01.Windows 10 下的 Finger 命令可能被滥用来窃取和下载文件
一些被称为 living-off-the-land binaries (LoLBins),也就是未落地的二进制文件,可以帮助攻击者绕过安全检测,这样系统就不会发出安全警报了。finger 是 Windows 附带的命令,用于在运行 Finger 服务或守护程序的远程计算机上检索有关用户的信息。通过 Name/Finger 网络通信协议进行通信。安全研究员 John Page 发现 Microsoft Windows TCPIP Finger 命令还可以充当文件下载器以及 makeshift 命令可控制 C3 服务器,因此也能够用于发送命令和提取数据。据研究人员称,C2 命令可以被伪装成获取文件和过滤数据的 Finger 查询,而 Windows Defender 不会检测到异常活动。之前有一个问题是 Finger 协议使用的 79 端口经常会在内部被阻塞。但是,具有足够特权的攻击者可以通过使用 Windows NetSh Portproxy (TCP 协议的端口重定向器) 来绕过该限制。此方法将允许通过防火墙规则,并通过 HTTP/HTTPS 的不受限制端口与服务器通信。这样,Portproxy 查询将传递到本地计算机 IP,然后转发到指定的 C2 主机。使用 finger.exe 下载文件也有局限性,但是没有什么是不能克服的,因为使用 Base64 对其进行编码就足以逃避检测。
发布时间:2020-09-15
发布平台:Bleeping Computer
原文链接:
https://www.bleepingcomputer.com/news/security/windows-10-finger-command-can-be-abused-to-download-or-steal-files
02.费尔法克斯县学校被 Maze 勒索软件攻击,发生数据泄露
根据周五晚上官方发布的一份声明,美国第十大学校区费尔法克斯县公立学校 (FCPS) 最近受到勒索软件的攻击。该学区也是巴尔的摩 - 华盛顿都会区最大的学区。FCPS 现有超过 188,000 名学生和大约 25,000 名全职员工在美国弗吉尼亚州的 198 所学校和中心工作。目前尚不清楚勒索软件影响 FCPS 网络的具体日期,但学区表示,现正与 FBI 合作来确定攻击背后的勒索软件组织。FCPS 并未透露勒索软件运营商的身份。但是,Maze 勒索软件运营商已经声称对 FCPS 进行了攻击,他们已经泄漏了从弗吉尼亚学校部门的服务器窃取的数据的 2% (大约 100 MB)。Maze 泄漏的数据包含有关某些学区学生的信息,管理文档,以及看起来像 LSASS 转储的文件,可用于提取 Windows 凭据。
发布时间:2020-09-12
发布平台:Bleeping Computer
原文链接:
https://www.bleepingcomputer.com/news/security/fairfax-county-schools-hit-by-maze-ransomware-student-data-leaked/
03.新型恶意软件 MrbMiner 感染了数千个 MySQL 数据库
在过去的几个月中,一个新的恶意软件团伙通过入侵 Microsoft SQL Server (MSSQL) 并安装了加密挖矿软件而出名了。中国科技巨头腾讯的网络安全部门称,到目前为止,已有成千上万的 MSSQL 数据库被感染。在本月初发布的一份报告中,腾讯安全以该组织用来托管其恶意软件的域之一命名了这个新的恶意软件,为 MrbMiner。这家中国公司表示,僵尸网络通过扫描 Internet 上的 MSSQL 服务器,然后通过反复尝试使用各种弱密码的 admin 帐户来进行暴力攻击,从而传播。一旦攻击者在系统上立足,他们便下载了一个初始的 assm.exe 文件,该文件用于建立引导持久性机制并添加后门帐户以供将来访问。腾讯表示,该帐户使用用户名 Default 和密码 @fg125kjnhn987。感染过程的最后一步是连接到命令和控制服务器,并下载一个应用,该应用通过滥用本地服务器资源并挖掘 Monero (XMR) 加密货币到攻击者控制的帐户中。
发布时间:2020-09-16
发布平台:ZDNet
原文链接:
https://www.zdnet.com/article/new-mrbminer-malware-has-infected-thousands-of-mssql-databases/
04.Lazarus 组织与说俄语网络犯罪分子有联系
研究人员研究了过去几年中朝鲜的 Lazarus 与讲俄语的攻击者联系在一起的安全事件。今天发布的分析报告分析了多年安全事件,以查明历史上与朝鲜有关的 Lazarus 与说俄语的网络罪犯之间的联系。安全调查公司 Intel 471 的首席执行官 Mark Arena 在其发现中写下两个普遍接受的假设: Lazarus Group 与朝鲜息息相关、TrickBot,TA505 和 Dridex 与说俄语的网络犯罪分子有联系。为了进行分析,Arena 研究了其他安全人员公开发表的报告,这些研究人员发布了有关威胁活动的信息。最后得出的结论为朝鲜攻击者很可能与说俄语的高级网络犯罪分子保持联系。
关键词:Lazarus、TrickBot、TA505、Dridex
发布时间:2020-09-16
发布平台:Dark Reading
原文链接:
https://www.darkreading.com/threat-intelligence/likely-links-emerge-between-lazarus-group-and-russian-speaking-cybercriminals-/d/d-id/1338938
01.Cerberus 银行木马源代码在地下论坛发布
在一次拍卖失败后,Cerberus 银行木马的作者已在地下黑客论坛上发布了该恶意软件的源代码。7 月,Cerberus 银行木马的作者以 50,000 美元起的价格拍卖了他们的项目,但有买家以 100,000 美元完成交易。整个项目包括组件的源代码 (恶意 APK,管理面板和 C2 代码),安装指南,用于设置的脚本集和具有有效许可证的客户列表。卡巴斯基研究人员 Dmitry Galov 在卡巴斯基 NEXT 2020 大会上发表讲话说,该源代码现在以 Cerberus v2 的名称免费分发。Cerberus 于 2019 年 8 月出现,它是从零开始开发的 Android RAT,它不借用其他恶意软件的代码。在代码拍卖之前,Cerberus 的维护者提供的租金为每年最高为 12,000 美元,同时他们还提供了 4,000 美元/3个月和 7,000 美元/ 6个月的许可证。
发布时间:2020-09-16
发布平台:Security Affairs
原文链接:
https://securityaffairs.co/wordpress/108373/cyber-crime/cerberus-source-code-leaked.html
- End -
