标签: 远程控制

欧洲刑警组织逮捕 IM-RAT 背后 13 名黑客

欧洲刑警组织于上周宣布,他们在近期的一项国际执法行动中成功打击了Imminent Monitor RAT背后的犯罪网络。 Imminent Monitor RAT是一种可以让网络犯罪分子远程完全控制受害者的计算机的工具,被卖给了14,500多名买家,受害者覆盖124个国家。 此次行动还关闭了Imminent Monitor的基础架构和销售网站,这使得新老买家都无法使用该木马。 该黑客工具一开始被作为一种合法的远程管理框架而推广,随后被广泛用于访问用户的计算机,使得黑客得以窃取用户的在线银行和其他金融帐户的登录信息。 欧洲刑警组织还于今年6月对澳大利亚和比利时的IM-RAT开发商和雇员签发了搜查令,此次行动很有可能是为了确认该工具的转售者和用户。刑警组织还在澳大利亚,哥伦比亚,捷克,荷兰,波兰,西班牙,瑞典和英国逮捕了IM-RAT的13个重要客户。 执法人员还从客户手中缉获了430多种设备,并对大量计算机和IT设备进行了分析。 IM-RAT可以使攻击者完全控制受害者的计算机,从而使他们可以在受害者不知情的情况下执行以下所列的各种恶意行为: 1.记录击键, 2.从浏览器中窃取数据和密码, 3.通过网络摄像头监视受害者, 4.下载/执行文件, 5.禁用防病毒和防恶意软件, 6.终止正在运行的进程, 7.执行许多其他操作。 由于IM-RAT的功能,易用性以及终身访问权限,其成本仅为25美元,因此被评定为危险级别。 欧洲刑警组织欧洲网络犯罪中心(EC3)负责人史蒂文·威尔逊说道:“地球另一端的黑客现在只用花25美元就可以通过点击鼠标,访问我们的个人详细信息和亲人的照片,甚至监视我们。” 执法人员认为,IM-RAT受害者的数量下降了数万人,“调查人员已经取得了黑客窃取个人详细信息,密码,私人照片,录像带和数据的犯罪证据”。 在其他类似的国际联合行动中,名为Luminosity Link的远程访问木马的犯罪网络也于两年前被关停。 在Luminosity Link案中,一名21岁开发人员因非法使用计算机,洗钱和非法转移财产而被捕,并被判处 30个月监禁。 为避免成为此类威胁的受害者,我们建议个人用户和组织使您的所有软件升级至最新版本,正确配置防火墙,避免打开可疑的电子邮件附件或URL,并在不同网站上使用不同的密码。   消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

“月光(Moonlight)”蠕虫威胁高校网络,中毒电脑被远程控制

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/-26KdmJSWZpCjdj6tdqGIQ   一、概述 腾讯安全御见威胁情报中心检测到“月光(MoonLight)” 蠕虫病毒感染呈上升趋势,该病毒主要危害教育行业。病毒会搜集受感染系统上的邮件地址,然后伪装成屏幕保护程序文件(.scr)的病毒发送至收件人。病毒还会复制自身到启动目录、download/upload目录、共享目录以及可移动磁盘,具有较强的局域网感染能力。病毒会记录键盘输入信息发送至远程服务器、对中毒电脑进行远程控制、组建僵尸网络,对指定目标进行DDoS攻击。 在此次攻击中,病毒伪装成以“**课件”、“打印**”命名的文件进行传播,对于老师和学生具有很高的迷惑性,大学新生的防毒意识相对较差,该蠕虫病毒已在教育网络造成较重影响,在9月开学季达到感染峰值。   根据腾讯御见威胁情报中心统计数据,MoonLight蠕虫病毒攻击行业分布如下,受影响严重的前三位分别为教育、信息技术、科研及技术服务等。 从地区分布来看,MoonLight蠕虫全国各地均有感染,影响严重的省市包括:广东、北京、广西、山东、四川等地。 二、详细分析 “月光”(MoonLight)蠕虫病毒可通过邮件、文件共享、可移动磁盘等途径传播,中毒系统会被远程控制、键盘记录以及组成僵尸网络对指定网络目标进行DDoS攻击。 MoonLight蠕虫病毒的攻击流程 持久化攻击 MoonLight运行后首先将自身拷贝至以下位置,包括系统目录、临时文件目录、Run启动项、全局启动目录。使用的文件名包括固定名称(EmangEloh.exe、smss.exe、sql.cmd、service.exe、winlogon.exe)和随机生成(用<random>表示)两种: C:\Windows\sa-<random>.exe C:\Windows\Ti<random>ta.exe C:\Windows\<random>\EmangEloh.exe C:\Windows\<random>\Ja<random>bLay.com C:\Windows\<random>\smss.exe C:\Windows\System32\<random>l.exe C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sql.cmd C:\Documents and Settings\<user>\Templates\<random>\service.exe C:\Documents and Settings\<user>\Templates\<random>\Tux<random>Z.exe C:\Documents and Settings\<user>\Templates\<random>\winlogon.exe 为了确保在系统启动时自动执行和防止被删除,病毒添加到开机启动项、映像劫持、exe/scr文件关联等位置,具体包括以下注册表项: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools=dword:00000001 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run <random>=”%system%\<random>.exe” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run <random>=”%WINDOWS%\<random>.exe” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\msconfig.exe debugger=”%windows%\notepad.exe” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\regedit.exe debugger=”%windows%\notepad.exe” HKEY_CLASSES_ROOT\exefile default=”File Folder” HKEY_CLASSES_ROOT\scrfile default=”File Folder” HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden=dword:00000000 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced HideFileExt=dword:00000001 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState FullPath=dword:00000001 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile default=”File Folder” HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile default=”File Folder” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden UncheckedValue=dword:00000000 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Common Startup = “%system%\<random>” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell=”explorer.exe, “%userprofile%\Templates\<random>\<random>.exe”” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot AlternateShell=”<random>.exe” 蠕虫式传播 病毒枚举路径,找到路径中包含以下字符的文件夹: download upload share 找到后,拷贝自身到该目录下以感染网络共享文件夹,拷贝后使用以下文件名: TutoriaL HAcking.exe Data DosenKu .exe Love Song .scr Lagu – Server .scr THe Best Ungu .scr Gallery .scr New mp3 BaraT !! .exe Windows Vista setup .scr Titip Folder Jangan DiHapus .exe Norman virus Control 5.18 .exe RaHasIA.exe Data %username%.exe Foto %username%.exe New Folder(2).exe New Folder.exe 病毒还会拷贝自身到可移动磁盘中,病毒自身使用文件夹图标,默认情况下系统不显示文件扩展名,这会让用户误认为文件夹图标而双击打开: %username% Porn.exe System Volume Infromation  .scr MoonLight蠕虫还会尝试将自身的副本发送到从受感染系统搜索获取的电子邮件地址。使用自带的SMTP邮件引擎猜测收件人电子邮件服务器,并在目标域名前面加上以下字符串: gate. mail. mail1. mx. mx1. mxs. ns1. relay. smtp. 构造包含以下字符串之一的邮件正文: aku mahasiswa BSI Margonda smt 4 Aku Mencari Wanita yang aku Cintai dan cara menggunakan email mass di lampiran ini terdapat curriculum vittae dan foto saya foto dan data Wanita tsb Thank’s ini adalah cara terakhirku ,di lampiran ini terdapat NB:Mohon di teruskan kesahabat anda oh ya aku tahu anda dr milis ilmu komputer please read again what i have written to you yah aku sedang membutuhkan pekerjaan 构造包含以下名称之一的邮件附件: curriculum vittae.zip USE_RAR_To_Extract.ace file.bz2 thisfile.gz TITT’S Picture.jar 蠕虫病毒使用的Payload下载地址: http[:]//www.geocities.com/m00nL19ht2006/ 主要危害 MoonLight蠕虫病毒会针对指定目标网站执行DDoS攻击,并通过后门在受害系统列举文件和目录、创建和执行程序,同时具有内置的键盘记录功能,可将记录的键盘输入发送到远程地址 三、安全建议 1、不要打开不明来源的邮件附件,对于附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描; 2、谨慎访问网络共享盘、U盘、移动硬盘时,发现可疑文件首先使用杀毒软件进行扫描; 3、建议使用腾讯电脑管家或部署腾讯御点终端安全管理系统防御病毒木马攻击; 4、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统; IOCs Md5 5c58e370266f182e6507d2aef55228e6 9c852e1c379849c3b6572a4d13b8624b f1af3d3d0c5a5d6df5441314b67a81f4 d1b2b5b83f839a17d113e6c5c51c8660 3d62ac71ff3537d30fcb310a2053196a aa22ed285c82841100ae66f52710e0b1 Domain www[.]apasajalah.host.sk URL http[:]//www.apasajalah.host.sk/testms.php?mod=save&bkd=0&klog= http[:]//www.geocities.com/m00nL19ht2006/ http[:]//www.geocities.com/sblsji1/IN12QGROSLWX.txt http[:]//www.geocities.com/jowobot123/BrontokInf3.txt http[:]//www.geocities.com/sblsji1/in14olpdwhox.txt http[:]//www.geocities.com/sbllma5/IN12ORURWHOX.txt 参考链接: https://www.f-secure.com/v-descs/email-worm_w32_vb_fw.shtml

Google 公布一个 uTorrent 的安全漏洞 官方发布了一个无用补丁

早在 1 月份,Google Project Zero 研究员 Tavis Ormandy 就透露了 BitTorrent 应用程序传输中的一个漏洞,并解释其他客户端也可能存在类似的问题。在本周的一份新报告中,Ormandy 在 uTorrent 中发现了类似的安全漏洞,这是目前最受欢迎的 BitTorrent 客户端之一。 这个问题在 11 月份向 BitTorrent 报告,但就像安全研究人员预测的那样,母公司未能在 90 天窗口中发布补丁,因此本周安全人员将漏洞细节公布在互联网上。 该漏洞存在于 Web 界面中,允许用户远程控制 BitTorrent 客户端,如果被利用,它可能使攻击者能够控制易受攻击的计算机。然而,软件的开发者表示,它已经准备好了一个补丁程序,该补丁程序是最新 beta 版本的一部分,根据 TorrentFreak 的一份报告,它预计将在本周尽快推向稳定渠道。 但事实证明,与 Ormandy 共享的修补程序只覆盖原始漏洞,而不能完全解决漏洞。看起来像 BitTorrent 只是给 uTorrent Web 添加了第二个令牌。这并没有解决 DNS 重新绑定问题。目前,BitTorrent 尚未提供更新的声明,以分享计划发布新补丁程序的方式和时间。 稿源:cnBeta,封面源自网络;