2021年 第24周 微信公众号精选安全技术文章总览
洞见网安 2021-6-14
0x1 极通EWEBS系统的任意文件访问漏洞(附批量验证Poc)
Redus 2021-06-20T21:25:02 © Tackrio
一只菜菜的成长路
0x2 HackTheBox: Forest 靶机通关
Military先森 2021-06-19T21:08:28 ©
我是爱分享的 Mr.Military,本公号定期分享个人黑客学习笔记、翻译国外高质量漏洞赏金报告,如果你喜欢
0x3 桥接,相同网段还是不同网段?
车小胖谈网络 2021-06-19T18:05:21 ©
文章详细摘要:桥接是一种基于OSI网络模型第二层,即数据链路层的网络数据包转发过程。桥接不等于交换,它是一种功能,许多网络设备如交换机、VMware、Windows和Linux都具备桥接功能。桥接可以连接相同网段或不同网段的网络,桥接器(网桥)用于在子网间提供通信路径。桥接类似于物理线,提供通信的物理保障,但通信是否成功不是桥接的工作范畴。文章讨论了桥接与交换的区别,以及桥接如何发展成集线器和交换机。交换机通过内部缓冲区实现双工模式,减少了数据冲突。为了减少广播对主机的影响,交换机引入了VLAN技术。然而,桥接设备仅限于同一网段的主机通信,不同网段的主机通信需要路由设备,如路由器、三层交换机和防火墙。
0x4 Windows本地密码抓取
瓜皮大笨蛋 2021-06-18T11:16:27 © ascotbe
windows本地抓取浏览器、数据库、ssh、rdp等密码
0x5 Glupteba针对分发站点投毒事件
安恒信息CERT 2021-06-18T10:24:20
安恒应急响应中心检测到大量Glupteba恶意代理木马从s0ft4pc[.]com站点传出。该网站下载的安装包均为NSIS打包制作的恶意安装包,存在伪造的数字签名证书,且包含名为winamp.7z的Glupteba组织代理程序。分析发现,安装包静默下载真实免费软件目标文件失败,导致终端成为僵尸网络的一部分。逆向分析显示,winamp.exe作为加载器,将自身进程空间代码挖空,映射恶意PE可执行程序到自身进程空间执行,并实现持久化。csrss.exe以system权限运行,创建全局互斥体,设置任务计划,下载并执行恶意模块,并通过驱动隐藏恶意进程和文件。该事件表明Glupteba组织已独立于windigo行动,并擅长对软件下载站点进行投毒和横向传播。建议用户避免从该站点下载软件,去厂商官网下载,不随意点击不明链接,使用文件威胁分析平台检测文件,定期查杀病毒,清理可疑文件,并备份数据。
0x6 思科路由器配置笔记:静态路由、Rip、OSPF,原理结合实验,值得一看!
网络技术联盟站 2021-06-18T08:00:00 点击关注👉
0x7 u200b启明星辰ADLab | APT34组织最新攻击活动深度分析报告
ADLab 2021-06-16T19:47:04 启明星辰
本文详细分析了APT34组织在2021年以来针对军队事务和移动运营商业务进行的定向攻击活动。APT34是一个来自伊朗的APT组织,擅长使用通信隐匿技术进行攻击。文章首先介绍了APT34的历史活动和攻击目标,包括其使用的技术如EWS隧道技术和匿名DNS隧道技术。接着,文章深入分析了APT34在近期攻击活动中的技术改进,如关闭宏提示的诱饵文档、使用匿名DNS隧道上报感染进度、改进Karkoff后门以及使用JS代码注释作为控制通道。文章还剖析了攻击流程,包括初期侦察、后门植入和隐匿驻留三个阶段。最后,文章总结了APT34的攻击手法和防御建议,强调提高发现能力和威胁情报反应能力的重要性。
定向攻击 APT组织 恶意软件 木马 钓鱼攻击 EWS隧道技术 DNS隧道 通信隐匿 安全检测 技术演进 基础设施分析 攻击流程分析 威胁情报
0x8 Frida-syscall-interceptor
奋飞安全 2021-06-15T10:51:52 © 奋飞
本文主要介绍了在网络安全领域,针对App通过syscall方式做系统调用以防止hook的情况,如何利用Frida进行inline hook。文章首先分析了syscall hook的原理,并提出了两种应对方案:刷机重写系统调用表和inline Hook SWI/SVC指令。接着,详细介绍了使用Frida进行inline hook的步骤,包括备份SWI/SVC指令、重写为跳转指令、跳转到新的代码空间执行自定义逻辑,以及跳回原程序空间继续执行。文章中还展示了如何使用Frida ArmWriter来修改指令,并提供了相关的代码示例。最后,总结了本文的技术来源和调试方法,并提醒读者在使用技术时要注意法律风险。
逆向工程 系统调用Hook 移动安全 Frida框架 网络安全防御 代码审计
0x9 华为生成树与端口聚合,理论+实验,双剑合璧!
网络技术联盟站 2021-06-15T08:00:00 点击关注👉
值得收藏!
0xa 网络层ICMP隧道研究
天策安全技术联盟 2021-06-14T19:55:12
本文详细介绍了ICMP隧道的概念、实现原理、利用场景和常用工具。ICMP隧道利用ICMP协议的特性,在不需要开放端口的情况下,通过防火墙不屏蔽的ICMP数据包进行数据传输,实现隐蔽的网络访问。实现原理是通过攻击者让ICMP报文携带数据,远程计算机接收后解出数据并执行,再将结果放入回复包中发送给攻击者。在无法使用其他上层隧道(如DNS、HTTP等)的网络环境中,ICMP隧道是一种可行的选择。常用工具包括icmpsh、PingTunnel和icmptunnel,它们各有优缺点。icmpsh使用简单,但仅适用于Windows系统;PingTunnel可以设置密码,但需要管理员权限和libpcap环境;icmptunnel便携,但需要管理员权限且双向可达。文章还提供了这些工具的安装和使用流程,并通过情景一和情景二展示了在Windows和Linux环境下使用这些工具进行网络通信的方法。总结来说,ICMP隧道是一种有用的网络通信技术,但在实际应用中需要结合其他工具使用。
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
