网安原创文章推荐【2024/11/6】

洞见网安 · 公众号 · · 2024-11-07 09:52

正文

2024-11-06 微信公众号精选安全技术文章总览

洞见网安 2024-11-06

0x1 浅析Active Directory 攻击十强

再说安全 2024-11-06 23:47:26

AD域攻击的难度，是对抗无形秩序的终极哲学命题。

0x2 【数据加解密篇】利用NTFS数据流（ADS）隐写加密取证分析

DFIR蘇小沐 2024-11-06 22:20:52

本文记录了一次应急响应的过程，主要涉及CentOS7系统root用户密码无法登录的问题。由于普通用户没有sudo权限，作者通过重启系统并进入单用户模式重置了root密码。在恢复系统后，作者发现有几个陌生IP登录root用户，进一步调查发现CPU占用率很高的进程名为sshc，怀疑是恶意进程。作者检查了相关路径和文件，发现了一些不认识的文件和计划任务。通过搜索相关应急文章，作者按照步骤排除了crontab中的恶意计划任务，并删除了相关文件夹和服务。最后，作者还删除了与sshd相关的文件和隐藏文件夹，并结束了恶意进程。作者总结道，root密码过于简单导致被猜到，建议使用强密码并定期更换。此次应急响应提高了作者的实践技能，并提醒了定期维护系统的重要性。

应急响应 Linux安全密码安全恶意软件清理挖矿病毒系统维护

0x4 新型安卓手机银行木马正在欧洲传播

网络研究观 2024-11-06 18:54:41

2024年10月下旬，Cleafy威胁情报团队发现了名为ToxicPanda的新型安卓银行木马，它主要在欧洲和拉丁美洲活动，针对银行机构实施账户接管和金融欺诈。ToxicPanda源自东南亚的TgToxic，已感染超过1,500台设备，主要集中在意大利、葡萄牙、西班牙、法国和秘鲁。此木马的特点是利用辅助功能服务滥用、远程控制、OTP拦截等手段绕过安全措施，实现对设备的‘设备欺诈’。它还拥有一个活跃的僵尸网络，主要控制点位于意大利，显示出开发者策略向欧洲金融机构转移的趋势。ToxicPanda背后的攻击者可能说中文，表明亚洲网络犯罪分子正将其活动扩展至亚洲以外地区。尽管ToxicPanda是TgToxic的一个更简化版本，但它依赖硬编码的命令和控制域，并使用AES加密通信，显示出持续演化的迹象。为了应对这一威胁，安卓用户应提高安全意识，如只从官方应用商店下载应用，启用Play Protect，以及使用多因素认证保护银行账户。

Android Banking Trojan Financial Fraud Device Fraud Remote Access OTP Interception C2 Infrastructure Asia Europe Latin America Chinese Speakers Evolution Security Measures

0x5 黑客部署复杂新型网络钓鱼以建立持久系统后门

网络研究观 2024-11-06 18:54:41

CRON#TRAP是一种新出现的网络钓鱼攻击方式，它通过模仿Linux环境来绕过安全防护措施，并在受害者系统上建立持久化的后门。攻击者首先通过含有恶意ZIP文件和快捷方式文件的钓鱼邮件进行初始感染，这些文件伪装成合法文档诱使用户点击。一旦用户执行，系统会被引导下载一个包含Tiny Core Linux发行版及QEMU虚拟化工具的大容量ZIP文件。接着，通过执行批处理文件启动模拟Linux环境，同时显示伪造的服务器错误图像以迷惑用户。在该环境中，预配置的Chisel客户端被用来与攻击者的命令与控制服务器建立加密隧道，允许攻击者秘密地控制受害机器、传输数据及进一步部署恶意软件。攻击者利用合法工具如QEMU和Chisel作为掩护，以减少被检测的风险，强调了对于来自未知来源的电子邮件保持警惕的重要性。

网络钓鱼持久后门恶意软件 QEMU和Chisel滥用多阶段攻击

0x6 内网渗透之内网权限维持

红队蓝军 2024-11-06 18:03:43

0x7 【Pikachu】CSRF跨站请求伪造实战

儒道易行 2024-11-06 18:00:32

本文介绍了CSRF（跨站请求伪造）攻击的基本概念及其与XSS（跨站脚本攻击）的区别，并通过具体案例讲解了如何实施CSRF攻击。CSRF攻击是通过诱使已认证的用户执行非预期操作，利用用户的权限完成攻击。文章提到，如果网站在处理敏感信息更新时不包含足够的验证机制，就可能遭受CSRF攻击。防范措施包括添加安全令牌(token)、验证码以及改进业务逻辑等。文章还展示了GET和POST类型的CSRF攻击示例，包括利用Burp Suite生成PoC（Proof of Concept）和构造恶意表单。最后，提到了CSRF Token作为防御手段之一，通过在每个请求中加入唯一的随机码来确保请求的真实性。

CSRF 网络安全 XSS 漏洞利用安全防御 Web安全渗透测试