2024-04-26 微信公众号精选安全技术文章总览

洞见网安 2024-04-26

0x1 蓝队研判应急专题-玄机Algo挖矿排查WP

Gat4by 2024-04-26 18:26:46

前言：本文旨在学习分享蓝队研判和应急响应相关思路技巧，欢迎各位师傅交流讨论。

0x2 [系统安全] 五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注（含学术探讨）

娜璋AI安全之家 2024-04-26 15:13:38

本文主要探讨了恶意软件家族的批量标注方法，特别是如何利用火绒软件进行标注。文章首先介绍了恶意软件的概念，包括它的定义、类型和对网络安全的威胁。随后，作者详细说明了如何使用火绒软件进行病毒扫描和家族标注，包括打开火绒安全、选择自定义查杀、添加扫描目录和查看扫描结果等步骤。文章还提到了火绒和Defender在病毒家族识别上的差异，并通过微软官方命名规则解析了Defender的恶意家族命名规则。此外，文中探讨了不同杀毒引擎对恶意软件家族的标注差异，提出了通过投票器和文本相似度计算来提高标注准确性的方法。最后，文章介绍了Usenix Sec20恶意软件标注工作，该研究通过数据驱动的策略对VirusTotal平台的标签动态进行了测量和建模，分析了不同引擎间的标签动态关联，并提出了建设性的标注建议。文章的结论部分强调了选择合适的阈值和考虑引擎间的关联对于提高恶意软件标注准确性的重要性。

0x3 HW必备技能教学之Windows应急响应常见流程【文末附常用应急工具】

极星信安 2024-04-26 14:01:24

本文是关于网络安全的应急响应指南，主要针对web入侵、系统入侵和网络攻击等事件。文章提供了详细的排查思路和方法，包括检查系统账号安全、异常端口和进程、启动项、计划任务和服务、系统相关信息，以及自动化查杀病毒等。具体步骤涉及使用PowerShell脚本检测弱口令、查看可疑账号、隐藏账号和克隆账号，结合日志分析管理员登录时间、用户名异常情况，检查远程桌面端口开放情况，以及使用各种工具进行系统安全检测和查杀。此外，文章还强调了日志分析的重要性，建议开启审核策略以便于事后故障排除和追查入侵者信息。最后，提供了多个安全工具和webshell查杀工具的链接，以及如何获取Hw应急工具集、简历模版和面经大全的方法。

0x4 微软最新版RCE？别被钓鱼了！！！

剑外思归客 2024-04-26 11:47:29

最近有关微软RCE的报道引起了人们的关注，特别是与微软相关的域名出现异常情况。文章提到了微软的域名"code.microsoft.com"被恶意使用的问题，指向了 Cobalt Strike 主机。虽然微软的基础设施未受到攻击，但这个子域名的确被非授权方接管。作者以一个域名被恶意接管的例子解释了攻击可能的原理，并指出了目前问题的焦点域名"test4152ausjipqa.dynamitecdn.com"。然而，这个域名的真实情况尚不清楚，因为其注册时间较早且并未过期。作者呼吁深入探讨微软域名被恶意利用的问题，并暗示可能的 Cookie 钓鱼攻击。整体分析指向"test4152ausjipqa.dynamitecdn.com"这个域名，但其是否与恶意攻击者有关尚不明确。文章为个人分析，期望得到更多指正。

0x5 浅谈Kubernetes安全

联想全球安全实验室 2024-04-26 11:14:27

本文深入探讨了Kubernetes（K8s）的架构及其在云原生技术中的重要作用，并重点分析了Kubernetes环境的安全性问题。文章首先介绍了Kubernetes的三大关键模块：Kubectl（用户指令接口）、Master（集群管理和控制中心）、Node（工作节点）。随后，文章详细阐述了每个模块的功能，包括Apiserver、Controller Manager、Scheduler等组件的作用。文章还指出了Kubernetes面临的安全风险，包括APIServer的配置不当、Kubelet的未授权访问、Dashboard的不当配置、Etcd的数据泄露风险、Docker Remote Api的安全漏洞等。最后，文章列出了Kubernetes中常见的组件和端口，为网络安全学习者提供了一份实用的参考。

0x6 单洞过W之开发/测试/生产/UAT挖掘思路

极梦C 2024-04-26 10:54:56

分享一个挖洞思路,一个1.5w的漏洞.u200du200du200du200du200du200du200du200du200du200du200du200du200du200du200du200du200du200du200du200du200du200du200du200du200du200du200du200du200du200d

0x7 每周高级威胁情报解读(2024.04.19~04.25)

奇安信威胁情报中心 2024-04-26 09:54:48

近期网络安全领域发生多起重要事件，涉及多个APT组织和恶意软件。俄罗斯APT28组织利用Windows Print Spooler漏洞（CVE-2022-38028）和名为“GooseEgg”的工具提升权限并窃取凭证，主要针对乌克兰、西欧和北美的政府、非政府组织、教育和交通部门。GuptiMiner恶意软件活动通过劫持eScan防病毒更新分发后门和挖矿程序，可能与朝鲜APT组织Kimsuky有联系。APT43组织利用合法的DropBox云存储服务作为攻击基地，逃避威胁监控。APT-C-28（ScarCruft）组织使用恶意LNK文件投递RokRat恶意软件，针对韩国和其他亚洲国家的关键行业。Storm-0978组织使用新型内核注入技术“Step Bear”绕过主流EDR检测。海莲花（APT-Q-31）组织使用Rust编写的加载器，内存加载Cobalt Strike木马。乌克兰20个重要机构遭俄罗斯APT44组织破坏，使用QUEUESEED、LOADGRIP、BIASBOAT和GOSSIPFLOW等工具。Sandworm组织在攻击东欧活动中部署新的Kapeka后门。Scaly Wolf组织通过钓鱼攻击下发White Snake窃取程序。疑似CoralRaider组织使用三个信息窃取者扩大受害者范围。此外，还有利用SEO传播恶意软件的事件，以及针对外围网络设备的ArcaneDoor间谍活动等。

0x8 ebpf在Android安全上的应用：结合binder完成一个行为检测沙箱(下篇)

吾爱破解论坛 2024-04-26 09:26:12

本文详细介绍了Android系统中的进程间通信（IPC）机制，特别是Binder机制的实现和应用。首先，文章解释了IPC的必要性，即在请求系统服务如访问通讯录或定位时，不同进程间需要交换数据。随后，文章对Binder机制进行了简单介绍，Binder是Android中实现IPC的一种方式，允许进程间进行数据交换和通信。 ServiceManager作为管理系统服务的重要组件，负责服务的注册、查找、启动和唤醒等。文章通过分析WifiManager类的getConnectInfo函数，展示了客户端调用Java层的过程。该函数通过抛出异常指示其实际执行逻辑在ROM中，由相应的类替代执行。文章进一步深入探讨了Binder通信的过程，包括客户端Java层和Native层的调用，以及内核层的分析。通过分析ioctl系统调用和binder_transaction_data结构体，文章揭示了客户端和服务端通信的细节。 最后，文章提出了基于这些分析实现的行为检测沙箱的概念，该沙箱可以捕捉和分析系统行为，例如读取通讯录、获取地理位置和Wifi信息等。作者还提到了通过修改返回包进行风控对抗的可能性，但未提供具体实现代码。整篇文章不仅为理解Android IPC提供了深入的技术分析，也为开发相关安全检测工具提供了理论基础。

0x9 [漏洞复现] CVE-2024-4040 CrushFTP服务器端模板注入

不够安全 2024-04-26 08:30:52

CVE-2024-4040 CrushFTP服务器端模板注入 漏洞复现

0xa 漏洞利用-PoC-in-GitHub+msf简单利用

小黑子安全 2024-04-26 07:46:05

查找库-PoC-in-GitHub里面集成了几乎所有cve漏洞下载：https://github.com/no

0xb 应急响应常用命令手册

信安路漫漫 2024-04-26 07:01:01

本篇文章是一份应急响应常用命令手册，记录了在网络安全应急情况下经常使用的命令。文章以系统排查、登录用户、sudo授权信息、登录信息、快速查找文件、日志排查等方面展开介绍。其中包括了通过命令行查看内核信息、运行时间、登录用户等系统信息，以及针对用户和文件的权限、活动进行的查找和排查。此外，还介绍了如何通过日志查看访问信息，包括访问次数、IP统计、页面访问情况等。这些命令涵盖了系统排查、安全监控和快速定位等方面，对网络安全人员在应急响应时提供了实用的指导和参考。

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安简报【2024/4/26】