1. 威客安全首页
  2. 安全资讯

今日威胁情报(2019/11/26-27)



技术相关
今日威胁情报(2019/11/26-27)


1、一个叫做RIPlace的技术可以使恶意软件利用旧文件系统“重命名”操作绕过AV防御。研究人员指出,大多数勒索软件的运行方式是打开和读取原始文件,对内存中的内容进行加密,然后通过将加密内容写入原始文件/保存加密文件然后破坏原始文件,然后删除原始文件或保存加密文件,然后利用“重命名”来替换它。调用重命名请求时(IRP_MJ_SET_INFORMATION,且FileInformationClass设置为FileRenameInformation),筛选器驱动程序将获得回调。研究人员发现,如果在重命名之前调用DefineDosDevice(创建符号链接的旧函数),则可以传递任意名称作为设备名称,以及原始文件路径作为指向的目标。尽管在传递DosDevice路径时返回了错误,但重命名调用成功。勒索软件绕过杀软新技术

https://www.nyotron.com/collateral/RIPlace-report_compressed-3.pdf


2、Malware Hunter跑完100万个样本后,给出的一些思考与内容。

After 1 Million of Analyzed Samples


网络战与情报
今日威胁情报(2019/11/26-27)


1、美国能源部发布报告,指出通过审计了解到得美国能源部下属单位系统存在系统漏洞,包括一些核设施同样存在系统漏洞,审查包括28个部门设施,包括由国家核安全局(National Nuclear Security Administration)运营的某地系统,该地点维护该国的核武器库。在一个机构中就发现了10500个漏洞,当然,还有很多系统无杀软和杀软已经不能运行等众多问题。

今日威胁情报(2019/11/26-27)

https://www.energy.gov/sites/prod/files/2019/11/f68/DOE-OIG-20-12.pdf


2、全球VPN报告,大量免费VPN服务带有恶意行为,尤其是在移动设备中使用的那些行为。Android和iOS的移动VPN应用下载量已超过4.8亿。针对VPN的攻击越来越多。

https://www.top10vpn.com/global-mobile-vpn-report/


3、GAO发布报告,审计国防部的承包商存在的问题,项目层层外包严重,多个承包商不在政府采购范围内,可能严重泄密;提供服务和产品质量低下;违反条例,其中三个制造商违反了《武器出口管制法》,向国外出口了军事技术图纸。

今日威胁情报(2019/11/26-27)

https://www.gao.gov/assets/710/702890.pdf


4、大西洋理事会智库发布报告称,现在全球网络对抗升级不是应对危机的主要方式。(这个报告只采样了美、俄、以色列)三个国家做分析,很多地方没看懂……留个坑。

https://www.atlanticcouncil.org/wp-content/uploads/2019/11/What_do_we_know_about_cyber_escalation_.pdf

原文始发于微信公众号(ThreatPage全球威胁情报):今日威胁情报(2019/11/26-27)

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

4006-119-120

在线咨询:点击这里给我发消息

邮件:public@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

X