360网络安全周报第276期

安全资讯

本次报告主要对2020年下半年的所有《安全事件周报》所写的国际安全事件数据进行一个简单的回顾,同时从大家感兴趣的方向出发,做一个简单的阐述。
这个新成立的勒索软件特别工作组将致力于建立一个处理勒索软件攻击的标准框架。
软件供应链来源攻击分析报告;暗网市场和论坛上的网络武器;暗网上的SolarWinds漏洞的证据。
NSO Group,当今网络军火商顶流,坐拥各类通信软件0day漏洞,喜好将这类漏洞打包成攻击套件以千万为单位将其售卖给一些富得流油或者刚好缺0day漏洞武器的国家。
样本详细分析过程中我们发现,攻击者植入的恶意代码在生成DGA域名的时候,采用了受害者计算机域进行编码,所以可通过解码部分已知相关DGA域名,从而推导出部分受害者计算机域。
欧盟执法合作署称,这一平台的正式启用绝对将成为欧洲打击有组织犯罪和恐怖主义的一个具有里程碑式意义的事情。
黑客免费公布 27 万加密货币钱包 Ledger 用户信息;Facebook Business Suite应用程序漏洞可导致在Instagram上查看任何人的私人电子邮件和生日。
假冒新冠疫苗制造公司官网,两域名遭美国司法部棒打;SolarWinds惊吓不断,新后门被发现;加密钱包供应商Ledger被黑客攻击,客户数据库被泄露。
黑客论坛上泄露了270K Ledger所有者的实际地址;用DNS进行网络度量和安全分析;SolarWinds第二个后门。
“蔓灵花”(BITTER)是一个长期针对中国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击,窃取敏感资料,具有较强的政治背景的APT组织。
新冠疫情医疗信息在暗网中被售卖;cybereason:Molerats组织滥用云服务的攻击活动分析;微软:关于SolarWinds供应链攻击的分析。
Egregor 勒索软件简要分析报告;NATO正在检测SolarWinds攻击带来的影响;Facebook Bug导致Instagram用户个人信息泄露。
臭名昭著的SolarWinds后门现已被微软、FireEye和GoDaddy联合绞杀。
Credential Stealer瞄准美国、加拿大银行客户;FBI警告DoppelPaymer勒索软件攻击激增;黑客攻击COVID-19疫苗供应链并在暗网中出售疫苗。
近期,安全研究人员发现了一种新型的恶意RubyGems包,而这种恶意的RubyGems包竟然被网络犯罪分子应用到了针对加密货币的供应链攻击活动之中。

安全知识

Zoho企业的产品 Zoho ManageEngine ServiceDesk Plus 是一套IT互联网服务管理软件,拥有资产管理、采购管理、合同管理等功能模块,提供一流的IT支持服务。
这个题目很容易看到这是执行shellcode,但是长度最大只有0x40字节。这个题目和天翼杯的safebox的题目类似,都是写入shellcode爆破flag。
渗透能力的体现不只是储备0day的多少,许多站点能否被突破,对本身基础漏洞的熟练的配合利用也是一场考验,故事正是因机缘巧合拿到shell的一次记录总结。
本文《 命令执行底层原理探究-PHP (二) 》主要讲述的是第二部分:以PHP语言为对象,针对不同平台,进行环境准备、PHP内核源码的编译、运行、调试等。
总结几道OOB类型的v8逃逸的利用方法,它们大多的利用手法都极为相似。
ImageMagick是一款图像处理软件,可以创建、编辑、合成或转换位图图像。该软件支持读取和写入各种格式(超过200种)的图像,其中包括PNG、JPEG、GIF、HEIC、TIFF、DPX、EXR、WebP、Postscript、PDF和SVG,等等。
本篇我们将继续分析上篇遗留的反汇编代码,通过上篇学习我们已对反汇编指令在栈和内存存储的有了一定了解,该篇我们将重点来分析反汇编指令表示的代码逻辑。
Zoho企业的产品Zoho ManageEngine Desktop Central是Windows系统上运行的一种端点管理解决方案,可被用于管理网络设备,例如手机、Linux服务器、Windows工作站等,发挥推送更新、控制访问权限的功能。
一直想写个代码审计的文章,和大腿们交流下思路,正好翻xxe的时候看到一个jdk自带的xmlDecoder反序列化,很具有代表性,就来写一下,顺带翻一下源码。
bytectf决赛线下crypto赛题质量依然很高,在线下赛中实属难得,在此记录一下比赛时8个小时的做题过程。
在渗透测试过程中,Exchange是一个比较奇妙的角色.
动态链接库(Dynamic-Link-Library,缩写dll), 是微软公司在微软视窗操作系统中实现共享函数库概念的一种实现方式。
在近些时间基本都能在一些渗透或者是攻防演练中看到Shiro的身影,也是Shiro的该漏洞也是用的比较频繁的漏洞。本文对该Shiro550 反序列化漏洞进行一个分析,了解漏洞产生过程以及利用方式。
近期在对博彩平台分析时发现,与之前发现的第三方在线客服系统不同的是,其使用的平台源码是免费并且开源的。由此看来,诈骗产业使用的沟通工具又进行了升级!
Xstream 是 Java 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可证的许可下分发。
在上一篇文章中,我们讨论了fuzzer是如何确定崩溃的唯一性的。在本文中,我们将为读者介绍如何通过手动方式对崩溃进行分类,并确定导致漏洞的根本原因。
前面讲了FastJson的相关漏洞,温少属实辛苦。这次来看下另一种JSON解析库:“世界上最好的JSON解析库—Jackson”,并以CVE-2020-8840来详细分析下Jackson的漏洞。
针对不同平台/语言下的命令执行是不相同的,存在很大的差异性。因此,这里对不同平台/语言下的命令执行函数进行深入的探究分析。
先说说2020_n1CTF的web题Easy_tp5复现问题。这个题在保留thinkphp的RCE点的同时,并且RCE中ban掉许多危险函数,只能允许单参数的函数执行。对于现在在网络中流传的文件包含的点也增加了限制。
零信任是由Forrester Research的分析师John Kindervag在2009开发,并在2010年正式提出的。在过去的10年间,随着云计算、移动互联等技术发展以及全球范围内部威胁的不断涌现,零信任越来越为产业界所接受。
无论是红队项目还是渗透项目,打点的过程总是充斥着不确定性的,在一个攻击面上充满着各种可能性,每一个对外开放的服务都可能成为我们进入内网的通道,随着每个人关注点的不同,进入内网的方式也是多种多样的。
因为工作中遇到了这个洞,简单了解后发现正好是py的源码,因此想依据前辈的分析做一下简单的代码分析,找到漏洞点。网上已经有很多类似的文章,这里只是自己做一下学习和复现,如有问题可以私信或评论。本人会第一时间解决。
上一篇对libfuzzer的原理和使用有了基本的了解,接下来就到进阶的内容了,会涉及到字典的使用,语料库精简,错误报告生成以及一些关键的编译选项的选择等内容,希望能对libfuzzer有更深入的学习。
深度学习在计算机视觉以及自然语言处理等领域达到了一个前所未有的高度,但是深度学习模型往往极度复杂,并伴随着高额的存储空间与计算资源消耗,这使得深度学习模型很难落实到各个硬件平台。
前面我们提到, CVE-2015-4852往后有一系列漏洞都是立足于对其补丁的绕过的,CVE-2017-3248也是其中之一。
最近一段时间,部门的小伙伴们看了一些HTTP协议相关的攻击方法,现做一个汇总。
本周收录安全事件 40 项,话题集中在 网络攻击 、 勒索软件 方面,涉及的组织有: SolarWinds 、 美国能源部 、Microsoft 、 美国核安全局 等。
基于现阶段红蓝对抗强度的提升,诸如WAF动态防御、态势感知、IDS恶意流量分析监测、文件多维特征监测、日志监测等手段,能够及时有效地检测、告警甚至阻断针对传统通过文件上传落地的Webshell或需以文件形式持续驻留目标服务器的恶意后门。
在上一篇文章中,我们为读者解释了ROP链的创建过程,以及执行任意代码的实现过程,在本文中,我们继续为读者介绍针对SEH劫持技术的一种强大的防御机制,即SEHOP。

安全活动

等你一起在完美世界决战江湖。
滴滴网络安全峰会是滴滴面向安全行业内人群的会议,至今已连续举办四届。
双节将至,圣诞主题的皮肤也即将上线和大家见面,除此之外,还有超大福利!
2021年1月8日,安世加力邀数位资深企业安全专家,聚焦当下前沿的企业安全创新议题,为大家带来第二十六期企业安全创新技术沙龙(线上),旨在为行业提供更多的实践与经验的借鉴。
house of banana;杀不死的Emotet;基于打印机跳板技术的新型C2及其检测方法。
我们邀您来战!!!
12 月 24 日平安夜早 9 点开放,绝不影响你的圣诞约会计划~
网安三晋,助力信创。