360网络安全周报第191期

安全资讯

大量 D - Link 设备存在攻击者可获取管理密码的缺陷;CVE-2018-19863 macOS上 1password 7.2.3.BETA-3存在敏感数据留存本地情况;SharpWeb - .NET 2.0 CLR项目从浏览器中检索保存的浏览器凭据。
CVE-2018-20193 JuniperSSL VPN存在提权漏洞;Underminer漏洞利用工具包在其最新版本中得到了改进;多种攻击HTTP验证的方式;FireEye评估APT33可能是工程行业内一系列入侵和企图入侵的幕后推手。
2018-12-11 在CVE中文申请站公布了一个 DEDECMS 5.7 SP2 最新版本中存在文件上传漏洞,具有管理员权限者可利用该漏洞上传并getshell执行任意PHP代码。
最近,Zebrocy的开发人员再次使用不同的编程语言——Go语言创建了一个新的Zebrocy变种。有理由相信,该组织之所以会选择使用多种编程语言来创建他们的木马,极有可能是为了增加其木马逃过安全检测的机率。
美国指控两名中国公民攻击云提供商、NASA和美国海军;从GDPR到Meltdown:回顾2018年令人难忘的资讯安全活动(第二部分);大多数家用路由器缺乏简单的Linux安全强化特性;黑客绕过Gmail和Yahoo的2FA认证。
昨天,一则让人毛骨悚然的新闻突然爆出。“天津男子普吉岛杀妻伪造现场,作案前给妻子买三千余万保险”。故事中“骗保”、“杀妻”等关键词十分刺眼,但是其中牵出的另一个产业或许是你暂时没有注意到的...
如何在Typora编辑器上实现远程命令执行;青衣十三楼(2018.12.8)技术文档离线压缩包;Chakra 引擎中 JIT 编译优化过程中的数组类型混淆漏洞分析;LCG工具包:恶意Microsoft Office文档构建器;水利工程工业控制系统网络安全的防护工作。
正如我们在之前分析Cannon木马的文章中所提到的那样,Sofacy组织在今年10月中旬到11月中旬期间一直在忙于攻击世界各地的各种政府和私人组织。我们将在本文中详细介绍的所有攻击都有一个共同点——恶意文档使用的都是同一个作者名称:Joohn。
德国最高网络安全官员表示,没有发现任何针对华为的间谍指控的证据;近期披露3个以企业服务为目标的非法采矿集团;思科安全团队关于勒索软件样本的演示;在可执行代码中搜索静态链接的易受攻击库函数。
第二个Shamoon Disk Wiper样本被发现;GandCrab使用无文件技术;Deep Explorer - 搜索暗网中隐藏服务的工具;使用Osquery进行病毒分析-第三部分;iOS/macOS Kernel task_inspect信息泄露漏洞;Apache CouchDB CVE-2018-17188。
为了揭开病毒木马的神秘面纱,更好地服务于信息安全,本书总结并剖析了常见的Windows黑客编程技术,用通俗易懂的语言介绍了用户层下的Windows编程和内核层下的Rootkit编程。
代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。
代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。
ZipRecruiter将用户电子邮件地址暴露给未经授权的帐户;针对双因素身份验证的实时攻击;imaginaryC2 - 帮助恶意软件的行为(网络)分析的工具;Safari - 代理对象类型混淆漏洞利用;华为路由器HG532e命令执行。
新Facebook Bug泄露680万用户照片到第三方应用程序;[remote] Safari - 代理对象类型混淆漏洞利用(Metasploit);针对双因素身份验证的实时攻击;Tomcat Manager的多种利用方法。
2018年12月14日下午,360互联网安全中心监控到一批通过 “人生日历”升级程序下发的下载器木马,其具备远程执行代码功能,启动后会将用户计算机的详细信息发往木马服务器,并接收远程指令执行下一步操作。
Shamoon重返欧洲和中东的Wipe系统;利用“驱动人生”升级程序的恶意程序预警;Glibc 堆溢出利用基础:ptmalloc2 internals(第2部分) -Fast Bins和First Fit Redirectio;研究2010年初的游戏DRM系统:第1部分。

安全知识

Go语言的crypto/x509标准库中的校验算法存在逻辑缺陷,攻击者可以精心构造输入数据,使校验算法在尝试验证客户端提供的TLS证书链时占用所有可用的CPU资源。
F5安全研究人员近期发现了利用未经身份验证的代码执行漏洞对Jenkins自动化服务器进行攻击的威胁活动。这是继我们揭露攻击者利用XMRig挖掘门罗币的攻击活动后,他们又对Jenkins服务器发起的一系列攻击。
ASP.NET应用程序中比较常见的漏洞之一是本地文件泄露。如果您从未开发或利用过这种技术,那么对LFD的漏洞利用可能会非常困难,并且没有实际作用。在本文中,我描述了如何攻击一个存在LFD漏洞的应用程序,以及后续的漏洞利用方法。
这是我们2018年Top 5趣案系列中的第三个案例。这些漏洞都有一些因素使它们从今年发布的大约1,400个报告中脱颖而出。今天我们将分析一个Exchange漏洞,它允许任何经过身份验证的用户冒充Exchange Server上的其他用户。
之前,我们曾讨论过在Win10 v1511下的内核提权,但微软在Win10 v1607做了一些调整,使得我们无法像在v1511上那样顺利地进行提权。本文则针对新的变化研究新的提权方案。
WordPress在创建博客文章的过程中存在逻辑缺陷,允许攻击者具有与管理员相同的权限。该漏洞导致WordPress核心产生存储型XSS和对象注入等严重漏洞,并且可能导致WordPress最受欢迎的插件Contact Form 7和Jetpack中出现更为严重的漏洞。
感谢各位师傅能在工作上课之余抽出时间来玩,我们也希望这次比赛各位师傅玩得开心,但可能由于我们水平有限,资金支持有限,不能给各位师傅最好的体验,打比赛不易,办比赛也不易,希望各位师傅多多谅解。
二进制漏洞是指程序存在安全缺陷,导致攻击者恶意构造的数据(如Shellcode)进入程序相关处理代码时,改变程序原定的执行流程,从而实现破坏或获取超出原有的权限。
说好的这个月不打CTF的,结果又真香了。
前一段时间,Fortinet的FortiGuard实验室研究员Yonghui Han向微软报告了Office Outlook中存在的一个堆溢出漏洞。12月11日微软宣布该漏洞已被修补,并发布了漏洞通告,该漏洞的CVE编号为CVE-2018-8587。
Elasticsearch Kibana 6.4.3之前版本和5.6.13之前版本中的Console插件存在严重的本地文件包含漏洞可导致拒绝服务攻击、任意文件读取攻击、配合第三方应用反弹SHELL攻击,下文笔者对其漏洞背景、攻击原理和行为进行分析和复现。
不得不说,swpu的师傅们出题还是很用心的,这道题目就很不错,既有前端xss,又有后端提权,可谓是非常全面了,下面我们就简单分析一下。
本文为Vaibhav Bedi针对BLE设备安全测试的入门教程。
犯罪分子正在使用类似勒索软件的策略和中毒的网站,让你员工的计算机运行挖矿程序。本文将介绍关于cryptojacking攻击及其检测防御手法。
在最近几年,已经有许多研究人员分析过如何在不落盘的情况下,将代码注入Windows操作系统中(参考[1], [2], [3], [4], [5]及其他资料)。关于*NIX系统(特别是Linux)也有许多研究成果。
微软在2015年中旬开始提出了针对无文件攻击和Powershell脚本攻击的检测缓解方案-AMSI。本文以Powershell行为日志审计为切入点, 展开介绍AMSI的功能,工作机制与现有绕过方法。
最近审计PHP时,频繁出现的escapeshellarg与escapeshellcmd成功勾起了我的性致 兴趣,深入了解后发现确实漏洞百出。Know it then do it。
网络钓鱼攻击是受伊朗政府支持的黑客惯用的攻击手段。我们对最新的网络钓鱼攻击进行了跟踪,并将其命名为“The Return of The Charming Kitten”。
frida目前非常火爆,该框架从Java层hook到Native层hook无所不能,虽然持久化还是要依靠Xposed和hookzz等开发框架,但是frida的动态和灵活对逆向以及自动化逆向的帮助非常巨大。
前两天看到这个智能合约的ctf出了v2版本,不过更新后没法用以前的账号继续,只能重新做,所以顺手在这记录了一下。
最近我在FortiGuard实验室一直在深入研究macOS系统安全,主要关注的是发现和分析IPC漏洞方面内容。在本文中,我将与大家分享XPC内部数据类型,可以帮助研究人员快速分析XPC漏洞根源,也能深入分析针对这些漏洞的利用技术。
随着堆的学习,最近一直保持着有关libc堆漏洞利用的文章的更新,之前以babynote为例讲了unsorted bin attack,这次以0ctf2018 babyheap为例讲解一下fastbin attack的东西。
本年度最严重的几次数据泄漏,都指向了同一个词——「暗网」。在中文的语境里,这是一个犹如「月黑风高夜」般的词汇,透着诡秘和犯罪的气息。而与「暗网」关系最密切的另一个词,则非「黑客」莫属。
Shamoon是一款破坏性恶意软件,从出现之日起McAfee就一直在监控这款恶意软件。在本月初时,McAfee Foundstone应急事件响应团队根据客户的反馈,识别出这款软件的最新变种。
2018年12月14日下午,360互联网安全中心监测到 “驱动人生”系列软件“人生日历”等升级程序分发恶意代码的活动,其中包括信息收集及挖矿木马,甚至还下发了利用永恒之蓝漏洞进行内网传播的程序。
在上一篇文章《威胁情报专栏:谈谈我所理解的威胁情报——认识情报》中,我简单介绍了几种威胁标准。在本文中,我会对STIX标准进行详细介绍。

安全活动

58安全应急响应中心第一届安全技术沙龙,陪你完美度过2018年~
2019年1月18日,第一届ASC安全峰会将在哈尔滨香格里拉举办,诚邀国内网络安全行业的先进企业代表、专家学者、业内大咖,分享最先进的网络安全技术和解决方案。
12月22日,瓜子SRC第一届安全沙龙将于鸟巢CAIA会展中心举办,欢迎大家前往交流。
为了从技术、就业、发展和生活等多方面更好地了解白帽子的现状,以及存在的困惑和焦虑,补天漏洞响应平台特对此进行调研,并制定了《中国白帽子人才调研问卷》。
2018即将进入尾声,2019就要到来,DVP平台为各位白帽子准备了一场跨年活动,感谢各位白帽子与DVP平台一路走来,双倍、三倍、额外奖、排名奖、节日贺卡奖,更有不惧下跌的稳定币USDC奖励,还在等什么,快来一起跨年吧!
由“安全+”与WiFi万能钥匙SRC、苏宁SRC联合主办的第一期“SRC白帽子技术沙龙”。
本书结合在安全方面的开发经验,站在开发者的角度,循序渐进地介绍了大量实际发生的漏洞案例,并给出了技术解决方案,包括:常见的网络攻击、代码安全、前端脚本安全、后端应用安全、账户安全、加解密认证、SQL注入以及服务器配置等内容。