每日安全简讯(20180903)

1 研究表明SSH密钥管理是银行网络安全的首要问题

根据国际货币基金组织最近进行的一项研究，全球金融机构每年由于网络攻击可能损失高达2710亿英镑。网络攻击不仅会导致货币损失，还会导致商业机密、敏感客户数据以及投资者和客户的财务信息（银行账户和信用卡详细信息）丢失。SSH密钥支持从一个系统到另一个系统的持续自动连接，通常不使用第二个身份验证因素。这些连接创建了持久的信任关。SSH密钥通常是未跟踪，不受管理和不受监控的。实际上，大多数金融服务组织都没有设置限制SSH密钥使用方式的策略和控制，网络犯罪分子和恶意内部人员会访问和滥用系统间的信任关系，进行网络攻击。


https://www.scmagazineuk.com/poo ... cks/article/1491436

---

2 黑客借民主党名义对美国高校开展网络钓鱼活动

密苏里大学发言人8月26日表示，黑客利用密苏里州民主党寻求实习生的电子邮件进行网络钓鱼活动。这封电子邮件绕过了学校的垃圾邮件过滤器，校园里的大多数人至少收到了一份。黑客获得了两到三个电子邮件地址列表，使电子邮件尽可能地传播。民主党发言人认为黑客删除了原始电子邮件中的所有实际信息，进行了另一种网络钓鱼骗局，并将其发送到整个校园。目前该事件没有造成重大问题。


https://www.sfchronicle.com/news ... or-for-13191930.php

---

3 研究人员揭示Geodo恶意软件近期活动技术细节

研究人员指出Geodo的文档都非常相似。每个文件都被装载了恶意宏。宏总是被严重混淆，整个代码中普遍存在垃圾函数和字符串替换。混淆使用三种语言或方言作为混淆过程的一部分：Visual Basic，PowerShell和Batch。这些混淆的宏有一些关键特性：（1）通过挂钩AutoOpen，它们会在文档打开后立即运行（2）都使用TypeName方法作为垃圾代码混淆（3）在混淆中，一些明文字符串很明显。


https://cofense.com/recent-geodo ... -obfuscated-macros/

---

4 攻击者利用Mac弱点针对中东发动网络间谍活动

近年来，一位名叫WindShift的神秘黑客工作人员针对在中东地区的政府部门和关键基础设施部门工作的特定人员。他们正在利用影响所有Apple Mac机型的弱点。这些目标位于海湾合作委员会（GCC）地区，包括沙特阿拉伯、科威特、阿联酋、卡塔尔、巴林和阿曼。黑客向目标发送鱼叉式网络钓鱼电子邮件，包含黑客运行的网站的链接，一旦目标点击链接，攻击就会启动，下载WindTale和WindTape恶意软件。研究人员表示攻击者已经找到了绕过所有macOS安全措施的方法。一旦他们进入这些防御措施，恶意软件就会泄露文件并不断截取受害者桌面的屏幕截图。


https://www.forbes.com/sites/tho ... hacks/#43738eb06fd6

---

5 研究人员指出Wireshark三个DoS漏洞的PoC已出现

Wireshark是世界上最受欢迎的网络协议分析仪。该软件是免费和开源的。研究人员发现Wireshark存在三个严重漏洞:CVE-2018-16056、CVE-2018-16057和CVE-2018-16058，影响Wireshark的三个组件：蓝牙属性协议（ATT）解剖器，Radiotap剖析器和音频/视频分发传输协议（AVDTP）解剖器。研究人员称可以公开获得每个漏洞的概念验证（PoC）的利用代码。攻击者可以通过将格式错误的数据包注入网络、受影响的应用程序处理、或者诱使目标用户打开恶意数据包跟踪文件来利用这三个漏洞。


https://www.helpnetsecurity.com/ ... os-vulnerabilities/

---

6 Packagist软件包仓库远程代码执行漏洞已经被修补

Packagist是一个开源的默认包服务器，是PHP中依赖项管理的工具。Packagist自2012年成立以来已经交付了数十亿个软件包，目前它每月服务大约4亿个软件包。研究人员发现软件包packagist.org中一个关键的远程代码执行漏洞。网站上有一个大文本字段，允许任何人键入$，这将导致命令在shell中执行。在检查提供的URL时，Packagist无法正确转义输入。攻击者提供的任何命令都会被执行两次。Packagist团队通过转义 Composer存储库中的相关参数快速解决了这个问题。


https://www.securityweek.com/cri ... -package-repository

---