挖礦,泄密,微軟成幫凶,惡意軟體Zyklon捲土重來
大家好,今天故事的主人公是微軟。
事件報告
最近,安全研究人員發現黑客們利用Microsoft Office剛剛披露的三個漏洞,傳播一個先進的殭屍網路惡意軟體——Zyklon。
這個打不死的小強在消失將近兩年後,再次捲土重來,而這次它主要針對的是電信、保險和金融服務。
2016年初,Zyklon作為一款殭屍網路惡意軟體在網上爆發。它通過一個匿名網站與其終端伺服器進行通信,將受害者的敏感數據發送給攻擊者。
Zyklon能運行額外的插件、在後台運行系統進行DDoS攻擊以及挖礦。Zyklon曾一度風靡於地下市場,其售價分別為普通版本75美元和Tor-enabled版本125美元。
根據FireEye 最近發布的公開報告,這些攻擊者利用Microsoft Office以下三個漏洞在目標計算機上執行PowerShell腳本,從C&C伺服器下載最終的有效載荷。
http://1.NET Framework RCE漏洞(CVE-2017-8759) - Microsoft .NET Framework在處理不受信任的輸入時,存在遠程代碼執行漏洞。攻擊者通過電子郵件發送惡意文檔,在受害者打開文檔後,該漏洞允許攻擊者控制受害者的電腦。微軟已經在9月的更新中發布了這個漏洞的安全補丁。
2.Microsoft Office RCE漏洞(CVE-2017-11882) - 這是微軟在11月程序更新中修復的內存損壞漏洞,它允許遠程攻擊者在不需要用戶打開惡意文件的情況下,就能在目標系統上執行惡意代碼。3.動態數據交換協議(DDE Exploit) - 這種技術允許攻擊者在無需啟用宏或內存損壞的情況下,利用Microsoft Office的內置功能(DDE)在目標設備上執行代碼。正如研究人員所說,攻擊者正在積極利用這三個漏洞,用釣魚郵件傳播Zyklon,這些郵件通常會附帶一個包含惡意Office文檔的ZIP文件。
一旦打開文件,帶有這些漏洞的惡意文件會立即運行一個PowerShell腳本,並將有效載荷下載到受感染的計算機上。
FireEye的研究人員稱:
這些技術使用相同的域,下載另一個Base64編碼的PowerShell腳本——Pause.ps1,以便解析代碼並注入所需的API以及可注入的shellcode,並用這些代碼從伺服器下載最終的有效載荷。
更騷的是,PowerShell腳本通過連接到一個無點的IP地址(如:http:// 3627732942),以下載最終的有效載荷。
無點的IP地址(即「十進位地址」)是IPv4地址的十進位值。
幾乎所有的現代網路瀏覽器都會在十進位值後面用「http://」表示,它們將被解析為等效的IPV4地址。
例如,Google的IP地址216.58.207.206也可以用十進位值表示為http:// 3627732942。
防護方法
注意那些通過電子郵件發送的文檔,也不要點擊尚未充分驗證源文件的鏈接。
注意更新軟體和系統至最新狀態,攻擊者會整合最近發布和修補的漏洞,專門進攻不勤於更新的用戶(小編躺槍更多精彩
間諜軟體Skygofree潛伏4年,你的秘密還在嗎?內含POC | 又一個漏洞可以遠程控制你的電腦!佛系工具:如果我應該被知道,那就會被知道QQ圖片未加密,可被黑客替換成支付寶付款碼!揭秘馬化騰看沒看你的微信聊天!內附解決方案QQ圖片未加密,可被黑客替換成支付寶付款碼!揭秘馬化騰看沒看你的微信聊天!內附解決方案*IDEA值得分享 | 轉載註明出處
http://weixin.qq.com/r/00jcxCrEInddrW6n9x3B (二維碼自動識別)
推薦閱讀:
※讓「老乾媽」泄密的賈某曾經簽過這份協議,這下他要倒大霉了!快來算算,他得賣多少個腎……
※iPhone X圖紙價值連城,「員工」裡應外合聯手盜竊,撬動蘋果地下產業
TAG:微软Microsoft | 泄密 | 互联网 |