安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

1、新型无文件恶意软件利用（12.16）

研究人员最近发现了一个通过社会工程项目传播的基于JavaScript的远程访问木马（RAT），该木马通过无文件技术来躲避分析和检测。

详细情况

一个名叫DarkWatchman的基于JavaScript的远程访问木马（RAT）通过无文件技术来躲避分析检测。该恶意软件利用域名生成算法(DGA)来识别它的命令和控制(C2)基础设施，并利用Windows注册表进行所有的存储操作，从而绕过防恶意软件引擎。该木马通过网络钓鱼邮件的形式传播，伪装在“免费储存空间到期通知”邮件的附件中。一旦安装，DarkWatchman可以在目标设备中执行任意二进制文件，加载 DLL文件，运行Javascript 代码和 Powershell 命令，上传文件到远程服务器，自我更新，甚至卸载攻破设备中的RAT 和键盘记录器。 这个有研究人员表示，这个RAT利用新型手段实现无文件持久性、自我更新和重新编译等系统内部和动态运行的功能，代表了无文件恶意软件技术的发展。

参考链接

https://thehackernews.com/2021/12/new-fileless-malware-uses-windows.html?&web_view=true

2、微软AD域中出现特权升级漏洞（12.20）

微软对AD域服务中的两个特权升级漏洞（CVE-2021-42287和CVE-2021-42278)进行了修复。一旦将这两个漏洞结合，攻击者可以轻易接管Windows域。

详细情况

微软向用户发出警告，应当对两个AD域服务特权升级安全漏洞及时进行修补，当这两个漏洞(CVE-2021-42287和CVE-2021-42278)结合时，攻击者可以轻易接管Windows域。攻击者利用这两个漏洞可以在AD域中创建一个直接通往域管理员的路径，只要攻破域中的普通用户，攻击者便能将自己的特权升级为管理员。

参考链接

https://www.bleepingcomputer.com/news/microsoft/microsoft-warns-of-easy-windows-domain-takeover-via-active-directory-bugs/