NEWS.ALL
Ruizhao's News Reader

Browsing Category : FreeBuf

Windows与Linux双平台无文件攻击:PowerGhost挖矿病毒最新变种感染多省份

背景

PowerGhost是从2018年被发现使用powershell无文件方式进行攻击感染的挖矿以及DDOS病毒,本次深信服安全团队捕获到其最新样本,其感染方式利用了永恒之蓝,MSSQL爆破,SSH爆破,wmi以及smb爆破远程命令执行等,同时对windows和linux进行攻击,一旦该病毒进入内网,会在内网迅速传播。目前其主要感染地区在广东、浙江、上海以及江苏。

详细分析

该病毒母体模块分为2个版本,x86和x64,x86使用antitrojan.ps1,x64使

2019-12-04         FreeBuf

不传之密:杀毒软件开发,原理、设计、编程实战

本文将向各位读者展示如何开发杀毒软件。

在很多人思维中,特别是IT从业者、程序员看来,杀毒软件及其开发技术历来是一个颇为神秘不可及的领域。在市面上和网络中的各种文章、书集中,也鲜有涉及此方面的开发资料。正因如此,使的杀毒软件业成了一个稀缺、高门槛的行业,相关技术也似乎是高度机密的资料、只掌握在极少数人手中。

本文将从杀毒软件开发方案、功能结构设计、界面设置、代码编写、实际应用等各

2019-12-04         FreeBuf

FreeBuf早报|普京签署了强制性预装应用的法律;北约举行大规模网络军演;Android 漏洞 StrandHogg 正被利用

【全球动态】 1.普京签署了强制性预装应用的法律

俄罗斯总统普京周一签署了要求在该国销售的所有智能手机、计算机和智能电视都必须强制性预装本国应用的法案。新的法律将于 2020 年 7 月 1 日生效。法案是作为一种帮助俄罗斯科技公司与外国公司展开竞争,以及让消费者免于在

2019-12-04         FreeBuf

APP隐私保护之二:用户端隐私保护实践(上)

一、前言

目前APP隐私政策保护主要在以国标GB/T 35273-2017《个人信息安全规范》,APP专项治理工作组编制了《App违法违规收集使用个人信息自评估指南》作为主要标准依据,尤其是《指南》是目前官方可能唯一发布的相对比较具体的重要参考。

上一篇介绍了隐私政策的主要组成部分和一些关键点,本文重点介绍APP用户端的要求和设计方案。

二、 APP端隐私政策授权

在《个人信息安全规范》中要求了隐私政策

2019-12-04         FreeBuf

无孔不入: NextCry勒索病毒利用PHP最新漏洞攻击传播

概述

近日,奇安信病毒响应中心在日常样本监控过程中发现NextCry Ransomware的新进入渠道,其正在利用PHP-fpm远程代码执行漏洞(CVE-2019-11043)针对Linux服务器发起攻击尝试入侵。

NextCry勒索是一种新型勒索软件,该勒索由Python编写并使用PyInstall打包成Linux ELF二进制文件,采用RSA-2048和AES-256-CBC算法加密指定目录下的文

2019-12-03         FreeBuf

挖洞经验 | 绕过GitHub的OAuth授权验证机制($25000)

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

github-logo.jpeg

这几年来,信息安全研究一直是我的业余爱好,虽然有很多人专职做漏洞众测以获得奖励,但对我个人来说,我只对一些感兴趣的项目投入不多的时间去深入研究。今年,我想看看自己是否是全职漏洞赏金猎人的料,所以就从6月份开始每天抽出几个小时的时间去测试GitHub的安全漏洞。

我对GitHub的主要测试

2019-12-03         FreeBuf

Hack the box靶机实战:Haystack

介绍

目标: 10.10.10.115(Linux)

Kali: 10.10.16.61

HayStack 在 HTB 里面的难度评级是简单,但其实它一点都不简单。在一堆西班牙语中找到用户名和密码真的好头痛。 对于 root 权限,你应该对 ELK 有基本的理解。因此,这台机器还是比较新颖的。随带提一句,前段时间出现的 Kibana RCE 漏洞就可以拿来利用。

信息枚举

老规矩,用 nmap 扫一轮:

# Nmap 7.70 scan initiated
2019-12-03         FreeBuf

等保2.0正式实施,这些重点帮你划好了

前言

12 月 1 日,等级保护 2.0 标准正式实施,不过因为是在年底,大多数企业等级测评工作已经完成,所以重头戏应该在明年,这也是国家给企业充足的学习和整改时间。那么,在这个空档期,来和大家聊聊等级保护 2.0 测评时有哪些需要关心的重点吧。

有关新老标准的变化,可以参考之前文章或三所的解读,不再重复,这里说说比较接地气的东西吧。

这里总结了一下,针对通用安全部分,三级和四级系统共有 45 条新增以及容易

2019-12-03         FreeBuf

FreeBuf早报 | 工信部新规实施:12月1日起办卡需“人脸识别”;阿里巴巴投入24.4亿元拟与数据港合作建设数据中心;FBI警告:智能电视存隐私泄露风险 长期被忽视

【全球动态】 1.澳大利亚使用AI摄像头识别驾驶员开车时用手机

在澳大利亚新南威尔士州,面对许多人在驾驶时使用智能手机的情况,当局可能想出了一个解决方案:首次采用基于AI技术的手机检测摄像头。该系统使用人工智能来确定方向盘后面是否有人在打电话,如果发现某张图片可能显示某人以此方式违法,则该抓拍图片将交由人类进行审核。[阅读原文]

2.FBI警告:智能电视存隐私泄露风险 长期被忽视

12月2日消息,之前曾有报告称智能电视存在隐私泄露的风险,近日美国联邦调查局也发布警告称相关的智能电视产品

2019-12-03         FreeBuf

一文解密所有WebLogic密文

前言

关于weblogic密文的解密文章也有不少,最早看到的是之前乌云的一篇解密文章,后来oracle官方也出了解密脚本,还有国外大牛NetSPI写的工具,但经过多次试用发现并不能“通杀”式的解决所有weblogic密文,于是在查阅大量资料后整理了7种解密weblogic的方法。

背景

在一些hw行动中,webshell权限的分值可能还没有数据库权限的分值高,

2019-12-03         FreeBuf

互联网企业如何有效落地SDL

前言

笔者在实施SDL方面有多年的经验,实施过微软厚重的SDL,实施过互联网企业粗糙的SDL,目前在落地标准化自动化的SDL,在此将我的经验分享出来。为了让大家更好的理解SDL实施的过程,本文尽量以口语化叙事的方式描述SDL实施的过程。当然每家公司的devops和实际的开发流程不一样,所以实施SDL不能照搬照套,还是得结合自己公司的实际情况。

越来越多的安全招聘JD要求会SDL建设,比如安全负责人、安全专家、web安全等。很多企业招聘JD写了要求会建设SDL,但是他们对SDL建设的目标可能不

2019-12-03         FreeBuf

追溯朝鲜APT组织Lazarus的攻击历程

最近,朝鲜声名狼藉的APT组织Lazarus又开始活跃起来,先是入侵印度核电站,导致其紧急关闭一座反应堆,然后又向韩国、意大利等国发送大量钓鱼邮件进行攻击,加上今年年初的数字货币交易所入侵事件,Lazarus今年可谓是很“高产”了。鉴于我国也曾在Lazarus的攻击范围之内,下面就来了解下Lazarus组织的攻击手法,以及学习如何对其进行追踪。

APT组织概述

Lazarus别名APT38、Gua

2019-12-02         FreeBuf

无题大鹅模拟游戏(Untitled Goose Game)存在代码可执行漏洞

*严正声明:本文仅限于技术讨论与分享,严禁用于非法途径

maxresdefault.jpg

Untitled Goose Game(无题大鹅模拟、捣蛋鹅)是一款画风简单的第三人称模拟类游戏,通过模拟一只大鹅去完成一些捣乱任务,是House House制作的一款农场题材搞笑游戏。经作者发现,Untitled Goose Game由于在其游戏存档加载器(Save Game Loader)中存在不安全的反序列化机制从而可导致代

2019-12-02         FreeBuf

黑五半价?2100万Mixcloud用户数据暗网售价2000美元

本月初,一名黑客入侵了英国在线音乐流媒体服务Mixclouud,窃取了超过2100万个用户账户。这些数据目前在暗网上出售,从最开始的4000美金降价到2000美金。

上周五,代号为“A_W_S”黑客与部分外媒联系透露了该数据泄露的消息,并提供了部分数据样本,包含用户名、电子邮件、Hash密码、用户国籍信息、注册日期、最后登陆日期以及IP地址等。

根据数据转储中包含的最后一个用户账户信息,数

2019-12-02         FreeBuf

挖矿处置手册:安全研究员的套路都在这儿了

一分钟了解什么是挖矿木马 什么是挖矿木马?

攻击者通过各种手段将挖矿程序植入受害者的计算机中,在受害者不知情的情况下利用其计算机的云算力进行挖矿,从而获取利益,这类非法植入用户计算机的挖矿程序就是挖矿木马。

挖矿木马,挖的是啥?

由于比特币的成功,许多基于区块链技术的数字货币纷纷问世,如以太币、达世币等;从深信服安全团队接到的挖矿木马案例来看,门罗币是最受挖矿木马青睐的数字货币,主要有如下几个原因:

1.门罗币

2019-12-02         FreeBuf

被动扫描器之插件篇

最近被动扫描器的话题如火如荼,好多公司都在做自己的被动扫描器。而获取质量高的流量是被动扫描器起作用的关键。笔者主要开发了两个被动扫描器的插件,r-forwarder 以及 r-forwarder-burp,两个插件的代码都在 Github 上开源。两个插件分别为 Chrom 插件以及 Burp 插件,本文也从笔者开发这两个插件的经验来聊一聊被动扫描器中插件的开发。

Chrome 插件

Chrome 插件是向 Chrome 浏览器添加或修

2019-12-02         FreeBuf

FreeBuf早报|暗网上出售了2100万Mixcloud用户的数据;欧盟正在调查 Google 的数据收集;Sodinokibi勒索病毒最新变种

【全球动态】 1.欧盟正在调查 Google 的数据收集

欧盟反垄断监管机构正在调查 Google 的数据收集,显示在创纪录罚款之后搜索巨人仍然是欧盟的关注对象。美国和欧盟的反垄断监管机构都在调查 Google 如何收集和货币化数据。欧盟表示正在向 Google 寻求如何以及为什么收集用户数据的信息。文件显示,欧盟主要关注的是本地搜索服务、在线广告、在线广告定向服务、登陆服务、浏览器等相关的信息。欧盟竞争事务专员 Margrethe

2019-12-02         FreeBuf

自己动手制作一个恶意流量检测系统(附源码)

0×0 成果展示

0×1 起因

0×2 准备的东西

0×3 驱动编写

0×4 Client编写

0×5 Python Web后端编写

0×6 结论

0×7 后记

0×0 成果展示

没有做日志记录因为时间关系。

我们假设恶意C2C服务器IP是220.181.38.148(百度的某个节点),某个木马的恶意流量特征是?? ?? ?? ??(? 匹配所有)

当我们要屏蔽220.181

2019-12-02         FreeBuf

Buran勒索开始利用IQY文件传播

概述

日前勒索病毒猖獗,勒索病毒种类层出不穷,奇安信病毒响应中心在持续监测勒索病毒中发现了Buran勒索利用.IQY文件下发PayLoad的新变种。IQY文件允许从一个.ASP网页检索并导入到Microsoft Excel中。此次捕获的样本就是利用IQY文件从服务器请求脚本数据从而下载并执行后续PayLoad。

样本分析 IQY文档分析

IQY文本文件内容如下:

打开之后会从服务器获取的数据为脚本命令:

负责从服务器请求1.

2019-12-01         FreeBuf

如何防止恶意的第三方DLL注入到进程

虽然Windows系统的安全机制是不允许任何微软签名的代码注入到进程之中的,但是网络犯罪分子仍然会有很多方法来绕过这种安全机制,比如说通过执行用户态钩子向正在运行的进程注入DLL等等。而本文所介绍的技术也许对于某些反病毒产品、EDR和安全防御人员来说,也许会提供一些有价值的思路。

UpdateProcThreadAttribute

第一种防止恶意第三方DLL注入到进程的方法就是使用UpdateProcThreadAttribute,这个属性

2019-12-01         FreeBuf