Yikesnews第20期:每日安全资讯、工具与资源

2017中国网络安全年会

图文直播:http://bobao.360.cn/activity/detail/422.html

2017年Q1安卓ROOT类恶意病毒发展趋势研究报告(腾讯手机管家)

http://www.freebuf.com/articles/terminal/134977.html

 

2016年到17年勒索软件的发展史

Ransomware Chronicle

继续阅读“Yikesnews第20期:每日安全资讯、工具与资源”

Yikesnews第18期: 集成了 NSA 泄露的所有攻击武器的蠕虫样本|挖矿版WannaCry|WinDbg有js扩展了

Heimdal 安全团队通过蜜罐捕获了一个新的蠕虫样本 – BlueDoom

BlueDoom 几乎集成了 NSA 泄露的所有攻击武器

BlueDoom 攻破用户电脑后并没有释放勒索软件 Payload

期待后续攻击发展

Unlike WannaCry, this worm does not have a “kill switch”. It, however, includes an arsenal of NSA leaked exploits: Architouch, Doublepulsar, EternalBlue, Eternalchampion, Eternalromance, Eternalsynergy, Smbtouch.
These are dropped to the c: \ config \ folder with the following filenames:

Architouch.inconfig
Doublepulsar.inconfig
Eternalblue.inconfig
Eternalchampion.inconfig
Eternalromance.inconfig
Eternalsynergy.inconfig
Smbtouchv.inconfig

Security Alert: BlueDoom Worm Caught Spreading through EternalBlue, Integrates Batch of Leaked NSA Exploits

 

继续阅读“Yikesnews第18期: 集成了 NSA 泄露的所有攻击武器的蠕虫样本|挖矿版WannaCry|WinDbg有js扩展了”

Yikesnews第17期: Joomla!3.7.0 Core SQL注入漏洞||新勒索软件 – UIWIX||黑客已经把加勒比海盗5公开

CVE-2017-8917:Joomla!3.7.0 Core SQL注入漏洞

https://blog.sucuri.net/2017/05/sql-injection-vulnerability-joomla-3-7.html

https://www.joomla.org/announcements/release-news/5705-joomla-3-7-1-release.html

https://downloads.joomla.org/cms/joomla3/3-7-1

升级最新版完整安装包以及升级补丁包

https://downloads.joomla.org/cms/joomla3/3-7-1

中文翻译:

http://bobao.360.cn/learning/detail/3868.html

继续阅读“Yikesnews第17期: Joomla!3.7.0 Core SQL注入漏洞||新勒索软件 – UIWIX||黑客已经把加勒比海盗5公开”

Yikesnews第16期: shadowbrokers略带嘲讽式的发了一波六月见|黑客威胁迪士尼提前放映加勒比海盗

正当世界各大厂商正在进行WannaCry应急响应的同时,此次事件的万恶之源——放出NSA工具的shadowbrokers,估计觉得看戏看够了,再次放出豪言,抛下一句六月见,详细情况如下;

文章标题为:OH LORDY! Comey Wanna Cry Edition

他们表明会出售更多nsa的武器、攻击计划和攻击数据

从六月开始,每月出售包括浏览器、路由器、手机的攻击武器、新的攻击行动disk(和这次windows武器库一样,包括NSA支持Windows 10的攻击武器),更多的央行入侵数据,和针对中国、俄罗斯、伊朗和朝鲜的导弹和核弹计划的入侵数据。

TheShadowBrokers Monthly Data Dump could be being:

  • web browser, router, handset exploits and tools

    Web浏览器、路由器和手机漏洞以及相应的攻击工具

  • select items from newer Ops Disks, including newer exploits for Windows 10

    针对Windows 10的0 day漏洞以及新的漏洞利用技术

  • compromised network data from more SWIFT providers and Central banks

    环球银行金融电信协会(SWIFT)以及各国中央银行的机密数据

  • compromised network data from Russian, Chinese, Iranian, or North Korean nukes and missile programs

    俄罗斯、中国或朝鲜的核武器与导弹计划

More details in June.

原文:

https://steemit.com/shadowbrokers/@theshadowbrokers/oh-lordy-comey-wanna-cry-edition

翻译:

http://bobao.360.cn/news/detail/4169.html

继续阅读“Yikesnews第16期: shadowbrokers略带嘲讽式的发了一波六月见|黑客威胁迪士尼提前放映加勒比海盗”

Yikesnews第15期: WannaCry 的样本与被怀疑是朝鲜政府下属的Lazarus 组织有关联?

INTEZER安全人员跟踪WannaCry后,关联到当年攻击韩国的Joanap和Brambul家族的Lazarus组织,而该组织被怀疑与朝鲜政府有关,而此次事件唯有朝鲜一个国家没有受到影响,网上为朝鲜辩解为该国独特的内网制度,真假难辨,个人依旧保持中立态度,围观群众,看戏就好。。

images

继续阅读“Yikesnews第15期: WannaCry 的样本与被怀疑是朝鲜政府下属的Lazarus 组织有关联?”

yikesnews第13期:爆出惠普HP笔记本音频驱动内置键盘记录器后门C:\Windows\System32\MicTray.exe

images

惠普(HP)预装的 Audio Driver 驱动套件中被发现了一个 Keylogger 键盘记录程序,可以确定的是2015年底就已存在。

继续阅读“yikesnews第13期:爆出惠普HP笔记本音频驱动内置键盘记录器后门C:\Windows\System32\MicTray.exe”

每日关注热点与实验第9期(我实验了一下Intel的漏洞,并且twitter消息称即将爆出Windows 远程代码执行漏洞)

news:

Tavis Ormandy‏ 表示他和同事发现了一个近期最严重的 Windows 远程代码执行漏洞: https://twitter.com/taviso/status/860679110728622080

images

本周早些时候,英特尔公布了特权错误的严重升级,影响了其7年来英特尔®服务器芯片组运行的远程管理功能,如果被利用,将允许远程攻击者控制易受攻击的PC,笔记本电脑或服务器。

www.95cn.org/intel-amt-vulnerability.html

继续阅读“每日关注热点与实验第9期(我实验了一下Intel的漏洞,并且twitter消息称即将爆出Windows 远程代码执行漏洞)”

每日关注之安全资讯第8期

从2014年开始一直攻击朝鲜的远程控制软件 Konni 被Cisco Talos 团队曝光并分析

新闻 https://threatpost.com/stealthy-rat-targeting-north-korea-since-2014/125450/

 

分析 http://blog.talosintelligence.com/2017/05/konni-malware-under-radar-for-years.html

images

 

 

 

 

最近mac很火啊

Fox-IT 的研究员发现 Snake 恶意软件框架首次出现了攻击 MacOS 操作系统的版本:  https://blog.fox-it.com/2017/05/03/snake-coming-soon-in-mac-os-x-flavour/  

Github: https://github.com/Neo23x0/signature-base/blob/master/yara/apt_snaketurla_osx.yar

 

Pwn2Own 2017 攻击 Safari 所使用的 WebKit JSC::CachedCall UAF 漏洞的分析(CVE-2017-2491),介绍他们从 WebKit UAF 到 MacBook Pro Root 提权的过程

https://phoenhex.re/2017-05-04/pwn2own17-cachedcall-uaf

 

 

从Exploiter 的角度保护自己的 Exploit如何避免被检测和分析,第一篇为检测 PageHeap 的开启

http://snf.github.io/2017/05/04/exploit-protection-i-page-heap/

 

PowerShell 无文件持久化技术与常用的防御绕过技术

http://www.binarydefense.com/powershell-injection-diskless-persistence-bypass-techniques/

 

JEB Decompiler支持 MIPS

https://www.pnfsoftware.com/jeb2/mips

 

闭源软件的开源攻击面 – 挖掘 Adobe Reader XSLT 引擎的漏洞,来自趋势科技的漏洞研究报告

https://static1.squarespace.com/static/5894c269e4fcb5e65a1ed623/t/590b42a2ff7c500c50fc2ceb/1493921555683/ZDI+Adobe_XSLT_Report.pdf

 

eaphammer – 针对 WPA2-EAP 网络的攻击工具包,可简单实现 RADIUS 凭证窃取、Captive Portal 页面钓鱼等攻击方式

https://github.com/s0lst1c3/eaphammer

 

VMware 内部嵌套安装并运行 Hyper-V

https://4sysops.com/archives/how-to-run-hyper-v-under-vmware-workstation/

 

针对 PHP mail() 函数的攻击方式与利用案例

https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html

 

微软今天放出的 Windows 10 Insider Preview Build 16188 版本有轻量级虚拟机隔离环境运行 Edge 浏览器的保护特性

blogs.windows.com/windowsexperience/2017/05/04/announcing-windows-10-insider-preview-build-16188-pc-build-15210-mobile/

Announcing Windows 10 Insider Preview Build 16188 for PC + Build 15210 for Mobile

 

Windows Defender ATP 团队近期检测到了一个针对第三方编辑工具的高级攻击 – WilySupply 行动,攻击者利用的是软件的更新渠道:  https://blogs.technet.microsoft.com/mmpc/2017/05/04/windows-defender-atp-thwarts-operation-wilysupply-software-supply-chain-cyberattack/   Windows 10 本身有一些保护特性可以帮助我们发现并防护威胁:   https://docs.microsoft.com/zh-cn/windows/threat-protection/overview-of-threat-mitigations-in-windows-10

 

看我如何指尖灵动找回现实中被偷的手机

http://bobao.360.cn/learning/detail/3815.html

 

利用Outlook Forms绕过VB宏,获取目标Shell

 

 

资源:

The slides of BFH2017 漏洞分析与利用培训课程 PPT

https://exploit.courses/files/bfh2017/content.html

 

 

 

 

 

 

每日关注之安全资讯第7期(今天两个wordpress漏洞慌不慌)

各位54青年节快乐

WordPress 内核 PHPMailer 存在一个远程代码执行漏洞,未授权用户可以通过这个漏洞直接控制 Web 服务器(CVE-2016-10033),4.7.1 之前版本受影响,文章中附针对 4.6 版本的 PoC:

https://exploitbox.io/vuln/WordPress-Exploit-4-6-RCE-CODE-EXEC-CVE-2016-10033.html

WordPress 4.6远程代码执行漏洞(非插件无需认证,附Poc,演示视频)

http://m.bobao.360.cn/news/detail/4146.html

WordPress Core <= 4.7.4全版本密码重置漏洞(0day)

http://bobao.360.cn/news/detail/4148.html

 

images

PHPCMS V9.6.1 任意文件读取漏洞分析(含PoC,已有补丁)

http://bobao.360.cn/learning/detail/3805.html

 

伪造 Google Docs 文档分享进行钓鱼的邮件正在快速传播,小心为妙别点击

https://securingtomorrow.mcafee.com/business/heads-massive-google-doc-phishing-scam-hit-scene-spreading-fast/

images

来自 Cyphort Labs 团队对 Emotet 银行木马的详细分析

https://www.cyphort.com/emotet-cookies-c2-fakes-404/

images

在分析野外 Flash Exploit 时,如何提高效率。

作者的方法是调试器里巧妙地插桩、灵活使用多个反编译工具

http://blog.checkpoint.com/2017/05/03/debug-instrumentation-via-flash-actionscript/

 

 

 

 

 

资料区:

专注硬件和无线方向的研究员 Mickey Shkatov 整理的他近几年的演讲资料https://github.com/HackingThings/Publications