[資訊](1.19)黑客利用三個Microsoft Office漏洞來傳播Zyklon惡意軟體;美國五角大樓每天攔截約上千萬惡意郵件

CCkicker發表於2018-01-19
黑客ROS

黑客利用三個Microsoft Office漏洞來傳播Zyklon惡意軟體

Mohit Kumar 2018.01.17

 


安全研究人員發現了一個新的惡意軟體活動,黑客通過利用微軟Office中最近披露的至少三個漏洞,傳播一個高階的殭屍網路惡意軟體。

 

這款惡意軟體被稱為Zyklon,功能齊全的Zyklon惡意軟體在近兩年內重新出現,其目標主要針對電信,保險和金融服務行業。

 

2016年初開始,Zyklon開始活躍起來,其就是一種HTTP殭屍網路惡意軟體,通過Tor匿名網路與其命令與控制(C&C)伺服器進行通訊。Zyklon允許攻擊者遠端竊取鍵盤記錄,敏感資料(如儲存在Web瀏覽器和電子郵件客戶端中的密碼)。

 

Zyklon惡意軟體還能夠執行額外的功能,包括祕密地使用受感染的系統來進行DDoS攻擊和加密貨幣的挖掘。

 

Zyklon惡意軟體的不同版本之前被發現在廣受歡迎的地下市場上以75美元(普通版本)和125美元(Tor-enabled版本)進行售賣。

 

根據FireEye最近釋出的報告指出 ,該活動背後的攻擊者利用Microsoft Office中的三個以下漏洞在目標計算機上執行PowerShell指令碼,從C&C伺服器下載最終有效攻擊載荷。

 

1).NET Framework RCE漏洞 ( CVE-2017-8759 ) - 當Microsoft .NET Framework處理不受信任的輸入時,會出現遠端執行程式碼漏洞。這個漏洞允許攻擊者通過欺騙受害者來開啟通過電子郵件傳送的特製惡意文件來控制受害者的系統。微軟已經在9月的更新中釋出了這個漏洞的安全補丁。

 

2)Microsoft Office RCE漏洞 ( CVE-2017-11882 ) - 這是微軟在11月份修補程式更新中修復的已存在長達17年之久的記憶體損壞(memory corruption )漏洞。此漏洞允許遠端攻擊者在目標系統上執行惡意程式碼,而不需要使用者開啟任何一個惡意檔案。

 

3)動態資料交換協議 ( DDE Exploit ) - 這種技術允許攻擊者利用微軟Office的內建功能,稱為DDE,在目標裝置上執行程式碼,而不需要啟用巨集或再利用記憶體損壞漏洞。

 

正如研究人員所解釋的,攻擊者正在積極利用這三個漏洞,利用魚叉式網路釣魚電子郵件傳播Zyklon惡意軟體,這些郵件通常會附帶一個包含惡意Office檔案的ZIP檔案。

 

一旦帶有這些漏洞之一的惡意檔案被開啟,就會立即執行一個PowerShell指令碼,將最終的有效攻擊載荷,即Zyklon HTTP惡意軟體下載到受感染的計算機上。

 

FireEye的研究人員說:“在所有這些技術中,都使用相同的域名來下載有效攻擊載荷(Pause.ps1),這是另一個Base64編碼的PowerShell指令碼”。

 

“Pause.ps1指令碼負責解析程式碼注入所需的API,它還包含可注入的shellcode。”

 

“注入的程式碼負責從伺服器下載最終的有效攻擊載荷,最後一個階段的有效載荷是用.Net框架編譯的PE可執行檔案。”

 

有趣的是,PowerShell指令碼連線到一個無點格式的IP地址(例如: http://3627732942 )來下載最終的有效載荷。

 

什麼是無點格式的IP地址?如果你不知道,無點格式的IP地址(有時稱為“十進位制地址”)是IPv4地址的十進位制值(我們常見的以點分隔IP地址記號)。幾乎所有的現代瀏覽器都會在開啟“http://”後跟十進位制值的IP地址時將十進位制IP地址解析為等效的點分隔的IPV4地址。

 

例如,Google的IP地址216.58.207.206也可以用十進位制值表示為http://3627732942。

 

保護自己和組織免受此類惡意軟體攻擊的最佳方式是對通過電子郵件傳送的任何不請自來的文件保持警惕,並且除非充分驗證了原始檔的安全性,否則請不要點選這些文件中的連結。

 

最重要的是,始終保持軟體和系統更新到最新版本。因為黑客利用了Microsoft Office(在這個案例中)的最近發現但已有修補補丁的漏洞,來增加感染成功的可能性。

 

原文連結:https://thehackernews.com/2018/01/microsoft-office-malware.html
本文由看雪翻譯小組 knowit 編譯

美國五角大樓每天攔截約上千萬惡意郵件

image

 

美國國防部每天都會攔截超過3千6百萬峰郵件,這些郵件來自黑客、恐怖分子和國外對手,其中包含有惡意軟體、病毒和釣魚資訊等內容,企圖入侵軍隊系統。

 

據推測,在過去一年中,五角大樓收到了約130億封這樣的郵件。美國國防資訊局運營總監稱會自動檢測郵件內是否有可以內容和其他蛛絲馬跡,在郵件進入收件箱之前便實施攔截。

我們需要始終保證進來的郵件都沒有問題,但壞人只需要一次成功即可。就全球範圍來看,郵件是最大的威脅傳遞載體。

 

美國國防部一直以來都是黑客和垃圾郵件製作者的主要目標。2015年,在傳送給3千2百萬使用者的郵件中,只有7分之一的郵件是合法的,其他的郵件都包含有惡意軟體、病毒,或直接被列為垃圾郵件。

 

雖然郵件攻擊仍然是五角大樓所面臨的主要威脅,但自稱是攻擊者的人,其攻擊方式也在更新換代。

 

有官員稱五角大樓曾經遭遇過DDoS攻擊,每秒多達600十億位元組。

 

美國國防部門的電腦裝置通過10個遍佈全球的網路訪問點連線網路。這些訪問點位於在國防部網路與公共網路之間,對黑客十分具有吸引力。

 

三年前,對五角大樓而言,每秒10億位元組到20億位元組的攻擊就已經很嚴重了。但現在五角大樓正在抵禦的是6千億位元組的DDoS攻擊,一種他們前所未想的攻擊方式。

 

黑客們正在擴大攻擊,他們還會偷偷的利用電腦或其他聯網裝置,正如2016年所發生的Dyn黑客攻擊,導致許多非常受歡迎的站點都被關閉。

 

目前,五角大樓正在準備一種太位元組DDoS攻擊,其攻擊力之大,放在一年以前是難以想象的。

 

工作人員將之稱之為“太位元組死亡正徘徊在門外”,“我們已經準備好了,就等黑客攻擊了。”

 

來源:Nextgov

 

本文由看雪翻譯小組 哆啦咪 編譯

相關文章