蓝队取证审计网络安全

一个名为“EncryptHub”的威胁者（又名“Larva-208”），一直以世界各地的组织为目标，通过鱼叉式网络钓鱼和社会工程攻击来访问企业网络。 根据Prodaft上周在内部发布的一份报告称，自2024年6月Encrypthub启动运营以来，它已经攻击了至少618个组织。 在获得访问权限后，威胁者安装远程监控和管理（RMM）软件，然后部署像Stealc和Rhadamanthys这样的信息窃取程序。在许多观察到的案例中，EncryptHub也会在受损的系统上部署勒索软件。 据悉，该威胁组织隶属于RansomHub和BlackSuit，过去曾部署过这两家勒索软件加密器，可能是它们的初始访问代理或直接附属机构。 然而，在研究人员观察到的许多攻击中，攻击者部署了自定义的PowerShell数据加密器，因此他们也保留了自己的变体。 获得初始访问权限 Larva-208的攻击包括短信网络钓鱼、语音网络钓鱼，以及模仿企业VPN产品（如Cisco AnyConnect、Palo Alto GlobalProtect、Fortinet和Microsoft 365）的虚假登录页面。 假冒思科登录页面 攻击者通常在给目标的消息中冒充IT支持人员，声称VPN访问有问题或他们的帐户存在安全问题，指示他们登录到一个网络钓鱼网站。 受害者收到链接，这些链接将他们重定向到网络钓鱼登录页面，在那里他们的凭据和多因素身份验证（MFA）令牌（会话cookie）被实时捕获。 一旦网络钓鱼过程结束，受害者将被重定向到服务的真实域，以避免引起怀疑。 网络钓鱼过程概述 Enc…

1 概述 安天CERT在2月5日发布了《攻击DeepSeek的相关僵尸网络样本分析》报告，分析了攻击中活跃的两个僵尸网络体系RapperBot和HailBot和其典型样本，分析了其与Mirai僵尸木马源代码泄漏的衍生关系。安天工程师依托特征工程机制，进一步对HailBot僵尸网络样本集合进行了更细粒度差异比对，在将样本向控制台输出的字符串作为分类标识条件的比对中，发现部分样本修改了早期样本的输出字符串“hail china mainland”，其中数量较多的两组分别修改为“you are now apart of hail cock botnet”和“I just wanna look after my cats, man.”。为区别这三组样本，我们将三组变种分别命名为HailBot.a、HailBot.b、HailBot.c，对三组样本的传播方式、解密算法、上线包、DDoS指令等进行相应的分析。其中也有将输出字符串修改为其他内容样本，但数量较少，未展开分析。 表 1‑1 HailBot三个变种之间的关系 HailBot.a HailBot.b HailBot.c 特殊字符串 hail china mainland you are now apart of hail cock botnet I just wanna look after my cats, man. 传播方式 CVE-2017-17215漏洞 CVE-2017-17215漏洞 CVE-2023-1389漏洞 破解攻击（账号密码数量45） CVE-2017-1721…

1 概述 勒索攻击目前已成为全球组织机构主要的网络安全威胁之一，被攻击者作为牟取非法经济利益的犯罪工具。为了增加受害方支付勒索赎金的概率并提升赎金金额，攻击者已从单纯的恶意加密数据演变为采用“窃取文件+加密数据”的双重勒索策略。更有甚者，在双重勒索的基础上，增加DDoS攻击以及骚扰与受害方有关的第三方等手段，进一步演变为“多重勒索”。近年来，勒索攻击的主流威胁形态已从勒索团伙广泛传播勒索软件收取赎金，逐渐转化为“RaaS（勒索软件即服务）+定向攻击”收取高额赎金的模式。这种模式针对高价值目标，RaaS的附属成员通过购买0Day漏洞、研发高级恶意代码、收买企业内鬼和情报等手段，提高突防能力并提升勒索载荷落地成功率。这种“定向勒索+窃密+曝光+售卖”的组合链条，通过胁迫受害者支付赎金从而实现获利。为有效应对勒索风险，防御者需要改变对勒索攻击这一威胁的认知，并且更深入地了解定向勒索攻击的运行机理，才能构建有效的敌情想定，针对性的改善防御和响应能力。 2024年中，勒索攻击事件频繁发生，攻击者通过广撒网式的非定向模式和有针对性的定向模式开展勒索攻击。勒索攻击持续活跃的因素之一是RaaS商业模式的不断更新。RaaS是勒索攻击组织开发和运营的基础设施，包括定制的破坏性勒索软件、窃密组件、勒索话术和收费通道等。各种攻击组织和个人可以租用RaaS攻击基础设施，完成攻击后与RaaS组织按比例分赃。这一商业模式的兴起和成熟，使得勒索攻击的门槛大幅降低，攻击者甚至无需勒索软件开发技能，也能对目标进行定向攻击。另一重要因素是初始访问经纪人（Initial Acc…

近日，国产AI大模型DeepSeek（深度求索）一经推出，凭借其卓越的性能在全球范围内引发了广泛关注，与此同时也成为了不法分子聚焦的目标。安天移动安全团队通过国家计算机病毒应急处理中心的协同分析平台，发现了一批假冒DeepSeek的恶意应用程序。针对这一情况，安天移动安全团队迅速展开了深入分析和关联拓展，揭示了这些恶意应用的潜在威胁，并采取了相应的防护措施，为用户安全使用国产AI产品保驾护航。 1．样本基本特征对比 仿冒应用程序名、图标与正版应用别无二致，普通用户难以分辨真假。 2．样本详细分析 1# 动态分析 恶意应用运行后直接提示更新，点击后会直接弹出安装同名恶意子包弹框请求。 诱导用户请求启用无障碍服务。 程序名、图标和正版基本一致，且可以同时安装于同一设备中。 与官方正版应用比较，恶意样本运行后的界面如下，直接访问的DeepSeek的官网。 正版DeepSeek应用如下，可以看到需要登录后才能正常使用，运行界面也不一致。 2# 静态分析 该恶意应用使用了一些对抗手段来对抗逆向分析工具，增加分析难度，逃避安全检测，具体如下： 样本通过工具创建同名文件夹，对抗分析工具。 使用伪加密修改zip文件数据的方式让工具误认为存在密码。 使用整体自定义壳进行加固处理。 使用类名、变量名混淆来增加分析难度。 使用动态加载的方式加载恶意子包。 子包功能详细分析： 其关键指令解析如下： 主要信息获取行为如下： 1、获取短信信息。 2、获取通讯录。 3、发送短信。 4、获取应用安装列表。 5、获取…

一种新的JavaScript混淆方法利用不可见的Unicode字符来表示二进制值，在针对美国政治行动委员会（PAC）附属机构的网络钓鱼攻击中被积极滥用。 发现此次攻击的网络威胁实验室报告称，该攻击发生在2025年1月初，并带有复杂的迹象，例如使用了： ·针对受害者提供个性化的非公开信息； ·调试器断点和定时检查以逃避检测； ·递归包装邮戳跟踪链接到模糊的最终网络钓鱼目的地。 JavaScript开发人员在2024年10月首次披露了这种混淆技术，它在实际攻击中的迅速采用凸显了新研究被武器化的速度。 使JS有效负载“不可见” 新的混淆技术利用不可见的Unicode字符，特别是韩文半宽（U+FFA0）和韩文全宽（U+3164）。 JavaScript负载中的每个ASCII字符被转换为8位二进制表示，其中的二进制值（1和0）被不可见的韩文字符替换。 混淆后的代码作为属性存储在JavaScript对象中，由于韩文填充字符呈现为空白，因此脚本中的有效负载看起来为空，如下图末尾的空白所示。 隐藏恶意代码的空白 一个简短的引导脚本使用JavaScript代理的“get（）陷阱”检索隐藏的有效负载。当访问hidden属性时，Proxy将不可见的韩文填充字符转换回二进制并重建原始JavaScript代码。 Juniper分析师报告称，攻击者除了上述步骤之外，还使用了额外的隐藏步骤，比如用base64编码脚本，并使用反调试检查来逃避分析。 韩文填充字符序列的Base64编码 Juniper解释说：“攻击是高度个性化的，包括非公开信息，最初的JavaSc…

漏洞概述 Ivanti Connect Secure、Ivanti Policy Secure和Ivanti Neurons for ZTA gateways 是Ivanti 公司提供的远程访问和安全连接解决方案，主要功能包含VPN、访问控制、流量加密等。其IF-T/TLS协议在认证前，存在栈缓冲区溢出漏洞，攻击者可以利用该漏洞实现未授权远程代码执行。该漏洞已被APT组织利用。 影响范围 Ivanti Connect Secure 22.7R2 - 22.7R2.4 Ivanti Policy Secure 22.7R1 - 22.7R1.2 Ivanti Neurons for ZTA gateways 22.7R2 - 22.7R2.3 复现环境 版本：Ivanti Connect Secure 22.7R2.3 环境搭建 Ivanti Connect Secure 22.7R2.3导入虚拟机后开机，按照界面提示设置IP地址，管理员账号和密码等。 配置成功后，进入命令行界面，可以根据编号进行系统管理，但是无法执行底层Shell命令。 同时在浏览器中使用HTTPS协议打开配置的IP地址，可以正常显示Web登录界面。 查看虚拟机磁盘文件，尝试挂载到其他系统，解包出系统中的文件。但是文件系统被加密，无法通过常规挂载方式获取系统文件。这种情况下，常见方案可以逆向分析系统启动流程，分析解密算法，解密出系统文件。但是时间成本比较高。 笔者则是选择使用另一种方法，将虚拟机暂停后，修改其内存文…

1.概览 近日，国产AI大模型DeepSeek（深度求索）线上服务受到大规模网络攻击，多次出现服务中断等情况。引发了国内安全业界的关注。根据奇安信XLab实验室监测报告，发现僵尸网络RapperBot和HailBot[1]针对DeepSeek发动了DDoS攻击。为了更有效地研判风险，支撑对相关攻击的防范，安天CERT从“赛博超脑”平台样本库中提取了上述两个僵尸网络所使用的僵尸木马样本，进行了进一步分析工作。 2.样本分析 2.1 RapperBot与HailBot的前世——Mirai RapperBot与HailBot两个僵尸网络都是僵尸网络Mirai的源码泄露的产物。Mirai僵尸网络在2016年首次被发现，迅速引发了广泛关注。其命名源自日语中的“未来”。与传统以Windows系统肉鸡为主的僵尸网络不同，Mirai感染控制网络摄像头、家用路由器和其他物联网设备，用于构建僵尸网络体系[2]。在2016年，因其引发的“DYN事件”[3]而浮出水面，Mirai的三名作者Paras Jha，Josiah White和Dalton Norman，均为美国人。三人经营了一家名为Protraf Solutions LLC的公司，对外宣称提供DDoS攻击防护，实际上则利用僵尸网络发动DDoS攻击，进行敲诈等牟利活动。三名人员在2018年，被美国阿拉斯加法院判处5年缓刑、2500小时社区服务，赔偿12.7万美元，并需自愿放弃犯罪期间获取的加密货币。 Mirai专门针对物联网（IoT）设备实施自动化渗透植入，如路由器、网络摄像头和数字视频录像机（DVR），…

1 概述 近期，安天CERT监测到多起Outlaw挖矿僵尸网络攻击事件，该挖矿僵尸网络最早于2018年被发现，主要针对云服务器从事挖矿活动，持续活跃。安天CERT在分析近期的攻击事件中发现，该挖矿僵尸网络样本在第三版本基础上有了重要更新，其功能更加多样、隐匿性更高、清除更加困难。主要传播途径和功能依旧是SSH暴力破解攻击目标系统，植入SSH公钥，以达到长期控制目标系统的目的，同时下载执行基于Perl脚本语言编写的后门和开源门罗币挖矿木马，使用扫描和暴力破解工具对其他主机进行相应攻击。 经验证，安天智甲终端防御系统可有效防御、查杀该挖矿木马。 2 攻击流程 Outlaw挖矿僵尸网络首先会通过扫描SSH服务对目的主机进行暴力破解，获取权限后下载最终载荷文件dota3.tar.gz，然后不落地执行tddwrt7s.sh脚本中的指令，初始化脚本，将载荷放到/tmp目录下，解压缩载荷文件，并执行载荷文件中的第一个Perl脚本initall，该脚本最终会执行载荷文件中的第二个Perl脚本init2，会在cron.d文件中写入计划任务，依次执行a、b、c文件夹中的a、a、start脚本。 一、a文件夹： 1.a文件的主要作用是检测与清除RedTail挖矿僵尸网络相关的恶意行为，执行run文件。 2. run文件用于启动并管理名为kswapd00的挖矿程序以及stop脚本。 3.stop文件的主要功能是执行init0文件以及清理目标系统中的指定文件和进程。 4.init0文件用于全面排查并清理与挖矿相关的活动。 二、b文件夹： 1.a文件的主要功能是执…

伊朗恶意分子正在利用名为 IOCONTROL 的新恶意软件来破坏以色列和美国关键基础设施使用的物联网 (IoT) 设备和 OT/SCADA 系统。 目标设备包括路由器、可编程逻辑控制器 (PLC)、人机界面 (HMI)、IP 摄像头、防火墙和燃料管理系统。该恶意软件的模块化特性使其能够危害不同制造商的各种设备，包括 D-Link、Hikvision、Baicells、Red Lion、Orpak、Phoenix Contact、Teltonika 和 Unitronics。 Claroty 的 Team82 研究人员发现了 IOCONTROL 并对其进行了采样进行分析，他们报告说，这是一种民族国家网络武器，可以对关键基础设施造成严重破坏。 鉴于持续的地缘政治冲突，IOCONTROL 目前用于针对以色列和美国的系统，例如 Orpak 和 Gasboy 燃料管理系统。据报道，该工具与一个名为 CyberAv3ngers 的伊朗黑客组织有关，该组织过去曾对攻击工业系统表现出兴趣。 OpenAI 最近还报告称，该威胁组织使用 ChatGPT 来破解 PLC、开发自定义 bash 和 Python 漏洞利用脚本，并计划入侵。 IOCONTROL 攻击 Claroty 从 Gasboy 燃油控制系统中提取了恶意软件样本，特别是该设备的支付终端 (OrPT)，但研究人员并不确切知道黑客是如何用 IOCONTROL 感染它的。 在这些设备内部，IOCONTROL 可以控制泵、支付终端和其他外围系统，从而可能导致中断或数据被盗。 威胁者在 Telegram…

网络犯罪分子利用欺诈性视频会议平台以窃取加密货币的恶意软件感染 Windows 和 Mac 电脑，通过虚假商务会议来瞄准 Web3 工作人员。 该情况根据会议软件常用的名称被称为“Meeten”，自 2024 年 9 月以来一直在进行。该恶意软件有 Windows 和 macOS 版本，目标是受害者的加密货币资产、银行信息、存储在网络上的信息浏览器和钥匙串凭据（在 Mac 上）。 Meeten 是由 Cado 安全实验室发现的，该实验室称，威胁者不断更改假冒会议软件的名称和品牌，之前曾使用过“Clusee”、“Cuesee”、“Meetone”和“Meetio”等名称。 网站传播 Realst 盗窃者 这些假冒品牌在其中填充了人工智能生成的内容，以增加合法性，看似得到了官方网站和社交媒体帐户的支持。访问者通过网络钓鱼或社交工程进入该网站，并被提示下载所谓的会议应用程序，但实际上，它是 Realst 窃取程序。 根据报告，该骗局以多种方式进行。在一个报告的实例中，用户认识的人在 Telegram 上联系了该用户，希望讨论商业机会并安排通话。然而，Telegram 帐户已创建更有趣的是，诈骗者向他发送了目标公司的投资演示，表明这是一个复杂的、有针对性的骗局。 其他报告称，目标用户正在接听与 Web3 工作相关的电话、下载软件并进行诈骗。他们的加密货币被盗之后。初次接触时，目标将被引导至 Meeten 网站下载产品。除了托管信息窃取程序外，Meeten 网站还包含 Javascript，甚至可以在安装任何恶意软件之前窃取存储在网络浏览器中的…

1 概览 “游蛇”黑产团伙（又名“银狐”、“谷堕大盗”、“UTG-Q-1000”等）自2022年下半年开始活跃至今，针对国内用户发起了大量攻击活动，以图窃密和诈骗，对企业及个人造成了一定的损失。该黑产团伙主要通过即时通讯软件（微信、企业微信等）、搜索引擎SEO推广、钓鱼邮件等途径传播恶意文件，其传播的恶意文件变种多、免杀手段更换频繁且攻击目标所涉及的行业广泛。近期，安天CERT监测到“游蛇”黑产团伙利用仿冒成远程控制软件下载站点的钓鱼网站传播恶意MSI安装程序。 当恶意MSI安装程序执行后，会在用户选择的安装路径中释放一个正常的安装程序以及一个恶意程序，在桌面中创建指向正常安装程序的快捷方式，并执行恶意程序。恶意程序执行后，从指定URL处获取shellcode并在内存中执行。该shellcode通过异或解密算法进行自解密，在内存中执行嵌入其中的1.dll文件。1.dll文件从指定URL处下载、执行两段shellcode。 第一段shellcode在内存中释放执行RpcTsch.dll，该DLL文件通过RPC创建称为“MM”的计划任务；第二段shellcode在内存中释放执行Dll1.dll，该DLL文件持续对剪贴板内容进行监控，并对符合指定条件的内容进行窃取并连续截取20张图片，推测该DLL文件用于窃取加密货币钱包地址及密钥信息，可能存在黑产团伙之间的“黑吃黑”行为。然后，1.dll对当前的系统环境进行多种检测，收集各类系统信息、构建上线包并与C2服务器连接。攻击者能够利用该恶意文件进行远程控制、信息窃取等恶意操作。 “游蛇”黑产团伙仍…

浏览器隔离是一种日益流行的安全技术，它通过云环境或虚拟机中托管的远程 Web 浏览器路由所有本地 Web 浏览器请求，所访问网页上的任何脚本或内容都在远程浏览器而不是本地浏览器上执行。 然后，页面的渲染像素流被发送回发出原始请求的本地浏览器，仅显示页面的外观并保护本地设备免受任何恶意代码的侵害。许多命令和控制服务器利用 HTTP 进行通信，导致远程浏览器隔离以过滤恶意流量，并使这些通信模型无效。 Mandiant 发现了一种绕过浏览器隔离技术并通过 QR 码实现命令和控制操作的新方法，Mandiant的新技术试图绕过这些限制，尽管它有一些实际限制，但它表明浏览器中现有的安全保护还远远不够完美，需要结合额外措施的“纵深防御”策略。 C2 和浏览器隔离的背景 C2 通道支持攻击者和受感染系统之间的恶意通信，使远程攻击者能够控制受破坏的设备以及执行命令、窃取数据等。由于浏览器在设计上不断与外部服务器交互，因此会激活隔离措施，以防止攻击者在安全关键环境中访问底层系统上的敏感数据。 这是通过在云端、本地虚拟机或本地托管的单独沙盒环境中运行浏览器来实现的。当隔离处于活动状态时，隔离的浏览器会处理传入的 HTTP 请求，并且只有页面的可视内容会流式传输到本地浏览器，这意味着 HTTP 响应中的脚本或命令永远不会到达目标。 这会阻止攻击者直接访问 HTTP 响应或向浏览器注入恶意命令，从而使隐蔽的 C2 通信变得更加困难。 浏览器隔离概述 Mandiant的绕行技巧 Mandiant 研究人员设计了一种新技术，可以绕过现代浏览器中现有的隔离机制。攻击…

黑客被发现正滥用 macOS 文件的扩展属性来传播一种新的木马，研究人员将其称为 RustyAttr。 威胁分子将恶意代码隐藏在自定义文件元数据中，并使用诱饵 PDF 文档来帮助逃避检测。这项新技术类似于 2020 年 Bundlore 广告软件将其有效负载隐藏在资源分支中以隐藏 macOS 有效负载的方式。安全研究人员在一些野外恶意软件样本中发现了它。 根据他们的分析，由于无法确认任何受害者，研究人员有一定把握将这些样本归因于朝鲜黑客拉扎勒斯。他们认为攻击者可能正在尝试一种新的恶意软件传递解决方案。 这种方法并不常见，现在已被证明可以有效地防止检测，因为 Virus Total 平台上的安全代理都没有标记恶意文件。 在文件属性中隐藏代码 macOS 扩展属性 (EA) 表示通常与文件和目录关联的隐藏元数据，这些元数据在 Finder 或终端中不直接可见，但可以使用“xattr”命令提取以显示、编辑或删除扩展属性。在 RustyAttr 攻击的情况下，EA 名称为“test”并包含 shell 脚本。 macOS 扩展属性内的 Shell 脚本 存储 EA 的恶意应用程序是使用 Tauri 框架构建的，该框架结合了可以调用 Rust 后端函数的 Web 前端（HTML、JavaScript）。当应用程序运行时，它会加载一个包含 JavaScript（“preload.js”）的网页，该网页从“测试”EA 中指示的位置获取内容，并将其发送到“run_command”函数以执行 shell 脚本。 preload.js 的内容 为了在此过…

一种名为“CRON#TRAP”的新网络钓鱼活动通过 Linux 虚拟机感染 Windows，该虚拟机包含内置后门，可以秘密访问公司网络。 使用虚拟机进行攻击并不是什么新鲜事，勒索软件团伙和加密货币挖矿者利用虚拟机来秘密执行恶意活动。然而，威胁者通常在破坏网络后手动安装这些软件。 Securonix 研究人员发现的一项新活动是使用网络钓鱼电子邮件执行无人值守的 Linux 虚拟机安装，以破坏企业网络并获得持久性。 网络钓鱼电子邮件伪装成“OneAmerica 调查”，其中包含一个 285MB 的大型 ZIP 存档，用于安装预装后门的 Linux 虚拟机。 该 ZIP 文件包含一个名为“OneAmerica Survey.lnk”的 Windows 快捷方式和一个包含 QEMU 虚拟机应用程序的“data”文件夹，其中主要可执行文件伪装为 fontdiag.exe。 启动快捷方式时，它会执行 PowerShell 命令将下载的存档解压到“%UserProfile%\datax”文件夹，然后启动“start.bat”以在设备上设置并启动自定义 QEMU Linux 虚拟机。 Start.bat批处理文件安装QEMU Linux虚拟机 安装虚拟机时，同一个批处理文件将显示从远程站点下载的 PNG 文件，该文件显示虚假服务器错误作为诱饵，这意味着调查链接已损坏。 显示假错误的图像 名为“PivotBox”的定制 TinyCore Linux VM 预装了一个后门，可保护持久的 C2 通信，允许攻击者在后台进行操作。 由于 QEMU 是一个经过…

1 概述 InterLock勒索攻击组织被发现于2024年9月，该组织通过网络钓鱼、漏洞利用、搭载于其他恶意软件和非法获取凭证等多种手段渗透受害者网络，窃取敏感信息并加密数据，实施双重勒索，以此对受害者施加压力。暂未发现该组织通过勒索软件即服务（RaaS）模式招募附属成员以扩大非法收益的情况。目前，已监测到该组织开发了针对Windows、Linux和FreeBSD系统的加密载荷。在Windows系统中，InterLock勒索软件采用“AES+RSA”算法对文件进行加密。感染的迹象包括文件名后添加“.interlock”扩展名，以及出现名为“!README!.txt”的勒索信。截至目前，尚未发现任何工具能够有效解密由InterLock勒索软件加密的数据。 InterLock组织在暗网中运营一个名为“InterLock Worldwide Secrets Blog”的网站，公开受害者信息。该网站包含组织介绍、联系方式、受害者资料以及从受害者系统中窃取的数据等。对于每位受害者，攻击者创建独立的信息板块，列出受害者名称、官网链接、信息概览、被盗文件类型和数量。攻击者利用公开受害者信息和部分被盗文件作为要挟，迫使受害者为防数据被出售或公开而支付赎金或满足其他非法要求。截至2024年11月21日，该网站已公布7名受害者的信息，但实际受害数量可能更多。攻击者可能基于多种原因选择不公开或删除某些信息，例如在与受害者达成协议，或受害者支付赎金换取了信息的移除。 InterLock组织所使用的勒索加密载荷和攻击技战术等特征揭示了其与Rhysida组织[1]…

1 概述 近期，安天CERT监测到一起挖矿木马攻击事件，该挖矿木马从2024年3月开始出现，并持续更新攻击脚本。该挖矿木马的典型特点是针对操作系统类型下载对应的挖矿程序、检查系统环境是否有curl、Python、Perl等工具，如果有则使用这些工具下载挖矿程序，如果没有会进行下载适配、根据CPU算力动态调整运行参数，不会饱和使用CPU资源，避免因消耗过多资源被用户感知发现。该挖矿木马因其在脚本中多次出现“app”字符串，故安天CERT将该挖矿木马命名为“app Miner”。 经验证，安天智甲终端防御系统可实现该挖矿木马的有效查杀。 2 攻击流程 app Miner挖矿木马首先会执行一系列功能模块中的功能，如根据CPU线程数估算门罗币（Monero）挖矿的哈希率、根据CPU算力动态调整运行参数、遍历指定目录尝试找到一个足够空间投放挖矿木马的目录、根据受害主机操作系统类型和架构等，生成一个格式化的文件名、查找感染系统中正在运行的竞品挖矿进程等等。之后会从指定的URL上下载挖矿程序、设置挖矿配置文件进行挖矿。该挖矿木马还有很多函数具有多种功能，但默认状态下脚本未开启这些功能或待开发中，其中主要包括计划任务函数、服务函数、进程检查函数等等。 图 2‑1 攻击流程图 3 脚本功能分析 根据CPU线程数估算Monero挖矿的哈希率，然后基于这个哈希率动态计算并选择一个端口号。用于配置一个挖矿程序以选择适当的端口进行通信。这样的设计可能是为了在不同机器上运行时根据机器的不同性能选择合适的设置。 图 3‑1 估算Monero挖矿的哈希率 根据CP…

黑客利用 ZIP 文件串联技术以 Windows 计算机为目标，在压缩档案中传递恶意负载，而目前安全解决方案却无法检测到它们。 该技术利用了 ZIP 解析器和存档管理器处理串联 ZIP 文件的不同方法。有安全公司发现了这一新问题，在分析利用虚假发货通知引诱用户的网络钓鱼攻击时，发现了隐藏木马的串联 ZIP 存档。 安全研究人员发现，该附件伪装成 RAR 存档，并且恶意软件利用 AutoIt 脚本语言来自动执行恶意任务。 网络钓鱼电子邮件将特洛伊木马隐藏在串联的 ZIP 文件中 将恶意软件隐藏在“损坏的”ZIP 中 攻击的第一阶段是准备阶段，威胁者创建两个或多个单独的 ZIP 存档，并将恶意负载隐藏在其中一个中，剩下的则保留无害的内容。 接下来，通过将一个文件的二进制数据附加到另一个文件，将其内容合并到一个组合的 ZIP 存档中，将单独的文件连接成一个文件。尽管最终结果显示为一个文件，但它包含多个 ZIP 结构，每个结构都有自己的中心目录和结束标记。 ZIP 文件的内部结构 利用 ZIP 应用程序漏洞 攻击的下一阶段依赖于 ZIP 解析器如何处理串联档案。安全公司测试了 7zip、WinRAR 和 Windows 文件资源管理器，得到了不同的结果： ·7zip 仅读取第一个 ZIP 存档（这可能是良性的），并可能生成有关其他数据的警告，用户可能会错过这些数据 ·WinRAR 读取并显示这两个 ZIP 结构，显示所有文件，包括隐藏的恶意负载。 ·Windows 文件资源管理器可能无法打开串联文件，或者如果使用 .RAR 扩展名重命名，…

导读：本文基于《IDC TechScape：中国网络安全软件技术发展路线图，2024》中关于网络安全实训演练测试平台（靶场）的技术路线分析，结合国内外靶场的发展状况与建设经验，深入解读国内靶场行业下一阶段的发展及演进趋势。同时，结合实用型靶场的建设经验，概括适用于国内行业的评价指标，明确未来发展方向。 前景好VS应用难，实用型靶场呼之欲出 IDC靶场发展路线解读 2024年10月，IDC TechScape首次发布《中国网络安全软件技术发展路线图》，在机会型科技趋势中提到网络安全靶场（网络安全实训演练测试平台），并将其标记为值得长期投入的产品类型。赛宁网安基于靶场行业的深厚积淀，成为IDC权威认可的网络安全靶场（网络安全实训演练测试平台）首个推荐厂商。多年深耕，赛宁网安积累了丰富的国内外靶场项目建设经验，并深度参与了用户方靶场的规划及标准制定，在下一代实用型靶场建设方面探索出可借鉴的实践路径和方案。 上述图表数据显示，靶场行业的采用度和市场热度均处于中等水平。对比当前国内靶场面临的功能堆砌、业务复杂、上手门槛高等发展现状，结合市场热度数据，可以合理推断出：尽管靶场在网络安全领域具备良好的应用前景，但缺乏一个通用、简明且实用的行业规范来衡量国内同类产品，这成为制约靶场行业发展的重要因素。 放眼国际市场，实用型靶场占据主流 美欧靶场建设经验参考 美、欧地区在靶场类项目的建设初期会经过多轮业务合理性评审，其规划多基于实际业务需求，并结合安全运营要求作为指导。 欧洲案例 - 挪威网络靶场（Norwegian Cyber Range） 挪威网络…

1. 基本介绍1.1 概要 通用即插即用（英语：Universal Plug and Play，简称UPnP）是由“通用即插即用论坛”（UPnP™ Forum）推广的一套网络协议。该协议的目标是使家庭网络（数据共享、通信和娱乐）和公司网络中的各种设备能够相互无缝连接，并简化相关网络的实现。UPnP通过定义和发布基于开放、因特网通讯网协议标准的UPnP设备控制协议来实现这一目标。 1.2 结构组成设备 - UPNP规范中的最基本单元。代表一个物理设备或包含多个物理设备的逻辑设备。服务 - UPNP规范中的最小控制单元。代表设备提供的服务及调用API接口。控制点 - UPNP所在网络的其他网络中UPNP设备。1.3 协议过程发现 - 简单发现服务描述 - 通过远程访问URL，XML文件格式显示服务相关信息控制 - 控制信息使用SOAP协议，XML文件格式显示。2. 安全风险 UPnP由于设计上的缺陷而产生的漏洞，这些其中大多数漏洞是由于服务配置错误或实施不当造成的。 路由器设备作为代理，对内网进行渗透测试开启端口映射，访问内部计算机3. 威胁分析3.1 获得服务控制协议文档(SCPD)(1) 部分开启服务 - 1 (2) 部分开启服务 - 2 开启服务汇总 <serviceType>urn:schemas-upnp-org:service:Layer3Forwarding:1serviceType> <serviceId>urn:upnp-org:serviceId:L3Forwarding1serviceId&…

在当今快节奏的商业环境中，员工越来越多地求助于未经授权的 IT 解决方案来简化工作并提高生产力。这些系统、设备、软件和服务被称为“影子 IT”，它们通常在企业 IT 部门的管辖范围之外运行。 尽管影子 IT 通常是出于提高办公效率而采用的，但它可能会带来重大的安全风险、合规性问题和隐性成本。本文探讨了影子 IT 的普遍性、它带来的风险，并讨论了管理影子 IT 的策略，包括能够持续发现未知 IT 资产的解决方案。 影子 IT 示例和成本 影子 IT 的兴起可以归因于多种因素，其驱动因素包括对效率的需求以及对僵化的 IT 流程的不满。员工经常求助于未经授权的解决方案，例如未经批准的协作工具等来克服这些障碍。这种趋势在远程团队中尤为普遍，因为有效的沟通对于远程团队至关重要。 另一个因素是云服务的广泛普及。有了易于使用的应用程序，员工无需通过官方 IT 渠道即可轻松实施工具。 影子 IT 有多种形式，包括使用个人设备工作、采用未经授权的云服务进行文件共享和协作、使用未经批准的生产力应用程序和通信工具、以及在 IT 部门不知情的情况下部署软件。 然而，影子 IT 的盛行给企业带来了巨大的安全和财务风险。研究结果凸显了问题的严重性： ·卡巴斯基发现，85% 的企业面临网络事件，其中 11% 直接与影子 IT 有关。 ·CIO Insight 发现，81% 的业务线员工和 83% 的 IT 员工使用未经批准的 SaaS 应用程序。 ·Mobile Mentor 透露，三分之一的员工绕过公司安全政策来完成他们的任务。 ·Gartner 估计，大型企业的影…

macOS 15“Sequoia”的用户在使用某些端点检测和响应 (EDR) 或虚拟专用网络 (VPN) 解决方案以及 Web 浏览器时报告网络连接错误。在停用这些工具后问题得到解决，这表明网络堆栈存在不兼容问题。 受影响的用户描述了 CrowdStrike Falcon 和 ESET Endpoint Security 的问题，以及防火墙引起的数据包损坏，从而导致 Web 浏览器 SSL 失败或无法使用“wget”和“curl”。 9 月，苹果发布了 Sequoia，称其为“全球最先进的桌面操作系统的最新版本”。在一份非公开公告中，CrowdStrike 表示由于 macOS 15 Sequoia 的内部网络结构发生变化，建议客户不应升级，直到发布完全支持 macOS 15 Sequoia 的 Mac 传感器为止。 据报道，SentinelOne 支持还警告用户不要立即升级到 macOS Sequoia，因为最近发现了可用性问题。 人们还报告了 Mullvad VPN 以及他们用于远程工作的企业 VPN 产品存在间歇性连接问题，但据了解 ProtonVPN 在最新的 macOS 版本上运行良好。 虽然苹果公司尚未回应有关这些问题的新闻请求，但 据 macOS 15 发行说明显示，该操作系统防火墙中的一项功能已被弃用，这可能是导致这些问题的原因。 Application Firewall settings are no longer contained in a property list. If your app or workflow…

篇首语：这是“特警局手册”系列的第4篇，也是杨叔原创技术软文的总第86篇。杨叔希望通过“特警局手册”系列，给大家带来一些有趣的反窃密及高级安保方面知识。 声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 01 长杆伸缩式摄像头操作员 今天，TSCM反窃密专家们，在对某些较大的室内场所检测时，比如大型会议室、酒店套间、高档会所等，都会用到这种可伸缩的长杆式摄像设备。 主要用于检测较高位置的视野盲区，是否存在可疑的器材，比如针孔偷拍、录音笔等。 这类长杆式摄像设备，其实在很多场合都有着实际意义，不过有些人可能并不认同。 杨叔就遇到过，有学员曾经在RC2的专项课程里抱怨说这玩意没用。 呐，其实TSCM领域的一个基本概念就是： 而VPC和管道窥视仪这两款设备，是最能互补的两类设备，一个用于高处，一个用于细节，下图是RC2的平日训练装备。 下图中这个就有些搞笑了，在车辆这样狭窄的空间里，使用长杆式检测设备，就是典型的无处下口，装X失败的范例。 这样类似的情况，在短视频平台上比比皆是（很多看似穿着专业的什么高端安保人员，唉，让人无语）。 哈哈，不扯了，下面聊聊警用的伸缩式长杆摄像头，大家看看有什么区别 02 SWAT的长杆摄像操作员 首先，如下图，执法机构使用的长杆式伸缩摄像机，主要用于楼宇空间，但也可用于搜索吊顶、地下室入口、楼梯间、地下通道、地下排水系统或类似的隐蔽区域。 其次，执法机构使用的设备装有黑白和彩色红外摄像头，因此不需要可见光。摄像头可以在完全黑暗的情况下秘密部署。 第三，在实际…

漏洞概述 WPS Office程序promecefpluginhost.exe存在不当路径验证问题，允许攻击者在Windows上加载任意Windows库文件。该漏洞已被APT-C-60攻击者利用，当用户打开MHTML格式的文档时，只需单击一个恶意制作的超链接，即可执行攻击者指定的恶意库文件，实现远程代码执行。 影响范围 WPS Office版本12.2.0.13110-12.2.0.16412 复现环境 操作系统：Win10 10.0.18363.592 WPS Office版本：WPS Office 12.2.0.13110 分析过程 WPS程序安装后注册了一个名为 ksoqing 的自定义URL协议，注册表路径为：计算机\HKEY_CLASSES_ROOT\ksoqing\shell\open\command，其内容为"C:\Users\【用户名】\AppData\Local\Kingsoft\WPS Office\12.2.0.13110\office6\wps.exe" /qingbangong "%1"。即访问以ksoqing 开头的URL协议时，将启动wps.exe程序，并传递/qingbangong参数，%1则被替换为以ksoqing 开头的协议链接，一并作为wps启动的参数。 此时wps.exe程序解析参数/qingbangong，并将ksoqing链接内容一并发送到 C:\Users\【用户名】\AppData\Local\Kingsoft\WPS Office\12.2.0.13110\…

1 事件概述 当地时间2024年9月17日下午，黎巴嫩首都贝鲁特以及黎巴嫩东南部和东北部多地发生大量寻呼机（BP机）爆炸事件。黎巴嫩真主党第一时间在其Telegram频道上发布消息称，爆炸发生在当地时间下午3时30分左右，影响了真主党各机构的“工作人员”，有“大量”人受伤。截至18日16时，以色列时报援引黎巴嫩公共卫生部门数据称，爆炸造成11人死亡，约4000人受伤，其中约500人双目失明。 基于本事件最初被多方报道为网络攻击触发的事件，为梳理实际情况，安天组成了由安天CERT、战略情报中心、无线安全技术研发组的混合分析团队进行如下分析。经综合研判，我们初步分析认为这是一起基于供应链（含配送物流）侧，将爆炸物和通讯设备相结合，利用远程信号激活控制电路，实现批量触发爆炸的严重事件。整体研判分析过程如下： 2 事件影响范围 根据媒体和网络信息，爆炸主要发生在黎巴嫩真主党势力强大的地区，特别是贝鲁特南部郊区和贝卡地区，导致此次爆炸事件发生的原因是使用特定品牌型号的寻呼机，根据目前采集信息来看包括了Gold Apollo Pager AP-900 GP和AR-924等型号，上述型号为中国台湾地区金阿波罗公司品牌的寻呼机。但也有未充分验证的消息说爆炸寻呼机也包括Motorola LX2、Teletrim等品牌。此次发生爆炸的通讯设备是在手机普及时代已被绝大多数人所弃用的寻呼机。但由于寻呼机有作为纯信号接受设备，不发射信号，难以被定位的优势。因此在地缘安全形势复杂的黎巴嫩，被黎巴嫩真主党成员以及黎政府重要岗位人员大量使用。网络信源称，真主党向金阿波罗…

黑客瞄准 Oracle WebLogic 服务器，用一种名为“Hadooken”的新 Linux 恶意软件感染它们，该恶意软件会启动一个加密矿工和一个分布式拒绝服务 (DDoS) 攻击工具。 获得的访问权限还可能用于对 Windows 系统执行勒索软件攻击。容器安全解决方案公司 Aqua Security 的研究人员在蜜罐上观察到了这种攻击，威胁者由于凭证薄弱而攻破了蜜罐。 Oracle WebLogic Server 是一款企业级 Java EE 应用服务器，用于构建、部署和管理大规模分布式应用程序。该产品常用于银行和金融服务、电子商务、电信、政府组织和公共服务。 攻击者之所以将 WebLogic 视为目标，是因为它在业务关键型环境中非常受欢迎，这些环境通常拥有丰富的处理资源，是加密货币挖矿和 DDoS 攻击的理想选择。 Hadooken 猛烈攻击 一旦攻击者破坏环境并获得足够的权限，他们就会下载名为“c”的 shell 脚本和名为“y”的 Python 脚本。 研究人员表示，这两个脚本都会释放 Hadooken，但 shell 代码还会尝试在各个目录中查找 SSH 数据，并利用这些信息攻击已知服务器。此外，“c”还会在网络上横向移动以分发 Hadooken。 在已知主机上搜索 SSH 密钥 反过来，Hadooken 会投放并执行加密货币挖矿程序和 Tsunami 恶意软件，然后设置多个 cron 作业，这些作业的名称和有效负载执行频率都是随机的。 Tsunami 是一种 Linux DDoS 僵尸网络恶意软件，它通过对弱密码进行暴…