DOTA2-FOX

(∩•̀ω•́)⊃-*⋆biubiubiu~ 这是一个帅气的狐狸~

AVGater 攻击:可滥用反病毒软件隔离功能提权,影响卡巴斯基、趋势科技等多家安全厂商产品

HackerNews.cc 11 日消息,安全专家 Florian Bogner 近日设计了一种名为 AVGater 的攻击方法 ,可通过滥用某些杀毒软件的隔离功能来提升权限。目前已确认有包括卡巴斯基、趋势科技,Check Point 在内的多个流行反病毒软件也受此漏洞影响,均可通过滥用隔离功能感染系统并提权。 安全专家 Bogner 的表示,攻击者先通过引导杀毒软件软件将恶意 DLL 文件放入隔离区,然后攻击者利用软件 (具备 SYSTEM 权限)的 Windows 进程来恢复该文件。然而恶意 DLL 并不会被恢复到原始路径,而是进入操作系统执行特权的区域(如 Program Files 或 Windows 文件夹),而在此区域内低权限用户根本无法删除恶意文件。 “如果一个非特权用户能够操纵跨越安全边界的任何通信通道(”非特权用户模式到特权用户模式“或”特权用户模式到内核模式“),那么他将能够提升他的特权。”Bogner 表示,正如视频中所演示的情况,文件恢复过程通常由具备特权的杀毒软件执行,因此文件系统 ACL 是可以被规避的(因为它们并不真正指望 SYSTEM 用户权限)。这种类型的问题被称为特权文件写入漏洞,可用于在系统中的任何位置放置恶意 DLL。同时专家也强调,AVGater 漏洞只能是在“受影响系统可以恢复被隔离文件”的情况下被利用。 影响卡巴斯基、趋势科技等多家安全厂商产品 研究人员表示,目前漏洞影响到来自 Emsisoft,卡巴斯基实验室,Malwarebytes,趋势科技,Check Point 和 Ikarus 的反病毒软件,其他厂商的反病毒解决方案也会受到影响,但考虑到问题严重性目前不便透露这些厂商的名称。 安全专家 Bogner 目前仅发表了针对 Emsisoft 和 Malwarebytes 反病毒软件的 AVGater 攻击详细分析报告 ,Emsisoft 和 Malwarebytes 官方也已在一周内发布了安全补丁。HackerNews.cc 在此提醒读者朋友们尽快留意安全厂商发布的相关信息并及时更新反病毒产品。 详细报告内容:<#AVGater: Getting Local Admin by Abusing the Anti-Virus Quarantine> 文章编译自 securityaffairs.co,译者:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

攻击预警 | 山东大学与西安交大(子站)疑遭黑客入侵,请国内大学警惕匿名者攻击行动

据创宇盾(Creation Shield, www.365cyd.com )安全舆情监控平台最新监测显示,北京时间 28 日晚间,黑客组织“匿名者” Twitter 账号 @Scode404 发布消息称已成功入侵山东大学和西安交通大学子站,并通过 pastebin 平台公开网站管理员密码与部分注入点。 据创宇盾监控显示近几个月“匿名者”开始攻击我国网站,此前公布的全球 57 个世界银行目标列表中就包含 我国 10 大银行网站。26 日晚间,该名黑客也曾发推表示不会惧怕来自中国的威胁。 HackerNews.cc 在此提醒国内教育、金融行业近期警惕来自境内外的黑客攻击。

【攻击预警】匿名者 #OpIcarus 行动公布 57 个全球银行目标,中国 10 大银行在列

据创宇盾( Creation Shield, www.365cyd.com )安全舆情监控平台最新监测显示,匿名者官网之一的 anonymousglobaloperations[.]blogspot[.]it  发布了“ 2017 年世界最大银行” 57 个目标列表,内容包含银行名称、市值、网站、IP 以及端口,其中涉及我国的 10 个银行列表有:工商银行、建设银行、农业银行、中国银行、招商银行、交通银行、浦发银行、民生银行、兴业银行以及中信银行。 HackerNews.cc 在此再次提醒相关部门请警惕来自匿名者 #OpIcarus 行动的攻击行为。我们将为您持续关注并提供最新报道。  

预警 | Apache Struts2 S2-052 又现高危远程代码执行漏洞(CVE-2017-9805)

据 HackerNews.cc 5 日消息,Apache Struts 发布最新公告指出 Struts2 中的 REST 插件存在远程代码执行漏洞(CVE-2017-9805),在使用带有 XStream 的 Struts REST 插件处理 XML 数据包进行反序列化操作时,没有任何类型过滤而导致远程代码执行。目前官方认定漏洞危险等级为【高危】。 影响范围: ○ Struts 2.5 – Struts 2.5.12 ** 自 2008 年以来的所有版本 Struts2 都会受到影响 解决方案: ○ 目前网络上已有 POC (未经验证)公布,请用户尽快升级 Apache Struts 版本至 2.5.13; ○  不使用 Struts REST插件时将其删除,或仅限于服务器普通页面和 JSONs: <constant name=”struts.action.extension” value=”xhtml,,json” /> ○  目前经知道创宇安全团队进一步分析和确认,创宇盾 无需升级即可拦截针对 Struct2 S2-052 漏洞的攻击 相关信息: ○ 官方发布的详细内容:https://cwiki.apache.org/confluence/display/WW/S2-052 ○ SeeBug 漏洞报告:https://www.seebug.org/vuldb/ssvid-96420

攻击预警 | 台湾国立成功大学(NCKU)网站数据库疑遭黑客入侵,请警惕匿名者攻击行动

据创宇盾( www.365cyd.com )安全舆情监控平台最新监测显示,北京时间 18 日 16:42 黑客组织“匿名者” Twitter 账号 @Scode404 发布消息称已成功入侵台湾国立成功大学(ncku.edu.tw)数据库,并通过 pastebin 平台公开部分数据和注入点。 截止 18 日 18 :00, 台湾国立成功大学方面尚未对此进行回应。 据创宇盾监控显示近日“匿名者”开始攻击我国网站,此前该黑客组织已成功入侵韩国、以色列等国多家政府、金融机构数据库,实力不容小觑。HackerNews.cc 提醒大家警惕来自境内外的黑客攻击。 匿名者 Twitter 发布的消息 HackerNews.cc 将为您持续关注并提供最新报道。

攻击预警 | 台湾银行企业工会疑遭拖库,请警惕匿名者攻击行动

据创宇盾( www.365cyd.com )安全舆情监控平台最新监测显示,北京时间 18 日 14:28 黑客组织“匿名者” Twitter 账号 @Scode404 发布消息称已成功入侵台湾银行企业工会(www.botu.org.tw)数据库,并通过 pastebin 平台公开部分数据。 截止 18 日 15 :00,台湾银行企业工会官方尚未对此进行回应。 据创宇盾监控显示近日黑客组织“匿名者”以 #OpIsrael 之名开始攻击我国网站,此前该黑客组织已成功入侵韩国、以色列等国多家政府、金融机构数据库,实力不容小觑。HackerNews.cc 提醒大家警惕来自境内外的黑客攻击。 匿名者 Twitter 发布的消息 HackerNews.cc 将为您持续关注并提供最新报道。

攻击预警 | 微软(以色列)博客网站疑被拖库,请警惕匿名者攻击行动

据创宇盾( www.365cyd.com )安全舆情监控平台最新监测显示,北京时间 17 日 21:49 黑客组织“匿名者” Twitter 账号 @AnonGhost07 发布消息称:“已成功入侵微软(以色列)博客网站数据库”,并通过 pastebin 平台公开部分数据。 匿名者 Twitter 发布的消息 截止 18 日 6 :00,微软(以色列)官方尚未对此进行回应。 据创宇盾监控显示近日黑客组织“匿名者”以 #OpIsrael 之名开始攻击我国网站,此前该黑客组织已成功入侵韩国、以色列等国多家政府、金融机构数据库,实力不容小觑。HackerNews.cc 提醒大家警惕来自境内外的黑客攻击。 匿名者通过 pastebin 平台公布的部分微软(以色列)数据库信息 HackerNews.cc 将为您持续关注并提供最新报道。                    

快讯 | 美国网络安全公司 Mandiant 疑遭黑客入侵

据创宇盾( www.365cyd.com )安全舆情监控平台最新监测显示,美国网络安全公司 Mandiant 疑遭黑客入侵,其内部网络以及客户端数据或已暴露。 美国安全公司 Mandiant 成立于 2004 年,是具有军方背景的网络安全公司,主要提供安全服务及产品包括威胁侦测与响应、威胁情报分析以及安全咨询服务等。2013 年 2 月因发布一份揭秘“中国网络间谍部队”的报告逐渐引起国内安全界的关注。2013 年底 FireEye 以 10 亿美元收购 Mandiant 公司。 31 日下午自称 31337 的黑客组织在线发表声明称,自 2016 年起通过入侵 Mandiant 公司一位高级威胁情报分析工程师电脑获取了大量内部资料,其中包含内部邮件数据、网络拓扑结构、以色列国防军的威胁情报概况和公司工作表,还有 Mandiant、FireEye 的部分内部文件,该声明显示黑客组织控制这名工程师的电脑已长达一年,甚至对其进行 GPS 跟踪。 Mandiant 公司威胁情报工程师 Adi Peretz 的 Linkedin 账户被黑 黑客组织在声明中透露其手中可能还握有安全公司的“最高机密文件”、以及(可能是 FireEye 核心分析实验室的)网络拓扑图,并表示之后将单独公布 Mandiant 内部网络及其客户数据。 黑客组织通过 pastebin 发布的声明 HackerNews.cc 将为您持续关注并提供最新报道。

DarkHotel APT 再次回归,利用新技术针对朝鲜政府雇员开展间谍活动

据安全公司 Bitdefender 最新消息,DarkHotel APT 组织再次回归并以新型技术针对朝鲜政府雇员开展间谍活动。研究人员认为 DarkHotel APT 成员主要是韩国人,目前在朝鲜、俄罗斯、韩国、日本、孟加拉国、泰国、台湾、中国、美国、印度等多个国家均有其受害者。 2014 年 11 月,卡巴斯基实验室首次发现了 Darkhotel APT 间谍活动,该组织主要针对出国旅游的公司高管。研究人员注意到这一组织只会针对目标入侵一次,绝不重复行动,此前目标包括来自美国和亚洲的首席执行官、高级副总裁、顶尖研发工程师、销售和营销主管等。 调查显示,DarkHotel APT 黑客利用多种方式攻击目标系统,并将其用作攻击点对点(P2P)文件共享网站和酒店 Wi-Fi。而近期,Darkhotel APT 被发现利用此前意大利黑客公司 Hacking Team 泄露的漏洞尝试新型攻击方法。 DarkHotel APT 最近一次行动中通过被称为“ Inexsmar ” 的攻击手段,对政治人物进行了针对性入侵。“这种攻击使用新的 payload 传递机制而非完整的 0-day 开发技术,并以社会工程学与相对复杂的木马混合感染其选定的受害者群体”。通过网络钓鱼邮件传播木马下载程序,恶意代码则用于收集受感染设备上的信息,并将其发送回攻击者服务器。若受感染的系统满足特定要求,则会被伪装成 OpenSSL 组件的第一级下载器取回。在这个阶段,恶意代码打开了一个题为“平壤电子邮件列表 – 2016 年 9 月”的文件,其中包含平壤各组织的电子邮件联系人。如果要求不满足则攻击停止,否则传送另一个 payload。 不幸的是,在调查时由于 C&C 服务器处于脱机状态,研究人员无法收集有关攻击的进一步细节。与利用漏洞相比,多级下载器的使用意味着技术上的重要改进,因为它能够允许攻击者进一步优化恶意软件的分发和更新。 原作者:Pierluigi Paganini,编译:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

攻击预警:韩国出入境网站 hikorea 疑遭数据库注入攻击,泄露在韩外国人身份信息

据创宇盾( www.365cyd.com )安全舆情监控平台最新监测显示,匿名者组织活跃账号 @Scode404 今晨发布消息已对包括韩国出入境网站(hikorea.go.kr) 、韩国教育部所属全国教育课程中心(ncic.go.kr)在内的多个政府网站进行数据库注入攻击,并通过 pastebin 公布了详细注入点,存在巨大的被拖库风险。 Hi Korea( www.hikorea.go.kr ) 是由法务部、知识经济部、劳动部共同组建的为查询大韩民国信息的外国人提供其所需的投资、雇佣、居住、生活便利等信息的一个窗口,是大韩民国为外国人服务的电子政府( Government for Foreigner )的代表性网站。 HackerNews.cc 在此提醒所有读者,尤其是曾在韩国申请居住证的我国同胞注意近期可能遇到的信息泄露、钓鱼欺诈风险。我们将为您持续关注并提供最新情报。