360网络安全周报第175期

安全资讯

T-Mobile又泄露超过200万客户数据;苹果网站安全漏洞曝光7200多万iPhone用户的PIN码;37,000 Eir消费者的个人信息由于其公司的笔记本电脑失窃而泄露。
2018年8月21日起,阿里安全钱盾反诈实验室监测到国内多地相继爆发Globerlmposter勒索病毒感染事件,以国内公共机构服务器为主要攻击对象。截止到目前,多家国内企业、政府机构、医疗机构都不同程度的受到了影响。
黑客窃取了200万T-Mobile客户的个人数据;谷歌安全研究员在新的Fortnite Android应用程序中披露了一个漏洞;谷歌安全研究员在新的Fortnite Android应用程序中披露了一个漏洞。
在今天上午的时候,一颗重磅炸弹在暗网中文论坛引爆。发帖人在帖子中出售华住旗下所有酒店的重要数据,包括其用户的姓名、手机号、身份证号、密码等敏感信息,数量达到了1.23亿条之多。
11家供应商的Android移动设备遭遇AT Commands攻击;IBM Security Proventia Network Active Bypass遭受glibc漏洞的影响;Facebook服务器漏洞允许远程命令。
新威胁演员'Rocke':一个崛起的门罗币挖矿网络;黑客锁定新的Apache Struts megavuln来挖掘加密货币;网络犯罪分子如何利用区块链隐藏自己。
本周在Twitter上有一个较为热点的讨论话题,是有关phpMyAdmin <=4.7.7版本的一个CSRF漏洞,漏洞存在于common.inc.php中,而笔者分析完后,发现这个更像是漏洞作者捡漏的一个漏洞。

安全知识

讲述暗网之前,需要先了解“深网”(Deep web)、“暗网”(Dark web) 和“黑暗网络”(Darknet) 这三个词。虽然媒体可能经常交替使用它们,但实际上它们代表着截然不同而又相关的互联网区段。
aiRcraft是RCTF-2017(CTFTIME评分24.13)中的一道pwn题, 分值为606。这道题主要涉及的知识点有:1. Double Free;2. Use After Free
在APT领域,Lazarus(拉撒路)多年以来一直都是较为知名的一个组织。除了网络间谍及网络破坏目标以外,该攻击组织也一直盯着全世界各地的银行及其他金融公司。
在APT领域,Lazarus(拉撒路)多年以来一直都是较为知名的一个组织。除了网络间谍及网络破坏目标以外,该攻击组织也一直盯着全世界各地的银行及其他金融公司。
最近以太坊也算是问题不断,多个游戏都相继被爆出了黑客攻击,首当其冲的当然还是最近比较火爆的类Fomo3d的游戏,比如last winner所遭遇的薅羊毛的攻击,虽然相关的攻击手法早在一个月前就已经有相关的披露。
荷兰第三方研究与咨询公司Newzoo去年的一份调查报告显示,全球有7.3亿部iPhone正在使用中,占全球人口的1/10,这还没算上iPad、Mac、Apple Watch等产品线限量。
最近关注到一些Node.js的漏洞,比较感兴趣的一个反序列化导致远程代码执行的漏洞,个人开发Node.js也有不短时间,决定尝试复现分析它并给出一些开发建议,遂有此文。
近年利用符号执行进行分析的论文在安全的顶会中出现较为频繁,因此,笔者在本文中将做一份总结和近期学习的知识分享。会由浅入深的从符号执行的基础讲起,再延伸到目前科技的最前沿。
8月27号有人在GitHub上公布了有关Discuz 1.5-2.5版本中后台数据库备份功能存在的命令执行漏洞的细节。本文是对该漏洞的复现与分析。
本文采用CNN深度学习算法对Cuckoo沙箱的动态行为日志进行检测和分类尝试,分别测试了二分类和多分类方法,效果还有不小提升空间,希望共同交流。
网鼎杯 第四场 部分WriteUp
本文以如何劫持(窃取)智能家居时代设备的身份“安全凭证”为出发点,调研并分析了目前国内市场的主流产品和设备交互协议,最终通过身份劫持,实现相关设备和产品的任意远程控制。
文章为KCon议题“Python动态代码审计”原作者对议题的介绍与技术分析。
本次软件供应链安全大赛,通过在限定框架范围,打开魔盒释放出一定、低害但超出早先人们认知的程序恶意,以使得人们对其不再毫无防备,从而能够前摄性的研发对应的解决之道。
因为经常需要做一些小的demo,所以掌握一个快速开发框架是十分重要的,我比较习惯使用yii2,而就在写demo的过程中,最后使用脚本自动化测试的时候,偶然间发现了不登陆竟然也可以执行逻辑代码。
本文覆盖了我最近在DefCon上的演讲:“The Mouse is Mightier than the Sword”,同时包含了一些新的技术细节,请访问此链接获取完整的演讲材料。
在学习家用路由器这本书以及看网上大佬写相关文章 的时候,总感觉有些关键细节一笔带过,有时候给我造成了很大的困扰,鉴于这个原因,我想到把自己的一些思考以及实际操作经验写出来给后来者。

安全活动

中国信息安全测评中心与360企业安全考试中心,携手打造的注册信息安全专业人员——渗透测试工程师(CISP-PTE),谷安学院作为国内首批授权培训机构,已成功举办八期CISP-PTE认证培训。
本次DEFCON GROUP 010 活动主题是《The Perilous Journey of Bits》,整体内容以一名叫做Bits的小孩的危险旅程展开,跟随Bits小朋友从硬件、终端、通讯以及云端一路遇怪打怪,经历网络世界的新奇与危险。
中国互联网安全大会,简称ISC(China Internet Security Conference),自2013年首次举办至今,中国互联网安全大 会已成功举办五届,已成为亚太地区规格最高、规模最大、影响力最为深远的安全盛会。
升级后的“360天御”,蕴含着整个品牌对于自身产品的愿景,即为用户提供每时每刻的保护,360度全方位的防御,并将于9月5日在国家会议中心举办品牌发布会。免费送2980元的ISC门票啦~
在网络信息技术高速发展的今天,信息安全变得至关重要,甚至已成为全球国际事务的重要话题。而网络安全人才短缺的问题也日益严峻,中国有8亿网民,网络安全人才的缺口高达70万到140万。
由Taas Labs主办的第二届中国无人驾驶及汽车网络安全周将于9月12-14日在北京隆重召开。以“守护未来汽车生活安全”为主题,探讨无人驾驶前沿技术,分析智能网联汽车安全威胁,展望无人驾驶汽车市场运行态势及发展机会。
中国互联网安全大会,简称ISC(China Internet Security Conference),自2013年首次举办至今,中国互联网安全大 会已成功举办五届,已成为亚太地区规格最高、规模最大、影响力最为深远的安全盛会。
本届峰会共两天,第一天为高峰论坛分为主论坛和分论坛,主论坛以引领安全新方向,探究安全新理念,共创安全新未来为主题,分论坛以分享技术干货,交流前沿技术,共享研究成果为主要内容;第二天闭门会议。