标签: 服务器

安全公司发布关于 Energetic Bear APT 分析报告:针对欧美国家能源和工业部门

近日,卡巴斯基分析了受 Energetic Bear APT 损害的服务,并在某种程度上确定该组织是为了利益或接受其外部客户的订单而运作的。卡巴斯基实验室 ICS CERT 报告中提供了有关已识别的服务器的信息,这些服务器已被群体感染和使用。此外,该报告还包括对 2016 年和 2017 年初 Energetic Bear 组织袭击几家网络服务器的分析结果。 至 2010 年以来, Energetic Bear  一直活跃。该组织倾向于攻击不同的公司,主要关注能源和工业部门。根据统计,Energetic Bear 袭击的公司在全球范围内集中度比较明显,一般来说主要分布在欧洲和美国。在 2016-2017 年,土耳其公司遭受 Energetic Bear 袭击的数量也大幅增加。 Energetic Bear 组织的主要策略包括发送带有恶意文件的钓鱼邮件以及感染各种服务器。Energetic Bear 使用一些受感染的服务器作为辅助用途 -— 比如托管工具和日志。其他一些服务器则被故意受到感染,以便在水坑攻击中使用它们以达到该组织的主要目标。 受损服务器的分析结果和攻击者在这些服务器上的活动如下: –   除极少数情况外,该组织可以使用公共可用的实用程序进行攻击,使攻击归因的任务无需任何额外的群组“标记”就变得非常困难; –  潜在地,当攻击者想要建立一个立足点以发展针对目标设施的进一步攻击时,互联网上任何易受攻击的服务器都会引起攻击者的兴趣。 –  在观察到的大多数情况下,该组织通过执行与搜索漏洞有关的任务来获得各种主机持久性以及窃取认证数据。 –  受害者的多样性可能表明攻击者利益的多样性。 –  在某种程度上可以肯定地说,该组织为利益服务或从其外部的客户处获得订单,通过执行初始数据收集、窃取认证数据获得适合攻击资源的持久性发展。 值得注意的是, Energetic Bear 针对美国组织的近期活动在 US-CERT 咨询中进行了讨论,该咨询将其与俄罗斯政府联系起来。 完整分析报告: 《Energetic Bear/Crouching Yeti: attacks on servers》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Etcd REST API 未授权访问漏洞暴露 750MB 密码和密钥

近日据外媒报道,安全研究人员 Giovanni Collazo 通过 Shodan 搜索引擎发现近 2300 台安装了 etcd 组件的服务器暴露在互联网上,利用一些简单脚本即可从中获取登录凭证,如 cms_admin、mysql_root、 postgres 之类。目前 Collazo 经过测试已经成功地从这些服务器上检索到了来自 1,485 个 IP 、约 750 MB 的数据,其中包括 8,781 个密码、650 AWS 访问密钥、23 个密钥和 8 个私钥。 etcd 是一个分布式密钥值存储和为存储跨机器群集的数据提供可靠方法的数据库,通常用于在各种服务器和应用程序之间存储和分发密码和配置设置。etcd 实现了一个可以查询的编程接口,并且默认情况下不需要身份验证就可返回管理登录凭证。 虽然 Collazo 并没有测试这些凭证,但其中一些被推测是有效的,有可能会被攻击者用来侵入系统。此外,根据 Collazo 的说法,任何人只需几分钟时间就可以获得数百个可用于窃取数据或执行勒索软件攻击的数据库证书列表。 为了保证 etcd 安装安全,Collazo 建议启用身份验证并在不需要时使其脱机,或者设置防火墙,以避免未经授权的人员查询 etcd 服务器。 SeeBug 漏洞库: Etcd REST API 未授权访问漏洞 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

恶意活动针对 Windows、Redis 及 Apache 服务器安装加密货币矿工

外媒 3 月 12 日消息,来自 ISC SANS 组织和安全公司 Imperva 的研究人员发现了两个针对 Windows Server、Redis 以及 Apache Solr 服务器的恶意活动 — 攻击者试图针对这些未打补丁的服务器安装加密货币矿工。 第一个活动被称为 RedisWannaMine,主要针对的目标对象是 Redis 和 Windows Server 服务器。研究人员发现攻击者通过大规模的网络扫描来寻找运行过时 Redis 版本的系统,以触发 CVE-2017-9805 漏洞。 研究人员观察到,RedisWannaMine 通过执行脚本来下载一个公共可用的工具 masscan ,在将其存储到 Github 存储库后,编译并安装它。一旦获得访问主机的权限,攻击者将放弃 ReddisWannaMine 恶意软件作为第一阶段 playload,并安装第二阶段的加密货币矿工。 RedisWannaMine 通过 EternalBlue (永恒之蓝)进行传播,并且具有类似蠕虫的行为, 但它在逃避技术和功能方面更为复杂:RedisWannaMine 结合先进的攻击手段来增加感染率,从而获取更大的利益。除此之外,ReddisWannaMine 活动也显示了其自传播蠕虫的经典行为模式。 第二次采矿活动是通过利用 CVE-2017-12629 漏洞攻击 Apache Solr 服务器。根据 ISC SANS 发布的分析报告,在 2 月 28 日至 3 月 8 日这段时间内,这场活动共感染了 1777 个服务器, 其中有 1416个 是 Apache Solr。 研究人员认为这两项活动都只是冰山一角,未来还会出现越来越多针对加密货币行业的攻击事件。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

开源分布式内存缓存系统 Memcrashed 被利用发起 DDoS 放大攻击,峰值竟达 500 Gbps

外媒 2 月 27 消息,Cloudflare 和 Arbor Networks 公司于周二警告称,恶意攻击者正在滥用 memcached 协议发起分布式拒绝服务(DDoS)放大攻击,全球范围内许多服务器(包括 Arbor Networks 公司)受到影响。 memcached 是一个高性能的分布式内存对象缓存系统,用于动态 Web 应用以减轻数据库负载。它通过在内存中缓存数据和对象来减少读取数据库的次数,从而提高动态、数据库驱动网站的速度。此外,客户端可以通过端口 11211 上的 TCP 或 UDP 与 memcached 服务器进行通信。 在此次(DDoS)放大行动中,攻击者使用与受害者 IP 相匹配的假冒 IP 地址,将请求发送到端口 11211 上的目标服务器。虽然攻击者发送到服务器的请求仅仅只有几个字节,但其响应却比正常的要高出数万倍,这种情况可能会带来严重的攻击行动。 Cloudflare 认为攻击者显然是在滥用已启用 UDP 的无保护的 memcached 服务器。这些服务器来自世界各地,但主要是在北美和欧洲范围内,目前大部分服务器由由 OVH,DigitalOcean 和 Sakura 托管。 目前 Cloudflare 观察到的最大的 memcached DDoS 攻击峰值为 260 Gbps,但 Arbor Networks 称其发现的攻击峰值已达到 500 Gbps,甚至可能还会更高。Arbor Networks 指出,这些攻击中使用的查询类型也可以针对 TCP 端口 11211,但由于 TCP 查询不能真实被欺骗,因此该协议被滥用的可能性并不高。 根据 CDN (内容交付网络)监控的攻击数据来看,目前大约有 5700个与 memcached 服务器相关的 IP 地址,但专家预计未来会发现更大的攻击,因为 Shodan 显示了将近 88,000 个开放式服务器。目前大部分暴露的系统是在美国,其次是中国和法国。 Cloudflare 建议在非必要的情况下禁用 UDP 支持,并提醒系统管理员确保他们的服务器不能从 Web 访问。另外,互联网服务提供商(ISP)也可以通过修复易受攻击的协议和 防止 IP 欺骗来帮助减少这种或者其他类型的放大攻击。 消息来源:SecurityWeek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

“Zealot”行动揭秘:黑客组织利用 NSA 漏洞入侵 Windows 、Linux 服务器挖掘门罗币

据外媒 12 月 16 日报道,美国网络安全公司 F5 Networks  发现了一项利用 NSA 漏洞大量入侵 Linux 和 Windows 服务器同时植入恶意软件 “ Zealot ”来挖掘 Monero 加密货币的攻击行动。 黑客组织同时利用 NSA 漏洞入侵目标服务器 根据 F5 Networks 安全研究人员的说法,黑客组织使用两个漏洞扫描互联网上的特定服务器: 一个是用于 Apache Struts(CVE-2017-5638 — RCE 远程代码执行漏洞),另一个则是用于DotNetNuke ASP.NET CMS ( CVE-2017-9822 — DotNetNuke 任意代码执行漏洞)。  其中 Apache Struts (CVE-2017-5638)漏洞也是今年早些时候黑客组织利用来攻击美国金融巨头 Equifax  的同一个漏洞。 此外,亦有其他犯罪集团在今年 4 月份使用同一漏洞并将勒索软件安装在了使用 Struts  2 框架的服务器上,初步统计当时他们从中获利超过 10万美元。 在研究人员表示,若目标是 Windows 服务器,攻击者将会在服务器上部署 EternalBlue (永恒之蓝)和 EternalSynergy(永恒协作),这是今年早些时候由 Shadow Broker  “ 影子经纪人 ” 泄露的两个 NSA 漏洞,可利用于在用户本地网络中横向扩散、感染更多系统。随后,黑客组织使用 PowerShell 下载并安装最后一阶段的恶意软件,该恶意软件在攻击行动中充当 Monero 矿工的角色。而在 Linux 上,黑客组织则通过从 EmpireProject 后期开发框架中获取的 Python 脚本感染系统,并且也会安装同一个 Monero 矿工。 挖掘 Monero(门罗币)至少赚了 8500 美元 从收集到的 Monero 地址来看,黑客组织至少从此次攻击中获得了8500 美元。考虑到黑客组织很可能还使用了其他 Monero 钱包,这意味着他们获利金额会更高。有趣的是通过对恶意代码的分析,研究员们发现该黑客组织成员似乎是 StarCraft (星际争霸)游戏的忠实粉丝,因为行动中使用的许多术语和文件名都来自游戏,比如狂热者(Zealot)、观察者(Observer)、霸王(Overlord)、乌鸦(Raven)等。 不过 F5 专家们警告称, Zealot 的攻击活动运用了多级感染链、定制先进恶意软件 , 通过 NSA 漏洞进行横向扩散已经造成了巨大危害。而且黑客组织随时都有可能将最后阶段的 playload 更改为任何他们想要的东西,比如安装勒索软件而不是挖矿工具。 消息来源: BleepingComputer,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

“雪人计划”在全球架设 IPv6 根服务器:中国部署 4 台

记者日前从下一代互联网国家工程中心获悉,由该中心牵头发起的 “雪人计划” 已在全球完成 25 台 IPv6(互联网协议第六版)根服务器架设,中国部署了其中的 4 台,打破了中国过去没有根服务器的困境。 最新统计数据显示,截至 2017 年 8 月,25 台 IPv6 根服务器在全球范围内已累计收到 2391 个递归服务器的查询,主要分布在欧洲、北美和亚太地区,一定程度上反映出全球 IPv6 网络部署和用户发展情况。从流量看,IPv6 根服务器每日收到查询近 1.2 亿次。根服务器负责互联网最顶级的域名解析,被称为互联网的 “中枢神经”。美国利用先发优势主导的根服务器治理体系已延续近 30 年。在过去的 IPv4(互联网协议第四版)体系内,全球共 13 台根服务器,唯一主根部署在美国,其余 12 台辅根有 9 台在美国,2 台在欧洲,1 台在日本。 工程中心主任刘东对新华社记者说,这个治理体系一方面造成了全球互联网关键资源管理和分配极不均衡;另一方面,缺乏根服务器使各国抵御大规模 “ 分布式拒绝服务 ” 攻击能力不足,为各国互联网安全带来隐患。此外,随着互联网接入设备数量增长,原有 IPv4 体系已经不能满足需求,IPv6 协议在全球开始普及。刘东介绍说,工程中心抓住这个历史机遇,于 2013 年联合日本和美国相关运营机构和专业人士发起“雪人计划”,提出以 IPv6 为基础、面向新兴应用、自主可控的一整套根服务器解决方案和技术体系。 据悉,在与现有 IPv4 根服务器体系架构充分兼容基础上,“ 雪人计划 ”于 2016 年在美国、日本、印度、俄罗斯、德国、法国等全球 16 个国家完成 25 台 IPv6 根服务器架设,其中 1 台主根和 3 台辅根部署在中国,事实上形成了 13 台原有根加 25台 IPv6 根的新格局,为建立多边、民主、透明的国际互联网治理体系打下坚实基础。 稿源:cnBeta、新华社;封面来自网络

IBM 忘记续域名导致云服务出现问题

据外媒报道,IBM 的负载均衡和反向 DNS 服务器于上个月发生了长达 21 小时的故障,蓝色巨人一开始将这起故障归罪于它正转移部分域名的第三方域名注册商,称注册商意外将域名设置为“保留状态”阻止了域名转移。 不过,目前,IBM 公布了事故报告,称原因是多个域名过期没有及时更新。受影响的域名包括 network-layer.net、 global-datacenter.com 和 global-datacenter.net。对于这家将未来寄予云端和 AI 的科技巨人而言这不是什么好消息。 稿源:solidot奇客,封面源自网络;

安全报告:亚马逊 S3 存储服务器错误配置引发数据泄露

安全公司 Detectify 顾问 FransRosén 于 7 月 13 日发布一份报告,指出网络管理员经常忽略亚马逊( AWS )访问控制列表( ACL )规则,导致服务器因错误配置导致大量数据在线泄露。     Detectify 公司认为,尽管服务器配置错误的原因各不相同,但在 AWS S3 存储设置访问控制时,多数漏洞服务器均由常见问题导致。随后,研究人员通过一系列不同错误配置原因证实,由于服务器与目标系统 ACL 的配置极其薄弱,导致黑客可以随时操控、监视与破坏高端网站。 据悉,在该份安全报告中,Rosén 指出 AWS 服务器中存在一处关键漏洞,允许攻击者识别 S3 存储服务器的名称信息、利用 AWS 命令行工具跟踪 Amazon API。如果操作正确,攻击者便可访问 S3 列表并读取文件获取信息。此外,攻击者不仅可以将文件写入并上传至 S3 存储服务器中,还可更改用户访问权限。研究人员表示,由于 AWS S3 的访问控制列表配置错误,攻击者在获取访问权限后允许访问服务器敏感数据。 如果将访问控制设置为 “ AuthenticatedUsers ”,就意味着任何用户均拥有一套有效的 AWS 凭据,其基本由用户注册 AWS 账户获得。不过,用户在看到这个访问控制选项时可能会将身份验证与审核授权混淆。如果 S3 存储服务器配置错误,那么攻击者唯一需要的就是服务器名称信息。 Detectify 表示,识别服务器名称信息及其所属公司的操作极其简单,存在多种不同方法强制 S3 存储服务器显示,包括查看服务器 Amazon S3 的 HTTP 响应。Rosén 表示,他无法确定近期 Verizon 服务器泄露事件缘由是否遇到同样的错误配置问题。但他发现,目前共有 40 家公司在出现错误配置时遇到不同的访问控制问题。 日前,亚马逊发表声明指出这并非漏洞。虽然 AWS S3 服务器配置不正确,可能会导致泄漏数据,但他们无法防止用户操作无错误出现。目前,AWS 已提供一些工具,以便用户更改并锁定服务器访问权限。 原作者:Tom Spring,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

勒索软件 CradleCore 源码已被公开销售,或衍生多种变体

Forcepoint 安全专家表示,CradleCore 作者正在许多地下犯罪论坛提供该勒索软件源码,允许犯罪分子请求代码定制版本,有别于典型的 ransomware-as-a-service ( RaaS ) 模式。 勒索软件 CradleCore 采用 C++ 源码,配合必要的 PHP Web 服务器脚本与支付面板。两周前,该款恶意软件售价 0.35 比特币(约合 428 美元),接收议价。 恶意软件开发者一般通过 RaaS 商业模式牟利。只有在具体做法不可行的情况下才会考虑出售恶意软件源码。据悉,该销售模式将导致 CradleCore 衍生更多变体。 CradleCore 功能相对完整,采用 Blowfish 进行文件加密,此外还允许离线加密。其恶意代码可以实现沙箱对抗机制并通过 Tor2Web 网关与 C2 服务器通信。调查表明,目标系统一旦感染,勒索软件 CradleCore 将对文件进行加密处理并向受感染系统发送 “ 死亡威胁 ”。加密后的文件被附加 .cradle 扩展名。 虽然 CradleCore 的广告网站托管在暗网上,但该网站的 Apache 服务器状态页面显示为可查询状态。日志显示,托管 Onion 网站的 Apache 服务器还有一个托管 clearnet 网站的虚拟主机( VHost ),允许多个网站托管在一台机器与一个 IP 地址之上。 Linode 分配的托管网站 IP 地址看似专用。这实质上意味着服务器或遭受入侵、被滥用托管 CradleCore 网站,或 clearnet 网站与 CradleCore 属于同一所有者。 由此看出,CradleCore 是又一款可供网络犯罪分子利用的新型勒索软件。作为源码销售的原因可能是作者对恶意软件商业模型了解有限,或为开发者寻找额外收入的首个项目或附加项目。也就是说,购买者不仅可以更新该款勒索软件,还可将源码分享至他人。 原作者:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接