新闻中心 > 新闻详情

内存安全周报第43期 | Microsoft Build Engine被滥用进行无文件恶意软件分发

2021 年 05 月 24 日

安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

一、Microsoft Build Engine被滥用进行无文件恶意软件分发(5月17日)

据悉,微软和Visual Studio一起构建的MSBuild平台允许开发人员在内存中执行代码,该特性被竞争对手滥用,以实现他们的恶意负载的无文件传输。

详细信息

研究人员透露,这些威胁行动者在恶意MSBuild文件中对可执行文件和shellcode进行了编码,并将其托管在俄罗斯图像托管网站joxi . net上。

攻击者使用C++编写,包含抗AV功能,可以收集凭据和系统信息,记录击键,捕获屏幕,还可以执行脚本,从而利用Remcos RAT可以完全从远程掌控受感染的计算机。攻击中使用的大多数分析过的MSBuild项目文件(.proj)都可用来交付Remcos RAT作为最终有效载荷的。

用.NET编写的RedLine Stealer具有广泛的数据盗窃功能,旨在针对Cookie,各种应用程序和服务的凭证,加密钱包,存储在网络浏览器中的信息以及系统数据。

由于RemcosRAT和RedLine Stealer都是普通恶意软件,所以目前无法确定发起攻击的幕后黑手是谁。

参考链接:

https://www.securityweek.com/microsoft-build-engine-abused-fileless-malware-delivery

二、Magecart黑客传播恶意PHP WebShell(5月18日)

Magecart Group12黑客组织攻击网上商店和电子商务网站,现在正在传播伪装成favicons的恶意PHP WebShell。WebShell使攻击者可以远程访问服务器,然后窃取目标信息。

详细信息

研究人员称,名为Megalodon或Smilodon的恶意PHP webshell用于将带有服务器端请求的JavaScript代码动态加载到在线商店中,以窃取信息。

  • 基于PHP的Web Shell恶意软件(被隐藏为图标)被隐藏在目标站点中,其中包含伪造PNG图像文件的路径,而不是合法的快捷方式图标标记。

  • 反过来,此Web Shell配置为从外部主机(信用卡分离器)获得下一阶段的有效负载,该外部分离器与Cardbleed攻击中使用的其他变体具有相似性。

  • 通常,注入的skimmers向托管在攻击者控制域中的外部JavaScript资源发出客户端请求,但是,在最近的攻击中,它是在服务器端完成的。

  • 这种类型的攻击称为Formjacking攻击,其中,攻击者将JavaScript代码偷偷地插入单个或多个电子商务网站中。

参考链接: https://cyware.com/news/magecart-hackers-spreading-malicious-php-web-shells-77198acd

三、macOS SMB服务器中存在整数溢出漏洞(5月19日)

最近在Apple macOS的SMB服务器中发现了一个可利用的整数溢出漏洞,该漏洞可能导致信息泄露。

详细信息

服务器消息块(SMB)是Windows网络环境中常见的网络文件共享,但是macOS包含其自身对服务器和客户端组件的专有实现。

CVE-2021-1878是一个整数溢出漏洞,存在于macOS SMB服务器处理SMB3复合数据包的方式中。攻击者可以通过向目标SMB服务器发送特制数据包来利用此漏洞。除了能够看到敏感信息之外,攻击者还可以使用整数溢出来绕过加密检查并导致拒绝服务。

参考链接: https://blog.talosintelligence.com/2021/05/vuln-spotlight-smb-information-disclosure.html?&web_view=true

隐私政策     法律信息     Copyright©️2019-2021 ANXINSEC All Rights Reserved | 京ICP备19024522号-1 |  京公网安备 11010802033723号

试用申请

提交申请成功后,我们会及时与您联系以提供专业的安全服务。

发送验证码
试用产品选择

申请提交成功

感谢您的申请,我们会及时与您取得联系。

关注安芯官方微信公众号,了解更多公司消息

系统信息检测平台
当前版本:v3.0.12
文件大小:19.3MB
更新时间:2020.07.24