2017-11-29 16:53:28 40480 3

macOS High Sierra（版本10.13）无需密码即可创建root用户，可导致后续通过这个root账号远程登录。广大macOS用户应该赶紧给自己的root账号设置一个健壮的密码。

2017-11-29 15:26:40 62549 3

安全人员需要担心被人工智能取代工作吗？ 今天又被问到了这个问题。望着学生焦急期待的眼神，作为在安全圈工作二十多年的老司机，我觉得颇有感触，并且有话要说。

2017-11-30 09:55:46 78176 2

近期我们发现，有很多新西兰网站都采用了单点登录的方式，最常见的一个标准就是SAML 2.0。然而有许多SAML使用者没有正确地验证响应，这就带来了攻击认证过程和完全绕过认证的潜在风险。

2017-11-29 16:03:44 105966 2

在这篇文章中，我们跟大家分享一些针对XSLT的攻击案例，并让大家了解到这项技术的安全缺陷。这种类型漏洞将允许攻击者实现远程代码执行、从远程系统中窃取数据、执行网络扫描、访问目标用户内部网络资源等恶意活动。

2017-11-29 13:11:12 64337 7

购买一台绝对安全的物联网设备的概率到底有多高？为了找到这个问题的答案，我们做了个小实验：我们随机挑选了几款物联网设备，并对这些设备的安全性做了检查。

2017-11-29 14:56:40 83532 3

最近公司收到一些钓鱼木马邮件，邮件里有个链接，当点开链接后会下载一个doc文档，打开文档会执行powershell命令，从网络中下载一些文件并且 StartProcess，启动木马。本文将分析这个木马文件。

2017-11-29 11:19:08 51507 3

Google发现新的安卓Tizi间谍软件窃取社交账号敏感信息，截屏，录音等、macOS High Sierra（版本10.13）无需密码即可创建root用户可致后续通过root账号远程登录、Bitcoin Gold(BTG)官方Windows Wallet App被替换恶意行为未知、安卓Gmail app < 7.11.5.176568039目录遍历漏洞的PoC

2017-11-29 18:59:58 84237 0

一名安全研究员发现并公开披露了流行互联网邮件信息传输代理Exim中的两个紧急漏洞，其中一个能导致远程攻击者在目标服务器上执行恶意代码。

2017-11-28 18:07:40 226471 1

从这个样本来看，攻击者的目标群体是中国、澳洲、美国和俄罗斯等国家的小型公司，我们发现有呼叫中心、会计事务所等。我们认为，这并不是一个针对特定国家进行攻击的木马，而是将目标锁定了在企业或者是金融等相关行业上。

2017-11-28 15:51:57 213422 0

此次分析的内核提权漏洞为SENSEPOST的Saif El-Sherei在分析微软MS17-017补丁的时候发现的，该漏洞类型为win32k.sys驱动程序中处理GDI对象的函数EngRealizeBrush内发生的整型溢出，我就主要针对该Exploit进行了下简单的分析，如果分析过程存在问题，欢迎联系我交流指正。

2017-11-28 13:56:29 234275 3

上篇介绍了Empire的基本操作，如何生成木马以及如何使用代理等。下篇介绍了如何使用Empire 进行信息搜集，提权操作，如何横向渗透，如何操作后门，以及如何反弹一个meterpreter的shell。 ​​​​

2017-11-28 11:30:42 117021 0

2017年9月18日，Piriform 官方发布安全公告，称旗下的CCleaner version 5.33.6162和CCleaner Cloudversion 1.07.3191版本软件被篡改并植入了恶意代码。被植入后门代码的软件版本被公开下载了一个月左右，导致百万级别的用户受到影响，泄露机器相关的敏感信息甚至极少数被执行植入了更多的恶意代码。

2017-11-28 10:51:58 161937 0

“Exim” MTA的高危漏洞（远程代码执行和拒绝服务，PoC已发布）、世界上最大的僵尸网络Necurs通过Scarab勒索软件发送了1200万封电子邮件、Imgur公开关于2014年用户数据泄露的细节、对流行IoT设备安全性的测试——你的IoT设备的安全性如何呢？、开源移动安全测试框架MobSF框架及源代码分析

2017-11-28 10:05:38 134254 0

在最新发布的PSAmsi v1.1版本中，最大的变化就是增加了基于AbstractSyntaxTree（抽象语法树）的PowerShell“混淆”功能。这里“混淆”一词打了引号，希望大家阅读完本文后能理解这个引号的含义。

2017-11-27 19:14:10 530494 6

Empire在域渗透方面的功能实在是太强大，很多人只是用来生成免杀，未免有点大材小用。而且网上了一直没有一个系统的教程，特别是版本更新到2.X以后，有些使用方法发生了改变，甚至连官网的介绍都没有更新。本文为上篇。

2017-11-27 18:14:19 186629 0

Netlink 是一种特殊的 socket，它是一种在内核与用户间进行双向数据传输的一种方式。2017年11月24日, OSS社区披露了一处存在于Linux 内核Netlink socket子系统(XFRM)的漏洞，漏洞编号CVE-2017-16939，影响Linux Kernel 2.6.28~4.14之间的版本。建议所有受影响用户及时进行安全更新。

2017-11-27 17:15:30 619379 10

一周前，微软Office“公式编辑器”中的漏洞被公之于众，而现在至少有一个犯罪组织正在利用它感染用户。这个黑客组织是Cobalt，两年来一直针对银行、ATM网络和金融机构发动针对性攻击。

2017-11-27 15:08:33 148262 2

这是Microsoft Edge的javascript解析引擎Chakra的一个漏洞。这篇分析也是我这系列分析中的一部分。 这个漏洞与之前的几个相比比较特殊的是涉及到了代码的JIT，也就是发生了优化导致的问题。 此外这也是一个微软修了两次才修好的漏洞。

2017-11-27 13:57:03 160888 0

Egg hunter是一个非常短的Shellcode，只有一个作用，就是在内存中的其他地方搜索到真正的Shellcode（也就是猎人所寻找的鸡蛋）并执行。在我们利用缓冲区溢出漏洞时，通常要受到可用缓冲区大小的限制，当没有足够空间可以注入Shellcode时，就需要用到Egg Hunting这种方式。

2017-11-27 11:48:57 126036 0

本文的目标是逆向分析Trickbot银行木马所使用的Socks5回连模块，包括对该模块通信协议及源代码级别的分析。我们分析的样本为解码后的Trickbot Socks5回连模块（请参考VirusTotal上的分析结果）。

2017-11-27 10:45:40 95544 0

新的mirai僵尸网络变种正在端口23和2323上积极传播、著名图片分享网站imgur承认在2014年曾遭遇数据泄露导致170万用户的email地址和密码、Cobalt group被发现利用CVE-2017-11882漏洞、使用node.js调用CoinHive挖矿、作者用C和Python写了个Linux上的勒索软件GonnaCry

2017-11-27 10:01:23 115720 0

在平时的恶意软件分析和逆向中，常常需要弄明白恶意软件所使用的数据Blob是什么。现在我们可以直接从恶意软件的解密/解压缩部分中得到其汇编代码，将其放在一个编译器中（比如Visual Studio），编译成动态链接库，然后再使用我们熟悉的脚本语言（比如Python）对其进行调用。

2017-11-26 11:28:30 169643 0

热点概要：Imgur在2014年被黑，140万账户密码泄漏、看我7分钟黑掉40个网站、Wordpress Pingback反射DDoS攻击、加密货币攻击之比特币、Guacamole：支持VPN、RDP、SSH等协议的远控浏览器、使用Polyhedra访问内存的二进制代码的抽象理解。

2017-11-25 11:31:27 151490 1

热点概要：扫描器开始针对比特币及以太币钱包、沙特阿拉伯声称王室遭到了网络攻击、公司管理人员在约会网站的信息可能会暴露公司秘密、SSH与OpenVPN之争、伪造Whatsapp技术分析、研究人员发现大量评论可能是伪造的、移动端与Web浏览器的凭证管理。

2017-11-24 19:13:59 140678 0

大约60个小时以前，从2017-11-22 11:00开始，360网络安全研究院注意到在端口2323和23上的扫描流量有一个暴涨现象。其中主要扫描者，大约10万个扫描IP地址位于阿根廷，同时360网络安全研究院也注意到大约有5千个IP地址来自国内。分析以后，目前比较确定这是一个新的mirai变种。

2017-11-24 18:44:37 501675 6

CVE-2017-11882是微软本月公布的一个远程执行漏洞，通杀目前市面上的所有office版本及Windows操作系统。是一个非常经典的栈溢出漏洞。上次出现这么典型的office栈溢出漏洞是著名的CVE-2012-0158。本文将深入分析该漏洞背后的机制，并在此基础上讲一下poc的构造方法，利用思路及动态检测方式。

2017-11-24 16:47:25 141036 1

在上篇中，我们已经成功创建了一个新的Section Header，并将我们的Shellcode放在其中，劫持了执行流到我们的Shellcode，运行后再返回到应用程序的正常功能。而在本文中，我们在此基础上继续讨论如何来实现反病毒软件软件的低检测率，真正做到标题所说的“完全无法检测的后门”。

2017-11-24 13:56:08 183509 1

这次出题人是上次houseoforange的出题人angelboy，这次出题的思路也很赞，光是想个unsorted bin的构造就想了两天，可惜的是最后使用houseoforange的时候发现是用了添加vtable验证的最新版libc，所以只能在赛后研究出题人题解了。

2017-11-24 11:59:01 103739 0

在本文中，我们介绍了CyberArk实验室发现的名为“Golden SAML”（黄金SAML）的一种新型攻击技术。利用这种技术，攻击者可以创建一个Golden SAML，这实际上是一个伪造的SAML“身份认证对象”，以SAML 2.0协议作为SSO（单点登录）认证机制的任何服务都受此攻击方法影响。

2017-11-24 11:04:29 117520 0

热点概要：基于宏的攻击：Office的特性可被利用在新的攻击方式中、伪造赛门铁克博客网站被用来传播Proton病毒、勒索软件Scarab如今通过垃圾邮件服务大量传播、Livehelpnow网页聊天部件感染挖矿脚本，波及超过1500个网站、XSLT服务侧注入攻击、Linux内核 XFRM提权漏洞、扫描以太坊中的智能合约漏洞。