BUF早餐铺 | 警惕Rotexy移动木马，三个月内已发起超过70000次攻击；Aurora勒索软件的最新变种Zorr...

各位 Buffer 早上好，今天是 2018 年 11 月 26日星期一，农历十月十九。今天的早餐铺内容有：警惕Rotexy移动木马，三个月内已发起超过70000次攻击；Aurora勒索软件的最新变种Zorro日趋活跃；25个欧盟成员国将开展电子作战领域合作；防御DNS攻击成本报告：机构2018年平均损失71.5万美元；全新的Rowhammer攻击可能绕过内存ECC保护机制。

警惕Rotexy移动木马，三个月内已发起超过70000次攻击

Rotexy移动木马同时具备窃取感染设备上银行卡信息和发送假冒勒索软件加密页面进行敲诈的能力，在短短三个月的时间内就感染了超过7万台设备。卡巴斯基实验室的恶意软件分析师仔细研究了其代码，结果是2014九已经出现，当时叫MSThief，仅具备数据窃取能力。

Rotexy木马通过Google Cloud Messaging（GCM）服务获取指令，该服务以JSON格式向移动设备发送消息。Rotexy用于向受感染目标发送命令的另一种方法来自命令和控制（C2）服务器，这也是大多数恶意软件的常用入口。第三种方法是基于SMS的，允许攻击者通过向受感染的移动电话发送文本消息来控制恶意软件的动作。[来源： bleepingcomputer ]

Aurora勒索软件的最新变种Zorro日趋活跃

自2018年夏季开始露出水面的Aurora勒索软件已出现最新的变种，这个新变种被称为Zorro。目前还不知道这个勒索软件是如何分发的，但有迹象表明它可能是通过黑客入侵暴露在互联网中，运行远程桌面服务的计算机来安装的。攻击者暴力破解RDP帐户的密码，以便访问计算机并安装勒索软件。

好消息是Michael Gillespie和Francesco Muroni发现了一种免费解密这种勒索软件的方法。如果您感染了此勒索软件，请访问 Aurora帮助和支持主题中 获取帮助。[来源： bleepingcomputer ]

25个欧盟成员国将开展电子作战领域合作

综合美国国防新闻周刊、政客及MeriTalk网站2018年11月20日以来报道，11月19日，来自欧盟的25个国家的防长共同签署了一项军事协议，旨在加强联合电子作战能力。该协议由除丹麦、马耳他和英国以外的所有欧盟成员国签署。

根据2017年欧盟启动的永久合作架构（PESCO）防务协议，除一年前公布的最初的17个项目外，此次签署的军事协议中还包括了另外17个新项目。新的项目包括训练、能力发展，以及陆、海、空作战准备和网络防御等。PESCO协议使欧盟成员国能够在安全和国防领域进行更紧密的合作。它允许有意愿和有能力的成员国共同发展能力，对共同项目进行投资，并加强其武装部队的作战准备。[来源： 安全内参 ]

防御DNS攻击成本报告：机构2018年平均损失71.5万美元

国外研究公司 Coleman Parkes发布的最新报告指出：基于从全球 1000 家机构采样得来的数据，2018 年间，77% 的机构遭受了至少一次基于 DNS 的网络攻击。调查采样的企业，涵盖了活跃于通信、教育、金融、医疗保健、服务、运输、制造、公共、以及零售事业的组织机构。在全球范围五大基于 DNS 的攻击中，恶意软件和网络钓鱼占据了榜单前二的位置；而域名锁定、DNS 隧道与 DDoS 攻击，也造成了极大的影响。

EfficientIP 在《2018 DNS 威胁报告》中写到：“思科 2016 安全报告发现，91% 的恶意软件利用了解析服务（DNS）。它们壳借助 DNS 这个载体（DoS 放大或 CnC 服务器 通信），对目标、甚至 DNS 服务器发起攻击”。通过分析调查期间收集到的数据，Coleman Parkes 发现：不法分子已将基于 DNS 的攻击，作为一种相当有效的工具，可对其行业目标造成广泛的品牌和财务损失、产生短期和长期的影响。考虑到所有因素，虽然 DNS 攻击从一个行业部门、转到另一个行业部门的影响差异很大。但对所有组织机构来说，部署恰当的 DNS 攻击检测和防护措施，仍然是至关重要的。[来源： cnbeta ]

全新的Rowhammer攻击可能绕过内存ECC保护机制

Rowhammer 漏洞是指 DRAM 临近内存单元之间电子的互相影响，当重复访问特定内存位置数百万次后，攻击者可以让该位置的值从 0 变成 1，或从 1 变成 0。这种比特翻转漏洞可以让一个不受信任的应用获得几乎任意的系统权限，或绕过防止恶意代码访问敏感系统资源的沙盒机制。部分高端芯片支持的 ECC(error-correcting code)被认为能抵御此类的比特翻转，但最新研究动摇了这一假设。被称为 ECCploit（PDF） 的新 Rowhammer 攻击能绕过 ECC 保护。

研究人员称，他们的论文显示，即使是对于配备 ECC 的系统 Rowhammer 攻击仍然是具有现实意义的威胁。他们逆向工程了 ECC 的工作机制，发现了一个时序侧信道。通过仔细测量执行某些进程所需时间，他们能推断芯片内部发生的比特翻转的颗粒度细节。研究人员在 AMD Opteron 6376 Bulldozer (15h)、Intel Xeon E3-1270 v3 Haswell、Intel Xeon E5-2650 v1 Sandy Bridge 和 Intel Xeon E5-2620 v1 Sandy Bridge 测试了 ECCploit 攻击。这种攻击方法并不可靠，主要针对 DDR3 DIMMs。[来源： cnbeta ]

*Freddy编译整理，转载请注明来自 FreeBuf。