蓝队取证审计网络安全

声明：本文主要为RC²反窃密实验室的威胁情报小组部分成果分享，仅供交流与参考。 1 TSCM圈的扛把子：REI 所谓“天下谁人不识君”，国内外从事反窃密检测的行业人士，很少有不知道REI的。 REI，Research Electronics International，1983年成立于美国，其公司总部、研发、制造设施和培训中心均位于美国田纳西州。 37年来，REI一直从事设计和制造技术安全防护设备，以防止非法信息盗窃和企业间谍活动。 目前，REI的客户已遍布全球，包括需要和负责保护敏感信息的全球政府机构、执法组织、公司安全人员和TSCM专业人士，被公认为技术安全设备的行业领导者。 2 REI的发家史 再说说发家史。 REI公司由Bruce Barsumian于1983年在美国田纳西州的Cookeville成立，后来于1995年与Tom Jones（GM）合伙。 早在1980年代，REI就以出色的TSCM反窃密检测设备而闻名，如TRD-800反录音检测器。 RC²技术威胁情报库 ·TRD-800是REI于1989年开发制造的小型穿戴式反录音与窃听检测器。 ·它可以暗中携带，可以悄悄地探查无线电窃听器材，以及对方暗藏在身上的穿戴式录音器材，然后通过LED灯或内置振动器向使用者发出隐蔽的告警。 -----威胁情报库分割线----- 而且，REI也是最早在美国推出非线性节点探测器的公司。 他们推出检测隐蔽窃听器材的SuperScout NLJD，在市场上热销多年，远销全球各国的反间谍、情报及军事部门。 RC²技术威胁情报库 …

一项新的恶意软件分发活动正使用虚假的 Google Chrome、Word 和 OneDrive 错误诱骗用户运行安装恶意软件的恶意 PowerShell“修复程序”。 据观察，这项新活动被多个恶意分子使用，包括 ClearFake 背后的恶意分子、一个名为 ClickFix 的新攻击集群，以及 TA571 威胁者，后者以垃圾邮件分发者的身份运作，发送大量电子邮件，导致恶意软件和勒索软件感染。 此前的 ClearFake 攻击利用网站覆盖层，提示访问者安装虚假的浏览器更新，进而安装恶意软件。 威胁者还在新的攻击中使用 HTML 附件和受感染网站中的 JavaScript。但是，现在覆盖层会显示虚假的 Google Chrome、Microsoft Word 和 OneDrive 错误。这些错误会提示访问者单击按钮将 PowerShell“修复”复制到剪贴板，然后在“运行：”对话框或 PowerShell 提示符中粘贴并运行它。 ProofPoint 的一份新报告称：“尽管攻击链需要大量用户交互才能成功，但社会工程学可以同时向人们呈现看似真实的问题和解决方案，这可能会促使用户在不考虑风险的情况下采取行动。” Proofpoint 发现的有效载荷包括 DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、剪贴板劫持程序和 Lumma Stealer。 PowerShell“修复”导致恶意软件 Proofpoint 分析师观察到三条攻击链，它们的区别主要在于初始阶段，只有第一条攻击链不能高度可信…

爱彼迎（Airbnb）在全球10万个活跃城市拥有超过700万个房源，为广大游客提供了价位合理、环境舒适的住宿，但超旺的人气也使其容易受到网络犯罪分子、欺诈性房东、虚假帐户及其他骗局的攻击。 本文便着重探讨了网络犯罪分子如何利用爱彼迎及其用户。 走近窃取器的世界 为了了解网络犯罪分子在如何利用爱彼迎，明白他们用来未经授权访问帐户的方法至关重要。 网络犯罪分子经常使用一种名为“窃取器”（stealer）的恶意软件来获取用户名和密码等信息，这类窃取器其实是一种恶意软件，渗入设备，并将窃取的数据（又名为日志）传输给攻击者。日志通常被发送到服务器，但在一些情况下，日志也可以通过电子邮件和Telegram等安全聊天程序来加以传送。 窃取器可以通过各种不同的技术加以部署，包括社会工程、利用软件漏洞和恶意广告等技术。 此外，还有一个地下市场，网络犯罪分子可以在这里大量买卖设备访问权限（又叫机器人程序、安装件或感染）。 图1. 该截图显示了网络犯罪分子在论坛上出售机器人程序 愿意花钱的网络犯罪分子可以联系机器人程序卖家或商店，立即开始在成千上万个设备上部署窃取器。 图2. 该截图显示了在一个臭名昭著的网络犯罪论坛上可售的不同窃取器 窃取器可以入侵大多数浏览器，主要目标是网络应用程序的帐户信息。日志通常遵循特定的格式，这包括多列，其中的一行行数据含有各种信息，比如姓名和信用卡或借记卡详细信息等。除了获取登录凭据外，窃取器还可以泄露cookie。 cookie的重要性 cookie是存储在用户设备上的小小的数据文件，其中含有关于用户在特定网站上浏览活动和…

浏览器隔离是一种日益流行的安全技术，它通过云环境或虚拟机中托管的远程 Web 浏览器路由所有本地 Web 浏览器请求，所访问网页上的任何脚本或内容都在远程浏览器而不是本地浏览器上执行。 然后，页面的渲染像素流被发送回发出原始请求的本地浏览器，仅显示页面的外观并保护本地设备免受任何恶意代码的侵害。许多命令和控制服务器利用 HTTP 进行通信，导致远程浏览器隔离以过滤恶意流量，并使这些通信模型无效。 Mandiant 发现了一种绕过浏览器隔离技术并通过 QR 码实现命令和控制操作的新方法，Mandiant的新技术试图绕过这些限制，尽管它有一些实际限制，但它表明浏览器中现有的安全保护还远远不够完美，需要结合额外措施的“纵深防御”策略。 C2 和浏览器隔离的背景 C2 通道支持攻击者和受感染系统之间的恶意通信，使远程攻击者能够控制受破坏的设备以及执行命令、窃取数据等。由于浏览器在设计上不断与外部服务器交互，因此会激活隔离措施，以防止攻击者在安全关键环境中访问底层系统上的敏感数据。 这是通过在云端、本地虚拟机或本地托管的单独沙盒环境中运行浏览器来实现的。当隔离处于活动状态时，隔离的浏览器会处理传入的 HTTP 请求，并且只有页面的可视内容会流式传输到本地浏览器，这意味着 HTTP 响应中的脚本或命令永远不会到达目标。 这会阻止攻击者直接访问 HTTP 响应或向浏览器注入恶意命令，从而使隐蔽的 C2 通信变得更加困难。 浏览器隔离概述 Mandiant的绕行技巧 Mandiant 研究人员设计了一种新技术，可以绕过现代浏览器中现有的隔离机制。攻击…

黑客被发现正滥用 macOS 文件的扩展属性来传播一种新的木马，研究人员将其称为 RustyAttr。 威胁分子将恶意代码隐藏在自定义文件元数据中，并使用诱饵 PDF 文档来帮助逃避检测。这项新技术类似于 2020 年 Bundlore 广告软件将其有效负载隐藏在资源分支中以隐藏 macOS 有效负载的方式。安全研究人员在一些野外恶意软件样本中发现了它。 根据他们的分析，由于无法确认任何受害者，研究人员有一定把握将这些样本归因于朝鲜黑客拉扎勒斯。他们认为攻击者可能正在尝试一种新的恶意软件传递解决方案。 这种方法并不常见，现在已被证明可以有效地防止检测，因为 Virus Total 平台上的安全代理都没有标记恶意文件。 在文件属性中隐藏代码 macOS 扩展属性 (EA) 表示通常与文件和目录关联的隐藏元数据，这些元数据在 Finder 或终端中不直接可见，但可以使用“xattr”命令提取以显示、编辑或删除扩展属性。在 RustyAttr 攻击的情况下，EA 名称为“test”并包含 shell 脚本。 macOS 扩展属性内的 Shell 脚本 存储 EA 的恶意应用程序是使用 Tauri 框架构建的，该框架结合了可以调用 Rust 后端函数的 Web 前端（HTML、JavaScript）。当应用程序运行时，它会加载一个包含 JavaScript（“preload.js”）的网页，该网页从“测试”EA 中指示的位置获取内容，并将其发送到“run_command”函数以执行 shell 脚本。 preload.js 的内容 为了在此过…

一种被称为“RAMBO”（用于进攻的隔离内存总线辐射）的新型侧信道攻击会从设备的 RAM 产生电磁辐射，以从隔离的计算机发送数据。 隔离系统通常用于对安全性要求极高的任务关键型环境，例如政府、武器系统和核电站，这些系统与公共互联网和其他网络隔离，以防止恶意软件感染和数据盗窃。 尽管这些系统没有连接到更广泛的网络，但它们仍然可能受到通过物理介质如USB 驱动器，引入恶意软件感染或发起复杂供应链攻击。 该恶意软件可以秘密操作，以调制隔离系统的 RAM 组件，从而允许将机密从计算机传输到附近的接收者。属于此类攻击的最新方法来自以色列大学的研究人员，由 Mordechai Guri 领导，他是隐蔽攻击渠道方面经验丰富的专家，曾开发出使用网卡 LED、USB 驱动器 RF 信号、SATA 电缆和电源泄漏数据的方法。 RAMBO 攻击如何运作 为了实施 Rambo 攻击，攻击者会在隔离的计算机上植入恶意软件，以收集敏感数据并准备传输。它通过操纵内存访问模式（内存总线上的读/写操作）从设备的 RAM 产生受控的电磁辐射来传输数据。 这些发射本质上是恶意软件在 RAM 内快速切换电信号（开关键控“OOK”）的副产品，该过程不会受到安全产品的主动监控，也无法被标记或停止。 执行 OOK 调制的代码 发射的数据被编码为“1”和“0”，在无线电信号中表示为“开”和“关”。研究人员选择使用曼彻斯特编码来增强错误检测并确保信号同步，从而减少接收端出现错误解释的可能性。 攻击者可能会使用带有天线的相对便宜的软件定义无线电 (SDR) 来拦截调制的电磁辐射并将其转换…

Microsoft 已在未来版本的 Windows Server 中正式弃用点对点隧道协议 (PPTP) 和第 2 层隧道协议 (L2TP)，并建议管理员切换到提供更高安全性的不同协议。 20 多年来，该企业一直使用 PPTP 和 L2TP VPN 协议来提供对企业网络和 Windows 服务器的远程访问。 然而，随着网络安全攻击和资源变得更加复杂和强大，协议变得越来越不安全。例如，PPTP 很容易受到捕获的身份验证哈希值的离线强力攻击，而 L2TP 不提供加密，除非与其他协议（如 IPsec）结合使用。 但是，如果 L2TP/IPsec 配置不正确，可能会引入使其容易受到攻击的弱点。 因此，Microsoft 建议用户转向更新的安全套接字隧道协议 (SSTP) 和 Internet 密钥交换版本 2 (IKEv2) 协议，这些协议可提供更好的性能和安全性。 微软表示：“此举是微软战略的一部分，旨在通过将用户过渡到安全套接字隧道协议（SSTP）和互联网密钥交换版本 2（IKEv2）等更强大的协议来增强安全性和性能。” 这些更新协议能提供相对来说的更加安全的加密、更快的连接速度和更好的可靠性，使它们更适合当今日益复杂的网络环境。 Microsoft 还分享了每个协议的以下优点： SSTP 的优点 ·强加密：SSTP使用SSL/TLS加密，提供安全的通信通道。 ·防火墙穿越：SSTP可以轻松穿过大多数防火墙和代理服务器，确保无缝连接。 ·易于使用：凭借 Windows 的本机支持，SSTP 的配置和部署非常简单。 IKEv2的优点 ·安全…

漏洞概述 PHP是一种被广泛应用的开放源代码的多用途脚本语言，PHP-CGI是PHP自带的FastCGI管理器。是一个实现了CGI协议的程序，用来解释PHP脚本的程序，2024年6 月7日，推特安全上orange公开了其漏洞细节，并且PHP官方已修复该漏洞。并确认该漏洞在为远程代码执行漏洞，并将其分配编号为 CVE-2024-4577。 XAMPP（Apache+MySQL+PHP+PERL）就是一个功能强大的建站集成软件包，该漏洞在XAMPP开启了PHP-CGI模式下运行时可造成远程代码执行，攻击者可通过该漏洞获取服务器权限。 该漏洞仅适用于php版本为8.1 < 8.1.29，PHP 8.2 < 8.2.20，PHP 8.3 < 8.3.8，同时在php-cgi模式下运行php，并且运行在windows平台，且使用语系为繁体中文950、日文932、简体中文936等。 漏洞复现 DayDayPoc链接(poc&exp)： https://www.ddpoc.com/DVB-2024-7248.html 漏洞影响范围 DayDayMap(www.daydaymap.com)查询语法：app="XAMPP" || web.icon="56f7c04657931f2d0b79371b2d6e9820"解决方案 目前该漏洞利用详情已公开，且漏洞影响范围较大，建议客户尽快做好自查及防护。 PHP官方已发布修复方案，受影响的用户建议更新至安全版本。 https://www.php.net/downloads.ph…

一种名为“SoumniBot”的新 Android 银行恶意软件通过利用 Android 清单提取和解析过程中的弱点，使用了新的混淆方法。 该方法使 SoumniBot 能够规避 Android 手机中的标准安全措施并执行信息窃取操作。 研究人员发现并分析后提供了该恶意软件利用 Android 例程解析和提取 APK 清单的方法的技术细节。 欺骗 Android 的解析器 清单文件（“AndroidManifest.xml”）位于每个应用程序的根目录中，包含有关组件（服务、广播接收器、内容提供程序）、权限和应用程序数据的详细信息。 虽然恶意 APK 可以使用 Zimperium 的各种压缩技巧来愚弄安全工具并逃避分析，但分析师发现 SoumniBot 使用了三种不同的方法来绕过解析器检查，其中涉及操纵清单文件的压缩和大小。 首先，SoumniBot 在解压 APK 的清单文件时使用无效的压缩值，该值与负责该角色的 Android“libziparchive”库预期的标准值（0 或 8）不同。 Android APK 解析器不会将这些值视为不可接受，而是默认将数据识别为由于错误而未压缩，从而允许 APK 绕过安全检查并继续在设备上执行。 从 APK 中提取清单文件 第二种方法涉及错误报告 APK 中清单文件的大小，提供大于实际数字的值。 由于该文件在上一步中已被标记为未压缩，因此直接从存档中复制该文件，并用垃圾“覆盖”数据填充差异。 虽然这些额外的数据不会直接损害设备，但它在混淆代码分析工具方面发挥着至关重要的作用。 报告错误的文件大…

如果你曾经将iPhone、iPad或iPod连接到Windows PC上，你可能会注意到，这些设备会根据你的操作显示为不同类型的设备。例如，如果你正在给iPhone充电，它可能会显示为“USB复合设备”，但如果你正在与iTunes同步音乐，它可能会显示为“苹果移动设备USB驱动程序”。你有没有想过这是怎么回事？事实证明，苹果在Windows电脑上有一个USB低级过滤器，可以帮助他们控制操作系统使用哪些USB配置。 本文中，我们会首先介绍苹果的USB低级过滤器是如何工作的，它是做什么，以及无论是否安装了苹果软件，它如何提供不同的体验；其次，我们将研究为什么当设备的WPD属性WPD_DEVICE_PROTOCOL表明设备正在使用媒体传输协议(MTP)时，iphone的开箱操作如此有限。我们将深入研究诸如Windows便携式设备(WPD)，USB描述符和用户模式驱动程序框架(UMDF)等话题。 初始化苹果的USB低级过滤器 苹果设备将自己呈现为具有多个接口的复合设备，以确保它们的设备被正确识别，并加载所有必要的驱动程序。这是因为苹果设备通常有多个接口，提供不同的功能，如音频、视频和控制。当我们将苹果设备插入Windows设备时，总线适配器识别设备并向操作系统提供其hardwareid和compatibleid。这些id用于根据id的匹配质量在driver Store中搜索最佳驱动程序。 对于总线驱动器来说，要将该设备视为复合设备，必须满足一定的要求。如果不满足这些要求，操作系统将不会自动加载USB复合设备类驱动程序(usbccgp)。在这种情况…

从7月到9月，研究人员就已经观察到DarkGate活动，趋势科技检测为TrojanSpy.AutoIt.DARKGATE.AA，攻击者滥用即时通讯平台向受害者提供VBA加载器脚本。该脚本下载并执行由AutoIT脚本组成的第二阶段有效负载，其中包含DarkGate恶意软件代码。目前还不清楚即时消息应用程序的原始帐户是如何被攻击的，但应该是通过地下论坛获得的凭据。 DarkGate在过去的几年里并不是很活跃。然而，根据Truesec和MalwareBytes的报告，今年已经观察到多个攻击部署。通过对这次活动的密切监控，研究人员发现大多数DarkGate攻击都发生在美洲地区，其次是亚洲、中东和非洲。 2023年8月至9月DarkGate活动的分布 DarkGate活动背景 DarkGate于2017年底首次被发现，被归类为商品加载器。自2023年5月以来，DarkGate已经在俄语论坛开始流行，从那时起，使用恶意软件的初始入口攻击数量开始有所增加。DarkGate具有各种功能，包括执行以下操作的功能： 执行发现命令(包括目录遍历)； 自我更新，自我管理； 实现远程访问软件，如远程桌面协议或RDP、隐藏虚拟网络计算或hVNC、AnyDesk； 启用加密货币挖掘功能(启动、停止和配置)； 按键记录(keylogging)，Keylogging攻击是指攻击者跟踪键盘、鼠标活动，获得用户输入的信息，包括帐号、口令等； 从浏览器窃取信息； 权限升级。 DarkGate还使用一种名为AutoIt的windows专用自动化和脚本工具，来传播和执行其恶意功…

谷歌、AWS和Cloudflare三家公司周二发布公告称，它们阻止了据称有史以来最大的DDoS攻击。 这次攻击是由一个新的DDoS漏洞（编号为CVE-2023-44487）引起的，涉及HTTP/2协议，用于互联网上传输文件的一套标准化规则。美国国家标准与技术研究所（NIST）官网上的漏洞页面介绍说到：“HTTP/2协议之所以允许拒绝服务（服务器资源消耗），是由于请求取消可以快速重置许多请求流。” 作为多方协调披露的一部分，谷歌云、亚马逊网络服务（AWS）和Cloudflare都发布了博文和公告，提供了有关这条DDoS攻击途径的更多技术信息。在谷歌发布的两篇博文中的一篇中，这家科技巨头称之为“迄今为止最大的DDoS攻击，峰值时期每秒超过3.98亿个请求。” 在Cloudflare的技术分析博文中，它追踪到峰值时期每秒超过2.01亿个请求，几乎是之前观察到的创纪录攻击的三倍。 Cloudflare的两名工程师Lucas Pardue和Julien Desgats写道：“令人担忧的是，攻击者仅用2万台机器组成的僵尸网络就能发动这等规模的攻击。现在的僵尸网络由数十万乃至数百万台机器组成。考虑到整个互联网通常每秒只出现10亿到30亿个请求，可想而知，使用这种方法可以将整个互联网的请求都集中在少数目标上。” 在另一篇博文中，谷歌的两名工程师Juho Snellman和Daniele Iamartino专门介绍了这起攻击和攻击途径的工作原理。他们写道，这次名为Rapid Reset（“快速重置”）的攻击持续了几个月，在8月份达到了高峰。 博文作者说道，…

漏洞概述 Ivanti Connect Secure、Ivanti Policy Secure和Ivanti Neurons for ZTA gateways 是Ivanti 公司提供的远程访问和安全连接解决方案，主要功能包含VPN、访问控制、流量加密等。其IF-T/TLS协议在认证前，存在栈缓冲区溢出漏洞，攻击者可以利用该漏洞实现未授权远程代码执行。该漏洞已被APT组织利用。 影响范围 Ivanti Connect Secure 22.7R2 - 22.7R2.4 Ivanti Policy Secure 22.7R1 - 22.7R1.2 Ivanti Neurons for ZTA gateways 22.7R2 - 22.7R2.3 复现环境 版本：Ivanti Connect Secure 22.7R2.3 环境搭建 Ivanti Connect Secure 22.7R2.3导入虚拟机后开机，按照界面提示设置IP地址，管理员账号和密码等。 配置成功后，进入命令行界面，可以根据编号进行系统管理，但是无法执行底层Shell命令。 同时在浏览器中使用HTTPS协议打开配置的IP地址，可以正常显示Web登录界面。 查看虚拟机磁盘文件，尝试挂载到其他系统，解包出系统中的文件。但是文件系统被加密，无法通过常规挂载方式获取系统文件。这种情况下，常见方案可以逆向分析系统启动流程，分析解密算法，解密出系统文件。但是时间成本比较高。 笔者则是选择使用另一种方法，将虚拟机暂停后，修改其内存文…

一般来说，可能会使用车辆GPS跟踪设备的群体，主要有以下几类： 1）企业/上市公司的商业竞争对手 2）同一家企业/公司的中高层 3）家庭纠纷/婚姻/两性问题的其中一方 4）媒体暗访 5）欺诈/绑架等心怀恶意目的人员 6）政府机构/相关部门的秘密调查 7）娱乐圈的绯闻记者 8）黑吃黑其中，就真实案例而言，以1、2、3方面的情况最多。当然，新闻报道上也常能看到5和7的情形。所以，如何保护自己，如何防范可能的非法或者恶意行为，经常性地检查自家车辆会是一个非常好的习惯。下面杨叔会仔细讲述下私家车的标准检查步骤，至于大型或特种车辆在主体方法上类似，只是细节上会有所不同。OK，那我们开始吧...... Part1 外部检查步骤1：准备好手电和自己的车辆使用手册。 是的，你只需要这两样东西。强调下，虽然目前市面较多的GPS追踪器外型都是一个体积较大的带磁吸的盒子，但注意并不是所有的设备都会这么明显。 甚至在某些情况下，唯一能够识别追踪器的途径可能仅仅是条不合适的电线。在开始自检前，一定要强调的是：除非你非常熟悉自己的车，否则请勿轻易自行手动拆除车辆的重要部件。 步骤2：检查车底盘。 如果没有车辆维修专用的修理槽，可以背朝下滑入车底，用手电检查车底盘。大多数跟踪器需要链接到GPS卫星信号，所以一般不会在车底部有较厚金属阻隔的区域。仔细观察并寻找有无可疑的盒状物体或天线，给些小建议： 步骤3：检查车轮口和轮辋凹区。 检查每个车轮的塑料防护罩/挡泥板，特别是感觉松动或弯曲的地方。默认情况下车辆在这个位置不会有任何外置设备，所以若是有跟踪器，那都应该是…

概述 近日（2024年4月25号），悬镜供应链安全情报中心在Pypi官方仓库（https://pypi.org/）中捕获1起CStealer窃密后门投毒事件，投毒者连续发布6个不同版本的恶意Py包multiplerequests，目标针对windows平台python开发者，该恶意包在安装时会远程加载CStealer后门到受害者系统上执行，该后门会窃取受害者系统敏感信息、主流浏览器隐私数据、数字货币钱包应用数据以及系统屏幕截屏等。此外，后门还会尝试驻留Windows系统启动目录实现开机自启动。 截至目前，恶意Py包multiplerequests在pypi官方仓库上被下载435次。 pypi仓库恶意包multiplerequests下载量 该恶意Py包仍可从国内主流Pypi镜像源(清华大学、腾讯云等)下载安装，因此潜在的受害者数量可能会更多。 清华镜像源 以国内清华大学镜像源为例，可通过以下命令测试安装该恶意组件包。 pip3 install multiplerequests -i https://pypi.tuna.tsinghua.edu.cn/simple 由于该恶意Py包只针对Windows系统，测试环境使用Linux系统，导致恶意包安装过程中触发恶意代码时触发非预期的Windows系统路径(~\\AppData\\Roaming/frvezdffvvcode.py) 的文件写入操作。 投毒分析 以multiplerequests恶意包2.31.0版本为例，当Python开发者使用pip install从Pypi官方仓库…

数据是现代企业的新石油：正确使用它可以促进公司的发展并帮助企业在竞争中领先。就像石油一样，原始数据和未被发现的数据是毫无用处的，企业将无法从中受益；在最坏的情况下，它可能会导致安全事件。这也是企业投资敏感数据发现和保护解决方案的原因。 传统的数据发现工具由数据扫描仪和基于规则的算法提供支持，这些工具通常不足以掌握不断增长的新数据流。因此，许多企业利用人工智能 (AI) 增强其数据发现和保护解决方案。 在本文中，我们将讨论基于规则系统的主要缺点以及使用人工智能发现和保护敏感数据的好处、典型的数据发现和保护解决方案的工作原理，还分享有 Apriorit 经验中的开发技巧。 敏感数据发现如何影响企业安全 将敏感数据保存在一个安全的存储位置似乎是一项容易的任务，但实际上对于许多企业来说几乎是不可能的。在 COVID-19 大流行期间过渡到远程或混合工作、将本地环境迁移到云或经历合并和收购过程，可能会导致敏感数据存储在最不明显的地方。此类数据会受到网络安全解决方案的关注，并增加数据泄露或安全事件的风险。 存储在企业控制和安全边界之外的数据会带来数据盗窃或数据泄漏等安全事件的风险。这就是企业投资敏感数据发现软件的原因——用于检测、识别和组织所有组织资源和环境中的记录的工具。 实施这样的解决方案可以让企业： · 确保遵守网络安全法 · 防止数据被盗和泄露 · 进行数据驱动的网络安全改进 · 提高数据管理效率 跨不同环境和基础设施控制敏感数据的需求不断增长，导致数据发现软件越来越受欢迎。事实上，全球敏感数据发现市场预计将从 2020 年的 51 亿美元…

漏洞概述 漏洞类型 远程命令执行 漏洞等级 严重 漏洞编号 CVE-2024-3400 漏洞评分 10 利用复杂度 低 影响版本 PAN-OS 11.1.* < 11.1.2-h3 PAN-OS 11.0.* < 11.0.4-h1 PAN-OS 10.2.* < 10.2.9-h1 利用方式 远程 POC/EXP 未公开 Palo Alto Networks的PAN-OS是一个运行在Palo Alto Networks防火墙和企业VPN设备上的操作系统。Palo Alto Networks PAN-OS软件的GlobalProtect功能存在命令注入漏洞，针对特定的PAN-OS版本和不同的功能配置，可能使未经身份验证的攻击者能够在防火墙上以root权限执行任意代码。2024年4 月10日，Volexity 发现其一名网络安全监控 (NSM) 客户对 Palo Alto Networks PAN-OS GlobalProtect 功能中发现的漏洞进行了零日利用，攻击者能够创建反向 shell、下载工具、窃取配置数据以及在网络内横向移动。Palo Alto Networks PSIRT 团队确认该漏洞为操作系统命令注入问题，并将其分配为 CVE-2024-3400。 仅适用于启用了GlobalProtect gateway(Network > GlobalProtect > Gateways)和device telemetry(Device > Setup > Telemetry)的PAN-OS 1…

Google Suite是Google在订阅基础上提供的一套云计算生产力和协作软件工具和软件，它包含Google广受欢迎的网上应用，包括Gmail、Google云端硬盘、Google环聊、Google日历和Google文档，现已更名为Google Workspace。研究人员用一种意想不到的方式访问了来自Google Cloud Platform (GCP)的Google Workspace域数据。 研究人员发现，具有必要权限的GCP标识可以为委托用户生成访问令牌，拥有被盗凭证的恶意内部人员或外部攻击者可以使用此访问令牌冒充Google Workspace用户，授予对其数据的未经委托访问或以其名义执行操作。 随着组织越来越依赖基于云的服务，如Google Workspace和Google Cloud Platform GCP，深入研究其安全功能和漏洞的复杂性变得至关重要。 全域委托滥用概述 模拟 下图所示的可能的攻击路径可能是恶意的内部人员利用他们的访问权限，例如，在GCP项目中具有编辑器权限的开发人员。他们可以通过滥用在GoogleWorkspace中被授予全域委托权限的服务帐户来做到这一点，内部人员有权在同一个GCP项目中为服务帐户生成访问令牌。 第二个攻击场景 启用了全域委托权限后，恶意的内部人员可以冒充Google Workspace域中的用户，并使用访问令牌对API请求进行身份验证。通过利用适当的作用域和API访问，内部人员可以访问和检索敏感的Google Workspace数据，这可能会危及存储在域内的电子邮件、文档和其他机…

在追踪Pensive Ursa(又名Turla, Uroburos)的迭代中，Unit 42的研究人员发现了Kazuar一个新的升级变体——一个先进而隐秘的 .NET后门，Pensive Ursa通常将其用作第二级有效负载。 “Pensive Ursa”是一个总部位于俄罗斯的攻击组织，至少从2004年开始活动，与俄罗斯联邦安全局(FSB)有联系。 乌克兰CERT在2023年7月报告说，这个版本的Kazuar是针对乌克兰国防部门的，背后攻击组织的目标是敏感数据，比如Signal消息、源代码控制和云平台数据。 自从Unit 42在2017年发现Kazuar以来，研究人员只在野外看到过几次，主要针对欧洲政府和军事部门的组织。由于代码相似，Sunburst后门与Kazuar联系在一起，这表明了它非常复杂。自2020年底以来，研究人员没有在野外看到新的Kazuar样本，但有报道称Kazuar正在不断开发中。 正如Kazuar升级版的代码所揭示的那样，Kazuar的开发者正在增强器隐形操作能力，他们使用各种先进的反分析技术，并通过有效的加密和混淆实践来保护恶意软件代码。 Kazuar概述 Kazuar是一种先进的、隐秘的.NET后门，Pensive Ursa通常将其作为第二阶段的有效负载，与攻击组织通常使用的其他工具一起传播。 最近乌克兰CERT报告的活动揭示了Kazuar的多阶段传播机制，以及其他工具，如新的Capibar第一阶段后门。研究人员对这个新版本的技术分析显示，它的代码结构和功能都有了显著的改进。 这篇文章将详细介绍以前未记录的功能，包括…

想要轻松掌握 Android 恶意软件的逆转技术吗？Incinerator 将是你在这场网络攻防战中的得力伙伴，无论是资深专家还是初出茅庐的新手，都能在这款工具中找到自己的舞台。 大家好！在这篇文章里，我们将探索 Incinerator 的强大功能、丰富特性以及它所带来的种种优势。这款 Android 逆向工程工具集的灵感来自于广受好评的 Shambles 项目。 我们的目标非常明确：打造一款能够轻松应对 Android 应用，尤其是恶意软件的高级逆向工具。我们需要的是一个集反编译、解密、动态调试和漏洞检测于一体的全能工具。而且，这款工具还得能够快速、准确地揪出那些常见和隐蔽的威胁迹象（IOCs）。 正是基于这些目标，我们推出了 Incinerator！简单来说，它是一个功能全面、操作简便的逆向工程生态系统。不论你是经验丰富的逆向工程专家，还是刚踏入恶意软件分析领域的新手，Incinerator 都能满足你的需求。 Incinerator 应用内置了多种强大功能，让你可以轻松反编译 Android 应用，自动解密内容，取消反射 API 调用，获取清晰的反混淆代码，并在真实设备上进行实时调试分析。这对于那些想要深入了解、分析和逆转 Android 恶意软件的人来说，是一个完美的选择，即使你没有太多经验也没关系。 Incinerator 在后台进行的分析工作包括组件分析、安全漏洞检测、静态和动态代码分析、漏洞挖掘以及恶意代码分析。通过全面的检查，Incinerator 能够有效地帮助用户识别和解决安全风险和漏洞。 在更高层次上，Incine…

GitHub 默认为所有公共存储库启用推送保护，以防止推送新代码时意外泄露访问令牌和 API 密钥等机密。这是一种自动防止敏感信息泄露的简单方法。该功能于 2023 年 5 月普遍适用于所有公共存储库。 推送保护通过在接受“git推送”操作之前扫描机密，并在检测到机密时阻止提交来主动防止泄漏。 GitHub 表示，秘密扫描功能通过发现来自 180 多个服务提供商的 200 多种令牌类型和模式（API 密钥、私钥、秘密密钥、身份验证令牌、访问令牌、管理证书、凭证等），自动防止秘密泄露。 “我们开始为所有用户推出推送保护。这意味着，当在公共存储库的任何推送中检测到受支持的机密时，您可以选择从提交中删除该机密，或者绕过封锁。” 即使所有公共存储库默认启用推送保护，GitHub 用户也可以绕过自动提交阻止。虽然不推荐，但他们可以在安全设置中完全停用推送保护。 推送保护的实际应用 使用 GitHub Advanced Security，它可以保护私有存储库中的敏感信息，还添加了一套其他秘密扫描功能，以及代码扫描、人工智能驱动的代码建议和其他静态应用程序安全 (SAST) 功能。 Tooley 和 Claessens 表示：“API 密钥、令牌和其他机密的意外泄露可能会带来安全漏洞、声誉受损和法律责任，其规模之大令人咂舌。” 仅在 2024 年年初，GitHub 就在公共存储库上检测到了超过 100 万个泄露的机密。也就是说，每分钟就有十几起意外泄露。凭证和秘密泄露也因此导致了多起影响深远的数据泄露事件。

TrickMo Android 银行木马的 40 个新变种已在野外被发现，与 16 个植入程序和 22 个不同的命令和控制 (C2) 基础设施相关，具有旨在窃取 Android PIN 的新功能。 Zimperium 是在 Cleafy 之前发布的一份报告调查了当前流通的一些（但不是所有）变种之后报告了这一情况。 TrickMo 于 2020 年首次由 IBM X-Force 记录，但据悉其至少从 2019 年 9 月起就被用于针对 Android 用户的攻击。 假锁屏窃取 Android PIN TrickMo 新版本的主要功能包括一次性密码 (OTP) 拦截、屏幕录制、数据泄露、远程控制等。该恶意软件试图滥用强大的辅助服务权限来授予自己额外的权限，并根据需要自动点击提示。 作为一种银行木马，它为用户提供各种银行和金融机构的网络钓鱼登录屏幕覆盖，以窃取他们的帐户凭据并使攻击者能够执行未经授权的交易。 攻击中使用的银行覆盖层 Zimperium 分析师在剖析这些新变体时还报告了一个新的欺骗性解锁屏幕，模仿真正的 Android 解锁提示，旨在窃取用户的解锁图案或 PIN。 欺骗性用户界面是托管在外部网站上的 HTML 页面，并在设备上以全屏模式显示，使其看起来像合法屏幕。 当用户输入解锁图案或 PIN 码时，页面会将捕获的 PIN 码或图案详细信息以及唯一的设备标识符（Android ID）传输到 PHP 脚本。 TrickMo 显示的假 Android 锁屏 窃取 PIN 允许攻击者通常在深夜在设备未受到主动监控时解锁设备，…

苹果USB低级过滤器，可帮助控制操作系统使用USB配置（上） PTP还是MTP？ 本文中，我们将重点讨论为什么iphone没有像我们期望的使用MTP协议的设备那样提供一整套存储操作，还将研究USB接口类/子类和WPD_DEVICE_PROTOCOL属性之间不匹配的原因。为了回答这些问题，我们将了解如何创建WPD设备、如何“挂载”存储以及如何设置WPD属性。 首先对比一下使用PTP连接的Android设备和iPhone之间WPD设备协议属性的差异： 考虑到iPhone中的WPD协议属性，我们期望有一组更丰富的选项来与设备交互，可以通过查看设备的接口描述符来快速回答为什么iPhone表现为PTP设备。 iPhone和小米在PTP和MTP模式下的描述如下：iPhone有多种配置，但无论选择哪一种，创建WPD的接口PDO总是包含类6和子类1的接口。 尽管已经回答了最大的问题，但仍然有一些细节，比如为什么iPhone不允许创建或复制任何东西到它，而另一方面，小米即使使用PTP也允许创建对象，所以对于喜欢深入了解事物的人来说，仅仅浏览界面描述是不够的。 由于此描述符将生成CompatibleId USB\Class_06&SubClass_01&Prot_01，因此寻找与此ID匹配的INF，我们找到wpdmtp.inf。在此INF中，可以获得WPD设备的UMDF部分的以下组件： WpdMtp.dll:MTP核心协议组件； WpdMtpUS.dll：Usbscan MTP驱动程序的传输层； WpdMtpDr.dll：Windows便…

漏洞概述 2024年3月29日，开发人员Andres Freund在安全邮件列表上报告称，他在调查SSH性能问题时发现了涉及XZ包中的供应链攻击，分析后发现是SSH使用的上游liblzma库被植入了后门代码，可能允许攻击者通过后门非授权访问系统。 XZ Utils 是一款用于压缩和解压缩 .xz 和 .lzma 文件的工具集。XZ Utils 由 Lasse Collin 开发，是一个开源项目，广泛应用于各种操作系统中，受影响开源操作系统可在https://repology.org/project/xz/versions中查询.xz 文件格式是一种基于 LZMA2 压缩算法的文件格式，它提供了比传统 gzip 更高的压缩比，同时保持了相对较高的解压缩速度。XZ Utils v5.6.0和v5.6.1中tar包的编译文件被植入恶意命令。在某些特定编译环境下，恶意命令执行后将替换正常编译过程中的中间文件为后门文件，最后和其他组件一起编译到XZ Utils的Liblzma库文件中。当后门代码被执行时，将挂钩（HOOK）SSHD进程中的SSH登录认证函数。当接收到指定的SSH数据包时，将未授权执行指定的系统命令。 漏洞细节分析 1、植入流程 目前XZ Utils的Github仓库（https://github.com/tukaani-project/xz）已无法访问。笔者分析时使用的版本是从其他镜像网站下载的xz-5.6.1.tar.gz。初始恶意代码主要在文件build-to-host.m4中。 这条命令拼…

最近，趋势科技管理的XDR (MxDR)团队处理了涉及AsyncRAT的各种样本，这是一种具有多种功能的远程访问工具(RAT)，例如键盘记录和远程桌面控制，这种工具可以使其对受害者构成重大攻击。例如，攻击者会冒充当地银行和执法机构，将AsyncRAT传播给他们的目标。 2021年，AsyncRAT参与了名为“Spalax行动”的网络钓鱼活动，这些网络钓鱼活动一直持续到2021年底和2022年初。他们使用HTML附件进行AsyncRAT传播，同时还集成了反射加载技术。 t0：用户下载带密码保护的ZIP文件downloadedFile_SSAfnmeddOFzc.zip； 1分20秒：用户解压缩包含.wsf脚本的ZIP文件 1分26秒：下载并执行第一个有效负载，导致下载第二个有效负载； 1分35秒：自动启动； 1分59秒：下载并执行第二个有效负载； 5分48秒：进程注入到aspnet_compiler.exe和通过动态DNS的命令与控制(C&C)连接 下图描述了对涉及aspnet_compiler.exe的可疑活动的检测，该活动试图与外部IP地址45[.]141[.]215[.]40建立连接。同时，我们的分析揭示了有关PowerShell脚本和批处理文件的执行情况。我们能够使用这些数据作为支点，回溯并调查文件的入口点及其附加活动。 被触发的工作台警报 我们发现，攻击的触发因素是一个最初通过谷歌Chrome下载的名为downloadd_file_ssafnmeddofzc .zip的文件。 通过Chrome浏览器下载download…