腾讯玄武实验室安全动态推送(Tencent Xuanwu Lab Security Daily News)

腾讯玄武实验室安全动态推送

Tencent Xuanwu Lab Security Daily News

2017/08/04

[ Android ] Android 的 A/B (Seamless) 无缝热补丁更新技术介绍： https://source.android.com/devices/tech/ota/ab_updates
[ Backdoor ] 利用 Gmail 作为 C&C 通信机制的 Gcat/Gdog 后门介绍： https://pentestlab.blog/2017/08/03/command-and-control-gmail/
[ Defend ] Cloak - 利用基于硬件的事务型内存方法，实现对基于缓存的侧信道攻击的防护： https://gruss.cc/files/cloak.pdf
[ iOS ] CVE-2017-7047 Triple_Fetch漏洞与利用技术分析，科恩实验室陈良对 Ian Beer CVE-2017-7047 利用代码的分析。这是个 XPC 进程间通信对象序列化相关的共享内存 Double Fetch 漏洞，服务端读的时候客户端可以修改。文章中详细分析了 Ian Beer 如何利用 Objective-c NSXPC 接口将 Double Fetch 一步步转化成代码执行的： http://keenlab.tencent.com/zh/2017/08/02/CVE-2017-7047-Triple-Fetch-bug-and-vulnerability-analysis/
[ IoTDevice ] 由 Loftek 和 VStartcam 生产的两款消费级网络摄像头存在大量漏洞： https://threatpost.com/two-popular-ip-cameras-riddled-with-vulnerabilities/127172/
[ Linux ] Red Hat Enterprise Linux 7.4 版本开始集成 USBGuard 软件框架，利用黑白名单等技术抵御流氓 USB 设备的攻击： http://rhelblog.redhat.com/2017/08/03/built-in-protection-against-usb-security-attacks-with-usbguard/
[ Malware ] 超过 20 款的 BankBot 移动端恶意软件进驻 Google Play 商店： https://securityintelligence.com/after-big-takedown-efforts-20-more-bankbot-mobile-malware-apps-make-it-into-google-play/
[ Network ] 如何使用 Bro 2.51 在 ESXi 6.5 的 Ubuntu 16.04.2 虚拟机上监控网络流量： https://www.blackhillsinfosec.com/monitor-network-traffic-virtualized-bro-2-51-ubuntu-16-04-2-esxi-6-5/
[ Others ] 当代网络攻击中的隐写术介绍： https://securelist.com/steganography-in-contemporary-cyberattacks/79276/
[ Others ] 3亿6千万可免费下载的被黑密码使用方式介绍： https://www.troyhunt.com/introducing-306-million-freely-downloadable-pwned-passwords/
[ Tools ] koadic - 基于 JScript 实现的 Windows Rootkit，适用于 Windows 全版本: https://github.com/zerosum0x0/koadic
[ Tools ] 3652fa - 绕过 Office 365 多因素认证抓取密码： https://github.com/technion/3652fa
[ Tools ] WikiLeaks 昨天公开了 CIA 的一个新项目- Dumbo，Dumbo 会挂起所有摄像头、麦克风等设备相关的进程，同时它也能篡改设备的数据记录： https://wikileaks.org/vault7/#Dumbo
[ Tools ] ZDI 之前分析了一个 VMware drag-and-drop 相关的 UAF 漏洞，这个漏洞通过一个叫做 "Backdoor" 的 RPC 接口触发，今天这篇 Blog ZDI 写了一个工具用于 Backdoor 接口的辅助分析、Fuzz 和 Exploit 开发： https://www.zerodayinitiative.com/blog/2017/8/1/pythonizing-the-vmware-backdoor
[ Windows ] Windows Defender ATP 平台引入机器学习技术实现基于行为的入侵检测： https://blogs.technet.microsoft.com/mmpc/2017/08/03/windows-defender-atp-machine-learning-detecting-new-and-unusual-breach-activity/?platform=hootsuite
[ Windows ] 通过向 Windows Scripting Host (WSH) 已签名脚本中注入代码，绕过 Windows 对 WSH 文件签名才能执行的保护： https://enigma0x3.net/2017/08/03/wsh-injection-a-case-study/

[ Android ] 这两天 BlackHat 新公开了几篇议题的 PPT，其中有一篇介绍 Android 在降低攻击界面方面的努力及成果，包括 Android N Mediaserver、Android O Webview、SELinux、Linux 内核等： https://www.blackhat.com/docs/us-17/thursday/us-17-Kralevich-Honey-I-Shrunk-The-Attack-Surface-Adventures-In-Android-Security-Hardening.pdf
[ Industry News ] 阻击 WannaCry 病毒拯救了世界，他却被抓了: https://view.inews.qq.com/a/TEC2017080400832505
[ IoTDevice ] 嵌入式设备硬件PCB级逆向： http://mp.weixin.qq.com/s/aaV_ZwBcXCkO5s7pplV6xQ
[ Linux ] Green Hills的 Dan O’Dowd 于 2004 年发表的名为 Linux in Defense 的系列文章通过一系列的分析试图向公众解释为什么 Linux 内核不适合一些场景特别是国家防御，来自 hardenedlinux 的新浪微博： http://weibo.com/5654890146/FfnMWoK3v?type=comment
[ Malware ] 恶性病毒Kuzzle“攻破”安全厂商白名单用户重装系统也难以清除: http://mp.weixin.qq.com/s/wXrOAtkFIgGfnJgVXnCh7Q
[ Malware ] “沙虫”二代来袭，office全线沦陷: http://mp.weixin.qq.com/s/i1GnrfVn8Bf6zk4VRPpenQ
[ Virtualization ] Project Zero 昨天公开了两个 VirtualBox 的 DLL UNC 路径检查绕过导致的本地提权漏洞，VirtualBox: Windows Process DLL UNC Path Signature Bypass EoP： https://bugs.chromium.org/p/project-zero/issues/detail?id=1296 https://bugs.chromium.org/p/project-zero/issues/detail?id=1257
[ Vulnerability ] DotNetNuke 任意代码执行漏洞 (CVE-2017-9822) 分析预警： http://paper.seebug.org/365/
[ Windows ] James Forshaw 对 Windows 10 S Device Guard 的分析（四），InstallUtil 的滥用： https://tyranidslair.blogspot.com/2017/08/dg-on-windows-10-s-abusing-installutil.html

2017/08/04