360网络安全周报第278期

安全资讯

2021年01月08日,360CERT监测发现致远OA发布了致远OA的风险通告,漏洞等级:严重,漏洞评分:9.8。
对于网络安全生态系统来说,随着新年一起到来的还有一款名为Babuk Locker的新型勒索软件,而这款勒索软件的主要目标是人为网络攻击活动中的一些目标用户或企业组织。
TOP25游戏公司将近100万个与邮箱相关的账号被窃取销售;美国政府将与HackerOne平台合作启动“ Hack the Army 3.0”漏洞赏金计划;APT37组织使用 RokRat Trojan 攻击韩国。
2021年01月07日,360CERT监测发现FortiWeb发布了FortiWeb 多个高危漏洞的风险通告,漏洞编号有CVE-2020-29015,CVE-2020-29016,CVE-2020-29019,CVE-2020-29018,事件等级:严重,事件评分:9.8。
多个游戏公司的员工账户信息在暗网销售;美国司法部确认其邮件系统遭到SolarWinds供应链攻击;Nissan git仓库源代码泄漏。
2021年01月06日,360CERT监测发现Apache Flink发布了Apache Flink 目录穿越漏洞,目录穿越漏洞的风险通告,漏洞编号为CVE-2020-17518,CVE-2020-17519,漏洞等级:高危,漏洞评分:8.5。
意大利的Ho-Mobile数据库中有250万个帐户被盗;黑客利用新的ElectroRAT恶意软件锁定加密货币用户;推测恶意软件的下一次攻击。
日本川崎航空公司客户数据泄露;Zend Framework远程执行代码漏洞;一种新的滥用缓存秘钥规范化的缓存投毒技术。
本周收录安全事件26项,话题集中在网络攻击、数据泄露方面,涉及的组织有:SolarWinds、Chrome、GitHub、日本川崎重工等。数据窃取贩卖频发,数据防护不可忽视。
2021年01月04日,360CERT监测发现zyxel发布了硬编码默认登录凭据的风险通告,该漏洞编号为CVE-2020-29583,该漏洞编号为CVE-2020-29583,漏洞等级:高危,漏洞评分:7.3。
由于SolarWinds后门,Microsoft源代码遭泄露;欧洲药品管理局有关Covid-19疫苗的文件在暗网泄露;2021年网络安全趋势预测。

安全知识

“DevSecOps”被评为年度网络安全行业热点词汇,然而历史似乎总在重演。正如当年在软件工程领域爆发“CMMI与敏捷开发”的争论一样,现在安全领域出现了类似的争议。
本文主要记录整个合约分析的过程。具体代码可以到各大区块链大佬的博客来找。
文章可能有些部分写的不好,希望师傅们批评指正。
蜜罐是网络红蓝攻防对抗中检测威胁的重要产品。防守方常常利用蜜罐分析攻击行为、捕获漏洞、甚至反制攻击者。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。因此,我们有必要站在红队攻击者的角度钻研蜜罐识别的方式方法。
在样本的逆向分析中,我们接触到的大多数是直接拿到的恶意样本,有的是PE文件;有的是包含恶意宏代码的office文档;有的是带有漏洞利用的office文档;有的是APK文件;有的是HTA文件;有的只是一个简单的LNK文件……
2014年,Agent Tesla 首次出现在一个土耳其语网站上,被作为一个键盘记录产品进行出售。虽然网站声称该产品仅向用户提供合法服务,但其所提供的绕过杀软、秘密捆绑程序和敏感文件传输等功能与窃密木马相比也不遑多让,甚至更为精密。
智仁杯2020 pwn corporate_slave。
当时N1CTF kemu没做出来,而且没找到详细的writeup,于是前段时间无聊的时候把它翻出来研究了一下。
文章可能有些部分写的不好,希望师傅们批评指正。
这篇文章中的任意地址读写和利用思路主要借鉴于参考链接中的文章,中间找调用链和绕过检测是自己的思路,这个漏洞相比于CVE-2016-4952难了很多花了挺长时间,而且这个漏洞不仅仅只有本文这种利用方法,还可以使用其余的usb协议来进行利用,如果文章出现什么错误,恳请各位师傅斧正。
华为3场CTF的pwn题,题量都特别大,同时有很多异构Pwn,对于学习异构很有帮助。
2020年12月,奇安信威胁情报中心移动安全团队捕获到Android平台上一款新型的的恶意RAT,分析显示该RAT最早出现于2017年,被持续使用至今,目前共有3个版本。
近年来随着金融领域不断创新,我国出现各类新型金融业态,尤其是互联网金融市场和规模急速扩张,有数据显示,2019年我国数字经济增加值规模达35.8万亿元,占GDP比重达36.2%。
Flink是一个纯流式计算引擎,而类似于Spark这种微批的引擎,只是Flink流式引擎的一个特例。
workshop一共给出了11个lesson,每一个lesson都会涉及到一些新的东西,这篇以最后的两个案例(对re2和pcre2的fuzz)为例,会涉及到一些链接库的选择以及插桩编译时的一些参数的设置,还有max_len的设置对我们最后fuzz结果的影响。
在上一篇文章中,我们为读者介绍了在基于套接字的模糊测试过程中,修改源代码中与套接字、文件系统调用、事件处理以及fork函数相关的代码的各种技巧,在下一篇文章中,我们将继续为读者介绍更多的精彩内容。
本篇分享的重入题型我们选择2019强网杯babybank题目。
主要面向新生的招新赛,谁不喜欢简单题呢。
数据中毒和后门攻击是通过恶意修改训练数据来操纵受害者的模型。
hackme:2是vulnhub上的一个medium难度的CTF靶机,难度适中、内容丰富,贴近实战。而且没有太多的脑洞,适合安全工作者们用来练习渗透测试,然而唯一的缺憾是目前没有公开的攻略,因此把个人的通关过程记录于此,作为攻略分享给大家!
近期做项目,使用芯片夹对 MCU 固件进行了免拆提取。本以为网上很多,搜索了一下都不是很满意,大多讲的固件提取的方式,即没有基础知识介绍,也没有详细的操作步骤。既然没有就自己动手吧,于是便有今天的这篇文章。
好久没分析样本了,最近闲暇之余有时间又刷了一下Bazzar.abuse.ch,下载并分析了一些最近上传的样本,其中有一个被标记为了Gozi的样本比较有意思,在这里分享给大家。
在这篇文章中,我将分享基于套接字的模糊测试研究成果。其中,我们将以三个广泛使用的FTP服务器为例,详细介绍模糊测试的具体过程,以及在这些过程中发现的安全漏洞。
空指针Re题目题解。
由于Android应用静态分析和动态分析两种漏洞挖掘方法的优势和局限性,本文提出了一种基于动静结合的Android应用漏洞挖掘方法。
本文是介绍DNSMon在生产威胁情报(域名IoC)系列文章的第二篇。
最近暗影安全实验室发现了一款主要针对韩国用户的IOS恶意程序,该病毒的主要行为是安装启动后读取用户手机通讯录信息并上传到指定服务器,具有隐私窃取行为。
最近被一个同学问起OAuth2.0,才发现有不少人对OAuth2.0一知半解,没有去真正了解过,更不用提如何从OAuth2.0授权认证中去挖掘漏洞了。

安全活动

BILISRC2021第一次线上活动仍在继续,邀你“起航”。
贝壳SRC新春活动来袭~
四倍奖励,万元大奖,等你拿回家!!!
微众银行新增团队季度奖励,单个季度团队最高可获得额外奖励3w元;还有新年漏洞首杀奖励,最高额外奖励5000元!