每日安全简讯(20170622)
1.安天发布Q币充值诈骗病毒分析报告该病毒以积分的名义诱导用户在社交群中传播恶意链接,手段极其狡猾。此外,整个下载、支付过程都有视频教程“手把手”指导,即使对于不熟悉手机支付操作的低龄学生群体也能完成购买操作。通过免费充Q币诱导用户下载、付费的诈骗手段早在PC时代就司空见惯,许多用户对这类诈骗手段产生了“抗体”,但是对于部分低龄学生群体来说,出于对热门游戏和道具的热衷,此类诈骗病毒依然具有较强的“杀伤力”。
https://mp.weixin.qq.com/s?__biz=MjM5NTY4NzcyNg==&mid=2650239611&idx=1&sn=391c59babb36b7428e206e04b99bfc0a&chksm=bef76e3a8980e72c0183133eae0b0f6b2873100108a55c90558c5c3cb4b675dde3b5e34a47eb&mpshare=1&scene=1&srcid=0621gXa5AlwYmKnzAp7AqqmZ#rd
2.安全厂商推出恶意软件签名生成器
安全厂商思科Talos发布恶意软件签名生成器开源工具Bass。动机来自希望拥有更多基于模式的签名来识别恶意家族,也更易于维护。Bass签名生成器的原理是首先使用ClamAV脱壳器脱壳,IDA、radare2反汇编工具获得字节码,然后匹配文件的最长子序列(如ABBACABACCBCA,ACBCBACCACB,BACCABBBBBBAC,匹配结果是ABBAC),最后生成对应的签名。目前该工具存在一些限制,包括目标文件必须是可执行文件、对感染式和后门类的恶意软件效果不好。
http://blog.talosintelligence.com/2017/06/bass-signature.html
3.NSA在GitHub上开源32个开发项目
美国国家安全局NSA在GitHub上开源了技术转移计划中的32个开发项目,包括防止内存损坏利用的控制流完整性(Control Flow Integrity)项目,提供基础设施和SCADA网络状况态势的GRASSMARLIN项目等。
http://thehackernews.com/2017/06/nsa-github-projects.html
4.安全厂商发布入侵PoS系统分析报告
安全厂商ROOT9B发现一个高级的,针对PoS系统实施入侵,专注于获取银行卡数据的恶意攻击活动。攻击者具有主动可控的C&C和用来逃避检测的内存驻留技术,详细的攻击技术、策略如下:使用电子邮件攻击,定位目标;利用邮件ActiveMIME附件启用宏执行powershell获取shellcode;通过封装动态的dll加载shellcode到内存以逃避检测,命名为PowerSniff;连接C&C发送说明侦察环境是否符合;在内存中植入第二个shellcode(ShellTea),释放文件,修改注册表;获取网络中PoS端点的位置,创建目标列表并部署恶意软件,建立持久的网络连接以获取PoS端点数据;部署在PoS端点的高级RAM恶意软件PoSlurp,PoSlurp直接将内存驻留代码注入到特权用户模式进程,攻击者可以选择监控哪些银行卡支付的进程情况。
https://www.root9b.com/newsroom/shelltea-poslurp-malware
5.漏洞利用套件RIG活动大幅度的下降
研究人员发现自2017年4月开始,传播恶意软件的EITest和针对wordpress攻击的pseudo-Darkleech两次活动停止使用EK以后,漏洞利用套件RIG的活动大幅度下降。随着EK攻击利用减少,其他的攻击方式可能增多,如垃圾邮件攻击、社会工程等浏览器弹窗等。
https://researchcenter.paloaltonetworks.com/2017/06/unit42-decline-rig-exploit-kit/
6.安全厂商发布2017年全球安全报告
安全厂商Trustwave发布一份长达90页的全球安全报告,通过全球的威胁情报,高级研究和真实案例的调查收集,揭示数据库、网络设备、应用程序和其他平台的漏洞情况,那些行业经常遭受攻击,黑客入侵与被检测之间的时间间隔,漏洞利用工具、勒索软件等恶意软件的演化情况,以及如何捕获威胁和一些邮件攻击和数据泄露的安全防护建议。
https://www2.trustwave.com/2017-Trustwave-Global-Security-Report.html?utm_medium=web&utm_source=redirect&utm_campaign=CPN%202017%2006%20Global%20Security%20Report
页:
[1]