xShock是一款针对Shellshock漏洞的利用工具,该工具由Hulya Karabag开发,当前版本号为v1.0.0。在xShock的帮助下,广大安全研究人员可以轻松对ShellShock漏洞(CVE-2014-6271)进行漏洞利用测试。

关于工具

该工具创建的所有目录都将保存在vulnurl.txt文件中,命令的执行结果会保存在response.txt中。

功能介绍

该工具包括以下几个功能:

1、CGI漏洞;

2、目录扫描;

3、使用已找到的CGI运行命令;

4、显示存在漏洞的URL地址;

5、更新代理;

工具安装

广大研究人员需要使用下列命令将项目源码克隆至本地,然后使用requirements.txt安装依赖组件:

git clone https://github.com/capture0x/xShock/

cd xShock

pip3 install -r requirements.txt

工具使用

python3 main.py

CGI漏洞

检测目标站点的cgi-bin目录,样例如下:

http://targetsite.com

目录扫描

这个功能需要配合字典文件来使用,并能够扫描目标站点的URL地址。需要注意的是,我们需要在目标URL地址后面添加字典文件的完整路径。

例如:http:// targetsite.com/cgi-bin/selectedworlist

命令使用样例:

http://targetsite.com/cgi-bin

/usr/share/wordlists/dirb  --> This is directory of wordlist. Not file!

使用已找到的CGI运行命令

通过输入vuln.txt文件中的URL地址,我们可以尝试在已找到的URL地址中运行命令:

http://targetsite.com/cgi-bin/status

显示存在漏洞的URL地址

显示vuln.txt文件中已找到的存在漏洞的URL地址。

更新代理

我们可以手动更新Web代理。

工具运行截图

项目地址

xShock:【GitHub传送门

* 参考来源:capture0x,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

据官方统计以近两千人报名参赛,初赛采用CTF竞赛形式,题目类型包含PWN、WEB、Reverse、Crypto、Misc,初赛的部分赛题考点基于国产操作系统“PK系统”(飞腾CPU+麒麟OS操作系统)进行设定,是国内首个基于双系统(Wintel+PK)举办的国家级网络安全赛事。嘶吼独家采访到了数字中国创新大赛组委会、中国软件集团和优秀参赛队伍,从不同视角呈现网络安全开年第一赛事的全貌。

一、数字中国创新大赛多赛道并行

嘶吼:本届大赛以“培育数字经济新动能,助推数字中国新发展”为主题,大赛组委会创办2020数字中国创新大赛的初心是什么?

创新大赛组委会负责人:希望通过各赛道的生态渠道汇聚企业、高校、机构、开发者等社会各界分散智力资源参与赛事,广泛引入产业、基金、资本参与项目、技术等对接合作,助力数字中国建设。

嘶吼:大赛采取多赛道形式,设置了数字政府、智慧医疗、鲲鹏计算、虎符网络安全、区块链和中小学生等赛道,辐射面较广,设立这些赛道的原因吗?

创新大赛组委会负责人:相比首届比赛,2020数字中国创新大赛组织形式更加多样,采取多赛道并行的竞赛形式,设置了数字政府、智慧医疗、鲲鹏计算、网络安全、区块链和中小学生赛道等“5+1”赛道。其中,数字政府赛道聚焦智慧海洋、政务服务、智慧社区、城市管理四大领域,利用大数据提升政府治理能力和水平;智慧医疗赛道聚焦“互联网+医疗健康”等七大方向,通过信息化技术应用与医疗健康服务融合发展,助力“健康中国”落地实施;鲲鹏计算赛道以培育各行业、各领域应用软件的国产化开发、迁移、适配、调优为重点方向,邀请国内各地鲲鹏生态基地共建鲲鹏生态,积极推进国产化数字生态建设;网络安全赛道通过平行仿真靶场,充分结合中国电子PK生态体系及其应用上的历史漏洞设置赛题,以赛代练,发掘和培养网络安全实战人才,为数字中国建设保驾护航。中小学生赛道面向中小学生开展人工智能科技创新项目评比和科技人才的培养活动,培养中小学生热爱科学、潜心钻研的兴趣爱好。

嘶吼:第二届大赛相较于第一届的有什么变化和进展吗?

创新大赛组委会负责人:

1)办赛机构更专业化。各赛道由多家龙头领军企业和科研机构共同承办,汇聚各方生态资源,多渠道宣传推介数字中国建设峰会和创新大赛。

2)是组织形式更加多样。本届大赛采取多赛道并行的竞赛形式,设置六大赛道。在赛题形式上,有数据算法赛、创新应用赛、方案征集赛、网络攻防赛等,参赛队伍覆盖企业、高校、科研机构、技术团队、社会开发者等各类群体和中小学生。

3)是新一代信息技术应用更广。在赛题选择上结合当下行业、社会热门应用,面向产业和民生领域实际需求,涉及人工智能、大数据、区块链等前沿技术方向。4)是大赛奖励更加丰厚。大赛奖金方面进一步提高至近600万元,出台落地扶持政策,加强人才引进,奖励获奖团队的应用型成果落地转化。

二、“PK”体系首次融入网安赛事选题

“PK系统”是国家级网络安全核心体系,对标Windows和Intel体系,是技术创新和产业化发展的综合体,嘶吼采访到了参赛队伍,了解本届赛事有关PK系统题目的答题感受。

WX20200430-144409@2x.png

PK系统

嘶吼:此次比赛引入了中国电子的PK系统,您对PK系统了解多少?对于中国自主研发的平台有什么期待?

Vidar-Team战队 :PK系统采用了飞腾“Phytium处理器”和麒麟“Kylin操作系统”的组合,是中国电子自主构建的具有完全自主知识产权的计算机软基础软硬件体系,被誉为“中国架构”。作为中国自主研发的平台,对其安全性有很高的期待,相信它会成为中国国家网络安全建设中的标志性成果之一。

嘶吼:据了解,决赛中PK系统会成为比赛的终极挑战之一。PK系统为代表的信创系统在政企行业中应用会越来越多,作为战队未来会针对该领域做哪些研究?

Vidar-Team战队 :PK系统的硬件架构基于arm指令集的,我们会悉心钻研arm底层,涉及底层的研究难度较高,会需要长时间的耕耘学习,之后研究分析并尝试挖掘arm平台上的二进制漏洞,希望以后能为PK系统的发展做出些许贡献。

嘶吼:此次比赛引入了中国电子的PK系统,您对PK系统了解多少?对于中国自主研发的平台有什么期待?

Venom战队:在AWD的基础上增加了众测,原来参加其他比赛接触过这个类型的模式,但是还是比较期待中国电子这么大的企业做出来的平台会有怎样的视觉冲击效果。

嘶吼:本次比赛首次将PK系统作为攻防平台,对其应用生态在重点行业的推广和普及有着怎样的意义?目前PK系统行业渗透率和发展情况如何,在哪些行业得到应用?

PK系统专家:网络安全是国家安全的重要组成部分。八年来,中国电子瞄准我国网络安全“三大痛点”,着力推进“关后门”、“堵漏洞”、“防断供”三个主要方向,加速筑牢自主核心网络安全技术的基础和底座。使用PK系统作为攻防平台的比赛也是加强PK系统安全性的举措之一,通过比赛一是要经过实战检验PK系统的安全性,预先找到不足进行完善;二是通过比赛锻炼、发掘相关人才,为国家信息安全奠定人才基础;三是通过比赛全方位展示信息安全成果,为行业应用提供参考。

PK系统在很多行业都有不同程度的应用,目前主要是在关系到国计民生的行业中得到了广泛的应用,尤其是在对安全性要求比较严格的行业中,例如电信、广电、能源、金融、公路水路交通、铁路、民航、邮政、水利、应急、卫健、社会保障等行业领域,例如麒麟操作系统在相关领域的市场占有率超过90%。

三、信创浪潮下,PK系统在网安产业链中不断演进

信创产业,即信息技术应用创新产业。国产化安全发展历经从无到有,到核心产品逐一突破,再到现如今的国产化系统不断完善,全面实现以国产化操作系统、国产化芯片、国产化数据库为核心的自主安全可信平台。权威机构指出,2020年是信创产业全面推广的起点,未来三到五年,信创产业将迎来黄金发展期。它作为“新基建”的重要内容,将成为拉动经济发展的重要抓手之一,政府投入预计将会得到充分保证。

嘶吼:PK系统目前的普及范围、增长速度如何?在新基建和信创浪潮之下,是否将出现新一轮的增长?

PK系统专家:在各行各业日益加强的安全要求下,PK系统得到了长足的发展,随着新基建和信创的浪潮,PK系统也一定会抓住这一重大历史机遇实现突破性发展。今年3月20日PK系统正式发布发布麒麟软件的“遨天”计划,麒麟软件将实现百亿级资金投入,立足人工智能、移动计算、云端互联等未来技术发展趋势,以“内生安全、融入移动、注重体验、支撑体系”为特色,塑造一支规模逾万人的自主操作系统精英团队,打造桌面与服务器操作系统、云操作系统、嵌入式操作系统三大产品。

嘶吼:如果PK系统下出现网络攻击或数据泄露,主要可能出现在哪些场景?

PK系统专家:任何一个技术体系都会有不同程度的漏洞,PK系统也不例外,为了提升PK系统的安全性,我们在去年12月正式发布了PKS架构,就是在原有基础上进一步提升安全性。如果说CPU和操作系统是“心脏”和“大脑”,“PKS”安全体系则是植入到血液的安全基因,可以实现底层构架的本质安全。在PKS安全体系下,所有的PK产品天生就自带安全属性,外围再加上成熟的安全防护体系,既从内到外构建了一整套安全体系,又提升了整体安全性。

嘶吼:基于PK系统下的生态应用,目前是什么样的情况?

PK系统专家:PK系统从诞生那一天起就是要构建一个开放的生态体系,所以一直特别注重生态的培育。目前,PK系统认证的硬件整机这块包括长城、联想、浪潮、曙光、超越等40多家主要厂商,另外还有固件、板卡、外设等相关厂商。软件方面除了数据库、中间件等基础软件;流式、版式和签章等办公软件外,还包括云平台、大数据等其他应用软件,目前各个主要版本累计完成了3000余款软硬件产品的认证工作。

在这基础上,面向重要行业的办公应用类系统的子生态已基本成熟,能够支撑相关行业展开批量化的推广工作,下一步面向不同的行业逐步建设完善相应的子生态。除此之外,我们也在积极探索,逐步打通融合PC生态和移动生态,大大拓展PK系统在移动端的使用场景,提升用户使用体验。

 

总结;国产化自主安全是国家对于信息安全和网络安全的重视,网络安全创新赛事结合“PK”体系,吸引优质人才关注自主创新产业。举办各类网安赛事,通过与企业、高校科研院的深度合作,结合产学研加强组织的自主研发能力,激发组织创新的内生动力。


据官方统计以近两千人报名参赛,初赛采用CTF竞赛形式,题目类型包含PWN、WEB、Reverse、Crypto、Misc,初赛的部分赛题考点基于国产操作系统“PK系统”(飞腾CPU+麒麟OS操作系统)进行设定,是国内首个基于双系统(Wintel+PK)举办的国家级网络安全赛事。嘶吼独家采访到了数字中国创新大赛组委会、中国软件集团和优秀参赛队伍,从不同视角呈现网络安全开年第一赛事的全貌。

一、数字中国创新大赛多赛道并行

嘶吼:本届大赛以“培育数字经济新动能,助推数字中国新发展”为主题,大赛组委会创办2020数字中国创新大赛的初心是什么?

创新大赛组委会负责人:希望通过各赛道的生态渠道汇聚企业、高校、机构、开发者等社会各界分散智力资源参与赛事,广泛引入产业、基金、资本参与项目、技术等对接合作,助力数字中国建设。

嘶吼:大赛采取多赛道形式,设置了数字政府、智慧医疗、鲲鹏计算、虎符网络安全、区块链和中小学生等赛道,辐射面较广,设立这些赛道的原因吗?

创新大赛组委会负责人:相比首届比赛,2020数字中国创新大赛组织形式更加多样,采取多赛道并行的竞赛形式,设置了数字政府、智慧医疗、鲲鹏计算、网络安全、区块链和中小学生赛道等“5+1”赛道。其中,数字政府赛道聚焦智慧海洋、政务服务、智慧社区、城市管理四大领域,利用大数据提升政府治理能力和水平;智慧医疗赛道聚焦“互联网+医疗健康”等七大方向,通过信息化技术应用与医疗健康服务融合发展,助力“健康中国”落地实施;鲲鹏计算赛道以培育各行业、各领域应用软件的国产化开发、迁移、适配、调优为重点方向,邀请国内各地鲲鹏生态基地共建鲲鹏生态,积极推进国产化数字生态建设;网络安全赛道通过平行仿真靶场,充分结合中国电子PK生态体系及其应用上的历史漏洞设置赛题,以赛代练,发掘和培养网络安全实战人才,为数字中国建设保驾护航。中小学生赛道面向中小学生开展人工智能科技创新项目评比和科技人才的培养活动,培养中小学生热爱科学、潜心钻研的兴趣爱好。

嘶吼:第二届大赛相较于第一届的有什么变化和进展吗?

创新大赛组委会负责人:

1)办赛机构更专业化。各赛道由多家龙头领军企业和科研机构共同承办,汇聚各方生态资源,多渠道宣传推介数字中国建设峰会和创新大赛。

2)是组织形式更加多样。本届大赛采取多赛道并行的竞赛形式,设置六大赛道。在赛题形式上,有数据算法赛、创新应用赛、方案征集赛、网络攻防赛等,参赛队伍覆盖企业、高校、科研机构、技术团队、社会开发者等各类群体和中小学生。

3)是新一代信息技术应用更广。在赛题选择上结合当下行业、社会热门应用,面向产业和民生领域实际需求,涉及人工智能、大数据、区块链等前沿技术方向。4)是大赛奖励更加丰厚。大赛奖金方面进一步提高至近600万元,出台落地扶持政策,加强人才引进,奖励获奖团队的应用型成果落地转化。

二、“PK”体系首次融入网安赛事选题

“PK系统”是国家级网络安全核心体系,对标Windows和Intel体系,是技术创新和产业化发展的综合体,嘶吼采访到了参赛队伍,了解本届赛事有关PK系统题目的答题感受。

WX20200430-144409@2x.png

PK系统

嘶吼:此次比赛引入了中国电子的PK系统,您对PK系统了解多少?对于中国自主研发的平台有什么期待?

Vidar-Team战队 :PK系统采用了飞腾“Phytium处理器”和麒麟“Kylin操作系统”的组合,是中国电子自主构建的具有完全自主知识产权的计算机软基础软硬件体系,被誉为“中国架构”。作为中国自主研发的平台,对其安全性有很高的期待,相信它会成为中国国家网络安全建设中的标志性成果之一。

嘶吼:据了解,决赛中PK系统会成为比赛的终极挑战之一。PK系统为代表的信创系统在政企行业中应用会越来越多,作为战队未来会针对该领域做哪些研究?

Vidar-Team战队 :PK系统的硬件架构基于arm指令集的,我们会悉心钻研arm底层,涉及底层的研究难度较高,会需要长时间的耕耘学习,之后研究分析并尝试挖掘arm平台上的二进制漏洞,希望以后能为PK系统的发展做出些许贡献。

嘶吼:此次比赛引入了中国电子的PK系统,您对PK系统了解多少?对于中国自主研发的平台有什么期待?

Venom战队:在AWD的基础上增加了众测,原来参加其他比赛接触过这个类型的模式,但是还是比较期待中国电子这么大的企业做出来的平台会有怎样的视觉冲击效果。

嘶吼:本次比赛首次将PK系统作为攻防平台,对其应用生态在重点行业的推广和普及有着怎样的意义?目前PK系统行业渗透率和发展情况如何,在哪些行业得到应用?

PK系统专家:网络安全是国家安全的重要组成部分。八年来,中国电子瞄准我国网络安全“三大痛点”,着力推进“关后门”、“堵漏洞”、“防断供”三个主要方向,加速筑牢自主核心网络安全技术的基础和底座。使用PK系统作为攻防平台的比赛也是加强PK系统安全性的举措之一,通过比赛一是要经过实战检验PK系统的安全性,预先找到不足进行完善;二是通过比赛锻炼、发掘相关人才,为国家信息安全奠定人才基础;三是通过比赛全方位展示信息安全成果,为行业应用提供参考。

PK系统在很多行业都有不同程度的应用,目前主要是在关系到国计民生的行业中得到了广泛的应用,尤其是在对安全性要求比较严格的行业中,例如电信、广电、能源、金融、公路水路交通、铁路、民航、邮政、水利、应急、卫健、社会保障等行业领域,例如麒麟操作系统在相关领域的市场占有率超过90%。

三、信创浪潮下,PK系统在网安产业链中不断演进

信创产业,即信息技术应用创新产业。国产化安全发展历经从无到有,到核心产品逐一突破,再到现如今的国产化系统不断完善,全面实现以国产化操作系统、国产化芯片、国产化数据库为核心的自主安全可信平台。权威机构指出,2020年是信创产业全面推广的起点,未来三到五年,信创产业将迎来黄金发展期。它作为“新基建”的重要内容,将成为拉动经济发展的重要抓手之一,政府投入预计将会得到充分保证。

嘶吼:PK系统目前的普及范围、增长速度如何?在新基建和信创浪潮之下,是否将出现新一轮的增长?

PK系统专家:在各行各业日益加强的安全要求下,PK系统得到了长足的发展,随着新基建和信创的浪潮,PK系统也一定会抓住这一重大历史机遇实现突破性发展。今年3月20日PK系统正式发布发布麒麟软件的“遨天”计划,麒麟软件将实现百亿级资金投入,立足人工智能、移动计算、云端互联等未来技术发展趋势,以“内生安全、融入移动、注重体验、支撑体系”为特色,塑造一支规模逾万人的自主操作系统精英团队,打造桌面与服务器操作系统、云操作系统、嵌入式操作系统三大产品。

嘶吼:如果PK系统下出现网络攻击或数据泄露,主要可能出现在哪些场景?

PK系统专家:任何一个技术体系都会有不同程度的漏洞,PK系统也不例外,为了提升PK系统的安全性,我们在去年12月正式发布了PKS架构,就是在原有基础上进一步提升安全性。如果说CPU和操作系统是“心脏”和“大脑”,“PKS”安全体系则是植入到血液的安全基因,可以实现底层构架的本质安全。在PKS安全体系下,所有的PK产品天生就自带安全属性,外围再加上成熟的安全防护体系,既从内到外构建了一整套安全体系,又提升了整体安全性。

嘶吼:基于PK系统下的生态应用,目前是什么样的情况?

PK系统专家:PK系统从诞生那一天起就是要构建一个开放的生态体系,所以一直特别注重生态的培育。目前,PK系统认证的硬件整机这块包括长城、联想、浪潮、曙光、超越等40多家主要厂商,另外还有固件、板卡、外设等相关厂商。软件方面除了数据库、中间件等基础软件;流式、版式和签章等办公软件外,还包括云平台、大数据等其他应用软件,目前各个主要版本累计完成了3000余款软硬件产品的认证工作。

在这基础上,面向重要行业的办公应用类系统的子生态已基本成熟,能够支撑相关行业展开批量化的推广工作,下一步面向不同的行业逐步建设完善相应的子生态。除此之外,我们也在积极探索,逐步打通融合PC生态和移动生态,大大拓展PK系统在移动端的使用场景,提升用户使用体验。

 

总结;国产化自主安全是国家对于信息安全和网络安全的重视,网络安全创新赛事结合“PK”体系,吸引优质人才关注自主创新产业。举办各类网安赛事,通过与企业、高校科研院的深度合作,结合产学研加强组织的自主研发能力,激发组织创新的内生动力。


Apple Mail风波才刚刚过去,谷歌又炸出了苹果一波新漏洞,这一操作是否又让苹果用户的信心碎了一地?

昨日,谷歌安全团队Project Zero披露一系列苹果的安全漏洞,涉及iPhone、iPad、Mac用户。该团队利用“Fuzzing”测试发现苹果基础功能Image I/O框架中的6个漏洞,OpenEXR中的8个漏洞。

apple-google-smartphone-truce-20140517.jpg

随后谷歌团队向苹果报告了这些漏洞,6个Image I/O问题在1月和4月获得了安全更新,而OpenEXR则已在v2.4.1中进行了修补。在iOS13版本后都已经更新和修复,用户只需要将设备更新到最新版本即可。

说到Image I/O框架或许大家都还很陌生,简单来说就是会影响到设备图像使用的多媒体组件。当用户打开手机相册或者用微信传输图像时,这一框架就派上用场了。这意味着用户设备上的图片读写存储、社交工具中图像传输等涉及图像使用的基本都会用到这一基础框架。

Image I/O框架支持大多数常见的图像文件格式,如JPEG、JPEG2000、RAW、TIFF、BMP和PNG。当用户需要用到图片数据时,图片源是最好的方式。图片源提取了数据访问任务并且节省了通过原始缓存数据中管理数据的需要。数据源可以包含多个图片、缩略图、每张图片的属性和图片文件。

微信图片_20200430113755.png

黑客如何利用这一框架进行攻击?在Project Zero团队的“Fuzzing”测试中,发现以下Image I/O中的6个漏洞:

微信图片_20200430130437.png

该团队通过调整图片文件的部分参数,比如虚假的图片高度、宽度等,就会导致Image I/O框架运行出错。或者在“Fuzzing”过程中为Image I/O提供意外输入,以检测框架代码中的异常和潜在的未来攻击入口点。总之,通过异常的媒体文件,即可在目标设备运行无需用户干预的“零点击”代码。

上图显示的Image I/O中的最后一个漏洞涉及OpenEXR图像处理内存溢出问题,该团队对开源的OpenEXR也进行了“Fuzzing”测试。

最后,该团队在OpenEXR中发现了8个漏洞。OpenEXR是一个用于解析EXR图像文件的开源库,它作为第三方组件随Image I/O一起发布,即苹果向第三方公开的“高动态范围(HDR)图像文件格式”的框架。

微信图片_20200430130432.png

两个框架中的一系列漏洞会导致严重的用户数据泄露。再进一步而言,黑客尝试自动重启服务授权漏洞利用,存在可执行“零点击”远程代码的可能。

多媒体组件是最容易遭受黑客攻击的一个操作系统。Project Zero揭露的这一系列漏洞都是基础操作中容易遭到利用并产生严重后果的。

设备中的任何新型的多媒体文件,比如图像、音频、视频等都会自动转到本地OS库中并自动解析文件内容和处理流程。因此,攻击者一旦利用这些多媒体组件中的漏洞就可以无需用户交互地执行远程代码,进而接管设备或者开展其他恶意操作。

而在如今的社会,图像传输、视频分享等都是人们的家常便饭。隐藏在这些SMS、电子邮件、社交媒体中的恶意代码让用户的设备在网络上“裸奔”,这应该是要引起广泛关注的问题。

今有苹果Image I/O漏洞窃取用户图像数据,昨有gif动图接管微软Teams账户,这不禁让人反思,供应商在多媒体处理库的安全风险防范是不是还不够?

项目原文参考:

谷歌团队利用Fuzzing测试ImageI/O官方博客

*本文作者:Sandra1432,转载请注明来自FreeBuf.COM

0x0 背景介绍

近期,深信服安全团队捕获到一个“求生欲”极强的Linux挖矿病毒家族,为了躲避DDG及安全人员的查杀,其采用了多种方式进行隐藏及持久化攻击,由于其会访问域名Rainbow66.f3322.net,深信服安全团队将其命名为RainbowMiner。

0x1 排查过程

中毒的主机出现了奇怪现象,CPU占用率很高,却找不到可疑的进程。

图片1.png

这种情况第一反应是病毒对系统命令进行了劫持,隐藏自身,下载运行busybox top命令,即可查看到病毒进程,其中kthreadds为挖矿进程,pdflushs为守护进程。

图片2.png

定位完病毒进程后,还需删除对应的文件,挖矿进程对应的文件为/usr/bin/kthreadds,守护进程对应的文件为/etc/init.d/pdflush,同时,主机的/etc/rc*.d/启动目录下还有残留的链接,也许一并清除。

图片3.png

 该病毒没有采用定时任务的方式驻留,而是创建了一个ssh公钥后门,也需要一并清除。

图片4.png

除此之外,还发现主机有个伪装的python恶意进程,经后续分析确认也是个守护进程,需要清除干净。

至此,病毒的清除过程就结束了。

图片5.png

0x2 情报关联

从Github开源项目DDGBotnetTracker发现,DDG最新版本v5023的猎杀名单中存在有RainbowMiner的项,看来DDG也视RainbowMiner为眼中钉。

图片6.png

RainbowMiner相应的域名也在重定向列表里。

图片7.png

Rainbow66.f3322.net(148.70.199.147)是个HFS服务器,上述xmrig/目录存放的就是RainbowMiner的所有组件,这里可以看到点击量超过了7.7w,估摸着感染RainbowMiner的主机大概有7w+。

图片8.png

xmrig/目录如下,其中母体脚本有3个,launch和launch-ubuntu即为pdflushs,而install比较有趣,分析发现是个汉化版的脚本。

图片9.png

脚本还带有中文注释。

图片10.png

 运行后,会提示你安装挖矿还是安装后门,功能与pdflushs相仿。

图片11.png

0x3 病毒分析

kthreadds为开源xmrig挖矿程序,下面主要分析母体脚本pdflushs,从初始的变量定义,可以得知,RainbowMiner的组件主要有3类:ssh等运维工具、processhider等黑客工具、xmrig等挖矿程序,其中运维工具是方便脚本执行命令,黑客工具只要是用来隐藏及持久化运行挖矿进程。

图片12.png

脚本入口点如下,支持3种参数,安装并运行挖矿,检查挖矿运行状态,及检查更新。

图片13.png

 主要看start函数,该函数启动后会从C&C服务器下载各个组件,并校验sha512是否正确,若不正确(云端组件有更新或本地组件被篡改)则重新下载。

图片14.png

写入ssh公钥后门到autorized_keys文件,使C&C服务器后续可以直接登录该主机。

图片15.png

后台运行cron.py脚本(伪装成libgc++.so),与母体脚本功能类似,守护监控挖矿是否正常运行。

图片16.png

cron.py脚本的代码如下,后台运行挖矿进程及母体脚本,挖矿矿池地址为:rainbow20.eatuo.com。

图片17.png

参考链接:https://github.com/0xjiayu/DDGBotnetTracker/blob/master/v2/data/jobs.json

0x0 背景介绍

近期,深信服安全团队捕获到一个“求生欲”极强的Linux挖矿病毒家族,为了躲避DDG及安全人员的查杀,其采用了多种方式进行隐藏及持久化攻击,由于其会访问域名Rainbow66.f3322.net,深信服安全团队将其命名为RainbowMiner。

0x1 排查过程

中毒的主机出现了奇怪现象,CPU占用率很高,却找不到可疑的进程。

图片1.png

这种情况第一反应是病毒对系统命令进行了劫持,隐藏自身,下载运行busybox top命令,即可查看到病毒进程,其中kthreadds为挖矿进程,pdflushs为守护进程。

图片2.png

定位完病毒进程后,还需删除对应的文件,挖矿进程对应的文件为/usr/bin/kthreadds,守护进程对应的文件为/etc/init.d/pdflush,同时,主机的/etc/rc*.d/启动目录下还有残留的链接,也许一并清除。

图片3.png

 该病毒没有采用定时任务的方式驻留,而是创建了一个ssh公钥后门,也需要一并清除。

图片4.png

除此之外,还发现主机有个伪装的python恶意进程,经后续分析确认也是个守护进程,需要清除干净。

至此,病毒的清除过程就结束了。

图片5.png

0x2 情报关联

从Github开源项目DDGBotnetTracker发现,DDG最新版本v5023的猎杀名单中存在有RainbowMiner的项,看来DDG也视RainbowMiner为眼中钉。

图片6.png

RainbowMiner相应的域名也在重定向列表里。

图片7.png

Rainbow66.f3322.net(148.70.199.147)是个HFS服务器,上述xmrig/目录存放的就是RainbowMiner的所有组件,这里可以看到点击量超过了7.7w,估摸着感染RainbowMiner的主机大概有7w+。

图片8.png

xmrig/目录如下,其中母体脚本有3个,launch和launch-ubuntu即为pdflushs,而install比较有趣,分析发现是个汉化版的脚本。

图片9.png

脚本还带有中文注释。

图片10.png

 运行后,会提示你安装挖矿还是安装后门,功能与pdflushs相仿。

图片11.png

0x3 病毒分析

kthreadds为开源xmrig挖矿程序,下面主要分析母体脚本pdflushs,从初始的变量定义,可以得知,RainbowMiner的组件主要有3类:ssh等运维工具、processhider等黑客工具、xmrig等挖矿程序,其中运维工具是方便脚本执行命令,黑客工具只要是用来隐藏及持久化运行挖矿进程。

图片12.png

脚本入口点如下,支持3种参数,安装并运行挖矿,检查挖矿运行状态,及检查更新。

图片13.png

 主要看start函数,该函数启动后会从C&C服务器下载各个组件,并校验sha512是否正确,若不正确(云端组件有更新或本地组件被篡改)则重新下载。

图片14.png

写入ssh公钥后门到autorized_keys文件,使C&C服务器后续可以直接登录该主机。

图片15.png

后台运行cron.py脚本(伪装成libgc++.so),与母体脚本功能类似,守护监控挖矿是否正常运行。

图片16.png

cron.py脚本的代码如下,后台运行挖矿进程及母体脚本,挖矿矿池地址为:rainbow20.eatuo.com。

图片17.png

参考链接:https://github.com/0xjiayu/DDGBotnetTracker/blob/master/v2/data/jobs.json

研究人员近期发现Android恶意软件“TrickMo”,该程序可通过TrickBot木马感染用户。攻击者利用该恶意app可绕过2FA认证并授权交易,TrickMo正在频繁升级更新,虽然它可以针对任何银行或地区,但目前只在德国出现。

首次发现

2019年9月网络犯罪团伙利用银行木马TrickBot进行攻击,攻击者在网上银行web界面注入恶意代码,获取用户手机号码和设备类型。 

当银行木请求此类信息时,通常意味着攻击者将试图感染受害者的移动设备。

桌面木马及其移动组件

木马对移动设备的攻击活动已有十年的历史。当用户台式机上感染了TrickBot时,用户访问的网页会被注入恶意代码并收集移动设备系统类型和电话号码。木马通过伪造银行网站欺骗受害者安装假冒程序,获取“安全代码”登录其在线银行。

TrickMo目前针对德国用户,其目的是窃取交易身份验证号码(TAN),主要功能包括:

窃取个人设备信息

拦截短信

记录目标应用程序的密码(TAN)

手机锁定

获取设备图片

自毁和清除

软件发展

随着银行安全措施增强,银行恶意软件也在不断发展。十年前银行木马可以使用凭据访问受害者在线银行帐户并进行汇款。之后金融机构引入了第二因素认证(2FA)方法,向客户端移动设备发送一次性密码消息,客户在浏览器中输入后才能授权交易。2011年左右,Zeus Trojan开始使用web注入诱使用户下载“ZitMo”移动组件,拦截银行SMS消息并窃取密码绕过2FA。同一时期,其他银行恶意软件家族也纷纷效仿。

在过去的几年中,欧洲的一些银行,尤其是德国的银行,停止使用基于SMS的身份验证,使用2FA方案pushTAN程序。这些应用程序不再依赖于可以被第三方拦截的SMS消息,而是使用用户推送通知,其中包含交易明细和TAN。 pushTAN方法可降低SIM交换攻击和SMS窃取风险。为了应对这一变化,TrickMo添加了屏幕视频录制和屏幕数据抓取功能来窃取TAN。

技术分析

Android辅助功能服务最初目的是面向残障用户,任何应用程序都可以请求其权限,例如屏幕阅读,更改对象的大小和颜色,增强听觉能力,用其他形式的控件代替触摸等等。TrickMo安装在设备上后会授权攻击者执行操作,其中包括:

防止用户卸载应用程序

更改设备设置成为默认的SMS应用程序

监视当前正在运行的应用程序

获取屏幕文字

Android操作系统包含许多对话框屏幕,必须点击屏幕按钮拒绝或批准权限操作,TrickMo可识别和控制屏幕,在用户做出反应之前做出自己的选择。恶意软件会检测特定对话框并根据预定义选项选择,如下图所示:

TrickMo注册侦听“ android.intent.action.SCREEN_ON”和“ android.provider.Telephony.SMS_DELIVER”广播接收器,TrickMo可在设备互动后或收到新SMS消息后启动。

TrickMo使用共享机制存储数据,可以从C&C服务器或SMS消息获取命令执行任务。

为了增强其安全性增加分析难度,TrickMo使用混淆器来加密函数,类和变量名称。 2020年1月发布的TrickMo可检测自身是否处于模拟环境以防止被分析。下图可以看到加密和解密文件,该文件使用Java“PBEWithMD5AndDES”算法加密。

网络通信

TrickMo代码包含C&C服务器URL,通过未加密的HTTP定期连接服务器,通过JSON数据格式发送受害者手机数据:

    ID

    IMSI

    IMEI

    Phone number

    Operator

    AID

    Model

    Brand

    Version

    Build

    Battery 

    Wi-Fi state

    Wake time

    Screen size

    Installed applications

    SMS messages

某些银行仍在使用SMS授权交易,TrickMo可以自动窃取设备上存储的所有SMS消息,向C&C服务器发送设备数据以及所有保存的SMS消息,也可以删除SMS消息。下图可以看到发送到攻击者C&C服务器的数据包,其中包含收集的信息以及SMS数据。

TrickMo可自动将SMS发送到C&C服务器,同时也发送操作日志数据。下图是TrickMo成为默认SMS应用程序后发送给攻击者的日志。 如果该恶意软件成为默认的SMS应用程序,它将以俄语发送成功结果。

TrickMo可通过两种方式进行控制:

1、利用C&C服务器发送HTTP数据

2、利用加密SMS消息

控制命令包括:

sms控制

1、更新C&C服务器地址,SMS消息以“http://”开头

2、发送加密消息,SMS以“sms://”开头

3、更新唤醒服务——“2”

4、停止活动——“4”

C&C控制

1、更新C&C服务器地址——“1”

2、更新唤醒服务——“2”

3、锁定屏幕——“5”

4、显示图片——“11”

5、发送短信——“8”

6、窃取图像——“12”和“13”

7、成为默认的短信应用——“6”

8、启用录制——“15”

9、停止活动——“4”

TrickMo可在目标应用程序运行时记录屏幕,程序记录通过两种方法实现:

1、应用程序运行时,使用Android MediaRecorder录制屏幕视频

2、记录屏幕上所有对象的数据

所有数据发送到攻击者C&C服务器,下图可以看到恶意软件如何从C&C服务器接收JSON数据,其中包含开始录制命令,目标应用程序和录制的视频比率。

TrickMo恶意软拥有自己的kill开关。下图可以看到来自C&C服务器的命令,如果返回的JSON数据为“4”,它将打开kill开关并启动自删除。

IoCs

url

hxxp://mcsoft365.com/c

hxxp://pingconnect.net/c

Hashes

MD5: 5c749c9fce8c41bf6bcc9bd8a691621b

SHA256: 284bd2d16092b4d13b6bc85d87950eb4c5e8cbba9af2a04d76d88da2f26c485c

MD5: b264af5d2f3390e465052a***2b0726d

SHA256: 8ab1712ce9ca2d7952ab763d8a4872aa6a278c3f60dc13e0aebe59f50e

*参考来源:securityintelligence,由Kriston编译,转载请注明来自FreeBuf.COM

相关研究预测2020年网络安全人才数量缺口高达140万人,而网络安全相关专业高校毕业生一年仅仅万人,市场缺口巨大。这次疫情对国内一些行业带来了冲击,网络安全行业作为新兴信息技术领域的代表,相比于部分传统行业所受到的冲击较小,但本次疫情也对网络安全行业的运营模式和人才需求提出了新的挑战。

想成为一名web安全工程师

却一直没有入门

习惯了读书时候老师盯着学习

不想自己闷头翻书看论坛

各种瞎敲键盘也得不到想要的答案

时间短,进度慢

想尽快提升,但一直在低段位徘徊

请合上书本

关掉文章

这期的小班速成营适合你!

image.pngimage.png课程内容

通过本期小班速成营,帮助大家更快地入门网络安全。课程内容包括但不限于Web基础、信息收集、SQL注入漏洞及原理、常见注入、XSS、CSRF和SSRF不得不说的故事、常见漏洞、漏洞扫描、Metasploi框架、WebShell、后渗透、Powershell装逼指南、源代码审计

课程亮点

01小班授课  

限制人数+封闭授课,同期学员人数不超过20人,照顾到每位同学的学习进度。

02全程直播  

全程直播+课后回放,FreeBuf金牌讲师帮你把web安全重难点知识点各个击破。

03讲师答疑  

直播答疑+群内答疑,所有学习问题不过夜,学习进度不暂停。

04课后作业  

每次课程后,讲师给到课程推荐课后作业,学员自行选择完成,作业内容实时答疑。

05课程小助手  

全程课程小助手跟进学员的学习情况、作业情况等,并发放学习材料,第一时间解决各种问题。

06结业证书  

课程结束后,将根据学员的学习打卡情况、作业情况等进行评估,颁发本课程的电子结业证书。

07直播福利活动  

不定时将开展直播福利活动,抽取各种优选书籍、课程免单、项目入场券等福利。

08工具分享  

购课即可领取web安全入门相关工具及其他学习资料礼包,学习无忧。

课程大纲

一.Web基础

1.web基础

2.渗透测试环境搭建

3.漏洞环境搭建

二.信息收集

1.前端信息收集

2.后端信息收集

三.SQL注入漏洞及原理

1.SQL注入基础

2.Union注入

3.Boolean注入

4.报错注入

5.时间延迟注入

6.堆叠查询注入

7.二次注入

8.宽字节注入

9.cookie注入

10.XFF注入

11.sqlmap脚本编写

四.常见注入

1.HTML注入

2.远程代码执行

3.级联样式注入

4.JSON注入

五.XSS、CSRF和SSRF不得不说的故事

1.反射型XSS

2.存储型XSS

3.DOM型XSS

4.CSRF跨站请求伪造

5.SSRF服务端请求伪造

六.常见漏洞

1.URL重定向

2.文件包含

2.1 本地文件包含

2.2 远程文件包含

3.任意文件上传

3.1 JS检测绕过

3.2 文件类型绕过

3.3 竞争条件绕过

4.暴力破解

5.XXE实体注入

6.逻辑漏洞

7.横纵提权

8.变量覆盖

9.unserialize反序列化漏洞

七.漏洞扫描

1.Arachni扫描

2.AWVS扫描

3.系统扫描

八.Metasploi框架

1.Metasploit框架介绍

2.基础配置

3.木马免杀

4.公开漏洞利用

九.WebShell

1.系统后门

2.网页后门

十.后渗透

1.提权

2.持久化控制

3.内网渗透

十一.powershell装逼指南

1.powershell基础

2.powersploit使用

3.nishang使用

十二.源代码审计

1.cms

2.thinkphp框架

课程售价

本期小班速成营采用线上授课的形式,共学习10天,每晚19点-21点上课,包含1小时30分钟课程内容讲解和30分钟左右课程内容答疑。

本期课程售价399元学员人数达到20人即关闭报名

课程安排

image.png 报名方式

小班速成营报名入口

本期课程售价399元

学员人数达到20人即关闭报名

报名链接:

https://live.freebuf.com/detail/58fd37d3d4c940564de0a69ab58e7306

二维码报名:

image.png

扫描二维码,点击“立即报名”即可完成购买

所有课程购买完毕后,可登入FreeBuf账号

我的主页→我的课程,查看课程视频及资料

课程相关问题请联系小助手(VX:fbgkk2017)

近日,来自英国利物浦大学(University of Liverpool)、纽约大学等地的研究人员在WWW 20会议上发表了题为Nowhere to Hide: Cross-modal Identity Leakage between Biometrics and Devices的文章,发现了一种新的利用设备ID和生物信息来对个人身份进行去匿名化的方法,最终可以对超过70%的设备id去匿名。

track biometrics and device identity

之前对身份窃取的研究只考虑了身份的单个类型,比如设备ID或是生物信息。没有同时用这两种身份类型,也没有深刻理解多模物联网环境中相关信息的关联。

复合数据泄露攻击

身份泄露机制是建立在长时间对网络物理空间中的个人进行秘密窃听的思想之上的。

Deanonymize Device IDs

设备ID去匿名

攻击者可以利用个人的生物信息(面部、声音等)和智能手机、IoT设备的WiFi MAC地址,通过构造这两个集合的时空关联来自动识别用户。攻击者可以是与受害者处于同一网络内的用户,也可以是在咖啡厅使用笔记本电脑来监听随机受害者的黑客。所以启动这样的攻击成本是非常容易的,成本也是非常低的。

为了实现攻击,研究人员基于树莓派的监听原型系统,该系统由一个录像机、一个8MP摄像头和一个可以获取设备id的WiFi嗅探器。这种方式收集的数据不仅可以证明了在设备的物理生物信息和个人设备直接按存在会话参与相似性,还证明了足以在相同的空间内从一群人中隔离出特定的个人。

De-anonymize Devices

设备-生物信息关联

研究人员称,攻击的准确性可以减少到一个受害者可以隐藏在一群人中,并分享相同或高度相似的会话参与模型。

可能的缓解技术

网络中有数亿的物联网设备连接到互联网,因此这种数据泄露是一种现实的威胁,研究人员估计攻击者可以将超过70%的设备id去匿名。对无线通信进行混淆和扫描隐藏的麦克风或摄像头可以帮助缓解这类跨模攻击,但目前为止还没有很好的应对措施。研究人员建议用户不要连接公共WiFi网络,因为这会在网络中留下WiFi的MAC地址信息。

不要让多模IoT设备24*7的监控你的生活,比如智能门锁、语音助理。因为这些设备可能会在没有通知你的情况下将数据发送给第三方,之后如果数据泄露,就可能会泄露你的ID。

论文下载地址:https://arxiv.org/pdf/2001.08211.pdf

项目地址:https://github.com/zjzsliyang/CrossLeak

近日,来自英国利物浦大学(University of Liverpool)、纽约大学等地的研究人员在WWW 20会议上发表了题为Nowhere to Hide: Cross-modal Identity Leakage between Biometrics and Devices的文章,发现了一种新的利用设备ID和生物信息来对个人身份进行去匿名化的方法,最终可以对超过70%的设备id去匿名。

track biometrics and device identity

之前对身份窃取的研究只考虑了身份的单个类型,比如设备ID或是生物信息。没有同时用这两种身份类型,也没有深刻理解多模物联网环境中相关信息的关联。

复合数据泄露攻击

身份泄露机制是建立在长时间对网络物理空间中的个人进行秘密窃听的思想之上的。

Deanonymize Device IDs

设备ID去匿名

攻击者可以利用个人的生物信息(面部、声音等)和智能手机、IoT设备的WiFi MAC地址,通过构造这两个集合的时空关联来自动识别用户。攻击者可以是与受害者处于同一网络内的用户,也可以是在咖啡厅使用笔记本电脑来监听随机受害者的黑客。所以启动这样的攻击成本是非常容易的,成本也是非常低的。

为了实现攻击,研究人员基于树莓派的监听原型系统,该系统由一个录像机、一个8MP摄像头和一个可以获取设备id的WiFi嗅探器。这种方式收集的数据不仅可以证明了在设备的物理生物信息和个人设备直接按存在会话参与相似性,还证明了足以在相同的空间内从一群人中隔离出特定的个人。

De-anonymize Devices

设备-生物信息关联

研究人员称,攻击的准确性可以减少到一个受害者可以隐藏在一群人中,并分享相同或高度相似的会话参与模型。

可能的缓解技术

网络中有数亿的物联网设备连接到互联网,因此这种数据泄露是一种现实的威胁,研究人员估计攻击者可以将超过70%的设备id去匿名。对无线通信进行混淆和扫描隐藏的麦克风或摄像头可以帮助缓解这类跨模攻击,但目前为止还没有很好的应对措施。研究人员建议用户不要连接公共WiFi网络,因为这会在网络中留下WiFi的MAC地址信息。

不要让多模IoT设备24*7的监控你的生活,比如智能门锁、语音助理。因为这些设备可能会在没有通知你的情况下将数据发送给第三方,之后如果数据泄露,就可能会泄露你的ID。

论文下载地址:https://arxiv.org/pdf/2001.08211.pdf

项目地址:https://github.com/zjzsliyang/CrossLeak