威胁情报 | 坏兔子及Struts新漏洞

Posted 2021-04-28 深圳市耐斯康网络技术有限公司

上周称为“Bab-Rabbit坏兔子”的勒索软件被发现，最初攻击了俄罗斯和乌克兰的用户，并开始蔓延到互联网其他区域，

 

与最近的WannaCry和Petya / NotPetya勒索软件家族相比，它的传播受限，主要原因是它是一个水坑攻击，须有赖用户通过执行一个恶意文件下载才可以被激活，而不是像其他攻击那样通过具体的漏洞来传播。

 

另外的消息是本周一个名为DUHK的漏洞公布。这是ANSI X9.3伪随机数发生器中的缺陷，用于解密许多安全及VPN网关产品几年前使用的TLS / IPSec流量。这个漏洞影响了一些Fortinet较为旧的设备操作系统，在去年11月发布了补丁版本。

 

恶意软件活动

 坏兔子勒索软件爆发：

BadRabbit是一个新的勒索软件家族，主要在俄罗斯和乌克兰发生有限的破坏事件，以及其他东欧国家报告的少数感染。这次袭击似乎正在缓慢地蔓延到其他地区，影响到政府机构和私营企业。

 

坏兔子的形象类似于今年5月和6月发生的WannaCry和NotPetya疫情。虽然Bad Rabbit不会像其他攻击那样利用永恒的蓝色或DoublePulsar漏洞，但它仍然针对Microsoft SMB协议。初始威胁向量通过从受感染网站下载的Flash Player或其他恶意软件。受害者被诱骗打开一个.exe文件后激活该勒索软件。然后其尝试窃取Windows缓存的用户凭据（用户名和密码）并加密用户文件。与其他已知的勒索软件不同，此恶意软件不会重命名或更改其加密文件的文件名。

 

FortiGuard实验室自从首次发现以来，一直在密切监测恶意软件。 Fortinet的AV / Malware引擎通过W32 / Diskcoder.D！tr.ransom签名检测已知恶意软件的所有版本。此外，Fortinet Web过滤和DNS引擎阻止已知的C＆C服务器。随着新细节的发展，我们将继续跟踪这个恶意软件家族并与读者分享我们的发现。

应用漏洞／IPS

 

Struct-ural破坏：

ApacheStruts是用来开发Java EE Web应用程序的开源Web应用程序框架。这个应用程序一直被多个漏洞所困扰。本周，FortiGuard实验室注意到利用已知漏洞（CVE-2017-5638）明显增加。它是由应用程序误操作包含恶意的“Content-Type”或“Content-Disposition”字段的精心设计的HTTP请求时发生的错误处理问题触发的。触发签名

Apache.Struts.Jakarta.Multipart.Parser.Code.Execution- 允许攻击者通过精心制作的请求在应用程序的上下文中执行任意代码。

 

FortiGuard实验室建议Struts2.3.5至2.3.31和2.5至2.5.10的所有用户下载Apache发布的最新修补程序来解决此问题。

网页过滤

Thelashgroup.ca:

 FortiGuard 实验室最近发现了使用Microsoft DDE技术推送Word文档的恶意垃圾邮件。受害人必须点击几个警告，才能打开文件受感染。 FortiGuard已将所有域名列入黑名单。

 

Systembootupdatexxxvirusfound.info:

FortiGuard实验室将此域标识为技术支持诈骗页面。反向whois显示shubham.micrsoft在gmail.com，还拥有另一个为类似目的创建的其他网络钓鱼域。所有这些域名都已添加到我们的黑名单中。