360网络安全周报第199期

安全资讯

地下情报如何拯救金融服务行业;卡巴斯基免费的反勒索工具;CVE-2019-9072:GNU Binutils 2.32中分发的二进制文件描述符(BFD)库存在内存申请问题。
小米手机内核开源;骗子们向技术娴熟的黑帽人提供数百万美元,以帮助他们开展敲诈活动;Linux内核4.20.10发现易受任意代码执行攻击。
2018年成人网站上出售账户登录信息的广告数量同比增长一倍;三分之一的Chrome扩展 没有实施良好的隐私策略;AirDrop 2.0 - 拒绝服务漏洞。
近日,腾讯云安全团队监测到部分云上及外部用户机器存在安全漏洞被入侵,同时植入 watchdogs 挖矿病毒,出现 crontab 任务异常、系统文件被删除、CPU 异常等情况,并且会自动感染更多机器。
RSA2018的热度似乎还未褪尽,2019年的RSA又将在3月4日于美国旧金山开幕。进入RSAC创新沙盒比赛十强的公司都是安全行业中最大胆的创新者。在过去五年中,前十名决赛选手已经获得20.5亿美元以上的投资。
Adobe再次为Reader推送补丁,以防止重要信息的泄露;黑客入侵美国POS公司系统,在客户网络植入恶意软件;内核STCP存在UAF漏洞,可本地用户可能可以提权:CVE-2019-8956。
北京时间2月21日,360CERT 监控到 Drupal 发布的重要安全更新,其中修补了一枚远程代码执行漏洞,漏洞编号为CVE-2019-6340。经过研判,漏洞是由于传入 RESTful Web服务的数据,未做严格校验造成的。
KindEditor 编辑器组件的漏洞可被攻击利用,KindEditor 组件中的upload_json.php 上传功能文件允许被直接调用从而实现任意上传 htm,html,txt 等文件到服务器。
近期,360安全大脑监测发现了一款通过搜索引擎广告位进行大量传播的游戏盗号木马,该木马针对“集结号”棋牌游戏的用户群体进行盗号,对用户的“虚拟财产”可能造成难以估计的损失。
2月19日,CNCERT监测发现,境内部分用户通过家用路由器访问部分网站时被劫持到涉黄涉赌网站。经研判,这是一起典型的由互联网地下黑色产业争斗引发的网络安全事件。
2019 年 2 月 20 日 @Nadav Grossman 发表了一篇关于他如何发现一个在 WinRAR 中存在 19 年的逻辑问题以至成功实现代码执行的文章。
WinRAR中存在19年的代码执行漏洞;针对中国医院的恶意挖矿软件;42,000名患者数据受到AdventHealth Medical Group数据泄露的影响;斯坦福大学某系统缺陷疑似泄露学生信息。
社工妹子跟踪狂;勒索病毒冲着工业控制系统来了,威胁重重,如何应对?;CVE-2019-8372:Windows LG内核驱动程序中的本地特权提升;Windows DHCP Server远程代码执行漏洞分析(CVE-2019-0626)。
APT-C-36: 针对哥伦比亚政府机构和公司的持续攻击;如何攻击目标Facebook账户?让它打开个链接就行了;Malcom:一款功能强大的图形化恶意软件通信分析工具;拒绝超长函数,从两个 curl 远程漏洞说起。

安全知识

Kerberos是一种由MIT(麻省理工大学)提出的一种网络身份验证协议.本文主要是通过详细的实验结合原理来说明与Kerberos相关的一些攻击手法。
近日,腾讯云安全团队监测到部分云上及外部用户机器存在安全漏洞被入侵,同时植入 watchdogs 挖矿病毒,出现 crontab 任务异常、系统文件被删除、CPU 异常等情况,并且会自动感染更多机器。
2月20号,RIPS团队在官网公开了一篇WordPress 5.0.0 Remote Code Execution,但在原文中,作者只大致描述了漏洞原理,其中大量的漏洞细节被省略,所以在复现的过程中遇到了各种问题,我们花了大量的时间分析代码,最终终于完全还原了该漏洞。
这个漏洞涉及到了mysql中比较有意思的两个知识点以及以table作为二次注入的突破口,非常的有意思。此cms的防注入虽然是很变态的,但是却可以利用mysql的这两个特点绕过防御。
在最近的CTF比赛中,综合靶场出现的次数越来越多,这种形式的靶场和真实的内网渗透很像,很贴合实际工作,但我们往往缺少多层网络的练习环境。本文通过VMware搭建3层网络,并通过msf进行内网渗透,涉及代理搭建,流量转发,端口映射等常见内网渗透技术。
2 月 20 日 Drupal 官方披露了一个 Drupal 的远程命令执行漏洞,根据 Drupal 的配置,此漏洞可能不需要任何权限即可触发,但普适性不高。
美国东部时间3月4日至8日,国际知名信息安全峰会RSA Conference 2019(RSAC2019或RSA2019大会)即将在旧金山拉开序幕,安全客为大家带来了最全的亮点议题盘点~赶快来看下吧。
自从Pony Loader源码在论坛出售,便大规模用于窃取用户隐私数据。钓鱼攻击为最常用的手法,核心代码不断改变、投递方式也因攻击者不同而变化。这里我们分析一个通过漏洞CVE-2017-8570运行并使核心窃密恶意代码无文件落地执行的较新型样本。
在本文中,我们讲述了如何使用WinAFL模糊测试工具找到WinRAR中的逻辑错误,并利用它来完全控制失陷主机的故事。
类型混淆漏洞一般是将数据类型A当做数据类型B来解析引用,这就可能导致非法访问数据从而执行任意代码。本文通过IE类型混淆漏洞实例和Word类型混淆漏洞实例进行分析,来学习理解类型混淆漏洞原理。
简单的整理一下关于 SQL 盲注的一些想法(主要是针对 MYSQL,当然其中也不免夹杂着一些 SQL Server 和Oracle的知识),希望能有更清晰的思路和不一样的思考。
Window 7以及以上系统的ETW日志自带了一个注册表日志信息的输出,我们今天讲解的不是他的具体使用方法,而是windows内核是怎么样实现输出这些数据的。
本文详细介绍了如何通过路径遍历及本地文件包含(LFI)漏洞,在WordPress中实现远程代码执行(RCE)。该漏洞在WordPress中已存在6年之久。
Lucky是一种超强传播能力的恶意代码软件家族。本文只分析其中的加密勒索模块部分,主要实现其加密后文件的解密,至于其他攻击模块,可参考文章后边提供的其他文章
最近仔细研究了off by null漏洞,对off by null的漏洞利用有了一定的认识。希望大家能从我这篇文章中学到点东西,这是我的荣幸,也希望各位大佬指正。
在下个月即将举行的RSA Conference(RSAC)上,企业家、网络从业人员以及一些“邋里邋遢的”安全从业者将在旧金山一展拳脚,通过激烈竞赛争夺最终大奖。这些Shark Tank(鲨鱼坦克)式竞赛是安全初创公司中类似于超级碗(Super Bowl)的一项赛事。
正逢新年佳节之际,在准备除夕菜单闲暇之时,正好看到了nullconHackIm这个比赛,从着”就看一眼”的真香原则,去看了一两题pwn题,结果发现个挺有意思也挺有帮助新手学习pwn题中如何用ida逆向出好看的结构体的题,故记录一下相关的内容。
“高价收购私人微信号”的局中局——情人节那天,刚读小学六年级却早已情窦初开的表弟,为了给他倾慕已久的女神送礼物,决定变卖自己的微信号。可他万万没想到的是……
病毒分析很心酸,真的会秃头。唉。不说了。头发真的都掉完了~~~
这是最后一个实例stack6的分析实战过程,中间跳过了两个例子,他们的解决思路在前面每个例子的尾部EXP的构造、实现中已经得到了体现,就不再写一些重复的内容,今天主要带来的是几个新技巧:ret2zp,通过这两中技术来绕过栈保护机制。
从2018年4月起至今,一个疑似来自南美洲的APT组织盲眼鹰(APT-C-36)针对哥伦比亚政府机构和大型公司(金融、石油、制造等行业)等重要领域展开了有组织、有计划、针对性的长期不间断攻击。
pyhton中,存在几种格式化字符串的方式,然而当我们使用的方式不正确的时候,即格式化的字符串能够被我们控制时,就会导致一些严重的问题,比如获取敏感信息
上一篇文章讲了我通过黑盒测试从输出点入手挖到的 Typora 可以导致远程命令执行的XSS,并分析了漏洞原因。那么今天就讲一下我从代码入手挖到的另外两个XSS。
我们披露了几个TLS库中发现的漏洞,我们的攻击方式是针对这些实现的缓存访问时序利用侧信道泄漏,从而攻破TLS实现的RSA密钥交换。在本文中,我将主要讨论协议级别的漏洞利用。

安全活动

“亮剑安全,赋能物联新时代!”,第二届世界物联网安全峰会(WISS 2019)将于5月30-31日在北京召开,峰会将分享全球物联网安全的政策、标准,探讨最热门的物联网安全防护技术,共话物联网安全。
IJCAI-19 阿里巴巴人工智能对抗算法竞赛的目的是对AI模型的安全性进行探索。这个比赛主要针对图像分类任务,包括模型攻击与模型防御。
生态合作伙伴是饿了么的重要一环,他们的安全性与饿了么广大用户的安全性息息相关,我们正在积极与生态合作伙伴一起改善互联网安全生态环境。本次活动主要为改善饿了么服务商合作伙伴的互联网安全生态环境。