网络安全日报 2024年08月12日
1、 Rhysida勒索软件团伙入侵特拉华州Bayhealth医院
https://securityaffairs.com/166749/cyber-crime/rhysida-ransomware-bayhealth-hospital.html Rhysida勒索软件团伙声称已入侵特拉华州的Bayhealth医院,并在其Tor泄漏网站上列出该医院为受害者。Bayhealth是一家技术先进的非营利性医疗系统,拥有近4000名员工和超过450名医生及200名高级执业临床医生。Rhysida团伙声称已从医院窃取数据,并要求25个比特币以避免泄露。该团伙泄露了被盗护照和身份证的截图作为入侵证明。该团伙表示:“只剩7天时间,抓住机会竞标独特且令人印象深刻的数据。准备
2、Nexera DeFi协议遭黑客攻击致180万美元被盗
https://hackread.com/nexera-defi-protocol-hacked-smart-contract-exploit/ Nexera去中心化金融(DeFi)协议遭到重大安全漏洞攻击,导致约180万美元的数字资产被盗。加密安全公司Cyvers详细披露了此次攻击,黑客通过复杂操作控制了Nexera的代理合约,并利用"withdraw admin"功能转移了平台上全部的NXRA代币(共计3250万NXRA代币)。Cyvers在X(Twitter)上发布声明,检测到代理合约被一个地址接管并升级,随后该地址使用"withdraw admin"功能转移了所有NXRA代币。事件发
3、Windows降级攻击将已修复漏洞变成零日漏洞
https://www.safebreach.com/blog/downgrade-attacks-using-windows-updates 研究人员开发了一种Windows降级攻击,使得即使是完全打过补丁的Windows机器也会在隐蔽、持久和不可逆的情况下变得脆弱。受BlackLotus UEFI bootkit启发,该攻击利用Windows更新过程中的漏洞,使Windows安全机制和端点安全解决方案无法检测。研究人员发现,Windows更新过程通过机器在更新文件夹中发出更新请求开始,一旦微软的更新服务器验证其完整性,更新文件夹和更新操作列表(Pending.xml)会被保存到服务器控制
4、Cisco警告老旧IP电话存在关键远程代码执行零日漏洞
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-spa-http-vulns-RJZmX2Xz Cisco警告称,其已停止支持的Small Business SPA 300和SPA 500系列IP电话的基于Web的管理界面存在多个关键远程代码执行(RCE)零日漏洞。由于这些设备未提供修复补丁且无缓解措施,用户需尽快迁移到更新且有支持的型号。Cisco披露了五个漏洞,其中三个被评为关键(CVSS v3.1评分:9.8),两个为高严重性(CVSS v3.1评分:7.5)。
5、WhatsUp Gold关键安全漏洞遭受活跃攻击
https://summoning.team/blog/progress-whatsup-gold-rce-cve-2024-4885/ Progress Software的WhatsUp Gold网络监控应用程序发现了一个严重的安全漏洞CVE-2024-4885(CVSS评分:9.8),目前正遭受活跃攻击,用户需立即更新到最新版本以防范风险。该漏洞影响2023.1.3之前发布的版本,是一个未经身份验证的远程代码执行漏洞。根据公司在2024年6月底发布的公告,漏洞存在于WhatsUp.ExportUtilities.Export.GetFileWithoutZip方法中,该方法允许使用iis
6、朝鲜网络间谍组织Kimsuky攻击大学教授和研究人员
https://www.cyberresilience.com/threatintel/apt-group-kimsuky-targets-university-researchers/ 研究人员披露,朝鲜关联的威胁行为者Kimsuky近期针对大学教职员工、研究人员和教授发起了一系列新的攻击行动,目的是收集情报。研究人员在2024年7月底通过观察黑客的操作安全(OPSEC)错误识别出这一活动。此次攻击的特点包括使用被攻陷的主机作为部署基础设施,安装经过混淆处理的Green Dinosaur网页木马,用于执行文件操作。Kimsuky利用该网页木马上传模拟Naver和多所大学(如东德大学、高丽大
7、Chameleon安卓银行木马伪造虚假CRM应用攻击用户
https://www.threatfabric.com/blogs/chameleon-is-now-targeting-employees-masquerading-as-crm-app 研究人员揭露了Chameleon安卓银行木马的新攻击手法,该木马伪装成客户关系管理(CRM)应用,主要针对加拿大用户。研究人员报告中指出,该木马假扮为CRM应用,目标是一个在国际上运营的加拿大餐饮连锁店。此次攻击活动于2024年7月被发现,目标客户分布在加拿大和欧洲,显示其受害者范围从澳大利亚、意大利、波兰和英国扩展。假CRM应用的主题指向目标是酒店业和B2C员工。
8、恶意软件伪装成Chrome和Edge扩展感染超30万用户
https://reasonlabs.com/research/new-widespread-extension-trojan-malware-campaign 研究人员发现了一场正在进行的大规模恶意软件活动,通过伪装成流行软件的假网站安装恶意的Google Chrome和Microsoft Edge扩展。这些恶意软件和扩展已影响至少30万用户。研究人员在分析中指出,这种特洛伊木马自2021年以来存在,起源于仿冒下载网站,提供在线游戏和视频的附加组件。恶意软件包含从简单的广告软件扩展(劫持搜索)到更复杂的恶意脚本(窃取私人数据和执行各种命令)的不同可执行文件。该活动的核心是利用恶意广告(ma
9、Sonos智能音箱缺陷可让远程黑客窃听用户
https://www.nccgroup.com/us/research-blog/blackhat-usa-2024-listen-up-sonos-over-the-air-remote-kernel-exploitation-and-covert-wiretap/ 研究人员发现Sonos智能音箱存在漏洞,可能被恶意行为者利用来偷偷窃听用户。研究人员表示,这些漏洞导致Sonos设备的安全启动过程完全失效,并可通过空中攻击远程攻破多个设备。这些漏洞影响所有Sonos S2 15.9版和Sonos S1 11.12版之前的版本,这些版本分别在2023年10月和11月发布。成功利用其中一个漏洞
10、Ecovacs家用机器人可被黑客入侵以监视用户
https://reurl.cc/myvdgl 研究人员发现,恶意黑客可以控制Ecovacs制造的吸尘和割草机器人,通过设备的摄像头和麦克风监视用户。这些研究结果将在Def Con黑客大会上详细介绍。研究人员分析了多款Ecovacs产品,发现存在多个漏洞,可通过蓝牙远程控制机器人并悄悄开启麦克风和摄像头。研究人员表示,他们已向Ecovacs报告这些漏洞,但未收到回应,漏洞可能仍未修复。主要问题是,任何人都可以使用手机通过蓝牙在最远450英尺(约130米)的距离内连接并控制Ecovacs机器人。一旦黑客控制设备,他们可以通过Wi-Fi远程连接机器人,读取Wi-Fi凭证、保存的房间地图,并访问摄
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年08月09日
1、 CMoon USB蠕虫攻击俄罗斯高价值目标窃取数据
https://securelist.ru/how-the-cmoon-worm-collects-data/109988/2024年8月7日,研究人员报道,一种名为“CMoon”的新型自传播蠕虫自2024年7月初以来在俄罗斯传播,旨在窃取账户凭证和其他数据。研究人员发现该蠕虫通过一家燃气供应公司网站传播,目标主要是高价值对象而非普通互联网用户。CMoon能够加载额外的恶意负载、截取屏幕截图并发起分布式拒绝服务(DDoS)攻击。感染链开始于用户点击网站上提供的文档链接,文档被替换为包含恶意执行文件的自解压档案。燃气公司在7月25日被通知后移除了恶意文件和链接,但由于CMoon的自传播特性,其分
2、STAC6451攻击印度多家组织并部署Mimic勒索软件
https://news.sophos.com/en-us/2024/08/07/sophos-mdr-hunt-tracks-mimic-ransomware-campaign-against-organizations-in-india/研究人员在支持一起活跃事件时,发现了一个新的威胁活动集群STAC6451,该集群通过公开暴露在互联网的Microsoft SQL Server数据库服务器(默认TCP/IP端口1433)对印度的多家组织进行攻击,试图部署勒索软件。STAC6451集群的主要特征是滥用SQL Server进行未经授权的访问,并通过xp_cmdshell远程执行代码,使用BCP
3、McLaren医疗集团因INC Ransom勒索软件攻击中断
https://www.mclaren.org/main/notificationMcLaren Health Care医院的IT和电话系统在一次与INC Ransom勒索软件有关的攻击后中断。McLaren是一家年收入超过65亿美元的非营利性医疗系统,在密歇根州运营13家医院,拥有640名医生和超过28000名员工,并与印第安纳州和俄亥俄州的113000个网络提供商合作。McLaren在其网站上发布声明称,正在调查其信息技术系统的中断,建议患者在预约时携带详细的药物信息、医生订单和最近的实验室测试结果。部分预约和非紧急或选择性程序可能会被重新安排。尽管McLaren尚未披露事件的具体性质,但
4、研究人员发现新型Linux内核漏洞利用技术"SLUBStick"
https://www.stefangast.eu/papers/slubstick.pdf研究人员披露了一种名为“SLUBStick”的新型Linux内核漏洞利用技术。该技术可将有限的堆漏洞提升为任意内存读写操作。Graz技术大学的一组学者表示,SLUBStick通过利用分配器的时间侧信道进行跨缓存攻击,提高了漏洞利用的成功率,尤其是在常用的通用缓存中,成功率超过99%。尽管Linux内核的内存安全漏洞由于存在诸如监督模式访问防止(SMAP)、内核地址空间布局随机化(KASLR)和内核控制流完整性(kCFI)等安全特性而难以利用,但SLUBStick成功在Linux内核的5.19和6.2版本
5、CrowdStrike否认Falcon传感器漏洞存在可利用性
https://www.securityweek.com/crowdstrike-dismisses-claims-of-exploitability-in-falcon-sensor-bug/CrowdStrike 否认了 Falcon EDR 传感器漏洞可能被利用来进行权限提升或远程代码执行的说法。
6、美国悬赏 1000 万美元缉拿入侵水务工控系统的伊朗黑客
https://www.securityweek.com/us-offering-10-million-reward-for-iranian-ics-hackers/美国向被控去年入侵水务工业控制系统的伊朗个人悬赏高达 1000 万美元。
7、AWS修补了可能导致账户接管的漏洞
https://www.securityweek.com/aws-patches-vulnerabilities-potentially-allowing-account-takeovers/AWS 已修补了多款产品中的漏洞,其中包括可能被利用来接管账户的漏洞。拉斯维加斯——2024 年美国黑帽大会——据云安全公司 Aqua Security 称,AWS 最近修补了潜在的严重漏洞,包括可能被用于接管账户的漏洞。
8、已有18年历史的漏洞"0.0.0.0 Day"可绕过主流浏览器的安全保护
https://securityaffairs.com/166765/hacking/0-0-0-0-day-browsers-attack.html一个已有 18 年历史的漏洞,被称为“0.0.0.0 Day”,允许恶意网站绕过 Chrome、Firefox 和 Safari 的安全性,从而侵入本地网络。
9、 T-Head C910 RISC-V CPU 被发现存在严重安全漏洞
https://www.theregister.com/2024/08/07/riscv_business_thead_c910_vulnerable/德国 CISPA 亥姆霍兹信息安全中心的计算机安全研究人员发现,阿里巴巴的 T-Head C910 RISC-V CPU 存在严重安全漏洞。
10、光伏发电管理平台曝出高危漏洞,可导致全球范围停电
https://www.secrss.com/articles/68958网络安全公司Bitdefender近日披露了两大广泛使用的太阳能管理平台中的重大安全漏洞,攻击者可造成大规模停电并破坏电力分配系统,可能影响全球20%的光伏发电,涉及190多个国家和地区的200多万个光伏电站。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
2024网络安全高级研修班·第二期圆满结束
2024年8月2日,为期5天的2024网络安全高级研修班(第二期)圆满结束。本次研修班由湖南蚁景科技有限公司、成都为辰信息科技有限公司、电子科技大学嵌入式软件工程中心联合主办。课程聚焦于渗透测试攻防实战等网络安全关键技术,采用线下培训+线上同步直播的培训方式,充分满足了不同地域教师的学习需求。自5月启动报名以来,吸引了来自全国各高校相关专业教师的踊跃参与。
在本次培训会的开班仪式上,电子科技大学教授、博士生导师罗蕾发表了精彩的开班致辞及专题分享,为研修班拉开了序幕。
随后,成都为辰信息科技有限公司安全实验室负责人王志鹏为大家带来了车联网安全方向的专题报告。
在开班仪式最后,湖南蚁景科技有限公司销售部负责人黄超,结合公司精心研发且独具优势的网安实战人才培养平台,通过清晰的逻辑、生动的案例以及丰富的数据,为现场的教师们带来了一场精彩汇报。
课程方面,蚁景网安的一线实战级讲师团队精心打磨课程,将实战理论与靶场相结合,为参研教师们呈现了一场知识盛宴。
在课程进行期间,参研教师展现出了极高的学习热情和钻研精神。课间甚至每日结课后,依然沉浸在课程问题的探讨中,蚁景科技的授课讲师也始终保持耐心,细心地为老师们解答每一个疑问。同时,课堂上讲师通过实战演练、疑难解惑等环节,进一步加深了大家对知识的理解和掌握。
课间&每日结课场景
此外,本次培训会的后勤保障团队从会议安排到接待,再到贴心的会场服务,全方位确保了研修班的顺利进行。
随着研修班的圆满结束,参研教师们不仅在网络安全的专业知识和技能上得到了显著提升,也为培养更多优秀的网络安全专业人才注入新的活力,共同推动我国网络安全事业迈向新的高度。
【总结】注册码泄露原理以及例题
引言
题目给了小明的机器码:1653643685031597
用户user_id:xiaoming
可以看到题目采用了SIMD指令集
该指令格式在CTF和攻防对抗中经常出现,可以提高执行效率的同时也可以增加逆向的难度。
对于此类指令和题目,我们分析的方法是:遇到查意思,查的多了就跟看正常代码一样,采用动态分析。
机器码修改
将内置的机器码改为题目给的:1653643685031597
修改成功:
得到flag的时候跟machine这个有很大关系
动态分析
machine_id处理
在这个加密函数中
发现了MD5特征
经过动调拿到函数加密后的结果
与我们的猜测是相符的
可以发现最终md5(机器码)变成
user_id处理
和调试machine加密一样,最终MD5(user_id)变成:
最终处理
经过之前相同的加密
变成这个数字:1228240365737281
然而这还没完,居然进行两次相同加密
再次加密后的结果:0502036271810858
可以发现此题出的很好,利用了密码比较的漏洞,没有将密文给出,而是将生成的密文在中间给出,从而造成了数据泄露。
得到flag
回顾加密流程,可以发现
f(key) = f( f( f(md5(machine)) + f(md5(user_id)) ) )
那么题目给了得到flag的machine和user_id,可以得出
Key =f( f(md5(machine)) + f(md5(user_id)) )
所以最终flag:
flag{1228240365737281}
jwt伪造身份组组组合拳艰难通关
前言
现在的攻防演练不再像以往那样一个漏洞直捣黄龙,而是需要各种组合拳才能信手拈来,但是有时候使尽浑身解数也不能称心如意。
前期信息收集
首先是拿到靶标的清单
访问系统的界面,没有什么能利用的功能点
首先进行目录扫描,扫描发现存在xxx.zip的文件放置在web目录上
一般zip文件大部分情况都是开发运维人员做系统维护时留下的备份文件,在系统上线后并没有将其删除,于是底裤(即源代码)都直接给到了攻击者
来到这一步都以为是一路高歌,轻松拿下,没想象到是跌宕起伏伏伏伏伏......
先使用wget下载zip文件,文件总共200+mb,很有概率是源代码的打包
从文件内容可判断,该系统是使用的.net开发,可通过dnspy进行审计
文件上传漏洞审计
拿到源码后的第一个思路是寻找文件上传漏洞
果不其然在源码中找到uploadimg接口,发现未对上传的文件格式进行过滤
实际访问接口发现,怎么改变文件格式、文件内容、Content-Type、还是各种变种传输都无济于事
返回包永远是{"Status":1,"Data""null}
运维实在是坏呀~
Sql注入漏洞审计
第二个思路就是找注入
但是代码中定义了一个SqlChecker全局的类,强制处理所有用户传参,找注入这个方向有有点难啃了
系统用户信息遍历
找到/api/user/getusers接口
接口没有做鉴权,构造请求包发送,返回包返回系统所有用户信息
其中用户信息包括姓名、出生日期、微信账号、手机号码、邮箱、密码等等
伪造jwt_token获取系统管理员-拿下靶标
源码获取到jwt_token的secret
但是该secret不是可读性文本,估计是随机生成的byte字节序列,因此不能自行使用cyberchief或者其他工具将token直接生成
这里有个坑点:开始是使用gpt生成的脚本进行secret的读取和token的生成,发现gpt在处理字节上面有点问题,生成的jwt_token不能使用,于是自行编写了个py脚本进行jwt_token的构造,首先我们将字节序列做16进制的转化,为了python能够使用bytes.fromhex()函数读取16进制化的secret,然后根据上面读出的用户信息,伪装admin账号身份,并设置一个较长的ExpireTime
拿到jwt_token之后,要如何使用才能拿到后台呢,这里首先要明白该系统的登录鉴权机制
由于他存在注册功能,我们便可在自行注册一个账号,然后进行登录,查看认证处理流程
从数据包里面得知,登录成功后会返回jwt_token和一些与用户相关的一些信息,前端会根据返回的身份信息,跳转到对应的页面,并且功能接口都会带上jwt_token进行请求以便获取系统数据
了解清楚后,就开始进行身份伪造,首先去后台登录系统
将登录返回包的内容替换为管理员账号的token(从python脚本中生成)和管理员用户的身份信息
通过鉴权后,终于成功获取管理员后台,靶标5000分到手,哈哈
总结
本次渗透从惊喜到怀疑到失落,总的来说就是“山穷水尽疑无路,柳暗花明又一村”。
如果只是死磕文件上传、SQL注入这些能够快速获取权限的洞,反而有时会错过一些有用的信息,毕竟比赛中分数才是最要紧的,如何高效快速拿下靶标才是第一要领。
同时,代码审计的过程中要结合系统功能来多方面评估,本次挖洞也是先认真理解了系统的登录认证机制,才知道有jwt鉴权这种方式,从而萌生在代码中找jwt secret的想法,也才能把快到手的分数牢牢抓在自己手中。
网络安全日报 2024年08月08日
1、 研究人员发现Smart App Control和SmartScreen漏洞
https://www.elastic.co/security-labs/dismantling-smart-app-control 研究人员揭示了Microsoft Windows Smart App Control(SAC)和SmartScreen的设计弱点,这些弱点可能使威胁行为者能够在不引起任何警告的情况下获得对目标环境的初始访问权限。Smart App Control(SAC)是Microsoft在Windows 11中引入的云驱动安全功能,用于阻止恶意、不受信任和潜在不受欢迎的应用程序在系统上运行。当服务无法预测应用程序的安全性时,它会检查应用程序是否签名或具有有效签名以执行。S
2、朝鲜黑客组织推送恶意npm包用于感染Windows
https://securitylabs.datadoghq.com/articles/stressed-pungsan-dprk-aligned-threat-actor-leverages-npm-for-initial-access/ 研究人员发现,隶属于朝鲜的威胁组织Moonstone Sleet持续向JavaScript包注册表npm推送恶意包,目标为感染Windows系统。研究人员报告称,这些恶意包名为harthat-api和harthat-hash,于2024年7月7日发布,但未被下载便迅速移除。Moonstone Sleet通过LinkedIn和自由职业网站传播恶意ZIP文件
3、29亿条含SSN的美国公共数据被黑客泄露
https://hackread.com/data-breach-national-public-data-records-ssns-dumped/ 黑客“Fenice”在知名黑客平台Breach Forums泄露了29亿条来自National Public Data的记录,包含全名、地址和社会安全号码(SSN)等敏感信息。此次数据泄露事件规模巨大,可能导致严重的身份盗窃和金融欺诈。此次泄露的数据共计277GB,被分为两条链接进行分发。研究人员分析发现,泄露的数据包括用户的全名、地址、城市、县、州、邮政编码以及明文的SSN。由于SSN是用于金融和政府交易的重要标识符,此次泄露对美国用户构成重
4、Roundcube Webmail 漏洞可让黑客窃取电子邮件和密码
https://thehackernews.com/2024/08/roundcube-webmail-flaws-allow-hackers.html 网络安全研究人员披露了 Roundcube 网络邮件软件的安全漏洞细节,这些漏洞可被利用在受害者的网络浏览器中执行恶意 JavaScript,并在特定情况下窃取其帐户中的敏感信息。
5、新版macOS Sequoia加强Gatekeeper保护拦截未经授权的软件
https://thehackernews.com/2024/08/apples-new-macos-sequoia-tightens.html 苹果公司周二宣布对下一代 macOS 版本进行更新,这将使用户更难以超越Gatekeeper保护。Gatekeeper 是 macOS 内置的一道重要防线,旨在确保只有受信任的应用程序才能在操作系统上运行。当应用程序从 App Store 之外下载并首次打开时,它会验证该软件是否来自已识别的开发者。
6、RISC-V CPU漏洞-GhostWrite,可用来获取目标完全访问权限
https://www.securityweek.com/ghostwrite-vulnerability-facilitates-attacks-on-devices-with-risc-v-cpu/ 研究人员披露了 GhostWrite 的细节,这是一个 RISC-V CPU 漏洞,可被利用来获取目标设备的完全访问权限。拉斯维加斯——BLACK HAT USA 2024——来自德国 CISPA 亥姆霍兹信息安全中心的一组研究人员披露了影响基于 RISC-V 架构的流行 CPU 的新漏洞的细节。 这个被称为GhostWrite 的漏洞允许具有有限权限的攻击者读取和写入物理内存,从而可能使他
7、Chrome、Firefox 更新修补严重漏洞
https://www.securityweek.com/chrome-firefox-updates-patch-serious-vulnerabilities/ Chrome 127 更新修补了五个漏洞,Firefox 129 解决了十几个安全漏洞。
8、Windows 更新漏洞允许不可检测的降级攻击
https://www.securityweek.com/safebreach-sounds-alarm-on-windows-update-flaws-allowing-undetectable-downgrade-attacks/ 研究人员展示了针对 Microsoft Windows 更新架构的黑客攻击,将修复的漏洞转变为零日漏洞。SafeBreach Labs 研究员 Alon Leviev 呼吁紧急关注微软 Windows 更新架构中的主要漏洞,并警告恶意黑客可以发起软件降级攻击,在拉斯维加斯举行的黑帽大会上,Leviev 在一次备受关注的演讲中展示了他如何接管 Windows 更
9、威胁者宣布推出Doubleface勒索软件,声称主流杀软无法检测
https://cybersecuritynews.com/doubleface-ransomware-claims/ 威胁者引入了 Doubleface 勒索软件,声称主流防病毒软件完全无法检测到它。该勒索软件采用 AES-128 和 RSA-4096 加密的独特算法,如果没有正确的密钥,解密将非常困难。
10、Apple 推出用于安全云计算的同态加密包
https://hackread.com/apple-homomorphic-encryption-secure-cloud-computing/ 在这种方法中,客户端将加密数据发送到服务器,服务器对其进行操作并返回可解密的结果。服务器不解密原始数据,也无权访问解密密钥。这种方法为云服务提供了新的机会,同时保护了用户数据的隐私和安全性。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年08月07日
1、 新型LianSpy恶意软件通过屏蔽安卓安全功能躲避检测
https://securelist.com/lianspy-android-spyware/113253/ 研究人员发现了一种名为LianSpy的未记录的Android恶意软件,该软件伪装成支付宝应用或系统服务以躲避检测,专门针对俄罗斯用户。研究人员的分析显示,LianSpy自2021年7月起活跃,但其强大的隐蔽功能使其在三年多的时间里未被发现。LianSpy通过修改Android的图标阻止列表设置参数,绕过了Android 12及以后的“隐私指示器”安全功能,使受害者无法察觉屏幕正在被录制。该恶意软件利用这些功能在设备上隐藏自己的存在。LianSpy安装后,会伪装成Android系统服务
2、朝鲜黑客利用VPN更新漏洞安装恶意软件
https://www.documentcloud.org/documents/25031724-240805_saibeoanbo_jeongbogongdongce_habdongboangweongomun 韩国国家网络安全中心(NCSC)警告称,朝鲜国家支持的黑客通过劫持VPN软件更新漏洞来部署恶意软件并入侵网络。涉及此活动的两个威胁组织是Kimsuky(APT43)和Andariel(APT45),这两个国家支持的黑客组织此前与著名的Lazarus Group有关。NCSC警告称,这两组织同时针对同一行业的活动具有前所未有的性质,显示了其特定政策目标。在首个案例中,2024年1月,
3、勒索软件团伙利用新型SharpRhino恶意软件攻击IT从业者
https://www.quorumcyber.com/insights/sharprhino-new-hunters-international-rat-identified-by-quorum-cyber/ 研究人员发现,Hunters International勒索软件团伙正在使用一种名为SharpRhino的全新C#远程访问木马(RAT),专门针对IT人员入侵企业网络。此恶意软件帮助Hunters International实现初始感染、提升在受感染系统上的权限、执行PowerShell命令,并最终部署勒索软件。根据研究人员的报告,SharpRhino通过一个假冒合法网络工具Angr
4、MDM公司Mobile Guardian遭攻击致13000台设备被远程擦除
https://www.mobileguardian.com/security-incident-august-2024/ 总部位于英国的移动设备管理(MDM)供应商Mobile Guardian遭遇安全事件,导致其管理的iOS和ChromeOS设备被未经授权访问,目前这些设备无法使用。在新加坡,此事件导致13000台设备被远程擦除,教育部因此决定终止与该供应商的合作。Mobile Guardian专注于教育领域,提供设备管理、网页过滤和课堂管理工具。供应商告知客户,这次攻击导致“一小部分设备被取消注册”,进而导致远程擦除。欧洲和北美的客户也面临风险。
5、CrowdStrike 发布 Falcon Sensor BSOD崩溃根本原因分析
https://www.securityweek.com/crowdstrike-releases-root-cause-analysis-of-falcon-sensor-bsod-crash/ 网络安全供应商 CrowdStrike 周二发布了一份根本原因分析,详细说明了导致全球 Windows 系统瘫痪的软件更新崩溃背后的技术故障,并将该事件归咎于安全漏洞和流程缺陷的共同作用。
6、谷歌修复并警告Android内核存在一个被广泛利用的漏洞
https://securityaffairs.com/166656/breaking-news/google-actively-exploited-android-kernel-flaw.html 谷歌修复了一个影响 Android 内核的高危漏洞,编号为 CVE-2024-36971。这家 IT 巨头意识到该漏洞已被广泛利用。该公司没有透露利用此漏洞的攻击细节。
7、勒索软件攻击袭击了法国博物馆网络
https://securityaffairs.com/166696/cyber-crime/ransomware-attack-french-museum-network.html 勒索软件攻击袭击了法国国家博物馆联盟网络,包括巴黎大皇宫和其他博物馆。此次攻击影响了法国各地约 40 家博物馆。攻击发生在周日,尽管一些受影响的场馆正在举办夏季奥运会比赛,但此次事件并未对奥运会造成影响。
8、国际刑警组织追回新加坡史上最大 BEC 诈骗案 4100 万美元
https://thehackernews.com/2024/08/interpol-recovers-41-million-in-largest.html 国际刑警组织表示,其设计了一种“全球止付机制”,帮助促成了有史以来最大规模的商业电子邮件诈骗(BEC)案件的追回。
9、血狼利用STRRAT商业恶意软件袭击哈萨克斯坦组织
https://thehackernews.com/2024/08/kazakh-organizations-targeted-by-bloody.html 哈萨克斯坦的组织是名为Bloody Wolf的威胁活动集群的目标,该集群传播一种名为STRRAT(又名 Strigoi Master)的商品恶意软件。
10、Apache OFBiz 曝出严重漏洞,允许预身份验证 RCE
https://www.freebuf.com/news/407869.html 近日,研究人员发现 Apache OFBiz 中存在一个新的关键漏洞,该漏洞是 Apache OFBiz 中的一个错误授权问题,被追踪为CVE-2024-38856。该漏洞影响 18.12.14 之前的版本,18.12.15 版本解决了该漏洞。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
【实战】文件加密器进行逆向
前言
实战可以大大提高自己,学习技术的目的就是能够在实战中运用。
本次实战与实际息息相关,该软件具有加密某文件的功能。
界面还挺好看的,功能很简单,输入文件和PIN(4位)进加解密。
这是被加密的文件
需要将其进行解密,拿到flag
思路
因为PIN是4位,因此可以写一个python脚本,对其进行爆破。
关键在于得出加密的算法,此时就需要我们进行逆向分析了
分析
先尝试进行加密
根据关键词:encrypted 进行定位
发现是我们需要的信息
跟踪进去,发现了花指令
去花指令
发现堆栈不平衡,将所有代码选中,然后C键,重新分析
发现了单指令花指令,无非nop掉即可
从头选到下一个函数开始的位置
按下C键
analyze即可
还是rust编译的
此时就可以分析函数了。处理其他函数也是相同的道理
初步分析
使用Fincrypto发现了salsa20加密
salsa20:32位字符构成的key,二是随机生成的8位nonce。算法使用key和nonce生成一个2^70长度的序列,并与明文进行异或加密
sub_140073A70
发现main_func就是获取我们的输入的文件内容
sub_140039890
而函数sub_140039890才是关键的加密函数
0x61707865、0x3320646E均为Salsa20算法的固定参数
解密
由于密码只有0000~9999这10000种可能
加密后文件名又是flag.png.enc,所以原文件是个png文件
使用png固有文件头89504E47来判断解密是否成功
Python
from Cryptodome.Cipher import Salsa20
cipher = open("flag.png.enc", "rb").read()
for i in range(10000):
key = str(i).rjust(4, '0').ljust(32, 'x00')
nonce = b'x24x24x24x24x24x24x24x24'
sal = Salsa20.new(key=key, nonce=nonce)
plain = sal.decrypt(cipher)
if plain.find(b"x89x50x4Ex47")>=0:
open("flag.png", "wb").write(plain)
break
网络安全日报 2024年08月06日
1、新型Android银行木马BlankBot针对土耳其用户
https://intel471.com/blog/blankbot-a-new-android-banking-trojan-with-screen-recording-keylogging-and-remote-control-capabilities 2024年8月5日,研究人员发现了一种名为BlankBot的新型Android银行木马,该木马专门针对土耳其用户,旨在窃取金融信息。根据研究人员的分析报告,BlankBot具备多种恶意功能,包括客户注入、键盘记录、屏幕录制,并通过WebSocket连接与控制服务器通信。BlankBot于2024年7月24日被发现,目前仍在积极开发中,恶意
2、Magniber勒索软件攻击影响全球家庭用户
https://www.bleepingcomputer.com/news/security/surge-in-magniber-ransomware-attacks-impact-home-users-worldwide/ 2024年8月4日,全球各地的家庭用户正遭受一波大规模的Magniber勒索软件攻击,设备被加密后需支付高达数千美元的赎金才能获取解密器。自2024年7月20日以来,BleepingComputer论坛上寻求帮助的Magniber勒索软件受害者激增,勒索软件识别网站ID-Ransomware也收到了近720份相关提交。尽管目前尚不清楚受害者是如何感染的,但一些受害者表示
3、勒索软件攻击导致Keytronic损失超过1700万美元
https://www.sec.gov/Archives/edgar/data/719733/000071973324000044/q42024preliminaryexhibit991.htm 电子制造服务公司Keytronic披露,最近的一次勒索软件攻击导致其额外开支和收入损失总计超过1700万美元。公司在2024财年第四季度的初步财务报告中公布了与此次事件相关的成本。Keytronic表示:“由于此次事件,公司在第四季度产生了大约230万美元的额外开支,并且预计损失了约1500万美元的收入。”此次网络攻击发生于5月6日,导致美国和墨西哥的多个站点运营中断。这些站点的运营因事件暂停了两周
4、法国电信基础设施遭蓄意破坏
https://therecord.media/french-telecom-infrastructure-sabotage 近日,法国多家电信服务提供商的光纤网络在夜间遭到“蓄意破坏”,导致部分固定和移动服务中断。法国第二大电信运营商SFR在X平台上发布声明称,其长途光缆被“破坏”,公司服务在最受影响的地区可能会中断。法国警方告诉AFP新闻社,事件发生在法国的六个地区,但作为奥运会主办城市的巴黎未受影响。根据互联网监测服务NetBlocks的数据,法国多家互联网服务提供商,包括Free和Alphalink,均出现了服务中断。法国数字化事务副部长Marina Ferrari证实了此次攻击,并
5、Cryptonator因洗钱和盗取加密货币被查封
https://www.trmlabs.com/post/us-and-german-authorities-seize-crypto-wallet-cryptonator-and-charge-administrator 美国和德国执法机构查封了加密货币钱包平台Cryptonator的域名,该平台被勒索软件团伙、暗网市场和其他非法服务利用,并起诉其运营者Roman Boss。Cryptonator于2014年推出,允许用户存储和在个人钱包内交换加密货币。区块链调查公司报告称,Cryptonator未能实施反洗钱控制,使得匿名或假名用户能够利用该服务进行非法活动。Cryptonator的主要
6、罗克韦尔自动化设备中的高危漏洞允许未经授权访问
https://claroty.com/team82/research/bypassing-rockwell-automation-logix-controllers-local-chassis-security-protection 研究人员披露了Rockwell Automation ControlLogix 1756设备中的一个高严重性安全绕过漏洞,该漏洞可能被利用来执行常见的工业协议(CIP)编程和配置命令。该漏洞被分配了CVE-2024-6242标识符,CVSS v3.1评分为8.4。美国网络安全和基础设施安全局(CISA)在一份公告中指出:“受影响产品中存在一个漏洞,允许威胁行为
7、新型SLUBStick攻击技术威胁Linux内核安全
https://www.securityweek.com/new-slubstick-attack-makes-linux-kernel-vulnerabilities-more-dangerous/ 奥地利格拉茨技术大学的一组研究人员发表了一篇关于 SLUBStick 的论文,SLUBStick 是一种新的 Linux 内核利用技术。
8、AWS 部署"Mithra"神经网络来预测和阻止恶意域名
https://www.securityweek.com/aws-deploying-mithra-neural-network-to-predict-and-block-malicious-domains/ 云计算巨头 AWS 表示,它正在使用具有 35 亿个节点和 480 亿条边的大型神经网络图模型来加快检测在其基础设施上托管的恶意域。
9、研究人员警告 Apache OFBiz 存在新的严重漏洞
https://securityaffairs.com/166612/hacking/critical-apache-ofbiz-flaw.html 专家敦促各组织解决 Apache OFBiz 中一个新严重漏洞,编号为 CVE-2024-38856。该漏洞是 Apache OFBiz 中的一个错误授权问题,影响 18.12.14 之前的版本,18.12.15 版本解决了该漏洞。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年08月05日
1、黑客利用免费TryCloudflare服务投放远程控制木马
https://www.proofpoint.com/us/blog/threat-insight/threat-actor-abuses-cloudflare-tunnels-deliver-rats 研究人员警告称,威胁行为者正越来越多地滥用Cloudflare Tunnel服务进行恶意软件活动,通常投放远程控制木马。此类活动首次于今年2月被检测到,黑客利用TryCloudflare免费服务分发多种RAT,包括AsyncRAT、GuLoader、VenomRAT、Remcos RAT和Xworm。在最新的攻击活动中,研究人员观察到,威胁行为者通过税务主题邮件引诱目标,邮件中的URL或附件
2、黑客通过开发者问答平台传播恶意Python包
https://checkmarx.com/blog/stackexchange-abused-to-spread-malicious-python-package-that-drains-victims-crypto-wallets/ 研究人员发现,黑客滥用问答平台Stack Exchange,引导开发者下载恶意Python包,这些包能够窃取加密货币钱包中的资金。研究人员报告称,这些恶意包在安装后会自动执行,启动一系列事件以控制受害者的系统,同时窃取数据并掏空其加密货币钱包。这场始于2024年6月25日的攻击活动,专门针对Raydium和Solana的加密货币用户。这些包已被从PyPI仓库
3、APT28利用汽车销售钓鱼邮件攻击外交官
https://unit42.paloaltonetworks.com/fighting-ursa-car-for-sale-phishing-lure/ 俄罗斯关联的威胁行为者APT28最近开展了一项新活动,通过汽车销售钓鱼诱饵传播模块化Windows后门程序HeadLace。研究人员指出,这项活动可能自2024年3月起开始,主要针对外交官。值得注意的是,自2023年7月以来,另一个俄罗斯国家支持的黑客组织APT29也使用过类似的汽车销售钓鱼诱饵,这表明APT28可能正在重新利用成功的策略用于其自身的攻击活动。
4、新型Windows后门BITSLOTH利用BITS进行隐秘通信
https://www.elastic.co/security-labs/bits-and-bytes-analyzing-bitsloth 研究人员发现了一种未被记录的Windows后门程序,利用内置功能Background Intelligent Transfer Service(BITS)作为命令和控制(C2)机制。这种新型恶意软件被研究人员命名为BITSLOTH,于2024年6月25日首次发现,关联到针对南美某政府外交部的网络攻击。该活动集群被追踪为REF8747。研究人员表示,最新版本的BITSLOTH后门具有包括键盘记录和屏幕捕获在内的35个处理函数。此外,BITSLOTH还具有
5、Facebook广告引流至虚假网站窃取信用卡信息
https://www.recordedfuture.com/research/eriakos-scam-campaign-detected Facebook用户近日成为一个复杂的电商诈骗网络的目标,该网络通过数百个假网站窃取个人和财务数据,利用品牌冒充和恶意广告手段进行诈骗。研究人员在2024年4月17日检测到这一活动,并因其使用的内容分发网络(CDN)命名为ERIAKOS。这些欺诈网站仅通过移动设备和广告诱饵访问,目的是规避自动检测系统。该活动专门针对通过Facebook广告诱饵访问诈骗网站的移动用户,这些广告有时依靠限时折扣吸引用户点击。这些假网站和广告主要冒充一个主要在线电商平台和一
6、英国关停诈骗数百万美元的“Russian Coms”诈骗平台
https://hackread.com/uk-shuts-down-russian-coms-fraud-platform/ 英国国家犯罪调查局(NCA)近日成功关闭了一个名为“Russian Coms”的诈骗平台,该平台在全球范围内造成了数千万英镑的经济损失。此次行动得到全球执法合作伙伴和欧洲刑警组织的支持,已逮捕三名嫌疑人,并破坏了数百名犯罪分子的各种诈骗计划。据NCA发布的新闻稿称,在三年时间里,该平台共进行了超过130万次电话呼叫,涉及超过50万个独特的英国电话号码,估计有17万名英国公民成为骗局的受害者。据研究人员报告,英国受害者的平均财务损失超过9400英镑。诈骗分子采用多种手
7、Mirai僵尸网络瞄准易受目录遍历攻击的OFBiz服务器
https://isc.sans.edu/diary/Increased%20Activity%20Against%20Apache%20OFBiz%20CVE-2024-32113/31132 研究人员发布报告显示,开源ERP框架OFBiz目前成为新的Mirai僵尸网络变种的目标。OFBiz是由Apache基金会支持的一个Java框架,用于创建ERP应用程序。尽管OFBiz的普及度较商业替代品低,但其同样承载着敏感的业务数据,其安全性至关重要。今年5月,OFBiz发布了一个关键安全更新,修复了一个目录遍历漏洞,该漏洞可能导致远程命令执行。受影响的OFBiz版本为18.12.13之前的版本。
8、黑客利用配置错误的Jupyter Notebooks进行DDoS攻击
https://www.aquasec.com/blog/panamorfi-a-new-discord-ddos-campaign/ 研究人员披露了一项针对配置错误的Jupyter Notebooks的新型分布式拒绝服务(DDoS)攻击活动。该活动由研究人员命名为“Panamorfi”,利用一个名为mineping的Java工具发起TCP洪水DDoS攻击。mineping最初是为Minecraft游戏服务器设计的DDoS工具。攻击链条包括利用暴露在互联网的Jupyter Notebook实例运行wget命令,从文件共享网站Filebin获取一个ZIP归档文件。该ZIP文件包含两个Java归
9、Chrome引入应用程序绑定加密保护Cookie免受恶意软件攻击
https://security.googleblog.com/2024/07/improving-security-of-chrome-cookies-on.html Google宣布在其Chrome浏览器中加入应用程序绑定加密(App-Bound Encryption),以防止信息窃取恶意软件在Windows系统上获取Cookie。Chrome安全团队的表示,尽管Windows上的数据保护API(DPAPI)可以保护静态数据免受其他用户或冷启动攻击,但无法防御能够以登录用户身份执行代码的恶意应用。应用程序绑定加密通过将应用程序的身份(如Chrome)与加密数据相结合,防止其他应用在尝试解
10、Linux内核受新型SLUBStick跨缓存攻击影响
https://www.stefangast.eu/papers/slubstick.pdf 研究人员披露了一种名为SLUBStick的新型Linux内核跨缓存攻击,该攻击能够将有限的堆漏洞转化为任意内存读写能力,具有99%的成功率,允许攻击者提升权限或逃脱容器。来自格拉茨理工大学的研究团队展示了这一攻击在Linux内核版本5.9和6.2(最新版本)上的有效性,覆盖32位和64位系统,表现出高度的通用性。SLUBStick能够绕过现代内核防御机制,如监督模式执行预防(SMEP)、监督模式访问预防(SMAP)和内核地址空间布局随机化(KASLR)。该攻击将在本月晚些时候的Usenix安全研讨会
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

