设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20191123)
返回列表 发新帖

每日安全简讯(20191123)

[复制链接]
发表于 2019-11-22 20:09 | 显示全部楼层 |阅读模式
1  新下载器DePriMon疑似与Lamberts有关

ESET研究人员发现了一个新下载器,其使用“Windows Default Print Monitor”(Windows默认打印监视器) 名称 ,所以将其称为DePriMon。DePriMon至少从2017年3月开始就处于活动状态,目前已在中欧的一家私人公司和中东的数十台计算机中被检测到。DePriMon具有多个阶段,并注册了一个新的本地端口监视器来实现持久性,用作C&C服务器的某些域名包含阿拉伯语单词,这表示特定于区域的活动,但是作为精心编写的恶意软件,并使用了大量的加密技术,不仅限于目标对象的地理分布。研究人员在部分受感染计算机上还检测到了ColoredLambert恶意软件,而该恶意软件与网络间谍组织Lamberts(又名Longhorn)有关。
 Figure-1.png

https://www.welivesecurity.com/2 ... licious-downloader/

2 研究团队发现可被利用的新规避技术RIPlace

Nyotron的研究团队发现了一种新的规避技术,可被勒索软件加以利用,研究人员将该技术称为“RIPlace”。RIPlace是一种Windows文件系统技术,如果用于恶意加密文件时,可以避开大多数现有的反勒索软件方法。该方法利用了Windows操作系统的设计缺陷,而不是特定软件的缺陷,而且很容易实现,只需要两行代码。目前还没有发现利用该技术的攻击活动,Nyotron已经向Microsoft和安全供应商发出了警报。
 RIPlace1.png

https://www.nyotron.com/blog/nyo ... -technique-riplace/
RIPlace-report_compressed-3.pdf (753.2 KB, 下载次数: 9)

3 Raccoon Stealer攻击活动绕过安全网关

Cofense研究人员发现最近Raccoon Stealer恶意软件针对金融机构的攻击活动,并绕过了Symantec Email Security和Microsoft EOP网关。Raccoon Stealer于2019年4月左右出现,在地下论坛上以俄语和英语出售。此次活动使用已被入侵的电子邮件账户针对金融机构员工发送电子邮件,邮件使用电汇主题,诱骗用户打开带有的Dropbox URL并下载恶意文件。当恶意软件发送包含“bot ID”和“configuration ID”的HTTP POST请求时,就会与命令和控制中心(C2)进行初始联系。C2使用一个JSON对象作为响应,其中包括用于库和其他文件的C2数据和有效载荷位置,允许使用Racoon Stealer作为加载程序加载其它恶意软件。
 WM_Figure-1.png.wm-copy.jpg

https://cofense.com/raccoon-stea ... microsoft-gateways/

4 Web支付卡窃取程序通过支付平台窃取数据

Malwarebytes研究人员在过去几个月中,跟踪了活跃使用网页支付卡窃取程序和网络钓鱼模板的攻击活动。该活动中的多数域通过同一个电子邮件注册,网络钓鱼页面复制CommWeb的官方模板,CommWeb是澳大利亚联邦银行提供的付款接受服务。最终支付卡窃取程序作为伪造的Google Analytics库ga.js加载。
 templates.png

https://blog.malwarebytes.com/we ... t-service-platform/

5 美国联邦调查局表示黑客攻击美国汽车业

美国联邦调查局(FBI)在本周发布给部分私人公司的报告中,表示黑客利用复杂的技术和网络漏洞,成功入侵汽车工业计算机系统。报告中列举了许多黑客成功入侵美国汽车公司的示例,已经导致勒索软件感染、个人身份信息泄露的数据泄露以及对企业网络的未授权访问。攻击手段使用包括暴力破解访问计算机网络,通过发送包含恶意附件的网络钓鱼邮件,打开后,嵌入计算机的恶意代码允许黑客进入整个计算机网络并移动,窃取敏感数据。FBI并没有在报告中提供任何技术细节。
 191001161938-automatizacion-afecta-salarios-empleos-estados-unidos-portafolio-gl.jpg

https://edition.cnn.com/2019/11/ ... -hackers/index.html

6 BIND存在漏洞可被利用造成拒绝服务攻击

ISC发布关于BIND (Berkeley Internet Name Domain)的安全公告,其存在可允许远程攻击者进行拒绝服务攻击的漏洞,漏洞ID为CVE-2019-6477。BIND可以限制在任何给定时间连接的TCP客户机的数量,而漏洞补丁CVE-2018-5743对该功能的更新,将BIND计算并发TCP客户机数量的方式,从计算未完成的TCP查询改为计算TCP客户机连接。在具有TCP-pipelining功能的服务器上,一个TCP客户机可以通过单个连接发送大量DNS请求。每个未完成的查询将作为独立的客户端请求在内部进行处理,从而绕过新的TCP客户端限制。相关用户可升级至最新版本进行补丁更新,或者可以通过禁用服务器TCP管道来避免此漏洞。
 1a87_shutterstock_1209143419.jpg

https://kb.isc.org/docs/cve-2019-6477




回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 17:45

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表