感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/l9FMQq6i1nNopeVrF7X9Sw   一、背景 腾讯安全御见威胁情报中心检测到利用钓鱼邮件传播NetWire RAT变种木马的攻击活跃。攻击者将“订单询价”为主题的邮件发送至受害者邮箱，在附件中提供精心构造的利用Office漏洞（CVE-2017-8570）攻击的文档，存在漏洞的电脑上打开文档，会立刻触发漏洞下载NetWire RAT木马，中毒电脑即被远程控制，最终导致商业机密被盗。 NetWire是一种活跃多年的，公开的远程访问木马（RAT），该木马至少从2012年开始就被犯罪分子和APT组织使用。此次攻击中使用的NetWire变种采用MS Visual Basic编译，并且通过添加大量无关指令隐藏恶意代码。为了对抗分析，NetWire还会以调试模式启动自身为子进程并提取恶意代码注入。 NetWire RAT木马安装到受害系统后，会添加自身到系统启动项，搜集系统信息上传至服务器，然后接受控制端指令完成下载执行、搜集系统信息、搜集登录密码、记录键盘输入以及模拟鼠标键盘操作等行为。攻击者利用的Office漏洞（CVE-2017-8570）影响Office 2007至2016之间的多个版本。 NetWire攻击流程 二、详细分析 以咨询商品报价订单为主题的钓鱼邮件。 邮件附件是一个RTF文档RFQ# 19341005D.doc(默认用Word关联打开)，其内容被写入了人物“John Smith”的维基百科查询返回结果。而该文档实际上包含黑客精心构造的CVE-2017-8570漏洞利用代码，该漏洞影响Office2007-Office2016之间的多个版本。存在漏洞的系统上使用Office程序打开攻击文档会触发漏洞攻击，微软已在2017年7月发布该漏洞的安全更新。 打开RTF文档后，会自动释放文档中被插入的Package对象到%temp%目录，Package对象实际上是一个恶意Scriptletfile（.sct）脚本文件。 CVE-2017-8570漏洞触发成功后会直接加载文档释放到%temp%目录下的trbatehtqevyaw.ScT脚本执行，Scriptletfile启动Powershell命令下载 http[:]//www.komstrup.com/pure/zomstag.png或http[:]//www.komstrup.com/pure/zomdost.png，保存为%Temp%\zomstag.exe或%Temp%\zomdost.exe。 zomstag.exe(zomdost.exe)是公开的远程控制木马NetWire的变种，该木马至少从2012年开始就被犯罪分子和APT组织使用，是一款商业木马。 该NetWire变种是使用MS Visual Basic编译的，并且使用了多种反分析技术来对抗分析。 添加大量无关指令隐藏恶意代码。 动态地将恶意代码提取到内存中，然后跳转到目标位置执行。 NetWire添加自身到注册表的自动运行组 <HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows之中，使得当受感染的系统启动时可以自动运行。 并且创建注册表<HKCU>\SOFTWARE\NetWire、<HKCU>\SOFTWARE\NetWire\HostId、 <HKCU>\SOFTWARE\NetWire\Install Date，在其中记录受害机器ID和木马安装时间。 NetWire将自己重新启动为子进程时，使用指定的DEBUG_ONLY_THIS_PROCESS标志进行重新启动，这使得父进程充当子进程的调试器，导致其他调试器无法附加到子进程，从而阻止分析员分析恶意代码细节。然后修改子进程其内存和线程的上下文数据，在线程上下文中修改OEP值，提取NetWire的真实恶意代码并覆盖子进程中的现有代码，接着在子进程中执行该代码。 NetWire创建了一个日志文件夹，用于存储从受害者系统收集的信息的日志文件，日志文件夹位于”%AppData%\Updater”。它将记录受害者的所有键盘操作、时间以及受害者所键入内容，记录的数据被编码后保存到日志文件中。 NetWire与C&C地址45.89.175.161:3501通信，搜集计算机基本信息，包括当前登录的用户名，计算机名称，Windows版本信息，当前活动的应用程序标题，计算机的当前时间，计算机的IP地址等信息发送至控制服务器，然后等待服务器返回的指令，进行以下操作： 1、获取受害者持续处于非活动状态的时间。 2、执行下载的可执行文件，或执行现有的本地文件。 3、执行以下操作：退出NetWire进程，关闭C&C服务器的套接字，从系统注册表中的Home键读取值，重置或删除指定的注册表键，删除NetWire可执行文件并重新定位其可执行文件。 4、收集受害者系统的分区和硬盘驱动器信息，获取指定文件夹中的文件信息，通过指定的文件类型获取文件信息，创建指定的目录和文件，将内容写入指定的文件，删除、重定位特定文件，以及其他与文件相关的操作。 5、窃取并收集通过不同软件存储在受害者系统中的凭证。 重点针对以下软件：360Chrome、Opera、Mozilla Firefox、Mozilla SeaMonkey、Google Chrome、Comodo Dragon浏览器、YandexBrowser、Brave-Browser、Mozilla Thunderbird、Microsoft Outlook和Pidgin。 除此之外，还会从历史记录文件夹中读取受害者的浏览器历史记录。 6、操作该文件夹中的日志文件（%AppData%\Updater）包括枚举日志文件、获取指定的日志文件属性、读取和删除指定的日志文件。 7、获取在受害者设备上创建的窗口句柄。 8、收集受害者的计算机基本信息。 9、控制受害者的输入设备，可模拟键盘和鼠标操作。 NetWire RAT控制端界面 三、安全建议 1、及时修复Office漏洞CVE-2017-8570，参考微软官方公告： https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8570 2、建议不要打开不明来源的邮件附件，对于邮件附件中的文件要谨慎运行，如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描； 3、建议升级Office系列软件到最新版本，对陌生文件中的宏代码坚决不启用；版本过低的Office、Adobe Acrobat、Flash等组件的漏洞一直是黑灰产业重点攻击目标。 4、推荐企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击，个人用户启用腾讯电脑管家的安全防护功能； 5、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 45.89.175.161 MD5 13613f57db038c20907417c1d4b32d41 750de24fff5cead08836fe36ba921351 ca1e938142b91ca2e8127f0d07958913 fe24be93ce873d53338ccaa870a18684 URL http[:]//www.komstrup.com/pure/zomdost.png http[:]//www.komstrup.com/pure/zomstag.png http[:]//www.komstrup.com/pure/zomebu.png 参考链接： https://www.fortinet.com/blog/threat-research/new-netwire-rat-variant-spread-by-phishing.html

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/PRvcgISEyjek0xh1MW50Qw   一、概述 腾讯安全御见威胁情报中心接受到用户求助，称其公司内服务器文件被全盘加密，被加密文件全部修改为.geer类型。经远程协助查看，攻击者疑似通过RDP弱口令登录成功后投毒，再将系统日志全部清除，并尝试在其机器上部署一系列扫描、对抗工具、密码抓取工具达数十个之多，攻击者利用这些工具，对内网其它机器实施攻击，以扩大勒索病毒对该企业网络的破坏数量，勒索更多不义之财。由于该病毒使用RSA+salsa20加密文件，暂无有效的解密工具，我们提醒各政企机构高度警惕，尽快消除危险因素，强化内网安全。 二、分析 该勒索病毒编写极为简洁，仅使用22个函数来完成加密过程。病毒涉及到的部分敏感操作均使用NT函数，希望借此躲过一些3环的调试下断和部分软件的Hook流程。同时，该病毒加密文件并不做类型区分、地域区分、会尝试加密全盘所有可访问到的文件，整个勒索加密模块更像是为了此次攻击，紧急编写制作而成。 病毒使用RSA+salsa20的方式对文件进行加密，RSA公钥硬编码Base64编码后存放，全局生成的salsa20密钥将被该公钥加密后作为用户ID使用，对每个文件生成salsa20密钥后使用全局密钥加密存放于文件末尾，被加密文件暂时无法解密。 如下图中，文件被加密后添加geer扩展后缀，同时留下名为READ_ME.txt勒索信，要求用户联系指定邮箱geerban@email.tg购买解密工具。 查看用户侧染毒环境可知，攻击者并不满足于只攻陷这一条服务器，还企图在内网中攻击其它机器。根据被加密的残留痕迹信息可知，攻击者在目标机器部署了大量对抗工具，主要有进程对抗工具(processhacker，Pchunter等)，内网扫描工具（NS），系统日志清理工具(Loggy cleaner.exe)，同时还有大量的本地密码抓取工具（包括mimikztz本地口令抓取，各类浏览器密码抓取，邮箱密码抓取，RDP，VNC登录口令抓取等工具）。 被攻击环境中存在大量残留的密码抓取工具，此时攻击者会尝试利用扫描工具进一步探测内网其它开放风险服务的机器，一旦该部分机器使用了与本机相同被窃取的弱密码，则也会同时成为攻击者加密目标。 联系攻击者可知，其索要0.37比特币的解密赎金，市值约1.7万人民币。 三、安全建议 企业用户： 尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。 尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。 采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。 对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 对重要文件和数据（数据库等数据）进行定期非本地备份。 教育终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码。 在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 建议全网安装御点终端安全管理系统（https://s.tencent.com/product/yd/index.html）。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户： 启用腾讯电脑管家，勿随意打开陌生邮件，关闭Office执行宏代码 打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。 IOCs MD5: b27e50375a815f59a8a8b33fd5d04367

如今，勒索软件攻击变得越来越普遍，但与此同时，同意支付解密密钥费用的受害者人数也在增加。简而言之，勒索软件攻击是加密存储在受感染设备上的文件，并随后锁定系统。要求受害者为解密密钥支付赎金，从技术上讲，这将使他们能够重新获得对设备和文件的访问权限。 虽然无法保证黑客实际上会提供解密密钥，但越来越多的公司同意在设备受到威胁后向网络罪犯付款。最近几天有两个这样的案件。首先，黑客设法闯入新泽西州最大的医院 Hackensack Meridian Health 网络并锁定所有电子设备后，医院已经付钱给黑客以重新获得对系统的控制权。此外，加拿大公司 LifeLabs 同意支付赎金，以换取 1500 万客户的数据。 对此，微软在一篇文章当中表示，微软绝不鼓励勒索软件受害者支付任何形式的勒索要求。支付赎金通常是昂贵，危险的，并且只会加重攻击者继续作战的能力。最重要的是，向网络犯罪分子付费以获得勒索软件解密密钥，并不能保证您的加密数据将被还原。 文章接着详细介绍了公司在勒索软件攻击时的准备方法，重点放在关键系统和文件的备份上。恢复到已知良好状态的能力，是应对任何信息安全事中最关键的策略，尤其是对付勒索软件方面。保持安全的其他方法包括电子邮件过滤，系统补丁和漏洞管理，防病毒保护以及应用程序白名单等等。   （稿源：cnBeta，封面源自网络。）

Mozilla宣布与NextDNS合作，以帮助提高其用户的隐私和安全性。 NextDNS跟随Cloudflare，成为Firefox的Trusted Recursive Resolver（TRR）计划的成员，该计划旨在增强DNS安全性和隐私性。 域名系统（DNS）会根据您键入的URL来确定将浏览器定向到哪个IP。这种旧技术有一些缺点，例如DNS提供商知道您正在浏览的内容以及中间人可能拦截该IP地址，然后请求并将您的浏览器指向其他位置，许多基于DNS的家长控制功能使用此技术来阻止对相关网站的访问。 作为TRR的一部分，NextDNS必须遵守Mozilla制定的一些规则，包括数据将仅用于操作服务，并且必须在24小时后删除。TRR还声明，不能将数据出售、共享或授权给其他方，以确保用户隐私。DNS反对者对HTTPS（DoH）提出的一个担忧是，它干扰了家长的控制。根据TRR规则，Mozilla要求合作伙伴应该允许用户选择过滤，这样父母就可以在孩子的设备上设置家长控制。 Mozilla表示，它希望吸引更多合作伙伴加入TRR计划，以将DNS系统提升到21世纪的水平，并提供用户期望的隐私和安全保护。   （稿源：cnBeta，封面源自网络。）

谷歌于今日发布了面向 Android 用户的 79.0.3945.93 版 Chrome 浏览器更新，修复了困扰用户的若干问题。本周早些时候，许多安装了 Chrome 79 的 Android 用户，汇报其遇到了包括数据丢失在内的一些奇怪问题。谷歌在调查后发现，问题或与 WebView 组件中存在的一个 bug 有关。 （来自：Google Play，via Softpedia） 鉴于该组件被许多 Android 应用程序所使用，难免引发人们的忧虑。不过谷歌澄清道：数据并没有丢失、而是被隐藏，在将 Chrome 升级到最新版本后，即可重新见到。 发行说明中写到 — 修复了 WebView 中的一个问题，或导致某些用户的应用程序数据在这些 App 中不可见。 不过 App 数据实际上并非丢失，且能够在更新后重新显示，详情请参阅 crbug.com/1033655 。 除了修复 bug，面向 Android 的 Chrome 79 还引入了一项新的安全特性 —— 通过在尝试登录网站时，警告用户以前是否因数据泄露而暴露过密码，而带来增强的安全体验。 此外，Android 版 Chrome 79 还支持 WebVR，以及通过书签拖动、或点击书签的选项卡菜单并选择‘向上 / 向下移动’，对其展开重新排序等。 如您此前不幸遭遇数据丢失的问题，还请尽快通过 Play 商店下载 Android 版 Chrome 79 更新。最后，该公司今日同步推出了面向 Windows、Mac、Linux 平台的 Chrome 79.0.3945.88 。   （稿源：cnBeta，封面源自网络。）

根据 Malwarebytes 发布的 2019 威胁检测报告，今年针对 Mac 平台的威胁有上升的趋势。在排名前 25 的威胁检测中，有六种针对 Mac 平台，占总量的 16% 。尽管看似并不严重，但鉴于 Mac 用户基数只占 PC 用户群体的 1 / 12，这项发现还是不由地让我们提高了警惕。 Mac 广告软件（图自：Malwarebytes，via MacRumors） 回顾 2019 年，Mac 恶意软件首次闯入了前五，并在其中占据了两席（位列第二和第五）。 首先是被称作 NewTab 的 Mac 广告软件，其占据了跨平台检测总数的 4% 。 作为一款基于浏览器扩展程序来修改网页内容的 Adware，其可在 Chrome 浏览器中找到。 因苹果修改了扩展程序的政策，因此其无法再安装到 Safari 浏览器中。 其次是占总检测量 3% 的 PUP.PCVARK： PUP 指代‘可能不需要的程序’，是用户无意间安装的 Mac 程序的集合。 （Windows / Mac 双平台单机检测量对比） Malwarebytes 指出：2019 年，每台 Mac 检测了 9.8 次，而 Windows PC 仅为 4.2 次。 问题在于，长期以来，许多 Mac 用户以为自己并不需要防病毒软件。若悲观猜测，这些 Mac 可能已经受到了某种可疑的感染。 当然，数据仅采集自已经安装了 Malwarebytes 的设备。在现实生活中，所有 Mac 的总体威胁检测率，可能不如样本数据中那样高。   （稿源：cnBeta，封面源自网络。）

据外媒报道，当地时间周五，美国新奥尔良市官员试图遏制针对其网络的网络攻击。据悉，该攻击导致电脑离线、办公室关闭、市政府网站关闭。不过该市目前还没有发现任何密码被破解或数据在攻击中丢失的迹象，但大量涌入的电子邮件意味着该市的系统暂时关闭。 到下午晚些时候，该市还没有发现任何密码被破解或数据在攻击中丢失的迹象，不过大量涌入的可疑电子邮件意味着该市的系统将要暂时处于离线状态。 目前还不清楚该城市系统将要离线多长时间。路易斯安那州警方、国民警卫队、FBI 和特勤局的专家都加入了调查工作中。与此同时，官员们表示，重要的公共安全服务仍会继续运行，市政厅办公室将依靠纸笔继续开展业务。 对于此次攻击的确切性质和范围还不清楚，但似乎是在当地时间12月14日上午5点左右开始。当时，市政府官员首次注意到他们的网络上存在可疑活动。8点左右，员工上班时接到可疑活动的报告。随后，官员们决定上午11点以后关闭政府系统。   （稿源：cnBeta，封面源自网络。）

Npm 团队近日发布了安全警报，建议所有用户更新到最新版本（6.13.4），以防止“二进制植入”（binary planting）攻击。Npm 开发人员表示，npm 命令行界面（CLI）客户端受到了安全漏洞的影响，同时包括文件遍历和任意文件（覆盖）写入问题。攻击者可以利用该错误来植入恶意二进制文件或覆盖用户计算机上的文件。 仅在通过 npm CLI 安装受感染的的 npm 软件包期间，才能利用此漏洞。 目前，Npm 团队一直在扫描可能包含旨在利用此 bug 的恶意软件包，暂未发现任何可疑案例。他们认为这并不能保证该 bug 已经被使用过，还是得提高警惕。该团队表示将继续进行监视， “但是，我们不能扫描所有可能的 npm 软件包来源（私有注册表、镜像、git 仓库等），因此尽快更新非常重要。” 相比较之下，该问题对 npm 用户的影响比对 yarn 的影响更大。 因为 npm 不仅是最大的 JavaScript 软件包管理应用，而且还是所有编程语言的最大软件包存储库，拥有超过 350,000 个库。从浏览器到金融应用程序，从台式机到服务器，JavaScript 如今无处不在。因为 npm 在 JavaScript 生态系统中具有如此重要的作用，所以它经常被滥用。 黑客的最终目标是在使用受感染的 npm 软件包构建的应用程序内部发起攻击或植入后门程序，这些应用程序以后可用于从它的用户那里窃取数据。过去有很多这样的案例。曾在 2017 年 8 月，npm 团队删除了 38 个 JavaScript npm 程序包，这些程序包是从其他项目中窃取环境变量而捕获的，旨在收集项目敏感信息，例如密码或 API 密钥。 最新的这个漏洞最初是由德国安全研究员 Daniel Ruf 发现的，他的博客上有更深入的技术报告。最后，再次提醒用户们升级到最新版本，以免遭受攻击。   （稿源：开源中国，封面源自网络。）

微软专家指出：GALLIUM黑客组织利用未修补的漏洞运行/JBoss应用服务器系统。 “目前微软威胁情报中心（MSTIC）在对GALLIUM黑客组织行为逐步了解中发现，其目标是电信供应商，为了破坏其目标网络，GALLIUM利用WildFly/JBoss中的公开漏洞对未修复的网络服务进行攻击。” GALLIUM 的行为表现活跃，尤其是2018年至2019年间格外明显。而攻击者一旦破坏了目标网络，他们将会使用常见的科技手段如Mimikatz来窃取可用的凭证。 专家指出，目前GALLIUM 正在使用一些版本常见的软件以及公开化的一些工具，这工具只需稍作改动，就可以逃避检测。运营商利用低成本和易于替换的基础设施，使用动态DNS域和定期重用的跃点。 MSTIC分析指出：使用动态DNS提供商而不是符合条件的注册域名，GALLIUM的低成本、低投入成为运营趋势。 在中国大陆、中国香港和中国台湾的基础设施中，且已观察到GALLIUM基础设施建设。 威胁行为很大程度上依赖于网络shell，通过此shell获得持久网络稳定，然后进行恶意软件传输。在这个阶段中，恶意软件的有效负载将会被舍弃，且不会通过稳定网络进行程序安装。 除了标准的 China Chopper外，该公司还为微软IIS服务器运行使用了一个名为blackmold的原生web shell。Blackmold能够找到出本地驱动器，并进行基本的文件操作如查找、读取、写入、删除和复制，设置文件属性，渗透文件，并使用参数运行cmd.exe。 该黑客组织还会提供个性化的Gh0st RAT和Poison Ivy服务版本，这两个版本都会修改软件使用通信方法。黑客还将QuarkBandit作为第二级恶意软件，专家称该软件具有修改配置选项和加密的Gh0st RAT变体。日前，研究人员还通过观察发现 GALLIUM使用VPN来进行网络持久的访问。 针对此问题，微软在报告中还公布了一份IOC指标列表。   消息来源：SecurityAffairs， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

作为“技术星期二”的一部分，美国联邦调查局（FBI）刚刚向大家发出了一条建议 —— 在连接公共 Wi-Fi 网络的时候，请慎重决定是否网购。历史数据表明，每年的假日期间，针对这类人群的欺诈事件都有高发态势。同时，FBI 建议大家始终保持联网设备已处于最新状态，无论是计算机还是智能手机。 设备制造商和操作系统开发团队会定期发布软件更新，以修复新老漏洞。只要做到这一点，就能够将绝大多数野外漏洞利用挡在门外。 然而随着人们对移动生活的日渐依赖，公共 Wi-Fi 也开始被越来越多的不法分子给盯上。所以在连接公共 Wi-Fi 网络的时候，还请注意谨慎暴露任何私密信息。 如果不得已使用公共 Wi-Fi 网络，需提防被黑客嗅探网络流量、甚至拦截在线支付所需的敏感信息。作为加强，FBI 建议网民为在线账户设置更加复杂的密码。 在选择商家的时候，也尽量选择那些长期坚持良好信誉的卖家，并尽可能使用信用卡（而不是借记卡）来支付，以获得额外的保护。购买虚拟物品（数字礼物）的时候，也最好挑选那些经过大平台认证的卖家。 当然，定期更换难以破解的密码，也是保护账号的一个优先事项。如果常用的软件或服务太多，亦可挑选一款靠谱的密码管理器来保护数据和提供跨设备同步服务。 最后，FBI 告诫大家务必定期认真仔细地查看银行账单，以及时上报并撤回未经授权的交易。 （稿源：cnBeta，封面源自网络。）