免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 基于DenDroid的WolfRAT攻击泰国Android用户
思科Talos发现了基于泄漏的DenDroid恶意软件的新Android木马。由于该木马与Wolf Research组织的基础设施重叠,所以将其命名为WolfRAT。Wolf Research组织曾开发了基于侦听和间谍的恶意软件,该组织似乎已关闭,但组织参与者仍然活跃。WolfRAT用于针对泰国Android设备和用户,包括WhatsApp、Facebook Messenger、Line等通讯应用,通过模仿合法服务,如谷歌服务、GooglePlay或Flash更新分发。WolfRAT缺乏复杂性,其直接使用复制的开源代码,还包括不稳定和无效代码,还使用可自由打开的C2面板,重用被公开标记为恶意的旧服务器。一些C2服务器位于泰国,面板包含泰国JavaScript注释,C2域链接到泰国美食。
https://blog.talosintelligence.com/2020/05/the-wolf-is-back.html
2 MedusaLocker勒索软件变种可绕过防病毒软件
Secplicity研究人员上周发现了带有独特逃避检测技术的MedusaLocker勒索软件变种。MedusaLocker附带一个批处理文件以逃避检测,批处理文件包含在Windows计算机上命令提示符中运行的脚本命令,其中一个命令可编辑Windows注册表,在计算机启动到安全模式而不启用网络时删除Windows Defender。该批处理文件还将MedusaLocker添加为一个名为backupvt的服务,并将其配置为在每次引导时都以安全模式运行。设置安全模式环境后,可以在不受干扰的情况下运行。批处理文件将计算机的下一次启动配置为以安全模式运行并静默地重新启动计算机。当计算机重新启动时,它进入安全模式并启动MedusaLocker服务。然后,MedusaLocker运行并加密受害者电脑上的所有文件,而无需担心反病毒软件的拦截。虽然这不是一个新逃避检测技术,但是第一个发现的勒索软件攻击使用这种技术来绕过防病毒软件。
https://www.secplicity.org/2020/ ... antivirus-software/
3 Netwalker使用反射加载注入的无文件技术执行
趋势科技研究人员最近发现使用无文件执行的Netwalker勒索软件。PowerShell脚本使用多层加密、混淆和编码。从脚本中提取出二进制文件并将其解码将产生两个DLL,分别为x86版本和x64版本。然后,其以反射加载方式将勒索软件DLL注入到合法运行进程explorer.exe的内存中。最后,将加密文件,并删除卷影副本,防止受害者使用卷影恢复其加密文件。
https://blog.trendmicro.com/tren ... reflective-loading/
4 网络钓鱼活动投送NetSupport Manager管理工具
微软警告正在进行以COVID-19为主题的网络钓鱼活动,该活动将安装NetSupport Manager远程管理工具。NetSupport Manager是合法的远程管理工具,通常被黑客用作远程访问木马。攻击始于假装来自约翰·霍普金斯中心的电子邮件,该中心正在发送有关美国冠状病毒相关死亡人数的最新信息。电子邮件包含Excel文档,其包含显示美国死亡人数的图表。Excel文档包含恶意宏,它将提示用户“启用内容”。单击后,将执行恶意宏以从远程站点下载和安装NetSupport Manager客户端。该工具伪装成合法的Desktop Windows Manager可执行文件,并将进一步安装其它工具和脚本来破坏受害者的计算机。
https://www.bleepingcomputer.com ... -pushing-legit-rat/
5 蓝牙无线通信协议漏洞致无数设备易受BIAS攻击
研究人员在蓝牙无线通信协议(蓝牙BR/EDR)中发现一个新漏洞,该漏洞导致智能手机、笔记本电脑和智能家居等各种设备暴露于“蓝牙模拟攻击”(BIAS)。研究人员对超28种独特的蓝牙芯片进行了BIAS攻击测试,包括赛普拉斯、高通、苹果、英特尔、三星和CSR的芯片,都容易遭受BIAS攻击。研究人员表示BIAS攻击是第一类成功绕过蓝牙认证过程的攻击,该过程发生在建立安全连接的过程中。攻击中利用的漏洞包括缺乏完整性保护、加密和相互身份验证。利用该漏洞,攻击者可以假冒经过身份验证过程并与另一台设备配对的其中一台设备。然后,攻击者可以控制设备或从中窃取敏感数据。目前,部门供应商可能已在其设备上实施了针对该漏洞的解决方法。
https://www.welivesecurity.com/2 ... vices-bias-attacks/
antonioli-20-bias.pdf
(432.89 KB, 下载次数: 19)
6 DNS协议漏洞NXNSAttack可导致大型DDoS攻击
以色列特拉维夫大学和以色列跨学科中心的一组研究人员发现新DNS漏洞,并称其为NXNSAttack。该漏洞存在于DNS协议中,并且会影响所有递归DNS解析器,已被证实影响NLnet Labs的Unbound、BIND、Knot Resolver和PowerDNS等DNS软件,以及由谷歌、微软、Cloudflare、亚马逊、Oracle (DYN)、Verisign、IBM Quad9和ICANN提供的DNS服务。受影响的供应商对该漏洞分别分配了CVE编号,包括 CVE-2020-8616(BIND)、CVE-2020-12662(Unbound)、CVE-2020-12667(Knot)、CVE-2020-10995(PowerDNS)。针对该漏洞,远程攻击者可以通过向易受攻击的解析器发送DNS查询来放大网络流量,该解析器会查询攻击者的权威服务器控制器。攻击者服务器将伪造的服务器名称委派给指向受害者DNS域的伪造服务器名,从而使解析程序生成对受害者的DNS服务器的查询,导致超过1620放大系数的DDoS攻击。
https://www.securityweek.com/nxn ... ws-big-ddos-attacks
|