360网络安全周报第185期

安全资讯

Nginx开发人员发布了安全更新,以解决影响nginx Web服务器的多个拒绝服务(DoS)漏洞;VirtualBox VMSVGA虚拟机逃逸;用不受信任数据的反序列化绕过Microsoft XOML工作流保护机制;最近修补的Adobe ColdFusion漏洞被用于APT。
近期,我们对一个以特定语言文字的文字处理器为目标的病毒进行了分析,并由此证明,我们不仅要防范大规模恶意软件活动,还要防范小规模和本地化的攻击。
如今,“挖矿木马”成为安全行业的一个热点话题。这种兴起于2012年的安全威胁,从2017年下半年开始进入普通网民的视野。我们将通过360互联网安全中心的监控数据,展示挖矿木马在2018年下半年的攻击趋势。
代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。
香港航空公司遭受攻击,940万名乘客的个人数据被黑客窃取;WordPress GDPR 插件漏洞在野外被利用;在Office文档视频中插入恶意URL;CISCO ASA安全产品拒绝服务漏洞(CVE-2018-15454);恶意软件通过Windows Installer进行隐藏。
在最近由FortiGuard Labs捕获的众多恶意软件样本中,我们发现了一个新的TrickBot变种,它携带有一个新的模块——pwgrab,试图从多款浏览器及应用程序中窃取凭证、自动填充数据和历史记录等。
在研究绕过UAC(用户账户控制)的新型技术时,我发现了一种新的绕过方法。虽然微软并不认为UAC属于安全边界范畴,但我们依然将这个问题反馈给微软,也愿意在此处与大家分享。
近期漏洞总结:如何攻破90%的企业网络;谷歌云遭遇BGP劫持攻击;微软发布了2018 年 11 月安全更新;Adobe使用公开可用的PoC修复Acrobat和Reader缺陷;2018年10月最受欢迎的恶意软件:远程访问特洛伊木马首次入选十大威胁。
2018年11月,白帽汇安全研究院发现公网上出现了在9月份公布的Adobe ColdFusion服务器任意文件上传漏洞(CVE-2018-15961)的实际利用痕迹,攻击者利用该漏洞上传jsp语言的菜刀脚本呢,从而达到远程命令执行。
微软在昨日例行更新中发布了11月份的安全补丁,修复了62个安全漏洞。其中有13个漏洞被标记为关键漏洞。
最近啊,国内刮起了一股“锦鲤”妖风,这股抽奖的“圆梦”之风越刮越大,广大网民每次都在嘴上说我是“中奖绝缘体”,但身体很诚实必定会转发参加。
在Android操作系统的系统广播中,可以暴露出WiFi信号强度信息(RSSI),设备上的任何应用程序都可以在不需要额外权限的前提下获取此信息。一些恶意应用程序可能会将此信息用于室内定位,从而根据附近的WiFi路由器来定位或跟踪用户。
撞库视角看暗网数据的流向;0day漏洞CVE-2018-8589技术细节;TrickBot木马成为对企业的最大威胁;iPhone X, Galaxy S9, Xiaomi在Pwn2Own上被攻破;研究人员再次发现多个Meltdown和Spectre变种漏洞。
Linux内核中的do_get_mempolicy函数存在UAF漏洞;一种新的存在于Intel,AMD,Arm CPU芯片上的数据泄露漏洞;Google Play上的虚假数字货币钱包盗取用户凭据并伪装成合法钱包;Pwn2Own - 破解iPhone X获超过$100,000奖励。
TA505是Proofpoint所追踪的最多产的黑客组织之一。从2014年开始,该组织发起了数百起Dridex活动,并在2016年和2017年期间发起了大规模的Locky活动,其中许多活动都涉及到在全球范围内传播数亿条恶意信息。
在对目标进行渗透测试的时候,通常情况下,我们首先获得的是一台web服务器的webshell或者反弹shell,如果权限比较低,则需要进行权限提升;后续需要对系统进行全面的分析,搞清楚系统的用途。

安全知识

这篇文章会详细介绍对ruby的任意反序列化利用,同时还发布了首个通用型gadget链,用来实现Ruby 2.x的任意命令执行。
这次hctf中有两道获取flask的secret_key生成客户端session的题目,所以这篇文章主要详细讨论一下flask客户端session的生成以及校验过程,以及在了解了flask客户端session机制后这两道题的解法。
刚好周末,参加了一下HCTF,于是写篇文章记录一下。
这次比赛只做出了这两个题,其中我觉的the_end的思路还是可以借鉴一下的。
良心比赛,这次的web题质量很高,做的很爽,跟着Delta的师傅们也学到了不少东西,发现自己还是tcl跟大佬们差得很远。
近日,360核心安全事业部高级威胁应对团队又发现若干vbscript漏洞的在野利用。其中包括CVE-2016-0189、CVE-2018-8373和另一个此前不为人所知的漏洞(我们暂未确定它的cve编号)。
有幸拿到了这道题的1血,也在赛后的交流讨论中,发现了一些新的思路,总结一下3个做法:伪造session、unicode欺骗、条件竞争。
这次是内核中一个 uaf 漏洞的学习,刚好看到 wjllz 师傅的在看雪上的 windows 内核系列文章,就也一起分析了 cve-2015-0057 这个洞。
FortiGuard实验室最近检测到了新版本的Kraken Cryptor勒索软件,虽然这款变种配置文件中删除了beta标签,但依然存在许多bug,并且开发者仍然在不断修改该软件的基本功能。
这道题目不同以往的CTF题目,出得非常新颖,用到了一个glibc的漏洞,CVE–2018-1000001,题目质量非常好(以前看到了这个CVE也想用来出题…..
阿里云安全团队从今年5月份监测到一BOT家族,其样本改写自互联网公开渠道源码,在互联网上广泛传播,造成了极大的危害,云安全团队对该类样本做了分析、聚类、溯源,在此我们将该类样本命名为QBotVariant。
2018年下半年开始,360互联网安全中心监控到一批恶性木马下载器一直在更新传播,初步统计,中招机器超过40万台。
在F5实验室的首份年度综合《应用程序保护报告》中,我们提供了一个应用程序复杂性的实践模型,并探索了应用程序是如何遭到攻击的,以及提供了用于赢得这场战斗的实践措施。
NotPetya是源自类似Petya的全新形式勒索病毒,可以将硬盘整个加密和锁死,从内存或者本地文件系统里提取密码。
刚开始接触恶意代码分析,正所谓光说不练假把式,所以在网上找了一个恶意样本进行分析练习,于此记录一下分析过程。
大家好!爱写靶机渗透文章的我又来了,该靶机被设计者定义为初级-中级,最后小弟完成整个渗透的时候也的确是比较简单的;但是中间设计者设计了一个坑,小弟在那里被困了好几天,都塌喵的开始怀疑人生了。
本文将介绍一种名为AcridRain的新型密码窃取软件,它在过去的2个月内更新频繁。
前段时间入门了 pwn ,慢慢掌握了一些栈上的一些攻击技巧,但是发现在比赛中堆的利用才是王道…
本报告是基于卡巴斯基用户自愿共享的检测数据统计而成的威胁分析报告。
MCAfee实验室的研究人员近期发现了一种来自俄罗斯,名为WebCobra的新型恶意软件。它利用感染者的计算机进行挖矿获利。
为了帮助企业机构和个人网民应对恶意挖矿程序攻击,发现和清除恶意挖矿程序,防护和避免感染恶意挖矿程序,360威胁情报中心整理了如下针对挖矿活动相关的现状分析和检测处置建议,并根据阅读的人群分为企业篇和个人篇。
VBScript引擎处理内存中对象的方式中存在一个远程执行代码漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。

安全活动

本次比赛采用鹏城实验室自主研发的网络靶场作为比赛平台。网络靶场是网络攻防演练和网络新技术评测的重要基础设施,用以提高网络和信息系统的稳定性、安全性和性能。
LCTF 2018 由 L-Team 主办,Pwnhub 独家赞助。本次比赛采取经典的 Capture The Flag 的形式,包含 Web 、 Pwn 、Reverse 、 Crypto 、Misc 等多种题目类型。
白帽提交漏洞之后,将不同的漏洞进行合成,将会随机爆出额外奖励!漏洞积分越高,爆出高含金量奖品概率越大!
为促进技术交流和学习,研讨行业新技术、新经验、新成果,安胜科技拟于2019年1月在厦门举办“第三届 安胜网络安全技术峰会”
双十一刚过去,大家的钱包还好吗?贴心的陌陌SRC为大家带来了福利活动,专治你的不开心和贫穷