360网络安全周报第134期

安全资讯

这次季刊活动送出了近千份礼品,几乎是人人有份了,小伙伴们都抽到了什么礼物?小姐姐们害怕大家着急,我们已经赶着把所有东西都打包完毕,这周大家就会陆续收到自己的礼品咯~
WordPress 发布更新,在最新版4.8.3中修复了一个高危的SQL注入漏洞,攻击者可以通过构造恶意参数通过SQL注入的方式获取数据。建议受影响用户尽快升级。
甲骨文企业身份管理系统中存在一个高危漏洞,可被远程未经验证的用户利用,完全控制受影响系统。这个高危漏洞的编号是CVE-2017-10151,CVSS评分为满分10分。无需任何用户交互,这个漏洞即可被利用。

安全知识

该漏洞是和CVE-2015-1641一样经典的类型混淆漏洞。这篇文章中,我将分析该漏洞的触发原理,并在此基础上尝试构造该漏洞的一个简单利用,最后给出该漏洞的动态检测方案。
360核心安全事业部高级威胁应对团队捕获了一个利用Office 0day漏洞(CVE-2017-11826)的在野攻击,它只针对特定的office版本。攻击者以在rtf文档中嵌入了恶意docx内容的形式进行攻击。微软在2017年10月17日发布了针对该漏洞的补丁。本文我们将对该样本进行漏洞分析,主要是通过调试来探究漏洞形成的原因。
在最近的周二补丁日(10月17日)中,微软发布了62个漏洞补丁,其中有个补丁负责修复СVE-2017-11826漏洞。СVE-2017-11826漏洞是一个非常严重的零日(zero-day)漏洞,攻击者可借此实施针对性攻击行动,所有版本的Microsoft Office软件都会受此漏洞影响。
上周,我们的安全研究人员发现了IoT_reaper这个庞大的僵尸网络。一经发现,我们就很快发布了关于该僵尸网络的初步分析,用以提醒网络安全社区。在本文我们将对IoT_reaper僵尸网络进行详细的研究和分析。
根据上一个季度的统计数据发现,使用加壳器、加密器和保护器的恶意软件的数量正在日益增加。这些加壳器极大的提高了进行静态分析的难度,甚至有些时候根本就无法对其进行静态分析。随着越来越多的恶意软件作者开始采用这些保护性措施,安全分析人员对于恶意软件分析替代技术的兴趣也越来越浓。
在此文中我将讲述我在软件漏洞挖掘的实践中学到的技术及方法,不过这些内容并非那些前沿的技术,大多是基础类型的技术及方法。对于初学者而言,希望能够给予入门的指导,对于经验丰富的漏洞挖掘工作者而言,我认为也可以从中获得一些启发。
本篇文章是笔者在一次偶然的机会中接触到powershell empire后进行简单初步的摸索,由于关于这款工具的文章很少,大部分都没有涉及到里面模块作用和原理,官方文档能提供的信息也不多。所以我也是尽力把自己理解的写出来,笔者能力有限,更深层次的利用和原理剖析还在逐步进行。请谅解。
你是否正在测试新的或者已有的安全产品,以检测安全威胁?如果你与许多团队一样,那么你可能会缺乏相应的内部资源或专业知识来模拟特定对手所使用的策略或技术。这也是我们最近推出Atomic Red Team的目的所在。Atomic Red Team是一个开源测试框架,可以测试用户的威胁检测能力。
最近一段时间(2017年6月)以来,Gaza开始利用CVE 2017-0199漏洞,在未安装修复补丁的受害者系统上通过Microsoft Office文档直接执行恶意代码(本文案例中所使用的是Cobaltstrike载荷)。另一方面,我们发现在2017年4月时,攻击者在其中一个命令服务器上部署了一个Android木马。
我们最近又发现了Sage的新样本,该样增加了专门用于对抗分析和提权等功能。在本文中,我们将分享这些最新的发现。通过Kadena威胁情报系统,我们已经确认该恶意软件是通过垃圾邮件来传播的,这些邮件带有恶意的JavaScript附件,之后,这些代码会下载新型的Sage 2.2变种。
SO有各种保护,比如反调试、区块加密、OLLVM混淆、ARM VMP。OLLVM混淆是逆向人员的噩梦,这招确实能有效提高SO代码的安全性。而unicorn引擎是一款跨平台跨语言的CPU仿真库,支持ARM,ARM64....我采用这个库来调用难以逆向的SO文件。
有人想让我帮忙分析经过混淆的Android恶意软件。最近我研究了一下。我用了dex-oracle以及一些技巧部分解开了恶意软件的混淆数据。在本文中,我会介绍我在去混淆方面所使用的一些技巧以及整个过程。如果你需要处理许多混淆的Android应用,这篇文章应该对你有所帮助。
本篇文章将深入分析CSRF的工作机制,以及现代应用程序可以采用的安全措施。接下来会给大家提供一份安全解决方案,最后会提出一种针对cookie的新型扩展,如果它能够成为一种通用标准的话,它将能够消除绝大多数场景下的跨站脚本漏洞。本文是系列文章的第一部分。
IoT设备日益增多的今天, 以及智能家居这一话题愈发火热,智能家居市场正在飞速的壮大和发展,无数IoT设备正在从影片中不断的走向用户的身边.但是这其中却拥有着大量的安全问题和隐患,此次以结合实际案例的方式来谈一谈目前国内IoT市场中普遍存在的安全问题.
row-hammer是一种能在物理层面上造成RAM位翻转的硬件漏洞。在这篇文章中,我们的目的是展示不同的攻击情形。在本文我们破坏了正在运行的程序状态,而不是破坏内存加载的文件。

安全活动

滴滴出行【安全说】第7期 — 威胁情报专场,烽火台威胁情报联盟创始人金湘宇、神州网云CEO-宋超,将围绕威胁情报提供两个不同角度的技术干货议题,为大家深度解读,如何利用威胁情报,应对如今复杂的信息安全挑战。
百度安全联合华为、中国信息通信研究院等,就“AI时代的智能终端安全生态构建”等话题进行探讨。国内首个致力于AI时代、提升智能终端生态安全的联盟组织“OASES智能终端安全生态联盟”宣布成立。