Pay2Key勒索软件组织周日发布了似乎是从Habana Labs获得的内部文件的细节，Habana Labs是一家位于以色列的芯片初创公司，一年前被英特尔收购。这个被安全公司Check Point与伊朗人联系在一起的黑客组织通过Twitter发布了一张包含Habana Labs的源代码截图，同时还发布了一个Tor浏览器可访问的.onion地址的链接。 该网站包含与Habana Labs的Gerrit代码协作软件、DomainController数据相关的文件名，以及似乎来自这家AI芯片制造商的文件。 在撰写这篇报道时，@pay2key账户因违反Twitter的规则而被暂停。 发布到.onion网站上的Readme文件称，英特尔和Habana实验室有七十二小时的时间来阻止进一步的泄露，这位身份不明的作者表示，这些数据可能包括活动目录信息和相关密码，以及该公司Gerrit服务器的全部内容，据说这些数据由价值53GB的数据组成。 英特尔在2019年12月以20亿美元收购了用于数据中心的深度学习加速器芯片制造商Habana Labs。Check Point上个月报告称，Pay2Key勒索软件此前并未出现过。它表示，该名称已于6月在加密身份服务KeyBase.io注册，该勒索软件于10月开始出现。 据报道，自那以后，据Check Point称，至少有三家以色列公司被这种数据绑架软件感染，还至少有一家欧洲公司受害。 勒索软件通常涉及在未经授权的情况下访问计算机，对发现的文件进行加密，然后要求支付赎金以获得解密密钥。付款并不能保证解密后的文件，也不能保证这些文件没有被复制并提供给其他地方。 Check Point表示，Pay2Key组织进行 “双重敲诈”，威胁解密文件并公开发布，以此向受害者施压，迫使其付款。到目前为止，要求支付的赎金一般在7到9个比特币之间，目前折合成美元在13.5万到17.3万之间。 Check Point认为Pay2Key集团由伊朗人组成的原因是，过去的赎金支付是通过Excoino进行的，Excoino是一家伊朗加密货币交易所，拥有有效伊朗电话号码和伊朗身份证/Melli码的个人可以使用。         （消息来源：cnBeta；封面来源于网络）

美国国会两党提出了一项法案，该法案将取消对 “从事某些操纵行为”的公司的第230条法律保护，但实际上，将剥夺美国几乎所有与用户互动的互联网场所的保护。《通信正派法》第230条规定，网络平台可以为他人在其网站上发布的内容免于承担责任。这些保护措施让早期的平台得以蓬勃发展，但却受到了立法者和监管机构的关注。 众议员Tulsi Gabbard(D-HI)和众议员Paul Gosar(R-AZ)周三提出的《2020拆分科技巨头法案》(Break Up Big Tech Act of 2020)旨在剥夺公司的这一保护伞，一旦法律实施，如果他们采取所谓的行动如 “充当出版商和审查某些用户”，就会受到监管。 Gabbard议员和Gosar议员都将该法案定位为阻止所谓的审查用户和意见的方式。法案中也有一些内容是为了遏制定向广告和用户数据的商品化。”这项法案取消了服务提供商利用法律豁免权行事而不受惩罚的情况，同时为那些提供真正中立的社交媒体平台或搜索引擎而不使用操纵算法的人保留第230条保护。”Gabbard说。 更具体地说，该立法将取消对从事以下活动的网络公司的第230条保护： 在未经用户同意的情况下出售和显示目标广告。 为 “直接销售交互式计算机服务以外的商业目的”收集数据。 “通过’将物品放入商业信息流’而实现实际上的平台地位。 采用数字产品，目的是让用户”参与并沉迷于”该服务。 作为出版商，使用算法在没有用户选择的情况下对内容进行控制或审查。 该提案的范围足够广泛，因此限制适用于任何承载广告的场所–即使是来自谷歌线上广告市场的交易，也不是直接委托的–同时也有评论区或其他方式让用户对该场所发布的内容做出反应，或由其他用户分享。 近年来，第230条已经成为政治目标。例如，共和党人认为社交媒体公司在审查保守观点，而民主党人则认为当社交媒体公司扩散错误信息或误导性内容时，第230条就会对其进行保护。在实际操作中，随着230条款改革的提出，各场所将进行更多的节制，以保证它们仍然属于该法规的法律保护范围。 早在10月，联邦通信委员会主席Ajit Pai就表示，联邦通信委员会有能力解释法律，并表示计划这样做。9月，司法部概述了将改变某些230条款保护的立法。 唐纳德·特朗普总统在2020年早些时候签署了一项行政命令，因为Twitter将他的一条推文标记为误导性。在竞选活动中，当选总统乔·拜登也表示，他支持撤销该法律。 Facebook的马克-扎克伯格（Mark Zuckerberg）、谷歌的桑达尔-皮查伊（Sundar Pichai）和Twitter的杰克-多西（Jack Dorsey）都在2020年早些时候在国会作证，为第230条和其带来的审查制度的指控辩护。对保护措施的批评也浮现在本应在7月举行的反垄断听证会上。           （消息及封面来源：cnBeta）

据外媒报道，8个月前，白宫新冠病毒特别工作组的Deborah Birx称赞佛罗里达的COVID-19仪表盘是“我们需要把知识和力量交到美国人民手中”的一个例子。据悉，该仪表盘由Rebekah Jones打造。然而在今年5月的时候，Jones被佛罗里达州卫生部门解雇，据称是因为其拒绝操控这些数据来证明该州能重新开放。 现在，佛罗里达州立警方突袭了她的家并拿走了她用来维护一个其个人版的新、独立COVID-19追踪的设备。 Jones在Twitter上发布了一系列关于这一事件的信息，其中包括一段警察持枪进入其房子的视频。 佛罗里达州执法部门(FDLE)向Miami Herald和Tallahassee Democrat证实，警方突袭Jones住宅的时候持有搜查证并没收了她的设备。 Tampa Bay Times上月报道称，有人神秘地向该州紧急公共卫生和医疗协调小组发送了一条未经授权的信息，上面写着“在1.7万人死亡之前大声说出来吧”。你知道这是错的。你不必参与其中。成为一名英雄。趁还来得及说出来。” 根据FDLE提供给媒体的一份宣誓书，执法部门认为是Jones或其住宅内的某个人发送了这条信息的。 尽管上个月有迹象表明该系统可能已经被黑客入侵，但它显然并没有特别强大的安全性：证词称所有的注册用户共享有相同的用户名和密码。 Jones没有立即回应记者的置评请求，但她在Twitter发文称，她买了一台新电脑并将继续更新她的新网站。       （消息来源：cnBeta；封面来自网络）

今年早些时候，一个以电子商务网站为目标的网络犯罪组织发起了一场“多阶段恶意活动”，目的是散布信息窃取器和基于JavaScript的支付窃取器。 新加坡网络安全公司Group-IB在今天发布的一份新报告中，将这一行动归因于同一个组织，该组织与另一次针对网商的攻击有关。该攻击使用窃取密码的恶意软件，用伪造的JavaScript-sniffers（JS-sniffers）感染他们的网站。 这项活动从2月开始到9月结束，共分四波进行。攻击者利用钓鱼网页和带有恶意宏的诱饵文件，将Vidar和Raccoon信息窃取器下载到受害者系统上。 研究人员指出，这次攻击的最终目的是通过几种攻击载体和工具窃取支付和用户数据，从而传播恶意软件。 这些假网页是使用Mephistophilus网络钓鱼工具包创建的，攻击者可以利用该工具创建和部署专为分发恶意软件而设计的网络钓鱼登录页面。 去年11月，IB集团的研究人员在对网络犯罪组织的策略进行分析时表示：“攻击者将伪造的页面链接发送给受害者，告知受害者缺少正确显示文档所需的插件。如果用户下载了该插件，则他们的计算机就感染了窃取密码的恶意软件。” 在今年2月和3月的第一波攻击中，Vidar密码窃取器可以拦截用户浏览器和各种应用程序的密码，但随后的迭代改用Raccoon窃取器和AveMaria RAT来实现目标。 去年Cybereason首次记录的Raccoon具有许多功能，可以与命令控制（C2）服务器进行通信，以窃取数据——包括截图、信用卡信息、加密货币钱包、存储的浏览器密码、电子邮件和系统详细信息。 Raccoon的独特之处在于，它通过向电报通道（“blintick”）发出请求以接收C2服务器的加密地址，从而绕过C2服务器的阻拦。此外，它还通过聊天服务为社区问题和评论提供24×7的客户支持。 同样，AveMaria RAT具有持久性，可以记录击键信息、注入恶意代码以及窃取敏感文件等。 Vidar和Raccoon都以恶意软件即服务（MaaS）的形式出售。Vidar窃取器的租金为每月250美元到300美元不等，Raccoon每月的租金为200美元。 除了上述四个阶段外，Group-IB还观察到了一个过渡阶段，即2020年5月至2020年9月。在此期间，20家网店感染了FakeSecurity系列改良版本的JS-sniffer。 有趣的是，用于分发Vidar和Raccoon窃取器的基础设施与用于存储sniffer代码和收集被盗银行卡数据的基础设施有相似之处。 今年1月初，国际刑警组织抓获了三名与“GetBilling”组织有关联的人。这三个人参与了代号为Night Fury的行动。他们在印度尼西亚开展了一个JS-sniffer活动。         消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

从臭名昭著的丝绸之路开始，暗网市场就一直备受关注。在 2013 年的鼎盛时期，在所有比特币活动中暗网占据了将近 20%。虽然随着时间推移它在整体加密货币活动中比例减少，但由于加密货币的蓬勃发展暗网生态系统也得到了快速的发展。 在 Chainalysis 公布的《2020加密犯罪报告》中，在 2019 年整个暗网市场实现了大约 8 亿美元的加密货币收入，活跃的独立市场规模拥有 49 个。而在最新公布的《2021加密犯罪报告》中，暗网市场有了较大的改变。虽然暗网市场总收入已经超过 2019 年，但是购买的总数以及可能的用户规模已经大幅下降，这表明有更少的人购买了更多的加密货币。而活跃市场数量也大大减少，几个著名的市场已经关闭，而新市场几乎没有开辟。 那么为什么会这样呢？有人认为持续的 COVID-19 新冠疫情是最直接的原因。正如我们下文探讨的那样，新冠疫情的流行让全球的邮政系统紧张，导致很多暗网市场供应商的传输失败或者延误。而专家认为另一个重要原因就是网络执法力度的增强，正在让暗网市场生态从散户整合为一个大参与者。 在美国开始因新冠疫情而实施封锁三周之后，该报告检测了疫情对暗网市场活动的影响。结果发现在比特币以及其他加密货币的价值急剧下跌之后，暗网市场的交易活动有所下降。 在我们的发现中值得注意的是，到目前为止，暗网市场活动似乎不受比特币市场活动的影响。比特币价值的波动一直很普遍，很少反映到暗网市场消费者的购买活动中。不过当美国启动第一轮封锁之后，伴随着比特币在 3 月中旬开始下跌，暗网交易活动度也开始下跌。 但是事实证明，这种改变只是暂时的。从5月左右开始，暗网市场收入恢复到之前的状态，不再与比特币的价格同步变动。自那时以来，暗网市场的每月收入一直稳定增长，除了9月和11月的小幅下降外，这在很大程度上与季节性趋势保持一致。 凭借这些最新发展，2020年的整个暗网市场收入已超过2019年，仅剩一个月了。但是尽管总收入可能不会改变，但其他数字表明，暗网市场可能会面临艰难时期。 上图显示了按年计算的暗网市场总收入以及向暗网市场转移的总数，我们可以使用这些粗略数来粗略估计单个客户和购买的数量。有趣的是，我们看到虽然收入已经超过了2019年的总和（再次，还有一个月的余地），但向暗网市场的转移总额仅略高于900万，远低于达到2019年的总和超过1200万的速度。 数字显示，与2019年相比，2020年的客户购买量减少，但每次购买的金额更大。这可能表明，临时购买者或购买个人用途药物的人正在从暗网市场转移，而购买数量较大的人-要么个人使用或出售给他人-正在购买更多商品。这也可能意味着在不确定的情况下，一些临时买家已经开始下达更大的订单以囤积。         （消息来源：cnBeta；封面来源于网络）

跨站泄露，也被称为 “XS-Leaks”，是网络设计中的一类问题，它允许网络应用相互交互，即使它们不相关。这导致用户数据在不同的Web应用之间共享，通常会带来严重的安全漏洞。依靠跨站泄密的安全漏洞日渐增多，为了解决这一问题，谷歌宣布建立了一个知识库，以便开发者和安全研究人员更好地了解这个问题，并围绕它建立防御措施。 这一知识库被称为 “XS-Leaks Wiki”，包含的文章解释了跨站点泄漏的概念，演示一些常见的攻击，以及你介绍针对它们设置的防御措施。除了每种攻击的细节，还提供概念验证代码。 这个知识库的另一个目标也是帮助开发者了解浏览器提供的各种安全功能，以防止跨站泄漏，如跨源资源策略和SameSite cookie。 谷歌希望将这个知识库提供给公司、安全研究人员和网络开发人员，以使所有相关方提供的多年经验基础上，通过保护所有用户免受利用这种行为的威胁，使网络对所有用户更加安全。 你可以通过访问谷歌的专门网站了解更多关于跨站泄密的信息，这里是谷歌的专门网站，或者这里是相关的GitHub仓库。         （消息来源：cnBeta；封面来源于网络）

据外媒报道，近日谷歌Project Zero研究人员Ian Beer演示了如何远程盗取iPhone中的照片。在视频中，Beer用iPhone拍摄了一张照片，然后打开YouTube应用。YouTube应用并不是黑客攻击的一部分–它的打开只是为了演示iPhone在被篡改时如何没有任何被篡改的迹象。 自动攻击不需要互联网连接，它确实需要iPhone连接到某种无线系统 – 在这种情况下，它连接到Wi-Fi信号。通常情况下，Wi-Fi网络是有密码保护的，所以设备和攻击者之间会有额外的安全层。Beer建议，演示绕过了他通常需要突破第一条无线连接线的那一点，但这样做只需要时间，而这个演示都是关于初级黑客的。 在黑客攻击中，用户能够利用手机上的内核bug，让黑客将恶意软件上传到手机中，并授权访问手机中的内容。这一切都是远程完成的，黑客不需要对手机进行任何形式的物理访问。整个过程可以在手机用户不知情的情况下进行。这个过程的任何部分都不会以任何明显的方式影响手机的工作进程。 目前的好消息是，这个漏洞从今年年初开始就已经被修复了。只要iPhone有最新的安全更新，你就不会受到这个特定漏洞的影响。       （消息及封面来源：cnBeta）

在电影或者视频游戏中，你是否曾经看到过有黑客在不接触设备的情况下立即接管某人的设备？也许你认为在当前各大厂商非常注重安全的大背景下不太可能，不过谷歌 Project Zero 安全研究人员 Ian Beer 已经将其变成现实。 在今天更新的博文中，他表示截至今年五月，iPhone、iPad等设备都存在严重的漏洞，能够让攻击者在不接触设备的情况下完全控制设备，包括阅读电子邮件和其他信息、下载照片，甚至能够通过麦克风和相机来观察和收听你的声音。 an Beer 表示这个漏洞的关键是当前 iPhone、iPad、Mac 和 Apple Watch 均使用 Apple Wireless Direct Link（AWDL）协议，而该协议是AirDrop（可轻松将照片和文件传输到其他iOS设备）和Sidecar（快速将iPad变成辅助屏幕）的基础。 Beer 不仅找到了一种方法来利用这一点，而且还找到了一种强制AWDL打开的方法，即使先前已将其关闭。 尽管 Beer 表示虽然没有证据表明这些漏洞已经被黑客利用，但他承认他花了整整 6 个月的时间才发现这个漏洞，并验证可以利用。虽然这个漏洞在今年 5 月已经修复，但他建议不要忽略黑客的攻击力，应该尽快安装升级。苹果没有立即回应置评请求，但苹果确实在2020年5月与漏洞相关的一些安全更新的变更日志中引用了 Beer 的内容。         （消息来源：cnBeta；封面来自网络）

Check Point的研究人员发现，利用DHL、亚马逊和联邦快递的品牌，试图让人们在网购高峰期分出信息的钓鱼诈骗活动增加了400%。两周前，Check Point的研究人员记录了针对网上购物者的 “特别优惠”的恶意网络钓鱼活动增加了80%，最新的峰值出现在使用 “跟踪您的货物”和 “交付问题”等主题词。 DHL是全球被模仿最多的品牌，占到与运输相关的钓鱼邮件总量的56%，其次是亚马逊的37%和联邦快递的7%。 虽然美国和欧洲的增幅最大，但其他地区的增幅也很大。在欧洲，运费钓鱼邮件增加了401%，其中77%是假冒的DHL。美国的航运钓鱼邮件增加了427%，其中亚马逊是被冒充最多的品牌，65%是假冒的亚马逊送货邮件。在亚太地区，送货钓鱼邮件增加了185%，其中65%是与DHL品牌有关。 “黑客正在追寻整个在线购物体验，在人们购物之前和之后，”Check Point的数据情报经理Omer Dembinsky说。“首先，黑客会从他们最喜欢的品牌向人们的收件箱发送’特别优惠’。然后，黑客会发送一封关于交付购买的电子邮件，即使你是从一个值得信赖的来源购买的。” “现在 “黑色星期五 “和 “网络星期一 “已经结束，我们正在转向等式的另一边，也就是送货。当你在这个假日季节打开任何购买后的电子邮件时，请三思。这封邮件可能来自黑客。仔细查看任何声称自己来自亚马逊、DHL或联邦快递的电子邮件。我们很清楚，黑客在网上购物体验的每一步都在瞄准网上购物者，在你购物前后，危险是非常真实的。” 诈骗范例：     （消息及封面来源：cnBeta）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/fYZJikSlifHmqikVB4FSyQ   一、概述 Medusalocker勒索团伙于2019年10月开始活跃，国内外均有大量受害者。早期该团伙通过对入侵机器内的数据文件进行加密勒索1比特币（BTC）。随着文件加密+数据窃取的勒索模式流行，该团伙会在勒索信中威胁称：“已收集了高度机密的资料，不付赎金就公之于众”。 腾讯安全威胁情报中心在进行例行高危风险样本排查过程中，发现Medusalocker勒索团伙使用的样本托管资产（IP:45.141.84.182(ZoomEye搜索结果)），对该资产其进行分析后发现，Medusalocker勒索团伙除使用加密模块对文件进行加密外，其武器库中还包括一系列渗透过程中使用的相关工具和窃密木马。 分析发现，Medusalocker勒索团伙除使用CobaltStrike窃密木马外。还对商业远程控制软件RemoteUtilities（类Teamviwer软件）进行了破解重打包（系对官方版本的窗口、托盘、模块完整校验位置进行Patch）。 由于RemoteUtilities属于正规商业远程控制软件，如果被用于窃密监听，会更加隐蔽，安全软件通常并不将此类商业远控软件报告为病毒。同时，由于破解修改版本与官方版本程序代码仅存在少量差异，也将比一般窃密木马具备更好的免杀效果。 近年来，勒索病毒从广撒网模式到针对性特定企业的精准打击，从单纯的数据加密演变为数据窃取加勒索。攻击者入侵企业内一台资产后，通常并不立刻进行加密操作。而是通过长时间的扫描探测，窃取机密信息后，再大面积对企业实施加密勒索。若企业使用备份数据进行还原，勒索团伙则威胁公开受害企业的机密数据继续敲诈，这对企业带来经济和社会声誉的双重损失。因此，我们提醒各政企机构高度警惕勒索病毒的攻击。 Medusalocker勒索病毒攻击者留下的勒索信 受害者在安全论坛发布的求助帖   腾讯电脑管家、腾讯安全T-Sec终端安全管理系统（御点）均可查杀拦截Medusalocker勒索病毒，腾讯安全针对Medusalocker勒索病毒的完整响应清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）Medusalocker勒索团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）Medusalocker勒索相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）Medusalocker勒索网络相关联的IOCs已支持识别检测； 2）支持检测拦截Medusalocker团伙发起的爆破攻击行为。 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀Medusalocker相关联的利用模块，勒索模块； 2）已支持检测拦截Medusalocker发起的爆破攻击行为。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 （Vulnerability Scan Service，VSS） 1）已集成无损检测POC，企业可以对自身资产进行远程检测。   关于腾讯T-Sec漏洞扫描服务的更多信息，可参考：https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。   关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）Medusalocker团伙相关联的IOCs已支持识别检测； 2）Medusalocker团伙发起的爆破攻击行为已支持检测； 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）企业终端管理系统可查杀Medusalocker团伙相关联的利用模块，勒索模块； 2）企业终端管理系统已支持检测拦截恶意爆破攻击行为。 3）企业终端管理系统可对系统内高危漏洞进行一键修复 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/   二、详细分析 1、魔改RemoteUtilities远程控制软件 RemoteUtilities是一款可免费，可商用，能够自建中继服务器的远程控制软件（类似于Teamviewer、向日葵等工具），该软件支持Windows、Mac、Linux、IOS、Android等多个平台版本。该软件服务端（Agent）运行后会弹出明显的服务端窗口信息，托盘展示信息等，一般用于管理员对多台设备进行统一的操作和管理。 Medusalocker勒索病毒团伙通过对RemoteUtilities进行破解重打包后，将其作为窃密木马使用，达到植入目标系统持久化控制的目的，其修改流程主要有下文中分析中的多个步骤。 RemoteUtilities远控软件官网介绍 正常RemoteUtilities被控端（Agent）运行后的界面 2、RemoteUtilities精简破解重打包 RemoteUtilities正常被控端安装后后会存在大量模块文件，修改版本安装后后仅使用3个模块（移除非远程控制必须组件以外的其他模块），精简破解后重打包的版本安装完成后，会添加计划任务启动，进而实现持久化的远程控制。 下图上为完整版RemoteUtilities被控端安装文件，下为病毒修改版安装文件： 计划任务将自动启动病毒远控。   3、RemoteUtilities-Patch-1 通过对官方版本被控端的ShowWindow函数调用进行nop处理，导致官方版本被控端启动时的所有窗口界面消失，从而实现无交互界面被远程控制，系统托盘、消息界面全部被隐藏： 官方版本完整代码： 修改后病毒版本代码：   4、RemoteUtilities-Patch-2 通过对官方版本被控端的Terminateprocess函数调用进行nop处理，导致官方被控端相关快捷退出方式失效，从而让攻击者稳定持久的远程控制，持续进行窃密活动。   官方版本完整代码： 修改后病毒版本代码：   5、RemoteUtilities-Patch-3 官方版本远程控制软件在运行后首先会对其安装目录下的所有模块完整性校验，当发现安装模块缺失后则直接会退出。病毒对其代码进行patch，使官方远控软件被控端校验流程被强行跳过。 官网软件模块完整性校验流程 官方版本完整代码： 修改破解后病毒版本代码： 6、RemoteUtilities-Patch-4 官方程序每次接受命令或启动时会监测程序安装路径下rfuslient.exe模块，并将其执行起来，如果该文件不存在，则弹出一个系统错误对话框，随后服务端直接退出。病毒对其相关路径参数进行patch（破解），导致该处校验流程失效。 被绕过的模块完整性校验提示窗口，正常流程下服务端执行到此处代码将提示错误直接退出。 官方版本完整代码： 破解修改后病毒版本代码： 下图为控制端界面，攻击者向攻击目标植入RemoteUtilities破解修改版本后可完全控制受控机器，可执行远程Shell、屏幕监控操作、语音监控操作、远程文件操作、RDP登录等等。 7、加壳的CobaltStrike Medusalocker勒索病毒团伙同时还使用了加壳的CobaltStrike窃密木马，该版本窃密木马运行后首先以挂起方式启动系统白进程mstsc.exe，随后将Beacon恶意payload注入到mstsc.exe进程内，进而实现系统进程内执行远程控制恶意功能。 其C2信息使用0x2E异或方式简单加密，解密后得到C2地址如下： oow8Phokeing6kai5haH.glowtrow.online ooLiey0phuoghei2cei7.cleans.online eiphaem9aifuR1udaizu.badedsho.space 解密后的CobaltStrike配置信息 8、勒索辅助工具包 在该地址内，也发现了Medusalocker勒索团伙以往常用的工具包。包括本地系统口令窃取工具、浏览器密码窃取工具、局域网端口扫描工具、网络共享资源扫描工具、PsExec命令执行工具、Ark内核对抗工具、两个bat脚本文件等，这些工具在后期渗透局域网其他主机过程中使用。 Bat脚本主要功能有以下部分： EnableLUA，避免系统提示以管理员权限执行等问题； 对系统内粘滞键、放大镜、系统帮助、Windows辅助工具管理器等程序进行映像劫持，侧面印证该团伙可能对系统内该系列工具位置进行后门劫持利用； 开启3389端口并允许远程控制，关闭RDP相关的远程登录安全策略项； 删除系统卷影，删除系统备份等。 9、Medusalocker勒索病毒 Medusalocker勒索病毒出现于2019年10月，2019年11月腾讯安全检测到该病毒开始在国内活跃，该病毒主要通过弱口令爆破方式进行传播，由于该勒索病毒加密使用RSA+AES的方式对文件进行加密，目前尚无有效的解密工具，被加密后的文件末尾组成部分如下。 使用硬编码RSA公钥加密后的AES文件密钥数据； 使用硬编码RSA公钥加密后的后缀信息数据； 被加密文件原始明文长度0x0000000000000018； 文件后缀明文长度0x00000014； AES密钥原始长度0x0000002C； 1、2部分密文长度0x00000200； 0x0000001标记。 具体分析可参考：《警惕Medusalocker勒索变种攻击企业，中毒被勒索1比特币》   本次发现的变种版本Medusalocker加密完成后添加.ReadInstructions扩展名后缀，留下名为Recovery_Instructions.html的勒索文件，攻击者使用的勒索邮箱为asaphelper@protonmail.com，asaphelper@firemail.cc 三、安全建议 腾讯安全专家建议企业用户参考以下操作，以提升系统安全性： 1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。 3、采用高强度的密码，避免使用弱口令。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。 4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、对重要文件和数据（数据库等数据）进行定期非本地备份。 6、建议终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码。 7、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 8、建议全网安装腾讯T-Sec终端安全管理系统（御点、https://s.tencent.com/product/yd/index.html）。腾讯御点具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户： 1、启用腾讯电脑管家，勿随意打开陌生邮件，关闭Office执行宏代码； 2、打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。   IOCs MD5: 81f327ba23b03e261a0bcb3b4be3ffb4 860cdd118f68793a680ad4d22c43619a dbffcc741c54ae7632fb2807c888bdfe 40e85653abe687ddfd95b67a5f5dd452 bb62cb286e2386da92837a37d0ec3445 39c2a273de3f1eee2dd6e567a00f1137 URL: hxxp://45.141.84.182/Build.exe（魔改RemoteUtilities） hxxp://45.141.84.182/Build1.exe/ hxxp://45.141.84.182/beacon.exe（加壳的CobaltStrike） hxxp://45.141.84.182/64x.exe hxxp://45.141.84.182/run.exe hxxp://45.141.84.182/cb.exe hxxp://45.141.84.182/1.zip（勒索工具包） hxxp://45.141.84.182/AN_UPD.exe（Medusalocker勒索病毒） C2: oow8Phokeing6kai5haH.glowtrow.online ooLiey0phuoghei2cei7.cleans.online eiphaem9aifuR1udaizu.badedsho.space IP: 45.141.84.182(ZoomEye搜索结果) 勒索邮箱： asaphelper@protonmail.com asaphelper@firemail.cc 勒索平台暗网地址： hxxp://gvlay6u4g53rxdi5.onion/18-oWREq832SIH6V6yoKU1Z3fMRYR5wmpR0-cvxencen8tpja5kxwsd12had3lurjur7