Hvv 日记 威胁情报 8.15 Windows TCPIP 远程执行代码漏洞(CVE-2024-38063)
Hvv 日记 威胁情报 8.15 Windows TCPIP 远程执行代码漏洞(CVE-2024-38063)
Khan安全团队 2024-08-16 08:24
Windows TCPIP 远程执行代码漏洞(CVE-2024-38063)
漏洞描述
WindowsTCP/P 远程代码执行漏洞,攻击者能够通过向目标主机发送特制的IP6 数据包来远程执行任意代码。由于该漏洞不需要用户交互,并且可以通过网络以较低的攻击复杂性进行利用,因此具有非常高的危险性。
漏洞详情
漏洞的原理是由整数下溢BUG引起的,攻击者可以利用这个弱点触发缓冲区溢出,从而在易受攻击的Windows系统上执行任意代码 8。由于这个漏洞在被防火墙处理之前就已经触发,因此即使在本地Windows防火墙上阻止IPv6也不能阻止黑客利用该漏洞。
影响
所有 windows 系统默认配置无前置条件都受到影响。
修复建议
微软官方已发布针对该漏洞的修复方案,可通过官方链接下载并更新补丁。
https://msrc.microsoft.com/update-guide/vunerability/CVE-2024-38063
在目标计算机上禁用 IPv6,则系统不会受到影响。
恶意IP
47.116.176.147
27.106.123.108
47.106.98.245
恶意文件
****“`
0f94a13d2aae1ea945b919cd8fb13408
化学物质环境风险评估与管控技术标准体系框架生态毒理学行业标准意见建议.zip
5b33fbe02e5874b781fab0749e0bf85b
中秋礼品领取说明.pdf.exe
a2326fbf3e47126eccd315a3b9ca2257
****银行业务领域网络安全事件报告管理办法(征求意见稿).pdf.zip
30eb50d715cb3706ceb4851f412ee0dc
抽水蓄能电站输水发电系统的渗流分析(修改意见).rar
8daaca22947897be722c465931b0f909
智慧饭堂升级改造通知.pdf.exe
**恶意攻击者**
攻击者 IP:112.224.162.202
最近活跃时间:从 2024 年 7 月 12 日起,一直延续到 2024 年 8 月 13 日,在这长达一个多月的时间段里,其活动犹如幽灵般频繁闪现。特别是在每天的凌晨时分,当大多数人都沉浸在梦乡之时,此攻击者却在网络的黑暗角落中蠢蠢欲动。
地理位置:位于中国的山东省济南市,这座拥有深厚文化底蕴和蓬勃发展经济的城市,为攻击者提供了看似寻常却又充满迷惑性的掩护。
活跃行业:机场
能力评价:在专项期间,该攻击者被发现针对机场行业发动了一系列精心策划且极具针对性的漏洞扫描攻击。其不仅对目标主体展开了全方位、多角度、地毯式的信息收集,就连目标那深藏不露的子域名也未能逃脱其魔掌,同样遭受了深入骨髓、细致入微的漏洞扫描攻击。尤为值得关注的是,此攻击者的攻击方式呈现出高度的相似性和专业性,从攻击发起的时间节点,总是选择在系统维护的间隙或者网络流量低谷期;到使用的技术手段,巧妙运用了最新的漏洞利用代码和隐蔽的扫描工具;再到攻击的路径选择,总是迂回曲折地绕过常见的安全防线,这一切都与之前所发现的(118.182.102.35、118.182.102.53)攻击者极为相近。经过多轮的数据分析和技术比对,有充分的理由怀疑其疑似属于同一组织,这意味着背后可能存在着一个组织严密、分工明确、技术高超的攻击团伙,他们犹如潜伏在黑暗中的恶狼,时刻准备对网络安全防线发起致命一击。
攻击利用特征:通过隐蔽链路 happy-res.xyz、122.152.214.152 展开攻击活动。这些隐蔽链路的设置极为巧妙,如同隐藏在茂密森林中的陷阱,具有很强的迷惑性和隐藏性。它们采用了多重加密和动态跳转的技术手段,使得追踪和防范工作如同大海捞针,给网络安全防护带来了前所未有的巨大挑战。
近期攻击行为:主要集中在漏洞扫描方面,其扫描的频率犹如疾风骤雨,一波接着一波,毫无停歇之意。而且每次扫描的深度都足以让人心惊胆战,显示出攻击者不达目的誓不罢休的坚决和执着。
攻击者 IP:124.64.9.183
最近活跃时间:从 2024 年 8 月 8 日起,直至 2024 年 8 月 14 日,在这短短几天内,其活动强度如同燃烧的火焰,愈演愈烈。尤其是在工作日的午休时间和下班之后,当人们放松警惕之时,攻击者便趁机发起猛烈的攻击。
地理位置:中国北京市,作为中国的政治、文化和国际交往中心,网络环境复杂得犹如一座巨大的迷宫。这里既有最先进的网络技术,也隐藏着无数的网络安全隐患。
活跃行业:银行、能源
使用工具:包括 AWVS、Xray、Burp 等先进且专业的工具,这些工具在网络攻击领域具有较高的知名度和使用率。其中,AWVS 以其强大的漏洞检测能力著称,能够快速发现目标系统中的潜在漏洞;Xray 则擅长于深度扫描和挖掘隐藏的安全风险;Burp 则在数据拦截和分析方面表现出色,为攻击者提供了丰富的情报。
能力评价:在专项期间新启用了基础设施,对银行行业展现出了令人咋舌的极强针对性。该攻击者不仅具备出色的代码开发能力,能够根据目标的特点和防护机制定制独特的攻击代码,而且这些代码犹如精心编制的密码,复杂而难以破解。还拥有精湛的网络攻击能力,能够巧妙地绕过常规的安全防御措施,如同一条灵活的泥鳅在严密的渔网中穿梭自如,实现其攻击目的。
近期攻击行为:涵盖了信息收集以及漏洞扫描。其信息收集工作十分细致入微,对目标的系统架构、用户数据、交易记录等关键信息进行了深入挖掘,不放过任何一个微小的细节。而漏洞扫描则全面且深入,如同一张细密的大网,不放过任何一个可能存在的安全漏洞,从操作系统的底层漏洞到应用程序的逻辑漏洞,无一幸免。
攻击者 IP:42.51.38.153
最近活跃时间:起始于 2024 年 7 月 31 日,截至 2024 年 8 月 14 日,这段时间内其活动呈现出一定的周期性,就像月亮的阴晴圆缺,每隔几天便会有一次集中的攻击行动。
地理位置:中国河南省洛阳市,一个历史文化名城,如今在网络安全领域也面临着各种严峻的挑战。古老的文化与现代的网络威胁在这里交织碰撞。
活跃行业:教育
能力评价:在专项期间新启用基础设施,对于教育行业表现出极强的针对性。在专项期间,针对目标网站仅仅发起了备份文件扫描,由此推测,该基础设施专门被用于前期的信息收集工作。其扫描方式精准且高效,能够迅速锁定关键的备份文件,这显示出攻击者对教育行业网络架构和数据存储方式的熟悉程度,仿佛他们曾经深入研究过教育系统的每一个角落。
近期攻击行为:主要为备份文件扫描。其扫描的目标明确,且执行过程中表现出高度的耐心和专注力,不放过任何可能获取有价值信息的机会。每次扫描都如同一场精心策划的狩猎,耐心等待最佳时机,然后一举击中目标。
攻击者 IP:111.67.197.244
最近活跃时间:从 2024 年 8 月 7 日起,至 2024 年 8 月 14 日,在这一周多的时间里,其活动逐渐趋于密集,就像暴风雨来临前的乌云,越聚越厚。
地理位置:中国北京市
活跃行业:民航、机场
能力评价:在专项期间新启用基础设施,对民航、机场等目标展现出了令人惊叹的极强针对性。这表明攻击者对这些行业的网络系统和业务流程有着深入骨髓的了解,仿佛他们就是行业内部的资深专家。能够准确找到关键的攻击点,这些攻击点往往是系统的核心部位或者是数据传输的关键通道。
近期攻击行为:进行了 shiro 漏洞扫描。这种特定的漏洞扫描方式具有较高的技术含量,需要攻击者具备专业的知识和丰富的经验。它不仅仅是简单的扫描,更像是一场精心设计的破解密码的游戏,攻击者必须对 shiro 框架的内部机制了如指掌,才能准确地找到漏洞所在。
攻击者 IP:111.19.199.41
最近活跃时间:从 2024 年 7 月 23 日到 2024 年 8 月 7 日,近半个月的时间内其活动有一定的规律可循,如同钟表的指针,准确而有节奏。
地理位置:中国陕西省咸阳市,一个具有深厚历史底蕴的城市,古老的城墙见证着时代的变迁,如今也见证着网络世界的风云变幻。
活跃行业:银行、保险
能力评价:在专项期间新启用基础设施,对银行、保险行业的目标具有极强的针对性。此外,还呈现出某安全厂商扫描器的特征,这暗示着攻击者可能通过非法手段获取了相关的专业工具,或者具备高超的模仿能力,能够以假乱真,让人难以分辨。
近期攻击行为:主要是漏洞扫描。其扫描的过程严谨且有序,试图挖掘出目标系统中潜在的安全漏洞,就像考古学家在挖掘珍贵的文物一样,小心翼翼又坚定不移。
攻击者 IP:110.41.54.205、39.108.171.154、59.110.91.103、2408:8215:18:ff40:8d:3b2a:8b56:b9a0
最近活跃时间:从 2024 年 5 月 9 日开始,一直延续至 2024 年 8 月 13 日,在长达三个多月的时间里,其活动从未间断,仿佛一场永不停歇的风暴。
地理位置:中国广东省广州市,一个经济发达、网络活动频繁的城市,如同一个巨大的网络漩涡,吸引着各种信息和流量。
活跃行业:机场
能力评价:在专项期间,被发现针对机场行业进行了广泛而深入的信息搜集,并且发动了多次扫描攻击。其信息搜集工作全面而细致,涵盖了机场的运营系统、航班信息、旅客数据等关键领域,就像一张无形的大网,将机场的每一个角落都笼罩其中。
攻击利用特征:借助隐蔽链路 192.227.177.11 实施攻击。这条链路的设置极为复杂,通过多层代理和加密手段来隐藏其真实来源和目的。它就像一条隐藏在地下深处的秘密通道,让人难以追踪和察觉。
近期攻击行为:主要为漏洞扫描。其扫描的范围广泛,涉及机场系统的各个层面,从地面服务系统到空中交通管制系统,给机场的网络安全带来了严重的威胁,就像一颗随时可能引爆的炸弹。
历史攻击行为:过往的攻击目标包括轮船以及政府单位,所采用的攻击手法均为漏洞扫描。在对轮船的攻击中,可能试图获取航行数据和货物信息,以便为非法活动提供便利;而对政府单位的攻击,则可能意在窃取敏感的政策文件和政务数据,从而对社会稳定和国家安全造成巨大的危害。
“`
Hvv 日记 威胁情报 8.1(0day & 多个恶意样本标记)
Hvv 日记 威胁情报 8.2 (输入突破锁屏远程命令执行)
Hvv 日记 威胁情报 8.7 (亿塞通SQL注入0day)
Hvv 日记 威胁情报 8.9 (0day Windows 远程桌面远程代码执行 CVE-2024-38077)
Hvv 日记 威胁情报 8.12 (IP、样本、钓鱼仿冒站点)
Hvv 日记 威胁情报 8.13 Tomcat请求走私(CVE-2024-21733)
Hvv 日记 威胁情报 8.14 Jenkins 远程代码执行漏洞(CVE-2024-43044)POC
Hvv 故事吃瓜 17 (XSS一键Getshell不行吗?)