1 安全厂商发布海莲花使用图像隐写技术分析报告
研究人员跟踪发现APT组织海莲花(又名APT32,Cobalt Kitty)使用一种新型有效载荷加载器,它利用隐写技术读取隐藏在.png图像文件中的载荷。加载器试图模仿迈克菲的McVsoCfg DLL,并使用定制隐写算法,图像使用最低有效位的方法来最小化与原始图像的视觉差异,也就是利用每个像素颜色代码中最不重要的部分来存储隐藏的信息。有效载荷采用AES128加密,XOR混淆。解码后执行恶意shellcode,其包含最后一个采用RC4加密的后门DLL启动器,最后加载Denes后门以及最新版Remy后门。C2通信模块采用大量垃圾代码混淆,这是该组织之前使用的HttpProv库变种,该模块在后门与C2服务器进行HTTP/HTTPS通信时使用,具有代理绕过功能。
https://threatvector.cylance.com ... -steganography.html
OceanLotus-Steganography-Malware-Analysis-White-Paper.pdf
(2.22 MB, 下载次数: 64)
2 新恶意软件Xwo通过扫描互联网获取有价值信息
研究人员发现了一个新的恶意软件系列Xwo,它正在主动扫描暴露的Web服务和默认密码。基于Python脚本代码的相似性,Xwo与恶意软件系列Xbash和MongoLock存在关联,但Xwo不具有任何勒索软件或其它恶意功能。Xwo首先从硬编码的选择列表中随机使用用户代理执行HTTP POST请求,然后从C2域接收带有编码公共网络范围的指令进行扫描,然后开始进行侦察,收集有关可用服务的信息,通过HTTP POST将窃取的凭据和服务访问权发送回C2。其使用的C2模仿安全厂商和新闻网站域名。研究人员表示虽然Xwo不带有恶意特性,但它所拥有的潜在威胁可能会对全球网络造成破坏。
https://www.alienvault.com/blogs ... n-based-bot-scanner
3 Emotet木马部署TrickBot窃取数据并传播Ryuk
安全团队近日发现木马Emotet部署木马TrickBot来窃取数据并传播勒索软件Ryuk的攻击活动。Emotet由钓鱼邮件附带的恶意文件运行cmd并执行PowerShell命令下载,然后Emotet充当下载器,通过与预先配置的远程恶意主机通信,下载并启动TrickBot木马,使用PowerShell Empire框架、Mimikatz和EternalBlue进行侦察、凭据收集、横向移动。TrickBot包含多恶意模块,为了逃避检测,恶意模块被反射注入包括svchost在内的合法进程,还尝试禁用和删除Windows Defender来降低反恶意软件产品的检测。攻击者收集环境中的域控制器和目标服务器列表,使用ping.exe和mstsc.exe找到可用链接后,通过Windows管理共享网络传播Ryuk有效载荷,并使用PsExec执行,最终以.RYK为加密的文件扩展名。
https://www.cybereason.com/blog/ ... ead-ryuk-ransomware
4 新版本IoT恶意软件Bashlite攻击WeMo系列设备
研究人员发现了一个更新版本的IoT恶意软件Bashlite(也称为Gafgyt、Lizkebab、Qbot、Torlus和LizardStresser),旨在将受感染的IoT设备添加到DDoS僵尸网络中。Bashlite利用的远程代码执行(RCE)Metasploit模块,目标为具有通用即插即用(UPnP)应用程序编程接口(API)的WeMo设备,并增加了挖矿、后门功能,还可传播恶意软件。因Bashlite所使用的漏洞没有目标WeMo设备的列表,只需检查设备是否启用了WeMo UPnP API,所以这扩大了恶意软件的影响范围,研究人员表示目前已经存在相关样本。
https://blog.trendmicro.com/tren ... rgets-wemo-devices/
5 Apache漏洞允许黑客通过脚本获取root访问权限
研究人员发现存在于Apache HTTP服务器中具有严重性的权限提升漏洞(CVE-2019-0211)。该漏洞可被有权编写和运行脚本的用户利用,在Unix系统上获得root权限。专家还指出,给予非特权用户编写自己脚本的能力是很常见的。该漏洞影响了从2.4.17到2.4.38的所有Apache HTTP Server版本。目前已在新发布版本httpd 2.4.39中得到修复。Apache同时修复了另外具有两个严重性的控制绕过漏洞CVE-2019-0217和CVE-2019-0215。
https://securityaffairs.co/wordp ... ess-via-script.html
6 伊朗针对英国基础设施和组织展开重大网络攻击
据报道称伊朗在2018年12月23日对英国基础设施展开了重大的网络袭击。加州网络安全专家的分析得出结论,此次攻击和2017年英国议会遭受网络攻击都与伊朗革命卫队有关。此次攻击将目标对准了私营企业,尤其是银行,甚至还获取了高管的个人信息。据信,伊斯兰革命卫队针对英国的网络黑客活动正在进行中,英国邮政局和当地政府网络也受到了攻击,数千名员工的个人信息被窃取,包括邮政局CEO(Paula Vennells)的电子邮件地址和手机号码。英国国家网络安全中心表示,已意识到2018年末发生了一起影响英国部分组织的网络事件,并正在与受害者合作,就缓解措施提供建议。
https://www.mirror.co.uk/news/uk ... astructure-14226055
|