内存安全周报|了如指掌，洞察先机

了如指掌，才能洞察先机。

随着信息化进程的不断深入，高级威胁变本加厉，更加隐蔽、威力更大的内存破坏型攻击成为当前的安全战场。

随着攻防对抗的发展，基于内存的攻击方法越来越多，虽然企业部署了大量的安全防护产品，比如UTM、ADS、EDR、AV、IPS等等，攻击者依然能够轻易的突破层层防线，复杂的攻击每天都在上演。当前很多企业面临的是安全问题从战略规划时开始，应用的安全需要重新考虑，基础架构的安全需要重新整合。

安芯网盾作为国内内存安全领域的开拓者和创新者，填补国内在内存安全问题方面实时检测与防御的空白，也为客户提供了新一代高级威胁实时防护解决方案。希望能和更多伙伴一起，保护万物互联的数字世界。

1、严重的DNS错误打开Windows服务器进行基础结构劫持

（7.17）

Microsoft发布了针对此漏洞的补丁程序，标识为CVE-2020-1350，并敦促客户优先考虑对其系统进行更新。Check Point称该漏洞为SigRed，这是对易受攻击的DNS组件和功能“ dns.exe”的致敬。该错误已存在17年，受影响的是2003-2019年的Windows Server版本。该漏洞是由Check Point研究人员发现的，其严重性警告为10 –允许的最高警告。但是，该漏洞是可蠕虫的，这意味着对该漏洞的单一利用会触发连锁反应，使攻击从一台计算机传播到另一台计算机。通过这一漏洞，黑客可以获得服务器的域管理员权限，使黑客能够拦截和操纵用户的电子邮件和网络流量，使服务不可用，收获用户的凭证等等。

2、俄罗斯黑客针对新冠疫苗开发的组织进行网络攻击活动

（7.17）

一个名为APT29的俄罗斯黑客组织正在针对美国，英国和加拿大的新冠研究和疫苗相关的恶意网络活动。该组织使用各种工具和技术来针对参与新冠研究和疫苗开发的组织。工具包括SOREFANG，WELLMESS和WELLMAIL恶意软件。WellMess恶意软件可以在WinPE (Windows预安装环境)和Linux上通过ELF(可执行和可链接格式)进行操作，使远程攻击者能够执行任意命令、上传和下载文件，或者运行PowerShell脚本自动执行任务。该组织使用了多个公开漏洞对存在漏洞的系统进行扫描和利用，目的是获取凭证。在针对新冠疫苗研发的近期攻击中，该组织针对目标组织拥有的特定外部IP地址进行了基本漏洞扫描，有针对性地部署了公共的漏洞利用程序。

3、巴西的银行木马向全球感染

（7.16）

四个复杂的恶意软件家族Guildma，Javali，Melcoz和Grandoreiro，统称为Tetrade，正在增加其技术，并积极地传播到包括美国在内的新国家。一般来说，恶意软件使用AutoIt或VBS脚本添加到MSI文件中，这些脚本使用DLL劫持技术运行恶意DLL，目的是绕过安全解决方案。他们正在迅速创建会员生态系统，招募网络犯罪分子与其他国家/地区合作，采用MaaS（恶意软件即服务）并迅速向其恶意软件中添加新技术，以使其保持相关性并在财务上具有吸引力。