1 TA505组织使用AndroMut下载FlawedAmmyy
Proofpoint研究人员观察到TA505组织在两个攻击活动中使用AndroMut下载FlawedAmmyy。AndroMut是一个用C++编写的新的下载恶意软件,2019年6月被发现。AndroMut使用Windows API散列加密,并采用两种方式解密字符串:(1)加密的字符串经过base64解码,然后在ECB模式下使用AES-256解密。(2)加密的字符串存储为堆栈字符串。AndroMut还使用多种反分析技术,如检查沙箱、Wine模拟器、调试器等。
https://www.proofpoint.com/us/th ... -andromut-uae-south
2 Sodin勒索软件利用合法处理器功能逃避安全检测
卡巴斯基研究人员发现Sodin(也称为Sodinokibi和REvil)勒索软件利用CVE-2018-8453 漏洞来提升Windows中的权限,并使用合法的处理器功能来逃避安全检测。Sodin使用混合方案来加密受害者文件。文件内容使用Salsa20对称流算法加密,其密钥使用椭圆曲线非对称算法。如果在配置块中设置了相应的标志,则木马会将有关受感染计算机的信息发送到其服务器。使用另一个硬编码的公钥,还使用ECIES算法对传输的数据进行加密。在执行过程中,木马会检查系统语言和可用的键盘布局,如果在列表中检测到匹配,则恶意软件进程将终止。
https://securelist.com/sodin-ransomware/91473/
3 LooCipher勒索软件通过带有恶意文档的邮件传播
Yoroi研究人员发现新勒索软件LooCipher,与大多数勒索软件不同,LooCipher通过恶意文档投递,恶意文档要求用户启用宏,一旦运行,它就开始加密除系统和程序文档以外的所有文件。加密后,恶意进程就会向C2发送有关受感染计算机的信息并检索BTC地址以显示在弹出窗口中。 每次勒索软件在“k.php”资源上联系其C2时,服务器都会生成一个新的BTC地址。恶意软件还会嵌入后备地址列表,以便在受害者计算机脱机无法访问C2时使用。
https://blog.yoroi.company/resea ... nfernal-ransomware/
WannaLocker ransomware found combined with RAT and banking trojan.pdf
(487.62 KB, 下载次数: 10)
4 WannaLocker结合多种恶意软件针对巴西银行
Avast研究人员发现WannaLocker勒索软件将间谍软件、远程访问木马(RAT)恶意软件和银行木马恶意软件捆绑在一个勒索软件包中,针对巴西的四大银行进行攻击。新版本的WannaLocker可能通过恶意链接或第三方商店入侵用户手机,研究人员表示这可能是手机版本的第一次出现,会收集文本信息、通话记录、电话号码和信用卡信息。
https://www.scmagazine.com/home/ ... and-banking-trojan/
5 美国警告伊朗黑客利用Outlook漏洞攻击政府网络
美国网络司令部在Twitter上发布警告,称伊朗黑客利用Outlook漏洞CVE-2017-11774持续感染政府网络。CVE-2017-11774是安全功能绕过漏洞,由于Outlook不正确地处理内存中的对象,攻击者可以利用漏洞执行任意命令。安全专家认为这些攻击与伊朗组织APT33有关。
https://securityaffairs.co/wordp ... -apt33-attacks.html
6 安全厂商披露定位Linux ELF恶意软件主函数方法
Linux系统容易受到勒索软件、加密货币挖矿软件、僵尸网络等恶意软件的攻击。通过反向工程文件定位main()函数的地址是检测和组织恶意软件的有效方法之一,当恶意软件样本使用符号编译时,其main()函数可以很容易被找到,但大多数恶意软件样本没有符号。趋势科技对Linux ELF恶意软件进行了分析,如果样本中不存在符号,则可以使用“info files”命令查找入口点,然后放置一个断点,使用“r”命令运行程序,并检查其代码。GDB用于反汇编指令,寻找main函数的地址,该过程是手动的,重复的,并且易于根据样品的某些特征进行变化,可以使用PEDA自动化处理。找到main函数后,可以对其行为、C2服务器和其他功能进行分析以检测和阻止恶意软件。
https://blog.trendmicro.com/tren ... f-malware-variants/
|
发表于 2019-7-3 21:36
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡