Bleeping Computer報導了新的Megacortex勒索軟體更改Windows密碼，威脅要發佈數據…

發現了新版本的MegaCortex勒索軟體，不僅可以加密您的文件，而且現在可以更改已登錄用戶的密碼，並威脅說如果受害者不支付贖金就可以發佈受害者的文件。

對於不熟悉MegaCortex的用戶，它是通過木馬（例如Emotet）提供的網

路訪問安裝的定向勒索軟體。一旦MegaCortex參與者獲得了訪問權，他們就可以通過活動目錄控制器或後利用套件將勒索軟體推送到網路上的電腦。

MegaCortex新版本中的重大更改

在由MalwareHunterTeam發現，由Vitali Kremez反向工程，並由BleepingComputer進一步分析的勒索軟體的新樣本中，我們看到了MegaCortex的新版本，該版本與以前的變體相比有很大的變化。

受害者看到的最明顯的變化是勒索軟體正在使用新的.m3g4c0rtx 的擴展名，如下所示。

此外，MegaCortex將在加密的電腦上配置的法律聲明，以便在用戶登錄之前顯示帶有電子郵件聯繫人的基本“已被MegaCortex鎖定”勒索消息。

當執行主MegaCortex啟動器時，它將啟動兩個DLL文件和三個CMD腳本到C：\ Windows \ Temp。目前，此發射器已通過Sectigo證書籤署給名為“ MURSA PTY LTD”的澳洲公司。

這些CMD文件將執行各種命令，以刪除卷影副本，使用Cipher命令擦除C：\驅動器上的所有可用空間，設置法律聲明，然後清除所有用於加密電腦的文件。

Kremez在對話中告訴BleepingComputer，這兩個DLL文件用於加密電腦上的文件。一個DLL文件是一個文件迭代器，它查找要加密的文件，而另一個DLL將用於加密文件。

這些DLL不會注入到任何進程中，而是通過Rundll32.exe運作。

完成後，受害者將在桌面上找到贖金記錄，標題為！–！_ README _！-!. rtf

經過進一步分析，我們確定至少有一種威脅是真實的。勒索軟體確實更改了受害者Windows帳戶的密碼。

MegaCortex更改受害者的Windows密碼

對於勒索軟體開發人員來說，為了嚇受害者支付錢財而製造沒有進行的威脅並不少見。

因此，當我們看到贖金通知書指出受害者的憑證已被更改時，我們將其駁回。

“您的所有用戶憑據已更改，並且您的文件已加密。”

測試勒索軟體並重新啟動加密的電腦後，我發現無法登錄我的帳戶。

Kremez對代碼進行的進一步分析證實，MegaCortex確實在更改受害者Windows帳戶的密碼。

它通過在執行勒索軟體時執行net user命令來實現。

這也解釋了為什麼攻擊者添加了一條法律提示，該提示在登錄提示處顯示，因為用戶將不再能夠登錄以存取他們的桌面。

威脅要發佈受害者的數據

除了已證實的更改用戶憑據的聲明外，攻擊者還更改了贖金記錄以聲明受害者的數據已複製到安全位置。

然後，他們威脅說，如果受害者不支付贖金，則必須公開此數據。

“我們還將您的數據下載到了安全的位置。不幸的是，如果我們未達成協議，我們別無選擇，只能將這些數據公開。

交易完成後，我們已下載的所有數據副本將被刪除。”

尚不確定攻擊者是否確實複製了受害者的文件，但是不應

打發這種威脅，受害者可能希望確認攻擊者與他們進行通訊時確實擁有他們所說的文件。

但是，如果MegaCortex參與者實際上在複製數據，受害者現在將不得不將這些攻擊視為未來的數據洩露，而不僅僅是勒索軟體感染。

這最終將為這些類型的攻擊增加一層全新的複雜性和風險。

更新11/7/19： Sectigo告訴BleepingComputer，他們已於美國東部時間11月5日下午4:20吊銷了該惡意軟體使用的證書。

Hashes：

ca0d1e770ca8b36f6945a707be7ff1588c3df2fd47031aa471792a1480b8dd53 [Launcher]

5ff14746232a1d17e44c7d095e2ec15ede4bd01f35ae72cc36c2596274327af9 [DLL]

e362d6217aff55572dc79158fae0ac729f52c1fc5356af4612890b9bd84fbcde [DLL]

關聯文件：

!-!_README_!-!.rtf

贖金文字：

新的Web緩存系統中毒攻擊, 使用CDN(內容傳遞網路)的站點…

有關新的Web緩存中毒攻擊的詳細信息已經出現，這些攻擊可用於拒絕用戶訪問通過內容傳遞網路（CDN）分發的資源。

該新方法名為“緩存中毒拒絕服務（CPDoS）”，它具有多種變體，可以通過發送帶有格式錯誤的標頭的HTTP請求來工作。

通過緩存服務器進行DoS

CDN具有通過緩存客戶端經常請求的資源來減少使用其服務的原始伺服器上的通信量的特性。這樣做的直接效果是提高了性能。

CDN體系結構中的緩存系統通常分散在較大的地理區域中，以實現更好的分發，它存儲源伺服器中資源的最新版本，並在客戶端請求時將其交付給客戶端。

這些中間系統處理請求並將其轉發到目的地，等待回應和資源的新版本（如果存在）。使用標識新變體的緩存鍵可以確定資源的新鮮度。

CPDoS在CDN的中間緩存系統級別工作，該緩存系統接收並存儲由錯誤的HTTP請求標頭引起的錯誤頁面。

結果，嘗試訪問相同資源的用戶將收到緩存的錯誤頁面，因為這是原始伺服器在請求後返回的帶有錯誤標頭的內容。

攻擊的變化

Cologne大學應用科學和德國漢堡大學的Hoai Viet Nguyen，Luigi Lo Iacono和Hannes Federrath描述了CPDoS攻擊的三種變化：

HTTP標頭超大Header Oversize（HHO）

HTTP元字符Meta Character（HMC）

HTTP方法覆蓋Method Override（HMO）

使用HHO類型的CPDoS攻擊，威脅參與者會利用為HTTP請求標頭設置的大小限制中間系統和Web伺服器。

如果緩存系統接受的請求標頭大小大於原始伺服器定義的請求標頭大小，則攻擊者可以使用超大請求密鑰或多個標頭來製作請求。

在這種情況下，緩存將轉發帶有多個標頭的請求，並且網

路伺服器將阻止該請求，並返回一個400 Bad Request錯誤頁面，該頁面將被緩存。以後對相同資源的請求將獲得錯誤頁面。

為了更好地說明這種情況，研究人員製作了一個視頻，目標是託管在Amazon CloudFront上的應用程式。

在攻擊過程中，錯誤頁面將有選擇地替換資源，直到整個網頁都不可用為止。

HTTP元字符（HMC），CPDoS攻擊的第二種變體與HHO類似，但利用了有害的元字符。這些是任何“控製字符，例如中斷/回車符（‘\ n）‘，換行符（‘\ r’）或鈴聲（‘\ a’）”。

再次，高速緩存系統執行其工作並轉發從客戶端收到的請求。當它到達源伺服器時，它可能被分類為惡意程式，並生成一條錯誤消息，該消息被緩存並呈現給客戶端而不是所請求的資源。

該方法超越了攻擊（HMO），這是CPDoS的第三種變體，它從僅支持GET和POST HTTP請求方法的中間系統（例如代理，負載平衡器，緩存，防火牆）中獲利。

這轉化為阻止其他HTTP請求方法。一個提供Web應用程式指示信息以替換標頭中支持的HTTP方法的Web框架允許繞過安全策略並提供不同的安全策略，例如DELETE。

在上圖中，GET請求被覆蓋，原始伺服器上的Web應用將其解釋為POST，並返回相應的回應。

“讓我們假設目標Web應用程式未對/index.html上的POST實現任何業務邏輯。在這種情況下，諸如Play Framework 1之類的Web框架會 返回一條錯誤消息，狀態碼為404 Not Found。”

結果是該錯誤消息被緩存並用於/index.html資源的後續有效GET請求。

下面的視頻演示了CPDoS攻擊的這種變體，它使用Postman  工具測試Web服務來阻止對目標網站主頁的訪問。

影響深遠

CDN在較大的地理位置上運行，CPDoS攻擊生成的錯誤頁面可以到達多個緩存伺服器位置。

但是，研究人員發現，並非所有邊緣伺服器都受到此威脅的影響，並且某些客戶端仍將從原始服務器接收有效頁面。

在測試中，他們使用了TurboBytes Pulse（全局DNS，HTTP和traceroute測試工具）和網站速度測量服務。

針對同一國家德國（法蘭克福）和（科隆）的目標發起的攻擊影響了整個歐洲和亞洲某些地區的緩存伺服器。

解決問題

這種DoS攻擊的標頭超大（HHO）和元字符（HHM）變體是可能的，因為它與標準HTTP實現有所不同，默認情況下，標準HTTP實現不允許存儲包含錯誤代碼的回應。

“ Web緩存標準只允許緩存錯誤代碼‘404 Not Found’，‘405 Method Not Allowed’，‘410 Gone’和‘501 Not Implemented’，”研究人員在CPDoS的網站上寫道。

阻止DoS受到這些攻擊的最簡單方法是遵守HTTP標準並僅緩存上面定義的錯誤頁面。

但是，由於內容提供者使用更通用的狀態代碼，因此使用不適當的狀態代碼來處理錯誤也會啟用這些攻擊。例如，“ 400錯誤請求”用於聲明過大的標頭。正確的是“ 431請求標頭字段太大”，研究人員分析的任何系統都沒有緩存它。

針對HHO和HHM CPDoS變體的全面解決方案是將錯誤頁面完全排除在緩存之外。

保護措施還包括在緩存前面設置Web應用程序防火牆（WAF），以捕獲試圖到達原始服務器的惡意內容。

存在於多個CDN上的問題

從三位學者進行的測試來看，亞馬遜的CloudFront CDN似乎最容易受到CPDoS威脅。

在研究人員測試的25個流量服務器和Web框架中，只有其中三個的HTTP實施不受CPDoS攻擊：Apache TS，Google Cloud Storage和Squid。

下表顯示了此類Web緩存系統和HTTP實施的組合受此類拒絕服務的影響。

已將問題報告給受影響的各方，其中一些人發布了補丁或以其他式糾正了它們。

Microsoft更新了IIS Server的修復程式，並於6月發布了有關漏洞的詳細信息（CVE-2019-0941）。Play Framework還在1.5.3和1.4.6版本中針對HMO方法修補了其產品。

但是，並非所有供應商的反應都相同。與Flask開發人員進行了多次聯繫，但沒有回复，並且對CPDoS的彈性尚不清楚。

Amazon的安全團隊承認CloudFront的弱點，並在default的情況下停止使用狀態碼“ 400 Bad Request”緩存錯誤頁面。但是，研究人員說，溝通主要是一種方式，因為他們從未收到有關緩解進度的最新信息。

Hoai Viet Nguyen，Luigi Lo Iacono和Hannes Federrath在《您的緩存已下降：緩存中毒的拒絕服務攻擊》一文中詳細介紹了這種Web緩存中毒攻擊及其變化。

他們將在11月14日於倫敦舉行的第26屆ACM Conference on Computer and Communications Security（CCS）會議上發表該論文。

更新[10/23/2019]：  CloudFlare回應BleepingComputer的評論請求說，它為影響其係統的CPDoS方法增加了緩解措施。

為了與HTTP方法覆蓋（HMO）對抗，該公司將特殊標頭添加到了存在這些標頭的緩存鍵中。“這確保了使用標頭發出的請求不會毒化沒有它們的請求的緩存內容。”

對於其他兩種方法（標頭超大（HHO）和元字符（HMC）），CloudFlare的系統不會緩存“ 400錯誤請求”頁面。

公司代表告訴BleepingComputer：“我們還沒有發現使用本文所述漏洞的大規模攻擊方法。”

Akamai今天發表了一篇文章，  說他們的緩存系統遵循標準的HTTP實施，並且不受CPDoS攻擊方法的影響。

但是，可以實現非標準配置，並允許緩存錯誤消息。該公司建議其客戶檢查設置的自定義是否會使他們的網站容易受到攻擊。

Source: http://spr.ly/60161yiAK

雲端安全和風險緩解

 

雲端確實提供了它的優勢，但與任何大規模部署一樣，雲端可以提供一些無法預料的挑戰。雲端只是“別人的數據中心”的概念一直是一個令人畏縮的想法，因為這想法是假設安全責任的轉移，因為“別人會照顧它”。

 

是的，雲端系統，網路和應用程式序並非實際位於您的控制範圍內，而是安全責任和緩解風險。雲端基礎架構提供商可以在您設置環境的方式，您在環境中放置的內容，如何保護數據以及如何監控環境方面實現大量控制。在整個環境中管理風險並與現有安全框架保持一致。

隱私和風險

隨著GDPR和其他州的“姐妹”政策例如在Arizona，Colorado, California和其他組織在保護雲端中的數據方面面臨著越來越高的要求。它並不像在數據中心部署資料外洩防護（DLP）那麼簡單，因為。您現在有一堆不再由你擁有的服務，系統和基礎架構，數據中心已變得不完整的, 但您仍需要可見性和控制權。

 

共享或交換信息的雲端服務和基礎架構也變得難以管理：誰有服務層級協議(SLA)？是否單一平台可以監控一切？DevOps使企業採用微分段和調整防火牆規則變更管理流程。此外，無伺服器計算通過允許開發人員運行代碼而無需擔心基礎架構和平台，為組織提供了降低成本和提高工作效率的方法。然而，如果沒有處理虛擬私有雲和工作量負載的部署，事情就會很快失控，您就會開始看到從一個環境洩漏的數據，就像您在另一個環境中獲得了一個安全級別一樣。

緩解

可以採取幾個步驟來幫助降低組織在雲端中的數據風險。

 

1. 設計對齊。首先，將您的雲端環境與網路安全框架保持一致。組織遷移到雲端，他們使應用安全控制於落地部署數據中心，這些數據中心隨著時間的推移而不斷發展和變強。此外，組織可以放寬廣泛使用SaaS應用程式上的安全顯微鏡。但即使使用這些合法的業務應用程式，如果沒有正確的可見性和控制權，數據最終可能會被洩露。雲端提供商技術與網路安全框架和業務運營程式保持一致，可以實現雲端平台的高度安全，優化和更高效的實施，從而提供更好的結果和成功的部署。

 2.請隨便一點，就像在自己家一樣。應該像對待LAN和數據中心一樣對待雲端系統網路。例如Amazon的共同責任模式，概述Amazon安全責任的終結，並開始履行您的安全責任。雖然存在計算層的威脅，正如我們在Meltdown，Foreshadow和Spectre中看到的那樣，最近的雲數據洩露已經顯示出組織安全責任區域的崩潰，即操作系統安全性，數據加密和訪問控制。如果您的組織具有管理服務器配置，漏洞管理，修補，IAM，加密，分段，防火牆規則，應用程式開發和監視的標準，請確保這些標準適用於雲端服務並定期進行審計。第三方對雲端基礎架構體系結構的常規評估可以像審核LAN和WAN一樣有效，以獲得最佳安全實踐。

3. 停止“晚上偷偷溜出去”。不久之前，您會發現組織正在努力與員工建立不安全的無線接入點，以便在日常工作中獲得更大的靈活性和效率。暱稱是“影子IT”，業務部門避免讓IT和安全性涉及他們正在做的事情，以便他們能夠更快地行動。快進到今天 – 提供惡意檢測和入侵防禦系統（IPS）功能的無線控制器幫助了這項活動。通過雲端，員工可以根據需要設置雲端存儲帳戶，無伺服器計算環境和虛擬專用網路，以避免冗長和繁瑣的變更控製程式，降低成本並獲得類似的靈活性和效率。通過重新架構傳統網路，重新調整數十年的流程和程式。

4. 密切關注。網路安全運營中心（CSOC）不再僅僅關注落地網路和數據中心。SOC使用的運營監控程式，威脅搜尋，情報和事件回應也適用於組織數據所在的雲端環境。監控公司數據可能駐留的SaaS應用程式具有挑戰性，但可以使用有效的端點安全性以及雲端訪問解決方案（CASB，代理和其他）的監控來完成。對於無伺服器環境，根據您的CSOC要求，這可能意味著應用第三方監控平台或解決方案超出雲端提供商提供的範圍。在所有情況下，事件記錄和觸發器都需要反饋到CSOC以與落地事件數據，分析和威脅情報相關聯。

 

隨著所有可用的雲端服務以及每天提供的新服務，難怪公司難以管理風險。  “盡一切努力完成工作”到“做正確的業務”的文化轉變需要大量的協調努力和時間，但根植於安全成為業務推動者而不是繼續在‘不‘的業務。如果安全性要繼續保護業務，組織必須在技術決策中包含安全性，並且安全性必須了解業務需求和技術變化才能成為推動者。為了幫助阻止人們尋求技術問題解決方案，IT和安全團隊必須發展他們的資產和功能，以適應這種速度和便利。  

Source: spr.ly/6015Efmal 

惡意軟體針對物聯網設備的攻擊不斷升級—這裡有來自AT&T Alien Labs安全研究員的見解 http://ow.ly/maj250uVWB3

 

一種新的惡意軟體正在摧毀物聯網設備的韌體，這些攻擊讓人想起2017年銷毀數百萬台設備的舊BrickerBot惡意軟體。在 6月26日 過去的24小時內，數以千計的物聯網設備遭到了新的惡意軟體的加強攻擊 。這個名為Silex的惡意軟體正在加強清除IoT設備的韌體，在它存在的最初幾個小時內報告的事件超過2,000個。據認為Silex通過終止存儲來破壞設備，這使它可以忽略防火牆規則和網路設定，最後，設備完全停止運作。根據對惡意軟體開發者的採訪，這攻擊仍在繼續，他們將在未來幾天內加劇攻擊。

 

專家評論：  

 

ESET網路安全專家Jake Moore ： 

“這再一次強調了某人可以通過簡單的默認憑據輕鬆控制設備。看到一個14 歲的人,取下這些裝置，顯示出這些年輕人的能力，以及有多少人正在利用他的技能進行破壞而不是善用。Jake Moore還強調，這些網路攻擊不是為了經濟利益或毀滅，而僅僅是為了“ lolz ”(好玩)。

 

重新安裝設備韌體很棘手，但並非不可能。然而防止這種攻擊比修復它來得更好，更容易。檢查你家周圍的所有物聯網，以確保他們都使用隨機和較長而複雜的2FA密碼 “。 

 

AT&T Alien Labs安全研究員Chris Doman ：

“Silex的運作以破壞IoT設備的一些Shell Script 與BrickerBot的使用相同 – 看起來是惡意軟體的開發者復制了一些原始碼。

 

雖然世界可以接受連接到互聯網的不安全IoT設備，但這不是解決問題的方法。

 

有趣的是，日本政府提出做類似的做法“  

 

Tenable情資副總裁Gavin Millard  ： 

由於Silex惡意軟體的威脅以具有默認憑據的物聯網設備為目標，這清楚地提醒我們，在涉及網路安全時，我們所有人都需要更加精明。開箱即用新設備時應該做的第一件事就是更改密碼，但實際上會這樣做的人實在太少了，這就是為什麼蠕蟲迄今仍然被證實有效的原因。也許有一天，製造商會採用更安全的方式, 在設置時請求密碼而不是設置默認密碼，但顯然世界還沒有為這種創新做好準備。

 

“雖然惡意軟體採用的當前方法是針對默認憑證，但這樣仍然是危險的，因為惡意軟體可以對其進行修改以查找和濫用其他配置錯誤或已知漏洞，從而使其網路更廣泛。”

 

NCipher Security戰略與業務開發高級總監John Grimm ：

“隨著時間的推移，物聯網已經成為幾乎每一項數位計劃和互動的關鍵。消費者和企業正在發現並從每天提供的機會中受益。     

 

然而，物聯網設備也成為攻擊者最容易受到攻擊的入口之一。物聯網使消費者和企業面臨新的安全漏洞，這是因為它增加了網路連接，並且其中的設備不受設計保護。它是如此龐大和複雜，以至於找到可以跨越整個網路的數據保護解決方案，提供可擴展的加密密鑰管理而不是阻礙數據分析可能是一個嚴峻的挑戰。    

 

通過鼓勵“安全設計”，向設備製造商交付更大的責任並引入新的標籤系統來表明基本安全功能的存在，英國政府在最近的物聯網安全諮詢顯示著正朝著正確方向邁出了積極的一步，以最大限度地減少未來此類攻擊的影響。但是，一些建議取決於可變因素 – 例如，用戶可能選擇較弱的密碼或者甚至懶得更換默認密碼，或者製造商可能會停止運作並停止向其設備提供安全更新。  

 

此外，業界仍然必須採取進一步措施，以確保設備收集的信息可以加密，並且使用數位簽名確保軟體更新的真實性並幫助防止惡意軟體的引入，並給予特定產品中使用的軟體和硬體周圍更大的透明度，可充分評估已發現的漏洞（不可避免的）的影響  。“

 

Saryu Nayyar，CEO在Gurucul ：

Gartner估計到2020年互聯網上將有超過20.6億台設備，BYOD和互聯網連接設備的爆炸式增長顯然使安全性和管理變得複雜，使用傳統工具和流程將無法滿足這些不斷增長的需求。利用大數據，結合行為分析和自動化機器學習，是大規模監控這些設備的唯一方法。

 

4月份觀察到的多個惡意攻擊活動將ISO圖像文件中的LokiBot和Nanocore惡意軟體隱藏得很小, 小到可以放在電子郵件附件中。

 

LokiBot和Nanocore都具有數據竊取功能。它們針對Web瀏覽器，電子郵件客戶端，遠端管理工具（SSH，VNC和RDP）以及剪貼板數據。他們還可以收集有關系統中存在的文檔的信息，並監視用戶擊鍵以提取更敏感的詳細信息。

 

安全研究人員發現了此類活動的10種變體，其中ISO圖像和信息的變化傳遞給潛在的受害者。這些活動似乎遵循“spray and pray”原則，因為它們沒有針對特定的個人或企業。

 

ISO文件不那麼可疑

從攻擊者的角度來看，ISO方法很有意義，因為大多數現代操作系統可以在用戶訪問圖像時自動掛載圖像並顯示其內容。

 

此外，出於性能原因，一些安全解決方案傾向於將ISO文件列入白名單，從而使它們不易被檢測。

 

Netskope的研究人員注意到，ISO文件的大小從1MB到2MB不等，這類存檔的重量很小，通常大於100MB。

 

他們在今天發表的一份報告中寫道：“該圖像只包含一個嵌入其中的可執行文件，這是真正惡意軟體的payload。”

 

付款單據技巧

提供LokiBot或Nanocore RAT的通用垃圾郵件使用電匯支付詭計來誘使用戶在附件中打開涉嫌財務文件。

 

“對延遲表示道歉，但請附上一份逾期發票的電匯付款副本，”郵件寫道。

 

如下面的示例所示，攻擊者努力添加看似來自真實公司的簽名，包括發件人的地址，網站和聯繫詳細信息。

 

 

以這種方式提供的LokiBot版本與之前看到的惡意軟體變種類似。然而，威脅伴隨著一些防逆轉技術來阻止其分析。

 

Netskope分析了一個使用“IsDebuggerPresent（）”函數確定它是否在Debugger中加載的應變。

 

它的開發人員還實現了旨在識別惡意軟體是否在虛擬機中運行的技術：“測量CloseHandle（）和GetProcessHeap（）之間的計算時差。”

 

Netskope發現的廣告系列中使用的Nanocore變體並不是新的  ，早在2017年就被用於惡意活動。

 

這兩種威脅經常出現在尼日利亞攻擊者的商業電子郵件洩密（BEC）騙局中，Palo Alto Networks的研究人員將其稱為SilverTerrier。

 

他們的受歡迎程度在過去兩年中逐漸增加，其中LokiBot是去年SilverTerrier使用的頂級竊取信息的惡意軟體，而Nanocore則是首選的遠端管理工具（RAT）的十大名單。

 

Source: http://spr.ly/6017ESU1t