每日安全简讯(20170604)

1.研究发现永恒之蓝被用来传播恶意软件

安全厂商FireEye的安全研究人员说，如同魔窟（WannaCry）事件所做的那样，现在一些黑客组织正在利用永恒之蓝漏洞来传播Nitol后门和Gh0st远控。Gh0st远控是多年来针对windows平台的木马，已经成为APT针对国家政府机构的远控工具。研究人员表示，与魔窟的漏洞利用类似，一旦一台机器被感染，通过打开shell，构造指令写入到VBScript文件并执行下载恶意载荷。


https://threatpost.com/eternalbl ... t-rat-nitol/126052/

---

2.安全厂商对永恒之蓝漏洞利用深度分析

安全厂商趋势科技针对此次魔窟（WannaCry）事件的漏洞利用工具永恒之蓝做了深度分析，漏洞产生的原因是函数srv！SrvOs2FeaListToNt将调用srv！SrvOs2FeaListSizeToNt来计算接收的FEA LIST大小，然后将其转换为NTFEA（Windows NT FEA）列表，由于字转换错误导致计算FEA结果值大于初始值，非页面池出现溢出。永恒之蓝的原理是利用发送SRV数据致使SRVNET驱动缓冲区结构溢出，然后控制溢出后的缓冲区池，执行任意代码。分析详情包括漏洞分析，溢出分析，永恒之蓝的利用条件、利用机制、利用链。


http://blog.trendmicro.com/trend ... 17-010-eternalblue/

---

3.银行木马QakBot增加自改变的传播机制

如果发现活动目录域名被锁定了，那可能是感染了银行木马QakBot，也称之为Qbot或者PinkSlip。其作者为了避免在恶意活动中得到过分关注，在传播过程中不再使用垃圾邮件，而是使用自改变的传播机制。具体方式包括通过共享驱动器和可移动设备传播的蠕虫功能，网站注入窃取银行凭证，具有后门、SOCKS代理、信息窃取等模块化架构，在获取管理权限时禁用安全防护产品，延迟10~15分钟执行逃避沙箱，部署成功后自删除，同时使用硬编码的C&C和DGA算法生成C&C动态域名，修改注册表项保证持久性。


https://www.bleepingcomputer.com ... -directory-domains/

---

4.悬停PPSX文件中的链接即下载恶意软件

安全研究人员捕获一例PPSX文件格式的样本，PPSX文件打开即进入演示模式而不是编辑模式，当受害者打开邮件PPSX附件，鼠标悬停在演示文件中的URL链接时，恶意代码会调用PowerShell执行下载代码获取恶意载荷，在此过程中不需要启用宏。


https://www.bleepingcomputer.com ... no-macros-required/

---

5.勒索软件Jaff与网络犯罪市场存在联系

研究人员通过分析勒索软件Jaff最近的变种发现与网络犯罪市场共享服务器空间，说明两者之间存在的微妙关系。勒索软件Jaff是通过PDF邮件附件感染目标机器，随着对网络犯罪市场基础设施的追踪和深度挖掘发现市场上销售被攻陷的银行账户，并提供有关余额、位置和邮件地址详细信息，每条信息以比特币的形式标价。勒索软件在加密数据实施勒索的同时，也会尽可能多的获得受害者的信息数据。通过结合这些信息资源，发动有针对性的勒索攻击，从简单的商业模式产生快速的投资回报。


https://heimdalsecurity.com/blog ... -crime-marketplace/

---

6.电子签名公司邮件被盗用于网络钓鱼

DocuSign是一家位于旧金山和西雅图的公司，提供电子签名技术和数字交易管理服务。在5月15日报告说电子邮件信息被未知方窃取，已确认目前没有个人信息被共享，但是泄露的数据很容易使得DocuSign的用户遭到网络钓鱼攻击。


https://securingtomorrow.mcafee. ... -phishing-campaign/

---