1.DDoS出租服务平台遭入侵并泄露数据
DDoS出租服务平台的服务器TrueStresser被一名不满意其服务的客户入侵,窃取其数据库并在Pastebin共享平台泄露了一些数据,包括DDoS服务的API、331个用户账户的详细信息(用户名,散列密码,电子邮件)、16个账户的明文密码。
https://www.bleepingcomputer.com ... rs-security-breach/
2.安全厂商发布利用0199漏洞远控分析
安全厂商fortinet发现了一个利用CVE-2017-0199漏洞的恶意PPT文件,不同于之前利用鼠标移动触发0199漏洞。恶意代码通过ppaction://协议来启动PowerShell命令。触发漏洞后下载一个带有JS代码的XML文件,通过注册表劫持实现UAC绕过,从下载图片中获取C&C信息,上传受害者的信息。尽管C&C已经下线,但是可以从代码中确认C&C响应代码可以使用eval()函数执行任意命令。
https://blog.fortinet.com/2017/0 ... 0199-and-uac-bypass
3.美国政府网站托管勒索软件JS下载器
安全公司NewSky Security的研究人员发现美国政府网站正在托管一个JS恶意代码下载器,实际是勒索软件Cerber。一个潜在的攻击场景是,受害者收到指向压缩文件页面的链接,一旦受害者点击链接即会执行JS代码,从攻击者入侵成功的、已知白名单域下载勒索软件。
http://securityaffairs.co/wordpr ... ebsite-malware.html
4.360安全卫士发布跨平台文档攻击报告
近日,360公司核心安全部QEX团队和追日团队发现了一种新型的跨平台恶意文档攻击开始流行,并捕获到了该攻击在野外出现的恶意样本。该恶意文档支持跨平台攻击,使用了白利用、无文件和windows安全策略绕过等高端攻击技术。以往的office文档只针对windows操作系统和苹果操作系统分别进行攻击,而最新的攻击样本兼容了两个操作系统,用户无论是在哪个系统打开这个文档,都有可能中招,我们将其命名为“双子星”文档攻击。
http://www.freebuf.com/articles/system/145543.html
5.安全厂商发布Windows控制台活动演进
安全厂商FireEye发布windows控制台在对抗攻击技术上的演进。在第一部分中讲述,通过识别PE字段Subsystem值是否为IMAGE_SUBSYSTEM_WINDOWS_CUI来判断文件是不是控制台应用程序。攻击者可以非特权用户触发Windows XP和Vista运行时子系统进程(CSRSS)的漏洞利用代码获取系统级别权限,随着Windows 7和Windows Server 2008 R2的发布,系统上唯一的控制台不是CSRSS,而是引入了一个托管控制台输入线程的新控制台主机进程conhost.exe,消除了以上的攻击场景。第二部分讲述通过研究发现所感兴趣的数据都由NtDeviceIoControlFile转移到ConDrv设备句柄,因此当Conhost发送或请求新数据时,也会使用NtDeviceIoControlFile发送这些相同的数据缓冲区。
https://www.fireeye.com/blog/thr ... ivity-part-one.html
https://www.fireeye.com/blog/thr ... ivity-part-two.html
6.研究者发现安卓芯片引导程序组件漏洞
来自加利福尼亚大学圣巴巴拉分校的研究人员发现五个主要芯片组供应商的安卓引导加载程序组件,存在启动顺序期间破坏信任链的漏洞,从而打开设备进行攻击。
https://www.bleepingcomputer.com ... s-of-major-vendors/
|