360网络安全周报第321期

安全资讯

近期一份FBI文件分享到了网上,里面提到了他们强大的监控能力,连加密聊天应用也无法跳脱。
伊朗Android用户被广泛的Smishing活动欺骗;黑客在网络钓鱼攻击中越来越多地使用RTF模板注入技术;DNA检测服务数据泄露影响210万用户。
Ubiquite前雇员尼古拉斯夏普窃取公司数据被捕,警方调查发现惊天秘密。
Lockean多个勒索软件分支机构与袭击法国组织有关;Print Shellz:HP打印机两个安全漏洞;BlackTech 近期的攻击活动。
巴基斯坦国家数据库和注册局(NADRA)的生物识别数据遭到黑客攻击,或导致生物特征数据泄露。
ScarCruft组织监视朝鲜叛逃者和人权活动人士;与朝鲜有联系的Zinc集团冒充三星招聘人员,瞄准安全公司;Foxit PhantomPDF和PDF Reader的多个漏洞。
2019年以来,WIRTE黑客组织开始了一项针对政府的网络攻击活动,其主要目标包含了中东知名公共组织、个人实体,以及部分其他地区组织。
新墨西哥True Health公司的医疗数据被泄露;加密黑客使用Babadeda Crypter使其恶意软件无法检测;亨廷顿医院前员工访问13000名患者的私人信息。
国际刑警组织逮捕了1003名涉嫌网络犯罪相关人员,涉事案件包含情感诈骗、投资诈骗、在线洗钱以及非法在线赌博等多种。
TrickBot网络钓鱼检查屏幕分辨率以逃避研究人员;海上服务提供商Swire Pacific Offshore被Clop勒索软件袭击;宜家电子邮件系统遭受持续的网络攻击。
据悉,苹果公司已经向Pegasus间谍软件制造商NSO Group及其母公司提起诉讼,指控其使用监控技术针对并监视苹果用户。该公司表示,国家支持的使用NSO间谍软件的攻击仅针对包括iOS和Android在内的多个平台的"极少数"个人。

安全知识

在上周末的深育杯线上赛中,遇到了一个挺有意思的题目,叫 HelloJerry,考察的是 JerryScript 引擎的漏洞利用。不过,由于比赛时间有限,因此比赛过程中并未解出来,赛后复现了一下,这里与各位师傅交流一下。
V8是chrome核心组件,重要程度不用多言。本系列文章,讲解V8源码,力求做到全面覆盖知识点、有理论支撑,做到细致讲解代码、有实践依据。
现阶段有多种方法可以检测物联网设备中的漏洞。本文将探索固件分析,这种方法的优点是不需要被测设备的实体,而且固件是loT设备的核心,这也是从固件分析开始的原因。
安全研究员vakzz于4月7日在hackerone上提交了一个关于gitlab的RCE漏洞,在当时并没有提及是否需要登录gitlab进行授权利用,在10月25日该漏洞被国外安全公司通过日志分析发现未授权的在野利用,并发现了新的利用方式。
我们知道深度学习模型容易受到对抗样本攻击,比如在计算机视觉领域,对图像精心设计的扰动可能会导致模型出错。虽然现在对抗样本的研究非常火,但是模型面临的攻击不止有对抗样本攻击。
Cloudflare WAF 的引擎还是 backtraking,所以导致错误的正则写法产生回溯问题,最终 ReDos(正则表达式拒绝服务攻击)。它会导致计算量急剧的放大,使大量网站访问出现了 502。
本文内容较为简单,主要是围绕常用的敏感函数来实现Bypass,其中运用到的小技巧可以结合实际场景将其融合,最后写出适合自己的的Loader。笔者后续将会继续分享Bypass思路,希望大家有兴趣的私我,共同进步。
2021深育杯是深信服举办的ctf赛事,此次总结一下pwn和re的部分wp。此次用到的部分exp是借鉴一些pwner和官方给出的exp并对其进行了详细的补充说明,也是自己学习的过程,在此记录一下。
大家好,我是风起,本次给大家分享的是 Serverless扫描技术 也是我在SecTime沙龙演讲时讲到的一种隐匿扫描技术。
本文主要从应急响应的流程,划分,应急响应各个阶段,人员划分,准备阶段及碰到应急响应的时候,如何将风险降低。还有对数据保护的一些方式。
今年的西湖论剑 CTF 线上赛中有一道 easykernl 算是一道质量还可以的的 kernel pwn 入门题,可惜在比赛时笔者手慢一步只拿到了三血。
在刚结束的西湖论剑线上赛中,有一道挺有意思的 Pwn 题——TinyNote,考察了许多关于高版本的 libc 堆知识,比赛的时候已经可以执行 shellcode,可惜最后没来得及找到 flag 文件2333333,这里给各位师傅分享一下我的解题思路。
至此exe的内存加载就已经结束了,诱发我写下这篇文章的一个主要原因是回忆起之前看过的几篇APT相关的分析文章,涉及到主机的远控目前内存加载已经是标配,杀软动态检测的对抗方式种类繁多,静态对抗的方法以内存加载为王。
微软公布了一个反序列化代码执行漏洞,CVE-2021-42321,经过身份认证的攻击者可以通过EWS接口将payload写入UserConfiguration中,并通过GetClientAccessToken触发payload从而在目标服务器上执行代码。
本篇分为两部分,第一部分就是解题步骤,第二部分说一下出题过程、设计思路,以及一些不足之处。文末给出本题的附件,感兴趣的师傅们可以玩下。
V8是chrome核心组件,重要程度不用多言。本系列文章,讲解V8源码,力求做到全面覆盖知识点、有理论支撑,做到细致讲解代码、有实践依据。
对于我们比较了解的联邦学习而言,杨强教授有一句经典的话“数据不动模型动”,意思是说数据留在参与方本地,本地的数据不会泄露给其他参与方,参与方与中心服务器之间通过交互梯度信息进行协作训练。
时代在进步,骗子的技术也在不断“改进“。俗话说“当你在凝视深渊时,深渊也在凝视你”,快节奏的生活让我们不断寻求新“刺激”,有些人能抵住诱惑,有些人则悄然打开了裸聊、博彩等黑灰产业的大门。
X86模式下存在10-10-12分页和2-9-9-12分页。
近期常在malware-traffic-analysis和MalShare看到hancitor装载器的出现,苦于虽然有着现有的unpack技术,但是没有手动unpack的能力,对某文章进行学习复现并有了以下的分析文章。
这里是zseano的方法论的最终章。
最近有些朋友问我一些免杀问题,由于个人技术有限,对静态免杀有些了解(动态免杀真的不会,太菜了),所以就总结了一些Windows中cmd的命令混淆思路。
V8是chrome核心组件,重要程度不用多言。本系列文章,讲解V8源码,力求做到全面覆盖知识点、有理论支撑,做到细致讲解代码、有实践依据。
最近频繁被问到关于域前置溯源的问题,但是在工作中实际遇到的不多,这几天有时间整理了下思路,如有不对的对方,多多包涵,欢迎评论指出。
获取gitlab系统所有项目代码是我最大动力…… 另外上述操作均在gitlab默认配置情况下,若漏洞利用无法复现可留言,一起讨论研究。
国内很多人都在谈论威胁狩猎(Threat Hunting),但是很少有看到谁具体提及该怎么做和为什么要这样做。
AESNI是Intel开发的一种x64架构的SIMD指令集,专门为AES加密算法提供硬件加速,对SIMD有一定了解的人基本都知道AESNI的存在。
本题由wjh师傅提供,赛后将该题的解法公开供大家学习交流。
近来笔者计划从脏牛漏洞入手,分析Linux内核漏洞,故在开始之前学习了Linux内核中内存管理部分相关内容,下文权当笔者学习过程整理的笔记。如有不当之处,望读者不吝赐教。
来写写ByteCTF2021的misc部分的解题思路,有些是比赛的时候出的,有些带点脑洞是赛后复现的,总体来说质量还不错。

安全活动

左手“找不同大挑战”福利,右手“群星创作者计划”,邀万千用户共同奔赴一场岁末惊喜,见证安全客官网功能再升级!
为了让黑客世界变得更加透明与开放,让更多有才华的创作者被看到,安全客即将在12月1日特别上线“群星创作者计划”征集活动,召集用户共同发现和选出网络安全行业优质的创作者。
《深入理解计算机系统》(简称CS:APP)的主要读者是计算机科学家、计算机工程师,以及那些想通过学习计算机系统的内在运作而能够写出更好程序的人。