自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

你以為只有WannaCry濫用了NSA漏洞?早有隱秘后門走在前面

作者:nana
安全
如今,初創(chuàng)安全公司Cyphort稱,一臺(tái)蜜罐服務(wù)器上的證據(jù)表明,對(duì)SMB的攻擊在5月初開始活躍,但不釋放勒索軟件,而是放出隱秘遠(yuǎn)程訪問木馬(RAT)。該惡意軟件沒有蠕蟲功能,不會(huì)像WannaCry一樣傳播。

WannaCry勒索軟件爆發(fā)的余波中,安全研究人員發(fā)現(xiàn),過去幾周里還有其他大量攻擊同樣利用了“永恒之藍(lán)”漏洞利用程序進(jìn)行惡意軟件投放。

該漏洞利用在4月份被自稱“影子經(jīng)紀(jì)人”的黑客團(tuán)伙公開,是個(gè)針對(duì) TCP 445 端口上服務(wù)器消息塊(SMB)漏洞的利用程序,據(jù)說是從NSA御用黑客組織“方程式小組”手上偷來的。該程序所利用的漏洞其實(shí)早在3月份就放出了修復(fù)補(bǔ)丁。

WannaCry的快速傳播將“永恒之藍(lán)”推到了臺(tái)前,但其他惡意軟件家族早在WannaCry之前就已經(jīng)在用它進(jìn)行感染了。其中之一就是名為Adylkuzz的僵尸網(wǎng)絡(luò),自4月24日開始活躍。

如今,初創(chuàng)安全公司Cyphort稱,一臺(tái)蜜罐服務(wù)器上的證據(jù)表明,對(duì)SMB的攻擊在5月初開始活躍,但不釋放勒索軟件,而是放出隱秘遠(yuǎn)程訪問木馬(RAT)。該惡意軟件沒有蠕蟲功能,不會(huì)像WannaCry一樣傳播。

該惡意軟件似乎是從中國(guó)的一個(gè)IP(182.18.23.38)分發(fā)的。如果漏洞利用成功,加密載荷會(huì)以shellcode的形式發(fā)出,其中嵌入了一個(gè)DLL,具備木馬的基本功能,比如下載其他惡意軟件和接收控制者的指令。

該惡意軟件下載的文件當(dāng)中,有一個(gè)文件的功能就是關(guān)閉445端口,防止其他惡意軟件也利用該漏洞。另一個(gè)文件應(yīng)該是個(gè)第二階段的攻擊載荷。該RAT會(huì)設(shè)置一系列注冊(cè)表啟動(dòng)項(xiàng),用以下載和執(zhí)行其他惡意軟件。

該惡意軟件會(huì)嘗試刪除一些用戶,停止/刪除各種進(jìn)程/文件。內(nèi)存轉(zhuǎn)儲(chǔ)分析揭示,它會(huì)去連接托管在中國(guó)網(wǎng)站上的一個(gè)遠(yuǎn)程訪問工具——ForShare 8.28。

該RAT功能全面,可以從服務(wù)器接收并執(zhí)行指令,監(jiān)視屏幕,捕獲音頻視頻,監(jiān)視鍵盤,傳輸數(shù)據(jù),刪除文件,終止進(jìn)程,執(zhí)行程序,枚舉文件和進(jìn)程,下載文件,以及控制機(jī)器。

因?yàn)橐簧蟻砭完P(guān)閉445端口,Cyphort認(rèn)為,該威脅肯定知道“永恒之藍(lán)”漏洞,并且試圖讓其他惡意軟件無法再碰有該漏洞的機(jī)器。

Cyphort安全公司稱:“我們認(rèn)為,該攻擊背后的組織,應(yīng)該就是2月份卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)的傳播Mirai的那個(gè)。他們的攻擊指標(biāo)(IOC)存在共同點(diǎn)。”

本周一份報(bào)告中,Secdo同樣宣稱,發(fā)現(xiàn)了在WannaCry之前幾周就有惡意軟件利用“永恒之藍(lán)”的證據(jù)。其中一個(gè)惡意程序,似乎還是會(huì)盜取用戶憑證的勒索軟件家族。

該公司研究人員稱:“自4月中旬起,就有一波不留痕跡的隱秘攻擊在利用NSA漏洞利用程序感染各大公司。勒索軟件是其中最明顯的載荷,但下面還深藏著更復(fù)雜的攻擊沒有被人注意到。”

作為該攻擊的一部分,黑客用了基于“永恒之藍(lán)”的一個(gè)蠕蟲來感染被侵入網(wǎng)絡(luò)中的所有主機(jī),并在主機(jī)上部署后門或滲漏登錄憑證,以期長(zhǎng)期掌控這些主機(jī)。

其中一個(gè)攻擊源于俄羅斯的IP(77.72.84.11)。利用NSA漏洞利用程序侵入后,攻擊者在合法應(yīng)用中創(chuàng)建一個(gè)線程,從SourceForge下載多個(gè)模塊,包括 SQLite DLL,用來從火狐瀏覽器中盜取登錄憑證。

 被盜數(shù)據(jù)通過TOR網(wǎng)絡(luò)滲漏出去,然后純內(nèi)存運(yùn)行的CRY128勒索軟件變種被啟動(dòng),將系統(tǒng)上所有文檔加密。

最近發(fā)現(xiàn)的通過“永恒之藍(lán)”傳播的UIWIX勒索軟件,同樣只在內(nèi)存執(zhí)行,形成無文件感染。UIWIX也包含用來盜取更多憑證的代碼。

另一個(gè)攻擊涉及中國(guó)黑客,會(huì)在被感染主機(jī)上投放一個(gè)后門。該攻擊始于進(jìn)程注入,與上面所述攻擊類似,但最后終結(jié)在下載某已知rootkit后門上(基于Agony)。被下載的文件名為666.exe,已經(jīng)被殺毒軟件封禁了。

Secdo指出:“鑒于以上發(fā)現(xiàn),我們推測(cè),傷害范圍可能之前認(rèn)為的要大很多。至少有3個(gè)不同組織,自4月底開始,就在利用NSA漏洞利用程序來感染企業(yè)網(wǎng)絡(luò)。”

今年1月,影子經(jīng)紀(jì)人拍賣SMB零日漏洞利用的時(shí)候,美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組(US-CERT)就發(fā)出了一個(gè)警告。2月,Windows SMBv3 零日漏洞 (CVE-2017-0016)被評(píng)估為高嚴(yán)重性級(jí)別——之前只是關(guān)鍵級(jí)別。

責(zé)任編輯:趙寧寧 來源: 安全牛
WannaCryNSA漏洞黑客
相關(guān)推薦

2020-04-24 13:52:33

漏洞黑客攻擊

2017-05-24 17:25:44

2023-01-18 10:15:52

理想 L8 Pro自動(dòng)駕駛

2009-04-14 08:29:17

NSAWindows Mob移動(dòng)OS

2013-08-22 10:34:03

NSA可信計(jì)算微軟

2013-07-09 16:12:47

2013-11-08 10:08:25

2021-04-16 11:01:28

ExchangeNSA漏洞

2020-05-25 09:22:57

Linux 命令行

2021-02-02 11:13:41

BigDecimal支付電商

2013-03-20 16:05:38

2018-03-21 11:05:26

Spark大數(shù)據(jù)應(yīng)用程序

2013-12-02 10:05:36

LinuxLinus后門

2016-10-17 09:20:20

2009-08-13 11:02:11

物流管理軟件

2016-10-19 09:14:02

NSA破解加密連接

2017-05-26 18:06:47

2015-11-09 10:57:40

2020-10-23 14:03:31

漏洞NSA黑客
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)