2021年 第39周 微信公众号精选安全技术文章总览
洞见网安 2021-9-27
0x1 微软:Windows MSHTML 漏洞现在被勒索软件团伙利用【软件安全(研)】
水网火安 2021-10-01T19:20:51
微软近日披露,勒索软件团伙正在利用其最近修补的Windows MSHTML远程代码执行安全漏洞(CVE-2021-40444)。这些攻击始于8月18日,比微软发布的安全公告早了两周多。攻击者通过恶意制作的Office文档利用该漏洞,作为分发自定义Cobalt Strike Beacon加载器的初始访问活动。研究发现,这些攻击与多个网络犯罪活动相关,包括勒索软件。在漏洞公开披露后,微软观察到利用尝试的大量增加。为了应对这一威胁,微软建议用户立即应用安全更新,并提供了解决方法以减少攻击面。该漏洞影响Windows Server 2008至2019和Windows 8.1或更高版本的系统。
漏洞利用 勒索软件 Windows安全 威胁情报 软件安全 补丁管理 远程代码执行 Cobalt Strike 网络犯罪活动
0x2 海康威视部分产品命令注入漏洞风险提示
安恒信息CERT 2021-09-30T17:42:27
近日,海康威视官方发布安全公告,指出多款产品存在命令注入漏洞,漏洞编号为CVE-2021-36260。该漏洞可能导致攻击者在受影响的设备上执行任意命令,从而控制目标设备。受影响的产品包括多个型号和版本,详细列表可在官方公告中查看。目前漏洞细节和利用代码尚未公开,但建议用户及时安装官方提供的修补程序,并配置访问控制策略以降低风险。安恒应急响应中心提供了进一步的安全建议。
设备安全 漏洞公告 命令注入 产品安全 网络安全 应急响应 漏洞利用
0x3 一篇文章弄懂session的两种存储方式
蚁景网络安全 2021-09-30T16:20:00 © Lxxx
本文主要探讨了PHP中session的两种存储方式:PHP序列化格式和PHP默认处理器。默认情况下,PHP使用内部格式存储session,但可以通过ini_set函数设置为其他格式。文章详细分析了这两种存储方式的差异,并通过实验代码展示了如何在Cookie和服务器端tmp目录中存储session数据。特别指出,如果开发者在不同页面使用不同的session处理器,可能会引发反序列化注入的安全问题。文章通过一个CTF赛题实例,演示了如何利用session存储中的安全漏洞进行攻击。最后,文章推荐了一些PHP代码审计的最佳实践和资源,强调了代码审计在Web安全中的重要性。
Session管理 序列化安全 Web安全 PHP安全 CTF挑战 代码审计
0x4 Windows更新、修复剩余 PrintNightmare漏洞
中科天齐软件安全中心 2021-09-30T11:00:00
微软近期发布了一系列安全更新,旨在修复名为PrintNightmare的严重漏洞CVE-2021-34527,该漏洞存在于所有Windows个人电脑和服务器中,允许攻击者获取最高系统权限并运行任意代码。尽管微软已经发布了两个安全更新,但安全研究员Benjamin Delpy发现了另一个漏洞,允许攻击者通过远程链接打印服务器获得系统特权。此外,微软还发布了一个新的安全更新,修复了CVE-2021-36958漏洞,并删除了之前定义的缓解措施。同时,微软还修复了一个被积极利用的Windows MSHTML零日漏洞。安全专家警告,这些漏洞可能被勒索软件团伙利用,因此尽快安装安全更新至关重要。
Windows更新 PrintNightmare漏洞 安全补丁 系统权限提升 域控攻击 勒索软件 安全策略 漏洞修复 网络安全
0x5 铭说 | 新型勒索软件PYSA浅析
聚铭网络 2021-09-29T17:45:50 © 聚铭安全研究院
PYSA勒索软件是Mespinoza勒索软件的变种。PYSA代表“Protect Your System Amigo”,于2019年12月被首次命名,也就是
0x6 DNS重绑定攻击
河南信安世纪 2021-09-29T17:19:51
DNS重绑定攻击的用法有很多种,这篇文章主要理解DNS重绑定攻击的原理,并介绍如何通过DNS重绑定来攻击内网设备。为了更好的理解DNS重绑定攻击,我们先从Web浏览器的同源策略开始介绍。
0x7 一款专门针对高质量女性的易语言钓鱼样本简单分析
蚁景网络安全 2021-09-29T16:20:00 © rootkit
本文是关于一款针对高质量女性的易语言钓鱼样本的简单分析。作者以学习者的身份,通过静态和动态分析的方法,对样本进行了深入研究。样本使用独立编译方式,运行时会在临时目录创建文件夹并释放多个PE文件。通过动态调试,发现了样本释放了多个支持库文件,包括系统核心、应用接口、拓展界面等。样本运行后会创建999个文本文件,并修改桌面图标,同时还会播放音频和视频。此外,样本还包含恶搞功能,如分块屏幕显示和修改exe文件图标。文章最后推荐了恶意代码分析实战课程,旨在帮助读者掌握分析技术。
恶意软件分析 钓鱼攻击 易语言编程 静态分析 动态分析 API hooking 支持库分析 恶意行为 安全防护建议
0x8 【内网渗透】NLTM网络认证之PTH攻击【详解】
黑客街安全团队 2021-09-28T19:47:04 © Sh4d0w_小白
本文深入探讨了内网渗透中常用的PTH攻击手法。文章首先介绍了NTLM认证的分类,包括本地认证和网络认证,并详细解释了认证的实质和过程。重点介绍了网络认证的NTLMv1和NTLMv2两种版本,以及它们的工作原理,包括挑战/应答模式下的协商、质询和验证步骤。接着,文章解释了NTLM协议版本之间的区别,包括Challenge的长度和加密算法。随后,文章重点讨论了哈希传递攻击(PTH)的原理,包括如何利用获取到的ntlm-hash进行登录实战,并演示了使用mimikatza工具进行PTH攻击的示例。最后,文章讨论了为什么使用PTH以及PTH是否可以进行喷射攻击的问题,并给出了相应的答案。
内网渗透 认证攻击 哈希传递攻击 Windows安全 网络安全工具 密码学 渗透测试
0x9 新型银行木马ZE Loader【软件安全(本)】
水网火安 2021-09-28T18:31:58
近期研究人员发现了一种名为ZELoader的新型银行木马恶意软件,该软件通过伪装成合法软件安装后门,实现对用户设备的远程访问,窃取用户凭据。ZELoader利用DLL劫持隐藏恶意行为,并将恶意资产保存在合法软件文件夹中,以躲避防病毒软件检测。攻击者通过合法应用程序的二进制文件传播恶意DLL,并在用户访问银行网站时诱骗输入凭据。ZELoader具有高度隐蔽性,行为更为复杂,给用户带来重大损失。为防范此类木马,建议安装防病毒软件、保持系统更新、删除未使用应用、禁用不必要的远程连接、谨慎处理电子邮件以及咨询银行客服。
银行木马 恶意软件分析 DLL劫持 伪装技术 防病毒软件 用户教育 操作系统安全 远程连接安全
0xa 使用Frp的stcp实现安全内网穿透访问
WalkingCloud 2021-09-28T00:01:00 ©
本文详细介绍了使用FRP(Frp)的STCP(secret TCP)功能来实现安全内网穿透访问的方法。文章首先描述了使用FRP内网穿透的场景,并介绍了STCP的概念,它能够保护服务不被未授权访问。接着,文章提供了一个具体的拓扑环境,包括A内网和B内网,以及它们之间的需求场景,即通过云主机实现内网穿透访问。文章详细说明了在A内网和B内网的CentOS7.9虚拟机上安装和配置frpc客户端的步骤,包括下载、安装、配置frpc.ini文件、设置防火墙以及启动frpc服务。最后,文章展示了如何通过Teamviewer软件进行验证测试,并总结了使用STCP进行内网穿透的优势,如无需在云主机上开放其他端口,以及提到了未来可能尝试的P2P点对点内网穿透方法。
0xb 二维码扫码登录发生了什么
河南信安世纪 2021-09-27T17:26:38
二维码最常用的场景之一就是通过手机端应用扫描PC或者WEB端的二维码,来登录同一个系统。比如手机微信扫码登录PC端微信,手机淘宝扫码登录PC端淘宝。那么就让我们来看一下,二维码登录是怎么操作的。
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
