欢迎光临
我们一直在努力

2月24日每日安全热点 – 乌克兰指责俄罗斯对其发动DDoS攻击

Ysck阅读(34)

Inspired by 360CERT

漏洞 Vulnerability

VMWare修复vCenter高危漏洞

https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-rce-bug-in-all-default-vcenter-installs/

 

安全研究 Security Research

SilentProcessExit LSASS转储

https://www.deepinstinct.com/2021/02/16/lsass-memory-dumps-are-stealthier-than-ever-before-part-2/

 

XXE从入门到还是入门

https://www.bugcrowd.com/blog/how-to-find-xxe-bugs/

 

安全工具 Security Tools

Teler:实时入侵检测

https://github.com/kitabisa/teler

 

Endgame:AWS安全检测工具

https://github.com/brandongalbraith/endgame

 

安全资讯 Security Information

Twitter称因安全问题删除部分俄罗斯账号

https://www.bleepingcomputer.com/news/security/twitter-removes-accounts-of-russian-government-backed-actors/

 

Google在密码管理中加入密码检查功能

https://www.bleepingcomputer.com/news/security/google-adds-password-checkup-support-to-android-autofill/

 

安全事件 Security Incident

芬兰TietoEVRY披露遭勒索软件攻击

https://www.bleepingcomputer.com/news/security/finnish-it-services-giant-tietoevry-discloses-ransomware-attack/

 

乌克兰指责俄罗斯对其发动DDoS攻击

https://www.bleepingcomputer.com/news/security/ukraine-ddos-attacks-on-govt-sites-originated-from-russia/

 

安全客 Security Geek

捕鱼达人——钓鱼基础设施的应用分析

https://www.anquanke.com/post/id/231444

荷兰警方潜入黑客论坛,一石激起千层浪(含视频)

Ysck阅读(32)

第65期

你好呀~欢迎来到“资讯充电站”!小安就是本站站长。今天第65期如约和大家见面了!如果您是第一次光顾,可以先阅读站内公告了解我们哦。

【站内公告】
本站主要发布时下最火热最新鲜的网安资讯,不同于正儿八经的权威消息。本站的资讯内容可能会更富趣味性、讨论性,工作劳累之余给大家来点趣闻,唠唠嗑,也可以一起充电涨姿势~目前暂时只在每周二营业。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

 

荷兰警方潜入黑客论坛,一石激起千层浪

随着欧洲刑警组织捣毁Emotet恶意软件的行动告一段落(详见:多国执法机构一起出手,恶意软件的“寒冬”将至),荷兰警方最近又忙起了新项目。

他们对外放出风声,说近来入驻了一些黑客论坛,以此公然向黑客“宣战”,告诉黑客——他们已经被盯上了。

荷兰警方发布的帖子有固定的模板,开头先简单介绍当局开展了取缔Emotet恶意软件的行动并大获成功,然后附上一条记录Emotet幕后团队逮捕现场的视频链接。

紧张严肃的抓捕画面过后,在视频的结尾,警方留下一句狠话:“人人都会犯错,我们正等着你失足的那一刻。”

 最后,警方用两段文字半威慑半苦口婆心地告诫众人,他们不乏对抗网络犯罪的能力,并拥有十足的决心。目前,荷兰警方已经在英语黑客论坛RaidForums和俄语黑客论坛XSS forums上发了帖。

不过,这一番热血发言却遇到了不同态度的回应。

在RaidForums,他们的帖子被管理员留了下来,但论坛用户的侮辱谩骂却如茫茫大雪,纷纷扬扬,席卷而来,也有人质疑这条帖子是真是假。而XSS forum的反应更加激烈,管理员不仅删帖封号,还在警方的账号主页打上警示标,告诉用户不要相信他们。

尽管荷兰警方的这个外展计划还挺有趣,但照目前两个黑客论坛的反应来看,这场行动可能不会有太大的正面影响。

 

《数字千年版权法》或有望抑制赛博朋克2077源码泄露

这个月早些时候,赛博朋克2077的母公司CD Projekt Red被黑客入侵,后者安装了一堆勒索软件,并偷走了CD Projekt Red旗下游戏的源代码。被盗取的游戏数据包含《赛博朋克2077》《巫师之昆特牌》《巫师3:狂猎》和《巫师3:狂猎》未发行版本。

黑客扬言,如果CD Projekt Red不拿出足够诚(钞)意(票)来换这些源码,那么他们下一次和源码相见,就是在广阔无垠的网络世界了。但CD Projekt Red拒绝了这一提议,并公开了公司遭遇数据泄露的事实。

而黑客也说到做到,公布了Gwent的源码。据报道,他们试图通过俄罗斯黑客论坛拍卖所有偷来的代码,拍卖计划也貌似进展得非常顺利。

不过,虽然CD project Red拒绝花钱赎回游戏源码,但并未放任其自生自灭。有报道称,公司正在发布DMCA(即《数字千年版权法》)禁令,以阻止源码传播。Vice报道,CD project Red上周通过版权监控公司App Global Ltd通知了至少两个Twitter用户。在邮件中,App Global Ltd列举了他们的侵权行为,包括访问了可以获取Gwent源码的链接,而这一资源是“非法获取的”,“发布未经授权”。

DMCA下架通知针对的是另外几个推特用户。收到警示后,这几位用户发布了一条言辞正式的推文,称应版权方CD Projekt Red的要求,他们已自行删除之前发布的有关源码内容。

希望CD Projekt Red能尽快结束源码的野生状态。

 

SolarWinds攻击事件进展:微软Azure、Exchange部分源代码被获取

去年12月,SolarWinds遭到复杂网络攻击,黑客随即对其客户展开了一场庞大的供应链攻击。

经过内部调查,微软在去年12月宣布,受这次攻击的影响,黑客可以访问微软源代码存储库的部分数据。

上周,微软更新了调查进展,称在大多数存储库里,黑客能访问到的只有少数文件。然而,在某些存储库中,他们可以获取组件的源码,其中就包括Azure、Intune和Exchange。例如:

  • Azure组件的一个小子集(涉及服务、安全、身份认证)
  • Intune组件的一个小子集
  • Exchange组件的一个小子集

由于黑客曾在微软系统中搜索过“API密钥”“凭证”“安全令牌”等关键词,以便寻找机密文件,所以有人怀疑微软在源码中嵌入了机密信息,并担心黑客借助凭证进一步访问微软的系统。

好在微软声明,公司禁止在源代码中存储机密信息的行为。同时,微软的调查也确定,黑客访问到的代码中,不包含任何凭证。

2月23日每日安全热点 – Clop勒索软件对多家企业进行针对性攻击

Ysck阅读(31)

Inspired by 360CERT

漏洞 Vulnerability

Windows Server 2012 DLL劫持

https://blog.vonahi.io/srclient-dll-hijacking/?test=test

 

Zoom Keybase漏洞致图像无法删除

https://johnjhacking.com/blog/cve-2021-23827/

 

恶意软件 Malware

Silver Sparrow感染数万Mac设备目前意图不明

https://www.bleepingcomputer.com/news/security/new-silver-sparrow-malware-infects-30-000-macs-for-unknown-purpose/

 

安全研究 Security Research

红队之NetNTLM

https://www.mdsec.co.uk/2021/02/farming-for-red-teams-harvesting-netntlm/

 

COFFLoader:内存加载器构建文件

https://www.trustedsec.com/blog/coffloader-building-your-own-in-memory-loader-or-how-to-run-bofs/

 

Windows IPC Part.2

https://csandker.io/2021/02/21/Offensive-Windows-IPC-2-RPC.html

 

云环境日志安全

https://marcolancini.it/2021/blog-security-logging-cloud-environments-aws/

 

安全事件 Security Incident

德州电力公司警告用户称近期有多起电信诈骗事件

https://www.bleepingcomputer.com/news/security/texas-electric-company-warns-of-scammers-threatening-to-cut-power/

 

微软指中国黑阔在Shadow Brokers泄露前已用NSA后门

https://www.bleepingcomputer.com/news/security/chinese-hackers-used-nsa-exploit-years-before-shadow-brokers-leak/

 

Clop勒索软件对多家企业进行针对性攻击

https://www.bleepingcomputer.com/news/security/global-accellion-data-breaches-linked-to-clop-ransomware-gang/

 

ServiceNow系统功能泄露数百用户信息

https://jordanpotti.com/2021/02/21/ServiceNow-HelpTheHelpDeskAndTheHackers/

 

安全客 Security Geek

CDN 2021 完全攻击指南 (二)

https://www.anquanke.com/post/id/231437

2月22日每日安全热点 – Kroger出现数据泄露大量员工数据存在风险

Ysck阅读(37)

Inspired by 360CERT

漏洞 Vulnerability

微软称CVE-2021-1732在20年夏季已出现在野利用

https://www.bleepingcomputer.com/news/security/recently-fixed-windows-zero-day-actively-exploited-since-mid-2020/

 

Sonicwall发布漏洞更新

https://www.bleepingcomputer.com/news/security/sonicwall-releases-additional-update-for-sma-100-vulnerability/

 

恶意软件 Malware

Google Alert被利用推送伪造Flash更新

https://www.bleepingcomputer.com/news/security/warning-google-alerts-abused-to-push-fake-adobe-flash-updater/

 

安全研究 Security Research

路由器DNS劫持攻击

https://cujo.com/dns-hijacking-attacks-on-home-routers-in-brazil/

 

Laravel RCE

https://zdresearch.com/rce-on-a-laravel-private-program/

 

现代物联网攻击

https://cujo.com/genetics-of-a-modern-iot-attack/

 

安全工具 Security Tools

Blobhunter:微软Azure Blob安全评估工具

https://github.com/cyberark/BlobHunter

 

安全事件 Security Incident

Lakehead大学遭网络攻击后关闭网络

https://www.bleepingcomputer.com/news/security/lakehead-university-shuts-down-campus-network-after-cyberattack/

 

Kroger出现数据泄露大量员工数据存在风险

https://www.bleepingcomputer.com/news/security/kroger-data-breach-exposes-pharmacy-and-employee-data/

 

安全客 Security Geek

谈谈Office Moniker类漏洞和公式编辑器类漏洞

https://www.anquanke.com/post/id/231427

 

浅析UMAS协议

https://www.anquanke.com/post/id/231884

恶意软件盯上苹果,波及全球 30000 台 Mac,最新版 M1 系列也中招

Ysck阅读(31)

苹果电脑用户请注意,你的电脑可能被恶意软件盯上了,包括最新版 M1 系列。

截止 2 月 17 日,全球 153 个国家的 30000 台电脑已经被这种恶意软件入侵了。

但更可怕的还在后面。

根据安全研究人员的描述,这个恶意软件每隔一小时运行一次,且带有自毁功能。

目前还不清楚它在侵入用户的 Mac 后,会获取哪些隐私信息,也还没有出现用户被劫持的反馈,当然,研究人员仍在试图了解它的确切作用,以及其自毁功能的目的。

新型恶意软件是什么?

那么,这个新型恶意软件究竟是什么呢?

根据安全研究人员的介绍,安全人员将其命名为“Silver Sparrow”(银麻雀)。该恶意软件可利用 macOS Installer JavaScript API 执行可疑命令。

除此之外,Silver Sparrow 恶意软件还可以在 Apple 的 M1 芯片上本地运行。

基于此,研究人员调查发现了银雀恶意软件的两个版本:即 Intel 系列 Mac 设备和基于M1的、以及旧版的 Mac 设备。

行为分析显示,每隔一小时,受感染的 Mac 就会检查一个控制服务器,看看是否有新的恶意软件应该运行的命令或要执行的二进制文件。

然而,到目前为止,研究人员还未发这种恶意软件究竟是如何传播的。

更可怕的是,该恶意软件自带自毁功能,且在完成攻击之后,还可让自己不留痕迹。

不过到目前为止,还没有任何迹象表明自毁功能已经被使用。

但是一旦满足未知的条件,恶意软件可能就会开始行动,后果怎样,我们也无从得知。

对此,研究人员也表示了担忧:

虽然我们还没有观察到银雀提供额外的恶意有效载荷,但其前瞻性的M1芯片兼容性、全球覆盖范围、相对较高的感染率和操作成熟度表明,银雀是一个相当严重的威胁,其独特的定位是在一瞬间提供潜在的影响性有效载荷。

如何发现和阻止?

那么,我们如何发现可能被这种恶意软件攻击了呢?有什么有效的办法吗?

根据安全研究人员的调查,因为这种恶意软件的攻击路径并不明晰,所以目前研究人员仅能明确的是这是一种恶意广告软件。

不过,研究人员发现,该恶意软件可能会在~/Library/LaunchAgent 文件夹下生成 agent/verx,后缀为 plist 的文件。

简言之,一旦发现你的电脑中出现了这样的文件后缀,很可能你就被恶意软件盯上了。

至于解决办法,还是我们经常说的:

安装防火墙。

不要点击来源不明的链接或者文件。

但最好的解决办法还要等安全研究人员的进一步调查。

恶意软件盯上苹果

需要注意的是这是苹果近期发现的第二个恶意软件攻击。

2 月 18 日,安全研究人员发现了首个针对 M1 芯片编写的恶意软件 GoSearch22。

这个恶意软件采用的是常规的广告弹窗拓展,在浏览器中会收集手机用户数据,并且弹出大量广告等窗口。

需要注意的是,X86 版 Mac 的杀毒软件,可以轻易地识别出来 Gosearch22 这个恶意软件,最新版 M1版的苹果电脑却检测不到。

除此之外,苹果最新版的 M1 版本也出现了一些其他问题。

据外媒 MacRumors 报道,他们获得了一份内部备忘录,显示苹果已经通知服务商有关于可能导致 M1 Mac mini 屏幕上出现 “粉红色正方形或像素点”的问题。

苹果没有承诺在何时修复该问题,但苹果提供了一些检查方法帮助用户排查问题。

据悉,该备忘录于 2 月 19 日发布,即 macOS Big Sur 11.2.1 发行一周后,但该版本 macOS 似乎未解决该问题,macOS Big Sur 11.3 自 2 月 2 日以来一直处于 beta 测试中,预计可能在晚些时候发布。

中国宏阔黑客联盟也了解到,自去年 11 月份发布 M1 Mac mini 以来,Apple 支持社区、Reddit 等论坛大量用户都反馈了这个问题,但目前导致该问题出现的确切原因尚不清楚。

由此看来,M1还有很多问题需要解决。

参考资料:

【1】https://arstechnica.com/information-technology/2021/02/new-malware-found-on-30000-macs-has-security-pros-stumped/

【2】https://redcanary.com/blog/clipping-silver-sparrows-wings/

【3】https://www.toutiao.com/a6930852938961273347/

【4】https://www.theregister.com/2021/02/22/silver_sparrow_malware_for_apple_m1_silicon/

【5】https://arstechnica.com/gadgets/2021/02/apple-m1-native-malware-has-already-begun-to-appear/

中国宏阔黑客联盟原创文章,未经授权禁止转载。转载注明中国宏盟


2月20日每日安全热点 – 多市遭勒索软件攻击后出现数据泄露

Ysck阅读(37)

Inspired by 360CERT

漏洞 Vulnerability

Brave浏览器漏洞导致暗网浏览信息泄露

https://ramble.pw/f/privacy/2387

 

安全研究 Security Research

密码学之零知识证明

https://blog.trailofbits.com/2021/02/19/serving-up-zero-knowledge-proofs/

 

CFP 2021

https://hopin.com/events/padsec

 

安全工具 Security Tools

OSCP Cheatsheet

https://github.com/evets007/OSCP-Prep-cheatsheet

 

Windows RAT

https://github.com/jafarlihi/serpentine

 

安全事件 Security Incident

UL LLC遭勒索软件攻击服务中断

https://www.bleepingcomputer.com/news/security/underwriters-laboratories-ul-certification-giant-hit-by-ransomware/

 

CIS为医院提供勒索软件防护

https://www.bleepingcomputer.com/news/security/cis-now-offers-free-ransomware-protection-to-all-us-hospitals/

 

多市遭勒索软件攻击后出现数据泄露

https://www.bleepingcomputer.com/news/security/us-cities-disclose-data-breaches-after-vendors-ransomware-attack/

 

安全客 Security Geek

Chrome UAF漏洞模式浅析(一):user-defined callback

https://www.anquanke.com/post/id/231411

2月19日每日安全热点 – Azure、Exchange部分源码在Solarwinds行动中被窃

Ysck阅读(33)

Inspired by 360CERT

漏洞 Vulnerability

以太坊DoS漏洞

https://adalogics.com/blog/the-importance-of-continuity-in-fuzzing-cve-2020-28362

 

安全研究 Security Research

供应链攻击现状

https://github.com/hardenedlinux/cheap-pcb/blob/main/cheap-pcb-story.md

 

中间件安全配置杂谈

https://labs.detectify.com/2021/02/18/middleware-middleware-everywhere-and-lots-of-misconfigurations-to-fix/

 

行为控制图像扫描识别

https://sysdig.com/blog/image-scanning-admission-controller/

 

第三方网络安全之用户输入

https://adtechmadness.wordpress.com/2021/02/18/all-your-are-belong-to-me/

 

安全报告 Security Report

Azure、Exchange部分源码在Solarwinds行动中被窃

https://www.bleepingcomputer.com/news/microsoft/microsoft-solarwinds-hackers-downloaded-some-azure-exchange-source-code/

 

FBI对电话拒绝服务攻击发出预警

https://www.bleepingcomputer.com/news/security/fbi-telephony-denial-of-service-attacks-can-lead-to-loss-of-lives/

 

FBI分享朝鲜窃取加密货币行动细节

https://www.bleepingcomputer.com/news/security/us-shares-info-on-north-korean-malware-used-to-steal-cryptocurrency/

 

安全事件 Security Incident

RIPE NCC发布通告称遭到网络攻击

https://www.bleepingcomputer.com/news/security/ripe-ncc-internet-registry-discloses-sso-credential-stuffing-attack/

 

Google Apps被滥用以绕过CSP

https://www.bleepingcomputer.com/news/security/hackers-abuse-google-apps-script-to-steal-credit-cards-bypass-csp/

 

安全客 Security Geek

CVE-2021-3156 sudo heap-based bufoverflow 复现&分析

https://www.anquanke.com/post/id/231408

2月18日每日安全热点 – 起亚确认遭DoppelPaymer勒索软件攻击赎金高达两千万

Ysck阅读(39)

Inspired by 360CERT

漏洞 Vulnerability

QNap修复NAS中高危漏洞

https://www.bleepingcomputer.com/news/security/qnap-patches-critical-vulnerability-in-surveillance-station-nas-app/

 

IE 0day获微补丁更新

https://blog.0patch.com/2021/02/remotely-exploitable-0day-in-internet.html

 

安全研究 Security Research

API设计与逻辑漏洞

https://www.synacktiv.com/publications/gpgme-used-confusion-its-super-effective.html

 

安全资讯 Security Information

荷兰警方在黑客论坛发布拒绝犯罪宣言

https://www.bleepingcomputer.com/news/security/dutch-police-post-say-no-to-cybercrime-warnings-on-hacker-forums/

 

安全报告 Security Report

安全人员统计去年黑客事件引发的医疗行业事件倍增

https://www.bleepingcomputer.com/news/security/rising-healthcare-breaches-driven-by-hacking-and-unsecured-servers/

 

Sandworm利用Centreon进行网络攻击

https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-only-hit-orgs-with-old-centreon-software/

 

安全事件 Security Incident

起亚确认遭DoppelPaymer勒索软件攻击赎金高达两千万

https://www.bleepingcomputer.com/news/security/kia-motors-america-suffers-ransomware-attack-20-million-ransom/

 

美司法部指控三名朝鲜公民窃取十亿美元虚拟货币

https://www.bleepingcomputer.com/news/security/us-indicts-north-korean-hackers-for-stealing-13-billion/

 

安全客 Security Geek

物联网协议——MQTT与ROS

https://www.anquanke.com/post/id/231329

2月17日每日安全热点 – 起亚美国地区遇大面积网络错误

Ysck阅读(41)

Inspired by 360CERT

安全研究 Security Research

Electron API误用安全隐患

https://blog.doyensec.com/2021/02/16/electron-apis-misuse.html

 

NPM VSCode插件RCE

https://github.com/jackadamson/CVE-2021-26700

 

Ubuntu本地提权

https://alephsecurity.com/2021/02/16/apport-lpe/

 

Python Wheel劫持

https://www.vdoo.com/blog/python-wheel-jacking-supply-chain-attacks

安全资讯 Security Information

Edge浏览器加入青少年模式

https://www.bleepingcomputer.com/news/security/microsoft-edge-is-getting-a-new-child-friendly-kids-mode/

 

Windows安全更新触发BitLocker密钥还原

https://www.bleepingcomputer.com/news/microsoft/windows-10-secure-boot-update-triggers-bitlocker-key-recovery/

安全事件 Security Incident

起亚美国地区遇大面积网络错误

https://www.bleepingcomputer.com/news/security/kia-motors-america-experiences-massive-it-outage-across-the-us/

 

ScamClub组织利用浏览器0day将用户重定向传播恶意软件

https://www.bleepingcomputer.com/news/security/malvertisers-exploited-browser-zero-day-to-redirect-users-to-scams/

2月16日每日安全热点 – 法国指责俄国应对一系列网络攻击负责

Ysck阅读(41)

Inspired by 360CERT

安全研究 Security Research

eBPF安全研究

https://blog.tofile.dev/2021/02/15/ebpf-01.html

 

Telegram安全研究

https://www.shielder.it/blog/2021/02/hunting-for-bugs-in-telegrams-animated-stickers-remote-attack-surface/

 

ICMP载荷投递安全研究

https://blog.romanrii.com/using-icmp-to-deliver-shellcode

 

Hession反序列化利用

https://catnip.fyi/posts/maphax/

 

高通IPQ40xx安全研究

https://raelize.com/blog/qualcomm-ipq40xx-an-unexpected-cup-of-tee/

安全资讯 Security Information

法国指责俄国应对一系列网络攻击负责

https://www.bleepingcomputer.com/news/security/france-links-russian-sandworm-hackers-to-hosting-provider-attacks/

安全事件 Security Incident

EXMO服务器被DDoS攻击干爆

https://www.bleepingcomputer.com/news/security/ddos-attack-takes-down-exmo-cryptocurrency-exchange-servers/

 

NWO遭黑客攻击致服务中断

https://www.bleepingcomputer.com/news/security/cyberattack-on-dutch-research-council-nwo-suspends-research-grants/