1.内网遭攻陷后,最大威胁并非恶意软件而是PowerShell
公司的内网一旦被攻陷,那么最严重的伤害并非来自恶意软件,而是自动脚本。IBM X-Force 团队的研究员发现,2018年,仅有43%的攻击中使用了本地安装文件,黑客选择尽量不大规模接触文件系统的情况下通过PowerShell 脚本执行恶意行为。这种发现非常重要,因为它提醒我们,管理员无法再单纯依靠具体的文件签名等作为网络入侵的证据。和本地恶意软件感染一样,攻击者首先需要能够运行恶意命令,但下一步有所不同,因为恶意人员不会将受感染Windows 机器指向下载、保存并执行木马payload。攻击者将会使用PowerShell 运行命令,这款强大的微软脚本语言能被用于执行各种操作,如捕获并窃取密码、挖掘密币等。
参考来源:http://codesafe.cn/index.php?r=news/detail&id=4732
2.新漏洞允许攻击者控制Windows IoT核心设备
安全研究人员揭示了一个影响WindowsIoT核心操作系统的新漏洞,使威胁行为者可以完全控制易受攻击的设备。SafeBreach安全研究员Dor Azouri发现的漏洞影响了Windows IoT操作系统中包含的Sirep / WPCon通信协议。Azouri表示,该漏洞仅影响Windows IoT核心版,Windows IoT核心版是用于运行单个应用程序的设备,例如智能设备,控制板,爱好者设备等。
参考来源:https://www.zdnet.com/article/new-exploit-lets-attackers-take-control-of-windows-iot-core-devices/
3.漏洞暴露数千台恶意软件C&C服务器的位置
渗透测试工具Cobalt Strike中存在一个漏洞,被专家分析之后发现了数千台恶意软件C&C服务器的位置。Cobalt Strike面世超过十年。由于这个工具简单、高效,过去五年间,一些网络犯罪分子也开始使用这个工具,用来host其C&C服务器并部署恶意软件。据专家表示,Cobalt Strike的服务器在HTTP响应中意外添加了扩展空间。利用这个空间,可以探测到利用Cobalt Strike部署恶意软件的C&C服务器之间的通信信息,进而发掘这些服务器的IP地址。通过这些地址可以进一步发现恶意软件的分发情况。
4.思科修复 RV110W、RV130W和RV215W 路由器中的 RCE 漏洞
思科修复了RV110WWireless-N VPN 防火墙、RV130W Wireless-N 多功能VPN 路由器和RV215W Wireless-N VPN 路由器设备的web 管理接口中的严重的远程代码执行漏洞。思科在安全通告中将该漏洞(CVE-2019-1663) 评级为“严重”,CVSS v3 评分为9.8,原因是它可允许潜在的未验证攻击者在上述三款易受攻击的路由器上远程执行任意代码。从CWE 数据库的说明来看,该漏洞产生的原因是“对内存缓冲区的边界内的操作的限制不当”,“软件在内存缓冲区上执行操作,但可从缓冲区的边界外的内存位置读取或写入”。
参考来源:http://www.codesafe.cn/index.php?r=news/detail&id=4738
5.Skyrim Together 被控偷窃 SKSE 代码
《上古卷轴V 天际(Skyrim)》最著名的Mod 可能是SKSE,其代码是公开的,它给整个游戏增加了更多的可定制性,许多Skyrim Mod 实际上都是基于SKSE,需要先安装SKSE 才能使用。Skyrim Together 则是一个联机Mod,为这个单机游戏加入多人功能,其开发始于2013 年,开发者通过付费的Patreon 账号每个月赚到超过3 万美元。SKSE 开发者发现Together 盗用了该项目的代码,违反了项目许可证。Together 的半商业性质很可能会牵连到SKSE。而让整件事更富有戏剧性的是,Together 的原作者站出来承认他们使用了SKSE 的代码,而他本人则早被现在的团队赶了出去。