360网络安全周报第180期

安全资讯

Facebook数据泄露的后果;APT28集团重返欧洲和南美的秘密情报收集行动;针对易受攻击的MikroTik路由器的一种新的黑客技术使攻击者能够执行远程代码。
Google为第三方应用设置了访问Gmail数据的新规则;Facebook旗下应用被曝收集儿童信息,多个保护组织呼吁关闭;谷歌关闭Google Plus:社交迷你网络面临着数据泄露漏洞的困境。
从 2009 年 1 月比特币面世至今近 10 年的时间里, 随着它的迅猛发展, 各方都看见了基于区块链的代币和“虚拟货币”中的商机, 纷纷投入进来。在投机炒作和不确定的风险之间,“虚拟货币”可谓是走在冰与火的边缘。
网络钓鱼使用被劫持的电子邮件在回复会话里分发URSNIF;ANDRAX - Android智能手机上的渗透测试平台;serviceFu - 远程收集服务帐户凭据工具;CVE-2017-11176:一步步实现Linux内核利用;ghostscript:绕过executeonly沙盒逃逸(CVE-2018-17961)。
微软在昨日例行更新中发布了10月份的安全补丁,修复了49个安全漏洞。其中CVE-2018-8453漏洞在近日被APT组织FruityArmor用于攻击活动中,上月ZDI披露的CVE-2018-8423漏洞也被修复。
我曾深入分析过AppLocker,想从中找到绕过PowerShell约束语言模式的方法,本文介绍了我在该过程中发现的一种技术。我已将该问题反馈至微软,但对方并不想为此提供服务方案,不认为该问题满足解决标准。
我先推荐下滥用系统Token实现Windows本地提权这篇文章,里面深入介绍了包括备份和恢复权限等一系列滥用Token实现提权的技巧。本文的目标是利用这些服务,换一种方法实现提权。
2018年9月中旬,外网发布西部数码MyCloud个人NAS(网络存储器)漏洞。该漏洞存在身份验证绕过漏洞,未经身份验证的攻击者可利用此漏洞以管理员用户身份进行身份验证,而无需提供密码,从而可以完全控制My Cloud设备。
门罗币挖矿新家族「罗生门」;英美安全机构否认调查中国“间谍”芯片;谷歌 Pixel 3 搭载新CFI内核保护功能。
10 月 9号,Tavis Ormandy 通过公开邮件列表(hxxps://bugs.chromium[.]org/p/project-zero/issues/detail?id=1682) ,再次指出 ghostscript 的安全沙箱可以被绕过,通过构造恶意的图片内容,可造成任意文件读写。
据白帽汇安全研究院统计,目前发现超过30w的MikroTik路由器被植入挖矿代码,攻击者利用的是维基解密披露的CIA Vault7黑客工具Chimay Red中的winbox任意目录文件读取(CVE-2018-14847)漏洞。
空中客车赢得欧盟重大网络安全合同;关于中国供应链硬件攻击的另一个彭博故事;谷歌G Suite上线警报中心,帮助检测和降低安全威胁;警方逮捕了臭名昭着的SIM Swapper,据称他偷了1400万美元的加密货币。

安全知识

FortiGuard实验室最近发现了一些恶意流量,其C2服务器位于中国境内。恶意链接所使用的域名与日本最知名的快递服务商非常相似。根据我们的分析,创建该链接的网站属于虚假网站,并且会传播Android恶意软件。
Flare-On 2018 writeup(上)。
本文会先介绍采集设备和相应的示波器使用和通信上的一些知识,之后介绍三种进行能量轨迹采集的方法和注意事项,并对比他们的优缺点,最后说一下我在采集中的噪音控制问题。
360代码卫士团队推出“缺陷周话”系列栏目。每周针对 CWE、OWASP 等标准中的一类缺陷,结合实例和工具使用进行详细介绍,旨在为广大开发和安全人员提供代码审计的基础性标准化教程。
Flare-On 2018 writeup(下)。
从2018年9月20号开始,360Netlab Anglerfish蜜罐系统监测到互联网上有大量IP正在针对性地扫描路由器系统。
Stack Smash 技巧算是 ROP 中一种比较巧妙的利用吧,在 ctf-wiki 上也说到了这个技巧。但是看完了也感觉是懵懵懂懂的,所以这里结合例子再做一个更细致的总结,涉及到的基本知识也会比较多。
腾讯安全云鼎实验室通过部署的威胁感知系统捕获了一批挖矿样本(具有同源性),是一批可挖取门罗币(xmr)的挖矿病毒。
近日,不少网友在朋友圈中看到“识别二维码免费领取智能手环”的信息,声称仅需支付邮费就可以免费获得某知名品牌运动手环。这样的好事,是真的吗?免费赠送智能手环,是否属实?
在这一年中,和团队成员不断的探索中,进行了关于漏洞评级的模型选型,标准化,自动化计算,以及根据实际情况的小范围内测和公测,探索了一套基于DREAD模型的漏洞计算模式。
什么是网络博彩呢,其实就是一种新型的通过网络进行赌博,在这里我向大家介绍目前主流的博彩行业内幕。
9月28号著名PDF阅读器厂商福昕针对Foxit Reader和Foxit PhantomPDF发布了例行安全更新,在其安全公告上涉及了其中一个包含较多CVE编号的修补。
本期报告聚焦国内外知名机器学习、人工智能类开源软件安全开发现状,通过分析多款知名人工智能类开源软件产品的安全缺陷,评估开源项目的代码安全控制情况。360代码卫士团队为本期报告提供了技术支持。
本文主要讲述了我参加Hackerone的漏洞赏金项目过程中,是如何发现一个漏洞的。在漏洞挖掘过程中,我连续12小时30分钟没有休息,一鼓作气地找到漏洞,实现漏洞利用,并报告了这一漏洞。
本文以较短的篇幅介绍了如何滥用库文件实现本地持久化,也介绍了如何针对性寻找这类攻击特征。
这篇文章不是讨论这些理论的证明和伪随机数生成器如何应用到安全的留密码,而是想介绍一些流密码的攻击思路,这些思路经常出现在ctf的密码题中,虽说攻击手段不新鲜,但其指导意义和对思维的锻炼是一点不含糊。
TrojanDownloader(中文:文件下载者病毒)主要通过游戏外挂等方式传播。是一款比较早期的病毒样本,已知最早的入库时间是在2008年,其本身危害性不高,但是由于他的作用,其危害性体现在其所下载的恶意代码上。
Sysmon的主要目的是跟踪主机上是否潜在恶意行为,底层原理与Procmon类似。Sysmon与其他Sysinternals工具有所不同,会实际安装到主机上,将信息保存到Windows事件日志(Eventlog)中。
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。
本报告基于卡巴斯基实验室在用户计算机驱动器根目录中的文件保护技术的检测结果,并应用了特定的扫描过滤器和其它度量措施。
Fuzzer是一种通过产生一系列非法的、非预期的或者随机的输入向量给目标程序,从而完成自动化的触发和挖掘目标程序中的安全漏洞的软件测试技术。
在2018年1月8日美国拉斯维加斯的国际消费电子展(CES)上,Wi-Fi联盟发布了最新的WPA3加密协议,作为WPA2技术的的后续版本,并在2018年6月26日,WiFi联盟宣布WPA3协议已最终完成。

安全活动

惊悚!过完国庆小长假回来,发现只剩84天2018年就结束了。想想手里一堆没完成的kpi,看看钱包里常年不超三位数的银行卡,扒拉一下大脑门上没几根的刘海摸摸肚子上......
第四届XCTF联赛总决赛XCTF FINALS 2018将于11月1-2日在北京凯宾斯基酒店举办,大赛由国家创新与发展战略研究会主办,蓝莲花战队发起,赛宁网安总体承办,华为、陌陌安全应急响应中心(MMSRC)赞助支持,赛宁网安攻防竞赛平台提供技术支持。
双11又又又来了? DVP双重活动,让你成为锦鲤本鲤,2018年10月25日前提交漏洞参加上半场火力空投,2018年10月11日-2018年11月9日11:00下半场无上限叠加奖励,多提多奖。
历年以来我国网络安全就像一个身患隐疾的病人,偶尔爆发的危机和事件像顽疾未愈的伤口,时时警醒着我们。面对当下情形,补天平台一直秉持着公益、开放、协同的态度,坚守“医德”以求“祛病扶伤”。但一己之力难愈根本,补天号召更多有志之士携手同行。
本书主要讨论目前常见的漏洞利用与提权技术,分别从攻击和防御的角度介绍渗透过程中相对最难,同时又是渗透最高境界的部分——如何获取服务器乃至整个网络的权限。