国际资讯

Fauxpersky：凭证窃取型恶意软件分析

攻击者一直都会不断地寻找在Windows系统上执行任意文件的新方法，其中一种技术就涉及到AutoIT或AutoHotKey的使用，而这种简单的工具允许用户向Windows系统中写入各种类型的小型GUI程序以及键盘自动化任务。比如说，AutoHotKey（AHK）允许用户通过写入脚本代码来与Windows交互，从Windows中读取文本信息以及向其他应用程序发送键盘击键数据等任务。AHK还允许用户使用自己的代码创建可编译的exe文件。

如果你是一名攻击者，而你正好又想开发一款简单且高效的凭证窃取工具的话，那么AHK绝对会是一个很好的“帮手”。没错，我们的确发现了一款使用AHK开发的专门用来窃取用户凭证信息的恶意软件，这款恶意软件可以伪装成卡巴斯基反病毒软件，并通过受感染的USB设备来进行恶意软件传播。我们将其命名为Fauxpersky，接下来在这篇文章中我们将对这个恶意软件进行分析。

这个AHK键盘记录工具使用了一种比较直接的方法来实现自我复制和传播。初始化执行完成之后，键盘记录工具会收集目标系统中的驱动器信息，然后开始向这些驱动器进行自我复制，下面给出的是大致的感染过程。

收集可移动驱动器、重命名可移动驱动器、向可移动驱动器中复制文件。

这样一来，键盘记录工具就可以从一台主机设备中传播到其他连接到该主机的外部驱动器中了。如果键盘记录工具成功感染了一台外部驱动器，那么它将会按照自己的命名机制来对受感染驱动器进行重命名。

比如说，如果目标设备挂载了一个名叫”Pendrive”的8GB USB驱动器，并执行了键盘记录工具，那么恶意软件会将这个USB驱动器的名字改为”Pendrive 8GB (Secured by Kaspersky Internet Security 2017)”，而这也是其中一个可以直接识别的入侵威胁指标IoC。

参考链接：https://www.anquanke.com/post/id/103121

WannaCry恐怖故事还在继续上演：波音之后，下一个是谁？

周三波音公司遭受勒索软件攻击表明，WannaCry可能已经被重新开发和设计并开始在网络传播，它甚至可让最大的企业都陷入瘫痪状态。《西雅图时报》报道称，波音公司总工程师周三在公司范围发出紧急消息让全体员工“齐心协力”应对勒索攻击。而数小时后，WannaCry让这个航空巨头IT团队度过一个不舒服的下午。

波音公司在声明中写道：“很多关于恶意软件破坏的文章都被夸大且不准确。我们的网络安全运营中心发现少量的恶意软件入侵，它们影响着我们少数系统。目前我们已经采取补救措施，这不会影响我们的生产或交付。”

尽管波音公司试图摆脱被标记为“信息安全领域遭受的又一个灾难”，但WannaCry、或NotPetya或Badrabbit让大公司的技术变成数字废墟，可能只是时间问题。这几个月月来专家一直这么说--在Shadow Brokers发布美国国家安全局的精英级EternalBlue漏洞利用后。让我们一起来回顾一下：EternalBlue的工作原理是针对微软服务器消息块协议中过时的漏洞，该漏洞影响着很多不同版本的过时微软操作系统。WannaCry等攻击的有效性，部分归功于EternalBlue。

很多人预计在未来几年EternalBlue将被业余爱好者以及精明的攻击者利用，用于进行破坏性攻击到数据盗窃等各种活动。 前美国国防部信息保障主管现任Nehemiah Security公司副总裁鲍勃•汪戴尔（Bob Wandell）表示：“只要系统没有得到及时修复，EternalBlue就会存在并且可行。毕竟可加载到EternalBlue的有效载荷是无限的，也是恶意的。”

对于周三发生的事情，似乎证实了这种说法。波音公司可能不会是唯一一家见识WannyCry变体威力的公司。这里也再次说明修复的重要性，以及各种规模的企业其实都存在糟糕的网络健康问题，即未能及时修复所有漏洞，我们相信，这些问题依然会存在，历史也会继续重演。所以在这里我们想要再次重申：只要还把漏洞修复视为事后补救措施，基于NSA漏洞利用的勒索软件变体将会继续肆虐各国可经济的支柱，下一次，你不要说没有人警告过你。

参考链接：https://www.secrss.com/articles/1770

美网络司令部颁布最新“指挥”战略

近年来，随着网络空间外延的不断扩张，美国网络司令部与其2009年成立之初相比有了质的变化。该司令部“指挥愿景”的发布，标志着美网络空间领域作战和战略思维的重大变革，也将为全球数字安全和网络环境的稳定发展带去积极影响。前美国国防部网络政策计划和运营主管 Michael Sulmeyer 对美国政府近日公布的涉及网络安全的战略规划作出了积极评价。Michael Sulmeyer 表示，美政府已认识到了网络空间安全的重要性，新战略——《实现和维护网络空间优势：美国网络司令部指挥愿景》——为网络活动的有机运行规划出了一个路线图，并给出了相应的政策框架，以确保在网络空间领域的活动符合美国的国家利益。

美国网络司令部的新战略也涉及了如何防范和遏制他国侵蚀美国在网络空间这一领域绝对优势的相关内容。该新战略指出，在过去十年中网络空间领域的战略背景和作战环境发生了巨大的变化。美国网络司令部此次发布的新战略在这一基础上给出了一个全面的应对方案。新战略的有效实施需要美国政府和学术界大胆运用新思维，以规划出正确的组织结构、制定出高效的决策过程和能力提升路径。这些都为新的网络思维奠定了基础。

美国网络司令部战略背景

此次美国网络司令部制定的新战略对网络空间领域的内涵和外延做出了新的解释，颠覆了过去的固有论调。最重要的一点是，新战略指出了对手有意将网络空间领域的行动设置在武装侵略的门槛下，并在战略中明确了此类行动具有战略层面的效应。这种对于网络空间领域活动的认识颠覆了过去传统的将网络空间领域活动视为“黑客行为”的认识。关注“对抗性网络行动”新战略还强调了“对抗性网络行动”，指出该类行动是经过精心策划、旨在削弱美国在网络空间领域的能力并同时能避免美国做出反应的一类行动，并把这类行动与所谓“黑客”、“事件”及“网络攻击”区分开来。战略显示，“对抗性网络行动”会削弱美国在外交、经济和军事领域的实力，可能破坏美国社会意识形态。有别于入侵领土这类实际的威胁活动，网络行动开启了虚拟与现实世界的一个新纽带，网络行动可以在没有实际武装入侵的情况下对现实世界造成影响。网络安全与政府实际政权紧密联系。

新战略的行动计划

基于此前的经验，新战略将网络空间领域划归为行动范畴。网络空间的相互关联性导致了这一领域的持续变化，而持续的行动会对网络安全的防御和维护造成影响。网络空间领域的“安全性”也被重新定义为依靠夺取主动权来获得“持续的战术、行动和战略优势”。强调主动预测这份新战略将防御、复原和竞争整合在了一个大的行动框架内，强调主动预测美国在网络空间领域的薄弱环节，并通过防御性行动防止对手抓住弱点发动攻击。只有将各类网络行动整合在一起才能确保网络空间领域的安全和稳定。新战略中对于先期防御和竞争性行动的强调值得关注。

新战略的推行效果：给对手国家制造“攻击困难”

就当前形势来看，仍有许多问题亟待解决。新战略促使人们认识到网络空间内的行动与国家政策息息相关，但单单统一认识还不够，有关部门还应重新规划决策过程、行动机构和能力发展。新战略同时还给出了两个关键变量：时间和变化，即事物都是在不断的发展和变化之中。新战略简要地概述了——何时、何地、用什么手段、目的是什么这些问题，但这些问题如果不在一个与时俱进的政策框架内施行其效果也会大打折扣。美国核战略的调整对美国国家安全框架带来了深远影响。但目前美国网络司令部的新战略暂时起不到这么大的作用，新战略的提出仅仅是一个起点，概括地论述了美国应该如何保卫网络空间领域的安全稳定。70年来，美国战略司令部仍坚持举办年度核威慑关键战略的研讨会，网络空间领域的行动同样需要更深入的研究和探讨。在网络空间领域仍有许多工作要做。当前，美国的对手正在积极增强网络空间领域的优势。若新战略的推行会促使美国的对手国在对美国发起网络攻击时感觉到困难，那新战略的部分目的就已达成。

参考链接：https://www.easyaq.com/news/173100445.shtml

黑客事件

境外黑客组织“白象”3月上旬对国内发起攻击

微步在线近日捕获“白象”使用的多个诱饵文档，分别存放在fprii.net、ifenngnews.com和chinapolicyanalysis.org等该团伙注册的仿冒网站上，文档内容涉及“2018最新部队工资调整政策” （3月6日出现）、 “民政部公布一批非法社会组织” （3月14日生成）、“中华人民共和国监察法（草案）”（3月15日生成）、以及日本防卫研究所发布的2018年版《中国安全战略报告》（3月13日出现）等“两会”期间热点话题，具备较强的迷惑性和针对性。这批诱饵文档均利用了微软Office较新漏洞CVE-2017-8570，未及时安装补丁的用户一旦打开文档就会触发恶意代码，并被植入后门程序。

①样本流程概要：与2017年12月捕获的样本不同的是，此次样本较早期样本解密流程更加简洁，木马后门不在内存解密执行，而是落地后直接运行。

②Droper分析(qrat.exe)：a.Word文档被打开后，会通过触发漏洞释放并运行qrat.exe，样本为C#开发，并做了混淆以防止被分析。

③后门分析(microsoft_network.exe)    样本从编译时间来看是2018年1月23日，同样采用C#编写，也同样做了混淆，去掉混淆后发现该样本为远控木马。木马采用开源远控xRAT的源码编译，一直被“白象”团伙所使用。此次木马在功能能上相比去年12月份的样本，并没有什么功能性的变化，但是对配置文件选项进行了AES加密，并进行了Base64编码。

关联分析

通过微步在线追踪溯源平台（z.threatbook.cn）对此次涉及的恶意域名ifenngnews.com、chinapolicyanalysis.org关联发现，除datapeople-cn.com、sinamilnews.com、ustc-cn.org等大批我们此前已经掌握该团伙资产外，还发现了包括wipikedia.xyz、armynews.today等多个于2018年1月19日最新注册的可疑域名，从域名注册商、服务器信息等特点研判认为，这些域名仍为“白象”团伙所有。

参考链接：http://www.freebuf.com/articles/network/167254.html

印度电力公司遭遇黑客攻击，勒索 1 RS Core 或 1000 万卢比

上周，黑客攻占了印度 Uttar Haryana Bijli Vitran Nigam（UHBVN）电力公司的计算机系统，窃取了客户的账单数据。 攻击者对电力公司进行了勒索，索要一个 1 RS Core 或者 1000 万卢比才肯归还数据，1000 万卢比相当于 15 万美元。

据新印度快报报道，黑客在 3 月 21 日凌晨获得了计费系统的访问权，员工在 22 日到公司时，发现他们的电脑上闪烁着赎金信息，要求 1 个 RS Core 来恢复数据。电力公司正在通过日志以及其他来源回复数据。账单数据的丢失意味着电力公司无法对之前的客户用量进行计算。

参考链接：http://hackernews.cc/archives/22177

美零售业遭最惨黑客攻击 500万张银行卡信息被窃

海外网4月2日电计算机安全领域公司“双子座（Gemini）”发布消息称，一伙黑客窃取了500万张美国商店顾客的信用卡和借记卡信息，并将部分信息挂出售卖。实施犯罪的是黑客团伙“藏匿的小丑（Joker Stash）”，该团伙近日声称窃取了信息，并将12.5万条信息挂出售卖。据彭博社消息，北美零售巨头哈德森湾公司（Hudson’s Bay）当地时间4月1日证实，公司旗下包括世界顶级百货公司“萨克斯第五大道精品百货店(Saks Fifth Avenue)”、“罗德与泰勒（Lord&Taylor）”在内的几家商场共有超过500万张信用卡和借记卡信息被黑客盗取。

哈德森湾公司在新闻稿中表示，确定了这个问题，正在与执法部门合作进行调查。“一旦公司对事实有了更明确的了解, 会迅速通知客户, 并将提供那些受影响的人免费身份保护服务, 包括信用和网络监控。”哈德森湾公司还补充说，这些卡是用于商店内购买的卡,“没有迹象”表明网购所用的卡受到影响。“双子座（Gemini）”网络安全公司发现了这一漏洞, 并张贴了博客文章详细说明其范围，黑客集团把所获得的信用卡和借记卡的信息在暗网上出售。据“双子座”称, “这次黑客攻击是有史以来最严重，对零售公司最具破坏性的一次”。

根据该博客文章, 经过“初步分析”，黑客于2017年5月开始窃取信用卡的消费和数据情况，大多数受害的顾客居住在纽约州和新泽西州。据了解，这一违规行为可能影响到全国130多家“萨克斯”和“罗德与泰勒”门店。“双子座”称, 这些黑客因数据泄露臭名昭著, 影响到包括美国生鲜超市Whole Foods、快餐连锁店Chipotle、度假村Omni Hotels &Resorts，以及特朗普创办的连锁酒店在内的公司。

参考链接：https://www.t00ls.net/articles-45019.html

（来源：云天安全搜集整理互联网安全资讯）