每日安全简讯(20190718)
1 安全厂商发布IcedID恶意软件核心载荷分析报告Fortinet在之前的文章中介绍了如何解压缩IcedID恶意软件、挂钩和处理IcedID使用的注入技术,以及如何执行IcedID有效载荷。研究人员在新文章中对IcedID核心有效载荷进行了分析。有效载荷取消了函数RtlExitUserProcess,核心功能在函数sub_0x27FE()中实现。成功执行核心模块后,程序将进入无限循环,以确保svchost.exe进程不会退出。 svchost.exe进程中有两个注入的内存区域。第一个是大小为8KB的数据段。此段在开始时存储多个系统API的地址,加密的C2服务器列表以及其他有用的信息。第二存储区域具有三个段(一个代码段和两个数据段)。有效载荷的核心功能在代码段中实现。IcedID使用WinHTTP API与C2服务器通信,通过HTTPS接收响应。恶意软件使用RC4密钥生成算法,并包含协作工作的多个线程。
https://www.fortinet.com/blog/threat-research/icedid-malware-analysis-part-two.html
2 SLUB恶意软件新版本大量使用Slack协作消息系统
四个月前,趋势科技披露SLUB恶意软件利用CVE-2018-8174漏洞和水坑网站传播,7月9日,研究人员通过另一个水坑网站发现了SLUB新变种,利用4月修补的Internet Explorer漏洞CVE-2019-0752。新版本的SLUB恶意软件不再使用GitHub进行通信,而是通过两个免费工作区大量使用Slack协作消息系统。两个水坑网站都由朝鲜政府支持。新变种使用隐藏并混淆的WindowStyle打开PowerShell进行投递,使用Rundll32调用从水坑网站下载的“C ++运行时模拟名称”恶意DLL。恶意DLL按照Windows命名约定实现导出符号,并使用实际的Windows API名称。
https://blog.trendmicro.com/trendlabs-security-intelligence/slub-gets-rid-of-github-intensifies-slack-use/
3 Hawkeye活动使用Visual Basic打包器反调试技术
Hawkeye Keylogger一个在暗网上出售的信息窃取恶意软件,自2013年以来,它一直在不断发展增加了新的功能和技术。在最近的Hawkeye攻击中攻击者使用了Visual Basic打包程序强制执行的反调试技术。攻击者投递的文件是ISO映像,具有较低的AV检测率,其内部有一个bat文件,实际上是PE文件。PE文件使用Visual Basic 5.0编写,用于保护恶意软件核心部分并使加大分析难度。在新分配区域内的上下文切换之后,恶意软件采用“ GetTickCount() ”反调试技术。GetTickCount会检索自系统启动以来经过的时间,以毫秒计算,如果高于预设阈值,恶意软件会终止执行。
https://blog.yoroi.company/research/anti-debugging-techniques-from-a-complex-visual-basic-packer/
4 黑客使用三星网站做跳板渗透电信公司Sprint账户
根据美国电信公司Sprint发送给客户的通知信,黑客利用三星网站作为其攻击的跳板,渗透到Sprint账户。Sprint表示受到两次入侵,第一次入侵发生在6月8日,第二次入侵发生在6月22日。黑客可能访问的客户个人信息包括电话号码、设备类型、设备ID、每月经常性费用、用户ID、帐号、帐户创建日期、升级资格、姓名、帐单地址等。Sprint已向所有受影响客户发送通知,并建议用户采取联邦贸易委员会(FTC)建议的预防措施。
https://www.bleepingcomputer.com/news/security/sprint-accounts-breached-by-hackers-using-samsung-site/
5 WhatsApp和Telegram中漏洞可能导致文件泄露
根据赛门铁克现代操作系统安全团队的新研究,WhatsApp和Telegram中存在漏洞,命名为Media File Jacking,攻击者可利用漏洞操纵媒体文件。漏洞在默认配置下影响Android版WhatsApp,如果启用了某些功能,则会影响Android版Telegram。应用程序将接收的媒体文件写入磁盘以及将它们加载到应用程序的聊天用户界面(UI)以供用户使用之间存在时间间隔,攻击者就是利用这些时间间隔干预和操纵媒体文件。
https://www.symantec.com/blogs/expert-perspectives/symantec-mobile-threat-defense-attackers-can-manipulate-your-whatsapp-and-telegram-media
6 MyDashWallet网站遭黑客入侵泄露部分用户私钥
MyDashWallet透露其网站受到黑客入侵,在2019年5月13日至2019年7月12日之间使用mydashwallet.org的用户私钥都可能已经泄露。管理员表示MyDashWallet于2019年4月18日被修改用于从Greasy Fork下载外部脚本,Greasy Fork帐户在2019年5月13日遭到入侵,黑客将用户的私钥发送到外部服务器。MyDashWallet2019年7月12日检测到入侵行为,并建议用户将资金转移到新钱包。
https://cyware.com/news/attackers-compromise-mydashwallet-and-steal-private-keys-e8ca3347
页:
[1]