2020年9月第4周情報概覽
威脅事件情報
1. Emotet攻擊魁北克司法部
發(fā)布時間:2020年9月16日
情報來源:
https://www.welivesecurity.com/2020/09/16/emotet-quebec-department-justice-eset/
情報摘要:魁北克司法部遭受網(wǎng)絡(luò)攻擊,攻擊者通過電子郵件投遞Emotet 惡意軟件。黑客涉嫌竊取大約300名員工的個人信息。
2. 英國警告對教育部門的勒索軟件威脅激增
發(fā)布時間:2020年9月18日
情報摘要:
英國國家網(wǎng)絡(luò)安全中心(NCSC)已發(fā)布有關(guān)針對教育機構(gòu)的勒索軟件事件激增的警報,敦促他們遵循最近更新的緩解惡意軟件攻擊的建議。NCSC在8月份調(diào)查了針對該國學(xué)校,學(xué)院和大學(xué)的勒索軟件攻擊事件增多之后,發(fā)出了此警告。
除了對勒索軟件威脅進行預(yù)警之外,政府組織還提供了常見的針對此類網(wǎng)絡(luò)攻擊的初始感染媒介:不安全的遠程桌面協(xié)議(RDP)配置;未修補的軟件和硬件設(shè)備中的漏洞,尤其是網(wǎng)絡(luò)邊緣的設(shè)備,例如防火墻和虛擬專用網(wǎng);網(wǎng)絡(luò)釣魚電子郵件。
3. Maze勒索軟件現(xiàn)在通過虛擬機加密,以逃避檢測
發(fā)布時間:2020年9月17日
情報來源:
情報摘要:
迷宮勒索軟件操作者采用了Ragnar Locker團伙先前使用的策略;從虛擬機中加密計算機。虛擬機會將主機驅(qū)動器安裝為遠程共享,然后在虛擬機中運行勒索軟件以加密共享文件。在攻擊中,Maze部署了一個MSI文件,該文件將VirtualBox VM軟件以及自定義的Windows 7虛擬機安裝在服務(wù)器上。之后,再啟動虛擬機加密共享的主機文件。
4. Cerberus銀行木馬的源代碼在地下論壇上泄露
發(fā)布時間:2020年9月16日
情報來源:
https://securityaffairs.co/wordpress/108373/cyber-crime/cerberus-source-code-leaked.html
情報摘要:
在拍賣失敗后,臭名昭著的Cerberus銀行木馬的源代碼已在地下黑客論壇上免費發(fā)布。整個項目包括組件的源代碼(惡意APK,管理面板和C2代碼),安裝指南,用于設(shè)置的腳本集和具有有效許可證的客戶列表,以及與客戶和潛在的買家。該惡意軟件實現(xiàn)了銀行木馬功能,例如使用覆蓋攻擊,攔截SMS消息和訪問聯(lián)系人列表的功能。
5. 濫用Google App Engine功能來創(chuàng)建無限網(wǎng)絡(luò)釣魚頁面
發(fā)布時間:2020年9月20日
情報來源:
情報摘要:
研究人員最近發(fā)現(xiàn)的一項技術(shù)表明,如何利用Google的App Engine域來傳遞網(wǎng)絡(luò)釣魚和惡意軟件,同時又不被領(lǐng)先的企業(yè)安全產(chǎn)品所檢測到。Google App Engine是一個基于云的服務(wù)平臺,用于在Google的服務(wù)器上開發(fā)和托管Web應(yīng)用。
詐騙者通常使用云服務(wù)來創(chuàng)建被分配了子域的惡意應(yīng)用。然后,他們在此處托管網(wǎng)絡(luò)釣魚頁面。或者他們可能將該應(yīng)用程序用作命令和控制(C2)服務(wù)器來傳遞惡意軟件有效負載。
6. 在物聯(lián)網(wǎng)設(shè)備中尋找復(fù)雜的惡意軟件
發(fā)布時間:2020年9月23日
情報來源:
https://securelist.com/looking-for-sophisticated-malware-in-iot-devices/98530/
情報摘要:
這篇文章的動機之一是鼓勵對這個主題感興趣的其他研究人員加入,分享想法和知識,并幫助建立更多功能,以便更好地保護我們的智能設(shè)備。物聯(lián)網(wǎng)設(shè)備(例如Zigbee)中使用的通信協(xié)議中還存在一些漏洞,攻擊者可以利用這些漏洞來將設(shè)備定為目標(biāo)并將惡意軟件傳播到網(wǎng)絡(luò)中的其他設(shè)備,類似于計算機蠕蟲。
漏洞情報
1. Google Chrome PDFium內(nèi)存損壞導(dǎo)致代碼執(zhí)行
發(fā)布時間:2020年9月14日
情報來源:
https://blog.talosintelligence.com/2020/09/vuln-spotlight-google-pdfium-sept-2020.html
情報摘要:
攻擊者可能會利用Google Chrome的PDFium功能破壞內(nèi)存并可能執(zhí)行遠程代碼。Chrome是一種流行的免費網(wǎng)絡(luò)瀏覽器,可在所有操作系統(tǒng)上使用。PDFium允許用戶在Chrome中打開PDF。我們最近發(fā)現(xiàn)了一個漏洞,該漏洞使攻擊者可以將惡意網(wǎng)頁發(fā)送給用戶,然后導(dǎo)致越界訪問內(nèi)存。
2. Apple Safari遠程執(zhí)行代碼漏洞
發(fā)布時間:2020年9月17日
情報來源:
https://blog.talosintelligence.com/2020/09/vuln-spotlight-apple-safari-sept-2020.html
情報摘要:
Apple Safari Web瀏覽器的Webkit功能中包含一個遠程執(zhí)行代碼漏洞。具體來說,攻擊者可能會在Safari中使用的Webkit DOM呈現(xiàn)系統(tǒng)WebCore中觸發(fā)“先釋放后使用”條件。這可能使攻擊者能夠在受害機器上執(zhí)行遠程代碼。用戶需要在Safari中打開特制的惡意網(wǎng)頁才能觸發(fā)此漏洞。
3. 數(shù)十億設(shè)備或?qū)⑹艿叫碌?ldquo; BLESA”藍牙安全漏洞的攻擊
發(fā)布時間:2020年9月18日
情報來源:https://mp.weixin.qq.com/s/VUUoRD-lM8ZZyJEs0rh1eA
情報摘要:
數(shù)以億計的智能手機、平板電腦、筆記本電腦和物聯(lián)網(wǎng)設(shè)備正在使用藍牙軟件,需要警覺的是,這些軟件很容易受到今年夏天披露的一個新的安全漏洞的攻擊。該漏洞被稱為BLESA (Bluetooth Low Energy Spoofing Attack),會影響運行Bluetooth Low Energy (BLE)協(xié)議的設(shè)備。普渡大學(xué)( Purdue University )組成的一個研究團隊在著手調(diào)查BLE協(xié)議后,發(fā)現(xiàn)了安全問題:附近的攻擊者可以繞過重連接驗證,并向帶有錯誤信息的BLE設(shè)備發(fā)送欺騙數(shù)據(jù),并誘導(dǎo)使用者和自動化流程做出錯誤決定。
4. Spring Framework反射型文件下載漏洞風(fēng)險通告
發(fā)布時間:2020年9月22日
情報來源:https://mp.weixin.qq.com/s/SYXhJrVz87jpMB-V0Zx_LA
情報摘要:
VMware Tanzu發(fā)布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和較舊的不受支持的版本中,公布了一個存在于Spring Framework中的反射型文件下載(Reflected File Download,RFD)漏洞(CVE-2020-5421)。
CVE-2020-5421漏洞可通過jsessionid路徑參數(shù),繞過防御RFD攻擊的保護。攻擊者通過向用戶發(fā)送帶有批處理腳本擴展名的URL,使用戶下載并執(zhí)行文件,從而危害系統(tǒng)。VMware Tanzu官方已發(fā)布修復(fù)漏洞的新版本。
5. The Return of Raining SYSTEM Shells with Citrix Workspace app
發(fā)布時間:2020年9月21日
情報來源:
情報摘要:
7月份國外安全研究人員記錄了一個新的Citrix Workspace漏洞,該漏洞使攻擊者可以在SYSTEM帳戶下遠程執(zhí)行任意命令。在對初始修復(fù)程序進行了進一步研究之后,又發(fā)現(xiàn)了一個新的攻擊點:問題的核心在于遠程命令行注入漏洞,攻擊者可以使用惡意MSI轉(zhuǎn)換繞過Citrix簽名的MSI安裝程序。
更新的Citrix安全公告:https://support.citrix.com/article/CTX277662,漏洞描述:
在Windows的Citrix Workspace應(yīng)用程序的自動更新服務(wù)中發(fā)現(xiàn)了一個漏洞,該漏洞可能導(dǎo)致:1.本地用戶將其特權(quán)級別提升為運行Windows的Citrix Workspace應(yīng)用程序的計算機上的管理員級別; 2.啟用Windows文件共享(SMB)后,運行Citrix Workspace應(yīng)用程序的計算機受到遠程威脅。
6. Jenkins公告多個插件的安全漏洞(2020.9.23)
發(fā)布時間:2020年9月24日
情報來源:https://s.tencent.com/research/bsafe/1137.html
情報摘要:
Jenkins官方9月23日公告多個插件存在的安全漏洞,這些漏洞可能導(dǎo)致遠程代碼執(zhí)行、沙箱繞過、CSRF攻擊、XSS漏洞攻擊等后果。漏洞涉及五個插件:Implied Labels Plugin、Liquibase Runner Plugin、Lockable Resources Plugin、Script Security Plugin、Warnings Plugin。
7. ZeroLogon(CVE-2020-1472)-攻擊與防御
發(fā)布時間:2020年9月24日
情報來源:https://blog.zsec.uk/zerologon-attacking-defending/
情報摘要:
從紅藍對抗的角度了解CVE-2020-1472漏洞,以及如何檢測、修補和破解ZeroLogon。結(jié)論是:就攻擊而言,該漏洞有點改變游戲規(guī)則,漏洞利用是如此簡單,利用漏洞進行攻擊會帶來非常有害的后果。無論您坐在籬笆的哪一側(cè),都應(yīng)該修補此問題,并鼓勵您的客戶也這樣做。在實時環(huán)境中進行開發(fā)時應(yīng)格外小心,因為它會破壞域,并且沒有備份機器密碼,修復(fù)它并不是一個有趣的過程!
