蓝军技术推送（第四弹）

蓝军技术推送

[文章推荐] Windows 10帮助文件chm格式漏洞挖掘

文章看点：fuzz入门，利用winafl对windows的API进行漏洞挖掘。

推送亮点：文章中完整叙述从fuzz目标应用，到寻找windows的API，再到转化为可以fuzz的exe的实现方式，并且给出了一系列优化效率的思考过程。文章思路清晰，流畅有趣，是一篇不错的漏洞挖掘入门文章。

原文链接：https://www.anquanke.com/post/id/197417

[文章推荐] 再次捕获云上在野容器攻击，TeamTNT黑产攻击

文章看点：针对TeamTNT的整个攻击手法进行分析，还原整个云上攻击链。

推送亮点：文章详细分析了整个黑产的云上攻击链，此攻击链如下所示，

docker remote api未授权（初始访问）->特权恶意容器（执行）->特权模式+ssh的docker逃逸（权限提升）->hook kill命令+重命名系统命令+日志清理（防御绕过）->远控木马（持久化）->挖矿（目标达成）

通过此文章，可以详细了解云上攻防的整个过程及攻防思路。

原文链接：https://www.freebuf.com/articles/network/292290.html

[文章推荐] 2021 Data Breach Investigations Report(DBIR)

文章看点：2021数据泄露调查，详尽的数据泄露统计，为安全行业背景与各类总结提供数据支撑，PPT报告总结必备。

推送亮点：从攻击类型、行业、企业、地区等不同维度，来统计事件发生的频率、来源和泄漏数据分类等重要信息。透过数据可以了解到当前流行的攻击方式以及攻击目的，为企业安全建设的重点方向提供数据参考。

原文链接：https://www.verizon.com/business/resources/reports/dbir/?CMP=OOH_SMB_OTH_22222_MC_20200501_NA_NM20200079_00001

[漏洞播报] 魔形女

漏洞概述："魔形女"是一种新型的漏洞利用链，通过多个漏洞组合来绕过安卓的沙箱防御机制。

推送亮点：此漏洞展示了一种新的攻击路径，通过将一个本地提权漏洞和其他漏洞组合的形式，来绕过安卓的沙箱防御机制，从而获取更多的权限。此漏洞将于11月份披露研究细节。

原文链接：https://dawnslab.jd.com/mystique/

[安全工具] delete-self-poc

功能描述：删除磁盘上锁定的文件或者正在运行的文件，文件自删除的一种解决方式。

推送亮点：区别于ProcessGhosting的创建temp文件自删除的方法，此方法通过SetFileInformationByHandle()来改变文件信息，将文件的handle移动到了windows流文件中，然后再通过将文件设置为DeleteFile状态来实现文件自删除。

c工具链接：https://github.com/LloydLabs/delete-self-poc

c#工具链接：https://github.com/LloydLabs/delete-self-poc