快捷搜索:

您的位置:金莎娱乐 > 互联网 > 逆向破解黑客恶意邮件攻击,漏洞利用趋势及模

逆向破解黑客恶意邮件攻击,漏洞利用趋势及模

发布时间:2019-11-04 23:59编辑:互联网浏览(194)

    原标题:漏洞利用趋势及模式:美国是世界头号恶意域名托管国度

    原标题:Palo Alto Networks 2018年Q2网络威胁总结:中国香港成为全球第三大恶意网址托管地区

    Check Point和Certego发布报告指出,近期新型加密货币挖矿恶意软件“RubyMiner”使用多项漏洞利用,在网上搜寻老旧的Web服务器,企图感染目标。

    面对恶意邮件攻击,我们就只能默默忍受被他攻击,连自我保护能力都没有谈什么反抗?让人痛快的是,如今有了解决办法,逆向破解键盘记录器,进入攻击者邮箱。

    美国是世界头号恶意域名托管国度,也是漏洞利用工具包的首要来源国,网络罪犯可以在美国找到各种各样的漏洞利用工具包来对各类系统中的漏洞下手。

      9月15日技术沙龙

    攻击者瞄准Linux和Windows服务器

    Ixia的安全研究人员斯蒂芬·塔纳斯(Stefan Tanase)向外媒表示,RubyMiner组织使用Web服务器识别工具“p0f”扫描识别运行过时软件的Linux和Windows服务器。一旦识别出未打补丁的服务器,攻击者会利用已知的漏洞利用实施入侵,并利用RubyMiner进一步感染目标。

    Check Point和Ixia公司称,它们发现攻击者在近期这起攻击活动中部署以下漏洞利用:

    Ruby on Rails XML处理器YAML反序列化代码执行漏洞 (CVE-2013-0156)

    PHP php-cgi 查询字符串参数代码执行漏洞 (CVE-2012-1823、CVE-2012-2311、CVE-2012-2335、 CVE-2012-2336、 CVE-2013-4878)

    微软IIS ASP 脚本源代码泄露漏洞(CVE-2005-2678)

    显而易见,RubyMiner的目标是Windows和Linux系统。

    案例:

    图片 1

    与东华软件、AWS、京东金融、饿了么四位大咖探讨精准运维!

    攻击者将恶意代码隐藏在robots.txt文件中

    Check Point根据其蜜罐收集的数据破解了RubyMiner在Linux系统上的感染程序,从而得出以下结论:

    漏洞利用包含一系列Shell命令;

    攻击者清除了所有Cron定时任务;

    攻击者新增每小时要执行的Cron定时任务;

    新的Cron定时任务下载在线托管的脚本;

    脚本藏在各个域名的robots.txt文件内;

    脚本下载并安装篡改版的XMRig门罗币挖矿应用。

    Check Point的安全研究人员勒特姆·芬克尔斯坦向外媒表示,他们发现攻击者以Windows IIS服务器为目标,但尚未能获取这款恶意软件的Windows版副本。

    这起攻击之所以被发现,部分原因在于攻击者用来将恶意命令隐藏到robots.txt(lochjol[.]com)的其中一个域名曾在2013年的一起恶意软件攻击活动中使用过。后者也使用了RubyMiner部署的Ruby on Rails漏洞利用,这说明这些攻击活动是同一组织所为。

    洛杉矶县首席执行官办公室发布新闻稿证实称,黑客入侵事件发生于2016年 5 月 13 日,一名尼日利亚黑客有针对性地向政府工作人员发动钓鱼邮件攻击。结果,共计108 名员工点击了邮件并提供了用户名和密码。由于职责需要,他们的账户存有机密客户、病人的个人信息。

    Palo Alto Networks 威胁情报团队 Unit 42 最近的研究报告证实了这一点,并强调:老漏洞依然是严重的安全威胁;10年前的老漏洞能将用户暴露在至少1000个攻击面前。

    Palo Alto Networks (派拓网络)威胁情报团队 Unit 42 最新博文指出,在2018年的第二季度,美国成为托管最多恶意域名和漏洞利用套件(Exploit Kits, EKs)的国家,位列第二的荷兰也增幅显著。

    RubyMiner已感染700台服务器

    据Check Point预估,RubyMiner感染的服务器数量大约有700台。从RubyMiner部署的自定义挖矿程序中发现的钱包地址来看,攻击者赚取了约540美元。

    由研究人员认为,如果攻击者使用最近的漏洞利用,而非十年前的漏洞,其成功率会更高。比如,最近媒体报道称,2017年10月攻击者曾利用Oracle WebLogic服务器赚取了22.6万美元。

    图片 2

    虽然美国的恶意域名稳坐头把交椅,但荷兰的漏洞利用工具包和恶意域名出现了大幅增长。

    除了美国和荷兰,来自其他国家和地区包括俄罗斯和中国在内的恶意域名数量都有明显下降。而在中国香港,尽管托管的恶意域名数量有显著下降,但它仍是世界第三大恶意网址源头。

    门罗币挖矿恶意软件不断增多

    近几个月,加密货币挖矿攻击企图猖獗,尤其是门罗币挖矿恶意软件。除了门罗币劫持事件,2017年出现了众多门罗币挖矿恶意软件,包括Digmine、 Hexmen、Loapi、Zealot、WaterMiner、CodeFork和Bondnet。研究人员在2018年年初的两周就已经发现针对Linux服务器的恶意软件PyCryptoMiner,此外,研究人员还发现有黑客利用Oracle WebLogic漏洞开采门罗币。

    上述提到的大多数瞄准Web服务器的挖矿攻击事件中,攻击者尝试利用最近的漏洞利用。但是,RubyMiner较特殊,因为攻击者使用的是非常老旧的漏洞利用。芬克尔斯坦表示,攻击者可能一直在故意搜寻系统管理员遗忘在网络上的PC以及使用老旧版本的服务器。感染这些设备意味着能长期潜伏进行挖矿。

    这一切要从一次恶意邮件攻击活动开始。下图为我们最近监测到的一个以恶意文件为发送附件的邮件攻击,请注意邮件信息中的英语写作水平是多么差劲,其实,这也是恶意邮件的一个特点,还请收件人提高警惕。

    图片 3

    图片 4

    Unit 42对影响31个微软产品的 Windows VB引擎远程代码执行漏洞CVE-2018-8174做了个有趣的案例研究。

    邮件样本

    该漏洞的首例漏洞利用是 Unit 42 在5月12日发现的。有趣的是,微软在5月8日才公布了该漏洞。也就是说,仅仅4天时间,黑客就研究出了利用该漏洞的攻击方法。

    在托管漏洞利用套件的国家和地区中,美国排在首位,比第二位的俄罗斯在数量上多出三分之二。实际上,仅美国一国的漏洞利用套件的数量,就比其他国家加起来的总和还要多。KaiXin、Sundown和Rig漏洞利用套件在第一至第二季度仍然活跃。KaiXin最初在中国内地、中国香港和韩国发现并流行,Grandsoft(新出现的漏洞利用套件)、Sundown和Rig,在其它地区则比较流行。

    在这封邮件中其附件以“.doc”文件扩展名结尾,但其实这是一个RTF(中国黑客协会)格式文件,文件被嵌入了一个精心构造的cve-2010-3333漏洞利用脚本,漏洞产生原因为微软office文件格式转换器在处理RTF文件“pfragments”参数属性时存在栈缓冲区溢出,远程攻击者可以借助特制的RTF数据执行任意代码,该漏洞又名”RTF栈缓冲区溢出漏洞”,但微软官方已在5年前就已修复了漏洞。

    漏洞利用程序

    Windows环境下

    初版“双杀( Double Kill )”漏洞利用程序并没有试图隐藏html代码,仅有少数几个变量和功能是隐藏的。但黑客精炼过攻击后推出的第二版“双杀”就不是那么回事了。

    邮件服务器自带动态屏蔽类似的功能,定义连接过来失败的次数屏蔽设定的时间,但是这个请求其实也已经连接了服务器,并且进行了会话,攻击者的IP,真是要 多少有多少,这个比较难以防范,当然了,还有一些防火墙,也可以达到这个需求,比如服务器安全狗。但是最终连接的过程中,始终都会连接到服务上面,然后再 处理。大大的增加了服务器的负载量。浪费了一定的资源。黑客攻防书经典书 网络黑白  某宝有。

    Unit 42 跟进了该漏洞利用程序的进化,指出:“第二版漏洞利用程序中,攻击者使用了多种模糊技术来隐藏代码。例如,将文本区HTML标签的显示属性设置为‘none’,用以隐藏真正的漏洞利用代码。”

    因为漏洞而遭受攻击的情况没有变化,有些非常旧的漏洞(甚至是九年半前的漏洞)仍在使用。而一个采用零日攻击的新漏洞正在快速攀升至榜单前几位。

    图片 5

    文本区中以“>tpircs”开头并以““>tpircs<”结尾的模糊字符串不会显示在html页面上,但能被漏洞利用程序反模糊回有意义的字符串,比如“tpircs”就能被解析成“”标签。

    基于我们的发现,我们建议企业一定要将微软的Windows,Adobe的 Flash及Reader更新至最新版本并进行安全更新。此外,企业应考虑使用有限权限用户帐户来管控恶意软件所造成的损害。专门用于防止恶意URL和域名的防护产品,以及防御恶意软件如漏洞利用套件的端点防护产品均能有效应对本文中所提及的威胁。

    请点击此处输入图片描述

    至于被攻击者利用的漏洞,Unit 42 表示,本季度被攻击的漏洞类型与去年同期表现出惊人的一致性。事实上,攻击者利用的漏洞列表与去年同期几乎完全相同。返回搜狐,查看更多

    通过对来自电邮连结分析 (Email Link Analysis, ELINK) 的统计数据进行定期分析,Unit 42团队可以掌握当前网络威胁的模式和趋势。本文总结了我们在2018年第二季度(四至六月)的分析,并对2018年第一季度(一至三月)网络威胁分析的文章进行了跟进。

    被加密混淆的RTF文件

    责任编辑:

    如欲浏览全部内容,敬请点击链接:)

    在上图中你可以看到,漏洞利用代码中的shellcode字段被模糊变形以避免杀毒软件的检测,在经过代码提取、清理和解密之后,我确定了漏洞利用代码的shellcode将会从一个未知域名volafile.io下载并执行某些文件。

    责任编辑:

    图片 6

    请点击此处输入图片描述

    shellcode 的16进制字符串

    漏洞攻击负载

    图片 7

    请点击此处输入图片描述

    下载的可执行文件

    经过分析,从volafile.io 下载的文件是一个.NET可执行文件,通过十六进制文件分析之后可以得到一个有趣的线索,编码中出现了“HawkEyekeylogger”字段。

    图片 8

    请点击此处输入图片描述

    Hawkeye 键盘记录的主体

    通过GOOGLE搜索技巧,最终我找到了开发该Keylogger软件的网站,在网站上,他们声称并列出了所有“HawkEyekeylogger”具备的“牛X的功能”。

    图片 9

    HawkEye Keylogger 功能列表

    在我的动态分析中发现,该Keylogger在一个名为%appdata%的文件夹下释放自身副本,启动一个名为windowsupdate.exe的程序为运行进程,并设置进程启动信息为随机自启动,实现与系统同时启动。

    如果仅仅是防止25端口被攻击,防止暴力猜测用户密码。在linux平台上,有fail2ban这个软件可以做到根据maillog日志中的错误信息,来通过iptables拦截相应的对端IP地址一段时间。

    如果上升到反垃圾、反病毒、防攻击的高度上来,就需要架设邮件网关,server2008放在这个邮件网关后面。一般有软硬两种途径:

    硬件方式:购买反垃圾反病毒邮件网关或者带有反垃圾反病毒类型的下一代防火墙。国内几个做安全的厂商都有邮件网关之类的产品。

    这种方式好处,就是免维护,只要购买了相应的特征库更新服务,就基本上不用管理。每天看看拦截队列就可以了。

    软件方式:通过postfix架设一个邮件网关,配合fail2ban、dspamd等反垃圾反病毒套件自己搭建一个邮件网关。通过fail2ban来保护25端口。

    学习黑客技术书 网络黑白,提高网络安全技术,黑客攻防入门到精通。

    本文由金莎娱乐发布于互联网,转载请注明出处:逆向破解黑客恶意邮件攻击,漏洞利用趋势及模

    关键词: