记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

腾讯安全威胁事件月报(2020年9月):勒索病毒稍降,挖矿木马、僵尸网络依旧活跃

2020-10-17 12:16





01


威胁态势分析


2020年9月,腾讯安全大数据显示,恶意病毒家族活跃趋势比较稳定。

9月最活跃的病毒家族top10为: 

如图所示,挖矿木马、僵尸网络病毒在top10中占绝对优势。


9月活跃的病毒家族影响的地区分布如下图所示,依然是经济活跃地区的病毒木马威胁比其他地区要严重。

9月上旬勒索病毒感染趋势达到本月峰值,主要原因为Crysis(Phobos),Sodinokibi、Stop、Nemty、Avaddon等家族活跃导致。9月中旬开始勒索整体感染趋势有所下降逐渐趋于平稳,主要为各勒索家族活跃度降低导致。但同时GlobeImposter家族活跃度有所上升,该家族依然为通过RDP弱口令传播,通过观察部分受害者被攻击环境可知,攻击者在早期爆破成功后并不立即实施加密勒索,通过留下一个后门远程账户,经过潜伏期尝试横向移动对该系统充分利用后,再使用后门账户远程登录投毒。 


9月初借助Muhstik僵尸网络传播的门罗币挖矿木马感染数千台Linux服务器,导致挖矿木马传播趋势上涨;月末发现的新型挖矿木马家族MrbMiner通过SQL Server服务器弱口令爆破入侵,该木马会在Windows系统安装后门账户以便再次入侵,并且会监测任务管理器进程,当用户启动“任务管理器”进程查看系统时,挖矿进程会立刻退出,并删除相关文件,具有很强的反检测能力。







02


威胁响应分类


(一)个人电脑安全威胁


1. 装机工具老毛桃携带木马病毒卸载安全软件进行恶意推广

国内安全研究人员发现,使用老毛桃制作的PE系统中被植入了病毒,当用户使用该PE系统时,即会执行病毒模块,删除多款主流安全软件,篡改用户浏览器,锁定主页,并通过PE环境创建开机启动项,在用户正常开机时,推装其他软件。

 

2. “钓鱼客”瞄准网络热游,玩家氪肝之余小心沦为“待宰肥羊”

国内安全团队监测到一批恶意钓鱼样本正在有组织的小规模投放测试,该恶意软件成功运行后会在用户电脑上建立后门,用户电脑沦为木马团伙手中的肉鸡。木马团伙混进游戏玩家交流社区,将钓鱼木马伪装成与游戏有关的文件名,通过社群共享传播。

 

3.三个月时间,深入挖掘一条涉案金额上亿的黑色诈骗产业链

作者于2020年1月8日开始编写,历时3个月。而事实上,作者在四年前,就知道有这么一条黑色产业链,四年后,再次看到这条黑色产业链时,惊呆了,发现它变的越加庞大,就算是现在,也只是看见了一条肥硕的腿部。这是一条从利用木马病毒诈骗到网络刷单,匪夷所思的钓鱼诈骗产业链。

https://www.freebuf.com/articles/network/249655.html


(二)企业安全威胁情报


9月份以下安全威胁事件对政企用户威胁严重,攻击者可能对目标网络制造严重破坏,或窃取政企机构敏感信息。

1. 跨平台挖矿木马MrbMiner已控制上千台服务器

https://mp.weixin.qq.com/s/oq3z6rUcPfmMi0-KHQ3wwQ

 

2. Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿

https://mp.weixin.qq.com/s/wZvnq6gVnEdGSH6f6oG8MA

 

3. “银行窃贼”转型“病毒分销商”,Emotet木马加持横向渗透掀起安全危机!

https://mp.weixin.qq.com/s/ukqtV2VulUXw1Ha4-u0qiw

 

4. 勒索团伙追踪:Avaddon的发展历程

https://mp.weixin.qq.com/s/kFZq-e6iWdV04YaIuY8iGA

 

5. Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器

https://mp.weixin.qq.com/s/ceNfVRneGGIkbFOqItU11g

 

6. 腾讯云防火墙成功阻断BuleHero挖矿蠕虫攻击

https://mp.weixin.qq.com/s/3dfWy7EGfGRMgES0Z8xlpg


(三)漏洞情报


2020年9月安全漏洞增长趋势如下:


本月值得政企用户重点关注的高危漏洞包括:

CVE-2020-1472 NetLogon特权提升漏洞
CVE-2020-14386 Linux内核提权漏洞
CVE-2020-5421 Spring Framework反射型文件下载漏洞

CVE-2020-11974 Apache DolphinScheduler远程执行代码漏洞
CVE-2020-13922 Apache DolphinScheduler提权漏洞
CVE-2020-13948 Apache Superset远程执行代码漏洞
CVE-2020-16875 Microsoft Exchange远程执行代码漏洞
phpStudy nginx 解析漏洞


腾讯安全旗下的T-Sec云防火墙T-Sec主机安全(云镜)T-Sec高级威胁检测系统(御界)T-Sec漏洞扫描服务T-Sec终端安全管理系统(御点)等安全产品已针对上述漏洞进行响应,已及时升级漏洞检测和防御方案。






03


主要威胁情报事件回顾

1. 跨平台挖矿木马MrbMiner已控制上千台服务器

发布时间:2020年9月1日

情报来源:https://mp.weixin.qq.com/s/oq3z6rUcPfmMi0-KHQ3wwQ

 

情报摘要:

腾讯安全威胁情报中心检测到新型挖矿木马家族MrbMiner,黑客通过SQL Server服务器弱口令爆破入侵,爆破成功后在目标系统释放C#语言编写的木马assm.exe,进一步通过该木马与C2服务器通信,然后下载门罗币挖矿木马并维持挖矿进程。MrbMiner挖矿木马会监测任务管理器进程,当用户启动“任务管理器”进程查看系统时,挖矿进程会立刻退出,并删除相关文件。

 

腾讯安全专家在MrbMiner挖矿木马的FTP服务器上还发现了基于Linux系统和ARM系统的挖矿木马文件,推测MrbMiner已具备跨平台攻击能力。根据目前掌握的威胁情报数据,MrbMiner挖矿木马已控制上千台服务器组网挖矿。

 

2. Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿

发布时间:2020年9月10日

情报来源:https://mp.weixin.qq.com/s/wZvnq6gVnEdGSH6f6oG8MA

 

情报摘要:

腾讯安全威胁情报中心检测到Mykings挖矿僵尸网络变种木马,更新后的Mykings会在被感染系统安装开源远程控制木马PcShare,对受害电脑进行远程控制:可进行操作文件、服务、注册表、进程、窗口等多种资源,并且可以下载和执行指定的程序。

 

Mykings僵尸网络木马还会关闭Windows Defender、检测卸载常见杀毒软件;卸载竞品挖矿木马和旧版挖矿木马;下载“暗云”木马感染硬盘主引导记录(MBR)实现长期驻留;通过计划任务、添加启动项等实现开机自动运行等行为。根据门罗币钱包算力1000KH/s进行推测,Mykings僵尸网络目前已控制超过5万台电脑进行挖矿作业。

 

3. “银行窃贼”转型“病毒分销商”,Emotet木马横向渗透掀起安全危机!

发布时间:2020年9月3日

情报来源:https://mp.weixin.qq.com/s/ukqtV2VulUXw1Ha4-u0qiw

 

情报摘要:

因窃取银行登录凭据而臭名昭著的Emotet木马,现在开始通过创建远程服务的手法进行横向渗透,成为了分发Qakbot、TrickBot等其他恶意软件的Loader。

 

国内安全研究团队对该木马进行溯源并深入分析后,发现该木马作者正在利用以“新型冠状病毒”疫情为话题的钓鱼邮件进行传播,当木马程序被启动后,最新的Emotet变种通过下发Qbot进行横向渗透。

 

4. 勒索团伙追踪:Avaddon的发展历程

发布时间:2020年9月9日

情报来源:https://mp.weixin.qq.com/s/kFZq-e6iWdV04YaIuY8iGA

 

情报摘要:

截至9月初,Avaddon勒索团伙已成功攻击2家美国企业和1家美国院校,并在勒索未果后,在暗网上公开其敏感文件。通过情报还发现,Avaddon勒索团伙的攻击目标亦包含中国,已有小部分国内企业受到影响,通过梳理新型勒索团伙Avaddon的发展历程,并分析其在国内的影响情况,以帮助大家更好的了解和防范此勒索团伙。

 

5. Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器

发布时间:2020年9月17日

情报来源:https://mp.weixin.qq.com/s/ceNfVRneGGIkbFOqItU11g

 

情报摘要:

腾讯安全威胁情报中心检测到Dofloo(AESDDoS)僵尸网络正批量扫描和攻击Docker容器。部分云主机上部署的Docker容器没有针对远程访问做安全认证,存在Remote API允许未授权使用漏洞且暴露在公网,导致黑客通过漏洞入侵并植入Dofloo僵尸网络木马。

 

Docker作为开源的引擎可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器,逐渐得到广泛应用。开发者在部署Docker时未对相关服务进行正确合理的配置导致其容易成为黑客入侵的路径之一。

 

6. 腾讯云防火墙成功阻断BuleHero挖矿蠕虫攻击

发布时间:2020年9月27日

情报来源:https://mp.weixin.qq.com/s/3dfWy7EGfGRMgES0Z8xlpg

 

情报摘要:

腾讯安全威胁情报中心研究人员在日常巡检中发现,有攻击者利用ApacheSolr远程代码执行漏洞(CVE-2019-0193)对某客户进行攻击,由于客户部署的腾讯云防火墙已对该类型攻击进行识别并设置为“阻断”,该攻击未对客户资产造成损失。

 

进一步分析后发现,此次攻击属于BuleHero挖矿蠕虫病毒,且该变种版本新增了SMBGhost(CVE-2020-0796)漏洞利用代码。







04


腾讯安全威胁情报赋能产品清单


腾讯安全系列安全产品对当月主要威胁情报的响应清单:

应用

场景

安全产品

解决方案

腾讯T-Sec

威胁情报云查服务

(SaaS)

19月新增各类黑产团伙IOCs已入库;

2)支持企业针对失陷IOCs信息进行情报查询,支持检测风险流量,及时掌控内网安全状况。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

19月各项黑产相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

(Cloud Firewall,CFW)

基于网络流量进行威胁检测与主动拦截,已支持:

1)利用各类高危漏洞攻击的关联IOCs已支持识别检测;

2)支持下发访问控制规则封禁目标端口,主动拦截黑产利用漏洞攻击的流量;

3)支持检测流行挖矿木马使用的挖矿协议;

4)支持各种针对弱密码的暴力破解活动。

 

有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

(Cloud Workload  Protection,CWP)

1)云镜已支持检测云主机是否受各类漏洞影响;

2)支持查杀利用各类漏洞入侵的挖矿木马、后门程序;

 

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec漏洞扫描服务

(Vulnerability Scan Service,VSS)

腾讯VSS已支持监测全网资产是否受最新安全漏洞影响。

 

关于腾讯T-Sec漏洞扫描服务的更多信息,可参考:https://cloud.tencent.com/product/vss

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

基于网络流量进行威胁检测,已支持:

1)利用各种流行漏洞攻击的关联IOCs已支持识别检测;

2)对利用高危漏洞入侵的相关协议特征进行识别检测。

 

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

腾讯T-Sec终端安全管理系统(御点)

1)利用流行安全漏洞入侵释放的各类后门木马程序、挖矿木马程序均可查杀;

2)企业终端管理系统已支持检测黑产利用各种流行漏洞入侵相关的网络通信。

 

腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html



知识来源: https://mp.weixin.qq.com/s?__biz=MzI5ODk3OTM1Ng==&mid=2247496352&idx=1&sn=9c298e5ca3fb0e2b609a752cb49968b1&chksm=ec9f2bd3dbe8a2c5a35bc8e6597b40d9a4bdfef45c68acd653230ef3d134919aa6aa0e8a973e&scene=27&k

阅读:8437 | 评论:0 | 标签:僵尸网络 勒索 安全 病毒 木马

想收藏或者和大家分享这篇好文章→复制链接地址

“腾讯安全威胁事件月报(2020年9月):勒索病毒稍降,挖矿木马、僵尸网络依旧活跃”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云