寫公眾號的初衷是想通過發布威脅情報新聞激發網絡安全愛好者對APT攻擊與溯源分析技術的興趣,所以採集的情報數據主要圍繞著APT攻擊技術姿勢、漏洞、工具、樣本、戰術戰法和溯源追蹤方式方法以及國際國內關於威脅情報等相關方面採集。希望各位觀眾姥爺能在每天的情報新聞中找到興趣,在日益激烈的「網絡戰爭」中貢獻自己的力量。
APT攻擊
1、韓朝雙邊。Operation Golden Bird。挺詳細的分析報告, 就是韓語翻譯起來想哭。
https://blog.alyac.co.kr/2205
2、海蓮花新活動,哈哈哈,我猜國內其他廠商肯定抓到一個或者兩個樣本,報告都沒寫完吧?ESET還是挺屌的。各位大佬公眾號都發了這個帖子。嗯,牽動國內眾多安全廠商心跳的海蓮花。
https://www.welivesecurity.com/2019/03/20/fake-or-fake-keeping-up-with-oceanlotus-decoys/
威脅活動
1、360威脅情報中心發布,警惕Excel4.0宏病毒攻擊,攻擊者通過向目標人員投遞帶有「攻擊代碼」的Excel表格文件,一旦受害者打開表格則會自動下載運行疑似Ammyy的遠程控制木馬。
https://mp.weixin.qq.com/s/2dCFxKmyPaVU-2VT8cJXhg
2、Office 365威脅研究團隊發現了兩個針對Netflix和美國運通(AMEX)用戶的新的網絡釣魚活動。
https://twitter.com/WDSecurity/status/1108103882712866817
3、活躍在中東沙特地區的網絡釣魚活動。分析的不錯,建議看看。
https://www.anomali.com/blog/bad-tidings-phishing-campaign-impersonates-saudi-government-agencies-and-a-saudi-financial-institution
4、FIN7金融黑客組織回歸。針對美洲、澳洲、歐洲頻繁活躍。使用新的工具SQLrat。
https://www.flashpoint-intel.com/blog/fin7-revisited:-inside-astra-panel-and-sqlrat-malware/
5、WIZARD SPIDER / LUNAR SPIDER合作,crowdstrike有證據證明。
https://www.crowdstrike.com/blog/wizard-spider-lunar-spider-shared-proxy-module/
漏洞相關
1、SSH客戶端PuTTY包含嚴重的密鑰交換漏洞,這個漏洞本可以讓一個中間人(MITM)攻擊者秘密地破解SSH會話,SSH客戶端PuTTY被發現有一個可能允許MITM攻擊的關鍵錯誤。該缺陷被指定為vuln-dss-verify,主要影響DSA籤名檢查,並為攻擊者提供繞過籤名檢查的機會。
https://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/vuln-dss-verify.html
2、谷歌照片漏洞可能讓黑客檢索圖像元數據,該漏洞可能允許惡意威脅組織推斷用戶在其Google照片帳戶中存儲的圖像的地理位置詳細信息。這個漏洞用來定位目標是挺好用的。用的技術是旁路技術:跨網站搜索XS-Search
另外,這種技術還可以用於其他照片的工具和平臺。對於定位是非常有用的,各位老哥!
https://www.imperva.com/blog/now-patched-google-photos-vulnerability-let-hackers-track-your-friends-and-location-history/
3、SoftNAS Cloud(R)數據存儲平臺中發現漏洞,可以利用身份驗證繞過來訪問Webadmin接口,該接口可以添加用戶並以root身份執行任意命令,SoftNAS Cloud 4.2.0和4.2.1
https://www.digitaldefense.com/blog/2019-softnas-cloud-zero-day-blog/
技術分享
1、recordedfuture發布2018年10大漏洞和工具。利用最多的漏洞CVE-2018-8174是一個綽號為「Double Kill」的Microsoft Internet Explorer漏洞,它包含在四個漏洞利用工具包(RIG,Fallout,KaiXin和Magnitude)。
2018年發布了35個新的RAT,而2017年為47個。這些新的RAT中只有一個,即Sisfader,與一個頂級漏洞相關:CVE-2017-8750,一個Microsoft Office漏洞。新的漏洞利用工具包只有五個新的漏洞利用工具包。其中兩個漏洞利用工具包與2018年最受歡迎的漏洞相關:Fallout和LCG Kit。
https://go.recordedfuture.com/hubfs/reports/cta-2019-0319.pdf
2、工業網絡安全公司Dragos Inc.免費發布了兩個工業控制系統(ICS)資產發現工具。Cyberlens和Integrity
https://dragos.com/community-tools/
3、網絡釣魚新技術。PAYPAL網絡釣魚詐騙的技術分析。做攻防的老哥都可以看看這個技術貼。
https://www.sentinelone.com/blog/technical-analysis-paypal-phishing-scam/
4、TCPHP 反序列化問題。TCPHP是「三大」PHP庫之一 - 與mPDF和FPDF一起 - 用於將HTML代碼轉換為PDF文檔或動態組裝PDF文件。在創建PDF時可以被惡意利用遠程命令執行。這個在很多CMS中都用過TCPHP,特別是國外,懂的老哥自然懂。
https://polict.net/blog/CVE-2018-17057
https://cdn2.hubspot.net/hubfs/3853213/us-18-Thomas-It's-A-PHP-Unserialization-Vulnerability-Jim-But-Not-As-We-....pdf
5、Android應用程式反混淆使用靜態 - 動態合作,來自以色列大佬的技術報告。
https://www.virusbulletin.com/virusbulletin/2019/03/vb2018-paper-android-app-deobfuscation-using-static-dynamic-cooperation/
6、分析一個繞過Microsoft安全機制技術的樣本。非常值得看!做樣本分析的老哥一定打開看看這個報告!
https://blog.yoroi.company/research/the-document-that-eluded-applocker-and-amsi/
7、NSA發布的逆向分析工具被騰訊玄武實驗室分析出一個遠程代碼執行漏洞!吹一波騰訊玄武實驗室。Ghidra 從 XXE 到 RCE
https://xlab.tencent.com/en/2019/03/18/ghidra-from-xxe-to-rce/
其他國際新聞
1、新的研究表明,醫療行業更容易受到網絡釣魚攻擊和其他攻擊,並且成功率高。也難怪,近年,國外醫療行業的數據洩露特別多,針對醫療行業的APT攻擊也被發現逐步增多。
https://blog.malwarebytes.com/101/2019/03/new-research-finds-hospitals-are-easy-targets-for-phishing-attacks/
https://www.cisomag.com/us-healthcare-institutions-are-vulnerable-to-phishing-attacks-survey/
【轉載請註明出處】