蓝队取证审计网络安全

Microsoft 近期发生了连接中断，该中断影响其 Teams 通信平台的用户，并导致连接、登录、消息接收等出现问题。 Microsoft 官方帐户发布了有关 Microsoft 365服务更新的信息：“我们发现了一个影响 Teams 服务部分的网络问题，我们正在执行故障转移来进行修复。更多信息可以在管理中心的 TM710344 下找到。” 据受影响的客户反映，登录和服务器连接出现问题，桌面和移动 Teams 应用程序在加载屏幕上冻结以及消息传递都出现了问题。以及聊天历史记录不可用、图像不再显示在聊天中、在加入 Teams 会议后留在等候室等情况。 在受影响的系统上，客户会看到“我们遇到服务器错误。某些功能现在可能无法运行，但您可以继续使用该应用程序”错误。 根据 Microsoft 365 管理中心的 TM710344 事件报告， 他们承认此次中断影响了北美、欧洲、中东和非洲地区的客户。 中断会影响执行冷启动的用户，他们可能无法登录团队并会看到“哎呀”页面，还会导致用户尝试登录其帐户并解锁设备时看到丢失的消息。 受影响的客户遇到的其他情况可能会导致： ·用户可能无法在频道和聊天中加载消息 ·用户无法查看或下载其媒体（图像、视频、音频、通话录音、代码片段） ·某些消息的发送可能会出现延迟 ·通话录音可能需要更长的时间才会出现在用户的 OneDrive for Business 和 SharePoint Online 中 ·机器人可能无法下载附件 ·发送和接收已读回执通知可能会延迟 目前，微软表示已经完成了欧洲、中东和非洲地区的故障转移…

Microsoft 已在未来版本的 Windows Server 中正式弃用点对点隧道协议 (PPTP) 和第 2 层隧道协议 (L2TP)，并建议管理员切换到提供更高安全性的不同协议。 20 多年来，该企业一直使用 PPTP 和 L2TP VPN 协议来提供对企业网络和 Windows 服务器的远程访问。 然而，随着网络安全攻击和资源变得更加复杂和强大，协议变得越来越不安全。例如，PPTP 很容易受到捕获的身份验证哈希值的离线强力攻击，而 L2TP 不提供加密，除非与其他协议（如 IPsec）结合使用。 但是，如果 L2TP/IPsec 配置不正确，可能会引入使其容易受到攻击的弱点。 因此，Microsoft 建议用户转向更新的安全套接字隧道协议 (SSTP) 和 Internet 密钥交换版本 2 (IKEv2) 协议，这些协议可提供更好的性能和安全性。 微软表示：“此举是微软战略的一部分，旨在通过将用户过渡到安全套接字隧道协议（SSTP）和互联网密钥交换版本 2（IKEv2）等更强大的协议来增强安全性和性能。” 这些更新协议能提供相对来说的更加安全的加密、更快的连接速度和更好的可靠性，使它们更适合当今日益复杂的网络环境。 Microsoft 还分享了每个协议的以下优点： SSTP 的优点 ·强加密：SSTP使用SSL/TLS加密，提供安全的通信通道。 ·防火墙穿越：SSTP可以轻松穿过大多数防火墙和代理服务器，确保无缝连接。 ·易于使用：凭借 Windows 的本机支持，SSTP 的配置和部署非常简单。 IKEv2的优点 ·安全…

潘多拉（Pandora）是 Mirai 僵尸网络的一个变种，目前它已经被发现针对经济实惠的安卓电视机和电视盒进行攻击。它利用这些设备作为僵尸网络的一部分，实施分布式拒绝服务（DDoS）攻击。Mirai 是一种针对智能摄像头和家用路由器等日常设备进行攻击的恶意软件。它能控制这些设备，并使其成为可远程控制的机器群组中的一部分。 网络犯罪分子会利用这些被称为 Mirai 的僵尸网络群组对计算机系统发起大规模攻击，即所谓的 DDoS 攻击。Mirai 的与众不同之处在于，它主要影响联网的智能家居小工具，如路由器、恒温器、婴儿监视器甚至冰箱进行攻击。它的攻击目标是许多物联网（IoT）设备所运行的通用 Linux 操作系统。Mirai 利用这些智能设备的漏洞，将它们连接成一个由被入侵设备所组成的网络，即僵尸网络。 据《网络医生》称，恶意固件的更新或用户安装用于观看盗版视频内容的应用程序，都非常容易造成网络入侵。在其他传播方式领域中，还有人怀疑用户被诱导安装了用于流式传输盗版电影和电视节目的应用程序。 这些具有欺骗性的网站主要是针对西班牙语用户。这些应用程序主要包括Latino VOD（com.global.latinotvod）、Tele Latino（com.spanish.latinomobile）、UniTV（com.global.unitviptv）和 YouCine TV（com.world.youcinetv）。 安装完应用程序后，它就会启动一个名为 "GoMediaService "的后台服务。随后，该服务会被用来收集各种文件，包括以高…

MITRE 分享了今年最常见和最危险的 25 个软件弱点列表，其中包含 2023 年 6 月至 2024 年 6 月期间披露的 31,000 多个漏洞。 软件弱点是指在软件代码、架构、实现、或设计时，攻击者可以利用它们来破坏运行易受攻击软件的系统，从而获得对受影响设备的控制权并访问敏感数据或触发拒绝服务攻击。 MITRE 表示：“这些漏洞通常很容易发现和利用，但可能会导致可利用的漏洞，使对手能够完全接管系统、窃取数据或阻止应用程序运行。” 揭示这些漏洞的根本原因可以为投资、政策和实践提供强有力的指导，以从一开始就防止这些漏洞的发生，从而使行业和政府利益相关者受益。 为了创建今年的排名，MITRE 在分析了 31,770 个 CVE 记录中的漏洞后，根据其严重性和频率对每个漏洞进行了评分，这些漏洞“将受益于重新映射分析”并在 2023 年和 2024 年报告，重点关注添加到 CISA 已知漏洞的安全漏洞被利用的 KEV 目录。 这份年度清单确定了攻击者经常利用的最关键的软件漏洞来危害系统、窃取敏感数据或破坏基本服务， CISA 强烈鼓励企业审查此列表并使用它来告知其软件安全策略。优先考虑开发和采购流程中的这些弱点有助于防止软件生命周期核心的漏洞。 CISA 还定期发布“设计安全”提醒，重点显示广为人知且已记录的漏洞，尽管有可用且有效的缓解措施，但这些漏洞尚未从软件中消除，其中一些是为了应对持续的恶意活动而发布的。 5 月和 3 月，网络安全机构又发布了两个“设计安全”提醒，敦促技术高管和软件开发人员防止其产品和代码中的路径遍历和 SQ…

0x01 前言 基于netty动态创建pipeline的特性，其内存马的构造思路与tomcat有一定的区别，目前网上有关netty内存马的文章都围绕CVE-2022-22947和XXL-JOB两种场景展开，并未对其做更为详细的分析。本文就以上述两种场景为始，尝试从源码角度探究netty内存马的部分细节，以供大家参考。 0x02 Netty介绍 I/O事件：分为出站和入站两种事件，不同的事件会触发不同种类的handler。 Handler (ChannelHandler)：handler用于处理I/O事件，继承如下几种接口，并重写channelRead方法完成请求的处理，功能类似于filter。 ChannelInboundHandlerAdapter 入站I/O事件触发该 handlerChannelOutboundHandlerAdapter 出站I/O事件触发该 handlerChannelDuplexHandler 入站和出站事件均会触发该handlerChannel (SocketChannel)：可以理解为对 Socket 的封装, 提供了 Socket 状态、读写等操作，每当 Netty 建立了一个连接后，都会创建一个对应的 Channel 实例，同时还会初始化和 Channel 所对应的 pipeline。 Pipeline (ChannelPipeline)：由多个handler所构成的双向链表，并提供如addFirst、addLast等方法添加handler。需要注意的是，每次有新请求入站时，都会创建一个与之对应的cha…

研究人员发现一款基于Go的多平台恶意软件——NKAbuse，这是首个发现的滥用新网络技术（NKN）进行数据交换的恶意软件。 NKN NKN(新网络技术)是一种使用区块链技术管理资源和维护安全以及透明模型的去中心化点对点网络协议。NKN的作用之一是优化数据传输速率和网络延迟，具体步骤是通过计算高效的数据包传递路径来实现的。与Tor网络类似，个人用户可以通过运行节点加入NKN网络。目前，NKN网络有大约60710个节点，大量阶段的参与可以增强网络的鲁棒性、去中心化、以及处理大量数据的能力。 图 NKN的数据流动 NKAbuse恶意软件 NKAbuse是一款基于Go的多平台恶意软件，这是首个滥用新网络技术（NKN）进行数据交换的恶意软件，主要攻击位于墨西哥、哥伦比亚和越南的Linux主机。其中一个NKAbuse感染的案例利用了Apache Struts漏洞(CVE-2017-5638)来攻击金融机构。虽然大多数攻击的目标是Linux计算机，但恶意软件也可以入侵物联网设备，并支持MIPS、ARM和386架构。 DDoS攻击 NKAbuse录用NKN公链协议来实现大量的洪泛攻击，并在Linux系统中植入后门。具体来说，恶意软件客户端与僵尸主机通过NKN来发送和接收数据。C2发送的payload命令包括针对特定目标的HTTP、TCP、UDP、PING、ICMP、SSL洪泛攻击等。 图 DDoS攻击命令 所有这些payload之前也被用于僵尸网络，因此当与NKN相结合后，恶意软件就可以等待管理主机发起混合攻击。 RAT 除了DDoS能力外，NKA…

近日，美国国家安全局（NSA）和网络安全与基础设施安全局（CISA）联合发布了一份网络安全咨询报告，以强调大型组织中最常见的网络安全配置错误，并详细介绍了威胁行为者滥用这些错误配置的战术、技术和程序（TTPs）。 通过NSA和CISA红蓝团队的评估，以及NSA和CISA捕获和事件响应团队的活动，这些机构确定了以下10个最常见的网络安全配置错误： 1. 软件和应用程序的默认配置； 2. 用户/管理员权限的不当分离； 3. 内部网络监控不足； 4. 缺乏网络分段； 5. 补丁管理不善； 6. 系统访问控制的绕过； 7. 弱或误配置的多因素认证（MFA）方法； 8. 不充分的网络共享和服务的访问控制列表（ACLs）； 9. 糟糕的凭证卫生； 10. 无限制的代码执行。 这些配置错误说明了许多大型组织——包括那些具有成熟网络态势的组织的系统性漏洞和攻击风险，凸显了软件开发商采用“设计即安全”（secure-by-design）原则的重要性和紧迫性。 以下是每项配置错误以及威胁行为者用于滥用这些错误配置的战术、技术和程序（TTPs）的详细介绍。 1. 软件和应用程序的默认配置 系统、服务和应用程序的默认配置可能允许未经授权的访问或其他恶意活动。常见的默认配置包括： （1）默认凭据； （2）默认业务权限和配置设置； 默认凭证 许多软件开发商发布的商用现货（COTS）网络设备（通过应用程序或web门户提供用户访问）包含内置管理帐户的预定义默认凭据。恶意行为者和评估团队经常通过以下方式滥用默认凭证： （1）通过简单的网络搜索查找凭证，并使用它们获得对设备…

ChatGPT遭遇DDoS攻击 2023年11月8日，OpenAI声称，正在解决针对其API和ChatGPT服务的DDoS攻击，引发的服务中断问题。OpenAI 经过调查发现，其服务中断是由于异常流量所引发，即DDoS攻击。此外，11月6日以来ChatGPT已遭遇多次服务中断。 图 ChatGPT服务中断 DDoS攻击与Anonymous Sudan有关 OpenAI尚未确定DDoS攻击的发起者，但知名黑客组织Anonymous Sudan于11月8日承认是其发起了DDoS攻击。Anonymous Sudan 还承认在攻击中使用了SkyNet僵尸网络。 10月，SkyNet开始提供更强的攻击服务，并支持应用层攻击或Layer 7 DDoS攻击。在Layer 7 DDoS攻击中，攻击者通过发起大量的请求来淹没服务，使得服务无法处理正常的请求。与消耗带宽的反射性DNS放大网络层攻击相比，这种攻击可以消耗目标服务器和网络的资源，且更加高效。6月，Anonymous Sudan还使用Layer 7 DDoS攻击攻击了微软的Outlook.com、OneDrive和Azure Portal。

Orbit Chain是多资产区块链平台，通过链间通信协议（Inter-Blockchain Communication，IBC）连接不同的区块链平台，旨在实现不同区块链生态系统资产和数据的无缝转移。与以太坊类似，Orbit Chain更像是一个支持更广生态的区块链基础设施项目。 2023年12月31日，Orbit Chain遭遇网络攻击，价值8600万美元的加密货币被窃，包括Ether、Dai、Tether和USD Coin。攻击者发起的第一笔交易时间为UTC时间2023年12月31日晚上9:07:59，虽然攻击者的身份来源尚未确定，但有研究人员分析此次攻击与朝鲜APT组织有关。 图 Orbit Chain攻击流 Orbit Chain称正在与韩国警察局、韩国互联网和安全机构（KISA）等机构分析威胁来源，其中KISA主要关注来自朝鲜的威胁。 Lazarus这样的朝鲜黑客组织2023年发起了各种加密货币相关的网络攻击，其将窃取加密货币作为绕过国际制裁和资助国家武器发展和网络项目的经济来源。此外，Orbit Chain也发出预警信息称垃圾邮件发送者正使用经过验证的推特（X）账户来发送钓鱼邮件，称可以返回被窃的加密货币。 图 推特上推送Orbit Chain的虚假账户 一旦用户连接到垃圾邮件中的钱包，恶意脚本就会从用户钱包中窃取所有的加密货币资产，其中包括NFT。 区块链威胁追踪服务Scam Sniffer称，2023年黑客共从32万多名受害者处窃取了超过价值2.95亿美元的数字货币。

受影响的平台：Windows 受影响方：任何组织 影响：远程攻击者窃取凭据、敏感信息和加密货币 严重性级别：严重 8月，FortiGuard实验室捕获了一份Word文档，其中包含一个恶意URL，旨在引诱受害者下载恶意软件加载程序。该加载程序采用二进制填充逃避策略，添加空字节以将文件大小增加到400MB。该加载程序的有效负载包括用于密钥记录和密码恢复的OriginBotnet，用于加密货币盗窃的RedLine Clipper和用于获取敏感信息的AgentTesla。 下图展示了全面的攻击流程，我们会在本文研究该文件如何部署的各个阶段，深入研究其传播恶意软件的细节。 攻击流程 文件分析 钓鱼电子邮件将Word文档作为附件发送，故意呈现模糊的图像和伪造的reCAPTCHA以引诱收件人点击它。点击会激活文件“\Word_rels\document.xml.rels”中嵌入的恶意链接，如下图所示。 Word文档 恶意URL 加载程序分析 初始加载程序是从https://bankslip[.]info/document/scancop20233108[.]exe获取的。此文件是用.NET编写，用于解密“HealthInstitutionSimulation.Properties.Resources.Resources”中的“Main_Project”资源数据。它使用字符串“WdxDFWxcf09WXfVVjLwKKcccwnawf”的异或操作，然后使用“Activator.CreateInstance()”来执行解码的信息。解码过程如下图所示。 …

Otelier（以前称为 MyDigitalOffice）是一种基于云的酒店管理解决方案，全球 10,000 多家酒店使用它来管理预订、交易、夜间报告和发票。该公司被许多知名酒店品牌使用，其中包括万豪、希尔顿和凯悦。 近期，酒店管理平台 Otelier 遭遇数据泄露，黑客入侵了其 Amazon S3 云存储，窃取了数百万客人的个人信息以及万豪、希尔顿和凯悦等知名酒店品牌的预订信息。 据称，该漏洞首次发生于 2024 年 7 月，并持续访问至 10 月份，威胁者声称从 Otelier 的 Amazon AWS S3 存储桶中窃取了近 8 TB 的数据，并表示正在与受影响的客户进行沟通。 Otelier 表示一直在与可能涉及信息的客户进行沟通，目前经调查，未经授权的访问已被终止。为了防止未来发生类似事件，Otelier 已经禁用了相关帐户。 通过窃取的凭证而遭到破坏 Otelier 漏洞背后的威胁者表示，他们最初使用员工的登录信息入侵了该公司的 Atlassian 服务器。这些凭证是通过信息窃取恶意软件窃取的，这在过去几年中已成为企业网络的祸根。有媒体要求 Otelier 确认这一信息时，该公司表示他们无法就该事件发表任何进一步的评论。安全研究员在 Flare 威胁情报平台 Otelier 上发现员工信息已被 infostealer 恶意软件窃取。威胁者表示，他们使用这些凭据来抓取票据和其他数据，其中包含该公司 S3 存储桶的更多凭据。 黑客声称利用此访问权限从该公司的亚马逊云存储下载了 7.8TB 的数据，其中包括由 Otelier 管理的…

1 概述 近期，安天CERT监测到多起Outlaw挖矿僵尸网络攻击事件，该挖矿僵尸网络最早于2018年被发现，主要针对云服务器从事挖矿活动，持续活跃。安天CERT在分析近期的攻击事件中发现，该挖矿僵尸网络样本在第三版本基础上有了重要更新，其功能更加多样、隐匿性更高、清除更加困难。主要传播途径和功能依旧是SSH暴力破解攻击目标系统，植入SSH公钥，以达到长期控制目标系统的目的，同时下载执行基于Perl脚本语言编写的后门和开源门罗币挖矿木马，使用扫描和暴力破解工具对其他主机进行相应攻击。 经验证，安天智甲终端防御系统可有效防御、查杀该挖矿木马。 2 攻击流程 Outlaw挖矿僵尸网络首先会通过扫描SSH服务对目的主机进行暴力破解，获取权限后下载最终载荷文件dota3.tar.gz，然后不落地执行tddwrt7s.sh脚本中的指令，初始化脚本，将载荷放到/tmp目录下，解压缩载荷文件，并执行载荷文件中的第一个Perl脚本initall，该脚本最终会执行载荷文件中的第二个Perl脚本init2，会在cron.d文件中写入计划任务，依次执行a、b、c文件夹中的a、a、start脚本。 一、a文件夹： 1.a文件的主要作用是检测与清除RedTail挖矿僵尸网络相关的恶意行为，执行run文件。 2. run文件用于启动并管理名为kswapd00的挖矿程序以及stop脚本。 3.stop文件的主要功能是执行init0文件以及清理目标系统中的指定文件和进程。 4.init0文件用于全面排查并清理与挖矿相关的活动。 二、b文件夹： 1.a文件的主要功能是执…

安全研究人员查看 Parrot 流量引导系统 (TDS) 使用的 10,000 多个脚本后，发现逐渐优化的演变过程使恶意代码对安全机制更加隐蔽。 Parrot TDS 于 2022 年 4 月被网络安全公司发现，自 2019 年以来一直活跃。主要针对易受攻击的 WordPress 和 Joomla 网站，使用 JavaScript 代码将用户重定向到恶意位置。 研究人员分析，Parrot 已经感染了至少 16,500 个网站，是一次大规模的恶意操作。 Parrot 背后的运营商将流量出售给威胁组织，威胁组织将其用于访问受感染网站的用户，以进行分析并将相关目标重定向到恶意目的地，例如网络钓鱼页面或传播恶意软件的位置。 不断演变的恶意软件 Palo Alto Networks 的 Unit 42 团队最近发布的一份报告显示，Parrot TDS 仍然非常活跃，并且 JavaScript 注入更难以检测和删除。 Unit 42 分析了 2019 年 8 月至 2023 年 10 月期间收集的 10,000 个 Parrot 登陆脚本。研究人员发现了四个不同的版本，显示了混淆技术使用的进展。 Parrot 的登陆脚本有助于用户分析，并强制受害者的浏览器从攻击者的服务器获取有效负载脚本，从而执行重定向。 Parrot 攻击链 据研究人员称，Parrot TDS 活动中使用的脚本是通过代码中的特定关键字来识别的，包括“ ndsj ”、“ ndsw ”和“ ndsx ”。 Unit 42 注意到，所检查样本中大多数感染已转移到最新版本的…

纽约宣布与 PayPal 达成 200 万美元和解，起因是其未能遵守该州的网络安全法规，导致 2022 年数据泄露。纽约金融服务部 (DFS ) 称，威胁者利用 PayPal 系统中的安全漏洞进行撞库攻击，从而获取到了对敏感客户信息的访问权限。 2023 年，据PayPal 披露，威胁者在 2022 年 12 月 6 日至 8 日期间进行了大规模凭证填充攻击，导致 35,000 个账户遭到泄露。当时曝光的数据包括姓名，出生日期，邮政地址，社会保险号和个人税收标识号等重要数据信息。 据了解，在PayPal实施对现有数据流的更改之后，客户数据被暴露出来，以使IRS表格1099 ks可供更多客户使用。但是，负责实施这些更改的团队未经PayPal的系统和应用程序开发过程进行培训。因此，在更改进行之前，他们未能遵循适当的程序而使不法分子有机可乘。 持有PayPal帐户有效凭证的网络犯罪分子能够访问这些帐户及其1099-K表格后，造成许多敏感信息被泄露。这些“凭据填充”攻击的成功取决于缺乏多因素身份验证（MFA）保护，这在当时不是强制性的。 他们与较弱的访问控件相结合，允许在没有验证码或限制费率的情况下进行自动登录尝试，构成了PayPal的关键合规性失败。构成纽约网络安全法规23条NYCRR§500.3、500.10和500.12的违规行为。事件发生后，PayPal被要求实施适当的网络安全政策，人员培训和身份验证控制。 DFS 表示，尽管 PayPal 在发现漏洞后采取了多项补救措施，包括屏蔽 IRS 表格上的敏感数据、实施验证码和速率限制，以及对所…

在追踪Pensive Ursa(又名Turla, Uroburos)的迭代中，Unit 42的研究人员发现了Kazuar一个新的升级变体——一个先进而隐秘的 .NET后门，Pensive Ursa通常将其用作第二级有效负载。 “Pensive Ursa”是一个总部位于俄罗斯的攻击组织，至少从2004年开始活动，与俄罗斯联邦安全局(FSB)有联系。 乌克兰CERT在2023年7月报告说，这个版本的Kazuar是针对乌克兰国防部门的，背后攻击组织的目标是敏感数据，比如Signal消息、源代码控制和云平台数据。 自从Unit 42在2017年发现Kazuar以来，研究人员只在野外看到过几次，主要针对欧洲政府和军事部门的组织。由于代码相似，Sunburst后门与Kazuar联系在一起，这表明了它非常复杂。自2020年底以来，研究人员没有在野外看到新的Kazuar样本，但有报道称Kazuar正在不断开发中。 正如Kazuar升级版的代码所揭示的那样，Kazuar的开发者正在增强器隐形操作能力，他们使用各种先进的反分析技术，并通过有效的加密和混淆实践来保护恶意软件代码。 Kazuar概述 Kazuar是一种先进的、隐秘的.NET后门，Pensive Ursa通常将其作为第二阶段的有效负载，与攻击组织通常使用的其他工具一起传播。 最近乌克兰CERT报告的活动揭示了Kazuar的多阶段传播机制，以及其他工具，如新的Capibar第一阶段后门。研究人员对这个新版本的技术分析显示，它的代码结构和功能都有了显著的改进。 这篇文章将详细介绍以前未记录的功能，包括…

多个勒索软件团伙用来关闭端点检测和响应 (EDR) 解决方案的恶意 PoorTry 内核模式 Windows 驱动程序已演变为 EDR 擦除器，删除了对安全解决方案的运行至关重要的文件，并使恢复变得更加困难。 尽管 Trend Micro 自 2023 年 5 月以来就警告过 Poortry 上添加了此功能，但 Sophos 现已确认在野外看到了 EDR 擦除攻击。 PoorTry 从 EDR 停用器演变为 EDR 擦除器，代表了勒索软件参与者在策略上非常激进的转变，他们现在优先考虑更具破坏性的设置阶段，以确保在加密阶段获得更好的结果。 PoorTry，也称为“BurntCigar”，于 2021 年开发，作为内核模式驱动程序，用于禁用 EDR 和其他安全软件。 该套件被多个勒索软件团伙使用，包括 BlackCat、Cuba 和 LockBit，最初引起人们注意是因为其开发人员找到了通过 Microsoft 的认证签名流程对其恶意驱动程序进行签名的方法。其他网络犯罪团伙，如 Scattered Spider也被发现使用该工具实施以凭证盗窃和 SIM 卡交换攻击为重点的入侵。 在 2022 年和 2023 年期间，Poortry 不断发展，优化其代码并使用 VMProtect、Themida 和 ASMGuard 等混淆工具来打包驱动程序及其加载器（Stonestop）以进行逃避检测。 Evolution to a wiper Sophos 的最新报告基于 2024 年 7 月的 RansomHub 攻击，该攻击利用 Poortry 删除关…

Promon公司发现了一种新的安卓恶意软件，并命名为命名为FjordPhantom，它具有很强的隐蔽性和传播能力，本文将深入探讨FjordPhantom的性质及工作原理。 背景 通过合作伙伴i-Sprint，Promon安全研究团队在9月初知道了一种新的安卓恶意软件在东南亚（主要在印尼、泰国和越南）传播的消息。它主要通过消息传递服务传播，将基于应用程序的恶意软件与社交工具相结合，以欺骗银行客户。Promon与该地区的银行交流后得知，在撰写本文时，一名客户被骗走了约28万美元。  Promon已收到了从终端用户设备中提取的恶意软件样本。这个样本针对一家特定的银行，但含有的代码也可以针对其他银行应用程序。目前未能找到更多的恶意软件样本，也无法找到任何关于该恶意软件的公开信息，于是我们自行进行了技术分析。安卓银行恶意软件无处不在，而这个恶意软件的独特之处在于，使用虚拟化技术攻击应用程序，虚拟化通常用作逆向工程中的工具，这是我们此前从未见过的。 FjordPhantom如何传播？ FjordPhantom主要通过电子邮件、短信和消息传递应用程序传播。用户被提示下载一个看起来像银行正规应用程序的应用程序，实际上，下载的应用程序包含银行真实的安卓应用程序，但它在虚拟环境中运行，额外组件可以对应用程序进行攻击。 下载后，用户会受到社会工程攻击。通常，这是由呼叫中心的攻击团队支持的。他们假装是银行的客户服务，指导客户完成运行应用程序的步骤。 恶意软件使攻击者能够跟踪用户的操作，从而引导用户执行交易或使用该过程窃取凭据，他们可以使用这些凭据发动另外的攻击…

Pwn2Own Ireland 2024 第四天黑客竞赛结束，这场黑客竞赛旨在让安全研究人员与各种软件和硬件产品进行对抗，试图通过破坏八个类别的目标来赢得“破解大师”的称号，这些目标包括手机、消息应用程序、家庭自动化、智能扬声器、打印机、监控系统、网络附加存储 (NAS) 和 SOHO Smash-up。 本届 Pwn2Own 是白帽黑客连续第四次突破百万美元奖金大关，总共赢得了 1,066,625 美元。 在比赛的最后一天，安全研究人员成功利用了 Lexmark、True NAS 和 QNAP 的设备： ·Team Smoking Barrels 利用了 TrueNAS X 中的两个漏洞。尽管其中一个漏洞之前已在比赛中使用过，但该团队仍然赢得了 20,000 美元和 2 个 Pwn 大师积分。 ·Team Cluck 利用六个漏洞从 QNAP QHora-322 迁移到 Lexmark CX331adwe。其中一个缺陷已被利用，但他们因成功利用而获得了 23,000 美元和 Pwn 大师积分。 ·Viettel Cyber Security 利用两个漏洞使用了 TrueNAS Mini X。他们的链条也依赖于之前在比赛中发现的一个错误，但他们的演示获得了 20,000 美元和 2 个 Pwn 大师积分的奖励。 ·PHP Hooligans / Midnight Blue 利用整数溢出漏洞攻击 Lexmark 打印机，赢得了 10,000 美元和 2 个 Pwn 大师积分。 Viettel Cyber Security 因总共获得 33 …

Python软件包索引（PYPI）宣布了“项目档案”的引入，该系统允许发布者归档其项目，并向用户表明预计不会更新。这些项目还将在PYPI上托管，用户仍然可以下载它们，但会看到有关维护状态的声明。 基于劫持开发人员帐户并将恶意更新推向广泛使用但废弃的项目是开源空间中的常见情况，所以这项新功能旨在提高供应链的安全性。 除了降低用户的风险外，它还通过确保与项目的生命周期状态进行沟通来减少用户的支持请求。 关于存档项目的警告字样 项目档案如何工作 根据PYPI新项目档案系统开发人员的详细博客表示，该功能提供了维护者控制的状态，该状态允许项目所有者将其项目标记为已存档，向用户发出信号，并表明将不会有进一步的更新。 PYPI建议维护者在归档项目之前发布最终版本，以包括对项目的详细信息和解释，尽管这不是强制性的。如果维护者选择恢复工作，可以在将来的任何时间都不构建其项目。 在引擎盖下，新系统使用最初用于项目隔离的生命周期模型，其中包括一个可以在不同状态之间过渡的状态机器。一旦项目所有者单击PYPI设置页面上的“存档项目”选项，该平台将自动更新其元数据以反映新状态。 PYPI新项目档案系统开发人员说，有计划添加更多的项目状态，例如“弃用”，“功能完整”和“未经许可”，使用户对项目状况有了更清晰的了解。 项目设置中的新选项 警告字样旨在通知开发人员，他们需要寻找积极维护的替代依赖性，而不是继续依靠过时的和潜在的不安全项目。除此之外，攻击者通常是针对废弃的包裹，接管未来的项目并通过更新几年后来注入恶意代码的情况。 在其他情况下，维护者选择在计划停止开…

勒索软件 Qilin 是目前运行 VMware ESXi 的计算机所面临的新的威胁，这也是针对加密货币进行网络攻击的最新形势。关注此事的安全专家针对此情况表示很大的担忧：Qilin 病毒linux版本展示了一种强有针对性的高级策略，尤其是针对虚拟化的系统。 目前，有相关报告指出，该恶意软件已经盯上了广泛使用的虚拟化平台 VMware ESXi。 由于 Qilin 勒索软件能够破坏企业的核心基础设施，因此也引起了人们的关注。VMware ESXi 作为数据中心虚拟化的热门首选，目前已成为了首要的攻击目标。攻击者采用了较为先进的技术攻击利用 ESXi 服务器中的漏洞，加密系统关键数据并索要赎金。 网络安全公司 GridinSoft 对 Qilin 的作案手法进行了深入分析。分析显示，该勒索软件故意将攻击重点放在了虚拟机上，尤其是那些托管在 VMware ESXi 上的虚拟机。攻击者利用 ESXi 版本中的漏洞，强调企业需要及时更新系统并打补丁。 网络安全行业正在进行积极的合作，以了解和应对 Qilin 的威胁。在企业加强网络防御的同时，必须随时了解勒索软件目前不断变化的本质，要降低与 Qilin 类似网络威胁相关的风险，就必须时刻保持警惕、定期更新和采取强有力的备份策略。 尽管 Qilin 勒索软件是一个非常重大的安全问题，但它也凸显了网络威胁在不断变化这一更加重大的问题。据网络安全专家称，目前攻击者能熟练地将重点放在关键基础设施上，并且网络威胁的格局也在不断的变化。 要防范此类攻击行动，主动采取行之有效的网络安全措施至关重要。以VMware…

浏览器隔离是一种日益流行的安全技术，它通过云环境或虚拟机中托管的远程 Web 浏览器路由所有本地 Web 浏览器请求，所访问网页上的任何脚本或内容都在远程浏览器而不是本地浏览器上执行。 然后，页面的渲染像素流被发送回发出原始请求的本地浏览器，仅显示页面的外观并保护本地设备免受任何恶意代码的侵害。许多命令和控制服务器利用 HTTP 进行通信，导致远程浏览器隔离以过滤恶意流量，并使这些通信模型无效。 Mandiant 发现了一种绕过浏览器隔离技术并通过 QR 码实现命令和控制操作的新方法，Mandiant的新技术试图绕过这些限制，尽管它有一些实际限制，但它表明浏览器中现有的安全保护还远远不够完美，需要结合额外措施的“纵深防御”策略。 C2 和浏览器隔离的背景 C2 通道支持攻击者和受感染系统之间的恶意通信，使远程攻击者能够控制受破坏的设备以及执行命令、窃取数据等。由于浏览器在设计上不断与外部服务器交互，因此会激活隔离措施，以防止攻击者在安全关键环境中访问底层系统上的敏感数据。 这是通过在云端、本地虚拟机或本地托管的单独沙盒环境中运行浏览器来实现的。当隔离处于活动状态时，隔离的浏览器会处理传入的 HTTP 请求，并且只有页面的可视内容会流式传输到本地浏览器，这意味着 HTTP 响应中的脚本或命令永远不会到达目标。 这会阻止攻击者直接访问 HTTP 响应或向浏览器注入恶意命令，从而使隐蔽的 C2 通信变得更加困难。 浏览器隔离概述 Mandiant的绕行技巧 Mandiant 研究人员设计了一种新技术，可以绕过现代浏览器中现有的隔离机制。攻击…

赌博是一门大生意，赌场的经营收入让场内最大的高额赌注都显得微不足道。因此，赌场落实严格的程序和流程，以确保不存在客户欺骗的情况。然而，与计算机领域相比，一些安全研究人员认为赌博法规和安全技术“有点过时”，这导致对此感兴趣的研究人员使用Raspberry Pi Zero来制造自己的概念证明工具。 去年9月，YouTube上播放了一段备受争议的洛杉矶扑克节目《Hustler Live Casino》牌局。长话短说，一个新手骗倒了一个老手。《连线》杂志报道，“成千上万愤怒的扑克玩家”高呼犯规，暗示这个新手在某种程度上作弊了。 《连线》杂志报道了《洗牌和发牌：分析自动洗牌机的安全性》，IOActive公司的Joseph Tartaro、Enrique Nissim和Ethan Shackelford在2023年黑帽大会上对此进行了一番演示。 赌场在随后长达数月的调查后得出了结论：不存在任何犯规行为。然而，这一结论引起了安全公司IOActive的计算机研究人员兼顾问Joseph Tartaro的不满。尤其让Tartaro生气的是这种说法：Deckmate洗牌机完全不容怀疑（尽管一些人怀疑洗牌机被做了手脚）。调查结论相当自信地声称：“Deckmate洗牌机是安全的，不可能被人做手脚。” 这番声明在安全界看来就像向一头公牛亮出红布一样。Deckmate是赌场中使用最广泛的自动洗牌机，因此进一步调查更备受关注。 于是，Tartaro及其在IOActive的两位同事开始对Deckmate进行了长达数月的调查。研究结果于周二在拉斯维加斯举行的黑帽安全大会上公…

Redline 和 Meta 都是信息窃取者。作为一种恶意软件，可以从受感染设备上的浏览器窃取存储的信息，包括凭据、身份验证 cookie、浏览历史记录、敏感文档、SSH 密钥和加密货币钱包。这些数据随后被威胁者出售或用于助长大规模网络漏洞，从而导致数据盗窃、勒索软件攻击和网络间谍活动。 近期，荷兰国家警察在“马格努斯行动”中查获了 Redline 和 Meta infostealer 恶意软件操作的网络基础设施，并悉数掌握网络犯罪分子手中的数据。 此次行动在国际执法合作伙伴的帮助下进行，这些合作伙伴包括联邦调查局 (FBI)、海军罪案调查处 (NCIS)、美国司法部、欧洲司法组织 (Eurojust)、国家犯罪局 (NCA) 以及葡萄牙和比利时的警察部队。 目前该组织已经宣布针对 Redline 和 Meta 用户进行“最终更新”，提醒他们现在注意自己的帐户凭据、IP 地址、活动时间戳、注册详细信息等。 这表明调查人员掌握了可用于追踪使用该恶意软件的网络犯罪分子的证据，因此未来很可能会进行逮捕和起诉。 此外，当局声称他们可以访问这两种恶意软件的源代码，包括许可证服务器、REST-API 服务、面板、窃取程序二进制文件和 Telegram 机器人。 Meta 和 Redline 共享相同的基础设施，因此这两个项目背后可能有相同的创建者或运营者。Redline 和 Meta 都是通过 Telegram 上的机器人出售的，这些机器人现已被删除。 NCA 国家网络犯罪部门负责人、副主任 Paul Foster 表示：“这些服务得到了犯罪生态…

安全研究人员追踪的网络犯罪团伙 Revolver Rabbit 已注册了超过 50 万个域名，用于针对 Windows 和 macOS 系统的信息窃取活动。为了进行如此大规模的攻击，威胁者依赖于注册域生成算法 (RDGA)，这是一种允许在瞬间注册多个域名的自动化方法。 RDGA 类似于网络犯罪分子在恶意软件中实施的域名注册算法 (DGA)，用于创建命令和控制 (C2) 通信的潜在目的地列表。 两者之间的一个区别是，DGA 嵌入在恶意软件中，并且只有部分生成的域被注册，而 RDGA 仍保留在威胁行为者手中，并且所有域都已注册。 虽然安全研究人员发现 DGA 并尝试对其进行逆向工程以了解潜在的 C2 域，但 RDGA 是秘密的，找到生成要注册的域的模式变得更加具有挑战性。 Revolver Rabbit 运营着超过 500,000 个域名 专注于 DNS 的安全供应商 Infoblox 的研究人员发现，Revolver Rabbit 一直在使用 RDGA 购买数十万个域名，注册费总计超过 100 万美元。 威胁者正在传播 XLoader 信息窃取恶意软件（Formbook 的后继者），其适用于 Windows 和 macOS 系统的变种用于收集敏感信息或执行恶意文件。 Infoblox 表示，Revolver Rabbit 控制着超过 500,000 个 .BOND 顶级域名，这些域名用于为恶意软件创建诱饵和实时 C2 服务器。 Infoblox 威胁情报副总裁告诉媒体，与 Revolver Rabbit 相关的 .BOND 域名最容易发现，…

Rustbucket 是一种全新类型的恶意软件，最近刚刚浮出水面，目前已对 macOS 设备构成了严重威胁。这种隐匿的间谍软件能悄无声息地感染 Mac 系统，而不会引起使用者的任何警觉。由于 Rustbucket 能够将自己伪装成安全的 PDF 查看器，因此这引起了大量的安全专家的注意。本文旨在向读者介绍 Rustbucket 的秘密、可能的来源以及用户为保护 macOS 计算机应采取的安全措施。 Rustbucket 因其隐蔽的渗透策略在网络安全界掀起了轩然大波。它将自己伪装成一个看似正常的 PDF 查看器，诱使用户在不知情的情况下允许它访问自己的 Macos 系统。一旦进入到了系统，恶意软件就会处于休眠状态，从而逃避安全软件和 Mac 用户的检测。专家们强调，Rustbucket 的技术非常复杂，能够悄无声息地收集用户的敏感信息，并在不被发现的情况下进行恶意的攻击活动。 研究人员目前已将 Rustbucket 与朝鲜国家支持的高级持续威胁（APT）攻击联系了起来。虽然目前还需要做进一步调查才能最终确认其来源，但它与以前观察到的朝鲜 APT 恶意软件的相似之处还非常明显。这一发现引起了人们对潜在的国家支持的网络间谍攻击活动的担忧，并凸显了提高 macOS 安全警惕性的必要性。 系统保护措施： 及时对软件进行更新：定期更新操作系统和应用程序有助于防止恶意软件利用已知漏洞。 谨慎对待电子邮件附件： 打开电子邮件附件时要谨慎，尤其是那些来源不明或可疑的附件。验证附件和发件人的合法性后再进行操作。 使用强大的安全软件：安装专为 macOS 系统…