OpenSSH是最受欢迎的连接和管理远程服务器实用工具之一，近日团队宣布计划放弃对SHA-1认证方案的支持。OpenSSH在公告中引用了SHA-1散列算法中存在的安全问题，被业内认为是不安全的。该算法在2017年2月被谷歌密码学专家破解，可利用SHAttered技术将两个不同文件拥有相同的SHA-1文件签名。 不过当时创建一个SHA-1碰撞被认为需要非常昂贵的计算成本，因此谷歌专家认为SHA-1在实际生活中至少还需要等待半年的时间，直到成本进一步下降。随后在在2019年5月和2020年1月发布的研究报告中，详细介绍了一种更新的方法，将SHA-1选择-前缀碰撞攻击的成本分别降低到11万美元和5万美元以下。 对于像国家级别以及高端网络犯罪集团来说，让他们生成一个SSH认证密钥，从而让它们能够远程访问关键服务器而不被检测到，那么5万美元的代价是非常小的。OpenSSH开发者今天表示：“由于这个原因，我们将在不久的未来版本中默认禁用‘ssh-rsa’公钥签名算法。” OpenSSH应用程序使用 “ssh-rsa “模式来生成SSH验证密钥。这些密钥中的一个存储在用户要登录的服务器上，另一个存储在用户的本地OpenSSH客户端中，这样用户就可以在每次登录时不需要输入密码就可以访问服务器，而是以本地验证密钥来代替登录。 在默认情况下，OpenSSH ssh-rsa模式通过使用SHA-1散列功能生成这些密钥，这意味着这些密钥容易受到SHAterred攻击，使威胁行为者能够生成重复的密钥。OpenSSH开发者今天表示：“遗憾的是，尽管存在更好的替代方案，但这种算法仍然被广泛使用，它是原始SSH RFCs规定的唯一剩下的公钥签名算法”。 OpenSSH团队现在要求服务器所有者检查他们的密钥是否已经用默认的ssh-rsa模式生成，并使用不同的模式生成新的密钥。OpenSSH团队表示，推荐的模式是rsa-sha2-256/512（自OpenSSH 7.2以来支持）、ssh-ed25519（自OpenSSH 6.5以来支持）或ecdsa-sha2-nistp256/384/521（自OpenSSH 5.7以来支持）。     （稿源：cnBeta，封面源自网络。）

有关研究报告显示，双枪恶意程序的僵尸网络利用国内的常用服务进行管理。该僵尸网络的数量超过了 10 万。研究人员观察到双枪恶意程序使用百度贴吧图片来分发配置文件和恶意软件，使用了阿里云存储来托管配置文件，利用百度统计管理感染主机的活跃情况，恶意程序样本中还多次发现了腾讯微云的 URL 地址。 它第一次将 BAT 三大厂商的服务集成到了自己的程序中。百度已经采取行动阻断恶意代码下载链接，以下为报告全文。 概述 近日，我们的域名异常监测系统 DNSMon 捕捉到域名 pro.csocools.com 的异常活动。根据数据覆盖度估算，感染规模超过100k。我们通过告警域名关联到一批样本和 C2，分析样本后发现是与双枪恶意程序相关的团伙开始新的大规模活动。近年来双枪团伙屡次被安全厂商曝光和打击，但每次都能死灰复燃高调复出，可见其下发渠道非常庞大。本次依然是因为受感染主机数量巨大，导致互联网监测数据异常，触发了netlab的预警系统。本报告中我们通过梳理和这些URL相关的C2发现了一些模式，做了一些推测。 我们观察到恶意软件除了使用百度贴吧图片来分发配置文件和恶意软件，还使用了阿里云存储来托管配置文件。为了提高灵活性和稳定性，加大阻拦难度，开发者还利用百度统计这种常见的网络服务来管理感染主机的活跃情况。同时我们在样本中多次发现了腾讯微云的URL地址，有意思的是我们在代码中并没有找到引用这些地址的代码。至此，双枪团伙第一次将BAT三大厂商的服务集成到了自己的程序中，可以预见使用开放服务来管理僵尸网络或将成为流行趋势。有必要澄清的是，这些公开服务本身均为技术中立，此恶意代码中滥用这些公开服务完全是其作者的蓄意行为，各主要互联网公司均在用户许可中明确反对并采取措施抵御这些恶意滥用行为。 5月14日起，我们联系到了百度安全团队，采取了联合行动，对该恶意代码的传播范围做了度量，并采取了抵御措施。截止本文发稿，相关的恶意代码下载链接已经被阻断。百度安全团队对该事件的声明见文末。 IOC关联分析 从告警域名入手，通过DNS解析记录和样本流量分析建立IOC关联，过滤掉孤立和噪音节点，我们找到了一组与此次传播活动有关的关键C2。从下面截取的部分IOC关联图可以看出，几乎所有的域名都和两个关键的ip 地址 125.124.255.20 和 125.124.255.79 有关，围绕这两个ip地址，双枪团伙从19年下半年开始依次启用了一批域名来控制和下发恶意程序。事实上这个团伙长期且稳定的控制了大量 125.124.255.0/24 网段的ip地址，可以看出他们拥有非常丰富的网络资源。 通过样本溯源可以看到，这次大规模感染主要是通过诱导用户安装包含恶意代码的网游私服客户端，具体感染方式大体分为两种，下面进行深入分析。 感染方式1 — 启动器内包含恶意代码   阶段1 — 下载并加载cs.dll恶意文件 各类私服入口 点击下载链接跳到私服主页 登录器下载 “蟠龙军衔.zip” 含恶意代码的私服客户端启动器被用户下载并执行，恶意代码访问配置信息服务器，然后根据配置信息从百度贴吧下载并动态加载名为 cs.dll 的最新版本恶意程序。cs.dll 中的敏感字串使用了一种变形的 DES 加密方法，这种加密算法和我们之前捕捉到的双枪样本高度相似。我们从样本主体 exe 文件入手，逐步分析上述恶意行为。 文件结构 “蟠龙军衔.exe” PE Resource 中包含 7 个文件，Widget.dll 是客户端组件，资源文件中的cs.dll 是旧版的恶意程序。4 个 .sys 文件是私服客户端的驱动程序，虽然命名为Game Protect，但我们在代码中发现了劫持流量插入广告的代码。 下载配置信息 启动器创建线程访问加密配置文件 http://mtdlq.oss-cn-beijing.aliyuncs.com/cscsmt.txt 页面包含 8 行 16 进制字串，与密钥 B2 09 BB 55 93 6D 44 47 循环异或即可解密。 解密后是 8 个百度贴吧图片的地址。 下载图片文件切割并重组 cs.dll 文件 直接访问图片地址，图片文内容看起来像是随机生成的。 恶意程序会下载图片文件，每张图片使用 ><>>>< 为标记来分隔图像数据和恶意代码数据。 把所有恶意代码拼接起来我们得到了阶段 2 的恶意程序 cs.dll。 恶意程序通过内存映射的方式加载上述 cs.dll，然后调用导出函数 abcd() 进入阶段 2 ，所以并没有文件落地。 阶段2 — 上报主机信息，释放并加载恶意驱动 cs.dll 会进行一些简单的虚拟机和杀软对抗，利用百度统计服务上报 Bot 信息，释放第 3 阶段 VMP 加壳的驱动程序（包含x86/x64两个版本）。 DES 解密算法 样本中的 DES 解密算法为恶意软件作者自定义实现，加密模式为 CBC，无填充。DES 加密算法的转换表与旧版（“双枪”木马的基础设施更新及相应传播方式的分析）相同 。本次恶意活动涉及的 DES 解密，都涉及 2 层解密，第一层解密，先以 Base64 算法解码字符串 dBvvIEmQW2s= 得到一份二进制数据，再以空密钥 \x00\x00\x00\x00\x00\x00\x00\x00 对上述二进制数据解密，得出字串 helloya\x00，再以此字串作为密钥，用自研 DES 算法解密其他大量密文数据。完整的解密过程如下： 检查虚拟主机环境 VM 和 WM 通过检查注测表项判断是否是 VMWare 主机，如果是 VM 主机代码则直接返回。 创建 Bot ID 使用系统 API 创建主机的 Bot ID，写入注册表 SOFTWARE\\PCID， 利用百度统计服务管理 Bot 恶意软件的开发者借用了百度统计接口的一些标准字段来上报主机敏感信息，利用百度统计这种常见的网络行为来管理感染主机的活跃情况。因为百度统计服务被大量网站使用，从流量上看是一套合规的浏览器网络行为，所以很难将其区分出来，加大了安全厂商打击的难度。 恶意程序首先使用一个名为 DataWork() 的函数伪造浏览器请求，下载 hm.js 脚本。 保存返回信息中的用户 Cookie 信息 HMACCOUNT 到注册表。 通过 http://hm.baidu.com/hm.gif? 接口，恶意程序将提取到的统计脚本的版本信息this.b.v、用户 Cookie 信息、bot_id 和伪造的其它统计信息组包上报，恶意软件开发者使用百度统计的后台可以方便的管理和评估感染用户。 从 Dat 资源解密，创建，安装驱动 检查是否安装了 XxGamesFilter 等私服客户端驱动。 根据安装情况和操作系统版本选择不同的资源 ID，每一个资源对应不同版本的驱动（32 位系统使用 ID 为 111 或 109 资源，64 位系统使用 ID 为 110 或 112 的资源）。 资源是简单加密过的，以解密 32 位驱动为例，首先倒转数据顺序，然后逐字节和系统版本数值 32 异或，得到一个 VMP 加壳的驱动文件。 测是否存在 TeSafe 驱动，如果存在刚中断感染流程。计算 TeSafe+{Computer Name} 的 MD5 值，检测是否存在名为该 MD5 字串的驱动，如果存在说明系统已经被感染过，也会中断感染流程。 //拼接字串 +00   54 65 53 61 66 65 2B 57 49 4E 2D 52 48 39 34 50      TeSafe+WIN-RH94P        +10   42 46 43 37 34 41 00 00 00 00 00 00 00 00 00 00      BFC74A..........        //拼接字串的MD5值  +00   46 34 36 45 41 30 37 45 37 39 30 33 33 36 32 30      F46EA07E79033620        +10   43 45 31 33 44 33 35 44 45 31 39 41 41 43 34 32      CE13D35DE19AAC42 如果系统 EnableCertPaddingCheck 注册表项关闭，则替换文件末尾 16 字节为随机数据。这样每个感染主机上的样本 HASH 值完全不一样，可以对抗基于 HASH 查杀的方案。 将驱动程序释放到 TEMP 目录下，文件名为长度为 7 的随机字符串。例如："C:\Users\{User Name}\AppData\Local\Temp\iiitubl" 注册驱动文件启动服务并检测安装是否成功。 阶段3 — 劫持系统进程，下载后续恶意程序 驱动运行后会拷贝自己到 Windows/system32/driver/{7个随机字符}.sys ，伪造驱动设备信息为常见的合法驱动，如 fltMgr.sys ，向系统进程 Lassas.exe 和 svchost.exe 注入 DLL 模块。完成整个初始化过程后，就形成了一个驱动和 DLL 模块通过 DeviceIoControl() 通信合作来完成作务的工作模式，这是一个驱动级别的下载器。所有敏感的配置信息都保存在驱动内部，DLL 通过调用驱动来获得配置服务器相关信息，根据下载的配置信息去百度贴吧下载其它恶意代码，进行下一阶段的恶意活动。 驱动运行后用APC注入法向系统进程 Lassas.exe 注入 DLL 模块。 DLL 配合驱动的执行过程。 DLL 首先尝试创建互斥对象 {12F7BB4C-9886-4EC2-B831-FE762D4745DC} ，防止系统创建多个实例。 接着会检查宿住进程是否是 Lsass.exe 或 svchost.exe，确保不是运行在沙箱之类的分析环境中。 尝试创建设备 "\\.\F46EA07E79033620CE13D35DE19AAC42" 句柄，建立和驱动模块的通信。 向驱动发送 0x222084 设备控制码，获得连接服务器的配置信息。和配置服务器的通信使用 HTTPS+DES 的双重加密方式，配置信息包含三个重要的部分： 主机信息上报服务 https://cs.wconf5.com:12709/report.ashx，供 DLL 上报主机基本信息。 bot id，安装时间等基本信息。 是否安装 360 杀毒，是否是虚拟机环境。 是否是无盘工作站。 上报主机信息使用DES加密，密钥为 HQDCKEY1。 访问 https://cs.wconf5.com:12710/123.html 下载配置信息： 配置信息依然是变形 DES 加密，解密密钥为 HQDCKEY1。解密后可以看到配置信息使用自定义的格式，两个百度图片为一组，截取有效数据拼接为一个有效文件： 配置信息 https://share.weiyun.com/5dSpU6a 功能未知： 所有驱动样本返回的配置信息都包含一个腾讯微云地址，直接访问该地址可以看到若干字符和数字组成的无意义字串。我们在收集到的配置信息中发现，每组数据中的配置信息服务器和微云保存的数据存在特定的模式。以上图为例，访问腾讯微云，获取字符串 cs127，其同组数据中的配置文件服务器的子域为 cs.xxxx.com ，端口为127xx。这看起来像是一种动态生成配置文件服务器地址的策略，推测可能是还在开发阶段的功能，所以样本中并未包含对应代码。 完成上述初始化过程后，驱动开始根据配置文件进入真正的功能操作。根据解析的配置文件，dll和驱动模块配合可以完成非常复杂的功能，下面罗列其中一部分功能。 更新驱动文件 程序会使用另一套算法得到DES解密密钥 HelloKey，最后用 DES 算法解出最终数据： 劫持进程ip地址。 向系统中添加证书 下载文件到 TEMP 目录并创建进程。 篡改 DNS配置 PAC 代理劫持 感染方式2 — DLL 劫持 感染方式 2 依然是以私服客户端为载体，但是在技术细节上有较大差异。 登录器下载页面： 下载后的登录器： 多款类似游戏的私服客户端的组件 photobase.dll 被替换成同名的恶意 DLL 文件，恶意 DLL 文件的 PE  Resource 中包含 3 个关键文件： 恶意 photobase.dll 有两个关键动作： 首先会释放相应架构的恶意驱动程序，然后注册系统服务并启动； 然后加载真正的 photobase.dll 文件，并将导出函数转发到真正的 photobase.dll。 后续感染流程同上。 这是一套标准的 DLL 劫持加载方式。 阶段1 — 释放并加载恶意驱动 恶意 photobase.dll 文件会首先为即将释放的恶意驱动文件生成一个随机文件名，文件名为 10 个随机字符，文件后缀为 .dat，并把自身 PE Resource 中相应的驱动文件放到 %windir%\Temp\ 目录下。 然后为落地的恶意驱动文件注册系统服务，并启动服务： 恶意驱动接下来的活动与前面第一种感染方式雷同，即下载、解密并最终加载其他恶意文件。 阶段2 — 加载真 photobase.dll 在恶意 photobase.dll PE Resource 中的真 photobase.dll 文件的前 2 个字节被置空： 恶意 photobase.dll 从 PE Resource 中提取这份文件的时候，会把这前 2 个字节以 MZ(PE 文件头) 填充： 然后，恶意的 photobase.dll 文件会为刚载入的真正的 photobase.dll 文件载入动态链接库、导入相关函数，最后，把真 photobase.dll 中的导出函数转发到自己的导出函数中。部分转发的导出函数如下： 以上面高亮的导出函数 Sqm::AddToStream() 为例，恶意 photobase.dll 中的转发实现如下： 相关安全团队声明 基于海量威胁情报，百度安全反黑产开放平台配合测算出僵尸网络的规模。平台同时启动相关措施，尝试对受僵尸网络控制的用户进行风险提示。在本次联合行动中，通过黑产威胁情报分析、共享、应对等举措，我们对于双枪团伙的作案技术手段、逻辑及规则形成进一步认知。 相关附录：https://www.cnbeta.com/articles/tech/983871.htm     （稿源：solidot，封面源自网络。）

据外媒报道，在过去的几个小时时间里，一些MacRumors的读者报告称，他们的iOS设备的App Store出现了几十个甚至上百个正在更新的应用，其中包括用户最近更新的应用。对此，苹果并非提供任何关于会出现这种情况的原因，但一些用户怀疑可能跟最近的“此应用不再与你共享”漏洞有关。 据悉，该漏洞将阻止一些用户启动某些程序，除非他们卸载或删除之后再重新安装才行。 这有可能是过期证书或其他与应用共享的相关证书出现了问题，为了修复这个问题，苹果不得不重新发布这些更新从而使得每个受影响的应用中都能有一个有效的证书。     （稿源：cnBeta，封面源自网络。）

德国和法国的研究人员在预印本网站 arXiv 上发表论文（PDF），分析了过去几年发生的开源软件供应链攻击。软件供应链攻击有两类：其一是在软件产品中植入恶意代码去感染终端用户，此类攻击的一个著名例子是发生在乌克兰的 NotPetya 勒索软件攻击。 攻击者入侵了乌克兰流行会计软件的更新服务器释出了恶意更新，这次攻击造成了数十亿美元的损失，是已知最具破坏性的网络攻击之一。 另一个例子是 CCleaner 的恶意版本通过官网传播给终端用户，它在长达一个多月时间里被下载了 230 万次。另一类软件供应链攻击是向软件产品的依赖包植入恶意代码。随着开源软件开发模式的流行，此类的攻击日益常见。 研究人员分析了 npm、PyPI 和 RubyGems 软件包管理系统发现的 174 个恶意依赖包，他们发现 56% 的软件包在安装时触发恶意行为，41% 使用额外的条件去判断是否运行。61% 的恶意软件包利用了名字相似性向开源生态系统植入恶意包。攻击者的主要目的是析取数据。     （稿源：solidot，封面源自网络。）

你的电脑很可能又被黑客盯上了。近日，据外媒报道，一名荷兰研究人员 Ruytenberg 展示了黑客如何通过 Thunderbolt 实施物理访问进而攻击电脑，并指出了 7 类漏洞 ： 固件验证方案不足 弱设备认证方案 未经验证的设备元数据的使用 使用向后兼容性降低攻击级别 未经验证的控制器配置的使用 SPI 闪存接口缺陷 在 Boot 营地没有雷电安全 研究者指出，这些漏洞适用于自 2011年以来所有装有 Thunderbolt 的计算机，并且允许拥有物理访问权限的攻击者从加密的驱动器和内存中快速窃取数据。 更可怕的是，即便你的设备即使处于睡眠模式或锁定的状态、设置安全引导、使用强 BIOS 和操作系统帐户密码以及启用完全磁盘加密，攻击仍然有效，并且这种攻击不会留下任何痕迹，也不需要任何形式的网络钓鱼，还可以从加密驱动器中窃取数据，而完成这一过程只需要 5 分钟。 研究人员将这一漏洞命名为 Thunderspy。值得注意的是，这是个硬件级漏洞，只要几百美元的设备就能攻破该漏洞。 在 Mac 电脑和部分 Windows 电脑上，Thunderbolt 端口能够被用来连接外围设备，比如显示器、高速网络适配器、普通硬盘和容量更大的存储阵列。在笔记本电脑上，一个 Thunderbolt 插接站就可以让你的电脑接入闪存读卡器、电源电缆、HDMI 显示器、以太网以及 USB 鼠标和键盘。 但一直以来，Thunderbolt 有一个让安全研究人员都很担心的问题：因其更快的数据传输速度，并且允许比其他端口更直接地访问计算机内存，所以导致漏洞的风险也更大。 3 个月前，Ruytenberg 向英特尔报告了这一漏洞，经核查，英特尔承认了这一漏洞。 英特尔表示：“虽然潜在的漏洞并不是新出现的，而且在去年的操作系统发布版中就已经解决了，但是研究人员在没有启用这些缓解措施的系统上使用定制的外围设备，演示了新的潜在物理攻击载体。 但他们并没有证明 DMA 攻击能够成功地攻击启用了这些缓解措施的系统。对于所有系统，我们建议遵循标准的安全实践，包括只使用受信任的外围设备和防止未经授权的物理访问计算机。英特尔将继续改进 Thunderbolt 技术的安全性，感谢来自埃因霍芬理工大学的研究人员向我们报告了这一情况。” 不过，Ruytenberg 有不同的看法，因为在实验中，他们没有发现任何一台戴尔电脑安装了上述保护措施，只有部分惠普和联想笔记本安装了。 此外，这些漏洞也无法通过软件更新修复，因为它们本质上与硬件设计有关，即使用户在操作系统中调整了安全设置，也不能完全避免此类攻击，所以只能靠今后重新设计硬件才能完全解决。 也就是说，目前还无法解决这个威胁。黑客如何在无密码解锁的情况下攻入你的电脑的？ 为了进一步证明这个漏洞的影响，Ruytenberg 在 youtub 上传了一段分析视频 详情请见：https://www.youtube.com/watch?v=3byNNUReyvE 在演示视频中，他卸下了电脑的后盖，将 SPI 编程器和主板上的雷电控制器连接起来。 然后在另一台电脑上的雷电接口上插入一个自制破解设备，运行 PCI Leech 软件（一种内核插入和攻击工具），通过改变控制 Thunderbolt 端口的固件，允许任何设备访问，而整个过程只用了 5 分钟。 这样一来，攻击者可以永久禁用 Thunderbolt 安全并阻止所有未来的固件更新。该攻击只需要价值约 400 美元的装备，包括一个 SPI 编码器和价值 200 美元的 Thunderbolt 外设。当然，除了上面要拆开笔记本的方法外，Thunderspy 攻击还有一种无需物理侵入的方法。即通过创建任意的雷电设备身份，克隆用户授权的雷电设备，最后获得 PCIe 连接以执行 DMA 攻击。 这样，无需打开电脑外壳，即可绕过目标设备的锁定屏幕。但是，只有将雷电接口的安全性设置为允许受信任设备的默认设置时，这种无需物理侵入的 Thunderspy 攻击才有效。 目前，英特尔尚未发布任何 Thunderspy 漏洞的 CVE 信息，并且不计划发布针对市场上已有系统的修复程序。苹果则决定不为 Thunderspy 提供修复程序。 所以，对于用户来说，怎样保护电脑不被黑客攻击呢？安全研究人员也给出了一些建议。 通过免费的开源工具 Spycheck，验证是否受到 Thunderspy 的攻击： 验证地址：https://thunderspy.io/ 只连接自己的 Thunderbolt 外设；不要把它们借给任何人； 避免开机时无人值守系统，即使屏幕被锁定； 避免让 Thunderbolt 外设无人看管； 存储系统和任何 Thunderbolt 设备(包括 Thunderbolt 供电的显示器)时，确保适当的物理安全； 避免使用睡眠模式(内存挂起)。   （稿源：雷锋网，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/afn9jkgaDqX2wIoHk4G6JQ 一、概述 腾讯安全威胁情报中心在进行例行高广风险文件排查时，发现一个名为DTCenSvc.exe的文件异常之高，腾讯安全大数据显示已有超2万台电脑中招。经分析该文件运行后会在用户机器内安装一系列的广告弹窗程序、主页篡改程序。 溯源后发现，该病毒运行过程中的部分文件、域名等基础设置与DT下载器家族恶意传播推广资源一致。软件供应链传播病毒国内时有发生，下载器问题尤显突出。腾讯安全专家提醒用户避免从易受污染的软件下载站下载，高风险下载渠道极易感染挖矿木马、勒索软件、广告弹窗、浏览器主页被锁等问题。 二、解决方案 互联网上充斥各种小众软件分发渠道，这些渠道或良莠不齐，或管理混乱，用户通过这些小众渠道搜索下载软件时，极易感染病毒木马，被捆绑安装不需要的其他软件。 腾讯安全专家建议网民尽可能通过相应软件的官方网站下载软件，或者使用安全软件提供的软件管理功能搜索下载相应软件。腾讯电脑管家及腾讯T-Sec终端安全管理系统已升级查杀DT下载器木马，内置的软件管理功能提供高速下载、自动去除插件安装、自动卸载恶意软件、管理软件的自动开机加载及广告弹出等特色功能。 三、病毒样本分析 DTCenSvc.exe运行后会释放执行yDwpSvc.exe模块，并将其设置为服务启动。yDwpSvc则通过地址hxxp://down.hao3603.com/rcsvccfg10.ini获取配置文件，并拉取配置中的文件执行。 目前配置中保存了两个RUL，分别为： hxxp://down.hao3603.com/qd/MiniSetup.exe链接内的MiniSetup安装包文件，hxxp://down.hao3603.com/qd/ObtainSysInfo.exe链接内的ObtainSysInfo包文件。 MiniSetup.exe包运行后会在系统内安装广告弹窗相关模块，包含一个Mini页弹窗，一个窗口右下角弹窗。但由于两个弹窗均无来源标识说明，部分用户也难以对其进行卸载删除，用户看到此类广告后会感到极度反感。 ObtainSysInfo.exe是一个主页修改相关的包程序，该程序运行后会首先检查环境内是否有安全软件相关进程，如果判断当前运行环境处于安全软件保护中。则不执行后续浏览器主页相关配置等修改逻辑。否则进一步通过从云端两次拉取加密包，解密解压缩后内存中执行DLL恶意代码。进而修改感染病毒机器内的主页，收藏等信息。 ObtainSysInfo.exe运行后会首先避开安全软件进程，安全软件进程字串使用循环异或1-5的方式动态解密后再使用 循环异或1-5后解密出如下安全软件进程 随后通过地址hxxp://down.1230578.com/UpdateProfile.7z拉取加密的包文件 通过在内存中对加密后的UpdateProfile.7z进行解密解压缩后得到名为SetVecfun.dll并执行其导出函数plugin_lock SetVecfun.Dll模块其plugin_lock内代码执行后会进一步再次拉取 hxxp://down.1230578.com/SetFunVec.7z地址内的加密包文件，解密解压后内存调用其内的浏览器修改相关接口函数。 再次Dump后可知该Dll提供了各浏览器的修改接口供调用者使用，主要通过修改注册表信息，修改浏览器配置信息，修改浏览器本地数据库信息等方式。进而达到对各浏览器的主页，收藏，启动快捷方式进行修改。 例如通过修改谷歌浏览器配置文件修改主页信息，通过注册表相关位置修改IE浏览器主页等。部分安全软件监控下的敏感位置在进行篡改操作时同样会通过进程进行环境判断从而达到避开安全软件提示的目的。 被劫持的浏览器主页地址信息会被同时保存在注册表以下位置内。 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\llqm_* 同时还会进一步遍历TaskBar目录文件，来修改浏览器快捷方式，在其快捷方式后添加劫持参数，带到从快速启动栏启动浏览器时进入劫持主页地址 同时进一步修改了浏览器收藏文件夹信息，将大量的电商，算命等广告内容植入浏览器收藏夹内。 例如下入中浏览器主页，收藏信息已被篡改 四、病毒溯源分析 经过溯源分析，我们找到了一个同样会传播病毒相关模块的某款下载器的早期版本，该早期版本下载器同样会释放名为DTPageSet.Exe的模块执行。 比对可知，本次传播的病毒ObtainSysInfo.exe模块同下载器释放的DTPageSet.Exe拥有基本一致的代码内容，且本地病毒使用的hxxp://down.1230578.com/SetFunVec.7z恶意代码投递地址与下载器hxxp://down.1230578.com/DTPageSet.exe域名一致。 该下载器同样存在恶意修改浏览器主页信息，静默推装多款应用的行为，会在用户电脑静默安装病毒文件和推广安装用户不需要的多个软件。 附录 IOCs MD5： aa8c5fffd2de7bd7c39f90a9392d8db0 7348a00072d3d45e6006d7945744d962 fbb1a7653d715b8f56e54917adb2450e b6efb80f8c28a9c95fa3353d534c13d8 b1766aad514d1d84d3ed360c35d88f78 Domain: down.hao3603.com down.1230578.com URL: hxxp://down.hao3603.com/qd/MiniSetup.exe hxxp://down.hao3603.com/qd/ObtainSysInfo.exe hxxp://down.1230578.com/SetFunVec.7z hxxp://down.1230578.com/UpdateProfile.7z hxxp://down.1230578.com/DTPageSet.exe

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/eLnQxa_hXxhNhyquOThW7Q 一、概述 腾讯安全威胁情报中心于2020年05月03日检测到H2Miner木马利用SaltStack远程命令执行漏洞（CVE-2020-11651、CVE-2020-11652）入侵企业主机进行挖矿。通过对木马的核心脚本以及可执行文件的对比分析，我们确认了此次攻击行动属于挖矿木马家族H2Miner。 H2Miner是一个linux下的挖矿僵尸网络，通过hadoop yarn未授权、docker未授权、confluence RCE、thinkphp 5 RCE、Redis未授权等多种手段进行入侵，下载恶意脚本及恶意程序进行挖矿牟利，横向扫描扩大攻击面并维持C&C通信。 腾讯安全威胁情报中心大数据统计结果显示，H2Miner利用SaltStack漏洞的攻击自5月3日开始，目前呈快速增长趋势。H2Miner挖矿木马运行时会尝试卸载服务器的安全软件，清除服务器安装的其他挖矿木马，以独占服务器资源。目前，H2Miner黑产团伙通过控制服务器进行门罗币挖矿已非法获利超370万元。 二、样本分析 Saltstack是基于python开发的一套C/S自动化运维工具。近日，SaltStack被爆存在认证绕过漏洞（CVE-2020-11651）和目录遍历漏洞（CVE-2020-11652），其中： CVE-2020-11651：为认证绕过漏洞，攻击者可构造恶意请求，绕过Salt Master的验证逻辑，调用相关未授权函数功能，达到远程命令执行目的。 CVE-2020-11652：为目录遍历漏洞，攻击者可构造恶意请求，读取服务器上任意文件，获取系统敏感信息信息。 漏洞影响版本 SaltStack < 2019.2.4 SaltStack < 3000.2 安全研究人员在得到企业授权后，对中招机器进行排查，在/var/log/salt/minion日志中发现攻击时的恶意文件下载行为： 该下载行为正是利用SaltStack漏洞攻击成功后执行的远程命令，命令通过curl或wget下载和执行脚本sa.sh（http[:]//217.12.210.192/sa.sh），脚本sa.sh具有以下功能： 1、卸载防御软件阿里云骑士、腾讯云镜。 2、通过端口、文件名、进程名、钱包地址匹配匹配找到竞品挖矿木马，删除对应的进程和文件，杀死正在运行的竞争对手的Docker容器并删除其镜像。 3、检查文件/tmp/salt-store是否存在，md5是否为“8ec3385e20d6d9a88bc95831783beaeb”。 4、salt-store不存在或md5不正确则下载该文件至tmp目录下。 下载得到的salt-store采用Golang编写，被编译为Linux平台可执行程序，主要有以下功能： 下载文件并执行 启动和维持挖矿程序 与C&C服务器通信，接收并执行远程命令 利用masscan对外扫描 针对redis服务进行爆破攻击 salt-store从http[:]//206.189.92.32/tmp/v下载XMRig挖矿木马，保存为/tmp/salt-minions，然后启动连接矿池xmr-eu1.nanopool.org挖矿，配置中使用门罗币钱包为： 46V5WXwS3gXfsgR7fgXeGP4KAXtQTXJfkicBoRSHXwGbhVzj1JXZRJRhbMrvhxvXvgbJuyV3GGWzD6JvVMuQwAXxLZmTWkb 目前该钱包已挖矿获得8236个门罗币，获利折合人民币超过370万元。该黑产团伙的战果显示：入侵控制Linux服务器挖矿已是黑产生财之道，采用Linux服务器的企业万不可掉以轻心。 三、关联家族分析 此次攻击中sa.sh（e600632da9a710bba3c53c1dfdd7bac1）与h2miner使用的 ex.sh（a626c7274f51c55fdff1f398bb10bad5）脚本内容呈现高度相似： 上述标记中sa.sh对比ex.sh唯一缺少的代码是通过crontab定时任务设置持久化。 而sa.sh和ex.sh主要的任务为下载木马salt-store（8ec3385e20d6d9a88bc95831783beaeb）和kinsing（a71ad3167f9402d8c5388910862b16ae），这两个木马都时采样Golang语言编写，并编译为Linux平台可执行程序，两个样本代码结构高度相似、并且完成的功能几乎相同，因此我们认为两者属于同一家族。 四、安全建议 腾讯安全专家建议企业采取以下措施强化服务器安全，检查并清除服务器是否被入侵安装H2Miner挖矿木马。 1.将Salt Master默认监听端口（默认4505 和 4506）设置为禁止对公网开放，或仅对可信对象开放。将SaltStack升级至安全版本以上，升级前建议做好快照备份，设置SaltStack为自动更新，及时获取相应补丁。 2.Redis 非必要情况不要暴露在公网，使用足够强壮的Redis口令。 3.参考以下步骤手动检查并清除H2Miner挖矿木马： kill掉进程中包含salt-minions和salt-store文件的进程，文件hash为a28ded80d7ab5c69d6ccde4602eef861、8ec3385e20d6d9a88bc95831783beaeb； 删除文件/tmp/salt-minions、/tmp/salt-store； 将恶意脚本服务器地址217.12.210.192、206.189.92.32进行封禁； 升级SaltStack到2019.2.4或3000.2，防止病毒再次入侵。 IOCs MD5 e600632da9a710bba3c53c1dfdd7bac1 a28ded80d7ab5c69d6ccde4602eef861 8ec3385e20d6d9a88bc95831783beaeb a626c7274f51c55fdff1f398bb10bad5 a71ad3167f9402d8c5388910862b16ae IP 217.12.210.192 206.189.92.32 144.217.117.146 URL hxxps[:]//bitbucket.org/samk12dd/git/raw/master/salt-store hxxp[:]//217.12.210.192/salt-store hxxp[:]//217.12.210.192/sa.sh hxxp[:]//206.189.92.32/tmp/v hxxp[:]//206.189.92.32/tmp/salt-store hxxp[:]//144.217.117.146/ex.sh hxxp[:]//144.217.117.146/kinsing2 参考链接 通告：针对SaltStack远程命令执行漏洞（CVE-2020-11651、CVE-2020-11652）植入挖矿木马的应急响应 https://mp.weixin.qq.com/s/CtZbXD0CXCemWyAwWhiv2A https://developer.aliyun.com/article/741844

Kenna Security 发布了一份新的报告，其中对 Microsoft、Linux 和 Mac 资产的风险状况进行了研究。Cyentia 研究所撰写了《 Prioritization to Prediction: Volume 5: In Search of Assets at Risk》报告，该报告基于 Kenna Security 来自 450 个组织的 900 万资产的数据。 报告指出，微软资产的 70％ 至少具有一个高风险漏洞。在整个研究期间，研究人员共发现了 Microsoft 资产中的 2.15 亿个漏洞，其中已完成修复的漏洞有 1.79 亿个，占比 83％。根据 Kenna Security 的说法，其余未修补的 3600 万个漏洞要高于 Max、Linux 和 Unix 资产的总和。 微软还拥有最高的封闭式高风险漏洞百分比，为 83％。紧随其后的是 Apple OSX，其次是 Linux/unix 和网络设备/IoT 设备。此外，40％ 的 Linux 和 Unix 资产以及 30％ 的网络设备具有已知漏洞。 不过，Kenna Security 也指出，较少的漏洞不一定表示设备更安全。在一个单个高风险漏洞可能造成灾难性后果的世界中，有效的补丁程序优先级和速度是安全性的关键，而与设备或软件类型无关。 尽管 Microsoft 具有比其他漏洞更多的漏洞，但这不一定表示其存在总风险，因为 Microsoft 还可以更快地修复漏洞。该报告发现，基于 Windows 的资产每月平均有 119 个漏洞，并且平均每 36 天修补一次这些漏洞。与此相比，网络设备每月平均只有 3.6 个漏洞，但这些漏洞则大约需要一年的时间才能完成修补。 苹果的补丁率位列第二高，为 79％。Linux、Unix 和其他网络设备的补丁率则为 66％。 Cyentia Institute 的合伙人兼创始人 Wade Baker 表示：“通过自动修补和’Patch Tuesdays’，Microsoft 能够解决其系统上的关键漏洞的速度非常出色，但其仍然存在很多漏洞。 “另一方面，我们看到许多资产，例如 routers 和 printers，它们的高风险漏洞具有更长的保质期。公司需要围绕这些权衡因素调整其风险承受能力，策略和漏洞管理功能。” 报告地址： https://www.kennasecurity.com/resources/prioritization-to-prediction-report-volume-five   （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/MchLCxba26Z0KMZthv-uLA 一、概述 腾讯安全威胁情报中心检测发现，UU页游助手通过其软件升级通道，传播独狼Rootkit病毒。独狼Rootkit家族是一个长期依赖第三方Ghost镜像传播的恶性锁主页后门病毒。本次由于通过借助UU页游助手推广渠道流氓传播，使得独狼Rootkit病毒在短时间内感染量激增，受害网民已过万，分布在全国各地。中毒电脑会出现莫名其妙安装不请自来的软件、频繁弹出广告、浏览器主页被锁定等现象。 二、病毒分析 UU页游助手安装完毕后，会在安装目录内安装名为PopTip.exe的模块，该模块负责与hxxp://update.uuyyzs.com/query_action.php页面通信。 PopTip.exe模块负责拉取弹窗广告信息、托盘广告信息、升级信息等，例如下图中从云端拉取的Mini页信息。 由于广告窗口没有显示厂商标识，没有广告来源信息，该软件在系统托盘区闪动消息提示，点击后会自动创建桌面页游图标，这些行为令用户十分反感。而PopTip.exe模块提供的升级功能，较多使用了流氓手段恶意推广安装，其中甚至包含病毒木马文件。 PopTip.exe模块通过“虚假更新提示”的弹出框恶意推装用户不需要的软件：该窗口右上角的关闭按钮，无论如何点击均无法关闭，该弹出框强迫用户点击升级完成按钮。该窗口还默认勾选两个文字描述模糊，颜色极浅的可选项。放大图片发现分别为亿迅图片转换器和数据优化。用户点击完成，UU游戏助手则进行全程静默安装行为。 当前版本的poptip.exe模块通过以下两个地址，拉取推装程序到Roaming目录静默安装执行： hxxp://www.fikuu.com/app/YXConvert_105301.exe（亿迅图片转换器） Hxxp://www.jia7788.top:7788/new/a109.exe（数据优化服务：实际为病毒文件） a109.exe模块会判断当前系统内是否包含安全软件的进程，当进程存在则向其窗口发送WM_QUIT尝试退出相关进程，同时该模块通过拉起系统svchost.exe作为傀儡进程执行恶意代码，释放随机名的驱动程序。或下载执行xww999.exe执行释放随机名驱动程序，将独狼Rootkit模块植入到系统内。 独狼Rootkit病毒，该病毒的特点之一是通过创建Minifilter文件过滤系统，用户使用系统文件管理器就会发现Drivers目录不可见，同时将所有访问病毒驱动随机名母体文件的请求重定向到系统acpi.sys文件。意思是，当你试图查看那些莫名其妙进来的随机文件名驱动文件时，你看到的实际是acpi.sys。 独狼Rootkit模块最终通过插APC的方式向浏览器进程注入恶意代码达到主页劫持、后门代码驻留等恶意行为。 独狼rootkit病毒会向浏览器进程注入恶意代码，实现劫持浏览器启动命令行，达到主页劫持的目的。 分析发现，当前主页配置信息暂未下发，病毒暂未执行锁定用户浏览器主页的能力。推测当前病毒处于投递扩散期，保留了部分恶意行为暂不执行，当其感染量到达一定程度时，再随时下发劫持指令，实现浏览器劫持功能。 独狼Rootkit病毒可劫持数十款主流浏览器软件，包括IE、Chrome及其他国内用户常见的浏览器等等： 以插apc的方式向浏览器注入恶意代码： 我们通过对该病毒以往版本的分析，知道该病毒可以简单修改或升级配置，实现对浏览器主页的锁定功能，通常会将浏览器主页劫持到带推广id的2345广告站点。 当前病毒配置 简单构造病毒劫持配置文件desktop.ini 打开浏览器主页发现主页已被劫持到指定地址： 三、解决方案及安全建议 网上各种小众工具软件分发渠道良莠不齐，不少软件下载站暗藏玄机，很容易下载安装不需要的软件，甚至部分软件下载站还会推广危害严重的勒索软件。腾讯安全专家建议用户尽可能从相应软件的官方网站下载软件，或者通过腾讯电脑管家的软件管理功能下载需要的软件，启用腾讯电脑管家的权限雷达，帮助过滤软件包中存在的静默安装、恶意弹窗，管理开机自动运行等有损用户体验的情况发生。 腾讯电脑管家查杀UU页游助手 管家急救箱清理独狼Rootkit木马 IOCs MD5： 717d43d175430844467993ac4834396f 21a9876550dcebe12df9ec1011a01035 75f39f61ecc20a088766eb319d1ec9e2 7652ad8e2c69bef67c786eff3e9e3ef3 51991e47adb0b9160f077a0fc722f115 238b0180e66d16309efe50143b46560d 94f31a6d0d3243811705e0c9796cf060 8ec5ee614f76d0c547e2b76a52e8dae2 1374c22e5c861813c82bf6a1c8c159f9 Domain: www.jia7788.top update.uuyyzs.com URL hxxp://update.uuyyzs.com/query_action.php（UU页游助手云控地址） Hxxp://www.jia7788.top:7788/new/a109.exe（独狼病毒母体投递地址）

谷歌的安全团队近日发现存在于Windows 10 May 2019（Version 1903）功能更新中的某个BUG，能够破坏所有基于Chromium浏览器的沙盒。想要利用这个漏洞发起攻击比较复杂，主要是更改操作系统代码中与安全令牌分配有关的代码。将“NewToken->ParentTokenId = OldToken->TokenId”更改为了“NewToken->ParentTokenId = OldToken->ParentTokenId;”。 在今天微软发布的安全公告(CVE-2020-0981 | Windows令牌安全特性绕过漏洞)对其进行了最简洁的解释： 当Windows无法正确处理令牌关系时，存在安全功能绕过漏洞。成功利用该漏洞的攻击者可以让具有一定完整性级别的应用程序在不同的完整性级别执行代码，从而导致沙盒逃脱。 谷歌的Project Zero安全团队发现了这个漏洞，如果被黑客利用能够绕过Chromium沙盒，运行任意代码。幸运的是，在本月补丁星期二活动日发布的累积更新（KB4549951）中，已经修复了这个漏洞。   （稿源：cnBeta，封面源自网络。）