360网络安全周报第296期

安全资讯

BazaLoader伪装成电影流媒体服务;苹果发布macOS BigSur安全更新;深度揭露Turla组织攻击面貌。
印尼政府封锁传播泄露数据的黑客论坛;无力支付50万“赎身金”,男子踏上千里自首路;发送营销邮件插手客户消费,美国运通被“剁手”。
APT41组织滥用Microsoft数字签名进行恶意活动;从Wiper到Ransomware | 伊朗Agrius组织的演化;APT组织白皮书—来自加沙地区的Molerats。
2021年05月26日,360CERT监测发现VMware官方发布了VMware vCenter Server远程代码执行漏洞的风险通告,该漏洞是由360 Noah Lab的安全研究员Ricter Z发现的。漏洞编号为CVE-2021-21985,漏洞等级:严重,漏洞评分:9.8。
黑客承认出售6.5万名医疗保健人员的信息;将针对加密货币交易所的CryptoCore攻击归因于LAZARUS(朝鲜);Zeppelin勒索软件出现最新变种版本。
本周收录安全热点14项,话题集中在恶意软件、数据泄露方面,涉及的组织有:CNA Financial、Codecov、Guard.me、爱尔兰卫生部等。
TPG TrustedCloud客户被攻破;电子商务巨头Mercari遭受重大数据泄露;联邦调查局:Conti勒索软件攻击了16个美国医疗保健和急救机构。
作为此次RSAC大会开幕式的第一个演讲者,RSA首席执行官Rohit Ghai分享了《弹性之旅》的主题演讲。在演讲过程中Rohit Ghai提到的几个关键点值得我们思考。
澳大利亚和新西兰多个集团受到恶意软件攻击;阿拉斯加卫生部服务受到恶意软件攻击的影响;研究人员发现DarkSide勒索软件变种。
美国科洛尼尔输油管道公司首席执行官约瑟夫·布朗特在接受《华尔街日报》采访时承认,在该公司系统遭到网络黑客攻击并被迫关闭后,他授权向黑客支付了440万美元的赎金。

安全知识

这个是去年蓝帽杯线下的原题,找到的是这个exp。
SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。
Web上最严重的攻击之一是跨站点脚本(XSS),攻击者可以在该脚本中将其恶意JavaScript代码注入Web应用程序,从而使该代码可以完全访问受害站点。
这个洞我在年初时发现的,因为能提权便留在手中,结果不幸被Pwn2Own给撞了,现在ZDI官方博客也出了分析,我就将之前自己记录的分析发一下。
从红帽杯的simpleVM一题学习LLVM PASS,理解并运行我们的第一个LLVM PASS,然后逆向分析LLVM PASS的模块。
对于一项大范围的漏洞挖掘项目,往往会以子域名扫描作为开端。但在这里,我的目标是单个web网站,因此仅仅采用GAU工具获取一系列URL等信息,并分析javascript脚本内容,采用Ffuf获取网站目录信息。至此没有大的收获。
自觉对于端口扫描只是浅显的停留在nmap的几条命令,因此花了点时间了解了一下端口扫描器是如何运作的,并且使用python写了一个简单的端口扫描器,笔者目的不在于替代nmap等主流端扫的作用,只是为了更深入地了解端口扫描器运作的原理。
在本文中,我们将为读者介绍如何通过Windows内置的组件来实现横向移动。
Linux内核为了执行效率,损失了很多安全性。但是在用户空间很难触发内核代码,所以给内核漏洞利用造成了很大的困难。但是BPF使得用户空间拥有了与内核通信和数据共享的能力,所以成为了内核漏洞的高发区。本文以CVE-2017-16995漏洞初步学习了BPF漏洞的利用技巧。若有错误,敬请各位师傅斧正。
.htaccess 文件是Apache中有一种特殊的文件,其提供了针对目录改变配置的方法,即在一个特定的文档目录中放置一个包含一条或多条指令的文件,以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过 Apache 的 AllowOverride 指令来设置。
包含一次性密码(OTP,One-Time Password)的短信消息(SMS)是在移动App中执行身份验证的一种广泛使用的机制。
由于虚拟货币市场的火热,市面出现了众多借助虚拟货币名义实施诈骗诈骗或非法集资的项目。表面炒高虚拟货币价值,私底下却干着大量资本套现的勾当,坑的就是一波波“韭菜”!
很多恶意代码会使用在内存中解密shellcode来执行其主要的恶意行为,使用这种技术不会在磁盘留下任何痕迹,从而来躲避杀软的检测,还有的恶意代码使用多层嵌套的shellcode来增加分析的难度,下面我总结了恶意代码经常使用shellcode的方式,和分析shellcode的一些技巧。
对于将计算卸载到潜在的不受信任的边缘服务器或云端的传感器设备来说,隐私和能源是首要关注因素。
论文主要内容包括:1.介绍和评估了NAUTILUS;2.阐述了几个基于文法的变异,输入精简和生成策略;3.报告了几个广泛使用软件里的bug
银行恶意软件一直都是我们暗影实验室关注的重点。近期,意大利出现了一种新型的Android恶意软件,研究人员发现它与目前已知的银行木马家族都不相关,命名这款新型的银行木马家族为TeaBot(也有命名为Anatsa)。
本题来源于DefCon Quals 2021的mooosl,考察点是最新版本musl libc 1.2.2利用。
周末的时候玩了一下津门杯,感觉遇到了几个比较有意思的题目,这边写一个wp用作记录。
2021年第一季度360手机先赔共接到手机诈骗举报606起。其中诈骗申请336起,涉案总金额高达491.0万元,人均损失14611元。
最近在学习一些ctf的东西,所以自己想从一个小白的身份,复现一些web的漏洞。学习一些大佬的思路!
最开始看过p师傅这个项目,之后就有点忘了,其实也说实话之前看的时候没有太懂,于是现在在来学习一下顺便记录一下心得体会。
前段时间做了一道InCTF2019的几道Web题,觉得里面涉及的PHP disable function bypass和字符串拼接特性挺有意思的,所以自己搭建了环境复现了下,并且在这里记录一下。
东北电力大学第二届网络安全攻防大赛的成功举办,不仅是指导老师的教导有方和运维人员的勤勤恳恳,更是各位参赛选手的支持。比赛以圆满落幕画上句号,我们一定会继续努力,诚心诚意地为大家带来更高质量的比赛。
前段时间曝光了两个v8引擎的漏洞,这里记录一下自己对这两个漏洞的学习。
前几天遇到了几个使用 CRLF Injection 进行 SSRF 的题目,感觉十分有意思,便抽空自己研究了研究。
近年来 Golang 热度飙升,得益于其性能优异、开发效率高、跨平台等特性,被广泛应用在开发领域。在享受 Golang 带来便利的同时,如何保护代码、提高逆向破解难度也是开发者们需要思考的问题。
我们给2021年第一季度的手机安全状况做了一次全面体检,一起来看看吧!
五一在家日常冲浪,无意间看到有人在相亲相爱一家人群里发了一个链接引起了我的注意。
木马或是内存马,都是攻击者在“后门阶段”的一种利用方式。按攻击者的攻击套路顺序,“后门阶段”一般是在攻击者“拿到访问权”或是“提权”之后的下一步动作,也叫“权限维持”。
本文只分析能获得目标程序源码、开启forkserver下的AFL的一些内部实现,主要以afl-gcc为例对插桩代码进行解读,涉及到的源文件主要有afl-fuzz.c,afl-as.c,afl-as.h 和 afl-gcc.c。
两道一致考点的CTF题目,放在一起进行讨论。
weblogic t3协议指的是weblogic的rmi使用的t3协议,在java rmi中,默认rmi使用的是jrmp协议,weblogic包含了高度优化的RMI实现。
2021DASCTF一月赛逆向方向复盘分析。
在Java开发中,如果涉及权限如管理员普通用户操作,则需要在接口调用前对用户的身份进行鉴权。
朋友说自己服务器巨卡,里边放了一堆项目资料,环境也集成一大堆,身为他bb,义不容辞,必须给他看看,本来以为挺简单的,给杀杀毒,清理一下文件就ok了,没想到搞了挺久,正好写这篇文章记录一下。

安全活动

奖励叠加,多重好礼等你来!
六一儿童节快到了,最最最宠爱你们的BSRC又出现了!还不速速前往BSRC官网,选你中意的惊喜礼品吧!
5月28日-29日,国家会议中心,2021阿里云峰会,向你招手展示成立12年阿里云的“云上创新“全景图”。
一年一度全球网络安全的饕餮盛会,还不速来围观!
由中国电子商会自主创新与安全技术委员会及陕西省计算机学会网络空间安全专委会发起主办的2021年陕西省大学生网络安全技能大赛正式登陆古都西安,结合四叶草安全的S-Plan全国网络安全校园行-陕西站活动,为陕西省的网络安全相关专业在校大学生提供优质平台进行实战交流从而提高专业技能。