研究人员发现新的Windows 0day权限提升漏洞,影响所有Windows 版本。

8月,微软发布了CVE-2021-34484 Windows用户配置服务权限提升漏洞的安全补丁。补丁发布后,安全研究人员Naceri 发现该补丁并没有完全修复该漏洞,可以使用新的漏洞利进行绕过。

在之前的CVE-2021-34484漏洞分析中,用户可以滥用用户配置服务来创建第二个junction(连接)。但ZDI安全公告和微软补丁中,都将该漏洞看做是任意目录删除目录。微软只是修复了该漏洞的表象,但没有解决本质问题。研究人员通过修改之前的PoC漏洞利用仍然可以实现权限提升。

该漏洞利用要求攻击者知道另外一个用户的用户名和密码,但是并不像其他权限提升漏洞那么严重。CERT/CC漏洞分析师Dormann测试了该漏洞,发现该漏洞利用并不是每次都能成功创建提权的命令行。BleepingComputer研究人员测试该漏洞后,成功启动了提权的命令行窗口:

Exploit launching an elevated command prompt with SYSTEM privileges

漏洞利用以system权限启动命令行

目前,关于该漏洞的好消息是漏洞利用需要攻击者知道另一个用户的用户名和密码才能触发该漏洞,所以可能并不会广泛应用于攻击活动中。坏消息是该漏洞影响所有的Windows版本,包括Windows 10、Windows 11和Windows server 2022等最新的Windows版本。

关于该0 day漏洞的技术分析参见:https://github.com/klinix5/ProfSvcLPE/blob/main/write-up.docx

漏洞利用PoC参见:https://github.com/klinix5/ProfSvcLPE/tree/main/DoubleJunctionEoP

一个与俄罗斯有关的勒索软件团伙称在针对这个团体的勒索软件攻击中窃取了美国全国步枪协会(NRA)的数据,并且该团体拒绝对这一情况发表评论。同时Grief勒索软件团伙在其数据泄露网站上将NRA组织内部的数据进行了公布。

Grief与俄罗斯臭名昭著的网络犯罪组织Evil Corp有密切联系,在最近的一次勒索软件攻击案件中出现了。

该组织在其泄密网站上展示了包含美国税务信息和投资金额的Excel电子表格的截图。根据某新闻网站报道,他们还发布了一个2.7MB的档案,文件名为 "National Grants.zip"。据报道,Grief声称,该档案包含了NRA的拨款申请。

NRA不愿发表任何评论

NRA是一个民权组织,该组织的宗旨是为了保护人们在第二修正案中的权利,或携带武器的权利。该组织长期以来一直受到那些支持减少美国枪支暴力的人的政治批判,因为即使在与枪支有关的犯罪和死亡率不断上升的情况下,它的立场仍然是反对严格的枪支管制法律。

NRA决定暂时不对Grief的说法发表任何评论。该组织在其推特账户上发布了一份由NRA常务董事安德鲁-阿鲁兰丹姆(Andrew Arulanandam)撰写的声明,声称在声明中并没有讨论与电子安全有关的事项。

然而,NRA采取了更为特别的措施来保护有关其成员、捐助者的信息,这样做可以防止信息被秘密篡改泄露。

一位安全专家指出,即使这样做该组织也很难免受网络攻击的影响,他建议NRA应该采取更为严格的防御性安全措施来保护其敏感数据。

网络安全专家认为,防止勒索软件攻击比出事故后再应对它要好很多。确保系统的安全配置,修补漏洞,并且尽可能地培训用户发现识别网络钓鱼攻击,这可以在很大程度上使攻击者的攻击更加困难。

改变策略

这段时间以来,勒索软件集团的攻击已经变得越来越猖狂,并成功的攻击了许多高知名度的公司和关键基础设施。安全专家们观察到,即使该组织选择在这个时候不披露任何细节或承认这一事件,Grief对NRA进行勒索软件攻击的可能性也是很大的。

事实上,另一位安全专家猜想,也许正是该组织对此事的处理方式使得Grief在NRA自行修补漏洞之前披露了攻击的事实。如果目标组织在一定时间后拒绝支付赎金,勒索软件集团通常会在其网站上披露数据。

安全研究员指出,随着人们对安全意识的提高和大量的安全备份措施来帮助公司在攻击后恢复数据,攻击者很有可能会转变他们的回应方法。这种方法可能会导致客户的数据泄露,数据的保密性被破坏,甚至会导致公众安全事件。

他补充说,如果目标组织想悄悄地处理这个事件,或者如果泄露的文件包含一些见不得人的信息的话,就很可能会出现这种情况。

一个与俄罗斯有关的勒索软件团伙称在针对这个团体的勒索软件攻击中窃取了美国全国步枪协会(NRA)的数据,并且该团体拒绝对这一情况发表评论。同时Grief勒索软件团伙在其数据泄露网站上将NRA组织内部的数据进行了公布。

Grief与俄罗斯臭名昭著的网络犯罪组织Evil Corp有密切联系,在最近的一次勒索软件攻击案件中出现了。

该组织在其泄密网站上展示了包含美国税务信息和投资金额的Excel电子表格的截图。根据某新闻网站报道,他们还发布了一个2.7MB的档案,文件名为 "National Grants.zip"。据报道,Grief声称,该档案包含了NRA的拨款申请。

NRA不愿发表任何评论

NRA是一个民权组织,该组织的宗旨是为了保护人们在第二修正案中的权利,或携带武器的权利。该组织长期以来一直受到那些支持减少美国枪支暴力的人的政治批判,因为即使在与枪支有关的犯罪和死亡率不断上升的情况下,它的立场仍然是反对严格的枪支管制法律。

NRA决定暂时不对Grief的说法发表任何评论。该组织在其推特账户上发布了一份由NRA常务董事安德鲁-阿鲁兰丹姆(Andrew Arulanandam)撰写的声明,声称在声明中并没有讨论与电子安全有关的事项。

然而,NRA采取了更为特别的措施来保护有关其成员、捐助者的信息,这样做可以防止信息被秘密篡改泄露。

一位安全专家指出,即使这样做该组织也很难免受网络攻击的影响,他建议NRA应该采取更为严格的防御性安全措施来保护其敏感数据。

网络安全专家认为,防止勒索软件攻击比出事故后再应对它要好很多。确保系统的安全配置,修补漏洞,并且尽可能地培训用户发现识别网络钓鱼攻击,这可以在很大程度上使攻击者的攻击更加困难。

改变策略

这段时间以来,勒索软件集团的攻击已经变得越来越猖狂,并成功的攻击了许多高知名度的公司和关键基础设施。安全专家们观察到,即使该组织选择在这个时候不披露任何细节或承认这一事件,Grief对NRA进行勒索软件攻击的可能性也是很大的。

事实上,另一位安全专家猜想,也许正是该组织对此事的处理方式使得Grief在NRA自行修补漏洞之前披露了攻击的事实。如果目标组织在一定时间后拒绝支付赎金,勒索软件集团通常会在其网站上披露数据。

安全研究员指出,随着人们对安全意识的提高和大量的安全备份措施来帮助公司在攻击后恢复数据,攻击者很有可能会转变他们的回应方法。这种方法可能会导致客户的数据泄露,数据的保密性被破坏,甚至会导致公众安全事件。

他补充说,如果目标组织想悄悄地处理这个事件,或者如果泄露的文件包含一些见不得人的信息的话,就很可能会出现这种情况。

今年的安全圈,有不少新变化,数部法规连续出台,行业新秀不断崛起,新技术新理念更新迭代。在2021年的末尾,是时候来跟我们一起“刷新认知,安全生长”

12月1日至2日,CIS 2021网络安全创新大会(2021 Cyber Security Innovation Summit)将在上海宝华万豪酒店举办。

今年的安全圈,有不少新变化,数部法规连续出台,行业新秀不断崛起,新技术新理念更新迭代。在2021年的末尾,是时候来跟我们一起“刷新认知,安全生长”

12月1日至2日,CIS 2021网络安全创新大会(2021 Cyber Security Innovation Summit)将在上海宝华万豪酒店举办。

abstract-digital-blue-1200x600.jpg

四年多来,卡巴斯基的全球研究和分析团队(GReAT)一直在发布高级持续攻击(APT)活动的季度摘要,这些摘要基于他们的攻击情报研究。

最值得注意的发现

去年12月报道的SolarWinds事件之所以引人注目,是因为攻击者极其小心,受害者的身份也备受瞩目。有证据表明,此次攻击的幕后主使DarkHalo(又名Nobelium) 已经在 OrionIT 的网络中花费了六个月的时间来完善他们的攻击。今年 6 月,也就是基于SolarWinds 开发的 DarkHalo的六个多月后,研究人员观察到了一个独联体成员国的多个政府区域的 DNS 劫持事件,这使得攻击者可以将流量从政府邮件服务器重定向到他们控制的计算机上,这可能是通过获取凭据来实现的受害者登记员的控制面板。当受害者试图访问他们的公司邮件时,他们被重定向到一个伪造的网络页面。随后,他们被诱骗下载了以前未知的恶意软件。这个被称为 Tomiris 的后门与 DarkHalo 去年使用的第二阶段恶意软件 Sunshuttle(又名 GoldMax)有许多相似之处。然而,Tomiris 和 Kazuar 之间也存在许多重叠,Kazuar 是一个与 Turla APT 攻击者相关联的后门。没有任何相似之处足以将 Tomiris 和 Sunshuttle联系起来。然而,这表明了它们有共同的开发者或共享开发代码的可能性。

俄语地区的APT活动

本季度,研究人员发现了几个典型的 Gamaredon 恶意感染文件、 dropper和植入程序;这可能表明针对乌克兰政府的恶意活动正在进行,可能从5月份开始就很活跃。目前研究人员还无法准确识别相关的感染链,因为他们只能检索到其中的一部分样本。但这并不影响研究人员将其归因于 Gamaredon。本文详细介绍了各种 dropper 以及解码器脚本,以及对 DStealer 后门和研究人员观察到的与该活动相关的大型基础设施的分析。

ReconHellcat 是一个鲜为人知的攻击者,于 2020 年被公开发现。其活动的第一个帐户可以追溯到去年 3 月,其中,MalwareHunterTeam 在推文中描述了一个带有包含恶意可执行文件的 COVID 相关诱饵文件名的archive, dubbed中的恶意植入程序。

BlackWater 反过来会释放并打开一个诱饵文件,然后作为 C2 服务器联系 Cloudflare Workers,这是其他攻击者在使用时通常不会使用的方法。自从首次发现这种攻击方式以来,类似的 TTP 已被用作 QuoIntelligence 涵盖的其他攻击的一部分,这表明潜在攻击者正在以有针对性的方式运作,同时追踪与政府相关的知名目标。这种活动似乎一直持续到 2021 年,当时研究人员发现了一系列最近使用相同技术和恶意软件的攻击,以在位于中亚的外交组织中站稳脚跟。在研究人员的私人报告中,研究人员描述了这项活动,着眼于攻击者对感染链中的元素所做的各种变化,这可能是由于之前公开曝光其活动造成的。

从那时起,研究人员发现了由 ReconHellcat 操作的其他文件。8 月到 9 月间出现了一个新的活动,其感染链不断发展。 Zscaler 的研究人员也在一篇文章中介绍了这项活动。更新后的攻击活动中引入的一些变化包括依赖 Microsoft Word 模板 (.dotm) 来实现持久性,而不是以前使用的 Microsoft Word 加载项 (.wll)。尽管如此,一些 TTP 保持不变,因为新的感染链仍然提供相同的最终植入程序—— Blacksoul 恶意软件,并且仍然使用 Cloudflare Workers 作为 C2 服务器。 ReconHellcat 的目标是塔吉克斯坦、吉尔吉斯斯坦、巴基斯坦和土库曼斯坦等中亚国家相关的政府组织和外交对象。此外,研究人员还确定了在前一波攻击中没有遇到的两个国家:阿富汗和乌兹别克斯坦。因此研究人员认为是ReconHellcat 的。

华语地区的活动

一名疑似为 HoneyMyte 的 APT 攻击者修改了南亚某国传播服务器上的指纹扫描仪软件安装程序包。 APT 修改了一个配置文件,并将一个带有 .NET 版本的 PlugX 注入器的 DLL 添加到安装程序包中。在安装时,即使没有网络连接,.NET 注入器也会解密 PlugX 后门载荷并将其注入新的 svchost 系统进程,并尝试向 C2 发送信标。南亚某个国家的中央政府员工必须使用此生物识别包来支持记录出勤。研究人员将此供应链事件和此特定 PlugX 变体称为 SmudgeX,木马安装程序似乎已从 3 月就开始了。

在 2020 年和 2021 年期间,研究人员检测到一个名为 ShadowShredder 的新 ShadowPad 加载模块,该模块用于攻击多个国家/地区的关键基础设施,包括但不限于印度、中国、加拿大、阿富汗和乌克兰。经过进一步调查,研究人员还发现了通过 ShadowPad 和 ShadowShredder 部署的其他植入程序,例如 Quarian 后门、PlugX、Poison Ivy 和其他黑客工具。值得注意的是,Quarian 后门和 Poison Ivy 与之前针对中亚用户的 IceFog 活动表现出相似之处。 ShadowPad 是 APT 组织自 2017 年以来一直使用的高度复杂的模块化网络攻击平台。 当时研究人员发表了一篇博客,详细介绍了 ShadowPad 的技术细节及其最初发现后的供应链攻击活动,当时它被称为Barium或 APT41 的组织部署。在 2020 年第一季度,研究人员发布了有关发现 x64 ShadowPad 滴管样本的私人报告。加载模块使用了一种独特的反分析技巧,该技巧涉及加载模块在解密嵌入的 shellcode 之前,通过在加载模块的内存空间中查看一些硬编码字节来检查它是否是通过特定的 EXE 文件加载的。研究人员最近发现的ShadowShredder加载器并没有使用这种技术,而是采用了一种新的混淆方法。研究人员的报告讨论了与 ShadowShredder 和 ShadowPad 有关的第二阶段有效载荷的 ShadowShredder 和相关活动的技术分析。

ESET今年6月发表了一篇博客文章,描述了一场针对非洲和中东外交部长和电信公司的活动,他们称之为“后门外交”(BackdoorDiplomacy)。研究人员非常自信地将此活动与CloudComputating的攻击者联系起来,该攻击者以中东知名对象为目标。在调查中,ESET 发现了一个与 Windows 变体共享 C2 服务器的 Quarian Linux 变体样本,据报道,该变体样本是通过利用 F5 Networks 的 BIG-IP 流量管理用户界面或配置实用程序中的已知 RCE 漏洞 (CVE-2020-5902) 部署的。一年前的 2020 年 7 月,SANS ISC 报告中还提到在 F5 BIG-IP 服务器上部署了相同的 Quarian ELF 二进制文件。本文扩展了对 Quarian Linux 变体及其与 Windows 版本的联系的分析。

去年,研究人员描述了一场归因于 CloudComputating 的活动,其中 APT 攻击者利用了一个已知漏洞来破坏公开暴露的 Microsoft Exchange 服务器,并使用 China Chopper Web shell 感染它们。恶意载荷随后被用于上传其他恶意软件,通常是自 2010 年左右开始被攻击者使用的 Quarian 后门。该活动影响了埃塞俄比亚、巴勒斯坦和科威特。 ESET 的博客文章使研究人员能够将他们的活动与研究人员去年 6 月描述的活动联系起来,并扩展研究人员之前的调查以寻找新的未知变体和受害者。本文也会介绍被称为 Turian 的 ESET 版本、另外两个以前未知的 Quarian 版本、用于生成恶意 Quarian 库的构建器组件的概述以及 IoC 的扩展列表。

ExCone 是 3 月中旬开始针对俄罗斯联邦目标发起的一系列攻击,攻击者利用 Microsoft Exchange 漏洞部署了一个被称之为 FourteenHI 的以前未知的木马。在研究人员之前的分析中,他们发现基础设施和 TTP 与 ShadowPad 恶意软件和 UNC2643 活动存在多种联系。但是,研究人员无法将该攻击归因于任何已知的攻击者。在研究人员的第一份报告之后,他们又发现了许多其他变体,它们扩展了研究人员对攻击者和活动本身的了解。研究人员发现了针对大量目标的新恶意软件样本,受害者位于欧洲、中亚和东南亚。研究人员还观察到其他各种供应商公开报告的一系列活动,研究人员能够非常自信地将这些活动与ExCone关联。最后,研究人员发现了一个新的恶意软件样本,它允许研究人员以将 ExCone 与 SixLittleMonkeys APT 组织联系起来。具体来说,研究人员发现了一个被 FourteenHI 和另一个未知后门攻击的受害者。这个新的“未知后门”与 FourteenHI 和 Microcin 有相似之处,Microcin 是一种专属于 SixLittleMonkeys 的木马。

本季度,研究人员还对南亚众所周知的攻击活动进行了调查。研究人员在 2019 年至 2021 年 6 月底期间发现了另一组针对印度航空航天和国防研究机构的 TTP,其中包含两个以前未知的后门:LGuarian 和 HTTP_NEWS。前者似乎是 Quarian 后门的新变种,攻击者也使用了它。通过跟踪分析,研究人员获得了有关攻击者的后利用过程的大量信息,并能够提供他们在此阶段使用的各种工具的详细信息,以及在受害者设备上执行的操作。这使研究人员能够收集大量恶意软件样本,并发现攻击者基础设施。

6 月 3 日,Check Point 发布了一份关于针对东南亚政府被监控的报告,并将恶意活动归咎于一个名为 SharpPanda 的攻击者。

4 月,研究人员调查了许多模仿 Microsoft 更新安装程序文件的恶意安装程序文件,这些文件使用从一家名为 QuickTech.com 的公司窃取的数字证书进行签名。这些虚假安装程序展示了非常令人信服的视觉效果,这反映了攻击者为使它们看起来合法而付出了大量努力。其最终的有效载荷是 Cobalt Strike 信标模块,也配置了“microsoft.com”子域 C2 服务器。 C2 域 code.microsoft[.]com 是一个闲置的 DNS 子域,攻击者在 4 月 15 日左右注册,伪装成 Visual Studio Code 官方网站。受害者通过虚假的 Microsoft 更新目录网页被诱骗在他们的设备上下载和执行这些安装程序,该网页也托管在“microsoft.com”的另一个闲置的子域上。在调查恶意安装程序文件时,研究人员遇到了其他恶意二进制文件,根据收集的线索,研究人员假设它们是由同一攻击者开发和使用的,至少从 1 月到 6 月一直活跃。研究人员在本文中对这个攻击者使用的扩展工具集进行了分析,并将其命名为 CraneLand。

7 月,研究人员在两个公开批评中国且看似合法的网站上发现了可疑的 JavaScript (JS) 内容。混淆后的 JS 从远程域名加载,该域名冒充 Google 品牌并启动恶意 JS 载荷链。受感染的网站仍然包含 JS,但研究人员无法将任何其他恶意活动或基础设施与这种水坑攻击联系起来。恶意 JS 似乎不符合传统的网络犯罪目标,与研究人员在其他水坑攻击中观察到的活动相比,其活动非常不寻常。研究人员认为恶意 JS 载荷旨在分析和针对来自香港、台湾或中国大陆的个人。应仔细检查与所述恶意域的任何连接,以查找后续的恶意活动。

abstract-digital-blue-1200x600.jpg

四年多来,卡巴斯基的全球研究和分析团队(GReAT)一直在发布高级持续攻击(APT)活动的季度摘要,这些摘要基于他们的攻击情报研究。

最值得注意的发现

去年12月报道的SolarWinds事件之所以引人注目,是因为攻击者极其小心,受害者的身份也备受瞩目。有证据表明,此次攻击的幕后主使DarkHalo(又名Nobelium) 已经在 OrionIT 的网络中花费了六个月的时间来完善他们的攻击。今年 6 月,也就是基于SolarWinds 开发的 DarkHalo的六个多月后,研究人员观察到了一个独联体成员国的多个政府区域的 DNS 劫持事件,这使得攻击者可以将流量从政府邮件服务器重定向到他们控制的计算机上,这可能是通过获取凭据来实现的受害者登记员的控制面板。当受害者试图访问他们的公司邮件时,他们被重定向到一个伪造的网络页面。随后,他们被诱骗下载了以前未知的恶意软件。这个被称为 Tomiris 的后门与 DarkHalo 去年使用的第二阶段恶意软件 Sunshuttle(又名 GoldMax)有许多相似之处。然而,Tomiris 和 Kazuar 之间也存在许多重叠,Kazuar 是一个与 Turla APT 攻击者相关联的后门。没有任何相似之处足以将 Tomiris 和 Sunshuttle联系起来。然而,这表明了它们有共同的开发者或共享开发代码的可能性。

俄语地区的APT活动

本季度,研究人员发现了几个典型的 Gamaredon 恶意感染文件、 dropper和植入程序;这可能表明针对乌克兰政府的恶意活动正在进行,可能从5月份开始就很活跃。目前研究人员还无法准确识别相关的感染链,因为他们只能检索到其中的一部分样本。但这并不影响研究人员将其归因于 Gamaredon。本文详细介绍了各种 dropper 以及解码器脚本,以及对 DStealer 后门和研究人员观察到的与该活动相关的大型基础设施的分析。

ReconHellcat 是一个鲜为人知的攻击者,于 2020 年被公开发现。其活动的第一个帐户可以追溯到去年 3 月,其中,MalwareHunterTeam 在推文中描述了一个带有包含恶意可执行文件的 COVID 相关诱饵文件名的archive, dubbed中的恶意植入程序。

BlackWater 反过来会释放并打开一个诱饵文件,然后作为 C2 服务器联系 Cloudflare Workers,这是其他攻击者在使用时通常不会使用的方法。自从首次发现这种攻击方式以来,类似的 TTP 已被用作 QuoIntelligence 涵盖的其他攻击的一部分,这表明潜在攻击者正在以有针对性的方式运作,同时追踪与政府相关的知名目标。这种活动似乎一直持续到 2021 年,当时研究人员发现了一系列最近使用相同技术和恶意软件的攻击,以在位于中亚的外交组织中站稳脚跟。在研究人员的私人报告中,研究人员描述了这项活动,着眼于攻击者对感染链中的元素所做的各种变化,这可能是由于之前公开曝光其活动造成的。

从那时起,研究人员发现了由 ReconHellcat 操作的其他文件。8 月到 9 月间出现了一个新的活动,其感染链不断发展。 Zscaler 的研究人员也在一篇文章中介绍了这项活动。更新后的攻击活动中引入的一些变化包括依赖 Microsoft Word 模板 (.dotm) 来实现持久性,而不是以前使用的 Microsoft Word 加载项 (.wll)。尽管如此,一些 TTP 保持不变,因为新的感染链仍然提供相同的最终植入程序—— Blacksoul 恶意软件,并且仍然使用 Cloudflare Workers 作为 C2 服务器。 ReconHellcat 的目标是塔吉克斯坦、吉尔吉斯斯坦、巴基斯坦和土库曼斯坦等中亚国家相关的政府组织和外交对象。此外,研究人员还确定了在前一波攻击中没有遇到的两个国家:阿富汗和乌兹别克斯坦。因此研究人员认为是ReconHellcat 的。

华语地区的活动

一名疑似为 HoneyMyte 的 APT 攻击者修改了南亚某国传播服务器上的指纹扫描仪软件安装程序包。 APT 修改了一个配置文件,并将一个带有 .NET 版本的 PlugX 注入器的 DLL 添加到安装程序包中。在安装时,即使没有网络连接,.NET 注入器也会解密 PlugX 后门载荷并将其注入新的 svchost 系统进程,并尝试向 C2 发送信标。南亚某个国家的中央政府员工必须使用此生物识别包来支持记录出勤。研究人员将此供应链事件和此特定 PlugX 变体称为 SmudgeX,木马安装程序似乎已从 3 月就开始了。

在 2020 年和 2021 年期间,研究人员检测到一个名为 ShadowShredder 的新 ShadowPad 加载模块,该模块用于攻击多个国家/地区的关键基础设施,包括但不限于印度、中国、加拿大、阿富汗和乌克兰。经过进一步调查,研究人员还发现了通过 ShadowPad 和 ShadowShredder 部署的其他植入程序,例如 Quarian 后门、PlugX、Poison Ivy 和其他黑客工具。值得注意的是,Quarian 后门和 Poison Ivy 与之前针对中亚用户的 IceFog 活动表现出相似之处。 ShadowPad 是 APT 组织自 2017 年以来一直使用的高度复杂的模块化网络攻击平台。 当时研究人员发表了一篇博客,详细介绍了 ShadowPad 的技术细节及其最初发现后的供应链攻击活动,当时它被称为Barium或 APT41 的组织部署。在 2020 年第一季度,研究人员发布了有关发现 x64 ShadowPad 滴管样本的私人报告。加载模块使用了一种独特的反分析技巧,该技巧涉及加载模块在解密嵌入的 shellcode 之前,通过在加载模块的内存空间中查看一些硬编码字节来检查它是否是通过特定的 EXE 文件加载的。研究人员最近发现的ShadowShredder加载器并没有使用这种技术,而是采用了一种新的混淆方法。研究人员的报告讨论了与 ShadowShredder 和 ShadowPad 有关的第二阶段有效载荷的 ShadowShredder 和相关活动的技术分析。

ESET今年6月发表了一篇博客文章,描述了一场针对非洲和中东外交部长和电信公司的活动,他们称之为“后门外交”(BackdoorDiplomacy)。研究人员非常自信地将此活动与CloudComputating的攻击者联系起来,该攻击者以中东知名对象为目标。在调查中,ESET 发现了一个与 Windows 变体共享 C2 服务器的 Quarian Linux 变体样本,据报道,该变体样本是通过利用 F5 Networks 的 BIG-IP 流量管理用户界面或配置实用程序中的已知 RCE 漏洞 (CVE-2020-5902) 部署的。一年前的 2020 年 7 月,SANS ISC 报告中还提到在 F5 BIG-IP 服务器上部署了相同的 Quarian ELF 二进制文件。本文扩展了对 Quarian Linux 变体及其与 Windows 版本的联系的分析。

去年,研究人员描述了一场归因于 CloudComputating 的活动,其中 APT 攻击者利用了一个已知漏洞来破坏公开暴露的 Microsoft Exchange 服务器,并使用 China Chopper Web shell 感染它们。恶意载荷随后被用于上传其他恶意软件,通常是自 2010 年左右开始被攻击者使用的 Quarian 后门。该活动影响了埃塞俄比亚、巴勒斯坦和科威特。 ESET 的博客文章使研究人员能够将他们的活动与研究人员去年 6 月描述的活动联系起来,并扩展研究人员之前的调查以寻找新的未知变体和受害者。本文也会介绍被称为 Turian 的 ESET 版本、另外两个以前未知的 Quarian 版本、用于生成恶意 Quarian 库的构建器组件的概述以及 IoC 的扩展列表。

ExCone 是 3 月中旬开始针对俄罗斯联邦目标发起的一系列攻击,攻击者利用 Microsoft Exchange 漏洞部署了一个被称之为 FourteenHI 的以前未知的木马。在研究人员之前的分析中,他们发现基础设施和 TTP 与 ShadowPad 恶意软件和 UNC2643 活动存在多种联系。但是,研究人员无法将该攻击归因于任何已知的攻击者。在研究人员的第一份报告之后,他们又发现了许多其他变体,它们扩展了研究人员对攻击者和活动本身的了解。研究人员发现了针对大量目标的新恶意软件样本,受害者位于欧洲、中亚和东南亚。研究人员还观察到其他各种供应商公开报告的一系列活动,研究人员能够非常自信地将这些活动与ExCone关联。最后,研究人员发现了一个新的恶意软件样本,它允许研究人员以将 ExCone 与 SixLittleMonkeys APT 组织联系起来。具体来说,研究人员发现了一个被 FourteenHI 和另一个未知后门攻击的受害者。这个新的“未知后门”与 FourteenHI 和 Microcin 有相似之处,Microcin 是一种专属于 SixLittleMonkeys 的木马。

本季度,研究人员还对南亚众所周知的攻击活动进行了调查。研究人员在 2019 年至 2021 年 6 月底期间发现了另一组针对印度航空航天和国防研究机构的 TTP,其中包含两个以前未知的后门:LGuarian 和 HTTP_NEWS。前者似乎是 Quarian 后门的新变种,攻击者也使用了它。通过跟踪分析,研究人员获得了有关攻击者的后利用过程的大量信息,并能够提供他们在此阶段使用的各种工具的详细信息,以及在受害者设备上执行的操作。这使研究人员能够收集大量恶意软件样本,并发现攻击者基础设施。

6 月 3 日,Check Point 发布了一份关于针对东南亚政府被监控的报告,并将恶意活动归咎于一个名为 SharpPanda 的攻击者。

4 月,研究人员调查了许多模仿 Microsoft 更新安装程序文件的恶意安装程序文件,这些文件使用从一家名为 QuickTech.com 的公司窃取的数字证书进行签名。这些虚假安装程序展示了非常令人信服的视觉效果,这反映了攻击者为使它们看起来合法而付出了大量努力。其最终的有效载荷是 Cobalt Strike 信标模块,也配置了“microsoft.com”子域 C2 服务器。 C2 域 code.microsoft[.]com 是一个闲置的 DNS 子域,攻击者在 4 月 15 日左右注册,伪装成 Visual Studio Code 官方网站。受害者通过虚假的 Microsoft 更新目录网页被诱骗在他们的设备上下载和执行这些安装程序,该网页也托管在“microsoft.com”的另一个闲置的子域上。在调查恶意安装程序文件时,研究人员遇到了其他恶意二进制文件,根据收集的线索,研究人员假设它们是由同一攻击者开发和使用的,至少从 1 月到 6 月一直活跃。研究人员在本文中对这个攻击者使用的扩展工具集进行了分析,并将其命名为 CraneLand。

7 月,研究人员在两个公开批评中国且看似合法的网站上发现了可疑的 JavaScript (JS) 内容。混淆后的 JS 从远程域名加载,该域名冒充 Google 品牌并启动恶意 JS 载荷链。受感染的网站仍然包含 JS,但研究人员无法将任何其他恶意活动或基础设施与这种水坑攻击联系起来。恶意 JS 似乎不符合传统的网络犯罪目标,与研究人员在其他水坑攻击中观察到的活动相比,其活动非常不寻常。研究人员认为恶意 JS 载荷旨在分析和针对来自香港、台湾或中国大陆的个人。应仔细检查与所述恶意域的任何连接,以查找后续的恶意活动。

2021年是网络安全产业规模及法律法规推动发展之年,今天我们迎来《中华人民共和国个人信息保护法》的正式施行。这是一部保护公民个人信息的专门法律,与《民法典》《网络安全法》《数据安全法》《电子商务法》《消费者权益保护法》等法律共同编织成一张消费者个人信息“保护网”。

法律明确不得过度收集个人信息、大数据杀熟,对人脸信息等敏感个人信息的处理作出规制,完善个人信息保护投诉、举报工作机制等,充分回应了社会关切,为破解个人信息保护中的热点难点问题提供了强有力的法律保障。

在如今日新月异的网络环境下,个人信息和数据暴露风险亟待管控,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。《个人信息保护法》的实施,为个人信息权益提供了保障,同时明确了信息处理的基本准则,让信息存储及处理有法可依。《个人信息保护法》是个人信息保护的第一块盾牌,也是信息化时代重要的法制里程碑。同时也加快了数据安全生态建设,进一步完善了我国在数据领域的立法体系。

一图了解《个人信息保护法》:


图片来源于:中国网

2021年是网络安全产业规模及法律法规推动发展之年,今天我们迎来《中华人民共和国个人信息保护法》的正式施行。这是一部保护公民个人信息的专门法律,与《民法典》《网络安全法》《数据安全法》《电子商务法》《消费者权益保护法》等法律共同编织成一张消费者个人信息“保护网”。

法律明确不得过度收集个人信息、大数据杀熟,对人脸信息等敏感个人信息的处理作出规制,完善个人信息保护投诉、举报工作机制等,充分回应了社会关切,为破解个人信息保护中的热点难点问题提供了强有力的法律保障。

在如今日新月异的网络环境下,个人信息和数据暴露风险亟待管控,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。《个人信息保护法》的实施,为个人信息权益提供了保障,同时明确了信息处理的基本准则,让信息存储及处理有法可依。《个人信息保护法》是个人信息保护的第一块盾牌,也是信息化时代重要的法制里程碑。同时也加快了数据安全生态建设,进一步完善了我国在数据领域的立法体系。

一图了解《个人信息保护法》:


图片来源于:中国网