安全资讯
美国司法部指控两名中国黑客
美国司法部指控两名中国公民在十多年的时间里与中国国家安全部门联合开展了一场广泛的黑客活动,涉嫌渗透45家美国公司和政府机构,窃取知识产权和其他数据。起诉书称,名叫朱华和张士龙(均为音译)的两名嫌犯所在的组织APT10,从银行和金融、电信、生物技术、汽车、医疗保险和采矿等多个行业的公司窃取信息。起诉书说,该组织还侵入了美国海军,偷走了十多万名人员的个人数据。起诉书指两名被告为华盈海泰科技发展有限公司工作,并宣称他们与中国国家安全部天津市国家安全局合作。对此外交部表示:美方捏造事实、无中生有,在网络安全问题上对中方进行无端指责,以所谓“网络窃密”为由对两名中方人员进行“起诉”。此举严重违反国际关系基本准则,严重损害中美合作,性质十分恶劣,中方对此坚决反对,已向美方提出严正交涉。中国政府在网络安全问题上的立场是一贯的、明确的。中国是网络安全的坚定维护者,一贯坚决反对并打击任何形式的网络窃密。中国政府从未以任何形式参与或支持任何人从事窃取商业秘密的行为。
具体详见:http://t.cn/E4XaGpl
2019年全球汽车网络安全报告
据Upstream Security公司发布的一份新研究表明:在未来五年内,网络黑客攻击或将导致汽车业折损近240亿美元。《2019年全球汽车网络安全报告》列举了黑客的攻击方式,从现场物理接触的攻击方式到利用无线网络进行的远程网络攻击,并指出了黑客们锁定的攻击目标类型——智能移动出行领域。尽管车企是明确的攻击目标,但一级供应商、车队运营方、车载资通讯服务供应商、共享汽车公司、公共交通及私营交通服务供应商所面临的攻击风险在持续上升。2018年,网络罪犯攻击事件的数量超过了白帽子黑客事件的数量。对智能移动出行领域而言,该情况尚属于首次。安全防护需要实现多层防御(multi-layered),这包括:近距离的车载设备攻击、适用于多辆汽车的汽车云、服务与应用及网络架构内部的网络安全防护。 42%的汽车网络安全攻击事件均涉及到后端的应用服务器。新兴的两类网络攻击是借助汽车共享及代驾引发的。这类攻击还存在欺诈行为及数据隐私窃取等行为。
具体详见:
欧盟数千封外交电报泄露
美国网络安全公司Area 1近日发表报告《PHISHING DIPLOMACY》,称疑似中国黑客以塞浦路斯外交部为切入点,对整个欧盟进行了长达数年的网络间谍活动。攻击至少可追溯至2015年,黑客侵入了100多个组织,包括欧盟的COREU电子通信网络。其他目标包括联合国部分机构以及美国劳工联合会—产业工会联合会(AFL-CIO),后者参与贸易谈判,因此可能引起中方的兴趣。Area 1表示,这些黑客最初使用简单的网络钓鱼方法侵入系统,即向塞浦路斯外交部人员发送带有恶意链接或附件的电子邮件。这些黑客访问过的外交电文涉及各种地缘政治事务,包括恐怖主义、跨大西洋关系、中东和平、军备控制、南中国海,以及亚洲和大洋洲工作组。
具体详见:
信通院发布《车联网白皮书(2018)》
近日,中国信息通信研究院连续第十一年在京召开ICT深度观察大型报告会暨白皮书发布会,会上发布了《车联网白皮书(2018)》。这是中国信通院第二次发布《车联网白皮书》。本白皮书从技术、产业和政策措施三个维度对车联网国内外发展现状及趋势进行分析。技术部分包括单车智能化相关汽车电子技术和V2X无线通信、多接入边缘计算、车路协同平台等网联化相关技术,以及信息安全等共性关键技术;产业部分从专利布局、产业链协同重点剖析产业发展新趋势,探索新生态和新模式等;政策措施部分包括顶层设计规划、协同推进机制、法律法规等;最后总结全文,对车联网融合创新发展提出"1+3”举措建议,包括构建一个跨行业协调机制和技术创新、产业融合、安全管理三个发展体系。
具体详见:
安全事件
拉丁美洲·遭受10亿次恶意软件攻击
据卡巴斯基实验室的一份报告,拉丁美洲每天平均发现370万次恶意软件攻击,每年发生约10亿次。该研究表明,这一数字意味着2017年11月至2018年11月期间该地区的恶意软件攻击增加了14.5%。目标最多的拉丁国家是阿根廷,其中恶意软件攻击率上升62%,其次是秘鲁,占39%,墨西哥占35%。据安全公司称,该地区的网络钓鱼攻击也在增加,每天发生192,000次攻击,与2016年11月至2017年同月相比增长了115%。在遭受网络钓鱼攻击的拉丁美洲国家中,墨西哥排名第一,增长率为120%,其次是哥伦比亚,占118%,巴西则是这类安全事件的110%。
具体详见:
微软披露IE漏洞·攻击者可控制受影响系统
Google 工程师发现IE中存在一个漏洞,攻击者可以通过漏洞完全控制受害操作系统。据分析,这是一个脚本引擎内存损坏漏洞,影响所有受支持Windows上的IE,包括Windows 10 1809。该漏洞由Google威胁分析组的Clement Lecigne发现并报告给微软。微软表示,在被公开披露之前,该漏洞已经被利用。目前漏洞已经被收录为CVE-2018-8653。脚本引擎处理IE内存对象的方式中存在一个远程执行代码漏洞,该漏洞让攻击者可以在当前用户的上下文中执行任意代码破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以控制受影响的系统。然后攻击者可以安装程序,查看、更改或删除数据,或创建具有完全用户权限的新帐户。微软已经使用最新的 Windows 10累积更新修复了该漏洞,并且还针对Windows 7和Windows 8.1发布了安全补丁KB。
具体详见:
商业公司以制作病毒为主·数十万台电脑被感染
日前,火绒安全团队发现某商业公司制作的流量劫持病毒”FakeExtent”(产品名为”天馨气象”),正通过”WIN7之家”等下载站中的多款激活工具大范围传播。该病毒入侵电脑后,会释放多个恶意插件,篡改系统配置、劫持流量。 通过”火绒威胁情报系统”监测和评估,已有数十万台电脑被该病毒感染。目前,国内外安全软件仅对该病毒进行查杀,并不查杀该病毒植入的某些恶意插件,这导致被感染用户在主病毒被杀之后,依然面临被攻击的风险。2015年,360安全团队曾曝光过该病毒团伙,之后该团伙有所收敛,最近他们重出江湖,并利用激活工具传播病毒。
具体详见:
工具脚本
W3Brute·自动Web暴力攻击工具
w3brute是一个开源渗透测试工具,可以直接自动攻击网站的登录页面。w3brute也支持在所有网站上进行暴力攻击。
具体详见:http://t.cn/E4XaqtZ
Paros proxy
Paros proxy是一款用于评估Web应用程序漏洞的基Java的Web代理。它支持即时编辑/查看HTTP/HTTPS消息以更改cookie和表单字段等项目。它包括一个网络流量记录器,爬虫,哈希计算器和扫描仪,用于测试常见的Web应用程序攻击,如SQL注入和跨站点脚本。
具体详见:
最新漏洞
EmpireCMS安全漏洞
EmpireCMS是一套免费的CMS。EmpireCMS 7.5版本中存在安全漏洞。远程攻击者可借助enews=EditMemberForm页面的ftemp参数利用该漏洞执行任意PHP代码。
具体详见:http://t.cn/E4XaqSO
Cisco AMP for Endpoints DLL预加载漏洞
Cisco Advanced Malware Protection for Endpoints for Windows是一款基于Windows平台的端点安全解决方案。该产品主要具有高级威胁预防、监测和响应等功能。基于Windows平台的Cisco AMP for Endpoints中的DLL加载组件存在安全漏洞,该漏洞源于在运行时,程序对系统进程加载的资源验证不当。本地攻击者可通过创建恶意的DLL文件并将其放置在目标系统上利用该漏洞禁用目标系统的扫描服务,进而无法进行入侵检测。
具体详见:
多款D-Link产品安全漏洞
D-Link DCS-936L等都是D-Link公司的DCS系列的无线网络摄像头产品。使用1.00及之后版本固件的多款D-Link产品中存在安全漏洞。远程攻击者可借助/common/info.cgi文件利用该漏洞访问配置文件,获取型号,产品,品牌,版本,硬件版本,设备名称,位置,MAC地址,IP地址,网关IP地址,无线状态,输入/输出设置,扬声器和传感器设置信息等。D-Link DCS-936L;DCS-942L;DCS-8000LH等多个产品受到影响。
具体详见:http://t.cn/E4XaqTv
PHP Markdown安全漏洞
PHP Markdown 1.2.0及之前版本中的GithubMarkdown、Markdown和MarkdownExtra解析器存在跨站脚本漏洞。远程攻击者可借助特制的MD格式的文件利用该漏洞窃取用户数据。
具体详见:
安全研究
基于VxWorks 的嵌入式设备固件分析方法介绍
VxWorks操作系统是美国WindRiver公司于1983年设计开发的一种嵌入式实时操作系统(RTOS),它以其良好的可靠性和卓越的实时性被广泛地应用在通信、军事、航空及航天等高精尖技术领域中。2012年8月登陆的好奇号,以及近日成功降落火星的洞察号均使用了VxWorks系统。本文将以施耐德昆腾系列PLC的NOE-711以太网模块的固件为例,讲解一下基于VxWorks操作系统的嵌入式设备固件的一些常用分析方法。
具体详见:http://t.cn/E4Xaqd4
ASP.NET应用程序LFD漏洞挖掘与分析
ASP.NET应用程序中比较常见的漏洞之一是本地文件泄露。在本文中,作者描述了如何攻击一个存在LFD漏洞的应用程序,以及后续的漏洞利用方法。在最近的漏洞挖掘工作中,作者遇到了一个站点:在加载页面时,它会从服务器上的另一个路径下载帮助文档。由于这是一个加密的参数,因此不认为可以篡改其原有的功能,但如果能够攻破用来签署参数的密钥,那么就可以伪造参数并进行LFD漏洞利用。ASP.NET应用程序有很多共同的问题,如强制浏览、身份验证绕过、Shell上传、LFD、LFI等,如果能注意到每个请求中发送的视图状态Token,那么就应该能注意到这些问题。
具体详见:
域渗透·利用GPO中的计划任务实现远程执行
GPO全称Group Policy Objects,用来存储Active Directory中的策略。自Windows Server 2008开始,GPO开始支持计划任务,便于管理域中的计算机和用户。默认情况下,域用户的组策略每90分钟更新,随机偏移为0-30分钟,域控制器的组策略每5分钟更新。在域环境中,通过组策略(Group Policy Object)能够实现计划任务的远程执行。本文将主要介绍GPO中的计划任务简介、通过Group Policy Management Console (GPMC) 实现计划任务的远程执行、通过命令行实现计划任务的远程执行、新建GPO实现远程执行、修改已有的GPO,实现远程执行、GPO的常用操作。
具体详见: