記憶體安全週報0803 | 防微杜漸,所向披靡

安芯網盾發表於2020-08-03

​數字世界的高階威脅層出不窮,為了讓企業能在發展前進的道路上所向披靡,必然要對高階威脅防微杜漸。

近年來,基於記憶體的高階威脅越來越常見。攻擊者將帶有惡意程式碼的檔案偽裝成正常的檔案或郵件進行傳播,在難以察覺其為病毒的情況下進入企業系統,成功繞開傳統安全解決方案的查殺後,嘗試與遠端伺服器通訊獲取遠端控制指令,根據指令完成一系列遠端控制惡意行為,推送虛假訊息誘導點選訪問安全性未知的網路連結等,實現遠端盜竊並損壞企業核心資料。透過對此類高階的威脅的觀察與學習,能夠讓企業有更強的防範意識,建立更完善的安全解決方案。

安芯網盾作為國內記憶體安全領域的開拓者和創新者,填補國內在記憶體安全問題方面實時檢測與防禦的空白,也為客戶提供了新一代高階威脅實時防護解決方案。希望能和更多夥伴一起,保護萬物互聯的數字世界。


1、工業VPN缺陷可能使攻擊者瞄準關鍵基礎設施

(7.31)

網路安全研究人員發現了工業VPN實施中的嚴重漏洞,這些漏洞主要用於提供對操作技術(OT)網路的遠端訪問,這些漏洞可能使駭客能夠覆蓋資料,執行惡意程式碼並破壞工業控制系統(ICS)。其中包括一個嚴重漏洞(CVE-2020-14500),允許覆蓋任意資料,執行任意程式碼或引起DDoS,以root使用者身份執行命令以及由於使用而獲得使用者密碼弱雜湊型別。另外,在Moxa EDR-G902和EDR-G903工業VPN伺服器中,研究人員發現了系統Web伺服器中基於堆疊的緩衝區溢位錯誤(CVE-2020-14511),只需傳送特製HTTP請求即可觸發該錯誤,最終使攻擊者無需任何憑據即可執行遠端程式碼執行。


2、GRUB2引導載入程式中發現新漏洞“ BootHole”,使安全啟動裝置受到攻擊。

(7.30)

研究人員在多數Linux系統使用的GRUB2載入程式中發現了一個漏洞將,其命名為“BootHole”(CVE-2020-10713),即使啟用了Secure Boot,也可在啟動程式中執行任意程式碼。攻擊者可利用該漏洞安裝持久且隱秘的bootkit或惡意載入程式來控制裝置。該漏洞影響使用Secure Boot的系統,即使它們不使用GRUB2。此外GRUB2還支援其它作業系統、核心和管理程式如Xen。這個漏洞還涉及到任何使用具有標準Microsoft Third Party UEFI Certificate Authority的Secure Boot的Windows裝置,例如工業、醫療、金融等行業中使用的裝置均受影響。該漏洞導致這些裝置易遭到例如最近使用惡意UEFI載入程式的攻擊活動。


3、Ensiko:含有勒索軟體功能的Webshell

(7.30)

Ensiko已被確認是一款攻擊包括Linux、Windows、macOS和其他安裝了PHP的平臺在內的含有勒索軟體功能的PHP Web Shell。惡意軟體可以遠端控制系統和接收命令來在受感染的機器上執行惡意活動。此外,還可以在受感染的系統上執行shell命令,並透過Php逆向shell傳送執行結果給攻擊者。惡意軟體會釋放一個index.php檔案,並使用.htaccess檔案將其設定為預設頁面,然後會透過郵件通知攻擊者這一動作。為了在受感染的系統上執行多個任務,惡意軟體可以在系統中載入不同的工具。大多數工具都是從Pastebin載入的。惡意軟體還會建立一個名為tools_ensikology的目錄來儲存這些工具。


往期回顧

記憶體安全週報02|未雨綢繆,以守為攻

記憶體安全週報 03| 瞭如指掌,洞察先機

記憶體安全週報04|明察秋毫,有備無患



安芯網盾(北京)科技有限公司(簡稱安芯網盾)是專注於記憶體安全的高新技術企業,致力於為政府、金融、運營商、軍工、教育、醫療、網際網路及大型企業等行業客戶提供面向未來的網路安全解決方案。安芯網盾擁有趕超國際的智慧記憶體保護技術,核心團隊成員自2005年就專注於資訊保安攻防對抗產品的研發並斬獲多項國際大獎,被評為具有發展潛力和行業價值的網路安全新創企業。安芯網盾幫助企業構建基於硬體虛擬化技術的記憶體安全環境,防禦並終止在業務關鍵應用程式中的無檔案攻擊、0day漏洞攻擊等高階威脅,切實有效保障使用者的核心業務不被阻斷,保障使用者的核心資料不被竊取,已為華為、Google、工商銀行、瑞斯康達、OPSWAT、費爾等眾多國際知名企事業單位持續提供服務。






相關文章