2018年 第23周 微信公众号精选安全技术文章总览
洞见网安 2018-6-11
0x1 Git 爆任意代码执行漏洞,所有使用者都受影响
水网火安 2018-06-10T09:32:50
Git 社区近日发现一个严重的安全漏洞,该漏洞编号为 CVE 2018-11235,允许黑客通过恶意代码库执行任意代码。这一漏洞存在于Git操作过程中,特别是当用户在包含子模块定义和数据的远程代码存储库中进行操作时。在Git复制代码仓库时,如果子模块已存在于磁盘上,Git会跳过抓取文件的步骤,直接使用工作目录中的子模块。这为攻击者提供了一个执行任意代码的机会,从而可能对Git用户构成安全威胁。
0x2 恶意软件警报:Joanap、Brambul席卷多国
水网火安 2018-06-10T09:32:50
美国国土安全部(DHS)和联邦调查局(FBI)发布联合技术警报,警告公众注意两个恶意软件家族:Joanap和Brambul。Joanap是一款两阶段的恶意软件,能够建立点对点通信和管理僵尸网络,具有文件管理、进程管理等能力,并使用Rivest Cipher 4加密通信。Brambul是一款SMB蠕虫,通过SMB协议传播,并尝试通过暴力密码攻击获取未经授权的访问。两个恶意软件均被发现影响多个国家和地区,黑客可远程访问设备并窃取敏感信息。
恶意软件 后门木马 蠕虫病毒 网络安全警报 数据窃取 加密通信 僵尸网络 网络攻击 跨国攻击
0x3 Android开发工具Apktool漏洞利用分析
水网火安 2018-06-08T18:53:27
Apktool是一款Android开发中常用的工具,主要用于反编译和重打包Apk文件。然而,由于Apktool在解析AndroidManifest.xml文件时存在缺陷,即不会禁用外部实体引用,这一设计缺陷导致XML外部实体注入攻击(XXE)漏洞的产生。攻击者可以利用这一漏洞,通过构造恶意的AndroidManifest.xml文件,在其中嵌入指向远程服务器的恶意代码。当开发者使用Apktool对包含这种恶意Manifest的目录进行重打包操作时,生成的Apk文件会在用户不知情的情况下,静默访问远程服务器,从而可能引发安全风险。这一漏洞的发现对Android应用的安全构成了威胁,提醒开发者在使用Apktool等工具时需格外小心,并采取相应的防护措施。
Android安全 漏洞分析 反编译工具 XML注入攻击 恶意软件传播
0x4 恶意软件DLOADR:使用Edge和Chrome浏览器中的扩展作为后门
水网火安 2018-06-08T18:53:27
近期,网络安全研究者发现了一种名为DLOADR的新型恶意软件,该软件可能由摩尔多瓦的一个恶意软件开发组织开发。该恶意软件通过垃圾邮件的附件进行传播,被检测为JSDLOADR和W2KM_DLOADR。分析显示,该恶意软件的Payload中包含了一个版本的Revisit远程管理工具,用于劫持被感染的系统。更值得注意的是,该恶意软件携带了一个恶意扩展,该扩展可以作为后门,用于窃取Edge和Chrome浏览器用户的信息。这一发现揭示了恶意软件开发者在利用浏览器扩展进行攻击方面的最新进展。
恶意软件分析 浏览器安全 垃圾邮件攻击 远程管理工具 信息窃取 恶意扩展 网络安全事件
0x5 Weblogic反序列化命令执行漏洞_CVE-2018-2628
水网火安 2018-06-07T00:00:00
WebLogic是美国Oracle公司推出的一个基于JAVAEE架构的中间件,主要用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用。该服务器通过开放的T3服务提供动态功能和安全性支持。然而,WebLogic存在一个严重的反序列化命令执行漏洞(CVE-2018-2628),该漏洞允许攻击者通过发送精心构造的数据包到服务端,利用Weblogic服务器开放的T3服务建立Socket连接,从而实现远程攻击。此漏洞的利用可能导致远程攻击者获取服务器权限,控制服务器,甚至造成数据泄露等严重后果。这一漏洞对网络安全构成了重大威胁,需要相关组织和个人及时采取措施进行修复和防范。
Web应用安全 Java EE 安全 反序列化漏洞 命令执行漏洞 远程攻击 Oracle 安全
0x6 PowerView:一个可以帮助躲避检测内网信息的收集脚本
河南信安世纪 2018-06-06T18:20:14 爱信安世纪
文章详细介绍了在内网渗透中如何使用PowerView、HostRecon和RemoteRecon等PowerShell脚本来收集信息并躲避检测。PowerView脚本依赖于PowerShell和WMI查询,能够检索域信息,发现本地管理员,并识别用户登录的系统。HostRecon脚本可以自动执行主机中的态势感知任务,枚举本地用户和本地管理员,检查防火墙状态和反病毒解决方案。RemoteRecon脚本则用于远程主机上的侦察,可以捕获击键、屏幕截图,执行命令和shellcode。这些脚本的使用有助于提高内网渗透的隐蔽性和效率。
0x7 可模糊源端口数据的新型DDoS攻击方法
水网火安 2018-06-05T19:19:31
本文介绍了新型DDoS攻击方法,该攻击利用了UPnP(通用即插即用)协议的漏洞,通过模糊源端口数据绕过现有的防御机制。攻击者首先通过Shodan等在线服务扫描开放UPnP路由器,然后通过HTTP访问设备的XML文件并修改端口转发规则,将UDP/53端口的数据代理至DNS解析器。在攻击过程中,攻击者假冒受害者IP发起DNS请求,使得响应返回给受害者,从而实现DNS放大攻击。由于攻击载荷源于非常规的源端口,这种攻击方法能够规避传统的检测措施。此外,该方法还可以用于SSDP和NTP攻击,并可以与其他放大攻击方法结合使用。因此,源IP和端口信息不再是可靠的防御DDoS攻击的因素。
DDoS攻击 网络攻击 安全漏洞 IoT安全 协议安全 端口扫描 DNS放大攻击 Memcached攻击 网络防御
0x8 微软 Windows JScript 组件被曝 RCE 漏洞
水网火安 2018-06-05T19:19:31
微软的Windows JScript组件被TelspaceSystems公司的研究员发现存在一个严重的安全漏洞,该漏洞可能允许远程攻击者通过诱导用户访问恶意网页或在系统上执行恶意JavaScript文件来在用户电脑上执行任意代码。攻击者无需用户交互即可触发漏洞,因为恶意代码通常由Windows Script Host(wscript.exe)执行。该漏洞的关键在于指针在释放后被重用,从而在当前进程中执行未经授权的代码。尽管微软已经接到了这个漏洞的报告,但截至目前尚未发布任何补丁程序,这可能导致大量用户面临安全风险。
远程代码执行(RCE) 微软Windows漏洞 网页攻击 脚本执行 未打补丁漏洞
0x9 Firefox、Chrome 现CSS 漏洞 可造成 Facebook 用户信息泄漏
水网火安 2018-06-05T19:19:31
近期,Firefox和Chrome等浏览器被发现存在一个CSS漏洞,该漏洞允许恶意的第三方网站收集Facebook用户的个人信息,包括个人资料图片和名字等。这个漏洞源于2016年引入的Web标准功能“mix-blend-mode”,当通过iframe将Facebook页面嵌入到第三方网站时,可能导致可视内容(像素)的泄露。这一漏洞利用了CSS层叠样式表中的混合模式功能,通过特定的技术手段,如iframe、跨源请求等,攻击者可以获取到用户在Facebook上的敏感信息。目前,这一漏洞已被发现并可能被用于实际攻击,因此对于使用这些浏览器的Facebook用户来说,存在潜在的信息安全风险。
浏览器安全漏洞 Web安全 用户信息泄露 跨站脚本攻击(XSS) 混合模式利用 标准实现漏洞
0xa 【漏洞预警】| Git客户端任意代码执行漏洞 (CVE-2018-11235)
任子行 2018-06-05T18:14:39
Git客户端近日被发现存在一个严重的安全漏洞(CVE-2018-11235),该漏洞允许攻击者执行任意代码。该漏洞主要影响Git版本低于2.13.7、2.14.4、2.15.2、2.16.4和2.17.1的用户。攻击者可以通过精心设计的Git仓库结构,将恶意代码作为子模块添加到父仓库中,并在递归克隆时执行。Git社区已发布更新,建议用户尽快更新到最新版本以避免风险。微软也采取措施防止恶意代码库被推入其Visual Studio Team Services。修复方案包括更新Git客户端到最新版本,具体方法根据操作系统不同而有所不同。
Git漏洞 代码执行 远程攻击 安全更新 软件开发 安全意识 漏洞修复 开源软件
0xb 蜜罐技术:如何跟踪攻击者的活动?
数据机器人 2018-06-05T11:30:23
0xc 【全球最新信息安全资讯-2018.6.5】
SAINTSEC 2018-06-05T11:02:34 互联网
本文汇集了2018年6月5日的全球信息安全资讯。其中包括恶意软件Ostap的分析,物联网僵尸网络Owari的C&C服务器存在默认凭证可访问的问题,Linux.BackDoor.Xnote.1的最新变种预警,以及Apple数据包加密器远程代码执行漏洞的分析。技术分享区涵盖了macOS内核扩展漏洞挖掘指导流程、Windows设备保护和应用程序白名单的探究,以及滥用不安全的WCF端点等技术话题。病毒区提供了多个恶意软件和威胁预警的链接。此外,还介绍了钓鱼站追踪、服务主体名称(SPN)发现、Ring+3恶意软件分析等多个技术分享内容,以及相关工具和书籍推荐。
恶意软件分析 物联网安全 操作系统漏洞 应用层漏洞 白名单技术 服务端安全 钓鱼攻击 漏洞挖掘 安全工具 安全研究 渗透测试
0xd 使用 whois 传输文件
桥的断想 2018-06-05T00:19:23
本文介绍了Linux系统中whois命令的另类用途——文件传输。通常,whois命令用于查询用户信息,但作者发现它可以被用来传输文件。文章详细解释了如何利用whois命令和nc工具结合输出重定向以及base64编码来传输文件。具体操作包括攻击者端使用nc监听特定端口,并使用sed和base64解码接收到的信息,而目标端则通过whois命令发送base64编码的文件内容到攻击者的IP和端口。文章还提到了传输结束的标志,即发送端接收到特定字符串后结束程序。此外,文章提醒了在使用过程中需要注意的一些细节,如发送端接收到结束标志后程序才会结束。
网络安全漏洞利用 命令行工具滥用 文件传输安全 网络协议安全 基线配置安全
0xe SURFSRC | 朝鲜APT组织使用两种恶意软件,我国受影响
任子行 2018-06-04T16:45:24
美国CERT与国土安全部(DHS)和联邦调查局(FBI)联合发布警报,指出朝鲜APT组织Hidden Cobra(又称Lazarus Group)正在使用两款恶意软件进行攻击。Hidden Cobra被怀疑曾发起多起攻击,包括针对索尼、孟加拉中央银行及金融机构的攻击,以及WannaCry勒索攻击。此次警报中提到的恶意软件包括Joanap和Brambul。Joanap是一款远程访问工具,Brambul则是一种通过SMB共享传播的蠕虫。FBI分析表明,中国大陆及台湾地区均受到Joanap恶意软件的影响,感染IP地址遍布多个国家和地区。文章还提供了防御措施,包括更新杀毒软件、扫描可疑邮件附件、禁用不必要的文件共享服务以及限制用户权限等。此外,文章简要介绍了SURFSRC网络安全攻防实验室的成立背景和研究方向。
APT攻击 恶意软件分析 网络安全警报 国家网络安全 网络安全防御 网络安全技术 网络钓鱼 勒索软件 网络取证
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
