2020年 第48周 微信公众号精选安全技术文章总览
洞见网安 2020-11-30
0x1 外交部计算机被植入后门,俄罗斯APT长达5年的 \"Crutch\"行动揭秘
水网火安 2020-12-06T16:18:53
本文揭示了俄罗斯APT组织Turla(毒熊或毒蛇)长达5年的网络间谍活动,该组织通过恶意软件Crutch对欧盟一个不知名国家的外交部进行攻击。Crutch恶意软件被用于窃取敏感文档并上传至Turla控制的Dropbox账户。研究发现,Crutch可能通过Skipper suite或PowerShell Empire等工具进行传播,并存在多个版本,包括使用Windows Wget实用程序自动上传文件的变体。Turla组织的技术复杂性和攻击手段的隐蔽性表明其拥有丰富的资源。APT攻击作为一种高级网络间谍行为,通常针对特定目标进行长期、有计划性的数据窃取,利用漏洞和0day攻击进行隐蔽攻击。
APT攻击 恶意软件分析 国家网络攻击 间谍活动 安全漏洞利用 钓鱼攻击 后门程序 网络监控与防御
0x2 黑客雇佣组织开发新的 \"PowerPepper \"内存恶意软件。
水网火安 2020-12-06T16:18:53
网络安全研究人员近期揭露了一种名为"PowerPepper"的新型Windows内存后门,该后门由黑客组织DeathStalker(原名Deceptikons)开发,用于攻击亚洲、欧洲和美国的多个目标。这种恶意软件能够远程执行代码,窃取敏感信息,并通过伪装成蕨类植物或辣椒的图像来隐藏其有效载荷。DeathStalker组织自2012年起活跃于攻击欧洲和中东金融业的律师事务所和公司。攻击通常始于鱼叉式钓鱼邮件,其中包含恶意LNK文件,诱导用户下载并运行基于PowerShell的植入体。该组织并非出于经济动机,而是对收集关键商业信息感兴趣。PowerPepper利用DNS over HTTPS(DoH)进行通信,并通过多种钓鱼邮件主题来诱骗用户。为了传播和执行恶意软件,DeathStalker采用了多种技术,包括宏、LNK文件和混淆技巧。为了防范此类攻击,建议企业和用户采取一系列安全措施。
内存恶意软件 黑客雇佣组织 信息窃取 鱼叉式钓鱼攻击 PowerShell DNS over HTTPS (DoH) 宏攻击 恶意软件分析 安全防御建议
0x3 物理隔离网络双向数据传输关键技术研究
信息安全与通信保密杂志社 2020-12-05T15:20:13 © Cismag
网安学术
物理隔离网络攻击 隐蔽信道通信 恶意软件植入 双向数据传输 USB HID攻击 无线信道建立 安全防护技术 STM32Ducky设备
0x4 SecureCRT远程端口转发不生效的解决方法
WalkingCloud 2020-12-04T19:24:01 ©
本文详细介绍了在使用SecureCRT进行远程端口转发时遇到的问题及解决方法。文章首先描述了通过SecureCRT连接云主机并进行端口转发的需求场景,随后介绍了问题复现的过程。作者通过开启SecureCRT的Trace Option发现报错提示,并指出问题根源在于SecureCRT的Reverse Forward Filter设置。文章详细说明了如何修改会话ini文件中的Reverse Forward Filter,允许所有IP访问,从而解决无法从外网访问连接转发后的端口的问题。此外,还提供了SecureCRT官网论坛关于Remote port forwarding filter/Reverse Forward Filter的说明,包括如何根据需要调整过滤器以允许不同类型的访问。最后,文章附上了SecureCRT本地端口转发与X11转发的原理图,帮助读者更好地理解端口转发的原理。
0x5 三菱PLC仿真技术与WinCC实现OPC通讯
安帝Andisec 2020-12-04T18:03:01 © 安帝实验室
本文详细介绍了如何使用三菱PLC仿真技术与WinCC实现OPC通讯的过程。首先,列出了所需的硬件和软件,包括PC机、交换机、以太网线、GX Developer、GX Simulator、MX OPC、WINCC和Kepware。接着,步骤性地说明了在GX Developer中新建工程、编写测试程序、下载仿真运行程序的过程。然后,介绍了使用MX OPC软件连接虚拟PLC,并创建新设备、读取数据的方法。进一步,说明了如何通过Kepware读取MX OPC数据,并监视数据变化。最后,详细描述了在WINCC中添加OPC驱动、关联变量、监控变量数据的步骤,最终实现了从三菱虚拟PLC到WINCC的OPC通讯。
0x6 悟空云课堂 | 第二十六期:通过错误消息导致的信息暴露
中科天齐软件安全中心 2020-12-04T18:00:00 © 悟空同学WuKong
悟空云课堂最新一期内容聚焦于通过错误消息导致的信息暴露这一网络安全漏洞。文章首先介绍了这种漏洞的定义,即软件生成的错误消息可能包含敏感信息,如密码或用户数据。接着,文章阐述了构成此类漏洞的条件,包括敏感信息的存在和错误消息的生成方式。文章进一步讨论了这种漏洞可能造成的后果,如信息泄露和后续攻击。为了防范和修补此类漏洞,文章提出了内部处理异常、避免记录敏感信息和详细日志的建议。此外,文章还提供了一个通过Wukong检测到的具体代码缺陷样例,并引用了CWE(Common Weakness Enumeration)中的编号CWE-209。最后,文章推荐了往期相关阅读内容,并提供了中科天齐公司的联系方式和网站信息。
0x7 Python19行代码轻松实现发送QQ邮件
小阿辉谈安全 2020-12-04T16:14:00 © 喻明辉
Python实现发送qq邮件,首先你需要安装Python环境(废话),登录QQ邮箱拿到你的登录授权码,就是你
0x8 RCE漏洞,黑客如何远程控制你的服务器
仙网攻城狮 2020-12-04T13:58:24 © 太白
黑客是如何远程控制你的服务器的???
0x9 记对某cms的渗透测试
Linux网络安全 2020-12-04T10:27:53 ©
本文记录了对某CMS平台的渗透测试过程。作者发现该CMS平台存在一个管理员密码重置漏洞,许多网站未及时更新补丁。测试过程中,作者尝试通过邮箱找回密码功能获取管理员邮箱,并利用burp抓包技术进行端口转发和密码修改。在成功修改密码后,作者对CMS平台的install/index.php文件进行代码审计,发现其中存在注入漏洞。文章提醒站长们及时更新补丁,并分享了漏洞利用和代码审计的过程,供网络安全学习者参考。
渗透测试 CMS漏洞 密码安全 邮件攻击 抓包分析 代码审计 后渗透 网络安全意识
0xa Shiro 反序列化漏洞分析 |16期
道格安全 2020-12-03T22:51:25 Passer6y
标签:Shiro,web
0xb 利用腾讯云主机+SSH远程端口转发实现内网穿透
WalkingCloud 2020-12-03T20:50:18 ©
本文介绍了如何利用腾讯云主机和SSH远程端口转发技术实现内网穿透。文章首先概述了SSH端口转发的原理和配置方法,包括如何在本地服务器上配置SSH端口转发到云主机,并如何通过云主机访问内网服务器上的服务。接着,文章详细说明了如何将SSH端口和MySQL端口转发到云主机,并通过云主机进行运维操作。此外,文章还介绍了如何通过修改SSH配置文件允许远程主机连接到转发端口,以及如何配置云主机的安全组以允许访问转发后的端口。最后,文章讨论了SecureCRT的远程端口转发配置和遇到的问题,并提供了一个待研究的链接,以便进一步了解SSH端口转发。
内网穿透 SSH端口转发 远程访问 云安全 端口安全 配置管理 网络监控
0xc 史上勒索病毒识别、解密工具最全汇总(附部分工具下载地址)
必火安全 2020-12-03T19:30:00 必火男神
本文提供了一系列针对工控系统勒索病毒的应急服务工具汇总。文章列举了多种勒索病毒解密工具,包括针对不同勒索软件的解密器,如777 Ransom、AES_NI Ransom、Agent.iih Ransom等,以及相应的解密工具链接。此外,还介绍了勒索病毒识别类工具,如腾讯勒索病毒搜索引擎、VenusEye勒索病毒搜索引擎等,以及解密类工具,如腾讯哈勃勒索软件专杀工具、火绒勒索病毒解密工具集合等。文章旨在帮助网络安全人员在实际工作中有效应对勒索病毒攻击。
勒索软件 工控系统安全 应急响应 安全工具 安全资源 网络安全防护 病毒分析 加密技术 恶意软件
0xd 手把手教你XSS漏洞常见类型挖掘方法
仙网攻城狮 2020-12-03T15:18:01 © 太白
本篇文章将讲解XSS三大类中一些细小分类漏洞挖掘方法和漏洞形成原理说明,附源码分析。
0xe 某生活服务App返回数据密文解析(一) Android Device Monitor定位
奋飞安全 2020-12-03T10:21:03 奋飞
本文深入分析了某生活服务App的返回数据加密问题。作者首先介绍了目标App和要分析的数据接口,指出数据加密程度较高。为了定位加密过程,作者尝试了多种hook技术,包括hook okhttp3.OkHttpClient和URL的开Connection方法,但未能直接找到getfeedcontent.bin接口的相关数据。随后,作者利用Android Device Monitor工具,通过方法跟踪和堆栈分析,成功定位到与数据接收和解密相关的函数。文章详细描述了如何使用Android Device Monitor进行方法跟踪,并展示了如何通过TraceView窗口分析方法调用链。最后,作者通过hook resolveData函数,成功获取了解密后的数据。文章强调了使用SDK自带工具的重要性,并提醒读者技术学习应遵守法律,不应用于非法商业目的。
应用安全 加密技术 逆向工程 Android安全 安全工具 代码审计
0xf Windows10安装mysql
Linux网络安全 2020-12-03T06:00:00
本文详细介绍了在Windows 10操作系统上安装MySQL数据库的步骤。首先,介绍了MySQL作为关系型数据库的流行原因,如开源、免费和兼容性好。接着,指导读者如何下载安装包并解压,然后通过命令行工具(需要管理员权限)安装MySQL服务。文章还说明了如何初始化数据库,生成初始密码,并提供了登录MySQL的命令。最后,文章指导如何修改MySQL的root用户密码,包括使用特定的认证插件以及如何重启服务以应用更改。整个过程涵盖了从安装到配置的各个方面,适合初学者参考。
数据库安全 操作系统安全 密码管理 服务配置安全 命令行安全
0x10 黑客是如何获取你账号密码的
仙网攻城狮 2020-12-02T14:18:49 © 太白
小心你的账号密码
0x11 实战性的IPV6 报文分析
网络技术联盟站 2020-12-02T08:21:32
0x12 被指责存在“潜在的安全隐患”后,TikTok修复了账户劫持安全漏洞
水网火安 2020-12-01T19:45:00
近日,社交媒体平台TikTok被发现存在两个安全漏洞,若结合使用,攻击者可轻松接管通过第三方应用程序注册的账户。字节跳动公司旗下的TikTok在全球范围内拥有庞大的用户群体,安装量超过10亿。德国漏洞赏金猎人Muhammed Taskiran在TikTok URL参数中发现了一个反射型跨站点脚本(XSS)安全漏洞和一个易受跨站点请求伪造(CSRF)攻击的API端点。通过这两个漏洞,攻击者可以更改账户密码,从而实现对账户的完全控制。字节跳动公司已在Taskiran报告后迅速修复了这些问题,并给予了3860美元的赏金。此外,公司去年还修复了其他可能导致账户劫持的漏洞,以防止攻击者利用TikTok系统操纵用户视频和窃取个人信息。
漏洞披露 账户安全 跨站脚本攻击 跨站点请求伪造攻击 移动应用安全 漏洞赏金计划 数据泄露风险 社交媒体安全
0x13 从攻击者角度解读防护思路
必火安全 2020-12-01T19:30:00 必火男神
本文深入探讨了网络安全中的红蓝对抗和安全防护服务的重要性。文章首先介绍了红蓝对抗的概念,即在网络安全中模拟黑客攻击与防御者的对抗,以评估企业安全性。接着,文章对比了渗透测试和红蓝对抗的区别,指出红蓝对抗更能模拟真实攻击场景,发现潜在风险。文章还分析了企业安全防护中常见的弱点,如资产混乱、通用中间件漏洞、边界设备问题等。此外,文章强调了安全防护体系的纵深性、联动性和全面感知的重要性,并提出了从外到内、从内到内、从内到外的安全防护策略。最后,文章强调了闭环安全运营体系的重要性,以及人员、技术、流程等多方面的综合提升对于网络安全防护的必要性。
红蓝对抗 渗透测试 高级持续威胁(APT) 0day漏洞 纵深防御 日志监控与分析
0x14 从蜜罐上线到1day发现
必火安全 2020-11-30T19:47:00 必火男神
本文讲述了网络安全学习者lazy小远在一次网络安全行动中的经历。在行动期间,作者遇到了大量误报和难以处理的替换,感受到了作为实习生身份的压力。尽管如此,作者在深夜服务器上发现了一台红队机器,并成功利用了PowerCreator CMS框架的文件上传漏洞。作者通过分析两个特定的webshell路径,发现这两个站点都是PowerCreator CMS框架,并进一步确认了通过任意文件上传扩展进行攻击的可能性。作者在CNVD数据库中找到了相关漏洞信息,并分析了漏洞的细节,最终成功复现了漏洞并实现了任意文件上传。文章详细描述了漏洞的发现、分析过程和利用方法,为网络安全学习者提供了宝贵的实战经验。
Web应用安全 漏洞分析 任意文件上传 漏洞利用 代码审计 红队技术 蜜罐技术 CS漏洞 PowerCreator CMS CNVD漏洞
0x15 Weblogic CVE-2020-14882~14883 exp脚本
我吃你家米了 2020-11-30T01:11:49 © 12138
可执行带空格命令废话不多说,直接上代码:import reimport sysimport requests
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
