360网络安全周报第257期

安全资讯

7家声称不保留任何用户数据的VPN供应商,在最近爆出1.2 TB用户数据被泄露,任何人都可以在互联网上访问到这些数据。
twitter黑客获取了36个知名账户的私人信息;Pwn2Own Miami上利用5个漏洞攻破Rockwell FactoryTalk HMI;Citrix修复Workspace App高危漏洞。
北京时间2020年7月19日,有一批用户开始在Twitter上发布消息,猜测阿根廷最大的电话公司已被勒索软件入侵。紧接着,加密货币分析师Alex Krüger发推证明此事为真。
FBI秘密使用旅游公司作为全球监视工具;Twitter确认一名当选官员在黑客攻击中被访问了DM;“喵”攻击强势来袭!至今已清除数十个不安全数据库
俄罗斯再陷大国网络博弈风波!近日,英国议会情报与安全委员会历经多番举证,重磅发布了一份直指俄罗斯黑客网络攻击行动分析报告。
2020年07月23日, 360CERT监测发现 Cisco官方 发布了 Cisco ASA 软件和 FTD 软件的 Web 接口存在目录遍历导致任意文件读取 的风险通告,该漏洞编号为 CVE-2020-3452,漏洞等级:中危。
最强大的网络安全公司是市值最高的公司吗?是安全产品线最全的公司吗?是知名度最高的安全公司吗?答案都是否定的。最强大的网络安全公司,往往是那些摆脱了网络安全高级趣味的公司,例如Mitre,它甚至不是严格意义上的网络安全公司。
俄罗斯又被指责对国家网络安全构成“紧急威胁”,频现风波有何隐情;“幽灵小分队”反常理出牌背后,是安全防御的缺失还是黑客技术的炫技;Konni APT组织利用核问题、疫情为诱饵针对周边地区的攻击活动分析。
央视3.15晚会曝光趣头条广告乱象,让我们不得不正视一个问题。目前,市面上有一些赌博平台,利用“网赚”的包装形式,号称轻松赚钱,通过微信/QQ等渠道发送赌博平台链接,目的就是为了吸引用户参与赌博。同时,为躲避监管其投放时段和区域也会有所不同。
近日,一个默默无闻的“幽灵小分队”黑客组织,在一周之内两次撼动欧洲宇航局的安全防线。
7个VPN服务保留了数百万在线暴露的用户数据;Emotet僵尸网络正在严重传播QakBot恶意软件;JobSearch WP Job Board WordPress Plugin v1.5.2 - 多个漏洞。
系统被黑客冲击,甘肃省检察机关聘用书记员网上笔试中止;两名意大利青年支付比特币观看滥用谋杀直播后被捕;Coinbase阻止Twitter黑客窃取额外的28万美元
目前甲方安全面临的环境,形势都在发生巨变。网络安全法后,老板们普遍接受了网络安全干不好,自己会进去的观点。但回头检视公司安全团队后,觉得安全团队和负责人能力不够,老板们首选是外招,这其实对很多安全负责人是巨大的信任危机。
2020年07月21日,360核心安全团队发布了针对SharePoint组件的分析报告,该报告表明远程攻击者可造成远程代码执行影响。本次更新标识该漏洞的详细信息公开,并可能在短时间内出现大规模攻击态势。
欧洲第四大移动运营商Orange确认20个企业客户的勒索软件攻击威胁数据;capa:一款自动识别恶意软件功能的工具;CVE-2020-1147:SharePoint and Pwn :: Remote Code Execution Against SharePoint Server Abusing DataSet。
本周收录安全事件17项话题集中在数据安全、勒索方面,涉及的厂商有:Dropbox、Collabera、LiveAuctioneers、Twitter等。数据依然是网络攻防两端的主要关注对象,重视数据保护尤为重要。
WellMess(APT-C-42)组织网络渗透和供应链攻击行动揭秘;警惕新型nginx后门,目前全杀毒软件免杀;oledump最新版本发布。

安全知识

随着RMI的进步一发展,RMI上的反序列化攻击手段正逐渐增多,该类漏洞最近正受到愈加广泛的关注。
从业务安全角度考虑,一般客户端与服务端通信会进行加密,防止被刷单、薅羊毛等攻击,需要对数据加密加密处理。所以我们必须了解各种加密方式。
在本文中,通过实际实施联邦学习系统和分布式投毒攻击,获得了有关投毒训练样本数量,攻击者与攻击成功率之间关系的一些观察结果。此外提出了一种方案Sniper,以消除训练过程中恶意参与者的投毒本地模型。
本篇是YARA规则的入门篇,通过本节的内容我们可以发现,Yara在恶意样本检测中有着至关重要的作用(虽然本节中写的YARA很简单,但是Yara可以做的远远不止于此)。
7月21日,安全客2020季刊—第2季再度上线,我们对文章的质量严格把关,对品质始终恪守不渝,只愿为安全爱好者带来最好的干货!
分析SGX的工作模型,设法将Release版本的Enclave转换成Debug版本,再借助SGX开发套件中的sgx-gdb工具,可实现对SGX Enclave的动态调试,之后便可为所欲为。
学艺不精,若有错误,还请大佬们轻锤。
要与Windows操作系统进行交互,软件通常会从动态链接库(DLL)中导入函数。 这些函数往往以明文形式存在“导入表”中,杀毒软件通常会利用此功能来检测和推断恶意行为。
Zoom 5.1.2及之前版本尝试加载了一个名为 shcore.dll的系统库文件来辅助设置显示 Dpi,但是这个库文件在 Win7 System32 下默认没有,在 Win10 System32 下可以找到,给 DLL 劫持提供了机会。
为了加速业务创新,应用开源技术提升开发效率成为企业的主流选择,但这也导致了日益依赖复杂的软件供应链。虽然有诸多优点,但广泛应用开源组件也带来了新的安全挑战,软件成分分析(SCA)应运而生。
主要是在2.29以上的高版本glibc中,setcontext的参数改成了rdx,所以free_hook不能再setcontext rop orw或者进行mprotect运行shellcode,在0ctf的时候遇到了第一次,当时没做出来,之后再geekpwn又遇到了一次。
IFEO(Image File Execution Options )是设置在Windows注册表中,创建IFEO注册表项的目的是让开发人员可以选择调试他们的软件,是为了开发人员可以使用注册表项将任何程序附加到任何可执行文件,但是很多被利用了去实现进程注入。
某重保项目,需要进行渗透,找到突破口,拿起sqlmap一顿梭,奈何安全设备在疯狂运转,故祭起绕过注入的最强套路-分块传输绕过WAF进行SQL注入。
本文由作者和Safe-Linking机制的设计者Eyal共同撰写,描述绕过Safe-Linking并直接攻击tcache管理机制的方法。
welcome表面上是一款面向阿拉伯地区的聊天软件,实则是一款具有强大聊天功能的间谍软件。
大黑阔们用的id都会用一些形似而意非的字符代替原字符,虽然字符奇奇怪怪,但是我们依然能够读懂这些id代表的什么意思。
ESET最近发表了一篇有关Invisimole恶意软件的文章,引起了人们对其使用LVM_SETITEMPOSITION和LVM_GETITEMPOSITION实现注入,并使用LVM_SORTITEMS实现执行的关注。
本篇文章主要分享一下在社交平台常见的IM广告引流场景下,业务风险IP情报如何帮助企业风控找到更多虚假账号。
成功利用CVE-2019-1367后,将执行Magnitude Exploit Kit 恶意的shellcode指令。
继上一篇《渗透测试之黑白无常》之后,当时的目标中还有个WordPress网站,虽然为一批目标但是运行环境却不太一样,同上一篇文章一样本文使用本地搭建环境来复现。
这一块咕咕咕了好久,暑假了,终于才有时间去细究coppersmith背后的原理。
在上一篇文章中,我展示了如何使用USO客户端与USO服务进行交互,并通过 StartScan 命令让其按需加载windowscoredeviceinfo.dll。不过这并没有达到我们最终的目的。
2020年07月21日,360核心安全团队发布了针对SharePoint组件的分析报告,该报告表明远程攻击者可造成远程代码执行影响。本次更新标识该漏洞的详细信息公开,并可能在短时间内出现大规模攻击态势。
在第 1 部分中,我们介绍了CVE-2019–1367漏洞的具体原因,在这一部分中,我们将讨论如何利用这个漏洞来实现代码执行。我们将重点关注我们在野发现的Magnitude Exploit Kit和DarkHotel APT使用的漏洞。
近几年来fastjson漏洞层出不穷,本文将会谈谈近几年来fastjson RCE漏洞的源头:17年fastjson爆出的1.2.24反序列化漏洞。以这个漏洞为基础,详细分析fastjson漏洞的一些细节问题。
WellMess组织是一个一直未被业界认定的APT组织,多方面数据显示该组织在2017至2019年间的攻击活动开始频繁活跃,其中日本互联网应急响应中心于2018年曾报道过该组织的相关攻击活动,但并未将其归属为APT组织。
在这一节中,我们将通过分析恶意软件流量从pcaps中提取exploit。
本文提出了方案:GPS卫星指纹识别。断言有可能创建卫星的签名或指纹(更具体地说是其发射),从而使人们几乎可以立即确定所接收的GPS发射是否真实。
在之前的文章中,我们分别分析了传统c++编写的downloader、Dropper和一些非PE的恶意样本如office宏、VBS、powershell脚本等。在本小节中,将以恶意样本的另一大巨头:C#编写的恶意样本为主题进行分析。
在本篇文章中,我们将讨论如何检测使用诸如memfd_create()之类的方法在RAM中创建一个可以运行的匿名文件以进行无文件攻击这种攻击向量。
我们在日常使用手机的过程中可能常常会受到智能手机上未知来源的广告的侵扰。这些未知来源的广告可能在用户未购买手机设备之前就已嵌入到系统应用或系统库中,用户根本无法删除。
说来话长, 在一个月黑风高的晚上,突然接到一个渗透任务,貌似还挺急,在客户充分授权的情况下,便连夜进行测试。

安全活动

水滴SRC的夏日活动来啦,双倍奖励、推荐新人奖励、新人3倍奖励、双倍卡已就位
站在攻防角度揭秘wmi攻击与防御技术,揭开wmi的神秘面纱。
MOSEC移动安全技术峰会始办于2015年,由盘古团队和POC主办。会议立足于高质量的安全技术,覆盖iOS、Android、Windows三大移动平台,致力于分享移动安全领域前沿性的技术议题及发展趋势,曾创造了15天售空所有入场券的佳绩。峰会高质量的安全技术信息分享,赢得了与会者及业内的一致好评。
又到了日常且必不可少的问卷调查环节, 不知道这次我们的季刊和活动是否让各位师傅满意哇?有建议和意见尽管来提!我们虚心接受!
“EISS-2020企业信息安全峰会之北京站”即将于2020年7月31日(周五)举行。安全+ 诚邀近30位资深安全大咖以在线形式为与会者进行分享及答疑解惑。预计本次峰会将有超过400位的来自不同行业的安全负责人,安全专家参与并共同探讨企业信息安全现状及未来,今夏不容错过的安全盛会!赶快报名参加吧!
ByteSRC 7月福利第三弹—翻倍挖挖乐活动!翻倍卡、京东卡、任天堂switch、周边礼品,统统备好!
当孤独已经成为常态,BSRC希望能借助“AI小度”的力量,给你带来贴心的陪伴,治愈你的孤单~
本届WMCTF是由XCTF联赛的合作单位W&M战队组织,由赛宁网安提供技术支持。作为第六届XCTF国际联赛的分站赛,本次比赛将采用在线网络安全夺旗挑战赛的形式,面向全球开放。
7月21日,安全客2020季刊—第2季再度上线,我们对文章的质量严格把关,对品质始终恪守不渝,只愿为安全爱好者带来最好的干货!
开源具有诸多优势,例如灵活性、成本效益和共享维护成本。还有很多开源的战略益处,难以一一列出,只有置身于这个社区之中的人才会深切体会。
听说,情人节的礼品要提前一个月准备?着急想多赚些钱买个大礼?别急,陌陌安全给大家带来了安全众测专项活动,请大家仔细阅读 活动内容 & 注意事项 的内容