感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/3dfWy7EGfGRMgES0Z8xlpg   攻击者利用Apache Solr远程代码执行漏洞（CVE-2019-0193）对某客户进行攻击，由于客户部署的腾讯云防火墙已对该类型攻击进行识别并设置为“阻断”，该攻击未对客户资产造成损失。进一步分析后发现，此次攻击属于BuleHero挖矿蠕虫病毒，且该变种版本新增了SMBGhost（CVE-2020-0796）漏洞利用代码。 一、背景 腾讯安全威胁情报中心研究人员在日常巡检中发现，有攻击者利用Apache Solr远程代码执行漏洞（CVE-2019-0193）对某客户进行攻击，由于客户部署的腾讯云防火墙已对该类型攻击进行识别并设置为“阻断”，该攻击未对客户资产造成损失。 进一步分析后发现，此次攻击属于BuleHero挖矿蠕虫病毒，且该变种版本新增了SMBGhost（CVE-2020-0796）漏洞利用代码。 该团伙擅长利用各类Web服务器组件漏洞进行攻击，包括：Tomcat任意文件上传漏洞、Apache Struts2远程代码执行漏洞、Weblogic反序列化漏洞、Drupal远程代码执行漏洞、Apache Solr 远程命令执行漏洞、PHPStudy后门利用均在其武器列表中。此外还会利用永恒之蓝漏洞、$IPC和MSSQL弱口令爆破等等攻击手法，攻击成功后，会在目标机器植入门罗币挖矿木马和远控木马。 腾讯安全系列产品应对BuleHero挖矿蠕虫的响应清单： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）BuleHero挖矿蠕虫相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）BuleHero挖矿蠕虫相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1.BuleHero挖矿蠕虫关联的IOCs已支持识别检测； 2.检测以下类型漏洞利用： Struts2漏洞利用 PHPWeb漏洞利用 Weblogic漏洞利用 Drupal漏洞利用 Tomcat漏洞利用 永恒之蓝漏洞MS17-010 SMBGh0st漏洞CVE-2020-0796 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1.支持查杀BuleHero挖矿蠕虫相关木马程序； 2.检测以下漏洞： Apache Struts2漏洞CVE-2017-5638 WebLogic 漏洞CVE-2018-2628 WebLogic 漏洞CVE-2017-10271 Thinkphp5漏洞CNVD-2018-24942 Tomcat漏洞CVE-2017-12615 Drupal漏洞CVE-2018-7600 永恒之蓝漏洞MS17-010 SMBGh0st漏洞CVE-2020-0796 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1.已支持通过协议检测BuleHero挖矿蠕虫与服务器的网络通信； 2.检测以下漏洞利用： Apache Struts2漏洞CVE-2017-5638 WebLogic 漏洞CVE-2018-2628 WebLogic 漏洞CVE-2017-10271 Thinkphp5漏洞CNVD-2018-24942 Tomcat漏洞CVE-2017-12615 Drupal漏洞CVE-2018-7600 永恒之蓝漏洞MS17-010 SMBGh0st漏洞CVE-2020-0796 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）可查杀BuleHero挖矿蠕虫入侵释放的木马程序； 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/ 二、详细分析 腾讯云防火墙捕获到利用Apache Solr远程代码执行漏洞（CVE-2019-0193）攻击流量，该攻击Payload利用certutil.exe命令下载http[:]//UeR.ReiyKiQ.ir/download.exe执行。 2019年08月01日Apache官方发布Apache Solr远程代码执行漏洞（CVE-2019-0193）安全通告，Apache Solr DataImport功能在开启Debug模式时，可以接收来自请求的”dataConfig”参数，在dataConfig参数中可以包含script恶意脚本导致远程代码执行。官方通告如下：https://issues.apache.org/jira/browse/SOLR-13669 腾讯云防火墙对该漏洞利用及时进行阻断，客户服务器资产未遭受损失。 腾讯安全研究人员对Payload进行分析后，确认该攻击事件属于BuleHero挖矿蠕虫病毒，此次变种新增了SMBGhost（CVE-2020-0796）漏洞利用代码。 download.exe下载木马http[:]//UeR.ReiyKiQ.ir/SesnorDateService.exe。 SesnorDateService.exe在Windows目录下创建文件 C:\Windows\<random>\EventisCache\divsfrsHost.exe，并释放SMBGhost漏洞攻击程序divsfrsHost.exe。 漏洞攻击代码采用开源程序 https://github.com/chompie1337/SMBGhost_RCE_PoC/blob/master/exploit.py 生成，并利用Pyinstaller打包生成exe可执行程序。 此外SesnorDateService.exe还利用其他多个Web应用漏洞进行攻击： Apache Struts2漏洞【CVE-2017-5638】 WebLogic 漏洞【CVE-2018-2628】 WebLogic 漏洞【CVE-2017-10271】 Thinkphp5漏洞【CNVD-2018-24942】 Tomcat漏洞【CVE-2017-12615】 Drupal漏洞【CVE-2018-7600】 通过内置的账号密码字典对MSSQL进行远程爆破攻击。 通过内置的账号密码字典对IPC$进行远程爆破攻击。 利用永恒之蓝漏洞攻击。 检测phpStudy后门。 释放XMRig挖矿木马挖矿门罗币。 释放远控木马Hentai.exe拷贝自身至系统system32目录下命名为随机名，并将文件设置为隐藏属性，然后安装为服务“Uvwxya”进行自启动。 木马启动后解密出PE文件并加载到内存执行。 尝试连接C2地址ai.0x1725.site。 释放的远控木马可根据服务端指令完成上传下载文件、执行任意程序、进程管理、窗口管理、服务管理、网络代理、远程shell、清除日志等功能。 IOCs Domain uer.reiykiq.ir gie.ezrutou.ir Ecc.0ieyFeD.ir Sub.0ieyFed.ir Js.0ieyFed.ir fky.6d6973616b61.cyou fky.6d6973616b61.icu fky.6d6973616b61.xyz fky.simimasai.fun fky.simimasai.online fky.simimasai.site fky.simimasai.space fky.simimasai.xyz oio.seeeeeeeeyou.su ai.0x1725.site MD5 download.exe 303d038621c2737f4438dbac5382d320 divsfrshost.exe daf42817f693d73985cd12c3052375e2 hentai.exe 386be8418171626f63adb52d763ca1c0 URL http[:]//uer.reiykiq.ir/AdPopBlocker.exe http[:]//UeR.ReiyKiQ.ir/download.exe http[:]//UeR.ReiyKiQ.ir/SesnorDateService.exe 参考链接： https://cloud.tencent.com/developer/article/1486905 https://issues.apache.org/jira/browse/SOLR-13669 https://www.freebuf.com/column/180544.html https://www.freebuf.com/column/181604.html https://www.freebuf.com/column/197762.html https://www.freebuf.com/column/204343.html https://www.freebuf.com/articles/219973.html

据外媒报道，新加坡加密货币交易所KuCoin今日披露了一次大规模黑客攻击。该公司在其网站上发布的一份声明中证实，一名黑客侵入了其系统并清空了其热钱包(hot wallets)中的所有资金。热钱包是连接到互联网的加密货币管理应用。冷钱包(cold wallets)为离线存储。 像KuCoin这样的加密货币交易所会使用热钱包作为他们的临时存储系统来存储目前在平台上交换的资产，它们被用来推动转换操作和资金转移。 KuCoin表示，9月26日，他们发现黑客从热钱包中大量取款。 该公司表示，其已启动了安全审计并发现了资金的丢失。KuCoin表示，黑客成功盗取了比特币资产、ERC-20代币以及其他类型的代币。 根据用户追踪被盗资金的Etherium地址，目前估计损失最小为1.5亿美元。 虽然KuCoin没有回复记者的进一步置评请求。，但该公司CEO Johnny Lyu计划在2020年9月26日12:30 (UTC+8)通过直播的方式提供更多关于安全漏洞的细节。 另外，KuCoin还承诺补偿那些在黑客攻击中使用其冷钱包而失去资金的用户。在该公司的安全团队调查这一事件期间，存款和取款服务都已经被暂停。       （稿源：cnBeta，封面源自网络。）

尽管名称为“Smarter”，但这家主打互联网连接的厨房电器制造商并不意味着比传统电器公司更聪明。早在 2015 年，Smarter 的产品就曾曝光过安全问题，当时总部位于伦敦的安全公司 Pen Test 发现，可以恢复初代 Smarter iKettle 咖啡机中使用的 Wi-Fi 加密密钥。随后团队还发现第二代 iKettle 和其他 Smarter 旗下的咖啡机存在其他问题，包括没有固件签名，芯片组 ESP8266 内部没有可信的安全区域（Enclave）等等。   两年前，Smarter 发布了 iKettle 3 和 Coffee Maker version 2，为 Pen Test 合作伙伴工作的研究专家 Ken Munro 表示更新后的产品使用了新的芯片组，修复了这些问题。但是他表示，Smarter 从未发布过CVE漏洞的指定，也没有公开警告客户。 安全公司 Avast 的研究专家 Martin Hron 对其中一台老式咖啡机进行了逆向工程，看看他能用它做什么样的黑客。经过一周多时间的努力，Hron 发现可以做到的事情有很多，包括触发咖啡机的加热器、出水、旋转磨豆机、显示赎金信息，反复发出哔哔声。而消费者停止这一切的唯一方式就是拔掉电源。   Hron 在接受采访时说：“这样做是为了指出，这种情况确实发生过，而且可能发生在其他物联网设备上。这是一个开箱即用（out-of-the-box）的问题的好例子。你不需要配置任何东西。通常情况下，厂商不会考虑到这一点”。 当 Hron 第一次插上他的Smarter咖啡机时，他发现它立即充当了一个Wi-Fi接入点，使用不安全的连接与智能手机应用进行通信。该应用程序则用于配置设备，如果用户选择，则将其连接到家庭Wi-Fi网络。   但这些破坏力还不够，于是他又检查了咖啡机用来接收固件更新的机制。结果他发现这些更新是从手机上接收的，而且是没有加密、没有认证、没有代码签名。这些明显的疏漏恰恰为Hron创造了机会。由于最新的固件版本存储在Android应用中，他可以将其拉到电脑上，并使用 IDA （一种软件分析器、调试器和反汇编器）进行逆向工程，找到了人类可读的字符串。Hron最终获得了足够的信息，写出了一个 python 脚本，最终实现了上述入侵。     （稿源：cnBeta，封面源自网络。）

因可分享小段文字，Pastebin 受到了很多用户的青睐。今天该网站新增了名为“阅后即焚”、“密码保护粘贴”两项新功能，允许用户创建单次阅读就过期的文本文段，以及受密码保护的粘贴。不过网络安全研究人员认为这两项新功能将被恶意软件攻击者广泛而疯狂地滥用。 虽然这两项功能都不是什么新的概念，毕竟它们已经在很多粘贴网站上存在了很多年。不过，这两项功能对于 Pastebin 来说是新的，它是目前最受欢迎的粘贴门户网站，被列入Alexa互联网上最受欢迎的 2000 个网站中。 而热门的背后也吸引了很多糟糕的内容。虽然有些人用它来托管代码或文本片段，以便于和同事分享；不过在过去十年时间里，Pastebin 逐渐变成了托管恶意代码的网站。多年来，恶意软件作者利用 Pastebin 来存储他们检索并在受感染主机上运行的恶意命令、黑客数据、恶意软件命令和控制服务器的IP地址以及许多其他操作细节。 在接受 ZDNet 采访的时候，事件响应(IR)顾问 Ted Samuels 表示：“Pastebin 是迄今为止使用最广泛的粘贴网站，也是使用 PowerShell 进行无文件攻击的相当流行的集散地。例如，威胁行为者的初始有效载荷可能会使用 PowerShell 从 pastebin.com下载额外的（通常是混淆的）内容，以便通过 PowerShell 进一步执行。CobaltStrike 框架可以通过这种方式加载。” 为了应对 Pastebin 在恶意软件设计者中的日益流行，这些年来，网络安全公司已经创建了一些工具，这些工具可以刮取新的 Pastebin 条目，以搜索恶意或看起来敏感的内容。 不过安全研究人员认为，Pastebin 今天增加这两项新功能，是在阻挠他们检测恶意软件操作的善意努力，而且更多的是在迎合恶意软件人群，而不是实际用户和好人。 来自匹兹堡的安全研究人员 Brian 告诉 ZDNet：“除非它们采取了一些隐藏措施来阻止阅后即焚和密码保护进行 C2 和恶意软件的暂存，否则对于使用 PasteBin 来达到这些目的的攻击者来说，这些似乎是相当有用的新功能。这个新变化现在将使事件响应者更难快速评估在某些环境中可能已经下载并执行的内容”。 目前还不清楚 Pastebin 对网络安全社区对其最新功能的最新反应有何看法，但该公司在一封电子邮件中表示，应用户的要求，它增加了 “阅后即焚 “和 “密码保护的粘贴”。 该公司表示：“Pastebin为我们的用户存储了重要的数据，从计算和工程数据开始，如算法，来自各种服务、机器人、网络设备的日志，最后是专有软件代码。我们收到了许多用户的请求，因为他们的隐私权，帮助我们的用户保护他们的工作，实现这些功能。Pastebin是由开发者为开发者创建的，全球有数百万人在使用。当然，每个平台都有不良分子试图利用，包括 Github、Twitter、Facebook、Dropbox、Privnotes与Sendspace等等。”     （稿源：cnBeta，封面源自网络。）

微软的Windows XP和Windows Server 2003的源代码已经在网上泄露。本周，这两个对公司而言具有历史意义的操作系统的源代码的Torrent文件已经被公布在各个文件共享网站上。这是Windows XP的源代码首次公开泄露，尽管早有消息声称这段代码已经被私下共享多年。 这些材料的真实性已经被核实，微软发言人告诉表示公司正在 “调查此事”。最新的源代码泄露不太可能对仍然停留在运行Windows XP机器的公司构成重大威胁。微软早在2014年就结束了对Windows XP的支持，不过该公司在2017年用一个极不寻常的Windows XP补丁来应对大规模的WannaCry恶意软件攻击。 这是Windows XP源代码首次公开出现，但源码并不是被严格保存的，微软曾经启动了一个特殊的政府安全计划（GSP），允许政府和组织有控制地访问源代码和其他技术内容。 这次最新的Windows XP源码泄露也并不是微软操作系统源代码第一次出现在网上。几年前至少有1GB的Windows 10相关源代码泄露，微软今年还面临一系列Xbox相关源代码的泄露。原始的Xbox和Windows NT 3.5源代码早在5月份就出现在网上，就在Xbox Series X图形源代码被盗并泄露到网上的几周后。 目前还不清楚这次泄露的源代码中包含了多少Windows XP源代码，但一位Windows内部专家称已经在其中找到了微软的NetMeeting用户证书根签密钥。 部分源代码泄露还参考了微软的Windows CE操作系统、MS-DOS以及其他泄露的微软资料。诡异的是，这些文件中还提到了比尔·盖茨的阴谋论，显然是想传播错误信息。     （稿源：cnBeta，封面源自网络。）

本次稳定版更新并不是修复存在于 Edge 中的漏洞，而是修复存在于 Chromium 浏览器中漏洞。新的稳定版本更新中修复了以下漏洞： ● CVE-2020-15960 ● CVE-2020-15961 ● CVE-2020-15962 ● CVE-2020-15963 ● CVE-2020-15964 ● CVE-2020-15965 ● CVE-2020-15966 微软将这些漏洞的严重性评级为高，建议用户尽快更新Microsoft Edge。 CVE-2020-15966是一个漏洞，它允许攻击者只使用一个精心制作的扩展程序从设备中获取敏感信息。一旦用户安装这些扩展程序，他们最终可能会读取浏览器中的敏感信息。CVE中写道：“ Chrome 85.0.4183.121 之前的版本中对扩展的策略执行不重返，允许攻击者使用特制的扩展程序来获取敏感信息。” CVE-2020-15960 本身也描述了一种非常简单的攻击方法，因为它要求攻击者只需将易受攻击的浏览器指向一个恶意的HTML页面。更具体地说，黑客可以在消息平台上或通过电子邮件向用户发送一个链接，将用户指向一个被入侵的网站托管代码，利用Chrome存储组件中的堆缓冲区溢出故障。     （稿源：cnBeta，封面源自网络。）

早些时候，美国土安全部旗下的网络与基础设施安全局（CISA）发布了有关 Windows Server 操作系统的罕见漏洞警告，因为攻击者可借此来完全控制网络上的每台计算机。此前 CISA 仅假设有黑客正在利用该漏洞，并建议系统管理员尽快部署微软八月发布的补丁更新。然而周四的时候，微软证实其已观察到新的 Windows 漏洞攻击。 作为近期曝光的最严重的 Windows 漏洞之一，按去哪研究人员证实其拿到了 10.0 的严重性评分，促使 CISA 建议所有政府机构、企业和个人立即部署微软几周前发布的修补程序。 由于 Netlogon 远程协议（MS-NRPC）漏洞太过严重，软件巨头还计划在明年初发布第二次更新，以进一步缓解这方面的隐患。 Zerologon 的危险性在于，其允许不怀好意者接管网络上的任何计算机，而无需事先窃取任何登陆凭证。攻击涉及伪造 Netlogon 的身份验证令牌，然后为所有功能敞开大门。 密码验证方案中的缺陷，使得这一切成为了可能。在被授予了度网络的访问权限之后，攻击者或借助其它恶意软件来感染计算机，并从受害设备上提取数据。 微软在本周四发布了有关此事的最新消息，称其正在积极追踪利用 CVE-2020-1472 Netlogon EoP 漏洞（简称 Zerologon）的活动，并表示已观察到有攻击者在具体实施中掺入了其它漏洞攻击。 KrebsOnSecurity 指出，该漏洞影响大多数受支持的 Windows Server 版本（从 2008 到 2019）。遗憾的是，尽管已经收到了 CISA 的警告，也不是每个人都能对其网络进行修补。 大多数 Windows 用户甚至对补丁不加理会，因而在管理员对网络进行修补之前，各企业单位和政府机构都将成为 Zerologon 攻击的潜在目标。     （稿源：cnBeta，封面源自网络。）

近日推特向开发者发布电子邮件，警告称由于 BUG 他们的私有应用密钥和账号令牌可能已经被暴露。在这份邮件中，推特表示这些私钥和令牌可能被错误地存储在浏览器的缓存中。 在电子邮件中写道：“在修复之前，如果您使用公共或共享计算机在developer.twitter.com上查看您的开发者应用程序密钥和令牌，它们可能已经暂时存储在该计算机上的浏览器缓存中。如果在那个临时时间段内，在你之后使用同一台电脑的人知道如何访问浏览器的缓存，并且知道该寻找什么，那么他们有可能访问了你查看的密钥和令牌”。 在邮件中，推特表示在某些情况下开发者自己的推特账号凭证也可能会被曝光。和密码一样，这些私钥、令牌可以被认为是一种通行密码，因为它们可以代表开发者与 Twitter 进行交互。访问令牌也是高度敏感的，因为如果被盗，它们可以让攻击者在不需要密码的情况下访问用户的账户。 Twitter表示，目前还没有看到任何证据表明这些密钥被泄露，但出于谨慎的考虑，还是提醒了开发者。邮件中说，可能使用过共享电脑的用户应该重新生成他们的应用密钥和令牌。目前还不知道有多少开发者受到该漏洞的影响，也不知道该漏洞具体何时被修复。Twitter发言人不愿意提供这方面的信息。     （稿源：cnBeta，封面源自网络。）

据彭博社报道，美国当局周四表示，在黑客使用有效的访问凭据后，一家未具名的美国联邦机构遭到了网络攻击。据美国网络安全与基础设施安全局(CISA)称，虽然没有透露有关黑客的许多细节，但联邦当局确实泄露了黑客能够浏览目录，复制至少一个文件并泄露数据的信息。 当局称，黑客植入了恶意软件，该恶意软件逃避了该机构的保护系统，并通过对多个用户的Microsoft 365帐户和域管理员帐户使用有效的访问凭据来获得对网络的访问权限。 调查人员无法确定黑客最初是如何获得证书的。但是该机构表示，黑客有可能通过利用Pulse Secure虚拟专用网络服务器中的一个已知漏洞来获取它们。 据美国国土安全部官员称，网络攻击事件与即将举行的美国大选无关。CISA是该部门的一部分。 CISA发布了有关该漏洞的技术细节，但未提供有关窃取了哪些数据或该黑客是否由一个另一个国家实施的信息。美国政府有时会公开此类“技术指标”，以便公司或其他政府可以检查自己的系统是否受到攻击。 CISA通过监视联邦民用机构的入侵检测系统意识到了这一漏洞。     （稿源：cnBeta，封面源自网络。）

据报道，Facebook公司周四向外界表示，它已经移除了三个虚假账户网络，因为俄罗斯情报部门可能利用这些账户来泄露遭黑客入侵的文件，扰乱即将到来的美国大选。该公司表示，这些账户因使用假身份和其他类型的“协同不真实行为”而被暂停使用。这些账户与俄罗斯情报部门和位于圣彼得堡的一个组织有关。美国官员曾指责该组织试图影响2016年的总统选举。 俄罗斯外交部目前尚未回应置评请求。此前，俄罗斯已一再否认试图干预美国大选，并表示不会干涉其他国家的内政。 Facebook网络安全政策负责人纳撒尼尔·格雷切（Nathaniel Gleicher）说，目前还没有证据表明被黑客攻击的文件会被泄露，但Facebook希望通过暂停这些账户来进行预防。 Facebook表示，这些网络规模很小，在Facebook和Instagram上只有少数几个账户，其中一些还冒充独立媒体和智库。这些账户总共只有97000个粉丝。 Facebook说，这些账户的目标受众是英国和美国的用户，但这些账户的地址主要位于中东和与俄罗斯接壤的国家，如叙利亚、土耳其、乌克兰和白俄罗斯等。 Twitter也表示，已与Facebook合作，确认并删除了350个由俄罗斯国有机构运营的账户。 两家公司都表示，其中一个账户网络是在联邦调查局（FBI）的举报后发现的。FBI周二警告说，外国网络犯罪分子很可能散布有关11月3日总统大选结果的假消息。 大西洋理事会（Atlantic Council）数字取证研究实验室主任格雷厄姆·布鲁克（Graham Brookie）认为，这些账户进行的一些活动表明，俄罗斯正在持续努力加剧美国和其他地区的政治紧张局势。 他说：“虽然国内虚假信息的规模和范围远远大于任何外国对手所能做到的，但来自俄罗斯的影响仍然是我们面临的一个极其严重的国家安全威胁。”     （稿源：新浪科技，封面源自网络。）