找回密码
 注册创意安天

每日安全简讯(20190824)

[复制链接]
发表于 2019-8-23 21:11 | 显示全部楼层 |阅读模式
1 安天发布Mykings僵尸网络近期活动分析报告

2019年4月,安天CERT在客户侧威胁检测系统(安天探海)捕获的异常网络流量中发现了Mykings僵尸网络的挖矿行为。安天CERT分析人员通过对异常网络流量进行分析定位到了攻击者C2服务器,并获得了其FTP服务器的登陆凭证。Mykings僵尸网络C2服务器安装的是Windows操作系统,并对外开放21端口用来接收受害主机上传的敏感信息,开放80和8888端口用来挂载指令和木马文件。Mykings在开源代码PcShare的基础上进行了修改,主要功能是循环请求C2服务执行更新自身、执行命令、下载Xmrig“挖矿”软件等,还会请求C2获取杀死进程的列表,列表内容主要包括木马和“挖矿”程序。 除了挖矿行为外,Mykings还会从其他C2下载执行恶意代码。通过对攻击者FTP服务器的持续监控中发现,全球范围内共有210675台受害主机向外网IP上传有效数据,其中中国受害主机数量最多。安天为用户提供安全防护建议如下:1. 定期修改服务器口令,禁止使用弱口令;2. 确保系统与应用程序及时下载更新官方提供的最新补丁;3. 定期使用反病毒软件进行系统扫描,如反病毒软件具有启发式扫描功能,可使用该功能扫描计算机;4. 在终端安装可靠的安全防护产品,如安天智甲进行有效防护。
2-1.jpg

https://www.antiy.com/response/20190822.html


2 Neutrino僵尸网络劫持web shell安装挖矿软件

Positive Technologies研究人员发现Neutrino僵尸网络对159种不同的web shell进行扫描劫持,以安装挖矿恶意软件挖取门罗币。该攻击活动自2016年开始运行,最新活动始于2018年初,黑客开始在互联网上扫描随机IP地址,搜索特定的web应用程序和服务器进行感染。利用新旧漏洞、搜索没有密码的phpMyAdmin服务器,以及暴力破解phpMyAdmin、Tomcat和MS-SQL系统的root帐户来破坏服务器。投放的有效载荷第一个组件是门罗币挖矿恶意软件,存储在磁盘上并自启动。第二个组件是一个包含DLL库的PowerShell脚本,它由另一个PowerShell脚本从服务器下载。DLL库代码在内存中执行,负责传播恶意软件并添加到僵尸网络中。Neutrino和C2服务器之间的数据交换使用base64编码,C2放在受感染的服务器上。受感染的服务器大多数是运行phpStudy的Windows系统。
微信图片_20190823212530.png

http://blog.ptsecurity.com/2019/08/finding-neutrino.html


3 基于AhMyth的间谍软件在谷歌软件商店中传播

ESET研究人员谷歌软件商店发现了第一个基于AhMyth开源恶意软件的间谍软件,其绕过了谷歌的应用程序审查过程。该间谍软件是名为Radio Balouch(又名RB Music)的流媒体广播应用程序,于2019年7月2日和7月13日两次潜入安卓官方应用商店,每次均已被安装超100次后,谷歌在得到警报后迅速将其删除。该恶意程序具备齐全的正常应用功能,来隐藏自己的恶意功能,安装后通过获取用户相关权限以执行应用的方式,获取权限,完成窃取联系人、存储在设备上的文件、发送SMS消息的信息。窃取的信息通过HTTP连接以未加密方式传输到C2服务器。
Fig-1-2-1024x913.png

https://www.welivesecurity.com/2 ... ahmyth-google-play/


4 bb-builder恶意程序包感染npm存储库窃取数据

npm存储库团队最近在其存储库中发现了一个恶意程序包“bb-builder”,从所在Windows设备上窃取登录信息。npm存储库是一个常用的在线数据库,用于存储开源软件包,这些包通常与Node.js项目相关,并为许多其它项目提供依赖关系。该恶意程序包由一个Windows可执行文件组成,当安装在设备上后,该文件开始将登录信息和其它数据传输到远程服务器。npm团队已将该恶意程序包删除,但表示由于攻击者可能已获取了机器控制权,所以删除该恶意程序包不能保证删除进一步感染的其它恶意软件。
shutterstock_626435660.jpg

https://cyware.com/news/maliciou ... repository-c2271305


5 Bitdefender免费杀毒软件产品存在权限提升漏洞

SafeBreach Labs研究人员在Bitdefender免费杀毒软件2020产品中发现了一个权限提升漏洞,允许攻击者在攻击后期利用该漏洞维持持久性和使用最高权限执行代码。该漏洞ID为CVE-2019-15295,由于缺乏验证加载的二进制文件是否已签名并来自受信任的位置导致。不受信任的搜索路径漏洞允许攻击者从搜索路径加载任意DLL文件。该漏洞影响该产品1.0.15.138之前版本,Bitdefender已更新修复该漏洞。
SafeBreach-BD-priv-esc01.png

https://www.bleepingcomputer.com ... ree-antivirus-2020/


6 思科小型企业交换机中存在远程代码执行漏洞

思科发布了安全更新修复了小型企业220系列智能交换机中三个安全漏洞。第一个是Web管理界面中远程代码执行漏洞CVE-2019-1913,允许攻击者在底层操作系统上以root权限执行任意代码。第二个是Web管理界面中身份验证旁路安全漏洞CVE-2019-1912,允许攻击者修改受影响设备的配置或注入反向shell。第三个是命令注入漏洞CVE-2019-1914,允许经过身份验证的远程攻击者发起命令注入攻击。思科证实并未发现利用以上漏洞的攻击活动。
Cisco-Small-Business-220-Series-Smart-Switches.jpg

https://securityaffairs.co/wordp ... itches-exploit.html



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 20:46

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表