0

我的帖子

个人中心

设置

  发新话题
为了让大家更多的了解最新安全动态,特增加金睛安全播报内容,播报内容每周更新一次,希望大家喜欢。
       VenusEye金睛安全研究团队是启明星辰集团检测产品本部从事专业安全分析的技术型团队,主要职责是对现有产品上报的安全事件、样本数据进行挖掘、分析,并向用户提供专业的分析报告。


注:本帖只发布播报内容,有任何问题请单独发帖求助





本帖最后由 lover119 于 2018-4-9 13:07 编辑

金睛安全播报 NO.1



1.“Globeimposter 家族勒索病毒频现
最近,我们监测到一个名为“Globeimposter”家族的勒索病毒频繁出现。该病毒

主要以钓鱼邮件投递的方式进行传播。***样本一般为IMG_[随机数字].js的脚本文件。脚本文件运行后会下载“Globeimposter”家族勒索病毒并执行。该勒索病毒比以往的勒索病毒更加凶狠,在设置一些排除目录后,会将其他目录下的所有文件均进行加密,包括很多用户自己安装的软件,被加密文件通常被添加.725,.726这样的数字类型的扩展名。




2.“Locky” 病毒出现新变种,扩展名变为“DIABLO6“
近期,我们监控到Locky勒索软件出现了新变种,新变种会将被篡改的文件扩展名修改为“DIABLO6“,新变种通过VBS脚本传播,VBS被放于压缩包中,并通过钓鱼邮件传播。感染后需要支付0.5比特币才能解密文件。



3.“Trickbot“窃密***在国内出现,别点不明邮件,关闭445端口
“Trickbot“是一种可以盗取银行账号,邮件客户端账号密码的窃密***,其外层为一个Loader,使用创建自身傀儡进程的方式将真正的病毒体释放到内存中,之后将自身拷贝到%AppData%\winapp目录下,创建一个计划任务在机器刚启动的时候启动自身,并且每三分钟执行一次。Trickbot可监控chrome,iexplore,firefox以及Microsoft Edge进程,窃取某些特定银行的账号密码。还可以窃取outlook账号密码以及上传计算机系统相关信息。目前我们已经监控到国内有客户感染“Trickbot“,国外有研究表明“Trickbot“还可以通过445端口进行传播,因此请用户注意不要打开不明来源的邮件,关闭445端口,打全系统补丁。
可通过检查是否和如下IP通信,判定是否感染trickbot。
186.103.161.204
163.53.206.187
191.7.30.30
46.160.165.31
93.99.68.140
190.34.158.250
195.62.52.55
37.59.80.96
5.196.116.238
37.59.183.143
95.213.251.135
195.133.144.100
37.59.80.98
84.238.198.166
151.80.84.15
23.95.9.152
193.70.125.188
178.33.150.78
188.165.62.62
185.82.218.118
24.13.179.247
210.16.102.167
104.160.176.241
173.242.115.87
104.160.176.61
91.247.37.112
195.245.112.184
72.211.215.68
194.87.236.184
31.220.55.47
210.16.101.59
64.15.75.78
195.62.52.107
195.88.208.193
194.87.146.113
194.87.92.199
195.133.146.77
185.82.218.117
23.95.114.233
69.247.60.183
185.30.144.205
172.97.69.140
131.153.37.30
93.188.163.163
149.56.35.205
188.124.66.124
67.21.78.226
185.144.156.176





本帖最后由 lover119 于 2017-11-10 13:26 编辑
网络安全产品普及系列汇总已更新,防火墙、上网行为管理、***设备

金睛安全播报 NO.002(2017-08-20)



1.XShell远程终端被发现植入后门代码
近日,流行的远程终端Xshell被发现被植入了后门代码,用户如果使用了被植入恶意代码的Xshell工具版本可能导致敏感信息泄露。
启明星辰事件库已经紧急升级,对应事件名:


2.“Locky”病毒再出新变种,被加密文件扩展名变为“lukitus“



3.“永恒之蓝”在国内部分地区仍活跃,请及时更新MS17-010补丁!
我们预计MS17-010补丁对应修复的漏洞影响会持续数年时间,国外已有报道***利用相关漏洞进行内网的横向***。在下一波***到来之前,提醒大家请务必打上MS17-010补丁(https://technet.microsoft.com/zh-cn/library/security/MS17-010),必要时可关闭445端口。

下面这个表格总结了事件库中与MS17-010漏洞相关的事件名以及含义:
事件名称事件定义
TCP_NSA_EternalBlue_(永恒之蓝)_SMB远程代码执行漏洞[MS17-010]源IP和目的IP均包含漏洞,且源IP已经确认被感染
TCP_NSA_EternalBlue_(永恒之蓝)_SMB远程代码执行漏洞_shellcode植入源IP和目的IP均包含漏洞,且源IP已经确认被感染
TCP_NSA_EternalBlue_(永恒之蓝)_SMB漏洞利用(win7/2008-x64)源IP和目的IP均包含漏洞,且源IP已经确认被感染
TCP_NSA_EternalBlue_(永恒之蓝)_SMB漏洞利用(win8.1/2012-x64)源IP和目的IP均包含漏洞,且源IP已经确认被感染
TCP_NSA_EternalRomance_(永恒浪漫)_SMB远程代码执行漏洞[MS17-010]源IP和目的IP均包含漏洞,且源IP已经确认被感染
TCP_NSA_SMB远程代码执行漏洞shellcode植入源IP和目的IP均包含漏洞,且源IP已经确认被感染
TCP_NSA_Windows_SMB_DoublePulsar植入成功源IP和目的IP均包含漏洞,且源IP和目的IP均已确认被感染



2.jpg (35.35 KB)

2017-11-10 13:29

2.jpg




本帖最后由 lover119 于 2017-11-10 13:31 编辑
网络安全产品普及系列汇总已更新,防火墙、上网行为管理、***设备

金睛安全播报 NO.003 (2017-08-27)



1.“Locky”新变种“lukitus“已展开对我国企事业单位大规模***
上周我们提到”Locky”出现了最新变种,最新变种会将被加密文件的扩展名改为“lukitus”。本周我们就发现该变种已展开对我国企事业单位的大规模***。
我们监控到的***仍然通过压缩包传播,压缩包中包含一个名为fax[随机数字或字母].js的脚本文件,脚本运行后会下载Locky勒索***的最新变种并执行。



新版本Locky与之前的样本联网获取密钥的方式类似,但连接的URL由[恶意域名]/checkupdate变为了[恶意域名]/imageload.cgi。



2.键盘记录***Predator_Pain_Keylogger出现新变种,新变种可以通过U盘传播
本周,我们监控到在2016年度报告中披露过的键盘记录***Predator_Pain_Keylogger出现新变种,新变种可以通过U盘传播。结合本月初Fireeye披露的Hawkeye窃密***也开始通过U盘传播,我们判断未来类似的键盘记录***传播范围会更广,植入手段更多,甚至通过更激进的漏洞传播方式传播。



3.“永恒之蓝”已逐渐成为平民化武器,加速Botnet、挖矿工具等恶意代码传播速度
上周我们提到永恒之蓝漏洞可能会持续数年时间。本周我们注意到有报道说,***已开始借助永恒之蓝工具进行Botnet僵尸***以及比特币挖矿工具的传播。
据趋势科技报道,最近有一个比特币挖矿工具借助MS17-010的Eternalblue(永恒之蓝)漏洞进行传播,并在亚太地区蔓延。病毒首先尝试利用MS17-010漏洞进行植入,植入后会加载多个WMI恶意脚本以实现无文件驻留。之后这些脚本会与C&C服务器通信下载比特币挖矿程序并执行。
据安天报道,近期频繁监测到***使用永恒之蓝漏洞工具进行Botnet僵尸***的传播和植入。通常情况下,Botnet的传播方式主要依靠垃圾邮件,但是如果结合永恒之蓝漏洞的自动化利用工具即可迅速拓展botnet的“肉鸡”量。据了解,目前网上流传的“EternalBlue”自动化漏洞利用工具,可通过IP网段自动化批量扫描存在漏洞的机器,且每天仍旧能***大量设备并植入病毒,这也从侧面说明了目前还有很多设备尚未升级系统及修补漏洞补丁。


还是那句话,请务必打上MS17-010补丁(https://technet.microsoft.com/zh-cn/library/security/MS17-010),必要时可关闭445端口。尤其是各类无专人维护的打印机PC,虚拟机PC等等。




网络安全产品普及系列汇总已更新,防火墙、上网行为管理、***设备

金睛安全播报 NO.004(2017-09-03)



1.勒索软件“Locky”添加反沙箱功能



一般情况下,为了分析的目的,沙箱内的Office会默认启用宏来降低各种应用程序的安全设置,并默认启用宏。但是近期某些“locky”勒索软件为了躲避沙箱检测,会在最初用户点击样本的时候不执行恶意宏,而是去监听文档关闭事件。当文档被关闭后,真正的恶意宏才被启用。







本周,我们监控到NexusLogger开始***我国企事业单位。NexusLogger是一款基于云端控制的键盘记录器。代码使用C#编写,并用ConfuserEx混淆。其提供UAC绕过,反虚拟机,反调试等功能,可监控剪贴板、键盘操作,收集系统信息,截取屏幕截图,窃取受害者隐私账号等。由于是云端控制***,***者需要登陆其官方网站(https://www.nexuslogger.com),对远端受害者进行控制和指令下发。








本帖最后由 lover119 于 2017-11-10 13:44 编辑
网络安全产品普及系列汇总已更新,防火墙、上网行为管理、***设备

金睛安全播报 NO.005(2017-09-09)


1.Apache Struts连爆高危漏洞 启明星辰产品无需升级即可防护


    2017年9月5日,Apache Struts发布安全公告,Apache Struts的REST插件存在远程代码执行漏洞(S2-052)。当Struts2通过REST插件使用XStream的实例xstreamhandler处理反序列化XML有效载荷时,未对数据内容进行有效验证,导致任意代码执行漏洞。仅隔两日,Apache Struts又发布安全公告,Struts2 在使用特定表达式或者变量替代Apache Freemarker标签里面的文本字符串时,可能会引起远程代码执行漏洞(S2-053)。
    为了进一步明确区分和鉴别利用这两个新漏洞的***,我们在原有事件的基础上增加了特别针对这两个漏洞的事件。详情参见官网事件升级公告(http://www.venustech.com.cn/Down/)。


CVE-2017-9805(S2-052),CVE-2017-12611(S2-053)
S2-052:Struts 2.5 ~ 2.5.12,Struts 2.3.33
规避方案
2).S2-052:删除REST插件,或者限制服务端扩展类型(http://struts.apache.org/docs/s2-052.html)。
2.***者开始对我国企事业单位使用“永恒之蓝”漏洞进行定向***

3.BillGates僵尸***仍然活跃,或正控制我国大量Linux主机
   Billgates是近几年非常活跃的Linux DDoS僵尸网络。此程序组成的僵尸网络遍及世界。网络中的僵尸节点多是一些存在弱口令或软件漏洞的linux主机。***者利用ssh爆破、exploit、1day、2day等方式对大量IP进行***尝试获得服务器的控制权,并通过部署僵尸***被控端壮大僵尸网络。僵尸网络根据服务端命令可以实现DDoS***、反弹shell等多种操作。
   该样本会通过替换系统工具的方式进行驻留,并自带有更新功能,当收到指令后,会对样本内嵌的IP进行不同类型的DDOS***。
4.新型CVE-2017-0199样本自带UAC 绕过功能



2.jpg (11.74 KB)

2017-11-10 13:47

2.jpg




本帖最后由 lover119 于 2017-11-10 13:49 编辑
网络安全产品普及系列汇总已更新,防火墙、上网行为管理、***设备

金睛安全播报 NO.006(2017-09-17)


1.又一“媲美”CVE-2017-0199的漏洞出现 或引发大规模***
在微软例行的9月安全补丁中,修复了一个在野的.NET框架0day漏洞。漏洞编号为CVE-2017-8759, 主要影响.NET 框架的SOAP WSDL (Web 服务描述语言)解析器,并且发现已经有***者通过构造恶意Microsoft Office RTF文档利用该漏洞传播恶意软件。金睛团队已第一时间发布安全预警:
.NET框架最新漏洞被利用,启明星辰发布解决方案】。
该漏洞和今年被大规模利用的CVE-2017-0199漏洞类似,均为逻辑类漏洞,利用简单,且利用范围较CVE-2017-0199更加广泛。有报道说之前的Petya勒索病毒就是首先借助CVE-2017-0199进行定向传播,再结合“永恒之蓝”漏洞进行横向传播。
目前漏洞利用代码已经公开,短短的几天时间内,我们监控到的利用样本就已增至200余个,并且文件类型已由原先的rtf为主,新增了doc,xlsx等类型。在此提醒大家及时更新最新的微软系统补丁,不点击不明文档或附件。




2. 利用漏洞进行“挖矿”将是“勒索软件”之后***又一绝佳“赚钱”途径
最近,我们连续发现了多起***利用漏洞进行挖矿***投递的事件。
  1). 利用“永恒之蓝”漏洞进行定向***和挖矿
该样本类型与上周的播报中提及的样本类似,本周我们发现已有失陷主机与C&C服务器进行通信,并确定失陷主机已被***用于挖矿。
  2). 利用Struts2漏洞对服务器进行***,并投递挖矿***
本周,我们发现***开始利用上周刚曝光的Struts2 S2-052漏洞进行***的案件,并且在该存在漏洞的主机当中,我们找到了一个挖矿***。
由于比特币的价格昂贵,我们预计未来结合各种漏洞进行挖矿***的投递将会是***主流的***方式。

3. 新型“GlobeImposter”勒索瞄准Windows服务器,提高各类密码复杂度是关键
最近,我们频繁接到客户求助其Windows服务器被植入勒索病毒。经过排查发现大多数为“GlobeImposter”勒索病毒的新变种。
一旦“GlobeImposter”勒索软件运行,会对PC上的敏感目录文件(包含程序文件)进行加密,并篡改被加密文件的扩展名。最后显示Read_ME.html文件,索要赎金。这些Read_ME.html文件位于被加密的每个文件夹,包含有关如何访问的信息付款网站,并将您的文件恢复。
目前已发现的“GlobeImposter”勒索软件变种加密文件的扩展名包括:”.726”,”.txt“,”.ACTUM“,”.492“,”.astra“,”.coded“,”.mtk118“,”.cryptch“,”.PLIN“,”.sea“ ,“.help”,“.726”,“.RECT”,“.ocean”,“.rose”,“.GLAD”,“.725”,“[tramkal@protonmail.ch] cryptall” .write_me_ [btc2017@india.com]“,”.BRT92“,”p1crypt“,”.MAKB“,”.skunk“,”.au1crypt“,”.GOTHAM“,”.s1crypt“,” “.707”,“.nn”,“.c” ,“.pizdosik”,“。[File-Help1@Ya.Ru]”,“.[aezakmi@india.com]”,“.GRAF”,“.fix”,“.virginprotection”,“.WRITE_US” “.MIXI”,“.HAPP”,“.troy”,“.write_us_on_email”,“.PRIAPOS”,“.515”,“.nCrypt”,“.hNcrypt”,“.medal”,“.paycyka” “.2cXpCihgsVxB3”,“.vdul”,“.keepcalm”,“.legally”,“.crypt”,“.wallet”.“.pizdec”。
服务器频繁被勒索病毒***,主要是由于服务器自身安全性较弱导致。***利用服务器的各种远程服务的弱密码(RDP,SSH等),各种安全漏洞(SMB协议漏洞,Struts2漏洞等)进入服务器并植入勒索软件。在此提醒大家,尤其是使用Windows服务器的用户,及时更新服务器的系统补丁,关闭不必要的远程服务,提高服务器整体安全性。





网络安全产品普及系列汇总已更新,防火墙、上网行为管理、***设备

金睛安全播报 NO.007(2017-09-24)



1. “看我72变”,CVE-2017-8759漏洞出现更多利用案例



目前发现的几种漏洞利用案例如下:













本周,通过情报源监测我们发现了一种利用TOR网络进行流量传输的银行***家族:Retefe。该***家族通过钓鱼邮件进行投递,附件为快捷方式(.lnk)。




一旦打开该文件,便会执行恶意powershell命令,该命令会下载一个托管在远程服务器上的自解压Zip文件。下载的zip文件包含一个JavaScript安装程序,也就是Retefe银行***。***包含几个配置会话参数,其中一个参数(”pseb:”)是用来执行EternalBlue漏洞利用的脚本。通过该脚本可以实现***传播功能,目前该参数会通过TOR网络进行修改,可控性较强。此外该***还包含用于记录安装和受害者配置详细信息的功能,并将其上传到FTP服务器。



3. 软件供应链幽灵再现:CCleaner被植入后门 上百万用户受影响



CCleaner是一款免费的系统优化和隐私保护工具。主要用来清除Windows系统不再使用的垃圾文件,并且具有清除上网记录、个人隐私记录等功能。被植入后门的版本为8月15日上线的5.33.6162版本。




金睛安全研究团队已于第一时间发布了安全预警,并在国内首家发布解决方案《系统清理工具CCleaner被植入后门,上百万用户或受感染》。



5.jpg (3.1 KB)

2017-11-10 13:55

5.jpg




网络安全产品普及系列汇总已更新,防火墙、上网行为管理、***设备

金睛安全播报 NO.008(2017-09-30)


1.利用IOT设备漏洞进行传播的僵尸网络“Gafgyt”瞄准我国政企单位
最近,我们发现了大量扫描类***事件,
***者采用批量扫描的方式向被***网段中每个主机发送畸形数据。经过分析,***者发送的数据利用了
“NetCore”路由器的一个远程代码执行漏洞。被扫描的IP如果是存在漏洞的“NetCore”路由器,则可在未授权的情况下被植入下载指令。





一旦漏洞触发成功,路由设备就会从http://64.164.214.206/bins.sh下载并执行bins.sh脚本。脚本的功能是下载“Gafgyt”家族的后门,使得被***的设备演变成“Gafgyt”僵尸网络的一个节点。
“Gafgyt”是和Mirai具有相似特点的***样本,可支持X86-64,ARM,MIPS,PowerPC,Motorola68000,SPARC,SuperH等多个不同平台。植入成功后,会建立与C&C控制服务器的通讯,建立监听端口接受处理主控的指令,并继续***其他主机。


2.僵尸网络“Mykings”浮出水面
最近,有厂商披露了一个名为“Mykings”的僵尸网络。经过多维分析认证,这是个由多重僵尸网络组成的复合型僵尸网络。该僵尸网络会利用各种手段进行传播,主控域名之一是*.mykings.pw ,因此称之为“Mykings”僵尸网络。




“Mykings”botnet.0-botnet.4组成。botnet.0采用新型复杂的IP随机生成算法,集成了Masscan,具有强大的扫描能力,能在短时间发动数千个IP对整个互联网进行扫描,主要负责传播各个子僵尸网络。而botnet.1-4分别是miraiproxyratminer,这些不同的模块让Mykings能应对各种不同目标进行***感染,大大增加了危害性。
“Mykings”僵尸网络主要依靠漏洞及弱口令方式,其会扫描主机的以下端口或服务:
1).1433 MSSQL
2).3306 MySQL
3).135 WMI
4).22 SSH
5).445 IPC
6).23 Telnet, mirai 僵尸网络
7).80 Web, CCTV设备
8).3389 RDP, Windows远程桌面
一旦上述主机上述端口或服务存在漏洞或弱口令,便有可能被攻陷成为僵尸主机。
之前我们曾报道的利用永恒之蓝进行定向挖矿的案例即是该僵尸网络的“Miner”子网络。可以确定,我国已有相当数量的主机已经遭受感染。在此提醒广大客户,避免使用弱口令,及时打全系统及应用补丁。
IOC
down.mykings.pw
up.mykings.pw
down.f4321y.com
js.f4321y.com
up.f4321y.com
down.b591.com
down2.b591.com
dwon.kill1234.com
down.mysking.info
23.27.127.254
js.mykings.top
wmi.mykings.top
xmr.5b6b7b.ru
wmi.oo000oo.club
209.58.186.145
67.229.144.218
100.43.155.171
67.229.144.218
47.88.216.68
47.52.0.176
118.190.50.141
104.37.245.82


3.勒索软件频出变种,时刻保持警惕不放松
最近,我们监控到勒索软件LockyCerber又出变种。
1).新版Locky勒索变种仍然通过垃圾邮件分发,邮件的主题为一般为发票相关内容,形式为7zip7z的附件,附件中通常会包含一个vbs格式的脚本。一旦vbs文件被执行,便会下载Locky勒索病毒。最终会将被加密文件添加新的扩展名ykcol
截止目前所有Locky变种加密后的文件扩展名如下:






2).本周我们监控到大量的docm恶意宏文件的邮件投递样本,这类样本采用了新的反沙箱检测机制。与以往样本打开即触发宏代码不同,这类样本在正常关闭Office后才运行宏代码,并且会首先检测文件名长度,如果文件名长度大于30则弹出一个“love and love”的消息框。反之则继续执行下面的代码,接下来的代码会调用powershell下载Cerber勒索病毒并执行。


4.电脑CPU居高不下?风扇狂转?可能有人在用你的电脑挖矿!
近日,我们发现有部分正常网站的网页被植入了恶意JS脚本,这类恶意脚本和传统的挂马***不同,当浏览者访问这些网页时,CPU相当部分的资源会运行JS脚本进行挖矿活动。




查看页面源码,可以看到加载的JS脚本的URL和对应的js代码。




之前chrome的扩展插件SafeBrowse就被指出嵌入调用了JS库进行Monero币的挖掘。
当你上网的时候莫名变卡,CPU使用率飙高,风扇飞速运行的时候,请留意一下是不是打开了挖矿的页面。





网络安全产品普及系列汇总已更新,防火墙、上网行为管理、***设备

金睛安全播报 NO.009(2017-10-15)

1.微软发布10月安全补丁,修复66个安全问题,包含多个高危漏洞
        微软于本周二发布了10月安全更新补丁,修复了66个Windows的安全问题,其中有三个CVE编号对应的漏洞尤其应该值得注意。
        CVE-2017-11779(Windows DNS API远程代码执行漏洞),该漏洞由Bishop Fox曝光,主要影响Windows Server 2012、2016、Windows 8.1和Windows 10。微软称该漏洞是由于Windows DNS API处理DNS响应问题造成的。若想成功利用该漏洞,需要进行中间人***,也就是让***和***目标同处于一个网络环境中。***可以构造恶意DNS请求回应包使得被***者发出DNS请求的应用程序上下文中执行任意代码。
        CVE-2017-11780(SMB server远程代码执行漏洞),没错,又是SMB协议上的漏洞,今年5月份爆发的“永恒之蓝”勒索病毒就是利用了SMB协议漏洞进行***和传播的。不过该漏洞微软给的定级为“重要”,“永恒之蓝”利用的SMB漏洞被定为“严重”,不过还是建议及时打上补丁,关闭不必要的445端口。
        CVE-2017-11826,主要影响Office 2007,Office2010,Office2013以及Office 2016版本。相关漏洞样本于9月28日即被VenusEye后台捕获并可自动检测,最初样本疑似为某***组织针对南亚地区的APT***使用。截止到目前我们已经捕获到3个利用该漏洞的样本。不过由于该漏洞为内存型漏洞,较今年的两个大杀器CVE-2017-0199和CVE-2017-8759利用难度更大,因此该漏洞后续用于较大规模***的可能性不大。对了,还有一句,启明星辰APT产品无需升级就可以检测哦!

2.近期在邮件中碰到7z压缩包千万别点,可能是勒索病毒
        最近,我们发现勒索病毒Locky通过邮件投递不同名称的7z压缩包进行传播。这类压缩包内含一个具有恶意下载功能的VBS脚本,下载的恶意软件为加密文件扩展名为ykcol的Locky勒索家族样本。该Locky变种爆发于2017年9月,至今仍然在大规模投放。



3.跨平台远控***Adwind仍为样本投放的主流军,国内已发生感染案例
        近日,跨平台远控***Adwind的投放又有抬头的趋势。经过我们分析发现,样本多来自于美国,并已在我国企事业单位发现有被Adwind控制的主机,***者还会利用被控主机向其他目标投递***样本。
        Adwind 是一款采用 Java 编写的跨平台远控***,曝光于 2012 年初,能够使受感染的 Windows、Mac、Linux 与 Android 等主流操作系统设备沦为肉鸡,并可用于 DDoS、暴力***在内的非法活动。






本帖最后由 lover119 于 2017-11-10 14:07 编辑
网络安全产品普及系列汇总已更新,防火墙、上网行为管理、***设备

金睛安全播报 NO.010(2017-10-22)


1.打开文档弹出“引用其他文件”对话框,可能是最新的Office***

近日有国外研究人员发现了一种通过Office使用DDE进行***的方法。通过DDE在Office中执行任意文件,这种***方式不依赖于Office漏洞或者宏。***者可以通过社工方式发送钓鱼邮件诱使受害者打开office文档,一旦受害者打开文档,并且点击了“允许更新引用”,恶意代码就会执行。

DDE协议是一套消息和指示的集合。通过发送消息以及共享内存实现应用程序的数据共享和交换。应用程序可以使用DDE协议实现一次性数据传输以及持续的数据交换。

打开这类恶意文档之后,会弹出如下提示对话框,如果点击 “是” ,恶意代码即会运行。


下面为一个弹出记事本的例子:


该技术披露不到一周,我们已经发现了数十个利用该技术进行***的恶意Office文档,并且发现了一个新的勒索软件家族“Vortex”通过该技术传播。该勒索家族加密后的文件会添加“aes”扩展名。




另外,今年的两个大杀器漏洞CVE-2017-0199,CVE-2017-8759也会弹出上述对话框。不同的是,这两个漏洞在你不点击任何按钮的情况下便可触发。因此近期碰到上述Office提示框一定要提高警惕,及时检查系统是否存在异常情况。

2.新的IOT僵尸网络正在快速增长,或将超过Mirai历史感染量

近期有多家安全厂商披露称,IOT僵尸网络正在快速增长,甚至有爆发的态势。近期发现的IOT僵尸网络多以 D-Link,TP-Link,Goahead,Avtech,JAWS,Netgear,MikroTik,Linksys,Synology,Vacron 和GoAhead 制造的路由器和网络摄像头为目标。与之前的***不同的是,新的IOT僵尸网络***除了使用常规的弱密码进行***外,还尝试使用十几个或更多的漏洞***这些设备。

例如:针对GoAhead摄像头,***者利用了CVE-2017-8225漏洞(今年刚刚披露的旁路身份验证漏洞,影响1250余个型号)。对于其他设备 (如 Linksys RangePlus WRT110 无线路由器), ***者则利用了自2014年以来的多个远程命令执行漏洞。

此类IOT僵尸网络一般会包含如下功能:

a.下载:便于植入成功后下载其他后门进行深度控制。
b.命令控制:能够和C&C服务器进行通信,接收并执行控制服务器发送的指令。
c.扫描***:可对其他有漏洞的设备进行***,进而感染更多的IOT设备。

3.Linux僵尸网络“Gafgyt”已支持多种linux平台,主要通过IOT设备传播

近日,我们发现事件库中“TCP_后门_Linux.DDoS.Gafgyt_连接”事件出现了大量报警的情况。

经过报文回溯分析,发现Linux僵尸网络Gafgyt仍在互联网上进行大规模扫描***。与之前不同的是,Gafgyt目前已支持多种Linux平台,如:x86,x64,ppc,arm,mips,spark。




Gafgyt由C语言编写而成,是一种相对比较简单的恶意软件。Gafgyt主要靠爆破以及利用IOT漏洞进行传播,目前我们发现样本大多依靠各种路由器漏洞进行传播。

4.APT28利用0day漏洞CVE-2017-11292发起新APT***

2017年10月16日,Adobe发布安全通告,紧急修复了一个Flash漏洞CVE-2017-11292。该漏洞影响危害大,可通过挂马或文档嵌入的方式利用,最终获得系统控制权。

国外安全厂商于上周公告说发现了APT28组织使用该漏洞进行APT***。***者通过邮件发送恶意Office文档,在文档中嵌入了一个包含Flash漏洞的ActiveX对象。Office文档打开后漏洞即可触发,进行释放最终的Payload FinSpy***。






本帖最后由 lover119 于 2017-11-10 14:20 编辑
网络安全产品普及系列汇总已更新,防火墙、上网行为管理、***设备

金睛安全播报 NO.011(2017-10-29)


1.“Bad Rabbit(坏兔子)”勒索软件席卷欧洲,APT产品无需升级即可检测


本周,一种新型勒索软件 “Bad Rabbit ”给多个东欧国家造成损害,已同时影响了 200多个政府机构和私营企业,俄罗斯、保加利亚和土耳其等国家其均确认遭受***。


这次的“BadRabbit”通过伪装成Flash Player更新包植入到用户电脑,诱导用户安装。一旦安装成功,就会对系统中重要文件进行加密,并篡改MBR。病毒还会尝试通过弱密码进行共享传播,并且已证实会使用永恒浪漫(EternalRomance)漏洞进行传播。




此次***与之前Petya类似,是针对乌克兰等国家进行的定向勒索***,在通过水坑***方式***成功后,会通过SMB协议漏洞或弱密码进行内网横向传播,犹如一颗定向***在内网中爆炸。

启明星辰APT产品无需升级即可对Bad Rabbit(“坏兔子”)进行检测。
针对其横向传播功能,可通过IDS进行检测,相关规则如下:

TCP_NSA_EternalRomance_(永恒浪漫)_SMB远程代码执行漏洞[MS17-010]




2.内网出现大面积蓝屏?多是“wannacry”变种病毒搞的鬼!

近期,我们收到客户反馈内网中出现大面积蓝屏现象,蓝屏主机主要为Windows 7操作系统。蓝屏代码中显示崩溃的内核驱动多集中于srv.sys。经过分析,确认是利用“永恒之蓝”进行***的“wannacry”变种病毒导致。

蓝屏的主要原因是该主机在被其他主机***时,由于***代码存在“兼容性”问题,在执行内核后门“DoublePulsar”过程中失败,导致蓝屏宕机,也就是说,蓝屏的机器一般都是“所幸”躲过一劫,***失败。

与此同时,与“蓝屏”主机通信的另一端主机则已被成功植入“wannacry”变种病毒,需要及时隔离。

遇到上述现象,应立即采取如下措施:
1). 及时使用IDS等设备检测内网中正在传播病毒的主机。相关事件如下:

事件名称事件定义
TCP_NSA_EternalBlue_(永恒之蓝)_SMB远程代码执行漏洞[MS17-010]源IP和目的IP均包含漏洞,且源IP已经确认被感染
TCP_NSA_EternalBlue_(永恒之蓝)_SMB远程代码执行漏洞_shellcode植入源IP和目的IP均包含漏洞,且源IP已经确认被感染
TCP_NSA_EternalBlue_(永恒之蓝)_SMB漏洞利用(win7/2008-x64)源IP和目的IP均包含漏洞,且源IP已经确认被感染
TCP_NSA_EternalBlue_(永恒之蓝)_SMB漏洞利用(win8.1/2012-x64)
源IP和目的IP均包含漏洞,且源IP已经确认被感染
TCP_NSA_Windows_SMB_DoublePulsar植入成功源IP和目的IP均包含漏洞,且源IP和目的IP均已确认被感染

2).及时隔离中毒主机,检测如下进程或文件是否存在。如果存在,立即删除相关文件。然后打上MS17-010补丁。
C:\\Windows\\tasksche.exe
C:\\Windows\\mssecsvc.exe
C:\\Windows\\taskdl.exe

3).“蓝屏”的主机一般都是被***失败的主机,应该立即打上MS17-010补丁。
另外,我们发现最近流行的“wannacry”变种病毒被人为去掉了“KillSwitch”开关,一旦中招,便会立即发作。但新变种似乎“忘掉初心”,其主要的勒索功能被人为破坏。因此大部分主机中毒现象为疯狂向其他主机传播病毒,但却未显示出勒索现象。

我们预计,“永恒之蓝”事件影响会持续数年,不止勒索病毒,我们已经发现多起利用该漏洞进行“挖矿”“定向植入后门”等事件。还是那句话,赶紧打补丁吧!

3.门罗币已成***青睐货币,投递门罗币挖矿***已成常态

门罗币Monero (XMR) 是基于CryptoNote协议,致力于隐私保护的新一代虚拟货币。CrytoNote由Bytecoin为开源原创,采用环签名(Ring Signatures)方式使转账匿名化。韩国交易量最大的数字货币交易所 Bithumb 已经增加门罗币交易服务,并开启 XMR 存币业务,导致该货币市值大涨,目前为主要挖掘的虚拟货币币种之一。由于挖矿需要消耗计算机资源,因此一些***会利用漏洞,爆破等方式***用户的计算机,并投放挖矿***来牟利。

近期,我们就发现多起主机被植入门罗币挖矿***进行后台挖矿的事件。***会通过pkill命令将其他挖矿软件进程干掉,远程下载与挖矿相关的配置信息,之后会进行挖矿工作。




网络安全产品普及系列汇总已更新,防火墙、上网行为管理、***设备

金睛安全播报 NO.012(2017-11-05)


1. 电信天翼校园客户端携带挖矿***,上百家高校师生或受影响

近日,国内安全厂商发现中国电信天翼校园客户端携带具有挖矿,盗刷广告流量的***。此***波及范围甚广,全国范围内有超过百家高校的师生需要该款软件上网。建议校园用户尽快自查是否有安装该软件,并卸载或更新官方最新版本。

该***感染电脑后会产生刷广告流量和挖矿两种危害。首先,***会创建一个隐藏的IE浏览器窗口,模拟用户操作鼠标、键盘点击广告,由于***屏蔽了广告页面的声音,用户难以发现自己已被挟持。

其次,***会利用受害者电脑挖“门罗币”,病毒挖矿时将大量占用CPU资源,电脑由此会变慢、发热,用户能听到电脑风扇高速运行产生的噪音。

值得注意的是,由于安全厂商们普遍认为大型互联网公司签名的程序是安全的,***也借此通过安全软件的“白名单”信任机制来躲避查杀。




通过追溯该***代码可以发现,“网际快车”、“一字节恢复”,以及中国电信的一款农历日历(Chinese Calendar)等软件也都携带同样的***代码,请安装有以上程序的用户及时卸载或安装程序的最新版本。



2. 恶意文档再换新招,通过OLE对象内嵌lnk方式投放Locky勒索软件

近日,金睛安全研究团队发现大量名为Invoice INV00000**的恶意docx文档通过邮件方式投递。打开文档后,会发现一张图片,图片内容提示双击解锁文档。





双击图片后,会执行文档内嵌lnk文件的OLE对象,Lnk文件会执行一段powershell命令,并连接到http://cornertape.net/eiuhf384下载可执行文件执行。




经过分析,最终下载的可执行文件为locky最新变种勒索病毒。该变种加密文件后会将被加密文件添加扩展名.Asasin。在完成对计算机文件的加密后,会删除下载的可执行文件。之后会显示一个赎金票据,提供有关如何支付赎金的信息。APT产品无需升级即可检测该病毒以及对应的Office文档。



3. 勒索软件Sage2.2版本出现 添加多种反沙箱、反检测功能

最近,Sage勒索软件出现2.2版本,该版本增加了专门用于对抗分析的反沙箱反检测和绕过UAC提权等功能。它使用与Sage 2.0(即ChaCha20)相同的加密算法来加密文件,被加密文件的名称仍然使用扩展名.sage。

这次的新版本还特别添加了对抗分析的反沙箱和虚拟机功能。比如通过如下进程名称检测是否正在被检测:


通过检查自身文件名是否包含如下字符串以便确定是否在沙箱中运行:sample,malw,sample,virus,{样本 MD5},{样本 SHA1}。
通过检查计算机名称和用户名检查是否运行在沙箱中:
Wilbert,Customer,Administrator,Miller,user,CUCKOO-,TEST-,DESKTOP-,WORKSTATION,JOHN-PC,ABC-PC,SARA-PC,PC,D4AE52FE38。
通过CPUID检查是否位于虚拟环境中:
KVM、Xeon、QEMU、AMD Opteron 2386。
另外还会调用eventvwr.exe和注册表劫持来绕过UAC。



网络安全产品普及系列汇总已更新,防火墙、上网行为管理、***设备

金睛安全播报 NO.013(2017-11-12)


1、  APT32(海莲花)组织新活动,***手段再出新玩法



近日,多家安全厂商报道了与APT32(海莲花)组织相关的最新***事件,并对部分***手段进行了分析。目前已确认APT32***了与政府、军事、人权、媒体和国家石油勘探等有关的个人和组织的100多个网站。最新的***主要采取水坑***的方式,通过针对性的JavaScript脚本进行信息收集,修改网页视图,再配合社会工程学诱导受害人点击安装恶意软件或者登陆钓鱼页面,然后伺机进行下一步的***行动。主要***步骤如下:


(1)******目标经常浏览的合法网站,在网站中嵌入恶意脚本。




(2)通过恶意脚本收集目标信息。如:浏览器类型、浏览器版本、浏览器分辨率、DPI、CPU类型、CPU核心数、设备分辨率、BuildID、系统语言、是否开启Cookie、是否开启Java、已经加载的插件列表等等。


(3)根据收集到的用户信息,挑选感兴趣的用户,下发相应的JavaScript Payload。该Payload会以钓鱼的方式骗取***目标的Google账号信息,或者欺骗用户安装或更新假的浏览器更新程序(已知的有IE、Chrome及Firefox)。


(4)最终恶意程序会利用白加黑的方式躲避杀软查杀,并通过DNS隧道传输上线地址信息,进而进一步执行如下远控功能:文件管理,远程shell,注册表管理和进程管理。


我们通过“VenusEye威胁情报中心”关联出大量与此次***相关的IOC信息,并已补充修改了相关事件特征“

DNS_***_海莲花可疑域名连接

”,后续将持续监控相关事件发展。



2、“Crysis”勒索软件变种“Cobra”现世,重启计算机也会继续加密文件



近日,我们发现了“Crysis”勒索软件的最新变种“Cobra(眼镜蛇)”,被加密的文件扩展名由id-*.[ cranbery@colorendgrace.com].cobra组成。




该勒索软件会通过vssadmin delete shadows / all / quiet删除计算机上的所有卷影副本。并且会创建两个不一样的赎金记录,一个为通过自启动的方式运行的info.hta文件,另一个为Files encrypted !!.txt。该勒索软件会自行配置自启动,当重启电脑之后,Cobra会再次加密最新的文件并同时不断删除卷影副本。



3、  仿冒“Windows Movie Maker”网站传播恶意软件,用户需高度警惕

近日,有安全厂商发现了一个仿冒微软的“Windows Movie Maker”下载网站。该钓鱼网站仿冒程度很高,并且自带自动翻译功能,该网站同时提供了多个版本的movie maker软件。


百度搜索“movie maker”甚至可以发现该网站位居搜索结果第一位,相信或已有相当数量的用户已经下载了该网站提供的假软件。


下载该钓鱼网站中的仿冒Movie Maker软件并进行安装后,会发现该软件存在一个付费的功能,若不获取激活码将无法使用。而正版软件是免费的,并不需要付费购买。
当前钓鱼网站的仿冒水平愈发高超,很多时候我们难以甄别真假,因此在平时浏览网页过程中,要擦亮自己的眼睛,对一些可疑的域名要提高警惕,防止上当受骗。



网络安全产品普及系列汇总已更新,防火墙、上网行为管理、***设备

金睛安全播报 NO.014(2017-11-19)


1、  隐藏17年的Office漏洞(CVE-2017-11882)已现***样本,恐将引发大规模***


本周,微软发布了11月份的安全补丁更新,其中比较引人关注的莫过于悄然修复了一个Office远程代码执行漏洞,该漏洞居然安全的潜伏了17年之久。该漏洞为Office内存破坏漏洞,影响目前流行的所有Office版本。***者可以利用漏洞以当前登录的用户的身份执行任意命令。
漏洞出现的模块EQNEDT32.EXE是在Office安装过程中默认安装的,是用来编辑数学公式(以Object Linking and Embedding (OLE) 的形式)的编辑器。



当插入编辑数学公式时,EQNEDT32.EXE并不会作为Word等Office进程的子进程,而是以单独的进程存在。这就意味着对WINWORD.EXE, EXCEL.EXE等Office进程的保护机制,并不影响这个进程EQNEDT32.EXE被利用。

    而目前EQNEDT32.EXE存在内存损坏问题,由于该模块内存操作不正确, 组件无法正确处理内存中的对象, 从而使***者可以在登录用户的上下文中执行恶意代码。




目前,我们已监控到了该漏洞的POC程序流传,相信不久就便会有大量真实***案例出现。建议普通用户通过以下方式加以防范:
1、下载微软最新补丁
(1)http://www.catalog.update.microsoft.com/Home.aspx
(2)开启windows自动更新。
2、在注册表中取消该模块的注册

reg
add
HKLM\SOFTWARE\Microsoft\Office\Common\COM
Compatibility\{0002CE02-0000-0000-C000-000000000046}
/v
“Compatibility
Flags
/t
REG_DWORD
/d
0x400
对于在64位操作系统上的32位的office,执行下列操作


reg
add
HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM
Compatibility\{0002CE02-0000-0000-C000-000000000046}”
/v
“Compatibility
Flags
/t
REG_DWORD
/d
0x400

2、针对中国用户的勒索软件“WannaDie”新版本出现


针对中国用户的勒索软件XiaoBa系列勒索软件,从问世的XiaoBa1到最新的XiaoBa34版本,技术水平得到了很大的提升。最近,我们通过VenusEye威胁情报中心获取到了最新版本的XiaoBa勒索软件,作者将其取名为WannaDie。
该勒索软件加密成功后,会弹出勒索信息,并提示用户发送比特币钱包地址到作者邮箱:TheYuCheng@yeah.net,该邮箱为网易邮箱。




WannaDie会删除卷影副本,并禁用Windows的开机恢复和修复功能。该勒索软件还会将所有的文档类文件隐藏,当用户显示所有隐藏文件并打开时,会提示该文档被程序占用。当用户想点击关机重启时候,会再次弹出勒索信息,关机重启失效。
最让人崩溃的一点是,该勒索在成功加密后,会循环播放一首歌曲。不许关机重启,还循环播放音乐庆祝,也许这就是取名为WannaDie的原因吧。

3、近半年各种花式挖矿姿势总结

2017年下半年以来,相较于勒索***,***似乎开始对于挖矿更加情有独钟,下面就来总结近半年各种花式挖矿姿势:
(1)     利用漏洞***服务器进行挖矿
下半年以来,我们开始频繁监测到***开始利用“永恒之蓝”漏洞***服务器进行挖矿的案例。最近更是监控到了***通过“永恒之蓝”进行“无文件式”挖矿。具体地,在通过“永恒之蓝”漏洞***成功后,会在被***主机上执行一段powershell脚本,该Powershell脚本会连接恶意网站下载执行主要功能的新powershell脚本,新powershell脚本会释放挖矿软件进行挖矿,并对内网中的其他主机进行***。
(2)     利用Coinhive进行挖矿
2017年9月,一家公司推出了挖掘门罗币的Coinhive技术。 Coinhive是用JavaScript编写的一段代码,任何网站都可以简单地将其嵌入到他们的网站中。这样当有用户访问相应加载Conhive脚本的网站时,在用户不知情的情况下,消耗用户资源进行挖矿,***即可获利。
然而,这项技术推广仅几天时间后,就如同打开了“潘多拉”魔盒一样,相关方法被大量传播到了地下***论坛中,现今已成为很多网站“挂马”的最常见目的。


随着该技术的滥用,目前还衍生出各种利用Coinhive的花式挖矿技术。
(1)     将Coinhive代码植入到正常网站中
(2)     将Coinhive注入到浏览器扩展插件中
(3)     通过恶意软件下发Coinhive
(4)     通过安卓恶意软件下发Coinhive
(5)     钓鱼网站中嵌入Conihive
(6)     通过劫持云服务进行coinhive注入
如果在浏览器在访问某网站时发现浏览器CPU使用率过高,可查看网页源代码查找是否包含“coinhive.js”。如果包含,请立即关闭浏览器。另外要及时更新杀毒软件,不安装或禁用不必要的浏览器扩展。



网络安全产品普及系列汇总已更新,防火墙、上网行为管理、***设备
金睛安全播报 NO.015(2017-11-26)
1、  CVE-2017-11882已现数百***样本,总结目前***的几种姿势


上周日,金睛安全研究团队发布了CVE-2017-11882漏洞安全预警,并于本周一上午在国内率先发布了POC样本的详细分析报告《隐藏17年的Office远程代码执行漏洞现POC样本启明星辰提供解决方案》。
本周二晚间,我们发现了首个在野***样本,并发布了安全预警。同一时间,我们监控到了大量生成器已经开始流传。截止到目前,我们已经监控到了300余个在野***样本,并且数量还在持续增加,相信未来CVE-2017-11882会成为替代CVE-2012-0158类漏洞的主流***漏洞。
从POC文档流出至今,我们捕获到的样本主要包括以下几种利用方式:
(1)     cmd.exe /c (start)[Process-Name]
(2)     \\[Host-Name or Host-IP]\\[Process-Name]
(3)     mshta.exe [Process-Name or URL]
(4)     powershell.exe [Process-Name]
在实际的***样本中,利用mshta的样本占了绝大多数。方式通常为,利用mshta加载特定页面上的脚本内容(VBScript/Javascript),来启动Powershell,最终下载一个恶意可执行文件。利用cmd.exe /c方式的恶意文档较少,一种较新的方式是利用OLE对象会自动加载到%TEMP%文件夹这一特性,再利用cmd.exe来加载恶意文档中的OLE对象。
大多数厂商对于CVE-2017-11882恶意文档的检测,是对于WinExec等硬编码地址的检测。而在本周,国外安全研究人员提出了另一种利用思路——利用栈溢出将shellcode覆盖到栈上,通过改变流程来解除原POC中对命令字节数的限制。一旦相关样本流传开来,有可能导致原有静态检测手段的失效。正是由于该漏洞利用手段比较多变的特性,导致目前针对该漏洞的检测率普遍不高。
针对上述可能出现的各种新***手段,启明星辰APT产品已经升级,从漏洞利用根源上切入,可完全检测利用该漏洞的各类未知变种***。

2、勒索软件通过RDP远程桌面进行“精准”投放

近日有迹象表明,有勒索软件瞄准了公网上开启了RDP远程桌面服务的服务器。***者利用类似“NLBrute”的RDP暴力破解工具进行弱口令枚举。一旦命中密码便登陆连接建立备份管理账户,即使原有的密码改了也能再次回连被***的主机。之后会下载安装底层的恶意软件,关闭或者重置安全防护软件。在必要的时候,还会使用类似CVE-2017-0213、CVE-2016-0099漏洞来提升权限。
***成功后,***者通常会关闭数据库服务,启动勒索软件来加密数据库,并删掉备份文件防止受害者在未付款的情况下恢复数据。如果企业没有按时支付赎金,则无法恢复原始数据。***者的目标多为员工人数不多的中小型企业。
防护建议:
(1)关闭RDP服务,或者在需要用它们的时候再开启。如果需要开启RDP服务,则需要修改为字母数字符号混合型的强密码。
(2)更多的使用***来连接外部网络。
(3)使用双因素身份验证(2FA)来认证来访者。
(4)及时更新操作系统补丁。

3、Mirai僵尸网络再现新变种,感染范围正迅速扩大


Mirai是一种专门针对物联网开发的开源恶意软件。它能够自动寻找物联网设备,利用漏洞或内置密码表的方式进行***感染,并将该设备变成僵尸网络的一部分。由于Mirai 灵活性和适应性都很突出,因此***者大多会在其基础上进行修改,并传播修改后的Mirai变种。
目前正在流行的这款最新的Mirai变种,具有更强的系统兼容性,已知涉及版本高达16种:arm5n,arm6,arm7,mips64,mpsl,ppc440fp,x86_64,i486,i686,m68k,sh4,spc。
最新变种已知采用了最新披露的ZyXEL PK5001Z调制解调器的后门账户:
admin/CentryL1nk 来进行***感染,该后门账户于2017-11-02被公布。
https://www.exploit-db.com/exploits/43105/
除此之外还有一个2016年1月公开披露的旧ZyXELPK5001Z路由器中的CVE-2016-10401漏洞。当时ZyXEL PK5001Z路由器拥有一个硬编码的超级用户密码(zyad5001),可用于提升用户对根级的访问权限。
该变种会通过23和2323端口进行传播,目前国内已有超过5千个IP感染,并有约10万台感染机器位于阿根廷。



网络安全产品普及系列汇总已更新,防火墙、上网行为管理、***设备

金睛安全播报 NO.016(2017-12-03)




“海莲花”组织在最新***中采用鱼叉邮件的方式进行恶意代码投递。主要***方式有以下两种:
当用户打开***文档时,会利用最新的CVE-2017-8759漏洞下载一段Powershell恶意代码。


此处还采取了一种绕过 UAC的技术。样本修改了一个不需要UAC提示就能修改的注册表的项,使得父进程自动读取该键值并运行powershell程序执行恶意代码。以上操作可以使恶意代码不经系统提示及用户手工确认便顺利执行。
在海莲花组织较新的***中,还使用了Winword.exe 和wwlib.dll作为邮件附件进行投递,其中Winword.exe为正常的微软Office Word的主程序。Winword.exe会默认加载同目录下的wwlib.dll,而wwlib.dll为恶意程序,可以很明显的看出这是一个DLL劫持的白利用加载恶意代码方式。


在深入分析最近的几次新***后,我们发现最终下载的***具有极强的相似性。我们已经形成针对最终下载***在通信时的***特征“HTTP_***_海莲花_连接”,最新事件库可以有效检测海莲花组织最新***行为。


近段时间,利用JS脚本嵌入网页占用访问者的计算资源进行挖矿Monero货币的事件频发。众多服务器被******,插件被劫持,已影响数千个正常网站。
针对近期频繁出现的各类挖矿***,我们添加并及时更新了相关事件“TCP_***_Win32.Coinminer_连接矿池”和“HTTP_JS_miner连接”,最新事件库可以有效检测各种挖矿***行为
3. Apache Struts2又双叒叕爆漏洞了!(S2-054和S2-055)

S2-054拒绝服务漏洞:ApacheStrutsREST插件使用了过时的JSON-lib库,***者可以通过构造特制的JSON恶意请求造成DOS***。
漏洞主要影响Struts2.5到 Struts 2.5.14的版本。
S2-054:
http://struts.apache.org/plugins/rest/#use-jackson-framework-as-json-contenttypehandler
手动将项目中的com.fasterxml.jackson升级到版本2.9.2,详情参考:
4. Mac系统出现重大安全漏洞,可无密码登录管理员账户

当特权操作提示用户输入管理凭证时,用户可以简单地输入“root”用户名,并输入空密码。第一次尝试似乎失败。但实际上,此操作会导致MacOS High Sierra使用指定的凭据以root身份登录。使用同样的凭证第二次尝试验证登录即可获得root管理员权限。一旦经过身份验证的用户(本地或通过远程访问,如SSH)触发了此漏洞,root帐户将可获得系统的全部权限。
该漏洞影响macOS HighSierra 10.13、10.13.1和10.13.2 beta版本
目前网上已经出现了多个远程利用该漏洞的案例,如利用Mac系统的屏幕共享功能进行远程代码利用。因此在未确定漏洞是否修复完成的情况下,请暂时关闭屏幕共享功能。
1.jpg (13.43 KB)

2017-12-4 16:57

1.jpg

2.jpg (43.92 KB)

2017-12-4 16:57

2.jpg

3.jpg (60.94 KB)

2017-12-4 16:57

3.jpg

3.jpg (60.94 KB)

2017-12-4 16:58

3.jpg




网络安全产品普及系列汇总已更新,防火墙、上网行为管理、***设备
金睛安全播报 NO.017(2017-12-10)1. CVE-2017-11882漏洞利用新姿势



最近一周,我们发现CVE-2017-11882漏洞利用样本发生了一些新变化,具体表现为如下两个特征:
(1)不再像其他大多数在野样本一样,直接将WinExec函数的地址覆盖到栈上。



新样本虽然依旧使用了字体表解析(08 5A 5A)的BUG,但后面填充的并非是命令,而是一段shellcode。这段shellcode对要执行的命令进行了定位,解除了对命令长度的限制。红圈中的地址0x402114对应的命令为”ret”,在返回后会进入shellcode的流程中。
(2)样本使用了Powershell来下载恶意文件。
由于对命令长度的限制被解除,样本可以执行更长的命令,因此***者使用了Powershell来下载进一步的恶意文件。


细心的朋友可以注意到Powershell命令并不是连续的。这是因为***者对FAT扇区链(sector chain)进行了修改。在微软自动生成的文件中,扇区链都是按序号连接的,而***者刻意修改了扇区链,如下图所示。




3号扇区的数据的下一段被存放在5号扇区。因此两段命令之间相隔了1个扇区,也就是512个字节(32行)。而4号扇区存放的是1号扇区数据的下一段。
启明星辰APT产品可有效检测CVE-2017-11882的各种变形***样本。



2、安卓签名欺骗漏洞CVE-2017-13156,可在正常签名的包加入任意的恶意代码



近日网上公开了安卓漏洞CVE-2017-13156的POC,该漏洞是一个安卓签名欺骗漏洞,目前被命名为Janus漏洞,影响范围极大。
漏洞主要起因主要有两点:
(1)APK文件实际是一个zip压缩文件,它可以在压缩文件中包含任意字节。而JAR的签名方案只考虑了zip条目,在计算或验证应用程序的签名时,它会忽略任何额外的字节。另一方面,DEX文件可以在字符串,类,方法定义等的常规部分之后包含任意字节。
因此,安卓的安装包只检查解包后apk中的文件的签名,但并不会验证apk整个包的完整性。
(2)另一个主要的因素在于Android运行并加载APK文件时,会提取其DEX文件,然后再运行其代码。实际上,ART虚拟机可以加载和执行APK文件和DEX文件。当它在文件头中找到要运行DEX文件的字段时,便会运行目录下的DEX文件。
***者可以利用这种方法,在正常签名的APK包中加入任意的含有恶意代码的DEX文件且不会影响签名,在Android系统中仍然能成功运行。
因此,请用户在正规的安卓应用市场中下载安卓APK文件,并最好进行哈希验证,防止中招。



3、APT34在中东地区利用CVE-2017-11882漏洞发起新的针对性的***



APT34被认为是一个为伊朗的国家利益服务的***组织,主要侧重于网络间谍活动,至少从2014年开始就一直处于活跃状态。这个组织已经广泛地针对各个行业,包括金融、政府、能源、化工和电信,并且主要集中在中东地区。
近日,国外有厂商报道了与APT34利用CVE-2017-11882漏洞投放恶意软件。当触发该漏洞后,EQNEDT32.EXE程序会在当前登录用户的上下文中创建子进程“mshta.exe”,用于从mumbai-m.site/b.txt下载恶意脚本并执行。该脚本会利用PowerShell命令从dns-update[.]club/v.txt下载一个vbs脚本并执行。
vbs脚本会创建多个任务计划程序,任务计划程序将每分钟启动GoogleUpdateschecker.vbs,然后执行dUpdateCheckers.ps1和hUpdateCheckers.ps1脚本。这些PowerShell脚本是最终阶段的有效载荷 - 它们包括具有域生成算法(DGA)功能的下载器和连接到C&C服务器来接收命令并执行其他恶意活动的后门组件。



在后门运行期间,C&C服务器会发送PowerShell命令来捕获和存储受害者系统的屏幕截图,并能够从受害者系统收集主机信息。这可能包括有关当前登录用户名、主机名、网络配置数据、活动连接、进程信息、本地和域管理员帐户、用户目录列举以及其他数据的信息。


4、StorageCrypt勒索软件问世,利用SambaCry漏洞在Linux平台传播



今年4月份爆发的CVE-2017-7494(SambaCry)漏洞相信大家还有印象,它是Linux Samba漏洞,又名SambaCry,已经在5月份进行了修补。
安全研究人员日前发现了一个利用SambaCry漏洞***NAS(network-attached storage)设备的勒索软件StorageCrypt Ransomware。
该勒索软件加密文件后,会将其重命名为.locked文件,另外还会下载一个名为_READ_ME_FOR_DECRYPT.txt的赎金通知,其中包含赎金金额,发送付款的比特币地址以及付款后联系的电子邮件地址JeanRenoAParis@protonmail.com




同时,会在受感染的NAS设备上放置两个文件,即Autorun.inf和美女与野兽.exe,后一个文件是为了将Windows可执行文件传播到NAS设备上的文件夹所访问的机器上。
为了避免被StorageCrypt勒索软件或其他利用SambaCry漏洞的恶意软件感染,用户需要安装最新补丁,还需要将NAS设备与Internet断开连接,设置防火墙来保护存储设备,并使用***进行安全访问。
启明星辰最新版本事件库可以有效检测防范利用CVE-2017-7494漏洞的各种***。



5、大量WordPress站点被嵌入挖矿JS脚本,用户输入内容被记录



近日,有安全研究人员发现有大量WordPress站点被嵌入了挖矿JS脚本,这些进过混淆的JS伪装成jQuery和Google Analytics,在浏览者进行浏览的时候占用其系统资源进行挖矿活动。
***者为了最大限度逃逸检测,利用了cloudflare.solutions域名加载恶意的JS,但实际上这个域名跟Cloudflare没有任何关系。尽管使用的域名是合法的,但是实际请求的URL是存在问题的,最终用户的请求被指向含有键盘记录器的页面。当用户存在问题的WordPress页面的时候,输入到表单的内容便会被记录。被盗数据会被发送到wss://cloudflare[.]solutings/ajax/libs/cors/cors.js。目前全球大约已经有5500+个站点收到了感染。




网络安全产品普及系列汇总已更新,防火墙、上网行为管理、***设备
金睛安全播报 NO.0182017-12-17
本周安全态势





1. 利用恶意宏文档投放GlobeImposter最新勒索变种,加密后文件扩展名为.DOC

近日,我们发现了大量利用恶意宏文档投放勒索软件GlobeImposter的恶意样本。


通过分析发现,该文档通过文档属性中的数据(即元数据)进行了Microsoft Office VBA宏混淆。其中这些数据会通过各种渠道获取字符串,并拼接成链接,访问并下载恶意程序。




其下载的恶意程序为勒索家族GlobeImposter的最新变种。该变种勒索软件加密文件后,会将所有文件后缀改为doc。





最终加密完成后,样本会弹出一个浏览器界面,并显示提示如何进行解密。




2.***组织“4nzel4”攻陷多家美国网站,挂起黑页宣誓主权

近日,由于美国承认耶路撒冷为以色列首都的关系,中东地区形势紧张,该地区的***组织也开始纷纷行动,以此来宣泄愤怒。
监测发现,***组织“4nzel4”近期对美国多家网站进行了***,并在失陷网站上挂起了自己国家的国旗,以此来宣誓主权。



通过VenusEye情报平台查到的一个与4nzel4组织相关的最新域名。






另外,我们还发现了该组织的一个文件中转站点。其中含有大量恶意文件。





3.Mirai变种"Satori"和"Amnyu"肆虐互联网 数十万IP受感染

近日,著名IOT僵尸网络Mirai的变种Satori和Amnyu甚嚣尘上。在前几周的播报中提到了网上有大量针对IOT设备的23/2323进行扫描弱口令爆破的行为。经过深入分析核实,类似的***行为来自Mirai的变种"Amnyu"。
而较新的Mirai变种"Satori"主要针对IOT设备的37215和52869端口进行***,该变种分别利用了CVE-2015-7254(port:37215)和CVE-2014-8361(port:52869)漏洞,受影响的设备主要来自HUAWEI和D-Link的IOT设备。目前已有约50多万的独立IP被确认受感染。


对于最新的"Satori"变种***利用的两个漏洞,我们已经添加事件进行防护:HTTP_HUWEI路由器目录遍历漏洞,HTTP_IOT设备Realtek_SDK_SOAP远程代码执行漏洞。

4.DDE***方式变换多样,微软推出补丁防护

本周,我们发现了利用DDE进行***的新型样本,相关***样本载体为RTF文档。而之前的***中,DDE***样本主要使用DOC/DOCX, XLS/XLSX作为载体。这些文件使用XML描述或使用二进制格式,混淆的情况较少。而RTF载体更容易进行混淆,因此会更容易逃脱检测。新型***样本中使用了\fldinst关键字在RTF中插入了一个DDE域。在运行后和之前的DDE样本交互方式相似。


微软似乎也意识到了DDE***的危害,因此在本月的Office的补丁中禁用了DDE协议,请用户及时升级。





本帖最后由 lover119 于 2017-12-18 00:26 编辑
网络安全产品普及系列汇总已更新,防火墙、上网行为管理、***设备

1.
***利用多个WebLogic漏洞发动大规模挖矿*** 需及时修补各类Web应用漏洞


无独有偶,国内友商最近两天也发布了数篇关于***大规模利用Oracle WebLogic漏洞投递挖矿***的预警。综合以上信息,我们确定***目前正在利用WebLogic多个系列漏洞进行大规模***。目前已经披露的漏洞如下:CVE-2017-3248,CVE-2017-10271,CVE-2017-3506,CVE-2017-10352。
      
      
针对最新的一波***,启明星辰产品已经添加相应的事件进行防护,具体对照表如下:

漏洞/病毒事件名
Weblogic WLS 组件漏洞(CVE-2017-10271)HTTP_Weblogic_wls-wsat_远程代码执行漏洞
Weblogic 反序列化漏洞(CVE-2017-3248)TCP_Oracle_WebLogic_Server反序列化漏洞,CVE-2017-3248
门罗币挖矿***TCP_***_Coinminer_连接矿池





3. 俄罗斯***组织APT28向欧洲多家政府部门发送”圣诞贺卡”







3.jpg (14 KB)

2017-12-25 14:48

3.jpg




本帖最后由 lover119 于 2017-12-25 14:50 编辑
网络安全产品普及系列汇总已更新,防火墙、上网行为管理、***设备
‹‹ 上一贴:防火墙配置PPOE拨号   |   下一贴:求教ACG和防火墙的配置方法 ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2018 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com