2018年第21周微信公众号精选安全技术文章总览

洞见网安 2018-5-28

0x1 iptables防火墙规则使用梳理

WalkingCloud 2018-05-24T22:54:11 散尽浮华

iptables防火墙规则使用梳理

防火墙网络安全 Linux IP地址转换规则管理数据包处理系统运维网络地址过滤

0x2 SURFSRC | 一起涉及多个DDoS僵尸网络样本的攻击事件追踪

任子行 2018-05-24T18:34:29

近期，任子行蜜网系统监测到一起利用多个僵尸木马传播进行DDoS攻击的安全事件。攻击者通过购买不同平台的DDoS木马构建僵尸网络，进行攻击以谋取利益。事件涉及Windows和Linux两个平台的木马样本，其中部分样本属于XorDDoS和ChinaZ家族。通过样本分析，追踪到恶意代码传播者的个人信息，包括姓名、联系方式等。事件关联分析显示，攻击者使用了多个域名和IP地址，事件溯源涉及到域名注册信息和个人信息。任子行网络安全攻防实验室（SURFSRC）对事件进行了详细分析，并提供了IoC（指示和控制）信息，以帮助网络安全研究者识别和防御此类攻击。

DDoS攻击僵尸网络恶意软件分析安全事件追踪 SSH爆破 IoCs（Indicator of Compromise）

0x3 思科交换机图文设置扩展ACL的配置与应用技巧

河南信安世纪 2018-05-23T18:06:33 爱信安世纪

无论是在思科路由器还是思科交换机等网络设备上，标准ACL访问控制列表始终无法同时匹配通信源地址与目标地址的特

0x4 【漏洞预警】| D-Link DSL-3782 WEB管理登录绕过漏洞(CVE-2018-8898)

任子行 2018-05-23T17:40:55

本文介绍了D-Link DSL-3782无线路由器的一个安全漏洞（CVE-2018-8898），该漏洞允许攻击者绕过登录认证。由于路由器的web服务未设置token过期时间，攻击者可以窃取管理员的会话信息，进而以管理员权限执行任意操作，如修改路由器配置和密码。漏洞的利用方式包括通过中间人攻击诱导管理员访问特定URL，获取sessionkey并更改管理员密码。目前D-Link尚未提供固件更新修复此漏洞，建议用户警惕中间人攻击，并避免访问来源不明的URL。此外，文章还简要介绍了SURFSRC网络安全攻防实验室的研究方向和目标。

路由器安全漏洞认证信息泄露中间人攻击 Web服务安全固件更新网络安全攻防漏洞编号

0x5 bettercap入手的正确姿势

Linux网络安全 2018-05-23T09:42:19 © 轩雨

Bettercap是一个功能强大的中间人攻击框架，支持全双工和半双工ARP欺骗、ICMP双向欺骗、DNS欺骗等功能。它能够自动化发现主机，实时获取通信协议中的安全凭证，并提供模块化的网络嗅探器和透明代理。文章详细介绍了Bettercap在Kali 2.0平台上的安装方法，包括稳定版和最新版两种安装方式。同时，文章还提供了Bettercap的命令参数详解，包括帮助、网关地址、网络接口、欺骗模块、目标IP地址、日志记录、调试、嗅探器配置等。最后，文章给出了Bettercap的使用实例，并推荐了官方教程资源，方便用户进一步学习和实践。

中间人攻击网络嗅探渗透测试工具 Kali Linux SSL/TLS攻击

0x6 Zeus Panda Banker银行木马变种分析

水网火安 2018-05-23T00:02:16

本文分析了Zeus Panda Banker银行木马的一个变种。该变种通过多种手段来增强其隐蔽性和安全性。首先，病毒作者通过将文档伪装成加密保护的内容，要求用户启用宏才能查看，同时宏代码经过高度混淆加密，增加了静态分析的难度。其次，木马使用RC4算法解密硬编码的字符串，每个字符串的密钥都是唯一的，进一步提升了静态分析的复杂性。此外，SHA256算法被用来加密用户电脑名称或系统安装时间，作为互斥体名称，以防止同一木马实例在多台电脑上运行。最后，木马通过导入RSA密钥加密HTTP数据，并将其上传到控制与命令（C&C）服务器。这一分析揭示了现代木马在利用密码学保护自身方面的复杂性，为网络安全学习者提供了宝贵的案例研究。

银行木马宏病毒加密技术静态分析恶意软件分析系统信息收集命令和控制（C&C）

0x7 【漏洞预警】| Windows内核win32k.sys本地提权漏洞（CVE-2018-8120）

任子行 2018-05-22T18:44:11

本文详细介绍了Windows内核Win32k.sys本地提权漏洞（CVE-2018-8120）的相关信息。该漏洞于2018年被微软发现并发布安全更新，漏洞编号为CVE-2018-8120。漏洞描述指出，当Win32k组件无法正确处理内存中的对象时，Windows系统中存在特权提升漏洞。成功利用此漏洞的攻击者能够在内核模式下运行任意代码，进而安装程序、查看、更改或删除数据，甚至创建具有完整用户权限的新账户。该漏洞影响了包括Windows 7、Windows Server 2008和Windows Server 2008 R2在内的多个版本。文章还介绍了漏洞的利用方式和缓解措施，包括补丁地址和已公开的exploit代码。此外，文章分析了漏洞的原理，指出漏洞产生的原因在于Win32k组件中的NtUserSetImeInfoEx函数没有正确处理内存中的空指针对象。最后，文章提供了一些参考链接，包括漏洞利用代码和相关信息。

操作系统漏洞内核提权内存处理错误安全公告漏洞利用补丁管理网络安全研究攻击与防御

0x8 物联网安全公司服务器配置错误致大量汽车面临被盗风险

天创培训 2018-05-21T14:59:38 红客训练营

美国物联网解决方案供应商CalAmp Corp.运营的一台服务器配置错误，导致任何人都可以直接访问和修改数据库，存在严重的安全隐患。安全研究人员在Viper SmartStart系统中发现这一漏洞，该系统允许用户通过智能手机等设备远程控制车辆。尽管应用程序使用了SSL连接和校验证书绑定，但研究人员发现服务器连接到了一个第三方域名，该域名属于CalAmp公司。通过这个漏洞，攻击者可以访问所有车辆的位置历史记录和用户数据，甚至通过修改密码完全接管用户账户。CalAmp公司在收到报告后迅速解决了这一错误，并更新了网站以方便安全研究人员报告其他潜在漏洞。

物联网安全服务器配置错误数据泄露风险账户接管风险汽车安全漏洞报告与响应安全漏洞修复 XSS攻击 SSL/TLS

0x9 arp攻击欺骗的原理

数据机器人 2018-05-21T12:30:51

0xa SURFSRC | 一个针对“比特票”挖矿木马样本的分析

任子行 2018-05-21T11:06:11

本文针对一起“比特票”挖矿木马入侵事件进行了详细分析。事件中，客户的终端机器出现异常，经分析确认是一起挖矿木马入侵。该木马复用了大量开源代码，针对基于比特币的分支币种BTV进行挖矿。样本分析发现，木马主要由三个文件组成：启动挖矿进程的bat脚本、伪装成系统进程的保护进程以及挖矿进程。其中，保护进程基于NSSM编写，用于确保挖矿进程被终止后能够重新启动。挖矿程序基于开源项目cpuminer-multi编写，支持多种CPU架构。文章还讨论了该木马可能通过邮件或挂马等方式传播，以及虚拟货币挖矿恶意软件的增多趋势。最后，文章提供了相关的IoCs（指标和线索）信息，并简要介绍了SURFSRC网络安全攻防实验室的研究方向和目标。

挖矿木马恶意软件分析开源代码利用免杀技术虚拟货币挖矿恶意代码分析网络取证安全漏洞研究

0xb 反编译msfconsole生成的木马

Linux网络安全 2018-05-21T08:54:13 © bbskali.cn

本文详细介绍了如何反编译使用msfconsole生成的Android木马。首先，通过msfvenom命令生成一个名为bbskali的apk文件。接着，使用apktool工具进行反编译，以便修改木马的图标和名称。具体步骤包括下载并放置PNG格式的图标文件，修改AndroidManifest.xml文件中的图标路径，以及修改res-values-strings.xml文件中的木马名称。完成修改后，使用apktool重新打包木马，并在dist目录下生成新的木马文件。最后，需要使用安卓签名软件对木马进行签名，然后在手机上安装并运行木马，以获取shell权限。文章还提供了一个阅读原文的链接，以获取更多教程信息。

Mobile Security Malware Analysis Reverse Engineering Exploit Development Android Security

0xc Fluxion替换钓鱼页面