挖礦，泄密，微軟成幫凶，惡意軟體Zyklon捲土重來

大家好，今天故事的主人公是微軟。

事件報告

最近，安全研究人員發現黑客們利用Microsoft Office剛剛披露的三個漏洞，傳播一個先進的殭屍網路惡意軟體——Zyklon。

這個打不死的小強在消失將近兩年後，再次捲土重來，而這次它主要針對的是電信、保險和金融服務。

2016年初，Zyklon作為一款殭屍網路惡意軟體在網上爆發。它通過一個匿名網站與其終端伺服器進行通信，將受害者的敏感數據發送給攻擊者。

Zyklon能運行額外的插件、在後台運行系統進行DDoS攻擊以及挖礦。

Zyklon曾一度風靡於地下市場，其售價分別為普通版本75美元和Tor-enabled版本125美元。

根據FireEye 最近發布的公開報告，這些攻擊者利用Microsoft Office以下三個漏洞在目標計算機上執行PowerShell腳本，從C＆C伺服器下載最終的有效載荷。

http://1.NET Framework RCE漏洞（CVE-2017-8759） - Microsoft .NET Framework在處理不受信任的輸入時，存在遠程代碼執行漏洞。攻擊者通過電子郵件發送惡意文檔，在受害者打開文檔後，該漏洞允許攻擊者控制受害者的電腦。微軟已經在9月的更新中發布了這個漏洞的安全補丁。

2.Microsoft Office RCE漏洞（CVE-2017-11882） - 這是微軟在11月程序更新中修復的內存損壞漏洞，它允許遠程攻擊者在不需要用戶打開惡意文件的情況下，就能在目標系統上執行惡意代碼。

3.動態數據交換協議（DDE Exploit） - 這種技術允許攻擊者在無需啟用宏或內存損壞的情況下，利用Microsoft Office的內置功能（DDE）在目標設備上執行代碼。

正如研究人員所說，攻擊者正在積極利用這三個漏洞，用釣魚郵件傳播Zyklon，這些郵件通常會附帶一個包含惡意Office文檔的ZIP文件。

一旦打開文件，帶有這些漏洞的惡意文件會立即運行一個PowerShell腳本，並將有效載荷下載到受感染的計算機上。

FireEye的研究人員稱：

這些技術使用相同的域，下載另一個Base64編碼的PowerShell腳本——Pause.ps1，以便解析代碼並注入所需的API以及可注入的shellcode，並用這些代碼從伺服器下載最終的有效載荷。

更騷的是，PowerShell腳本通過連接到一個無點的IP地址（如：http：// 3627732942），以下載最終的有效載荷。

無點的IP地址（即「十進位地址」）是IPv4地址的十進位值。

幾乎所有的現代網路瀏覽器都會在十進位值後面用「http：//」表示，它們將被解析為等效的IPV4地址。

例如，Google的IP地址216.58.207.206也可以用十進位值表示為http：// 3627732942。

防護方法

注意那些通過電子郵件發送的文檔，也不要點擊尚未充分驗證源文件的鏈接。

注意更新軟體和系統至最新狀態，攻擊者會整合最近發布和修補的漏洞，專門進攻不勤於更新的用戶（小編躺槍

更多精彩

間諜軟體Skygofree潛伏4年，你的秘密還在嗎？mp.weixin.qq.com內含POC | 又一個漏洞可以遠程控制你的電腦！mp.weixin.qq.com佛系工具：如果我應該被知道，那就會被知道mp.weixin.qq.comQQ圖片未加密，可被黑客替換成支付寶付款碼！mp.weixin.qq.com揭秘馬化騰看沒看你的微信聊天！內附解決方案mp.weixin.qq.comQQ圖片未加密，可被黑客替換成支付寶付款碼！mp.weixin.qq.com揭秘馬化騰看沒看你的微信聊天！內附解決方案mp.weixin.qq.com

*IDEA值得分享 | 轉載註明出處

http://weixin.qq.com/r/00jcxCrEInddrW6n9x3B (二維碼自動識別)

推薦閱讀：