首页保安CISA:针对被黑 Pulse Secure 设备上的恶意软件发出警告

CISA:针对被黑 Pulse Secure 设备上的恶意软件发出警告

Η CISA 发出各种通知 样本 恶意软件 在 Pulse Secure 设备上找到, 并且在很大程度上未被抗病毒产品检测到。

Pulse Secure 恶意软件

从 2020 年 XNUMX 月起, 美国政府服务、关键基础设施和各种组织中的脉冲安全设备 的私营部门是网络攻击的目标。

另请参阅: Verizon 和美国最大的自来水公司受到 Pulse Secure 黑客攻击的影响

攻击者利用多个 漏洞 (CVE-2019-11510, CVE-2020-8260, CVE-2020-8243, CVE-2021-2289) 用于初始入口并放置 网页壳 用于后门访问。

昨天,CISA 发布了关于 在受感染的 Pulse Secure 设备上发现的 13 个恶意软件样本. 鼓励管理员查看入侵者的报告并了解攻击者的策略、技术和程序。

CISA 分析的所有恶意文件均在受感染设备上发现 脉冲连接安全 其中一些是 合法 Pulse Secure 脚本的修改版本。

在大多数情况下,恶意文件是用于激活和执行命令的 webshel​​l。

说一个具体的样本 恶意软件, CISA 称它是“脉冲安全 Perl 模块的修改版本”(DSUpgrade.pm),攻击者将其转换为 webshel​​l (ATRIUM) 以执行远程命令。

黑客修改的合法Pulse Secure文件列表包括:

  • licenseserverproto.cgi (STEADYPULSE)
  • tnchcupdate.cgi
  • 健康检查.cgi
  • compcheckjs.cgi
  • DSUpgrade.pm.current
  • DSUpgrade.pm.rollback
  • clear_log.sh(THINBLOOD LogWiper 实用程序变体)
  • compcheckjava.cgi(硬脉冲)
  • meeting_testjs.cgi (SLIGHTPULSE)

上述部分文件在今年的攻击中被恶意修改,经公司查处 美国麦迪安网络安全公司. 调查人员在 XNUMX 月份的一份报告中称,中国黑客利用了该漏洞。 CVE-2021-22893.

另请参阅: 四种新的恶意软件工具影响Pulse Secure VPN设备

根据 Mandiant 的报告,攻击者利用该漏洞将合法文件变成了 STEADYPULSE、HARDPULSE 和 SLIGHTPULSE 网络地狱。

在另一个案例中,攻击者修改了 Pulse Secure 系统文件以窃取凭据。

CISA 在受感染的 Pulse Secure 设备上发现的大多数文件都没有被防病毒解决方案检测到。 只有其中一个被识别出来。

另请参阅: 中国黑客利用零日脉冲安全VPN违反美国国防承包商

CISA
CISA:针对被黑 Pulse Secure 设备上的恶意软件发出警告

CISA 建议管理员通过遵循以下实践来增强其安全性:

  • 更新防病毒签名。
  • 操作系统更新。
  • 禁用文件和打印机共享服务。 如果需要这些服务,请使用强密码或 Active Directory 身份验证。
  • 对用户施加限制,使他们无法安装和运行不需要的软件应用程序。
  • 使用强密码。
  • 打开电子邮件和附件时要小心。
  • 启用防火墙。
  • 禁用工作站和服务器上不必要的服务。
  • 扫描并删除可疑的电子邮件附件。
  • 监控用户的浏览活动。 限制访问包含危险内容的网站。
  • 使用可移动媒体(例如 USB 拇指驱动器、外部驱动器、CD 等)时要小心。
  • 在运行之前扫描您从 Internet 下载的软件。
  • 更新新的网络威胁。

资料来源:Bleeping Computer

数字要塞https://www.secnews.gr
追求梦想与生活!

实时新闻