Security studies 安全研究

盗版Ghost系统传播主页劫持木马 受害电脑已上万

发布时间: 2019-04-16
来源:
浏览数: 4


(2019-03-15)今日威胁情报




1、  盗版Ghost系统传播主页劫持木马 受害电脑已上万


近日,腾讯安全御见威胁情报中心发现一名为QQ_Protect.sys(文件名假冒QQ的保护模块)的主页劫持木马极其活跃,该木马的传播渠道主要是盗版带毒ghost系统,这些带毒ghost系统除了网上下载,在电脑城、XX网店安装的其它系统都有主页被锁定的情况。监测数据表明,已有上万台电脑中招。该系列木马在2018年首先开始出现,经过多次变种,近期又通过ghost系统进行传播,中毒电脑的多款主流浏览器主页会被锁定为某网址导航站,并且不同的浏览器会被劫持到不同的导航主页。


相关链接:http://t.cn/EXaPDHE


2、  新勒索软件RobbinHood声称'保护”您的隐私


目前,一款名为RobbinHood的新勒索软件正在瞄准整个网络,他们可以加密访问的所有计算机。之后,他们会要求一定数量的比特币来解密单台计算机或更大的数量来解密整个网络。最有意思的是他们会强调受害者的隐私对他们很重要,他们不会透露任何已经付款的受害者信息。目前所知,当受害者的文件被加密时,它们会被重命名为类似于Encrypted_b0a6c73e3e434b63.enc_robbinhood的名字,同时会释放4个不同名字的赎金票据,这些票据包括有关受害者文件发生的事件,赎金金额以及TOR网站链接的信息。在勒索软件的Tor支付页面上,RobbinHood的开发人员表示他们关心受害者的隐私,并且付款后将删除加密密钥和IP地址。据消息称,该勒索软件已经袭击美国的北卡罗来纳州,使对方在确定损坏程度时不得不关闭他们的网络。


相关链接:http://t.cn/EXahz2Z


3、  门罗币(Monero)挖矿软件扩展攻击范围,利用EternalBlue漏洞和PowerShell进行广泛传播


趋势科技最近检测到一种恶意软件,它使用多种传播和感染方法将Monero加密货币挖矿机放到尽可能多的系统和服务器上。类似样本最早在2019年初在中国发现,之前用于感染网络的方法涉及访问弱密码、使用传递散列技术、利用Windows管理工具以及使用公开代码的暴力攻击。


相关链接:http://t.cn/EXah5JW


4、  FBI网站被黑 黑客获取100万条联邦特工身份信息


据外媒报道,一个黑客组织通过黑进数个联邦调查局(FBI)的附属网站,获取了成千上万条联邦特工和执法人员的个人信息,并计划出售。据悉,这些黑客通过攻击FBI国家学院协会(FBI National Academy Association)来获取这些个人信息,该协会是一个促进执法培训的非营利组织。


相关链接:http://t.cn/EXah18a




(2019-03-15)今日威胁情报





 

1、【高】HYBBS前台存在命令执行漏洞(CNVD-2019-08477)


相关链接:http://t.cn/EXa7zsd


2、【中】医药电商零售系统存在未授权访问漏洞(CNVD-2019-08198)


相关链接:http://t.cn/EXa7Rrz


3、【高】怡护养老机构运营管理系统存在SQL注入漏洞(CNVD-2019-09076)


相关链接:http://t.cn/EXViouU


4、【中】亿赛通电子文档安全管理系统存在任意文件读取漏洞(CNVD-2019-09077)


相关链接:http://t.cn/EXaz2T4


5、【高】中环留言板v3.2登录处存在SQL注入漏洞(CNVD-2019-08282)


相关链接:http://t.cn/EXViou4


 


分享到:
  • 相关推荐 RELATED TO RECOMMEND
  • 点击次数: 440
    2019 - 03 - 29
    2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证且无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机,其方式与2017年WannaCry恶意软件的传播方式类似。危险等级:高危CVE编号:CVE-2019-0708【参考链接】https://support.microsoft.com/en-ca/help/4500705/customer-guidance-for-cve-2019-0708 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-070 影响版本 Windows 7 for 32-bit SP1Windows 7 for x64-based SP1Windows Server 2008 for 32-bit SP2Windows Server 2008 for 32-bit SP2 (Server Core installation)Windows Server 2008 for Itanium-Based SP2Windows Server 2008 for x64-based SP2Windows Server 2008 for x64-based SP2 (Server Core installation)Windows Server 2008 R2 for Itanium-BasedSystems SP1Windows Server 2008 R2 for x64-based SP1Windows Server 2008 R2 for x64-ba...
  • 点击次数: 20
    2019 - 03 - 22
    1、疑似APT-C-27组织利用WinRAR漏洞,对中东地区发起定向攻击2019年3月17日,360威胁情报中心截获了一例疑似“黄金鼠”APT组织(APT-C-27)利用WinRAR漏洞(CVE-2018-20250)针对中东地区的定向攻击样本。该恶意ACE压缩包内包含一个以恐怖袭击事件为诱饵的Office Word文档,诱使受害者解压文件,当受害者在本地计算机上通过WinRAR解压该文件后便会触发漏洞,漏洞利用成功后将内置的后门程序(Telegram Desktop.exe)释放到用户计算机启动项目录中,当用户重启或登录系统都会执行该远控木马,从而控制受害者计算机。并且从本次捕获到的相关木马样本(Windows和Android平台)的功能模块、代码逻辑、内置信息语言、目标人群、网络资产等信息都和早前曝光的APT-C-27使用的木马样本信息高度相似。相关链接:http://t.cn/ExTfW6k2、Buhtrap木马家族新攻击活动揭露,针对俄罗斯、白俄罗斯金融机构在2018年底至2019年初,Buhtrap木马家族被发现多次针对俄罗斯、白俄罗斯的攻击活动。该家族的木马主要针对俄罗斯、乌克兰等地的金融目标进行攻击活动,根据Group-IB和ESET的研究结果来看,该恶意文件至少从2014年就开始活跃。攻击使用鱼叉攻击方式,针对特定的目标发送钓鱼邮件,诱饵形式主要有三种,分别是doc文档、js脚本、可执行文件。后续有效荷载主要功能有键盘记录、信息收集、下载执行pe等。虽然我们发现的攻击细节跟之前曝光的Buhtrap恶意软件非常的相似,但是由于Buhtrap的源代码在2016年被泄露,因此暂时无更多的证据证明最近的几次攻击为之前的组织所为。相关链接:http://t.cn/ExTfnk33、Cardinal RAT恶意软件家族新版本被发现,持续攻击金融技术行业Cardinal ...
  • 点击次数: 15
    2019 - 03 - 15
    WinRAR是Windows平台上最为知名的解压缩软件,它能解压缩RAR、ZIP、7z、ACE等多种压缩格式的软件。目前该软件官网称其在全球有超过5亿用户。2019年2月21日,互联网爆出了一个关于WinRAR存在19年的漏洞,利用该漏洞可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受害者使用WinRAR解压该恶意文件时便会触发漏洞。 【漏 洞 综 述】   该漏洞源于对文件的“filename”字段未进行充分的过滤,攻击者可利用该漏洞制作恶意ACE格式文件,当该文件被WinRAR解压缩的时候,能利用UNACEV2.dll文件中的路径遍历漏洞欺骗WinRAR将文件解压缩到攻击者指定的路径。甚至可以将恶意文件写入至开机启动项,导致代码执行。目前,部分漏洞的验证工具已经公开,推测此后漏洞很有可能会被勒索软件或者恶意挖矿软件利用。此外WinRAR官方已经发布更新修复了该漏洞,为防止用户受到攻击,建议受该漏洞影响的WinRAR用户尽快采取修补措施。危险等级:高危CVE编号:CVE-2018-20250CNNVD编号:CNNVD-201902-077受影响版本: WinRAR 【解 决 建 议】检测与修复:搜索安装的解压软件安装目录下的UNACEV2.dll,如果存在则存在漏洞Windows下用户立即下载最新版:https://www.rarlab.com/download.htm;    32位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe    64位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe若用户无法立即升级版本,临时缓...
  • 点击次数: 138
    2019 - 03 - 09
    2019年3月9日至10日,捷普安全实验室发现Globelmposter 3.0变种再次活跃,西北地区已经有用户中招,病毒将加密后的文件重命名为xxx.*4444扩展名,其中之一为*.snake4444,并要求用户通过邮件沟通赎金跟解密密钥等。目前此次变种有呈现爆发的趋势,其中以医院居多,交大捷普紧急预警,提醒广大用户做好安全防护,警惕Globelmposter 勒索。各企业用户如需相关技术支持可联系交大捷普区域技术人员获取服务支撑。   【 病 毒 描述 】 Globelmposter家族首次发现于2017年5月份。Globelmposter1.0版本的勒索软件由于其加密方式存在代码缺陷,导致被勒索的文件是可以被解密。2017年至2018年直至2019年初,Globelmposter开始从1.0版本更新到2.0版本到3.0版本,最终,开始采用RSA+AES加密方式对受害者的文件进行加密,这导致在没有解密密钥的情况下很难还原被加密的文件。传播行为从早期主要以钓鱼邮件为主要传播手法,而后逐渐演变为利用RDP爆破服务器进行人工投毒的传播。与此同时,其变种也开始逐渐增多。本次爆发的病毒为其变种之一,初步分析为RDP爆破服务器,进入主机之后,进行人工投毒,而后进行内感染攻击。由于Globelmposter 3.0变种采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,被加密的计算机会生成一个“HOW_TO_BACK_FILES”的文件,描述了相关信息。【解 决 方 案  】对于易感染的主机迅速下线中毒主机,可直接切断网络连接,例如拔掉网线。 对于尚未感染的主机I、推荐使用捷普网络脆弱性智能评估系统(NVAS),进行漏洞扫描,基线检查,排查安全问题,打补丁,加固。II、Globelmposter的变种利用RDP...
  • 点击次数: 67
    2019 - 03 - 15
    1、GandCrab勒索软件冒充公安机关进行鱼叉邮件攻击不法分子正在使用GandCrab5.2勒索病毒对我国政府部分政府部门工作人员进行鱼叉邮件攻击。攻击邮件主题为“你必须在3月11日下午3点向警察局报到!”。GandCrab勒索病毒是国内目前最活跃的勒索病毒之一,在短时间内进行了多个版本的更新迭代。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件传播,该病毒由于使用了RSA+Salsa20的加密方式。无法拿到病毒作者手中私钥常规情况下无法解密。在本次针对我国政府部门的攻击附件中直接包含了exe文件,通过包含空格的超长文件名进行伪装。因此用户对邮件附件应该仔细分辨。相关链接:http://t.cn/EMBmMpQ 2、新POS恶意软件GlitchPOS商业化运作,在犯罪论坛上公开销售Cisco Talos最近发现了一个新的POS恶意软件,攻击者在犯罪软件论坛上销售这些恶意软件。这种恶意软件被称为“GlitchPOS”,据分析该恶意软件的作者Edbitss还开发过DiamondFox L!NK僵尸网络。VisualBasic开发的打包程序可以保护这种恶意软件。从表面上看,它是一款虚假游戏。解码后,可以访问GlitchPOS,这是一个用VisualBasic开发的内存抓取器。恶意软件通过C2服务器接受任务,命令通过C2服务器直接发送的shellcode执行。窃取的数据通过与购买恶意软件用户的控制面板显示。相关链接:http://t.cn/EMBmCct 3、DMSniff恶意软件包含域生成算法,主要攻击中小餐饮娱乐企业最近,Flashpoint的研究人员发现攻击者利用DMSniff恶意软件攻击餐饮娱乐行业的中小型企业。DMSniff还使用域生成算法(DGA)来动态创建命令和控制域列表,这样即使域名被执法部门,技术公司或托管服务提供商删除,恶意软件仍然可以通信和接收命令或共享被盗数...
Copyright ©2018 西安交大捷普网络科技有限公司 陕ICP备18022218号-1
犀牛云提供企业云服务