找回密码
 注册创意安天

每日安全简讯(20190430)

[复制链接]
发表于 2019-4-29 21:37 | 显示全部楼层 |阅读模式
1 安全厂商披露MuddyWater使用的工具系列细节

APT组织MuddyWater2017年的首次攻击活动被公开以来,第一阶段感染和图形诱饵已被多厂商分析报道过,而卡巴斯基研究人员此次公开了该组织在最初感染后对其目标使用的一系列工具等技术细节。MuddyWater部署了多种自定义工具,包括使用C#编写的下载执行工具Nihay、LisfonService RAT;使用Python编写的Client.py RAT、win.py SSH脚本、Rc.py(Rc.exe)RAT。MuddyWater的首选感染媒介之一是使用武器化的Office 97-2003 Word文档,然后利用恶意VBScript或VBA文件传递载荷。研究人员还发现其使用基于“Lazagne”的第三方脚本,例如名为Losi Boomber、Muddy。广泛使用的PowerShell脚本被用于不同目的,包括执行第二阶段的攻击、可收集信息和安全设置的PowerShell RAT等。该组织在攻击过程中还故意留下可以混淆归因的字体、名称等,还冒从其他黑客组织。
muddywaters-arsenal-2.png

https://securelist.com/muddywaters-arsenal/90659/


2 黑客泄露疑似伊朗组织MuddyWater的技术信息

在Telegram通信软件上,名为“Green Leakers”的黑客声称拥有另一个伊朗APT组织MuddyWater的信息,并表示该组织也是MOIS的一部分。该黑客还发布了据称来自MuddyWater的命令和控制服务器的照片。研究人员表示该黑客Telegram的名称“Green Leakers”(绿色泄密者)看似可能与与伊朗反对派部队“Green Movement”(绿色运动)有关,但也可能是虚假标志,关于被泄露的信息还需进一步调查分析。
image-6.png

https://malware-research.org/muddywater-ongoing/
MuddyWater leak (OnGoing).pdf (2.39 MB, 下载次数: 53)


3 研究者利用功率波动识别嵌入式系统中恶意软件

北卡罗来纳州立大学和德克萨斯大学奥斯汀分校的研究人员开发了一种新技术来识别嵌入式系统中的恶意软件,这种新的检测方法是通过跟踪嵌入式系统中的功率波动来实现。使用嵌入式系统的设备基本上是任何没有物理键盘的计算机,攻击者可以对该系统进行微架构恶意软件攻击,实现接管硬件、控制系统,并窃取信息。研究人员表示通过检查嵌入式系统运行的功耗情况,如果与正常运行时的功耗消耗异常,可以判断系统中可能存在恶意软件。具体实现是用新嵌入式系统技术将电源监控集成到智能电池中,但这也导致依赖于嵌入式系统的功率的检测限制,研究人员表示即使在未检测到恶意软件的少数情况下,该方法仍可以减少恶意软件的影响。
monitor-1307227_1280.jpg

https://www.theengineer.co.uk/malware-embedded-systems/


4 技术支持骗局用iframe和身份验证冻结浏览器

趋势科技研究人员发现了一项新的技术支持骗局(TSS)广告系列,它将iframe与基本弹出式身份验证结合使用,以冻结用户的浏览器,这种技术可用于逃避检测。该TSS活动伪装成一个Microsoft技术支持页面的网页,输入任何涉及的url都将打开两个弹出窗口:一个要求用户身份验证,另一个只是敦促用户请求技术支持。该操作会将用户了带入一个循环。单击身份验证弹出窗口的取消按钮只会返回URL。弹出窗口上的“关闭”和“确定”按钮无效,只用于使网页看起来合法。
fake-microsoft-support-page-640x249.jpg

https://blog.trendmicro.com/tren ... to-freeze-browsers/


5 网络钓鱼攻击者使用假地址栏欺骗Android用户

Android版的谷歌Chrome在加载页面后将隐藏了URL的信息,扩大了可用的屏幕空间来显示网页上的内容,但研究人员表示这种为用户提供方便的功能可能会被网络钓鱼攻击者滥用进行攻击。钓鱼攻击者可以在钓鱼网页中内置一个假网址栏来测试潜在受害者的警觉性。研究人员表示还可以使用填充元素来阻止Chrome在用户滚动时再次显示地址栏。当用户向上滚动时,利用带有溢出的新元素伪装成地址栏显示,这样将隐藏了攻击者使用的恶意地址栏。
proof.png

https://www.zdnet.com/article/ch ... h-fake-address-bar/


6 Windows CSRSS安全更新导致防病毒软件关闭

微软四月发布的Windows补丁更新集中,针对服务器运行时间子系统(CSRSS)的权限提升漏洞( CVE-2019-0735)的安全更新与多个防病毒软件冲突。用户更新后,将导致部分防病毒关闭。研究人员与微软联系试图询问导致该问题的原因,但微软目前尚未回应。
Windows-Update.jpg

https://www.bleepingcomputer.com ... flicts-and-freezes/



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 00:32

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表