- 博客(38)
- 收藏
- 关注
RSS订阅原创 卡巴斯基:2019年金融行业网络威胁趋势报告
一、方法论金融网络威胁是指针对在线银行、电子货币和加密货币等服务的用户发动攻击,或是试图获取对金融组织及其基础结构访问权限的恶意程序。通常,这些威胁都会伴随着垃圾邮件和网络钓鱼活动,恶意用户往往会创建虚假的金融主题页面和电子邮件,以窃取受害者的凭据。为了研究金融部门的威胁状况,我们的研究人员分析了卡巴斯基安全解决方案个人用户设备上的恶意活动。在客户同意与卡巴斯基共享数据的前提下,我们从企业...
2020-04-25 21:38:45
854
原创 FPGA芯片被曝无法修复的漏洞
近日,德国波鸿鲁尔大学和Max Planck网络安全与隐私研究所的研究人员合作在安全顶会usenix security 2020上发表了一篇名为The Unpatchable Silicon: A Full Break of the Bitstream Encryption of Xilinx 7-Series FPGAs的论文。在论文中,研究人员称在赛灵思(Xilinx)可编程逻辑产品中发...
2020-04-25 21:32:42
704
原创 来自“蓝茶”的问候:“你是不是疯了”,暗藏新的攻击手法
一、背景腾讯安全威胁情报中心检测到“蓝茶行动”攻击于04月17日进行了更新,此次更新在钓鱼邮件附件中加入了“readme.zip”,解压后是一个恶意的JS文件“readme.js”,同时该js执行过程中还加入了ByPass UAC功能(UAC为Windows自Vista之后引入的安全特性)。“蓝茶行动”攻击实际上是“永恒之蓝”下载器木马,由于该木马最新的版本在攻击过程中会安装名为“blue...
2020-04-25 21:31:09
962
原创 0 day预警:仅凭一封邮件就能黑掉你的iPhone
苹果用户请注意:上百万iPhone和iPad用户设备中安装的默认邮件app中发现了2个严重漏洞,远程攻击者利用这些漏洞只需发送一封邮件到受害者设备就可以完全控制苹果设备。攻击活动概述近日,ZecOps安全研究人员在苹果设备中安装的默认邮件app中发现了2个严重的越界写和远程堆溢出漏洞,其中一个是属于0点击(无交互)漏洞,可以在无需目标接收者交互的情况下被利用。这两个远程代码执行漏洞都位...
2020-04-25 21:29:15
320
原创 《火箭联盟》游戏迷要小心了!已有攻击者滥用HTTP路径正常化和缓存来窃取你的账户了
《火箭联盟》是一款由美国独立游戏工作室Psyonix开发的网络游戏。该游戏一经推出即在海内外获得好评无数,玩家数屡创新高,截至目前全球玩家数超过3000万;由于在过去的几年中,漏洞披露和漏洞赏金计划的使用已大大增加。现在,奇热这些计划几乎可以很容易地报告日常用户的安全漏洞,并快速发布关于安全报告处理的信息。在《火箭联盟》上寻找到的漏洞当黑客破解游戏时,他们总是首先关注的是游戏在网络...
2020-04-25 21:26:12
253
原创 攻击者伪装成思科的“关键更新”电子邮件进行网络钓鱼攻击窃取WebEx在线会议平台凭据
伪装成思科“关键安全咨询”的电子邮件实际上是网络钓鱼活动的一部分,旨在窃取受害者的WebEx凭据。日前,有一个网络钓鱼活动通过回收的思科安全公告来警告思科用户,称用户使用的思科系统有严重的漏洞存在,并敦促用户进行所谓的“更新”,而其实质则是窃取受害者用于Cisco WebEx Web会议平台的凭据。这个钓鱼活动是打算利用当前远程工作的浪潮来进行。受冠状病毒肆虐的影响,远程工作的劳动者已...
2020-04-25 21:22:39
916
原创 固件安全测试入门学习手册 (新手必看)
无论是公网连接还是独立网络,固件都是控制嵌入式设备的核心。因此,必须要了解如何分析固件以执行未授权的功能。要开始进行安全测试和固件逆向,在即将进行评估时,请使用以下方法作为指导。该方法包括九个阶段,旨在使安全研究人员,软件开发人员和信息安全专业人员能够进行固件安全测试研究。以下各节将在适用的情况下通过支持示例进一步详细介绍每个阶段。原文报告如下:https://scriptin...
2020-04-25 21:17:50
4154
原创 数字化浪潮下,DevSecOps的破局之战
近几年,DevOps变化得愈加成熟。企业不仅需要了解风险,更需要实施控制措施。Gartner2020年规划指南:安全和风险管理,2020年新的或显著增强的领域包括拥抱DevSecOps以实现跨基础设施的安全标准化和自动化,安全应该成为流程和自动化的一个组成部分。伴随企业经历越来越多向左转移,业务领先安全是天然的,因此暴露出诸多风险。为了更好的适应企业转移的距离和发展速度,通过DevSecOps模型...
2020-04-18 14:53:21
474
原创 多云管理与安全架构迁移
0x00、多云业务需求根据Gartner的定义,多云是指企业同时拥有两个或多个云计算平台,在部署的时候可能会使用公有云、私有云或两者的某种组合。用户的业务需求主要集中在以下几个方面:1、多云接入·对于国内公有云厂商,需要支持阿里云、腾讯云、华为云·对于国外公有云厂商,需要支持AWS、Azure、googleCloud·对于私有云需要兼容VMware、openstack...
2020-04-18 14:51:57
716
原创 Speculoos后门分析:利用CVE-2019-19781漏洞进行传播
背景3月25日,FireEye发布了一篇关于APT41组织近期攻击活动的文章。该攻击活动日期为1月20日——3月11日,主要利用近期公布的安全漏洞利用来攻击Citrix、Cisco、Zoho等网络应用。根据WildFire和AutoFocus数据,研究人员获得了攻击Citrix的payload样本,是运行在FreeBSD上编译的可执行文件。研究人员使用该数据发现了受害者遍布全球,位于医疗、高等...
2020-04-18 14:49:36
585
原创 如何与QEMU中启动的iOS建立TCP连接
前言由于Jonathan Afek的出色工作,我们现在可以使用QEMU来引导iOS映像。项目的当前状态允许执行任意二进制文件,比如bash(I / O通过模拟串行端口进行)。尽管通过串行外壳控制OS对于PoC非常有用,但我们需要一个更可靠的解决方案。控制远程系统时首先想到的是SSH:它允许连接多路复用,文件传输等等。但是,要获得所有这些好处,我们必须与iOS建立TCP连接。并且由于我们的Q...
2020-04-18 14:47:30
295
原创 攻击者如何使用AppleScript攻击macOS?
当我们考虑macOS的安全性和攻击者使用的工具时,无论这些攻击者是野外攻击还是渗透测试的真实工具,我们都会想到诸如python脚本、shell脚本、恶意文档、可疑扩展之类的东西,当然,还有伪造、篡改或恶意注入程序包。尽管AppleScript内置的macOS技术已经存在了很长时间,并且比macOS 10本身早了8到9年,但在安全领域,人们对它的关注却少得多。正如我将在以下文章中介绍的那样,...
2020-04-18 14:45:19
562
1
原创 你的 Android Keystore 认证有多安全?(上)
引言拥有特权的恶意软件或者可以实际访问安卓设备的攻击者是一个难以防范的攻击向量。 在这种情况下,你的应用程序如何保持安全性?本文将讨论 Android keystore 机制以及在尝试实现安全本地身份验证时遇到的困难。 通过提供对 AndroidKeystore 的介绍,你将能够理解与密钥存储库相关的常见漏洞。 本文的核心将重点介绍可用于审计应用程序的本地身份验证的开发工具。 最后将提供关...
2020-04-18 14:43:25
1186
原创 微软发布Type 1字体解析远程代码执行漏洞补丁,建议用户尽快修补
漏洞背景3月23日,微软发布公告ADV200006称Adobe Type Manager Library中存在2个未修补的漏洞,当Windows Adobe Type Manager Library处理Adobe Type 1 PostScript 格式字体时存在两个远程执行代码漏洞。攻击者利用漏洞可在多个场景实施攻击,比如说服受害者在Windows的预览中访问一个特殊构造的文档。4月15...
2020-04-18 14:40:20
547
原创 CVE-2019-14040/14041:高通芯片漏洞影响安卓设备
8个月前,Zimperium (zLabs)安全研究人员向高通报告了2个kernel漏洞,影响含有高通芯片集的安卓设备。漏洞CVE编号为CVE-2019-14040和CVE-2019-14041,攻击者利用这些漏洞和CVE-2017-13253、 CVE-2018-9411、CVE-2018-9539漏洞组合起来可以让恶意app实现完成root权限。提权后,app可以:·读取设备上存储的...
2020-04-18 14:36:40
333
原创 BEC攻击愈演愈烈,怎样才能根除这种攻击?
近年来,商业邮件欺诈 (Business Email Compromise,BEC)攻击在流行性和创新性方面都得到了发展。BEC 欺诈各不相同,但它们一般都有一个共同点,就是瞄准那些拥有金融控制权的工作人员(无论其是在大型或小型组织中),然后对其实施有针对性的鱼叉式网络钓鱼攻击。最常使用的手段就是电子邮件账户接管或欺骗,欺诈者会冒充目标的同事或老板,有时候还会冒充 CEO、供应商甚至是另一...
2020-04-10 14:43:24
519
原创 杀不死的Xhelper
2019年中,卡巴斯基研究人员在安卓智能手机上发现了一起xHelper 木马发起的大规模攻击,但目前该恶意软件仍在活跃。xHelper的主要特征是“杀不死”,一旦安装到手机上,即时用户卸载、删除,甚至恢复出厂设置也无法完全将其从手机中清除。研究人员分析了xHelper 是如何在手机上实现这么彻底的驻留的。2019-2020年间xHelper 木马攻击数量分析xHelper工作原理研...
2020-04-10 14:39:48
510
原创 SystemedMiner再次更新,使用Socket5中转访问C&C
0x0 概述最近,深信服安全团队捕获到SystemdMiner挖矿木马最新变种,该家族在2019年被首次发现,起初因其组件都以systemd-命名而得名,但慢慢的,它们开始弃用systemd的命名形式,改为了随机名。深信服安全团队通过C&C域名、脚本、定时任务等特征确认该病毒为SystemdMiner最新变种,本次变种的不同点在于更新了C&C域名及连接C&C域名的方...
2020-04-10 14:38:48
504
原创 Phorpiex僵尸网络技术分析(一)
一、概述截至目前,Phorpiex僵尸网络已经至少感染了1000000台Windows计算机。此前,我们曾经详细介绍了僵尸网络的架构、命令与控制基础结构以及加密劫持的方法,详细可以参考翻译文章《暴利营生的背后:揭秘Phorpiex僵尸网络的赚钱体系》、《肆虐的性勒索邮件,躺赚的Phorpiex botnet幕后人员》。在本文中,我们将详细介绍该僵尸网络用于实现恶意模块的技术细节。Pho...
2020-04-10 14:36:42
1444
原创 D-Link DSL-2640B设备多个最新漏洞利用分析
0x01 漏洞背景我在D-Link DSL-2640BDSL网关中发现了几个漏洞,由于设备是EoL状态,因此这些漏洞可能不会被打补丁。在EoL设备中发现的漏洞通常具有无限寿命,尽管Shodan仅扫描出两个设备,但不应忽略这些漏洞的影响。https://eu.dlink.com/uk/en/products/dsl-2640b-adsl-2-wireless-g-router-wit...
2020-04-10 14:26:09
417
原创 对抗中的主动防御 —— HW及小规模网络对抗的战术
1.序言2016年4月,国家领导人在网络安全和信息化工作座谈会上发表重要讲话指出,“网络安全的本质是对抗,对抗的本质是攻防两端能力的较量。”同年,《网络安全法》颁布,出台网络安全演练相关规定:关键信息基础设施的运营者应“制定网络安全事件应急预案,并定期进行演练”。自此实战化的“HW行动”成为惯例。结合四年来HW的经验,以及对近年来国内外实战对抗的总结后,我认为要想把HW和小规模网络对...
2020-04-10 14:18:57
3532
原创 Donot Team APT组织移动安全事件披露
概述:Donot Team是一个疑似具有南亚某国政府背景的APT组织,其主要针对巴基斯坦等南亚地区进行网络间谍活动。该APT组织除了以携带Office漏洞或者恶意宏的鱼叉邮件进行恶意代码的传播之外,还擅长伪装成系统工具、服务等应用在移动端进行传播。该APT组织的攻击活动最早可追溯到2016年,传播的恶意软件大都具有比较完善的窃取用户隐私数据的功能,窃取的用户隐私数据包括短信、联系人、通讯录、通...
2020-04-10 14:16:11
494
原创 远程云端执行:逐步探寻Azure云基础架构中的高危漏洞
一、概述谈到云安全,我们就不得不提到,一部分客户往往盲目地信任云服务商自身提供的安全保障,而不再做额外的防护。纵观近几年来爆出的流行云漏洞,也许大家会认为,其中大多数漏洞都集中在客户端应用程序安全性上(包括不正确的配置或应用程序自身存在漏洞),而云服务商的基础架构本身则很少出现漏洞。但是,我们希望大家能够明白,云基础架构往往并不是绝对安全的。在本文中,我们将展示在Azure Stack上发现的...
2020-04-10 14:13:00
324
原创 Rocke Group团伙新挖矿变种AliyunMiner分析
0x0 背景介绍近期,深信服安全团队捕获到Rocke Group黑产团伙运营的新挖矿病毒,该病毒通过ssh爆破、ssh免密登录、redis未授权访问漏洞以及redis弱密码爆破、jenkins远程代码执行漏洞以及jenkins弱口令爆破和ActiveMQ远程代码执行漏洞进行传播的挖矿病毒。深信服安全团队对该挖矿木马进行了详细的技术分析,并根据其传播域名特征将其命名为AliyunMiner。...
2020-04-09 18:08:01
898
原创 赛宁谈靶场:国际分析及理想化模型
导语赛宁网安聚焦网络安全攻防对抗核心技术,是国际领先的专业网络靶场提供商,产品远销全球二十多个国家。“赛宁谈靶场”是赛宁网安结合市场需求,以及自身多年实践积累推出的系列文章,围绕网络靶场领域国际形势、理想靶场模型、最佳实践等进行的深入探讨。网络靶场全景化视图网络靶场概述赛博空间与物理空间的界线不再清晰,针对赛博空间的网络攻击也从造成系统故障、经济损失转变为造成社会瘫痪、危害生命...
2020-04-09 18:05:23
828
原创 利用新型冠状病毒疫情的恶意软件分析
SonicWall Capture研究人员发现一款恶意软件利用CoViD19疫情,通过覆写MBR(主引导记录)文件使得受影响用户的硬盘不可用。感染链恶意软件执行后,会在临时文件夹中释放一些帮助文件:其中一个helper文件名为coronavirus.bat,将自己识别为coronovirus Installer,负责执行大多数的设置安装工作。恶意软件会创建一个名为COVID-19的...
2020-04-09 18:01:53
289
原创 Maze勒索软件的最新样本分析
Maze勒索软件以前也被称为“ChaCha勒索软件”,于2019年5月29日被Jerome Segura发现。Maze的最重要特征是,如果受害者不付款,他们将在互联网上发布受害者信息。从上图可以看出,Maze的攻击已经遍布全球。Maze的历史从历史上看,该恶意软件使用不同的技术来获取进入权限,主要是利用漏洞利用工具包,具有弱密码的远程桌面连接或通过电子邮件模拟,或通过不同的代理...
2020-04-09 17:53:30
1409
2
原创 儿童游戏软件中隐藏着Tekya木马风险预警
概述:广告软件通常通过弹出式窗口、横幅广告、内文链接等广告方式来呈献广告内容,主要是为了提高相关网站、产品知名度。这能为软件开发商带来一定的广告收入。而广告木马软件则通常通过单击链接和其他交互式元素来模拟网页上的用户操作,实现无声地模拟与广告网站的交互如点击广告提高网站访问率或自动订阅付费服务,从而增加广告带来的收入。继2020年2月,Clicker木马新家族-Haken木马通过在Google...
2020-04-09 17:47:08
171
原创 Azure 云端环境中的攻击防御与检测
摘要在我的文章《攻击Azure,Azure AD及PowerZure介绍》中,我提供了几种攻击Azure和AzureAD的策略、技术和过程(TTPs),并发布了利用PowerZure来自动化操作其中的一些内容。我坚信,当一个新的战术或工具开发出来后,防守指南应该遵循以帮助蓝队从这些战术或工具中获得安全感。不幸的是,Azure对于发生在Azure内部的操作的日志记...
2020-04-09 17:43:48
811
原创 Holy water: 针对亚洲的定向水坑攻击
2019年12月4日,卡巴斯基研究人员发现了一些水坑攻击网站,这些网站可以利用伪造的Adobe Flash更新来选择性地触发顺带下载攻击。该攻击活动自2019年月开始活动,主要攻击对象是亚洲的民族和宗教组织。研究人员分析发现攻击者使用的工具仍在开发中,其中使用了Sojson混淆、NSIS安装器、python、开源代码、GitHub、Go语音和基于Google Drive的C2信道。截止目前...
2020-04-09 14:59:08
396
原创 书荒季 | “超长待机”的假期,收好这份信息安全书单!
如果您近期感到十分不安和惶恐,那么请相信您不是一个人!为了阻止新型冠状病毒(COVID-19)的进一步传播,世界各地的人们都开始隔离状态,“享受”足不出户就能为国家做贡献的“高光时刻”,不过,奇热这也就意味着我们所有人都急需一些方法来消磨这段“超长待机”的假期时光。无疑,新型冠状病毒改变了网络安全从业人员的生活和工作方式。企业必须实施业务连续性计划,并鼓励员工在家办公,即便以前他们并不支持...
2020-04-09 14:57:31
256
原创 CVE-2020-0796 Windows SMBv3 LPE Exploit POC 分析
0x00 漏洞背景2020年3月12日微软确认在Windows 10最新版本中存在一个影响SMBv3协议的严重漏洞,并分配了CVE编号CVE-2020-0796,该漏洞可能允许攻击者在SMB服务器或客户端上远程执行代码,3月13日公布了可造成BSOD的poc,3月30日公布了可本地特权提升的poc, 这里我们来分析一下本地特权提升的poc。0x01 漏洞利用原理漏洞存在于在srv2.s...
2020-04-09 10:48:57
397
原创 神秘APT组织利用IE和Firefox漏洞攻击中国和日本
日本国家互联网应急中心(JPCERT / CC)研究人员发现有APT组织利用今年已经修复的IE和Firefox中的2个漏洞对中国和日本发起攻击,这两个漏洞是CVE-2019-17026和CVE-2020-0674。CVE-2019-17026是Firefox浏览器中的安全漏洞,该漏洞已于今年1月发布了安全补丁。CVE-2020-0674是影响IE的安全攻击,微软已于1月修复了该安全漏洞。攻击概...
2020-04-08 19:20:09
334
原创 心灵捕手:勒索软件是如何运用心理战术达到攻击目的?
对于用户来说,勒索软件是网络攻击者使用的最可怕的一种武器。据估计,仅在美国,因勒索软件造成的损失就达到了75亿美元,而在加拿大,因勒索软件造成的损失就也达到了23亿美元,毫无疑问,全球都能感受到勒索软件的存在,而造成的损失更是难以估量。但除了直接和间接的经济损失外,勒索软件还运用了深层的心理犯罪机制来攫取最大利益,这让它区别于其他形式的网络攻击。与其他所有类型的恶意软件相比,勒索软件在发起...
2020-04-08 19:18:28
755
原创 如何对Android系统中的应用软件进行渗透测试
开发应用程序时,必须使应用程序尽可能安全,尤其是在处理敏感的用户信息时。要确定应用程序安全性的薄弱环节,最好由移动安全专家对其进行渗透测试。在本文的示例中,我们将使用OkHttp,因为它是一个完善的库,并且是Android社区中最受欢迎的库。另外,在这篇文章中,我们将集中讨论网络,特别是TLS协议,以及在连接到特定web服务时如何使应用程序尽可能安全的技巧。TLS连接如今,大多数应...
2020-04-08 19:16:58
857
原创 Hoaxcalls僵尸网络:利用CVE-2020-8515/5722漏洞
概述CVE-2020-8515漏洞POC今年3月发布后,就被用于新的DDoS僵尸网络中。进一步分析表明该恶意软件也在利用CVE-2020-5722漏洞进行传播。检测到的攻击流量自2020年3月31日以来增加了一倍,表明许多Grandstream UCM6200 和Draytek Vigor设备已经被感染或正在被攻击。Grandstream设备是基于IP的商用电话系统,Draytek是路由器设备...
2020-04-08 19:05:37
1405
1
原创 危险的外围设备:Windows和Linux系统的计算机内部安全隐患研究
WIFI适配器、USB集线器、触控板、笔记本电脑摄像头、网络接口卡中的未签名固件为恶意攻击者入侵笔记本电脑和服务器提供了多种途径。在最新研究中,Eclypsium在来自Lenovo,Dell,HP和其他主要制造商的计算机中使用的WiFi适配器,USB集线器,触控板和相机中发现了未签名的固件。然后,我们展示了通过网络接口卡对服务器的成功攻击,该网络接口卡具有三大服务器制造商各自使用的未签名固件。...
2020-04-08 19:03:11
795
原创 利用Safari浏览器的7个0-day漏洞利用链劫持相机
0x01 漏洞背景想象一下,当你在一个网站上看到一条消息有人劫持了你的相机和麦克风在监视你,这正是这一串漏洞可以做到的。当在Desktop Safari(Mac)或Mobile Safari(iPhone或iPad)上查看时,此漏洞允许恶意网站伪装成受信任的网站。然后,黑客可以使用其身份获取用户的隐私,之所以可行,是因为Apple允许用户在每个网站上永久保存其安全设置。如果恶意网...
2020-04-08 19:01:45
1491
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人