网络安全日报 2023年04月21日
1、跨国 ICICI 银行泄露数百万条敏感数据,包括护照和信用卡等详细信息
https://securityaffairs.com/145094/uncategorized/icici-bank-data-leak.html ICICI 银行泄露了数百万条包含敏感数据的记录,ICICI Bank 是一家印度跨国公司,市值超过 760 亿美元,在印度拥有 5,000 多家分支机构,并在全球至少另外 15 个国家开展业务。泄露的数据包括银行账户详细信息、银行对账单、信用卡号码、全名、出生日期、家庭住址、电话号码、电子邮件、个人身份证件以及员工和候选人的简历。
2、VMware 修复了 vRealize 中允许以 root 身份执行任意代码的严重漏洞
https://securityaffairs.com/145087/security/critical-flaw-vmware-vrealize.html 虚拟化巨头 VMware 发布了安全更新以解决两个严重漏洞,跟踪为CVE-2023-20864 和 CVE-2023-20865,影响 VMware Aria Operations for Logs 产品(以前称为 vRealize Log Insight)。
3、Lazarus在最近攻击中使用新Linux 恶意软件,并与 3CX 供应链攻击有关
https://securityaffairs.com/145073/apt/lazarus-apt-linux-malware-3cx-attack.html APT 组织 Lazarus 在 Operation DreamJob(又名DeathNote或NukeSped)的活动中使用了新的 Linux 恶意软件。ESET 研究人员称对最近攻击的分析揭示了 Dream Job 活动中使用的工件与3CX 供应链攻击中使用的工件之间的相似之处。
4、研究人员披露阿里云数据库服务两大关键漏洞
https://securityaffairs.com/145061/hacking/brokensesame-alibaba-cloud-flaws.html 云安全公司 Wiz 的研究人员在阿里云的 ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreSQL 中发现了两个严重漏洞,统称为 BrokenSesame。这两个漏洞分别是AnalyticDB提权问题和ApsaraDB RDS远程代码执行漏洞。攻击者可以将这两个漏洞串联起来,从而导致对阿里巴巴数据库服务的 RCE。Wiz 于 2022 年 12 月向阿里云报告了这些漏洞,该公司于
5、Trigona 勒索软件以 Microsoft SQL 服务器为目标
https://securityaffairs.com/145036/cyber-crime/trigona-ransomware-targets-microsoft-sql-servers.html 威胁行为者正在入侵安全性差且暴露于内部的 Microsoft SQL 服务器以部署 Trigona 勒索软件。
6、Microsoft Defender 更新导致 Windows 硬件堆栈保护混乱
https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-update-causes-windows-hardware-stack-protection-mess/ 最近的 Microsoft Defender 更新推出了一项名为“内核模式硬件强制堆栈保护”的新安全功能,同时删除了 LSA 保护功能。
7、马斯克称:美国政府及情报机构可监视推特所有私聊信息
https://moguldom.com/442677/elon-musk-the-us-government-intelligence-agencies-had-access-to-twitter-backdoor-ability-to-spy-on-direct-messages/ 推特首席执行官埃隆·马斯克近日在采访中表示,他上任之前得知美国政府可以完全访问推特用户的私聊信息,这让他感到非常震惊。
8、2023网络安全成熟度报告:弱密码依旧排名第一
https://www.freebuf.com/articles/paper/364015.html 全球数字化给企业带来一个直观的安全风险是攻击面正在持续扩大。根据CrowdStrike Falcon Surface公开的数据显示,企业云环境中暴露的资产中有30%存在严重漏洞,针对企业的勒索攻击、APT攻击、数据泄露等安全事件越来越多,网络攻击方式也趋向复杂化、利益化。
9、Patchwork组织卷土重来,针对境内教育科研单位再次发起攻击行动
https://www.secrss.com/articles/53940 近期,深信服深瞻情报实验室联合深信服安服应急响应中心监测到APT组织对国内高校和科研单位的最新攻击动态,并结合深信服创新研究院混动图AI模型分析,将该样本归因为Patchwork组织发起的攻击。Patchwork组织, 又称摩诃草、白象、APT-Q-36、APT-C-09,是一个来自于南亚地区的境外APT组织。
10、欧盟网络安全战略最后一块拼图:《网络团结法案》提案发布
https://www.secrss.com/articles/53934 欧盟发布《网络团结法案》提案,要求投资超80亿元,建立欧盟安全运营中心“网络护盾”、欧盟网络民兵预备队,以应对大规模网络攻击。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年04月20日
1、谷歌修补了 2023 年的第二个 Chrome 零日漏洞
https://www.securityweek.com/google-patches-second-chrome-zero-day-vulnerability-of-2023/ 该漏洞跟踪为 CVE-2023-2136,该安全缺陷被描述为 Skia 中的高严重性整数溢出问题。CVE-2023-2136 是 Chrome 今年解决的第二个零日漏洞,此前 CVE-2023-2033 是 V8 JavaScript 引擎中的类型混淆问题,上周已通过紧急补丁解决。
2、Oracle 2023 年 4 月的关键补丁更新包括 433 个新的安全补丁
https://www.securityweek.com/oracle-releases-433-new-security-patches-with-april-2023-cpu/ 甲骨文周二宣布发布 433 个新补丁作为其季度安全更新的一部分,其中包括 70 多个严重漏洞修复程序。超过 250 个已解决的漏洞可以在无需身份验证的情况下被远程利用。一些已解决的错误会影响多个产品。
3、美国和英国机构警告与俄罗斯有关的 APT28 利用老的思科路由器漏洞
https://securityaffairs.com/145007/apt/apt28-targets-cisco-networking-equipment.html 与俄罗斯有关的APT28组织利用未打补丁的思科路由器,以部署利用未打补丁的CVE-2017-6742 漏洞(CVSS 评分:8.8)的恶意软件。
4、伊朗黑客对美国基础设施进行报复性网络攻击
https://www.bleepingcomputer.com/news/security/microsoft-iranian-hackers-behind-retaliatory-cyberattacks-on-us-orgs/ 微软发现一个名为“Mint Sandstorm”的伊朗黑客组织正在对美国的关键基础设施进行网络攻击,据研究这是对近年伊朗遭到基础设施的攻击的报复行为。其中包括2021年6月对伊朗铁路系统的破坏攻击,以及2021年10月导致伊朗加油站停电的网络攻击 。微软认为,伊朗政府现在允许国家支持的威胁行为体在进行攻击时有更多的自由,从而导致网络攻击的整体增加。
5、安全公司发现基于Go语言的新型勒索软件CrossLock
https://blog.cyble.com/2023/04/18/crosslock-ransomware-emerges-new-golang-based-malware-on-the-horizon/ 安全公司CRIL发现了一种使用“Go”编程语言创建的新型勒索软件CrossLock,该勒索软件针对企业要求支付大笔赎金。除了加密受害者的文件外,还采用双重勒索策略,威胁受害者如果不支付赎金,会将窃取的敏感数据发布在泄漏网站上。研究人员对CrossLock勒索软件进行了技术分析,并给出安全措施建议。
6、YouTube被利用分发Aurora Stealer恶意软件
https://thehackernews.com/2023/04/youtube-videos-distributing-aurora.html Aurora是一种基于Go的信息窃取程序,于2022年底出现在威胁领域,通过YouTube视频和SEO准备的虚假破解软件下载网站进行分发。单击YouTube视频描述中的链接会将受害者重定向到诱饵网站,在这些网站上,他们会被诱使在看似合法的程序外衣下下载恶意软件。
7、2022年澳大利亚因诈骗损失31亿美元
https://www.bleepingcomputer.com/news/security/australians-lost-a-record-31-billion-to-scams-last-year/ 澳大利亚竞争与消费者委员会 (ACCC) 表示,2022 年澳大利亚人因诈骗损失了创纪录的31亿美元,比2021年记录的总损失增加了 80%。大多数损失与投资诈骗有关,损失达15亿美元,其次是远程访问诈骗,造成2.29亿美元的损失,以及支付重定向诈骗,受害者又损失了2.24亿美元。
8、美国电信巨头CommScope遭勒索软件攻击,数万员工数据在暗网泄露
https://www.freebuf.com/news/364073.html 美国大型电信和IT基础设施巨头CommScope证实,在3月份遭到勒索软件攻击,该攻击导致员工数据和公司文件被泄露。目前,Vice Society勒索团伙声称已经在该组织的暗网上公布了在此次攻击中被盗的大量CommScope员工数据
9、iOS 17 将支持应用侧载以遵守欧盟监管规定
https://www.solidot.org/story?sid=74696 苹果将在 iOS 17 中首次加入对应用侧载(sideloading)的支持,允许 iOS 用户安装从官方商店 App Store 之外下载的应用。
10、新型 QBot 电子邮件攻击利用 PDF 和 WSF传播恶意软件
https://www.bleepingcomputer.com/news/security/new-qbot-email-attacks-use-pdf-and-wsf-combo-to-install-malware/ 从4月开始,安全研究人员正记录一种新型 Qbot 电子邮件攻击——下载 Windows 脚本文件 (WSF) 以在受害者设备上安装 Qbot 的 PDF 附件。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年04月19日
1、8220组织利用Log4Shell漏洞安装挖矿程序
https://asec.ahnlab.com/ko/51362/ 安全公司发现8220 Gang攻击组织正在利用VMware Horizon服务器上的 Log4Shell漏洞安装挖矿程序。由于许多在运行的系统存在漏洞且未进行漏洞修补,因此正成为众多攻击者的攻击目标。Log4Shell (CVE-2021-44228) 是基于Java日志实用程序Log4j的一个漏洞。
2、以色列黑客间谍公司QuaDream将关闭
https://www.hackread.com/quadream-israeli-iphone-hacking-spyware-shut-down/ QuaDream 总部位于以色列拉马特甘,拥有约 40 名员工,以其用于入侵iPhone的间谍软件而闻名。最近因开发了可以破解iPhone的间谍软件被Citizen Lab和微软曝光。据透露,该公司近期计划将解雇大部分员工并关闭其业务,只保留一小部分人员来监督业务关闭。
3、APT组织Gamaredon被指对乌克兰发起网络钓鱼活动
https://blog.eclecticiq.com/exposed-web-panel-reveals-gamaredon-groups-automated-spear-phishing-campaigns EclecticIQ研究人员发现了针对乌克兰政府实体的鱼叉式网络钓鱼活动,并确定了一个公开暴露的简单邮件传输协议 (SMTP) 服务器。SMTP服务器包含一个网页面板,旨在创建和分发鱼叉式网络钓鱼电子邮件。在SMTP服务器配置中发现的观察其策略、技术和程序 (TTP)、受害者学和基础设施与之前识别的Gamaredon活动重叠。Gamaredon APT组织被认为是俄罗斯国家支持的威胁
4、Apache Solr代码执行漏洞安全风险通告
https://www.secrss.com/articles/53770 近日,奇安信CERT监测到 Apache Solr 代码执行漏洞,Apache Solr 默认配置下存在服务端请求伪造漏洞。
5、NSO Group 在 2022 年至少使用了三个 iOS 零点击漏洞
https://www.securityweek.com/nso-group-used-at-least-3-ios-zero-click-exploits-in-2022-citizen-lab/ 根据 Citizen Lab 的一份新报告,以色列间谍软件供应商 NSO Group 在 2022 年至少使用了三个以前未知的 iOS 零点击漏洞。
6、Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯
https://www.secrss.com/articles/53859 ark.IoT 在沉寂了一段时间后,开始了新一轮的更新与传播,其中更是滥用 DNS 托管服务商来与白域名进行 C2 通讯。
7、网络安全专家暂时中断了 RedLine Stealer 的操作
https://securityaffairs.com/144974/cyber-crime/experts-temporary-distrupted-redline-stealer-op.html 研究人员发现恶意软件控制面板使用 GitHub 存储库作为 dead-drop 解析器。ESET 研究人员宣布在 GitHub 的帮助下暂时中断了RedLine Stealer的运行。
8、新的 Chameleon Android 恶意软件模仿银行、政府和加密应用程序
https://www.bleepingcomputer.com/news/security/new-chameleon-android-malware-mimics-bank-govt-and-crypto-apps/ 移动恶意软件是由网络安全公司 Cyble 发现的,该公司报告称通过受感染的网站、Discord 附件和 Bitbucket 托管服务进行分发。
9、Black Basta 声称它正在出售被盗的 Capita 数据
https://www.theregister.com/2023/04/18/capita_breach_gets_worse/ Black Basta 声称是最近入侵 Capita 的勒索者,据报道他们正在出售敏感信息,包括从 IT 外包巨头那里窃取的银行账户信息、地址和护照照片。
10、随着威胁行为者利用新的 AI 工具,网络钓鱼攻击激增
https://www.infosecurity-magazine.com/news/phishing-surge-threat-actors-ai/ 根据零信任安全供应商 Zscaler 的 ThreatLabz 网络钓鱼报告,与 2021 年相比,2022 年全球网络钓鱼活动增加了近 50%,部分原因是威胁行为者可以使用网络钓鱼工具包和新的人工智能工具。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
软件安全之CRC检测
CRC介绍
在玩某些游戏,例如fps类游戏时,你想要修改某些特定的数值实现一些功能,这时你很有可能会被查封账号甚至禁封机器码。因为你更改了游戏中的数据,从而导致接收方收到”错误的数据“。为尽量提高接收方收到数据的正确率,在接收数据之前需要对数据进行差错检测,这种检测就是我们所说的CRC检测。
CRC也叫循环冗余校验码,它属于密码学一类算法,常用于数据校验,一般会用来检测程序是否被脱壳或者被修改,以达到防破解的目的。CRC运算实际上就是将数据k进行模2运算,得到余数n,然后将n拼接到k的后面生成k+n为循环冗余校验码的字长。接着发送k+n到接收方作为被除数进行模2运算,判断余数是否为0,如果余数非0则CRC检测出数据被修改了。简单点说,就是把需要校验的数据与生成多项式进行循环异或处理。
PS:
1.发送方和接受方会约定一个特定的除数,它是一个定值,我们也叫除数为生成多项式。
2.在计算余数时,被除数也就是数据k需要进行补0,补0个数为生成多项式长度-1个0。
3.余数长度一定与补零的长度一致
流程图:
讲了这么多不如来个例子好理解
例子1:这里数据为1110101,生成多项式为101,那么我们要传给接收方的数据就为1110101(数据)+10(余数)=111010110
这个就是CRC的计算原理了
CRC计算的两种方式
1.直接计算法
这里我们通过例子来讲解,例子2:
首先我们看到这里的生成项是1101,然后在计算中的除数(蓝色字体标记)大多是1101而有时是0000,当除数为1101时被除数的首位都是1,而首位不为1时就是0000。那么我们不妨做个假设,既然被除数和除数的首位为1时会被消掉那么我们就不需要四位异或了,改成三位异或,三位异或的话被除数一次就取三个,而除数取后三个,当被除数首位为1时就左移一位让新的三位与除数(生成项)的后三位进行异或;当被除数移出位是0时就异或000,然后不断重复此步骤直至结束。(这里是针对本例题的,当你的生成项为n时,你就取n-1位异或)
那么就会有人问到底需要重复几次才算结束呢?
处理次数=待处理数据位数(被除数位数)=商的位数(本题次数为6次)
例如本题第一次被除数取100,左移一位得001然后与101异或得100。100左移一位得000然后与101异或得101。101左移一位得010然后与101异或得111。111左移一位得110然后与101异或得011。011左移一位得110然后与000异或得110(与000异或值是不变的)。110左移一位得100然后与101异或得001得到余数刚好6次。
2.驱动表法
驱动表法没有直接计算法得直观,但是效率却比直接计算法要高那么如何实现呢?我们知道直接计算法是一步一步从上往下来异或得到得结果,在算得过程中会有异或许多生成项,而生成项又是不变的,那么是不是可以提前计算出与数据前几位符合的生成项之和然后再异或呢?
那么我们就将0000 0000 ~ 1111 1111这个范围的所有生成项计算出来存储为表格,计算的时候取数据的首字节进行索引找到表中对应生成项异或的和与去掉首字节的数据进行异或就行了。
表的形成
终于过度到表了,这里我们来用算法实现表,让你清楚明白它的原理,这里我们拿CRC32表的形成举例首先得了解一下CRC32的生成项是什么
想要了解更多的CRC以及它的生成多项式可以去这里看:http://www.ip33.com/crc.html
#include <windows.h>
#include <stdio.h>
int main()
{
DWORD crc;
for (DWORD i = 0; i < 256; i++)//256个元素
{
crc = i;
for (DWORD k = 0; k < 8; k++)//因为这里异或是从数据的高位开始,所以需要计算的数据左移8位,这里就需要计算8次
{
if (crc & 1)//判断最高位是否为1
crc = (crc >> 1) ^ 0xEDB88320;//最高位为1,右移一位,然后与0xEDB88320异或
else
crc = crc >> 1;//最高位为0时,不用异或,整体数据右移一位。相当于例子2中110与000异或值是不变的
}
printf ("0x%08x, ", crc);
if (((i+1)%6) == NULL )
printf ("\n");
}
}
/*CRC32表
0x00000000, 0x77073096, 0xee0e612c, 0x990951ba, 0x076dc419, 0x706af48f,
0xe963a535, 0x9e6495a3, 0x0edb8832, 0x79dcb8a4, 0xe0d5e91e, 0x97d2d988,
0x09b64c2b, 0x7eb17cbd, 0xe7b82d07, 0x90bf1d91, 0x1db71064, 0x6ab020f2,
0xf3b97148, 0x84be41de, 0x1adad47d, 0x6ddde4eb, 0xf4d4b551, 0x83d385c7,
0x136c9856, 0x646ba8c0, 0xfd62f97a, 0x8a65c9ec, 0x14015c4f, 0x63066cd9,
0xfa0f3d63, 0x8d080df5, 0x3b6e20c8, 0x4c69105e, 0xd56041e4, 0xa2677172,
0x3c03e4d1, 0x4b04d447, 0xd20d85fd, 0xa50ab56b, 0x35b5a8fa, 0x42b2986c,
0xdbbbc9d6, 0xacbcf940, 0x32d86ce3, 0x45df5c75, 0xdcd60dcf, 0xabd13d59,
0x26d930ac, 0x51de003a, 0xc8d75180, 0xbfd06116, 0x21b4f4b5, 0x56b3c423,
0xcfba9599, 0xb8bda50f, 0x2802b89e, 0x5f058808, 0xc60cd9b2, 0xb10be924,
0x2f6f7c87, 0x58684c11, 0xc1611dab, 0xb6662d3d, 0x76dc4190, 0x01db7106,
0x98d220bc, 0xefd5102a, 0x71b18589, 0x06b6b51f, 0x9fbfe4a5, 0xe8b8d433,
0x7807c9a2, 0x0f00f934, 0x9609a88e, 0xe10e9818, 0x7f6a0dbb, 0x086d3d2d,
0x91646c97, 0xe6635c01, 0x6b6b51f4, 0x1c6c6162, 0x856530d8, 0xf262004e,
0x6c0695ed, 0x1b01a57b, 0x8208f4c1, 0xf50fc457, 0x65b0d9c6, 0x12b7e950,
0x8bbeb8ea, 0xfcb9887c, 0x62dd1ddf, 0x15da2d49, 0x8cd37cf3, 0xfbd44c65,
0x4db26158, 0x3ab551ce, 0xa3bc0074, 0xd4bb30e2, 0x4adfa541, 0x3dd895d7,
0xa4d1c46d, 0xd3d6f4fb, 0x4369e96a, 0x346ed9fc, 0xad678846, 0xda60b8d0,
0x44042d73, 0x33031de5, 0xaa0a4c5f, 0xdd0d7cc9, 0x5005713c, 0x270241aa,
0xbe0b1010, 0xc90c2086, 0x5768b525, 0x206f85b3, 0xb966d409, 0xce61e49f,
0x5edef90e, 0x29d9c998, 0xb0d09822, 0xc7d7a8b4, 0x59b33d17, 0x2eb40d81,
0xb7bd5c3b, 0xc0ba6cad, 0xedb88320, 0x9abfb3b6, 0x03b6e20c, 0x74b1d29a,
0xead54739, 0x9dd277af, 0x04db2615, 0x73dc1683, 0xe3630b12, 0x94643b84,
0x0d6d6a3e, 0x7a6a5aa8, 0xe40ecf0b, 0x9309ff9d, 0x0a00ae27, 0x7d079eb1,
0xf00f9344, 0x8708a3d2, 0x1e01f268, 0x6906c2fe, 0xf762575d, 0x806567cb,
0x196c3671, 0x6e6b06e7, 0xfed41b76, 0x89d32be0, 0x10da7a5a, 0x67dd4acc,
0xf9b9df6f, 0x8ebeeff9, 0x17b7be43, 0x60b08ed5, 0xd6d6a3e8, 0xa1d1937e,
0x38d8c2c4, 0x4fdff252, 0xd1bb67f1, 0xa6bc5767, 0x3fb506dd, 0x48b2364b,
0xd80d2bda, 0xaf0a1b4c, 0x36034af6, 0x41047a60, 0xdf60efc3, 0xa867df55,
0x316e8eef, 0x4669be79, 0xcb61b38c, 0xbc66831a, 0x256fd2a0, 0x5268e236,
0xcc0c7795, 0xbb0b4703, 0x220216b9, 0x5505262f, 0xc5ba3bbe, 0xb2bd0b28,
0x2bb45a92, 0x5cb36a04, 0xc2d7ffa7, 0xb5d0cf31, 0x2cd99e8b, 0x5bdeae1d,
0x9b64c2b0, 0xec63f226, 0x756aa39c, 0x026d930a, 0x9c0906a9, 0xeb0e363f,
0x72076785, 0x05005713, 0x95bf4a82, 0xe2b87a14, 0x7bb12bae, 0x0cb61b38,
0x92d28e9b, 0xe5d5be0d, 0x7cdcefb7, 0x0bdbdf21, 0x86d3d2d4, 0xf1d4e242,
0x68ddb3f8, 0x1fda836e, 0x81be16cd, 0xf6b9265b, 0x6fb077e1, 0x18b74777,
0x88085ae6, 0xff0f6a70, 0x66063bca, 0x11010b5c, 0x8f659eff, 0xf862ae69,
0x616bffd3, 0x166ccf45, 0xa00ae278, 0xd70dd2ee, 0x4e048354, 0x3903b3c2,
0xa7672661, 0xd06016f7, 0x4969474d, 0x3e6e77db, 0xaed16a4a, 0xd9d65adc,
0x40df0b66, 0x37d83bf0, 0xa9bcae53, 0xdebb9ec5, 0x47b2cf7f, 0x30b5ffe9,
0xbdbdf21c, 0xcabac28a, 0x53b39330, 0x24b4a3a6, 0xbad03605, 0xcdd70693,
0x54de5729, 0x23d967bf, 0xb3667a2e, 0xc4614ab8, 0x5d681b02, 0x2a6f2b94,
0xb40bbe37, 0xc30c8ea1, 0x5a05df1b, 0x2d02ef8d
*/
注意这里用红色标识的右移,这里如果按照直接计算法来说不应该是要左移吗,为什么又右移了呢?
注意看这个表的倒数第二个,CRC32,它的输入和输出都是需要进行反转的,也就是相当于逆向,我们就要将左移修改成右移
当然还会有人问它的多项式不应该是0x04C11DB7吗,怎么又变成了0xEDB88320了呢?
这是它是因为0xEDB88320是0x04C11DB7的反转。这个表的生成很简单,一般是用的是0xEDB88320这个反转多项式,假如用0x04C11DB7这个正常多项式则必须还要交换位,显然会很麻烦。
做一个CRC的检测程序
相信大家差不多能够理解CRC实现的大概过程了,前面主要是对CRC大致了解,而我们真正需要深入了解的是CRC32。CRC32常用于游戏以及一些 ARJ、LHA等压缩工具软件,那么接下来我们来写一个CRC32的检测程序。
#include <windows.h>
#include <stdio.h>
DWORD crc32_table[256];
void CRC32_Table()
{
DWORD crc;
//DWORD crc32_table[256];
for (int i = 0; i < 256; i++)
{
crc = i;
for (DWORD k = 0; k < 8; k++)
{
if (crc & 1)
crc = (crc >> 1) ^ 0xEDB88320;
else
crc >>= 1;
}
crc32_table[i] = crc; //生成并存储CRC32数据表
}
}
//根据CRC32表计算CRC校验码
DWORD Check_CRC32(DWORD crc, PUCHAR Data, DWORD len)
{
crc = 0xFFFFFFFF; //将CRC初始化为-1
CRC32_Table();
for (DWORD i = 0; i < len; i++)
{
crc = (crc >> 8) ^ crc32_table[(crc ^ Data[i]) & 0xff];
}
return ~crc;//输出的反转
}
int main()
{
SetConsoleTitle("CRC32检测器");
printf("开始检测");
//初始内存校验值
DWORD Original_CRC32 = Check_CRC32(0, (PUCHAR)0x400000, 0x112000);
while (1)
{
//CRC循环校验实现实时检测
DWORD Cycle_CRC32 = Check_CRC32(0, (PUCHAR)0x400000, 0x112000);//这里第二个参数是基址,第三个个参数是一个校验的范围,也就是程序主模块镜像大小。
if (Cycle_CRC32 != Original_CRC32)
{
MessageBoxA(NULL, "已检测到您修改了代码!", "警告", MB_YESNO);
}
//为了防止频繁弹出信息框,这里使用的Sleep函数控制检测的周期,每5s弹出一次
Sleep(5000);
}
getchar();
}
这里初始化是因为待测数据的内容和长度是随机的,如果寄存器初始值为 0,那么待测字节是1字节的0x00,与待测字节是 N 字节的 0x00,计算出来的CRC32值都是0,那 CRC 值就没有意义了!所以寄存器用0xFFFFFFFF 进行初始化,就可以避免这个问题了
我这里的文件大小对应的是主模块镜像大小
实践是否能成功
这里我们用CE进行数据的修改
这里我们先手动添加地址,然后再将数值进行更改,我这里是改成了11111,然后过了5秒就弹出了警告。可以看出这个检测程序成功了!
当然有些有点基础的人会问,CRC不是检测代码的吗,为什么这里你修改的是数值也可以检测呢?
因为CRC是在代码段中进行操作实现的,在内存中数据根代码没有实质性的区别。
网络安全日报 2023年04月18日
1、BlackBit勒索软件在韩国蔓延
https://asec.ahnlab.com/ko/51272/ AhnLab安全应急响应中心(ASEC)发现正在分发伪装成svchost.exe的BlackBit勒索软件。通过检查ASEC内部基础设施,确认BlackBit勒索软件从去年9月左右开始传播一直现在。BlackBit 勒索软件使用 .Net Reactor 来混淆代码,据推测这会阻碍分析。实际运行的勒索软件可以确认类似于LokiLocker勒索软件的特征,安全公司对其进行了综合分析。
2、JNPR公司修补关键的第三方组件漏洞
https://www.securityweek.com/juniper-networks-patches-critical-third-party-component-vulnerabilities/ 网络、云和网络安全解决方案提供商 Juniper Networks 发布了公告,详细介绍了在其产品组合中发现的数十个漏洞,包括Junos OS和STRM的第三方组件中的错误,其中严重的漏洞可能导致,命令注入和代码执行,以及被利用来绕过现有的防火墙规则和限制等问题。 当前该公司没有提到任何这些漏洞被利用于恶意攻击的实例。
3、新的 QBot 活动利用被劫持的企业电子邮件传播恶意软件
4 月初,卡巴斯基专家观察到QBot恶意软件攻击(又名Qakbot、QuackBot 和Pinkslipbot)的攻击激增。QBot 自 2008 年以来一直活跃,它被威胁行为者用来从受害者那里收集浏览数据和银行凭证以及其他财务信息。
4、黑客从西部数据窃取到了 10 TB 数据
https://www.solidot.org/story?sid=74667 数据存储巨头西部数据本月初证实它在 3 月 26 日遭到入侵,但没有透露更多信息。现在参与发动此次攻击的一名黑客公开接受采访,披露了更多相关信息。
5、网络攻击致使德国药物研发巨头生产延误
https://www.secrss.com/articles/53733 德国药物研发巨头 Evotec 遭受网络攻击,目前正努力恢复被迫离线的 IT 系统,Evotec 公司拥有 4200 多名员工,2021 年通过开发治疗阿尔茨海默症、亨廷顿舞蹈症等疾病的药物实现了近 7 亿美元收入。
6、成立黑客政策委员会,谷歌出台全新网络安全计划
https://thehackernews.com/2023/04/google-launches-new-cybersecurity.html 4 月 14 日,谷歌正式公布了一系列举措,专门针对目前漏洞管理生态系统的不足,出台一些更透明度的制度和措施。
7、FIN7 和 Ex-Conti 网络犯罪团伙联手发起 Domino 恶意软件攻击
https://thehackernews.com/2023/04/fin7-and-ex-conti-cybercrime-gangs-join.html 由可能隶属于 FIN7 网络犯罪集团的威胁行为者开发的一种新型恶意软件已被现已解散的 Conti 勒索软件团伙的成员使用,表明这两个团队之间存在合作。
8、Remcos RAT恶意活动针对美国报税公司
https://securityaffairs.com/144851/cyber-crime/remcos-rat-tax-day-campaign.html 在美国纳税日之前,Microsoft观察到针对美国会计和报税准备公司的新Remcos RAT活动。网络钓鱼攻击始于2023年2月。Remcos是一款由BreakingSecurity公司开发的合法远程监控软件。2021年CISA将Remcos添加到顶级恶意软件变种列表中。最近的活动专门针对处理税务准备、金融服务、注册会计师和会计师事务所以及处理簿记和税务的专业服务公司的组织。
9、Chrome V8类型混淆漏洞 (CVE-2023-2033) 已被在野利用
https://www.secrss.com/articles/53814 Google Chrome V8类型混淆漏洞(CVE-2023-2033)被在野利用,攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而在应用程序上下文中执行任意代码。目前,此漏洞已检测到在野利用。
10、美国海军通过战略转型实现网络防御现代化
https://www.secrss.com/articles/53805 美国海军网络防御作战司令部(NCDOC)指挥官克里斯蒂娜·希克斯及海军网络防御作战司令部前行动主管布兰登·坎贝尔联合撰文称,美国海军在新冠疫情期间大胆转型,改变操作、保卫和防御数据的方式,实现了网络防御现代化。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年04月17日
1、研究人员发现新型新型Android银行木马-Chameleon
https://blog.cyble.com/2023/04/13/chameleon-a-new-android-malware-spotted-in-the-wild/Cyble Research & Intelligence Lab (CRIL) 根据恶意软件使用的命令识别出一种新型Android银行木马,将其称为“Chameleon”,主要因为该恶意软件似乎是一种新变种,并且似乎与任何已知的木马家族无关。该木马自 2023 年 1 月以来一直活跃,专门针对澳大利亚和波兰的用户进行观察。研究人员对该木马进行了技术分析并给出防护建议。
2、Android和Novi Survey漏洞正在被积极利用
https://thehackernews.com/2023/04/severe-android-and-novi-survey.html美国网络安全和基础设施安全局 (CISA) 已将两个漏洞添加到其已知利用漏洞 (KEV) 目录中。CISA在 CVE-2023-20963 的公告中表示:“Android Framework 包含一个未指明的漏洞,该漏洞允许在将应用程序更新到更高的 Target SDK 后进行权限提升,而无需额外的执行权限。”添加到 KEV 目录的第二个漏洞与Novi Survey软件中的不安全反序列化漏洞有关,该漏洞允许远程攻击者在服务帐户的上下文中在服务器上执行代码。
3、网络安全公司Darktrace公司驳斥LockBit 3.0声称的入侵行为
https://www.hackread.com/lockbit-3-0-ransomware-darktrace-cybersecurity-firm/Darktrace是一家领先的网络安全公司,以其 AI 驱动的威胁检测和响应解决方案而闻名。LockBit 3.0 声称已经入侵Darktrace,并在其门户网站上公开被盗数据,但点击该链接只会将重定向到Darktrace的官方网站。Darktrace迅速驳回了 LockBit 3.0 的声明,“我们的安全团队对我们的内部系统进行了全面审查,没有发现任何妥协的迹象。”
4、谷歌紧急修复了被利用的Chrome零日漏洞
https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-first-zero-day-of-2023/谷歌发布了一项紧急的Chrome安全更新,以应对今年以来首个被攻击利用的零日漏洞CVE-2023-2033。这个新版本将在未来几天或几周内向稳定桌面渠道的用户推出,并将解决Windows、Mac和Linux系统上的漏洞。
5、Vice Society勒索组织开发新的数据窃取工具
https://www.bleepingcomputer.com/news/security/vice-society-ransomware-uses-new-powershell-data-theft-tool-in-attacks/勒索软件组织Vice Society最近开发了一款复杂的PowerShell脚本,用于自动化从被攻击的网络中窃取数据。该工具的设计旨在隐蔽,不太可能触发安全软件的警报。且该脚本不需要任何参数,有一个主要的排除和包含列表来精确确定攻击哪些文件。该工具具有多进程和进程排队功能,以使其足迹小,活动隐蔽。
6、BlackCat勒索软件声称攻击NCR并导致其系统中断
https://www.bleepingcomputer.com/news/security/ncr-suffers-aloha-pos-outage-after-blackcat-ransomware-attack/NCR是一家美国软件和技术咨询公司,为餐厅、企业和零售商提供数字银行、POS 系统和支付处理解决方案。他们的产品之一,用于酒店服务的Aloha POS平台,自周三以来出现故障,客户无法使用该系统。NCR4月15日透露,中断是由勒索软件攻击造成的。研究人员在BlackCat勒索软件组织的数据泄露网站上发现了一个短暂的帖子,该组织声称对此负责。
7、研究人员发现新的Android恶意库Goldoson,相关应用下载超亿次
https://securityaffairs.com/144838/malware/goldoson-malicious-library-google-play.htmlGoldoson库会收集设备上安装的应用程序列表,以及Wi-Fi和蓝牙设备信息的历史记录,包括附近的GPS位置。第三方库可以在未经用户同意的情况下,通过点击后台广告进行广告欺诈。在Google Play中发现了60多个包含该恶意库的应用程序。这些应用程序在韩国的ONE商店和Google Play商店的总下载量超过 亿次。
8、黑客滥用Action1 RMM进行勒索攻击
https://www.bleepingcomputer.com/news/security/hackers-start-abusing-action1-rmm-in-ransomware-attacks/Action1是一种远程监控和管理 (RMM) 产品,托管服务提供商 (MSP) 和企业通常使用它来远程管理网络上的端点。该软件允许管理员自动进行补丁管理和安全更新部署、远程安装软件、对主机进行分类、解决端点问题以及获取实时报告。安全研究人员警告说,网络攻击者越来越多地使用Action1远程访问软件在受感染的网络上持久存在并执行命令、脚本和二进制文件。
9、西门子Metaverse暴露了企业敏感数据
https://securityaffairs.com/144832/security/siemens-metaverse-data-leak.html西门子Metaverse是一个虚拟空间,用于镜像真实的机器、工厂和其他高度复杂的系统,最近,Cybernews研究团队发现,西门子Metaverse暴露了敏感数据,包括公司的办公计划和物联网 (IoT) 设备,如果攻击者获得了暴露的数据,可能会对该公司和其他使用其服务的公司造成威胁,其中包括勒索软件攻击。
10、研究人员发现首款针对 macOS 系统的 LockBit 加密器
https://securityaffairs.com/144879/cyber-crime/lockbit-encryptor-targets-macos.html研究人员警告说,LockBit 勒索软件团伙已经开发出针对 macOS 设备的加密器。MalwareHunterTeam 团队警告称,LockBit 组织是有史以来第一个针对 macOS 系统创建加密器的勒索软件团伙。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年04月14日
1、DDoS攻击转移到VPS以增强构建能力
https://www.bleepingcomputer.com/news/security/ddos-attacks-shifting-to-vps-infrastructure-for-increased-power/ 据安全公司Cloudflare称,2023 年第一季度的超容量 DDoS(分布式拒绝服务)攻击已从依赖受感染的物联网设备转变为利用被破坏的虚拟专用服务器 (VPS)。新一代僵尸网络逐渐放弃了构建大量单独薄弱物联网设备的策略,现在正转向使用泄露的API凭据或已知漏洞利用易受攻击和配置错误的VPS服务器。这种方法可帮助威胁行为体更轻松、更快速地构建高性能僵尸网络,其强度比基于
2、Kyocera Android打印应用存在漏洞可能用于投放恶意软件
https://www.bleepingcomputer.com/news/security/kyocera-android-app-with-1m-installs-can-be-abused-to-drop-malware/ 根据JVN(Japanese Vulnerability Notes)的安全通知,Kyocera Android打印应用程序允许来自恶意第三方移动应用程序的数据传输,这可能导致恶意文件被下载。并且,通过使用KYOCERA Mobile Print网络浏览器功能,可以访问恶意站点并下载和执行恶意文件,从而获取移动设备的内部信息。Kyocera就此问题发布了一份安全公告
3、沃尔沃零售商客户信息遭泄露,涉及大量敏感文件
https://www.freebuf.com/news/363499.html 汽车制造巨头沃尔沃的巴西零售部门泄露了一些敏感文件,致使其在南美国家的客户处于危险之中。
4、海康威视存储解决方案中的严重漏洞可能暴露视频数据
https://www.securityweek.com/critical-vulnerability-in-hikvision-storage-solutions-exposes-video-security-data/ 海康威视修补了 CVE-2023-28808,这是一个严重的身份验证绕过漏洞,可暴露存储在其混合 SAN 和集群存储产品上的视频数据。
5、微软共享了如何检测BlackLotus UEFI Bootkit
https://www.securityweek.com/microsoft-shares-resources-for-blacklotus-uefi-bootkit-hunting/ 微软分享了有关威胁猎手如何检查其系统是否存在 BlackLotus UEFI bootkit 感染的详细信息。
6、恶意 ChatGPT 和 Google Bard 安装程序分发 RedLine Stealer
https://www.hackread.com/chatgpt-google-bard-installers-redline-stealer/ 当受害者安装来自其中一个赞助广告的恶意文件时,他们的设备就会被 RedLine 信息窃取程序劫持,然后窃取机密数据、破坏关键基础设施并危及金融账户。
7、WhatsApp 推出新的设备验证功能以防止帐户接管攻击
https://thehackernews.com/2023/04/whatsapp-introduces-new-device.html WhatsApp 周四宣布了一项新的帐户验证功能,可确保在用户移动设备上运行的恶意软件不会影响他们的帐户。
8、谷歌推出新的网络安全计划以加强漏洞管理
https://thehackernews.com/2023/04/google-launches-new-cybersecurity.html 谷歌周四概述了一系列旨在改善漏洞管理生态系统并围绕漏洞利用建立更高透明度措施的举措。
9、SD Worx在网络攻击后关闭英国和爱尔兰服务
https://securityaffairs.com/144629/hacking/sd-worx-suffered-cyberattack.html 人力资源和薪资管理公司SD Worx在网络攻击后关闭了其英国和爱尔兰服务的IT系统。
10、首度公开!美国网军申请超6亿元建设网络攻击关键平台
https://www.secrss.com/articles/53699 美国网络司令部申请8940万美元(约合人民币6.14亿元)预算,计划在2024财年建设一个关键的进攻性网络平台——联合通用访问平台(Joint Common Access Platform,JCAP)。这是该部门首次公开此类项目的预算数字。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年04月13日
1、现代汽车遭遇数据泄露,影响了法国和意大利的客户
https://securityaffairs.com/144732/data-breach/hyundai-suffered-data-breach.html 现代汽车披露了一起影响意大利和法国车主和预订试驾客户的数据泄露事件
2、QuaDream 监控公司的间谍软件使用零点击漏洞攻击 iPhone
https://securityaffairs.com/144723/malware/quadream-spyware.html Microsoft和Citizen Lab发现了一家以色列公司QuaDream制造的商业间谍软件,该软件使用名为ENDOFDAYS(隐形 iCloud 日历邀请)的零日漏洞来破坏高风险个人的iPhone。其会在没有任何通知或提示的情况下自动添加到用户的日历中,从而允许在没有用户交互的情况下运行,并且无法检测到攻击。该漏洞影响2021年1月至2021年11月期间运行 iOS 1.4 至 14.4.2 的iPhone。
3、OpenAI 启动了漏洞赏金计划
https://securityaffairs.com/144707/security/openai-launched-bug-bounty-program.html 人工智能公司 OpenAI 启动了漏洞赏金计划,并宣布为其 ChatGPT 聊天机器人服务中的安全漏洞悬赏高达 20,000 美元。
4、韩国交易所GDAC遭到黑客攻击,价值超1300万美元数字货币被盗
https://www.hackread.com/south-korea-exchange-gdac-hack-crypto/ GDAC CEO Han Seunghwan于2023年4月10日发布公告,透露攻击发生在2023年4月9日上午,黑客控制了交易所的部分在线钱包。被盗的加密货币包括61个比特币、350.5 个以太币、1000 万个WEMIX游戏货币和价值220000美元的Tethers,整体价值约1390万美元。为应对此次攻击,GDAC已暂停所有充提业务,并启动紧急服务器维护,还敦促其他加密货币交易所不要兑现从攻击者使用的地址进行的任何存款。
5、攻击者利用Windows日志系统零日漏洞部署Nokoyawa勒索软件
https://securelist.com/nokoyawa-ransomware-attacks-with-windows-zero-day/109483/ Microsoft修补了Windows通用日志文件系统 (CLFS) 中的一个零日漏洞( CVE-2023-28252 ),网络犯罪分子积极利用该漏洞提升权限并部署Nokoyawa勒索软件有效载荷。虽然大多数零日漏洞都被APT组织使用,但这个特殊的零日漏洞被一个复杂的网络犯罪集团使用,该组织进行勒索软件攻击。当前已经确定了五种不同的攻击方式,用于攻击零售和批发、能源、制造、医疗保健、软件开发和其他行业。
6、SAP针对两个严重漏洞发布安全更新
https://www.bleepingcomputer.com/news/security/sap-releases-security-updates-for-two-critical-severity-flaws/ 企业软件供应商SAP已发布其多款产品的2023年4月安全更新,其中包括对影响SAP Diagnostics Agent 和SAP BusinessObjects Business Intelligence Platform的两个严重漏洞的修复。SAP 总共发布了24 条说明,其中19 条涉及不同重要性的新问题,另外 5 条是对先前公告的更新。
7、加拿大云计算独角兽泄露WordPress管理员凭据、源代码和备份
https://cybernews.com/security/freshbooks-leaks-wordpress-credentials/ 一家拥有超过 30 万用户的流行会计软件提供商泄露了他们的 WordPress 管理员的凭据、源代码和服务器备份,冒着威胁行为者劫持其网站的风险。
8、美国“情报和国家安全联盟”提出五条“网络民参军路径”
https://www.secrss.com/articles/53619 美国民间贸易协会就加强美国进攻性网络能力提出建议。
9、开源家庭影院软件Kodi的400,000 名用户遭受数据泄露
https://www.securityweek.com/400000-users-hit-by-data-breach-at-media-player-maker-kodi/ 黑客窃取了包含用户帖子、消息和登录凭据的数据库。开源家庭影院软件开发商 Kodi 本周宣布,在 2023 年 2 月发生数据泄露事件后,它已开始重建其用户论坛。
10、乌克兰黑客入侵APT28领导人的电子邮件
https://www.hackread.com/ukraine-hackers-breach-apt28-fbi-wanted-hacker/ 乌克兰黑客组织Cyber Resistance,又名乌克兰网络联盟,声称已经入侵了俄罗斯GRU军官谢尔盖·亚历山德罗维奇·莫尔加乔夫中校 (Sergey Aleksandrovich Morgachev) 的电子邮件、社交媒体和个人账户。这些信息与名为InformNapalm的志愿情报社区共享。Morgachev是俄罗斯黑客组织APT28的领导人,APT28或Fancy Bear是俄罗斯政府支持的黑客组织,以针对其目标使用鱼叉式网络钓鱼活动而臭名昭
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
浅析DNS Rebinding
0x01 攻击简介
DNS Rebinding也叫做DNS重绑定攻击或者DNS重定向攻击。在这种攻击中,恶意网页会导致访问者运行客户端脚本,攻击网络上其他地方的计算机。
在介绍DNS Rebinding攻击机制之前我们先了解一下Web同源策略,
Web同源策略
同源策略(英语:Same-origin policy)是指在Web浏览器中,允许某个网页脚本访问另一个网页的数据,但前提是这两个网页必须有相同的URL、主机名和端口号,一旦两个网站满足上述条件,这两个网站就被认定为具有相同来源。此策略可防止某个网页上的恶意脚本通过该页面的文档对象模型访问另一网页上的敏感数据,比如XSS,XXE,SSRF等基于网页上的恶意脚本攻击。
同源的定义:如果两个 URL 的 协议、域名、端口都相同的话,则这两个 URL 是同源。
同源策略对Web应用程序具有特殊意义,因为Web应用程序广泛依赖于HTTP cookie来维持用户会话(session),所以必须将不相关网站严格分隔,以防止丢失数据泄露。
值得注意的是同源策略仅适用于脚本,这意味着某网站可以通过相应的HTML标签访问不同来源网站上的图像、CSS和动态加载 脚本等资源。而跨站请求伪造(CSRF)就是利用同源策略不适用于HTML标签的缺陷。
所以从理论上来讲,同源策略是能够有效的保证:客户端脚本只能访问为脚本提供服务的同一主机上的内容。
至此如何绕过Web同源策略也成了众多hacker研究的地方。
0x02 攻击原理:
这里说一下利用的TTL是什么:
TTL是英语Time-To-Live的简称,意思为一条域名解析记录在DNS服务器中的存留时间。当各地的DNS服务器接受到解析请求时,就会向域名指定的NS服务器发出解析请求从而获得解析记录;在获得这个记录之后,记录会在DNS服务器中保存一段时间,这段时间内如果再接到这个域名的解析请求,DNS服务器将不再向NS服务器发出请求,而是直接返回刚才获得的记录;而这个记录在DNS服务器上保留的时间,就是TTL值。
即TTL的数值越小,修改记录后所受的影响生效越快。
这里我们可以来构造一个DNS 重绑定的案例:
例如,要在192.168.32.10和127.0.0.1之间切换,我们可以将他们编码为dwords,使用https://lock.cmpxchg8b.com/rebinder.html工具:
7f000001.c0a8200a.rbndr.us
接下来,我们测试一下:
# host 7f000001.c0a8200a.rbndr.us
7f000001.c0a8200a.rbndr.us has address 127.0.0.1
# host 7f000001.c0a8200a.rbndr.us
7f000001.c0a8200a.rbndr.us has address 127.0.0.1
# host 7f000001.c0a8200a.rbndr.us
7f000001.c0a8200a.rbndr.us has address 127.0.0.1
# host 7f000001.c0a8200a.rbndr.us
7f000001.c0a8200a.rbndr.us has address 192.168.32.10
# host 7f000001.c0a8200a.rbndr.us
7f000001.c0a8200a.rbndr.us has address 127.0.0.1
# host 7f000001.c0a8200a.rbndr.us
7f000001.c0a8200a.rbndr.us has address 127.0.0.1
# host 7f000001.c0a8200a.rbndr.us
7f000001.c0a8200a.rbndr.us has address 192.168.32.10
# host 7f000001.c0a8200a.rbndr.us
7f000001.c0a8200a.rbndr.us has address 127.0.0.1
由此就达到了一个DNS 重绑定的效果。
0x03 攻击机制
攻击者无法控制名称服务器的载体,所有解析主机名(或 IP 地址,仍然是有效主机名)的请求都被重定向到由攻击者控制和操作的备用名称服务器。例如,如果我们有一个网址为 www.example-a.com 的网站,并且我们想要访问私有内部域邮件服务器或只能通过该特定私有 IP 地址访问的其他服务,则可以使用 DNS 重新绑定攻击来伪造这些地址之一。
0x04 攻击示例
攻击者注册一个域名,例如 IP 地址为 1.3.5.7 的 www.evil.com,将其委托给自己的 DNS 服务器(1.3.5.4),并使用钓鱼链接或电子邮件获取 HTTP 流量。
DNS 服务器没有发送正常的 TTL 记录,而是发送了一个非常短的 TTL 记录(例如,1 秒),防止条目 [www.evil.com, 1.3.5.7] 的 DNS 响应被缓存在受害者的(192.168.1.10 ) 浏览器。
对手的服务器首先用包含服务器 IP 地址 (1.3.5.7) 的JavaScript 等恶意脚本响应受害者。
对手使用 XMLHttpRequest (XHR) 将 HTTP 请求或 HTTPS 请求直接发送到对手的服务器并加载响应。
恶意脚本允许对手将主机名重新绑定到防火墙后面的目标服务器的 IP 地址 (192.168.1.2)。
然后服务器响应对手的真实目标,即与受害者(192.168.1.10)同域的内部主机IP(192.168.1.2)。
由于同一个名称解析为这两个 IP 地址,浏览器会将这两个 IP 地址(1.3.5.7 和 192.168.1.2)置于同一安全区域并允许信息在地址之间流动。
此外,攻击者可以通过发送多个短期IP地址来实现扫描和访问受害者本地网络(192.168.XX)中的所有内部主机。
0x05 攻击危害
DNS Rebinding可以通过让受害者的Web浏览器访问专用IP地址的机器并将结果返回给攻击者来破坏专用网络。 它也可以用于使用受害者机器发送垃圾邮件,分布式拒绝服务攻击(DDOS)或其他恶意活动,也就是我们常听说的肉机和僵尸机。
0x04-1 通过 DNS 重新绑定攻击进行网络渗透测试:
在某些情况下,用户会被诱骗使用这些网(例如,私人电子邮件服务器)创建网络钓鱼网站。由于发送到被劫持 URL 的所有流量现在都被发送回原始服务器,因此它变得完全混乱并迫使用户安装网络钓鱼页面。 以此来达到获取用户信息或者是用户权限的作用。
0x06 将DNS Rebinding应用到实际漏洞挖掘
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4096漏洞描述:1.8.2 之前的 GitHub 存储库 appsmithorg/appsmith 中的服务器端请求伪造 (SSRF)
复现链接:https://infosecwriteups.com/ssrf-via-dns-rebinding-cve-2022-4096-b7bf75928bb2
CVE-2023-26492
漏洞描述:Directus 是用于管理 SQL 数据库内容的实时 API 和应用程序仪表板。当从远程 Web 服务器导入文件(POST 到 /files/import)时,Directus 容易受到服务器端请求伪造 (SSRF) 的攻击。攻击者可以通过执行 DNS 重新绑定攻击并查看来自内部服务器的敏感数据或执行本地端口扫描来绕过安全控制。攻击者可以利用此漏洞访问高度敏感的内部服务器并窃取敏感信息。此问题已在版本 9.23.0 中修复。
CVE链接:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-26492
CVE-2022-43548
漏洞描述:由于 IsAllowedHost 检查不充分,Node.js 版本 <14.21.1、<16.18.1、<18.12.1、<19.0.1 中存在操作系统命令注入漏洞,该漏洞很容易被绕过,因为 IsIPAddress 没有正确检查 IP在发出允许重新绑定攻击的 DBS 请求之前地址无效。https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32212 中针对此问题的修复不完整,这个新的 CVE 是为了完成修复。
CVE链接:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-43548
针对CVE-2022-43548和CVE-2023-26492后续会有完整的复现过程文章,期待一下~
蚁景网安实验室“CTF训练营”产品公测开启
尊敬的各位用户:
感谢您对蚁景网安实验室产品的关注和支持。我们很高兴地宣布,我们的新产品“CTF训练营”将于2023年4月12日开始公测,公测时间为4月12日至4月30日。在此期间,我们将提供免费的使用体验和技术支持,欢迎广大网络安全爱好者前来参与和反馈。
“CTF训练营”是一款云端在线CTF训练服务系统,提供大量原创题和各大比赛的题目供练习。系统提供Web、Reverse、PWN、Crypto、Misc五大方向的题型训练,主要考察训练人员理论知识和专项攻防技术的掌握程度。训练人员可以通过离线分析或在线交互,克服技术挑战获取Flag提交验证。系统支持最多千人同时在线训练,且赛题持续更新。
以下是“CTF训练营”产品公测的相关信息:
产品名称:CTF训练营
产品URL: https://ctf.yijinglab.com
公测时间:2023年4月12日-4月30日
产品用户:网络安全爱好者
产品功能:提供原创题和各大比赛的题目供练习实操,涵盖Web、Reverse、PWN、Crypto、Misc五大方向的题型训练。
产品优势:丰富的题目资源,多方向的题型训练,在线交互和离线分析相结合,支持千人同时在线训练,赛题持续更新。
公测反馈:蚁景网安实验室在线客服QQ:2292620539
我们相信,“CTF训练营”将成为广大网络安全爱好者学习和提升技能的重要平台。欢迎您的加入和反馈!
蚁景网安实验室-“CTF训练营”开发团队
2023年4月12日
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

