FireEye

CVE-2017-0261及利用样本分析 注意事项: 1. 本篇文章由 Gcow 安全团队复眼小组的 ERFZE 师傅原创,未经许可禁止转载 2. 本篇文章一共 2313 字, 39 张图,预计用时 20 分钟 3. 文中提及的方法仅供参考学习,若用在实际情况而造成的损失,本团队以及本公众号概不负责 4. 若本篇文章中存在说得有错误或者模糊的环节,希望各位看官可以在后台留言或者评论指出,本小组不胜感激! 0x01 漏洞描述 • 成因：打开Office文档时，FLTLDR.EXE将被用于渲染包含该漏洞的嵌入式EPS文件。该文件是由PostScript语言编写而成，可以被攻击者通过"save-restore"操作利用，其本质为一UAF漏洞。当用户打开包含格式错误的图形图像的文件时，或者当用户将格式错误的图形图像插入到 Office 文件时，该漏洞可能会受到利用。 • 影响版本：Microsoft Office 2010 Service Pack 2、Microsoft Office 2013 Service Pack 1、Microsoft Office 2016 • POC:kcufId's Github(https://github.com/kcufId/eps-CVE-2017-0261) 0x02 POC分析 笔者在网上寻找许久，并未找到包含EPSIMP32

Python实战社群 Java实战社群 长按识别下方二维码， 按需求添加 扫码关注添加客服 进Python社群▲ 扫码关注添加客服 进Java社群 ▲ 整理 | Tina 来源丨InfoQ 被盗的几家企业都表示很“懵”。 1 月 12 日，一个名叫 SolarLeaks 网站启动了，该网站表示正在出售微软、思科、FireEye 和 SolarWinds 的源代码以及相关数据。这几家公司的产品源代码均被标上了不同的价格，从 5 万到 60 万不等，全部打包售卖的价格为 100 万美元，并且不支持议价。 几家顶级企业的源代码被盗 SolarLeaks 网站声称以 60 万美元的价格出售微软 2.6G 大小的源代码和存储库。 微软曾于 1 月 3 日在其博客上发布消息，表示在其内部环境中检测到 SolarWinds Orion 平台供应链攻击期间下载的恶意可执行文件。微软表示，黑客设法提升了微软内部网络里的访问权限，因而可以访问少量内部帐户，并利用这些帐户访问了微软的源代码库。微软还强调被访问的帐户只有查看权限，声称黑客没有对代码或工程系统进行任何更改，想以此淡化对公司的影响： “微软采用一种内部开源（inner source）方法，采用开源软件开发最佳实践，有类似的开源文化，使源代码在微软内部可见。这意味着我们并不依赖源代码的保密性来确保产品的安全性

作者：蓝军高级威胁团队@深信服千里目安全实验室 原文链接： https://mp.weixin.qq.com/s/wtEbawfOd1g_T2ovp1SaGg 1.针对SolarWinds供应链攻击简介 最近FireEye披露的UNC2452黑客组织入侵SolarWinds的供应链攻击让安全从业人员印象深刻。一是影响规模大，SolarWinds官方称受影响的客户数量可能有18000家。二是攻击者留下的后门程序-Sunburst，十分隐蔽和具有迷惑性，分析认为攻击者对SolarWinds Orion产品理解程度很深。 有证据表明，早在2019年10月，UNC2452黑客组织就一直在研究通过添加空类来插入代码的能力。因此将恶意代码插入原始SolarWinds.Orion.Core.BusinessLayer.dll的时间可能很早，甚至可能是在软件构建编译之前。这就导致SolarWinds官方无意间对包含4000行恶意代码的DLL进行了数字签名，这样容易让恶意代码提升权限，并且很难被人发现。感染的Origin软件第一个版本是2019.4.5200.9083，在此几个月的时间内，用户通过下载受到感染的产品版本被感染。目前原始dll文件中没有发现存在动态拓展、也不存在横向移动等后渗透阶段的相关能力支持。 2.Sunburst后门总体流程 总体流程图 （Sunburst的供应链攻击各阶段-图源

云栖号资讯：【 点击查看更多行业资讯 】 在这里您可以找到不同行业的第一手的上云资讯，还在等什么，快来！ 如今，一些首席信息安全官表示，冠状病毒疫情正在破坏其网络安全计划并改变其优先级。虽然没人知道冠状病毒疫情的影响何时会结束，但对于这种新常态需要有清醒的认识。以下是行业专家对网络安全在后疫情时代的10个改变进行的预测： 1. 在家工作(WFH)成为默认模式 这是一个显而易见的假设，但可以提供数据来证明。根据ESG公司的研究，79%的IT高管表示，在冠状病毒疫情结束之后，他们所在的组织将实施更加灵活的在家工作策略。此外，在家工作策略似乎运行良好：78%的在家远程工作的人员表示在家工作更具生产力或生产力并没有减弱。在提高生产力和节省房地产成本方面，企业的员工在家工作显然成为一个良好的选择，并且正在推动安全投资和优先事项出现更多变化。 2. 网络安全边界将会消亡 由多家金融服务机构20年前成立的一个名为Jericho的论坛提出了取消网络边界的理念。尽管大多数安全专家都认同这一想法，但网络边界的安全性仍然是一个挑战，因此网络边界仍然存在，并且随着时间的推移而变化缓慢。冠状病毒疫情可能最终打破网络安全边界。为了支持更分散的IT基础设施，安全控制措施将大量地移至网络端点(用户、设备、应用程序、数据等)。好消息是，基于云计算的管理平台将使该架构比过去更易于扩展和操作。那么什么是新的边界?用户

EISS-2020企业信息安全峰会之北京站 重磅归来 7.31日周五 8:30~17:30 锁定线上，一整天的知识盛宴！ 企业信息安全峰会 EISS-2020北京站 “EISS企业信息安全峰会” 始办于2016年，由 安全+ 主办，并得到众多行业协会、机构以及媒体等共同参与支持。大会以 “直面信息安全挑战，创造最佳实践” 为主题，聚焦企业信息安全技术与实践应用等热点话题，致力于推进企业信息安全体系建设、加强企业信息安全管理、助推企业信息安全生态圈的健康发展。 “EISS-2020企业信息安全峰会之北京站” 即将于 2020年7月31日（周五） 举行。 安全+ 诚邀近30位资深安全大咖以在线形式为与会者进行分享及答疑解惑。预计本次峰会将有超过400位的来自不同行业的 安全负责人，安全专家 参与并共同探讨企业信息安全现状及未来，今夏不容错过的安全盛会！赶快报名参加吧！ 峰会议程介绍 上午 主会场 08:30-09:00 签到 09:00-09:25 浅谈新基建安全 李学庆/信息安全官/特斯联 09:25-09:50 AI驱动的安全运营 谭杰/中国首席安全顾问/Fortinet 09:50-10:15 云上攻防 王任飞/安全小飞侠 10:15-10:40 混合多云安全，始于互联数据与集成的安全管理平台 冯圣波/信息安全架构师/IBM 10:40-11:05 对安全运营的一些思考 黄乐

2020网鼎杯白虎组 MISC 密码柜 青龙组自闭misc手，过来看看白虎的题目。。 给了两个文件，一个镜像一个Database.kdbx 首先，这是一个win10的内存镜像，小菜鸡也是第一次见，因为win10特有的内存压缩机制，所以我的vol没法进行内存取证。。去搜了一下，知道了一个项目。是用来进行win10取证的,vol3应该也是支持的。 https://github.com/fireeye/win10_volatility 通过VOL查看进程和搜索，可以发现kdbx是keepass的数据库文件。keepass主要是用来储存密码的，数据库用一个密码来加密,从而达到安全的储存密码的目的，同时题目也提示密码柜，看来是这个东西了。 那么去找一下文件 可以找到一个密码柜备份.txt 密码柜的密码可不能忘了，毕竟那里面存着我最重要的东西 而且我走哪都要带着它 6s4mxkhvge 有用的是这个第三个密码，是kgb压缩包的压缩密码，去搜索这个 something.kge 文件，将文件dump下来，用密码解开应该就可以了。这个版本vol我这里dump不下来，所以目前还没做出来，比赛的时候也是做到这里卡住了。具体也还没搞清楚。。 来源： oschina 链接： https://my.oschina.net/u/4397388/blog/4281678

2020网鼎杯白虎组 MISC 密码柜 青龙组自闭misc手，过来看看白虎的题目。。 给了两个文件，一个镜像一个Database.kdbx 首先，这是一个win10的内存镜像，小菜鸡也是第一次见，因为win10特有的内存压缩机制，所以我的vol没法进行内存取证。。去搜了一下，知道了一个项目。是用来进行win10取证的,vol3应该也是支持的。 https://github.com/fireeye/win10_volatility 通过VOL查看进程和搜索，可以发现kdbx是keepass的数据库文件。keepass主要是用来储存密码的，数据库用一个密码来加密,从而达到安全的储存密码的目的，同时题目也提示密码柜，看来是这个东西了。 那么去找一下文件 可以找到一个密码柜备份.txt 密码柜的密码可不能忘了，毕竟那里面存着我最重要的东西 而且我走哪都要带着它 6s4mxkhvge 有用的是这个第三个密码，是kgb压缩包的压缩密码，去搜索这个 something.kge 文件，将文件dump下来，用密码解开应该就可以了。这个版本vol我这里dump不下来，所以目前还没做出来，比赛的时候也是做到这里卡住了。具体也还没搞清楚。。 来源： oschina 链接： https://my.oschina.net/u/4390958/blog/4281682

呵呵！自从火眼发布了这个CommandoVM，想必大家应该都挺激动，然而实际操作一下，基本炸裂…… 因为并没有给类似于kali这种直接安装的现成镜像，而是要通过github的脚本去完全网络安装 实际操作的朋友的朋友就知道网速有多么炸裂…… 我找了高速的服务器翻滚出去，终于10个小时安装完毕，现在给现成的vm映像发布出来，直接用vmware打开就可以了 CommandoVM-虚拟机映像文件下载链接 链接: https://pan.baidu.com/s/1t4-X-LFRjbarbMIShmT5rg 提取码: akuf 如果链接失效，请关注微信公众号：逆向驿站，回复：网盘 欢迎关注公众号： 逆向驿站 ，会不定期发布 黑客 | 网络安全 | 信息安全 | 软件安全 | 逆向破解 | crackme | 逆向分析 | 病毒分析 | 渗透测试 CommandoVM相关介绍 官方社区 https://github.com/fireeye/commando-vm/ windows渗透测试工具集 类似于kali,工具数量少于kali 但你kali估计也不可能用到超过10%的工具 跟kali一样可以通过简单命令实现工具的更新和维护 奉上一些截图 win10界面 应用场景 所有软件动图 来源： oschina 链接： https://my.oschina.net/u/4312653/blog

前两天FireEye开源了套他们自己的渗透测试工具，玩了下，这里简单讲一下我安装的过程。 1、首先是虚拟机，在virtualbox或者vmware中安装一个新的Windows系统，win7或者win10都可以，我这里选的win7，虚拟机的安装过程我这里就懒得写了。 　　不过注意下，这里是有配置需求的，最低配置要求，60G磁盘和2GB内存，另外支持win7 service pack1 和win10 　　我这里手上有现成的win7镜像，那我就直接安装win7了。 　　系统安装完成之后记得建立快照 2、第二步将初始化的win7进行升级，运行Windows update 多重启几次直到不需要安装补丁未知，然后再打一次快照。 3、访问 https://github.com/fireeye/commando-vm 并将文件下下来，解压到桌面。使用管理员权限启动PowerShell。运行install.ps1，报错。 　　然后上github上访问了一下，看了一下readme发现需要先运行　 　　　　　　 Set-ExecutionPolicy Unrestricted 　　这里选择Y。之后你就可以看到安装界面了，先会让你设置一个密码，然后会询问一下你是否建立快照，我这里刚刚已经建立过快照了，就不需要了。选N。 4、之后的过程就很简单了，出去喝个咖啡吃个饭，虚拟机会多次重启

Quedagh和BE2 APT、VOODOO BEAR、ELECTRUM、TeleBots https://github.com/eset/malware-ioc/tree/master/telebots https://malpedia.caad.fkie.fraunhofer.de/actor/sandworm 2014年 https://www.washingtonpost.com/r/2010-2019/WashingtonPost/2014/10/14/National-Security/Graphics/briefing2.pdf 2015年12月乌克兰断电 https://vulners.com/fireeye/FIREEYE:34E62B1760A7FC5F67EEFECD290F1C09 https://www.fireeye.com/blog/threat-research/2016/01/ukraine-and-sandworm-team.html 2016年12月ICS警告 https://www.us-cert.gov/ics/alerts/ICS-ALERT-14-281-01B https://www.sans.org/blog/confirmation-of-a-coordinated-attack-on-the-ukrainian-power