内存安全周报 | 明察秋毫，有备无患

只有做到明察秋毫，才能对内存攻击有备无患。

根据每周安全行业分析，诸如UAF、DoubleFree等更加隐蔽的基于内存的攻击不断发生，成为企业安全的巨大挑战。如今，企业为了保证核心数据安全，建设了诸多传统安全方案，却依然存在狡猾的攻击者利用更高级的攻击手段，绕过层层防线，对企业发展构成难以想象的威胁。面对传统安全解决措施在防御新型高级威胁方面的短板，寻找新型防御方案，填补内存安全问题空缺成为必然。

安芯网盾作为国内内存安全领域的开拓者和创新者，填补国内在内存安全问题方面实时检测与防御的空白，也为客户提供了新一代高级威胁实时防护解决方案。希望能和更多伙伴一起，保护万物互联的数字世界。

1、Tellyouthepass勒索病毒携带永恒之蓝攻击模块袭击内网，已有企业受害。

（7.23）

Tellyouthepass勒索病毒变种被发现活跃。攻击者利用压缩工具打包exe的方式，将ms16-032内核提权漏洞利用模块、永恒之蓝内网扩散模块集成到勒索攻击包中，以实现内网蠕虫式病毒传播。在Tellyouthepass勒索病毒用于交易的比特币钱包地址中，发现近期已产生多笔交易，证明已有企业受害，该钱包当前余额0.69比特币。由于该勒索病毒使用了RSA+AES的方式对文件进行加密，被病毒加密后文件暂无法解密。若企业未及时修补漏洞，可能造成严重损失。

2、朝鲜Lazarus集团开发跨平台恶意软件框架Mata,用于窃取客户数据库和传播勒索软件。

（7.23）

据西方安全媒体报道，与北朝鲜政权有联系的黑客组织Lazarus Group新发布了一个多平台恶意软件框架，用以渗透全球企业实体，窃取客户数据库并传播勒索软件。MATA恶意软件基础架构称为“ MataNet”，能够针对Windows、Linux和macOS操作系统，在受感染的计算机上执行各种恶意活动的广泛功能。在最新开发的版本中，Windows版的MATA包含一个用于加载加密的下一阶段有效负载的加载器，也就是一个协调器模块（“ lsass.exe”），该模块能够同时加载15个其他插件并在内存中执行它们。插件本身具有丰富的功能，可让恶意软件操纵文件和系统进程，注入DLL以及创建HTTP代理服务器。

3、Emotet再次浮出水面，向全球的电子邮件收件人发送了超过25万条垃圾邮件。

（7.20）

Emotet恶意软件最早于2014年出现，但此后演变为一个完整的僵尸网络，旨在窃取帐户凭据并下载更多恶意软件，最近以银行木马为主，如TrickBot和QakBot。据报道，僵尸网络上周返回后，当日便向美国，英国，阿根廷，巴西，加拿大，智利，厄瓜多尔和墨西哥的电子邮件接收者发送了超过25万条消息。垃圾邮件包含URL或附件，并声称要发送文档以恢复现有的电子邮件线程，这是Emotet的已知技巧。例如，一封示例电子邮件要求电子邮件收件人打开一个名为“表格– 2020年7月17日.doc”的附件。另一位假装该文件是发票。文档附件包含一个高度混淆的宏，并要求收件人启用内容。启用宏后，Windows管理指令将启动PowerShell，以从远程受到感染的网站检索Emotet二进制文件。最后，执行有效负载并将确认发送回Emotet的命令和控制（C2）服务器之一。