阿里云云安全中心捕获Win32k组件0day

引言 2019年04月09日,微软发布Windows的补丁更新,修复了一个存在于Win32k组件中的提权漏洞。该漏洞影响了Windows 7、Windows8、Windows 10,以及Windows Server等多个系统版本,攻击者可利用此漏洞,在内核模式下执行任意代码,将一个低权限账户提升至管理员权限。该漏洞最早由阿里云安全团队捕获,2019年1月,阿里云安全中心监控到服务器上存在大量的异常行为,随后启动调查分析,最终确认了该事件过程中使用了未公开的0day漏洞,将该0day漏洞提交给微软,获得微软的确认并致谢。 事件分析 2019年01月28日,阿里云云安全中心发现一用户多台EC

Read More

阿里云Q2互联网威胁攻击分析报告

来自互联网的攻击无处不在,根据阿里云平台监测数据显示超过90%以上的网络攻击是由僵尸网络、木马蠕虫发起的自动化攻击,而针对特定目标的攻击只占1%。阿里云在云平台安全层实现了整体默认防御,在针对平台客户的任一攻击源被识别后,都会共享到全全局防御系统中。本报告针对2018年Q2期间的云平台攻防状况进行统计、研究和分析,同时给出服务攻击面、威胁地域分布、漏洞攻击趋势以及漏洞利用手段基础攻防态势报告。方便云租户结合自身业务系统的安全弱点,有针对性地修复漏洞和防御黑客,降低资产被入侵风险。 阿里云发现,Q2季度网络攻击事件以获取服务器权限为目标的批量自动化攻击为主要威胁,针对WEB服务的攻击仍居于首位

Read More

深度解析勒索病毒GlobeImposter3.0变种 加解密流程全曝光

背景 GlobeImposter勒索病毒家族从2017年出现,持续活跃到现在,先后出现过V1.0和V2.0两个版本。最近该勒索病毒又更新了,虽然其整体代码框架变化不大,只做了些局部修改,我们也勉强将其称为V3.0版本。该版本仍然采用RSA和AES两种加密算法的结合,病毒本身也未添加横向传播渗透的能力。 相较之前版本,该版本对RSA公钥和加密文件后缀采用了加密处理,且将加密文件的后缀改成.动物名称+4444的样子,如:.Horse4444,还会将中招用户的ID信息保存在C:\Users\public\路径下,文件名是其对应RSA公钥的SHA256的值。当加密完成后,除了之前已有的清除远程桌面登

Read More

预警:ECShop全系列版本远程代码执行高危漏洞 阿里云WAF已可防御

概述 2018年9月1日,阿里云态势感知发布预警,近日利用ECShop全系列版本的远程代码执行漏洞进行批量化攻击量呈上升趋势。该漏洞利用简单且危害较大,黑客可通过WEB攻击直接获得服务器权限 。因此,阿里云安全专家提醒ECShop系统用户及时进行修复。 早在一个月前,阿里云态势感知就捕获到利用ECShop远程代码执行漏洞进行攻击的真实案例,由于当时该漏洞攻击量不大,阿里云安全团队在做好防御此类漏洞大规模利用攻击的同时,也在持续监控该漏洞的利用趋势。 本文对此漏洞的原理、漏洞攻击利用实例以及影响做了全面分析。在官方补丁没放出之前,建议受影响客户可参考文中的修复建议及时进行修复。使用阿里云W

Read More

云控挖矿木马分析

一、概述 随着币圈市场上各种币的层出不穷,挖矿黑产也”蓬勃发展”,为黑客们带来不菲的收益。导致挖矿类木马如”雨后春笋”般涌现,且植入手法各异。从之前的linux上sh脚本化,或者直接配置开源挖矿程序挖矿,逐步演变,到现在整个流程一体化。 阿里云态势感知监控到一类文件名类似xxxx.dat的挖矿木马。该挖矿木马配置灵活,吸取了远控发布上线地址的精髓,采用了云控,且四种不同的方式来下载矿机。除此之外,该挖矿木马还能主动监测中招机器是否支持显卡挖矿,若支持GPU挖矿,则下载显卡挖矿矿机挖矿。否则下载另外一种矿机,采用CPU进行挖矿。另外其下载的矿机还分别支持X86和X64两种系统。由于该挖矿木马整

Read More

中国香港地区 DDoS-botnet 分析报告

一、概述 近期阿里云态势感知发现一起中控位于中国香港地区的DDoS恶意攻击事件,通过追踪溯源发现,该DDoS木马是XorDDoS-botnet的新变种,中控域名为:jun6.f3322.net,中控服务器IP是位于中国香港的118.184.43.7。从2017年11月份开始在互联网上活动,持续至今。该木马通过爆破的方式、以及JAVA Struts漏洞来抓取网上肉鸡,然后通过添加自启动服务,和安装RootKit驱动的方式以达到常驻肉鸡电脑。通过与中控服务器通信不断进行更新迭代,而且时刻准备着接受黑客的攻击指令,对国内外的许多用户进行DDoS攻击。 基于阿里云态势感知的大数据平台,我们对该DDo

Read More

Drupal CVE-2018-7600 漏洞利用和攻击

背景介绍 2018年3月28日,Drupal Security Team官方发布了一个重要的安全公告,宣称Drupal 6,7,8等多个子版本存在远程代码执行漏洞,攻击者可以利用该漏洞攻击Drupal系统的网站,执行恶意代码,最后完全控制被攻击的网站,该漏洞就是:CVE-2018-7600。 此消息一出,蠢蠢欲动的黑客们立马如天降尚方宝剑,都在暗处磨刀霍霍。 阿里云安全技术实验室也在第一时间采取了安全防御行动,统计发现云上有将近上万个Drupal系统的网站,其中Drupal系统的7.x版本占比56%左右,8.x版本的系统占比23.5%,这些版本都是该漏洞的重灾区。如果黑客对这些网站发起

Read More

JbossMiner 挖矿蠕虫分析

前言 从2013年的诞生,到2016爆发,挖矿(MiningCryptocurrency) 的高回报率,使其成为了一把双刃剑。据外媒去年的统计,比特币的算力(Hash Rate)已在半年内翻了一翻。 当比特币全网算力已经全面进入P算力时代,也就意味着需要有相应计算能力的设备高速运转,不间断地暴力验证和工作,来支撑矿工们的“野心”。 自2017年11月以来,阿里云安全监控中心成功捕获到一系列的同源挖矿事件,被感染的主机中发现了名为F-Scrack-Jexboss的恶意文件,用于执行挖矿任务,并对外扫描扩散。本次受害主机以Jboss服务为主,我们将其命名为“JbossMiner”。 通过监控

Read More