核心漏洞的危害較大,被攻擊時輕則藍色畫面當機,重則被駭客軟體利用,特權提升,繞過系統現有防護。在記憶體中直接載入執行程式碼,增加了傳統防護軟體的檢測難度,是駭客軟體常用的方法。
安芯網盾記憶體安全週報專欄,幫助企業更好的理解和認識到記憶體安全問題,希望能幫助使用者有效應對系統設計缺陷、外部入侵等威脅,幫助使用者實時防禦並終止無檔案攻擊、0day 攻擊、基於記憶體的攻擊等。
1、TeamTNT 殭屍網路增強了其惡意指令碼功能。
(1.13)
TeamTNT 殭屍網路自去年 4 月以來一直處於活躍狀態,而在其最新的變體中,TeamTNT的指令碼得到了增強,除挖掘加密貨幣之外,還增加了其他功能。
詳細資訊
TeamTNT 殭屍網路以下載XMRig 加密工具並挖礦而廣為人知。值得注意的是,在最近的更新中,TeamTNT惡意指令碼除了增強了挖礦能力外還更新了 Docker API和AWS憑證的竊取功能。另外還會在系統中留下了一個後門程式,方便遠端連線到目標系統。系統管理員應持續監視和稽核裝置,尤其是用於訪問辦公室網路的裝置,定期修補和更新系統,以確保系統得到充分防禦。
新聞來源:
https://securityaffairs.co/wordpress/113228/malware/tamtnt-botnet-docker-aws.html
2、微軟修復了Microsoft Defender中的1個嚴重0day RCE漏洞。
(1.12)
微軟在2021年的第一個補丁星期二釋出了83個漏洞的補丁,其中嚴重漏洞共有10個,包括微軟惡意軟體防護引擎“Microsoft Defender”中的一個嚴重0day RCE漏洞。
詳細資訊
該0day RCE漏洞編號為CVE-2021-1647,是Microsoft Defender中的嚴重漏洞。此漏洞不會影響網路堆疊,攻擊者可以利用SSH透過訪問計算機本身或誘使使用者執行觸發漏洞的操作(如開啟惡意檔案)來進行遠端訪問。微軟稱,針對此漏洞的攻擊複雜性很低,攻擊者只需要具有基礎使用者功能的許可權即可利用該漏洞。由於Microsoft Defender的流行度較高,該漏洞將為攻擊者提供一個巨大的攻擊面。相關補丁程式下載地址:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1647
新聞來源:
https://www.darkreading.com/threat-intelligence/microsoft-defender-zero-day-fixed-in-first-patch-tuesday-of-2021/d/d-id/1339881
專家點評#記憶體安全資深專家WHFJ
由於指令碼類攻擊的宿主程式大多是系統的自帶的程式,傳統安全軟體檢測難度大,隨著虛擬貨幣的瘋狂炒作,挖礦病毒已經成為不法分子利用最為頻繁的攻擊方式之一。而系統自帶軟體的RCE漏洞,讓系統更容易被遠端攻擊。管理員需要經常打補丁、關注執行的業務系統是否異常,比如CPU佔用率高,異常的網路通訊。相對於這種繁瑣的維護方式,採用記憶體保護可以有效減緩漏洞、指令碼類無檔案攻擊、挖礦病毒等帶來危害。