安天在近期捕获的样本中发现了一种利用CHM传播的银行木马,该银行木马来源于一种垃圾邮件传播的附件中。当用户收到这种垃圾邮件并打开附件中的CHM文件时,恶意软件就会执行一个小的PowerShell命令,其下载并执行第二阶段的PowerShell脚本,当用户执行脚本时,会创建一个计划任务来运行恶意软件,从而获得持久性。
近日,一款勒索达世币(DASH)的勒索软件GandCrab被发现,其为首个勒索比特币以外的虚拟货币的勒索软件,安天安全研究与应急处理中心(安天CERT)迅速对其展开分析。
GlobeImposter家族在2017年5月份被首次发现,目前发现的样本没有内网传播功能,一般使用包含混淆的JaveScript脚本的垃圾邮件进行传播,加密用户文件并勒索比特币。此次发现的样本为GlobeImposter家族的最新变种,其加密文件使用.CHAK扩展名,取消了勒索付款的比特币钱包地址及回传信息的“洋葱”网络地址,而是通过邮件来告知受害者付款方式,使其获利更加容易方便。
早在2014年,由国内电子厂商生产的一系列名为NetCore的路由器产品就已经被有关安全研究员披露有高权限的后门存在,该后门可能会影响全球大约300万台NetCore系列路由器等设备。此次53413/UDP后门被国外物联网僵尸网络Gafgyt家族再次利用,可见目前互联网上还存在大量有该后门的路由器设备,而这些设备很大可能被作为高危的潜在“肉鸡”。结合目前关联捕获的Gafgyt样本分析,发现其Tel/SSH扫描爆破的IP网段重点分布在越南(占比33.04%)、中国(占比26.08%)以及其他亚洲国家(占比17.82%),其地理位置与NetCore产品的主要销售对象重合度很大。通过安天捕风蜜网系统单日捕获的流量和云堤关联流量分析识别,全国有33230台“肉鸡”在线尝试与指定Gafgyt家族僵尸网络C2连接。
本年度报告主要以安天捕风蜜网和电信云堤流量监测数据为基础,针对2017年发生的僵尸网络DDoS(分布式拒绝服务)攻击事件进行汇总分析。报告给出了2017年全球范围内僵尸网络发起DDoS攻击的事件分布、地区分布情况以及攻击情报数据,并对黑客的攻击方法、攻击资源、僵尸网络家族进行了详细分析。 从整体的攻击情报数据来看,全球DDoS僵尸网络全年攻击态势呈“山”形,其主要爆发在第二季度的4、5、6三个月;在比特币交易价格处于暴涨期间,大部分DDoS僵尸网络被更换为挖矿僵尸网络,所以第四季度则处于相对低迷的阶段。
在安天1月4日和1月5日分别就《处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)分析报告》之后,有用户就A级漏洞事件影响范围、利用方式和如何检测提出问题,针对此类形成了本FAQ。
操作系统的内核数据是受到CPU微结构保护的,用户模式的应用程序无法访问,如果访问是要引发CPU错误异常的。 构造一个分支,先检测读取内存的地址是否合法,合法就读取相应地址内存字节,然后根据内存字节的值,让内存字节的值与映射到不同Cache块的内存块对应起来,再故意读取一下映射到不同Cache块的内存块;如果访问内存的地址非法,例如操作系统内核数据地址,直接不读取。显然,这样的分支,无论读取合法地址还是非法地址都是不会出错的。用大循环执行多次这个分支,前若干次,读取内存地址都是合法的,“训练”CPU的分支预测,让CPU微结构认为下次也应该走向读取内存这一分支。然后,突然执行一次非法的操作系统内核数据地址读取。
该漏洞是一个足以动摇全球云计算基础设施根基的漏洞,其意味着任何虚拟机的租户或者入侵了成功一个虚拟机的攻击者,都可以通过相关攻击机制去获取完整的物理机的CPU缓存数据,而这种攻击对现有虚拟化节点的防御机制是无法感知的。同时由于该漏洞的机理,导致其存在各种操作系统平台的攻击方式,因此尽管这一漏洞本身只能读取数据,不能修改数据,但由于其获取的数据中有可能包括口令、证书和其他关键数据,包括能够完整Dump内存镜像,因此这个漏洞比一般性的虚拟机逃逸对云的危害更大。尽管当前全球主要云服务商均在积极应对这一漏洞的影响,但鉴于这些云服务体系的庞大而复杂,以及大面积补丁本身所面临的复杂度和风险,漏洞利用POC已经发布并验证成功,因此这次漏洞修补已经成为一场时间赛跑。在这个过程中,攻击者所获取到的数据,将会沉淀出对于关键数据和隐私泄露、登陆凭证被窃取导致连锁攻击等次生灾害。
在过去五年间,中国所遭遇到的“越过世界屋脊”的网络攻击从未停止过。在这些此起彼伏的攻击行动中,安天此前称之为“白象”(White Elephant)的组织最为活跃,从2012年到2013年,安天陆续捕获了该攻击组织的多次载荷投放,并在2014年4月的《中国计算机学会通讯》和9月的中国互联网安全大会对此事件进行了披露,同年8月,安天形成报告《白象的舞步——HangOver攻击事件回顾及部分样本分析》,在后续的分析中将此次攻击命名为“白象一代”。2015年年底,安天发现“白象”组织进一步活跃,并于2016年7月释放了储备报告《白象的舞步——来自南亚次大陆的网络攻击》,披露了“白象”组织的第二波攻击“白象二代”。而此时“白象二代”的主要攻击方向已经由巴基斯坦转向中国,并且相较之前的攻击能力有了大幅提高,其攻击手段和影响范围也远大于“白象一代”。在“白象”组织被广泛曝光后的一段时间内,似乎偃旗息鼓,但到今年下半年,该组织再次活跃,而其相关行动是在经历了数个月准备后实施的。从我们掌握的信息来看,“白象”并不是某国唯一的攻击组织和行动,包括“阿克斯”(Arx)组织、“女神”(Shakti)行动及“苦酒”(BITTER)行动,同样与之有关。这些组织和行动,具有相似的线索和特点,并且其中大部分攻击目标为中国。我们将这一系列网络攻击组织和行动称为——“象群”。
KRACK漏洞利用主要针对WPA/WPA2的四次握手过程,没有利用AP接入点,而是针对客户端的攻击。因此,用户的路由器可能不需要更新。对于普通家庭用户,应多关注各终端设备厂商的安全公告,及时更新配置或打补丁,优先更新笔记本电脑和智能手机等客户端。 对该漏洞的利用并没有破坏密码体系本身,而是对实现过程进行了攻击,因此基本可以绕过所有的安全监控设备。利用该漏洞能够在一个良好实现的网络环境中,通过良好实现的WiFi打开攻击面,为后续攻击打开通路。
本报告重点对木马主程序进行了逆向分析,包括行为监控,绕过安全校验机制,篡改金额等进行了分析,覆盖了整个窃取金额的主要流程。对于黑客幕后组织以及其他银行SWIFT被盗案例暂不深入分析。
近日,国家信息安全漏洞共享平台(CNVD)收录了Microsoft Windows SMB Server远程代码执行漏洞(CNVD-2017-29681,对应CVE-2017-11780)。远程攻击者成功利用漏洞可允许在目标系统上执行任意代码,如果利用失败将导致拒绝服务。CNVD对该漏洞的综合评级为“高危”。综合业内各方研判情况,该漏洞影响版本范围跨度大,一旦漏洞细节披露,将造成极为广泛的攻击威胁,或可诱发APT攻击,安天提醒用户警惕出现“WannaCry”蠕虫翻版,建议根据本手册中“受影响系统版本”和“微软官方补丁编号”及时做好漏洞排查和处置工作。
使用蓝牙通信协议的设备数量随着物联网时代的开启日益增多。近期,物联安全公司Armis Labs纰漏了一个攻击向量BlueBorne,称攻击者可利用一系列与蓝牙相关的安全漏洞,在一定场景下可实现对具有蓝牙功能的远端设备的控制,进而窃取受害者数据、进行中间人攻击以及在感染一个设备后蠕虫式感染其它设备,且此攻击方式无需向用户申请认证授权,具有较大的危害性。为此,安天微电子与嵌入式安全实验室和安天移动安全公司两部门组成联合分析小组,认真剖析了整个攻击流程并做出威胁总结。
2017年7月30日,安天安全研究与应急处理中心(Antiy CERT)的工程师发现一种具备拒绝服务(DoS)攻击能力的新型木马。经初步分析,安天CERT工程师认为该木马属于一个新家族,并将其命名为“魔鼬”。通过关联查询安天对于DDoS攻击的历史监测数据,发现本次事件中受攻击的域名同时也在遭受Trojan/Linux.BillGates、Trojan/Linux.Mayday等家族的DDoS攻击。
安天安全研究与应急处理中心(Antiy CERT)于北京时间2017年6月27日21时许关注到乌克兰银行等相关机构包括、政府首脑计算机遭到计算机病毒攻击的相关信息。综合各方威胁情报后,初步判断受影响最严重的国家是乌克兰(副总理Pavlo Rozenko、国家储蓄银行(Oschadbank)、Privatbank等银行、国家邮政(UkrPoshta)、国家电信、市政地铁、乌克兰首都基辅的鲍里斯波尔机场、电力公司KyivEnergo),其他部分国家均受到不同程度的影响,包括俄罗斯(俄罗斯石油公司(Rosneft))、西班牙、法国、英国、丹麦、印度、美国(律师事务所DLA Piper)等国家。
在安天发布蠕虫勒索软件免疫工具(WannaCry)后,有大量用户就专杀工具提出问题,我们选择了其中的高频问题,形成了本FAQ。我们会继续跟进网友的问题。