360网络安全周报第285期

安全资讯

Maza黑客论坛遭黑客攻击;SendGrid遭攻击并被利用窃取凭证;安全专家统计勒索软件涉及行业价值已超十亿美元并快速增长;Fireeye发现与Solarwinds行动相关的新恶意软件。
暗箭实难防,网安公司Qualys数据失守;全国政协会议进行时,周鸿祎谈数据安全;巴西发生史上最严重个人数据泄露事件,无人幸免。
据马来西亚航空称,该数据泄露事件发生于第三方IT服务提供商,该IT服务提供商通知马来西亚航空其2010年3月至2019年6月期间的会员数据遭到了泄露。
猎影实验室评估此次Immunity CANVAS 7.26的泄露事件后认为:此次泄露事件非常严重,此次事件应该是继2015年HackingTeam泄露事件和2017年方程式组件泄露事件后又一严重的武器级漏洞利用组件泄露事件。截止目前,猎影实验室未发现此次泄露的组件内包含任何零日漏洞,但我们不排除泄露代码中有零日漏洞的可能。
CompuCom遭网络攻击并出现服务中断;Qualys成Accellion最新受害者;黑客研究绕过3DS(支付)安全协议;美政府提醒关注伪造身份诈骗。
2021年03月03日,360CERT监测发现微软发布了Exchange 多个高危漏洞的风险通告,该漏洞编号为CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065,事件等级:严重,事件评分:9.8。
澳大利亚Oxfam遭网络攻击后出现数据泄露;马来西亚航空数据泄露长达九年;PrismHR服务中断疑似遭勒索软件攻击;Solarwinds报告因网络攻击支出共350万美元。
"solarwinds123"弱密码遭质疑,前CEO甩锅实习生?Tether疑因数据泄露遭勒索500比特币;厄瓜多尔财政部和最大私人银行遭勒索软件团伙入侵。
WIRTE 组织至少在2018年8月开始进行间谍活动,最早是由 S2 Grupo 安全人员在取证中所发现,活动一直持续针对中东地区目标,涉及约旦、巴勒斯坦等不同国家的国防、外交、司法等部门。此外,根据思科的调查,攻击者通常在早晨(中欧时区)活跃,这意味着攻击目标可能与该地区的地缘政治环境有关。
欧洲票务平台Ticketcounter出现数据泄露并遭勒索;Lactalis遭网络攻击;Tether疑数据泄露并遭勒索500比特币;黑客利用SEO通过Google传播恶意软件。
本周收录安全热点12项,话题集中在网络攻击、勒索软件方面,涉及的组织有:Accelion、Cisco、VMware、Powerhouse等。
厄瓜多尔银行遭勒索软件攻击;T-Mobile在SIM交换攻击后披露数据泄露;安全人员统计上周Twitter虚拟货币诈骗共收入数十万美元。
事件发生在今年1月份,看上去像是一起失败的BEC电子商务邮件攻击。
乌克兰国家安全和国防委员会(NSDC)指控称有位于俄罗斯的威胁行为者从2月18日开始对乌克兰政府网站实施DDoS攻击。

安全知识

一款游戏在开发完成上线测试前,可能存在一些日后导致严重危害的安全漏洞如:协议漏洞、服务器宕机、内存变速、隐私合规等。
如今,比特币是最受欢迎的加密货币。随着智能手机和高速移动互联网的普及,越来越多的用户开始在智能手机上访问其比特币钱包。
最近啃了FuzzingBook,然后记录一个关于入坑fuzzing的学习历程。
上一回我们从angr的__init__.py文件入手,到解析了project.py文件的内容,了解了一个基本的angr项目是怎么一步一步初始化到建立完成开始可以执行操作的,现在我们把目光放回到所有angr项目的基石-CLE类与angr的中间语言VEX-IR语言上,更进一步的理解整个angr系统的工作情况。
据小道消息一年一度的了HVV行动立马要开始了,我们领导也早早的开始准备各种前期各种检查,给我安排的主要任务是做外网资产梳理,按历史经验新的资产及“影子”资产的是最容易出问题及头疼的,而本次这个案例就是一个比较典型的案例,这里分享出来给同样苦逼的打工安服仔们参考一下 :)
本次漏洞分析利用,这个漏洞相对来说比较简单,在已爆出cve的情况下分析利用漏洞所占时间并不是很多,更多的时间是花在如:寻找验证固件更新脚本上。在成功利用漏洞的基础上,添加了后门提高了对路由器的长久稳定控制。
接上文,笔者通过上一篇文章逐渐完成了从CobaltStrike到Veil框架的过渡,在文章后半部分着重介绍了Veil框架的基本使用,也对Veil框架生成的一些恶意样本进行了一个简单的分析。
这是某银行的内部的一个CTF比赛,受邀参加。题目三个关键词权限绕过、shiro、反序列化,题目源码已经被修改,但考察本质没有,题目源码会上传到JavaLearnVulnerability。
本文是在linux系统角度下,对ptrace反调试进行底层分析,使我们更清楚的看到一些底层原理的实现,更好的理解在逆向工程中的一些突破口,病毒怎么实现代码注入,本文还将列出一些常见的攻防手段,分析其原理,让我们一同见证见证茅与盾激情对决!
在刚接触这方面的时候就先了解过PHP文件包含,但是通过做题还是觉得之前学的不是很扎实,这次将之前不理解的有疑问的还有学到的一并总结起来。
最近在分析Zyxel 某型号设备时,发现该设备的固件无法采用binwalk等工具进行提取。
一道glibc堆题,比赛的时候4支队伍做出来,大佬如果看了前边明白意思,可以绕过~~~
上一篇中我们解释了stm32的时钟与中断机制,这篇文章中我们将进一步探究dma、usart、tim的原理,并最终完整的复现题目。
不过,在我的研究过程中,没有看到能够清晰解释该技术的文章,因此我决定写这篇文章来做详细分析。这个技术本身一点都不复杂,我甚至可以说,它比我之前文章所展现的技术要简单得多。为了在本文中进行演示,我会使用hxpCTF 2020的kernel-rop挑战作为示例,我发现这个题目非常适合用于演示。
上篇文章详细分析了CommonsCollections1利用链的基础技术和构造,本节继续学习CC2链的构造和利用,将会涉及到新的知识点和反序列化知识。CC2链构造巧妙,但其中有很多坑点,也有很多细节,目前大佬们都对此比较清楚,我从刚入门的角度去分析此链的巧妙之处。
该漏洞由于利用性低,并且可以被 TurboFan 检测出并动态插入 int3 断点,因此原先 Google 团队将其定为低危漏洞。
VGX.dll中COALineDashStyleArray::put_length函数在处理length数据时未做有效验证,以致length为负数可造成整数溢出,进而实现任意读写。
在前一篇《在Windbg中明查OS实现UAC验证全流程——三个进程之间的”情爱”[2]》简短的分析了下AIS的方方面面的细节,这一篇抛开这些,来深入分析下检测的逻辑以及拉起consent进程的逻辑。
关于Samsung Galaxy的NPU漏洞,谷歌安全团队Project Zero曾经专门撰文加以介绍;但是,在本文中,我们将为读者介绍另外一种不同的漏洞利用方法。由于该漏洞本身非常简单,因此,我们将重点放在如何获得AAR/AAW,以及如何绕过Samsung Galaxy的缓解措施(如SELinux和KNOX)方面。我们的测试工作是在Samsung Galaxy S10上完成的,对于Samsung Galaxy S20,这里介绍的方法应该同样有效。
博彩推广在博彩(菠菜)圈子中占据着举足轻重的作用,可以这么说,每一个“成功”的博彩平台(狗庄)背后,都是数不尽的狗推人员在助力。
DeFi今年确实备受关注,黑客攻击也不断发生,包括Harvest Finance,Value DeFi,Akropolis,Cheese Bank和Origin Dollar等均受到不同程度的黑客攻击。
有关ROS系统的相关知识已经在上一篇文章中进行了阐述,在本篇文章中,将就ROS的进一步搭建方法做阐述。
DEF CON CTF Quals 2020中共有三道CRYPTO方向题目(两道CRYPTO、一道RE+CRYPTO),题目难度适中,比赛期间三道题目都出现了非预期解,本文对这三道题目的预期解和非预期解都进行一下分析。
本篇和上一篇有所类似,但是本篇主要用到的特性偏重于对象ownership关系的误用,以及callback里指针的不安全用法。
先说这个洞思路不错的地方在于,通过一个实现了Externalizable接口的白名单类AttributeHolder对内部的数据流进行自定义反序列化readExternal操作,使后续的数据流在反序列化时没有经过readObject()黑名单检验,就能够利用之前的黑名单类进行攻击(例如作者利用的是CVE-2020-2555的sink)。
从Windows 8.1(和Server 2012 R2)开始,Microsoft引入了一项称为LSA保护的功能。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码和数据”。
博彩推广在博彩(菠菜)圈子中占据着举足轻重的作用,可以这么说,每一个“成功”的博彩平台(狗庄)背后,都是数不尽的狗推人员在助力。
Math.random() 不能提供像密码一样安全的随机数字。不要使用它们来处理有关安全的事情。使用Web Crypto API 来代替, 和更精确的window.crypto.getRandomValues() 方法.
人工智能广泛渗透于我们的生活场景中,随处可见。不过这些场景其实传统的模式识别或者机器学习方法就可以解决,目前来看真正能代表人工智能最前沿发展的莫过于深度学习,尤其是深度学习在无人驾驶、医疗决策(如通过识别拍片结果诊断是否有相应疾病)领域的应用。
上一篇文章中我们实现了stm32的gpio操作,这次我们将更进一步,继续完成对题目的复现。
总感觉年纪大了,脑子不好使,看过的东西很容易就忘了,最近两天又重新看了下java反序列化漏洞利用链相关技术,并尝试寻找新的利用链,最后找到commons-collections中的类DualHashBidiMap能够触发利用链,不依赖于JDK,然后对比了ysoserial代码,暂未发现使用DualHashBidiMap类的触发的方式,遂记之。
前段时间遇到一个题考查的是mysql8的table注入。当时没有做出来。之前有了解过mysql8的table注入,但做题的时候没有想到。这里简单总结复现一下mysql8新特性的sql注入。

安全活动

BOSS直聘安全应急响应中心正式上线啦!欢迎安全业界资深人士、白帽子、安全机构和团队,乃至个人信息安全爱好者一起来“挖”洞~
3月3日,58SRC定向众测活动第五期重磅来袭!
BSRC推出重磅翻倍活动,上一次众测活动,榜一师傅12天到手20W+,这次能拿多少,就看你的了~
2021年3月20日,BCTF 2020赛季总决赛在DEF CON CHINA Party极客竞技馆激烈开战。