内存安全周报第28期 | TeamTNT 僵尸网络增强了其恶意脚本功能
内核漏洞的危害较大,被攻击时轻则蓝屏死机,重则被黑客软件利用,特权提升,绕过系统现有防护。在内存中直接加载执行代码,增加了传统防护软件的检测难度,是黑客软件常用的方法。
安芯网盾内存安全周报专栏,帮助企业更好的理解和认识到内存安全问题,希望能帮助用户有效应对系统设计缺陷、外部入侵等威胁,帮助用户实时防御并终止无文件攻击、0day 攻击、基于内存的攻击等。
1、TeamTNT 僵尸网络增强了其恶意脚本功能。 (1.13)
TeamTNT 僵尸网络自去年 4 月以来一直处于活跃状态,而在其最新的变体中,TeamTNT的脚本得到了增强,除挖掘加密货币之外,还增加了其他功能。
详细信息
TeamTNT 僵尸网络以下载XMRig 加密工具并挖矿而广为人知。值得注意的是,在最近的更新中,TeamTNT恶意脚本除了增强了挖矿能力外还更新了 Docker API和AWS凭证的窃取功能。另外还会在系统中留下了一个后门程序,方便远程连接到目标系统。系统管理员应持续监视和审核设备,尤其是用于访问办公室网络的设备,定期修补和更新系统,以确保系统得到充分防御。
新闻来源: https://securityaffairs.co/wordpress/113228/malware/tamtnt-botnet-docker-aws.html
2、微软修复了Microsoft Defender中的1个严重0day RCE漏洞。 (1.12)
微软在2021年的第一个补丁星期二发布了83个漏洞的补丁,其中严重漏洞共有10个,包括微软恶意软件防护引擎“Microsoft Defender”中的一个严重0day RCE漏洞。
详细信息
该0day RCE漏洞编号为CVE-2021-1647,是Microsoft Defender中的严重漏洞。此漏洞不会影响网络堆栈,攻击者可以利用SSH通过访问计算机本身或诱使用户执行触发漏洞的操作(如打开恶意文件)来进行远程访问。微软称,针对此漏洞的攻击复杂性很低,攻击者只需要具有基础用户功能的权限即可利用该漏洞。由于Microsoft Defender的流行度较高,该漏洞将为攻击者提供一个巨大的攻击面。相关补丁程序下载地址: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1647
专家点评
#内存安全资深专家WHFJ
由于脚本类攻击的宿主进程大多是系统的自带的进程,传统安全软件检测难度大,随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。而系统自带软件的RCE漏洞,让系统更容易被远程攻击。管理员需要经常打补丁、关注运行的业务系统是否异常,比如CPU占用率高,异常的网络通信。相对于这种繁琐的维护方式,采用内存保护可以有效减缓漏洞、脚本类无文件攻击、挖矿病毒等带来危害。
