360网络安全周报第275期

安全资讯

SolarWinds失陷服务器测绘分析报告;360-CERT: 2020安全漏洞年报;ZDI总结全年最重要的5个漏洞。
SolarWinds供应链攻击事件中C2的DGA子域名列表;SolarWinds供应链攻击中域名生成算法破解工具。
360-CERT是政企安全创新中心的尖兵团队,团队致力于维护计算机网络空间安全,是360基于“协同联动,主动发现,快速响应”的指导原则,对全球重要网络安全事件进行快速预警、应急响应的安全协调中心。
2020年12月16日,360CERT监测发现 Nexus Repository Manager 3 发布了 Nexus Repository Manager 3 命令注入漏洞 的风险通告,该漏洞编号为 CVE-2020-29436 ,漏洞等级: 高危 ,漏洞评分: 8.7 。
给我一部手机,在狱中也能风生水起;Google服务大面积中断,登上Google热搜榜;已故艺人推特账号被盗,凌晨突然更新。
2020年12月15日,360CERT监测发现 Forescout 发布了 AMNESIA:33 的研究报告,事件等级: 严重 ,事件评分: 9.8 。
Adrozek的新恶意软件分析;Russian APT28 利用新冠疫情进行攻击;angelboy关于windows内核堆的研究——Slide。
微软披露曾劫持过Chrome和Edge等浏览器的Adrozek;WordPress SMTP插件中的0day被滥用来重置管理员帐户密码。
Netgain是世界第一家基于硬件的IT架构监测和管理解决方案提供商,主要使命是帮助全球企业实现了完善的IT业务架构管理,保证用户系统资源的高可用性。
Adobe发布flash的最后一次更新;hack facebook part one;root android studio模拟器;windows系统上常见的注入技术。
黑客使用Pay2Key勒索软件入侵了Intel公司Habana实验室;美国机构被外国网络间谍组织攻击可能和俄罗斯有关;他国政府支持的黑客破坏了美国财政部。
2020年12月14日,360CERT监测发现 XStream 发布了 XStream 反序列化漏洞 的风险通告,漏洞编号为 CVE-2020-26259,CVE-2020-26258 ,漏洞等级: 高危 ,漏洞评分: 8.9 。
日前Adobe发布了Flash版本更新,同时在更新说明中附上,此次是最后一次更新,感谢用户的创作与支持。
美网络空间的战火从未偃旗息鼓。上周FireEye风波还未平息,今天凌晨《路透社》再次爆出猛料称,美国财政部、商务部以及一些其他政府机构等正被国家级APT组织攻击。

安全知识

对于以偷拍形式获取的视频资源,不法分子是通过什么方式进行贩卖变现的?通过已掌握的情况看,其主要通过情色视频自拍网站、卖片党、账号党等渠道传播偷拍视频。
有别于网上的旧资料,OSCP在2020年度进行了一次大升级,发生的改动较多,课程名次除了原本的PWK(Penetration with Kali Linux)还有了一个新名字PEN-200,想要参与OSCP学习和认证的强烈建议前往官网查看权威信息。
美国时间2020年12月13日,SolarWinds公司的orion平台软件被爆出存在供应链后门,使用该公司产品的数百家美国核心组织机构被国家级APT组织入侵。
今天刚到公司,看到刚哥在群里发的消息。打开一看是个众测平台,注册的时候提示需要邀请码,而邀请码的获得方式有两种,一种是老用户邀请,另一种则需要通过平台提供的一个小游戏获取flag。
近期暗影安全实验室发现黑客在一个假冒GooglePlay的钓鱼网站上分发勒索软件,该勒索软件仿冒Cyberpunk2077应用,Cyberpunk2077《赛博朋克2077》是一款知名的角色扮演游戏APP。黑客利用该应用的热度分发勒索软件以加密用户文件胁迫用户支付比特币。
上篇文章中学习了FastJson主流的第二版漏洞,在v1.2.48中 设置cache为false修复了这个漏洞,之后在1.2.68中出现了新的利用方式。本文就FastJson1.2.68版本的漏洞进行详尽的原理分析。
在上一篇文章中,我们为读者详细介绍了SHE劫持技术,以及DED和ASLR防御机制,在本文中,我们将继续为读者讲解如何创建ROP链。
刚开始接触v8方面的漏洞利用,就从这题分享一下我学习的过程。
2020年10月,美团安全运营平台发现流量中存在恶意JavaScript请求,信息安全部收到告警后立即开始应急处理。
利用mallopt设置global_max_fast为0,引发main_arena重新初始化,在main_arena上构造出一个top chunk。
近日接到用户反馈,发现一起通过腾讯视频精简包投毒事件。经过分析,发现该安装包携带Cobalt Strike后门病毒。用户安装腾讯视频精简包并运行腾讯视频主程序后,就会激活后门病毒。病毒可以接收C&C服务器指令,具备服务创建,进程注入,远程shell等功能。
基于现阶段红蓝对抗强度的提升,诸如WAF动态防御、态势感知、IDS恶意流量分析监测、文件多维特征监测、日志监测等手段,能够及时有效地检测、告警甚至阻断针对传统通过文件上传落地的Webshell或需以文件形式持续驻留目标服务器的恶意后门。
打了安恒举办的西湖论剑比赛,题目都是跑在一个开发板上的,通过数据线连接开发板的otg接口能访问题目环境。
本文通过对偷拍产业链的剖析,解开其产业链背后的面纱。
面对高速发展的今天,互联网成为了联结所有人信息的交汇点,同样对于互联网中的漏洞也在不断的迭代更新。
Monero 节点探测在这里指通过技术手段识别 Monero 区块链节点,目的是识别Monero 网络节点的规模,以及关键节点地址,Monero(XMR,门罗币)是一种以隐私反追踪为主要卖点的加密货币,故意隐藏钱包地址和交易,允许人们秘密使用货币。
基于webkit的浏览器通常是全链攻击的入口点:从浏览器利用到内核利用。但是,由于浏览器引擎加固技术加上完全没有调试功能,使得成功利用最新PS4固件中的bug非常困难。在这篇文章中,我们将介绍这个bug的根本原因。
智能电表设备能够更好地了解私人信息泄露的潜在风险的需求。一个可行的减少这种风险的解决方案是在电表数据中注入噪音,以实现一定程度的差分隐私。
周五下午睡醒,看到朋友发的消息,VPS被搞了,这不送上门来的嘛,得分析分析对面想干啥
经过一段时间的分析研究,我们也总结出一些关于JARM的认识与大家交流和分享。抛砖引玉,希望大家多多指正。
上一篇文章利用栈溢出介绍了基本的内核中利用rop以及ret2usr来进行提权的两种方式,其中更常用的会是用ret2usr,因为完全使用rop是很费力的一件事情。
记录真机调试一个强网杯决赛的路由器题目。
“过市面所有静态查杀”、“流量加密过市面全部流量waf”,伴随着这样的标签,哥斯拉在今年的攻防演练活动中成功亮相。这是赐给红队的又一把尖刀,也让防守队雪上加霜。截至目前,主机层面的主流查杀工具均已覆盖了哥斯拉webshell静态规则,但流量层面的检测可能仍然要打一个问号。
本周收录安全事件 54 项,话题集中在 漏洞修复 、 勒索软件 方面,涉及的组织有: QNAP 、 富士康 、 FireEye、 Starbucks 等。数据买卖、数据盗窃频发,企业信息保护不可忽视。
通过这两个漏洞我们可以看到,黑名单防护是不那么靠谱的,尤其是像weblogic这样的复杂的一个程序,既有不在少数的引入库,又有比较复杂的自身结构。如果说CVE-2015-4852是有Commons Collections引发的,这2016的这两个主要是由Weblogic自身的问题引发的,只是之前没有被发现或提出而已。
最近,全球领先的网络安全公司 FireEye 疑遭某 APT 组织的攻击,其大量政府客户信息遭越权访问,且红队工具被盗。虽然目前尚不清楚这些红队工具将被如何处置,但FireEye 公司在 GitHub 上发布了一些应对措施。
通过上一篇反编译文章的学习,我们对智能合于opcode的反编译有了基础的学习,对于初学者来说,要想熟练运用还得多加练习。
在挖掘公式编辑器漏洞的过程中,找到了一些空指针解引用、内存越界访问、栈溢出等类型的漏洞。经过分析确认,找到的栈溢出漏洞同GeekPwn 2020参赛人员所提交的栈溢出代码执行漏洞为同一个。
近期收录到一款仿冒二手电商平台的钓鱼网站源码进行诈骗的案件,复现过程发现了钓鱼网站的原理(盗取个人身份信息的同时骗取资金),同时还发现其源码存在“黑吃黑“的现象。

安全活动

58认证定向活动。
本年度最后一次奖励翻倍活动,助力白帽们冲刺年终荣誉,大家一起冲!
滴滴网络安全峰会是滴滴面向安全行业内人群的会议,至今已连续举办四届。
2020年度网络安全标准论坛暨第十二期标准宣贯培训会已于12月27日-28日在京召开。
阿波罗计划第二期来啦!更奇妙的靶场环境,更丰富的奖励,全球同步进行,邀请海内外明星白帽,敬请期待12.16开启!
“2020-2021四叶草全国网络安全校园行”系列活动,旨在创新协同育人模式,聚焦行业人才需求,促进相关专业毕业生高质量就业,为加快网络强国和人才强国建设贡献力量。
本次大赛面向全体全日制在读学生,围绕华为“HarmonyOS和HMS”、“华为云”、“鲲鹏计算”业务为赛事主题,将校园知识和业内实践经验进行打磨融合。
活动奖励与2020ASRC月度奖励、2020ASRC高危严重额外奖励、王牌A权益兼得。
提升数字风险管控能力,保障新时期数字化转型。