新闻中心 > 新闻详情

内存安全周报第28期 | TeamTNT 僵尸网络增强了其恶意脚本功能

2021 年 01 月 28日

内核漏洞的危害较大,被攻击时轻则蓝屏死机,重则被黑客软件利用,特权提升,绕过系统现有防护。在内存中直接加载执行代码,增加了传统防护软件的检测难度,是黑客软件常用的方法。

安芯网盾内存安全周报专栏,帮助企业更好的理解和认识到内存安全问题,希望能帮助用户有效应对系统设计缺陷、外部入侵等威胁,帮助用户实时防御并终止无文件攻击、0day 攻击、基于内存的攻击等。

1、TeamTNT 僵尸网络增强了其恶意脚本功能。 (1.13)

TeamTNT 僵尸网络自去年 4 月以来一直处于活跃状态,而在其最新的变体中,TeamTNT的脚本得到了增强,除挖掘加密货币之外,还增加了其他功能。

详细信息

TeamTNT 僵尸网络以下载XMRig 加密工具并挖矿而广为人知。值得注意的是,在最近的更新中,TeamTNT恶意脚本除了增强了挖矿能力外还更新了 Docker API和AWS凭证的窃取功能。另外还会在系统中留下了一个后门程序,方便远程连接到目标系统。系统管理员应持续监视和审核设备,尤其是用于访问办公室网络的设备,定期修补和更新系统,以确保系统得到充分防御。

新闻来源: https://securityaffairs.co/wordpress/113228/malware/tamtnt-botnet-docker-aws.html

2、微软修复了Microsoft Defender中的1个严重0day RCE漏洞。 (1.12)

微软在2021年的第一个补丁星期二发布了83个漏洞的补丁,其中严重漏洞共有10个,包括微软恶意软件防护引擎“Microsoft Defender”中的一个严重0day RCE漏洞。

详细信息

该0day RCE漏洞编号为CVE-2021-1647,是Microsoft Defender中的严重漏洞。此漏洞不会影响网络堆栈,攻击者可以利用SSH通过访问计算机本身或诱使用户执行触发漏洞的操作(如打开恶意文件)来进行远程访问。微软称,针对此漏洞的攻击复杂性很低,攻击者只需要具有基础用户功能的权限即可利用该漏洞。由于Microsoft Defender的流行度较高,该漏洞将为攻击者提供一个巨大的攻击面。相关补丁程序下载地址: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1647

新闻来源: https://www.darkreading.com/threat-intelligence/microsoft-defender-zero-day-fixed-in-first-patch-tuesday-of-2021/d/d-id/1339881

专家点评

#内存安全资深专家WHFJ

由于脚本类攻击的宿主进程大多是系统的自带的进程,传统安全软件检测难度大,随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。而系统自带软件的RCE漏洞,让系统更容易被远程攻击。管理员需要经常打补丁、关注运行的业务系统是否异常,比如CPU占用率高,异常的网络通信。相对于这种繁琐的维护方式,采用内存保护可以有效减缓漏洞、脚本类无文件攻击、挖矿病毒等带来危害。

隐私政策     法律信息     Copyright©️2019-2021 ANXINSEC All Rights Reserved | 京ICP备19024522号 |  京公网安备 11010802033723号

试用申请

提交申请成功后,我们会及时与您联系以提供专业的安全服务。

发送验证码
试用产品选择

申请提交成功

感谢您的申请,我们会及时与您取得联系。

关注安芯官方微信公众号,了解更多公司消息

系统信息检测平台
当前版本:v3.0.12
文件大小:19.3MB
更新时间:2020.07.24