360网络安全周报第166期

安全资讯

TLBleed:利用CPU漏洞可提取256位的签名密钥,成功率高达99.8%;WebAssembly的变革可能会使浏览器中Meltdown和Spectre补丁失效;Layer 8 Conference关于社会工程学的议题视频。
重读Bruce Schneier《事件响应的前景》;去的每个ICO,平均有五个安全漏洞;Oracle针对最近发现的Spectre和Meltdown问题发布安全补丁
Wi-Fi新标准WPA3发布;(RHSA-2018:2001) qemu-kvm安全更新;(RHSA-2018:1965) 内核安全更新及bug修复;Checking In Halfway: McAfee实验室2018威胁预测。
欺骗合法的移动应用程序是一种常见的网络犯罪模式,它们依赖于用户的信任来窃取信息或交付有效载荷。网络犯罪分子通常使用第三方应用程序市场来分发他们的恶意应用程序。
俄罗斯警方拘留了网络犯罪分子,他们入侵了某大型网上商店的70万账户;卫星照片显示,在金正恩答应特朗普完全无核化后,朝鲜正在升级一座重要的核电厂;针对印度和西藏的两项网络间谍活动可能是中国人干的。
Android P中基于编译器的安全缓解措施;打开QQ浏览器导致vivo nex手机摄像头升降,官方回应存在该现象但并不会开启摄像头采集隐私;ProtonMail受到DDOS攻击。
这一切都始于一个垃圾邮件,它带有着一个Android应用程序附件。垃圾邮件模糊地声称,该附件是一个名为SilverBox 寻找匿名性交朋友的约会应用程序。
在连接到物联网(IoT)的设备上进行加密货币挖掘的实用性在计算能力方面通常是有问题的。尽管如此,我们还是看到一些犯罪分子将联网设备作为了目标,甚至隐秘地提供了加密货币恶意软件。
回顾了在过去的一周韩国研究人员讨论和审查过的一些文件。一份恶意软件连接到Lazarus,据报道是朝鲜的攻击组织。这份恶意文件似乎瞄准了近期G20金融峰会的成员,该峰会试图寻求最富裕国家之间经济政策的协调。
近日RIPS团队公开了一个Wordpress的任意文件删除漏洞(需要登录),目前该漏洞仍然未修复(2018年06月27日),该漏洞影响 Wordpress 最新版 4.9.6.本文我们将结合 VulnSpy 的在线 WordPress 环境来演示该漏洞的利用。

安全知识

安全研究员Wojciech在上周发表的一篇文章中指出,他在偶然间得到了一个Betabot木马的新变种样本,经过了多层的伪装和隐藏。作为初始向量的恶意Office文档试图利用一个17年前的漏洞。
当年,APT这个词刚出现的时候震慑了一大群安全同学,“APT(Advanced Persistent Threat)是指高级持续性威胁”,这个专业定义让大家都无比崇拜。
这份实践来自于学习-解密路由器漏洞的笔记和总结。主要用来回顾和巩固整个过程,整个过程里面不是非常顺利,主要的问题点在于对于溢出函数的地址的确定。
WannaMine是个“无文件”僵尸网络,在入侵过程中无任何文件落地,仅仅依靠WMI类属性存储ShellCode,并通过“永恒之蓝”漏洞攻击武器以及“Mimikatz+WMIExec”攻击组件进行横向渗透。
在2017年的ZeroNights会议上,我做了一个关于“各种语言的反序列化漏洞”的演讲。关于我的演讲,我引用了一篇关于两个Node.js序列化包的文章。
在本文中,我们将学习“通过利用Cron jobs实现特权升级”,以获得远程主机的root访问权限,并研究一个糟糕的Cron Job实施如何导致特权升级。
2018年3月,我们发表了关于Olympic Destroyer的相关研究结果,这个攻击组织的目标是2018年韩国平昌冬奥会的主办方、供应商以及合作伙伴。Olympic Destroyer是借助破坏型网络蠕虫传播的网络破坏攻击威胁。
早在2010年,FakePlayer是第一个被发现的针对Android系统的恶意样本,它会在用户不知情的情况下发送短信。而8年后的今天,短信诈骗仍然是一种流行的方式来为恶意软件开发者带来收益。
云鼎实验室发现黑客开始不断使用一些隐藏手段去隐藏挖矿进程而使它获得更久存活,今天分析的内容是我们过去一个月内捕获的一起入侵挖矿事件。
2018年5月某一天,360 MeshFire Team在日常安全运营中发现了两者之间的偶发关联,也发现了攻击者在两个热门话题之间新攻击手法的尝试。
NU1L师傅写的wp有点糙,虽然这个比赛web狗饱受打击,我就抓紧时间复现了下,学到了不少东西。
6月12日,微软发布了一份包含此漏洞修复程序的公告,并将其标识为CVE-2018-1040。
2018年5月,微软修补了一个有趣的漏洞(CVE-2018-0824),漏洞由微软安全响应中心 (MSRC)报道:当它无法正确处理序列化对象时,“Microsoft COM for Windows”中存在一个远程代码执行漏洞。
之前在文中我拆解了一个Emotet Downloader,它使用宏和Powershell命令从受感染的网站下载Emotet。虽然他们已经修改了他们的下载器的工作方式,幸运的是它已经上传到VirusBay。
Ian Beer在议题中介绍了如何针对零售版的iOS设备开发一个内核调试器。内容会涵盖ARM64底层在XNU中的异常处理,KDP远程调试的协议以及如何在不修改内核代码的前提下打造一个支持设置断点的本地内核调试器。
Xerub介绍了苹果的安全启动机制,着重介绍了iBoot,并且回顾了在老版本的iOS系统中曾经存在的一个iBoot漏洞,分析了漏洞发现、利用及相应的修补方案。
Kromtech安全中心发现了17个存储在Docker Hub整整一年的恶意docker镜像。即使在sysdig.com和fortinet.com通过GitHub和Twitter进行了多次投诉之后,网络犯罪分子仍在Docker Hub上继续扩大他们的恶意软件武器库。
本文为威胁猎人首届网络黑产攻防沙龙嘉宾——金山云安全技术总监李鸣雷带来的现场分享。他将从一个僵尸网络的发现说起,分析云时代僵尸网络的新特点,并总结在云时代云服务商抵御黑产攻击的方式。
这个bug已经在Mojave Beta中修复了,但在最新的High Sierra (10.13.5)仍然存在。一个授权的二进制文件试图加载一个由环境变量控制的不安全的外部库,这是一个逻辑错误。
360CERT监测到“njRAT”家族恶意软件的新型变种正在活跃,该木马家族使用.NET框架编写,并且本文中所讲的样本带有严重代码混淆妨碍安全人员分析。
基带漏洞最大的威胁是可以通过OTA(空中接口)利用,即通过发射加载漏洞利用代码的无线电波,从空中接口利用漏洞,在受害者无任何感知的情况下,远距离对受害者进行攻击。
5月底,一家中东新闻网站发表了一篇关于下一届上海合作组织峰会的文章。一周前,AlienVault实验室发现了一份新的针对该地区的恶意文件。
尽管漏洞利用工具包总体呈下降趋势,但网络钓鱼本身并没有下降。在这篇文章中,我们将展示在2018年第一季度(1月至3月)完成的一些有关网络钓鱼攻击,尤其是HTTPS钓鱼网址的统计结果。
本文介绍了TP-Link的TL-WA850RE无线扩展器上的多个漏洞和一个允许在TL-WA850RE上执行远程命令0day漏洞的PoC。
Olympic Destroyer是基于破坏性网络蠕虫传播的网络破坏(cyber-sabotage)攻击。在破坏开始之前,Olympic Destroyer会进行侦察并渗透到目标网络中以选择用于自我复制和自我修改的破坏性恶意软件的最佳启动板。
永恒之蓝漏洞自从2017年4月NSA黑客工具公布之后,越来越多被用于非法网络活动。从勒索病毒WannaCry、NotPetya,到挖矿病毒Powershell Miner、NrsMiner无不利用这一工具大肆活动。
近日,CNCERT发布了《开源软件代码安全缺陷分析报告——框架类软件专题》。本期报告聚焦国内外知名框架类开源软件安全开发现状,通过多款知名框架类开源软件产品的安全缺陷,评估开源项目的代码安全控制情况。
友商发布了一个威胁分析报告,我们阐述一下从我们的角度看到的情况。
我们时时可以见到程序员对着电脑沉思,这个算法不能工作,Why?又时时可以见到,这个算法能工作,Why?因此我将在「It works,why?」系列文章中,论述常见的算法和常见应用,其中的“Why”。
介绍了PHP垃圾回收(Garbage Collection)算法中的两个Use-After-Free漏洞。其中一个漏洞影响PHP 5.3以上版本,在5.6.23版本中修复。另外一个漏洞影响PHP 5.3以上版本和PHP 7所有版本,在5.6.23和7.0.8版本中修复。
由于在不经过对反序列化进行调整的前提下,我们无法触发“双递减漏洞”,因此还不能仅凭借此漏洞来实现远程代码执行。本篇文章中将继续进行探究和分析,最终得出结论,并给出完整的漏洞利用方法。
近年来,手机浏览器的安全问题一直是安全研究的焦点。大量的漏洞修补以及浏览器、操作系统层面的保护使得浏览器远程代码执行越来越难。此议题着重介绍浏览器远程执行漏洞,包括Webkit JIT漏洞,WebKit DOM漏洞等
知识图谱,是结构化的语义知识库,用于迅速描述物理世界中的概念及其相互关系,通过将数据粒度从document级别降到data级别,聚合大量知识,从而实现知识的快速响应和推理。
ptrace(2)系统调用通常与调试有关。它是本地调试器监视类Unix系统上的调试器的主要机制。这也是实现strace系统调用跟踪的常用方法。
靶机主题来自美剧《黑客军团》,这是一部传达极客精神和黑客文化的上佳作品,不同于《硅谷》的搞笑风格,这部剧的主角Eliot患有精神分裂,整部剧的情节都较为压抑,有点类似于电影《搏击俱乐部》中双重人格的斗争。
在本文中,我想给大家展示如何利用恶意U盘的一些PoC方法,这些方法可以在模拟攻击环境中进行攻击。
2018-06-14,我们注意到 Satori 的作者开始扫描收集 uc-httpd 1.0.0 设备的IP地址列表。这或许是为了针对4月公开的脆弱性 XiongMai uc-httpd 1.0.0 (CVE-2018-10088) 在做准备。
之前我们在《补天插件操作指南》中,介绍了如何在补天平台提交插件。大家的踊跃参与和热烈反响,让补天一鼓作气,接连推出本文,向大家介绍一下什么是web指纹,以及如何在补天平台提交web指纹。

安全活动

威胁情报已不是一项新的事物,它不像漏洞那样纯技术,更加丰富多彩。ASRC于2015年9月推出《阿里巴巴集团威胁情报定级标准V2.0》,自发布以来收到了来自上百名白帽的上千条情报,我们也发出了数十万的奖励。
第三届SSC安全峰会将于9月份在古都西安盛大开启!现在议题征集活动正式开始!期待您为我们带来一场精彩绝伦的视听体验!
世界杯来临之际,老板为了看球带着电视逃跑了!!!我们没有办法,拿着积分抵工资,快来挖漏洞救救孩子吧!
最能代表极客精神的DEFCON授权认证的官方GROUP—DEFCON GROUP来到了济南,这也标示着DEFCON GROUP 0531正式成立(0531为济南区号)!
哈维尔说,我们坚持一件事,并不是因为这样做了会有效果,而是坚信,这样做是对的。
2018世界杯的脚步越来越近了!小小的心是不是早已开始澎湃了!啤酒+小龙虾,看世界杯是不是会爽到爆炸!提交漏洞喜提小龙虾!
6月23日,补天&斗鱼白帽沙龙——武汉站、除了全程高能的干货议题之外、现场更有coser小姐姐进行互动抽奖,这一场突破次元壁的二次元之旅 在武汉的一家颇具特色的咖啡馆中缓缓拉开了序幕。