安全研究人员发现了一个新的漏洞利用工具包,他们将其命名为Fallout,可提供下载木马,潜在有害应用程序(PUA),尤其是GandCrab勒索软件。 您需要了解这些威胁以及如何防御这些威胁:
[相关:GandCrab勒索软件通过垃圾邮件发送] 辐射的攻击链是什么?
Fallout的名称来自其例程(代码生成,HTML使用和URL模式),它们与以前活跃的漏洞利用工具程序Nuclear相似。 辐射利用其着陆页中嵌入的两个漏洞来提供其有效负载: CVE-2018-8174:Windows的VBScript引擎中的远程执行代码(RCE)漏洞已于2018年5月修补。其他漏洞利用工具包已针对此漏洞提供了加密货币挖矿恶意软件。 辐射首先利用此安全漏洞,如果禁用了VBScript,则会使用另一个漏洞。 CVE-2018-4878:Adobe Flash中的一个After-After-Use漏洞已于去年2月修复。 其他漏洞利用工具包(例如Underminer和Rig)也可以利用此工具。 如果无法成功利用易受攻击的VBScript,此安全漏洞可作为Fallout的故障保护。
利用这些漏洞后,Fallout生成一个shellcode,该shellcode检索它解密并执行的加密有效负载。 在某些情况下,它会安装木马来检查某些安全性和虚拟化过程的存在。 如果在系统中找到任何恶意程序,则不会执行其他恶意程序。
[来自TrendLabs Security Intelligence:仔细研究漏洞利用工具包的最新活动] 辐射的有效载荷和影响是什么?
Shellcode运行一个名为“ Nullsoft Installer自解压存档”的可执行文件(尽管该文件是否与安装工具Nullsoft Scriptable Install System相关,但尚不清楚或未指定)。 反过来,这将运行SmokeLoader木马(一个已知的勒索软件和信息窃取恶意软件的帮凶)以及其他两个可执行文件。
其他安全研究人员还看到Fallout在运行Windows操作系统的受影响系统上提供了GandCrab勒索软件。 如果系统运行的是macOS,它将把受害者转移到广告虚假防病毒(AV)软件和Adobe Flash Player的网页上。
在和韩国以及中东,南欧和其他亚洲国家中观察到辐射活动。
[最佳做法:防御勒索软件] 可以采取什么措施来防御诸如Fallout等漏洞利用工具包?
尽管与攻击工具包相关的活动可能不再像以前那样动态,但它们仍可以使用户和企业面临各种威胁。 以下是一些最佳做法: 保持已打补丁的系统:漏洞是诸如Fallout之类的漏洞利用工具的基础。 暴露的窗口可能会使未打补丁的系统以及其中存储的敏感数据面临被盗和非法访问,修改和盗窃的风险。 企业还可以考虑对旧版系统和网络使用虚拟补丁。 实施最低特权原则:利用工具包是机会主义的。 他们还可以利用第三方加载项,插件和扩展中的漏洞来立足系统。 禁用不必要和过时的系统组件,以阻止攻击者将它们用作入口点。 保护浏览器安全:漏洞利用工具包利用恶意软件传播恶意软件。 更新Web浏览器版本可以帮助消除可利用的漏洞。 企业还应实施URL分类等安全机制,以帮助过滤恶意网站。 监视在线场所:端点和网络流量的异常可能表明恶意软件感染和入侵尝试。 启用防火墙,部署入侵检测和防御系统以及采用白名单和行为监控有助于提高IT或系统管理员可以关注的危险信号。 趋势科技解决方案
一种主动的,多层的安全性方法对于抵御利用来自网关,端点,网络和服务器的漏洞的威胁至关重要。 具有XGen™端点安全性的趋势科技OfficeScan™具有漏洞保护功能,即使在尚未部署补丁程序的情况下,也可以保护端点免受已识别和未知的漏洞利用。 趋势科技的端点解决方案(例如趋势科技™Smart Protection Suite和企业安全无忧™)通过检测和阻止恶意文件和所有相关的恶意URL,保护最终用户和企业免受这些威胁。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢