首页
社区
课程
招聘
[原创]2020年9月威胁情报月报:勒索病毒本月有缓解迹象,挖矿木马、僵尸网络仍持续活跃
发表于: 2020-10-16 17:30 2584

[原创]2020年9月威胁情报月报:勒索病毒本月有缓解迹象,挖矿木马、僵尸网络仍持续活跃

2020-10-16 17:30
2584

一、威胁态势分析

20209月,腾讯安全大数据显示,恶意病毒家族活跃趋势比较稳定。

 

 

9最活跃的病毒家族top10为:

 

9月活跃的病毒家族影响的地区分布如下图所示,依然是经济活跃地区的病毒木马威胁比其他地区要严重。

 

9月上旬勒索病毒感染趋势达到本月峰值,主要原因为Crysis(Phobos)SodinokibiStopNemtyAvaddon等家族活跃导致。9月中旬开始勒索整体感染趋势有所下降逐渐趋于平稳,主要为各勒索家族活跃度降低导致。但同时GlobeImposter家族活跃度有所上升,该家族依然为通过RDP弱口令传播,通过观察部分受害者被攻击环境可知,攻击者在早期爆破成功后并不立即实施加密勒索,通过留下一个后门远程账户,经过潜伏期尝试横向移动对该系统充分利用后,再使用后门账户远程登录投毒。

 


9月初借助Muhstik僵尸网络传播的门罗币挖矿木马感染数千台Linux服务器,导致挖矿木马传播趋势上涨;月末发现的新型挖矿木马家族MrbMiner通过SQL Server服务器弱口令爆破入侵,该木马会在Windows系统安装后门账户以便再次入侵,并且会监测任务管理器进程,当用户启动“任务管理器”进程查看系统时,挖矿进程会立刻退出,并删除相关文件,具有很强的反检测能力。


二、情报分

(一) 个人电脑安全威胁情报

1. 装机工具老毛桃携带木马病毒 卸载安全软件进行恶意推广

 

国内安全研究人员发现,使用老毛桃制作的PE系统中被植入了病毒,当用户使用该PE系统时,即会执行病毒模块,删除多款主流安全软件,篡改用户浏览器,锁定主页,并通过PE环境创建开机启动项,在用户正常开机时,推装其他软件。

 

2. “钓鱼客”瞄准网络热游,玩家氪肝之余小心沦为“待宰肥羊”

国内安全团队监测到一批恶意钓鱼样本正在有组织的小规模投放测试,该恶意软件成功运行后会在用户电脑上建立后门,用户电脑沦为木马团伙手中的肉鸡。木马团伙混进游戏玩家交流社区,将钓鱼木马伪装成与游戏有关的文件名,通过社群共享传播。

 

3.三个月时间,深入挖掘一条涉案金额上亿的黑色诈骗产业链

 

作者于202018日开始编写,历时3个月。而事实上,作者在四年前,就知道有这么一条黑色产业链,四年后,再次看到这条黑色产业链时,惊呆了,发现它变的越加庞大,就算是现在,也只是看见了一条肥硕的腿部。这是一条从利用木马病毒诈骗到网络刷单,匪夷所思的钓鱼诈骗产业链。

https://www.freebuf.com/articles/network/249655.html

 

(二) 企业安全威胁情报

1. 跨平台挖矿木马MrbMiner已控制上千台服务器

https://mp.weixin.qq.com/s/oq3z6rUcPfmMi0-KHQ3wwQ

 

2. Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿

https://mp.weixin.qq.com/s/wZvnq6gVnEdGSH6f6oG8MA

 

3. “银行窃贼”转型“病毒分销商”,Emotet木马加持横向渗透掀起安全危机!

https://mp.weixin.qq.com/s/ukqtV2VulUXw1Ha4-u0qiw

 

4. 勒索团伙追踪:Avaddon的发展历程

https://mp.weixin.qq.com/s/kFZq-e6iWdV04YaIuY8iGA

 

5. DoflooAESDDoS)僵尸网络正批量扫描、攻击Docker容器

https://mp.weixin.qq.com/s/ceNfVRneGGIkbFOqItU11g

 

6. 腾讯云防火墙成功阻断BuleHero挖矿蠕虫攻击

https://mp.weixin.qq.com/s/3dfWy7EGfGRMgES0Z8xlpg

 

(三) 漏洞情报

20209安全漏洞增长趋势:

 

 

9月值得企业重点关注的高危漏洞包括:

CVE-2020-1472 NetLogon特权提升漏洞
CVE-2020-14386 Linux内核提权漏洞
CVE-2020-5421 Spring Framework反射型文件下载漏洞

CVE-2020-11974 Apache DolphinScheduler远程执行代码漏洞
CVE-2020-13922 Apache DolphinScheduler提权漏洞
CVE-2020-13948 Apache Superset远程执行代码漏洞
CVE-2020-16875 Microsoft Exchange远程执行代码漏洞
phpStudy nginx 解析漏洞

 

腾讯安全旗下的T-Sec云防火墙、T-Sec主机安全(云镜)、T-Sec高级威胁检测系统(御界)、T-Sec漏洞扫描服务等安全产品已针对上述漏洞进行响应,已及时升级漏洞检测和防御方案。


三、主要威胁情报事件摘要:

1. 跨平台挖矿木马MrbMiner已控制上千台服务器

发布时间:202091

情报来源:https://mp.weixin.qq.com/s/oq3z6rUcPfmMi0-KHQ3wwQ

 

情报摘要:

腾讯安全威胁情报中心检测到新型挖矿木马家族MrbMiner,黑客通过SQL Server服务器弱口令爆破入侵,爆破成功后在目标系统释放C#语言编写的木马assm.exe,进一步通过该木马与C2服务器通信,然后下载门罗币挖矿木马并维持挖矿进程。MrbMiner挖矿木马会监测任务管理器进程,当用户启动“任务管理器”进程查看系统时,挖矿进程会立刻退出,并删除相关文件。

 

腾讯安全专家在MrbMiner挖矿木马的FTP服务器上还发现了基于Linux系统和ARM系统的挖矿木马文件,推测MrbMiner已具备跨平台攻击能力。根据目前掌握的威胁情报数据,MrbMiner挖矿木马已控制上千台服务器组网挖矿。

 

2. Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿

发布时间:2020910

情报来源:https://mp.weixin.qq.com/s/wZvnq6gVnEdGSH6f6oG8MA

 

情报摘要:

腾讯安全威胁情报中心检测到Mykings挖矿僵尸网络变种木马,更新后的Mykings会在被感染系统安装开源远程控制木马PcShare,对受害电脑进行远程控制:可进行操作文件、服务、注册表、进程、窗口等多种资源,并且可以下载和执行指定的程序。

 

Mykings僵尸网络木马还会关闭Windows Defender、检测卸载常见杀毒软件;卸载竞品挖矿木马和旧版挖矿木马;下载“暗云”木马感染硬盘主引导记录(MBR)实现长期驻留;通过计划任务、添加启动项等实现开机自动运行等行为。根据门罗币钱包算力1000KH/s进行推测,Mykings僵尸网络目前已控制超过5万台电脑进行挖矿作业。

 

3. “银行窃贼”转型“病毒分销商”,Emotet木马加持横向渗透掀起安全危机!

发布时间:202093

情报来源:https://mp.weixin.qq.com/s/ukqtV2VulUXw1Ha4-u0qiw

 

情报摘要:

因窃取银行登录凭据而臭名昭著的Emotet木马,现在开始通过创建远程服务的手法进行横向渗透,成为了分发QakbotTrickBot等其他恶意软件的Loader

 

国内安全研究团队对该木马进行溯源并深入分析后,发现该木马作者正在利用以“新型冠状病毒”疫情为话题的钓鱼邮件进行传播,当木马程序被启动后,最新的Emotet变种通过下发Qbot进行横向渗透。

 

4. 勒索团伙追踪:Avaddon的发展历程

发布时间:202099

情报来源:https://mp.weixin.qq.com/s/kFZq-e6iWdV04YaIuY8iGA

 

情报摘要:

截至9月初,Avaddon勒索团伙已成功攻击2家美国企业和1家美国院校,并在勒索未果后,在暗网上公开其敏感文件。通过情报还发现,Avaddon勒索团伙的攻击目标亦包含中国,已有小部分国内企业受到影响,通过梳理新型勒索团伙Avaddon的发展历程,并分析其在国内的影响情况,以帮助大家更好的了解和防范此勒索团伙。

 

5. DoflooAESDDoS)僵尸网络正批量扫描、攻击Docker容器

发布时间:2020917

情报来源:https://mp.weixin.qq.com/s/ceNfVRneGGIkbFOqItU11g

 

情报摘要:

腾讯安全威胁情报中心检测到DoflooAESDDoS)僵尸网络正批量扫描和攻击Docker容器。部分云主机上部署的Docker容器没有针对远程访问做安全认证,存在Remote API允许未授权使用漏洞且暴露在公网,导致黑客通过漏洞入侵并植入Dofloo僵尸网络木马。

 

Docker作为开源的引擎可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器,逐渐得到广泛应用。开发者在部署Docker时未对相关服务进行正确合理的配置导致其容易成为黑客入侵的路径之一。

 

6. 腾讯云防火墙成功阻断BuleHero挖矿蠕虫攻击

发布时间:2020927

情报来源:https://mp.weixin.qq.com/s/3dfWy7EGfGRMgES0Z8xlpg

 

情报摘要:

腾讯安全威胁情报中心研究人员在日常巡检中发现,有攻击者利用Apache Solr远程代码执行漏洞(CVE-2019-0193)对某客户进行攻击,由于客户部署的腾讯云防火墙已对该类型攻击进行识别并设置为“阻断”,该攻击未对客户资产造成损失。

 

进一步分析后发现,此次攻击属于BuleHero挖矿蠕虫病毒,且该变种版本新增了SMBGhostCVE-2020-0796)漏洞利用代码。

 

四、腾讯安全威胁情报赋能产品清单

腾讯安全系列安全产品对当月主要威胁情报的响应情况:


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//