2023年 第28周 微信公众号精选安全技术文章总览
洞见网安 2023-7-10
0x1 几次护网小结之红队打点及小技巧
河马安全区 2023-07-15T21:35:03
微信公众号:[白昼信安]弱小和无知不是生存的障碍,傲慢才是![如果你觉得文章对你有帮助,欢迎点赞]好久不见各
0x2 【实战】灵光一闪的拒绝服务攻击
安全无界 2023-07-14T20:00:27 © xia
本文描述了一次针对微信公众号站点的网络安全研究过程,涉及数据包加密解密及拒绝服务攻击(DoS)。作者首先遇到数据包全加密的问题,通过JS动态调试技术逐步解密,过程中遇到了多层加密机制,包括DES-CBC加密和RSA加密等。最终,作者通过修改请求中的日期参数,构造大量请求导致服务器处理能力饱和,实现了拒绝服务攻击。此行为虽展示了技术层面的探索,但也强调了网络安全的重要性,并提醒读者不得将文中技术用于非法目的。
0x3 铭说|关于APT武器“RustBucket”逃避检测原理的分析
聚铭网络 2023-07-14T17:01:49
铭说带您分析朝鲜APT组织利用RustBucket在部署过程中的反检测、反分析策略。
0x4 GitHub上的伪造PoC for Linux内核漏洞使研究人员暴露于恶意软件
黑猫安全 2023-07-14T10:07:38 博士
在一个针对网络安全研究人员的最新攻击中,GitHub上出现了一个伪装成Linux内核漏洞CVE-2023-35829概念验证(PoC)的后门。该后门通过执行Linux bash脚本,伪装成内核级进程,具有窃取敏感数据和远程访问的能力。该PoC被伪装成无害的学习工具,实则包含恶意代码,能够在用户不知情的情况下建立持久性。该存储库在删除前被fork了25次,另一相关PoC也被fork两次。Uptycs研究人员发现,这些恶意活动背后可能有一个假GitHub账户网络。事件提醒研究人员,在执行任何PoC之前应采取安全措施,如在使用虚拟机等隔离环境中进行测试。
恶意软件 社会工程学 供应链攻击 后门植入 数据泄露 权限提升 CVE利用 网络安全研究
0x5 罗克韦尔自动化ControlLogix错误使工业系统面临远程攻击
黑猫安全 2023-07-14T10:07:38 博士
美国网络安全和基础设施安全局(CISA)警告称,Rockwell Automation ControlLogix EtherNet/IP(ENIP)通信模块存在两个安全漏洞,可能被利用实现远程代码执行和拒绝服务(DoS)。Draogos指出,这些漏洞可能导致控制的拒绝或丧失、视图的拒绝或丧失、操作数据的窃取,或对工业过程进行破坏性控制操纵。具体漏洞包括CVE-2023-3595(CVSS评分9.8)和CVE-2023-3596(CVSS评分7.5),分别影响1756 EN2/EN3和1756 EN4*产品。CISA强调,成功利用这些漏洞可能允许恶意行为者远程访问模块的运行内存并执行恶意活动。受影响的设备型号包括1756-EN2T、1756-EN2TK等。Rockwell Automation已提供补丁解决这些问题。CVE-2023-3595的访问权限与XENOTIME在TRISIS攻击中使用的零日漏洞类似,都允许任意固件内存操作。Dragos警告称,他们发现了一个与国家级组织有关的未发布攻击能力,但截至2023年7月中旬,没有证据表明在野外有利用。Tenable研究人员指出,CVE-2023-3595漏洞可能允许攻击者影响工业过程及关键基础设施,可能导致中断或破坏。
远程代码执行 拒绝服务攻击 工业控制系统安全 漏洞利用 补丁更新 国家级网络攻击
0x6 WatchAD2.0域威胁感知系统
网络安全运维技术 2023-07-13T16:19:52
WatchAD2.0是360信息安全中心开发的一款针对域安全的日志分析与监控系统,它可以收集所有域控上的事件日志、网络流量,通过特征匹配、协议分析、历史行为、敏感操作和蜜罐账户等方式来检测各种已知与未知威胁。
0x7 Citrix修复了Ubuntu安全访问客户端中的一个关键缺陷
黑猫安全 2023-07-13T09:56:25 博士
Citrix最近修复了一个严重的安全漏洞,该漏洞被标记为CVE-2023-24492,CVSS评分高达9.6,影响了Ubuntu操作系统上的Secure Access客户端。这个漏洞允许攻击者通过诱导用户打开一个特制的链接并接受进一步提示,从而远程执行代码。该漏洞存在于Citrix Secure Access客户端23.5.2版本之前的Ubuntu版本中,但已经在23.5.2及更高版本中得到修复。漏洞的发现归功于F2TC Cyber Security的Rilke Petrosky,尽管该公司发布的警报没有明确指出该漏洞是否已经被威胁参与者在实际中利用。
远程代码执行 CVE-2023-24492 高严重性 Ubuntu平台 Citrix产品 社会工程学 安全更新 第三方报告
0x8 基于Python的PyLoose无文件攻击针对加密货币挖掘的云工作负载
黑猫安全 2023-07-13T09:56:25 博士
Wiz安全研究人员发现了一种名为PyLoose的新型Python无文件攻击,该攻击针对云工作负载,目的是传播加密货币挖矿程序。这是首次公开记录的此类Python攻击。攻击者利用Jupyter Notebook服务获取初始访问权限,并通过Python脚本执行系统命令。PyLoose脚本仅九行代码,能从远程服务器获取并直接在内存中解压和执行XMRig挖矿程序,不触及磁盘。攻击者还采取了一系列措施避免被追踪,包括使用开放数据共享服务托管载荷和编译嵌入配置的XMRig挖矿程序。同时,Sysdig揭露了威胁参与者SCARLETEEL的新攻击活动,该活动利用AWS基础设施窃取数据和挖矿。
无文件攻击 加密货币挖掘 云安全 Python脚本攻击 Jupyter Notebook服务滥用 内存文件描述符 数据泄露
0x9 接口|API文档测试
猫鼠信安 2023-07-13T09:18:24 © Xuno、Egstar
API测试|接口测试、API接口渗透测试方法(详细)、用最简单明了的描述教会你如何进行接口测试
0xa 渗透实战|记一次RCE+heapdump信息泄露引发的血案
河马安全区 2023-07-12T21:00:45
1.思路目前该漏洞已完全修复,这里做一个复盘,总结下整体利用过程heapdump信息泄露-弱口令-RCE-数
0xb 【风险通告】微软7月安全更新补丁和多个高危漏洞风险提示
安恒信息CERT 2023-07-12T18:08:41
微软发布了7月安全更新公告,包含多个针对微软家族软件的安全补丁,涉及Windows MSHTML Platform、Microsoft SharePoint、Microsoft Outlook、Windows Remote Desktop、Windows Error Reporting Service和Windows SmartScreen等多个产品。公告指出,此次更新修复了多个高风险漏洞,其中包括Windows MSHTML Platform特权提升漏洞(CVE-2023-32046)、Microsoft SharePoint Server远程代码执行漏洞(CVE-2023-33134)、Microsoft SharePoint远程代码执行漏洞(CVE-2023-33157)、Microsoft Outlook安全功能绕过漏洞(CVE-2023-35311)、Windows Remote Desktop安全功能绕过漏洞(CVE-2023-35352)、Windows Error Reporting Service特权提升漏洞(CVE-2023-36874)和Windows SmartScreen安全功能绕过漏洞(CVE-2023-32049)。其中,部分漏洞存在在野利用,建议用户尽快安装安全更新补丁或采取临时缓解措施。微软每月会更新安全补丁,用户应及时更新以修复漏洞。官方提供了补丁获取途径和更新方法,包括自动更新和手动更新。用户可通过官方通告和指定链接获取更多信息和支持。
漏洞公告 微软产品 CVE漏洞 安全补丁 高危漏洞 特权提升 远程代码执行 安全功能绕过 在野利用 微软更新
0xc 【风险通告】FortiOS/FortiProxy存在栈溢出漏洞(CVE-2023-33308)
安恒信息CERT 2023-07-12T18:08:41
近日,FortiOS/FortiProxy被发现存在栈溢出漏洞(CVE-2023-33308),该漏洞允许远程攻击者在代理模式设为深度检查的情况下,通过构造特定数据包执行任意代码或命令。该漏洞影响FortiOS版本[7.2.0,7.2.3]和[7.0.0,7.0.10],以及FortiProxy版本[7.2.0,7.2.2]和[7.0.0,7.0.9]。Fortinet已发布安全版本修复方案,建议用户尽快更新至安全版本。目前,官方尚未公开技术细节和PoC,也未发现漏洞在野利用。安恒信息CERT提醒,该漏洞危害性极高,建议客户进行自查和防护。
网络安全漏洞 FortiOS FortiProxy 栈溢出漏洞 应急响应 产品安全 网络安全防护 漏洞编号 安全产品 CVSS评分
0xd CVE-2021-3560:Polkit权限许可和访问控制问题漏洞
安帝Andisec 2023-07-12T12:00:50 © CSX安全实验室
CVE-2021-3560是Linux系统中Polkit框架的一个权限许可和访问控制问题漏洞。Polkit允许非root用户执行管理任务,而无需完全root权限。该漏洞允许攻击者通过篡改只读文件缓存来提升权限。漏洞的CVSS 3.1基础得分为7.8,属于高危级别。受影响的系统包括Red Hat Enterprise Linux 8、Fedora 21及更高版本、Debian Testing(Bullseye)、Ubuntu 20.04 LTS(Focal Fossa)。漏洞复现过程需要在特定时机结束进程,多次尝试后可成功添加sudo组成员用户并获取root权限。漏洞分析指出,D-Bus是Linux桌面环境的通信系统,而Polkit在处理身份验证凭据时存在缺陷,允许低权限账户绕过验证并执行任意命令。修复建议是升级到修复后的版本,具体链接已提供。北京安帝科技有限公司提供进一步的漏洞情报和处置建议。
0xe 黑客利用Windows策略漏洞伪造内核模式驱动程序签名
黑猫安全 2023-07-12T09:28:29 博士
Cisco Talos的报告揭露了黑客利用Windows系统漏洞伪造内核模式驱动程序签名的行为。攻击者通过开源工具修改签名日期,加载过期证书签名的驱动程序,从而获得内核访问权限,完全控制系统。微软已采取措施封锁证书,并强调未发现账户被入侵。微软在2022年12月推出了阻止保护措施,要求内核模式驱动程序使用微软开发者门户的证书签名。然而,黑客利用微软为保持兼容性设立的例外,使用2015年7月29日前签发的未吊销证书签名新驱动程序,绕过Windows证书策略。恶意驱动程序通过HookSignTool和FuckCertVerifyTimeValidity等工具伪造签名时间戳。这些工具自2019年和2018年公开以来一直可用。黑客还利用这些工具重新签名破解的驱动程序,绕过数字版权管理的完整性检查。此外,RedDriver驱动程序利用伪造签名时间戳进行浏览器流量劫持,目标包括多个流行的中文和国际浏览器。
Windows内核漏洞 恶意软件 数字签名伪造 证书滥用 勒索软件 安全防护绕过 浏览器劫持 软件破解 APT攻击
0xf 警惕勒索软件:通过虚假的Windows更新传播
黑猫安全 2023-07-12T09:28:29 博士
一种名为Big Head的新型勒索软件正在通过伪装成伪造的Microsoft Windows更新和Word安装程序进行传播。这种基于.NET的恶意软件能够部署三个加密二进制文件,包括用于传播的1.exe、用于Telegram通信的archive.exe以及负责加密文件并显示假Windows更新界面的Xarch.exe。该勒索软件会删除备份、终止进程、检查是否在虚拟化环境中运行,并禁用任务管理器以阻止用户干预。此外,它还会自我中止如果检测到特定语言环境。趋势科技还发现了具有窃取行为的第二个变种,使用WorldWind Stealer来收集敏感信息,以及集成Neshta文件感染器的第三个变种,这可以作为伪装技术,使安全解决方案难以识别。尽管Big Head背后的威胁者身份不明,但有迹象表明可能与印尼有关。鉴于其多方面攻击特性,安全团队需加强防御措施以应对潜在的重大危害。
勒索软件 恶意广告 加密货币 软件更新欺诈 多国影响 .NET基础 反检测技术 地域性攻击 双重威胁 文件感染 伪装技术 未知威胁行为者
0x10 什么是单点登录(SSO)
网络安全运维技术 2023-07-12T08:30:35
u200b单点登录 (SSO) 技术将多个不同应用程序登录屏幕组合在一起。使用 SSO 时,用户只需在一个页面上输入一次登录凭据(用户名和密码等),即可访问其所有 SaaS 应用程序。
0x11 【攻防演练篇】攻防演练场景中面临的常见加密威胁-WebShell工具
北京观成科技 2023-07-11T15:47:36 © zz和Ly
本文详细分析了攻防演练场景中常见的WebShell工具及其加密威胁。WebShell是一种恶意脚本,用于攻击者获取服务器执行操作权限。文章首先概述了WebShell的类型和攻击者如何利用漏洞上传和注入WebShell。接着,介绍了多种新型WebShell管理工具,如冰蝎、哥斯拉、天蝎和蚁剑,它们具有强大的定制功能和绕过检测的能力。文章还讨论了WebShell使用的流量伪装技术,包括加密和自定义编码、TLS加密协议、云函数、伪装正常业务、魔改和源码定制等。为了应对这些威胁,文章介绍了基于加密和编码特征分析、多流行为检测模型、AI模型识别等WebShell流量检测技术。最后,文章总结了在攻防演练场景中理解和防范WebShell威胁的重要性,并强调了持续更新检测技术和工具的必要性。
WebShell 网络安全 加密技术 攻防演练 威胁检测 漏洞利用 恶意软件 流量伪装 智能检测系统
0x12 NAND存储器转储分析 - 使用ECC修复位错误与UBI镜像固件分析
LianSecurity链安 2023-07-11T15:22:43 © 链安博客
这篇研究论文将通过黑客的视角,详细阐述如何操作 NAND dump 以及如何获取 dump 文件中的所有文件
NAND闪存安全 数据恢复 硬件安全 错误纠正 固件分析 安全漏洞分析 逆向工程 数据隐私
0x13 【风险通告】泛微E-Cology存在SQL注入漏洞
安恒信息CERT 2023-07-11T10:49:46
近日,安恒信息CERT监测到泛微E-Cology软件平台存在SQL注入漏洞,该漏洞可能导致攻击者获取数据库中的敏感信息。泛微E-Cology是一款集成了文档管理、流程管理、知识管理、协同办公等功能的企业级软件平台。漏洞等级被评定为1级,CVSS3.1评分9.4,属于严重等级。受影响的版本范围是(-∞, 10.58.0),官方已发布修复方案,建议受影响用户及时下载补丁进行修复。目前,该漏洞的技术细节和PoC尚未公开,但中央研究院已复现此漏洞。安恒信息已有9款产品覆盖该漏洞的检测与防护,建议客户尽快进行自查和防护,以降低安全风险。
SQL注入漏洞 企业级软件平台漏洞 OA系统安全 漏洞复现 安全响应 网络安全事件 安全补丁
0x14 MorePossibility (burp 跨语言拓展)
KQsec 2023-07-10T16:11:45 © 冰桉
项目地址: https://github.com/kaliwin/MorePossibility 前言: 在
0x15 C++远控功能模块
我真不会渗透 2023-07-10T14:01:18 © rkabyss
远控功能模块
0x16 Weblogic-CVE-2023-21839-远程代码执行复现
fly的渗透学习笔记 2023-07-10T11:33:29
前言:Oracle WebLogic Server是业界领先的应用程序服务器,用于使用Java EE标准构建
0x17 谷歌发布针对3个积极利用漏洞的安卓补丁更新
黑猫安全 2023-07-10T09:21:47 博士
谷歌发布了Android操作系统的月度安全更新,修复了46个新的软件漏洞,其中三个漏洞已被确认在有针对性攻击中被利用。CVE-2023-26083是一个影响Arm Mali GPU驱动程序的内存泄漏缺陷,曾在2022年12月被用于间谍软件渗透三星设备。美国国家网络安全局(CISA)于2023年4月为此漏洞发布了修复命令。CVE-2021-29256是一个高危漏洞,影响特定版本的Arm Mali GPU内核驱动程序,允许非特权用户访问敏感数据并提升至root权限。CVE-2023-2136是Skia图形库中的严重漏洞,最初作为Chrome浏览器的零日漏洞被披露,允许远程攻击者执行沙箱逃逸和远程代码执行。谷歌的安全更新还包括了对Android系统组件的修复,特别是CVE-2023-21250,它允许远程代码执行而无需用户交互。更新分为两个补丁级别,分别在7月1日和7月5日发布,涵盖了核心Android组件、内核和闭源组件。谷歌还为Pixel设备发布了特定补丁,解决了可能导致权限提升和拒绝服务攻击的漏洞。
Android安全 漏洞利用 GPU驱动安全 零日漏洞 跨平台安全 远程代码执行 补丁管理 供应链安全
0x18 Mastodon社交网络修补允许服务器接管的关键缺陷
黑猫安全 2023-07-10T09:21:47 博士
分布式社交网络Mastodon针对关键安全漏洞发布了更新,该漏洞可能使数百万用户面临攻击风险。Mastodon由多个独立服务器组成,拥有超过1400万用户。CVE-2023-36460漏洞允许攻击者在实例上创建和覆盖文件,可能导致DoS攻击和远程代码执行,对用户和互联网生态系统构成威胁。此外,CVE-2023-36459漏洞允许攻击者绕过HTML清理过程,注入恶意HTML,执行跨站脚本攻击。另外三个漏洞涉及LDAP注入、通过缓慢HTTP响应进行DoS攻击,以及个人资料链接的格式问题。目前没有证据表明这些漏洞被利用。用户应确保订阅的实例安装了必要的更新以保护自己。
关键漏洞修复 分布式社交网络 服务器接管风险 远程代码执行 跨站脚本攻击 HTML注入 LDAP注入 拒绝服务攻击 软件更新
0x19 android逆向|LSPosed的加载插件和so流程
逆向与采集 2023-07-10T09:00:32 ©
文章详细分析了LSposed模块的加载和初始化过程。首先,LSposed通过调用ServiceManager.start开启服务,并在服务启动前缓存模块的作用域信息。接着,通过ConfigManager.getInstance()获取配置管理器,并更新模块和作用域的缓存。模块的缓存过程涉及查询数据库中已启用的模块信息,并将其加载到内存中。同时,作用域的缓存则涉及查询已启用的作用域信息,并将其与对应的模块关联起来。当ZYgisk启动后,每当ZYgote fork生成新进程时,会调用模块中设置的回调函数。文章重点分析了postAppSpecialize函数,该函数会调用MagiskLoader的OnNativeForkAndSpecializePost函数,该函数会加载LSposed的DEX文件,并初始化一些hook函数和注册一些关键的Native方法。接着,通过FindAndCall函数找到并调用forkCommon函数,该函数会加载Xposed并进行初始化。文章还分析了ActivityThread.attach函数的hook过程,该函数会在 attaching 过程中加载所有模块。最后,文章还分析了SO文件的hook过程,通过注册native_init函数的回调,在目标app的so文件加载时执行保存的so函数。
Android_Protection Hooking Xposed_API System Modification Privacy_Enhancement Malware_Analysis Reverse_Engineering Security_Research
0x1a 绕过 2FA 机制的 15 种方法
红队笔记录 2023-07-10T08:08:29
本文探讨了多种绕过双因素身份验证(2FA)的技术和方法。文章指出,尽管许多网站和组织已经实施了2FA作为额外的安全层,但攻击者仍然可以采用各种手段来绕过这一安全机制。文中详细介绍了15种绕过2FA的方法,包括捕获2FA代码、分析JavaScript文件、暴力破解、利用密码重置和电子邮件更改、缺乏2FA代码完整性验证、直接请求、修改引用标头、滥用备份代码、会话管理漏洞、点击劫持、响应操作、状态码操作、2FA代码可重用性以及跨站请求伪造(CSRF)攻击等。这些方法揭示了2FA实施中可能存在的安全漏洞,并提醒网络安全人员需要采取相应的防护措施来加强账户安全。
两因素认证 社会工程学 漏洞利用 网络安全攻击 密码学 身份验证 安全配置 CSRF攻击 漏洞分析
0x1b 二维码钓鱼邮件开始流行
天津恒御科技有限公司 2023-07-10T08:00:10
越来越多接受过安全意识培训的员工不再轻易点击邮件中的可疑链接,但是网络钓鱼攻击者又找到了新的方法:二维码钓鱼
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
