腾讯玄武实验室安全动态推送(Tencent Xuanwu Lab Security Daily News)

腾讯玄武实验室安全动态推送

Tencent Xuanwu Lab Security Daily News

2017/10/31

[ Industry News ] Google Bug Tracker 存在漏洞可越权查看未修复漏洞的报告： https://threatpost.com/flaw-in-google-bug-tracker-exposed-reports-about-unpatched-vulnerabilities/128687 技术分析： https://medium.com/@alex.birsan/messing-with-the-google-buganizer-system-for-15-600-in-bounties-58f86cc9f9a5
[ Malware ] 恶意谷歌浏览器插件窃取所有用户 POST 的数据： https://threatpost.com/malicious-chrome-extension-steals-data-posted-to-any-website/128680/
[ MalwareAnalysis ] 卡巴斯基实验室对 Gaza cybergang 团伙2017年的行动调查报告： https://securelist.com/gaza-cybergang-updated-2017-activity/82765/
[ Mobile ] 利用 YateBTS 和 BladeRF 搭建一个 IMSI catcher： http://www.delaat.net/rp/2015-2016/p86/report.pdf 之前还推送过一个类似的："用 Nuand BladeRF、树莓派、YatesBTS 一步步搭建一个便携式 GSM 基站"： https://blog.strcpy.info/2016/04/21/building-a-portable-gsm-bts-using-bladerf-raspberry-and-yatebts-the-definitive-guide
[ Others ] BloodHound 和 Sharphound 渗透测试框架遇到的机器账户密码问题： https://www.secarma.co.uk/labs/using-machine-account-passwords-during-an-engagement/
[ Pentest ] A Guide to Attacking Domain Trusts,微软通过 Domain Trusts 给用户提供了在不同域之间共享服务的能力。这篇 Blog 介绍其中的安全性问题: http://www.harmj0y.net/blog/redteaming/a-guide-to-attacking-domain-trusts/
[ Tools ] Udacity 学习平台上的一个自动驾驶课程 Demo：利用机器学习和计算机视觉技术检测车辆： https://github.com/tatsuyah/vehicle-detection
[ Tools ] Office-DDE-Payloads - 生成嵌入 DDE 的恶意 Office 文档的脚本： https://github.com/0xdeadbeefJERKY/Office-DDE-Payloads
[ Tools ] FireEye 开源了一个密码破解管理平台：1） https://www.fireeye.com/blog/threat-research/2017/10/gocrack-managed-password-cracking-tool.html 2） https://github.com/fireeye/gocrack

[ Conference ] ekoparty security conference 视频： https://www.youtube.com/channel/UCiVNwNkoMapaeyr9o6XEonA
[ Industry News ] Google reCaptcha 验证服务再次被攻破： https://threatpost.com/googles-recaptcha-cracked-again/128690/
[ Industry News ] T-Mobile API 错误导致用户账户信息泄漏：https://www.scmagazine.com/hackers-may-have-exploited-t-mobile-api-to-steal-customer-data/article/703493/
[ Malware ] 手机挖矿恶意软件再度'回归' Google play： http://blog.trendmicro.com/trendlabs-security-intelligence/coin-miner-mobile-malware-returns-hits-google-play/
[ MalwareAnalysis ] Paloalto 利用机器学习检测恶意 js： https://researchcenter.paloaltonetworks.com/2017/10/engineers-work-automatic-static-detection-malicious-javascript/
[ SecurityReport ] VirtualApp技术黑产利用研究报告： http://www.freebuf.com/articles/paper/152091.html
[ Tools ] Seccubus - 漏洞扫描跟踪平台，每次计算扫描结果与上次的差异。支持大部分第三方扫描器： https://www.seccubus.com/ https://github.com/schubergphilis/Seccubus
[ Tools ] IDA Pro 全面切换到 64 位架构之后 Python 环境常见的几个问题： http://www.hexblog.com/?p=1132

2017/10/31