360网络安全周报第205期

安全资讯

飞机零部件制造商 Asco 遭受网络攻击,导致其停止了遍布全球的生产;新的恶意软件基于 IPFS 构建了点对点通信的僵尸网络;PhoneInfoga - 针对手机号的开源情报收集工具。
美国土安全部网络事件响应小组正式成立;110万 Emuparadise 账户泄露;利用谷歌DNS TXT记录重定向用户投放恶意邮件的活动;俄罗斯的三家私人银行数据泄露。
周二,微软发布了Sysmon 10,并带来了备受期待的DNS查询记录功能。此功能将允许Sysmon用户在受监视的计算机上记录进程所执行的DNS查询。
2019年6月12日,微软官方在6月的补丁日中发布了漏洞 CVE-2019-1040的安全补丁,攻击者可以利用该漏洞绕过NTLM MIC(消息完整性检查)。
日前,安全研究人员发现Exim邮件服务器存在一个远程命令执行漏洞,漏洞编号为CVE-2019-10149。
微软和Adobe 2019年6月安全补丁更新;MuddyWater APT的一些分析;云勒索软件S3 Ransomware解析第一部分;使用JavaScript全局变量绕过XSS过滤器;Mirai变种加入8个漏洞利用,攻击iot设备。
GitHacker:Git源码泄漏检测工具可恢复整个Git Repo;微软告警利用CVE-2017-11882漏洞进行的垃圾邮件钓鱼活动;新识别的Lazarus恶意软件。
安全研究员兼利用开发人员 SandEscaper 又公开了 Windows 的一个 0day 详情和 PoC,可导致普通用户的权限提升为管理员权限。攻击者可借此安装程序,查看、改变或删除数据。
思科修补了在思科工业网络总监(IND)软件更新特性和思科统一存在认证服务(思科统一CM IM&P服务、思科风投和思科高速公路系列)中发现的两个严重漏洞。
今天,一位匿名安全研究员SandboxEscaper公开分享了第二个零日漏洞,该漏洞可以用来绕过微软Windows操作系统中最近升级的权限漏洞补丁。
如果被利用,Exim中的安全漏洞可能允许攻击者在脆弱的邮件服务器上运行任意命令。

安全知识

在本文中,我们介绍了AMSI的内部工作原理,也介绍了一种新的绕过方法。
2019年6月11日,RIPS团队在团队博客中分享了一篇MyBB <= 1.8.20: From Stored XSS to RCE,文章中主要提到了一个Mybb18.20中存在的存储型xss以及一个后台的文件上传绕过。
Emotet是一种主要通过垃圾邮件进行传播的木马。传播至今,已进行过多次版本迭代。早期版本中,它通过恶意JavaScript文件被投递。在后来的版本,演变为使用启用宏的Office文档从C2服务器下载后进行传播。
紧跟前一篇文章,本文将进一步研究COM对象搜索方法,通过COM对象公开的属性以及子属性来寻找比较有趣的COM对象方法。
近两个月实在太忙,这一篇博客拖到现在。本来计划开一个安全分析的系列,但因为工作原因搁置了。端午去成都吃火锅,往返飞机上写出这篇《安全分析中的威胁情报》。作为安全分析系列文章的开篇。
去年10月底,我得到一个与大众视野中不太一样的CVE-2016-0189利用样本。本文我将描述该CVE-2016-0189样本的利用方式,读者在后面将会看到,利用过程中的错位手法和CVE-2014-6332,CVE-2017-0149,CVE-2018-8174以及CVE-2018-8373几乎一致。
本篇文章中主要介绍了针对某ARM IoT设备从漏洞挖掘到漏洞利用的整套思考与攻击链条,期望大家对IoT安全有所交流、学习和进步。
最近打算到hackone上混混,意外的发现了hack101 CTF这个东东,总体感觉题目的质量不错,与实际漏洞结合很紧密,有些点不容易想到,所以本着为想上hackone挖洞的童鞋提供一些便利。
接下来,我们将讨论利用反射型或存储型XSS漏洞的各种可能性,并绕过我们与目标站点之间的XSS过滤器或防火墙。而在我们看来,其中一种最为有效的绕过方法就是利用类似self、document、this、top或window这样的全局变量。
这个恶意软件使用了一种有效而有趣的混淆,除了混淆之外,Nymaim的有趣之处还在于它试图通过在A记录种添加校验和与在使用之前转换IP地址保护自己。
在本文中,我将探讨在lsass中加载任意DLL的其他方法,可以与本文的示例代码结合使用。
继ptrace注入之dlopen/dlsym注入第三方so库到远程进程中后,本次探索的是shellcode 的注入。
面对区块链的众多安全问题,慢雾特推出区块链安全入门笔记系列,向大家介绍十篇区块链安全相关名词,让新手们更快适应区块链危机四伏的安全攻防世界。
本文是对我在Bluehat Shanghai 2019演讲内容的一个拓展性总结。在本文中,我将总结2010年到2018年出现的Office相关0day/1day漏洞。我将对每种类型的漏洞做一次梳理,并对每个漏洞的相关分析文章进行引用和归类。
Asp现在来说相对落后,也就是比较out了,但是在一些内网老系统还是经常可以看见的,Asp.net的话是我之前就打算学习的东西,因为这两个搭建起来的环境比较相似,所以把它这两者放在了这篇文章里面,这样方便查阅和学习。
Mimikatz为我们提供了利用SSP的其他一些不同技术。首先是“Mimilib”,这是具备各种功能的一个DLL,其中一个功能就是实现了SSP接口。其次是“memssp”,这是完成相同任务的另一种有趣方式,但这种方法需要patch内存,而不是单单加载DLL那么简单。
大家对格式化字符串读操作一定不陌生,但是对写操作的概念或者具体步骤会比较模糊。这里主要总结一下格式化字符串写操作,会以两道例题来进行讲解。
代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。
在这篇文章中,我将分享我是如何发现可利用NVIDIA GeForce Experience (GFE)来造成远程代码执行漏洞,版本号小于3.19的GFE均存在该漏洞。
在对Exim邮件服务器最新改动进行代码审计过程中,我们发现4.87到4.91版本之间的Exim存在一个远程命令执行(RCE)漏洞。
FireEye对Windows 7和10系统上可用的COM对象进行了研究。我们发现了几个有趣的COM对象,这些对象可以用于计划任务、无文件下载执行以及命令执行。

安全活动

KCon 黑客大会,知道创宇出品,追求干货、有趣的黑客大会;国际网络安全圈活力与影响力兼具的前沿网络安全攻防技术交流平台。
全球黑客盛大的节日之一——GeekPwn1024黑客嘉年华选手招募再度开启。
嘶吼白帽沙龙是由嘶吼RoarTalk主办,面向信息安全爱好者、从业者开放的,专注于安全技术交流、分享的行业沙龙。