设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190220)
返回列表 发新帖

每日安全简讯(20190220)

[复制链接]
发表于 2019-2-19 19:56 | 显示全部楼层 |阅读模式
1 研究人员披露多阶段恶意软件Rietspoof

研究人员在2018年8月开始观察到新恶意软件系列Rietspoof,自2019年1月起,已从每月更新转为每日更新。Rietspoof利用多个阶段,结合多种文件格式,投送多样化的恶意软件。第一阶段通过即时通信客户端(如Skype或Messenger)投送高度混淆的Visual Basic脚本,其中包含一个硬编码和第二阶段加密的CAB文件,该文件为扩展为.exe,使用Comodo CA等数字签名,将在四阶段安装下载程序。该脚本启动时会创建新LNK文件,运行扩展的PE文件以保持持久性。第三阶段带有僵尸网络功能,使用TCP协议或HTTP(S)与C2通信,C2的IP地址采用二进制编码。在CBC模式下由AES加密,密钥从初始握手中获得或硬编码的字符串。第四阶段仅作为指定的下载程序,通过TCP上的NTLM协议建立经过身份验证的通道。
 17-flow-chart-of-communications.png

https://blog.avast.com/rietspoof-malware-increases-activity

2 新渗透技术可在用户预览文档时触发载荷

安全研究人员最近在分析样本时,发现了一种新的恶意软件渗透技术,用户无需打开包含恶意软件的Word(也适用于Outlook)文档,即可触发恶意软件,并且文件被标记为来自不可靠的位置时,同样有效,下载有效载荷还避免了一些AV API扫描。研究人员分析发现,当单击Outlook或Windows资源管理器上的文档预览时,会触发恶意软件。该恶意文档不包含宏,而使用RTF文档格式的功能,使用“\objupdate”嵌入Excel来强制更新。它在页脚中包含五个嵌入的Excel工作簿,每个工作簿在单元格G135中保存base64编码的文本,Excel包含打开时运行的宏,然后读取单元格G135的内容并将该文本转换为在PowerShell中运行的脚本,最终投送恶意软件。
 PreviewPop-1024x472.png

https://www.bromium.com/new-malware-launches-in-preview-pane/

3 存储设备制造商QNAP遭恶意软件攻击

网络附件存储 (NAS)设备制造商QNAP发布安全公告,表示其NAS设备遭到恶意软件攻击,此次攻击被评级为高严重性,但未提供有关受影响产品的详细信息。根据客户反应设备出现的问题可以看出,受感染的设备会对IP地址0.0.0.0发出大量请求。 QNAP表示目前正在分析恶意软件,并将尽快提供解决方案,并建议QNAP NAS客户手动将Malware Remover更新到最新版本,以清除感染。该公司的存储设备也是去年乌克兰关键基础设施组织遭遇VPNFilter攻击的目标之一。
 shutterstock_427837258.jpg

https://www.securityweek.com/sto ... ing-its-nas-devices

4 LG的内核驱动程序中存在权限提升漏洞

研究人员在LG内核驱动程序中发现了一个漏洞,该漏洞被追踪为CVE-2019-8372,允许攻击者将权限提升到系统权限。该漏洞存在于与LG设备管理器系统服务相关联的LHA内核模式驱动程序,该驱动程序用于低级硬件访问(LHA),包括读写任意物理内存的IOCTL调度功能。加载后,非管理用户可以访问驱动程序创建的设备,这将允许攻击者利用这些功能,通过在物理内存中搜索EPROCESS系统进程的安全令牌,并将其写入EPROCESSPowerShell进程的结构,来提升标准帐户的权限。
 181118-poc_cfg.png

http://jackson-t.ca/lg-driver-lpe.html

5 Kali Linux发布最新版本修复了大量错误

Offensive Security发布了Kali Linux 2019.1,这是Kali Linux操作系统2019年的第一个新发布版本。该版本将内核升级到版本4.19.13,修复了大量错误,并包含多个更新软件包。其中将工具Metasploit更新到5.0版本,大规模更新包括数据库和自动化API,新逃避功能以及整个可用性改进,这也是自2011年4.0版本发布以来的第一个主要版本。ARM映像添加对内核版本4.19的Banana Pi和Banana Pro的支持。
 kali-release-2019.png

https://www.kali.org/news/kali-linux-2019-1-release/

6 瑞典近7年卫生热线咨询电话录音泄露

瑞典近7年卫生热线咨询电话热线1177 Vardguiden以录音文件形式在网上泄露。泄露数据包括约5.7万个号码、270万个电话、17万个小时录音存储在开放的Web服务器上,没有任何加密或身份验证,任何人都可以通过Web浏览器完全暴露个人信息。具体内容包括有关患者疾病、药物和病史的敏感信息,部分还包括社会安全号码。泄露电话录音似乎都是打给1177 Vardguiden分包商Medicall,Medicall是总部设在泰国的瑞典公司,但Medicall的CEO否认了此事。
 Untitled-design104-796x417 (1).png

https://thenextweb.com/eu/2019/0 ... unprotected-online/
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 02:45

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表