Security studies 安全研究

Winnti后门爆出Linux版本,与Winnti 2.0 Windows存在相似性

发布时间: 2019-05-22
来源:
浏览数: 6

(2019-03-15)今日威胁情报



 

1、 Winnti后门爆出Linux版本,与Winnti 2.0 Windows存在相似性


Winnti恶意软件系列于2013年由卡巴斯基实验室首次报道。Chronicle研究人员确定了一小部分专为Linux系统设计的Winnti样本,Linux版本的Winnti由两个文件组成:一个主后门和一个用于隐藏其活动的库。与其他版本的Winnti一样,恶意软件的核心组件本身并不为运营商提供独特的功能,而是用于直接从命令和控制服务器处理通信和模块部署。Winnti恶意软件使用多种协议处理出站通信,包括:ICMP,HTTP以及自定义TCP和UDP协议。新版本Winnti(Linux和Windows)具有的功能允许操作员直接启动与受感染主机的连接,而无需需要连接到控制服务器。


相关链接:http://t.cn/E9is8Jk


 

2、垃圾邮件内含重定向URL,传播Trickbot银行木马新变种


研究人员通过垃圾邮件中的重定向URL发现了Trickbot银行木马新变种。垃圾邮件使用社交媒体图标,内容为准备好发货的已处理订单,电子邮件中的URL会将用户从Google重定向到Trickbot下载网站,下载包含Visual Basic脚本(VBS)的.zip文件,该脚本是Trickbot下载程序。由于其模块化结构,Trickbot可以根据其下载和安装的模块快速部署新功能。Trickbot使用的模块具有可以轻松交换的独特功能,从而实现定制攻击。


相关链接:http://t.cn/E9isrFP


3、大疆回应美国土安全部数据质疑,安全性经全球验证


“华为事件”的热度丝毫未减,美国似乎又将矛头指向了新的目标——DJI大疆。根据CNN报道的内容,美国国土安全部警告称,中国制造的无人机可以向制造商传输飞行数据,从而可能被政府部门获取。尽管并未指明哪个品牌,但美国和加拿大投入使用的无人机80%来自大疆。甚至在近几年,美国当地执法机构和基础设施运营商已经逐渐依赖无人机。对此,美国国土安全部警告称,这些无人机的存在是信息基础设施的潜在风险。


相关链接:http://t.cn/E9foQth


4、谷歌:大多数黑客雇用服务都是假的


谷歌与加利福尼亚大学圣地亚哥分校的研究人员上周公布的研究显示,大多数网上提供的黑客雇用服务都是诈骗或者无效的。研究人员通过伪装成有所需求的买家,直接与 27 个提供黑客服务的买家接触,并要求他们针对所选择的 Gmail 账户进行攻击。这些受害 Gmail 账户其实是研究人员与谷歌一起协调设计好的蜜罐,用来进行此次研究,账号允许研究人员记录其与受害者的关键互动行为,以及为此次研究创建的角色的其它方面信息,如商业网络服务器、朋友或合作伙伴的电子邮件地址。研究结果表明,在参与的 27 项黑客服务中,有 10 项从未回复过研究人员的请求,12 项做出了回复,但并没有真正尝试过发动攻击,只有 5 位黑客最终发起了针对测试 Gmail 帐户的攻击。在响应请求但没有发动攻击的 12 人中,有 9 人表示他们不再攻击 Gmail 帐户,而其他三人似乎是诈骗份子。



相关链接:http://t.cn/E9fIRJm



(2019-03-15)今日威胁情报




1、【高】广州宏景人才招聘系统存在文件上传漏洞(CNVD-2019-13608)

相关链接:http://t.cn/E9iFb8N

2、【高】OpenEMR SQL注入漏洞(CNVD-2019-14806)

相关链接:http://t.cn/E9ceexS

3、【高】Siemens SIMATIC PCS 7和SIMATIC WinCC访问控制错误漏洞

相关链接:http://t.cn/E9iFQZx

4、【高】MacDown远程代码执行漏洞(CNVD-2019-14834)

相关链接:http://t.cn/E9fdQSD

分享到:
  • 相关推荐 RELATED TO RECOMMEND
  • 点击次数: 440
    2019 - 03 - 29
    2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证且无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机,其方式与2017年WannaCry恶意软件的传播方式类似。危险等级:高危CVE编号:CVE-2019-0708【参考链接】https://support.microsoft.com/en-ca/help/4500705/customer-guidance-for-cve-2019-0708 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-070 影响版本 Windows 7 for 32-bit SP1Windows 7 for x64-based SP1Windows Server 2008 for 32-bit SP2Windows Server 2008 for 32-bit SP2 (Server Core installation)Windows Server 2008 for Itanium-Based SP2Windows Server 2008 for x64-based SP2Windows Server 2008 for x64-based SP2 (Server Core installation)Windows Server 2008 R2 for Itanium-BasedSystems SP1Windows Server 2008 R2 for x64-based SP1Windows Server 2008 R2 for x64-ba...
  • 点击次数: 20
    2019 - 03 - 22
    1、疑似APT-C-27组织利用WinRAR漏洞,对中东地区发起定向攻击2019年3月17日,360威胁情报中心截获了一例疑似“黄金鼠”APT组织(APT-C-27)利用WinRAR漏洞(CVE-2018-20250)针对中东地区的定向攻击样本。该恶意ACE压缩包内包含一个以恐怖袭击事件为诱饵的Office Word文档,诱使受害者解压文件,当受害者在本地计算机上通过WinRAR解压该文件后便会触发漏洞,漏洞利用成功后将内置的后门程序(Telegram Desktop.exe)释放到用户计算机启动项目录中,当用户重启或登录系统都会执行该远控木马,从而控制受害者计算机。并且从本次捕获到的相关木马样本(Windows和Android平台)的功能模块、代码逻辑、内置信息语言、目标人群、网络资产等信息都和早前曝光的APT-C-27使用的木马样本信息高度相似。相关链接:http://t.cn/ExTfW6k2、Buhtrap木马家族新攻击活动揭露,针对俄罗斯、白俄罗斯金融机构在2018年底至2019年初,Buhtrap木马家族被发现多次针对俄罗斯、白俄罗斯的攻击活动。该家族的木马主要针对俄罗斯、乌克兰等地的金融目标进行攻击活动,根据Group-IB和ESET的研究结果来看,该恶意文件至少从2014年就开始活跃。攻击使用鱼叉攻击方式,针对特定的目标发送钓鱼邮件,诱饵形式主要有三种,分别是doc文档、js脚本、可执行文件。后续有效荷载主要功能有键盘记录、信息收集、下载执行pe等。虽然我们发现的攻击细节跟之前曝光的Buhtrap恶意软件非常的相似,但是由于Buhtrap的源代码在2016年被泄露,因此暂时无更多的证据证明最近的几次攻击为之前的组织所为。相关链接:http://t.cn/ExTfnk33、Cardinal RAT恶意软件家族新版本被发现,持续攻击金融技术行业Cardinal ...
  • 点击次数: 15
    2019 - 03 - 15
    WinRAR是Windows平台上最为知名的解压缩软件,它能解压缩RAR、ZIP、7z、ACE等多种压缩格式的软件。目前该软件官网称其在全球有超过5亿用户。2019年2月21日,互联网爆出了一个关于WinRAR存在19年的漏洞,利用该漏洞可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受害者使用WinRAR解压该恶意文件时便会触发漏洞。 【漏 洞 综 述】   该漏洞源于对文件的“filename”字段未进行充分的过滤,攻击者可利用该漏洞制作恶意ACE格式文件,当该文件被WinRAR解压缩的时候,能利用UNACEV2.dll文件中的路径遍历漏洞欺骗WinRAR将文件解压缩到攻击者指定的路径。甚至可以将恶意文件写入至开机启动项,导致代码执行。目前,部分漏洞的验证工具已经公开,推测此后漏洞很有可能会被勒索软件或者恶意挖矿软件利用。此外WinRAR官方已经发布更新修复了该漏洞,为防止用户受到攻击,建议受该漏洞影响的WinRAR用户尽快采取修补措施。危险等级:高危CVE编号:CVE-2018-20250CNNVD编号:CNNVD-201902-077受影响版本: WinRAR 【解 决 建 议】检测与修复:搜索安装的解压软件安装目录下的UNACEV2.dll,如果存在则存在漏洞Windows下用户立即下载最新版:https://www.rarlab.com/download.htm;    32位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe    64位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe若用户无法立即升级版本,临时缓...
  • 点击次数: 138
    2019 - 03 - 09
    2019年3月9日至10日,捷普安全实验室发现Globelmposter 3.0变种再次活跃,西北地区已经有用户中招,病毒将加密后的文件重命名为xxx.*4444扩展名,其中之一为*.snake4444,并要求用户通过邮件沟通赎金跟解密密钥等。目前此次变种有呈现爆发的趋势,其中以医院居多,交大捷普紧急预警,提醒广大用户做好安全防护,警惕Globelmposter 勒索。各企业用户如需相关技术支持可联系交大捷普区域技术人员获取服务支撑。   【 病 毒 描述 】 Globelmposter家族首次发现于2017年5月份。Globelmposter1.0版本的勒索软件由于其加密方式存在代码缺陷,导致被勒索的文件是可以被解密。2017年至2018年直至2019年初,Globelmposter开始从1.0版本更新到2.0版本到3.0版本,最终,开始采用RSA+AES加密方式对受害者的文件进行加密,这导致在没有解密密钥的情况下很难还原被加密的文件。传播行为从早期主要以钓鱼邮件为主要传播手法,而后逐渐演变为利用RDP爆破服务器进行人工投毒的传播。与此同时,其变种也开始逐渐增多。本次爆发的病毒为其变种之一,初步分析为RDP爆破服务器,进入主机之后,进行人工投毒,而后进行内感染攻击。由于Globelmposter 3.0变种采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,被加密的计算机会生成一个“HOW_TO_BACK_FILES”的文件,描述了相关信息。【解 决 方 案  】对于易感染的主机迅速下线中毒主机,可直接切断网络连接,例如拔掉网线。 对于尚未感染的主机I、推荐使用捷普网络脆弱性智能评估系统(NVAS),进行漏洞扫描,基线检查,排查安全问题,打补丁,加固。II、Globelmposter的变种利用RDP...
  • 点击次数: 67
    2019 - 03 - 15
    1、GandCrab勒索软件冒充公安机关进行鱼叉邮件攻击不法分子正在使用GandCrab5.2勒索病毒对我国政府部分政府部门工作人员进行鱼叉邮件攻击。攻击邮件主题为“你必须在3月11日下午3点向警察局报到!”。GandCrab勒索病毒是国内目前最活跃的勒索病毒之一,在短时间内进行了多个版本的更新迭代。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件传播,该病毒由于使用了RSA+Salsa20的加密方式。无法拿到病毒作者手中私钥常规情况下无法解密。在本次针对我国政府部门的攻击附件中直接包含了exe文件,通过包含空格的超长文件名进行伪装。因此用户对邮件附件应该仔细分辨。相关链接:http://t.cn/EMBmMpQ 2、新POS恶意软件GlitchPOS商业化运作,在犯罪论坛上公开销售Cisco Talos最近发现了一个新的POS恶意软件,攻击者在犯罪软件论坛上销售这些恶意软件。这种恶意软件被称为“GlitchPOS”,据分析该恶意软件的作者Edbitss还开发过DiamondFox L!NK僵尸网络。VisualBasic开发的打包程序可以保护这种恶意软件。从表面上看,它是一款虚假游戏。解码后,可以访问GlitchPOS,这是一个用VisualBasic开发的内存抓取器。恶意软件通过C2服务器接受任务,命令通过C2服务器直接发送的shellcode执行。窃取的数据通过与购买恶意软件用户的控制面板显示。相关链接:http://t.cn/EMBmCct 3、DMSniff恶意软件包含域生成算法,主要攻击中小餐饮娱乐企业最近,Flashpoint的研究人员发现攻击者利用DMSniff恶意软件攻击餐饮娱乐行业的中小型企业。DMSniff还使用域生成算法(DGA)来动态创建命令和控制域列表,这样即使域名被执法部门,技术公司或托管服务提供商删除,恶意软件仍然可以通信和接收命令或共享被盗数...
Copyright ©2018 西安交大捷普网络科技有限公司 陕ICP备18022218号-1
犀牛云提供企业云服务