12月4日,「目极千里 洞见安全」安全技术沙龙第四期将“火”热「开播」,本次线上沙龙的议题将由火线安全平台和深信服千里目共同打造,四位技术达人将围绕第三方SDK组件权限泄露风险、浏览器垃圾回收研究、opsec对抗技术和主机SMB协议安全等问题进行深入分享,干货满满,不容错过~

a4vjx-w3wtz.png

扫描下方二维码

报名参与直播吧

a69ep-tsvx4.png

12月4日,「目极千里 洞见安全」安全技术沙龙第四期将“火”热「开播」,本次线上沙龙的议题将由火线安全平台和深信服千里目共同打造,四位技术达人将围绕第三方SDK组件权限泄露风险、浏览器垃圾回收研究、opsec对抗技术和主机SMB协议安全等问题进行深入分享,干货满满,不容错过~

a4vjx-w3wtz.png

扫描下方二维码

报名参与直播吧

a69ep-tsvx4.png

2021年,受全球疫情及经济发展等诸多因素影响,网络黑产和APT攻击大行其道,且技术界限正日渐模糊。深信服蓝军高级威胁研究团队日前发布《深信服APT攻防趋势半年洞察》,数据显示,当前0day漏洞数量激增,直指历史峰值,且APT攻击技巧持续创新,对防御和溯源带来前所未有的挑战。同时,经济、科技、民生发展需求之下的供应链安全隐患也变得愈发迫在眉睫。

哪些活跃APT组织的近期活动已被披露?近期APT组织的攻击技巧有什么共同点?针对APT的防御措施该如何对症下药?接下来带你快速了解……

0Day漏洞数量激增,直指历史峰值

0Day漏洞一直是APT攻击的常用武器。2021上半年APT组织利用的0Day漏洞激增,高达近40个,直指历史峰值,涉及浏览器、Win/Linux/iOS操作系统、网络设备、文档阅读器、邮件服务器、应用程序漏洞等,而浏览器和操作系统漏洞占比较大。这些漏洞主要被APT攻击者应用在初始打点和提权阶段,0Day挖掘有向逻辑漏洞倾斜的趋势。

2.png

3.png

4.png

5.png

攻击技巧持续更新,防御及溯源面临挑战更艰巨

APT组织受到攻击研究社区的影响明显,近年来无论是 BYOB(Bring Your Own Binary)还是LotL(Living off theLand),攻击技巧越发丰富,结合各类通信反溯源,以及OpSec技术发展,对APT攻击防御以及溯源的挑战也在不断增加。

BYOB: Bring Your Own Binary,就是把后门、工具、武器编译成exe文件,上传到目标主机上并运行。这也是最直接的执行方式。缺点是需要不断对抗杀软的动静态检测技术,本节中主要介绍了反射DLL注入和Shellcode内存加载。

LotL: Living off the Land,可以理解为就地取材,利用Windows系统和应用程序来加载执行恶意代码,典型的案例就是利用Powershell和WMI的攻击。这种方式利用白名单程序来加载,会有一定规避检查的优点,缺点是常会产生较为明显的父子进程关系和进程参数。本节主要介绍的有LoLBins和DefeatDefender。

通信反溯源:通过一系列技巧降低通信的攻击可溯源特征,或监控防御方溯源意图的技巧。

OpSec: Operations Security,行动安全,有关隐藏自己攻击意图或掩盖自身攻击行动可追溯特征的一系列技巧,本节介绍了进程检测和驱动检测的红队技巧,并结合Solarwinds的案例,介绍了包括合法签名、严格的环境检查、复杂逻辑下的代码隐蔽以及字符串隐蔽等技巧。

国际局势日趋复杂,供应链安全隐患迫在眉睫

从2020~2021年已经披露的APT攻击事件来看,掺杂政 治目的的网络监控(Candiru、NSO-Group 的监控软件业务)、情报目的的大规模渗透(SolarWinds供应链攻击事件)、金钱目的的定向勒索(DarkSide)以及“罗宾汉”式的劫富济贫,安全攻防场景故事目不暇接,而经济、科技、民生发展需求之下的供应链安全隐患也变得愈发迫在眉睫。

Lazarus组织针对全球安全人员攻击事件:

漏洞研究者是大家心目中的安全专家,而当安全专家的心理弱点被不讲武德的黑客利用,专家电脑上高价值的智力资产就会处于危险的境地。更危险的是,这些本用于研究目的的信息如果存在可被武器化的内容,就导致研究人员无意中成为黑客“帮凶”。

37.png

REvil组织利用Kaseya 0day发起大规模供应链攻击Kaseya VSA 是一种流行的远程网络管理软件,被许多托管安全提供商或 MSP(为其他公司提供 IT 服务的公司)使用。网络管理软件是隐藏后门的理想场所,因为这些系统通常具有广泛的访问权限并执行大量任务,因此难以监控。

REvil勒索组织在2021年7月2日宣布其对MSP供应商发起了攻击,感染了上百万个系统。Kaseya随后发表声明其产品存在0day漏洞,被REvil组织用于本次的攻击活动。欧洲和亚太地区的多个组织在进行补救时被迫完全关闭其业务。Kaseya 大约 60 名直接客户似乎受到了影响,导致下游大约 800 到 1,500 家企业受到影响。

新旧活跃组织持续渗透,攻击流程全解密

从全球APT活跃组织看,东亚的Lazarus、毒云腾等,东南亚的海莲花,南亚的Bitter、 摩诃草、Confucius、 Side-Winder以及Donot 等,东欧的Gamaredon、 APT28、APT29、SandWorm等组织持续活跃。NSA下属的TAO也在招兵买马。国家背景的攻击者在雷达下的网络情报行动恰恰反映了地缘政治、经济交互的复杂性。

海莲花后渗透维持载荷整体执行流程

52.png

BITTER整体攻击流程

55.png

针对APT攻击初始落脚点,防御措施对症下药

基于已经发生的APT事件,深信服安全蓝军发现攻击者获得初始落脚点的关键环节分别是:内部员工失陷、管理疏失的数字资产、非预期篡改的依赖组件。如何提升对抗APT攻击的能力,逐步成为决定组织安全投资价值的重要方向。

66.png

67.png

68.png

在IT建设时,考虑应对APT攻击的组织需开展的安全建设应包括:人员意识安全、资产管理和保护、网域管理与安全设施部署、建立研发供应链安全机制、建立企业级安全运营和事件响应中心等。

69.png

除上述措施之外,随着APT攻击不断演进,对于安全威胁检测防御的思路也应该发生转变,需要从过去单一设备、单一方法、仅关注防御,转变为“预防-防御-检测-响应”为一体的自适应防护体系。

基于大数据技术和智能分析的威胁检测体系产品应运而生,其具备智能分析技术,利用机器学习、关联分析、UEBA等新技术,能够检测APT攻击、网络内部的潜伏威胁等高级威胁,无需更新检测规则亦能发现最新威胁,从而帮助用户展开更全面有效的安全建设,代表产品有:深信服全流量威胁分析与响应系统NDR,创新研发分层多流检测技术,采用基于多条会话,进行动态的双向检测,精准定位异常流量,实现高检出低误报。

想了解最新详细的APT趋势,看这一份报告就够了!

2021年,受全球疫情及经济发展等诸多因素影响,网络黑产和APT攻击大行其道,且技术界限正日渐模糊。深信服蓝军高级威胁研究团队日前发布《深信服APT攻防趋势半年洞察》,数据显示,当前0day漏洞数量激增,直指历史峰值,且APT攻击技巧持续创新,对防御和溯源带来前所未有的挑战。同时,经济、科技、民生发展需求之下的供应链安全隐患也变得愈发迫在眉睫。

哪些活跃APT组织的近期活动已被披露?近期APT组织的攻击技巧有什么共同点?针对APT的防御措施该如何对症下药?接下来带你快速了解……

0Day漏洞数量激增,直指历史峰值

0Day漏洞一直是APT攻击的常用武器。2021上半年APT组织利用的0Day漏洞激增,高达近40个,直指历史峰值,涉及浏览器、Win/Linux/iOS操作系统、网络设备、文档阅读器、邮件服务器、应用程序漏洞等,而浏览器和操作系统漏洞占比较大。这些漏洞主要被APT攻击者应用在初始打点和提权阶段,0Day挖掘有向逻辑漏洞倾斜的趋势。

2.png

3.png

4.png

5.png

攻击技巧持续更新,防御及溯源面临挑战更艰巨

APT组织受到攻击研究社区的影响明显,近年来无论是 BYOB(Bring Your Own Binary)还是LotL(Living off theLand),攻击技巧越发丰富,结合各类通信反溯源,以及OpSec技术发展,对APT攻击防御以及溯源的挑战也在不断增加。

BYOB: Bring Your Own Binary,就是把后门、工具、武器编译成exe文件,上传到目标主机上并运行。这也是最直接的执行方式。缺点是需要不断对抗杀软的动静态检测技术,本节中主要介绍了反射DLL注入和Shellcode内存加载。

LotL: Living off the Land,可以理解为就地取材,利用Windows系统和应用程序来加载执行恶意代码,典型的案例就是利用Powershell和WMI的攻击。这种方式利用白名单程序来加载,会有一定规避检查的优点,缺点是常会产生较为明显的父子进程关系和进程参数。本节主要介绍的有LoLBins和DefeatDefender。

通信反溯源:通过一系列技巧降低通信的攻击可溯源特征,或监控防御方溯源意图的技巧。

OpSec: Operations Security,行动安全,有关隐藏自己攻击意图或掩盖自身攻击行动可追溯特征的一系列技巧,本节介绍了进程检测和驱动检测的红队技巧,并结合Solarwinds的案例,介绍了包括合法签名、严格的环境检查、复杂逻辑下的代码隐蔽以及字符串隐蔽等技巧。

国际局势日趋复杂,供应链安全隐患迫在眉睫

从2020~2021年已经披露的APT攻击事件来看,掺杂政 治目的的网络监控(Candiru、NSO-Group 的监控软件业务)、情报目的的大规模渗透(SolarWinds供应链攻击事件)、金钱目的的定向勒索(DarkSide)以及“罗宾汉”式的劫富济贫,安全攻防场景故事目不暇接,而经济、科技、民生发展需求之下的供应链安全隐患也变得愈发迫在眉睫。

Lazarus组织针对全球安全人员攻击事件:

漏洞研究者是大家心目中的安全专家,而当安全专家的心理弱点被不讲武德的黑客利用,专家电脑上高价值的智力资产就会处于危险的境地。更危险的是,这些本用于研究目的的信息如果存在可被武器化的内容,就导致研究人员无意中成为黑客“帮凶”。

37.png

REvil组织利用Kaseya 0day发起大规模供应链攻击Kaseya VSA 是一种流行的远程网络管理软件,被许多托管安全提供商或 MSP(为其他公司提供 IT 服务的公司)使用。网络管理软件是隐藏后门的理想场所,因为这些系统通常具有广泛的访问权限并执行大量任务,因此难以监控。

REvil勒索组织在2021年7月2日宣布其对MSP供应商发起了攻击,感染了上百万个系统。Kaseya随后发表声明其产品存在0day漏洞,被REvil组织用于本次的攻击活动。欧洲和亚太地区的多个组织在进行补救时被迫完全关闭其业务。Kaseya 大约 60 名直接客户似乎受到了影响,导致下游大约 800 到 1,500 家企业受到影响。

新旧活跃组织持续渗透,攻击流程全解密

从全球APT活跃组织看,东亚的Lazarus、毒云腾等,东南亚的海莲花,南亚的Bitter、 摩诃草、Confucius、 Side-Winder以及Donot 等,东欧的Gamaredon、 APT28、APT29、SandWorm等组织持续活跃。NSA下属的TAO也在招兵买马。国家背景的攻击者在雷达下的网络情报行动恰恰反映了地缘政治、经济交互的复杂性。

海莲花后渗透维持载荷整体执行流程

52.png

BITTER整体攻击流程

55.png

针对APT攻击初始落脚点,防御措施对症下药

基于已经发生的APT事件,深信服安全蓝军发现攻击者获得初始落脚点的关键环节分别是:内部员工失陷、管理疏失的数字资产、非预期篡改的依赖组件。如何提升对抗APT攻击的能力,逐步成为决定组织安全投资价值的重要方向。

66.png

67.png

68.png

在IT建设时,考虑应对APT攻击的组织需开展的安全建设应包括:人员意识安全、资产管理和保护、网域管理与安全设施部署、建立研发供应链安全机制、建立企业级安全运营和事件响应中心等。

69.png

除上述措施之外,随着APT攻击不断演进,对于安全威胁检测防御的思路也应该发生转变,需要从过去单一设备、单一方法、仅关注防御,转变为“预防-防御-检测-响应”为一体的自适应防护体系。

基于大数据技术和智能分析的威胁检测体系产品应运而生,其具备智能分析技术,利用机器学习、关联分析、UEBA等新技术,能够检测APT攻击、网络内部的潜伏威胁等高级威胁,无需更新检测规则亦能发现最新威胁,从而帮助用户展开更全面有效的安全建设,代表产品有:深信服全流量威胁分析与响应系统NDR,创新研发分层多流检测技术,采用基于多条会话,进行动态的双向检测,精准定位异常流量,实现高检出低误报。

想了解最新详细的APT趋势,看这一份报告就够了!

背景概述

AvosLocker勒索病毒在2021年6月底被发现,全球各地都有企业遭受攻击,赎金要求从5万美元到7.5万美元不等,其中美国韩裔社区银行服务提供商之一太平洋银行和中国台湾计算机硬件生产商技嘉科技都在9月和10月遭受过AvosLocker勒索团伙的攻击。

深信服安服应急响应中心近期捕获了AvosLocker勒索病毒的新样本,根据其后缀名为avos2的特征,推测有可能为AvosLocker变种。

根据分析,勒索软件执行流程如下图:

图片1.png

生成的勒索信息,值得注意的是,该样本无论在任何机器上运行,生成的ID均相同,推测该样本为定向攻击;

图片2.png

如下图为固定的ID及RSA公钥:

图片3.png

修改的勒索桌面:

图片4.png

目前深信服EDR支持对该病毒进行检测:

图片5.png

样本分析

1、基本信息

图片6.png

编译时间 2021-09-17 12:01:34

2、功能

该勒索程序可以使用-h来输出使用参数,此外也注意到该勒索程序原名可能为Sonic。

如下图所示,功能包含对指定路径进行加密、爆破SMB加密共享磁盘、隐藏输出、调整加密线程等:

图片7.png

3、执行流程

3.1前期准备

勒索病毒启动后创建互斥量Zheic0WaWie6zeiy,防止重复加密。该功能可通过参数进行控制,默认开启此功能: 

图片8.png

图片9.png

创建IO队列端口,该队列用来在多线程中共享加密文件路径:

图片10.png

根据参数创建线程,默认200,并设置线程优先级为最高:

图片11.png

枚举网络共享及本地磁盘:

图片12.png

3.2查找文件

解密出文件后缀名,排除带有以下后缀名的文件:

avos、avoslinux、avos2、avos2j、themepack、nls、diagpkg、msi、lnk、exe、cab、scr、bat、drv、rtp、msp、prf、msc、ico、key ocx 、diagcab、diagcfg、pdb、wpx、hlp、icns、rom、dll、msstyles、 mod、ps1、ics、hta、bin、cmd、ani、386、lock、cur、idx、sys、com、deskthemepack、shs、ldf、theme、mpa、nomedia spl、cpl、adv、icl、msu

图片13.png

解密出其他文件夹名称,勒索程序不会加密以下文件夹中的内容:

图片14.png

向每一个可加密的目录写入勒索信息:

图片15.png完成文件名判断后,将绝对路径发送给共享队列:

图片16.png

使用RmStartSession、RmRegisterResources、RmGetList中断文件占用:

图片17.png

3.3加密过程

从Queue中获取文件路径:

图片18.png

跳过属性为FILE_ATTRIBUTE_SYSTEM的文件(系统文件):

图片19.png

如果文件FILE_ATTRIBUTE_READONLY(只读),则修改文件属性为NORMAL:

图片20.png

使用内置的RSA公钥进行加密:

图片21.png

使用chacha20对文件末尾添加的加密信息进行加密:

图片22.png

在加密完成后的文件末尾附加加密相关信息:

图片23.png

加密完成后给文件附加上“avo2”后缀并修改桌面背景:

图片24.png

安全防护

1.日常生活工作中的重要的数据文件资料设置相应的访问权限,关闭不必要的文件共享功能并且定期进行非本地备份;

2.使用高强度的主机密码,并避免多台设备使用相同密码,不要对外网直接映射3389等端口,防止暴力破解;

3.避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;

4.定期检测系统漏洞并且及时进行补丁修复。

背景概述

AvosLocker勒索病毒在2021年6月底被发现,全球各地都有企业遭受攻击,赎金要求从5万美元到7.5万美元不等,其中美国韩裔社区银行服务提供商之一太平洋银行和中国台湾计算机硬件生产商技嘉科技都在9月和10月遭受过AvosLocker勒索团伙的攻击。

深信服安服应急响应中心近期捕获了AvosLocker勒索病毒的新样本,根据其后缀名为avos2的特征,推测有可能为AvosLocker变种。

根据分析,勒索软件执行流程如下图:

图片1.png

生成的勒索信息,值得注意的是,该样本无论在任何机器上运行,生成的ID均相同,推测该样本为定向攻击;

图片2.png

如下图为固定的ID及RSA公钥:

图片3.png

修改的勒索桌面:

图片4.png

目前深信服EDR支持对该病毒进行检测:

图片5.png

样本分析

1、基本信息

图片6.png

编译时间 2021-09-17 12:01:34

2、功能

该勒索程序可以使用-h来输出使用参数,此外也注意到该勒索程序原名可能为Sonic。

如下图所示,功能包含对指定路径进行加密、爆破SMB加密共享磁盘、隐藏输出、调整加密线程等:

图片7.png

3、执行流程

3.1前期准备

勒索病毒启动后创建互斥量Zheic0WaWie6zeiy,防止重复加密。该功能可通过参数进行控制,默认开启此功能: 

图片8.png

图片9.png

创建IO队列端口,该队列用来在多线程中共享加密文件路径:

图片10.png

根据参数创建线程,默认200,并设置线程优先级为最高:

图片11.png

枚举网络共享及本地磁盘:

图片12.png

3.2查找文件

解密出文件后缀名,排除带有以下后缀名的文件:

avos、avoslinux、avos2、avos2j、themepack、nls、diagpkg、msi、lnk、exe、cab、scr、bat、drv、rtp、msp、prf、msc、ico、key ocx 、diagcab、diagcfg、pdb、wpx、hlp、icns、rom、dll、msstyles、 mod、ps1、ics、hta、bin、cmd、ani、386、lock、cur、idx、sys、com、deskthemepack、shs、ldf、theme、mpa、nomedia spl、cpl、adv、icl、msu

图片13.png

解密出其他文件夹名称,勒索程序不会加密以下文件夹中的内容:

图片14.png

向每一个可加密的目录写入勒索信息:

图片15.png完成文件名判断后,将绝对路径发送给共享队列:

图片16.png

使用RmStartSession、RmRegisterResources、RmGetList中断文件占用:

图片17.png

3.3加密过程

从Queue中获取文件路径:

图片18.png

跳过属性为FILE_ATTRIBUTE_SYSTEM的文件(系统文件):

图片19.png

如果文件FILE_ATTRIBUTE_READONLY(只读),则修改文件属性为NORMAL:

图片20.png

使用内置的RSA公钥进行加密:

图片21.png

使用chacha20对文件末尾添加的加密信息进行加密:

图片22.png

在加密完成后的文件末尾附加加密相关信息:

图片23.png

加密完成后给文件附加上“avo2”后缀并修改桌面背景:

图片24.png

安全防护

1.日常生活工作中的重要的数据文件资料设置相应的访问权限,关闭不必要的文件共享功能并且定期进行非本地备份;

2.使用高强度的主机密码,并避免多台设备使用相同密码,不要对外网直接映射3389等端口,防止暴力破解;

3.避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;

4.定期检测系统漏洞并且及时进行补丁修复。

一、漏洞概要

2021年11月10日(北京时间),微软发布了安全更新,共发布了55个CVE的补丁程序,同比上月减少了27个,涵盖了针对Windows的55个补丁。

在漏洞安全等级方面,有6个漏洞被微软官方标记为“Critical”,49个漏洞被标记为“Important”; 在漏洞类型方面,主要有15个远程代码执行漏洞,20个权限提升漏洞以及10个信息泄露漏洞。

二、漏洞数据分析

2.1 2021年漏洞数量趋势

截至2021年11月,微软在各月修复的漏洞数量以及各月严重漏洞数量如下所示:

1.png 

l 总体上来看,微软本月发布的补丁数量减少到了55个,相较于上月减少了17个漏洞。

l 千里目安全实验室在综合考虑往年微软公布漏洞数量的数据统计和今年的特殊情况,初步估计微软在今年12月份公布的漏洞数将有大幅度提升。漏洞数量也会维持在100个左右。

2.2 历史微软补丁日11月漏洞对比

2018-2021年,11月份的漏洞数趋势如下图:

2.png 

2018-2021年,11月份的漏洞危险等级趋势和数量如下图:

3.png 

2018-2021年,11月份的漏洞各个类型数量对比如下图:

4.png 

5.png 

l 从漏洞数量来看,今年出现了大幅度的降低。微软在2021年11月份爆发的漏洞相较于去年有大幅度的下降,一方面是由于在软件及系统缓解措施的增加,致使一些组件相较于往年更难利用,另一方面是因为一些常用组件的常见低级漏洞更难进行挖掘,漏洞挖掘的门槛逐渐提升,对相关从业人员的技术要求有较高要求。

l 从漏洞的危险等级来看,“Important”等级漏洞数量大幅下降,“Critical”等级漏洞数量大幅下降。从漏洞趋势上看,针对Windows系统本身的严重型和高危型漏洞数量大幅降低,针对Windows产品侧的漏洞数量占据大多数。这种趋势,标志着微软系统本身正向着更加安全走去,也符合MSRC成立的期望。

l 从漏洞类型来看,RCE 类型的漏洞有大幅降低,EOP 类型的漏洞有大幅度的下降。权限提升漏洞(EoP)数量虽然降低,但仍需要引起高度重视,尤其是在配合社工手段的前提下,甚至可以直接接管整个局域网并进行进一步扩展攻击。远程代码执行漏洞(RCE)有大幅度数量的减少,但其危害性仍然很大。远程代码执行漏洞有利于攻击者更容易的获取受害者机器的执行权限,对于普通用户以及企业来说,远程代码执行类型的漏洞是危害比较大的。

三、重要漏洞分析

3.1 漏洞分析

Microsoft Defender:CVE-2021-42298。Microsoft Defender是Windows默认安装的杀毒软件,Microsoft Defender的杀毒引擎存在远程代码执行漏洞及拒绝服务漏洞,当执行流执行进入漏洞的逻辑中时由于缺少必要的验证,导致内存空间被覆盖,使程序的内存空间被修改。攻击者可以利用漏洞进行拒绝服务攻击甚至远程代码执行。该漏洞经过评估,危害比较大,我们建议用户及时更新微软安全补丁。

Windows Remote Desktop Client: CVE-2021-38666。Windows Remote Desktop Client 使用户可以使用并控制一台远程的PC,对远程PC进行一切可以对物理PC进行的操作,如:使用安装在远程PC上的APP;访问在远程PC上的文件和网络资源;在关闭Client的时候保持APP打开。Client中存在远程代码执行漏洞,当执行流执行进入漏洞的逻辑中时由于缺少必要的验证,导致内存空间被覆盖,使程序的内存空间被修改。攻击者可以利用漏洞进行拒绝服务攻击甚至远程代码执行。该漏洞经过评估,危害比较大,我们建议用户及时更新微软安全补丁。

Microsoft Excel:CVE-2021-42292。 Microsoft Excel是微软公司开发的一款电子表格软件。Microsoft Excel存在安全功能绕过漏洞,攻击者可以通过构造恶意文档并诱使用户打开,从而利用该漏洞绕过Excel的安全功能,在用户机器上执行恶意代码。

3.2 影响范围

CVE编号

受影响版本

CVE-2021-42298 

Microsoft Malware Protection Engine version < 1.1.18700.3

CVE-2021-38666

Windows Server, version 2004/20H2(Server Core Installation)

Windows 10 Version 1607/1809/1909/2004/20H2/21H1

Windows 7 for 32/64-bit Systems Service Pack 1

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows Server 2008/2012/2016/2019/2022

Windows RT 8.1

CVE-2021-42292

Microsoft 365 Apps for Enterprise for 32/64-bit Systems

Microsoft Excel 2013 Service Pack 1 (32/64-bit editions)

Microsoft Office 2013 Service Pack 1 (32/64-bit editions)

Microsoft Office LTSC 2021 for 32/64-bit editions

Microsoft Office 2019 for 32/64-bit editions

Microsoft Excel 2016 (32/64-bit edition)

Microsoft Office LTSC for Mac 2021

Microsoft Office 2019 for Mac


3.3 修复建议

微软官方已更新受影响软件的安全补丁,用户可根据不同系统版本下载安装对应的安全补丁,安全更新链接如下:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2021-42298

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2021-38666

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2021-42292

四、参考链接

1. https://msrc.microsoft.com/update-guide/releaseNote/2021-Nov

2. https://www.zerodayinitiative.com/blog/2021/11/9/the-november-2021-security-update-review

五、时间轴

2021/11/10         微软例行补丁日,微软官网发布漏洞安全公告。

2021/11/10         深信服千里目安全实验室发布安全更新通告。

一、漏洞概要

2021年11月10日(北京时间),微软发布了安全更新,共发布了55个CVE的补丁程序,同比上月减少了27个,涵盖了针对Windows的55个补丁。

在漏洞安全等级方面,有6个漏洞被微软官方标记为“Critical”,49个漏洞被标记为“Important”; 在漏洞类型方面,主要有15个远程代码执行漏洞,20个权限提升漏洞以及10个信息泄露漏洞。

二、漏洞数据分析

2.1 2021年漏洞数量趋势

截至2021年11月,微软在各月修复的漏洞数量以及各月严重漏洞数量如下所示:

1.png 

l 总体上来看,微软本月发布的补丁数量减少到了55个,相较于上月减少了17个漏洞。

l 千里目安全实验室在综合考虑往年微软公布漏洞数量的数据统计和今年的特殊情况,初步估计微软在今年12月份公布的漏洞数将有大幅度提升。漏洞数量也会维持在100个左右。

2.2 历史微软补丁日11月漏洞对比

2018-2021年,11月份的漏洞数趋势如下图:

2.png 

2018-2021年,11月份的漏洞危险等级趋势和数量如下图:

3.png 

2018-2021年,11月份的漏洞各个类型数量对比如下图:

4.png 

5.png 

l 从漏洞数量来看,今年出现了大幅度的降低。微软在2021年11月份爆发的漏洞相较于去年有大幅度的下降,一方面是由于在软件及系统缓解措施的增加,致使一些组件相较于往年更难利用,另一方面是因为一些常用组件的常见低级漏洞更难进行挖掘,漏洞挖掘的门槛逐渐提升,对相关从业人员的技术要求有较高要求。

l 从漏洞的危险等级来看,“Important”等级漏洞数量大幅下降,“Critical”等级漏洞数量大幅下降。从漏洞趋势上看,针对Windows系统本身的严重型和高危型漏洞数量大幅降低,针对Windows产品侧的漏洞数量占据大多数。这种趋势,标志着微软系统本身正向着更加安全走去,也符合MSRC成立的期望。

l 从漏洞类型来看,RCE 类型的漏洞有大幅降低,EOP 类型的漏洞有大幅度的下降。权限提升漏洞(EoP)数量虽然降低,但仍需要引起高度重视,尤其是在配合社工手段的前提下,甚至可以直接接管整个局域网并进行进一步扩展攻击。远程代码执行漏洞(RCE)有大幅度数量的减少,但其危害性仍然很大。远程代码执行漏洞有利于攻击者更容易的获取受害者机器的执行权限,对于普通用户以及企业来说,远程代码执行类型的漏洞是危害比较大的。

三、重要漏洞分析

3.1 漏洞分析

Microsoft Defender:CVE-2021-42298。Microsoft Defender是Windows默认安装的杀毒软件,Microsoft Defender的杀毒引擎存在远程代码执行漏洞及拒绝服务漏洞,当执行流执行进入漏洞的逻辑中时由于缺少必要的验证,导致内存空间被覆盖,使程序的内存空间被修改。攻击者可以利用漏洞进行拒绝服务攻击甚至远程代码执行。该漏洞经过评估,危害比较大,我们建议用户及时更新微软安全补丁。

Windows Remote Desktop Client: CVE-2021-38666。Windows Remote Desktop Client 使用户可以使用并控制一台远程的PC,对远程PC进行一切可以对物理PC进行的操作,如:使用安装在远程PC上的APP;访问在远程PC上的文件和网络资源;在关闭Client的时候保持APP打开。Client中存在远程代码执行漏洞,当执行流执行进入漏洞的逻辑中时由于缺少必要的验证,导致内存空间被覆盖,使程序的内存空间被修改。攻击者可以利用漏洞进行拒绝服务攻击甚至远程代码执行。该漏洞经过评估,危害比较大,我们建议用户及时更新微软安全补丁。

Microsoft Excel:CVE-2021-42292。 Microsoft Excel是微软公司开发的一款电子表格软件。Microsoft Excel存在安全功能绕过漏洞,攻击者可以通过构造恶意文档并诱使用户打开,从而利用该漏洞绕过Excel的安全功能,在用户机器上执行恶意代码。

3.2 影响范围

CVE编号

受影响版本

CVE-2021-42298 

Microsoft Malware Protection Engine version < 1.1.18700.3

CVE-2021-38666

Windows Server, version 2004/20H2(Server Core Installation)

Windows 10 Version 1607/1809/1909/2004/20H2/21H1

Windows 7 for 32/64-bit Systems Service Pack 1

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows Server 2008/2012/2016/2019/2022

Windows RT 8.1

CVE-2021-42292

Microsoft 365 Apps for Enterprise for 32/64-bit Systems

Microsoft Excel 2013 Service Pack 1 (32/64-bit editions)

Microsoft Office 2013 Service Pack 1 (32/64-bit editions)

Microsoft Office LTSC 2021 for 32/64-bit editions

Microsoft Office 2019 for 32/64-bit editions

Microsoft Excel 2016 (32/64-bit edition)

Microsoft Office LTSC for Mac 2021

Microsoft Office 2019 for Mac


3.3 修复建议

微软官方已更新受影响软件的安全补丁,用户可根据不同系统版本下载安装对应的安全补丁,安全更新链接如下:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2021-42298

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2021-38666

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2021-42292

四、参考链接

1. https://msrc.microsoft.com/update-guide/releaseNote/2021-Nov

2. https://www.zerodayinitiative.com/blog/2021/11/9/the-november-2021-security-update-review

五、时间轴

2021/11/10         微软例行补丁日,微软官网发布漏洞安全公告。

2021/11/10         深信服千里目安全实验室发布安全更新通告。

背景概述

近日,深信服安服应急响应中心联合终端安全团队捕获到了一例CLOP勒索病毒新变种。CLOP勒索病毒最早出现于2019年初,其主要活动区域在韩国,但国内也有企业遭到该勒索病毒的攻击。

点击查看2019年Clop样本分析:《冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业

Clop勒索病毒具有很强的反检测机制,本次捕获的变种样本为了绕过沙箱,病毒只以服务的方式运行进行全盘加密,另外比较特别的是该变种并不会修改加密文件的后缀,而是创建一个同名文件加上”.C_L_O_P”后缀用于保存密钥。

微信截图_20211028204106.png

除此之外,Clop勒索的勒索信内容也做了改变,从对受害者定制的勒索信息中可以看到,攻击者除了对文件进行加密勒索,同时还会窃取敏感数据,以威胁受害者支付赎金。

加密现象如下:

图片1.png

攻击过程

1.通过RDP爆破的方式登录运维人员PC;

2.对运维人员PC植入TinyMet后门进行维权及数据窃取;

3.获取域控密码后,通过域控对内网主机远程拷贝勒索病毒文件并创建对应服务,实现勒索攻击。

图片2.png

样本分析

为了避免被杀软查杀,病毒使用Delphi外壳程序进行了封装:

图片3.png

病毒运行后,其会读取资源ff1并将其解密:

图片4.png

ff1资源内容如下所示:

图片5.png

解密出的内容为系统API结构体+勒索病毒payload+装载payload的shellcode:

图片6.png

解密完成后返回到装载payload的shellcode:

图片7.png

装载勒索病毒payload:

图片8.png

执行payload进行勒索行为:

图片9.png

加密流程

该病毒不仅会加密本地磁盘文件,还会加密网络资源。遍历磁盘,排除掉系统重要文件,并且比较后缀名和文件大小,只有符合条件的文件才会进行加密。

针对每个待加密的文件,病毒随机生成117字节的密钥,使用RSA对该密钥进行加密并存放在.C_L_O_P后缀名的文件中,使用RC4算法对文件内容进行加密,并且仅对文件偏移0x4000之后的内容进行加密。

病毒根据不同的启动参数运行不同的函数进行加密,且病毒需要注册成服务形式才会执行全盘加密:

图片10.png

枚举网络资源,循环对网络资源进行加密

图片11.png

遍历本地磁盘,对本地磁盘文件进行加密

图片12.png

初始化RSA公钥,后边会使用RSA加密随机生成的RC4密钥

图片13.png

判断磁盘,如果是C盘,病毒会额外的加多一个判断函数,获取文件的校验值,判断文件是否属于系统重要文件

图片14.png

判断并跳过以下文件后缀名不进行加密:

.ocx、.dll、.exe、.sys、.lnk、.ico、.ini、.msi、.chm、.hlf、.lng、.ttf、.cmd、.bat、

图片15.png

获取文件名的校验值,重要的文件不参与加密

图片16.png

打开文件,如果打开文件失败重启管理器再次尝试打开文件,避免无法加密文件

图片17.png

比较文件大小,跳过文件大小小于17kb的文件

图片18.png

获取117字节的随机密钥,如果获取失败,则使用默认的密钥。采用RSA加密随机密钥,并存放至.C_L_O_P文件中

图片19.png

获取文件偏移0x4000以外的内容,并使用RC4算法对内容进行加密

图片20.png

在每个文件夹下写入勒索信息

图片21.png

日常加固

1.日常生活工作中的重要的数据文件资料设置相应的访问权限,关闭不必要的文件共享功能并且定期进行非本地备份;

2.使用高强度的主机密码,并避免多台设备使用相同密码,不要对外网直接映射3389等端口,防止暴力破解;

3.避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;

4.定期检测系统漏洞并且及时进行补丁修复。

背景概述

近日,深信服安服应急响应中心联合终端安全团队捕获到了一例CLOP勒索病毒新变种。CLOP勒索病毒最早出现于2019年初,其主要活动区域在韩国,但国内也有企业遭到该勒索病毒的攻击。

点击查看2019年Clop样本分析:《冒用有效签名:Clop勒索病毒这股”韩流“已入侵国内企业

Clop勒索病毒具有很强的反检测机制,本次捕获的变种样本为了绕过沙箱,病毒只以服务的方式运行进行全盘加密,另外比较特别的是该变种并不会修改加密文件的后缀,而是创建一个同名文件加上”.C_L_O_P”后缀用于保存密钥。

微信截图_20211028204106.png

除此之外,Clop勒索的勒索信内容也做了改变,从对受害者定制的勒索信息中可以看到,攻击者除了对文件进行加密勒索,同时还会窃取敏感数据,以威胁受害者支付赎金。

加密现象如下:

图片1.png

攻击过程

1.通过RDP爆破的方式登录运维人员PC;

2.对运维人员PC植入TinyMet后门进行维权及数据窃取;

3.获取域控密码后,通过域控对内网主机远程拷贝勒索病毒文件并创建对应服务,实现勒索攻击。

图片2.png

样本分析

为了避免被杀软查杀,病毒使用Delphi外壳程序进行了封装:

图片3.png

病毒运行后,其会读取资源ff1并将其解密:

图片4.png

ff1资源内容如下所示:

图片5.png

解密出的内容为系统API结构体+勒索病毒payload+装载payload的shellcode:

图片6.png

解密完成后返回到装载payload的shellcode:

图片7.png

装载勒索病毒payload:

图片8.png

执行payload进行勒索行为:

图片9.png

加密流程

该病毒不仅会加密本地磁盘文件,还会加密网络资源。遍历磁盘,排除掉系统重要文件,并且比较后缀名和文件大小,只有符合条件的文件才会进行加密。

针对每个待加密的文件,病毒随机生成117字节的密钥,使用RSA对该密钥进行加密并存放在.C_L_O_P后缀名的文件中,使用RC4算法对文件内容进行加密,并且仅对文件偏移0x4000之后的内容进行加密。

病毒根据不同的启动参数运行不同的函数进行加密,且病毒需要注册成服务形式才会执行全盘加密:

图片10.png

枚举网络资源,循环对网络资源进行加密

图片11.png

遍历本地磁盘,对本地磁盘文件进行加密

图片12.png

初始化RSA公钥,后边会使用RSA加密随机生成的RC4密钥

图片13.png

判断磁盘,如果是C盘,病毒会额外的加多一个判断函数,获取文件的校验值,判断文件是否属于系统重要文件

图片14.png

判断并跳过以下文件后缀名不进行加密:

.ocx、.dll、.exe、.sys、.lnk、.ico、.ini、.msi、.chm、.hlf、.lng、.ttf、.cmd、.bat、

图片15.png

获取文件名的校验值,重要的文件不参与加密

图片16.png

打开文件,如果打开文件失败重启管理器再次尝试打开文件,避免无法加密文件

图片17.png

比较文件大小,跳过文件大小小于17kb的文件

图片18.png

获取117字节的随机密钥,如果获取失败,则使用默认的密钥。采用RSA加密随机密钥,并存放至.C_L_O_P文件中

图片19.png

获取文件偏移0x4000以外的内容,并使用RC4算法对内容进行加密

图片20.png

在每个文件夹下写入勒索信息

图片21.png

日常加固

1.日常生活工作中的重要的数据文件资料设置相应的访问权限,关闭不必要的文件共享功能并且定期进行非本地备份;

2.使用高强度的主机密码,并避免多台设备使用相同密码,不要对外网直接映射3389等端口,防止暴力破解;

3.避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;

4.定期检测系统漏洞并且及时进行补丁修复。