NEWS.ALL
Ruizhao's News Reader

全球高级持续性威胁(APT)2019年报告

全球高级持续性威胁(APT)2019年报告

序言

过去的一年,在网络威胁(Cyber Threat)领域度过了颇为不平静的一年。网络威胁和攻击似乎更为广泛的应用于地缘政治和军事冲突之下,其作为除了军事打击之外更为有效的手段。通常,实行军事行动或军事打击,往往受制于国力、财力、军力、国际舆论、政治压力等多方面因素,而实施网络攻击行动则是利用更加隐蔽的方式达成类似的效果。

网络行动(CNO)在美国军事领域被视为信息作战的核心能力之一,其由网络攻击(CNA)、网络防御(CND)

2020-03-02         FreeBuf

Fugu:首个基于Checkm8漏洞的iOS设备开源越狱工具

Fugu是目前第一款开源的针对Checkm8漏洞的越狱工具。

支持的设备

当前版本的Fugu仅支持iPad Pro(2017)和iPhone 7(iOS 13-13.3.1)。

项目获取

广大研究人员可以使用下列命令将项目代码克隆至本地:

git clone https://github.com/LinusHenze/Fugu.git
项目构建

注意:广大研究人员也可以直接

2020-03-01         FreeBuf

Ctftool:一款功能强大的交互式CTF漏洞利用工具

Ctftool是一款交互式的命令行工具,可以帮助安全研究人员对CTF(Windows平台下用于实现文本服务的协议)进行安全测试。在Ctftool的帮助下,安全研究人员可以轻松对Windows内部运行和调试文本输入处理器的复杂问题进行分析,并检测目标Windows系统的安全性。

除此之外,Ctftool还允许研究人员根据自己的需要来编

2020-02-29         FreeBuf

详解64位静态编译程序的fini_array劫持及ROP攻击

用gdb调试main函数的时候,不难发现main的返回地址是__libc_start_main也就是说main并不是程序真正开始的地方,__libc_start_main是main的爸爸。

然鹅,__libc_start_main也有爸爸,他就是_start也就是Entry point程序的进入点啦,可以通过readelf -h查看:

ELF Header: Magic: 7f 45 4c 46 02 01 01 03 00 00
2020-02-29         FreeBuf

CVE-2020-0646:SharePoint中的远程代码执行漏洞分析

漏洞描述

2019年11月份,安全研究人员在微软SharePoint Online的工作流中发现了一个代码注入漏洞,并将其上报给微软公司。攻击者一旦成功利用该漏洞,将能够在目标系统中实现远程代码执行。微软在获取到漏洞信息之后,第一时间修复了在线平台上的相关漏洞,但是却到2020年的1月份才修复.NET Framework中的相关问题。因此,如果你的SharePoint On-Rremise版本没有安装2020年1月份的.N

2020-02-28         FreeBuf

SecOps团队在了解安全工具的运作时面临挑战

根据Keysight最新发布的报告,目前安全专业人员对自己所用的安全工具过于自信。然而,有50%的人却表示自己遇到过安全漏洞,因为他们在用的安全产品没有发挥应有的作用。

secops-022020-1.jpg

安全测试解决方案

57%的安全专业人员对他们当前的安全解决方案充满信心,他们认为这些解决方案能发挥其该有的作用。但是,只有35%的调查受访者表示他们在使用工具前会进行测试,确保其安全产品能按预期配置和运行。

86%的受访者认为安全测试解决方案可以很好地调和以上两

2020-02-27         FreeBuf

远控免杀从入门到实践(2)-工具总结篇

郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 

《远控免杀从入门到实践》系列文章目录:

1、远控免杀从入门到实践 (1)-基础篇

2、远控免杀从入门到实践 (2)-工具总结篇

3、远控免杀从入门到实践 (3)-代码篇-C/C++

4、远控免杀从入门到实践 (4)-代码篇-C#

5、远控免杀从入门到实践 (5)-代码篇-

2020-02-21         FreeBuf

远控免杀从入门到实践(2)工具总结篇

郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 

《远控免杀从入门到实践》系列文章目录:

1、远控免杀从入门到实践 (1)基础篇

2、远控免杀从入门到实践 (2)工具总结篇

3、远控免杀从入门到实践 (3)代码篇-C/C++

4、远控免杀从入门到实践 (4)代码篇-C#

5、远控免杀从入门到实践 (5)代码篇-Python

6、远控

2020-02-21         FreeBuf

AgentSmith-HIDS:一套轻量级高性能的基于主机的入侵检测系统(HIDS)

AgentSmith-HIDS

从技术角度来说,AgentSmith-HIDS严格意义上来说并不是一个传统的“基于主机的入侵检测系统”(HIDS),因为就该项目目前开源的部分来说,它还缺少了规则引擎以及相关的检测能力。但是它可以作为一个高性能的主机信息收集工具来帮助安全研究人员构建属于自己的HIDS。

而AgentSmit-HIDS的优秀特性(从内核态获取尽

2020-02-19         FreeBuf

硬蹭热点?黑产控制药物研究机构邮箱搞钓鱼

面对目前严峻的疫情形势,许多境内外黑客组织和网络犯罪团伙有了自己的小心思,纷纷发起了“国难财”,从普通黑产到国家级组织不一而足。奇安信威胁情报中心一直7×24小时持续对此类威胁进行监控,目前发现有零零狗、金钻狗等黑产组织利用疫情作为关键词进行诱饵制作攻击,而APT攻击方面,有疑似摩诃草组织制作疫情相关恶意文档和网站进行攻击,疑似毒云藤组织制作疫情相关钓鱼网站套取目标邮箱地址和口令等行动。

而近日,红雨滴团队再次发现一起钓鱼攻击,

2020-02-19         FreeBuf

远控免杀从入门到实践(一):基础篇

郑重声明

1、文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

2、文中提到的杀软检测指标是 virustotal.com(简称VT)上在线查杀结果,所以只是代表了静态查杀能力,数据仅供参考,不足以作为杀软查杀能力或免杀工具的判断指标。

《远控免杀从入门到实践》系列文章目录:

1、远控免杀从入门到实践(1)-基础篇

2、远控免杀从

2020-02-18         FreeBuf

等保测评2.0:Windows安全审计

一、说明

本篇文章主要说一说windows系统中安全审计的控制点的相关内容和理解。

二、测评项

a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; 

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

d)应对审计进程进行保护,防止未经授权的中断。

三、
2020-02-15         FreeBuf

利用屏幕亮度从非联网计算机中窃取数据

据The Hacker News分享的一项最新网络安全研究表明,黑客只要简单地改变屏幕亮度就可以从计算机窃取敏感信息,听起来这似乎是一件不可思议的事,然而,却真实存在。

b5389c461705494cb12b0f273e4de2bc.jpeg

近年来,几位网络安全研究人员提出一种窃取数据的新方法,即在气隙系统计算机中窃取数据,这种系统将电脑与互联网以及任何连接到互联网上的电脑进行隔离,简单来说就是非联网计算机。

目前,这种技术的使用范围仅限于要求高度安全的数据获取过程,例如

2020-02-15         FreeBuf

GDA:一款基于C++的新型Android逆向分析工具

GDA(GJoy Dex Analysizer)

GDA是一款完全基于C++开发的新型反编译工具,因此该工具并不仅依赖于Java平台。该工具使用起来非常方便,而且运行速度非常快,支持APK、DEX、OBED和oat等文件格式。

实际上,GDA是一款新型的Dalvik字节码反编译工具。该工具是完全独立的,并且运行非常稳定,并且能够在没有安装Java VM的环境下运行。GDA的大小只有2MB,我们可以直接在任何新安装

2020-02-14         FreeBuf

情报内生:高级威胁检测实践的必要条件

威胁情报是发现网络威胁的有效手段。

针对流行的恶意代码和攻击,主要依赖基于互联网流量和样本数据生成的威胁情报。

针对具有高度定向性与针对性的高级威胁,则严重依赖于攻击目标自身的本地化数据与判断能力。

因此,基于内部信息化和业务系统实现“情报内生”,构建内生安全能力,成为实现和提升高级威胁检测的必要条件。

威胁情报的有效性已得到高度认同  

2019年初,美国安全研究机构SANS发

2020-02-13         FreeBuf

等保测评2.0:Windows入侵防范

1. 说明

本篇文章主要说一说windows系统中入侵防范控制点的相关内容和理解。

2. 测评项

a)应遵循最小安装的原则,仅安装需要的组件和应用程序; 

b)应关闭不需要的系统服务、默认共享和高危端口; 

c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制; 

d)应提供数据有效性检验功能,保证通过人机接口输人或通过通信接口输入的内容符合系统设定要求;

e)应能发现可能存在的已知漏洞,并

2020-02-11         FreeBuf

ATTCK-PenTester-Book:根据ATT&CK知识体系编制的长达400页的渗透手册

声明:本手册仅用作信息安全技术竞技与基于此模型进行的安全防御使用,如用于任何其他非法用途与本文中所提及的公司/团队/个人均无关!

ATTCK-PenTester-Book是由DeadEye团队联合多家安全公司及安全团队的安全研究人员(名单见文末),根据ATT&CK知识体系整理编辑的

2020-02-10         FreeBuf

CVE-2019-1215:Windows内核ws2ifsl.sys中的用后释放漏洞分析

在这篇文章中,我们将对近期刚刚修复的用后释放漏洞(CVE-2019-1215)进行分析,该漏洞存在于ws2ifsl.sys中,一旦成功利用,攻击者将有可能实现本地提权。在此之前,Windows 7、Windows 8、Windows 10、Windows 2008、Windows 2012和Windows 2019都存在这个漏洞,但是微软已经在2019年9月份成功将其修复了。

接下来,我们将对漏

2020-02-09         FreeBuf

沙特网战风云:王储亲自攻击亚马逊CEO后,纽约·时报记者再成目标

风云源起

2018年5月1日下午,亚马逊CEO杰夫·贝索斯(Jeff Bezos)的iphoneX手机收到了一条来自WhatsApp信息,信息中含有一段视频。而发送该条信息的账号,经查实发现,是由沙特·阿拉伯王国王储穆罕·默德·本·萨勒曼(Mohammed binSalman)。

要知道,王储(Crown Prince)是君主国的王位继承人。而身为王储的萨勒曼此前一直为沙特国防部服务,并且是

2020-02-09         FreeBuf

等保测评2.0:Windows访问控制

一、说明

本篇文章主要说一说windows系统中访问控制的控制点的相关内容和理解。

二、windows的权限分配

先对windows的权限分配进行基本介绍,然后再说一说对测评项的基本理解。

2.1. 用户、用户组、内置安全主体

windows的文件权限或者其他的权限可直接分配给用户,也可分配给用户组和内置安全体,然后由用户组和内置安全体中的用户来继承权限。

用户大家都知道,可以在计算机管理-本地用户和组中查看:

2020-02-08         FreeBuf