设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20181115)
返回列表 发新帖

每日安全简讯(20181115)

[复制链接]
发表于 2018-11-14 20:17 | 显示全部楼层 |阅读模式
1 Lazarus使用韩国和美国服务器进行APT攻击

研究人员发现了一个执行后门(RAT)的二进制(EXE)文件,该文件2018年11月7日创建。分析发现,该文件与2018年2月发现的文件具有类似结构和代码重叠。恶意文档使用英语编写,但代码页949表明这是在韩语环境中编译的。提示显示要求用户打开宏。宏运行之前,恶意函数不会被调用,而英文版的Office将导致宏运行。恶意宏会连接特定网站安装其他恶意软件。研究人员发现,与C2通信的代理,功能和结构与2月发现的样本几乎相同,但C2地址被部分改变。恶意软件使用两个韩国IP和两个美国IP与四个C2通信,并且美国的IP还被用于恶意文件存储。
 1.jpg

http://blog.alyac.co.kr/1978

2 Muhstik新变种针对phpMyAdmin服务器

Muhstik僵尸网络最初在2018年5月被发现,主要针对GPON路由器。Intezer研究人员发现Muhstik通过定位托管phpMyAdmin的 Web服务器来扩展其受损设备的范围。PhpMyAdmin是PHP编写的开源工具,通过Web管理MySQL。最近针对phpMyAdmin服务器的物联网恶意软件活动名为Operation Prowli。研究人员发现了Muhstik之前没有使用过的字符串,进而发现变体增加了phpMyAdmin扫描器模块,使用字符串重用共享大部分phpMyAdmin扫描程序代码库。新变体与早期的Mushstik有相同的基础结构,具有扫描、报告、下载和控制阶段。扫描程序是一个命令行工具实用程序,尝试从下载服务器获得用于暴力破解的CIDR列表并进行扫描。一旦扫描程序找到易受攻击的服务器,就会将完整的URL上报到服务器。Muhstik与Tsunami存在代码重用,而Tsunami和STDBot来自一个名为Kaiten的IRC僵尸程序恶意软件。因此Muhstik也基于Kaiten恶意软件。研究人员还发现Muhstik与开源TCP  端口扫描工具Pnscan共享同一个数据库。
 2.jpg

https://www.intezer.com/muhstik- ... phpmyadmin-servers/

3 研究人员发现挖矿恶意软件WebCobra

迈克菲研究人员发现了名为WebCobra的新俄罗斯恶意软件,下载并安装Cryptonight矿工或Claymore的Zcash矿工(取决于系统环境),它利用受感染主机的计算能力挖掘加密货币。恶意软件通过虚假PUP安装程序安装,全球范围内皆有感染,其中巴西、南非和美国的感染数量最多。投递程序是一个Microsoft安装程序,用于检查运行环境。在x86系统上,它将Cryptonight miner代码注入正在运行的进程并启动进程监视器。在x64系统上,它检查GPU配置和下载,并从远程服务器执行Claymore的Zcash矿工。
 3.png

https://securingtomorrow.mcafee. ... ine-cryptocurrency/

4 安全厂商披露用于攻击中东的零日技术细节

卡巴斯基研究人员在2018年10月发现win32k.sys中存在零日漏洞。漏洞利用程序由恶意软件安装程序的第一阶段执行,以获得持久性对受害者系统的必要特权。到目前为止,研究人员已经检测到使用此漏洞的有限次的攻击。受害者位于中东。攻击者通过创建具有类和关联窗口的两个线程使用该漏洞,并在两个线程共有的窗口过程中将相反线程的窗口移动到WM_NCCALCSIZE消息的回调内。WM_NCCALCSIZE回调内的最大递归级别将终止相反的线程,将导致攻击者控制的lParam结构的copyin异步。成功将核心部分复制到win32k!SfnINOUTNCCALCSIZE后,该漏洞利用指向shellcode的指针填充lParam,核心部分跳转到用户级别。
 4.png

https://securelist.com/a-new-exp ... ve-2018-8589/88845/

5 Microsoft发布12个严重Windows漏洞更新

2018年11月13日,Microsoft发布超过62个漏洞的补丁,其中12个被评级为严重漏洞。Windows Server 2016和Windows Server 2019中存在BitLocker安全功能绕过漏洞(CVE-2018-8566)。为了利用该漏洞,用户必须在机器开机的情况下能物理上抵近目标。Windows采用启用Bitlocker Device Encryption(Bitlocker设备加密)以修补该漏洞。虽然该漏洞已为人知,但是没有发现被恶意利用的实际案例。CVE-2018-8589是Win32k.sys中的权限提升漏洞,存在于Windows 7、Windows Server 2008和Windows Server 2008 R2中,攻击者可利用该漏洞执行任意代码,从而获得管理员权限。
 4.jpg

https://news.softpedia.com/news/ ... lities-523773.shtml

6 研究者利用机器学习聚类Gh0st RAT恶意网络流

趋势科技研究了利用机器学习聚类恶意网络流的方法,用于加强当前的入侵检测技术。研究者用Gh0st RAT进行了实验,聚类相似类型的恶意网络流的半监督模型产生了有利的结果。Gh0st RAT是常用的后门家族,通常通过政治主题的钓鱼邮件分发。由于源代码可公开访问,Gh0st RAT多年来产生了多种变体。机器学习群集网络流可以提供不同网络模式下关于恶意流量的见解,可以将传入流量与未来的恶意软件变体相关联。由于其有效载荷的相似性,研究者得到了聚集在多个版本的Gh0st RAT上的流。
 6.jpg

https://blog.trendmicro.com/tren ... gh0st-rat-variants/


感谢李先毅老师指出翻译错误,敬请业内各位专家和读者多提宝贵建议,我们会做得更好。       
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 06:27

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表