概述 阿里云·云安全技术实验室近期通过恶意文本检测平台发现一起npm官方源投毒告警事件，经研究确认后已将该恶意包通知官方进行处理。 我们公布相关细节用于相关用户进行自查是否已经遭受到该恶意包的影响。 恶意包概览 该样本在npm官方的页面显示如下: 表面看起来与正常安装包无较大区别。 可以看到该样本最高周下载量是59次。 恶意代码分析 该恶意包会在安装时会赋予自身安装包内的恶意脚本可执行权限，并执行该恶意脚本。 该恶意脚本内容如下,该恶意脚本会启动反弹shell连接指定服务器地址，该服务器可以远程下发指令控制受害机器。 截至发稿，该反弹shell连接的ip地址仍处于存活状态: 关

Read More

概述 近日阿里云·云安全技术实验室发现通过恶意文本检测平台发现一起软件供应链告警事件，安全研究人员经过排查后发现有攻击嫌疑，并第一时间向官方通报，最终官方确认并移除该恶意包。 恶意包分析： 该恶意包与正常pip包venom名称极为相似，疑似模仿包名用于投毒行为，如果用户安装pip包手误敲错相关命令，则很有可能遭受攻击。 攻击脚本如下: 样本经过一定程度的混淆加密，解密关键信息后如下: 脚本会远程下载指定url数据, 并执行相关内容。 ​ 截止发稿，该url访问会返回指定字符串，猜测可能是远程服务器后台增加了某些验证限制。 经查询该域名ip地址和地址如下： 域名ip地址

Read More

阿里云·云安全技术实验室正式推出一款二进制函数符号识别引擎–Finger，用户可以通过IDA插件和python SDK两种方式，识别二进制程序中的库函数与常见的第三方函数，快速定位恶意代码，提高样本分析效率。 产品背景 应用程序静态编译后，代码体积膨胀了几十倍，然而真正的用户逻辑代码所占比例很低。下图仅是一个简单的测试程序，静态链接的函数数量约为动态链接函数数量的65倍。这在二进制恶意代码检测领域中十分常见，恶意代码与库代码杂糅在一起，极大地增加了安全研究人员的逆向分析难度，分析过程极为耗时。 1 2 3 4 5 6 #include int main(){

Read More

背景 SHC是一个将bash等脚本打包成二进制文件执行的工具，由于其执行脚本的方式不需要脚本文件落地，且在打包的二进制文件中加密脚本内容，在静态文件中没有脚本的痕迹，很多恶意文件利用该工具完成恶意行为，常规的恶意软件检测也难以判黑。 例如，一个SHC打包的挖矿程序样本: * MD5 ：6f2ad308cfca8ada83dddeff3550ff1b * SHA-256：bd8a77f63439dd7bc7e7da339ec4a9c097e5b316d42a0941b78b93a0bf664892 在VT上的查杀情况难以置信： 恶意脚本SHC化趋势及场景 正是由于目前查杀引擎对SH

Read More

背景 继七月份监测到某犯罪团伙利用混淆AutoIt脚本加载Globeimposter勒索病毒之后(Globeimposter勒索病毒新变种分析。阿里云安全近期又监测到两个攻击手法类似，但攻击载荷不同的恶意样本，样本A的攻击载荷为Remcos远控木马， 样本B的攻击载荷疑似CryptoBot窃密木马。初步判定属于同一犯罪团伙， 判定依据主要来源以下三个方面： * 所规避的用户名相同。 当计算机的用户名为DESKTOP-QO5QU33、NfZtFbPfH、tz和ELICZ时， 脚本会自动退出。 * AutoIt脚本所使用的混淆方法相同。 * 攻击者都对样本的编译时间进行了修改来对抗分

Read More

背景 Globeimposter勒索病毒家族从2017年出现，自问世以来一直比较活跃，相继出现过多次变种。最近阿里云云安全中心捕捉到Globeimposter勒索病毒又一新型变种，该变种借助混淆后的AutoIt脚本，通过Process Hollowing技术将勒索主程序注入到系统进程nslookup.exe中，意图绕过检测。 行为分析 恶意样本是一个7zsfx自解压程序，释放出Bonta.dot、Finestre.dot、Indicibili.dot和Mio.dot四个文件。随后创建Dai.exe.com和nslookup进程，扫描并加密系统中重要文件，新文件后缀为.Globeimposte

Read More

引言 2019年04月09日，微软发布Windows的补丁更新，修复了一个存在于Win32k组件中的提权漏洞。该漏洞影响了Windows 7、Windows8、Windows 10，以及Windows Server等多个系统版本，攻击者可利用此漏洞，在内核模式下执行任意代码，将一个低权限账户提升至管理员权限。该漏洞最早由阿里云安全团队捕获，2019年1月，阿里云安全中心监控到服务器上存在大量的异常行为，随后启动调查分析，最终确认了该事件过程中使用了未公开的0day漏洞，将该0day漏洞提交给微软，获得微软的确认并致谢。 事件分析 2019年01月28日，阿里云云安全中心发现一用户多台EC

Read More

来自互联网的攻击无处不在，根据阿里云平台监测数据显示超过90%以上的网络攻击是由僵尸网络、木马蠕虫发起的自动化攻击，而针对特定目标的攻击只占1%。阿里云在云平台安全层实现了整体默认防御，在针对平台客户的任一攻击源被识别后，都会共享到全全局防御系统中。本报告针对2018年Q2期间的云平台攻防状况进行统计、研究和分析，同时给出服务攻击面、威胁地域分布、漏洞攻击趋势以及漏洞利用手段基础攻防态势报告。方便云租户结合自身业务系统的安全弱点，有针对性地修复漏洞和防御黑客，降低资产被入侵风险。 阿里云发现，Q2季度网络攻击事件以获取服务器权限为目标的批量自动化攻击为主要威胁，针对WEB服务的攻击仍居于首位

Read More

背景 GlobeImposter勒索病毒家族从2017年出现，持续活跃到现在，先后出现过V1.0和V2.0两个版本。最近该勒索病毒又更新了，虽然其整体代码框架变化不大，只做了些局部修改，我们也勉强将其称为V3.0版本。该版本仍然采用RSA和AES两种加密算法的结合，病毒本身也未添加横向传播渗透的能力。 相较之前版本，该版本对RSA公钥和加密文件后缀采用了加密处理，且将加密文件的后缀改成.动物名称+4444的样子，如：.Horse4444，还会将中招用户的ID信息保存在C:\Users\public\路径下，文件名是其对应RSA公钥的SHA256的值。当加密完成后，除了之前已有的清除远程桌面登

Read More

概述 2018年9月1日，阿里云态势感知发布预警，近日利用ECShop全系列版本的远程代码执行漏洞进行批量化攻击量呈上升趋势。该漏洞利用简单且危害较大，黑客可通过WEB攻击直接获得服务器权限 。因此，阿里云安全专家提醒ECShop系统用户及时进行修复。 早在一个月前，阿里云态势感知就捕获到利用ECShop远程代码执行漏洞进行攻击的真实案例，由于当时该漏洞攻击量不大，阿里云安全团队在做好防御此类漏洞大规模利用攻击的同时，也在持续监控该漏洞的利用趋势。 本文对此漏洞的原理、漏洞攻击利用实例以及影响做了全面分析。在官方补丁没放出之前，建议受影响客户可参考文中的修复建议及时进行修复。使用阿里云W

Read More