360网络安全周报第172期

安全资讯

谷歌针对州政府发起的攻击引入了G Suite警报;黑客网站上出售黑客工具和现成的网页仿真页面只需2美元;Palo Alto:不明黑客利用Bisonal恶意软件攻击俄罗斯和韩国企业。
香港卫生署遭勒索软件攻击,官方称暂无资料外泄;揭秘AI识别虚假新闻背后的原理;Facebook开放了其用于下一代传输层安全协议的Fizz库。
豆瓣的一篇盗刷帖,整得人心惶惶。深夜手机里莫名发起转账,一觉醒来,发现被洗劫一空。“伪基站”再次刷屏,starry整理了这篇文章,希望能帮助大家了解这个黑产杀器......
有个卖片的小孩问我“哥哥,我只是用暑假时间卖点小资源而已,你会不会很讨厌这种行为呀?”说实话,我的心都是痛的,我从未想过我们欲要保护的未成年人竟然也是加微看片背后的推手。
Facebook开源Fizz库,用于下一代TLS协议;Python安全编程 - Part II;RSF:机器人安全评估框架。
在这篇文章中,我将介绍一种利用 Hashcat 破解 PMKID,进而破解WPA PSK(预共享密钥)密码的新技术。
这边给大家介绍一款可在本地使用的代码安全扫描插件,方便在开发阶段自动化安全检查,降低漏洞修复时间和减少漏洞出现的概率。

安全知识

本CSZQ最近对CPU相关漏洞感兴趣,于是深入研究了下CVE-2018-3639也就是Spectre4(幽灵4),有不对的地方欢迎指正。
这篇文章是内网渗透之边缘ob,因为网络原因很多东西都受限制,今天在这起一个抛转引玉的作用,有什么不足之处还请大佬们多多关照。
Unit42分析了针对中东政府机构的新型文件类型的攻击行为, 此次攻击由未公布的威胁组织DarkHydrus执行。与先前攻击有所不同,此次钓鱼的电子邮件中附件为有密码保护的RAR压缩包,解压后可发现恶意web查询文件(.iqy)。
这是capture the ether的write up 的另一部分,Math部分的writeup见我的上一篇文章。
Office XML(.xml)文档可以通过SMB调用远程XSL样式表。如果远程XSL样式表位于攻击者控制的服务器,则可获取被攻击用户的net-NTLM身份验证哈希值(质询/响应消息)。
网上招聘刷单、打字员、快递单录入员等的兼职广告极具诱惑性,虚假兼职类诈骗无疑是网络诈骗高发类型之一。2018年上半年,360手机先赔接到的网络诈骗案件举报数量中,虚假兼职类诈骗占比13.3%,涉案总金额高达145.4万元。
本报告是360威胁情报中心结合公开的威胁情报和内部情报数据,针对2018年上半年高级威胁事件相关的分析和总结,并对近半年的APT攻击活动所呈现的态势进行分析。
在一系列的攻击活动中,360威胁情报中心发现该团伙的C2服务器统一使用8220号端口,因此将该团伙命名为“8220挖矿团伙”,并在后续的分析中以此代号对该团伙进行相关分析。
MP4v2是一个读取、创建、编辑MP4媒体文件的开源库。我们对这个库进行了漏洞挖掘,目前为止已经发现并提交了5个CVE。在这篇文章中,我们将依次对这些漏洞的成因进行分析。
这篇文章旨在更详细地讨论这种attack vector(攻击向量),提升大家对它的认知深度,本研究中确认问题的灵感来源于AlvaroMuñoz和Oleksandr Mirosh撰写的白皮书, Friday the 13th JSON Attacks8。
Solidity缺陷易使合约状态失控的问题,其实就是 Unintialised Storage Pointers(未初始化的存储指针)的安全问题,EVM中会将数据存储为 storage 或 memory ,在函数中局部变量的默认类型取决于它们本身的类型。
攻击者滥用Microsoft Windows内置程序进行网络钓鱼,是因为相对于附加或嵌入恶意软件,这种战术更难以识别和检测。我们了解到的一些Windows系统种被滥用的内置程序包括Certutil, Schtasks, Bitsadmin和MpCmdRun。
asset是EOS官方头文件中提供的用来代表货币资产时,由于官方代码的bug,导致其中的溢出检测无效化。造成的结果是,如果开发者在智能合约中使用了asset乘法运算,则存在发生溢出的风险。
经过深入分析,作者得出了原始LokiBot样本已被第三方组织修改的结论。目前,这个组织正在售卖此变种病毒,并且此变种病毒在多个恶意活动中被利用。
今年是360无线电安全研究院第四次登上世界顶级的安全会议Black Hat,继4月份的HITB阿姆斯特丹站,天马安全团队的柴坤哲、曹鸿健,王永涛带来的GhostTunnel再次入选了以“议题审核严苛”著名的 Black Hat USA 2018。
在本文中,我们假设以太坊网络、网关以及Augur网关都为可信单元,并且处于正常运行状态。本文攻击的是链条的最后一个环节,即用户端的浏览器,最终实现将任意代码注入Augur UI中。
反序列化漏洞一直在Java,PHP,中间件等层出不断,并且每次的爆发都能对互联网安全造成重大安全威胁。今天和大家一块分析一下2017年爆发的Typecho反序列化漏洞,希望各位大佬轻拍。
最近在seabug上浏览漏洞,发现metinfo爆出了很多危害很大的漏洞,然后看了一下cve列表,竟然还有这么多,既然这样那就开始跟踪学习起来。
CTF题目--极限利用,根据代码,我们要满足两个条件:首先长度不能大于40,其次不能包含大小写字母,数字。
Sophos实验室发现了一次恶意的软件分发活动,该活动的主要行为是:将恶意程序Red Alert2.0(红色警报)木马伪装成为知名应用,通过网页的广告进行传播分发以窃取银行凭证。
议题主要内容包含了Hyper-V的整体架构,通过讲解Hyper-V的各个组件提取攻击面,最后又分析了五个相关漏洞,包括DoS、信息泄露、和任意内存读写,其中任意内存读写漏洞获得了微软Hyper-V的最高奖金150000$。

安全活动

中国互联网安全大会,简称ISC(China Internet Security Conference),自2013年首次举办至今,中国互联网安全大 会已成功举办五届,已成为亚太地区规格最高、规模最大、影响力最为深远的安全盛会。
今夏又一大盛会不容错过!作为国内网络安全各界技术和业务交流的重要桥梁和纽带,由国家计算机网络应急技术处理协调中心主办的第15届中国网络安全年会将于2018年8月14日至8月16日在北京国家会议中心举办。
今年在美国拉斯维加斯的 DEFCON 26 已经结束,安全客为大家第一时间带来了 DEFCON 26 议题的PPT下载链接,供大家参考学习~
DSRC七夕活动!和好基友一起来挖洞,不止送口红,还有额外奖金哟~