最近微软Word 0day漏洞很热,本月的Patch Tuesday微软也终于放出了针对这个CVE-2017-0199漏洞的补丁,与先前报道不同的是,此漏洞还影响微软自带的写字板。据安全公司FireEye透露,此漏洞曾被网络犯罪者用于传播恶意软件,甚至还有国家支持的间谍组织用于刺探乌克兰亲俄派。

故事要从2016年说起,当时名叫Ryan Hanson的安全研究员在RTF文件中发现了一个安全漏洞,利用该漏洞可在底层操作系统上执行代码。

Hanson 完成了一天的漏洞挖掘工作,打算将他在2016年10月发现的三个微软漏洞报告提交给给微软(当时微软曾开启了一个漏洞赏金计划)

反常的是,微软竟然用了6个月的时间才修复了Hanson提交的三个Word 漏洞,最终在今年4月的Patch Tuesday才公布了三个对应补丁,分别是 CVE-2017-0106, CVE-2017-0199, and CVE-2017-0204。

然而令微软意想不到的是,就在他们放出补丁的前几天,McAfee和FireEye的研究员也发现了这个0day,也就是我们先前发过的那篇资讯

image-02-700x441.png

漏洞被用于攻击乌克兰的亲俄派

过长的修补期给了其他人可乘之机,由于McAfeeFireEye公布0day漏洞时,微软还没有发布补丁,因此FireEye当时不能透露太多细节。然而就在当补丁发布后,数家安全公司开始将一些幕后细节全盘托出。

据FireEye表示,0day首次出现于在2017年的1月25日,当时FireEye发现了一个FinSpy模式的漏洞利用。

FinSpy是一款由Gamma Group出售的黑客工具包,而这款产品的买家通常都是一些来自全球各地的政府和执法机构,它可不是能在地下黑客论坛找到的普通货色。

那一次FinSpy活动的主要针对的是俄语国家用户,用于攻击的Word文档最终会在目标电脑上留下FinSpy后门。这些文件提到顿涅茨克人民共和国,暗示着一场以乌克兰东部的俄罗斯反叛分子为目标的运动。

当FireEye发现FinSpy的行动时就确信Gamma Group就已经将0day告知它的用户群,也就意味着那些购买过间谍软件的国家都有可能利用这个漏洞。

犯罪软件组织也看上了这个0day

在FinSpy活动的两个月后,也就是三月底,FireEye再次检测到该0day,但是这一次是某网络犯罪组织用于散播LatentBot。LatentBot是一种复杂的后门木马,通常能在企业环境和金融刺探行动中发现它的身影。

FireEye专家提到:

从FinSpy和LatentBot中发现的例子可知,这两次攻击活动建立在同一个基础上,并且支持网络犯罪和网络刺探的漏洞利用代码来自同一个源。

在两次网络犯罪活动中出现的恶意文档的最新版本是在 2016-11-27 22:42:00,某人曾向各大组织兜售过这个Microsoft Word 0day。

SharedTimestamps.png

FinSpy和LatentBot案例中最后一次修改时间

在FireEye和McAfee公布Word 0day后,该组织显然发起了一场公开出售,他们知道一旦补丁到位,自己制作的exploit将会一文不值,因此该组织急切地与其他犯罪组织共享了(很有可能出售)0day。

就在本周一,Proofpoint检测到一次通过利用Word 0day exploit传播Dridex银行木马的垃圾邮件活动。

同样是周一,安全公司Netskope 发现了同一个垃圾邮件潮,不过这次传播的是Godzilla。(一种普通的恶意软件下载器)

0day不光影响Office,还有写字板

0day最初以Office漏洞的形式进入我们的视野,然而据微软的安全顾问称,Windows自带的写字板同样受该漏洞影响。

也就是说,哪怕用户没有安装Office,并且选择使用写字板打开诱捕文档,那么他们也将面临风险。当这种情况发生时,文件中打包的漏洞exploit将执行,并下载被伪装为RTF的HTA(HTML应用程序)文件,而后者又会运行利用用户计算机的PowerShell命令。

显然这个写字板的漏洞更为致命,我们甚至没有一个类似于Office里的Protected View(视图保护)来规避这种攻击。(我们曾在上一篇Word 0day中提到通过Office的Protected View功能保证我们不会受到此类攻击的影响。)

值得一提的是,如果利用CVE-2017-0199和CVE-2017-0204的组合拳Office的阅读保护功能也能被绕过。

最后

虽然微软的更新姗姗来迟,但是还有很多电脑并未安装补丁,漏洞依然存在威胁。

*参考来源:bleeping,FB小编bimeover编译,转载请注明来自Freebuf.COM

前一阵,我们对Apache Strust 2的CVE-2017-5638漏洞进行了预警,最近F5实验室的研究人员发现Apache Struts 2 漏洞被网络罪犯用于传递Cerber勒索软件。实际上在Strut2漏洞公开之时,怀有歹心的人就利用了S2-045(CVE-2017-5638)远程代码执行漏洞来传递勒索软件——在服务器上部署勒索软件从去年下半年开始就已经成为如今的一个趋势了。

概述

一般僵尸网络的作者常用的攻击方式,首先是扫描互联网上的web漏洞,以便恶意程序或者后门能够利用此类漏洞。服务器一般都有着较强的性能和高带宽,而且很多是不带反病毒解决方案的。

所以一旦某个0day漏洞曝光,网上就会有一堆攻击者开始搞扫描工作,其中一大部分都是恶意攻击者。前一阵我们还预警了Apache Struts 2的漏洞CVE-2017-5638,这个漏洞影响的是Jakarta Multipart Parser。F5实验室的研究人员随即发现网上已经有人开始利用这个漏洞搞破坏了,攻击不下10例。而其中某一个案例格外引人注目。

恶意软件简单分析

该攻击活动是在S2-045漏洞被披露几天之后发现的,即2017年3月6日开始的。3月10日,F5的研究人员就开始观察该攻击活动。其攻击传染媒介似乎对原有的公开PoC做了轻微的修改。

STRUTS_Fig1.png

图1.S2-045的正常网络活动

如今所有人都直到,S2-045漏洞的触发是通过Content-Typer header值进行的——在这一例中,服务器如果的确存在该漏洞,攻击者就采用执行shell命令的方式来进行攻击。

在这波攻击的第一阶段中,研究人员发现攻击者将shell命令用于感染PowerBot恶意程序——这款恶意程序采用PERL编写,其主要功能就是DDoS攻击(PerBot或ShellBot)。

这些攻击者在扫描互联网是否存在Struts2漏洞后,随后的命令执行一般步骤是这样的:从远程服务器下载恶意程序,设置其为可执行(二进制文件),运行恶意程序,移除最初的感染文件。

一般来说,攻击payload采用目标设备已经安装的程序来下载恶意程序,比如wget和curl。在本次攻击行动中,攻击者也用上了wget,另外还用上了不怎么常用的fetch程序。而在wget的用法上,攻击者采用“wget -qO-”选项,这样一来会下载恶意程序,但并不会写入为磁盘上的文件。恶意内容会重定向到Perl解释器执行,减少了被检测到的可能性。

Bot部署到位后,被感染的服务器就会连接至IRC通道获取指令——如图2、图3所示。F5通过对IRC的追踪发现,到目前为止被感染的服务器已经超过2500个。

STRUTS_Fig2_1.png

图2:IRC通道包含超过2500个bot

随便挑选其中一些感染主机名和IP地址,就能发现其中有产品服务器来自AWS。

STRUTS_Fig3_1.png

图3:连接至IRC通道感染主机示例

从DDOS到加密虚拟币的挖掘

在接下来几天的观察中,F5的研究人员又发现了本次攻击活动的其它形式。只不过payload从Perl变成了Bash脚本,不过这里的payload只是用于部署2种不同恶意程序的开端罢了——这部分exploit仍然会下载并执行前文提到的Perl bot。

STRUTS_Fig4.png

图4.下载并运行PERL bot

不过这一次下载的是个虚拟币挖矿程序”minerd”(和其他一些必须的文件)。攻击者对恶意进程及其设置进行了伪装,令其看起来和Apache服务器进程差不多,这样用户会比较难分辨。

STRUTS_Fig5.png

图5.下载“minerd”及其配置文件

bot随后就开始挖矿了,挖掘所得的虚拟币会进入到多个加密币池中,如图6的配置文件所示。

STRUTS_Fig6.png

图6.“minerd”配置文件

这些矿池似乎托管于法国的“crypto-pool.fr”域名下:

STRUTS_Fig7.png

图7.矿机托管于法国在线的SAS网络

该恶意软件有趣的地方在于其自身的传播方式。它会在目标服务器上搜索服务器管理员连接的所有远程IP地址。它会搜索SSH“known_hosts”文件,该文件保留管理员连接的所有服务器的IP地址和特征。 同时它还会扫描Bash历史文件以获取SSH命令中使用的所有IP地址。一旦IP地址列表编译完成,脚本将尝试通过SSH与它们连接。如果配置的认证设置是使用密钥文件而不是用户名和密码,则恶意软件就会在远程计算机上成功完成自我部署。

STRUTS_Fig8.png

图8.恶意软件传播到其他已知服务器

ShellShock连接

F5研究人员观察到,本次攻击行动的其中一个IP地址来自香港,如图9所示。先前这个IP地址就曾经用ShellShock(CVE-2014-6271)发动类似的攻击。

STRUTS_Fig9.png

图9.攻击托管于香港港口的T&T网络

F5研究人员注意到,这次的恶意程序文件名和先前的攻击都是一样的,如图10和图11所示的”.mailer”和”a”。不过这次攻击所用的加密币挖矿池和账户变了,如图12所示。

STRUTS_Fig10.png

图10.ShellShock 传递“.mail”的PERL bot

STRUTS_Fig11.png

图11.ShellShock传递“a”的头部bash脚本

STRUTS_Fig12.png

图12.矿机配置

扩展到服务器勒索软件

一般来说利用web漏洞传播Linux DDoS恶意程序是很常见的事,值得一提的是,针对服务器的勒索软件从去年开始似乎成为了一种新趋势。

这次的幕后攻击者实际上有好几个不同的攻击行为。这次,感染Windows设备的payload用上了著名的Cerber勒索程序。

这位攻击者惯用Jakarta Multipart parser exploit的方式。不过这次是以Shell命令执行Windows BITSAdmin和ftp命令行工具,下载运行文件”1.exe”,如图13所示。

STRUTS_Fig13.png

图13.APACHE STRUTS漏洞传递Windows勒索软件

运行勒索程序之后,程序当然就会对文件进行加密,还会显示图14中的勒索信息。

STRUTS_Fig14.png

图14.勒索信息

同市面上多数勒索软件一样,受害者会收到解锁文件的教程,如图所示。

STRUTS_Fig15.png

图15.勒索支付指示

F5的研究人员分析了该恶意程序变体,发现增加了一个功能,即修改Windows防火墙规则,阻止反病毒软件与外界的通讯——也就是不让反病毒软件更新和提交报告。如图16所示:

STRUTS_Fig16.png

图16.勒索软件阻碍Windows防火墙

为了找到目标设备上已安装的安全软件,恶意程序首先会运行WMI查询”AntiSpywareProduct”和”FirewallProduct”类。

STRUTS_Fig17.png

图17.WMI查询获取安装安全产品列表

随后恶意程序就会将所有查询结果涉及的文件和文件夹加到防火墙规则中。

STRUTS_Fig18.png

图18.添加防火墙规则

攻击者这么拿钱

这一波几个不同的攻击行动,其幕后攻击者都用同一个比特币ID。

STRUTS_Fig19.png

图19.软件配置中的比特币账户

这个账户中有84比特币,大约相当于8.6万美元。而在Struts漏洞公开以后,该比特币账户又有2.2比特币的进出,大约是2300美元。

STRUTS_Fig20.png

图20.恶意软件账户上的比特币交易

最后

现在的黑客牛叉的地方就在于,一旦有0day漏洞曝出,其现有攻击方式就能够以极快的速度得到进化。所以即便防御方不停地在修复漏洞,其攻击还是可以持续进行。

在感染了数千个新服务器的同时,Apache STRUTS中的新漏洞为黑客提供了更广阔的目标来扩展业务。用勒索软件感染服务器,比感染个人设备可能会得到更多的汇报,因为这些服务器通常由拥有多金的组织和相对更好的基础架构,这对于他们的业务可能至关重要,支付赎金的概率相对更高一些。

*参考来源:f5,FB小编bimeover编译,转载请注明来自Freebuf.COM

word-malware-600.jpg

其实利用Word宏作为分发恶意程序的方式是如今的常规途经,所以很多人选择禁用宏,然而如果说禁用宏都没用,这样的恶意Word文档危害性就不可同日而语了。近日,McAfee和FireEye的安全研究人员发现有人在网络上利用Microsoft Office的0-day漏洞悄悄地在他人电脑上执行代码并安装恶意软件,不需要用到宏,这个漏洞目前尚未得到修复。

漏洞概述

研究员表示,他们在一封邮件中发现了恶意Word文档附件,该文件包含OLE2link对象。一旦打开文件,文件中的利用代码就会执行,随后连接到一台由攻击者所控制的远程服务器,并从服务器上下载伪装成RFT文档的HTML应用文件(HTA)。

HTA文件自动执行,攻击者就能实现目标设备之上的任意代码执行了,随后开始从”其他知名恶意软件家族“下载额外的payload,这些payload感染目标PC,并关闭该恶意Word文件。

所有Windows和Office版本都受影响

据研究人员所说,这种0-day攻击能够绕过绝大部分微软的exploit缓解机制,与以往的Word漏洞利用不同, 它不需要用户开启Word宏。下图是抓到的交流包:

image1.png

.hta伪装成了普通的RTF文件来躲避安全产品,但从下图中文件靠后的部分还是可以发现恶意VB脚本

image2.png

McAfee表示该漏洞影响到了所有Windows操作系统之上的所有Office版本,就算是被认为是最安全的微软操作系统的Windows 10也未能幸免。

除此之外,这个漏洞利用者在终止之前会显示一个诱饵Word文档,让受害者看到,以隐藏攻击迹象。

McAfee的安全研究员在上周五的博客中提到:

漏洞关闭恶意Word文档的同时还将一个伪造的Word文档展示给受害者,其实在暗地里早已安装了恶意软件。

这个0-day能成功的根本原因就是Windows 对象链接和嵌入(OLE),这是Office重要特性之一。

值得注意的是,微软的下一次安全补丁更新将在本周二放出,然而微软有很大概率无法在周二之前修复这个补丁。

补丁没来,该怎么办?

当前FireEye和McAfee都还没有公布这种攻击方式和相关漏洞的具体细节,预计很快就会公布。由于这种攻击可在最新的Windows系统和Office软件上奏效,我们强烈建议以下几种措施:

不要打开或下载邮箱中任何可疑Word文档,哪怕你知道对方是谁。

通过Office Protected View(受保护试图)特性查看这种恶意文档就可让攻击失效,因此我们建议Windows用户在查看Office 文档时开启此特性。

保证系统和杀毒软件是最新版本

定期将文件备份到外部硬盘

禁用Word宏对于这种攻击而言是无效的,但用户仍然应当禁用宏抵御其他类型的攻击

保持对钓鱼邮件、垃圾邮件的警惕,点击可以文件时要三思。

*参考来源:FireEyeMcAfee,FB小编bimeover编译,转载请注明来自Freebuf.COM

14914632499071.jpg

传统的网上银行劫持和现实中的银行抢劫并没有多大的区别。匪徒闯进银行,抢走财物,再离开银行。但是,就是有这样一个黑客组织不走寻常路,他们劫持了一家巴西银行的DNS并将所有的网上银行业务指向伪造的页面,从中获取受害者的信用卡信息。

2016年10月22日,这伙犯罪分子在3个月的精心准备之下,成功控制一家巴西银行所有业务长达5个小时。该银行的36个域名,企业邮箱和DNS全体沦陷。这家建立于20世纪早期的银行在巴西、美国、阿根廷和大开曼拥有500个分行 ,总计拥有500万用户和250亿美元资产。

卡巴斯基实验室的研究人员 Fabio Assolini 和 Dmitry Bestuzhev 发现,这伙网络犯罪分子已经将同样的手段炮制到全球范围内的另九家银行,但他们并未透露是哪家银行遭遇了攻击。

在研究初期,此次攻击看上去就是普通的网站劫持,但是两位研究者发现事情并没有这么简单。他们认为犯罪分子使用的攻击很复杂,并不只是单纯的钓鱼。攻击者用上了有效的SSL数据证书,并且还用Google Cloud来提供欺诈银行服务支持。

攻击的5小时里发生了什么事情?

10月22日下午1时,巴西的一家银行网站受到攻击,持续了5个小时。黑客入侵银行站点的方式是:控制这家银行的DNS账户,这样就能将客户导向欺诈网站了。研究人员表示,黑客入侵了这家银行的DNS提供商Registro.br。但黑客具体是怎么做到的,目前还不清楚。

DNS提供商Registro.br今年1月份的时候曾修复过一个CSRF漏洞,研究人员认为攻击者可能利用了这一漏洞——但也可能是采用向该提供商发送鱼叉式钓鱼邮件来渗透。

0971a96ce860f84c0894648190bb59ac.jpg

Bestuzhev说:

每一个访问该银行网站的人都会获得一个内含JAR文件的插件,而犯罪分子早已掌握了网站索引文件的控制权。他们可以利用iframe框架将用户重定向到一个提前设好恶意软件的网站。

黑客甚至可能将自动柜员机ATM或销售点系统的所有交易重定向到自己的服务器,收集那个周六下午受害者们使用信用卡的详细信息。

在这5小时的时间里,仿冒网站会向所有访问者提供恶意软件,可能有数万甚至上百万全球范围内的用户受到了这种攻击。该恶意软件是一个隐藏在.zip文件中的JAVA文件,伪装成了银行安全插件应用Trusteer,加载在索引文件中。这款恶意程序的作用是禁用受害者电脑中的安全产品,而且还能窃取登录凭证、邮箱联系人列表、邮件和FTP身份凭证。

研究员在对恶意软件的排查中发现了8个模块,其中包括银行URL的配置文件、更新模块、用于Microsoft Exchange,Thunderbird以及本地通讯录的凭证窃取模块、网上银行控制和解密模块。据研究员称所有的模块都指向加拿大的一个C&C服务器。

这些模块中有一个叫做Avenger(复仇者)的模块,通常是用于删除rootkit的合法渗透测试工具。但在这次攻击中,它被用于删除运行在受损计算机上的安全产品,通过Avenger,研究员断定全球范围内还有9家银行受到了相同手法的攻击。这些金融机构可能是来自巴西、美国、英国、日本、葡萄牙、意大利、中国、阿根廷与开曼群岛等国家地区。

钓鱼成功率极高

此外,在这5个小时的时间内,据说还有一些特定的银行客户收到了钓鱼邮件。随着研究的深入,研究员发现,当时银行的主页展示了Let’s Encrypt(一家免费的凭证管理中心)颁发的有效SSL证书——这其实也是现在很多钓鱼网站会用的方案,前一阵FreeBuf安全快讯还谈到,过去几个月内,Let’s Encrypt就颁发了上千份包含PayPal字符的SSL证书。

在本次事件中,这家银行的36个域名全部都被攻击者控制,包括线上、移动、销售点、融资和并购等功能的域名。除此之外,攻击者还控制了企业邮箱设施,为了防止银行方面通知受攻击用户、注册主管和DNS供应商,攻击者关闭了邮箱服务。值得一提的是,另外巴西银行没有启用Registro.br的双重认证方案。这五小时内的钓鱼成功率是可想而知的。

24118-scam.jpg

这伙犯罪分子想要利用这次机会劫持原有的银行业务,同时可以利用软件从他国银行盗取资金。

研究人员在银行域名中加载了钓鱼页面,这些钓鱼网页会诱导受害者输入信用卡信息。

其实,针对该巴西银行的阴谋早在Let’s Encrypt注册成立的五个月之前就已经开始酝酿(所以Let’s Encrypt顺理成章成为不错的选择)。研究员还发现,攻击者曾用巴西注册主管的名义向该银行传播钓鱼邮件。这很有可能是攻击者用来运行银行DNS设置的渠道; 凭借这一点他们就能将银行所有的流量全部重定向到他们的服务器。

研究员称这是他们第一次观察到如此大规模的攻击。

假想一下,如果一名员工被钓鱼成功,攻击者就可以访问DNS表,一旦DNS受犯罪分子控制,那么后果不堪设想。

研究人员强调,确保DNS基础架构的重要性,以及应当采用大多数注册商所提供的安全功能(如双重认证)。

*参考来源:threatpost,FB小编bimeover编译,转载请注明来自Freebuf.COM

XSS劫持(XSSJacking)是由Dylan Ayrey所提出的一种新型XSS攻击,可窃取受害者的敏感信息。XSS劫持需要其他三种技术配合使用,分别是点击劫持,粘贴劫持以及Self-XSS,甚至还需要一些社会工程学的帮助,因此这种攻击只能在那些同时有存储型XSS漏洞或是CSRF漏洞漏洞的网站上执行。

XSS劫持攻击的必要条件

要构成一个XSS劫持攻击有以下几种必要条件:

1.目标网站必须有点击劫持漏洞

2.Self-XSS

3.粘贴劫持

点击劫持,是一种将受害者引向黑客所设计好的圈套的欺骗手段。当受害者点击一个屏幕上的一个按钮时,实际上并没有点到,真正点到的是攻击者事先将不透明度调至0的目标网页。

Self-XSS(自跨站脚本攻击)是一种由受害者自己输入XSS payload触发才能成功的XSS攻击行为,这种攻击可基于DOM,或是建立在仅该用户可操作或可见的域。

知道了Self-XSS,我们大致能猜出攻击思路。但是,怎么才能让用户自己复制粘贴恶意文本呢?复制动作是可以实现自动化的,这个过程需要用户去做的动作就是粘贴了!

这就需要用到粘贴劫持攻击了,这种攻击方式已经存在很多年,主要是在复制粘贴数据后面偷偷加恶意文本实现的。

XSS藏在”复制粘贴“背后

现在有这样一个网站,存在Self-XSS漏洞 https://security.love/XSSJacking

下图是简化了的XSS代码,如果在这个大框中输入<script>alert(1)</script>就会弹窗。

68747470733a2f2f692e696d6775722e636f6d2f5875324e314b782e706e67.png

假设你现在是一个黑客,并且你已经建了一个论坛,在注册页面设置两处常见的要求“Enter your email”栏以及”Retype your email”栏。然后悄悄地在”Retype your email”栏放个隐藏iframe,此位置会加载另一个正常网站的设置页面表单。https://security.love/XSSJacking/index2.html

68747470733a2f2f692e696d6775722e636f6d2f6b587761326a4d2e706e67.png

当用户在你的网站上注册时,大多数人会先输入一遍邮箱,然后复制第一栏中的邮箱再粘贴到第二栏中(小编默默躺枪)——就在这个过程中,用户剪切板中的内容已经神不知鬼不觉地被插入到那个正常网站设置页面中。如果这家正常网站相应表单字段存在XSS漏洞,则攻击代码就能发挥作用。受害者根本就不知道整个过程是怎么进行、何时进行的。

攻击中所利用的粘贴劫持技术,是将XSS payload粘贴到其他域名的文本栏框架。由于这些框架的位置可以改变,并且不可见,因此可以利用点击劫持让用户觉得他还在访问他“正在”访问的那个网站。事实上,他已经触发了Self-XSS漏洞,黑客可得到他的敏感信息。

通过XSS劫持攻击,黑客可以盗取该用户的cookie、收件箱信息、配置详情,修改配置文件设置(比如手机号、邮箱号)或是执行其他恶意操作。

结论

如今的漏洞赏金项目都将点击劫持和Self-XSS排除在外,一旦这两个漏洞同时存在,那么要在目标机器上强制执行XSS payload也不再是难事。

Dylan Ayrey表示谈到很多公司会忽略XSS相关的漏洞报告,他特别提到

攻击者现在有越来越多创新的方法利用Self-XSS,我认为企业在收到这样的报告之后,也会开始重视这样的问题。

*参考来源:bleeping,FB小编bimeover编译,转载请注明来自Freebuf.COM

前两天苹果发布了最新的iOS 10.3更新,这次更新修复了不少安全问题,其中包括对移动端Safari对JavaScript弹出窗口的处理方式的改变。前不久,Lookout发现攻击者正在利用这种处理方式对苹果用户实施勒索,其目标主要是那些在网上找色情内容,和想要非法下载盗版音乐和其他敏感信息的人。你中招了吗?

“漏洞”说明

在本次攻击中,诈骗分子滥用了移动端Safari的弹窗处理方式,通过反复弹窗,让用户无法使用Safari浏览器,除非该用户以iTunes礼品卡的形式向诈骗分子支付赎金。诈骗分子通过这种方式成功“锁定”一个Safari浏览器之后,还会给用户提示各种威胁、恐吓的勒索信息。

不过这种“勒索”程序其实很容易“解锁”,只需要在iOS设置中将Safari浏览器的缓存删除即可。诈骗者其实根本没有向一般的勒索程序那样加密数据,他们的目的就是恐吓受害者支付赎金。

Lookout上个月首次发现这种攻击,他们将发现的相关细节上报给了苹果,包括涉及诈骗活动的多个网站和攻击原理,并强调了经常更新手机服务的重要性。

首次发现

就在今年2月,一位使用iOS 10.2的用户向Lookout反应,他在使用Safari浏览器访问某家网站之后,Safari就彻底失控了,并发给Lookout两张截图。截图有两部分内容,最直观的就是一条来自pay-police.com网站的提示信息“Cannot Open Page”,据受害者反应,他每次点“OK”之后还是提示“Cannot Open Page”,显然网址日志陷入了无限循环,结果就是用户无法正常使用浏览器。还有一部分就是背景部分的勒索信息。

Screen-Shot-2017-03-27-at-3.19.19-PM (1).png

你的设备已经被锁…”以及“…快支付价值100磅的iTunes礼品卡”,威胁用户支付赎金

移动端Safari弹窗的弊端

如前文所述,攻击者就是利用Safari针对弹窗的处理方式来欺骗受害者,声称“你的Safari已经被我锁了”,并向受害者索要赎金。这种攻击方式并没有突破Safari浏览器的应用沙盒,也没有利用什么exploit代码——这和那些复杂攻击方式完全不是一个层级。

攻击者注册类似police-pay这样的域名,其实是为那些整天找“特定类型内容”的用户准备的,这里的特定类型可能是色情内容,当然也有可能是盗版音乐网站。为了更高效地拿到赎金,他们恐吓受害者以明确的物品来充当赎金,就比如等值iTunes礼品卡。

经分析,诈骗分子的攻击代码似乎针对较老的iOS 8版本开发的,苹果直到iOS 10.3才修复了这个浏览器缺陷。其实“锁”住浏览器的就是一串触发弹窗的无限循环代码。由于iOS 10.3浏览器采用每个标签独立运行的方式,因此在iOS 10.3中单个标签弹窗不会锁住整个浏览器,用户可关闭该标签或移动到另一标签解决被无限弹窗的问题。

快速修复

在获取iOS 10.3更新之前,受害者还可以通过以下方法解“锁”,设置>Safari>清除历史和网页数据;再次启动Safari的时候,勒索消息就消失了。

image00-576x1024.jpg

调查勒索行为

从下面这条指令可以看出,此次攻击利用JavaScript代码是对早期攻击的再利用。

“saved from url=(0070)http://apple-ios-front.gq/29300000/index.php?DATARE=Vylet%3A30_15%3A29”

一家俄罗斯网站上曾介绍过这种攻击,JavaScript中包含一些专门将UserAgent string匹配到老版本iOS的代码。

“’Mozilla/5.0 (iPhone; CPU iPhone OS 8_0_2 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12A366 Safari/600.1.4’”

攻击代码会创建一个弹窗,并无限循环,除非受害者支付赎金。赎金支付可以通过将iTunes礼品卡号发给勒索网页显示的电话号码完成。后续版本的iOS系统中,弹出错误窗口对话框实际上是因为移动版Safari无法找到本次URL查询,不过由于无限循环代码,攻击代码还是会持续弹出错误日志信息。值得一提的是,JavaScript代码被混淆,在分析员的还原之下,发现了它的真实目的。比如,在pay-police[.]com域名的JavaScript代码中,攻击者以十六进制混淆了他的攻击代码。

这种攻击在新版本的iOS中可能会导致浏览器DOS(拒绝服务)。

image03.png

在执行混淆代码之前该网页代码还会运行下面这个脚本

<script type=”text/javascript”>navigator.__defineGetter__(‘userAgent’, function () { return ‘Mozilla/5.0 (iPhone; CPU iPhone OS 8_0_2 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12A366 Safari/600.1.4’; });</script>

该组织在本次勒索行动中购买了大量域名来吸引用户点进他们设好陷阱的网站,以收取更多赎金。

Lookout研究员还在下列URL中发现相同的恶意JavaScript代码

hxxp://x-ios-validation[.]com/us[.]html

hxxp://x-ios-validation[.]com/ie[.]html

hxxp://x-ios-validation[.]com/gb[.]html

hxxp://x-ios-validation[.]com/au[.]html

hxxp://x-ios-validation[.]com/nz[.]html

每个网站的勒索信息都不同,且针对的对象包括全球不同地区,每个网站各关联一个联系邮箱。可以看出这是一起针对全球范围的钓鱼活动。

各payload对应的钓鱼域名和邮箱地址

U.S.: us.html [email protected][.]com

Ireland: ie.html [email protected][.]com

UK: gb.html [email protected][.]com

Australia: au.html [email protected]ustraliamail[.]com

New Zealand: nz.html [email protected][.]com

*参考来源:lookout,FB小编bimeover编译,转载请注明来自Freebuf.COM

近日,Cybellum公司发现了一个0-day漏洞,可完全控制大多数安全产品。此漏洞称为“DoubleAgent”(双面间谍),多家安全厂商受到DoubleAgent的影响,包括Avast,AVG,Avira,Bitdefender,趋势科技,Comodo科摩多,ESET,F-Secure,卡巴斯基,Malwarebytes,McAfee,Panda,Quick Heal和赛门铁克(Norton)。

目前仅有几家公司放出针对该漏洞的补丁。

Avast (CVE-2017-5567)

AVG (CVE-2017-5566)

Avira (CVE-2017-6417)

Bitdefender (CVE-2017-6186)

趋势科技 (CVE-2017-5565)

Comodo

ESET

F-Secure

卡巴斯基

Malwarebytes

McAfee

Panda

Quick Heal

Norton

漏洞利用

此次攻击涉及到微软的非托管代码的运行验证工具——Application Verifier(应用程序检验器)。由Windows XP时代引入的Application Verifier,在所有Windows版本中都默认安装,其作用是帮助开发人员快速地在其应用程序中找到微小的编程错误,因此该漏洞在所有版本的Windows系统上都可利用。

该工具会在目标应用程序运行测试的工程中加载一个叫做“verifier provider DLL”的文件。

一旦加载完成,该DLL将作为指定进程的提供程序DLL添加到Windows注册表。 随后Windows会自动以该DLL注册名将DLL注入到所有进程中。

据Cybellum公司介绍,Microsoft Application Verifier的工作机制使得大量恶意软件能够通过高权限执行,攻击者可注册一恶意DLL来注入到杀毒软件或是其他终端安全产品,并劫持代理。部分安全产品尝试保护与其进程相关的注册表项,但是研究人员已经找到了一种方法来轻松绕过此保护。

当恶意软件劫持一款安全产品之后,攻击者就能利用它做很多事情,比如让安全产品做出如黑客行为般的恶意操作——修改白名单/黑名单或内部逻辑,下载后门,泄露数据,将恶意软件传播到其他机器上,加密/删除文件(类似于勒索软件)。

此恶意代码会在系统重启,软件升级或是安全产品再安装过程中甚至之后注入,因此这种攻击难以防范。

据称“DoubleAgent”攻击可在所有Windows版本中生效,然而,这种攻击建立在一个合法工具之上,微软也措手无策。

Cybellum公司已在GitHub上公布漏洞利用细节 

研究员对Avira的控制演示

*参考来源:securityweekcybellum,FB小编bimeover编译,转载请注明来自Freebuf.COM

一位日本的安全研究者MalwareMustDie发现一种基于Poison Ivy的新型APT攻击,经过他的逆向分析,发现了一些关于攻击厂商的有趣发现。

本文将介绍他是如何发现这种隐匿极深的APT攻击回溯之旅。

一次普通的钓鱼攻击?

meJDZmo.png

和所有APT攻击的开头一样,一个受感染的Word文档,一次看似普通的钓鱼攻击。

但是如果我们注意到MalwareMustDie长文分析的开头,可以发现一些普通邮件的图片,虽然还是那种普通、boring的受感染的Word文档,毫无新意。

奇怪的是,可疑文档似乎是由一个名为Geocities的公共博客网站提供了一个多层嵌套的base64编码的VBScript脚本,下图是手工解码的结果:

Fig-1.png

图1. “powershell.exe” 命令编码得到的VBScript

通常VBScript的“createbject”指令都会跟在 Powershell 命令“powershell.exe -w hidden -ip bypass -Enc with long encoded coded”之后

Poweshell? 嵌入命令? “绕过” 的目的是什么?

经过MalwarareMustDie的调查,那些不那么“普通、无聊”的东西从阴影中浮现出来,随着分析的步步深入,他发现了更加有趣且惊人的东西。

下图是base 64手动解码的代码示例,其揭示了另一嵌套的base 64编码代码。 在图片中表示的功能是自我解释。显而易见,那台受感染的计算机已经“吃下”什么不好的东西。

fig-2-1.png

图2. VBScript base 64解码代码

在多层循环解码base 64编码后,结果很明显的:附加于Word附件文档,隐藏在VBScript文件中,存在一个长且危险的脚本,随时可由Powershell执行。但MalwareMustDie表示“我已经发现它的源代码”。

复制、粘贴 Powersploit/CodeExecution PoC

运行Powershell命令的VBScript存在一处代码,该代码就是基于臭名昭著的恶意软件Powershell PowerSploit/CodeExecution PoC代码的“copy pasta”,你可以在GitHub上可以得到一模一样的文件和.ps1扩展。

这里它是文档以及利用方式的网页:

fig-3.png

图3.GitHub页面上的PowerSploit / CodeExecution

漏洞的文档说明:“将shellcode插入到您选择的进程ID中或在运行PowerShell进程中”。

MalwareMustDie表示:

这也就是我为什么反对公众在GitHub上放出这种开源代码。GitHub上到处都是这种开源项目。

Shellcode 分析

但是让我们来看看Shellcode,因为现在最重要的任务是对它进行逆向分析,并且明白它的使用的主要目的是什么,为什么注入计算机受害者,采用哪些技术和机制来做什么,连接在哪里?

同样Shellcode使用的是base 64编码。当解码时,它如下图所示:

fig-4.png

图4.Shellcode.

逆向之旅似乎还有很长的路要走,我们再一次为MalwareMustDie的技巧所惊叹,他成功地编译了shellcode并获得了一个可安全执行的文件。

MalwareMustDie在博客中写道:

将shellcode数据保存在汇编文件的.text部分和入口点(EP)中将在编译过程中由编译器“调整”,这样你可以将此shellcode作为二进制PE文件执行。 此方法在分析shellcode时非常有用。 通过Unix环境,你可以创建这种PE,而不会有感染的风险。

下图就是他采用的过程:

Fig-5.png

图5. 操作 shellcode 来创建一个 .exe 文件

我们在恶意软件运行时发现:它从受害者的计算机提取信息回调其C2服务器与目标执行所有的恶意行为。

最后,我们可以确定,它就是臭名昭着的Poison Ivy。

Poison Ivy计划

运行Shellcode有可能观察到它使用了大量涉及DLL的系统调用,这些DLL主要与系统的内核相关:在Shellcode的trace-assemby的第一个阶段提供了一个名为userint.exe的假进程,用于注入恶意代码。

这里来自MalwareMustDie博客的图片:

Fig-6.png

图6. 伪造的进程 userinit.exe 创建后被注入

他说,某些DLL的使用的组合“也显示了威胁的典型模式。 此外,MUTEX名称中标注的日期大多由Poison Ivy使用。

然后其他操作由恶意软件执行:

创建一个名为“Plug1.dat”的文件

为之后的工作创建一个套接字

通过 “HKEY_LOCAL_MACHINE\SYSTEM\Setup”查询PC信息

毫无疑问就是Poison Ivy

那么问题来了C&C服务器在何地?

我来仔细观察一下WS2_32.DLL文件,可以看到一些有意思的东西

socket(),

gethostbyname()

connect().

由C&C服务器回传的主机名和IP地址可知,该服务器位于韩国首尔

fig-7.png

图7.C&C服务器位于韩国

Network/BGP Information→「61.97.243.15||4766 | 61.97.243.0/24 | KIXS-AS | KR | kisa.or.kr | KRNIC」

但是我们发现主机名是web.outlooksysm.net,这里可以用WHOIS来获得额外的信息,知道谁是幕后主使,结果该公司来自上海。

fig-8.png

图8.对 Poison Ivy 恶意软件的C&C服务器WHOIS

结论

这个APT攻击使用了多种变体,它先是欺骗受害者下载一个恶意VBScript,让这个VBScript去下载一个.doc文件并打开它。 完成这些操作之后,它会悄悄的地执行PowerShell(PowerSploit)攻击,使得受害者在运行内存中的进程时感染Poison Ivy。

这个实例很好地展示了这种攻击的潜在危险,攻击者在一次APT感染中使用修改过的PowerSploit PoC代码,这种做法很独特。

Poison IVY恶意软件是在PowerSploit使用shellcode创建或准备的恶意进程userinit.exe的过程中注入的。这种不感染文件的攻击有效地避免了多个编码和包装检测的已知签名,并且100%避免了原始攻击者的工作区域被发现的可能性。 这将使目前的APT活动有更好的机会成功由类似有效载荷造成的其他情况。

最近的APT攻击很有可能也是利用类似的payload在其它地方成功施展攻击。

为了避免更多的受害者,我真的希望Geocities.jp上的vbiayay1帐户尽快将恶意软件删除。

希望我的分析能够帮助调查和打击这种威胁。

*参考来源:0day.jpsecurityaffairs,FB小编bimeover编译,转载请注明来自Freebuf.COM

美国国防高级研究计划局(DARPA)钦定BAE Systems来加快网络开发的进程,这将有助于在恶意网络攻击后恢复电网。

美国国防高级研究计划局(DARPA)本周表示,它与专注防御系统的 BAE Systems 公司签署了860万美元的合同,旨在开发一个全新的系统,该系统将归属于RADICS计划。RADICS计划指的是快速攻击检测,隔离和特征描述(Rapid Attack Detection, Isolation and Characterization ),该计划的核心目标是开发能够检测且自动响应针对美国关键基础设施的网络攻击的技术。

heres-what-chinese-hackers-can-actually-do-to-the-us-power-grid.jpg

检测和预警

BAE是最新加入RADICS计划的一家企业,RADICS计划已向雷神公司,斯坦福研究院,Vencore等主要供应商提供了数百万美元的研究资金,包括政府机构,比如国土安全部和ICS-CERT。

在2015年RADICS宣布成立时,DARPA就曾表示,电力供应商的预警能力可以完全防止攻击或减小攻击造成的影响,比如设备损坏这种问题。

国家电气基础设施的庞大规模意味着某些系统可能在任何未知的时间出现异常,并且很难区分这种异常是日常中断还是实际攻击。 基于对电网动态的分析,RADICS的“四年计划”旨在开发具有高灵敏度和低报错率的先进异常检测系统。

有些情况下,互联网基础设施受到攻击后可能无法运行,黑客也可能在攻击期间在公用事业的IT系统中嵌入了恶意代码,RADICS还要求设计一个安全的紧急网络,来应对检测到攻击后的关键时期。 创建这样的网络需要对先进的安全措施以及创新技术进行全新的研究,以促进关键组织的快速连接,而不依赖于它们之间的高度协调。

备用无线网络

一般来说,RADICS系统会检测网络攻击,并将电网系统控制中心及其流量直接导向备份无线网络——也就是安全应急网络,而安全应急网络会与互联网彻底断开。安全应急网络预计会由无线网络、卫星或通讯系统组成,这样在阻止攻击者的同时,也能用于受到攻击影响的企业组织彼此之间相互通讯。

根据BAE首席工程师兼通信和网络经理 Victor Firoiu 介绍

一旦激活,BAE Systems 的技术将在几分钟内检测并断开未经授权的内部和外部用户与本地网络的连接,并创建一个鲁棒、混合的数据链路网络,通过多层加密和用户身份验证保护。 BAE系统使用网络流量控制和分析,将让公用事业建立和维护紧急通信的关键现在隔离控制中心。

对攻击进行取证

RADICS的终极作用还在于取证。 取证的目的是迅速地确定和表征已入侵电网基础设施的网络武器。入侵可能会采取恶意代码或数据的形式,恶意代码可被注入到ICS设备或控制中心计算机中,而数据攻击可能改变ICS设备的配置数据,导致其行为不正确。TA-3系统必须具备映射工业控制系统,收集配置数据,确定哪些设备行为不正确,以及发现和表征恶意软件的能力。

不过就目前来说,工业控制系统和设备的取证分析还是要大量依靠手动方式,因为使用传统IT网络分析工具扫描ICS网络可能导致工业设备变得无法响应,DARPA正在寻找其所谓的创新方法,用于安全地映射和评估此类网络的状态。

*参考来源:networkworld,FB小编bimeover编译,转载请注明来自Freebuf.COM

如何用最好地保护一个系统免受黑客攻击?当然是站在黑客的视角来看待系统的安全问题。昨日Metasploit就以此为出发点,发布了一个漏洞模拟工具——Metasploit Vulnerable Services Emulator。作为一款开源工具,安全人员可以通过它提供的漏洞操作平台来测试渗透测试目标。 想到之前的Metasploitable2Metasploitable3也有同样的功能,为什么还要特地出一个Metasploit Vulnerable Services Emulator? 开发者Jin Qian在他的博客中这样写道:
使用没有脆弱性测试服务的Metasploit去对抗黑客攻击是有难度的,我们开发的这个模拟器就是为了填补这个空缺。这款工具的框架使得操作者能够更轻松地对渗透测试目标进行漏洞仿真测试。 很多人可能会想,为什么我们不给每个测试、训练模块配置脆弱性测试服务。原因很简单:这很耗费时间,且配置脆弱性测试服务很复杂。首先,你需要有漏洞软件,需要下载吧,但是有时候软件太老了没有地方下载。有些较老的软件还可能因为安全问题被厂商移除了。针对一个软件配置脆弱性测试服务需要耗费几个小时,时间长短取决于这个软件。即便有Metasploitable虚拟机使你在第一次建立漏洞实验室便捷很多,但是依然不简单。

设计这个模拟器有两个目的:

●测试Metasploit模块 ●帮助用户学习Metasploit

核心特性:

为了更容易地添加测试服务,Metasploit Vulnerable Services Emulator 完全独立于机器语言,由JSON格式编写,任何人都可以快速地添加、删除、编辑测试服务。
*新的工具还有这样一个小功能:创建SSL套接字会非常容易,所有TCP套接字都可以自动升级到SSL。 现在,Metasploit Vulnerable Services Emulator已经拥有100多个脆弱性测试服务,包括被黑的身份凭证,从受害者那里获得shell等等。 通过模块练习后,用户可以了解有关安全漏洞及其测试方法的详细信息,进而鼓励用户继续学习和使用Metasploit的强大功能。

Screen+Shot+2017-02-26+at+6.00.57+PM.png

开发者Qian:
我们知道开发人员对编程语言有不同的偏好,因此我们不使用特定语言来实现脆弱性测试服务,而是采用JSON实现交互。 JSON不是一种编程语言,但它有足够的逻辑用于服务仿真。
以下是对脆弱性测试服务在JSON中的描述。
"exploits/windows/iis/ms01_023_printer": {
  "desc": "set payload windows/shell_reverse_tcp",
  "seq": [
    ["regex", "GET http:\/\/.*\/NULL.printer?"],
    ["HTTP/1.1 200 OK\r\nContent-Length: 0\r\n\r\n", ["action", ["connect", ":4444"]]]  
 ]
},
目前Metasploit Vulnerable Services Emulator已经有Linux (Ubuntu)、Windows、Mac版本,只需要先安装Perl就可安装。 下载地址:GitHub *参考来源:securityaffairsgithubrapid7,FB小编bimeover编译,转载请注明来自Freebuf.COM