内核漏洞的危害较大,被攻击时轻则蓝屏死机,重则被黑客软件利用,特权提升,绕过系统现有防护。在内存中直接加载执行代码,增加了传统防护软件的检测难度,是黑客软件常用的方法。
安芯网盾内存安全周报专栏,帮助企业更好的理解和认识到内存安全问题,希望能帮助用户有效应对系统设计缺陷、外部入侵等威胁,帮助用户实时防御并终止无文件攻击、0day 攻击、基于内存的攻击等。
1、僵尸网络增强了其恶意脚本功能。(1.13)
自去年 4 月以来一直处于活跃状态,而在其最新的变体中,其脚本得到了增强,除挖掘加密货币之外,还增加了其他功能。
详细信息
该僵尸网络以下载XMRig 加密工具并挖矿而广为人知。
值得注意的是,在最近的更新中,其恶意脚本除了增强了挖矿能力外还更新了 Docker API和AWS凭证的窃取功能。另外还会在系统中留下了一个后门程序,方便远程连接到目标系统。
系统管理员应持续监视和审核设备,尤其是用于访问办公室网络的设备,定期修补和更新系统,以确保系统得到充分防御。
新闻来源:https://securityaffairs.co/wordpress/113228/malware/tamtnt-botnet-docker-aws.html
2、微软修复了Microsoft Defender中的1个严重0day RCE漏洞。(1.12)
微软在2021年的第一个补丁星期二发布了83个漏洞的补丁,其中严重漏洞共有10个,包括微软恶意软件防护引擎“Microsoft Defender”中的一个严重0day RCE漏洞。
详细信息
该0day RCE漏洞编号为CVE-2021-1647,是Microsoft Defender中的严重漏洞。此漏洞不会影响网络堆栈,攻击者可以利用SSH通过访问计算机本身或诱使用户执行触发漏洞的操作(如打开恶意文件)来进行远程访问。
微软称,针对此漏洞的攻击复杂性很低,攻击者只需要具有基础用户功能的权限即可利用该漏洞。由于Microsoft Defender的流行度较高,该漏洞将为攻击者提供一个巨大的攻击面。相关补丁程序下载地址:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1647
专家点评:
#内存安全资深专家WHFJ
由于脚本类攻击的宿主进程大多是系统的自带的进程,传统安全软件检测难度大,随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。而系统自带软件的RCE漏洞,让系统更容易被远程攻击。管理员需要经常打补丁、关注运行的业务系统是否异常,比如CPU占用率高,异常的网络通信。相对于这种繁琐的维护方式,采用内存保护可以有效减缓漏洞、脚本类无文件攻击、挖矿病毒等带来危害。
关于安芯网盾:
安芯网盾(北京)科技有限公司(简称安芯网盾)是专注于内存安全的高新技术企业,致力于为政府、金融、运营商、军工、教育、医疗、互联网及大型企业等行业客户提供面向未来的网络安全解决方案。安芯网盾帮助企业构建基于硬件虚拟化技术的内存安全环境,防御并终止在业务关键应用程序中的无文件攻击、0day漏洞攻击等高级威胁,切实有效保障用户的核心业务不被阻断、核心数据不被窃取,已为华为、百度、中国海关、Google、G42等众多国际知名企事业单位持续提供服务。
来源:freebuf.com 2021-01-27 11:09:16 by: 安芯网盾
请登录后发表评论
注册