊天)网络之一的UnderNet,讨论了包括恶意软件和网络犯罪在内的各种主题。 而且,僵尸网络在被发现时仍在开发中。但是,重要的是在攻击者危害更多设备之前阻止它。我们观察到,僵尸网络越来越多地使用xmrig和emech等已知的挖掘工具,在受害设备上挖掘比特币。这些工具已经在最近的挖矿活动中被检测到,例如VictoryGate和Monero mining开采了超过6000美元的利润。我们估计,如果Eleethub僵尸网络在一到两年的时间内扩张,它也可以赚取数千美元。   …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1214/     消息来源:PaloAltoNetworks, 译者:吴烦恼。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

谷歌 Chrome 恶意扩展窃取了价值 16000 美元的加密货币

一份报告显示,一个恶意的谷歌Chrome扩展程序成功进入Chrome网络商店,盗取了价值至少1.6万美元的加密货币。该扩展名为“ Ledge Secure”,声称可以用作Google Chrome浏览器中的一种加密货币钱包,从而以某种方式成功突破了Google的过滤器,最终被Chrome网络商店上架以供用户下载。 至少有一个用户确认安装了扩展程序后,自己的加密货币被盗了,目前尚不知道最终受害者的具体人数。Decrypt报告说,该扩展程序扫描了该设备,并将种子短语发送给该扩展程序的作者,这几乎可以使恶意行为者窃取任何加密货币。以Twitter用户“ hackedzec”为例,这个扩展造成600 ZEC币的损失,价值约16000美元。 法国Ledger公司在Twitter上证实了这个扩展不是一个合法的插件,并建议用户避免在自己的设备上安装它。目前此恶意扩展工作细节尚未透露,谷歌已经从Chrome网店中删除了这个扩展,建议所有安装它的人尽快检查钱包,确保没有密码被盗。   (稿源:cnBeta,封面源自网络。)

加密货币挖矿僵尸网络使用 Taylor Swift 图像隐藏恶意软件payload

加密货币挖矿僵尸网络MyKingz(也称为Smominru,DarkCloud或Hexmen)在感染链中使用流行歌手泰勒·斯威夫特(Taylor Swift)的图像来隐藏恶意软件payload。   MIKINGZ僵尸网络的简短历史 MyKingz首次出现的时间在2017年底,其在此后一直是市场上最大的加密采矿恶意软件。 MyKingz背后的小组主要致力于感染Windows系统,通过在系统中部署各种挖矿程序来获取利润。 MyKingz具有僵尸网络中最多样化的Internet扫描和感染机制。如果有什么可以扫描的端口或者可以利用的漏洞,MyKingz有相当一部分的概率参与其中。从MySQL到MS-SQL,从Telnet到SSH,从RDP到IPC和WMI等,都是它的目标。 这使僵尸网络发展非常迅速。据报道,在MyKingz诞生的头几个月,它便已经感染了超过525,000个Windows系统,价值超过230万美元。 MyKingz也是EternalBlue漏洞的忠实拥护者,其隐藏在公司网络内部,规模估计高达100万个,并可能更大。 尽管有些人认为僵尸网络自2018年初以来就已经消失了,但Guardicore和Carbon Black在今年夏天发布的报告显示,僵尸网络仍然非常活跃,仍在感染大量计算机,估计每天大约有4700个新系统受到感染。 泰勒·斯威夫特 总部位于英国的安全公司Sophos在本月发现了该僵尸网络的新进展。 由于MyKingz的Internet扫描模块可以识别易受攻击的主机并在受感染的计算机上立足,因此,他们需要一种在被入侵的系统上部署各种恶意软件payload的方法。 据Sophos称,MyKingz的工作人员现在正在尝试进行隐写术,该技术可以使他们将合法文件内的恶意文件隐藏起来。MyKingz团队将恶意EXE隐藏在流行歌手Taylor Swift的JPEG图像内。 图片:Sophos Labs 使用此技术的目的是欺骗在企业网络上运行的安全软件。这些安全产品将只会使主机系统下载普通的JPEG文件,而不下载危险得多的EXE文件。 MyKingz绝不是第一个利用隐写术或名人形象的恶意软件团伙。去年,另一个恶意软件团伙使用女演员斯嘉丽·约翰逊(Scarlett Johansson)的图像在PostgreSQL数据库上部署了恶意软件。 近几个月来,恶意软件帮派也从图像中完全消失了,一些恶意软件操作正在尝试使用其他文件格式进行基于隐写术的攻击,例如WAV音频文件。 但是,尽管这对于MyKingz近期的攻击活动来说可能是一个有趣的发现,但使用Taylor Swift映像隐藏恶意软件并不是最主要的问题。 最主要的问题是,在过去的两年中,MyKingz被证明是对Windows计算机和企业网络的最大威胁之一。该僵尸网络很可能会破坏任何未打补丁或端口未保护的系统。 根据Sophos关于MyKingz的最新报告,MyKingz运营商目前平均每天可赚取约300美元,使他们的历史记录总数达到9,000 XMR左右,价值超过300万美元。     消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国参议员向维萨和万事达施加压力 要求它们撤出Facebook区块链项目

立法者已经开始积极向天秤座协会成员施加压力,以重新考虑它们与该组织的合作。天秤座协会是由Facebook领导的国际区块链支付项目。在寄给Visa,Mastercard和Stripe首席执行官的一封新信中,参议员Brian Schatz和Sherrod Brown警告天秤座项目存在巨大风险,包括方便犯罪和恐怖分子融资以及破坏全球金融体系的稳定。 这封信还暗示,如果它们继续与该协会合作,它们将在其传统的非区块链业务中,面临金融监管机构更多监督。信件写道:“ Facebook似乎希望参与金融活动而受益,而不必承担传统金融服务公司的责任。如果您继续这样做,监管机构将对您与天秤座有关活动进行严格的审查,而且对所有支付活动都可以进行严格的审查。” 共和党人也对这个项目持怀疑态度,参议员乔Josh Hawley认为,Facebook借此扩大了自己的垄断地位。目前,对这三家公司的联邦监管日益加强,其中包括联邦贸易委员会,消费者金融保护局和司法部等部门的监管,特别是FTC,该机构今年初与脸书达成了50亿美元的和解协议。 这封信是在PayPal从天秤座协会撤出后几天后发出的。PayPal没有给出撤出的具体原因,但许多人推测这是对监管机构压力加大的反应。   (稿源:cnBeta,封面源自网络。)

报道称委内瑞拉正在将机场税收转为加密货币 以绕过美国制裁

据外媒TheNextWeb报道,委内瑞拉似乎正在利用加密货币作为绕过美国制裁的更大努力的一部分。根据西班牙媒体ABC的一项调查,总统尼古拉斯·马杜罗和他的政府正在使用名为Jetman Pay的数字钱包应用程序将从该国一个主要机场的税收转换为比特币和其他加密货币。   该报声称,委内瑞拉将加密货币转移到俄罗斯和匈牙利等地的交易所。一旦接收到,这些资金被转换为美元并转回委内瑞拉。目前,Jetman Pay仅被Maiquetia国际机场(IAIM)使用,但马杜罗及其政府被认为正在进行关于扩大应用程序使用的谈判。 委内瑞拉经济多年来一直在与严重的恶性通货膨胀作斗争,加密货币近来似乎引起了马杜罗的兴趣。 本月早些时候,他下令该委内瑞拉银行开设“石油币”交易柜台,允许该国民众购买和交易石油币。他希望将能提供绕过经济制裁急需的解决办法。 去年,马杜罗通过该国一家国营电视台表示“石油币”将从10月1日开始用于国际交易,但加密货币未能按预期流行。 (稿源:cnBeta,封面源自网络。)

Firefox 将会增加对网站指纹和加密货币挖矿脚本的保护

秉承着对保护用户隐私的承诺,Mozilla近日宣布将会为Firefox浏览器引入几种新方式。正如此前在Bugzilla追踪器中BUG报告中所暗示的,Firefox将会增加对网站指纹和加密货币挖矿脚本的保护。 Mozilla在官方博文中解释道:网站通过指纹脚本可以收集每位访客的硬件相关数据,这样即使用户清除了cookies也能在网络上追踪用户。这些信息包括处理器、内存容量等信息,在苹果去年发布的macOS 10.14 Mojave中就引入了自己的方式来对抗各种数据收集。 而对于加密货币挖矿脚本,这在当前的互联网上的威胁已经越来越大。该脚本可以让你的计算机在后台进行挖矿作业,为其他人挖掘加密货币。这可能会耗尽系统资源并影响系统性能。 为了解决这两个问题,Mozilla与Disconnect合作创建了黑名单,罗列了使用该脚本的域名站点,用户可以选择阻止其中一项或者完全阻止。目前该功能已经出现在Nightly通道的68版本和Beta通道的67版本中,目前默认情况下处于禁用状态,一旦通过测试提高可靠性和稳定性将会默认启用。     (稿源:cnBeta,封面源自网络。)

加密货币挖矿类恶意软件仍是互联网的一大威胁 但已有下滑的趋势

Check Point 最新发布的全球恶意软件报告显示,加密货币挖矿类恶意软件,仍然是互联网上最为活跃的一大威胁,前十里面有五个都是它。其主要借助浏览器的 JavaScript 脚本来作妖,当网友不慎访问到恶意网站时,其 CPU 资源占用就会迅速飙升。除了被黑客攻击的站点,一些不道德的 Web 开发者还是与恶意软件开发者同流合污,从灰色的挖矿过程中分得一杯羹。 好消息是,随着加密货币价格的暴跌,这类恶意软件的驱动力也有所下滑。甚至主打“正经挖矿”功能的 Coinhive ,都在上周宣布了正式停止运营的消息。 与此同时,GandCrab 之类的勒索软件和网银木马正在崛起,并衍生出了逃避反病毒软件追踪的新手段。 需要指出的是,尽管与 PC 相比,移动设备的境况略好一些,但这并不意味着后者就能完全免疫。 因为包括 Lotoor 和 Triada 在内的三大移动恶意软件,都能够获取设备的管理权限,允许其监视用户、窃取密码、或注入广告。 其中 Triada 借助了别出心裁的手段来攻入移动设备 —— 不是直接利用漏洞,而是将合法的应用重新打包并上传,然后引诱缺乏戒备心的用户去下载。 一旦进入系统,这些糖衣里面的炮弹就会被释放,提取安全密钥并做出更多匪夷所思的事情。   (稿源:cnBeta,封面源自网络。)

McAfee 报告:加密货币恶意软件数量过去 1 年增长 4000%

随着加密货币的价值断崖式下跌,黑客会更加猖獗地攻击最后狠狠捞一笔还是偃旗息鼓等待加密货币反弹后再割?只有时间能给出答案。根据McAfee实验室近期公布的最新研究报告,针对加密货币的恶意软件数量在过去一年中增长了4000%。 McAfee实验室发布的2018年12月威胁报告[PDF]中,这家安全公司强调称2018年第一季度针对加密货币矿工的恶意软件数量大幅增长。这一趋势在第二季度似乎略有减少,但在第三季度,环比增长近40%。McAfee注意到在过去几个季度中,这种新型勒索软件系列的数量有所下降。这表明这些攻击者正转向更有利可图的加密劫持模式(cryptojacking)。 由于普遍缺乏适当的安全控制,类似于IP摄像头等物联网设备和路由器等设备非常容易受到攻击。这些设备虽然没有强大的CPU,但庞大的数量依然可以为黑客带来有价值的回报。在过去两年中,恶意软件总体上已经出现了稳定和可预测的增长,这一趋势没有显示出放缓的迹象。   稿源:cnBeta,封面源自网络;

黑客在 Windows 安装文件中隐藏加密货币挖掘恶意软件

安全研究人员表示,黑客现在伪装加密货币挖掘恶意软件,并将其作为合法的 Windows 安装包传递出去。研究人员表示,这种恶意软件,通常被称为 Coinminer,使用了一系列混淆方法,使其攻击特别难以检测。 这一发现来自安全公司趋势科技(Trend Micro),它表示,恶意软件作为 Windows Installer MSI 文件到达受害者的计算机上,这是值得注意的,因为 Windows Installer 是用于安装软件的合法应用程序。使用真正的 Windows 组件使其看起来不那么可疑,并可能允许它绕过某些安全过滤器。 黑客的诡计并不止于此。研究人员指出,一旦安装,恶意软件目录包含充当诱饵的各种文件。除此之外,安装程序还附带了一个脚本,可以杀掉在受害者电脑上运行的任何反恶意软件进程,以及受害者自己的加密货币挖掘模块。 研究人员还观察到,恶意软件具有内置的自毁机制,使检测和分析更加困难,它会删除其安装目录下的每个文件,并删除系统中的任何安装痕迹。虽然趋势科技还无法将攻击链接定位到特定国家/地区,但它注意到安装程序使用了西里尔语。平心而论,西里尔语似乎在加密货币罪犯中非常受欢迎。     稿源:cnBeta,封面源自网络;