找回密码
 注册创意安天

每日安全简讯(20190704)

[复制链接]
发表于 2019-7-3 21:36 | 显示全部楼层 |阅读模式
1 TA505组织使用AndroMut下载FlawedAmmyy

Proofpoint研究人员观察到TA505组织在两个攻击活动中使用AndroMut下载FlawedAmmyy。AndroMut是一个用C++编写的新的下载恶意软件,2019年6月被发现。AndroMut使用Windows API散列加密,并采用两种方式解密字符串:(1)加密的字符串经过base64解码,然后在ECB模式下使用AES-256解密。(2)加密的字符串存储为堆栈字符串。AndroMut还使用多种反分析技术,如检查沙箱、Wine模拟器、调试器等。
1.png

https://www.proofpoint.com/us/th ... -andromut-uae-south


2 Sodin勒索软件利用合法处理器功能逃避安全检测

卡巴斯基研究人员发现Sodin(也称为Sodinokibi和REvil)勒索软件利用CVE-2018-8453 漏洞来提升Windows中的权限,并使用合法的处理器功能来逃避安全检测。Sodin使用混合方案来加密受害者文件。文件内容使用Salsa20对称流算法加密,其密钥使用椭圆曲线非对称算法。如果在配置块中设置了相应的标志,则木马会将有关受感染计算机的信息发送到其服务器。使用另一个硬编码的公钥,还使用ECIES算法对传输的数据进行加密。在执行过程中,木马会检查系统语言和可用的键盘布局,如果在列表中检测到匹配,则恶意软件进程将终止。
2.png

https://securelist.com/sodin-ransomware/91473/


3 LooCipher勒索软件通过带有恶意文档的邮件传播

Yoroi研究人员发现新勒索软件LooCipher,与大多数勒索软件不同,LooCipher通过恶意文档投递,恶意文档要求用户启用宏,一旦运行,它就开始加密除系统和程序文档以外的所有文件。加密后,恶意进程就会向C2发送有关受感染计算机的信息并检索BTC地址以显示在弹出窗口中。 每次勒索软件在“k.php”资源上联系其C2时,服务器都会生成一个新的BTC地址。恶意软件还会嵌入后备地址列表,以便在受害者计算机脱机无法访问C2时使用。
3.png

https://blog.yoroi.company/resea ... nfernal-ransomware/
WannaLocker ransomware found combined with RAT and banking trojan.pdf (487.62 KB, 下载次数: 10)


4 WannaLocker结合多种恶意软件针对巴西银行

Avast研究人员发现WannaLocker勒索软件将间谍软件、远程访问木马(RAT)恶意软件和银行木马恶意软件捆绑在一个勒索软件包中,针对巴西的四大银行进行攻击。新版本的WannaLocker可能通过恶意链接或第三方商店入侵用户手机,研究人员表示这可能是手机版本的第一次出现,会收集文本信息、通话记录、电话号码和信用卡信息。
4.jpg

https://www.scmagazine.com/home/ ... and-banking-trojan/


5 美国警告伊朗黑客利用Outlook漏洞攻击政府网络

美国网络司令部在Twitter上发布警告,称伊朗黑客利用Outlook漏洞CVE-2017-11774持续感染政府网络。CVE-2017-11774是安全功能绕过漏洞,由于Outlook不正确地处理内存中的对象,攻击者可以利用漏洞执行任意命令。安全专家认为这些攻击与伊朗组织APT33有关。
5.jpg

https://securityaffairs.co/wordp ... -apt33-attacks.html


6 安全厂商披露定位Linux ELF恶意软件主函数方法

Linux系统容易受到勒索软件、加密货币挖矿软件、僵尸网络等恶意软件的攻击。通过反向工程文件定位main()函数的地址是检测和组织恶意软件的有效方法之一,当恶意软件样本使用符号编译时,其main()函数可以很容易被找到,但大多数恶意软件样本没有符号。趋势科技对Linux ELF恶意软件进行了分析,如果样本中不存在符号,则可以使用“info files”命令查找入口点,然后放置一个断点,使用“r”命令运行程序,并检查其代码。GDB用于反汇编指令,寻找main函数的地址,该过程是手动的,重复的,并且易于根据样品的某些特征进行变化,可以使用PEDA自动化处理。找到main函数后,可以对其行为、C2服务器和其他功能进行分析以检测和阻止恶意软件。
6.jpg

https://blog.trendmicro.com/tren ... f-malware-variants/



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 22:00

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表