一周信息安全干货分享【第137期】

 

安全资讯


1.恶意 Kodi 扩展将用户的机器变成矿机挖掘门罗币

流行的开源多媒体播放器 Kodi 支持扩展,部分扩展支持盗版内容

2.研究人员警告现代计算机都易受冷启动攻击

F-Secure 的安全研究人员重新发现了冷启动攻击,该漏洞影响几乎所有现代计算机

3.云服务攻击突显供应链风险

去年中国黑客组织 Red Apollo(aka APT10) 发动了史上规模最大的持续全球网络间谍攻势之一

4.流行 VPN 包含允许执行任意代码的安全漏洞

Cisco Talos 安全研究员报告,流行 VPN 软件 ProtonVPN 和 NordVPN 存在能导致任意代码执行的漏洞

5.趋势科技声称它的数据收集是一次性的,是出于安全目的

安全公司趋势科技旗下的软件被发现会收集用户的浏览历史并上传到其服务器上

[详细阅读…]

一周信息安全干货分享【第136期】

安全资讯


1.研究人员利用来自扬声器的声纳信号窃取解锁模式

兰开斯特大学的研究人员在预印本网站 arXiv 发表论文,演示了利用智能手机麦克风和扬声器来窃取解锁模式

2.MEGA 官方 Chrome 扩展被加入窃取密码和数字货币私钥的恶意代码

未知攻击者向 Google 官方扩展商店 Google Chrome webstore 上传了文件共享服务 MEGA.nz 的一个木马版本

3.7500 台 MikroTik 路由器被植入挖矿代码和流量转发

奇虎旗下的安全实验室报告,7500+ 台 MikroTik 路由器被植入挖矿代码并将用户流量转发给攻击者指定的 IP 地址

4.Mozilla 公布 DNS over HTTPS 实验结果

Mozilla 早些时候 发布了 Firefox 的 Nightly 版本,引入了 DNS over HTTPS (DoH) 功能

5.ECSHOP多个版本远程代码执行漏洞

漏洞预警

[详细阅读…]

一周信息安全干货分享【第135期】

安全资讯


1.Google 披露 Fortnite Android 版安全漏洞,Epic 抨击 Google 不负责任

Epic 的热门大逃杀游戏 Fortnite 已发布了 Android 的 Beta 版本,但它没有通过 Google 控制的应用商店发布

2.黑客在暗网出售华住酒店记录

有黑客正在“中文暗网市场交易网站(需注册,需 Tor 浏览器)”出售华住集团旗下酒店的数据库

3.千名西澳大利亚公务员用 password123 作为密码

西澳大利亚州的审计长公布了该州的安全审计报告(PDF),发现 26% 的政府公务员使用了弱密码

4.OpenBSD 停用英特尔处理器的超线程功能

OpenBSD 创始人在邮件列表上宣布 OpenBSD -current(6.4) 将停用英特尔处理器的超线程功能

 

技术干货


1.ecshop2.x 代码执行

问题发生在user.php的display函数,模版变量可控,导致注入

[详细阅读…]

一周信息安全干货分享【第134期】

 

安全资讯


1.高功率设备组成的物联网僵尸网络能干扰电网

物联网设备以不安全著称,利用物联网僵尸网络,攻击者可以发动各种攻击

2.恶意传真向黑客打开企业内网之门

利用 1980 年代定义传真信息格式的协议漏洞,恶意传真图像能让黑客悄悄潜入企业内网

3.深圳警方破获拦截短信盗刷银行卡的犯罪团伙

“一夜醒来,卡上存款不翼而飞。”近期,全国多地接连发生银行卡被盗刷案件,引起了网民广泛关注。

4.TLS 1.3 正式版释出

互联网工程指导委员会(IETF)释出了传输层安全性协议的最新版本 TLS 1.3

5.研究人员披露英特尔处理器新漏洞

德国 Saarland 大学的两名研究人员公布论文《ret2spec: Speculative Execution Using Return Stack Buffers》(PDF)

6.黑客利用友讯路由器漏洞改变 DNS 设置诱骗用户访问假的银行网站

黑客正在利用友讯路由器漏洞的改变 DNS 设置诱骗用户访问假的银行网站窃取登录凭证

[详细阅读…]

初试Frida JS hook

根据网上教程,基本是写Python代码进行hook,但根据群里大牛指引,可以直接使用frida – U “com.example.test.XXX” -l xxx.js 直接注入。
JS代码编写规则
JS模板代码:

 

然后frida – U “com.example.test.XXX” -l xxx.js,开启HOOK,接着开启相应的APP,就会看到打印信息了。

Frida爬坑记

系统环境是windows10(64),老早安装的python27是32位的,没留意,后来把python27删除,重装了python36(64位),默认是会自动安装PIP的。
安装Frida
直接“pip install frida”就可以了,但是我却卡在了下面这里:

[详细阅读…]

Tea轮函数加密逆向笔记

部分加密环节逆向

  • REV R1 R1 //是指对R1的字节进行反转,如R1中本来保存的是744308C2,经过REV反转后,R1保存的字节为C2084374
  • JAVA传入的参数有两个,暂且称之为传参1、传参2
  • 传参1为8位字节长,分别保存在R0、R1两个寄存器中,传参2为16位字节长(疑似加密密钥),分别保存在R5、R6、R7、R12四个寄存器中

关键轮函数加密部分

R0 = C2084374 R1 = C500F400 R2 为栈缓冲区,主要用于字节中转 R3 = 0 R4 = E3779B90 R5 = 574B5A79 R6 = 54446575 R7 = 3146736B R8 = 78486E41

R3 = R3 + 0x9F000000 R8 = R12 + (R1 << 4 ) (左移4位)

R3 = R3 – 0xC80000

R3 = R3 – 0x8600

R3 = R3 – 0x47

R9 = R3 + R1

if (R3 = R4): R8 = R9 ^ R8 (位异或) R9 = R7 + (R1 >> 5) R8 = R8 ^ R9 R0 = R0 + R8 R9 = R6 + (R0 << 4) R8 = R5 + (R0 >> 5) R8 = R0 + R3 R9 = R9 ^ R9 R8 = R8 ^ R9 R1 = R1 + R8

循环结束后,R0 = E980238E (其实是R2反转后写入),R1 = BCDC6241

一周信息安全干货分享【第133期】

 

安全资讯


1.五角大楼制定不能购买的中俄软件清单

五角大楼的采购主管警告军方及其承包商不要使用与俄罗斯和中国有关联的软件

2.微软披露软件供应链攻击

微软安全博客披露了一起软件供应链攻击,软件巨人没有透露相关公司的名字

3.中远集团美洲计算机网络遭勒索软件攻击

国有中远集团的美洲区计算机网络本周遭勒索软件攻击,48 小时后情况仍然没有好转

4.在引入物理密钥后没有一名 Google 雇员被钓鱼

Google 从 2017 年初开始要求所有雇员使用物理密钥替代密码,此后该公司 8.5 万名雇员没有一位的工作相关帐户被成功钓鱼

5.研究人员公开新旁路漏洞 SpectreRSB

加州大学河滨分校的研究人员发表论文,公布了命名为 SpectreRSB 的新 Spectre 漏洞

6.第五个思科后门账号被发现

思科上周修复了 25 个漏洞,其中一个补丁是移除 Cisco Policy Suite 中的后门账号 root

[详细阅读…]

一周信息安全干货分享【第132期】

 

安全资讯


1.去年曝出的 HPE 远程管理软件身份验证漏洞是 29 个“A”

攻击者只需要通过 cURL 发送一个包含 29 个 A 的请求,就能绕过身份验证

2.NSO Group 的一名雇员被控盗取了公司的间谍软件

以色列间谍软件公司 NSO Group 的间谍软件能入侵智能手机

3.入侵 Gentoo GitHub 账号的攻击者在构建脚本里加入 rm -rf /* 命令

Gentoo Linux 项目在 GitHub 上的账号遭到入侵,攻击者随后对 Gentoo 的代码进行大肆修改

4.Firefox 和 Chrome 下架流行扩展 Stylish

用户样式管理器 Stylish 是一个非常受欢迎的浏览器扩展,但在被多次转手之后,这个扩展开始变得恶意

 

技术干货


1.FastJson 反序列化漏洞利用的三个细节 

TemplatesImpl 利用链

[详细阅读…]