-
G DATA发现了一个会窃取用户上网记录、Whatsapp消息等隐私信息的恶意代码,命名为Android.Trojan-Spy.Buhsam.A,原始分析报告:GDATA_WhitePaper-_Analysis_of_Android.Trojan-Spy.Buhsam.A.pdf吐槽:报告水平属于实习生水平,不推荐下载看
-
从2018年9月20号开始,360Netlab Anglerfish蜜罐系统监测到互联网上有大量IP正在针对性地扫描路由器系统。360Netlab共发现3套成熟的DNSChanger程序,根据其编程语言特性将它们分别命名为Shell DNSChanger,Js DNSChanger,PyPhp DNSChanger;配合该团伙的另外三个系统:Phishing Web System,Web Admin System,Rogue DNS System,组成了360Netlab命名的GhostDNS系统。该团伙利用GhostDNS系统攻击了巴西地区超过70 种、100,000 个家用路由器,通过篡改这些路由器上的配置,攻击者劫持了这些路由器的DNS解析,并进一步窃取了路由器用户在 50+ 网站上的登录凭证、银行帐号等信息。被劫持通信的网站主要涉及银行,云主机服务商等网站,其中也包括avira安全公司。吐槽:作为一个安全入门级人员,对Anglerfish蜜罐系统十分向往啊。
-
Fleetsmith公司的CSO演示了通过MDM(苹果移动设备管理协议)的漏洞来获取目标主机的manifest文件信息,并在目标设备上安装各种恶意软件。(原理上没具体说明,更倾向于认为是MDM服务器与下属管理设备间的通信存在被劫持,受MitM攻击) 攻击实现难度较大。吐槽:企业安全的春天快要来了?
-
XSS 攻击Payload
adb shell am start -a "android.intent.action.VIEW" -d "fb://ig_lwicreate_instagram_account_full_screen_ad_preview/?adPreviewUrl=javascript:confirm('https://facebook.com/Ashley.King.UK')"LFI 攻击Payloadadb shell am start -a "android.intent.action.VIEW" -d "fb://ig_lwicreate_instagram_account_full_screen_ad_preview/?adPreviewUrl=file:///sdcard/CDAInfo.txt"吐槽:总感觉文章作者是基于结果还原漏洞,水分有点大啊。吐槽:翻译和验证都是赚稿费的好方法~ - 10.5 日益增加的移动诈骗攻击分析简报目前,最大的威胁来自于设备欺骗,欺诈攻击者会尝试欺骗银行让他们认为此次“登录尝试”来自于新的用户设备,而目前有超过5%的交易尝试来被认定为此类攻击。身份欺骗则是第二大威胁,约占3.6%,但对于针对金融服务的特定攻击来说,网络犯罪分子通常会使用的是凭证窃取,而非身份欺骗。其他常见的攻击类型包括IP欺骗、基于浏览器的中间人攻击或BOT攻击。ThreatMetrix还警告称,随着全球金融体的连接紧密度在不断加深,企业需要确保他们能够动态地去识别和分析各种欺诈活动,而此时基于行为的欺诈检测系统就可以“大放异彩”了吐槽:业务安全即将大放异彩啊。
-
一颗蓝牙2.4G天线滤波器打掉了Apple、Amazon等巨头大量市值。 freebuf转载自公众号硅星人吐槽:恩,造谣这种事媒体常干。
-
Palo Alto被Gartner评为终端网络安全领导者地位。
吐槽:被世界级评估机构排到领头羊地位,还是很值得宣传一下的。吐槽2:相对某公司长达5年的炒冷饭来说,平底锅真低调,真牛13。 -
APT28 在 2017 年和 2018 年所攻击的目标机构包括:
- 一家知名的国际机构
- 欧洲的军事目标
- 欧洲政府
- 一个南美国家政府
- 一家属于东欧国家的大使馆
吐槽:但是你把APT防御简单归结于对Trojan.Sofacy就不太友好了啊,Symantec。 -
该vulnhub靶机环境由xMagass开发,并托管于Vulnhub,这台靶机上包含了很多很酷的技巧。吐槽:恩,教程很详细,就看大家动手能力了。另外vnlnhub挺不错的。
- 10.8 廉价安卓手机的秘密:暗藏后门来获利安全公司 Sophos 的安全研究员通过对“uleFone S8 Pro”这款手机的分析,发现了很多藏在廉价安卓手机背后的秘密——在出厂时,就被预装了远程访问木马(RAT)——预装的录音机应用。翻译稿件:低价手机的隐私泄露问题的相关研究
吐槽:这分明是国产手机必要的’热更新功能’嘛~ -
首个物联网僵尸网络Hide and Seek(HNS,捉迷藏)的新变种会利用Android开发者调试之用的Android Debug Bridge (ADB)功能中所存在的漏洞,该变种通过WiFi网络连接来感染Android设备,使之成为僵尸网络的一员。吐槽:很早以前应该就有曝出过Android的ADB远程调试,但依然没有解决的样子?看shodan搜索结果,中国的设备风险情况比较重啊。
- 10.9 前端安全系列(一):如何防止XSS攻击?完整的阐述了攻防的进化过程,可以多看看学习一下。吐槽:美团技术团队牛批啊,据我所知很多优秀开源代码和技术文章分享。向美团学习~
- 10.10 家用路由器的安全性几何?美国消费者保护组织ConsumerGram对家用Wi-Fi路由器产品进行了研究,结果显示6个路由器中就有5个包含已知的安全漏洞且未进行更新,接入该网络的设备好比直接向黑客敞开了大门,可危及用户的隐私安全并导致经济损失。吐槽:家庭网络有可能成为下一个企业安全切入点~
- 10.10 昨天,我的手机收到了一条霸占全屏的匿名“信息”“闪信”又称为免提短信,是一项特殊的短信类业务,发送闪信,对方收到闪信后无需打开,信息内容即直接显示于接收方手机屏幕上,阅读后信息不自动保存,仅有部分支持手动保存。吐槽:我记得这是政府部门用来发通知的一个通道吧,居然可以被黑灰产用上,厉害了~
- 10.10 BLE安全入门及实战(3)承1、2,本文主要讲解了攻击手法和技术原理——覆盖密钥数据,篡改密钥。吐槽:所以以后撬锁得学编程了?
- 10.10 工业互联网安全:风起于青萍之末安博通的软文,可以看一看,了解一下。工业企业关心的不是数据,而是生产。吐槽:水分还是太多,不过如果想要了解一个行业,了解行业内的解决方案和产品是一个很不错的切入点就是了。
-
论文提出了针对恶意操作系统内核实施的页表侧信道攻击与LLC(Last-Level Cache)侧信道攻击的防护方案,并通过在优化过的Virtual Ghost系统上部署以上防护方案,提出了防护系统Apparition。吐槽:我没细看,不过觉得是篇水文。
-
平底锅的研究员发现了一个假的Flash更新插件会推送挖矿勒索软件。
吐槽:所以Flash本身已经千穿百孔了,还有人会被Fake Flash骗。 - 10.11 DNS后门及其检测DNS中的PTR记录可以存放几乎任何我们想要的东西(仅\会被过滤)。我们可以将payload放在PTR记录中,做好IP和域名的映射。只要在被攻击者主机上用DNS协议反向解析这个IP ,payload就会被接收。最重要的一点在于,大部分的防火墙、入侵检测系统和态势感知系统并不会审计DNS协议,所以这段流量几乎是不会被拦截的;并且这段paylaod并不会被保存在文件中,而是存在内存里,也可以绕过本地杀软的查杀。吐槽:DNS快被玩坏了。
-
美国政府问责局(GovernmentAccountabilityOffice,GAO)日前发布报告称,美国国防部开发的武器系统都存在安全漏洞,攻击者可以控制这些武器系统,甚至破坏其功能。吐槽:异常报警太多,导致管理员忽视了真实的异常告警~~ 优秀!
-
伪装成Office Updater整体的功能分部大致如下,主要功能包括勒索的加密与解密、僵尸网络、获取主机信息、键盘记录、进程创建、恶意文件下载等功能。吐槽:所以钓鱼邮件、挂马网站碰到反病毒工程师多可怕~
-
10 月 10 日消息,华夏银行技术处长利用职务便利,在华夏银行总行核心系统内植入计算机病毒程序,使跨行 ATM 机取款交易不能计入账户,之后成功取款 717.9 万元非法占为己有。今天上午,覃某因涉嫌职务侵占罪在朝阳法院受审。“编写这个程序是为了验证银行核心系统的漏洞是否存在,这个缺陷大概是在跨行ATM机取款后,取款成功但不会计入账户。”吐槽:还是那句,堡垒都是从内部攻破的。
-
GPlayed可能是恶意软件发展新趋势 —— 灵活且适应性强,具有瑞士军刀式工具箱,可用于发起任何攻击。“它具有以插件形式实现的模块化体系结构,也可以接收新的.NET代码,并在运行时在设备上编译。插件可以在运行时天剑,也可以在打包时作为包资源添加。“吐槽:不受管控的云下发加载机制是Android的BUG啊
-
ESET对TeleBots使用的Exaramel新后门进行分析发现,其与Industroyer主后门有大量代码重叠,这将Industroyer和TeleBots关联在一起,而TeleBots是NotPetya勒索软件背后的运营者,因此最终也将NotPetya和BlackEnergy关联在一起。
吐槽:所以APT是真的是高级、持续。 -
2018上半年用户账户信息被盗数量达到惊人的4,553,172,708,同比增长133%。虽然被盗用户数量比去年由明显增长,但是被盗事件仅有945起,而去年为1162起。按照行业来划分,账号被盗的重灾区就是社交媒体,在所有被盗记录中的占比达到了56.11%,其次是政府,占比达到26.62%。吐槽:随着互联网寡头的崛起,一个大互联网公司的一次泄露,影响的用户信息将以亿计,所以,黑产要感谢大公司们为其采集数据?
- 10.11 医疗互联网服务敏感数据泄露风险调查报告评估发现国内线上医疗服务平台存在的业务
安全
风险比较突出,可能会导致大量敏感的医疗数据泄露,主要问题如下:- 线上医疗服务平台普遍存在多种逻辑漏洞,可能导致患者身份、就诊信息等敏感数据泄露。
- 医疗互联网资产敏感端口开放较多,核心业务资产直接对外暴露,存在被入侵、攻击的风险。
吐槽:医院数据联网,一旦信息泄露,黑产又该欢呼雀跃了。 - 10.12 APT组织ZooPark V3版移动样本分析ZooPark是一个针对中东的APT组织,截至2017年,已经发展到了4.0版本,本次分析是第三个版本.吐槽:文章比较臭长,不建议细看。
dr0v
blog.drov.com.cn一个人碎碎念。
A lazy security employee.
2018年10月14日星期日
2018年10月8日星期一
针对另外两款漏扫工具进行熟悉和简介,其中AWVS被视为漏扫中的战斗机。
AWVS与AppScan
AWVS(Acunetix Web Vulnerability Scanner)是一款知名的Web网络漏洞扫描工具,通过网络爬虫对网站的安全性进行测试。
AppScan(IBM Security AppScan)则是IBM的Rational软件部门的一组网络安全测试和监控工具,旨在在开发过程中对Web应用程序的安全漏洞进行测试。
AWVS
AWVS可以快速扫描跨站脚本攻击(XSS)、SQL注入攻击、代码执行、目录遍历攻击、文件入侵、脚本源代码泄露、CRLF注入、PHP代码注入、XPath注入、LDAP注入、Cookie操纵、URL重定向、应用程序错误消息等。
其主要特点有:
- 具有AcuSensor技术——基于交互式应用安全检测(IAST)技术的Web漏洞扫描功能
- 自动客户端脚本分析器允许AJAX和Web 2.0应用程序进行安全测试
- 先进的SQL注入和跨站脚本测试
- 高级渗透测试工具,如 HTTP Editor 和 HTTP Fuzzer
- 可视化宏记录器可轻松测试 web 表格和受密码保护的区域
- 支持含有 CAPTHCA 的页面,单个开始指令和 Two Factor(双因素)验证机制
- 丰富的报告功能,包括 VISA PCI 依从性报告
- 高速的多线程扫描器轻松检索成千上万个页面
- 智能爬行程序检测 web 服务器类型和应用程序语言
- Acunetix 检索并分析网站,包括 flash 内容、SOAP 和 AJAX
- 端口扫描 web 服务器并对在服务器上运行的网络服务执行安全检查
- 可导出网站漏洞文件
更多介绍可参考:传送门
AWVS和Burp Suite一样高度自动化,AWVS界面则更简单直观,主界面即可看到AWVS提供的所有功能、实用工具:
- 全站扫描
- 爬虫
- 端口扫描
- 盲注测试
- 子域名探测
- HTTP编辑器
- ……
通过单击’New Scan’即可开始一次漏洞扫描,首先输入漏洞扫描测试域名:’demo.testfire.net’,单击’Next’即可对本次扫描进行一些配置——如扫描漏洞类型、登录选项、是否检测其他主机,本次为功能体验,直接点击Next、Finish完成配置即可,AWVS即会开始对目标网站进行漏洞扫描,并最终展示扫描结果。
观察漏扫结果,目标网站存在SQL注入漏洞,且AWVS标明了漏洞路径和漏洞利用方法,结合AWVS提示,访问存在漏洞的页面:http://demo.testfire.net/bank/login.aspx,发现是一个登录界面,AWVS提示其uid(对应表单Username)与pwd(对应表单Password)字段均存在注入漏洞,于是,尝试输入万能帐号密码' or '1'='1进行注入尝试,最终成功登录(由于是测试网站所以漏洞利用都很简单)。
同时,AWVS还支持B/S结构的扫描方式——即可以通过AWVS安装至服务器中,通过Web访问形式控制AWVS进行漏扫。
同时,AWVS还支持B/S结构的扫描方式——即可以通过AWVS安装至服务器中,通过Web访问形式控制AWVS进行漏扫。
在Tools Explorer中,选择’Configuration’->’Application Setting’->’Scheduler’,单击’Change administrative password’填写远程访问所需用户名及密码,然后勾选’Allow remote computers to connect’,’Apply’即可。
输入https://IP:8183 (端口可自行设定)即可通过Web页面配置漏扫任务。可配置选项:
- 扫描整站或页面
- 扫描周期:仅一次、每天、每周、每月
- 扫描启动时间(HH:MM)
- 扫描配置
- 扫描模式
- 重要时间规避(指定时间不做扫描)
- 报告生成方式
AppScan
AppScan可扫描、检测常见的Web应用安全漏洞,属于商业级漏洞扫描、检测安全工具。
近年,IBM为AppScan引进了一个新的组件——Glass Box,引入了运行时分析技术,提高扫描的精确度,有利于发现更多的漏洞。具体介绍可参见:传送门
AppScan的特性和功能:
由于没有下载安装AppScan,而其功能和界面、结果呈现跟AWVS相似,故不做更多介绍。
值得一提的是,AppScan支持用户自定义工具,打开’工具’->’PowerTool’->’外部工具’,单击’添加’按钮即可完成自定义工具的添加——如菜刀。
2018年10月6日星期六
-
犯罪团伙对安装在物流网点手持终端(俗称巴枪)中的“菜鸟驿站”APP进行破解后,植入控件程序。通过相关省份“菜鸟驿站”服务商进行推广安装后,直接通过数据回传获得数据。截至破案,遭非法窃取的“菜鸟驿站”快递数据超过1000万条;数据涉及到各大高校的大学生。吐槽:堡垒,往往从内部攻破。
-
根据Armis的估算,仍有超过20亿的设备仍然暴露在风险之中,它们没有进行更新,或者压根就接收不到更新补丁。
-
原文被删,搜狐转载。从行文来看,偏向认为是软文。先给出文章结论:
吐槽:偏向认为是软文且有一定diss他家的倾向,估计这也是freebuf删文的原因。 -
Virobot同时兼具僵尸网络和勒索软件的特征,在微软Outlook上以垃圾邮件的方式进行传播。吐槽:所以安全意识真的很重要
-
如题。吐槽:前有水滴后有青果。互联网浪潮扑向传统行业时,带来的流氓是非常’有文化’的。
-
Polymorph是一个用Python3编写的框架,其允许实时修改网络数据包,为用户提供对数据包内容的最大化控制。该框架旨在实现任何现有协议(包括没有公共规范的私有协议)的网络数据包的实时修改。除此之外,其主要目的之一是为用户提供对数据包内容的最大化控制,并能够对信息执行复杂处理。吐槽:有点过于硬核,不过可自行对通信包编程处理这点,对于很多猿很有帮助。
- 9.25 基于设备指纹的风控建模以及机器学习的尝试简单的学习和实践笔记。可以关注的是:机器学习中不丢弃数据,而是通过升维细化数据,再对数据进行学习处理以及降维,保障有效数据的丢失率趋零。
- 9.25 macOS文件扩展名隐藏方式友情帮顶。安全客翻译党:macOS小技巧:文件扩展名吐槽:对机翻党真的是很鄙视。不过有想过自动化机翻然后投稿 →_→
- 9.26 一个人的安全部之大话企业数据安全保护延续上一次的整体设计之后,针对数据安全做了详细介绍,较多干货。吐槽:个人觉得干货比上一文多,当然也可能是我自己水平太低的问题。
- 9.26 火眼:《2018上半年电子邮件威胁报告》火眼的分析基于其2018年1月到6月检测的5亿多封电子邮件样本, 其中仅32%的电子邮件流量可被视为“干净”,也就是说没有或仅有极少风险的“干净”邮件,被证实发送到了用户收件箱。不过,邮件“不干净”倒也未必意味着就存在恶意企图。火眼指出,电子邮件中包藏祸心的仅占1/101。吐槽:最烦这种要邮箱才给报告的了——“不干净”邮件就有你们的一份。
- 9.27 金融行业微蜜罐系统应用思考高交互蜜罐通常模拟一个真实的或者仿真度高的系统环境,其优势是提供了真实的环境,迷惑性高,因而能够将攻击者的更多的活动和行为记录下来。缺陷也是显而易见的,这类系统容易成为攻击者的跳板,通常部署的点也不会太多,因此能够发挥的价值也就相对有限。低交互蜜罐——即微蜜罐,则是模拟服务、陷阱文件等方式,获取攻击者有限的攻击行为(通常是针对模拟的服务)。吐槽:所以欢迎使用绿盟微蜜罐
-
如题。历时四个月,多次提醒,乌克兰军方系统多服务器使用弱密码——用户名“admin”、密码“123456”。吐槽:果然安全最大的敌人是zz用户。
-
360追日团队发现毒云藤组织对中国国防、政府、科技、教育以及海事机构等重点单位和部门进行了长达11年的网络间谍活动。该组织主要关注军工、中美关系、两岸关系和海洋相关领域。恩,数字强大。
- 9.27 BLE安全入门及实战(2)配合BLE安全入门及实战(1)食用。可对蓝牙嗅探、攻击有基础的了解和入门。吐槽:IOT安全方向真的很酷啊。
-
Njrat,又称Bladabindi,该木马家族使用.NET框架编写,是一个典型的RAT类程序,通过控制端可以操作受控端的文件、进程、服务、注册表内容,也可以盗取受控端的浏览器的保存的密码信息等内容。新版的Njrat新增了更加流行的一些功能点,如勒索、压力测试(DDOS),BTC钱包采集、对抗安全工具等使用新功能。吐槽:一种都是程序员,都要加班添加新feature的感觉。
- 9.28 “绿斑”行动——持续多年的攻击“绿斑”组织的攻击以互联网暴露目标和资产为攻击入口,采用社工邮件结合漏洞进行攻击,其活跃周期可能长达十年以上。“绿斑”攻击组织主要针对中国政府部门和航空、军事、科研等相关的机构和人员进行网络攻击,试图窃取机密文件或数据。这是一组时间跨度非常漫长的攻击行动,目前可以确定该攻击组织的活跃时间超过7年,甚至可能达到11年以上。该攻击组织主要采用的手法是鱼叉式网络钓鱼攻击,即以邮件作为攻击前导,邮件附件使用有社工技巧的格式溢出文档或伪装过EXE可执行文件,进行定向投放,该组织对开源后门程序进行了大量改造,使其符合作业需要,并绕过主机防护软件。在该组织的攻击中,罕有使用0day攻击的情况,而反复使用陈旧漏洞,但其对漏洞免杀技巧的应用是熟练的,甚至是抢先的。在侵入主机后,通过加密和动态加载等技术手段,试图达成进入目标并在目标机器内长期潜伏而不被发现的效果。吐槽:安天的报告主观性比较强,但安全思考高度足够,结论看起来很爽。
- 9.28 移动互联网十年八卦文。值得一看。
-
Yahoo! Mail iOS APP应用,也就是雅虎邮箱的iOS版本,在该APP应用程序的xml文件中存在一个存储型XSS漏洞。攻击者可以利用XML特性构造任意HTML/Javascript代码嵌入邮件,在该APP用户打开邮件时,都可以实现这种任意代码渲染呈现,极端点来说,利用XML的实体扩展攻击,可以形成DoS攻击,造成APP服务崩溃。证实存在xss漏洞后,可用”GET”方法对本地APP客户端资源进行获取,获取到雅虎邮箱iOS应用的整个缓存数据,其中包括用户cookie、通讯录列表、邮件内容等等。吐槽:所以一定要打脸打的生疼才能评高星。
-
汇总贴,可看正文,目前使用较为普遍的是 Burp Suite 、 Charles 和 fiddler。
- 9.29 揭秘网络犯罪分子如何利用区块链隐藏自己基于360此前的Fbot报告,本文提出黑产利用区块链技术构建地下论坛、在线市场等案例,指出黑产利用区块链隐藏自身将会越来越普遍。吐槽:永远是道高一尺魔高一丈(魔总走在前面啊)
-
360Netlab发现一伙攻击者利用GhostDNS系统攻击了巴西地区超过 70 种、100,000 个家用路由器,通过篡改这些路由器上的配置,攻击者劫持了这些路由器的DNS解析,并进一步窃取了路由器用户在 50+ 网站上的登录凭证、银行帐号等信息。被劫持通信的网站主要涉及银行,云主机服务商等网站,其中也包括avira安全公司。
- 9.30 代码自动化扫描系统的建设(下)本质上还是一个系统设计文档,重点在于自动化系统的搭建。(可套用在诸多非安全系统上)吐槽:当然对于初创公司或初创安全团队很有借鉴指导意义
订阅:
博文 (Atom)