标签: Linux

RubyMiner 恶意软件入侵过时服务器挖掘加密货币

安全研究人员近期观察到一种在线部署的新型恶意软件 RubyMiner ——这是一种在被遗忘的网络服务器上发现的加密货币矿工 。据 Check Point 和 Certego 发布的研究结果以及研究员从 Ixia 收到的信息表明,攻击事件始于上周 1 月 9 日至 10 日。 攻击 Linux 和 Windows 服务器 Ixia 安全研究员 Stefan Tanase 指出,RubyMiner 的目标是 Windows 和 Linux 系统。恶意软件 RubyMiner 背后的团队使用一个名为 p0f 的 web 服务器指纹工具来扫描和识别运行过时软件的 Linux 和 Windows 服务器。一旦识别到未打补丁的服务器,攻击者就可以将已知的漏洞部署在易受攻击的服务器上,然后用 RubyMiner 来感染他们。 Check Point 和 Ixia 表示,他们已经观察到攻击者在最近的攻击浪潮中部署了以下漏洞: ◍ Ruby on Rails XML处理器 YAML 反序列化代码执行(CVE-2013-0156) ◍ PHP php-cgi 查询字符串参数代码执行(CVE-2012-1823;CVE-2012-2311; CVE-2012-2335;CVE -2012-2336;CVE-2013-4878) ◍ 微软 IIS ASP 脚本的源代码泄露(CVE-2005-2678 ) 攻击者将恶意代码隐藏在 robots.txt 文件中 在上周发布的一份报告中,Check Point 根据从 honeypot 服务器收集的数据,在 Linux 系统上分解了 RubyMiner 的感染例程,并从中认识到攻击者在某些方面的创造力: ▨ 可利用代码包含了一系列 shell 命令 ▨ 攻击者清除了所有的 cron 作业 ▨ 攻击者添加了一个新的计时 cron 作业 ▨ 新的 cron 作业下载了在线托管的脚本 ▨ 该脚本托管在多个域的 robots.txt 文件内 ▨ 脚本下载并安装合法的 XMRig Monero 矿工应用程序修改版本。 Check Point 安全研究员 Lotem Finkelstein 则表示,目前攻击者瞄准了 Windows IIS 服务器,但是并没有获得 RubyMiner 的 Windows 版本副本。此外 ,Check Point 称 2103 年的一起恶意软件活动部署了与 RubyMiner 相同的 Ruby on Rails 漏洞, Check Point 猜测其背后团队很可能正试图扩展 RubyMiner 。 Monero 采矿恶意软件的发展趋势日益明显 总体而言,近几个月来传播加密货币挖掘恶意软件的尝试有所增加,尤其是挖掘 Monero 的恶意软件。 除了密码劫持事件(也是 Monero )之外,2017 年的一些 Monero 挖掘恶意软件家族和僵尸网络还包括 Digmine、针对 WordPress 网站的未知僵尸网络、Hexmen、Loapi、Zealot、aterMiner、 针对 IIS 6.0 服务器的未知僵尸网络、CodeFork 以及 Bondnet 等。而就在 2018 年的前两个星期,已经出现了针对 Linux 服务器的 PyCryptoMiner 和另外一个针对 Oracle WebLogic 服务器的组织。大多数针对 Web 服务器的事件中,研究人员发现攻击者试图使用最近的漏洞攻击,因为会有更多易感染的机器。但奇怪的是,RubyMiner 攻击者却使用非常古老的漏洞,并且大多数安全软件都能检测到这些漏洞。 据研究员 Finkelstein 透露,RubyMiner 攻击者可能是故意寻找被遗弃的机器,比如被遗忘的个人电脑和带有旧操作系统的服务器 ,感染设备后确保在安全雷达下进行长时间的采矿。 RubyMiner 团伙已感染 700 多台服务器 根据 RubyMiner 恶意软件部署的自定义 XMRig 矿工中发现的钱包地址,Check Point 初步统计受到 RubyMiner 感染的服务器数量在 700 个左右,攻击者的收入约为  540  美元。一些专家认为若攻击者开始使用最近的漏洞,其幕后团队可能会赚取更多的钱。例如,一个从 2017 年 10 月开始针对 Oracle WebLogic 服务器的黑客组织就曾获利 226,000 美元 。 消息来源:Bleeping Computer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Mirai Okiru:首个旨在感染 ARC CPU 的新型 Linux ELF 恶意软件

外媒 1 月 14 日信息,MalwareMustDie 团队首次发现了一种用于感染 ARC CPU 的 Linux ELF 恶意软件—— Mirai Okiru,旨在针对基于 ARC 的系统。据悉,Mirai Okiru 在被发现之前几乎没有任何的反病毒引擎可以检测到,再加上目前 Linux 物联网的威胁形势迅速变化,因此研究人员认为攻击者将会利用 Mirai Okiru 瞄准基于 ARC CPU 的物联网设备,从而导致毁灭性的影响。 ARC (Argonaut RISC Core)嵌入式处理器是一系列由 ARC International 设计的32 位 CPU,其广泛用于存储、家用、移动、汽车和物联网应用的 SoC 器件。 2016 年 8 月,MalwareMustDie 团队的研究员 unixfreaxjp 首先发现了 Mirai 僵尸网络 ,时隔不到两年, unixfreaxjp 又注意到恶意软件社区出现了新的攻击形式——Mirai Okiru,其影响程度极为深远,因为 ARC 嵌入式处理器已经被 200 多个组织授权,并且每年出货量达到 15 亿,这意味着可能暴露的设备数量是非常巨大的。此外,除了攻击 ARC,其他恶意目的也可能存在。 为了更加深入了解 Mirai Okiru ,MalwareDustdie 团队分析了 Okiru 与 Satori 变体(另一种僵尸网络)的不同之处: 1、配置不同,Okiru 变体的配置是以两部分 w/ telnet 攻击密码加密,而 Satori 并不分割这两个部分,也不加密默认密码。并且 Okiru 的远程攻击登录信息稍长一点(最多可以达到 114 个凭证),而 Satori 则拥有不同和更短的数据库。 2、Satori 似乎可以利用 “ TSource Engine Query ”进行分布式反射拒绝服务(DRDoS)功能(通过随机 UDP),而 Okiru 则没有这个功能。 3、在 Okiru 和 Satori 的配置中,感染跟进的命令有点不同,也就说他们没有共享相同的 herding 环境。 4、四种类型的路由器漏洞利用代码只被发现在 Okiru 变体中硬编码,Satori 完全不使用这些漏洞 。 5、Satori (见反编码的 VT 注释部分)是使用小型嵌入式 ELF 木马下载器来下载其他的架构二进制文件,与 Okiru 相比其编码方面存在不同 (请参阅反转代码在 VT 注释中)。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

英特尔芯片重大缺陷, 或迫使 Linux 和 Windows 重新设计内核

据北京时间 1 月 3 日早间消息,由于英特尔处理器存在一个底层设计缺陷,迫使 Linux 和 Windows 内核需要展开重大的重新设计,以便消除芯片层面的安全漏洞。程序员都在正在加紧检修开源 Linux 内核的虚拟内存系统。 与此同时,微软也可能在下周二的补丁中发布对 Windows 系统展开必要调整:这些改版已经在去年 11 月和 12 月提供给 Windows Insider 的测试者。 关键问题在于,Linux 和 Windows 系统的更新会对英特尔的产品性能产生冲击。虽然具体影响有待确定,但预计速度会放慢 5% 至 30%,具体要取决于任务类型和处理器模式。英特尔最近的芯片配备了 PCID 功能,可以降低性能受到的影响。 苹果 64 位 macOS 等其他系统也需要进行类似的更新——该问题存在于英特尔的 x86 硬件之中,似乎无法通过微码升级来解决。必须要在系统层面通过软件来解决,或者购买没有设计缺陷的新处理器。 英特尔芯片的漏洞细节尚未披露,最早有望于本月初公布,可能会选在下周二的微软补丁发布日。事实上,Linux 内核补丁已经对所有人开放,但源代码的评论内容经过修改,导致人们无法详细了解问题。 稿源:cnBeta、新浪科技, 封面源自网络;

Debian 9 修复 18 个重要的 Linux 4.9 LTS 内核安全漏洞

Debian 项目近日发布了针对 Debian GNU/Linux 9 “ Stretch ” 系列操作系统新的 Linux 内核安全更新,修复了最近发现的几个漏洞 。 根据最新的 DSA 4073-1 Debian 安全通报,在 Debian GNU/Linux 9 “ Stretch ” 操作系统的 Linux 4.9 LTS 内核中,共有 18 个安全漏洞,其中包括信息泄露,提权升级和拒绝服务等问题。 通报显示,在 Linux 内核的 DCCP 实现、dvb-usb-lmedm04 驱动程序、hdpvr 媒体驱动程序、扩展 BPF 验证程序、netfilter 子系统、netlink 子系统、xt_osf 模块、USB 核心以及 IPv4 原始套接字实现都存在问题。另外,Linux 内核的 HMAC 实现、KEYS 子系统、Intel 处理器的 KVM 实现、蓝牙子系统和扩展 BPF 验证器也受到某种影响。 Debian 项目建议禁用未经授权的用户使用扩展 BPF 验证器( sysctl kernel.unprivileged_bpf_disabled = 1 )。 有关更多详细信息,请参阅 CVE-2017-8824,CVE-2017-16538,CVE-2017-16644,CVE-2017-16995,CVE-2017-17448,CVE-2017-17449,CVE-2017-17450,CVE-2017 -17558,CVE-2017-17712,CVE-2017-17741,CVE-2017-17805,CVE-2017-17806,CVE-2017-17807,CVE-2017-17862,CVE-2017-17863,CVE-2017-17864 ,CVE-2017-1000407 和 CVE-2017-1000410。 Debian 在默认情况下禁用非特权用户命名空间,但是如果启用(通过 kernel.unprivileged_userns_clone sysctl ),那么 CVE-2017-17448 可以被任何本地用户利用,因此建议升级 linux 软件包。 建议用户立即更新系统 为了解决所有这些问题,Debian 敦促用户尽快将运行 Linux 内核 4.9 LTS 的 Debian GNU / Linux 9 “ Stretch ” 安装更新到 4.9.65-3 + deb9u1 版本,并且在安装新内核更新后重新启动计算机。 Debian GNU/Linux 9 “ Stretch ” 是 Debian GNU/Linux 操作系统的最新稳定版本。本月早些时候,Debian GNU/Linux 9.3 发布了最新版本的 Debian GNU/Linux 8.10 “ Jessie ”。如果用户想安装该版本,可以从相关渠道下载 ISO 映像。 消息来源:Softpedia,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Red Hat 等主要的 Linux 发行版厂商修复两处 Samba 漏洞

据外媒 11 月 23 日报道,网络安全公司的研究人员于今年 9 月发现 Samba SMB1 协议存在一处 UAF 漏洞(CVE-2017-14746),允许黑客通过 SMB1 请求重新分配堆指针后不仅可以控制堆上的信息,还可通过漏洞攻击 SMB 服务器,受影响范围包括 Samba 4.0.0 以前所有版本。 Red Hat、Ubuntu、Debian 等主要的 Linux 发行版厂商近期推出了 4.7.3、4.6.11 和 4.5.15 版本的修复补丁。另外,研究人员还提供了一个解决方案,建议用户可以通过设置参数禁止访问 SMB1 服务器: ○ server min protocol = SMB2 ○ to the [global] section of your smb.conf and restart smbd. 但是,需要注意的是这可能会影响之前的用户无法连接到服务器。 对于 Samba 还存在的另一漏洞(CVE-2017-15275),目前官方也已经释出修复补丁,曾允许攻击者通过精心构造的恶意请求发送至受影响版本( 3.6.0 以后的所有版本)的服务器,从而获取系统内存中未被清除的哈希密码或其他敏感数据。 这一漏洞导致受害系统的服务器在分配堆内存时可能会在未清除下将其先前所包含的敏感数据返回至客户端,从而使攻击者获取重要信息后通过其他方法破坏系统服务器。 HackerNews.cc 在此强烈建议使用 Samba 的用户/企业及时修复补丁或更新系统至最新版本。 更多内容: 4.7.3、4.6.11 和 4.5.15 版本补丁地址:http://www.samba.org/samba/security/ 一些已不被支持的旧版本补丁地址:https://www.samba.org/samba/patches/ 消息来源:securityaffairs.co ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

存在 2 年的 Linux 内核问题上升至高危漏洞,可允许攻击者破坏内存、提升特权

HackerNews.cc  9 月 28日消息,Qualys 实验室研究人员近期发现一处存在 2 年之久的  Linux 内核 安全问题已上升至高危漏洞级别(CVE-2017-1000253、CVSS 分值为 7.8),允许攻击者破坏系统内存、提升特权。据悉,该漏洞最初由 Google 安全研究人员 Michael Davidson 于 2015 年 4 月发现。不过由于当时并未重视,因此该漏洞的修复程序没有移植到 Linux 3.10.77 长期发行版中。 受影响版本: ο 所有 1708 版本之前的 CentOS 7 ο 所有 7.4 版本之前的 Red Hat Enterprise Linux 7 ο 所有版本的 CentOS 6 与 Red Hat Enterprise Linux 6 研究人员表示,该漏洞存在于 Linux 内核加载 ELF 可执行文件的方式中,并且由已构建的 PIE 应用程序触发,可造成内存无法被正常分配而导致损坏。最初,研究人员认为这只会导致内存损坏而已,但随后他们发现,具有访问 SUID 或其他特权的 PIE 二进制文件的非特权本地用户可以利用该漏洞升级受影响系统权限。 不过,研究人员表示,为了减轻此漏洞所带来的影响,用户可以将 vm.legacy_va_layout 设置为 1 来切换到旧的 mmap(内存文件映射)布局,从而禁止攻击者利用漏洞破坏系统。目前,包括 Red Hat、Debian 与 CentOS 在内的 Linux 发行版已经发布安全更新。Qualys 团队在提醒用户更新系统时也承诺发布概念验证(PoC)代码,用于敦促其他发行商及时修补程序发布安全更新。 原作者: Mohit Kumar,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客利用 Subsystem for Linux 攻击 Windows 操作系统

据外媒报道,Windows 10 引入的 Subsystem for Linux(WSL)功能,允许用户 在 Bash 终端运行 Linux 可执行文件。安全公司 Check Point Research 研究人员近期报告了黑客利用 WSL 的新攻击方法,他们称之为 Bashware 攻击。 研究人员表示,现有的安全产品还没有适应去监视运行在 Windows 操作系统上的 Linux 可执行程序的进程,从而为网络犯罪分子打开了新的攻击大门,即利用 WSL 提供的功能躲避检测、运行恶意代码。目前,研究人员已在现有的杀毒软件和安全产品上测试了 Bashware 攻击,发现它能够躲避所有安全产品的检测。 稿源:solidot奇客,封面源自网络;

卡巴斯基安全报告:黑客通过 Facebook Messenger 诱导用户下载广告软件牟取暴利

据外媒 8 月 24 日报道,卡巴斯基实验室(Kaspersky Lab)研究人员近期发现黑客正利用  Facebook Messenger 进行跨平台攻击活动,即通过社工手段以目标用户好友身份发送特殊视频链接。一旦点击链接,则会根据用户浏览器与操作系统将其重定向至虚假网站并诱导用户下载安装广告软件,从而获取暴利。 例如,当 Windows Mozilla Firefox 用户点击该链接时,将会被其重定向至虚假 Flash 播放器更新网站。如果用户点击更新,则会自动下载一款提供 Windows 可执行文件的广告软件。 然而,Google Chrome 用户则会被重定向至虚假的 YouTube 网站,同时该网站会诱导受害者从 Google 应用商店下载恶意 Chrome 扩展程序,从而自动下载恶意广告软件至受害者设备。 此外,苹果 Mac OS X Safari 用户最终则会被重定向至 Firefox 页面,其中将会出现虚假的 Flash 媒体播放器更新窗口。如果用户点击更新,则会自动下载提供 OSX 可执行文件的广告软件。 调查显示,攻击者实际上并未使用任何银行木马或漏洞感染平台用户,而仅仅是通过恶意广告文件牟取暴利。对此,为保障用户系统安全,研究人员建议用户切勿轻易点击任何非可信来源的图像或视频链接,并始终保持系统杀毒软件更新至最新版本。 原作者:Mohit Kumar,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新 Windows 后门 CowerSnail 与恶意软件 SHELLBIND 密切相关

据外媒 7 月 26 日报道,卡巴斯基实验室研究人员近期发现新 Windows 后门 CowerSnail 与 Linux SambaCry 恶意软件 SHELLBIND 密切相关。 SHELLBIND 利用 SambaCry 漏洞感染多数网络附加存储(NAS)设备后,将共享文件传输至 Samba 公共文件夹并通过服务器加载,允许攻击者远程执行任意代码。 调查显示,由于 SHELLBIND 与 Backdoor.Win32 CowerSnail 共享一台命令与控制(C&C)服务器(cl.ezreal.space:20480),因此极有可能由同一组织创建。 CowerSnail 后门设计基于跨平台开发框架 Qt 编写,允许攻击者将 Unix 平台开发的恶意代码快速迁移至 Windows 环境。另外,该框架还提供了不同操作系统之间的跨平台功能与源代码转移,从而使平台传输代码变得更加容易。然而,在便捷传输的同时也增加了生成文件大小,导致用户代码仅占 3MB 文件的很小比例。 CowerSnail 在升级进程/当前线程优先级后通过 IRC 协议与 C&C 服务器通信,实现经典后门功能,包括收集受感染系统信息(例如:恶意软件编译时间戳、已安装操作系统类型、操作系统主机名称、网络接口信息、物理内存 ABI 核心处理器架构)、执行命令、自动安装或卸载、接收更新等。 目前,安全专家推测,如果同一黑客组织开发两款特定木马且每款均具备特殊功能时,那么想必这一组织在未来将会设计更多恶意软件。 原作者:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Linux Gnome 文件管理器存在关键代码注入漏洞

据外媒 7 月 19 日报道,德国安全研究人员 Nils Dagsson Moskopp 近期发现 GNOME Files 文件管理器存在一处代码注入漏洞 Bad Taste( CVE-2017-11421 ),允许黑客在目标 Linux 计算机系统上执行恶意代码。 Bad Taste 漏洞驻留在 “ Gnome-Exe-Thumbnailer ”( Gnome 图像处理工具软件 Thumbnailer )中,其主要利用 GNOME 工具从 Windows 可执行文件(.exe / .msi / .dll / .lnk)中生成缩略图像,并要求用户在其系统上安装 Wine 应用程序方可查看。 Wine 是一款免费开源软件,可以让 Windows 应用程序在 Linux 操作系统上运行。Moskopp 表示,他在检测包含 .msi 文件目录时发现,GNOME Files 将文件名称作为可执行输入并创建运行缩略图像。为成功利用此漏洞,攻击者可以发送一个精心制作的 Windows 安装程序( MSI )文件,其文件名中包含恶意脚本代码。如果在易受攻击的系统上下载,则无需用户进一步交互便能损害系统设备。 目前,该漏洞影响 0.9.5 之前版本的 Gnome-Exe-Thumbnailer。因此,如果用户使用 GNOME 桌面运行 Linux 操作系统应及时更新并检查应用程序。与此同时,Moskopp 还建议用户删除 / usr / share / thumbnailers 中的所有文件、不要使用 GNOME 文件以及卸载任何便于自动执行文件名作为代码的恶意软件。 原作者:Swati Khandelwal,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。