2023年 第52周 微信公众号精选安全技术文章总览
洞见网安 2023-12-25
0x1 信息窃取恶意软件现在包括 Google 会话劫持
HackSee 2023-12-31T12:31:09 HackSee安全团队
据网络安全公司CloudSEK报道,一种名为Lumma Stealer的信息窃取恶意软件即服务(MaaS)产品自去年11月以来已经具备了操控身份验证令牌的功能,这使得黑客能够在受害者更改密码后仍能持续访问其Google账户。此恶意软件利用了OAuth 2.0协议的安全漏洞,该协议常用于单点登录(SSO)认证。Lumma Stealer被认为是首个采用‘黑盒’策略来隐藏其操作细节的信息窃取器,这增加了检测和防御的难度。此外,这一漏洞利用技术显示了攻击者对谷歌身份验证机制的深入理解和复杂应用。据CloudSEK透露,该漏洞由一个名为PRISMA的攻击者首次披露,并迅速在多个恶意软件组织间传播开来,包括Rhadamanthys、RisePro、Meduza等。此漏洞的利用可导致会话持久性,即使受害者更改密码或中断会话,也能维持有效的认证状态。这为攻击者提供了持续访问受害者Google账户及其关联服务(如云端硬盘、电子邮件等)的机会,可能导致严重的隐私泄露及滥用风险。
信息窃取 身份验证令牌操纵 账户持久性攻击 恶意软件即服务(MaaS) OAuth 2.0安全漏洞 黑盒攻击 网络犯罪市场 零日漏洞利用 会话劫持
0x2 免杀对抗-内存加载-shellcode转换-UUID+MAC+IPV4
小黑子安全 2023-12-31T08:26:12 © xiaoheizi
内存加载-UUID地址-ShellCode转换介绍:通用唯一识别码(UUID),是用于计算机体系中以识别信息
0x3 免杀对抗-无文件落地和分离拆分-文本提取+加载器分离+参数协议化+图片隐写
小黑子安全 2023-12-30T08:37:39 © xiaoheizi
无文件落地\x26amp;分离拆分 无文件落地\x26amp;分离拆分其实就是内存免杀,内存免杀是将shellcode直接加载进内存,由
0x4 浅谈jenkins后渗透
黑熊安全 2023-12-29T14:13:20
何为jenkinsjenkins是一个自动化服务器,支持开发者在软件开发过程中自动化各种任务,如构建、测试和
0x5 为期四年的后门 iphone 使用未记录的硬件功能
HackSee 2023-12-29T10:05:42 HackSee安全团队
攻击者所针对的秘密硬件功能使他们能够绕过高级内存保护,从而启用后利用技术并损害系统完整性。
0x6 免杀对抗-java-shellcode免杀-源码修改+打包exe
小黑子安全 2023-12-29T09:23:00 © xiaoheizi
JAVA-ShellCode免杀-源码修改\x26amp;打包EXEShellcode-生成/上线1.msf生成shell
0x7 免杀 | 一文教你如何写自己的反沙箱工具
闻道安全攻防实验室 2023-12-29T08:43:43
本文主要介绍了如何编写自己的反沙箱工具,以学习网络安全知识。文章首先声明了测试目的仅限于学习,并提醒读者不要未授权进行渗透测试。接着,文章解释了反沙箱技术的概念,即检测虚拟环境运行软件的技术。通过一个漏洞实例,作者展示了如何使用一个反连平台来识别沙箱环境,并提供了制作一个Python脚本并将其打包为exe文件的步骤。文章中详细介绍了如何编写一个简单的反沙箱代码,该代码通过检查当前用户的whoami值来判断是否在沙箱环境中运行。此外,文章还提到了其他可以用来识别沙箱环境的特征,如环境变量和系统信息。最后,文章鼓励读者举一反三,探索更多可能的特征。
网络安全研究 漏洞利用 Python编程 渗透测试 免杀技术
0x8 JWT认证绕过的几种基操
汤池杂货铺 2023-12-28T12:19:36 © Gundam3389
也许正真的美猴王早已死在真假之争中,六耳猕猴成功转型成了未来的斗战胜佛。
0x9 Mallox 勒索软件被发现使用新的 PowerShell 脚本逃避 AMSI 检测
HackSee 2023-12-28T11:00:31 HackSee安全团队
Mallox 勒索软件组织自 2022 年以来主要针对印度公司,其攻击链中关键的 PowerShell 脚本最近更新,增加了绕过 AMSI 检测的代码。AMSI 是 Windows 系统中用于扫描脚本的接口,允许杀毒软件在执行前检测恶意脚本。Mallox 使用的 PowerShell 脚本通过导入 Kernel32.dll 和 Amsi.dll,初始化相关 API,然后利用 shellcode 覆盖 Windows Defender 注册的 MpOav.dll 中的函数,从而绕过 AMSI 检测。脚本成功绕过检测后,会继续执行下载恶意软件的任务。文章强调了了解和防御此类绕过技术的重要性,并推荐使用如 K7 Total Security 等可靠的安全产品来保护设备。
勒索软件 PowerShell 恶意使用 AMSI 绕过 恶意软件防御 Remcos RAT Mimikatz 使用
0xa 攻击者利用已有6年历史的 Office 漏洞传播间谍软件
金瀚信安 2023-12-28T10:38:27 工业互联网安全
据Dark Reading网站消息,有攻击者正利用已存在6年的微软Office 远程代码执行 (RCE) 漏
0xb 一套火绒高级威胁防护HIPS规则
黑白之道 2023-12-28T10:20:18
本文介绍了基于MITRE ATT&CK™框架和恶意软件行为特征编写的火绒高级威胁防护(HIPS)自定义规则。这些规则旨在检测、阻止和拦截各类恶意软件和高级持续性威胁(APT)的攻击,包括无文件攻击、漏洞攻击和加密勒索等。规则具有较高的可扩展性和可维护性,便于社区开发者使用。文章详细说明了规则内容,包括Office漏洞攻击防护、勒索软件防护、无文件攻击防护以及流行恶意软件家族防护等。同时,提供了导入和使用自定义规则的步骤,并提醒用户在更新规则时手动删除旧规则。最后,强调了文章中的技术、思路和工具仅供安全学习交流,禁止非法用途和盈利行为。
安全防护 恶意软件防护 高级持续性威胁防护 漏洞防护 勒索软件防护 无文件攻击防护 自定义规则 社区开发者友好 网络安全工具
0xc K8s攻击案例:组件未授权访问导致集群入侵
黑白之道 2023-12-28T10:20:18
本文详细分析了K8s集群中常见的组件未授权访问漏洞及其攻击场景和过程。文章首先介绍了API Server未授权访问的情况,包括8080和6443端口的配置不当可能导致的安全风险。接着,文章分析了kubelet未授权访问的风险,包括匿名用户和授权模式的配置错误。此外,文章还讨论了etcd未授权访问的漏洞,以及kube-proxy和Dashboard的不安全配置可能导致的集群入侵。文章通过具体的攻击场景和攻击过程,展示了攻击者如何利用这些漏洞来接管K8s集群。最后,文章提醒读者,这些技术、思路和工具仅供安全学习交流使用,禁止非法用途和盈利目的。
Kubernetes Security API Server Vulnerability Kubelet Security etcd Security Kube-proxy Vulnerability Dashboard Security Intrusion Detection Misconfiguration Vulnerability Attack Scenario Analysis
0xd 免杀对抗-C+go语言-混淆+防反编译+分离
小黑子安全 2023-12-28T10:06:53 © xiaoheizi
C#\x26amp;NET-ShellCode-生成/上线一、生成:1.msf生成C#语言的shellcode命令:msf
0xe 【已复现】Apache OFBiz 未授权远程代码执行漏洞(CVE-2023-51467)
安恒信息CERT 2023-12-27T19:08:45
近日,安恒信息CERT监测到Apache OFBiz存在一个未授权远程代码执行漏洞(CVE-2023-51467),该漏洞允许攻击者绕过身份验证,通过后台接口执行代码,从而控制服务器。目前该漏洞的技术细节和PoC尚未公开,但安恒研究院已成功复现。Apache OFBiz是一个基于Java的企业应用套件,广泛应用于多个行业。该漏洞的CVSS3.1评分为9.8,属于严重等级。官方已发布修复版本,建议用户尽快升级。安恒信息有多款产品可检测和防护此漏洞,受影响资产分布在全球多个国家,其中中国国内资产占比253。
远程代码执行 Apache OFBiz 未授权访问 Java应用安全 应急响应 漏洞修复 网络安全监测 网络空间资产测绘
0xf 利用DNS重绑定在Chrome、Edge和Safari中实现瞬间DNS重绑定的攻击技术
天津恒御科技有限公司 2023-12-27T08:00:22
本文介绍了在Chrome、Edge和Safari中实现可靠的DNS重绑定的新技术,并讨论了绕过本地网络限制的
0x10 免杀对抗-PowerShell-混淆+分离
小黑子安全 2023-12-27T07:34:07 ©
本文介绍了如何通过混淆技术对抗安全软件对PowerShell脚本的检测。首先,演示了两种PowerShell脚本的生成和执行方式:一种是直接执行PS1文件,另一种是执行TXT文件中的命令。然后,展示了如何通过手工混淆和项目混淆两种方法来绕过安全软件的检测。手工混淆包括对变量进行Base64编码和解码,以及添加垃圾数据来干扰安全软件。项目混淆则介绍了使用Invoke-Obfuscation工具进行脚本混淆的步骤,包括加载模块、设置脚本路径、选择编码方式和输出文件。文章最后指出,即使是使用混淆技术,知名的混淆项目也可能被安全软件记录并检测到,因此需要不断更新和改进混淆技术以提高绕过检测的能力。
PowerShell 混淆 免杀技术 网络安全 恶意软件 代码执行
0x11 铭说|GoTitan僵尸网络针对ActiveMQ的漏洞利用攻击
聚铭网络 2023-12-26T17:08:23
最近披露的影响 Apache ActiveMQ 的重大安全漏洞正被威胁者积极利用,以传播一种名为 GoTitan 的基于 Go 的新型僵尸网络,以及一种名为 PrCtrl Rat 的 .NET 程序,该程序能够远程控制受感染的主机。
0x12 APT集团UAC-0099瞄准乌克兰,利用Winrar漏洞
黑猫安全 2023-12-26T12:04:00 鹏鹏同学
APT集团UAC-0099持续对乌克兰进行网络攻击,利用WinRAR软件的高危漏洞CVE-2023-38831传播LONEPAGE恶意软件。该组织自2022年年中起便针对乌克兰,特别关注在境外工作的乌克兰员工。2023年5月,乌克兰CERT-UA警告UAC-0099对国家组织和媒体代表进行网络间谍攻击。8月初,该组织通过ukr.net邮箱服务,冒充利沃夫市法院发送含恶意附件的钓鱼邮件。攻击链通过HTA、RAR和LNK文件附件,最终部署VBS恶意软件LONEPAGE,该软件能检索键盘记录器和信息窃取器等额外有效载荷。Deep Instinct报告指出,UAC-0099利用WinRAR漏洞,该漏洞的POC在GitHub上可获取。WinRAR 6.23版本于2023年8月2日发布,修复了该漏洞。报告强调,尽管感染媒介不同,UAC-0099依赖于PowerShell和创建计划任务来执行VBS文件。WinRAR的手动更新特性使得许多用户可能仍在使用易受攻击的版本。
APT攻击 恶意软件 网络钓鱼 漏洞利用 社会工程学 信息窃取
0x13 免杀对抗-Python-混淆算法+反序列化-打包生成器-Pyinstall
小黑子安全 2023-12-26T07:58:21 ©
Python-MSF/CS生成shellcode-上线cs上线1.生成shellcode-c或者python
0x14 基于时间侧信道的linux内核堆泄露攻击方法
数缘信安社区 2023-12-26T07:00:43 © 刘铮
本文探讨了基于时间侧信道的Linux内核堆泄露攻击技术,该技术利用了SLUB分配器在不同分配路径上消耗时间存在差异的特性,通过构造特定场景来提高基于堆的漏洞利用的成功率。SLUB分配器是Linux内核默认的堆内存管理机制,负责小对象的内存分配。攻击者可以通过测量分配新对象所需的时间,判断是否触发了最慢的分配路径(即创建新slab),进而推测堆内存的分配状态。文中以Out-Of-Bounds (OOB) 漏洞为例,展示了如何利用时间侧信道提高OOB攻击的成功概率。此外,文章还提出了两种防御措施:一是均匀化SLUB分配对象所需的时间,但这会带来较大的性能开销;二是随机化SLUB最慢路径的调用,此方法可以在几乎不影响性能的情况下有效抵御此类攻击。最终,论文证明了基于时间侧信道的方法能显著提升堆内存漏洞的利用成功率,并提出了有效的防御策略。
0x15 利用 SeroXen RAT 针对 .NET 开发人员的恶意 NuGet 软件包
水网火安 2023-12-25T15:24:23
网络安全公司Phylum发现了一个针对.NET开发人员的恶意NuGet软件包,名为Pathoschild.Stardew.Mod.Build.Config。这个恶意软件包伪装成合法软件包的篡改版本,用于部署SeroXen RAT远程访问木马。攻击者还发布了其他六个伪装成加密服务库的软件包,累计吸引超过210万次下载。恶意软件包通过tools/init.ps1脚本启动,该脚本在不触发警告的情况下执行代码。Phylum分析发现,该脚本用于从远程服务器下载一个混淆的批处理脚本,最终部署SeroXen RAT。这一攻击链利用了Visual Studio对init.ps1脚本的认可,即使在JFrog弃用后,该脚本仍会在安装NuGet软件包时运行。
恶意软件包 软件供应链攻击 RAT(远程访问木马) NuGet软件包管理器 PowerShell脚本 加密服务库 下载量分析
0x16 免杀对抗-ShellCode上线+回调编译执行+混淆变异算法
小黑子安全 2023-12-25T10:47:07 ©
C/C++ --ShellCode-免杀对抗介绍: shellcode是一段用于利用软件漏洞而执行的代码,s
0x17 『漏洞复现』记 Openfire 身份认证绕过漏洞导致 RCE
黑白之道 2023-12-25T10:05:31
本文介绍了Openfire身份认证绕过漏洞(CVE-2023-32315)的详细分析。Openfire是一款开源的实时协作服务器,基于Java语言开发,广泛应用于企业内部通讯和社交平台。本文首先介绍了Openfire的基本功能和漏洞影响范围,包括不同版本的受影响情况。接着,作者详细描述了漏洞环境搭建过程,包括使用vulhub漏洞环境启动Openfire服务器。然后,通过漏洞复现步骤,展示了如何利用该漏洞绕过身份认证,创建未授权用户,并最终实现远程代码执行(RCE)。文章还提供了加固建议,包括及时更新、强化安全设置、检查插件和扩展以及定期进行安全审计,以提高Openfire系统的安全性。最后,作者强调了文章内容仅供安全研究与讨论之用,严禁用于非法用途。
Openfire 漏洞 身份认证绕过 远程代码执行(RCE) 漏洞复现 Java 应用安全 开源软件安全 安全加固
0x18 Windows系统 微信分身(多开)
玄武盾网络技术实验室 2023-12-25T09:30:50 南方以南
本文详细介绍了在Windows系统中实现微信分身(多开)的步骤。首先,通过复制微信快捷方式的路径,创建一个新的文本文档,并将路径粘贴到文档中,修改为以start开头的命令,以便同时打开多个微信。接着,保存文档为.bat格式,以便自动运行。运行该批处理文件后,可以打开微信的登录界面,并分别输入账号和密码登录。此外,文章还提供了如何修改批处理文件的图标和名称的详细步骤。最后,声明了文章内容的来源和版权声明。
操作系统安全 软件安全 脚本安全 多开软件安全 用户权限安全 文件操作安全 快捷方式安全
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
