安全周事记(20181022)

• 10.14 安卓手机搭建渗透环境（无需Root）
  入网：未root手机，因为权限问题，无法转换wifi工作模式进而dos掉对方的真实AP；所以只能社工。
  渗透：routersploit
  

  吐槽：理论上入网，特别是公共区域入网还是比较容易的；在手机上做渗透，搞路由器，随着手机计算能力的提升，以后会越来越多。

• 10.15 移动安全自动化测试框架MobSF多个版本静态分析接口存在的任意文件写入漏洞复现与分析
  github的问题列表上有人曝出0.9.4.2 以下的版本web 上传接口对上传的apk包zip解压的时候存在漏洞可导致任意文件写入。
  原因： 自写zip解压代码，未对文件名做校验，直接os.path.join(EXT_PATH,filename)写入文件，导致存在形如../../../的目录穿越漏洞。
  解决方案：直接用z.extract函数将zip压缩包中的文件解压缩保存至指定目录，extract函数会自动将目录穿越符和UNC符号过滤掉，所以就没有任意文件写入啥事了。
  

  吐槽：自行实现功能的局限性往往就在于此，各种漏洞需要自行cover；而公用模块的问题则在于一旦出现问题，则全军覆没。

• 10.15 无字母数字Webshell之提高篇
  web攻击中的各种脑洞——利用php的解析特性，将语句转化为位运算表达式(php会自动解析为字符)来上传以绕过安全策略，让PHP执行——此为第一篇[一些不包含数字和字母的webshell](https://www.leavesongs.com/PENETRATION/webshell-without-alphanum.html);
  通过glob通配符特性过滤，调用上传的文件执行。这里一句话讲不清，建议通篇阅读文章。
  

  吐槽：长期浸淫在安全对抗行业中的人，脑洞之清奇，可见一斑。自愧不如

• 10.15 顺藤摸瓜，炒股交流群里的黑产陷阱
  黑产的故事，见文即可。
  

  吐槽：QQ、微信拉近了人们的距离，也拉低了欺诈、黑产的门槛。

• 10.15 Danger-zone ：一款可将域、IP和email地址关联并可视化输出的工具
  Danger-zone是一款可将域、IP 和email地址之间的数据关联，并可视化输出存储到Elasticsearch和JSON文件中。
  在ES搜索的基础上，结合virustotal和Whoxy提供的免费查询服务，搭建了这样一个免费的域名、IP和Email关联查询(情报)系统

  吐槽：强烈推荐个人(安全行业)可搭建一个相关情报服务系统。

• 10.16 技术讨论 | 一种基于软件捆绑方式Bypass AV的思路
  尝试了一种猥琐方式通过捆绑安装的方式将 Powshell 后门植入到软件安装包的方式绕过杀毒软件检测的方法。

  吐槽:捆绑的方式绕过杀软，个人觉得仅仅是由于加壳、混淆等原因绕过了而已。尤其是PC上行为拦截那么多，动态执行过程中即可能被kill掉。

• 10.16 一次入侵应急响应分析
  文章总结：
  1. 服务器上存在博彩信息与挖矿程序，说明被多波不同利益团队的黑客入侵；
  2. 此服务器于2018年9月21日被黑客入侵后加上相应的博彩内容，相应的IP为175.41.27.93；
  3. 此服务器在2016年2月份甚至更早就已经被黑客植入网马了；
  4. 服务器在2017年12月19日被植入挖矿程序；
  5. 系统被增加了隐藏账号test$，并且在2018年9月21日14:38发现账号guest有IP为212.66.52.88，地理位置为乌克兰登录的情况。

     吐槽：甲方生活在水深火热之中，急需我等拯救啊。

• 10.16 新型鼠标光标劫持攻击将允许攻击者劫持GoogleChrome会话
  光标劫持攻击——技术主要利用的是Chrome浏览器的一个漏洞，而这种漏洞是由于HTML代码无法正确解码低分辨率鼠标光标所导致的。它会将光标变成一个128×128像素的透明“大方框”，当用户点击了某个特定位置时，他们其实点击的是其他地方。

  吐槽：黑客总有你想象不到的攻击手段。

• 10.16 SMS-based two-factor authentication is not safe — consider these alternative 2FA methods instead
  卡巴分析了当前主流了双因子认证方式：短信、app与USB口令，其认证流程及存在的风险。

  吐槽：国内目前主流的还是短信，也正在慢慢朝app方向发展(存在较大风险)。

• 10.17 网络安全威胁信息格式规范正式发布，国内威胁情报发展迎来新阶段
  我国也有了自己的标准了，具体参见：在线预览|GB/T 36643-2018

  吐槽：有了标准就有了可参考性，日后更方便了情报的分享和建设。

• 10.17 开源软件源代码安全缺陷分析报告——人工智能类开源软件专题
  本期报告聚焦国内外知名机器学习、人工智能类开源软件安全开发现状，通过分析多款知名人工智能类开源软件产品的安全缺陷，评估开源项目的代码安全控制情况。360代码卫士团队为本期报告提供了技术支持。
  

  吐槽：数字为CNCERT出的开源代码漏扫报告。恩~

• 10.17 Ubiquitous SEO Poisoning URLs
  国外安全公司zscaler对黑帽SEO的分析。同样紧跟热点，同样黑站然后挂跳转。
  介绍了很多黑帽SEO手法，可以看看。

  吐槽：国内外黑产殊途同归啊。

• 10.17 小心！这个木马偷了网易的身份证 还能远程控制你的电脑
  360安全中心监测到有款远控木马试图借用 “网易”官方签名躲避查杀，大肆传播。
  

  吐槽：Android端签名管理目前来看还是比较规范了，除了喜欢用外包的一些银行外

• 10.18 免越狱虚拟定位外挂的调试小记与检测方案
  原理是通过itunes的usb管理模块，模拟返回定位信息来进行虚拟定位。
  使用开源代码库：libimobiledevice

  吐槽：ios体系内的需求大，门槛其实较低。好去处~

• 10.18 Linux应急响应（三）：挖矿病毒
  黑客通过Struct 远程命令执行漏洞向服务器定时任务中写入恶意脚本并执行。

  吐槽：不是一篇好文章

• 10.19 Cookie篡改与命令注入
  在pentester环境中存在Cookie篡改与命令注入的WEB程序，我们下载下来搭建，下载地址：rack_cookies_and_commands_injection
  文章详细讲解了整个攻击过程：
  1. 指纹识别：收集有关Web应用程序和正在使用的技术的信息。
  2. 暴力强制验证页面。
  3. 篡改机架cookie以获得管理员权限。
  4. 从管理页面，通过注入获取命令，以运行底层操作系统上的任何命令。

     吐槽：道理我都懂，还是得下手实践啊

• 10.19 给我一个无线切入点，我就可以操控你的物理隔离网络
  面对企业的物理隔离网络，360通过Ghost tunel——一个利用WiFi信号的隐蔽传输通道，只要物理隔离网络的客户端安装有无线设备或无线网卡（无线网卡不需要连接无线、无线网卡禁用也可以入侵）都可以遭到攻击者近距离入侵，不需要在隔离网络上使用U盘安装恶意程序。
  GhostTunne l 无线攻击简单复现记录
  黑帽大会HITB议题-Ghost Tunnel攻击隔离网络的WiFi隐蔽传输通道

  吐槽：APT攻击几乎集安全攻防之大成，学习学习，了解即可。

• 10.20 XMR恶意挖矿案例简析
  攻击者通过SSH暴力破解获取系统账号后，一方面通过下载及运行ELF二进制挖矿程序，利用系统CPU/GPU资源进行XMR（门罗币）挖矿；另一方面，通过在系统里面的JS文件中插入JS网页挖矿的代码，利用远程访问系统JS网页的客户端资源进行XMR网页挖矿。

  吐槽：往后大型网站或者服务器将是攻击重点(网络资产集中地)；企业安全越来越重要了

• 10.21 广撒网，多捞鱼：当黑客们也不再“安于本分”
  近年来，黑客已不再像以往一般着重攻击企业或用户的计算机，转而采取“广撒网，多捞鱼”的策略，将攻击目标转向了全新的领域。对各大垂直领域的兴趣尤为浓厚，CrowdStrike的报告中也对一些垂直领域入侵案例的比例做了统计：
  • 技术（互联网、科技）行业：36%
  • 服务行业：17%
  • 酒店行业：8%
  • 政府、国防机构：7%
  • 非政府组织：7%
    

    吐槽：忽然对安全行业有了信心，有新的行业就会有新的安全问题，重点是，能否跟得上节奏。

• 10.21 逃避沙箱并滥用WMI：新型勒索软件PyLocky分析
  2018年上半年勒索软件的活动还有所增加，并且相关勒索软件还通过各种升级更新来尝试避开现有的安全解决方案，比如说PyLocky（趋势科技将其标记为RANSOM_PYLOCKY.A）就是一个很好的例子。
  PyLocky还有反机器学习的能力，同时使用了Inno Setup Installer（一款基于开源脚本的安装器）和PyInstaller，因此这样会增加静态分析方法的检测难度，其中就包括了基于机器学习的解决方案。

  吐槽：安全的本质就是攻防对抗咯

• 10.22 2017年十大Web黑客技术榜单
  1. 台湾 Web 安全研究者 Orange Tsai - A New Era of SSRF
  2. Web 缓存欺骗攻击技术 – Web Cache Deception
  3. 票据欺骗 – Ticket Trick
  4. Friday the 13th: JSON Attacks
  5. 云出血 - Cloudbleed
  6. 高级 Flash 漏洞利用系列 - Advanced Flash Vulnerabilities
  7. AWS S3 存储桶的访问控制分析 - A deep dive into AWS S3 access controls
  8. 利用 HTTP 请求编码绕过 WAF – Request Encoding to bypass web application firewalls
  9. 浏览器安全白皮书 – Cure53 – Browser Security Whitepaper
  10. 利用 PHP7 的 OPcache 执行 PHP 代码 – Binary Webshell Through OPcache in PHP 7

      吐槽：看看就好，较为前沿的一些web技术

• 10.22 AI与安全的恩怨情仇五部曲「1」：Misuse AI
  思路十分有指导意义，见图；第一篇AI在黑产的利用讲述的也较为全面(信息整合)。
  

  吐槽：较好的信息整合，适合作为入门读物

• 10.22 短网址安全浅谈
  由于短网址服务自身存在的设计缺陷问题，尤其是一般短网址采用6位或者7位字母和数字的集合，可以被很好的预测，从而被针对性的爆破。
  还有其他诸如：SSRF、XSS、SQL注入等问题。

  吐槽：2B安全遍地开花的节奏

• 10.22 彪悍的中国大妈写进了《华尔街日报》，但这次她们可能要折戟区块链
  Vpay暴雷，所以收益过高的都有极大风险——甚至是欺诈风险。

  吐槽：雪崩之时，没有一片雪花是无辜的。

• 10.22 马蜂窝被发现大量抓取竞争对手的数据
  近期最热的八卦了。马蜂窝造假太不走心。

  吐槽：这个瓜可以吃很久。

• 10.22 安全报告 | 从恶意流量看2018十大互联网安全趋势
  

  吐槽：羡慕有蜜罐网络的大佬。

• 10.22 不要光看表面 网络犯罪的潜在成本无法计算
  预计到2019年，全球网络犯罪成本可能将超过2万亿美元

  吐槽：个人感觉翻译有误，这里应该是讲的网络犯罪产业链收入将产生超过2万亿美元。对国内机翻人员无语。

• 10.22 技术讨论 | 看我如何破解一台自动售货机
  从APP账户中的0元，到之后破解APP数据库后，我可以进行以下操作：
  • 修改APP账户的金额
  • 任意购买自动售货机中的东西
  • 继续用余额购买
  • 余额为0之后可重新更改余额
  • 如此重复消费购买自动售货机中的商品

    吐槽：结合kaspersky的双因子报告可以得出，国内APP作为因子的验证方式还有很长的路要走。

​