首页 > 传媒 > 关键词 > 挖矿僵尸网络最新资讯 > 正文

警惕!“紫狐”挖矿僵尸网络正利用“PrintNightmare”漏洞发起攻击

2021-07-07 13:53 · 稿源:站长之家用户

6 月 30 日,有安全人员发布一个Windows打印机远程代码执行漏洞概念验证,并将该漏洞命名为“PrintNightmare”。据悉,此漏洞可允许低权限用户对本地网络中的电脑发起攻击,从而控制存在漏洞的电脑,而域环境中的普通用户能够利用该漏洞对域控服务器发起攻击,控制整个域。

7 月 3 日,微软发布公告称“PrintNightmare”漏洞可影响几乎所有主流Windows版本,具体漏洞编号为CVE-2021-34527。而360安全大脑仅在公告发布一天后,就监测到“紫狐挖矿僵尸网络正利用“PrintNightmare”漏洞发起攻击。

据悉,“紫狐”僵尸网络是一个规模庞大的挖矿僵尸网络,惯常使用网页挂马、MsSQL数据库弱口令爆破等方式入侵机器,入侵成功后会尝试在局域网横向移动,并在机器中植入挖矿木马进行获利。

经 360 高级威胁研究分析中心研判分析发现,“紫狐”僵尸网络利用“PrintNightmare”漏洞入侵域内机器后,将文件名为“AwNKBOdTxFBP.dll”的恶意dll注入打印机进程spoolsv.exe中,恶意dll会将恶意注入rundll32.exe,启动PowerShell下载并执行僵尸程序。攻击流程和恶意PowerShell代码如下图所示。

image.png

执行的PowerShell代码,解码后内容如下:

image.png

待僵尸程序下载并执行后,受害机器就会彻底沦为“紫狐“僵尸网络的一个节点,并且还会在挖矿的同时对网络中的其他机器发起攻击。

就在漏洞曝光后不久, 360 安全大脑漏洞防护在第一时间支持了该漏洞的攻击拦截,并且在 360 安全卫士、 Win7 盾甲等产品里添加了针对该漏洞的微补丁免疫,可使系统在未安装补丁或无法连接互联网时,也能有效防御该类型的攻击。

image.png

就在今天凌晨,微软紧急推出了 “PrintNightmare”的修复补丁,并且对已经停止支持的Windows7 系统也发布了相应补丁,可见这个漏洞影响之严重, 360 安全大脑建议用户,尽快进行更新,预防该漏洞攻击。

如果企业管理员想排查企业内网是否受到此次木马攻击,则可通过IOCS来排查。

IOCS:

45c3f24d74a68b199c63c874f9d7cc9f

bc625f030c80f6119e61e486a584c934

hxxp://6kf[.]me/dl.php

除上述建议外, 360 安全大脑团队还针对用户安全,给出如下安全建议:

1. 用户在下载安装软件时,可优先通过软件官网、 360 软件管家查找安装,以此来避免在不正规下载站下载后导致的恶意捆绑和故障;

2. 提高安全意识,不随意打开陌生人发来的各种文件,如需打开务必验证文件后缀是否与文件名符合;

3. 对于来路不明的电子邮件,提高警惕,不要轻易点击打开其中包含的任何链接、附件;

4. 可疑文档勿启用宏代码,如打开过程发现任何警告信息,及时阻止,不要点击忽略或允许。

作为累计服务 13 亿用户的国民级PC安全产品, 360 安全卫士上线十五年来一直致力于为用户提供全方位的安全守护。目前, 360 安全卫士形成了集合木马查杀、漏洞修复、隐私保护、勒索解密等多重功能于一体的安全解决方案。未来, 360 安全卫士将继续深耕安全技术,为用户提供更加及时、更具针对性的安全守护。

  • 相关推荐
  • 大家在看
  • PrintNightmare漏洞已引起CISA关注 微软表示正积极开展调查

    虽然每月的补丁星期二活动微软都会发布一系列安全更新,但依然存在“漏网之鱼”。日前,国内安全公司深信服(Sangfor)发现了名为 PrintNightmare 的零日漏洞,允许黑客在补丁完善的 Windows Print Spooler 设备上获得完整的远程代码执行能力。该漏洞已引起美国网络安全和基础设施安全局(CISA)的关注,微软正在积极开展调查。CISA 将 PrintNightmare 漏洞描述为“关键漏洞”(Critical),因为它可以远程执行代码。CERT 协调中心

  • 微软警告攻击者正肆意利用Windows PrintNightmare漏洞

    微软已就 Windows PrintNightmare 漏洞发出紧急警告,因其允许黑客在受害者 PC 上远程执行代码。由 CVE-2021-34527 安全公告可知,该漏洞利用了打印所需的 Windows Print Spooler 服务中的一个缺陷。目前微软正在对“不断发展的状况”进行评估,且 Sangfor 安全研究人员已经发布了概念利用证明。微软表示其已意识到 Windows PrintNightmare 在野外被积极利用的可能,而 @EdwardZpeng 也在假设官方已推出补丁的前提下发布了概念验证

  • 0patch发布拯救Windows PrintNightmare漏洞的免费微补丁

    第三方补丁开发商0patch已经介入帮助修复最近被安全研究人员意外泄露的PrintNightmare漏洞。虽然微软已经承认Windows Print Spooler存在安全漏洞,可能导致系统被远程入侵,但该公司只提供了解决方法,而没有提供补丁。因此,0patch--对在这种情况下提供帮助并不陌生--已经站出来,发布了自己的免费微补丁。0patch如此热衷于提供帮助的原因之一是,微软建议的变通方法具有相当严重的后果。该公司在一篇博文中说:"微软已经确认Prin

  • 微软为PrintNightmare漏洞提供进一步的缓解措施 将其评级为 "高严重性"

    几天前,我们了解到一个名为 "PrintNightmare"的新漏洞几乎影响到所有的Windows设备。它利用Windows Print Spooler服务的未受保护的功能来触发远程代码执行(RCE)。美国网络安全和基础设施安全局(CISA)强调它是一个关键漏洞,微软正在积极调查修复。现在,微软公司就此事提供了更多信息。PrintNightmare,在漏洞代号CVE-2021-34527下被追踪,现在已被授予通用漏洞评分系统(CVSS)基本评级为8.8。值得注意的是,CVSS v3.0规范文

  • 零日漏洞PrintNightmare曝光:可在Windows后台执行远程代码

    中国安全公司深信服(Sangfor)近日发现了名为 PrintNightmare 的零日漏洞,允许黑客在补丁完善的 Windows Print Spooler 设备上获得完整的远程代码执行能力,该公司还发布了概念证明代码。在 6 月补丁星期二活动日中,微软发布的安全累积更新中修复了一个类似的 Print Spooler 漏洞。但是对于已经打过补丁的 Windows Server 2019 设备,PrintNightmare 漏洞依然有效,并允许攻击者远程执行代码。根据概念证明代码显示,黑客只需要

  • 深度追踪Mozi僵尸网络:360安全大脑精准溯源 揪出幕后黑手

    自2019 年9 月 3 日, 360 安全大脑全球率先捕获到Mozi僵尸网络的相关样本,并于2019 年12 月 23 日首发披露Mozi僵尸网络分析报告,至今两年来,Mozi的受关注度一直高居不下。

  • ZStack Cloud与Lightbits LightOS完成互认证

    近日,ZStack Cloud云平台与Lightbits LightOS完成产品兼容性互认证。测试结果显示,LightOS与ZStack Cloud可以完美对接、运行,并成为与ZStack对接的首个NVMe over TCP存储产品。双方将强强联手,为企业用户提供满足高性能、低延迟的以太网网络存储需求的一体化解决方案,帮助企业用户快速实现数字化转型。

  • [视频]NightWatch底座:将Apple Watch变成床头闹钟

    你是否曾尝试过使用 Apple Watch 作为床头钟?但最终因为屏幕太小而放弃了吗?现在,通过这个售价为 49.99 美元的 NightWatch 底座,就能完美的解决上述问题。这款底座整合了充电、放大镜和声学放大器的功能,能够将 Apple Watch 变成真正的床头钟。NightWatch 试图让 Apple Watch 在床头柜模式下更好地工作,它使其屏幕更大,更容易阅读,并使用 "集成声道 "放大你的闹钟声。总的来说,这是一个相当简单的配件,基本上由一块抛光?

  • 美英网络安全机构抨击APT28发起大规模网络攻击

    在英美网络安全机构的一份联合声明中,俄罗斯网络犯罪组织 APT28 被指控发起了多次大规模网络攻击。Security Affairs 指出:当局在 2019 年中至 2021 年初这段时间内,发现了针对全球诸多政府组织与企业的网络犯罪活动,涉及能源、智库、以及国防承包商等领域。具体说来是,黑客利用了 Kubernetes 集群开展匿名暴力攻击,并且借助商业虚拟专用网或暗网来进一步隐匿自身的踪迹。美国国家安全局(NSA)在公告中称,该网络犯罪组织正?

  • Microsoft Defender for Endpoint现可检测网络上的非托管设备

    微软刚刚宣布了 Microsoft Defender for Endpoint 的一项功能更新,现已支持对公司网络上的非托管设备进行检测,比如员工个人使用的智能机或恶意硬件。微软企业与操作系统安全总监 David Weston 指出,此类设备对组织网络的安全态势带来了较大的风险。但最大的危险,是你并未意识到薄弱环节的存在。对于聪明的攻击者来说,这里显然也是最容易下手的。(来自:Microsoft 官网)本次更新为 Microsoft Defender for Endpoint 改进了多

  • Windows 11的微软商店放弃了HTML 以获得完整的XAML体验

    作为第一个Windows 11预览版的一部分,新的微软商店现在可供Windows Insiders使用,让感兴趣的用户近距离地了解新的操作系统,该系统将在今年晚些时候开始向主流用户推出。在这次测试计划中,微软表示Windows 11商店已经 "从头开始重新设计"。整个界面已经更新,滚动的响应速度更快,微软还为更多内容增加了空间。微软表示,用户体验很简单的原因是现在已经没有HTML组件了。在Windows 10上,微软商店的前端部分是用HTML/CSS(网页?

  • Turtle Beach推出VelocityOne Flight一体式模拟飞行外设

    知名游戏外设制造商 Turtle Beach 公司,刚刚在 E3 2021 活动期间推出了经济实惠的 VelocityOne Flight 飞行模拟操控装置。据悉,在 VelocityOne Flight 的开发过程中,Turtle Beach 得到了航空工程师与飞行员们的定制支持,旨在提供市面上最真实、现代、身临其境的 PC / Xbox 飞行模拟体验。Turtle Beach 董事长兼首席执行官 Juergen Stark 指出,该公司在继续拓展业务、以实现长期目标的同时,也将过去十年来的畅销产品研发制造?

  • 戴姆勒、沃尔沃、Traton SE将成立一家卡车充电网络公司

    据外媒报道,戴姆勒(Daimler AG)、沃尔沃和Traton SE计划成立一家合资企业以为全欧洲的电动卡车和长途汽车提供高性能充电网络,进而跟上欧盟日益严格的监管。据周一的一份声明了解到,等到2027年左右,制造商将花费5亿欧元购买至少1700个由绿色能源供电的充电站。这家公司表示,随着时间的推移,通过其他合作伙伴的加入和公共资金的注入,分数将会显著增加,而这些人将拥有相等的股份。沃尔沃 CEO Martin Lundsted在声明中说道:“

  • 微软的一次重大胜利:AT&T选择在Azure云平台上运行核心5G网络

    微软和ATT今天发布联合声明,表示该运营商的 5G 无线网络的核心部分将会运行在微软的 Azure 云计算平台上。在 2018 年,ATT 就开始搭建自己的 5G 网络,旨在更多依靠软件和数据中心来路由流量,而不是电信的具体装备。分析师认为,按收入计算,微软是仅次于竞争对手亚马逊网络服务(AMZN.O)的第二大云计算供应商,它一直在建立特定的云计算产品。而本次和 ATT 的合作无疑是微软的一个重大胜利。两家公司还表示,微软将购买 ATT 开发

  • 欧盟希望成了一个网络单位来应对网络攻击

    根据POLITICO看到的一份计划草案,欧盟希望启动一个新的网络单位来应对网络攻击。根据该草案,欧盟委员会将于周三提交其计划,建立所谓的"联合网络单位",该单位将允许受到网络攻击的国家向其他国家和欧盟寻求帮助,包括通过快速反应小组,实时扑向黑客并与之对抗。目前一连串的网络攻击在欧洲大陆造成了严重的破坏,导致人们担心欧洲无法保护自己或其商业机密不受对手侵害。欧盟的计划旨在通过集中各国政府的网络安全权力,帮助各

  • 微软曝光部分Netgear路由器存在安全漏洞 攻击者可破坏整个网络

    在调查 Microsoft Defender for Endpoint 中的设备指纹识别功能时,微软安全研究人员意外发现了 Netgear 路由器中存在的一个安全漏洞。为避免被攻击者利用来破坏整个网络,这家总部位于雷德蒙德的软件巨头选择了与 Netgear 团队密切合作,以尽可能快速有效地解决相关问题。(来自:Microsoft Security Blog)据悉,该漏洞是在 DGN-2200v1 路由器的管理端口,试图被不属于 IT 员工的设备访问后被发现的。在被机器学习算法标记为异常

  • 巨人网络获赠1.1%巨堃网络股权

    巨人网络今日发布《巨人网络集团股份有限公司关于受赠股权资产暨关联交易的公告》,为支持巨人网络发展,公司的控股股东巨人投资拟向巨人网络无偿赠与其持有的巨堃网络1.1%股权。本次交易完成后,巨堃网络将从巨人网络的参股子公司变为控股子公司。

  • 微软向FCC表明支持SpaceX的卫星互联网网络Starlink

    本月早些时候在和联邦通信委员会(FCC)代表的会晤中,微软高管表达了他们对 SpaceX 卫星互联网网络 Starlink 的支持。目前,Starlink 和其他非对地固定卫星服务(NGSO FSS)供应商在 12GHz 频谱的管理规则上存在分歧,这包括 Michael Dell 的 RS Access LLC 在内的地面 5G 运营商以及包括 DBS 在内的卫星服务提供商。联邦通信委员会目前正在评估所有利益相关者在频谱方面的投入,以满足各方的需求。在上月初提交了支持多家卫星公?

  • [技巧]如何在Windows 11上启用DNS over HTTPS功能

    DNS over HTTPS(DoH)是一个进行安全化的域名解析方案。其意义在于以加密的 HTTPS 协议进行 DNS 解析请求,避免原始 DNS 协议中用户的 DNS 解析请求被窃听或者修改的问题来达到保护用户隐私的目的。目前 Windows 11 系统已经加入了对该技术的支持,本文将告诉你如何在新系统上启用它。如何在Windows 11上设置DNS-over-HTTPS(DoH)?步骤如下1. 导航到 设置网络和互联网以太网和WIFI2. 单击“DNS服务器分配”项目上的“编辑”。3.

  • 实践进阶五步走 极(GitLab)DevOps系列课程上线

    6 月 10 日,极狐(GitLab)正式上线DevOps系列培训课程,并同步推出DevOps认证体系,完成课程学习将获得极狐(GitLab)官方认证。该课程主要面向使用极狐GitLab的DevOps工程师、安全审计人员、系统运维工程师、系统管理员、项目经理或项目管理人员,全方位覆盖DevOps的理论、功能及实操,旨在帮助企业和团队深入了解极狐GitLab在DevOps各个应用场景中的解决方案,提高企业和团队的DevOps能力,并为DevOps平台落地提供最佳实践参考。Gi

  • 热门标签