每日安全简讯(20170623)
1.维基解密发布类似震网的USB工具维基解密在今年的3月份公布了Vault 7的系列文件,但仅仅提及了Brutal Kangaroo的部分细节,而不是此次完整的用户指导文档。Brutal Kangaroo被美国中央情报局CIA通过USB入侵隔离网络,手法与震网的类似。主要包括以下组件,Drifting Deadline是主要的工具,通过图形界面程序生成所有的恶意软件; Shattered Assurance是被感染主机上的服务组件,用Drifting Deadline生成的恶意软件自动感染USB;Shadow是用来协调多个隔离网络中受感染的计算机,允许攻击者下发操作指令;Broken Promise是收集隔离网络被感染主机的信息并进行评估。
https://wikileaks.org/vault7/#Brutal Kangaroo
2.木马利用NSA后门工具挖掘门罗币
安全厂商Dr.Web发现一例挖掘门罗币的木马,命名为Trojan.BtcMine.1259。该木马使用影子经纪人泄露的NSA后门工具DOUBLEPULSAR感染计算机,然后获取恶意文件检测受害主机的CPU核数,如果有充足的CPU资源,则下载完整的恶意负载即挖掘门罗币的恶意程序。
https://www.bleepingcomputer.com/news/security/nsa-malware-used-to-infect-windows-pcs-with-cryptocurrency-miner/
3.僵尸网络再次传播勒索软件Locky
在今年五月发现僵尸网络Necurs停止了勒索软件locky的传播,而去支持勒索软件Jaff的传播。但是在六月,随着安全厂商卡巴斯基推出了Jaff的解密工具后,Necurs再次选择了投放Locky。此次的Locky变种同样使用邮件附件隐藏勒索软件的形式,但是只是针对Windows XP系统而对于windows 7或者具有DEP防护功能的系统会导致附件解包失败。目前该Locky变种具有反调试的功能,一旦检测到调试器,配置指针将重定向到kernel32!AllocConsole,使得调试失败。
http://blog.talosintelligence.com/2017/06/necurs-locky-campaign.html
4.研究人员根据Crash截图还原漏洞
微软MSRC研究人员根据twitter上的Crash截图还原了漏洞,通过在所有的已发布的二进制文件中寻找相似的代码以及利用WER(微软用来发现、修复错误说明系统崩溃报告机制的工具),最终找到了与截图中相似的Crash指令,成功定位了漏洞。
https://blogs.technet.microsoft.com/srd/2017/06/20/tales-from-the-msrc-from-pixels-to-poc/
5.魔窟攻陷了澳大利亚的公路摄像机
据维多利亚警方证实,魔窟(WannaCry)感染了该州 55个交通灯和超速监控摄像头,且均为交由 Redflex 运营的摄像头。
http://www.cnbeta.com/articles/tech/624959.htm
6.本田汽车工厂受魔窟影响停产一天
在魔窟事件过去了五周之后,本田汽车一家工厂发现魔窟(WannaCry)出现在该公司的网络后,随即停止了生产。目前还不清楚为什么5周后WannaCry出现在本田公司的网络中。
http://securityaffairs.co/wordpress/60314/malware/wannacry-honda-plant-halt.html
页:
[1]