2021年 第42周 微信公众号精选安全技术文章总览
洞见网安 2021-10-18
0x1 攻击者使用Cookie Theft恶意软件,针对YouTube用户发起网络钓鱼活动【软件安全(本)】
水网火安 2021-10-24T13:31:46
2019年底以来,谷歌威胁分析小组发现并恢复了约4000个被攻击的YouTube账号。攻击者利用Cookie Theft恶意软件,通过发送虚假的合作机会邮件,引诱YouTube用户安装伪造的应用程序,从而窃取用户的浏览器cookie。这些恶意软件能够窃取用户密码和cookie,并在地下市场出售。攻击者使用的恶意软件包括RedLine、Vidar、PredatorThe Thief等。谷歌建议用户在运行软件前使用防病毒软件进行扫描,启用增强型安全浏览保护模式,并使用多因素身份验证来保护账号安全。
网络钓鱼 会话劫持 恶意软件分析 账号劫持 安全意识 YouTube安全 经济动机 安全漏洞 反沙盒技术
0x2 巨龙拉冬: 让你的Cobalt Strike变成超级武器
K8实验室 2021-10-24T10:24:00 k8gege
“Ladon在手,天下我有!” 巨龙拉冬: 让你的Cobalt Strike变成超级武器,祝程序员节日快乐!
0x3 Cobalt Strike与Ladon联动自动渗透
K8实验室 2021-10-23T17:57:48 k8gege
为什么需要自动化?你是否遇到过CS只上线几分钟又下线的情况,对于那些在你吃饭休息时间才上线的机器,回来看到它自动收集信息岂不美栽!
0x4 对某单位遭受投递FormBook窃密木马的分析报告
安天垂直响应平台 2021-10-23T09:30:00 安天CERT
本文分析了某单位遭受的FormBook窃密木马攻击事件。自2016年以来,FormBook作为一款商业窃密木马,通过钓鱼邮件传播,窃取用户信息。安天CERT监测到多起此类攻击,其中一封针对某单位的钓鱼邮件被捕获。该木马具备多层解密执行、进程注入和对抗检测能力,可窃取多种信息并具有远程控制功能。文章详细分析了攻击过程,包括钓鱼邮件内容、伪造发件人、恶意软件的多层载荷解密执行、防御规避和数据窃取等。针对此类攻击,文章提出了企业防护和邮件传播防护的建议,包括安装终端防护软件、加强口令强度、部署入侵检测系统等。
网络安全事件分析 恶意软件分析 钓鱼邮件分析 企业网络安全防护 ATT&CK框架 恶意软件对抗技术 终端防御系统
0x5 WebShell 管理工具分析
小明的安全笔记 2021-10-22T17:35:43 © fairy
本文详细分析了网络安全领域中常见的Webshell及其管理工具。首先,文章解释了一句话木马的执行流程,即通过在POST数据中获取参数并交由eval函数执行,实现服务端代码执行。接着,以蚁剑为例,介绍了其丰富的编码器和解码器功能,用于规避检测。文章还分析了jsp Webshell的实现方式,以及冰蝎2.0版本的密钥交换和执行流程。最后,提到了冰蝎3.0版本去除了密钥交互过程,并讨论了冰蝎思想对其他Webshell管理工具的影响。
Webshell PHP jsp Java 编码解码 安全工具 网络安全 安全漏洞
0x6 警惕!未知团伙利用Agent Tesla间谍软件与红队工具Donut来袭
安恒信息CERT 2021-10-22T17:31:28
近日,安恒信息西安运营能力中心发现一起利用Agent Tesla间谍软件和红队工具Donut进行挖矿攻击的事件。攻击者使用Agent Tesla间谍软件下载恶意程序,并通过Donut工具包装内存木马,注入到系统程序中。恶意软件经过多层封装,释放多个恶意程序收集用户隐私信息和浏览器数据,并通过挖矿进程进行牟利。分析发现,该团伙样本更新频繁,已控制数百台终端进行挖矿。安恒信息建议用户定期更新系统补丁,修改用户名密码,避免打开不明邮件和附件,并使用安全平台检测未知文件。
恶意软件攻击 间谍软件 挖矿攻击 RAT(远程访问木马) Shellcode 内存注入 安全漏洞利用 威胁情报 安全加固建议
0x7 Concrete CMS RCE
Y1X1n安全 2021-10-22T09:16:22 © Srn7sec
Concrete CMS RCE(CVE-2021-40097)是一个影响版本≤8.5.5的安全漏洞。攻击者通过上传包含PHP代码的恶意PNG文件,并在编辑页面布局设计时,利用路径遍历在bFilename参数中指定该文件的相对路径,从而实现远程代码执行。漏洞利用需要攻击者拥有编辑Web应用程序页面的权限。通过上传特制的PNG文件并在后台编辑布局时指定文件路径,攻击者可以执行任意系统命令,可能获取敏感信息。该漏洞的利用过程涉及多个步骤,包括上传文件、获取文件路径、修改请求参数等。本文强调了漏洞的严重性,并提醒网安爱好者应在合法授权下进行技术讨论和工具使用。
0x8 秒懂:正向代理与反向代理.
河南信安世纪 2021-10-21T17:25:20
点击上方文字关注我们核心区别正向代理:代理对象【客户端】,隐藏客户端。反向代理:代理对象【服务器】,隐藏服务
0x9 网络空间资产探测关键技术研究
信息安全与通信保密杂志社 2021-10-21T15:14:54 © Cismag
本文探讨了网络空间资产探测的重要性,特别是在网络空间日益复杂和终端设备增多的背景下。文章首先概述了网络空间资产探测的基本概念和目的,即通过主动或被动探测方法,绘制网络空间设备的网络节点和网络连接关系图,为网络设备进行画像。接着,文章详细介绍了国内外在网络空间资产探测方面的研究成果,包括美国国防部先进研究项目局(DRAPA)的X计划和美国国土安全部(DHS)的SHINE计划,以及我国在网络空间资产探测方面的进展。文章重点分析了基于ICMP、TCP和UDP的存活主机发现技术,以及端口扫描、服务版本扫描和操作系统扫描等关键技术。此外,文章还讨论了主动探测和被动探测的优缺点,并强调了网络资产探测技术在网络安全中的重要作用。最后,文章提出了我国在网络资产探测技术方面需要进一步突破的关键技术,如基于指纹比对的网络组件精准探测技术和工业控制服务探测技术。
网络安全 网络空间资产探测 存活主机发现 端口扫描 操作系统识别 网络攻击防御 工业控制系统安全 网络协议分析 网络安全研究
0xa ATT&CK 实战系列 —— 红队实战(一)
墨守安全 2021-10-21T09:00:18 © 江左盟宗主
本文详细描述了一个涉及Windows网络环境的渗透测试过程,包括环境搭建、外围打点、获取shell、权限提升、权限维持、横向移动、痕迹清理等阶段。首先搭建了一个包含Web服务器(Windows 7)、域成员(Win2K3 Metasploitable)和域控(Windows Server 2008)的网络拓扑。通过nmap扫描发现Web服务器存在HTTP和MySQL服务,并利用phpMyAdmin的慢查询日志或YxCMS文件上传漏洞获取webshell。随后利用CobaltStrike进行权限提升至SYSTEM。为维持权限,创建并执行了Windows服务。横向移动阶段,通过MS17-010漏洞和SMB协议成功在网内其他主机上获取shell,并最终获得域管理员权限。最后,清除了入侵痕迹,包括日志文件、安全日志等。整个过程展示了典型的渗透测试技术和步骤。
靶场搭建 信息收集 Web安全 数据库安全 漏洞利用 权限提升 权限维持 横向移动 域渗透 痕迹清理
0xb WebLogic Server 高危安全漏洞风险提示(10月)
安恒信息CERT 2021-10-20T17:33:44
本文报道了Oracle WebLogic Server在2021年10月发布的安全更新公告,其中包含多个安全漏洞,包括远程代码执行漏洞(CVE-2021-35617)、诊断组件不正确的输入验证(CVE-2021-35552)和核心组件的拒绝服务漏洞(CVE-2021-35620)。这些漏洞影响了多个版本的WebLogic Server,包括10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0和14.1.1.0.0。文章详细描述了每个漏洞的影响范围和可能的攻击方式,并提供了缓解措施,包括升级到修复版本、使用连接筛选器阻止T3协议访问和禁用IIOP协议等。同时,文章也提供了Oracle官方安全公告的链接和缓解措施的具体实施步骤,以帮助用户及时修复这些安全漏洞。
WebLogic Server 安全漏洞 远程代码执行 输入验证漏洞 拒绝服务攻击 Oracle 补丁更新 网络安全应急响应 IIOP协议 T3协议
0xc 【涨知识】Go语言木马加密通信分析与检测
北京观成科技 2021-10-20T13:19:08
本文分析了Go语言在网络安全领域的应用,特别是其在恶意软件开发中的增长趋势。据报告显示,自2017年以来,基于Go语言的恶意软件数量增长超过2000%,预计其使用率将持续上升。Go语言的跨平台编译、反逆向能力以及网络堆栈优势是其被恶意软件开发者青睐的原因。文章详细探讨了Go语言中TLS协议的实现,包括外层封装、连接机制、TCP握手建立和TLS协商发起等环节。与C/C++相比,Go语言的TLS实现更为封闭,其握手特征主要由版本决定。此外,文章通过实例分析了Go语言木马的恶意加密通信检测,揭示了其加密套件和扩展项的特点。
编程语言安全 恶意软件分析 加密通信安全 网络安全趋势 Go语言特性 网络安全检测
0xd Nginx反向代理、负载均衡、SSL配置、URL重写
网络技术联盟站 2021-10-20T09:00:00 点击关注👉
0xe 等保测评2.0:应用的数据完整性
天津恒御科技有限公司 2021-10-19T08:00:00
应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限千鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
0xf DNS协议介绍
河南信安世纪 2021-10-18T17:26:59
DNS概述DNS是一种可以将域名和IP地址相互映射的以层次结构分布的数据库系统。DNS系统采用递归查询请求的
0x10 一种新的零日漏洞被利用来危害Mac系统【软件安全(本)】
水网火安 2021-10-18T11:43:33
苹果公司近期发布了针对旧版iOS和macOS的紧急安全更新,以修复一个名为CVE-2021-30869的零日漏洞。这个漏洞存在于Apple的内核组件XNU中,属于类型混淆漏洞,可能允许恶意应用程序以最高权限执行任意代码。谷歌威胁分析小组发现,该漏洞已被用于与WebKit的远程代码执行结合的攻击中。苹果公司已经确认了该漏洞在野利用的情况,并发布了针对Catalina和iOS 12版本的更新。受影响的设备包括iPhone 5s、iPhone 6/6 Plus、iPad Air、iPad mini 2/3、第六代iPod touch以及部分Mac设备。此外,安全研究人员还发现了iOS中未修补的零日漏洞,包括可以绕过锁屏获取用户Apple ID电子邮件地址的漏洞,以及可能在没有适当授权的情况下检索Wi-Fi信息的漏洞。
零日漏洞 内核安全 远程代码执行 Apple产品安全 软件更新 移动设备安全 Web安全 用户隐私
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
