yikesnews第13期:惠普笔记本音频驱动内置键盘记录器后门C:\Windows\System32\MicTray.exe...

点击阅读原文可点击链接

惠普(HP)预装的 Audio Driver 驱动套件中被发现了一个 Keylogger 键盘记录程序，可以确定的是2015年底就已存在。

按键记录器会通过监控用户所按下的键来记录所有的按键。恶意软件和木马通常会使用这种功能来窃取用户账户信息、信用卡号、密码等私人信息。

https://www.modzero.ch/modlog/archives/2017/05/11/en_keylogger_in_hewlett-packard_audio_driver/index.html

中文翻译

http://bobao.360.cn/learning/detail/3847.html

HP后门中文资讯

http://bobao.360.cn/news/detail/4159.html

点评：

防范措施

如果你的系统中存在下面两个文件，那么你的计算机上就存在这个按键记录器：

1 2	C:\Windows\System32\MicTray64.exe C:\Windows\System32\MicTray.exe

解决方案：各位hp笔记本的自查并删掉上面两个程序

HandBrake 被攻击事件中安插的恶意软件Proton分析

https://www.cybereason.com/labs-proton-b-what-this-mac-malware-actually-does/

PoshC2 中使用 Domain Fronting 技术隐藏可疑流量传输（看不见看不见）

https://inyour.network/blog/2017/Domain-Fronting-PoshC2/

汽车保险公司给我的卫星设备实时暴露着我的位置

https://www.andreascarpino.it/posts/how-my-car-insurance-exposed-my-position.html

Vanilla Forums <= 2.3 无需认证的远程代码执行漏洞的分析与利用（ CVE-2016-10033）

点评：Vanilla(vanillaforums)是一套便于定制、扩展的PHP开源轻型论坛程序。

https://exploitbox.io/vuln/Vanilla-Forums-Exploit-RCE-0day-Remote-Code-Exec-CVE-2016-10033.html

基于 DOM 的 AngularJS 沙箱逃逸

点评：AngularJS 是一个 JavaScript 框架。它可通过 <script> 标签添加到 HTML 页面。

AngularJS 通过 指令 扩展了 HTML，且通过 表达式 绑定数据到 HTML。

http://blog.portswigger.net/2017/05/dom-based-angularjs-sandbox-escapes.html

HexRaysPyTools

IDA 的一个插件，用于辅助创建类/结构体的信息

https://github.com/igogo-x86/HexRaysPyTools 

https://github.com/igogo-x86/HexRaysPyTools/blob/master/zeronights_2016.pptx

Windows 10 Creators Update 版本开始，基于固定地址（0xffd00000）的 HalpInterruptController Table 利用技术绝迹了，这个地址开始随机

点评：这个技术可以研究一下，估计很快会有新的绕过方法https://labs.bluefrostsecurity.de/blog/2017/05/11/windows-10-hals-heap-extinction-of-the-halpinterruptcontroller-table-exploitation-technique/

利用 Regsvr32 绕过 Applocker 的限制策略

点评：Regsvr32命令用于注册动态链接库文件，是 Windows 系统提供的用来向系统注册控件或者卸载控件的命令，以命令行方式运行。

https://pentestlab.blog/2017/05/11/applocker-bypass-regsvr32/

技术分享：

XXE漏洞攻防之我见

http://bobao.360.cn/learning/detail/3841.html

图片后门捆绑利用工具 – FakeImageExploiter

点评：很厉害

 

如何编写高质量的Windows Shellcode

http://www.freebuf.com/articles/system/133990.html

 

关于Android应用程序漏洞的防护措施

http://www.freebuf.com/articles/terminal/134018.html

乐固加固（17年1月）逆向分析

http://bbs.pediy.com/thread-217556.htm

威胁情报站源

https://www.blueliv.com/community/