360网络安全周报第224期

安全资讯

Office宏、逃避和恶意的自我引用;利用英特尔的管理引擎——第1部分;mediaserverd中的整数溢出导致iOS sandbox escape;uEmu的修改版本,用于开发和分析代码重用攻击的payload。
前段时间,数字货币交易中心Coinbase爆出被黑事件。攻击者以钓鱼邮件方式向Coinbase员工私人邮箱发送电子邮件,完成前期潜伏、渗透工作后;在某个时机,攻击者以两个 Firefox 0day 漏洞发动“猛攻”。
2019年11月3日,360CERT监测到业内友商发布了Apach Shiro Padding Oracle导致远程代码执行的漏洞分析。经360CERT分析研判,判断该漏洞等级为严重,危害面/影响面广。
关于供应量安全的改革;TheD4RKr3ap3r's "如何加固邮件服务器2";MITRE 加强关键基础设施建设;Lazarus组织10月份行动简析。
2019年11月12日,微软例行发布了11月份的安全更新。此次安全更新主要涵盖了Windows操作系统、IE/Edge浏览器、脚本引擎/ChakraCore、Office套件、Exchange 服务、Visual Studio。
APT组织Lazarus2019年行动回顾;威胁捕获效率与EDR的选择;墨西哥Pemex石油公司遭受勒索攻击490万美元;2020 ICS大会Singapore会议启动。
黑客入侵以色列网络安全公司Check Point 旗下公司论坛;Google将用户隐私健康数据存储系统转移到美国;DDoS攻击亚马逊、SoftLayer和电信基础设施。
微软 Defender 杀毒软件将发布 Linux 版;基于卷积神经网络的恶意代码家族标注;ASP.NET 托管服务提供商 SmarterASP.NET 被勒索软件感染;snyk 发布 2019年JavaScript 框架安全状况报告。

安全知识

近期,奇安信病毒响应中心在日常的样本运营中,发现了一起针对区块链虚拟货币交易平台的定向攻击,鉴于诱饵极具诱惑性,并且该定向攻击幕后团伙此前也被曝光过,鉴于攻击手法已经升级,我们对此进行了分析,并披露了此次攻击。
攻击者可以快速的从文件上传功能点获得一个网站服务器的权限,所以一直是红蓝对抗中的“兵家必争之地“。
审计SSM框架首先就要对MVC设计模式和,web三层架构有一定程度的了解,限于篇幅原因这里就简单介绍一下。
在这一系列文章中,我们将讨论基于Windows令牌(Token)的攻击方式,全面理解令牌、特权(Privilege)等知识点,了解令牌及特权在Windows系统安全架构中的实现机制。
代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。
CVE-2019-11043漏洞是PHP 7.x版本下FPM配合不恰当的Nginx配置可以导致RCE的一个漏洞,影响的具体版本如下:PHP 7.1版本小于7.1.33;PHP 7.2版本小于7.2.24;PHP 7.3版本小于7.3.11。
书接上回,我们继续研究如何在Win32系统上利用缓冲区漏洞,完成我们新漏洞利用开发,主要是关于SEH漏洞利用问题。写到这里有些人想说对于SafeSEH和SEHOP绕过利用这个我们有机会在后续篇文章研究。
本文继续分析CommonsCollections:3.1的相关反序列化利用链,这次主要分析CommonsCollections5,6,7,9,以及我找的一个新利用链,这里暂且将其称为10.
湖湘杯2019复赛writeup——Transformers。
在这篇文章中,我们将创建一些活动目录金丝雀来帮助我们检测遍历网络的威胁活动,我们会使用到HELK、SilkETW、DNS解析日志、Sysmon和一个假冒的SMB/SAMR服务器。
前一段时间Apache发了一个Shiro的漏洞通告RememberMe Padding Oracle Vulnerability,原因是Shiro使用了AES-128-CBC模式对cookie进行加密,导致恶意用户可以通过padding oracle攻击方式构造序列化数据进行反序列化攻击。
在本文中,我将与大家分享Edge(EdgeHTML)浏览器的几个bug,将这些bug结合起来后,可以实现两种不同的攻击效果:LDF(本地文件包含)及EoP(权限提升),后者可以用来修改about:flags中的任何具体设置。
这是kerbreos篇的最后一篇文章了。这篇文章主要讲的内容是微软为了访问控制而引进的一个扩展PAC,以及PAC在历史上出现过的一个严重的,允许普通用户提升到域管的漏洞MS14068。
最近”暗影实验室”在日常检测中发现了一款伪装插件FlashPlayer的间谍软件,该款软件不仅通过检测模拟器以防止沙箱对其进行分析,还通过检测安装在移动设备上的杀毒软件。
该漏洞是的原理是,IE下的mshtml动态连接库将TreeNode对象从Dom树释放后,又重新调用对象的任意代码执行。该漏洞覆盖的IE版本从IE6到IE11,是一个典型的浏览器UAF漏洞,最后使用精准堆喷射完成利用。
Emotet在2014年6月被安全厂商趋势科技发现,据公开信息认为是Mealybug网络犯罪组织在运营,至今保持活跃。该家族由针对欧洲的银行客户的银行木马发展成为了对全球基础设施的僵尸网络,在攻与防的较量中,使用的的技术手法层出不穷。
前面分析了ysoserial的CommonsCollections1,熟悉了一点Java反序列化。本文将继续分析ysoserial的利用,今天的主角是CommonsCollections3.
不久前,我发现了我的第一个0day漏洞,此漏洞存在于NVIDIA GeForce Experience 3.20.1之前的版本,是由宽松的CORS策略和驱动程序下载链接的未验证以及Geforce Experience主程序的DLL劫持共同导致的。
在过去几周中,FortiGuard Labs一直在研究带有SVG(Scalable Vector Graphics)图像的Web应用。在本文中,我们简要介绍了SVG的特点以及针对SVG图像的常见攻击面。
UAF漏洞全称为use after free,即释放后重用。漏洞产生的原因,在于内存在被释放后,但是指向指针并没有被删除,又被程序调用。比较常见的类型是C++对象,利用UAF修改C++的虚函数表导致的任意代码执行。
这次XCTF Final很开心在队友的带领下拿了个冠军,比赛中有一道noxss2019很有意思在这里学习一下。
这篇文章中我们将简单了解Vxworks中的设备驱动,并完成固件主逻辑的全部逆向,同时复现该固件最后一个已知漏洞。
在开发SharpGPOAbuse工具之前,我想了解下Windows如何处理GPO(Group Policy Object,组策略对象)以及不同GPO组件之前如何进行关联。在寻找可能的攻击方式时,我找到了一个比较特别的属性:gpLink。

安全活动

“AI+IoT”是未来的风口,也是小米核心战略之一,它带来了生活的便利,让人们感受到了科技带来的美好生活,而如何做好其中的安全防护及隐私保护对用户和小米都是至关重要的。
网络安全从未像今天这样被重视,安全法规落地、安全技术进化、安全产品创新、安全意识普及……一个崭新的产业纪元已经到来!
看雪CTF(简称KCTF)是圈内知名度最高的技术竞技,从原CrackMe攻防大赛中发展而来,采取线上PK的方式,规则设置严格周全,题目涵盖Windows、Android、iOS、Pwn、智能设备、Web等众多领域。
本次EISS-2019企业信息安全峰会确定于2019年11月22日在上海举行。我们诚邀多位业内安全大咖作为演讲嘉宾分享实战经验。
今年,京东安全峰会,将升级为“2019京麒国际安全峰会”!在北京的冬天,为各位带来一场极客的年度盛宴!2019京麒国际安全峰会——『 捍卫信任』
随着互联网在我国的飞速发展,网络广泛的应用于各个生活场景。互联网应用一片繁荣的同时,与之相伴而来的网络安全问题却愈演愈烈。
大赛设置了网络攻防赛和信息安全作品赛两个项目,其中网络攻防赛初赛将采用流行的CTF赛形式,赛题类型为密码学、Web安全、逆向分析、二进制漏洞挖掘、综合杂项等。