2024年 第31周 微信公众号精选安全技术文章总览
洞见网安 2024-8-5
0x1 b2661_[bagku] [MISC]_细心的大象 writeup
长弓三皮 2024-08-04T09:22:15 ©
文章详细介绍了如何解决一个名为“细心的大象”的CTF编码问题。首先,在Image XPComment处发现了一个base64编码的字符串,通过右键选择base64解码,得到了解码后的字符串。接着,使用binwalk工具检测文件,发现文件中包含多个文件。然后,使用[随波逐流]CTF编码工具提取出一个压缩包,并输入之前解码得到的密码。最后,通过拖入[随波逐流]CTF编码工具,成功找到了flagBUGKU{a1e5aSA}。文章还提供了软件及题目的下载链接。
0x2 XenoRAT:揭秘隐藏在远控工具背后的威胁案例
SecLink安全空间 2024-08-04T09:05:20 DarkLuke
XenoRAT是一款基于C#开发的开源远程访问工具,具备HVNC、实时麦克风访问、反向代理等功能。本文详细分析了XenoRAT作为新型远程木马的使用案例。首先,分析了XenoRAT的感染链,包括通过网络钓鱼电子邮件发送带有ZIP附件的方式,以及恶意软件作者如何利用LNK文件和PowerShell脚本绕过执行策略,将有效载荷文件下载到目标系统中。接着,文章深入探讨了XenoRAT的样本分析,包括LNK文件的属性检查、PowerShell脚本的执行过程,以及恶意软件如何通过沙盒结果进行流量抓包。此外,文章还分析了另一个感染链,其中恶意软件作者通过发送含有XLS文件的电子邮件,诱使用户启用宏,将有效载荷文件下载到系统中的Appdata文件夹。最后,文章提供了XenoRAT的威胁情报,包括一个具体的哈希值和相应的恶意网站链接。
远程访问木马 开源工具滥用 网络钓鱼 PowerShell利用 快捷方式文件(LNK)攻击 宏攻击 恶意软件分析 威胁情报
0x3 不太常见的Windows本地提权方法一览
蚁景网络安全 2024-08-02T16:30:14
本文深入探讨了Windows系统中的本地提权方法,分为工作组环境和域环境两大类。在工作组环境中,主要介绍了系统路径目录配置问题、DLL侧加载和Win32k提权等方法。系统路径目录配置问题源于应用程序或脚本配置不当,允许用户写入受限目录,从而实现提权。DLL侧加载则通过修改注册表项指向恶意DLL,在受害者运行应用程序时加载并执行恶意代码。Win32k提权利用Win32k子系统中的漏洞,通过控制菜单对象获得system权限。在域环境中,NTLM中继提权和Kerberos协议是常见的提权手段。NTLM中继提权通过截获和重放Net-NTLM Hash实现提权,而Kerberos协议则利用基于资源的约束委派或其他基于Kerberos的攻击进行提权。文章强调了根据不同环境选择合适的提权方法的重要性,并提出了相应的防御措施,如限制对受限目录的写入权限、使用数字签名、部署IDS/NIDS/NIPS等。最后,文章指出提权涉及的知识点众多,攻击者的水平和知识面和能力密切相关,应持续学习和完善防御策略。
0x4 攻防 | 一篇文章带你搞懂蜜罐
蚁景网络安全 2024-08-01T16:30:40
蜜罐是一种网络陷阱或诱饵,用于引诱攻击者远离真正的企业资产,帮助发现企业系统漏洞,提高攻击者的攻击门槛,并为安全运营提供有关攻击者的策略、技术和程序等信息。文章详细介绍了蜜罐的种类,包括电子邮件蜜罐、数据库蜜罐、恶意软件蜜罐、蜘蛛蜜罐、客户端蜜罐等,以及不同交互级别的蜜罐(纯蜜罐、高交互蜜罐、低交互蜜罐)。蜜罐的优点包括发现攻击特征、提高SOC监测和研判能力、提供恶意地址作为IOC参考指标、以及捕获内部威胁等。文章还讨论了蜜罐的运营方式,包括捕获、溯源和监视三个方面,并推荐了一些开源蜜罐工具,如Conpot、Whaler和Honeybits。最后,文章提出了蜜罐的合理搭配方式,建议企业外部使用重型蜜罐,内部全量部署轻型蜜罐,并结合人工智能或大数据工具进行数据分析,以提高攻击者的攻击成本,维护企业安全。
蜜罐技术 网络安全防御 威胁检测 攻击者行为分析 溯源追踪 安全运营 欺骗技术 低交互蜜罐 高交互蜜罐 蜜网 蜜币 面包屑 开源蜜罐 攻防演练 成本效益 工业控制系统(ICS)
0x5 漏洞通告 | Apache HTTP Server 信息泄露漏洞 (CVE-2024-40725)
晟晖科技 2024-08-01T07:00:00
Apache HTTP Server是一款广泛使用的开源网页服务器,近期晟晖安全团队发现了其存在一个信息泄露漏洞(CVE-2024-40725)。该漏洞是由于处理请求时未正确应用子请求的信任标志,导致攻击者可能利用间接请求文件配置泄露本地脚本文件的内容。受影响的Apache HTTP Server版本包括2.4.60和2.4.62,而Apache 2的所有版本也可能受到影响。为了防止安全风险,建议受影响的用户尽快安装官方提供的漏洞补丁,并升级至最新的安全版本。同时,建议用户进行资产自查和采取预防措施,以减少遭受黑客攻击的风险。官方已发布更新版本,升级地址为https://httpd.apache.org/download.cgi。
漏洞通告 Apache HTTP Server 信息泄露 CVE-2024-40725 安全漏洞 开源软件安全 补丁更新 安全建议
0x6 10076_[网鼎杯-2018][Crypto]_3-track_hacker
长弓三皮 2024-07-31T21:26:42 ©
[随波逐流]CTF编码工具:一站式编码解码解决方案,您的全能编码解码助手。
0x7 微软:VMware身份验证绕过漏洞正在被勒索团伙利用
金瀚信安 2024-07-31T14:59:08 工业互联网安全
7月29日,微软发出警告指出勒索软件的犯罪团伙正在利用VMware ESXi中的一个身份验证绕过漏洞来进行攻击
0x8 CVE-2024-21181 Oracle WebLogic Server 远程代码执行漏洞
观初科技 2024-07-29T13:54:06 小初团队-Olivia
CVE-2024-21181是一个影响Oracle WebLogic Server的远程代码执行漏洞。该漏洞允许未经身份验证的攻击者通过T3或IIOP协议执行任意代码,可能导致Oracle WebLogic Server被接管。受影响的版本包括12.2.1.4.0到14.1.1.0。为了缓解风险,建议临时禁用T3/IIOP协议,并在WebLogic控制台中设置相应的安全规则。此外,推荐安装官方提供的修复补丁以修复漏洞。Nessus和Qualys等漏洞库已更新以包含这一漏洞信息。
漏洞分析 远程代码执行 Oracle WebLogic Java应用程序 网络安全补丁 漏洞修复 企业级安全
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
