只有做到明察秋毫,才能對記憶體攻擊有備無患。
根據每週安全行業分析,諸如UAF、DoubleFree等更加隱蔽的基於記憶體的攻擊不斷髮生,成為企業安全的巨大挑戰。如今,企業為了保證核心資料安全,建設了諸多傳統安全方案,卻依然存在狡猾的攻擊者利用更高階的攻擊手段,繞過層層防線,對企業發展構成難以想象的威脅。面對傳統安全解決措施在防禦新型高階威脅方面的短板,尋找新型防禦方案,填補記憶體安全問題空缺成為必然。
安芯網盾作為國內記憶體安全領域的開拓者和創新者,填補國內在記憶體安全問題方面實時檢測與防禦的空白,也為客戶提供了新一代高階威脅實時防護解決方案。希望能和更多夥伴一起,保護萬物互聯的數字世界。
1、Tellyouthepass勒索病毒攜帶永恆之藍攻擊模組襲擊內網,已有企業受害。
(7.23)
Tellyouthepass勒索病毒變種被發現活躍。攻擊者利用壓縮工具打包exe的方式,將ms16-032核心提權漏洞利用模組、永恆之藍內網擴散模組整合到勒索攻擊包中,以實現內網蠕蟲式病毒傳播。在Tellyouthepass勒索病毒用於交易的比特幣錢包地址中,發現近期已產生多筆交易,證明已有企業受害,該錢包當前餘額0.69比特幣。由於該勒索病毒使用了RSA+AES的方式對檔案進行加密,被病毒加密後檔案暫無法解密。若企業未及時修補漏洞,可能造成嚴重損失。
2、朝鮮Lazarus集團開發跨平臺惡意軟體框架Mata,用於竊取客戶資料庫和傳播勒索軟體。
(7.23)
據西方安全媒體報導,與北朝鮮政權有聯絡的駭客組織Lazarus Group新發布了一個多平臺惡意軟體框架,用以滲透全球企業實體,竊取客戶資料庫並傳播勒索軟體。MATA惡意軟體基礎架構稱為“ MataNet”,能夠針對Windows、Linux和macOS作業系統,在受感染的計算機上執行各種惡意活動的廣泛功能。在最新開發的版本中,Windows版的MATA包含一個用於載入加密的下一階段有效負載的載入器,也就是一個協調器模組(“ lsass.exe”),該模組能夠同時載入15個其他外掛並在記憶體中執行它們。外掛本身具有豐富的功能,可讓惡意軟體操縱檔案和系統程式,注入DLL以及建立HTTP代理伺服器。
3、Emotet再次浮出水面,向全球的電子郵件收件人傳送了超過25萬條垃圾郵件。
(7.20)
Emotet惡意軟體最早於2014年出現,但此後演變為一個完整的殭屍網路,旨在竊取帳戶憑據並下載更多惡意軟體,最近以銀行木馬為主,如TrickBot和QakBot。據報導,殭屍網路上週返回後,當日便向美國,英國,阿根廷,巴西,加拿大,智利,厄瓜多和墨西哥的電子郵件接收者傳送了超過25萬條訊息。垃圾郵件包含URL或附件,並聲稱要傳送文件以恢復現有的電子郵件執行緒,這是Emotet的已知技巧。例如,一封示例電子郵件要求電子郵件收件人開啟一個名為“表格– 2020年7月17日.doc”的附件。另一位假裝該檔案是發票。文件附件包含一個高度混淆的宏,並要求收件人啟用內容。啟用宏後,Windows管理指令將啟動PowerShell,以從遠端受到感染的網站檢索Emotet二進位制檔案。最後,執行有效負載並將確認傳送回Emotet的命令和控制(C2)伺服器之一。
往期回顧
記憶體安全週報01|知己知彼,百戰不殆
記憶體安全週報02|未雨綢繆,以守為攻
記憶體安全週報03|瞭如指掌,洞察先機
安芯網盾(北京)科技有限公司(簡稱安芯網盾)是專注於記憶體安全的高新技術企業,致力於為政府、金融、運營商、軍工、教育、醫療、網際網路及大型企業等行業客戶提供面向未來的網路安全解決方案。安芯網盾擁有趕超國際的智慧記憶體保護技術,核心團隊成員自2005年就專注於資訊保安攻防對抗產品的研發並斬獲多項國際大獎,被評為具有發展潛力和行業價值的網路安全新創企業。安芯網盾幫助企業構建基於硬體虛擬化技術的記憶體安全環境,防禦並終止在業務關鍵應用程式中的無檔案攻擊、0day漏洞攻擊等高階威脅,切實有效保障使用者的核心業務不被阻斷,保障使用者的核心資料不被竊取,已為華為、Google、工商銀行、瑞斯康達、OPSWAT、費爾等眾多國際知名企事業單位持續提供服務。