内存安全周报第48期 | Sload病毒(也称为 Starslord 加载程序)最近重出江湖,主要攻击欧洲国家
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day/Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
一、 Sload病毒(也称为 Starslord 加载程序)最近重出江湖,主要攻击欧洲国家(6月21日)
Sload是近年来最危险的恶意软件之一。它通常用作下载器,是一种计算机病毒,可从受感染设备收集和窃取信息。Sload主要针对欧洲国家,自2018年以来一直在活跃,最近多家厂商报告了该病毒正在对英国和意大利的目标发起攻击。
详细信息
Sload不使用可执行文件或恶意文档来渗透机器,而是使用Windows操作系统(如VBS和PowerShell)原生的脚本作为初始立足点,诱使用户使用鱼叉式网络钓鱼来执行它们。该下载器正在被积极开发并已经经过多次迭代:它的发明者不断改变第一阶段的脚本,而主要模块基本保持不变。有关该恶意软件的报告表明,它使用恶意LNK文件(Windows快捷方式)下载PowerShell脚本,该脚本最终将下载并执行Sload。以后的版本从混淆的WSF/VBS脚本开始,这些脚本经常通过变异以绕过AV检测。攻击中使用的初始脚本在VirusTotal上的得分反复很低,旨在绕过EDR等高级安全工具。
最近发现的Solad脚本是一个经过混淆的WSF脚本,它对一组恶意命令进行解码,一旦执行,就会在内存中偷偷下载并运行远程payload。这是通过重命名合法的Windows二进制文件实现的。“bitsadmin.exe”和“Powershell.exe”都被复制并重新命名,前者用于下载恶意PowerShell脚本,后者将其加载到内存中并开始执行。
参考链接: https://blog.minerva-labs.com/sload-targeting-europe-again?&web_view=true
二、SonicWall的缓冲区溢出漏洞CVE-2020-5135还未得到恰当修补(6月23日)
去年 10 月,研究人员发现了一个基于堆栈的缓冲区溢出漏洞(CVE-2020-5135),它存在于超过800,000台正在运行的SonicWall设备中。该漏洞允许未经身份验证的远程攻击者在受影响的设备上执行任意代码,甚至能够导致拒绝服务 (DoS)。
详细信息
SonicWall从这个漏洞被发现后一直在试图修补。可惜的是,当研究人员针对SonicWall实例重新测试他们的概念验证(PoC)漏洞时,得出的结论是该修复“拙劣”。这个漏洞似乎还没有得到适当的修补。并且研究人员已为该漏洞分配了一个新的漏洞标识CVE-2021-20019。该缓冲区溢出漏洞仍然有可能允许攻击者向其防火墙发送恶意HTTP请求并导致拒绝服务(DoS)或执行任意代码。
