记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

利用CVE-2018-1000861漏洞来传播Kerberods挖矿机

研究人员发现攻击者利用2018年泄露的Jenkins (CVE-2018-1000861)漏洞来使用Kerberods释放器来传播加密货币挖矿机。SANS专家Renato Marinho发现一个正在进行的恶意攻击活动,攻击目标是有漏洞的Apache Jenkins安装来传播名为Kerberods的Monero门罗币挖矿机。SANS研究人员分析称,攻击者利用了Jenkins 服务器处理引擎的Stapler HTTP请求中的漏洞——CVE-2018-1000861。Jenkins 是最流行的开源自动化服务器,由CloudBees和Jenkins社区维护。自动化服务器支持开发者构建、测试和实现其应用,全球约有100万用户安装
发布时间:2019-05-21 12:25 | 阅读:8411 | 评论:0 | 标签:漏洞 Kerberods挖矿机

Chrome 0 Day利用链的第二块拼图:win32k漏洞(CVE-2019-0808)详细分析

一、前言本文主要探讨了最近修复的Win32k漏洞(CVE-2019-0808),该漏洞与CVE-2019-5786共同在野外被利用,提供了完整的Google Chrome沙箱逃逸的漏洞利用链。二、概述在2019年3月7日,Google发表了一篇文章,讨论了两个在野外共同被利用的漏洞——CVE-2019-5786和CVE-2019-0808。第一个漏洞是源于Chrome渲染器中的一个漏洞,我们已经在此前的文章中详细阐述过。第二个漏洞是win32k.sys中的NULL指针引用错误,影响Windows 7系统和Windows Server 2008,允许攻击者实现Chrome沙箱逃逸并以SYSTEM身份执行任意代码。在Goo
发布时间:2019-05-21 12:25 | 阅读:7272 | 评论:0 | 标签:漏洞 Chrome

Intel官方对5月15号曝出的CPU侧信道漏洞“ZombieLoad”的详细技术分析(下)

(接上文)缓冲区覆盖的程序序列在没有枚举MD_CLEAR功能的处理器上,某些指令序列可用于覆盖受MDS影响的缓冲区。你可以点此,详细查看这些序列。不同的处理器可能需要不同的序列来覆盖受MDS影响的缓冲区,程序序列的一些要求如下:1.在支持同步多线程(SMT)的处理器上,同一物理内核上的其他线程应在序列期间暂停,这样它们就不会分配填充缓冲区。这允许当前线程覆盖所有填充缓冲区,特别是,这些暂停的线程不应执行可能错过L1D缓存的任何加载或存储。暂停线程应该对PAUSE指令进行循环,以限制序列期间的交叉线程干扰。2.对于依赖REP字符串指令的序列,MSR位IA32_MISC_ENABLES [0]必须设置为1,以便启用快速字符
发布时间:2019-05-18 12:25 | 阅读:16236 | 评论:0 | 标签:漏洞 ZombieLoad

Intel官方对5月15号曝出的CPU侧信道漏洞“ZombieLoad”的详细技术分析(上)

背景了解5月15号有媒体曝出,安全研究人员在在一个月之前在Intel 芯片中发现了一种被称为“ZombieLoad”的新漏洞,此漏洞可让攻击者获取当前处理器正在处理的敏感数据。攻击者可以利用这个漏洞发起对Intel 芯片的侧信道攻击,这也是继此前Meltdown、Spectre与Foreshadow之后,最为严重的安全漏洞,研究员们在一个月之前向Intel 报告了这些漏洞。“ZombieLoad”直接的理解就是“僵尸载荷”,即处理器无法理解或正确处理的大量数据,迫使处理器向处理器的微码请求帮助以防止崩溃。应用程序通常只能看到自己的数据,但是这个漏洞允许数据流过这些边界墙。研究人员表示,ZombieLoad将泄漏处理器内
发布时间:2019-05-17 12:25 | 阅读:20946 | 评论:0 | 标签:漏洞 ZombieLoad

知往鉴今:Chromium近三年UXSS漏洞分析及缓解、预防和检测措施

一、前言UXSS(通用跨站脚本攻击)是一种攻击方式,利用浏览器或浏览器扩展中的客户端漏洞,在访问任意资源(来源)时执行恶意代码(通常为JavaScript)。简而言之:受害者访问恶意网站(被攻陷/被感染)后,攻击者可以阅读受害者的Gmail内容、FaceBook上的私人消息,并可以代替受害者执行其他操作,例如发送电子邮件、上传照片等。本项研究的主要目的,是分析此前三年来(2014年至2017年)Chromium浏览器中实施的潜在缓解措施,并探索可用于预防或检测UXSS漏洞的新技术。二、背景SOP(同源策略)是Web应用程序安全模型中最为重要的概念之一。基本上,它可以防止不同来源互相访问存储在客户端上的数据(即:Cook
发布时间:2019-05-17 12:25 | 阅读:15812 | 评论:0 | 标签:漏洞 Chromium xss

CVE-2019-3568: WhatsApp 0 day漏洞分析

概述5月14日,《金融时报》(Financial Times)报道称攻击者正利用WhatsApp的一个漏洞向受害者手机注入以色列公司NSO Group开发的先进间谍软件。WhatsApp是最流行的消息应用之一,在全世界有15亿用户。该公司的研究人员是在本月初发现这个缓冲溢出漏洞的,编号为CVE-2019-3568的漏洞存在于应用程序的VOIP堆栈中,允许攻击者向目标手机号码发送特制的SRTCP包实现远程执行代码。在iPhone或Android设备上该漏洞可以通过WhatsApp呼叫功能进行利用。整个攻击过程中不需要用户交互,受害者并不需要接听电话,呼叫记录通常也不会显示在日志里。WhatsApp公司称已经在上周五发布的
发布时间:2019-05-16 12:25 | 阅读:14994 | 评论:0 | 标签:漏洞 CVE-2019-3568

打雷喽,下雨了收衣服啦!微软紧急发布CVE-2019-0708漏洞的修复程序

2019年5月14日,微软紧急发布了针对远程桌面服务(Remote Desktop Service,RDP,以前称为终端服务)的远程执行代码漏洞CVE-2019-0708的修复程序,该漏洞影响了某些旧版本的Windows系统,比如Windows XP、Windows Server 2003、Windows 7、Windows Server 2008等。从理论上讲,远程桌面服务本身并不容易受到攻击,但一旦被攻击,其后果可是不堪设想的。如果你还不知道该漏洞的威力,就请想一想2017年5月爆发的WannaCry(又叫Wanna Decryptor)。CVE-2019-0708漏洞只需通过预认证(pre-authenticat
发布时间:2019-05-15 17:25 | 阅读:24428 | 评论:0 | 标签:漏洞 CVE-2019-0708

Windows RDP服务蠕虫级漏洞预警:堪比WannaCry

北京时间5月15日,微软发布了针对远程桌面(RDP)服务远程代码执行漏洞CVE-2019-0708的修复补丁,该漏洞由于属于预身份验证且无需用户交互,因此可以通过网络蠕虫方式被利用,与2017年爆发的WannaCry恶意软件的传播方式类似。攻击者可利用该漏洞安装程序、查看、更改或删除数据、或者创建拥有完全用户权限的新帐户。360CERT(360网络安全响应中心)第一时间确认漏洞为严重级别,建议用户立即进行补丁更新。本次微软官方发布了5月安全更新补丁共修复了82个漏洞,其中Windows操作系统远程桌面服务漏洞(CVE-2019-0708)威胁程度较高。据悉,该漏洞的危害堪比两年前轰动全球的漏洞武器“永恒之蓝”:攻击者一
发布时间:2019-05-15 17:25 | 阅读:16698 | 评论:0 | 标签:漏洞 漏洞预警

窃密团伙瞄准企业机密信息,备用病毒超60个

一、概述数据正在成为信息时代最有价值的资产,在网络黑市,大量个人及企业数据被肆意买卖交换,窃取、出售数据是网络黑产牟利的主要方式之一。国家对保护个人及企业信息安全,有严格的法律法规要求,即将颁布《网络安全等级保护技术2.0》做为全国各个行业改进信息安全的指导性文件。近日,腾讯安全御见威胁情报中心截获一个恶意利用高危漏洞攻击的Office文档,并以该文档溯源确定了该病毒团伙的基本画像。该窃密团伙通过多种方式分发病毒模块,包括:利用漏洞构造Office攻击文档、伪装为explorer或诱饵压缩包的快捷方式执行远程控制木马等,最终实现病毒模块的下载安装,从而持久控制目标系统。腾讯安全专家发现,在该窃密病毒团伙的木马下载站点,
发布时间:2019-05-14 17:25 | 阅读:16082 | 评论:0 | 标签:漏洞 office

CVE-2019-5018:Sqlite3 远程代码执行漏洞

概述研究人员发现在Sqlite3 3.26.0的Windows函数功能中存在UAF漏洞。通过特殊伪造的SQL命令可以产生该UAF漏洞,导致远程代码执行。攻击者可以发送恶意SQL命令来触发该漏洞。研究人员在SQLite 3.26.0和3.27.0版本上进行了测试。CVSSv3评分为8.1分,漏洞类型为UAF。漏洞详情SQLite是实现SQL数据库引擎的常用库函数,被广泛应用于移动设备、浏览器、硬件设备、用户应用中。也是小型、快速、可靠数据库解决方案的常用选择。SQLite实现了SQL的Window Functions特征,允许对行的子集(Subset、window)进行查询。通过分析含有Window函数的SELECT语句
发布时间:2019-05-14 12:25 | 阅读:14304 | 评论:0 | 标签:漏洞 CVE-2019-5018

绕过nftables/PacketFilter防火墙过滤规则传输ICMP/ICMPv6数据包的漏洞详解(下)

上一篇文章,我们对防火墙过滤规则和ICMP/ICMPv6数据包的传输过程做了充分的介绍,以剖析其中可能出现的攻击风险。本文我就详细解析恶意数据包如何被传送。Nftables的实施和细节Linux是在netfilter conntrack模块中实现的数据包的各种功能,Nftables在netfilter/nf_conntrack_core.c中以函数nf_conntrack_in开始启动,该函数处理在参数skb中发送的每个输入数据包。在nf_conntrack_handle_icmp中处理第4层协议和ICMP和ICMPv6的的提取。unsigned intnf_conntrack_in(struct 
发布时间:2019-05-13 12:25 | 阅读:17312 | 评论:0 | 标签:Web安全 防火墙 漏洞

使用Rootkit实现恶意挖矿:CVE-2019-3396漏洞新型恶意利用方式分析

概述Confluence是一个广泛使用的协作与规划软件。在2019年3月,Atlassian发布了一份咨询报告,涉及到两个Confluence的关键漏洞。4月,我们观察到其中一个漏洞,即工具连接器漏洞CVE-2019-3396被威胁参与者恶意利用以执行恶意攻击。安全提供商Alert Logic还发现该漏洞被利用于投放Gandcrab勒索软件。上述这些事件,应该不会是我们最后一次发现CVE-2019-3396的开发利用事件,因为威胁行为者仍然在寻找利用此漏洞的新方法。我们发现,该漏洞还被利用于提供一个加密货币挖掘的恶意软件,其中包含一个旨在隐藏其活动的Rootkit。这种技术很容易让我们联想到2018年11月发生的另一起
发布时间:2019-05-12 05:25 | 阅读:25491 | 评论:0 | 标签:漏洞 CVE-2019-3396

恶意软件也有漏洞,Mirai C2奔溃分析

简介与其他代码一样,恶意软件也会存在漏洞。事实上,大多数恶意软件并不会进行质量控制,所以存在漏洞的概率更大。本文介绍Mirai代码中的一个小bug,该漏洞存在于多个变种中。其他攻击者可以利用该漏洞来破坏C2服务器。漏洞利用当用户名是1025+ "a"字符序列时Mirai服务器会奔溃当有用户连接到Mirai C2服务器时,会要求输入用户名和密码来进行认证。如果用户在用户名处输入1025+字符串时,C2服务器可能会奔溃,如上图所示。下面分析奔溃的原因,首先解释一个简单程序,然后分析Mirai。编程风格很差的程序下图是用GO语言编写的程序,功能是输入name并打印出来。该程序首先将name保存为字符串,然
发布时间:2019-05-10 12:25 | 阅读:23774 | 评论:0 | 标签:漏洞 Mirai

绕过nftables/PacketFilter防火墙过滤规则传输ICMP/ICMPv6数据包的漏洞详解(上)

背景知识介绍目前的防火墙总共分四类:包过滤防火墙:包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。应用网关防火墙:不检查IP、TCP标头,不建立连接状态表,网络层保护比较弱。状态检测防火墙:不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。复合型防火墙:可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。什么是PacketFilter(包过滤)?包过滤是一种内置于Linux内核路由功能之上的防火墙类型,其防火墙工作在网络层。传统的包过滤功能在路由器上常可看到,而专门的防火墙系统一般在此之上加了功能的扩展,如状态检测等,它通过检查单个包
发布时间:2019-05-09 12:25 | 阅读:22498 | 评论:0 | 标签:Web安全 防火墙 漏洞

CodeAlchemist:用于在JavasScript引擎中查找漏洞的代码生成工具

作者:{fr4nk}@ArkTeam 原文作者:HyungSeok Han、DongHyeon Oh、Sang Kil Cha 原文标题:CodeAlchemist: Semantics-Aware Code Generation to Find Vulnerabilities in JavaScript Engines 原文会议:2019 NDSS  JavaScript(JS)引擎已日益成为现代Web浏览器的核心组件,鉴于针对其构建漏洞利用的过程较为灵活,JS 引擎逐渐成为一个对攻击者有吸引力的目标。目前最先进的用于查找 JS 引擎漏洞的模糊器主要集中在基于预定义的上下文无关语法或训练的概率语言模型生成语法上正确的测试用例。然而,语法上正确的 JS 语句在运行时通常在语义上无效。 本文提出了一
发布时间:2019-05-09 01:20 | 阅读:22242 | 评论:0 | 标签:ArkDemy 论文笔记 漏洞

如何在v8引擎中找到未被发现的攻击面(以CVE-2019-5790为例)

如果你查看最近关于浏览器安全性和JavaScript引擎安全性的所有文章,你很容易产生一种错觉,即在现代JavaScript实现中,只能在即时(just-in-time, JIT)编译器中寻找未被发现的漏洞。JavaScript引擎是一个专门处理JavaScript脚本的虚拟机,一般会附带在网页浏览器之中,该引擎的结构非常复杂、代码非常混乱(仅在3月份,仅V8就提交了500次有问题的代码),另外公开披露的漏洞的数量似乎不断地在增加,这些都表明现代JavaScript就是所有攻击的初始源头。然而,在研究web浏览器等常见的攻击目标时,许多研究人员的关注点很可能会习惯性的被公开披露的漏洞所主导。我想在发现漏洞这件事上,造成
发布时间:2019-05-08 12:25 | 阅读:23850 | 评论:0 | 标签:漏洞 CVE-2019-5790

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云