每日安全简讯(20170506)
1.研究人员发现黑客利用僵尸网络肉鸡挖矿GuardiCore研究人员发现一个昵称为Bond007.01的攻击者利用Windows Server 组成的僵尸网络挖掘数字货币,主要为Monero,还包括ByteCoin、RieCoin、Zcash等。僵尸网络规模达到15000台主机。
https://www.bleepingcomputer.com/news/security/15k-botnet-mines-for-cryptocurrencies-on-vulnerable-windows-servers/
2.WordPress密码重置漏洞可影响帐户安全
波兰研究人员Dawid Golunski在 WordPress 密码重置机制中发现漏洞,允许攻击者在某些情况下获取密码重置的链接。具体做法是,通过在特定HTTP请求中注入一个自定义的SERVER_NAME变量来触发密码重置操作。
https://www.bleepingcomputer.com/news/security/wordpress-zero-day-could-expose-password-reset-emails/
3.研究人员称发现针对朝鲜远控木马KONNI
思科Talos情报组织称发现一款针对朝鲜的远程控制工具KONNI,该可疑软件被设计为只运行一次,并从感染的设备中窃取信息,如击键记录、剪贴板内容、浏览器信息等数据。研究人员已经数次发现了该恶意软件的攻击活动,最早活动可以追溯到2014年9月。
http://www.securityweek.com/cyberspies-use-konni-malware-target-north-korea
4.部分无人机存在漏洞 攻击者可获取权限
US-CERT发布了关于DBPOWER U818A WiFi 四旋翼无人机的漏洞预警,漏洞可导致攻击者取得设备的完全访问权限,可导致数据读取、删除乃至设备崩溃。报告该漏洞的研究人员声称,同一家公司制造的多个型号的无人机也受到漏洞影响。
https://threatpost.com/many-commercial-drones-insecure-by-design/125420/
5.银行木马BlackMoon使用新框架进行传播
Fidelis研究人员称Blackmoon改变了感染策略,利用新的框架传播恶意代码。该框架包括3个独立的下载期间,共同确定目标并提供恶意软件。目前该家族主要针对韩国企业,包括三星、韩国花旗银行,hana金融集团,KB金融集团等。
https://threatpost.com/blackmoon-banking-trojan-using-new-infection-technique/125425/
6.攻击者利用SS7协议漏洞绕过双因子验证
ss7协议是全球电信运营商使用的电话通信协议,该协议在多年前就已经存在严重漏洞,也多有攻击者用来定位用户,拦截通话、短信等行为。研究人员发现有攻击者利用SS7绕过双因子验证机制,并进行未授权的转账和回款操作。
http://www.securityweek.com/hackers-exploit-ss7-flaws-loot-bank-accounts
以CV500视角看安天每日安全简讯
2017.5.6
*** 号外:中国商飞C919-2017年5月5日首飞成功!安天科技是执行首飞任务的网络安保和应急服务供应商...Coool...
今日安全简讯中提到的安全公司中,位列CV500的有4家:GuardiCore(328)、Cisco(13)、Fidelis Cybersecurity(110)和 Palo Alto Networks(21)。
来自以色列的网络安全公司GuardiCore报告发现了一例据说来自中国的攻击者,其昵称为Bond007.01.其最重要的特点是不针对客户端机器,只针对在线的Windows服务器,其中数量最多的是Windows 2008 Server。服务器的总数达15000台。它主要利用的还是服务器的各种漏洞,就像附件1的2016安天威胁年报指出的:勒索软件通过JBoss漏洞或其他漏洞攻击包组成的攻击组件对企业客户进行攻击,在成功入侵一台终端计算机后,利用这台计算机作为“支点”,通过半自动化手段进行内网攻击,尽可能的感染内网中的其他计算机,扩大加密的电子资产数量,甚至加密用以备份的电子资产。
这里提到的JBoss漏洞就是一种非常典型的服务器漏洞,当然还有其他的。比如:MySql,MSSql,Tomcat,Web Logic,PhpMyAdmin,Apache Struts 2等等。虽然当前该恶意程序还只是挖矿,但是显然它能很容易的变换攻击方式,进而进行勒索等。
Cisco的安全研究小组发现了一例针对北朝鲜的恶意攻击,持续时间至少长达3年并执行了3-4波攻击,而且这个过程中,不断变换作业手法,最新的一拨攻击显示其直到目前,该攻击还在活跃中。最新版本的恶意代码支持64位,同时还能收集目标机器的系统信息以及抓取目标的屏幕截图。针对国家的网络攻击行为呈现出网络攻击的高阶技术。类似带有国家背景的网络攻击白象一代和二代,安天2016威胁年报指出:“安天通过持续分析发现,这一攻击组织的主要攻击方向已经从巴基斯坦转向中国,这反应了相关攻击组织和其背后国家战略目标和战略阶段的转变。该组织在2016年的攻击波能力,相比此前有了较高提升,因此安天将这一波攻击,称为“白象二代””。
Fidelis Cybersecurity和Palo Alto Networks 公司发现了一种只针对韩国的网银木马Blackmoon。其最大的特点为了达到其目的,其分成了3步。只有到了最后一步,才会露出真容。至于针对韩国其采用的方法是侦测当前的主机的语言设置,如果是Korean,则认为是韩国的受害者。
相关链接:
a GuardiCore https://www.bleepingcomputer.com/news/security/15k-botnet-mines-for-cryptocurrencies-on-vulnerable-windows-servers/
b Cisco http://www.securityweek.com/cyberspies-use-konni-malware-target-north-korea
c Fidelis Cybersecurity、Palo Alto Networkshttps://threatpost.com/blackmoon-banking-trojan-using-new-infection-technique/125425/
附件0:2016年安天移动安全年报 参见
附件1:2016年安天威胁年报 参见
附件2:CV500 参见
页:
[1]