蓝队取证审计网络安全

区块链攻击向量：区块链技术的主要漏洞（上） 区块链攻击向量 有数百种可能的区块链攻击针对应用程序的不同部分。让我们看一下关键向量和攻击示例： 点对点攻击 点对点（P2P）网络使区块链成为分布式账本。它包括合作处理交易、管理用户和管理区块链的所有网络参与者。 对于去中心化应用程序（dApp）和加密钱包，主要的网络要求是与可信的区块链节点提供商建立安全连接。此外，钱包和 dApp 之间需要安全连接，并且必须能够处理其他方的不当行为。 常见P2P攻击示例： Sybil攻击是通过向同一节点分配多个标识符来安排的。区块链网络没有可信节点，每个请求都会发送到多个随机节点。在女巫攻击期间，黑客控制多个网络节点。然后受害者就会被假节点包围，关闭他们的所有交易。最后，受害者容易受到双花攻击。 Eclipse 攻击需要黑客控制大量 IP 地址或拥有分布式僵尸网络。然后攻击者覆盖受害节点的tried表中的地址，并等待受害节点重新启动。重启后，受害节点的所有传出连接将被重定向到攻击者控制的IP地址。这使得受害者无法获得他们感兴趣的交易。 时间劫持利用了区块链时间戳处理中的理论上的漏洞。黑客改变节点的网络时间计数器并迫使节点接受替代区块链。当恶意用户将多个具有不准确时间戳的虚假对等点添加到网络时，就可以实现这一点。 Apriorit 针对保护 P2P 网络的建议： 使用 HTTPS 连接并验证 SSL 证书。这些措施允许网络节点建立安全连接并加密传输中的数据。这可以保护数据免遭盗窃和劫持。 验证资源真实性。创建执行恶意操作的流行资源的精确副本是一种常见的黑…

我们将在本文介绍解码用于加载cobalt strike shellcode的简单.hta加载器的过程，接下来用文本编辑器执行初始分析，并使用CyberChef提取嵌入的shellcode，将使用模拟器(SpeakEasy)验证shellcode，使用Ghidra执行一些基本分析。 哈希：2 c683d112d528b63dfaa7ee0140eebc4960fe4fad6292c9456f2fbb4d2364680。将zip文件下载到一个安全的虚拟机中，并在感染密码的情况下解压缩，将显示一个.hta文件。.hta文件本质上是一个带有嵌入式脚本的html文件，我们的目标是定位和分析嵌入的脚本。 由于.hta是一种基于文本的格式，我们可以直接在文本编辑器中打开该文件。 使用文本编辑器进行分析 在文本编辑器中打开该文件将显示一小段混淆的代码，后面跟着一个大的base64 blob。 出于分析目的，我们不需要解码初始部分，我们可以通过PowerShell命令的存在和分解的wscript.shell来判断这一点。它通常从javascript执行命令。 使用初始脚本只执行base64 blob的方法，我们可以直接解码base64。如果base64 blob不能解码，可以返回到初始片段进行分析。 解码Base64 可以继续突出显示整个base64 blob并将其复制到cyberchef，现在可以尝试解码它。 将base64内容复制到CyberChef中，可以看到字符之间带有空字节的明文，这通常表示utf-16编码，很容易通过“decode t…

研究人员发现一款基于Go的多平台恶意软件——NKAbuse，这是首个发现的滥用新网络技术（NKN）进行数据交换的恶意软件。 NKN NKN(新网络技术)是一种使用区块链技术管理资源和维护安全以及透明模型的去中心化点对点网络协议。NKN的作用之一是优化数据传输速率和网络延迟，具体步骤是通过计算高效的数据包传递路径来实现的。与Tor网络类似，个人用户可以通过运行节点加入NKN网络。目前，NKN网络有大约60710个节点，大量阶段的参与可以增强网络的鲁棒性、去中心化、以及处理大量数据的能力。 图 NKN的数据流动 NKAbuse恶意软件 NKAbuse是一款基于Go的多平台恶意软件，这是首个滥用新网络技术（NKN）进行数据交换的恶意软件，主要攻击位于墨西哥、哥伦比亚和越南的Linux主机。其中一个NKAbuse感染的案例利用了Apache Struts漏洞(CVE-2017-5638)来攻击金融机构。虽然大多数攻击的目标是Linux计算机，但恶意软件也可以入侵物联网设备，并支持MIPS、ARM和386架构。 DDoS攻击 NKAbuse录用NKN公链协议来实现大量的洪泛攻击，并在Linux系统中植入后门。具体来说，恶意软件客户端与僵尸主机通过NKN来发送和接收数据。C2发送的payload命令包括针对特定目标的HTTP、TCP、UDP、PING、ICMP、SSL洪泛攻击等。 图 DDoS攻击命令 所有这些payload之前也被用于僵尸网络，因此当与NKN相结合后，恶意软件就可以等待管理主机发起混合攻击。 RAT 除了DDoS能力外，NKA…

2023年11月，IPStorm基础设施被FBI拆除，同时对与IPStorm恶意软件有关的相关个人进行了定罪。这是当前打击网络威胁工作中的一个重要里程碑。 本文将对IPStorm恶意软件的变体和功能进行深入介绍。 2019年5月，来自anomaly的研究人员发现了一种新的针对Windows的Golang恶意软件，他们将其命名为IPStorm。IPStorm是一种僵尸网络，它滥用名为星际文件系统(IPFS)的合法点对点(p2p)网络作为掩盖恶意流量的手段。据发现，该恶意软件允许攻击者在受害者的Windows计算机上执行任意PowerShell命令。 研究人员最近确定了针对各种Linux架构(ARM, AMD64, Intel 80386)和平台(服务器，Android, IoT)的IPStorm新Linux变体并检测到一个macOS变体。在本文发布时，macOS变体和大多数Linux样本在VirusTotal中完全未被检测到。IPStorm是用Golang编写的，这使得Intezer能够检测到Linux样本和由anomaly首先报告的Windows恶意软件之间的跨平台代码连接。 linux变体比Windows变体有更多的功能，比如使用SSH暴力破解来传播给更多的受害者，以及滥用Steam游戏和广告平台的欺诈性网络活动。linux变体调整了一些功能，以解释该操作系统和Windows之间存在的根本差异。 接下来将介绍IPStorm Windows和Linux样本之间的代码关系图，分析其中一个Linux变体的行为，并将其功能和功能与旧的Wind…

漏洞概述 Easy Chat Server是一款基于Web的在线聊天服务器程序，运行系统为Windows，支持创建多个聊天室，多人在线聊天，该软件曾出现过多个漏洞。近日，安全研究人员发现该软件还存在基于栈溢出的漏洞，漏洞编号CVE-2023-4494。该漏洞源于使用HTTP GET对register.ghp文件进行访问时，未检查用户提交的username值的长度是否超过限制，从而使栈缓冲区溢出，覆盖其他内存空间，可导致任意代码执行。 影响范围 <=3.1 复现环境 操作系统：Win7 sp1，Kali linux 分析工具：IDA，Windbg，OLLYDBG，Burp Suite 漏洞复现 安装3.1版本的Easy Chat Server程序，安装完成后主程序路径为C:\EFS Software\Easy Chat Server\EasyChat.exe。当前服务器IP为192.168.220.128，启动主程序后，主界面如下图所示： 使用浏览器对主页进行访问，Web主界面如下图所示： 根据CVE官方公告，使用HTTP GET对register.ghp文件进行访问时，username字段可导致漏洞产生。所以使用浏览器访问http://192.168.220.128/register.ghp?username=test进行尝试，Web响应界面如下图所示： 可以看出，register.ghp可能是用户注册页面。同时反编译EasyChat.exe程序，发现还需要传递Password等字段。反编译如下图所示： 再次使用浏览器…

区块链不再是炒作；它是一种广泛且可靠的财务和数据管理技术。许多组织投资区块链，使用它们来存储和共享数据，并在其业务流程中实施它们。但区块链也吸引了网络犯罪分子的大量关注，他们的目标是敏感的企业数据和加密资产。 保护区块链网络免受黑客攻击需要不断审核和研究新的漏洞和潜在的攻击媒介。在本文中，我们概述了关键的区块链安全漏洞，探讨了常见的攻击媒介，并分享了我们关于减轻允许这些攻击的风险的知识。 本文对于正在考虑开发或采用基于区块链的应用程序并正在寻找检查和确保其安全性的方法的企业非常有用。 为什么黑客经常攻击区块链？ 随着区块链技术在处理数据和财务方面变得司空见惯，对基于区块链的应用程序和网络的成功攻击经常出现在新闻中。让我们看一下区块链受到攻击的关键原因： 信息处理不安全。许多企业使用区块链不是为了管理财务和代币，而是为了存储数据：健康相关信息、供应链记录、商业秘密，甚至投票详细信息。如果未加密或以其他方式保护，此类记录总是会吸引恶意行为者，因为它们可用于恶意活动：在暗网上出售数据、勒索组织、实施欺诈等。 大量且无法追踪的加密货币。加密货币和交易平台成为投资、资金处理和国际交易的常见工具，使其成为黑客攻击的目标。2022 年，黑客从加密相关服务中窃取了超过 38 亿美元。按照设计，区块链网络内的交易很难追踪到特定的人，这使得加密货币窃贼能够逍遥法外。 将黑客绳之以法的挑战。调查区块链攻击需要面临许多技术和法律挑战。区块链交易是匿名且加密的，这意味着调查人员需要大量时间才能将欺诈交易追溯到黑客。此外，攻击者及其受害者通常生活在不同的国家，并受…

我们可以通过使用CyberChef和Regex来克服大量基于文本的混淆，在混淆后，系统将识别一些“畸形”的shellcode，我们将在使用SpeakEasy模拟器进行模拟之前手动修复。 哈希：e8710133491bdf0b0d1a2e3d9a2dbbf0d58e0dbb0e0f7c65acef4f788128e1e4，示例链接请点此。 TLDR 1.识别功能和混淆类型； 2.清除基本混淆与正则表达式和文本编辑器； 3.使用Regex, CyberChef和Subsections去除高级混淆； 4.识别shellcode并修复负字节值(Python或CyberChef)； 5.使用Speakeasy验证和仿真。 初步分析 可以使用受感染的密码保存和解压缩脚本，这样我们可以使用文本编辑器(如notepad++)直接打开文件。 打开后，我们可以看到脚本引用了一些Excel对象以及Wscript.Shell，通常用于执行 .vbs 脚本。 在这个阶段，我们将跳转到使用Wscript来利用Excel执行代码的假设，避免分析Excel/Wscript组件，直接跳转到解码混乱的命令/代码。 我们可以假设代码的初始部分是利用Excel和Wscript来运行一个被混淆的vbs脚本。 混淆技术概述 从第30行开始，可以看到两种主要的混淆形式。 1.脚本被分解成许多小字符串，例如“hello world”将是“hello”＆“world” 2.该脚本使用Chr解码的十进制编码值。例如，“Hello World”可以是“Hell”＆ chr(111)＆“Wo…

“Rug Pull”是一种常见的加密骗局，往往发生于DeFi领域。DeFi，即“去中心化金融（Decentralized Finance）”，也被称为“开放式金融” ，是以比特币和以太币为代表的加密货币，区块链和智能合约结合的产物。DeFi有两大支柱，一是以比特币和以太币为代表的稳定币，二是实现交易、借贷和投资的智能合约。 Rug Pull骗局通常是指加密行业项目方突然放弃某一个项目或撤出流动性池子，卷走用户投资资金的诈骗行为，通俗的讲就是卷款跑路。 诈骗者在“Rug Pull”之前，会先创建一个加密项目，通过各种营销手段吸引加密用户投资，并在合适的时机突然卷走用户投资的资金，抛售加密资产，投资该项目的用户也将蒙受巨大损失。 Rug Pull事件回顾 FairWin (2019)：FairWin 是在以太坊区块链上运作的庞氏骗局，它承诺通过名为 FairWin 智能合约的去中心化应用程序（dApp）获得高回报。然而，该项目的开发商最终卷走了投资者的资金，造成估计数百万美元的损失。 PlusToken（2019）：PlusToken 是一种影响全球的加密货币庞氏骗局。它声称可以提供高收益的投资回报，并吸引了大量参与者。然而，在 2019 年中期，该计划的运营商消失了，带走了估计价值 20 亿美元的加密货币。 YAM Finance（2020）：YAM Finance 是一个建立在以太坊区块链上的 DeFi 项目。它旨在创建一个去中心化的稳定币和流动性挖矿平台。然而，启动后不久，就发现了一个编码缺陷，导致该项目无法持续。 YAM代币价值暴跌至…

开放式无线接入网 (ORAN or O-RAN) 是搭建一个开放、虚拟化和智能的无线接入网 (RAN) 体系结构，从而创造一个包含多家厂商、各家厂商的产品之间可以互操的生态系统。开放无线接入网(ORAN)体系结构为以前封闭的系统提供了标准化的接口和协议。然而，通过对ORAN的研究表明，恶意xApps构成的潜在威胁能够危及整个Ran智能控制器(RIC)子系统。Open RAN为5G无线接入网(RAN)引入了模块化和解耦的设计范式，并承诺通过O-RAN定义的RAN智能控制器(RIC, RAN Intelligent Controller)实现完全的可编程性。 开放式无线电接入网架构通过建立标准接口和协议提供了对先前封闭的无线电接入网系统的接入。预计不同的供应商将在O-RAN中创建eXtended应用程序（xApps），由运营商安装，这使得xApps成为恶意攻击者的潜在攻击向量，目的是在关键通信节点中站稳脚跟。 本文将会介绍恶意xApp如何危害整个RAN智能控制器（RIC）子系统。 5G网络 下图为5G蜂窝网络的总体架构。通过对分组核心的一些修改，拓扑结构也可以扩展以适应前几代网络（如3G和4G）。在下图的左侧是用户： 5G网络的端到端架构 基站（如图2所示）由以下组件组成： 1.发射和接收无线电信号的天线。 2.一种远程无线电头（RRH），它容纳射频（RF）收发器，负责将数字信号转换为无线电信号，反之亦然。 3.一种基带单元（BBU），用于处理数字数据处理，包括调制、编码和解码以及更高层协议。BBU可以管理多个RRH和天线。 典型RAN架…

概述 经监测，我们截获了一起与未知家族有关的欺诈性 Android 应用传播事件。详细调查发现，该家族主要使用开源的 Telegram Android 源代码作为其核心功能模板。通过各种策略，包括但不限于刷单、投资推广和色情聊天，该家族诱导用户下载并安装其应用，从而执行欺诈操作。进一步网络环境探测结果显示，存在多款与该家族高度相似的活跃应用，进一步证实了这些应用确实属于同一个欺诈家族。这个家族不仅具有高度的欺诈性和一致性，还拥有一个完整的业务供应链。基于上述特点，我们决定为这一欺诈家族命名为“BOOMSLANG（树蚺）”。 技术分析 从我们获取的家族样本中进行溯源分析后，发现该家族最早始于 2022 年 9 月进行传播。由于当时疫情等外部因素的影响，该家族在 2022 年 9 月至 2023 年 3 月期间处于欺诈传播的初级阶段。然而，随着社会状况逐渐恢复，该家族开始大规模传播，并推出了多个不同业务类型的版本。值得注意的是，为了适应反欺诈措施，该家族在 2023 年 7 月首次进行了变种，引入了“Domain Over HTTPS（DoH）”技术。随后，在 2023 年 9 月，家族样本再次发生变种，增加了对现有自动化 App 安全检测手段的抵抗能力，具体采用了 NPManager 自带的 StringFrog 混淆技术，以规避基于字符串提取的安全检测。 DoH（DNS over HTTPS）是一种安全协议，用于通过 HTTPS 加密的连接进行 DNS 解析请求和响应。其主要目的是增加隐私和安全性，防止 DNS 请求被窃听或篡改。 接…

Google Suite是Google在订阅基础上提供的一套云计算生产力和协作软件工具和软件，它包含Google广受欢迎的网上应用，包括Gmail、Google云端硬盘、Google环聊、Google日历和Google文档，现已更名为Google Workspace。研究人员用一种意想不到的方式访问了来自Google Cloud Platform (GCP)的Google Workspace域数据。 研究人员发现，具有必要权限的GCP标识可以为委托用户生成访问令牌，拥有被盗凭证的恶意内部人员或外部攻击者可以使用此访问令牌冒充Google Workspace用户，授予对其数据的未经委托访问或以其名义执行操作。 随着组织越来越依赖基于云的服务，如Google Workspace和Google Cloud Platform GCP，深入研究其安全功能和漏洞的复杂性变得至关重要。 全域委托滥用概述 模拟 下图所示的可能的攻击路径可能是恶意的内部人员利用他们的访问权限，例如，在GCP项目中具有编辑器权限的开发人员。他们可以通过滥用在GoogleWorkspace中被授予全域委托权限的服务帐户来做到这一点，内部人员有权在同一个GCP项目中为服务帐户生成访问令牌。 第二个攻击场景 启用了全域委托权限后，恶意的内部人员可以冒充Google Workspace域中的用户，并使用访问令牌对API请求进行身份验证。通过利用适当的作用域和API访问，内部人员可以访问和检索敏感的Google Workspace数据，这可能会危及存储在域内的电子邮件、文档和其他机…

区块链可以增强您解决方案的安全性吗？凭借去中心化、智能合约和代币化等功能，区块链可以提供强大的方法来保护您的数据并自动化网络安全工作。但区块链在网络安全中到底扮演着什么角色，它真的能为所有企业提供强有力的保护吗？ 在本文中，我们仔细研究了区块链网络安全的好处和挑战，并分析了区块链对不同解决方案的网络安全可能产生的影响。 使用区块链实现网络安全：好处和注意事项 区块链对于医疗保健、公共部门、物流、金融等领域的组织有着无穷无尽的应用。除了独特的功能之外，区块链还由于其去中心化和密码学等固有品质提供了更高级别的安全性。让我们看看这种保护软件的技术的主要优点。 安全的数据存储和处理——区块链记录是不可变的，记录在区块链上的任何更改都是透明的且无法修改。因此，存储在区块链上的数据比传统的数字或纸质记录得到更好的保护。 安全的数据传输——区块链可以实现涉及数据和财务的快速、安全的交易。智能合约是区块链技术不可或缺的一部分，它通过自动执行协议来提高安全性，减少人为错误和潜在漏洞的风险。 无单点故障——无需许可的区块链系统是去中心化的，因此比传统系统更具弹性。为了影响整个区块链的运行或安全，恶意行为者必须危害 51% 或更多的网络节点。这意味着即使在遭受DDoS攻击的情况下，由于账本的多个副本，系统也能正常运行。然而，私有区块链无法提供这种优势。 数据透明度和可追溯性——区块链通过数字签名和时间戳交易来提高网络安全性，并允许网络用户轻松追踪交易历史并在任何历史时刻查看账户。此功能还允许公司拥有有关其资产或产品分销的有效信息。 用户机密性——由于使用公…

漏洞链攻击是从以下诱饵开始: 分析时，研究人员观察到一个有趣的Microsoft Word文档(.docx文件)于2023年7月3日首次提交给VirusTotal，名为Overview_of_UWCs_UkraineInNATO_campaign.docx。 该活动被社区归因于Storm-0978(也被称为RomCom组织，因为他们使用了RomCom后门)。 恶意Word文档诱饵 此文档托管在以下URL： hxxps://www.ukrainianworldcongress[.]info/sites/default/files/document/forms/2023/Overview_of_UWCs_UkraineInNATO_campaign.docx上面的链接表明该文档很可能是通过电子邮件传播的，电子邮件文本包含指向.docx文件的链接。文件的创建日期和域名ukrainianworldcongress的注册日期都是2023年6月26日。这个时间点表明，这是一个基于电子邮件的活动，其中包含.docx文件的链接。 当该文件最初提交给VirusTotal时，62个杀毒软件中有27个将其识别为恶意文件。 CVE-2023-36584利用的技术分析 微软Office文档一直是攻击者传播恶意软件的常用攻击手段。为了应对这一威胁，微软实施了mow安全，限制Office文档中的各种功能来自不受信任的位置。 Windows将这些文件识别为高风险文件。带有mow标记的文件会生成一个SmartScreen提示，表明它有潜在的危险。当Word文档未标记…

ChatGPT等大语言模型（LLM）使用来自图书、网站及其他来源的海量文本数据进行训练，通常情况下，训练它们所用的数据是一个秘密。然而，最近的一项研究揭示：它们有时可以记住并反刍训练它们所用的特定数据片段。这个现象名为“记忆”。 随后，来自谷歌DeepMind、华盛顿大学、加州大学伯克利分校及其他机构的研究人员着手去研究这些模型（包括ChatGPT）可以记住多少数据以及记住哪种类型的数据。 这项研究的重点是“可提取的记忆”，即人们可以通过提出特定的问题或提示从模型中检索的记忆。他们想看看外部实体是否可以在事先不知道有什么数据的情况下提取模型学到的数据。 图1 研究团队在多种语言模型上进行了广泛深入的实验，包括知名的GPT-Neo、LLaMA和ChatGPT。他们生成了数十亿个token（即单词或字符），检查这些token是否与用来训练这些模型的数据相匹配。他们还开发了一种独特的方法来测试ChatGPT，让ChatGPT多次重复一个单词，直到它开始生成随机性内容。 令人惊讶的是这些模型不仅能记住大块的训练数据，还能在正确的提示下反刍这些数据。对于ChatGPT来说更是如此，它经过了特殊的对齐处理，以防止这种情况出现。 研究还强调需要对人工智能模型进行全面的测试。需要仔细审查的不仅仅是面向用户的对齐模型，基本的基础模型和整个系统（包括API交互）都需要严格的检查。这种注重整体的安全方法对于发现隐藏的漏洞至关重要。 研究团队在实验中成功地提取了各种类型的数据，从详细的投资研究报告到针对机器学习任务的特定Python代码，不一而足。这些例子表明…

5G开启了传统无线连接无法实现的前所未有的应用，帮助企业加速数字化转型、降低运营成本，并最大限度地提高生产力，以获得最佳投资回报。为了实现目标，5G依赖关键的服务类别：大规模机器类型通信（mMTC）、增强型移动宽带（eMBB）和超可靠低延迟通信（uRLLC）。 随着商用频谱不断增加，专用5G网络的使用率和普及率也随之提高。制造、国防、港口、能源、物流和采矿等行业只是这些专用网络的早期采用者之一，特别是对于那些迅速依赖物联网以实现生产系统和供应链数字化的公司。与公共电网不同，专用5G中的蜂窝基础设施设备可能归用户企业、系统集成商或运营商拥有和运营。然而，鉴于针对使用5G开发各种技术的研究和探索越来越多，网络犯罪分子也在考虑利用种种威胁和风险，企图通过这种新的通信标准，入侵用户和组织的系统和网络。本文探讨了普通用户设备如何在5G网络基础设施和用例中被滥用。 5G拓扑结构 在端到端5G蜂窝系统中，用户设备（又名UE，比如移动电话和物联网设备）通过无线电波连接到基站，基站则通过有线IP网络连接到5G核心。 从功能上来说，5G核心可以分为两个平面：控制平面和用户平面。在网络中，控制平面承载信号，并根据流量从一个端点到另一个端点的交换方式为流量传输提供方便。同时，用户平面负责连接和处理通过无线局域网（RAN）传输的用户数据。 基站发送与设备连接相关的控制信号，并通过NGAP（下一代应用协议）与控制平面建立连接。来自设备的用户流量使用GTP-U（GPRS隧道协议用户平面）发送到用户平面。数据流量从用户平面路由传输到外部网络。 图1. 基本的5G网络基…

10 月 12 日，微软宣布新一轮过渡计划，弃用 NTLM 身份认证方式，让更多企业和用户过渡到Kerberos。 Microsoft Access (Office套件的一部分)有一个“链接到远程SQL Server表”的功能。攻击者可能会滥用此功能，通过任意TCP端口(如端口80)自动将Windows用户的NTLM令牌泄露给攻击者控制的任何服务器。只要受害者打开.accdb或.mdb文件，就可以发起攻击。事实上，更常见的Office文件类型(如.rtf)都可以以类似方式运行。这种技术允许攻击者绕过现有的防火墙规则，这些规则旨在阻止由外部攻击发起的NTLM信息窃取。 什么是NTLM？针对它的常见攻击有哪些？ NTLM是NT LAN Manager的缩写，这也说明了协议的来源。NTLM是指 telnet 的一种验证身份方式，即问询/应答身份验证协议，是 Windows NT 早期版本的标准安全协议，是Microsoft在1993年引入的一种目前已被弃用的身份验证协议。微软在今年10月宣布，弃用 NTLM 身份认证方式，让更多企业和用户过渡使用 Kerberos， Kerberos 提供了更好的安全保证，并且比 NTLM 更具可扩展性，现在成为 Windows 中首选默认协议。 企业虽然可以关闭 NTLM 身份认证，但那些硬连线（hardwired）的应用程序和服务可能会遇到问题，为此微软引入了两个身份验证功能。 其一是 Initial and Pass Through Authentication Using Kerberos（IAKerb…

相关研究人员最近发现了一个异常活跃的攻击活动，研究人员称之为EleKtra-Leak，它会自动窃取GitHub公共存储库中泄漏的身份和访问管理(IAM)密钥。因此，与该活动相关的攻击者能够创建多个AWS弹性计算(EC2)实例，用于广泛和持久的加密劫持。 分析发现，攻击者能够在五分钟内识别并使用GitHub上首次泄漏的IAM密钥，这一发现证明了攻击者是如何利用云自动化技术来实现扩展加密劫持的目标。攻击者似乎使用自动化工具不断复制公共GitHub存储库，并扫描泄漏的亚马逊网络服务(AWS) IAM密钥。 分析过程 调查过程中，研究发现，攻击者可能会识别频繁出现的AWS账户id，以阻止这些账户id免受未来的攻击或自动化脚本的攻击。因此，研究人员设计了一种新颖的调查架构来动态创建和泄漏不可归因的AWS密钥。 多年来，攻击者越来越多地使用GitHub作为攻击的初始载体。GitHub的一个强大功能是它能够列出所有公共存储库，这使得开发人员和攻击者能够实时跟踪新的存储库。 考虑到这个功能，研究人员选择GitHub作为其窃取AWS密钥的实验平台，将明文泄露的密钥写入新创建的GitHub存储库中的文件中，该存储库是研究人员随机选择并从公共GitHub存储库列表中复制的。研究人员将AWS密钥泄露到复制存储库中随机创建的文件中，然后在成功提交后将其删除。 一旦将窃取的密钥提交到存储库，研究人员就会立即删除了它们。最初，IAM密钥使用Base64编码。然而，尽管像trufflehog这样的工具可以找到泄漏的Base64 IAM密钥，但事实上没有攻击者能找到密钥。…

失效的访问控制这个漏洞类别一直跻身OWASP Top Web应用程序安全风险列表，目前已对应用程序安全构成了严重的挑战。 访问控制漏洞让用户可以访问敏感数据，并使他们能够执行超出预期权限的操作，此类漏洞的后果可能导致数据泄露、篡改甚至销毁。 本文将讨论为什么即使在漏洞扫描和评估之后失效的访问控制漏洞仍然常常存在，以及手动渗透测试对于有效检测和缓解的重要性。 什么是访问控制？ 访问控制如同一种授权检查，确保对资源的访问和执行操作的能力授予了某些用户（如管理员），而不是其他用户（如普通用户）。这种检查主要在身份验证过程之后执行。 在Web应用程序安全中，访问控制与内容、功能的预期用途以及用户扮演的各种角色密切相关。比如说，这可能包括阻止低权限用户执行管理员功能、阻止用户访问另一用户的资源，或者基于上下文因素授予或拒绝对资源或功能的访问。 在处理包含大量用户角色和功能的大型复杂应用程序时，正确实施访问控制很快会变得困难重重。 什么是失效的访问控制？ 失效的访问控制顾名思义是访问控制没有按预期工作，这实际上与我们上面提到的恰好相反，后面附有一些详细的例子。 不安全的直接对象引用（IDOR） 以允许普通用户查看和编辑帐户信息的应用程序为例。每个帐户被分配了一个用户ID，编辑请求被发送后，应用程序根据请求中所含的ID确定要更新哪个帐户。在这种场景下，攻击者可以通过将用户ID改为受害者的ID来操纵旨在更新帐户的出站请求。 如果没有实施适当的访问控制，受害者的帐户将收到编辑——这是直接影响完整性的IDOR漏洞。假设攻击者更改了受害者的电子邮件地址，随后提…

高质量图像对于包括安全和车载摄像系统在内的各种解决方案以及开发和训练用于图像处理任务的机器学习算法至关重要。 然而，物理相机传感器经常会导致照片失真。这些扭曲会显着降低图像质量，甚至使您的解决方案无法处理图像。 在本文中，我们将探讨什么是图像失真以及消除它们的重要性。我们还展示了如何使用 OpenCV 修复图像失真。本文对于致力于具有图像处理功能的 IT 解决方案、想要了解有关修复图像失真的更多信息的企业和开发团队将有所帮助。 什么是图像失真？它们如何影响您的解决方案的性能？ 图像失真通常是图形图像与其现实原型的不成比例、不充分的偏差。例如，现实生活中的直线或平行线可能会出现变形或不自然的弯曲。另一个例子是与照明相关的扭曲，例如当颜色朝图像边界变暗时，类似于渐晕。 并非所有的扭曲都是不利的。例如，您可能希望在使用广角镜头拍摄的图像中保留特定的畸变，以突出显示前景和背景之间的距离。 然而，通常情况下，您需要相机来拍摄精确的图像。对于某些技术来说，获得零失真的图像至关重要。 确保图像无失真对于开发机器学习(ML) 解决方案和训练人工智能(AI) 网络执行图像处理任务极其重要。 训练数据集必须一致（相似的示例必须具有相似的标记）且统一（所有属性的值必须在所有数据中具有可比性）。质量差的数据集会降低人工智能算法训练过程的效率。 在某些情况下，可以故意将扭曲的图像放置在数据集中。例如，您可能想要训练算法来处理由具有不同失真的不同相机拍摄的图像。然而，如果来自不同相机的图像在扭曲的形式和程度方面存在显着差异，那么将此类图像包含在一个数据集中将破坏一…

一些流行的即时通讯服务经常会缺乏某些自定义功能，为了解决这个问题，第三方开发者会开发出一些mod（修改或增强程序），来提供一些受欢迎的功能。但其中一些mod在提供增强功能的同时也会加入一些恶意软件。去年，卡巴斯基实验室的研究人员在WhatsApp的一个mod中发现了Triada木马。最近，他们又发现了一个嵌入间谍mod的Telegram mod，可通过Google Play传播。 WhatsApp现在的情况与此相同：研究人员发现几个之前无害的mod包含一个间谍mod，他们将该mod检测为Trojan-Spy.AndroidOS.CanesSpy。 间谍mod是如何运行的？ 研究人员将通过80d7f95b7231cc857b331a993184499d示例来说明间谍mod的工作过程。 木马化的客户端清单包含在原始WhatsApp客户端中找不到的可疑组件(服务和广播接收器)。广播接收器侦听来自系统和其他应用程序的广播，例如手机开始充电，收到的文本消息或下载程序完成下载；当接收方收到这样的消息时，它调用事件处理程序。在WhatsApp间谍mod中，当手机开机或开始充电时，接收方会运行一项服务，启动间谍mod。 可疑的应用组件 该服务查看恶意软件代码中的Application_DM常量，以选择受攻击设备将继续联系的命令与控制(C&C)服务器。 选择命令和控制服务器 当恶意植入启动时，它会沿着路径/api/v1/AllRequest向攻击运营商的服务器发送包含设备信息的POST请求。这些信息包括IMEI、电话号码、移动国家代码、移动网络…

最近发现的网络钓鱼活动，涉及攻击者发送包含DRACOON.team链接的社交工程电子邮件。DRACOON.team是一个以安全数据存储、管理和文件共享功能而闻名的文件共享解决方案。当受害者被诱骗访问电子邮件中的链接时，他们会收到一份托管在DRACOON上的PDF文档。该文档包含一个辅助链接，将受害者引导到攻击者控制的服务器，该服务器模拟了Microsoft 365登录门户，并充当反向代理窃取受害者的登录信息和会话cookie。 这些被盗的凭据和cookie可以用来绕过多因素身份验证（MFA），攻击者控制的反向代理充当介于目标和合法身份验证终端(如Microsoft 365登录页面)之间的中间服务器。当受害者与虚假登录页面交互时，反向代理显示真正的登录表单，管理传入请求，并传递来自合法Microsoft 365登录页面的响应。 当用户在页面上输入受害者凭据后，可以立即观察到使用Microsoft 365的登录活动。该活动包括自动访问受害者的邮箱，并进一步传播初始网络钓鱼邮件，这些电子邮件包含用于欺骗受害者的相同链接，并发送到存储在其地址簿中的联系人。 反向代理功能被认为与EvilProxy网络钓鱼套件有关。但是，这里讨论的最近的活动不使用重定向。相反，它使用中间链接到包含到攻击者控制的基础设施链接的文件。这种新方法可以绕过电子邮件安全缓解措施，因为初始链接似乎来自合法来源，并且没有文件被传递到受害者的终端，因为包含该链接的托管文档可以通过浏览器中的文件共享服务器与之交互。 凭证获取事件链 针对这些事件，有关安全团队已经扫描并删除了其服务托…

我们发现利用Apache ActiveMQ漏洞CVE-2023-46604下载并攻击Linux系统的Kinsing恶意软件(也称为h2miner)和加密货币矿工被利用时，此漏洞会导致远程代码执行(RCE)， Kinsing使用它来下载和安装恶意软件。 该漏洞本身是由于OpenWire命令未能验证未经检测类类型而导致RCE。 ActiveMQ(用Java编写)是一个由Apache开发的开源协议，它实现了面向消息的中间件(MOM)。它的主要功能是在不同的应用程序之间发送消息，还包括STOMP、Jakarta Messaging (JMS)和OpenWire等附加特性。 Kinsing恶意软件是一种主要针对基于linux的系统的严重威胁，可以渗透服务器并在网络中迅速传播。它通过利用web应用程序或配置错误的容器环境中的漏洞进入。 最近，Kinsing背后的攻击组织一直在利用CVE-2023-4911 (Looney Tunables)漏洞。一旦Kinsing攻击了一个系统，它就会部署一个加密货币挖掘脚本，利用主机的资源来挖掘比特币等加密货币，从而对基础设施造成严重破坏，并对系统性能产生负面影响。 受影响的ActiveMQ版本 以下是受CVE-2023-46604漏洞影响的Apache ActiveMQ版本： Apache ActiveMQ 5.18.0 5.18.3之前的版本； Apache ActiveMQ 5.17.0 5.17.6之前的版本； Apache ActiveMQ 5.16.0 5.16.7之前的版本； 5.15.16之前的Ap…

Gamaredon又被称为Primitive Bear、ACTINIUM和Shuckworm，它的大规模活动通常伴随着针对特定目标的数据收集工作，这些目标的选择一般是出于间谍目的。这些活动与部署各种机制和工具并行，机制和工具又尽可能多地保持对这些目标的访问。其中一种工具是USB传播蠕虫，我们将其命名为LitterDrifter。 LitterDrifter蠕虫是用VBS编写的，有两个主要功能:在USB驱动器上自动传播，以及与广泛、灵活的命令和控制服务器进行通信。这些特性以与组织目标一致的方式实现，在广泛目标上维护持久的命令和控制(C2)通道。 接下来，我们将深入分析Gamaredon的LitterDrifter恶意软件及其C2基础设施。 Gamaredon的攻击目标包括乌克兰、美国、越南、智利、波兰和德国等多个国家。 LitterDrifter提交的病毒总数 该组织最近开始部署LitterDrifter，旨在通过可移动USB驱动器传播并保护C2通道。 LitterDrifter概述 LitterDrifter是一种自我传播的蠕虫，具有两个主要功能：在驱动器上传播，并建立通往Gamaredon广泛指挥和控制基础设施的C2通道。这两个功能驻留在一个以“trash.dll”形式保存到磁盘的业务流程组件中，尽管它有文件扩展名，但它实际上就是一个VBS。 LitterDrifter高级执行流程 dll作为初始的编排组件，其中运行的主要功能是解码和执行其他模块，并在受害者环境中保持初始持久性。 成功执行后，它将运行提取的两个模块： 1. 散布器（…

近年来，攻击者变得越来越专业，他们钻研技能，以求犯更少的关键错误，并创建了各种即插即用业务，帮助低技能的攻击者发起诈骗和攻击。 目前存在不同类型的攻击服务，包括恶意软件即服务，攻击者开发并向其他攻击者出售恶意软件服务，该服务还包括在被攻击的主机上创建和传播勒索软件等恶意软件类型。同时，其他服务需要使用多个社交媒体帐户才能成功进行，例如虚假信息、垃圾邮件和恶意软件传播。 事实上，攻击者在社交媒体平台上使用数千个账户发送数千条垃圾邮件并不罕见。但是他们是如何做到自动化的呢？ 最近，Kopeechka服务出现，促进了依赖大规模社交媒体垃圾邮件的攻击活动。在俄语中，“kopeechka”的意思是“便士”。 该服务自2019年初以来一直活跃，为流行的社交媒体平台提供简单的账户注册服务，包括Instagram、Telegram、Facebook和X(以前的Twitter)。我们还注意到，针对未成年人的聊天网站可以通过Kopeechka进行注册。 本文介绍了Kopeechka服务，并对该服务的特性和功能进行了详细的技术分析，以及它如何帮助攻击者实现其目标。 社交媒体平台如何确保账户创建过程的安全 大多数社交媒体平台都采取了积极措施来加强账户创建的安全性。由于许多攻击者在社交媒体平台上创建账户用于非法活动，社交媒体公司为了将攻击者在其平台上的风险降至最低，故选择从账户创建过程开始。 有不同的安全措施来保护平台，防止欺诈账户的创建，例如： 1.电子邮件地址验证。注册时，用户需要证明所提供的电子邮件地址是否存在，这通常是通过代码确认完成的，其中用户通过电子…

苹果USB低级过滤器，可帮助控制操作系统使用USB配置（上） PTP还是MTP？ 本文中，我们将重点讨论为什么iphone没有像我们期望的使用MTP协议的设备那样提供一整套存储操作，还将研究USB接口类/子类和WPD_DEVICE_PROTOCOL属性之间不匹配的原因。为了回答这些问题，我们将了解如何创建WPD设备、如何“挂载”存储以及如何设置WPD属性。 首先对比一下使用PTP连接的Android设备和iPhone之间WPD设备协议属性的差异： 考虑到iPhone中的WPD协议属性，我们期望有一组更丰富的选项来与设备交互，可以通过查看设备的接口描述符来快速回答为什么iPhone表现为PTP设备。 iPhone和小米在PTP和MTP模式下的描述如下：iPhone有多种配置，但无论选择哪一种，创建WPD的接口PDO总是包含类6和子类1的接口。 尽管已经回答了最大的问题，但仍然有一些细节，比如为什么iPhone不允许创建或复制任何东西到它，而另一方面，小米即使使用PTP也允许创建对象，所以对于喜欢深入了解事物的人来说，仅仅浏览界面描述是不够的。 由于此描述符将生成CompatibleId USB\Class_06&SubClass_01&Prot_01，因此寻找与此ID匹配的INF，我们找到wpdmtp.inf。在此INF中，可以获得WPD设备的UMDF部分的以下组件： WpdMtp.dll:MTP核心协议组件； WpdMtpUS.dll：Usbscan MTP驱动程序的传输层； WpdMtpDr.dll：Windows便…