蓝队取证审计网络安全

ChatGPT遭遇DDoS攻击 2023年11月8日，OpenAI声称，正在解决针对其API和ChatGPT服务的DDoS攻击，引发的服务中断问题。OpenAI 经过调查发现，其服务中断是由于异常流量所引发，即DDoS攻击。此外，11月6日以来ChatGPT已遭遇多次服务中断。 图 ChatGPT服务中断 DDoS攻击与Anonymous Sudan有关 OpenAI尚未确定DDoS攻击的发起者，但知名黑客组织Anonymous Sudan于11月8日承认是其发起了DDoS攻击。Anonymous Sudan 还承认在攻击中使用了SkyNet僵尸网络。 10月，SkyNet开始提供更强的攻击服务，并支持应用层攻击或Layer 7 DDoS攻击。在Layer 7 DDoS攻击中，攻击者通过发起大量的请求来淹没服务，使得服务无法处理正常的请求。与消耗带宽的反射性DNS放大网络层攻击相比，这种攻击可以消耗目标服务器和网络的资源，且更加高效。6月，Anonymous Sudan还使用Layer 7 DDoS攻击攻击了微软的Outlook.com、OneDrive和Azure Portal。

OpenAI 的 ChatGPT 在人工智能语言模型方面取得了重要的进展，并且为用户提供了一个灵活有效的工具，可以用于模拟人类去生成特定的文字。但最近发生的事件凸显了一个非常关键的问题：网络开始出现了各种第三方的插件。虽然这些插件宣称可以大幅的改进chatgpt的功能，但它们也可能会造成严重的隐私和安全问题。 安全专家在一篇文章指出，在 ChatGPT 中使用插件可能会带来各种各样的危害。如果对此审查和监管不当，第三方插件可能会危及系统的安全，使其容易受到攻击者的攻击。这篇文章的作者强调了 ChatGPT 的灵活性以及可调整性，同时这也为攻击者利用安全漏洞留下了空间。 其他媒体的一篇文章对这一问题进行了深入探讨，强调了安装未经批准的插件可能会泄露使用者的敏感数据。如果不进行充分的检查，那么这些插件可能就无法遵循与主 ChatGPT 系统相同的严格的安全准则。因此，私人信息、知识产权和敏感的个人数据很容易被窃取或非法访问。 创建 ChatGPT 的 OpenAI 公司已经在平台的文档中解决了这些问题。该公司也已经意识到了插件可能会带来的各种安全问题，并敦促用户在选择和部署插件时谨慎行事。为了降低潜在的安全风险，OpenAI 强调只使用经过可靠来源验证和确认的插件这一准则是非常重要的。 随着问题的发展，OpenAI 仍在采取积极措施来保证 ChatGPT 的安全性和可靠性。公司鼓励用户在与系统进行交互时，报告他们遇到的可疑的或恶意的插件。通过进行调查和开展适当的行动，OpenAI 能够保护用户并维护其人工智能平台的完整性。 在这里值得注意的是…

一种可以导致数据泄漏的新侧信道攻击方法几乎可以攻陷任何现代CPU，但我们不太可能在短期内看到它被广泛实际利用。 这项研究是由来自奥地利格拉茨科技大学和德国CISPA亥姆霍兹信息安全中心的八名研究人员共同进行的。参与这项研究的一些专家发现了臭名昭著的Spectre和Meltdown漏洞，以及另外几种侧信道攻击方法。 这种新的攻击名为Collide+Power，其破坏力与Meltdown和一类名为微架构数据采样（MDS）的漏洞相提并论。 Collide+Power是一种基于软件的通用型攻击，针对搭载英特尔、AMD或Arm处理器的设备，它适用于任何应用程序和任何类型的数据。芯片制造商们正在发布各自的安全公告，该漏洞已被命名为CVE-2023-20583。 然而研究人员指出，Collide+Power不是一个真正的处理器漏洞，它利用一些CPU部件旨在共享来自不同安全域的数据这一点大做文章。 攻击者可以利用这些共享的CPU部件将自己的数据与来自用户应用程序的数据结合起来。攻击者在改变他们控制的数据时，可以数千次迭代测量CPU功耗，这使他们能够确定与用户应用程序关联的数据。 没有特权的攻击者（比如通过在目标设备上植入恶意软件）可以利用Collide+Power攻击，获得有价值的数据，比如密码或加密密钥。 研究人员特别指出，Collide+Power攻击增强了其他功率侧信道信号，比如PLATYPUS和Hertzbleed攻击中使用的信号。 研究人员解释道：“PLATYPUS和Hertzbleed等以前基于软件的功率侧信道攻击针对加密算法，需要确切了解目…

身份盗窃资源中心 (ITRC)在 2024 年第二季度追踪了 1,041,312,601 名数据泄露受害者，数据显示，比 2023 年第二季度（81,958,874 名受害者）增加了 1,170%。 人数增加的绝大部分原因是由于大多数人们的妥协。ITRC 提到 Prudential（250 万人）和 Infosys McCamish Systems（600 万人）事件是主要导火索。 由于这两起泄密事件都是在 2024 年第二季度宣布的，因此对数据产生了巨大影响。当比较 2024 年上半年 (H1 2024) 的数据泄露受害者数量时，研究人员发现与 2023 年上半年相比，这一数字增长了 490%。 ITRC 对一些数字进行了分解，并以信息图的形式展示： 我们可以从信息图中得出一些值得注意的统计数据： ·2024 年上半年，近 90% 的入侵都是由于数据泄露造成的。 ·金融服务业的入侵次数最多，其次是医疗保健业。受害者数量最多的数据泄露企业是 Ticketmaster、Advance Auto Parts 和戴尔。 ·80 次供应链攻击涉及 446 个实体，受害者超过 1000 万人。 ITRC 强调的另一个趋势是被盗驾照信息数量增加。这主要是由于疫情后使用驾照信息进行身份确认的趋势所致。这既增加了这些信息被泄露的可能性，也增加了这些信息对窃贼的价值。 疫情爆发前的 2019 年全年，驾驶执照数据被盗的数据泄露事件总计为 198 起，而 2023 年全年为 636 起，截至 2024 年 6 月 30 日为 308 起。 大多数数据泄露…

威胁情报研究人员在名为 PROXYLIB 的活动中发现 VPN 应用程序在用户不知情的情况下将用户的设备变成了网络犯罪分子的工具。 网络犯罪分子通过其他人的设备（称为代理）发送流量，他们能够使用其他人的资源来完成工作，掩盖了攻击的根源，致使被阻止的可能性较小，并且如果他们的代理之一被阻止，他们仍然可以继续操作。 代理网络地下市场的存在就是为网络犯罪分子提供灵活的、可扩展的平台，从该平台发起广告欺诈、密码喷射和撞库攻击等活动。 研究人员在 Google Play 上发现了 28 个应用程序，这些应用程序将 Android 设备变成犯罪分子的代理。其中 17 个应用程序是免费 VPN。目前，所有这些内容均已从 Google Play 中删除。 此外，研究人员还在第三方存储库中发现了数百个应用程序，这些应用程序似乎使用 LumiApps 工具包，这是一个可用于加载 PROXYLIB 的软件开发工具包 (SDK)。他们还将 PROXYLIB 与另一个专门出售代理节点访问权限的平台（称为 Asocks）绑定在一起。 保护与清除 Android 用户现在可以通过 Google Play Protect 自动保护免受 PROXYLIB 攻击，该功能在具有 Google Play 服务的 Android 设备上默认处于启用状态。 可以使用移动设备的卸载功能卸载受影响的应用程序。然而，此类应用程序将来可能会以不同的名称出现，用户仍需警惕。 远离 PROXYLIB 的建议 ·不要安装来自第三方网站的应用程序。 ·不要安装免费 VPN。 ·使用适用于 Andr…

威胁分子之所以使用游戏安装程序传播各种恶意软件，是由于游戏拥有庞大的用户群，用户通常将游戏安装程序视为合法软件。威胁分子使用的这种社交工程伎俩利用用户的信任，诱使他们下载并运行恶意游戏安装程序。庞大文件和游戏复杂性为威胁分子提供了隐藏恶意软件的机会。 通过游戏安装程序传播的恶意软件可以通过窃取敏感信息和实施勒索软件攻击等活动来获利。Cyble研究和情报实验室（CRIL）之前发现了几起专门针对游戏玩家及其游戏相关应用软件的恶意软件活动，包括Enlisted、MSI Afterburner和FiveM Spoofer等。 最近，CRIL发现了一个植入木马的《超级马里奥兄弟》游戏安装程序投放多个恶意组件，包括XMR挖矿软件、SupremeBot挖矿客户软件和开源Umbral窃取器。恶意软件文件被发现与super-mario-forever-v702e的合法安装文件捆绑在一起。这起事件凸显了威胁分子利用游戏安装程序作为投放机制的另一个原因：通常与游戏相关的强大硬件为挖掘加密货币提供了宝贵的算力。 《超级马里奥》是一个大受欢迎的电子游戏系列，以其平台游戏玩法、酷炫的视觉效果、令人难忘的角色和迷人的音乐而闻名。最近随着新游戏和动画电影的推出，这个系列再度风靡一时。多年来，该系列游戏不断发展，在各种游戏和游戏机上引入了新的游戏机制、升级和关卡。自20世纪80年代面市以来，《超级马里奥》游戏已吸引了全球大批粉丝，全世界数百万玩家都喜欢其所提供的沉浸式体验。 下图是《超级马里奥永远》成功安装后的GUI。 图1.《超级马里奥》游戏的GUI 下图显示了投放…

为进一步保护企业合法权益，持续优化营商网络环境，按照中央网信办“清朗·优化营商网络环境—整治涉企侵权信息乱象”专项行动部署要求，北京市网信办于4月2日启动了为期9个月的“清朗·E企护航”专项整治行动。 此次专项整治行动重点聚焦侵犯企业和企业家合法权益的网络信息内容乱象，集中整治抹黑诋毁企业形象声誉、炮制传播虚假不实信息、敲诈勒索谋取非法利益、扰乱企业生产经营秩序、恶意炒作涉企公开信息，及水军账号控评造谣、唱衰经济破坏营商环境等七方面突出问题。属地各网站平台应当严格履行主体责任，健全管理制度，加强热搜榜单、用户账号及MCN机构等重点环节管理，依法依规开展服务，切实维护健康有序的网络传播秩序。 专项整治行动期间，北京市网信办将加大巡查检查力度，充分发挥统筹协调作用，联合有关部门、各区网信办对落实整治要求不力的网站平台和问题严重、影响恶劣的网络账号，依法依规予以严肃查处，并及时公开曝光典型案例，震慑打击违法违规行为。 欢迎社会各界积极向北京市违法和不良信息举报平台以及各网站平台举报涉北京属地平台账号相关违法违规线索，共同营造清朗网络空间。 北京市违法和不良信息举报平台举报网址：www.bjjubao.org.cn 北京属地重点网站平台举报途径：www.bjjubao.org.cn/2023-04/23/content_42964.html 文章来源：北京市互联网信息办公室

法国司法部长埃里克-杜邦-莫雷蒂（Éric Dupond-Moretti）宣布了这项立法，并保证每年仅在数量有限的案件中使用该手段。这种使用间谍手段办案的有效期最长为6个月，而且要必须经过法官的批准，目前主要适用于可能被判处至少5年有期徒刑的案件。他补充说，我们离1984年的极权主义还很遥远。我们使用这种手段也仅仅用于办案，更多人的生命将得到挽救。 让执法人员或政府人员在未经授权的情况下访问某人的手机并秘密观察其活动，这无疑会侵犯它的隐私。这不仅为掌权者滥用公民的隐私权限创造了很多机会，而且也为个人恶意滥用权力提供了便利。 然而，这种监控并非新现象。早在2006年，美国联邦调查局就曾合法的启动了手机麦克风，甚至在关机状态下监控嫌疑人。当时，许多手机仍可拆卸电池，但现代设备已不具备这种功能了。 根据Comparitech公司2022年的一份报告，所有被调查的50个国家都允许本国警方在一定程度上访问智能手机及其数据。各国的权限范围也不尽相同，许多国家要求对此类行动出示授权令。 沙特阿拉伯、新加坡和阿拉伯联合酋长国提供了最不受限制的访问权限，沙特阿拉伯甚至允许在没有任何不法行为嫌疑的情况下进行访问。令人惊讶的是，德国允许情报人员远程访问智能手机并安装间谍软件，而无需提前将该个人列为犯罪嫌疑人。在美国，虽然也有例外，但一般都是需要授权令的。澳大利亚则更进一步，甚至授权警方修改嫌疑人手机上的数据。 然而，一些国家已经建立了对智能手机隐私的有力保护。奥地利、比利时、芬兰和爱尔兰是这方面做的最好的国家之一，因为这些国家有明确的法律规定，只有当当事人是…

微软Office 0 day漏洞被用于北约峰会的攻击活动。 漏洞概述 7月11日，微软披露了一个影响多个Windows和office产品的未修复的0 day漏洞，漏洞CVE编号为CVE-2023-36884，CVSS V3评分8.3分。攻击者利用该漏洞可以通过恶意office文档实现远程代码执行，并在无需用户交互的情况下利用该漏洞实现复杂攻击。攻击者成功利用该漏洞可以访问敏感信息、关闭系统保护、拒绝正常用户对系统的访问。 漏洞被用于攻击北约峰会，与俄罗斯有关 CVE-2023-36884漏洞已被用于攻击参与北约峰会的组织。乌克兰计算机应急响应中心（CERT-UA）和BlackBerry研究人员称，攻击者使用伪装为乌克兰世界大会的恶意文档来安装恶意软件payload，包括MagicSpell加载器和RomCom后门。安装成功后，攻击者可以通过伪造的.docx或.rtf文档来发起远程代码执行攻击，向执行的工具传递一个命令。 利用该漏洞的攻击者6月的活动与RomCom存在相似之处。RomCom是一个俄罗斯黑客组织，主要利用勒索软件来窃取凭证、支持情报活动等。 漏洞补丁 目前该漏洞尚未修复，但微软称将通过每月的微软补丁日或其他安全更新的方式为用户提供补丁。微软称用户可以使用Defender for Office启用拦截所有office应用创建子进程攻击面减少规律来防止利用该漏洞的钓鱼攻击。 此外，用户还可以将以下应用名添加到HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explo…

往期回顾： 2024.7.22—2024.7.28安全动态周回顾 2024.7.15—2024.7.21安全动态周回顾 2024.7.8—2024.7.14安全动态周回顾 2024.7.1—2024.7.7安全动态周回顾 2024.6.24—2024.6.30安全动态周回顾 2024.6.17—2024.6.23安全动态周回顾 2024.6.10—2024.6.16安全动态周回顾

美国网络安全和基础设施安全局(CSA)发布了新版本的“下一代恶意软件”，允许公众提交恶意软件样本供CSA分析。 恶意软件下一代是一个恶意软件分析平台，用于检测可疑工件的恶意软件样本,通过静态和动态分析工具接受自动恶意软件分析，使CSA能够通过自动化分析新发现的恶意软件从而加强网络防御，有助于促进国家网络安全和重要基础设施建设。 可用性 自2023年11月以来，政府等相关组织提供了下一代恶意软件，从1600份提交材料中查明了200个可疑或恶意文件和网址。为此CSA鼓励所有组织、安全研究人员和个人登记可疑档案，并将其提交该平台进行分析。 使用静态和动态分析工具在安全环境中分析提交的文件，结果以PDF和STIX2.1格式提供。 匿名抽样提交 目前只有CSA分析员和其他经过审核的人员才能访问该系统生成的恶意软件分析报告。

Rustbucket 是一种全新类型的恶意软件，最近刚刚浮出水面，目前已对 macOS 设备构成了严重威胁。这种隐匿的间谍软件能悄无声息地感染 Mac 系统，而不会引起使用者的任何警觉。由于 Rustbucket 能够将自己伪装成安全的 PDF 查看器，因此这引起了大量的安全专家的注意。本文旨在向读者介绍 Rustbucket 的秘密、可能的来源以及用户为保护 macOS 计算机应采取的安全措施。 Rustbucket 因其隐蔽的渗透策略在网络安全界掀起了轩然大波。它将自己伪装成一个看似正常的 PDF 查看器，诱使用户在不知情的情况下允许它访问自己的 Macos 系统。一旦进入到了系统，恶意软件就会处于休眠状态，从而逃避安全软件和 Mac 用户的检测。专家们强调，Rustbucket 的技术非常复杂，能够悄无声息地收集用户的敏感信息，并在不被发现的情况下进行恶意的攻击活动。 研究人员目前已将 Rustbucket 与朝鲜国家支持的高级持续威胁（APT）攻击联系了起来。虽然目前还需要做进一步调查才能最终确认其来源，但它与以前观察到的朝鲜 APT 恶意软件的相似之处还非常明显。这一发现引起了人们对潜在的国家支持的网络间谍攻击活动的担忧，并凸显了提高 macOS 安全警惕性的必要性。 系统保护措施： 及时对软件进行更新：定期更新操作系统和应用程序有助于防止恶意软件利用已知漏洞。 谨慎对待电子邮件附件： 打开电子邮件附件时要谨慎，尤其是那些来源不明或可疑的附件。验证附件和发件人的合法性后再进行操作。 使用强大的安全软件：安装专为 macOS 系统…

背景 虽然整体上大家做分类分级的背景以及目标基本一致：满足监管要求；为数据合规和安全体系建设打好基础。但是实施落地的过程不尽相同，每个客户所处的行业不同，所要遵循的分类分级标准不同，同时每个客户的数据也是截然不同，定制化需求是普遍存在。 当前一些业务模式相对简单的公司，使用excel的方式人工进行数据分类分级；规模更大业务更复杂的公司自研或采购第三方数据分类分级产品或服务。市场上大部分供应商采取产品+服务的方式服务客户，其中产品敏感识别能力较弱更多以运营功能为主，敏感数据识别更多的以人力服务的方式帮助客户进行梳理，虽然能满足监管要求，但是存在以下公认的问题： · 无法做到持续运营，交付的产物是基于当时的数据情况，后续新增数据要么需要人介入重新进行梳理，要么无法保证能够持续准确识别 · 准确率低或不稳定，特别是在数据元信息质量较低的情况 · 人力投入成本高 仅满足监管要求不是我们的终极目标，我们希望用九智汇分类分级产品在满足监管的前提下，为数据合规和数据安全打下坚实的基础，所以我们： · 采集样本数据，走样本数据为主、元数据为辅的技术路线，一方面可以保证已建设的识别能力可持续识别，另一方面准确率稳定性不受元数据质量影响 ·提供智能化、 无侵人、开箱即用的同时，打造易用、灵活、强大的自定义功能，满足客户的定制化需求，一方面降低交付成本，另一方面降低门槛让客户可以自助使用产品进行敏感数据识别。 实践方案 如果没有系统或产品，纯人工来做数据分类分级，基本上大家完成这件事情的步骤都是：找数据在哪里->梳理数据有哪些->找敏感数据-&gt…

近日人脸识别防护问题已成焦点，嘉峪关网警、大连市银行协会发布信息，称市民A先生与不法分子视频通话期间手机被犯罪分子控制，未接收到验证码，通话后手机收到消息提示，银行定期存款已被销户，银行人脸识别系统未发挥效果，资金已被转出。经侦查后发现，犯罪分子事先获取了A先生的身份证影像信息，并通过技术手段合成了短视频，使用该视频成功应对了银行大额资金转账时的人脸识别验证。 目前人脸识别防护技术存在明确的安全隐患，人脸信息发生泄露的风险主要存在于收集、存储、使用、加工、传输，其中使用、加工、传输需要金融机构等厂商提高重视度，收集、存储环境也需消费者提高警惕心。消费者不应随意同陌生人的视频聊天、下载来源不明的App、随意参与App内的录制视频/声音活动，北京互联网法院综合审判三庭副庭长曾表示“一些营销短视频、音频的商家经常在未经当事人许可和同意的情况下进行换脸、换声操作，以此获利”，降低人脸信息的收集、存储环节的安全隐患。消费者应保护好银行卡号、密码、身份证等个人信息；人脸、指纹等个人生物信息，发现可疑行为及时报警。 个人生物信息一旦泄露便后患无穷，尤其是人脸信息，上述案例中的收集人脸信息、通过技术手段攻击人脸识别防护系统，攻破后进行盗取转移资金等违法行为的犯罪链已较为成熟。通过AI技术攻击人脸识别防护系统的手段可分为深度伪造攻击与对抗样本攻击。深度伪造攻击是将一个人的面部表情移植到另一个人照片的面部，从而让被移植人照片活化起来；对抗样本攻击是在人脸照片上添加难以察觉的微小扰动使人脸识别系统误判。本次案例中，不法分子极可能是利用视频通话采集受害者人脸信息…

声明：本文主要为RC²反窃密实验室研究成果分享，仅供交流与参考。 0x01 为什么要检测办公室？ 对于绝大多数高管而言，办公室显然是私密交流的主要场所，交谈频率远超过了会议室和咖啡厅。 毕竟，理论上， 它是确保人们能在公司角落敞开发牢骚的保障地。 它是两三个人喝着茶吃着零食讨论公司业务的避风港。 是公司明争暗斗是是非非的一个见证地。 这么一个既开放又私密的房间，你说重要不重要？ 0x02 办公室窃密真实案例 发生在办公室的故事，那可就多了。 2019年5月30日晚23时左右，甲乙丙丁所有高管收到了一封匿名邮件（该邮件并未发送给COO），邮件中附带一段被剪辑的音频。 在相关技术产品的人员帮助下，发现这段音频是由至少6-7段COO的谈话内容剪辑而成。音质清晰，是被录音窃听后合成的，时间跨度约为2019年1月至2019年4月，历时长达三个月。 这三个月窃听剪辑而成的音频，只截取了COO个人的讲话片段，无上下文，无与COO对话人的讲话内容。 而实际上，COO的办公室外就是员工的工位，外面还有前台，园区也有保安，要实现这个窃听需要里应外合才能实现。 那么，又是谁在监听COO的办公室谈话内容？这留下了不少悬念。 具体的例子不太方便举，大家看一则新闻。 所以，在办公室里安装针孔，到底是什么目的呢？ 固话/座机的非法窃听，也一直是商业间谍、企业内鬼、恶意调查公司、非政府组织、国际犯罪团伙等所使用的主要手段之一。 0x03 办公室的小物件才最麻烦 很多人压根想不到，一个高管的办公室里，会有多少小物件? 仅仅看办公桌，小的物件就包括…

介绍 攻击者总是能找到各种创造性的方法来绕过防御功能并达到他们的目的，例如通过打包程序、加密程序和代码混淆来实现。然而，逃避检测以及最大化兼容性的最佳方法之一是使用操作系统自身的功能。 在勒索软件威胁的背景下，一个值得注意的情况是利用加密 DLL ADVAPI32.dll 中存在的导出函数，例如 CryptAcquireContextA、CryptEncrypt 和 CryptDecrypt。通过这种方式，攻击者可以确保恶意软件在支持此 DLL 的各种版本的操作系统中运行并模拟正常行为。 而在最近的一次事件响应中，另一种巧妙的技术引起了安全研究人员的注意：使用原生 BitLocker 功能加密并窃取解密密钥。BitLocker 的最初目的是解决丢失、被盗或不当退役设备导致数据被盗或泄露的风险，然而，威胁者发现这种机制可以被重新用于实现恶意目的，且效果非常好。 在该事件中，攻击者能够部署并运行一个高级 VBS 脚本，该脚本利用 BitLocker 进行未经授权的文件加密。安全研究人员在墨西哥、印度尼西亚和约旦发现了此脚本及其修改版本。本文将详细分析在事件响应工作中获得的恶意代码，并提供缓解此类威胁的建议。 这不是我们第一次看到 BitLocker 用于加密驱动器并索要赎金。以前，攻击者在访问和控制关键系统后，会使用此 Microsoft 实用程序来加密这些系统。然而，在这种情况下，攻击者采取了额外的措施来最大限度地扩大攻击造成的损害，并阻碍对事件的有效响应。 VBScript 分析 一个有趣的现象是，攻击者没有像威胁者通常做的那样费心混淆大…

8月已至，这意味着黑客“狂欢季”：BSides Las Vegas、Black Hat USA和DEF CON接踵而来。如果你要去拉斯维加斯参加一年一度的系统缺陷探索盛宴，那么下述纪录片可以带你提前沉浸在探索的情绪中。 1、《十亿美元大劫案》Billion Dollar Heist（2023年）流媒体平台（8月15日开始购买）：Prime Video、AppleTV、Xfinity、Vudu、Directv、Fios、YouTube 预告片：https://youtu.be/31FkJyi7M1c 今年夏天最大的黑客纪录片来自环球影视家庭娱乐（Universal Pictures Home Entertainment）公司。《十亿美元大劫案》讲述了2016年针对孟加拉国中央银行进行的数字抢劫。这部电影追溯了整个行动过程，从选择世界银行网络的目标成员到电汇被盗资金，从成功打开网络钓鱼的大门到洗白不义之财。 朝鲜的APT组织Lazarus Group被认定为此次盗窃的幕后黑手。该组织先是侵入了控制银行间国际资金转移的SWIFT软件，然后开始向纽约的联邦储备银行（Federal Reserve Bank）发送看似来自孟加拉国银行的虚假请求。 即便你知道事件是如何展开的，这部电影在渲染悬念方面做得很好，松弛有度地突出了各个方面的出色策划。通过将攻击的执行时间定在一个长周末的周四晚上，网络犯罪分子给了自己四天的时间来完成10亿美元的转账。不过，他们糟糕的拼写错误引发了足够多的问题，让美联储在转出8100万美元后及时停止了转账。 此外，亲眼目睹参与调…

近日，备受瞩目的动作角色扮演游戏《黑神话：悟空》遭遇网络攻击，这一事件引发广泛关注。该游戏由中国游戏开发公司 Game Science 开发，是一款基于中国古代神话《西游记》的开放世界游戏。 攻击的影响主要集中在游戏的发布平台——Steam上。 事件背景 《黑神话：悟空》自首次公布以来，就吸引了大量游戏爱好者的关注。其精美的画面和创新的玩法让人对这款游戏充满期待。然而，这也使得它进入攻击者视线，并对 Steam 平台发起了网络攻击。 攻击详情 根据多方报道，攻击者通过对 Steam 平台进行分布式拒绝服务（DDoS）攻击，导致平台出现了大规模的服务中断和不稳定现象。这种攻击通常会通过大量伪造的流量挤占目标服务器的资源，进而导致正常用户无法访问服务。 事件影响 此次攻击不仅影响了 Steam 平台的正常运营，也对《黑神话：悟空》的发布造成了不小的困扰。开发公司 Game Science 已经发布声明，表示他们正在与 Steam 平台紧密合作，尽快解决问题，确保游戏能够如期发布。 Steam 平台方面则对外表示，他们已经采取了紧急措施来应对攻击，并加强了系统的安全防护。他们还承诺将继续关注事态的发展，并与相关方保持沟通，以最大限度减少对用户的影响。 后续发展 目前，关于此次网络攻击的具体原因和攻击者身份仍然不明确。专家表示，这类攻击可能与游戏的高关注度有关，攻击者可能试图通过这种方式制造混乱，影响游戏的发售。 文章参考自：Game Science 官方声明. Game Science 网站 Steam 平台公告.Steam 新闻中心 《黑神话…

许多网络安全消息来源称，汉堡王的系统是网络攻击的重要目标，该攻击泄露了大量的私人登录信息。这次漏洞暴露了该公司基础设施中潜在的漏洞，可以很好地提醒人们在当今的数字环境中，一个健全的网络安全规程至关重要。 《安全事务》（Security Affairs）最先注意到了这一漏洞，并指出汉堡王的系统无意中泄露了重要的密码，有可能会允许攻击者非法访问系统。专家说，网络攻击者获得了本应受到保护的数据访问权，这使得汉堡王的内部系统和敏感数据变得十分脆弱。这也显现出了该漏洞的严重性。 专家们则进一步强调了该漏洞的影响，指出这一事件不仅会给汉堡王带来严重的后果，也会给其客户带来严重的后果。恶意攻击者可能会利用泄露的凭证访问其他系统、进行身份盗用，或对与被泄露数据相关的个人和组织发动更有针对性的攻击。 这起事件对各行各业的企业来说都是一个警示，它也显示了进行积极主动地实施全面的网络安全方案的必要性。正如网络安全专家 Jane Doe 博士所说，汉堡王数据泄露事件表明，即使是看似很微小的漏洞也可能会导致重大的数据泄露。企业必须从根本上优先考虑网络安全，实施强有力的安全措施、定期审计和员工培训，以降低风险。 据报道，汉堡王已立即采取措施修补了这一漏洞。该公司发表了一份声明，承认已经发生了泄密事件，并向客户保证，他们正在努力解决这一问题，并加强安全措施。尽管如此，这一事件还是引发了人们对该公司整体安全状况的质疑，并凸显了企业在保护敏感数据方面所面临的各种挑战。

Fortra 称，FileCatalyst Workflow 中存在一个严重的硬编码密码漏洞，攻击者可以利用该漏洞未经授权访问内部数据库，从而窃取数据并获得管理员权限。 任何人都可以使用该硬编码密码远程访问暴露的 FileCatalyst Workflow HyperSQL (HSQLDB) 数据库，从而未经授权访问潜在的敏感信息。 此外，数据库凭据可能会被滥用来创建新的管理员用户，因此攻击者可以获得对 FileCatalyst Workflow 应用程序的管理级访问权限并完全控制系统。 在最近发布的安全公告中，Fortra 表示该问题被跟踪为 CVE-2024-6633（CVSS v3.1：9.8，“严重”），影响 FileCatalyst Workflow 5.1.6 Build 139 及更早版本。建议用户升级到 5.1.7 或更高版本。 Fortra 在公告中指出，HSQLDB 仅用于简化安装过程，并建议用户在安装后设置替代解决方案。因为没有按照建议配置 FileCatalyst Workflow 使用备用数据库的用户很容易受到任何可以到达 HSQLDB 的来源的攻击。暂时还没有缓解措施或解决方法，因此建议系统管理员尽快应用可用的安全更新。 缺陷发现和细节 Tenable 于 2024 年 7 月 1 日发现了 CVE-2024-6633，当时他们在所有 FileCatalyst Workflow 部署中都发现了相同的静态密码“GOSENSGO613”。Tenable 解释说，在产品的默认设置下，可以通过 TCP 端口 4406 …

循万变·见未来——技术前瞻 未来，静态代码分析领域发展趋势将呈现五大特征： 特征一：关注度提升 随着该领域技术的日益普及和需求的不断上升，在未来，该领域将会受到更多技术和市场的关注。 特征二：全面的代码质量评估 随着分析技术的提高，静态代码分析工具或将超越基本的语法和安全性检查，可提供包括代码风格、可维护性、性能等多方面的综合评估，并且安全性将会进一步被重视，静态代码分析在识别和预防安全漏洞方面的作用将变得更加显著，通过与持续集成/持续交付（CI/CD）流程的对接和IDE的支持等,成为软件开发中不可或缺的一环。 特征三：遵从性与合规性支持 工具将更加注重帮助企业满足行业标准和法规要求，减少合规风险，特别是在部分高度规范的行业中。 特征四：定制化解决方案与开源生态 用户对于定制化静态代码分析规则的需求将持续增长，同时开源工具因其灵活性和成本效益而受到更多开发者的青睐，并促进形成更加活跃的社区和生态系统。 特征五：智能化分析工具 人工智能和机器学习技术的发展或将被应用于静态代码分析，以提供更为深入和精准的代码审查。 ——四维创智（成都）科技发展有限公司 高级研发工程师 王磊 在静态代码分析领域，传统的审计工具往往受限于底层结构的不一致性和数据流分析的复杂性，导致跨语言审计和代码查询规则编写面临重重挑战。本议题旨在介绍YakLang.io团队在解决这些难题上取得的突破性成果，特别是YakSSA和SyntaxFlow两项创新技术。 YakSSA，一种为代码审计量身定制的静态单一赋值（SSA）格式中间表示（IR），解决了传统工具在OOP语言和闭包…

2023年8月21日，安全研究人员兼HackerOne顾问委员会成员Corben Leo在社交媒体上宣布，他侵入了一家汽车公司，随后发布了一则帖子，解释如何获得了数百个代码库的访问权限。 图1 Corben参加了由这家汽车制造商发起的漏洞悬赏计划。漏洞悬赏是众多行业一种非常普遍的做法，旨在奖励道德黑客发现问题并以负责任的方式报告问题，这种做法久经时间的考验，为许多公司带来了显著的效果。与此同时，有报道称与其他行业相比，汽车制造商支付的漏洞赏金往往少得多。 就本文这个案例而言，这家汽车公司给出了合理的奖励，Corben也有合理的动机去发现和报告这个可能引发危机的漏洞。Corben在帖子中阐述了其攻击方法。简而言之，通过反复试错，他找到了所谓的入站控制器，这其实是用于Kubernetes环境的负载均衡器，通过蛮力攻击，操纵主机报头，他发现了一个错误配置的Spring Boot Actuator（Sprint Boot框架的子项目），该Actuator使用HTTP端点来公开运行应用程序方面的操作信息，他发现的端点是' /env '和' /heapdump '端点。这时候凭据登场亮相了。 图2 ' /env '端点拥有经过适当编辑处理的密码，这意味着进入了死胡同，然而，' /heapdump'端点含有存储在内存中的应用程序对象的快照，暴露了明文格式的凭据。在搜索关键字仅仅几分钟后，他就找到了oauth2凭据，他利用这些凭据访问了一个之前发现的config-server实例；同样由于另一个错误配置的Spring Boot Actuator，他…

研究人员研发的人工智能算法，可检测到针对军用无人驾驶车辆的中间人攻击。 机器人操作系统（ROS）是高度网络化的，机器人之间需要协作，其中的传感器、控制器等需要通信并通过云服务交换信息，因此极易受到数据泄露和电磁劫持攻击等网络攻击。中间人攻击（MitM）是一种可以拦截和篡改两方通信数据的网络攻击，中间人攻击可破坏无人驾驶车辆的操作、修改传输的指令、甚至控制和指导机器人进行危险的动作。 机器人系统可以从不同层面进行攻击，包括核心系统、子系统、子组件，引发使机器人无法正常工作的操作问题。澳大利亚南澳大学（University of South Australia）和查尔斯特大学研究人员研发了一种可以检测和拦截针对军用无人机器人的中间人攻击的人工智能算法，使用机器学习技术检测中间人攻击，并在几秒钟内就可以阻断攻击。 图为中间人攻击可以攻击的不同节点 检测针对针对无人驾驶车辆和机器人的中间人攻击极其复杂，因此这些系统都在容错模式下运行，区分正常操作和错误条件非常困难。研究人员研发了一个机器学习系统，可以分析机器人的网络流量以检测尝试入侵机器人系统的恶意流量，系统使用基于节点的方法，仔细检查包数据，使用基于流统计的系统来从包头读取元数据，使用深度学习卷积神经网络（CNN）来增强检测结果的准确性。 图为测试中使用的机器人 研究人员使用GVR-BOT机器人进行了测试，实验表明可以成功阻断99%的中间人攻击，假阳性率小于2%。 图为传感器数据（攻击从300秒开始） 图为性能测试结果 研究人员称该系统经过改进可以用于其他机器人系统，如无人机系统。与…

往期回顾： 2024.4.15—2024.4.21安全动态周回顾 2024.4.8—2024.4.14安全动态周回顾 2024.4.1—2024.4.7安全动态周回顾 2024.3.25—2024.3.31安全动态周回顾 2024.3.18—2024.3.24安全动态周回顾 2024.3.11—2024.3.17安全动态周回顾 2024.3.4—2024.3.10安全动态周回顾 2024.2.26—2024.3.3安全动态周回顾 2024.2.19—2024.2.25安全动态周回顾 2024.2.12—2024.2.18安全动态周回顾 2024.1.29—2024.2.4安全动态周回顾 2024.1.22—2024.1.28安全动态周回顾 2024.1.15—2024.1.21安全动态周回顾 2024.1.8—2024.1.14安全动态周回顾

7月17日，首届“安全平行切面大会”在北京举行。在中国信息协会信息安全专业委员会指导下，蚂蚁集团等联合发起的“安全平行切面联盟” (Aspect-Oriented Technology Alliance，简称AOTA )在会上正式成立并举行授牌仪式。该联盟是基于“安全平行切面”架构的技术生态联盟，将以定向授权的形式，向行业开放安全平行切面核心技术底座。同时将建立人才培养体系、技术标准体系和切面应用生态，与行业携手推动提升企业安全架构的实战性、稳定性、安全性和易用性。 中国科学院院士冯登国、清华大学网络研究院教授段海新、北京赛博英杰科技有限公司创始人谭晓生等院士专家发表致辞，对安全切面体系的发展与未来表示肯定和期待。同时，会上向平安科技、炼石网络、默安科技等首批 14家联盟成员单位，以及安天科技、中测安华、华云安、红途科技、浙江超限首批5家联盟技术授权单位代表进行授牌。 （图：7月17日，“安全平行切面联盟”正式成立） （从左至右）联盟特聘专家、中国科学技术大学教授左晓栋，联盟理事长、蚂蚁集团副总裁、首席技术安全官韦韬，指导单位中国信息协会信息安全专委会副主任赵进延，技术授权单位代表北京华云安信息技术有限公司CEO沈传宝 中国科学院院士 冯登国 当前行业数字化加速，企业不断引入外部数字产品服务、行业技术体系演化，将会导致企业安全的复杂性爆炸式增长。为应对此挑战，2019年蚂蚁集团首创了全新的安全防护体系“安全平行切面”，把安全能力融入企业技术基础设施里且与业务解耦，在不修改业务正常逻辑的情况下，实现攻击和风险的精确阻断和精细化数据治理。 …