255期恶意代码信息
2020/11/16-2020/11/22
经安天【CERT】检测分析,本周有 3 个活跃的漏洞以及 7 个活跃的恶意代码家族值得关注
| 关注方面 | 名称与发现时间 | 威胁等级 | 相关描述 |
| 活跃漏洞 | Windows cng.sys 权 限 提 升 漏 洞(CVE-2020-17087) | 高 | Windows Kernel 中存在一个本地权限提升漏洞,未授权的攻击者通过诱使用户运行恶意的二进制程序 , 最终造成 权限提升。 |
| Windows NFS 远程代码执行漏洞(CVE-2020-17051) | 高 | Windows NFS 是一种网络文件系统,用户可以通过 NFS 访问网络上的文件并将它们像本地文件一样操作。攻击者可以利用此漏洞来访问系统,并远程执行恶意代码。 | |
| Windows Exchange Server 远程代码执行漏洞(CVE-2020-17084) | 高 | Windows Exchange Server 中存在一个远程代码执行漏洞,未授权的远程攻击者通过向 Exchage 服务器发送特制的请求包来进行漏洞利用,利用成功后便可获得服务器完整控制权限。 | |
|
较为活跃 样本家族 |
Trojan/Win32.Khalesi | 中 | 此威胁是一种具有多种恶意功能的家族木马。该家族样本运行后,会窃取系统账户信息,记录键盘击键信息,下载其他恶意软件。该家族样本通过钓鱼邮件传播,通过添加计划任务持久驻留系统。 |
| Trojan[Dropper]/Win32.Dinwod | 中 | 此威胁是一种具有释放或捆绑行为的木马类家族。该家族木马在感染用户系统之后,会自动释放并安装其它恶意程序。该家族的部分变种还具有强制关闭杀毒软件的能力。 | |
| Trojan/Win32.Blamon | 中 | 此威胁是一种可以窃取密码信息的木马家族。该家族样本运行后会窃取用户账户信息,记录键盘击键等。 | |
| Trojan/Win32.Cosmu | 中 | 此威胁是一种下载类木马家族。该家族木马会从指定的服务器下载多种恶意软件和广告软件。该家族还会在系统后台定时访问指定的站点,以提高这些网站的访问量,为木马制作者获取利益。 | |
| Trojan/Win32.Cometer | 中 | 此威胁是一种后门类木马程序。该类木马样本主要以 CobaltStrike、MSF 框架生成的相关后门为主,通常利用 powershell 脚本将恶意载荷注入到内存中,不在文件系统中落地,绕过一些反病毒软件。样本具有一定的远程控制功能。 | |
| Trojan[Backdoor]/Linux.Mirai | 中 | 此威胁是一种 Linux 平台上的僵尸网络家族。该家族样本主要是利用漏洞传播并组建僵尸网络,并利用僵尸网络传播相关恶意软件。 | |
| Trojan/Android.Boogr | 中 | 此威胁是安卓平台上的伪装类木马家族。该家族木马通常伪装成游戏或流行应用程序,运行后可以下载其他恶意文件,将 SMS 消息发送给高价软件,或将受害者的智能手机连接到攻击者的命令和控制服务器。 |