每日安全简讯(20180725)

1 安天揭示FlawedAmmyy家族木马技术细节

近日，安天CERT（安全研究与应急处理中心）在梳理网络安全事件时发现一种新型远程访问木马。该木马（Trojan/Win32.RA-based）属于“FlawedAmmyy”家族，系远控软件Ammyy Admin V3泄漏源代码的修改版本。根据安天研究人员分析，其可允许攻击者获取到受感染计算机的完全访问权限，并执行包括创建进程执行命令、收集计算机信息并发送、载入资源文件并运行、监控键盘和鼠标操作以及文件操作等一系列指令。


https://mp.weixin.qq.com/s?__biz ... mefDJifqsFX6WtBh#rd

---

2 厂商发布银行木马“红色警戒2.0”分析报告

安全公司SophosLabs最近发现了一个移动恶意软件分发活动，该活动使用广告投放方式分发银行木马＂红色警戒＂（2.0版）。恶意组织伪造知名社交媒体或媒体播放器应用广告、或系统升级补丁、或VPN客户应用程序（最近一波活动），将用户引向投放＂红色警戒＂的网站，诱使用户完成（隐藏了木马的）应用程序的下载、安装、提权等一系列动作。获得设备管理员权限后，该木马能够自行锁定屏幕，使密码失效，并且无法通过常规方法卸载。然后该应用程序在后台监听来自恶意操作者的命令，通常会收到要攻击的银行列表，花旗银行、西太平洋银行都名列其中。只要用户启动银行应用程序，木马就可通过overlay机制窃取用户的银行账户凭据。

https://news.sophos.com/en-us/20 ... s-security-seekers/

---

3 新型CPU边信道攻击技术SpectreRSB被公开

加利福尼亚大学河滨分校（UCR）的学者们上周发表了关于SpectreRSB新幽灵级攻击的详细信息。像所有“幽灵级”攻击一样，SpectreRSB利用了推测执行的过程，即提前输入操作并随后丢弃不需要的数据来提高性能。但区别在于新的幽灵利用不同的CPU组件RSB（返回堆栈缓冲区）从推测执行过程中恢复数据。由于RSB在同一虚拟处理器上执行的硬件线程之间共享，这种污染可以在RSB之间的进程间甚至VM间污染。UCR研究人员描述了三种攻击，在两次攻击中，他们感染RSB以暴露和恢复在同一CPU上运行的其他应用程序的数据，第三次攻击中，他们感染RSB导致数据在SGX隔离之外暴露的错误推测。英特尔RSB refilling补丁可解决此漏洞，但该补丁只适用于Xeon处理器产品线。


https://www.bleepingcomputer.com ... k-named-spectrersb/

---

4 WebLogic中间件漏洞被用于发动大规模攻击

黑客利用核心安全漏洞CVE-2018-2893对Oracle WebLogic服务器进行攻击。该漏洞为Oracle WebLogic中间件组件中的一个漏洞，攻击者无需知道密码即可控制整个服务器。漏洞在CVSv3严重性等级上获得了“关键”级别和9.8分的严重性评分。Oracle于上周7月18日发布了针对此漏洞的补丁。三天后又发现了几个概念验证（PoC）漏洞导致攻击加剧。目前至少有两个团体大规模利用这些漏洞进行攻击。


https://www.bleepingcomputer.com ... cation-of-poc-code/

---

5 安全厂商发现VMware NSX的命令注入漏洞

Critical Start发现了VMware的NSX SD-WAN环境中一个未经身份验证的命令注入漏洞并向VMware的安全响应中心发出警告。该漏洞（CWE-78）允许攻击者在远程服务器上运行任意命令。由于命令注入漏洞可能导致托管Web应用程序的服务器受到损害，因此通常被认为是一个非常严重的缺陷，可能会影响各种网络设备，包括路由器，交换机和防火墙，从而将敏感的、基于网络的信息暴露给未经授权的访问和使用。VMware了解后迅速发布了一个补丁来解决这个漏洞。


https://www.criticalstart.com/20 ... d-wan-by-velocloud/

---

6 研究者利用SSRF漏洞获取谷歌内网信息

安全工程师Enguerran Gillier发现服务器端请求伪造（SSRF）漏洞，他测试了SSRF并发现Google Sites Caja服务器仅从Google域获取资源，当通过在Google云服务上托管JavaScript文件来绕过此限制时，服务器发出大小为1 Mb回复文档，其中包含来自Google内部网络的不是特别敏感的私人信息。谷歌花了不到48小时来实施补丁。研究者指出确定SSRF的影响并不容易，因为它实际上取决于内部网络中的内容。


https://www.securityweek.com/ssr ... es-internal-network

---