安嶶省城乡建设网站wordpress翻译中文
2026/5/21 4:35:10
绍兴企业网站建设wordpress自媒体新闻模板
绍兴企业网站建设,wordpress自媒体新闻模板,Wordpress的高级版,怎么接做网站私单印度网络安全公司MicroWorld Technologies开发的eScan杀毒软件更新基础设施遭到未知攻击者入侵#xff0c;向企业和消费者系统传播持久化下载器恶意软件。Morphisec公司研究员Michael Gorelik表示#xff1a;恶意更新通过eScan的合法更新基础设施进行分发#xff0c;导…印度网络安全公司MicroWorld Technologies开发的eScan杀毒软件更新基础设施遭到未知攻击者入侵向企业和消费者系统传播持久化下载器恶意软件。Morphisec公司研究员Michael Gorelik表示恶意更新通过eScan的合法更新基础设施进行分发导致多阶段恶意软件被部署到全球的企业和消费者终端。MicroWorld Technologies披露公司检测到基础设施遭受未经授权的访问后立即隔离了受影响的更新服务器服务器离线时间超过8小时。公司已发布补丁程序可回退恶意更新引入的更改。建议受影响的组织联系MicroWorld Technologies获取修复程序。公司将此次攻击归因于区域更新服务器配置遭到未经授权的访问使得威胁行为者能够在2026年1月20日约两小时的有限时间窗口内向客户分发损坏的更新。eScan从2026年1月20日开始经历了一次临时更新服务中断影响了部分在特定时间段内从特定更新集群自动下载更新的客户系统该公司在2026年1月22日发布的公告中表示。该问题源于区域更新服务器基础设施遭受未经授权的访问。事件已被识别并解决。我们提供了全面的修复方案可解决所有观察到的情况。Morphisec于2026年1月20日识别出该事件表示恶意载荷干扰了产品的正常功能有效阻止了自动修复。具体来说攻击者投放了一个恶意的Reload.exe文件该文件设计用于释放下载器具有建立持久化、阻止远程更新以及联系外部服务器获取包括CONSCTLX.exe在内的其他载荷的功能。攻击机制分析根据卡巴斯基分享的细节位于C:\Program Files (x86)\escan\reload.exe的合法文件Reload.exe被替换为恶意版本该版本可通过修改HOSTS文件来阻止进一步的杀毒软件更新。该文件使用了伪造的无效数字签名。当启动时,该reload.exe文件会检查是否从Program Files文件夹启动如果不是则退出这家俄罗斯网络安全公司表示。该可执行文件基于UnmanagedPowerShell工具该工具允许在任何进程中执行PowerShell代码。攻击者修改了该项目的源代码添加了AMSI绕过功能并使用它在reload.exe进程内执行恶意PowerShell脚本。该二进制文件的主要职责是启动三个Base64编码的PowerShell载荷其设计目的是篡改已安装的eScan解决方案以防止其接收更新和检测已安装的恶意组件绕过Windows反恶意软件扫描接口AMSI检查受害者机器是否应进一步感染如果是则向其投放基于PowerShell的载荷受害者验证步骤会根据硬编码的黑名单检查已安装软件、运行进程和服务的列表黑名单中包括分析工具和安全解决方案包括卡巴斯基的产品。如果检测到这些工具则不会投放进一步的载荷。载荷执行流程PowerShell载荷一旦执行就会联系外部服务器以接收两个载荷CONSCTLX.exe和第二个基于PowerShell的恶意软件后者通过计划任务启动。值得注意的是前述三个PowerShell脚本中的第一个还会用恶意文件替换C:\Program Files (x86)\eScan\CONSCTLX.exe组件。CONSCTLX.exe的工作方式是启动基于PowerShell的恶意软件同时通过将当前日期写入C:\Program Files (x86)\eScan\Eupdate.ini文件来更改eScan产品的最后更新时间为当前时间以给人留下该工具按预期工作的印象。PowerShell恶意软件则执行与之前相同的验证程序并向攻击者控制的基础设施发送HTTP请求从服务器接收更多PowerShell载荷以供后续执行。影响范围eScan公告没有说明哪个区域更新服务器受到影响但卡巴斯基对遥测数据的分析显示数百台属于个人和组织的机器遭遇了与该供应链攻击相关载荷的感染尝试。这些机器主要位于印度、孟加拉国、斯里兰卡和菲律宾。该安全公司还指出攻击者必须详细研究过eScan的内部机制以了解其更新机制的工作原理以及如何篡改它来分发恶意更新。目前尚不清楚威胁行为者如何设法获得更新服务器的访问权限。值得注意的是通过安全解决方案更新部署恶意软件的情况相当罕见该公司表示。供应链攻击本身就很少见更不用说通过杀毒软件产品策划的攻击了。QAQ1eScan杀毒软件更新服务器遭入侵事件是如何发生的A攻击者通过未经授权访问eScan的区域更新服务器配置在2026年1月20日约两小时的时间窗口内利用合法更新基础设施向客户分发恶意更新。恶意更新会投放名为Reload.exe的恶意文件该文件能够建立持久化、阻止远程更新并下载其他恶意载荷。Q2eScan供应链攻击主要影响哪些地区的用户A根据卡巴斯基的遥测数据分析此次供应链攻击主要影响印度、孟加拉国、斯里兰卡和菲律宾的用户数百台属于个人和组织的机器遭遇了感染尝试。受影响的是在特定时间段内从特定更新集群自动下载更新的客户系统。Q3受eScan恶意更新影响的用户应该如何处理AMicroWorld Technologies已发布补丁程序可回退恶意更新引入的更改建议受影响的组织立即联系该公司获取修复程序。公司已隔离受影响的更新服务器并发布了全面的修复方案可解决所有观察到的感染情况。