当前节点:rss
时间节点
2021-04-14 01:03:42MSRC Blog
Today is Update Tuesday – our commitment to provide a predictable monthly schedule to release updates and provide the latest protection to our customers. Update Tuesday is a monthly cycle when Microsoft releases patches for vulnerabilities that we have found proactively or that have been disclosed to us through our security partnerships under a coordinated …  April 2021 Update Tuesday packages now available Read More »
2021-04-12 22:13:49小草窝博客
关键词: C2生成shellcodeDonut生成shellcodeDll反射生成shellcodeSliverPE结构sRDI代码阅读与优化 cobalt strike开局我们一般会生成一段shellcode,在通过其他手段在目标机器上加载执行,这样的好处是整个过程(除了加载器外)无文件,所有执行都是在内存中进行,并且也好进行分离免杀。 cobalt strike shellcode的执行流程是 会先从team server服务器上下载beacon.dll,然后反射dll执行。 之前也有写过一个简单的任意pe文件转换shell... 阅读全文>>
2021-04-11 21:33:03面向信仰编程
2021-04-11 14:31:20PansLabyrinth
以微信扔骰子小游戏为例,记录一次完整 iOS 逆向分析的过程。
前言
在之前《免越狱调试与分析黑盒iOS应用》以及前几篇文章中已经介绍了如何开始分析iOS应用,不过都是基于非越狱的机器,其本意是为了能够在自己的主力设备中进行简单的分析和调试。但是执着于免越狱其实在很多情况下需要额外的工作,如果想要在iOS上做进一步研究的话,完全的访问权限是很有必要的。
Jailbreak
因为主要讨论的是应用安全,所以关于越狱实现的部分不做深入介绍。关于XNU内核漏洞的分析和利用网上有很多相关的文章或书籍,比如:

An adventure into the XNU kernel
Project Zero - SockPuppet: A Walkthrough of a Kernel Exploit for iOS 12.4
Project Zero - A survey of recent iOS kernel exploit
Secfault Security - Writing an iOS Kernel Exploit from Scratch
《MacOS and iOS Internals》(*OS Internals)
…

看一些公开的漏洞利用代码对加深印象也很有帮助,比如oob_timestamp的利用。对于本文而言只需要站在巨人的肩膀上使用这些封装好的利用即可。iOS越狱和Android root的的一个很大不同是前者系统封闭性高,碎片化较低,因此提权的方法也相对单一,不支持刷机,大部分都是通过漏洞去获取更高的权限(tfp0)。既然是专注应用层安全,就抓大放小,使用现有的越狱工具,站在前人肩膀上即可。
砸壳
越狱之后总算可以通过 ssh 进入到系统中,也就是相当于安卓世界的 adb shell 而已。既然是逆向分析,下一步就是获取应用的安装包,这在安卓中是一条adb pull命令,但苹果里要复杂一些。
iOS 中大部分应用都从 Apple Store 即应用商店下载,而从应用商店下载的 app 是通过苹果签名和加密保护的,这是苹果 FairPlay DRM 数字版权保护的重要部分。为了能使用逆向工具进行分析,需要先对其进行解密,即俗称的砸壳。网上关于砸壳的资料和工具都很多,比如:

stefanesser/dumpdecrypted:手动将动态库注入进程获取解密后的文件,不包括动态库
conra
2021-04-10 19:31:19一个安全研究员
大概是今天早上,前程无忧发布了2021年第一季度全国27个热门城市的平均薪资(不包含年终奖),其中北京、上海、深圳分别以11187元、10814元、10247元夺得前三。

这是我今天看到的第一条消息,也正是这条消息让我上午工作的时候分了好一会神,不知道为啥
手里的键盘突然就敲不动了
只想着早日搭上财富自由的快车,去浪漫的土耳其还有东京和巴黎看一看
回国后,顺便拍一部《攻受道》实现一下自己儿时的武侠梦,如果可以的话,也可以给我安排七个老婆,千万不要因为我是娇花而怜惜我
然后再在电影的首映礼上淡淡地说出一句「                    
                        作者:he_and 发表于 2021/04/10 17:18:03 原文链接 https://blog.csdn.net/he_and/article/details/115580661                    
                    
                        阅读:161 评论:6 查看评论
2021-04-10 11:36:03面向信仰编程
2021-04-06 16:44:14tyler_download的专栏
由于工作繁忙原因,对人脸识别技术原理的连载停了一段时间,从今天开始尝试恢复回来。我们先回想一下前面完成的工作。这几节主要任务就是为神经网络的训练准备足够多的数据,第一步是创建不包含或者包含人脸部分小于30%的图片,我们从人脸图片数据集中的每张图片随机选取一个矩形区域,确定该区域与人脸区域不重合或重合部分少于30%,这部分数据我们成为neg,目的是告诉网络没有人脸的图片是怎样的。
接着再次选取一系列区域,这次确保选取的区域与人脸区域的重合度高于30%但是低于65%,这类数据我们称为part,其目的是训练网络识                    
                        作者:tyler_download 发表于 2021/04/06 16:33:15 原文链接 https://blog.csdn.net/tyler_download/article/details/115462948                    
                    
                        阅读:4678 评论:2 查看评论
2021-04-03 15:57:31一个安全研究员
最近的互联网还真是热闹
先是小米花200w换了个新logo,再是张一鸣公开演讲讽刺互联网「八股文」
不知道各位互联网弄潮儿有没有被这些抓人眼球的信息击中,反正我是开心了很久
先来说说小米的新logo吧
其实我一直不是一个米粉,至今也还没有机会深入地体验到小米的产品
但是小米这家企业已经很成功了,就像我这个一直对小米没有特殊追求的普通用户也有幸与小米的产品有过三次接触
我拥有的第一个小米产品不是小米手机,而是一台小米电子秤
还是大四的时候获得安全客月度优秀作者的奖品,那台电子秤在我使用过一次后就送人了
所以也                    
                        作者:he_and 发表于 2021/04/03 15:46:55 原文链接 https://blog.csdn.net/he_and/article/details/115416894                    
                    
                        阅读:82 评论:4 查看评论
2021-04-02 09:30:35面向信仰编程
2021-03-30 11:43:26王登科-DK博客
原文:No Meetings, No Deadlines, No Full-Time Employees (sahillavingia.com)
 国外有一家叫做 gumroad 的公司,是创作者生态的先驱,亦可看作是我所做的「面包多」的对标产品,虽然在产品形态上已经有了很大的不同,但「为创作者服务」这个目标是一样的。 Gumorad 的创始人 Sahil 聪明且善于表达,经历也非常传奇,他在博客里写下了一篇关于工作的文章「No Meetings, No Deadlines, No Full-Time Employees」,看了我就忍不住翻译了。 这篇文章,即便你不同意其中的很多做法,但依然可以很容易找到一些启发,至少对我来说是这样。 我也会用自己的公司开始一个实验,如果你对类似于 Gumroad 的工作方式有兴趣,不妨填写这个表单:https://doc.weixin.qq.com/formcol/share?form_id=AGUA6QdEAAsACQAnwYiAHEO2ns68KJR3 



 我在 2011 年开始做 Gumorad 这个创业项目,2015年,我们有了 23 个全职员工,2016年,融资失败后,我回到了最初的境地:独身一人。 今天,当有人问我, Gumroad 有多少员工时,我会回答「十多个吧」,这是一个他们可以理解并接受的回答,但实际情况复杂的多:

 	如果把所有为 Gumroad 工作的人算进来,一共是25人
 	如果只算全职员工,答案是 0 ,甚至连我也不是

 我们不开会,也不给任务设置任何 deadline 但效果其实并不差:我们平台的创作者过去一年赚了 1.75 亿美元,我们的利润是 1100 万美元,和去年相比增长了 85%坦白说,我并不觉得任何人都可以效仿我们的做法,我们之所以使用这种方式,其实也挺偶然的,并不是有意为之。 即便如此,我依然认为,我们的故事和工作方式可能可以给你带来一点启发,从而帮助到你的公司,你的员工,以及最重要的,你的客户。 
收支平衡
2015年我优化团队之后,虽然人数大量减少,但 Gumroad 的增长丝毫没有停滞对我来说,在旧金山租下一座办公室,再雇几个全职员工,是很难负担的开销,所以我从印度一家叫做 BigBinary 的外包公司找了几个人来做开发。 这家外包公司拯救了我的公司,他们修复了很多bug,维护了网站的运行,与此同时,我负责客服,设
2021-03-29 00:58:50面向信仰编程
2021-03-28 14:59:24面向信仰编程
2021-03-28 09:57:26三好学生
0x00 前言


在之前的文章《渗透基础——活动目录信息的获取》以获取活动目录中所有用户、所有计算机和所有组为例,介绍常用的信息获取方法。

但是在实际使用过程中,一些工具会被杀毒软件拦截。

所以本文将要对获取方法进行补充,同时绕过杀毒软件的拦截。

0x01 简介


本文将要介绍以下内容:


  使用csvde获取活动目录信息
  使用ldifde获取活动目录信息
  使用AdFind获取活动目录信息
  使用C#开发的轻量级获取工具


0x02 使用csvde获取活动目录信息


说明文档:

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/cc732101(v=ws.11)

使用csvde导出的文件格式为csv,可以使用Microsoft Excel查看

默认只能在以下系统使用,例如:


  Windows Server 2003
  Windows Server 2008
  Windows Server 2003 R2
  Windows Server 2008 R2
  Windows Server 2012,
  Windows Server 2003 with SP1
  Windows 8
  …


1.导出当前域内活动目录信息示例

导出当前域内所有信息:

csvde -f all.csv


导出当前域内所有用户信息:

csvde -f user.csv -r "(&(objectCategory=person))"


导出当前域内所有机器信息:

csvde -f machine.csv -r "(&(objectCategory=computer))"


导出当前域内所有组信息:

csvde -f group.csv -r "(&(objectCategory=group))"


导出当前域内所有管理员组的用户信息:

csvde -f admin.csv -r "(&(objectCategory=group)(name=Domain Admins))"


导出当前域内所有OU信息:

csvde -f ou.csv -r "(&(objectCategory=orga
2021-03-26 06:14:53MSRC Blog
MSRC / By MSRC Team / March 2, 2021 On March 2nd, we released several security updates for Microsoft Exchange Server to address vulnerabilities that are being used in ongoing attacks. Due to the critical nature of these vulnerabilities, we recommend that customers protect their organizations by applying the patches immediately to affected systems. The vulnerabilities affect Exchange Server versions 2013, 2016, and 2019, while Exchange Server 2010 is also being …  On-Premises Exchange Server Vulnerabilities Resource Center – updated March 25, 2021 Read More »
2021-03-25 21:18:02360netlab
Background
On March 2, 2021, Microsoft disclosed a remote code execution vulnerability in Microsoft Exchange server[1]。
We customized our Anglerfish honeypot to simulate and deploy Microsoft Exchange honeypot plug-in on March 3, and soon we started to see a large amount of related data, so far, we have already
2021-03-25 19:14:48小草窝博客
简介 Nuclei is a fast tool for configurable targeted vulnerability scanning based on templates offering massive extensibility and ease of use. Github: 阅读全文>>
2021-03-25 17:15:00tyler_download的专栏
在程序届有一句名言:如果你能读懂汇编,一切程序对你来说就是开源。所以要抵达黑客层次,不熟练的掌握反汇编分析技巧那是不可能的。本节我们看看一些反汇编的工具和相关技巧,后续我们再看看一些高级方法该怎么用。
常用的反汇编工具一般需要执行三个步骤,1,加载要反汇编的二进制文件;2,从二进制文件中找到所有机器指令;3,将指令转换为汇编语句;通常第2步是一个难点,由于机器指令与通常的二进制数值无异,因此很容易把不是指令的数值认为是机器指令。为了尽可能降低步骤2的错误,反汇编算法常采用两种模式,分别是线性反汇编和递归反汇                    
                        作者:tyler_download 发表于 2021/03/25 17:03:53 原文链接 https://blog.csdn.net/tyler_download/article/details/115201850                    
                    
                        阅读:318 评论:1 查看评论
2021-03-25 15:34:54360noah
0x00. TL;DRntopng 是一套开源的网络流量监控工具,提供基于 Web 界面的实时网络流量监控。支持跨平台,包括 Windows、Linux 以及 MacOS。ntopng 使用 C++ 语言开发,其绝大部分 Web 逻辑使用 lua 开发。在针对 ntopng 的源码进行审计的过程中,笔者发现了 ntopng 存在多个漏洞,包括一个权限绕过漏洞、一个 SSRF 漏洞和多个其他安全问题,接着组合利用这些问题成功实现了部分版本的命令执行利用和管理员 Cookie 伪造。比较有趣的是,利用的过程涉及到 SSDP 协议、gopher scheme 和奇偶数,还有极佳的运气成分。ntopng 已经针对这些漏洞放出补丁,并在 4.2 版本进行修复。
2021-03-25 15:34:54360noah
分析背景cve-2019-0708是2019年一个rdp协议漏洞,虽然此漏洞只存在于较低版本的windows系统上,但仍有一部分用户使用较早版本的系统部署服务器(如Win Server 2008等),该漏洞仍有较大隐患。在此漏洞发布补丁之后不久,msf上即出现公开的可利用代码;但msf的利用代码似乎只针对win7,如果想要在Win Server 2008 R2上利用成功的话,则需要事先在目标机上手动设置注册表项。在我们实际的渗透测试过程中,发现有部分Win Server 2008服务器只更新了永恒之蓝补丁,而没有修复cve-2019-0708。因此,我们尝试是否可以在修补过永恒之蓝的Win Server 2008 R2上实现一个更具有可行性的cve-2019-0708 EXP。由于该漏洞已有大量的详细分析和利用代码,因此本文对漏洞原理和公开利用不做赘述。分析过程我们分析了msf的exp代码,发现公开的exp主要是利用大量Client Name内核对象布局内核池。这主要有两个目的,一是覆盖漏洞触发导致MS_T120Channel对象释放后的内存,构造伪造的Channel对象;二是直接将最终的的shellcode布局到内核池。然后通过触发IcaChannelInputInternal中Channel对象在其0x100偏移处的虚函数指针引用来达到代码执行的目的。如图1:图1而这种利用方式并不适用于server2008r2。我们分析了server2008r2的崩溃情况,发现引起崩溃的原因是第一步,即无法使用Client
2021-03-25 15:34:54360noah
0x01. 漏洞简介
vSphere 是 VMware 推出的虚拟化平台套件,包含 ESXi、vCenter Server 等一系列的软件。其中 vCenter Server  为 ESXi 的控制中心,可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机,使得 IT 管理员能够提高控制能力,简化入场任务,并降低 IT 环境的管理复杂性与成本。
vSphere Client(HTML5)在 vCenter Server 插件中存在一个远程执行代码漏洞。未授权的攻击者可以通过开放 443 端口的服务器向 vCenter Server 发送精心构造的请求,从而在服务器上写入 webshell,最终造成远程任意代码执行。
0x02. 影响范围

vmware:vcenter_server 7.0
2021-03-25 15:34:54360noah
概述近日,有reddit用户反映,拥有100k+安装的Google Chrome扩展程序 User-Agent Switcher存在恶意点赞facebook/instagram照片的行为。
除User-Agent Switcher以外,还有另外两个扩展程序也被标记为恶意的,并从Chrome商店中下架。
目前已知受影响的扩展程序以及版本:

User-Agent Switcher

2.0.0.9
2.0.1.0


Nano Defender

15.0.0.206


Nano Adblocker

疑为 1.0.0.154



目前,Google已将相关扩展程序从 Web Store 中删除。Firefox插件则不受影响。
影响范围Chrome Webstore显示的各扩展程序的安装量如下:

User-Agent Switcher: 100
2021-03-25 15:34:54360noah
背景Hacking Team 是为数不多在全球范围内出售网络武器的公司之一,从 2003 年成立以来便因向政府机构出售监视工具而臭名昭著。2015年7月,Hacking Team 遭受黑客攻击,其 400GB 的内部数据,包括曾经保密的客户列表,内部邮件以及工程化的漏洞和后门代码被全部公开。随后,有关 hacking team 的活动突然销声匿迹。2018年3月 ESET 的报告指出:Hacking Team 一直处于活跃状态,其后门版本也一直保持着稳定的更新。2018年12月360高级威胁应对团队的报告披露了 Hacking Team 使用 Flash 0day 的”毒针”行动。2019年11月360高级威胁应对团队的报告披露了 APT-C-34 组织使用 Hacking Team 网络武器进行攻击。2020年4月360诺亚实验室的报告披露出
2021-03-25 15:34:54360noah
在此前跟进CVE-2020-0796的过程中,我们发现公开代码的利用稳定性比较差,经常出现蓝屏的情况,通过研究,本文分享了CVE-2020-0796漏洞实现在realworld使用过程中遇到的一些问题以及相应的解决方法。Takeaways我们分析了exp导致系统蓝屏的原因,并尝试对其进行了改进;相对于重构前exp,重构后的exp执行效率与稳定性都有显著提高;关于漏洞原理阐述,Ricerca Security在2020年4月份发布的一篇blog中已非常清晰,有兴趣的读者可以移步阅读,本文不再赘述。初步选择和测试公开exp可用性测试环境:VMWare,Win10专业版1903,2G内存,2处理核心为了测试和说明方便,我们可以将exp的执行分为3个阶段:漏洞利用到内核shellcode代码开始执行内核shellcode代码执行用户层shellcode执行根据实际情况,我们测试了chompie1337和ZecOps的漏洞利用代码。根据各自项目的说明文档,两份代码初步情况如下:ZecOpsZecOps的利用代码是在单个处理器的目标计算机系统上测试的;在后续的实际测试中,发现其代码对多处理器系统的支持不足,虽然在测试环境中进行了多次测试中,系统不会产生BSOD,但漏洞无法成功利用(即exp执行第一阶段失败)。chompie1337chompie1337的代码在漏洞利用阶段则表现得十分稳定,但在内核shellcode执行时会造成系统崩溃。因此,我们决定将chompie1337的利用代码作为主要测试对象。内核shellcode问题定位
2021-03-25 15:34:54360noah
F5 Networks官方在7月1日公布了BIG-IP系统的TMUI接口中存在一个严重的远程代码执行漏洞(CVE-2020-5902)。利用此漏洞的攻击层出不穷,我们对这些事件进行了总结,以期对近日来的事件进行完整阐述。漏洞简述该漏洞允许未授权的远程攻击者通过向漏洞页面发送特殊构造的数据包,在系统上执行任意系统命令、创建或删除文件、禁用服务等。根据360安全大脑测绘云(QUAKE网络空间测绘系统)数据,截至2020年7月10日,全球至少有80000台存在此漏洞的资产,具体分布如下图所示:CVE-2020-5902漏洞分布通过对该漏洞活跃情况研判,得到其全球态势和漏洞生命周期:从360安全大脑的全网视野里可以看出,在7月2日漏洞利用细节公布,7月4日开始传播后,7月6日全网受影响设备居于峰值,此后由于缓解措施发布实施,漏洞活跃状态逐步回落。时间线2020-7-1:F5 Networks官方发布通告,缓解措施为在配置文件中添加以下内容:<LocationMatch ".*\.\.;.*">
Redirect 404 /
</LocationMatch>2020-7-2:漏洞相关技术细节公布2020-7-3:漏洞扫描流量被监测到2020-7-5:@x4ce在推特上公开披露漏洞利用PoC2020-7-6:metasploit集成exp2020-7-7:研究人员发现F5官方发布的缓解措施能够被绕过
2021-03-25 15:34:54360noah
3月23日,微软公司发布了一份编号ADV200006的紧急漏洞通告,通告表示有在野攻击行动使用了位于Adobe Type Manager Library中的两个远程代码执行0Day漏洞,由于漏洞严重,发布该通告指导用户在补丁发布前规避风险。4月15日的补丁日中,微软发布了针对此风险通告的补丁外,还对一个字体库漏洞CVE-2020-0687进行修复,诺亚实验室第一时间对补丁进行了比对分析,并确认了漏洞的利用性,两个漏洞均属于高危远程代码执行漏洞,由于CVE-2020-0938/CVE2020-1020已有安全团队验证并形成POC,本文将会着笔于vincss报告的CVE-2020-0687进行简要技术分析。根本原因漏洞产生于字体处理库fontsub.dll的ReadTableIntoStructure中,由于循环逻辑中读取数据赋值检查不严格,在数据拷贝到目的堆后超过原申请的堆内存大小,形成堆溢出漏洞。补丁细节分析通过补丁比对,我们很快确认了问题函数__int64 __fastcall ReadTableIntoStructure(__int16 *a1, _WORD *a2, unsigned __int16 *a3)
通过前后差异判别,可以看出补丁代码将while循环的一个返回条件放到了循环入口处,其目的是为了防止当变量v5中的变量大于v3[4]中保存的的变量时,会执行一次while循环的第一句赋值代码。故原始漏洞代码中存在判断不严谨的情况,将会导致ReadGeneric中读取到的4字节数据,放入至一个结构体数组中:通过跟踪v3和v5返回上层调用函数可知,
2021-03-25 15:34:54360noah
背景HackingTeam是全世界知名的网络军火商,在2015年遭遇攻击后近400G的内部数据和工程化武器几乎被完全公开,在此之后一家名为Tablem的公司并购了"被破产"的HackingTeam,此后HackingTeam陷入沉寂。360安全大脑在2018年"刻赤海峡"事件中捕获的一起针对俄罗斯的APT事件中,使用的后门疑似来自HackingTeam,在2019年一起影响中亚地区的APT事件中,同样发现了HackingTeam后门的身影,诸多信息表明HackingTeam依旧在全球恶意网络活动中活跃。2020年1月,360安全大脑下诺亚实验室在日常的狩猎运营工作中,发现了一例高度模块化的RAT,并认定为HackingTeam RCS框架中的Soldier木马程序,在3月前夕,我们再次关联到该次活动使用Soldier的前置片段,并将其认定为HackingTeam RCS框架中的Scout木马程序,自此形成较为完整的活动拼图。攻击流程及特点从目前掌握的情况,本次HackingTeam RCS重现主要分为两个阶段第一阶段 通过伪装网络电视软件LiveNetTV,释放RCS框架中的Scout木马,进行系统基础信息收集,并具有一定ANTI机制第二阶段 通过伪装Java程序并执行RCS框架中Soldier木马,进行系统信息获取并窃取浏览器密码和cookie,窃取Facebook,Gmail,Twitter等信息两个阶段的木马程序均使用了VMProtect加壳,通过历史HackingTeam泄露资料研究可知,两个木马具备创建共享内存空间联动的特性,这也是二者经常伴生出现的原因。在本次捕获的样本中,我们发现样本具备以下特点:使用了此前未知的有效证书签名与此前泄露的RCS相比,现活跃的攻击样本均做了一定程度订制和变种活动集中出现于2019年10月-2020年3月依旧使用VMP壳保护
2021-03-25 15:34:54360noah
背景在恶意网络活动研究领域,针对个人终端的攻击Windows总是独占鳌头,但近年来MacOS的终端数上涨,让很多攻击团伙也开始聚焦针对MacOS的恶意软件利用,但即便针对MacOS的攻击,对手也倾向使用python/shell类脚本,恶意文档扩展一类的控制方案或入口利用。而AppleScript这一MacOS的内置脚本语言至今已沿用接近27年,却在安全研究领域鲜有人提及。我们在日常的研究工作中对基于AppleScript的恶意软件利用技术进行了适当总结和狩猎回顾,并提出一个依托AppleScript独有特性的攻击方法。AppleScript特点AppleScript是MacOS的特有脚本语言,甚至在iOS或者iPadOS上都不能使用,且作为一门脚本语言AppleScript花里胡哨的"自然语言"古怪设计思路也常被开发者诟病,AppleScript试图以humanized的方式书写但又强硬规定了语法,导致代码及其冗长且背离自然语言书写思路。如在当前目录下创建文件test,AppleScript基础语法书写应为:tell application "Finder"
	set selection to make new file at (get insertion location) with properties {name:"test"}
end tell此外,由于AppleScript底层需要通过事件管理器(Apple Event Manager)进行构造和发送Apple事件,他的执行效率也极低,所以在实际场景中无论是用户还是管理员,
2021-03-25 12:15:08360netlab
背景介绍
2021年3月2号,微软披露了Microsoft Exchange服务器的远程代码执行漏洞[1]。
2021年3月3号开始,360网络安全研究院Anglerfish蜜罐开始模拟和部署Microsoft Exchange蜜罐插件,很快我们搜集到大量的漏洞检测数据,目前我们已经检测到攻击者植入Webshell,获取邮箱信息,甚至进行XMRig恶意挖矿(http://178.62.226.184/run.ps1)的网络攻击行为。根据挖矿文件路径名特征,我们将该Miner命名为Tripleone。
2021年3月6号开始,ProjectDiscovery和微软CSS-Exchange项目相继披露了漏洞检测脚本[2][3]。
Microsoft Exchange服务器的远程代码执行漏洞利用步骤复杂,一般从PoC公布到黑色产业攻击者利用需要一定的时间,我们看到这个攻击现象已经开始了。
CVE-2021-26855 植入Webshell
POST /ecp/j2r3.js HTTP/1.1
Host: {target}
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: Mozilla/5.
2021-03-25 06:14:17MSRC Blog
Partnering with the security research community is an important part of Microsoft’s holistic approach to defending against security threats. As much of the world has shifted to working from home in the last year, Microsoft Teams has enabled people to stay connected, organized, and collaborate remotely. Microsoft and security researchers across the planet continue to …  Introducing Bounty Awards for Teams Desktop Client Security Research Read More »
2021-03-24 12:14:04小草窝博客
体会到了自动化的乐趣,go程序打个tag发布各种平台编译的包。 对于go程序,参考httpx的action https://github.com/projectdiscovery/httpx/tree/master/.github/workflows 有编译和发布的,它的go发布用的goreleaser,定义一些yml参数 https://github.com/projectdiscove... 阅读全文>>
2021-03-24 00:54:06面向信仰编程
2021-03-23 22:55:58一个安全研究员
金三银四,金三银四
之前在学校里投简历的时候其实对这句话的感受还不是特别深
直到最近看到身边的人一个个跑路,才不得不感叹,三四月份人员流动是真的大
不知道大家有没有留心观察,最近各大企业对安全人才的招聘也多了起来
就包括我们公司也在努力地招人
这不前段时间我帮团队发了个招聘贴嘛,也终于第一次看到如此多同行的简历
然后就发现一些小伙伴儿好像还不太注意修饰自己的简历,写得有些草率啊
然后现在不正好是招聘旺季嘛,也算是来凑凑热闹,来和大家聊聊我心目中一份合格的简历是啥样式儿的
说不定还可以帮到一些在校的朋友们,岂                    
                        作者:he_and 发表于 2021/03/23 22:37:03 原文链接 https://blog.csdn.net/he_and/article/details/115146478                    
                    
                        阅读:271 评论:2 查看评论
2021-03-23 18:54:08王登科-DK博客
2021-03-23 10:33:37360netlab
Overview
Back in January, we blogged about a new botnet Necro and shortly after our report, it stopped spreading. On March 2nd, we noticed a new variant of Necro showing up on our BotMon tracking radar March 2nd, the BotMon system has detected that Necro has started spreading again, in
2021-03-23 10:33:37360netlab
版权
版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。
概述
自从我们1月份公开Necro后不久,它就停止了传播,但从3月2号开始,BotMon系统检测到Necro再次开始传播。蜜罐数据显示本次传播所用的漏洞除了之前的TerraMaster RCE(CVE_2020_35665)和Zend RCE (CVE-2021-3007),又加入了两个较新的漏洞Laravel RCE  (CVE-2021-3129)和WebLogic RCE (CVE-2020-14882),蜜罐相关捕获记录如下图所示。
通过样本分析我们发现在沉寂一个月之后新版本的Necro有了较大改动,功能进一步加强,体现在:

开始攻击Windws系统,并在Windows平台上使用Rootkit隐藏自身。
更新了DGA机制,采用“子域名DGA+动态域名”的方法生成C2域名。
C2通信支持Tor,同时加入了一种新的基于Tor的DDoS攻击方法。
能针对特定Linux目标传播Gafgyt_tor。
能篡改受害机器上的Web服务页面,实现浏览器挖矿,窃取用户数据,
2021-03-23 10:33:37360netlab
Overview
In the security community, when people talk about honeypot, by default we would assume this is one of the most used toolkits for security researchers to lure the bad guys. But recently we came across a botnet uses honeypot to harvest other infected devices, which is quite interesting.
From
2021-03-23 10:33:37360netlab
版权
版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。
概述
从2021年2月28日起,360网络安全研究院的BotMon系统检测到IP(107.189.30.190)在持续传播一批未知ELF样本。经分析,我们确认这些样本隶属于一个新的botnet家族,结合其运行特点,我们将其命名为ZHtrap,本文对其做一分析,文章要点如下:

ZHtrap的传播使用了4个Nday漏洞,主要功能依然是DDoS和扫描,同时集成了一些后门功能。
Zhtrap能将被感染设备蜜罐化,目的是提高扫描效率。
Zhtrap感染受害主机后会禁止运行新的命令,以此实现彻底控制和独占该设备。
在C2通信上,ZHtrap借鉴了套娃,采用了Tor和云端配置。

ZHtrap全情介绍
ZHtrap的代码由Mirai修改而来,支持x86, ARM, MIPS等主流CPU架构。但相对Mirai,ZHtrap变化较大,体现在如下方面:

在指令方面,加入了校验机制
在扫描传播方面,增加了对真实设备和蜜罐的区分
在加密算法方面,重新设计了一套多重XOR加密算法
2021-03-23 10:33:36360netlab
OverviewIn recent months, with the huge rise of Bitcoin and Monroe, various mining botnet have kicked into high gear, and our BotMon system detects dozens of mining Botnet attacks pretty much every day, most of them are old families, some just changed their wallets or propagation methods, and z0Miner
2021-03-23 10:33:36360netlab
版权版权声明: 本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。概述
最近几个月受比特币、门罗币大涨的刺激,各种挖矿家族纷纷活跃起来,我们的 BotMon 系统每天都能检测到几十上百起的挖矿类 Botnet 攻击事件。根据我们统计,它们多数是已经出现过的老家族,有的只是换了新的钱包或者传播方式,z0Miner 就是其中一例。
z0Miner 是去年开始活跃的一个恶意挖矿家族,业界已有公开的分析。z0Miner 最初活跃时,利用 Weblogic 未授权命令执行漏洞进行传播。
近期,360 网络安全研究院 Anglerfish 蜜罐系统监测到 z0Miner 又利用 ElasticSearch 和 Jenkins 的远程命令执行漏洞进行大肆传播,近期活跃趋势如下:
漏洞利用情况
ElasticSearch RCE 漏洞 CVE-2015-1427
虽然是个
2021-03-23 10:33:36360netlab
Background
On March 2, 2021, 360Netlab Threat Detection System started to report attacks targeting the widely used QNAP NAS devices via the unauthorized remote command execution vulnerability (CVE-2020-2506 & CVE-2020-2507)[1], upon successful attack, the attacker will gain root privilege on the device and perform malicious mining activities.
Due to
2021-03-23 10:33:36360netlab
背景介绍
2021年3月2号,360网络安全研究院未知威胁检测系统监测到攻击者正在使用台湾QNAP Systems, Inc.公司的网络存储设备诊断程序(Helpdesk)的未授权远程命令执行漏洞(CVE-2020-2506 & CVE-2020-2507),获取到系统root权限并进行恶意挖矿攻击。
我们将此次挖矿程序命名为UnityMiner,值得注意的是攻击者专门针对QNAP NAS设备特性,隐藏了挖矿进程,隐藏了真实的CPU内存资源占用信息,使用户无法在Web管理界面看到系统异常行为。
2020年10月7号,QNAP Systems, Inc.公司发布安全公告QSA-20-08[1],并指出已在Helpdesk 3.0.3和更高版本中解决了这些问题。
目前,互联网上还没有公布CVE-2020-2506和CVE-2020-2507的漏洞详细信息,由于该漏洞威胁程度极高,为保护尚未修复漏洞的QNAP NAS用户,我们不公开该漏洞技术细节。我们推测仍有数十万个在线的QNAP NAS设备存在该漏洞。
此前我们曾披露了另一起QNAP NAS在野漏洞攻击事件[2]。
注意:该攻击事件仍在进行中,攻击者具备优质的1-day漏洞资源,并根据QNAP设备特性定制化开发。
漏洞影响范围
360 FirmwareTotal系统通过对QNAP NAS固件分析和漏洞验证,发现2020年8月以前的固件均受该漏洞影响,以下是已知固件列表。
TVS-X73
2021-03-23 10:33:36360netlab
版权
版权声明: 本文为Netlab原创,依据CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。
概述
自2021年2月15号起,360Netlab的BotMon系统持续检测到Gafgyt家族的一个新变种,它使用Tor进行C2通信以隐藏真实C2,并对样本中的敏感字符串做了加密处理。这是我们首次发现使用Tor机制的Gafgyt变种,所以将该变种命名为Gafgyt_tor。进一步分析发现该家族与我们1月份公开的Necro家族有紧密联系,背后为同一伙人,即所谓的keksec团伙[1] [2]。检索历史样本发现该团伙长期运营Linux IoT botnet,除了Necro和Gafgyt_tor,他们还曾运营过Tsunami和其它Gafgyt变种botnet。本文将介绍Gafgyt_tor,并对该团伙近期运营的其它botnet做一梳理。
本文关键点如下:

Gafgyt_tor使用Tor来隐藏C2通信,可内置100多个Tor代理,并且新样本在持续更新代理列表。
Gafgyt_tor跟keksec团伙之前分发的Gafgyt样本同源,核心功能依然是DDoS攻击和扫描。
keksec团伙会在不同家族间复用代码,可以通过2进制特征进行关联。
除了代码,keksec团伙还会长期复用他们拥有的一批IP地址。

样本分析
传播
目前发现的Gafgyt_tor
2021-03-23 10:33:36360netlab
Overview
Since February 15, 2021, 360Netlab's BotMon system has continuously detected a new variant of the Gafgyt family, which uses Tor for C2 communication to hide the real C2 and encrypts sensitive strings in the samples. This is the first time we found a Gafgyt variant using the Tor mechanism,
2021-03-23 10:33:36360netlab
Background
Fbot, a botnet based on Mirai, has been very active ever sine we first blogged about it here[1][2], we have seen this botnet using multiple 0 days before(some of them we have not disclosed yet) and it has been targeting various IoT devices, now, it is
2021-03-23 10:33:36360netlab
背景介绍
Fbot是一个基于Mirai的僵尸网络,它一直很活跃,此前我们曾多次披露过该僵尸网络[1][2]。我们已经看到Fbot僵尸网络使用了多个物联网(Internet of things)设备的N-day漏洞和0-day漏洞(部分未披露),现在它正在攻击车联网(Internet of Vehicles)领域的智能设备,这是一个新现象。
2021年2月20号,360网络安全研究院未知威胁检测系统监测到攻击者正在使用美国Iteris, Inc.公司的Vantage Velocity产品的远程命令执行漏洞(CVE-2020-9020)[3][4],传播Fbot僵尸网络样本。
据维基百科介绍[5],Iteris, Inc.公司为智能移动基础设施管理提供软件和咨询服务,包括软件即服务以及托管和咨询服务,并生产记录和预测交通状况的传感器和其他设备。
结合Vantage Velocity产品用途,并从受影响的设备上发现AIrLink GX450 Mobile Gateway产信息,因此我们推测受影响设备是路边设备系统。
CVE-2020-9020漏洞分析
通过360 FirmwareTotal系统,我们验证并分析了CVE-2020-9020漏洞。

在Vantage Velocity产品Synchronize With NTP Server处,
2021-03-23 10:33:36360netlab
Overview
In 2018 we blogged about a scanning&mining botnet family that uses ngrok.io to propagate samples: "A New Mining Botnet Blends Its C2s into ngrok Service
", and since mid-October 2020, our BotMon system started to see a new variant of this family that is active
2021-03-23 10:33:36360netlab
版权
版权声明:本文为Netlab原创,依据CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。
概述
2018年我们公开过一个利用ngrok.io传播样本的扫描&挖矿型botnet家族: "利用ngrok传播样本挖矿",从2020年10月中旬开始,我们的BotMon系统检测到这个家族的新变种再次活跃起来,并且持续至今。相比上一次,这次来势更加凶猛,截至2021年2月6号,我们的Anglerfish蜜罐共捕获到11864个scanner样本,1754个miner样本,3232个ngrok.io临时域名。样本捕获情况可以参考下面的捕获记录。
目前该家族仍在传播之中,本文将结合老版本对新变种做一对比分析,要点如下:

该家族整体结构未变,仍由扫描和挖矿2大模块组成,扫描的目的仍然是为了组建挖矿型botnet。
样本跟2018年分析的那批同源,只是功能稍有变化,为最新变种。
新版本仍然依赖ngrok.io来分发样本和上报结果。
扫描的端口和服务有所变化,不再扫描Apache CouchDB和MODX服务,同时增加了3个新的扫描目标:Mongo、Confluence和vBulletin。
跟老版本一样,新版本的扫描模块仍然只是探测端口和服务然后上报,并没集成exploit。

样本对比分析
2021-03-23 10:33:36360netlab
BackgroundThis article is the third in our series of articles introducing DNSMon in the production of threat intelligence (Domain Name IoC).As a basic core protocol of the Internet, DNS protocol is one of the cornerstones for the normal operation of the Internet.DNSMon, which was born and raised
2021-03-22 12:12:42面向信仰编程
2021-03-20 12:11:29面向信仰编程
2021-03-20 11:51:25面向信仰编程
2021-03-20 11:51:25面向信仰编程
2021-03-20 11:51:25面向信仰编程
2021-03-20 11:51:25面向信仰编程
2021-03-20 11:51:25面向信仰编程
2021-03-20 11:51:25面向信仰编程