360网络安全周报第317期

安全资讯

澳大利亚总检察长近期提交了一份新的在线隐私法案的初稿,对现行隐私法进行了引人注目的改革。
科罗拉多大学数据泄露影响30000名学生;Cisco IKEv2 VPN拒绝服务漏洞安全更新;Apple Safari 安全更新。
《中华人民共和国个人信息保护法》于2021年11月1日起施行。
Chaos勒索软件团伙正通过在游戏论坛上宣传虚假《我的世界》替代列表的方式,加密游戏玩家的Windows设备。
黑客入侵了麻省大学健康中心;Fortinet警告称,“黑色星期五”骗局将窃取加密货币;珠宝商Graff被Conti攻击,包括特朗普和贝克汉姆在内的富裕客户的数据面临风险。
HelloKitty勒索软件团伙(又名FiveHands)将分布式拒绝服务 (DDoS) 攻击添加到勒索工具库。
针对我国和南亚次大陆等国家的钓鱼攻击活动分析;疑似Donot APT组织使用最新域名资产进行攻击活动分析;APT-C-59(芜琼洞)组织2021年攻击行动揭秘。
伊朗黑客组织BlackShadow入侵了以色列互联网托管公司Cyber​​serve服务器,关闭该公司托管的多个网站。
多伦多交通委员会(TTC)遭到勒索软件攻击;50%面向internet的GitLab安装仍然受到RCE漏洞的影响;FBI:HelloKitty勒索软件将DDoS攻击添加到勒索战术中。
法国虽然在法澳潜艇合同一事上光速投降,但口头上还是要硬气一下的,口水战如今仍在持续。但今天却发生了一件大事,澳媒公开莫里森和马克龙的短信内容,称马克龙早知澳将取消潜艇合同。
分析KIMSUKY组织的新后门APPLESEED;Operation(विक्रान्त)Vikrant:屹立于精神内景中的钢铁巨象;TeamTNT升级了武器库,改进了Kubernetes和GPU环境。
乌克兰特勤局表示已确定五名Gamaredon黑客组织核心成员,并称他们受雇于俄罗斯政府。

安全知识

本次安全科普为大家介绍AD域中的AdminSDHolder,与AdminSDHolder相关的特性频繁被攻击者利用来进行留后门等操作,在检查AD域安全时AdminSDHolder相关属性也是排查的重点。
RMI,是Remote Method Invocation(远程方法调用)的缩写,即在一个JVM中java程序调用在另一个远程JVM中运行的java程序。
V8是chrome核心组件,重要程度不用多言。本系列文章,讲解V8源码,力求做到全面覆盖知识点、有理论支撑,做到细致讲解代码、有实践依据。
记一次通过HOOK实现简单的全局键盘、鼠标记录器。
这是2021年blackhat上的一次议题分享中的漏洞,直到文档完成视频还未公开,且issue页面也无权访问,但是看了ppt后不禁被这绝妙的思路所折服,于是决定自己亲手构造一番,在此感谢@__R0ng的指导。
zseano的方法论第二篇,主要讲通过信息收集扩大攻击面。
这道题目是广州强网杯的一道题目,利用方式比较巧妙,题目给了两个字节溢出、和一个任意地址写,通过这些漏洞可以有一些利用的方法,但是有一种方法是很巧妙的,也是出题人想让我们利用的方式。
微软似乎在不断扩展其安全防护和缓解机制,并将其应用到Windows 10操作系统上。本文介绍一种微软即将推出的安全防护机制:eXtended Flow Guard(XFG)。
InCTF 复现。
拿到一台边缘机器后,内网的机器很有可能大多数都不出网,这时又想上线cs方便后续操作。本文就如何上线不出网主机的方式进行了总结。
本次比赛我们获得了第五名的成绩,现将师傅们的 wp 整理如下,分享给大家一起学习进步~ 同时也欢迎各位大佬加入 r3kapig 的大家庭,大家一起学习进步,相互分享~ 简历请投战队邮箱:root@r3kapig.com。
最近在恶补反序列化的知识点,mysql jdbc反序列化漏洞也是一个比较经典的漏洞。学习的过程中正好发现AntCTFxD^3CTF有道赛题把这个知识点出成了题目,为了了解该jdbc漏洞的利用场景,周末把环境和docker容器搭起来进行漏洞复现。
参考链接:https://lwn.net/Articles/658511/,以及resery师傅的博客。
Thymeleaf是SpringBoot中的一个模版引擎,个人认为有点类似于Python中的Jinja2,负责渲染前端页面。
在数百万张EMV实体卡中对从0000到9999的所有10000个PIN组合进行暴力破解是可能的。
V8是chrome核心组件,重要程度不用多言。本系列文章,讲解V8源码,力求做到全面覆盖知识点、有理论支撑,做到细致讲解代码、有实践依据。
由于很多黑产模块商业化。导致对抗异常激烈,商业化模块具备各种对抗功能,当恶意样本,黑产工具集成了商业化模块后,会具备很强的对抗能力。
对于进程中的只读内存区域, 如果通过地址进行写入会得到一个段错误, 但是通过mem文件进行写入, 就会得到一个dirty的COW的只读页, 为什么会有这样的差异?
MikroTik RouterOS是一种路由操作系统,并通过该软件将标准的PC电脑变成专业路由器,在软件的开发和应用上不断的更新和发展,软件经历了多次更新和改进,使其功能在不断增强和完善。
很早就得知realloc一些特殊的作用,但一直以来都是硬套,导致有时候并不能很快的反应过来(太菜了…),所以在赛后对realloc做个整理,如果感兴趣的话就一起看下去吧!
iOS系统历来以重视隐私安全作为更新的重点和宣传的亮点,已装应用作为隐私安全的一部分应该得到限制,一旦泄露后果不堪设想。
在现在CTF比赛中qemu逃逸题目已经越来越常见,希望能通过这篇文章让大家对最近qemu逃逸题目学习有一点帮助。
近日微步情报局捕获一批针对格鲁吉亚、乌克兰地区的攻击样本,攻击者使用涉及军政、COVID疫苗等相关话题投递攻击诱饵。
和师傅们一起玩的很开心!有大师傅MoonBack带带,玩的很开心!😀😀😀
最近在分析恶意代码的过程中,遇到了基于管道的后门,于是就学习了一下基于管道的shell后门原理,自己动手写了一个简单的shell后门。
今年(2021) DEFCON 决赛出了一道有意思的 KoH 题(shoow-your-shell),用 shellcode 读取 secret 文件内容并输出,比谁用的字符更少,字符数相同时比谁的长度更短。
由于 IMSI 是用户的永久标识符,出于安全和隐私的考虑,LTE 规范试图将其在无线通信中的传输最小化。
Apache 是一个被广泛使用的web服务器,这段时间爆出了很多关于Apache挂钩模块的漏洞,比如CVE-2021-40438、CVE-2021-22986等等,为了更好的理解漏洞挖掘的原理以及梳理知识体系,本文从Apache挂钩模块的角度分析Apache安全。
前些日子打了 TCTF 2021 FINAL,其中刚好有两道 Linux kernel pwn 题,笔者在比赛期间没有多少头绪,而这两道题在新星赛中也是全场零解。
本次强网挑战杯是我解题完成度最高的一次比赛了,虽然我并不参加复赛,但不得不说还是非常有成就感的。本次题目中比较有难度的应该是random_heap、oldecho和bornote,剩下的题目基本都是模板题目。非常适合pwn新手参与(比如我)。
复现了CVE-2018-17463,在一些大佬懒得讲的地方加了一些理解和解释,比较新手向。

安全活动

快手安全「手」护者系列沙龙活动于今年5月首次举办,至今已成功举办两期。本系列沙龙大咖云集,顶尖白帽汇聚一堂,分享前沿技术干货、实践案例,同时与业内建立沟通桥梁,打造行业信息安全建设交流新平台,目前累计吸引上千人次参与沙龙交流学习。