2月份的”周二补丁日“ 带来了微软和Adobe的一系列更新,每个更新都发布了影响其各自产品的70多个漏洞的更新。 是的,没错,总共超过140个漏洞。
Microsoft发布了77个CVE补丁以及三个,影响了其产品组合中广泛部署的产品,包括Internet Explorer,Edge,Exchange Sever,Windows,Office,Framework等。从优先级考虑,最应该是修补Windows DHCP服务器远程执行代码漏洞(CVE-2019-0626)。如果被利用,内存损坏错误将授予域管理员权限,允许访问域用户凭证。者可以在DHCP服务器上运行任意代码。公开披露的Microsoft Exchange Server提升漏洞(CVE-2019-0686)会造成允许者访问用户的邮箱的可能。虽然没有已知的公共漏洞,但此补丁还是应视为高的优先级处理。紧急修补的另一个考虑因素是Internet Explorer信息泄露漏洞(CVE-2019-0676)。此漏洞已被用于定位易受的系统。该漏洞可能会造成允许者检查者硬盘上的特定文件。
Adobe发布了Acrobat和Reader,Cold Fusion,Flash和Adobe Creative Cloud Desktop Application的更新。 Adobe发布了一个更新,解决了零日Adobe Reader漏洞,该漏洞若被利用,将允许恶意制作的PDF文档回联到者的服务器,并以SMB请求的形式通过者的NTLM哈希发送给远程者。 在Adobe推出修复程序之前,此漏洞已被公开披露,包括复现该的方法。
Bladabindi(别称为njRAT,njWorm)是一种多产且具有性的蠕虫病毒,早在2012年就已存在。在录的有一次感染者数量达数百万的情况。 众所周知,此恶意软件会为受感染的计算机创建后门程序,记录用户键盘输入,捕获网络摄像头镜头以及窃取凭据。 Bladabindi通过毫无防备的后台自动下载,社交工程或受感染的USB驱动器进行。
2018年末,发布过有关此恶意软件更新版本的详细信息。 据记载,它使用AutoIT和无文件技术来实现其的持久性和规避。 为此,它将一个Base64编码值存储在一个注册表项上,该注册表项将作为PowerShell上的命令自动运行。 运行后,PowerShell将使用自反注入加载并运意代码。 恶意软件使用的另一个技巧是注入PowerShell进程的有效载荷是.NET编译的,并使用商业软件进行混淆。 恶意软件还广泛使用动态DNS系统来避免检测。
WordPress版本4.7.0和4.7.1容易受到WordPress REST API中的内容注入漏洞的。 默认情况下,此功能已启用,这使得WordPress的任何默认安装都会自动受到。
问题的核心在于处理API参数时出现类型混淆跳跃(type-juggling)的问题, 一系列问题导致了这个漏洞。 首先,优先级背后的逻辑存在缺陷。 这导致请求参数被不正确地处理的可能性。 其次,数据清理逻辑允任弼时的子女许用户潜在地绕过权限检查。 如果绕过,则用户可以在未事先获得权限的情况下更新项目。 如果被利用,未经身份验证的者可以通过REST API有效载荷,其控制的内容修改页面。
FortiGuard实验室注意到了的TrickBot银行特洛伊木马的最新发展。 本周早些时候,研究人员发布了有关TrickBot恶意软件新功能发现的详细信息 - 它现在具有远程窃取密码的更新功能。
TrickBot是一种恶意软件,属于有经济利益驱动的APT TA505,是一种众所周知的银行特洛伊木马。早在2018年11月,FortiGuard研究与响应实验室发布了一篇博客内容(TrickBot New Module pwgrab的深度分析),详细介绍了一个名为pwgrab的特定TrickBot模块的研究。 众所周知,TrickBot使用带有恶意Excel附件的网络钓鱼活动来定位其者,这个更新版本在这方面没有任何意外。 用户打开恶意Excel附件并启用内容后,VBA脚本将下载TrickBot。但是,这个新的变种确实有一些新技巧。
具体来说,这个新变种有三个允许凭证窃取远程桌面访问工具的功能。 每个功能对应一个已知平台:RDP,PuTTy和VNC。 运行时,这些函数会尝试从列出的平台窃取凭据。 如果获取凭证并成功发送到命令与控制(C2)服务器,则者可以在者计算机上获得远程桌面访问功能。
这是另一个案例,展示了多产和持久恶意软件背后的不断发展,以提升其能力并避免被发现。 FortiGuard实验室对已知的IOC进行了适当的检测。
FortiGuard实验室在研究DanaBot银行木马时发现了新的更新。 本周早些时候,研究人员发布了一篇博客,详细介绍了DanaBot的最新进展。
众所周知,DanaBot是一种复杂的银行木马。 这个僵尸网络最初是在2018年年中发布的,作为针对者的恶意垃圾邮件活动。 这样的邮件中包含恶意DOC附件,当使用启用内容运行时,将从C2下载一个或多个恶意可执行文件。 受感染的者可能其登录信息,设备信息以及银行加密凭证和密钥被窃取;也可能被显示在银行网站上进行注入,并且者的设备容易被远程访问。
从那时起,DanaBot似乎已经更新了其通信协议,并在欧洲的许多国家范围,美国也被检测发现。在这些更新中添加了恶意插件,使者的机器成为垃圾邮件发送端。 最新的更新似乎只是通过参与了波兰的恶意垃圾邮件活动。对此恶意软件的更新发现了通信协议中的多个加密层,用于部署DanaBot的体系结构的更改以及命令和标识符的更改。
DanaBot的持续持续表明恶意软件不断更新以避免基于网络的检测。我们必须继续和这些系列以保持最新状态,而多层安全防御方法绝对至关重要。
FortiGuard Web过滤团队最近发现了一个名为Qealler的JAR恶意软件。 本周早些时候,研究人员发布了对这种用Java开发的新恶意软件的调查结果,该恶意软件会秘密窃取者的个人信息。
要感染计算机,必须首先由用户执意Qealler JAR文件。 此广告系列使用与相关的文件来吸引者打开。 当者双击文件以打开它时,将执意软件。
执行时,将从受感染的站点下载安装Python凭据收集器的Java加载程序。 (记录之一是hiexsgroup.co[.]uk.)Qealler似乎被一个注明的开源Java字节码混淆器混淆了。 在二进制文件中,恶意软件可能尝试连接到其他加密URL。 这些URL导致服务器看起来存储第二阶段的有效载荷。
为了窃取密码,Qealler恶意软件有一个定制版本的LaZagne,一个开源的,利用后的密码收集器。 定制模块存储为名为“QaZaqne”的目录,具有与LaZagne相同的功能。 该模块具有窃取浏览器,电子邮件,Wi-Fi和设备密码的能力,仅举几例。 收到凭证后,将对其进行加密,编码,并将其与唯一的机器标识符ID一起发送到C2服务器。
网友评论 ()条 查看