蓝队取证审计网络安全

7月17日，在首届“安全平行切面大会”上，“安全平行切面联盟” (Aspect-Oriented Technology Alliance，简称AOTA )在会上正式成立。 该联盟在中国信息协会信息安全专业委员会指导下成立，由蚂蚁集团联合行业共同发起，将为行业安全实战对抗、网络安全保险、安全合规治理带来全新的能力，为网络安全、数据安全、个人信息保护构建全新的技术基础平台，有望引导行业建立全新的安全治理范式。 （从左至右）中国科学技术大学教授左晓栋，蚂蚁集团副总裁、首席技术安全官韦韬，中国信息协会信息安全专委会副主任赵进延，北京华云安信息技术有限公司CEO沈传宝 蚂蚁集团于2019年首次在业界提出安全平行切面体系理念，到如今“安全平行切面联盟”的成立，见证了蚂蚁集团从理念创新到实践落地，快速打造出面向企业数字生命体的新一代安全基础平台的突破能力，也通过“产、学、研、用”的深入融合，不断营造良性的产业生态。 中国科学技术大学网络空间安全学院教授左晓栋——完善的防御体系，才是支撑业务运行的关键 中国科学技术大学网络空间安全学院教授左晓栋表示，网络安全防御体系的研究，贯穿着整个网络安全技术的发展。站在安全角度，完善的网络安全防护体系需要包含安全防护、检测、响应、恢复功能以及对抗能力等要素。但事实上，网络安全的防护体系更需要支撑业务运行。 所以，网络安全产品技术本身的最初设计，需要改变原来的研发模式和思路，应该从应用角度出发，支持安全体系的部署，并且融合业务。安全平行切面体系恰恰在解决业务与安全矛盾的层面上，取得了重要突破。尤其是在数据安全领域，数据…

1 概述 近期，安天CERT通过网络安全监测发现了一起新的挖矿木马攻击事件，该挖矿木马从2023年11月开始出现，期间多次升级组件，目前版本为3.0。截止到发稿前，该挖矿木马攻击事件持续活跃，感染量呈上升态势。主要特点是隐蔽性强、反分析、DLL劫持后门和shellcode注入等，因此安天CERT将该挖矿木马命名为“匿铲”。 在此次攻击活动中，攻击者利用了两个比较新颖的技术以对抗反病毒软件，第一个技术是滥用反病毒软件的旧版本内核驱动程序中的功能来结束反病毒软件和EDR，这个技术通过一个主体的PowerShell脚本、一个独立的PowerShell脚本和一个控制器（内存加载的小型可执行文件）来完成，主体的PowerShell脚本用于下载并安装反病毒软件的旧版本内核驱动程序，独立的PowerShell脚本用于解密并内存加载控制器，控制器用来控制内核驱动程序。虽然被滥用的旧版本内核驱动程序早已更新，但目前仍能被非法利用并有效结束大多数反病毒软件。 第二个技术是利用MSDTC服务加载后门DLL，实现自启动后门，达到持久化的目的。这个技术利用了MSDTC服务中MTxOCI组件的机制，在开启MSDTC服务后，该组件会搜索oci.dll，默认情况下Windows系统不包含oci.dll。攻击者会下载后门DLL重命名为oci.dll并放在指定目录下，通过PowerShell脚本中的命令创建MSDTC服务，这样该服务会加载oci.dll后门，形成持久化操作。 经验证，安天智甲终端防御系统不会被反病毒软件的旧版本内核驱动程序所阻断，也能够对该后门DLL的有效…

互联网情报公司 GreyNoise 报告称，自 2020 年 1 月以来，它一直在追踪包含伪造互联网流量的大量“噪音风暴”。 然而，尽管进行了广泛的分析，仍未得出其来源和目的的结论。这些噪音风暴被怀疑是秘密通信、DDoS 攻击协调信号、恶意软件操作的秘密指挥和控制 (C2) 通道，或配置错误的结果。 一个奇怪的方面是生成的 ICMP 数据包中存在“LOVE”ASCII 字符串，这进一步增加了对其目的的猜测，并使案件更加有趣。 GreyNoise 发布此信息，希望网络安全研究人员社区能够帮助解开这个谜团，并揭示出造成这些奇怪噪音风暴的原因。 噪音风暴的特征 GreyNoise 观察到大量伪造的互联网流量，这些流量来自 QQ、微信和 WePay 等各种来源的数百万个伪造 IP 地址。 这些“风暴”会向 Cogent、Lumen 和 Hurricane Electric 等特定互联网服务提供商发起大量流量，但会避开其他服务提供商，尤其是亚马逊网络服务 (AWS)。 流量主要集中于 TCP 连接，特别是针对端口 443，但也有大量 ICMP 数据包，最近其中包括嵌入的 ASCII 字符串“LOVE”，如下所示。 包含“Love”字符串的 ICMP 数据包 TCP 流量还会调整窗口大小等参数来模拟不同的操作系统，使活动保持隐秘，难以被精确定位。生存时间 (TTL) 值决定了数据包在被丢弃之前在网络上停留的时间，该值设置在 120 到 200 之间，以模拟真实的网络跳数。 总而言之，这些“噪音风暴”的形式和特征表明，是参与者的蓄意所为，而不是错误…

美国联邦贸易委员会 (FTC) 称，一些在线工作进行诈骗的现象（称为“任务诈骗”）大幅增加，这些诈骗吸引人们通过重复性任务赚取现金，并承诺如果他们存入自己的钱，就能赚更多钱。 尽管这种类型的诈骗在 2020 年前几乎不存在，但自去年起 FTC 已经记录了 5000 起案件。到了 2024 年，涉及任务诈骗的举报数量激增，仅上半年 FTC 就收到了 20000 份来自被诈骗个人的举报。 因此，从 2020 年到 2023 年，报告的工作诈骗造成的经济损失增加了两倍，从 1 月到 2024 年 6 月，损失超过 2.2 亿美元。 FTC 表示，其中大约 40% 的损失是由“任务诈骗”增加造成的，报告的损失为 4100 万美元。 工作任务诈骗增多 类似“赌博”式工作 FTC 解释说，诈骗者通过 WhatsApp 和其他通信或社交媒体平台上未经请求的消息来接近受害者。诈骗者提供了一种简单的赚钱方法，告诉他们所要做的就是每天执行一组任务来赚钱，例如在在线平台或通过特殊应用程序上点赞视频或对产品进行评分。这些骗局冒充合法公司，例如德勤、亚马逊、麦肯锡公司和 Airbnb，并为受害者提供成组的任务，通常有 40 项。用户承诺每次完成一套并升级到下一个级别时都会收到升级佣金。 冒充德勤的任务诈骗 乍一看，这个骗局看起来很合法，因为求职者赚取了 50 至 60 美元的 USDT 或以太坊加密货币小额存款。然而，在某些时候，当受害者在应用程序上积累了可观的“佣金”时，他们会被要求进行存款，声称为了解锁提款选项和下一个任务集。许多受害人存钱，都是希望能…

谷歌、AWS和Cloudflare三家公司周二发布公告称，它们阻止了据称有史以来最大的DDoS攻击。 这次攻击是由一个新的DDoS漏洞（编号为CVE-2023-44487）引起的，涉及HTTP/2协议，用于互联网上传输文件的一套标准化规则。美国国家标准与技术研究所（NIST）官网上的漏洞页面介绍说到：“HTTP/2协议之所以允许拒绝服务（服务器资源消耗），是由于请求取消可以快速重置许多请求流。” 作为多方协调披露的一部分，谷歌云、亚马逊网络服务（AWS）和Cloudflare都发布了博文和公告，提供了有关这条DDoS攻击途径的更多技术信息。在谷歌发布的两篇博文中的一篇中，这家科技巨头称之为“迄今为止最大的DDoS攻击，峰值时期每秒超过3.98亿个请求。” 在Cloudflare的技术分析博文中，它追踪到峰值时期每秒超过2.01亿个请求，几乎是之前观察到的创纪录攻击的三倍。 Cloudflare的两名工程师Lucas Pardue和Julien Desgats写道：“令人担忧的是，攻击者仅用2万台机器组成的僵尸网络就能发动这等规模的攻击。现在的僵尸网络由数十万乃至数百万台机器组成。考虑到整个互联网通常每秒只出现10亿到30亿个请求，可想而知，使用这种方法可以将整个互联网的请求都集中在少数目标上。” 在另一篇博文中，谷歌的两名工程师Juho Snellman和Daniele Iamartino专门介绍了这起攻击和攻击途径的工作原理。他们写道，这次名为Rapid Reset（“快速重置”）的攻击持续了几个月，在8月份达到了高峰。 博文作者说道，…

据一位安全研究人员声称，由于服务器存在几个漏洞，一家专业生产贞操设备的公司泄露了用户们的电子邮件地址、明文密码、家庭住址和IP地址，在一些情况下还泄露了用户们的GPS坐标。使用贞操设备，女性就可以通过互联网控制配偶或伴侣的“幸福”活动。 这位研究人员不愿透露姓名，因为他希望自己的专业工作与他开展的这项情趣研究工作分开来。他表示，由于两个漏洞，自己得以成功访问了一个数据库，里面含有1万多用户的记录。这位研究人员表示，他利用这些漏洞来查看可以访问哪些数据。从他发送并分享给外媒的电子邮件截图来看，他还在6月17日联系了这家公司，提醒对方注意安全问题，试图让对方修复漏洞，并保护用户的数据。 截至发稿时，这家公司尚未修复这些漏洞，也没有回应外媒多次提出的置评请求。 这位研究人员表示：“一切都太容易被利用了。这是厂家不负责任的表现。所以我最大的希望是厂家会联系我和外媒，修复所有漏洞。” 由于这些漏洞尚未修复，外媒没有公布这家公司的身份，以保护其用户，用户的数据仍处于危险之中。外媒还联系了这家公司的网站主机提供商，对方表示会提醒这家设备厂商，并联系了中国计算机应急响应小组（CERT），以提醒这家公司。 由于没有得到任何回复，这名研究人员在8月23日有意毁损了这家公司的主页，试图再次警告这家公司及其用户。 这位研究人员写道：“该网站已被善意的第三方关闭了。该厂家任由网站敞开，允许任何脚本小子获取任何和所有的客户信息。这包括明文密码以及送货地址，该厂家口口声称不包括送货地址。如果你已经购买了一个设备，现在无法使用，我很抱歉。但是有成千上万的人在这里注册了帐…

1 概览 “游蛇”黑产团伙自2022年下半年开始活跃至今，针对国内用户发起了大量钓鱼攻击和诈骗活动。该类黑产传播的恶意程序变种多、频繁更换免杀手段及基础设施、攻击目标所涉及的行业广泛。近期，安天CERT监测到“游蛇”黑产团伙针对财税人员传播恶意Excel文件，诱导用户点击其中的超链接跳转至钓鱼网站，从中下载执行恶意程序。 恶意程序执行后加载恶意的Index.asp文件，然后分多个阶段下载执行恶意AutoHotKey、Python脚本、以及两段Shellcode，最终在受害者计算机的内存中执行远控木马。该远控木马具备键盘记录、剪贴板监控、屏幕截图等基本窃密功能，并支持接收执行多种远控命令。“游蛇”黑产团伙攻击者通常会利用远控木马控制受害者计算机中的即时通讯软件，冒充受害者身份进行后续的攻击、诈骗活动。 “游蛇”黑产团伙仍在频繁地对恶意软件、免杀手段以及相关基础设施进行更新，每天依旧有一定数量的用户遭受攻击并被植入远控木马。安天CERT建议用户接收文件时保持警惕，避免点击安全性未知的可执行程序、脚本、文档等文件，以免遭受“游蛇”攻击，造成不必要的损失。 经验证，安天智甲终端防御系统（简称IEP）可实现对该远控木马的有效查杀。 排查方案详见本文第四章节，相关防护建议详见第五章节。 2 技术梳理 在此次攻击活动中，攻击者投放的诱饵文件是名称为“（六月）偷-漏涉-税-违规企业名单公示.xlsx”的Excel文件，诱导用户点击其中的“点击查看”，从而跳转至钓鱼网站中。 图 2‑1诱饵文件 该钓鱼网站如下图所示，用户点击该网站中的任意按钮后会下载一个…

1 概览 “游蛇”黑产自2022年下半年开始活跃至今，针对国内用户发起了大量钓鱼攻击和诈骗活动。该类黑产传播的恶意程序变种多、更新免杀手段快、更换基础设施频繁、攻击目标所涉及的行业广泛。近期，安天CERT监测到“游蛇”黑产针对与金融、财务相关的企业及人员进行的攻击活动。攻击者投放的初始恶意文件主要有三类：可执行程序、CHM文件、商业远控软件“第三只眼”，伪造的文件名称大多与财税、资料、函件等相关。 由于商业远控软件“第三只眼”提供多方面的远程监控及控制功能，并且将数据回传至厂商提供的子域名服务器、根据qyid值识别控制端用户，攻击者无需自己搭建C2服务器，因此恶意利用该软件进行的攻击活动近期呈现活跃趋势。 “游蛇”黑产仍在频繁地对恶意软件、免杀手段以及相关基础设施进行更新，每天依旧有一定数量的用户遭受攻击并被植入远控木马。安天CERT建议用户接收文件时保持警惕，避免点击安全性未知的可执行程序、脚本等文件，以免遭受“游蛇”攻击，造成不必要的损失。建议未购买使用“第三只眼”远控软件的用户，使用流量监测设备检查网络中是否存在与“dszysoft.com”及其子域名相关的连接记录，若存在则表明可能被恶意植入了相关远控，用户也可以考虑对相关域名进行封禁。 经验证，安天智甲终端防御系统（简称IEP）可实现对该类远控木马的有效查杀。相关防护建议详见本文第四章节。 2 技术梳理 近期，安天CERT监测到攻击者投放的初始恶意文件主要有三类，伪造的文件名称大多与财税、资料、函件等相关。 表 2‑1近期部分样本伪装名称 伪装的程序名称 企业补贴名单.exe …

今年4月15日、7月8日，中国国家计算机病毒应急处理中心等机构连续发布了两次专题报告，揭露了美方利用所谓“伏特台风”虚假叙事行动计划对我国抹黑的真实意图。 10月14日，我国网络安全机构第三次发布专题报告，进一步公开美国政府机构和“五眼联盟”国家针对中国和德国等其他国家，以及全球互联网用户实施网络间谍窃听、窃密活动，并掌握了美国政府机构通过各种手段嫁祸他国的相关证据，另外还有他们采取“供应链”攻击，在互联网设备产品中植入后门等事实，彻底揭穿所谓“伏特台风”这场由美国联邦政府自导自演的政治闹剧。 美研发嫁祸他国隐身“工具包”代号“大理石” 报告显示，长期以来，美国在网络空间积极推行“防御前置”战略，并实施“前出狩猎”战术行动，也就是在对手国家周边地区部署网络战部队，对这些国家的网上目标进行抵近侦察和网络渗透。为适应这种战术需要，美国情报机构专门研发了掩盖自身恶意网络攻击行为、嫁祸他国的隐身“工具包”，代号“大理石”。 国家计算机病毒应急处理中心高级工程师杜振华介绍，“大理石”的主要功能是对这种网络武器，也就是像间谍软件或者恶意程序代码中的可识别特征进行混淆，甚至是擦除。就像是把开发者的指纹给擦除了，也相当于像把枪械武器的膛线改变了，所以导致从技术上对这种武器的溯源变得非常困难。 技术团队调查发现，根据“大理石”工具框架源代码及其注释显示，它被确定为一个机密级（且不可向国外透露）的武器研发计划，起始时间不晚于2015年。“大理石”工具框架可以使用超过100种混淆算法，它能将源代码文件中可读的变量名、字符串等替换为不可读（不可识别）内容，并且可…

重发按语：2023年6月1日，卡巴斯基发布报告《三角行动：iOS设备被以前未知的恶意软件攻击》，当时报告中仅进行了事件披露，没有发布样本分析。为让全球用户更深入了解A2PT攻击组织的攻击能力，安天CERT在6月9日披露了一份历史积累分析成果，曝光了同一威胁来源方向的历史样本分析。与卡巴曝光的攻击来自于针对手机iMessage服务投放不同，安天曝光的样本来自于“量子”系统的投放，报告也因此命名为《“量子”系统击穿苹果手机》。历经数月的艰苦分析，卡巴于今日发布了新分析成果报告《三角行动：最后一个谜团》。安天勘误重发6月的报告，也提醒用户应广泛关注来自量子系统的空中投放。 // 该报告首次发布时《图 5‑3 量子系统可攻击场景图谱化分析》有误，已经勘正，特此致歉。 1 概述：覆盖智能终端的A2PT样本拼图 在过去二十多年的时间里，全球关键信息基础设施运营者、安全厂商、研究者所面临的重大考验是，如何应对以NSA等情报机构所发动的网络攻击活动，基于这种攻击活动应用了难以想象的技术与资源，安天CERT将这种攻击活动称之为A2PT（高级的高级持续性威胁）攻击，并发现其中多起攻击都来自于NSA下属的方程式组织。如何把A2PT攻击活动中的攻击样本与过程揭示出来，成为了一场比马拉松更艰苦的分析接力赛，这场接力至少已经完成了三次交接棒，第一阶段从2010年的“震网”事件触发，围绕“震网”—“火焰”—“毒曲”—“高斯”系列样本的攻击活动、样本同源性与关联展开，直到2013年的斯诺登事件出现，才发现这些只是冰山一角；第二阶段是从方程式组织（隶属于NSA）被曝光开始…

9月9日，在2024年国家网络安全宣传周主论坛上，全国网络安全标准化技术委员会（以下简称“网安标委”）发布《人工智能安全治理框架》1.0版。 贯彻落实《全球人工智能治理倡议》，网安标委研究制定了《人工智能安全治理框架》（以下简称《框架》）。 《框架》以鼓励人工智能创新发展为第一要务，以有效防范化解人工智能安全风险为出发点和落脚点，提出了包容审慎、确保安全，风险导向、敏捷治理，技管结合、协同应对，开放合作、共治共享等人工智能安全治理的原则。《框架》按照风险管理的理念，紧密结合人工智能技术特性，分析人工智能风险来源和表现形式，针对模型算法安全、数据安全和系统安全等内生安全风险和网络域、现实域、认知域、伦理域等应用安全风险，提出相应技术应对和综合防治措施，以及人工智能安全开发应用指引。 网安标委秘书处主要负责人表示，《框架》1.0版的发布，对推动社会各方积极参与、协同推进人工智能安全治理具有重要促进作用，为培育安全、可靠、公平、透明的人工智能技术研发和应用生态，促进人工智能的健康发展和规范应用，提供了基础性、框架性技术指南。同时，也有助于在全球范围推动人工智能安全治理国际合作，推动形成具有广泛共识的全球人工智能治理体系，确保人工智能技术造福于人类。 点击阅读原文即可查看《人工智能安全治理框架》 文章来源：网信中国

为落实《数据安全法》、《个人信息保护法》、《未成年人保护法》、《未成年人网络保护条例》等法律法规中关于儿童个人信息和权益保护的相关要求，积极保护儿童个人信息、保障儿童网络权益，中国电子技术标准化研究院联合爱加密等企业共同编写的T/CCIA 003—2022《儿童智能手表个人信息和权益保护指南》（简称为《指南》），并于2023年12月31日正式发布。 该指南提供了儿童智能手表在个人信息处理和权利保障、儿童个人信息安全、默认隐私和保护、监护人控制、操作系统和应用程序安全、网络信息内容安全、新技术新应用安全方面的建议。适用于儿童智能手表制造者及相关应用程序提供者在开发与运营过程中强化个人信息和权益保护机制，也可为检查、评估等活动，以及监护人选用、使用产品提供参考。爱加密网络安全专家韩云，拥有20余年网络安全行业经验，是《指南》的起草人之一，《指南》发布后，爱加密小编对韩云老师进行了专访，以下为访谈实录节选。 1.《指南》出台的背景是什么？央视曾曝光儿童智能手表被入侵后会出现泄露行踪、谈话等严重侵犯个人隐私的情况。此外江苏省消保委发布的《儿童智能手表消费调查报告》显示，32.89%的消费者希望针对儿童智能手表采取措施，提高信息安全性。爱加密作为极具社会责任感的企业，为消除儿童智能手表设备的个人信息安全隐患特联合相应机构共同起草《指南》。 2.《指南》针对儿童手表制造者及相关应用程序提供者主要提出了什么要求？《指南》主要对智能儿童手表制作商及附属企业从概述及7大方面24个关注点提出要求，如下图。 3.我国对儿童个人信息安全是否有特殊要求我国对个人…

2022年9月，工信部发布《国家车联网产业标准体系建设指南（智能网联汽车）（2022年版）（征求意见稿），预计到 2025 年，系统形成能够支撑组合驾驶辅助和自动驾驶通用功能的智能网联汽车标准体系，到 2030 年，全面形成能够支撑实现单车智能和网联赋能协同发展的智能网联汽车标准体系。在智能网联汽车系统中，车辆通过各种传感器、通信设备和计算资源连接到互联网，实现车辆与车辆、车辆与基础设施、车辆与用户之间的信息交互和数据共享。然而，这样的连接也带来了一系列安全风险，如恶意攻击、黑客入侵、数据泄露、远程操控等。 在此背景下，嘶吼安全产业研究院预计出品《先稽我智 安能动之：汽车智能网联安全调研报告 2023》意义深远，我们衷心希望，通过共同努力和创新，汽车智能网联安全行业能够蓬勃发展，为用户提供更安全、智能的出行体验，并为社会交通安全作出应有的贡献。 一、本报告研究内容 本报告具体内容包括如下四个方面： 1、汽车智能网联安全概述。 2、汽车智能网联安全产业SCP分析+市场调研。 本次报告通过SCP模型串联整个汽车智能网联安全产业情况，配合问卷调研+公开访谈。问卷调研聚焦汽车智能网联安全厂商+产品情况，具体包括汽车智能网联安全相关厂商情况评估、其产品情况评估和竞争能力评估等。 3、汽车智能网联安全未来趋势。结合调研问卷阐述汽车智能网联安全技术、创新等方面的趋势。 4、汽车智能网联安全典型厂商案例。 二、本报告预计发布时间 2023年10月 汽车智能网联安全调研报告发布会 三、本报告发布渠道 1、在嘶吼自媒体矩阵平台，包括但不限于微信公众号、官网…

网络安全是数字时代的基石，是国家安全的重要组成部分，备受社会各界的关注。 嘶吼安全产业研究院开展了《2023中国网络安全产业势能榜》的评选，旨在深入研判和展望中国网络安全产业的发展趋势，赋能网安领域头部厂商担负起自主创新、乘势而上的产业责任。 嘶吼安全产业研究院历时数月深入调研、分析，广泛征集各方意见，确保《嘶吼2023中国网络安全产业势能榜》客观呈现行业风云变化。本次评选选取十大热门行业（政务、金融、能源、制造、运营商、互联网、电力、教育、医疗、交通）以及三大厂商类型（“综合型”、“专精型”、“创新型”），从参与报名的300多家厂商调中，最终评选出105家优秀的行业安全厂商予以表彰并颁发荣誉奖牌。 本次势能榜是嘶吼安全产业研究院第三届评选，相较于上一届，本次榜单从五大主要行业扩展为十大行业。范围的扩大，是希望更多在细分行业默默深耕的厂商们得到关注。本次评选中，政务、金融、能源、制造和运营商的竞争尤为激烈，特别是申报上述五类中的专精型厂商，分析师看到很多优秀的专精型厂商因为客观原因未能入选，深表遗憾。 最后，衷心感谢大家的支持与关注，让我们共同见证网络安全产业的崭新篇章！ 《嘶吼2023中国网络安全产业势能榜》 评选结果公示 《嘶吼2023中国网络安全产业势能榜》 [政府]行业名单 《嘶吼2023中国网络安全产业势能榜》 [金融]行业名单 《嘶吼2023中国网络安全产业势能榜》 [能源]行业名单 《嘶吼2023中国网络安全产业势能榜》 [制造]行业名单 《嘶吼2023中国网络安全产业势能榜》 [运营商]行业名单 《嘶吼202…

数字化转型和智能化时代的浪潮下，网络安全问题已成为全球范围内的严峻挑战。近年来，网络攻击呈现出更加多样化和高频化的趋势，勒索病毒、数据泄露、APT攻击（高级持续性威胁）等威胁不断升级，使得传统的安全防护手段面临前所未有的压力，不仅给企业带来巨大的经济损失，也对国家安全和社会稳定构成了严峻考验。同时，随着全球网络安全环境的变化和国家对信息安全的高度重视，自主可控的技术产品和解决方案也成为行业的重要发展方向。 面对诸多复杂局面，越来越多的网络安全企业加强技术创新，致力于开发更加智能、全面、主动的安全解决方案。通过引入人工智能、大数据分析、区块链等前沿技术，许多企业已经开始从被动防护向主动预警转变，致力于构建更加坚固、灵活的安全防线。并且为了减少对外部技术的依赖，推动网络安全的自主可控，许多企业积极研发符合国内安全要求的国产化技术，推动关键基础设施的自主防护体系建设，确保网络安全在国家安全战略中的关键地位。 随着网络安全产业不断地发展、技术的不断升级、政策法规的逐步完善，网络安全行业正朝着更智能、更高效、更自主可控的方向发展，帮助社会各界应对日益复杂的网络安全威胁，同时为我国网络安全产业的自主可控提供了坚实的支撑。 为表彰在网络安全领域做出卓越贡献、并持续推动技术创新的“中国网安优能企业“，嘶吼安全产业研究院进行了《嘶吼2024中国网络安全产业势能榜》评选活动。旨在基于对产业发展的深度调研及甲方侧的需求视角，严选中国网络安全领域内“实力优·技术优·服务优·创新优·品牌优”的优能企业，为市场和甲方的选品提供重要参考，为技术的应用与创新树立行业标杆…

2014年2月，习近平总书记提出努力把我国建设成为网络强国的战略目标。10年来，习近平总书记亲自擘画网络强国宏伟蓝图，部署推动网信事业高质量发展，指引我国从网络大国向着网络强国阔步迈进。 无人机送外卖、乘坐无人驾驶巴士和无人驾驶航空器游逛公园……这些在10年前令人难以想象的科技生活已经悄然变成现实。基于5G通信的强大覆盖，过去一年，北京、广州、深圳、合肥等地陆续探索了自动驾驶无人化商业实践，自动驾驶示范区建设蓬勃发展，越来越多汽车甚至载人航空器正加速迈入“无人之境”。 党的十八大以来，习近平总书记举旗定向、领航掌舵，亲自擘画网络强国宏伟蓝图，部署推动网信事业高质量发展，系统回答了为什么要建设网络强国，怎么建设网络强国等一系列重大理论和实践问题，形成了习近平总书记关于网络强国的重要思想，指引我国从网络大国向着网络强国阔步迈进。 建设网络强国，核心技术是最大的“命门”。从高性能计算保持优势到5G实现技术、产业、应用全面领先，从北斗导航卫星全球组网到芯片自主研发能力稳步提升，10年来，网信领域一大批重大创新成果相继涌现，推动了我国信息化在某些领域实现了从“跟跑”到“领跑”的重大跨越。 加快信息化发展，既需要下大力气突破核心技术，也需要建设良好的信息基础设施。近年来，我国统筹推进网络、算力、应用等基础设施建设，建成全球规模最大、技术领先的光纤宽带和移动通信网络，截至2023年底，我国5G基站总数达337.7万个，千兆光网覆盖超过5亿户家庭。 10年来，信息基础设施建设在加速，我国互联网发展的“数字红利”也在加快释放，用得上、用得起、用得好…

以下内容由WebRAY和Panabit联合发布 0x01 事件背景 从2024年5月开始，国内部分家用路由器开始出现间歇性断网、域名解析延迟高以及解析到海外IP等情况，今年8月该现象变得尤为严重。前几天在做应急响应时候发现某企业暴露在公网上的路由器配置的DNS地址被莫名其妙篡改了，主DNS地址是一个阿里云上的节点，备用DNS地址为1.1.1.1。起初以为这次事件跟近期的攻防演习相关，后面经过深入分析发现该事件并不是个例，我们已排查到有大量暴露在公网上的路由器都存在DNS被篡改的情况，且大部分用户基本没有感知。经过初步统计，攻击者使用的劫持DNS节点数已有百余个，用户访问受影响的目标主要覆盖了阿里云CDN、腾讯云CDN、华为云CDN等，导致了一系列的解析异常。短时间范围内，大量用户投诉对国内重要目标单位访问异常，造成严重安全隐患。 0x02 事件分析 盛邦安全烽火台实验室联合Panabit对该事件进行了专项分析，这起事件是属于典型的DNS劫持攻击事件，符合国外黑灰产组织的攻击特征。攻击者通过搜集公网可访问的路由器地址，利用漏洞或弱口令获取路由器控制权限，修改路由器DNS服务器地址，达到中间人攻击的效果。整体的攻击流程如下图所示： （图中假设攻击者对webray.com.cn进行了dns劫持） 用户在发起HTTP请求之前首先会进行DNS请求，由于绝大部分个人用户不会自定义DNS服务器，所以默认情况下会使用路由器的DNS服务器来进行域名解析。攻击者通过漏洞把路由器DNS服务器篡改为自己可控的恶意DNS服务器，并…

据悉，针对 Twilio 和 Cloudflare 员工的攻击与大规模网络钓鱼活动有关，该活动导致 130 多个组织的 9,931 个帐户遭到入侵。 研究人员表示，这些活动与针对身份和访问管理公司 Okta 的攻击有关，该公司为威胁者取了 0ktapus 的绰号。 Group-IB 研究人员在最近的一份报告中写道：“威胁者的主要目标是从目标组织的用户那里获取 Okta 身份凭证和多因素身份验证 (MFA) 代码。”这些用户收到的短信包含模仿其组织的 Okta 身份验证页面的钓鱼网站链接。 受影响的有 114 家美国公司，另有其他 68 个国家也受到了影响。Group-IB 高级威胁情报分析师表示，攻击范围仍不得而知。 0ktapus 黑客想要什么 根据 Group-IB 分析的受损数据分析，0ktapus 攻击者的攻击目标是电信公司。虽然不确定威胁者如何获得用于 MFA 相关攻击的电话号码列表，但研究人员认为，0ktapus 攻击者的攻击目标大概率是电信公司。 接下来，攻击者通过短信向目标发送钓鱼链接。这些链接指向模仿目标雇主使用的 Okta 身份验证页面的网页。然后，受害者被要求提交 Okta 身份凭证以及员工用于保护其登录信息的多因素身份验证 (MFA) 代码。 在附带的技术博客中，Group-IB 的研究人员解释说，最初主要针对软件即服务公司的攻击只是多管齐下的攻击的第一阶段。0ktapus 的最终目标是访问公司邮件列表或面向客户的系统，以期促进供应链攻击。 在 Group-IB 发布报告的几个小时内，DoorDash 公司透露，…

随着网络攻击面的扩大、供应链攻击的频繁发生以及向云的转移，数据安全比以往任何时候都更加重要。根据IBM Security 发布的2023 年数据泄露成本报告， 2023 年全球数据泄露平均成本达到 445 万美元，创下历史新高。 在本文中，您将了解数据安全的主要原则，并了解适用于大多数行业的 10 种数据安全最佳实践。 数据威胁和维护数据安全的好处 什么是数据安全？ 数据安全是旨在保护组织敏感资产的流程和工具的组合。有价值的数据在静态和传输过程中都必须受到保护。安全官员应考虑的数据安全的其他方面是安全的数据创建和使用。 有效的数据安全措施包括实施实时监控并对任何可疑事件快速做出反应，使您的数据能够抵御欺诈活动。 为什么数据安全如此重要以至于当局和监管机构不断提出新的数据安全要求？ 强大的数据安全性的主要好处 让我们看一下组织中高级数据安全性的主要优势： 1. 保护信息— 了解您的信息受到保护，免受内部和外部威胁，可以让您高枕无忧。因此，您将有更多时间专注于业务策略，而不必担心数据泄漏。2. 增强声誉——寻求长期合作的组织和企业总是密切关注潜在合作伙伴的声誉。应用可靠的数据保护实践还可以激发客户的信任。 3. 遵守数据安全要求——实施适当的安全措施可以确保遵守数据安全要求。这将帮助您的组织避免因违规而遭受巨额罚款。 4. 减少诉讼 费用——预防事件发生总是比处理事件后果更具成本效益。您在数据安全上花费的时间和精力越多，用于控制潜在事件并从中恢复的费用就越少。 5. 增强业务连续性——强大的数据安全实践有助于不间断运营，降低业务中断的…

篇首语：最近在梳理各种异常频谱，杨叔无意中查到这么一个奇怪的频点，已经超出了正常的检测范围，普通的信号检测设备也无法接收到这个频点的信息。 深挖之余，就有了本篇。 本文同样送给那些喜爱神秘/科幻主义的爱好者、超自然研究者、《飞碟探索》《鬼吹灯》粉及有末日情节的生存控们，希望大家喜欢。 声明：以下内容素材均来自互联网，不涉及宗教、玄学、神话等方面的讨论，仅供交流、参考与闲聊，不喜勿看，谢绝杠精。 0x01 这世界有“鬼”么？ 早在有记载的历史之前，人类就一直在讲鬼故事。 在西方，一些已知最古老的鬼魂出没地，比如公元前8世纪古希腊荷马编著的《奥德赛》描述的，奥德修斯前往冥府寻找先知，看到无数凄厉悲苦的亡魂。 《旧约全书》讲述了恩多女巫召唤幽灵预言家撒母耳，结果导致了扫罗王的战败与自杀。 除了文学上的虚构，西方历史上也有很多有关鬼魂的记载。 公元1世纪，博物学家小普林尼在雅典的一处房子被鬼缠上，他说这个鬼会发出锁链的喀嚓声，还会以长胡子的老人的形象现身。 而出现频率最高的是王后安妮•傅林的鬼魂，据说自从1536年被砍头之后，人们已经在120个地方见到她不下3万次。 而在东方，中国古代如此之多描述鬼魂精怪的著作和传说，什么《搜神记》《聊斋志异》《山海经》《封神演义》......估计故事总数要超过整个西方的合集。 PS：杨叔就曾为小倩（其实是王祖贤）痴迷不已夜不能寐无心喃呢...... ......咳咳，总之，鬼魂、幽灵什么的都被认为是各种超自然行为的罪魁祸首，但多亏了科学，我们终于能够解释其中的一些情况。 嗯，先放张摸金校尉的图镇场。 0x…

据英国国家网络安全中心（NCSC）撰写的年度报告显示，2023年仅仅利用思杰（Citrix）的一个漏洞就引发了“13起独立的全国性重大事件”。 思杰在2023年7月18日发布的安全公告中披露，迫使安全服务专业人员紧急干预的思杰漏洞CVE-2023-3519于6月首次作为零日漏洞被人利用，用于攻击美国的关键国家基础设施。 该漏洞的CVSS评分为9.8分，是一个预身份验证远程代码执行漏洞，它使攻击者能够以root权限访问思杰网关。 图1. 中间的这个设备即应用程序交付控制器（ADC）岌岌可危。 从思杰的上图可以看出，应用程序交付控制器的目的是“运用安全策略并阻止攻击”，但有时候它也被攻击者利用。 这种事件和威胁形势意味着“我们需要继续提高对关键国家基础设施风险的重视程度”，“比如说，了解英国关键国家基础设施的设计中存在的缺陷（比如网络隔离不足）将是关键所在。” NCSC表示，NCSC处理的事件中比例最高的事件源自应用程序被利用，旨在帮助预防由网络安全实践和做法造成的事件，NCSC通过早期预警服务（EWS）针对易受攻击的服务发出了超过1.6万则通知。 行业上游缺乏网络安全 虽然NCSC认为网络安全实践和做法确实难咎其责（受到攻击的组织将包括那些没有打补丁的），但这里的供应商（思杰）也值得关注，特别是这个漏洞在补丁发布之前被人作为一个零日漏洞而被利用。 正如安全公司Bishop Fox在7月份分析该漏洞时特别指出，完全缺乏漏洞缓解措施使得这个漏洞极容易在VPX版本（思杰/NetScaler在虚拟机管理程序上运行网关的产品）上被利用。相比之下，…

2023 年是教育领域遭受勒索攻击最严重的一年：根据 ThreatDown 最初的研究，该行业的攻击在过去一年中猛增了 70% ，从 2022 年的 129 起事件增加到 2023 年的 265 起。 每月攻击数量的增加进一步凸显了这种激增。2022 年，平均每月发生 11 起攻击，但到 2023 年，这一数字跃升至 21 起，标志着每月攻击数量增加了 91% 。 这些攻击是由多个勒索软件团伙实施的，其中两个勒索软件团伙对 2023 年的大部分攻击 (50%) 负有责任：LockBit 和 Rhysida（Vice Society 的更名品牌）。数据还显示，虽然针对教育的勒索软件攻击是一种全球现象，但美国（占已知攻击的 80%）和英国（占 12%）是 2023 年 1 月至 2023 年 12 月期间遭受攻击最频繁的国家。 威胁形势 2023 年 1 月至 2023 年 12 月期间针对教育行业的黑客组织包括LockBit (60)、Vice Society/Rhysida (44)、CL0P (22)、Medusa (17) 和 Akira (15)。这 5 个团伙总共造成了约 81% 的教育勒索软件攻击。 然而，当我们研究哪些团伙攻击教育机构的频率最高（至少在六个月的不同月份发生攻击）时，数据显示的情况略有不同。 CL0P 和 Royal 等黑客组织往往会集中在一两个月内攻击。 LockBit 和 Vice Society/Rhysida 再次成为针对教育领域最多产的攻击者。但Vice Society 自 2023 年 6 月以…

2023年12月，中央网信办举报中心指导全国各级网信举报工作部门、主要网站平台受理网民举报色情、赌博、侵权、谣言等违法和不良信息1880.1万件，环比增长3.6%、同比增长28.5%。其中，中央网信办举报中心受理举报59.7万件，环比下降6.7%、同比下降10.9%；各地网信举报工作部门受理举报114.0万件，环比增长28.8%、同比增长47.5%；全国主要网站平台受理举报1706.4万件，环比增长2.7%、同比增长29.4%。 在全国主要网站平台受理的举报中，主要商业网站平台受理量占43.8%，达747.1万件。目前全国各主要网站平台不断畅通举报渠道、受理处置网民举报。欢迎广大网民积极参与网络综合治理，共同维护清朗网络空间。 举报电话：12377 举报网址：www.12377.cn 文章来源：中央网信办举报中心

2023年是网络安全领域里程碑式的一年。威胁组织利用他们掌握的所有工具，突破企业的防御机制。对于消费者来说，又是隐私持续曝光的一年，层出不穷的数据泄露事件让个人隐私备受威胁。 据《数据泄露调查报告（DBIR）》指出，外部行为应对绝大多数（83%）的泄露事件负责，而经济利益几乎是所有（95%）泄露事件的初衷。这就是为什么会将下述文中的大多数事件归结为勒索软件或数据盗窃勒索者，但有时，数据泄露的原因还可能涉及人为错误或恶意的内部人员。 以下为挑选出的2023年十大攻击事件，排名不分先后。 1. MOVEit漏洞 2023年5月下旬，MOVEit文件传输解决方案被曝存在严重的SQL注入漏洞（CVE-2023-34362），可能导致权限升级和对环境的潜在未经授权访问。换句话说，该漏洞可能使黑客访问MOVEit并窃取数据。 2023年6月6日，勒索软件组织Clop声称将针对Progress Software的MOVEit传输工具的攻击负责。作案手法很简单：利用流行软件产品中的零日漏洞进入客户环境，然后泄露尽可能多的数据来勒索赎金。目前还不清楚究竟有多少数据被窃取。但据估计，有2600多个组织和8300多万人参与其中。按地域来看，北美企业受影响最重，占比超过90%（美国77.8%、加拿大14.2%），在受影响行业方面，教育、卫生、金融最为严重。 按照行业预测的数据泄露的平均成本来看，MOVEit漏洞事件可能造成全球范围内100亿美元以上的经济损失影响，主要体现在赎金支付、事件影响、违约责任等一系列支出上，同时造成的海量数据泄露可能进一步成为犯罪诱因。…

在过去的几年里，漏洞悬赏计划在普及和使用方面都有了显著的提升，越来越多的组织正在采用一些举措，以利用大量的研究人员资源来发现和检查在不法分子手中构成潜在威胁的漏洞。 他们的动机不仅是有机会通过安全和负责任地披露某些未知/不安全的漏洞来获得大额资金，而且还有机会获得认可，成为重大安全漏洞的发现者，并阻止大量数据泄露或其他事件。 漏洞悬赏是一种创新的网络安全方法 在传统的网络安全领域，漏洞悬赏计划是一种相对较新的创新方法。它补充了其他解决方案，带来了持续的安全测试，可以发现真正的/高影响的安全漏洞，以及与国际道德黑客社区的合作。 此外，对于缺乏安全专家、缺乏效率、缺乏对网络威胁指数理解的组织来说，漏洞悬赏计划无疑是一种有效回应。没有零风险的事情，但通过参与漏洞悬赏计划，组织可以像攻击者（而非防御者）那样思考。它们为传统的防御性网络战略带来了一种进攻性的方法，将人和道德黑客置于网络战略的核心。 在漏洞悬赏计划中，道德黑客所发现的每一个漏洞都将是真实的，并与组织的安全策略有关，也与保护组织的信息系统及其用户有关。它们也可以提供明确的投资回报——对于开发人员和其他业务团队来说，这是突显网络安全价值的一种透明而明确的方式。 以下是2023年推出的12项值得关注的漏洞悬赏项目。 1. 美国国防部宣布第三轮“黑进五角大楼”计划 今年1月，美国国防部（DoD）透露，计划启动第三轮“黑进五角大楼”（Hack the Pentagon）漏洞悬赏计划，该计划于2016年首次公布，并于2018年启动第二轮。根据一份绩效工作声明草案，“黑进五角大楼”3.0计划的一个…