本帖最后由 腾讯电脑管家 于 2021-2-5 18:18 编辑
威胁事件
1.涉案数千万美元的勒索软件NetWalker官网被查封发布时间:2021年1月28日 事件来源:
事件摘要: NetWalker暗网网站用于展示受害者资料,泄露受害者数据,以及与受害者们进行谈判,目前已经被执法机构查封。同时,一名与NetWalker合作以牟利(又称NetWalker的“联盟伙伴”)的加拿大人被美国司法部起诉。
2.一条勒索病毒攻击链正在持续更新和入侵发布时间:2021年2月1日 事件来源:
事件摘要: 国内安全团队发现多起黑客入侵企业服务器后投放Globelmposter勒索病毒的恶性事件。黑客攻击所使用的脚本与勒索病毒样本还在持续更新中,不排除后续黑客还会尝试其它渗透方式达到攻击的目的。通过溯源分析,发现上述多起攻击流程极为相似:黑客通过弱口令等方式入侵SQL Server服务器,然后通过SQL Server服务启动cmd.exe来执行powershell脚本,最终下载运行勒索病毒程序。
3.针对某云平台服务器的“云铲”挖矿木马事件分析发布时间:2021年2月2日 事件来源:
事件摘要: 国内安全团队通过网络安全监测发现了一起Linux系统挖矿木马事件。该起事件对某云平台服务器部分网段以及样本所在内网和其他外网段大量扫描,利用SSH暴力破解传播挖矿程序。该木马对某云平台服务器存在一定的针对性,基于此特点将该事件中的挖矿木马命名为“云铲”。
该挖矿木马运行后通过服务器下载三个文件(主模块、恶意链接库、开源挖矿程序)。主模块功能为对扫描到目标进行SSH暴力破解,进而传播该挖矿木马;运行下载的挖矿程序进行挖矿;将恶意链接库路径写入预加载文件中,实现屏蔽相关命令对恶意文件实体和恶意进程的查找;将SSH公钥写入目标系统root用户.ssh目录中,实现以root用户对该系统的长期访问。主模块初始阶段扫描以其硬编码的某云平台服务器IP地址作为起始地址,包括该IP地址的同网段和相邻网段IP地址,后续随机扫描外网段IP地址及样本所在网络的外网IP地址,同时对内网相关IP进行扫描。
4.腾讯云防火墙成功拦截利用Jenkins未授权访问漏洞针对云主机的攻击发布时间:2021年2月3日 事件来源:
事件摘要: 腾讯云防火墙捕获一黑客团伙利用Jenkins未授权访问漏洞针对云服务器的攻击,若攻击者利用漏洞攻击得手,就会通过CURL命令下载shell脚本执行,并继续通过脚本部署挖矿木马。腾讯云防火墙成功拦截了这些攻击,遭遇攻击的主机未受损失。
通过分析腾讯云防火墙拦截到的黑客攻击指令,发现攻击者在部署挖矿程序的过程中,会修改系统最大内存页,以达到系统资源的充分利用,并且会多次检测挖矿进程的状态,从而对挖矿程序进行保活操作。
漏洞事件
1.【更新:EXP公开】CVE-2021-3156:Sudo 堆缓冲区溢出漏洞通告发布时间:2021年2月1日 事件来源:
事件摘要: 国外研究团队发现Sudo堆溢出漏洞(CVE-2021-3156),漏洞隐藏十年之久,普通用户可以通过利用此漏洞,在默认配置的 sudo 主机上获取root权限。漏洞细节及漏洞利用代码(exp)已在互联网上公开,腾讯安全团队已验证漏洞利用代码攻击有效。目前正值春节前最后一个工作周,腾讯安全专家再次提醒linux系统管理员尽快修复sudo高危漏洞。
2.Apache Shiro权限绕过漏洞(CVE-2020-17523)风险通告发布时间:2021年2月1日 事件来源:
事件摘要: ApacheShiro 1.7.0之前的版本,当与Spring结合使用时,攻击者可发送特定HTTP请求导致验证绕过,获取敏感权限。腾讯主机安全(云镜)已支持检测ApacheShiro权限绕过漏洞(CVE-2020-17523)。
Apache Shiro是一个开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。腾讯安全网络空间测绘结果显示,Apache Shiro组件全球应用广泛,中国占比最高(33.75%)、其次是美国(22.85%)、阿联酋(6.83%)。在中国大陆地区,浙江、北京、广东、上海四省市位居前列,占比超过70%。
3.Apache Druid 远程代码执行漏洞 (CVE-2021-25646)发布时间:2021年2月1日 事件来源:
事件摘要: ApacheDruid官方发布安全更新,通报了一个远程代码执行漏洞,漏洞编号CVE-2021-25646。由于Apache Druid 默认情况下缺乏授权认证,攻击者可以发送特制请求,利用Druid服务器上进程的特权执行任意代码。
4.Windows Installer在野提权0day漏洞风险通告,腾讯电脑管家、腾讯iOA支持检测拦截发布时间:2021年2月1日 事件来源:
事件摘要: 国外安全研究员公开了一个Windows Installer(MSI 管理器)的0day提权漏洞,该漏洞允许攻击者在最新的Windows系统中完成特权提升(运行攻击者构造的恶意程序,可能在非管理员权限登录后获取系统最高权限)。由于目前还没有补丁,该漏洞尚处于0day阶段,但漏洞利用代码(EXP)已被公开,意味着该漏洞影响严重,且黑客的恶意利用可能很快到来。
腾讯安全专家建议用户不要随意点击可疑程序(攻击者可能通过邮件、社交媒体工具等途径发送诱饵文件),安装腾讯电脑管家或零信任无边界访问控制系统(iOA)可检测已出现的在野攻击样本。
5.IBM QRadar远程代码执行漏洞通告,SOC类产品存在暴露到互联网被攻击的风险发布时间:2021年2月2日 事件来源:
事件摘要: IBM官方于1月27日发布安全公告,IBM QRadar SIEM 部分版本存在高危漏洞,远程攻击者可利用该漏洞在系统执行任意命令。目前,该漏洞的利用POC(概念验证代码)已公开。腾讯安全研究人员验证该漏洞时发现,国内部分SOC类产品存在暴露到互联网被攻击的风险,腾讯安全专家建议受影响的用户及相关厂商尽快自查修复。
6.SolarWinds多个高危漏洞风险通告,可能导致远程代码执行发布时间:2021年2月3日 事件来源:
事件摘要: 安全研究人员在SolarWinds Orion平台发现了两个漏洞(CVE-2021-25274、CVE-2021-25275),而在公司的Windows Serv-U FTP服务器中发现了第三个漏洞(CVE-2021-25276),在2020年12月曝光的针对SolarWinds Orion平台的供应链攻击中没有利用这三个漏洞,针对SolarWinds的供应链攻击事件引发全球关注。
安全专家强烈建议SolarWinds用户安装最新版本的Orion Platform和Serv-U FTP,以减轻与该缺陷相关的风险。研究人员表示,计划于2月9日发布概念验证(PoC)代码。
新发现的安全漏洞包括对Microsoft消息队列(MSMQ)的不当使用,该消息被SolarWinds Orion Collector服务大量使用,从而允许未经身份验证的用户通过TCP 1801端口将消息发送到此类队列,并最终因不安全的反序列化而造成RCE(远程代码执行)风险,该漏洞可能导致服务器被完全控制。
在Orion平台中发现的第二个漏洞与不安全的后端数据库存储凭据(名为“SOLARWINDS_ORION”)有关,该凭据存储在配置文件中,导致本地非特权用户可以完全控制数据库,从而窃取信息,甚至在SolarWinds Orion产品中添加管理员级别用户。
第3个高危漏洞,存在于Windows的SolarWindsServ-U FTP服务器。该漏洞可能使任何可以本地登录或通过远程桌面登录系统的攻击者都可以删除一个文件,该文件定义了对C盘具有完全访问权限的新管理员用户驱动器,然后攻击者可通过FTP登录后读取、或替换驱动器上的任何文件。
|