2019年第49周微信公众号精选安全技术文章总览

洞见网安 2019-12-9

0x1 原创干货 | Oracle注入简单挖掘-绕过姿势

云众可信 2019-12-13T18:00:56 © tkswifty

本文主要探讨了Oracle数据库注入的绕过姿势。文章首先介绍了在SQL注入测试中，如何通过优化Payload来提高成功率，特别是在WAF和Filter的防护下。文章详细分析了WAF和SQLiFilter的工作原理，指出了一些设计缺陷，如数据检测方式存在缺陷，以及如何利用这些缺陷绕过WAF进行SQL注入。例如，通过使用上传POST包提交数据，并植入恶意的注入攻击语句，可以绕过WAF的检测。文章还讨论了如何修改Content-Type值来绕过WAF的数据检测。此外，文章还提到了如何使用替代函数绕过WAF的规则检测，例如使用decode()代替case when，使用lpad()代替substr()等。最后，文章还讨论了如何绕过Web应用中的filter，并给出了一些具体的绕过示例。

SQL注入网络安全 WAF绕过 Oracle数据库 Web应用安全渗透测试安全漏洞安全策略

0x2 PyPI上发现带恶意代码包风险提示

安恒信息CERT 2019-12-13T13:59:39 ©

本文报道了PyPI（Python Package Index）上发现的恶意代码包风险。研究人员发现，python3-dateutil和jeIlyfish两个包被植入了恶意代码，这些代码实际上是python-dateutil和jellyfish的仿冒版本。恶意代码主要存在于jeIlyfish包的特定文件中，其功能是盗取本地的SSH和GPG密钥，并发送到指定的服务器。官方已经删除了这些恶意代码，并提供了相关讨论链接。影响版本包括python3-dateutil的多个版本和jeIlyfish的两个版本。文章建议检查代码库中是否存在恶意代码，并提醒用户使用PyPI的Python环境进行恶意代码筛查，以防止遭受恶意仿冒攻击。

供应链安全开源安全恶意软件分析软件安全审计 Python社区安全

0x3 Snatch勒索软件曝光，允许黑客接管系统并获取文件

ISEC安全e站 2019-12-10T15:03:08 ISEC安全e站

Sophos的研究人员发现了一种名为Snatch的勒索软件，该软件能够让黑客在Windows系统上隐藏并窃取文件。黑客利用合法的sysadmin工具和渗透测试工具包，如Cobalt Strike、Advanced Port Scanner等，来规避大多数防病毒软件的检测。一旦获得访问权限，黑客会添加注册表项和Windows服务，强制重启所有工作站以开始文件加密过程。目前，攻击目标主要是公司、公共或政府组织。Sophos建议使用强密码或多重身份验证来保护在互联网上公开的端口和服务，以预防此类攻击。

勒索软件系统入侵数据加密网络安全防护渗透测试

0x4 基于CimCmdlets的横向移动攻击检测研究与实现

信息安全与通信保密杂志社 2019-12-10T11:55:19 © cismag

本文针对网络安全中日益重要的横向移动攻击问题进行了深入研究。文章首先介绍了横向移动攻击的概念、常用手法和技术原理，特别是攻击者如何利用Windows操作系统的WMI（Windows基础设施管理）技术进行无文件隐藏的横向移动。接着，文章详细阐述了基于CimCmdlets的横向移动攻击检测方法，包括信息搜集、事件异常检测、隐藏数据检测和凭据使用分析四个模块。通过这些模块，安全团队能够有效追踪攻击者的活动路径，评估影响范围和损失。文章最后通过在模拟环境中进行的测试，验证了检测模型的有效性，并提出了对未来横向移动攻击研究的建议，强调了对防御体系构建、主动感知能力和应急处置机制等方面的重要性。

横向移动攻击入侵检测网络安全防护 Windows安全 CimCmdlets APT攻击安全测试与评估网络安全研究

0x5 原创干货 | u200bATT&CK之CMSTP分析

云众可信 2019-12-09T18:00:00 © manre

att\x26amp;ck是一个知识大矩阵，本文是抠出矩阵中一个小知识点展开讲解。