360网络安全周报第290期

安全资讯

反转来得太快就像龙卷风,在一系列真真假假的“挑衅”之后,0day如约而至。
更新PHP源代码:怀疑用户数据库泄漏;Facebook将5.33亿用户的数据泄露归咎于爬虫而非黑客攻击;新的可运行Android恶意软件冒充Netflix劫持WhatsApp会话。
2021年04月08日,360CERT监测发现Cisco发布了Unified系列组件的风险通告,漏洞编号为CVE-2021-1362,漏洞等级:高危,漏洞评分:8.8。
2021年04月08日,360CERT监测发现Cisco发布了Cisco Small Business RV Series Routers多个漏洞的风险通告,漏洞编号为CVE-2021-1472,CVE-2021-1473,漏洞等级:高危,漏洞评分:8.5。
2021年04月08日,360CERT监测发现Cisco官方发布了SD-WAN vManage多个漏洞风险通告,此次通告的漏洞编号分别为CVE-2021-1479,CVE-2021-1137,CVE-2021-1480,其中包含1个严重漏洞,2个高危漏洞,此次通告评分:9.8。
EtterSilent为黑客提供廉价工具;深信服VPN客户端远程下载文件执行挖掘(已修复);Aurora活动:针对阿塞拜疆的网络攻击。
本周收录安全热点11项,话题集中在数据泄露、网络攻击方面,涉及的组织有:Asteelflash、Facebook、PHP SRC、Activision等。PHP代码被植入后门,Facebook遭遇用户数据泄露。
2019年有幸作为外部专家参加了郭威组织的安全防守方案评估,犹记深夜热火朝天讨论台账和措施去留权衡,非常难忘。除了完整的技术方案外,郭威的实践更是完美的动员组织了全公司上下一心,全员皆兵。大型实战攻防演习活动在即,郭威的经验值得借鉴。
安全研究者展示了一种新型的 PDF 攻击方式:攻击者可以绕过现有的 PDF 安全策略,在确保数字签名有效的情况下,修改 PDF 文件的内容。这破坏了已签名 PDF 文档的完整性保护机制。
Asteelflash电子制造商遭遇勒索软件攻击;Facebook5.33亿用户数据被泄露;《使命召唤:战区》恶意软件。
近期,360政企安全反病毒团队监测到有不法分子通过微信、企业微信传播一个新的远控木马变种。该变种除具有获取系统信息、窃取文件、远程下发执行、截屏等常见的远控功能外,还增加了对微信的监控窃取功能,获取用户微信中的大量个人信息。
乱码推文意外发布,披露美国战略司令部“雇佣童工”行径;印度头部金融科技平台MobiKiwi否认数据泄露;GitHub北极代码库或包含被泄露的医疗数据。
Cl0p勒索软件团伙泄露美国6所大学的敏感数据;Ragnarok勒索软件攻击Boggi Milano男装;Asteelflash电子制造商遭遇勒索软件攻击。

安全知识

2021 MAR DASCTF 部分PWN WriteUP。
2021年2月份的微软补丁中,修复了一组Windows TCP/IP协议栈的漏洞,包括两个远程代码执行(RCE)漏洞(CVE-2021-24074、CVE-2021-24094)和一个拒绝服务(DOS)漏洞(CVE-2021-24086)。由于漏洞出现在TCP/IP协议栈中,危险较大,CVSS给出的评分分为9.8/8.4,7.5/6.5。
首先看一下程序的逻辑。
事实证明,由于与射频(RF,radio-frequency)辐射相关的固有泄漏,采用事件触发通信的无线设备会遇到严重的隐私问题。
《孙子兵法》云“军争之难者,以迂为直,以患为利”。这句话所蕴含的哲理是:进攻时,直奔最终目的而去未必是最好的,以退让、回避而取胜,往往是最难以达到的至高境界。
etcd是一个具有强一致性的分布式 key-value 存储组件。采用类似目录结构的方式对数据进行存储,仅在叶子结点上存储数据,叶子结点的父节点为目录,不能存储数据。
RSA签名使用与加密相同的方式,不过参数交换,使用私钥签发,公钥接收。
Force DAO 是 DeFi 投资策略的去中心化自治组织,致力于在 DeFi 世界识别 alpha,Force 以 DAO 的方式,致力于通过遵循社区提出的策略,并通过强有力的激励措施,以产生卓越的回报。
现在的CTF比赛,WebPwn题目越来越常见,本篇文章目标为WebPwn入门学习。将会介绍Webpwn环境搭建,以及分别以一道栈溢出题目和一道堆题,讲解Webpwn的入门知识点。
在这篇文章中,我将跟大家分享如何窃取任意GitHub Actions敏感信息的相关方法。
虎符网络安全技能大赛 By 天璇Merak。
本次渗透其实经过了很多的试错最后才达到了这个结果,所以说看似简单的渗透过程其中可能包含了各种各样的难点痛点,而这些难点痛点介于篇幅等其他原因不能一一列举出来,重要的不是结果,而是这个试错的过程,只有不断地试错才能不断的成长。
Xstream是java中一个使用比较广泛的XML序列化组件,本文以近期Xstream爆出的几个高危RCE漏洞为案例,对Xstream进行分析,同时对POC的构成原理进行讲解。
这个曾经上报给微软的msrc,对方承认是个有待改进的问题的驱动,但是并非是个漏洞,至今已经过去了四个月了,可以到了公布的时间了,如果一个恶意进程已经攻击进入一个系统后,,并且已经有了管理员权限,他就可以利用这个驱动去控制安全软件的启动,甚至失效,这也是很危险的驱动。
在glibc2.29以上版本,glibc在unlink内加入了prevsize check,而通过off by null漏洞根本无法直接修改正常chunk的size,导致想要unlink变得几乎不可能。
近日,360手机先赔收到多起用户反馈因虚假网游交易被骗,随着对案件的深入研究发现,相比于以往常见的网游交易诈骗手法,还融入了黑帽SEO的渗透站群技术,整体骗术上更多变,攻防能力更强。
前些时间刚好看到一些缓存投毒相关的知识,搜了些资料,发现了安全顶会USENIX Security 2020上收录了一篇关于DNS缓存投毒的文章:Poison Over Troubled Forwarders: A Cache Poisoning Attack Targeting DNS Forwarding Devices。
之前一直在学习V8方面的漏洞,对于asm.js层的UAF漏洞还是第一次接触,本文将详细分析Chrome Issue 776677漏洞以及其利用方法。
对于rmi反序列化,官方作出了修补,对比修改前后,对SafeObjectInputStream类添加了rmi类校验,将java.rmi.server纳入了黑名单,如果类名出现了java.rmi.server则告警,并返回空。
这两题一题是由Balsn战队举办的比赛中出现的,另一题则是在钓鱼城杯中利用相似的原理出的。总的来说是非常的有趣,最近抽出了一段时间好好感受了一下题目。
首先,minifilter有!fltkd.的命令,ndis有!ndiskd.的命令,但是WFP却没有类似的命令。
本文我们详细的跟踪了CVE-2020-1948的利用过程,相信对于Java反序列化以及Dubbo的反序列化的利用已经非常清楚了。
这个漏洞真的是被微软坑了,虽然即使微软认了也没多少钱,但是这么一搞钱也没了,CVE也没了。什么原因造成的?
最近看到关于angr这一框架的分析,但对于某些部分讲的比较模糊,于是就根据个人理解重新写入一篇分析,如果有理解错误的地方,希望大家指正.

安全活动

360Quake推出上线以来首个用户激励计划:“当红蓝对抗遇上空间测绘”,时间有限赶快行动!
4月15日,业务安全攻防实践沙龙第二站上海见!
为促进上海市智慧城市建设,保障上海市数字化城市转型的健康发展,由上海市信息网络安全管理协会牵头组织的“新耀东方-2021上海网络安全博览会暨高峰论坛”定于2021年6月27日-29日在上海新国际博览中心举办。
漏洞与恶意附件样本提交,均可获得丰厚奖励。