安全客
在过去的两年中,我们持续在监测一个针对中亚用户和外交实体的网络间谍活动,该活动使用的语言为俄文。我们将这一恶意活动背后的组织命名为DustSquad。
MikroTik是一家拉脱维亚公司生产的路由器和ISP无线系统,在过去几个月中,该产品一直在应对其操作系统存在的数个安全漏洞。通过最新的攻击方法,被感染的路由器可以向用户展示一个虚假的浏览器更新页面。
MuddyWater是一个相对新型的APT,在2017年进入我们的视线。根据过去的持续监测,该APT起初主要针对于伊拉克和沙特阿拉伯的政府部门。
在过去的4年中,对微软活动目录(Microsoft Active Directory)的攻击一直都是Black Hat和Defcon会议关注的一大重点。演讲者们不断讲解新的攻击角度,分享他们的发现,同时也提出检测方法和防御方案。
本文主要讲述了我参加Hackerone的漏洞赏金项目过程中,是如何发现一个漏洞的。在漏洞挖掘过程中,我连续12小时30分钟没有休息,一鼓作气地找到漏洞,实现漏洞利用,并报告了这一漏洞。
在我们的日常监测过程中,发现有两个前所未见、经过严重混淆的脚本,成功通过了基于文件的反病毒检测,并且动态地将信息窃取Payload加载到内存中。
在过去的一周里,我们一直在监测一个新型的恶意软件,我们称之为Torii。与Mirai和其他目前已知的僵尸网络不同,它使用了一些比较高级的技术。
我们在Linux内核create_elf_tables()函数中发现了一个整数溢出漏洞。因此,本地攻击者可以借助SUID-root二进制文件在64位系统上进行漏洞利用,从而获得完整Root权限。
目前,有很多可以使用的安全工具,包括SysInternals Sysmon和审计模式下的Windows Defender Application Control。管理员应该重点关注存在已知漏洞利用方式的驱动程序或不常见的驱动程序。
在本文中,首先将会介绍研究过程,我们的这一研究从红蓝对抗中演变而来。随后,针对目前最新的攻击技术,将讨论几种内核模式威胁的防御方法。
加载更多
勋章成就
稿费总计 25120
发表文章 130
参与讨论 9
关注
4
粉丝
20