2024-11-06 微信公众号精选安全技术文章总览
洞见网安 2024-11-06
0x1 浅析Active Directory 攻击十强
再说安全 2024-11-06 23:47:26
AD域攻击的难度,是对抗无形秩序的终极哲学命题。
0x2 【数据加解密篇】利用NTFS数据流(ADS)隐写加密取证分析
DFIR蘇小沐 2024-11-06 22:20:52
0x3 记一次应急记录
羽泪云小栈 2024-11-06 20:00:43
本文记录了一次应急响应的过程,主要涉及CentOS7系统root用户密码无法登录的问题。由于普通用户没有sudo权限,作者通过重启系统并进入单用户模式重置了root密码。在恢复系统后,作者发现有几个陌生IP登录root用户,进一步调查发现CPU占用率很高的进程名为sshc,怀疑是恶意进程。作者检查了相关路径和文件,发现了一些不认识的文件和计划任务。通过搜索相关应急文章,作者按照步骤排除了crontab中的恶意计划任务,并删除了相关文件夹和服务。最后,作者还删除了与sshd相关的文件和隐藏文件夹,并结束了恶意进程。作者总结道,root密码过于简单导致被猜到,建议使用强密码并定期更换。此次应急响应提高了作者的实践技能,并提醒了定期维护系统的重要性。
应急响应 Linux安全 密码安全 恶意软件清理 挖矿病毒 系统维护
0x4 新型安卓手机银行木马正在欧洲传播
网络研究观 2024-11-06 18:54:41
2024年10月下旬,Cleafy威胁情报团队发现了名为ToxicPanda的新型安卓银行木马,它主要在欧洲和拉丁美洲活动,针对银行机构实施账户接管和金融欺诈。ToxicPanda源自东南亚的TgToxic,已感染超过1,500台设备,主要集中在意大利、葡萄牙、西班牙、法国和秘鲁。此木马的特点是利用辅助功能服务滥用、远程控制、OTP拦截等手段绕过安全措施,实现对设备的‘设备欺诈’。它还拥有一个活跃的僵尸网络,主要控制点位于意大利,显示出开发者策略向欧洲金融机构转移的趋势。ToxicPanda背后的攻击者可能说中文,表明亚洲网络犯罪分子正将其活动扩展至亚洲以外地区。尽管ToxicPanda是TgToxic的一个更简化版本,但它依赖硬编码的命令和控制域,并使用AES加密通信,显示出持续演化的迹象。为了应对这一威胁,安卓用户应提高安全意识,如只从官方应用商店下载应用,启用Play Protect,以及使用多因素认证保护银行账户。
Android Banking Trojan Financial Fraud Device Fraud Remote Access OTP Interception C2 Infrastructure Asia Europe Latin America Chinese Speakers Evolution Security Measures
0x5 黑客部署复杂新型网络钓鱼以建立持久系统后门
网络研究观 2024-11-06 18:54:41
CRON#TRAP是一种新出现的网络钓鱼攻击方式,它通过模仿Linux环境来绕过安全防护措施,并在受害者系统上建立持久化的后门。攻击者首先通过含有恶意ZIP文件和快捷方式文件的钓鱼邮件进行初始感染,这些文件伪装成合法文档诱使用户点击。一旦用户执行,系统会被引导下载一个包含Tiny Core Linux发行版及QEMU虚拟化工具的大容量ZIP文件。接着,通过执行批处理文件启动模拟Linux环境,同时显示伪造的服务器错误图像以迷惑用户。在该环境中,预配置的Chisel客户端被用来与攻击者的命令与控制服务器建立加密隧道,允许攻击者秘密地控制受害机器、传输数据及进一步部署恶意软件。攻击者利用合法工具如QEMU和Chisel作为掩护,以减少被检测的风险,强调了对于来自未知来源的电子邮件保持警惕的重要性。
网络钓鱼 持久后门 恶意软件 QEMU和Chisel滥用 多阶段攻击
0x6 内网渗透之内网权限维持
红队蓝军 2024-11-06 18:03:43
0x7 【Pikachu】CSRF跨站请求伪造实战
儒道易行 2024-11-06 18:00:32
本文介绍了CSRF(跨站请求伪造)攻击的基本概念及其与XSS(跨站脚本攻击)的区别,并通过具体案例讲解了如何实施CSRF攻击。CSRF攻击是通过诱使已认证的用户执行非预期操作,利用用户的权限完成攻击。文章提到,如果网站在处理敏感信息更新时不包含足够的验证机制,就可能遭受CSRF攻击。防范措施包括添加安全令牌(token)、验证码以及改进业务逻辑等。文章还展示了GET和POST类型的CSRF攻击示例,包括利用Burp Suite生成PoC(Proof of Concept)和构造恶意表单。最后,提到了CSRF Token作为防御手段之一,通过在每个请求中加入唯一的随机码来确保请求的真实性。
CSRF 网络安全 XSS 漏洞利用 安全防御 Web安全 渗透测试
0x8 完全无法检测的CobaltStrike
白帽子安全笔记 2024-11-06 17:30:43
sleepmask kit只能解决在运行时进行内存保护,这在绕过内存扫描时足够应对,但如果遇到沙箱会发生什么?今天我们将运用之前的一系列内容,修改并配置一个真正无法被检测的cobaltstrike。
0x9 利用websocket进行水坑攻击
我真不是红队啊 2024-11-06 14:26:47
0xa 2024 网鼎杯玄武组资格赛writeup by W4ntY0u
山海之关 2024-11-06 13:23:56
2024 网鼎杯玄武组资格赛writeup by W4ntY0u
0xb fortify sca rules分析
代码审计SDL 2024-11-06 10:17:11
0xc Web 浏览器存储的凭证
SecretTeam安全团队 2024-11-06 09:40:54
0xd 【免杀】MSF流量免杀
网安鲲为帝 2024-11-06 09:05:07
0xe SRC挖掘-js.map泄露到接管云上域控
隐雾安全 2024-11-06 09:01:13
真干货
0xf JS逆向系列09-Js Hook
Spade sec 2024-11-06 09:00:17
本文介绍了JavaScript Hook的基本概念和技术实践。Hook是指修改函数或方法的内部实现,以便达到特定目的。作者通过一个简单的示例展示了如何通过覆盖console.log方法来改变其行为,并强调了在修改原函数时保持原有功能的重要性。此外,作者还分享了一个针对JSON.parse和JSON.stringify方法的Hook脚本,这两个方法常用于数据的加解密处理。通过Hook这些方法,可以获取到执行上下文的信息,比如使用Error对象的stack属性来捕获调用堆栈。为了确保Hook脚本作为页面加载的第一个脚本执行,建议使用如油猴(Tampermonkey)这样的浏览器扩展来注入脚本,并设置了正确的执行时机。文章最后提供了完整的Hook脚本示例及其在油猴中的配置方式。
JavaScript安全 Web安全 逆向工程
0x10 记一次某CMS反序列化任意文件删除的审计过程
亿人安全 2024-11-06 08:41:02
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
原文始发于微信公众号(洞见网安):网安原创文章推荐【2024/11/6】
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论