Phemedrone Stealer利用Windows Defender SmartScreen漏洞CVE-2023-36025

Anna艳娜2024-01-16 11:14:39
攻击者利用Phemedrone恶意软件活动中的Windows漏洞来增强隐蔽性。该漏洞已于2023年11月14日修补,但由于存在野外利用的证据,网络安全和基础设施安全局(CISA)将其添加到已知被利用的漏洞(KEV)列表中。


该漏洞已于2023年11月14日修补 ,但由于存在野外利用的证据,网络安全和基础设施安全局(CISA)将其添加到已知被利用的漏洞(KEV)列表中。自发现以来,包括Phemedrone Stealer有效负载在内的众多恶意软件活动都在其攻击链中利用了它。


趋势科技的网络安全研究人员发现,影响Microsoft Windows Defender SmartScreen的漏洞(编号为CVE-2023-36025)正被利用来通过Phemedrone Stealer感染用户。


供您参考,Windows Defender SmartScreen是Microsoft Windows 8及更高版本中的内置安全功能,可帮助保护用户免受恶意网站、下载和应​​用程序的侵害。它充当抵御各种威胁的第一道防线,包括网络钓鱼网站、恶意下载和不受信任的应用程序。


这种开源恶意软件的目标是网络浏览器、加密货币钱包以及Telegram、Steam和Discord等消息应用程序。其附加功能允许恶意软件截取屏幕截图,收集硬件详细信息和位置数据等系统信息,并通过Telegram或其C2服务器将窃取的数据发送给攻击者。Phemedrone Stealer在GitHub和Telegram上维护。


据报道,黑客利用社交媒体传播看似无害的链接快捷方式的URL文件,然后通过点击这些文件来下载并运行这些文件。感染过程始于攻击者在Discord或FileTransfer.io等云服务上托管恶意Internet快捷方式文件,并使用Shorturl.at等URL缩短器进行伪装。毫无戒心的用户可能会被诱骗打开利用CVE-2023-36025的恶意制作的.url文件。


攻击者通过使用.cpl文件作为恶意有效负载传送机制的一部分,制作Windows快捷方式(.url)文件来逃避SmartScreen保护提示。.cpl文件通过Windows控制面板进程二进制文件执行,调用rundll32.exe来执行恶意DLL。


该恶意软件托管在GitHub上,下载包含三个文件的ZIP文件:WerFaultSecure.exe、Wer.dll和Secure.pdf。wer.dll文件对于加载程序的功能至关重要。攻击者使用 DLL 侧面加载来执行加载程序,在应用程序目录中欺骗恶意DLL文件。


DATA3.txt文件掩盖了其内容,使得破译其用途变得困难。该恶意软件收集系统信息,将其压缩为ZIP文件,并通过SendMessage和SendZip方法将压缩数据发送给攻击者。通过 API 哈希和字符串加密等技术,恶意软件可以逃避检测并使逆向工程变得复杂。



CVE-2023-36025的CVSS分数为8.8,影响Microsoft Windows Defender SmartScreen,因为它缺乏对Internet快捷方式文件的检查,允许攻击者创建.url文件并执行恶意脚本。


该漏洞已于2023年11月14日修补,但由于存在野外利用的证据, 网络安全和基础设施安全局(CISA)将其添加到已知被利用的漏洞(KEV)列表中。自发现以来,包括Phemedrone Stealer有效负载在内的众多恶意软件活动都在其攻击链中利用了它。


为了保持保护,开发人员应定期更新其操作系统、应用程序和安全解决方案,谨慎对待互联网快捷方式文件,并实施实时监控和威胁检测功能等高级解决方案。

网络安全漏洞
本作品采用《CC 协议》,转载必须注明作者和本文链接
明确各级网络安全责任人。充分利用云原生技术,推进以微服务模式提供各类安全能力组件接口,推进数字电网安全“中枢”所有专业功能组件分层解耦和接口标准化,建立开放生态,支持后续功能叠加演进。增强产品服务供应链入网安全。提升已入网产品、服务供应链应急能力。实战化锤炼网络安全队伍,加强应急指挥与处置能力。
网络安全漏洞(以下简称“漏洞”)作为信息通信网络中在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,随着经济社会信息化、网络化、数字化和智能化程度的加深,对国家网络安全的影响也日益加剧。世界各主要国家和组织为了切实提升国家网络安全防护能力,围绕漏洞的研究、收集和利用,纷纷建立国家级漏洞通报平台或漏洞数据库。日本于2003年开始建设“日本漏洞通报”(JVN)平台;美国于 2005 年开始建设“
利用网络安全漏洞实施攻击的安全事件频发,使网络安全漏洞治理成为保障国家网络安全的重要议程。当前,囿于在漏洞评级指标、漏洞披露政策以及“白帽子”法律责任层面缺乏整体性考量,我国网络安全漏洞治理框架亟待面向“合作主义”转型。为此,需通过行政与司法的合作明晰“白帽子”法律责任的边界,通过行政部门之间的合作搭建网络安全漏洞协同机制,通过行政与公众的合作拓宽社会公众参与漏洞治理的渠道,协力共筑网络安全漏洞
网络安全漏洞披露已成为网络安全风险控制的中心环节。不规范或非法的网络安全漏洞披露危害网络空间整体安全,凸显法律规定的灰色地带。实践中网络安全漏洞披露表现为不披露、完全披露、负责任披露和协同披露等类型。美国从法律和政策层面分别构建网络安全漏洞披露规则,并根据形势不断进行调整,规则设计呈现从负责任披露到协同披露的变化趋势,国家层面统一的网络安全漏洞披露协调和决策机制也在进一步完善中。我国现行立法从产品
本文是在CNVD数据基础上,针对网络安全产品安全漏洞分布的统计分析,不包含非安全类信息系统,以上请读者悉知。数说安全根据CNVD公开数据整理 下面是2010年至今,CNVD披露的漏洞信息中,最受关注的20个高危漏洞,其中国外产品占据8个,国内产品占据12个。数说安全根据CNVD公开数据整理 来源:数说安全
对企业而言,资产清单必须经常更新,并作为活跃文档加以维护。根据漏洞的严重程度、影响范围和可能性,对漏洞进行分类和排序。漏洞修复计划应该包括漏洞修复的时间表、责任人和所需资源。报告既需要包括已修复的漏洞信息,包括检测到的漏洞、严重程度、完成的补救工作以及确认成功解决等;还应该显示未解决的漏洞,以及未解决的具体原因和下一步计划。因此,企业要创建定期漏洞扫描计划,以便持续监控和快速修复漏洞
网络安全基础设施和安全局周二为联邦民事机构推出了两本手册,用于规划和实施网络安全漏洞和事件响应。
具体来说,HARDEN将通过破坏攻击者使用的持久的漏洞可利用模式,并剥夺攻击者的“紧急执行引擎”,来防止其对集成系统的利用。HARDEN分析和工具将破坏UEFI架构所有抽象层上EE行为的可组合性,以防御最新的威胁并预测未来的威胁。SOSA是由空军生命周期管理中心提出的,具有广泛的行业参与其中。SOSA关注的重点领域是对传感器系统的启动过程进行建模和验证,以确保系统在传感器投入运行之前的完整性。
当今世界正处于百年未有之大变局,国际形势风云变幻,推动全球治理体系深刻变革,网络空间治理作为全球治理的全新命题和重要领域,关系着全人类的命运。
Anna艳娜
暂无描述