蓝队取证审计网络安全

目录0x00 技能栈 0x01 漏洞理解篇(Vulnerability) 1.1 前端 1.2 后端 1.3 打造自己的知识库 0x02 漏洞利用篇(Exploit) 2.1 前端安全-XSS 2.2 前端安全-CSRF 2.9 Server-side request forgery (SSRF) 2.4 [注入]SQL注入&数据库漏洞利用 2.5 [注入]模板注入 Server Side Template Injection (SSTI) 2.6 [注入]命令注入&代码执行 2.7 [注入]Xpath注入 2.8 XML External Entity (XXE) 2.9 文件操作漏洞 2.10 反序列化漏洞 2.11 包含漏洞 2.12 Java-特性漏洞 2.13 NodeJs-特性漏洞 2.14 不一致性 0x03 代码审计篇(Audit) 3.1 PHP 3.2 JAVA 3.3 .NET 3.4 Perl CGI 0x04 渗透篇(Penetration) 4.1 网络预置 4.1.1 代理客户端(环境准备) 4.1.2 常规信息（单兵） 4.1.3 资产搜索引擎（大数据） 4.1.4 移动端信息收集 4.1.5 近源渗透（WiFi） 4.2 网络接入(exp) 4.2.1 漏洞验证（扫描器） 4.2.1.1 主动式 4.2.1.2 被动式 4.2.2漏洞利用(1day) 4.2.2.1 漏洞利用知识 4.2.2.2 漏洞利用工具 4.2.2.3 dnslog平台 4.2.3 字典 4.3 权限获取&提…

篇首语：之前杨叔写了NFL美国职业棒球联赛上的作弊猫腻，这次就聊了棋类比赛，尤其是国际象棋比赛。 前一阵“智能肛珠”的说法出来时，被曾经打败小区8号楼小学生无敌手的“非著名象棋爱好者”杨叔惊为天人，当时便写了这篇初稿。直到今天才终于写完，希望大家喜欢。 声明：以下内容符合OSINT国际开源情报搜集标准，不涉及任何非法行为，仅供交流与参考。 01 智能肛珠猜想引发的群虑 前不久，一则关于猜测棋类选手使用智能肛珠作弊的消息，传遍了网络。 一位国际象棋选手在输掉比赛后，发Twitter抱怨说怀疑对手使用了类似于“智能肛珠”这类的电子设备作弊。这种设备可以藏匿在人体内，并通过远程信号传递+振动的方式提示选手......咦？纳尼？！！ “智能肛珠”的想法确实够奇葩，杨叔其实更想知道的是： 提出这个想法的人，到底经历过什么？ 其实吧，这些年，国际象棋作弊确实已经被认为是国际象棋未来发展的最大威胁。 许多业余爱好者甚至专业人士都经常表示，作弊现象已经十分猖獗。从最低级别的在线国际象棋到世界锦标赛，对于作弊的指控已经遍及国际象棋的各个级别。 02 现场手机接听+远程指导 显然地，也有很多人怀疑在棋类赛事里，使用高科技作弊不过是个阴谋论，都是输不起的棋手抹黑对手的诡辩罢了。 .......直到出现一位年轻的选手，在比赛现场的检查中被抓个正着，呵呵。 在印度新德里举行的首届 Hedgewar 博士公开国际象棋锦标赛的第五轮比赛中，19 岁Dhruv Kakkar的对手向首席仲裁员抱怨： “我注意到他的每一次走棋都需要大约两分钟的时间，无论是复杂还是简…

近期，微软推出的云计算版本操作系统Windows Azure服务出现故障，微软MSDN发文称，Azure服务中断是由于操作系统升级时出现故障，并且表示Windows Azure的存储并没有受到影响。 微软目前已解决了 Azure 中断问题，并停止了北美和拉丁美洲客户的多项服务。 该公司表示，事件影响了利用其现代云内容交付网络 (CDN) Azure Front Door (AFD) 的服务。其公司代表在 Azure 状态页面上首次承认中断时称：这是由所谓的“配置更改”引起的。为了应对这一问题，许多 Microsoft 服务已无法使用 AFD。 然而，有客户报告称，在英国连接 Azure 服务（包括 Azure DevOps）时遇到错误，Azure DevOps 状态页面将这些问题标记为影响巴西用户。 此外，尽管 Azure 状态页面至少一小时内没有显示任何有关服务受到影响的信息，但在中断期间，许多客户也无法加载该页面。尽管服务健康状态页面显示在整个中断期间 Azure 均未出现任何问题，但 Downdetector 已收到数千份有关服务器连接和登录问题的用户报告。 Azure DevOps 中断 该中断影响了许多 Microsoft 365 和 Azure 服务，导致全球客户出现访问问题和性能下降。 该公司随后证实，此次中断影响了 Microsoft 365 管理中心、Intune、Entra、Power BI 和 Power Platform 服务，并将其归咎于“意外的使用量激增”，“导致 Azure Front Door (AFD)…

一个名为“EncryptHub”的威胁者（又名“Larva-208”），一直以世界各地的组织为目标，通过鱼叉式网络钓鱼和社会工程攻击来访问企业网络。 根据Prodaft上周在内部发布的一份报告称，自2024年6月Encrypthub启动运营以来，它已经攻击了至少618个组织。 在获得访问权限后，威胁者安装远程监控和管理（RMM）软件，然后部署像Stealc和Rhadamanthys这样的信息窃取程序。在许多观察到的案例中，EncryptHub也会在受损的系统上部署勒索软件。 据悉，该威胁组织隶属于RansomHub和BlackSuit，过去曾部署过这两家勒索软件加密器，可能是它们的初始访问代理或直接附属机构。 然而，在研究人员观察到的许多攻击中，攻击者部署了自定义的PowerShell数据加密器，因此他们也保留了自己的变体。 获得初始访问权限 Larva-208的攻击包括短信网络钓鱼、语音网络钓鱼，以及模仿企业VPN产品（如Cisco AnyConnect、Palo Alto GlobalProtect、Fortinet和Microsoft 365）的虚假登录页面。 假冒思科登录页面 攻击者通常在给目标的消息中冒充IT支持人员，声称VPN访问有问题或他们的帐户存在安全问题，指示他们登录到一个网络钓鱼网站。 受害者收到链接，这些链接将他们重定向到网络钓鱼登录页面，在那里他们的凭据和多因素身份验证（MFA）令牌（会话cookie）被实时捕获。 一旦网络钓鱼过程结束，受害者将被重定向到服务的真实域，以避免引起怀疑。 网络钓鱼过程概述 Enc…

声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 0x01 测谎仪的历史 测谎仪的历史可以追溯到19世纪末期，那时人们就开始意识到：撒谎可能会伴随着生理反应的变化。 早期的测谎方法主要是基于观察被试者的生理指标，比如心率、呼吸频率和皮肤电阻等。虽然这些方法不够精确，但它们启发了科学家进一步探索如何利用生理指标来识别撒谎。 莱昂纳德·基勒 (Leonarde Keeler) 是基勒测谎仪的发明者，他一生的大部分时间都在试图辨别人们是否说真话。如下图，他通过测谎仪认识了他的妻子凯瑟琳。 当时的芝加哥，因其帮派和惊人的凶杀率而被称为谋杀之城。1929年，为了扭转这座城市的声誉，市政府在西北大学建立了科学犯罪侦查实验室，这是美国第一个正式的刑事调查机构。基勒夫妇成为了该实验室的两位顶尖犯罪学家，莱昂纳德成为了实验室的测谎专家，凯瑟琳成为了笔迹分析专家。 在洛杉矶，基勒直接向该市改革派警察局长奥古斯特·沃尔默汇报，后者声称该机器将提供“改良、简化和人性化的三级”。沃尔默希望他的门生的机械创新能够让容易出错和暴力的审讯成为过去。 自此，莱昂纳德的机器有了一个正式的名称——基勒测谎仪——并在犯罪侦查实验室中内置了一个公共关系部门。两年之内，测谎成为西北实验室最赚钱的业务。 有趣的是，随着这种设备在检测欺骗和犯罪方面的成功，”基勒解释了原理，“在很大程度上归因于这种测试在招供方面所产生的心理效应。” 他的设备原本是为了简化警方的审讯，但却成为警察强制装备库中的另一个工具。 0x02 关于测谎仪的认知盲区 测谎仪…

Nmap是Network Mapper（网络映射器）的缩写，是一个用于端口和IP扫描以及应用程序检测的开源工具。网络和系统管理员将其用于清点网络资产、管理服务升级计划和监视服务正常运行时间。 起初，它是作为一款Linux工具而开发的，但现在也可用于Windows和MacOS。用户还可以在Solaris、AIX或Amiga OS等不太常见的系统上使用Nmap。源代码以C、C++、Perl和Python等版本提供，可以定制该工具以适用于不同的环境。 管理员用Nmap进行渗透测试，检查哪些设备在其网络上运行，Nmap还使他们能够查看哪些端口是敞开的，并发现潜在的漏洞。 Nmap有什么用途？ 大致说来，Nmap允许用户进行快速的网络映射，可以帮助团队优化并保护网络和数据。它被用于渗透测试、道德黑客活动以及进行其他目的。它最近的一项用途是分析网站服务器和物联网设备之间的流量。 Nmap由美国网络安全专家Gordon Lyon开发，下面将逐一介绍Nmap工具的最重要功能： 网络映射 Nmap向用户显示哪些类型的设备连接到网络并使用扫描端口。借助这个命令，用户可以看到服务器、路由器、交换机及其他设备是如何连接的，他们还可以了解它们如何协同工作，并进一步设想网络图。 端口扫描 用户可以使用Nmap检查哪些端口是敞开的，哪些端口是关闭的。这项功能对于IT团队来说非常方便，因为他们可以用它来查看防火墙是否在正常工作，对于那些想要防范端口扫描攻击的人来说，它也派得上用场。 漏洞扫描 Nmap还有助于发现网络容易受到特定威胁攻击的程度。当发现一个影响特定软件或软…

1. 基本介绍1.1 概要 通用即插即用（英语：Universal Plug and Play，简称UPnP）是由“通用即插即用论坛”（UPnP™ Forum）推广的一套网络协议。该协议的目标是使家庭网络（数据共享、通信和娱乐）和公司网络中的各种设备能够相互无缝连接，并简化相关网络的实现。UPnP通过定义和发布基于开放、因特网通讯网协议标准的UPnP设备控制协议来实现这一目标。 1.2 结构组成设备 - UPNP规范中的最基本单元。代表一个物理设备或包含多个物理设备的逻辑设备。服务 - UPNP规范中的最小控制单元。代表设备提供的服务及调用API接口。控制点 - UPNP所在网络的其他网络中UPNP设备。1.3 协议过程发现 - 简单发现服务描述 - 通过远程访问URL，XML文件格式显示服务相关信息控制 - 控制信息使用SOAP协议，XML文件格式显示。2. 安全风险 UPnP由于设计上的缺陷而产生的漏洞，这些其中大多数漏洞是由于服务配置错误或实施不当造成的。 路由器设备作为代理，对内网进行渗透测试开启端口映射，访问内部计算机3. 威胁分析3.1 获得服务控制协议文档(SCPD)(1) 部分开启服务 - 1 (2) 部分开启服务 - 2 开启服务汇总 <serviceType>urn:schemas-upnp-org:service:Layer3Forwarding:1serviceType> <serviceId>urn:upnp-org:serviceId:L3Forwarding1serviceId&…

FortiGuard实验室每两周收集一次感兴趣的勒索软件变体的数据，并发布有关报告，旨在让读者了解不断发展的勒索软件形势以及抵御这些变体的缓解措施，本文要讲的是Retch和S.H.O勒索软件。 受影响的平台：Microsoft Windows； 受影响方：Microsoft Windows用户； 影响：加密和泄露受害者的文件，并要求赎金解密文件； 严重性级别：高； Retch勒索软件概述 Retch是2023年8月中旬首次发现的一种新的勒索软件变体，它在受攻击设备上加密文件，并留下两张勒索信，要求受害者支付赎金来解密文件。 攻击媒介 虽然目前无法获得有关Retch勒索软件攻击者使用的攻击媒介的信息，但是它可能与已知其他勒索软件组织有显著关联。 目前，来自以下国家的Retch勒索软件样本已提交给公共文件扫描服务: 美国 伊朗 德国 俄罗斯 法国 哥伦比亚 韩国 意大利 一旦勒索软件运行，它就会查找并加密具有以下文件扩展名的文件： 以下目录不支持文件加密： "Windows" "Program Files" "Program Files (x86)" 勒索软件为加密文件添加了“.Retch”扩展名。 由Retch勒索软件加密的文件 然后，它会在每个加密文件的文件夹中放上一条标记为“Message.txt”的勒索信。 Retch勒索软件释放的勒索信 在勒索信中，攻击者要求受害者支付价值300欧元的比特币来解密文件，由于赎金要求较低，Retch勒索软件的攻击目标很可能是一般消费者而不是企业。如下图所示，赎金信息有法语和英语两种版本，这使我们…

1 概述 近期，安天CERT监测到多起Outlaw挖矿僵尸网络攻击事件，该挖矿僵尸网络最早于2018年被发现，主要针对云服务器从事挖矿活动，持续活跃。安天CERT在分析近期的攻击事件中发现，该挖矿僵尸网络样本在第三版本基础上有了重要更新，其功能更加多样、隐匿性更高、清除更加困难。主要传播途径和功能依旧是SSH暴力破解攻击目标系统，植入SSH公钥，以达到长期控制目标系统的目的，同时下载执行基于Perl脚本语言编写的后门和开源门罗币挖矿木马，使用扫描和暴力破解工具对其他主机进行相应攻击。 经验证，安天智甲终端防御系统可有效防御、查杀该挖矿木马。 2 攻击流程 Outlaw挖矿僵尸网络首先会通过扫描SSH服务对目的主机进行暴力破解，获取权限后下载最终载荷文件dota3.tar.gz，然后不落地执行tddwrt7s.sh脚本中的指令，初始化脚本，将载荷放到/tmp目录下，解压缩载荷文件，并执行载荷文件中的第一个Perl脚本initall，该脚本最终会执行载荷文件中的第二个Perl脚本init2，会在cron.d文件中写入计划任务，依次执行a、b、c文件夹中的a、a、start脚本。 一、a文件夹： 1.a文件的主要作用是检测与清除RedTail挖矿僵尸网络相关的恶意行为，执行run文件。 2. run文件用于启动并管理名为kswapd00的挖矿程序以及stop脚本。 3.stop文件的主要功能是执行init0文件以及清理目标系统中的指定文件和进程。 4.init0文件用于全面排查并清理与挖矿相关的活动。 二、b文件夹： 1.a文件的主要功能是执…

篇首语：最近在梳理各种异常频谱，杨叔无意中查到这么一个奇怪的频点，已经超出了正常的检测范围，普通的信号检测设备也无法接收到这个频点的信息。 深挖之余，就有了本篇。 本文同样送给那些喜爱神秘/科幻主义的爱好者、超自然研究者、《飞碟探索》《鬼吹灯》粉及有末日情节的生存控们，希望大家喜欢。 声明：以下内容素材均来自互联网，不涉及宗教、玄学、神话等方面的讨论，仅供交流、参考与闲聊，不喜勿看，谢绝杠精。 0x01 这世界有“鬼”么？ 早在有记载的历史之前，人类就一直在讲鬼故事。 在西方，一些已知最古老的鬼魂出没地，比如公元前8世纪古希腊荷马编著的《奥德赛》描述的，奥德修斯前往冥府寻找先知，看到无数凄厉悲苦的亡魂。 《旧约全书》讲述了恩多女巫召唤幽灵预言家撒母耳，结果导致了扫罗王的战败与自杀。 除了文学上的虚构，西方历史上也有很多有关鬼魂的记载。 公元1世纪，博物学家小普林尼在雅典的一处房子被鬼缠上，他说这个鬼会发出锁链的喀嚓声，还会以长胡子的老人的形象现身。 而出现频率最高的是王后安妮•傅林的鬼魂，据说自从1536年被砍头之后，人们已经在120个地方见到她不下3万次。 而在东方，中国古代如此之多描述鬼魂精怪的著作和传说，什么《搜神记》《聊斋志异》《山海经》《封神演义》......估计故事总数要超过整个西方的合集。 PS：杨叔就曾为小倩（其实是王祖贤）痴迷不已夜不能寐无心喃呢...... ......咳咳，总之，鬼魂、幽灵什么的都被认为是各种超自然行为的罪魁祸首，但多亏了科学，我们终于能够解释其中的一些情况。 嗯，先放张摸金校尉的图镇场。 0x…

01 新剧介绍 先引用下网上的官方介绍： 电视剧《对手》是爱奇艺出品，海东明日影视联合出品，由卢伦常执导，郭京飞、谭卓、颜丙燕、宁理领衔主演，孙佳雨、王天辰、刘帅良主演，何蓝逗联合主演，黄尧、张月特别主演的当代都市谍战剧，讲述了和平年代的“谍战”故事。 《对手》讲述了国家安全警察在日常生活中寻找间谍线索的故事，他们凭借着精湛的侦查能力，为了国家和人民的安居乐业，克服了一切困难，最后赢得了胜利。 02 本剧亮点 感觉全剧贯穿的主题有这么几个： ① 鼓励全民反间防谍，牢记12339，即国家安全举报电话 ② 国内潜伏是没有希望滴，赶紧自首才是王道 ③ 国安警察并不是脱离群众的“神人”，也都是和每一个普普通通的家庭一样，需要面对生活中的各种压力，为了工作，很多时候甚至不得不牺牲家庭。 特别是最后一点，使得剧中的角色变得鲜活、生动了很多。不再是那种一脸正直帅气的标签化特征，而是更加接地气的长相普通，为了任务去染发、赌球、贴纹身混赌场 03 一些经典片段 之前杨叔在分享电影《扫黑 • 决战》时说过，国产电影电视剧中很少出现跟踪、技术窃密的场景，有朋友留言说是国情不允许啊之类。 其实按照国内这些年引进的这么多相关内容的欧美港台电影来看，比如《窃听风云》系列，《碟中谍》等，说国情不允许肯定是夸张了。 杨叔：“相信最主要的原因还是导演、编剧的意识理念缺乏所致。” 所以，在《对手》这部剧里，这方面的情节展现就显得特别亮眼 厦洲市国安处长段迎九，在带领新人外出时，通过询问每个人对环境细节的观察，来考核个人能力。 这一段与香港电影《跟踪》里CIB…

黑客利用 ZIP 文件串联技术以 Windows 计算机为目标，在压缩档案中传递恶意负载，而目前安全解决方案却无法检测到它们。 该技术利用了 ZIP 解析器和存档管理器处理串联 ZIP 文件的不同方法。有安全公司发现了这一新问题，在分析利用虚假发货通知引诱用户的网络钓鱼攻击时，发现了隐藏木马的串联 ZIP 存档。 安全研究人员发现，该附件伪装成 RAR 存档，并且恶意软件利用 AutoIt 脚本语言来自动执行恶意任务。 网络钓鱼电子邮件将特洛伊木马隐藏在串联的 ZIP 文件中 将恶意软件隐藏在“损坏的”ZIP 中 攻击的第一阶段是准备阶段，威胁者创建两个或多个单独的 ZIP 存档，并将恶意负载隐藏在其中一个中，剩下的则保留无害的内容。 接下来，通过将一个文件的二进制数据附加到另一个文件，将其内容合并到一个组合的 ZIP 存档中，将单独的文件连接成一个文件。尽管最终结果显示为一个文件，但它包含多个 ZIP 结构，每个结构都有自己的中心目录和结束标记。 ZIP 文件的内部结构 利用 ZIP 应用程序漏洞 攻击的下一阶段依赖于 ZIP 解析器如何处理串联档案。安全公司测试了 7zip、WinRAR 和 Windows 文件资源管理器，得到了不同的结果： ·7zip 仅读取第一个 ZIP 存档（这可能是良性的），并可能生成有关其他数据的警告，用户可能会错过这些数据 ·WinRAR 读取并显示这两个 ZIP 结构，显示所有文件，包括隐藏的恶意负载。 ·Windows 文件资源管理器可能无法打开串联文件，或者如果使用 .RAR 扩展名重命名，…

1 概述 安天CERT在2月5日发布了《攻击DeepSeek的相关僵尸网络样本分析》报告，分析了攻击中活跃的两个僵尸网络体系RapperBot和HailBot和其典型样本，分析了其与Mirai僵尸木马源代码泄漏的衍生关系。安天工程师依托特征工程机制，进一步对HailBot僵尸网络样本集合进行了更细粒度差异比对，在将样本向控制台输出的字符串作为分类标识条件的比对中，发现部分样本修改了早期样本的输出字符串“hail china mainland”，其中数量较多的两组分别修改为“you are now apart of hail cock botnet”和“I just wanna look after my cats, man.”。为区别这三组样本，我们将三组变种分别命名为HailBot.a、HailBot.b、HailBot.c，对三组样本的传播方式、解密算法、上线包、DDoS指令等进行相应的分析。其中也有将输出字符串修改为其他内容样本，但数量较少，未展开分析。 表 1‑1 HailBot三个变种之间的关系 HailBot.a HailBot.b HailBot.c 特殊字符串 hail china mainland you are now apart of hail cock botnet I just wanna look after my cats, man. 传播方式 CVE-2017-17215漏洞 CVE-2017-17215漏洞 CVE-2023-1389漏洞 破解攻击（账号密码数量45） CVE-2017-1721…

0x01 前言 F5 BIG-IP广域流量管理器是一种网络流量管理设备，用于提升链路性能与可用性。F5在金融行业具有特别广泛的使用量，做过各大银行攻防演练的小伙伴对这个系统应该不会陌生。 最近爆出的CVE-2023-46747漏洞能达到远程RCE的效果，属于严重级别的安全漏洞。有意思的是这个漏洞和“AJP请求走私”有关。本文将对请求走私漏洞和CVE-2023-46747做一个详细介绍和分析。 0x02 AJP请求走私介绍 较早出现的AJP请求走私漏洞是CVE-2022-26377，关于该漏洞的详细信息已经有作者进行过分析，感兴趣的读者可以查看原文https://www.ctfiot.com/44809.html，这里我们关注的是AJP请求走私漏洞的危害。 AJP请求走私漏洞影响Apache Httpd < 2.4.54，注意这里直接受影响的并不是tomcat，所以并不是所有的java网站都受请求走私漏洞的影响，而是只有启用了httpd服务的网站才受此漏洞影响，类似于现在前后端分离中nginx服务的作用。在F5 BIG-IP中启动的WEB服务的架构如图2.1所示，并且在F5-BIG-IP中的httpd版本2.2.15，受CVE-2022-26377漏洞影响。 图2.1 F5 BIG-IP中的WEB服务架构 图2.2 F5 BIG-IP中的httpd版本 AJP请求走私漏洞并不是一个高危漏洞，在各个CVSS评分在6.5-7.5之间，所以一直没有受到我的关注，只是觉得这是一个仅供研究没有实际意义的理论漏洞。在这次F5 BIG-IP的R…

1 概述 勒索攻击目前已成为全球组织机构主要的网络安全威胁之一，被攻击者作为牟取非法经济利益的犯罪工具。为了增加受害方支付勒索赎金的概率并提升赎金金额，攻击者已从单纯的恶意加密数据演变为采用“窃取文件+加密数据”的双重勒索策略。更有甚者，在双重勒索的基础上，增加DDoS攻击以及骚扰与受害方有关的第三方等手段，进一步演变为“多重勒索”。近年来，勒索攻击的主流威胁形态已从勒索团伙广泛传播勒索软件收取赎金，逐渐转化为“RaaS（勒索软件即服务）+定向攻击”收取高额赎金的模式。这种模式针对高价值目标，RaaS的附属成员通过购买0Day漏洞、研发高级恶意代码、收买企业内鬼和情报等手段，提高突防能力并提升勒索载荷落地成功率。这种“定向勒索+窃密+曝光+售卖”的组合链条，通过胁迫受害者支付赎金从而实现获利。为有效应对勒索风险，防御者需要改变对勒索攻击这一威胁的认知，并且更深入地了解定向勒索攻击的运行机理，才能构建有效的敌情想定，针对性的改善防御和响应能力。 2024年中，勒索攻击事件频繁发生，攻击者通过广撒网式的非定向模式和有针对性的定向模式开展勒索攻击。勒索攻击持续活跃的因素之一是RaaS商业模式的不断更新。RaaS是勒索攻击组织开发和运营的基础设施，包括定制的破坏性勒索软件、窃密组件、勒索话术和收费通道等。各种攻击组织和个人可以租用RaaS攻击基础设施，完成攻击后与RaaS组织按比例分赃。这一商业模式的兴起和成熟，使得勒索攻击的门槛大幅降低，攻击者甚至无需勒索软件开发技能，也能对目标进行定向攻击。另一重要因素是初始访问经纪人（Initial Acc…

BlackCat运营商最近宣布对他们的工具进行更新，包括一个名为Munchkin的实用程序，它允许攻击者将BlackCat有效负载传播到远程设备和受害者组织网络上的共享。在过去的两年中，作为勒索软件即服务(RaaS)商业模式的一部分，BlackCat勒索软件运营商一直在不断发展和更新他们的工具。 在最新发现的样本中，Unit 42的研究人员获得了一个独特的Munchkin样本，因为它加载在自定义的Alpine虚拟机(VM)中。这种利用自定义虚拟机来部署恶意软件的新策略在最近几个月得到了越来越多的应用，允许勒索软件攻击者使用虚拟机来绕过部署恶意软件有效负载的安全解决方案。 本文详细介绍了这个新实用程序的攻击进程，并进一步阐明了BlackCat攻击者使用的持续策略。 BlackCat概述 BlackCat勒索软件于2021年11月首次被曝光。这种攻击因其恶意软件的复杂性以及使用Rust编程语言等独特方法而臭名昭著。 与其他勒索软件类似，BlackCat采用了RaaS商业模式，这种模式允许其他机构有偿利用他们的工具，使用机构会获得大约80-90%的赎金，其余的则交给运营商。 “BlackCat”组织及其使用机构历来把目标锁定在美国境内。然而，随着时间的推移以及受欢迎程度，攻击范围正在逐渐扩大，最近，人们发现BlackCat的目标是全球众多行业及其垂直行业的受害者。 BlackCat工具集多年来一直在不断发展。 原始版本仅提供了一个嵌入式JSON配置，并没有应用混淆或加密。 随着时间的推移，操作人员更新了恶意软件家族，以混淆这种底层配置。他们还需…

一、事件背景 2024年7月9日，微软官方发布了一个针对“windows远程桌面授权服务远程代码执行漏洞”（CVE-2024-38077）的修复补丁包，起初并没有引起大家的警觉。近日在国外某网站上疑似漏洞的作者公开了该漏洞的“POC验证代码”。一时激起千层浪，该漏洞开始疯狂发酵并在安全圈里转发。 该文章的原文链接为： https://sites.google.com/site/zhiniangpeng/blogs/MadLicense 链接里也附上了漏洞验证视频： https://www.youtube.com/watch?v=OSYOrRS2k4A&t=8s 有意思的是，截至本文发稿前，这篇文章和文章里提到的漏洞验证视频已均被作者删除。我们就先从作者发的这个链接来看看其中的一些端倪。 二、原文翻译 注：以下内容为原文翻译，我们对其中需重点关注的部分做了标记。 【背景】 今年早些时候，我们对 Windows 远程桌面服务进行了深入分析，发现了多个漏洞，所有相关漏洞（56 例）都已报告给微软。其中包括远程桌面授权服务中的多个 Preauth RCE 漏洞（未经身份验证的非沙盒 0-click RCE）。这些漏洞可用于构建针对 Windows 远程桌面授权服务的多个 Preauth RCE 漏洞。是的，它们是多年来在 Windows 中未见过的 0-click preauth RCE。我们将它们称为Mad、Bad 和 Dead Licenses 漏洞。…

如今，众多攻击者利用无恶意软件的间谍技术实施无法检测到的破坏，依靠合法的系统工具和寄生攻击（LOTL）技术来渗入端点。无恶意软件的攻击有赖于用户对合法工具的信任，很少生成唯一的特征码，并且依赖无文件执行。 在CrowdStrike追踪分析及其《2023年威胁狩猎报告》阐述的所有恶意活动中，CrowdStrike威胁图索引的检测中有71%没有恶意软件。总共有14%的入侵事件依赖基于Falcon OverWatch跟踪的活动的远程监控和管理（RMM）工具，攻击者增加了使用RMM工具进行无恶意软件攻击的数量，同比增长了惊人的312%。 随着FraudGPT标志着武器化人工智能新时代开始到来，而企业面临输掉人工智能战争的风险。人工智能、机器学习和生成式人工智能整合到扩展检测和响应（XDR）中就需要快速行动起来，以阻止无恶意软件和人工智能带来的新攻击。 XDR提供了CISO们一直所需要的那种整合。 XDR改善了信噪比 通过依赖在大规模整合的API和平台，XDR平台充分利用了每个可用的遥测数据源，以便实时检测和响应潜在的入侵和破坏企图。事实证明，这些平台能够有效地减少网络噪声，并发现表明潜在入侵或攻击的信号。 据Cynet 2022年对CISO开展的调查显示，XDR对CISO们来说是一种有效的整合策略：96%的CISO计划整合其安全平台，63%的CISO表示XDR是自己的首选解决方案。 几乎所有接受调查的CISO都表示，整合工作已在他们的路线图上，高于2021年的61%。Gartner公司预测，到2027年年底，多达40%的企业将使用XDR来减少现…

之前杨叔在加拿大一个商场的渔猎柜台，突然看到几款高灵敏度金属探测器，便想起了之前看过的探宝资料，好久没更新，赶紧分享给大家~ 注：以下内容符合OSINT国际开源情报搜集标准，不涉及任何非法行为，仅供交流与参考。 01 海滩上的“宝藏猎人” 这个世界的海水下蕴藏着无数的宝藏，除了那些传说中海盗或者纳粹的宝藏之外，还有很多是由于各种原因，人们失落到海里的珠宝首饰。 有个专门的词形容那些探宝的人：“Treasure hunter”，即：宝藏猎人。 David Stone就是这样一个幸运儿，由于加勒比海的游客们来自世界各地，所以通过金属探测器，他在那里的水域收获了许多“战利品”。 “你永远不知道会发现什么。每次出去都会有新的体验。”他说。 过去六年，他在Onset海滩发现了1910年的10角硬币，以及同等金额的银币。 他还发现了很多宗教物品，例如十字架和圣克里斯托弗奖章。 他的藏品还包括钥匙链、发夹和硝化甘油容器。 令人惊讶的是，他发现的珠宝中大约90%都是男士婚戒。 “很多结婚戒指都会有雕刻和日期，”他说，比如他在帕克伍德海滩地区发现了一枚非常古老的银戒指，上面刻有姓名缩写。 “这枚戒指是由美国最早的女银匠之一制作的，”他说， “波士顿现代主义珠宝商 Ella L. Cone是The Silversmith's Shop的设计师和老板，该店位于波士顿博伊尔斯顿街342号。20世纪50~60年代，她在波士顿和开普敦都有店面。” 当然，并不是所有的东西都值得保留，“我确实发现了很多垃圾，”他说。 “比如钉子、瓶盖......我通常会把…

随着收益和玩家数量（超过30亿）的增加，游戏行业也成为攻击者的目标，尤其是玩家们期待已久的热门游戏经常被用作恶意活动的诱饵。截至2022年，近四分之一的玩家是未成年人，他们更容易成为攻击者的猎物。 分析方法 为了深入了解当前与游戏相关的网络安全风险，卡巴斯基对针对游戏社区的普遍威胁进行了全方位研究。从伪装成游戏应用、mod和作弊的威胁到对该领域最活跃的恶意软件家族的功能分析。他们还分析了使用各种游戏名称和游戏平台作为诱饵的网络钓鱼页面。 本文的分析利用了来自卡巴斯基安全网络(KSN)的数据，这是一个处理卡巴斯基用户自愿分享的匿名网络威胁相关数据的系统。分析时间段从2022年7月1日到2023年7月1日。 研究人员除了选择在流媒体平台(如Origin和Steam)上下载或准备发布的排名前14款游戏，还分析了与平台无关的游戏进行研究。 游戏列表是基于互联网上最受欢迎游戏的几个排名。他们重点分析了手机版和桌面版《我的世界》《Roblox》《反恐精英:全球进攻》(CS:GO)、《绝地求生》(PUBG)，《霍格沃茨遗产》《远古防御2》(DOTA 2)，《英雄联盟》《魔兽世界》《Apex传奇》《暗黑破坏神4》《星球大战绝地求生》《塞尔达传说》《博德之门3》和《最终幻想XVI》相关的威胁。 威胁分析 在过去的一年里（2022年7月1日至2023年7月1日），卡巴斯基总共检测到4076530次与游戏相关的桌面感染，影响着全球192456名玩家。 最常见的威胁是下载程序(89.70%)，其次是广告软件(5.25%)和特洛伊木马(2.39%)。 作为诱饵，使…

1 概述 近期，安天CERT通过网络安全监测发现了一起新的挖矿木马攻击事件，该挖矿木马从2023年11月开始出现，期间多次升级组件，目前版本为3.0。截止到发稿前，该挖矿木马攻击事件持续活跃，感染量呈上升态势。主要特点是隐蔽性强、反分析、DLL劫持后门和shellcode注入等，因此安天CERT将该挖矿木马命名为“匿铲”。 在此次攻击活动中，攻击者利用了两个比较新颖的技术以对抗反病毒软件，第一个技术是滥用反病毒软件的旧版本内核驱动程序中的功能来结束反病毒软件和EDR，这个技术通过一个主体的PowerShell脚本、一个独立的PowerShell脚本和一个控制器（内存加载的小型可执行文件）来完成，主体的PowerShell脚本用于下载并安装反病毒软件的旧版本内核驱动程序，独立的PowerShell脚本用于解密并内存加载控制器，控制器用来控制内核驱动程序。虽然被滥用的旧版本内核驱动程序早已更新，但目前仍能被非法利用并有效结束大多数反病毒软件。 第二个技术是利用MSDTC服务加载后门DLL，实现自启动后门，达到持久化的目的。这个技术利用了MSDTC服务中MTxOCI组件的机制，在开启MSDTC服务后，该组件会搜索oci.dll，默认情况下Windows系统不包含oci.dll。攻击者会下载后门DLL重命名为oci.dll并放在指定目录下，通过PowerShell脚本中的命令创建MSDTC服务，这样该服务会加载oci.dll后门，形成持久化操作。 经验证，安天智甲终端防御系统不会被反病毒软件的旧版本内核驱动程序所阻断，也能够对该后门DLL的有效…

1 概览 “游蛇”黑产自2022年下半年开始活跃至今，针对国内用户发起了大量钓鱼攻击和诈骗活动。该类黑产传播的恶意程序变种多、更新免杀手段快、更换基础设施频繁、攻击目标所涉及的行业广泛。近期，安天CERT监测到“游蛇”黑产针对与金融、财务相关的企业及人员进行的攻击活动。攻击者投放的初始恶意文件主要有三类：可执行程序、CHM文件、商业远控软件“第三只眼”，伪造的文件名称大多与财税、资料、函件等相关。 由于商业远控软件“第三只眼”提供多方面的远程监控及控制功能，并且将数据回传至厂商提供的子域名服务器、根据qyid值识别控制端用户，攻击者无需自己搭建C2服务器，因此恶意利用该软件进行的攻击活动近期呈现活跃趋势。 “游蛇”黑产仍在频繁地对恶意软件、免杀手段以及相关基础设施进行更新，每天依旧有一定数量的用户遭受攻击并被植入远控木马。安天CERT建议用户接收文件时保持警惕，避免点击安全性未知的可执行程序、脚本等文件，以免遭受“游蛇”攻击，造成不必要的损失。建议未购买使用“第三只眼”远控软件的用户，使用流量监测设备检查网络中是否存在与“dszysoft.com”及其子域名相关的连接记录，若存在则表明可能被恶意植入了相关远控，用户也可以考虑对相关域名进行封禁。 经验证，安天智甲终端防御系统（简称IEP）可实现对该类远控木马的有效查杀。相关防护建议详见本文第四章节。 2 技术梳理 近期，安天CERT监测到攻击者投放的初始恶意文件主要有三类，伪造的文件名称大多与财税、资料、函件等相关。 表 2‑1近期部分样本伪装名称 伪装的程序名称 企业补贴名单.exe …

漏洞链攻击是从以下诱饵开始: 分析时，研究人员观察到一个有趣的Microsoft Word文档(.docx文件)于2023年7月3日首次提交给VirusTotal，名为Overview_of_UWCs_UkraineInNATO_campaign.docx。 该活动被社区归因于Storm-0978(也被称为RomCom组织，因为他们使用了RomCom后门)。 恶意Word文档诱饵 此文档托管在以下URL： hxxps://www.ukrainianworldcongress[.]info/sites/default/files/document/forms/2023/Overview_of_UWCs_UkraineInNATO_campaign.docx上面的链接表明该文档很可能是通过电子邮件传播的，电子邮件文本包含指向.docx文件的链接。文件的创建日期和域名ukrainianworldcongress的注册日期都是2023年6月26日。这个时间点表明，这是一个基于电子邮件的活动，其中包含.docx文件的链接。 当该文件最初提交给VirusTotal时，62个杀毒软件中有27个将其识别为恶意文件。 CVE-2023-36584利用的技术分析 微软Office文档一直是攻击者传播恶意软件的常用攻击手段。为了应对这一威胁，微软实施了mow安全，限制Office文档中的各种功能来自不受信任的位置。 Windows将这些文件识别为高风险文件。带有mow标记的文件会生成一个SmartScreen提示，表明它有潜在的危险。当Word文档未标记…

随着技术的发展，世界之间的联系变得更加紧密，攻击者使用的技术也在不断发展。攻击者通过不断地利用供应链和代码库中复杂的相互依赖关系，对组织、个人和社区造成重大风险。 近年来最令人担忧的攻击趋势之一是供应链攻击的增加，尤其是那些对代码库的攻击，这是全球网络安全领域的一个难题。根据欧盟网络安全机构(ENSA)发布的一份报告，62%的组织受到第三方网络事件的影响，只有40%的受访组织表示他们了解第三方网络和隐私风险。更令人担忧的是，38%的受访组织表示，他们不知道哪些网络问题是由第三方组件引起的，最近涉及供应链的网络攻击包括Apache Log4j, SolarWinds Orion和3CX的3CXDesktopApp。 在现代软件开发中，开发人员依赖第三方组件来简化开发过程，这使开发人员能够创建成本效益高、效率高且功能丰富的应用程序。但是，当这些受信任的组件受到攻击时会发生什么？ 攻击者可以通过组织供应链中不太安全的元素，如第三方供应商或软件存储库间接渗透系统，甚至允许他们破坏受信任的组件，从而在更大、更安全的环境中获得立足点。恶意代码经常嵌入看似合法的软件库中，当开发人员集成这些组件，就会不知不觉地将漏洞和其他网络安全风险引入他们的核心系统。 本文深入研究了攻击者在看似合法的应用程序和代码库中植入恶意有效负载的复杂方法，并以最近示例作为研究对象。 技术分析 攻击者复制合法GitHub存储库的示例研究，然后用恶意代码进行木马化和攻击，策略性地用关键字填充其存储库描述部分，以最大限度地提高其在GitHub搜索中的可见性。 通过此分析，我们可以深入…

自2023年8月底以来，研究人员观察到专门用于标题党和广告内容的受攻击服务器显著增加。但为什么这样的网站对攻击者来说如此有吸引力呢？主要因为这些网站的设计是为了接触到大量潜在的受害者。此外，标题党网站经常使用过时或未修复的软件，这使得它们很容易受到攻击。 本文足以让你了解标题党文章的危险性。文中讨论了标题党网站如何增加流量以获得广告收入，研究人员回顾了一种基于其网络流量特征，来检测易受攻击标题党网站的策略。最后，本文还阐述了基于CVE-2023-3169漏洞的标题党网站数量激增的趋势分析。 标题党网站和广告流量 标题党旨在让读者点击一个可疑的网络内容链接。专门从事标题党内容的网站存在的唯一目的是产生广告收入，因此，标题党网站的网页包含大量攻击性广告。 点击诱饵需要大量的浏览量来产生广告收入，所以这些网站通常使用以下三种策略来增加流量。 常青的话题； 内容发现平台； 生成人工智能(AI)工具； 常青的话题 增加流量的一个策略是关注常青话题。常青话题指的是与特定时间或地点无关的话题，人们一直觉得它们很有趣。例如，金融和卫生被认为是常青的话题。图1和图2显示了来自标题党网站的两个示例页面： 金融主题标题党文章的例子 健康主题标题党文章的例子 内容发现平台 由于标题党内容本身是通过广告传播的，许多标题党网站还依靠第二种策略来增加流量：内容发现平台。 新闻机构和其他内容提供商使用内容发现平台来创收，标题党提供商经常使用这些服务来为他们自己的内容增加流量。 内容发现平台经常使用技术来伪装广告。其中一种方法被称为原生广告，此方法将广告内容配置为与…