一个人的闲言碎语

dr0v

blog.drov.com.cn
一个人碎碎念。
About Me
A lazy security employee.

2020年4月16日星期四

主要还是看 hexo 的 next 主题挺不错的,所以选择了用 hexo 搭建 github 的 blog。
使用 hexo 搭建 blog 的前置条件还是很多的:
1. brew install npm
2. npm install -g hexo-cli
3. npm install -g hexo
如上,即已安装前置的 node.js 和 hexo。
之后需要创建一个新文件夹(文件夹必须为空,否则无法 init hexo),目录下执行
1. hexo init
2. npm install
3. hexo g
4. hexo s
即启动本地 blog 服务,输入 http://localhost:4000/ 即刻本地查看。
此时需要同步到 github,在 github 进行部署。
这里需要编辑 _config.yml 以通过 hexo d 进行发布(单纯同步工程至 github 不可行)。
deploy:
  type: git
  repo: git@github.com:username/username.github.io.git
  branch: master
这时一般是没有 git 命令的(执行 hexo d 会报错),需要安装 hexo-deployer-git
npm install hexo-deployer-git
此时,通过如下命令可进行发布
1. hexo clean
2. hexo g
3. hexo d


访问 username.github.io 即可访问自己的 blog。
Categories: , , ,

2020年4月8日星期三

- 4.1 [AFL源码阅读笔记](https://www.anquanke.com/post/id/201760)

	![test](https://i.loli.net/2020/03/25/fu6R7AJe4KGE8ND.png)
	
- 4.1 [TrickBot木马将获取交易身份验证码的应用推向德国银行客户](https://www.anquanke.com/post/id/202123)

    国外研究员CERT-Bund的推文表示当用户的台式机上感染了TrickBot木马时,TrickBot会询问用户移动设备操作系统(OS)的类型和电话号码。然后提示用户安装假冒的安全应用程序进一步感染受害者的移动设备。

    在应对德国的银行停止使用基于SMS的身份验证,转而使用专用于2FA方案的pushTAN应用程序(使用针对用户的推送通知,其中包含交易明细和交易身份验证号码)情况时。由于Android的应用程序沙箱阻止一个应用程序访问其他应用程序的数据。专为德国银行量身定制的较新版本恶意程序使用了以下两种方式获取交易身份验证号码(TAN)。
     - 使用Android MediaRecorder类捕获屏幕视频或截屏。
     - 使用可访问性服务遍历每个可访问性节点所包含的文本数据,其中包含屏幕上所有对象的文本数据如文本框里的文字。
    ![](https://p0.ssl.qhimg.com/t0162aa13e2bd0afbc9.png)

- 4.1 [NetSupport Manager RAT钓鱼攻击分析](https://www.freebuf.com/articles/network/228898.html)

    2020年1月安全人员发现了一个伪造为受密码保护的恶意Microsoft Word文档,该文档在网络钓鱼活动中用于传播商业化远程访问工具(NetSupport Manager),此RAT通常用于管理员远程访问客户端计算机。但是攻击者将此RAT安装到受害者的系统上,从而获得访问权限。攻击活动中使用多种技术来规避动态和静态分析,并利用PowerShell PowerSploit来执行恶意文件安装。至少从2018年起NetSupport Manager RAT就已经出现在网络钓鱼活动中。

- 4.1 [远控免杀专题(5)-Veil免杀(VT免杀率23/71)](https://www.secpulse.com/archives/127186.html)

    文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus

- 4.1 [Rocke Group团伙新挖矿变种AliyunMiner分析](https://www.secpulse.com/archives/127162.html)

    深信服安全团队捕获到Rocke Group黑产团伙运营的新挖矿病毒,该病毒通过ssh爆破、ssh免密登录、redis未授权访问漏洞以及redis弱密码爆破、jenkins远程代码执行漏洞以及jenkins弱口令爆破和ActiveMQ远程代码执行漏洞进行传播的挖矿病毒。深信服安全团队对该挖矿木马进行了详细的技术分析,并根据其传播域名特征将其命名为AliyunMiner。
    ![](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/2020/04/13-1024x605.png)

    ***考虑过阿里的感受么?***
- 4.1 [针对香港用户的LightSpy水坑攻击](https://blog.trendmicro.com/trendlabs-security-intelligence/operation-poisoned-news-hong-kong-users-targeted-with-mobile-malware-via-local-news-links/)

    趋势科技的安全研究人员发现了一个针对iOS用户的水坑攻击。其URL指向一个恶意网站,该网站具有指向不同站点的三个iframe,其中一个指向托管iOS漏洞利用主要脚本的网站,用户访问后会加载并运行恶意软件。

    这些攻击利用了影响iOS 12.1和12.2设备的安全漏洞,以整个网站的用户为目标。通过支持外壳命令和文件操作,恶意软件使攻击者可以监视用户并完全控制受感染的设备。本质上是模块化的lightSpy允许对连接的WiFi历史记录、联系人、GPS位置、硬件信、iOS钥匙串、电话历史记录、Safari和Chrome浏览器历史记录、SMS消息以及本地网络IP地址进行过滤。
    ![](https://blog.trendmicro.com/trendlabs-security-intelligence/files/2020/03/poisoned-news-6b.jpg)
- 4.1 [为什么安全类AI模型准确性普遍虚高](https://www.anquanke.com/post/id/201282)

    AI似乎成了目的而不是方法。

    - “准确率”不准确
    - 混淆“验证集”和“测试集”
    - “误报”的放大
    - 训练集的局限性
    - 特征数量水分大

- 4.1 [干货 | Windows取证分析基础知识大全,赶快收藏!](https://www.secpulse.com/archives/127088.html)

    ![](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-127088-1585710750.png)

- 4.1 [Zoom 客户端爆出安全漏洞 可向攻击者泄露 Windows 登陆凭据](http://hackernews.cc/archives/29841)

    Windows 版 Zoom 客户端爆出了容易受到 NUC 路径注入攻击的安全漏洞。作为一款音视频会议应用,Zoom 还允许用户在聊天界面通过发送文本消息来互相交流。

    Windows 网络 UNC 路径,也转换成了聊天消息中可单击的链接。若用户单击 UNC 路径链接,则 Windows 将尝试使用 SMB 文件共享协议连接到远程站点,默认情况下,Windows 将发送用户的登录名和 NTLM 密码哈希值,但稍有经验的攻击者均可借助 Hashcat 之类的免费工具来逆向运算。

- 4.2 [基于稀疏表示的物联网边缘僵尸网络攻击检测](https://www.anquanke.com/post/id/200877)

    [原文网址](https://www.researchgate.net/publication/333567033_Botnet_Attack_Detection_at_the_IoT_Edge_Based_on_Sparse_Representation)

    基于稀疏表示框架(sparsity representation)的物联网僵尸网络攻击检测方法,该方法使用重建错误阈值规则识别来自受感染的物联网设备的边缘恶意网络流量。僵尸网络攻击检测是基于小型良性IoT网络流量数据执行的,因此没有关于恶意IoT流量数据的先验知识。在基于物联网的真实网络数据集上展示了结果,并展示了提出的技术针对基于重构错误的自动编码器方法的有效性。

- 4.2 [警惕:Vollgar僵尸网络每天成功感染近3000台MSSQL服务器](https://www.freebuf.com/news/232295.html)

    网络安全研究人员发现了一个名为Vollgar的加密挖矿僵尸网络,该僵尸网络至少自2018年以来一直在劫持MSSQL服务器,通过发起暴力攻击以接管服务器并安装Monero 和Vollar恶意挖矿软件。

    ![](https://image.3001.net/images/20200402/15857976967217.jpg)

- 4.3 [一种工控蜜罐识别与反识别技术研究与应用实践](https://www.freebuf.com/articles/ics-articles/230402.html)

    工控蜜罐通常指非真实工控设备,通常指应用服务、仿真程序等,比如服务蜜罐包括conpot、openplc、CryPLH2、仿真程序包括modbus tester、Mod Rssim、snap7、opendnp3、qtester104、DNP3_testhaness、EtherNetIP Virtual等。

    ![](https://image.3001.net/images/20200313/1584092693_5e6b5615cc779.png)

- 4.3 [浅谈威胁情报应用场景](https://www.anquanke.com/post/id/202426)

    威胁情报有以下几个常见的应用场景:
    - 攻击检测与防御
    - 攻击团伙追踪
    - 威胁狩猎
    - 事件监测与响应
    - 基于情报驱动的漏洞管理
    - 暗网情报发现

- 4.3 [Syborg:一款带有断路躲避系统的DNS子域名递归枚举工具](https://www.freebuf.com/sectool/227851.html)

    [项目地址](https://github.com/MilindPurswani/Syborg)

- 4.3 [云视频会议软件Zoom连环漏洞陷信任危机](https://www.anquanke.com/post/id/202436)

    - Zoom客户端聊天模块曝“惊天漏洞“ 可暴力破解目标用户Windows登录凭据
    - Zoom安装包或将成为恶意代码发源地

        Zoom使用的是捆绑了7zip手动解压缩应用程序的预安装脚本。如果当前用户在admin组中,不需要root,即可则将其直接安装到/ Applications。

- 4.4 [挖洞经验分享:关于IDOR的几个奇怪案例分析](https://www.freebuf.com/vuls/228918.html)

    后端文件仍然是以“bookingId.pdf”的形式存储的,并且有一个中间件来负责将hdnBookingId解密为bookingId,或者说同时存储了一个订单的两种文件名称/格式,即同时存在“hdnBookingId.pdf”和“bookingId.pdf”。

- 4.4 [Android Cerberus恶意样本分析](https://www.freebuf.com/articles/terminal/230628.html)

    Cerberus 恶意木马通过字符串混淆、执行流混淆、动态加载代码、动态解密字符串和实现了一个简单的计步器机制来对抗安全人员的分析工作。同时利用了 Android 无障碍服务的屏幕监控功能,通过监控手机屏幕内容的改变事件,模拟点击危险权限授权按钮进行自我授权、监控用户的安全扫描和卸载行为进行自我保护以及监控前台应用活动界面完成对目标的劫持攻击。

    ![](https://image.3001.net/images/20200317/1584413859_5e703ca33ad18.png)

- 4.4 [12k+ Android apps contain master passwords, secret access keys, secret commands](https://www.zdnet.com/article/12k-android-apps-contain-master-passwords-secret-access-keys-secret-commands/)

    ![](https://www.zdnet.com/a/hub/i/2020/04/04/65eb6a47-de7c-4293-b002-758350591241/android-research.png)

- 4.5 [PrivescCheck:一款针对Windows系统的提权枚举脚本](https://www.freebuf.com/articles/system/229405.html)

    [GitHub传送门](https://github.com/itm4n/PrivescCheck)

- 4.5 [利用COVID-19发起的网络攻击分析](https://www.freebuf.com/articles/network/230475.html)

    Check Point发现了针对蒙古公共部门的网络攻击活动,该组织利用了冠状病毒恐慌情绪向目标发送恶意软件。研究发现其与可与在2016年进行的其他网络活动联系起来。多年来,这些行动的目标是多个国家/地区的不同部门,例如乌克兰,俄罗斯, 和白俄罗斯。

- 4.6 [中国驻外机构正遭受攻击!深信服VPN设备成境外国家级黑客突破口](https://www.anquanke.com/post/id/202526)

    360安全大脑捕获到一起劫持深信服VPN的安全服务从而下发恶意文件的APT攻击活动,我们已第一时间将漏洞细节报告给厂商并得到确认。

    通过进一步追踪溯源发现,此次攻击者为来自半岛的APT组织Darkhotel(APT-C-06),今年3月开始已失陷的VPN服务器超200台, 中国多处驻外机构遭到攻击,4月初攻击态势又再向北京、上海相关政府机构蔓延。

    更为紧要的是,根据监测分析发现,攻击者已控制了大量相关单位的VPN服务器并控制了大量相关单位的计算机终端设备。

- 4.6 [文件解压引发的Getshell](https://www.freebuf.com/articles/others-articles/229928.html)

    - PHPOK CMS后台任意文件上传
    - Jspxcms后台的zip解压功能目录穿越漏洞导致getshell

- 4.6 [黑客帝国?论美国Hacker的养成之路](https://www.freebuf.com/articles/neopoints/230985.html)

    全面培养、发展黑客力量是美国黑客帝国的基底,联动民间/私营企业是中坚力量,那么国家体系的运作就是黑客帝国的顶层战略指挥区。
    
    美国有着完整的一套网络黑客运转体系,植根于其网络安全战略之中。
    - 完整架构体系
    - 作战经验丰富

    ![](https://image.3001.net/images/20200320/15846814683015.png!small)

- 4.7 [Fuzzowski:一款功能强大的网络协议模糊测试工具](https://www.freebuf.com/sectool/227869.html)

    该工具可以帮助研究人员对网络协议进行模糊测试,并且能够在整个测试过程中给我们提供帮助。除此之外,该工具还允许研究人员定义链接,并帮助识别服务的崩溃。

    [GitHub传送门](https://github.com/nccgroup/fuzzowski)

- 4.7 [xHelper, the Unkillable Android malware that re-Installs after factory reset](https://securityaffairs.co/wordpress/101229/cyber-crime/xhelper-unkillable-android-malware.html)
- 4.8 [Clicker木马新家族:Haken木马](https://www.freebuf.com/articles/terminal/230524.html)

    Haken木马通过将本机代码注入Facebook和Google广告SDK的库中来实现模拟用户点击广告功能。

- 4.8 [照弹不误:出站端口受限环境下反弹Shell的思考](https://www.freebuf.com/vuls/232544.html)

    遇到能 ping 通外网但无法反弹的目标,得多个心眼考虑是否限制了出站端口.

- 4.8 [如何未经授权访问IOS和macOS上的摄像头](https://www.anquanke.com/post/id/202511)

    原文地址:[Webcam Hacking-The story of how I gained unauthorized Camera access on iOS and macOS](https://www.anquanke.com/post/id/Webcam%20Hacking-The%20story%20of%20how%20I%20gained%20unauthorized%20Camera%20access%20on%20iOS%20and%20macOS)

    1. 打开有害的HTTP网站;
    2. HTTP网站变成一个data: URI;
    3. 使用”空白“源将data: URI变成blob: URI;
    4. 修改window.history(分两个步骤);
    5. 创建一个包含about:blank的iframe,向其中执行document.write;
    6. 为iframe动态添加sandbox标签;
    7. 使用X-Frame-Options进行一次失败的框架导航;
    8. 在iframe中执行window.open,打开一个弹窗,向其中执行document.write。
    
    ![](https://p0.ssl.qhimg.com/t0190c23b39a0c03877.png)

- 4.8 [针对某国际信息通信公司从前期探测到内网提权的一次成功漏洞测试](https://www.freebuf.com/vuls/230441.html)
- 4.8 [Molerats在多国政府和电信部门安装后门](https://www.freebuf.com/articles/network/230021.html)

    Molerats早在2011年就已经开始攻击世界各地的政府组织,主要涉及非法访问和敏感数据收集。他们使用了大量的策略和技术,包括利用公开的后门工具,自我定制研发工具等。该组织主要利用社会工程学和鱼叉式钓鱼作为攻击切入手段,然后通过C2服务器下载恶意负载。该组织使用了多种技术手段使检测和分析变得更加困难,Spark C2通道利用3DES或AES加密HTTP POST请求和响应数据来逃避检测,并且随机生成的密钥对于每个有效载荷都是唯一的。

- 4.8 [DDG挖矿僵尸网络病毒最新变种分析](https://www.anquanke.com/post/id/202574)
- 4.8 [DDG的新征程——自研P2P协议构建混合P2P网络](https://blog.netlab.360.com/ddg-upgrade-to-new-p2p-hybrid-model/)

    DDG Mining Botnet 是一个活跃已久的挖矿僵尸网络,其主要的盈利方式是挖 XMR。v5009 及以后的版本,则摒弃了以前基于 Memberlist 来构建 P2P 网络的方式,改用自研的 P2P 协议来构建混合模式 P2P 网络

    ![](https://blog.netlab.360.com/content/images/2020/04/ddg_version_timeline-1.png)
- 4.8 [安全专家在线破解!游戏账号买卖诈骗全过程](https://www.anquanke.com/post/id/202484)

    不法分子伪装成买家,制作虚假图片骗取用户QQ;再冒充平台给用户发送邮件,用户访问邮件里的链接时,实际访问网址发生了跳转。

- 4.8 [暗网卖口罩,推特卖厕纸,疫情下的海外黑灰产](https://www.freebuf.com/articles/others-articles/232850.html)