6月30日,有安全人員發布一個Windows列印機遠程代碼執行漏洞概念驗證,并將該漏洞命名為“PrintNightmare”,據悉,此漏洞可允許低權限用戶對本地網路中的電腦發起攻擊,從而控制存在漏洞的電腦,而域環境中的普通用戶能夠利用該漏洞對域控服務器發起攻擊,控制整個域,
7月3日,微軟發布公告稱“PrintNightmare”漏洞可影響幾乎所有主流Windows版本,具體漏洞編號為CVE-2021-34527,而360安全大腦僅在公告發布一天后,就監測到“紫狐”挖礦僵尸網路正利用“PrintNightmare”漏洞發起攻擊,
據悉,“紫狐”僵尸網路是一個規模龐大的挖礦僵尸網路,慣常使用網頁掛馬、MsSQL資料庫弱口令爆破等方式入侵機器,入侵成功后會嘗試在局域網橫向移動,并在機器中植入挖礦木馬進行獲利,
經360高級威脅研究分析中心研判分析發現,“紫狐”僵尸網路利用“PrintNightmare”漏洞入侵域內機器后,將檔案名為“AwNKBOdTxFBP.dll”的惡意dll注入列印機行程spoolsv.exe中,惡意dll會將惡意注入rundll32.exe,啟動PowerShell下載并執行僵尸程式,攻擊流程和惡意PowerShell代碼如下圖所示,
執行的PowerShell代碼,解碼后內容如下:
待僵尸程式下載并執行后,受害機器就會徹底淪為“紫狐“僵尸網路的一個節點,并且還會在挖礦的同時對網路中的其他機器發起攻擊,
就在漏洞曝光后不久,360安全大腦漏洞防護在第一時間支持了該漏洞的攻擊攔截,并且在360安全衛士、 Win7 盾甲等產品里添加了針對該漏洞的微補丁免疫,可使系統在未安裝補丁或無法連接互聯網時,也能有效防御該型別的攻擊,
就在今天凌晨,微軟緊急推出了 “PrintNightmare”的修復補丁,并且對已經停止支持的Windows 7系統也發布了相應補丁,可見這個漏洞影響之嚴重,360安全大腦建議用戶,盡快進行更新,預防該漏洞攻擊,
如果企業管理員想排查企業內網是否受到此次木馬攻擊,則可通過IOCS來排查,
IOCS:
45c3f24d74a68b199c63c874f9d7cc9f
bc625f030c80f6119e61e486a584c934
hxxp://6kf[.]me/dl.php
除上述建議外,360安全大腦團隊還針對用戶安全,給出如下安全建議:
用戶在下載安裝軟體時,可優先通過軟體官網、360軟體管家查找安裝,以此來避免在不正規下載站下載后導致的惡意捆綁和故障;
提高安全意識,不隨意打開陌生人發來的各種檔案,如需打開務必驗證檔案后綴是否與檔案名符合;
對于來路不明的電子郵件,提高警惕,不要輕易點擊打開其中包含的任何鏈接、附件;
可疑檔案勿啟用宏代碼,如打開程序發現任何警告資訊,及時阻止,不要點擊忽略或允許,
作為累計服務13億用戶的國民級PC安全產品,360安全衛士上線十五年來一直致力于為用戶提供全方位的安全守護,目前,360安全衛士形成了集合木馬查殺、漏洞修復、隱私保護、勒索解密等多重功能于一體的安全解決方案,未來,360安全衛士將繼續深耕安全技術,為用戶提供更加及時、更具針對性的安全守護,
https://www.freebuf.com/articles/network/279796.html
本文由博客一文多發平臺 OpenWrite 發布!
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/308434.html
標籤:面向對象
上一篇:對控制反轉和依賴注入的突然頓悟
下一篇:Java中集合和陣列的區別