50岁退休熟女露脸高潮,免费观看又色又爽又黄的校园剧,乱码av麻豆丝袜熟女系列,大地影视mv高清视频在线观看 ,人摸人人人澡人人超碰手机版

?
股票代碼:688225
打開(kāi)微信“掃一掃”,開(kāi)啟安全數(shù)字世界之旅
截圖或長(zhǎng)按保存至相冊(cè),使用微信掃一掃
首頁(yè) > 關(guān)于我們 > 企業(yè)新聞

新聞與活動(dòng)

亞信安全最新資訊與活動(dòng)。

【安全通告】警惕!LemonDuck新變種將魔掌伸向Mac
發(fā)布時(shí)間 :2021年03月23日
類型 :勒索軟件
分享:

安全通告

近日,亞信安全發(fā)現(xiàn)此前持續(xù)追蹤報(bào)道的“LemonDuck”出現(xiàn)最新變種,疑似啟用新分支或是攻擊套件被其他組織借用(以下簡(jiǎn)稱:LemonDuck)。安全研究人員對(duì)此變種進(jìn)行了深入分析,發(fā)現(xiàn)其新增了針對(duì)Weblogic CVE-2020-14882的漏洞利用模塊,在Linux端的攻擊方法疑似借鑒了Outlaw黑客組織攻擊套件。兩者的目錄結(jié)構(gòu)與調(diào)度流程高度相似,不僅會(huì)配置免密登錄后門,還會(huì)安裝IRC Botnet木馬。此外,在其工具包中發(fā)現(xiàn)存在Macos挖礦組件,從分析結(jié)果推斷LemonDuck開(kāi)始將目光投向了Mac這一平臺(tái)。目前,LemonDuck在Linux端覆蓋度尚未完善,Mac端尚未發(fā)現(xiàn)其傳播模塊,下一步可能會(huì)完善Windows/Mac/Linux三平臺(tái)挖礦,進(jìn)而打造一個(gè)三平臺(tái)交叉感染的僵尸網(wǎng)絡(luò)。

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbEoyj70g1HicIenKTf77AJ7433TXaC2PXoMIeWRO6ndFhrNBPKAMFWtIB3QtYjiciawJvlCeLHF9v3vg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1


攻擊流程

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJaDfoprE1XSjqIvQC1wVeyibPHjHzr4QtDG2wxwV5mrWe6ibKqMGaEia8Xg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

病毒詳細(xì)分析



此變種攻擊流程與原LemonDuck方法完全一致,但相較而言,之前版本的LemonDuck至少進(jìn)行4層加密,而此版本僅進(jìn)行了1~3次加密。如下為此變種所使用的域名。
https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJalzjcKh9f0n1thibxoTxyObz4JtnE6Tjy5OOicYwW2FgmyPbtr4jhPwkA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1
在其PowerShell版本的橫向傳播模塊中新增了logicexec方法,此方法封裝了針對(duì)Weblogic CVE-2020-14882的漏洞利用模塊,該模塊一旦被成功利用,其具備感染W(wǎng)indows/Mac/Linux三個(gè)平臺(tái)的能力。
https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJaU4cfh9VRDhlo5AhqibD2E5mMQHES7jKkktFByh6fBcWLFB65s30ZIIg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1
此外,研究人員發(fā)現(xiàn)其關(guān)于MS17-010漏洞攻擊Shellcode與LNK快捷方式利用的payload也進(jìn)行了更新,此前LNK快捷方式使用的payload是一段base64加密的PE文件數(shù)據(jù),目前替換為base64加密的vb代碼,并使用mshta調(diào)用。

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJaylhagz5q9KPfsecNByqnWdmLjA1gLY1buA75Y0pibHnyTcZHQRib8IVQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

而在針對(duì)Python打包的EXE進(jìn)行對(duì)比分析發(fā)現(xiàn),其除了回傳地址發(fā)生改變之外,作為已感染機(jī)器標(biāo)識(shí)的TCP端口從65529改為55529,但在PowerShell感染后執(zhí)行的邏輯中并未更改其開(kāi)放TCP 65529標(biāo)識(shí)。此外,目前C&C站點(diǎn)上的Python打包的EXE經(jīng)確認(rèn)感染了PE_RAMNIT病毒,疑似惡意作者開(kāi)發(fā)環(huán)境感染PE_RAMNIT病毒。 


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJavM7XsEPGOFzwpSHhzibKzOibYXa7RxVI7plkV3kibH0tgx9cp9ia80PPicw/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1
https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJa5kOCDBctRNibjYVdxMXE8lzUKoibnIs5lDyicD5BO2TicVtOnGVOPRBVcQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1
在分析Linux端組件時(shí)發(fā)現(xiàn),其會(huì)下載hxxp[:]//down[.]sqlnetcat[.]com/dota3.tar.gz組件。

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJaOMr40NvTUvduX9OAFibLU1A8B01M7iba8m3TUPf4mkzjEB9JPE31ncPw/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1
此攻擊組件與Outlaw黑客組織所使用的攻擊套件包名、結(jié)構(gòu)和流程類似,其對(duì)比如下:


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJa5icMeT4Cg9KUwElzKodWraLQEDpEoLSKorbelCnYE1ZFiasm0wCZt3JQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

此攻擊組件在執(zhí)行時(shí)首先會(huì)使用開(kāi)源腳本結(jié)束競(jìng)爭(zhēng)對(duì)手。

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJaTDrgkldeUaUkRR4cSc81eeb6Tdia38EicEoaIGJmwruMNIu0WsSNxRjA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

然后,判斷CPU架構(gòu),如果是i686架構(gòu)則執(zhí)行anacron,但anacron模塊并不存在,安全研究人員推測(cè)當(dāng)前其挖礦平臺(tái)覆蓋度尚未完善。如果是 x86_64結(jié)構(gòu),則運(yùn)行wanwakuang與macosx,其中macosx是一個(gè)Mach-O格式的文件,此格式是一個(gè)Mac系統(tǒng)下的可執(zhí)行文件格式。

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJaj20M21KBnt0mvHIjibYibc7nBEc7A0jcZn6eMMLWaedWxx522KiaBUSFg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

這兩個(gè)門羅幣礦機(jī)程序是基于同一套開(kāi)源XMR礦機(jī)代碼編譯的。

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJaYerE7EoGXavKeib29ZeQrZHA0uMQXw3n2PU6Lyl6IERiaFRtSfKsx9AQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJaAVQ8BPY9dfMBdcNNq3ZSxjibNHIPYxiboRd5Iwwic8Vv9fDibficvo6w3Vg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1


雖然Mac Shell和Linux Shell部分命令有區(qū)別,但此攻擊套件挖礦部分Shell在Mac系統(tǒng)上基本可以正常執(zhí)行,且挖礦程序可以正常工作。
https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJaeZTmWgteSIAGIibIrmdDKBo5UkOE6PGf4a3YRns8LdjQVa2WQL3dpXQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1
之后其將會(huì)執(zhí)行/.rsync/b/run,此腳本主要分為兩個(gè)部分,第一部分解碼后為Perl編寫的IRC Botnet木馬,第二部分負(fù)責(zé)篡改authorized_keys文件配置免密登錄。
https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJaMsHncwB38hKB8RIBgo7HZ8pY8tdRmAVRBDZhDyPiaiaYHNCaRssbJn6Q/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

亞信安全產(chǎn)品解決方案
  • 亞信安全病毒碼版本16.599.60,云病毒碼版本16.599.71,全球碼版本16.599.00 已經(jīng)可以檢測(cè),請(qǐng)用戶及時(shí)升級(jí)病毒碼版本。
  • 亞信安全OSCE VP / DS DPI開(kāi)啟以下規(guī)則攔截該漏洞: 
    1008225 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145)
    1008227 - Microsoft Windows SMB Information Disclosure Vulnerability (CVE-2017-0147)
    1008228 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0148)
    1008306 - Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)
    1008585 - Microsoft Windows LNK Remote Code Execution Over SMB (CVE-2017-8464)
    1008623-Microsoft Office Remote Code Execution Vulnerability (CVE-2017-8570)
    1009749 - Microsoft Windows Remote Desktop Services Remote Code Execution Vulnerability (CVE-2019-0708)
    1008224 - Microsoft Windows SMB Remote Code Execution Vulnerabilities (CVE-2017-0144 and CVE-2017-0146)
  • 亞信安全深度發(fā)現(xiàn)設(shè)備TDA 檢測(cè)規(guī)則如下:
    2383: CVE-2017-0144-Remote Code Execution-SMB(Request)

  • 亞信安全AIS Edge已發(fā)布針對(duì) CVE-2017-0144漏洞的4條規(guī)則:

    名稱:微軟MS17 010 SMB遠(yuǎn)程代碼執(zhí)行1-4,規(guī)則號(hào):1133635,1133636,1133637,1133638

  • https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJaLseIJG6oLpTJHV77S5e4MMQx7sYyMa5Q4F6f9xIGr8I8tvxhdhncHg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1


上一篇:多款勒索軟件同時(shí)爆發(fā)引關(guān)注,知名挖礦病毒新變種魔掌已伸向Mac【亞信安全網(wǎng)安周報(bào)】

下一篇:亞信安全:“數(shù)據(jù)湖”已成為威脅情報(bào)發(fā)展的“核動(dòng)力”

返回列表
分享到微信
X