蓝队取证审计网络安全

Check Point Research与Sygnia事件响应小组合作，追踪分析Manticore活动，这是一个主要针对中东政府和电信部门的攻击活动。据分析，Manticore与OilRig(又名APT34、EUROPIUM、Hazel Sandstorm)有关联。 在最新的攻击活动中，攻击者利用了LIONTAIL框架，这是一套复杂的自定义加载程序和内存驻留shellcode有效负载。Manticore使用HTTP.sys驱动程序的未记录功能从传入的HTTP流量中提取有效负载。观察到的LIONTAIL相关恶意软件的多种变体表明，Manticore为每台受攻击的服务器生成了一个自定义的植入程序，使恶意活动能够融入合法的网络流量中，并且无法从中识别。 尽管LIONTAIL框架本身看起来很独特，并且与任何已知的恶意软件家族没有明显的代码重叠，但这些攻击中使用的其他工具与之前报告的活动重叠。最值得注意的是，其中一些最终与OilRig有关联。 在这篇文章中，我们提供了最新工具的技术分析。 LIONTAIL框架 LIONTAIL是一个恶意软件框架，包括一组自定义shellcode加载器和内存驻留shellcode有效负载。它的一个组件是用c语言编写的LIONTAIL后门。它是一个轻量级但相当复杂的被动后门，安装在Windows服务器上，使攻击者能够通过HTTP请求远程执行命令。后门为其配置中提供的url列表设置侦听器，并执行攻击者向这些url发送请求的有效负载。 LIONTAIL后门组件是最新的Manticore攻击中使用的主要植入程序。利用来自面向…

随着加密货币的普及和应用范围的扩大，热钱包（Hot Wallet）是一种连接互联网的钱包，可以方便快捷地进行交易。最常见的热钱包是交易所内部的钱包，当用户在交易所开通账户时，会自动获得一个钱包地址。此外，还有一些第三方热钱包，如MetaMask和Trust Wallet等，可作为浏览器插件或移动应用程序使用。热钱包的优点是操作简单、方便快捷，适合频繁交易和使用去中心化应用（dApp）。冷钱包（Cold Wallet）是一种离线存储私钥的钱包，用于储存长期持有、不经常交易的加密资产。冷钱包可以分为硬件钱包和纸钱包两种形式。硬件钱包是一种物理设备，如Ledger、Trezor和Coolwallet等，通过与电脑或移动设备连接来进行交互。纸钱包是将私钥和地址以纸质形式打印或手写保存。冷钱包的优点是安全性极高，由于私钥离线存储，攻击者攻击的风险大大降低。无论你是交易频繁还是长期持有加密资产，合理选择热钱包和冷钱包都能提供更好的资产管理和安全保护。但随着加密货币在全球的受欢迎程度越来越高，存储它们的新方式越多，试图盗取数字货币的攻击者使用的工具库就越广泛。攻击者根据目标使用的钱包技术的复杂性来调整其攻击策略，比如通过钓鱼攻击模仿合法网站的来攻击目标，如果成功，他们可以窃取其中全部的金额。热钱包和冷钱包采用了两种截然不同的电子邮件攻击方法，热钱包和冷钱包这两种方法是最流行的加密货币存储方式。 盗取热钱包的方法简单而粗暴 热钱包是一种可以永久访问互联网的加密货币钱包，是一种在线服务，从加密货币交易所到专门的应用程序都要用到。热钱包是一种非常流行的加密存…

本文介绍了在Chrome、Edge和Safari中实现可靠的DNS重绑定的新技术，并讨论了绕过本地网络限制的技术。通过分析慢缓存的根本原因，提出了新的解决技术。本文研究了利用DNS重绑定在Chrome、Edge和Safari中实现瞬间DNS重绑定的攻击技术。 本文是关于DNS重新绑定系列文章中的第二篇。第一篇文章介绍了一个使用DNS重新绑定后攻击的案例。在这篇文章中，我介绍了在IPv6可用时在Chrome, Edge和Safari中实现可靠的，瞬间DNS重新绑定的新技术，以及一种绕过本地网络限制的技术，该技术适用于基于Chrome的浏览器的获取API。 浏览器中的DNS重绑定传统上被视为攻击者通过诱骗受害者加载恶意网站来访问内部网络服务的一种方式，但随着许多现代web应用程序现在在其部分功能上驱动无头浏览器，它已成为攻击web应用程序的有用工具。无头浏览器，即 Headless Browser，是一种没有界面的浏览器。它拥有完整的浏览器内核，包括 JavaScript 解析引擎、渲染引擎等。与普通浏览器最大的不同是，无头浏览器执行过程中看不到运行的界面，但是我们依然可以用 GUI 测试框架的截图功能截取它执行中的页面。在上一篇文章中，我介绍了一个使用可能是最简单的重新绑定方法的例子。在这种情况下，我有很长的时间让漏洞运行，但这在许多web应用程序中不太可能，需要更快的技术。 缓慢的缓存 简单的DNS重绑定技术依赖于对相同主机名的连续查找返回不同的DNS记录。对于这些攻击，所花费的最小时间是浏览器执行两次连续DNS查找之间的时间。这有时可以…

24年3月，工信部发布《关于侵害用户权益行为的APP（SDK）通报（2024年第2批，总第37批）》，对“摇一摇”乱跳转、信息窗口“关不掉”加强管理，工信部自2024年起于通报中强调本类问题，未来或将持续加强管理。为协助各App开发者了解工信部查处标准，特编写本文解读标准相关内容。 一、通报依据 “摇一摇”乱跳转问题查处依据工信部26号文及《T/TAF 078.7-2022 APP用户权益保护测评规范》。 在工信部26号文中提及：“开屏和弹窗信息窗口提供清晰有效的关闭按钮，保证用户可以便捷关闭；不得频繁弹窗干扰用户正常使用，或利用“全屏热力图”、高灵敏度“摇一摇”等易造成误触发的方式诱导用户操作。” 《T/TAF 078.7-2022 APP用户权益保护测评规范》对欺骗误导强迫用户点击跳转的情况细化为了4种情况，并对交互动作数值给出了明确限制，APP 欺骗误导强迫用户点击跳转，具体场景包括但不限于以下方式： 1、APP以欺骗、误导或者强迫等方式向用户提供互联网信息服务或者产品； 2、未以显著方式明示或未经用户主动选择同意，APP 信息窗口页面，存在跳转、使用第三方的行为； 3、APP信息窗口页面，跳转、使用第三方时，存在欺骗误导强迫用户跳转的文字、图片或视频链接； 4、APP信息窗口通过用户“摇一摇”等交互动作触发页面或第三方应用跳转的，未清晰明示用户需要执行的触发动作及交互预期，或通过设置高灵敏度降低交互动作判定阈值，造成误导、强迫式跳转。 注：触发用户跳转的交互动作可参照如设备加速度不小于15m/s2，转动角度不小于35°，操作时间不…

往期回顾： 2024.4.29—2024.5.5安全动态周回顾 2024.4.22—2024.4.28安全动态周回顾 2024.4.15—2024.4.21安全动态周回顾 2024.4.8—2024.4.14安全动态周回顾 2024.4.1—2024.4.7安全动态周回顾 2024.3.25—2024.3.31安全动态周回顾

CISA 表示，已发现威胁分子滥用未加密的持久性 F5 BIG-IP cookie 来识别和瞄准目标网络上的其他内部设备。 通过绘制内部设备图，威胁者可以潜在地识别网络上易受攻击的设备，作为网络攻击规划阶段的一部分。 据 CISA 表述，“恶意分子可以利用从未加密的持久性 cookie 收集的信息来推断或识别其他网络资源，并可能利用网络上其他设备中发现的漏洞。” F5 持久会话 cookie F5 BIG-IP 是一套应用程序交付和流量管理工具，用于负载平衡 Web 应用程序并提供安全性。其核心模块之一是本地流量管理器（LTM）模块，它提供流量管理和负载平衡，以在多个服务器之间分配网络流量。使用此功能，客户可以优化其负载平衡的服务器资源和高可用性。 产品中的本地流量管理器 (LTM) 模块使用持久性 cookie，通过每次将来自客户端（Web 浏览器）的流量引导到同一后端服务器来帮助维护会话一致性，这对于负载平衡至关重要。 “Cookie 持久性使用 HTTP cookie 强制执行持久性”F5 的文档解释道。 与所有持久模式一样，HTTP cookie 确保来自同一客户端的请求在 BIG-IP 系统最初对它们进行负载平衡后被定向到同一池成员。如果同一池成员不可用，系统会进行新的负载权衡决定。 这些 cookie 默认情况下未加密，可能是为了保持旧配置的操作完整性或出于性能考虑。从版本 11.5.0 及更高版本开始，管理员获得了一个新的“必需”选项来对所有 cookie 强制加密。 那些选择不启用它的人会面临安全风险。但是，这些 co…

1 概览 “游蛇”黑产团伙自2022年下半年开始活跃至今，针对国内用户发起了大量钓鱼攻击和诈骗活动。该类黑产传播的恶意程序变种多、频繁更换免杀手段及基础设施、攻击目标所涉及的行业广泛。近期，安天CERT监测到“游蛇”黑产团伙针对财税人员传播恶意Excel文件，诱导用户点击其中的超链接跳转至钓鱼网站，从中下载执行恶意程序。 恶意程序执行后加载恶意的Index.asp文件，然后分多个阶段下载执行恶意AutoHotKey、Python脚本、以及两段Shellcode，最终在受害者计算机的内存中执行远控木马。该远控木马具备键盘记录、剪贴板监控、屏幕截图等基本窃密功能，并支持接收执行多种远控命令。“游蛇”黑产团伙攻击者通常会利用远控木马控制受害者计算机中的即时通讯软件，冒充受害者身份进行后续的攻击、诈骗活动。 “游蛇”黑产团伙仍在频繁地对恶意软件、免杀手段以及相关基础设施进行更新，每天依旧有一定数量的用户遭受攻击并被植入远控木马。安天CERT建议用户接收文件时保持警惕，避免点击安全性未知的可执行程序、脚本、文档等文件，以免遭受“游蛇”攻击，造成不必要的损失。 经验证，安天智甲终端防御系统（简称IEP）可实现对该远控木马的有效查杀。 排查方案详见本文第四章节，相关防护建议详见第五章节。 2 技术梳理 在此次攻击活动中，攻击者投放的诱饵文件是名称为“（六月）偷-漏涉-税-违规企业名单公示.xlsx”的Excel文件，诱导用户点击其中的“点击查看”，从而跳转至钓鱼网站中。 图 2‑1诱饵文件 该钓鱼网站如下图所示，用户点击该网站中的任意按钮后会下载一个…

安全研究人员最新发现一起针对 Linux 主机上的 Redis 服务器的安全活动——威胁组织正使用名为“Migo”的恶意软件来挖掘加密货币。 Redis（远程字典服务器）是一种内存数据结构存储，用作数据库、缓存和消息代理，以其高性能而闻名，每秒为游戏、技术、金融服务等行业的实时应用程序提供数千个请求。 威胁组织通常利用暴露的和可能易受攻击的 Redis 服务器来劫持资源、窃取数据和实施其他恶意目的。 新的恶意软件的不同之处在于使用系统削弱命令来关闭 Redis 安全功能，从而允许加密劫持活动较长时间持续。 Migo 活动由云取证提供商 Cado Security的分析师所发现，他们在蜜罐中观察到攻击者使用 CLI 命令关闭保护配置并利用服务器。 关闭 Redis 防护罩 在暴露的 Redis 服务器受到攻击后，攻击者会禁用关键的安全功能，以允许接收后续命令并使副本可写。 Cado 表示，他们注意到攻击者通过 Redis CLI 禁用了以下配置选项： ·set protected-mode：禁用此选项将允许外部访问 Redis 服务器，从而使攻击者更容易远程执行恶意命令。 ·replica-read-only：关闭此功能使攻击者能够直接写入副本并在分布式 Redis 设置中传播恶意负载或数据修改。 ·aof-rewrite-incremental-fsync：禁用它可能会导致在仅追加文件 (AOF) 重写期间产生更重的 IO 负载，来帮助攻击者不被检测到。 ·rdb-save-incremental-fsync：关闭它可能会导致 RDB 快…

电子邮件安全和威胁检测服务提供商Vade公司近日发布了一份报告，详细阐述了最近发现的一起网络钓鱼攻击，这起攻击成功欺骗了Microsoft 365身份验证系统。 据Vade的威胁情报和响应中心（TIRC）声称，攻击电子邮件含有一个带有JavaScript代码的有害HTML附件。这段代码的目的在于收集收件人的电子邮件地址，并使用来自回调函数变量的数据篡改页面。 TIRC的研究人员在分析一个恶意域名时解码了使用base64编码的字符串，获得了与Microsoft 365网络钓鱼攻击相关的结果。研究人员特别指出，对网络钓鱼应用程序的请求是向eevilcorponline发出的。 研究人员通过periodic-checkerglitchme发现，其源代码与附件的HTML文件很相似，这表明网络钓鱼者在利用glitch.me来托管恶意的HTML页面。 glitch.me是一个允许用户创建和托管Web应用程序、网站和各种在线项目的平台。遗憾的是，在这种情况下，该平台却被人利用，用于托管涉及这起进行中的Microsoft 365网络钓鱼骗局的域名。 当受害者收到一封含有恶意HTML文件（作为附件）的电子邮件时，攻击就开始了。受害者打开该文件后，一个伪装成Microsoft 365的网络钓鱼页面就会在受害者的互联网浏览器中启动。在这个欺骗性页面上，攻击者提示受害者输入其凭据，攻击者会迅速收集这些凭据用于恶意目的。 由于Microsoft 365在商业界得到广泛采用，被泄露的账户很有可能属于企业用户。因此，如果攻击者获得了对这些凭据的访问权，他们就有可能获得…

一个名为 Cicada3301 的新勒索软件即服务 (RaaS) 行动迅速在全球发起了网络攻击，已在其勒索门户网站上列出了 19 名受害者。 这项新的网络犯罪行动以游戏命名，该游戏涉及复杂的加密谜题，并使用相同的徽标在网络犯罪论坛上进行推广。然而，其实两者之间没有任何联系。 Cicada3301 RaaS 已于 2024 年 6 月 在勒索软件和网络犯罪论坛 RAMP 的论坛帖子中首次开始推广该行动并招募会员。 然而，外媒早已注意到 Cicada 攻击，这表明该团伙在试图招募分支机构之前是独立运作的。 Cicada3301 勒索软件运营商在 RAMP 论坛上寻找附属机构 与其他勒索软件操作一样，Cicada3301 采取双重勒索策略，即入侵公司网络、窃取数据，然后加密设备。然后利用加密密钥和泄露被盗数据的威胁作为手段，恐吓受害者支付赎金。 威胁者运营一个数据泄露网站，将其用作双重勒索计划的一部分。 Cicada3301 勒索门户 Truesec 对新恶意软件的分析显示，Cicada3301 与 ALPHV/BlackCat 之间存在显著的重叠，表明可能是由前 ALPHV 核心团队成员创建的品牌重塑或分叉。 这是基于以下事实： ·两者都是用 Rust 编写的。 ·两者都使用 ChaCha20 算法进行加密。 ·两者都使用相同的 VM 关闭和快照擦除命令。 ·两者都使用相同的用户界面命令参数、相同的文件命名约定和相同的勒索信解密方法。 ·两者都对较大的文件使用间歇性加密。 具体来说，ALPHV 在 2024 年 3 月初实施了一次退出…

为进一步保护企业合法权益，持续优化营商网络环境，按照中央网信办“清朗·优化营商网络环境—整治涉企侵权信息乱象”专项行动部署要求，北京市网信办于4月2日启动了为期9个月的“清朗·E企护航”专项整治行动。 此次专项整治行动重点聚焦侵犯企业和企业家合法权益的网络信息内容乱象，集中整治抹黑诋毁企业形象声誉、炮制传播虚假不实信息、敲诈勒索谋取非法利益、扰乱企业生产经营秩序、恶意炒作涉企公开信息，及水军账号控评造谣、唱衰经济破坏营商环境等七方面突出问题。属地各网站平台应当严格履行主体责任，健全管理制度，加强热搜榜单、用户账号及MCN机构等重点环节管理，依法依规开展服务，切实维护健康有序的网络传播秩序。 专项整治行动期间，北京市网信办将加大巡查检查力度，充分发挥统筹协调作用，联合有关部门、各区网信办对落实整治要求不力的网站平台和问题严重、影响恶劣的网络账号，依法依规予以严肃查处，并及时公开曝光典型案例，震慑打击违法违规行为。 欢迎社会各界积极向北京市违法和不良信息举报平台以及各网站平台举报涉北京属地平台账号相关违法违规线索，共同营造清朗网络空间。 北京市违法和不良信息举报平台举报网址：www.bjjubao.org.cn 北京属地重点网站平台举报途径：www.bjjubao.org.cn/2023-04/23/content_42964.html 文章来源：北京市互联网信息办公室

篇首语：最近杨叔看到好多朋友家小盆友都在上橄榄球课，也就习惯性关注下这个行业的隐私保护现状，于是就......看到了有趣的东西 今年7月，第一本全面揭露美国NFL职业橄榄球大联盟中阴暗面的书籍出版，书中囊括了从偷拍、安装窃听器材、秘密监视，到窃取文件、窃听电话、间谍刺探，以及内部斗争等等球队间对抗的情节。 谁能想到这些听起来像是007电影里的桥段，都来自真实的美国职业橄榄球联盟 声明1：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 声明2：咳咳，杨叔不是橄榄球迷，如果在体育术语上有翻译不准确的地方，就当没看见吧 1 NFL全美职业橄榄球大联盟 美国职业橄榄球大联盟（National Football League，简称NFL）是指美国国家橄榄球联合会（National Football Conference，简称国联NFC）与美国橄榄球联合会（American Football Conference，简称美联AFC）合并后的名称。 NFL美国职业橄榄球大联盟，高居北美四大职业体育运动联盟之首，也是世界上规模最大的职业橄榄球大联盟。 目前，不但很多赛事国内平台都有转播，作为对身体素质要求更高的橄榄球运动，在国内的粉丝群体也正在快速增长中。 PS：杨叔在以前的软文里也提及过NFL，可以作为本篇的参考： 内幕 | 那些体育圈的窃密事件 OK，接下来，我们直接看看有趣的部分。 2 被窃听的球队更衣室 球队最担心的是在客场被恶意窃听。 很显然，客场的更衣室是一个值得关注的区域…

1 事件概述 当地时间2024年9月17日下午，黎巴嫩首都贝鲁特以及黎巴嫩东南部和东北部多地发生大量寻呼机（BP机）爆炸事件。黎巴嫩真主党第一时间在其Telegram频道上发布消息称，爆炸发生在当地时间下午3时30分左右，影响了真主党各机构的“工作人员”，有“大量”人受伤。截至18日16时，以色列时报援引黎巴嫩公共卫生部门数据称，爆炸造成11人死亡，约4000人受伤，其中约500人双目失明。 基于本事件最初被多方报道为网络攻击触发的事件，为梳理实际情况，安天组成了由安天CERT、战略情报中心、无线安全技术研发组的混合分析团队进行如下分析。经综合研判，我们初步分析认为这是一起基于供应链（含配送物流）侧，将爆炸物和通讯设备相结合，利用远程信号激活控制电路，实现批量触发爆炸的严重事件。整体研判分析过程如下： 2 事件影响范围 根据媒体和网络信息，爆炸主要发生在黎巴嫩真主党势力强大的地区，特别是贝鲁特南部郊区和贝卡地区，导致此次爆炸事件发生的原因是使用特定品牌型号的寻呼机，根据目前采集信息来看包括了Gold Apollo Pager AP-900 GP和AR-924等型号，上述型号为中国台湾地区金阿波罗公司品牌的寻呼机。但也有未充分验证的消息说爆炸寻呼机也包括Motorola LX2、Teletrim等品牌。此次发生爆炸的通讯设备是在手机普及时代已被绝大多数人所弃用的寻呼机。但由于寻呼机有作为纯信号接受设备，不发射信号，难以被定位的优势。因此在地缘安全形势复杂的黎巴嫩，被黎巴嫩真主党成员以及黎政府重要岗位人员大量使用。网络信源称，真主党向金阿波罗…

声明：以下内容符合OSINT国际开源情报搜集标准，不涉及任何非法行为，仅供交流与参考。 0x01 先聊聊酒店的墙壁 咳咳，行有行规，先说点正经的。 按照国内酒店装修必须遵循的行业标准《旅馆建筑设计规范》JGJ62-2014中规定，旅馆建筑的隔声减噪设计应符合现行国家标准《民用建筑隔声设计规范》GB 50118-2010的规定。 如下图所示，可以看到，墙壁厚度还真是和酒店级别有一定关系的。 不过在装修的行话里，老师傅们一般会更通俗地用“一砖墙”的说法。所谓“一砖墙”，顾名思义就是厚度为一块标准砖的墙，类似地，就有了“半砖、1砖、1砖半、2砖”墙的说法。 说到这儿，顺便调查下，这些年大家住过的酒店，你认为客房墙壁有多厚？ PS：更多关于墙壁厚度的定义，大家可以在评论区里回复“一砖墙”，就能看到。 那么，按照装修标准，是不是说五星级酒店客房就一定安全呢？ 这个嘛，真不好说。 0x02 一般人如何偷听隔壁 经常出差的人应该都有过这样的体验，尤其是苦逼出差的IT工程师们，撰写项目文档或做编程测试不知不觉到半夜，突然被隔壁莫名的声音惊扰。 除此之外，明显对内部会议、私下聊天的偷听会更有意义。于是乎，什么听诊器、杯子等都被人用来做偷听道具。 百度知道上，甚至还有人专门回答了用杯子偷听的心得，也是醉了。 嗯，肯定有老司机觉得这些都太基础了，根本不值一提，也是，接下来说说专业的做法。 0x03 专业隔墙偷听几十年 从原理上讲，专业偷听设备的确类似于听诊器，不过区别是，专业设备加入了电子降噪及放大的能…

我们会在本文中详细介绍四个在去年被修复的旧漏洞： CVE-2022-38108； CVE-2022-36957； CVE-2022-36958； CVE-2022-36964； CVE-2022-38108 这个漏洞已经在这篇博客文章中提到了。 简单来说，几个SolarWinds服务通过RabbitMQ实例相互通信，该实例可通过端口5671/TCP访问。虽然访问它需要凭据，但是高权限用户可以通过SolarWinds Orion平台提取这些凭据，攻击者利用CVE-2023-33225，它允许低权限用户提取这些凭证。 该漏洞针对的是SolarWinds信息服务。为了向信息服务发送AMQP消息，必须将消息的Routing-Key设置为SwisPubSub， Routing Key就是路由规则,消息对应的队列。 AMQP消息中的Routing-Key 现在，让我们来验证SolarWinds是如何处理这些消息的，可以从EasyNetQ.Consumer.HandleBasicDeliver方法开始： 在[1]处，代码检索AMQP消息的属性，这些属性由发送消息的攻击者控制。 在[2]处，它创建了一个执行上下文，其中包含AMQP消息属性和消息正文。 在[3]处，它执行一个任务来使用消息。 这就需要Consume方法。 在[1]处，EasyNetQ.DefaultMessageSerializationStrategy.DeserializeMessage被调用，它接受输入的消息属性和消息正文。调用名为DeSerialize的方法并返回type类型的输…

近年来，二维码的使用呈激增之势。事实上，在2012年，97%的消费者还不知道二维码是何物。而到了2022年第一季度，美国以2880960次二维码扫描量领跑全球，这使得这些古怪的代码成为了吸引新型的复杂网络钓鱼活动的一条途径。 INKY最近发现了大量二维码钓鱼活动，不过在开始切入正文之前，先介绍一下二维码基础知识。如果你已经是这方面的专家，请直接跳过这部分。 二维码是怎么来的？ 二维码的演变过程非常有趣。首先问世的是条形码，它是在20世纪60年代日本经济蓬勃发展时开发出来的。在此之前，收银员不得不把每个产品的价格手动录入到收银机中。生意兴隆，腕管综合症随之普遍起来。后来业界找到了一种解决办法。条形码被光学传感器扫描后，可以迅速向电脑发送产品和价格信息。缺点是条形码只能容纳大约20个字母数字字符的信息。最终，市场需要更多的信息，日本公司Denso Wave Incorporated于是在1994年应势发布了首个二维码。 二维码最大的突破出现在2002年，当时发布了一项可以读取二维码的手机功能。如今，二维码被认为是一种必不可少的营销工具。遗憾的是，二维码对钓鱼者来说似乎同样不可或缺。 好吧，现在回到恶意二维码网络钓鱼这个正题。 快速响应还是快速检索？ 从技术上讲，QR代表快速响应，因为二维码能够在弹指之间提供信息。遗憾的是，网络犯罪分子同样可以快速检索员工凭据。 INKY最近截获了数百封二维码网络钓鱼邮件，虽然这些窃取凭据的邮件来自几个不同的黑客，但相似之处很明显，包括如下： 1. 使用基于图像的网络钓鱼策略。 2. 冒充微软。 3. 似乎来…

今年4月15日、7月8日，中国国家计算机病毒应急处理中心等机构连续发布了两次专题报告，揭露了美方利用所谓“伏特台风”虚假叙事行动计划对我国抹黑的真实意图。 10月14日，我国网络安全机构第三次发布专题报告，进一步公开美国政府机构和“五眼联盟”国家针对中国和德国等其他国家，以及全球互联网用户实施网络间谍窃听、窃密活动，并掌握了美国政府机构通过各种手段嫁祸他国的相关证据，另外还有他们采取“供应链”攻击，在互联网设备产品中植入后门等事实，彻底揭穿所谓“伏特台风”这场由美国联邦政府自导自演的政治闹剧。 美研发嫁祸他国隐身“工具包”代号“大理石” 报告显示，长期以来，美国在网络空间积极推行“防御前置”战略，并实施“前出狩猎”战术行动，也就是在对手国家周边地区部署网络战部队，对这些国家的网上目标进行抵近侦察和网络渗透。为适应这种战术需要，美国情报机构专门研发了掩盖自身恶意网络攻击行为、嫁祸他国的隐身“工具包”，代号“大理石”。 国家计算机病毒应急处理中心高级工程师杜振华介绍，“大理石”的主要功能是对这种网络武器，也就是像间谍软件或者恶意程序代码中的可识别特征进行混淆，甚至是擦除。就像是把开发者的指纹给擦除了，也相当于像把枪械武器的膛线改变了，所以导致从技术上对这种武器的溯源变得非常困难。 技术团队调查发现，根据“大理石”工具框架源代码及其注释显示，它被确定为一个机密级（且不可向国外透露）的武器研发计划，起始时间不晚于2015年。“大理石”工具框架可以使用超过100种混淆算法，它能将源代码文件中可读的变量名、字符串等替换为不可读（不可识别）内容，并且可…

新颖创新技术的兴起和迅速采用已极大地改变了各行各业的全球网络安全和合规格局，比如生成式人工智能、无代码应用程序、自动化和物联网等新技术。 网络犯罪分子正转而采用新的技术、工具和软件来发动攻击，并造成更大的破坏。因此，《2023年网络安全风险投资网络犯罪报告》预测，与网络犯罪相关的危害成本将迅速增加——预计到2024年底，全球损失将达到10.5万亿美元。该报告将数据泄露、资金被盗、知识产权盗窃、运营中断和攻击后恢复等方面的成本列为组织在这种趋势下面临的主要支出。 另一方面，谷歌的《2024年云网络安全预测》报告强调，未来一年，人工智能日益被用于扩大恶意活动的规模，政府撑腰的网络犯罪团伙、零日漏洞和现代网络钓鱼将是三种主要的攻击途径。 为了保持领先一步，IT和安全领导者应该致力于分层安全解决方案和零信任，以保护公司的数据远离勒索软件和网络钓鱼等主要的网络安全威胁。 1. 勒索软件 勒索软件指破坏关键业务系统和资产，企图对其进行加密并勒索赎金，在2024年将继续困扰所有行业的组织。新老网络犯罪团伙将利用勒索软件即服务，因此比以往任何时候更容易发动复杂的攻击。他们还将采用层出不穷的勒索手法，比如双重和三重勒索，通过威胁泄露数据向受害者施压。 2023年11月ALPHV/BlackCat勒索软件组织对MeridianLink的勒索软件攻击证明，勒索软件团伙还愿意利用法规做文章。在这次攻击中，BlackCat报告了自己的罪行，利用美国证券交易委员会（SEC）的新法规向MeridianLink施压。 医疗保健、政府和关键基础设施将尤其成为勒索软件的攻击…

一种新的JavaScript混淆方法利用不可见的Unicode字符来表示二进制值，在针对美国政治行动委员会（PAC）附属机构的网络钓鱼攻击中被积极滥用。 发现此次攻击的网络威胁实验室报告称，该攻击发生在2025年1月初，并带有复杂的迹象，例如使用了： ·针对受害者提供个性化的非公开信息； ·调试器断点和定时检查以逃避检测； ·递归包装邮戳跟踪链接到模糊的最终网络钓鱼目的地。 JavaScript开发人员在2024年10月首次披露了这种混淆技术，它在实际攻击中的迅速采用凸显了新研究被武器化的速度。 使JS有效负载“不可见” 新的混淆技术利用不可见的Unicode字符，特别是韩文半宽（U+FFA0）和韩文全宽（U+3164）。 JavaScript负载中的每个ASCII字符被转换为8位二进制表示，其中的二进制值（1和0）被不可见的韩文字符替换。 混淆后的代码作为属性存储在JavaScript对象中，由于韩文填充字符呈现为空白，因此脚本中的有效负载看起来为空，如下图末尾的空白所示。 隐藏恶意代码的空白 一个简短的引导脚本使用JavaScript代理的“get（）陷阱”检索隐藏的有效负载。当访问hidden属性时，Proxy将不可见的韩文填充字符转换回二进制并重建原始JavaScript代码。 Juniper分析师报告称，攻击者除了上述步骤之外，还使用了额外的隐藏步骤，比如用base64编码脚本，并使用反调试检查来逃避分析。 韩文填充字符序列的Base64编码 Juniper解释说：“攻击是高度个性化的，包括非公开信息，最初的JavaSc…

本周，ZeroSevenGroup（泄露被盗数据的威胁者）表示，他们入侵了美国一家分公司，窃取了 240GB 的文件，其中包含有关丰田员工和客户的信息，以及合同和财务信息。 他们还声称已经使用开源 ADRecon 工具收集了网络基础设施信息，包括凭证，该工具可帮助从 Active Directory 环境中提取大量信息。 威胁者在黑客论坛上称已拿到包括联系人、财务、客户、员工、计划、照片、数据库、网络基础设施、电子邮件等内容的大量数据。除此之外，威胁者还可提供带有密码的所有目标网络的 AD-Recon。 目前，丰田已证实其网络遭到入侵。 当被要求验证该威胁者的说法时，丰田称：该问题范围有限，不是系统范围内的问题。 随后该公司补充说，它“正在与受影响的人接触，并将在需要时提供帮助”，但尚未提供有关何时发现入侵、攻击者如何获得访问权限以及有多少人的数据在事件中被泄露的信息。 丰田数据泄露 虽然丰田尚未透露泄密事件的日期，但相关媒体发现这些文件已被盗，或者至少是在 2022 年 12 月 25 日创建的。这个日期可能表明威胁分子获得了存储数据的备份服务器的访问权限。 去年 12 月，丰田子公司丰田金融服务公司 (TFS) 就曾警告客户，他们的敏感个人和财务数据在一次数据泄露中被暴露，该数据泄露是由 11 月的 Medusa 勒索软件攻击造成的，该攻击影响了这家日本汽车制造商的欧洲和非洲分部。 今年 5 月份，丰田披露了另一起数据泄露事件，由于公司云环境中的数据库配置错误，215 万客户的车辆位置信息在 2013 年 11 月 6 日至 2…

作为我国工业和信息化领域的主管部门，工业和信息化部一直致力于推动数据安全的发展建设，维护国家信息安全。日前，工信部积极响应政策号召，组织开展2023年工业和信息化领域数据安全典型案例遴选工作，旨在通过本次遴选工作的开展，总结和推广行业内最佳实践，发挥优秀案例示范引领作用，进一步提升我国在数据安全领域的国家竞争力。 本次遴选工作面向工业领域、电信和互联网领域组织开展数据安全典型案例遴选，按照技术先进、特点突出的原则，挖掘行业广泛认可、企业应用效果良好的案例，树立行业标杆、扩大产业影响，促进数据安全产品、应用和服务的示范推广，全面推动数据安全能力建设和创新发展。坚持“以点带面、点面结合”原则，将案例划分为“工业领域”“电信和互联网领域”进行征集，每个领域遴选“四方向、十类型”数据安全典型案例。四个方向具体包括：数据安全基础共性方向、数据安全监测分析方向、数据安全体系整体设计实施方向以及其他方向。 以下为通知原文： 各省、自治区、直辖市、计划单列市及新疆生产建设兵团工业和信息化主管部门，各省、自治区、直辖市通信管理局，有关中央企业，部内相关司局： 为贯彻落实《中华人民共和国数据安全法》及《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》，充分发挥典型案例在数据安全产业发展中的示范引领作用，切实增强工业和信息化领域数据安全保障水平，现组织开展2023年工业和信息化领域数据安全典型案例遴选工作。有关事项通知如下： 一、工作目标 面向工业领域、电信和互联网领域组织开展数据安全典型案例遴选，按照技术先进、特点突出的原则，挖掘行业广泛认可、…

1.概述 2024年2月12日，美国网络安全公司SentinelOne在其官网上发布题为“China’s Cyber Revenge/Why the PRC Fails to Back Its Claims of Western Espionage”的报告[1]，（以下简称“SentinelOne报告”），对“中国三家知名网络安全企业360、奇安信、安天及中国网络安全产业联盟（CCIA）”等机构揭露美方情报机构网络攻击的相关报告进行解读。我们先直接概括其报告中的观点和关键逻辑。 SentinelOne报告对我们公开的分析报告基于时间线进行了梳理，并引述一些美方人士观点，设定了如下观点： 1、中方报告是对国际其他机构对美方分析的跟进，存在长期滞后； 2、中方分析工作严重依赖美方自身的信息泄露； 3、中方报告没有“PCAP包”级别的技术实证。 SentinelOne报告的逻辑并不是应答全球网络安全业界和研究者过去二十年来对美方情报机构攻击活动和能力的持续分析曝光，包括在美方多次信息泄露中所暴露出来的触目惊心的真相，而是试图把国际关注度转移到中国网络安全工作者的技术能力和水平是否能够支撑其持续独立发现、分析、研究、溯源美方的攻击上，并将实证的概念窄化为一种具体的技术格式。美西方此前长时间习惯性地从宏观层面夸大中国网络安全能力，以便为其情报机构和军工复合体争取巨额的网络安全预算，而此时，突然又在微观层面开启一波认为中国分析溯源能力很差的“嘲讽”流，并宣判：作为被霸凌者，你们反抗无效！ 对SentinelOne报告所提及的中国安全企业的分析报告，有…

TDDP 服务程序在 UDP 端口 1040 上监听时，处理数据时未能正确检查长度，这导致了内存溢出，破坏了内存结构，最终引发了服务中断。 本文深入分析了一个在 2020 年向 TP-Link 报告的安全漏洞。遗憾的是，至今没有 CVE 编号分配给这个漏洞，因此相关的详细信息并未公之于众。通常，阅读技术分析报告能够带来丰富的见解和学习机会。我坚信，公开分享研究方法和成果对整个行业以及广大的学习者、学生和专业人士都有着积极的意义。 在本文中，我将使用 Shambles 这个工具来识别、逆向分析、模拟并验证这个导致服务中断的缓冲区溢出问题。如果您对 Shambles 感兴趣，可以通过加入 Discord 服务器并查阅 FAQ 频道来了解更多信息。 首先，我们来介绍一下 TDDP 协议，这是一种在专利 CN102096654A 中详细描述的二进制协议。您需要了解的所有协议细节都在专利描述中。不过，我会在这里为您做一个简要的总结。 TDDP 是 TP-LINK 设备调试协议的缩写，它主要用于通过单个 UDP 数据包进行设备调试。这种协议对于逆向分析来说非常有趣，因为它是一个需要解析的二进制协议。TDDP 数据包的作用是传输包含特定消息类型的请求或命令。下图展示了一个 TDDP 数据包的结构。 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +…

新的研究表明，威胁分子可以灵活地快速迭代攻击模式，以绕过安全控制措施。 安全公司Proofpoint对最近一起针对美国一家智库的核安全专家的攻击进行了调查，揭示了资源丰富的攻击者如何迅速改变花招以攻击不同的机器。 在意识到最初的攻击载荷无法在Mac上奏效后，威胁分子迅速转而采用已知攻击使用苹果硬件的目标奏效的新技术。 在这起复杂的行动中，技术娴熟的威胁分子针对一个重要目标设计了一条看似无害的电子邮件链，并在数周内保持联络，以建立信任和融洽关系，然后趁机发动进一步的攻击。 攻击是如何发生的？ 2023年5月中旬的攻击来自TA453，这是一伙与伊朗政府有关联的威胁分子，被称为Charming Kitten（迷人小猫）、APT42、Mint Sandstorm和Yellow Garuda，他们冒充皇家联合军种研究所（RUSI）的成员。 这伙以从事间谍活动出名的攻击者利用多角色手法，向目标发送了一条电子邮件链，似乎要求收件人就一个名为“全球安全背景下的伊朗”项目给予反馈。 攻击者从不同的账户发送了多封邮件，所有邮件都相互引用参照，以营造一种真实感——这是在以前的电子邮件劫持活动中看到的一种技术。 在一次看似无害的交互之后，恶意的Google Script宏被投递，旨在将目标引到Dropbox URL。这个URL托管了一个由密码加密的.rar文件，该文件含有一个伪装成PDF但实际上是Windows LNK文件的释放器（dropper）。 自去年微软默认屏蔽VBA宏以来，使用LNK文件一直是网络攻击的标志。多年来，利用VBA宏一直是使用恶意制作的Mi…

安全研究人员查看 Parrot 流量引导系统 (TDS) 使用的 10,000 多个脚本后，发现逐渐优化的演变过程使恶意代码对安全机制更加隐蔽。 Parrot TDS 于 2022 年 4 月被网络安全公司发现，自 2019 年以来一直活跃。主要针对易受攻击的 WordPress 和 Joomla 网站，使用 JavaScript 代码将用户重定向到恶意位置。 研究人员分析，Parrot 已经感染了至少 16,500 个网站，是一次大规模的恶意操作。 Parrot 背后的运营商将流量出售给威胁组织，威胁组织将其用于访问受感染网站的用户，以进行分析并将相关目标重定向到恶意目的地，例如网络钓鱼页面或传播恶意软件的位置。 不断演变的恶意软件 Palo Alto Networks 的 Unit 42 团队最近发布的一份报告显示，Parrot TDS 仍然非常活跃，并且 JavaScript 注入更难以检测和删除。 Unit 42 分析了 2019 年 8 月至 2023 年 10 月期间收集的 10,000 个 Parrot 登陆脚本。研究人员发现了四个不同的版本，显示了混淆技术使用的进展。 Parrot 的登陆脚本有助于用户分析，并强制受害者的浏览器从攻击者的服务器获取有效负载脚本，从而执行重定向。 Parrot 攻击链 据研究人员称，Parrot TDS 活动中使用的脚本是通过代码中的特定关键字来识别的，包括“ ndsj ”、“ ndsw ”和“ ndsx ”。 Unit 42 注意到，所检查样本中大多数感染已转移到最新版本的…