每日安全简讯(20170628)
1.安天发布最新勒索蠕虫"必加"分析报告安天安全研究与应急处理中心(Antiy CERT)于北京时间2017年6月27日21时左右关注到乌克兰银行等相关机构包括、政府首脑计算机遭到计算机病毒攻击的相关信息。
鉴于受到攻击目标的特殊性,为避免国内关键信息基础设施受到关联影响,安天决定启动A级安全风险预警,进行应对。
经过跟进分析发现,这次攻击是勒索病毒Petya的新变种。这一变种的传播组合采用了邮件、下载器和蠕虫的方式。从推理分析来看,该病毒采用CVE-2017-0199漏洞的RTF格式附件进行邮件投放,之后释放Downloader来获取病毒母体,形成初始扩散节点,之后通过MS17-010(永恒之蓝)漏洞和系统弱口令进行传播。同时初步分析其可能具有感染域控制器后提取域内机器口令的能力。因此其对内网有一定的穿透能力,对内网安全总体上比此前受到广泛关注的WannaCry(魔窟)有更大的威胁,而多种传播手段组合的模式必将成为勒索软件传播的常态模式。
不同于传统勒索软件加密文件的行为,Petya是一个采用磁盘加密方式,进行敲诈。其早期版本只对MBR和磁盘分配表进行加密,并谎称全盘加密。其目前版本是否能完成全盘加密,安天分析小组尚在验证之中。
http://www.antiy.com/response/petya.html
2.乌克兰政企机构遭受新型勒索蠕虫攻击
乌克兰银行、公司和机场遭受大规模的黑客攻击。乌克兰副总理Pavlo Rozenko在Facebook上发布了一个计算机出现问题的图片细节。其中物流运输公司在Facebook声明中表示,此次攻击来自勒索软件Petya的变种。
https://www.rt.com/news/394256-ukraine-massive-hack-attack/
3.英国公司人为失误向用户发送密码重置
英国汽车保险公司AA向其用户发送密码重置的邮件,让用户重置密码。大量用户向AA服务器发起了重置密码的链接请求致使服务器崩溃,随后AA公司在twitter上声称用户密码并没有改变,向用户发送密码重置邮件是人为的错误,并且用户不需要重置密码。从Twitter发布的信息来看,可导向认为是以针对客户为目标的网络钓鱼攻击。
http://securityaffairs.co/wordpress/60458/hacking/aa-password-reset.html
4.Shifr RaaS允许简单设置即可获得样本
研究人员发现新的勒索及服务平台(RaaS)——Shifr,允许任何人在暗网中通过填写三个表单按下按钮之后就可获得勒索软件的样本。其他RaaS平台则需要访问者一些费用并验证其客户身份。
https://www.bleepingcomputer.com/news/security/new-shifr-raas-lets-any-dummy-enter-the-ransomware-business/
5.研究者发现针对POS终端Neutrino木马
安全厂商卡巴斯基的安全研究人员发现恶意家族Neutrino的变种针对POS终端,并将其命名为Trojan-Banker.Win32.NeutrinoPOS。该木马首先sleep一段时间以逃避AV沙箱检测,并从base64编码中解出C&C。此变种中包含以下功能:连接C&C下载文件并执行、截屏、搜索进程名、修改注册表、在被感染主机上搜索文件并传回C&C、代理功能,通过在内存中搜索Track1、Track2收集银行卡信息并传回C&C。
https://securelist.com/neutrino-modification-for-pos-terminals/78839/
6.JavaScript半数npm包属于弱密码校验
来自莫斯科的Node.js的开发者在今年五月发现npm软件包存在弱密码校验问题,并反馈给npm公司,随后在六月初对npm进行大量的密码重置。如果没有重置,将会有超过半数的npm包存在被劫持的风险,并且可能将恶意代码集成到合法的应用程序中。
【感谢Lenx指出标题翻译错误,已改为“弱密码校验“】
https://www.bleepingcomputer.com/news/security/52-percent-of-all-javascript-npm-packages-could-have-been-hacked-via-weak-credentials/
页:
[1]