Zyxel 威脅情報(發布日期:2021-08-02)
Zyxel Employee
發布日期:2021-08-02
ZyWALL 最新的病毒/惡意軟體特徵碼更新可保護您免受更多惡意軟體和威脅的侵害。了解 ZyWALL 如何防禦這些威脅。您可以在 Zyxel Encyclopedia查看更多關於他們的詳細信息、歷史和特徵碼信息 。
1.病毒/惡意軟體
更新特徵碼數:21385
Highlight
名稱:Backdoor.Tofsee
描述: Backdoor.Tofsee 悄悄地使用用戶的機器發送垃圾郵件。該威脅可以讓惡意駭客未經授權訪問和控制您的 PC、挖掘虛擬貨幣或執行其他惡意活動。
以下可能表明您的 PC 上有其自身的副本:
· %USERPROFILE%random_generated_strings.exe
然後創建以下註冊表項以確保每次啟動 PC 時都會執行此副本:
· HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "MSConfig" = "%USERPROFILE%random_generated_strings.exe"
最後,惡意軟體:
(1) 在'svchost.exe'進程中創建一個新線程
(2) 將自身添加為 Windows 防火牆中的“受信任方案”。
(3) 刪除原來的可執行文件以覆蓋它自己的軌道。
名稱:Win32.Floxif
描述: 該威脅是一種後門木馬,與名為“CCleaner”的第三方實用程序的“木馬化”版本相關。如果您安裝了 CCleaner 的受感染或木馬版本,很可能會在您的計算機上檢測到此威脅。
運行時,威脅可能會將一些二進制信息儲存到註冊表項 HKLM\SOFTWARE\Piriform\Agomo:Payload
收集和竊取信息
運行時,嵌入在二進制文件中的惡意 DLL 負載可能會收集以下信息:
· 電腦名稱
· 電腦 DNS 網域
· 電腦IP位址
· 安裝和運行的進程
此信息經過加密並通過 POST 方法發送到以下命令和控制 (C2) 地址:
· 216.126.225.148
或者,它會根據受感染機器的當前年月設置動態生成 C2 主機地址。
下載並運行附加代碼
威脅還可以從其 C2 服務器接收二進制 shellcode 並運行它。在分析時,C2 服務器沒有響應,因此我們無法確認二進制 shellcode 包含什麼。
(來源:微軟)
2. 入侵檢測
CVE-2021-1675
描述: Windows Print Spooler 特權提升漏洞
CVSS 基礎分數:8.8 高
CVE-2020-34527
CVSS 基礎分數:8.8 高
描述: Windows Print Spooler 遠程代碼執行漏洞
當 Windows Print Spooler 服務不正確地執行特權文件操作時,存在遠程執行代碼漏洞。成功利用此漏洞的攻擊者可以使用 SYSTEM 權限運行任意代碼。然後攻擊者可以安裝程序;查看、更改或刪除數據;或創建具有完全用戶權限的新帳戶。(來源:微軟)
3. 應用巡查
添加的應用程序總數:12
更新的應用程序總數:28
申請總數:3772
已添加應用程序。更新的應用程序會因型號而異。通過Zyxel Encyclopedia查看更多信息 。
