正文 

当前位置: 首页 > 开发 > java教程

利用windows0day漏洞部署devilstongue恶意软件

llawliet0001 llawliet0001     2022-12-11     199

关键词:

导读以色列情报公司Candiru利用微软7月补丁日中修复的2个0day漏洞,部署名为 DevilsTongue 的新恶意软件。

0x00 事件概述

近日,微软和Citizen Lab发现Candiru(微软称为 Sourgum)利用微软7月补丁日中修复的2个0 day漏洞(CVE-2021-31979和CVE-2021-33771)部署名为 DevilsTongue 的新恶意软件。

Citizen Lab在其报告中表示,Candiru 是一家位于以色列的情报公司,专门向政府出售间谍软件。根据报道,他们的间谍软件可以感染和监控iPhone、Android、Mac、PC 和云帐户。微软威胁情报中心 (MSTIC)于2021年7月15日发布了该事件的分析报告。据微软表示,Sourgum通常出售网络武器,使其客户(通常是世界各地的政府机构),能够入侵其目标的计算机、电话、网络基础设施和互联网连接设备,然后这些机构自己选择目标人物并进行实际操作。

微软和 Citizen Lab 合作禁用了DevilsTongue。微软研究人员发现,该恶意软件影响了巴勒斯坦、以色列、伊朗、黎巴嫩、也门、西班牙、英国、土耳其、亚美尼亚和新加坡等至少100名受害者,他们包括政治家、人权活动家、记者、学者、大使馆工作人员和政治异议人士。

0x01 事件详情

对Candiru攻击的调查是在CitizenLab分享了一个在受害者系统中发现的恶意软件样本,并导致发现CVE-2021-31979和CVE-2021-33771这2个Windows内核提权漏洞0 day漏洞之后开始的。攻击者可以利用这2个漏洞实现提升权限、浏览器沙箱逃逸并获得内核代码执行权限。目前这2个0 day已在微软7月补丁日中修复。

Citizen Lab使用 Internet 扫描将750多个网站与Candiru的间谍软件基础设施联系起来,进一步确认了事件可信度。此外,他们还发现,这些域中有许多被设计为模仿代表媒体公司和宣传组织的域,包括大赦国际和 Black Lives Matter 运动。

据表示,攻击者滥用了几种流行浏览器和Windows操作系统中的漏洞利用链,将DevilsTongue恶意软件投放到受害者的电脑上。

DevilsTongue恶意软件允许其操作者收集和窃取受害者的文件,解密和窃取Windows设备上的Signal信息,并从LSASS和Chrome、Internet Explorer、Firefox、Safari和Opera网络浏览器中窃取cookies和保存的密码。此外,它还可以利用存储在受害者电脑上的Facebook、Twitter、Gmail、Yahoo、Mail.ru、Odnoklassniki和Vkontakte等网站的cookie来获取敏感信息,比如读取受害者的消息,窃取照片等。

微软研究人员还发现,DevilsTongue还可以在其中一些网站上以受害者的身份发送信息,并且发送信息的能力可以被武器化,以向更多的受害者发送恶意链接。

据微软表示,这些攻击主要针对消费者,微软本周发布的保护措施将阻止Sourgum的工具在已经被感染的计算机上执行,并防止在更新的计算机、运行Microsoft Defender防病毒软件的计算机以及使用MicrosoftDefender for Endpoint的计算机上发生新的感染。

0x02 处置建议

建议Windows用户尽快应用CVE-2021-31979和CVE-2021-33771的安全更新(已于2021年7月13日发布),并启用Microsoft Defender防病毒软件,以防止被恶意软件利用。此外,建议应用以下通用安全建议:

  • 检查并及时修复系统或应用中存在的其它安全漏洞。
  • 使用防火墙和反间谍软件,并时常更新防病毒和反间谍软件应用程序以防止威胁。
  • 使用最新的威胁情报信息,以实时了解攻击者所使用的TTP。
  • 机密文件不要存放在联网的计算机中,包含敏感信息的文件应加密存放。
  • 为了保护公司网络和系统环境,请对员工进行安全培训,专门的培训课程可以提供帮助。更多Linux资讯请查看:https://www.linuxprobe.com

漏洞升级?黑客可利用spring框架漏洞部署mirai恶意软件

整理|苏宓出品|CSDN(ID:CSDNnews)还记得不久之前Java圈中惊爆的Spring框架漏洞吗?得益很多人使用了JDK9以下的版本、Spring框架的最新版本,截止目前,并没有真实的应用程序惨遭攻击的事件发生。但是࿰... 查看详情

ms17-010远程溢出漏洞(cve-2017-0143)

...对永恒之蓝这个工具的使用做过讲解!【NSA黑客工具包】Windows0day验证实验。然而,该工具的使用环境比较苛刻,而且操作较为复杂,现在msf已经加入该系列工具,使用方法更便捷。接下来,就开始操作吧!打开Kali终端,使用Nma... 查看详情

比特币勒索病毒肆虐,腾讯云安全专家给你支招

...媒体报道,恶意攻击者利用NSA(美国国家安全局)泄露的Windows0day利用工具对99个国家实施了超过75000次攻击。什么是比特币勒索蠕虫病毒?这次攻击的始作俑者是一款名为“WannaCry”(中文名:想哭)的勒索病毒,带有加密功能... 查看详情

ms17-010永恒之蓝漏洞验证与利用

如何发现永恒之蓝?      利用漏洞之前,首先是要发现漏洞,那么我们在做测试的时候如何去发现漏洞呢?今天我给大家介绍一款开源免费的扫描工具Nessus。Nessus号称是世界上最流行的漏洞扫描程序,通常... 查看详情

redis未授权访问漏洞复现(代码片段)

...的战斗部署2.1漏洞复现过程中可能出现的一些问题2.2漏洞利用的小姿势1.1Redis环境配置漏洞靶机(Centos7.9):192.168.55.136攻击机(kali):192.168.55.1291、安装redis①首 查看详情

vxworksfuzzing之道:vxworks工控实时操作系统漏洞挖掘调试与利用揭秘

转载:freebuf0×00前言关于VxWorks,这里引用44CON议题《攻击VxWorks:从石器时代到星际》探究一文章中的介绍:VxWorks 是世界上使用最广泛的一种在嵌入式系统中部署的实时操作系统,是由美国WindRiver公司(简称风河公司,即WRS&... 查看详情

commoncollections1反序列化利用链分析(代码片段)

文章目录前言CC1利用链CC1环境部署Java命令执行CC1关键函数利用链POC1利用链POC2总结前言在前面的文章JAVA代码审计之Shiro反序列化漏洞分析中介绍了Java反序列化漏洞原理、并通过IDEA动态调试分析了CVE-2016-4437ApacheShiro反序列化漏洞... 查看详情

利用该0day漏洞的攻击活动情况

谷歌研究人员发现macOS漏洞利用。谷歌研究人员在macOS系统中发现了一个安全漏洞——CVE-2021-30869。攻击者利用该漏洞可以以kernel权限执行任意代码。8月底,谷歌研究人员发现了该漏洞的0day在野利用,本文详细介绍利用该... 查看详情

oracle发布紧急java更新,修复关键漏洞

...e之所以如此迅速地做出回应,是因为该漏洞能轻易被利用,并且该漏洞的利用细节已经被公开。(Oracle十分明智,没有指出该利用代码的公开位置)该漏洞的利用被广泛用于渗透代码工具包只是时间问题,... 查看详情

漏洞利用六:linux系统漏洞利用

准备:直接用一个工具包,在虚拟机上直接打开Linux环境。此虚拟机为靶机。账号:msfadmin    密码:msfadmin 设权限sudopasswdroot    改root密码:msfadmin切换权限:suroot    输密码:msfafmin重启网卡... 查看详情

struts2漏洞利用

Struts漏洞合集Struts-S2-013漏洞利用受影响版本Struts2.0.0-Struts2.3.14.1漏洞利用任意命令执行POC:${(#_memberAccess["allowStaticMethodAccess"]=true,#a=@java.lang.Runtime@getRuntime().exec(‘id‘).getInputStream(),#b=ne 查看详情

exphub[漏洞利用脚本库]

Exphub[漏洞利用脚本库]声明严禁读者利用以上介绍知识点对网站进行非法操作,本文仅用于技术交流和学习,如果您利用文章中介绍的知识对他人造成损失,后果由您自行承担,如果您不能同意该约定,请您务必不要阅读该文章,感谢您... 查看详情

利用burpsuite检测csrf漏洞

CSRF漏洞的手动判定:修改referer头或直接删除referer头,看在提交表单时,网站是否还是正常响应。下面演示用Burpsuite对CSRF进行鉴定。抓包。成功修改密码完成漏洞的利用。 查看详情

ms17-010永恒之蓝漏洞利用

MS17-010永恒之蓝漏洞利用原理永恒之蓝漏洞是方程式组织在其漏洞利用框架中一个针对SMB服务进行攻击的漏洞,该漏洞导致攻击者在目标系统上可以执行任意代码。SMB服务在Windows与UNIX系列OS之间搭起一座桥梁,让两者的资源可互... 查看详情

神兵利器:常见中间件漏洞利用脚本库(代码片段)

0x01Exphub目前包括Webloigc、Struts2、Tomcat、Drupal的漏洞利用脚本,均为亲测可用的脚本文件,尽力补全所有脚本文件的使用说明文档,优先更新高危且易利用的漏洞利用脚本。0x02Readme漏洞利用脚本库包括多种不同名称、... 查看详情

利用iisput漏洞上传木马,获取webshell

参考技术A利用IISPUT漏洞上传木马,获取webshell。1.扫描目标端口发现80端口,开放IIS服务。2.这里利用IISPUT漏洞的专用工具iiswrite来进行漏洞利用:(1)选择options方法探测主机所支持的请求方法发现支持put和move方法即可进一步进... 查看详情

网站漏洞的查找利用解析漏洞来绕过上传

网站漏洞的查找利用解析漏洞来绕过上传分类专栏:***测试网站安全防护网站安全漏洞检测文章标签:网站漏洞查找网站漏洞修复网站安全防护网站安全检测网站安全公司版权在日常对客户网站进行***测试服务的时候,我们SINE... 查看详情

zimbra无需登录rce漏洞利用(代码片段)

...上公布了zimbraRCE漏洞相关信息,但其中并未提到一些漏洞利用细节。经过一段时间努力,根据网上各位大牛的分析和我自己的理解,在此我将整个漏洞的利用过程进行复现。第一步:利用XXE读取配置文件 这里利用了CVE-2019-967... 查看详情