360网络安全周报第279期

安全资讯

根据国外媒体的最新报道,在 SolarWinds遭受攻击之后,据称在SolarWinds攻击中被网络攻击者成功窃取的数据正被人公开叫卖。
电报机器人是Classiscam诈骗的服务核心;Facebook:恶意的Chrome扩展开发者抓取了用户资料数据;Apache Flink 1.11.0 未经验证的任意文件读取 (Metasploit)。
TRENDnet(趋势网络) ProView Wireless camera TV-IP512WN 1.0R 1.0.4 版本中的 RTSP 数据包在处理过程存在缓冲区溢出漏洞。攻击者可利用该漏洞执行代码或导致拒绝服务。
2021年1月8日,国家反诈中心提醒:有不法分子借预约新冠疫苗接种发布虚假链接非法收集公民个人信息,案犯群发所谓“开放预约、名额有限”短信,引诱受害人点击木马网址链接,要求填写身份证号、手机号、银行卡号等,随后套取银行卡验证码,将账户内资金转走。
2021年01月13日,360安全卫士发布了Incaseformat蠕虫病毒的风险通告,事件等级:高危,事件评分:8.5。
Sunburst后门分析报告;Ursnif的新变种持续瞄准意大利;McAfee2021年威胁预测报告。
自2020年1月9日武汉报道国内首例新冠死亡案例以来,过去12个月全球有180多万人被新冠病毒夺去生命。全球经济遭遇重创,各国社交隔离政策导致数以千万计的员工转向远程办公。至今,这场人类历史罕见的大流行,仍在持续肆虐。
2021年01月13日,360CERT监测发现发布了的风险通告,事件等级:严重,事件评分:8.8。
最近,一些网站运营商收到威胁邮件,邮件中称如果他们不发布关于一家加密货币交易所的五星评论,其网站的信誉值将有大打折扣的风险。
2021年01月13日,360CERT监测发现Microsoft发布了Microsoft Defender 缓冲区溢出漏洞的风险通告,该漏洞编号为CVE-2021-1647,漏洞等级:高危,漏洞评分:7.8。
新西兰储备银行的数据被黑客窃取;联合国泄漏了超过10万个环境署工作人员记录;Real World CTF 2020 Game2048 Writeup。
2021年01月12日,360CERT监测发现Google发布了Chrome安全更新的风险通告,事件等级:严重,事件评分:9.6。
土耳其黑客组织“图兰军”近期攻击活动分析报告;[原创]南亚APT组织"蔓灵花"历史攻击活动浅析(上);Flink目录穿越漏洞浅析(CVE-2020-17519)。
中新经纬客户端1月11日电 交通银行11日发布声明称,近日监测到,有不法分子在暗网发帖贩卖所谓交行客户信息,并有部分自媒体转发相关信息。经系统核查比对,确认与我行真实客户信息不符。
本周收录安全事件40项,话题集中在勒索软件、黑客攻击方面,涉及的组织有:Zyxel、JustPay、Nvidia、达索航空公司等。
对美银行入侵的俄罗斯黑客被判12年;TeamTNT僵尸网络现能窃取Docker API登录以及AWS证书;与朝鲜相关的APT37组织通过RokRat Trojan攻击韩国。
黑客使用假特朗普的丑闻视频传播QNode恶意软件;HyperViper:用于Hyper-V安全性研究的工具包资源;针对K8s的后渗透rootkit工具。
根据国外媒体的最新报道,WhatsApp在本周周一更新了他们的隐私政策和服务条款,并在其中增加了处理用户数据的信息之后,该公司现在正通过其移动应用程序通知用户,即从今年的二月份开始,WhatsApp的用户将被要求跟Facebook共享数据。
由于暴露的Git服务器而导致Nissan源代码泄露;挖矿僵尸网络现在正在窃取Docker和AWS凭证;对 SolarWinds 事件更深的思考:如何防御供应链攻击。

安全知识

本人参加了2020届A市、B市及C市的hvv,此次分享下在地市hvv中Goby的使用技巧。本人为合法合规扫描!请大家不要做未授权测试!请大家不要做未授权测试!请大家不要做未授权测试!
本文为对英文文章的翻译,加上自己的部分理解,如有不恰当地方,恳求指正。
近日,微步情报局在对一恶意样本进行分析时,对样本的 C2 地址进行关联分析发现,该地址还接收到勒索软件的回传。通过对回传信息的格式进行关联,发现使用了一款名为“Hidden Tear”的勒索软件。
由于前些年证券行业各大证券公司对数据保护不够重视,内部数据安全管控体系不够健全,从而造成大量数据外泄,泄露渠道主要有内鬼泄露,渗透拖库,黑客入侵,撞库攻击等等。
1月13日,360安全大脑检测到蠕虫病毒incaseformat大范围爆发并进行了预警,此次病毒爆发涉及政府、医疗、教育、运营商等多个行业,该病毒在感染用户机器后会通过U盘自我复制感染到其他电脑,最终导致电脑中非系统分区的磁盘文件被删除,给用户造成极大损失。由于被删除文件分区根目录下均存在名为incaseformat.log的空文件,因此网络上将此病毒命名为incaseformat。
复现了一道2019 TCTF的题发现仍然是考察对disable_functions的绕过与利用,加之个人经常使用蚁剑插件来对disable_functions进行绕过,所用原理并没有非常清楚,因此想对disable_functions的部分利用方法原理展开较为全面的叙述,中途可能对所遇到的一些函数进行更加深入的了解和漏洞分析,如有不当,请多多指正。
本文从环境搭建入手,分析了Flink漏洞的调试和产生原因,针对两个漏洞的触发条件进行了细致的研究,总结漏洞的修补情况,特别是分析了Flink框架的web路由及REST API接口。
在本系列文章中,我们将为读者深入讲解三星手机的内核防护技术。在上一篇文章中,我们为读者介绍了内核漏洞的利用流程,三星手机内建的三种防御机制,并简要介绍了管理程序,在本文中,将继续为读者呈现更多精彩内容!
截止到2020年12月31日,爱加密移动应用安全大数据平台收录全国Android应用共计3307221款,应用安装包(apk)10437961个,iOS 应用共计2101025款,微信公众号5197144个,微信小程序643372个。2020年度,全国总计新增应用336104款,年增幅为11.31%。
本篇文章中,我们通过2020NSSC比赛中的skybank智能合约题目,详细分析了合约存在的薅羊毛漏洞问题,提供了解题思路并进行了攻击演示,相对于系列文章前几篇,本篇比较简单易懂,有兴趣的同学可以尝试复现。下一篇我们会继续分享CTF智能合约经典题目,请大家持续关注。
本文为对英文文章的翻译,加上自己的部分理解,如有不恰当地方,恳求指正。
在本文中,我们的第一个目标是全面介绍三星RKP防护机制的内部原理,以便为大家考察该设备上以高特权级别执行的晦涩代码打好理论基础。在解释其原理过程中,尽管我们会以大量通过反编译而得到的代码片段为例进行演示,不过,读者也可以随意跳过这些代码。
在一个秋高气爽的上午,特别适合划水(mo yu)。
这里将分析Jackson反序列化漏洞(CVE-2020-36188)的分析过程,同时将会把如何从漏洞通告来分析构造并且调试出POC代码分享给大家。
时隔两年又一次进入网鼎杯决赛阶段,这次抱了三个大腿,比上次名次提高了一点,不过仍然不足以拿奖,残念。半决赛中,其中一题使用libc2.31,当时断网查不到一些关键资料,导致一直在libc2.31的特性上钻牛角尖没做出来。新年后抽出一点时间对这个题目重新进行分析,发现了这个题目可以用三个不同的漏洞进行解题。
大概在几个月前,一篇名为<<一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链>>的文章出圈在公众视野引起了不小的轰动.
福州富昌维控(WECON)电子科技有限公司是一家专业从事自动化领域产品研究、开发与销售的高科技公司,公司生产工业互联网网关、工业人机界面和通用型PLC等产品,WECON LeviStudio是一套人机界面编程软件,经过研究,我司发现了该软件的某些版本中存在缓冲区溢出、XXE等漏洞。
pwnhub的2道pwn题目,一道格式化字符串的题目,一道libc-2.31的堆题目。题目的逆向量都不大,程序分析起来比较容易,更关注的是利用的手法。下面直接进入正题。
本文将分析常见的meterpreter session终止的原因,并提供相应解决方案。
Solr是建立在Apache Lucene ™之上的流行,快速,开放源代码的企业搜索平台。
很幸运又一次抢到了一血,patch文件和wctf的indepence_day差不多,所以原理部分就分析WCTF那题。
Shiro 是 Apache 旗下的一个用于权限管理的开源框架,提供开箱即用的身份验证、授权、密码套件和会话管理等功能。
SSTI主要是因为某些语言的框架中使用了渲染函数,比如Python中的Flask框架用jinjia2模块内的渲染函数,在不规范的代码中,导致用户可以控制变量并构造恶意的表达式,比如{{98-2}},恶意的表达式未经严格的过滤直接带入模板中渲染执行使得攻击者可以读取文件,远程代码执行等等。
这个题我感觉很有意思,网上没有找到wp,所以来写一下wp,题目给了环境,可以注意到给的www.conf里的fpm是监听的9000端口,也就是和之前遇到的一些fastcgi的攻击有关。
续前面两篇文章的T3漏洞分析文章,继续来分析CVE-2016-3510漏洞,该漏洞一样是基于,前面的补丁进行一个绕过。
本文旨在探讨这样一种场景导致的 uaf 漏洞:内核没有正确处理 gdi 对象的所有权问题,使得 gdi 对象在被引用的状态下仍然被 free,从而导致 uaf(本文分析调试的目标系统为 win7x86)。
依据cve/zdi等平台发布的漏洞信息,借助补丁对比技术,对Netgear r6220认证绕过漏洞进行研究,涉及漏洞的发现过程、成因分析、POC编写。
在shiro权限绕过漏洞中,利用的问题是shiro拦截器先于spring boot执行,并且二者的匹配模式不同,最终导致:我们访问的url1和shiro处理的url2以及spring路由的url3不同,导致shiro拦截器起不到应有的作用,总被绕过。
本篇文章中,我们通过2018WCTF比赛中的BelluminarBank智能合约题目,详细分析了合约存在的漏洞问题,提供了解题思路并进行了攻击演示,其中使用的相关工具已在文中给出链接,希望对智能合约初学者及爱好者有所帮助,下一篇我们会继续分享CTF智能合约经典题目,请大家持续关注。
疫情还未结束,欺诈者就已经蠢蠢欲动,年中时分,KBuster团伙再次发力,非法获取大量用户数据。
chrome issue 1051017是2020年2月公布的一个v8漏洞,该漏洞是在JIT优化时对循环变量的类型估算考虑不周导致的compiler阶段的类型混淆,通过compiler阶段的类型混淆进一步构造OOB溢出。
近期,安恒信息威胁情报中心猎影实验室监测到大量通过免费网盘进行攻击载荷存储与分发的恶意样本,其样本在执行过程中使用了多家知名公司带签名的正常程序内存加载木马程序。根据投递的文件名称,判断主要攻击目标对象是企业的行政管理相关人员。
在本系列的第一部分中,我们为读者详细展示了如何使用AFL++在三个开源的FTP服务器(Pure-FTPd,Bftpd和ProFTPd)中挖掘安全漏洞的。同时,我们还详细介绍了执行模糊测试所需的代码更改,以及测试过程中发现的三个最有趣的漏洞。
这是一篇全网(无论国内还是国外)最全、最详细、最新、最实用的关于 CDN 网络对抗攻击的文章,渗透测试中若碰到 CDN 类的问题,只需要看这一篇指南即可。我也会在 Github (https://github.com/bin-maker/2021CDN/)长期保持此文的更新,更新与修正新的对抗技术、工具和网站。

安全活动

无论你在季刊答题抽奖中有没有分到心仪的一杯羹,都可以换一个阵地重新做欧皇ʕ•ٹ•ʔ
受邀前来的精英白帽会收到i春秋精心定制的暖心伴手礼,同时还有神秘大咖到场,分享精彩前沿技术。
1月12日,安全客2020季刊—第4季再度上线,我们对文章的质量严格把关,对品质始终恪守不渝,只愿为安全爱好者带来最好的干货!