嗨,2021年了,祝關注記憶體安全專欄的朋友「四季常安」。
過去的2020年,我們推出了25期記憶體安全週報欄目,我們用了「50個成語」,從「知己知彼,百戰不殆」到「心中有數,料事如神」,我們為大家呈現當前發生過的與記憶體安全相關的事件,幫助更廣泛的企業CSO、CIO以及安全負責人更好的理解和認識到記憶體安全問題。
或許你還不太瞭解記憶體攻擊如何發生,或者你還沒有意識到記憶體安全其實離你很近,網際網路時代使得資訊自由的同時,卻也讓我們淹沒在資料當中,使得很多人看不清楚網路威脅發生在何處。然,今天不在你身邊發生的事,不代表沒發生。
關注記憶體安全,帶你瞭解更多前沿、專業的安全知識,保護企業核心業務不被阻斷,核心資料資產不被竊取。
新的惡意軟體濫用 GitHub 和 Imgur入侵系統。
1月2日,與MuddyWater APT組織相關的新惡意軟體被發現,它使用Word檔案與宏下載在GitHub上託管的 PowerShell 指令碼,該指令碼從影像共享社群Imgur下載合法的影像檔案,而Imgur被攻擊者用來在Windows系統上解碼Cobalt Strike指令碼。
具體攻擊過程
該惡意軟體在舊版 Microsoft Word (*.doc) 檔案中透過嵌入的宏傳播。
1、開啟Word文件後,該惡意軟體將執行其嵌入的宏,宏啟動powershell.exe並將執行託管在GitHub上的powershell指令碼新增上去。
2、單行PowerShell指令碼從Imgur下載一個PNG檔案。在此影像中,下載的影像畫素值由PowerShell指令碼用於計算下一階段的有效負載。
3、該惡意軟體可以在PNG檔案的畫素範圍內對PowerShell指令碼進行編碼,並使用一行命令執行有效載荷,從而將一個有效載荷隱藏在影像中。
4、這段惡意的載荷使用WinINet模組與C2伺服器通訊以獲取進一步的指令。但是,C2伺服器將不可訪問。
新聞來源:
https://cyware.com/news/new-malware-strain-abuses-github-and-imgur-e29bc6f6
專家點評
#記憶體安全權威專家Linxer
使用 GitHub 和 Imgur 等合法服務可以讓攻擊者降低暴露的風險。建議企業謹慎防範此類攻擊,向員工提供識別網路釣魚電子郵件的培訓,在不需要時禁用宏,使用可靠的防病毒軟體,並經常更新所有軟體和修補程式;如不能禁用宏,也可使用安芯神甲智慧記憶體保護系統防護利用宏的惡意攻擊,防禦利用宏的一些無檔案攻擊。
安芯網盾(北京)科技有限公司(簡稱安芯網盾)是專注於記憶體安全的高新技術企業,致力於為政府、金融、運營商、軍工、教育、醫療、網際網路及大型企業等行業客戶提供面向未來的網路安全解決方案。安芯網盾擁有趕超國際的智慧記憶體保護技術,核心團隊成員自2005年就專注於資訊保安攻防對抗產品的研發並斬獲多項國際大獎,被評為具有發展潛力和行業價值的網路安全新創企業。
安芯網盾幫助企業構建基於硬體虛擬化技術的記憶體安全環境,防禦並終止在業務關鍵應用程式中的無檔案攻擊、0day漏洞攻擊等高階威脅,切實有效保障使用者的核心業務不被阻斷、核心資料不被竊取,已為華為、百度、金山、中國海關、北京銀行、Google、G42等眾多國際知名企事業單位持續提供服務。