2020年第41周微信公众号精选安全技术文章总览

洞见网安 2020-10-12

0x1 2020年最大端点威胁：无文件恶意软件

水网火安 2020-10-18T15:44:21

2020年，新冠疫情加剧了端点安全的重要性，其中无文件恶意软件成为最常见的端点威胁。这种恶意软件通过在内存中驻留保持隐身，隐蔽性极高，能够无声无息地对终端和操作系统进行攻击。无文件恶意软件包括不使用本地持久化技术的恶意代码以及依赖于文件系统功能的恶意软件。思科报告指出，Kovter、Poweliks、Divegent和LemonDuck是最常见的几种。为了保护端点，建议限制未知文件的执行、监控进程和注册表、监视端点间的连接、及时更新系统和安全工具，以及进行员工安全培训。

无文件恶意软件端点安全网络安全威胁攻击工具和策略防护措施安全报告恶意软件检测员工安全意识

0x2 恶意分子操纵Google搜索结果传播Mac恶意软件

水网火安 2020-10-17T11:04:00

近期，网络安全领域出现了一种新的攻击手段，恶意分子通过操纵Google搜索结果来传播Mac恶意软件，如Shlayer和Bundlore。攻击者利用合法的、由Adobe签名的Flash Player安装程序来误导用户，使其下载恶意软件。当用户在Google搜索YouTube视频标题时，搜索结果中会引导他们到一个页面，该页面会提示用户需要更新Flash Player，并附带警告信息。一旦用户点击安装程序，它会在终端运行shell脚本，从加密的ZIP包中提取Mac恶意软件。尽管Google努力排除这类搜索结果，但恶意搜索结果仍然存在。用户被提醒要保持警惕，只在信誉良好的网站上下载文件，以避免遭受此类攻击。

恶意软件传播搜索引擎安全社会工程学终端安全软件签名验证用户教育

0x3 Linux内核曝严重蓝牙漏洞，影响多个版本

水网火安 2020-10-17T11:04:00

谷歌安全人员在Linux Kernel中发现了一组蓝牙漏洞，这些漏洞可能被攻击者用于零点击攻击，执行任意代码或访问敏感信息。攻击者可以通过发送特定的I2cap数据包来利用这些漏洞，导致拒绝服务或执行具有内核特权的代码，而整个过程可能完全在用户不知情的情况下进行。漏洞还可能导致信息泄露，攻击者可以检索内核堆栈信息，预测内存布局并绕过安全措施。此外，某些漏洞还可能影响Linux内核4.19及更高版本，尤其是当设备配备Bluetooth 5芯片并处于扫描模式时。这一漏洞系列对用户构成严重威胁，研究人员需要尽快提供解决方案，而用户也应提高警惕，更新软硬件以保护自己免受攻击。

Linux内核安全蓝牙安全漏洞零点击攻击远程攻击信息泄露内核特权执行拒绝服务攻击软硬件更新安全意识提升

0x4 使用验证码的网络钓鱼攻击

水网火安 2020-10-16T19:32:00

本文探讨了网络安全领域中的新型网络钓鱼攻击手段。验证码原本是为了防止自动化攻击而设计的，但研究人员发现，黑客正在利用这一机制进行网络钓鱼。攻击者通过电子邮件发送包含语音文件的邮件，一旦用户播放语音，便会触发Captcha验证码页面。由于这种攻击方式绕过了安全电子邮件网关（SEG）的检测，用户被引导至一个看似合法的微软证书钓鱼页面。由于这些钓鱼页面使用合法的微软顶级域名，因此在网域黑名单比对时会被误判为安全。研究表明，大部分网络钓鱼活动旨在窃取证书，其中超过91%的攻击试图绕过SEG。因此，用户在收到不明邮件或被要求输入证书时，应提高警惕，以免遭受损失。

网络钓鱼验证码安全电子邮件安全恶意软件传播 SEG（安全电子邮件网关）微软证书钓鱼网络安全意识

0x5 XXE原来如此简单（无回显篇）

必火安全 2020-10-16T19:30:00 ©

本文深入探讨了无回显XXE（XML External Entity）漏洞的利用方法。作者首先解释了为什么将XXE分为两篇来分享，强调了学习网络安全需要循序渐进，避免短暂的爆发式学习导致后续动力不足。文章从回显XXE的基础知识出发，进一步介绍了无回显XXE的利用技巧。作者指出，即使内容没有显示出来，也不代表不存在，并提出了三种突破无回显XXE的方法：将内容作为网站访问参数、保存在公网服务器上以及使用DNS_LOG。文章通过具体的代码示例和操作演示，详细讲解了如何利用这些方法读取并保存受害者数据。最后，作者提醒读者学习防御和修复XXE漏洞的重要性，并简要介绍了防御方法。

0x6 工控安全研究之—S7-200 SMART与WinCC OPC通讯

安帝Andisec 2020-10-16T18:22:17 © 安帝实验室

本文详细介绍了S7-200 SMART与WinCC OPC通讯的工控安全研究。文章首先列出了所需的硬件和软件，包括S7-200 SMART CPU、PC机、交换机、以太网线以及STEP 7-Micro/WIN SMART、STEP 7、SIMATIC NET、WINCC等软件和操作系统。接着，文章分步骤讲解了如何在STEP7软件中组态PC Station，包括新建项目、配置硬件组态、设置网络连接等。随后，文章说明了如何创建PC站点并下载PC站点到硬件中。最后，文章通过OPC Scout和WINCC软件进行了OPC通讯的测试，包括添加变量、观察通信结果以及创建画面监控变量，以验证整个通讯过程的正确性和稳定性。

工控安全网络通信 SCADA系统 OPC协议

0x7 kali基础教程（kali下的相关配置）

Linux网络安全 2020-10-16T08:01:02 ©

本文是一篇关于Kali Linux基础配置的教程，涵盖了多个方面的内容。首先介绍了如何查看网卡的型号、驱动版本和队列数，包括使用lspci、lspci-vvv和ethtool-ieth0等命令。接着，文章讲解了如何在Kali中禁止用户登录，包括修改shadow文件和使用usermod命令。此外，还介绍了如何配置静态IP地址，修改DNS配置，包括临时和永久修改的方法。文章还涉及了开启root账户的远程SSH登录，以及如何使Kali终端显示彩色。最后，文章推荐了一些相关的文章和论坛，供读者进一步学习。

操作系统安全配置用户权限管理网络配置 SSH安全终端使用系统管理网络安全基础

0x8 XXE原来如此简单（有回显篇）

必火安全 2020-10-15T19:30:00 ©

本文深入探讨了XML外部实体注入（XXE）漏洞，这是一种XML解析器处理XML文档时可能出现的漏洞。文章首先介绍了XML的设计宗旨和XML解析器如何自动加载本地服务器数据，强调了XML在数据传输中的作用。接着，文章详细阐述了如何发现XXE漏洞，包括敏感操作时的抓包特征和验证方法。文章还介绍了XXE漏洞的两种类型：回显型和无回显型，并通过实际案例展示了如何利用回显型XXE漏洞进行任意文件读取。最后，文章强调了在授权情况下进行渗透测试的重要性，并指出不应过度利用漏洞，以避免违法行为。

XML漏洞渗透测试安全漏洞网络攻击代码审计安全防御 PHP安全文件读取

0x9 微软10月安全更新补丁和TCP/IP高危漏洞风险提示

安恒信息CERT 2020-10-15T15:07:00

2020年10月13日，微软发布了10月的安全更新公告，其中包含了对多个软件的安全补丁更新。特别值得关注的是Windows TCP/IP协议栈的远程执行代码漏洞，编号为CVE-2020-16898和CVE-2020-16899。该漏洞允许攻击者在处理ICMPv6 Router Advertisement数据包时执行远程代码，从而可能获得目标系统的权限。微软已为多个Windows版本和Windows Server版本提供了补丁，包括Windows 10和Windows Server 2019等。由于漏洞细节尚未完全公开，建议用户尽快安装补丁以防止潜在的安全威胁。此外，公告中还提到了其他多个漏洞，如Windows KernelStream信息泄漏、Windows 远程桌面协议信息泄漏等，并提供了相应的缓解措施。

操作系统安全漏洞披露 TCP/IP协议远程执行代码安全更新安全公告漏洞利用安全缓解措施

0xa 【漏洞预警】Windows TCP/IP远程执行代码漏洞（CVE-2020-16898）

安博通 2020-10-14T17:56:17 © 安博通

漏洞预警远程执行代码 Windows安全网络协议安全缓解措施

0xb 【漏洞预警】Apache Solr ConfigSet未授权上传漏洞(CVE-2020-13957)

安博通 2020-10-14T17:56:17 © 安博通

0xc Apache Solr文件上传漏洞风险提示

安恒信息CERT 2020-10-14T14:20:00 ©

近日，Apache Solr发布了8.6.3版本，修复了存在于ConfigSets API中的文件上传漏洞（CVE-2020-13957）。该漏洞允许攻击者在未经身份验证或授权的情况下，通过UPLOAD或CREATE操作上传任意文件，可能导致远程代码执行。受影响的版本包括Apache Solr 6.6.0至6.6.5、7.0.0至7.7.3以及8.0.0至8.6.2。建议用户升级到8.6.3或更高版本以修复漏洞。目前漏洞利用代码未公开，但已有验证表明漏洞可被利用。用户可采取临时缓解措施，如禁用UPLOAD命令、开启身份验证等。安恒应急响应中心已发布相关安全公告，建议用户及时更新和采取防护措施。

漏洞披露文件上传漏洞远程代码执行 Apache Solr 安全补丁网络安全

0xd Mybatis反序列化高危漏洞风险提示

安恒信息CERT 2020-10-14T14:20:00 ©

近日，安恒应急响应中心发现MyBatis官方发布了3.5.6版本，修复了MyBatis 3.5.5及之前版本中存在的反序列化漏洞，漏洞编号为CVE-2020-26945。该漏洞主要影响在启用二级缓存且未设置JEP-290 filter的情况下，配置了特定缓存策略的MyBatis应用。攻击者可能利用此漏洞获取目标系统管理权限。建议用户及时更新到3.5.6及以上版本，或采取临时缓解措施，如关闭二级缓存和设置JEP-290过滤器。目前，漏洞利用代码和技术细节尚未公开，但安恒应急响应中心已验证漏洞的可利用性。

漏洞公告 MyBatis 反序列化漏洞 CVE编号二级缓存 JEP-290 filter 安全漏洞修复影响范围安全防护建议

0xe 某右协议分析(二)

奋飞安全 2020-10-14T10:26:21 奋飞

本文深入分析了某右版本5.5.10的通讯协议，旨在实现段子爬虫。文章首先介绍了如何使用Frida工具定位明文数据，通过堆栈定位法打印被hook函数的堆栈来追踪调用函数的位置。接着，作者详细解释了如何通过反编译工具jeb找到加密前的数据，并使用Frida hook NetCrypto.encodeAES函数来打印出加密前的字符串。文章中还展示了如何将byte数组转换为String，以便于打印和分析。最后，作者总结了某右通讯协议的流程，并强调了学习逆向技巧和思路的重要性，同时提醒读者不要利用文中技术进行非法商业活动。

网络安全协议分析逆向工程移动应用安全加密技术签名验证安全开发实践

0xf The SERIOT Project安全物联网参考架构

AI简化安全 2020-10-13T20:27:22 ©

The SERIOT Project是一个由欧盟委员会资助的网络安全项目，旨在解决物联网安全挑战。该项目基于中国主导的ISO/IEC 30141物联网参考架构，总预算约为4000万人民币。SerIoT项目旨在提供一个开放框架，用于监控IoT网络流量，识别可疑模式，评估安全漏洞和异常事件，并实施并行缓解措施。项目集成了多种技术，如SDN、认知路由、雾计算、IoT蜜罐、区块链和可视化分析。SerIoT架构包括管理域、网络基础设施、Fog计算基板、主动蜜罐和决策支持系统。该项目还关注物联网设备的安全性和隐私性，采用基于策略的框架和区块链技术来提高安全性。SerIoT的目的是提供一个全面的解决方案，以应对物联网安全领域日益增长的挑战。

物联网安全安全架构 SDN 蜜罐技术区块链异常检测可视化分析决策支持系统身份验证和授权 Fog计算

0x10 铭说 | 用ATT&CK框架分析Ryuk家族勒索软件

聚铭网络 2020-10-13T17:31:10 © J博士

ATT\x26amp;CK是一个攻击行为知识库和模型,它来源于美国的MITRE公司，主要被应用于评估攻防能力覆盖、高级持续威胁情报分析、威胁狩猎以及攻击模拟等领域。

0x11 【软件安全】“THIEF BOT”银行木马，针对土耳其银行的恶意攻击

水网火安 2020-10-13T10:40:17

近期，一款名为ThiefBot的新型Android银行木马在黑客论坛上被宣传，该木马伪装成Google Play应用程序，通过群发短信传播恶意代码，主要针对土耳其银行用户进行攻击。木马通过页面覆盖攻击窃取用户登录凭证、联系人列表、短信列表和应用列表等隐私信息，并具有删除用户联系人、加密用户文件和锁屏设备的功能，同时威胁用户将唯一ID发送至攻击者邮箱。中国用户也成为了攻击目标。为了防范此类恶意软件，建议用户通过正规渠道下载软件，安装杀毒软件，不轻易点击带有链接的短信，并在必要时使用ADB命令卸载恶意软件。

银行木马移动安全恶意软件分析信息窃取跨平台攻击地区针对性用户教育

0x12 【软件安全】惠普后门使攻击者可控制windows系统