1 研究人员发现恶意软件Osiris采用新加载手法
malwarebytes研究人员最近在银行特洛伊木马Kronos的新版本Osiris的释放器中,发现使用模仿过程的进一步定制的新技术Process Doppelgänging。该技术的最初版发布于17年blackhat会议上,并在之后SynAck的勒索软件中被使用,攻击者利用此技术作为加载器,经过三个阶段在受害机器上部署Osiris。第一阶段使用Process Doppelgänging的衍生版。初始释放器创建新的挂起进程wermgr.exe,加载包括NTDLL副本的模块,攻击者从磁盘加载自己的,新鲜的和未挂钩的NTDLL副本,为了使其从正常的DLL脱离,以逃避监控应用程序并隐藏API调用。并调用NTFS事务相关的API,来创建丢弃荷载的不可见文件。此时恶意软件开发者将已创建的两个不相关的部分,ProcessDoppelgänging和Process Hollowing中的元素进行组合,包括注入荷载的内存空间上设置的保护权限和流程建立,以得到更强大的组合。第二阶段加载器导入一个DLL Kernel32,加载最终的荷载并跳转入口点,使用原始的Kronos技术隐藏入口点。当成功将Osiris部署到受害机器上,进入第三阶段,攻击者可以执行所有的恶意活动。
https://blog.malwarebytes.com/th ... s-hollowing_osiris/
2 勒索软件新变种KeyPass正在全球积极传播
卡巴斯基研究人员最近几天通过反勒索软件模块检测到恶意软件的新变种KeyPass勒索软件,传播方式为下载勒索软件模块的虚假安装程序,并在8月份开始积极传播。研究人员对监测到的事例分析看出,KeyPass程序用C++编写,并在MS Visual Studio中编译,使用库MFC、Boost和Crypto++进行开发。PE报头包含最近的编译日期8月7日。当在受害者的计算机上启动时,KeyPass将其可执行文件复制到%LocalAppData%并启动,然后将原始位置文件删除。之后KeyPass将衍生自己进程的多个副本,并将加密密钥和受害者ID作为命令行参数传递。KeyPass从受感染计算机可枚举访问本地驱动器和网络共享,并搜索所有文件,它会跳过多个目录中的文件,其路径被硬编码到样本中。在已处理的目录中,保存扩展名为.KEYPASS机密文件和勒索赎金说明!!!KEYPASS_DECRYPTION_INFO!!!.txt。KeyPass开发人员在CFB模式下,使用带有zero IV 和相同的32字节密钥的对称算法AES-256的简单方案对所有文件进行加密,启动后,KeyPass连接到C&C服务器,并接收当前受害者的加密密钥和感染ID,数据以JSON的形式通过纯HTTP传输。如果C&C无法访问,使用硬编码密钥和ID进行离线加密,此时对受害者文件进行解密将是不重要的。研究人员称KeyPass木马包含一个默认隐藏的表单,按下键盘上的特殊按钮后可以显示该表单,此功能表明该木马可以采用手动控制。
https://securelist.com/keypass-ransomware/87412/
3 研究者称Faxploit攻击成为突破企业网络入口
Check Point研究人员上周在DEF CON 26安全会议上透露,最近在广泛使用的G3传真协议中发现的两个漏洞,可以将传真机转变为黑客进入企业网络的入口点。该攻击被命名为Faxploit。Faxploit在处理DHT和COM标记的传真协议组件中利用了两个缓冲区溢出CVE-2018-5924和CVE-2018-5925。攻击者可以将格式错误的传真图像发送到传真机,其中包含漏洞的代码,然后获得目标设备的远程代码执行权限,从而允许黑客运行自己的代码并接管机器,进行包括下载和部署其他黑客工具,扫描本地网络并危及附近的设备的后续活动。研究人员表示Faxploit是只需要受害者的传真号码就可定位组织的简单攻击,通过谷歌进行简单搜索,有超过3亿个传真号码正在被使用,均可以成为攻击者目标。攻击代码通过电话线进行,而不是互联网连接,因没有相关安全软件对传入传真进行扫描,所以Faxploit将几乎不可能阻止。目前,惠普已在8月1日对此漏洞发布补丁,其它供应商将在未来几个月内测试他们的设备并发布补丁。
https://research.checkpoint.com/ ... k-to-the-dark-ages/
4 澳大利亚NetComm工业路由器存在关键漏洞
安全研究员Aditya K. Sood在澳大利亚公司NetComm Wireless制造的工业路由器中发现两个关键漏洞,这些漏洞可以被远程利用控制受影响的设备。受影响的型号是NetComm 4G LTE轻工业M2M路由器,运行固件版本2.0.29.11和先前版本。ICS-CERT发布了会影响到工业路由器的四个漏洞并被归类高度严重的信息列表,分为信息泄露、跨站点请求伪造(CSRF)、跨站点脚本(XSS)和另一个信息泄露,跟踪为CVE-2018-14782到CVE-2018-14785,其中CSRF与XSS被列为关键漏洞。远程攻击者可以触发CSRF条件以更改设备的密码,可以执行多种XSS在设备上运行任意代码,Netcomm工业路由器正易受此种攻击。其中一个是通过目录列表的信息泄露,可以由攻击者触发,从而获得所有资源的完整索引。另一个信息泄露,可以被攻击者利用来获取路由器组件的详细信息。NetComm以发布了固件更新,解决了自5月中旬就存在的安全漏洞。
https://securityaffairs.co/wordp ... -routers-flaws.html
5 思科发布多个安全更新修补IKE协议漏洞
8月13日,思科发布了用于修补运行设备的IOS和IOS XE操作系统中漏洞的安全更新,该漏洞被跟踪为CVE-2018-0131,并且是针对IKE(Internet密钥交换)协议的新Bleichenbacher oracle加密攻击的四个CVE标识符之一。思科称该漏洞可能允许未经身份验证的远程攻击者获取IKEv1会话的加密nonce,有能力恢复IKEv1 nonce的攻击者,也可以恢复通过IPsec发送的数据,该协议是大多数VPN传输的基础。在本周举行的Usenix安全大会上,研究人员表示IKE的不同版本和模式之间重用密钥对可以导致绕过协议认证,从而使攻击者能够模仿受害者主机或网络。在IKEv1模式下利用Bleichenbacher oracle,其中RSA加密的nonce用于身份验证,使用此漏洞,可以打破这些基于RSA加密的模式和在IKEv1和IKEv2中基于RSA签名的身份验证,而针对基于PSK(预共享密钥)的IKE模式的离线字典攻击,可以覆盖了IKE的所有可用认证机制。这些攻击不利于思科(CVE-2018-0131), 华为(CVE-2017-17305), Clavister (CVE-2018-8753), ZyXEL (CVE-2018-9129)的IKEv1实施。思科表示是受此漏洞影响最大供应商,包括主要产品、IOS(网络操作系统)和基于linux的分支IOS XE,并建议用户使用此补丁。
https://www.bleepingcomputer.com ... -ike-crypto-attack/
The Dangers of Key Reuse Practical Attacks on IPsec IKE.pdf
(1.57 MB, 下载次数: 33)
6 研究者称智能家电僵尸网络可拖垮电网
普林斯顿大学的安全研究人员在近日Usenix安全大会上确定表示,由数千台联网并可被攻击的家电如空调、热水器能够形成一个僵尸网络,而这可能会导致电网供电量严重不足进而导致大面积停电的现象发生。研究人员担心专职黑客可能直接渗透到关键基础设施,如电网,关闭电源和制造混乱。普林斯顿大学团队通过研究表明,由被黑的成千上万的热水器或几十万台空调造成的僵尸网络,可以攻陷为多达3800万人提供服务的电网,估计实际需求会高出1%。大规模停电可能是极其危险的,因为从执法机构到医院,所有的一切都同时失去电力。研究人员称希望电网运营商、智能设备制造商和系统安全专家能提高对此问题认识,以使电网以及其它相互依赖的网络更安全地抵御网络攻击,这需要严格追求物联网设备的安全性,包括监管框架。
https://www.cnet.com/news/report ... own-the-power-grid/
|
发表于 2018-8-14 19:36
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡