蓝队取证审计网络安全

继谷歌、微软后，GitHub发布passkey测试预览版，支持无密码登录。 7月12日，GitHub宣布在其最新的公开预览版中引入了无密码认证功能，用户可以自主从安全密钥升级到passkey。 Passkeys是与计算机、智能手机等相关的个人设备，在减小数据泄露风险、应对钓鱼攻击、防止密码被窃等方面起着重要作用。用户使用passkey后无需使用密码和双因子认证。用户也可以使用个人可识别信息、生物认证方法等登陆应用和在线平台，如人脸识别、指纹等。通过无密码登录用户无需对每个APP和网站管理不同的密码，改善用户体验和提高安全性。 要激活账户的passkey，需要点击GitHub页面的个人信息。打开'Feature Preview'菜单，点击启用'Enable passkeys'选项。下次再使用安全密钥登录时，GitHub就会询问用户是否要升级到passkey。因为passkey是一种隐私保护的特征，在升级过程中可能会需要多次触发passkey，以确保升级了正确的凭证信息。 过去几年，GitHub通过双因子认证、登录警告、拦截被黑的密码使用、添加WebAuthn支持等方式加强账户安全。今年3月13日，GitHub就对所有应用开发者强制使用双因子认证。此次passkey的升级将为用户提供更加灵活、可靠、安全的认证方式。 在passkey的使用方面，谷歌在今年5月对所有谷歌账户支持passkey，允许用户在无需输入密码或第二步验证的情况下登入账户。6月，微软在Windows 11中也支持passkey，在Windows hello中添加了内置的p…

苹果USB低级过滤器，可帮助控制操作系统使用USB配置（上） PTP还是MTP？ 本文中，我们将重点讨论为什么iphone没有像我们期望的使用MTP协议的设备那样提供一整套存储操作，还将研究USB接口类/子类和WPD_DEVICE_PROTOCOL属性之间不匹配的原因。为了回答这些问题，我们将了解如何创建WPD设备、如何“挂载”存储以及如何设置WPD属性。 首先对比一下使用PTP连接的Android设备和iPhone之间WPD设备协议属性的差异： 考虑到iPhone中的WPD协议属性，我们期望有一组更丰富的选项来与设备交互，可以通过查看设备的接口描述符来快速回答为什么iPhone表现为PTP设备。 iPhone和小米在PTP和MTP模式下的描述如下：iPhone有多种配置，但无论选择哪一种，创建WPD的接口PDO总是包含类6和子类1的接口。 尽管已经回答了最大的问题，但仍然有一些细节，比如为什么iPhone不允许创建或复制任何东西到它，而另一方面，小米即使使用PTP也允许创建对象，所以对于喜欢深入了解事物的人来说，仅仅浏览界面描述是不够的。 由于此描述符将生成CompatibleId USB\Class_06&SubClass_01&Prot_01，因此寻找与此ID匹配的INF，我们找到wpdmtp.inf。在此INF中，可以获得WPD设备的UMDF部分的以下组件： WpdMtp.dll:MTP核心协议组件； WpdMtpUS.dll：Usbscan MTP驱动程序的传输层； WpdMtpDr.dll：Windows便…

1 概述 近日，安天CERT通过网络安全监测发现利用“黑神话悟空修改器”传播恶意代码的活动，攻击者将自身的恶意代码程序与《黑神话：悟空》第三方修改器“风灵月影”捆绑在一起，再通过在社媒发布视频等方式引流，诱导玩家下载。玩家一旦下载了带有恶意代码的修改器版本，在运行修改器的同时，也将在后台自动运行恶意代码，导致计算机被控制，产生隐私泄露、经济损失等风险。 《黑神话：悟空》作为国产首款3A游戏大作，千万玩家在线狂欢，尽享盛宴。但玩家尽情在痛殴游戏中的BOSS（或被BOSS痛殴）的时候，也要小心网络中的妖魔鬼怪、恶意代码。祝玩家在游戏中都成为齐天大圣，在上网时也擦亮火眼金睛，穿上金甲战衣。 经验证，安天智甲终端防御系统（简称IEP）可实现对捆绑的恶意代码的有效查杀。 2 样本传播渠道 1.利用视频图文引流，携带恶意钓鱼网址 攻击者在视频网站、博客等平台发布视频、图文等格式钓鱼内容，并在其中附带捆绑木马的游戏修改器下载链接，诱导用户下载并执行恶意程序。 图 2‑1通过视频网站引流钓鱼网址 图 2‑2通过发帖引流钓鱼网址 2.警惕利用闲鱼、淘宝等购物平台传播捆绑木马 《黑神话：悟空》的大量“修改器”上架闲鱼、淘宝平台，售价在1~10元左右，这些修改器很多都标注称是“风灵月影”，但实际上，该修改器均为完全免费软件，在风灵月影的网站上就可免费下载。攻击者可能会将携带恶意代码的《黑神话：悟空》修改器挂到购物网站上引流，请广大用户谨慎购买。 图 2‑3 闲鱼、淘宝平台售卖大量修改器 3 样本分析 3.1样本标签 表 3‑1二进制可执行文件 病毒名称 …

1 事件的基本情况和影响 北京时间2024年7月19日中午开始，全球多地用户在X（原推特）、脸书、微博等社交平台反映使用微软系统的电脑出现蓝屏现象，至少20多个国家的交通、金融、医疗、零售等行业或公共服务的业务系统受到影响。其原因是使用CrowdStrike公司终端安全产品的Windows操作系统的主机大面积发生系统崩溃故障，即“蓝屏死机”（Blue Screen of Death,BSOD），导致计算机系统无法正常运行。出现故障的终端并不止限于桌面终端，而是覆盖了大量的服务器和云节点，包括导致了多个重要的微软和AWS的云服务和租户服务中断。而且相关主机重新启动后依然会自动进入蓝屏状态，形成了反复崩溃闭环。此事件是今年以来全球波及范围最广的信息系统灾难性事件，也是由安全产品自身导致的最大规模的安全灾难事件，其事件带来的后果影响远远超过了2007年的赛门铁克误杀中文版Windows导致系统蓝屏事件等历史上由安全产品带来的安全事件。 北京时间7月19日19时，安天由云安全中心、安全研究与应急处理中心、攻防实验室人员组成混合分析小组，进行了跟进分析，及时将分析研判进展上报管理和应急部门，开发了CrowdStrike_Crash_Fix应急处理小工具，协助求助用户处理威胁，并发布了本分析报告。 CrowdStrike是美国主要的云、终端安全厂商之一，成立于2011年，2024年6月其市值一度接近千亿美元，是全球市值最大的网络安全上市公司之一。其开发的云本地端点保护平台CrowdStrike Falcon，开启了多租户、云原生、智能安全解决方案的…

在当今快节奏的商业环境中，员工越来越多地求助于未经授权的 IT 解决方案来简化工作并提高生产力。这些系统、设备、软件和服务被称为“影子 IT”，它们通常在企业 IT 部门的管辖范围之外运行。 尽管影子 IT 通常是出于提高办公效率而采用的，但它可能会带来重大的安全风险、合规性问题和隐性成本。本文探讨了影子 IT 的普遍性、它带来的风险，并讨论了管理影子 IT 的策略，包括能够持续发现未知 IT 资产的解决方案。 影子 IT 示例和成本 影子 IT 的兴起可以归因于多种因素，其驱动因素包括对效率的需求以及对僵化的 IT 流程的不满。员工经常求助于未经授权的解决方案，例如未经批准的协作工具等来克服这些障碍。这种趋势在远程团队中尤为普遍，因为有效的沟通对于远程团队至关重要。 另一个因素是云服务的广泛普及。有了易于使用的应用程序，员工无需通过官方 IT 渠道即可轻松实施工具。 影子 IT 有多种形式，包括使用个人设备工作、采用未经授权的云服务进行文件共享和协作、使用未经批准的生产力应用程序和通信工具、以及在 IT 部门不知情的情况下部署软件。 然而，影子 IT 的盛行给企业带来了巨大的安全和财务风险。研究结果凸显了问题的严重性： ·卡巴斯基发现，85% 的企业面临网络事件，其中 11% 直接与影子 IT 有关。 ·CIO Insight 发现，81% 的业务线员工和 83% 的 IT 员工使用未经批准的 SaaS 应用程序。 ·Mobile Mentor 透露，三分之一的员工绕过公司安全政策来完成他们的任务。 ·Gartner 估计，大型企业的影…

1 概述 InterLock勒索攻击组织被发现于2024年9月，该组织通过网络钓鱼、漏洞利用、搭载于其他恶意软件和非法获取凭证等多种手段渗透受害者网络，窃取敏感信息并加密数据，实施双重勒索，以此对受害者施加压力。暂未发现该组织通过勒索软件即服务（RaaS）模式招募附属成员以扩大非法收益的情况。目前，已监测到该组织开发了针对Windows、Linux和FreeBSD系统的加密载荷。在Windows系统中，InterLock勒索软件采用“AES+RSA”算法对文件进行加密。感染的迹象包括文件名后添加“.interlock”扩展名，以及出现名为“!README!.txt”的勒索信。截至目前，尚未发现任何工具能够有效解密由InterLock勒索软件加密的数据。 InterLock组织在暗网中运营一个名为“InterLock Worldwide Secrets Blog”的网站，公开受害者信息。该网站包含组织介绍、联系方式、受害者资料以及从受害者系统中窃取的数据等。对于每位受害者，攻击者创建独立的信息板块，列出受害者名称、官网链接、信息概览、被盗文件类型和数量。攻击者利用公开受害者信息和部分被盗文件作为要挟，迫使受害者为防数据被出售或公开而支付赎金或满足其他非法要求。截至2024年11月21日，该网站已公布7名受害者的信息，但实际受害数量可能更多。攻击者可能基于多种原因选择不公开或删除某些信息，例如在与受害者达成协议，或受害者支付赎金换取了信息的移除。 InterLock组织所使用的勒索加密载荷和攻击技战术等特征揭示了其与Rhysida组织[1]…

MANTICORE的攻击范围正在逐步扩大（上） Web shell Manticore部署了多个Web shell，包括之前被间接归因于OilRig的Web shell，其中一些web shell因其混淆、命名约定和工件而更受关注。与Manticore在过去几年的攻击中使用的许多其他web Shell和基于.NET的工具相比，web Shell保留了类和方法模糊以及类似的字符串加密算法，该加密算法与一个字节异或，密钥从第一个字节或前2个字节派生。 其中一个shell是对开源XML/XSL转换web shell (XSL Exec shell)进行了严重混淆和略微修改的版本。这个web shell还包含两个混淆的函数，它们返回字符串“~/1.aspx”。这些函数从未被调用过，很可能是其他版本的残余，正如我们在Manticore之前使用的工具(如FOXSHELL)中观察到的那样： FOXSHELL web shell版本中未使用的字符串 攻击目标 根据对最新利用LIONTAIL的分析发现，受害者遍布中东地区。大多数受影响的实体属于政府、电信、军事和金融部门，以及IT服务提供商。 至少从2019年开始，Manticore就开始在中东地区活跃。它最初是基于开源的web部署代理，随着时间的推移演变成一个多样化和强大的工具集，既利用了自定义编写的组件，也利用了开源组件。 Manticore使用的多个恶意软件版本的代码和功能演变概述 基于Tunna的Web shell 最早的一个与攻击者活动相关的样本是基于Tunna的web shell, Tunn…

Google Suite是Google在订阅基础上提供的一套云计算生产力和协作软件工具和软件，它包含Google广受欢迎的网上应用，包括Gmail、Google云端硬盘、Google环聊、Google日历和Google文档，现已更名为Google Workspace。研究人员用一种意想不到的方式访问了来自Google Cloud Platform (GCP)的Google Workspace域数据。 研究人员发现，具有必要权限的GCP标识可以为委托用户生成访问令牌，拥有被盗凭证的恶意内部人员或外部攻击者可以使用此访问令牌冒充Google Workspace用户，授予对其数据的未经委托访问或以其名义执行操作。 随着组织越来越依赖基于云的服务，如Google Workspace和Google Cloud Platform GCP，深入研究其安全功能和漏洞的复杂性变得至关重要。 全域委托滥用概述 模拟 下图所示的可能的攻击路径可能是恶意的内部人员利用他们的访问权限，例如，在GCP项目中具有编辑器权限的开发人员。他们可以通过滥用在GoogleWorkspace中被授予全域委托权限的服务帐户来做到这一点，内部人员有权在同一个GCP项目中为服务帐户生成访问令牌。 第二个攻击场景 启用了全域委托权限后，恶意的内部人员可以冒充Google Workspace域中的用户，并使用访问令牌对API请求进行身份验证。通过利用适当的作用域和API访问，内部人员可以访问和检索敏感的Google Workspace数据，这可能会危及存储在域内的电子邮件、文档和其他机…

一般来说，可能会使用车辆GPS跟踪设备的群体，主要有以下几类： 1）企业/上市公司的商业竞争对手 2）同一家企业/公司的中高层 3）家庭纠纷/婚姻/两性问题的其中一方 4）媒体暗访 5）欺诈/绑架等心怀恶意目的人员 6）政府机构/相关部门的秘密调查 7）娱乐圈的绯闻记者 8）黑吃黑其中，就真实案例而言，以1、2、3方面的情况最多。当然，新闻报道上也常能看到5和7的情形。所以，如何保护自己，如何防范可能的非法或者恶意行为，经常性地检查自家车辆会是一个非常好的习惯。下面杨叔会仔细讲述下私家车的标准检查步骤，至于大型或特种车辆在主体方法上类似，只是细节上会有所不同。OK，那我们开始吧...... Part1 外部检查步骤1：准备好手电和自己的车辆使用手册。 是的，你只需要这两样东西。强调下，虽然目前市面较多的GPS追踪器外型都是一个体积较大的带磁吸的盒子，但注意并不是所有的设备都会这么明显。 甚至在某些情况下，唯一能够识别追踪器的途径可能仅仅是条不合适的电线。在开始自检前，一定要强调的是：除非你非常熟悉自己的车，否则请勿轻易自行手动拆除车辆的重要部件。 步骤2：检查车底盘。 如果没有车辆维修专用的修理槽，可以背朝下滑入车底，用手电检查车底盘。大多数跟踪器需要链接到GPS卫星信号，所以一般不会在车底部有较厚金属阻隔的区域。仔细观察并寻找有无可疑的盒状物体或天线，给些小建议： 步骤3：检查车轮口和轮辋凹区。 检查每个车轮的塑料防护罩/挡泥板，特别是感觉松动或弯曲的地方。默认情况下车辆在这个位置不会有任何外置设备，所以若是有跟踪器，那都应该是…

0x01 非法监视直接切入主题，那些试图继续干扰女孩子生活的前男盆友们，往往都会采用非法监视，一般有以下几种可能： 一，针孔偷拍窃听。在对方家中或者曾经的合租房里安装针孔摄像头、窃听器材，偷拍女孩子的生活起居，暗地了解新交往的对象等等，这样的事情在日本和台湾地区的新闻报道里屡见不鲜，但国内一般很少报道此类事件。 下图是台湾《苹果日报》的新闻报道截图，讲述的就是一位28岁女性遭到40岁前男友部署在屋里器材的偷拍和窃听。 二，相机偷拍。这一项常常和尾行跟踪在一起，一般远距离会使用到专业相机+专业镜头，近距离则是用微单或者手机实现。主要目的还是在于跟踪女孩子的生活状况、有没有新的约会对象或者喜欢的人等等。当然，对于狗仔队而言，其有着完全不同的特殊意义。 三，非法定位。跟踪女孩子的出行状况，比如出差到哪个城市、订哪个酒店、和谁一起游玩等等。有些通过在女孩子背包或者车辆上安装跟踪器实现，有些则需要借用到专业的基站定位技术和地下信息数据支持。 防范建议： （注意：以下建议仅适用于关系僵硬、出现崩离趋势的时期） 0x02 尾行跟踪虽然感觉比较Low，但实际上尾行始终都是一种非常有效的监控手段。不过大多数尾行跟踪行为都建立在一个基础上，就是“对你平时工作生活的了解”。 虽然不至于为了一个前男友就去辞掉工作，但是无论是为了确保自己安全，还是为了新的开始做铺垫，改变下以往的生活作息习惯，显然是恰当的。 先说明，以下建议并不适用于专业跟踪偷拍人士/团队，若是遇到下图这样情况，那就需要专业对专业，需要委托个人隐私安全保护服务（一般不到这个程度，某些打羽…

篇首语：很多部门都在思考如何使用低技术手段来解决高科技犯罪，反窃密行业同样如此。 嗯，总有些另辟蹊径的思路，比如今天要介绍的是，可以帮小姐姐查针孔偷拍的：ESD K-9 电子存储设备搜检汪汪队~~ 小贴士：K-9这个词源于英文单词Canine，原意指犬科动物，K9其实指的就是警犬或者是军犬，这个词最先流行于美国的警犬部门，现在已被广泛接受~~ 大家在机场见过防爆和缉毒的狗狗吧？ 声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 01 为什么要搜检电子存储设备？ 在现代社会，针对未成年人的互联网犯罪，包括创建和传播未成年人色情制品、儿童性奴、未成年人性侵犯和性虐待的直播等等。近些年，这类犯罪正在以惊人的速度增加。 这些疑犯通常的做法是将其对话信息、图片、视频和其他联系信息都保存在外部存储设备（例如硬盘、U盘、Micro SD卡等）并藏匿，这对执法人员的搜查工作制造了很大难题。 来自美国计算机犯罪部门的警官表示： 在搜查令期间，通常会要求执法人员查找与这些罪行有关的实物证据。这些证据对于识别受害者，并将这些嫌疑人从社区中驱逐及逮捕至关重要。 但当他们依法执行搜查工作时，由于电子存储设备通常很小，容易隐藏，所以虽然搜查工作通常要花费数小时，但总会疏漏些电子物证，甚至有些设备可能永远都找不到。 而每个未发现的设备，都可能是一个或多个身份不明的受害者的血泪证据。 这些被称为数字媒体电子存储设备（DMESD），包括笔记本硬盘、小型U盘、TF卡、SD 卡、Micro SD卡、智能手机以及许多其他存储设备。要知…

TrickMo Android 银行木马的 40 个新变种已在野外被发现，与 16 个植入程序和 22 个不同的命令和控制 (C2) 基础设施相关，具有旨在窃取 Android PIN 的新功能。 Zimperium 是在 Cleafy 之前发布的一份报告调查了当前流通的一些（但不是所有）变种之后报告了这一情况。 TrickMo 于 2020 年首次由 IBM X-Force 记录，但据悉其至少从 2019 年 9 月起就被用于针对 Android 用户的攻击。 假锁屏窃取 Android PIN TrickMo 新版本的主要功能包括一次性密码 (OTP) 拦截、屏幕录制、数据泄露、远程控制等。该恶意软件试图滥用强大的辅助服务权限来授予自己额外的权限，并根据需要自动点击提示。 作为一种银行木马，它为用户提供各种银行和金融机构的网络钓鱼登录屏幕覆盖，以窃取他们的帐户凭据并使攻击者能够执行未经授权的交易。 攻击中使用的银行覆盖层 Zimperium 分析师在剖析这些新变体时还报告了一个新的欺骗性解锁屏幕，模仿真正的 Android 解锁提示，旨在窃取用户的解锁图案或 PIN。 欺骗性用户界面是托管在外部网站上的 HTML 页面，并在设备上以全屏模式显示，使其看起来像合法屏幕。 当用户输入解锁图案或 PIN 码时，页面会将捕获的 PIN 码或图案详细信息以及唯一的设备标识符（Android ID）传输到 PHP 脚本。 TrickMo 显示的假 Android 锁屏 窃取 PIN 允许攻击者通常在深夜在设备未受到主动监控时解锁设备，…

ChatGPT是一个基于人工智能技术的自然语言处理模型，可以通过学习大量的语料库，生成自然语言的文本和对话。ChatGPT通过为各行各业带来更高效、智能和个性化的服务而对各行业带来变革性影响。 研究人员发现ChatGPT、Bard、Claude等人工智能大语言模型（Large language model，LLM）会在回答用户提问时，可能会产生一些不当内容，即越狱攻击。比如，通过特殊关键词等查询来让大语言模型产生非预期的响应内容。随后，研究人员开展了大量的调试工作，以尽可能避免回答用户有害的内容。虽然已有研究人员证明了针对大语言模型的越狱攻击，但这一过程需要大量的手动操作来进行设计，而且很容易被大语言模型提供商所修复。 机器学习从数据中学习模式，对抗攻击正是利用机器学习的这一特征来生成异常行为。比如，对图像做出的人类无法察觉的小修改会使图像分类器将其错误识别为其他问题，或使声音识别系统产生人类听不见的响应消息。 来自卡耐基梅隆大学的研究人员系统研究了大语言模型的安全性，证明可以自动构造针对大语言模型的对抗样本，尤其是在用户查询中添加特定字符流会使大语言模型根据用户查询产生结果，并不会判断产生的回复是否有害。与传统的大模型越狱相比，研究人员的这一对抗攻击过程是完全自动的，即用户可以无限制的发起此类攻击。 虽然该研究的攻击目标是开源大语言模型，但研究人员发现利用其提出的方法生成的对抗提示（prompt）是可迁移的，包括对黑盒的公开发布的大语言模型。研究人员发现此类字符串对抗攻击也可以迁移到许多闭源的、公开可访问的基于大模型的聊天机器人，如C…

一项新的恶意软件活动正在向全球传播一种之前未曾记录的后门“Voldemort”，主要冒充美国、欧洲和亚洲的税务机构。根据 Proofpoint 的报告，该活动于 2024 年 8 月 5 日开始，已向 70 多个目标组织传播了 20,000 多封电子邮件，在其活动高峰期一天内就达到了 6,000 封。 超过一半的目标组织属于保险、航空航天、交通运输和教育行业。此次攻击活动的幕后威胁者尚不清楚，但 Proofpoint 认为最有可能的目的是进行网络间谍活动。 此次攻击与 Proofpoint 在本月初描述的攻击类似，但最后阶段涉及了不同的恶意软件。 冒充税务机关 Proofpoint 的最新报告称，攻击者正在根据公开信息制作网络钓鱼电子邮件以匹配目标组织的位置。 网络钓鱼电子邮件冒充该组织所在国家的税务机关，声称有更新的税务信息并包含相关文件的链接。 攻击活动中使用的恶意电子邮件样本 点击该链接会将收件人带到托管在 InfinityFree 上的登录页面，该页面使用 Google AMP Cache URL 将受害者重定向到带有“单击查看文档”按钮的页面。 单击按钮后，页面将检查浏览器的用户代理，如果适用于 Windows，则将目标重定向到指向 TryCloudflare 隧道 URI 的 search-ms URI（Windows 搜索协议）。非 Windows 用户将被重定向到一个空的 Google Drive URL，该 URL 不提供任何恶意内容。 如果受害者与 search-ms 文件交互，Windows 资源管理器就会被触发…

1 概述 RansomHub勒索攻击组织被发现于2024年2月，自出现以来持续活跃，采用勒索软件即服务（RaaS）模式运营，通过“窃取文件+加密数据”双重勒索策略对受害者实施侵害。目前，尚未发现能够成功解密其加密数据的有效工具。该组织利用特定方式公开受害者的敏感信息，并以此为要挟，迫使受害者支付赎金或满足其他非法要求，以避免其数据被进一步泄露或出售。截至2024年9月12日，该组织所使用的信息发布站点共有227名受害者信息，实际受害者数量会更多，因为攻击者出于某些原因可能选择不公开或删除信息，例如在与受害者进行协商谈判并达成一致后，或者受害者支付了赎金以换取信息的删除。 RansomHub勒索攻击组织使用的攻击技战术与Knight勒索攻击组织有着显著的相似之处。此外，它与曾经在勒索攻击领域活跃但现已退出的BlackCat（又名ALPHV）组织似乎存在某种联系。在最近发现的攻击事件中，RansomHub组织表现出了利用高级持续性威胁（Advanced Persistent Threat,APT）组织常用的技战术来执行勒索攻击的能力。因此，RansomHub组织的背景错综复杂，究竟是“集万恶于一身”还是“另立山头”，目前尚未明确，这些推测指向了一个复杂的网络犯罪生态系统，其中攻击者之间的界限可能远比表面看起来的要模糊。 2 组织背景 2024年2月，暗网监控云服务商ParanoidLab发现名为“koley”的用户在黑客论坛发布关于RansomHub勒索攻击组织RaaS的相关计划[1]，用于招揽附属成员，包括勒索赎金分赃比例、加密工具特性和…

10 月 12 日，微软宣布新一轮过渡计划，弃用 NTLM 身份认证方式，让更多企业和用户过渡到Kerberos。 Microsoft Access (Office套件的一部分)有一个“链接到远程SQL Server表”的功能。攻击者可能会滥用此功能，通过任意TCP端口(如端口80)自动将Windows用户的NTLM令牌泄露给攻击者控制的任何服务器。只要受害者打开.accdb或.mdb文件，就可以发起攻击。事实上，更常见的Office文件类型(如.rtf)都可以以类似方式运行。这种技术允许攻击者绕过现有的防火墙规则，这些规则旨在阻止由外部攻击发起的NTLM信息窃取。 什么是NTLM？针对它的常见攻击有哪些？ NTLM是NT LAN Manager的缩写，这也说明了协议的来源。NTLM是指 telnet 的一种验证身份方式，即问询/应答身份验证协议，是 Windows NT 早期版本的标准安全协议，是Microsoft在1993年引入的一种目前已被弃用的身份验证协议。微软在今年10月宣布，弃用 NTLM 身份认证方式，让更多企业和用户过渡使用 Kerberos， Kerberos 提供了更好的安全保证，并且比 NTLM 更具可扩展性，现在成为 Windows 中首选默认协议。 企业虽然可以关闭 NTLM 身份认证，但那些硬连线（hardwired）的应用程序和服务可能会遇到问题，为此微软引入了两个身份验证功能。 其一是 Initial and Pass Through Authentication Using Kerberos（IAKerb…

往期回顾： 2024.4.29—2024.5.5安全动态周回顾 2024.4.22—2024.4.28安全动态周回顾 2024.4.15—2024.4.21安全动态周回顾 2024.4.8—2024.4.14安全动态周回顾 2024.4.1—2024.4.7安全动态周回顾 2024.3.25—2024.3.31安全动态周回顾

一种名为“CRON#TRAP”的新网络钓鱼活动通过 Linux 虚拟机感染 Windows，该虚拟机包含内置后门，可以秘密访问公司网络。 使用虚拟机进行攻击并不是什么新鲜事，勒索软件团伙和加密货币挖矿者利用虚拟机来秘密执行恶意活动。然而，威胁者通常在破坏网络后手动安装这些软件。 Securonix 研究人员发现的一项新活动是使用网络钓鱼电子邮件执行无人值守的 Linux 虚拟机安装，以破坏企业网络并获得持久性。 网络钓鱼电子邮件伪装成“OneAmerica 调查”，其中包含一个 285MB 的大型 ZIP 存档，用于安装预装后门的 Linux 虚拟机。 该 ZIP 文件包含一个名为“OneAmerica Survey.lnk”的 Windows 快捷方式和一个包含 QEMU 虚拟机应用程序的“data”文件夹，其中主要可执行文件伪装为 fontdiag.exe。 启动快捷方式时，它会执行 PowerShell 命令将下载的存档解压到“%UserProfile%\datax”文件夹，然后启动“start.bat”以在设备上设置并启动自定义 QEMU Linux 虚拟机。 Start.bat批处理文件安装QEMU Linux虚拟机 安装虚拟机时，同一个批处理文件将显示从远程站点下载的 PNG 文件，该文件显示虚假服务器错误作为诱饵，这意味着调查链接已损坏。 显示假错误的图像 名为“PivotBox”的定制 TinyCore Linux VM 预装了一个后门，可保护持久的 C2 通信，允许攻击者在后台进行操作。 由于 QEMU 是一个经过…

二开背景 suricata是一款高性能的开源网络入侵检测防御引擎，旨在检测、预防和应对网络中的恶意活动和攻击。suricata引擎使用多线程技术，能够快速、准确地分析网络流量并识别潜在的安全威胁，是众多IDS和IPS厂商的底层规则检测模块。 前段时间搭了个suricata引擎播包测试流量规则，发现原生的suricata引擎并不能获取规则匹配的位置、命中的字符串等信息。因suricata引擎并不会输出命中的信息，遂修改源码，改了命中详情(下文简称高亮)出来，今天想跟大家分享一下修改和使用的过程。 1、suricat编译安装 参考官方文档https://docs.suricata.io/en/suricata-6.0.0/install.html#install-advanced 先装库，装rust支持，装make 然后下载源码make 编译后的二进制程序在/src/.libs/suricata查看依赖库，然后补齐到默认so库目录中即可运行。 2、vscode+gdb调试suricata环境搭建 然后就是装插件，除了必备的c语言插件全家桶之外还需要装GDB Debug这个插件。 接着任意新建一个运行配置。 修改lauch.json为： { // Use IntelliSense to learn about possible attributes. // Hover to view descriptions of existing attributes. // For more infor…

恶意软件分析涵盖一系列活动，其中包括仔细检查恶意软件的网络流量。要想有效地做好这项工作，关键在于要了解常见的威胁以及如何克服这些威胁。下面将介绍企业可能遇到的三个常见问题以及解决它们所需要的工具。 解密HTTPS流量 超文本安全传输协议（HTTPS）原本是一种确保安全在线通信的协议，如今却已经成为了恶意软件隐藏其恶意活动的一种工具。通过伪装受感染设备与指挥和控制（C&C）服务器之间的数据交换，恶意软件就可以在不被发觉的情况下运行，往外泄露敏感数据，安装额外的攻击载荷，并接收来自攻击者团伙的指令。 然而，如果有合适的工具，解密HTTPS流量就轻而易举。为此，我们可以使用中间人（MITM）代理，MITM代理充当了客户机与服务器之间的中介，可以拦截两者之间传输的信息。 MITM代理帮助分析人员实时监控恶意软件的网络流量，以便他们清楚地了解恶意活动。除此之外，分析人员还可以访问请求和响应数据包的内容、IP以及URL，以查看恶意软件通信的详细信息，并识别窃取的数据，这种工具对于提取恶意软件使用的SSL密钥特别有用。 图1. ANY.RUN沙箱提供的有关AxileStealer的信息 在这个例子中，初始文件（大小为237.06 KB）投放AxilStealer的可执行文件（大小为129.54 KB）。作为一种典型的信息窃取器，它获得了访问存储在网络浏览器中的密码的权限，开始通过Telegram消息传递连接将密码传输给攻击者。 规则“STEALER [ANY.RUN] Attempt to exfiltrate via Telegram”（…

0x01 前言 任意文件下载漏洞作为最常见的WEB漏洞之一，在平常的渗透测试中经常遇到，但是很多人却并没有深入去想该如何利用这种漏洞，导致忽略了一些细节的信息。 0x02 传统利用 1） 下载配置文件连数据库 通过任意文件下载漏洞下载网站配置文件，利用数据库配置信息远程连接数据库。 php：通过读取当前页面源码反向查找数据库配置文件 aspx: Web.config java:WEB-INF/web.xml、WEB-INF/classes/applicationContext.xml 、application.yml、application.properties、conf/tomcat-users.xml 其它配置： php.ini、my.ini、MetaBase.xml、access.log 2) 下载操作系统敏感文件 通过下载操作系统中的文件获取敏感信息，不同操作系统中的敏感文件包括 Windows： C:\Windows\win.ini C:\Windows\System32\drivers\etc\hosts C:\ProgramData\Microsoft\Search\Data\Applications\Windows\GatherLogs\SystemIndex\SystemIndex.{%d}.gthr 其中%d替换为1-500的数字，文件中保存大量应用对应的临时文件路径，可以泄露敏感信息，有时有奇效 C:\Users\Administrator\AppData\Roaming\Microsoft\Window…

随着加密货币的普及和应用范围的扩大，热钱包（Hot Wallet）是一种连接互联网的钱包，可以方便快捷地进行交易。最常见的热钱包是交易所内部的钱包，当用户在交易所开通账户时，会自动获得一个钱包地址。此外，还有一些第三方热钱包，如MetaMask和Trust Wallet等，可作为浏览器插件或移动应用程序使用。热钱包的优点是操作简单、方便快捷，适合频繁交易和使用去中心化应用（dApp）。冷钱包（Cold Wallet）是一种离线存储私钥的钱包，用于储存长期持有、不经常交易的加密资产。冷钱包可以分为硬件钱包和纸钱包两种形式。硬件钱包是一种物理设备，如Ledger、Trezor和Coolwallet等，通过与电脑或移动设备连接来进行交互。纸钱包是将私钥和地址以纸质形式打印或手写保存。冷钱包的优点是安全性极高，由于私钥离线存储，攻击者攻击的风险大大降低。无论你是交易频繁还是长期持有加密资产，合理选择热钱包和冷钱包都能提供更好的资产管理和安全保护。但随着加密货币在全球的受欢迎程度越来越高，存储它们的新方式越多，试图盗取数字货币的攻击者使用的工具库就越广泛。攻击者根据目标使用的钱包技术的复杂性来调整其攻击策略，比如通过钓鱼攻击模仿合法网站的来攻击目标，如果成功，他们可以窃取其中全部的金额。热钱包和冷钱包采用了两种截然不同的电子邮件攻击方法，热钱包和冷钱包这两种方法是最流行的加密货币存储方式。 盗取热钱包的方法简单而粗暴 热钱包是一种可以永久访问互联网的加密货币钱包，是一种在线服务，从加密货币交易所到专门的应用程序都要用到。热钱包是一种非常流行的加密存…

犯罪分子使用生成式AI工具发起商业邮件攻击。 生成式AI用于BEC攻击 随着ChatGPT等人工智能技术的进步，为商业邮件泄露攻击印日新的攻击向量。ChatGPT是一个复杂的人工智能模型，可以根据用户输入生成类似人类的文本。目前也有犯罪分子利用ChatGPT类技术自从生成高度可信的伪造邮件给受害者，增加攻击的成功性。 图 发送BEC的黑客指南 近日，在某犯罪论坛出现了上图所示的讨论帖。其中展示了利用生成式人工智能技术应用于钓鱼攻击或BEC攻击的可行性。帖子建议邮件使用受害者的本地语言、翻译、然后再反馈给ChatGPT这样的接口以增强其复杂性和形式化。该方法表明攻击者即使不熟悉受害者的语言，也可以进行钓鱼或BEC攻击。 图 黑客论坛 黑客论坛还有关于ChatGPT类接口越狱的讨论，即通过精心伪造的输入来操作ChatGPT类应用接口生成泄露敏感信息、不适当内容、有甚至有害的代码的输出。 图 WormGPT 恶意攻击者创建了类似ChatGPT的定制模块，还进行广告展示。人工智能时代恶意活动的复杂性和适应能力不断增加，使得网络安全变得越来越具有挑战性。 WormGPT WormGPT是一款基于GPTJ语言模型的人工智能模块，具备很多的功能，包括无限制字符支持、代码格式能力。 图 WormGPT示例 WormGPT称在不同的数据源上进行了训练，尤其是很多恶意软件相关的数据。而训练过程中使用的数据集仍然是未公开的。 图 WormGPT数据源 研究人员利用WormGPT该工具进行实验，生成了一封欺骗账户管理员支付欺诈账单发票的邮件。 …

1 概览 “游蛇”黑产团伙自2022年下半年开始活跃至今，针对国内用户发起了大量钓鱼攻击和诈骗活动。该类黑产传播的恶意程序变种多、频繁更换免杀手段及基础设施、攻击目标所涉及的行业广泛。近期，安天CERT监测到“游蛇”黑产团伙针对财税人员传播恶意Excel文件，诱导用户点击其中的超链接跳转至钓鱼网站，从中下载执行恶意程序。 恶意程序执行后加载恶意的Index.asp文件，然后分多个阶段下载执行恶意AutoHotKey、Python脚本、以及两段Shellcode，最终在受害者计算机的内存中执行远控木马。该远控木马具备键盘记录、剪贴板监控、屏幕截图等基本窃密功能，并支持接收执行多种远控命令。“游蛇”黑产团伙攻击者通常会利用远控木马控制受害者计算机中的即时通讯软件，冒充受害者身份进行后续的攻击、诈骗活动。 “游蛇”黑产团伙仍在频繁地对恶意软件、免杀手段以及相关基础设施进行更新，每天依旧有一定数量的用户遭受攻击并被植入远控木马。安天CERT建议用户接收文件时保持警惕，避免点击安全性未知的可执行程序、脚本、文档等文件，以免遭受“游蛇”攻击，造成不必要的损失。 经验证，安天智甲终端防御系统（简称IEP）可实现对该远控木马的有效查杀。 排查方案详见本文第四章节，相关防护建议详见第五章节。 2 技术梳理 在此次攻击活动中，攻击者投放的诱饵文件是名称为“（六月）偷-漏涉-税-违规企业名单公示.xlsx”的Excel文件，诱导用户点击其中的“点击查看”，从而跳转至钓鱼网站中。 图 2‑1诱饵文件 该钓鱼网站如下图所示，用户点击该网站中的任意按钮后会下载一个…

Check Point Research与Sygnia事件响应小组合作，追踪分析Manticore活动，这是一个主要针对中东政府和电信部门的攻击活动。据分析，Manticore与OilRig(又名APT34、EUROPIUM、Hazel Sandstorm)有关联。 在最新的攻击活动中，攻击者利用了LIONTAIL框架，这是一套复杂的自定义加载程序和内存驻留shellcode有效负载。Manticore使用HTTP.sys驱动程序的未记录功能从传入的HTTP流量中提取有效负载。观察到的LIONTAIL相关恶意软件的多种变体表明，Manticore为每台受攻击的服务器生成了一个自定义的植入程序，使恶意活动能够融入合法的网络流量中，并且无法从中识别。 尽管LIONTAIL框架本身看起来很独特，并且与任何已知的恶意软件家族没有明显的代码重叠，但这些攻击中使用的其他工具与之前报告的活动重叠。最值得注意的是，其中一些最终与OilRig有关联。 在这篇文章中，我们提供了最新工具的技术分析。 LIONTAIL框架 LIONTAIL是一个恶意软件框架，包括一组自定义shellcode加载器和内存驻留shellcode有效负载。它的一个组件是用c语言编写的LIONTAIL后门。它是一个轻量级但相当复杂的被动后门，安装在Windows服务器上，使攻击者能够通过HTTP请求远程执行命令。后门为其配置中提供的url列表设置侦听器，并执行攻击者向这些url发送请求的有效负载。 LIONTAIL后门组件是最新的Manticore攻击中使用的主要植入程序。利用来自面向…