攻防过半:最能打的竟然不是0day?
发布时间:2024-10-01 04:19分类: 无 浏览:284评论:0
微步威胁感知平台TDP及威胁防御系统OneSIG检测到0day漏洞与Nday漏洞攻击300余个,涉及漏洞主要集中在国产OA系统、ERP系统、开发常用组件及安全设备。
检测到的漏洞攻击中,“老漏洞”(Nday)由于获取成本低、广泛存在且具备更好的隐蔽性,仍是攻击者利用的主要手段,其中捕获到2022年以前的老漏洞攻击行为达到71%,且绝大部分Nday均通过工具扫描,而“新漏洞”更多是通过手工探测方式进行攻击。
另外,基于微步情报局观察,也出现了行业特有的供应链系统(尤其是0day)漏洞,此类漏洞一旦被利用,将产生巨大“爆炸半径”,可能成为攻击者针对行业的“差异化”武器,影响大量终端用户及企业,值得特别关注。
微步情报局发现,大部分木马仍由C/C++语言编写,紧随其后则是Rust和Python。木马样本执行与对抗手法上,主要涉及LOLBins的应用、ftp.exe执行相关代码、控制流平坦化混淆技术以及通过Patch正常文件执行恶意行为四种方式。
其中,LOLbins是系统自带的可执行文件和工具,攻击者利用其进行恶意操作,但无需引入外部恶意软件,非常隐蔽,且工具合法,具备系统适配性。ftp.exe则是Windows自带的命令行FTP客户端程序,该程序支持运行脚本文件,因此被攻击者利用。
近一个月,我们从远控解析到的归属云厂商来看,公有云C2地址归于阿里云的占比最高,达到64%以上,其次则是腾讯云、联通云、华为云,来自其他公有云厂商的远控较少。
微步情报局发现,有攻击者仿冒金融、央企等20多家企业VPN站点,采用典型白加黑绕过手法,传播远控木马,窃取敏感信息和远程控制受害者终端,攻击危害极大,详情可点击:警惕!大规模VPN水坑攻击来袭。
此外,微步情报局还监测到,一个名叫GanbRun的高活跃黑产团伙,在钓鱼攻击中使用窃密软件,主动收集受害者信息,伪造成政府网站链接地址并诱导点击,从云存储或攻击者服务器下载恶意文件,窃取浏览器数据。具体情况可查看:目标银行、证券、央企!黑产团伙伪造政府网站大规模钓鱼。
- 排行
-
- 1携手华为,共创金融新纪元 —— 赢时胜亮相2024华为全联接大会,共绘金融科技生态蓝图
- 2朗新集团、蚂蚁链完成首单新能源RWA,助储充产业提“智”增效
- 3理论深度分析Autosar CAN 时间同步
- 4万字长文,建议收藏——当要求功能安全时,我们在要求什么?
- 5最新解读 | 2024年山东卷高考生物试题浅析
- 62024年河南商丘市虞城县教育人才服务中心人才引进15人公告
- 7China-Serbia Youth International Cultural Exchange Program Ends!
- 8满心热爱,奔赴星辰!英华2024-2025学年开学典礼圆满举行
- 9聚焦三大核心能力培养,这家企业是怎么做好新员工培训的?