NSA等机构结合颁布若何配置和监控PowerShell的指南

首页 > 安全钻研 > 安全传递 > 安全简讯

NSA等机构结合颁布若何配置和监控PowerShell的指南

颁布功夫 2022-06-24

1、NSA等机构结合颁布若何配置和监控PowerShell的指南

6月22日，美国CISA、新西兰NZ NCSC和英国NCSC-UK颁布了一份结合网络安全信息表(CIS)。这些机构建议适当的配置和监控PowerShell，而不是由于攻击者会在接见网络后使用它而齐全删除或禁用它。指南建议，利用框架中的职能，例如PowerShell远程处置；对于远程衔接，使用PowerShell 7中支持的SSH，以增长公钥身份验证的方便性和安全性；在AppLocker或Windows Defender利用法式节造(WDAC)的援手下削减PowerShell的操作，将工具设置为受限说话模式(CLM)，从而回绝治理员界说的战术之表的操作。

https://www.cisa.gov/uscert/ncas/current-activity/2022/06/22/keeping-powershell-measures-use-and-embrace

2、Cyber Spetsnaz将锋芒对准立陶宛的关键基础设施

据媒体6月22日报路，Cyber Spetsnaz起头针对抗陶宛确当局机构和关键基础设施。在立陶宛颁发对俄罗斯施杏装禁运令”后，该团伙颁发了协调DDoS攻击的多个指标，其中涉及物流公司、交通基础设施、重要金融机构、ISP、机场、能源公司、重要媒体和当局的网站。据6月23日报路，立陶宛国度网络安全中心(NKSC)颁布了一则布告，称针对该国当局的DDoS攻击急剧增长，导致立陶宛的运输公司、金融机构和其它大型实体都产生了短暂的服务中断。

https://securityaffairs.co/wordpress/132518/hacktivism/lithuania-under-cyber-attack.html

3、Check Point披露Tropic Trooper近期攻击的详情

Check Point在6月22日颁布了关于Tropic Trooper攻击活动的分析汇报。这次活动使用了新的加载法式Nimbda和木马Yahoyah的新变种。习染链始于恶意版本的SMS Bomber，它现实上是Nimbda加载法式，但使用了SMS Bomber图标，并蕴含SMS Bomber作为嵌入的可执行文件，加载后会装置Yahoyah变体并网络主机的数据。最终的payload由Yahoyah下载，并使用隐写技术编码为JPG图像，Check Point将其鉴别为TClient，是Tropic Trooper在从前活动中曾使用过的后门。此表，用于包装Yahoyah的加密是AES的自界说实现，它执行了两次倒序的轮操作，使样本分析变得极度难题。

https://research.checkpoint.com/2022/chinese-actor-takes-aim-armed-with-nim-language-and-bizarro-aes/

4、QNAP建复已存在三年的PHP缝隙CVE-2019-11043

6月22日，QNAP颁布安全更新，建复了一个已存在三年之久的PHP缝隙（CVE-2019-11043）。QNAP在布告中诠释，缝隙会影响低于7.1.33的PHP版本7.1.x、低于7.2.24的7.2.x和低于7.3.11的7.3.x，若是被利用，可导致远程执行代码。该缝隙CVSS评分为9.8，影响了QNAP的多个版本的QTS、QuTS hero和QuTScloud设备。该公司建议用户当即更新到最新的版本，以建复此缝隙。

https://www.bleepingcomputer.com/news/security/critical-php-flaw-exposes-qnap-nas-devices-to-rce-attacks/

5、Proofpoint颁布2022年社会工程的攻击活动汇报

Proofpoint在6月22日颁布了最新的社会工程学汇报。汇报分析了社会工程的重要趋向和行为，蕴含，攻击者能够通过耽搁对话与指标成立信赖、扩大了对有效战术的滥用（如使用受信赖公司的服务）、在其攻击链中利用正交技术（如电话）、知路并利用同事之间现有的对话、利用热点和与社会有关的主题等。此表，该汇报还着眼于时时被滥用的服务，好比谷歌Drive和Discord。

https://www.proofpoint.com/us/blog/threat-insight/how-threat-actors-hijack-attention-2022-social-engineering-report

6、日本汽车零件造作商Nichirin称其遭到勒索攻击

据6月23日报路，日本汽车和摩托车软管造作商Nichirin的子公司Nichirin-Flex USA遭到了勒索攻击，导致该公司的网络中断。攻击产生在6月14日，该公司在检测到其网络上未经授权的接见后当即将操作切换得手动模式。由于网络攻击也影响了产品分销，并且订单是手动实现的，因而客户的订单应该会延长。该公司的申明暗示，复原系统已成为复原业务运营的优先事项，其目前在调查未经授权的接见是若何产生的，并试图确定信息泄露的影响。

https://www.bleepingcomputer.com/news/security/automotive-hose-maker-nichirin-hit-by-ransomware-attack/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研