各位 Buffer 早上好，今天是 2018 年 8 月 30 日星期四，农历七月二十。今天份的BUF早餐铺内容有：2018年上半年无文件 / PowerShell恶意活动飙升至新高度；研究人员在 Windows 任务管理器中发现零日漏洞；雅虎邮箱被爆大规模扫描用户邮件，将数据出售给广告商；网络犯罪分子正以更隐蔽的方法攻击数字货币；网络安全行业平均月薪上万，实际薪资高于预期。

安全资讯早知道，两分钟听完最新安全快讯~

2018 年上半年无文件及 PowerShell 攻击飙升至新高度

终端安全公司 SentinelOne 发布了“2018年上半年企业风险指数报告”，报告显示：2018 年 1 月至 6 月期间，无文件攻击次数增加了 94％；PowerShell 攻击从 2018 年 5 月的每 1000 个终端遭受 2.5 次攻击飙升到6月的每 1000 个终端遭受 5.2 次攻击；勒索软件传播态势依然十分严峻且上升速率很快，每1000个终端遭受攻击的数量从 1 月的 5.6 极速上升至 6 月的14.4。[来源：threatpost]

研究人员在 Windows 任务管理器中发现零日漏洞

近日，有安全研究人员披露了 Windows 任务管理器中的 0-day 漏洞，可被利用提升系统权限，进行进一步攻击。漏洞出现的原因是 Windows 任务管理器在进行高级本地进程调用（ALPC）处理时出现错误。漏洞曝出后，美国 CERT/CC 及时确认，但该研究人员并没有报告给微软。目前尚不清楚这个 0-day 漏洞是否会影响微软 Windows 系统，据推测微软会在 9 月 11 日的修复日发布补丁。securityaffairs

雅虎邮箱被爆大规模扫描用户邮件，将数据出售给广告商

华尔街日报报道，雅虎依然在扫描用户邮件并将这些数据销售给广告商，而这种行为目前已经被很多科技企业放弃。在报道中雅虎和多家广告业主进行洽谈，希望为后者提供一项分析超2亿封Yahoo Mail收件箱的电子邮件，从中提取消费者数据的服务。对此Oath并未立即就此事作出官方回应。报道中还指出，即使启用了雅虎的高级邮件服务（月费3.49美元），如果用户不选择禁用，系统依然会对邮件进行扫描。[来源：cnbeta]

网络犯罪分子正以更隐蔽的方法攻击数字货币

全球网络安全解决方案提供商趋势科技（Trend Micro Incorporated）在新的研究中表示，网络犯罪分子的注意力正从勒索软件攻击转为更隐蔽的方法，其目的仍在于窃取金钱和宝贵的计算资源。研究还表明，与2017年全年相比，2018年上半年数字货币采矿探测量增加了96%。[来源：bianews]

网络安全行业平均月薪上万，实际薪资高于预期

智联招聘近日发布2018《网络安全人才市场状况研究报告》（以下简称报告），报告以智联招聘平台大数据为基础，从需求变化、供需结构、用人单位特点以及人才自身特征等方面对网络安全人才市场现状展开研究。报告显示，网络安全人才不论在政企机构，还是在安全企业，平均月薪皆过万，且实际薪资普遍高于预期，实现幸福“倒挂”。

总体来看，据统计，2018年上半年求职者期望的平均薪资约为8587.5元/月，相比2017年增长了1054元/月。而实际薪资上，政企机构提供的网络安全相关岗位的平均薪酬约为12389.3元/月，安全企业提供给网络安全相关岗位的平均薪酬约为11806.2元/月。其中，金融行业用人单位给网络安全人才提供的薪酬最多，平均15054元，其次为互联网行业，平均14849元，以及生活服务行业，平均14733元。[来源：人民网]

*AngelaY 编译整理，转载请注明来自 FreeBuf.COM。