2017年第39周微信公众号精选安全技术文章总览

洞见网安 2017-9-25

0x1 预警 | Cisco IOS和IOS XE系统远程代码执行漏洞

云众可信 2017-09-29T23:09:09 vfsec

本文报告了一项针对Cisco IOS和IOS XE系统的重要安全漏洞（CVE-2017-12240），该漏洞可能被未经身份验证的远程攻击者利用，通过发送精心设计的DHCP数据包来执行任意代码，从而获得对受影响系统的完全控制。此漏洞影响安装了Cisco IOS和IOS XE的思科路由器和交换机，但不影响Cisco IOS XR或Cisco NX-OS软件。攻击者可能利用此漏洞导致系统重新加载，造成拒绝服务。文章提供了漏洞的技术细节、影响范围、危害描述、检测方法和修复建议，包括更新软件版本以解决该漏洞。

CVE编号路由器安全网络交换机安全操作系统漏洞远程代码执行缓冲区溢出拒绝服务攻击思科设备安全安全更新网络安全事件

0x2 HTTPS劫匪木马暴力升级：破坏ARK攻击杀软

三未信安 2017-09-29T14:07:34 360

本文详细分析了近期发现的HTTPS劫匪木马的新变种。这种木马通过伪造证书进行中间人攻击，劫持HTTPS网站，并阻止常见杀软如ARK工具的运行，从而破坏杀软的正常功能。该木马存在于多种外挂软件和网络上流传的所谓“系统盘”中，一旦用户使用这些系统盘装机，电脑就会感染流量劫持木马。木马具有多种恶意行为，包括进行软件推广、破坏杀毒软件、进行流量劫持等。此外，木马还通过云控劫持导航及电商网站，并替换伪造的SSL证书。文章还提到了木马的传播途径，包括游戏外挂和非法系统盘，以及如何防范此类攻击的建议。

0x3 如何使用PowerShell实现命令控制以及安全检查绕过

三未信安 2017-09-28T15:50:32 Alpha_h4ck

本文探讨了Windows操作系统中PowerShell的特性和其在网络安全中的潜在风险。由于PowerShell的普遍安装和系统管理员的无限制访问，它成为了安全渗透工具的首选。文章重点介绍了由安全研究人员Ben Turner和Dave Hardy开发的基于PowerShell和C#的命令控制工具PoshC2。PoshC2具有绕过安全检查的能力，能够实现多种攻击技术，并且操作简单。文章详细描述了PoshC2的安装步骤、配置界面以及其功能，包括通信数据加密、绕过AppLocker和Bit9等安全措施。此外，PoshC2能够生成强大的Payload，用于渗透测试和安全评估。文章还提到了PoshC2的植入程序处理器（Implant Handler）和其与其他渗透技术的结合使用。总结中指出，PoshC2的优势在于其使用PowerShell，无需额外依赖组件，运行速度快，效率高，稳定性强，输出信息详细，对于渗透测试人员来说是一个非常有用的工具。

PowerShell 命令控制工具安全渗透安全检查绕过渗透测试 C2服务器网络安全安全研究

0x4 新型Android银行木马“MoqHao”利用社交网络隐藏C&C服务器

ADLab 2017-09-27T16:06:48 启明星辰

启明星辰ADLab近期发现了一种新的Android恶意木马样本，该木马通过钓鱼APP窃取用户银行和理财APP的登录凭证，并能创建本地代理窃取Google账户登录凭证。该恶意代码最早可追溯到2013年针对韩国用户的钓鱼攻击，并于2015年开始利用伪造的Chrome更新消息和社交网络账户配置C&C服务器。最新样本利用百度账户设置C&C服务器，并通过加密的WebSocket协议和RPC机制进行远程控制。恶意木马会伪装成Chrome浏览器更新欺骗用户下载，并获取设备管理员权限隐藏自身。它还遍历用户手机应用，下载伪装的银行类APP，并窃取Google账户信息。用户应警惕不明链接和来源不明的APP，并从官方渠道下载应用以避免恶意攻击。

Android恶意软件钓鱼攻击远程控制信息窃取网络通信加密恶意代码分析移动安全安全防护建议网络安全实验室

0x5 【技术分享】针对联网智能灯泡的安全性分析

安全张之家 2017-09-26T08:26:39