2020年9月第4周情報(bào)概覽
威脅事件情報(bào)
1. Emotet攻擊魁北克司法部
發(fā)布時(shí)間:2020年9月16日
情報(bào)來源:
https://www.welivesecurity.com/2020/09/16/emotet-quebec-department-justice-eset/
情報(bào)摘要:魁北克司法部遭受網(wǎng)絡(luò)攻擊,攻擊者通過電子郵件投遞Emotet 惡意軟件。黑客涉嫌竊取大約300名員工的個(gè)人信息。
2. 英國(guó)警告對(duì)教育部門的勒索軟件威脅激增
發(fā)布時(shí)間:2020年9月18日
情報(bào)摘要:
英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)已發(fā)布有關(guān)針對(duì)教育機(jī)構(gòu)的勒索軟件事件激增的警報(bào),敦促他們遵循最近更新的緩解惡意軟件攻擊的建議。NCSC在8月份調(diào)查了針對(duì)該國(guó)學(xué)校,學(xué)院和大學(xué)的勒索軟件攻擊事件增多之后,發(fā)出了此警告。
除了對(duì)勒索軟件威脅進(jìn)行預(yù)警之外,政府組織還提供了常見的針對(duì)此類網(wǎng)絡(luò)攻擊的初始感染媒介:不安全的遠(yuǎn)程桌面協(xié)議(RDP)配置;未修補(bǔ)的軟件和硬件設(shè)備中的漏洞,尤其是網(wǎng)絡(luò)邊緣的設(shè)備,例如防火墻和虛擬專用網(wǎng);網(wǎng)絡(luò)釣魚電子郵件。
3. Maze勒索軟件現(xiàn)在通過虛擬機(jī)加密,以逃避檢測(cè)
發(fā)布時(shí)間:2020年9月17日
情報(bào)來源:
情報(bào)摘要:
迷宮勒索軟件操作者采用了Ragnar Locker團(tuán)伙先前使用的策略;從虛擬機(jī)中加密計(jì)算機(jī)。虛擬機(jī)會(huì)將主機(jī)驅(qū)動(dòng)器安裝為遠(yuǎn)程共享,然后在虛擬機(jī)中運(yùn)行勒索軟件以加密共享文件。在攻擊中,Maze部署了一個(gè)MSI文件,該文件將VirtualBox VM軟件以及自定義的Windows 7虛擬機(jī)安裝在服務(wù)器上。之后,再啟動(dòng)虛擬機(jī)加密共享的主機(jī)文件。
4. Cerberus銀行木馬的源代碼在地下論壇上泄露
發(fā)布時(shí)間:2020年9月16日
情報(bào)來源:
https://securityaffairs.co/wordpress/108373/cyber-crime/cerberus-source-code-leaked.html
情報(bào)摘要:
在拍賣失敗后,臭名昭著的Cerberus銀行木馬的源代碼已在地下黑客論壇上免費(fèi)發(fā)布。整個(gè)項(xiàng)目包括組件的源代碼(惡意APK,管理面板和C2代碼),安裝指南,用于設(shè)置的腳本集和具有有效許可證的客戶列表,以及與客戶和潛在的買家。該惡意軟件實(shí)現(xiàn)了銀行木馬功能,例如使用覆蓋攻擊,攔截SMS消息和訪問聯(lián)系人列表的功能。
5. 濫用Google App Engine功能來創(chuàng)建無限網(wǎng)絡(luò)釣魚頁(yè)面
發(fā)布時(shí)間:2020年9月20日
情報(bào)來源:
情報(bào)摘要:
研究人員最近發(fā)現(xiàn)的一項(xiàng)技術(shù)表明,如何利用Google的App Engine域來傳遞網(wǎng)絡(luò)釣魚和惡意軟件,同時(shí)又不被領(lǐng)先的企業(yè)安全產(chǎn)品所檢測(cè)到。Google App Engine是一個(gè)基于云的服務(wù)平臺(tái),用于在Google的服務(wù)器上開發(fā)和托管Web應(yīng)用。
詐騙者通常使用云服務(wù)來創(chuàng)建被分配了子域的惡意應(yīng)用。然后,他們?cè)诖颂幫泄芫W(wǎng)絡(luò)釣魚頁(yè)面。或者他們可能將該應(yīng)用程序用作命令和控制(C2)服務(wù)器來傳遞惡意軟件有效負(fù)載。
6. 在物聯(lián)網(wǎng)設(shè)備中尋找復(fù)雜的惡意軟件
發(fā)布時(shí)間:2020年9月23日
情報(bào)來源:
https://securelist.com/looking-for-sophisticated-malware-in-iot-devices/98530/
情報(bào)摘要:
這篇文章的動(dòng)機(jī)之一是鼓勵(lì)對(duì)這個(gè)主題感興趣的其他研究人員加入,分享想法和知識(shí),并幫助建立更多功能,以便更好地保護(hù)我們的智能設(shè)備。物聯(lián)網(wǎng)設(shè)備(例如Zigbee)中使用的通信協(xié)議中還存在一些漏洞,攻擊者可以利用這些漏洞來將設(shè)備定為目標(biāo)并將惡意軟件傳播到網(wǎng)絡(luò)中的其他設(shè)備,類似于計(jì)算機(jī)蠕蟲。
漏洞情報(bào)
1. Google Chrome PDFium內(nèi)存損壞導(dǎo)致代碼執(zhí)行
發(fā)布時(shí)間:2020年9月14日
情報(bào)來源:
https://blog.talosintelligence.com/2020/09/vuln-spotlight-google-pdfium-sept-2020.html
情報(bào)摘要:
攻擊者可能會(huì)利用Google Chrome的PDFium功能破壞內(nèi)存并可能執(zhí)行遠(yuǎn)程代碼。Chrome是一種流行的免費(fèi)網(wǎng)絡(luò)瀏覽器,可在所有操作系統(tǒng)上使用。PDFium允許用戶在Chrome中打開PDF。我們最近發(fā)現(xiàn)了一個(gè)漏洞,該漏洞使攻擊者可以將惡意網(wǎng)頁(yè)發(fā)送給用戶,然后導(dǎo)致越界訪問內(nèi)存。
2. Apple Safari遠(yuǎn)程執(zhí)行代碼漏洞
發(fā)布時(shí)間:2020年9月17日
情報(bào)來源:
https://blog.talosintelligence.com/2020/09/vuln-spotlight-apple-safari-sept-2020.html
情報(bào)摘要:
Apple Safari Web瀏覽器的Webkit功能中包含一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。具體來說,攻擊者可能會(huì)在Safari中使用的Webkit DOM呈現(xiàn)系統(tǒng)WebCore中觸發(fā)“先釋放后使用”條件。這可能使攻擊者能夠在受害機(jī)器上執(zhí)行遠(yuǎn)程代碼。用戶需要在Safari中打開特制的惡意網(wǎng)頁(yè)才能觸發(fā)此漏洞。
3. 數(shù)十億設(shè)備或?qū)⑹艿叫碌?ldquo; BLESA”藍(lán)牙安全漏洞的攻擊
發(fā)布時(shí)間:2020年9月18日
情報(bào)來源:https://mp.weixin.qq.com/s/VUUoRD-lM8ZZyJEs0rh1eA
情報(bào)摘要:
數(shù)以億計(jì)的智能手機(jī)、平板電腦、筆記本電腦和物聯(lián)網(wǎng)設(shè)備正在使用藍(lán)牙軟件,需要警覺的是,這些軟件很容易受到今年夏天披露的一個(gè)新的安全漏洞的攻擊。該漏洞被稱為BLESA (Bluetooth Low Energy Spoofing Attack),會(huì)影響運(yùn)行Bluetooth Low Energy (BLE)協(xié)議的設(shè)備。普渡大學(xué)( Purdue University )組成的一個(gè)研究團(tuán)隊(duì)在著手調(diào)查BLE協(xié)議后,發(fā)現(xiàn)了安全問題:附近的攻擊者可以繞過重連接驗(yàn)證,并向帶有錯(cuò)誤信息的BLE設(shè)備發(fā)送欺騙數(shù)據(jù),并誘導(dǎo)使用者和自動(dòng)化流程做出錯(cuò)誤決定。
4. Spring Framework反射型文件下載漏洞風(fēng)險(xiǎn)通告
發(fā)布時(shí)間:2020年9月22日
情報(bào)來源:https://mp.weixin.qq.com/s/SYXhJrVz87jpMB-V0Zx_LA
情報(bào)摘要:
VMware Tanzu發(fā)布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和較舊的不受支持的版本中,公布了一個(gè)存在于Spring Framework中的反射型文件下載(Reflected File Download,RFD)漏洞(CVE-2020-5421)。
CVE-2020-5421漏洞可通過jsessionid路徑參數(shù),繞過防御RFD攻擊的保護(hù)。攻擊者通過向用戶發(fā)送帶有批處理腳本擴(kuò)展名的URL,使用戶下載并執(zhí)行文件,從而危害系統(tǒng)。VMware Tanzu官方已發(fā)布修復(fù)漏洞的新版本。
5. The Return of Raining SYSTEM Shells with Citrix Workspace app
發(fā)布時(shí)間:2020年9月21日
情報(bào)來源:
情報(bào)摘要:
7月份國(guó)外安全研究人員記錄了一個(gè)新的Citrix Workspace漏洞,該漏洞使攻擊者可以在SYSTEM帳戶下遠(yuǎn)程執(zhí)行任意命令。在對(duì)初始修復(fù)程序進(jìn)行了進(jìn)一步研究之后,又發(fā)現(xiàn)了一個(gè)新的攻擊點(diǎn):?jiǎn)栴}的核心在于遠(yuǎn)程命令行注入漏洞,攻擊者可以使用惡意MSI轉(zhuǎn)換繞過Citrix簽名的MSI安裝程序。
更新的Citrix安全公告:https://support.citrix.com/article/CTX277662,漏洞描述:
在Windows的Citrix Workspace應(yīng)用程序的自動(dòng)更新服務(wù)中發(fā)現(xiàn)了一個(gè)漏洞,該漏洞可能導(dǎo)致:1.本地用戶將其特權(quán)級(jí)別提升為運(yùn)行Windows的Citrix Workspace應(yīng)用程序的計(jì)算機(jī)上的管理員級(jí)別; 2.啟用Windows文件共享(SMB)后,運(yùn)行Citrix Workspace應(yīng)用程序的計(jì)算機(jī)受到遠(yuǎn)程威脅。
6. Jenkins公告多個(gè)插件的安全漏洞(2020.9.23)
發(fā)布時(shí)間:2020年9月24日
情報(bào)來源:https://s.tencent.com/research/bsafe/1137.html
情報(bào)摘要:
Jenkins官方9月23日公告多個(gè)插件存在的安全漏洞,這些漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行、沙箱繞過、CSRF攻擊、XSS漏洞攻擊等后果。漏洞涉及五個(gè)插件:Implied Labels Plugin、Liquibase Runner Plugin、Lockable Resources Plugin、Script Security Plugin、Warnings Plugin。
7. ZeroLogon(CVE-2020-1472)-攻擊與防御
發(fā)布時(shí)間:2020年9月24日
情報(bào)來源:https://blog.zsec.uk/zerologon-attacking-defending/
情報(bào)摘要:
從紅藍(lán)對(duì)抗的角度了解CVE-2020-1472漏洞,以及如何檢測(cè)、修補(bǔ)和破解ZeroLogon。結(jié)論是:就攻擊而言,該漏洞有點(diǎn)改變游戲規(guī)則,漏洞利用是如此簡(jiǎn)單,利用漏洞進(jìn)行攻擊會(huì)帶來非常有害的后果。無論您坐在籬笆的哪一側(cè),都應(yīng)該修補(bǔ)此問題,并鼓勵(lì)您的客戶也這樣做。在實(shí)時(shí)環(huán)境中進(jìn)行開發(fā)時(shí)應(yīng)格外小心,因?yàn)樗鼤?huì)破壞域,并且沒有備份機(jī)器密碼,修復(fù)它并不是一個(gè)有趣的過程!
