360网络安全周报第174期

安全资讯

前NSA黑客证明了恶意软件可以轻易绕过macOS用户警告;威胁清单:电信行业受到高级恶意软件的困扰;新的英特尔芯片缺陷“Foreshadow”攻击SGX技术以提取敏感数据。
还有不到两周的时间,快乐的暑假就要结束了。幼儿园、小学、初中、高中、大学,都将迎来开学的日子。与此同时,黑产贪婪的魔爪,早已饥渴难耐,张开獠牙,静候即将登场的“金九银十”……
上周,在美国的BlackHat会议上宣布了一种针对PHP应用程序的新漏洞利用方式。你可以在这篇文章中了解到它。
微软VBScirpt引擎中的0day漏洞遭Darkhotel APT利用,而中国是主要的攻击目标之一。
因“提供虚假材料谋取中标”被列入不良名单,中信国安一年内禁止参加政府采购;加拿大的主要互联网服务提供商(ISP)受到最近解决的SOLEO IP中继服务中的本地文件泄露缺陷的影响。
不知道你们有没有这样的体验,微博上老是莫名其妙被关注一堆人,曾经,我们都以为是微博的锅,大家都说渣浪真的过分,有钱就能为所欲为吗?
记录一次从《延禧攻略》扯出微信灰色产业链的事件;针对韩国企业的供应链攻击;卡巴斯基揭露针对墨西哥用户的复杂恶意活动;FireEye已经确定了一项似乎来自伊朗的可疑影响行动。
不仅支持直接搜索你想要的安全类开源项目,还有安全类热门项目的榜单。GitHub上哪个项目近期上升的比较快?时下哪些项目比较火?快来试试吧~
本周一,由法国软件公司 Containous 开发并管理的一款非常流行的开源反向代理和负载平衡产品 Traefik 修复了一个严重的问题 (CVE-2018-15598)。在特定条件下,该问题可泄露在云服务器上的公司的 TLS 证书密钥。
Google Project Zero安全研究员Tavis Ormandy公布了新发现的Ghostscript漏洞的细节信息。Ghostscript是Adobe PostScript和PDF的解释语言,目前广泛应用在各类应用程序中(例如ImageMagick、Evince、GIMP、PDF阅读器等)。
CVE-2018-11776/S2-057,Struts2出现安全漏洞,可能会导致远程代码执行。
黑客利用公有云服务的特性来渗透企业网络;犯罪分子声称他们窃取了2万条英国连锁药房的顾客数据;微软声称俄罗斯黑客将继续影响2018年美国中期选举。
Android研究人员称, Anubis是一种以土耳其用户为主要目标,窃取凭证的恶意软件。在过去的几个月中,该恶意软件家族已经成功渗透到谷歌应用商店。
日前,360互联网安全中心追踪发现了一起路由器网络劫持的案例,经分析发现,始作俑者竟是网友家里的路由器。
2018 ISC互联网安全大会新闻发布会在京举行;侵犯公民个人信息形成黑灰产业链,警方两年查获超1400亿条;Lazarus使用虚假安装程序和macOS恶意软件进行加密货币交易。

安全知识

近日,360互联网安全中心捕捉到一例“TrickBot”银行木马新变种。相比较过去出现过的“TrickBot”银行木马,该新变种攻击过程中无任何文件落地,包括载荷下载、窃密、屏幕截图在内的所用功能都由一段PowerShell命令完成。
本文将从一笔零手续费交易谈起,模拟复现盗币的实际流程,对拾荒攻击成功的关键点进行分析。
在分析的已经有的cve的过程中,发现了zzcms 8.3对比之前版本的功能上改进,于是顺便跟进看一下,有没有什么问题,果然发现了问题。
本片文章总结下在python 的环境下的执行系统命令的方式,本文Python版本为2.7,Python3 不是很熟,因为很多好的工具都是基于Python2的,比如Impacket,Empire(flask),所以我也很少用Python3 写东西。
很早就有深入分析学习一款源代码审计工具的想法,在查找rips源码分析相关资料时,发现相关的学习分析资料较少,于是选择rips作为该系列文章的分析对象,没有最新版的rips的源码,因此选取的rips源码为已公开的版本。
本文中所提到的几个问题其实是来自于我们日常工作中实际面临的问题以及实验室内部的几次讨论,研究发现机器学习在自动化RDP版本和shift后门检测方面有一定的应用场景,能帮助我们解决一些实际问题。
之前也算是负责一个渗透项目,基本上都是MSSQL的服务器,这里写一下当时的渗透过程中用到的一些技巧之类的吧,各路大佬轻喷。
本报告由深圳市永安在线科技有限公司(以下简称为威胁猎人)出品,主要阅读人群为业务风控、安全运营、审计稽查相关部门的负责人、工程师及业务人员。本报告中所涉及数据及分析结果主要针对短视频行业业务。
最近在看密码学的题目,一直听说过Z3的强大,今天终于体会了一次,于是有了这篇文章记录一下。
在今年的Black Hat USA Arsenal 和 DEFCON 26中,滴滴出行安全产品与技术部的王宇受邀参加Black Hat USA Arsenal和DEFCON 26。
在Blackhat2018,来自Secarma的安全研究员Sam Thomas讲述了一种攻击PHP应用的新方式,利用这种方法可以在不使用unserialize()函数的情况下触发PHP反序列化漏洞。
UEditor是由百度WEB前端研发部开发的所见即所得的开源富文本编辑器,具有轻量、可定制、用户体验优秀等特点 ,被广大WEB应用程序所使用;本次爆出的高危漏洞属于.NET版本,其它的版本暂时不受影响。
8 月 21 号,Tavis Ormandy 通过公开邮件列表,再次指出 ghostscript 的安全沙箱可以被绕过,通过构造恶意的图片内容,可造成命令执行。
2018年8月23日,Apache Strust2发布最新安全公告,Apache Struts2 存在远程代码执行的高危漏洞,该漏洞由Semmle Security Research team的安全研究员汇报,漏洞编号为CVE-2018-11776(S2-057)。
几个月前谷歌发布了一个叫做Hangouts Chat的对标Slack的聊天工具。Hangouts既可以在浏览器用,也可以下载桌面版或者手机版。我做了一些调研,决定还是把重心放在桌面应用上。
360企业安全监测到,2018年8月21日起多地发生GlobeImposter勒索病毒事件,经过定性分析,攻击者在突破边界防御后利用黑客工具进行内网渗透并选择高价值目标服务器人工投放勒索病毒。
2018年4月,我向Apache Struts和Struts安全团队中报告了一个新的远程执行代码漏洞——CVE-2018-11776(S2-057),在做了某些配置的服务器上运行Struts,可以通过访问精心构造的URL来触发漏洞。
我在研究及研发方面非常喜欢使用Process Monitor这款工具。在开发攻击型安全工具时,我经常使用Procmon来监控这些工具如何与Windows交互以及相应的检测方法。
在知道创宇404区块链安全研究团队整理输出的《知道创宇以太坊合约审计CheckList》中,把“条件竞争问题”、“循环DoS问题”等问题统一归类为“以太坊智能合约设计缺陷问题”。我们此类问题在全网公开的智能合约代码做了扫描分析。
BlackHat上安全研究员Sam分享了议题It’s a PHP unserialization vulnerability Jim, but not as we know it,利用phar文件会以序列化的形式存储用户自定义的meta-data这一特性,拓展了反序列化漏洞攻击面。本文便介绍了这种攻击手法。
年纪轻轻学会了上网,常年网上走,就能成为“老司机”吗?根据以往的情况看,谁经常上网,谁就是网络威胁的受!害!者!尚处于年少阶段的00后虽触网较早但防骗意识严重不足,已逐渐成为了不法分子眼中的“肥肉”。
该病毒是一个可以结束大多数杀毒软件的恶意程序,病毒通过微软一个漏洞来加载驱动程序,该漏洞是内核的函数发生栈溢出导致,使得R3程序可以在0环执行任意代码,驱动加载后结束反病毒软件。
攻击者以XOML文件形式来使用序列化工作流,再结合由序列化编译器参数组成的一个XML文件,最终借助该程序执行未经签名的任意代码。本文介绍的这种绕过机制与Casey Smith之前提到的msbuild.exe绕过技术类似。
2018年6月,国外安全研究人员公开了利用Windows 10下才被引入的新文件类型“.SettingContent-ms”执行任意命令的攻击技巧,并公开了POC,而该新型攻击方式被公开后就立刻被黑客和APT组织纳入攻击武器库用于针对性攻击。
OpenSSH用户枚举漏洞(CVE-2018-15473)已经通过Github公开。尽管该漏洞不能用来生成有效的用户名列表,但依旧可以拿来枚举猜测用户名。在本文中,我们将详细分析该漏洞的利用和防范技巧。
以太坊上异常火爆的Fomo3D游戏第一轮正式结束,钱包开始为0xa169的用户最终拿走了这笔约10,469 eth的奖金,看上去只是一个好运的人买到了那张最大奖的“彩票”,可事实却是攻击者凭借着对智能合约原理的熟悉进行了一场精致的“攻击”!
tp团队对于已经停止更新的thinkphp 3系列进行了一处安全更新,经过分析,此次更新修正了由于select(),find(),delete()方法可能会传入数组类型数据产生的多个sql注入隐患。
2018年8月22日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞(S2-057/CVE-2018-11776),该漏洞由Semmle Security Research team的安全研究员Man YueMo发现。

安全活动

在工业和信息化部指导下,由中国互联网协会、中国信息通信研究院、国家工业信息安全发展研究中心联合主办的“护网杯”—2018年网络安全防护赛暨首届工业互联网安全大赛,已启动报名~
XCon安全焦点信息安全技术峰会是国内最知名、最权威、举办规模最大的信息安全会议之一,在全世界具有一定的影响力。每年夏天XCon都会如约而至,与您相约在文明古国的首都——北京。
明天,也就是9月13日。“凭云鼓浪·论道安全”云计算安全高峰论坛暨安全狗新产品发布会就要在厦门宸洲洲际酒店华丽丽地开演了!
信息安全技术日益重要,安全是生命的保障和发展的驱动力。9月8日,在上海凌空SOHO携程举办携程信息安全沙龙。
XPwn是由XCon组委会主办,北京未来安全信息技术有限公司承办的智能生活产品安全问题研究探索大会。XPwn在关注现今生活比较流行的信息领域的安全问题的同时,更加关注未来信息技术领域的安全问题。
本届峰会共两天,第一天为高峰论坛分为主论坛和分论坛,主论坛以引领安全新方向,探究安全新理念,共创安全新未来为主题,分论坛以分享技术干货,交流前沿技术,共享研究成果为主要内容;第二天闭门会议。