Aggregator

9.11-9.28奖金翻倍！速来挑战

RansomHub 勒索软件团伙使用卡巴斯基的合法工具 TDSSKiller 来禁用目标系统上的端点检测和响应 (EDR) 服务。 在突破防御后，RansomHub 部署 LaZagne 凭证收集工具，从各种应用程序数据库中提取登录信息，以帮助在网络上横向移动。 TDSSKiller 在勒索软件攻击中被滥用 卡巴斯基创建了 TDSSKiller 工具，可以扫描系统以查找 rootkit 和 bootkit，这两种恶意软件特别难以检测，并且可以逃避标准安全工具的检测。 EDR 代理是更先进的解决方案，至少部分在内核级别运行，因为它们需要监视和控制低级系统活动，例如文件访问、进程创建和网络连接，所有这些活动都提供针对勒索软件等威胁的实时保护。 网络安全公司 Malwarebytes报告称，他们最近观察到 RansomHub 滥用 TDSSKiller 与内核级服务进行交互，使用命令行脚本或批处理文件禁用了机器上运行的 Malwarebytes Anti-Malware 服务 (MBAMService)。 TDSSKiller 支持的命令参数,来源：Malwarebytes 该合法工具在侦察和权限提升阶段之后被使用，并从临时目录（“C:\Users\<User>\AppData\Local\Temp\”）使用动态生成的文件名（“{89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe”）执行。 作为一个使用有效证书签名的合法工具，TDSSKiller 不会面临 RansomHub 攻击被安全解决方案标记或阻止的风险。 接下来，RansomHub 使用 LaZagne 工具尝试提取使用 LaZagne 存储在数据库中的凭据。在 Malwarebytes 调查的攻击中，该工具生成了 60 个文件写入，这些文件可能是被盗凭据的日志。 删除文件的操作可能是攻击者试图掩盖其在系统上的活动的结果。 防御TDSSKiller 检测 LaZagne 很简单，因为大多数安全工具都会将其标记为恶意程序。但是，如果使用 TDSSKiller 解除安全软件的防御，恶意软件活动就会变得不可见。 TDSSKiller 处于灰色地带，因为包括 Malwarebytes 的 ThreatDown 在内的一些安全工具将其标记为“RiskWare”，这对用户来说也可能是一个危险信号。 该安全公司建议激活 EDR 解决方案上的防篡改功能，以确保攻击者无法使用 TDSSKiller 等工具禁用它们。 此外，监控“-dcsvc”标志、禁用或删除服务的参数以及 TDSSKiller 本身的执行可以帮助检测和阻止恶意活动。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/juPkvgl-BfJ6rEdGIfmPcw 封面来源于网络，如有侵权请联系删除

一种被称为PIXHELL 的新型侧信道攻击可被滥用，通过突破“audio gap”来攻击隔离网内的计算机，并利用屏幕像素产生的噪音窃取敏感信息。 以色列古里安大学软件与信息系统工程系攻击性网络研究实验室负责人Mordechai Guri 博士在新发表的论文中表示：“隔离和音频隔离计算机中的恶意软件会生成精心设计的像素模式，从而产生频率范围为 0 – 22 kHz 的噪音。” “恶意代码利用线圈和电容器产生的声音来控制屏幕发出的频率，声音信号可以编码和传输敏感信息。” 这次攻击引人注目之处在于它不需要受感染计算机上的任何专门的音频硬件、扬声器或内置扬声器，而是依靠 LCD 屏幕来产生声音信号。 物理隔离是一项重要的安全措施，旨在通过物理方式将关键任务环境与外部网络（即互联网）隔离，保护关键任务环境免受潜在的安全威胁。这通常通过断开网线、禁用无线接口和禁用 USB 连接来实现。 尽管如此，这种防御措施可能会被内部人员或硬件或软件供应链的破坏所绕过。另一种情况可能是，一名毫无戒心的员工插入受感染的 USB 驱动器，以部署能够触发隐蔽数据泄露通道的恶意软件。 Guri 博士说：“网络钓鱼、恶意内部人员或其他社会工程技术可能会被用来诱骗有权访问隔离系统的个人采取危害安全的行为，例如点击恶意链接或下载受感染的文件。” “攻击者还可能利用软件供应链攻击，针对软件应用程序依赖项或第三方库。通过破坏这些依赖项，他们可以引入在开发和测试期间可能不被注意的漏洞或恶意代码。” 与最近演示的RAMBO 攻击一样，PIXHELL 利用部署在受感染主机上的恶意软件创建声学通道，以泄露隔离网络系统中的信息。 这是因为液晶屏的内部元件和电源中含有电感器和电容器，当电流通过线圈时，它们会以可听见的频率振动，从而产生高音调的噪声，这种现象称为线圈呜呜声。 具体而言，功耗变化会引起电容器的机械振动或压电效应，从而产生可听见的噪声。影响功耗模式的一个关键方面是点亮的像素数量及其在屏幕上的分布，因为白色像素比暗像素需要更多的电量来显示。 “此外，当交流电 (AC) 经过屏幕电容器时，它们会以特定频率振动。”Guri 博士说。“声波是由 LCD 屏幕的内部电气部分产生的。其特性受屏幕上投影的实际位图、图案和像素强度的影响。” “通过精心控制屏幕上显示的像素图案，我们的技术可以从液晶屏产生特定频率的特定声波。” 因此，攻击者可以利用该技术以声音信号的形式窃取数据，然后对其进行调制并传输到附近的 Windows 或 Android 设备，随后这些设备可以解调数据包并提取信息。 值得注意的是，发出的声信号的功率和质量取决于具体的屏幕结构、其内部电源、线圈和电容器位置等因素。 另一件需要强调的重要事情是，PIXHELL 攻击默认对于查看 LCD 屏幕的用户是可见的，因为它涉及显示由交替的黑白行组成的位图图案。 “为了保持隐蔽性，攻击者可能会使用在用户不在场时进行传输的策略。”Guri 博士说。“例如，在非工作时间对隐蔽通道进行所谓的‘夜间攻击’，以降低被发现和暴露的风险。” 然而，通过在传输之前将像素颜色降低到非常低的值（即使用 RGB 级别 (1,1,1)、(3,3,3)、(7,7,7) 和 (15,15,15)），可以将这种攻击转变为工作时间内的隐秘攻击，从而给用户留下屏幕是黑色的印象。 但这样做的副作用是“显著”降低声音产生水平。而且这种方法也并非万无一失，因为如果用户“仔细”看屏幕，他们仍然可以发现异常模式。 这并不是第一次在实验装置中突破音频间隙限制。Guri博士之前进行的研究曾利用计算机风扇 (Fansmitter)、硬盘驱动器 (Disklysis)、CD/DVD 驱动器 (CD-LEAK)、电源装置 (POWER-SUPPLaY) 和喷墨打印机 (Inklysis) 产生的声音。 作为对策，建议使用声学干扰器来中和传输，监控音频频谱中是否存在异常或不常见的信号，限制授权人员的物理访问，禁止使用智能手机，并使用外部摄像头检测异常的调制屏幕图案。 论文访问链接：https://arxiv.org/abs/2409.04930   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/RkVW26gzTo2eYEk-EeKeEg 封面来源于网络，如有侵权请联系删除

A vulnerability, which was classified as problematic, has been found in PMECMS. Affected by this issue is some unknown functionality of the file mod/special/index.php. The manipulation of the argument pathMod leads to Local Privilege Escalation. This vulnerability is handled as CVE-2007-2540. Local access is required to approach this attack. Furthermore, there is an exploit available.

A vulnerability classified as critical has been found in Linux Kernel 2.2.0/2.2.10. Affected is an unknown function of the component IPChains. The manipulation of the argument offset with the input 0 as part of Fragment Overlap leads to improper privilege management. This vulnerability is traded as CVE-1999-1018. It is possible to launch the attack remotely. Furthermore, there is an exploit available. This vulnerability has a historic impact due to its background and reception. It is recommended to upgrade the affected component.

【补丁日速递】2024年8月微软补丁日安全风险通告

New Tool Uses 40 Indicators to Provide In-Depth Diagnostic Analysis, Officials Say
Commerce Secretary Gina Raimondo unveiled a new data tool Tuesday called Scale. It assesses a wide range of factors affecting supply chains to provide a detailed analysis of potential risks and challenges, from labor shortages to climate challenges and geopolitical tensions.

Agencies Sign Agreement to Boost Cooperation, Share Cyberthreat Information
The British data protection authority and national law enforcement agency signed onto a cyber risk information-swapping agreement. The National Crime Agency and the Information Commissioner's Office will share cyberthreat assessments and information about incidents.

RAM-Based Radio Signal Attack Allows Attackers to Exfiltrate Data
A novel side-channel attack exploits radio signals emitted by random access memory in air-gapped computers, presenting a new threat to highly secure networks. One of the most effective ways to mitigate the risk is to cover sensitive machines with Faraday shielding.

Polish Deputy Prime Minister Says Russia Is Waging 'De Facto Cyberwar'
The Polish government said Monday it faces an onslaught of cyberattacks from Russian and Belarusian security agencies intent on cyberespionage and blackmail. Poland is in the midst of a "de facto cyberwar," said Deputy Prime Minister Krzysztof Gawkowski.

【补丁日速递】2024年8月微软补丁日安全风险通告

A vulnerability classified as problematic was found in PMECMS. Affected by this vulnerability is an unknown functionality of the file mod/liste/index.php. The manipulation of the argument pathMod leads to Local Privilege Escalation. This vulnerability is known as CVE-2007-2540. An attack has to be approached locally. Furthermore, there is an exploit available.

Shwmae Shwmae (shuh-my) is a Windows Hello abuse tool that was released during DEF CON 32 as part of the Abusing Windows Hello Without a Severed Hand Talk. The purpose of the tool is...

The post Shwmae: A Windows Hello abuse tool appeared first on Penetration Testing Tools.

WAF Bypass Tool WAF bypass Tool is an open-source tool to analyze the security of any WAF for False Positives and False Negatives using predefined and customizable payloads. Check your WAF before an attacker...

The post WAF Bypass Tool: open source tool to analyze the security of any WAF appeared first on Penetration Testing Tools.

卡巴斯基创建的 TDSSKiller 是一种可以扫描系统是否存在 rootkit 和 bootkit 的工具，这两种恶意软件特别难以检测。

sshamble SSHamble is a research tool for SSH implementations that includes: Interesting attacks against authentication Post-session authentication attacks Pre-authentication state transitions Authentication timing analysis Post-session enumeration SSHamble simulates potential attack scenarios, including unauthorized remote access...

The post sshamble: A research tool for SSH implementations appeared first on Penetration Testing Tools.

Noir Noir is an attack surface detector from source code.   Key Features Automatically identify language and framework from source code. Find API endpoints and web pages through code analysis. Load results quickly through...

The post noir: attack surface detector from source code appeared first on Penetration Testing Tools.

致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

原汁原味原文照录