2023年 第44周 微信公众号精选安全技术文章总览
洞见网安 2023-10-30
0x1 Mac下白嫖免费代理池搞肾透
挖呀挖安全 2023-11-03T16:32:39 © Neo
0x2 疑似利用Apache ActiveMQ漏洞CVE-2023-46604安装HelloKitty勒索软件
黑猫安全 2023-11-03T09:52:43 鹏鹏同学
网络安全研究人员发现,Apache ActiveMQ的CVE-2023-46604漏洞被用于尝试部署HelloKitty勒索软件。该漏洞影响多个版本的Apache ActiveMQ,允许远程攻击者执行任意shell命令。Rapid7在两个客户环境中观察到攻击者尝试利用此漏洞,并试图部署勒索软件。攻击者在成功利用漏洞后,试图通过MSIExec加载远程二进制文件。此活动与HelloKitty勒索软件家族有关,其源代码此前已在网络犯罪论坛上泄露。Apache已发布新版本以解决此漏洞,同时研究人员提醒,利用代码和技术细节已公开。
漏洞利用 勒索软件 远程代码执行 开源软件安全 网络安全研究 软件更新 网络犯罪
0x3 铭说|Lazarus组织发起的新型攻击
聚铭网络 2023-11-02T17:37:05
本期铭说将带您一起了解Lazarus组织发起的新型攻击。
0x4 Cisco IOS XE CVE-2023-20198漏洞复现
博智非攻研究院 2023-11-02T16:36:56 博智非攻研究院
Cisco IOS XE CVE-2023-20198漏洞复现
0x5 一款集成30个工具的信息收集利器
黑白之道 2023-11-02T10:15:47
本文介绍了一款名为reconFTW的信息收集工具,该工具集成30个功能,能够自动执行子域枚举、漏洞检查、获取目标信息等任务。reconFTW利用多种技术进行子域枚举,包括密码破解、排列组合、证书透明度等,同时支持各种漏洞扫描,如XSS、开放重定向、SSRF等。此外,它还提供OSINT技术、目录模糊测试、端口扫描、屏幕截图等功能。文章详细介绍了工具的使用方法,包括针对单个目标、目标列表、时间密集型任务和YLO模式等不同场景下的使用命令。最后,文章提醒读者,相关技术和工具仅供安全学习交流,禁止用于非法目的。
信息收集工具 网络安全工具 自动化安全测试 渗透测试 子域枚举 漏洞扫描 OSINT 端口扫描
0x6 抓包对抗与实战分析
黑白之道 2023-11-02T10:15:47
文章《抓包对抗与实战分析》深入探讨了在网络安全测试中遇到的各种挑战及其解决方案,特别是针对VPN检测、HTTPS协议及SSL证书绑定机制(SSL pinning)的绕过方法。文中首先介绍了通过Hook技术绕过App对VPN开启状态的检测,如hook java.net.NetworkInterface.getName()函数,使检测不到tun0网卡;或hook NetworkCapabilities.hasTransport方法,使其返回false,从而避免被识别为使用VPN。接着解释了HTTPS的工作原理,指出它是HTTP与SSL/TLS的结合,旨在解决HTTP无状态、明文传输和不安全的问题。对于HTTPS抓包,强调客户端必须安装抓包工具提供的根证书,并描述了中间人攻击模式下抓包的具体流程。文章还提到服务端校验客户端证书的重要性,以及如何通过hook KeyStore.load方法来绕过这种校验。最后讨论了客户端校验服务端证书的机制——SSL pinning,并提出了多种绕过方案,例如利用Xposed框架、Frida脚本或是直接hook Java库的方法。总结部分回顾了上述问题并提供了针对性的解决方案,适用于大多数情况下的抓包实践。
抓包技术 VPN检测与绕过 SSL/TLS解密 代码Hook 移动安全 逆向工程
0x7 威胁行为者正在积极利用F5 BIG-IP漏洞CVE-2023-46747和CVE-2023-46748
黑猫安全 2023-11-02T09:42:58 鹏鹏同学
F5公司近期向客户发出警告,指出其BIG-IP产品存在两个严重的安全漏洞,分别是CVE-2023-46747和CVE-2023-46748。CVE-2023-46747(CVSS评分9.8)允许未经身份验证的攻击者远程执行代码,而CVE-2023-46748(CVSS评分8.8)则涉及BIG-IP配置实用程序中的认证SQL注入漏洞。这两个漏洞的发现归功于Praetorian公司的Michael Weber和Thomas Hendrickson。F5已发布针对14.1.0及更高版本的修复脚本,但旧版本无法使用,因为这会阻止配置实用程序的启动。10月30日,F5更新通告,确认威胁行为者正在积极利用这些漏洞。美国CISA已将这两个漏洞加入其已知被利用漏洞(KEV)目录。F5还发布了威胁指标(IoCs)以帮助识别潜在入侵,而Project Discovery团队和Praetorian Security也提供了额外的技术信息。
远程代码执行 配置实用程序漏洞 认证绕过 SQL注入 已知被利用漏洞 威胁行为者活动
0x8 专家发布了用于利用Cisco IOS XE漏洞CVE-2023-20198的POC(概念验证)攻击代码
黑猫安全 2023-11-01T10:47:06 鹏鹏同学
Horizon3.ai的研究人员近日公开发布了针对Cisco IOS XE漏洞CVE-2023-20198的利用代码,该漏洞被跟踪为CVSS评分10的严重等级,并已在攻击中被积极利用。Cisco在处理技术支持中心案例时发现了这一零日漏洞。VulnCheck安全公司警告称,威胁行为者已利用此漏洞入侵数千个Cisco IOS XE设备,攻击者可通过该漏洞获取管理员权限并接管易受攻击的路由器。Cisco建议管理员检查系统日志并禁用HTTP服务器功能以减少风险。VulnCheck还开发了一款扫描器,用于查找互联网上暴露的感染系统。Horizon3.ai的研究人员提供了漏洞的技术细节和PoC利用代码,创建了一个名为“baduser”的具有特权级别15的用户。
漏洞利用 零日漏洞 远程代码执行 身份验证绕过 Cisco设备安全 网络监控 中间人攻击
0x9 一文了解“中间人攻击(MITM)”(附防范建议)
天津恒御科技有限公司 2023-11-01T08:02:43
本文详细介绍了中间人攻击(MITM)的概念、类型及其防范方法。中间人攻击是一种网络入侵手段,通过控制通信路线,攻击者可以窃听、篡改甚至阻断信息传递。文章列举了离线中间人攻击和在线中间人攻击的实例,并详细说明了Wi-Fi欺骗、HTTPS欺骗、SSL劫持、DNS欺骗和电子邮件劫持等多种中间人攻击类型。虽然HTTPS可以提供一定程度的防护,但攻击者仍可以通过SSL剥离等方法破坏其安全性。为了防范中间人攻击,文章建议使用HTTPS、不忽略浏览器警告、避免使用公共Wi-Fi、检查电子邮件发件人、执行HSTS协议、禁用不安全的SSL/TLS协议,以及运行并更新防病毒软件等措施。
0xa 应急响应—挖矿病毒与勒索病毒
剁椒鱼头没剁椒 2023-10-31T15:58:05 ©
本文详细介绍了网络安全中的两种主要威胁:挖矿病毒和勒索病毒。首先,文章解释了挖矿病毒的定义、传播方式、危害以及防范措施,包括利用系统漏洞、弱口令攻击、文件传播和网络资源传播等。文章还强调了挖矿病毒对计算机资源、网络带宽和数据安全的威胁,并提供了防范建议,如及时更新系统和软件、使用复杂密码、限制网络共享和访问权限、安装杀毒软件等。接着,文章讨论了勒索病毒的特点、传播方式、危害和防范措施,包括破坏数据和隐私、威胁企业安全、破坏个人财务安全和社会信任等。文章还列举了一些著名的勒索病毒家族,如WannaCry、Petya、Cryptolocker等,并提供了解密工具和搜索平台的信息。最后,文章简要介绍了挖矿病毒和勒索病毒的处理方法,包括查找病毒文件夹、清除病毒、备份重要文件和重新安装系统等,强调了备份工作的重要性。
网络安全 病毒防护 恶意软件 威胁情报 系统安全 数据安全 应急响应 加密技术 漏洞利用 安全意识
0xb 【涨知识】网络攻击中常见的流量激活技术浅析
北京观成科技 2023-10-31T14:47:39 © Jo
本文详细分析了网络攻击中常见的流量激活技术。首先介绍了流量激活的概念,即攻击者通过特定的流量信号来触发木马或后门的执行。文章以Knock端口激活应用为例,说明了正常应用中的流量激活方式。接着,文章深入探讨了APT攻击中的流量激活技术,引用了ATT&CK框架中提到的多个家族,如Chaos、Kobalos、Pandora等,分别介绍了它们如何通过特定的流量特征进行激活。文章还详细分析了不同木马如何通过检查TCP、UDP数据包、HTTP请求、网络唤醒(Wol)数据包以及特定的序列号和ACK值等方式实现激活。最后,文章总结了流量激活技术的特点,包括影响多个平台、激活协议多样、激活位置多变和激活方法复杂等,并指出检测此类异常流量的重要性。
网络安全 网络攻击 木马病毒 APT攻击 流量分析 端口激活 Knock工具 ATT&CK框架 恶意软件 网络安全防御
0xc F5敦促解决BIG-IP中的一个关键漏洞
黑猫安全 2023-10-30T09:39:53 鹏鹏同学
F5公司警告其BIG-IP产品存在一个关键安全漏洞CVE-2023-46747,该漏洞的严重性评分为CVSS 9.8,可能允许未经身份验证的远程代码执行。该漏洞位于配置实用程序组件中,由Praetorian的安全研究人员Michael Weber和Thomas Hendrickson于2023年10月4日报告。攻击者如果能够通过网络访问BIG-IP系统,并通过管理端口或自身IP地址连接,就可能利用此漏洞执行任意系统命令。F5强调,数据平面并未暴露,问题仅限于控制平面。受影响的BIG-IP版本包括14.1.0及更高版本,F5为此发布了一个shell脚本来作为临时修复措施,但警告不要在14.1.0之前的版本上使用,因为这会导致配置实用程序无法启动。F5还建议采取临时缓解措施,比如限制配置实用程序的访问,只允许受信任的网络或设备访问,以减少潜在的攻击面。Praetorian的分析指出,他们发现的身份验证绕过问题与之前的CVE-2022-26377漏洞密切相关,并且强调即使存在重大风险,用户仍应采取措施保护自己,比如不将TMUI服务暴露在互联网上。
远程代码执行漏洞 CVE漏洞 配置实用程序漏洞 身份验证绕过 缓解措施 版本兼容性
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
