360网络安全周报第171期

安全资讯

推特下架超过14万违反隐私政策的APP;Google更新了Play商店的开发者政策页面,禁止开发者在APP中加入挖矿代码;新的Android P将包括一些安全性改进。
攻防最前线:银行木马Emotet已演变为网络威胁分销商;Neil Robertson赢得了2018/2019赛季的第一个冠军头衔;印度首款基于RISC-V的芯片就在这里:Shakti处理器上的Linux启动。
爱达荷监狱的工作人员发现364名囚犯利用漏洞修改了他们的JPay账户余额。目前此消息已被证实,漏洞也被确认,但未修复前不会提供更多的细节。
BitPaymer勒索软件感染迫使阿拉斯加城镇使用打字机一周;使用元数据对社交媒体用户进行识别和混淆;加密挖矿工具PowerGhost具有蠕虫传播机制;NCSC:网络空间中的对外经济间谍活动。
问卷收集的高校学生数据被贩卖给第三方;Steam因游戏恶意挖坑,封禁了Abstractism开发者;从抗D、密钥到调查审计,谷歌发布多款最新云安全工具。
社会工程攻击:是什么让你易受影响?;IBM安全公告:API Connect Developer Portal受到多个PHP漏洞的影响;通过Node.js反序列化攻击node.js服务器;在python中执行系统命令的技巧。
趋势科技最近检测到了一场目的在于传播FlawedAmmy RAT(远程访问木马)的垃圾邮件运动,而这个RAT之前被Necurs僵尸网络作为其最终有效载荷安装在与银行和POS相关的用户域下的bot(“肉鸡”)上。
研究人员发现,攻击者更改 MikroTik 路由器配置,将 Coinhive 浏览器密币挖掘脚本注入某段用户web 流量中,从而发动大规模的密币劫持活动。

安全知识

在针对乌克兰的攻击活动中FireEye发现了FELIXROOT后门这款恶意载荷,并将其反馈给我们的情报感知客户。该攻击活动使用了一些恶意的乌克兰银行文档,其中包含一个宏,用来下载FELIXROOT载荷并将其投递给攻击目标。
本文从技术角度大致介绍并分析了macOS 10.13中的CoreAnalytics机制,同时也介绍了如何将这类信息解析为更容易理解的格式,帮助调查人员分析取证。
越南的ctf比赛的web部分的题目,整体而言这个比赛的web部分的题目偏中等难度,还是比较适合新手的一次练手,部分题目也有一定的新意。这里给出部分题目的writeup。
本文发掘了默认配置可能存在问题和一些容易触发漏洞的php函数。
近年来,互联网金融借贷平台大量涌现,不少网贷平台借款门槛低、放款快速,吸引了大批借款用户,其中不乏一些用户并没有还款能力;同时,有的平台还通过一些规则和条款,让用户的借款“利滚利”最后无法偿还。
Caja是Google的一个能对html和javascript做XSS过滤的工具,2018年3月笔者发现并向谷歌提交了一个Caja的XSS漏洞。到5月份的时候,这个XSS问题已经被修复,不过我发现谷歌某站点用的是没有打补丁的Caja。
恰逢暑假,听说长亭科技出题,于是尝试了一下,写下部分writeup。
Linux 内核在具有 setgid 权限的目录中创建文件时处理不当,导致可以创建具有 setgid 权限的空文件,随后通过巧妙利用系统调用可以随意更改文件内容,从而构造出具有 setgid 权限的可执行文件,实现越权。
距离上一次讲Lua程序逆向已经有一段时间了,这一次我们书接上回,继续开启Lua程序逆向系列之旅。
CarLinkBT移动应用通过蓝牙低功耗(BLE)协议与Carlink ASCLBT远程启动模块通信。为了准确理解移动应用如何控制远程启动模块,我们从APKPure.com上下载了CarLinkBT安卓APK安装文件进行进一步分析。
本文将会在介绍虚拟货币相关知识点后,针对偷渡漏洞及后偷渡时代的盗币方式,模拟复现盗币的实际流程,对攻击成功的关键点进行分析。
在这篇博文中,我将结合 CVE-2018-3055 和 CVE-2018-3085 来破坏VirtualBox中启用了3D加速的虚拟机。这两个漏洞都已在VirtualBox最新的5.2.16版本中被修复。
今天做到一题道来自百度杯十二月第四场的ctf题,题目名字叫blog 进阶篇,当时没做出来,看了writeup才知道竟然还有这种骚操作来上传文件进行包含。
Emotet是2014年发现的一种银行木马,之后研究人员发现了大量的Emotet垃圾邮件活动,使用多种钓鱼方法诱使用户下载和加载恶意payload,主要使用恶意Word文档传播。
前几天跟了一下有关cve-2018-14421,seacms最新版后台getshell,发现整个漏洞利用的核心,是绕过了一个黑名单过滤,后续发现很多地方都使用了这个函数,又发现了一条可以利用的攻击链,这里简单分析一下。
上次说完航空公司信息泄露后,没想到清华计算机教授也惨遭此难。在评论区有小伙伴透露说航空公司只是在背锅,那么在这迷雾重重的背后到底是在给谁背锅呢?又是谁给黑产打开了大门呢?
这是一篇关于将回车符和换行符注入调用内部 API的帖子。一年前我在GitHub上写了这篇文章的要点,但GitHub不是特别适合发布博客文章。你现在所看到的这 篇文章我添加了更多细节,所以它不是是直接复制粘贴的。
网上论坛、社区有很多“陷网贷催收如何自救”“怎么快速清账”等问题下面,各种帮忙“上岸”或者清账的所谓网贷中介,对急于“上岸”的债务人,可谓是“救命的稻草”让人想紧紧抓住,但其实清账中介并没有表面那么“善意”。
加密货币基于使用公钥和私钥的非对称加密。但攻击者并不总是想要受害者的私钥——其目标通常是让受害者将自己的资金转移到诈骗者账户中。让我们慢慢道来。
日前收到一封带附件的邮件,该附件没有VT的上传记录,在自己搭的沙箱里测试,显示超时,而且虚拟机动态行为监测有异常。所以决定对样本进行分析。
Capture the Ether是一款在破解智能合约的过程中学习其安全性的游戏,跟ethernaut也类似,个人感觉质量非常高,比其ethernaut更加贴近实战。
近期,360核心安全团队独家监测到“签名冒用”的新动向,颁发机构除了之前披露的Go Daddy和Starfield Secure两家,知名的老牌CA厂商赛门铁克、Verisign和DigiCert也相继沦陷。

安全活动

谷安学院于7月27日-8月31日面向全国计算机、信息安全、网络空间安全等相关专业的大三大四及应往届毕业生、从业者和爱好者,举行网络安全基础知识大赛。
网络安全为人民,网络安全靠人民。在公安部和国家密码管理局的支持下,永信至诚主办,阿里、百度、腾讯、360、中科院信工所、清华大学参与协办的“网鼎杯2018”网络安全竞赛活动正式开启!
KCon 黑客大会,知道创宇出品,追求干货、有趣的黑客大会;中国网络安全圈最年轻、最具活力与影响力的前沿网络安全攻防技术交流平台。
何以解暑,唯有挖洞~JSRC夏日关怀季,联名礼品送不停~送什么???送钱钱!送投资!送精!舒适!送美味!
网络安全问题已经是一个全球性挑战。在国家大力培育网络安全专业人才的道路上,除了加强我国网络安全学科建设、发展网络安全人才培训教育之外,也要采取短训、论坛、讲座等灵活形式促进安全技术人才培养
BlackHat USA 2018即将火热开启,今年中国都入选了哪些精彩议题呢?跟安全客一起来看下吧
本书系统地介绍了当前流行的高危漏洞的攻击手段和防御方法,语言通俗易懂,举例简单明了,结合具体案例进行讲解,可以让读者身临其境,快速地了解和掌握主流的漏洞利用技术与渗透测试技巧。
近年来物联网市场呈现指数级增长态势,万物互联已成为技术发展和产业应用的必然趋势。与此同时,物联网安全事件呈爆发增长态势,安全威胁不断恶化,多国开始从战略、标准、监管等各层面提升对物联网安全的重视等级。
在这酷暑难耐的日子里,今年的七夕节又将如期到来~不要忧伤,不要发愁。。没女朋友不要紧~没事干来JJSRC挖洞啊~一个人没有什么大不了!!