360网络安全周报第274期

安全资讯

黑客正在暗网上出售超过85,000个MySQL数据库;黑客从流行的应用窃取并出售4000个.nz电子邮件地址和密码;GitLab文件读取远程代码执行。
富士康文件被勒索软件“绑架”,一口价3400万美元;火眼被国家级APT组织攻击,矛头指向俄罗斯;疫苗才露尖尖角,早有黑客等着偷。
美国顶级网络安全公司被国家级黑客组织入侵!12月8日,美国FireEye公司公开表示,一个拥有一流进攻能力的国家黑客组织窃取了该公司用来检测客户计算机网络漏洞的敏感工具,以寻求与政府客户有关的机密信息。目前FBI已介入调查,而相关信息已暗指俄罗斯外交情报部门为“幕后主使”……
2020年12月09日,360CERT监测发现 微软官方 发布了 12月安全更新 的风险通告,事件等级: 严重 ,事件评分:9.8 。
2020年12月09日,360CERT监测发现 openssl 发布了 openssl 拒绝服务漏洞 的风险通告,该漏洞编号为 CVE-2020-1971 ,漏洞等级: 高危 ,漏洞评分: 7.5 。
安全公司FireEye遭遇APT攻击;云服务商Netgain遭遇勒索袭击;微软12月补丁修复多个高危漏洞。
12月7日,NortonLifeLock宣布已经与Avira就收购事宜达成一致,将以约3.6亿美元现金交易完成收购。
俄罗斯黑客挥挥金手指,近3000快递柜乖乖弹开;哈萨克斯坦第三次尝试拦截HTTPS流量,首都成试用田;直升机制造商Kopter成勒索软件攻击最新受害者。
2020年12月08日,360CERT监测发现 struts2 发布了 struts2 代码执行漏洞 的风险通告,该漏洞编号为 CVE-2020-17530 ,漏洞等级: 高危 ,漏洞评分: 7.5 。
IoT 领域 IPv6 安全现状报告;俄罗斯政府背景的组织利用 VMware Workspace One Access 产品漏洞攻击目标;暗度陈仓!超两千万部金立手机变肉鸡,魅族回应称未参与过。
红队中易被攻击的一些重点系统漏洞整理;Beacon Stager listener 去特征;Java 反序列化过程中 RMI JRMP 以及 JNDI 多种利用方式详解;打比赛捣蛋的奇招妙想附脚本。
Turla总共攻击了一百多个国家和地区的政府机构、大使馆、教育以及研究机构的数千个信息系统。
全球数十国央行及证券机构软件供应商源代码遭泄露;勒索软件团伙表示,他们从E-Land那里偷走了200万张信用卡;android平台上出现的新的恶意软件 WAPDropper。
数亿Android用户由于CVE-2020-8913遭受黑客攻击;内网技巧-RDP劫持及利用hash登录;Java安全之CC4链。

安全知识

最近,全球领先的网络安全公司 FireEye 疑遭某 APT 组织的攻击,其大量政府客户信息遭越权访问,且红队工具被盗。虽然目前尚不清楚这些红队工具将被如何处置,但FireEye 公司在 GitHub 上发布了一些应对措施。
在上篇文章中,我主要从私有协议的分析方式开始,通过抓取TeamViewer包观察其流量行为,从日志中获取协议的各个行为入手,对协议各个流程进行分解。
在上一篇文章中,我们为读者介绍了堆栈溢出漏洞,以及当前系统提供的针对该类漏洞的缓解措施,在本文中,我们将继续为读者详细介绍SEH劫持技术。
本文将对禅道12.4.2后台getshell漏洞进行分析,距离该版本上线已经过去2个多月,本漏洞会对12.4.2之前的版本产生影响,目前已经在新版本中修复。
我虽是开发,但是也一直对安全挺感兴趣的。 这段时间也找出了公司远古项目的一些问题,借此,想简单分享一下关于代码审核的一些经验。
接上一篇《一步步成为你的全网管理员(上)》。
在研究一个系统或程序时,跟踪和观察版本之间的变化是很有价值。当一个新版本发布时,如果能够轻松直观地看到它的更改,可以很容易发现一些东西,比如厂商默默修补的bug,没有声明的新功能甚至是新bug的引入。这不仅适用于单个二进制文件,而且适用于整个系统,包括整个操作系统。
从一题学习v8引擎对property access的相关JIT优化。
本次漏洞是对S2-059漏洞修复后的绕过。S2-059的修复补丁仅修复了沙盒绕过,但是并没有修复OGNL表达式的执行。但是在最新版本2.5.26版本中OGNL表达式的执行也修复了。
这次比赛密码学一共有四题,除了EZRSA真的比较easy,其他题还是有一些做头 ,尤其最后一道ECDSA个人感觉出的挺不错的,想了还挺久的,做题的时候思维有点跳不出来,还是太菜了。
其实在我们一些大的自动化厂商的PLC都有基本的安全保护措施,如施耐德unity_pro中可以为PLC中配置IP白名单,通过TIA等软件也可以对西门子PLC也可以做一些读、写保护的配置。但在实际的控制系统的集成项目中,自动化工程师由于各种原因,会忽视对PLC的保护配置,造成我们的PLC丧失最基本的防护。
序列化是将复杂的数据结构(例如对象及其字段)转换为“更扁平”格式的过程,该格式可以作为字节顺序流发送和接收。
RoarCTF2020 部分wp.
近日,著名开源情报分析公司贝灵猫发布了一篇关于通过太阳投射的阴影位置进行地理定位的教程,基于此以后恐怕只敢在室内拍照了,下面请看详情。
ptrace是linux的进程调试syscall,我们可以使用它在一个进程(tracer)中追踪调试另一个进程(tracee)。
qemu最好通过下载源码安装方式,如果通过apt安装,会依赖当前ubuntu的版本,qemu的版本比较老。
近期,接到360手机先赔用户反馈,使用彩票跟投(自动下注)软件在指定的博彩平台充值下注,前期盈利后期博彩平台无法访问后得知受骗。
本篇主要分享的内容为,通过在线网站反编译智能合约opcode的一种方法,比较适合新手学习,下一篇我们会继续分享逆向智能合约的反汇编手法,希望对读者有所帮助。
内存损坏漏洞这个话题,对于初学者来说是一道坎。当我第一次开始在Windows操作系统上探索这个话题时,我立刻被现代的、公开的、专门针对这个话题的信息的奇缺震惊了。
在11月初,Project Zero 就宣布Apple已经修补了一系列漏洞,这些漏洞已经被利用,该链主要包括3个漏洞:FontParser中的用户层RCE以及内核中的内存泄漏和类型混淆。在这篇文章中,我们将介绍如何识别和利用内核内存泄漏漏洞。
Java反序列化漏洞一直都是Java Web漏洞中比较难以理解的点,尤其是碰到了RMI和JNDI种种概念时,就更加的难以理解了。
在 2017 年下半年,Byoungyoung 和我讨论如何使模糊测试在翻转条件分支上更高效。
基于现阶段红蓝对抗强度的提升,诸如WAF动态防御、态势感知、IDS恶意流量分析监测、文件多维特征监测、日志监测等手段,能够及时有效地检测、告警甚至阻断针对传统通过文件上传落地的Webshell或需以文件形式持续驻留目标服务器的恶意后门。
上篇文章学习了FastJson的第一版漏洞,曝出后官方立马做了更新,增加了checkAutoType()函数,并默认关闭autotype,在这之后一段时间内的绕过都与它有关。本文主要关于FastJson<=1.2.47的相关漏洞。
威胁情报这个概念,自从2014年Gartner提出以后,安全圈就一直在提这个概念,也一直尝试应用这个技术来做一些文章,无论是加在各家的安全产品上做一些对撞,还是自己保留数据库存一些黑产数据,都取得了一些效果。
开源数据中有许多与威胁有关的信息。从此类信息中尽早发现新兴安全威胁是已部署软件和系统安全的重要组成部分。
CVE-2016-0638主要还是对CVE-2015-4852的黑名单的绕过,内容上差别不大,所谓差异仅仅是触发点换了一下(由ServerChannelInputStream换到了自己的ReadExternal中的InputStream),因而绕过了黑名单。个人感觉是新瓶旧酒,攻击链甚至都不需要有太大的改动。
本周收录安全事件 58 项,话题集中在 勒索软件 、 网络攻击 方面,涉及的组织有: 温哥华地铁 、 Kopter 、Randstad 、 VMware 等。勒索及网络攻击数量剧增,良好的安全管理和员工安全意识提升刻不容缓。
有幸参加了第二届网鼎杯的决赛和半决赛,被各路神仙锤爆。赛后对几道web题目进行了整理和复现,下面分享一下思路和方法,本人才疏学浅,如有错误,还请师傅们批评指正。
总结出的一种新型堆利用手法,适用于目前所有的glibc版本,我暂且命名它为house of banana~。
CheckPoint研究人员最近发现了一种新型恶意软件并将它命名为WAPDropper。

安全活动

本次会议将围绕“产业互联、安全破局”主题展开,贝壳安全协同国内知名企业安全负责人、业内安全专家,针对产业融合背景下安全变革新形势,共同探讨安全的发展方向及前沿技术应用实践。
峰会以”直面信息安全挑战,创造最佳实践案例“为主题,总共吸引了近300位来自各行业的企业安全负责人,安全专家出席。
滴滴网络安全峰会是滴滴面向安全行业内人群的会议,至今已连续举办四届。
12月4日,,以“数字合作创新,安全赋能基建”为主题的云安全联盟大中华区大会在上海市普陀区中以(上海)创新园隆重开幕。