设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190711)
返回列表 发新帖

每日安全简讯(20190711)

[复制链接]
发表于 2019-7-10 21:40 | 显示全部楼层 |阅读模式
1 安全厂商披露恶意软件Powload逃避技术

Powload恶意软件通常被用作其他恶意软件的辅助载荷,因其能够将简单的感染方法与不断发展的规避手段结合而被广泛使用,其中最典型的就是银行木马Emotet。趋势科技研究人员通过分析5万多个样本,了解到Powload如何使用新技术来提高其效率以及逃避检测的方法。典型的Powload攻击使用社交工程让用户点击电子邮件附件(通常包含VBA编码的宏),隐藏的PowerShell进程以下载和执行恶意软件载荷。Powload使用的逃避手段主要包括:使用基于XML的文档来逃避检测;利用Forms模块隐藏恶意宏字符串;使用受密码保护的宏模块;可能使用隐藏的VBA项目模块。
 1.png

https://blog.trendmicro.com/tren ... evasion-techniques/

2 Sea Turtle攻击活动使用新DNS劫持技术

Cisco Talos研究人员近期发现Sea Turtle DNS劫持活动使用新的基础架构以及新的DNS劫持技术,对于新DNS劫持技术的使用,攻击者一直很谨慎,Cisco目前为止只确定了2018年的两个实体。新技术依旧涉及修改目标域的名称服务器记录,将合法用户指向攻击者控制的服务器,这些服务器名和被劫持的主机名都将在短时间内(通常少于24小时)解析为相同的IP地址。希腊ccTLD研究与技术基金会计算机科学研究所(ICS-Forth)网络2019年4月19日遭到入侵,基于遥测Cisco确认Sea Turtle活动攻击者可以访问ICS-Forth网络。初次报告以来,Sea Turtle活动继续针对不同实体,其目标包括:政府组织、能源公司、智囊团、国际非政府组织和机场。
 2.png

https://blog.talosintelligence.c ... ps-on-swimming.html

3 利用Windows提权漏洞的零日攻击针对东欧

2019年6月,ESET研究人员发现利用Windows中的本地权限提升漏洞的零日攻击高度针对东欧国家。此漏洞创建了两个窗口,分别在第一和第二阶段使用,第一个窗口创建弹出菜单对象并使用CreatePopupMenu和AppendMenu函数追加菜单项。漏洞利用程序还设置了WH_CALLWNDPROC和EVENT_SYSTEM_MENUPOPUPSTART挂钩,漏洞利用程序调用TrackPopupMenu函数显示一个菜单,然后执行连接到EVENT_SYSTEM_MENUPOPUPSTART的代码,通过向菜单发送消息序列打开第一个可用项。至关重要的一步是初始菜单已创建但子菜单尚未创建的时候处理WH_CALLWNDPROC钩子中的WM_NCCREATE消息,然后发送消息取消该菜单。攻击者使用第二个窗口是翻转第二个窗口的tagWND结构中的bServerSideWindowProc位。这导致在内核模式下执行WndProc过程。
 3.png

https://www.welivesecurity.com/2 ... -2019-1132-exploit/

4 美国海岸警卫队受攻击后发布海事安全咨询

美国海岸警卫队已发布安全警报,鼓励海员遵守基本的网络安全协议。今年2月份开往东海岸的船舶遇到“重大网络事件”,专家团队发现了恶意软件,尽管基本控制措施没有受到影响,但严重降低了机载计算机系统的功能。海上交通已成为伊朗与沙特阿拉伯及其盟国(包括美国)之间持续紧张局势的重要场所。网络行为者经常使用各种社交媒体平台与船只上的人员保持亲密联系,导致有关其船只位置或活动的信息泄露。FBI警告说,这些信息可用于追踪船只并进行物理攻击。联邦调查局还强调,黑客可以针对自动化系统追踪船舶轨迹。海岸警卫队的安全咨询鼓励船舶运营者划分网络,使黑客难以通过受入侵系统进行破坏。该咨询还强调每位员工都需要通过自己的密码连接到船舶网络,系统需要安装防病毒软件并且制定安全更新的计划。
 4.jpg

https://www.cyberscoop.com/coast ... ant-malware-attack/

5 新Trickbot木马部署自定义代理模块IcedID

研究人员发现Trickbot木马部署了自定义代理模块IcedID,代理模块可以拦截和修改Web流量,充当客户端和在线银行服务之间的本地代理服务器,并且包括窃取财务信息的虚假用户请求模板。研究人员表示此代理模块可以连接到谷歌浏览器,包括Mozilla Firefox、Internet Explorer和Microsoft Edge。
 5.jpg

https://cyware.com/news/trickbot ... ing-trojan-470f9c2e

6 微软发布七月安全更新修补两个零日漏洞

微软发布七月安全更新,包括1个建议、1个服务堆栈更新和77个漏洞的更新,包括两个零日漏洞。CVE-2019-1132是Win32k特权提升漏洞,攻击者可利用该漏洞以内核模式运行任意代码,可以安装程序,查看、更改或删除数据,以及创建具有完全用户权限的新帐户。CVE-2019-0880是Microsoft splwow64特权提升漏洞,由ReSecurity的Gene Yoo发现。
 6.png

https://www.bleepingcomputer.com ... ay-vulnerabilities/


回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 21:53

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表