Aggregator

A vulnerability has been found in Web Directory Pro and classified as critical. This vulnerability affects unknown code of the component Web Directory. The manipulation leads to improper privilege management. This vulnerability was named CVE-2006-5905. The attack can be initiated remotely. Furthermore, there is an exploit available.

Cannot GET /event/ugv5b5QBq771q5E5FURy

今天给大家转发“东方锐眼”发布的《泰缅边境有组织犯罪研究报告》。​

环境异常 当前环境异常，完成验证后即可继续访问。 去验证

A vulnerability was found in GNU gv 3.5.8/3.6.0/3.6.1/3.6.2. It has been classified as critical. Affected is the function ps_gettext of the file ps.c. The manipulation leads to memory corruption. This vulnerability is traded as CVE-2006-5864. It is possible to launch the attack remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Apache OpenOffice 2.0.4 and classified as critical. This issue affects some unknown processing of the component WMF/EMF File Handler. The manipulation leads to numeric error. The identification of this vulnerability is CVE-2006-5870. The attack may be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Adobe Acrobat. It has been classified as critical. Affected is an unknown function of the file PDF Document Parser. The manipulation leads to improper resource management. This vulnerability is traded as CVE-2006-5857. It is possible to launch the attack remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

HackerNews 编译，转载请注明出处： 网络安全研究人员详细披露了一起攻击事件，攻击者利用基于Python的后门程序持续访问受感染终端，随后利用这一访问权限在整个目标网络中部署RansomHub勒索软件。 据GuidePoint Security称，攻击者最初通过一款名为SocGholish（又称FakeUpdates）的JavaScript恶意软件获得访问权限，该软件通过诱骗用户下载假冒的网页浏览器更新进行传播。 此类攻击通常涉及利用黑帽搜索引擎优化（SEO）技术，将受害者重定向到看似合法但已被感染的网站。SocGholish执行后，会与攻击者控制的服务器建立联系，以获取其他有效载荷。 网络安全 去年，SocGholish攻击活动针对依赖过时版本SEO插件（如Yoast（CVE-2024-4984，CVSS评分：6.4）和Rank Math PRO（CVE-2024-3665，CVSS评分：6.4））的WordPress网站进行初步渗透。 在GuidePoint Security调查的事件中，SocGholish感染约20分钟后，基于Python的后门程序被植入。攻击者随后通过RDP会话在局域网内横向移动，将该后门程序传播至同一网络中的其他计算机。 安全研究员Andrew Nelson表示：“该脚本作为反向代理，连接到硬编码的IP地址。脚本通过初始命令与控制（C2）握手后，将建立一个主要基于SOCKS5协议的隧道。” “该隧道允许攻击者利用受害系统作为代理，在受感染网络中横向移动。” 自2023年12月初以来，该Python脚本（ReliaQuest于2024年2月记录了其早期版本）已在野外被检测到，并进行了旨在改进隐匿技术的“表面级更改”。 GuidePoint还指出，解码后的脚本既精致又编写良好，这表明恶意软件作者要么对维护高度可读和可测试的Python代码一丝不苟，要么依赖于人工智能（AI）工具来辅助编码。 Nelson补充道：“除了局部变量隐匿外，代码被分解为具有高度描述性方法名称和变量的不同类。每个方法还具有高度错误处理和详细的调试信息。” 基于Python的后门程序远非勒索软件攻击中检测到的唯一前驱程序。本月早些时候，Halcyon指出，在勒索软件部署之前部署的其他工具包括： 使用EDRSilencer和Backstab禁用端点检测和响应（EDR）解决方案 使用LaZagne窃取凭据 ——使用MailBruter暴力破解凭据以攻击电子邮件账户 ——使用Sirefef和Mediyes维持隐蔽访问并传递其他有效载荷 此外，勒索软件攻击活动还瞄准了亚马逊S3存储桶，利用亚马逊网络服务（AWS）的服务器端加密（客户提供的密钥）（SSE-C）对受害者的数据进行加密。这一活动被归因于名为Codefinger的攻击者。 除了在没有其生成的密钥的情况下阻止恢复外，这些攻击还采用紧急勒索策略，通过S3对象生命周期管理API将文件标记为在七天内删除，以迫使受害者付款。 网络安全 Halcyon表示：“Codefinger滥用已公开的具有S3对象读写权限的AWS密钥。通过利用AWS原生服务，他们在无需合作的情况下实现了既安全又无法恢复的加密。” 与此同时，SlashNext表示，其见证了模仿Black Basta勒索软件团伙电子邮件轰炸技术的“快速”钓鱼活动激增，向受害者收件箱发送超过1100封与新闻通讯或付款通知相关的合法邮件。 该公司称：“当人们感到不知所措时，攻击者会通过电话或Microsoft Teams消息乘虚而入，冒充公司技术支持人员提供简单解决方案。” “他们自信地交谈以获得信任，指示用户安装TeamViewer或AnyDesk等远程访问软件。一旦软件安装在设备上，攻击者便悄然潜入。从那里，他们可以传播有害程序或潜入网络的其他区域，为直接访问敏感数据铺平道路。”

error code: 521

VolWeb VolWeb is a digital forensic memory analysis platform that leverages the power of the Volatility 3 framework. It is dedicated to aiding in investigations and incident responses. Objective   The goal of VolWeb...

The post VolWeb: A digital forensic memory analysis platform appeared first on Penetration Testing Tools.

环境异常 当前环境异常，完成验证后即可继续访问。 去验证

#软件资讯 微软宣布调整 Microsoft 365 个人版和家庭版订阅价格，每月上涨 3 美元以反映 AI 工具提供的价值。无论你是否使用 AI 功能都需要为微软买单，为了平息用户愤

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，旨在禁用NT LAN Manager (NTLM) v1的Microsoft Active Directory组策略可通过配置错误被轻易绕过。 Silverfort研究员Dor Segal在与The Hacker News分享的一份报告中表示：“本地应用程序的一个简单配置错误即可覆盖组策略，从而有效抵消了旨在阻止NTLMv1身份验证的组策略。” NTLM是一种仍在广泛使用的机制，特别是在Windows环境中，用于跨网络对用户进行身份验证。该旧版协议因向后兼容性要求而未被删除，但自2024年年中被弃用。 去年年末，Microsoft正式从Windows 11 24H2版本和Windows Server 2025中移除了NTLMv1。虽然NTLMv2引入了新的缓解措施，使得中继攻击更难执行，但该技术仍受到多个安全漏洞的困扰，这些漏洞已被威胁行为者积极利用来访问敏感数据。 利用这些漏洞的目的是迫使受害者对任意端点进行身份验证，或将身份验证信息中继到易受攻击的目标，并代表受害者执行恶意操作。 Segal解释道：“组策略机制是Microsoft在整个网络中禁用NTLMv1的解决方案。LMCompatibilityLevel注册表项可阻止域控制器评估NTLMv1消息，并在使用NTLMv1进行身份验证时返回错误密码错误（0xC000006A）。” 然而，Silverfort的调查发现，通过利用Netlogon远程协议（MS-NRPC）中的一项设置，仍有可能绕过组策略并使用NTLMv1身份验证。 具体而言，它利用了名为NETLOGON_LOGON_IDENTITY_INFO的数据结构，该结构包含一个名为ParameterControl的字段，该字段又具有一个配置选项，允许“在仅允许NTLMv2（NTLM）的情况下使用NTLMv1身份验证（MS-NLMP）”。 Segal表示：“这项研究表明，本地应用程序可以被配置为启用NTLMv1，从而抵消在Active Directory中设置的组策略LAN Manager身份验证级别的最高级别。” “这意味着，组织认为通过设置此组策略是在做正确的事，但实际上仍被配置错误的应用程序绕过。” 为减轻NTLMv1带来的风险，必须在域中为所有NTLM身份验证启用审核日志，并留意请求客户端使用NTLMv1消息的易受攻击的应用程序。当然，还建议组织保持其系统更新。 此次发现之前，安全研究人员Haifei Li曾报告了一项在野外发现的PDF工件中的“零日行为”，在某些条件下，使用Adobe Reader或Foxit PDF Reader打开这些工件可能会泄露本地net-NTLM信息。Foxit Software已在Windows的2024.4版本中解决了此问题。 此次披露之际，HN Security研究员Alessandro Iandoli还详细介绍了如何绕过Windows 11（24H2版本之前）中的各种安全功能，从而在内核级别实现任意代码执行。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

error code: 521

一、问题近期我们运维同事接到线上LB（负载均衡）服务内存报警，运维同事反馈说LB集群有部分机器的内存使用率超过80%，有的甚至超过90%，而且内存使用率还再不停的增长。接到内存报警的消息，让整个团队都

总结部分中一些内容来源于《深入理解Linux内核》，一些内容根据个人理解写出的，有不对地方欢迎指正。

本期为大家分享“N0tfound”战队和“红龙”战队的解题报告。

本期为大家分享“N0tfound”战队和“红龙”战队的解题报告。

2024年11月28日，DataCon2024大数据安全分析竞赛落下帷幕。来自武汉大学的“N0tfound”战队荣获网络黑产分析赛道冠军，来自复旦大学的“红龙”战队荣获网络黑产分析赛道亚军，两支战队在