[20160626]
1、勒索软件Locky继续活跃 增加沙箱逃避技术
勒索软件沉寂三周:从16年的6月1日开始到6月21日,之后卷土重来。
伎俩还是通过垃圾邮件中进行传播,但是为了增加检测和分析难度,勒索软件把自己分成了前后两部分,而且这两部分有关联:后面的模块依赖前者的输出。
这样的目的是如果安全人员不了解整体状况,恰好分析的是后面的模板的话,会导致程序崩溃。
垃圾邮件为了迷惑性,邮件内容声称是接收者有未支付的账号信息,而实际上这个附件中包裹的是采用JavaScript编写的脚本勒索软件。
安全厂商还按照数量的角度统计了最近的过去三天来,世界范围的通过垃圾邮件来传播勒索软件的分别情况。结果表明:日本、美国和韩国位列前三名,三家的
总数占整个统计数量的80%左右。
值得注意的是这里提到的垃圾邮件的模样,用户如果遇到类似的邮件要多加小心:
a 全英文信件;主题是发票等关键信息;
b 邮件附带一个zip格式的附件,附件大小7k左右;
c 邮件的主题内容是耐心告知“客户”有某笔未支付订单,详细订单信息在附件中....
实际上这个附件中的实际内容是一个JavaScript编写的勒索软件下载器downloader.
下载器要下载的文件(EXE可执行格式)才是真正的勒索软件。当然这个EXE文件采用了一个可定制的对称加密算法,用来逃避检测。
(备注:这与[20160622.1]描述的100%脚本编写的勒索软件不同)
2、勒索软件新家族MIRCOP索高额比特币赎金
高额有多高:48.48比特币,据说是到目前为止发现的最高赎金。大致相当于3万美金。
与很多勒索软件的额来源和途径一样,这个勒索软件也是通过垃圾邮件的方式传播。
不过这里的形式变成了一个文档文件,其内容是一个貌似泰国的海关进出口货物申报单,
该文档中含有宏指令,可以通过滥用PowerShell导致真正的勒索软件的下载。
一旦成功被该勒索软件加密,则被加密的文件的文件名的首部都增加了字符串"Lock."
(备注:这一点与其他增加后缀不同)
3、针对德语国家木马DEloader 通过JS脚本传播
这里的德语国家是指官方语言为德语的国家,具体是指德国和奥地利。
这里的木马是一个下载器,只起一个管道作用,真正搞破坏的木马或者组件都是通过网络定制下载而来。
因此分析其要使用的C&C服务器以及IP地址非常重要。
经过安全人员分析这些IP地址,除了一个IP是位于乌克兰首都基辅外,其余的受害者的IP均位于德国和奥地利。
据此,安全人员认为其实这个孤立的来自乌克兰的ip地址,其实就是木马作者的来源(一般来说,作者在发布木马后,会做一个实际验证)
根据这一点,以及木马中包含的特定字符串,还会发现原来这个木马作者早有动作。
4、Silence行动:幽灵小队泄露美军3400人数据
这些美军人员的个人信息数据被发布在Dark Web和PasteBin网上,并且是三批发布的:人数发别是433人、232人以及2750人(3415=433+232+2750)。
5、PayPal漏洞:可在支付页面插远程恶意图片
这是一个新的漏洞,虽然关于该漏洞的评级发现者与PayPal公司的意见不一致,不过,PayPal还是给发现者1000美金的奖励,并与最近修复了该漏洞。
6、Facebook逻辑缺陷:黑客可删评论中视频
点评4:都动到美军头上了?
|
发表于 2016-6-25 22:25
发表于 2016-6-26 06:59