创意安天

 找回密码
 注册创意安天

每日安全简讯(20200104)

[复制链接]
发表于 2020-1-3 21:12 | 显示全部楼层 |阅读模式
1 安全厂商披露新勒索软件变种DeathRansom

Fortinet研究人员近日检测到一个新勒索软件变种DeathRansom。研究人员对DeathRansom样本进行了分析,其使用标准的Windows API枚举网络资源,扫描并加密本地和网络驱动器上的文件,但攻击者并没有真正加密文件内容,只需重命名受影响的文件即可恢复正常。DeathRansom加密之前会对受害者系统中使用的语言进行检查,以避免感染东欧国家的系统。研究人员还发现了新版本的DeathRansom,主要的变化是真正对文件进行加密,结合使用用于椭圆曲线Diffie-Hellman(ECDH)密钥交换方案的Curve25519算法、Salsa20、RSA-2048、AES-256 ECB和异或算法来加密文件。要解密受害者文件,必须生成共享密钥,需要受害人的curve25519公钥(可从注册表或赎金获得)和攻击者的curve25519私钥(由攻击者拥有),或攻击者的curve25519公钥(嵌入在二进制文件中)和受害者的curve25519私钥(在恶意软件执行后释放)。
deathransom-twelve.png

https://www.fortinet.com/blog/th ... ain-ransomware.html


2 研究人员发现web支付卡窃取程序中新规避技术

研究人员在web支付卡窃取程序中发现两种新规避技术:图片隐写术和利用WebSocket的数据交换方式。2019年12月26日,研究人员披露第一个公开记录的基于隐写术的支付卡窃取程序,图片为在购物网站上常见的免费送货标志,但其实际包含额外的恶意JavaScript代码,也就是支付卡窃取程序,通过slice()方法解析其内容。研究人员还发现支付卡窃取程序利用WebSocket代替HTTP,进行更隐蔽的数据交换方式。WebSocket是一种通信协议,它允许通过单个TCP连接在客户端和服务器之间交换数据流。攻击者将混淆的恶意JavaScript代码通过WebSocket与C2进行连接,建立请求响应之后,将在受害者的浏览器和C2之间交换一系列双向消息,Base64编码的支付卡窃取程序将下载,并作为JavaScript代码进行处理。
hidden_skimmer.png

https://blog.malwarebytes.com/th ... nd-in-web-skimmers/


3 安全研究人员发现使用Node.js开发的勒索软件

安全研究人员近日发现使用Node.js开发的勒索软件样本。该勒索软件的第一阶段为VBScript,没有被混淆,研究人员猜测其可能为勒索软件原型或者用于测试。VBScript对勒索软件解码,通过注册表项添加持久性,并运行生成的勒索软件Node.js文件。Node.js被混淆,加密是通过公用/专用密钥对执行,赎金价格为0.4 BTC,目前还未找到勒索信中提供联系的电子邮件地址,并且代码中加密的文件扩展名为空。
isc-20200102.png

https://isc.sans.edu/forums/diar ... ejs/25664/#comments


4 英国外汇交易公司Travelex感染病毒致网站关闭

总部位于英国的大型外汇交易公司Travelex在2019年12月31日晚遭到软件病毒感染,关闭了其英国网站和在线服务。该公司声明称,为了保护数据并防止病毒传播,立即将所有系统脱机,目前为止,还没有迹象表明任何个人或客户数据已被泄露。但英国网站和服务目前仍处于脱机状态,并不确定何时恢复上线。
screenshot_travelex_website_down.jpg

https://www.theregister.co.uk/2020/01/03/travelex_down_malware/


5 美国电线制造商Southwire遭Maze公布数据

美国佐治亚州电线电缆制造商Southwire在2019年12月9日遭Maze勒索软件攻击,攻击者表示窃取了120GB的数据并加密了878台设备。因未能支付850 BTC(约合600万美元)赎金,Southwire遭到Maze攻击者在自己创建的网站上公布了部分被盗数据。Southwire以非法访问公司网络、窃取数据、对计算机进行加密并在未支付赎金后发布了被盗的数据,起诉了Maze勒索软件攻击者。
Maze-Ransomware-4.jpg

https://www.bleepingcomputer.com ... ictims-stolen-data/


6 英特尔OpenCV库中存在两个缓冲区溢出漏洞

思科Talos最近在英特尔OpenCV库中发现了两个缓冲区溢出漏洞,允许攻击者进行堆破坏和代码执行。OpenCV用于众多应用,包括面部识别技术、机器人技术、运动跟踪和各种机器学习程序。第一个为OpenCV XML持久性解析器缓冲区溢出漏洞,漏洞ID为CVE-2019-5063,攻击者可通过提供特制的XML文件来触发该漏洞。第二个为OpenCV JSON持久性解析器缓冲区溢出漏洞,漏洞ID为CVE-2019-5064,攻击者可通过提供特制的JSON文件来触发该漏洞。以上漏洞影响版本OpenCV 4.1.0,目前已被修复。
shutterstock_259040579.jpg

https://blog.talosintelligence.c ... rflow-jan-2020.html



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

小黑屋|手机版|Archiver|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-3-29 06:48

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表