手机色情软件中的“偷拍者”
近期,360烽火实验室在对色情黑产持续监控过程中发现了一批存在严重隐私窃取行为的色情软件,这批软件不仅存在将受害者手机短信、通讯录与通话记录上传的行为,还会将相册文件与实时录像上传至指定服务器。360烽火实验室在对这批非法窃取隐私的软件进行追踪溯源时发现了一个黑灰产软件制造与传播团伙,经深入跟进发现该团伙除制作色情软件外,还开发了能够充值提现带有赌博性质的棋牌游戏、疑似带有后台控制胜率功能的棋牌游...
One Byte Tear Down the Wall of Cisco Router
Author:Zhou Aiting(@zhouat1) of Qihoo 360 Vulcan Team 0x1. BackgroundThe Cisco security bulletin in the middle of last month indicated that one of our super simple logical RCE vulnerability was fixed...
一个字节的差错导致Cisco防火墙路由器远程代码执行
Author:Zhou Aiting(@zhouat1) of Qihoo 360 Vulcan Team 0x1. 背景上个月中旬的思科安全公告显示,一个我们早已发现但还没顾得上提交的RCE漏洞被补了。编号:CVE-2020-3330,该漏洞是一个逻辑漏洞。漏洞公告细节如下:0x2. 影响范围涉及产品型号:Cisco Small Business RV110W Wireless-N VPN F...
手机借贷中的偷拍者
近期,360烽火实验室在对金融类移动软件持续监控过程中发现了一类具有隐秘拍照行为的软件,这类软件主要功能是为用户提供借贷服务,而在看似正常的功能下,我们发现其存在未经用户批准、用户无感知的隐私非法收集行为。隐私非法收集静默拍照截止今年6月中旬,我们共监控到9款软件共计90个样本,软件名称见表1。这9款软件的界面与功能基本相同,与以往发现的具有隐私非法收集行为的借贷软件不同,这类借贷软件除了非法收集...
双尾蝎组织(APT-C-23)针对中东地区的最新攻击活动
一、背景双尾蝎组织(APT-C-23),是一个针对中东地区相关国家的教育机构、军事机构等重要领域进行网络间谍活动,以窃取敏感信息为主的网络攻击组织。攻击平台主要包括 Windows 与 Android。该组织的攻击活动最早可追溯到2016年,近年来该组织活动频繁不断被数个国内外安全团队持续追踪和披露。2020年2月16日,以色列国防军IDF网站称,他们发现哈马斯的一系列网络攻击行动,通过制作了多个...
Windows 10 20H1.19577开始System进程内Ntdll的一点变化
背景最近为了解决一个兼容问题,看了下Windows 10 20H1的内核,发现了一处有点意思的改动。简单来说, ntdll.dll过去映射在System进程以及其他所有进程内的时候,都是以可执行页面进行映射的。但从19577开始,在System进程内,NTDLL开始映射为只读页面,而在其他所有进程内,NTDLL仍映射为可执行页面。初步检查VADs这点可以用Windbg来印证:切换到System进程...
肚脑虫组织(APT-C-35)针对巴基斯坦的攻击活动
一、背景肚脑虫组织(APT-C-35),又称Donot,是一个针对克什米尔地区相关国家的政府机构等领域进行网络间谍活动,以窃取敏感信息为主的攻击组织。该组织具备针对Windows与Android双平台的攻击能力。该组织的攻击活动最早可追溯到2016年,近年来该组织活动频繁不断被数个国内外安全团队持续追踪和披露。近期,360烽火实验室再次监测到肚脑虫组织针对巴基斯坦的移动端攻击活动。根据我们监测数据...
深度揭露Anubis移动银行木马
介绍Anubis是古希腊语,原本表示埃及神话中一位与木乃伊制作及死后生活有关的胡狼头死亡之神;然而2017年之后,Anubis成了最流行的Android银行木马代名词,已经给全球300多家金融机构造成了不少麻烦。2016年12月19日,一个名为maza-in的用户在exploit.in的恶意软件开发者论坛中分享了一种新的Android银行木马BankBot的源代码,该木马能够发送和拦截文本消息以及...
Take Down MacOS Bluetooth with Zero-click RCE
Author: Jianjun Dai(@jioundai) of 360 Alpha LabZero-click vulnerabilities have become more and more popular in recent years, and the bounty for full exploit chains has also surged. In 2019, Apple Secu...
微软SMBv3客户端/服务端远程代码执行漏洞(CVE-2020-0796)技术分析
微软安全中心在北京时间3月12日23时发布了影响Windows 10 等系统用户的SMBv3远程代码执行漏洞补丁。我们建议受影响的用户尽快按微软更新信息指南安装该补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796。同时,360Vulcan Team对该漏洞进行了快速分析,该漏洞属于高...