360网络安全周报第253期

安全资讯

近日,360安全大脑监测到,“佛系”的Crysis勒索病毒家族有了新的动作,出现了新的病毒变种。
什么?我房间里的灯泡就可以泄露我说过的话?你可能不太相信,但是最近的一项研究表明,如果你开了窗,间谍(或恶意窃听者)可以从远程观察挂在你房间里的灯泡,测量其发出的光量来监听你的秘密对话。
Drupal发布安全更新;FF Sandbox Escape (CVE-2020-12388);Cisco Webex Meetings Desktop App for Mac更新功能代码执行漏洞。
克隆版笔记共享网站Privnote.com窃取用户比特币;滴滴正式起诉“性侵视频”表演者及涉黄直播平台,网络色情灰色产业链曝光;瑞幸自曝造假前,董事会成员邮件曾被黑客攻破
Foodora在14个受影响的国家遭受数据泄露70多万用户;Corelight宣布集成Zeek和Surica的开放式NDR平台;AcidBox:恶意软件重新利用Turla Group攻击目标俄罗斯组织。
勒索软件诈骗者向勒索软件“受害者”发送邮件,声称他们获得了受害者的数据库,并要求受害者支付1,500至3,000美元的比特币赎金,否则将会在网络上披露他们的数据。
新的移动互联网协议漏洞使黑客瞄准4G/5G用户;谷歌、亚马逊、微软云上攻防备忘录;在浏览器中粘贴任意内容的风险(Chromium、Firefox、Safari、Google Docs、Gmail、TinyMCE、CKEditor和其他浏览器中的错误)。
Facebook 耗资数十万协助 FBI 捕获性侵者;肺炎疫情:台湾如何利用网络黑客防疫;黑客GhostExodus谈在服刑十年后看到的新世界;嘻哈歌手Gary两岁儿子个人账号被盗,萌照全被删光
为了反对种族歧视,代码托管平台GitHub可能要改术语了;微软宣布:发布禁止向警察部门出售面部识别技术禁令;思科Talos研究人员最近在Microsoft Excel中发现了两个代码执行漏洞。
勒索软件Maze攻击美国独立咨询公司Threadstone Advisors;勒索软件攻击破坏了澳大利亚饮料公司Lion的运营;攻击者冒充privnote窃取比特币。

安全知识

今天拿到一个比较有意思的dmp,分析之余觉得有趣,撰文以分享。
微软在上周发布了一个补丁,修复了CVE-2020-1181漏洞,这是SharePoint服务器中的一个远程代码执行(RCE)漏洞。该漏洞由一名匿名研究人员提交至ZDI,我们分配的编号为ZDI-20-694。
上一篇文章对S7comm-Plus协议进行了初步研究,算是理论研究了,本篇以核心通信DLL(OMSp_core_managed.dll)为目标,使用动态调试的方式,对协议的握手、加密认证过程进行动态调试,以对通信过程做进一步探索认识。
在这一小节,我们将会遇到一个 比较”奇怪”的样本,大部分的分析工作都需要在调试器中完成,此时,如果能够比较熟练的阅读汇编代码,将会大大的提升分析的速度。
最近我们发现,Frida或许可以在Windows平台上也大展身手。我们认为Frida是可以用于Windows平台的逆向工具之一,但是在我们测试过程中发现Frida不能进行符号查找,这也是之前Frida一直没有在Windows平台得以广泛使用的重要原因。
虚拟机保护的题目相比于普通的pwn题逆向量要大许多,需要分析出分析出不同的opcode的功能再从中找出漏洞,实际上,vmpwn的大部分工作量都在逆向中,能分析出虚拟指令集的功能实现,要做出这道题也比较容易了。
本文讨论Windows组策略对象(GPO)机制中的一个漏洞。此漏洞专门针对策略更新步骤,允许域环境中的标准用户执行文件系统攻击,进而允许攻击者躲过反病毒软件,绕过安全加固措施。
在本文中表明,尽管使用了高级加密,但流行的IM应用程序会将其客户端的敏感信息泄漏给仅监视其加密IM流量的攻击者,而无需利用IM应用程序的任何软件漏洞。
近期,“滴滴司机性侵直播”事件让舆论哗然,不得不让人们重新关注“虚构迷奸直播”背后的地下色播江湖里,暗藏通过色情直播打赏获利,甚至线下进行付费色情交易的黑色利益链。
这个漏洞是 国家电网公司信息与网络安全重点实验室 发现的,现在微信公众号已经将文章删除,但其他的安全公众号仍留有记录,看了一下分析过程,故想要跟着分析漏洞成因,编写poc,因此才有了这一篇分析文章。
在做CTF题目或者是在渗透的过程中常常会遇到已经拿到了webshell但是却无法执行命令,主要原因是由于常用的函数例如:system()等被禁用。
这篇文章描述了Pedro Ribeiro(@pedrib1337)和Radek Domanski(@RabbitPro)发现的一系列Java漏洞。这些漏洞在1月份举行的ZDI Pwn2Own Miami 2020比赛中利用。
本文从2.23、2.27、2.29三个角度并结合实例阐述了Off by Null的利用方式。
这次web题质量还可以,可惜自己还是太菜了。
互联网的迅速发展,步履随形的博彩行业也乘上了互联网的快车道。在利益的诱惑下,传统线下赌场逐渐分流业务到线上。随着博彩行业“巨头们”的角逐,产生了博彩一站式服务平台——包网。
这篇文章中我们展示了在处于容器ROOT用户+主机非ROOT权限场景下时,如何借用默认权限且不带有--privileged参数运行的Docker容器在主机层面来实现权限提升。
经过了前面几节的静态分析,相信大家已经对静态分析已经有了比较深刻的理解。
近年来,越来越多的锁机勒索软件对Android平台以及用户的财产构成了巨大威胁。为了解决这个问题,在本文中提出一种轻量级的自动方法来检测锁机勒索软件。
QBot,又名QakBot,是一款活跃多年的木马程序。它最初被认为是金融恶意软件,用来窃取用户凭证和击键,针对政府和企业进行金融欺诈。据威胁研究人员当时观察,它是通过网络钓鱼活动或者另一个恶意软件(如Emotet)传播的。
我们提出了“UAFuzz”,这是第一个专用于UAF bugs的(二进制级)定向灰盒模糊测试器(Greybox Fuzzer)。
上周肝了两天RCTF,最近闲下来好好做了下其中的几道题,这里写一下它们的题解。
VSAT(Very Small Aperture Terminal)即甚小口径卫星终端站,它的出现彻底改变了海上行动,但是目前对海上VSAT服务的安全性了解得还不够。
seccomp的pwn题近两年算是一个热点,搞懂这种机制运行原理很重要,希望能对大家有帮助。
本文中,我将深入分析该安全修补的工作原理,及其对二进制漏洞利用的影响。我们将特别关注GLibC的Malloc中加入的修补,不过这种缓解措施的原理可以直接用于其他版本的Malloc。
在一次XSS测试中,往可控的参数中输入XSS Payload,发现目标服务把所有字母都转成了大写,假如我输入alert(1),会被转成ALERT(1),除此之外并没有其他限制,这时我了解到JavaScript中可以执行无字母的语句,从而可以绕过这种限制来执行XSS Payload。
前两天刷微博的时候发现一群利用微博宣传免费送赠水果的博主,抱着好奇的心态便关注了其中一位博主,并按照他的要求进入了一个群聊。

安全活动

2020年5月起针对信息安全从业人员,中国信息安全测评中心陆续推出针对新冠病毒疫情、部分重点特困地区、革命老区CISP扶持政策,优惠力度高达50%,堪称史上最强官方优惠,现在是你拿下CISP证书的绝佳机会!
安全牛课堂技术会员(https://www.aqniukt.com/vip/)限时6折,购买会员350门技术课程免费看,送小米颈椎按摩仪(价值400元),送安全牛商城50元优惠券,报名认证最高返现998元,快来占便宜吧。
这本书是市面上唯一一本讲解 Android 应用安全的入门书,涵盖 Android 应用 5 大类 55 项安全测试的要求与方法。对新手十分友好,将理论与实践充分结合起来,通过安全测试+安全防护,实现完美闭环,全方位精准提升 App 安全。
7月12日22点整,由GeekPwn携手腾讯安全云鼎实验室联合举办的云靶场挑战赛线上热身赛正式落下帷幕。
2020年,网络威胁随着云技术、大数据、物联网、人工智能等技术的发展也将进化,变得更加复杂、棘手、难以应对。网络安全投入持续增加,市场规模将进一步扩大,发展潜力也将继续被激发出来。
2013年的时候,你在做什么呢?是刚刚接触网络安全准备大干一场,还是已经在网络安全的世界里小有成就了呢?2013年呀,我第一次和大家见面,我认识了好多可爱的朋友们,不知不觉已经8年过去啦。