Cisco Talos研究人员发现一起利用古老的微软office漏洞来释放RAT的攻击活动。
近日, Cisco Talos 安全研究人员发现一起利用政治和政府主体的恶意域名来攻击印度和阿富汗人的攻击活动。攻击者利用CVE-2017-11882漏洞通过恶意文档来传播dcRAT和QuasarRAT攻击Windows用户,使用AndroidRAT来攻击移动设备用户。
攻击流程
研究人员发现攻击者利用了2017年发现的一个office公式编辑器漏洞——CVE-2017-11882,然而该漏洞早在2017年11月就被修复了。
感染链中包含恶意RTF文件和传播恶意软件给受害者的powershell脚本。此外,研究人员还使用基于C#的下载器二进制文件来部署恶意软件,但展示给受害者的是看似合法的诱饵图像。
在攻击活动中,攻击者注册了多个政府或政治主体的域名,并不用这些域名来传播恶意软件payload到受害者。感染首先是从受害者从上述的恶意域名中下载RTF文件开始的,如果受害者用有漏洞的office版本打开RFT文件,就会触发任意代码执行漏洞。
最开始的时候,加载器可执行文件会在系统上创建一个开始菜单记录来实现驻留,然后将硬编码的C#代码编译成可执行文件。
源码中的on-the-fly编译
生成的二进制文件就是一个定制的文件枚举器模块,可以发现受感染终端上的所有文档文件,并将文件名和所在路径列表发送给C2 服务器 。
最后,编译的文件感染器会感染其他非恶意的文件,比如DOCX和EXE文件,其功能就像是蠕虫。
DOCX文件感染器模块
这样,用户打开受感染的文件后,感染就可以通过网络传播。
攻击活动中使用的payload包括:
攻击溯源
研究人员对该攻击活动进行分析,发现了一个巴基斯坦的IT公司——”Bunse Technologies”。目前,Bunse Technologies该公司的网站已经不能访问,但BleepingComputer研究人员发现了与该公司相关的一个推特账户。
Bunse Technologies推特账户
该公司CEO宣称自己是一个渗透测试研究人员和白帽黑客,并在其个人Facebook账户上发布了反印度和亲塔利班的内容。
此外,Talos研究人员还发现了该CEO的GitHub,其中包含有DcRat的源码。因此,可以推断该CEO就是该攻击背后的开发人员。
黑客GitHub库
更多技术细节参见:
windows系统漏洞是什么
Windows vista在安全性上被寄予很大希望的Vista操作系统,近日爆出首个重大漏洞。 3月29日,瑞星反病毒专家发现该漏洞已经开始被黑客利用,使用Windows Vista和XP的用户,在访问带毒网站时会被威金病毒、盗号木马等多种病毒感染。 据监测,国内已有近十个网站被黑客攻陷。 据安全专家介绍,此漏洞影响此漏洞影响Windows XP以上操作系统和IE6以上的浏览器,微软最新的Vista和IE7都不能幸免,目前微软还没有发布此漏洞的补丁。 这是Vista系统第一次爆出重大漏洞,利用该漏洞传播病毒的网站数量正逐步增多,攻击代码很可能已经公开。 ANI文件是Windows鼠标动态光标文件,由于Vista等系统在处理ANI文件的方式上存在漏洞,黑客可以构造特殊格式的ANI文件,当用户浏览含有该文件的网页,或点击该文件就会自动下载运行黑客指定的病毒、木马及后门程序等。 目前利用该漏洞的病毒中,威金()变种及窃取网络游戏的木马病毒占多数。 安全专家提醒,普通网民不要轻易登陆陌生网站,尤其是通过电子邮件、聊天软件等发送来的陌生网址。 其次,密切关注反病毒厂商的相关消息,及时升级自己的杀毒软件。 最后,上网的时候打开杀毒软件的实时监控功能,这样就可以比较好的防范病毒感染。 对于网站的管理员,应该加强对自己服务器日志的管理,尤其要注意不明来源的ANI及JPG等格式图片文件,一旦出现异常尽快处理。 很多黑客可能通过侵入他人网站放置病毒,来间接对网民实行攻击。
什么是“极光”漏洞
极光漏洞 1月20日,江民恶意网页监控系统监测到,上周五被确认的微软IE“极光漏洞”攻击代码已被黑客大面积利用,网上已出现数百个利用该漏洞的恶意网页,提醒广大电脑用户谨防遭受利用该漏洞的病毒攻击。 上周,微软官方发布了Microsoft Security Advisory ()安全公告,确认在IE6/7/8版本中,存在零日漏洞,涉及的操作系统包括:Windows 2000 SP4, Windows XP/2003/Vista/2008,Windows 7。 微软在安全公告中表示,IE在特定情况下,有可能访问已经被释放的内存对象导致任意代码执行,该漏洞可以被用来进行网页挂马。 该漏洞即后来被称为“Aurora”(极光)的零日漏洞。 江民反病毒专家1月18日表示,由于该漏洞涉及的操作系统和IE浏览器版本众多,而且至今微软并没有发布针对该漏洞的补丁,因此一旦攻击代码被公开,必将被黑客广泛应用于网页挂马。 截止到1月20日,不到两天的时间内,网上出现了数百个利用该漏洞的恶意网页,保守估计至少十万台电脑遭受利用该漏洞的病毒攻击。 江民反病毒专提醒用户,上网浏览时务必不要随意点击网上的不明链接,开启杀毒软件主动防御和网页监控功能。 对操作系统较熟悉的用户,可以参照微软的临时解决方案,以进一步保障电脑上网安全。 此外,微软最新消息表示,将于明日(1月21日)公布发布紧急补丁时间表,请广大电脑用户密切关注该补丁并及时下载安装。 微软临时解决方案:WINXP(IE6)用户,打开IE浏览器“工具”——“Internet选项”,打开“安全”,选择“Internet”——“自定义级别”,选择“禁止脚本”和“禁止ACTIVEX选项”,VISTA(IE7)和WINDOWS7(IE8)用户,除了执行以上操作外,还可以开启数据执行保护功能(DEP保护),可以一定程度上减少系统遭受“极光”漏洞病毒攻击。 1月22日凌晨2时左右,微软如期发布了“极光”零日漏洞补丁,这距离1月15日该漏洞被首次发现已过去了一周的时间。 昨日,微软在官方博客上发表消息,并史无前列地向所有MAPP成员发出通知,告知将于美国时间1月21日10时,也即北京时间1月22日凌晨2时左右发布非常规补丁,修复“极光”零日漏洞。 (附:黑客在网页里面附带利用漏洞、调用下载木马的代码。 当访问者使用IE访问该网页,并且访问者未修复该漏洞,则漏洞代码会正常运行,产生溢出,跳转到shellcode执行恶意下载木马、运行木马的行为。 杀毒软件只可能检测到木马运行行为或发现木马,对漏洞利用不能对付。 因此修复漏洞是必须的。 ) 最简单的方法是装个360安全卫士来修复
"office2003-KB943985-v2-FullFile-CHS.exe"这个补丁装了后还是显示有漏洞??怎么搞的 ?
你可能安装的是精简版的2003,如果是完整光碟版的Office2003安装过后会有一个大概1GB的备份以及安装信息的隐藏文件夹。 其实一般来说是很少黑客利用office的漏洞攻击你的计算机,不必太过担心。 如果不放心比较推荐装防火墙,杀毒软件,毕竟一般的病毒,黑客都是针对微软的漏洞进行研究,补丁只能防旧的入侵方法,防不了新的。
发表评论