之前我们说到：网络犯罪分子通常会将攻击点与热点相联系。近期，我们就发现有犯罪分子使用伦敦技术事件做诱饵来进行网络攻击。 2020年2月-5月，我们观察到在基于.space和.xyz域的新注册站点上托管了四个基于恶意宏的Microsoft Word文档。由于几个文档的最终有效负载的部署策略、技术和过程（TTP）十分类似，我们认为这是同一个攻击者的行为。 据了解，.NET有效负载的最终版以往从未被检测到过，它的代码段很小，而且与QuasarRAT相重叠，但此代码段在运行时并未使用。根据最终有效负载中的唯一字符串我们为把该RAT命名为ShellReset。由于被检测到的数量有限，我们认为这可能是是一种小范围的攻击活动，而攻击者在这个攻击过程中使用的主题也和今年在伦敦发生的热点事件有关，其中还包括5G Expo 和Futurebuild。 其中的感染链涉及一些有趣的技术，如在运行时使用受信任的Windows实用程序在终端上编译有效负载以绕过安全机制，还会从攻击者的服务器下载混淆后的源代码。本文我将对分发策略和攻击的技术进行详细分析。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1228/     消息来源：zscaler， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

我们在日常的网络监测中，对许多伪装的电子邮件进行了拦截。这些邮件利用正在发生的冠状病毒有关的FMLA（《家庭医疗休假法》）要求，使用Himera和Absent-Loader这两种网络犯罪工具对数据进行了处理。 加载程序是一种恶意代码，用于将其他恶意软件代码加载到受害者的计算机中并对数据进行窃取。攻击者们会把被盗取的信息进行售卖，来获得相应的报酬。 此恶意活动中的样本首先使用Word文档（该文档指的是可执行文件），然后再删除另一个可执行文件并进行重命名，借此来逃避检测。     … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1226/     消息来源：yoroi， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

ESET研究人员近期发现了由Turla组织ComRAT经营的恶意软件的更新版本。Turla，也被称为Snake，是一个臭名昭著的间谍组织，已经活跃了十多年，之前也介绍过许多该组织的活动。 ComRAT，也称为Agent.BTZ，是一种用于远程访问特洛伊木马（RAT），该木马在2008年因违反美国军方使用规则声名狼藉。该恶意软件的第一版（约在2007年发布）通过传播可移动驱动器来展现蠕虫功能。从2007年到2012年，已经发布了RAT的两个主要版本。有趣的是，它们都使用了著名的Turla XOR密钥： 1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s 2017年，Turla开发人员对ComRAT进行了一些更改，但这些变体仍然是从相同的代码库中派生出来的，相关研究报告请见https://www.welivesecurity.com/wp-content/uploads/2020/05/ESET_Turla_ComRAT.pdf。此外还发布了不同的ComRAT版本。这个新版本使用了全新的代码库，相比之前的版本会复杂很多。以下是该恶意软件的几个特征： ComRAT v4于2017年首次亮相，直到2020年1月仍在使用。 其至少确定了三个攻击目标：两个外交部和一个国民议会。 ComRAT用于窃取敏感文档，运营商使用OneDrive和4shared等云服务来窃取数据。 ComRAT是用C ++开发的复杂后门程序。 ComRAT使用FAT16格式化的虚拟FAT16文件系统。 其使用现有的访问方法（例如PowerStalli on PowerShell后门）部署ComRAT。 ComRAT具有两个命令和控制通道： 1.HTTP：它使用与ComRAT v3完全相同的协议； 2.电子邮件：它使用Gmail网络界面接收命令并窃取数据。 ComRAT可以在受到感染的计算机上执行如泄露其他程序或文件的操作。   …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1222/     消息来源：welivesecurity， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/LeK6QYHwd3k3UlyAuSkcZA   一、导语 恶意域名的挖掘检测一直是威胁情报生产的核心内容。在庞大的互联网体量下，以域名为节点的访问、下载、解析等关系够成了一张无比庞大的“图”，黑客的每一次访问、请求或下载，都构成了其中具有独特结构的可疑子图，由此出发，图关系天然适用于挖掘恶意域名。本文主要讲解了图嵌入（GraphEmbedding）相关技术在腾讯安全威胁情报生产中的运用。 二、应用背景 一般的恶意域名检测（Malicious Domains Detection）[1]任务是基于特征工程和机器学习来进行恶意域名的判定，但从网络图谱的角度上来看，域名是整个图中的一个节点，它在网络图谱中，与不同的节点，如IP、md5等有不同的相邻关系，如访问、下载、解析等。如下图是腾讯安图对域名节点的网络关系展示。 对于恶意域名而言，基于其网络图谱关系，能够有效获取实锤线索。而图嵌入技术让网络关系能够进行有效的数值化表达。 三、相关技术 图嵌入往往作为一些图神经网络（GraphNeural Networks，GNN[2]）的输入特征，与词嵌入[3]类似，图嵌入基本理念是基于（非）相邻节点关系，将目的节点映射为稠密向量，这样就将图谱上的多边关系和实物节点进行了数值化，以便在下游任务中进行运用[4]。 在获取相应图嵌入后，围绕图嵌入的下游任务主要有四类：节点分类、链路预测、聚类分析和可视化分析。节点分类指对节点的类型进行分类，如判定域名节点是否为恶意；链路预测是为了判定两个节点之间是否有边相连；聚类分析是在无监督学习场景下的节点簇分析；可视化分析通常会对节点进行降维并可视化。 此外，需要注意的是，网络有同构（homogeneous networks）与异构（heterogeneous networks）之分，如用户作为节点构成的社交网络是同构网络，而如网络图谱这样，节点包括域名、IP等多种类型的是异构网络[5]。 基于同构网络进行图嵌入的代表是node2vec[6]。它的嵌入过程主要分两步：二阶随机游走（2ndorder random walk）获得节点序列和基于Skip-gram[3]训练节点嵌入。在二阶随机游走中，算法通过p、q两个超参数来控制游走到不同类型图节点的概率，如下图： 是未归一化概率，其取值由超参数p、q确定，其中代表了出发节点v的下一步节点x跟上一个节点t的三种相邻关系：相邻、不相邻和自身，如下图： 不同的p、q值，实现了对图节点两种相似性的偏好控制：同构性（homophily）和结构对等性（structural equivalence）。通过p、q的值，控制Breadth-first Sampling和Depth-first Sampling，进而将同构性和结构对等性采样到节点序列中。 此后，使用skip-gram对游走的序列结果进行训练，得到关于每个节点的稠密向量。 四、基于图嵌入的恶意域名挖掘 4.1 基于图嵌入的域名情报挖掘架构 腾讯安全威胁情报中心基于海量安全大数据，在知识图谱、图计算等方面有深入的研究。在图神经网络的应用方面，实现了基于多种类型图结构的域名节点的嵌入与判定。 下图是目前在域名情报图嵌入构建的主要架构。首先根据域名与其他实体的关联关系，构建域名的同构关系图，然后基于图嵌入技术训练域名的图嵌入表示，最后根据具体的需求，结合其他维度的数据，实现相应任务。 下面对其中基于样本下载关系的同构域名图嵌入实现进行详述。 4.2 基于样本下载关系的同构域名图嵌入实现 域名图嵌入的其中一部分是从md5与域名的下载关系出发，来构建同构域名图，如下图。其主要构建过程包括： 抽取种子域名 黑白样本md5采样 获取下载边关系 关联域名 构建域名带权无向图 node2vec训练 特征融合与建模 4.2.1 抽取种子域名 为了构建域名下载关系同构图，需要一批种子域名，这批种子域名用以关联下载相同黑白样本md5的其他域名，以构成一张关于域名同构的图。 目前，种子域名主要由域名情报和高危域名组成，记为domains_seed。 4.2.2 黑白样本md5采样 腾讯安全多年黑灰产对抗过程中累积了海量样本的相关信息，包括样本本身的黑白灰属性，为了构建域名下载关系网络，对活跃期内的样本md5进行采样，去除低广和高广的白样本和低广的黑样本。这样可以避免低广高广样本将域名网络连接成一个完全图，让不同类型域名在图上的结构具有更大的差异性，同时，降低同构网络构建过程中的内存压力，这个黑白md5集合分别记为md5_black和md5_white。 4.2.3 获取下载边关系 选取一定时间段内的从域名下载样本md5的关系数据（md5-downloaded-domain），这个数据表明了，在一定时间段内，某md5从哪些域名上下载。同时，移除md5不在md5_black和md5_white中的对应关系数据。 4.2.4 关联域名 种子域名分别与黑白样本md5关联非种子域名。 以黑样本md5为例。在md5-downloaded-domain中抽取域名在domains_seed中，而md5在md5_black中的的md5和域名的下载关系数据，记为md5 -domain-black。从md5 -domain-black获得对应的所有域名作为黑关联域名，记为domain_black_corr。 同理可得domain_white_corr。 4.2.5 构建域名带权无向图 在获得的黑白关联域名和种子域名上，通过md5-downloaded-domain构建带权无向同构域名黑白网络。 以黑关联域名为例。在md5-downloaded-domain上抽取域名为黑关联域名或种子域名、md5为黑的域名md5下载关系，并假定下载相同md5的域名是互连的，这样去掉md5，就得到了仅域名连接的多个无向边。 假设这些无向边的权重为一个基本权重单位，则假定边无向的前提下，相同边的数量作为这条边的权重。由此构建起关于黑md5的域名同构带权无向图。同理可得关于白md5的域名同构带权无向图。 4.2.6  node2vec训练 这里选取node2vec对构建的黑白带权无向图进行域名图嵌入进行训练，node2vec在节点分类上具有明显优势，适用于下游域名相关挖掘任务，如下图。 node2vec在多种评测数据上均获得了最优或近似最优的结果。 通过node2vec，分别训练获得了关于域名下载关系的黑白图嵌入。下图是通过t-SNE降维后，黑白两类域名图嵌入的散点图示。 4.2.7 特征融合与建模 在获得关于域名下载关系的黑白图嵌入后，针对具体下游任务，可以结合域名其他维度特征进行进一步分析。 在恶意域名检测任务中，结合了域名的多种嵌入和其他属性特征，构建前馈神经网络（feedforwardneural network，FNN）进行建模和域名检测。通过对图嵌入的运用，在召回相近的情况下，恶意域名检测的精确率（precise）提升了1.7个百分点，达到了93.1%。 五、总结与展望 基于图嵌入的恶意域名挖掘从域名网络关联的角度，为域名的检测提供了新的线索及其数值化方案，丰富了域名的特征的维度和检测精度。 目前，域名的各种图嵌入的构建主要基于同构网络，接下来，会继续研究异构网络在域名检测上的应用。此外，除了域名，图嵌入技术和图神经网络在IP等情报上，同样具有应用和探索的价值。 六、参考文献 [1] Zhauniarovich Y,Khalil I, Yu T, et al. A survey on malicious domains detection through DNS dataanalysis[J]. ACM Computing Surveys (CSUR), 2018, 51(4): 1-36. [2] Scarselli F,Gori M, Tsoi A C, et al. The graph neural network model[J]. IEEE Transactionson Neural Networks, 2008, 20(1): 61-80. [3] Mikolov T, ChenK, Corrado G, et al. Efficient estimation of word representations in vectorspace[J]. arXiv preprint arXiv:1301.3781, 2013. [4] Goyal P, FerraraE. Graph embedding techniques, applications, and performance: A survey[J].Knowledge-Based Systems, 2018, 151: 78-94. [5] Zhang F, Liu X, Tang J, et al. Oag: Towardlinking large-scale heterogeneous entity graphs[C]//Proceedings of the 25th ACMSIGKDD International Conference on Knowledge Discovery & Data Mining. 2019:2585-2595. [6] Grover A,Leskovec J. node2vec: Scalable feature learning for networks[C]//Proceedings ofthe 22nd ACM SIGKDD international conference on Knowledge discovery and datamining. 2016: 855-864.  

Promon 研究人员刚刚曝光了一个影响 Android 9.0 等低版本系统的 StrandHogg 2.0 特权提升漏洞，若被黑客利用，用户的所有应用程序都将被其所染指。Promon 向 Google 通报了 CVE-2020-0096 安全漏洞，这家搜索巨头已降至标记为“严重”。庆幸的是，该漏洞尚未在野外被广泛利用。不过在今日披露之后，数以千万计的 Android 设备用户将变得更易受到攻击。 Promon 公告指出，该漏洞允许恶意应用在完全隐藏自身的情况下，获得假设合法的身份。 一旦将恶意应用安装在设备上，便可染指用户个人数据，比如短信、照片、登陆凭证、追踪 GPS 运动轨迹、通话记录、以及通过摄像头和麦克风监听用户。 Promon 表示，谷歌已于 2019 年 12 月 4 日收到漏洞披露通告，意味着搜索巨头在漏洞向公众曝光前有五个月的时间对其进行修补。 在面向 Android 生态合作伙伴的 2020 年 4 月安全补丁中，已经包含了 CVE-2020-0096 的漏洞修复（涵盖 Android 8.0 / 8.1 / 9.0）。 视频连接：https://www.cnbeta.com/articles/tech/983745.htm 需要注意的是，StrandHogg 2.0 较初代漏洞更加复杂，使之难以被反病毒和安全扫描程序检测到。 终端用户需注意不要从来历不明的非可信任来源安装 Android 应用，以免受到此类恶意攻击的影响。     （稿源：cnBeta，封面源自网络。）

安全公司 ESET 的研究人员披露了俄罗斯国家支持黑客组织 Turla 发动的最新攻击。攻击发生在今年1月，三个目标分别是国家议会和外交部，黑客部署了新版的 ComRAT 恶意程序。旧版的 ComRAT 曾在 2008 年用于从五角大楼网络窃取数据。 ComRAT 的最新版本是 v4，研究人员观察到了 ComRAT v4 的新变种包含了两项新功能：收集杀毒软件的日志和使用 Gmail 收件箱控制恶意程序。 安全研究人员认为，黑客收集杀毒软件日志是为了更好的理解对其恶意程序的检测。如果程序被检测出来，他们可以进行调整以躲避检测。     （稿源：solidot，封面源自网络。）

Sarwent很少受到研究人员的关注，但是该后门恶意软件仍在积极开发中，在持续更新命令并专注于RDP的研发。 Sarwent恶意软件的更新表明，人们对后门功能（例如执行PowerShell命令）的兴趣不断增强； 其更新还显示了使用RDP的偏好； Sarwent被发现至少使用一个与TrickBot运算符相同的二进制签名器。 自2018年以来，Sarwent的使用率在不断提高，但相关的研究报告却很少。 过去，Sarwent功能一直围绕着如何成为装载程序而展开，另外它的AV(防病毒)检查功能在持续更新。   …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1216/     消息来源：sentinelone， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接    

泰国Android设备用户正受到“ WolfRAT”的DenDroid升级版的攻击，目前，它主要针对如WhatsApp，Facebook Messenger和Line等社交软件。该升级版主要由臭名昭著的Wolf Research进行操作。其操作水平相当业余，主要进行代码重叠，开源项目复制粘贴，类的实例化，不稳定的程序打包和不安全的面板操作。 相关背景 思科Talos根据DenDroid恶意软件系列的泄漏发现了一种新的Android恶意软件，由于该恶意软件（其命令和控制（C2）基础结构）与Wolf Research之间的结构重合以及字符串的引用，因此我们将其命名为“ WolfRAT”。目前该开发团队似乎已经关闭，但黑客们还是非常活跃。 我们发现了一些针对泰国用户及其设备的攻击活动，部分C2服务器就在泰国。它的面板中有着泰文的JavaScript注释、域名还有泰式食品的引用，通过这些策略，诱使用户对这些面板进行访问，其过程并不复杂。 运作过程 该恶意软件模仿一些合法服务进程，如Google服务，GooglePlay或Flash更新。其操作主要是对于网络上大量的公共资源进行复制粘贴。 造成的后果 在被丹麦的威胁情报公司CSIS Group公开谴责之后，Wolf Research被关闭但成立了一个名为LokD的新组织，该组织致力于Android设备的安全保护。但由于设备的共享以及面板名被遗忘，我们认为该组织的黑客依然活跃而且还在进行开恶意软件的深层开发。此外，在C2面板上我们还发现了Wolf Research与另一个名为Coralco Tech的塞浦路斯组织之间存在潜在联系，而这个组织还在进行技术拦截研究。   …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1216/     消息来源：talosintelligence， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

G DATA发现了在德国的垃圾邮件活动，它通过PowerShell在Excel文档中传递NetWire RAT恶意软件。这些邮件伪造了德国的快递服务DHL。 2020年4月13日中午，我们的监测系统创建了一个警报，因为DeepRay报告了对PowerShell下载器上一个特定检测的点击量比平常多。警报系统可以及早发现是否出了问题，由于垃圾邮件攻击我们的德国客户，触发了这个警报，检测系统合法地阻止了恶意软件下载程序的工作。 我们对所检测到的威胁进行了调查，发现了与BEAST相关的条目，这些条目表明罪魁祸首是通过电子邮件发送的Excel文档。尽管我们自己没有收到Excel或电子邮件文档本身，但确实看到了BEAST为同意恶意软件信息倡议（Mii）的那些客户报告的感染链。   …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1216/     消息来源：GDATASoftware， 译者：吴烦恼。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/eBPMlCSbYM_Ql5Mky9XTAw 一、概述 近期腾讯安全威胁情报中心检测到网络游戏《魔域》私服传播挖矿木马和远程控制木马。木马首先伪装成游戏保护进程TQAT.exe随着游戏启动而执行，随后释放大灰狼远控木马DhlServer.exe，并利用远控木马的下载执行功能继续下载门罗币挖矿木马ws.exe，腾讯安全威胁情报中心将其命名为MoyuMiner。 大灰狼远控木马安装后会完全控制用户系统，上传用户文件，窃取隐私，在用户电脑下载安装其他木马，利用用户电脑做跳板攻击其他系统。而门罗币挖矿木马运行之后，会增加系统资源消耗，影响游戏软件的流畅运行。 《魔域》是网龙网络控股有限公司研发的大型网络游戏，在外网存在较多私服版本，这些私服版本游戏由于不受官方控制，容易成为病毒木马的传播渠道，截止目前MoyuMiner已感染超过5000台电脑。腾讯电脑管家和腾讯T-Sec终端安全管理系统均可查杀该病毒。 二、解决方案 针对MoyuMiner挖矿木马，腾讯系列安全软件已支持全面检测和拦截。 三、样本分析 传播大灰狼远控木马的游戏为《魔域》，并且是由私服下载的版本，官网下载的游戏安装包不包含病毒。 通过溯源分析发现，传播病毒的部分游戏文件md5和文件路径如下： 木马伪装成游戏的保护模块C:\Program Files(x86)\NetDragon\魔域-御剑天下\TQAT\TQAT.exe，随着游戏启动而运行。 TQAT.exe拷贝自身到：C:\Users\Administrator\AppData\Roaming\TQAT.exe，然后释放大灰狼远控木马到Temp目录：C:\Users\Administrator\AppData\Local\Temp\DhlServer.exe、 C:\Users\Administrator\AppData\Local\Temp\DHLDAT.exe DhlServer.exe申请内存空间，解密出大灰狼DLL文件并通过LoadLibrary加载执行。 大灰狼DLL具有标记SER-V1.8，导出3个函数：DllFuUpgStop、DllFuUpgradrs、DllEntryPoint供调用。 远控木马部分协议字段如下： 大灰狼远控木马利用下载并执行文件的功能下载挖矿木马母体http[:]//www.baihes.com:8285/ws.exe，存放至C:\Windows\SysWOW64\ws.exe。ws.exe运行后释放文件BthUdTask.exe、BthUdTask.dll，BthUdTask.exe通过写入垃圾数据增肥文件大小到超过70兆。 BthUdTask.exe解密BthUdTask.dll得到门罗币矿机程序System.exe，然后连接矿池141.255.164.28:5559挖矿 IOCs Md5 1a0f5b63b51eb71baa1b3b273edde9c9 a5532e7929a1912826772a0e221ce50f 1b6a3fa139983b69f9205aabe89d6747 418b11efdd38e3329fbb47ef27d64c14 37dff5776986eb5f6bb01c3b1df18557   Domain fujinzhuang.f3322.net linbin522.f3322.net mine.gsbean.com www.baihes.com   C2 116.202.251.12:8585 114.115.156.39:9624 43.248.188.172:30017   URL http[:]//www.baihes.com:8285/ws.exe http[:]//www.baihes.com:8282/cpa.exe