设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190303)
返回列表 发新帖

每日安全简讯(20190303)

[复制链接]
发表于 2019-3-2 20:12 | 显示全部楼层 |阅读模式
1 Docker API和社区图像被用于传播挖矿软件

趋势科技研究人员通过监控威胁的容器蜜罐的数据分析,发现了利用Docker Hub上社区容器图像将挖矿软件部署成恶意容器的活动。这些活动不需要利用漏洞,也不依赖于任何版本的Docker。暴露的Docker API使用户能够执行各种命令。对蜜罐日志的进一步研究表明,使用容器图像还涉及利用ngrok,ngrok是一种用于建立安全连接或将流量从公共可访问端点转发到指定地址或资源(例如本地主机)的工具。攻击者能够在将有效载荷传递到公开主机时动态创建URL。有两种有效载荷,第一种是连接到挖掘池的Linux可执行文件和可链接格式(ELF)文件编译的加密货币挖掘软件,第二个是用于检索某些网络工具的shell脚本(TrojanSpy.SH.ZNETMAP.A)。这些用于扫描预定义的网络范围,然后查找新目标。
 1.jpg

https://blog.trendmicro.com/tren ... ncy-mining-malware/

2 Scarlet Widow组织开始进行BEC诈骗活动

Scarlet Widow组织已将他们的焦点从“浪漫”骗局转移到“退税转移”诈骗又转向“商业电子邮件妥协”(BEC)诈骗。其BEC诈骗网络钓鱼电子邮件活动针对印第安纳州和威斯康星州的小镇学校和学区、美国、英国、澳大利亚和新西兰的大学、慈善组织、医院和教堂。发送的电子邮件冒充Boss员工,要求用户购买Apple iTunes或Google Play礼品卡,并发送包含兑换码的礼品卡背面的快照。一旦受害者发送兑换代码的快照,诈骗者将在Paxful上交易礼品卡。Paxful是一种合法的美国对等加密货币交易所,用于将礼品卡转换为比特币。
 2.jpg

https://cyware.com/news/scarlet- ... o-bec-scam-f95b367b

3 研究人员发布Windows DHCP服务器漏洞分析

研究人员对Windows DHCP服务器漏洞CVE-2019-0626进行了深入分析。通过运行BinDiff对比修补前后的dhcpssvc.dll文件,找到4个函数发生了变化。通过观察其中一个UncodeOption功能函数打补丁前后的执行流程图发现两个有趣的循环代码,用IDA打开并进行反汇编分析。分析找到触发该函数的上一级调用,通过发送DHCP数据包成功调用并进行动态分析。成功将断点断在“UncodeOption”函数,并分析得到该函数的功能为:实现了一个典型的数组解析器。第一个循环向前读取以计算解析数组所需的缓冲区大小,然后第二个循环将数组解析为新分配的缓冲区。通过特殊构造能够在这些循环处造成缓冲区溢出,研究人员最后构造了POC进行了实验并成功溢出。
 3.png

https://www.malwaretech.com/2019 ... -cve-2019-0626.html

4 Adobe发布更新修补ColdFusion中0day漏洞

Adobe发布了ColdFusion 2018、2016和11版本的安全更新,以解决ColdFusion Web应用程序开发平台中的零日漏洞(CVE-2019-7816)。该漏洞是一个不受限制的文件上传漏洞,成功利用可能会导致任意代码执行。2018年11月发现了该漏洞被用于网络攻击。Adobe未提供有关利用此零日攻击的其他详细信息。
 4.jpg

https://securityaffairs.co/wordp ... oldfusion-0day.html

5 ACSC强化对澳大利亚政府系统的访问控制策略

澳大利亚网络安全中心(ACSC)出版的新Essential Eight Maturity模型中为用户认证设置了更严格、更灵活的控制,以抵御网络攻击。成熟度模型衡量一个组织是否符合澳大利亚信号局(ASD)基本八项减轻网络攻击的策略。这个新版本使该模型与澳大利亚政府的信息安全手册(ISM)的新版本保持一致,该手册也是在2018年12月重大更新后刚刚发布的。现在,应用程序白名单在成熟度级别2和级别3都是强制性的。根据基本八项的最新版本,有风险的Web内容成熟度级别不能超过3级。为防止特权用户阅读电子邮件和浏览网页而必须采取的强制性技术安全控制措施现在也不能通过在线服务获取文件。此外,必须有一个“自动机制”来确认并记录已部署的操作系统和固件补丁或更新已成功安装。
 5.jpg

https://www.zdnet.com/article/ac ... government-systems/

6 Cobalt Strike平台漏洞可被用于识别攻击者服务器

Fox-IT安全研究人员发现Cobalt Strike渗透测试平台最近修补的漏洞可用于识别攻击者服务器。Cobalt Strike平台专为对抗模拟而设计,常用于测试系统的弹性,在过去几年中也成为各种威胁组织的首选武器。漏洞是在1月份发布的Cobalt Strike版本3.13中提出的。与服务器的通信可以通过入侵检测系统(IDS)签名和其他技术进行指纹识别,从而帮助研究人员了解攻击者使用的服务器。Cobalt StrikeWeb服务器组件中的漏洞无意中在其所有HTTP响应中返回多余的空白,从而研究人员可以识别公开暴露的NanoHTTPD服务器或Cobalt Strike服务器。研究人员在2015年1月至2019年2月期间共发现7,718个独特的Cobalt Strike服务器或NanoHTTPD主机。
 6.png

https://www.securityweek.com/cob ... es-attacker-servers


               
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 02:47

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表