以勒索为目的的DDoS攻击:
Memcached是一个常用的开源分布式内存缓存系统,通过在RAM中缓存数据和对象来加速动态数据库驱动的网站,以减少必须读取外部数据源的次数。Memcached默认安装在许多Linux操作系统上,并可在许多云服务器配置中找到。 Memcached使用UDP进行通信,该协议允许在没有任何身份验证的情况下进行通信。攻击者可以“欺骗”或伪造发出该请求的计算机的Internet地址,从而骗取Memcached服务器的响应,也就是引向 DDoS攻击的预期目标。
网络犯罪分子利用Memcached通过向目标服务器发送伪造请求来勒索受害者的金钱。 端口11211上的Memcached服务器使用与受害者IP匹配的欺骗IP地址。 发送给有漏洞的服务器的请求的几个字节可能会触发针对目标IP地址的大量响应,从而导致强大的DDoS攻击。
Muddy Water APT组织:
Muddy Water是自2017年2月以来一直活跃的APT组织。截至目前,他们一直针对中东及周边国家的政府和组织。恶意文档所做的网络活动很有趣。 它将首先连接到几个攻陷的网站作为代理,然后它将最终连接到Muddy Water的CnC服务器,经过各种跳跃,就是为了隐藏CnC服务器的地址。
FortiGuard全球威胁研究与响应实验室分析了样本,并且发布了(AV)检测特征:VBA/Agent.BAC4!tr
同时在我们的网页过滤服务中以下IOC被列入黑明单:
hxxp://afzalphotostat[.]com/scripts/db_template.php(Proxy)
hxxp://aizaportfolio[.]com/fonts/db_template.php (Proxy)
hxxp://canbeginsaat[.]com/madmin/db_template.php (Proxy)
hxxp://www.bookkeepingbypros[.]com/wp-includes/db_template.php (Proxy)
谁拥有了Shell,谁就拥有了Power:
FortiGuard实验室已经注意到PowerShell相关威胁的活动,不限于特定的攻击。 PowerShell基于.NET框架,并为系统管理员提供了类似Linux / Unix(Bash,Korn等)中找到的各种shell的管理环境。 PowerShell为攻击者和防御者提供了强大的功能,以不同于批处理文件的高效方式执行各种指令和任务。 由于能够直接从内存执行有效载荷,内置了远程访问功能,并且能够使用模糊技术逃避防病毒,因此攻击者似乎倾向于使用PowerShell。 上个月早些时候发布的最新高调的基于PowerShell的攻击是针对平昌奥运的金龙(Gold Dragon)运动。
ComboJack (会打组合拳的Jack):
本周早些时候,发现名为ComboJack的新恶意软件。它的名称中含有combo的意思也是说明了它在攻击媒介中利用了软件程序,服务和漏洞的多种组合。 ComboJack的独特之处在于它使用社会工程技术来强制用户通过恶意垃圾邮件打开PDF文件。一旦打开,它将利用嵌入式RTF文档(CVE-2017-0859)利用远程嵌入对象,该对象使用经过模糊处理的编码HTA文件。 解码后,HTA文件包含一个PowerShell脚本,最终可以提供加密货币信息窃取软件,然后利用PowerShell执行恶意软件。 ComboJack每半秒检查剪贴板的内容,并使用预设的加密货币等待特定的钱包输入。当它看到与之相关的活动时,它会尝试将这些输入发送到自己的硬编码钱包,以便最终劫持会话并从受害者那里窃取金钱。
FortiGuard实验室分析了攻击样本,并发布了签名:
W32/ClipBanker.CF!tr
PowerShell CryptoMiner
本周还发现一个模仿自己作为未知HP驱动程序(hpdriver.exe)的例子。包含在内的是一个简单但功能强大的PowerShell脚本,最终下载XMR矿工(Monero)。 运行时,将引发PowerShell终止现有进程,消耗大量CPU周期的进程以及其他系统工具。这个样本的独特之处在于,它不仅终止了现有的系统流程,而且还终止了可能直接竞争的竞争流程,例如其他加密货币矿工最终获得所有受害者的CPU周期。
FortiGuard实验室分析了样本,并发布了签名:
Riskware/BitMiner
W32/CoinMiner.CZ
Exim邮件传播漏洞:
今天早些时候,透露了Exim邮件传输代理中的一处漏洞。 Exim是一个邮件传输代理(MTA),提供诸如内容管理系统(Drupal,WordPress等)的服务的电子邮件功能,特别是许多网站主办公司使用的cPanel。该漏洞(CVE-2018-6789)允许绕过各种安全缓解措施(如ASLR)来执行远程代码执行。
就响应来讲,版本4.90.1已发布,建议立即升级Exim。根据漏洞查找程序,至少有40万台服务器处于危险之中。然而,这可能是一个非常低的估计,因为Exim在世界各地广泛使用。由于此漏洞在发布时已被披露,因此FortiGuard实验室正在确定IPS覆盖是否可行。我们会尽可能提供必要的更新。
并非随意的Web服务器攻击:
FortiGuard实验室在本周的活动中查看到IPS签名Web.Server.Password.Files.Access.Although的激增。虽然此检测是通用的,并且与特定的CVE或已知漏洞无关 ,有趣的是,它在本周排在我们榜单的前10位,而在前一周,它甚至不在我们的视线范围内。
检测表明这是通过HTTP请求访问文件或目录的尝试:
/ etc / passwd(本地用户列表)
/ etc / shadow(用户密码的哈希列表)
我的BGP可不能崩溃啊:
早在二月份,US-CERT就透露QuaggaBGPD受到多个漏洞的影响。 最终利用此漏洞可以允许未经身份验证的远程攻击者使用精心设计的输入来导致bgpd崩溃,甚至允许远程攻击者获得对受影响的bgpd进程的控制权。 我们的IPS签名Quagga.bgp_attr_parse.BGP.Session.Out.of.Bounds.Read具体地址(CVE-2018-5378)。 如果属性长度无效,则版本1.2.3之前的Quagga BGP守护进程(bgpd)没有正确限制检查通过NOTIFY发送给对等方的数据。 来自bgpd进程的任意数据可能通过网络发送给对等方或可能导致bgpd崩溃。 由于BGP在ISP级别和各大型组织中的重要性,FortiGuard实验室正在监控此签名,并在可行的情况下提供任何相关更新。
网页过滤
另一个Formbook活动:
FortiGuard实验室的网页过滤团队发现了一个将Formbook捆绑到Microsoft Word的恶意活动。 用户受感染后,恶意Word文档就会要求用户在一系列提示后启用内容。 一旦用户启用了内容,它将在后台运行PowerShell脚本并连接到下载链接。该链接将下载一个恶意可执行文件,即Formbook有效负载。
该负载被认为具有反VM和反沙箱功能,当我们首次在VM中运行有效负载时,我们无法检索到C2连接。经过连续测试后,我们能够检索C2连接。
FortiGuard已将以下IOC列入黑明单:
gracesthw[.]com/sqwedfvd/w64/FortiClient-Lite.exe(payload link)
yucicasa[.]com/putty/support/fren/ (C2)
www[.]preferedpopcorn[.]com/putty/support/fren/ (C2)
www[.]msmhhh0opk[.]com/putty/support/fren/ (C2)
www[.]daviesadeloye[.]com/putty/support/fren/ (C2)
利用Adoble Flash漏洞:
FortiGuard Labs网页过滤团队发现了一个利用Adobe Flash漏洞中的样本,该漏洞与最近零日攻击(CVE-2018-4878)有关。 此漏洞可使攻击者能够将带有嵌入式恶意Flash内容的Microsoft Office文档传播到目标设备。
FortiGuard实验室已将所有的URL和域列入数据库。
IT解决方案:
下一代防火墙部署场景:化繁为简、加密云接入、可视化与自动化、默认FortiEDR和FortiXDR保护会自动检测并拦截本文中描述的攻击,且无需进行其他更新
以更低的复杂性提供业内首屈一指的威胁防护和性能、网络与安全的融合、集成安全架构、多重检查引擎、统一控制管理、高级威胁防御、内置反病毒引擎、终端测的安全防护、全自动威胁检测、全自动威胁调查、全自动威胁响应
飞塔防火墙服务:应用控制、Web过滤、反病毒、FortiCloud 沙箱、入侵防御、病毒爆发防护服务、内容消除与重建、IP 信誉和反僵尸网络
品类:零信任网络访问(ZTNA)、下一代防火墙、FortiClient终端安全、FortiManager集中管理平台 、 FortiAuthenticator身份管理平台、HPC基础架构、雾计算基础架构、网络安全生态系统、集成式安全方法、入侵防御系统、网络访问控制、智能边缘、自动化安全架构、恶意设备检测、端点检测、高级威胁检测、事件分析溯源
方案适用机型:
机框设备:FortiGate 7060E 、FortiGate 7040E 、FortiGate 7030E 、FortiGate 5001E
超高端设备:FortiGate 6300F\6301F\6500F\6501F
高端设备:FortiGate 3980E、FortiGate 3960E 、FortiGate 3800D 、FortiGate 3700DFortiGate 3600E 、FortiGate 3400E、FortiGate 3200D、FortiGate 3100D 、FortiGate 3000D 、FortiGate 2500E、FortiGate 2000E、FortiGate 1500D 、FortiGate 1200D 、FortiGate 1000D
中端设备:FortiGate 900D 、FortiGate 800D 、FortiGate 600E、FortiGate 500E 、FortiGate 400E 、FortiGate 300E、FortiGate 200E 、FortiGate 100E,FG-60F
入门级设备:FortiGate 80E、FortiGate 60E、FortiGate 50E、FortiGate 30E 、FortiGate 60D – Rugged
Virtual Machines:FortiGate-VM00 、FortiGate-VM01, -VM01V 、FortiGate-VM02, -VM02V、FortiGate-VM04, -VM04V 、FortiGate-VM08, -VM08V 、FortiGate-VM16, -VM16V 、FortiGate-VM32, -VM32V 、FortiGate-VMUL, -VMULV,fc-10-0060f-950-0212,
专有型号/系列:FortiOS 7.0、Fortinet SASE、FortiXDR
服务区域:
四川 飞塔 Fortinet:成都 飞塔 Fortinet、绵阳 飞塔 Fortinet、自贡 飞塔 Fortinet、攀枝花 飞塔 Fortinet、泸州 飞塔 Fortinet、德阳 飞塔 Fortinet、
广元 飞塔 Fortinet、遂宁 飞塔 Fortinet、内江飞塔 Fortinet、乐山 飞塔 Fortinet、资阳 飞塔 Fortinet、宜宾 飞塔 Fortinet、南充 飞塔 Fortinet、
达州 飞塔 Fortinet、雅安 飞塔 Fortinet、阿坝藏族羌族自治州飞塔 Fortinet、凉山彝族自治州 飞塔 Fortinet、广安 飞塔 Fortinet、巴中 飞塔 Fortinet、眉山 飞塔 Fortinet
重庆 飞塔 Fortinet
贵州飞塔 Fortinet:贵阳飞塔 Fortinet、遵义飞塔 Fortinet、铜仁飞塔 Fortinet、安顺飞塔 Fortinet、毕节飞塔 Fortinet 、六盘水飞塔 Fortinet、黔南州飞塔 Fortinet、黔西南州飞塔 Fortinet 、黔东南州飞塔 Fortinet
云南飞塔 Fortinet:昆明飞塔 Fortinet 、曲靖飞塔 Fortinet 、玉溪飞塔 Fortinet 、昭通飞塔 Fortinet 、临沧飞塔 Fortinet 、保山飞塔 Fortinet 、
丽江飞塔 Fortinet 、普洱飞塔 Fortinet、红河哈尼飞塔 Fortinet、德宏飞塔 Fortinet、楚雄飞塔 Fortinet 、文山飞塔 Fortinet 、
西双版纳飞塔 Fortinet 、怒江飞塔 Fortinet
西藏自治区飞塔 Fortinet:拉萨飞塔 Fortinet、昌都飞塔 Fortinet、林芝飞塔 Fortinet、山南飞塔 Fortinet、日喀则飞塔 Fortinet、那曲飞塔 Fortinet、阿里飞塔 Fortinet
飞塔自身关键词:
飞塔防火墙,飞塔官网,飞塔公司,fortigate防火墙,飞塔防火墙配置
飞塔相关关键词:
网络安全,安全SD-WAN,Fortinet FortiGate-VM,Fortinet,VPN保护,Web过滤,
网络分段,网络微分段,物联网平台保护
更多机型和方案请咨询
成都科汇科技有限公司 (IT解决方案商)
无论您的IT架构是 本地化、云端、还是混和云 都能提供一站式安全方案。
地址:四川省成都市人民南路四段一号时代数码大厦18F
电话咨询热线:400-028-1235
QQ:132 5383 361
手机:180 8195 0517(微信同号 )
本文章为转发的公开信息,如有相关侵权,敬请联系上述联系方式即可删除。