蓝队取证审计网络安全

声明：本篇以案例方式，分享一些RC²反窃密实验室在鉴定取证方面的经验，希望能给大家一些参考思路。 0x01 来自知乎的有趣案例 来自执法部门的需求都不合适直接用来做示例，所以还是拿知乎上的吧。前一阵，知乎上有人邀请杨叔回答：下图所示物件是不是窃听器材？ 接下来，简单分析下。 0x02 器材外形分析 关于这个器材，杨叔其实有好多疑问，例如： 图中这是两个主体么？即上方的空塑料小瓶和下方的封装物是一体的？ 还是说下方的封装物是塞进上方的塑料瓶里的？ 在房间什么位置发现的这个物件？ 这个物件发现时的状态是什么样的？ 有没有其它角度的照片？ 但可惜这不是送检，网上压根无人回答，所以只能做可能性判断。我们先从器材外形分析： 分析一：位于图中下方的封装物 看起来很像是电池，但尺寸上又有些奇怪，很可能是9号电池，或者2节27A电池串联。关于电池的尺寸，可以看看下面几个图，这样会有直观概念。 由于提问者没有提供撕开包装物的图片，所以杨叔只能就图猜测。首先是12V的9号电池，瘦长型的电池，尺寸上比较符合。 疑点：不过若是只有一节9号电池的话，仔细看，在长度上会有个空白，也许封装物一侧是一节9号电池，另一侧有个小的保护电路。 下来是12V的27A电池，可以看到尺寸上OK，但是长度上需要2节才能满足。 当然，还有种可能是使用多个纽扣电池串联，这样就可以节约出更多空间给发射电路板。至于纽扣电池的尺寸，可选择性就更多了，举个例子。 分析二：封装物上方的黑色小器件： 这个两边连接了黑红两条线·的微型黑色器件，看起来确实像是微型…

0x01 事件背景 2024年7月19日下午2点左右，大量外资企业和机构的Windows 机器出现蓝屏死机（BSOD）问题，受影响的机器会自动蓝屏，并且无法通过重启解决问题。 在短时间内全球多地爆出蓝屏导致的业务无法正常开展的事件，其中不乏包括国外知名的机构和单位，包括： 美国达美航空、联合航空和美国航空在内的多家美国主要航空公司的所有航班受蓝屏事件影响宣布当天上午停飞。 Microsoft 365订阅服务对于部分用户而言已无法使用，其状态页面警告称客户可能无法访问SharePoint Online、OneDrive for Business、Teams、Intune、PowerBI、Microsoft Fabric、Microsoft Defender和Viva Engage。 英国伦敦证券交易所宣布受蓝屏事件影响暂停交易。 日本轨道交通公司宣布受蓝屏事件影响无法查看列车的实时运行情况，不得已取消多条线路。 澳大利亚亚航空公司、银行、政府网络、企业、超市自动收银机等受到影响。 印度靛蓝航空、阿卡萨航空和香料航空在内的多家航空公司受蓝屏事件影响停飞，航班运营因此中断。 新加坡樟宜机场受蓝屏事件影响无法正常运营。 中国上海多家外企受到影响，环球影城和迪士尼受影响无法正常结算 本次事件主要影响的是国外机构与国内外资企业，有趣的是国内个人终端用户偏爱的盗版windows系统以及裸奔的安全防护反而使其逃过了一劫。在极短的时间内，微软蓝屏事件冲上微博热搜榜第一。此次事件的影响范围之广堪称旷古绝今，必将在互联网历史上留下深刻…

1 事件的基本情况和影响 北京时间2024年7月19日中午开始，全球多地用户在X（原推特）、脸书、微博等社交平台反映使用微软系统的电脑出现蓝屏现象，至少20多个国家的交通、金融、医疗、零售等行业或公共服务的业务系统受到影响。其原因是使用CrowdStrike公司终端安全产品的Windows操作系统的主机大面积发生系统崩溃故障，即“蓝屏死机”（Blue Screen of Death,BSOD），导致计算机系统无法正常运行。出现故障的终端并不止限于桌面终端，而是覆盖了大量的服务器和云节点，包括导致了多个重要的微软和AWS的云服务和租户服务中断。而且相关主机重新启动后依然会自动进入蓝屏状态，形成了反复崩溃闭环。此事件是今年以来全球波及范围最广的信息系统灾难性事件，也是由安全产品自身导致的最大规模的安全灾难事件，其事件带来的后果影响远远超过了2007年的赛门铁克误杀中文版Windows导致系统蓝屏事件等历史上由安全产品带来的安全事件。 北京时间7月19日19时，安天由云安全中心、安全研究与应急处理中心、攻防实验室人员组成混合分析小组，进行了跟进分析，及时将分析研判进展上报管理和应急部门，开发了CrowdStrike_Crash_Fix应急处理小工具，协助求助用户处理威胁，并发布了本分析报告。 CrowdStrike是美国主要的云、终端安全厂商之一，成立于2011年，2024年6月其市值一度接近千亿美元，是全球市值最大的网络安全上市公司之一。其开发的云本地端点保护平台CrowdStrike Falcon，开启了多租户、云原生、智能安全解决方案的…

介绍 攻击者总是能找到各种创造性的方法来绕过防御功能并达到他们的目的，例如通过打包程序、加密程序和代码混淆来实现。然而，逃避检测以及最大化兼容性的最佳方法之一是使用操作系统自身的功能。 在勒索软件威胁的背景下，一个值得注意的情况是利用加密 DLL ADVAPI32.dll 中存在的导出函数，例如 CryptAcquireContextA、CryptEncrypt 和 CryptDecrypt。通过这种方式，攻击者可以确保恶意软件在支持此 DLL 的各种版本的操作系统中运行并模拟正常行为。 而在最近的一次事件响应中，另一种巧妙的技术引起了安全研究人员的注意：使用原生 BitLocker 功能加密并窃取解密密钥。BitLocker 的最初目的是解决丢失、被盗或不当退役设备导致数据被盗或泄露的风险，然而，威胁者发现这种机制可以被重新用于实现恶意目的，且效果非常好。 在该事件中，攻击者能够部署并运行一个高级 VBS 脚本，该脚本利用 BitLocker 进行未经授权的文件加密。安全研究人员在墨西哥、印度尼西亚和约旦发现了此脚本及其修改版本。本文将详细分析在事件响应工作中获得的恶意代码，并提供缓解此类威胁的建议。 这不是我们第一次看到 BitLocker 用于加密驱动器并索要赎金。以前，攻击者在访问和控制关键系统后，会使用此 Microsoft 实用程序来加密这些系统。然而，在这种情况下，攻击者采取了额外的措施来最大限度地扩大攻击造成的损害，并阻碍对事件的有效响应。 VBScript 分析 一个有趣的现象是，攻击者没有像威胁者通常做的那样费心混淆大…

有安全研究机构发现了一个名为“GXC Team”的网络犯罪团伙，该团伙专门制作用于网上银行盗窃、电子商务欺诈和网络诈骗的工具。2023 年 11 月，该团伙的头目以“googleXcoder”的别名在暗网上发布了多条公告，宣布在暗网上出售的产品最高可享受 20% 的折扣。 这些帖子中向大家介绍了一种新工具，该工具结合了人工智能 (AI)，可用于创建用于电信欺诈和商业电子邮件欺诈 (BEC) 的虚假发票。 据报告，成功的商业电子邮件欺诈 (BEC) 诈骗（例如发票欺诈）平均每起事件可造成超过 12 万美元的损失，给企业造成了超过 24 亿美元的惊人财务损失。 毫无疑问，网络犯罪分子已经认识到人工智能在增强和扩展其业务方面的巨大潜力。但人工智能为他们提供了哪些具体优势？ 利用大型语言模型 (LLM) 的人工智能驱动平台（如 FraudGPT 和 WormGPT）的出现改变了游戏规则。这些框架可以创建复杂而精密的商业电子邮件入侵 (BEC) 活动，生成用于洗钱计划的垃圾邮件内容，并提供预制的恶意策略和工具。 就在 2024 年开始之前，即 12 月 30 日，他们推出了其 AI 工具的更新版本，名为“Business Invoice Swapper”。 此次更新已通过“GXC 团队”的官方 Telegram 频道发布。该工具以租赁方式提供，订阅计划起价为每周 2,000 美元，或者一次性支付 15,000 美元即可无限制使用。 要使该工具发挥作用，操作员必须输入要扫描的受感染电子邮件帐户列表。这涉及在文档中指定凭证以及用于“交换”或欺骗过…

1 概览 “游蛇”黑产团伙自2022年下半年开始活跃至今，针对国内用户发起了大量钓鱼攻击和诈骗活动。该类黑产传播的恶意程序变种多、频繁更换免杀手段及基础设施、攻击目标所涉及的行业广泛。近期，安天CERT监测到“游蛇”黑产团伙针对财税人员传播恶意Excel文件，诱导用户点击其中的超链接跳转至钓鱼网站，从中下载执行恶意程序。 恶意程序执行后加载恶意的Index.asp文件，然后分多个阶段下载执行恶意AutoHotKey、Python脚本、以及两段Shellcode，最终在受害者计算机的内存中执行远控木马。该远控木马具备键盘记录、剪贴板监控、屏幕截图等基本窃密功能，并支持接收执行多种远控命令。“游蛇”黑产团伙攻击者通常会利用远控木马控制受害者计算机中的即时通讯软件，冒充受害者身份进行后续的攻击、诈骗活动。 “游蛇”黑产团伙仍在频繁地对恶意软件、免杀手段以及相关基础设施进行更新，每天依旧有一定数量的用户遭受攻击并被植入远控木马。安天CERT建议用户接收文件时保持警惕，避免点击安全性未知的可执行程序、脚本、文档等文件，以免遭受“游蛇”攻击，造成不必要的损失。 经验证，安天智甲终端防御系统（简称IEP）可实现对该远控木马的有效查杀。 排查方案详见本文第四章节，相关防护建议详见第五章节。 2 技术梳理 在此次攻击活动中，攻击者投放的诱饵文件是名称为“（六月）偷-漏涉-税-违规企业名单公示.xlsx”的Excel文件，诱导用户点击其中的“点击查看”，从而跳转至钓鱼网站中。 图 2‑1诱饵文件 该钓鱼网站如下图所示，用户点击该网站中的任意按钮后会下载一个…

漏洞概述 OpenSSH是一个开源实现的SSH协议，用于加密网络通信。OpenSSH提供了一个安全的通道来访问远程计算机或服务器，并包含了一组客户端和服务器工具，以提供包括远程登录、远程执行命令、文件传输等功能。 CVE-2024-6387影响使用glibc的Linux系统，该漏洞被称为”RegreSSHion”。这个漏洞允许未经身份验证的用户在默认配置的情况下，通过LoginGraceTime参数进行远程代码执行，从而以root权限控制受影响的系统。 这个漏洞一旦被利用，可能会导致系统全面崩溃，攻击者可以使用最高权限执行任意代码，从而导致系统全面接管、安装恶意软件、篡改数据和创建后门进行持久访问。它可能会促进网络传播，使攻击者可以利用被入侵的系统作为立足点，穿越并利用组织内其他易受攻击的系统。 漏洞详情 目前该漏洞利用详情已公开，DayDayPoc平台收录了该漏洞poc，访问如下链接可查看漏洞poc https://www.ddpoc.com/DVB-2024-7376.html 影响范围 根据DayDayMap(www.daydaymap.com)全球网络空间资产测绘平台的数据显示，全球有上亿条资产可能遭受该漏洞的影响。国内风险资产主要分布在香港和北京。 DayDayMap查询语法： protocol.service="ssh" 解决方案 目前官方已有可更新版本，建议受影响用户升级至最新版本：OpenSSH > 9.8p1 官方补丁下载地址： https://www.openss…

漏洞版本 sqli <=3.2.5 phar 反序列化 <=3.2.4 漏洞分析 前台sqli 补丁 https://github.com/star7th/showdoc/commit/84fc28d07c5dfc894f5fbc6e8c42efd13c976fda补丁对比发现，在server/Application/Api/Controller/ItemController.class.php中将$item_id变量从拼接的方式换成参数绑定的形式，那么可以推断，这个点可能存在sql注入。 在server/Application/Api/Controller/ItemController.class.php的pwd方法中，从请求中拿到item_id参数，并拼接到where条件中执行，并无鉴权，由此可判断为前台sql注入。 但在进入sql注入点之前，会从请求中获取captcha_id和captcha参数，该参数需要传入验证码id及验证码进行验证，所以，每次触发注入之前，都需要提交一次验证码。 验证码的逻辑是根据captcha_id从Captcha表中获取未超时的验证码进行比对，验证过后，会将验证码设置为过期状态。 完整拼接的sql语句 SELECT * FROM item WHERE ( item_id = '1' ) LIMIT 1 $password 和 $refer_url 参数都可控，可通过联合查询控制password的值满足条件返回$refer_url参数值，1') union select 1,2,3,4,5…

一项新的恶意软件分发活动正使用虚假的 Google Chrome、Word 和 OneDrive 错误诱骗用户运行安装恶意软件的恶意 PowerShell“修复程序”。 据观察，这项新活动被多个恶意分子使用，包括 ClearFake 背后的恶意分子、一个名为 ClickFix 的新攻击集群，以及 TA571 威胁者，后者以垃圾邮件分发者的身份运作，发送大量电子邮件，导致恶意软件和勒索软件感染。 此前的 ClearFake 攻击利用网站覆盖层，提示访问者安装虚假的浏览器更新，进而安装恶意软件。 威胁者还在新的攻击中使用 HTML 附件和受感染网站中的 JavaScript。但是，现在覆盖层会显示虚假的 Google Chrome、Microsoft Word 和 OneDrive 错误。这些错误会提示访问者单击按钮将 PowerShell“修复”复制到剪贴板，然后在“运行：”对话框或 PowerShell 提示符中粘贴并运行它。 ProofPoint 的一份新报告称：“尽管攻击链需要大量用户交互才能成功，但社会工程学可以同时向人们呈现看似真实的问题和解决方案，这可能会促使用户在不考虑风险的情况下采取行动。” Proofpoint 发现的有效载荷包括 DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、剪贴板劫持程序和 Lumma Stealer。 PowerShell“修复”导致恶意软件 Proofpoint 分析师观察到三条攻击链，它们的区别主要在于初始阶段，只有第一条攻击链不能高度可信…

二开背景 suricata是一款高性能的开源网络入侵检测防御引擎，旨在检测、预防和应对网络中的恶意活动和攻击。suricata引擎使用多线程技术，能够快速、准确地分析网络流量并识别潜在的安全威胁，是众多IDS和IPS厂商的底层规则检测模块。 前段时间搭了个suricata引擎播包测试流量规则，发现原生的suricata引擎并不能获取规则匹配的位置、命中的字符串等信息。因suricata引擎并不会输出命中的信息，遂修改源码，改了命中详情(下文简称高亮)出来，今天想跟大家分享一下修改和使用的过程。 1、suricat编译安装 参考官方文档https://docs.suricata.io/en/suricata-6.0.0/install.html#install-advanced 先装库，装rust支持，装make 然后下载源码make 编译后的二进制程序在/src/.libs/suricata查看依赖库，然后补齐到默认so库目录中即可运行。 2、vscode+gdb调试suricata环境搭建 然后就是装插件，除了必备的c语言插件全家桶之外还需要装GDB Debug这个插件。 接着任意新建一个运行配置。 修改lauch.json为： { // Use IntelliSense to learn about possible attributes. // Hover to view descriptions of existing attributes. // For more infor…

0x01 前言 基于netty动态创建pipeline的特性，其内存马的构造思路与tomcat有一定的区别，目前网上有关netty内存马的文章都围绕CVE-2022-22947和XXL-JOB两种场景展开，并未对其做更为详细的分析。本文就以上述两种场景为始，尝试从源码角度探究netty内存马的部分细节，以供大家参考。 0x02 Netty介绍 I/O事件：分为出站和入站两种事件，不同的事件会触发不同种类的handler。 Handler (ChannelHandler)：handler用于处理I/O事件，继承如下几种接口，并重写channelRead方法完成请求的处理，功能类似于filter。 ChannelInboundHandlerAdapter 入站I/O事件触发该 handlerChannelOutboundHandlerAdapter 出站I/O事件触发该 handlerChannelDuplexHandler 入站和出站事件均会触发该handlerChannel (SocketChannel)：可以理解为对 Socket 的封装, 提供了 Socket 状态、读写等操作，每当 Netty 建立了一个连接后，都会创建一个对应的 Channel 实例，同时还会初始化和 Channel 所对应的 pipeline。 Pipeline (ChannelPipeline)：由多个handler所构成的双向链表，并提供如addFirst、addLast等方法添加handler。需要注意的是，每次有新请求入站时，都会创建一个与之对应的cha…

漏洞概述 PHP是一种被广泛应用的开放源代码的多用途脚本语言，PHP-CGI是PHP自带的FastCGI管理器。是一个实现了CGI协议的程序，用来解释PHP脚本的程序，2024年6 月7日，推特安全上orange公开了其漏洞细节，并且PHP官方已修复该漏洞。并确认该漏洞在为远程代码执行漏洞，并将其分配编号为 CVE-2024-4577。 XAMPP（Apache+MySQL+PHP+PERL）就是一个功能强大的建站集成软件包，该漏洞在XAMPP开启了PHP-CGI模式下运行时可造成远程代码执行，攻击者可通过该漏洞获取服务器权限。 该漏洞仅适用于php版本为8.1 < 8.1.29，PHP 8.2 < 8.2.20，PHP 8.3 < 8.3.8，同时在php-cgi模式下运行php，并且运行在windows平台，且使用语系为繁体中文950、日文932、简体中文936等。 漏洞复现 DayDayPoc链接(poc&exp)： https://www.ddpoc.com/DVB-2024-7248.html 漏洞影响范围 DayDayMap(www.daydaymap.com)查询语法：app="XAMPP" || web.icon="56f7c04657931f2d0b79371b2d6e9820"解决方案 目前该漏洞利用详情已公开，且漏洞影响范围较大，建议客户尽快做好自查及防护。 PHP官方已发布修复方案，受影响的用户建议更新至安全版本。 https://www.php.net/downloads.ph…

FROZEN#SHADOW 被发现采用了一种新的攻击活动，该活动利用 SSLoad 恶意软件进行操作，并利用 Cobalt Strike Implants 来控制和接管整个网络。 此外，威胁分子还使用 ScreenConnect RMM 等远程监控和管理软件进行进一步控制。 SSLoad 是一种精心设计的恶意软件，可以秘密渗透系统、收集敏感信息，并将收集到的信息泄露给恶意软件操作者。 此外，该恶意软件还利用多个后门和有效负载来逃避检测并保持持久性。 技术分析 这种新的攻击活动从包含恶意链接的传统网络钓鱼电子邮件开始。 当用户访问此链接时，它会将他们重定向到 mmtixmm[.]org URL 到另一个下载站点，在该站点将 JavaScript 文件下载到受害者计算机。如果手动执行此 JavaScript 文件，它会执行多项操作，在受害者计算机上下载并执行更多有效负载。 这些网络钓鱼电子邮件活动的目标似乎是随机的，因为受害者分布在多个国家，包括亚洲、欧洲和美洲。 对恶意软件的进一步调查表明，攻击发生在以下不同阶段： ·第 1 阶段：初始执行 – JavaScript ·第 2 阶段：MSI 文件执行 ·第 3 阶段：恶意软件执行 ·第 4 阶段：钴击执行 ·第 5 阶段：RMM 软件和横向移动 第 1 阶段：初始执行 – JavaScript 此初始阶段涉及手动执行 JavaScript 文件。通过分析 JS 文件 out_czlrh.js，发现它由 97.6% 的注释代码组成，其中包含随机字符以混淆文件。然而，删除注释代码后会发现一段非常…

1 概述 近期，安天CERT通过网络安全监测发现了一起新的挖矿木马攻击事件，该挖矿木马从2023年11月开始出现，期间多次升级组件，目前版本为3.0。截止到发稿前，该挖矿木马攻击事件持续活跃，感染量呈上升态势。主要特点是隐蔽性强、反分析、DLL劫持后门和shellcode注入等，因此安天CERT将该挖矿木马命名为“匿铲”。 在此次攻击活动中，攻击者利用了两个比较新颖的技术以对抗反病毒软件，第一个技术是滥用反病毒软件的旧版本内核驱动程序中的功能来结束反病毒软件和EDR，这个技术通过一个主体的PowerShell脚本、一个独立的PowerShell脚本和一个控制器（内存加载的小型可执行文件）来完成，主体的PowerShell脚本用于下载并安装反病毒软件的旧版本内核驱动程序，独立的PowerShell脚本用于解密并内存加载控制器，控制器用来控制内核驱动程序。虽然被滥用的旧版本内核驱动程序早已更新，但目前仍能被非法利用并有效结束大多数反病毒软件。 第二个技术是利用MSDTC服务加载后门DLL，实现自启动后门，达到持久化的目的。这个技术利用了MSDTC服务中MTxOCI组件的机制，在开启MSDTC服务后，该组件会搜索oci.dll，默认情况下Windows系统不包含oci.dll。攻击者会下载后门DLL重命名为oci.dll并放在指定目录下，通过PowerShell脚本中的命令创建MSDTC服务，这样该服务会加载oci.dll后门，形成持久化操作。 经验证，安天智甲终端防御系统不会被反病毒软件的旧版本内核驱动程序所阻断，也能够对该后门DLL的有效…

24年3月，工信部发布《关于侵害用户权益行为的APP（SDK）通报（2024年第2批，总第37批）》，对“摇一摇”乱跳转、信息窗口“关不掉”加强管理，工信部自2024年起于通报中强调本类问题，未来或将持续加强管理。为协助各App开发者了解工信部查处标准，特编写本文解读标准相关内容。 一、通报依据 “摇一摇”乱跳转问题查处依据工信部26号文及《T/TAF 078.7-2022 APP用户权益保护测评规范》。 在工信部26号文中提及：“开屏和弹窗信息窗口提供清晰有效的关闭按钮，保证用户可以便捷关闭；不得频繁弹窗干扰用户正常使用，或利用“全屏热力图”、高灵敏度“摇一摇”等易造成误触发的方式诱导用户操作。” 《T/TAF 078.7-2022 APP用户权益保护测评规范》对欺骗误导强迫用户点击跳转的情况细化为了4种情况，并对交互动作数值给出了明确限制，APP 欺骗误导强迫用户点击跳转，具体场景包括但不限于以下方式： 1、APP以欺骗、误导或者强迫等方式向用户提供互联网信息服务或者产品； 2、未以显著方式明示或未经用户主动选择同意，APP 信息窗口页面，存在跳转、使用第三方的行为； 3、APP信息窗口页面，跳转、使用第三方时，存在欺骗误导强迫用户跳转的文字、图片或视频链接； 4、APP信息窗口通过用户“摇一摇”等交互动作触发页面或第三方应用跳转的，未清晰明示用户需要执行的触发动作及交互预期，或通过设置高灵敏度降低交互动作判定阈值，造成误导、强迫式跳转。 注：触发用户跳转的交互动作可参照如设备加速度不小于15m/s2，转动角度不小于35°，操作时间不…

概述 近日（2024年4月25号），悬镜供应链安全情报中心在Pypi官方仓库（https://pypi.org/）中捕获1起CStealer窃密后门投毒事件，投毒者连续发布6个不同版本的恶意Py包multiplerequests，目标针对windows平台python开发者，该恶意包在安装时会远程加载CStealer后门到受害者系统上执行，该后门会窃取受害者系统敏感信息、主流浏览器隐私数据、数字货币钱包应用数据以及系统屏幕截屏等。此外，后门还会尝试驻留Windows系统启动目录实现开机自启动。 截至目前，恶意Py包multiplerequests在pypi官方仓库上被下载435次。 pypi仓库恶意包multiplerequests下载量 该恶意Py包仍可从国内主流Pypi镜像源(清华大学、腾讯云等)下载安装，因此潜在的受害者数量可能会更多。 清华镜像源 以国内清华大学镜像源为例，可通过以下命令测试安装该恶意组件包。 pip3 install multiplerequests -i https://pypi.tuna.tsinghua.edu.cn/simple 由于该恶意Py包只针对Windows系统，测试环境使用Linux系统，导致恶意包安装过程中触发恶意代码时触发非预期的Windows系统路径(~\\AppData\\Roaming/frvezdffvvcode.py) 的文件写入操作。 投毒分析 以multiplerequests恶意包2.31.0版本为例，当Python开发者使用pip install从Pypi官方仓库…

数据是现代企业的新石油：正确使用它可以促进公司的发展并帮助企业在竞争中领先。就像石油一样，原始数据和未被发现的数据是毫无用处的，企业将无法从中受益；在最坏的情况下，它可能会导致安全事件。这也是企业投资敏感数据发现和保护解决方案的原因。 传统的数据发现工具由数据扫描仪和基于规则的算法提供支持，这些工具通常不足以掌握不断增长的新数据流。因此，许多企业利用人工智能 (AI) 增强其数据发现和保护解决方案。 在本文中，我们将讨论基于规则系统的主要缺点以及使用人工智能发现和保护敏感数据的好处、典型的数据发现和保护解决方案的工作原理，还分享有 Apriorit 经验中的开发技巧。 敏感数据发现如何影响企业安全 将敏感数据保存在一个安全的存储位置似乎是一项容易的任务，但实际上对于许多企业来说几乎是不可能的。在 COVID-19 大流行期间过渡到远程或混合工作、将本地环境迁移到云或经历合并和收购过程，可能会导致敏感数据存储在最不明显的地方。此类数据会受到网络安全解决方案的关注，并增加数据泄露或安全事件的风险。 存储在企业控制和安全边界之外的数据会带来数据盗窃或数据泄漏等安全事件的风险。这就是企业投资敏感数据发现软件的原因——用于检测、识别和组织所有组织资源和环境中的记录的工具。 实施这样的解决方案可以让企业： · 确保遵守网络安全法 · 防止数据被盗和泄露 · 进行数据驱动的网络安全改进 · 提高数据管理效率 跨不同环境和基础设施控制敏感数据的需求不断增长，导致数据发现软件越来越受欢迎。事实上，全球敏感数据发现市场预计将从 2020 年的 51 亿美元…

一种名为“SoumniBot”的新 Android 银行恶意软件通过利用 Android 清单提取和解析过程中的弱点，使用了新的混淆方法。 该方法使 SoumniBot 能够规避 Android 手机中的标准安全措施并执行信息窃取操作。 研究人员发现并分析后提供了该恶意软件利用 Android 例程解析和提取 APK 清单的方法的技术细节。 欺骗 Android 的解析器 清单文件（“AndroidManifest.xml”）位于每个应用程序的根目录中，包含有关组件（服务、广播接收器、内容提供程序）、权限和应用程序数据的详细信息。 虽然恶意 APK 可以使用 Zimperium 的各种压缩技巧来愚弄安全工具并逃避分析，但分析师发现 SoumniBot 使用了三种不同的方法来绕过解析器检查，其中涉及操纵清单文件的压缩和大小。 首先，SoumniBot 在解压 APK 的清单文件时使用无效的压缩值，该值与负责该角色的 Android“libziparchive”库预期的标准值（0 或 8）不同。 Android APK 解析器不会将这些值视为不可接受，而是默认将数据识别为由于错误而未压缩，从而允许 APK 绕过安全检查并继续在设备上执行。 从 APK 中提取清单文件 第二种方法涉及错误报告 APK 中清单文件的大小，提供大于实际数字的值。 由于该文件在上一步中已被标记为未压缩，因此直接从存档中复制该文件，并用垃圾“覆盖”数据填充差异。 虽然这些额外的数据不会直接损害设备，但它在混淆代码分析工具方面发挥着至关重要的作用。 报告错误的文件大…

漏洞概述 漏洞类型 远程命令执行 漏洞等级 严重 漏洞编号 CVE-2024-3400 漏洞评分 10 利用复杂度 低 影响版本 PAN-OS 11.1.* < 11.1.2-h3 PAN-OS 11.0.* < 11.0.4-h1 PAN-OS 10.2.* < 10.2.9-h1 利用方式 远程 POC/EXP 未公开 Palo Alto Networks的PAN-OS是一个运行在Palo Alto Networks防火墙和企业VPN设备上的操作系统。Palo Alto Networks PAN-OS软件的GlobalProtect功能存在命令注入漏洞，针对特定的PAN-OS版本和不同的功能配置，可能使未经身份验证的攻击者能够在防火墙上以root权限执行任意代码。2024年4 月10日，Volexity 发现其一名网络安全监控 (NSM) 客户对 Palo Alto Networks PAN-OS GlobalProtect 功能中发现的漏洞进行了零日利用，攻击者能够创建反向 shell、下载工具、窃取配置数据以及在网络内横向移动。Palo Alto Networks PSIRT 团队确认该漏洞为操作系统命令注入问题，并将其分配为 CVE-2024-3400。 仅适用于启用了GlobalProtect gateway(Network > GlobalProtect > Gateways)和device telemetry(Device > Setup > Telemetry)的PAN-OS 1…

安全研究人员发现了一个专为移动运营商网络设计的新的 Linux 后门，名为 GTPDOOR。GTPDOOR 背后的威胁分子以 GPRS 漫游交换 (GRX) 附近的系统为目标，例如 SGSN、GGSN 和 P-GW，这些系统可以为攻击者提供对电信核心网络的直接访问。 GRX 是移动电信的一个组件，可促进跨不同地理区域和网络的数据漫游服务。服务 GPRS 支持节点 (SGSN)、网关 GPRS 支持节点 (GGSN) 和 P-GW（分组数据网络网关（用于 4G LTE））是移动运营商网络基础设施内的组件，每个组件在移动通信中发挥不同的作用。 由于SGSN、GGSN和P-GW网络更多地暴露在公众面前，IP地址范围列在公开文件中，研究人员认为它们可能是获得移动运营商网络初始访问权限的目标。 安全研究人员解释说 ，GTPDOOR 很可能是属于“LightBasin”威胁组织 (UNC1945) 的工具，该组织因专注于全球多家电信公司的情报收集而臭名昭著。 研究人员发现了 2023 年底上传到 VirusTotal 的两个版本的后门，这两个版本基本上都没有被防病毒引擎检测到。这些二进制文件针对的是非常旧的 Red Hat Linux 版本，表明目标已经过时。 隐秘的 GTPDOOR 操作 GTPDOOR 是一种专为电信网络量身定制的复杂后门恶意软件，利用 GPRS 隧道协议控制平面 (GTP-C) 进行隐蔽命令和控制 (C2) 通信。它用于部署在与 GRX 相邻的基于 Linux 的系统中，负责路由和转发漫游相关的信令和用户平面流量。 使用 G…

想要轻松掌握 Android 恶意软件的逆转技术吗？Incinerator 将是你在这场网络攻防战中的得力伙伴，无论是资深专家还是初出茅庐的新手，都能在这款工具中找到自己的舞台。 大家好！在这篇文章里，我们将探索 Incinerator 的强大功能、丰富特性以及它所带来的种种优势。这款 Android 逆向工程工具集的灵感来自于广受好评的 Shambles 项目。 我们的目标非常明确：打造一款能够轻松应对 Android 应用，尤其是恶意软件的高级逆向工具。我们需要的是一个集反编译、解密、动态调试和漏洞检测于一体的全能工具。而且，这款工具还得能够快速、准确地揪出那些常见和隐蔽的威胁迹象（IOCs）。 正是基于这些目标，我们推出了 Incinerator！简单来说，它是一个功能全面、操作简便的逆向工程生态系统。不论你是经验丰富的逆向工程专家，还是刚踏入恶意软件分析领域的新手，Incinerator 都能满足你的需求。 Incinerator 应用内置了多种强大功能，让你可以轻松反编译 Android 应用，自动解密内容，取消反射 API 调用，获取清晰的反混淆代码，并在真实设备上进行实时调试分析。这对于那些想要深入了解、分析和逆转 Android 恶意软件的人来说，是一个完美的选择，即使你没有太多经验也没关系。 Incinerator 在后台进行的分析工作包括组件分析、安全漏洞检测、静态和动态代码分析、漏洞挖掘以及恶意代码分析。通过全面的检查，Incinerator 能够有效地帮助用户识别和解决安全风险和漏洞。 在更高层次上，Incine…

StopCrypt 勒索软件（又名 STOP）的新变种在野外被发现，它采用涉及 shellcode 的多阶段执行过程来逃避安全工具。 StopCrypt，也称为 STOP Djvu，是现有的分布最广泛的勒索软件之一。 因为这种勒索软件操作通常不针对企业，而是针对消费者，经常产生数万笔 400 至 1000 美元的小额赎金，以至于很少听到安全研究人员讨论 STOP。 STOP勒索软件通常通过恶意广告和可疑网站传播，这些网站会分发伪装成免费软件、游戏作弊和软件破解的广告软件捆绑包。 然而，当安装这些程序时，用户就会感染各种恶意软件，包括密码窃取木马和 STOP 勒索软件。 自 2018 年首次发布以来，勒索软件加密器没有太大变化，发布的新版本主要是为了修复关键问题。因此，当新的STOP版本发布时，由于受到影响的人数较多，值得关注。 新的多阶段执行 威胁研究团队在野外发现的 STOP 勒索软件新变种，现在利用多阶段执行机制。 最初，恶意软件加载一个看似不相关的 DLL 文件 (msim32.dll)，可能是为了转移注意力。它还实现了一系列长时间延迟循环，可能有助于绕过与时间相关的安全措施。 接下来，它使用堆栈上动态构造的 API 调用来为读/写和执行权限分配必要的内存空间，从而使检测变得更加困难。 StopCrypt 使用 API 调用进行各种操作，包括拍摄正在运行的进程的快照以了解其运行环境。 下一阶段涉及进程空洞，其中 StopCrypt 劫持合法进程并注入其有效负载以在内存中谨慎执行。这是通过一系列精心编排的 API 调用来操作进程内存…

1 概览 “游蛇”黑产自2022年下半年开始活跃至今，针对国内用户发起了大量钓鱼攻击和诈骗活动。该类黑产传播的恶意程序变种多、更新免杀手段快、更换基础设施频繁、攻击目标所涉及的行业广泛。近期，安天CERT监测到“游蛇”黑产针对与金融、财务相关的企业及人员进行的攻击活动。攻击者投放的初始恶意文件主要有三类：可执行程序、CHM文件、商业远控软件“第三只眼”，伪造的文件名称大多与财税、资料、函件等相关。 由于商业远控软件“第三只眼”提供多方面的远程监控及控制功能，并且将数据回传至厂商提供的子域名服务器、根据qyid值识别控制端用户，攻击者无需自己搭建C2服务器，因此恶意利用该软件进行的攻击活动近期呈现活跃趋势。 “游蛇”黑产仍在频繁地对恶意软件、免杀手段以及相关基础设施进行更新，每天依旧有一定数量的用户遭受攻击并被植入远控木马。安天CERT建议用户接收文件时保持警惕，避免点击安全性未知的可执行程序、脚本等文件，以免遭受“游蛇”攻击，造成不必要的损失。建议未购买使用“第三只眼”远控软件的用户，使用流量监测设备检查网络中是否存在与“dszysoft.com”及其子域名相关的连接记录，若存在则表明可能被恶意植入了相关远控，用户也可以考虑对相关域名进行封禁。 经验证，安天智甲终端防御系统（简称IEP）可实现对该类远控木马的有效查杀。相关防护建议详见本文第四章节。 2 技术梳理 近期，安天CERT监测到攻击者投放的初始恶意文件主要有三类，伪造的文件名称大多与财税、资料、函件等相关。 表 2‑1近期部分样本伪装名称 伪装的程序名称 企业补贴名单.exe …

漏洞概述 2024年3月29日，开发人员Andres Freund在安全邮件列表上报告称，他在调查SSH性能问题时发现了涉及XZ包中的供应链攻击，分析后发现是SSH使用的上游liblzma库被植入了后门代码，可能允许攻击者通过后门非授权访问系统。 XZ Utils 是一款用于压缩和解压缩 .xz 和 .lzma 文件的工具集。XZ Utils 由 Lasse Collin 开发，是一个开源项目，广泛应用于各种操作系统中，受影响开源操作系统可在https://repology.org/project/xz/versions中查询.xz 文件格式是一种基于 LZMA2 压缩算法的文件格式，它提供了比传统 gzip 更高的压缩比，同时保持了相对较高的解压缩速度。XZ Utils v5.6.0和v5.6.1中tar包的编译文件被植入恶意命令。在某些特定编译环境下，恶意命令执行后将替换正常编译过程中的中间文件为后门文件，最后和其他组件一起编译到XZ Utils的Liblzma库文件中。当后门代码被执行时，将挂钩（HOOK）SSHD进程中的SSH登录认证函数。当接收到指定的SSH数据包时，将未授权执行指定的系统命令。 漏洞细节分析 1、植入流程 目前XZ Utils的Github仓库（https://github.com/tukaani-project/xz）已无法访问。笔者分析时使用的版本是从其他镜像网站下载的xz-5.6.1.tar.gz。初始恶意代码主要在文件build-to-host.m4中。 这条命令拼…

1.前言 在敏捷开发的模式下，应用程序会通过 DevSecOps 的敏捷软件开发生命周期（SDLC）范式进行开发，并使用持续集成/持续交付（CI/CD）管道的流程。 然而，在软件开发、供应和交付运营中涉及的数字应用、基础设施服务和供应链数据等各种活动中（这些活动共同构成了数字供应链），攻击者可以通过链条中的一个薄弱点，隐蔽地引入攻击载体，对数字供应链进行攻击，继而引发广泛的后果。 日前，美国国家标准与技术研究院（NIST）发布了特别出版物《DevSecOps CI/CD 管道中软件供应链安全的集成策略》 (NIST SP 800-204D)。本文基于此文，引发深入讨论，阐述如何将数字供应链安全保证措施集成到 CI/CD 管道中以保护底层活动完整性，从而确保将源代码带入构建、测试、打包和部署阶段的 CI/CD 管道活动不会受到损害。 2.数字供应链(DSC)的定义 从高层次上讲，软件供应链是创建、转换和评估软件制品质量和政策一致性的一系列步骤的集合。这些步骤通常由使用和消费制品以生成新制品的不同参与者执行。例如，构建步骤使用一系列人工制品作为工具（如编译器和链接器），并消耗人工制品（如源代码）来生成新的人工制品（如编译后的二进制文件）。 我们以往所熟知的软件供应链主要是基于传统软件供应关系，通过资源和开发供应过程将软件产品从供方传递给需方的网链系统。而这样的定义如今已无法适应数字经济时代由于技术创新带来的产品服务、基础设施和供应链数据等供应对象及供应关系的新变化。 因此，数字供应链的概念在软件供应链的基础上应运而生。数字供应链主要由数字应…