Aggregator

背景在某次内部Red Team测试中，通过漏洞挖掘发现浏览器应用存在逃逸漏洞：用户可通过浏览器打开文件夹并任意调用cmd、powershell等程序执行命令。最终通过使用AppLocker对用户进程访问进行控制，成功修复该漏洞。而该文就是基于该种攻击场景给出的修复方式。漏洞情景任意浏览器即可进行测试1.堡垒机/云桌面提供浏览器供用户访问特定web系统，访问界面与本地打开浏览器类似。2.通过右上角三

OilRig（又称 APT34 或 Helix Kitten）以针对中东地区关键部门的网络间谍活动而闻名，它利用漏洞和先进技术实现其地缘政治目标，行动精准。 Picus Labs 在其最新报告中深入探讨了这一伊朗国家支持的行为体的行动。报告重点介绍了 OilRig 的演变过程、历史活动及其使用的先进战术。 OilRig 于 2016 年出现在网络威胁领域，但也有证据表明其早期活动。该组织最初通过鱼叉式网络钓鱼活动和部署 Helminth 后门以沙特阿拉伯的组织为目标，并很快显示出长期存在和隐蔽的能力。报告指出：“OilRig 通过战略性地使用 Helminth 后门而崭露头角，这是一种先进的恶意软件工具，能够隐蔽、持续地访问目标系统。” 多年来，OilRig 已将其触角伸向整个中东地区，以政府实体、能源部门和技术提供商为目标。其工具也在不断演变，从早期的 Helminth 恶意软件到 QUADAGENT 和 ISMAgent 等更复杂的有效载荷。这些后门加上 Invoke-Obfuscation 等开源混淆工具，反映了该组织的适应能力和技术专长。 报告概述了 OilRig 如何将零日漏洞和最近披露的漏洞纳入其武器库，包括利用 CVE-2024-30088 漏洞。这个 Windows 内核漏洞允许 OilRig 获得系统级访问权限，使其能够部署定制的 STEALHOOK 后门，进行长时间监控和数据外渗。 OilRig 还针对供应链，利用技术提供商内被入侵的账户发起更广泛的攻击。2018 年的 QUADAGENT 活动就体现了这一策略，它利用基于 PowerShell 的恶意软件渗透政府和企业网络，而且往往不被发现。 Picus Labs 通过 MITRE ATT&CK 框架详细概述了 OilRig 的战术、技术和程序（TTPs）。其中包括： 初始访问： OilRig 擅长鱼叉式网络钓鱼活动，通常伪装成 LinkedIn 等平台上的可信联系人来获取凭证。 执行： 该组织依靠 PowerShell 和其他脚本工具在被入侵环境中隐蔽执行命令。 持久性： 定时任务和混淆有效载荷可确保持续访问，即使在部分修复工作完成后也是如此。 防御规避： 高级混淆技术（包括 base64 编码和调用混淆）允许 OilRig 绕过检测系统。 凭证访问： Mimikatz 和 LaZagne 等工具可从密码存储和内存转储中提取明文凭证。 渗透： OilRig 采用 FTP 和 DNS 隧道等替代协议提取敏感数据，同时避开监控系统。 Picus Labs 的报告全面概述了 OilRig 的 TTP，并将其映射到 MITRE ATT&CK 框架。这一详细分析为寻求抵御这一持续性威胁的组织提供了宝贵的见解。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303035 封面来源于网络，如有侵权请联系删除

error code: 521

A vulnerability has been found in Sun Solaris 2.3/2.4/2.5/2.5.1/2.6 and classified as problematic. This vulnerability affects unknown code of the component Ping Command. The manipulation of the argument -i leads to denial of service. This vulnerability was named CVE-1999-1423. Attacking locally is a requirement. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

根据 Lookout 最近发布的一份报告，随着网络犯罪团伙转变策略，在攻击的早期阶段将移动设备作为攻击目标，移动威胁继续以惊人的速度增长。 该报告重点分析了以企业为重点的凭证窃取和网络钓鱼尝试的季度环比增长 17%、恶意应用程序检测的季度环比增长 32%，以及 iOS 设备比 Android 设备更容易受到网络钓鱼攻击的趋势。 与中国和俄罗斯 APT 有关的新型移动监控工具 在一系列新发现的威胁中，研究人员披露了由中国和俄罗斯的高级持续威胁（APT）组织（包括 Gamaredon 等）开发的一系列移动监控软件工具。 在企业移动设备上检测到的恶意应用程序超过 106,000 个，从特洛伊木马恶意软件到复杂的间谍软件，种类繁多。 在全球范围内，移动网络钓鱼和恶意网页内容已成为商业电子邮件泄露 (BEC)、MFA 绕过攻击、高管假冒和漏洞利用的代名词。这些攻击通常成本低、回报高，因此已成为现代杀伤链的首选初始步骤。 这种威胁矢量的最新演变是使用高管假冒攻击，这种攻击利用个人的资历和低级员工与生俱来的乐于助人的愿望来提高成功率。攻击者通过制造高度紧急的情况，并利用高管和员工之间的不熟悉，说服员工共享敏感数据、访问钓鱼网页或给他们汇款。 iOS 比 Android 更受企业欢迎，因此 Lookout 观察到，在 2024 年第三季度的网络钓鱼攻击中，威胁行为者针对 iOS 的攻击频率（18.4%）高于 Android（11.4%）。最常见的设备配置错误包括过时的操作系统、过时的安卓安全补丁级（ASPL）、无设备锁和无加密。 攻击者瞄准移动设备入侵企业云系统 最重要的移动恶意软件系列仍然主要倾向于安卓监控软件。 Lookout 用户遇到的最常见的十大移动浏览器漏洞都会影响基于 Chromium 的浏览器。攻击者特别瞄准这些漏洞，希望用户尚未更新到已打补丁的版本。 除浏览器漏洞外，最常见的五个移动应用程序漏洞涉及社交媒体、消息和身份验证应用程序以及应用程序商店。 随着高级恶意软件的商品化、民族国家移动恶意软件能力的发展以及对以移动为重点的社交工程的严重依赖，当今的企业必须将高级移动威胁防御作为其安全战略的一部分。威胁行为者越来越多地以移动设备为目标，窃取凭证并渗透到企业云中，这种途径被称为 “现代杀伤链”。 “随着网络威胁的不断发展，我们看到越来越多的攻击以移动设备为目标，将其作为进入存放敏感数据的企业云应用程序的门户。”Lookout端点副总裁David Richardson表示：“这一趋势凸显了对先进MTD解决方案的迫切需求，这些解决方案不仅能保护设备，还能保护它们所连接的敏感数据和系统。” 《Lookout移动威胁态势报告》的数据来源于Lookout安全云的人工智能驱动移动数据集，该数据集包含超过2.2亿台设备、3.6亿个应用程序和数十亿个网页项目。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303050 封面来源于网络，如有侵权请联系删除

error code: 521

A vulnerability was found in Remote Clinic 2.0. It has been classified as problematic. This affects an unknown part of the file patients/register-report.php. The manipulation of the argument Symptoms leads to cross site scripting. This vulnerability is uniquely identified as CVE-2021-30034. It is possible to initiate the attack remotely. Furthermore, there is an exploit available.

In 2025, seven trends will shape the future of data and AI, offering advantages for those who see these changes not as challenges but as opportunities to innovate and excel.

The post The future of data and AI: Seven trends shaping 2025 and beyond appeared first on Help Net Security.

A vulnerability classified as problematic has been found in Cisco Collaboration Server 5.0. This affects an unknown part of the file webline/html/admin/wcs/LoginPage.jhtml. The manipulation of the argument dest leads to cross site scripting. This vulnerability is uniquely identified as CVE-2010-0641. It is possible to initiate the attack remotely. Furthermore, there is an exploit available.

权威认证｜梆梆安全顺利通过CCRC“移动互联网应用程序（App）个人信息安全测试”认证 日期：2024年12月27日 阅：67

近日，梆梆安全顺利通过中国网络安全审查认证和市场监管大数据中心（CCRC） “移动互联网应用程序（App）个人 […]

梆梆安全实力入选《API安全技术应用指南（2024版）》十大代表厂商 日期：2024年12月27日 阅：72

近日，国内网络安全领域权威媒体安全牛正式发布《API安全技术应用指南（2024版）》，报告旨在为帮助用户更好地 […]

梆梆安全荣获2024年磐石行动“优秀支持单位”“优秀个人奖”及“磐石之星最具影响力企业” 日期：2024年12月27日 阅：71

近日，上海市通信管理局联合市委网信办、市经信委、市公安局、市教委、普陀区人民政府等单位组织召开“铸网2024” […]

梆梆安全荣获2024广东省数字安全大会“2023-2024年优秀单位”奖 日期：2024年12月27日 阅：66