安全研究 Safety research
1、 漏洞预警:Firefox CVE-2019-11707 远程代码执行漏洞的修补版本已发布Firefox官方发布安全更新,修复了一个存在于 Firefox 全平台所有版本中的远程代码执行漏洞,并称此漏洞已经被在野利用。此漏洞是存在于 Firefox JavaScript 引擎中的类型混淆漏洞,由 Google Project Zero 发现并上报。攻击者可误导目标用户访问恶意网站,并在该网站中植入漏洞攻击代码,最终获得在目标用户终端设备远程执行任意代码的权限,从而控制目标用户的终端设备。相关链接:http://t.cn/AiNdJUiu 2、模块化恶意软件Plurox曝光,插件功能丰富卡巴斯基安全研究人员今年二月捕获到一个有趣样本,经分析,其用C编码,Mingw GCC编译,功能丰富:利用WinAPI创建进程上传下载文件;更新自动化程序;上传下载插件,且能控制其运行;下发恶意挖矿程序;利用UPnP协议通讯且攻击局域网。相关链接:http://t.cn/AiNdJio83、黑客攻击活动Bouncing Golf,利用间谍软件感染数百部手机研究人员近日观察到针对中东国家的恶意攻击行为,这次活动的主要特征是利用了手机间谍软件GolfSpy,由此被命名为Bouncing Golf。这些间谍软件由恶意网站通过社交网络下发,并未经过官方或第三方应用市场传播,目前监控到有660台安卓设备被感染。这次攻击被认为与之前披露的移动端黑客攻击组织Domestic Kitten有相关联系:感染环节和目标信息较为相似,利用重新编译过,已被注入恶意程序的间谍应用,通过僵尸网络进行通讯。相关链接:http://t.cn/AiNdJWZU4、西甲官方应用因非法监听用户被罚 25 万欧元据外媒Techspot报道,Instagram上的网络钓鱼和帐户被盗已成为一个问题,当Instagram无法...
发布时间: 2019 - 06 - 20
1、 美军网络司令部已在俄罗斯电网植入恶意软件 必要时可使其瘫痪最新披露的报告显示,美军的网络司令部(Cyber Command)在过去一年中对俄罗斯的攻击规模要比以往任何时候都更加激进,并且在控制俄罗斯电网的多个系统中植入了“可以使其瘫痪的恶意软件”。相关链接:https://dwz.cn/ekPiAsjL 2、ACLU警告:美国近5000万台监控摄像头可能成为人工智能“保安”据外媒CNET报道,新技术在改善人们生活的同时也可能带来无法预料的陷阱。摄像头现在比以往任何时候都更小、更好,更智能,而美国公民自由联盟(ACLU)警告说,这可能是未来的一个问题。相关链接:https://dwz.cn/3o8EUbpU3、超范围收集个人信息等问题成为网民举报热点根据网民举报反映的问题,工作组对300余款App进行了评估,针对30款用户量大、问题严重的App,于4月上旬向其运营者发送了整改通知,要求认真整改、举一反三,于1个月内反馈整改情况。30款App运营者及时进行了反馈。经工作组认真核验,网易彩票、拼多多、翼支付等3款App未按期完成整改,相关部门对其进行了约谈并督促改进,目前已整改完毕。相关链接:https://dwz.cn/HOlrzR7E4、西甲官方应用因非法监听用户被罚 25 万欧元西班牙足球甲级联赛官方 Android 应用因非法监听用户被罚 25 万欧元。去年西甲承认它的 Android 应用访问手机的麦克风和 GPS,但它辩护称此举旨在通过匹配音频数据和手机位置,跟踪播放比赛的非法场所。西甲应用在 Google Play 官方市场下载量超过一千万次,西甲表示它希望 “保护俱乐部和球迷免受欺诈”。西甲称,每年联盟因为未获许可在公开场所播放比赛损失了 1.5 亿欧元。西甲称,在应用安装或更新时它询问了用户是否同意启用麦克风和 GPS 访问权限。应用会使用 GP...
发布时间: 2019 - 06 - 17
1、 FCC:自动语音电话每年至少使美国消费者损失30亿美元根据美国联邦通信委员会(Federal Communications Commission)的数据,自动语音电话(RoboCall)不仅令人烦恼,而且每年至少花费美国消费者30亿美元。相关链接:http://sina.lt/gcGr 2、公司信息遭泄露后 特斯拉禁止员工使用匿名聊天应用程序据外媒CNET报道,Blind已经确认,在公司消息遭泄露后,特斯拉已阻止员工使用这款匿名工作场所社交网络应用程序。Blind表示特斯拉正在阻止其员工接收验证电子邮件,因此员工将无法验证其帐户。相关链接:http://sina.lt/gcGu3、Google 解释周日宕机事故原因安全研究人员近期发现,ChaCha勒索病毒,也叫Maze勒索病毒,使用漏洞利用工具Fallout,通过钓鱼网站传播,会根据用户使用电脑的场景:家用、服务器或工作站确定勒索金额。相关链接:http://sina.lt/gcGv1、【高】哈尔滨巨耀网络科技有限公司建站系统存在SQL注入漏洞(CNVD-2019-14867)相关链接:http://sina.lt/gcFx2、【高】wecon LeviStudio存在dll劫持漏洞相关链接:http://sina.lt/gcF63、【中】显控Remote HMI存在dll劫持漏洞(CNVD-2019-14866)相关链接:http://sina.lt/gcFJ4、【中】世纪星mo***服务器在堆溢出漏洞(CNVD-2019-14859)相关链接:http://sina.lt/gcFn
发布时间: 2019 - 06 - 10
1、 Office 365出现网络钓鱼近日,一种新形式的钓鱼活动出现在网络中,攻击者会将钓鱼内容伪装成Office365点警告邮件,并告知用户他们的账户中出现异常数量的文件删除。钓鱼攻击以Office365警告内容的形式出现,声称用户已触发中级威胁警报,并告知用户在其账户中发生了大量文件删除行为,诱使用户点击警告框。如果用户点击警告框并,会进入伪造的登录页面,一旦输入账号密码,就会被钓鱼网站获取并保存。随后,登录页面会刷新并将用户重定向至正常登陆页面,以掩盖钓鱼行为。微软提醒用户,Microsoft账户和outlook账户的登录表单只会来自microsoft.com、live.com或outlook.com。如果发现有任何来自其他URL的Microsoft登录表单,请不要使用。相关链接:http://t.cn/Ai9KWpbh 2、未修复的漏洞将影响所有Docker版本所有版本的Docker目前都容易受到“竞态条件”的攻击,这种攻击手段可使攻击者对主机系统上的任何文件都具有读写访问权限,概念验证代码已经发布。该漏洞类似于CVE-2018-15664,它为黑客提供了一个窗口,可以指定的程序开始对资源进行操作之前修改资源路径,归属于时间检查(TOCTOU)类型的错误。相关链接:http://t.cn/Ai9KWgMH3、勒索软件ChaCha利用漏洞工具Fallout传播,根据使用场景勒索不同金额安全研究人员近期发现,ChaCha勒索病毒,也叫Maze勒索病毒,使用漏洞利用工具Fallout,通过钓鱼网站传播,会根据用户使用电脑的场景:家用、服务器或工作站确定勒索金额。相关链接:http://t.cn/Ai9Klupt4、Leicester足球俱乐部官网遭黑客入侵,客户支付信息泄露Leicester足球俱乐部表示其官网https://shop.lcfc.com/遭黑客入...
发布时间: 2019 - 06 - 04
1、 Winnti后门爆出Linux版本,与Winnti 2.0 Windows存在相似性Winnti恶意软件系列于2013年由卡巴斯基实验室首次报道。Chronicle研究人员确定了一小部分专为Linux系统设计的Winnti样本,Linux版本的Winnti由两个文件组成:一个主后门和一个用于隐藏其活动的库。与其他版本的Winnti一样,恶意软件的核心组件本身并不为运营商提供独特的功能,而是用于直接从命令和控制服务器处理通信和模块部署。Winnti恶意软件使用多种协议处理出站通信,包括:ICMP,HTTP以及自定义TCP和UDP协议。新版本Winnti(Linux和Windows)具有的功能允许操作员直接启动与受感染主机的连接,而无需需要连接到控制服务器。相关链接:http://t.cn/E9is8Jk 2、垃圾邮件内含重定向URL,传播Trickbot银行木马新变种研究人员通过垃圾邮件中的重定向URL发现了Trickbot银行木马新变种。垃圾邮件使用社交媒体图标,内容为准备好发货的已处理订单,电子邮件中的URL会将用户从Google重定向到Trickbot下载网站,下载包含Visual Basic脚本(VBS)的.zip文件,该脚本是Trickbot下载程序。由于其模块化结构,Trickbot可以根据其下载和安装的模块快速部署新功能。Trickbot使用的模块具有可以轻松交换的独特功能,从而实现定制攻击。相关链接:http://t.cn/E9isrFP3、大疆回应美国土安全部数据质疑,安全性经全球验证“华为事件”的热度丝毫未减,美国似乎又将矛头指向了新的目标——DJI大疆。根据CNN报道的内容,美国国土安全部警告称,中国制造的无人机可以向制造商传输飞行数据,从而可能被政府部门获取。尽管并未指明哪个品牌,但美国和加拿大投入使用的无人机80%来自大疆。甚至在近几...
发布时间: 2019 - 05 - 22
2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证且无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机,其方式与2017年WannaCry恶意软件的传播方式类似。危险等级:高危CVE编号:CVE-2019-0708【参考链接】https://support.microsoft.com/en-ca/help/4500705/customer-guidance-for-cve-2019-0708 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-070 影响版本 Windows 7 for 32-bit SP1Windows 7 for x64-based SP1Windows Server 2008 for 32-bit SP2Windows Server 2008 for 32-bit SP2 (Server Core installation)Windows Server 2008 for Itanium-Based SP2Windows Server 2008 for x64-based SP2Windows Server 2008 for x64-based SP2 (Server Core installation)Windows Server 2008 R2 for Itanium-BasedSystems SP1Windows Server 2008 R2 for x64-based SP1Windows Server 2008 R2 for x64-ba...
发布时间: 2019 - 05 - 15
1、 网页被篡改跳至赌博平台 甘孜州一官方网站遭处罚2019年3月,南充市南部县公安局网安大队对冯某等人利用“博旅理财”项目进行网络传销启动“一案双查”工作,发现四川蓝海创想科技有限公司在明知“博旅理财”项目涉嫌从事网络传销情况下仍然为其提供技术支持。目前南充市南部县公安局网安大队以涉嫌帮助信息网络犯罪活动罪将蓝海创想科技有限公司负责人卢某、杨某刑事拘留。相关链接:http://t.cn/EKVs3Oi 2、德国网络安全局警告卡巴斯基杀毒软件存在安全缺陷德国网络安全机构BSI就卡巴斯基杀毒软件的安全漏洞发出警告,建议用户尽快安装新补丁。虽然该建议不包括基于该缺陷可能网络攻击的任何详细信息,但BSI警告说,黑客只需向其目标发送包含特制文件的恶意电子邮件,在某些情况下,甚至不需要打开该文件。相关链接:http://t.cn/EKVmOJ4 3、部分服务器网络设备供应商将生产迁出中国因为美国将中国商品关税从 10% 上调到 25%,台湾的服务器、无线网络设备和主板制造商正加紧将生产从中国迁移到东南亚或本土。中国有着完整的产业链,而这条产业链上的许多公司不可能或无力搬到其它地方,因此将生产线迁移出中国意味着需要重新调整产业链,寻找新的配套公司。包括广达、英业达和纬创资通在内的台湾服务器制造商占到了全球服务器供应市场的九成以上。它们已经或正在逐步将生产线搬回台湾或搬到东南亚。相关链接:http://t.cn/EKf7Pyv4、网络挖矿组织Pacha Group与Rocke Group在基于云的加密货币挖矿上激烈竞争Pacha Group是一个网络挖矿组织,这个组织早于2019年2月28日在Intezer的博客里做了介绍,针对这个组织发起的攻击可追溯到2018年9月的对Linux服务器的攻击,并利用了先进的规避和保持持久性的技术。近日Intezer新的研究表明,Pacha G...
发布时间: 2019 - 05 - 14
1、APT组织海莲花(OceanLotus)针对中南半岛国家攻击活动的总结分析相关研究团队发布了针对近期发现的海莲花组织在中南半岛国家的攻击活动的报告。本报告中研究人员对海莲花组织针对越南国内以及越南周边国家新的攻击利用技术、攻击载荷类型、及相关攻击事件进行了详细的分析和总结。海莲花除了会在Windows平台上进行攻击外,还会针对MacOS平台用户发起攻击,比如使用浏览器更新,Flash安装更新包,字体安装包,伪装成文档实际为安装程序的手段进行攻击。相关链接:http://t.cn/EouPWYU2、双尾蝎(APT-C-23)间谍组织利用新Android恶意软件,针对巴勒斯坦进行攻击双尾蝎(APT-C-23)组织的目标主要集中在中东地区,尤其活跃在巴勒斯坦的领土上。从2016年5月起至今,双尾蝎组织(APT-C-23)对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台主要包括 Windows 与 Android。这次的最近攻击样本通过仿冒Acrobat更新,通过显示含有政治主题的诱饵PDF文件,诱骗用户安装使用;恶意软件主要目的为窃取用户手机信息,并对用户手机进行远程控制,新程序继承了APT-C-23下发控制指令的模式,实现了两种向应用推送消息的方式,FCM和SMS通信。程序运行以后会隐藏自身图标,从而保护自身不被卸载。 相关链接:http://t.cn/EouPgHI  3、间谍组织Turla使用新的后门工具LightNeuron,针对微软电子邮件服务器安全公司ESET本周二发布报告称,一个名为Turla APT网络间谍组织已经开发并在使用新的后门工具——LightNeuron,这是第一个针对Microsoft Exchange电子邮件服务器的后门。Turla,也被称为Snake、WhiteBear、Ven...
发布时间: 2019 - 05 - 10
1、 GandCrab勒索软件新活动,采取多种规避技术完善传递机制 近日发现一起针对一家日本跨国公司的GandCrab勒索软件活动。 GandCrab是当前威胁领域中流行的勒索软件之一,主要原因是它遵循勒索软件即服务(RaaS)商业模式。这使得任何网络罪犯都能够通过易于操作的平台来使用GandCrab基础架构,并提供全天候在线支持服务。自2018年初出现以来,它一直在不断发展和完善其传递方法以逃避检测。这些技术包括:1.将网络钓鱼电子邮件和武器化的Office文档组合在一起,以便进入目标计算机。2.一个多阶段无文件感染链,使用VBA代码,WMI对象和JavaScript来删除勒索软件;3.利用二进制文件绕过Windows AppLocker并获取勒索软件有效负载;4.从合法的在线文本共享服务中获取恶意负载,如此次攻击中使用的pastebin.com。 相关链接:http://t.cn/EojFOCp 2、 Confluence漏洞CVE-2019-3396被广泛利用,传播挖矿软件KerberodsConfluence是一种广泛使用的协作和规划软件。4月份,观察到其漏洞CVE-2019-3396用来执行恶意攻击。安全提供商Alert Logic还发现了此漏洞被利用传播Gandcrab勒索软件。而研究人员新发现此漏洞还被用于传播一个加密货币挖矿恶意软件,其中还包含一个旨在隐藏其活动的rootkit。此次攻击开始时发送一个远程命令下载shell脚本,然后下载挖矿软件Kerberods和khugepageds,而下载的rookit不仅用来隐藏挖矿过程,还可以隐藏某些文件和网络流量,而且它还具有提高机器CPU利用率的能力。相关链接:http://t.cn/EojF3JI 3、 币安称 4000 万美元比特币被盗比特币交易所币安发表声明,黑客在一次大规模攻击中窃取了...
发布时间: 2019 - 05 - 09
1、  黑客通过暴力攻击接管29个IoT DDoS僵尸网络根据ZDNet报道,名为Subby的黑客通过暴力攻击接管了29个IoT DDoS僵尸网络。Subby使用了用户名字典和常用密码列表来对这29个僵尸网络的C&C基础设施进行暴力攻击,其中一些设施使用了比较弱的凭据,例如root:root、admin:admin、oof:oof等。根据Subby的说法,这些僵尸网络都比较小,实际的bot总数仅为2.5万。相关链接:http://t.cn/EoMAwD22、  PrinterLogic打印管理软件多个漏洞,可导致RCEPrinterLogic打印管理软件未正确验证其SSL证书和软件更新包的来源和完整性,可允许攻击者重新配置软件并远程执行代码(CVE-2018-5408、CVE-2018-5409)。此外,PrinterLogic未对浏览器输入进行特殊字符过滤,可允许未经授权的远程攻击者更改配置文件(CVE-2019-9505)。18.3.1.96及之前的版本易受攻击,建议用户尽快进行升级。相关链接:http://t.cn/EoMAIns3、  中消协等发智能锁试验报告:半数存指纹识别安全风险中国消费者协会、四川省保护消费者权益委员会、 深圳市消费者委员会、佛山市消费者委会今天联合发布智能门锁比较试验报告,29款样品中,48.3%的样品密码开启安全存在风险,50%的样品指纹识别开启安全存在风险,85.7%的样品信息识别卡开启安存在风险。相关链接:http://t.cn/EoZKk8P 4、  国家互联网应急中心开通勒索病毒免费查询服务从国家互联网应急中心获悉,为了有效控制WannaCry勒索病毒的传播感染,国家互联网应急中心近日开通了该病毒感染数据免费查询服务。2017年5月12日,WannaCry勒索病毒利用Windows S...
发布时间: 2019 - 05 - 07
1、  AESDDoS僵尸网络利用Atlassian Confluence Server漏洞进行DDoS攻击和加密货币挖掘最近检测到一个AESDDoS僵尸网络恶意软件变种,利用Atlassian Confluence Server中Widget连接器宏的服务器端注入漏洞(CVE-2019-3396)进行攻击。研究发现,此恶意软件变体可以在运行有漏洞的Confluence Server系统和数据中心上发动DDoS攻击,执行远程代码和进行加密货币挖掘。目前,Atlassian已经采取措施解决这些问题,并建议用户升级到最新版本(6.15.1)。相关链接:http://t.cn/ESJYQj92、  BabyShark恶意软件新攻击活动,下载KimJongRAT和PCRat木马Palo Alto Networks的Unit 42团队发布关于BabyShark新恶意攻击活动的分析报告。BabyShark是2月份出现的恶意软件,其攻击活动持续到了3月和4月,最新攻击活动的目的似乎有两个:针对核安全和朝鲜半岛国家安全问题的间谍活动;以及针对加密货币行业来获取金钱。BabyShark的恶意payload包括KimJongRAT和PCRat,但攻击者在恶意代码中将它们统称为Cowboy。相关链接:http://t.cn/ESJY3b43、  伪造的Windows PC Cleaner释放AZORult信息窃取木马研究人员发现了一个网站用来推送Windows PC清理工具,实际上这个伪造的工具只是用来下载Azorult木马。AZORult木马在安装后试图窃取用户的浏览器密码,FTP客户端密码,加密货币钱包,桌面文件等等。攻击者主要通过创建一个虚假的Windows应用程序和一个对应的网站来分发该木马。相关链接:http://t.cn/E...
发布时间: 2019 - 04 - 30
1、  攻击者利用GitHub服务托管网络钓鱼工具包Proofpoint研究人员发现攻击者滥用GitHub服务的免费存储库托管网络钓鱼工具包,并且通过github.io域名将其发送到目标。这种技术允许攻击者利用GitHub Pages服务绕过白名单和网络防御,就像其它大型云存储站点,社交网络和网络服务,如Dropbox、Google Drive、Paypal、Ebay和Facebook一样,可以将他们的恶意活动融入合法的网络流量中。研究人员表示,自2019年4月19日起,GitHub已经关闭了所有被发现参与恶意活动的账户。相关链接:http://t.cn/Ea1XiiA2、  DNSpionage攻击活动升级,使用新的恶意软件Karkoff早在2018年11月,思科Talos发现了一个名为DNSpionage的攻击活动, 攻击者创建了一个新的远程管理工具,支持远程的HTTP和DNS通信。而最近,思科又发现了新的证据,证明DNSpionage活动背后攻击者继续改变他们的策略,以提高其运营效率。2月份,他们发现了此类攻击活动TTP上的一些变化,包括使用新的侦察手段,有选择性的决定哪些目标感染恶意软件。而在2019年4月,研究人员发现DNSpionage使用新的恶意软件,称之为“Karkoff”。Karkoff是一个轻量级的恶意软件,允许从C2服务器远程执行代码。没有混淆,代码容易被拆解,Karkoff支持HTTP和HTTPS通信。相关链接:http://t.cn/Ea1XKne3、  美日联合声明,网络攻击将被视为武装攻相关链接:http://t.cn/EaloPdg 1、【高】MKCMS 5.0 bp***.php页面存在SQL注入漏洞(CNVD-2019-09110)相关链接:http://t.cn/Ea165uc2、【高】爱客CMS...
发布时间: 2019 - 04 - 26
1、  蠕虫病毒“MinerGuard”新变种,严重威胁企业用户火绒安全团队截获蠕虫病毒“MinerGuard”新变种,严重威胁企业用户。该病毒通过网络服务器漏洞以及暴力破解服务器的方式迅速传播,并且可跨平台(Windows、linux)交叉感染。病毒入侵电脑后,会释放挖矿病毒挖取门罗币。此外,攻击者可随时通过远程服务器更新病毒模块,甚至利用以太坊钱包更新病毒服务器地址。相关链接:http://t.cn/Ea6uShX2、  俄罗斯组织TA505利用远程访问木马(RAT)攻击全球金融组织CyberInt的安全专家发现了一个新的攻击活动,俄罗斯组织TA505在对美国和全球金融实体的攻击中使用远程访问特洛伊木马(RAT)。TA505组织于2017年首次被Proofpoint发现,自2015年以来一直保持活跃,目标是金融和零售行业的组织。该组织利用武器化的Office和PDF文档进行了大量攻击活动,提供诸多臭名昭着的恶意软件,包括Shifu和Dridex银行木马,tRAT RAT,FlawedAmmy RAT,Philadelphia勒索软件,GlobeImposter和Locky勒索软件。在最近的攻击中,安全人员观察到该组织使用了新的后门,包括模块化的tRAT和ServHelper。在2018年12月至2019年3月期间,该组织攻击了多个国家,包括美国、智利、印度、中国、韩国、英国、法国,意大利、马拉维和巴基斯坦等国家的金融机构。相关链接:http://t.cn/Ea6uNQI3、  研究人员在OceanLotus样本中发现非典型恶意软件格式研究人员最近发现OceanLotus(海莲花)的样本,使用非典型恶意软件格式,这种格式可能会降低分析过程的速度,因为通过典型工具无法解析文件,相反,分析者需要编写自定义加载器以便进行分析。研究的样本通过网络钓鱼...
发布时间: 2019 - 04 - 23
1、  Rootkit(Scranos)使用有效签名,窃取用户登录凭Bitdefender最近发布研究报告称一个具有有效签名的rootkit(被称为Scranos)正在多个国家进行广泛传播,主要用于窃取用户的登录凭据、支付信息和浏览器历史记录,还可用于在社交网络上传播垃圾信息和广告。Scranos伪装成视频驱动程序,安装后,它可以下载攻击者选择的任何有效负载。具体行为如下:目标包括主流浏览器Chrome,Chromium,Firefox,Opera,Edge,Internet Explorer,百度和Yandex,以及来自Facebook,亚马逊,Airbnb,Steam和Youtube的服务。其使用的证书是DigiCert向上海一家健康管理咨询公司颁发的证书,目前证书仍然有效,攻击者可能是盗用了该证书。Bitdefender研究人员称Scranos Rootkit通过不断发展,已经感染了印度、罗马尼亚、巴西、法国、意大利和印尼等国家的用户。相关链接:http://t.cn/EXr0qUI 2、  勒索软件BitPaymer新变体利用PsExec进行传播研究人员发现美国一家制造公司遭到勒索软件BitPaymer新变体的攻击。该变体(Ransom.Win32.BITPAYMER.TGACAJ)利用PsExec进行分发,并在赎金票据和加密文件的扩展名中使用了受害公司的名称。由于攻击者至少需要一个具有管理员权限的帐户才能通过PsExec运行命令,这意味着在勒索软件安装之前攻击者已经通过某种手段获得了管理员权限。相关链接:http://t.cn/EXr0fkk3、  针对性邮件钓鱼攻击,利用AutoHotkey引擎执行恶意脚本近日,发现了一种潜在的针对性钓鱼攻击,它利用合法的脚本引擎AutoHotkey和恶意脚本文件。此次攻击采用电子邮件附件进行分发,...
发布时间: 2019 - 04 - 19
1、  盗版Ghost系统传播主页劫持木马 受害电脑已上万近日,腾讯安全御见威胁情报中心发现一名为QQ_Protect.sys(文件名假冒QQ的保护模块)的主页劫持木马极其活跃,该木马的传播渠道主要是盗版带毒ghost系统,这些带毒ghost系统除了网上下载,在电脑城、XX网店安装的其它系统都有主页被锁定的情况。监测数据表明,已有上万台电脑中招。该系列木马在2018年首先开始出现,经过多次变种,近期又通过ghost系统进行传播,中毒电脑的多款主流浏览器主页会被锁定为某网址导航站,并且不同的浏览器会被劫持到不同的导航主页。相关链接:http://t.cn/EXaPDHE2、  新勒索软件RobbinHood声称'保护”您的隐私目前,一款名为RobbinHood的新勒索软件正在瞄准整个网络,他们可以加密访问的所有计算机。之后,他们会要求一定数量的比特币来解密单台计算机或更大的数量来解密整个网络。最有意思的是他们会强调受害者的隐私对他们很重要,他们不会透露任何已经付款的受害者信息。目前所知,当受害者的文件被加密时,它们会被重命名为类似于Encrypted_b0a6c73e3e434b63.enc_robbinhood的名字,同时会释放4个不同名字的赎金票据,这些票据包括有关受害者文件发生的事件,赎金金额以及TOR网站链接的信息。在勒索软件的Tor支付页面上,RobbinHood的开发人员表示他们关心受害者的隐私,并且付款后将删除加密密钥和IP地址。据消息称,该勒索软件已经袭击美国的北卡罗来纳州,使对方在确定损坏程度时不得不关闭他们的网络。相关链接:http://t.cn/EXahz2Z3、  门罗币(Monero)挖矿软件扩展攻击范围,利用EternalBlue漏洞和PowerShell进行广泛传播趋势科技最近检测到一种恶意软件,它使用多种传...
发布时间: 2019 - 04 - 16
1、  GoBrut僵尸网络ELF新变体攻击Unix系统目前,我们讨论的大部分关于GoBrut的攻击主要针对Windows系统,而这次,Alert Logic研究人员已经发现了该系列攻击的新ELF变体,它可以针对Unix系统。由于互联网上很大一部分服务器运行开源Linux系统,这显著增加了互联网传播此僵尸网络的风险。据报告称,目前已观察到大约1568个WordPress站点的约11,000个服务器受到感染和攻击。此次变体ELF样本与Windows样本有类似的C2服务器,但额外增加了cronjob的持久性停止功能。相关链接:http://t.cn/E6ReZWL 2、  Mirai新变种,针对多款IOT设备处理器进行攻击Unit 42近期发现的Mirai新样本,主要针对Altera Nios II, OpenRISC, Tensilica Xtensa, 和Xilinx MicroBlaze处理器进行编译的。这已经不是Mirai第一次针对新的处理器架构进行扩展,早在2018年1月份就发现了针对ARC CPU的样本。这一发现表明Mirai开发人员针对越来越多的物联网设备继续扩展新功能。 这次发现的样本除了针对那些新架构及处理器进行编译之外,研究人员还发现这些样本包含了更新的加密法,主要使用11个8字节密钥,所有这些密钥都按字节顺序进行XOR操作,以获得最终的结果密钥。同时使用包含参数的DDoS攻击选项,这些参数与原始Mirai源中的攻击方法'TCP SYN'完全相同。研究还发现,这次所有的样本都被托管在同一个IP目录下,并且这些样本包含了这次攻击使用的所有漏洞,比如ThinkPHP远程执行代码、D-Link DSL2750B OS命令注入、Netgear远程执行代码、CVE-2014-8361、CVE-2017-17215漏洞等。鉴于Mira...
发布时间: 2019 - 04 - 11
1、  APT组织FIN6攻击工程行业并投放LockerGoga和Ryuk勒索软件        检测到金融APT组织FIN 6入侵了工程行业的一个客户,这似乎与FIN 6只针对窃取信用卡数据的历史定位不同。虽然入侵的意图并不清楚,但可以确定FIN 6已扩大其犯罪行业,部署赎金,从而进一步使其接触到损害的实体的机会货币化。此次攻击FIN 6为了最初获得对环境的访问,破坏了一个面向互联网的系统。经过分析该系统日志,分析人员发现了FIN 6窃取数据的凭证,利用Windows的远程桌面协议(RDP)在环境中横向移动。在RDP连接到系统之后,FIN 6使用了两种不同的技术来建立立足点,第一种是使用PowerShell执行编码的命令以下载有效载荷,第二种是创建Windows服务(使用随机的16个字符串命名,如IxiCDtPbtGWnrAGQ)来执行编码的PowerShell命令,最终下载有效恶意文件,部署Ryuk或LockerGoga Ransomware。 相关链接:http://t.cn/E6XLFS7 2、  利用永恒之蓝(EternalBlue)漏洞的木马下载器采用“无文件挖矿”新模式        近日检测到利用永恒之蓝漏洞的下载器木马再次更新,此次更新改变了原有的挖矿木马执行方式,通过在Powershell中嵌入PE文件加载的形式,达到执行“无文件”形式挖矿攻击。新的挖矿木马执行方式没有文件落地,直接在Powershell.exe进程中运行,可能造成难以检测和清除。相关链接:http://t.cn/E6XyyZN 3、  英特尔芯片新漏洞暴露计算机上所有数据        安全研究人员报告称,透过流经某些...
发布时间: 2019 - 04 - 09
1、  海莲花组织针对中国APT攻击的最新样本,利用恶意宏文档运行后门程序      从2018年12月至今,捕获多例针对中国用户的恶意宏文档攻击样本。这些恶意文档通过在模糊的文字背景上伪装出杀毒软件的安全检测结果,诱导受害者启用恶意宏代码,向Word进程自身注入Shellcode,最终在内存中解密和运行后门程序。根据对该后门的深入分析,发现该样本来自海莲花组织。 相关链接:http://t.cn/EiNEt772、“贪吃蛇”挖矿木马团伙针对SQL Server进行弱密码攻击,植入多个木马程序     相关威胁情报中心监测到“贪吃蛇”挖矿木马团伙针对MS SQL服务器进行暴破攻击,攻击成功后利用多个提权工具进行提权,随后植入门罗币挖矿木马、大灰狼远程控制木马、以及键盘记录程序。本次传播的“大灰狼”远控采用更隐秘的DNS隧道通信技术,可绕过大部分软件防火墙,多次利用大厂商白文件进行攻击。 相关链接:http://t.cn/EiNESQH3、“2345导航站”弹窗广告携带病毒,盗取QQ和多款热门游戏账号      部分“2345导航站”首页的弹窗广告携带盗号木马,该病毒会偷取QQ、游戏平台(steam、WeGame)、知名游戏(地下城与勇士、英雄联盟、穿越火线)的账号。这是一次设计精巧、组织周密的大规模盗号行动,利用周末时间突然发起攻击,主要目标是网吧游戏用户。相关链接:http://t.cn/EiKbUlq4、  因配置失误 超1.3万iSCSI存储集群已在线上暴露        iSCSI 是一种将工作站和服务器与数据存储设备相连的协议,通常可在大型企业 / 数据中心的磁盘存储阵列、以及消费级的网...
发布时间: 2019 - 04 - 03
1、沙特政府从亚马逊CEO贝索斯手机获取到个人数据美国亚马逊公司首席执行官杰夫·贝索斯的安全顾问3月30日指认沙特阿拉伯政府“入侵”贝索斯的手机,获取他的私人信息。作为贝索斯的长期安全顾问,加文·德贝克尔在美国野兽日报网站发表文章,披露“调查人员和多名专家对所作结论高度自信,即沙特政府访问贝索斯的手机,获取私人信息。”相关链接:http://t.cn/Eiq19C22、芬兰两所监狱内服刑人员尝试新型劳役:训练AI算法狱中劳役”通常与体力活动相关,但是芬兰两所监狱内的服刑人员却在尝试一种新型劳役:归类数据,从而训练一家初创企业的人工智能算法。尽管这家初创企业Vainu认为这种合作形式是一种传授有价值技能的劳役改革,但是不少专家认为这种做法剥削了服刑人员的劳动力,因为囚犯的薪资待遇都非常低。相关链接:http://t.cn/EiPSVYQ3、加拿大域名注册机构的员工车库被勒索软件攻击  加拿大域名网注册机构(CIRA)的员工停车场遭受到勒索软件攻击,导致任何人都可在此免费停车。CIRA是一个非营利组织,负责管理.CA这一加拿大的国家顶级域名(ccTLD)。攻击发生在星期二,但目前勒索情况仍未改善。在被攻击的第二天,本应刷卡进出的停车场已可随意出入。目前该机构已采用临时快速通行证来解决这个问题。而造成如此大影响的是Dharma勒索软件的变种。相关链接:http://t.cn/Ei5YAPY1、【高】海纳企业网站管理系统 V2.1存在代码执行漏洞(CNVD-2019-06370)相关链接:http://t.cn/Ei5Ojs12、【高】UsualToolCMS 8.0 Release前台se***.php存在SQL注入漏洞(CNVD-2019-06374)相关链接:http://t.cn/Ei5O39Z3、【高】合优网络建站系统存在SQL注入...
发布时间: 2019 - 04 - 01
1、疑似APT-C-27组织利用WinRAR漏洞,对中东地区发起定向攻击2019年3月17日,360威胁情报中心截获了一例疑似“黄金鼠”APT组织(APT-C-27)利用WinRAR漏洞(CVE-2018-20250)针对中东地区的定向攻击样本。该恶意ACE压缩包内包含一个以恐怖袭击事件为诱饵的Office Word文档,诱使受害者解压文件,当受害者在本地计算机上通过WinRAR解压该文件后便会触发漏洞,漏洞利用成功后将内置的后门程序(Telegram Desktop.exe)释放到用户计算机启动项目录中,当用户重启或登录系统都会执行该远控木马,从而控制受害者计算机。并且从本次捕获到的相关木马样本(Windows和Android平台)的功能模块、代码逻辑、内置信息语言、目标人群、网络资产等信息都和早前曝光的APT-C-27使用的木马样本信息高度相似。相关链接:http://t.cn/ExTfW6k2、Buhtrap木马家族新攻击活动揭露,针对俄罗斯、白俄罗斯金融机构在2018年底至2019年初,Buhtrap木马家族被发现多次针对俄罗斯、白俄罗斯的攻击活动。该家族的木马主要针对俄罗斯、乌克兰等地的金融目标进行攻击活动,根据Group-IB和ESET的研究结果来看,该恶意文件至少从2014年就开始活跃。攻击使用鱼叉攻击方式,针对特定的目标发送钓鱼邮件,诱饵形式主要有三种,分别是doc文档、js脚本、可执行文件。后续有效荷载主要功能有键盘记录、信息收集、下载执行pe等。虽然我们发现的攻击细节跟之前曝光的Buhtrap恶意软件非常的相似,但是由于Buhtrap的源代码在2016年被泄露,因此暂时无更多的证据证明最近的几次攻击为之前的组织所为。相关链接:http://t.cn/ExTfnk33、Cardinal RAT恶意软件家族新版本被发现,持续攻击金融技术行业Cardinal ...
发布时间: 2019 - 03 - 22
友情连接:
免费服务热线 ree service hotline 400-613-1868 手机端
法律声明 Copyright  西安交大捷普网络科技有限公司  陕ICP备18022218号-1

陕公网安备 61019002000857号

犀牛云提供云计算服务