360网络安全周报第187期

安全资讯

代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。
大概在几周之前,加拿大警方逮捕了一名嫌疑犯,而警方认为这个人就是传说中的“redandwhite”,也就是臭名昭著的暗网毒品市场——丝绸之路的创建者。
代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。
FBI建立了一个虚假的联邦快递网站来抓捕犯罪分子;窃听风云:扒掉你的最后一条“胖次”;专家发现新的Linux下的采矿病毒;绕过和禁用SSL Pinning在Android上实现中间人攻击;利用CPU缓存侧信道攻击在JavaScript中监视浏览器窗口。
2018年11月21日,名为 FallingSnow的用户在知名JavaScript应用库event-stream在github Issuse中发布了针对植入的恶意代码的疑问,表示event-stream中存在用于窃取用户数字钱包的恶意代码。
为了找出针对企业进行勒索的网络犯罪分子,联邦调查局近期创建了一个虚假的FedEx网站,并在其中部署了具有陷阱的“恶意”Word文件,从而获取诈骗者的IP地址。
AI与未来战争:美开发军事自主系统的诸多隐患;据路透社报道,尽管面临来自澳大利亚、美国和日本的压力,华为仍将继续建设连接巴布亚新几内亚的海底电缆网络;基于生成式对抗网络的安全隐写术;NIST关键基础设施网络安全框架。
ElasticSearch暴露了超过5700万美国公民的个人数据;Urban Massage应用程序泄露30万客户的数据;Pwning eBay-看白帽子如何获取eBay日本站点源码;使用多种混淆方法进行旁路检测的技术绕过检测。
Sennheiser耳机是一款德系耳机,是世界四大耳机品牌之一。在Sennheiser用户安装HeadSetup软件时,几乎无人得知该软件将根证书安装到了受信任的根CA证书存储中,并且更糟糕的是该软件还安装了不安全的证书加密私钥。
此为安恒在几次会议网络安保期间总结的攻击态势数据,针对不同种攻击数据分类梳理。
近两年市场对虚拟货币的热情,催生了繁荣的挖矿产业,也滋生了大批挖矿木马。挖矿木马通过转嫁挖矿成本实现非法利益的最大化,而中招的个人用户则要承担挖矿计算带来的经济损失。360总结了几种个人用户最易中招的挖矿陷阱及应对措施。
戴尔遭遇数据泄露事件,强制重置客户密码(但现在才披露事件原因);印度警察侦破一个国际计算机病毒诈骗案;Smart Greybox Fuzzing,一个更有效率的Fuzzer;Cisco修补了在License Management Tool中的一个严重漏洞。

安全知识

今天比赛繁多,在打xnuca的闲暇,做了下安恒月赛,以下是Web和Crypto的解题记录。
这道题当时没有队伍解出来,我当时想是有更多的步骤在图里面,tensorboard检测不出来,或者那些其余的操作有影响,当时有个提示是并非所有节点都在图里,最后又找了一遍pbtext的文本,看到有个节点带了很多数据,最后拿到flag。
Kaspersky通过研究发现,Rotexy木马是由2014年10月首次发现的短信间谍软件发展而来的。当时它被检测恶意类型为Trojan-Spy.AndroidOS.SmsThief,但后来变更为另一类型 - Trojan-Banker.AndroidOS.Rotexy。
近期腾讯安全云鼎实验室听风威胁感知平台监测发现一款攻击路由器的蠕虫病毒,经过分析,认定此款蠕虫是 mirai 病毒的新变种,和之前的 mirai 病毒不同,该蠕虫不仅仅通过初代 mirai 使用的 telnent 爆破进行攻击,更多通过路由器漏洞进行攻击传播。
VBScript引擎处理内存中对象的方式中存在一个远程执行代码漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。
最近,安恒威胁情报小组在蜜罐系统中发现黑产挖矿的踪迹。黑产dalao,我一个搞网络安全的,你挖矿挖我这儿来了,是不是有点儿飘?要battle吗?
做看客很久了,发现一直没有比较好的中间件漏洞的总结性文章,正好近期在做这方面的学习,在此仅总结了少部分中间件常见漏洞供学习参考,后续将补充另一部分常见漏洞。如有错误还请大佬们指正。
低功耗蓝牙技术作为一种无线通信技术,其设计目标和实现与经典蓝牙技术有很大的不同,关于其的概述和技术细节可以参考文末的链接和著作。本文结合知识对协议数据包进行备注,以加深主从设备交互流程理解,进一步探索针对BLE应用的攻击。
思科Talos团队最近发现了针对黎巴嫩和阿拉伯联合酋长国(阿联酋,UAE)的新一波攻击活动,此次攻击活动波及.gov域名以及一家私营的黎巴嫩航空公司。 根据我们的研究,这个攻击组织显然精心研究了受害者的网络基础设施,尽力保持隐蔽性。
2018年11月21日,名为 @FallingSnow的用户在知名JavaScript应用库event-stream的Github issuse中发布了针对植入的恶意代码的疑问I don't know what to say,表示event-stream中存在用于窃取用户数字钱包的恶意代码。
在这篇文章中,我们将探索解释器的内部,从而找到逃逸NodeJS沙箱的方法。
在看WHEREISK0SHL大牛的博客,其分析了tcpdump4.5.1 crash 的原因。跟着做了一下,发现他的可执行程序是经过stripped的,而且整个过程看的比较懵,所以自己重新实现了一下,并从源码的角度分析了该crash形成的原因。
近期,360威胁情报中心监控到一系列针对巴基斯坦地区的定向攻击活动,而相关的恶意程序主要利用包含了InPage文字处理软件漏洞CVE-2017-12824的诱饵文档(.inp)进行投递,除此之外,攻击活动中还使用了Office CVE-2017-11882漏洞利用文档。
近日,我发现Linux内核BPF模块中一个质量较高linux内核堆溢出漏洞(已向linux社区提交漏洞补丁)。我们可以100%稳定触发这个漏洞,并且可以利用它来进行本地提权获得root权限。这篇文章主要分析漏洞的成因以及基本漏洞利用方法。
在本文中,我会简单介绍Will在文章中提到的攻击技术(Not A Security Boundary: Breaking Forest Trusts),主要关注的是主机账户强制认证过程中所生成的安全事件。
本文探究永恒之蓝(及Fuzzbunch工具包)在XP系统上的应用区别与其中的技术简析。

安全活动

IoT安全人才不仅需要理论性课程的讲解,更需要实战的演练。而360安全应急响应中心就是他们最佳的演武场,48 小时黑客马拉松IoT破解大奖赛也是人才实践中最重要的一环。
IoT安全人才不仅需要理论性课程的讲解,更需要实战的演练。而360安全应急响应中心就是他们最佳的演武场,48 小时黑客马拉松IoT破解大奖赛也是人才实践中最重要的一环。
11月29日,MIDC • 2018 小米IoT安全峰会第二届在北京举办,AI、IoT行业的安全专家及爱好者齐聚一堂,在这万物互联新时代,共筑IoT安全生态。
史上最强国际顶尖战队集结5大洲、15个国家地区、20支战队。近5年共计获得150次CTF全球冠军。100名最强CTF选手,48小时不间断赛制。12月1-2日,中国郑州、长亭科技,首届Real World国际CTF网络安全大赛,线下总决赛,大幕开启!
我们旨在培养和发现对网络安全技术有浓厚兴趣的技能型人才,宣传信息安全基础知识,让更多的在校学生,企业工作人员了解如何抵御信息泄露,如何抵御网络攻击,为更多网络安全技术爱好者提供最有力的帮助和支持。
太阳联盟用户成长体系集阿里集团、蚂蚁、菜鸟、饿了么安全响应中心运营团队的诚意于一身,力图为白帽子搭建一个边挖洞边学习,且能阶段性收获结果的成长环境,让白帽的安全之路不仅限于挖洞,可以走的更久更长远。
2019年的脚步越来越近,安仔内心满怀期待,因为2019年1月10日,第三届安胜网络安全技术峰会(2018 ASTC)就要盛大启幕啦!