news1906

差别

这里会显示出您选择的修订版和当前版本之间的差别。

到此差别页面的链接

两侧同时换到之前的修订记录 前一修订版
news1906 [2021/01/07 16:34]
admin 		news1906 [2021/01/07 16:49] (当前版本)
admin
行 1: 行 1:
-====== ​安全帮】个人信息保护立法规范平台擅自收集用户数据等行为 ​======+====== ​ [安全资讯 第1000期]境外黑产团伙也复工,针对国内相关单位发起钓鱼攻击  ​======
  
-<font 18px/​inherit;;​inherit;;​inherit>​2020年7月17日 第1000期</​font>​+来源:本站整理 ​ 作者:佚名 ​ 时间:2020-03-17<font 18px/​inherit;;​inherit;;​inherit></​font>​
  
-1.Apache Solr configset upload文件上传漏洞 +近日奇安信病毒响应日常样本监控过程中发现境外黑客团伙以国内某银行名义向相关单位发送钓鱼邮件诱导收件人打开附件,从而运行恶意程序,导致单位信息、机密文件被窃取。\\ 
- +样本使用目前流行的混淆器,在执行过程中多次内存加载最终运行NanoCore远控,连接远程服务器上传敏感数据\\ 
-Apache Solr发布公告修复了ConfigSet API在的未授权上传漏洞风险该漏洞被利用可导致RCE(远程代码执行建议相关用户及时升级到安全版本Apache Solr 8.6.3。Solr是用Java编写、运行在Servlet容器(如Apache Tomcat或Jetty)的一个独立的全文搜索服务器。是Apache Lucene项目的开源企业搜索平台。 +通过奇安信大数据平台监测,已有国内相关单位中招,为防止威胁进一步扩散,病毒响应中心负责任地对相关样本进行披露和分析\\ 
- +邮件分析\\ 
-参考来源: +{{http://www.myhack58.com/Article/UploadPic/2020-3/202031723203860.png?​nolink&​}}\\ 
- +其发件人高仿中航船舶系统(@avicships.com)而中航船舶真实邮箱址为@avicship.com差一”s”非常具有迷惑性\\ 
-[[https://nosec.org/​home/​detail/​4588.html|https://nosec.org/home/detail/4588.html]] +{{http://www.myhack58.com/Article/UploadPic/2020-3/​202031723203842.png?​nolink&​}}\\ 
- +附件内容如下:\\ 
-2.微软捣毁了臭名昭著的 Trickbot 勒索软僵尸网络 +{{http://www.myhack58.com/Article/UploadPic/2020-3/​202031723203505.png?​nolink&​}}\\ 
- +从附件名称可以判断该黑客团伙似乎不懂中文。\\ 
-微软近期宣布破坏了Trickbot僵尸网络这是世界上最臭名昭著传播勒索软件的僵尸网络之一。自2016年底以来,Trickbot已经感染了超过100万台设备。微软与世界各的网络运营商合作拿下了Trickbot的关键基础设施,这样恶意软件运营者将无法再利用这基础设施来分发恶意软件或勒索软件。任何免费的反病毒软件都可以检测到Trickbot它在受影响的设备中不断进化。 +样本分析\\ 
- +文件名\\ 
-参考来源: +MD5\\ 
- +Packer/​compiler\\ 
-[[https://www.cnbeta.com/articles/tech/1039539.htm|https://www.cnbeta.com/articles/tech/1039539.htm]] +类型\\ 
- +CIBC payment instruction.exe\\ 
-3.个人信息保护立法规范平台擅自收集用户数据等行为 +8aecbcff2863ca8fb5f6eb352f95d608\\ 
- +Asprotect\\ 
-据新华视点消息13日提请全国人大常委会会议审议个人信息保护法草案规定处理个人信息应当事先充分告知的前提取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。草案强调,通过自化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项 +PE文件\\ 
- +脱壳后为Delphi编写混淆器,在执行过程中会将自身复制到%appdata%/​ Microsoft目录下,命名为microsoft.exe动。自解密一段代码\\ 
-参考来源: +{{http://www.myhack58.com/Article/UploadPic/​2020-3/​202031723203551.png?nolink&​}}\\ 
- +在启动目录下释放microsoft.vbs,用于持久化:\\ 
-[[http://www.bianews.com/news/flash?id=72190|http://www.bianews.com/news/flash?id=72190]] +{{http://www.myhack58.com/Article/UploadPic/​2020-3/​202031723203664.png?nolink&​}}\\ 
- +创建自身进行进程替换:\\ 
-4.Zabbix 远程代码执行(CVE-2020-11800) 漏洞预警 +{{http://​www.myhack58.com/​Article/​UploadPic/​2020-3/​202031723203448.png?​nolink&​}}\\ 
- +替换的PE为VC作为loader从资源节读取数据\\ 
-近日,监测发现Zabbix Server 2.2.x和3.0.x存在远代码执行漏洞,漏洞号:CVE-2020-11800。攻击者可利用该漏洞执行任意代码。目前厂商已发布修复版本建议受影响用户尽快升级到修复版本,做好产自查以及预防工作,以免遭受黑客攻击。Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。 +{{http://www.myhack58.com/Article/UploadPic/​2020-3/​202031723204331.png?​nolink&​}}\\ 
- +最后进行内存加载.net编写的NanoCore远控,外层加了Eazfuscator壳:\\ 
-参考来源: +{{http://www.myhack58.com/Article/UploadPic/​2020-3/​202031723204622.png?​nolink&​}}\\ 
- +NanoCore的C2域名btcexchamge.duckdns.org,storexchange.duckdns.org\\ 
-[[https://www.secrss.com/articles/26196|https://www.secrss.com/articles/26196]] +关联分析\\ 
- +日常样本监控过程中我们除了该团伙使用Delphi编写的混淆器外,勒索软件也使,在Hakbit勒索最新的变种中.ravack),同样使用了Delphi编写的混淆器但是执行流程稍有不同,Hakbit勒索外层在执行过程中并没有进行久化操作,而判断了虚拟机存在,之后分配一块内存,进行了一次shellcode的调用操作\\ 
-5.APT组织利用VPN和Windows漏洞黑进美国政府网络 +{{http://www.myhack58.com/Article/UploadPic/2020-3/202031723204126.png?​nolink&​}}\\ 
- +Shellcode的功能依然是进替换替换后的PE和上述中的相同为VC编写的Loader,最终内存加载Hakbit勒索程序。\\ 
-美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)上周五表联合安全警报表示黑客正VPN与Windows漏洞入侵政府网络。攻击活动主要针对各联邦、州、地方、郡县以及地区SLTT一级政府网络发动部分非政府网络也期受到波及。安全警报指出此轮攻击致使攻击者以未授权方式访问到部分选举支系统;但尚无证据表明选举数据完整性受到损害。 +外层Delphi执行的结果的差异我们可以基本判断该混淆器已经非常成熟,应该存在众多选项供用户选择,预计未来一段时间会有大量的恶意件使用该混淆器。\\ 
- +根据奇安信大数据多维度平台进关联我们发现该团伙还会仿冒德志银行对德国相关公司进行手法相似的攻击\\ 
-参考来源: +{{http://​www.myhack58.com/​Article/​UploadPic/​2020-3/​202031723204403.png?​nolink&​}}\\ 
- +文件名\\ 
-[[https://www.secrss.com/articles/26185|https:​//www.secrss.com/​articles/​26185]] +MD5\\ 
- +Packer/​compiler\\ 
-6.Windows Update 被发现可滥用于执行恶意序 +类型\\ 
- +Deutsche Bank AG Instruction.exe\\ 
-今年 9 月Microsoft Defender 曾被道可通过命令行方式下载恶意文件;而现在,在 Windows Update ​也发现了类似功能,从而也能被黑客滥用用于执行恶意。MDSec 研究人员 David Middlehurst 发现,攻击者可以通过使用命令选项从任意特制的 DLL 加载 wuauclt从而在 Windows 10 系统上执行恶代码。 +452fe9d3b013a98568355342b79e9b6a\\ 
- +Autoit\\ 
-参考来源: +PE文件\\ 
- +Autoit脚本会将NanoCore注入到RegSvcs.exe进程中:\\ 
-[[http://hackernews.cc/archives/32489|http://hackernews.cc/archives/32489]] +{{http://www.myhack58.com/Article/UploadPic/​2020-3/​202031723204294.png?​nolink&​}}\\ 
- +C2与上述相同。\\ 
-7.Adobe Acrobat和Adobe Reader 安全漏洞 +该团伙还会仿冒DHL邮件:\\ 
- +{{http://www.myhack58.com/Article/UploadPic/​2020-3/​202031723204170.png?​nolink&​}}\\ 
-Acronis Cyber Backup 12.5版本和Cyber Protect 15版本存在安全漏洞,该漏洞源于包含一个OpenSSL组,该组件指定OPENSSLDIR变量作为Cjenkins_agent中的子目录。Acronis网络备份和网络保护包含使用这个OpenSSL组件的特权服务。因为没有特权的Windows用户可以在系统根目录下创建子目录攻击者可利用该漏洞创建特定的openssl.cnf文件的适当路径以实现具有系统特权的任意代码执行。 +文件名\\ 
- +MD5\\ 
-参考来源: +Packer/​compiler\\ 
- +类型\\ 
-[[http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202010-451|http://www.cnnvd.org.cn/web/xxk/​ldxqById.tag?​CNNVD=CNNVD-202010-451]]+Parcel information.exe\\ 
 +744d77a3c5859d9acf5dd7b13ce7fab4\\ 
 +VB\\ 
 +PE文\\ 
 +VB代码会将NanoCore注入到RegAsm.exe进程中。C2doublegrace.ddns.net\\ 
 +最近两年,病毒响应检测到仿冒中航船舶作为发商贸信越来越多人平时不注意话很难分辨出真伪最终导致恶意代码执行,公司数据被窃取\\ 
 +如发件人为@avicships.net\\ 
 +{{http://www.myhack58.com/Article/UploadPic/2020-3/​202031723204272.png?nolink&​}}\\ 
 +文件名\\ 
 +MD5\\ 
 +Packer/​compiler\\ 
 +类型\\ 
 +New Project – Marine Altantic.doc\\ 
 +3bb5deb9ca20a1fe586b2a8a68ccc68f\\ 
 +Rtf\\ 
 +Word文档\\ 
 +文档使用11882漏洞,像远程服务器下载payload(hxxp://dubem.top/nwama/nwama.exe),域名已经无法访问。
  
  
  • news1906.1610008493.txt.gz
  • 最后更改: 2021/01/07 16:34
  • admin