360网络安全周报第200期

安全资讯

新一轮针对南非手机用户的挖矿攻击;针对APAC地区Windows服务器的信息窃取行动;如何建立一个基于机器学习的入侵检测系统来保障汽车安全,如针对汽车的DDoS攻击。
暴露的Docker控制API和社区镜像被用来传递挖矿程序;资源:恶意软件分析 - 学习如何逆向恶意软件:指南和工具的集合;绕过一个受限制的JS沙箱。
2017-2018 Facebook漏洞赏金计划Writeups;Angr -功能强大且用户友好的二进制分析平台;GNU C 库 parse_reg_exp 拒绝服务漏洞。
违规收集儿童隐私,“抖音国际版”TikTok在美受重罚;百度百科、搜狗百科外链跳转色情网站,过期域名被黑产利用;Microsoft Windows Data Sharing Service提权漏洞。
北京时间2月28日,360CERT监控到edgepot.io发布的一篇博客公开披露了Chrome中通过打开pdf文件泄露信息的0day漏洞,漏洞成功利用可导致目标用户IP地址等信息被泄漏,已经出现多个利用该漏洞的野外样本。该漏洞危害较为严重,影响较大。
孟加拉国驻开罗大使馆的网站遭到入侵;Chrome Zero-Day被利用来通过PDF文件收集用户数据;数百万公用事业客户的密码以纯文本形式存储。
上周微博一段视频火了,视频将朱茵在《射雕英雄传》中饰演的“黄蓉”形象直接换成杨幂的脸,效果之贴合,直教人难辨真假,吃瓜群众纷纷称赞“史上最可爱的黄蓉” ……
RSA会议每年创新沙盒目的是为了从全球网络安全初创公司中选出最具有“创新性”的公司。作为一名网络安全从业者、投资人,我从下面7个不同维度为中国的安全从业者和有兴趣投资网络安全的投资人详细剖析2019 RSA创新沙盒。
Cryptocurrency Miners 已经集成Drupal RCE漏洞;针对Apex Legends用户的恶意软件活动;Google对Google Play Protect进行更改,以便更好地保护Android用户免受恶意应用的攻击。
RSA Conference 2019近期官网上发布了备受瞩目的Innovation Sandbox(沙盒)大赛的Finallist。作为全球网络安全行业创新风向标,从业者将其视为“安全圈的奥斯卡”,因此每年的创新沙盒大赛都备受瞩目。
如果我们能抛弃吹捧,透过花哨探究本质,试图不放过产品和业务的弱点,对提高自己独立思考的能力便有莫大好处。今年,让我们以拥有或依赖开源项目的创业公司作为开局。
首个完整利用WinRAR漏洞传播的恶意样本分析;4G,5G的新缺陷允许攻击者拦截呼叫并跟踪电话位置;驱动人生供应链木马攻击2019.1.30变种木马分析;逆向混合运算放大器模块。

安全知识

最后在学习 MIPS 漏洞挖掘的过程中,找到了一个不错的靶机平台 The Damn Vulnerable Router Firmware Project。
近年因电子邮件安全问题引起的恶性网络事件影响范围越来越广、造成后果越来越恶劣。传统邮件监测技术无法应对高级持续性威胁。
从互联网的诞生,到如今人工智能技术的炙手可热,每一次技术革命都给人来带来极大的便捷。同时,存在这样一群人,他们掌握先进的抟术,并利用技术对企业与个人资产实施入侵与破坏,牟取利益,给社会带来极大的安全隐患。
上一章中,我们对当前的PAC机制在理论上提出了一些可能的漏洞,这一章结合实际的 A12 设备进行验证。该篇可能会比较长,如果大家没有耐心,可以直接跳转到 <第四个缺陷出现!>一节。
本文将以两个角度共同对该漏洞的产生,drupal 的设计模式,drupal normalize/denormailze 的实现进行详尽的分析以及阐释。
近期,360威胁情报中心捕获到多个专门针对日本地区计算机用户进行攻击的诱饵文档,文档为携带恶意宏的Office Excel文件。通过分析相关鱼叉邮件的收件人信息,我们发现受害者均为日本高科技企业雇员。
在完成一个前期的渗透测试,获取到最高权限过后,后面最主要的任务就是,对目标的权限维持,方便对目标的持续性控制。本文就简单介绍几种常用的权限维持的方法。
在今年1月22日McAfee官方博客发布文章称在发现了一个私有的点对点(p2p)网络中被发现一个新的勒索软件系列,并根据留下的勒索信息命名为Anatova,具体更多详情可以查看原文,故此对Anatova勒索病毒进行一番分析。
2019年2月22日, 360威胁情报中心截获了首个利用WinRAR漏洞(CVE-2018-20250)传播木马程序的恶意ACE文件。并提醒用户务必对此高危漏洞做好十足的防护措施。
在上一篇Pwn FruitShop的故事(上)中我们介绍了目标样本产生的背景并分享了一个64位栈溢出漏洞的利用方式。本次我们将继续分享一个64位内存任意写的漏洞,并在系统开启ASLR的环境下完成漏洞的利用。
在过去的几个月中,Cisco 的 Talos 团队监测到了多种利用 Brushaloader 向系统下载恶意代码的行为。
CVE-2018-0296是思科ASA设备Web服务中存在的一个拒绝服务漏洞,远程未认证的攻击者利用该漏洞可造成设备崩溃重启。
我发现Video Downloader for Chrome version 5.0.0.12(820万用户)以及Video Downloader Plus(730万用户)这两款流行的Chrome插件在browser action页面中存在跨站脚本(XSS)漏洞,受害者只需要浏览攻击者控制的某个页面就可以触发漏洞。
最近参加了某个非常有意思的CTF线下培训活动,讲师先让大家根据要求用C++完成一个卖水果功能的linux程序,然后让大家互相挖掘程序里的漏洞并实现利用。
上篇 文章 ,我们是通过 PendingBroadcast 类 __destruct 方法中的 $this->events->dispatch ,然后直接走 $this->events 对象的 __call 方法,本文将探索直接走 $this->events 对象 dispatch 方法的 POP链 。
HEVD是一个Windows内核漏洞训练项目,里面几乎涵盖了内核可能存在的所有漏洞类型,非常适合我们熟悉理解Windows内核漏洞的原理,利用技巧等等。
最近在研究yara文件,想着拿到yara编译文件以后,是否可以直接反编译呢?猜测已经有现成的工具可以使用了,但是网上没有找到相关 的工具,github上也没有找到反编译相关的工具,只能自己动手亲自实践,也算是一个学习的过程了。
在这篇文章中,我将研究苹果在 iPhone XS 中使用的 A12 芯片上实现的指针验证技术,重点是苹果在ARM标准上的改进。然后,我演示了一种伪造内核指针的 PAC 签名的方法,借助于JOP(Jump-Oriented Programming),这足以在内核中执行任意代码。
默安科技应急响应中心接到某合作伙伴的求助电话,针对被watchdogs病毒感染的机子进行排查和分析,并最终给出了针对该类型的挖矿病毒的清除工具,帮助客户清除病毒文件,修复被感染机子,挽回经济损失。
本题为2019安恒2月月赛的my email,从漏洞点发现到getshell还是有点意思的,以下是记录。
前段时间做了一个CTF题目,发现这道题目相当的精妙,主要是利用了%00的截断来绕过安全校验,最终利用反序列化达成目的。
本文以 code-breaking 中 lumenserial 为例,练习PHP反序列化 POP链 的寻找,题目地址:https://code-breaking.com/puzzle/7/ 。
代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。

安全活动

Hello同志们,大家开学好啊!转眼间已经到3月份了,29、30、31号放完假之后开学又要好好学习啦!新学期新气象,今天小安就来给大家带来一本新书《Android软件安全与逆向分析》,本书适合Android开发人员、安全研究人员及对Android系统安全感兴趣的读者阅读。
2019年6月,由赛可达实验室、国家计算机病毒应急处理中心、国家网络与信息系统安全产品质量监督检验中心、首都创新大联盟及百家行业联盟共同举办的第七届中国网络安全大会(NSC 2019)将在北京国家会议中心盛大召开。