安全快讯Top News

欧洲药品管理局就 COVID-19 疫苗数据泄露发出警告

欧洲药品管理局(EMA)警告称,与COVID-19相关的药品和疫苗的信息已于去年12月在一次网络攻击中被盗,并于本周早些时候在网上泄露,其中包含在发布前已被篡改的信函,“以破坏公众对疫苗的信任”。目前还不清楚这些信息–包括药物结构示意图和与COVID-19疫苗的评估过程有关的信件–究竟是如何被篡改的。 安全研究人员Lukasz Olejnik通过Twitter提出了对此次泄密事件的担忧,他表示,这些被篡改的数据将是 “播种不信任的最佳选择”,因为泄密信件中涉及的生物技术语言不会被广泛获取。同样,正确解析数据所需的高专业门槛似乎也有可能通过限制其病毒式的吸引力来限制被操纵版本的破坏程度。           (消息来源:cnBeta;封面源自网络)

木马围城:比特币爆涨刺激挖矿木马一拥而上围猎肉鸡资源

一、背景 云主机是企业数字化转型的重要基础设施,承载着重要的数据和服务价值,也逐渐成为了黑客的重点攻击对象。随着虚拟机、云主机、容器等技术的普遍应用,传统安全边界逐渐模糊,网络环境中的主机资产盲点成倍增加,黑客入侵、数据泄露、病毒木马攻击风险随之增加。 与此同时,各类数字加密货币价格迎来暴涨,2020年初至今,比特币价格一度超过了4万美元/BTC,是2019年底的10倍之多,达到了历史最高点,比特币一度摘取2020年度最佳持有资产的头衔。受比特币暴涨影响,各类数字虚拟币市值均有大幅增长,在如此大利益诱惑之下,通过传播挖矿木马来获取数字加密货币(以挖取门罗币最为普遍)的黑产团伙闻风而动,纷纷加入对主机计算资源的争夺之战。 根据腾讯安全威胁情报中心态势感知系统提供的数据,近期针对云主机的挖矿木马呈现成倍增长趋势。由于部分主机未对系统进行合理的访问策略控制、安全风险检查,导致其存在较多的弱口令、未授权访问、远程代码执行漏洞等安全缺陷,黑客团伙利用这些缺陷大规模入侵服务器并植入挖矿木马,再利用被控主机系统的计算资源挖矿数字加密货币获利。 二、威胁情报数据 腾讯安全态势感知数据显示,近期与挖矿相关的恶意样本检出、IP、Domain广度热度,探测到的挖矿威胁数量均有不同程度的上升。 1、腾讯安全智能AI引擎检测到的挖矿木马样本量呈明显上涨 2、腾讯安全态势感知系统检测到挖矿团伙控制的IP、Domain广度也呈上涨趋势 3、腾讯安全智能分析系统部署的探针检测到云上挖矿威胁也有较大幅度上涨 三、近期典型挖矿事件 1、挖矿事件应急处置 腾讯安全工程师会对捕获到的有一定影响力的安全事件进行应急处置,对腾讯安全全系列产品进行安全策略升级,以覆盖最新的威胁防御、威胁检测和威胁清理能力;其中影响范围较大的病毒变种或新病毒家族会对外发布详细的病毒分析报告,给出具体的防御和清理建议,向广大用户和安全同行进行通告和预警。 根据腾讯安全威胁情报中心运营数据,从2020/12/9至2021/1/9间的一个月时间内,上述需要人工参与应急处置的挖矿相关事件从平均每日2例增长到了每日5例,有较明显增长。 2、老挖矿木马家族更加活跃 在处置安全事件过程中我们发现,老牌挖矿木马团伙H2Miner、SystemdMiner非常活跃,并且这些家族分别针对云主机的系统和应用部署特性开发了新的攻击代码: 2020年12月22日,H2Miner挖矿木马家族利用Postgres远程代码执行漏洞CVE-2019-9193攻击传播;2020年12月28日又发现H2Miner挖矿木马家族利用XXL-JOB未授权命令执行漏洞对云主机发起攻击。(参考链接:https://mp.weixin.qq.com/s/koxWEnlBDAfgh18hDl8RhQ) 2020年12月,我们还发现SystemdMiner挖矿木马家族利用Postgres远程代码执行漏洞CVE-2019-9193进行攻击传播。(参考链接:https://mp.weixin.qq.com/s/kkCm0eg1xshxgowHpabRFA) 2020年10月,WatchBogMiner挖矿木马变种利用Apache Flink任意Jar包上传导致远程代码执行漏洞入侵云主机。(参考链接:https://mp.weixin.qq.com/s/zviLvGK3wTnl0iwtszHQlg) 2020年10月,8220挖矿团伙利用Nexus Repository Manager 3远程代码执行漏洞CVE-2019-7238、Confluence远程代码执行漏洞CVE-2019-3396攻击传播。(参考链接:https://mp.weixin.qq.com/s/w8dcdv-V7w8MUhADEvJeXA) 3、新挖矿家族层出不穷,新漏洞武器被迅速采用 自2020年11月以来,仅腾讯安全威胁情报中心新发现的感染量超过5000的挖矿木马家族就已超过5个,对应家族的命名、主要入侵方式、估计感染量如下: SuperManMiner:https://mp.weixin.qq.com/s/jl_mSggGf_5NcF_pr55gLw TOPMiner:https://mp.weixin.qq.com/s/9U1V0dkL0AUIPYZWmNSjpA RunMiner:https://mp.weixin.qq.com/s/7SUXrdZ4WdTVenkVcMpZJQ 4SHMiner:https://mp.weixin.qq.com/s/iwtcUsiAOpOtDm79lsOXWw z0Miner:https://mp.weixin.qq.com/s/cyPZpB4zkSQccViM0292Zg MrbMiner:https://mp.weixin.qq.com/s/oq3z6rUcPfmMi0-KHQ3wwQ 其中,腾讯安全团队于2020.11.02日发现挖矿木马团伙z0Miner利用Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)进行攻击,本次攻击是在Weblogic官方发布安全公告(2020.10.21)之后的15天之内发起,挖矿木马团伙对于新漏洞武器的采用速度之快,由此可见一斑。 4、僵尸网络加入挖矿阵营 2020年11月,腾讯安全威胁情报中心检测到TeamTNT僵尸网络通过批量扫描公网上开放2375端口的云服务器,并尝试利用Docker Remote API未授权访问漏洞对云服务器进行攻击,随后植入挖矿木马。(参考链接:https://mp.weixin.qq.com/s/td6KznnHqwALFwqXdMvUDg) 2020年12月,腾讯安全威胁情报中心发现Prometei僵尸网络变种开始针对Linux系统进行攻击,通过SSH弱口令爆破登陆服务器,之后安装僵尸木马uplugplay控制云主机并根据C2指令启动挖矿程序。Prometei僵尸网络于2020年7月被发现,初期主要以SMB、WMI弱口令爆破和SMB漏洞(如永恒之蓝漏洞)对Windows系统进行攻击传播。(参考链接:https://mp.weixin.qq.com/s/mAKsscAFLHQU_WrbsVbQng) 四、总结 “挖矿木马”开始大规模流行于2017年初,黑客通过网络入侵控制大量计算机并植入矿机程序后,利用计算机的CPU或GPU算力完成大量运算,从而获得数字加密货币。2017年开始爆发之后,挖矿木马逐渐成为网络世界主要的威胁之一。 服务器一旦被挖矿木马团伙攻占,正常业务服务的性能会受到严重影响,挖矿木马感染,也意味着服务器权限被黑客夺取,企业机密信息可能泄露,攻击者也同时具备彻底破坏数据的可能性。 面对越来越严峻的安全挑战,企业应该加大对主机安全的重视程度和建设力度。挖矿木马作为目前主机面临的最普遍威胁之一,是检验企业安全防御机制、环境和技术能力水平的试金石。如何有效应对此类安全威胁,并在此过程中促进企业网络安全能力提升,应当成为企业安全管理人员与网络安全厂商的共同目标。 五、安全防护建议 针对联网主机防护挖矿团伙入侵的一般建议 1.对于Linux服务器SSH、Windows SQL Server等主机访问入口设置高强度的登录密码; 2.对于Redis、Hadoop Yarn、Docker、XXL-JOB、Postgres等应用增加授权验证,对访问对象进行控制。 3.如果服务器部署了Weblogic、Apache Struts、Apache Flink、ThinkPHP等经常曝出安全漏洞的服务器组件,应密切关注相应组件官方网站和各大安全厂商发布的安全公告,根据提示及时修复相关漏洞,将相关组件升级到最新版本。 失陷系统的排查及清除 1、检查有无占用CPU资源接近甚至超过100%的进程,如有找到进程对应文件,确认是否属于挖矿木马,Kill 挖矿进程并删除文件;kill 掉包含下载恶意shell脚本代码执行的进程; 2、检查/var/spool/cron/root、/var/spool/cron/crontabs/root等文件中有无恶意脚本下载命令,有无挖矿木马启动命令,并将其删除; 3、如有发现挖矿相关进程、恶意程序,及时对服务器存在的系统漏洞、弱口令、Web应用漏洞进行排查和修复。 六、腾讯安全解决方案 针对近期挖矿木马家族异常活跃的现状,腾讯安全团队及时响应,腾讯安全全系列产品升级相应的检测、防御规则,确保部署腾讯安全产品的用户不受影响: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)相关流行挖矿木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)相关流行挖矿木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)相关流行挖矿木马关联的IOCs已支持识别检测; 2)支持相关流行挖矿木马利用的RCE漏洞、未授权访问漏洞、弱口令爆破攻击检测。   有关云防火墙的更多信息,可参考:  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀相关流行挖矿木马程序; 2)已支持相关流行挖矿木马利用的RCE漏洞、未授权访问漏洞、弱口令爆破攻击检测;   腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)已支持通过协议检测相关流行挖矿木马与服务器的网络通信; 2)已支持相关流行挖矿木马利用的RCE漏洞、未授权访问漏洞、弱口令爆破攻击检测。 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta

谷歌发布安全报告:详细介绍去年年初检测到的复杂黑客攻击

谷歌今天发布了由六份博文组成的系列安全报告,详细介绍了在 2020 年初检测到的一个复杂黑客活动,攻击目标是 Android 和 Windows 设备。谷歌表示这些攻击都是两台漏洞服务器通过水坑攻击(watering hole attacks)发起的。 谷歌安全团队 Project Zero 在六篇博文的第一篇中指出:“其中一台服务专门针对 Windows 用户,而另一台则针对 Android 用户”。谷歌表示,这两台漏洞服务器都是利用谷歌Chrome浏览器的漏洞在受害者设备上获得初步的切入点。 一旦从浏览器切入,攻击者就会部署操作系统级别的漏洞,以获得受害者设备的更多控制权。该漏洞链使用了多个 Zero-Day 和 N-Day 漏洞,Zero-Day 漏洞指的是软件制造商不知道的漏洞,N-Day 漏洞指的是已经打过补丁但仍在野外被利用的漏洞。 谷歌表示,虽然他们没有发现任何安卓零日漏洞托管在漏洞服务器上的证据,但其安全研究人员认为,威胁行为人很可能也能获得安卓零日漏洞,但很可能在其研究人员发现时,并没有将其托管在服务器上。 总的来说,谷歌将这些利用链描述为“通过其模块化设计来提高效率与灵活性”。谷歌表示:“它们是精心设计的复杂代码,具有各种新颖的利用方法,成熟的日志记录,复杂和计算的后利用技术,以及大量的反分析和目标检查”。 CVE-2020-6418 – Chrome Vulnerability in TurboFan (fixed February 2020) CVE-2020-0938 – Font Vulnerability on Windows (fixed April 2020) CVE-2020-1020 – Font Vulnerability on Windows (fixed April 2020) CVE-2020-1027 – Windows CSRSS Vulnerability (fixed April 2020)         (消息来源:cnBeta;封面源自网络)

环境署数据库的一个漏洞暴露联合国雇员数据

据一组独立安全研究人员称,联合国环境规划署(简称“环境署”)所属GitHub库的一个漏洞暴露了超过10万条员工记录,包括个人身份信息、联系方式和其他敏感数据。环境署负责协调联合国的环境活动。一个新的道德黑客组织Sakura Samurai在其报告中指出,这些漏洞源于一个暴露GitHub存储库凭证的终端。 “这些凭证让我们有能力下载GitHub库,识别出大量的用户凭证和个人身份信息。我们总共识别了超过10万条私人员工记录。”该小组的安全研究人员之一John Jackson说。 分析还显示,在联合国拥有的名为ilo.org的网络服务器上有多个.Git目录。Jackson在报告中写道:“这些.Git内容就可以用各种工具(如’git-dumper’)进行外泄。” 据Sakura Samurai报道,在研究人员将他们的发现通知给联合国后,该国际组织修复了该漏洞,GitHub库已无法访问。目前无法立即联系到联合国发言人发表评论。研究人员还指出,虽然没有证据表明有威胁行为者访问了这些数据,但这样做相对容易。 研究人员首先接管了属于联合国国际劳工组织的一个MySQL数据库和一个调查管理平台,开始了他们的行动。然后,该小组分析了MySQL数据库中的域,找到了UNEP的子域,这让他们找到了GitHub的凭证。 “最终,一旦我们发现了GitHub凭证,我们就能够下载很多受密码保护的私人GitHub项目,在这些项目中,我们发现了UNEP生产环境的多套数据库和应用凭证,”Jackson指出。 暴露的数据包括超过102000条联合国员工的记录,包括员工的身份证号码、姓名和其他敏感数据。报告称,还可以访问7000多条员工国籍记录、1000多条普通员工记录、项目和资金数据以及环境署项目的评估记录。 研究人员还指出,他们能够找到更多U.N.GitHub库的凭证,这可能导致更多未经授权的访问多个U.N.数据库。“我们决定停止并报告这个漏洞,一旦我们能够访问通过数据库备份暴露的私人项目中的(个人身份信息),”Jackson写道。 GitHub存储库中暴露的员工数据可能会给联合国带来重大的网络威胁。“对员工数据泄露的主要担忧是,在对员工本身以及与他们互动的任何商业伙伴进行高度针对性的后续社会工程攻击时有用,”安全公司Cerberus Sentinel的解决方案架构副总裁Chris Clements说。 “所披露的管理凭证很可能已经足以损害脆弱的应用程序以及共享相同基础设施或重用相同密码的其他应用程序。拥有这种访问权限的攻击者可以将恶意软件插入生产应用程序中,试图感染用户。” 安全公司KnowBe4的安全意识倡导者Javvad Malik表示,攻击者可能会使用这些暴露的数据。“获得对员工潜在敏感信息的访问权限,可以通过网络钓鱼、密码重置或身份窃取来利用对组织、同事或个人本身的攻击,”Malik说。 其他攻击 随着COVID-19的到来,攻击者一直在欺骗联合国和其他机构,作为他们利用流行病主题的运动的一部分。 2月,安全公司Kaspersky和Sophos报告说,黑客利用设计成美国疾病控制和预防中心和联合国世界卫生组织的域名进行网络钓鱼活动。 根据谷歌威胁分析小组的报告,5月份,在印度活动的”hack-for-hire” 组织发出欺骗世界卫生组织的电子邮件,以窃取世界各地金融服务、咨询和医疗保健公司员工的证书。         (消息来源:cnBeta;封面源自网络)

App 称可随意展示健康码红绿码 研发者被采取刑事强制措施

据杭州市人民政府新闻办公室消息,1月13日,杭州市通报近期查处两起涉疫网络违法案件,其中一起通报案件为41岁的男子擅自研发“健康码演示”APP并上传至应用市场,扰乱社会秩序,已被警方采取刑事强制措施。 据杭州市人民政府新闻办公室通报,经杭州市公安机关查明,安某某(男,40岁)于2021年1月4日未经核实将一个有关“因疫情原因,浙江杭州将于今日18时关闭11个高速路口”的虚假视频信息在微信和抖音上进行转发散布,严重扰乱了社会秩序。目前,安某某已被江干区公安分局处以行政拘留7天的处罚。 在另一起通报的案件中,解某某(男,41岁)于2020年4、5月份擅自研发“健康码演示”APP并上传至应用市场,严重扰乱了社会秩序。目前解某某已被西湖区公安分局采取刑事强制措施,案件在进一步侦办。           (消息来源:cnBeta;封面源自网络)

欧洲药品管理局称黑客泄露了其所窃取的 COVID-19 疫苗数据

欧洲药品管理局(EMA)周二宣布,黑客泄露了去年年底发现的网络入侵行为中被盗的COVID-19疫苗信息。”正在进行的对EMA的网络攻击的调查显示,一些与COVID-19药品和属于第三方的疫苗有关的非法访问文件已经在互联网上泄露,”EMA在一份声明中报道。”执法部门正在采取必要的行动。” 最新情况是在辉瑞-BioNTech以及Moderna都表示,EMA已经通知这些公司,一些评估文件在对该机构的网络攻击中被获取。这次网络攻击发生在这两家公司向EMA提交了各自的COVID-19疫苗并要求批准在欧盟成员国紧急使用之后。 EMA总部设在阿姆斯特丹,是欧盟的一个主管卫生健康的机构,负责监督和评估人类和动物使用各种药品的情况。EMA于12月批准了辉瑞公司和BioNTech公司的疫苗,并在本月早些时候批准了Moderna COVID-19疫苗。 “该机构继续全力支持对数据泄露事件的刑事调查,并通知任何其他实体和个人,他们的文件和个人数据可能已经受到未经授权的访问,”该机构周二写道。 “该机构和欧洲药品监管网络仍在充分运作,与COVID-19药品和疫苗的评估和批准相关的时间表不受影响,”EMA指出。 EMA远不是COVID-19大流行期间第一个被黑客攻击的政府机构。世界卫生组织和美国卫生与人类服务部去年都是网络攻击的受害者,同时美国和世界各地的医院也成为勒索软件攻击的受害者,在某些情况下对服务产生了负面影响。         (消息及封面来源:cnBeta)

比特币爆涨,打响挖矿木马围攻云主机的发令枪,SupermanMiner 冲上来了

一、概述 受近期比特币爆涨带动数字虚拟币整体市值飙升影响,挖矿木马十分活跃。腾讯安全威胁情报中心检测到利用Redis未授权访问漏洞直接写入计划任务,下载用golang语言编写的挖矿木马下载器superman,根据挖矿算力推测该团伙已控制约1万台失陷系统进行门罗币挖矿。 腾讯安全近期已捕获较多利用golang语言编写的各类脚本木马,这些木马利用多个不同linux服务器组件的高危漏洞或弱密码入侵云服务器挖矿。对这些挖矿木马进行分析溯源,发现分属不同的黑产团伙控制,有点“千军万马一窝蜂携漏洞武器弱口令武器抢占云主机挖矿淘金”的意思。腾讯安全专家建议政企机构安全运维人员及时修补漏洞,排查弱口令,避免服务器沦为黑产控制的肉鸡。 在本例中,部分政企机构使用Redis时,由于没有对redis进行良好的配置,如使用空口令或者弱口令等,导致攻击者可以直接访问redis服务器,并可以通过该问题直接写入计划任务甚至可以直接拿到服务器权限。 自查处置建议 腾讯安全专家推荐的修复建议: 1.针对未配置redis密码访问的,需要对其进行配置添加用户和密码访问。针对弱口令则需要使用强密码。 2.如非必须,不对外开放redis端口,如需要对外开放服务则正确配置好ACL策略。 清理利用漏洞入侵的挖矿木马 1.清除计划任务中的python3.8m.sh相关条目; 2.在确认JavaUpdate和mysqlserver进程异常后,将其kill掉; 3.删除/var/tmp/下的.system-python3.8-Updates和.Javadoc 文件夹。 腾讯安全响应清单 针对supermanminer系列挖矿木马的活动,腾讯安全各产品均已响应拦截。 详细响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)SupermanMiner挖矿木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)SupermanMiner挖矿木马相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)SupermanMiner挖矿木马相关IOCs识别检测; 2)检测Redis未授权漏洞利用;   有关云防火墙的更多信息,可参考:  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀SupermanMiner挖矿木马; 2)支持检测Redis未授权漏洞利用;   腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)支持通过协议检测SupermanMiner挖矿木马与服务器的网络通信; 2)支持redis未授权访问漏洞利用检测。关于T-Sec高级威胁检测系统的更多信息,可参考:https://cloud.tencent.com/product/nta 二、详细分析 在使用redis应用时没有配置好访问策略导致攻击者可以利用弱口令或者空口令直接访问redis应用,并通过该应用直接向系统写入计划任务或者通过写入ssh公钥文件直接控制服务器。 通过未授权直接写入计划任务 在/var/spool/cron/root可以看到如下内容: 通过计划任务到pastebin下载脚本并执行。 下载的脚本内容用base64进行编码 解码后的内容: 该脚本主要功能是判断当前主机进程中是否有包含/var/tmp/.system-python3.8-Updates路径,然后指定站点下载superman文件,命名为f存放到/var/tmp/目录下,运行后将该文件删除。 superman是一个go编写的下载器,主要功能是下载核心挖矿程序xmrig及配置文件,并通过重新下载superman,并将其命名为mysqlserver,写入计划任务的方式进行持久化操作。 在运行superman后会写入计划任务。 其中python3.8m.sh的内容为: 脚本中的将mysqlserver是将superman下载后重命名,并将其存放在.system-python3.8-updates路径下。 通过流量分析发现,木马会频繁请求www.hellomeyou.cyou,且域名对应的IP一直在变化。该网站主要是查询在NameSilo注册的域名的whois信息等, 通过查看网站源码,发现源码中嵌入了一些内容,包括xmirg下载链接,矿池配置,superman下载链接及文件大小等。 通过查询域名相关信息该域名与namesilo属于同一组织,判断应该是hellomeyou这个网站被攻击后,在网站中嵌入了这些内容。 通过对superman文件分析,发现其通过正则表达式的方式匹配相应内容,分别匹配superman下载的url,xmrig下载路径,文件大小及矿池配置内容。 Superman文件通过github下载xmrig文件,并将其命名为JavaUpdate,并将其存放在/var/tmp/.Javadoc/路径下。同时通过匹配到的矿池内容修改相应的config.json文件。 Congfig文件内容: 其中挖矿使用矿池: 54.37.7.208:443(xmrpool.eu) 挖矿使用钱包: 88XEAsyefa9DyzyMJSdcEUR9PJPphWrSp632D2ia83zuJHLKDBxQZ1iDSVY8MspBoFiqdZdQupm4xBasSkahdfdXRuUU1j6 根据其钱包算力223Kh/s推算,该挖矿团伙已控制约1万台电脑进行挖矿。 Superman采用Go语言编写,除了启动挖矿程序之外,还具有下载文件、执行任意程序、执行远程命令、在线升级、安装crontab定时任务等功能。 IOCs URL hxxp://138.124.180.20:8080/superman hxxps://github.com/xmrig/xmrig/releases/download/v6.6.1/xmrig-6.6.1-linux-x64.tar.gz hxxps://pastebin.com/raw/xnxWdRJ8 hxxp://www.hellomeyou.cyou/ MD5 JavaUpdate a66c6c00d09529066b03070646127286 superman/mysqlserver 96dc8dcd5bf8f6e62c3ce5219e556ba3 矿池地址 xmrpool.eu 钱包地址88XEAsyefa9DyzyMJSdcEUR9PJPphWrSp632D2ia83zuJHLKDBxQZ1iDSVY8MspBoFiqdZdQupm4xBasSkahdfdXRuUU1j6 参考链接: https://paper.seebug.org/1440/

SolarWinds 事件持续发酵:黑客以 60 万美元出售 Windows 10 源代码

在对 SolarWinds 事件的深入调查中,微软发现部分内部帐号被黑客获取,并访问了公司的部分源代码。而现在,有一名黑客以 60 万美元的价格出售 Windows 10 源代码,但是无法确定真实性。 来自 Rendition Infosec 的安全研究人员 Jake Williams 报道了这一消息,他警告称这些黑客似乎来自俄罗斯知名黑客组织 Shadow Brokers。但他们可能是为了混淆视听,并非真正有这些源代码访问。 微软证实,黑客能够查看,但不能改变部分产品的源代码,并表示没有证据表明这一活动将微软服务的安全性或任何客户数据置于风险之中。微软表示,查看源代码并不会增加风险,因为该公司并不依赖源代码的保密性来保证产品的安全。         (消息来源:cnBeta;封面来自网络)

黑客攻击联网情趣用品以勒索赎金

一名黑客控制了连接到互联网的智能情趣用品:男性远程贞操笼,并要求用比特币支付赎金来解锁。“你的丁丁已经被我锁定。”根据一名安全研究人员获得的对话截图,黑客对其中一名受害者说。这位研究人员的名字叫Smelly,是收集恶意软件样本的网站vx-underground的创始人。 去年10月,安全研究人员发现,一款物联网情趣用品贞操笼,一种主要在BDSM社区中使用的放置并锁定在阴茎周围并可以联网远程上锁和解锁的性玩具制造商留下了一个API暴露,给了恶意黑客控制设备的机会。根据一位安全研究人员获得的黑客和几位受害者之间的对话截图,非常糟糕的事情就这样发生了。 不过万幸的是,”这件事发生的时候,我并没有锁上这个东西。”Robert在一次在线聊天中说,不然后果真的不堪设想。 受害者Robert表示,他收到了黑客的信息,要求支付0.02比特币(约合今天750美元)来解锁设备。他意识到自己的笼子肯定被 “锁住了”以至于无法使用。 “我现在已经不是笼子的主人了,所以我在任何时候都不能完全控制笼子。”另一位名叫RJ的受害者在一次在线聊天中表示。他收到了黑客发来的信息,黑客说他们已经控制了笼子,并希望支付一笔钱来解锁笼子。 这些黑客再次表明,仅仅因为你可以将某样东西连接到互联网上,并不意味着你必须这样做,尤其是如果你随后不注意保护设备或其连接的安全。 这款设备的中国制造商Qiui没有回应置评请求,这款设备的名字很贴切,叫做Cellmate。 对Cellmate设备进行安全查验的Pentest Partners安全研究员亚历克斯-洛马斯(Alex Lomas)证实,一些用户确实收到了勒索信息,并表示这凸显了这些设备制造商改进安全实践的必要性。           (消息及封面来源:cnBeta)

微软发布新版 Sysmon 可用于恶意软件检测

微软发布了新版本的Windows 10 Sysinternals工具Sysmon,该工具可以用来检测黑客将恶意代码注入合法的Windows进程中,以绕过安全措施。Sysmon 13可以监控Windows 10进程的活动,可以检测到通常在任务管理器中看不到的进程掏空或进程herpaderping技术。 进程掏空是指恶意软件在暂停状态下启动合法进程,并用恶意代码替换进程中的合法代码。然后,这个恶意代码就会被进程执行,无论分配给进程的权限是什么。 进程herpaderping是指恶意软件加载后,修改其在磁盘上的映像,改头换面使其看起来像合法软件。当安全软件扫描磁盘上的文件时,它将看到一个无害的文件,而恶意代码却大摇大摆地在内存中运行而不被发现。 该技术被已知的恶意软件使用,包括Mailto/defray777勒索软件、TrickBot和BazarBackdoor。 要启用进程篡改检测,管理员需要在配置文件中添加’ProcessTampering’配置选项。你可以在这里阅读Sysinternals网站上的文档。 您可以从Sysinternal的官方页面或这个地址直接下载Sysmon。       (消息来源:cnBeta;封面源自网络)