蓝队取证审计网络安全

目录0x00 技能栈 0x01 漏洞理解篇(Vulnerability) 1.1 前端 1.2 后端 1.3 打造自己的知识库 0x02 漏洞利用篇(Exploit) 2.1 前端安全-XSS 2.2 前端安全-CSRF 2.9 Server-side request forgery (SSRF) 2.4 [注入]SQL注入&数据库漏洞利用 2.5 [注入]模板注入 Server Side Template Injection (SSTI) 2.6 [注入]命令注入&代码执行 2.7 [注入]Xpath注入 2.8 XML External Entity (XXE) 2.9 文件操作漏洞 2.10 反序列化漏洞 2.11 包含漏洞 2.12 Java-特性漏洞 2.13 NodeJs-特性漏洞 2.14 不一致性 0x03 代码审计篇(Audit) 3.1 PHP 3.2 JAVA 3.3 .NET 3.4 Perl CGI 0x04 渗透篇(Penetration) 4.1 网络预置 4.1.1 代理客户端(环境准备) 4.1.2 常规信息（单兵） 4.1.3 资产搜索引擎（大数据） 4.1.4 移动端信息收集 4.1.5 近源渗透（WiFi） 4.2 网络接入(exp) 4.2.1 漏洞验证（扫描器） 4.2.1.1 主动式 4.2.1.2 被动式 4.2.2漏洞利用(1day) 4.2.2.1 漏洞利用知识 4.2.2.2 漏洞利用工具 4.2.2.3 dnslog平台 4.2.3 字典 4.3 权限获取&提…

有营销团队声称，他们能够通过智能手机、智能电视及其他设备上的嵌入式麦克风来监听消费者的对话内容，从而收集数据，并利用这些数据来投放精准广告。有媒体查看了该营销材料后证实了这一点。他们声称，这项名为“主动监听”的功能可以在平常的对话间，实时识别潜在客户。 大部分公众一直相信智能手机会监听用户，以便投放广告，这则消息则证实了在某些情况下这样的事情可能最终成为现实，目前尚不清楚这种功能是否已经用在市面设备上。 但有媒体发现，该营销团队在网站上明确表示有兴趣的人可以就该产品与他们取得联系。接到推销这项服务的一名营销专业人士表示，有关工作人员已向他们分享了这项服务的价格。 他们在网站上表示，通过主动监听，他们能够“将你的广告精准投放给你的目标人群。”旨在根据潜在客户或顾客在日常对话中所说的内容，精准锁定他们。具体来说，这样的对话内容包括如下： “汽车租赁还有一个月就到期了，我们需要一项方案。” “一辆小型货车对我们来说再合适不过了。” “这台空调快要报废了！” “我们需要更优惠的抵押贷款利率。” 该网站声称，客户可以要求设定他们想要使用该项服务的区域，服务可覆盖的半径范围为10英里或20英里。设定完毕后，主动监听开始运行，并通过人工智能进行分析，以检测通过智能手机、智能电视及其他设备的相关对话。他们还声称，他们在客户的网站上安装了跟踪像素，可以密切关注投资回报率。 图1. 考克斯传媒集团网站的屏幕截图 网站声称，确定了受众后，他们就会通过流媒体电视、流媒体音频、展示广告、谷歌和必应搜索等多种手段，向这些受众投放广告。 公开宣传这种功能立即引起了…

英国政府在一份报告中警告说，到2025年，人工智能可能会加剧网络攻击的风险，破坏公众对网络内容的信心，报告还指出，恐怖分子还可能会利用这项技术策划化学或生物袭击，然而，还有一部分专家对技术是否会像预测那样发展表示怀疑。 预计本周总理苏纳克（Rishi Sunak）将会强调技术所带来的机遇和威胁。 在政府报告中分析了生成式人工智能，这种技术目前为大量的使用图像生成软件和聊天机器人提供了动力。 报告还指出，到2025年，人工智能可能会带来更快、更强、更广泛的网络攻击。英国皇家联合服务研究所的约瑟夫-贾内基（Joseph Jarnecki）表示，黑客可以利用人工智能（AI）成功模仿政治语言。这带来了很大的挑战，因为政治术语会有其特定的语调，黑客发现利用起来很棘手。 这份报告是在苏纳克发表讲话之前发布的，苏纳克在讲话中详细阐述了英国政府保障人工智能安全并将英国定位为该领域全球领导者的想法。尽管苏纳克承认人工智能具有提高经济增长和解决问题能力的潜力，但他也强调有必要解决随之而来的各种风险和焦虑。 苏纳克先生可能会这样说，人工智能将带来新的知识、新的经济增长机遇、新的人类能力进步，以及解决我们曾经认为无法解决的问题的机会。但它也会带来新的危险和新的恐惧。 此外，前沿的人工智能或高度先进的新的技术将在政府峰会上进行讨论，关于这些技术是否会对人类造成危害，目前仍有争议。政府科学办公室最近发布的另一份报告指出，许多专家认为这种风险不太可能发生，而且发生的可能途径也不多。 人工智能需要对金融或军事系统等重要系统产生影响，才能威胁到人类的生存，人工智能还需要开…

SSH是提供网络服务的安全访问的互联网标准，主要用于远程终端登录和文件传输，应用于超过1.5亿服务器。来自德国波鸿鲁尔大学的安全研究人员在SSH协议中发现了一个安全漏洞——Terrapin，攻击者利用该漏洞可以打破SSH协议安全通道的完整性以影响SSH的安全性。 Terrapin攻击概述 Terrapin是一种针对SSH协议的前缀截断攻击。具体来说，攻击者可以通过调整握手阶段的序列号来移除客户端或服务器发送任意数量的消息，而不引起服务器或客户端的注意。漏洞CVE编号为CVE-2023-48795，CVSS评分5.9分。 图 Terrapin攻击流程 Terrapin攻击流程如图所示，攻击者丢弃一个用于协商多个协议扩展的EXT_INFO消息。一般来说，客户端在接收到服务器发送的下一个二进制包之后会检测到包删除，因为序列化会不匹配。为预防该问题，攻击者在握手阶段注入一个可忽略的包来使序列化产生对应的偏移。 此外，研究人员还发现Terrapin攻击可以用于实现漏洞的利用。比如，研究人员发现AsyncSSH服务器的状态机存在安全漏洞，攻击者利用该漏洞可以用其他账户登录受害者客户端而不引发受害者注意。这使得攻击者可以在加密会话中实现中间人攻击。 为实现Terrapin，需要在网络层具有中间人攻击能力，即攻击者需要具备拦截和修改连接流量的能力。比如，连接必须是安全的或通过ChaCha20-Poly1305、CBC模式。 漏洞扫描器 研究人员用Go语言编写了一个简单的应用来检测SSH服务器或客户端是否受到Terrapin攻击的影响。源码参见GitH…

随着越来越多的企业依赖云计算来简化运营并提高可扩展性，企业正在采用云优先的方法，将网络、性能、安全、终端管理和支持全部通过CloudOps结合起来。CloudOps结合了IT流程和DevOps原理，确保云基础设施及其应用的平稳运行、维护和优化。 随着数据泄露和安全漏洞给企业带来了重大风险，CloudOps已经成为确保基于云的系统安全性和完整性的关键组成部分。通过这篇文章，我们可以学习构建和自动化一个强大的云优先策略，帮助各种规模的组织免受潜在的云安全风险。 CloudOps CloudOps不仅是Cloud+DevOps的深度结合，而是从CARES (Cost, Automation, Resilience, Elasticity, Security)五大维度进一步升级了DevOps实践的关注面，让业务代码的构建效率、发布效率、高可用能力、成本控制等的多个维度可感知、可衡量、可控制。 根据Gartner的数据，预计今年全球最终用户在公共云服务上的支出将增长近22%，总计5973亿美元。鉴于其普及程度，安全专家将云视为数字业务下一阶段的推动力，因为它是数字化转型和服务的高度战略平台。 虽然云的使用在现代商业环境中几乎是普遍的，但许多部署的架构仍然很差，或者是临时组装的。2023年的数字化趋势表明，云基础设施优化是需要关注的首要事项之一。云的兴起是显而易见的，企业领导者正在努力发展他们的IT、工程和开发团队，为他们的业务构建正确的云安全管理和运营策略。这就是CloudOps发挥作用的地方。 CloudOps专注于管理和优化基于云的基础设施、应…

恐怖组织已经开始尝试使用人工智能，尤其是利用生成式人工智能，以制造大量新的宣传内容。专家们担心，这些组织越来越多地使用生成式人工智能工具，可能会颠覆科技巨头们近年来为阻止其进入互联网而做的努力。 科技反恐组织（Tech Against Terrorism）执行董事亚当•哈德利（Adam Hadley）说道：“我们最担心的是，如果恐怖分子开始使用生成式人工智能大规模操纵图像，这很可能会摧毁作为解决方案的哈希共享。这是一个巨大的风险。” 多年来，科技巨头们一直在竭力创建已知的恐怖分子内容的数据库，即所谓的哈希数据库，这些数据库在各平台间共享，以快速、自动地从互联网上删除此类内容。不过据哈德利声称，他的同事们现在每周都会发现大约5000个人工智能生成内容的例子。 哈德利表示：“科技行业在开发自动化技术方面做得如此出色，恐怖分子很可能会开始使用生成式人工智能来规避已经部署的系统。” 除了详细介绍可以改动图像的生成式人工智能工具带来的威胁外，科技反恐组织还发布了一份新报告，列举了生成式人工智能工具可用于帮助恐怖组织的其他方式，其中包括使用自动翻译工具，可以快速轻松地将宣传内容转换成多种语言，或者能够大规模地创建个性化信息，为在线招募工作提供便利。不过哈德利认为，人工智能也提供了一个机会，让我们可以领先恐怖组织一步，使用技术做到先发制人。 哈德利说道：“我们将与微软公司进行合作，研究是否有办法利用我们的资料档案创建一种生成式人工智能检测系统，以便应对生成式人工智能被大规模用于恐怖组织的新威胁。我们相信，生成式人工智能可以用来抵御生成式人工智能的恶意使…

研究人员成功越狱特斯拉汽车信息娱乐系统，可解锁付费功能，提取秘密信息。 特斯拉（Tesla）汽车中融入了先进的计算机系统，实现包括自动驾驶、娱乐等功能。近期，特斯拉使用搭建的平台实现了车内购买功能，不仅包括额外的连接特征，还包括更快的加速以及座椅加热。因此，黑掉嵌入汽车的计算机系统可以让用户在无需付费的情况下解锁这些付费功能。 此前报道称，配备最新硬件平台的特斯拉Model S和X现在可以玩Steam游戏。特斯拉信息娱乐系统可以从Steam库中运行数千个游戏。特斯拉几款最新的汽车所搭载的信息娱乐系统是基于AMD平台的，来自德国柏林工业大学的研究人员提出一种针对特斯拉汽车信息娱乐系统的越狱方法，使用户可以自由使用特斯拉汽车信息娱乐系统提供的各种功能。 Tesla的信息娱乐APU是基于AMD Zen 1 CPU，因此研究人员尝试利用AMD Zen 1 CPU中之前发现的漏洞来对特斯拉车载APU进行越狱。首先，研究人员使用已知的电压错误注入攻击来攻击系统的信任根——AMD安全处理器（ASP）。然后逆向ASP的启动流以获取使用的Linux版本的root shell。在获取root权限后，研究人员就可以执行任意操作，比如重启信息娱乐系统、控制特斯拉的OTA更新。 此外，还可以访问和解密汽车信息系统中的敏感信息，比如车主的个人数据、通讯录、日历、通话记录、Gmail会话cookie、WiFi密码和历史位置信息。研究人员还成功提取了特斯拉内部服务网络中对车辆进行认证和授权的RSA密钥。 对于实现特斯拉信息娱乐系统越狱所需的工具，研究人员只需要称烙铁和…

"Find My"网络和应用是苹果提出的用于帮助用户定位丢失的苹果设备的一款功能，适用于iPhone、iPad、Mac、苹果手表、AirPod、和Apple Tag等苹果设备。该功能依赖全球数百万苹果设备的GPS和蓝牙数据以找出丢失的、被窃的设备，即使设备处于非在线状态。如果附近的苹果设备检测到丢失的设备发送的蓝牙信号，就会通过 Find My网络匿名地将其位置信息中继给设备所有者。 Positive Security研究人员两年前首次发现Find My可以被滥用来传输除设备位置外的其他信息。近日，研究人员创建了一个硬件设备PoC来强调该风险。研究人员将一个键盘记录器和ESP32蓝牙传输器融合到一个USB键盘中来表明通过Find My 网络和蓝夜可以中继键盘输入的密码和其他敏感数据。 图 攻击流图 蓝牙传输比WLAN键盘记录器和Raspberry Pi设备更加隐秘。此外，Find My平台可以利用广泛存在的苹果设备进行信息传输的中继。键盘记录器无需使用AirTag或官方支持的芯片，因为苹果设备会对所有蓝牙信息进行响应。如果信息的格式正确，接收到的苹果设备就会创建一个位置报告并上传到Find My网络。 图 未知苹果设备记录 发送者需要创建大量不同的公钥加密密钥来模拟多个AirTag，并在密钥的预定义位置分配特定位移编码任意数据。 图 通过Find My编码任意数据 接收方可以从云端接收到的多个报告中提取数据并连接在一起提取出完整数据，即键盘记录器的输入。 图 接收端解码传输的数据 研究人员称数据传输的设备只需要一个蓝牙版本的…

当一名 Imperva的工作人员被社会工程学攻击并泄露大量的信息时，实际上他已经陷入了一场全球范围内的网络钓鱼攻击活动。 Imperva 位于加利福尼亚州圣马特奥，是一家网络安全公司。该公司专门为企业数据和应用软件提供保护解决方案，确保企业免受潜在的威胁。 该事件起源于他（Imperva 员工）曾经试图在二手物品网站 Yad2 上出售一个汽车座椅。一个有意购买的人在 WhatsApp 上给他发了消息，并使用 Yad2 的外观样式页面介绍了一个虚假的支付服务，同时还发送了一个链接（hxxps://yad2[.]send-u[.]online/4765567942451）。 这个虚假的网站上有 Yad2 徽标和一个橙色的付款按钮。随后，被攻击目标被引导到一个付款页面，该页面会将信用卡信息传送给了欺诈者。并且该网站还提供了客户聊天功能，使用该功能用户能够直接与 Yad2 联系。 这次大规模的攻击行动使用了800 多个不同的恶意域名，伪造了约 340 家全球知名企业的信息。这其中包括知名金融机构、邮政和快递服务以及社交媒体和电子商务平台。 被仿冒的公司实体包括 Facebook、Booking.com 等知名网站和其他经常访问的网站，所有的这些网站都吸引了大量的用户的流量。 目前已经检测到了一个来自俄罗斯 IP 地址的攻击活动，该攻击活动与大约 800 个不同的诈骗域名有关系，所有的这些域名都在 "破坏指标"（IOCs）中有所概述。该攻击活动的源头可追溯到 2022 年 5 月，并且目前仍处于活跃期，并能够定期进行更新。目前综合分析发现了超过 4…

近日谷歌应用程序商店Google Play上惊现两个新的安卓恶意软件家族：“CherryBlos”和“FakeTrade”，它们旨在窃取加密货币凭据和资金，或者从事诈骗活动。 趋势科技公司发现了这些新的恶意软件种类，它发现两者使用相同的网络基础设施和证书，这表明它们是由同一伙威胁分子创建的。 恶意应用程序使用各种分发渠道来传播，包括社交媒体、网络钓鱼网站以及安卓官方应用程序商店Google Play上的欺诈性购物应用程序。 CherryBlos恶意软件 CherryBlos恶意软件于2023年4月首次被发现肆意分发，以APK（安卓软件包）文件的形式在Telegram、Twitter和YouTube上推广，伪装成了人工智能工具或加密货币挖矿软件。 图1.推广CherryBlos投放应用程序的YouTube视频（图片来源：趋势科技） 恶意APK的名称为GPTalk、Happy Miner、Robot999和SynthNet，分别从拥有匹配域名的以下网站下载： • chatgptc[.]io • Happyminer[.]com • robot999[.]net • synthne[.]ai 一个恶意的Synthnet应用程序也被上传到了Google Play商店，在被举报并被删除之前，它已被下载了大约1000次。 CherryBlos是一个加密货币窃取器，滥用Accessibility（辅助功能）服务权限从C2服务器获取两个配置文件，自动批准额外的权限，并防止用户杀死被植入木马的应用程序。 CherryBlos使用一系列策略来窃取加密货币…

Moq在NuGet软件注册中心上分发，每天的下载量超过100000人次，自问世以来累计下载量已超过4.76亿人次。 Moq近期发布的4.20.0版本悄悄加入了另一个项目SponsorLink，该项目在开源软件消费者中引起了轩然大波，他们将此举比作辜负了广大用户的信任。 SponsorLink貌似是一个开源项目，实际上作为闭源代码在NuGet上分发，关键是含有经过混淆处理的DLL，这些DLL收集用户电子邮件地址的哈希值，并将它们发送到SponsorLink的CDN，从而引发隐私问题。 Moq辜负了用户的信任 半个月前，Moq的所有者之一Daniel Cazzulino（kzu，还负责维护SponsorLink 项目）将SponsorLink添加到Moq 4.20.0及更高版本中。 这一举动在开源生态系统中引起了轰动，主要出于两个原因——虽然Cazzulino完全有权改变其项目Moq，但他在捆绑依赖项之前并没有通知用户群，而且SponsorLink DLL含有经过混淆处理的代码，因而很难进行逆向工程分析，并不是完全“开源”。 德国软件开发人员Georg Dang警告道，扫描功能是在构建过程中运行的.NET 分析器工具的一部分，很难被禁用。 SponsorLink称自己是一种将GitHub Sponsors集成到用户库中的方法，以便用户可以正确链接到他们的赞助商以解锁功能，或者只是因支持用户的项目而获得应有的认可。 GitHub用户Mike（d0pare）反编译了DLL，并分享了大致重构源代码的结果。据这位分析师声称，这个库“生成外部git进程…

据相关研究人员声称，威胁分子正在寻找新的方法来滥用GitHub，企图诱骗开发人员将恶意代码放入到软件中，发送给下游用户。 GitHub和Python软件包索引（PyPI）之类的代码库是黑客的热门目标，他们滥用软件供应链，更容易以低成本传播恶意软件同时逃避检测。ReversingLabs的逆向工程师Karlo Zanki在报告中写道，威胁分子已经可以熟练地利用公共服务作为指挥和控制（C2）基础设施。威胁研究团队发现，越来越多的人使用GitHub开源开发平台来托管恶意软件。 研究人员发现了两种恶意利用GitHub的新方法，但背后可能来自同一威胁组织。第一种方法滥用了托管两个阶段的恶意载荷GitHub Gists。 威胁分子滥用Gists Gists可以是公开的也可以是秘密的，秘密gists并不出现在GitHub的Discover中，除了秘密gists的创建者外，任何人都搜索不到秘密gists，只有当创建者登录时才能搜索到它们。但如果开发人员将秘密gists的URL发送给其他人，对方也能够看到它。 秘密Gists的一个特点是，它们不会在创建者的GitHub个人资料页面上可见，从攻击者的角度来看，这使得它们可以用作一种粘贴服务，不会引起太大的怀疑。 ReveringLabs的研究人员发现了几个PyPI软件包：httprequesthub、pyhttpproxifier、libsock、libproxy和libsocks5，它们似乎是处理网络代理的库，含有与遥测数据有关的Base64编码字符串。然而，它们实际上含有一个指向秘密gist的URL。 …

研究人员发现，一个名为ScarletEel的有经济动机的威胁攻击者一直在渗透亚马逊网络服务（AWS）进行各种恶意活动。这些攻击活动包括窃取凭证和知识产权、部署加密挖矿软件以及进行分布式拒绝服务（DDoS）攻击。 ScarletEel最初是由云安全公司Sysdig在今年2月的一篇博文中进行披露的。研究人员发现该组织能够对AWS工具进行灵活的运用，并利用原生的AWS功能在云环境中进行有效的操作。并且通过获得适当的访问权限，ScarletEel然后会执行双重攻击策略，即植入加密挖矿软件，同时窃取知识产权。 针对Sysdig最近进行的分析显示，ScarletEel在不断完善它的战术并躲避云安全检测机制。该威胁行为体已将其能力扩展到针对AWS Fargate（一种相对未开发的计算引擎）。此外，ScarletEel还将DDoS即服务（DDoS-as-a-service）纳入到了其利用技术的范围。 Sysdig的威胁研究工程师Alessandro Brucato解释说，ScarletEel更善于针对受害者的环境，提高了利用漏洞的能力，同时很好的规避了客户实施的防御安全措施。 为了发起更多的网络攻击，ScarletEel利用了Kubernetes集群中的Jupyter notebook容器。攻击者利用脚本搜索AWS凭据，并将其发送回指挥控制（C2）服务器内。不过有趣的是，这些脚本使用了内置的shell命令，而不是使用命令行工具来隐蔽地窃取数据，从而避免了curl和wget等监控工具的检测。 ScarletEel也使用了Pacu（一种针对AWS的开源渗透测…

基于深度学习的声波攻击可破解键盘输入，准确率达95% 来自英国的研究人员将深度学习方法应用于键盘输入数据识别，准确率高达95%。 基于深度学习的键盘输入识别方法 研究的第一步是收集目标键盘输入数据，这对于深度学习算法的训练至关重要。数据的收集可以通过键盘附近的麦克风或目标手机中安装的具有麦克风访问权限的应用来获取。此外，还可以通过Zoom视频会议的录屏方式来记录参与者的键盘输入。研究人员对MacBook Pro的36个按键分别按25次，并对每个按键操作进行录音。 图 键盘输入音频信息示例 然后，对音频信息进行处理，识别每个键按压的差异，并进行特殊的数据处理对数据进行放大处理以识别键盘输入。 图 生成的频谱 研究中研究人员使用了 CoAtNet 图像分类器，然后用生成的频谱图像训练CoAtNet。在训练过程中需要实验不同的epoch、学习速率、数据分割参数，以获得最佳的模型准确率。 图 训练CoAtNet使用的参数 在实验中，研究人员使用的是一款使用两年的苹果笔记本电脑键盘、位于目标键盘17cm的iPhone 13 mini设备和zoom会议。 图 测试设置 经过训练，CoANet分类器在智能手机录音和zoom会议录音中可以分别达到95%和93%的准确率。Skype录音的准确率为91.7%。 安全风险 研究中Zoom录音被用于模型训练，预测准确率达到了93%。而zoom应用在工作生活中是非常常用的，因此此类攻击会严重影响目标的数据安全，比如泄露用户密码、讨论的内容、以及其他敏感信息。 与其他对数据率、距离等有特殊攻击限制的侧信…

链动未来·技术前瞻 未来5年，物联网领域的技术趋势预测： 1、物联网设备的数量和多样性的增长，将导致更多的安全威胁和攻击面； 2、物联网设备的智能化和自主化，将导致更多的数据和计算能力分布在边缘和雾层； 3、物联网设备的跨领域和跨平台的集成，将导致更多的协作和互操作性的需求； 4、物联网设备的安全评估和认证，将导致更多的标准和规范的制定和遵守； 5、物联网设备的安全防护和恢复，将导致更多的技术和方法的创新和应用。 ——山石网科通信技术股份有限公司 安全技术研究院安全研究员 王正涵 VxWorks 操作系统是美国WindRiver公司于1983年设计开发的一种嵌入式实时操作系统（RTOS），是嵌入式开发环境的关键组成部分。凭借良好的持续发展能力、高性能的内核以及友好的用户开发环境，Vxworks在嵌入式实时操作系统领域占据一席之地。 “高可靠性”和“强实时性”，使得VxWorks广泛地应用于通信、军事、航空、航天等高精尖技术及实时性要求极高的领域中，如卫星通讯、军事演习、弹道制导、飞机导航等，也因为应用领域的特殊性与关键性，VxWorks的系统安全一直备受技术人员的关注。 2019年该系统就曾被爆出存在多个高危漏洞，面临严重的RCE攻击风险。研究者称“漏洞会导致内存损坏，并造成远程代码执行”。随后系统方对漏洞进行了更新修复，但由于VxWorks系统设备的固件通常是无符号的静态编译的二进制文件，缺乏符号信息和调试信息，也导致系统的固件分析和漏洞挖掘持续面临着巨大挑战。 本届XCon2023大会中，来自山石网科通信技术股份有限公司安全技术研…

Eurecom研究人员Daniele Antonioli识别了针对蓝牙的六类攻击——BLUFFS，其可以打破蓝牙会话的机密性，实现设备模拟和中间人攻击，这六类攻击中有2个利用了解密交换过程中的数据的会话密钥相关的蓝牙标准的漏洞。这些漏洞并不与硬件或软件配置相关，影响的是蓝牙底层协议。 漏洞CVE编号为CVE-2023-24023，影响Bluetooth Core规范4.2到5.4版本。鉴于蓝牙标准的广泛使用，BLUFFS影响数十亿的设备，包括笔记本电脑、智能手机和其他移动设备。 BLUFFS工作原理 BLUFFS是一系列针对蓝牙的漏洞利用，旨在破坏蓝牙会话的forward and future secrecy，破坏设备之间过去和未来通信的机密性。其中利用的4个漏洞位于会话密钥派生过程，攻击者利用该漏洞可以使派生的密钥是长度较短、弱和可预测的会话密钥。然后，攻击者暴露破解会话密钥，就可以解密过去的通信，解密或操纵未来通信。 图 攻击步骤 执行攻击需要攻击者与目标设备在蓝牙传输范围内，攻击者伪装为一个设备与另一个设备协商一个弱的会话密钥，提出尽可能小的密钥熵值。 图 在冒充合法参与者的同时协商会话密钥 BLUFFS攻击涵盖了设备冒充和中间人攻击的不同组合，与受害者是否支持安全连接（Secure Connections，SC）或旧式安全连接（Legacy Secure Connections，LSC）无关。 研究人员还开发了一个工具用以证明BLUFFS攻击的有效性，其中包括一个测试攻击的Python脚本、ARM补丁、分析器、以及测试过程中…

据英国国家网络安全中心（NCSC）撰写的年度报告显示，2023年仅仅利用思杰（Citrix）的一个漏洞就引发了“13起独立的全国性重大事件”。 思杰在2023年7月18日发布的安全公告中披露，迫使安全服务专业人员紧急干预的思杰漏洞CVE-2023-3519于6月首次作为零日漏洞被人利用，用于攻击美国的关键国家基础设施。 该漏洞的CVSS评分为9.8分，是一个预身份验证远程代码执行漏洞，它使攻击者能够以root权限访问思杰网关。 图1. 中间的这个设备即应用程序交付控制器（ADC）岌岌可危。 从思杰的上图可以看出，应用程序交付控制器的目的是“运用安全策略并阻止攻击”，但有时候它也被攻击者利用。 这种事件和威胁形势意味着“我们需要继续提高对关键国家基础设施风险的重视程度”，“比如说，了解英国关键国家基础设施的设计中存在的缺陷（比如网络隔离不足）将是关键所在。” NCSC表示，NCSC处理的事件中比例最高的事件源自应用程序被利用，旨在帮助预防由网络安全实践和做法造成的事件，NCSC通过早期预警服务（EWS）针对易受攻击的服务发出了超过1.6万则通知。 行业上游缺乏网络安全 虽然NCSC认为网络安全实践和做法确实难咎其责（受到攻击的组织将包括那些没有打补丁的），但这里的供应商（思杰）也值得关注，特别是这个漏洞在补丁发布之前被人作为一个零日漏洞而被利用。 正如安全公司Bishop Fox在7月份分析该漏洞时特别指出，完全缺乏漏洞缓解措施使得这个漏洞极容易在VPX版本（思杰/NetScaler在虚拟机管理程序上运行网关的产品）上被利用。相比之下，…

考虑到91%的网络攻击都是从网络钓鱼电子邮件开始的，如果您还没有为员工组织过如何识别网络钓鱼中危险信号的培训，可能会把团队置于严重的风险之中；如果您已经组织了培训，那么为了测试员工的知识接受程度，您可以为他们提供网络钓鱼演练。 下面，我们编译了10个网络钓鱼邮件模板示例，您可以用它们来评估公司内部员工沦为真正的网络钓鱼骗局受害者的可能性。对于那些不幸沦为受害者的员工，花时间教育他们，让他们知道自己犯了什么错误，以及如何防止这些错误再次发生。 示例1：紧急帐户更新骗局 主题：“紧急采取行动：请立即验证您的帐户以防冻结！” 内容：“亲爱的【收信人姓名】：（*括号内容可替换为您选择的名称、链接和品牌） 我们很抱歉地通知您，由于监测到可疑活动，您的账户目前面临被冻结的风险。为了能够继续访问您的帐户并保护您的数据，请点击下面的链接，立即验证并更新您的帐户信息。否则的话，可能会导致帐户永久冻结。 【恶意链接】 我们感谢您方对此事的及时处理。感谢您选择我们的服务。 此致敬礼！ 【虚假公司名称】“ 示例2：虚假发票邮件 主题：“紧急：未付发票需要立即处理和支付” 内容：“亲爱的【收信人姓名】： 希望您看到这条消息时一切安好！很遗憾，我们注意到您方最近的发票#【假发票号】仍未付款，现已过期。为了避免滞纳金和潜在的法律诉讼，我们请您通过点击下面的链接来结算未付款项，您可以在附件的PDF中查看发票细节。 【恶意链接】 非常感谢您对此事的及时处理。如果您有任何问题或需要进一步澄清，请与我们的计费部门联系。 此致敬礼！ 【虚假公司名称】” 示例3：工作机会骗局 …

一个名为“EncryptHub”的威胁者（又名“Larva-208”），一直以世界各地的组织为目标，通过鱼叉式网络钓鱼和社会工程攻击来访问企业网络。 根据Prodaft上周在内部发布的一份报告称，自2024年6月Encrypthub启动运营以来，它已经攻击了至少618个组织。 在获得访问权限后，威胁者安装远程监控和管理（RMM）软件，然后部署像Stealc和Rhadamanthys这样的信息窃取程序。在许多观察到的案例中，EncryptHub也会在受损的系统上部署勒索软件。 据悉，该威胁组织隶属于RansomHub和BlackSuit，过去曾部署过这两家勒索软件加密器，可能是它们的初始访问代理或直接附属机构。 然而，在研究人员观察到的许多攻击中，攻击者部署了自定义的PowerShell数据加密器，因此他们也保留了自己的变体。 获得初始访问权限 Larva-208的攻击包括短信网络钓鱼、语音网络钓鱼，以及模仿企业VPN产品（如Cisco AnyConnect、Palo Alto GlobalProtect、Fortinet和Microsoft 365）的虚假登录页面。 假冒思科登录页面 攻击者通常在给目标的消息中冒充IT支持人员，声称VPN访问有问题或他们的帐户存在安全问题，指示他们登录到一个网络钓鱼网站。 受害者收到链接，这些链接将他们重定向到网络钓鱼登录页面，在那里他们的凭据和多因素身份验证（MFA）令牌（会话cookie）被实时捕获。 一旦网络钓鱼过程结束，受害者将被重定向到服务的真实域，以避免引起怀疑。 网络钓鱼过程概述 Enc…

7月17日，首届“安全平行切面大会”在北京举行。在中国信息协会信息安全专业委员会指导下，蚂蚁集团等联合发起的“安全平行切面联盟” (Aspect-Oriented Technology Alliance，简称AOTA )在会上正式成立并举行授牌仪式。该联盟是基于“安全平行切面”架构的技术生态联盟，将以定向授权的形式，向行业开放安全平行切面核心技术底座。同时将建立人才培养体系、技术标准体系和切面应用生态，与行业携手推动提升企业安全架构的实战性、稳定性、安全性和易用性。 中国科学院院士冯登国、清华大学网络研究院教授段海新、北京赛博英杰科技有限公司创始人谭晓生等院士专家发表致辞，对安全切面体系的发展与未来表示肯定和期待。同时，会上向平安科技、炼石网络、默安科技等首批 14家联盟成员单位，以及安天科技、中测安华、华云安、红途科技、浙江超限首批5家联盟技术授权单位代表进行授牌。 （图：7月17日，“安全平行切面联盟”正式成立） （从左至右）联盟特聘专家、中国科学技术大学教授左晓栋，联盟理事长、蚂蚁集团副总裁、首席技术安全官韦韬，指导单位中国信息协会信息安全专委会副主任赵进延，技术授权单位代表北京华云安信息技术有限公司CEO沈传宝 中国科学院院士 冯登国 当前行业数字化加速，企业不断引入外部数字产品服务、行业技术体系演化，将会导致企业安全的复杂性爆炸式增长。为应对此挑战，2019年蚂蚁集团首创了全新的安全防护体系“安全平行切面”，把安全能力融入企业技术基础设施里且与业务解耦，在不修改业务正常逻辑的情况下，实现攻击和风险的精确阻断和精细化数据治理。 …

在机器人程序（bot）与欺诈预防系统无休止的较量中，无处不在的网站抓取（website scraping）威胁已渗入到了互联网的各个角落。由于隐密算法以及组织对数据贪得无厌的需求，网站抓取攻击构成了一大挑战，严重威胁到了隐私和安全。 网站抓取有利可图，以至于它已催生了一个兜售“抓取即服务”的非法行当。这些影子企业绕过了机器人程序防御系统，为攻击者打开了闸门，从中大肆窃取数据。 抓取即服务简介 实际上，利用“抓取即服务”平台的网络犯罪分子可以部署一群虚拟机器人程序来模仿人类行为，这使得传统的安全系统极难辨别合法活动和恶意活动。通过利用这项技术，不法分子不仅可以获取敏感信息，还可以发动针对性的攻击、操纵在线内容，甚至扰乱或破坏数字服务。事实上，最近的一份报告指出，近40%的受访公司表示，在一个月的时间里，由于网站抓取，公司已损失了超过10%的收入。 抓取即服务加剧了网络安全形势，使威胁分子能够利用漏洞并逃避检测，从而加大了与未经授权的数据提取和网络入侵相关的风险。 对于在线企业、特别是那些严重依赖专有数据和数字资产的行业来说，急需加强安全防御，以抵御日益猖獗的网站抓取攻击。 图1 利用抓取即服务牟利 网站抓取背后的驱动力很简单：牟利。网络犯罪分子可以通过四种不同的方式利用网站抓取攻击牟利： 1. 模仿某个品牌的网站，建立假冒网站，收集有价值的个人信息。 2. 通过抓取来提取信息，从而获得竞争优势或削弱竞争对手的业务。 3. 抓取定价细节以获得套利机会，即从一个地方以较低的价格买进产品，再到另一个地方以较高的价格卖出，从而利用价差获利。 4.…

2023年9月，根据中国国家计算机病毒应急处理中心通报，在会同360公司配合侦办西北工业大学被美国国家安全局（NSA）网络攻击事件过程中，提取出名为“二次约会”的间谍软件样本。 调查发现，除西北工业大学外，美国还长期对国内多个网络目标实施了高达上万次的恶意网络攻击。 美国情报机关攻击华为总部长达14年之久，早在2009年起，美国特定入侵办公室（TAO）就开始入侵华为总部的服务器，并持续开展监控。 据报道，2009年初美国国安局的一个特别小组，成功渗透进了华为公司的计算机网络，并复制超过1400位客户资料和工程师使用的内部培训文件。他们不但窃取了华为的电子邮件存档，还获得个别华为产品的源代码，企图获取华为内部信息的同时，并试图植入后门程序到华为设备中，以便对华为用户进行监控和窃密。 美国国安局之所以渗入华为的深圳总部，因为该公司通过总部处理每个员工的邮件往来，所以从2009年1月起美国就读取了该公司很大一部分员工的电子邮件——包括当时的总裁任正非和董事长孙亚芳的邮件。 随着数字化时代的来临，网络安全防范和风险将是一个永恒的话题。在个人上，用户的计算机终端、移动互联网终端都存在随时被攻击的可能，极大程度会导致个人信息和隐私的泄露，稍有不慎，还会造成经济损失；对企业来说，安全的网络环境不仅是企业经济良好循环的基础，更极大程度上影响着企业的正常运行；在政府层面，如学校、医院、数据中心、交通设施等一旦遭受网络攻击，如若不及时加以控制，必然造成地区动荡，引发恐慌。 习近平总书记在十九届中央政治局第十二次集体学习时讲到“没有网络安全就没有国家安全，…

新一代供应链攻击日盛 软件供应链一直是漏洞和攻击的巨大催化剂，近年来，新一代供应链攻击正在兴起。在这种攻击中，黑客通常将第三方和内部非人类身份作为访问核心业务系统的手段。虽然许多关于供应链安全风险的讨论都集中在软件应用程序组件本身的漏洞上，但它们却忽略了供应链安全风险的一个关键领域：非人类身份及其对核心业务和工程环境的不受控制的访问。 1. 不受监控的内部访问密钥和令牌 先来看一组实际工程环境中的数据： ·开发团队每周在GitHub中创建大约20-30个新的个人访问令牌和SSH密钥。 ·在典型的GitHub环境中，大约有1/4的令牌（PAT和SSH密钥）没有被使用，并可以在不影响业务的情况下安全地删除。 ·在Snowflake生产环境中，五分之一的用户实际上是服务帐户。 为了开发应用程序并使其正常工作，开发团队会定期生成“秘密”——密钥和令牌。这些密钥和令牌允许访问资源、代码和基础设施——也就是组织最有价值的资产。但是，保管这些密钥却是一大挑战，因为它们分散在不同的秘密管理器中，并且经常被开发团队访问，而这些团队经常无意中暴露它们（例如，用于调试）。 虽然采用“左移”方法的AppSec解决方案保护了代码漏洞和依赖关系、CI/CD进程和运行时环境，但安全团队缺乏对实际访问密钥的可视性，不了解它们在哪里、是否暴露、拥有什么权限等。秘密扫描器（secret scanners）或vaults（一个基于身份的机密和加密管理系统，可管理一些私密的信息）不能解决这个问题——vaults只存储用户的秘密。秘密扫描器只发现暴露的秘密，同样没有任何上下文或优…

夏天来了，假期正如火如荼地进行。除了度假者之外，针对游客的诈骗者也变得更加活跃。专家研究了 2023 年假期期间旅行者面临的危险。这是他们发现的…… 针对 Booking.com 用户的网络钓鱼攻击 让我们从模仿 Booking.com 的网络钓鱼网站开始，Booking.com 是世界上最受欢迎的在线酒店和公寓预订网站之一。该假冒网站的目的是收集兼作用户名的电子邮件地址以及某种“电子邮件密码”。网络钓鱼者的网似乎有些扭曲：他们真正想要的可能是 Booking.com 帐户的密码。 网络钓鱼者获取 Booking.com 用户的登录凭据 有趣的是，网络钓鱼者并没有忘记 Booking.com 用户的第二大类别：使用该网站吸引客户的酒店和公寓业主。对于他们来说，也有一些虚假网站会窃取用户名和密码。 另一个冒充 Booking.com 的网站获取酒店和公寓业主的凭据 为避免此类骗局，请务必在输入任何凭据之前仔细检查网站地址。如果您不确定真实地址应该是什么，最好使用搜索引擎和旧版维基百科进行仔细检查。 骗子对 Airbnb 用户下手 不可避免的是，网络犯罪分子并没有忽视在线住宿预订的另一个堡垒 Airbnb。一个假的 Airbnb 网站（原版的抄袭版）提供有吸引力的公寓租赁服务，并顽固地提醒访问者必须向某个代理进行电汇以确认预订。 虚假 Airbnb 网站敦促访客为不存在的预订付费 不用说，发送转账的“客户”除了钱包里空了一个洞之外什么也没有。为了避免这种危险，在向网站所有者汇款之前，请务必仔细检查网站的地址。 在虚假旅游调查网站上收集用…

暴力破解攻击是最常见的攻击类型之一。在2022年第一季度，暴力破解攻击占所有攻击的51%！这些攻击通常为其他类型的威胁铺平道路，并对组织造成毁灭性的后果。 API上的暴力破解攻击问题更为严重，因为API以编程方式公开数据、功能和业务逻辑。组织需要立即采取行动阻止这些攻击，以保护数字资产免受攻击者的侵害。 什么是暴力破解攻击？ 暴力破解攻击（Brute force attack）是常见、简单且易于编排的凭据破解/密码猜测攻击类型。在这些攻击中，威胁参与者使用试错法来解码密码、登录凭据、API密钥、SSH登录、加密密钥、隐藏的网页和内容。在此基础上，他们会获得对应用程序、API、帐户、系统和网络的未经授权访问。 攻击者会不断猜测用户名和密码，直到找到有效的组合。他们会系统地尝试所有可能的字母、数字和符号组合，直到破解密码。在此过程中，攻击者可能会使用手动或自动方法注入用户名密码并找到正确的凭据。 暴力破解 vs. 其他破解技术 暴力破解攻击不使用智能策略来破解凭据；他们使用一种简单的试错法，通过竭尽全力地尝试各种字符组合来破解凭据，直到找到一个允许他们进入的凭据组合。这是暴力破解与其他填充和破解方法的主要区别。 在凭据填充（credential stuffing）攻击中，攻击者会抛出真实的登录凭据来欺骗API/应用程序，使其相信他们是合法用户。为此，他们会使用窃取的凭据和密钥。 而在暴力破解攻击中，攻击者反复尝试不同的字符组合，直到他们获得对API或应用程序的访问权。 暴力破解攻击的类型 · 简单的暴力破解攻击，攻击者会使用简单、系统的方…