蓝队取证审计网络安全

自2023年8月底以来，研究人员观察到专门用于标题党和广告内容的受攻击服务器显著增加。但为什么这样的网站对攻击者来说如此有吸引力呢？主要因为这些网站的设计是为了接触到大量潜在的受害者。此外，标题党网站经常使用过时或未修复的软件，这使得它们很容易受到攻击。 本文足以让你了解标题党文章的危险性。文中讨论了标题党网站如何增加流量以获得广告收入，研究人员回顾了一种基于其网络流量特征，来检测易受攻击标题党网站的策略。最后，本文还阐述了基于CVE-2023-3169漏洞的标题党网站数量激增的趋势分析。 标题党网站和广告流量 标题党旨在让读者点击一个可疑的网络内容链接。专门从事标题党内容的网站存在的唯一目的是产生广告收入，因此，标题党网站的网页包含大量攻击性广告。 点击诱饵需要大量的浏览量来产生广告收入，所以这些网站通常使用以下三种策略来增加流量。 常青的话题； 内容发现平台； 生成人工智能(AI)工具； 常青的话题 增加流量的一个策略是关注常青话题。常青话题指的是与特定时间或地点无关的话题，人们一直觉得它们很有趣。例如，金融和卫生被认为是常青的话题。图1和图2显示了来自标题党网站的两个示例页面： 金融主题标题党文章的例子 健康主题标题党文章的例子 内容发现平台 由于标题党内容本身是通过广告传播的，许多标题党网站还依靠第二种策略来增加流量：内容发现平台。 新闻机构和其他内容提供商使用内容发现平台来创收，标题党提供商经常使用这些服务来为他们自己的内容增加流量。 内容发现平台经常使用技术来伪装广告。其中一种方法被称为原生广告，此方法将广告内容配置为与…

如果你曾经将iPhone、iPad或iPod连接到Windows PC上，你可能会注意到，这些设备会根据你的操作显示为不同类型的设备。例如，如果你正在给iPhone充电，它可能会显示为“USB复合设备”，但如果你正在与iTunes同步音乐，它可能会显示为“苹果移动设备USB驱动程序”。你有没有想过这是怎么回事？事实证明，苹果在Windows电脑上有一个USB低级过滤器，可以帮助他们控制操作系统使用哪些USB配置。 本文中，我们会首先介绍苹果的USB低级过滤器是如何工作的，它是做什么，以及无论是否安装了苹果软件，它如何提供不同的体验；其次，我们将研究为什么当设备的WPD属性WPD_DEVICE_PROTOCOL表明设备正在使用媒体传输协议(MTP)时，iphone的开箱操作如此有限。我们将深入研究诸如Windows便携式设备(WPD)，USB描述符和用户模式驱动程序框架(UMDF)等话题。 初始化苹果的USB低级过滤器 苹果设备将自己呈现为具有多个接口的复合设备，以确保它们的设备被正确识别，并加载所有必要的驱动程序。这是因为苹果设备通常有多个接口，提供不同的功能，如音频、视频和控制。当我们将苹果设备插入Windows设备时，总线适配器识别设备并向操作系统提供其hardwareid和compatibleid。这些id用于根据id的匹配质量在driver Store中搜索最佳驱动程序。 对于总线驱动器来说，要将该设备视为复合设备，必须满足一定的要求。如果不满足这些要求，操作系统将不会自动加载USB复合设备类驱动程序(usbccgp)。在这种情况…

在追踪Pensive Ursa(又名Turla, Uroburos)的迭代中，Unit 42的研究人员发现了Kazuar一个新的升级变体——一个先进而隐秘的 .NET后门，Pensive Ursa通常将其用作第二级有效负载。 “Pensive Ursa”是一个总部位于俄罗斯的攻击组织，至少从2004年开始活动，与俄罗斯联邦安全局(FSB)有联系。 乌克兰CERT在2023年7月报告说，这个版本的Kazuar是针对乌克兰国防部门的，背后攻击组织的目标是敏感数据，比如Signal消息、源代码控制和云平台数据。 自从Unit 42在2017年发现Kazuar以来，研究人员只在野外看到过几次，主要针对欧洲政府和军事部门的组织。由于代码相似，Sunburst后门与Kazuar联系在一起，这表明了它非常复杂。自2020年底以来，研究人员没有在野外看到新的Kazuar样本，但有报道称Kazuar正在不断开发中。 正如Kazuar升级版的代码所揭示的那样，Kazuar的开发者正在增强器隐形操作能力，他们使用各种先进的反分析技术，并通过有效的加密和混淆实践来保护恶意软件代码。 Kazuar概述 Kazuar是一种先进的、隐秘的.NET后门，Pensive Ursa通常将其作为第二阶段的有效负载，与攻击组织通常使用的其他工具一起传播。 最近乌克兰CERT报告的活动揭示了Kazuar的多阶段传播机制，以及其他工具，如新的Capibar第一阶段后门。研究人员对这个新版本的技术分析显示，它的代码结构和功能都有了显著的改进。 这篇文章将详细介绍以前未记录的功能，包括…

如今，众多攻击者利用无恶意软件的间谍技术实施无法检测到的破坏，依靠合法的系统工具和寄生攻击（LOTL）技术来渗入端点。无恶意软件的攻击有赖于用户对合法工具的信任，很少生成唯一的特征码，并且依赖无文件执行。 在CrowdStrike追踪分析及其《2023年威胁狩猎报告》阐述的所有恶意活动中，CrowdStrike威胁图索引的检测中有71%没有恶意软件。总共有14%的入侵事件依赖基于Falcon OverWatch跟踪的活动的远程监控和管理（RMM）工具，攻击者增加了使用RMM工具进行无恶意软件攻击的数量，同比增长了惊人的312%。 随着FraudGPT标志着武器化人工智能新时代开始到来，而企业面临输掉人工智能战争的风险。人工智能、机器学习和生成式人工智能整合到扩展检测和响应（XDR）中就需要快速行动起来，以阻止无恶意软件和人工智能带来的新攻击。 XDR提供了CISO们一直所需要的那种整合。 XDR改善了信噪比 通过依赖在大规模整合的API和平台，XDR平台充分利用了每个可用的遥测数据源，以便实时检测和响应潜在的入侵和破坏企图。事实证明，这些平台能够有效地减少网络噪声，并发现表明潜在入侵或攻击的信号。 据Cynet 2022年对CISO开展的调查显示，XDR对CISO们来说是一种有效的整合策略：96%的CISO计划整合其安全平台，63%的CISO表示XDR是自己的首选解决方案。 几乎所有接受调查的CISO都表示，整合工作已在他们的路线图上，高于2021年的61%。Gartner公司预测，到2027年年底，多达40%的企业将使用XDR来减少现…

Nmap是Network Mapper（网络映射器）的缩写，是一个用于端口和IP扫描以及应用程序检测的开源工具。网络和系统管理员将其用于清点网络资产、管理服务升级计划和监视服务正常运行时间。 起初，它是作为一款Linux工具而开发的，但现在也可用于Windows和MacOS。用户还可以在Solaris、AIX或Amiga OS等不太常见的系统上使用Nmap。源代码以C、C++、Perl和Python等版本提供，可以定制该工具以适用于不同的环境。 管理员用Nmap进行渗透测试，检查哪些设备在其网络上运行，Nmap还使他们能够查看哪些端口是敞开的，并发现潜在的漏洞。 Nmap有什么用途？ 大致说来，Nmap允许用户进行快速的网络映射，可以帮助团队优化并保护网络和数据。它被用于渗透测试、道德黑客活动以及进行其他目的。它最近的一项用途是分析网站服务器和物联网设备之间的流量。 Nmap由美国网络安全专家Gordon Lyon开发，下面将逐一介绍Nmap工具的最重要功能： 网络映射 Nmap向用户显示哪些类型的设备连接到网络并使用扫描端口。借助这个命令，用户可以看到服务器、路由器、交换机及其他设备是如何连接的，他们还可以了解它们如何协同工作，并进一步设想网络图。 端口扫描 用户可以使用Nmap检查哪些端口是敞开的，哪些端口是关闭的。这项功能对于IT团队来说非常方便，因为他们可以用它来查看防火墙是否在正常工作，对于那些想要防范端口扫描攻击的人来说，它也派得上用场。 漏洞扫描 Nmap还有助于发现网络容易受到特定威胁攻击的程度。当发现一个影响特定软件或软…

随着收益和玩家数量（超过30亿）的增加，游戏行业也成为攻击者的目标，尤其是玩家们期待已久的热门游戏经常被用作恶意活动的诱饵。截至2022年，近四分之一的玩家是未成年人，他们更容易成为攻击者的猎物。 分析方法 为了深入了解当前与游戏相关的网络安全风险，卡巴斯基对针对游戏社区的普遍威胁进行了全方位研究。从伪装成游戏应用、mod和作弊的威胁到对该领域最活跃的恶意软件家族的功能分析。他们还分析了使用各种游戏名称和游戏平台作为诱饵的网络钓鱼页面。 本文的分析利用了来自卡巴斯基安全网络(KSN)的数据，这是一个处理卡巴斯基用户自愿分享的匿名网络威胁相关数据的系统。分析时间段从2022年7月1日到2023年7月1日。 研究人员除了选择在流媒体平台(如Origin和Steam)上下载或准备发布的排名前14款游戏，还分析了与平台无关的游戏进行研究。 游戏列表是基于互联网上最受欢迎游戏的几个排名。他们重点分析了手机版和桌面版《我的世界》《Roblox》《反恐精英:全球进攻》(CS:GO)、《绝地求生》(PUBG)，《霍格沃茨遗产》《远古防御2》(DOTA 2)，《英雄联盟》《魔兽世界》《Apex传奇》《暗黑破坏神4》《星球大战绝地求生》《塞尔达传说》《博德之门3》和《最终幻想XVI》相关的威胁。 威胁分析 在过去的一年里（2022年7月1日至2023年7月1日），卡巴斯基总共检测到4076530次与游戏相关的桌面感染，影响着全球192456名玩家。 最常见的威胁是下载程序(89.70%)，其次是广告软件(5.25%)和特洛伊木马(2.39%)。 作为诱饵，使…

Nokoyawa勒索软件即服务（RaaS）的运营商是一伙被称为“farnetwork”的威胁组织，多年来通过帮助JSWORM、Nefilim、Karma和Nemty等勒索软件团伙开发恶意软件和管理运营积累了经验。 网络安全公司Group-IB近日的一份报告深入剖析了farnetwork的活动，以及阐述他们是如何逐渐成为勒索软件行当中异常活跃的玩家。 farnetwork向威胁情报分析师们披露了细节，这些细节可以将他们与2019年开始的多起勒索软件活动和一个可以访问多个企业网络的僵尸网络联系起来。 据Group-IB向IT安全外媒体出示的报告显示，这伙威胁组织拥有多个用户名（比如farnetworkl、jingo、jsworm、razvrat、piparkuka和farnetworkitand），并活跃于多个俄语黑客论坛，试图招募加盟团伙从事各种勒索软件活动。 图1. 威胁分子情况简介（图片来源：Group-IB） 今年3月，farnetwork开始为其基于Nokoyawa加密恶意软件的勒索软件即服务项目寻找加盟团伙。然而，Group-IB的威胁情报分析师表示，这伙威胁组织明确表示，他们没有参与开发Nokoyawa的工作。 开展RaaS业务并没有持续多久，farnetwork宣布将退出该领域，并在10月份关闭了Nokoyawa RaaS项目，此前该项目泄露了35名受害者的数据。 图2. Nokoyawa公布受害者（图片来源：Group-B） 然而Group-IB认为，这伙威胁组织的策略是改变方向，以一个新的品牌重新开始，而这个举动正是其…

BlackCat运营商最近宣布对他们的工具进行更新，包括一个名为Munchkin的实用程序，它允许攻击者将BlackCat有效负载传播到远程设备和受害者组织网络上的共享。在过去的两年中，作为勒索软件即服务(RaaS)商业模式的一部分，BlackCat勒索软件运营商一直在不断发展和更新他们的工具。 在最新发现的样本中，Unit 42的研究人员获得了一个独特的Munchkin样本，因为它加载在自定义的Alpine虚拟机(VM)中。这种利用自定义虚拟机来部署恶意软件的新策略在最近几个月得到了越来越多的应用，允许勒索软件攻击者使用虚拟机来绕过部署恶意软件有效负载的安全解决方案。 本文详细介绍了这个新实用程序的攻击进程，并进一步阐明了BlackCat攻击者使用的持续策略。 BlackCat概述 BlackCat勒索软件于2021年11月首次被曝光。这种攻击因其恶意软件的复杂性以及使用Rust编程语言等独特方法而臭名昭著。 与其他勒索软件类似，BlackCat采用了RaaS商业模式，这种模式允许其他机构有偿利用他们的工具，使用机构会获得大约80-90%的赎金，其余的则交给运营商。 “BlackCat”组织及其使用机构历来把目标锁定在美国境内。然而，随着时间的推移以及受欢迎程度，攻击范围正在逐渐扩大，最近，人们发现BlackCat的目标是全球众多行业及其垂直行业的受害者。 BlackCat工具集多年来一直在不断发展。 原始版本仅提供了一个嵌入式JSON配置，并没有应用混淆或加密。 随着时间的推移，操作人员更新了恶意软件家族，以混淆这种底层配置。他们还需…

0x01 前言 F5 BIG-IP广域流量管理器是一种网络流量管理设备，用于提升链路性能与可用性。F5在金融行业具有特别广泛的使用量，做过各大银行攻防演练的小伙伴对这个系统应该不会陌生。 最近爆出的CVE-2023-46747漏洞能达到远程RCE的效果，属于严重级别的安全漏洞。有意思的是这个漏洞和“AJP请求走私”有关。本文将对请求走私漏洞和CVE-2023-46747做一个详细介绍和分析。 0x02 AJP请求走私介绍 较早出现的AJP请求走私漏洞是CVE-2022-26377，关于该漏洞的详细信息已经有作者进行过分析，感兴趣的读者可以查看原文https://www.ctfiot.com/44809.html，这里我们关注的是AJP请求走私漏洞的危害。 AJP请求走私漏洞影响Apache Httpd < 2.4.54，注意这里直接受影响的并不是tomcat，所以并不是所有的java网站都受请求走私漏洞的影响，而是只有启用了httpd服务的网站才受此漏洞影响，类似于现在前后端分离中nginx服务的作用。在F5 BIG-IP中启动的WEB服务的架构如图2.1所示，并且在F5-BIG-IP中的httpd版本2.2.15，受CVE-2022-26377漏洞影响。 图2.1 F5 BIG-IP中的WEB服务架构 图2.2 F5 BIG-IP中的httpd版本 AJP请求走私漏洞并不是一个高危漏洞，在各个CVSS评分在6.5-7.5之间，所以一直没有受到我的关注，只是觉得这是一个仅供研究没有实际意义的理论漏洞。在这次F5 BIG-IP的R…

在之前关于Triangulation的介绍文章中，研究人员讨论了TriangleDB的细节，这是这次活动中使用的主要植入程序，使它的C2协议和它可以接收命令。除其他事项外，它还能够执行其他模块。另外，这次活动是相当隐蔽的。 本文详细介绍了该活动是如何进行隐蔽攻击的。在此过程中，研究人员还将揭示有关此攻击中使用组件的更多信息。 验证组件 在之前的文章中，研究人员概述了Triangulation活动攻击链：设备接收恶意iMessage附件，启动一系列漏洞利用，其执行最终导致启动TriangleDB植入。攻击链可以用下图来概括: 除了TriangleDB植入的漏洞和组件外，攻击链还包含两个“验证器”阶段，即“JavaScript验证器”和“二进制验证器”。这些验证器收集有关受害设备的各种信息，并将其发送到C2服务器。然后，这些信息被用来评估植入TriangleDB的iPhone或iPad是否可以作为研究设备。通过执行这样的检查，攻击者可以确保他们的零日漏洞和植入程序不会被阻止。 JavaScript验证器 在攻击链的开始，受害者会收到带有零点击漏洞的不可见iMessage附件。此漏洞的最终目标是在backupabbit[.]com域上默默地打开一个唯一的URL。该URL上托管的HTML页面包含NaCl密码库的模糊JavaScript代码，以及加密的有效负载。这个负载是JavaScript验证器。该验证程序执行许多不同的检查，包括不同的算术运算，如Math.log（-1）或Math.sqrt（-1），Media Source API、WebAs…

监控和限制对潜在恶意文件的访问可以使您的产品免遭黑客攻击、数据泄露和破坏。为了在基于Linux的环境中做到这一点，开发人员通常必须进行内核级修改，这实现起来很复杂，并且对系统来说存在风险。 在本文中，我们探讨了内核级修改的替代方案：安全增强型 Linux (SELinux) 中的自定义策略和沙箱。我们研究如何使用它们进行事件记录和监视、限制文件访问以及控制自定义沙箱内的系统调用。 为什么要限制 Linux 环境中的文件访问？ 在创建软件解决方案时（无论是简单的驱动程序还是复杂的网络安全系统），保护您的产品免遭未经授权的访问非常重要。对于开发基于 Linux 的产品的团队来说，监视和管理数据和文件访问的常见原因包括： 有几种传统方法可以做到这一点：创建Linux 内核模块来挂钩文件操作、设置挂钩来监视和控制进程等。传统的限制访问方法通常需要高级技术专业知识，并且会给开发过程带来额外的复杂性。它们还可能向您的环境添加严重错误，因为它们通常需要内核级更改。这就是为什么只有当您需要对文件的访问权限进行细致的控制时，此类方法才有用。 当您只需要监视、允许或拒绝访问而不需要任何其他更改时，最好使用SELinux。该系统集成到 Linux 内核中，为开发人员提供强制访问控制的方法。SELinux 为 Linux 环境中的元素设置上下文并通过策略对其进行管理。SELinux 提供了一个强大的沙箱，允许您在有限的环境中执行进程。此环境利用 SELinux 策略来定义沙箱中运行的进程的约束和权限。使用此类策略可以让开发人员有效地增强其应用程序的安全状况。 …

今年6月，卡巴斯基的研究者就发现有攻击者利用iMessage来传播恶意软件，iOS 15.7以及此前版本均受到影响。研究人员通过mvt-ios（iOS 移动验证工具包）分析受攻击的设备之后，发现他们可以通过iMessage发送信息，受害者在接收到信息之后，不需要任何用户交互，就能触发系统内漏洞，从而执行任意恶意代码。研究人员将这个攻击活动称为 "Triangulation活动 "。 Triangulation活动的首次公开报道请看这篇文章，正如研究人员在三角测量行动的第一篇文章中提到的，最初发现的受攻击设备正是在莫斯科总部工作的卡巴斯基员工。所有这些设备都连接到公司的Wi-Fi网络，这样研究人员就可以记录和检查网络流量。在花了一些时间调查Wireshark之后，研究人员最终发现了以下内容： 1.在表现出可疑行为之前，连接到iMessage服务器的设备通常负责接收信息和下载附件； 2.在下载了可能是附件的几千字节数据后，这些设备建立了与服务器backuprabbit[.]com的连接，在不到一分钟的时间内与服务器交换数据； 3.接下来，设备连接到以下服务器进行更长的会话： cloudsponcer[.]com snoweeanalytics[.]com topographyupdates[.]com unlimitedteacup[.]com、 virtuallaughing[.]com 4.设备重启后，所有可疑活动都停止了； 所有与服务器的通信都是通过HTTPS进行的，所以研究人员无法从流量中恢复任何额外的细节。 设备映像 由于所有的…

从7月到9月，研究人员就已经观察到DarkGate活动，趋势科技检测为TrojanSpy.AutoIt.DARKGATE.AA，攻击者滥用即时通讯平台向受害者提供VBA加载器脚本。该脚本下载并执行由AutoIT脚本组成的第二阶段有效负载，其中包含DarkGate恶意软件代码。目前还不清楚即时消息应用程序的原始帐户是如何被攻击的，但应该是通过地下论坛获得的凭据。 DarkGate在过去的几年里并不是很活跃。然而，根据Truesec和MalwareBytes的报告，今年已经观察到多个攻击部署。通过对这次活动的密切监控，研究人员发现大多数DarkGate攻击都发生在美洲地区，其次是亚洲、中东和非洲。 2023年8月至9月DarkGate活动的分布 DarkGate活动背景 DarkGate于2017年底首次被发现，被归类为商品加载器。自2023年5月以来，DarkGate已经在俄语论坛开始流行，从那时起，使用恶意软件的初始入口攻击数量开始有所增加。DarkGate具有各种功能，包括执行以下操作的功能： 执行发现命令(包括目录遍历)； 自我更新，自我管理； 实现远程访问软件，如远程桌面协议或RDP、隐藏虚拟网络计算或hVNC、AnyDesk； 启用加密货币挖掘功能(启动、停止和配置)； 按键记录(keylogging)，Keylogging攻击是指攻击者跟踪键盘、鼠标活动，获得用户输入的信息，包括帐号、口令等； 从浏览器窃取信息； 权限升级。 DarkGate还使用一种名为AutoIt的windows专用自动化和脚本工具，来传播和执行其恶意功…

引言 StripedFly，它是一个加密货币挖矿软件，躲在一个支持Linux和Windows的复杂模块化框架后面。它配备内置的TOR网络隧道，用于与指挥（C2）服务器联系，还有通过可信赖的服务（如GitLab、GitHub和Bitbucket）进行更新和交付的功能，这一切使用自定义加密归档。攻击者煞费苦心来构建这个框架，披露的真相颇为惊人。 它是如何开始的？ 2022年，在Equation恶意软件中发现的旧代码的WININIT.EXE进程中遇到了两个惊人的发现，随后的分析揭示了可追溯到2017年的早期可疑代码。在此期间，它成功逃避了分析，之前被误归类为加密货币挖矿软件。然而，这不是其主要目标。 我们决定全面分析收集的样本，只想排除任何不确定因素，这个加密货币挖矿软件是一个极庞大实体的一部分。该恶意软件使用了定制的EternalBlue SMBv1漏洞来渗入受害者的系统。重要的是，我们的调查剖析了二进制时间戳，表明这个漏洞是在2017年4月之前创建的。值得一提的是，EternalBlue漏洞是Shadow Brokers组织于2017年4月14日公开披露的。 这个特殊蠕虫与其他使用EternalBlue的恶意软件的区别在于其独特的传播模式。它悄无声息地传播，因而避免了大多数安全解决方案的检测。本文现在简要概述我们的发现结果。 感染 第一个检测到的shellcode位于WININIT.EXE进程中，该进程能够从bitbucket[.]org下载二进制文件，并执行PowerShell脚本。最初检测出来时，感染途径是未知的；然而，随着调查逐步深入…

今年上半年，一家软件供应商受到了Lazarus恶意软件的攻击，该恶意软件是通过未打补丁的正版软件传播的。值得注意的是，这些软件漏洞并不是新的，尽管供应商发出了警告和补丁，但许多供应商的系统仍继续使用有漏洞的软件，允许攻击者利用它们。幸运的是，研究人员的主动响应发现了对另一个供应商的攻击，并有效地挫败了攻击者的努力。 经过进一步调查，研究人员发现开发被利用软件的软件供应商之前曾多次成为Lazarus的受害者。这种反复出现的漏洞表明，一个持久的攻击者的目标可能是窃取有价值的源代码或篡改软件供应链，他们继续利用公司软件中的漏洞，同时瞄准其他软件制造商。 攻击时间 攻击者表现出了高度的复杂性，采用了先进的逃避技术，并引入了SIGNBT恶意软件来控制受害者。此外，在内存中发现的其他恶意软件包括Lazarus著名的LPEClient，这是一种以受害者分析和有效负载传播而闻名的工具，此前曾在针对国防承包商和加密货币行业的攻击中被观察到。 执行情况如下： 1.一个软件供应商通过利用另一个备受瞩目的软件而受到威胁。 2.这次攻击中使用的SIGNBT恶意软件采用了多种攻击链和复杂的技术。 3.在这次攻击中使用的LPEClient被观察到执行一系列与Lazarus组织相关的目标攻击。 SIGNBT加载程序 在2023年7月中旬，研究人员发现了一系列针对几名受害者的攻击，这些攻击是通过合法的安全软件进行的，这些软件旨在使用数字证书加密网络通信。该软件被利用来传递恶意软件的确切方法仍然难以捉摸。然而，研究人员在正版软件的进程中发现了利用后的活动。 在检查受害者系…

我们会在本文中详细介绍四个在去年被修复的旧漏洞： CVE-2022-38108； CVE-2022-36957； CVE-2022-36958； CVE-2022-36964； CVE-2022-38108 这个漏洞已经在这篇博客文章中提到了。 简单来说，几个SolarWinds服务通过RabbitMQ实例相互通信，该实例可通过端口5671/TCP访问。虽然访问它需要凭据，但是高权限用户可以通过SolarWinds Orion平台提取这些凭据，攻击者利用CVE-2023-33225，它允许低权限用户提取这些凭证。 该漏洞针对的是SolarWinds信息服务。为了向信息服务发送AMQP消息，必须将消息的Routing-Key设置为SwisPubSub， Routing Key就是路由规则,消息对应的队列。 AMQP消息中的Routing-Key 现在，让我们来验证SolarWinds是如何处理这些消息的，可以从EasyNetQ.Consumer.HandleBasicDeliver方法开始： 在[1]处，代码检索AMQP消息的属性，这些属性由发送消息的攻击者控制。 在[2]处，它创建了一个执行上下文，其中包含AMQP消息属性和消息正文。 在[3]处，它执行一个任务来使用消息。 这就需要Consume方法。 在[1]处，EasyNetQ.DefaultMessageSerializationStrategy.DeserializeMessage被调用，它接受输入的消息属性和消息正文。调用名为DeSerialize的方法并返回type类型的输…

研究人员已设计出了一种攻击方法，可以利用现代iOS和macOS设备搭载的A系列和M系列CPU中的侧信道漏洞，迫使苹果的Safari浏览器泄露密码、Gmail邮件内容及其他秘密信息。 学术研究人员将这种攻击命名为“iLeakage”，这是一种切实可行的攻击，只需极少的物理资源。然而，它确实需要对苹果硬件进行深入的逆向工程，还需要在利用侧信道（side channel）这类漏洞方面拥有丰富的专业知识。 侧信道可以根据电磁辐射、数据缓存或目标系统的其他表现形式中留下的线索泄露秘密信息。这里的侧信道是推测执行，这是现代CPU中提升性能的一项功能，近年来却成为了一大批攻击的来源，几乎源源不断的漏洞变种使得芯片制造商（主要是英特尔，其次是AMD）竞相制定缓解措施。 利用苹果芯片上的WebKit 研究人员将iLeakage实施成了一个网站，被易受攻击的macOS或iOS设备访问时，该网站使用JavaScript秘密打开攻击者选择的不同网站，并恢复在弹出窗口中渲染/呈现的网站内容。研究人员成功地利用iLeakage恢复了YouTube的观看历史内容、Gmail收件箱的内容（目标登录期间）以及由凭据管理器自动填充的密码。一旦被访问，iLeakage网站需要大约5分钟来分析目标机器，另外平均需要大约30秒来提取一个512位的秘密信息，比如64个字符的字符串。 图1. 上图：Gmail的Web视图中显示的电子邮件。下图：恢复的发件人地址、主题和内容。 研究人员在相关信息网站上写道：“我们展示了攻击者如何诱使Safari呈现任意网页，随后使用推测执行恢复网页…

苹果的OTA更新 在大多数情况下，macOS更新是通过OTA更新过程完成的。 OTA是over-the-air的缩写。在“系统设置”中，我们可以通过点击“立即更新”按钮直接更新系统。 OTA更新是一种增量更新，因此比完整的操作系统升级更快，容量更小。 它用于小版本更新，通常每两个月更新一次。但是，如果苹果公司认为内核中存在紧急漏洞，并且已经被积极利用，并且无法通过RSR(快速安全响应)修复，则可能在几周内可用，OTA更新包从Apple CDN服务器下载。 从表中可以看到，OTA包是针对当前操作系统版本定制的。 例如，为了更新到12.6,12.5和12.4的软件包是不同的。更新过程是应用补丁码，所以不同的操作系统版本有不同的补丁码。在大多数情况下，系统越老，包就越大。 下载并解压缩OTA包后，我们可以看到包的内容如下： 引导目录包含与引导过程相关的内容，增量更新的真正补丁代码位于名为payloadv2的目录中。有一个名为payload.bom的关键文件，它列出了OTA包中的所有项目及其校验和值。文件payload.bom.signature用于验证payload.bom文件的完整性。文件pre.bom和post.bom列出了更新前后系统上的所有项目及其校验和值。Info.plist文件提供了有关当前OTA包的一些基本信息，例如预版本、目标版本等。 在payloadv2文件夹中，有一些需要注意的重要文件。新系统中的新数据文件被压缩为名为data_payload的文件。ecc_data文件夹包含一些与文件权限相关的文件。links.txt…

爱彼迎（Airbnb）在全球10万个活跃城市拥有超过700万个房源，为广大游客提供了价位合理、环境舒适的住宿，但超旺的人气也使其容易受到网络犯罪分子、欺诈性房东、虚假帐户及其他骗局的攻击。 本文便着重探讨了网络犯罪分子如何利用爱彼迎及其用户。 走近窃取器的世界 为了了解网络犯罪分子在如何利用爱彼迎，明白他们用来未经授权访问帐户的方法至关重要。 网络犯罪分子经常使用一种名为“窃取器”（stealer）的恶意软件来获取用户名和密码等信息，这类窃取器其实是一种恶意软件，渗入设备，并将窃取的数据（又名为日志）传输给攻击者。日志通常被发送到服务器，但在一些情况下，日志也可以通过电子邮件和Telegram等安全聊天程序来加以传送。 窃取器可以通过各种不同的技术加以部署，包括社会工程、利用软件漏洞和恶意广告等技术。 此外，还有一个地下市场，网络犯罪分子可以在这里大量买卖设备访问权限（又叫机器人程序、安装件或感染）。 图1. 该截图显示了网络犯罪分子在论坛上出售机器人程序 愿意花钱的网络犯罪分子可以联系机器人程序卖家或商店，立即开始在成千上万个设备上部署窃取器。 图2. 该截图显示了在一个臭名昭著的网络犯罪论坛上可售的不同窃取器 窃取器可以入侵大多数浏览器，主要目标是网络应用程序的帐户信息。日志通常遵循特定的格式，这包括多列，其中的一行行数据含有各种信息，比如姓名和信用卡或借记卡详细信息等。除了获取登录凭据外，窃取器还可以泄露cookie。 cookie的重要性 cookie是存储在用户设备上的小小的数据文件，其中含有关于用户在特定网站上浏览活动和…

ToddyCat是一个相对较新的复杂APT组织，卡巴斯基研究人员最早在2020年11月检测到该组织的活动，当时该威胁组织正在对目标的Microsoft Exchange服务器进行一系列攻击，去年的一篇文章曾描述过它。 之后，该组织于2020年12月开始活动，并对欧洲和亚洲的知名对象发动了多起攻击。 在去年，我们发现了一组新的全新加载程序，并收集了有关其开发后活动的信息，这使我们能够扩展对该组织的了解，并获得有关攻击者的TTP(战术，技术和程序)的新信息。接下来，我们将描述他们的新工具集，用于窃取和泄露数据的恶意软件，以及该组织用于横向移动和进行间谍活动的技术。 工具集 标准的加载器 加载程序是64位库，由rundll32.exe调用，或者用合法的和签名的可执行文件进行侧加载，这些组件在感染阶段用于加载Ninja木马作为第二阶段。我们已经看到了这些新加载器的三种变体： 第一个变体的文件名为update.dll或x64.dll，通常使用合法的rundll32.exe Windows实用程序加载，大多数恶意代码驻留在DllMain中，但下一个阶段是通过导出的Start函数调用的，其他两个变体应该与合法的VLC.exe媒体播放器一起加载，这被滥用来加载恶意库。 加载程序通过从同一目录中应该存在的另一个文件加载加密的有效负载来启动其活动，然后使用异或对加载的数据进行解码，其中异或项是使用一种不寻常的技术生成的。恶意软件使用静态种子（static seed）通过shuffle和add操作生成256字节的XOR_KEY块。 使用另一个嵌入的64字节…

随着技术的发展，世界之间的联系变得更加紧密，攻击者使用的技术也在不断发展。攻击者通过不断地利用供应链和代码库中复杂的相互依赖关系，对组织、个人和社区造成重大风险。 近年来最令人担忧的攻击趋势之一是供应链攻击的增加，尤其是那些对代码库的攻击，这是全球网络安全领域的一个难题。根据欧盟网络安全机构(ENSA)发布的一份报告，62%的组织受到第三方网络事件的影响，只有40%的受访组织表示他们了解第三方网络和隐私风险。更令人担忧的是，38%的受访组织表示，他们不知道哪些网络问题是由第三方组件引起的，最近涉及供应链的网络攻击包括Apache Log4j, SolarWinds Orion和3CX的3CXDesktopApp。 在现代软件开发中，开发人员依赖第三方组件来简化开发过程，这使开发人员能够创建成本效益高、效率高且功能丰富的应用程序。但是，当这些受信任的组件受到攻击时会发生什么？ 攻击者可以通过组织供应链中不太安全的元素，如第三方供应商或软件存储库间接渗透系统，甚至允许他们破坏受信任的组件，从而在更大、更安全的环境中获得立足点。恶意代码经常嵌入看似合法的软件库中，当开发人员集成这些组件，就会不知不觉地将漏洞和其他网络安全风险引入他们的核心系统。 本文深入研究了攻击者在看似合法的应用程序和代码库中植入恶意有效负载的复杂方法，并以最近示例作为研究对象。 技术分析 攻击者复制合法GitHub存储库的示例研究，然后用恶意代码进行木马化和攻击，策略性地用关键字填充其存储库描述部分，以最大限度地提高其在GitHub搜索中的可见性。 通过此分析，我们可以深入…

FortiGuard实验室每两周收集一次感兴趣的勒索软件变体的数据，并发布有关报告，旨在让读者了解不断发展的勒索软件形势以及抵御这些变体的缓解措施，本文要讲的是Retch和S.H.O勒索软件。 受影响的平台：Microsoft Windows； 受影响方：Microsoft Windows用户； 影响：加密和泄露受害者的文件，并要求赎金解密文件； 严重性级别：高； Retch勒索软件概述 Retch是2023年8月中旬首次发现的一种新的勒索软件变体，它在受攻击设备上加密文件，并留下两张勒索信，要求受害者支付赎金来解密文件。 攻击媒介 虽然目前无法获得有关Retch勒索软件攻击者使用的攻击媒介的信息，但是它可能与已知其他勒索软件组织有显著关联。 目前，来自以下国家的Retch勒索软件样本已提交给公共文件扫描服务: 美国 伊朗 德国 俄罗斯 法国 哥伦比亚 韩国 意大利 一旦勒索软件运行，它就会查找并加密具有以下文件扩展名的文件： 以下目录不支持文件加密： "Windows" "Program Files" "Program Files (x86)" 勒索软件为加密文件添加了“.Retch”扩展名。 由Retch勒索软件加密的文件 然后，它会在每个加密文件的文件夹中放上一条标记为“Message.txt”的勒索信。 Retch勒索软件释放的勒索信 在勒索信中，攻击者要求受害者支付价值300欧元的比特币来解密文件，由于赎金要求较低，Retch勒索软件的攻击目标很可能是一般消费者而不是企业。如下图所示，赎金信息有法语和英语两种版本，这使我们…

在过去的几个月里，Check Point Research一直在追踪分析“STAYIN’ ALIVE ”，这是一项至少从2021年就开始活跃的持续活动。该活动在亚洲开展，主要针对电信行业和政府机构。 “Stayin’Alive”活动主要由下载和加载程序组成，其中一些被用作针对知名亚洲组织的初始攻击载体。发现的第一个下载程序名为CurKeep，目标是越南、乌兹别克斯坦和哈萨克斯坦。 观察到的工具的简单化性质以及它们的流行表明它们是一次性的，主要用于下载和运行额外的有效负载，这些工具与任何已知攻击者创建的产品没有明显的代码重叠，并且彼此之间没有太多共同之处。然而，它们都与ToddyCat基础设施有关。 该活动利用鱼叉式网络钓鱼邮件利用DLL侧加载方案来传播压缩文件，最明显的是劫持Audinate的Dante Discovery软件(CVE-2022-23748)中的dal_keepalives.dll。 “STAYIN’ ALIVE ”活动背后的攻击者利用多个独特的加载程序和下载器，所有这些加载程序和下载器都连接到同一套基础设施，与一个通常被称为“ToddyCat”的攻击相关联。 后门和加载程序的功能是非常基本和高度可变的。这表明攻击者将它们视为一次性的，并且可能主要使用它们来获得初始访问权限。 CurKeep后门 调查是从2022年9月发送给越南电信公司的一封电子邮件开始的，该电子邮件被上传到VirusTotal。邮件主题CHỈ THỊ VỀ VIỆC QUY ĐỊNH QUẢN LÝ VÀ SỬ DỤNG USER，翻译为“管理和使用说明…

Common Crawl 非营利组织维护着一个庞大的开源存储库，其中存储了自 2008 年以来收集的数 PB 级网络数据，任何人都能免费使用这些数据。由于数据集规模巨大，许多人工智能项目，包括 OpenAI、DeepSeek、Google、Meta、Anthropic 和 Stability 等公司的大型语言模型（LLM）训练，可能至少部分依赖这一数字档案。 Truffle Security 公司（TruffleHog 敏感数据开源扫描器背后的公司）的研究人员对 Common Crawl 2024 年 12 月档案中 267 亿个网页的 400 TB 数据进行检查后，发现了 11,908 个成功验证的有效机密。这些机密均为开发人员硬编码，这意味着 LLM 存在在不安全代码上进行训练的可能性。 在这些机密中，有 Amazon Web Services（AWS）的根密钥、MailChimp API 密钥以及 WalkScore 服务的有效 API 密钥等。 前端 HTML 源代码中的 AWS 根密钥：Truffle Security TruffleHog 在 Common Crawl 数据集中总共识别出 219 种不同类型的秘密，其中最常见的是 MailChimp API 密钥，近 1,500 个独特的 Mailchimp API 密钥被硬编码在前端 HTML 和 JavaScript 中。 MailChimp API 密钥在前端 HTML 源 代码中泄露：Truffle Security 开发人员的失误在于将这些密钥硬编码到 HTML 表…

近期，Splunk 威胁研究团队发现了一起大规模恶意软件攻击活动，4000 多家互联网服务提供商（ISP）深受其害，黑客借此获得了关键基础设施的远程访问权限。种种迹象表明，此次攻击或源自东欧，攻击者运用了暴力攻击手段、植入加密挖掘负载，并采用了先进的规避技术。 攻击概述 该恶意软件专门针对 ISP 系统中存在的弱凭证，通过暴力破解的方式强行渗透进入。一旦成功潜入系统，攻击者便迅速部署一系列恶意二进制文件，像 mig.rdp.exe、x64.exe 和 migrate.exe 等。这些文件一方面执行加密挖掘操作，利用受害系统的计算资源谋取利益；另一方面，负责窃取敏感信息。 这些恶意有效载荷具备多种破坏能力，它们能够禁用系统的安全功能，通过命令和控制（C2）服务器（其中包括 Telegram 机器人）将窃取的数据泄露出去，并且能够在受感染的网络中寻找并攻击其他目标。在受感染网络中横向移动时，该恶意软件主要借助 Windows 远程管理（WINRM）服务。它运用编码的 PowerShell 脚本，不仅可以禁用防病毒保护，终止其他竞争的加密矿工程序，还能在受感染的系统上建立起长期的控制权，同时修改目录权限，限制用户访问，防止自身文件被发现。 启用目录的继承权限 技术细节 此次恶意软件活动采用自解压 RAR 档案（SFX）的方式，极大地简化了部署过程。以 mig.rdp.exe 有效载荷为例，它会释放出多个文件，其中包含批处理脚本（ru.bat、st.bat）和可执行文件（migrate.exe）。这些文件会禁用 Windows Defender…