2021年 第39周 微信公众号精选安全技术文章总览

    洞见网安 2021-9-27

    0x1 微软:Windows MSHTML 漏洞现在被勒索软件团伙利用【软件安全(研)】

    水网火安 2021-10-01T19:20:51

    Example Image


    微软近日披露,勒索软件团伙正在利用其最近修补的Windows MSHTML远程代码执行安全漏洞(CVE-2021-40444)。这些攻击始于8月18日,比微软发布的安全公告早了两周多。攻击者通过恶意制作的Office文档利用该漏洞,作为分发自定义Cobalt Strike Beacon加载器的初始访问活动。研究发现,这些攻击与多个网络犯罪活动相关,包括勒索软件。在漏洞公开披露后,微软观察到利用尝试的大量增加。为了应对这一威胁,微软建议用户立即应用安全更新,并提供了解决方法以减少攻击面。该漏洞影响Windows Server 2008至2019和Windows 8.1或更高版本的系统。

    漏洞利用 勒索软件 Windows安全 威胁情报 软件安全 补丁管理 远程代码执行 Cobalt Strike 网络犯罪活动

    0x2 海康威视部分产品命令注入漏洞风险提示

    安恒信息CERT 2021-09-30T17:42:27

    Example Image


    近日,海康威视官方发布安全公告,指出多款产品存在命令注入漏洞,漏洞编号为CVE-2021-36260。该漏洞可能导致攻击者在受影响的设备上执行任意命令,从而控制目标设备。受影响的产品包括多个型号和版本,详细列表可在官方公告中查看。目前漏洞细节和利用代码尚未公开,但建议用户及时安装官方提供的修补程序,并配置访问控制策略以降低风险。安恒应急响应中心提供了进一步的安全建议。

    设备安全 漏洞公告 命令注入 产品安全 网络安全 应急响应 漏洞利用

    0x3 Windows更新、修复剩余 PrintNightmare漏洞

    中科天齐软件安全中心 2021-09-30T11:00:00

    Example Image


    微软近期发布了一系列安全更新,旨在修复名为PrintNightmare的严重漏洞CVE-2021-34527,该漏洞存在于所有Windows个人电脑和服务器中,允许攻击者获取最高系统权限并运行任意代码。尽管微软已经发布了两个安全更新,但安全研究员Benjamin Delpy发现了另一个漏洞,允许攻击者通过远程链接打印服务器获得系统特权。此外,微软还发布了一个新的安全更新,修复了CVE-2021-36958漏洞,并删除了之前定义的缓解措施。同时,微软还修复了一个被积极利用的Windows MSHTML零日漏洞。安全专家警告,这些漏洞可能被勒索软件团伙利用,因此尽快安装安全更新至关重要。

    Windows更新 PrintNightmare漏洞 安全补丁 系统权限提升 域控攻击 勒索软件 安全策略 漏洞修复 网络安全

    0x4 铭说 | 新型勒索软件PYSA浅析

    聚铭网络 2021-09-29T17:45:50 © 聚铭安全研究院

    Example Image


    PYSA勒索软件是Mespinoza勒索软件的变种。PYSA代表“Protect Your System Amigo”,于2019年12月被首次命名,也就是

    0x5 DNS重绑定攻击

    河南信安世纪 2021-09-29T17:19:51

    Example Image


    DNS重绑定攻击的用法有很多种,这篇文章主要理解DNS重绑定攻击的原理,并介绍如何通过DNS重绑定来攻击内网设备。为了更好的理解DNS重绑定攻击,我们先从Web浏览器的同源策略开始介绍。

    0x6 【内网渗透】NLTM网络认证之PTH攻击【详解】

    黑客街安全团队 2021-09-28T19:47:04 © Sh4d0w_小白

    Example Image


    本文深入探讨了内网渗透中常用的PTH攻击手法。文章首先介绍了NTLM认证的分类,包括本地认证和网络认证,并详细解释了认证的实质和过程。重点介绍了网络认证的NTLMv1和NTLMv2两种版本,以及它们的工作原理,包括挑战/应答模式下的协商、质询和验证步骤。接着,文章解释了NTLM协议版本之间的区别,包括Challenge的长度和加密算法。随后,文章重点讨论了哈希传递攻击(PTH)的原理,包括如何利用获取到的ntlm-hash进行登录实战,并演示了使用mimikatza工具进行PTH攻击的示例。最后,文章讨论了为什么使用PTH以及PTH是否可以进行喷射攻击的问题,并给出了相应的答案。

    内网渗透 认证攻击 哈希传递攻击 Windows安全 网络安全工具 密码学 渗透测试

    0x7 新型银行木马ZE Loader【软件安全(本)】

    水网火安 2021-09-28T18:31:58

    Example Image


    近期研究人员发现了一种名为ZELoader的新型银行木马恶意软件,该软件通过伪装成合法软件安装后门,实现对用户设备的远程访问,窃取用户凭据。ZELoader利用DLL劫持隐藏恶意行为,并将恶意资产保存在合法软件文件夹中,以躲避防病毒软件检测。攻击者通过合法应用程序的二进制文件传播恶意DLL,并在用户访问银行网站时诱骗输入凭据。ZELoader具有高度隐蔽性,行为更为复杂,给用户带来重大损失。为防范此类木马,建议安装防病毒软件、保持系统更新、删除未使用应用、禁用不必要的远程连接、谨慎处理电子邮件以及咨询银行客服。

    银行木马 恶意软件分析 DLL劫持 伪装技术 防病毒软件 用户教育 操作系统安全 远程连接安全

    0x8 使用Frp的stcp实现安全内网穿透访问

    WalkingCloud 2021-09-28T00:01:00 ©

    Example Image


    本文详细介绍了使用FRP(Frp)的STCP(secret TCP)功能来实现安全内网穿透访问的方法。文章首先描述了使用FRP内网穿透的场景,并介绍了STCP的概念,它能够保护服务不被未授权访问。接着,文章提供了一个具体的拓扑环境,包括A内网和B内网,以及它们之间的需求场景,即通过云主机实现内网穿透访问。文章详细说明了在A内网和B内网的CentOS7.9虚拟机上安装和配置frpc客户端的步骤,包括下载、安装、配置frpc.ini文件、设置防火墙以及启动frpc服务。最后,文章展示了如何通过Teamviewer软件进行验证测试,并总结了使用STCP进行内网穿透的优势,如无需在云主机上开放其他端口,以及提到了未来可能尝试的P2P点对点内网穿透方法。

    0x9 二维码扫码登录发生了什么

    河南信安世纪 2021-09-27T17:26:38

    Example Image


    二维码最常用的场景之一就是通过手机端应用扫描PC或者WEB端的二维码,来登录同一个系统。比如手机微信扫码登录PC端微信,手机淘宝扫码登录PC端淘宝。那么就让我们来看一下,二维码登录是怎么操作的。

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。