it-news

April 26, 2019

systemdMiner 借鸡下蛋,通过 DDG 传播自身

1. 概述 在最近的关于 DDG.Mining.Botnet v3021/v3022 版本的 威胁快讯 一文中,我们提到了 DDG 最近在用的主 C2: 119.9.106.27 AS45187|RACKSPACE-AP Rackspace IT Hosting AS IT Hosting Provider Hong Kong, HK|Hong Kong|China 2019.4.19 日凌晨,我们发现 […]
May 2, 2019

AA19-122A: New Exploits for Unsecure SAP Systems

Original release date: May 02, 2019 Summary The Cybersecurity and Infrastructure Security Agency (CISA) is issuing this activity alert in response to recently disclosed exploits that […]
May 7, 2019

SystemdMiner,when a botnet borrows another botnet’s infrastructure

Update(2019.4.26 17:30) About 3 hours after the release of this article, we found that the attacker took down the URL of some Payload downloads, the following […]
May 8, 2019

信用卡数据泄漏持续进行中

DNSMon是一个全网DNS异常发现分析系统。基于我们可以看到的中国地区 10%+ 的DNS流量,加上我们多年积累的其他多维度安全数据以及安全分析能力,我们可以在一个独特的视角来实时监测 全网 每天 正在发生 的事情,我们可以 “看见” 正在发生的威胁。 摘要 我们的DNSMon发现了一个异常域名 magento-analytics[.]com,通过持续的跟踪,以及和WEB数据的关联,发现该域名通过渗透侵入在线购物网站,植入自己的JS脚本,实时判定用户信用卡的输入情况,将信用卡的 所有人/卡号/过期时间/CVV 信息回传,实现对信用卡数据的窃取,进而可以盗刷。 如果有国内用户使用信用卡在国外购物网站支付,建议用户一定要谨慎,尽量选择安全做的好的大网站。国外不支持国内的密码支付体系,只要上述信息泄漏,就存在被盗刷风险。 缘起 早在2018年10月初,我们发现域名 magento-analytics[.]com 有了异常波动。在其时,友商VT上有零星的几家报malware/maicious,但是没有具体恶意细节,我们也没有看到任何样本行为,所以没法进一步验证。同时由于其绝对访问量不是很大,我们暂时将其纳入跟踪流程,对其进行持续跟踪。 持续跟踪的过程中,该域名表现一直不温不火,没有出现业务上持续的剧烈变化,不过我们分析流程最近自动捕获的一个异常特征将其纳入我们的分析视野:这是个注册在“巴拿马”的域名,但在最近几月内,该域名映射的IP,从“美国-亚利桑那” 到了 “俄罗斯-莫斯科”,再到了 “中国-香港”。 互联网业务做大了,全球提供服务可以理解,但是一个小访问量的域名,大范围的切换服务地址,也不是多IP共用,这非常有问题。小孩子也不能胡闹,我们得查清楚“熊孩子”到底在干嘛。 分析 首先验证是不是小网站,不过该域名默认页面没有提供服务,可疑程度+1。基于我们从去年10月开始对其跟踪,所以我们有能力在我们各维度的数据流中挂锚点,将与其有关的数据都聚合在一起分析,我们很容易的可以发现该域名下URL的活跃情况。 […]