AVC2018年度安卓杀软评价:腾讯TAV杀毒引擎的检测率达到100%
3月,互联网平安舆论讲述了本月各种平安事宜的比例。回顾热门平安话题——AMD4类平安破绽共13个,成本月热,github遭受最大规模的痛苦ddos攻击,剑桥分析公司私人网络Facebook用户的个人信息问题将用户信息安全的概念推向舆论端口,以及其他攻击、勒索、流行木马、采矿等事项的概述。一、国际舆论概况
根据腾讯反病毒实验室的后台统计,3月份的热门话题分为缺陷、有害样本、勒索欺诈、攻击、钓鱼和采矿木马。缺陷是安全的,DDoS攻击,数据泄露,banker与上月相比,木马和采矿木马的划分水平有所不同,整体安全话题略有上升。下图为3月份信息漫衍。
3月份的重大安全事项包括Github遭受大规模DDoS攻击、AMD Ryzen和EPYC剑桥分析公司私人网络系列处置器爆出4种缺陷Facebook用户个人信息。其他一般的安全问题仍在继续。本文从缺陷安全、木马盛行、攻击事项、采矿事项、DDoS本月典型的安全事项包括攻击、垃圾邮件和数据泄露。
二、热门平安事宜概况
下面划分从几个占比较大且有特点的平安类型展示本月热门事宜。
平安破绽
系统缺陷和应用软件缺陷反复曝光。用户应注意制造商实时发布的补丁,做好系统升级、软件更新和安全检测软件更新。本月有三个流行的缺陷:影响AMD Ryzen和EPYC系列处理器AMD四类破绽、Vmware Workstation的Dos破绽、Adobe ReaderDC随机代码执行缺陷。
- AMD已确认四类破绽的有用性,而且影响了AMD Ryzen和EPYC系列处置器
其中,RyzenFall,MasterKey,Fallout是由于AMD由于安全处理器和集成内存控制器设计的缺陷,使用系统共享内存,而不是单独的物理内存空间,导致攻击者绕过安全检查、公共和私钥泄露,购买虚拟机和主机;Chimera缺陷会影响处理处理器、内存和外设之间的通信AMD芯片组(主板组件),攻击者可以执行代码并将虚假信息传递给其他组件。
- Vmware Workstation爆出Dos破绽CVE-2018-6957
克日,VMware工作站版及Fusion产物爆出 DoS破绽CVE-2018-6957,大量的VNC相邻会导致服务器触发异常,导致虚拟机关闭。攻击者可以启动VNC会话触发了这个缺陷。
- Adobe ReaderDC发现随机代码执行缺陷
在Adobe Acrobat Reader DC 2018.009.20044打开特制PDF嵌入文档时PDF文件中的Javascript剧本可能导致文档ID字段用于无限复制操作,导致基于客栈的缓冲区溢出。堆栈溢出会导致一个被称为返回地址笼罩的操作,这将导致随机代码执行。如果你想行使这个缺陷,你需要打开恶意文件或访问恶意网页。
木马 盛行
木马技术随着软检测手段的改进而不断升级,变体的更新越来越频繁,这就要求用户不仅要安装杀毒软件,还要注意软更新和病毒库的实时升级,对病毒的有用防范。本月主要有两种新型木马:FlawedAmmyy基于正当软件泄露件泄露的代码,更加混乱;TrickBot新的木马模块。
- 木马FlawedAmmyy使用正当软件的泄露源代码来窥视用户
Ammyy Admin是一种流行的远程桌面接收工具,企业和用户用它来处理Microsoft Windows远程控制和诊断机械。然而,最近新发现的FlawedAmmyy木马是为基础Ammyy Admin在第三版的泄露源代码上,攻击者可以偷窥安装的软件。木马可以完成远程桌面控制,为黑客提供完全接触系统的权限,并有机会窃取文件、凭证等。恶意软件也可能滥用音频聊天。
- TrickBot木马获取Screenlocker组件
TrickBot木马通过下载各种不同的模块来吸引受害者,已知的模块包括银行木马(浏览器注入器),并从引主机发送垃圾邮件,SMB最近在受害者机械上发现了自我复制蠕虫等。TrickBot木马新模块——creenlocker,如果不是电子银行用户,其作用是检测被熏染用户的勒索行为。
攻击事宜
本月的热门攻击包括印度电力公司和亚特兰大的勒索软件攻击,Hidden Cobra对土耳其金融机构进行鱼叉攻击。
- 黑客攻击印度电力公司(UHBVN)
3月21日,黑客获得印度Uttar Haryana Bijli Vitran Nigam(UHBVN)电力公司的计算机系统接收权窃取了客户的账单数据。攻击者要求支付一个RS Core,或者1000万卢比用于恢复数据,相当于大约15万美元。据说这些数据是通过输入日志和其他来源来恢复的。账单数据的丢失意味着电力公司将无法向其客户发送准确的账单,用于当前消费和以前缺乏的任何账单。
- 亚特兰大被勒索软件攻击
克日亚特兰大遭受了网络攻击,暂停了几个计算机系统,导致在线支付账单和一些执法数据无法使用。据攻击者称,攻击文件已经加密,需要一把钥匙才能重新获得接收权,并要求使用比特币支付赎金。
AMD录屏软件爆高危漏洞
- Hidden Cobra 攻击土耳其金融机构
近期Hidden Cobra包罗恶意Microsoft Word鱼叉电子邮件攻击土耳其金融机构,主要包括政府控制的主要金融机构和另一个涉及金融和商业的土耳其政府组织。使用的恶意文件包括嵌入式文件Adobe Flash CVE-2018-4878破绽行使程序允许攻击者随意植入代码。
采矿事宜
数字加密硬币价格上涨,数量减少,以及其销售隐私,导致挖掘木马源源不断地涌现,通常是行使系统或应用软件的缺陷,以最大限度地传播。本月流行的采矿事项不是最新的缺陷,而是以前的缺陷,但仍有企业或用户没有安装补丁。
- 门罗币采矿木马WannaMiner行使永恒蓝的瑕疵流传
近期,WannaMiner门罗币挖掘木马行使永恒蓝色的缺陷已经传播开来。木马将吸毒机构建成一个强大的僵尸网络,支持内部网络的自更新,并以一种相对低调的利润方式挖掘。只有2017年5月的永恒蓝色缺陷WannaCry当事件发生时,许多机械已经安装了响应补丁,但仍有一些部门和企业没有安装补丁或部署防护措施。因为它是在内部网络传播的过程中通过的SMB内核攻击可能导致企业内网大量机械出现蓝屏迹象。
- 行使CVE-2017-8464开采的缺陷
lnk远程代码执行缺陷CVE-2017-8464可用于攻击基础设施和存储关键数据的焦点隔离系统,对政府和企业单位的内部网络安全构成巨大威胁。克里发现了门罗币挖掘木马的攻击,攻击者行使了毒药U一旦用户运行盘熏染目的用户机械U无需任何操作,计算机将被犯罪分子远程控制。此外,病毒样本将被释放。CVE-2017-8464缺陷文件,继续熏染其他插入的可移动磁盘。
- 黑客行使旧破绽将Linux服务器酿造加密硬币矿工
黑客组织行使Cacti“Network Weathermap”插件中一个已有5年历史的破绽,在Linux安装在服务器上Monero矿工赚了近7.5万美元。这个缺点是Network Weathermap中的editor.php跨站剧本的缺陷允许远程攻击者通过map_title随便注入参数web剧本或HTML。
DDoS攻击
memcached 是一种免费开源的高性能漫衍内存缓存系统,旨在通过减少数据库负载来加速动态Web最近攻击者滥用了应用程序memcached举行DDoS扩大攻击。攻击者通过端口11211向目标服务器发送,以诱骗受害者IP地址请求由几个字节组成,响应可能是数万倍,导致攻击扩大。这个月的流行DDoS事宜——github遭受最大的DDoS攻击就是行使memcached举行的DDoS放大攻击。
- Github遭受最大的DDoS攻击
近期,github迄今为止遭受了最大的纪录DDoS攻击,攻击的第一部1.35Tbps,然后又出现了另一个400Gbps峰值。攻击者基于公共互联网发送小字节UDP请求数据包设置错误memcached作为回应,服务器,memcached服务器通过方向GitHub.com发送大量不成比例的响应,触发15个字节的请求134KB大规模的响应,甚至更大数据量的响应效果DDoS攻击。
(图片来源githubengineering)
垃圾邮件
本月垃圾邮件热点:Sanny为政府机构分发恶意软件,窃取木马变种信息。
- Sanny窃取木马信息的变种为政府机构分发恶意软件
3月中下旬,攻击者将通过鱼叉网络钓鱼攻击SANNY恶意软件变种分发给世界各地的许多政府。攻击分为多个阶段,每个阶段从攻击者的服务器下载,SANNY变种还增加了规避命令行的工艺,熏染操作Windows 10系统的能力,以及使用最近的用户账户控制(UAC)旁路手艺。
数据泄露事项
本月流行的数据泄露主要有以下两件事:纽约一家医院的服务器受到攻击13.5公民信息泄露,剑桥分析公司私人网络超过5000万Facebook用户个人信息。
- 纽约一家医院的服务器受到攻击13.5泄露万公民个人信息
最近,纽约奥尔巴尼一家医院的服务器被入侵,攻击者获得了未经授权的服务器接收权,服务器发生了数据泄露,约13.5泄露了姓名、出生日期、地址、服务日期、诊断代码、保险信息等个人信息。
- 剑桥分析公司私自跨越5000万个网络Facebook用户个人信息
2018年三月,勒索病毒月报