安全分享 – 第 41 页 – 绿盟科技技术博客

APT34攻击全本分析

2019-04-22伏影实验室APT34, 绿盟科技伏影实验室, 网络攻击, 黑客

2019年4月18日，黑客/黑客组织使用假名Lab Dookhtegan在Telegram频道上出售APT34团伙的工具包，此外还有收集到的受害者数据及工具后端面板内容截图。早在2019年3月中旬，该黑客/黑客组织就已经开始在网络上发布并售卖此套工具包。非常有意思的是，科威特的安全公司CEO发twitter特别强调了这个消息的真实性。

Weblogic CVE-2019-2647等相关XXE漏洞分析

2019-04-19天机实验室CVE-2019-2647, Weblogic漏洞, weblogic漏洞升级, xxe漏洞

背景

按照惯例，Oracle发布了4月份的补丁，详情见链接(https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html#AppendixFMW )一看就是一堆漏洞，高危的还好几个。

【M01N】CVE-2019-0841 DACL权限覆盖本地提权漏洞攻击分析

2019-04-15M01NCVE-2019-0841, DACL权限覆盖本地提权漏洞

近日国外的研究员Nabeel Ahmed纰漏了CVE-2019-0841的漏洞细节，该漏洞成功利用会使Windows低权限用户获取到目标文件的“完全控制”权限，攻击人员配合dll劫持等其他攻击技术可完成提权到NT Authority/SYSTEM及后门攻击。微软认为该漏洞是由Windows AppX 部署服务(AppXSVC)没有正确处理硬链接导致的，实质上是由于Windows系统的三个特性组合完成的利用，绿盟科技M01N红队对该漏洞原理和利用进行详细分析。

绕过 RestrictedUnpickler

2019-04-04idaiPython, 反序列化

上周跑模型的间隙，看到一个关于 Python Pickle 反序列化的 CTF 题，和以往见到的不太一样，感觉很有意思，遂打算研究一下。

0x00 Pickle 反序列化

我们知道，当我们控制了如 `pickle.loads`等序列化数据的输入接口时，我们可以通过构造恶意的 Payload 来达到任意代码执行的效果。这是因为， `pickle` 库在反序列化(unpickling)的过程中，默认会导入 Payload 中找到的任意类或者函数对象。所以，Python 的开发者也一直警告大家，不要轻易用 `pickle` 来反序列化没有经过数据清洗的输入数据。同时，还推荐开发者通过实现自己的 `Unpickler`，来限制反序列化过程中能够 import 的类或函数，参考：https://docs.python.org/3.7/library/pickle.html#restricting-globals 。

学习手册：窥探Web前端黑客技术

2019-04-02haomingWeb前端, 学习手册, 黑客技术

安全之路任重而道远，前端安全是众多安全中的一个分支。随着互联网的发达，各种WEB应用也变得越来越复杂，满足了用户的各种需求，但是随之而来的就是各种网络安全的问题。

“铝”巨人遭勒索病毒攻击，工业互联时代如何保障网络安全

2019-04-02工控安全咨询小组LockerGoga, 勒索病毒, 工控安全

LockerGoga不是Lady Gaga的变体而是一种勒索病毒的变体

据报道，3月18日，挪威海德鲁公司（Norsk Hydro）在美国和欧洲的业务受到严重的勒索软件攻击，随后该公司被迫关闭了几条自动化生产线。发现问题后，安全人员隔离了所有工厂和操作，并切换到手动操作模式，以确保系统安全运行。有关该公司网络攻击的新闻报道致使该公司股价在全球现货市场铝价上涨超1%的情况下反而下跌近3%。挪威网络安全主管机构——挪威国家安全局向媒体证实：LockerGoga勒索软件是本次感染的源头。Norsk Hydro号称旗下拥有世界最大炼铝厂，此次勒索软件攻击很有可能导致全球铝市场面临动荡。