360网络安全周报第253期

安全资讯

近日,360安全大脑监测到,“佛系”的Crysis勒索病毒家族有了新的动作,出现了新的病毒变种。
什么?我房间里的灯泡就可以泄露我说过的话?你可能不太相信,但是最近的一项研究表明,如果你开了窗,间谍(或恶意窃听者)可以从远程观察挂在你房间里的灯泡,测量其发出的光量来监听你的秘密对话。
Drupal发布安全更新;FF Sandbox Escape (CVE-2020-12388);Cisco Webex Meetings Desktop App for Mac更新功能代码执行漏洞。
克隆版笔记共享网站Privnote.com窃取用户比特币;滴滴正式起诉“性侵视频”表演者及涉黄直播平台,网络色情灰色产业链曝光;瑞幸自曝造假前,董事会成员邮件曾被黑客攻破
Foodora在14个受影响的国家遭受数据泄露70多万用户;Corelight宣布集成Zeek和Surica的开放式NDR平台;AcidBox:恶意软件重新利用Turla Group攻击目标俄罗斯组织。
勒索软件诈骗者向勒索软件“受害者”发送邮件,声称他们获得了受害者的数据库,并要求受害者支付1,500至3,000美元的比特币赎金,否则将会在网络上披露他们的数据。
新的移动互联网协议漏洞使黑客瞄准4G/5G用户;谷歌、亚马逊、微软云上攻防备忘录;在浏览器中粘贴任意内容的风险(Chromium、Firefox、Safari、Google Docs、Gmail、TinyMCE、CKEditor和其他浏览器中的错误)。
为了反对种族歧视,代码托管平台GitHub可能要改术语了;微软宣布:发布禁止向警察部门出售面部识别技术禁令;思科Talos研究人员最近在Microsoft Excel中发现了两个代码执行漏洞。
勒索软件Maze攻击美国独立咨询公司Threadstone Advisors;勒索软件攻击破坏了澳大利亚饮料公司Lion的运营;攻击者冒充privnote窃取比特币。

安全知识

今天拿到一个比较有意思的dmp,分析之余觉得有趣,撰文以分享。
微软在上周发布了一个补丁,修复了CVE-2020-1181漏洞,这是SharePoint服务器中的一个远程代码执行(RCE)漏洞。该漏洞由一名匿名研究人员提交至ZDI,我们分配的编号为ZDI-20-694。
上一篇文章对S7comm-Plus协议进行了初步研究,算是理论研究了,本篇以核心通信DLL(OMSp_core_managed.dll)为目标,使用动态调试的方式,对协议的握手、加密认证过程进行动态调试,以对通信过程做进一步探索认识。
在这一小节,我们将会遇到一个 比较”奇怪”的样本,大部分的分析工作都需要在调试器中完成,此时,如果能够比较熟练的阅读汇编代码,将会大大的提升分析的速度。
最近我们发现,Frida或许可以在Windows平台上也大展身手。我们认为Frida是可以用于Windows平台的逆向工具之一,但是在我们测试过程中发现Frida不能进行符号查找,这也是之前Frida一直没有在Windows平台得以广泛使用的重要原因。
虚拟机保护的题目相比于普通的pwn题逆向量要大许多,需要分析出分析出不同的opcode的功能再从中找出漏洞,实际上,vmpwn的大部分工作量都在逆向中,能分析出虚拟指令集的功能实现,要做出这道题也比较容易了。
本文讨论Windows组策略对象(GPO)机制中的一个漏洞。此漏洞专门针对策略更新步骤,允许域环境中的标准用户执行文件系统攻击,进而允许攻击者躲过反病毒软件,绕过安全加固措施。
在本文中表明,尽管使用了高级加密,但流行的IM应用程序会将其客户端的敏感信息泄漏给仅监视其加密IM流量的攻击者,而无需利用IM应用程序的任何软件漏洞。
近期,“滴滴司机性侵直播”事件让舆论哗然,不得不让人们重新关注“虚构迷奸直播”背后的地下色播江湖里,暗藏通过色情直播打赏获利,甚至线下进行付费色情交易的黑色利益链。
这个漏洞是 国家电网公司信息与网络安全重点实验室 发现的,现在微信公众号已经将文章删除,但其他的安全公众号仍留有记录,看了一下分析过程,故想要跟着分析漏洞成因,编写poc,因此才有了这一篇分析文章。
在做CTF题目或者是在渗透的过程中常常会遇到已经拿到了webshell但是却无法执行命令,主要原因是由于常用的函数例如:system()等被禁用。
这篇文章描述了Pedro Ribeiro(@pedrib1337)和Radek Domanski(@RabbitPro)发现的一系列Java漏洞。这些漏洞在1月份举行的ZDI Pwn2Own Miami 2020比赛中利用。
本文从2.23、2.27、2.29三个角度并结合实例阐述了Off by Null的利用方式。
这次web题质量还可以,可惜自己还是太菜了。
互联网的迅速发展,步履随形的博彩行业也乘上了互联网的快车道。在利益的诱惑下,传统线下赌场逐渐分流业务到线上。随着博彩行业“巨头们”的角逐,产生了博彩一站式服务平台——包网。
这篇文章中我们展示了在处于容器ROOT用户+主机非ROOT权限场景下时,如何借用默认权限且不带有--privileged参数运行的Docker容器在主机层面来实现权限提升。
经过了前面几节的静态分析,相信大家已经对静态分析已经有了比较深刻的理解。
近年来,越来越多的锁机勒索软件对Android平台以及用户的财产构成了巨大威胁。为了解决这个问题,在本文中提出一种轻量级的自动方法来检测锁机勒索软件。
QBot,又名QakBot,是一款活跃多年的木马程序。它最初被认为是金融恶意软件,用来窃取用户凭证和击键,针对政府和企业进行金融欺诈。据威胁研究人员当时观察,它是通过网络钓鱼活动或者另一个恶意软件(如Emotet)传播的。
我们提出了“UAFuzz”,这是第一个专用于UAF bugs的(二进制级)定向灰盒模糊测试器(Greybox Fuzzer)。
上周肝了两天RCTF,最近闲下来好好做了下其中的几道题,这里写一下它们的题解。
VSAT(Very Small Aperture Terminal)即甚小口径卫星终端站,它的出现彻底改变了海上行动,但是目前对海上VSAT服务的安全性了解得还不够。
seccomp的pwn题近两年算是一个热点,搞懂这种机制运行原理很重要,希望能对大家有帮助。
本文中,我将深入分析该安全修补的工作原理,及其对二进制漏洞利用的影响。我们将特别关注GLibC的Malloc中加入的修补,不过这种缓解措施的原理可以直接用于其他版本的Malloc。
在一次XSS测试中,往可控的参数中输入XSS Payload,发现目标服务把所有字母都转成了大写,假如我输入alert(1),会被转成ALERT(1),除此之外并没有其他限制,这时我了解到JavaScript中可以执行无字母的语句,从而可以绕过这种限制来执行XSS Payload。
前两天刷微博的时候发现一群利用微博宣传免费送赠水果的博主,抱着好奇的心态便关注了其中一位博主,并按照他的要求进入了一个群聊。

安全活动

2020年5月起针对信息安全从业人员,中国信息安全测评中心陆续推出针对新冠病毒疫情、部分重点特困地区、革命老区CISP扶持政策,优惠力度高达50%,堪称史上最强官方优惠,现在是你拿下CISP证书的绝佳机会!
安全牛课堂技术会员(https://www.aqniukt.com/vip/)限时6折,购买会员350门技术课程免费看,送小米颈椎按摩仪(价值400元),送安全牛商城50元优惠券,报名认证最高返现998元,快来占便宜吧。
这本书是市面上唯一一本讲解 Android 应用安全的入门书,涵盖 Android 应用 5 大类 55 项安全测试的要求与方法。对新手十分友好,将理论与实践充分结合起来,通过安全测试+安全防护,实现完美闭环,全方位精准提升 App 安全。
将基于维阵,为大家讲述如何进行二进制漏洞挖掘以及漏洞利用等,敬请期待~
7月11-12日,大战一触即发!
2020年,网络威胁随着云技术、大数据、物联网、人工智能等技术的发展也将进化,变得更加复杂、棘手、难以应对。网络安全投入持续增加,市场规模将进一步扩大,发展潜力也将继续被激发出来。
2013年的时候,你在做什么呢?是刚刚接触网络安全准备大干一场,还是已经在网络安全的世界里小有成就了呢?2013年呀,我第一次和大家见面,我认识了好多可爱的朋友们,不知不觉已经8年过去啦。