腾讯玄武实验室安全动态推送(Tencent Xuanwu Lab Security Daily News)

腾讯玄武实验室安全动态推送

Tencent Xuanwu Lab Security Daily News

2017/07/14

[ Android ] 昨天 WikiLeaks 新公开了一个 CIA 的 Android 项目 - Highrise，Highrise 是一个短信转发 APP，用户发送和接收的短信都会转发至外部服务器： https://wikileaks.org/vault7/ https://www.bleepingcomputer.com/news/security/vault-7-cia-developed-android-malware-that-works-as-an-sms-proxy/
[ Detect ] Stuxnet 攻击中，USB 设备被用于建立了一个隐身网络，这篇 Paper 作者研究如何检测此类看不见的网络： https://www.exploit-db.com/docs/42318.pdf
[ macOS ] 用 Metasploit 生成可以 Bypass macOS 版本 Avast 12.7 的 Payload： https://astr0baby.wordpress.com/2017/07/13/bypassing-antivirus-on-osx-10-11-with-metasploit-avast/
[ MalwareAnalysis ] 恶意软件内嵌正常应用的情况越来越多，MalwareBytes 这篇 Blog 介绍的是某款恶意软件对 ffmpeg 的滥用： https://blog.malwarebytes.com/threat-analysis/2017/07/malware-abusing-ffmpeg/
[ Mobile ] BOOTSTOMP - 手机设备的 Bootloaders 是信任链启动过程中的重要组件，但 Bootloader 实现本身可能存在漏洞，同时很多验证功能由于一些原因也是可以配置禁用的。这篇 Paper 作者对 4 个主流厂商的 Bootloader 的安全性进行分析： http://cs.ucsb.edu/~yanick/publications/2017_sec_bootstomp.pdf
[ Others ] 量子计算简史： https://www.doc.ic.ac.uk/~nd/surprise_97/journal/vol4/spb3/
[ Pentest ] Attacking SQL Server CLR Assemblies，攻击 SQL Server CLR 字节码，如何加载一个自己的 CLR DLL，实现 SQL Server 内的提权： https://blog.netspi.com/attacking-sql-server-clr-assemblies/
[ Pentest ] 本文作者发现 CVE-2017-7308 漏洞利用成功后无法连接网络，于是给出了解决方法： https://www.coresecurity.com/blog/solving-post-exploitation-issue-cve-2017-7308
[ SecurityAdvisory ] Apache httpd 2.4 版本漏洞修复一览表： https://httpd.apache.org/security/vulnerabilities_24.html
[ Tools ] ACLight - 用于寻找域中高权限账户和隐藏管理员的 Powershell 脚本： https://github.com/CyberArkLabs/ACLight
[ Tools ] Intel ME 11.x Firmware Images Unpacker： https://github.com/ptresearch/unME11
[ Tools ] 一步一步实现一个简易包管理系统： https://yarnpkg.com/blog/2017/07/11/lets-dev-a-package-manager/
[ Tools ] Insinuator 公开了一个 Rekall 内存取证分析框架的 Glibc 堆分析插件： https://insinuator.net/2017/07/release-of-glibc-heap-analysis-plugins-for-rekall/
[ Windows ] 微软对 ShadowBrokers 公开的 Eternal Synergy SMBv1 Exploit 的分析（CVE-2017-0143）： https://blogs.technet.microsoft.com/srd/2017/07/13/eternal-synergy-exploit-analysis/
[ Windows ] Win10 上的系统调用方法过滤： http://redplait.blogspot.com/2017/07/win32k-calls-filtering-on-w10.html?m=1
[ Windows ] Windows: Bad Fix for COM Session Moniker EoP（CVE-2017-0298）： https://bugs.chromium.org/p/project-zero/issues/detail?id=1224

[ Vulnerability ] Samba 高危漏洞预警：Orpheus' Lyre mutual authentication validation bypass(CVE-2017-11103): https://www.samba.org/samba/security/CVE-2017-11103.html
[ Vulnerability ] Nginx range 过滤器整形溢出漏洞 (CVE–2017–7529)预警分析，来自 360 网络安全响应中心： https://cert.360.cn/detailnews.html?id=b879782fbad4a7f773b6c18490d67ac7
[ Windows ] Windows Defender ATP 对跨进程注入行为的检测： https://blogs.technet.microsoft.com/mmpc/2017/07/12/detecting-stealthier-cross-process-injection-techniques-with-windows-defender-atp-process-hollowing-and-atom-bombing/?platform=hootsuite

2017/07/14