BUF早餐铺 | 卡巴斯基曝光DarkVishnya银行内网攻击案件细节；Google 被指责将合规网站和程序误标记...

摘要： 各位 Buffer 早上好，今天是 2018 年 12 月 11日星期二。今天的早餐鋪內容有：卡巴斯基曝光DarkVishnya銀行內網攻擊案件細節；Google 被指責將合規網站和程式誤標記為惡意；Google Play裡的22款應用發現含有後門；銀行木馬DanaBot新增散佈垃圾郵件...

各位 Buffer 早上好，今天是 2018 年 12 月 11日星期二。今天的早餐鋪內容有： 卡巴斯基曝光DarkVishnya銀行內網攻擊案件細節；Google 被指責將合規網站和程式誤標記為惡意；Google Play裡的22款應用發現含有後門；銀行木馬DanaBot新增散佈垃圾郵件功能；工信部：向基礎電信運營商發放5G頻譜，指導5G系統試驗的基站部署。

卡巴斯基曝光DarkVishnya銀行內網攻擊案件細節

2017~2018 年間，卡巴斯基實驗室的專家們受邀研究了一系列的網路盜竊事件。據悉，東歐至少有 8 家銀行成為了這種襲擊的目標（統稱 DarkVishnya），造成了數千萬美元的損失。

研究內容是通過一個直連公司本地網路的未知裝置。

每次攻擊可分為相同的幾個階段：首先，犯罪分子以快遞員、求職者等為幌子，潛入組織大樓、並將裝置連線到本地網路。在本地網路內，該裝置會顯示為“未知計算機、外部快閃記憶體驅動器、甚至鍵盤”。然後再通過內建或 USB 連線的 GPRS / 3G / LTE 調變解調器，遠端訪問被植入的裝置。

攻擊的第二階段，攻擊者遠端連線到裝置、並掃描本地網路，以訪問共享資料夾、Web伺服器、和其它開放式資源。用於獲取有關網路的資訊，尤其是業務相關的伺服器和工作站。與此同時，攻擊者試圖暴力破解或嗅探這些機器的登入憑證。

為克服防火牆的限制，它們使用本地TCP伺服器來植入shellcode，若防火牆阻止其從一個網段跳躍到另一個網段、但允許反向連線，則攻擊者會藉助其它可被利用的資源，來構建所需的通訊隧道。

隨後，犯罪分子會實施第三階段：登入目標系統，使用遠端訪問軟體來保留訪問許可權，接著在受感染的計算機上啟用 msfvenom 建立的惡意服務。因為黑客利用了無檔案攻擊（Fileless Attacks）和 Shell/">PowerShell，所以能夠繞過白名單技術、或者域策略。即便遇到了無法繞過的白名單，或者 PowerShell 被目標計算機阻止，網路犯罪分子亦可藉助 impacket、winecesvc.exe 或 psexec.exe 等可執行檔案，發動遠端攻擊。

最後，卡巴斯基實驗室曝光了如下惡意軟體：

not-a-virus.RemoteAdmin.Win32.DameWare
MEM:Trojan.Win32.Cometer
MEM:Trojan.Win32.Metasploit
Trojan.Multi.GenAutorunReg
HEUR:Trojan.Multi.Powecod
HEUR:Trojan.Win32.Betabanker.gen
not-a-virus:RemoteAdmin.Win64.WinExe
Trojan.Win32.Powershell
PDM:Trojan.Win32.CmdServ
Trojan.Win32.Agent.smbe
HEUR:Trojan.Multi.Powesta.b
HEUR:Trojan.Multi.Runner.j
not-a-virus.RemoteAdmin.Win32.PsExec

Shellcode 監聽埠：

tcp://0.0.0.0:5190
tcp://0.0.0.0:7900

Shellcode 連結點：

tcp://10.**.*.***:4444
tcp://10.**.*.***:4445
tcp://10.**.*.***:31337

Shellcode 管道：

\\.\xport
\\.\s-pipe

[ ofollow,noindex">securelist ]

Google 被指責將合規網站和程式誤標記為惡意

近日，有一些軟體開發者指責 Google Safe Browsing 將他們的網站或程式誤標記為惡意頁面、軟體，對其流量和日常運營造成了影響，而這是由於 Google 的錯誤策略導致的。包括 Greatis、Antibody Software、Scooter Software、IBE Software 在內的知名軟體公司，在12月1日時都被發現有部分程式被 Google Safe Browsing 標記。

Google 在標記程式或頁面後，會通過 Search Console 通知管理員在其專案或網站上有檢測到惡意軟體（前提是管理員有將網站新增至其中）。然而，這些者表示，他們在 Google 旗下的 Virustotal 上測試後發現，他們的程式或網站是乾淨的。

在這些開發者在 Google 論壇表示譴責後，該問題似乎已於12月3日得到解決，他們的網站和程式已經可以在沒有警告資訊的情況下訪問和下載。部分軟體可能仍會顯示“此類檔案可能會損害您的計算機”的提醒，但至少已可以將其下載到本地。目前Google尚未對此事做出解釋。[ 開源中國 ]

Google Play裡的22款應用發現含有後門

Sophos 公司的安全研究人員從Google Play官方應用商店發現了22款包含後門的應用，應用的總下載量超過200萬，最流行的一款是手電筒應用 Sparkle Flashlight，其下載量超過一百萬。應用含有的後門能悄悄從攻擊者控制的伺服器上下載檔案。

這些應用主要被用於廣告欺詐，研究人員將它們命名為 Andr/Clickr-ad，通過欺騙性的廣告點選獲取收入，它給使用者帶來的問題是電池續航力的下降和資料流量的增加。後門潛在可用於下載任何惡意程式。Google 已經從商店裡移除了這些惡意應用。[ solidot ]

銀行木馬DanaBot新增散佈垃圾郵件功能

根據網路安全公司ESET的研究，它的運營商最近一直在測試電子郵箱地址收集和垃圾郵件傳送功能，能夠濫用現有受害者的Webmail帳戶來進一步傳播惡意軟體。除了這些新特徵之外，ESET還發現了DanaBot運營商一直在與GootKit背後的犯罪團伙合作的證據。

GootKit是另一種高階木馬，一直被認為是某個獨立犯罪團伙的私有工具。2018年9月份，DanaBot在歐洲的活動開始激增。根據ESET的研究，注入目標Webmail服務頁面的JavaScript/">JavaScript可以分為兩個主要特徵：

1.DanaBot從現有受害者的郵箱中收集電子郵箱地址。這是通過在受害者登入後將惡意指令碼注入目標Webmail服務的網頁、分析受害者的電子郵件，並將其找到的所有電子郵箱地址傳送到C＆C伺服器來實現的。

2.如果目標Webmail服務基於Open-Xchange套件（如流行的義大利Webmail服務libero.it），DanaBot還會注入另一個指令碼，該指令碼能夠使用受害者的郵箱隱祕地將垃圾郵件傳送給收集到的電子郵箱地址。

惡意電子郵件將作為對現有受害者郵箱中電子郵件的回覆傳送，使其看起來像是郵箱所有者傳送的。此外，通過這種方式傳送的惡意電子郵件將具有有效的數字簽名。與典型的銀行木馬相比，DanaBot目前的功能要更加豐富。[ secrss ]

工信部：向基礎電信運營商發放5G頻譜，指導5G系統試驗的基站部署

近日，工業和資訊化部向中國電信、中國移動、中國聯通發放了5G系統中低頻段試驗頻率使用許可。其中，中國電信和中國聯通獲得3500MHz頻段試驗頻率使用許可，中國移動獲得2600MHz和4900MHz頻段試驗頻率使用許可。

5G系統試驗頻率使用許可的發放，有力地保障了各基礎電信運營企業開展5G系統試驗所必須使用的頻率資源，向產業界發出了明確訊號，將進一步推動我國5G產業鏈的成熟與發展。下一步，工業和資訊化部將積極指導各基礎電信運營企業做好5G系統試驗的基站部署，開展好5G系統基站與同頻段、鄰頻段衛星地球站等其他無線電臺站的干擾協調工作，確保各類無線電業務相容共存，促進我國5G產業的健康快速發展。[ 工信部 ]