NEWS.ALL
Ruizhao's News Reader

Browsing Category : FreeBuf

全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

近日,深信服安全团队捕获到一款新型的Linux挖矿木马,该木马通过bash命令下载执行多个功能模块,通过SSH暴力破解、SSH免密登录利用、Hadoop Yarn未授权访问漏洞和自动化运维工具内网扩散,且该木马的文件下载均利用暗网代理,感染后会清除主机上的其他挖矿木马,以达到资源独占的目的。

感染现象

被感染的Linux服务器上,可以明显看到一个CPU占用率很高的进程,名字为随机字符:

查看进程对应的可执行文件,是以

2020-01-24         FreeBuf

申请CVE的姿势总结

什么是CVE?

CVE的全称叫做“Common Vulnerabilities & Exposures”中文含义是公共漏洞和暴露。它作为披露漏洞的平台,受到国内外关注。CVE会提供编号作为漏洞对应的字符串式特征,有很多企业倾向于用多少高质量的CVE来证明实力,一些工具和产品也会使用CVE作为漏洞的官方标识。一些企业关注漏洞使用CVE作为修补漏洞的索引依据。

如何去提交CVE?

目前经过总结提炼出来多种申请CVE的方法,每种方法都有

2020-01-24         FreeBuf

挖洞经验 | 简单技巧绕过人机身份验证(Captcha)

今天分享的Writeup是作者在目标网站漏洞测试中发现的一种简单的人机身份验证(Captcha)绕过方法,利用Chrome开发者工具对目标网站登录页面进行了简单的元素编辑就实现了Captcha绕过。

人机身份验证(Captcha)通常会出现在网站的注册、登录和密码重置页面,以下是目标网站在登录页面中布置的Captcha机制。

从上图中可以看到,用户只有在勾选了Captcha验证机制的“I‘m not a robot”之后,登录按钮(Sign-IN)才会启用显示以供用户点击。因此

2020-01-23         FreeBuf

网络欺诈阻碍了三分之一的企业扩展其数字能力

Kount发布了有关数字创新和新兴欺诈的最新研究报告,报告发现:最具创新性的业务同时也是面临最大欺诈威胁的业务。

图1.jpg

Javelin Research调查了零售、餐饮、保险和金融行业的数百名受访者,并发现40%以上的企业认为欺诈阻碍了他们向新的数字渠道和服务的扩张。

面对不断兴起的欺诈威胁以及逐渐增长的客户期望,企业面临着平衡收入,商业扩张和自主创

2020-01-23         FreeBuf

技术研究 | 如何绕过杀毒软件自我保护

0×0 -自我保护原理

在WIN7 X64位系统后杀毒软件的自我保护一般都是通过OBOperationRegistration实现:

VOID InstallCallBacks() { NTSTATUS NtHandleCallback = STATUS_UNSUCCESSFUL; NTSTATUS NtThreadCallback = STATUS_UNSUCCESSFUL; OB_OPERATION_REGISTRATION
2020-01-23         FreeBuf

等保测评2.0:Windows身份鉴别

一、说明

本篇文章主要说一说windows系统中身份鉴别控制点中相关测评项的相关内容和理解,a、b测评项都比较基础和简单(但很繁琐),而c、d测评项则涉及到一点点密码方面的知识。

二、测评项

a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; 

c)当进行远程管理时,应采取必

2020-01-23         FreeBuf

FreeBuf早报 | 绝密文件:美军声称曾通过黑客行动打击ISIS网络;贝索斯的手机曾被沙特王储入侵;FireEye收购了云安全创业公司Cloudvisory

【全球动态】 1.绝密文件:美军声称曾通过黑客行动打击ISIS网络

2016年,美国网络司令部成功开展了反对伊斯兰国(ISIS)在线宣传的行动。这是在周二发布的解密后的国家安全绝密文件中得出的信息,这些文件根据《信息自由法》的要求发布。[外刊-阅读原文]

2.德国政府今年将支付80万欧元的Windows 7 扩展安全更新费用

据当地媒体报道,德国联邦政府今年将向微软支

2020-01-23         FreeBuf

网络安全这10年

10年前,智能手机还没有广泛普及,Windows 7才刚刚发布,而网络安全更是一个小众的圈子,远非如今媒体记者笔下的常客。

从一个孤岛到一个自行其道的小世界。网络安全这10年,风雨有过,辉煌有过,曾谷底呆过,也曾见高楼起。一群白帽子,从独行者,侠客,

2020-01-23         FreeBuf

CVE-2020-0601漏洞详细分析

0×00 漏洞描述

2020年1月15日,微软公布了1月份的补丁更新列表,其中存在一个位于CryptoAPI椭圆曲线密码(ECC)证书检测绕过相关的漏洞(CVE-2020-0601),该漏洞为NSA发现并汇报给微软。攻击者可以利用这个漏洞,使用伪造的代码签名证书对恶意的可执行文件进行签名,并以此恶意文件来进行攻击。

0×01 补丁分析

从微软的官方介绍上可知,此漏洞存在于crypt32.dll文件。

2020-01-22         FreeBuf

僵尸网络新动向

最近发现一些恶意软件活动影响了许多运行Linux的设备,该平台今年刚刚解决了许多问题。对检索到的恶意软件样本的进一步分析显示,这些操作与一个名为Momentum的僵尸网络(根据在其通信通道中找到的图像命名)有关。此外发现了僵尸网络目前用于攻击其他设备和执行DDoS攻击的工具以及技术细节。

Momentum将Linux平台按CPU体系结构划分,如ARM、MIPS、Intel、Motorola 68020等。此恶意软件的主要目的是打开后门并针对给定目标进行各种DoS攻击。该僵尸网络

2020-01-22         FreeBuf

瑞星2019年中国网络安全报告

一、恶意软件与恶意网址 (一)恶意软件

1. 2019年病毒概述

(1)病毒疫情总体概述

2019年瑞星“云安全”系统共截获病毒样本总量1.03亿个,病毒感染次数4.38亿次,病毒总体数量比2018年同期上涨32.69%。报告期内,新增木马病毒6,557万个,为第一大

2020-01-22         FreeBuf

云上零信任网络:从传统安全范围到软件定义范围

安全边界曾被视为安全分界线内部的区域,该区域将那些在区域外部被认为是不安全或不受信任的因素与内部被认为安全或受信任的因素隔离开。

在物理世界中,安全外围的边缘是由壕沟、栅栏或墙壁所保护的,并且在入口点对进入者身份进行检查。在虚拟网络中,防火墙通常起保护边界的责任,而静态策略则用来验证用户并授予他们访问权限。

其他策略用来保护敏感资源免受恶意入侵者的攻击,这些入侵者根据策略逃避检测。

该策略在静态环境中表现良好,在静态环境中,数据和关键资源通常

2020-01-22         FreeBuf

土耳其图兰军宣称将于今日下午三点攻击中国站点

土耳其图兰军又开始了,1月21日晚23:00左右,他们宣称将于22日下午15:00,集中对中国站点进行ddos攻击,并在网页下方提供了相关的部分攻击工具,以及攻击用服务器。

请大家密切关注自己的网站,提前采取相应的防护措施。

关于图兰军

12月22日,土耳其一本土黑客论坛turkhackteam.org的管理员Yakamoz1319,宣布成立了Turan(图兰)军,并将中国作为第一个攻击目标。

QQ截图20200122111322.png

根据各种信息源调查,目前国内被攻陷了多个站点

2020-01-22         FreeBuf

Windows身份认证及利用思路

一、Windows身份认证基础 1、认证过程

a、本地用户认证

在进行本地登录认证时操作系统会使用用户输入的密码作为凭证去与系统中的密码进行对比验证。

在系统内部运行流程如下

winlogon.exe -> 接收用户输入 -> lsass.exe -> (认证)

首先用户注销、重启、锁屏后操作系统会让winlogon显示

2020-01-22         FreeBuf

浅析如何让你的Responder更强大之增强篇

一、前言

前几天写过一篇关于Responder的文章《浅析如何让你的Responder更强大》。在那篇文章中,我们修复了Responder 实现的SMBv1&SMBv2的问题:使其能够兼容net use客户端的多次Hash捕获,并修复了SMBv2实现存在的bug。

今天的主角依然是Responder,不过讨论的主题变成了NTLM 认证。这次我们要谈不是bug,而是功

2020-01-22         FreeBuf

FreeBuf早报 | 乌克兰政府招聘官网曝出网络安全事件;NIST发布了隐私框架的1.0版;FTCODE勒索软件再升级

【全球动态】 1.美国安全专家认为,禁止面部识别远远不够

安全专家 Bruce Schneier 认为禁止面部识别对于防止大规模监视是远远不够的。美国各地开始禁止面部识别,旧金山、奥克兰、麻省的萨默维尔和布鲁克莱恩都在去年先后宣布禁止政府机构使用面部识别技术,其中麻省有可能全州宣布禁令。[阅读原文]

2.乌克兰政府招聘官网曝出网络安全事件:求职人员的诸多详细信息被泄漏

乌克兰政府招聘门户官网近日被爆出现公民信

2020-01-22         FreeBuf

基于流量的网络入侵检测系统实践若干问题分析与思考

网络入侵检测在发展过程中,主要有两大流派:基于日志的入侵检测和基于流量的入侵检测。但因为基于日志的入侵检测的数据源来自各系统的运行日志,日志格式多种多样,标准化程度低,日志记录内容的详尽程度也千差万别,所以基于日志的入侵检测产品很难实现标准化。因此,各家安全厂商一般都是主打基于流量的入侵检测产品,笔者就针对此类检测产品,聊一聊部署实践中出现的各类问题。

一、流量检测产品选型

经过多年的发展,基于流量的网络安全入侵检测可能是目前安全厂商设备型号最多的安全类产品,各安全厂商的命名方式、归类方式也存在一些差别,导致了基于流量的网

2020-01-22         FreeBuf

新型冠状病毒肺炎可人传人,请广大Buffer注意预防

临近春节,一场突如其来的新型冠状病毒肺炎打乱了人们的过节计划。昨日晚间,钟南山院士接受央视采访,向公众通报疫情情况,确认新型冠状病毒肺炎呈现人传人特点。

蠕虫和木马我们见的多了,冠状病毒同样不可小觑,请广大Buffer一定要注意预防!

截至2020年1月21日7点30分,我国境内累计确诊新型冠状病毒肺炎病例219例(武汉198例,北京5例,广东14例,上海2例)。日本、泰国、韩国也分别通报了确诊病例。

2020-01-21         FreeBuf

挖洞经验 | 用浏览器缓存绕过同源策略(SOP)限制

本文分享的Writeup是作者在做Keybase.io的漏洞众测中发现的SOP(同源策略)绕过漏洞,由于Keybase.io在用的多个API端点都启用了CORS(跨域资源共享)机制,这种缓解同源策略的机制某种程度上克服了同源策略的严格限制,可以让不同域服务器间实现交互请求。而作者在测试中发现了Keybase的CORS策略错误配置,利用这种缺陷,可以操纵浏览器缓存获取用户敏感数据信息。一起来看看。

Keybase

2020-01-21         FreeBuf

企业进入年度总结,谨防TrickBot木马窃取信息

TrickBot木马最早发现于2016年,早期是一款专门针对银行发动攻击的木马程序,其攻击目标包括400余家知名国际银行。近年来,该木马不断地发展,其攻击范围已经不仅限于银行和金融企业,也

2020-01-21         FreeBuf