360网络安全周报第195期

安全资讯

2019年1月23日晚,Artifex官方在ghostscriptf的master分支上提交合并了多达6处的修复。旨在修复 CVE-2019-6116 漏洞,该漏洞可以直接绕过 ghostscript 的安全沙箱,导致攻击者可以执行任意命令/读取任意文件。
GoDaddy的松懈让许多域名被劫持;RogueRobin恶意软件使用Google Drive作为C2通道;新的勒索软件正在威胁中国的比特币采矿设备;分析2018年的袭击事件,为2019年做好准备。
近日,有国外安全研究人员结合域中的攻击技巧给出了新的利用方式,并且在其博客上公开了此前Exchange漏洞新的利用方式的技术细节及利用代码。
Max Justicz 在其博客中公开了有关于 debian 系包管理器apt/apt-get 远程代码执行的一些细节。360CERT 判断该漏洞危害严重,影响面有限。建议使用Debain系发行版的用户及时进行 apt 软件的更新或者对服务器进行流量自查。
本文为补天漏洞响应平台总结发布的2018中国白帽人才调查报告。
新一波针对互联网服务提供商的隐蔽DDoS攻击;McAfee:发现一个名为Anatova新的勒索软件家族;了解Chrome等应用如何被Magellan SQL漏洞劫持。
近期,360企业安全集团代码卫士团队安全研究人员发现 Oracle 公司旗下产品 Oracle WebLogic Server 的多个安全漏洞(CVE-2019-2398,CVE-2019-2452),并多次第一时间向Oracle公司报告,协助其修复漏洞。
大厂也难逃GDPR,谷歌、亚马逊再遭投诉;腾讯《无限法则》疑似收集用户 $$ 配置信息,游戏隐私问题引争议;拼多多被羊毛党薅过之后的翻身仗;Kutaki恶意软件绕过网关窃取用户凭证。
让我们一起看一看日益脆弱的软件供应链;如何以更实际的方式推进零信任框架落地;一句话获取反向shell;俄罗斯黑客Alexander Zhukov被保加利亚引渡到美国。
1月20日,今天从晨间开始拼多多出现大Bug,用户可随意领取100元无门槛优惠券,目前拼多多或损失超千万。
Fallout Exploit Kit增加了新的exp和payload;2018年Windows服务器挖矿木马总结报告;云上挖矿大数据:黑客最钟爱门罗币;chrome XSS漏洞。
Powershell混淆研究;ES文件浏览器漏洞导致一亿用户的数据面临风险;Microsoft Windows“.contact”代码执行风险;私钥泄露的故事。

安全知识

近期360互联网安全中心监测到一款网络劫持木马在众多网吧及大学的机房中大范围传播。该木马在2018年9月开始在国内传播,会利用篡改网络设置、劫持客户端网络数据、监控QQ聊天等方式窃取用户的隐私。
2018年11月13日,PhpSpreadsheet 被爆出存在XXE漏洞(CVE-2018-19277),在表格的解压文件中插入UTF-7编码的恶意xml payload,可绕过PhpSpreadsheet 库的安全检查造成XXE攻击。
前不久,我因为将遇到的恶意软件误认为 Arkei(一款功能强大的窃密木马)而付出了代价。根据当时我设置的Yara规则,显示匹配到的是 Arkei,但是经过逆向分析之后,我发现遇到的这个恶意软件并非Arkei。
开发者可以使用Office加载项平台来扩展Office应用功能、与文档内容进行交互。加载项使用HTML、CSS以及JavaScript语言开发,使用JavaScript与Office平台交互。所有的Office产品中都包含对应的API,但本文主要关注的是Outlook这款产品。
周末没事的时候看了下ctftime上的比赛,正好有个 Insomni’hack teaser 2019的比赛,于是花了点时间做了下逆向的2道题,有点意思,学到了很多知识。
即将发布的Serverless Top 10报告将研究运用历年OWASP Top 10中的技术攻击运行在Serverless状态中的应用,解释并举例针对Serverless应用时的攻击向量,防御技术和业务影响与传统应用之间差异。
最近我看了一份来自于ZDI的文章(CVE-2018-8581的技术细节及其利用方式),其中详细介绍了一种通过HTTP使用NTLM向攻击者进行交换身份验证的方法。但我认为漏洞的危害不止于此,我们还可以将其与NTLM中继攻击相结合,使得用户可以低权限(任意拥有邮箱的用户)提权到域管理员。
基本概念上的分类分级,数据密级这些策略我就不谈了,假设大家都懂,不懂随便找点资料也能看明白。我们说一些技术工具上的事情,因为这些才是支撑上层策略体系的手段,没有技术只能靠人肉,对于大公司来说不现实
近期在逛exploit-db时发现Code Blocks 17.12存在溢出,所以顺手就分析了一下。这个洞比较特别,是基于unicode数据格式的溢出,不多见。
近日看到了台湾的ctf平台hackme.inndy,对其中的bytebucket有一些兴趣。
朋友布置的蜜罐抓到的攻击,交由我进行分析。
本文所说的大数据安全,是指大规模多租户数据仓库,DLP、应用安全之类的传统范围不在此内。你可以理解为类似阿里的ODPS,AMAZON的redshift之类,也可以理解为Hadoop的生态技术栈集合,或者粗暴一点理解为超大规模数据库的集合。
Razer Synapse(雷云)软件在系统中安装了一个服务(Razer Synapse Service),攻击者有可能绕过签名检测机制,通过assembly侧加载方法提升至SYSTEM权限。
在一加的工程模式中存在 Root 提权后门,该漏洞由 nowsecure 团队发现。
最近国外安全研究人员发现了GandCrab勒索病毒的V5.1最新版变种,360企业安全华南基地团队马上对此事进行了相关跟进,获取到了相应的变种样本,确认此样本为GandCrab勒索家族的最新的变种。
在上一篇的文章中介绍了关于无线设备如何工作和启动,Wi-Fi SoC与驱动程序之间的交互以及Marvell Avastar Wi-Fi固件文件的静态动态分析的内容,本文将介绍漏洞的挖掘和利用方法
感觉这个cms漏洞挖的差不多了,Ectouch好歹也是电商网站又不是给我们写bug来学习代码审计的,后面如果没找到什么有趣的漏洞,为了这个系列完整性我也会去审计一些有其他漏洞的cms。
在HIDS面对几十万台甚至上百万台规模的IDC环境时,系统架构该如何设计呢?复杂的服务器环境,网络环境,巨大的数据量给我们带来了哪些技术挑战呢?
近日,我们蜜罐捕捉到一列挖矿样本,经分析确认为DDG.Mining.Botnet样本的3016版本。与其上一版本相比,3016版本采用了新的分布式框架Memberlist来构建僵尸网络。
最近拿到一个新的HWP样本,样本本身利用的是一个老漏洞,这个样本吸引我们的是shellcode部分。相关漏洞的细节我们在之前的文章中已有描述。需要注意的是,这次的样本和上次的样本在最终的执行流切换方面有一些差异。
我想通过本次研究来回答一个长期以来萦绕在我脑海中的问题:到底Marvell WiFi FullMAC SoC(system-on-chip系统芯片)在多大程度上是安全的。
任意文件删除的作用其实很大,危害也很大,比如可以重装系统,然后写入配置getshell等,任意文件读取可以导致ssrf,泄漏config文件等等。
代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。
在最近一次内部渗透过程中,我遇到了某款EDR(端点检测与响应)产品。这款产品可以保护lsass的内存空间,导致我无法使用Mmimikatz来导出明文凭据。
我们近期在回顾一些网络异常时,发现了使用DNS隧道与C2进行通讯的攻击组织并将其命名为”Cold River”,我们已经能解密受害者与C2的通信流量,并发现了攻击者使用的复杂诱饵文档。
​ 为了文章的续集,我在准备考试之余,按耐不住跑去继续读了下Ectouch,我感觉自己写文章有时候真的挺多废话的,so let us focus on analysis。今天讲下如何我是如何挖掘xss的。
本文我将以实例说明,假设我是一名恶意热点搭建者,面对这些打算使用VPN进行保护的用户,我可以从哪些方面对他们造成威胁。
先前我们只讨论了如何手动查找这类委派,大家可以阅读另一篇文章,了解其他一些工具在手动分析中的应用。在本文中,我们将介绍如何利用脚本,以(半)自动化的方式在网络中搜索这类委派。
在被期末预习虐得半死的时候看到35c3的消息就去稍微看看题,结果又被非libc虐哭,在被虐哭后看到还有Junior赛就过去把Junior的pwn题悄咪咪的写了几题。

安全活动

陪伴是最长情的告白,点开这份问卷的你,一定会为安全客的“未来”递上一份完美的答卷!
鹿客智能指纹锁Classic,是一款由云丁科技打造的高安全性智能门锁,具有活体指纹识别、电磁(小黑盒)防护、通信加密、撬锁报警、C级锁芯等多重安全机制,小米智能生活安全守护计划启动,悬赏50万!
大学生网络安全能力大赛,是面向国内知名网络安全专业院校学生及爱好互联网安全的青年展开的奖学金大赛。旨在提升高校IT人才对网络安全的重视度,吸引更多的优秀人才进入这一重要的领域,维护国家和人民的利益。
除夕就快到来,ASRC特意为辛苦奋斗一年的你准备了天猫超市享淘卡,买多多的年货,过快快乐乐的新年,好多天猫超市享淘卡等你来拿!
IJCAI-19 阿里巴巴人工智能对抗算法竞赛的目的是对AI模型的安全性进行探索。这个比赛主要针对图像分类任务,包括模型攻击与模型防御。
CCSK认证课程的目的是确保与云计算相关的从业人员对云安全威胁和云安全最佳实践有一个全面的了解和广泛的认知。