360网络安全周报第188期

安全资讯

使用谷歌翻译作为反向shell的代理;无文件恶意软件感染完整指南;主机内存的实时取证分析;卡巴斯基实验室2018年的APT攻击回顾:最活跃的群体和最高的目标;动态符号执行和KLEE基础结构简介;通过MS Word文档下发PowerShell后门。
愿这个不安生的12月能让数据安全薄弱的顽疾开始缓解。
几近年底,商家年度促销活动陆续开始,双十一、双十二、黑五……网购让人体验买买买的快感,但同样也存在诸多陷阱。通过研究发现,网络诈骗出现一种新型诈骗手法:利用微信小程序实施诈骗。
代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。
上一期我们介绍了物联网固件常用的基于MIPS架构的汇编语言,这一次我们就利用所学的知识来对目标的模拟设备进行一次简单的攻击吧!
上一期我们介绍了物联网固件常用的基于MIPS架构的汇编语言,这一次我们就利用所学的知识来对目标的模拟设备进行一次简单的攻击吧!
对美国智库,非营利组织,公共部门受到身份不明攻击者的网络攻击分析;2018最受关注的5个数据泄露;红队突破边界的五大方式;NFC支付中继攻击介绍。
KingMiner是一种以Windows服务器为目标的Monero-Mining(门罗币挖矿)恶意软件。该恶意软件于2018年6月中旬首次出现,并在随后迅速发布了两个改进版本。
沸沸扬扬的“微信支付勒索病毒”,始作俑者竟然是个95后!;沙特间谍使用了Pegasus间谍软件;APT组织Sofacy最新活动中使用了BREXIT诱饵;Ursnif恶意软件再次活动,目标意大利;Lokibot恶意软件新活动。
三天前,Morphisec实验室的研究人员发现一波针对多个国家的大范围网络攻击活动。Morphisec的研究人员称之为“Pied Piper”,主要的攻击方式是通过向多个国家实施网络钓鱼来投送远控木马程序(RAT)。
通过Campaign中的Office文档实现Adobe Flash零日利用;与朝鲜有联系的拉扎勒斯集团以拉丁美洲银行为目标;将近250页内容Facebook文件由英国议会在线发布;GitHub桌面RCE(OSX);英国电信:5G禁止使用华为设备、4G核心网络将移除华为设备。
近期,一个名为Printeradvertising.com的服务声称他们可以黑掉全世界上任何一个地方的联网打印机,并让这些打印机打印恶意广告信息。
为了加固系统安全,通常的建议是通过disable_functions选项禁用system、exec、shell_exec以及passthru等函数。然而,最近Twoster在俄罗斯Antichat论坛上公布了一个新的方法,能够绕过这种安全机制。
本篇文章会介绍一些我曾经在某些ios应用中看到的潜在安全问题。我认为程序开发者(同时也包括漏洞挖掘人员)应该意识到这个错误的配置,同时能保证webview的安全性。
研究人员公布safari 0day;HackerOne提供免费沙箱复现真实的安全漏洞;反取证的无文件病毒;8220团伙新动向:利用Apache Struts高危漏洞入侵,Windows、Linux双平台挖矿;facebook被指控收集Android用户通话记录和短信。
2017至2018年,卡巴斯基实验室的专家被邀请研究一系列网络窃取相关事件,通过研究,我们发现这些事件都有一个共同的特征:即都包含一个连接到公司本地网络的未知直连设备。
360网络安全学院推出新品课程《内网渗透精英集训营》,内网渗透精英集训班课程主要涉及内网渗透、内网信息收集、内网权限维持技巧等专题,通过经典安全案例分析、网络安全技能深度学习,真实网络安全环境实训实操

安全知识

QuartzCore服务名通常也称为CARenderServer。macOS和iOS上都存在该服务,并且可以从Safari沙盒中访问,因此经常用于各种Pwn2Own场合中。该服务中存在一个整数溢出bug,导致最新的macOS/iOS上的QuartzCore存在堆溢出漏洞。
2018年3月,赛门铁克对Inception Framework组织滥用易受攻击的UPnP服务来隐藏攻击行为的事件进行了报道。Inception Framework是一个来源不明的APT组织,自2014年以来,一直使用这种手法来发动隐身攻击。
12月2日凌晨,360互联网安全中心紧急发布了关于最新勒索病毒UNNAMED1989的传播情况和初步分析结论。2日早晨,我们还公布了解密工具帮助中招用户解密。经过一天时间,360又对该勒索病毒的传播和代码进行了进一步的深入分析。
最近比赛繁多,抽时间看了一下EdDSA签名的有关内容,正好碰到一道题目涉及了对其的故障攻击,确实非常有意思,就在这里记录一下。
在近期的威胁活动调查中,F5安全研究员发现了一种很奇怪的行为:恶意请求来自合法的Googlebot服务器。这种不寻常的行为可能会降低公众对Googlebot的信任程度,影响一些机构对Googlebot的安全策略。
Unit 42近期发现了一项针对与韩国和朝鲜地区进行的钓鱼活动,钓鱼内容围绕一系列主题展开,主要包括:加密货币,加密货币交易和政治事件。根据被投递的恶意载荷中所包含的有关信息,Unit 42将这个恶意软件家族命名为了CARROTBAT。
前几天看到个PbootCMS,然后打算审计一波,网上找了这个cms之前的漏洞,看到有表哥审计过这个文章了,https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=45649&page=1#pid506915,可能别的表哥也发现了这个漏洞,这里简单说下我的思路。
前一段时间,Ron Bowes发现Cisco WebEx Meetings Desktop App中存在一个漏洞,这是一个本地权限提升漏洞,如果攻击者具备用户账户凭据,还能利用psexec以SYSTEM身份远程执行代码。Ron Bowes将该漏洞命名为WebExec,还为此专门建了一个网站。
近期,360核心安全团队监测到一类针对外贸行业人员进行攻击的木马正在传播,该类木马被包含在钓鱼邮件附件的PPT文档中,所携带的数字签名仿冒了知名公司“通达信”的签名。
前一段时间,Ron Bowes发现Cisco WebEx Meetings Desktop App中存在一个漏洞,这是一个本地权限提升漏洞,如果攻击者具备用户账户凭据,还能利用psexec以SYSTEM身份远程执行代码。Ron Bowes将该漏洞命名为WebExec,还为此专门建了一个网站。
记一次CTF练习有感,觉得需要记录一波…还有就是最近CTF比赛中利用php原生类来进行反序列化的题目比较多,所以就紧跟时代潮流…
这次RW线下出了一道名为The Return of One Line PHP Challenge的web题,只不过关闭了当时预期解所用到的session.upload。很明显就是把当时的非预期解拿出来出了一道题。
路透社最近报道了针对全球各类目标的一次黑客攻击活动。在路透社相关报道发表之前,微软研究人员已经在密切跟踪这个攻击组织。
360威胁情报中心在2018年11月29日捕获到两例使用Flash 0day漏洞配合微软Office Word文档发起的APT攻击案例,攻击目标疑似乌克兰。这是360威胁情报中心本年度第二次发现在野0day漏洞攻击。
在日常威胁活动追踪中,我们浏览到一条推特,报道了一起针对土耳其的鱼叉式网络钓鱼攻击活动,经过初步分析,我们决定展开进一步调查,最终发现它与其它最近活跃的威胁活动有相似之处,可能来自同一组织。
在2018年11月29日,“刻赤海峡”事件后稍晚时间,360高级威胁应对团队就在全球范围内第一时间发现了一起针对俄罗斯的APT攻击行动。值得注意的是此次攻击相关样本来源于乌克兰,攻击目标则指向俄罗斯总统办公室所属的医疗机构。
2018年春季,ZDI从腾讯ZhanluLab的ChenNan及RanchoIce手中购买了5个针对DirectX内核接口的漏洞,利用这些漏洞成功从微软获取了4个CVE编号。本文分析了这些漏洞,并且提供了相应的PoC代码(代码已在我们网站上公布)。
从骨干路由器、交通信号灯到家用调制解调器和智能冰箱,嵌入式设备在现代生活中的应用越来越多。因此,我们需要一种有效的解决方案来搜索固件中的漏洞。 我们尝试解决的问题是:检测采用不同指令集的二进制固件中,是否使用过包含有特定漏洞的代码片段。
Gigamon Applied Threat Research(ATR)根据Microsoft Office文档,确认了一次对Adobe Flash中0day漏洞的恶意利用。该漏洞(CVE-2018-15982)允许攻击者恶意制作的Flash对象在受害者的计算机上执行代码,从而获取对系统命令行的访问权限。
无意中发自己小号加入的一个群里经常发萌妹变声器,出于好奇下载一个研究下。
本文章将深入讲解Bitlocker的加密机制,并提供实战的思路供读者操作,基于的是windows7下未全盘加密的NTFS文件系统。

安全活动

陌陌安全应急响应中心与FIT2019,共同邀你与来自全球的行业先锋们一道展望未来,探索安全最前沿。
2018年最后一个月:往事不回头,余生不将就
爱瑞宝地(Everybody),期待了很久的i春秋官网4.0上线啦!除了产品的功能更加完善,性能和体验也将大幅度提高,清新、舒适的视觉感受,搭配更加便捷的操作流程,只需一秒,扫码立即登录,即刻进入网络安全新世界!