每日安全简讯(20190712）

1 新Miori变种使用基于文本的协议与C2进行通信

Mirai变种通常使用基于二进制的协议与C2进行通信，连接到C2会显示要求输入用户名和密码的登录提示。趋势科技研究人员发现Mirai的新变种不再使用基于二进制的协议，而是改用基于文本的协议。C2会收到一个特定的字符串然后才允许访问控制台，新变种还使用一种协议来接收加密命令，在等待命令时，恶意软件会扫描易受攻击的远程登录主机并将其IP地址和帐户信息发送到C2服务器。新变种配置数据被分开并单独存储，其中一部分仍然使用XOR加密，其他部分使用更多加密方式。


https://blog.trendmicro.com/tren ... ommunicate-with-cc/

---

2 Pale Moon Windows档案服务器感染恶意软件

Pale Moon网络浏览器团队称其Windows档案服务器遭到破坏，黑客在2017年12月27日用Win32 / ClipBanker.DY木马感染了Pale Moon 27.6.2及之前版本的所有安装程序，下载Pale Moon浏览器安装程序和自解压存档的用户将感染恶意软件。根据Pale Moon数据泄漏验证，Pale Moon的主要分销渠道不受影响，只有顶级服务器上的.exe文件受到影响，存档内的文件不会被修改。


https://www.bleepingcomputer.com ... -a-malware-dropper/

---

3 Magecart利用Amazon S3存储桶感染1.7万个网站

研究人员发现Magecart组织针对超过1.7万个网络域名进行的供应链攻击，活动始于2019年4月初，Magecart组织一直在互联网上扫描错误配置的允许任何人访问的Amazon S3存储桶并在找到的所有JavaScript文件中注入支付卡信息窃取代码。攻击者在攻击中尽可能覆盖更大的感染范围，而不是专注于针对目标，许多受感染的JavaScript文件甚至都不是支付页面的一部分。但是通过寻找开放式S3存储桶来实现感染，即使只有少数窃取脚本返回支付数据，攻击者也可以获得可观的回报。


https://thehackernews.com/2019/07/magecart-amazon-s3-hacking.html

---

4 恶意PHP脚本针对Magento网站窃取付款信息

研究人员发现恶意PHP脚本，其创建者名称为“Magento Killer”，针对Magento网站窃取付款信息。攻击的初始阶段，攻击者使用base64中编码的特殊SQL查询。由于可以访问网站的文件系统，攻击者可以从Magento文件./app/etc/local.xml中窃取加密密钥，然后将信用卡信息解密为明文，再将信息其用于欺诈性交易或出售。为使用被盗的支付数据，黑客还必须从数据库中窃取客户其它信息，如姓名、电子邮件地址、实际邮寄地址以及与被盗信用卡相关的其他结算信息。


https://blog.sucuri.net/2019/07/magento-killer.html

---

5 黑客利用RIG漏洞利用工具包传播ERIS勒索软件

攻击者正在使用RIG漏洞利用工具包来传播勒索软件，该勒索软件称为ERIS，于2019年5月被发现。攻击者利用popcash广告网络将用户重定向到RIG漏洞利用工具包。RIG漏洞利用工具包在目标计算机上查找漏洞并在用户不知情的情况下安装勒索软件。加密受害者的文件后以.ERIS作为扩展名。每个加密文件在文件末尾以_FLAG_ENCRYPTED_标记，表示已加密。最后留下名为@READ ME TO RECOVER FILES @ .txt的勒索信，其中包含付款指示。


https://cyware.com/news/newly-di ... ropagation-44512d8e

---

6 攻击者利用SQL注入漏洞入侵Drupal网站主页

攻击者利用Drupal安装中存在两年的SQL注入漏洞入侵Drupal网站主页并安装基于Web的勒索软件。第一次感染开始于3月11日出现，在3月18日之后感染加剧。首先扫描网站是否存在/CHANGELOG.txt（Drupal CMS特定文件）和/joomla.xml文件，然后使用CVE-2014-3704漏洞进入受影响的网站并最终更改管理员用户的密码。一旦获得对该站点的控制，Drupal站点上会自动设置一个包含文件上载表单的新页面，然后上传各种脚本用于从Drupal数据库中提取电子邮件，最后上传Go语言编写的二进制文件（勒索软件）。大约有400个网站感染了这种勒索软件。


https://news.softpedia.com/news/ ... omware-504300.shtml

---