欢迎光临
我们一直在努力

3月5日每日安全热点 – Fireeye发现与Solarwinds行动相关的新恶意软件

Ysck阅读(4)

Inspired by 360CERT

漏洞 Vulnerability

Supermicro修复Trickboot攻击

https://www.bleepingcomputer.com/news/security/supermicro-pulse-secure-release-fixes-for-trickboot-attacks/

 

VMWare修复View Planner RCE漏洞

https://www.bleepingcomputer.com/news/security/vmware-releases-fix-for-severe-view-planner-rce-vulnerability/

 

恶意软件 Malware

 

安全研究 Security Research

勒索软件安全防护分析

https://research.nccgroup.com/2021/03/04/deception-engineering-exploring-the-use-of-windows-service-canaries-against-ransomware/

 

安全工具 Security Tools

Wubes:Windows沙箱安全工具

https://research.nccgroup.com/2021/03/03/wubes-leveraging-the-windows-10-sandbox-for-arbitrary-processes/

 

安全资讯 Security Information

DHS下令紧急更新Exchange

https://www.bleepingcomputer.com/news/security/dhs-orders-agencies-to-urgently-patch-or-disconnect-exchange-servers/

 

安全报告 Security Report

Fireeye发现与Solarwinds行动相关的新恶意软件

https://www.bleepingcomputer.com/news/security/fireeye-finds-new-malware-likely-linked-to-solarwinds-hackers/

 

安全专家统计勒索软件涉及行业价值已超十亿美元并快速增长

https://www.bleepingcomputer.com/news/security/ransomware-is-a-multi-billion-industry-and-it-keeps-growing/

 

安全事件 Security Incident

Maza黑客论坛遭黑客攻击

https://www.bleepingcomputer.com/news/security/maza-forum-hacked-in-recent-attacks-targeting-cybercrime-forums/

 

SendGrid遭攻击并被利用窃取凭证

https://www.bleepingcomputer.com/news/security/hacked-sendgrid-accounts-used-in-phishing-attacks-to-steal-logins/

 

安全客 Security Geek

恶意框架样本分析-从Veil到Msf

https://www.anquanke.com/post/id/231447

暗箭实难防,网安公司Qualys数据失守

Ysck阅读(12)

第68期

你好呀~欢迎来到“资讯充电站”!小安就是本站站长。今天第68期如约和大家见面了!如果您是第一次光顾,可以先阅读站内公告了解我们哦。

【站内公告】
本站主要发布时下最火热最新鲜的网安资讯,不同于正儿八经的权威消息。本站的资讯内容可能会更富趣味性、讨论性,工作劳累之余给大家来点趣闻,唠唠嗑,也可以一起充电涨姿势~目前每周二、周四营业。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

 

暗箭实难防,网安公司Qualys数据失守

世上有光,就有阴影潜伏在旁。在这个数据泄露层出不穷的年头,“造”光的网络安全公司也容易被使用黑暗魔法的攻击方盯上。

眼前就有一个新鲜的例子——Qualys,一家在漏洞管理与合规性解决方案SaaS服务流域世界领先的公司。

去年12月,有人利用一个0-day漏洞,对Qualys的Accellion FTA服务器展开了一波攻击潮,并从中获得了托管在服务器上的文件。

(物)质在手的勒索软件运营商Clop,开启了自由定价的惬意甲方生活。把窃取的信息发布到专po泄露数据的私有网站后,Clop开始挨个敲诈这些受害者。

到目前为止,Clop的已知受害者包括新南威尔士运输公司、新加坡电信、庞巴迪公司、地理数据专业公司辉固、众达律师事务所、科技公司丹纳赫和技术服务公司ABS集团。

Qualys在3月2日晚上发布声明,确认Accellion FTA服务器曾在去年12月被利用0-day漏洞攻破。由于服务器部署在与内部网络隔离的位置,产品环境没有受到损害。

Qualys表示,他们已经关闭了受影响的Accellion FTA服务器,并切换到了其他的程序,以替代Accellion FTA服务器,支持相关的文件传输。

 

全国政协会议进行时,周鸿祎谈数据安全

数字时代一往直前,让整个世界都镀上了数字化的新光彩。

2021年是国家实施“十四五”规划第一年,本次全国政协会议紧紧围绕落实“十四五”规划展开,重点强调全面加强网络安全保障体系和能力建设、保障国家数据安全的重要性。

在2021年政协主席会议的第一次集体学习中,全国政协委员、360集团创始人周鸿祎从安全建设角度出发提出“以网络安全为基础,同步推进大数据开发利用和保护”的观点。

周鸿祎认为,大数据保护问题新旧交织,网络安全是数据安全的前提。网络安全与数据发展应同步推进,缺乏网络安全的数据保护只是“隔靴搔痒”。

未来,数字时代奔涌前行。要着力以数据运营为抓手做好大数据的开发利用,以网络安全为基础同步推进大数据开发利用和保护。

 

巴西发生史上最严重个人数据泄露事件,无人幸免

在人口数量庞大的低收入国家,个人信息同样贫贱。它们多而杂乱,像流浪的野孩子一般,几乎无人看管。

时间一长,总会出点问题。不过这回,出的是件大事——人口2.1亿的国家巴西,遭遇了历史上最严重的个人数据泄露,事件涉及2.23亿巴西公民。多出的这0.13亿人,是已经过逝的人口。

尽管巴西没有官方的数据泄露记录排名,可以证明这是这个国家经历过的最可怕的一次信息走失,但既然这次已经一网打尽了所有国民,应该也不会存在比这更糟糕的情况了。

泄露数据库最初由一家叫做PSafe的网络安全初创公司发现,捕获地点是某暗网论坛。随后,巴西科技门户网站Tecnoblog报道了这则消息。

被公开的个人信息按是否付费分为两个版本。付费版涵盖了2.23亿人的姓名、唯一税号、人脸信息、地址、电话号码、电子邮件、信用评分、工资等详实的个人信息。免费版相对精简,“仅仅”包含全名、唯一税号、出生日期和性别。Tecnoblog称,免费版本的下载链接已经泛滥到被谷歌搜索引擎编入了索引,不需要访问暗网就能找到。

由于这次泄露的不少信息(例如唯一税号、信用评分等)通常是由信用评分机构收集,不少人怀疑这个大篓子可能是巴西最大的信用评分机构Serasa Experian捅下的。

不过这一假设并没有得到任何官方调查的证实。Serasa也否认泄漏来自其系统——这么大一口锅砸来,任谁都不敢不明不白地扛下。

3月4日每日安全热点 – Qualys成Accellion最新受害者

Ysck阅读(11)

Inspired by 360CERT

漏洞 Vulnerability

Grub2被发现多个严重漏洞

https://www.bleepingcomputer.com/news/security/grub2-boot-loader-reveals-multiple-high-severity-vulnerabilities/

 

恶意软件 Malware

Exchange漏洞已被积极利用

https://www.bleepingcomputer.com/news/security/state-hackers-rush-to-exploit-unpatched-microsoft-exchange-servers/

 

安全研究 Security Research

Windows.com争夺战

https://remyhax.xyz/posts/bitsquatting-windows/

 

代码安全与陷阱

https://medium.com/@1ndahous3/safe-code-pitfalls-dll-side-loading-winapi-and-c-73baaf48bdf5

 

OWASP之应用程序网关

https://github.com/gianlucafrei/Application-Gateway

 

安全资讯 Security Information

黑客研究绕过3DS(支付)安全协议

https://www.bleepingcomputer.com/news/security/hackers-share-methods-to-bypass-3d-secure-for-payment-cards/

 

美政府提醒关注伪造身份诈骗

https://www.bleepingcomputer.com/news/security/us-government-warns-of-social-security-scams-using-fake-federal-ids/

 

安全事件 Security Incident

CompuCom遭网络攻击并出现服务中断

https://www.bleepingcomputer.com/news/security/compucom-msp-confirms-ongoing-outage-following-malware-incident/

 

Qualys成Accellion最新受害者

https://www.bleepingcomputer.com/news/security/cybersecurity-firm-qualys-is-the-latest-victim-of-accellion-hacks/

 

安全客 Security Geek

堆漏洞利用(2.29以上glibc,off-by-null, 加了申请size限制)

https://www.anquanke.com/post/id/231418

马来西亚航空公司披露一起长达9年的数据泄露事件

Ysck阅读(11)

 

概述

近期爆出,马航遭遇了一起长达9年的数据泄漏事件,暴露了其Enrich常旅客计划中会员的个人信息。

从昨日开始,马航开始通过电子邮件的方式向其Enrich奖励计划的成员发送通告,宣称他们受到本次数据泄露事件的影响。

马来西亚航空Enrich数据泄露事件的通知:

 

事件详情

据马来西亚航空称,该数据泄露事件发生于第三方IT服务提供商,该IT服务提供商通知马来西亚航空其2010年3月至2019年6月期间的会员数据遭到了泄露。

“马来西亚航空公司收到其第三方IT服务提供商关于数据安全事件的通知,该事件涉及到2010年3月至2019年6月期间马来西亚航空公司常旅客计划Enrich成员的一些个人数据,该事件未以任何方式影响马航自身的IT基础架构和系统。”

在此次数据泄露事件中,被泄露的会员信息包括会员姓名、联系方式、出生日期、性别、常旅客编号、状态和会员等级。

泄露的数据中不包含Enrich会员的行程信息、预订信息、票务信息以及任何身份证信息或银行卡信息。

尽管马来西亚航空表示此次事件没有泄露会员的密码,且尚未发现泄露信息被滥用的证据,但他们仍然建议用户更改其密码。

目前暂不知晓有多少位Enrich成员受到此次泄露事件的影响。

BleepingComputer已经与马来西亚航空公司联系,以确认进一步的详细信息,但尚未得到其回复。

 

马航Enrich会员应该做些什么?

如果您是Enrich计划的成员,建议立即登录到您的账户并更改密码。如果在其他网站也使用了与马航相同的密码,则也应该一并对其进行更改。

马来西亚航空公司进一步声明称,他们将不会通过电话等其他方式来通知会员更改密码或更新信息。

因此,如果有接到据称是马来西亚航空公司打来的电话,通知该数据泄露事件或要求提供更多信息,那么建议大家保持警惕并挂断电话。

威胁行为者通常会使用数据泄露事件中获取到的数据来开展恶意攻击,我们呼吁所有Enrich成员都应该对所谓航空公司发来的电子邮件、短信和电话保持警惕。

最后,感谢Douglas Mun的提醒。

Immunity Canvas 7.26泄露事件概览

Ysck阅读(7)

 

2021年3月2号,Twitter上有安全研究员披露了Immunity CANVAS 7.26工具源码泄露事件,安恒威胁情报中心猎影实验室第一时间对此事进行了追踪。

 

Immunity CANVAS是什么?

Immunity CANVAS是Immunity公司的一款商业级漏洞利用和渗透测试工具,此工具并不开源,其中文版介绍如下:

Canvas是ImmunitySec出品的一款安全漏洞检测工具。它包含几百个以上的漏洞利用。对于渗透测试人员来说,Canvas是比较专业的安全漏洞利用工具。Canvas 也常被用于对IDS和IPS的检测能力的测试。Canvas目前已经使用超过700个的漏洞利用,在兼容性设计也比较好,可以使用其它团队研发的漏洞利用工具,例如使用Gleg, Ltd’s VulnDisco 、 the Argeniss Ultimate0day 漏洞利用包。

经过评估,猎影实验室认为本次泄露的应该是该工具的完整源码,泄露的版本可以直接安装在Linux平台或Windows平台,安装并启动后的界面如下:

根据官方说明,这个工具有以下几个功能特点:

  1. 自动攻击:可以选择自动攻击功能,软件会自动对网络、操作系统、应用软件进行攻击。攻击成功后,会自动返回目标系统的控制权;
  2. 漏洞攻击:该软件漏洞库每天进行更新。同时包含了大量的0day以及未公开的漏洞。可以指定漏洞对目标系统进行攻击;
  3. 代码开放:平台和主要攻击包代码开放,可自由组合调整重新打包自有攻击检测漏洞包,也可以基于平台研发编辑自己的攻击包;
  4. 集成:可集成数据库的弱点扫描探测, 渗透攻击工具, 保证数据库及其应用的安全,也可集成Web应用的弱点扫描探测, 渗透攻击工具,保证Web应用的安全。

 

泄露的源码概览

安恒威胁情报中心获得了此次泄露的Immunity CANVAS源码,泄露的版本为7.26版本,从更新日志里面可以看到,这个版本大约在2020年9月2号发布,属于该工具的近期版本。

泄露的源码中有多个目录:

其中Documentation目录下是该工具的历史更新文档和安装说明文档,exploits目录下为该工具内置的漏洞利用组件,fuzzer目录为该工具自带的一些fuzz组件,其他目录可以根据目录名进行推断理解。

 

多个重量级漏洞利用组件遭到泄露

经过猎影实验室的分析,此次泄露中包含多个Windows、Linux及其他操作系统、商业软件的漏洞利用组件。总数多达几百个,其中不乏一些重量级的漏洞利用组件。

猎影实验室重点对其中的Windows漏洞利用组件进行了评估。

最值的注意的是一个武器级的英特尔“幽灵”漏洞(spectre)利用组件,“幽灵”漏洞是前几年披露的一个英特尔处理器的漏洞,此次泄露的源码内有一份借助该漏洞在Windows上实现信息窃取的利用代码,更新日志显示此漏洞在2018年5月23号的7.18版本中添加支持:

  1. spectre_file_leak (CVE-2017-5753)

此外,本次泄露代码中包括多个较新的Windows无交互远程代码执行漏洞组件,包括以下2个漏洞利用:

  1. SMBGHOST (CVE-2020-0796):Windows SMB远程代码执行漏洞
  2. BLUEKEEP (CVE-2019-0708):Windows RDP远程代码执行漏洞

以下为BLUEKEEP漏洞利用组件的部分代码。

有意思的是,Immunity公司此前还因公开出售BlUEKEEP的利用代码引起安全界的广泛关注。

本次泄露中还包括多个较新的Windows本地提权漏洞利用,如下:

  1. smbghost_lpe (CVE-2020-0796)
  2. alpc_appxedge_lpe (CVE-2019-1253)
  3. error_reporting_lpe (CVE-2019-1315)
  4. dde_closehandle_lpe (CVE-2019-0803)
  5. alpc_takeover_lpe (CVE-2019-0841)
  6. destroyclass_uaf_lpe (CVE-2019-0623)
  7. setwindowfnid_lpe (CVE-2018-8453)
  8. setimeinfoex_lpe (CVE-2018-8120)

泄露工具中总共支持的Windows本地提权漏洞组件达到数十个(截图只展示了其中一部分)。

在最近的几次更新中,该工具添加的漏洞利用组件有如下一些:

  1. SMBGHOST (CVE-2020-0796)
  2. smbghost_lpe (CVE-2020-0796)
  3. ssrs_viewstate_rce (CVE-2020-0618)
  4. owa_rce (CVE-2020-0688)
  5. menu_confusion_lpe (CVE-2019-0859)
  6. netscaler_traversal_rce (CVE-2019-19781)
  7. curveball (CVE-2020-0601)
  8. rails_activestorage_rce (CVE-2019-5420)
  9. rails_accept_readfile (CVE-2019-5418)
  10. rconfig_ajaxserver_rce (CVE-2019-16662)

从上述漏洞的编号可以看到,最新的1day漏洞在被不断被加入Canvas框架,说明该漏洞攻击框架仍在不断更新中。

 

写在最后

猎影实验室评估此次Immunity CANVAS 7.26的泄露事件后认为:此次泄露事件非常严重,此次事件应该是继2015年HackingTeam泄露事件和2017年方程式组件泄露事件后又一严重的武器级漏洞利用组件泄露事件。截止目前,猎影实验室未发现此次泄露的组件内包含任何零日漏洞,但我们不排除泄露代码中有零日漏洞的可能。

安恒威胁情报中心强烈建议读者将个人和办公环境的电脑、服务器更新到最新版本,以免受此次泄露事件的影响。猎影实验室将持续追踪此事。

TI平台地址:https://ti.dbappsecurity.com.cn/

微信公众号:安恒威胁情报中心

3月3日每日安全热点 – 马来西亚航空数据泄露长达九年

Ysck阅读(14)

Inspired by 360CERT

漏洞 Vulnerability

Google修复今年第二个在野利用0day漏洞

https://www.bleepingcomputer.com/news/security/google-fixes-second-actively-exploited-chrome-zero-day-bug-this-year/

 

安全研究 Security Research

看我如何攻破微软账户

https://thezerohack.com/how-i-might-have-hacked-any-microsoft

 

本地提权研究

https://sysdig.com/blog/mitre-privilege-escalation-falco/

 

安全工具 Security Tools

SaltStack Minion 漏洞PoC

https://github.com/stealthcopter/CVE-2020-28243

 

安全资讯 Security Information

乐施利用法律迫使安全人员保持沉默

https://portswigger.net/daily-swig/xerox-legal-threat-reportedly-silences-researcher-at-infiltrate-security-conference

 

安全报告 Security Report

Solarwinds报告因网络攻击支出共350万美元

https://www.bleepingcomputer.com/news/security/solarwinds-reports-35-million-in-expenses-from-supply-chain-attack/

 

安全事件 Security Incident

PrismHR服务中断疑似遭勒索软件攻击

https://www.bleepingcomputer.com/news/security/payroll-giant-prismhr-outage-likely-caused-by-ransomware-attack/

 

马来西亚航空数据泄露长达九年

https://www.bleepingcomputer.com/news/security/malaysia-airlines-discloses-a-nine-year-long-data-breach/

 

澳大利亚Oxfam遭网络攻击后出现数据泄露

https://www.bleepingcomputer.com/news/security/oxfam-australia-confirms-data-breach-after-stolen-info-sold-online/

 

安全客 Security Geek

在Windbg中明查OS实现UAC验证全流程——三个进程之间的”情爱”[3]

https://www.anquanke.com/post/id/231446

微软Exchange多个高危漏洞通告

Ysck阅读(11)

 

0x01事件简述

2021年03月03日,360CERT监测发现微软发布了Exchange 多个高危漏洞的风险通告,该漏洞编号为CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065,事件等级:严重,事件评分:9.8

对此,360CERT建议广大用户及时将exchange升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02风险等级

360CERT对该事件的评定结果如下

评定方式 等级
威胁等级 严重
影响面 广泛
360CERT评分 9.8

 

0x03漏洞详情

CVE-2021-26855: 服务端请求伪造漏洞

Exchange服务器端请求伪造(SSRF)漏洞,利用此漏洞的攻击者能够发送任意HTTP请求并通过Exchange Server进行身份验证。

CVE-2021-26857: 序列化漏洞

Exchange反序列化漏洞,该漏洞需要管理员权限,利用此漏洞的攻击者可以在Exchange服务器上以SYSTEM身份运行代码。

CVE-2021-26858/CVE-2021-27065: 任意文件写入漏洞

Exchange中身份验证后的任意文件写入漏洞。攻击者通过Exchange服务器进行身份验证后,可以利用此漏洞将文件写入服务器上的任何路径。该漏洞可以配合CVE-2021-26855 SSRF漏洞进行组合攻击。

 

0x04影响版本

– microsoft:exchange: 2013/2016/2019/2010

 

0x05修复建议

通用修补建议

微软已发布相关安全更新,用户可跟进以下链接进行升级:

CVE-2021-26855:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-26857:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-26858:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-27065:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

临时修补建议

CVE-2021-26855:

可以通过以下Exchange HttpProxy日志进行检测:

%PROGRAMFILES%MicrosoftExchange ServerV15LoggingHttpProxy

通过以下Powershell可直接进行日志检测,并检查是否受到攻击:

Import-Csv -Path (Get-ChildItem -Recurse -Path “$env:PROGRAMFILESMicrosoftExchange ServerV15LoggingHttpProxy” -Filter ‘*.log’).FullName | Where-Object {  $_.AuthenticatedUser -eq ” -and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox

如果检测到了入侵,可以通过以下目录获取攻击者采取了哪些活动

%PROGRAMFILES%MicrosoftExchange ServerV15Logging

CVE-2021-26858:

日志目录:C:Program FilesMicrosoftExchange ServerV15LoggingOABGeneratorLog

可通过以下命令进行快速浏览,并检查是否受到攻击:

findstr /snip /c:”Download failed and temporary file” “%PROGRAMFILES%MicrosoftExchange ServerV15LoggingOABGeneratorLog*.log”

CVE-2021-26857:

该漏洞单独利用难度稍高,可利用以下命令检测日志条目,并检查是否受到攻击。

Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object { $_.Message -like “*System.InvalidCastException*” }

CVE-2021-27065:

通过以下powershell命令进行日志检测,并检查是否遭到攻击:

Select-String -Path “$env:PROGRAMFILESMicrosoftExchange ServerV15LoggingECPServer*.log” -Pattern ‘Set-.+VirtualDirectory’

 

0x06时间线

2021-03-02 微软发布漏洞报告

2021-03-03 360CERT发布通告

 

0x07参考链接

1、 HAFNIUM targeting Exchange Servers with 0-day exploits

 

0x08特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

微软Exchange多个高危漏洞通告

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

WIRTE组织以“药品信息”为饵再对中东地区展开攻击

Ysck阅读(14)

 

1. 概述

WIRTE 组织至少在2018年8月开始进行间谍活动,最早是由 S2 Grupo 安全人员在取证中所发现,活动一直持续针对中东地区目标,涉及约旦、巴勒斯坦等不同国家的国防、外交、司法等部门。此外,根据思科的调查,攻击者通常在早晨(中欧时区)活跃,这意味着攻击目标可能与该地区的地缘政治环境有关。

该组织攻击者十分注重资产的隐蔽,攻击者使用信誉良好的 CloudFlare 系统来隐藏其基础架构的性质和位置。根据国外安全厂商的取证研究,攻击者通常在攻击阶段部署多个侦查脚本,以检查受害者计算机的有效性,从而阻止了不符合其条件的系统。

该组织通常在攻击活动中投递携带有恶意宏代码的表格文档诱饵,在目标受害者触发宏代码后广泛使用脚本语言(VBScript、PowerShell、VBA)作为攻击的一部分,最终通过 Empire 框架进行下一阶段的攻击。除此之外,该组织早期也曾投递过 VBS 类型的诱饵,加载后会释放出 DOC 文档迷惑受害者。

微步情报局近期通过威胁狩猎系统捕获到 WIRTE 组织再次针对中东地区的攻击活动,分析有如下发现:

  1. 攻击者以“国家社会保障基金-原始和非专利药品相同的清单-药品品牌(B)和普通药品(G)-2020-12-17”为诱饵进行鱼叉攻击;
  2. 投诱饵文档采用“Excel 4.0 Macros”方法将宏代码隐藏在表格之中,此方法使得宏代码难以被发现并且在部分 office 版本中“禁止启用宏”依旧可以正常执行;
  3. 宏代码执行后的下一阶段,攻击使用 VBScript、PowerShell、VBA 作为后门的编写语言,并且最新的攻击中加入了检测杀软的代码逻辑;
  4. 微步在线通过对相关样本、IP 和域名的溯源分析,共提取5条相关 IOC,可用于威胁情报检测。微步在线威胁感知平台TDP、本地威胁情报管理平台TIP、威胁情报云API、互联网安全接入服务OneDNS 等均已支持对此次攻击事件和团伙的检测。

 

2. 详情

微步在线最近捕获到一起以“国家社会保障基金-原始和非专利药品相同的清单-药品品牌(B)和普通药品(G)-2020-12-17”作为诱饵内容的攻击。

诱饵截图

手法流程图

 

3. 样本分析

基本信息

样本名称 .xls(国籍规定.xls)
样本格式 Microsoft Excel sheet
SHA256 8bd23bbab513e03ea1eb2adae09f56b08c53cacd2a3e8134ded5ef8a741a12a5
SHA1 d5aaa419e24acbc15df58f2eb978a8137396b750
MD5 ecaaab9e2fc089eefb6accae9750ac60
C2 http://stgeorgebankers.com

样本分析

1. 样本使用了“Excel 4.0 Macros”的方法将宏代码存放在表格的单元中,通过编辑 XLS 文件的二进制数据将表格去除隐藏属性后,宏代码如下:

2. 宏代码检测了包括:“AVG”、“Avast”和“360TotalSecurity”三种杀软,如检测到三种杀软,则打开文件“winrm.txt”;如没有检测到,则打开文件“winrm.vbs”。两个文件写入的内容均为“VB”代码。

3. 文件写入完成后,在执行方法中也有所不同。如果是“winrm.txt”,则调用“cscript.exe”进程执行。如果是“winrm.vbs”则调用“explorer.exe”进程执行。

4. 宏代码执行完上述动作后延时5S,最后将自启动代码写入到“winrm.txt winrm.vbs”,并覆盖之前写入的脚本代码,如下图:

5. “winrm.txtwinrm.vbs”文件为之前宏代码所写入的 VBS 代码,基本信息如下:

样本名称 winrm.txt winrm.vbs
样本格式 VB Script
SHA256 dc64d8ff8343df76d2a0b93d2392b5fafcc5bae905a1ae59ea0670284e25a89f
SHA1 c5d0c437e1dfb4a5c952d8eae44f5f259d0431e3
MD5 07b09929a7d4c8c50bfdf60b97349c0d

6. “winrm.txtwinrm.vbs”文件执行后会将一段 PowerShell 代码写入到“laquelleg.txt”文件中,然后将自身的文件路径通过“add”的方法添加到注册表中,实现后门持久化的能力。具体代码如下:

7. “laquelleg.txt” 文件基本信息:

样本名称 laquelleg.txt
样本格式 PowerShell
SHA256 9febe610949b5b9518c98103da1ccc3ef32b5ab1ded31e0d5403cd64a023c15b
SHA1 b0899d2a78421f21737a78804c067d15a8aa226e
MD5 168f259dd8830facb5f979fc571bb020

8. “laquelleg.txt”代码实现的是加载器功能,访问 URL “https://stgeorgebankers.com/”将其网页携带的 Payload 解析并执行,网页中通过“<p>Payload</p>”方式嵌入 Payload。

9. 根据历史披露文章,最终后门疑似为 Empire 框架生成的载荷。

 

4. 关联分析

通过对宏代码相似度和文件释放特点进行关联,我们发现,该组织的曾在2019年11月至2020年2月期间较为活跃。

部分历史活动

1. 2020年1月,以“2019年1月和2020年1月主要部门和组的每月消费者物价指数数字和百分比变化”为诱饵标题,针对目标单位进行攻击。

2. 2020年1月,伪装成伊拉克司法部的相关文件,针对某些单位进行攻击。

3. 2020年1月,以“执行委员会执行委员穆罕默德·纳沙比希(Mohamed Al-Nashashibi)”追悼会为诱饵,针对特定人群攻击。

历史手法对比

1. 我们对2020年1月期间的攻击活动中,诱饵标题为 “2019年1月和2020年1月主要部门和组的每月消费者物价指数数字和百分比变化”的样本进行对比。

2. 该文件基本信息如下:

样本名称 Book1.xls
样本格式 Microsoft Excel sheet
SHA256 38a9fb95ce22e3595e6bcab16043630cc3dfed65d2d8588f80da8148827af475
SHA1 d920262b69870f9aaa8714dbd325ee66f78b6579
MD5 a06401aa5808e5c202630098d73b260b
C2 http://omegaeyehospital.com

3. 该诱饵的宏代码如下:

4. 该历史诱饵和最新投递的诱饵对比,新投递的诱饵宏代码中增加了杀软检测代码。

5. 释放的 PowerShell 脚本中,POST 请求头中的 UserAgent 变为更新的版本号,并且 Payload 由直接存放变成嵌入到网页中的标签之中。

6. 此外,国外安全厂商曾披露过 WIRTE 组织的手法,从投递的诱饵、释放的文件、资产特点(使用 CloudFlare IP、域名相似度)、攻击地域和后门相似度等,判研此次捕获到的诱饵文档很可能为 WIRTE 组织所投递。

 

附录 – IOC

C2

Hash

c1388b7a84a0cf3cc41047ff68bd5905cc29bf4611fd3d76e021744f00617b6d

8bd23bbab513e03ea1eb2adae09f56b08c53cacd2a3e8134ded5ef8a741a12a5

d0234d56dac17481704ac5aa9c1fc4b5813949f577c50406a95050c2317a78ea

c5a4c456d4d3e8c4786d8f82860d8d6884ede6c035d6be7ba491676018844c10

a710fb9dc78caf76a7819358e9b0af965a3728f6a12ef1179652d5895468045d

81d8657b41dc70a4f92b952833684d3f2ad26ea073ce72807e4e03bf9a9818eb

7133ef4361d0955e9f07ec2cb092aa54de438141c405d3739263e509d951b64a

38a9fb95ce22e3595e6bcab16043630cc3dfed65d2d8588f80da8148827af475

6024d10dd4a8e7efe0c81d6cfcf0f6b6833bf2728dfb2590485adb483a78d3ff

b2849a4c2216d24cf211dab992d298c752e5f81f184fe1d576a9adc61277ff9a

a162826a4fb9a0627066ecbdae4f7481d3acd0dbd879b37abc2cf69a4f55ca60

2fb915b60bd6990c757a748fe5e6d4d28e5fd555e131862c416efa7ce5131788

8a0501372165361b80a8063826c78f61608637194ed884787a9a5e9f837f33ed

65f5a412170067c6b2e4d62daab83b651ebcbb72f17e88265caea3e1c675d586

86afdc1e034deab844b250f89a285848d8632f7e5496b1de00ecbc2dc48153b3

3c963878c7d0103ba2c2b7576f470024e990d82294867d694781d0c482abb5fa

关于微步情报局

微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

 

参考链接

https://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html

https://www.securityartwork.es/2019/01/25/wirte-group-attacking-the-middle-east/

“solarwinds123″弱密码遭质疑,前CEO甩锅实习生?

Ysck阅读(14)

第67期

你好呀~欢迎来到“资讯充电站”!小安就是本站站长。今天第67期如约和大家见面了!如果您是第一次光顾,可以先阅读站内公告了解我们哦。

【站内公告】
本站主要发布时下最火热最新鲜的网安资讯,不同于正儿八经的权威消息。本站的资讯内容可能会更富趣味性、讨论性,工作劳累之余给大家来点趣闻,唠唠嗑,也可以一起充电涨姿势~目前每周二、周四营业。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

 

“solarwinds123″弱密码遭质疑,前CEO甩锅实习生?

“solarwinds123”密码泄露事件遭美众议院议员质询,实习生成背锅侠?

上周五,在美国众议院监督和国土安全委员会(House Oversight and Homeland Securities committees)举办的联合听证会上,SolarWinds 弱密码带来的安全隐患,成为了美国众议院议员争论的焦点。

SolarWinds是网络管理软件的行业标杆,客户遍及美国各级政府和各大企业。印象中本应是高逼格高防御值的靠谱软件,实际却使用着“solarwinds123”这样不能再简陋的弱口令密码,着实让人大跌眼镜。

听证会上,众议员Katie Porter直接表示,

我有一个比‘solarwinds123’更强的密码,以阻止我的孩子在iPad上看太多YouTube”。

然而你和你的公司本来是要防止俄罗斯人阅读国防部的电子邮件的!

面对议员们的质询,SolarWinds 前首席执行官 Kevin Thompson 称,由于实习生将密码发布到私人 GitHub 上,才引起了SolarWinds文件服务器的泄露。SolarWinds 现任首席执行官 Sudhakar Ramakrishna 则透露,自 2017 年开始该公司就使用该密码。

我相信那是一名实习生2017年,在他自己的一台Github服务器上使用的密码,当被报告到安全团队后,我们立即予以删除。

两任CEO的发言既不能让一众议员满意,也并非全部事实。发现密码泄露的研究人员Vinoth Kumar曾告诉CNN,在公司于201911月纠正该问题之前,至少在20186月起就可以在网上获取密码。至于获得密码后能干什么,就让人细思极恐了。

 经验证,泄露的密码可允许其登录并成功地将文件存入该公司的服务器。也就是说,利用这种策略,任何黑客都可以向SolarWinds上传恶意程序。

从安全角度出发,SolarWinds密码泄露是天然的供应链攻击素材,从五角大楼到国土安全部等等一众SolarWinds客户,都可能由此中招。这显然是SolarWinds所不可承担的。

 

Tether疑因数据泄露遭勒索500比特币

USDT加密货币开发商Tether公开表示,其遭遇勒索病毒攻击,惨被勒索500枚比特币(约合2400万美元),用以赎回被盗电子邮件和文档。

 现已暂停的TetherLeaks账号

面对勒索病毒攻击,赎金是不可能交的,随之而来的就是攻击者的“试探性”泄露。最近一周,在名为“ Deltecleaks”“ TetherLeaks”的两个Twitter帐户上,陆续发布了涉嫌被盗Tether及其银行合作伙伴Deltec Bank的大量文件和电子邮件的屏幕截图。

面对网上散发的大量文件和电子邮件屏幕截图,Tether方面先是表示文件是伪造的,随后则透露称,收到一张赎金通知书,要求500比特币,否则将面对全网公开数据文件的威胁。

 面对勒索威胁,Tether并没有怂。目前,已向执法部门报告了攻击者伪造的通讯,以及相关赎金要求,并公开表示要全力配合执法部门的相关调查。

 

厄瓜多尔财政部和最大私人银行遭勒索软件团伙入侵

前不久,一个名为“Hotarus Corp”的勒索软件团伙,入侵了厄瓜多尔财政部和该国最大私人银行Banco Pichincha

你没看错,被入侵的正是一国财政部。不仅如此,该组织还声称,已感染了财政部的一个系统,并从Banco Pichincha银行窃取内部数据。在黑客论坛上,疑似该组织成员泄露了包含6500条记录(电子邮件,身份证号码和密码)文件的链接,并声称数据来自厄尔多瓜财政部。

厄瓜多尔最大私人银行Banco Pichincha发布了一份正式声明,虽然确认了勒索软件团伙的攻击,但表示被入侵的营销合作伙伴,银行内部系统并没有中招。

从安全研究员杰曼·费尔南德斯(GermánFernández)的推文来看,相比银行厄尔多瓜财政部就有点惨兮兮了,安全研究员称厄尔多瓜财政部确实遭受了勒索软件团伙的入侵。

Fernandez还在推文中透露,勒索软件团队攻击中使用的PHP勒索软件是 Ronggolawe / AwesomeWare

正所谓,勒索攻击年年有,中招大佬时时新,不知道下一个又是谁?

 

3月2日每日安全热点 – 票务平台Ticketcounter出现数据泄露并遭勒索

Ysck阅读(14)

Inspired by 360CERT

恶意软件 Malware

安全人员在VT上发现Spectre漏洞利用

https://dustri.org/b/spectre-exploits-in-the-wild.html

 

安全研究 Security Research

BootLoader设计

https://www.ired.team/miscellaneous-reversing-forensics/windows-kernel-internals/writing-a-custom-bootloader

 

CVE-2020-14381分析

https://blog.frizn.fr/linux-kernel/cve-2020-14381

 

安全资讯 Security Information

黑客利用SEO通过Google传播恶意软件

https://www.bleepingcomputer.com/news/security/hackers-use-black-hat-seo-to-push-ransomware-trojans-via-google/

 

UHS表示因Ryuk勒索软件造成了千万美元损失

https://www.bleepingcomputer.com/news/security/universal-health-services-lost-67-million-due-to-ryuk-ransomware-attack/

 

Tether疑数据泄露并遭勒索500比特币

https://www.bleepingcomputer.com/news/security/tether-cryptocurrency-firm-says-docs-in-24-million-ransom-are-forged/

 

安全事件 Security Incident

欧洲票务平台Ticketcounter出现数据泄露并遭勒索

https://www.bleepingcomputer.com/news/security/european-e-ticketing-platform-ticketcounter-extorted-in-data-breach/

 

Lactalis遭网络攻击

https://www.bleepingcomputer.com/news/security/worlds-leading-dairy-group-lactalis-hit-by-cyberattack/

 

安全客 Security Geek

CVE-2020-14756 详细分析

https://www.anquanke.com/post/id/231436