1 SharePoint被用作网络钓鱼攻击新手段
云安全公司Avanan的研究人员发现一种新的SharePoint钓鱼攻击技术。过去2周,全球大约10%的Office 365用户受其影响。这一技术与以往的钓鱼攻击的不同之处在于,恶意链接被放在SharePoint文件中,而不是邮件当中,从而绕过Office 365内建安全机制。这一新的技术手段被命名为PhishPoint。在典型的攻击场景中,受害者首先收到一个看似正常的邀请参与协同工作的邮件,其中包含指向一个SharePoint文档的链接。一旦收件人点击这一链接,浏览器就会自动打开该SharePoint文档,其内容是标准的OneDrive文件访问请求,以及一个指向“访问文档”的超链接,但实际上它是指向仿冒Office 365登录页面的恶意URL,要求用户提供登录凭据。专家指出,这一攻击技术利用了微软安全机制内在的缺陷,即它仅对电子邮件内容及其包含的链接扫描。PhishPoint将恶意URL放在SharePoint文档中,而指向SharePoint文档的链接必定不在黑名单中,从而全身通过。这一问题目前没 有好的解决方案。专家提醒用户,看到登录页面时一定确认浏览器的地址是否指双向合法资源;另外,要使用双因素认证。
https://www.avanan.com/resources/phishpoint-attack
2 远程访问木马出现新版本的跨平台jRAT
赛门铁克近日观察到一个更新版本的跨平台jRAT(Trojan.Maljava)远程访问木马(RAT),可在FreeBSD, OpenBSD, OSX, Solaris, Linux, Windows以及Android平台活动,体现了其跨平台的特性。此版本使用新技术来逃避解析和检测,并通过在恶意JAR文件之前预先添加损坏的MZ文件来防止自身被逆向工程。攻击从向受害者发送以财务为主题的垃圾邮件开始,使用社交工程技术,诱骗诱受害者打开恶意JAR文件附件,此文件带有MZ标头和两个损坏的MZ文件,目的为逃避MZ和Java解析器的解析和逆向工程。而研究人员分析发现,Java能够加载和执行此JAR文件,从中看出其配置文件使用AES加密,密钥文件可见,随Windows启动而运行后,执行并连接到C&C服务器,使用WMIC接口来识别受感染计算机上安装的防病毒产品和防火墙详细信息。JAR文件包含用于捕获屏幕截图,播放音频,下载和执行文件,进出文件的I/O,记录击键等特定于多平台实现的各种类,以实现获取机密信息的功能。该恶意软件攻击目标主要针对金融领域,而服务,通信,酒店,政府和能源领域也受到了感染。
https://www.symantec.com/blogs/t ... -parsing-techniques
3 安全人员发现金融木马新变种Trickbot
Cyber​​bit恶意软件研究团队对最新的Trickbot变种进行了研究。Trickbot的新变种带有隐形代码注入技术,新变种的Trickbot采用隐秘的代码注入技术,采用三种方法执行Process Hollowing:直接系统调用、抗分析以及禁用安全工具,新的Trickbot变种的行为模式类似于Flokibot银行特洛伊木马。Trickbot变种采用包含宏代码的word文档,为逃避沙箱检测,当用户执行放大或缩小文档来调整窗口大小之后才会触发InkPicture1_Resize方法,开始执行宏。然后宏开始执行PowerShell,下载并执行Trickbot。过程中还使用长或短时间的睡眠和无用的函数调用,禁用并删除了Windows Defender服务以逃避沙箱检测。研究人员称Trickbot变种使用通过系统调用直接调用函数的手段,可以绕过安全工具挂钩,因此大多数安全产品都不会检测到这种威胁。
https://www.cyberbit.com/blog/en ... icks-up-its-sleeve/
4 安全厂商发布VB中UAF漏洞的分析报告
8月15日,趋势科技发布了漏洞CVE-2018-8373(IE中vbscript.dll的UAF漏洞)的详细分析。该漏洞利用是上月在恶意流量中检测到的,本周二发布的微软补丁中已修复。此外,虽然该漏洞影响最新版Windows的VBScript引擎,但默认情况下Windows 10 RS3中的VBScript已被有效禁用,所以IE 11并不容易受到攻击。该漏洞源于VBScript中类对象内存管理的bug,构造内存释放后执行(UAF),进而在内存中构造执行上下文并执行shellcode。研究人员捕获的漏洞利用使用了非常复杂的混淆技术,与此前发现的CVE-2018-8174(今年5月的补丁中已修复)相同,通过两者的运行shellcode对比,怀疑为同一个开发者。这是今年发现的第二个VB引擎漏洞,因此专家认为,未来还会发现更多类似的漏洞利用。
https://blog.trendmicro.com/tren ... r-to-run-shellcode/
5 攻击者可通过HTML标签窃取网页秘密
Imperva的安全研究员Ron Masas发现Google修补了Chrome浏览器中存在一个漏洞,该漏洞为CVE-2018-6177,允许攻击者通过音频或视频HTML标签从其它网站检索敏感信息。Masas称这个漏洞让攻击者可以使用视频或音频标签来估计跨源资源的大小,一次针对多个用户进行攻击。攻击需要恶意代码以从音频和视频HTML标签中加载合法网站的内容,因为此攻击绕过了跨源资源共享的浏览器安全特性CORS(防止站点从其它网站加载资源),所以可以推断出从其它站点获得的响应的大小,并猜测各种类型的信息。此漏洞攻击与3月份影响Edge和Firefox的漏洞Wavethrough(CVE-2018-8235)的相似,不同之处在于Wavethrough会在破坏CORS后检索它找到的任何数据,而此漏洞不断请求其它站点提供信息,试图猜测数据。安全研究员Gualtieri认为攻击者也可以成功的访问API。目前此漏洞已被修复。
https://www.bleepingcomputer.com ... or-video-html-tags/
6 Instagram用户被黑客进行了广泛攻击
近日,Instagram受到了广泛的黑客攻击活动的打击,并在过去一周影响了数百名用户,使其账户被锁定,并将电子邮件地址更改为.ru的域名。受害者称黑客在攻击中更改了他们的帐户名称、个人资料图片、密码、相关联的电子邮件地址和连接的Facebook帐户。黑客还入侵了启用的双因素身份验证(2FA)的用户。目前还不清楚Instagram账户被广泛攻击的组织和原因,但从使用来自俄罗斯电子邮件提供商mail.ru的电子邮件地址,表明攻击者可能使来自俄罗斯黑客或黑客组织或者假装来自俄罗斯。
https://thehackernews.com/2018/08/hack-instagram-accounts.html
|
发表于 2018-8-16 18:35
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡