2019年 第46周 微信公众号精选安全技术文章总览
洞见网安 2019-11-18
0x1 CVE-2019-1388Windows证书对话框特权提升漏洞
信安灯塔 2019-11-23T16:47:44 信安灯塔
CVE-2019-1388是Microsoft Windows Certificate Dialog的一个权限提升漏洞,该漏洞存在于多个版本的Windows服务器和客户端操作系统中。漏洞的描述指出,当Windows Certificate Dialog未正确处理用户特权时,攻击者可能利用此漏洞在提升的权限下运行进程。该漏洞于2019年11月12日被公开,并已由Microsoft发布补丁进行修复。文章中详细介绍了漏洞的利用方法,包括利用guest用户权限下载并执行特制的POC(Proof of Concept),通过一系列步骤提升至系统权限。同时,文章也提到了《网络安全威胁信息发布管理办法》的征求意见稿,鼓励读者提交意见。
CVE Windows 特权提升 补丁 操作系统安全 漏洞利用 系统权限 安全漏洞公告
0x2 Jenkins多个高危安全漏洞修复提示
安恒信息CERT 2019-11-22T20:28:23 ©
本文针对Jenkins官方于2019年11月21日发布的多个安全漏洞进行详细分析。这些漏洞包括CVE-2019-16538、CVE-2019-16539和CVE-2019-16540,分别涉及Script Security Plugin和Support Core Plugin插件。CVE-2019-16538可能导致任意代码执行,CVE-2019-16539和CVE-2019-16540可能导致任意文件删除。受影响的用户需要检查其安装的插件版本,并及时升级到安全版本。文章提供了影响范围、漏洞描述和缓解措施,建议用户关注官方安全公告和补丁更新,并启用安全设备来防范攻击。
漏洞公告 Jenkins安全漏洞 代码执行漏洞 文件删除漏洞 插件安全 版本更新 网络安全加固 安全公告关注 WAF安全设备
0x3 原创干货 | 【恶意代码分析技巧】15-恶意代码常见驻留分析
云众可信 2019-11-22T18:01:57 © elfbin
本文深入探讨了恶意代码实现内存常驻的技术,分析了多种技术手段,包括辅助功能攻击、MBR修改、COM劫持、屏幕保护程序、用户登录过程、SIP和信任提供程序注册、时间服务以及WMI事件订阅。文章首先介绍了Windows系统中的辅助功能,如放大镜、讲述人等,并解释了攻击者如何通过修改这些辅助功能的进程来执行恶意代码。接着,文章详细说明了如何修改MBR(主引导记录)以实现恶意代码的持久化。COM劫持部分解释了COM(组件对象模型)的基础知识,以及如何通过修改注册表来劫持COM组件执行恶意代码。文章还探讨了屏幕保护程序、用户登录过程、SIP和信任提供程序注册、时间服务以及WMI事件订阅等技术,这些技术都可以被攻击者用来实现恶意代码的持久化。最后,文章提供了一些参考文献,供读者进一步学习。
0x4 Web登录认证类漏洞分析防御总结和安全验证机制设计探讨
河南信安世纪 2019-11-22T11:28:32 爱信安世纪
做渗透测试有一段时间了,发现登录方面的问题特别多,想做个比较全面点的总结,我尽量写的全面点又适合新人,这篇文
0x5 启明星辰ADLab:关于近日门罗币供应链攻击事件分析
ADLab 2019-11-21T18:44:40 启明星辰
2019年11月,门罗币官方GitHub上出现对最新版门罗币客户端的问题报告,揭露了门罗币官方网站受到黑客入侵,导致客户端存在窃取用户关键信息的问题。这是首次针对加密货币客户端的供应链攻击。黑客篡改了客户端组件monero-wallet-cli,通过窃取门罗币seed来盗取货币所有权。恶意代码内置了三个C&C服务器,用于接收窃取的seed信息。分析显示,黑客通过篡改源码中的函数来实现窃取seed,并通过HTTPS POST方式发送给C&C服务器。启明星辰ADLab对攻击进行了分析,发现黑客使用了硬编码的CC服务器地址,并对这些服务器进行了追踪分析。该事件提醒用户加强网络安全,定期进行网站安全排查和加固,及时更新系统安全补丁。
供应链攻击 加密货币安全 恶意软件分析 种子窃取 C&C服务器 SSL通信 网络安全意识 安全漏洞 网络安全事件分析
0x6 【E周道】Google修复Gmail动态电子邮件漏洞 勒索软件伪装成Windows更新
ISEC安全e站 2019-11-21T17:53:09 ISEC安全e站
本周网络安全资讯包括:Google修复了Gmail动态电子邮件中的一个漏洞,该漏洞可能导致跨站点脚本(XSS)攻击;勒索软件伪装成Windows更新进行传播;梅西百货在线支付门户被植入Magecart读卡代码,导致数据泄露;某游戏开发商确认45万玩家数据泄露,原因是数据库备份存储在没有密码保护的公共Amazon Web Services存储桶中;路易斯安那州遭受勒索软件攻击,导致多个机构服务器脱机;门罗币官网遭遇恶意软件攻击;银行木马Mispadu利用麦当劳广告窃取用户信息,影响数十亿设备;赛门铁克防病毒软件发现严重漏洞,允许黑客执行恶意代码。以上事件均提醒用户应加强网络安全意识,及时更新软件和防病毒程序,防止信息泄露和恶意软件攻击。
0x7 阻止内部和外部威胁:具有欺骗性的Microsoft Office 信标文件
数据机器人 2019-11-21T12:03:23
0x8 原创干货 | Thinkphp序列化合总
云众可信 2019-11-19T18:02:02 © Decade
最近Thinkphp几个版本都出了反序列化利用链,这里集结在一起,本文是复现文章,poc会放在最后
Web应用安全 Thinkphp漏洞 漏洞复现 反序列化攻击 代码审计 安全漏洞 PHP安全
0x9 Apache Solr不安全配置远程代码执行漏洞预警
安恒信息CERT 2019-11-19T17:42:14 ©
近日,Apache Solr官方发布安全漏洞公告,修复了Linux环境下部分版本中存在的远程代码执行漏洞(CVE-2019-12409)。该漏洞源于默认不安全配置(ENABLE_REMOTE_JMX_OPTS=true)导致的RMI服务监听在TCP 18983端口,攻击者可利用公开的JMX漏洞利用工具执行远程代码。受影响的版本包括8.1.1和8.2.0,建议用户更新至8.3.0以上版本或修改solr.in.sh配置文件中ENABLE_REMOTE_JMX_OPTS字段值为false,并重启服务。此漏洞可能导致攻击者获取服务器权限,并进一步实施恶意活动,如植入后门或释放恶意程序。官方建议用户密切关注安全更新和采取相应的缓解措施。
远程代码执行漏洞 Apache Solr 漏洞 安全配置问题 Linux 环境安全 软件更新与补丁 安全预警 JMX 漏洞利用 网络安全应急响应
0xa WhatsApp MP4视频文件漏洞曝光,允许攻击者执行任意代码
ISEC安全e站 2019-11-19T14:50:45 ISEC安全e站
Facebook在一份安全公告中表示,WhatsApp严重漏洞,是缓冲区溢出流漏洞...
0xb Apache Shiro Padding Oracle导致远程代码执行漏洞预警
水网火安 2019-11-19T09:00:00
Apache Shiro是一个广泛使用的Java安全框架,但近日发现其存在一个严重的远程代码执行漏洞。该漏洞由Padding Oracle攻击导致,攻击者可以利用Apache Shiro cookie中加密的rememberMe字段进行攻击。攻击步骤包括获取用户cookie中的rememberMe字段,利用Padding Oracle攻击构造恶意字段,并通过反序列化攻击实现任意代码执行。目前,Apache Shiro尚未发布官方补丁,因此建议用户及时自查并关注官方安全补丁的发布。受影响的版本包括Apache Shiro 1.2.5至1.4.1。为了防范攻击,建议在外部设备尝试拦截爆破流量,并及时阻止攻击者的尝试性攻击。
Java安全框架 身份认证 会话管理 远程代码执行(RCE) Padding Oracle攻击 漏洞预警 360CERT 安全补丁 漏洞影响范围 防范建议
0xc 印度APT组织攻击我国多个目标曝光
水网火安 2019-11-19T09:00:00
2019年10月,网络安全研究人员曝光了印度APT组织“蔓灵花”(Bitter)对我国多个目标的攻击活动。通过分析推特发布的信息,发现该组织的C2控制台控制了多个我国的IP地址。控制台界面展示了木马控制后台的主机信息,包括上线时间、主机版本、用户名、电脑名称等。攻击者可利用此控制台对目标设备下发任务,功能包括文件操作、进程管理、系统信息获取等。分析发现,此次攻击仅是蔓灵花组织在我国攻击活动的冰山一角,该组织自2017年末以来一直针对我国多个部委和重要行业单位进行攻击。此外,该组织的C2控制台存在多个漏洞,包括弱口令和目录遍历等问题。这表明印度网军在获取网络情报方面采取积极主动的网络攻击方式,我国已成为其攻击的主要目标。
APT攻击 网络间谍活动 国家网络安全 印度网络安全威胁 木马攻击 C2控制台泄露 安全漏洞 网络安全分析
0xd 端口敲门服务
蘑菇安全小组 2019-11-18T17:34:09 wLHK
端口敲门服务是一种网络安全技术,通过客户端按照特定顺序访问服务器预设的端口序列,服务器接收到正确的端口尝试序列后,动态修改防火墙规则,打开特定端口供访问。本文以CentOS 6.9服务器和Kali客户机为例,介绍了端口敲门服务的安装、配置和实现过程。文章详细说明了如何使用knockd服务在CentOS上设置端口敲门,包括安装必要的库、下载和安装knockd RPM包、修改配置文件以定义开启和关闭SSH端口(22端口)的端口序列和超时时间。此外,文章还讨论了端口敲门的优缺点,包括对端口隐藏的有效性、对网络延迟和发包次序的敏感性,以及如果knockd服务崩溃可能导致的问题。最后,文章简要探讨了端口敲门服务在Windows系统上的可行性及其对恶意扫描端口的影响。
网络安全防护 防火墙策略 入侵检测 安全配置 网络协议 系统安全 实验教程
0xe 权限维持——注册表
水网火安 2019-11-18T17:05:35
本文详细探讨了针对Windows注册表编辑器(Regedit)的攻击测试案例,主要分为常规持久性技术和隐藏注册表驻守两部分。常规持久性技术通常通过修改注册表的自启动项(如HKEY_CURRENT_USER(HKEY_LOCAL_MACHINE)SoftwareMicrosoftWindowsCurrentVersionRun)来实现,使得恶意程序在系统重启时自动执行。然而,这些操作通常无法通过Regedit查询到。文章进一步介绍了使用Windows Native API(如RegOpenKeyExA、NtSetValueKey、ZwQueryValueKey、NtDeleteValueKey等)进行注册表的创建、修改和删除操作。隐藏注册表驻守部分则利用了Regedit的缺陷,通过特殊构造的注册表项名称(以空字符开头)或对ValueData内容进行处理(如使用FilelessMalware技术),使得这些注册表项无法在Regedit中正常显示,但仍然能够在系统启动时执行。文章还提到了使用ntdll.dll和advapi32.dll库来调用相关API,并提供了C#代码示例来实现类似功能。最后,文章列举了相关的参考资料,如InvisibleRegValues_Whitepaper.pdf、渗透技巧——“隐藏”注册表的创建等。
Windows 注册表 持久化攻击 Native API Win32 API 隐藏技术 文件less恶意软件 安全厂商关注点
0xf APT组织“响尾蛇”对巴基斯坦攻击事件报告
水网火安 2019-11-18T17:05:35
近期,国际知名APT组织“响尾蛇”再次发起攻击,此次目标锁定巴基斯坦海军。攻击手法与之前针对中国的攻击有所不同,但核心目的仍为窃取政府、能源、军事、矿产等领域的机密信息。攻击者通过伪装成巴基斯坦海军公共关系总局发布的新闻稿的快捷方式文件,诱使用户点击下载恶意软件,进而盗取电脑内的文件信息。该恶意LNK文件采用了一种名为Link文件路径的目标劫持技术,隐藏真实目标程序。瑞星安全研究院提醒相关企业用户提高警惕,加强网络安全防御措施,包括不打开可疑邮件、部署网络安全态势感知系统、安装有效的杀毒软件以及及时修补系统补丁等。
APT攻击 钓鱼邮件 恶意软件 信息窃取 目标劫持 网络安全意识 威胁情报 安全产品 恶意软件防护 系统更新
0x10 CentOS7系统双网卡环境下添加静态路由的几种方法
WalkingCloud 2019-11-17T23:10:01 ©
CentOS7系统双网卡环境下添加静态路由的几种方法
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
