内存安全周报 | 未雨绸缪 以守为攻

知己知彼，方能百战不殆。

上周，我们推出了安全周报，主要聚焦在高级威胁或者新型攻击方面。当前的网络攻击趋势，掌握着更多资源的组织、团体试图通过网络攻击来谋取利益，涉及的领域越来越多，网络攻击技术也越来越复杂和精细，攻击工具的针对性越来越强，对攻击技术的隐蔽性、可靠性要求也越来越高，网络攻防对抗越来越激烈。

我们看到，传统的安全边界被打破，针对服务器主机的攻击中，无文件攻击、内存破坏等攻击手段成为首选攻击方式，而传统的安全解决方案在防御新型攻击方面也暴露出短板：无法防御新型攻击、部署及接入繁琐、存在单点防御缺陷、管理及服务成本高。

希望通过周报的分享，给大家提一个醒，未雨绸缪，以守为攻。安芯网盾作为国内内存安全领域的开拓者和创新者，填补国内在内存安全问题方面实时检测与防御的空白，也为客户提供了新一代高级威胁实时防护解决方案。希望能和更多伙伴一起，保护万物互联的数字世界。

1、Apache Guacamole漏洞使得远程桌面有被黑客攻击的风险。

（0705）

一项新研究发现了Apache Guacamole中的多个严重反向RDP漏洞，Apache Guacamole是系统管理员用于远程访问和管理Windows和Linux计算机的流行远程桌面应用程序。Guacamole中的内存损坏漏洞（CVE-2020-9498）— 此漏洞存在于rdpsnd和rdpdr（设备重定向）通道上的抽象层（“ guac_common_svc.c”）中，是由内存安全冲突引起的，导致悬空指针，使攻击者可以通过结合两个缺陷来实现代码执行。值得注意的是，到目前为止，Apache Guacamole远程桌面应用程序在Docker Hub上的下载量已超过1000万。

2、Purple Fox EK中增加了两项针对Microsoft关键性漏洞的攻击。

（0706）

近日，Purple Fox EK增加CVE-2020-0674和CVE-2019-1458的漏洞利用。曾经Purple Fox木马感染过上万名用户，下载其它恶意程序，执行多种恶意操作。Purple Fox木马的新变种可以通过Rig漏洞利用工具包传播，利用PowerShell脚本，可以使Purple Fox木马实现无文件感染。除此之外，Purple Fox木马的最新版本还带有额外的漏洞利用代码，提高感染成功率。只要用户访问带有Rig漏洞利用工具包的恶意网站，就会将用户重定向到一个恶意PowerShell脚本。如果目标计算机带有访问权限，这个恶意脚本会生成一个图片文件，通过msi.dll的API接口执行主组件。如果，当前目标计算机没有访问权限，则恶意PowerShell脚本会通过PowerSploit模块利用漏洞下载Purple Fox木马主组件。本质上来看，Purple Fox木马属于下载型木马，可以下载其它恶意软件，一旦用户感染就会面临各种威胁。

3、Snake勒索软件隔离受感染系统后加密。

（0706）

安全专家最近发现了Snake（也称为EKANS）勒索软件的新样本，这些样本隔离受感染的系统，然后对文件进行加密以避免干扰。Snake示例实现了启用和禁用防火墙以及利用特定命令阻止与系统的有害连接的功能。Snake还将结束可能干扰加密的任何进程，包括与工业软件、备份解决方案以及安全工具相关的进程。然后，恶意软件还会删除卷影副本，以防止受害者恢复文件。