数据泄漏事件“集体曝光”的一周

本周堪称是数据泄漏的违规事件的一次“集体曝光”。

零售集团公司Hudson Bay透露其北美零售店的支付卡信息被泄漏；据称，名为JokerStash的网络犯罪团伙从Hudson Bay窃取了500万张信用卡信息；具体数据泄漏范围与细节仍在调查中。

另外，Under Armour爆出1.5亿MyFitnessPal应用账户的账户数据被盗。 调查仍在进行中，目前声称应用程序中的个人健康指标记录未受到影响。被盗的数据似乎包含用户名，电邮地址和哈希密码。不幸中万幸的是， Under Armour将支付信息从用户信息中分离出来，这样的数据分割防止了这种数据泄漏的恶化。

还有就是，面包店咖啡馆连锁店的网站panerabread.com，客户的个人信息至少在过去八个月内发生了泄露。暴露的信息包括姓名，电子邮件和实际地址，生日以及客户信用卡上的最后四位数字。 据报道，被泄漏的数据可以通过自动化工具进行索引和抓取。

恶意软件活动

网络管理员们，请立即升级Drupal！

上周晚些时候，Drupal安全团队发现了影响Drupal版本6/7/8的漏洞[DrupalSA-CORE-2018-002 - CVE-2018-7600]。 Drupal 7.x和8.x的多个子系统中存在一个远程代码执行漏洞。 为了利用此漏洞，看起来攻击者需要做的只是访问基于Drupal的网站，任何特权的用户都可以进行攻击。 支持Drupal的网站上的所有数据都可以被访问，删除和修改。由于Drupal 6（自弃用以来）已经存在了10多年，运行Drupal的数百万台机器都受到了影响。

FortiGuard实验室建议所有用户立即升级到最新版本的Drupal。

本周的恶意软件们：

1. 具有独特名称和扩展名的勒索软件

GlobeImposter，是一个具有独特名称的勒索软件变体，它的另一个变体扩展名是.SEXY3。 已知通过Necurs僵尸网络以及RIG攻击工具在恶意垃圾邮件活动中进行传播。 已经有至少60种不同的扩展名附加到GlobeImposter目标文件中。

FortiGuard实验室分析了样本并发布了AV检测特征：

W32/Filecoder.FV!tr

2. 恰逢其时：复活节的“坏蛋”

EggLocker是复活节前发现的另一种勒索软件。 EggLocker一旦运行，就会向其受害者展示一个有趣的锁屏，并且赎金锁屏提供的格式错误的陈述揭示了以下字词：

EGG LOCKED

YOUR FILES HAS BEEN LOCKED DUE EVIL CHICKEN, YOUR ONLY WAY TO GET THEM BACK ALLIS PAY FOR CHICKEN KILLER.

ANY TRIES TO REMOVE CHICKEN WILL JUST DAMAGE YOUR FILES.

BE CAREFULLY WIRH YOUR DESICIONS.

除了有趣的和语法上不正确的句子，愤怒的小鸟看起来像变形的图标和无效的比特币地址，似乎勒索软件或正在进行阶段或者是遇到了些麻烦。这是因为受害者没有与开发人员联系的联系信息，系统上的一些文件会显示“test”，并会附加.egg扩展名。

FortiGuard实验室分析了样本并发布了AV检测特征：

W32/FakeFilecoder!tr.ransom

3. Heartbleed 心脏出血

几年前与OpenSSL TLS漏洞无关，H34rtBl33d是本周首次亮相的另一种勒索软件变种。它将在系统上查找文件并使用.d3g1d5扩展名进行加密。 然后它将呈现一个相当美观的，由ASCII生成的带红色森林背景的锁屏和一个带有H34rtBl33d标志的骑士。

FortiGuard实验室分析了样本并发布了AV检测特征：

W32/Diztakun.A!tr

应用漏洞/IPS

MS.IIS.WebDAV.PROPFIND.ScStoragePathFromUrl.Buffer.Overflow

Windows 2003上运行的Microsoft IIS 6.0服务器的WebDAV组件上的ScStoragePathFromUrl函数存在一个缓冲区溢出漏洞。这是去年刚刚由中国华南理工大学的研究人员发现的一个旧bug。

我们的（IPS）签名-MS.IIS.WebDAV.PROPFIND.ScStoragePathFromUrl.Buffer.Overflow检测到的这个漏洞在Shadow Brokers泄漏后在2016年和2017年的大规模攻击中得到了广泛的利用（这是一个零日漏洞ExplodingCan，被称被影子经纪商的网络犯罪分子拍卖和出售）。这个bug的成功利用可以导致在正在运行的应用程序的上下文中执行代码。攻击者需要在PROPFIND请求中通过包含“If：http：//”的long header来填充代码。根据Shodan服务，至少有600,000台服务器仍在运行IIS 6.0版本，其中10％正在运行某个版本的WebDAV。

MS.Office.EQNEDT32.EXE.Equation.Parsing.Memory.Corruption

Microsoft Office软件中存在一个远程执行代码漏洞，该软件无法正确处理内存中的对象。成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码。如果当前用户使用管理用户权限登录，攻击者可以控制受影响的系统。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完整用户权限的新帐户。其帐户被配置为拥有较少系统用户权限的用户受到的影响要小于具有管理用户权限的用户。

我们的（IPS）签名--MS.Office.EQNEDT32.EXE.Equation.Parsing.Memory.Corruption检测到的此漏洞通常在Office文档中嵌入的OLE对象中被利用，并且在研究人员发现之前至少潜伏了17年。

Apache.Commons.Collection.InvokerTransformer.Code.Execution

这个由我们的（IPS）签名--Apache.Commons.Collection.InvokerTransformer.Code.Execution检测到的Apache漏洞影响了大量开源和商业产品，这些产品使用无限制地反序列化任意用户输入的资源。至少有10个来自开源组织和知名网络安全和技术供应商的开放和分配CVE，他们在其产品上使用了这个Apache组件。攻击者可以使用此漏洞在具有易受攻击的库的系统上执行他们选择的Java代码。为了利用这个问题，攻击者需要能够访问系统的Web界面，并且能够向未经身份验证的应用程序发送数据和从应用程序接收数据。 ApacheCommons团队通过禁用InvokerTransformer类的反序列化来解决3.2和4.0共享集合分支上的问题。

网页过滤

Badwind!

最近，FortiGuard实验室网页过滤团队在一个服务器上发现了一个打开的目录，该目录正在托管许多Java Adwind木马程序。 我们分析了其中一个Adwind样本。 通常情况下，我们希望能够看到来自Adwind Trojan的至少一个C＆C连接。然而，从我们分析的样本中，它试图连接到两个不同的URL，blockholder[.] duckdns [.] org和pm2bitcoin [.] com。

FortiGuard实验室发布了检测特征：

VBS/Agent.F222!tr (Java Adwind)

并将以下IOC加入了黑名单：

blockholder[.]duckdns[.]org

pm2bitcoin[.]com

下面是本周我们遇到的诈骗和钓鱼网站的亮点，其中有几百个域名被列入黑名单。

技术支持网页的骗局

该域akinhts [.] xyz是一个Microsoft技术支持骗局页面，显示假弹出窗口。 反向WHOIS显示，其还拥有royj88261 @ gmail.com以及另外214个为类似目的而创建的钓鱼域名。由于域名的长度，我们没有在这里发布。 所有分析的域名都已添加到我们的黑名单中。

针对在线金融网站的可疑域名

我们最近发现了几个针对多个在线金融网站用户的可疑域名。 我们审查了域名，并揭示了两个威胁源，alahbalaha @ yandex.com拥有144个其他钓鱼域名，还有kobikredi09 @ gmail.com拥有3个其他钓鱼域名。 由于域名的长度，我们没有在这里发布。 FortiGuard将钓鱼类别下的所有域列入黑名单。