蓝队取证审计网络安全

Bitdefender 于 2020 年首次记录了 Android 间谍软件“Mandrake”，研究人员强调了该恶意软件复杂的间谍功能，并指出它至少从 2016 年开始就在野外运行。 卡巴斯基最近报告称，具有更好的混淆和规避功能的 Mandrake 新变种已经通过 2022 年提交给 Google Play 的五个应用程序潜入进来。 这些应用程序至少持续可用一年，而最后一个应用程序 AirFS（在受欢迎程度和感染率方面较为突出）于 2024 年 3 月底被删除。 Google Play 上的 AirFS 卡巴斯基确定了五款携带 Mandrake 的应用程序如下： · AirFS – it9042 通过 Wi-Fi 共享文件（2022 年 4 月 28 日至 2024 年 3 月 15 日期间下载量为 30,305 次） · Astro Explorer 来自 shevabad（2022 年 5 月 30 日至 2023 年 6 月 6 日期间下载量为 718 次） · Amber 来自 kodaslda （2022 年 2 月 27 日至 2023 年 8 月 19 日期间下载量为 19 次） · CryptoPulsing 来自 shevabad（2022 年 11 月 2 日至 2023 年 6 月 6 日期间下载量为 790 次） ·Brain Matrix 来自 kodaslda（2022 年 4 月 27 日至 2023 年 6 月 6 日期间下载量为 259 次） 该网络安全公司表示，大多数下载来自加拿大、德国、意大利、…

AnyDesk 是一种远程访问解决方案，允许用户通过互联网远程访问计算机，企业一般使用它来提供远程支持或访问托管服务器，威胁组织通常使用它来持续访问受破坏的设备和网络。其拥有 170,000 名客户，包括 7-11、康卡斯特、三星、麻省理工学院、英伟达、西门子等。 最近，AnyDesk遭受了网络攻击，源代码和私有代码签名密钥在攻击期间被盗。黑客得以访问公司的生产系统。 AnyDesk 遭遇攻击 AnyDesk 表示，他们在检测到生产服务器异常后首次了解到此次攻击。 在进行安全审计后，他们确定自己的系统受到了损害，并在网络安全公司的帮助下启动了响应计划。 AnyDesk 证实勒索软件并未参与其中，除了表示他们的服务器遭到破坏之外，没有透露太多有关此次攻击的信息，也没有透露有关攻击期间数据是否被盗的详细信息。 作为回应的一部分，AnyDesk 表示他们已吊销与安全相关的证书，并根据需要修复或更换系统，向客户保证 AnyDesk 可以安全使用，并且没有证据表明最终用户设备会受到该事件的影响。 AnyDesk 在一份公开声明中表示：“我们确认情况已得到控制，使用 AnyDesk 是安全的。请确保您使用的是最新版本，并带有新的代码签名证书。” 虽然该公司表示没有身份验证令牌被盗，但出于谨慎考虑，AnyDesk 正在撤销其门户网站的所有密码，并建议更改在其他网站上使用的密码。 该公司已经开始替换被盗的代码签名证书，他们正在 1 月 29 日发布的 AnyDesk 8.0.8 版本中使用新证书。 该软件的早期版本，较旧的可执行文件以“philandro…

Apache 发布了一个安全更新，解决了 Tomcat Web 服务器中的一个重要漏洞，该漏洞可能导致攻击者实现远程代码执行。 Apache Tomcat 是一种开源 Web 服务器和 Servlet 容器，广泛用于部署和运行基于 Java 的 Web 应用程序。它为 Java Servlet、JavaServer Pages (JSP) 和 Java WebSocket 技术提供运行时环境。 该产品深受运行自定义 Web 应用程序的大型企业和依赖 Java 提供后端服务的 SaaS 提供商的欢迎。云和托管服务集成了 Tomcat 来进行应用程序托管，软件开发人员使用它来构建、测试和部署 Web 应用程序。 新版本中修复的漏洞被追踪为 CVE-2024-56337，并解决了 CVE-2024-50379 的不完整缓解措施，这是一个关键的远程代码执行 (RCE)，供应商已于 12 月 17 日发布了补丁。 人们意识到应用 CVE-2024-50379 的更新不足以保护系统，并决定发布 CVE-2024-56337强调手动操作的必要性。 这两个问题本质上是完全相同的漏洞，但决定使用新的 CVE ID 是为了提高受影响系统管理员的认识。该安全问题是一个检查时间使用时间 (TOCTOU) 竞争条件漏洞，该漏洞会影响启用默认 Servlet 写入（“只读”初始化参数设置为 false）并在不区分大小写的文件系统上运行的系统。 该问题影响 Apache Tomcat 11.0.0-M1 至 11.0.1、10.1.0-M1 至 10.1.33 以及 …

在数据泄露上，用户对API漏洞以及API安全事件可能产生的影响常常缺乏了解，因为API通常不是用户最终直接交互的技术，并且会在某种程度上隐藏起来，用户看不到它们的日常活动。 对于许多数据泄露来说，薄弱环节往往是API和围绕这些API的不适当的安全机制。 API组件通常出现在攻击的第二阶段 比如说，最近的MoveIT黑客活动在攻击的第二阶段有一个API组件，涉及对MoveIT API的反序列化滥用。这导致成千上万家公司被入侵，但API几乎只字未提，只以为SQL注入是导致数据泄露的主要原因。还有Twitter、Peloton、Optus和Medi Bank等其他同样引人注目的数据泄露事件都是由API安全事件造成的。 事实上，仅仅基于公开披露的内容，我们无法真正了解API安全问题的真实程度，但API安全事件在升级。 第二届年度API安全脱节研究表明，报告API安全事件的企业数量从2022年的76%上升到2023年的78%。由于方兴未艾的数字化转型趋势，加上API成为促进许多曾经不同的系统集成的粘合剂，API安全事件频发，以至于不能再忽视它们。 API安全是组织安全策略中的关键支柱 API安全是防止和应对源自API层面的攻击的一种实践，它是任何组织的整体安全策略中的一个关键支柱。API不仅使用户能够与应用程序交互，还便于其底层内部服务之间相互联系，为许多服务传输或存储敏感数据。因此，不安全的API为攻击者提供了入口点，会严重危及应用程序的安全状态。 最常见的API安全漏洞发生在开发过程中，这就是为什么“左移”测试理念是API安全的核心，因为它将A…

1 概述 近期，安天CERT监测到一起挖矿木马攻击事件，该挖矿木马从2024年3月开始出现，并持续更新攻击脚本。该挖矿木马的典型特点是针对操作系统类型下载对应的挖矿程序、检查系统环境是否有curl、Python、Perl等工具，如果有则使用这些工具下载挖矿程序，如果没有会进行下载适配、根据CPU算力动态调整运行参数，不会饱和使用CPU资源，避免因消耗过多资源被用户感知发现。该挖矿木马因其在脚本中多次出现“app”字符串，故安天CERT将该挖矿木马命名为“app Miner”。 经验证，安天智甲终端防御系统可实现该挖矿木马的有效查杀。 2 攻击流程 app Miner挖矿木马首先会执行一系列功能模块中的功能，如根据CPU线程数估算门罗币（Monero）挖矿的哈希率、根据CPU算力动态调整运行参数、遍历指定目录尝试找到一个足够空间投放挖矿木马的目录、根据受害主机操作系统类型和架构等，生成一个格式化的文件名、查找感染系统中正在运行的竞品挖矿进程等等。之后会从指定的URL上下载挖矿程序、设置挖矿配置文件进行挖矿。该挖矿木马还有很多函数具有多种功能，但默认状态下脚本未开启这些功能或待开发中，其中主要包括计划任务函数、服务函数、进程检查函数等等。 图 2‑1 攻击流程图 3 脚本功能分析 根据CPU线程数估算Monero挖矿的哈希率，然后基于这个哈希率动态计算并选择一个端口号。用于配置一个挖矿程序以选择适当的端口进行通信。这样的设计可能是为了在不同机器上运行时根据机器的不同性能选择合适的设置。 图 3‑1 估算Monero挖矿的哈希率 根据CP…

在最近的一波网络攻击中，外国大使馆成为了一个名为APT29恶意组织的攻击目标，他们利用目前广泛使用的文件压缩软件WinRAR中的漏洞，采用了一种更为复杂的攻击方法。这一攻击方式在整个网络安全领域引起震动，导致人们不得不立即采取行动加强网络安全防御。 根据网络安全专家的报告，APT29组织巧妙地将NGROK功能与WinRAR漏洞结合使用，潜入了大使馆网络。 NGROK服务是专为安全隧道连接到本地主机而设计的，黑客利用它来隐藏自己的恶意活动，这也使得攻击的检测和归因成为了一项艰巨的挑战。 WinRAR是一款广泛用于压缩和解压文件的应用程序，由于近期出现的CVE-2023-38831漏洞而逐渐成为了犯罪分子的攻击工具。该漏洞允许攻击者在目标系统上执行任意代码，使他们可以不受任何限制地访问使馆网络中存储的敏感信息。 这些攻击最初是由网络安全研究人员发现，后来得到了乌克兰国家安全与国防委员会（RNBO）的证实。他们在11月份的报告中概述了APT29的活动，揭示了这些网络入侵者所造成的破坏。 由于外国使馆通常会处理大量的私人、政治和外交数据，它们往往也成为国家支持的网络间谍活动的重点区域。目前攻击者有能力利用WinRAR等流行软件的漏洞进行攻击。 网络安全专家建议企业，尤其是外交等重要行业的企业，针对研究员披露的这些漏洞要进行大范围的安全评估，迅速修补漏洞，积极加强防御，及时应对不断演变的网络攻击形势。APT29攻击事件也凸显了实施多管齐下的网络安全战略的重要性，这种战略包括使用先进的威胁检测方法、积极对企业人员进行安全意识培训和使用强大的软件安全程…

近期，Malwarebytes 发布了 2024 年恶意软件报告，详细介绍了企业在 2024 年应关注的六种网络威胁。其中，排在首位的是“Big Game”勒索软件，它是对全球企业危害最严重的网络威胁之一。 大型博弈攻击通过劫持组织的数据（无论是加密、破坏性数据泄露的威胁，还是两者兼而有之），向企业勒索巨额赎金。该报告显示，由于 LockBit 和 ALPHV 等勒索软件组织的影响，已知的Big Game攻击数量在 2023 年激增了 68%。 2022 年 7 月 – 2023 年 12 月已知勒索软件攻击 Big Game 勒索软件只是网络犯罪活动的一部分，是其赖以生存的主要经济收益，它的生态系统支持整个供应链。 与商业一样，网络犯罪也依赖于一系列有效的工具。其活动围绕网络钓鱼、软件漏洞和密码猜测等技术，以及信息窃取程序、木马和勒索软件等成熟的恶意技术。 多年来，网络犯罪的创新日益转向战术方面，更多地关注攻击如何成功，而不是恶意软件的功能。 随着 Mac 继续逆势， PC 销量下降，一些犯罪分子开始将 Atomic Stealer 等 Mac 恶意软件添加到他们的 Windows 分发渠道中。 2024 年，恶意软件依旧泛滥，但当它被使用时，只是多种不同威胁的攻击链中的一个环节。 安全团队现在面临着诸多十分棘手的问题，零日漏洞、账户受损、社会工程以及一系列不符合恶意软件传统定义的其他威胁等，安全研究团队在日益复杂的网络环境中更需精进自身。

威胁分子使用 Atlassian Bitbucket 工件文件以明文形式泄露的身份验证密钥来破坏 AWS 帐户。 Mandiant 率先发现该问题，他当时正在调查最近曝光的 Amazon Web Services (AWS) 机密，威胁分子利用这些机密来访问 AWS。 尽管该问题是在调查中发现的，但它说明了之前被认为是安全的数据可以以纯文本形式泄露到公共存储库。 BitBucket 的安全变量 Bitbucket 是一个与 Git 兼容的基于 Web 的版本控制存储库和托管服务，由 Atlassian 运行，为开发人员提供代码管理和协作平台。 Bitbucket Pipelines 是一种集成的持续交付/部署 (CI/CD) 服务，可自动执行构建、测试和部署流程。系统管理员通常将 Pipelines 直接链接到 AWS，以便快速部署应用程序并使用 AWS CLI、开发工具包和其他 AWS 工具访问资源。 为了促进这种自动化，Bitbucket 允许开发人员将敏感信息（例如 AWS 身份验证密钥）存储在“安全变量”中，以便在代码中轻松使用这些变量，而无需将密钥暴露给其他人。 在 Bitbucket 中存储安全变量 当变量在 BitBucket 中设置为安全时，它们将以加密形式存储，以防止在 Bitbucket 环境中公开暴露其值。 Bitbucket 文档解释说：“您可以保护变量，这意味着它可以在您的脚本中使用，但其值将隐藏在构建日志中（参见下面的示例）。如果想编辑安全变量，只能为其赋予新值或删除它。安全变量以加密值的形式存储。” 然而…

Black Basta 和 Bl00dy 勒索软件团伙加入了针对 ScreenConnect 服务器的攻击中。 此严重缺陷 (CVE-2024-1709) 允许攻击者在暴露于 Internet 的服务器上创建管理员帐户、删除所有其他用户并接管任何易受攻击的实例。 自三月以来，CVE-2024-1709 一直受到积极利用。近期，ConnectWise 还修复了一个高严重性路径遍历漏洞 (CVE-2024-1708)，该漏洞只能被具有高权限的威胁分子滥用。 因为这两个安全漏洞影响所有 ScreenConnect 版本，该公司已取消了所有许可证限制，因此拥有许可证的客户可以保护其服务器免受持续攻击。 CISA 还将CVE-2024-1709 添加到其已知被利用的漏洞目录中，命令美国联邦机构确保其服务器的安全。 Shadowserver 表示，CVE-2024-1709 现在在攻击中被广泛利用，有数十个针对在线暴露服务器的 IP，而 Shodan 目前跟踪超过 10000 个 ScreenConnect 服务器（只有 1,559 个运行ScreenConnect 23.9.8 修补版本）。在分析这些正在进行的攻击时， Black Basta 和 Bl00dy 勒索软件团伙也开始利用 ScreenConnect 缺陷进行初始访问，并使用 Web shell 为受害者的网络设置后门。 ScreenConnect 攻击流程 在调查他们的攻击时，安全研究团队观察到攻击者获得网络访问权限，部署在受感染系统上的与 Black Basta 连接的 Cobal…

BlackCat运营商最近宣布对他们的工具进行更新，包括一个名为Munchkin的实用程序，它允许攻击者将BlackCat有效负载传播到远程设备和受害者组织网络上的共享。在过去的两年中，作为勒索软件即服务(RaaS)商业模式的一部分，BlackCat勒索软件运营商一直在不断发展和更新他们的工具。 在最新发现的样本中，Unit 42的研究人员获得了一个独特的Munchkin样本，因为它加载在自定义的Alpine虚拟机(VM)中。这种利用自定义虚拟机来部署恶意软件的新策略在最近几个月得到了越来越多的应用，允许勒索软件攻击者使用虚拟机来绕过部署恶意软件有效负载的安全解决方案。 本文详细介绍了这个新实用程序的攻击进程，并进一步阐明了BlackCat攻击者使用的持续策略。 BlackCat概述 BlackCat勒索软件于2021年11月首次被曝光。这种攻击因其恶意软件的复杂性以及使用Rust编程语言等独特方法而臭名昭著。 与其他勒索软件类似，BlackCat采用了RaaS商业模式，这种模式允许其他机构有偿利用他们的工具，使用机构会获得大约80-90%的赎金，其余的则交给运营商。 “BlackCat”组织及其使用机构历来把目标锁定在美国境内。然而，随着时间的推移以及受欢迎程度，攻击范围正在逐渐扩大，最近，人们发现BlackCat的目标是全球众多行业及其垂直行业的受害者。 BlackCat工具集多年来一直在不断发展。 原始版本仅提供了一个嵌入式JSON配置，并没有应用混淆或加密。 随着时间的推移，操作人员更新了恶意软件家族，以混淆这种底层配置。他们还需…

研究人员成功越狱特斯拉汽车信息娱乐系统，可解锁付费功能，提取秘密信息。 特斯拉（Tesla）汽车中融入了先进的计算机系统，实现包括自动驾驶、娱乐等功能。近期，特斯拉使用搭建的平台实现了车内购买功能，不仅包括额外的连接特征，还包括更快的加速以及座椅加热。因此，黑掉嵌入汽车的计算机系统可以让用户在无需付费的情况下解锁这些付费功能。 此前报道称，配备最新硬件平台的特斯拉Model S和X现在可以玩Steam游戏。特斯拉信息娱乐系统可以从Steam库中运行数千个游戏。特斯拉几款最新的汽车所搭载的信息娱乐系统是基于AMD平台的，来自德国柏林工业大学的研究人员提出一种针对特斯拉汽车信息娱乐系统的越狱方法，使用户可以自由使用特斯拉汽车信息娱乐系统提供的各种功能。 Tesla的信息娱乐APU是基于AMD Zen 1 CPU，因此研究人员尝试利用AMD Zen 1 CPU中之前发现的漏洞来对特斯拉车载APU进行越狱。首先，研究人员使用已知的电压错误注入攻击来攻击系统的信任根——AMD安全处理器（ASP）。然后逆向ASP的启动流以获取使用的Linux版本的root shell。在获取root权限后，研究人员就可以执行任意操作，比如重启信息娱乐系统、控制特斯拉的OTA更新。 此外，还可以访问和解密汽车信息系统中的敏感信息，比如车主的个人数据、通讯录、日历、通话记录、Gmail会话cookie、WiFi密码和历史位置信息。研究人员还成功提取了特斯拉内部服务网络中对车辆进行认证和授权的RSA密钥。 对于实现特斯拉信息娱乐系统越狱所需的工具，研究人员只需要称烙铁和…

Eurecom研究人员Daniele Antonioli识别了针对蓝牙的六类攻击——BLUFFS，其可以打破蓝牙会话的机密性，实现设备模拟和中间人攻击，这六类攻击中有2个利用了解密交换过程中的数据的会话密钥相关的蓝牙标准的漏洞。这些漏洞并不与硬件或软件配置相关，影响的是蓝牙底层协议。 漏洞CVE编号为CVE-2023-24023，影响Bluetooth Core规范4.2到5.4版本。鉴于蓝牙标准的广泛使用，BLUFFS影响数十亿的设备，包括笔记本电脑、智能手机和其他移动设备。 BLUFFS工作原理 BLUFFS是一系列针对蓝牙的漏洞利用，旨在破坏蓝牙会话的forward and future secrecy，破坏设备之间过去和未来通信的机密性。其中利用的4个漏洞位于会话密钥派生过程，攻击者利用该漏洞可以使派生的密钥是长度较短、弱和可预测的会话密钥。然后，攻击者暴露破解会话密钥，就可以解密过去的通信，解密或操纵未来通信。 图 攻击步骤 执行攻击需要攻击者与目标设备在蓝牙传输范围内，攻击者伪装为一个设备与另一个设备协商一个弱的会话密钥，提出尽可能小的密钥熵值。 图 在冒充合法参与者的同时协商会话密钥 BLUFFS攻击涵盖了设备冒充和中间人攻击的不同组合，与受害者是否支持安全连接（Secure Connections，SC）或旧式安全连接（Legacy Secure Connections，LSC）无关。 研究人员还开发了一个工具用以证明BLUFFS攻击的有效性，其中包括一个测试攻击的Python脚本、ARM补丁、分析器、以及测试过程中…

概述 经监测，我们截获了一起与未知家族有关的欺诈性 Android 应用传播事件。详细调查发现，该家族主要使用开源的 Telegram Android 源代码作为其核心功能模板。通过各种策略，包括但不限于刷单、投资推广和色情聊天，该家族诱导用户下载并安装其应用，从而执行欺诈操作。进一步网络环境探测结果显示，存在多款与该家族高度相似的活跃应用，进一步证实了这些应用确实属于同一个欺诈家族。这个家族不仅具有高度的欺诈性和一致性，还拥有一个完整的业务供应链。基于上述特点，我们决定为这一欺诈家族命名为“BOOMSLANG（树蚺）”。 技术分析 从我们获取的家族样本中进行溯源分析后，发现该家族最早始于 2022 年 9 月进行传播。由于当时疫情等外部因素的影响，该家族在 2022 年 9 月至 2023 年 3 月期间处于欺诈传播的初级阶段。然而，随着社会状况逐渐恢复，该家族开始大规模传播，并推出了多个不同业务类型的版本。值得注意的是，为了适应反欺诈措施，该家族在 2023 年 7 月首次进行了变种，引入了“Domain Over HTTPS（DoH）”技术。随后，在 2023 年 9 月，家族样本再次发生变种，增加了对现有自动化 App 安全检测手段的抵抗能力，具体采用了 NPManager 自带的 StringFrog 混淆技术，以规避基于字符串提取的安全检测。 DoH（DNS over HTTPS）是一种安全协议，用于通过 HTTPS 加密的连接进行 DNS 解析请求和响应。其主要目的是增加隐私和安全性，防止 DNS 请求被窃听或篡改。 接…

研究人员表明，有恶意分子可以滥用 OpenAI 的 ChatGPT-4o的实时语音 API 来实施从低到中等成功率的金融诈骗。 ChatGPT-4o 是 OpenAI 最新的 AI 模型，带来了新的增强功能，例如集成文本、语音和视觉输入和输出。由于这些新功能，OpenAI 集成了各种保护措施来检测和阻止有害内容，例如复制未经授权的声音。 基于语音诈骗涉及价值数百万美元的问题，而深度伪造技术和人工智能驱动的文本转语音工具的出现只会让情况变得更糟。正如 UIUC 研究人员在他们的论文中所证明的那样，目前不受限制地可用新技术工具没有足够的保护措施来防止网络犯罪和欺诈者的潜在滥用。 这些工具可以通过覆盖语音生成事件的代币成本来设计和实施大规模诈骗操作，而无需人工干预。 研究结果 研究人员的论文探讨了各种诈骗，例如银行转账、礼品卡渗漏、加密货币转账以及社交媒体或 Gmail 帐户的凭据窃取。 执行诈骗的人工智能代理使用支持语音的 ChatGPT-4o 自动化工具来导航页面、输入数据并管理双因素身份验证代码和特定的诈骗相关指令。 由于 GPT-4o 有时会拒绝处理凭据等敏感数据，因此研究人员使用简单的提示越狱技术来绕过这些保护。 研究人员没有展示真实的人，而是展示了他们如何与人工智能代理手动交互，模拟容易上当受骗的受害者的角色，使用美国银行等真实网站来确认成功的交易。 将代理部署在常见诈骗的子集上。通过手动与语音代理交互来模拟诈骗，扮演轻信受害者的角色。为了确定是否成功，需手动确认最终状态是否在真实的应用程序/网站上实现。例如，使用美国银行进行银…

OpenAI 的 ChatGPT 在人工智能语言模型方面取得了重要的进展，并且为用户提供了一个灵活有效的工具，可以用于模拟人类去生成特定的文字。但最近发生的事件凸显了一个非常关键的问题：网络开始出现了各种第三方的插件。虽然这些插件宣称可以大幅的改进chatgpt的功能，但它们也可能会造成严重的隐私和安全问题。 安全专家在一篇文章指出，在 ChatGPT 中使用插件可能会带来各种各样的危害。如果对此审查和监管不当，第三方插件可能会危及系统的安全，使其容易受到攻击者的攻击。这篇文章的作者强调了 ChatGPT 的灵活性以及可调整性，同时这也为攻击者利用安全漏洞留下了空间。 其他媒体的一篇文章对这一问题进行了深入探讨，强调了安装未经批准的插件可能会泄露使用者的敏感数据。如果不进行充分的检查，那么这些插件可能就无法遵循与主 ChatGPT 系统相同的严格的安全准则。因此，私人信息、知识产权和敏感的个人数据很容易被窃取或非法访问。 创建 ChatGPT 的 OpenAI 公司已经在平台的文档中解决了这些问题。该公司也已经意识到了插件可能会带来的各种安全问题，并敦促用户在选择和部署插件时谨慎行事。为了降低潜在的安全风险，OpenAI 强调只使用经过可靠来源验证和确认的插件这一准则是非常重要的。 随着问题的发展，OpenAI 仍在采取积极措施来保证 ChatGPT 的安全性和可靠性。公司鼓励用户在与系统进行交互时，报告他们遇到的可疑的或恶意的插件。通过进行调查和开展适当的行动，OpenAI 能够保护用户并维护其人工智能平台的完整性。 在这里值得注意的是…

自动化 首当其冲的显著变化就是自动化方面，它让世界在思想上对未来有了一个全新的认识。早些时候（2022 年之前），当被问及未来的自动化时，人们会认为蓝领工作会成为第一个影响者，因为这些工作对技能的要求较低，而且具有很高的重复性。然而，OpenAI彻底改变了这一观点，证明白领（尤其是创意岗位）面临的自动化风险要高得多。 教育 教育是下一个将要发生变革的行业。撰写论文、背诵考试内容、回答正确的选择题，这些都是几代人的标准教育和考试制度。但现在，ChatGPT则带来了一场革命。它能在各种标准化测试中都取得优异的成绩，能从广泛的数据来源中提供更加连贯的知识，并能比大多数用户更好地撰写论文。这对长期以来的教育模式提出了很大挑战，并在此过程中引发了一系列实践和哲学的问题。 地缘政治 地缘政治是与ChatGPT技术相结合的一个更为现代化的领域。由于OpenAI的出现，世界各国政府现在都已经认识到人工智能是本世纪的关键技术之一，同时也引发了全球范围的讨论和各国政府相关战略的制定。ChatGPT也引发了一些关于人工智能在国际关系中的严肃讨论，并且预计未来只会愈演愈烈。 软件和 KaaS ChatGPT最值得称赞的原因之一是它已经在流行应用程序中嵌入了人工智能信息。无论是 Adobe将生成式人工智能纳入其创意云套件，还是微软Windows和Office套件通过由 ChatGPT驱动的"Copilot "进行升级。这种趋势现在正在被越来越多的应用所采用，这也表明生成式人工智能的普及程度可能很快就会超过互联网，它在不到一年的时间里就积累了数亿用户。 ChatG…

ChatGPT等大语言模型（LLM）使用来自图书、网站及其他来源的海量文本数据进行训练，通常情况下，训练它们所用的数据是一个秘密。然而，最近的一项研究揭示：它们有时可以记住并反刍训练它们所用的特定数据片段。这个现象名为“记忆”。 随后，来自谷歌DeepMind、华盛顿大学、加州大学伯克利分校及其他机构的研究人员着手去研究这些模型（包括ChatGPT）可以记住多少数据以及记住哪种类型的数据。 这项研究的重点是“可提取的记忆”，即人们可以通过提出特定的问题或提示从模型中检索的记忆。他们想看看外部实体是否可以在事先不知道有什么数据的情况下提取模型学到的数据。 图1 研究团队在多种语言模型上进行了广泛深入的实验，包括知名的GPT-Neo、LLaMA和ChatGPT。他们生成了数十亿个token（即单词或字符），检查这些token是否与用来训练这些模型的数据相匹配。他们还开发了一种独特的方法来测试ChatGPT，让ChatGPT多次重复一个单词，直到它开始生成随机性内容。 令人惊讶的是这些模型不仅能记住大块的训练数据，还能在正确的提示下反刍这些数据。对于ChatGPT来说更是如此，它经过了特殊的对齐处理，以防止这种情况出现。 研究还强调需要对人工智能模型进行全面的测试。需要仔细审查的不仅仅是面向用户的对齐模型，基本的基础模型和整个系统（包括API交互）都需要严格的检查。这种注重整体的安全方法对于发现隐藏的漏洞至关重要。 研究团队在实验中成功地提取了各种类型的数据，从详细的投资研究报告到针对机器学习任务的特定Python代码，不一而足。这些例子表明…

研究人员发现谷歌、Cloudflare等知名网站的网页HTML源码中都以明文形式保存密码，恶意扩展可从中提取明文密码。威斯康星大学麦迪逊分校研究人员在Chrome应用商店上传了恶意扩展PoC，成功从网站源码中窃取明文密码。 问题产生的根源 由于Chrome扩展和网站元素之间缺乏安全边界，浏览器扩展对网站源码中的数据具有无限制的访问权限，因此有机会从中提取任意内容。此外，Chrome浏览器扩展可能滥用DOM API直接提取用户输入的值，绕过网站使用的混淆技术来保护用户敏感输入。 谷歌Chrome引入的Manifest V3协议被许多浏览器采用，限制了API滥用，防止浏览器扩展提取远程保存的代码，防止使用eval来实现任意代码执行。研究人员分析发现Manifest V3并未在扩展和web页面之间引入安全边界。 图 扩展和网站之间的安全边界 上传PoC到Chrome扩展商店 为测试谷歌的Chrome扩展商店审查过程，研究人员创建了一个可以发起密码窃取攻击的Chrome扩展，并将该扩展上传到平台。该扩展的功能是一个基于GPT的助手，可以： · 获取用户登录页面的HTML源码； · 滥用CSS选择器来选择目标输入字段，使用.value函数提取用户输入； · 通过元素替换使用不安全的密码字段来替换基于JS的混淆字段； 图 提取字段内的代码（左）和执行元素替换（右） 该扩展并不包含明显的恶意代码，因此可以绕过静态检测，并且不会从外部源提取代码，所以是支持Manifest V3的。因此，该扩展通过了审查，并被应用商店上架。 漏洞利用 随后的实验数…

一个名为 Cicada3301 的新勒索软件即服务 (RaaS) 行动迅速在全球发起了网络攻击，已在其勒索门户网站上列出了 19 名受害者。 这项新的网络犯罪行动以游戏命名，该游戏涉及复杂的加密谜题，并使用相同的徽标在网络犯罪论坛上进行推广。然而，其实两者之间没有任何联系。 Cicada3301 RaaS 已于 2024 年 6 月 在勒索软件和网络犯罪论坛 RAMP 的论坛帖子中首次开始推广该行动并招募会员。 然而，外媒早已注意到 Cicada 攻击，这表明该团伙在试图招募分支机构之前是独立运作的。 Cicada3301 勒索软件运营商在 RAMP 论坛上寻找附属机构 与其他勒索软件操作一样，Cicada3301 采取双重勒索策略，即入侵公司网络、窃取数据，然后加密设备。然后利用加密密钥和泄露被盗数据的威胁作为手段，恐吓受害者支付赎金。 威胁者运营一个数据泄露网站，将其用作双重勒索计划的一部分。 Cicada3301 勒索门户 Truesec 对新恶意软件的分析显示，Cicada3301 与 ALPHV/BlackCat 之间存在显著的重叠，表明可能是由前 ALPHV 核心团队成员创建的品牌重塑或分叉。 这是基于以下事实： ·两者都是用 Rust 编写的。 ·两者都使用 ChaCha20 算法进行加密。 ·两者都使用相同的 VM 关闭和快照擦除命令。 ·两者都使用相同的用户界面命令参数、相同的文件命名约定和相同的勒索信解密方法。 ·两者都对较大的文件使用间歇性加密。 具体来说，ALPHV 在 2024 年 3 月初实施了一次退出…

美国国家安全局 (NSA) 和网络安全与基础设施安全局 (CISA) 发布了五份联合网络安全公告，其中包含保护云环境的最佳方法。 近年来，云服务在企业中变得越来越受欢迎，因为它们提供托管服务器、存储和应用程序，而无需管理自己的基础设施。 云服务已经变得非常普遍，以至于许多企业应用程序开发人员都提供他们管理的本地版本和云托管版本，从而减轻了企业管理员的负担。 近期，NSA 和 CISA 发布了五份关于如何使用最佳方法保护云服务的联合文件。重点关注身份和访问管理解决方案、密钥管理解决方案、云中数据加密、云存储管理以及降低托管服务提供商的风险。 使用安全的云身份和访问管理实践 “此网络安全信息表 (CSI) 的目的是解释云身份管理的一些常见威胁，并推荐企业在云中操作时应采用的最佳实践方法来减轻这些威胁。” 此 CSI 包括身份和访问管理的提示，包括配置 MFA、凭据存储和权限分区，以便多人需要提升权限或执行敏感操作。 使用安全云密钥管理方法 “此 CSI 概述了基于这些因素的关键管理选项，并推荐了使用它们时要考虑的最佳方案。对于云 KMS 的任何使用，理解和记录共享安全责任至关重要。” 此 CSI 讨论如何安全地配置密钥管理解决方案 (KMS)。 在云环境中实施网络分段和加密 “这份网络安全信息表 (CSI) 提出了在云环境中实施这些原则的建议，这可能与本地 (on-prem) 网络不同。虽然本地网络需要专门的设备来启用 ZT，但云技术本身就提供了在不同程度上实施这些建议所必需的基础设施和服务。此 CSI 重点关注使用云环境中常见功能的最佳实践…

Cisco Duo是一个多因素认证和单一登录服务,使用公司提供安全访问内部网络和公司应用。据相关资料显示，它为10万个客户提供服务，每月处理10亿多个认证，下载超过10000000次。 在发送给客户的电子邮件中，Cisco Duo透露一个处理该公司短信和网络电话多因素认证(MFA)消息的未命名的供应商在4月受到了影响。 通知解释说，威胁分子通过钓鱼攻击获得员工证书，然后利用这些证书进入电话供应商的系统。 威胁分子随后下载了与2024年3月至2024年3月期间特定的多帐户相关的短信日志和网络电话管理局的消息日志。思科目前正在与供应商积极合作，调查和解决这一事件。 据了解，威胁分子没有访问邮件的任何内容，也没有使用他们的权限向客户发送邮件。然而，被盗的信息日志中确实含有可用于定向钓鱼攻击的数据以获取敏感信息，如公司证书。 这些日志中的数据包括雇员的电话号码、载体、位置、日期、消息类型等。受影响的供应商发现这个漏洞时，他们会宣布受影响的凭证无效，然后分析活动日志，并通知思科。除此之外，还采取了更多的安全措施，以防止今后再发生类似事件。 该供应商向Cisco Duo提供了所有公开的信息日志，可以通过向[email protected]发送电子邮件请求，以更好地了解这次入侵的范围、其影响以及适当的防御策略。 思科还提醒受此影响的客户，警惕潜在的短信钓鱼邮件以及使用被盗信息进行的网络攻击。

随着越来越多的企业依赖云计算来简化运营并提高可扩展性，企业正在采用云优先的方法，将网络、性能、安全、终端管理和支持全部通过CloudOps结合起来。CloudOps结合了IT流程和DevOps原理，确保云基础设施及其应用的平稳运行、维护和优化。 随着数据泄露和安全漏洞给企业带来了重大风险，CloudOps已经成为确保基于云的系统安全性和完整性的关键组成部分。通过这篇文章，我们可以学习构建和自动化一个强大的云优先策略，帮助各种规模的组织免受潜在的云安全风险。 CloudOps CloudOps不仅是Cloud+DevOps的深度结合，而是从CARES (Cost, Automation, Resilience, Elasticity, Security)五大维度进一步升级了DevOps实践的关注面，让业务代码的构建效率、发布效率、高可用能力、成本控制等的多个维度可感知、可衡量、可控制。 根据Gartner的数据，预计今年全球最终用户在公共云服务上的支出将增长近22%，总计5973亿美元。鉴于其普及程度，安全专家将云视为数字业务下一阶段的推动力，因为它是数字化转型和服务的高度战略平台。 虽然云的使用在现代商业环境中几乎是普遍的，但许多部署的架构仍然很差，或者是临时组装的。2023年的数字化趋势表明，云基础设施优化是需要关注的首要事项之一。云的兴起是显而易见的，企业领导者正在努力发展他们的IT、工程和开发团队，为他们的业务构建正确的云安全管理和运营策略。这就是CloudOps发挥作用的地方。 CloudOps专注于管理和优化基于云的基础设施、应…

1 事件的基本情况和影响 北京时间2024年7月19日中午开始，全球多地用户在X（原推特）、脸书、微博等社交平台反映使用微软系统的电脑出现蓝屏现象，至少20多个国家的交通、金融、医疗、零售等行业或公共服务的业务系统受到影响。其原因是使用CrowdStrike公司终端安全产品的Windows操作系统的主机大面积发生系统崩溃故障，即“蓝屏死机”（Blue Screen of Death,BSOD），导致计算机系统无法正常运行。出现故障的终端并不止限于桌面终端，而是覆盖了大量的服务器和云节点，包括导致了多个重要的微软和AWS的云服务和租户服务中断。而且相关主机重新启动后依然会自动进入蓝屏状态，形成了反复崩溃闭环。此事件是今年以来全球波及范围最广的信息系统灾难性事件，也是由安全产品自身导致的最大规模的安全灾难事件，其事件带来的后果影响远远超过了2007年的赛门铁克误杀中文版Windows导致系统蓝屏事件等历史上由安全产品带来的安全事件。 北京时间7月19日19时，安天由云安全中心、安全研究与应急处理中心、攻防实验室人员组成混合分析小组，进行了跟进分析，及时将分析研判进展上报管理和应急部门，开发了CrowdStrike_Crash_Fix应急处理小工具，协助求助用户处理威胁，并发布了本分析报告。 CrowdStrike是美国主要的云、终端安全厂商之一，成立于2011年，2024年6月其市值一度接近千亿美元，是全球市值最大的网络安全上市公司之一。其开发的云本地端点保护平台CrowdStrike Falcon，开启了多租户、云原生、智能安全解决方案的…

美国网络安全和基础设施安全局(CSA)发布了新版本的“下一代恶意软件”，允许公众提交恶意软件样本供CSA分析。 恶意软件下一代是一个恶意软件分析平台，用于检测可疑工件的恶意软件样本,通过静态和动态分析工具接受自动恶意软件分析，使CSA能够通过自动化分析新发现的恶意软件从而加强网络防御，有助于促进国家网络安全和重要基础设施建设。 可用性 自2023年11月以来，政府等相关组织提供了下一代恶意软件，从1600份提交材料中查明了200个可疑或恶意文件和网址。为此CSA鼓励所有组织、安全研究人员和个人登记可疑档案，并将其提交该平台进行分析。 使用静态和动态分析工具在安全环境中分析提交的文件，结果以PDF和STIX2.1格式提供。 匿名抽样提交 目前只有CSA分析员和其他经过审核的人员才能访问该系统生成的恶意软件分析报告。

微软Office 0 day漏洞被用于北约峰会的攻击活动。 漏洞概述 7月11日，微软披露了一个影响多个Windows和office产品的未修复的0 day漏洞，漏洞CVE编号为CVE-2023-36884，CVSS V3评分8.3分。攻击者利用该漏洞可以通过恶意office文档实现远程代码执行，并在无需用户交互的情况下利用该漏洞实现复杂攻击。攻击者成功利用该漏洞可以访问敏感信息、关闭系统保护、拒绝正常用户对系统的访问。 漏洞被用于攻击北约峰会，与俄罗斯有关 CVE-2023-36884漏洞已被用于攻击参与北约峰会的组织。乌克兰计算机应急响应中心（CERT-UA）和BlackBerry研究人员称，攻击者使用伪装为乌克兰世界大会的恶意文档来安装恶意软件payload，包括MagicSpell加载器和RomCom后门。安装成功后，攻击者可以通过伪造的.docx或.rtf文档来发起远程代码执行攻击，向执行的工具传递一个命令。 利用该漏洞的攻击者6月的活动与RomCom存在相似之处。RomCom是一个俄罗斯黑客组织，主要利用勒索软件来窃取凭证、支持情报活动等。 漏洞补丁 目前该漏洞尚未修复，但微软称将通过每月的微软补丁日或其他安全更新的方式为用户提供补丁。微软称用户可以使用Defender for Office启用拦截所有office应用创建子进程攻击面减少规律来防止利用该漏洞的钓鱼攻击。 此外，用户还可以将以下应用名添加到HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explo…