腾讯玄武实验室安全动态推送(Tencent Xuanwu Lab Security Daily News)

腾讯玄武实验室安全动态推送

Tencent Xuanwu Lab Security Daily News

2017/11/14

[ Backdoor ] 从 PE 文件结构角度出发，如何手动植入后门： http://www.abatchy.com/2017/05/introduction-to-manual-backdooring_24.html
[ Linux ] Linux 系统上存在基础认证的 x86_64 TCP bind shellcode： https://pentesterslife.blog/2017/11/13/x86_64-reverse-tcp-bind-shell-with-basic-authentication-on-linux-systems/
[ Malware ] 新型木马 IcedID 将目标瞄准美国金融机构： https://threatpost.com/new-icedid-trojan-targets-us-banks/128851/
[ Network ] IPv4 地址的几种混淆表示方式： https://twitter.com/i/web/status/928584447292858368
[ Others ] Cisco Talos 团队披露了 Foscam C1 Indoor HD Cameras 多个漏洞（CVE-2017-2854、CVE-2017-2855、CVE-2017-2856、CVE-2017-2857）： http://blog.talosintelligence.com/2017/11/foscam-multiple-vulns.html
[ Others ] osquery 是 Facebook 开源的一款基于 SQL 的操作系统检测和监控框架。前两天推送过一篇《各个团队都是如何使用 osquery 的》。今天 Palantir 团队这篇 Blog 介绍如何部署和配置 osquery 框架： https://medium.com/@palantir/osquery-across-the-enterprise-3c3c9d13ec55
[ Popular Software ] VMware RPC 接口的漏洞挖掘和利用，来自 ZDI 研究员在 RuxCON 会议的演讲： https://ruxcon.org.au/assets/2017/slides/ForTheGreaterGood.pdf
[ Tools ] ESP8266 兼容的远红外控制器（IR Blaster）： https://github.com/mdhiggins/ESP8266-HTTP-IR-Blaster/
[ Tools ] EvilURL - 用于 IDN 同形攻击的 Unicode 网络钓鱼域名生成器： https://github.com/UndeadSec/EvilURL
[ Tools ] trevorc2 - 伪装合法的网站用于隐藏 C/S 通信的后门： https://github.com/trustedsec/trevorc2
[ Vulnerability ] OpenSSH 7.6 之前版本的 sftp-server 实现中存在一个远程 'readonly' 模式绕过漏洞： https://xorl.wordpress.com/2017/11/13/openssh-sftp-server-remote-security-vulnerability/
[ Web Security ] Android 5.0 版本引入了 MediaProjection Service。基于 MediaProjection 开发者可以实现对屏幕内容和系统音频的抓取，为保护用户，MediaProjection 使用时需要弹框得到用户允许。 MWR Labs 这篇 Paper 介绍如何用 UI 重叠的技巧欺骗用户点击确认： https://labs.mwrinfosecurity.com/assets/BlogFiles/mwri-android-MediaProjection-tapjacking-advisory-2017-11-13.pdf
[ Windows ] 使用 Windows Defender ATP 检查反射型 DLL 加载： https://blogs.technet.microsoft.com/mmpc/2017/11/13/detecting-reflective-dll-loading-with-windows-defender-atp/?ocid=cx-twitter-mmpc
[ Windows ] 《Make LoadLibrary Great Again》，来自绿盟科技张云海在 POC 2017 会议的演讲。介绍了如何 Bypass 各种缓解措施，实现 Windows 10 系统中 LoadLibrary 的再次利用： https://github.com/f0rgetting/Presentations/blob/master/POC%202017%20-%20Make%20LoadLibrary%20Great%20Again.pdf
[ Windows ] Windows 系统中的安全软件的 Bypass 策略。从特征检测、行为检测、信誉评估检测三个方向讨论对应的 Bypass 方法： https://artofpwn.com/spookflare.html

[ Fuzzing ] Neural fuzzing: applying DNN to software security testing： https://www.microsoft.com/en-us/research/blog/neural-fuzzing/
[ Fuzzing ] Learn&Fuzz: Machine Learning for Input Fuzzing（paper）： https://arxiv.org/pdf/1701.07232.pdf
[ Linux ] CVE-2017-5123 漏洞利用全攻略： https://paper.seebug.org/451/
[ Popular Software ] Wordpress <= 4.8.2 SQL Injection POC： http://blog.vulspy.com/2017/11/09/Wordpress-4-8-2-SQL-Injection-POC/
[ SecurityProduct ] IKARUS anti.virus 反病毒软件中的 9 个漏洞： http://www.greyhathacker.net/?p=995
[ Tools ] PowerKrabsEtw - 用于实时 ETW(事件日志) Trace 的 PowerShell 模块，基于微软的 krabsetw 库实现： https://github.com/zacbrown/PowerKrabsEtw
[ Tools ] 如何制作一个低成本的间谍植入器件： https://ha.cking.ch/s8_data_line_locator/
[ Vulnerability ] malwarebenchmark再爆0day漏洞：CVE-2017-15806： https://mp.weixin.qq.com/s/jHDR6adhKB5mPYOd1KMZ1w

2017/11/14