360网络安全周报第220期

安全资讯

近期,360安全大脑监测到有团伙针对海外贸易公司进行持续性的钓鱼攻击,经过深入分析发现此次钓鱼行为包涵了多种深度隐蔽的手段(如漏洞、隐写等等),多管齐下来保证自身钓鱼成功率。
pony通过比特币区块链隐藏C&C服务器;微软开始宣布每个季度的安全研究员排名;通过prototype pollution在Kibana中实现RCE;新发现的APT29活动。
美两名官员向路透社透露,9月14日沙特阿拉伯石油公司的两处重要石油设施遭遇无人机袭击,美国认为其“幕后黑手”为伊朗,于是在袭击事件发生后,美对伊实施了一次秘密网络行动。
网络犯罪工具的价格在暗网市场中暴涨;域名抢注瞄准2020年总统大选;AI最前线:神经网络后门攻击;cyberbit发现在欧洲国际机场系统中存在比特币挖掘恶意软件。
2019年10月16日,360CERT监测到2019年10月16日WebLogic官方发布了CVE-2019-2890漏洞预警,漏洞等级严重。
欧洲刑警组织:互联网组织的犯罪威胁评估(IOCTA)2019 报告;2019 McAfee MPOWER 安全会议中的五大亮点;法国最大的私人多媒体集团 M6 Group 遭受勒索软件攻击。
2019年10月14日, sudo 官方在发布了 CVE-2019-14287 的漏洞预警。
CVE-2019-14287: sudo 权限绕过漏洞;CVE-2019-17502: Hydra 空指针漏洞;CVE-2019-17534: libvips UAF漏洞;windows样本高级静态分析之识别汇编中C代码结构(switch)。
29个国家使用的SIM卡容易受到Simjacker攻击;v8引擎攻击利用;分析键盘固件Part 2;使用Yabasic破解PS2;Pwning the Galaxy S8。

安全知识

bank是RealWorld CTF 2019中唯一的一道crypto题,题目涉及到了schnorr比特币签名算法,在此记录一下分析和解题过程以及针对schnorr的一些攻击技巧。
众所周知,智能合约的特性之一是公开透明,该特性的表现之一就是,区块链上的所有交易也是公开可见的,任何地址与智能合约所进行的交易都会被存储在链上。
跟团队小伙伴一起日狗。
Roarctf 部分Writeup。
上一篇文章中我们对于固件进行了简单的分析,这一篇我们将会补充一些Vxworks的知识,同时继续升入研究固件内容。
代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。
代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。
MITRE ATT&CK框架中有好几百种技术,并且会随着新技术的推出以及人工智能和机器学习系统的部署而逐渐扩大。那么企业应该从哪里入手?该如何确定优先级?又该如何构建和管理已开发的检测方案呢?
通过查阅了较多资料,结合自己做题遇到的一些利用点来给大家做一个详细的总结。今后遇到时候终于不用再一个一个去翻收藏夹了1551。
本文假设读者知道OSCP是什么。若不知道,请先阅读《Offensive Security Certified Professional (OSCP) Overview》。
看玄武的公众号的时候看到了这篇文章。二进制工具分析的主要是程序的各种信息,比如格式、体系结构、编译器标识、指令、助记符等。
WooCommerce处理产品导入方式的缺陷导致存储型XSS漏洞的产生,可以通过跨站点请求伪造(CSRF)来利用该漏洞。由于wordpress后台存在插件编辑等功能,通过xss漏洞,可以写入php代码
JavaScript代码中如果存在代码注入漏洞的话,那确实是一个令人头疼的问题…
FINS(factory interface network service)协议是由日本OMRON公司开发的一种工业自动化控制网络指令控制系统,用于在PLC和计算机之间进行通信的一种网络协议
网络安全法与等级保护的关系 网络安全法与等级保护的制度已经从基本制度到基本国策上升为法律。
近日我们帮助某客户追踪溯源一例入侵事件时,发现黑客在获取服务器权限之前利用网站的“ZIP解压功能”上传了Webshell。由于此次的漏送利用方式在“攻击载荷的构造”与“实际解压路径”方面较有代表性,因此我们编写了这篇报告。
代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。
在之前的渗透测试中,当我们碰到McAfee Virus Scan Enterprise(VSE)时都会会心一笑,然而在这次渗透测试中,情况稍微有点复杂。
奇安信安全能力中心移动安全分析团队在日常的恶意活动监控过程中,发现了一种黑产基于僵尸网络的新型变现方式,该变现方式实现了黑客宣称的“能发送任意内容的营销短信“。
目前我在CTF中遇到的windows pwn题目,利用手法大多是通过伪造SEH结构体,再触发异常来getshell。之前没有太多的做这方面的题,这里我详细说一下原理和解题思路
新人小白初学渗透测试,参考前辈大佬的文章,然后将自己动手操作并写下来的DC-7与DC-8的靶机Write-Up文章在此分享.
之前自学了安卓的漏洞挖掘知识,还在wsrc、bilisrc、asrc等提交了安卓app方面的安全漏洞,一直没有做笔记,现在就来总结一下学过的部分知识。
Zmap和Masscan都是号称能够快速扫描互联网的扫描器,十一因为无聊,看了下它们的代码实现,发现它们能够快速扫描,原理其实很简单。
10月9号总部设在荷兰海牙的欧洲刑警组织与国际刑警组织共同发布报告《2019互联网有组织犯罪威胁评估》,报告指出数据已成为网络犯罪分子的主机攻击目标,勒索软件仍是网络安全最大威胁,全球各界需要加强合作,联合打击网络犯罪。
近期,暗影移动安全实验室在日常监测中,发现了一款中文名叫“费雷顿·莫希里”的间谍木马软件,研究人员分析发现,该软件是专门针对伊朗开发的,其主要目的是窃取情报。
前两天看了有毒师傅的一个IE浏览器堆溢出的漏洞,感觉分析思路很流畅,从漏洞信息到漏洞分析再到给出检测方案,就想着按照这个思路分析一下自己最近研究的内容,一个DHCP客户端的任意代码执行漏洞。
2019年下半年以来,伴随着两个核弹级Sim卡漏洞披露,多个Android和IOS漏洞的曝光,关于对应漏洞的移动设备武器又将纳入各国网络武器库,而需要注意的是,其中有多个漏洞已经被武器化且被利用。
来自以色列的NSO集团,是世界上最秘密的监视技术制造商,也是令人闻风丧胆的“网络军火商”。它最得意的网络武器Pegasus,就是一款可以监控目标人物的手机间谍软件。

安全活动

这个Open Day送你1024元购衣基金!让你的衣柜变得不一样更有云众小姐姐们全程购物指导,带你去商城买买买!
2019年11月18日14:00前,注册并提交漏洞审核通过的用户将额外获得1000人民币奖励。
11月22日,2019年第三期季刊又要与大家见面了!本期季刊重点着力于当下网络安全热门话题,收录专业实用的技术文章,我们对文章的质量严格把关,对品质始终恪守不渝,只愿为安全爱好者带来最好的干货!
极验与京东携手业内多位安全大咖,邀您共享AI时代安全攻防实战经验,针对互联网业务中的各类业务风险,安全专家现身说法,剖析最新的反欺诈技术及实践案例,助力企业业务稳健发展。
白帽极客,于网络世界身怀绝技、探索未知、行侠仗义,护一方平安。随着漏洞赏金行业的不断发展,白帽圈也是一代新人换旧人,但极客精神一直传承不变。
如何用一句话、一张图骗过 AI?如何像孙悟空一样腾云驾雾、飞天穿云?如何一键找出房间的偷拍摄像头?在互联网的陪伴下长大的零零后真的是最极客的一代吗?还有哪些“无所不 PWN”要让你现场惊呆呢?
大赛设置了网络攻防赛和信息安全作品赛两个项目,其中网络攻防赛初赛将采用流行的CTF赛形式,赛题类型为密码学、Web安全、逆向分析、二进制漏洞挖掘、综合杂项等。  
DEFCON是全球安全领域的顶级会议,被誉为安全界 “奥斯卡”,由全球形象最正面且最具影响力的极客Jeff Moss创办,迄今已有26年历史。
10月19日,由360公司主办,西安电子科技大学协办,陕西省网信办为指导单位组织的首届360杯网络安全职业技能大赛(简称3CTF)初赛正式开启!