海王捕鱼威胁情报月报(2020年9月)
2020-09-29
9月,海王捕鱼威胁情报中心(NTI)发布了多个漏洞和威胁事件通告,其中,Linux 内核权限提升漏洞(CVE-2020-14386)以及WebSphere XML 外部实体注入(XXE)漏洞(CVE-2020-4643)影响较大。前者由于net/packet/af_packet.c 在处理AF_PACKET 时存在整数溢出,导致可进行越界写从而实现权限提升,攻击者可以利用此漏洞从非特权进程获得系统root 权限;后者由于WAS 未正确处理XML 数据,攻击者可以利用 此漏洞远程获取服务器上的敏感信息。
另外,本月微软修复129个安全问题,Critical的漏洞共有23个,若干个Important级别,请相关用户及时更新补丁进行防护。
在本月的威胁事件中,针对国家和政府的攻击比重较大,政治色彩居多;其次是挖矿木马和针对电子邮件所进行的攻击。网络安全为人民,网络安全靠人民,攻击事件每天都在发生,网络安全问题正引起更多的关注和重视。
以上所有漏洞情报和威胁事件情报、攻击组织情报,以及关联的IOC,均可在绿盟威胁情报中心获取,网址:https://nti.nsfocus.com/
一、 漏洞态势
2020年09月海王捕鱼安全漏洞库共收录108个漏洞, 其中高危漏洞20个。
* 数据来源:海王捕鱼威胁情报中心,本表数据截止到2020.09.28
注:海王捕鱼漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;
二、 威胁事件
【标签】MrbMiner
【时间】2020-09-01
【简介】
新型挖矿木马家族MrbMiner,该挖矿木马文件通过ZIP解压缩得到,并且会伪装成各类Windows系统服务。黑客通过SQL Server服务器弱口令爆破入侵,爆破成功后在目标系统释放C#语言编写的木马assm.exe,进一步通过该木马与C2服务器通信,然后下载门罗币挖矿木马并维持挖矿进程。MrbMiner挖矿木马会小心隐藏自身,避免被管理员发现。
【参考链接】
https://s.tencent.com//research/report/1105.html
【防护措施】
绿盟威胁情报中心关于该事件提取43条IOC,其中包含2个IP,2个域名和39个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
2. RCE漏洞针对vBulletin
【标签】RCE
【时间】2020-09-02
【简介】
针对流行论坛软件vBulletin的一个远程代码执行(RCE)漏洞被发现为CVE-2019-16759。该漏洞利用绕过了先前漏洞CVE-2019-16759的修复,攻击者可以利用此漏洞发送带有指定模板名称和恶意PHP代码的精心设计的HTTP请求,并导致远程执行代码。在vBulletin上建立了超过100,000个站点,其中包括大型企业和组织的论坛 。
【参考链接】
https://unit42.paloaltonetworks.com/cve-2020-17496/
【防护措施】
绿盟威胁情报中心关于该事件提取45条IOC,其中包含2个IP和38个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
3. URSA特洛伊木马针对使用复杂加载程序的国家
【标签】URSA
【时间】2020-09-14
【简介】
URSA木马,一种衍生品,也被ESET 称为mispadu 恶意软件。该恶意软件是一种特洛伊木马恶意软件,当安装在受害者的设备上时,它会从浏览器以及流行的软件(例如FTP和电子邮件服务)中收集密码,并执行银行浏览器覆盖,以诱使受害者在执行流程时引入银行凭证–分步进行–在犯罪分子的后台。
【参考链接】
【防护措施】
绿盟威胁情报中心关于该事件提取24条IOC,其中包含14个IP和10个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
4. Dofloo僵尸网络针对Docker容器
【标签】Dofloo
【时间】2020-09-16
【简介】
Dofloo(AESDDoS)僵尸网络正批量扫描和攻击Docker容器。部分云主机上部署的Docker容器没有针对远程访问做安全认证,存在Remote API允许未授权使用漏洞且暴露在公网,导致黑客通过漏洞入侵并植入Dofloo僵尸网络木马。此次Dofloo僵尸网络入侵系统后,会搜集系统敏感信息并加密上传,接收C&C服务器指令,执行各类DDoS攻击。
【参考链接】
https://s.tencent.com//research/report/1127.html
【防护措施】
绿盟威胁情报中心关于该事件提取13条IOC,其中包含3个IP和10个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
5. Glupteba恶意软件攻击政府组织
【标签】Glupteba
【时间】2020-09-21
【简介】
攻击者利用Glupteba恶意软件,试图从浏览器中窃取敏感信息,例如密码和信用卡信息以及电子邮件帐户凭据。因为这些属于政府机构,所以攻击者获得用户的信息的后果非常严重。该恶意软件的新菌株还使用到了恶意广告,将用户定向到罕见的端点并强制异常文件下载。下载此文件后,设备通过异常通信通道启动了到可疑端点的进一步加密连接。同时,设备会从具有异常用户代理“ CertUtil URL代理”的域中下载了另一个可执行文件。
【参考链接】
【防护措施】
绿盟威胁情报中心关于该事件提取13条IOC,其中包含13个IP;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
6. MoDi RAT通过电子邮件传播
【标签】MoDi RAT
【时间】2020-09-24
【简介】
SophosLabs的两位研究人员上个月在通过威胁遥测进行搜寻时偶然发现了一种不寻常的反射式装载机攻击方法。攻击链始于包含一些敌对的VB脚本代码的恶意电子邮件,最后以交付名为MoDi RAT的商品远程访问木马为结尾。该攻击代表了我们看到的大多数无文件攻击如何起作用。AMSI为Sophos提供了主动保护客户免受一系列类似攻击的能力,而我们能够获得的遥测技术使我们能够深入这些兔子洞,从而可以更有效地识别和增强保护。
【参考链接】
https://news.sophos.com/en-us/2020/09/24/email-delivered-modi-rat-attack-pastes-powershell-commands/
【防护措施】
绿盟威胁情报中心关于该事件提取7条IOC,其中包含1个域名和6个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
