每日安全动态推送(04-26)

admin 腾讯玄武实验室 2019-04-26
Tencent Security Xuanwu Lab Daily News


• [Malware] CARBANAK Week Part One: A Rare Occurrence « CARBANAK Week Part One: A Rare Occurrence | FireEye Inc: 
https://feye.io/2ULNQQu

   ・ FireEye 对 Carbanak 后门的详细技术分析。Carbanak 影响巨大,主要针对金融机构,最早是由卡巴斯基实验室于 2014 年披露,后来 FireEye 又跟进研究,持续跟踪了其背后 APT 团队的活动。这个系列博客共四篇,已全部放出。其中大部分内容已在 2018 年的 FireEye’s Cyber Defense 峰会上分享过,视频链接:https://videoshare.fireeye.com/watch/DdYPsctgEQQTK3yh971o8s  – Lime


• [Windows] Gaining Access to Card Data Using the Windows Domain to Bypass Firewalls: 
https://markitzeroday.com/pci/active-directory/kerberoast/firewall/2019/04/24/gaining-access-to-card-data-using-the-windows-domain-to-bypass-firewalls.html

   ・ 此文章介绍了以窃取数据为目标的完整渗透过程,作者首先通过enum4linux对域环境进行信息收集,整理出用户名字典后爆破 SMB,获得了一个域账号权限,在使用 Kerberoasting技术获取到域管理员权限,最后通过域管理员下发组策略的方式获取到包含目标数据系统的权限。 – Tomato" a>


• [Tools, Malware] Deobfuscating APT32 Flow Graphs with Cutter and Radare2 - Check Point Research: 
https://research.checkpoint.com/deobfuscating-apt32-flow-graphs-with-cutter-and-radare2

   ・ 使用 Radare2 逆向 APT32 样本。主要介绍了如何开发一个 Radare2 插件来处理 APT32 样本的混淆问题,有完整的工具代码。 – Lime


• [Conference] Black Hat USA 2019: 
http://ow.ly/oCEK30owJid

   ・ Black Hat USA 2019 会议的议题列表逐渐开始公布了 – Jett


• [CTF] Facebook CTF 2019: 
https://ctftime.org/event/781

   ・ Facebook CTF 2019 比赛将于 6 月 1 号 ~ 6 月 3 号举办 – Jett


• Besder - An Investigative Journey Part 1: 
http://blog.0x42424242.in/2019/04/besder-investigative-journey-part-1_24.html

   ・ 针对Besder网络摄像头的逆向分析和漏洞挖掘 ,文中有part2的链接 – LuYa


• [Vulnerability] Uncovering CVE-2019-0232: A Remote Code Execution Vulnerability in Apache Tomcat: 
http://feeds.trendmicro.com/~r/Anti-MalwareBlog/~3/9AJRqs7sldE/

   ・ 趋势科技 TrendLabs 对 Apache Tomcat 远程代码执行漏洞(CVE-2019-0232)的分析 – Jett


• On insecure zip handling, Rubyzip and Metasploit RCE (CVE-2019-5624): 
https://blog.doyensec.com/2019/04/24/rubyzip-bug.html

   ・ 利用 Rubyzip 攻击 Metasploit,虽然需要登陆 <3 – RicterZ


• [PDF] https://i.blackhat.com/asia-19/Fri-March-29/bh-asia-Wang-Make-Redirection-Evil-Again-wp.pdf: 
https://i.blackhat.com/asia-19/Fri-March-29/bh-asia-Wang-Make-Redirection-Evil-Again-wp.pdf

   ・ 传统的OAuth code/token窃取技术需要与应用中的重定向漏洞结合才能达到目的,在Blackhat Asia 2019 中分享的一个OAuth重定向攻击技术,利用URL解析器对畸形URL的错误解析,实现”重定向“,窃取OAuth令牌。 – Cytosine


• bkerler/oppo_ozip_decrypt: 
https://github.com/bkerler/oppo_ozip_decrypt

   ・ OPPO和一加手机的.ozip固件解密工具 – LuYa


• [Tools, macOS] Introducing Venator: A macOS tool for proactive detection: 
https://posts.specterops.io/introducing-venator-a-macos-tool-for-proactive-detection-34055a017e56?source=rss----f05f8696e3cc---4

   ・ Venator - SpecterOps 开发的一款用于 macOS 平台恶意软件行为检测的工具,这个工具会搜集可能会暴露恶意软件行为痕迹的信息,包括:launch_agents、browser extensions、bash_history 等等 – Jett


• [Tools, Fuzzing] fuzz: added fuzzer for certificate verification (ad27713b) · Commits · gnutls / GnuTLS: 
https://gitlab.com/gnutls/gnutls/commit/ad27713bef613e6c4600a0fb83ae48c6d390ff5b

   ・ gnutls 的代码库中新提交了一个支持证书验证测试的 Fuzzer,这个 Fuzzer 可以用于重现 CVE-2019-3829 漏洞 – Jett


• [Malware, Attack] Threat Actor TA505 Targets Financial Enterprises Using LOLBins and a New Backdoor Malware: 
https://www.cybereason.com/blog/threat-actor-ta505-targets-financial-enterprises-using-lolbins-and-a-new-backdoor-malware

   ・ 攻击组织 TA505 近期利用 LOLBINs 和 ServHelper 攻击大型金融企业,来自 Cybereason 的分析 – Jett


• [Tools] climacros – IDA productivity tool: 
http://0xeb.net/2019/04/climacros-ida-productivity-tool/

   ・ 为IDA命令行模式增加宏支持功能的插件 – LuYa


• [Tools, Vulnerability] knqyf263/CVE-2019-6467: 
https://github.com/knqyf263/CVE-2019-6467

   ・ BIND nxdomain-redirect 拒绝服务漏洞(CVE-2019-6467)的测试环境 – Jett


• Vulnerability Spotlight: Symantec Endpoint Protection kernel memory information disclosure vulnerability: 
http://feedproxy.google.com/~r/feedburner/Talos/~3/mfi8zJaFBz0/vulnerability-spotlight-symantec.html

   ・ Symantec 终端防护软件 Windows 版本的内核驱动 ccSetx86.sys 被发现一个信息泄漏漏洞(CVE-2018-18366),来自 Talos 的分析 – Jett


• [Browser] Intelligent Tracking Prevention 2.2: 
https://webkit.org/blog/8828/intelligent-tracking-prevention-2-2/

   ・ iOS 12.3 Safari WebKit 的智能反跟踪机制(Intelligent Tracking Prevention)更新 2.2 版本 – Jett


• [Android] Android Application Diffing: Engine Overview: 
https://blog.quarkslab.com/android-application-diffing-engine-overview.html

   ・ 介绍了一种针对Dalvik字节码的相似性检查引擎,用于比较不同app版本的代码差异 – 靓仔


* 查看或搜索历史推送内容请访问:
https://sec.today

* 新浪微博账号: 腾讯玄武实验室
https://weibo.com/xuanwulab


    阅读原文
    已同步到看一看

    发送中

    本站仅按申请收录文章,版权归原作者所有
    如若侵权,请联系本站删除
    觉得不错,分享给更多人看到
    腾讯玄武实验室 热门文章:

    BadTunnel:跨网段劫持广播协议    阅读/点赞 : 3386/54

    安全动态推送春节合辑(上)    阅读/点赞 : 449/5

    每日安全动态推送(02-21)    阅读/点赞 : 392/4

    每日安全动态推送(03-13)    阅读/点赞 : 390/6

    每日安全动态推送(09-19)    阅读/点赞 : 380/4

    每日安全动态推送(10-11)    阅读/点赞 : 378/4

    每日安全动态推送(06-20)    阅读/点赞 : 368/6

    每日安全动态推送(10-19)    阅读/点赞 : 344/4

    每日安全动态推送(11-25)    阅读/点赞 : 331/4

    每日安全动态推送(07-18)    阅读/点赞 : 320/4

    腾讯玄武实验室 微信二维码

    腾讯玄武实验室 微信二维码