Aggregator

Un blog di Paolo Attivissimo, giornalista informatico e cacciatore di bufaleInformativa privacy e

新闻速览 •MITRE推出EMB3D威胁检测新模型，强化嵌入式设备安全性 •诺基亚安全威胁调查：全球电信业正在 […]

随着企业数字化转型的不断深入，终端安全领域正面临着前所未有的挑战。终端设备的多样化、泛终端环境的复杂性，以及安 […]

一、组织概述 （一）组织背景 Hunters International勒索组织最早于2023年10月进入大众视野，以RaaS（勒索软件即服务）模式运作。自发布以来，该组织的攻击活动已遍布至教育、医疗、金融、制造等各个行业，影响范围覆盖全球各个地区。 从起源上，Hunters International是一款基于老牌勒索软件Hive源码改进的新型勒索软件。该勒索软件以其复杂的加密算法和加密策略而闻名，这也是它能在短时间内成功实施多起勒索攻击的重要原因。 Hunters International声称其源码来自于Hive Hunters International擅长通过供应链攻击、应用程序漏洞来获取初始访问权限，并部署如Cobalt Strike、SharpRhino等远控工具，最终传播勒索软件，加密和窃取数据。此外，该组织重视保密性，严格管控信息，保证其行动的隐蔽性。近期，Hunters International勒索组织日渐猖獗，使其在网络犯罪领域迅速崭露头角，强势威胁全球网络安全。 Hunters International数据泄露站点 作为典型的双重勒索组织，Hunters International对外宣称其主要目的是数据泄露，以此施压受害者，要求他们支付赎金，上图展示了该组织的数据泄露站点。 （二）攻击活动统计 根据公开数据统计，2024年初至今，Hunters International组织已成功发起163次勒索攻击。从下图可知，该组织近期攻击活动较为频繁。 各月攻击次数(注：统计日期截止2024/09/13) 从受害者国家分布来看，Hunters International组织的主要目标是美国，其中欧洲、亚洲一些国家也遭遇数次攻击，其中，中国占比3%左右。 受害者国家分布 从受害者所在行业分布来看，该组织针对的行业没有明显的倾向性，其中，以制造业和信息技术行业为主，占比分别为30.6%和9.8%。 受害者行业分布 二、样本分析 今年8月，国外研究机构披露，Hunters International勒索组织利用一种新型C#远控木马SharpRhino对IT人员进行网络钓鱼，从而入侵企业内网，最终实施勒索攻击。SharpRhino能够实现从初始感染、提权、执行 PowerShell命令到最终部署勒索软件等一系列恶意行为，本文针对该事件涉及的样本进行详细分析。 （一）SharpRhino远控木马 Hunters International组织投递远控木马SharpRhino的完整流程如下图所示： SharpRhino远控木马通过捆绑合法工具ipscan进行传播，母体样本ipscan为NSIS安装程序，解压后包含如下文件： 当双击ipscan安装程序，7za.exe程序被触发，调用7za.dll对UpdateFull.7z解压，解压后的文件被释放到C:\ProgramData\Microsoft\WindowsUpdate24、C:\ProgramData\Microsoft\ LogUpdateWindows两个目录下，如下图： 其中，LogUpdate.bat和WindowsUpdate.bat两者功能相似，Kautix2aeX.t和Wiaphoh7um.t相似。Microsoft.AnyKey为快捷方式文件，指向了LogUpdate.bat脚本文件。 LogUpdate.bat为批处理脚本，用来启动PowerShell脚本文件Wiaphoh7um.t。 Wiaphoh7um.t为PowerShell脚本文件，该脚本主要有两个功能： 解密出经过高度混淆的SharpRhino木马的C#源代码； 将SharpRhino源码编译加载到内存，将C2、加密密钥、延时时间传递给函数HPlu()并执行； SharpRhino为最终的远控木马，具体信息如下表： SharpRhino运行之后，首先会生成随机16个字节的ClientID ，并收集系统信息。 然后通过http与服务器进行连接，并发送上线数据包。数据包为json格式，分为三个字段“UUID”，“ID”，“Data”。首次向服务器发送数据时“UUID”的值为null，“ID”为 ClientID，“Data”为收集的系统信息。接着将数据包通过RC4加密、base64编码后发送至C2服务器： cdn-server-2.wesoc40288.workers.dev。 捕获到的上线包数据流量如下： 发送数据包之后，客户端接收服务器的响应，解析出相应指令并执行：服务器返回指令共有三种情况： delay：延迟一定时间后再次向服务器发送http请求 exit：直接退出程序 PowerShell：执行任意PowerShell命令 为了更详细的分析控制端与客户端的通信行为，我们手动构造PowerShell命令来模拟两者交互过程。以打开计算器应用为例，构造的控制端向客户端发送指令的流量如下图： 下图展示了数据包被解密后，客户端成功打开了计算器。 （二）Hunters International勒索软件 该勒索软件需要提供“-c 用户名:密码”才能执行，该用户名和密码用于受害者登录泄露网站查看信息，最后保存在勒索信中提供给受害者。 勒索软件在执行过程中会在控制台中输出文件加密操作的过程信息，执行完成后会在每个加密的文件夹中留下一封勒索信文件并自动用记事本打开，加密后的文件通常被加上“.locked”后缀。对比早期的版本（2024.03），近期的版本（2024.07）在加密过程信息输出和勒索信内容方面进行了更新。 新版本在控制台输出中增加了进度条、I/O速率、当前执行的任务等信息。 勒索信方面，文件名和内容都进行了更新，早期版本文件名为“Contact us.txt”,近期更新为“READ ME NOW!.txt”。 该勒索软件执行后首先检查解析命令行参数，如果没有提供参数，当前执行立即终止。现整理部分参数如下： 参数项 描述 -c 指定用户名密码，格式为“user:password”，必选参数 -t/-threads/–threads 加密线程数量，默认为10 -R/-no-remote/–no-remote 不加密远程共享文件 -k/-kill/–kill 要杀死的进程 -s/-skip/–skip 跳过不加密的文件 -E/-no-erase/–no-erase 不擦除磁盘空间 -X/-no-extension/–no-extension 不给加密后文件添加后缀 -w/-wait/–wait 等待一段时间后加密 该勒索软件中使用的字符串都被单独移位+异或加密保存，使用时移位+异或解密后拼接恢复。 解析完命令行参数后，程序会创建一个线程池来进行后续的多线程的文件加密操作，在加密文件前，该程序会执行以下命令来删除卷影以阻止备份和恢复 exe delete shadows /all /quiet exe shadowcopy delete exe delete systemstatebackup exe delete catalog-quiet exe /set {default} recoveryenabled No exe /set {default} bootstatuspolicy ignoreallfailures exe delete systemstatebackup -keepVersion:3 停止包含以下列表中名称的服务和进程，防止文件被占用无法加密。 agntsvc, backup , dbeng50, dbsnmp, encsvc, excel, firefox, infopath, isqlplussvc, memtas, mepocs, msaccess, msexchange, msmq, mspub, mssql, mydesktopqos, mydesktopservice, mysql, notepad, ocautoupds, ocomm, ocssd, onenote, oracle, outlook, powerpnt, sap, sqbcoreservice, sql, steam, svc$, synctime, tbirdconfig, thebat, thunderbird, veeam, visio, vmm, vmwp, vss, winword, wordpad, xfssvccon 枚举网络中存在的主机： 遍历本地磁盘驱动器类型，以区分本地和网络共享磁盘。 然后开始分别扫描本地文件，和网络共享文件，添加到不同的待加密文件列表中使用不同的线程分开加密。 文件加密过程中，该程序会跳过以下的文件名、文件目录名及文件后缀。 跳过的文件名： READ ME NOW!.txt, autorun.inf, bootfont.bin, boot.ini, bootsect.bak, desktop.ini, iconcache.db, ntldr, NTUSER.DAT, NTUSER.DAT.LOG, Ntuser.ini, thumbs.db 跳过的文件目录名： Windows, Program Files, Program Files (x86), Program Data, $Recycle.Bin, All Users, Default, Google, System Volume Information, Boot, Intel, Internet Explorer, PerfLogs 跳过的文件后缀名： 386, adv, ani, bat, bin, cab, cmd, com, cpl, cur, deskthemepack, diagcab, diagcfg, diagpkg, dll, drv, exe, hlp, hta, icl, icns, ico, ics, idx, key, ldf, lnk, lock, mod, mpa, msc, msi, msp, msstyles, msu, nls, nomedia, ocx, pdb, prf, ps1, rom, rtp, scr, shs, spl, sys, theme, themepack, tmp, wpx 该勒索软件使用 AES 算法来加密文件内容，加密密钥由BCryptGenRandom()函数生成的随机数组成，加密逻辑使用 AES 硬件指令集实现。为了保护加密密钥和便于解密，该样本使用 RSA-OAEP来加密AES密钥并保存在被加密文件尾部。 加密过程完成后，该勒索软件会在每个磁盘驱动器上创建一个“buffer.swp”文件，并不断写入 16384字节的随机数据，直到磁盘上没有可用空间，最后再删除该文件，以此来覆盖硬盘数据，防止从硬盘中恢复文件。 三、ATT&CK 下表总结了Hunters International 勒索软件的ATT&CK矩阵攻击链。 四、新华三防护方案 新华三聆风实验室将持续跟踪Hunters International组织最新勒索攻击活动。目前，新华三威胁情报特征库已支持相关IOC检测，病毒特征库支持相关样本检测，新华三AIFW及AI SOC平台均支持该检测，请及时升级更新。 五、IOC angryip[.]org angryipsca[.]com cdn-server-1[.]xiren77418[.]workers[.]dev cdn-server-2[.]wesoc40288[.]workers[.]dev ec2-3-145-180-193.us-east-2.compute[.]amazonaws[.]com ec2-3-145-172-86.us-east-2.compute[.]amazonaws[.]com d2e7729c64c0dac2309916ce95f6a8253ca7f3c7a2b92b452e7cfb69a601fbf6 3f1443be65525bd71d13341017e469c3e124e6f06b09ae4da67fdeaa6b6c381f 9a8967e9e5ed4ed99874bfed58dea8fa7d12c53f7521370b8476d8783ebe5021 b57ec2ea899a92598e8ea492945f8f834dd9911cff425abf6d48c660e747d722 09b5e780227caa97a042be17450ead0242fd7f58f513158e26678c811d67e264 c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af 24de8de24001bc358c58aa946a28c545aaf9657b66bd5383c2d5a341c5d3c355 1fcb1e861fc7219d080430388630b438c2de7f09272cfa32799bb51aa6083c47     转自FreeBuf，原文链接：https://www.freebuf.com/news/412262.html 封面来源于网络，如有侵权请联系删除

Executive SummaryResearchers at the Spark Research Lab (University of Texas at Austin)1, under the

In this video we demonstrate Sandfly's new file and directory stealth rootkit de-cloaking feature on

A vulnerability was found in Linux Kernel up to 5.3.6. It has been classified as critical. This affects the function rtl_p2p_noa_ie of the file drivers/net/wireless/realtek/rtlwifi/ps.c. The manipulation leads to buffer overflow. This vulnerability is uniquely identified as CVE-2019-17666. Access to the local network is required for this attack to succeed. There is no exploit available.

A vulnerability has been found in Linux Kernel up to 5.0.10 and classified as critical. Affected by this vulnerability is the function tcp_ack_update_rtt of the file net/ipv4/sysctl_net_ipv4.c. The manipulation leads to integer overflow. This vulnerability is known as CVE-2019-18805. The attack can be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability has been found in Linux Kernel up to 5.0.0 and classified as problematic. This vulnerability affects the function register_queue_kobjects of the file net/core/net-sysfs.c. The manipulation leads to memory corruption. This vulnerability was named CVE-2019-15916. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as problematic, has been found in Linux Kernel up to 5.2.14 on PowerPC. This issue affects some unknown processing of the file arch/powerpc/kernel/process.c of the component Hardware Transaction Handler. The manipulation leads to improper input validation. The identification of this vulnerability is CVE-2019-15030. It is possible to launch the attack on the local host. There is no exploit available.

A vulnerability, which was classified as problematic, has been found in Linux Kernel up to 5.0.14. Affected by this issue is the function do_hidp_sock_ioctl of the file net/bluetooth/hidp/sock.c. The manipulation leads to command injection. This vulnerability is handled as CVE-2019-11884. Attacking locally is a requirement. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability has been found in Linux Kernel up to 3.x/4.20 and classified as problematic. This vulnerability affects unknown code of the component NFS. The manipulation leads to null pointer dereference. This vulnerability was named CVE-2018-16871. The attack can be initiated remotely. There is no exploit available.

A vulnerability was found in Docker Engine and moby. It has been classified as very critical. Affected is an unknown function of the component AuthZ. The manipulation leads to partial string comparison. This vulnerability is traded as CVE-2024-41110. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

日本科技公司卡西欧证实本月初遭到勒索软件攻击，员工、求职者、合作伙伴和部分客户的数据被盗，客户支付相关的信息未受影响，但随着调查的进一步深入，受影响的范围可能会扩大。勒索软件组织 Underground 此前宣布对此次攻击负责。卡西欧公布了被认为已经被盗的信息：公司及其子公司正式员工、临时个和合同工的个人数据；业务合作伙伴的个人细节；参加面试的求职者个人数据；客户的个人信息；业务合同信息；财务数据；法务、财务、人力、审计、销售等相关的文件。

10月10日，第39次全国计算机安全学术交流会在陕西省西安市举办。此次会议以“人工智能助力构建网络安全新格局” […]

A vulnerability, which was classified as critical, was found in HAProxy up to 2.9.10/3.0.4/3.1-dev6. Affected is an unknown function of the component QUIC. The manipulation leads to improper access controls. This vulnerability is traded as CVE-2024-49214. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as critical, has been found in netease-youdao QAnything up to 1.4.1. This issue affects the function get_knowledge_base_name/from_status_to_status/delete_files/get_file_by_status. The manipulation leads to sql injection. The identification of this vulnerability is CVE-2024-7099. The attack may be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as very critical was found in Hgiga OAKlouds. This vulnerability affects unknown code of the component Incomplete Fix CVE-2024-26261. The manipulation leads to absolute path traversal. This vulnerability was named CVE-2024-9924. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as problematic has been found in Teamplus Technology Team+ 13.5.x. This affects an unknown part of the component System Files Handler. The manipulation leads to relative path traversal. This vulnerability is uniquely identified as CVE-2024-9922. It is possible to initiate the attack remotely. There is no exploit available.