1.什么是Drown Attack
Drown 是一次跨协议的攻击,通过利用SSLv2漏洞攻击TLS,实际上就是中间人攻击的进一步利用。中间人攻击简单举例:比如劫持用户的流量HTTP。但是有些服务器与客户端通信是加密的,比如TLS和SSL。这里Drown attack利用SSLv2的漏洞,这里需要不同服务使用RSA key exchange技术,这个情况不同服务的private key会一样 ,此时就可以利用这个漏洞去解密TLS或者SSLv3的连接,然后进行一些中间人攻击,比如管理员的session的被劫持到了,危害可想而知。
2. 如何准确测试Drow[......]
2015 年 12 月 23 日,乌克兰电力网络受到黑客攻击,导致伊万诺-弗兰科夫斯克州数十万户大停电,1 个月后,安全专家表示,证实这起停电是遭到黑客以恶意软件攻击电网所造成,2016 年 1 月 4 日时,安全公司 iSight Partners 宣布已经取得用来造成该起大停电的恶意程序码,由于过去从来未曾有黑客攻击造成电网大规模停电的纪录,iSight Partners 认为这起攻击是电网资安史上的里程碑。
本次APT的攻击路径为
Office类型的漏洞利用(CVE-2014-4114)–>邮件–>下载恶意组件Blac[......]
趋势科技杀毒软件套装windows版本中,包含一个密码管理程序,该程序也在官网提供了单独下载的连接,是一个免费的服务。默认安装最新的TRAND Micro:
图1
可以在数据安全中找到这个密码管理程序,默认就是开启的,可以看到在本地进行端口监听:
图2
监听的端口是49153,google分析中给出是49155,看来这个端口应该是在一个范围内。这个服务是node.js开发的http server程序,在这个url处存在任意命令执行漏洞:
国家信息安全漏洞共享平台(CNVD)网站消息,北京天融信网络安全技术有限公司等8家技术支撑成员单位获得2015年度漏洞报送突出贡献单位的光荣称号。以下是奖牌图片
这个评选活动是两年举办一次,在前次活动中,天融信公司也获得了同样的荣誉:
天融信继两年前获得“漏洞报送突出贡献单位”称号后再次蝉联,这是CNVD对天融信在公开漏洞信息的收集能力和积极报送态度
的肯定。
之前也多次爆出过路由器的后门漏洞,但大都是厂商故意为之并且厂家的开发人员也都是知情的。一般来说一些网络设备,如交换机或者路由器等设备,开发人员为了方便自身验证,日后的程序升级或者输出观察调试日志可能会在网络设备上预留一个万能密码或者在固件中内置一个TFTP或者FTP的服务。通过更改http发包数据中的User-Agent值或者直接使用万能密码即可登录该网络设备,这次暴露出ScreenOS的后门便属于一个万能密码类型的后门。
12月18日Juniper发了一个报告,由 Juniper Networks 销售的部分型号的防火墙的中出现的漏洞,具体表现为[......]
简单来说序列化是将对象状态转换为可保持或传输的格式的过程(bytestream)。与序列化相对的是反序列化,它将流(bytestream)转换为对象。这两个过程结合起来,可以轻松地存储和传输数据。
1. Java 提供了一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列,该字节序列包括该对象的数据、有关对象的类型的信息和存储在对象中数据的类型。
2. 将序列化对象写入文件之后,可以从文件中读取出来,并且对它进行反序列化。对象的类型信息、对象的数据,还有对象中的数据类型可以用来在内存中新建对象
3. 整个过[......]
Xcode为苹果官方的编译套件,在Mac App Store中免费提供。中国大陆访问Mac App Store有连接困难,部分开发者选择了国内第三方渠道下载(如百度云盘),由此带来了安全隐患。而这部分Xcode被植入了一套称作“Xcode Ghost”的代码,会替换相关的库,使得编译出来的APP携带有病毒代码,在最终用户端运行时将隐私信息提交给第三方;同时安装这类受感染应用的设备具备可能的广告点击能力。
IOS系统向来以安全著称,虽然早在PC辉煌的windows时代就有类似于感染[......]
截止到目前为止由hackting team泄密事件所衍生出来的已被修补或者即将被修补的0day已经达到6个。3个通过ValueOf函数诱发的flash漏洞,2个ring0的可导致提权的字体解析漏洞(adobe的atmfd.dll内核字体解析组件),还有一个从邮件数据泄漏出来的IE11的UAF的漏洞。
Flash的漏洞调试分析常见的基本有两类。一类是ActionScript Level级别的漏洞。比方说hackting team这次泄漏出来的3个flash漏洞。这类flash漏洞调试分析起来不掌握一定技巧很容易迷失JITed Code当中。再一类就是flash控件在解析flash文件中的某[......]
–天融信阿尔法实验室 CFF
Conficker蠕虫从08年爆发,后续衍生了A、B、C、D等多个变种;本以为早已经灭绝的东西,竟然在朋友的重要服务器中被发现,果真是百足之虫死而不僵,继续拿来练练手。
服务器上感染的是Conficker.B变种,其利用MS08-067漏洞进行传播,同时通过移动驱动器和网络共享进行传播。蠕虫使安全服务失效,阻止访问与安全相关的网站。病毒利用访问控制列表锁住被感染机器上的病毒文件,防止病毒文件被删除。并且在特定时间之后会访问随机生成的网址,由于域名生成是精心构造的伪随机算法,可以部署相应的域名,来达到下载并执行程序。
这是@neteagle捕获的一个样本,好奇索要过来看看,简单分析了一下;这是一个带感染功能的后门程序。由于其传播名称eraseme_%d%d%d%d%d.exe,所以我们称之为Eraseme后门。这是我第一份分析报告,感谢hj大侠和段哥的指导。分析中如有不对的地方也望各位指出。
样本主要包含三个程序:
PE程序(PE0):外壳程序,主要负责释放PE1
PE程序(PE1):核心程序,负责感染、控制,使用UPX减小体积,释放SYS1
驱动程序(SYS1):修改系统TCPIP并发最大连接数