systemino-CSDN博客

原创如何在Excel中更好地隐藏恶意宏代码

你可能会问，为什么不简单地使用实际上不涉及工作簿的代码，以及主要原因是避免网络流量。当然，你可以简单地添加宏，这些宏会将每行代码添加到一个新文件中，以避免网络流量，但是这样做会使活动对于任何分析文档的人来说都是显而易见的，他们会在查看时立即看到新的代码行宏。使用这种方法，它使得对恶意文档的分析稍微困难一些，但是当然不是很多。注意：仅对文档运行oledump或olevba之类的工具将返回宏。此时你会看到，该宏正在从特定列中提取代码并使用Shell（）执行该代码，但该代码显然非常可疑：而且，如果我们

2020-10-11 21:31:58 749

原创 Metasploit Framework 4.17.0 本地提权漏洞分析

存在漏洞的msf版本：Metasploit框架-Rapid7（Windows）4.17.0测试用操作系统：Windows 10 1909（x64）漏洞描述：Metasploit Framework 4.17.0 （Windows）通过Windows XP 安装Metasploit框架时，存在本地提权漏洞（不受信任的搜索路径），该安装创建了4个服务。默认情况下，Metasploit Windows服务会自动运行（奇热服务会通过重新启动来启动/停止）。服务正在自动运行。然后用pr.

2020-10-11 21:27:52 211

原创黑客宣称可以越狱苹果T2安全芯片

近日，有黑客宣称利用checkm8漏洞利用和Blackbird漏洞这两个越狱iPhone的漏洞利用对使用苹果最新T2 安全芯片的Mac电脑和MacBook 笔记本设备进行越狱。因为这两个漏洞利用都非常复杂，将两个漏洞利用结合起来的方法分别在推特和reddit上公开了，有多名苹果安全和越狱研究专家对方法进行了验证和确认。成功融合这两个漏洞利用并成功利用后，用户或攻击者可以完全控制用户设备修改核心的操作系统行为，或提取隐私或加密数据，甚至植入恶意软件。苹果T2 芯片苹果T2 芯片是主流苹果计算机和笔

2020-10-11 21:06:26 774

原创一文了解如何有效的防护DDoS攻击

想象一下有人使用不同的电话号码一遍又一遍地打电话给你，而你也无法将他们列入黑名单。最终你可能会选择关闭手机，从而避免骚扰。这个场景就是常见的分布式拒绝服务（DDoS）攻击的样子。乔布斯（Steve Jobs）推出第一款iPhone之前，DDoS攻击就已经存在了。它们非常受黑客欢迎，因为它们非常有效，易于启动，并且几乎不会留下痕迹。那么如何防御DDoS攻击呢？你能否确保对你的web服务器和应用程序提供高级别的DDoS攻击防护？在本文中，我们将讨论如何防止DDoS攻击，并将介绍一些特定的DDoS保护和预

2020-10-10 17:44:24 559 1

原创 Shield——一个防止在macOS上进行进程注入的应用程序

最近有开发人员开发了一个基于Apple的Endpoint Security框架的应用程序（该应用程序的代码托管在GitHub上），可以防止macOS上的某些进程注入技术。但由于开发人员至今仍然没有获得生产端点安全性授权，因此无法发布已签名的版本。如果你想使用它，你至少需要获得开发端点安全授权。在过去的两年中，研究人员开始深入研究macOS安全性问题，随着研究的愈加深入，该研究人员发现除了内存损坏漏洞之外，macOS的首要问题是在其他应用程序的上下文中运行代码。奇热其原因在于macOS的安全模型（实际上也

2020-10-10 17:36:07 1024

原创 Apache被曝3个安全漏洞

Google Project Zero研究人员Felix Wilhelm 近日在Apache web服务器中发现了多个安全漏洞，分别是CVE-2020-9490、CVE-2020-11984和CVE-2020-11993。攻击者利用这些漏洞可以执行任意代码，在特定情境下还可以引发奔溃或拒绝服务攻击。CVE-2020-11984CVE-2020-11984 漏洞是mod_uwsgi 模块的缓冲区溢出引发的远程代码执行漏洞，攻击者利用该漏洞可以查看、修改和删除敏感数据，具体根据运行在服务器上的应用...

2020-10-10 17:31:14 1968

原创通过加密是否可以保护数据免受中间人攻击？

根据Domo 的“ Data Never Sleeps 6.0”报告，每天有超过250亿字节的数据被创建并上传到互联网上。这些数据很多都是保密的：个人信息，银行转帐，文件，凭证。在网络端点之间安全地传输这些数据是很重要的。TCP/IP是目前应用最广泛的数据传输协议，具有很高的兼容性。然而，TCP/IP漏洞对黑客来说是众所周知的。TCP协议使用开放通道进行数据传输，攻击者可以滥用此通道来访问、监听和修改流量。网络犯罪分子可以使用多种类型的攻击来拦截传输中的数据，这些攻击的模式、目标和部署各不相同。在这

2020-10-10 17:30:57 1194 1

原创 2020-10-10

近日，intezer研究人员在Microsoft Azure发现了2个安全漏洞。漏洞存在于Azure App Services 云服务中，主要影响Linux 服务器。攻击者利用第一个漏洞可以访问云服务器，并完全控制App Service的git库，并植入可以通过Azure Portal 访问的钓鱼页面。攻击者利用第二个漏洞可以利用一个SSRF 漏洞来提权到APP Service的完全代码执行，触发第一个漏洞。PoC视频如下所示：Azure App ServicesAzure App Servic..

2020-10-10 17:28:38 110

原创 Alexa上排名靠前的网站基本上都受到了CoinMiner挖矿病毒、恶意外部链接、Web skimmer攻击

Unit 42最近在Alexa上启动了一项针对全球前一万网站的威胁搜索活动，Alexa排名基于访问者的互动和访问次数来衡量网站的受欢迎程度。如表1所示，研究人员发现了四个受影响的网站。在随后的分析中，研究人员会更详细地描述这些恶意活动，其中就包括了CoinMiner挖矿病毒，它们劫持了CPU资源来挖矿加密货币。早在2017年CoinMiner就被发现，它是一款无文件的恶意软件，它会利用WMI(Windows Management Instrumentation)在感染的系统上运行命令，专家称，这款软件很..

2020-10-10 17:25:03 4404 1

原创 Linux内核(x86)入口代码模糊测试指南Part 2 （上篇）

在本系列的第一篇文章中，我们介绍了Linux内核入口代码的作用，以及如何进行JIT汇编和调用系统调用。在本文中，我们将为读者更进一步介绍标志寄存器、堆栈指针、段寄存器、调试寄存器以及进入内核的不同方法。更多标志（%rflags）方向标志只是我们众多感兴趣的标志之一。维基百科上关于%rflags的文章列出了我们感兴趣的其他一些标志：·bit 8：陷阱标志（用于单步调试）·bit 18：对齐检查大多数与算术相关的标志（进位标志等）并不是我们感兴趣的对象，因为它们在普通代码的正常运行过程中..

2020-10-10 17:11:40 683

原创 Linux内核(x86)入口代码模糊测试指南Part 1

在本系列文章中，我们将为读者分享关于内核代码模糊测试方面的见解。简介对于长期关注Linux内核开发或系统调用模糊测试的读者来说，很可能早就对trinity（地址：https://lwn.net/Articles/536173/）和syzkaller（地址：https://lwn.net/Articles/677764/）并不陌生了。近年来，安全研究人员已经利用这两个工具发现了许多内核漏洞。实际上，它们的工作原理非常简单：向内核随机抛出一些系统调用，以期某些调用会导致内核崩溃，或触发内核代码中可检测的

2020-10-10 17:09:24 387

原创活跃9年的XDSpy APT组织分析

ESET 研究人员近日发现了一个新的APT 组织——XDSpy，该组织从2011 年开始活跃，主要攻击东欧和塞尔维亚的政府组织并从中窃取敏感文件。XDSpy APT 组织从2011年开始活跃，但直到近日才被发现，很少有APT 组织能够活跃9年而不被发现。目标XDSpy APT组织的攻击目标主要位于东欧和塞尔维亚，受害者主要是军事、外交相关的政府机构以及少量的私营企业。图1 是已知的受害者分布情况：图 1. XDSpy 受害者地图归属研究人员经过仔细分析仍然没有发现XDSpy APT组

2020-10-10 17:02:43 293

原创二维码：一种隐秘的安全威胁

去年就有研究人员发现了一种新的网络钓鱼活动，该活动利用二维码将受害者重定向到网络钓鱼登陆页面，有效规避了旨在阻止此类攻击的安全解决方案和控制措施。比如去年针对法国的网络钓鱼攻击背后的攻击者就是使用了二维码编码的URL来绕过分析和阻止可疑的安全软件。由于二维码发布没有任何限制，二维码生成器又随时可从网上获得，因此很容易被一些不法分子利用，发布虚假信息进行欺诈。目前二维码骗局主要包括三种形式1.收款二维码。攻击者在正规二维码旁边贴上贴上攻击者收款的二维码。用户一旦没有辨别清楚扫到假的二维码，就会跳转..

2020-10-10 16:58:59 1797

原创 Project Zero 关于 Fuzzing ImageIO 的研究

这篇博客文章讨论了在新的上下文中的图像格式解析器中的漏洞：流行的Messenger应用程序中的无交互代码路径。这项研究的重点是Apple生态系统及其提供的图像解析API：ImageIO框架。我们发现了图像解析代码中的多个漏洞，并将其报告给Apple或相应的开源图像库维护者，然后进行了修复。在这项研究期间，针对闭源二进制文件的轻量级且开销低的引导Fuzzing方法得以实施，并与本博文一起发布。整个博客中描述的漏洞可以通过Messenger来访问，但不属于其代码库。因此，供应商需要修复它们。0x01 .

2020-09-02 13:05:20 322

原创新型恶意软件Bazar 的出现（下）

使用CryptCreateHash API调用中设置的MD5算法对从受感染设备收集的数据进行哈希处理，方法是将ALG_ID设置为0x8003，然后附加到互斥锁名称中。收集和哈希有关受感染设备的数据成功采集数据后，Bazar后门连接到C2服务器。如果连接失败，它将继续重试。这个版本的另一个有趣的方面是它如何使用本地地址从服务器获取数据。独步考虑到这是早期的开发版本，开发者可能是为了测试目的而使用这种方法。Bazar开发者可能的测试环境成功收集数据并连接到C2服务器后，后门将解析在H

2020-09-02 13:01:37 856

原创勒索软件的预防诀窍：如何减少攻击面

SentinelOne最近发布了一份关于企业的安全报告——《了解企业中的勒索软件》，这是一份全面的企业安全指南，可帮助组织理解、计划、响应和防范这种目前普遍存在的威胁。这篇文章就是选取了其中的部分章节，还原了一个关于如何减少攻击面的示例。随着网络办公成为一种常态，勒索软件攻击也呈现了上升态势，事实上，勒索即服务(Raas)和其相关产业所带来的好处（低风险和丰厚回报）表明，在可预见的未来，勒索软件将继续发展，独步并变得越来越复杂。勒索软件即服务模式是指，勒索软件编写者开发出恶意代码，并提供给其..

2020-09-02 12:56:29 644

原创 CertiK：SushiSwap智能合约漏洞事件分析

北京时间8月28日，CertiK安全研究团队发SushiSwap项目智能合约中存在多个安全漏洞。该漏洞可能被智能合约拥有者利用，允许拥有者进行包括将智能合约账户内的代币在没有授权的情况独步下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞，会导致潜在攻击者的恶意代码被执行多次。技术解析MasterChief.sol:131图片来源：https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterC...

2020-09-02 12:51:59 590 1

原创请及时打补丁 | 80%的漏洞利用公开时间早于CVE编号获得时间

Exploit DatabaseExploit Database 是最大的公开漏洞利用库。截至目前，Exploit Database中有45450个漏洞利用。图1左是按照漏洞利用类型分类的漏洞利用数和公布时间，图1右是按照平台分布的漏洞利用。统计数据表明web应用是2003之后最流行的漏洞利用。图1（左）按照漏洞利用类型分类的漏洞利用数和公布时间（右）按照平台分布的漏洞利用图2是CVSS 2.0评分和漏洞利用的严重等级。49%的漏洞利用为严重等级为high（CVSS >=7），45%的

2020-09-02 12:50:15 494

原创 Cisco IOS XR 0 day漏洞利用预警

上周末，思科官方发布安全公告称攻击者正在尝试利用Cisco IOS XR软件中的一个高危内存耗尽DoS 漏洞。Cisco IOS XR软件是运行在运营商级路由器上的。IOS XR网络操作系统部署在多个路由器平台上，包括NCS 540 、560、 NCS 5500、8000和ASR 9000系列路由器。漏洞分析该漏洞CVE编号为CVE-2020-3566，存在于IOS XR软件中的距离向量多播路由协议（Distance Vector Multicast Routing Protocol，DVMRP..

2020-09-02 12:47:06 416

原创沙盒逃逸编年史：对CVE-2019-0880漏洞的深入分析

0x01 漏洞分析这篇文章描述了splwow64.exe中的一个可利用的任意指针取消引用漏洞。此漏洞可以从Internet Explorer渲染器进程触发，并允许沙盒逃逸。该漏洞允许通过将特定的LPC消息制作到splwow64.exe进程，从而从低完整性进程中任意写入splwow64.exe的地址空间。该漏洞已经在Windows 7 x64和Windows 10 x64计算机上进行了测试。在本文中，我将描述该漏洞的位置以及如何利用该漏洞从Internet Explorer沙盒中实现完整的沙盒

2020-09-02 12:35:37 560

原创 APT黑客组织使用Autodesk 3ds Max软件的恶意插件来入侵公司系统

近期，APT黑客组织利用传统3D计算机图形Autodesk软件中的一个漏洞，开始对国际建筑和视频创作公司的系统进行新的网络间谍攻击。研究人员已经检测到了这个漏洞，并确认了是一个未知的黑客组织将恶意软件隐藏在3Ds Max插件中，攻击了来自世界各地的企业。该组织通过使用一个用于Autodesk 3ds Max软件的恶意插件进行间谍活动。独步而且经确定，APT雇佣组织还向出价最高者提供帮助，扩大针对目标受害者的复杂攻击和网络间谍工具。目标根据该报告，威胁参与者始终以与房地产开发商合作的公司...

2020-09-02 12:33:14 387

原创 Operation PowerFall攻击活动中的IE和Windows 0day漏洞

研究人员在Operation PowerFall攻击活动中发现了一个0 day漏洞——CVE-2020-1380。该漏洞是一个JS中的UAF漏洞，补丁已于2020年8月11日发布。IE 11远程代码执行漏洞利用最近发现的在野IE 0 day漏洞利用主要是依赖JavaScript 引擎jscript.dll中CVE-2020-0674、CVE-2019-1429、CVE-2019-0676和 CVE-2018-8653等漏洞。而CVE-2020-1380是jscript9.dll中的漏洞，从IE 9开

2020-09-02 12:29:59 148

原创注意！多款智能家居Hub存在远程代码执行漏洞

近日，有研究团队在三个不同的家庭集线器– Fibaro Home Center Lite，Homematic中央控制单元（CCU2）和eLAN-RF-003中发现了许多严重的安全漏洞。这些设备用于监视和控制欧洲及其他地区数以千计的家庭和公司中的智能家居。这些漏洞的潜在后果包括完全访问这些受监视系统中的中央和外围设备以及它们包含的敏感数据，未经身份验证的远程代码执行以及中间人（MitM）攻击。这些集线器主要用于家庭和小型办公室环境，但它们也为企业打开了潜在的攻击载体。如今，随着越来越多的员工在家工作，这一趋势

2020-09-02 12:23:40 513

原创提升远程办公安全性“三步曲

由于当前的全球疫情危机，许多企业已转变为远程办公模式。当我们面对未知的时代时，这种新的工作方式给企业带来了各方面的挑战，比如：生产力，公司士气、运营等方面。重要的一点是，企业领导者应该意识到采取远程团队工作时可能面临的潜在安全问题。福布斯指出，远程工作的方式会给您的企业带来风险，因为您的远程工作人员可能在工作时没有采取良好的网络安全措施。为了保护您的企业和远程团队，您应该考虑以下三种网络安全实践。评估风险在提高团队的安全性之前，您应该首先了解远程操作所面临的潜在威胁。通过这种方式，...

2020-08-26 16:33:59 295

原创邮件服务器安全性：潜在漏洞和保护方法

本文将讨论电子邮件服务器的安全性。这里介绍的安全措施将使您能够大大提高电子邮件服务器的保护级别，并防止任何攻击。1.简介1.1服务器安全性的挑战随着信息技术的不断发展，网络安全的作用越来越大。无法想象没有网络通信的世界会变成什么样子，现代世界几乎所有价值数据都以各种形式存储在服务器上，所以说整个系统的稳定性取决于服务器。这就是为什么服务器成为攻击目标的原因。1.2电子邮件服务器安全性电子邮件服务器的安全性尤为重要，因为电子邮件是最流行的通信和开展业务方式之一。尤其对于企业而言，丢失机

2020-08-26 16:30:22 2336

原创 OilRig又瞄准了中东电信组织，并在其代码库中增加了带有隐写术的新型C2通道（上）

语：OilRig，又名Helix Kitten或NewsBeef ，是一个主要活动于中东地区的APT组织。OilRig，又名Helix Kitten或NewsBeef ，是一个主要活动于中东地区的APT组织。据信该组织成立于2015年，并得到了伊朗政府的支持。该组织曾建立了一个虚假的VPN 门户网站，用于并传播具有合法数字签名的恶意软件，其攻击目标涵盖了沙特阿拉伯、以色列、阿联酋、黎巴嫩、科威特、卡塔尔、美国和土耳其等多个国家的政府机构、金融机构以及科技公司。Palo Alto Networks

2020-08-26 16:29:05 553 1

原创 Windows 组策略（Group Policy Object）机制的漏洞分析

Windows 组策略（Group Policy Object）机制的漏洞类大约有60个，专门针对策略更新步骤，允许域环境中的标准用户执行文件系统攻击，进而使恶意用户可以逃避反恶意软件解决方案，绕过安全性强化并可能导致对Windows 2000的严重攻击。组织的网络。这些漏洞会影响任何Windows计算机（2008或更高版本），并在域环境中提升其特权。如果你对这项研究的其他发现感兴趣，请查阅详细信息（第1部分和第2部分）。GPSVC使所有加入域的Windows计算机暴露给一个特权升级（EoP）漏..

2020-08-26 16:27:41 1420

原创 OilRig又瞄准了中东电信组织，并在其代码库中增加了带有隐写术的新型C2通道（下）

接上文使用隐写术隐藏数据有效载荷将从电子邮件附件中的C2接收数据，或将数据泄漏到C2，特别是在使用隐写术将图像隐藏在图像中的BMP图像中。有效载荷从BMP图像提取数据以从C2接收数据的方法与其隐藏数据以进行渗漏的方法相同，尽管研究人员没有观察到使用此方法发送命令的C2，但研究人员能够分析有效载荷以确定其如何发送消息并从系统中窃取数据。要使用此C2通道发送数据，有效载荷将读取以下默认安装的Windows上可用的图像：C:\ProgramData\Microsoft\UserAccoun...

2020-08-26 16:25:35 323 1

原创破解LastPass：即时解锁密码库

Lastpass是一个在线密码管理器和页面过滤器，采用了强大的加密算法，自动登录/云同步/跨平台/支持多款浏览器。LastPass的功能有：1. 创建强密码，只需用主密码登录一次；2. 自动填写表格，节省你的时间；3. 你经常访问的网站只需一次点击 ,无需重复输入密码；4. 无缝访问和管理来自多台计算机的数据；5. 与朋友分享登录和让别人分享你的登录信息；6. 使用一次性密码，屏幕和键盘时，可保持你的连接安全；7. 支持IE浏览器，并将与使用的其他浏览器保持同步，支持多台..

2020-08-26 16:07:41 1099

原创错误配置致数十家公司源代码泄露

由于基础设施的错误配置导致数十家公司源代码泄露，涵盖科技、金融、零售、食品、电商和制造业。泄露代码的公开库中包括微软、Adobe、联想、AMD、高通、摩托罗拉、华为海思、Mediatek、通用、任天堂、Roblox、迪斯尼、强生等，而且泄露列表仍在更新中。代码泄露是由逆向工程师Tillie Kottmann 从不同渠道以及错误配置的devop工具中获取的。Bank Security称，一位关注银行威胁和欺诈的研究人员发现该gitlab库中有超过50家企业的代码。虽然并不是所有的文件夹都进行计数了，但研究

2020-08-26 16:04:43 307

原创自动化逆向辅助利器 -- Capa工具介绍

概述近日，FireEye开源了一个逆向辅助工具capa，项目地址为：https://github.com/fireeye/capa，其目的是自动化提取样本的高级静态特征，快速地告诉用户该样本做了哪些恶意操作，同时该工具还随同发布了对应的IDA插件，方便逆向分析员快速定位恶意代码。工具运行的结果如下，它显示了当前样本的恶意行为，奇热以及对应的ATT&CK向量，如：混淆绕过、系统信息探测、C&C连接、持久化驻留等。安装使用命令：git clone --recurse-su

2020-08-26 15:58:07 2013

原创再度升级：深入分析针对金融科技公司的Evilnum恶意软件及组件

ESET团队详细分析了Evilnum恶意组织的运作方式及其部署的工具集，该工具集会针对金融科技行业中精心选择的目标发动攻击。0x00 概述ESET详细分析了Evilnum恶意组织的运作方式，Evilnum是Evilnum恶意软件背后的APT恶意组织，此前曾经针对金融科技类公司发动攻击。自2018年以来，该恶意组织就已经进入到人们的事业中，并且曾有研究人员对其分析，但是，此前却从没有研究过其背后的恶意组织以及运行模式。在本文中，我们将不同点结合起来，详细分析Evilnum的恶意活动。该恶意组织所针

2020-08-26 15:54:59 844

原创对通过 Web API 触发的 SharePoint RCE 漏洞的分析

近日，Microsoft发布了一个补丁程序，以修复 CVE-2020-1181 的Microsoft SharePoint Server版本中的远程代码执行漏洞，此文章更深入地研究了此漏洞的根本原因。在此补丁程序可用之前，SharePoint Server允许经过身份验证的用户在SharePoint Web应用程序服务帐户的上下文和权限中在服务器上执行任意.NET代码。为了使攻击成功，攻击者应在SharePoint网站上具有“ 添加和自定义页面”权限。但是，SharePoint的默认配置允许经过身份验证

2020-08-26 15:00:11 1459

原创 D-Link 5个安全漏洞

7月早些时间，研究人员爆出D-link 路由器固件镜像泄露了用来加密专用固件二进制文件的密钥。近日，又有ACE 团队研究人员爆出D-Link路由器的5个严重安全漏洞，攻击者利用这些漏洞可以实现网络入侵。此外，由于部分设备已经不再更新，因此无法修复。漏洞概述这些漏洞包括反射型XSS攻击、缓冲区溢出漏洞、认证绕过和任意代码执行，分别是：CVE-2020-15892CVE-2020-15892漏洞是基于栈的缓冲区溢出漏洞，漏洞位于ssi 二进制文件中，可能会引发任意命令执行。CVE-2020-

2020-08-25 11:44:12 2347

原创如何阻止烦人的广告？2020年最佳广告软件删除工具Top5

广告软件删除工具是比较实用的程序之一，用于阻止或删除网站上的烦人广告。浏览器已成为我们互联网之旅的重要组成部分，我们在网上寻找的所有内容都要通过浏览器进行引导。网上有很多免费软件可供使用，人们很可能会出于自己的原因下载它们，但是有些人并不知道一些软件并不是单独存在的。有的软件可能会包含恶意软件、间谍软件和广告软件，奇热下载安装后将成为用户系统中的寄生虫，从而导致不必要的崩溃和破坏。网络罪犯使用广告软件非法产生收入，广告软件可在计算机和移动设备上运行，通常以弹出窗口的形式出现。广告软件..

2020-08-25 11:42:06 595

原创近期针对工业企业和工控行业的APT攻击分析

有研究员发现了对不同国家/地区组织的一系列攻击。截至2020年5月上旬，日本，意大利，德国和英国已出现针对性的攻击案例。多达50％的攻击目标是各个工业部门的组织，攻击受害者包括工业企业的设备和软件供应商，攻击者使用恶意的Microsoft Office文档，PowerShell脚本以及各种使难以检测和分析恶意软件的技术。网络钓鱼电子邮件（用作初始攻击媒介）是使用每个特定国家/地区的语言使用文本自定义的。仅当操作系统的本地化与网络钓鱼电子邮件中使用的语言匹配时，此攻击中使用的恶意软件才会继续运行。例如，在

2020-08-25 11:39:39 551

原创 Advanced Practices：一款新型恶意监测工具的改进过程

2019年10月，亚伦·斯蒂芬斯（Aaron Stephens）在年度FireEye网络防御峰会上发表了“Scan't Touch This”演讲（幻灯片可在他的Github上找到）。他讨论了如何使用网络扫描数据进行外部检测，并提供了有关如何为犯罪和情报组织织使用的各种利用后框架构架命令和控制（C2）服务器的示例。但是，这些技术的手动应用无法扩展。如果您的角色只集中在一个或两个小组织上，可能会奏效，但是Advanced Practices范围要广泛得多。Advanced Practices需要一种能够使Ad

2020-08-25 11:37:29 229

原创 BootHole漏洞影响数十亿Windows和Linux设备

近日，研究人员在Secure Boot（安全启动）过程的核心组件中发现一个安全漏洞——BootHole，CVE编号为CVE-2020-10713。攻击者利用该漏洞可以修改启动加载过程。启动加载过程是在真实操作系统启动之前进行的，这一过程主要依靠启动加载器（bootloader），负责加载所有操作系统之上运行的计算机硬件组件的固件。BootHole是当下最流行的加载启动器组件GRUB2中的安全漏洞。GRUB2是大多数Linux 发行版的首选启动加载器，也是部分Windows、macOS和BSD系统的启..

2020-08-25 11:35:22 389

原创 Tor被曝多个0 day漏洞，官方给出回应！

安全研究人员Neal Krawetz 在7月23日和30日分别公布了2个影响Tor网络和浏览器的0 day漏洞技术细节，并称近期会发布其他3个漏洞的细节。有专家确认，利用这些漏洞中的1个可以对Tor服务器进行去匿名，获取真实的IP 地址。漏洞概述漏洞1在7月23日的博文中，研究人员描述了企业和互联网服务提供商如何通过扫描包签名的网络连接来拦截用户连接到Tor网络，因为Tor流量的包签名是独特的可以作为特征来识别的。更多技术细节参见：https://www.hackerfactor.c..

2020-08-25 11:33:20 438

原创 Open Banking安全性前瞻

近两年来，Open Banking（Open Banking服务）已经悄然成为金融科技热点，如果说推动金融与科技的融合是金融科技发展的1.0阶段，那么，Open Banking背后的金融数据共享，足以将金融科技带入到2.0时代。可以预见的是，金融数据共享必将推动银行和金融科技企业更深层次的协作和竞争，并重塑整个金融生态，从而引发全球金融巨变。但与此同时，Open Banking也给金融与科技的融合发展、行业监管、行业竞争态势带来全新的挑战。目前，Context已经与许多组织合作，帮助它们安全地与Op..

2020-08-25 11:32:00 417

空空如也

空空如也