数字世界的高级威胁层出不穷,为了让企业能在发展前进的道路上所向披靡,必然要对高级威胁防微杜渐。
近年来,基于内存的高级威胁越来越常见。攻击者将带有恶意代码的文件伪装成正常的文件或邮件进行传播,在难以察觉其为病毒的情况下进入企业系统,成功绕开传统安全解决方案的查杀后,尝试与远程服务器通信获取远程控制指令,根据指令完成一系列远程控制恶意行为,推送虚假消息诱导点击访问安全性未知的网络链接等,实现远程盗窃并损坏企业核心数据。通过对此类高级的威胁的观察与学习,能够让企业有更强的防范意识,建立更完善的安全解决方案。
安芯网盾作为国内内存安全领域的开拓者和创新者,填补国内在内存安全问题方面实时检测与防御的空白,也为客户提供了新一代高级威胁实时防护解决方案。希望能和更多伙伴一起,保护万物互联的数字世界。
1、工业VPN缺陷可能使攻击者瞄准关键基础设施
(7.31)
网络安全研究人员发现了工业VPN实施中的严重漏洞,这些漏洞主要用于提供对操作技术(OT)网络的远程访问,这些漏洞可能使黑客能够覆盖数据,执行恶意代码并破坏工业控制系统(ICS)。其中包括一个严重漏洞(CVE-2020-14500),允许覆盖任意数据,执行任意代码或引起DDoS,以root用户身份运行命令以及由于使用而获得用户密码弱散列类型。另外,在Moxa EDR-G902和EDR-G903工业VPN服务器中,研究人员发现了系统Web服务器中基于堆栈的缓冲区溢出错误(CVE-2020-14511),只需发送特制HTTP请求即可触发该错误,最终使攻击者无需任何凭据即可执行远程代码执行。
2、GRUB2引导加载程序中发现新漏洞“ BootHole”,使安全启动设备受到攻击。
(7.30)
研究人员在多数Linux系统使用的GRUB2引导程序中发现了一个漏洞将,其命名为“BootHole”(CVE-2020-10713),即使启用了Secure Boot,也可在启动进程中执行任意代码。攻击者可利用该漏洞安装持久且隐秘的bootkit或恶意引导程序来控制设备。该漏洞影响使用Secure Boot的系统,即使它们不使用GRUB2。此外GRUB2还支持其它操作系统、内核和管理程序如Xen。这个漏洞还涉及到任何使用具有标准Microsoft Third Party UEFI Certificate Authority的Secure Boot的Windows设备,例如工业、医疗、金融等行业中使用的设备均受影响。该漏洞导致这些设备易遭到例如最近使用恶意UEFI引导程序的攻击活动。
3、Ensiko:含有勒索软件功能的Webshell
(7.30)
Ensiko已被确认是一款攻击包括Linux、Windows、macOS和其他安装了PHP 的平台在内的含有勒索软件功能的PHP Web Shell。恶意软件可以远程控制系统和接收命令来在受感染的机器上执行恶意活动。此外,还可以在受感染的系统上执行shell命令,并通过Php逆向shell 发送执行结果给攻击者。恶意软件会释放一个index.php 文件,并使用.htaccess 文件将其设置为默认页面,然后会通过邮件通知攻击者这一动作。为了在受感染的系统上执行多个任务,恶意软件可以在系统中加载不同的工具。大多数工具都是从Pastebin 加载的。恶意软件还会创建一个名为tools_ensikology 的目录来保存这些工具。
往期回顾
如若转载,请注明原文地址