每日安全动态推送(12-13)

Tencent Security Xuanwu Lab Daily News

• 溯源专题 | 通过PDF文件信息进行攻击溯源 - FreeBuf网络安全行业门户:

   ・ 溯源专题 | 通过PDF文件信息进行攻击溯源 – 

• [Tools] blasty/printer-cracktro:

   ・ blasty分享了关于其在Pwn2Own演示打印机漏洞的成功画面展示如何实现 – 

• [macOS] [PDF] http://i.blackhat.com/EU-22/Thursday-Briefings/EU-22-Fitzl-Knockout-Win-Against-TCC.pdf:

   ・ BlackHat EU22议题-对 macOS 隐私限制框架 (TCC) 及其绕过方法的研究 – 

• Detecting heap memory pitfalls - CoolerVoid tavern:

   ・ 基于污点分析检测UAF、Double Free和内存泄露等堆漏洞 – 

• [Fuzzing] Fuzzing ping(8):

   ・ 在BSD的ping出现栈溢出漏洞之后，研究者决定使用afl++ fuzz ping函数，结果又发现了新的bug。 – 

• [Android, Tools] Frida script to bypass common methods of sslpining Android:

   ・ 用于绕过sslpining的frida脚本 – 

• SilentMoonwalk: Implementing a dynamic Call Stack Spoofer:

   ・ SilentMoonwalk:实现动态调用堆栈进行欺骗的思路 – 

• [Linux] CyRC Case Study: Exploitable memory corruption using CVE-2020-25669 and Linux Kernel:

   ・ 深入分析探讨CVE-2020-25669,该漏洞利用 Linux 内核Sun Microsystems 键盘驱动程序中的UAF漏洞 – 

• Thinkphp 多语言 RCE:

   ・ Thinkphp 多语言 RCE – 

• Monthly Threat Actor Group Intelligence Report, October 2022 (KOR):

   ・ RedAlert发布2022 年 10 月月度APT组织的活动总结 – 

• The first step to PWN2OWN - A sad one:

   ・ NETGEAR RAX30 UPnP服务中的命令注入漏洞,但Pwn2own Toronto比赛开始前被修复 – 

• [Tools] x86matthew - StealthHook - A method for hooking a function without modifying memory protection:

   ・ 一种在不修改内存保护的前提下在windows平台进行函数hook的方案，有一定创新性但感觉缺乏一定通用性 – 

• [Malware] Pulling the Curtains on Azov Ransomware: Not a Skidsware but Polymorphic Wiper - Check Point Research:

   ・ Checkpoint针对Azov勒索的详细分析,其中重点在于其加载,反分析和混淆以及擦除数据的一些技术 – 

• 溯源专题 | 通过PE中PDB路径信息进行溯源 - FreeBuf网络安全行业门户:

   ・ 溯源专题 | 通过PE中PDB路径信息进行溯源 – 

• [Vulnerability] Iranian Exploitation Activities Continue as of November 2022:

   ・ cymru发布报告从流量遥测角度观察APT35的活动,以及发现其利用一些已被披露的IOC进行活动的情况 – 

• [Crypto] Nebuchadnezzar - Practically-exploitable Cryptographic Vulnerabilities in Matrix : netsec:

   ・ Matrix实时通讯协议的端到端加密功能存在可实际利用的加密漏洞 – 

• CVE-2022-4378: Linux kernel stack-based buffer overflow:

   ・ Linux内核栈溢出漏洞（CVE-2022-4378）细节 – 

• What in the Ethereum application ecosystem excites me:

   ・ Vitalik介绍以太坊应用生态系统中令人兴奋的五个应用：货币，Defi，身份生态系统，DAO和混合应用。 – 

• [Windows] Lazarus group uses fake cryptocurrency apps to plant AppleJeus malware:

   ・ Lazarus 组织使用虚假的加密货币应用程序植入 AppleJeus 恶意软件  – 

• [Tools] fr0gger/IATelligence: IATelligence is a Python script that will extract the IAT of a PE file and request GPT to get more information about the API and the ATT&CK matrix related:

   ・ 用 OpenAI 的 GPT-3 模型来提供 Windows PE 文件导入函数的细节，并解释攻击者可能如何使用该 API – 

• HTB: Outdated:

   ・ HTB-Outdated靶机的通关writeup – 

• [Linux] Arch Linux in November 2022 #:

   ・ Arch Linux in November 2022  – 

• [Browser] Exploring Chrome’s CVE-2020-6418 – Part1:

   ・ 探索 Chrome CVE-2020-6418 漏洞 – Part1 – 

• [Malware, Tools] New MuddyWater Campaign Uses Legitimate Remote Administration Tools to Deploy Malware:

   ・ MuddyWater滥用ScreenConnect和Syncro远控进行活动,并且在植入的时候出现了直接投递html再指向onedriver下载的案例 – 

• CVE-2022-45025:

   ・ CVE-2022-45025:在 Markdown Preview Enhanced（VSCode、Atom）中通过 PDF 导入进行命令注入 – 

• [Malware] New TrueBot Malware Variant Leveraging Netwrix Auditor Bug and Raspberry Robin Worm:

   ・ Truebot与Silence Group组织进行关联,同时该组织与TA505（又名 Evil Corp）有关,并且其针对金融机构以及后续投递的木马都与TA505有关  – 

• [PDF] https://i.blackhat.com/EU-22/Thursday-Briefings/EU-22-Ruddick-Exploring-a-New-Class-of-Kernel-Exploit-Primitive.pdf:

   ・ BlackHat EU22议题-探索一类新的Windows内核利用原语 – 

* 查看或搜索历史推送内容请访问：

* 新浪微博账号：腾讯玄武实验室