记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

腾讯安全威胁事件月报(2020年10月):挖矿木马一边倒领先

2020-11-06 18:41





01


威胁态势分析

2020年10月,腾讯安全大数据显示,恶意家族活跃趋势在十月下旬有一次明显上升过程,2天后攻击回落到日常水平。


10月最活跃的病毒家族top10

可以观察到十月份是挖矿木马一边倒领先。在前10大恶意家族中,有7个是挖矿木马家族,另3个僵尸网络团伙,也会控制肉鸡电脑进行挖矿活动。

10月活跃的病毒家族影响的地区分布,地区分布和其他时间段无明显差异,仍然观察到经济活跃的省市,病毒攻击也越活跃。


10月勒索病毒感染趋势:

10月上旬勒索病毒感染量较低,受GlobeImposter,Crysis(Phobos),Medusalocker持续活跃影响,在10月中旬勒索整体感染达到本月峰值。Sodinokibi,Nemty,,Stop等家族本月依然活跃。同时,Phorpiex僵尸网络在本月依然间歇性投递Avaddon勒索病毒。分析勒索病毒的攻击手法,发现弱口令爆破依然是企业遭受勒索攻击的最主要原因,老牌勒索团伙通常会对企业进行持久性的外部攻击,突破企业防线后再内部手动操作横向扩散,进而导致企业内网大面积感染,严重的造成业务停摆。


10月挖矿木马感染呈正常波动态势,月初受假日影响,办公电脑开机率低,病毒感染也较低,之后略有上升。





02


威胁响应分类


(一)个人电脑安全威胁情报


伪冒国内银行的新窃取木马“BYL”

 

一款伪装国内银行应用的的信息窃取木马,这是一个新型的木马家族。通过分析发现,自2020年7月13号开始,该家族共伪冒国内4家银行。该家族木马至今仍在影响着国内正常用户,影响量级为千级,为避免更多用户个人财产受到损失,国内安全研究人员对其该家族进行详细跟踪分析并对该家族实现了全面的查杀。


(二)企业安全威胁情报


10月份以下安全威胁事件对政企用户威胁严重,攻击者可能对目标网络制造严重破坏,或窃取政企机构敏感信息。

10月份以下安全威胁事件对政企用户威胁严重,攻击者可能对目标网络制造严重破坏,或窃取政企机构敏感信息。

 

1.8220挖矿团伙最新变种使用新漏洞对企业云服务器的攻击

https://mp.weixin.qq.com/s/w8dcdv-V7w8MUhADEvJeXA

 

2.腾讯主机安全(云镜)捕获WatchBogMiner挖矿木马新变种

https://mp.weixin.qq.com/s/zviLvGK3wTnl0iwtszHQlg

 

3.永恒之蓝木马下载器再更新,云上主机成为新目标

https://mp.weixin.qq.com/s/953ZHaf8IjLGyxB3tWSoDQ

 

4.“隔离网络攻击”专题研究报告

https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=3000


(三)漏洞情报

2020年10月安全漏洞增长趋势:

10月值得企业重点关注的高危漏洞包括:

1.CVE-2020-14882/14883 Weblogic未授权命令执行漏洞

未经授权的攻击者可以绕过WebLogic后台登录等限制,直接远程利用反序列化漏洞,从而接管WebLogic服务器,风险极大。

 

2.禅道开源版文件上传漏洞

恶意攻击者(需要登陆后台的任意用户)可以通过fopen/fread/fwrite方法结合file、http、ftp等协议,读取或上传任意敏感文件,成功利用漏洞可获得目标系统中敏感文件及系统管理权限。

 

3.CVE-2020-16898 Windows ICMP v6远程代码执行漏洞

Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement(路由通告)数据包时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。


4.CVE-2020-13957 Apache Splr远程执行代码漏洞

ConfigSet API中存在的未授权上传漏洞风险,该漏洞被利用可导致远程代码执行。

 

5.CVE-2020-11800 Zabbix Server远程执行代码漏洞

在3.0.31和3.2之前的Zabbix Server 2.2.x和3.0.x允许远程攻击者执行任意代码。


6.CVE-2020-14876/CVE-2020-14875 Oracle Trade Management 未授权访问漏洞

Oracle Trade Management存在安全漏洞,攻击者可利用该漏洞通过HTTP网络访问Oracle交易管理。该漏洞的成功攻击会导致对关键数据或所有Oracle TradeManagement可访问数据的未经授权的创建、删除或修改访问权限,以及对关键数据的未经授权访问权限或对所有Oracle Trade Management ac的完全访问权限。


7.CVE-2020-26518 Artica Pandora FMS SQL注入漏洞

Artica Pandora FMS允许未经身份验证的攻击者通过pandora_console / include / chart_generator.php session_id参数进行SQL注入攻击。


8.CVE-2020-15999 Google Chrome远程代码执行漏洞

在86.0.4240.111之前的Google Chrome中,Freetype中的堆缓冲区溢出使远程攻击者可以通过精心制作的HTML页面来利用堆破坏。


腾讯安全旗下的T-Sec云防火墙T-Sec主机安全(云镜)T-Sec高级威胁检测系统(御界)T-Sec漏洞扫描服务T-Sec终端安全管理系统(御点)等安全产品已针对上述漏洞进行响应,已及时升级漏洞检测和防御方案。






03


主要威胁情报事件回顾


1.8220挖矿团伙最新变种使用新漏洞对企业云服务器的攻击

发布时间:2020年10月19日

情报来源:

https://mp.weixin.qq.com/s/w8dcdv-V7w8MUhADEvJeXA

 

情报摘要:

腾讯安全接到用户求助,报告腾讯云主机安全(云镜)网络防御功能检测到攻击事件。腾讯安全专家通过攻击日志分析,发现这是8220挖矿团伙最新变种针对企业云服务器的攻击活动,该用户对腾讯主机安全(云镜)网络攻击日志告警及时处置,已彻底消除该挖矿团伙的威胁。

 

在此次攻击活动中,发现8220挖矿团伙首次使Nexus Repository Manager 3远程代码执行漏洞CVE-2019-7238、Confluence远程代码执行漏洞CVE-2019-3396攻击入侵,并在入侵后会尝试利用多个SSH爆破工具进行横向移动,最终在失陷系统植入挖矿木马以及Tsunami僵尸网络病毒。

 

2.腾讯主机安全(云镜)捕获WatchBogMiner挖矿木马新变种

发布时间:2020年10月27日

情报来源:

https://mp.weixin.qq.com/s/zviLvGK3wTnl0iwtszHQlg

 

情报摘要:

腾讯主机安全(云镜)捕获WatchBogMiner挖矿木马最新变种对云主机的攻击,该变种利用Apache Flink任意Jar包上传导致远程代码执行漏洞入侵云主机,然后下载文件名为“watohdog”的门罗币挖矿木马。

 

该挖矿木马最初的版本是针对Linux服务器利用Nexus Repository Manager、Supervisord、ThinkPHP等服务器组件的远程代码执行漏洞进行攻击。根据其最初下载的挖矿木马文件名,将其命名为“Watchbog”挖矿木马。

 

腾讯安全近期检测到“Watchbog”挖矿木马的最新变种开始利用Redis未授权访问漏洞、Apache Flink远程代码执行漏洞入侵传播,根据其算力推测,该变种已控制约8000台服务器挖矿,挖矿收益折合人民币约1.2万元。

 

3. 永恒之蓝木马下载器再更新,云上主机成为新目标

发布时间:2020年10月28日

情报来源:

https://mp.weixin.qq.com/s/953ZHaf8IjLGyxB3tWSoDQ

 

情报摘要:

腾讯安全威胁情报中心检测到永恒之蓝下载器木马新增利用HadoopYarn未授权访问漏洞攻击。该变种入侵Linux服务器后下载门罗币挖矿木马,然后将挖矿任务进行持久化、清除竞品挖矿木马,并通过SSH爆破横向移动。

 

永恒之蓝下载器木马自2018年底出现以来,一直处于活跃状态。该病毒不断变化和更新攻击手法,从最初只针对Windows系统扩大攻击范围到Linux系统。截止目前,其攻击手法已涵盖弱口令爆破、系统漏洞利用、Web漏洞利用等,其中利用SSH、Redis、Hadoop Yarn服务的攻击方式可能对云主机以及云上业务造成较大威胁。

 

4. “隔离网络攻击”专题研究报告

发布时间:2020年10月28日

情报来源:

https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=3000

 

情报摘要:
国内安全研究者整合了当前捕获的一些针对隔离网络的攻击事件以及历史上著名的Stuxnet蠕虫、Flame蠕虫等攻击事件,对其中的隔离网络攻击部分展开了深入分析,旨在剖析其攻击框架、梳理其特有的攻击指纹以及针对此类攻击的复盘思考。





04


腾讯安全威胁情报赋能产品清单


腾讯安全系列安全产品对当月主要威胁情报的响应清单:

应用

场景

安全产品

解决方案

腾讯T-Sec

威胁情报云查服务

(SaaS)

1)10月新增各类黑产团伙IOCs已入库;

2)支持企业针对失陷IOCs信息进行情报查询,支持检测风险流量,及时掌控内网安全状况。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

110月各项黑产相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

(Cloud Firewall,CFW)

基于网络流量进行威胁检测与主动拦截,已支持:

1)利用各类高危漏洞攻击的关联IOCs已支持识别检测;

2)支持下发访问控制规则封禁目标端口,主动拦截黑产利用漏洞攻击的流量;

3)支持检测流行挖矿木马使用的挖矿协议;

4)支持各种针对弱密码的暴力破解活动。

 

有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

(Cloud Workload  Protection,CWP)

1)云镜已支持检测云主机是否受各类漏洞影响;

2)支持查杀利用各类漏洞入侵的挖矿木马、后门程序;

 

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec漏洞扫描服务

(Vulnerability Scan Service,VSS)

腾讯VSS已支持监测全网资产是否受最新安全漏洞影响。

 

关于腾讯T-Sec漏洞扫描服务的更多信息,可参考:https://cloud.tencent.com/product/vss

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

基于网络流量进行威胁检测,已支持:

1)利用各种流行漏洞攻击的关联IOCs已支持识别检测;

2)对利用高危漏洞入侵的相关协议特征进行识别检测。

 

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

腾讯T-Sec终端安全管理系统(御点)

1)利用流行安全漏洞入侵释放的各类后门木马程序、挖矿木马程序均可查杀;

2)企业终端管理系统已支持检测黑产利用各种流行漏洞入侵相关的网络通信。

 

腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html



知识来源: https://mp.weixin.qq.com/s?__biz=MzI5ODk3OTM1Ng==&mid=2247496569&idx=3&sn=e5b55e586cccd47ff1876f2a5230d5a7&chksm=ec9f2a0adbe8a31c18ac10c00a08b05a5a3bc9feb86a5e99bd73cb94147906a4b07389d16edb&scene=27&k

阅读:140856 | 评论:0 | 标签:安全 木马

想收藏或者和大家分享这篇好文章→复制链接地址

“腾讯安全威胁事件月报(2020年10月):挖矿木马一边倒领先”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁