设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190424)
返回列表 发新帖

每日安全简讯(20190424)

[复制链接]
发表于 2019-4-23 21:50 | 显示全部楼层 |阅读模式
1 安全厂商披露与FIN7相关Carbanak技术细节

FireEye研究人员基于之前发现遗漏的源代码,从二进制角度对强大的多功能后门CARBANAK进行了技术分析。CARBANAK被追踪为金融犯罪组织FIN7。2017年之后,研究人员发现了两个RAR文档,其中包含CARBANAK源代码、构建器和其它工具。CARBANAK源代码为20MB,包含755个文件,包含39个二进制文件和100,000行代码。源代码文件使用西里尔语编码和英语,CARBANAK的C2用户界面包括视频管理和回放应用程序。RAR存档中包含的后门构建器和解释了所有后门命令语义的操作员手册。CARBANAK使用一个称为命名管道的Windows机制,作为在后门控制下的所有线程、进程和插件之间进行通信和协调的手段。CARBANAK的可执行代码实行将十六进制数推到同一个函数的逻辑,然后对返回的值进行间接调用,反分析机制是通过使用C预处理器宏和预编译源代码扫描步骤来计算函数散列,相对轻松地实现了整个后门混淆的函数导入解析。
 Blog-Carbanak-header-v2.png

https://www.fireeye.com/blog/thr ... are-occurrence.html

2 俄罗斯黑客利用TeamViewer攻击欧洲大使馆

近日,Check Point研究人员发现了针对政府财政部门官员和欧洲几个大使馆代表的针对性攻击。攻击始于伪装成美国绝密文件的恶意XLSM附件,启用恶意宏后将提取合法AHK脚本,通过向C2服务器发送POST请求,来通过URL下载并执行另外三个AHK脚本,它们可分别实现拍摄受害者PC的屏幕截图、受害者的用户名和计算机信息和下载恶意版本TeamViewer并执行,将以上数据及TeamViewer登陆凭据发送到C2。恶意TeamViewer DLL通过DLL侧加载技术加载,通过连接程序调用的Windows API来添加更多恶意功能。研究人员目前发现受攻击的国家有尼泊尔、圭亚那、肯尼亚、意大利、利比里亚、百慕大、黎巴嫩,归因分析发现诱饵文档中包含西里尔语元素,例如工作簿名称,还追踪到似乎是该活动中使用工具的创建者,他是名为“EvaPiks”的暗网在线俄语黑客,因此研究人员表示幕后攻击者可能是出于经济动机的黑客团体。
 fig2-2.png

https://research.checkpoint.com/ ... government-targets/

3 攻击者利用Windows MSI文件运行恶意脚本

趋势科技研究人员最近发现了攻击者利用Windows Installer MSI文件来运行恶意JavaScript、VBScript和PowerShell脚本,该攻击手法可能会绕过传统的安全解决方案。Windows Installer使用Microsoft软件安装(MSI)包文件来安装程序,每个包文件都有一个关系型数据库,其中包含安装或删除程序所需的指令和数据。恶意行为者通过利用这些文件中的自定义操作来执行恶意脚本后,释放能够启动系统关闭或定位位于特定位置的财务系统的恶意软件。
 msi-spam-routine-fig-11.jpg

https://blog.trendmicro.com/tren ... powershell-scripts/

4 研究人员发现利用WordPress插件漏洞的攻击

Paloalto unit42团队发现了利用WordPress插件漏洞的攻击样本。该WordPress漏洞为跨站点脚本攻击(XSS)漏洞和远程代码执行(RCE)漏洞,二者ID都由CVE-2019-9978追踪。研究人员发现了其中一个样本的POST请求,该示例利用RCE漏洞,通过操作单行的webshell,最终控制目标网站。另一个示例为利用XSS漏洞存储的恶意JavaScript代码,它可将受害者重定向到广告站点,使攻击者获得广告收入。研究人员发现大约有40,000个已安装此插件的网站,其中大多数都运行易受攻击的版本,其中许多网站都获得了高流量,在此督促网站管理者尽快进行版本升级,修复漏洞降低安全风险。
 Figure-5.-POST-request-for-sample-found-in-the-wild.png

https://unit42.paloaltonetworks. ... ugin-cve-2019-9978/

5 研究表明:耳机等音频输出设备可被用于窃听

研究人员表示耳机和其它音频输出设备的存在各种潜在风险和漏洞,以及与它们相关的任何技术,包括一些耳机套装附带的软件可能成为攻击的对象,以用来创建窃取音频的麦克风。以色列本古里安大学(BGU)的研究人员发现了一种方法,可以自动完成将输出转换为输入的物理任务,并提高耳机在转换过程中清晰捕捉房间内声音的能力。研究人员在Realtek的声卡上引入了一种名为SPEAKE(a)R的概念验证恶意软件,它将输出通道重新分配给连接到PC或笔记本电脑的耳机组的输入通道,然后可记录在房间内发生的任何声音或对话。
 shutterstock_602845532-900x506.jpg

https://blog.malwarebytes.com/10 ... dio-output-devices/
1611.07350.pdf (2.42 MB, 下载次数: 80)

6 赛门铁克宣布成为美国国防部DIB CS计划成员

网络安全公司赛门铁克于4月22日宣布已成为美国国防部(DOD)国防工业基地(DIB)网络安全(CS)计划的成员。DIB CS项目是由国防部建立的,是一项自愿的网络威胁信息共享倡议,旨在增强和补充DIB参与者减轻网络攻击的能力。该计划特点是组成了一个协作的信息共享环境,成员自愿报告网络威胁以及如何预防/消减这些威胁的信息。赛门铁克通过广泛的协同工作增强美国的安全感知能力以达到支持国防部打击网络对手的任务。DIB CS项目中的合作伙伴可以从赛门铁克的一系列网络安全能力中受益,从而能够遵守美国国家标准与技术协会(NIST) SP 800-171的要求。NIST SP 800-171为保护存储在非联邦系统和组织中的受控非机密信息(CUI)建立了一套安全要求。
 military-cyber.jpg

https://investor.symantec.com/Ab ... rogram/default.aspx


回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 00:55

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表