360网络安全周报第184期

安全资讯

代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。
研究人员在CPU中发现了一个新的侧信道漏洞PortSmash,利用定时攻击从在和启用SMT/超线程功能的同样的 CPU 内核中运行的其它进程中窃取信息。研究人员利用这种攻击能够从在同样内核中运行的OpenSSL线程中窃取解密私钥。
Gogs/Gitea出现严重的远程代码执行漏洞,攻击者可实现登陆管理员账户并实现任意代码执行,若搭建相关服务应及时进行升级维护。
华为否认曾协助中国政府渗透外国网络以获取信息;了解智能家居,揭示简单物联网产品的漏洞;0day后,通过Metasploit开发相应模块。
近期有人用昵称为“Elon Musk”的推特账号发文,并对部分大号进行攻击并利用其宣传虚假活动信息,成功进行了一场规模宏大的诈骗,仅仅一天就收到了28个比特币。
随着机器学习不断进步,越来越多的公司开始将机器学习应用于实际的安全解决方案中。但是呢,这些工作主要侧重在提出新的算法或发现新的应用场景方面,忽略了机器学习的输出结果和安全运营成本之间的分歧。
近期,“共享单车认购”诈骗再次刷爆朋友圈。据报道,已有城市一天内接到10余起同类型诈骗案,涉案金额高达百万元。360手机先赔也接到用户举报,今天卫士妹就为大家揭秘一波。
尼日利亚最大航空公司Arik Air云泄露大量乘客数据;针对Telegram通过BGP协议劫持流量的活动;CIA’s 秘密网络被Google搜索引擎泄露;对加密货币交换gate.io的供应链攻击;汇丰银行部分用户可能存在数据泄露。
在不久之前,VirtualBox的一个虚拟机逃逸漏洞详情被公布到Github上。作者对现今漏洞提交制度深恶痛绝,并决定即刻公开此漏洞详细信息。
Cisco今年取消了第七个后门帐户;美国空军宣布了Hack the Air Force 3.0,这是第三个Bug Bounty计划;American Express India由于不安全的MongoDB泄露近70万消费者信息;黑客泄露还未修补的Virtual Box 0 Day漏洞及PoC。
然而,随着新型金融技术的发展,用户会主动去寻找银行提供的应用及其他服务,这也为诈骗分子提供了可乘之机,最近的一个案例就是Movil Secure这款应用。
美国网络司令部开始将外国APT恶意软件上传至VirusTotal;DJI无人机飞行日志,照片和视频暴露在外,未授权进行访问;赛门铁克发现朝鲜集团的ATM攻击恶意软件;如何在Atmail上构建 XSS蠕虫;解析无文件攻击。
Sentinelone针对SPI广告恶意软件进行了深入分析,发现该软件利用开源的mitmproxy拦截流量,并注入广告。
加拿大邮政泄露大麻吸烟者的个人数据;思科在软件中意外发布了Dirty Cow漏洞利用代码;在拒绝为他重置密码之后,一名男子因向伦敦的比特币公司发送“潜在致命的自制炸弹”而被判入狱。
由于WordPress处理权限的方式存在缺陷,可能会导致WordPress插件中出现权限提升的问题。这一问题直接影响WooCommerce插件。
泄密、丑闻和偏见:回顾2018年AI大事件及其深远影响;如何量化网络风险?CISO的网络安全风险管理和测量指南;利用流行的WordPress插件0day获取网站管理权限。
Nginx开发人员发布了安全更新,以解决影响nginx Web服务器的多个拒绝服务(DoS)漏洞;VirtualBox VMSVGA虚拟机逃逸;用不受信任数据的反序列化绕过Microsoft XOML工作流保护机制;最近修补的Adobe ColdFusion漏洞被用于APT。

安全知识

本文分析一个PE感染木马病毒行为, 澄清基本功能和加载方式,并给出受损文件修复方案。 该木马病毒通过感染系统原有PE和移动介质驻留系统进行复制传播,窃取文件。
最近我们在FortiGuard实验室中遇到了加壳过的许多Android恶意软件。这个恶意软件有个有趣的特点,尽管所使用的加壳程序一直不变,但释放出的恶意软件载荷却经常发生变化。
从2018年9月底开始,根据数据监测GandCrab勒索有大规模爆发趋势,且版本更新频繁。在国内GandCrab目前仍以弱口令爆破、伪装正常软件诱导用户运行及漏洞传播这三种方式传播。
作者学习Vivek Ramachandran讲解的“无线局域网安全Megaprimer课程”后一直在思考获取Wi-Fi密码的“非常规”的方法,这是作者在思考过程中的一些研究。
本文为0Kee Team两位成员对Gogs昨日曝出的远程代码执行漏洞的分析。
不知你是否会好奇 DNS 隧道为什么会有那么强大?一方面是因为 DNS 报文具有天然的穿透防火墙的能力;另一方面,目前的杀毒软件、IDS 等安全策略很少对 DNS 报文进行有效的监控管理:)
Trickbot作为一个简单的银行木马病毒,已经存在了很久。随着时间的发展,我们可以看到网络犯罪分子为这个恶意软件添加了不少新功能。去年三月,Tirckbot增加了一个可以规避检测和锁屏的功能。
安恒信息安全数据大脑团队通过长期监控全球互联网的各类服务端口发现:全球已有超过5000万的Linux主机暴露SSH端口,其中美国与中国的暴露数量最多,而这些服务器将会面临严峻的网络攻击,如端口扫描、口令爆破、漏洞扫描等。
逆向狗在CTF逆向题做多了之后,都会想要找一个现实生活场景中的案例来试验一下学到的技术:比如恶意程序分析!今天笔者就提供给大家一个自己遇到的样例:一只可爱的远程控制木马,供各位练练手。
Gandcrab家族算是勒索病毒中最“出名”的了,它仅仅在半年的时间了就发布了从v1.0到v5.0.3,截止到我分析前,已经出现了v5.0.5版本了,我这个分析的是v5.0.3的JS脚本产生的勒索病毒。
苹果于前日进行更新回顾,CVE-2018-4407 XNU内核漏洞进入大家视野,本文为对CVE-2018-4407漏洞的详细分析。
随着勒索病毒的广泛传播,给企业和个人的数据带来严重的威胁,360互联网安全中心针对勒索病毒进行了多方位的监控与防御。从本月的反馈数据来看,勒索病毒的传播量总体呈下降趋势,而由于系统存在漏洞导致被感染的用户占比,则在本月有所上涨。
11月3日,攻击者成功攻陷了网络分析平台StatCounter,这是业内处于领先地位的一个平台,许多网站管理员都使用该服务来收集访问者的统计信息,这项服务与Google Analytics非常相似。
9月20日,360威胁情报中心在日常样本分析与跟踪过程中发现了一例针对韩国文字处理软件Hancom Office设计的漏洞攻击样本。详细分析发现该样本疑似与APT组织“Group 123”相关,且该样本利用一个从未公开披露的Hancom Office漏洞。
如何知道自己所在的企业是否被入侵了?是没人来“黑”,还是因自身感知能力不足,暂时还无法发现?其实,入侵检测是每一个大型互联网企业都要面对的严峻挑战。
日前无意中得到一个很有意思的rtf文档,沙箱里行为一大堆,文档本身又混淆的很清奇,所以花了一点时间分析了这个样本。大致理清样本的攻击手法和攻击链后,公开部分分析过程,样本和数据,供大家参考。
在最近进行的一项调查中,Check Point的研究人员发现了一个安全漏洞。如果被利用,攻击者可以在用户完全不知情的情况下访问其DJI账户,并提供了对大量敏感数据的访问。
个人数据就是诈骗犯的棒棒糖,每个人都应该保证个人数据的安全(就是说,千万不要在可疑网站上提交个人数据)。如果犯罪分子得到了你的数据,他们就会用来访问你的个人账户,还会发起针对性攻击和勒索软件攻击。

安全活动

本活动由DVP基金会举办,本活动没有奖励发放环节,直接从挑战中盗币离场即可,总额为10个ETH,额外还有7000DVP,总价值约2万人民币!
原创、翻译、评论你属于哪一类?咳咳,200元以内购物免单的机会就在这里!招募最具实力与潜力的安全客达人!
为了方便大家能更加了解这些优惠、折扣、礼品怎么拿到,我还是做了一些小攻略给大家,不过大家放心,不是《延禧攻略》没那么多套路~~~
大赛采用红蓝对抗的形式,由蓝军在赛前向指定软件供应链上各类目标,在代码层面进行“投毒”篡改、形成赛题,整合后供红军在赛中进行自动化问题挖掘分析。