本月，微软共发布了129个漏洞的补丁程序，其中，包括Microsoft SharePoint Server、Windows Shell、Windows OLE、LNK、Windows系统、Windows浏览器、VBScript、ChakraCore等脚本引擎中的11个漏洞被微软官方标记为紧急漏洞。经研判，以下20个漏洞（包括9个严重漏洞和11个重要漏洞）影响较大，如下表所示。其中， CVE-2020-1284、CVE-2020-1207、CVE-2020-1247、CVE-2020-1251、CVE-2020-1253、CVE-2020-1241、CVE-2020-1213、CVE-2020-1216、CVE-2020-1260、CVE-2020-1214、CVE-2020-1215、CVE-2020-1230、CVE-2020-1206、 CVE-2020-1219、CVE-2020-1301被微软标记为“Exploitation More Likely”这些漏洞更容易被利用。漏洞描述 CVE-2020-1301 SMBv1远程代码执行漏洞：Microsoft Server Message Block 1.0 (SMBv1)服务器在处理特定的请求时，存在一个远程代码执行漏洞。经过身份验证的攻击者可通过向目标SMBv1服务器发特制数据包来利用此漏洞，成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。 值得注意的是，此漏洞被微软标记为Exploitation More Likely”，说明其很可能很容易被利用。 CVE-2020-1284 SMBv3拒绝服务漏洞：Microsoft SMB服务器在处理特定的请求时，存在远程代码执行漏洞。攻击者可通过向目标SMB服务器发特制请求包来利用此漏洞，成功利用此漏洞可导致目标系统拒绝服务。此拒绝服务漏洞不会使攻击者执行代码或提升权限，但是会导致目标系统停止接收请求。 CVE-2020-1181 Microsoft SharePoint 远程代码执行漏洞：Microsoft SharePoint服务器无法识别和过滤不安全的ASP.NET Web控件，存在一个远程代码执行漏洞。经过身份验证的攻击者可通过在受影响的Microsoft SharePoint 服务器上创建并调用特制页面来利用此漏洞，成功利用此漏洞的远程攻击者可使用特制页面在SharePoint应用程序池进程的安全上下文中执行代码。 Win32k权限提升漏洞：Windows kernel-mode driver在处理内存中的对象时，存在4个权限提升漏洞（CVE-2020-1207、CVE-2020-1247、CVE-2020-1251、CVE-2020-1253）。攻击者可通过登陆目标系统并运行特制程序来利用此漏洞，成功利用此漏洞的攻击者可在目标系统内核模式下运行任意代码。 CVE-2020-1206 Windows SMBv3 Client/Server信息泄露漏洞:Microsoft Server Message Block 3.1.1 (SMBv3)协议在处理特定的请求时，存在一个信息泄露漏洞。未经身份验证的攻击者可通过向目标SMB服务器发特制数据包来利用此漏洞，或配置一个恶意的 SMBv3 服务器并诱导用户连接来利用此漏洞。成功利用此漏洞的远程攻击者可获取敏感信息。CVE-2020-1206的POC疑似在GitHub公开，且相关细节释出。 CVE-2020-1241 Windows内核安全特性绕过漏洞:Microsoft 内核在sanitize特定参数时，存在一个安全特性绕过漏洞。经过身份验证的本地攻击者可通过在目标系统上运行特制程序来利用此漏洞。 VBScript脚本引擎远程代码执行漏洞:VBScript引擎在处理内存中的对象时，存在6个远程代码执行漏洞（3个严重：CVE-2020-1213、CVE-2020-1216、CVE-2020-1260；3个重要：CVE-2020-1214、CVE-2020-1215、CVE-2020-1230）。攻击者可通过诱导用户访问特制网站或通过诱导用户打开嵌入标记为“初始化安全”的ActiveX控件的应用程序或Microsoft Office文档等方式来利用此漏洞，攻击者还可以通过攻击脆弱网站、向内容或广告服务提供商添加特制内容来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。

深信服安全团队近期监测到2020年6月在地下黑客论坛开始出售新的勒索软件“ Avaddon Ransomware”。该软件可针对多种语言用户，联系解密站点上有一个带有倒计时的页面，保存用于支付的二维码。加密之前会查询api.myip.com站点获取地区与IP，绕过来自前苏联国家/地区的用户，同时会清空回收站，删除卷影副本，控制卷影存储的大小。执行阶段会禁用Windows恢复和修复功能。采用微软CSP机制，AES-256与RSA-2048结合保密加密密钥，加密文件时采用CryptEncrypt，全部文件加密使用同一密钥即初始密钥。 研究人员认为，没有黑客对应的RSA私钥无法解密文件。由于采用了类似WannaCry勒索加密的方式，如调用了微软的CSP容器进行加密，但作为文件加密时使用的CryptGenKey产生的密钥却被内置的RSA-2048公钥进行了加密；删除了系统卷影后部分恢复功能已无法生效；联系的方式采用了TOR站点，增加了匿名性；调用CryptGenKey虽然保证了一台设备一个密钥（随机性），但是由于采用的RSA加密公钥是内置一致的，所以官网显示的通用解密器也是存在可能的。

近期，天际友盟双子座实验室研究人员监测到多起通过钓鱼邮件传播恶意挖矿程序的攻击活动，分析发现其背后攻击者在不断更新攻击手段。初步攻击目标带有针对性，在2018年11月通过攻击驱动人生更新服务器，感染数⼗万台电脑，植入门罗币挖矿程序。 随后攻击者更新了恶意程序，增加了计划任务，实现持久化及更新。特征总结为： 1.使用开源工具脚本、新披露的漏洞POC、哈希传递攻击来增强横向扩展能力。 2.对恶意脚本进行了伪装和加密混淆，关闭Windows Defender实时检测及Outlook的安全告警以隐藏自身。 3.利用poweshell加载程恶意文件与C2通讯，发送用户账号，系统信息，恶意负载执行状态等，获取恶意代码。 4.通过漏洞利用、Outlook邮件、移动存储设备进行传播。 5.利⽤移动存储设备传播（CVE-2017-8464）： 通过将恶意DLL与快捷⽅式（LNK）⽂件⼀起植⼊⽂件夹中，从⽽感染了可移动USB驱动器和⽹络驱动器。当在会解析.lnk快捷⽅式⽂件的任何应⽤程序中打开驱动器时，快捷⽅式将执⾏恶意的DLL组件。 6.利⽤Outlook邮件传播： 借助新冠疫情，新增部分与新冠有关邮件主题，随机选取邮件主题及内容，发送给感染主机上的所有Outlook联系⼈。⽣成恶意⽂档（CVE-2017-8570，基于DDE），包含恶意JS⽂件。 7.涉及开源脚本：xmrig挖矿程序，freeRDB, Get Pass Hash, SMBGhost。 根据C2通信中User-Agent出现的字段，研究人员将其命名为“小黄鸭”。结合 “永恒之蓝”下载器，蓝茶，MTLminer，“驱动⼈⽣”⽆⽂件挖矿，Beapy，LemonDuck，柠檬鸭等攻击活动情报中披露的资产及攻击方式，可判断其为同一组织，且其时间跨度，攻击复杂度和多样性，迭代更新/升级的频率远超以往发现的同类型威胁攻击。 值得注意的是，powershell可利用的漏洞包括：永恒之蓝系列漏洞，SMBGhost漏洞，Windows搜索远程命令执行漏洞CVE-2017-8464，Office远程代码执行漏洞CVE-2017-8570（“沙虫”二代）。

研究人员最近发现Phorphiex/Trik僵尸网络的活动，该活动提供了新的Avaddon勒索软件。恶意活动通过钓鱼邮件分发，诱导收件人打开其中的"照片"或者邮件正文中的表情符号。邮件中包含IMG.jpg.js.zip格式的附件解压缩后是一个1KB的javascript文件。该文件将启动Windows脚本宿主，以运行带有执行策略旁路标志的命令来启动PowerShell，然后从远程服务器下载恶意负载并执行加密。被加密的文件扩展名为.avdn，并在桌面留下一个自述文件，将受害者定向到暗网地址，以获取进一步的解密信息。暗网站点要求受害者输入其自述文件上的唯一加密ID，输入后将开始倒计时，如果未在之前支付赎金将翻倍。

Zscaler研究人员最近发现各种利用StackBlitz工具的网络钓鱼活动，攻击者使用预引导库功能，可以轻松地将托管的页面从服务器端直接过渡到客户端。StackBlitz是一个在线集成开发环境(IDE)，任何人都可以创建立即发布到网上的Angular JavaScript和React TypeScript项目。攻击者已针对这种方法来托管网络钓鱼页面。通常情况下，攻击者通过Microsoft的OneDrive共享软件服务分发垃圾邮件，伪装成相关主题文档，用户点击下载链接后，会被重定向到利用StackBlitz工具(StackBlitz.io)托管的Outlook网络钓鱼页面。钓鱼页面大都为登录门户，如Gmail登录、Yahoo登录、Microsoft登录、Office365登录。

本年三月，CheckPoint的研究人员在Google Play上发现了被用于进行广告欺诈的Tekya恶意软件。此后，这些应用已从商店中删除，但趋势科技的研究人员最近发现了该软件的变体，该变体已通过5个恶意应用进入了Google Play。在进行研究的过程中，Google已从App Store中删除了这些应用程序。 Tekya的变体与之前版本具有许多相似之处，如加密基本上保持相同，两种版本使用相同的算法和密钥。该恶意软件会在设备启动后唤醒接收器，接收器可隐藏自身，并负责下载.dex文件并加载它，加载下载的.dex文件后，恶意软件将尝试在配置服务器中注册，注册中包含的信息包括设备ID，用户帐户，位置，MAC地址以及其他信息。如果服务器未拒绝注册，则将下载加密的配置文件，其中包含有关要加载的广告和控制标记的信息。根据其代码，Tekya瞄准了11个广告网络，包括：Admob，Facebook和Unity，并通过InputManager模仿用户触摸事件。最后，Tekya将通过将图标和标签更改为设备上另一个应用程序的图标和标签来干扰用户，隐藏自身。

研究人员最近发现一个特定的Office文档，该文档被用于提供恶意工具，针对讲意大利语的用户。活动中使用的变体与NetWire恶意软件家族类似，但与以往的攻击链不同。初始感染媒介为带有嵌入XML宏的恶意电子邮件附件，打开后，Excel文档看起来像是带有动态元素的文档，但是没有可单击的按钮。VBS宏代码段与远程服务器连接下载隐藏在图片中的下一阶段有效负载。然后通过多阶段下载得到更多恶意负载，包括绕过Microsoft反恶意软件扫描接口AMSI的工具、进程注入程序(用于将恶意软件植入程序隐藏到其他进程内存中)。最终有效载荷为NetWire可执行文件，其使用自解密程序运行其木马模块。Netwire RAT能够从受害机器中获取敏感信息，例如Outlook凭据、Internet Explorer浏览器历史记录、Chrome浏览器历史记录、Mozilla浏览器历史记录、击键记录。该活动与针对意大利制造业Aggah活动存在诸多相似之处，如使用的一些变量和名称结构。

Bitdefender研究人员发现了新的Metamorfo攻击活动，该活动利用合法的软件组件来破坏计算机。Metamorfo是一家银行木马家族，自2018年中期以来一直活跃。它主要针对巴西人，主要通过垃圾邮件附件中装有宏的Office文件进行分发，其主要功能是窃取用户的银行信息和其他个人数据并将其发送到C2服务器。Metamorfo利用DLL劫持技术来隐藏自身并提升其在目标计算机上的权限。研究人员还注意到，该恶意软件试图从C2服务器下载其他文件，这表明它也可以使用扩展命令集下载自身的更新版本。Metamorfo利用了5种不同软件组件，分别来自Avira，AVG和Avast，Damon Tools，Steam和NVIDIA。这些产品中的某些组件在加载DLL文件时无法确保加载的文件是合法的，导致恶意代码将由可信赖的进程加载并执行。此外，某些安全解决方案无法检测到恶意代码或阻止防火墙级别的通信，因为初始化进程可能被列入了白名单。研究人员指出，合法的应用程序通常使用Authenticode（代码签名）证书进行数字签名，建议软件开发人员考虑由易受DLL劫持的数字签名组件所引起的问题，并尝试通过以安全的方式加载DLL来缓解这些问题。

Malwarebytes研究人员最近发现黑客组织Higaisa的攻击活动。该小组的活动至少可以追溯到2016年，其使用的木马包括Gh0st和PlugX以及其他移动恶意软件。其目标包括政府官员和人权组织，以及与朝鲜有关的其他实体。本次活动中，Higaisa使用一个恶意快捷方式文件进行初始化感染，攻击链由多个恶意脚本，有效负载和诱饵PDF文档组成。包含LNK恶意文件的存档文件疑似通过鱼叉式网络钓鱼分发，伪装成简历和国际英语测试系统考试结果。

BlackBerry研究人员最近发现一种用Java编写的新勒索软件Tycoon，该勒索软件通过面向internet的RDP跳板服务器进行初始攻击，目标为组织中的域控服务器和文件服务器。为了实现持久性，攻击者使用了"图像文件执行选项注入(IFEO)"技术。然后在操作系统的Microsoft Windows屏幕键盘(OSK)功能旁边执行了后门操作。攻击者使用ProcessHacker实用程序禁用了企业组织的反恶意软件解决方案，并更改了Active Directory服务器的密码，以使受害者无法访问其系统。大多数攻击者文件都带有时间戳，包括Java库和执行脚本。最后，攻击者执行了Java勒索软件模块，对所有文件服务器进行了加密，包括连接到网络的备份系统。这些文件使用Galois/Counter(GCM)模式的AES-256算法进行加密，并使用16字节长的GCM身份验证标记，以确保数据完整性，每个文件将使用不同的AES密钥加密，然后使用攻击者的RSA-1024公钥加密并保存在块元数据块中。Tycoon已经被发现了至少六个月，但受害人数似乎有限，这表明该恶意软件可能具有很高的针对性。一些电子邮件地址中的重叠以及勒索便笺的文本和用于加密文件的命名约定，表明Tycoon与Dharma/CrySIS勒索软件之间存在联系。