360网络安全周报第219期

安全资讯

英国NCSC机构警告APT利用企业VPN漏洞;印度裔用户是受Formjacking攻击影响第三大的国家,仅次于美国和澳大利亚;与您息息相关的7种网络安全威胁。
英国内政大臣帕特尔(Priti Patel)和美国司法部长巴尔(William Barr)签署了一项双边协议,为英国和美国执法机构更迅速地从在各自管辖区内运营的电子服务提供商获取数据铺平了道路。
来自TransparentTribe APT组织的窃密;恶意软件Emotet分析——VB 2019 Slide;针对Linux系统新型Golang勒索软件的分析;linux kernel 控制流完整性研究——Paper。
2019年10月09日,微软例行发布了10月份的安全更新。此次安全更新主要涵盖了Windows操作系统、IE/Edge浏览器、脚本引擎/ChakraCore、Excel/SharePoint、Jet Database、Windows Update Assistant(windows 升级服务)。
俄罗斯互联网服务提供商Beeline的870万客户的数据泄露;Magecart组织和Cobalt组织之间存在联系;法国的ANSSI警告有关针对服务提供商和设计办公室的供应链攻击;Ghidra软件逆向工程(SRE)框架的9.0.4版本代码执行漏洞。
2019年10月10日,360CERT监测到10月9日iTerm2官方发布了安全更新修复了一个至少存在7年的远程代码执行漏洞,漏洞等级严重。
2019年10月10日,360CERT监测到2019年10月10日CNVD发布了泛微e-cology OA系统存在SQL注入漏洞,漏洞等级严重。
近日,据外媒报道,Adobe公司宣布,将在10月底之前禁用委内瑞拉国内的全部账号和服务,同时,Adobe表示不会给已购买Adobe产品和服务的委内瑞拉用户退款。
通过模拟钓鱼攻击,暴露了6W患者的医疗和个人信息;黑客攻击Volusion基础设施,以窃取数千个站点中的支付信息;红蓝对抗:使用Shellcode躲避安全检测。

安全知识

之前我们学习了包括modbus、S7comm、DNP3等等工控领域的常用协议,从这篇开始,我们一步步开始,学习如何逆向真实的plc固件。
2019年9月,Fortinet的FortiGuard Labs发现并向官方反馈了D-Link产品中存在的一个未授权命令注入漏洞(FG-VD-19-117/CVE-2019-16920),成功利用该漏洞后,攻击者可以在设备上实现远程代码执行(RCE)。
在本文中,我们介绍了访问令牌窃取的相关概念,以及如何在winlogon.exe上利用该技术从管理员上下文中模拟SYSTEM访问令牌。MITRE ATT&CK将该技术归为Access Token Manipulation(访问令牌操控)类别。
一个菜web狗的转型之路,记录下自己学习PWN的过程。
现代SIM卡本质是由软件和硬件组成的计算机。Simjacker及紧随其后公开的WIB攻击重新引起了各界对SIM卡安全的关注。
该文章主要介绍Plugin机制和Javascript引擎,并且会直接给出相关的一些结论,这些结论主要通过官方文档和源码,再通过类比找到关键点,反复调试验证得到。
Google趋势显示,这个带着奇怪的“&”符号的词语——ATT&CK非常受欢迎。但是,MITRE ATT&CK™的内涵是什么呢?为什么网络安全专家应该关注ATT&CK呢?
为什么要做网络安全?为什么不做网络安全?工信部《促进网络安全产业征求意见稿》一出来,未来5年推动网安行业2000亿产值,振奋人心,不少朋友问我,机会在哪里?
Hawkeye Keylogger是一款窃取信息的恶意软件,在地下黑客市场出售,此恶意软件曾在2016年的一次大规模网络攻击活动中被广泛使用。
网络战可获取真实战场情报先机,叙利亚政府将网络战的作用发挥的淋漓尽致。 
之前投稿过一篇ret2dl的文章,但是具体调试阶段和原理讲解的都不是很周到。本文会根据做题的调试过程进行解析,介绍其中如何利用lea esp控制栈帧,以及如何调试一个伪造的重定向结构。
近日发现了一起极具诱饵性的安卓APK攻击,经过研判发现,其攻击目标为伊朗,此外,通过同源分析发现,该样本关联了一系列攻击活动,鉴于攻击样本均与伊朗文化相关,因此在将该活动命名为Cyrus(居鲁士 )活动后,将其发布于世。
不久以前,研究人员“ccpwd”通过ZDI漏洞计划提交了macOS磁盘管理守护程序(diskmanagementd)中的一个堆缓冲区溢出漏洞。
随着近年来移动互联网的发展,产生了一大批内容平台,但因内容不合规,屡屡传出被下架、被关停的消息,由此可见,网络内容安全问题不容忽视,特别是以非法内容形成的黑色产业链应成为重点打击对象
奇安信病毒响应中心在日常的样本监控中发现,MYEC团伙新增了敛财利器,开始朝着基于无文件落地型的勒索软件方向发展。
演练中,第一代webshell管理工具“菜刀”的攻击流量特征明显,容易被安全设备检测到,攻击方越来越少使用,加密webshell正变得越来越流行,由于流量加密,传统的WAF、WebIDS设备难以检测,给威胁监控带来较大挑战。
最近在学习研究BlackHat的议题,其中有一篇议题——"HTTP Desync Attacks: Smashing into the Cell Next Door"引起了我极大地兴趣,在其中,作者讲述了HTTP走私攻击这一攻击手段,并且分享了他的一些攻击案例。
上文中,我们介绍了有关Unicorn的使用,为了避免只造轮子不开车的现象出现,我们就用Unicorn来亲手攻击一个AES白盒。
AMSI(Antimalware Scan Interface,反恶意软件扫描接口)是微软提供的一个接口,可以方便端点安全厂商获取某些组件的内存缓冲区数据。

安全活动

本期,我们将分享360在以往攻防对抗中真实的案例,剖析“物理渗透”、“供应链攻击”两种攻击方式思路,针对以上两种攻击方式,企业该如何加固企业防线。另外,还将介绍360公司针对高级域渗透攻击的钓鱼邮件检测相关的防御体系建设思路。