网络攻击(某些是针对工业目标的攻击)使用了以前未知的木马,称为Milum。

trojan-malware.jpg

一项针对中东组织的恶意软件的活动日前已经被发现,该活动与以前的攻击活动没有任何相似之处。该活动以代码内的C++类名“WildPressure”为自己命名,使用了以前未知的恶意软件,研究人员将其命名为Milum。

卡巴斯基的研究员在9月份的时候破坏了WildPressure命令与控制(C2)域中的一个,他们表示,访问恶意基础框架的IP中,大部分是来自中东的,而其余的IP则包括扫描仪、TOR出口节点、VPN链接。卡巴斯基发现,受害者也包括一些工业目标。

这项研究表明,这个恶意软件会执行基本的系统侦察工作,包括清点存放在受感染机器上的文件类型。而且,它还可以从其C2获取更新,这更新中也有可能包括一些第二阶段的功能。

简单直接

卡巴斯基安全研究员丹尼斯·莱格佐(Denis Legezo)在星期二的一篇文章中写道,构建该木马的方法非常简单,举个例子,所有的Milum示例都是独立的可执行文件。

此外,代码的内置配置数据包括硬编码的C2 URL和用于通信的加密/解密密钥。安装后,该恶意软件会创建一个名为“\ ProgramData \ Micapp \ Windows \”的目录,并解析此配置数据,以形成发送到其C2的信标。

为了发送信标,Milum使用配置数据中存储的64字节密钥在HTTP POST请求中传输压缩的JSON数据,该数据使用RC4加密。而压缩方面,该木马使用的是嵌入式gzip代码(gzip是一种流行的数据压缩技术)。

卡巴斯基的研究人员发现,传播最广泛的是作为不可见工具栏窗口存在的应用程序,这意味着受害者是检测不到它的。

困难归因

至于功能方面,Milum代码中的命令处理程序包括:用于连接到C2的指令;记录文件属性(包括目录中的属性,标记为隐藏、只读、归档、系统、可执行文件);收集系统的信息以验证目标并确定防病毒产品状态;更新恶意软件;删除自己。

为了集中精力,操作员使用了样本中也已硬编码的目标ID。

Legezo说:“在这之中,我们发现了HatLandM30和HatLandid3,这两者我们都不熟悉。”

然而,卡巴斯基方面表示,攻击活动的剩余部分都没有任何线索,使归因变得很困难。在活动基础架构方面,运营商使用了从ISP OVH和Netzbetrieb租用的虚拟专用服务器(VPS),以及使用通过代理匿名服务在Domains中注册的域名。

Legezo还表示,恶意软件作者使用的C ++代码方式(存储在二进制文件的资源部分中的base64编码JSON格式的配置数据)相当通用。

Legezo解释说:

迄今为止,我们还没有观察到与任何已知的actor或活动有关的基于代码或受害者的强烈相似之处。任何相似之处在归因方面都应被视为薄弱环节,并且可以简单地从以前的著名案例中复制出来。的确,近年来,这种“向更有经验的攻击者学习”的循环已被一些有趣的新actor采用。

值得一看

研究人员发现了三个此前未被发现的循环传播的木马样本。所有这些都是在去年3月份的时候首次编译的,而感染是在去年5月底时开始的,也就是说这木马感染活动是全年都在持续的。

该时间表与其他方面相结合,使得Legezo怀疑该恶意软件还处于开发的早期阶段,他预计恶意软件还会有后续其他的活动。

首先,样本上有一个“1.0.1”的版本标记。并且,在用于与命令和控制(C2)服务器进行通信的HTTP POST请求中,有一些字段可以选择使用不同的编程语言,这就表示他们或许有计划启用非C++版本的代码(如果现存代码中还没有的话)。

Legezo说:

我们考虑保留这些文件的唯一原因是,如果攻击者拥有数种以不同语言编写的木马,就可以与同一个控制服务器一起工作。

Legezo补充说明,Milum值得观察,特别是考虑到它对中东工业目标的袭击。但是,其个性的缺乏,可能使其在将来的战役中成为变色龙。他总结表示,该恶意软件并非专门针对任何类型的受害者而设计的,可以在其他操作中重复使用。

网络攻击(某些是针对工业目标的攻击)使用了以前未知的木马,称为Milum。

trojan-malware.jpg

一项针对中东组织的恶意软件的活动日前已经被发现,该活动与以前的攻击活动没有任何相似之处。该活动以代码内的C++类名“WildPressure”为自己命名,使用了以前未知的恶意软件,研究人员将其命名为Milum。

卡巴斯基的研究员在9月份的时候破坏了WildPressure命令与控制(C2)域中的一个,他们表示,访问恶意基础框架的IP中,大部分是来自中东的,而其余的IP则包括扫描仪、TOR出口节点、VPN链接。卡巴斯基发现,受害者也包括一些工业目标。

这项研究表明,这个恶意软件会执行基本的系统侦察工作,包括清点存放在受感染机器上的文件类型。而且,它还可以从其C2获取更新,这更新中也有可能包括一些第二阶段的功能。

简单直接

卡巴斯基安全研究员丹尼斯·莱格佐(Denis Legezo)在星期二的一篇文章中写道,构建该木马的方法非常简单,举个例子,所有的Milum示例都是独立的可执行文件。

此外,代码的内置配置数据包括硬编码的C2 URL和用于通信的加密/解密密钥。安装后,该恶意软件会创建一个名为“\ ProgramData \ Micapp \ Windows \”的目录,并解析此配置数据,以形成发送到其C2的信标。

为了发送信标,Milum使用配置数据中存储的64字节密钥在HTTP POST请求中传输压缩的JSON数据,该数据使用RC4加密。而压缩方面,该木马使用的是嵌入式gzip代码(gzip是一种流行的数据压缩技术)。

卡巴斯基的研究人员发现,传播最广泛的是作为不可见工具栏窗口存在的应用程序,这意味着受害者是检测不到它的。

困难归因

至于功能方面,Milum代码中的命令处理程序包括:用于连接到C2的指令;记录文件属性(包括目录中的属性,标记为隐藏、只读、归档、系统、可执行文件);收集系统的信息以验证目标并确定防病毒产品状态;更新恶意软件;删除自己。

为了集中精力,操作员使用了样本中也已硬编码的目标ID。

Legezo说:“在这之中,我们发现了HatLandM30和HatLandid3,这两者我们都不熟悉。”

然而,卡巴斯基方面表示,攻击活动的剩余部分都没有任何线索,使归因变得很困难。在活动基础架构方面,运营商使用了从ISP OVH和Netzbetrieb租用的虚拟专用服务器(VPS),以及使用通过代理匿名服务在Domains中注册的域名。

Legezo还表示,恶意软件作者使用的C ++代码方式(存储在二进制文件的资源部分中的base64编码JSON格式的配置数据)相当通用。

Legezo解释说:

迄今为止,我们还没有观察到与任何已知的actor或活动有关的基于代码或受害者的强烈相似之处。任何相似之处在归因方面都应被视为薄弱环节,并且可以简单地从以前的著名案例中复制出来。的确,近年来,这种“向更有经验的攻击者学习”的循环已被一些有趣的新actor采用。

值得一看

研究人员发现了三个此前未被发现的循环传播的木马样本。所有这些都是在去年3月份的时候首次编译的,而感染是在去年5月底时开始的,也就是说这木马感染活动是全年都在持续的。

该时间表与其他方面相结合,使得Legezo怀疑该恶意软件还处于开发的早期阶段,他预计恶意软件还会有后续其他的活动。

首先,样本上有一个“1.0.1”的版本标记。并且,在用于与命令和控制(C2)服务器进行通信的HTTP POST请求中,有一些字段可以选择使用不同的编程语言,这就表示他们或许有计划启用非C++版本的代码(如果现存代码中还没有的话)。

Legezo说:

我们考虑保留这些文件的唯一原因是,如果攻击者拥有数种以不同语言编写的木马,就可以与同一个控制服务器一起工作。

Legezo补充说明,Milum值得观察,特别是考虑到它对中东工业目标的袭击。但是,其个性的缺乏,可能使其在将来的战役中成为变色龙。他总结表示,该恶意软件并非专门针对任何类型的受害者而设计的,可以在其他操作中重复使用。

一项分析发现,WordPress和ApacheStruts网络框架是2019年网络犯罪分子最关注的目标。

bug-bounty-e1580489309366.png

WordPress和Apache Struts漏洞是2019年网络和应用程序框架中网络犯罪分子最关注的漏洞-而输入验证漏洞超越了跨站点脚本(XSS),成为受攻击最多的漏洞类型。

RiskSense Spotlight 报告分析了2010年至2019年11月之间的1,622个漏洞。Web框架简化了应用程序和网站的开发和部署。Web框架可以为开发人员的许多常见任务提供现成的构建块,而不是要求开发人员用PHP,HTML等写出每一行代码。

RiskSense首席执行官Srinivas Mukkamala在一份媒体声明中提到:

即使使用应用程序最佳实践的方法进行开发,框架漏洞也可能使组织面临安全威胁。同时,升级框架可能会带来风险,因为升级的变化会影响应用程序的行为,外表或内在安全性。可能的结果是,框架漏洞替代了组织的受攻击面中最重要的,但知之甚少且经常被忽视的要素之一。

该公司发现,在这一年中,仅WordPress和Apache Struts的框架错误被攻击就占了总攻击的57%。它们各自的基础语言(WordPress使用PHP,Apache Struts使用Java)也是使用最多的语言。

而且,尽管WordPress在一年中发现了许多不同类型的错误,但根据分析,XSS是最常见的问题。同时,输入验证是Apache Struts框架面临的最大风险。

除了其在WordPress中的普遍性外,近几年XSS缺陷的数量在总体上有所下降:XSS是10年研究期内最常见的漏洞,但在最近五年进行分析时,它降至第五位。同时,输入验证在过去五年中占所有武器化漏洞的24%,主要影响Apache Struts,WordPress和Drupal。

分析还发现,尽管去年框架中网络安全漏洞的总数下降了,但这些漏洞的实际武器化率却上升了。该比率在2019年跃升至8.6%,是同期全国漏洞数据库平均值3.9%的两倍多。

总计有27.7%的WordPress漏洞被武器化。报告发现,Apache Struts的漏洞武器化率可以排到前三,也是所有武器化的漏洞框架中最高的那个,并且,38.6%的Apache Struts漏洞都被武器化了。

报告指出:“Laravel的武器化率更高,但这仅基于四个漏洞。”

SaltStack产品管理总监Mehul Revankar对Threatpost说:“毫无疑问,Apache Struts是目前武器化最严重的应用程序框架之一。这是许多现代Web应用程序的关键依赖项,尚不清楚应用程序是否在使用它。”

Apache Struts漏洞排在2017年臭名昭著的Equifax漏洞之后,Equifax漏洞影响了1.47亿人。

研究还发现,一些特定类型的错误有着更高的武器化率。例如,SQL注入,代码注入和各种命令注入受到网络攻击者的追捧,尽管很少见,但在研究中武器化率却超过一半。细分而言,按武器化率的高地排序,前三个漏洞是命令注入(武器化占60%),操作系统命令注入(武器化占50%)和代码注入(武器化占39%)。

此外,JavaScript和Python框架是漏洞被武器化最少的。例如,根据这项研究,去年基于JavaScript的Node.js的漏洞数量比其他JavaScript框架高得多,共有56个漏洞,但迄今为止只有一个被武器化。同样,Django也有66个漏洞,只有一个被武器化。

nVisium首席执行官Jack Mannino在对Threatpost的讲话中提到:

在过去的十年中,Web应用程序漏洞已成为越来越成熟的攻击媒介。众所周知,特别是WordPress和Apache Struts实施受到过时的插件和库版本的困扰。由于这些系统未打补丁且长时间未更新,因此暴露的可能性很高。针对这些技术的现成攻击已在攻击者工具中普遍存在,并将继续存在。

一项分析发现,WordPress和ApacheStruts网络框架是2019年网络犯罪分子最关注的目标。

bug-bounty-e1580489309366.png

WordPress和Apache Struts漏洞是2019年网络和应用程序框架中网络犯罪分子最关注的漏洞-而输入验证漏洞超越了跨站点脚本(XSS),成为受攻击最多的漏洞类型。

RiskSense Spotlight 报告分析了2010年至2019年11月之间的1,622个漏洞。Web框架简化了应用程序和网站的开发和部署。Web框架可以为开发人员的许多常见任务提供现成的构建块,而不是要求开发人员用PHP,HTML等写出每一行代码。

RiskSense首席执行官Srinivas Mukkamala在一份媒体声明中提到:

即使使用应用程序最佳实践的方法进行开发,框架漏洞也可能使组织面临安全威胁。同时,升级框架可能会带来风险,因为升级的变化会影响应用程序的行为,外表或内在安全性。可能的结果是,框架漏洞替代了组织的受攻击面中最重要的,但知之甚少且经常被忽视的要素之一。

该公司发现,在这一年中,仅WordPress和Apache Struts的框架错误被攻击就占了总攻击的57%。它们各自的基础语言(WordPress使用PHP,Apache Struts使用Java)也是使用最多的语言。

而且,尽管WordPress在一年中发现了许多不同类型的错误,但根据分析,XSS是最常见的问题。同时,输入验证是Apache Struts框架面临的最大风险。

除了其在WordPress中的普遍性外,近几年XSS缺陷的数量在总体上有所下降:XSS是10年研究期内最常见的漏洞,但在最近五年进行分析时,它降至第五位。同时,输入验证在过去五年中占所有武器化漏洞的24%,主要影响Apache Struts,WordPress和Drupal。

分析还发现,尽管去年框架中网络安全漏洞的总数下降了,但这些漏洞的实际武器化率却上升了。该比率在2019年跃升至8.6%,是同期全国漏洞数据库平均值3.9%的两倍多。

总计有27.7%的WordPress漏洞被武器化。报告发现,Apache Struts的漏洞武器化率可以排到前三,也是所有武器化的漏洞框架中最高的那个,并且,38.6%的Apache Struts漏洞都被武器化了。

报告指出:“Laravel的武器化率更高,但这仅基于四个漏洞。”

SaltStack产品管理总监Mehul Revankar对Threatpost说:“毫无疑问,Apache Struts是目前武器化最严重的应用程序框架之一。这是许多现代Web应用程序的关键依赖项,尚不清楚应用程序是否在使用它。”

Apache Struts漏洞排在2017年臭名昭著的Equifax漏洞之后,Equifax漏洞影响了1.47亿人。

研究还发现,一些特定类型的错误有着更高的武器化率。例如,SQL注入,代码注入和各种命令注入受到网络攻击者的追捧,尽管很少见,但在研究中武器化率却超过一半。细分而言,按武器化率的高地排序,前三个漏洞是命令注入(武器化占60%),操作系统命令注入(武器化占50%)和代码注入(武器化占39%)。

此外,JavaScript和Python框架是漏洞被武器化最少的。例如,根据这项研究,去年基于JavaScript的Node.js的漏洞数量比其他JavaScript框架高得多,共有56个漏洞,但迄今为止只有一个被武器化。同样,Django也有66个漏洞,只有一个被武器化。

nVisium首席执行官Jack Mannino在对Threatpost的讲话中提到:

在过去的十年中,Web应用程序漏洞已成为越来越成熟的攻击媒介。众所周知,特别是WordPress和Apache Struts实施受到过时的插件和库版本的困扰。由于这些系统未打补丁且长时间未更新,因此暴露的可能性很高。针对这些技术的现成攻击已在攻击者工具中普遍存在,并将继续存在。

勒索软件具有破坏性强、影响范围深的特点,从企业到政府机构再到普通用户,无一不受到过勒索软件的影响。近些年来,勒索软件呈爆发增长的态势,FireEye Mandiant的研究人员回顾了2017年到2019年间的多起勒索软件事件响应调查,遍布北美、欧洲、亚太和中东地区,涉及各大行业,总结了初始入侵载体驻留时间和勒索软件部署时间的一些共同特征,研究表明,如果能将防御的重点放在关键领域并能迅速采取行动,就有可能在勒索软件部署之前就将其终止。

图1:勒索软件事件中观察总结

事件响应调查能使我们对勒索软件趋势有了更深入的了解(本文展示数据仅代表活动样本中所得)。例如,从2017年到2019年,Mandiant对勒索软件的调查量增加了860%,其中大多数都是先入侵后感染,研究人员认为,这种策略当前已成为主流,目的是增加受害者支付赎金的可能性。当然,勒索软件植入后立即执行的事件也是有的,例如GANDCRAB和GLOBEIMPOSTER,但是就复杂度和检测时间而言,“后感染”策略都有明显的优势。

常见的初始感染媒介

常见初始感染媒介包括三类:RDP、带有恶意链接或附件的钓鱼邮件,以及下载恶意软件进行后续活动的恶意驱动程序。在2017年,观察到的RDP较为频繁,在2018年和2019年有所下降。这些媒介表明勒索软件可以通过多种方式进入受害者环境,且并非所有方式都需要用户交互。

多数勒索软件会在初次感染的三天后才进行部署

从初次感染到勒索软件部署经历的天数如下图所示。可以看出,在大多数情况下,初次感染和勒索软件部署之间存在一定的时间间隔,有75%的勒索软件与初次感染间至少隔了三天时间。

这也表明,对于多数组织而言,如果能够快速检测、遏制并及时修复,则可以避免勒索软件造成的重大损失。 

图2:初始访问和勒索软件部署之间经过的天数

勒索软件通常在非工作时间部署

有76%的事件表明,勒索软件是在周末或下午6:00之后到上午8:00之前执行的,如下图3和图4所示。一些攻击者可能有意在下班后,周末或节假日期间部署勒索软件,以最大程度地发挥攻击有效性。还有一些情况例外,比如勒索软件的部署需要与用户操作配合,像是在2019年一起针对美国零售业的勒索软件攻击事件中,攻击者创建了一个Active Directory组策略对象来触发基于用户登录和注销的勒索程序执行。

 

图3:勒索软件的执行经常在下班后进行 

图4:勒索软件执行时间

勒索软件具有破坏性强、影响范围深的特点,从企业到政府机构再到普通用户,无一不受到过勒索软件的影响。近些年来,勒索软件呈爆发增长的态势,FireEye Mandiant的研究人员回顾了2017年到2019年间的多起勒索软件事件响应调查,遍布北美、欧洲、亚太和中东地区,涉及各大行业,总结了初始入侵载体驻留时间和勒索软件部署时间的一些共同特征,研究表明,如果能将防御的重点放在关键领域并能迅速采取行动,就有可能在勒索软件部署之前就将其终止。

图1:勒索软件事件中观察总结

事件响应调查能使我们对勒索软件趋势有了更深入的了解(本文展示数据仅代表活动样本中所得)。例如,从2017年到2019年,Mandiant对勒索软件的调查量增加了860%,其中大多数都是先入侵后感染,研究人员认为,这种策略当前已成为主流,目的是增加受害者支付赎金的可能性。当然,勒索软件植入后立即执行的事件也是有的,例如GANDCRAB和GLOBEIMPOSTER,但是就复杂度和检测时间而言,“后感染”策略都有明显的优势。

常见的初始感染媒介

常见初始感染媒介包括三类:RDP、带有恶意链接或附件的钓鱼邮件,以及下载恶意软件进行后续活动的恶意驱动程序。在2017年,观察到的RDP较为频繁,在2018年和2019年有所下降。这些媒介表明勒索软件可以通过多种方式进入受害者环境,且并非所有方式都需要用户交互。

多数勒索软件会在初次感染的三天后才进行部署

从初次感染到勒索软件部署经历的天数如下图所示。可以看出,在大多数情况下,初次感染和勒索软件部署之间存在一定的时间间隔,有75%的勒索软件与初次感染间至少隔了三天时间。

这也表明,对于多数组织而言,如果能够快速检测、遏制并及时修复,则可以避免勒索软件造成的重大损失。 

图2:初始访问和勒索软件部署之间经过的天数

勒索软件通常在非工作时间部署

有76%的事件表明,勒索软件是在周末或下午6:00之后到上午8:00之前执行的,如下图3和图4所示。一些攻击者可能有意在下班后,周末或节假日期间部署勒索软件,以最大程度地发挥攻击有效性。还有一些情况例外,比如勒索软件的部署需要与用户操作配合,像是在2019年一起针对美国零售业的勒索软件攻击事件中,攻击者创建了一个Active Directory组策略对象来触发基于用户登录和注销的勒索程序执行。

 

图3:勒索软件的执行经常在下班后进行 

图4:勒索软件执行时间

DHS警告称,多个APT黑客组织正在积极利用未打补丁的Microsoft Exchange服务器漏洞。如果成功,则攻击者可以使用高级特权远程安装代码。

图片1.png

Microsoft Exchange服务器中发现的一个严重漏洞正被多个APT黑客组织积极利用。根据美国国土安全部网络安全和基础设施安全局的警报,只要成功破解未打补丁的系统,攻击者就可以获得远程访问权限。

美国国家安全局建议各组织查看Microsoft的针对性指南以缓解该漏洞的潜在危害。

该漏洞名为CVE-2020-0688,在Exchange邮件和日历服务器控制面板中被发现。服务器在安装时无法正确创建唯一密钥。微软警告说,有了验证密钥,以邮箱通过身份验证的用户可以传递“由Web应用程序反序列化的任意对象,该Web应用程序以SYSTEM身份运行”。

研究人员警告说,该漏洞对于黑客来说是一个有吸引力的目标,因为它可以使他们控制受影响的系统。微软在二月份发布了针对该漏洞的补丁程序,但攻击者仍在积极针对未打补丁的系统。

Volexity研究人员最近分享了对这些攻击的见解,他们发现,只需满足三个条件,黑客就可以成功利用该漏洞,条件包括漏洞修补失败、攻击者访问Exchange控制面板界面。

最后,如果黑客获得工作凭证,就能够访问受影响的控制面板,并从经过身份验证的session cookie中收集ViewStateKey,并从页面源内的隐藏字段中收集__VIEWSTATEGENERATOR值。”

研究人员指出:“攻击者利用的凭证无需具有很高的特权或具有ECP访问权限。在某些情况下,攻击者似乎一直在等待机会,用原本没有用的凭据进行攻击。”

研究人员还表示:“许多组织采用两因素身份验证(2FA)来保护其VPN、电子邮件等,从而限制了攻击者利用被泄露密码进行攻击的一些行为。此漏洞使攻击者能够使用简单的用户凭据或陈旧的服务帐户来访问组织中的重要资产。”

对于Volexity而言,该事件使人们发觉还是需要更完美的密码管理策略,比如即便使用2FA也要定期更改登录凭据。

目前,成功利用此漏洞的黑客可以运行系统命令进行侦察,通过Microsoft Outlook on Web(OWA)部署webshell后门,并执行内存中的开发后框架。

Volexity研究人员还检测到多个APT黑客组织在Exchange Web 服务器上使用蛮力凭据,似乎是为了利用漏洞而做出的努力。

研究人员警告说:“虽然使用蛮力凭据的情况经常出现,但某些组织的攻击频率和强度在漏洞披露后急剧增加。”

他们补充说:“ Volexity认为,这些努力应来自已知的APT组,因为与其他攻击的IP地址重叠,并且在某些情况下,只有以前有过违规行为才知道这些凭据的目标,”

如果被利用,组织可以通过多种方式检测到违规。IT负责人可以参考Volexity建议的步骤,通过Exchange服务器异常日志,应用程序事件日志,Web目录和其他服务来监视威胁。

为缓解此问题,各组织可以应用Microsoft在2月提供的补丁。此外,各组织应在IIS中的ECP虚拟目录上实施访问控制列表(ACL)限制,并且打开Web应用程序防火墙功能。

如果没有特别需要,也不应直接访问ECP目录。在理想情况下,这将使从Internet来的访问被禁用,或限制组织内部的IP访问。

最后,强烈建议组织“将现有密码设置为过期”,并要求定期更新密码。研究人员经常观察到使用旧密码而导致的严重数据泄露事件。并且应该禁用不再需要的或过去90天内未登录的帐户。

研究人员提到:

值得注意的是2FA有机会成功阻止攻击,因为攻击者可能无法获取利用此漏洞所需的数据。此漏洞强调了这样一种情况,即组织在被锁定,并正确部署2FA时,仍有可能由于过时或弱密码而发生意外。

保持补丁最新是组织的最佳防御方式。如果没有更新,蠢蠢欲动的攻击者现在可以利用它来破坏IT基础结构的关键部分。如果还没有,请立即应用这些安全更新,并寻找损害的迹象。

DHS警告称,多个APT黑客组织正在积极利用未打补丁的Microsoft Exchange服务器漏洞。如果成功,则攻击者可以使用高级特权远程安装代码。

图片1.png

Microsoft Exchange服务器中发现的一个严重漏洞正被多个APT黑客组织积极利用。根据美国国土安全部网络安全和基础设施安全局的警报,只要成功破解未打补丁的系统,攻击者就可以获得远程访问权限。

美国国家安全局建议各组织查看Microsoft的针对性指南以缓解该漏洞的潜在危害。

该漏洞名为CVE-2020-0688,在Exchange邮件和日历服务器控制面板中被发现。服务器在安装时无法正确创建唯一密钥。微软警告说,有了验证密钥,以邮箱通过身份验证的用户可以传递“由Web应用程序反序列化的任意对象,该Web应用程序以SYSTEM身份运行”。

研究人员警告说,该漏洞对于黑客来说是一个有吸引力的目标,因为它可以使他们控制受影响的系统。微软在二月份发布了针对该漏洞的补丁程序,但攻击者仍在积极针对未打补丁的系统。

Volexity研究人员最近分享了对这些攻击的见解,他们发现,只需满足三个条件,黑客就可以成功利用该漏洞,条件包括漏洞修补失败、攻击者访问Exchange控制面板界面。

最后,如果黑客获得工作凭证,就能够访问受影响的控制面板,并从经过身份验证的session cookie中收集ViewStateKey,并从页面源内的隐藏字段中收集__VIEWSTATEGENERATOR值。”

研究人员指出:“攻击者利用的凭证无需具有很高的特权或具有ECP访问权限。在某些情况下,攻击者似乎一直在等待机会,用原本没有用的凭据进行攻击。”

研究人员还表示:“许多组织采用两因素身份验证(2FA)来保护其VPN、电子邮件等,从而限制了攻击者利用被泄露密码进行攻击的一些行为。此漏洞使攻击者能够使用简单的用户凭据或陈旧的服务帐户来访问组织中的重要资产。”

对于Volexity而言,该事件使人们发觉还是需要更完美的密码管理策略,比如即便使用2FA也要定期更改登录凭据。

目前,成功利用此漏洞的黑客可以运行系统命令进行侦察,通过Microsoft Outlook on Web(OWA)部署webshell后门,并执行内存中的开发后框架。

Volexity研究人员还检测到多个APT黑客组织在Exchange Web 服务器上使用蛮力凭据,似乎是为了利用漏洞而做出的努力。

研究人员警告说:“虽然使用蛮力凭据的情况经常出现,但某些组织的攻击频率和强度在漏洞披露后急剧增加。”

他们补充说:“ Volexity认为,这些努力应来自已知的APT组,因为与其他攻击的IP地址重叠,并且在某些情况下,只有以前有过违规行为才知道这些凭据的目标,”

如果被利用,组织可以通过多种方式检测到违规。IT负责人可以参考Volexity建议的步骤,通过Exchange服务器异常日志,应用程序事件日志,Web目录和其他服务来监视威胁。

为缓解此问题,各组织可以应用Microsoft在2月提供的补丁。此外,各组织应在IIS中的ECP虚拟目录上实施访问控制列表(ACL)限制,并且打开Web应用程序防火墙功能。

如果没有特别需要,也不应直接访问ECP目录。在理想情况下,这将使从Internet来的访问被禁用,或限制组织内部的IP访问。

最后,强烈建议组织“将现有密码设置为过期”,并要求定期更新密码。研究人员经常观察到使用旧密码而导致的严重数据泄露事件。并且应该禁用不再需要的或过去90天内未登录的帐户。

研究人员提到:

值得注意的是2FA有机会成功阻止攻击,因为攻击者可能无法获取利用此漏洞所需的数据。此漏洞强调了这样一种情况,即组织在被锁定,并正确部署2FA时,仍有可能由于过时或弱密码而发生意外。

保持补丁最新是组织的最佳防御方式。如果没有更新,蠢蠢欲动的攻击者现在可以利用它来破坏IT基础结构的关键部分。如果还没有,请立即应用这些安全更新,并寻找损害的迹象。

介绍

Cybereason安全团队近期发现,有攻击者利用远控工具njRat来木马化多种黑客工具,并将这些工具发布在各大黑客论坛和网站上,有人下载并打开后,攻击者便可以完全控制受害者的计算机。此行动已经运作了数年时间。

要点

完全控制:活动使用njRat木马劫持受害者计算机,为攻击者提供了完全的访问权限,可以用于从执行DDoS攻击到窃取敏感数据的任何事情。

引诱黑客上钩:通过将各种黑客工具及相关安装程序木马化,并将其发布到各大论坛和网站进行传播,诱骗其他黑客上钩。

WordPress网站托管:通过入侵易受攻击的WordPress站点托管其恶意njRat负载。

更新迭代快:活动背后的参与者每天都在构建新版本的黑客工具。

恶意软件分析

njRat是一种远控软件,常见于中东地区,它可以让操作者劫持受害者的电脑进行键盘记录、截屏、文件处理和过滤、开启网络摄像头及麦克风录音。虽然njRat相当普遍流行,但近期出现的特殊感染类型引起了研究人员的注意。

 Hack-Hackers-1

图1.初步检测到的njRat

该进程看似伪装成了合法的Windows应用程序explorer.exe,在VirusTotal上检查其哈希值时,显示样本只存在了几个小时。而在受害者环境中,njRat关联到两个IP地址,其中一个是capeturk.com(稍后介绍),另一个是anandpen.com——一家位于印度的办公用品制造商网站。

image.png

Hack-Hackers-2

anandpen.com是一个遭黑客入侵的WordPress站点,可从其内部WordPress目录下提供恶意软件,这是利用WordPress进行恶意软件托管的常见做法。在本例中,其中一个payload通过anandpen.com域上的/wp-includes/images/media/1/explorer.zip路径提供。

在运行了一些YARA查询并在与上述两个IP地址相关的VT上搜索了所有样本之后,我们发现了同一服务器上托管的数十种不同样本的njRat,每个样本的创建时间都不同。所有样本都带有合法的Windows进程名称,例如svchost.exe或explorer.exe,都在%AppData%内的子目录中执行。

查找根本原因

调查Malop时,恶意Explorer.exe进程与主机7777.elitfilmizle [.] com通信。

Hack-Hackers-3

未签名的PE文件中的信息字段具有一个值得注意的特性:

Hack-Hackers-4

突出显示的是文件的公司名称和产品名称,进一步检查文件版本信息会发现更多不匹配项:

Hack-Hackers-5

文件哈希值d5f53d26615772ff3ca84d88604f2ddf。

为了进行比较,以下是Windows 10 Pro内部版本1903中经过合法签名的explorer.exe的产品信息字段:

Hack-Hackers-6

合法的explorer.exe哈希值:4E196CEA0C9C46A7D656C67E52E8C7C7。

两个文件的文件名都是explorer.exe,公司名称“ Intel Corporation”和产品名“ Intel(R)Common Users Interface”也都保持一致。不一样的是文件的PDB路径,恶意样本PDB如下:

Hack-Hackers-6-b-1

其中有一些值得注意的细节:

· “ 2020年3月2日”——日期表示有多个不同的变体(过去/将来的版本)

· “ TripleDES-Rijn-GZIPP”-指恶意软件的加载程序伪装方法(稍后介绍)

检查explorer.exe时,很明显它实际上是.NET PE可执行文件:

Hack-Hackers-7-1

经过仔细检查,该文件最初是用Visual Basic编写的,这对于njRat加载程序来说是很典型的:

Hack-Hackers-8

对可执行文件反编译后,部分加密器功能可用(为了便于阅读反编译为C#):

Hack-Hackers-9

截图中的三个红色箭头与之前提到的字符串相关,出现在PDB中(“ TripleDES-Rijn-GZIPP”)。箭头所指的是文件的加密和压缩(也可以说是混淆)方法:先是TripleDES,中间的是AES (Rijndael),然后是GZIP压缩。蓝色箭头指向用于TripleDES和AES加密的密钥,即“abc123456”。

加载程序解压负载后,它将删除原始加载程序文件并继续执行。恶意软件将创建一个新目录%USER%\AppData\Roaming\Intel Corporation\Intel(R) Common User Interface\8.1.1.7800\,并将其用作暂存目录。njRat加载程序将文件拖放到该暂存目录中,最终植入随机名称的njRat负载,并将文件名更改为explorer.exe,将其复制到%AppData%\roaming,然后从此处执行。执行后,伪造的explorer.exe(njRat有效负载)运行netsh命令与外界通信。它使用以下命令更改Windows防火墙:

netsh firewall add allowedprogram 'C:\Users\user\AppData\Roaming\explorer.exe' 'explorer.exe'

njRat通过与多台服务器联系来接收来自操作员的命令和文件:

· Capeturk.com:活动中使用的njRat较新版本的存储库

· Blog.capeturk.com:njRat的C2

· Anandpen.com:各种njRat版本,以及攻击者使用的其他工具的存储库

威胁情报

现在了解了njRat的运作方式以及与之连接的服务器,但仍然存在一个问题:如何感染的?

受害者环境中部署了许多黑客和渗透工具,通过检查网络上的哈希值,可以看到所有的黑客工具都有各种各样的漏洞,而此次活动正是利用了这些工具和漏洞。

通过VTGraph将标识的服务器与VT上找到的哈希相关联,可以看到有很多与此活动相关的样本:

Hack-Hackers-10-b

现在,已知有一种通过木马化黑客工具来针对黑客的活动,还有剩下一个问题:这些木马工具是从哪里来的?

系统上的文件之一是SQLi Dumper的注册机,SQLi Dumper是用于执行各种SQL注入和数据转储的工具。

Hack-Hackers-11

该注册机归于[RTN],RTN是一个编写各种程序破解的组织,他们有一个网站和一个论坛:

Hack-Hackers-12

说明:撰写此报告时,RTN论坛尚无法访问,无法确定此木马文件是否与RTN有任何关系,不过mediafire文件托管网站包含了此木马文件和许多其他破解版本的工具:

Hack-Hackers-13

在寻找该文件共享页面时,发现在Blogspot上托管的博客中有许多上述的木马化工具,可关联到上述的MediaFire文件共享:

Hack-Hackers-14

如上所述,这项活动似乎已经持续了几年的时间。到目前为止,我们已经找到了伪装成各种黑客工具或伪装成Chrome Internet浏览器安装程序的示例。 * .capeturk.com子域大约有700个样本,并且每天还会有很多新样本添加其中。

PDB

如恶意软件分析部分所述,嵌入在恶意软件样本中的PDB路径包含有关恶意软件的封装信息,如以下示例所示。每个示例均取自不同样本:

1. C:\Users\pc\Desktop\25-8-2019\3 lop-GZip+poly Xor base64\GZip+poly Xor base64 builder\WindowsApplication2\obj\Release\WindowsApplication2.pdb。

2. C:\Users\pc\Downloads\Gen code PolyRSM RC4 Poly AES Gzip Builder 21-09-2018\PolyRSM RC4 Poly AES Gzip 26-07-2018\PolyRSM +RC4+ Poly AES +Gzip Builder 07-01-2015\obj\x86\Release\explorer.pdb。

3. C:\Users\pc\Desktop\xxxxx\ALL PolyRSM +RC4+ Poly AES +Gzip StrReverse 11-01-2019\PolyRSM +RC4+ Poly AES +Gzip Builder StrReverse 11-01-2019\obj\x86\Release\explorer.pdb。

4. C:\Users\pc\Desktop\03-02-2020\ZIP RC2 RC4\decode\WindowsApplication6\obj\Release\explorer.pdb。

5. C:\Users\pc\Desktop\03-02-2020\NEW 3DES ZIP 29-01-2020\decode\WindowsApplication6\obj\Release\taskhost.pdb。

这些只是数百个文件中的其中四个。值得注意的是,每个样本都有不同的日期,一些是最近的,而另一些则是几年前的,表明恶意文件的编译是自动化的。

在2018年6月之前,capeturk.com似乎是一家知名游戏《我的世界》(Minecraft)的网站,位于土耳其。2018年11月25日,capeturk.com域名到期,由一名越南个人注册,也是在重新注册时,该域名开始与恶意软件关联,然而尚不清楚这个越南个人是否与恶意软件活动有任何联系。话虽如此,但有来自越南的人在不断地检测样本,并将其提交病毒检测。我们怀疑这个人与越南的域名所有权有关:

Hack-Hackers-15

注意:根据提交信息中突出显示的路径和路径中的win7x64用户名,应该是某种测试机。另外此样品是从越南提交的。

多个活动和目标?

在检查了提交给capeturk.com的不同子域的不同样本后,似乎每个子域都针对不同的软件,因此针对的是不同的受害者。与blog.capeturk.com相关的所有样本都针对各种渗透测试和黑客工具,但其他子域针对的是Chrome安装程序、本机Windows应用程序和其他与黑客或渗透测试无关的随机程序。

例如,此示例连接到6666.elitfilmizle.com,是另一个伪装成NVIDIA服务的njRat负载:

Hack-Hackers-16

要注意的是子域中的数字(6666、7777等)对应于主机上运行C2服务器的端口。例如,6666.elitfilmizle.com的侦听端口为6666,7777.elitfilmizle.com的侦听端口为7777,依此类推。

结论

此次行动浮出水面后,我们几乎每天都会收集近1000个njRat样本。可以肯定地说,有许多人已被感染(不过无法确切知道有多少人)。显然此活动背后的攻击者正在使用多个服务器,其中一些服务器似乎是被黑客入侵的WordPress站点,还有一些根据主机名和DNS数据等判断,应该是攻击者个人的设备。

目前,除了连接到“ 7777服务器”的木马化黑客工具所针对的受害者之外,我们无法确定该活动所针对到的其他受害者,我们将继续监视该活动的进一步发展。

介绍

Cybereason安全团队近期发现,有攻击者利用远控工具njRat来木马化多种黑客工具,并将这些工具发布在各大黑客论坛和网站上,有人下载并打开后,攻击者便可以完全控制受害者的计算机。此行动已经运作了数年时间。

要点

完全控制:活动使用njRat木马劫持受害者计算机,为攻击者提供了完全的访问权限,可以用于从执行DDoS攻击到窃取敏感数据的任何事情。

引诱黑客上钩:通过将各种黑客工具及相关安装程序木马化,并将其发布到各大论坛和网站进行传播,诱骗其他黑客上钩。

WordPress网站托管:通过入侵易受攻击的WordPress站点托管其恶意njRat负载。

更新迭代快:活动背后的参与者每天都在构建新版本的黑客工具。

恶意软件分析

njRat是一种远控软件,常见于中东地区,它可以让操作者劫持受害者的电脑进行键盘记录、截屏、文件处理和过滤、开启网络摄像头及麦克风录音。虽然njRat相当普遍流行,但近期出现的特殊感染类型引起了研究人员的注意。

 Hack-Hackers-1

图1.初步检测到的njRat

该进程看似伪装成了合法的Windows应用程序explorer.exe,在VirusTotal上检查其哈希值时,显示样本只存在了几个小时。而在受害者环境中,njRat关联到两个IP地址,其中一个是capeturk.com(稍后介绍),另一个是anandpen.com——一家位于印度的办公用品制造商网站。

image.png

Hack-Hackers-2

anandpen.com是一个遭黑客入侵的WordPress站点,可从其内部WordPress目录下提供恶意软件,这是利用WordPress进行恶意软件托管的常见做法。在本例中,其中一个payload通过anandpen.com域上的/wp-includes/images/media/1/explorer.zip路径提供。

在运行了一些YARA查询并在与上述两个IP地址相关的VT上搜索了所有样本之后,我们发现了同一服务器上托管的数十种不同样本的njRat,每个样本的创建时间都不同。所有样本都带有合法的Windows进程名称,例如svchost.exe或explorer.exe,都在%AppData%内的子目录中执行。

查找根本原因

调查Malop时,恶意Explorer.exe进程与主机7777.elitfilmizle [.] com通信。

Hack-Hackers-3

未签名的PE文件中的信息字段具有一个值得注意的特性:

Hack-Hackers-4

突出显示的是文件的公司名称和产品名称,进一步检查文件版本信息会发现更多不匹配项:

Hack-Hackers-5

文件哈希值d5f53d26615772ff3ca84d88604f2ddf。

为了进行比较,以下是Windows 10 Pro内部版本1903中经过合法签名的explorer.exe的产品信息字段:

Hack-Hackers-6

合法的explorer.exe哈希值:4E196CEA0C9C46A7D656C67E52E8C7C7。

两个文件的文件名都是explorer.exe,公司名称“ Intel Corporation”和产品名“ Intel(R)Common Users Interface”也都保持一致。不一样的是文件的PDB路径,恶意样本PDB如下:

Hack-Hackers-6-b-1

其中有一些值得注意的细节:

· “ 2020年3月2日”——日期表示有多个不同的变体(过去/将来的版本)

· “ TripleDES-Rijn-GZIPP”-指恶意软件的加载程序伪装方法(稍后介绍)

检查explorer.exe时,很明显它实际上是.NET PE可执行文件:

Hack-Hackers-7-1

经过仔细检查,该文件最初是用Visual Basic编写的,这对于njRat加载程序来说是很典型的:

Hack-Hackers-8

对可执行文件反编译后,部分加密器功能可用(为了便于阅读反编译为C#):

Hack-Hackers-9

截图中的三个红色箭头与之前提到的字符串相关,出现在PDB中(“ TripleDES-Rijn-GZIPP”)。箭头所指的是文件的加密和压缩(也可以说是混淆)方法:先是TripleDES,中间的是AES (Rijndael),然后是GZIP压缩。蓝色箭头指向用于TripleDES和AES加密的密钥,即“abc123456”。

加载程序解压负载后,它将删除原始加载程序文件并继续执行。恶意软件将创建一个新目录%USER%\AppData\Roaming\Intel Corporation\Intel(R) Common User Interface\8.1.1.7800\,并将其用作暂存目录。njRat加载程序将文件拖放到该暂存目录中,最终植入随机名称的njRat负载,并将文件名更改为explorer.exe,将其复制到%AppData%\roaming,然后从此处执行。执行后,伪造的explorer.exe(njRat有效负载)运行netsh命令与外界通信。它使用以下命令更改Windows防火墙:

netsh firewall add allowedprogram 'C:\Users\user\AppData\Roaming\explorer.exe' 'explorer.exe'

njRat通过与多台服务器联系来接收来自操作员的命令和文件:

· Capeturk.com:活动中使用的njRat较新版本的存储库

· Blog.capeturk.com:njRat的C2

· Anandpen.com:各种njRat版本,以及攻击者使用的其他工具的存储库

威胁情报

现在了解了njRat的运作方式以及与之连接的服务器,但仍然存在一个问题:如何感染的?

受害者环境中部署了许多黑客和渗透工具,通过检查网络上的哈希值,可以看到所有的黑客工具都有各种各样的漏洞,而此次活动正是利用了这些工具和漏洞。

通过VTGraph将标识的服务器与VT上找到的哈希相关联,可以看到有很多与此活动相关的样本:

Hack-Hackers-10-b

现在,已知有一种通过木马化黑客工具来针对黑客的活动,还有剩下一个问题:这些木马工具是从哪里来的?

系统上的文件之一是SQLi Dumper的注册机,SQLi Dumper是用于执行各种SQL注入和数据转储的工具。

Hack-Hackers-11

该注册机归于[RTN],RTN是一个编写各种程序破解的组织,他们有一个网站和一个论坛:

Hack-Hackers-12

说明:撰写此报告时,RTN论坛尚无法访问,无法确定此木马文件是否与RTN有任何关系,不过mediafire文件托管网站包含了此木马文件和许多其他破解版本的工具:

Hack-Hackers-13

在寻找该文件共享页面时,发现在Blogspot上托管的博客中有许多上述的木马化工具,可关联到上述的MediaFire文件共享:

Hack-Hackers-14

如上所述,这项活动似乎已经持续了几年的时间。到目前为止,我们已经找到了伪装成各种黑客工具或伪装成Chrome Internet浏览器安装程序的示例。 * .capeturk.com子域大约有700个样本,并且每天还会有很多新样本添加其中。

PDB

如恶意软件分析部分所述,嵌入在恶意软件样本中的PDB路径包含有关恶意软件的封装信息,如以下示例所示。每个示例均取自不同样本:

1. C:\Users\pc\Desktop\25-8-2019\3 lop-GZip+poly Xor base64\GZip+poly Xor base64 builder\WindowsApplication2\obj\Release\WindowsApplication2.pdb。

2. C:\Users\pc\Downloads\Gen code PolyRSM RC4 Poly AES Gzip Builder 21-09-2018\PolyRSM RC4 Poly AES Gzip 26-07-2018\PolyRSM +RC4+ Poly AES +Gzip Builder 07-01-2015\obj\x86\Release\explorer.pdb。

3. C:\Users\pc\Desktop\xxxxx\ALL PolyRSM +RC4+ Poly AES +Gzip StrReverse 11-01-2019\PolyRSM +RC4+ Poly AES +Gzip Builder StrReverse 11-01-2019\obj\x86\Release\explorer.pdb。

4. C:\Users\pc\Desktop\03-02-2020\ZIP RC2 RC4\decode\WindowsApplication6\obj\Release\explorer.pdb。

5. C:\Users\pc\Desktop\03-02-2020\NEW 3DES ZIP 29-01-2020\decode\WindowsApplication6\obj\Release\taskhost.pdb。

这些只是数百个文件中的其中四个。值得注意的是,每个样本都有不同的日期,一些是最近的,而另一些则是几年前的,表明恶意文件的编译是自动化的。

在2018年6月之前,capeturk.com似乎是一家知名游戏《我的世界》(Minecraft)的网站,位于土耳其。2018年11月25日,capeturk.com域名到期,由一名越南个人注册,也是在重新注册时,该域名开始与恶意软件关联,然而尚不清楚这个越南个人是否与恶意软件活动有任何联系。话虽如此,但有来自越南的人在不断地检测样本,并将其提交病毒检测。我们怀疑这个人与越南的域名所有权有关:

Hack-Hackers-15

注意:根据提交信息中突出显示的路径和路径中的win7x64用户名,应该是某种测试机。另外此样品是从越南提交的。

多个活动和目标?

在检查了提交给capeturk.com的不同子域的不同样本后,似乎每个子域都针对不同的软件,因此针对的是不同的受害者。与blog.capeturk.com相关的所有样本都针对各种渗透测试和黑客工具,但其他子域针对的是Chrome安装程序、本机Windows应用程序和其他与黑客或渗透测试无关的随机程序。

例如,此示例连接到6666.elitfilmizle.com,是另一个伪装成NVIDIA服务的njRat负载:

Hack-Hackers-16

要注意的是子域中的数字(6666、7777等)对应于主机上运行C2服务器的端口。例如,6666.elitfilmizle.com的侦听端口为6666,7777.elitfilmizle.com的侦听端口为7777,依此类推。

结论

此次行动浮出水面后,我们几乎每天都会收集近1000个njRat样本。可以肯定地说,有许多人已被感染(不过无法确切知道有多少人)。显然此活动背后的攻击者正在使用多个服务器,其中一些服务器似乎是被黑客入侵的WordPress站点,还有一些根据主机名和DNS数据等判断,应该是攻击者个人的设备。

目前,除了连接到“ 7777服务器”的木马化黑客工具所针对的受害者之外,我们无法确定该活动所针对到的其他受害者,我们将继续监视该活动的进一步发展。