蓝队取证审计网络安全

安全研究人员查看 Parrot 流量引导系统 (TDS) 使用的 10,000 多个脚本后，发现逐渐优化的演变过程使恶意代码对安全机制更加隐蔽。 Parrot TDS 于 2022 年 4 月被网络安全公司发现，自 2019 年以来一直活跃。主要针对易受攻击的 WordPress 和 Joomla 网站，使用 JavaScript 代码将用户重定向到恶意位置。 研究人员分析，Parrot 已经感染了至少 16,500 个网站，是一次大规模的恶意操作。 Parrot 背后的运营商将流量出售给威胁组织，威胁组织将其用于访问受感染网站的用户，以进行分析并将相关目标重定向到恶意目的地，例如网络钓鱼页面或传播恶意软件的位置。 不断演变的恶意软件 Palo Alto Networks 的 Unit 42 团队最近发布的一份报告显示，Parrot TDS 仍然非常活跃，并且 JavaScript 注入更难以检测和删除。 Unit 42 分析了 2019 年 8 月至 2023 年 10 月期间收集的 10,000 个 Parrot 登陆脚本。研究人员发现了四个不同的版本，显示了混淆技术使用的进展。 Parrot 的登陆脚本有助于用户分析，并强制受害者的浏览器从攻击者的服务器获取有效负载脚本，从而执行重定向。 Parrot 攻击链 据研究人员称，Parrot TDS 活动中使用的脚本是通过代码中的特定关键字来识别的，包括“ ndsj ”、“ ndsw ”和“ ndsx ”。 Unit 42 注意到，所检查样本中大多数感染已转移到最新版本的…

我们将在本文介绍解码用于加载cobalt strike shellcode的简单.hta加载器的过程，接下来用文本编辑器执行初始分析，并使用CyberChef提取嵌入的shellcode，将使用模拟器(SpeakEasy)验证shellcode，使用Ghidra执行一些基本分析。 哈希：2 c683d112d528b63dfaa7ee0140eebc4960fe4fad6292c9456f2fbb4d2364680。将zip文件下载到一个安全的虚拟机中，并在感染密码的情况下解压缩，将显示一个.hta文件。.hta文件本质上是一个带有嵌入式脚本的html文件，我们的目标是定位和分析嵌入的脚本。 由于.hta是一种基于文本的格式，我们可以直接在文本编辑器中打开该文件。 使用文本编辑器进行分析 在文本编辑器中打开该文件将显示一小段混淆的代码，后面跟着一个大的base64 blob。 出于分析目的，我们不需要解码初始部分，我们可以通过PowerShell命令的存在和分解的wscript.shell来判断这一点。它通常从javascript执行命令。 使用初始脚本只执行base64 blob的方法，我们可以直接解码base64。如果base64 blob不能解码，可以返回到初始片段进行分析。 解码Base64 可以继续突出显示整个base64 blob并将其复制到cyberchef，现在可以尝试解码它。 将base64内容复制到CyberChef中，可以看到字符之间带有空字节的明文，这通常表示utf-16编码，很容易通过“decode t…

安全研究人员发现了一个专为移动运营商网络设计的新的 Linux 后门，名为 GTPDOOR。GTPDOOR 背后的威胁分子以 GPRS 漫游交换 (GRX) 附近的系统为目标，例如 SGSN、GGSN 和 P-GW，这些系统可以为攻击者提供对电信核心网络的直接访问。 GRX 是移动电信的一个组件，可促进跨不同地理区域和网络的数据漫游服务。服务 GPRS 支持节点 (SGSN)、网关 GPRS 支持节点 (GGSN) 和 P-GW（分组数据网络网关（用于 4G LTE））是移动运营商网络基础设施内的组件，每个组件在移动通信中发挥不同的作用。 由于SGSN、GGSN和P-GW网络更多地暴露在公众面前，IP地址范围列在公开文件中，研究人员认为它们可能是获得移动运营商网络初始访问权限的目标。 安全研究人员解释说 ，GTPDOOR 很可能是属于“LightBasin”威胁组织 (UNC1945) 的工具，该组织因专注于全球多家电信公司的情报收集而臭名昭著。 研究人员发现了 2023 年底上传到 VirusTotal 的两个版本的后门，这两个版本基本上都没有被防病毒引擎检测到。这些二进制文件针对的是非常旧的 Red Hat Linux 版本，表明目标已经过时。 隐秘的 GTPDOOR 操作 GTPDOOR 是一种专为电信网络量身定制的复杂后门恶意软件，利用 GPRS 隧道协议控制平面 (GTP-C) 进行隐蔽命令和控制 (C2) 通信。它用于部署在与 GRX 相邻的基于 Linux 的系统中，负责路由和转发漫游相关的信令和用户平面流量。 使用 G…

0x01 前言 基于netty动态创建pipeline的特性，其内存马的构造思路与tomcat有一定的区别，目前网上有关netty内存马的文章都围绕CVE-2022-22947和XXL-JOB两种场景展开，并未对其做更为详细的分析。本文就以上述两种场景为始，尝试从源码角度探究netty内存马的部分细节，以供大家参考。 0x02 Netty介绍 I/O事件：分为出站和入站两种事件，不同的事件会触发不同种类的handler。 Handler (ChannelHandler)：handler用于处理I/O事件，继承如下几种接口，并重写channelRead方法完成请求的处理，功能类似于filter。 ChannelInboundHandlerAdapter 入站I/O事件触发该 handlerChannelOutboundHandlerAdapter 出站I/O事件触发该 handlerChannelDuplexHandler 入站和出站事件均会触发该handlerChannel (SocketChannel)：可以理解为对 Socket 的封装, 提供了 Socket 状态、读写等操作，每当 Netty 建立了一个连接后，都会创建一个对应的 Channel 实例，同时还会初始化和 Channel 所对应的 pipeline。 Pipeline (ChannelPipeline)：由多个handler所构成的双向链表，并提供如addFirst、addLast等方法添加handler。需要注意的是，每次有新请求入站时，都会创建一个与之对应的cha…

Rustbucket 是一种全新类型的恶意软件，最近刚刚浮出水面，目前已对 macOS 设备构成了严重威胁。这种隐匿的间谍软件能悄无声息地感染 Mac 系统，而不会引起使用者的任何警觉。由于 Rustbucket 能够将自己伪装成安全的 PDF 查看器，因此这引起了大量的安全专家的注意。本文旨在向读者介绍 Rustbucket 的秘密、可能的来源以及用户为保护 macOS 计算机应采取的安全措施。 Rustbucket 因其隐蔽的渗透策略在网络安全界掀起了轩然大波。它将自己伪装成一个看似正常的 PDF 查看器，诱使用户在不知情的情况下允许它访问自己的 Macos 系统。一旦进入到了系统，恶意软件就会处于休眠状态，从而逃避安全软件和 Mac 用户的检测。专家们强调，Rustbucket 的技术非常复杂，能够悄无声息地收集用户的敏感信息，并在不被发现的情况下进行恶意的攻击活动。 研究人员目前已将 Rustbucket 与朝鲜国家支持的高级持续威胁（APT）攻击联系了起来。虽然目前还需要做进一步调查才能最终确认其来源，但它与以前观察到的朝鲜 APT 恶意软件的相似之处还非常明显。这一发现引起了人们对潜在的国家支持的网络间谍攻击活动的担忧，并凸显了提高 macOS 安全警惕性的必要性。 系统保护措施： 及时对软件进行更新：定期更新操作系统和应用程序有助于防止恶意软件利用已知漏洞。 谨慎对待电子邮件附件： 打开电子邮件附件时要谨慎，尤其是那些来源不明或可疑的附件。验证附件和发件人的合法性后再进行操作。 使用强大的安全软件：安装专为 macOS 系统…

美国网络安全和基础设施安全局(CSA)发布了新版本的“下一代恶意软件”，允许公众提交恶意软件样本供CSA分析。 恶意软件下一代是一个恶意软件分析平台，用于检测可疑工件的恶意软件样本,通过静态和动态分析工具接受自动恶意软件分析，使CSA能够通过自动化分析新发现的恶意软件从而加强网络防御，有助于促进国家网络安全和重要基础设施建设。 可用性 自2023年11月以来，政府等相关组织提供了下一代恶意软件，从1600份提交材料中查明了200个可疑或恶意文件和网址。为此CSA鼓励所有组织、安全研究人员和个人登记可疑档案，并将其提交该平台进行分析。 使用静态和动态分析工具在安全环境中分析提交的文件，结果以PDF和STIX2.1格式提供。 匿名抽样提交 目前只有CSA分析员和其他经过审核的人员才能访问该系统生成的恶意软件分析报告。

往期回顾： 2024.3.25—2024.3.31安全动态周回顾 2024.3.18—2024.3.24安全动态周回顾 2024.3.11—2024.3.17安全动态周回顾 2024.3.4—2024.3.10安全动态周回顾 2024.2.26—2024.3.3安全动态周回顾 2024.2.19—2024.2.25安全动态周回顾 2024.2.12—2024.2.18安全动态周回顾 2024.1.29—2024.2.4安全动态周回顾 2024.1.22—2024.1.28安全动态周回顾 2024.1.15—2024.1.21安全动态周回顾 2024.1.8—2024.1.14安全动态周回顾

一种可以导致数据泄漏的新侧信道攻击方法几乎可以攻陷任何现代CPU，但我们不太可能在短期内看到它被广泛实际利用。 这项研究是由来自奥地利格拉茨科技大学和德国CISPA亥姆霍兹信息安全中心的八名研究人员共同进行的。参与这项研究的一些专家发现了臭名昭著的Spectre和Meltdown漏洞，以及另外几种侧信道攻击方法。 这种新的攻击名为Collide+Power，其破坏力与Meltdown和一类名为微架构数据采样（MDS）的漏洞相提并论。 Collide+Power是一种基于软件的通用型攻击，针对搭载英特尔、AMD或Arm处理器的设备，它适用于任何应用程序和任何类型的数据。芯片制造商们正在发布各自的安全公告，该漏洞已被命名为CVE-2023-20583。 然而研究人员指出，Collide+Power不是一个真正的处理器漏洞，它利用一些CPU部件旨在共享来自不同安全域的数据这一点大做文章。 攻击者可以利用这些共享的CPU部件将自己的数据与来自用户应用程序的数据结合起来。攻击者在改变他们控制的数据时，可以数千次迭代测量CPU功耗，这使他们能够确定与用户应用程序关联的数据。 没有特权的攻击者（比如通过在目标设备上植入恶意软件）可以利用Collide+Power攻击，获得有价值的数据，比如密码或加密密钥。 研究人员特别指出，Collide+Power攻击增强了其他功率侧信道信号，比如PLATYPUS和Hertzbleed攻击中使用的信号。 研究人员解释道：“PLATYPUS和Hertzbleed等以前基于软件的功率侧信道攻击针对加密算法，需要确切了解目…

失效的访问控制这个漏洞类别一直跻身OWASP Top Web应用程序安全风险列表，目前已对应用程序安全构成了严重的挑战。 访问控制漏洞让用户可以访问敏感数据，并使他们能够执行超出预期权限的操作，此类漏洞的后果可能导致数据泄露、篡改甚至销毁。 本文将讨论为什么即使在漏洞扫描和评估之后失效的访问控制漏洞仍然常常存在，以及手动渗透测试对于有效检测和缓解的重要性。 什么是访问控制？ 访问控制如同一种授权检查，确保对资源的访问和执行操作的能力授予了某些用户（如管理员），而不是其他用户（如普通用户）。这种检查主要在身份验证过程之后执行。 在Web应用程序安全中，访问控制与内容、功能的预期用途以及用户扮演的各种角色密切相关。比如说，这可能包括阻止低权限用户执行管理员功能、阻止用户访问另一用户的资源，或者基于上下文因素授予或拒绝对资源或功能的访问。 在处理包含大量用户角色和功能的大型复杂应用程序时，正确实施访问控制很快会变得困难重重。 什么是失效的访问控制？ 失效的访问控制顾名思义是访问控制没有按预期工作，这实际上与我们上面提到的恰好相反，后面附有一些详细的例子。 不安全的直接对象引用（IDOR） 以允许普通用户查看和编辑帐户信息的应用程序为例。每个帐户被分配了一个用户ID，编辑请求被发送后，应用程序根据请求中所含的ID确定要更新哪个帐户。在这种场景下，攻击者可以通过将用户ID改为受害者的ID来操纵旨在更新帐户的出站请求。 如果没有实施适当的访问控制，受害者的帐户将收到编辑——这是直接影响完整性的IDOR漏洞。假设攻击者更改了受害者的电子邮件地址，随后提…

声明：以下内容符合OSINT国际开源情报搜集标准，不涉及任何非法行为，仅供交流与参考。 0x01 先聊聊酒店的墙壁 咳咳，行有行规，先说点正经的。 按照国内酒店装修必须遵循的行业标准《旅馆建筑设计规范》JGJ62-2014中规定，旅馆建筑的隔声减噪设计应符合现行国家标准《民用建筑隔声设计规范》GB 50118-2010的规定。 如下图所示，可以看到，墙壁厚度还真是和酒店级别有一定关系的。 不过在装修的行话里，老师傅们一般会更通俗地用“一砖墙”的说法。所谓“一砖墙”，顾名思义就是厚度为一块标准砖的墙，类似地，就有了“半砖、1砖、1砖半、2砖”墙的说法。 说到这儿，顺便调查下，这些年大家住过的酒店，你认为客房墙壁有多厚？ PS：更多关于墙壁厚度的定义，大家可以在评论区里回复“一砖墙”，就能看到。 那么，按照装修标准，是不是说五星级酒店客房就一定安全呢？ 这个嘛，真不好说。 0x02 一般人如何偷听隔壁 经常出差的人应该都有过这样的体验，尤其是苦逼出差的IT工程师们，撰写项目文档或做编程测试不知不觉到半夜，突然被隔壁莫名的声音惊扰。 除此之外，明显对内部会议、私下聊天的偷听会更有意义。于是乎，什么听诊器、杯子等都被人用来做偷听道具。 百度知道上，甚至还有人专门回答了用杯子偷听的心得，也是醉了。 嗯，肯定有老司机觉得这些都太基础了，根本不值一提，也是，接下来说说专业的做法。 0x03 专业隔墙偷听几十年 从原理上讲，专业偷听设备的确类似于听诊器，不过区别是，专业设备加入了电子降噪及放大的能…

8月已至，这意味着黑客“狂欢季”：BSides Las Vegas、Black Hat USA和DEF CON接踵而来。如果你要去拉斯维加斯参加一年一度的系统缺陷探索盛宴，那么下述纪录片可以带你提前沉浸在探索的情绪中。 1、《十亿美元大劫案》Billion Dollar Heist（2023年）流媒体平台（8月15日开始购买）：Prime Video、AppleTV、Xfinity、Vudu、Directv、Fios、YouTube 预告片：https://youtu.be/31FkJyi7M1c 今年夏天最大的黑客纪录片来自环球影视家庭娱乐（Universal Pictures Home Entertainment）公司。《十亿美元大劫案》讲述了2016年针对孟加拉国中央银行进行的数字抢劫。这部电影追溯了整个行动过程，从选择世界银行网络的目标成员到电汇被盗资金，从成功打开网络钓鱼的大门到洗白不义之财。 朝鲜的APT组织Lazarus Group被认定为此次盗窃的幕后黑手。该组织先是侵入了控制银行间国际资金转移的SWIFT软件，然后开始向纽约的联邦储备银行（Federal Reserve Bank）发送看似来自孟加拉国银行的虚假请求。 即便你知道事件是如何展开的，这部电影在渲染悬念方面做得很好，松弛有度地突出了各个方面的出色策划。通过将攻击的执行时间定在一个长周末的周四晚上，网络犯罪分子给了自己四天的时间来完成10亿美元的转账。不过，他们糟糕的拼写错误引发了足够多的问题，让美联储在转出8100万美元后及时停止了转账。 此外，亲眼目睹参与调…

ChatGPT遭遇DDoS攻击 2023年11月8日，OpenAI声称，正在解决针对其API和ChatGPT服务的DDoS攻击，引发的服务中断问题。OpenAI 经过调查发现，其服务中断是由于异常流量所引发，即DDoS攻击。此外，11月6日以来ChatGPT已遭遇多次服务中断。 图 ChatGPT服务中断 DDoS攻击与Anonymous Sudan有关 OpenAI尚未确定DDoS攻击的发起者，但知名黑客组织Anonymous Sudan于11月8日承认是其发起了DDoS攻击。Anonymous Sudan 还承认在攻击中使用了SkyNet僵尸网络。 10月，SkyNet开始提供更强的攻击服务，并支持应用层攻击或Layer 7 DDoS攻击。在Layer 7 DDoS攻击中，攻击者通过发起大量的请求来淹没服务，使得服务无法处理正常的请求。与消耗带宽的反射性DNS放大网络层攻击相比，这种攻击可以消耗目标服务器和网络的资源，且更加高效。6月，Anonymous Sudan还使用Layer 7 DDoS攻击攻击了微软的Outlook.com、OneDrive和Azure Portal。

漏洞概述 漏洞类型 越界写入/远程命令执行 漏洞等级 高危 漏洞编号 CVE-2024-21762 漏洞评分 9.3 利用复杂度 低 影响版本 FortiOS & FortiProxy 利用方式 远程 POC/EXP 已公开 Fortinet FortiOS是美国飞塔（Fortinet）公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。在SSL VPN组件中存在越界写入漏洞，可能导致未经身份验证的远程威胁者通过特制HTTP请求执行任意命令或代码。 具体影响版本： FortiOS 7.4.0 - 7.4.2，7.2.0 - 7.2.6，7.0.0 - 7.0.13，6.4.0 - 6.4.14，6.2.0 - 6.2.15，6.0.0 - 6.0.17FortiProxy 7.4.0 - 7.4.2，7.2.0 - 7.2.8，7.0.0 - 7.0.14，2.0.0 - 2.0.13，1.2-1.0漏洞复现 daydaypoc漏洞平台于2024年3月12日已收录该漏洞。 以下链接可查看详情： https://www.ddpoc.com/DVB-2024-6401.html 解决方案 官方已修复该漏洞，受影响用户可升级到以下安全版本： FortiOS 7.4版升级至>=7.4.3 FortiOS 7.2版本升级至>=7.2.7 FortiOS 7.0版本升级至>= 7.0.14 FortiOS…

安全研究人员最新发现一起针对 Linux 主机上的 Redis 服务器的安全活动——威胁组织正使用名为“Migo”的恶意软件来挖掘加密货币。 Redis（远程字典服务器）是一种内存数据结构存储，用作数据库、缓存和消息代理，以其高性能而闻名，每秒为游戏、技术、金融服务等行业的实时应用程序提供数千个请求。 威胁组织通常利用暴露的和可能易受攻击的 Redis 服务器来劫持资源、窃取数据和实施其他恶意目的。 新的恶意软件的不同之处在于使用系统削弱命令来关闭 Redis 安全功能，从而允许加密劫持活动较长时间持续。 Migo 活动由云取证提供商 Cado Security的分析师所发现，他们在蜜罐中观察到攻击者使用 CLI 命令关闭保护配置并利用服务器。 关闭 Redis 防护罩 在暴露的 Redis 服务器受到攻击后，攻击者会禁用关键的安全功能，以允许接收后续命令并使副本可写。 Cado 表示，他们注意到攻击者通过 Redis CLI 禁用了以下配置选项： ·set protected-mode：禁用此选项将允许外部访问 Redis 服务器，从而使攻击者更容易远程执行恶意命令。 ·replica-read-only：关闭此功能使攻击者能够直接写入副本并在分布式 Redis 设置中传播恶意负载或数据修改。 ·aof-rewrite-incremental-fsync：禁用它可能会导致在仅追加文件 (AOF) 重写期间产生更重的 IO 负载，来帮助攻击者不被检测到。 ·rdb-save-incremental-fsync：关闭它可能会导致 RDB 快…

二进制代码利用是发现和利用计算机程序中的漏洞以修改或干扰其预期行为的一种方法。这些漏洞可能导致身份验证绕过和信息泄漏，或者还可能导致远程代码执行情形。很大一部分二进制代码利用发生在堆栈（stack）上，有时候发生在堆（heap）上，甚至发生在内核空间上。堆栈是存储由函数创建的临时变量的内存区域。相比之下，堆则是可以动态分配的内存区域。 下面介绍的所有技术都依赖用户输入和程序的潜在崩溃或分段错误——缓冲区溢出。当进程试图用超出预期的过多数据填充一块内存区域时，就会出现这种损坏。有鉴于此，就有可能覆盖内存，并控制下一个指令点/函数。 接下来，我们将描述堆栈利用过程中一些最常用的技术。 ret2win 我们可以将ret2win技术理解为对二进制代码中存在的特定调用«win() function»的简单重定向。实现这一目标的主要步骤如下： • 找到目标函数/调用，以重定向执行流«win() function»。 • 通过覆盖堆栈上的返回地址（比如EIP）来调用它。 下一段代码介绍如何找到这类漏洞。在添加填充和对齐载荷之后，必须添加目标调用«win() function - 0x080491c3»的偏移量，最后执行它。本文使用了用于二进制利用的CTF框架Pwntools（https://github.com/Gallopsled/pwntools），为学习过程提供便利。 from pwn import * p = process('./vuln_program') payload = b'A' * 52 …

有安全研究机构发现了一个名为“GXC Team”的网络犯罪团伙，该团伙专门制作用于网上银行盗窃、电子商务欺诈和网络诈骗的工具。2023 年 11 月，该团伙的头目以“googleXcoder”的别名在暗网上发布了多条公告，宣布在暗网上出售的产品最高可享受 20% 的折扣。 这些帖子中向大家介绍了一种新工具，该工具结合了人工智能 (AI)，可用于创建用于电信欺诈和商业电子邮件欺诈 (BEC) 的虚假发票。 据报告，成功的商业电子邮件欺诈 (BEC) 诈骗（例如发票欺诈）平均每起事件可造成超过 12 万美元的损失，给企业造成了超过 24 亿美元的惊人财务损失。 毫无疑问，网络犯罪分子已经认识到人工智能在增强和扩展其业务方面的巨大潜力。但人工智能为他们提供了哪些具体优势？ 利用大型语言模型 (LLM) 的人工智能驱动平台（如 FraudGPT 和 WormGPT）的出现改变了游戏规则。这些框架可以创建复杂而精密的商业电子邮件入侵 (BEC) 活动，生成用于洗钱计划的垃圾邮件内容，并提供预制的恶意策略和工具。 就在 2024 年开始之前，即 12 月 30 日，他们推出了其 AI 工具的更新版本，名为“Business Invoice Swapper”。 此次更新已通过“GXC 团队”的官方 Telegram 频道发布。该工具以租赁方式提供，订阅计划起价为每周 2,000 美元，或者一次性支付 15,000 美元即可无限制使用。 要使该工具发挥作用，操作员必须输入要扫描的受感染电子邮件帐户列表。这涉及在文档中指定凭证以及用于“交换”或欺骗过…

介绍 攻击者总是能找到各种创造性的方法来绕过防御功能并达到他们的目的，例如通过打包程序、加密程序和代码混淆来实现。然而，逃避检测以及最大化兼容性的最佳方法之一是使用操作系统自身的功能。 在勒索软件威胁的背景下，一个值得注意的情况是利用加密 DLL ADVAPI32.dll 中存在的导出函数，例如 CryptAcquireContextA、CryptEncrypt 和 CryptDecrypt。通过这种方式，攻击者可以确保恶意软件在支持此 DLL 的各种版本的操作系统中运行并模拟正常行为。 而在最近的一次事件响应中，另一种巧妙的技术引起了安全研究人员的注意：使用原生 BitLocker 功能加密并窃取解密密钥。BitLocker 的最初目的是解决丢失、被盗或不当退役设备导致数据被盗或泄露的风险，然而，威胁者发现这种机制可以被重新用于实现恶意目的，且效果非常好。 在该事件中，攻击者能够部署并运行一个高级 VBS 脚本，该脚本利用 BitLocker 进行未经授权的文件加密。安全研究人员在墨西哥、印度尼西亚和约旦发现了此脚本及其修改版本。本文将详细分析在事件响应工作中获得的恶意代码，并提供缓解此类威胁的建议。 这不是我们第一次看到 BitLocker 用于加密驱动器并索要赎金。以前，攻击者在访问和控制关键系统后，会使用此 Microsoft 实用程序来加密这些系统。然而，在这种情况下，攻击者采取了额外的措施来最大限度地扩大攻击造成的损害，并阻碍对事件的有效响应。 VBScript 分析 一个有趣的现象是，攻击者没有像威胁者通常做的那样费心混淆大…

ToddyCat是一个相对较新的复杂APT组织，卡巴斯基研究人员最早在2020年11月检测到该组织的活动，当时该威胁组织正在对目标的Microsoft Exchange服务器进行一系列攻击，去年的一篇文章曾描述过它。 之后，该组织于2020年12月开始活动，并对欧洲和亚洲的知名对象发动了多起攻击。 在去年，我们发现了一组新的全新加载程序，并收集了有关其开发后活动的信息，这使我们能够扩展对该组织的了解，并获得有关攻击者的TTP(战术，技术和程序)的新信息。接下来，我们将描述他们的新工具集，用于窃取和泄露数据的恶意软件，以及该组织用于横向移动和进行间谍活动的技术。 工具集 标准的加载器 加载程序是64位库，由rundll32.exe调用，或者用合法的和签名的可执行文件进行侧加载，这些组件在感染阶段用于加载Ninja木马作为第二阶段。我们已经看到了这些新加载器的三种变体： 第一个变体的文件名为update.dll或x64.dll，通常使用合法的rundll32.exe Windows实用程序加载，大多数恶意代码驻留在DllMain中，但下一个阶段是通过导出的Start函数调用的，其他两个变体应该与合法的VLC.exe媒体播放器一起加载，这被滥用来加载恶意库。 加载程序通过从同一目录中应该存在的另一个文件加载加密的有效负载来启动其活动，然后使用异或对加载的数据进行解码，其中异或项是使用一种不寻常的技术生成的。恶意软件使用静态种子（static seed）通过shuffle和add操作生成256字节的XOR_KEY块。 使用另一个嵌入的64字节…

Fortra 称，FileCatalyst Workflow 中存在一个严重的硬编码密码漏洞，攻击者可以利用该漏洞未经授权访问内部数据库，从而窃取数据并获得管理员权限。 任何人都可以使用该硬编码密码远程访问暴露的 FileCatalyst Workflow HyperSQL (HSQLDB) 数据库，从而未经授权访问潜在的敏感信息。 此外，数据库凭据可能会被滥用来创建新的管理员用户，因此攻击者可以获得对 FileCatalyst Workflow 应用程序的管理级访问权限并完全控制系统。 在最近发布的安全公告中，Fortra 表示该问题被跟踪为 CVE-2024-6633（CVSS v3.1：9.8，“严重”），影响 FileCatalyst Workflow 5.1.6 Build 139 及更早版本。建议用户升级到 5.1.7 或更高版本。 Fortra 在公告中指出，HSQLDB 仅用于简化安装过程，并建议用户在安装后设置替代解决方案。因为没有按照建议配置 FileCatalyst Workflow 使用备用数据库的用户很容易受到任何可以到达 HSQLDB 的来源的攻击。暂时还没有缓解措施或解决方法，因此建议系统管理员尽快应用可用的安全更新。 缺陷发现和细节 Tenable 于 2024 年 7 月 1 日发现了 CVE-2024-6633，当时他们在所有 FileCatalyst Workflow 部署中都发现了相同的静态密码“GOSENSGO613”。Tenable 解释说，在产品的默认设置下，可以通过 TCP 端口 4406 …

近日，备受瞩目的动作角色扮演游戏《黑神话：悟空》遭遇网络攻击，这一事件引发广泛关注。该游戏由中国游戏开发公司 Game Science 开发，是一款基于中国古代神话《西游记》的开放世界游戏。 攻击的影响主要集中在游戏的发布平台——Steam上。 事件背景 《黑神话：悟空》自首次公布以来，就吸引了大量游戏爱好者的关注。其精美的画面和创新的玩法让人对这款游戏充满期待。然而，这也使得它进入攻击者视线，并对 Steam 平台发起了网络攻击。 攻击详情 根据多方报道，攻击者通过对 Steam 平台进行分布式拒绝服务（DDoS）攻击，导致平台出现了大规模的服务中断和不稳定现象。这种攻击通常会通过大量伪造的流量挤占目标服务器的资源，进而导致正常用户无法访问服务。 事件影响 此次攻击不仅影响了 Steam 平台的正常运营，也对《黑神话：悟空》的发布造成了不小的困扰。开发公司 Game Science 已经发布声明，表示他们正在与 Steam 平台紧密合作，尽快解决问题，确保游戏能够如期发布。 Steam 平台方面则对外表示，他们已经采取了紧急措施来应对攻击，并加强了系统的安全防护。他们还承诺将继续关注事态的发展，并与相关方保持沟通，以最大限度减少对用户的影响。 后续发展 目前，关于此次网络攻击的具体原因和攻击者身份仍然不明确。专家表示，这类攻击可能与游戏的高关注度有关，攻击者可能试图通过这种方式制造混乱，影响游戏的发售。 文章参考自：Game Science 官方声明. Game Science 网站 Steam 平台公告.Steam 新闻中心 《黑神话…

Moq在NuGet软件注册中心上分发，每天的下载量超过100000人次，自问世以来累计下载量已超过4.76亿人次。 Moq近期发布的4.20.0版本悄悄加入了另一个项目SponsorLink，该项目在开源软件消费者中引起了轩然大波，他们将此举比作辜负了广大用户的信任。 SponsorLink貌似是一个开源项目，实际上作为闭源代码在NuGet上分发，关键是含有经过混淆处理的DLL，这些DLL收集用户电子邮件地址的哈希值，并将它们发送到SponsorLink的CDN，从而引发隐私问题。 Moq辜负了用户的信任 半个月前，Moq的所有者之一Daniel Cazzulino（kzu，还负责维护SponsorLink 项目）将SponsorLink添加到Moq 4.20.0及更高版本中。 这一举动在开源生态系统中引起了轰动，主要出于两个原因——虽然Cazzulino完全有权改变其项目Moq，但他在捆绑依赖项之前并没有通知用户群，而且SponsorLink DLL含有经过混淆处理的代码，因而很难进行逆向工程分析，并不是完全“开源”。 德国软件开发人员Georg Dang警告道，扫描功能是在构建过程中运行的.NET 分析器工具的一部分，很难被禁用。 SponsorLink称自己是一种将GitHub Sponsors集成到用户库中的方法，以便用户可以正确链接到他们的赞助商以解锁功能，或者只是因支持用户的项目而获得应有的认可。 GitHub用户Mike（d0pare）反编译了DLL，并分享了大致重构源代码的结果。据这位分析师声称，这个库“生成外部git进程…

往期回顾： 2024.4.15—2024.4.21安全动态周回顾 2024.4.8—2024.4.14安全动态周回顾 2024.4.1—2024.4.7安全动态周回顾 2024.3.25—2024.3.31安全动态周回顾 2024.3.18—2024.3.24安全动态周回顾 2024.3.11—2024.3.17安全动态周回顾 2024.3.4—2024.3.10安全动态周回顾 2024.2.26—2024.3.3安全动态周回顾 2024.2.19—2024.2.25安全动态周回顾 2024.2.12—2024.2.18安全动态周回顾 2024.1.29—2024.2.4安全动态周回顾 2024.1.22—2024.1.28安全动态周回顾 2024.1.15—2024.1.21安全动态周回顾 2024.1.8—2024.1.14安全动态周回顾

强密码是保护用户帐户的关键——即使是已经忘记的帐户。黑客也会寻找任何方法来访问用户的环境或窃取数据，甚至利用早已被遗忘的陈旧或不活跃的帐户。 旧账户很容易被忽视，但它们仍然可以为黑客提供初始访问路线，并为他们提供扩大活动的平台。每个有权访问用户基础设施的账户都很重要。 保护测试账户 测试环境（例如在创建新软件或网站功能时生成的环境）是黑客的首要目标。犯罪分子可以利用这些帐户轻松访问数据：例如，用于开发测试环境的真实客户信息。他们甚至可以利用这些环境作为跳板，访问其他更具特权的帐户。黑客可以利用管理员或特权帐户造成更大的破坏。 当熟练的攻击者获得具有登录凭据的任何用户帐户的访问权限（即使是具有非常低访问权限的旧测试帐户）时，他们可以将其用作扩展访问权限和提升权限的平台。 例如，他们可以在具有相似权限级别的帐户之间水平移动，或者垂直跳转到具有更多权限的帐户，例如 IT 团队帐户或管理员帐户。 微软漏洞利用测试账户 今年 1 月，微软表示其公司网络遭到俄罗斯黑客的攻击。名为 Midnight Blizzard 的攻击者窃取了电子邮件和附加文件。 微软表示，只有“极小一部分”公司电子邮件账户遭到入侵，但其中确实包括高层领导以及网络安全和法律团队的员工。 攻击者使用“密码喷洒攻击”入侵，这是一种暴力破解技术，涉及对多个账户尝试相同的密码。这次攻击没有利用微软系统或产品的漏洞。 相反，这就像猜测未使用的测试帐户上的弱密码或已知被破解的密码一样简单。用该软件巨头的话来说，攻击者“使用密码喷洒攻击来破坏传统的非生产测试租户帐户并获得立足点”。 这就强调了…

7月17日，在首届“安全平行切面大会”上，“安全平行切面联盟” (Aspect-Oriented Technology Alliance，简称AOTA )在会上正式成立。 该联盟在中国信息协会信息安全专业委员会指导下成立，由蚂蚁集团联合行业共同发起，将为行业安全实战对抗、网络安全保险、安全合规治理带来全新的能力，为网络安全、数据安全、个人信息保护构建全新的技术基础平台，有望引导行业建立全新的安全治理范式。 （从左至右）中国科学技术大学教授左晓栋，蚂蚁集团副总裁、首席技术安全官韦韬，中国信息协会信息安全专委会副主任赵进延，北京华云安信息技术有限公司CEO沈传宝 蚂蚁集团于2019年首次在业界提出安全平行切面体系理念，到如今“安全平行切面联盟”的成立，见证了蚂蚁集团从理念创新到实践落地，快速打造出面向企业数字生命体的新一代安全基础平台的突破能力，也通过“产、学、研、用”的深入融合，不断营造良性的产业生态。 中国科学技术大学网络空间安全学院教授左晓栋——完善的防御体系，才是支撑业务运行的关键 中国科学技术大学网络空间安全学院教授左晓栋表示，网络安全防御体系的研究，贯穿着整个网络安全技术的发展。站在安全角度，完善的网络安全防护体系需要包含安全防护、检测、响应、恢复功能以及对抗能力等要素。但事实上，网络安全的防护体系更需要支撑业务运行。 所以，网络安全产品技术本身的最初设计，需要改变原来的研发模式和思路，应该从应用角度出发，支持安全体系的部署，并且融合业务。安全平行切面体系恰恰在解决业务与安全矛盾的层面上，取得了重要突破。尤其是在数据安全领域，数据…

近期，网络犯罪分子利用U盘进行恶意软件攻击的事件大幅增加。据Mandiant的安全研究人员称，在2023年上半年，通过U盘窃取敏感信息的恶意软件攻击增加了三倍之多。这些研究人员还披露了两个具体的攻击活动的细节。 其中一个攻击活动是由网络间谍组织TEMP.Hex发起的，目标是针对欧洲、亚洲和美国的公共和私营机构进行攻击。 这些U盘中包含了多种恶意软件，并采用DLL劫持技术将最终有效载荷下载到被入侵系统的内存中。一旦这些恶意代码被执行，SOGU恶意软件就会执行各种操作，如捕获屏幕截图、记录键盘输入、建立反向shell连接以及启用远程桌面连接执行其他文件。 这些被窃取的数据可以通过TCP、UDP或ICMP使用自定义二进制协议发送到攻击者的命令和控制（C2）服务器内。此次攻击活动的目标行业包括建筑、工程、政府、制造、零售、媒体和制药行业。 在一次攻击活动中，受害者被诱使点击一个文件，该文件看似是一个在U盘根目录下发现的合法的可执行文件。在执行该文件后，就会使得感染链触发，然后下载一个名为SNOWYDRIVE的基于shellcode的后门程序。 该恶意软件不仅会将自身复制到与受感染系统相连的可移动驱动器上，而且还会执行各种其他的恶意操作，如写入或删除文件、进行文件上传以及执行反向的shell命令。 最近，Check Point研究小组发现了一个新的基于USB的攻击活动，该活动是由一个名为 "Camaro"的组织发起的。 该攻击活动专门针对欧洲的一家医疗机构进行攻击，这其中涉及部署多个新版本的恶意软件工具集，包括WispRider和HopperTic…