每日安全简讯(20200512)

发表于 2020-5-11 21:22

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

1 研究人员披露Blue Mockingbird挖矿活动

Red Canary研究人员披露名为Blue Mockingbird的门罗币挖矿活动。该活动可追溯到2019年12月，利用面向公众的Web应用程序来实现初始访问，该应用程序为ASP.NET AJAX实现了Telerik UI。然后，利用该程序存在的反序列化漏洞CVE-2019-18935，上载两个dll到运行在Windows IIS web服务器上的web应用程序，利用IIS进程w3wp.exe将DLL写入磁盘，然后立即将其加载到内存中。Blue Mockingbird分发的主要有效载荷是打包为DLL的XMRIG版本，XMRIG是一种流行的开源门罗币挖矿工具。在至少一次事件中，攻击者使用代理软件并尝试用不同种类的反向shell有效载荷来连接外部系统。每个有效载荷都带有一个标准的常用门罗币挖矿域列表以及一个门罗币钱包地址。研究人员观察到其三种不同的方法逃避检测：通过rundll32.exe显式调用DLL导出fackaaxv执行；使用regsvr32.exe使用/s命令行选项执行；将载荷配置为Windows服务DLL执行。持久性技术包括使用COR_PROFILER COM劫持来执行恶意DLL并恢复防御者删除的项目。

https://redcanary.com/blog/blue-mockingbird-cryptominer/

2 冠状病毒主题垃圾邮件传播Zeus Sphinx木马

2020年第一季度，Zeus Sphinx银行木马以冠状病毒救助付款更新为主题的垃圾邮件传播。Zeus Sphinx首先通过邮件附件文档启用恶意宏释放到计算机上。然后，使用常见的方法向Windows注册表添加RUN键值来建立持久性。由于Zeus Sphinx的主要功能是从在线银行会话中获取用户凭据和其他个人信息，因此它具有hook浏览器功能，在此之前，Sphinx会将恶意代码注入explorer.exe进程。当受害者试图访问金融网站时，浏览器将其重定向到欺诈域。Zeus Sphinx还将创建一个名为msiexec.exe的独立进程，以模仿合法程序保持隐秘。Zeus Sphinx使用了多种C2服务器域列表以及RC4密钥进行通信加密。

https://securityintelligence.com ... odifications-arise/

3 Sodinokibi变种可加密打开和锁定的文件

Intel471研究人员发现Sodinokibi勒索软件新变种（即版本2.2），该变种可加密打开和锁定的文件。新功能是使用Windows启动管理器API关闭进程或锁定文件的Windows服务以对其进行加密。如果某个进程具有某个特定文件的打开文件句柄，然后由另一个进程写入该文件，它将被Windows操作系统阻止。为了避免这种情况，Sodinokibi开发人员利用了Windows重新启动管理器。Sodinokibi会打开文件加密而不共享，每当打开已打开的文件，发生共享冲突时，都会调用Windows启动管理器。研究人员还指出，该变种还利用Windows启动管理器 API关闭任何可能阻止文件被解密的进程。

https://securityaffairs.co/wordp ... re-new-feature.html

4 Oracle iPlanet Web Server存在两个漏洞

研究人员在在Oracle iPlanet Web Server的Web管理控制台中发现了两个漏洞，允许敏感数据泄露和有限注入。第一个漏洞为CVE-2020-9315，允许攻击者对管理控制台中的任何页面进行只读访问而无需身份验证，从而导致敏感数据泄露。第二个漏洞为CVE-2020-9314，允许攻击者注入外部图像，这些图像可用于网络钓鱼和社会工程。这些漏洞已报告给供应商（Oracle），由于不再支持受影响的产品，供应商将不会发布安全补丁。
微信图片_20200511212340.jpg

https://wwws.nightwatchcybersecu ... -and-cve-2020-9314/

5 Thunderbolt端口漏洞可致Evil maid攻击

最新研究表明，启用Thunderbolt端口的PC容易受到Evil maid攻击。埃因霍温科技大学研究员透露了被称为Thunderspy的新攻击方法细节。在2019年之前生产的支持Thunderbolt的Windows或Linux系统的PC，研究员可以绕过休眠或锁定的计算机的登录屏幕，甚至是其硬盘加密，以获得对计算机数据的完全访问权。虽然该攻击在很多情况下都需要用螺丝刀打开目标笔记本电脑的外壳，但它不会留下任何入侵痕迹，而且只需几分钟就能完成Evil maid攻击。Evil maid攻击是对无人值守设备的一种攻击方式，具有物理访问权限的攻击者，用某种无法检测的手段对设备进行更改，以便后续访问该设备或设备中的数据。研究员表示没有简单的软件修复程序，只能完全禁用Thunderbolt端口来应对威胁。

https://www.wired.com/story/thun ... -evil-maid-hacking/

6 安全厂商设计一种新的恶意软件检测方法

微软和英特尔设计了一种新的恶意软件检测方法，该方法被称为STAMINA，其涉及深度学习和恶意软件的图像表示。该研究基于英特尔研究人员先前通过深度迁移学习对静态恶意软件分类的工作，然后将其可交付成果应用于Microsoft提供的真实数据集，以评估其效率。STAMINA方法包括四个步骤：预处理（图像转换）、转移学习、评估和解释。该方法的动机是对应用程序二进制文件进行可视化检查，绘制成灰色的图像:来自同一科的恶意软件之间存在结构和结构上的相似性，恶意软件和良性软件之间存在差异，以及不同的恶意软件科之间也存在差异。

https://securityaffairs.co/wordp ... ware-detection.html

		自动登录	找回密码
密码			注册创意安天