2022年 第26周 微信公众号精选安全技术文章总览
洞见网安 2022-6-27
0x1 新的“会话管理器”后门针对野外的Microsoft IIS服务器
黑猫安全 2022-07-02T21:29:12 鹏鹏同学
自2021年3月以来,一种名为SessionManager的新恶意软件被发现用于后门攻击Microsoft Exchange服务器,影响了至少20个组织。此恶意工具利用了ProxyLogon漏洞,伪装成IIS模块,从而在成功渗透后保持隐蔽性。攻击目标遍布全球多个地区,包括非政府组织、政府机构、军事及工业组织。到目前为止,已有34台服务器被SessionManager变种入侵。该恶意软件由威胁组织Gelsemium部署,使用C++编写,具备处理特定HTTP请求的能力,可以读取、写入和删除文件,执行服务器上的二进制文件,并与其他网络节点通信。此外,SessionManager还作为秘密渠道支持侦察活动、收集内存密码等。鉴于此威胁,美国网络安全和基础设施安全局(CISA)建议使用Exchange平台的机构在2022年10月1日前停止使用传统基本认证,转向现代认证方法。
后门程序 漏洞利用 恶意软件 持续性威胁 信息窃取 横向移动 供应链攻击 网络安全响应
0x2 谷歌改进了其密码管理器,以提高所有平台的安全性
黑猫安全 2022-07-02T21:29:12 鹏鹏同学
谷歌对其密码管理器服务进行了多项改进,以提升跨平台的安全性。改进包括简化和统一的管理体验,使得Chrome和Android设置中的界面一致。新功能还包括自动分组同一站点的多个密码,允许手动添加密码,以及在Android上为主屏幕添加快捷方式。在iOS上,如果用户选择Chrome作为默认自动填充提供程序,密码管理器可以生成强密码。Android的密码检查功能得到升级,不仅能检查被黑的凭据,还能突出显示弱密码和重复使用的密码。此外,谷歌将受损密码警告扩展到所有操作系统的Chrome用户。Android上的Chrome还新增了“触摸登录”功能,用户在自动填充凭据后点击一下即可登录网站,这与iOS 12.2中Safari的类似功能相呼应。
密码管理 跨平台安全 简化和统一的管理体验 自动密码分组 手动添加密码 强密码生成 密码检查功能 弱密码和重复密码检测 受损密码警告 触摸登录
0x3 【漏洞复现】CVE-2020-26279 go-ipfs path traversal
御林安全 2022-07-02T13:23:19 © cokeBeer
本文详细介绍了CVE-2020-26279漏洞,该漏洞存在于go-ipfs版本小于v0.8.0-rc1中,属于目录遍历漏洞。文章首先介绍了go-ipfs,一个用Go语言实现的文件服务器,在GitHub上拥有较高关注度。漏洞分析指出,问题出在tar-utils依赖库上,该库在处理解压文件时未正确过滤'../',导致目录遍历。文章详细描述了漏洞的调用链,包括Extract函数及其相关子函数extractDir、extractFile和extractSymlink。最后,文章提供了修复方式,即对tar-utils库进行修改,添加了对'../'的过滤,并附上了相关参考链接。文章强调,内容仅供学习交流,传播利用需注明出处,未经允许不得删改。
目录遍历漏洞 文件解压漏洞 go-ipfs tar-utils 路径穿越 安全修复
0x4 某麒麟网站模拟登录(验证码识别)
逆向与爬虫的故事 2022-07-02T12:30:59 ©
大家好,我是TheWeiJun。最近在研究模拟登录及验证码识别;今天给大家分享一个实战的模拟登录流程案例。文中若有错误内容,欢迎各位读者多多指正。在阅读的同时不要忘记点赞+关注哦⛽️
0x5 QQKey 定向蠕虫浅析
安全奇点 2022-07-02T10:45:50 © xF0rk
QQKey 定向蠕虫是一款定向攻击财务从业人员的病毒,其通过邮件附件进行传播,定向窃取目标主机上的 QQ、T
0x6 GitLab远程代码执行漏洞风险提示(CVE-2022-2185)
安恒信息CERT 2022-07-01T18:32:49
近日,GitLab官方发布安全公告,修复了GitLab社区版(CE)和企业版(EE)中的一个远程代码执行漏洞(CVE-2022-2185),该漏洞CVSS评分为9.9,属于高危级别。漏洞允许授权用户导入恶意项目,导致远程代码执行,攻击者可能获得服务器权限。受影响的GitLab版本包括14.0至15.1.1之间的版本。GitLab已发布安全版本,建议用户尽快升级以缓解风险。目前漏洞细节和测试代码尚未公开,但攻击者可能通过补丁对比分析出漏洞触发点。官方建议用户升级至最新安全版本,并提供下载链接。
远程代码执行漏洞 GitLab漏洞 安全公告 软件漏洞 CVSS评分 影响范围 安全补丁 网络安全
0x7 u200b防范未授权访问攻击的10项安全措施
安全新说 2022-07-01T11:39:51
本文讨论了防范未授权访问攻击的10项安全措施,强调了对企业敏感数据库和网络进行严格管控的重要性。文章指出,未授权访问可能导致数据泄露、财务损失等严重后果,并提出了包括加强物理安全、设置强密码、采用多因素身份验证、配置防火墙、限制敏感系统访问、使用单点登录、运用IP白名单、监控登录活动、定期漏洞扫描和及时更新软件等策略。这些措施旨在检测、限制和防止未授权访问事件,以规避潜在的安全风险,保障企业网络安全。
未授权访问 物理安全 密码安全 防火墙配置 访问控制 单点登录(SSO) IP白名单 登录活动监控 漏洞扫描 软件更新
0x8 u200b防范未授权访问攻击的10项安全措施
天津恒御科技有限公司 2022-07-01T08:00:35
很多时候,未经授权的用户在访问企业的敏感数据库和网络时,并不会被企业所重视,只有在发生安全事故后,企业才会意
0x9 【涨知识】 一种使用TCP自定义加密通信的APT样本分析
北京观成科技 2022-07-01T07:30:08 © lcy
本文详细分析了近期捕获的一个使用TCP自定义加密通信的APT(高级持续性威胁)样本。该样本通过加密通信来确保通信安全和隐私,同时隐藏攻击者的信息和行踪。文章首先介绍了样本的概况,然后详细剖析了样本的准备工作,包括解密硬编码字符串以获取密钥、域名和注册表键。接着,文章深入分析了样本的通信行为,包括建立通信、接收和校验数据、解密数据以及执行指令。样本的指令包括获取信息、操作CMD.EXE创建进程以及关闭进程和线程。文章最后总结了这种使用自定义加密格式进行攻击的APT组织和黑客工具的威胁,并强调了检测这种加密流量的难度以及保持对最新威胁的跟踪和应对策略的重要性。
加密通信 APT攻击 中间人攻击 网络流量分析 自定义加密协议 系统信息泄露 远程操作 网络安全检测
0xa 【漏洞复现】CVE-2021-39391 beego xss
御林安全 2022-06-30T20:26:09 © cokeBeer
本文介绍了一个存在于beego框架v2.0.1版本的存储型XSS漏洞(CVE-2021-39391)。beego是一个流行的Go语言Web框架,漏洞允许攻击者通过未过滤的URI记录在管理员面板中注入恶意脚本。文章详细阐述了漏洞的复现过程:首先,使用beego搭建项目并开启管理员面板;然后,通过业务端口发送包含XSS攻击代码的请求;最后,在管理员面板的请求统计中查看请求信息,触发XSS攻击。文章还提供了修复建议,即在构建输出数据时使用template.HTMLEscapeString进行转义,以防止XSS攻击。文章强调内容仅供学习交流,使用者需自行承担因传播利用相关技术造成的不良后果。
0xb Apache Shiro 身份认证绕过漏洞风险提示(CVE-2022-32532)
安恒信息CERT 2022-06-30T18:14:59
2022年6月29日,Apache官方宣布了一个关于Apache Shiro权限绕过漏洞(CVE-2022-32532)的公告。此漏洞允许未经授权的远程攻击者在Apache Shiro中使用RegexRequestMatcher进行权限配置时,通过构造特定恶意数据包来绕过身份认证,导致权限验证失效。该漏洞已公开,并已在Apache Shiro 1.9.1版本中修复。受影响的版本包括所有小于1.9.1的Apache Shiro版本。官方建议用户及时更新至安全版本以缓解风险。此外,官方提供了下载链接和安全更新指南,以帮助用户进行安全升级。
身份认证漏洞 Apache Shiro Java安全框架 正则表达式安全 远程攻击 漏洞修复 版本更新 安全公告
0xc 新的 UnRAR 漏洞可能让攻击者入侵 Zimbra 网络邮件服务器
黑猫安全 2022-06-30T16:46:05 鹏鹏同学
RARlab的UnRAR实用程序中存在一个新的安全漏洞(CVE-2022-30333),该漏洞与Unix版本的UnRAR中的路径遍历问题相关。攻击者可能利用此漏洞在依赖该二进制文件的系统上执行任意代码。漏洞在提取恶意制作的RAR存档时触发,攻击者能够在目标提取目录之外创建文件。RarLab已在6.12版本中修复了该缺陷。该漏洞可能影响任何使用未修补版本的UnRAR来提取不受信任存档的软件,包括Zimbra协作套件。攻击者可能在易受攻击的实例上进行远程代码执行,完全访问电子邮件服务器,甚至滥用它来访问或覆盖组织网络中的其他内部资源。漏洞的核心与符号链接攻击有关,攻击者可以利用此行为在目标文件系统上的任何位置写入任意文件。
路径遍历 远程代码执行 符号链接攻击 安全更新 电子邮件服务器安全
0xd 红队笔记|反溯源技术在攻防实战中的应用
天融信教育 2022-06-28T20:00:22 方寸明光
渗透过程中有没有\x26quot;事了拂衣去\x26quot;的洒脱,很大程度在于过程中反溯源技术的应用程度。
0xe 恶意垃圾邮件推送 Matanbuchus 恶意软件以投放 Cobalt Strike 远控
中孚信息 2022-06-28T17:39:14 © 中孚信息
近日,网络安全研究人员揭露了一起利用恶意垃圾邮件传播Matanbuchus恶意软件的活动,该软件旨在将Cobalt Strike远程控制工具部署到受害者机器上。Matanbuchus是一款遵循恶意软件即服务(MaaS)模式的Loader程序,由地下威胁行动者BelialDemon在暗网发布。攻击者通过发送伪装成对话回复的恶意邮件,诱导用户下载并运行包含HTML文件和MSI安装包的ZIP压缩附件。MSI安装包运行后,会在系统中安装恶意DLL和VBS脚本,并通过创建计划任务实现持久化。Matanbuchus用于下载Cobalt Strike载荷,而Cobalt Strike是一款功能强大的渗透工具,用于横向移动和投放有效载荷。事件影响包括美国一所大型大学和一所高中,以及比利时的一个高科技组织。安全专家建议用户提高警惕,避免打开不明链接和附件,并及时更新系统补丁。
恶意软件分析 垃圾邮件攻击 Cobalt Strike 内存加载器 计划任务 APT攻击 网络安全防御 威胁情报
0xf 配置策略路由(引流到旁挂防火墙)示例
网络安全运维技术 2022-06-28T08:19:21 ITOM
某公司由于业务需要,用户有访问Internet的需求。用户通过核心交换机SwitchA以及接入网关Router与Internet进行通信。\x0d\x0a为了保证公司网络的安全性,将所有进入公司内网的流量引入到旁挂防火墙进行安全检测后再进入公司内部网络。
0x10 【漏洞复现】CVE-2022-1285 gogs SSRF
御林安全 2022-06-27T20:34:56 © cokeBeer
本文详细介绍了CVE-2022-1285 gogs SSRF漏洞的复现过程。漏洞存在于gogs版本小于0.12.8中,属于SSRF类型。文章首先概述了gogs这个由Go语言实现的git服务器的基本信息,接着分析了CVE-2022-0870中gogs对SSRF的修复方式,并指出该修复方式可以通过302跳转绕过。作者通过docker启动gogs服务器,注册账号并创建仓库,利用仓库设置中的web钩子功能添加重定向URL到127.0.0.1:80,最终通过nc监听证明了SSRF漏洞的存在。文章最后提到该漏洞尚未修复,并提供了参考链接。
SSRF漏洞 gogs 漏洞复现 安全测试 Docker环境
0x11 Linux管理工具
河南信安世纪 2022-06-27T18:04:11
Xshell是一个非常强大的安全终端模拟软件,它支持 SSH1,SSH2,以及Windows平台的TELNET协议。Xshell 可以在Windows界面下用来访问远端不同系统下的服务器,从而比较好的达到远程控制终端的目的。
0x12 常见网络安全设备:安全隔离网闸
网络技术联盟站 2022-06-27T16:23:47 瑞哥
安全隔离网闸是一种利用固态开关读写介质连接两个独立网络系统的信息安全设备,通过物理上隔离和阻断潜在攻击连接,实现真正的网络安全。它不具备通信的物理和逻辑连接,仅通过数据文件的无协议“摆渡”进行数据交换。其功能模块包括安全隔离内核、防护协议转换、病毒查杀等。网闸的主要功能是阻断直接物理和逻辑连接,进行安全审查,确保原始数据无危害性,并提供管理和控制功能。工作原理涉及内网处理单元、外网处理单元和隔离与交换控制单元,采用非通用或改造后的专用操作系统。与物理隔离卡、路由器、交换机以及防火墙相比,安全隔离网闸在网络间进行更安全适度的信息交换,适用于涉密网与非涉密网、局域网与互联网等之间的数据交换。
物理隔离 信息安全设备 安全审计 病毒防护 访问控制 身份认证 数据交换安全 网络隔离技术
0x13 什么是 ICMP ?ping和ICMP之间有啥关系?
网络技术联盟站 2022-06-27T16:23:47 © 瑞哥
本文详细介绍了互联网控制报文协议(ICMP),它工作在OSI模型的网络层和TCP/IP模型的Internet层,主要用于发送Echo ICMP请求消息,如Ping或Trace工具,以检测网络上的设备是否可用。文章阐述了ICMP的历史,结构(包括类型、代码和校验和字段),以及其主要功能,如通知源设备IP数据包传递失败、发现到目标设备的路径、检查设备在线状态等。ICMP消息类型包括Echo Request/Reply、Destination Unreachable、Redirect、Source Quench和Time Exceeded,它们在网络故障排除中起着关键作用。
0x14 华为策略路由与NQA联动示例
网络安全运维技术 2022-06-27T08:30:12 ITOM
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
