国际资讯

MsraMiner: 潜伏已久的挖矿僵尸网络

2017 年 11 月底，我们的 DNSMon 系统监测到几个疑似 DGA 产生的恶意域名活动有异常。经过我们深入分析，确认这背后是一个从 2017 年 5 月份运行至今的大型挖矿僵尸网络。此僵尸网络最新的核心样本压缩包文件名为 MsraReportDataCache32.tlb ，我们将其命名为MsraMiner Botnet。

该僵尸网络的特征包括：

运行时间：2017 年 5 月份运行至今

传播方式： 利用 NSA 武器库来感染，通过 SMB 445 端口传播

蠕虫式传播：样本自带 Web Server提供自身恶意代码下载。样本扩散主要靠失陷主机之间的 Web Server 或 Socket 传输，同时提供了 C&C 端获取样本作为后备机制；

传播范围：感染失陷主机数量保守估计30,000 台；

获利手段：主要是挖矿,挖矿进程由 XMRig 编译而来；

矿池：利用自行注册的域名做掩护，CNAME到知名的 xmr.pool.minergate.com

矿池账号：是一批 Protonmail 的邮箱地址，Protonmail 是知名的匿名邮箱供应商

部分样本的挖矿行为，可以根据 C&C 域名的解析结果来控制

新的逃避检测的手段： C&C 域名形似 DGA 产生，非常随机，其实都硬编码在样本中；

主动抑制：C&C 域名大部分时间会解析到保留地址段，会一定程度上抑制样本的传播和更新，历史上解析过的 C&C IP 相关端口也会封闭，只会在短暂的时间内放开 C&C 的正常服务功能。

规模与流行度：

根据 DNSMon 统计，MsraMiner 相关 C&C 域名中请求量最高的是 d.drawal.tk ，巅峰时期达到 6.7M/天，直 到现在，每天的请求量还在 2M 上下

在我们 DNSMon 内部的域名流行度排行中， s.darwal.tk 历史最高流行度排名达到 165417 名。作为对比，我们此前发现的百万级僵尸节点的僵尸网络 MyKings 中，历史流行度排名最高的 C&C 域名 up.f4321y.com 排名为 79753 。

参考链接：https://www.anquanke.com/post/id/101392

Sublime、Vim 等多款流行文本编辑器存在特权升级漏洞

据悉，大多数现代文本编辑器允许用户通过使用第三方插件来扩展功能，以此其增大攻击面。 研究人员认为这种情况非常严重，因为第三方插件可能会受到关键的特权升级漏洞影响，波及到类似 WordPress 、Windows 的 Chrome、Firefox 以及 Photoshop 等流行软件的插件。

目前该漏洞被认为与这些文本编辑器加载插件的方式有关，因为它们在加载插件时没有正确分离常规模式和高级模式。SafeBreach 的研究表明，这些带有第三方插件的文本编辑器是另一种用来获得设备特权提升的方式，并且无论编辑器中是否打开了文件，使用这种方式来获得提升都能成功，即使是在 sudo 命令中运用常用的限制也可能无法阻止。

因此 SafeBreach 提供了的一些缓解措施：
○ 实施 OSEC 监督规则
○ 拒绝为非提升用户编写权限
○ 更改文件夹和文件权限模型以确保常规模式和高级模式之间的分离。
○ 在编辑器升级时阻止加载第三方插件
○ 提供一个手动界面来批准提升的插件加载

参考链接：https://www.t00ls.net/articles-44739.htm

GitHub 去年为漏洞支付了 16.6 万美元赏金

据外媒报道，去年，GitHub 向安全研究人员支付了总计 166495 美元的奖励，针对 GitHub 这个为期四年的“漏洞赏金”项目，安全研究人员会上报自己发现的系统问题和漏洞。2016 年，GitHub 一共支付了81.7万美元，而去年的支出总额显然已经翻了一倍多，几乎相当于前三年的总支出（17.7万美元）。在 2014 和 2015 两年时间里，他们一共支付了95.3万美元的奖金。

2017 年，GitHub 一共收到了 840 份漏洞报告意见书，但是最终解决问题并获得奖金的比例只有15%（约121份）。2016年，GitHub 共收到了 795 份漏洞报告意见书，最终获得奖励的只有 73 份，而其中只有 48 份有效报告最终被罗列在了漏洞赏金项目的主页上。

有效报告的数量上升推动了总支出的增加，也导致了 GitHub 在去年十月重新评估其支付结构。结果就是，奖金增加了一倍，其中最低奖金为 555 美元，最高奖金高达 20000 美元。

GitHub 的 Greg Ose 指出，随着参与的项目、计划和研究人员规模不断增加，去年是迄今为止支付赏金最多的一年。不仅如此，他们还把 GitHub Enterprise 引入到漏洞赏金项目之中，让研究人员能够在 GitHub.com 平台上一些未公开的、或是特定于某个企业部署的领域里找到漏洞。Ose说道：

“去年年初，很多漏洞报告涉及到了我们的企业认证方法，这也促使我们不得不在内部关注这个问题，而且我们也在研究如何让研究人员也关注这个功能。”

此外，Ose还表示，GitHub 已经发布了首个研究人员捐赠，也是他们长期以来关注的一项举措。这项工作会为挖掘应用程序特定功能或领域的研究人员支付固定金额。当然，其他任何发现漏洞的人也能够通过漏洞赏金项目获得奖励。

去年，GitHub 还推出了私人漏洞补丁服务，让用户能够限制生产漏洞的影响范围。不仅如此，他们还进行了内部改进，以更有效进行漏洞分类和修复提交，并计划在今年进一步完善流程。

现在，GitHub 希望进一步扩大 2017 年所取得成绩，推出更多私人奖励和研究补助金，以便在代码公开发布之前及之后引起大家的关注。该公司还计划在今年晚些时候，推出额外的奖励计划。Ose总结道：

“鉴于漏洞赏金项目取得了成功，我们现在正考虑如何扩大其范围，为我们的生产服务提供更多帮助，同时保护整个GitHub生态系统。我们很期待下一步工作，并且会在今年对提交的漏洞内容进行分类和修正。”

参考链接：https://www.t00ls.net/articles-44734.html

黑客事件

不只WiFi：黑客社区将矛头指向四大无线传输标准

每当新的信息共享通信介质出现之时，致力于黑客活动的攻击者们往往会立即采取行动。由高水平专家组成的技术团队将首先探索其中可能存在的安全漏洞，并彼此分享思路、代码与工具等等。一段时间之后，这些小团体将构建起成熟的社区，并提供易于使用的图形化黑客工具包以及丰富的在线教学资源。几乎就在一夜之间，原本需要多年实践经验的黑客技术如今已经能够被普通人群使用，人们只需要在社交媒体上泡几个小时就能轻松下载到黑客软件工具。

WiFi等传输协议将越来越不安全：事实上，WiFi 黑客社区目前正处于质变的边缘。考虑到预构型黑客工具与软件定义无线装置的易用性，黑客即将在 WiFi 之后将攻击矛头指向 Zigbee、蓝牙以及 Sigfox 等其它无线传输协议。

WiFi 刚刚出现时为整个世界带来了一种成本低廉的信号传输方式，能够在短距离内高效完成流量传递。此后不久，WiFi 技术专家们就成立了众多小团队，而 Def Con 大会上也开始出现种种针对 WiFi 网络的攻击内容。随着时间的推移，这些小团体建立起规模更为可观的社区，WiFi 攻击工具的商品化转型也由此开始。

黑客可能盯上的四种常见无限通信标准：

蓝牙设备：目前非常流行的蓝牙设备（例如键盘、手机、医疗设备、汽车乃至会议电话）都会传输包含高价值的信息内容。如今已经有多个蓝牙黑客项目正式上马，市场的吸引力也在逐步增加。举例来说，Armis实验室最近公布的BlueBorne就是一种攻击介质，其允许恶意攻击者控制设备及网络，并借此将恶意软件传播至附近的其它设备当中。蓝牙黑客攻击的相关在线视频数量正在快速增长，观众能够借此轻松掌握如何利用多种工具实现对蓝牙流量的嗅探、拦截与操纵。

Zigbee物联网设备：在目前的智能报警系统、照明控制以及其它联网小配件当中，Zigbee已经成为最为流行的无线通信标准之一。攻击者能够轻松在网上找到新的教程，借此了解如何利用SDR拦截Zigbee通信信号并将其重播至物联网设备以实现物理或远程访问。更值得注意的是，Attify Zigbee框架为RiverLoop Security发布的KillerBee工具添加了GUI选项。用户将能够借此轻松嗅控及捕捉Zigbee设备的数据包，并通过重播实现设备控制或敏感信息窃取。

面向车库及汽车的“密钥卡”标准：密钥卡的质变即将出现。由于SDR工具具有传输能力，因此其通常会拦截来自密钥卡的滚动密码发送信息，这将导致滚动密码机制（用于防止攻击者通过记录密钥卡信号并加以重播的方式骗过安保系统）彻底失效。在最近的几例报告当中，某采用8到12位滚动密码的“密钥”设备（常用于车库门及车辆锁定系统）被证实能够在12秒之内遭到暴力破解。

大规模机器对机器无线网络：并不是每一台机器都需要采用4G LTE连接。举例来说，智能电表与水表、联网健康产品甚至是洗衣机都开始采用SigFox等提供的低功耗无线连接方式构建大范围物联网/M2M网络。事实上，SigFox标准目前已经覆盖36个国家，为全球6.6亿人提供连接服务。随着越来越多的设备被接入这套扩展网络，攻击者必须会利用SDR攻击工具以发现并利用与之相关的各类新型漏洞。

参考链接：https://www.easyaq.com/news/1096748631.shtml

揭秘世界五大著名黑客

一、凯文·米特尼克(世界头号电脑黑客)

凯文·米特尼克第一个被美国联邦调查局通缉的黑客。2002年，对于曾经臭名昭著的计算机黑客凯文·米特尼克来说，圣诞节提前来到了。这一年，的确是Kevin Mitnick快乐的一年。不但是获得了彻底的自由(从此可以自由上网，不能上网对于黑客来说，就是另一种监狱生活)。而且，他还推出了一本刚刚完成的畅销书《欺骗的艺术》(The Art of Deception: Controlling the Human Element of Security)。此书大获成功，成为Kevin Mitnick重新引起人们关注的第一炮。而15岁的他就能攻入五角大楼和美国计算机主机内，窃取了机密信息， 是美国联邦调查局第一个列入悬赏捉拿的黑客。他高超的技术能够随意控制电脑系统，不断逃避警察的追捕。随着他网络犯罪行为不断，网络安全人员非常反感他的存在，他也曾霸道的宣布：“我们才是世界的主宰”！

二、丹尼斯·利奇(C语言、Unix之父)

C语言是我们学习网络技术必学的过程，当凭这一点，你就能知道他有多牛，C语言简直是这方面最权威的教材之一。

三、乔治•霍茨

霍茨是名年仅22岁的黑客，他因将苹果iPhone手机越狱(jailbreaking)，和破解索尼PlayStation 3，而名声大振，而对PlayStation 3的破解，最终也使得霍茨与索尼对薄公堂。

索尼对霍茨提起诉讼，双方最终达成和解，索尼禁止霍茨破解索其产品。而黑客组织Anonymous则继承了霍茨的事业，针对索尼发起了报复性攻击。霍茨此后被社交网站Facebook招致麾下。

四、理查德•马修•斯托曼

斯托曼是首个打破软件是私有财产的概念，创立自由基金的第一人，他还创立了GNU组织。他非常的低调，曾获得麦克阿瑟基金24万美金元天才奖。

五、罗伯特·塔潘-莫里斯

莫里斯是首席科学家的儿子，却将网络蠕虫病毒散发在最大的互联网中，使得千万台电脑奔溃，而他也导致人们对黑客的定义为真正的“黑”。由于当时的法律对于黑客犯罪没有定案，因此也只能草草的结案为“流氓罪“。

参考链接：http://netsecurity.51cto.com/art/201803/568357.htm

从外部Active Directory获取域管理员

我在内网跑的第一个工具是Responder。该工具将会为我获取本地子网上的LLMNR或NetBIOS请求中的Windows散列。但不幸的是管理员竟然禁用了LLMNR和NetBIOS请求。尽管从之前的测试中已经预料到了这种情况，但在OSCP课程中我学到一个道理 - 就是如果门是敞开的，破窗而入就没有任何意义。

运行Responder后，我捕获到了以下哈希值这是我非常震惊：在这里，我们可以看到主机172.16.157.133向我们发送了帐户FRONTDESK的NETNTLMv2哈希值。

使用Crack Map Exec检查此主机的NetBIOS信息（也可用其它工具），我们可以检查这是否是本地帐户哈希。 如果是的话，则“domain”部分就是用户名了：

即2-FD-87622应与主机的NetBIOS名称匹配（这种情况下）。使用CME查找IP，我们可以看到主机匹配的名称；

接下来我们来尝试破解这个散列以获取明文密码。在Hashcat的帮助下，密码很快就被破解了出来。

现在我们已经获取到了front desk机器的凭据了。我们再次使用CME扫描，但不同的是这次我们传递了已破解的凭据；

我们可以看到Pwn3d！从结果可以得知这是一个本地的管理员帐户。这意味着我们现在拥有了dump本地密码散列的权限；

这一次，我们看到的是密码的NTLM哈希值，而不是Responder之前捕获的NETNTLMv2“challenge/response”哈希值。Responder捕获的散列，与Windows在SAM中存储的格式并不同。

下一步我们开始来使用这个本地管理员哈希。这里需要特别说明的是，我们并不需要特意去破解这个哈希，可以直接通过哈希传递的方式来利用它：

我们只能使用存储的NTLM格式传递哈希值，而不是NETNTLMv2网络格式（除非你想执行“SMB中继”攻击）。

令我们惊讶的是，STEWIE机器使用的密码与本地管理员密码相同。 查询此主机的NetBIOS信息：

我们可以看到它是MACFARLANE域的成员，并且是客户端Active Directory的主要域。

也就是说，一台域外机器的本地管理员密码在内部服务器被重用。现在，我们可以通过Metasploit PsExec模块，将NTLM哈希作为密码传递给目标机器登录并控制机器：成功执行后我们得到了一个shell：我们可以加载Mimikatz模块，读取Windows内存查找密码：现在我们获取到了DA（域管理员）帐户的详细信息。最后，我们使用CME在域控制器上执行命令，将自己添加为一个DA（纯粹是为测试，在实际渗透中为了更加隐蔽，我们可以使用已发现的帐户）。请注意，以上命令中的/y参数的作用是让Windows允许我们添加的密码长度大于14个字符。

进入到域控制器远程桌面的截图，可以作为成功利用的证据写进报告：针对这次测试中的问题，我的建议是禁用LLMNR（在策略中），这样攻击者就不会获取初始的访问权限，直至对整个域的渗透。当然除了禁用LLMNR外还有其它的防护措施，例如使用LAPS管理本地管理员密码，并设置FilterAdministratorToken防止本地RID 500帐户进行SMB登录。

参考链接：http://www.freebuf.com/articles/web/164515.html

（来源：云天安全搜集整理互联网安全资讯）