244期惡意代碼信息
2020/08/17-2020/08/23
內容提要:經安天【CERT】檢測分析,本周有 3 個活躍的漏洞以及 7 個活躍的惡意代碼家族值得關注
| 關注方面 | 名稱與發現時間 | 威脅等級 | 相關描述 |
| 活躍漏洞 | Microsoft Windows NetLogon 安全漏洞(CVE-2020-1472) | 高 | 當攻擊者使用 Netlogon 遠程協議 (MS-NRPC) 建立與域控制器連接的Netlogon 安全通道時,存在特權提升漏洞。成功利用此漏洞的攻擊者可以在網絡中的設備上運行經特殊設計的應用程序。要利用此漏洞,未通過身份驗證的攻擊者需要將 MS-NRPC 連接到域控制器,以獲取域管理員訪問權限。 |
| Microsoft Windows 和 WindowsServer 安全漏洞 (CVE-2020-1464) | 高 | 當 Windows 不正確地驗證文件簽名時,存在欺詐漏洞。成功利用此漏洞的攻擊者可以繞過安全功能,并加載不正確簽名的文件。 | |
| Microsoft Windows Media 安 全 漏 洞(CVE-2020-1339) | 高 | 當 Windows Media 音頻編解碼器不正確地處理對象時,存在遠程代碼執行漏洞。成功利用該漏洞的攻擊者可以控制受影響的系統。攻擊者可能通過多種方式利用此漏洞,包括誘使用戶打開經特殊設計的文檔或誘使用戶訪問惡意網頁。 | |
|
較為活躍 樣本家族 |
Trojan[Downloader]/HTML.JScript | 中 | 此威脅是一種可以下載惡意代碼的木馬程序。該家族樣本一般為 html格式,其中包含惡意 js 腳本,運行后可以下載其他惡意代碼及推廣應用并運行。 |
| Trojan[Dropper]/Win32.Agentb | 中 | 此威脅是一種可以釋放惡意代碼到本地的木馬類程序,其樣本運行后生成惡意代碼載荷文件并執行,可能會連接遠程服務器下載其他惡意代碼或回傳系統敏感信息。 | |
| Trojan/Win64.Sofacy | 中 | 此威脅是一種木馬類程序。該家族樣本基于 64 位系統,網絡間諜攻擊組織 Sofacy 通過使用模塊化惡意軟件,將后門程序的一些功能放在不同的模塊中,從而可以更好地在受攻擊系統中隱藏自身的惡意行為。 | |
| Trojan[Backdoor]/Linux.Mirai | 中 | 此威脅是一種 Linux 平臺上的僵尸網絡家族。該家族樣本主要是利用漏洞傳播并組建僵尸網絡,并利用僵尸網絡傳播相關惡意軟件。 | |
| Trojan[Backdoor]/Linux.Gafgyt | 中 | 此威脅是一種 Linux 平臺上的具有竊密行為的后門家族。該樣本運行后會在 Linux 上開啟一個后門并允許遠程控制端執行任意操作,并且會收集機器上的信息上傳給遠程控制端。 | |
| Trojan[Dropper]/Android.Hqwar | 中 | 此威脅是一種基于安卓系統的木馬家族。該家族會在后臺下載其他惡意程序到設備中。 | |
| Trojan[SMS]/Android.Opfake | 中 | 此威脅是一種基于 Android 的惡意應用程序。該家族沒有統一的行為與功能,一般會竊取用戶短信、發送包含惡意 URL 的短信或進行其他與短信有關的惡意操作。 |