现已修复!微软 SmartScreen 漏洞被用于分发 DarkGate 恶意软件

news2024/11/17 15:53:47

1710383036_65f25fbc480e8582bbc5a.png!small

昨天(3月13日),趋势科技分析师报告称有黑客利用Windows SmartScreen 漏洞在目标系统投放DarkGate 恶意软件。

该漏洞被追踪为 CVE-2024-21412 漏洞,是一个 Windows Defender SmartScreen 漏洞,它允许特制的下载文件绕过这些安全警告。SmartScreen 是 Windows 的一项安全功能,当用户试图运行从互联网下载的未识别或可疑文件时会显示警告。

攻击者可以通过创建一个Windows Internet快捷方式(.url文件)来利用这个漏洞,该快捷方式指向另一个托管在远程SMB共享上的.url文件,这将导致最终位置的文件被自动执行。

今年二月中旬,微软已经修复了该漏洞。但据趋势科技披露,Water Hydra黑客组织曾利用该漏洞将DarkMe恶意软件投放到交易商的系统中。

“DarkGate”攻击细节

攻击始于一封包含 PDF 附件的恶意电子邮件,里面有一个链接利用谷歌 DoubleClick Digital Marketing(DDM)服务的开放重定向绕过电子邮件安全检查。当受害者点击链接时,他们会被重定向到一个托管互联网快捷方式文件的受攻击网络服务器。该快捷方式文件(.url)链接到由攻击者控制的 WebDAV 服务器上托管的第二个快捷方式文件。

1710383959_65f26357786543b53d89e.png!small

利用 CVE-2024-21412 SmartScreen 漏洞 图源:趋势科技

使用一个 Windows 快捷方式打开远程服务器上的第二个快捷方式可有效利用 CVE-2024-21412 漏洞,就会导致恶意 MSI 文件在设备上自动执行。

1710384003_65f26383beb06f238459e.png!small

自动安装 MSI 文件的第二个 URL 快捷方式 图源:趋势科技

这些 MSI 文件伪装成 NVIDIA、Apple iTunes 应用程序或 Notion 的合法软件。

执行 MSI 安装程序后,另一个涉及 "libcef.dll "文件和名为 "sqlite3.dll "的加载器的 DLL 侧载漏洞将解密并在系统上执行 DarkGate 恶意软件有效载荷。

一旦初始化,恶意软件就能窃取数据、获取附加有效载荷并将其注入正在运行的进程、执行密钥记录并为攻击者提供实时远程访问。

下图概括了 DarkGate 操作员自 2024 年 1 月中旬以来采用的复杂、多步骤感染链:

1710384089_65f263d9b7cac6a0dc898.png!small

黑暗之门攻击链 图源:趋势科技

趋势科技称,此次活动采用的是DarkGate 6.1.7版本,与旧版本5相比,该版本具有XOR加密配置、新配置选项以及命令和控制(C2)值更新等特点。

DarkGate 6 中提供的配置参数使其操作员能够确定各种操作策略和规避技术,例如启用启动持久性或指定最小磁盘存储和 RAM 大小以规避分析环境。

1710384124_65f263fcf3419fbe66d43.png!small

DarkGate v6 配置参数 图源:趋势科技

今年2 月微软发布了 "星期二补丁 "更新,此次更新修复了 CVE-2024-21412漏洞。用户应第一时间下载更新包以降低攻击风险。

1710385947_65f26b1b615b06c061f6e.png!small

入侵指标 (IoC) 列表示意图(部分)

目前,趋势科技已公布了此次 DarkGate 活动的完整入侵指标 (IoC) 列表。

参考来源:

https://www.bleepingcomputer.com/news/security/hackers-exploit-windows-smartscreen-flaw-to-drop-darkgate-malware/

trendmicro.com/content/dam/trendmicro/global/en/research/24/c/cve-2024-21412--darkgate-operators-exploit-microsoft-windows-smartscreen-bypass-in-zero-day-campaign/DarkGate-IoCs.txt

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1516972.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Self-supervised Contextual Keyword and Keyphrase Retrieval with Self-Labelling

文章目录 题目摘要方法数据集实验 题目 通过自我标记进行自我监督的上下文关键字和关键词短语检索 论文地址:https://www.preprints.org/manuscript/201908.0073/v1 项目地址:https://github.com/naister/Keyword-OpenSource-Data 摘要 在本文中&#x…

SE园区综合实验(未补齐版)

实验要求: 1.局域网存在vlan10和vlan20两个业务vlan,ip网段分别对应192.168.1.0/24和192.168.2.0/24 2.业务vlan可以在所有链路上传输数据 3.sw1和sw2之间的直连链路上配置静态链路聚合实现链路冗余,并提高链路带宽 4.sw3为某接入点二次交…

【教学类-34-11】20240314 动物拼图(Midjounery生成线描图,8*8格拼图块 A4整张)(AI对话大师)

作品展示:——A4整页(一人2张纸) 背景需求: 通过春天拼图的个别化实验,我发现: 【教学类-34-10】20240313 春天拼图(Midjounery生成线描图,4*4格拼图块)(AI…

单例模式( Singleton)——创建型模式

单例模式——创建型模式 什么是单例模式? 单例模式是一种创建型设计模式, 让你能够保证一个类只有一个实例, 并提供一个访问该实例的全局节点。简单来说如果你创建了一个对象, 过一会儿后你决定再创建一个新对象, 此…

【Memcached】

memcached 有一个很大的缺陷不能持久化,不能存储在硬盘里 1.NoSQL介绍 NoSQL是对 Not Only SQL、非传统关系型数据库的统称。 NoSQL一词诞生于1998年,2009年这个词汇被再次提出指非关系型、分布式、不提供ACID的数据库设计模式。 随着互联网时代的到…

Node.js 学习笔记 fs、path、http模块;模块化;包;npm

Node.js学习 Node.js一、定义1.前端工程化2.Node.js 为何能执行 JS?3.安装nodejs、删除之前的nodejs4.使用 Node.js 二、fs模块 \- 读写文件三、path 模块案例 - 压缩前端html四、HTTP相关URL中的端口号常见的服务程序http 模块-创建 Web 服务案例:浏览时…

【Flutter 面试题】Flutter如何处理响应式布局?

【Flutter 面试题】Flutter如何处理响应式布局? 文章目录 写在前面口述回答补充说明完整代码示例运行结果详细说明 写在前面 🙋 关于我 ,小雨青年 👉 CSDN博客专家,GitChat专栏作者,阿里云社区专家博主&am…

windows下安装python3.8

一、从官网下载安装包 官网地址:https://www.python.org/downloads/ 华为云地址:https://mirrors.huaweicloud.com/python/ 第三方镜像:https://registry.npmmirror.com/binary.html?pathpython/ 注意:从python3.8.10版本开始…

注意!运用表单流程管理可一起实现提质增效

经常会有客户在我们面前抱怨:到底用什么样的方法和软件,才能实现高效率的办公?其实,大家不必苦恼。因为低代码技术平台服务商流辰信息将会给大家推荐表单流程管理的实用性,它的灵活简便、易操作等优势特点,…

C#文件交互

C#是一种流行的编程语言,广泛应用于开发各种类型的应用程序,包括需要进行文件交互的应用程序。文件交互是指应用程序与计算机文件系统进行交互,包括读取、写入、创建、删除和修改文件等操作。在C#中,文件交互通常通过.NET框架提供…

格子表单GRID-FORM | 必填项检验 BUG 修复实录

格子表单/GRID-FORM已在Github 开源,如能帮到您麻烦给个星🤝 GRID-FORM 系列文章 基于 VUE3 可视化低代码表单设计器嵌套表单与自定义脚本交互文档网站搭建(VitePress)与部署(Github Pages)必填项检验 BUG…

打卡学习kubernetes——了解五种控制器类型

目录 1 Deployment控制器 2 StatefulSet控制器 3 DaemonSet控制器 4 Job控制器 5 CronJob控制器 1 Deployment控制器 Deployment为Pod和Replica Set(下一代Replication Controller)提供声明式更新。 Deployment运行无状态应用,一般情况…

redis中的zset的原理

一、zset有序集合的原理 如果有序集合元素个数少于128个且元素值小于64字节,使用压缩列表(新版本已经废弃压缩列表改用listpack数据结构了) 如果不满足上述条件,采用跳表作为redis的底层数据结构 二、压缩列表 1.由连续内存块组…

迄今为止易用 —— 的 “盲水印“ 实现方案

前期回顾 网站的打赏 —— 新一代的思路-CSDN博客https://blog.csdn.net/m0_57904695/article/details/136704914?spm1001.2014.3001.5501 目录 CSDN 彩色之外 📝 前言: 🛠️ vue3-blind-watermark 🤖 安装 ♻️ 引入&am…

【LeetCode热题100】142. 环形链表 II(链表)

一.题目要求 给定一个链表的头节点 head ,返回链表开始入环的第一个节点。 如果链表无环,则返回 null。 如果链表中有某个节点,可以通过连续跟踪 next 指针再次到达,则链表中存在环。 为了表示给定链表中的环,评测系统…

GEE必须会教程—影像集合的操作方法

影像集合(Image Collection),说白了就是把一堆影像打包在一起形成的集合,我们可以用用前文讲过的矢量集合的方法来理解(http://t.csdnimg.cn/bRJOT),学习影像集合的过程中,同样需要掌…

【DL经典回顾】激活函数大汇总(八)(Maxout Softmin附代码和详细公式)

激活函数大汇总(八)(Maxout & Softmin附代码和详细公式) 更多激活函数见激活函数大汇总列表 一、引言 欢迎来到我们深入探索神经网络核心组成部分——激活函数的系列博客。在人工智能的世界里,激活函数扮演着不…

strcat的模拟实现

一:strcat函数的定义: strcat函数功能的解释: 将源字符串追加(连接)到目的字符串的后面 strcat函数要点: 源字符串必须以 \0 结束。 目标空间必须有足够的大,能容纳下源字符串的内容。 目…

使用STM32+ESP8266(ESP-01S)+点灯科技(手机端Blinker)实现远程控制智能家居

硬件准备:STM32单片机、ESP8266(ESP-01S)、CH340C下载烧录器 软件准备:STM32CubeMX、Keil uVision5、Arduino IDE、 点灯科技(手机端APP Blinker)点灯科技 (diandeng.tech)点击进入 值得注意的是&#x…

NO9 蓝桥杯单片机之串口通信的使用

1 基本概念 简单来说,串口通信是一种按位(bit)传输数据的通信方式。 其他一些知识就直接贴图吧(单工,半双工这些学过通信的同学应该都知道,可以上网查询一下具体概念。) 来源还是:…