蓝队取证审计网络安全

一项新的恶意软件活动正在向全球传播一种之前未曾记录的后门“Voldemort”，主要冒充美国、欧洲和亚洲的税务机构。根据 Proofpoint 的报告，该活动于 2024 年 8 月 5 日开始，已向 70 多个目标组织传播了 20,000 多封电子邮件，在其活动高峰期一天内就达到了 6,000 封。 超过一半的目标组织属于保险、航空航天、交通运输和教育行业。此次攻击活动的幕后威胁者尚不清楚，但 Proofpoint 认为最有可能的目的是进行网络间谍活动。 此次攻击与 Proofpoint 在本月初描述的攻击类似，但最后阶段涉及了不同的恶意软件。 冒充税务机关 Proofpoint 的最新报告称，攻击者正在根据公开信息制作网络钓鱼电子邮件以匹配目标组织的位置。 网络钓鱼电子邮件冒充该组织所在国家的税务机关，声称有更新的税务信息并包含相关文件的链接。 攻击活动中使用的恶意电子邮件样本 点击该链接会将收件人带到托管在 InfinityFree 上的登录页面，该页面使用 Google AMP Cache URL 将受害者重定向到带有“单击查看文档”按钮的页面。 单击按钮后，页面将检查浏览器的用户代理，如果适用于 Windows，则将目标重定向到指向 TryCloudflare 隧道 URI 的 search-ms URI（Windows 搜索协议）。非 Windows 用户将被重定向到一个空的 Google Drive URL，该 URL 不提供任何恶意内容。 如果受害者与 search-ms 文件交互，Windows 资源管理器就会被触发…

探索Cobalt Strike shellcode是由编译后的可执行.exe文件加载情况，这将需要使用调试器(x64dbg)和静态分析(Ghidra)来执行完整的分析。 可执行文件是编译后的exe，包含隐藏和混淆的Shellcode，使用一个简单的异或例程和一个4字节的项对shellcode进行解码，然后将其写入一个用VirtualAlloc创建的简单缓冲区。 本文将探索使用调试器获得解码的shellcode的方法，然后寻找使用Ghidra手动定位shellcode和相关解密密钥的方法，还将研究在X64dbg和Ghidra之间切换的方法，以及使用ChatGPT识别和分析Ghidra输出的方法。 获取样本 点此下载样本(pw:infected)。 SHA256: 99986d438ec146bbb8b5faa63ce47264750a8fdf508a4d4250a8e1e3d58377fd 分析 我们可以先把文件保存到一台分析机上然后用感染的密码解压缩。从这里我们还可以创建一个文件名较短的副本。 由于该文件是已编译的可执行文件，我们可以尝试使用调试器对其进行分析。在本文中为x64dbg。 我们可以继续使用x64dbg打开文件，一直点击直到到达入口点。 现在，我们可以继续在API上创建一些断点，这些断点通常(但并不总是)在恶意软件解包时使用。 我们可以通过运行bp VirtualAlloc和bp VirtualProtect来创建2个断点。 创建断点后，我们可以继续并允许恶意软件继续(F9)。恶意软件将继续运行并触发VirtualAl…

5G开启了传统无线连接无法实现的前所未有的应用，帮助企业加速数字化转型、降低运营成本，并最大限度地提高生产力，以获得最佳投资回报。为了实现目标，5G依赖关键的服务类别：大规模机器类型通信（mMTC）、增强型移动宽带（eMBB）和超可靠低延迟通信（uRLLC）。 随着商用频谱不断增加，专用5G网络的使用率和普及率也随之提高。制造、国防、港口、能源、物流和采矿等行业只是这些专用网络的早期采用者之一，特别是对于那些迅速依赖物联网以实现生产系统和供应链数字化的公司。与公共电网不同，专用5G中的蜂窝基础设施设备可能归用户企业、系统集成商或运营商拥有和运营。然而，鉴于针对使用5G开发各种技术的研究和探索越来越多，网络犯罪分子也在考虑利用种种威胁和风险，企图通过这种新的通信标准，入侵用户和组织的系统和网络。本文探讨了普通用户设备如何在5G网络基础设施和用例中被滥用。 5G拓扑结构 在端到端5G蜂窝系统中，用户设备（又名UE，比如移动电话和物联网设备）通过无线电波连接到基站，基站则通过有线IP网络连接到5G核心。 从功能上来说，5G核心可以分为两个平面：控制平面和用户平面。在网络中，控制平面承载信号，并根据流量从一个端点到另一个端点的交换方式为流量传输提供方便。同时，用户平面负责连接和处理通过无线局域网（RAN）传输的用户数据。 基站发送与设备连接相关的控制信号，并通过NGAP（下一代应用协议）与控制平面建立连接。来自设备的用户流量使用GTP-U（GPRS隧道协议用户平面）发送到用户平面。数据流量从用户平面路由传输到外部网络。 图1. 基本的5G网络基…

随着加密货币的普及和应用范围的扩大，热钱包（Hot Wallet）是一种连接互联网的钱包，可以方便快捷地进行交易。最常见的热钱包是交易所内部的钱包，当用户在交易所开通账户时，会自动获得一个钱包地址。此外，还有一些第三方热钱包，如MetaMask和Trust Wallet等，可作为浏览器插件或移动应用程序使用。热钱包的优点是操作简单、方便快捷，适合频繁交易和使用去中心化应用（dApp）。冷钱包（Cold Wallet）是一种离线存储私钥的钱包，用于储存长期持有、不经常交易的加密资产。冷钱包可以分为硬件钱包和纸钱包两种形式。硬件钱包是一种物理设备，如Ledger、Trezor和Coolwallet等，通过与电脑或移动设备连接来进行交互。纸钱包是将私钥和地址以纸质形式打印或手写保存。冷钱包的优点是安全性极高，由于私钥离线存储，攻击者攻击的风险大大降低。无论你是交易频繁还是长期持有加密资产，合理选择热钱包和冷钱包都能提供更好的资产管理和安全保护。但随着加密货币在全球的受欢迎程度越来越高，存储它们的新方式越多，试图盗取数字货币的攻击者使用的工具库就越广泛。攻击者根据目标使用的钱包技术的复杂性来调整其攻击策略，比如通过钓鱼攻击模仿合法网站的来攻击目标，如果成功，他们可以窃取其中全部的金额。热钱包和冷钱包采用了两种截然不同的电子邮件攻击方法，热钱包和冷钱包这两种方法是最流行的加密货币存储方式。 盗取热钱包的方法简单而粗暴 热钱包是一种可以永久访问互联网的加密货币钱包，是一种在线服务，从加密货币交易所到专门的应用程序都要用到。热钱包是一种非常流行的加密存…

安全研究人员发现了一个专为移动运营商网络设计的新的 Linux 后门，名为 GTPDOOR。GTPDOOR 背后的威胁分子以 GPRS 漫游交换 (GRX) 附近的系统为目标，例如 SGSN、GGSN 和 P-GW，这些系统可以为攻击者提供对电信核心网络的直接访问。 GRX 是移动电信的一个组件，可促进跨不同地理区域和网络的数据漫游服务。服务 GPRS 支持节点 (SGSN)、网关 GPRS 支持节点 (GGSN) 和 P-GW（分组数据网络网关（用于 4G LTE））是移动运营商网络基础设施内的组件，每个组件在移动通信中发挥不同的作用。 由于SGSN、GGSN和P-GW网络更多地暴露在公众面前，IP地址范围列在公开文件中，研究人员认为它们可能是获得移动运营商网络初始访问权限的目标。 安全研究人员解释说 ，GTPDOOR 很可能是属于“LightBasin”威胁组织 (UNC1945) 的工具，该组织因专注于全球多家电信公司的情报收集而臭名昭著。 研究人员发现了 2023 年底上传到 VirusTotal 的两个版本的后门，这两个版本基本上都没有被防病毒引擎检测到。这些二进制文件针对的是非常旧的 Red Hat Linux 版本，表明目标已经过时。 隐秘的 GTPDOOR 操作 GTPDOOR 是一种专为电信网络量身定制的复杂后门恶意软件，利用 GPRS 隧道协议控制平面 (GTP-C) 进行隐蔽命令和控制 (C2) 通信。它用于部署在与 GRX 相邻的基于 Linux 的系统中，负责路由和转发漫游相关的信令和用户平面流量。 使用 G…

安全研究人员查看 Parrot 流量引导系统 (TDS) 使用的 10,000 多个脚本后，发现逐渐优化的演变过程使恶意代码对安全机制更加隐蔽。 Parrot TDS 于 2022 年 4 月被网络安全公司发现，自 2019 年以来一直活跃。主要针对易受攻击的 WordPress 和 Joomla 网站，使用 JavaScript 代码将用户重定向到恶意位置。 研究人员分析，Parrot 已经感染了至少 16,500 个网站，是一次大规模的恶意操作。 Parrot 背后的运营商将流量出售给威胁组织，威胁组织将其用于访问受感染网站的用户，以进行分析并将相关目标重定向到恶意目的地，例如网络钓鱼页面或传播恶意软件的位置。 不断演变的恶意软件 Palo Alto Networks 的 Unit 42 团队最近发布的一份报告显示，Parrot TDS 仍然非常活跃，并且 JavaScript 注入更难以检测和删除。 Unit 42 分析了 2019 年 8 月至 2023 年 10 月期间收集的 10,000 个 Parrot 登陆脚本。研究人员发现了四个不同的版本，显示了混淆技术使用的进展。 Parrot 的登陆脚本有助于用户分析，并强制受害者的浏览器从攻击者的服务器获取有效负载脚本，从而执行重定向。 Parrot 攻击链 据研究人员称，Parrot TDS 活动中使用的脚本是通过代码中的特定关键字来识别的，包括“ ndsj ”、“ ndsw ”和“ ndsx ”。 Unit 42 注意到，所检查样本中大多数感染已转移到最新版本的…

1 概述 RansomHub勒索攻击组织被发现于2024年2月，自出现以来持续活跃，采用勒索软件即服务（RaaS）模式运营，通过“窃取文件+加密数据”双重勒索策略对受害者实施侵害。目前，尚未发现能够成功解密其加密数据的有效工具。该组织利用特定方式公开受害者的敏感信息，并以此为要挟，迫使受害者支付赎金或满足其他非法要求，以避免其数据被进一步泄露或出售。截至2024年9月12日，该组织所使用的信息发布站点共有227名受害者信息，实际受害者数量会更多，因为攻击者出于某些原因可能选择不公开或删除信息，例如在与受害者进行协商谈判并达成一致后，或者受害者支付了赎金以换取信息的删除。 RansomHub勒索攻击组织使用的攻击技战术与Knight勒索攻击组织有着显著的相似之处。此外，它与曾经在勒索攻击领域活跃但现已退出的BlackCat（又名ALPHV）组织似乎存在某种联系。在最近发现的攻击事件中，RansomHub组织表现出了利用高级持续性威胁（Advanced Persistent Threat,APT）组织常用的技战术来执行勒索攻击的能力。因此，RansomHub组织的背景错综复杂，究竟是“集万恶于一身”还是“另立山头”，目前尚未明确，这些推测指向了一个复杂的网络犯罪生态系统，其中攻击者之间的界限可能远比表面看起来的要模糊。 2 组织背景 2024年2月，暗网监控云服务商ParanoidLab发现名为“koley”的用户在黑客论坛发布关于RansomHub勒索攻击组织RaaS的相关计划[1]，用于招揽附属成员，包括勒索赎金分赃比例、加密工具特性和…

1 事件概述 当地时间2024年9月17日下午，黎巴嫩首都贝鲁特以及黎巴嫩东南部和东北部多地发生大量寻呼机（BP机）爆炸事件。黎巴嫩真主党第一时间在其Telegram频道上发布消息称，爆炸发生在当地时间下午3时30分左右，影响了真主党各机构的“工作人员”，有“大量”人受伤。截至18日16时，以色列时报援引黎巴嫩公共卫生部门数据称，爆炸造成11人死亡，约4000人受伤，其中约500人双目失明。 基于本事件最初被多方报道为网络攻击触发的事件，为梳理实际情况，安天组成了由安天CERT、战略情报中心、无线安全技术研发组的混合分析团队进行如下分析。经综合研判，我们初步分析认为这是一起基于供应链（含配送物流）侧，将爆炸物和通讯设备相结合，利用远程信号激活控制电路，实现批量触发爆炸的严重事件。整体研判分析过程如下： 2 事件影响范围 根据媒体和网络信息，爆炸主要发生在黎巴嫩真主党势力强大的地区，特别是贝鲁特南部郊区和贝卡地区，导致此次爆炸事件发生的原因是使用特定品牌型号的寻呼机，根据目前采集信息来看包括了Gold Apollo Pager AP-900 GP和AR-924等型号，上述型号为中国台湾地区金阿波罗公司品牌的寻呼机。但也有未充分验证的消息说爆炸寻呼机也包括Motorola LX2、Teletrim等品牌。此次发生爆炸的通讯设备是在手机普及时代已被绝大多数人所弃用的寻呼机。但由于寻呼机有作为纯信号接受设备，不发射信号，难以被定位的优势。因此在地缘安全形势复杂的黎巴嫩，被黎巴嫩真主党成员以及黎政府重要岗位人员大量使用。网络信源称，真主党向金阿波罗…

作为我国工业和信息化领域的主管部门，工业和信息化部一直致力于推动数据安全的发展建设，维护国家信息安全。日前，工信部积极响应政策号召，组织开展2023年工业和信息化领域数据安全典型案例遴选工作，旨在通过本次遴选工作的开展，总结和推广行业内最佳实践，发挥优秀案例示范引领作用，进一步提升我国在数据安全领域的国家竞争力。 本次遴选工作面向工业领域、电信和互联网领域组织开展数据安全典型案例遴选，按照技术先进、特点突出的原则，挖掘行业广泛认可、企业应用效果良好的案例，树立行业标杆、扩大产业影响，促进数据安全产品、应用和服务的示范推广，全面推动数据安全能力建设和创新发展。坚持“以点带面、点面结合”原则，将案例划分为“工业领域”“电信和互联网领域”进行征集，每个领域遴选“四方向、十类型”数据安全典型案例。四个方向具体包括：数据安全基础共性方向、数据安全监测分析方向、数据安全体系整体设计实施方向以及其他方向。 以下为通知原文： 各省、自治区、直辖市、计划单列市及新疆生产建设兵团工业和信息化主管部门，各省、自治区、直辖市通信管理局，有关中央企业，部内相关司局： 为贯彻落实《中华人民共和国数据安全法》及《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》，充分发挥典型案例在数据安全产业发展中的示范引领作用，切实增强工业和信息化领域数据安全保障水平，现组织开展2023年工业和信息化领域数据安全典型案例遴选工作。有关事项通知如下： 一、工作目标 面向工业领域、电信和互联网领域组织开展数据安全典型案例遴选，按照技术先进、特点突出的原则，挖掘行业广泛认可、…

二进制代码利用是发现和利用计算机程序中的漏洞以修改或干扰其预期行为的一种方法。这些漏洞可能导致身份验证绕过和信息泄漏，或者还可能导致远程代码执行情形。很大一部分二进制代码利用发生在堆栈（stack）上，有时候发生在堆（heap）上，甚至发生在内核空间上。堆栈是存储由函数创建的临时变量的内存区域。相比之下，堆则是可以动态分配的内存区域。 下面介绍的所有技术都依赖用户输入和程序的潜在崩溃或分段错误——缓冲区溢出。当进程试图用超出预期的过多数据填充一块内存区域时，就会出现这种损坏。有鉴于此，就有可能覆盖内存，并控制下一个指令点/函数。 接下来，我们将描述堆栈利用过程中一些最常用的技术。 ret2win 我们可以将ret2win技术理解为对二进制代码中存在的特定调用«win() function»的简单重定向。实现这一目标的主要步骤如下： • 找到目标函数/调用，以重定向执行流«win() function»。 • 通过覆盖堆栈上的返回地址（比如EIP）来调用它。 下一段代码介绍如何找到这类漏洞。在添加填充和对齐载荷之后，必须添加目标调用«win() function - 0x080491c3»的偏移量，最后执行它。本文使用了用于二进制利用的CTF框架Pwntools（https://github.com/Gallopsled/pwntools），为学习过程提供便利。 from pwn import * p = process('./vuln_program') payload = b'A' * 52 …

新的研究表明，威胁分子可以灵活地快速迭代攻击模式，以绕过安全控制措施。 安全公司Proofpoint对最近一起针对美国一家智库的核安全专家的攻击进行了调查，揭示了资源丰富的攻击者如何迅速改变花招以攻击不同的机器。 在意识到最初的攻击载荷无法在Mac上奏效后，威胁分子迅速转而采用已知攻击使用苹果硬件的目标奏效的新技术。 在这起复杂的行动中，技术娴熟的威胁分子针对一个重要目标设计了一条看似无害的电子邮件链，并在数周内保持联络，以建立信任和融洽关系，然后趁机发动进一步的攻击。 攻击是如何发生的？ 2023年5月中旬的攻击来自TA453，这是一伙与伊朗政府有关联的威胁分子，被称为Charming Kitten（迷人小猫）、APT42、Mint Sandstorm和Yellow Garuda，他们冒充皇家联合军种研究所（RUSI）的成员。 这伙以从事间谍活动出名的攻击者利用多角色手法，向目标发送了一条电子邮件链，似乎要求收件人就一个名为“全球安全背景下的伊朗”项目给予反馈。 攻击者从不同的账户发送了多封邮件，所有邮件都相互引用参照，以营造一种真实感——这是在以前的电子邮件劫持活动中看到的一种技术。 在一次看似无害的交互之后，恶意的Google Script宏被投递，旨在将目标引到Dropbox URL。这个URL托管了一个由密码加密的.rar文件，该文件含有一个伪装成PDF但实际上是Windows LNK文件的释放器（dropper）。 自去年微软默认屏蔽VBA宏以来，使用LNK文件一直是网络攻击的标志。多年来，利用VBA宏一直是使用恶意制作的Mi…

CISA 表示，已发现威胁分子滥用未加密的持久性 F5 BIG-IP cookie 来识别和瞄准目标网络上的其他内部设备。 通过绘制内部设备图，威胁者可以潜在地识别网络上易受攻击的设备，作为网络攻击规划阶段的一部分。 据 CISA 表述，“恶意分子可以利用从未加密的持久性 cookie 收集的信息来推断或识别其他网络资源，并可能利用网络上其他设备中发现的漏洞。” F5 持久会话 cookie F5 BIG-IP 是一套应用程序交付和流量管理工具，用于负载平衡 Web 应用程序并提供安全性。其核心模块之一是本地流量管理器（LTM）模块，它提供流量管理和负载平衡，以在多个服务器之间分配网络流量。使用此功能，客户可以优化其负载平衡的服务器资源和高可用性。 产品中的本地流量管理器 (LTM) 模块使用持久性 cookie，通过每次将来自客户端（Web 浏览器）的流量引导到同一后端服务器来帮助维护会话一致性，这对于负载平衡至关重要。 “Cookie 持久性使用 HTTP cookie 强制执行持久性”F5 的文档解释道。 与所有持久模式一样，HTTP cookie 确保来自同一客户端的请求在 BIG-IP 系统最初对它们进行负载平衡后被定向到同一池成员。如果同一池成员不可用，系统会进行新的负载权衡决定。 这些 cookie 默认情况下未加密，可能是为了保持旧配置的操作完整性或出于性能考虑。从版本 11.5.0 及更高版本开始，管理员获得了一个新的“必需”选项来对所有 cookie 强制加密。 那些选择不启用它的人会面临安全风险。但是，这些 co…

声明：以下内容符合OSINT国际开源情报搜集标准，不涉及任何非法行为，仅供交流与参考。 0x01 先聊聊酒店的墙壁 咳咳，行有行规，先说点正经的。 按照国内酒店装修必须遵循的行业标准《旅馆建筑设计规范》JGJ62-2014中规定，旅馆建筑的隔声减噪设计应符合现行国家标准《民用建筑隔声设计规范》GB 50118-2010的规定。 如下图所示，可以看到，墙壁厚度还真是和酒店级别有一定关系的。 不过在装修的行话里，老师傅们一般会更通俗地用“一砖墙”的说法。所谓“一砖墙”，顾名思义就是厚度为一块标准砖的墙，类似地，就有了“半砖、1砖、1砖半、2砖”墙的说法。 说到这儿，顺便调查下，这些年大家住过的酒店，你认为客房墙壁有多厚？ PS：更多关于墙壁厚度的定义，大家可以在评论区里回复“一砖墙”，就能看到。 那么，按照装修标准，是不是说五星级酒店客房就一定安全呢？ 这个嘛，真不好说。 0x02 一般人如何偷听隔壁 经常出差的人应该都有过这样的体验，尤其是苦逼出差的IT工程师们，撰写项目文档或做编程测试不知不觉到半夜，突然被隔壁莫名的声音惊扰。 除此之外，明显对内部会议、私下聊天的偷听会更有意义。于是乎，什么听诊器、杯子等都被人用来做偷听道具。 百度知道上，甚至还有人专门回答了用杯子偷听的心得，也是醉了。 嗯，肯定有老司机觉得这些都太基础了，根本不值一提，也是，接下来说说专业的做法。 0x03 专业隔墙偷听几十年 从原理上讲，专业偷听设备的确类似于听诊器，不过区别是，专业设备加入了电子降噪及放大的能…

电子邮件安全和威胁检测服务提供商Vade公司近日发布了一份报告，详细阐述了最近发现的一起网络钓鱼攻击，这起攻击成功欺骗了Microsoft 365身份验证系统。 据Vade的威胁情报和响应中心（TIRC）声称，攻击电子邮件含有一个带有JavaScript代码的有害HTML附件。这段代码的目的在于收集收件人的电子邮件地址，并使用来自回调函数变量的数据篡改页面。 TIRC的研究人员在分析一个恶意域名时解码了使用base64编码的字符串，获得了与Microsoft 365网络钓鱼攻击相关的结果。研究人员特别指出，对网络钓鱼应用程序的请求是向eevilcorponline发出的。 研究人员通过periodic-checkerglitchme发现，其源代码与附件的HTML文件很相似，这表明网络钓鱼者在利用glitch.me来托管恶意的HTML页面。 glitch.me是一个允许用户创建和托管Web应用程序、网站和各种在线项目的平台。遗憾的是，在这种情况下，该平台却被人利用，用于托管涉及这起进行中的Microsoft 365网络钓鱼骗局的域名。 当受害者收到一封含有恶意HTML文件（作为附件）的电子邮件时，攻击就开始了。受害者打开该文件后，一个伪装成Microsoft 365的网络钓鱼页面就会在受害者的互联网浏览器中启动。在这个欺骗性页面上，攻击者提示受害者输入其凭据，攻击者会迅速收集这些凭据用于恶意目的。 由于Microsoft 365在商业界得到广泛采用，被泄露的账户很有可能属于企业用户。因此，如果攻击者获得了对这些凭据的访问权，他们就有可能获得…

FROZEN#SHADOW 被发现采用了一种新的攻击活动，该活动利用 SSLoad 恶意软件进行操作，并利用 Cobalt Strike Implants 来控制和接管整个网络。 此外，威胁分子还使用 ScreenConnect RMM 等远程监控和管理软件进行进一步控制。 SSLoad 是一种精心设计的恶意软件，可以秘密渗透系统、收集敏感信息，并将收集到的信息泄露给恶意软件操作者。 此外，该恶意软件还利用多个后门和有效负载来逃避检测并保持持久性。 技术分析 这种新的攻击活动从包含恶意链接的传统网络钓鱼电子邮件开始。 当用户访问此链接时，它会将他们重定向到 mmtixmm[.]org URL 到另一个下载站点，在该站点将 JavaScript 文件下载到受害者计算机。如果手动执行此 JavaScript 文件，它会执行多项操作，在受害者计算机上下载并执行更多有效负载。 这些网络钓鱼电子邮件活动的目标似乎是随机的，因为受害者分布在多个国家，包括亚洲、欧洲和美洲。 对恶意软件的进一步调查表明，攻击发生在以下不同阶段： ·第 1 阶段：初始执行 – JavaScript ·第 2 阶段：MSI 文件执行 ·第 3 阶段：恶意软件执行 ·第 4 阶段：钴击执行 ·第 5 阶段：RMM 软件和横向移动 第 1 阶段：初始执行 – JavaScript 此初始阶段涉及手动执行 JavaScript 文件。通过分析 JS 文件 out_czlrh.js，发现它由 97.6% 的注释代码组成，其中包含随机字符以混淆文件。然而，删除注释代码后会发现一段非常…

1.概述 2024年2月12日，美国网络安全公司SentinelOne在其官网上发布题为“China’s Cyber Revenge/Why the PRC Fails to Back Its Claims of Western Espionage”的报告[1]，（以下简称“SentinelOne报告”），对“中国三家知名网络安全企业360、奇安信、安天及中国网络安全产业联盟（CCIA）”等机构揭露美方情报机构网络攻击的相关报告进行解读。我们先直接概括其报告中的观点和关键逻辑。 SentinelOne报告对我们公开的分析报告基于时间线进行了梳理，并引述一些美方人士观点，设定了如下观点： 1、中方报告是对国际其他机构对美方分析的跟进，存在长期滞后； 2、中方分析工作严重依赖美方自身的信息泄露； 3、中方报告没有“PCAP包”级别的技术实证。 SentinelOne报告的逻辑并不是应答全球网络安全业界和研究者过去二十年来对美方情报机构攻击活动和能力的持续分析曝光，包括在美方多次信息泄露中所暴露出来的触目惊心的真相，而是试图把国际关注度转移到中国网络安全工作者的技术能力和水平是否能够支撑其持续独立发现、分析、研究、溯源美方的攻击上，并将实证的概念窄化为一种具体的技术格式。美西方此前长时间习惯性地从宏观层面夸大中国网络安全能力，以便为其情报机构和军工复合体争取巨额的网络安全预算，而此时，突然又在微观层面开启一波认为中国分析溯源能力很差的“嘲讽”流，并宣判：作为被霸凌者，你们反抗无效！ 对SentinelOne报告所提及的中国安全企业的分析报告，有…

TDDP 服务程序在 UDP 端口 1040 上监听时，处理数据时未能正确检查长度，这导致了内存溢出，破坏了内存结构，最终引发了服务中断。 本文深入分析了一个在 2020 年向 TP-Link 报告的安全漏洞。遗憾的是，至今没有 CVE 编号分配给这个漏洞，因此相关的详细信息并未公之于众。通常，阅读技术分析报告能够带来丰富的见解和学习机会。我坚信，公开分享研究方法和成果对整个行业以及广大的学习者、学生和专业人士都有着积极的意义。 在本文中，我将使用 Shambles 这个工具来识别、逆向分析、模拟并验证这个导致服务中断的缓冲区溢出问题。如果您对 Shambles 感兴趣，可以通过加入 Discord 服务器并查阅 FAQ 频道来了解更多信息。 首先，我们来介绍一下 TDDP 协议，这是一种在专利 CN102096654A 中详细描述的二进制协议。您需要了解的所有协议细节都在专利描述中。不过，我会在这里为您做一个简要的总结。 TDDP 是 TP-LINK 设备调试协议的缩写，它主要用于通过单个 UDP 数据包进行设备调试。这种协议对于逆向分析来说非常有趣，因为它是一个需要解析的二进制协议。TDDP 数据包的作用是传输包含特定消息类型的请求或命令。下图展示了一个 TDDP 数据包的结构。 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +…

一种名为“CRON#TRAP”的新网络钓鱼活动通过 Linux 虚拟机感染 Windows，该虚拟机包含内置后门，可以秘密访问公司网络。 使用虚拟机进行攻击并不是什么新鲜事，勒索软件团伙和加密货币挖矿者利用虚拟机来秘密执行恶意活动。然而，威胁者通常在破坏网络后手动安装这些软件。 Securonix 研究人员发现的一项新活动是使用网络钓鱼电子邮件执行无人值守的 Linux 虚拟机安装，以破坏企业网络并获得持久性。 网络钓鱼电子邮件伪装成“OneAmerica 调查”，其中包含一个 285MB 的大型 ZIP 存档，用于安装预装后门的 Linux 虚拟机。 该 ZIP 文件包含一个名为“OneAmerica Survey.lnk”的 Windows 快捷方式和一个包含 QEMU 虚拟机应用程序的“data”文件夹，其中主要可执行文件伪装为 fontdiag.exe。 启动快捷方式时，它会执行 PowerShell 命令将下载的存档解压到“%UserProfile%\datax”文件夹，然后启动“start.bat”以在设备上设置并启动自定义 QEMU Linux 虚拟机。 Start.bat批处理文件安装QEMU Linux虚拟机 安装虚拟机时，同一个批处理文件将显示从远程站点下载的 PNG 文件，该文件显示虚假服务器错误作为诱饵，这意味着调查链接已损坏。 显示假错误的图像 名为“PivotBox”的定制 TinyCore Linux VM 预装了一个后门，可保护持久的 C2 通信，允许攻击者在后台进行操作。 由于 QEMU 是一个经过…

安全研究人员追踪的网络犯罪团伙 Revolver Rabbit 已注册了超过 50 万个域名，用于针对 Windows 和 macOS 系统的信息窃取活动。为了进行如此大规模的攻击，威胁者依赖于注册域生成算法 (RDGA)，这是一种允许在瞬间注册多个域名的自动化方法。 RDGA 类似于网络犯罪分子在恶意软件中实施的域名注册算法 (DGA)，用于创建命令和控制 (C2) 通信的潜在目的地列表。 两者之间的一个区别是，DGA 嵌入在恶意软件中，并且只有部分生成的域被注册，而 RDGA 仍保留在威胁行为者手中，并且所有域都已注册。 虽然安全研究人员发现 DGA 并尝试对其进行逆向工程以了解潜在的 C2 域，但 RDGA 是秘密的，找到生成要注册的域的模式变得更加具有挑战性。 Revolver Rabbit 运营着超过 500,000 个域名 专注于 DNS 的安全供应商 Infoblox 的研究人员发现，Revolver Rabbit 一直在使用 RDGA 购买数十万个域名，注册费总计超过 100 万美元。 威胁者正在传播 XLoader 信息窃取恶意软件（Formbook 的后继者），其适用于 Windows 和 macOS 系统的变种用于收集敏感信息或执行恶意文件。 Infoblox 表示，Revolver Rabbit 控制着超过 500,000 个 .BOND 顶级域名，这些域名用于为恶意软件创建诱饵和实时 C2 服务器。 Infoblox 威胁情报副总裁告诉媒体，与 Revolver Rabbit 相关的 .BOND 域名最容易发现，…

往期回顾： 2024.4.29—2024.5.5安全动态周回顾 2024.4.22—2024.4.28安全动态周回顾 2024.4.15—2024.4.21安全动态周回顾 2024.4.8—2024.4.14安全动态周回顾 2024.4.1—2024.4.7安全动态周回顾 2024.3.25—2024.3.31安全动态周回顾

《2024网络安全产业图谱》调研征集今天截止，望各厂商尽快将《2024网络安全产业图谱调研表》提交至指定邮箱！ 2024年，嘶吼安全产业研究院对《网络安全产业图谱》进行更新，以更准确的反映当前网络安全产业链的发展规划与趋势。 图谱调整说明： 1、各细分领域精简收录企业数量： 本次图谱调研将参考细分产品营收、营收增长率、客户数量、投入占比、品牌影响力等多个维度，对企业进行全面能力评估，重点收录综合能力较高的企业，为行业用户提供更精准的行业参考指南。 2、热门领域Top10厂商推荐： 在精选出的多个热门领域中，我们将根据调研结果评选出Top10优秀安全厂商，进行单独呈现。 《2024网络安全产业图谱》调研通知： 图谱调研表获取方式：关注嘶吼专业版公众号，回复“2024图谱调研”获取。 1）征集阶段：2024年3月7日——2024年4月7日，下载填报《2024网络安全产业图谱调研表》，并发送至收集邮箱中。 2）分析阶段：根据回收的问卷，嘶吼分析师团队会针对厂商提交材料进行复核，部分厂商可能需要接受验证或者访谈，以便对存疑问题进行沟通。 3）图谱报告发布：《2024网络安全产业图谱》由嘶吼安全产业研究院官方发布。内容将呈现部分细分领域数据统计，根据实际调研结果，撰写包括网络安全产业情况、调研发现等相关内容。 填写说明： 1 请按说明要求填写，方便后续整理数据，请注意，不要删减行列！ 2 提交时请务必在附件中添加（ai格式）公司logo。 3 请务必于今日提交问卷，发送至邮箱shankala@4hou.com。 4 务必客观、真实填写该问卷。 …

本周，ZeroSevenGroup（泄露被盗数据的威胁者）表示，他们入侵了美国一家分公司，窃取了 240GB 的文件，其中包含有关丰田员工和客户的信息，以及合同和财务信息。 他们还声称已经使用开源 ADRecon 工具收集了网络基础设施信息，包括凭证，该工具可帮助从 Active Directory 环境中提取大量信息。 威胁者在黑客论坛上称已拿到包括联系人、财务、客户、员工、计划、照片、数据库、网络基础设施、电子邮件等内容的大量数据。除此之外，威胁者还可提供带有密码的所有目标网络的 AD-Recon。 目前，丰田已证实其网络遭到入侵。 当被要求验证该威胁者的说法时，丰田称：该问题范围有限，不是系统范围内的问题。 随后该公司补充说，它“正在与受影响的人接触，并将在需要时提供帮助”，但尚未提供有关何时发现入侵、攻击者如何获得访问权限以及有多少人的数据在事件中被泄露的信息。 丰田数据泄露 虽然丰田尚未透露泄密事件的日期，但相关媒体发现这些文件已被盗，或者至少是在 2022 年 12 月 25 日创建的。这个日期可能表明威胁分子获得了存储数据的备份服务器的访问权限。 去年 12 月，丰田子公司丰田金融服务公司 (TFS) 就曾警告客户，他们的敏感个人和财务数据在一次数据泄露中被暴露，该数据泄露是由 11 月的 Medusa 勒索软件攻击造成的，该攻击影响了这家日本汽车制造商的欧洲和非洲分部。 今年 5 月份，丰田披露了另一起数据泄露事件，由于公司云环境中的数据库配置错误，215 万客户的车辆位置信息在 2013 年 11 月 6 日至 2…

安全研究人员最新发现一起针对 Linux 主机上的 Redis 服务器的安全活动——威胁组织正使用名为“Migo”的恶意软件来挖掘加密货币。 Redis（远程字典服务器）是一种内存数据结构存储，用作数据库、缓存和消息代理，以其高性能而闻名，每秒为游戏、技术、金融服务等行业的实时应用程序提供数千个请求。 威胁组织通常利用暴露的和可能易受攻击的 Redis 服务器来劫持资源、窃取数据和实施其他恶意目的。 新的恶意软件的不同之处在于使用系统削弱命令来关闭 Redis 安全功能，从而允许加密劫持活动较长时间持续。 Migo 活动由云取证提供商 Cado Security的分析师所发现，他们在蜜罐中观察到攻击者使用 CLI 命令关闭保护配置并利用服务器。 关闭 Redis 防护罩 在暴露的 Redis 服务器受到攻击后，攻击者会禁用关键的安全功能，以允许接收后续命令并使副本可写。 Cado 表示，他们注意到攻击者通过 Redis CLI 禁用了以下配置选项： ·set protected-mode：禁用此选项将允许外部访问 Redis 服务器，从而使攻击者更容易远程执行恶意命令。 ·replica-read-only：关闭此功能使攻击者能够直接写入副本并在分布式 Redis 设置中传播恶意负载或数据修改。 ·aof-rewrite-incremental-fsync：禁用它可能会导致在仅追加文件 (AOF) 重写期间产生更重的 IO 负载，来帮助攻击者不被检测到。 ·rdb-save-incremental-fsync：关闭它可能会导致 RDB 快…

新颖创新技术的兴起和迅速采用已极大地改变了各行各业的全球网络安全和合规格局，比如生成式人工智能、无代码应用程序、自动化和物联网等新技术。 网络犯罪分子正转而采用新的技术、工具和软件来发动攻击，并造成更大的破坏。因此，《2023年网络安全风险投资网络犯罪报告》预测，与网络犯罪相关的危害成本将迅速增加——预计到2024年底，全球损失将达到10.5万亿美元。该报告将数据泄露、资金被盗、知识产权盗窃、运营中断和攻击后恢复等方面的成本列为组织在这种趋势下面临的主要支出。 另一方面，谷歌的《2024年云网络安全预测》报告强调，未来一年，人工智能日益被用于扩大恶意活动的规模，政府撑腰的网络犯罪团伙、零日漏洞和现代网络钓鱼将是三种主要的攻击途径。 为了保持领先一步，IT和安全领导者应该致力于分层安全解决方案和零信任，以保护公司的数据远离勒索软件和网络钓鱼等主要的网络安全威胁。 1. 勒索软件 勒索软件指破坏关键业务系统和资产，企图对其进行加密并勒索赎金，在2024年将继续困扰所有行业的组织。新老网络犯罪团伙将利用勒索软件即服务，因此比以往任何时候更容易发动复杂的攻击。他们还将采用层出不穷的勒索手法，比如双重和三重勒索，通过威胁泄露数据向受害者施压。 2023年11月ALPHV/BlackCat勒索软件组织对MeridianLink的勒索软件攻击证明，勒索软件团伙还愿意利用法规做文章。在这次攻击中，BlackCat报告了自己的罪行，利用美国证券交易委员会（SEC）的新法规向MeridianLink施压。 医疗保健、政府和关键基础设施将尤其成为勒索软件的攻击…

ChatGPT是一个基于人工智能技术的自然语言处理模型，可以通过学习大量的语料库，生成自然语言的文本和对话。ChatGPT通过为各行各业带来更高效、智能和个性化的服务而对各行业带来变革性影响。 研究人员发现ChatGPT、Bard、Claude等人工智能大语言模型（Large language model，LLM）会在回答用户提问时，可能会产生一些不当内容，即越狱攻击。比如，通过特殊关键词等查询来让大语言模型产生非预期的响应内容。随后，研究人员开展了大量的调试工作，以尽可能避免回答用户有害的内容。虽然已有研究人员证明了针对大语言模型的越狱攻击，但这一过程需要大量的手动操作来进行设计，而且很容易被大语言模型提供商所修复。 机器学习从数据中学习模式，对抗攻击正是利用机器学习的这一特征来生成异常行为。比如，对图像做出的人类无法察觉的小修改会使图像分类器将其错误识别为其他问题，或使声音识别系统产生人类听不见的响应消息。 来自卡耐基梅隆大学的研究人员系统研究了大语言模型的安全性，证明可以自动构造针对大语言模型的对抗样本，尤其是在用户查询中添加特定字符流会使大语言模型根据用户查询产生结果，并不会判断产生的回复是否有害。与传统的大模型越狱相比，研究人员的这一对抗攻击过程是完全自动的，即用户可以无限制的发起此类攻击。 虽然该研究的攻击目标是开源大语言模型，但研究人员发现利用其提出的方法生成的对抗提示（prompt）是可迁移的，包括对黑盒的公开发布的大语言模型。研究人员发现此类字符串对抗攻击也可以迁移到许多闭源的、公开可访问的基于大模型的聊天机器人，如C…