0x01 事件描述. 近日发现针对香港iOS用户的水坑攻击活动。该活动在多个论坛上发布恶意链接,这些链接可能是各种新闻报道。这些链接将用户引导到实际的新闻站点时会使用隐藏的iframe加载和执行恶意代码。恶意代码包含针对iOS 12.1和12.2中存在的漏洞的攻击。使用高风险设备点击这些链接的用户将下载一个新的iOS恶意软件变体,我们将其称为lightSpy (检测为IOS_LightSpy.A)。 恶意软件变体是模块化后门,它允许威胁执行者远程执行shell命令并操纵受影响设备上的文件。这将使攻击者可以监视用户的设备并对其进行完全控制。它包含用于从受感染设备中窃取数据的不同模块,其中包括: WiFi连接历史记录. Source link
文章内容简介 本篇文章针对Apache Tomcat Ajp(CVE-2020-1938)漏洞的文件包含和RCE的利用方式以及原理进行的深入的分析,同时包括漏洞复现和分析环境搭建的详细步骤,大家可以根据文中所写,自己搭建环境,然后通过在代码中下断点来自己进行调试,从而更好地理解漏洞的原理。 漏洞简介 2020年02月20日,于CNVD公开的漏洞公告中发现Apache Tomcat文件包含漏洞(CVE-2020-1938)。 Apache Tomcat为Apache开源组织开发的用于处理HTTP服务的项目。Apache Tomcat服务器中被发现存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapps目录下的任意文件。 本次漏洞是一个单独的文件包含漏洞,该漏洞依赖于Tomcat的AJP(定向包协议)协议。AJP协议自身存在一定的缺陷,导致存在可控参数,通过可控参数可以导致文件包含漏洞。AJP协议使用率约为7.8%,鉴于Tomcat作为中间件被大范围部署在服务器上,本次漏洞危害较大。 AJP13协议介绍...
导语: 资讯 近日深信服安全团队通过威胁情报的知识图谱系统跟踪到大量BlueHero挖矿团伙的活动记录,该团伙利用的“肉鸡”数量逐渐增多且频繁更换具有英语短语的URL,主要使用主流的Web RCE漏洞进行互联网传播。 0x0 背景. 近日深信服安全团队通过威胁情报的知识图谱系统跟踪到大量BlueHero挖矿团伙的活动记录,该团伙利用的“肉鸡”数量逐渐增多且频繁更换具有英语短语的URL,主要使用主流的Web RCE漏洞进行互联网传播。最近一个月累计监测到有数百个IP地址发起的恶意攻击数据包流量,该样本在内网同时采用“永恒之蓝”漏洞、弱密码爆破进行传播,过程中的病毒样本对比之前样本呈现差异性新增了驱动程序等特点。 0x1 流量特征. Source link
北京时间3月12日晚,微软发布安全公告披露了一个最新的SMB远程代码执行漏洞(CVE-2020-0796),攻击者利用该漏洞无须权限即可实现远程代码执行,一旦被成功利用,其危害不亚于永恒之蓝,全球10万台服务器或成首轮攻击目标。 SMB(Server Message Block)协议作为一种局域网文件共享传输协议,常被用来作为共享文件安全传输研究的平台。由于SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码,受黑客攻击的目标系统只要开机在线即可能被入侵。据了解,凡政府机构、企事业单位网络中采用Windows 10…. Source link
【全球动态】 1.因侵犯用户数据隐私 美国运营商或面临超2亿美元罚款 美国联邦通信委员会(FCC)一方面正计划通过频谱拍卖向美国国库注入数十亿美元的收入,另一方面则可能会对美国四大移动运营商处以2.08亿美元的罚款,原因是他们涉嫌侵犯用户数据隐私。[阅读原文] 2.披露美国中央情报局CIA攻击组织(APT-C-39)对中国关键领域长达十一年的网络渗透攻击 360安全大脑捕获了美国中央情报局CIA攻击组织(APT-C-39)对我国进行的长达十一年的网络攻击渗透。在此期间,我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击。[阅读原文] 3.APT34通过恶意软件植入攻击黎巴嫩政府实体 最近,另一个与APT34(又名OilRig)有关的自定义恶意植入程序已上载到主要的恶意软件分析平台。可能危害了与黎巴嫩政府有关的一个敏感实体的Microsoft Exchange帐户,并使用邮件服务器作为植入的命令和控制。[外刊-阅读原文] 4.美智库高校专家称,2020年将是世界上第一次全面的网络战争的一年 一位曾预测2008年住房危机和经济衰退的经济学家现在预测,2020年将是全球第一次全面网络战的年份。[外刊-阅读原文] 5.美国官员指控两名中国男子为朝鲜洗钱 美国财政部和司法部已经实施制裁,并指控两名中国公民田寅寅和李家东帮助与朝鲜有联系的黑客洗钱。[外刊-阅读原文] 6.英国多个火车站免费Wi-Fi暴露用户数据 Security...
一、概述. 本文主要讨论在Samsung Android内核中发现的内存损坏漏洞,由于测试设备的原因,我们仅针对Galaxy A50 A505FN的内核进行了研究,暂时没有分析过Samsung其他设备所使用的内核。我们将详细分析该漏洞,并尝试编写这个漏洞的漏洞利用(比较不稳定)。我们还将描述第二个漏洞,该漏洞已经在上游内核、上游稳定版本和Android通用内核中实现修复,但未在Samsung内核中修复,同时也将讨论这个漏洞的利用方式。 如果各位读者想要自行查看相应的源代码,可以从这里下载Samsung A505FN的内核源代码。其中的不同版本似乎已经过排序,最新的版本在列表最靠前的位置。在撰写这…. Source link
新冠肺炎疫情期间,医疗和在线教育成为民生焦点。 资讯 新冠肺炎疫情期间,医疗和在线教育成为民生焦点。在此特殊时期,黑客都在干什么?主要瞄准哪些目标?企业该如何防范?腾讯安全平台部天幕团队联合腾讯桌面安全产品、云鼎实验室、安全专家咨询、云安全等团队,选取腾讯云上医疗和教育两大焦点行业,结合团队实战经验做出安全分析,希望对各企业应对特殊时期的远程办公安全威胁有一定的帮助。 一、攻击总体动向:黑客眼中的天时,地利,人和. 1.年前,1月19日、1月22日等日子是企业的“封网”时期,也是黑客的“骚动期”。企业“封网”使安全策略更新的时效性较平日差,因此引来黑客试图乘虚而入,攻击量达到高峰节点。 2. Source link
– 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com 一、背景. 资讯 腾讯安全威胁情报中心检测到“紫狐”病毒最新变种,该变种通过SMB和MSSQL弱口令爆破攻击传播,同时还会利用Weblogic和ThinkPHP等服务器组件的远程代码执行漏洞进行攻击传播,使该病毒家族的传播能力再次增强,该病毒家族最终通过控制肉鸡电脑刷量、推广安装用户不需要的软件来获利。 紫狐病毒家族最先出现在2018年,最初通过木马下载器进行传播,一直活跃至今。随后又通过刷量软件进行传播(详见:御见威胁情报中心在9月份披露的刷量软件“流量宝流量版”通过挂马攻击传播“紫狐”病毒事件)。新…. Source link
概述 在2020年1月,Microsoft发布的月度安全补丁中包含针对CVE-2020-0601的修复程序,该漏洞是由美国国家安全局(NSA)发现,漏洞位于Windows CryptoAPI系统中的一个核心加密库组件,影响加密证书的验证过程。该漏洞被称为CurveBall或“Chain of Fools”,攻击者可能会利用这一漏洞创建他们自己的加密证书,这些证书会成为Windows默认情况下完全信任的合法证书。 在漏洞披露的两天之内,概念深入分析CVE-2020-0601 CurveBall漏洞。 证明(PoC)开始在网络上浮出水面。随之而来的是关于该漏洞所设计的椭圆曲线密码学(ECC)概念的几种解释。 本文将主要分析漏洞存在的代码,重点关注应用程序可能如何使用CryptoAPI处理证书的上下文,特别是通过传输层安全性(TLS)进行通信的应用程序上下文,以找到漏洞的根本原因。 证书分析 X.509是国际电信联盟(ITU)标准,使用ASN.1表示方法规定了公钥证书的结构。基本上,证书是一个包含三个“第一层”项目的序列,包括证书、签名算法标识符和对证书进行验证的签名。下面的ASN.1代码片段展示了这种结构: 证书本身是包含多个嵌套项目的几个组件的序列: 其中,特别重要的是SubjectPublicKeyInfo项,这个序列中包含有关公钥所使用的算法的信息,后面跟着实际的公钥: AlgorithmIdentifier结构用于存储公钥和签名算法的信息和参数,它由对象标识符(OID)和可选参数组成,具体取决于由OID标识的特定算法: 在公钥的上下文中,算法字段可能是众多OID中的一个,例如rsaEncryption,其OID为1.2.840.113549.1.1.1,dsa的OID为1.2.840.10040.4.1,ecPublicKey的OID为1.2.840.10045.2.1。当OID与ecPublicKey对应时,表示公钥基于椭圆曲线密码学。在这种情况下,会将参数字段设置为与RFC...
WordPress的ThemeGrill Demo Importer程序的开发人员已更新了该插件,删除一个严重漏洞,该漏洞为未经身份验证的用户提供了管理员特权。攻击者可以管理员身份登录,并将网站的整个数据库还原为默认状态,从而完全控制这些网站。 最流行的版本易受攻击. 该插件用于轻松导入ThemeGrill主题演示内容、小工具和设置,使他们更轻松地快速自定义主题。该插件目前安装在近200000个WordPress网站上,而最流行的版本最容易受到攻击。 该漏洞存在于ThemeGrill Demo Importer插件从1.3.4到1.6.1的版本中。根据官方WordPress插件存储库的统计数据,最流行的版本是1. Source link
Page 7 of 7 1 5 6 7