操屁眼的视频在线免费看,日本在线综合一区二区,久久在线观看免费视频,欧美日韩精品久久综

新聞資訊

    近年來,惡意軟件攻擊變得越來越復雜,攻擊者會不斷尋找新的方法來進行攻擊與竊取敏感數據。研究人員近日發現了一個名為 Devopt 的后門,提供按鍵記錄、瀏覽器憑據竊取等功能。短短幾日,后門的多個版本就輪番出現,這表明攻擊者仍然在積極開發中。

    攻擊活動

    研究人員在尋找新的惡意軟件時發現了使用 Free Pascal 創建的后門,該后門能夠從失陷主機中竊取數據。調查中發現一個俄語網站,用戶在網站上完成涉及惡意軟件下載的任務后會獲得經濟獎勵。通過進一步分析,下載的惡意軟件是壓縮文件的圖標,并且引誘用戶雙擊執行。網絡犯罪分子也會使用經濟激勵等策略來引誘用戶下載惡意軟件,其 URL 通常遵循如下結構:wdfiles-download[.]siteme[.]org/arxiv[digit].exe。

    誘使用戶下載惡意樣本

    技術分析

    最早發現的后門包含圖形界面且沒有經過混淆,大約為 20MB。新變種約為 2MB,且使用編碼來混淆字符串。

    舊版本后門使用 HTTP 協議,而新版本后門使用 HTTPS 協議。為了建立網絡連接,后門依賴 libcrypto-1_1.dll、libeay32.dll、libssl-1_1.dll、libssl32.dll 與 ssleay32.dll 這幾個 DLL 文件。如果缺少這些依賴,惡意軟件將不會感染系統。

    混淆字符串

    原始字符串

    描述

    5494-4756-7544-6970-9430-8282-9348-9430-7544

    C:\Users\

    失陷主機用戶目錄

    7544-5576-8282-9430-8774-9512-9102-9184-7544

    \Desktop\

    失陷主機桌面目錄

    7544-5576-9102-8118-9594-8938-8282-9020-9512-9430-7544

    \Documents\

    失陷主機文檔目錄

    7544-5576-9102-9758-9020-8856-9102-7954-8200-9430-7544

    \Downloads\

    失陷主機下載目錄

    8200-8282-9676-9102-9184-9512-3444-3772-8282-9840-8282

    devopt*.exe

    創建副本文件持久化

    7544-7134-8610-9020-8774-8282-9922-6068-8282-9512-3772-8610-9020-8610

    \WinkeyJet.ini

    配置文件名

    8528-9512-9512-9184-9430-4756-3854-3854-8938-9676-8200-3690-8774-3690-9512-9594-8856-7954-3772-9430-8610-9512-8282-8938-8282-3772-9102-9348-8446-3854

    https[:]//mvd-k-tula[.]siteme[.]org/

    C&C 服務器

    7544-5330-9184-9184-5576-7954-9512-7954-7544-6724-9102-7954-8938-8610-9020-8446-7544-6314-8610-8118-9348-9102-9430-9102-8364-9512-7544-7134-8610-9020-8200-9102-9758-9430-7544-6806-9512-7954-9348-9512-2624-6314-8282-9020-9594-7544-6560-9348-9102-8446-9348-7954-8938-9430-7544-6806-9512-7954-9348-9512-9594-9184-7544

    \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

    啟動路徑

    6314-9102-10004-8610-8856-8856-7954-3854-4346-3772-3936-2624-3280-7134-8610-9020-8200-9102-9758-9430-2624-6396-6888-2624-4428-3772-4100-4838-2624-9348-9676-4756-4018-3936-4264-3772-3936-3362-2624-5822-8282-8118-8774-9102-3854-4100-3936-4018-3936-3936-4018-3936-4018-2624-5740-8610-9348-8282-8364-9102-9840-3854-4018-3936-4264-3772-3936

    Mozilla/5.0 (Windows NT 6.2; rv:104.0) Gecko/20100101 Firefox/104.0

    User-Agent

    8856-8610-9430-9512-8282-9020-8282-9348-3772-9184-8528-9184

    listener.php

    回傳地址

    早期版本的后門需要用戶點擊提交,新版本的后門則無需交互即可靜默運行。

    早期版本的后門

    其他分析

    持久化

    樣本文件會在啟動文件夾中進行復制,使其在計算機開機時保持啟動,其路徑為:C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\devopt[random 2 digits].exe。

    持久化機制

    剪貼板復制

    樣本文件會創建名為 C:\User\[User]\clippa.dan的文件,其中記錄了剪貼板中的所有信息。

    獲取剪貼板數據

    信息竊密

    在 C:\User\[User]\中的 cdck.bin與 bdck.bin,竊取特定瀏覽器的憑據、Cookie、歷史記錄和版本信息:

    從 Chrome 瀏覽器收集的數據:

    • [C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Network\Cookies]
    • [C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\History]
    • [C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Login Data]
    • [C:\Users\User\AppData\Local\Google\Chrome\User Data\Last Version]

    從 Yandex 瀏覽器收集的數據:

    • [C:\Users\User\AppData\Local\Yandex\YandexBrowser\User Data\Default\Network\Cookies]
    • [C:\Users\User\AppData\Local\Yandex\YandexBrowser\User Data\Default\Network\History]
    • [C:\Users\User\AppData\Local\Yandex\YandexBrowser\User Data\Default\Ya Passman Data]
    • [C:\Users\User\AppData\Local\Yandex\YandexBrowser\User Data\Default\Ya Autofill Data]

    按鍵記錄

    惡意軟件會創建 C:\User[User]\Kebba.dan 文件來存儲用戶的按鍵記錄。

    按鍵記錄

    數據收集

    遍歷文件目錄

    惡意軟件會查找存儲在文檔文件夾、下載文件夾與桌面文件夾的各種文件,竊取的文件會保存在 C:\User[User]\grb.bin。

    竊取內容

    釋放的文本文件

    早期版本的后門使用名為 unpacked.dt 的文件,其中包含隨機生成的字符串。新版本中,該文件名為 0.txt。

    隨機字符串

    該文件可能是為了旨在干擾惡意軟件分析人員,并沒有實際作用。

    配置文件

    名為 Winkeyjet.ini 的配置文件中,包含有關失陷主機的相關信息,例如操作系統名、設備 ID 與操作系統版本號等。此外,文件中還包含惡意軟件的硬編碼版本號。配置文件中還指定了 C&C 服務器:

    配置文件

    早期版本的惡意軟件會顯示消息框,文本是嘲笑俄羅斯總統普京的標語。

    消息框

    網絡通信

    網絡通信

    命令

    后門所支持的命令如下所示:

    命令列表

    舊版本的惡意軟件不支持收集驅動器和進程信息的 DRLS 和 PRLS 命令。

    結論

    該惡意軟件是一種多功能的后門,可以竊取機密信息、記錄按鍵、竊取文件以及建立對失陷主機的持久訪問權限。攻擊者也在不斷為該后門增加新功能使其更加隱蔽,并且使用了各種檢測逃避技術來改進惡意軟件。Devopt 后門將命令進行編碼,并且使用了誤導性名稱文件來欺騙惡意軟件分析人員。

    IOC


    mvd-k-tula[.]siteme[.]org
    mvd-k-tula[.]ru
    wdfiles-download[.]siteme[.]org/arxiv5.exe

    翻譯自

    https://www.zscaler.com/blogs/security-research/introducing-devopt-multifunctional-backdoor-arsenal

    互聯網安全威脅態勢

    1

    CVE統計

    最近一周CVE公告總數與前期相比大幅下降,值得關注的高危漏洞如下:

    2

    威脅信息回顧

    ● 英特爾CPU芯片故障

    ●因特爾Atom C2000系列處理器含有一個能有效影響設備的缺陷,時鐘信號問題,將可能導致采用其芯片的網絡硬件設備出現故障甚至停機。思科已發出警告稱,其路由、 光網絡、 安全和交換機等產品,在 2016 年 11 月 16 日之前的版本可能存在思科時鐘芯片部件問題

    ●RSA熱議之威脅情報

    ●一年一度的美國RSA 2017又要開幕了,今年創新沙盒上照樣少不了威脅情報公司的身影,想當年CrowdStrike就是在RSA 2012上露面,Fireeye成立時間比RSA早,不然的話估計也會在RSA上嶄露頭角。今年,Webroot殺入了2017 RSA創新沙盒Final List,不知道是否可以勝出。這么火熱的威脅情報話題,持續了好多年,那它到底是怎么回事兒?知乎上 @機智的大群主 對威脅情報的解釋挺通俗易懂,大家可以看看。

    (數據來源:綠盟科技 威脅情報與網絡安全實驗室 收集整理)

    漏洞研究

    1

    漏洞庫統計

    截止到2017年2月10日,綠盟科技漏洞庫已收錄總條目達到35885條。本周新增漏洞記錄60條,其中高危漏洞數量37條,中危漏洞數量20條,低危漏洞數量3條。

    ●OpenJPEG sycc422_t_rgb函數拒絕服務漏洞(CVE-2016-3183)

    ●危險等級:中

    ●cve編號:CVE-2016-3183

    ●OpenJPEG color_cmyk_to_rgb函數拒絕服務漏洞(CVE-2016-4796)

    ●危險等級:中

    ●cve編號:CVE-2016-4796

    ●OpenJPEG opj_tcd_init_tile函數拒絕服務漏洞(CVE-2016-4797)

    ●危險等級:中

    ●BID:90641

    ●cve編號:CVE-2016-4797

    ●Adobe Acrobat Reader遠程代碼執行漏洞(CVE-2017-2962)

    ●危險等級:高

    ●BID:95340

    ●cve編號:CVE-2017-2962

    ●Adobe Acrobat Reader堆緩沖區溢出漏洞(CVE-2017-2966)

    ●危險等級:高

    ●BID:95344

    ●cve編號:CVE-2017-2966

    ●Adobe Acrobat Reader堆緩沖區溢出漏洞(CVE-2017-2959)

    ●cve編號:CVE-2017-2959

    ●Adobe Acrobat Reader堆緩沖區溢出漏洞(CVE-2017-2949)

    ●cve編號:CVE-2017-2949

    ●Adobe Acrobat Reader堆緩沖區溢出漏洞(CVE-2017-2946)

    ●cve編號:CVE-2017-2946

    ●Adobe Acrobat Reader堆緩沖區溢出漏洞(CVE-2017-2942)

    ●cve編號:CVE-2017-2942

    ●Adobe Acrobat Reader堆緩沖區溢出漏洞(CVE-2017-2945)

    ●cve編號:CVE-2017-2945

    ●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2965)

    ●危險等級:高

    ●BID:95345

    ●cve編號:CVE-2017-2965

    ●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2967)

    ●cve編號:CVE-2017-2967

    ●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2964)

    ●cve編號:CVE-2017-2964

    ●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2963)

    ●cve編號:CVE-2017-2963

    ●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2960)

    ●cve編號:CVE-2017-2960

    ●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2954)

    ●cve編號:CVE-2017-2954

    ●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2953)

    ●cve編號:CVE-2017-2953

    ●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2944)

    ●cve編號:CVE-2017-2944

    ●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2943)

    ●cve編號:CVE-2017-2943

    ●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2941)

    ●cve編號:CVE-2017-2941

    ●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2940)

    ●cve編號:CVE-2017-2940

    ●WebKit 內存破壞漏洞(CVE-2016-9642)

    ●危險等級:低

    ●BID:94554

    ●cve編號:CVE-2016-9642

    ●b2evolution 目錄遍歷漏洞(CVE-2017-5539)

    ●危險等級:高

    ●BID:95700

    ●cve編號:CVE-2017-5539

    ●Adobe Acrobat Reader堆緩沖區溢出漏洞(CVE-2017-2972)

    ●危險等級:高

    ●BID:95690

    ●cve編號:CVE-2017-2972

    ●Adobe Acrobat Reader堆緩沖區溢出漏洞(CVE-2017-2971)

    ●cve編號:CVE-2017-2971

    ●Adobe Acrobat Reader堆緩沖區溢出漏洞(CVE-2017-2970)

    ●cve編號:CVE-2017-2970

    ●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2939)

    ●cve編號:CVE-2017-2939

    ●Adobe Acrobat Reader遠程代碼執行漏洞(CVE-2017-2961)

    ●危險等級:高

    ●BID:95343

    ●cve編號:CVE-2017-2961

    ●Adobe Acrobat Reader遠程代碼執行漏洞(CVE-2017-2958)

    ●cve編號:CVE-2017-2958

    ●Adobe Acrobat Reader遠程代碼執行漏洞(CVE-2017-2951)

    ●cve編號:CVE-2017-2951

    ●Adobe Acrobat Reader遠程代碼執行漏洞(CVE-2017-2957)

    ●cve編號:CVE-2017-2957

    ●Adobe Acrobat Reader遠程代碼執行漏洞(CVE-2017-2956)

    ●cve編號:CVE-2017-2956

    ●Adobe Acrobat Reader遠程代碼執行漏洞(CVE-2017-2955)

    ●cve編號:CVE-2017-2955

    ●Adobe Acrobat Reader遠程代碼執行漏洞(CVE-2017-2950)

    ●cve編號:CVE-2017-2950

    ●Google Android權限提升漏洞(CVE-2017-0386)

    ●危險等級:高

    ●BID:95256

    ●cve編號:CVE-2017-0386

    ●Google Android Audioserver權限提升漏洞(CVE-2017-0385)

    ●危險等級:高

    ●BID:95239

    ●cve編號:CVE-2017-0385

    ●Google Android Audioserver權限提升漏洞(CVE-2017-0384)

    ●cve編號:CVE-2017-0384

    ●Google Android Audioserver權限提升漏洞(CVE-2017-0383)

    ●危險等級:高

    ●BID:95243

    ●cve編號:CVE-2017-0383

    ●Linux Kernel遠程緩沖區溢出漏洞(CVE-2017-5577)

    ●危險等級:中

    ●BID:95765

    ●cve編號:CVE-2017-5577

    ●Linux Kernel整數溢出漏洞(CVE-2017-5576)

    ●危險等級:中

    ●BID:95767

    ●cve編號:CVE-2017-5576

    ●Linux Kernel本地拒絕服務漏洞(CVE-2017-5551)

    ●危險等級:中

    ●BID:95717

    ●cve編號:CVE-2017-5551

    ●Google Android Kernel Networking ●Subsystem遠程權限提升漏洞(CVE-2014-9914)

    ●危險等級:中

    ●BID:96100

    ●cve編號:CVE-2014-9914

    ●Google Android Mediaserver 遠程代碼執行漏洞(CVE-2017-0381)

    ●危險等級:高

    ●BID:95248

    ●cve編號:CVE-2017-0381

    ●IBM Tivoli Key Lifecycle Manager跨站腳本漏洞(CVE-2016-6096)

    ●危險等級:中

    ●BID:95983

    ●cve編號:CVE-2016-6096

    ●IBM Tivoli Key Lifecycle Manager任意文件上傳漏洞(CVE-2016-6104)

    ●危險等級:中

    ●BID:95980

    ●cve編號:CVE-2016-6104

    ●IBM Tivoli Key Lifecycle Manager本地信息泄露漏洞(CVE-2016-6097)

    ●危險等級:中

    ●BID:95977

    ●cve編號:CVE-2016-6097

    ●IBM Tivoli Key Lifecycle Manager本地信息泄露漏洞(CVE-2016-6094)

    ●危險等級:中

    ●BID:95984

    ●cve編號:CVE-2016-6094

    ●IBM Tivoli Key Lifecycle Manager本地信息泄露漏洞(CVE-2016-6092)

    ●危險等級:中

    ●cve編號:CVE-2016-6092

    ●Google Nexus Realtek Sound Driver權限提升漏洞(CVE-2017-0444)

    ●危險等級:高

    ●BID:96107

    ●cve編號:CVE-2017-0444

    ●Google Pixel/Pixel XL HTC觸屏驅動器權限提升漏洞(CVE-2017-0445)

    ●危險等級:中

    ●BID:96054

    ●cve編號:CVE-2017-0445

    ●Google Pixel/Pixel XL HTC觸屏驅動器權限提升漏洞(CVE-2017-0447)

    ●cve編號:CVE-2017-0447

    ●Google Pixel/Pixel XL HTC觸屏驅動器權限提升漏洞(CVE-2017-0446)

    ●cve編號:CVE-2017-0446

    ●Google Nexus NVIDIA Video Driver信息泄露漏洞(CVE-2017-0448)

    ●危險等級:中

    ●BID:96105

    ●cve編號:CVE-2017-0448

    ●FFmpeg libavformat/http.c堆緩沖區溢出漏洞(CVE-2016-10190)

    ●危險等級:中

    ●BID:95986

    ●cve編號:CVE-2016-10190

    ●FFmpeg ffserver.c堆緩沖區溢出漏洞(CVE-2016-10192)

    ●危險等級:中

    ●BID:95991

    ●cve編號:CVE-2016-10192

    ●Cisco AnyConnect Secure Mobility Client SBL模塊權限提升漏洞(CVE-2017-3813)

    ●危險等級:高

    ●cve編號:CVE-2017-3813

    ●FFmpeg libavformat/rtmppkt.c堆緩沖區溢出漏洞(CVE-2016-10191)

    ●危險等級:中

    ●BID:95989

    ●cve編號:CVE-2016-10191

    ●Node.js unserialize函數任意代碼執行漏洞(CVE-2017-5941)

    ●危險等級:中

    ●cve編號:CVE-2017-5941

    ●Hanwha Techwin Smart Security Manager 跨站請求偽造漏洞(CVE-2017-5169)

    ●危險等級:低

    ●cve編號:CVE-2017-5169

    ●Hanwha Techwin Smart Security Manager 權限提升漏洞(CVE-2017-5168)

    ●危險等級:低

    ●cve編號:CVE-2017-5168

    (數據來源:綠盟科技安全研究部&產品規則組)

    焦點漏洞

    ● 焦點漏洞

    QEMU任意代碼執行漏洞

    ◆NSFOCUS ID

    35899

    ◆CVE ID

    CVE-2017-2615

    ◆受影響版本

    支持Cirrus CLGD 54xx VGA 模擬器的QEMU

    ◆漏洞點評

    支持Cirrus CLGD 54xx VGA的QEMU在通過bitblt拷貝VGA數據時存在越界訪問的問題,攻擊者通過惡意構造的數據可以導致QEMU崩潰或者遠程代碼執行。漏洞細節已經披露,可能導致大規模對此漏洞的利用。當前廠商已發布補丁,請受影響的用戶盡快升級修復。

    (數據來源:綠盟科技安全研究部&產品規則組)

    請點擊屏幕右上方“…”

    關注綠盟科技公眾號

    NSFOCUS-weixin

    ↑↑↑長按二維碼,下載綠盟云APP

網站首頁   |    關于我們   |    公司新聞   |    產品方案   |    用戶案例   |    售后服務   |    合作伙伴   |    人才招聘   |   

友情鏈接: 餐飲加盟

地址:北京市海淀區    電話:010-     郵箱:@126.com

備案號:冀ICP備2024067069號-3 北京科技有限公司版權所有