【知识】11月19日 - 每日安全知识热点
本周勒索软件盘点、卡巴斯基调查研究NSA黑客工具是如何被盗的、pfSense小于等于2.3.1_1 (pfSense-SA-16_08.webgui)授权的命令执行漏洞披露、CVE-2017-15306: Linux内核KVM PowerPC空指针解引用、新的开源IDS工具、Leading the Blind to Light! - A Chain to RCE。
【技术分享】针对PayPal子域存储型XSS的研究(下)
在本系列文章的上集中,我们给大家介绍了PayPal品牌中心以及PayPal技术支持门户中存在的存储型跨站脚本漏洞。接下来,我们将会给大家介绍如何利用PayPal品牌中心站点中的XSS漏洞。在这个过程中,我们利用该站点所使用的身份验证机制存在的安全问题,并利用文件名注入将Self-XSS转换为non-Self型的存储型XSS。
【技术分享】Lua程序逆向之Luac字节码与反汇编
在了解完了Luac字节码文件的整体结构后,让我们把目光聚焦,放到更具体的指令格式上。Luac字节码指令是整个Luac最精华、也是最具有学习意义的一部分,了解它的格式与OpCode相关的知识后,对于逆向分析Luac,会有事半功倍的效果,同时,也为自己开发一款虚拟机执行模板与引擎打下良好的理论基础。
【技术分享】针对新型POS机恶意软件Trojan.Win32.Alinaos的分析
平常我们刷卡后POS机通常会保存我们的消费记录,其中就包含信用卡的信息。如今在黑市上,有不少人都在通过售卖信用卡信息来赚取非法盈利。近期,我们在美国的大量酒吧和餐厅都发现了POS机恶意软件。经过分析,他们的POS终端是被信用卡信息窃取恶意软件的两个变种所感染。本文对这两个变种进行了分析。
【技术分享】某防火墙远程命令执行
防火墙的管理服务默认运行在 22、23 端口,需登录才能使用,默认的管理员用户密码为████。除此之外,系统中还存在另一个用户:dump/dump,此用户在官方文档中并未提及,或者可以称为后门账号?
【知识】11月17日 - 每日安全知识热点
美国政府发现朝鲜政府指使的恶意网络活动HIDDEN COBRA中的远控工具: FALLCHILL、卡巴斯基对美国2014年9月“方程式”恶意软件检测事件调查报告、AngelaRoot:一加手机刷入SuperSU的app、Cisco IOS的shellcode生成工具、WMI repositories取证脚本、对ShadownBrokers放出的exploit——epichero的分析
【产品推荐】安全客双十一活动——感洞全时风险感知平台(免费体验卡)
安全客携手四叶草推出双十一特惠活动,率先咨询的的小伙伴就有机会获得感动体验卡和定制T恤哦~
【漏洞分析】Foscam C1室内高清摄像机的多个漏洞分析
Foscam C1室内高清摄像头是一个基于网络的摄像头,用于包括家庭安防在内的多种场合。在6月,Talos团队曾发现该设备存在多个漏洞。借助本次发现的这些漏洞,攻击者可以在受漏洞影响的设备上实现远程代码执行,并可以将恶意固件映像上传至设备,最终可能导致攻击者完全控制该设备。
【漏洞分析】CouchDB漏洞(CVE–2017–12635, CVE–2017–12636)分析
在2017年11月15日,CVE-2017-12635和CVE-2017-12636披露,CouchDB被曝存在远程代码执行的问题。其中CVE-2017-12636的任意命令执行早在2016年即被披露, 但并未引起重视。
【技术分享】谷歌商店又现新型恶意软件Grabos通过推广app牟利
近期McAfee移动研究团队在谷歌商店发现了一种新型的Android恶意软件Grabos。表面上看是音乐下载工具,多种动态调试的检测,其实加密上传它搜集到的信息,还会检测是否安装某些社交软件。考虑到显示广告的功能和大量的下载,我们认为Grabos的主要目的是通过推广应用程序的安装进行牟利。
【国际资讯】CVE-2017-11882:微软Office内存损坏漏洞导致远程命令执行
2017年11月14日,微软发布了11月的安全补丁更新,其中值得注意的是CVE-2017-11882。这个漏洞是Office的内存损坏漏洞,问题出现在C:Program Files (x86)Common Filesmicrosoft sharedEQUATIONEQNEDT32.EXE中,攻击者可以利用这个漏洞以当前登录用户的身份执行任意命令。
【技术分享】点击型僵尸app:能够自动点击的安卓僵尸app(下)
在下篇中,讲述了利用无障碍辅助服务的点击型僵尸应用的代码分析,以及其他点击欺诈的方法,最后给出了总结。
【国际资讯】3D面具轻松破解iPhoneX面部识别系统Face ID(含视频)
研究人员用几天的时间,花费150美元打印了一个特殊构造的3D人脸面具,然后成功破解了苹果的Face ID安全系统。由于整个过程花费了大概一星期的时间,而且材质费用是150美元,此类攻击可针对如亿万富翁、政府官员、情报特工、首席执行官等高价值人群。
【技术分享】针对PayPal子域存储型XSS的研究(上)
在本系列文章中,我们将会给大家介绍如何利用PayPal品牌中心站点中的XSS(跨站脚本)漏洞。在这个过程中,我们需要利用该站点所使用的身份验证机制中存在的安全问题,并利用“文件名注入”技术将Self-XSS转换为non-Self型的存储型XSS。
【技术分享】WikiLeaks公开资料解读系列- CIA“Hive”项目
2017年11月9日WikiLeaks 开始公布Vault8系列资料,其中包括一个名为HIVE的CIA后门系统项目,包括了项目各版本的部分源代码,这是WikiLeaks公布CIA相关资料的历史上少见的包含源码的数据。360威胁情报中心对其主要内容进行了分析,提供在主机上对此后门程序进行搜索匹配的规则。
【知识】11月16日 - 每日安全知识热点
一加手机又被发现可疑应用OnePlusLogKit,可能造成用户隐私泄露、多级释放的恶意软件溜进Google Play(将恶意代码放在assets 目录避免检测)、价值10万美元Chrome OS exploit细节、CVE-2017-11873的exploit脚本(js)、Nexus5上6.0.1系统的Blueborne RCE PoC、Adobe Readers CVE-2017-16379漏洞分析
【产品推荐】安全客双十一活动——旗云产品(3个月免费体验)
北京旗云互联技术服务有限公司成立于2015年10月, 是个年轻却富有互联网建设经验的IT企业。旗云拥有优秀的研发团队,自主研发监控运维自动化SaaS+PaaS产品。
【技术分享】CVE-2017-8759的几种利用新姿势
CVE-2017-8759漏洞是一个因.Net WSDL解析器处理soap语句不当而导致的代码注入漏洞,由于其通用性和易用性,公布以来一直有新的野外利用样本出现。近日,360核心安全事业部高级威胁应对平台捕获一批利用CVE-2017-8759的新样本,通过分析这些样本,我们观察到一些有趣的利用新姿势,下面来和大家分享一下。
【国际资讯】微软/Adobe 11月安全更新补丁回顾
微软在星期二发布了月度安全更新补丁,共54个安全补丁,其中53个有CVE编号——其中19个高危漏洞,31个重要漏洞。这些漏洞影响了包含Edge、IE浏览器、脚本引擎等。Adobe也发布了9个安全通告,涉及到Flash Player、Photoshop等产品相关的86个CVE漏洞。其中70个为高危漏洞,15个为重要漏洞。
【安全报告】ANDROID勒索软件黑产研究 ——恶意软件一键生成器
自从WannaCry勒索病毒全球大爆发后,国内效仿的勒索软件层出不穷。以加密文件方式进行敲诈勒索的手机勒索恶意软件逐渐出现,改变了之前的手机锁屏勒索的方式。手机勒索软件技术上更加复杂,造成的用户额外损失更加严重,同时也给安全厂商带来更大的挑战。
【技术分享】视频会议系统Polycom HDX远程命令执行漏洞分析
本文详细介绍了发现Polycom HDX系列视频会议系统中一个远程命令执行漏洞的发现过程,最后作者成功地拿下了设备的root权限。
【技术分享】以Emotet为例识别C2服务器并掌握其拓扑结构
虽然现在大多数僵尸网络仍在使用基本的客户端-服务器模式,并且依赖HTTP服务器来接收命令,但是,许多著名的黑客组织已经开始利用更先进的基础设施来绕过endpoint黑名单,并且在接管系统方面要更加具有弹性。 在本文中,我将以Emotet为例来介绍识别C2服务器并掌握其拓扑结构的详细过程。
【知识】11月15日 - 每日安全知识热点
一加手机被发现“疑似后门”的app、微软的补丁修复日修复了53个安全问题、利用雅虎的小型商业平台的目录遍历漏洞可查看客户信用卡信息、卡巴斯基发布2017 Q3的APT活动趋势、Linux rootkit for Ubuntu 16.04 and 10.04、D-Link DIR-850L未认证的命令执行、Google Play上又发现安卓木马
【技术分享】劫持数字签名与Powershell自动化过程
开发人员通常会对其代码进行签名,以便向用户保证他们的软件是可信的,而且没有被恶意修改。 这都通过使用数字签名来完成的。 因此,签名代码是一种验证文件的真实性和完整性的方法。本文将介绍一种劫持数字签名并绕过验证机制的方式,并通过Powershell自动化这一过程。
【产品推荐】安全客双十一活动——顶象产品免费试用
安全客&顶象携手带来安全圈的双十一活动,不仅顶象技术风控产品全线免费、端产品免费试用,而且还有小米充电宝、真皮笔记本等精美礼品相送哦~
【技术分享】开发Linux上带有基本认证的TCP Bind Shell
本文的目标是使用x64汇编语言开发一个带有密码认证的tcp_bind_shell,并且程序中不包含任何null字节。
【安全报告】2017年双十一中国网购安全专题报告
综合360互联网安全中心各项大数据分析显示,2017年双十一期间(10月11日-11月11日),国内网络安全形势有喜有忧。
【技术分享】旧瓶装新酒——memcache作为DRDOS反射放大器
作为DDOS,也有各种流派,有大力出奇迹的DDOS远控集群,有以巧取胜的反射放大,也有精巧的LOT僵尸网路。这里我们只讨论udp反射DRDOS。DRDOS靠的是发送大量带有被害者IP地址的UDP数据包给放大器主机,然后放大器主机对伪造的IP地址源做出大量回应,形成分布式拒绝服务攻击。
【技术分享】点击型僵尸app:能够自动点击的安卓僵尸app(上)
在上篇中先讲述了点击型僵尸应用(CBA)背后的动机,然后讲述了利用dispatchTouchEvent这个API的点击型僵尸应用的分析。
【病毒分析】Ordinypt恶意软件分析报告
近期,出现了一个新的勒索病毒“Ordinypt”,主要针对德国用户。通过逆向研究其工作原理发现表面上是一个向受感染的用户勒索金钱的勒索病毒。但实际上是一个清扫器(Wiper)类型的病毒,被它加密的文件会直接被销毁,而且并不能通过支付赎金给恶意软件作者来恢复被加密的文件。