蓝队取证审计网络安全

近年来，攻击者变得越来越专业，他们钻研技能，以求犯更少的关键错误，并创建了各种即插即用业务，帮助低技能的攻击者发起诈骗和攻击。 目前存在不同类型的攻击服务，包括恶意软件即服务，攻击者开发并向其他攻击者出售恶意软件服务，该服务还包括在被攻击的主机上创建和传播勒索软件等恶意软件类型。同时，其他服务需要使用多个社交媒体帐户才能成功进行，例如虚假信息、垃圾邮件和恶意软件传播。 事实上，攻击者在社交媒体平台上使用数千个账户发送数千条垃圾邮件并不罕见。但是他们是如何做到自动化的呢？ 最近，Kopeechka服务出现，促进了依赖大规模社交媒体垃圾邮件的攻击活动。在俄语中，“kopeechka”的意思是“便士”。 该服务自2019年初以来一直活跃，为流行的社交媒体平台提供简单的账户注册服务，包括Instagram、Telegram、Facebook和X(以前的Twitter)。我们还注意到，针对未成年人的聊天网站可以通过Kopeechka进行注册。 本文介绍了Kopeechka服务，并对该服务的特性和功能进行了详细的技术分析，以及它如何帮助攻击者实现其目标。 社交媒体平台如何确保账户创建过程的安全 大多数社交媒体平台都采取了积极措施来加强账户创建的安全性。由于许多攻击者在社交媒体平台上创建账户用于非法活动，社交媒体公司为了将攻击者在其平台上的风险降至最低，故选择从账户创建过程开始。 有不同的安全措施来保护平台，防止欺诈账户的创建，例如： 1.电子邮件地址验证。注册时，用户需要证明所提供的电子邮件地址是否存在，这通常是通过代码确认完成的，其中用户通过电子…

网络犯罪分子利用欺诈性视频会议平台以窃取加密货币的恶意软件感染 Windows 和 Mac 电脑，通过虚假商务会议来瞄准 Web3 工作人员。 该情况根据会议软件常用的名称被称为“Meeten”，自 2024 年 9 月以来一直在进行。该恶意软件有 Windows 和 macOS 版本，目标是受害者的加密货币资产、银行信息、存储在网络上的信息浏览器和钥匙串凭据（在 Mac 上）。 Meeten 是由 Cado 安全实验室发现的，该实验室称，威胁者不断更改假冒会议软件的名称和品牌，之前曾使用过“Clusee”、“Cuesee”、“Meetone”和“Meetio”等名称。 网站传播 Realst 盗窃者 这些假冒品牌在其中填充了人工智能生成的内容，以增加合法性，看似得到了官方网站和社交媒体帐户的支持。访问者通过网络钓鱼或社交工程进入该网站，并被提示下载所谓的会议应用程序，但实际上，它是 Realst 窃取程序。 根据报告，该骗局以多种方式进行。在一个报告的实例中，用户认识的人在 Telegram 上联系了该用户，希望讨论商业机会并安排通话。然而，Telegram 帐户已创建更有趣的是，诈骗者向他发送了目标公司的投资演示，表明这是一个复杂的、有针对性的骗局。 其他报告称，目标用户正在接听与 Web3 工作相关的电话、下载软件并进行诈骗。他们的加密货币被盗之后。初次接触时，目标将被引导至 Meeten 网站下载产品。除了托管信息窃取程序外，Meeten 网站还包含 Javascript，甚至可以在安装任何恶意软件之前窃取存储在网络浏览器中的…

1 概览 “游蛇”黑产团伙（又名“银狐”、“谷堕大盗”、“UTG-Q-1000”等）自2022年下半年开始活跃至今，针对国内用户发起了大量攻击活动，以图窃密和诈骗，对企业及个人造成了一定的损失。该黑产团伙主要通过即时通讯软件（微信、企业微信等）、搜索引擎SEO推广、钓鱼邮件等途径传播恶意文件，其传播的恶意文件变种多、免杀手段更换频繁且攻击目标所涉及的行业广泛。近期，安天CERT监测到“游蛇”黑产团伙利用仿冒成远程控制软件下载站点的钓鱼网站传播恶意MSI安装程序。 当恶意MSI安装程序执行后，会在用户选择的安装路径中释放一个正常的安装程序以及一个恶意程序，在桌面中创建指向正常安装程序的快捷方式，并执行恶意程序。恶意程序执行后，从指定URL处获取shellcode并在内存中执行。该shellcode通过异或解密算法进行自解密，在内存中执行嵌入其中的1.dll文件。1.dll文件从指定URL处下载、执行两段shellcode。 第一段shellcode在内存中释放执行RpcTsch.dll，该DLL文件通过RPC创建称为“MM”的计划任务；第二段shellcode在内存中释放执行Dll1.dll，该DLL文件持续对剪贴板内容进行监控，并对符合指定条件的内容进行窃取并连续截取20张图片，推测该DLL文件用于窃取加密货币钱包地址及密钥信息，可能存在黑产团伙之间的“黑吃黑”行为。然后，1.dll对当前的系统环境进行多种检测，收集各类系统信息、构建上线包并与C2服务器连接。攻击者能够利用该恶意文件进行远程控制、信息窃取等恶意操作。 “游蛇”黑产团伙仍…

研究人员已设计出了一种攻击方法，可以利用现代iOS和macOS设备搭载的A系列和M系列CPU中的侧信道漏洞，迫使苹果的Safari浏览器泄露密码、Gmail邮件内容及其他秘密信息。 学术研究人员将这种攻击命名为“iLeakage”，这是一种切实可行的攻击，只需极少的物理资源。然而，它确实需要对苹果硬件进行深入的逆向工程，还需要在利用侧信道（side channel）这类漏洞方面拥有丰富的专业知识。 侧信道可以根据电磁辐射、数据缓存或目标系统的其他表现形式中留下的线索泄露秘密信息。这里的侧信道是推测执行，这是现代CPU中提升性能的一项功能，近年来却成为了一大批攻击的来源，几乎源源不断的漏洞变种使得芯片制造商（主要是英特尔，其次是AMD）竞相制定缓解措施。 利用苹果芯片上的WebKit 研究人员将iLeakage实施成了一个网站，被易受攻击的macOS或iOS设备访问时，该网站使用JavaScript秘密打开攻击者选择的不同网站，并恢复在弹出窗口中渲染/呈现的网站内容。研究人员成功地利用iLeakage恢复了YouTube的观看历史内容、Gmail收件箱的内容（目标登录期间）以及由凭据管理器自动填充的密码。一旦被访问，iLeakage网站需要大约5分钟来分析目标机器，另外平均需要大约30秒来提取一个512位的秘密信息，比如64个字符的字符串。 图1. 上图：Gmail的Web视图中显示的电子邮件。下图：恢复的发件人地址、主题和内容。 研究人员在相关信息网站上写道：“我们展示了攻击者如何诱使Safari呈现任意网页，随后使用推测执行恢复网页…

引言 StripedFly，它是一个加密货币挖矿软件，躲在一个支持Linux和Windows的复杂模块化框架后面。它配备内置的TOR网络隧道，用于与指挥（C2）服务器联系，还有通过可信赖的服务（如GitLab、GitHub和Bitbucket）进行更新和交付的功能，这一切使用自定义加密归档。攻击者煞费苦心来构建这个框架，披露的真相颇为惊人。 它是如何开始的？ 2022年，在Equation恶意软件中发现的旧代码的WININIT.EXE进程中遇到了两个惊人的发现，随后的分析揭示了可追溯到2017年的早期可疑代码。在此期间，它成功逃避了分析，之前被误归类为加密货币挖矿软件。然而，这不是其主要目标。 我们决定全面分析收集的样本，只想排除任何不确定因素，这个加密货币挖矿软件是一个极庞大实体的一部分。该恶意软件使用了定制的EternalBlue SMBv1漏洞来渗入受害者的系统。重要的是，我们的调查剖析了二进制时间戳，表明这个漏洞是在2017年4月之前创建的。值得一提的是，EternalBlue漏洞是Shadow Brokers组织于2017年4月14日公开披露的。 这个特殊蠕虫与其他使用EternalBlue的恶意软件的区别在于其独特的传播模式。它悄无声息地传播，因而避免了大多数安全解决方案的检测。本文现在简要概述我们的发现结果。 感染 第一个检测到的shellcode位于WININIT.EXE进程中，该进程能够从bitbucket[.]org下载二进制文件，并执行PowerShell脚本。最初检测出来时，感染途径是未知的；然而，随着调查逐步深入…

今年6月，卡巴斯基的研究者就发现有攻击者利用iMessage来传播恶意软件，iOS 15.7以及此前版本均受到影响。研究人员通过mvt-ios（iOS 移动验证工具包）分析受攻击的设备之后，发现他们可以通过iMessage发送信息，受害者在接收到信息之后，不需要任何用户交互，就能触发系统内漏洞，从而执行任意恶意代码。研究人员将这个攻击活动称为 "Triangulation活动 "。 Triangulation活动的首次公开报道请看这篇文章，正如研究人员在三角测量行动的第一篇文章中提到的，最初发现的受攻击设备正是在莫斯科总部工作的卡巴斯基员工。所有这些设备都连接到公司的Wi-Fi网络，这样研究人员就可以记录和检查网络流量。在花了一些时间调查Wireshark之后，研究人员最终发现了以下内容： 1.在表现出可疑行为之前，连接到iMessage服务器的设备通常负责接收信息和下载附件； 2.在下载了可能是附件的几千字节数据后，这些设备建立了与服务器backuprabbit[.]com的连接，在不到一分钟的时间内与服务器交换数据； 3.接下来，设备连接到以下服务器进行更长的会话： cloudsponcer[.]com snoweeanalytics[.]com topographyupdates[.]com unlimitedteacup[.]com、 virtuallaughing[.]com 4.设备重启后，所有可疑活动都停止了； 所有与服务器的通信都是通过HTTPS进行的，所以研究人员无法从流量中恢复任何额外的细节。 设备映像 由于所有的…

随着数字化时代的蓬勃发展，网络安全产业正迎来一场深刻而迅猛的变革。在过去，我们曾专注于传统的安全防御手段，采取反应式的威胁应对策略。如今，随着威胁的不断演变和技术的飞速进步，网络安全面临着前所未有的挑战和新的需求。这一变革推动我们重新审视网络安全的本质，并着眼于更加智能、预测性和综合性的解决方案。不再局限于单一的防御模式，我们必须迎接更智能化的威胁，同时在数字生态系统中建立起更为全面的保护体系。 2024年3月7日，嘶吼安全产业研究院启动了《2024网络安全产业图谱》调研工作。截止到今天，《2024网络安全产业图谱》调研征集阶段即将结束，望各厂商尽快下载填报《2024网络安全产业图谱调研表》，并于4月7日前发送至指定邮箱。 为适应当前网络安全领域的快速发展，嘶吼安全产业研究院对《网络安全产业图谱》进行更新，以更准确的反映当前网络安全产业链的发展规划与趋势。在各领域新兴技术不断涌现的背景下，我们合理重新分类网络安全产业链，进一步规划网安产业布局，展现产业核心企业能力与竞争力，为政企及其他组织机构提供客观参考。 图谱调整说明： 1、各细分领域精简收录企业数量： 本次图谱调研将参考细分产品营收、营收增长率、客户数量、投入占比、品牌影响力等多个维度，对企业进行全面能力评估，重点收录综合能力较高的企业，为行业用户提供更精准的行业参考指南。 2、热门领域Top10厂商推荐： 在精选出的多个热门领域中，我们将根据调研结果评选出Top10优秀安全厂商，进行单独呈现。 《2024网络安全产业图谱》调研通知： 图谱调研表获取方式：关注嘶吼专业版公众号，回…

安全研究人员基于 Microsoft 配置管理器的不当设置，创建了攻击和防御技术的知识库存储库，这将允许攻击者执行有效负载或成为域控制器。 配置管理器 (MCM) 称为系统中心配置管理器（SCCM、ConfigMgr），自 1994 年以来一直存在，并存在于许多 Active Directory 环境中，帮助管理员管理 Windows 网络上的服务器和工作站。 十多年来，它一直是安全研究的对象，作为可以帮助对手获得 Windows 域管理权限的攻击面。 在SO-CON 安全会议上 ，SpectreOps 研究人员宣布发布 Misconfiguration Manager，这是一个基于错误 MCM 配置进行攻击的存储库，还为防御者提供资源以强化其安全立场。 SpectreOps 解释说：“我们的方法不仅限于对已知对手的策略进行分类，还包括渗透测试、红队行动和安全研究领域的贡献。”MCM/SCCM 的设置并不容易，而且许多默认配置都为攻击者留下了可乘之机。 获取域控制 SpectreOps 研究人员指出，研究人员在其工作中看到的最常见且最具破坏性的错误配置是具有过多特权的网络访问帐户 (NAA)。 谈到 MCM/SCCM，研究人员表示，“配置起来非常困难，新手或不知情的管理员可能会选择使用相同的特权帐户来完成所有操作。” 在工作期间，他们遇到了一种场景，该场景从损害标准用户的 SharePoint 帐户到成为域控制器，这一切都是由于 MCM 的 MCM 部署配置错误以及特权过高的 NAA 造成的。 在另一个示例中，研究人员表示配置管理器站点可…

1.概览 近日，国产AI大模型DeepSeek（深度求索）线上服务受到大规模网络攻击，多次出现服务中断等情况。引发了国内安全业界的关注。根据奇安信XLab实验室监测报告，发现僵尸网络RapperBot和HailBot[1]针对DeepSeek发动了DDoS攻击。为了更有效地研判风险，支撑对相关攻击的防范，安天CERT从“赛博超脑”平台样本库中提取了上述两个僵尸网络所使用的僵尸木马样本，进行了进一步分析工作。 2.样本分析 2.1 RapperBot与HailBot的前世——Mirai RapperBot与HailBot两个僵尸网络都是僵尸网络Mirai的源码泄露的产物。Mirai僵尸网络在2016年首次被发现，迅速引发了广泛关注。其命名源自日语中的“未来”。与传统以Windows系统肉鸡为主的僵尸网络不同，Mirai感染控制网络摄像头、家用路由器和其他物联网设备，用于构建僵尸网络体系[2]。在2016年，因其引发的“DYN事件”[3]而浮出水面，Mirai的三名作者Paras Jha，Josiah White和Dalton Norman，均为美国人。三人经营了一家名为Protraf Solutions LLC的公司，对外宣称提供DDoS攻击防护，实际上则利用僵尸网络发动DDoS攻击，进行敲诈等牟利活动。三名人员在2018年，被美国阿拉斯加法院判处5年缓刑、2500小时社区服务，赔偿12.7万美元，并需自愿放弃犯罪期间获取的加密货币。 Mirai专门针对物联网（IoT）设备实施自动化渗透植入，如路由器、网络摄像头和数字视频录像机（DVR），…

1 概述 近期，安天CERT监测到一起挖矿木马攻击事件，该挖矿木马从2024年3月开始出现，并持续更新攻击脚本。该挖矿木马的典型特点是针对操作系统类型下载对应的挖矿程序、检查系统环境是否有curl、Python、Perl等工具，如果有则使用这些工具下载挖矿程序，如果没有会进行下载适配、根据CPU算力动态调整运行参数，不会饱和使用CPU资源，避免因消耗过多资源被用户感知发现。该挖矿木马因其在脚本中多次出现“app”字符串，故安天CERT将该挖矿木马命名为“app Miner”。 经验证，安天智甲终端防御系统可实现该挖矿木马的有效查杀。 2 攻击流程 app Miner挖矿木马首先会执行一系列功能模块中的功能，如根据CPU线程数估算门罗币（Monero）挖矿的哈希率、根据CPU算力动态调整运行参数、遍历指定目录尝试找到一个足够空间投放挖矿木马的目录、根据受害主机操作系统类型和架构等，生成一个格式化的文件名、查找感染系统中正在运行的竞品挖矿进程等等。之后会从指定的URL上下载挖矿程序、设置挖矿配置文件进行挖矿。该挖矿木马还有很多函数具有多种功能，但默认状态下脚本未开启这些功能或待开发中，其中主要包括计划任务函数、服务函数、进程检查函数等等。 图 2‑1 攻击流程图 3 脚本功能分析 根据CPU线程数估算Monero挖矿的哈希率，然后基于这个哈希率动态计算并选择一个端口号。用于配置一个挖矿程序以选择适当的端口进行通信。这样的设计可能是为了在不同机器上运行时根据机器的不同性能选择合适的设置。 图 3‑1 估算Monero挖矿的哈希率 根据CP…

导读：本文基于《IDC TechScape：中国网络安全软件技术发展路线图，2024》中关于网络安全实训演练测试平台（靶场）的技术路线分析，结合国内外靶场的发展状况与建设经验，深入解读国内靶场行业下一阶段的发展及演进趋势。同时，结合实用型靶场的建设经验，概括适用于国内行业的评价指标，明确未来发展方向。 前景好VS应用难，实用型靶场呼之欲出 IDC靶场发展路线解读 2024年10月，IDC TechScape首次发布《中国网络安全软件技术发展路线图》，在机会型科技趋势中提到网络安全靶场（网络安全实训演练测试平台），并将其标记为值得长期投入的产品类型。赛宁网安基于靶场行业的深厚积淀，成为IDC权威认可的网络安全靶场（网络安全实训演练测试平台）首个推荐厂商。多年深耕，赛宁网安积累了丰富的国内外靶场项目建设经验，并深度参与了用户方靶场的规划及标准制定，在下一代实用型靶场建设方面探索出可借鉴的实践路径和方案。 上述图表数据显示，靶场行业的采用度和市场热度均处于中等水平。对比当前国内靶场面临的功能堆砌、业务复杂、上手门槛高等发展现状，结合市场热度数据，可以合理推断出：尽管靶场在网络安全领域具备良好的应用前景，但缺乏一个通用、简明且实用的行业规范来衡量国内同类产品，这成为制约靶场行业发展的重要因素。 放眼国际市场，实用型靶场占据主流 美欧靶场建设经验参考 美、欧地区在靶场类项目的建设初期会经过多轮业务合理性评审，其规划多基于实际业务需求，并结合安全运营要求作为指导。 欧洲案例 - 挪威网络靶场（Norwegian Cyber Range） 挪威网络…

Nokoyawa勒索软件即服务（RaaS）的运营商是一伙被称为“farnetwork”的威胁组织，多年来通过帮助JSWORM、Nefilim、Karma和Nemty等勒索软件团伙开发恶意软件和管理运营积累了经验。 网络安全公司Group-IB近日的一份报告深入剖析了farnetwork的活动，以及阐述他们是如何逐渐成为勒索软件行当中异常活跃的玩家。 farnetwork向威胁情报分析师们披露了细节，这些细节可以将他们与2019年开始的多起勒索软件活动和一个可以访问多个企业网络的僵尸网络联系起来。 据Group-IB向IT安全外媒体出示的报告显示，这伙威胁组织拥有多个用户名（比如farnetworkl、jingo、jsworm、razvrat、piparkuka和farnetworkitand），并活跃于多个俄语黑客论坛，试图招募加盟团伙从事各种勒索软件活动。 图1. 威胁分子情况简介（图片来源：Group-IB） 今年3月，farnetwork开始为其基于Nokoyawa加密恶意软件的勒索软件即服务项目寻找加盟团伙。然而，Group-IB的威胁情报分析师表示，这伙威胁组织明确表示，他们没有参与开发Nokoyawa的工作。 开展RaaS业务并没有持续多久，farnetwork宣布将退出该领域，并在10月份关闭了Nokoyawa RaaS项目，此前该项目泄露了35名受害者的数据。 图2. Nokoyawa公布受害者（图片来源：Group-B） 然而Group-IB认为，这伙威胁组织的策略是改变方向，以一个新的品牌重新开始，而这个举动正是其…

漏洞概述 WPS Office程序promecefpluginhost.exe存在不当路径验证问题，允许攻击者在Windows上加载任意Windows库文件。该漏洞已被APT-C-60攻击者利用，当用户打开MHTML格式的文档时，只需单击一个恶意制作的超链接，即可执行攻击者指定的恶意库文件，实现远程代码执行。 影响范围 WPS Office版本12.2.0.13110-12.2.0.16412 复现环境 操作系统：Win10 10.0.18363.592 WPS Office版本：WPS Office 12.2.0.13110 分析过程 WPS程序安装后注册了一个名为 ksoqing 的自定义URL协议，注册表路径为：计算机\HKEY_CLASSES_ROOT\ksoqing\shell\open\command，其内容为"C:\Users\【用户名】\AppData\Local\Kingsoft\WPS Office\12.2.0.13110\office6\wps.exe" /qingbangong "%1"。即访问以ksoqing 开头的URL协议时，将启动wps.exe程序，并传递/qingbangong参数，%1则被替换为以ksoqing 开头的协议链接，一并作为wps启动的参数。 此时wps.exe程序解析参数/qingbangong，并将ksoqing链接内容一并发送到 C:\Users\【用户名】\AppData\Local\Kingsoft\WPS Office\12.2.0.13110\…

篇首语：只见他熟练地打开检测设备，在卧室快速地扫描，片刻后起身对着女主点点头，示意可以就寝......这是2018年热剧《保镖》里的镜头。 PPO，Personal Protection Officer，私人安防官，也是我们常说的高端保镖，区别于传统意义上的私人保镖或者保镖团队，PPO的定位已经从战术技能型保镖，转向技术全能型发展。 所谓“技术全能型高端保镖”，即除了必须具备的枪械格斗驾驶等标准技能外，还要求对新安防领域的技术、装备和如何确保高净值客户的隐私安全技能，均有一定深度的涉猎，并能够根据需求自行检索和分析情报，做出快速反应。 著名的“英国丽兹酒店亿万富豪套房窃听事件”就说明了，在套房外职业保镖们的严密守护下，亿万富翁依然被自己的外甥，通过一款民用非法器材窃听了数月。 可见，没有技术层面的支持，即使是职业安保人员，也并不能阻止窃密/泄密的发生。 现在这个竞争愈发激烈时代，若连基本的物理安全检测都不会，还怎么保护雇主的隐私安危呢？ 声明：以下内容遵循OSINT国际开源情报检索标准，部分来自RC²业务的相关场景，仅供参考。 0x01 识别干扰信号+隐蔽告警 在很多时候，贴身保镖需要陪同雇主参与一些商谈或交流，有时候是在对方安排的场所，比如商务会谈室、商务会所，甚至别墅等等。 而出于某种情况，在未知的场景下，可能会遭遇到信号屏蔽干扰的情况。 比如正在会谈中，突然有信号屏蔽设备工作，此时所有的无线信号都将受到干扰，如4G、5G手机信号、无线电信号、WiFi、蓝牙等等。 作为职业保镖，应该能够关注到自己手机信号出现的异常，但是，能否…

今年上半年，一家软件供应商受到了Lazarus恶意软件的攻击，该恶意软件是通过未打补丁的正版软件传播的。值得注意的是，这些软件漏洞并不是新的，尽管供应商发出了警告和补丁，但许多供应商的系统仍继续使用有漏洞的软件，允许攻击者利用它们。幸运的是，研究人员的主动响应发现了对另一个供应商的攻击，并有效地挫败了攻击者的努力。 经过进一步调查，研究人员发现开发被利用软件的软件供应商之前曾多次成为Lazarus的受害者。这种反复出现的漏洞表明，一个持久的攻击者的目标可能是窃取有价值的源代码或篡改软件供应链，他们继续利用公司软件中的漏洞，同时瞄准其他软件制造商。 攻击时间 攻击者表现出了高度的复杂性，采用了先进的逃避技术，并引入了SIGNBT恶意软件来控制受害者。此外，在内存中发现的其他恶意软件包括Lazarus著名的LPEClient，这是一种以受害者分析和有效负载传播而闻名的工具，此前曾在针对国防承包商和加密货币行业的攻击中被观察到。 执行情况如下： 1.一个软件供应商通过利用另一个备受瞩目的软件而受到威胁。 2.这次攻击中使用的SIGNBT恶意软件采用了多种攻击链和复杂的技术。 3.在这次攻击中使用的LPEClient被观察到执行一系列与Lazarus组织相关的目标攻击。 SIGNBT加载程序 在2023年7月中旬，研究人员发现了一系列针对几名受害者的攻击，这些攻击是通过合法的安全软件进行的，这些软件旨在使用数字证书加密网络通信。该软件被利用来传递恶意软件的确切方法仍然难以捉摸。然而，研究人员在正版软件的进程中发现了利用后的活动。 在检查受害者系…

声明：以下示例均以相对写实/纪实类电影为主，什么神盾局特工、007系列以及纯科幻类电影均不予评论。 0x01 电话窃听 商业反窃密/隐私保护/通信监听相关 在已知的技术监控史上，电话窃听，一直扮演着非常重要的角色。这里必须提及杨叔很喜欢的一部奥斯卡获奖电影《窃听风暴》。 在电影《窃听风暴》里，一位前东德安全机构斯塔西STASI的情报员，奉命对东德作家德瑞曼展开了长期的全面监听。 专业+1：如上图所示，斯塔西监控小组的部署行动非常专业，从进门时的对表计时，到器材走线，再到房间壁纸的恢复，最终完成对各个房间及电话的全面监听，观众们完全可以从中窥探到STASI作为当年全球最强大情报机构之一的能力一隅。 0x02 微型窃听器 商业反窃密/隐私保护/企业办公室及会议安全相关 先从早点的电影说起吧，之前出国参会，杨叔刚好在飞机上温习了一遍香港经典电影《英雄本色2》，时光荏苒，杨叔也从一块小鲜肉变成了......唉，不提也罢。 在电影里，有这么一段：小哥给女友父亲送了一个船模，然后顺手在模型背面贴上窃听器。 错误+1：如上图，从现代角度看这款窃听器材，这是典型的基于SIM卡的窃听器材，技术上肯定是OK的，尤其是小哥可以从随身带的接收设备（比如手机）上轻松听取实时传音。 不过遗憾的是，这部电影是在1987年上映的，作为那个还在使用大哥大电话的时代，这款小型器材只可能是基于无线电频段的。 翻下老照片：1987年，广东广州江南大道，一位女士在用“大哥大”打电话。 但若是无线电器材，这么小巧的接收设备（甚至没有天线），还能…

监控和限制对潜在恶意文件的访问可以使您的产品免遭黑客攻击、数据泄露和破坏。为了在基于Linux的环境中做到这一点，开发人员通常必须进行内核级修改，这实现起来很复杂，并且对系统来说存在风险。 在本文中，我们探讨了内核级修改的替代方案：安全增强型 Linux (SELinux) 中的自定义策略和沙箱。我们研究如何使用它们进行事件记录和监视、限制文件访问以及控制自定义沙箱内的系统调用。 为什么要限制 Linux 环境中的文件访问？ 在创建软件解决方案时（无论是简单的驱动程序还是复杂的网络安全系统），保护您的产品免遭未经授权的访问非常重要。对于开发基于 Linux 的产品的团队来说，监视和管理数据和文件访问的常见原因包括： 有几种传统方法可以做到这一点：创建Linux 内核模块来挂钩文件操作、设置挂钩来监视和控制进程等。传统的限制访问方法通常需要高级技术专业知识，并且会给开发过程带来额外的复杂性。它们还可能向您的环境添加严重错误，因为它们通常需要内核级更改。这就是为什么只有当您需要对文件的访问权限进行细致的控制时，此类方法才有用。 当您只需要监视、允许或拒绝访问而不需要任何其他更改时，最好使用SELinux。该系统集成到 Linux 内核中，为开发人员提供强制访问控制的方法。SELinux 为 Linux 环境中的元素设置上下文并通过策略对其进行管理。SELinux 提供了一个强大的沙箱，允许您在有限的环境中执行进程。此环境利用 SELinux 策略来定义沙箱中运行的进程的约束和权限。使用此类策略可以让开发人员有效地增强其应用程序的安全状况。 …

区块链可以增强您解决方案的安全性吗？凭借去中心化、智能合约和代币化等功能，区块链可以提供强大的方法来保护您的数据并自动化网络安全工作。但区块链在网络安全中到底扮演着什么角色，它真的能为所有企业提供强有力的保护吗？ 在本文中，我们仔细研究了区块链网络安全的好处和挑战，并分析了区块链对不同解决方案的网络安全可能产生的影响。 使用区块链实现网络安全：好处和注意事项 区块链对于医疗保健、公共部门、物流、金融等领域的组织有着无穷无尽的应用。除了独特的功能之外，区块链还由于其去中心化和密码学等固有品质提供了更高级别的安全性。让我们看看这种保护软件的技术的主要优点。 安全的数据存储和处理——区块链记录是不可变的，记录在区块链上的任何更改都是透明的且无法修改。因此，存储在区块链上的数据比传统的数字或纸质记录得到更好的保护。 安全的数据传输——区块链可以实现涉及数据和财务的快速、安全的交易。智能合约是区块链技术不可或缺的一部分，它通过自动执行协议来提高安全性，减少人为错误和潜在漏洞的风险。 无单点故障——无需许可的区块链系统是去中心化的，因此比传统系统更具弹性。为了影响整个区块链的运行或安全，恶意行为者必须危害 51% 或更多的网络节点。这意味着即使在遭受DDoS攻击的情况下，由于账本的多个副本，系统也能正常运行。然而，私有区块链无法提供这种优势。 数据透明度和可追溯性——区块链通过数字签名和时间戳交易来提高网络安全性，并允许网络用户轻松追踪交易历史并在任何历史时刻查看账户。此功能还允许公司拥有有关其资产或产品分销的有效信息。 用户机密性——由于使用公…

重发按语：2023年6月1日，卡巴斯基发布报告《三角行动：iOS设备被以前未知的恶意软件攻击》，当时报告中仅进行了事件披露，没有发布样本分析。为让全球用户更深入了解A2PT攻击组织的攻击能力，安天CERT在6月9日披露了一份历史积累分析成果，曝光了同一威胁来源方向的历史样本分析。与卡巴曝光的攻击来自于针对手机iMessage服务投放不同，安天曝光的样本来自于“量子”系统的投放，报告也因此命名为《“量子”系统击穿苹果手机》。历经数月的艰苦分析，卡巴于今日发布了新分析成果报告《三角行动：最后一个谜团》。安天勘误重发6月的报告，也提醒用户应广泛关注来自量子系统的空中投放。 // 该报告首次发布时《图 5‑3 量子系统可攻击场景图谱化分析》有误，已经勘正，特此致歉。 1 概述：覆盖智能终端的A2PT样本拼图 在过去二十多年的时间里，全球关键信息基础设施运营者、安全厂商、研究者所面临的重大考验是，如何应对以NSA等情报机构所发动的网络攻击活动，基于这种攻击活动应用了难以想象的技术与资源，安天CERT将这种攻击活动称之为A2PT（高级的高级持续性威胁）攻击，并发现其中多起攻击都来自于NSA下属的方程式组织。如何把A2PT攻击活动中的攻击样本与过程揭示出来，成为了一场比马拉松更艰苦的分析接力赛，这场接力至少已经完成了三次交接棒，第一阶段从2010年的“震网”事件触发，围绕“震网”—“火焰”—“毒曲”—“高斯”系列样本的攻击活动、样本同源性与关联展开，直到2013年的斯诺登事件出现，才发现这些只是冰山一角；第二阶段是从方程式组织（隶属于NSA）被曝光开始…

爱彼迎（Airbnb）在全球10万个活跃城市拥有超过700万个房源，为广大游客提供了价位合理、环境舒适的住宿，但超旺的人气也使其容易受到网络犯罪分子、欺诈性房东、虚假帐户及其他骗局的攻击。 本文便着重探讨了网络犯罪分子如何利用爱彼迎及其用户。 走近窃取器的世界 为了了解网络犯罪分子在如何利用爱彼迎，明白他们用来未经授权访问帐户的方法至关重要。 网络犯罪分子经常使用一种名为“窃取器”（stealer）的恶意软件来获取用户名和密码等信息，这类窃取器其实是一种恶意软件，渗入设备，并将窃取的数据（又名为日志）传输给攻击者。日志通常被发送到服务器，但在一些情况下，日志也可以通过电子邮件和Telegram等安全聊天程序来加以传送。 窃取器可以通过各种不同的技术加以部署，包括社会工程、利用软件漏洞和恶意广告等技术。 此外，还有一个地下市场，网络犯罪分子可以在这里大量买卖设备访问权限（又叫机器人程序、安装件或感染）。 图1. 该截图显示了网络犯罪分子在论坛上出售机器人程序 愿意花钱的网络犯罪分子可以联系机器人程序卖家或商店，立即开始在成千上万个设备上部署窃取器。 图2. 该截图显示了在一个臭名昭著的网络犯罪论坛上可售的不同窃取器 窃取器可以入侵大多数浏览器，主要目标是网络应用程序的帐户信息。日志通常遵循特定的格式，这包括多列，其中的一行行数据含有各种信息，比如姓名和信用卡或借记卡详细信息等。除了获取登录凭据外，窃取器还可以泄露cookie。 cookie的重要性 cookie是存储在用户设备上的小小的数据文件，其中含有关于用户在特定网站上浏览活动和…

苹果的OTA更新 在大多数情况下，macOS更新是通过OTA更新过程完成的。 OTA是over-the-air的缩写。在“系统设置”中，我们可以通过点击“立即更新”按钮直接更新系统。 OTA更新是一种增量更新，因此比完整的操作系统升级更快，容量更小。 它用于小版本更新，通常每两个月更新一次。但是，如果苹果公司认为内核中存在紧急漏洞，并且已经被积极利用，并且无法通过RSR(快速安全响应)修复，则可能在几周内可用，OTA更新包从Apple CDN服务器下载。 从表中可以看到，OTA包是针对当前操作系统版本定制的。 例如，为了更新到12.6,12.5和12.4的软件包是不同的。更新过程是应用补丁码，所以不同的操作系统版本有不同的补丁码。在大多数情况下，系统越老，包就越大。 下载并解压缩OTA包后，我们可以看到包的内容如下： 引导目录包含与引导过程相关的内容，增量更新的真正补丁代码位于名为payloadv2的目录中。有一个名为payload.bom的关键文件，它列出了OTA包中的所有项目及其校验和值。文件payload.bom.signature用于验证payload.bom文件的完整性。文件pre.bom和post.bom列出了更新前后系统上的所有项目及其校验和值。Info.plist文件提供了有关当前OTA包的一些基本信息，例如预版本、目标版本等。 在payloadv2文件夹中，有一些需要注意的重要文件。新系统中的新数据文件被压缩为名为data_payload的文件。ecc_data文件夹包含一些与文件权限相关的文件。links.txt…

概述 经监测，我们截获了一起与未知家族有关的欺诈性 Android 应用传播事件。详细调查发现，该家族主要使用开源的 Telegram Android 源代码作为其核心功能模板。通过各种策略，包括但不限于刷单、投资推广和色情聊天，该家族诱导用户下载并安装其应用，从而执行欺诈操作。进一步网络环境探测结果显示，存在多款与该家族高度相似的活跃应用，进一步证实了这些应用确实属于同一个欺诈家族。这个家族不仅具有高度的欺诈性和一致性，还拥有一个完整的业务供应链。基于上述特点，我们决定为这一欺诈家族命名为“BOOMSLANG（树蚺）”。 技术分析 从我们获取的家族样本中进行溯源分析后，发现该家族最早始于 2022 年 9 月进行传播。由于当时疫情等外部因素的影响，该家族在 2022 年 9 月至 2023 年 3 月期间处于欺诈传播的初级阶段。然而，随着社会状况逐渐恢复，该家族开始大规模传播，并推出了多个不同业务类型的版本。值得注意的是，为了适应反欺诈措施，该家族在 2023 年 7 月首次进行了变种，引入了“Domain Over HTTPS（DoH）”技术。随后，在 2023 年 9 月，家族样本再次发生变种，增加了对现有自动化 App 安全检测手段的抵抗能力，具体采用了 NPManager 自带的 StringFrog 混淆技术，以规避基于字符串提取的安全检测。 DoH（DNS over HTTPS）是一种安全协议，用于通过 HTTPS 加密的连接进行 DNS 解析请求和响应。其主要目的是增加隐私和安全性，防止 DNS 请求被窃听或篡改。 接…

macOS 15“Sequoia”的用户在使用某些端点检测和响应 (EDR) 或虚拟专用网络 (VPN) 解决方案以及 Web 浏览器时报告网络连接错误。在停用这些工具后问题得到解决，这表明网络堆栈存在不兼容问题。 受影响的用户描述了 CrowdStrike Falcon 和 ESET Endpoint Security 的问题，以及防火墙引起的数据包损坏，从而导致 Web 浏览器 SSL 失败或无法使用“wget”和“curl”。 9 月，苹果发布了 Sequoia，称其为“全球最先进的桌面操作系统的最新版本”。在一份非公开公告中，CrowdStrike 表示由于 macOS 15 Sequoia 的内部网络结构发生变化，建议客户不应升级，直到发布完全支持 macOS 15 Sequoia 的 Mac 传感器为止。 据报道，SentinelOne 支持还警告用户不要立即升级到 macOS Sequoia，因为最近发现了可用性问题。 人们还报告了 Mullvad VPN 以及他们用于远程工作的企业 VPN 产品存在间歇性连接问题，但据了解 ProtonVPN 在最新的 macOS 版本上运行良好。 虽然苹果公司尚未回应有关这些问题的新闻请求，但 据 macOS 15 发行说明显示，该操作系统防火墙中的一项功能已被弃用，这可能是导致这些问题的原因。 Application Firewall settings are no longer contained in a property list. If your app or workflow…

一种被称为“RAMBO”（用于进攻的隔离内存总线辐射）的新型侧信道攻击会从设备的 RAM 产生电磁辐射，以从隔离的计算机发送数据。 隔离系统通常用于对安全性要求极高的任务关键型环境，例如政府、武器系统和核电站，这些系统与公共互联网和其他网络隔离，以防止恶意软件感染和数据盗窃。 尽管这些系统没有连接到更广泛的网络，但它们仍然可能受到通过物理介质如USB 驱动器，引入恶意软件感染或发起复杂供应链攻击。 该恶意软件可以秘密操作，以调制隔离系统的 RAM 组件，从而允许将机密从计算机传输到附近的接收者。属于此类攻击的最新方法来自以色列大学的研究人员，由 Mordechai Guri 领导，他是隐蔽攻击渠道方面经验丰富的专家，曾开发出使用网卡 LED、USB 驱动器 RF 信号、SATA 电缆和电源泄漏数据的方法。 RAMBO 攻击如何运作 为了实施 Rambo 攻击，攻击者会在隔离的计算机上植入恶意软件，以收集敏感数据并准备传输。它通过操纵内存访问模式（内存总线上的读/写操作）从设备的 RAM 产生受控的电磁辐射来传输数据。 这些发射本质上是恶意软件在 RAM 内快速切换电信号（开关键控“OOK”）的副产品，该过程不会受到安全产品的主动监控，也无法被标记或停止。 执行 OOK 调制的代码 发射的数据被编码为“1”和“0”，在无线电信号中表示为“开”和“关”。研究人员选择使用曼彻斯特编码来增强错误检测并确保信号同步，从而减少接收端出现错误解释的可能性。 攻击者可能会使用带有天线的相对便宜的软件定义无线电 (SDR) 来拦截调制的电磁辐射并将其转换…

在之前关于Triangulation的介绍文章中，研究人员讨论了TriangleDB的细节，这是这次活动中使用的主要植入程序，使它的C2协议和它可以接收命令。除其他事项外，它还能够执行其他模块。另外，这次活动是相当隐蔽的。 本文详细介绍了该活动是如何进行隐蔽攻击的。在此过程中，研究人员还将揭示有关此攻击中使用组件的更多信息。 验证组件 在之前的文章中，研究人员概述了Triangulation活动攻击链：设备接收恶意iMessage附件，启动一系列漏洞利用，其执行最终导致启动TriangleDB植入。攻击链可以用下图来概括: 除了TriangleDB植入的漏洞和组件外，攻击链还包含两个“验证器”阶段，即“JavaScript验证器”和“二进制验证器”。这些验证器收集有关受害设备的各种信息，并将其发送到C2服务器。然后，这些信息被用来评估植入TriangleDB的iPhone或iPad是否可以作为研究设备。通过执行这样的检查，攻击者可以确保他们的零日漏洞和植入程序不会被阻止。 JavaScript验证器 在攻击链的开始，受害者会收到带有零点击漏洞的不可见iMessage附件。此漏洞的最终目标是在backupabbit[.]com域上默默地打开一个唯一的URL。该URL上托管的HTML页面包含NaCl密码库的模糊JavaScript代码，以及加密的有效负载。这个负载是JavaScript验证器。该验证程序执行许多不同的检查，包括不同的算术运算，如Math.log（-1）或Math.sqrt（-1），Media Source API、WebAs…