The Good
微軟在本週與許多夥伴一起作戰,成功的戰勝了過去十年來製造最多的惡意殭屍網路之一。 自 2012 年以來,Necurs 發出針對藥廠,股票拉高出貨,網路交友和其他類似的垃圾郵件作為誘餌 ; 2015 年至 2017 年是他們最活躍的時間。這個殭屍網路還被廣泛利用分發在著名的惡意程式族群,包括 GameOver Zeus,FlawedAmmyy,Locky,Dridex,Scarab,Trickbot 等。 當微軟和合作夥伴發現 Necurs DGA( Domain Generation Algorithm 動態網域產生演算法)的內部功能,轉折點來了,Necurs DGA 是負責生成和註冊 C2(命令和控制) 的網路組件。 根據微軟的 Digital Crime Unit 的說法,他們能夠 “準確地預測在未來 25 個月內將創建超過 600 萬個唯一網域”。 所以,Microsoft 可以阻止這些網域的產生。 此外,3 月 5 日發布的法院命令允許 Microsoft 捕獲現有的網域,從而嚴重破壞了殭屍網絡的當前和未來基礎結構。
這是微軟,ISPs ,許多網域註冊機構及在印度,日本,法國,墨西哥,哥倫比亞的執法機構之間的協調努力。 我們知道這是一場漫長的戰爭,殭屍網路還是有機會反彈(例如:Kelihos),但這是一種英勇而值得稱讚的努力。 為所有參與其中的人歡呼,keep up the goo flight!
The Bad
很遺憾的是,微軟本周也面臨不好的消息。他們在 SMBv3 CVE-2020-0796 中發現了一個嚴重且潛在可感染的漏洞。 基本上呢,這是 RCE(遠程代碼執行)的缺陷,他專處理在 Microsoft Server Block 3.1.1(SMBv3)中的 request。 攻擊者可以利用此漏洞發送特製數據包,並在目標伺服器或客戶端上取得任意代碼並執行。 該漏洞影響 Microsoft Windows 10 版本 1903和 1909(包括Windows Server)及被支援的 x32,x64,ARM64。 根據各種建議(在過去36小時內發布,更新和重新發布),該問題可總結為受影響的 SMB 伺服器中的緩衝區溢出而導致 memory 損壞情況。 Microsoft 已在這ㄦ為無法下載 patch 的用戶提供了更新,並在其更新的通報中提供了解決方法。
The Ugly
我們已經看到了很多明顯的垃圾郵件攻擊和錯誤訊息,所以現在必須比以往任何時候都更加提高警覺,並注意關於 Covid-19 /新冠狀病毒的訊息來源。 令人遺憾的是,本週出現了一種不道德,利用人們恐懼擔心的漏洞工具包: Corona Virus Map Phish Method,該工具包已在多個地下論壇中出售。 這個工具包叫價 200美元,或賣方提供有自己的代碼憑證叫價 700 美元。 它帶有一個 preloader 可 attach 在 email 中。 代碼會加載一個地圖,在設備上顯示感染數據或其他買方用自己選擇的 payload 來呈現地圖。 Payload 可以直接嵌入或通過嵌入的 URL 呈現,整個程序包可以通過電子郵件發送,而不會觸發並被 email 提供商阻止。
HC3(Health Cybersecurity Coordination Center)於 3 月 10 日發出警報告知已有一個偽造地圖的惡意網站並帶有惡意程式。 警報指出,該站點使用一個以網絡為中心 AZORult 木馬程式的攻擊,這惡意站點也已通過電子郵件和社群媒體傳播。
這樣不道德的行為是很可恥的,但不幸的是,報導指出它可以在 “ 所有的 Windows(XP-Win10、32bits和64bits)上運行 ”,並只需要任何 Java 版本就可以運行。 除了躲掉電子郵件提供程序檢測之外,該工具包還可以躲掉 Windows Defender 並避開UAC。 但是!SentinelOne 的客戶可以放心,SentinelOne agent 可以檢測並有效阻止 “ Corona Virus Map Phish”。 請見以下~
0 Comments
Your comment will be posted after it is approved.
Leave a Reply. |
Categories
All
Archives
January 2021
|