360网络安全周报第138期

安全资讯

2017年末,安全客正式全面改版,正式将网址更替为 https://www.anquanke.com/ 。全新的网站界面,优化的产品体验,贴心的个性化设计……和我们一起向着2018,从“新”出发吧。
一名安全研究员发现并公开披露了流行互联网邮件信息传输代理Exim中的两个紧急漏洞,其中一个能导致远程攻击者在目标服务器上执行恶意代码。
macOS High Sierra(版本10.13)无需密码即可创建root用户,可导致后续通过这个root账号远程登录。广大macOS用户应该赶紧给自己的root账号设置一个健壮的密码。
位于佛罗里达州坦帕的一家信用维修服务公司,将来自美国国家信用协会(National Credit Federation)的111 GB的内部客户信息,暴露在了一个可公开下载的数据存储库中。将成千上万的客户客户信息暴露在公共互联网上。

安全知识

在平时的恶意软件分析和逆向中,常常需要弄明白恶意软件所使用的数据Blob是什么。现在我们可以直接从恶意软件的解密/解压缩部分中得到其汇编代码,将其放在一个编译器中(比如Visual Studio),编译成动态链接库,然后再使用我们熟悉的脚本语言(比如Python)对其进行调用。
macOS系统重大安全漏洞,攻击者可以在普通用户权限下获得管理员权限。苹果发布的补丁中增加了对strcmp函数校验密码的安全性,并且对od_verify_crypt_password函数的参数做了进一步校验,本文详细介绍漏洞原理。
前段时间WordPress修复了两个插件的漏洞Shortcodes Ultimate和formidable forms,其中Shortcodes Ultimate的下载量在70W+,而formidable forms的下载量在20W+,影响比较广泛。使用这两款插件的用户请尽快升级。
360威胁情报中心自在2015年首次揭露海莲花(OceanLotus)APT团伙的活动以后,一直密切监控其活动,跟踪其攻击手法和目标的变化。本文是对其攻击样本的详细分析。
近来很多攻击者利用社工技巧伪造正常邮件内容,诱骗用户点击邮件链接或下载附件,这种攻击瞄准企业安全防护中最薄弱的环节普通用户和终端环境,结合社工和终端安全漏洞进行有效攻击,也为大范围感染和传播提供便利。
一段时间以来研究Powershell,后来应朋友们对Powershell的需求,让我写一个Powershell安全入门或者介绍方面的文章,所以这篇文章就出现了。此为Powershell攻击指南——黑客后渗透之道系列的第一篇。
在本文中,我们分析了针对macOS平台的一款新型密币(cryptocurrency)挖矿木马。这个恶意软件伪装成盗版应用程序,使用用户硬件来悄悄挖掘门罗币(Monero)。
近期360安全卫士拦截到网银盗号木马,该木马伪装成加速器账号助手、迅雷VIP破解版、DNF连发工具等,在各大下载站发布,一旦运行,就会导致用户电脑被远程控制网银账户被盗取,经过深入分析追踪定位到了木马作者。
本文是CNCERT发布的10月份互联网安全威胁报告,以检测数据和单位报送数据为依据,对互联网面临各类安全威胁进行总体态势分析。
购买一台绝对安全的物联网设备的概率到底有多高?为了找到这个问题的答案,我们做了个小实验:我们随机挑选了几款物联网设备,并对这些设备的安全性做了检查。
2017年9月18日,Piriform 官方发布安全公告,称旗下的CCleaner version 5.33.6162和CCleaner Cloudversion 1.07.3191版本软件被篡改并植入了恶意代码。被植入后门代码的软件版本被公开下载了一个月左右,导致百万级别的用户受到影响,泄露机器相关的敏感信息甚至极少数被执行植入了更多的恶意代码。
此次分析的内核提权漏洞为SENSEPOST的Saif El-Sherei在分析微软MS17-017补丁的时候发现的,该漏洞类型为win32k.sys驱动程序中处理GDI对象的函数EngRealizeBrush内发生的整型溢出,我就主要针对该Exploit进行了下简单的分析,如果分析过程存在问题,欢迎联系我交流指正。
Empire在域渗透方面的功能实在是太强大,很多人只是用来生成免杀,未免有点大材小用。而且网上了一直没有一个系统的教程,特别是版本更新到2.X以后,有些使用方法发生了改变,甚至连官网的介绍都没有更新。本文为上篇。
上篇介绍了Empire的基本操作,如何生成木马以及如何使用代理等。下篇介绍了如何使用Empire 进行信息搜集,提权操作,如何横向渗透,如何操作后门,以及如何反弹一个meterpreter的shell。 ​​​​
Netlink 是一种特殊的 socket,它是一种在内核与用户间进行双向数据传输的一种方式。2017年11月24日, OSS社区披露了一处存在于Linux 内核Netlink socket子系统(XFRM)的漏洞,漏洞编号CVE-2017-16939,影响Linux Kernel 2.6.28~4.14之间的版本。建议所有受影响用户及时进行安全更新。
这是Microsoft Edge的javascript解析引擎Chakra的一个漏洞。这篇分析也是我这系列分析中的一部分。 这个漏洞与之前的几个相比比较特殊的是涉及到了代码的JIT,也就是发生了优化导致的问题。 此外这也是一个微软修了两次才修好的漏洞。

安全活动

四叶草安全作为中国信息安全测评中心官方指定的培训单位,结合陕西高校资源优势,特启动“网络安全人才培养计划”,为国家和行业输送更多的网络安全人才。