在网络安全领域,OST 一词是指以开源许可证发布的具有攻击性功能的软件应用程序,库和 exploits,可免费下载。发布 OST 项目通常是为了提供针对新漏洞的 POC,用来演示新的或旧的黑客技术,另外也可作为与社区共享的渗透测试实用工具。如今,OST 已成为信息安全 (infosec) 社区中争议最大的话题之一。一方面,你拥有支持发布此类工具的人员,认为他们可以帮助防御者学习并为将来的攻击作准备。另一方面,你会说 OST 项目会帮助攻击者降低开发自己的工具成本。这个话题已经讨论了十多年。但是,它们始终基于个人经验和信念,而从未基于实际原始数据。这就是网络安全公司 Intezer Labs 的安全研究员 Paul Litvak 在本月早些时候在 Virus Bulletin 安全会议上的一次演讲中试图解决的问题。Litvak 使用 129 种开源的攻击性黑客工具编译了数据,并搜索了恶意软件样本和网络安全报告,以发现 OST 项目在黑客组织 (例如低级恶意软件团伙,精英金融犯罪组织甚至是国家赞助的 APT 组织) 的普及程度。
发布时间:2020-10-13
发布平台:ZDNet
原文链接:
https://www.zdnet.com/article/malware-gangs-love-open-source-offensive-hacking-tools/
02.Windows Update 可能被滥用来执行恶意程序
Windows Update 客户端刚刚被添加到 LoLBins 清单中,攻击者可利用它在 Windows 系统上执行恶意代码。LoLBins 清单中的程序都是带有 Microsoft 签名的可执行文件,这些程序可能会被攻击者滥用,在下载,安装或执行恶意代码时逃避检测。攻击者还可以使用它们来绕过 Windows 的用户帐户控制 (UAC) 或 Windows Defender 应用程序控制 (WDAC) 并在已经受到威胁的系统上获得持久性。WSUS/Windows Update 客户端 (wuauclt) 是位于 %windir%\system32\ 处的实用程序,可为用户提供对 Windows Update Agent 某些功能的部分控制。它允许检查新的更新并安装它们,而不必使用 Windows 用户界面,而是从命令提示符窗口触发它们。使用 /ResetAuthorization 选项可以根据本地配置在 WSUS 服务器上或通过 Windows Update 服务启动手动更新检查。但是,MDSec 研究人员 David Middlehurst 发现,攻击者还可以通过使用以下命令行选项从任意特制的 DLL 加载 wuauclt,从而在 Windows 10 系统上执行恶意代码:
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer
发布时间:2020-10-12
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/windows-update-can-be-abused-to-execute-malicious-programs/
03.微软使用商标法破坏 TrickBot 僵尸网络
微软公司已经进行了一次有组织的法律暗中攻击,以破坏恶意软件即服务 Trickbot 僵尸网络,Trickbot 僵尸网络已经感染了数百万台计算机,并被用于传播勒索软件。弗吉尼亚州的一家法院批准微软接管 Trickbot 使用的多台服务器控制权,理由是犯罪机器滥用了微软的商标。不过,这次行动并未完全关闭僵尸网络。微软客户安全与信任公司副总裁 Tom Burt 在今早的博客中写道:“我们通过法院命令以及与全球电信提供商合作执行的技术行动破坏了 Trickbot。我们现在已经切断了关键基础设施,因此那些操作 Trickbot 的人将不再能够发起新的感染或激活已经放入计算机系统的勒索软件。”
发布时间:2020-10-12
发布平台:KrebsonSecurity
原文链接:
https://krebsonsecurity.com/2020/10/microsoft-uses-copyright-law-to-disrupt-trickbot-botnet/
Microsoft 在本周二发布的安全更新补丁程序中解决了 87 个漏洞,其中包括 21 个远程代码执行 (RCE) 问题。Microsoft 修复的远程代码执行 (RCE) 缺陷影响多个产品,包括 Excel,Outlook,Windows 图形组件和 Windows TCP/IP 堆栈。最严重的漏洞为 CVE-2020-16898 的 RCE 问题。驻留在 Windows TCP/IP 堆栈中。攻击者可以通过网络连接将恶意的 ICMPv6 路由器广告数据包发送到未打补丁的系统,从而利用此漏洞来接管 Windows 系统。漏洞成因为 Windows TCP/IP 堆栈不能够正确地处理特制的 ICMPv6 路由器广告数据包。该漏洞的评分为 9.8 (满分为 10 分),它影响 Windows 10 和 Windows Server 2019。Microsoft 还提供了一些解决方法,例如禁用 ICMPv6 RDNSS 支持。另一个严重的 RCE 漏洞为 CVE-2020-16947,此漏洞会影响 MS Outlook,攻击者可以通过诱骗用户使用易受攻击的 Outlook 版本打开特制文件,从而来利用此漏洞。漏洞原因为 Microsoft Outlook 软件无法正确处理内存中的对象,成功利用此漏洞的攻击者可以在系统用户的上下文中运行任意代码。如果当前用户使用的是管理用户权限登录,则攻击者可以控制受影响的系统。然后,攻击者可以安装程序。查看,更改或删除数据;或创建具有完全用户权限的新帐户。
关键词:CVE-2020-16898、CVE-2020-16947
发布时间:2020-10-13
发布平台:Security Affairs
原文链接:
https://securityaffairs.co/wordpress/109457/security/microsoft-october-2020-patch-tuesday.html
FIN11 是一个出于经济动机的黑客组织,至少是从 2016 年开始活跃,现已从专门进行恶意邮件活动过渡到以勒索软件作为主要盈利方式进行活动。该组织有着大量的业务运营,最近主要针对几乎每个行业的北美和欧洲公司,以窃取数据并部署 Clop 勒索软件。该组织早期的恶意活动主要针对金融,零售和饭店业。在过去的几年中,就受害者的类型和地理位置而言,FIN11 的攻击没有目的性 (见到就攻击)。从 8 月开始,袭击了国防,能源,金融,医疗保健/制药,法律,电信,技术和运输领域的机构。FireEye 的 Mandiant 的安全研究人员告诉 BleepingComputer,FIN11 的目标是向受害者发恶意电子邮件,该恶意电子邮件分发了 FRIENDSPEAK 的恶意软件下载器。他们使用各种诱饵,例如汇款文件,发票交付或带有恶意 HTML 附件的有关公司奖金的机密信息,以从可能受到破坏的网站中加载内容 (iframe 或嵌入标签),这些内容通常带有过时的内容。Mandiant Threat Intelligence 分析高级经理 Kimberly Goody 告诉我们,受害者必须先完成 CAPTCHA 挑战,然后才能向其提供带有恶意宏代码的 Excel 电子表格。一旦执行,代码就会通过 FRIENDSPEAK 下载 MIXLABEL。 在许多情况下,后者被配置为与模拟 Microsoft Store (us-microsoft-store[.]com) 的命令和控制域进行联系。
关键词:FIN11、Clop、FRIENDSPEAK
发布时间:2020-10-14
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/fin11-hackers-jump-into-the-ransomware-money-making-scheme/
- End -
