找回密码
 注册创意安天

每日安全简讯(20190816)

[复制链接]
发表于 2019-8-15 21:20 | 显示全部楼层 |阅读模式
1 攻击者利用后门和远控木马攻击巴尔干地区

ESET研究人员发现一项利用BalkanDoor后门和BalkanRAT远控木马针对巴尔干地区的攻击活动。该活动至少从2016年开始活跃,最新活动时间为2019年7月,目标包括巴尔干地区的克罗地亚、塞尔维亚、黑山、波斯尼亚、黑塞哥维那。攻击活动利用恶意电子邮件进行传播,邮件包含链接和PDF诱饵文档,主题均为税收,这表明该活动针对财务部门,并具有财务动机。最终释放的后门和远控木马都使用购买的证书进行数字签名。新版本的BalkanDoor后门利用WinRAR ACE漏洞(CVE-2018-20250)进行安装,作为Windows服务运行,允许远程解锁Windows登录屏幕,无需密码或者启动具有最高权限的进程。通过恶意脚本添加新的注册表项和启动项来维持持久性。BalkanRAT木马利用合法的远程桌面软件(RDS)产品,并使用额外的工具和脚本向受害者隐藏其存在,如隐藏窗口、托盘图标、进程等。
Figure-4-3-768x526.png

https://www.welivesecurity.com/2 ... le-barreled-weapon/


2 Norman挖矿恶意软件利用合法进程传播

Varonis安全研究团队发现了使用恶意软件Norman进行挖矿的持续攻击活动,目前一家中型公司几乎每台设备都遭到感染。Norman是基于XMRig的门罗币挖矿工具,依赖于一种免费的动态DNS服务DuckDNS,与C&C进行通信和获取配置设置或发送更新。Norman将自己隐藏为“svchost.exe”,使用NSIS执行,NSIS存档的恶意软件包含用于调用.NET DLL函数的NSIS模块、有效载荷主DLL、有效载荷数据文件、与恶意软件无关的其他文件。主DLL使用.NET构建,使用Agile混淆器混淆,如果操作系统为x64,会将载荷注入创建的另一个进程,通过执行记事本或资源管理器,将挖矿恶意软件和加密器一同注入。如果操作系统为x32,会将载荷注入创建的另一个进程,然后注入explorer.exe进程,启动wuapp.exe或svchost.exe并将挖矿恶意软件注入。最终进行挖矿活动。研究人员还发现了可能与幕后攻击者相关的交互式web shell。
Norman6-768x305.png

https://www.varonis.com/blog/monero-cryptominer/


3 恶意电子邮件活动利用通信平台传播Orcus

Cofense研究人员发现伪装成商业改进局的恶意电子邮件活动,最终传播Orcus RAT。邮件正文提示收件人通过Sendgrid通信平台下载文件,攻击者通过电子邮件网关伪装真实目的地来插入恶意url。点击下载后,用户将被重定向到Sendgrid,下载实际为Visual Basic脚本的zip存档,VB脚本使用WScript远程下载HTML文件,其包含恶意载荷,为Orcus RAT。
Orcus_Rat_Screenshots_fig1-copy-388x480.jpg

https://cofense.com/remote-acces ... id-slip-proofpoint/


4 Windows CTF中漏洞允许攻击者接管系统

Google Project Zero安全研究员在Windows文本服务框架(MSCTF)的CTF子系统中发现了几个关键的设计漏洞,漏洞允许攻击者获取系统权限后完全破坏整个系统。这些漏洞影响所有版本,包括Windows XP。研究人员对漏洞利用进行了视频演示,利用MSCTF劫持了Windows logonui(系统用来显示登录屏幕的程序),从而在Windows 10中获得了系统特权。微软在八月补丁更新中修复了该协议中被跟踪为CVE-2019-1162漏洞,目前还不清楚还有多少其它漏洞待修复。
Windows_Bug.jpg

https://www.bleepingcomputer.com ... compromise-systems/


5 西门子SCALANCE X交换机易受DoS攻击

西门子发布了高严重性产品漏洞预警,包括影响SCALANCE X工业交换机的拒绝服务(DoS)漏洞。该漏洞允许未经身份验证的攻击者通过反复向Telnet服务发送大量消息包,导致设备进入DoS状态。研究人员表示攻击者通过向TCP 23端口发送大量数据包来破坏telnet服务,设备崩溃后会自动重启,这可能导致潜在的流程中断。攻击者利用该漏洞需要访问目标交换机的网络,并且只需要了解一些标准的telnet协议。研究人员已经确定了一些可能直接受到来自互联网攻击的设备,但该漏洞并不容易利用,因为它可能有一个非确定性的复制步骤被触发。目前西门子尚未针对该漏洞发布任何补丁程序,相关用户可通过在受影响的设备上禁用Telnet服务以及限制对TCP端口23的网络访问,来防止潜在攻击。
SCALANCE_X_switch.png

https://www.securityweek.com/sie ... nerable-dos-attacks


6 新蓝牙“KNOB”漏洞允许攻击者操纵流量

研究人员发现了一个名为“KNOB”的新蓝牙漏洞,允许攻击者更容易破解配对过程中使用的加密密钥,以监视或操纵在两个配对设备之间传输的数据。该漏洞ID为CVE-2019-9506,影响蓝牙BR/EDR设备,允许攻击者减少用于建立连接的加密密钥的长度,在某些情况下,攻击者可以将加密密钥的长度减少到单个八位字节。一旦攻击者获取密钥,就可以监视和操纵设备之间发送的数据,包括潜在的命令注入、键盘记录和其它行为。微软已发布了缓解更新。
bluetooth-header.jpg

https://www.bleepingcomputer.com ... manipulate-traffic/



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 20:33

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表