分类: 木马

微软警告 Linux 木马 XorDdos 攻击激增,主要针对云、物联网

微软发现,被称为XorDdos的Linux木马的网络犯罪活动正在增加,该报告发现,在过去六个月中,针对 Linux 端点使用该恶意软件的恶意活动增加了 254%,主要针对云、物联网。 该木马由安全研究组织 MalwareMustDie 于2014年首次发现,以其使用基于XOR的加密以及聚集僵尸网络执行分布式拒绝服务攻击的事实而得名。“XorDdos 描绘了恶意软件越来越多地针对基于Linux的操作系统的趋势,这些操作系统通常部署在云基础设施和物联网 (IoT) 设备上,”Redmond警告说。 为了说明这一趋势,Redmond 指出,在XorDdos恶意软件长达8年的恐怖统治过程中,它已经达到了惊人的水平,感染了无法估量设备。博客没有说。它也没有为 254% 的增长提供任何基线,微软表示要到下周中旬才会拥有它们。 Microsoft 365 Defender 研究团队写道:“由于多种原因,DDoS 攻击本身可能存在很大问题,但此类攻击也可以用作隐藏进一步恶意活动的掩护,例如部署恶意软件和渗透目标系统。” 与Linux僵尸网络同样危险的Windows 僵尸网络 以 Windows 设备为目标的 Purple Fox 恶意软件为例,该恶意软件也在 2018 年被发现。 Guardicore 安全研究人员最近写了一篇关于这个僵尸网络的恶意活动如何自 2020 年 5 月以来跃升 600%,仅在过去一年就感染了 90,000 多台设备的文章。但微软并没有在博客中提到这一点。 本周微软的安全情报团队确实警告过针对Linux和Windows系统的Sysrv moreno-mining僵尸网络的新变种。 XorDdos 如何逃避检测 微软指出该恶意软件使用安全外壳 (SSH) 暴力攻击来控制目标设备。一旦成功找到正确的根凭证组合,它就会使用两种方法之一进行初始访问,这两种方法都会导致运行恶意 ELF 文件——XorDdos 恶意软件。 据研究团队称,该二进制文件是用 C/C++ 编写的,其代码是模块化的。它使用特定的功能来逃避检测。 如上所述,其中之一是基于 XOR 的加密来混淆数据。此外,XorDdos 使用守护进程(这些是在后台运行的进程)来破坏基于进程树的分析。该恶意软件还使用其内核 rootkit 组件隐藏其进程和端口,从而帮助其逃避基于规则的检测。 此外,隐形恶意软件使用多种持久性机制来支持不同的 Linux 发行版,因此它擅长感染一系列不同的系统。 XorDdos和其他针对Linux设备的威胁强调了拥有涵盖众多Linux操作系统发行版的全面功能和完整可见性的安全解决方案的重要性。   转自 E安全,原文链接:https://mp.weixin.qq.com/s/HcUPLGwbtqxLEP9ykws6xg 封面来源于网络,如有侵权请联系删除

美政府提醒区块链行业警惕 Lazarus Group 加密货币木马应用程序

在周一发布的联合公告中,美国网络与基础设施安全局(CISA)、联邦调查局(FBI)和财政部指出 —— 被称作 Lazarus Group 的黑客组织,正在使用被植入木马的加密货币应用程序,向区块链行业的各个组织发起攻击。据说受害者中包括加密货币交易所、风投、持有大量加密货币 / 非同质化代币(NFT)的公司,以及参与其中的个人。 CryptAIS 网站截图 几天前,美官员刚刚将疑似与朝鲜方面有关联的 Lazarus Group 黑客组织,与最近从 Ronin 窃取的价值 6.25 亿美元的加密货币事件联系起来。 作为一个基于 ETH 的侧链,它有被用于盈利类游戏 Axie Infinity 。然而攻击者们正在通过各种通信平台和社会工程手段,将黑手伸向了加密货币企业的员工。 公告提醒道:攻击者会发送具有高度针对性的欺诈(钓鱼)邮件,声称提供高薪工作机会、以试图引诱受害者下载被植入木马的加密货币应用程序。 UpdateCheckSync() 与 DAFOM 捆绑功能描述 美政府机构将这类操作称作“叛变交易”(TraderTraitor),似乎是所谓的“梦想工作”(Dream Job)攻击事件的一个延续。 后者在 2020 年被首次观察到,可知黑客将目光瞄向了国防、航空航天和化工行业的工作者,此类恶意应用程序会在受害者网络环境中传播。 而为了开展欺诈性区块链交易等后续活动,黑客不仅会试图窃取私钥、还会积极利用其它安全漏洞。 Esilet 中的 UpdateCheckSync() 函数截图 CISA 披露的部分 TraderTraitor 恶意应用程序,包括了 Dafom、CryptAIS、AlticGO、Esilet 和 CreAI deck,声称提供各种投资组合、以及实时的加密货币预测等服务。 此外该公告还详细描述了攻击指标(IOC)和应对策略、技术与程序(TTP)细节,以敦促区块链和加密货币行业组织加强防御措施。 最后,美方去年还通报过被注入了 AppleJeus 恶意软件的加密货币交易应用程序,可知 Lazarus 利用此类手段从全球企业和个人手中劫掠了不少加密资产。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1260241.htm 封面来源于网络,如有侵权请联系删除

快速清洁 APP 要慎用,银行木马可能藏身其中

Hackernews 编译,转载请注明出处: 一个新的安卓银行木马通过官方的 Google Play Store 分发,安装量超过50,000次,其目的是针对56家欧洲银行,从受损的设备中获取敏感信息。 这款恶意软件被荷兰安全公司ThreatFabric命名为 Xenomorph,据说它与另一个名为 Alien 的银行木马有很多相同部分,同时在功能方面也与其前身“截然不同”。 公司的创始人兼首席执行官 Han Sahin 说: “尽管目前还在进行中,Xenomorph 已经开始在官方应用程序商店中进行有效的覆盖和积极的分发。”“此外,它具有一个非常详细和模块化的引擎,可以随意使用无障碍服务,这在未来可以提供非常先进的能力,如 ATS。” Alien,一个远程访问木马(RAT),具备通知嗅探和基于认证的2FA盗窃功能,在2020年8月臭名昭著的Cerberus恶意软件消失不久后就出现了。从那时起,发现了其他的Cerberus分支,包括2021年9月的  ERMAC。 跟 Alien 和 ERMAC 一样,Xenomorph 也是一个 Android 银行木马的例子。这种木马通过伪装成“快速清洁”(Fast Cleaner)等生产力应用程序,欺骗不知情的受害者安装恶意软件,从而绕过谷歌 Play Store 的安全保护。 值得注意的是,去年11月,一款名为GymDrop 的健身训练滴管应用程序被发现装载了Alien木马病毒,并将其伪装成“一套新的健身锻炼”。该应用程序有1万多次安装量。 手机应用市场情报公司 Sensor Tower 的数据显示,“Fast Cleaner”在葡萄牙和西班牙最受欢迎,其软件包名为“ vizeeva.Fast.Cleaner”,目前仍可在应用商店购买。2022年1月底,“Fast Cleaner”首次出现在 Play Store 上。 此外,用户对该应用程序的评论还警告说,“该应用程序含有恶意软件”,并且“要求持续确认更新”另一位用户说: “它在设备上安装了恶意软件,除此之外,它还有一个自我保护系统,所以你不能卸载它。” Xenomorph 还使用了一种经典的策略,即引导受害者授予其无障碍服务特权,并滥用权限进行覆盖攻击,其中,恶意软件在来自西班牙、葡萄牙、意大利和比利时的目标应用上注入流氓登录屏幕,以窃取凭证和其他个人信息。 此外,它还配备了通知拦截功能,可以提取通过 SMS 接收的双因素身份验证令牌,并获取已安装的应用程序列表,其结果将被提取到远程命令控制服务器。 研究人员表示: “ Xenomorph 的出现再次表明,黑客正将注意力集中在官方市场的应用上。”“现代银行恶意软件的发展速度非常快,犯罪分子开始采用更精细的开发实践来支持未来的更新。”  消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

微软分享针对 Mac 的 UpdateAgent 复杂木马的细节

网络安全仍然是一个不断发展的领域,对威胁者和安全专家来说都是如此。尽管如此,最近产生的一个积极因素是,公司更愿意与合作伙伴、专家和更大的社区分享信息,共同应对威胁。这方面的一个例子是,微软与苹果合作修补macOS设备中的”Shrootless”漏洞。微软已经提供了有关一个针对Mac的复杂木马的详细信息。 该木马被称为”UpdateAgent”,早在2020年9月就出现了,是一个相对基本的信息窃取者。然而,从那时起发展到现在,它已经进化了很多,其最近的升级版本实际上已经开始对外”承揽生意”,分发二级有效载荷,如Adload广告软件。微软提醒说,UpdateAgent不断发展的持续渗透方法意味着它在未来的活动中可能会进一步发展,并分发更危险的载荷。 UpdateAgent通常会伪装成用户在其Mac上下载的合法软件。然后,它绕过几个macOS控件,在设备中持续存在。这方面的一个例子是绕过Gatekeeper,原本这一机制是为了确保只有受信任的应用程序可以在计算机硬件上运行。然后,该木马程序利用现有的用户权限来执行恶意活动,之后就会掩盖其踪迹。 微软还指出,UpdateAgent从S3和AWS的Cloudfront下载其恶意的载荷。因此,该公司已与亚马逊合作,删除了一些已知的问题URL。从UpdateAgent在2020年9月首次出现到2021年10月的最新活动,可以从下面的图中看到它的演变。 微软表示,2021年10月的UpdateAgent活动是其迄今为止最复杂的活动之一。该木马以.zip和.pkg格式打包,并通过驱动下载进行传播,但最终结果也包括对Sudoer列表的修改。微软的调查还显示,最新攻击的基础设施是在2021年9月创建的,同时还发现了其他恶意域名。这表明,UpdateAgent正在积极开发,并可能在接下来继续变得更加复杂和危险。 该公司对现有的Adload Adware载荷提供了以下细节分享: 一旦广告软件被安装,它就会使用广告注入软件和技术来拦截设备的在线通信,并通过广告软件运营商的服务器重定向用户的流量,将广告和促销活动注入到网页和搜索结果。更具体地说,Adload利用中间人(PiTM)攻击,通过安装一个网络代理来劫持搜索引擎结果,并将广告注入网页,从而将广告收入从官方网站持有人那里抽走,转给广告软件运营商。 Adload也是一种异常持久的广告软件。它能够打开一个后门,下载和安装其他广告软件载荷,此外还能收集系统信息,并将其发送到攻击者的C2服务器。考虑到UpdateAgent和Adload都有能力安装额外的有效载荷,攻击者可以利用这些载体中的任何一个或两个,在未来的活动中可能向目标系统提供更危险的威胁。 就目前而言,微软有一些针对UpdateAgent的保护建议。对于公众来说,这些建议包括限制对特权资源的访问,只从受信任的来源安装应用程序,部署最新的软件安全更新,以及使用能自动阻止恶意网站的浏览器。 微软希望通过分享所有这些信息,强调不断演变的恶意软件的威胁,以及供应商必须提供的安全解决方案的类型,以保护Windows和非Windows机器。   (消息及封面来源:cnBeta)

一批 Android 网银木马躲过官方应用商店检测 清理前下载量已达 30 万

Threat Fabric 安全研究人员刚刚公布了一批 Android 网银木马,而且在被 Google Play 清理之前,其下载量就已经超过了 30 万次。在二维码扫描仪、PDF 扫描仪、加密货币钱包等表象的掩饰下,这些恶意应用会在暗中窃取用户登录凭证、双因素身份验证码、记录按键、以及屏幕截图。 (来自:Threat Fabric) 通过持续四个月的追踪,Threat Fabric 发现了四个独立的 Android 恶意软件系列。可知其利用了多种技巧,来规避 Google Play 应用商店的检测机制 安全研究人员指出,之所以从 Google Play 的自动化(安全沙箱)和机器学习审核流程中逃逸,正是该平台试试权限限制的直接后果。 通常情况下,这些恶意软件会先以一款良性 App 的面目示人。所以在早期的 VirusTotal 恶意软件检测过程中,它们并不会在第一时间被揪出。 但在用户安装后,它们就会开始诱骗用户下载并安装带有“附加功能”的更新包。此时这些恶意应用会通过第三方来源来获取,但此时它们已经骗取了用户的普遍信任。 为了躲避雷达追踪,这些恶意程序还利用了其它手段。在许多情况下,幕后操纵者只有在检查受感染的设备的地理位置、或通过增量更新后,才会手动部署恶意内容。 这种致力于躲过不必要关注的手段,实在让人难以置信。然而现实表明,基于自动化流程的传统恶意软件检测方案,正在变得不那么可靠。 在近日发表的一篇博客文章中,Threat Fabric 详细阐述了被调查的 9 款 dropper 恶意软件。其中造成最多感染的,被称作 Anatsa 家族。 这款“相当先进”的 Android 网银木马内置了许多功能,包括远程访问和自动转账系统。受害者将被无情地清空账户,将资金转移到幕后黑手控制的账户中。 感染 Anatsa 恶意软件的过程,是从 Google Play 下载看似人畜无害的初始安装包后开始的。之后相关 App 会强制用户更新,以继续使用该应用程序。 但现实是,幕后黑手在远程更新服务器上托管了夹带私货的恶意内容,并通过骗取信任的方式,将之安装在了毫无戒备的受害者设备上。 为了装得更像一些,幕后团伙甚至会雇人在 Google Play 应用商店刷好评,以引诱更多无辜者上当受骗。 最后,研究人员还发现了另外三大恶意软件家族(分别称之为 Alien、Hydra 和 Ermac)。 其特点是植入了 Gymdrop 恶意负载,并利用基于受感染设备模型的过滤规则,来躲过安全研究人员的搜捕。   (消息及封面来源:cnBeta)

Ursnif 木马变种正利用 CAPTCHA 验证来欺骗并窃取受害者信息

Bleeping Computer 报道称:Ursnif 网银木马的一个新变种(又称 Gozi),正在对粗心的受害者展开基于无害验证码的欺骗攻击,以窃取他们的敏感信息。MalwareHunterTeam 曝光了这款变种木马,可知当试图通过特定 URL 观看嵌入页面的 YouTube 视频时,它会引诱受害者下载一个所谓“console-play.exe”的恶意文件。 恶意网站截图 恶意网站会显示一个虚假的 reCAPTCHA 验证界面,以证明访客是真人而不是机器人。 同时由于这个“播放控制台”是一个可执行文件,浏览器会向用户发出潜在的恶意软件威胁警告。即便如此,毫无戒心的用户还是很容易上钩。 虚假的 reCAPTCHA 人机验证界面 如上图所示,该网站会要求用户依次按下 B、S、Tab、A、F、以及回车键。对于熟悉快捷键操作的熟练计算机用户来说,明显知道 BSAF 这几个字母其实都是幌子。 因为在当前界面下,一旦你按下了 Tab 和回车键,就有可能在不知不觉中将 Ursnif 木马程序给保留下来。此时网页视频也会继续播放,因此具有相当大的迷惑性。 NET Helper 文件夹中的内容 如果下载运行了 console-play.exe,就会在系统 AppData 下的 Roaming 路径,创建一个名为“Bouncy for .NET Helper”的文件夹。 为了混淆视听,恶意软件制作者还特意在“BouncyDotNet.exe”主程序之外,夹杂了大量的诱饵文件。 注册表详情 据悉,BouncyDotNet.exe 会创建有助于 Ursnif 网银木马传播的感染性动态链接库(DLL)文件,以进一步窃取与凭证相关的敏感信息。 但这其实并不是本年度的第一波 Ursnif 恶意软件攻击,因为 Avast 早在 3 月份就指出,这款网银木马已经导致意大利 100 多家银行躺枪。   (消息及封面来源:cnBeta)

研究发现 FlyTrap 恶意软件破坏了数千个 Facebook 账户

安全研究人员发现,自2021年3月以来,一个代号为FlyTrap的新安卓木马已经袭击了至少140个国家,并通过社交媒体劫持、第三方应用商店和侧载应用程序传播给超过10000多名受害者。 Zimperium的zLabs移动威胁研究团队最近使用Zimperium的z9恶意软件引擎和设备上的检测,发现了以前没有被检测到的恶意软件。经过他们的取证调查,zLabs团队确定这个以前未被检测到的恶意软件是一个木马家族的一部分,它采用社会工程的技巧来破坏Facebook账户。 这个活跃的Android木马攻击已经命名为FlyTrap,安全研究人员指出自2021年3月以来,来自越南的黑客团队在运营这个木马活动。这个恶意应用程序最初是通过Google Play和第三方应用程序商店分发的。Zimperium zLabs向Google报告了这些发现,Google核实了所提供的研究,并从Google Play商店删除了相关的恶意应用程序。然而,包含这个木马程序的恶意应用程序仍然可以在第三方不安全的应用程序库中找到,因此突出了侧载应用程序对移动端点和用户数据的风险。 FlyTrap通过感染Android设备的木马程序劫持受害者的Facebook账户,对受害者的社会身份构成威胁。从受害者的Android设备上收集的信息包括Facebook ID、地点、电子邮件地、IP地址、与Facebook账户相关的Cookie和令牌。这些被劫持的Facebook会话可以被用来传播恶意软件,通过带有木马链接的个人信息滥用受害者的社会信誉,以及利用受害者的地理位置信息进行宣传或造谣活动。这些社会工程技术在数字世界中是非常有效的,并经常被网络犯罪分子用来将恶意软件从一个受害者传播到另一个受害者。   (消息及封面来源:cnBeta)

木马化开源软件的针对性攻击

由于采用了合法的非恶意软件的外观,木马开源软件隐蔽且有效的攻击很难被发现。但通过仔细调查可发现其可疑行为,从而暴露其恶意意图。 开源软件如何木马化?我们如何检测到它们?为了回答这些问题,让我们看一下最近的相关调查。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1429/       消息来源:trendmicro,封面来自网络,译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

腾讯主机安全(云镜)捕获新挖矿木马 LoggerMiner,该木马感染 Docker 容器,功能在持续完善中

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/RSKXqrIjesBr6qcIOXT5OA   一、概述 腾讯主机安全(云镜)捕获一个新的挖矿木马LoggerMiner,该木马在云上主机中攻击传播,会利用当前主机上的ssh账号信息对其他主机发起攻击,以控制更多系统。并且,LoggerMiner还会尝试对当前主机上的docker容器进行感染。 该木马代码中大量使用了logger字符串作为系统账号名、文件路径、通信域名等。腾讯安全团队据此将其命名为“LoggerMiner”挖矿木马。该木马存在多个模块具备以下恶意行为: 利用ssh爆破感染其他云主机、修改ssh配置,关闭安全设置,留置后门,方便攻击者远程登录;向docker容器发送恶意命令,进行感染;木马的部分攻击代码尚未完工。 木马还会尝试卸载云服务器安全软件、结束竞品挖矿木马进程、停止系统日志、修改系统安全设置,删除其他竞品挖矿木马创建的帐户、添加自己的新帐号,安装定时任务实现持久化等功能。 腾讯安全系列产品应对LoggerMiner挖矿木马的响应清单如下: 应用 场景 安全产品 解决方案 威胁 情报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)LoggerMiner挖矿木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)LoggerMiner挖矿木马相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 (Cloud Firewall,CFW) 有关云防火墙的更多信息,可参考:  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload  Protection,CWP) 已支持检测: LoggerMiner挖矿木马相关文件查杀 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 网络资产风险监测系统 (腾讯御知) 1)关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://s.tencent.com/product/narms/index.html 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀LoggerMiner挖矿木马相关文件; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/   二、详细分析 该木马的代码中大量使用了logger字符串作为系统账号名、文件路径、通信域名等,腾讯安全团队据此将其命名为“LoggerMiner“。 LoggerMiner挖矿木马感染主机后会通过cron定时任务实现持久化,从定时任务里可以看到,LoggerMiner挖矿木马会执行3个恶意脚本,我们把这3个脚本定义为3个模块:xanthe、xesa、fczyo,然后逐个分析。 xanthe模块 首先看下xanthe模块,该模块有14个函数,大体功能如下: 具体函数执行步骤如下:   总结起来,xanthe模块大体执行流程如下: xanthe模块首先会检查感染标识文件/tmp/.firstrun-update_ivan1.pid是否存在,如果不存在则进行感染,下载并执行xesa和fczyo模块; 尝试下载挖矿程序java_c、进程隐藏模块libprocesshider.so、以及配置文件config.json并启动java_c挖矿程序; 尝试重新挂载/var/tmp、/tmp目录; 修改ssh配置文件,启用22和33768端口进行连接,允许root账号通过密码登录,允许密钥登录,关闭GSSAPI 认证等; 重启ssh服务; 尝试搜索当前主机的known_hosts、bash_history等配置文件,从里面获取用户名、主机地址、ssh密码/密钥信息,然后利用ssh执行感染模块xanthe。 部分功能代码片段如下: 1.感染判断: 2.利用当前主机上保存的ssh账号信息尝试感染其他机器:   除了以上功能外,该模块代码里有几个函数正在编写中,在此并未启用,从代码上看,该代码功能如下: 尝试搜索当前主机上的known_hosts文件,利用里面保存的ssh登录信息尝试登录并执行恶意代码; 安装masscan后,尝试扫描当前主机上开启2375端口的docker容器,然后利用命令行向容器内部发送恶意命令,实现docker容器感染; 还会尝试下载zgrab扫描器,下载后并未有其他动作,应该是代码没有完成。   相关代码片段如下: 1.利用当前主机上保存的ssh账号信息进行横向感染: 2.利用masscan扫描docker容器,并尝试感染docker容器: 3.下载zgrab扫描器 xesa模块 接下来分析xesa模块,该模块的8个函数功能大致如下: 从以上函数功能可以看出,xesa模块主要负责安全对抗,大致功能总结如下: 卸载阿里云等安全监控服务; 停止系统常用的日志监控服务syslog等; 结束其他挖矿木马进程; 修改系统安全设置等。 部分功能代码片段如下: fczyo模块 最后我们分析下fczyo模块,该模块函数功能大致如下: 从上面函数功能可以看到,该模块功能主要集中在持久化安装方面,大致功能如下: 通过cron安装定时任务,实现恶意代码执行; 通过/etc/rc.d/rc.local 实现开机自启动,实现恶意代码执行; 修改防火墙策略; 修改ssh配置文件,添加ssh密钥,实现免密码登录:         /opt/autoupdater/.ssh/authorized_keys         /opt/system/.ssh/authorized_keys         /opt/logger/.ssh/authorized_keys 添加后门账号,删除其他挖矿木马的后门账号: 添加的账号列表:sysall、system、logger、autoupdater;  删除的账号列表:darmok、cokkokotre1、akay、o、phishl00t、opsecx12   部分功能代码片段如下: 1.修改防火墙配置 2.ssh配置文件修改 3.系统账号添加及修改 IOCs URL hxxp://34.92.166.158:8080/files/xanthe hxxp://34.92.166.158:8080/files/fczyo hxxp://34.92.166.158:8080/files/xesa.txt hxxp://34.92.166.158:8080/files/java_c hxxp://34.92.166.158:8080/files/config.json hxxp://34.92.166.158:8080/files/libprocesshider.so hxxp://139.162.124.27:8080/files/xanthe hxxp://139.162.124.27:8080/files/fczyo hxxp://139.162.124.27:8080/files/xesa.txt hxxp://139.162.124.27:8080/files/java_c hxxp://139.162.124.27:8080/files/config.json hxxp://139.162.124.27:8080/files/libprocesshider.so hxxps://iplogger.org/11sxm hxxps://iplogger.org/17Cph7   Domain iplogger.org   IP 34.92.166.158 139.162.124.27   MD5 776227b07b2f1b82ffcc3aa38c3fae09 70b3ad8f1ce58203c18b322b1d00dd9a 7309b0f891a0487b4762d67fe44be94a 7633912d6e1b62292189b756e895cdae 025685efeb19a7ad403f15126e7ffb5a 83acf5a32d84330bbb0103f2169e10bb   钱包地址 47TmDBB14HuY7xw55RqU27EfYyzfQGp6qKmfg6f445eihemFMn3xPhs8e1qM726pVj6XKtyQ1zqC24kqtv8fXkPZ7bvgSPU   47E4c2oGb92V2pzMZAivmNT2MJXVBj4TCJHad4QFs2KRjFhQ44Q81DPAjPCVc1KwoKQEp1YHdRMjGLUe6YdHPx5WEvAha1u   ssh密钥 AAAAB3NzaC1yc2EAAAADAQABAAABAQDLVZNrAJ1uzR7d2bm1iUQPAgjuBlyLQQNaEHVmACWtGwwiOKMPiFBfBjuNJIyZFnGkkF gJP5fi8v1eqliaBgqERUDDtW/RZDDIz8DovDrA4/MGlxpCHLeViN+F62W/jgeufiQ7NiPTlPB3Fuh7E7QXXpXqQ6EmVlV0iWdzqRvSiDIB3 cIL6E2CrK47pY6Rp6rY2YKYzUhiZRqAMHViMR+2MARL2jERfF3CsG6ZXo/7UVVx+tqoKQDHPmz21mrulOF6RW5hh04dE2q1+/w6xm X8AxUSGmPdpwQa8GuV7NHHZmYO26ndTVi2ES472tJdkXVHmLX8B9Un42JLNVXwPU/Hlinux@linux.com

腾讯主机安全(云镜)捕获 Kaiji,DDoS 木马通过 SSH 爆破入侵

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/hacyPAA82rgEBivwOYhuEg   一、概述 腾讯安全威胁情报中心在为客户提供安全巡检服务时,发现腾讯主机安全(云镜)告警SSH爆破入侵事件,遂对事件进行溯源追查,溯源到有疑似国内黑客开发的木马Kaiji通过22端口弱口令爆破入侵服务器。攻击者入侵云主机会下载二进制木马将自身安装到系统启动项进行持久化,并且可根据C2服务器返回的指令进行DDoS攻击。由于响应及时,客户未遭受损失。 腾讯威胁情报中心建议企业用户检查Linux服务器上是否存在以下文件,若存在,建议删除木马文件并将SSH的登陆口令设置为强密码。 /usr/lib/8uc_bt /usr/8uc_bt /boot/8uc_bt /root/8uc_bt.1 /root/8uc_bt /dev/8uc_bt /8uc_bt   腾讯安全系列产品针对Kaiji木马最新变种的响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)Kaiji木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Kaiji木马相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)Kaiji木马关联的IOCs已支持识别检测; 2)检测SSH弱口令爆破攻击; 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀kaiji木马程序; 2)支持检测SSH弱口令爆破攻击; 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)已支持通过协议检测kaiji木马与服务器的网络通信; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀kaiji木马程序; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 二、详细分析 SSH是 Secure Shell的缩写,由IETF的网络小组(Network Working Group)所制定;SSH为建立在应用层基础上的安全协议。SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。云上服务器使用SSH服务的占比较高,而部分用户往往又未对其采取安全的配置,使得SSH监听在默认的22端口且不具备高强度密码、甚至使用空口令,导致黑客可轻易针对服务器22端口进行爆破入侵。Kaiji以root用户为目标,通过SSH暴力破解进行攻击传播。Kaiji通过根用户登陆,可以实现某些自定义网络数据包的DDoS攻击(在Linux中,自定义网络数据包仅提供给特权用户)。建立SSH连接后,会执行bash脚本,下载二进制木马文件8uc_bt并执行。 8uc_bt采用golang编写,执行后会通过修改系统初始化脚本init.d将恶意代码添加到启动项。 然后解密内置的C2服务器地址。     进入Main_doTask循环代码,从C2:a.kaiqingd.com:2323获取命令并执行。 执行的命令包括: DDoS指令; SSH暴力破解指令; 运行shell命令; 替换C2服务器; 删除自身和所有持久化任务。 其中DDoS 攻击类型包括: tcpflood udpflood getflood tapflood tcpddosag synddos 部分执行命令的函数名如下: main_runkshell:通过rc.d和Systemd服务安装持久性; main_runghost:通过/etc/profile.d(/etc/profile.d/linux.sh)安装持久化任务; main_rundingshi(汉字拼音:运行定时):通过crontab安装持久化任务; main_runshouhu(汉字拼音:运行守护):调用rootkit,将rootkit复制到/etc/32679并每30秒运行一次; main_Getjiechi、main_Jiechixieru、main_Jiechigo(汉字拼音:劫持写入):通过劫持系统程序启动木马。 其中“dingshi”、“shouhu”、“jiechi”等汉语拼音字符显示该木马作者疑似来自国内。   IOC Md5 348e35db572ad76271220280c5a64190   C&C a.kaiqingd.com:2323   IP 113.200.151.118 (ZoomEye搜索结果)   参考链接: https://securityaffairs.co/wordpress/102753/malware/kaiji-linux-iot-malware.html https://www.intezer.com/blog/research/kaiji-new-chinese-linux-malware-turning-to-golang