ESET的研究人员近日发现黑客组织Winnti
Group编写的新恶意软件,该恶意软件用于在微软SQL
Server(MSSQL)系统上潜伏下来。

Linux:黑客键盘上的另一个入口

近日,美国网络司令部通过Twitter发布紧急预警称,伊朗黑客组织APT33仍在使用Microsoft
Outlook客户端的一个远程执行漏洞对美发起攻击。据报道,该远程执行漏洞为CVE-2017-11774,它允许攻击者逃离Outlook沙箱并在底层操作系统上运行恶意代码,达到完全控制客户端机器的目的。

澳门葡萄京官方网站 1

最近,安全公司ESET揭露了Linux后门木马Operation
Windigo可能攻击了全世界范围内2.5万台Unix服务器。照此,每日将近5万台个人电脑正遭受攻击。

澳门葡萄京官方网站 2

攻击者可以利用名为skip-2.0的新恶意工具,将后门植入到MSSQL Server
11和12服务器中,从而使他们能够使用所谓的“魔法密码”(magic
password)连接到服务器上的任何帐户,并隐藏活动、不被安全日志发现。

根据ESET,Windigo并没有利用Linux或OpenSSH中未被发现的弱点,而是需要手动安装。这意味着2.5万台服务器身份认证被破解,极有可能是通过远程,除非黑客已经进入数据中心,作为管理员身份查看每个服务器中的密码。

​​

ESET的研究员Mathieu
Tartare说:“该后门使攻击者不仅可以通过使用一个特殊密码,在受害者的MSSQL
Server上潜伏下来,还由于使用该密码后禁用了多个日志和事件发布机制,无法被检测出来。”

据Linux基金会最近发表的一份对服务器用户的调查表明,近年来从Windows向Linux迁移的服务器数量占了37%,而从各种Unix版本向Linux迁移的服务器数量占了31%.这些数据已经证实,Linux服务器已经在各种应用中确立了自己的地位,并在不断蚕食其他系统的市场份额。其中很多Linux服务器运行关键任务软件。所以不要幻想黑客会忽略掉Linux,虽然Windows服务器被认为更脆弱。

根据微软的漏洞公告,CVE-2017-11774影响Outlook 2010、Outlook
2013和Outlook 2016所有版本,包括全部主流Outlook版本。

Winnti Group的武器库日益庞大

Android系统安全吗?

更为可怕的是,该漏洞触发方式极为简单:目标用户只要打开Outlook邮箱就会中招。目前,该漏洞已被证实在实战中使用。针对该事件360安全大脑已第一时间进行了追踪溯源,并全球首家给出防护解决方案。

Winnti
Group是个笼统的术语,它是指黑客组织(赛门铁克追踪的Blackfly和Suckfly、CrowdStrike追踪的Wicked
Panda、微软追踪的BARIUM以及FireEye追踪的APT41),这些黑客组织共享自2011年前后以来就在使用的同一批恶意工具。

毫无疑问,每台Linux服务器中的数据价值远远大于黑客从Linux桌面所获得的。大部分Linux用户可能会认为,他们的数量太小,应该不会受到网络黑客的注意。但是不要忘了,Linux桌面还是很受欢迎,也是将来最受欢迎的形式,如市场占有率已经高达80%的移动设备。从手机到职能可穿戴设备,Android是Linux的一个衍生品。

微软Outlook客户端高危漏洞

卡巴斯基在大量受感染的游戏系统上发现了黑客的Winnti特洛伊木马,这个木马通过一款游戏的官方更新服务器来传播。

不幸的是,Android用户和谷歌似乎都相信Linux更安全的神话。谷歌声称Android作为一个沙箱实现,与系统的其余部分隔离,具有巨大的安全优势。但是当用户安装软件,他们通常会被迫选择:安装和接受应用程序的访问您的设备,如果不接受,推出安装。是的,这不是一个安全的模型。

已沦为国家级黑客组织“军火武器”

ESET的研究人员分析了这个新的后门后,还发现skip-2.0与其他Winnti
Group恶意软件、“尤其是PortReuse后门和ShadowPad后门”有着某些共同的特征。

谷歌甚至认为安全行业夸大Android的安全威胁是为了增加利润。谷歌在Android
4.2中引入一个恶意软件扫描,与来自第三方的安全软件展开竞争。但是谷歌承认上述的沙箱架构限制了安全软件的有效性。

CVE-2017-11774远程代码执行漏洞最早于2017年,由国外某安全公司发现并报告给微软。当年10月微软在补丁修复中已解决该问题。但由于许多政府及公司不会定期修补系统,同时攻击者不断更新攻击方式并被国家级黑客组织利用,导致它仍是一个可怕威胁!

澳门葡萄京官方网站 3

你的服务器并不安全

2018年7月,伊朗ATP33黑客组织利用该漏洞在Web服务器上部署后门,后来他们又将CVE-2017-11774漏洞运用到用户的收件箱中,通过这些方式,攻击者可以使用恶意软件感染用户系统。

澳门葡萄京官方网站 4

虽然Windigo没有袭击Android,但是攻击服务器就更糟了。显然收攻击的这些服务器的验证很脆弱,可能是因为管理员有一种安全的错觉,认为那些容易记住的密码根本不需要使用双因素身份验证或进行杀毒。管理员必须不惜一切代价保护服务器身份验证。

澳门葡萄京官方网站 5

Winnti Group的攻击手法和TTP(ESET)

根据ESET的研究,黑客利用根访问,所以建议管理员彻底重建服务器。这对大多数服务器管理员来说就像难以吞下的硬奶酪,但是这场事件在一定程度上也提醒了服务器管理员要摘掉对Linux安全的有色眼镜,真正地确保我们生活在安全世界。

WinReti黑客曾对一家知名的亚洲移动软件和硬件制造商的服务器发动了攻击,当时在攻击中使用了PortReuse这个模块化的Windows后门。

最近,安全公司ESET揭露了Linux后门木马Operation
Windigo可能攻击了全世界范围内2.5万台Unix服务器。照此,每日…

(在这里,不得不重点介绍下ATP33组织,这个曾开发出令人恐惧的Shamoon恶意软件的威胁组织。据介绍,该组织至少从2013年就已成立,自2016年年中以来,他们便以与石化生产相关的航空业和能源公司为攻击目标。从地域分布范围上讲,大多数目标在中东,其他目标在美国、韩国和欧洲。)

此外,PortReuse还是“一种网络植入程序,它将自己注入到已经在侦听网络端口的进程中,等待隐蔽的入站数据包触发恶意代码。”

在特朗普政府与伊朗之间的政治紧张局势持续加剧的当下,美国网络司令部竟通过Twitter帐户发文预警(Twitter帐户不会因为受到以经济动机为目的黑客攻击而发出警报,它只关注民族国家的敌人),并直接将此次攻击的恶意样本链接到旧的APT33恶意软件样本中,直指为伊朗蓄意所为。足见,该恶意软件可能已投入到针对美国实体的攻击中。

ShadowPad是该组织使用的另一个Winnti后门,曾在2017年用来发动攻击供应链,那次攻击影响了韩国网络连接解决方案制造商NetSarang,当时这个黑客组织成功地用后门感染了该公司的服务器管理软件。

就在两周前,美国国土安全部CISA机构也发布警告称,来自伊朗的网络活动有所增加,其目的是通过喷洒密码、伪造证书和鱼叉式网络钓鱼来传播清除数据。袭击的目标为美国的工业和政府机构。

这三个后门都使用同样的VMProtected启动器和该组织自行编写的恶意软件打包程序,而最重要的是,还跟与该威胁组织过去的攻击行动有关的另外几个工具有另外诸多相似之处。

严防国家级黑客组织进犯

MSSQL Server 11和12受到攻击

360安全大脑全球首家防御该漏洞攻击

一旦植入到已经中招的MSSQL服务器上,skip-2.0后门会继续通过sqllang.dll将其恶意代码注入到sqlserv.exe进程中,通过钩子(hook)把用于将身份验证记入日志的多个函数关联起来。

硝烟四起时,动荡已难安。战场上刀剑尚且无眼,更何况这看不见的网络战。微软Outlook客户端高危漏洞已引起业界广泛关注。伴随国际各家安全厂商与黑客针对CVE-2017-11774远程代码执行漏洞的推演,这势必是一场保卫全球的安全战役。因为,一旦漏洞被国家级“敌人”利用,那将给被攻击的国家、人民带来“毁灭级”损失。谁都不能独善其身,幸免遇难。

这让恶意软件得以绕过服务器的内置身份验证机制,那样一来,即使攻击者输入的帐户密码不匹配,也允许他们登录进去。

为此,为了捍卫全球安全,针对该事件360安全大脑第一时间进行了技术追踪溯源,并全球首家给出防护解决方案。请广大网络管理员尽快下载使用360安全卫士,及时保护服务器系统安全。

ESET说:“该函数的钩子(hook)检查用户提供的密码是否与魔法密码匹配,在这种情况下,原始函数不会被调用,钩子会返回0,即使没有提供正确的密码也允许连接。”

澳门葡萄京官方网站 6

Tartare补充道:“我们针对多个MSSQL
Server版本测试了skip-2.0,结果发现只有MSSQL Server
11和12存在使用特殊密码就能够成功登录这种情况。”

此外,360安全大脑也建议:

澳门葡萄京官方网站 7

1.请广大网络管理员尽快为Exchange邮件服务器安装补丁,预防此类攻击。

Skip-2.0注入(ESET)

2.使用Outlook的用户,也应该尽快为电脑安装补丁,预防此类攻击。

据ESET的研究人员从Censys获得的数据显示,虽然MSSQL Server
11和12不是最近发布的版本(分别在2012和2014年发布),但它们却是最常见的版本。

3.安装使用360安全卫士,可有效拦截该漏洞攻击,保护计算机安全。

ESET的研究小组总结道:“skip-2.0后门是Winnti
Group武器库中值得关注的新增武器,它与该组织已知臭名昭著的工具集有诸多相似之处,让攻击者得以在MSSQL
Server上永久潜伏下来。”

4.提高安全意识,为邮箱设置足够强度的独立密码并定期更新,关注邮箱安全动态,发现可疑登录行为及时核实处理。有条件的情况下,可开启多步验证。

“考虑到安装钩子需要管理员特权,必须在已经中招的MSSQL
Server上使用skip-2.0,才能永久潜伏下来,并保持不被察觉。”

5.不在公共场所,使用密码方式登录邮箱。使用过后,及时退出登录。谨慎使用公共场所的WiFi网络,谨防钓鱼攻击。

来源:云头条