新闻中心
详情
近期在互联网上披露的Windows 10“曲线”加密漏洞的利用代码现已浮出水面,并出现了大量基于CurveBall漏洞构造的伪造数字签名恶意样本,该漏洞被很多APT攻击组织利用并进行破坏活动。
该漏洞位于Window的加密组件CryptoAPI(Crypt32.dll),可用于绕过签名使用椭圆曲线算法(ECC)的验证过程。在Windows 10及之后的版本中,微软对于椭圆曲线算法加入了自定义生成元的功能,而在Crypt32.dll中没有对此进行验证。因此攻击者可以在证书中插入自行构建的特殊生成元,重新生成公钥对应的私钥,从而通过私钥伪造根证书对恶意文件进行签名,使其伪装成来自受信任的合法来源。使用场景包括不限于伪造可执行文件签名,网站SSL证书,邮件签名等。
处置建议:
1、目前微软已经发布了漏洞相应的补丁,Windows 10及之后的版本建议进行相关升级
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601
2、部署网御星云高级持续性威胁检测与管理系统,无需升级即可有效检测对基于该漏洞构造的恶意样本攻击。
(1)静态检测可利用该漏洞构造的恶意样本(需要更新添加漏洞编号);
(2)动态检测由于有一套基于行为的综合判定逻辑,可以在不升级的情况下直接基于行为检测利用该漏洞的各类恶意代码。
使用该漏洞构造远控木马样本报警结果:
使用该漏洞构造的勒索病毒样本报警结果:
网御星云高级持续性威胁检测与管理系统介绍
一、用户价值
1 针对各种钓鱼、勒索等高级邮件攻击手段进行有效的检测。
2 针对水坑式Web攻击手段的高级威胁攻击检测。
3 可有效检测APT组织的定向攻击。
4 满足等保2.0要求,对未知新型网络攻击、APT攻击的检测。
二、主要场景
针对邮件的钓鱼攻击
1、邮件附件行为检测
2、邮件恶意URL检测
针对WEB访问的水坑攻击
1 、WEB下载文件检测
2 、WEBSHEEL攻击检测
针对文件共享的横向攻击
1 、基于SMB协议攻击检测
2 、恶意代码横向迁移检测
网御星云高级持续性威胁检测与管理系统,首先,可检测通过内部邮件或文件进行渗透传播的各类恶意代码攻击,防范常见的APT入侵途径,分析其中的高级攻击行为;其次,可判定各类木马、蠕虫和间谍等程序软件,深度分析APT攻击中的高级恶意代码;同时,可通过网络流量检测已知/未知恶意文件攻击、钓鱼邮件/网站攻击、WEB渗透攻击、已知/未知恶意代码活跃行为、异常访问和通信行为等操作,为用户业务专网提供全方位、可追溯的防未知威胁解决方案。
扫二维码用手机看
上一个:
线上招聘季 | 网御星云湖北站
下一个:
大道至简,网御星云助力网络安全防“疫”战
上一个:
线上招聘季 | 网御星云湖北站
下一个:
大道至简,网御星云助力网络安全防“疫”战
北京网御星云信息技术有限公司 京ICP备05080314号-1
400-810-7766
成为伙伴 
视频中心 