360网络安全周报第169期

安全资讯

暗网犯罪分子出售MQ-9收割者无人机文件;针对性很强的恶意软件活动正在对印度的13款iPhone进行间谍活动;FBI:2013年10月至2018年5月期间BEC / EAC总体亏损达120亿美元。
当2018年世界杯第一场比赛的哨声吹响的时候,它不仅仅标志着这项让全世界足球球迷激动不已的赛事的开始,同时也为意图利用这一备受期待的赛事为自己牟取利益的攻击者亮起了绿灯。
FortiGuard实验室发现了一份恶意文件,文件名称为“Draft PH-US Dialogue on Cyber Security.doc”。这份文件旨在利用漏洞CVE-2017-11882,一旦成功,它会在受害者的%temp%目录中放入一个恶意软件。
如何安装用于分析恶意软件的VM;恶意软件ESLint窃取软件注册表登录标记;HackerOne漏洞赏金计划在2017年支付了1100万美元;Sextortion使用用户泄露的真实密码进行勒索。
随着Buhtrap恶意软件源代码的泄露,Minerva的研究团队公布了其中的一些亮点,并分享了他们对这一威胁和泄露后果的见解。
在2018-6-29,北京时间的上午1:00,PeckShield的研究人员再次确认了LBank移动应用中的traderion漏洞——这是排名前十的加密货币交易之一。
销售滴滴“抢单神器”帮助司机作弊,5人获刑;FBI表示,电子邮件泄密造成的诈骗已有125亿美元规模;江苏淮安破获DDoS接单案,流量攻击已形成黑色产业链。
在这篇文章中,我们将看到Magniber的一些值得注意的变化。它的源代码现在更加精细,利用了各种混淆技术,不再依赖于命令和控制服务器或硬编码密钥来实现其加密例程。
这些电子邮件据称是澳大利亚跨国公司MYOB的发票,该公司为中小企业提供税务,会计和其他商业服务软件。但实际上,这些信件包含一个下载DanaBot银行木马的dropper文件,该木马下载窃取私密和敏感信息。
黑客利用机器人的漏洞监控受害者;你的税收信息在被泄露;微软为漏洞挖掘人员最高奖赏10万美元;间谍软件攻击乌克兰政府;思客在Policy Suite 和 SD-WAN产品中修复多个关键漏洞。

安全知识

本文将介绍如何搭建自己的蜜罐(dionaea)。我想说的是,我们大多数人都喜欢逆向工程二进制文件。同时,我们中的许多人都对恶意软件很着迷。那么,为什么不把它们和一些正在被开发利用的恶意软件结合起来呢?
本报告作为最新一期,重点关注2018年第二季度所观察到的相关活动。
在这篇文章中,我描述了为什么廉价的磁条阅读器不能读取所有的磁条,只能读取信用卡和借记卡。
近日,腾讯云发布2018上半年安全专题系列研究报告,该系列报告围绕云上用户最常遭遇的安全威胁展开,让企业用户与其他用户在应对攻击时有迹可循,并为其提供可靠的安全指南。
arp欺骗也是很古老的渗透手段了,主要起着信息收集的作用,比如你可以利用欺骗获取对方的流量,从流量分析你认为重要的信息,例如某某账号密码。或是利用Arp攻击,切断局域网内某一用户的网络访问。
在渗透测试的时候各种PHP版的一句话木马已经琳琅满目,而.NET平台下的一句话木马则百年不变。
近期360烽火实验室在监测黄金鼠组织(APT-C-27)的攻击活动过程中,发现其新版本的移动端手机攻击样本首次具备了针对PC的RAT诱导跨越攻击,开启了移动端手机跨越攻击的“潘多拉魔盒”。
我们决定研究一下VR头戴式设备——也就是VR眼镜,以了解一个网络犯罪分子可以如何玩它,以及可能会对设备主人造成什么伤害。
在研究地下黑客市场时,McAfee高级威胁研究小组发现一个与大型国际机场的安全和楼宇自动化系统有关的权限仅需10美元。
winrm.vbs(System32中的Windows签名脚本)能够使用和执行攻击者控制的XSL,而XSL不受“enlightened script host”的限制,导致任意的、无签名的代码执行。
本文介绍一个场景,在这个场景中,我们与IR的一个合作伙伴一起进行搜索,以阻止正在进行的攻击。我还将分享检测策略,以发现在此事件中使用的攻击策略,以及越过陈旧的补丁管理建议的预防策略。
如果应用程序允许用户执行上传文件或者提交POST请求的操作,很可能受到XXE攻击。虽然说每天都有大量该漏洞被检测到,但Gardien Virtuel在去年的几次Web应用程序渗透测试中就已经能够利用该漏洞。
本文通过提供此漏洞的概述来帮助您进行风险评估和了解漏洞,并提供读者如何进行防护等详细信息。
在这篇文章中,我们将开始介绍如何使用基本的IDAPython技术来检测危险的代码,它们常常导致堆栈缓冲区溢出。
7月18日,Oracle官方发布了季度补丁更新,其中修复了一个 Oracle WebLogic Server 远程代码执行漏洞CVE-2018-2893,360-CERT 对此漏洞进行了相关分析。目前相关PoC已经公开,建议相关用户尽快进行评估升级。
上篇介绍了一般处理程序(ashx)的工作原理以及实现一句话木马的过程,今天接着介绍Web Service程序 (asmx)下的工作原理和如何实现一句话木马的介绍。
本文的目的是讨论将payload部署到目标进程的内存空间以便执行。我们可以使用传统的Win32 API来完成这个任务,有些读者可能已经对此很熟悉了,但是使用非常规方法也有可能具有创造性。
WebLogic任意文件上传漏洞复现与分析 - CVE-2018-2894 影响版本:10.3.6.0, 12.1.3.0, 12.2.1.2, 12.2.1.3
Jsonp(JSON with Padding) 是 json 的一种”使用模式”,可以让网页从别的域名(网站)那获取资料,即跨域读取数据。
“Golden Cup”是一个会在受害者设备上安装间谍软件的恶意应用程序。它通过Google Play发布,并“提供”直播和对所有世界杯记录的搜索功能。
自2016年以来,我们一直在研究符号执行和二进制反混淆。上周,我们在DIMVA 2018上发布了这项研究的一部分,重点是关于攻击虚拟化的软件保护,特别是当哈希函数被虚拟化以保护完整性检查、识别等。
360 Redteam发现某区块链项目API使用了Play Framework框架进行构建网站,我们对该框架进行审计后发现一处通用型漏洞,该框架处理静态文件资源路径不当,在Windows环境下可导致任意文件读取漏洞。
在最近的Web应用程序测试中,我发现了Security Assertion Markup Language(SAML)实现中的一个漏洞。这个漏洞涉及SAML功能以及客户根据支持其客户的需求开发的自定义身份验证机制。
这篇文章介绍了一种又快又猥琐的方法,可以在Windows Scripting Host 中禁用AMSI,而不需要管理员权限或者修改注册表密钥/系统状态(比如Defender之类AV都会监控这些修改)。

安全活动

安全客2018年季刊第二季发布,留言纷涌而至,礼物抽奖火爆进行中,今天让我们再来看看老读者都是怎么说的,听说文末还有福利哦!
《季刊1101》是由360攻防实验室安全客制作的安全圈首档精美礼物竞演展示类礼物秀,大秀包含安全圈53家安全平台、67家安全公司、21家安全媒体共计1101位练习礼物。
距离上次评分规则的更新已有一年,这一年来,我们将所有收集到的来自白帽子的反馈、争议进行整理分析,不断求取白帽子和同行意见,反复修改。今天,规则6.0终于出炉啦!
本次大赛,长亭科技官方团队全球首创CTF夺旗赛与Pwn赛相结合的全新赛制,基于真实世界软件精心设计,突破了传统CTF赛制的局限。全新思路,权威赛题,高额奖金,极客盛宴。Real World CTF,就等你来!