360网络安全周报第165期

安全资讯

美警方用商业基因库抓罪犯,你的DNA信息被滥用了吗;“Black Hand”暗网交易市场被关闭;2018年俄罗斯世界杯:俄罗斯网络间谍可能破解球迷移动设备。
VDOO发现了几个Axis摄像头中的漏洞;web安全开发指南中文版首发;美CERT发布关于朝鲜APT的新预警;研究人员发现Google Home/Chromecast中的位置数据泄漏漏洞。
MuddyWater活动于2017年初首次出现,当时它针对沙特政府发动了通过微软Office Word 宏部署的PowerShell脚本攻击。在2018年3月,我们对另一起具有MuddyWater特征的活动进行了详细分析。
谷歌改口,将修复地理位置信息泄露问题;中国的黑客在卫星,国防和电信公司内部挖洞;冒充“95533”群发诈骗短信,这个“伪基站”团伙被一网打尽。
盘古有着全世界最屌的 iOS 越狱技术。但是正如武侠中的至尊从不出手伤人一样,盘古从不做黑客攻击。他们身上,流淌着对技术本身的敬畏。是以,他们是我最敬佩的黑客团队之一。

安全知识

作为攻击者,对强化目标的初始访问被证明可能是相当大的挑战。当为初始访问选择payload时,攻击者必须选择允许执行任意代码或使用最少用户交互执行shell命令的文件格式。
众所周知,在Windows操作系统中,在没有管理权限的情况下向用户帐户分配某些权限会导致本地权限提升攻击。我们发现了分配给普通用户的特权分配策略,我们能够利用这些策略来完全控制一个系统。
在处理我们的日常可疑样本时,我们对Android银行木马LokiBot的检测规则与LokiBot本身似乎完全不同的样本相匹配,这促使我们更仔细地研究它。
我们都知道用户在公共场所连接到开放的Wi-Fi非常容易,因此犯罪分子就可以将自己置于脆弱的Wi-Fi接入点,故此他们可以拦截网络流量并窃取用户的数据。
在2018年4月下旬,NCC集团的研究人员发现了少量利用CVE-2017-8750传播的恶意文档。这些文件的目的在受害者的机器上安装远程木马(RAT)。本文对文档及其payload进行了深入分析。
关于360 Marval Team IOT安全系列文章:该系列包括了多种受众较多并且有趣的设备,我们将在不产生公众影响的前提下将分析报告中的关键部分予以公开。目标是期待在攻防对抗的过程中,提升IOT产品的安全性。
Elon Musk称:大量高度敏感的特斯拉数据被泄露给第三方;Rex Mundi 黑客勒索组织被欧洲刑警组织抓获;GDPR案例研究和实践案例;Gartner:2018年最值得投入的十大安全项目。
一位安全研究人员今天提到,超过4300万个电子邮件地址从垃圾邮件僵尸网络的命令和控制服务器中泄露。
坎宁汉姆的定律是这样的:“在互联网上获得正确答案的最好方法并不是去问一个问题,而是发布一个错误的答案”。
世界第六大、韩国第二大虚拟货币交易所 Bithumb 刚刚宣布被黑且价值350亿韩元(折合3151万美元)的虚拟货币被盗。
除了已经开赛的世界杯,近日有两个事情备受关注。第一个是A站密码被盗。第二个是已经拉开帷幕的618年终大促。
2018年的重点还是weblogic,由我给大家剖析CVE-2018-2628及其他Weblogic经典漏洞,带大家傲游反序列化的世界,同时也是希望开发者多多借鉴做好安全编码。
本文将介绍Empire payload嵌入可信的PKG安装程序所需的步骤,并使用苹果自己的开发工具来帮助完成任务并绕过GateKeeper!
今年2月,我们使用一款安全漏洞扫描软件,在Spring Framework组件上至少扫描了100多个模块,包括核心部件(spring-core, spring-mvc)和可选组件(spring-data, spring-social, spring-oauth等)。
近日,360核心安全团队截获到一种隐藏在流氓推广中的隐私大盗,此类病毒有着正常的签名信息,伪装为其他软件压缩包的图标,在进行流氓推广的同时还收集了大量用户隐私数据。
近期,360核心安全团队接到用户举报多款流氓软件,包括屏幕亮度调节器、超级老板键等软件采取同一手法植入恶意代码并通过各大下载站传播,在用户电脑上偷偷执行远程代码,严重影响用户的信息安全。
在一切用户可控输入的地方,没有过滤输入内容,导致插入html代码,从而导致用户的信息泄露及其它的问题。本文就来探究在不同情形下执行XSS的情况。
题目首先给出一个公众号,本以为是一个签到题,没想到成为全场比赛我认为质量最高的题目。
最近ESET研究人员发现了一个新的AndroidRAT家族,在之前调查的IRRAT病毒和TeleRAT病毒的活跃程度时,我们发现了这个全新的恶意软件家族,这个家族至少从2017年8月开始就在传播。
缺乏足够的访问控制和授权,API中使用可预测的设备ID,以及密码重置机制的缺陷,都可能使Furbo所有用户的视频、家庭私密照片、语音消息被攻击者访问,攻击者甚至可以把食物扔给用户的宠物。
这里我们将对Spring Security OAuth2(CVE-2018-1260)中类似的RCE漏洞进行练习。我们将介绍攻击目标,它的发现方法和利用所需的条件。
自“Meltdown”和“Spectre”这两个名词出现以来,已经有一段时间了。媒体和信息技术(IT)安全社区的各个部门称这是他们近期遇到的最严重和最危险的两个安全问题。
APT15以针对位于许多不同国家的公司和组织的网络间谍活动而闻名,主要针对石油行业,政府承包商,军队等不同行业。他们以“living off the land”而闻名。
随着各个企业对安全的重视程度越来越深,安全思维已经从原来的表面工程逐渐转变为“开膛破肚”的内部工程,特别是在金融领域受重视的成都比较高,不区分语言,工程化的人工审计是未来几年的趋势。
在本文中,我们将学习“利用CronJobs进行权限提升”以获得远程主机的根访问权限,并且还将研究一种糟糕的cron job实现是如何导致权限提升的。
Ethernaut 是 Zeppelin 提供的一个基于 Web3 和 Solidity 的智能合约审计训练平台,目前收录了 15 道题目,复现了智能合约中可能出现的各种安全问题。
作为测试的一部分,客户端提供了对根目录的列目录功能。在用Burp Intruder模块发起完全扫描之前,我通过repeater模块,在几个选择的页面中仔细查找,发现了secret.html。

安全活动

2018年6月16日,在北京上演一年一度的“先知”白帽盛会。尊崇“白帽文化”,我们带来的是一场真正属于“白帽子”的技术大赏。