首页
社区
课程
招聘
[资讯](1.19)黑客利用三个Microsoft Office漏洞来传播Zyklon恶意软件;美国五角大楼每天拦截约上千万恶意邮件
发表于: 2018-1-19 10:15 3260

[资讯](1.19)黑客利用三个Microsoft Office漏洞来传播Zyklon恶意软件;美国五角大楼每天拦截约上千万恶意邮件

2018-1-19 10:15
3260

黑客利用三个Microsoft Office漏洞来传播Zyklon恶意软件


 


安全研究人员发现了一个新的恶意软件活动,黑客通过利用微软Office中最近披露的至少三个漏洞,传播一个高级的僵尸网络恶意软件。

 

这款恶意软件被称为Zyklon,功能齐全的Zyklon恶意软件在近两年内重新出现,其目标主要针对电信,保险和金融服务行业。

 

2016年初开始,Zyklon开始活跃起来,其就是一种HTTP僵尸网络恶意软件,通过Tor匿名网络与其命令与控制(C&C)服务器进行通信。Zyklon允许攻击者远程窃取键盘记录,敏感数据(如存储在Web浏览器和电子邮件客户端中的密码)。

 

Zyklon恶意软件还能够执行额外的功能,包括秘密地使用受感染的系统来进行DDoS攻击和加密货币的挖掘。

 

Zyklon恶意软件的不同版本之前被发现在广受欢迎的地下市场上以75美元(普通版本)和125美元(Tor-enabled版本)进行售卖。

 

根据FireEye最近发布的报告指出 ,该活动背后的攻击者利用Microsoft Office中的三个以下漏洞在目标计算机上执行PowerShell脚本,从C&C服务器下载最终有效攻击载荷。

 

1).NET Framework RCE漏洞 ( CVE-2017-8759 ) - 当Microsoft .NET Framework处理不受信任的输入时,会出现远程执行代码漏洞。这个漏洞允许攻击者通过欺骗受害者来打开通过电子邮件发送的特制恶意文档来控制受害者的系统。微软已经在9月的更新中发布了这个漏洞的安全补丁。

 

2)Microsoft Office RCE漏洞 ( CVE-2017-11882 ) - 这是微软在11月份修补程序更新中修复的已存在长达17年之久的内存损坏(memory corruption )漏洞。此漏洞允许远程攻击者在目标系统上执行恶意代码,而不需要用户打开任何一个恶意文件。

 

3)动态数据交换协议 ( DDE Exploit ) - 这种技术允许攻击者利用微软Office的内置功能,称为DDE,在目标设备上执行代码,而不需要启用宏或再利用内存损坏漏洞。

 

正如研究人员所解释的,攻击者正在积极利用这三个漏洞,利用鱼叉式网络钓鱼电子邮件传播Zyklon恶意软件,这些邮件通常会附带一个包含恶意Office文件的ZIP文件。

 

一旦带有这些漏洞之一的恶意文件被打开,就会立即运行一个PowerShell脚本,将最终的有效攻击载荷,即Zyklon HTTP恶意软件下载到受感染的计算机上。

 

FireEye的研究人员说:“在所有这些技术中,都使用相同的域名来下载有效攻击载荷(Pause.ps1),这是另一个Base64编码的PowerShell脚本”。

 

“Pause.ps1脚本负责解析代码注入所需的API,它还包含可注入的shellcode。”

 

“注入的代码负责从服务器下载最终的有效攻击载荷,最后一个阶段的有效载荷是用.Net框架编译的PE可执行文件。”

 

有趣的是,PowerShell脚本连接到一个无点格式的IP地址(例如: http://3627732942 )来下载最终的有效载荷。

 

什么是无点格式的IP地址?如果你不知道,无点格式的IP地址(有时称为“十进制地址”)是IPv4地址的十进制值(我们常见的以点分隔IP地址记号)。几乎所有的现代浏览器都会在打开“http://”后跟十进制值的IP地址时将十进制IP地址解析为等效的点分隔的IPV4地址。

 

例如,Google的IP地址216.58.207.206也可以用十进制值表示为http://3627732942。

 

保护自己和组织免受此类恶意软件攻击的最佳方式是对通过电子邮件发送的任何不请自来的文档保持警惕,并且除非充分验证了源文件的安全性,否则请不要点击这些文档中的链接。

 

最重要的是,始终保持软件和系统更新到最新版本。因为黑客利用了Microsoft Office(在这个案例中)的最近发现但已有修补补丁的漏洞,来增加感染成功的可能性。

 

原文链接:https://thehackernews.com/2018/01/microsoft-office-malware.html
本文由看雪翻译小组 knowit 编译


美国五角大楼每天拦截约上千万恶意邮件

image

 

美国国防部每天都会拦截超过3千6百万峰邮件,这些邮件来自黑客、恐怖分子和国外对手,其中包含有恶意软件、病毒和钓鱼信息等内容,企图入侵军队系统。

 

据推测,在过去一年中,五角大楼收到了约130亿封这样的邮件。美国国防信息局运营总监称会自动检测邮件内是否有可以内容和其他蛛丝马迹,在邮件进入收件箱之前便实施拦截。

我们需要始终保证进来的邮件都没有问题,但坏人只需要一次成功即可。就全球范围来看,邮件是最大的威胁传递载体。

 

美国国防部一直以来都是黑客和垃圾邮件制作者的主要目标。2015年,在发送给3千2百万用户的邮件中,只有7分之一的邮件是合法的,其他的邮件都包含有恶意软件、病毒,或直接被列为垃圾邮件。

 

虽然邮件攻击仍然是五角大楼所面临的主要威胁,但自称是攻击者的人,其攻击方式也在更新换代。

 

有官员称五角大楼曾经遭遇过DDoS攻击,每秒多达6千亿字节。

 

美国国防部门的电脑设备通过10个遍布全球的网络访问点连接网络。这些访问点位于在国防部网络与公共网络之间,对黑客十分具有吸引力。

 

三年前,对五角大楼而言,每秒10亿字节到20亿字节的攻击就已经很严重了。但现在五角大楼正在抵御的是6千亿字节的DDoS攻击,一种他们前所未想的攻击方式。

 

黑客们正在扩大攻击,他们还会偷偷的利用电脑或其他联网设备,正如2016年所发生的Dyn黑客攻击,导致许多非常受欢迎的站点都被关闭。

 

目前,五角大楼正在准备一种太字节DDoS攻击,其攻击力之大,放在一年以前是难以想象的。

 

工作人员将之称之为“太字节死亡正徘徊在门外”,“我们已经准备好了,就等黑客攻击了。”

 

来源:Nextgov

 

本文由看雪翻译小组 哆啦咪 编译


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 2345
活跃值: (3064)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
什么是无点格式的IP地址?如果你不知道,无点格式的IP地址(有时称为“十进制地址”)是IPv4地址的十进制值(我们常见的以点分隔IP地址记号)。几乎所有的现代浏览器都会在打开“http://”后跟十进制值的IP地址时将十进制IP地址解析为等效的点分隔的IPV4地址。
例如,Google的IP地址216.58.207.206也可以用十进制值表示为http://3627732942
长知识了.
2018-1-19 11:54
0
雪    币: 6
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
为啥IP地址和谷歌的一样呢?
2018-1-19 12:55
0
游客
登录 | 注册 方可回帖
返回
//