0x00 前言 话说夏天的某个早晨，笔者突然从梦中惊醒，耳边就直接传来一段低语： 炎炎夏日宅在家无聊？不如 （跟我一起做复读机，复制这段话再发出去，每天收入0元，我和身边的朋友都在做，反正闲着也是闲着。吃饱了也是撑着，不如挨顿骂） 跟我一起挖个 CNVD 原创漏洞。反正闲着也是闲着，吃饱了也是撑着，不如找机会点缀下简历、丰富下经验 ~ 听完之后忽觉一阵激灵，好久才回过神来：莫非这就是传说中的天降神谕？真所谓垂死病中惊坐起，老天叫我去挖洞啊！既然如此那还想什么，开冲开冲！！ 0x01 开搞 众所周知，获取 cnvd 原创漏洞证明无非两种途径。一个是提交重要关基的事件型漏洞，另一个就是提交通用型漏洞。这里选择第二种方式。因为直觉告诉我大型关基的漏洞应该早就在各种攻防演练中被挖得差不多了，而自己人菜技拙，何德何能和众大佬争功？ 于是构造一波 fofa 关键字——同理，常见的、比较有影响力的开源项目大多也被大佬们审计得差不多了，所以这里直接从 fofa 找案例，然后从案例反查厂商，运气好的话也能捡到个小通用。一番挑肥拣瘦后找到了个疑似的软柿子（厚码见谅）： 界面比较朴实无华。之所以判断是个软柿子是因为简单测试下来发现目标存在目录遍历的低级问题： 对本人来说，一些低级问题的出现也可以看成衡量开发人员安全意识高低的一个指标。也就是说，这个站出现其他更严重安全漏洞的可能性比较大。于是既然锁定了目标，那么依照惯例，先简单判断了下网站的情况： 看了下登录页面的样式和 html 源码，代码风格放荡不羁，符合小厂商比较随性的作风，而且 upload 目录存在目录遍历，至少可以说明运维人员比较粗心大意，可能存在漏打补丁之类的情况（而且通常一些比较有安全意识的 cms 开发人员，都会热心地在 upload 、attachments 等目录下手动加上一个空白的 index.html 来避免因运维配置错误而产生的目录遍历。所以如果从这个角度来看，说连开发人员安全意识也不足也不为过） Cookie 中 存在键名为 JSSESSION 的 Cookie、404页面显示web容器为tomcat8.5，可判断后端语言是Java。因此也可以尝试 Tomcat、Weblogic、 Jboss、shiro、fastjson 等容器、中间件和组件的漏洞。 简单看了下 js 等静态资源，没有发现可直接利用的注释或隐藏的接口等信息。但页面展示了该系统配套使用的一个 APP，后期或许可以从 APP 入手尝试挖掘一些 web 界面没有展示出来的接口 有了简单的判断和猜想之后，要做的就是逐个验证了。 既然目标站点后端语言为 Java，那么先上一波 shiro 的探测。毕竟就算 Tomcat 和 Weblogic 之类的可以直接打到，感觉也只能算是中间件的漏洞，而不是这个 web 系统本身的通用。 shiro 的探测这里用到的是 burpsuite 的一款被动探测插件 shiroscan ， github 地址是 https://github.com/Daybr4ak/ShiroScan https://github.com/Daybr4ak/ShiroScan 插件安装好后，浏览测试页面，不足须臾，插件的 ShiroScan 的视图果然就给出了探测结果： shiro key scan unknown error： 瞧一眼插件的原始请求和服务器的响应，基本可以确认 shiro 应该是存在的了，出现这样的结果可能是插件内置的 shiro key 不够多。于是又不甘心地轮换了几个 shiro 的利用工具去测试，可惜结果都不如人意： 0x02 峰回路转 眼看 shiro 一把梭这条路是走不通了，又顺手测了测登录框的注入、Cookie的伪造等一些明面上能测的东西。最后还剩 fastjson 这个猜想还没有办法进一步验证了——因为就目前为止，系统暴露出来的功能除了一个登录，就再没有其他的了。更重要的是，即使只是这个登录页，其所提交的数据也不是 json 格式的，所以个人猜测这里存在 fastjson 漏洞的可能性比较低。于是挖掘的重点转向登录页挂着的配套 APP 上，希望至少可以从中挖出一些 web 界面没有展示出来的接口吧——当然，如果是未授权或者是存在 fastjson 漏洞的接口那就更好了。 说干就干。眼看饮茶时间又快到了，挖洞哪有喝茶重要。因此先不考虑 APP 加壳的问题，直接下载 APK，改后缀为  .zip 打开： 存在两个 dex 文件，这里也先不去探究哪个才是最要紧的了，总之两个都解压出来，分别改名为 xxx1.dex 和 xxx2.dex： 接着 dex2jar 伺候，得到 jar 包： 最后，jd-gui 打开，顺利得到源码，似乎可以捡漏逆袭： 得到源码后，全局搜索诸如 ： ”username“、”password“、”host“、”hostname“ 、”domain“ 、”secretkey“、”publickey“、”upload“之类的字眼。因为经验告诉我，运气好的话可能可以直接得到一些可利用的硬编码信息或可未授权访问的敏感接口，比如： 显然，从图中代码不难看出，系统确实存在一个名为 appuploadfileservice/uploadfile 的接口，而且该接口在处理客户端提交数据前可能还没有任何身份校验机制。为了证明这个猜想，根据反编译得到的代码，在 burpsuite 中按下面推测大胆构造了请求： first 和 offset 使用代码截图里的默认值就可以了；param 参数的作用未知；至于 file 参数，一个从请求的 querystring 获得，一个似乎从 POST 的数据 body 里获得——那么暂且认为 body 里的就是文件内容，则可以构造得到数据包为： 提交后返回 200 状态码，但是没有返回路径。难道是理解错误了？气氛一下子变得有点尴尬起来了。。。 不过好在，这种尴尬没持续多久，我又突然想起之前那个鸡肋的目录遍历。难道。。。？ 于是怀着死马当活马医的信息再看一眼 upload 目录发现： Bingo ！ 原来请求中的 param 的意义是指定保存的目录。那么，自然而然地最后的 shell 访问地址是：http://xxxxx/upload/test/test.jsp ： 0x03 功败垂成 至此，一个未授权的任意文件上传漏洞算是挖掘完成了。然而，正当我准备放弃喝茶，打算打包提交 cnvd 混个原创证书时却尴尬地发现： 啊这、影响也太小了吧。。连 10 个互联网案例都凑不齐。。 还是提交事件吧、要脸。。。。 0x04 总结 要会搞 web ，但不能局限于只会搞 web ，因为 web 的突破口也有可能在其他地方。 渗透什么的还是要胆大心细，并且再鸡肋的漏洞也不能轻视，毕竟连一张厕纸、一条内裤都会又它自己的作用的。 下次挖通用前先查下产品使用率。。。

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、黑客在线泄露特朗普粉丝新社交平台GETTR的成员信息 https://securityaffairs.co/wordpress/119775/data-breach/gettr-data-breach.html 2、WildPressure APT 使用新的恶意软件针对Windows和macOS https://securityaffairs.co/wordpress/119812/apt/wildpressure-apt-macos-malware.html 3、研究人员发布了对REVil 勒索软件的调查报告 https://securityaffairs.co/wordpress/119799/cyber-crime/researchers-infrastructure-revil-ransomware-gang.html 4、卡巴斯基密码管理器默认生成的密码可在几秒内被暴力破解 https://www.securityweek.com/kaspersky-password-manager-generated-passwords-could-quickly-be-brute-forced 5、CISA披露飞利浦Vue医疗产品15个漏洞 https://www.securityweek.com/cisa-says-philips-vue-healthcare-products-affected-15-vulnerabilities 6、ERP系统Sage X3 高危RCE漏洞可导致系统被完全接管 https://threatpost.com/critical-sage-x3-rce-bug-allows-full-system-takeovers/167612/ 7、Mirai_ptea： Mirai 变种的最新僵尸网络 https://cyware.com/news/mirai_ptea-the-latest-mirai-inspired-botnet-a958db6d 8、SideCopy APT使用新的木马攻击印度军方 https://www.zdnet.com/article/sidecopy-cybercriminals-use-custom-trojans-in-india-attacks/ 9、Lazarus组织新活动针对工程求职者和员工 https://cybersecurity.att.com/blogs/labs-research/lazarus-campaign-ttps-and-evolution 10、国际刑警组织在摩洛哥逮捕网络罪犯分子 https://www.interpol.int/News-and-Events/News/2021/Moroccan-police-arrest-suspected-cybercriminal-after-INTERPOL-probe

Windows 取证之ShellBags   相关实验：https://www.yijinglab.com/expc.do?ec=ECID6a2f-ed6f-4f85-9363-731535a5c3c4    （了解常用的内存镜像取证工具的使用，包括Dumplt、FTK Imager、Belkasoft RAM Capture和Dump镜像内存提取工具。） 0x0、概述 ShellBags是一组用来记录文件夹（包括挂载网络驱动器文件夹和挂载设备的文件夹）的名称、大小、图标、视图、位置的注册表项，或称为BagMRU。每次对文件夹的操作，ShellBags的信息都会更新，而且包含时间戳信息。是Windows系统改善用户体验的功能之一。即使删除文件夹后，ShellBags仍然会保留文件夹的信息。因此可以用来揭示用户的活动。 0x1、ShellBags的用途和取证中的价值 微软从Windows 7开始引入ShellBags，虽然在Windows xp中也存在，但是其文件格式发生了很大的改变。并在后续的系统上一直使用。ShellBags用来保存用户浏览文件夹时的偏好信息，比如文件夹的排列方式，文件夹显示图标的大小等，比如将文件夹的显示方式从"大图标"模式改为"详细信息模式"，ShellBags会立即创建或更新记录，当你打开、关闭或者右键单击、或者重命名文件夹时，也会创建或更新ShellBags记录。这意味着： 1、如果在Windows ShellBags记录了某个文件夹，那么表示它一定在某个时间出现过在该系统中，包括压缩文件在内的本地文件系统、网络位置和外接设备（如U盘、移动硬盘等）上的文件夹，即使它现在已经不存在了。 2、由于这些对文件夹的操作和查看首选项与该用户的注册表配置单元（registry hives）相关联。所以我们可以将特定用户和特定的文件夹相关联，甚至，还可以从ShellBags包含的MAC时间戳中获取文件夹的访问时间信息。 0x2、ShellBags的存储 在Windows XP中，存储在NTUSER.dat文件中，在系统注册表中的位置分别是： - 记录网络路径文件夹访问的记录在：\Software\Microsoft\Windows\Shell - 记录本地文件夹访问的记录在：\Software\Microsoft\Windows\ShellNoRoam - 可移动存储器文件夹访问的记录在：\Software\Microsoft\Windows\StreamMRU 但是从Windows 7开始，已经发生了很大的变化，Windows 7新增了一个用户特定的注册表配置单元：USRCLASS.dat。这个配置单元支持新的用户访问控制（UAC）和强制访问控制完整性级别。它用于记录来自无权写入标准注册表配置单元的用户进程的配置信息。所以如果要获取完整的ShellBags信息，需要为每个用户解析NTUSER.dat 和 USRCLASS.dat这两个文件。这些文件可以在%userprofile%、%userprofile%\AppData\Local\Microsoft\Windows路径中找到。 具体的注册表位置为： 记录最近通过资源管理器访问的文件夹的信息： USRCLASS.DAT：HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU USRCLASS.DAT：HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags 记录从桌面访问的文件夹信息： NTUSER.DAT：HKCU\Software\Microsoft\Windows\Shell\BagMRU NTUSER.DAT：HKCU\Software\Microsoft\Windows\Shell\Bags 还有其他一些注册表位置：（因为系统版本不同，可能有一些附加的注册表项目） NTUSER.DAT：HKCU\Software\Microsoft\Windows\ShellNoRoam\BagMRU NTUSER.DAT：HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags USRCLASS.DAT：HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\ShellNoRoam\BagMRU USRCLASS.DAT：HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\ShellNoRoam\Bags USRCLASS.DAT：HKCU\Software\Classes\Wow6432Node\Local Settings\Software\Microsoft\Windows\Shell\BagMRU USRCLASS.DAT：HKCU\Software\Classes\Wow6432Node\Local Settings\Software\Microsoft\Windows\Shell\Bags 可以发现ShellBags的数据主要存在两个注册表键值中，分别是BagMRU和Bags中。 BagMRU：用于记录文件夹名称和文件夹路径 Bags：记录文件夹的视图配置，比如窗口的大小，位置，排序方式等视图模式信息。 0x3、ShellBags的结构分析 当用户通过Windows资源管理器浏览文件系统的时，首次打开个文件夹时，系统会创建ShellBags条目。每个文件夹都有一个编号，编号从0开始记录。当打开子路径，会在相应的ShellBags条目右侧添加一个条目，并分配一个编号，编号每次递增1。 当用户对文件夹进行操作，ShellBag条目会立即更新。这意味着相应的注册表项最后修改时间可能也是最后操作文件夹的时间。 BagMRU键值： ShellBags的根目录，它的子键包含了ShellBags子条目和子目录。由数字编号0,1,2...组成。 而他们的二进制类型的值项（value name）记录着文件夹的路径和文件夹的长短名称。因此，我们可以根据这个结构还原文件系统的目录结构。 我们可以通过Nirsoft的注册表修改监视工具和Shell bags view工具结合注册表查看其创建和变化过程。 首先在C盘下创建一个shellbagstest的文件夹 查看注册表修改： 在注册表中查看： 可以看到HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\2\0键的值项"11"的内容记录了文件夹的名称，并与其子键"11"对应。 HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\2\0\11键的NodeSlot项值即为HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags键中的ID(Bags键的子健名称）。 还有一个MRUListEx，这个记录了上次访问了哪个文件夹。根据这个可以解析出文件夹的访问次序。当对应文件夹下没有子文件夹或者子文件夹未被访问过，其值为ff ff ff ff。 当我们进入这个文件夹并添加一个子文件夹后，再次查看注册表修改： 可以看到新增了多个键值项，MRUListEx也发生了变化。其中"1"为子文件夹"subdir"。而"0"是新建文件夹时候的"新建文件夹"。 关于MRUListEx值项 它是记录文件夹访问次序的，每4个字节记录一个文件夹的数字编号，新增访问记录，原记录往右边移。拿刚刚这个举例： 最左侧0x00000001表示最近访问过的是shellbagstest文件夹下数字序号为"1"的文件夹，也就是subdir这个文件夹。如果再增加一个文件夹subdir2： MRUListEX的值则变成如下数值： 其父键的MRUListEX也会更新： Bags键值： Bags键值由数字命名的子健组成，每个子健的数字编号对应特定的文件夹。其下包含有一个Shell 的键用于存储与文件夹相关的视图配置信息，比如位置、大小、排序方式等。所以我们可以根据BagMRU键值获得特定文件夹在Bags键下对应的数字序号后, 即可Bags键中定位相应子键, 进而查看文件夹的视图配置信息。 比如刚刚我们创建的文件夹： 0x4、取证实战 案情：在之前的调查（Windows 取证之注册表）中，我们证明了Theon趁Podrick不在的时候把U盘（2020年2月3日下午12点15分-12点45分之间）插进了他的电脑。Podrick称他电脑的一些文件/文件夹发生的更改。他认为是Theon干的。Podrick希望我们帮忙找出是哪些文件发生了更改。主要关注桌面上被清空的Projects文件夹。 提交Projects文件夹被Theon重新创建的时间。 提供给我们的文件包括NTUSER.DAT 和 UsrClass.dat。 我们可以借助ShellBags解析工具，如Shell Bag Explorer：https://f001.backblazeb2.com/file/EricZimmermanTools/ShellBagsExplorer.zip 使用工具加载USRCLASS.DAT文件 找到Projects文件夹，可以看到文件夹的创建时间是12:41:26 ，这个时间点正好是Podrick不在电脑旁边的时间。结合之前的调查，即可确定这个时间就是文件夹重新创建的时间。 参考资料： 基于注册表中的ShellNo-Roam表键解析文件夹操作行为：http://www.xsjs-cifs.com/article/2014/1008-3650-39-3-42.html Computer Forensic Artifacts: Windows 7 Shellbags ： https://www.sans.org/blog/computer-forensic-artifacts-windows-7-shellbags/ Explaining the Bags/BagMRU registry tree (trying) - Tielen Consultancy ：https://www.jeroentielen.nl/explaining-the-bagsbagmru-registry-tree-trying/

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、SonicWall 修复NSM 设备中的高危漏洞 CVE-2021-20026 https://securityaffairs.co/wordpress/119767/security/sonicwall-fixes-cve-2021-20026-flaw.html 2、Kaseya 证实大约1500家企业受Kaseya供应链勒索攻击影响 https://securityaffairs.co/wordpress/119759/cyber-crime/kaseya-attack-impacted-1500-businesses.html 3、QNAP 解决了一个可导致 NAS 设备受攻击的严重漏洞 https://securityaffairs.co/wordpress/119750/hacking/qnap-nas-critical-flaw.html 4、ENISA 发布中小企业网络安全指南 https://www.enisa.europa.eu/publications/cybersecurity-guide-for-smes 5、微软发布针对高危 漏洞'PrintNightmare' 的紧急补丁 https://msrc-blog.microsoft.com/2021/07/06/out-of-band-oob-security-update-available-for-cve-2021-34527/ 6、OWASP ModSecurity 核心规则集 (CRS) 存在漏洞可导致WAF绕过 https://portswigger.net/daily-swig/waf-bypass-severe-owasp-modsecurity-core-rule-set-bug-was-present-for-several-years 7、五角大楼取消与微软有争议的 JEDI 云合同 https://www.securityweek.com/pentagon-cancels-disputed-jedi-cloud-contract-microsoft 8、针对 ICS 网络的勒索软件攻击活动迅速增长 https://cyware.com/news/attackers-accelerating-ransomware-attacks-on-ics-networks-57bd4aff 9、梭子鱼收购 Skout Cybersecurity 进军 XDR 市场 https://techcrunch.com/2021/07/01/barracuda-enters-xdr-market-with-skout-cybersecurity-acquisition/ 10、调查发现针对菲律宾媒体的 DDoS 攻击与其政府机构有关 https://therecord.media/investigation-links-ddos-attack-on-filipino-media-outlets-to-government-agencies

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、CISA 和 FBI 发布了针对 Kaseya供应链攻击的受害者缓解指南 https://securityaffairs.co/wordpress/119728/cyber-crime/cisa-fbi-guidance-kaseya-attack.html 2、Revil 勒索软件团伙攻击了西班牙电信巨头 MasMovil https://securityaffairs.co/wordpress/119719/cyber-crime/masmovil-ransomware-attack.html 3、Revil勒索软件要求支付7000W美金才肯解锁被感染的Kaseya系统 https://securityaffairs.co/wordpress/119709/cyber-crime/revil-ransomware-kaseya-decryptor.html 4、360 Vulcan Team 发现Windows 11 高危本地提权漏洞 https://mp.weixin.qq.com/s/_PjO4_wpe2LQc4BMfg-FGg 5、新Covid-19主题网络钓鱼活动可绕过SEG检测 https://cofense.com/blog/covid-19-variant-malware/ 6、美国水务公司WSSC Water遭到勒索软件攻击 https://securityaffairs.co/wordpress/119700/cyber-crime/wssc-water-ransomware-attack.html 7、WAGO设备漏洞可导致工业企业受到远程攻击 https://www.securityweek.com/vulnerabilities-wago-devices-expose-industrial-firms-remote-attacks 8、Diavol Ransomware 与 Wizard Spider 的关联被揭露 https://cyware.com/news/diavol-ransomwares-connection-with-wizard-spider-revealed-b718ce77 9、安装总量达500W的多个安卓应用窃取Facebook凭证 https://thehackernews.com/2021/07/android-apps-with-58-million-installs.html 10、TrickBot 僵尸网络部署了一种名为 Diavol 的新型勒索软件 https://thehackernews.com/2021/07/trickbot-botnet-found-deploying-new.html

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、CISA 和 FBI 发布了针对 Kaseya供应链攻击的受害者缓解指南 https://securityaffairs.co/wordpress/119728/cyber-crime/cisa-fbi-guidance-kaseya-attack.html 2、Revil 勒索软件团伙攻击了西班牙电信巨头 MasMovil https://securityaffairs.co/wordpress/119719/cyber-crime/masmovil-ransomware-attack.html 3、Revil勒索软件要求支付7000W美金才肯解锁被感染的Kaseya系统 https://securityaffairs.co/wordpress/119709/cyber-crime/revil-ransomware-kaseya-decryptor.html 4、360 Vulcan Team 发现Windows 11 高危本地提权漏洞 https://mp.weixin.qq.com/s/_PjO4_wpe2LQc4BMfg-FGg 5、新Covid-19主题网络钓鱼活动可绕过SEG检测 https://cofense.com/blog/covid-19-variant-malware/ 6、美国水务公司WSSC Water遭到勒索软件攻击 https://securityaffairs.co/wordpress/119700/cyber-crime/wssc-water-ransomware-attack.html 7、WAGO设备漏洞可导致工业企业受到远程攻击 https://www.securityweek.com/vulnerabilities-wago-devices-expose-industrial-firms-remote-attacks 8、Diavol Ransomware 与 Wizard Spider 的关联被揭露 https://cyware.com/news/diavol-ransomwares-connection-with-wizard-spider-revealed-b718ce77 9、安装总量达500W的多个安卓应用窃取Facebook凭证 https://thehackernews.com/2021/07/android-apps-with-58-million-installs.html 10、TrickBot 僵尸网络部署了一种名为 Diavol 的新型勒索软件 https://thehackernews.com/2021/07/trickbot-botnet-found-deploying-new.html

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、REvil勒索软件在Kaseya 供应链攻击中利用了零日漏洞 https://securityaffairs.co/wordpress/119688/cyber-crime/kaseya-zero-day-revil.html 2、攻击者入侵了蒙古 CA MonPass 服务器并利用其传播恶意软件 https://securityaffairs.co/wordpress/119677/malware/mongolian-ca-monpass-hack.html 3、 Kaseya VSA 供应链勒索攻击影响了数百家公司 https://securityaffairs.co/wordpress/119650/cyber-crime/kaseya-vsa-supply-chain-ransomware-attack.html 4、微软敦促Azure用户更新PowerShell以修复RCE漏洞 https://securityaffairs.co/wordpress/119629/security/microsoft-azure-powershell-rce-flaw.html 5、微软警告PrintNightmare漏洞已被利用 https://thehackernews.com/2021/07/microsoft-warns-of-critical.html 6、TrickBot 升级改进其银行木马模块 https://threatpost.com/trickbot-banking-trojan-module/167521/ 7、美国保险巨头 AJG 报告勒索软件攻击后数据泄露 https://www.bleepingcomputer.com/news/security/us-insurance-giant-ajg-reports-data-breach-after-ransomware-attack/ 8、滴滴出行APP存在严重违法违规收集个人信息问题被下架 https://finance.sina.com.cn/stock/relnews/us/2021-07-05/doc-ikqcfnca4936032.shtml 9、PurpleFox漏洞利用包利用WPAD感染用户 https://www.trendmicro.com/en_us/research/21/g/purplefox-using-wpad-to-targent-indonesian-users.html 10、研究人员发现投送Warzone RAT的攻击活动 https://blogs.quickheal.com/warzone-rat-beware-of-the-trojan-malware-stealing-data-triggering-from-various-office-documents/

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、英美机构警告俄罗斯 APT 进行大规模暴力攻击 https://securityaffairs.co/wordpress/119595/apt/russia-apt-brute-force-attacks.html 2、内华达州大学医学中心医院遭入侵导致数据泄露 https://securityaffairs.co/wordpress/119591/data-breach/university-medical-center-data-breach.html 3、微软专家披露Netgear 路由器中身份验证绕过等多个高危漏洞 https://securityaffairs.co/wordpress/119574/hacking/netgear-flaws-router-takeover.html 4、CISA发布新的勒索软件自我评估安全审计工具 https://securityaffairs.co/wordpress/119568/security/cisa-ransomware-readiness-assessment.html 5、受勒索软件团伙青睐的 DoubleVPN 的服务器被查封 https://thehackernews.com/2021/06/authorities-seize-doublevpn-service.html 6、安全厂商披露Indexsinas攻击活动新细节 https://www.guardicore.com/labs/smb-worm-indexsinas/ 7、超过120万俄罗斯人登录凭据在网上泄露 https://www.ehackingnews.com/2021/06/logins-and-passwords-of-at-least-12.html 8、Android木马窃取Facebook用户登录凭据 https://news.drweb.com/show/?i=14244&lng=en&c=5&& 9、Windows 11 新增 DNS-over-HTTPS 功能 https://www.bleepingcomputer.com/news/microsoft/windows-11-includes-the-dns-over-https-privacy-feature-how-to-use/ 10、恶意软件攻击者利用 AutoHotkey 脚本进行攻击 https://securityintelligence.com/news/malware-using-autohotkey-scripts/

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、普京与Rossiya-24电视台的电话直播遭大规模网络攻击 https://securityaffairs.co/wordpress/119559/hacking/putin-call-massive-attack.html 2、SolarWinds 黑客攻击了丹麦中央银行并已隐匿数月之久 https://securityaffairs.co/wordpress/119527/cyber-warfare-2/denmarks-central-bank-solarwinds-hackers.html 3、WD确认最近针对其存储设备的攻击中利用了零日漏洞 https://www.securityweek.com/zero-day-vulnerability-exploited-recent-attacks-wd-storage-devices 4、GitHub 推出“Copilot”——人工智能驱动的代码完成工具 https://thehackernews.com/2021/06/github-launches-copilot-ai-powered-code.html 5、Adobe Experience Manager 修复高危零日漏洞 https://www.infosecurity-magazine.com/news/zero-day-exploit-found-in-adobe/ 6、 PJobRAT 间谍软件伪装成Android约会应用窃取用户数据 https://gbhackers.com/pjobrat/ 7、鱼叉式网络钓鱼活动针对航空公司分发AsyncRAT https://www.fortinet.com/blog/threat-research/spear-phishing-campaign-with-new-techniques-aimed-at-aviation-companies 8、WordPress插件多个漏洞可导致远程代码执行 https://portswigger.net/daily-swig/multiple-vulnerabilities-in-wordpress-plugin-pose-website-remote-code-execution-risk 9、钓鱼邮件冒充Indeed就业网站以窃取用户凭据 https://hotforsecurity.bitdefender.com/blog/cyber-crooks-hunt-for-indeed-job-seekers-account-credentials-in-latest-phishing-campaign-26054.html 10、趋势科技报告称越来越多地工业系统遭勒索软件攻击 https://www.securityweek.com/ransomware-increasingly-detected-industrial-systems-report

一、概述 Jump Lists是Windows 7开始引入的新功能，该功能允许用户查看固定在任务栏中程序最近打开的文件，如图所示： Jump Lists由应用软件或者系统创建，作用是方便用户可以直接跳转到最近打开的文件或文件夹。Jump List显示的列表数量是有限的，在Windows 7/8操作系统中，用户可以通过更改注册表来修改Jump List的条数，但在Windows 10中，这个数量被固定了，用户无法自行修改。 二、Jump List 文件存储和格式 Jump List文件是一种OLE文件，存储在C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations和C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination路径下。 Jump List有两种类型，一种是存放在AutomaticDestinations路径中的automaticDestinations-ms (autoDest)文件，另一个是CustomDestination中的customdestination-ms(custDest)文件。 autoDest（*.automaticDestinations-ms）文件是由系统shell在用户与操作系统交互时（如启动应用程序、访问文件等）自动创建的，这些文件遵循Microsoft Compound File Binary（CFB）复合文件格式结构，并且文件中的每个编号流都遵循 MS-SHLLINK（即LNK）二进制文件格式。 custDest（*.customDestinations-ms）文件是在用户操作固定项目时创建的，比如拖到某个文件或应用程序固定到任务栏中，或在列表中固定某个项目。custDest文件只是一系列相互附加的lnk格式流组成。比autoDest文件更为简单。 每个列表文件名都是以一串长度为16位的字符串命令，后面跟上.automaticDestinations-ms或者.customDestinations-m为后缀。 这16位长度的十六进制字符串是APPID（应用程序标识符），用于标识特定的程序或文件。根据微软官方说明，APPID可以分为应用程序自定义（Application-Defined）和操作系统定义（System-Defined）两种。应用程序可自定义一个固定的APPID。如果没有，操作系统根据应用程序的路径使用CRC-64算法计算出APPID。 关于APPID的计算可以参考：https://www.hexacorn.com/blog/2013/04/30/jumplists-file-names-and-appid-calculator/ 一些常见应用程序的Jump List ID可以在互联网上找到： https://gist.github.com/atilaromero/2146441https://community.malforensics.com/t/list-of-jump-list-ids/158/1在autoDest文件中，除了Destlist流之外，其他流都是由LNK流组成。Destlist流遵循特定的结构，分别记录了作为MRU和MFUlist的文件访问顺序及文件访问次数，并且包含时间戳。在Windows 7和Windows 8中，Destlist流结构是一致的，但Windows 10中有所不同。 这里我们以Windows 7系统举例，通过16进制编辑器查看其结构组成，打开一个autoDest文件，其结构如下： D0 CF 11 E0 A1 B1 1A E1：OLECF文件标识符 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00：类标识符 (GUID) 3E 00：文件版本（次版本） 03 00：文件版本（主版本） FF FF：字节顺序标识符（FF FF为小端模式，FF FE为大端模式） 更多关于OLECF格式详情可以参考：https://github.com/libyal/libolecf/blob/main/documentation/OLE%20Compound%20File%20format.asciidoc#2-the-file-header Destlist头结构： 01 00 00 00：版本号（在windows 7/8中是版本1，windows 10 1511中是版本3） 11 00 00 00：当前条目数 00 00 00 00："固定"的条目数量 33 33 E3 41：计数器 11 00 00 00 00 00 00 00：上一次的条目数 11 00 00 00 00 00 00 00：添加/删除操作的数量-随着条目的添加和删除而增加。 custDest（*.customDestinations-ms）文件的结构就简单很多： 前面36 Bytes是文件头，然后是lnk文件部分，然后是下一条lnk文件部分，然后是文件结尾0xbabffbab： 三、Jump Lists 取证实战 来源：Cynet应急响应挑战赛 题目描述：GOT-Research Ltd的 财务部总监 Lord Varys 发现，有关高级员工工资的某些信息被泄露，并传到了该组织的其他员工手中。此财务信息保存在网络共享文件夹中。此网络文件夹的权限已授予给 Lord Petyr Baelish和其他 2 名前雇员：John Snow 和 Daenerys Targaryen。 John 和 Daenerys 现在都是 GOT 的外部顾问，不再是财务部门的一员。但他们对财务共享文件夹的权限尚未撤销，Petyr Baelish, John和 Daenerys这三个人平时关系并不好，Varys怀疑这是泄密的原因，他认为有人想要陷害Petyr B 现在GOT委托你作为调查人员查清John或Daenerys是否访问了财务数据，其中包括已泄露的 Management-Salaries.xlsx 文件。 最终需要提交嫌疑人的名字和在嫌疑人主机上找到的可疑财务文件文件名、以及时间戳。 我们拿到的调查文件是John和Daenerys电脑上的Jump Lists文件： 我们使用JumpListExplorer工具（下载地址：https://ericzimmerman.github.io/#!index.md）对文件进行解析和分析： 经过检查和分析，最终在John的电脑上发现了可疑痕迹，在2020-02-07 00:03:54用WinRAR打开了一个Finance-Summary.rar的文件。 分析Jump Lists类似的工具还有JLECmd.exe、Nirsoft JumpListsView等。 参考资料： https://hal.inria.fr/hal-01988839/documenthttps://github.com/libyal/dtformats/blob/main/documentation/Jump%20lists%20format.asciidochttps://github.com/EricZimmerman/JumpList/blob/master/JumpList/Resources/AppIDs.txt https://cyberforensicator.com/wp-content/uploads/2017/01/1-s2.0-S1742287616300202-ma 本文涉及相关实验：https://www.yijinglab.com/expc.do?ec=ECID9a4a-6bc7-4926-8ff5-6fa9c74fe756  （Autopsy Forensic Browser 是数字取证工具-The Sleuth Kit（TSK）的图形界面，用于对文件系统和卷进行取证。通过本实验学习文件系统取证的思想与方法，掌握Autopsy的使用。）