每日安全简讯(20190308)

1 安全厂商披露Chafer组织使用的有效载荷

研究人员在Chafer组织使用的独特域名解析出的IP地址上发现了托管的辅助有效载荷，命名为MechaFlounder。MechaFlounder使用Python编写，并使用PyInstaller实用程序编译成可执行的形式。MechaFlounder断尝试与其C2服务器通信，使用HTTP将出站信标发送到其C2服务器，通过username+“––”+hostname的形式构建URL。MechaFlounder两次创建URL字符串，在两者之间使用反斜杠“\”字符，并附加字符串“-sample.html”。这表明攻击者可能创建了一个自定义服务器来处理C2通道，而不是依赖于标准Web服务器。如果C2服务器接受信标，它将响应HTML，其中包含用于解析和执行木马的命令。


https://unit42.paloaltonetworks. ... der-used-by-chafer/

---

2 Troldesh勒索软件作为垃圾邮件附件传播

研究人员观测到Troldesh勒索软件（又名Shade）从2018年第四季度到2019年第一季度的检测数量急剧增加。Troldesh自2014年以来一直存在，作为恶意电子邮件.zip附件传播，实际上是一个Javascript。有效载荷通常托管在具有被入侵的内容管理系统（CMS）的站点上。Troldesh在CBC模式下使用AES 256加密文件。对于每个加密文件，生成两个随机的256位AES密钥：一个用于加密文件的内容，另一个用于加密文件名。加密文件后，Troldesh会在受感染的计算机上下载大量readme#.txt文件，勒索信使用俄语和英语写成。


https://blog.malwarebytes.com/th ... nsomware-aka-shade/

---

3 研究人员发布恶意样本VBA宏的演变分析

研究人员用四个月的时间内监测了同一组的新样本，并分析了宏如何随时间变化。2018年12月的早期版本针对日本用户，打开工作簿后将触发宏代码，逃避检查直接在Workbook_Open函数中执行。代码中的81表示日本，表示恶意软件只在日本计算机上运行。一个月后，研究人员发现了一个新变种，逃避检查分成了几个功能，国家代码由kille和congamerat功能实现。几天后，出现的新变种的布尔检查变得而更为复杂。样本依旧主要针对日本，但也感染一些意大利用户。最近研究人员发现了另一种变体，不再使用Workbook_Open而是使用Frame1_Layout，只要Excel重绘工作簿，就会触发。


https://www.joesecurity.org/blog/5125095978168980460

---

4 支持UPnP的连接设备仍然易受网络攻击

研究人员研究了家庭网络中与UPnP相关的事件，发现许多用户仍然在其设备中启用了UPnP。配置错误的路由器，如果启用了通用即插即用（UPnP）服务，路由器可能会将公共端口转发到私有设备并向公共互联网开放。1月份，研究人员检测到76％的路由器启用了UPnP。此外，27％的媒体设备（例如DVD播放器和媒体流设备）也启用了UPnP。易受攻击的UPnP在被利用时，可以将路由器和其他设备转换为代理，以模糊僵尸网络的起源、分布式拒绝服务（DDoS）攻击或垃圾邮件，几乎无法跟踪恶意活动的执行情况。根据收集的最新数据，许多设备仍在使用较旧的、可能易受攻击的UPnP版本。


https://blog.trendmicro.com/tren ... wn-vulnerabilities/

---

5 研究人员披露Windows部署服务中漏洞

WDS（Windows Deployment Services）是一种流行的Windows服务器服务，被用于在网络中的新计算机上安装自定义操作系统，其底层PXE服务器有一个use after-free-bug漏洞，可被远程触发，可能被未经身份验证的攻击者利用。Check Point研究人员对TFTP协议的实施进行了模糊测试，并检测到攻击者可能会创建格式错误的TFTP数据包转发给Windows服务器，这些数据包会在接收PXE服务器响应的Windows服务器上触发恶意代码执行。该漏洞会影响所有Windows Server 2008及更高版本以及WDS组件。微软已于11月修补了该漏洞。


https://research.checkpoint.com/ ... eployment-services/

---

6 思科自适应安全设备存在拒绝服务漏洞

思科自适应安全设备（ASA）的Web界面中存在漏洞，未经身份验证的远程攻击者可以利用该漏洞使设备意外重新加载，从而导致拒绝服务（DoS）。在某些软件版本上，ASA也可能不会重新加载，但攻击者可以无需身份验证通过使用目录遍历技术查看敏感系统信息。该漏洞是缺少HTTP URL的正确输入验证造成的，攻击者可以通过特制的HTTP请求利用此漏洞。该漏洞影响3000系列工业安全设备（ISA）、ASA 1000V云防火墙、ASA 5500系列自适应安全设备、ASA 5500-X系列下一代防火墙、适用于Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器的ASA服务模块、自适应安全虚拟设备（ASAv）、Firepower 2100系列安全设备、Firepower 4100系列安全设备、Firepower 9300 ASA安全模块以及FTD虚拟机（FTDv）。思科发布了解决此漏洞的软件更新。


https://tools.cisco.com/security ... -sa-20180606-asaftd

---