设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20180730)
返回列表 发新帖

每日安全简讯(20180730)

[复制链接]
发表于 2018-7-29 20:11 | 显示全部楼层 |阅读模式
1 安全厂商揭示新型攻击手法DotNetToJScript

迈克菲实验室发现更多的攻击者使用受信任的Windows可执行文件攻击系统而不是利用外部恶意软件,其中最流行的技术之一是无文件攻击。研究人员发现一个无文件威胁CactusTorch使用DotNetToJScript技术,该技术直接从内存加载和执行恶意.NET程序集。与其他无文件攻击技术一样,DotNetToJScript不会在计算机硬盘上写入任何恶意.NET程序集的任何部分; 因此传统的文件扫描程序无法检测到这些攻击。DotNetToJScript工具包从未附带恶意软件。创建的唯一组件是输出JavaScript文件,该文件由脚本主机(wscript.exe)在目标系统上执行。无文件恶意软件利用安全软件与正版签名Windows应用程序之间的信任因素。由于此类攻击是通过信誉良好的可信任可执行文件启动的,因此很难检测到这些攻击。
 20180724-Cactus-2.png

https://securingtomorrow.mcafee. ... -to-infect-victims/

2 安全厂商发布挖矿木马PowerGhost分析报告

卡巴斯基实验室发现了一个有趣的挖矿恶意软件,被称为PowerGhost。PowerGhost能够在一个系统中隐秘地建立自己,并在大型企业网络中传播,感染工作站和服务器。该恶意软件具有挖矿软件的特性,受感染的机器越多,他们保留的时间越长,攻击者的利润就越大。PowerGhost是一个混淆的PowerShell脚本,包含核心代码和以下附加模块:实际挖矿恶意软件,mimikatz,挖矿操作所需的库msvcp120.dll和msvcr120.dll,反射PE注入模块和shellcode EternalBlue利用。恶意程序使用大量无文件技术逃避检测,使用漏洞利用程序或远程管理工具远程感染受害者计算机。在感染期间,运行单行PowerShell脚本,下载挖矿恶意软件的正文并立即启动它而不将其写入硬盘。
 2.png

https://securelist.com/a-mining-multitool/86950/

3 Underminer利用TCP加密隧道传播恶意软件

趋势科技发现了一个新的漏洞利用工具包Underminer,它能阻止研究人员跟踪其活动或逆向工程有效载荷。Underminer提供了一个感染系统引导扇区的bootkit以及一个名为Hidden Mellifera的加密货币挖掘恶意软件。Underminer通过加密传输控制协议(TCP)隧道传输恶意软件,并使用类似于ROM文件系统格式(romfs)的自定义格式打包恶意文件。这些使得漏洞利用工具包及其有效负载难以分析。
 feature_vul-200x200.jpg

https://blog.trendmicro.com/tren ... crypted-tcp-tunnel/

4 媒体称APT28组织试图攻击美国竞选参议员

俄罗斯APT组织继续瞄准美国政客,对参议员克莱尔麦卡斯基尔及其工作人员进行了钓鱼攻击。参议员克莱尔麦卡斯基尔正在为2018年的竞选连任做准备,她总是表达对俄罗斯及其在网络空间的侵略战略的批评且多次指责俄罗斯政府反对美国的民主进行网络战,她将总统弗拉基米尔·普京定义为“暴徒”和“欺负者”。黑客向参议院人员发送伪造通知电子邮件,声称目标的Microsoft Exchange密码已过期,并指示他们更改密码。如果目标点击该链接,会被重定向到美国参议院的Active Directory联合身份验证服务(ADFS)登录页面的副本虚假页面。麦卡斯基尔发表声明表示此次攻击没有成功。
 4.png

https://securityaffairs.co/wordp ... ator-mccaskill.html

5 新型勒索软件Hermes借助网络钓鱼活动传播

Cofense Intelligence首次发现一项网络钓鱼活动分发Hermes勒索软件。小范围传播武器化的微软doc文档文件,这些文档中包含加密混淆的宏代码。这些宏与攻击者控制的服务器联系,下载并执行Hermes的副本。Hermes表现出了一些独特的行为,例如在加密后不更改文件的扩展名,并在受感染的计算机上存储受害者特定的公钥和私钥。受害者一旦打开勒索说明文档,Hermes勒索软件会播放一个独特的音乐。这次Hermes的活动与观察到的分发GandCrab和Sigma的人有许多惊人的相似之处。相关性表明积极分发这些勒索软件的参与者可能正在分支并测试其他软件,但是研究人员还没有找到相关性的证据支持这种可能性。
 5.jpg

https://cofense.com/messenger-bo ... kes-phishing-debut/
Messenger of the Bots_ Hermes Malware Makes Phishing Debut - Cofense.pdf (860 KB, 下载次数: 26)

6 安全厂商发现汽车共享应用中存在安全漏洞

卡巴斯基实验室的研究人员分析了十几个汽车共享公司提供的移动应用程序,发现了可以被利用来获取个人信息甚至偷车的严重安全漏洞。这些应用程序在美国,欧洲和俄罗斯使用,并且已从Google Play下载超过100万次。利用这些漏洞攻击者可以劫持合法用户的帐户,以便在没有实际支付费用的情况下驾驶汽车,窃取其零件的车辆或犯罪,追踪用户的位置以及获取帐户持有人的个人信息。卡巴斯基指出,网络犯罪分子已经在销售被劫持的汽车共享账户。卡巴斯基还验证了保护汽车共享帐户的密码的强度,由于开发人员设置弱密码或为用户提供简短的一次性验证码,黑客可通过发起暴力攻击并获得密码或一次性代码。
 6.png

https://www.securityweek.com/car ... r-attacks-kaspersky


               
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 10:54

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表