Tencent Security Xuanwu Lab Daily News
• How to extract kext’s from kernelcache?:
https://reverseengineering.stackexchange.com/questions/32604/how-to-extract-kexts-from-kernelcache
・ 在M1 MacBook Pro上逆向工程苹果神经引擎驱动程序的过程,重点讨论了从kernelcache文件中提取二进制文件的挑战。
– SecTodayBot
• Saflok – Key Derication Function Exploit:
https://dlvr.it/T3MBxr
・ 介绍了一种新的密钥生成方法及其潜在安全问题。
– SecTodayBot
• Configuration:
https://github.com/MultSec/MultCheck
・ MultCheck是一款开源的恶意软件分析工具,可以用于测试文件被多个杀毒引擎检测的情况。它易于使用,可以测试多个杀毒引擎,并且易于扩展,可以添加自定义杀毒引擎。
– SecTodayBot
• Improving EDR Management for Large, Complex Networks:
https://adobe.ly/3UOMoL8
・ Adobe通过CrowdStrike Falcon EDR代理在公司管理的每个端点上实施了端点检测和响应,同时利用CrowdStrike FalconPy SDK创建了33个独特的插件,改善了解决方案的可伸缩性。他们分享了两个定制插件的开源代码,用于自动化变更管理和检查Falcon Sensor状态,以提高EDR能力和整体生产力。
– SecTodayBot
• Performance Co-Pilot (pcp): Unsafe use of Directories in /var/lib/pcp and /var/log/pcp breaks pcp Service User Isolation (CVE-2023-6917):
https://seclists.org/oss-sec/2024/q1/168
・ 介绍了Performance Co-Pilot (pcp)性能分析工具包中的一个新漏洞(CVE-2023-6917)
– SecTodayBot
• (shellcode) Linux-x64 – create a shell with execve() sending argument using XOR (/bin//sh) [55 bytes]:
https://dlvr.it/T3MKsF
・ 使用Linux汇编代码和XOR操作创建shellcode。
– SecTodayBot
• Securing Supply Chains in the Open Source Era. Panel Discussion:
https://www.youtube.com/watch?v=01UvBsKKHgY
・ 开源时代保障供应链安全的讨论
– SecTodayBot
• Russian cyberespionage group APT29 targeting cloud vulnerabilities:
https://packetstormsecurity.com/news/view/35587
・ 提到了俄罗斯的APT29网络威胁组织修改了其黑客方法,以获取对受它们监视的政府和企业的更有效访问权限。APT29已被西方情报机构确定为俄罗斯外交情报局的一部分。该组织针对云服务采取了新的策略和技术,特别是针对服务帐户和多因素身份验证。
– SecTodayBot
• Lazarus and the FudModule Rootkit: Beyond BYOVD with an Admin-to-Kernel Zero-Day:
https://decoded.avast.io/janvojtesek/lazarus-and-the-fudmodule-rootkit-beyond-byovd-with-an-admin-to-kernel-zero-day/
・ 讨论了一个由Avast发现的零日漏洞CVE-2024-21338,以及Lazarus Group对该漏洞的利用活动。
– SecTodayBot
* 查看或搜索历史推送内容请访问:
https://sec.today
* 新浪微博账号: 腾讯玄武实验室
https://weibo.com/xuanwulab
原文始发于微信公众号(腾讯玄武实验室):每日安全动态推送(3-1)
