一、概述 受近期比特币爆涨带动数字虚拟币整体市值飙升影响，挖矿木马十分活跃。腾讯安全威胁情报中心检测到利用Redis未授权访问漏洞直接写入计划任务，下载用golang语言编写的挖矿木马下载器superman，根据挖矿算力推测该团伙已控制约1万台失陷系统进行门罗币挖矿。 腾讯安全近期已捕获较多利用golang语言编写的各类脚本木马，这些木马利用多个不同linux服务器组件的高危漏洞或弱密码入侵云服务器挖矿。对这些挖矿木马进行分析溯源，发现分属不同的黑产团伙控制，有点“千军万马一窝蜂携漏洞武器弱口令武器抢占云主机挖矿淘金”的意思。腾讯安全专家建议政企机构安全运维人员及时修补漏洞，排查弱口令，避免服务器沦为黑产控制的肉鸡。 在本例中，部分政企机构使用Redis时，由于没有对redis进行良好的配置，如使用空口令或者弱口令等，导致攻击者可以直接访问redis服务器，并可以通过该问题直接写入计划任务甚至可以直接拿到服务器权限。 自查处置建议 腾讯安全专家推荐的修复建议： 1.针对未配置redis密码访问的，需要对其进行配置添加用户和密码访问。针对弱口令则需要使用强密码。 2.如非必须，不对外开放redis端口，如需要对外开放服务则正确配置好ACL策略。 清理利用漏洞入侵的挖矿木马 1.清除计划任务中的python3.8m.sh相关条目； 2.在确认JavaUpdate和mysqlserver进程异常后，将其kill掉； 3.删除/var/tmp/下的.system-python3.8-Updates和.Javadoc 文件夹。 腾讯安全响应清单 针对supermanminer系列挖矿木马的活动，腾讯安全各产品均已响应拦截。 详细响应清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）SupermanMiner挖矿木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）SupermanMiner挖矿木马相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）SupermanMiner挖矿木马相关IOCs识别检测； 2）检测Redis未授权漏洞利用；   有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀SupermanMiner挖矿木马； 2）支持检测Redis未授权漏洞利用；   腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）支持通过协议检测SupermanMiner挖矿木马与服务器的网络通信； 2）支持redis未授权访问漏洞利用检测。关于T-Sec高级威胁检测系统的更多信息，可参考：https://cloud.tencent.com/product/nta 二、详细分析 在使用redis应用时没有配置好访问策略导致攻击者可以利用弱口令或者空口令直接访问redis应用，并通过该应用直接向系统写入计划任务或者通过写入ssh公钥文件直接控制服务器。 通过未授权直接写入计划任务 在/var/spool/cron/root可以看到如下内容： 通过计划任务到pastebin下载脚本并执行。 下载的脚本内容用base64进行编码 解码后的内容： 该脚本主要功能是判断当前主机进程中是否有包含/var/tmp/.system-python3.8-Updates路径，然后指定站点下载superman文件，命名为f存放到/var/tmp/目录下，运行后将该文件删除。 superman是一个go编写的下载器，主要功能是下载核心挖矿程序xmrig及配置文件，并通过重新下载superman，并将其命名为mysqlserver，写入计划任务的方式进行持久化操作。 在运行superman后会写入计划任务。 其中python3.8m.sh的内容为： 脚本中的将mysqlserver是将superman下载后重命名，并将其存放在.system-python3.8-updates路径下。 通过流量分析发现，木马会频繁请求www.hellomeyou.cyou，且域名对应的IP一直在变化。该网站主要是查询在NameSilo注册的域名的whois信息等， 通过查看网站源码，发现源码中嵌入了一些内容，包括xmirg下载链接，矿池配置，superman下载链接及文件大小等。 通过查询域名相关信息该域名与namesilo属于同一组织，判断应该是hellomeyou这个网站被攻击后，在网站中嵌入了这些内容。 通过对superman文件分析，发现其通过正则表达式的方式匹配相应内容，分别匹配superman下载的url，xmrig下载路径，文件大小及矿池配置内容。 Superman文件通过github下载xmrig文件，并将其命名为JavaUpdate，并将其存放在/var/tmp/.Javadoc/路径下。同时通过匹配到的矿池内容修改相应的config.json文件。 Congfig文件内容： 其中挖矿使用矿池： 54.37.7.208:443（xmrpool.eu） 挖矿使用钱包： 88XEAsyefa9DyzyMJSdcEUR9PJPphWrSp632D2ia83zuJHLKDBxQZ1iDSVY8MspBoFiqdZdQupm4xBasSkahdfdXRuUU1j6 根据其钱包算力223Kh/s推算，该挖矿团伙已控制约1万台电脑进行挖矿。 Superman采用Go语言编写，除了启动挖矿程序之外，还具有下载文件、执行任意程序、执行远程命令、在线升级、安装crontab定时任务等功能。 IOCs URL hxxp://138.124.180.20:8080/superman hxxps://github.com/xmrig/xmrig/releases/download/v6.6.1/xmrig-6.6.1-linux-x64.tar.gz hxxps://pastebin.com/raw/xnxWdRJ8 hxxp://www.hellomeyou.cyou/ MD5 JavaUpdate a66c6c00d09529066b03070646127286 superman/mysqlserver 96dc8dcd5bf8f6e62c3ce5219e556ba3 矿池地址 xmrpool.eu 钱包地址88XEAsyefa9DyzyMJSdcEUR9PJPphWrSp632D2ia83zuJHLKDBxQZ1iDSVY8MspBoFiqdZdQupm4xBasSkahdfdXRuUU1j6 参考链接： https://paper.seebug.org/1440/

在对 SolarWinds 事件的深入调查中，微软发现部分内部帐号被黑客获取，并访问了公司的部分源代码。而现在，有一名黑客以 60 万美元的价格出售 Windows 10 源代码，但是无法确定真实性。 来自 Rendition Infosec 的安全研究人员 Jake Williams 报道了这一消息，他警告称这些黑客似乎来自俄罗斯知名黑客组织 Shadow Brokers。但他们可能是为了混淆视听，并非真正有这些源代码访问。 微软证实，黑客能够查看，但不能改变部分产品的源代码，并表示没有证据表明这一活动将微软服务的安全性或任何客户数据置于风险之中。微软表示，查看源代码并不会增加风险，因为该公司并不依赖源代码的保密性来保证产品的安全。         （消息来源：cnBeta；封面来自网络）

一名黑客控制了连接到互联网的智能情趣用品：男性远程贞操笼，并要求用比特币支付赎金来解锁。“你的丁丁已经被我锁定。”根据一名安全研究人员获得的对话截图，黑客对其中一名受害者说。这位研究人员的名字叫Smelly，是收集恶意软件样本的网站vx-underground的创始人。 去年10月，安全研究人员发现，一款物联网情趣用品贞操笼，一种主要在BDSM社区中使用的放置并锁定在阴茎周围并可以联网远程上锁和解锁的性玩具制造商留下了一个API暴露，给了恶意黑客控制设备的机会。根据一位安全研究人员获得的黑客和几位受害者之间的对话截图，非常糟糕的事情就这样发生了。 不过万幸的是，”这件事发生的时候，我并没有锁上这个东西。”Robert在一次在线聊天中说，不然后果真的不堪设想。 受害者Robert表示，他收到了黑客的信息，要求支付0.02比特币（约合今天750美元）来解锁设备。他意识到自己的笼子肯定被 “锁住了”以至于无法使用。 “我现在已经不是笼子的主人了，所以我在任何时候都不能完全控制笼子。”另一位名叫RJ的受害者在一次在线聊天中表示。他收到了黑客发来的信息，黑客说他们已经控制了笼子，并希望支付一笔钱来解锁笼子。 这些黑客再次表明，仅仅因为你可以将某样东西连接到互联网上，并不意味着你必须这样做，尤其是如果你随后不注意保护设备或其连接的安全。 这款设备的中国制造商Qiui没有回应置评请求，这款设备的名字很贴切，叫做Cellmate。 对Cellmate设备进行安全查验的Pentest Partners安全研究员亚历克斯-洛马斯(Alex Lomas)证实，一些用户确实收到了勒索信息，并表示这凸显了这些设备制造商改进安全实践的必要性。           （消息及封面来源：cnBeta）

微软发布了新版本的Windows 10 Sysinternals工具Sysmon，该工具可以用来检测黑客将恶意代码注入合法的Windows进程中，以绕过安全措施。Sysmon 13可以监控Windows 10进程的活动，可以检测到通常在任务管理器中看不到的进程掏空或进程herpaderping技术。 进程掏空是指恶意软件在暂停状态下启动合法进程，并用恶意代码替换进程中的合法代码。然后，这个恶意代码就会被进程执行，无论分配给进程的权限是什么。 进程herpaderping是指恶意软件加载后，修改其在磁盘上的映像，改头换面使其看起来像合法软件。当安全软件扫描磁盘上的文件时，它将看到一个无害的文件，而恶意代码却大摇大摆地在内存中运行而不被发现。 该技术被已知的恶意软件使用，包括Mailto/defray777勒索软件、TrickBot和BazarBackdoor。 要启用进程篡改检测，管理员需要在配置文件中添加’ProcessTampering’配置选项。你可以在这里阅读Sysinternals网站上的文档。 您可以从Sysinternal的官方页面或这个地址直接下载Sysmon。       （消息来源：cnBeta；封面源自网络）

据外媒报道，在美国国会大厦遭特朗普总统支持者暴力袭击之后，一位独立研究员开始对Parler上的用户帖子进行编录。Parler一开始是为保守用户提供发表“自由言论”的避风港的平台，然而最终却沦为了极右阴谋论、无节制种族主义和针对杰出政客死亡威胁的温床。 这名要求用Twitter账号@donk_enby来介绍她的研究员一开始的目标是将1月6日国会大厦暴乱那天起的所有帖子存档，这被她称之为是一组显示有罪的证据。而根据大西洋理事会的数字法医研究实验室和其他消息来源，Parler是叛乱分子用来协调他们破坏国会大厦的几个应用之一，他们计划推翻2020年的选举结果从而让唐纳德·特朗普继续掌权。 @donk_enby希望创建一个持久的公共记录以供未来的研究人员筛选，于是她从暴乱发生当天开始将帖子存档起来。 在睡眠很少的情况下，@donk_enby开始存档Parler的所有帖子并最终获取了约99%的内容。周日早些时候，@donk_enby在Twitter上发文称，她正在爬取110万个Parler视频url。“这些是上传到Parler的原始、未处理的原始文件以及所有相关的元数据，”她写道。@donk_enby确认原始视频文件包含GPS元数据，其提供了拍摄视频的确切位置，现在该数据容量已经超过了56TB。 @donk_enby随后分享了一个截图，其显示了特定视频的GPS位置以及经纬度坐标。 这对隐私的影响是显而易见的，但大量的数据也可能成为执法部门的肥沃狩猎场。据悉，美国联邦政府和地方政府最近几天已经逮捕了数十名被控参与国会大厦暴乱的嫌疑人。在国会大厦骚乱中，一位名叫Brian Sicknick的警官头部因被灭火器击中而身受致命伤。 @donk_enby称自己是黑客，用欧洲最大的黑客协会Chaos Computer Club的定义来解释，她是一个对技术有创造性但又持怀疑态度的人。“我希望这是对那些说黑客行为不应该带有政治色彩的人的一大竖中指。”@donk_enby说道。实际上，@donk_enby的工作确实帮助到其他研究人员，包括纽约大学网络安全中心的一名研究人员。 @donk_enby的工作记录被储存在ArchiveTeam.org网站上，据其介绍，说这些数据最终将由互联网档案馆托管。 @donk_enby告诉Gizmodo，在Parler否认了黑客活动人士Kirtner发现的邮件泄露事件后，她开始调这家公司。Kirtner被认为是黑客组织“匿名者(Anonymous)”的创始人。@donk_enby表示，她当时能独立找到同样的材料。 目前看起来Parler不太可能迅速反弹–如果有可能反弹的话。正像Duckbill Group的Corey Quinn最近在Twitter上解释的那样，从AWS上迁移一个大型产品可能需要几个月的准备时间，并且执行起来可能需要几年时间。Quinn指出，整合AWS大量服务的应用无法轻松地转移到另一个不同的托管平台。       （消息及封面来源：cnBeta）

在 WhatsApp 近日更新的隐私政策条款中，用户被告知他们的数据将会和 Facebook 以及其他公司共享。虽然用户现在可以选择退出，但在 2 月 8 日之后将会变成强制性要求。现在，微软的社交媒体团队也调侃了本次事件，并建议用户迁移到 Skype。 在 Skype 官方发布的推文中写道：“Skype 尊重你的隐私，我们我们致力于保护你的个人数据隐私，不会向第三方出售”。此外，该网址还指向微软的隐私政策声明，其中概述了该公司从用户那里收集什么样的数据以及如何使用这些数据。这是一个冗长的页面，大多数人都会忽略，但如果你确实因为隐私问题而考虑从WhatsApp迁移，建议你去看一看。     （消息来源：cnBeta；封面来自网络）

彭博社报道，土耳其目前已经就更新的隐私政策对Facebook和WhatsApp展开了反垄断调查。WhatsApp在新年伊始更新了其隐私政策，用户在打开应用时通过弹出消息通知，他们的数据现在将在2月8日开始与Facebook和其他公司共享。 土耳其反垄断委员会对Facebook和WhatsApp进行了调查，因为新的使用条款引发了人们对隐私的关注，监管机构周一表示，它还表示正在停止执行这些条款，根据声明，新条款将导致 “更多数据被Facebook收集、处理和使用”。 然而，怀疑论者担心，这项调查是否是政府遏制异见的又一举措。土耳其总统塔伊普·埃尔多安过去几年一直以 “消除不道德”为幌子，加强政府对社交媒体的控制。 去年7月，他对他的正义与发展党成员说：”你们明白我们为什么反对YouTube、Twitter和Netflix等社交媒体吗？为了杜绝这种不道德的行为”。这是否是对WhatsApp更新政策的真正批评，还有待观察。不过，一旦调查在未来几个月内开始运作，事情应该会变得更加清晰。       （消息及封面来源：cnBeta）

据外媒报道，Ubiquiti是最大的网络设备销售商之一，其销售产品包括路由器、网络摄像头和网状网络。近日，这家公司提醒客户注意数据泄露问题。这家科技公司在周一发给客户的一封简短电子邮件中表示，它意识到第三方云供应商托管的系统遭到了未经授权的访问。 Ubiquiti没有透露这家云计算公司的名字也没有说明何时发生了泄露和导致这次安全事件发生的原因。但这家公司证实，它不能确定客户数据没有被泄露。 邮件中写道：“这些数据可能包括您的姓名、电子邮件地址和单向加密密码。如果您向我们提供了您的地址和电话号码，这些数据也可能包括您的地址和电话号码。” 虽然邮件说密码被打乱了，但该公司表示，用户还是应该更新自己的密码并启用双重身份验证，这样黑客就更难获取密码并利用它们入侵账号。 据悉，Ubiquiti账号用户可以通过web远程访问和管理自己的路由器和设备。 这家网络公司在发出这封邮件后很快在其社区页面上发帖确认客户收到的邮件是真实的，而在此前有几位客户抱怨这封邮件中出现了一些拼写错误。       （消息来源：cnBeta；封面源自网络）

据外媒报道，新西兰央行周日表示，该行的一个数据系统已被一名身份不明的黑客入侵，该黑客有可能已经获取商业和个人敏感信息。这家总部位于惠灵顿的银行在一份声明中说，新西兰储备银行用于共享和存储敏感信息的第三方文件共享服务已被非法访问。 行长Adrian Orr表示，漏洞已经得到控制。该银行的核心功能 “仍然健全和运作。”Orr表示：“我们正在与国内和国际网络安全专家和其他相关部门密切合作，作为我们调查和应对这次恶意攻击的一部分。” “潜在被访问的信息的性质和范围仍在确定中，但可能包括一些商业和个人敏感信息，”Orr补充道。 在银行完成初步调查之前，该系统已经被保护并下线。“了解此次数据泄露事件的全部影响需要时间，我们正在与信息可能被访问的系统用户合作，”Orr说。 该银行拒绝回答寻求更多细节的电子邮件问题。目前还不清楚黑客入侵事件发生的时间，也不清楚是否有任何迹象表明谁是责任人，以及文件共享服务是在哪个国家。 在过去的一年里，新西兰的几个主要机构都成为了网络干扰的目标，其中包括新西兰证券交易所，该交易所的服务器在8月份遭网络黑客攻击，连续崩溃近一周时间。 奥克兰大学计算机科学教授Dave Parry告诉新西兰电台，银行数据泄露事件背后的“罪魁祸首”很可能是另一个政府。“最终如果你是从一种类似于犯罪的角度来的，政府机构是不会支付你的赎金或其他什么的，所以你更感兴趣的可能是从政府对政府的层面来的，”Parry说。           （消息来源：cnBeta；封面来自网络）

Solarwinds 大规模黑客攻击要比预想的要糟糕，近日美国司法部承认由 Microsoft 365 提供的电子邮件服务被入侵。在一份声明中，美国司法部承认有 3% 的邮箱被黑客入侵。不过本周三，司法部发言人 Marc Raimondi 表示：“目前我们没有迹象表明任何机密系统受到影响”。 根据目前的统计数据，已经有超过 1.8 万家企业因 Solarwinds 而被黑客入侵，美国联邦调查局和美国国家安全局都将此次攻击归咎于高级持续性威胁（APT）行为者，很可能是俄罗斯。司法部已根据《联邦信息安全现代化法案》宣布此次黑客攻击为重大事件，并表示将根据联邦机构，国会和公众的需要继续公开相关内容。         （消息来源：cnBeta；封面来自网络）