2019年 第46周 微信公众号精选安全技术文章总览

    洞见网安 2019-11-18


    0x1 CVE-2019-1388Windows证书对话框特权提升漏洞

    信安灯塔 2019-11-23T16:47:44 信安灯塔

    Example Image


    CVE-2019-1388是Microsoft Windows Certificate Dialog的一个权限提升漏洞,该漏洞存在于多个版本的Windows服务器和客户端操作系统中。漏洞的描述指出,当Windows Certificate Dialog未正确处理用户特权时,攻击者可能利用此漏洞在提升的权限下运行进程。该漏洞于2019年11月12日被公开,并已由Microsoft发布补丁进行修复。文章中详细介绍了漏洞的利用方法,包括利用guest用户权限下载并执行特制的POC(Proof of Concept),通过一系列步骤提升至系统权限。同时,文章也提到了《网络安全威胁信息发布管理办法》的征求意见稿,鼓励读者提交意见。

    CVE Windows 特权提升 补丁 操作系统安全 漏洞利用 系统权限 安全漏洞公告


    0x2 Jenkins多个高危安全漏洞修复提示

    安恒信息CERT 2019-11-22T20:28:23 ©

    Example Image


    本文针对Jenkins官方于2019年11月21日发布的多个安全漏洞进行详细分析。这些漏洞包括CVE-2019-16538、CVE-2019-16539和CVE-2019-16540,分别涉及Script Security Plugin和Support Core Plugin插件。CVE-2019-16538可能导致任意代码执行,CVE-2019-16539和CVE-2019-16540可能导致任意文件删除。受影响的用户需要检查其安装的插件版本,并及时升级到安全版本。文章提供了影响范围、漏洞描述和缓解措施,建议用户关注官方安全公告和补丁更新,并启用安全设备来防范攻击。

    漏洞公告 Jenkins安全漏洞 代码执行漏洞 文件删除漏洞 插件安全 版本更新 网络安全加固 安全公告关注 WAF安全设备


    0x3 原创干货 | 【恶意代码分析技巧】15-恶意代码常见驻留分析

    云众可信 2019-11-22T18:01:57 © elfbin

    Example Image


    本文深入探讨了恶意代码实现内存常驻的技术,分析了多种技术手段,包括辅助功能攻击、MBR修改、COM劫持、屏幕保护程序、用户登录过程、SIP和信任提供程序注册、时间服务以及WMI事件订阅。文章首先介绍了Windows系统中的辅助功能,如放大镜、讲述人等,并解释了攻击者如何通过修改这些辅助功能的进程来执行恶意代码。接着,文章详细说明了如何修改MBR(主引导记录)以实现恶意代码的持久化。COM劫持部分解释了COM(组件对象模型)的基础知识,以及如何通过修改注册表来劫持COM组件执行恶意代码。文章还探讨了屏幕保护程序、用户登录过程、SIP和信任提供程序注册、时间服务以及WMI事件订阅等技术,这些技术都可以被攻击者用来实现恶意代码的持久化。最后,文章提供了一些参考文献,供读者进一步学习。


    0x4 Web登录认证类漏洞分析防御总结和安全验证机制设计探讨

    河南信安世纪 2019-11-22T11:28:32 爱信安世纪

    Example Image


    做渗透测试有一段时间了,发现登录方面的问题特别多,想做个比较全面点的总结,我尽量写的全面点又适合新人,这篇文


    0x5 启明星辰ADLab:关于近日门罗币供应链攻击事件分析

    ADLab 2019-11-21T18:44:40 启明星辰

    Example Image


    2019年11月,门罗币官方GitHub上出现对最新版门罗币客户端的问题报告,揭露了门罗币官方网站受到黑客入侵,导致客户端存在窃取用户关键信息的问题。这是首次针对加密货币客户端的供应链攻击。黑客篡改了客户端组件monero-wallet-cli,通过窃取门罗币seed来盗取货币所有权。恶意代码内置了三个C&C服务器,用于接收窃取的seed信息。分析显示,黑客通过篡改源码中的函数来实现窃取seed,并通过HTTPS POST方式发送给C&C服务器。启明星辰ADLab对攻击进行了分析,发现黑客使用了硬编码的CC服务器地址,并对这些服务器进行了追踪分析。该事件提醒用户加强网络安全,定期进行网站安全排查和加固,及时更新系统安全补丁。

    供应链攻击 加密货币安全 恶意软件分析 种子窃取 C&C服务器 SSL通信 网络安全意识 安全漏洞 网络安全事件分析


    0x6 【E周道】Google修复Gmail动态电子邮件漏洞 勒索软件伪装成Windows更新

    ISEC安全e站 2019-11-21T17:53:09 ISEC安全e站

    Example Image


    本周网络安全资讯包括:Google修复了Gmail动态电子邮件中的一个漏洞,该漏洞可能导致跨站点脚本(XSS)攻击;勒索软件伪装成Windows更新进行传播;梅西百货在线支付门户被植入Magecart读卡代码,导致数据泄露;某游戏开发商确认45万玩家数据泄露,原因是数据库备份存储在没有密码保护的公共Amazon Web Services存储桶中;路易斯安那州遭受勒索软件攻击,导致多个机构服务器脱机;门罗币官网遭遇恶意软件攻击;银行木马Mispadu利用麦当劳广告窃取用户信息,影响数十亿设备;赛门铁克防病毒软件发现严重漏洞,允许黑客执行恶意代码。以上事件均提醒用户应加强网络安全意识,及时更新软件和防病毒程序,防止信息泄露和恶意软件攻击。

    漏洞曝光 恶意软件 信息泄露 安全资讯 防护措施


    0x7 阻止内部和外部威胁:具有欺骗性的Microsoft Office 信标文件

    数据机器人 2019-11-21T12:03:23

    Example Image



    0x8 如何创建一个可执行的共享库

    泰晓科技 2019-11-20T09:00:53 吴章金

    Example Image


    本文详细探讨了如何在Linux下创建一个既可作为共享库又可直接执行的程序,类似于ld-linux.so和libc.so。文章首先介绍了ELF格式的四种文件类型,并对比了可执行文件和共享库的区别。通过实验,作者展示了直接编译生成的共享库无法直接执行,需要链接到其他可执行文件中。接着,文章介绍了两种实现方法:一是使用gcc支持的编译选项-pie、-fpie和-rdynamic,生成位置独立的可执行文件,并确保所有符号都导出到动态符号表;二是通过修改共享库的入口函数和.interp节区,使其可以直接执行。文章还深入分析了glibc的__libc_start_main函数,解释了为什么需要调用_start函数和_exit函数。最后,作者总结了两种方法的优劣,并建议读者进一步学习共享库、程序执行、动态链接等知识。

    Linux ELF 动态链接 编译选项 位置无关代码 (PIC) 二进制分析 内核原理 安全编程 逆向工程


    0x9 深度剖析 Linux共享库的“位置无关”实现原理

    泰晓科技 2019-11-20T09:00:53 吴章金

    Example Image


    本文深入探讨了Linux下C语言共享库的实现原理,特别是‘位置无关’(PIC)的概念。文章首先介绍了共享库的基本特性和优势,即多个可执行文件可以共享同一份库,以节省磁盘和内存空间。接着,详细解释了‘位置无关’的概念,即代码和数据在运行时不能被修改,且需要能够灵活映射到不同的虚拟地址空间。文章通过具体的例子,展示了如何通过编译器选项生成位置无关的共享库,并详细分析了动态链接器在处理位置无关代码时的作用。此外,文章还探讨了如何通过EIP相对地址来取代绝对地址,实现代码的位置无关性,并解释了相关的汇编指令和偏移计算过程。最后,文章提到了位置无关代码带来的内存使用灵活性、安全性和编译器默认选项等相关内容。

    操作系统安全 动态链接库安全 代码执行安全 内存安全 安全编程实践


    0xa 原创干货 | Thinkphp序列化合总

    云众可信 2019-11-19T18:02:02 © Decade

    Example Image


    最近Thinkphp几个版本都出了反序列化利用链,这里集结在一起,本文是复现文章,poc会放在最后

    Web应用安全 Thinkphp漏洞 漏洞复现 反序列化攻击 代码审计 安全漏洞 PHP安全


    0xb PHP一键免杀

    边界骇客 2019-11-19T17:49:13

    Example Image


    本文介绍了一种针对PHP Webshell的免杀方法。在实际渗透测试中,传统的Webshell由于使用了如eval、exec、system等敏感函数或文件内容特征,容易被杀软或WAF查杀。作者编写了一个PHP脚本,通过加密Webshell代码并使用其他函数解密内容来避免被查杀。文章详细描述了免杀思路、实现过程和源码,并提供了使用方法和效果展示。用户需要将Webshell文件中的敏感部分去除,通过一个简单的免杀界面填写参数,生成密钥key,访问加密后的Webshell时需要携带这个密钥作为cookie字段。此外,文章还提供了下载链接,读者可以通过公众号回复特定内容获取源码。

    Webshell PHP 渗透测试 免杀技术 安全工具 加密技术 后端安全


    0xc Apache Solr不安全配置远程代码执行漏洞预警

    安恒信息CERT 2019-11-19T17:42:14 ©

    Example Image


    近日,Apache Solr官方发布安全漏洞公告,修复了Linux环境下部分版本中存在的远程代码执行漏洞(CVE-2019-12409)。该漏洞源于默认不安全配置(ENABLE_REMOTE_JMX_OPTS=true)导致的RMI服务监听在TCP 18983端口,攻击者可利用公开的JMX漏洞利用工具执行远程代码。受影响的版本包括8.1.1和8.2.0,建议用户更新至8.3.0以上版本或修改solr.in.sh配置文件中ENABLE_REMOTE_JMX_OPTS字段值为false,并重启服务。此漏洞可能导致攻击者获取服务器权限,并进一步实施恶意活动,如植入后门或释放恶意程序。官方建议用户密切关注安全更新和采取相应的缓解措施。

    远程代码执行漏洞 Apache Solr 漏洞 安全配置问题 Linux 环境安全 软件更新与补丁 安全预警 JMX 漏洞利用 网络安全应急响应


    0xd WhatsApp MP4视频文件漏洞曝光,允许攻击者执行任意代码

    ISEC安全e站 2019-11-19T14:50:45 ISEC安全e站

    Example Image


    Facebook在一份安全公告中表示,WhatsApp严重漏洞,是缓冲区溢出流漏洞...


    0xe Apache Shiro Padding Oracle导致远程代码执行漏洞预警

    水网火安 2019-11-19T09:00:00

    Example Image


    Apache Shiro是一个广泛使用的Java安全框架,但近日发现其存在一个严重的远程代码执行漏洞。该漏洞由Padding Oracle攻击导致,攻击者可以利用Apache Shiro cookie中加密的rememberMe字段进行攻击。攻击步骤包括获取用户cookie中的rememberMe字段,利用Padding Oracle攻击构造恶意字段,并通过反序列化攻击实现任意代码执行。目前,Apache Shiro尚未发布官方补丁,因此建议用户及时自查并关注官方安全补丁的发布。受影响的版本包括Apache Shiro 1.2.5至1.4.1。为了防范攻击,建议在外部设备尝试拦截爆破流量,并及时阻止攻击者的尝试性攻击。

    Java安全框架 身份认证 会话管理 远程代码执行(RCE) Padding Oracle攻击 漏洞预警 360CERT 安全补丁 漏洞影响范围 防范建议


    0xf 印度APT组织攻击我国多个目标曝光

    水网火安 2019-11-19T09:00:00

    Example Image


    2019年10月,网络安全研究人员曝光了印度APT组织“蔓灵花”(Bitter)对我国多个目标的攻击活动。通过分析推特发布的信息,发现该组织的C2控制台控制了多个我国的IP地址。控制台界面展示了木马控制后台的主机信息,包括上线时间、主机版本、用户名、电脑名称等。攻击者可利用此控制台对目标设备下发任务,功能包括文件操作、进程管理、系统信息获取等。分析发现,此次攻击仅是蔓灵花组织在我国攻击活动的冰山一角,该组织自2017年末以来一直针对我国多个部委和重要行业单位进行攻击。此外,该组织的C2控制台存在多个漏洞,包括弱口令和目录遍历等问题。这表明印度网军在获取网络情报方面采取积极主动的网络攻击方式,我国已成为其攻击的主要目标。

    APT攻击 网络间谍活动 国家网络安全 印度网络安全威胁 木马攻击 C2控制台泄露 安全漏洞 网络安全分析


    0x10 端口敲门服务

    蘑菇安全小组 2019-11-18T17:34:09 wLHK

    Example Image


    端口敲门服务是一种网络安全技术,通过客户端按照特定顺序访问服务器预设的端口序列,服务器接收到正确的端口尝试序列后,动态修改防火墙规则,打开特定端口供访问。本文以CentOS 6.9服务器和Kali客户机为例,介绍了端口敲门服务的安装、配置和实现过程。文章详细说明了如何使用knockd服务在CentOS上设置端口敲门,包括安装必要的库、下载和安装knockd RPM包、修改配置文件以定义开启和关闭SSH端口(22端口)的端口序列和超时时间。此外,文章还讨论了端口敲门的优缺点,包括对端口隐藏的有效性、对网络延迟和发包次序的敏感性,以及如果knockd服务崩溃可能导致的问题。最后,文章简要探讨了端口敲门服务在Windows系统上的可行性及其对恶意扫描端口的影响。

    网络安全防护 防火墙策略 入侵检测 安全配置 网络协议 系统安全 实验教程


    0x11 权限维持——注册表

    水网火安 2019-11-18T17:05:35

    Example Image


    本文详细探讨了针对Windows注册表编辑器(Regedit)的攻击测试案例,主要分为常规持久性技术和隐藏注册表驻守两部分。常规持久性技术通常通过修改注册表的自启动项(如HKEY_CURRENT_USER(HKEY_LOCAL_MACHINE)SoftwareMicrosoftWindowsCurrentVersionRun)来实现,使得恶意程序在系统重启时自动执行。然而,这些操作通常无法通过Regedit查询到。文章进一步介绍了使用Windows Native API(如RegOpenKeyExA、NtSetValueKey、ZwQueryValueKey、NtDeleteValueKey等)进行注册表的创建、修改和删除操作。隐藏注册表驻守部分则利用了Regedit的缺陷,通过特殊构造的注册表项名称(以空字符开头)或对ValueData内容进行处理(如使用FilelessMalware技术),使得这些注册表项无法在Regedit中正常显示,但仍然能够在系统启动时执行。文章还提到了使用ntdll.dll和advapi32.dll库来调用相关API,并提供了C#代码示例来实现类似功能。最后,文章列举了相关的参考资料,如InvisibleRegValues_Whitepaper.pdf、渗透技巧——“隐藏”注册表的创建等。

    Windows 注册表 持久化攻击 Native API Win32 API 隐藏技术 文件less恶意软件 安全厂商关注点


    0x12 APT组织“响尾蛇”对巴基斯坦攻击事件报告

    水网火安 2019-11-18T17:05:35

    Example Image


    近期,国际知名APT组织“响尾蛇”再次发起攻击,此次目标锁定巴基斯坦海军。攻击手法与之前针对中国的攻击有所不同,但核心目的仍为窃取政府、能源、军事、矿产等领域的机密信息。攻击者通过伪装成巴基斯坦海军公共关系总局发布的新闻稿的快捷方式文件,诱使用户点击下载恶意软件,进而盗取电脑内的文件信息。该恶意LNK文件采用了一种名为Link文件路径的目标劫持技术,隐藏真实目标程序。瑞星安全研究院提醒相关企业用户提高警惕,加强网络安全防御措施,包括不打开可疑邮件、部署网络安全态势感知系统、安装有效的杀毒软件以及及时修补系统补丁等。

    APT攻击 钓鱼邮件 恶意软件 信息窃取 目标劫持 网络安全意识 威胁情报 安全产品 恶意软件防护 系统更新

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。