一个人的闲言碎语

dr0v

blog.drov.com.cn
一个人碎碎念。
About Me
A lazy security employee.

2019年12月31日星期二

- 12.26 [由HTTPS抓包引发的一系列思考](https://www.freebuf.com/articles/web/222564.html)
- 12.25 [Gafgyt家族物联网僵尸网络家族分析](https://www.freebuf.com/articles/others-articles/222677.html)
- 12.24 [2019年移动应用安全十件影响力事件](https://www.anquanke.com/post/id/195635)
- 12.24 [全新 Mozi P2P 僵尸网络入侵 Netgear、D-Link、Huawei 路由器](http://hackernews.cc/archives/29000)
- 12.25 [Twitter Android app 漏洞被用于匹配 1700 万用户手机号码](https://www.solidot.org/story?sid=63050)
- 12.26 [隐私政策保护中第三方sdk问题](https://blog.trustlook.com/yin-si-zheng-ce-bao-hu-zhong-di-san-fang-sdkwen-ti/)
- 12.25 [ATT&CK 之防御逃逸](https://paper.seebug.org/1103/)
- 12.26 [2019年勒索软件:针对市政部门的全面攻击](https://www.freebuf.com/articles/network/223202.html)
- 12.26 [揭露电信诈骗之悄无声息的转走银行卡资金](https://www.anquanke.com/post/id/195840)
- 12.30 [关于印发《App违法违规收集使用个人信息行为认定方法》的通知](https://www.anquanke.com/post/id/196074)
- 12.31 [非法支付之恶:涉案540多亿的非法网络支付连环案告破](https://www.anquanke.com/post/id/196164)
- 12.31 [警惕伪装成“Synaptics触摸板驱动程序”的新型蠕虫病毒](https://www.freebuf.com/articles/terminal/222991.html)
- 12.30 [穷源溯流:KONNI APT组织伪装韩国Android聊天应用的攻击活动剖析](https://www.freebuf.com/articles/terminal/223567.html)
- 12.30 [伸向中亚地区的触手——DustSquad APT组织针对乌兹别克斯坦的活动分析](https://www.anquanke.com/post/id/196067)
- 12.29 [404 Keylogger最新木马,盗取受害者浏览器网站帐号和密码](https://www.freebuf.com/articles/system/222808.html)

2019年5月7日星期二

- 4.23 [Adware Plagues Google Play Store | Avast](https://blog.avast.com/adware-plagues-google-play)
- 4.24 [恶意SDK无感刷百度广告,数千款APP植入影响千万用户](https://www.freebuf.com/articles/terminal/201714.html)
- 4.24 [“天鼠”系列盗号木马分析报告](https://www.anquanke.com/post/id/177066)
- 4.24 [真假文件夹?FakeFolder病毒再次捣乱企业内网](https://www.secpulse.com/archives/104540.html)
- 4.25 [赛门铁克2019年互联网安全威胁报告:数据篇](https://www.freebuf.com/news/201265.html)
- 4.25 [新型赌博黑产攻击肆虐网吧:LOL博彩引流&棋牌盗号](https://www.freebuf.com/articles/system/201459.html)
- 4.25 [从源码层面看一款精致的病毒软件应具备哪些特质](https://www.freebuf.com/articles/system/200923.html)
- 4.25 [正则表达式所引发的DoS攻击(Redos)](https://www.anquanke.com/post/id/177100)
- 4.25 [卡巴斯基:除华硕外至少还有6家公司受到“影锤”行动攻击](http://hackernews.cc/archives/25333)
- 4.25 [外国骗子装成中国黑客造假0day骗钱删号走人](https://www.anquanke.com/post/id/177212)
- 4.26 [威胁情报在态势感知系统中的一种落地尝试](https://www.freebuf.com/articles/security-management/200882.html)
- 4.26 [海莲花APT组织2019年第一季度针对中国的攻击活动技术揭秘](https://www.freebuf.com/articles/network/201940.html)
- 4.27 [IoT-Home-Guard:一款可检测物联网设备中恶意行为的工具](https://www.freebuf.com/articles/terminal/198163.html)
- 4.28 [号称“十分在意用户隐私”的恶意软件罗宾汉是个啥?](https://www.freebuf.com/news/201080.html)
- 4.28 [APT34泄密武器分析报告](https://www.freebuf.com/articles/database/202303.html)
- 4.28 [因广告欺诈及滥用权限,百度子公司数十款应用被Google Play封杀](https://www.freebuf.com/news/202248.html)
- 4.29 [2019年Q1 Android Native病毒疫情报告](https://www.anquanke.com/post/id/177478)
- 4.30 [浅析某针对乌克兰国防和经济部门的大规模钓鱼事件](https://www.freebuf.com/articles/network/201788.html)
- 4.30 [AWS安全笔记|扯淡与权限](https://www.secpulse.com/archives/105062.html)
- 4.30 [The inception bar:一种新型网络钓鱼手段](https://www.anquanke.com/post/id/177488)
- 4.30 [DDoS攻击新趋势:海量移动设备成为新一代肉鸡](https://www.secpulse.com/archives/105045.html)
- 4.30 [防代码泄漏的监控系统架构与实践](https://www.freebuf.com/articles/es/201845.html)
- 5.2 [新型蠕虫病毒攻击服务器,政企电脑变矿机](https://www.freebuf.com/articles/database/201525.html)
- 5.3 [DDoS反射放大攻击全球探测分析](https://www.freebuf.com/articles/database/201804.html)
- 5.5 [聊聊安全测试中如何快速搞定Webshell](https://www.freebuf.com/articles/web/201421.html)
- 5.5 [ISPsystem漏洞分析](https://www.anquanke.com/post/id/177599)
- 5.5 [基于排序的SQL猜解问题](https://www.anquanke.com/post/id/177572)
- 5.5 [“盗梦空间栏”,Chrome 移动版上的新型网络钓鱼](http://hackernews.cc/archives/25369)

2019年4月23日星期二

- 4.16 [黑客 Gnosticplayers 兜售第五批数据:总涉44家企业近10亿用户记录](http://hackernews.cc/archives/25259)
- 4.16 [登录注册攻与防](https://www.secpulse.com/archives/104091.html)
- 4.17 [浅析基于人格特征的内部高风险用户识别方法](https://www.freebuf.com/articles/network/200564.html)
- 4.18 [CNCERT发布《2018年我国互联网网络安全态势报告》](https://www.freebuf.com/articles/network/201280.html)
- 4.18 [一些知名中國 app 因涉嫌大規模廣告詐騙而被 Google 下架](https://chinese.engadget.com/2019/04/18/google-pulls-android-apps-ad-fraud/)
- 4.19 [门罗币挖矿&远控木马样本分析](https://www.freebuf.com/articles/system/200875.html)
- 4.19 [新型Anatova恶意软件分析](https://www.freebuf.com/articles/database/199895.html)
- 4.19 [国家安全机关公布境外网络攻击窃密案件](https://www.anquanke.com/post/id/176944)
- 4.22 [Bilibili 源代码泄漏](https://www.solidot.org/story?sid=60351)
- 4.22 [APT34攻击全本分析](http://www.ijiandao.com/2b/baijia/245780.html)

	- 4.19 [黑客在 Telegram 上出售伊朗间谍部队 APT34 的黑客工具源代码](http://hackernews.cc/archives/25286)
	
	- 4.19 [黑客泄露APT 34组织工具、成员信息,扬言更多秘密将持续曝光](https://www.freebuf.com/news/201501.html)

- 4.22 [DNS劫持欺骗病毒“自杀”](https://www.freebuf.com/articles/system/201032.html)
- 4.23 [Targeted Attacks hit multiple embassies with Trojanized TeamViewer](https://securityaffairs.co/wordpress/84367/hacking/trojanized-teamviewer-hit-embassies.html)
- 4.23 [起底童星培训骗局:千亿级的“黑金”产业链,到底有多赚?](http://www.ijiandao.com/2b/baijia/246470.html)

2019年4月15日星期一

- 4.8 [GandCrab5.2勒索病毒伪装国家机关发送钓鱼邮件进行攻击](https://www.freebuf.com/articles/system/200070.html)
- 4.9 [苹果企业证书再爆丑闻 间谍软件窃取用户隐私信息](http://hackernews.cc/archives/25210)
- 4.10 [“银行提款机”变种病毒分析报告](https://www.freebuf.com/articles/paper/200284.html)
- 4.10 [火眼推出 Windows 免费渗透测试套件,包含140多款工具](https://www.freebuf.com/sectool/200524.html)
- 4.10 [流行开发工具 bootstrap-sass 被修改植入后门](https://www.solidot.org/story?sid=60184)
- 4.15 [FuzzScanner:信息搜集开源小工具](https://www.freebuf.com/sectool/200344.html)
- 4.15 [使用HTML注入进行信息泄露](https://www.anquanke.com/post/id/176565)
- 4.15 [数据分析与可视化:谁是安全圈的吃鸡第一人](https://www.freebuf.com/articles/web/199925.html)

2019年4月8日星期一

- 4.2 [学习手册:窥探Web前端黑客技术](http://blog.nsfocus.net/spying-web-front-end-hacking-techniques/)
- 4.2 [“铝”巨人遭勒索病毒攻击,工业互联时代如何保障网络安全](http://blog.nsfocus.net/how-to-guarantee-network-security-in-the-age-of-industrial-interconnecti/)
- 4.3 [KBuster:以伪造韩国银行APP的韩国黑产活动披露](https://www.freebuf.com/articles/terminal/199175.html)
- 4.3 [伊拉克电信公司遭到MuddyWater组织定向攻击](https://www.freebuf.com/articles/network/199008.html)
- 4.3 [换瓶不换酒,盗号木马还在钻搜索引擎广告的空子](https://www.anquanke.com/post/id/175954)
- 4.4 [Xiaomi Vulnerability: When Security Is Not What it Seems](http://blog.checkpoint.com/2019/04/04/xiaomi-vulnerability-when-security-is-not-what-it-seems/)
- 4.5 [友讯路由器 DNS 流量遭黑客劫持](https://www.solidot.org/story?sid=60138)
- 4.5 [Chashell:基于DNS的反向Shell](https://www.freebuf.com/sectool/199406.html)
- 4.5 [2018全球网络安全图鉴](https://www.freebuf.com/articles/network/199133.html)
- 4.6 [如何使用SQLMap脚本绕过Web应用防火墙](https://www.freebuf.com/sectool/198403.html)
- 4.6 [“商贸信”病毒装成商品图片,双击就被安装商业间谍软件](https://www.freebuf.com/articles/network/199906.html)
- 4.7 [奇思妙想之用JS给图片加口令](https://www.freebuf.com/articles/web/199559.html)
- 4.7 [4月7日每日安全热点 - 湖北一公职人员泄露公民信息5万余条](https://www.anquanke.com/post/id/176043)
- 4.8 [CISO的闪电战——2年甲方安全的自我修炼](https://www.anquanke.com/post/id/176075)
- 4.8 [谁劫持了我的DNS:全球域名解析路径劫持测量与分析](https://www.inforsec.org/wp/?p=3161)

2019年3月4日星期一


  • 浏览器漏洞导致黑客可以在用户关闭网页(浏览器进程保留)时依然留下后门。
    吐槽:开发者原意是为了方便其他(正常)开发者,可是黑客的钻研精神往往更厉害。
  • 漏洞攻击者利用四个winrar的漏洞,通过诱使用户使用WinRAR打开恶意构造的压缩包文件,将恶意代码写入系统启动目录或者写入恶意dll劫持其他软件进行执行,实现对用户主机的任意代码执行攻击。
    github上公开了该漏洞的poc,acefile - WinRAR 解压代码执行漏洞 POC:
    https://github.com/Ridter/acefile
    吐槽:还好我不用winrar,感谢winrar的中国代理。
  • 从 2017 年底到 2019 年初,腾讯御见威胁情报中心发现一个疑似来自印度的 APT 攻击组织持续针对巴基斯坦等南亚国家的军事目标进行了定向攻击。腾讯御见威胁情报中心对该组织的攻击活动进行了长期的深入分析,从溯源结果来看,该组织的最早的攻击活动可以追溯到 2012 年。
    响尾蛇(SideWinder)组织是一个成熟的 APT 攻击组织,该组织擅长使用 office 漏洞、hta 脚本、白加黑、VB 木马等技术来实施攻击,并且攻击手法还在不断的进化中。目前该组织的攻击目标主要在巴基斯坦,但是由于地缘关系,也不排除针对中国境内的目标发起攻击,因此相关部门、单位和企业切不可掉以轻心。
    吐槽:大家的精力都用在了取名字上了。
  • 该木马还教会了作者关闭其他可能存在的挖矿及DDoS木马。
    吐槽:堡垒都是从内部攻破的。
  • 从2018年4月起至今,一个疑似来自南美洲的APT组织盲眼鹰(APT-C-36)针对哥伦比亚政府机构和大型公司(金融、石油、制造等行业)等重要领域展开了有组织、有计划、针对性的长期不间断攻击。其攻击平台主要为Windows,攻击目标锁定为哥伦比亚政企机构,截止目前360威胁情报中心一共捕获了29个针对性的诱饵文档,Windows平台木马样本62个,以及多个相关的恶意域名。
    吐槽:取名上面的竞争越来越激烈了。
  • 360威胁情报中心截获了多个使用WinRAR漏洞传播恶意程序的样本,并且我们还观察到了多个利用此漏洞进行的APT攻击活动。可以明显的看到,攻击者针对该漏洞利用做了更精心的准备,比如利用WinRAR压缩包内图片列表不可预览来诱导目标极大概率解压恶意文件、将恶意ACE文件加密后投递、释放“无文件”后门等。
    吐槽:winrar有望取代flash,成为新一代的突破口。
  • 漏洞的根源在于this.submitForm()这个PDF Javascript API。像this.submitForm(‘http://google.com/test‘)这样一个简单的调用就会导致Chrome把个人信息发送到google.com。 可能被泄露的信息包括:
    1. 用户的公共IP地址。
    2. 操作系统,Chrome版本等(在HTTP POST header中)。
    3. 用户计算机上PDF文件的完整路径(在HTTP POST payload中)。
      漏洞利用:3.1 Google Chrome 被发现零日漏洞 可让黑客获取用户数据 黑客通过此种方式可以获得的数据包括设备的IP地址、操作系统和Google Chrome版本,以及本地驱动器上PDF文件的路径等等。
      吐槽:最好还是不要给予内部纯文档阅读器联网权限。
  • 如果返回的国家代码为意大利(代码39),恶意宏将会使用Shell函数来执行下一条攻击指令。
    吐槽:通过地区代码进行恶意代码行为限制的病毒不多见了。
  • 详细介绍了逆向过程。可以看看。
    吐槽:目前大部分微信防撤回软件应该都解决了这个问题。
  • 前员工遗留的一个后门。
    吐槽:机翻拯救失业。
  • 过期域名,尤其是过期事业单位的域名被恶意利用。监管和内审都应该关注一下。
    吐槽:还是事业单位资产管理的问题。
  • Check Point安全研究人员近日在调查多个恶意文档时发现了朝鲜APT组织Lazarus疑似针对俄罗斯的攻击活动。研究人员分析发现这些文件是感染链的一部分,目的是删除与Lazarus组织相关的后门KEYMARBLE的更新变种。
    吐槽:机翻看着真难受。
  • 提出新一代智能恶意邮件监测与溯源的系统框架,将多元行为分析、威胁情报溯源、动态沙箱检测、深度样本意图分析等智能化威胁感知和邮件监测技术应用在恶意邮件监测与溯源系统中。通过人工智能技术将几百种基于知识工程的邮件安全元素与威胁、业务模型关联建模,使系统具备更智能的威胁感知能力和更准确的恶意邮件检测率。同时,通过邮件样本溯源技术,系统可以进一步溯源恶意邮件的来源和相关的黑客组织。
    吐槽:啥流行就把啥扯上去,貌似就是学术论文的关键。
  • RapidScan在漏洞扫描器和网站审计软件的自动化部署上做的非常出色。它支持很多效果不错的工具,使用这些工具可以容易地探测常见的网站漏洞。再加上UserLAnd这样的App,我们可以把一部不显眼的Android手机武装成一个功能齐全的黑客设备。
    地址:rapidscan
  • 这个逻辑是存在ut值的时候会对当前用户的手机号进行验证,然而在没有ut值的时候无法获取当前用户信息,也就无法进行手机号验证,同时也未对手机验证码以及旧密码进行验证导致密码修改成功。
    吐槽:业务逻辑漏洞需要不断尝试才可挖掘出来并利用。
  • PFLD算法,目前主流数据集上达到最高精度、ARM安卓机140fps,模型大小仅2.1M!
    吐槽:简直牛批了。
  • 文章被删,不记得具体内容了,参考:http://webscan.360.cn/vul/view/vulid/1020
    吐槽:删的莫名其妙。
  • 2018 年全年,360 互联网安全中心共截获移动端新增恶意程序样本约 434.2 万个,平均每天新增约 1.2 万。全年相比 2017 年(757.3 万)下降了约 42.7%。自 2015 年起,恶意程序新增样本量呈逐年下降趋势。
    病毒新增减少,但诈骗案例增多。
    吐槽:电信诈骗越来越严重,危害也越来越大。
  • 2019年1月24日,攻击者通过云控指令对该木马(通过驱动人生升级通道下发传播的木马)又进行了新的更新,更新文件下载URL:http[:]//dl.haqo.net/updater.exe,下载到本地保存的路径为:C:\Windows\temp\updater.exe,该恶意代码执行后便会将自身移动到系统关键目录并释放多个文件执行,上传主机的相关信息并从指定的恶意域名查询指令,根据云端指令执行恶意行为,当前云端的指令仅仅是控制感染主机进行挖矿操作,后续攻击者可以根据需要改变云端指令,从而控制感染主机执行更加危险的操作。
    吐槽:僵尸网络,名不虚传。
  • CTF中流量分析题目的案例分析,值得看看。
    吐槽:确实CTF有点越来越像应试教育了。为了难而难?

2019年2月25日星期一


  • 网络犯罪分子正在利用一个在2018年12月被发现和已修补的ThinkPHP漏洞传播Yowai(Mirai变种)和Hakai(Gafgyt变种)两种僵尸网络病毒。
    网络犯罪分子利用字典攻击破坏使用PHP框架创建网站的Web服务器,并获得这些路由器的控制,以实现分布式拒绝服务攻击(DDoS)。
    吐槽:Yowai还会清除竞争对手的后门程序。黑产的世界才是血腥和残酷的。
  • 由于商店应用初始更新检查使用HTTP,攻击者在控制网络流量(例如,在网络上实施中间人攻击)的前提下,可以更改用于负载平衡的URL并修改对镜像的请求至用户所控制的域名。这将允许攻击者欺骗Galaxy Apps使用任意带有有效SSL证书的主机名,并模拟应用商店API来修改设备上的现有应用。(最重要的是)攻击者可以在三星设备上利用此漏洞实现远程代码执行。
    吐槽:MITM攻击真的随处可见。
  • google开放自己的零信任框架后,各大安全公司开始推崇“零信任”安全架构成为网络安全流行框架之一。
    吐槽:国内安全公司大多还是跟风为主。
  • 话不多说,看图:
    吐槽:毛熊之厉害,可见一斑。
  • 印度国有天然气公司(Indane)面向经销商和渠道商的网站上,尽管只能通过有效的用户名和密码进行访问,但部分内容已经被谷歌搜索引擎编入索引。
    吐槽:据说爆料者担心受Indane报复~
  • 木马模块只是接管了官方游戏的登录流程,从而达到偷偷盗取用户账号密码的目的。
    吐槽:主要骚操作就是买SEO广告。
  • 对于安全狗杀形,d 盾杀参的思路来绕过。生僻的回调函数, 特殊的加密方式, 以及关键词的后传入都是不错的选择。
    对于关键词的后传入对免杀安全狗,d 盾,河马 等等都是不错的,后期对于菜刀的轮子,也要走向高度的自定义化
    用户可以对传出的 post 数据进行自定义脚本加密,再由 webshell 进行解密获取参数,那么以现在的软 WAF 查杀能力几乎为 0,安全软件也需要与时俱进了。
    吐槽:不明觉厉系列。
  • 信息安全五大时期:
    1. 通信安全时期
    2. 计算机安全时期
    3. 网络安全时期
    4. 信息安全时期
    5. 数据安全时期
      吐槽:数据亦是信息的一部分,只不过当前互联网蓬勃发展,数据积累为大数据,所以安全也跟风谈着重谈数据安全。七本质依旧是保障信息安全。
  • 通过各种贴吧、论坛等信息逐步追溯,过程中一些关键点:QQ、支付宝名字认证等;然后最关键的,还是对人的社工。
    吐槽:所以说,黑产从业者的赚钱门路真的五花八门。
  • 吐槽:科普贴
  • 本次的漏洞是出现在ndex.class.php中的likejob_action()和saveresumeson_action()函数,由于这两个函数对用户的输入没有进行严格的显示,同时利用mysql的特点能够绕过waf。
    吐槽:有源码的注入只需要耐心;前提是挖洞的脑洞有。
  • 主要实战了如何用wireshark做流量分析,信息提取。
    吐槽:恩,跟分析木马差不多的原理咯。都不用分析泄露了什么数据?
  • Justniffer是一款功能强大的网络协议分析工具,它可以捕捉网络流量并以定制化的方式生成日志文件。除此之外,它还可以模拟Apache Web服务器日志文件,跟踪响应事件并从HTTP流量中提取出所有截获到的文件。
    Justniffer项目官网:【传送门
    吐槽:还是wireshark分析器好点吧。
  • FireEye的Mandiant应急响应和情报团队识别出了一波DNS劫持攻击,这波攻击影响了大量域名,其中包括中东、北非、欧洲和南美地区的政府机构、通信部门以及互联网基础设施。研究人员目前还无法识别此次活动背后的攻击者身份,但初步研究表明,攻击者与伊朗有关。
    吐槽:跨国DNS劫持,所以在国家机器面前,个人信息安全如何保障?
  • 近期绿盟科技应急响应团队检测到多家政府、教育、企事业单位网站被黑客植入恶意链接,访问链接后会跳转到指定色情网站。攻击者利用第三方的编辑器的未授权访问及上传漏洞,上传相关恶意HTML页面。结合SEO技术,提升恶意站点在搜索引擎的收录和权重。
    吐槽:事业单位网站、app外包的危害将一直持续下去。
  • 暴力破解还可用于发现Web应用程序中的隐藏页面和内容,在你成功之前,这种破解基本上是“破解一次尝试一次”。
    吐槽:当然,暴力破解更多用于密码爆破;虽然也有爆破漏洞啥的(fuzzing),但其目的往往仅是发现问题(crash)。
  • 2018年,勒索病毒攻击整体态势以服务器定向攻击为主,辅以撒网式无差别攻击手段。
    政企单位防范勒索病毒建议从七个方面着手,即及时更新最新的补丁库、杜绝弱口令、重要资料定期隔离备份、提高网络安全基线、保持软件使用的可信、选择正确的反病毒软件、建立高级威胁深度分析与对抗能力。
    吐槽:勒索变现-新纪元。
  • 最为严重的就是Torpedo,它利用了蜂窝寻呼协议(paging protocol,运营商用于来电或者短信之前通知手机)的弱点,在短时间内拨打和取消手机通话可以在通知目标设备来电的情况下触发寻呼协议,从而让攻击者追踪受害者的位置。研究人员说,知道受害者的寻呼时机还可以让攻击者劫持寻呼通道,并通过欺骗消息(如Amber警报)或完全阻止消息来插入或拒绝寻呼消息。
    吐槽:又一核武器埋下。

2019年2月19日星期二


  • 安全研究员在USB上嵌入了WiFi芯片,使其可以通过WiFi进行远程通信,然后利用BadUSB技术进行物理入侵。
    吐槽:想到Bad充电宝了。
  • 在对“驱动人生”劫持事件下载木马的域名dl.haqo.net进行关联分析时,我们注意到其中一个子域名js.haqo.net,在360威胁情报中心的ALPHA平台中被打上Mykings的标签,该域名解析到IP:81.177.135.35 。
    两者IP有关联,时间线有一定关联,URL、端口相似,但代码风格不同。360更倾向于认为是栽赃。
    吐槽:APT的关联分析真的是,纯靠想。
  • 攻击组织的兴趣点在于中东地区能源行业。其攻击手法似乎包含网络渗透和鱼叉钓鱼,具备反追查意识,使用新款木马后门,具有一定技术实力背景和多人员分工协作构成犯罪组织特征。
    吐槽:目前来看APT分析里比较中肯和线索清晰的。
  • 沙特政府推出的一款可监控女性出境的APP——Absher帮助男性监控甚至决定女性(妻女)出境状态。
    吐槽:政府支持视女性为男性所属品,应用商店也没办法的。
  • 此次行动针对的是金融行业,尤其是是俄罗斯联邦和白俄罗斯共和国金融行业的工作人员。此次行动背后的行为者是Silence团伙,这是一个相对较新的威胁团伙,自2016年中期以来一直在运营。到目前为止,我们已确定的被攻击的企业包括:
    • NBD Bank Russia:提供零售和商业服务的俄罗斯银行。
    • Zapsibkombank(Zapadno-Sibirskiy Kommercheskiy Bank):西西伯利亚商业银行(WSCB),位于俄罗斯。
    • FPB(Finprombank):同样位于俄罗斯。
    • MSP银行(МСПБанк):专注于为中小企业提供融资的俄罗斯联邦国家银行。
    • MT Bank(МТБанк):Meridian trade Bank,也是唯一一家位于白俄罗斯的实体银行。
      吐槽:有受害主体的APT(虽然是猜测)则显得有料一些。
  • 本文介绍了macOS上利用Chrome扩展实现的一种载荷投递机制,介绍了自动更新功能在攻击过程中的应用,也介绍了使用Apfell的一个实际攻击样例,最后提出了一些基本但实际可操作的检测指南。
    吐槽:所以,扩展程序就应该只拥有chrome的访问权限啊。
  • Mojave仅为少数应用程序(如Finder)提供对此文件夹的特殊访问权限。但是,安全人员发现了一种在Mojave中绕过这些保护的方法,允许应用程序在~/Library/Safari没有获得系统或用户的任何许可的情况下查看内部,并且不会弹出权限对话框。通过这种方式,恶意软件应用程序可以通过检查他们的网络浏览历史秘密地侵犯用户的隐私。
    吐槽:细节未暴露,还在苹果处理中。
  • 论坛、外卖等容易暴露自身信息,特别是单身租房的妹子尤其需要注意。
    依然是可以当故事看的文章。
    吐槽:当然,变态也没那么多就是了。
  • 通过溯源分析,金山毒霸发现本次“暗流Ⅱ”家族通过多玩公司旗下的“游戏盒子”客户端升级渠道进行传播感染,其启动宿主进程的数字签名为“广州玩盒科技有限公司”。“游戏盒子”作为该公司旗下知名的游戏辅助软件,包含“英雄联盟盒子”、“DNF盒子”、“坦克世界盒子”等多款辅助客户端,从监控数据看无一幸免,所有产品升级渠道均被植入“暗流Ⅱ”木马家族。除升级渠道和数字签名等强关联证据外,暂时未发现“暗流Ⅱ”木马家族与“多玩游戏”存在直接操纵和利益关联的线索,本次病毒传播事件究竟是厂商内部操作还是外部黑产攻击尚无法给出定论,因此我们将本次安全事件暂定性为“疑似软件供应链攻击”。
    吐槽:从黑产对抗经验来看,极有可能是内部的锅。
  • 目录结构:
    • 第一章,总体介绍了为什么智能设备的安全需要引起我们的注意并投入精力去研究,以及以智能设备系统架构为导向的研究方法。
    • 第二章,主要介绍硬件安全分析,包括 PCB 安全隐患和加固建议、侧信道攻击和中间人攻击的基本原理及加固方案。
    • 第三章,固件安全部分,提供固件获取的几种思路及相应加固办法,固件解包工具介绍演示。
    • 第四章,从分析环境、模拟运行、设备调试三方面介绍智能设备的调试技术。
    • 第五章,关注通讯协议,包括载波分析、两种无线协议 ZigBee 和蓝牙的测试方法。
    • 第六章,移动终端 APP 安全分析,分别介绍在 Android 和 IOS 平台上的分析技术。
    • 第七章,本章节通过命令注入、未授权访问、XSS 的案例提供一些智能设备中 WEB 安全测试的思路。
    • 第八章,包括口令破解的方法,二进制漏洞静态分析、模糊测试的简单介绍。
    • 第九章,介绍业务逻辑中可能出现的两种漏洞。
      吐槽:作为学习文档是可以下载一看的。
  • Check Point的安全研究员发现了一种能针对Linux和Mac设备的新后门木马“SpeakUp”,该恶意软件存储了大量之前的攻击案例,能够优先识别安全漏洞并有效地躲避杀毒软件的查杀。SpeakUp以其命令和控制(C&C)域名SpeakUpOmaha[dot]com命名,后者因后端运行C&C代码而受到攻击。SpeakUp还有一个内置的Python脚本,该脚本可以让恶意软件在本地网络上传播。Python脚本会使用预先定义的登录凭据列表自动扫描本地网络以定位打开的端口并识别最近区域的系统漏洞。
    吐槽:python天下第一。