【知识】11月17日 - 每日安全知识热点

热点概要：美国政府发现朝鲜政府指使的恶意网络活动HIDDEN COBRA中的远控工具: FALLCHILL、卡巴斯基对美国2014年9月“方程式”恶意软件检测事件调查报告、AngelaRoot：一加手机刷入SuperSU的app、Cisco IOS的shellcode生成工具、WMI repositories取证脚本、对ShadownBrokers放出的exploit——epichero的分析

资讯类：

卡巴斯基对2014年9月"方程式"恶意软件检测事件调查报告

https://securelist.com/investigation-report-for-the-september-2014-equation-malware-detection-incident-in-the-us/83210/

美国国土安全部和联邦调查局（FBI）联合研究结果：发现朝鲜政府指使的恶意网络活动HIDDEN COBRA中的远控工具: FALLCHILL

https://www.us-cert.gov/ncas/alerts/TA17-318A 

https://www.us-cert.gov/HIDDEN-COBRA-North-Korean-Malicious-Cyber-Activity 

hash:

0a118eb23399000d148186b9079fa59caf4c3faa7e7a8f91533e467ac9b6ff41

a606716355035d4a1ea0b15f3bee30aad41a2c32df28c2d468eafd18361d60d6

还记得前天一加手机的疑似后门吗？有网友写出了不解锁bootloader的情况下刷入SuperSU的方案

AngelaRoot：一加手机刷入SuperSU的app

源码：https://github.com/sirmordred/AngelaRoot 

apk下载：http://www.mediafire.com/file/nm7x9zitvvzfuy5/AngelaRootV4.apk 

Oracle发布‘JoltandBleed’ 漏洞的紧急补丁（包含五个CVE）

https://threatpost.com/oracle-issues-emergency-patches-for-joltandbleed-vulnerabilities/128922/ 

技术类：

Cobalt Strike External C2服务器web/websocket信道的库

https://github.com/ryhanson/ExternalC2 

向RDP服务器上传文件的工具

https://cornerpirate.com/2017/11/14/uploading-files-to-rdp-when-that-is-restricted/ 

https://github.com/cornerpirate/rdpupload 

9.9.9.9：去中心化的安全（屏蔽已知的恶意域名）免费DNS服务

https://www.quad9.net 

Cisco IOS的shellcode生成工具（C语言实现）

https://github.com/embedi/tcl_shellcode 

线下盗窃和网络犯罪结合：售卖盗窃苹果设备的非法业务

http://blog.trendmicro.com/trendlabs-security-intelligence/physical-theft-meets-cybercrime-illicit-business-selling-stolen-apple-devices/ 

CVE-2017-16666：Xplico 远程代码执行 

https://pentest.blog/advisory-xplico-unauthenticated-remote-code-execution-cve-2017-16666/ 

Securing your Empire C2 with Apache mod_rewrite

https://thevivi.net/2017/11/03/securing-your-empire-c2-with-apache-mod_rewrite/ 

WMI repositories取证脚本

https://github.com/davidpany/WMI_Forensics 

对ShadownBrokers放出的exploit——epichero的分析

http://blog.infobytesec.com/2017/05/nsa-shadowbrokers-leak-analyzing.html 

epichero地址：

https://github.com/x0rz/EQGRP/tree/33810162273edda807363237ef7e7c5ece3e4100/Linux/bin/epichero 

PHP本地文件包含漏洞和远程代码执行漏洞的总结

https://rawsec.ml/en/local-file-inclusion-remote-code-execution-vulnerability/ 

Drawing the Stack：通过一个简单的C代码对照汇编讲解栈

https://0x00sec.org/t/drawing-the-stack/4363 

聚焦OSX系统的Spotlight

https://blog.doyensec.com/2017/11/15/osx-spotlight.html 

 D-Link DIR605L <=2.08 Denial of Service via HTTP GET (CVE-2017-9675)

https://cxsecurity.com/issue/WLB-2017110093