每日安全简讯(20180830)

1 RIG Exploit工具包分发新版本CEIDPageLock

Check Point研究人员最近一直在观察由RIG Exploit工具包分发的名为CEIDPageLock的rootkit，并对此进行了分析。该浏览器劫持工具CEIDPageLock在试图篡改受害者浏览器的主页，并变成虚假的2345.com网站时，被360安全中心首次发现。研究人员还观察到新版本的CEIDPageLock，包含增加分析和解压缩难度的VMProtect功能，和用于监控用户浏览的新功能，可以并在用户试图访问的时，动态地用假主页替换一些热门中文网站的内容。攻击者主要目的为获利，通过使用各种劫持技巧来收集受害者的浏览数据，将受害者重定向到与引用者共享广告收入的搜索引擎以获得的收入。根据Check Point的全球传感器显示，该恶意软件特别针对中国用户。


https://research.checkpoint.com/ceidpagelock-a-chinese-rootkit/

---

2 安全厂商对破坏性勒索软件Ryuk进行技术分析

近日，Quick Heal安全实验室对近日发现的的破坏性勒索软件Ryuk进行技术分析。此勒索软件活动采用鱼叉式网络钓鱼攻击，感染载体是工具利用包和垃圾邮件。对受害者文件进行加密时，没有附加任何扩展名称，但会使文件不可读。Ryuk使用强大算法，如RSA4096和AES-256来加密文件。它要求以比特币形式从15BTC到50BTC的赎金来解密文件。目前此勒索软件活动已经影响到全球许多用户。


https://blogs.quickheal.com/new-ransomware-campaign-wildryuk/

---

3 恶意软件Dark Comet RAT出现新版本PeaRAT

InfoSec研究员Vishal Thakur发现恶意软件Dark Comet RAT新版本PeaRAT，正在通过网络钓鱼活动在全球范围内积极分发。PeaRAT使用打包器ASProtect v1.0进行打包后仿冒PE Explorer，它解压缩后，会创建一个从音乐文件夹启动的子进程。该进程使用基本函数来将数据输入和输出到堆栈中，并将写入的文件存在磁盘上，上传给攻击者。不同版本的Dark Comet RAT已经存在一段时间了，但目前AV供应商仍然不能正确地识别它。


https://blog.joshlemon.com.au/ne ... hiving-tool-peazip/

---

4 Apache Struts新漏洞被用于传播挖矿木马CNRig

网络安全公司Volexity检测到，最近被公布出来的Apache Struts漏洞开始被攻击者利用。第一次攻击开始与8月27日，攻击者使用CVE-2018-11776漏洞安装CNRig加密货币挖掘器进行挖矿，研究人员通过扫描发现其IP地址分别来自俄罗斯和法国。研究人员称观察到的攻击利用的代码似乎是直接从公开发布的PoC代码中获取。目前Apache Struts已经发布该漏洞的补丁版本Struts 2.3.35和2.5.17。


https://www.volexity.com/blog/20 ... yptocurrency-miner/

---

5 PHP最大软件包存储库Packagist存在关键漏洞

安全研究员Max Justicz发现PHP最大的软件包存储库Packagist存在关键漏洞。Justicz称通过Packagist主页，提交新PHP包的“Submit Package”输入字段，允许攻击者以”$（MALICIOUS_COMMANDS）“的格式运行恶意命令。此漏洞的根本原因是Packagist服务期望输入是在Git，Perforce，Subversion或Mercurial服务器上托管的源代码存储库的URL，Justicz发现，在检查URL是否指向Perforce或Subversion仓库时，Packagist对输入字符处理错误，从而两次执行恶意命令（分别发生在检查Perforce和Subversion的情况下）。此漏洞目前已得到解决。


https://www.bleepingcomputer.com ... package-repository/

---

6 数据库MongoDB配置错误导致暴露大量信息

安全人员Bob Diachenko发现了一个MongoDB安装的配置错误，没有密码和登录的保护，允许公众访问。该MongoDB数据库大小为142 GB，归属于全球文档识别和内容捕获软件开发商ABBYY，托管在美国的亚马逊网络服务（AWS）基础设施上。此次事件不仅暴露ABBYY的客户信息，还包括大量扫描文档（超过20万份合同，NDAs，备忘录，信件和其它内部文档，正确的OCR和存储）。目前该公司已经禁用了此数据库。


https://www.linkedin.com/pulse/a ... than-bob-diachenko/

---