黑鸟本周安全热点与分析/Vortex/IOTroop/CVE-2017-11292

释放双眼,带上耳机,听听看~!

1、出现利用Office DDE进行勒索软件投放样本,最新勒索样本Vortex家族现世

 

A.近期网上公开了多种根据Office DDE进行利用的案例,根据该线索,于近日,发现了一款利用DDE进行勒索软件投放的word恶意文档,并通过分析发现,该勒索软件为从未披露的Vortex家族。

B.什么是动态数据交换(DDE)协议?DDE协议是一套消息和指示的集合。通过发送消息以及共享内存实现应用程序的数据共享和交换。应用程序可以使用DDE协议实现一次性数据传输以及持续的数据交换(当新数据可用时,应用程序发送更新通知给另一个应用程序)

目前最普遍的利用方式如下,下面为一个弹出笔记本的案例。

 

C.通过该方式进行构造的文档,在打开时,会弹出提示框,来确认是否点击,因此用户在打开outlook客户端查看邮件及office文档时,请注意并切勿点击不清楚的弹框。

下面我们对这款最新利用DDE进行投放的恶意文档进行分析。

D.首先打开该样本,可以发现弹出一个弹框弹框

E.可以查看到利用更新对对象进行引用

 

F.下载的勒索软件为最新的勒索软件Vortex

 

可以看到文件的扩展名变为.aes

解决方案:用户可以通过关闭DDEAUTO来进行防御。

 

 

2、新的IOT僵尸网络IOTroop正在快速增长,或将超过Mirai历史感染量

IOTroopMirai类似, 恶意软件的目标是有网络连接设备, 如由 D-Link, TP-Link, Avtech, Netgear, MikroTik, Linksys, Synology GoAhead 制造的路由器和无线 IP 摄像机。

IOTroop Mirai不同,它更加复杂,除了弱凭证,还使用了十几个或更多的漏洞来获取这些设备。

例如:针对GoAhead 无线 IP 摄像机,攻击者利用了3月确定的已知的旁路身份验证漏洞 (CVE-2017-8225), 影响了1250多个相机型号。对于其他设备 (Linksys RangePlus WRT110 无线路由器), 对手正在利用自2014年以来已知的远程命令执行漏洞。

目前样本中集成了9IoT漏洞,涉及到的厂商如下:Dlink Goahead JAWS Netgear Vacron NVR Netgear Linksys dlink AVTECH

该僵尸网络内置了lua执行环境。尽管样本中删去了mirai相关攻击代码,但基于lua执行环境可以编写出非常复杂而且高效的攻击脚本。

通过360的样本分析发现,该样本集成了约100DNS服务器,并且对于C&C服务器有如下特征:

downloader,样本下载服务器,一般以“d”作为二级域名

controller,能够控制BOT、发送控制指令,一般以“e”作为二级域名

reporter,接收BOT扫描到的易感染设备信息,一般以“f”作为二级域名

loader,基于reporter获得的IP信息,通过漏洞植入bot


3、最新Flash漏洞CVE-2017-11292爆出,在野样本正被俄罗斯APT28组织利用

 

20171016日,Adobe发布安全通告,披露修复了一个Flash漏洞CVE-2017-11292。该漏洞影响全平台,且危害大,通过合理利用会导致任意命令执行,并且可以通过挂马的方式获得系统控制权。并且目前通过情报源发现,存在利用该漏洞的在野样本存在

影响版本:全平台

漏洞分析:通过邮件发送Office文档,在文档中嵌入一个包含Flash漏洞的ActiveX对象,通过类型混乱使内存损坏,获得内存任意读写操作权限,进行释放Payload

 

样本分析:

打开该样本后,漏洞就会触发,危害性很高。

 

通过代码比较,可以发现,样本与APT28使用的框架一致,因此可以判断该样本与俄罗斯APT组织相关。

 

解决方案:

禁用Flash插件,并获取最新的更新包

官方更新地址:https://get.adobe.com/cn/flashplayer/

官方公告:https://helpx.adobe.com/security/products/flash-player/apsb17-32.html

 

4、linux恶意样本Gafgyt已支持多种linux平台,可能影响所有部署linux系统设备

通过对该恶意样本进行分析,发现该样本会根据主机的linux系统版本进行下载恶意载荷。目前经过统计发现,支持的linux版本如下:x86,x64,ppc,arm,mips,spark

 

并且通过其中一个版本的样本发现,该样本存在针对android系统进行漏洞扫描的行为。因此,请部署有linux系统的用户及时升级版本,并提高密码的复杂性。

GafgytC语言编写而成的Gafgyt是一种相对比较简单的恶意软件。Gafgyt僵尸网络只能发动UDPTCP洪流,而不支持反射式DDoS攻击。另外,其亦使用简单的C&C服务器结构。

该家族主要靠爆破(如下图)以及利用漏洞进行样本传播,未来很有可能利用类似上面的IOTroop僵尸网络的漏洞进行大规模的传播,请用户及时升级设备。


 


欢迎关注黑鸟公众号,长按图片点击关注

本文源自微信公众号:黑鸟

人已赞赏
安全工具

CVE-2017-8759利用脚本,自带Payload,创建的RTF打开就中招,内附演示视频

2019-10-16 10:16:53

安全工具

解析俄罗斯APT网络攻击生态系统(APT Ecosystem)

2019-10-16 10:17:02

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索