蓝队取证审计网络安全

声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 0x01 测谎仪的历史 测谎仪的历史可以追溯到19世纪末期，那时人们就开始意识到：撒谎可能会伴随着生理反应的变化。 早期的测谎方法主要是基于观察被试者的生理指标，比如心率、呼吸频率和皮肤电阻等。虽然这些方法不够精确，但它们启发了科学家进一步探索如何利用生理指标来识别撒谎。 莱昂纳德·基勒 (Leonarde Keeler) 是基勒测谎仪的发明者，他一生的大部分时间都在试图辨别人们是否说真话。如下图，他通过测谎仪认识了他的妻子凯瑟琳。 当时的芝加哥，因其帮派和惊人的凶杀率而被称为谋杀之城。1929年，为了扭转这座城市的声誉，市政府在西北大学建立了科学犯罪侦查实验室，这是美国第一个正式的刑事调查机构。基勒夫妇成为了该实验室的两位顶尖犯罪学家，莱昂纳德成为了实验室的测谎专家，凯瑟琳成为了笔迹分析专家。 在洛杉矶，基勒直接向该市改革派警察局长奥古斯特·沃尔默汇报，后者声称该机器将提供“改良、简化和人性化的三级”。沃尔默希望他的门生的机械创新能够让容易出错和暴力的审讯成为过去。 自此，莱昂纳德的机器有了一个正式的名称——基勒测谎仪——并在犯罪侦查实验室中内置了一个公共关系部门。两年之内，测谎成为西北实验室最赚钱的业务。 有趣的是，随着这种设备在检测欺骗和犯罪方面的成功，”基勒解释了原理，“在很大程度上归因于这种测试在招供方面所产生的心理效应。” 他的设备原本是为了简化警方的审讯，但却成为警察强制装备库中的另一个工具。 0x02 关于测谎仪的认知盲区 测谎仪…

篇首语：最近在梳理各种异常频谱，杨叔无意中查到这么一个奇怪的频点，已经超出了正常的检测范围，普通的信号检测设备也无法接收到这个频点的信息。 深挖之余，就有了本篇。 本文同样送给那些喜爱神秘/科幻主义的爱好者、超自然研究者、《飞碟探索》《鬼吹灯》粉及有末日情节的生存控们，希望大家喜欢。 声明：以下内容素材均来自互联网，不涉及宗教、玄学、神话等方面的讨论，仅供交流、参考与闲聊，不喜勿看，谢绝杠精。 0x01 这世界有“鬼”么？ 早在有记载的历史之前，人类就一直在讲鬼故事。 在西方，一些已知最古老的鬼魂出没地，比如公元前8世纪古希腊荷马编著的《奥德赛》描述的，奥德修斯前往冥府寻找先知，看到无数凄厉悲苦的亡魂。 《旧约全书》讲述了恩多女巫召唤幽灵预言家撒母耳，结果导致了扫罗王的战败与自杀。 除了文学上的虚构，西方历史上也有很多有关鬼魂的记载。 公元1世纪，博物学家小普林尼在雅典的一处房子被鬼缠上，他说这个鬼会发出锁链的喀嚓声，还会以长胡子的老人的形象现身。 而出现频率最高的是王后安妮•傅林的鬼魂，据说自从1536年被砍头之后，人们已经在120个地方见到她不下3万次。 而在东方，中国古代如此之多描述鬼魂精怪的著作和传说，什么《搜神记》《聊斋志异》《山海经》《封神演义》......估计故事总数要超过整个西方的合集。 PS：杨叔就曾为小倩（其实是王祖贤）痴迷不已夜不能寐无心喃呢...... ......咳咳，总之，鬼魂、幽灵什么的都被认为是各种超自然行为的罪魁祸首，但多亏了科学，我们终于能够解释其中的一些情况。 嗯，先放张摸金校尉的图镇场。 0x…

篇首语：很多部门都在思考如何使用低技术手段来解决高科技犯罪，反窃密行业同样如此。 嗯，总有些另辟蹊径的思路，比如今天要介绍的是，可以帮小姐姐查针孔偷拍的：ESD K-9 电子存储设备搜检汪汪队~~ 小贴士：K-9这个词源于英文单词Canine，原意指犬科动物，K9其实指的就是警犬或者是军犬，这个词最先流行于美国的警犬部门，现在已被广泛接受~~ 大家在机场见过防爆和缉毒的狗狗吧？ 声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 01 为什么要搜检电子存储设备？ 在现代社会，针对未成年人的互联网犯罪，包括创建和传播未成年人色情制品、儿童性奴、未成年人性侵犯和性虐待的直播等等。近些年，这类犯罪正在以惊人的速度增加。 这些疑犯通常的做法是将其对话信息、图片、视频和其他联系信息都保存在外部存储设备（例如硬盘、U盘、Micro SD卡等）并藏匿，这对执法人员的搜查工作制造了很大难题。 来自美国计算机犯罪部门的警官表示： 在搜查令期间，通常会要求执法人员查找与这些罪行有关的实物证据。这些证据对于识别受害者，并将这些嫌疑人从社区中驱逐及逮捕至关重要。 但当他们依法执行搜查工作时，由于电子存储设备通常很小，容易隐藏，所以虽然搜查工作通常要花费数小时，但总会疏漏些电子物证，甚至有些设备可能永远都找不到。 而每个未发现的设备，都可能是一个或多个身份不明的受害者的血泪证据。 这些被称为数字媒体电子存储设备（DMESD），包括笔记本硬盘、小型U盘、TF卡、SD 卡、Micro SD卡、智能手机以及许多其他存储设备。要知…

篇首语：去年在深圳，和一个厂商交流时，聊到英国DeltaV场强仪，对方很诧异地说：“这玩意质量很差啊，用了三个月就坏了”，What？杨叔顿觉不可思议，毕竟实验室使用三年来几乎没出现过问题。 结果拿来一看：擦，这特么不是假货嘛？... 为了避免更多企业用户入坑，也为了方便RC2的学员朋友们识别真伪，特别地，在课程之余，写下本篇。 声明：以下内容来自RC2反窃密实验室及杨叔个人经验，仅供交流与参考。 01 DeltaV的厂商 国内有不少专业人士用过这款DeltaV手持信号检测设备，也有些人对这款设备嗤之以鼻，这都是假货的功劳 不过，更多的人，可能压根儿没听说过。 作为一款手持信号检测设备，在易用性、准确性和稳定性上，来自英国的DeltaV Advanced已经在国际上同类设备中位列前三。 在高准确度下保持对100MHz至15GHz的信号检测频宽，也超越了99%的同类设备。无论是大使馆，还是企业高管办公室、会议室的检测，均可轻松胜任。 这也是杨叔在2017年起，L2商业安全课程实验中就一直让学员对比体验设备的原因，最终DeltaV也确实赢得了学员们的一致认同。 其实这款设备的厂商： 英国Audiotel International 在国际TSCM反窃密检测圈内也算是鼎鼎有名的老牌厂商之一。 早在2005~2010年间，很多国家的执法机构、战术单位、反间谍及情报部门，都采购过该公司的非线性检测设备和手持信号检测仪。 直到现在，国内一些相关部门的物资仓库里，多少都能翻出一两款Audiotel的早期产品。 哈哈，能熟练使用上面设备的…

以下内容由WebRAY和Panabit联合发布 0x01 事件背景 从2024年5月开始，国内部分家用路由器开始出现间歇性断网、域名解析延迟高以及解析到海外IP等情况，今年8月该现象变得尤为严重。前几天在做应急响应时候发现某企业暴露在公网上的路由器配置的DNS地址被莫名其妙篡改了，主DNS地址是一个阿里云上的节点，备用DNS地址为1.1.1.1。起初以为这次事件跟近期的攻防演习相关，后面经过深入分析发现该事件并不是个例，我们已排查到有大量暴露在公网上的路由器都存在DNS被篡改的情况，且大部分用户基本没有感知。经过初步统计，攻击者使用的劫持DNS节点数已有百余个，用户访问受影响的目标主要覆盖了阿里云CDN、腾讯云CDN、华为云CDN等，导致了一系列的解析异常。短时间范围内，大量用户投诉对国内重要目标单位访问异常，造成严重安全隐患。 0x02 事件分析 盛邦安全烽火台实验室联合Panabit对该事件进行了专项分析，这起事件是属于典型的DNS劫持攻击事件，符合国外黑灰产组织的攻击特征。攻击者通过搜集公网可访问的路由器地址，利用漏洞或弱口令获取路由器控制权限，修改路由器DNS服务器地址，达到中间人攻击的效果。整体的攻击流程如下图所示： （图中假设攻击者对webray.com.cn进行了dns劫持） 用户在发起HTTP请求之前首先会进行DNS请求，由于绝大部分个人用户不会自定义DNS服务器，所以默认情况下会使用路由器的DNS服务器来进行域名解析。攻击者通过漏洞把路由器DNS服务器篡改为自己可控的恶意DNS服务器，并…

声明：本文主要为RC²反窃密实验室研究成果分享，仅供交流与参考。 0x01 为什么要检测办公室？ 对于绝大多数高管而言，办公室显然是私密交流的主要场所，交谈频率远超过了会议室和咖啡厅。 毕竟，理论上， 它是确保人们能在公司角落敞开发牢骚的保障地。 它是两三个人喝着茶吃着零食讨论公司业务的避风港。 是公司明争暗斗是是非非的一个见证地。 这么一个既开放又私密的房间，你说重要不重要？ 0x02 办公室窃密真实案例 发生在办公室的故事，那可就多了。 2019年5月30日晚23时左右，甲乙丙丁所有高管收到了一封匿名邮件（该邮件并未发送给COO），邮件中附带一段被剪辑的音频。 在相关技术产品的人员帮助下，发现这段音频是由至少6-7段COO的谈话内容剪辑而成。音质清晰，是被录音窃听后合成的，时间跨度约为2019年1月至2019年4月，历时长达三个月。 这三个月窃听剪辑而成的音频，只截取了COO个人的讲话片段，无上下文，无与COO对话人的讲话内容。 而实际上，COO的办公室外就是员工的工位，外面还有前台，园区也有保安，要实现这个窃听需要里应外合才能实现。 那么，又是谁在监听COO的办公室谈话内容？这留下了不少悬念。 具体的例子不太方便举，大家看一则新闻。 所以，在办公室里安装针孔，到底是什么目的呢？ 固话/座机的非法窃听，也一直是商业间谍、企业内鬼、恶意调查公司、非政府组织、国际犯罪团伙等所使用的主要手段之一。 0x03 办公室的小物件才最麻烦 很多人压根想不到，一个高管的办公室里，会有多少小物件? 仅仅看办公桌，小的物件就包括…

一般来说，可能会使用车辆GPS跟踪设备的群体，主要有以下几类： 1）企业/上市公司的商业竞争对手 2）同一家企业/公司的中高层 3）家庭纠纷/婚姻/两性问题的其中一方 4）媒体暗访 5）欺诈/绑架等心怀恶意目的人员 6）政府机构/相关部门的秘密调查 7）娱乐圈的绯闻记者 8）黑吃黑其中，就真实案例而言，以1、2、3方面的情况最多。当然，新闻报道上也常能看到5和7的情形。所以，如何保护自己，如何防范可能的非法或者恶意行为，经常性地检查自家车辆会是一个非常好的习惯。下面杨叔会仔细讲述下私家车的标准检查步骤，至于大型或特种车辆在主体方法上类似，只是细节上会有所不同。OK，那我们开始吧...... Part1 外部检查步骤1：准备好手电和自己的车辆使用手册。 是的，你只需要这两样东西。强调下，虽然目前市面较多的GPS追踪器外型都是一个体积较大的带磁吸的盒子，但注意并不是所有的设备都会这么明显。 甚至在某些情况下，唯一能够识别追踪器的途径可能仅仅是条不合适的电线。在开始自检前，一定要强调的是：除非你非常熟悉自己的车，否则请勿轻易自行手动拆除车辆的重要部件。 步骤2：检查车底盘。 如果没有车辆维修专用的修理槽，可以背朝下滑入车底，用手电检查车底盘。大多数跟踪器需要链接到GPS卫星信号，所以一般不会在车底部有较厚金属阻隔的区域。仔细观察并寻找有无可疑的盒状物体或天线，给些小建议： 步骤3：检查车轮口和轮辋凹区。 检查每个车轮的塑料防护罩/挡泥板，特别是感觉松动或弯曲的地方。默认情况下车辆在这个位置不会有任何外置设备，所以若是有跟踪器，那都应该是…

篇首语：这些年，杨叔发现，虽然越来越多的人都开始使用NLJD，但似乎很多人对这些设备的发展史，以及那些行业中曾经赫赫有名的公司和专家均一无所知。 我们都知道：很多技术的发展，都是要经过“引进--研究--学习--超越”这几个步骤，所以杨叔特别准备了「TSCM发展史」系列软文，希望能让更多人真正了解和走进TSCM行业。 声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 0x01 先说说NLJDNLJD，Non Linear Junction Detector，非线性结点探测器，可以说是当今开展TSCM反窃密检测、物理安全检测的必备专业设备之一。 通过识别PN结的非线性反应，NLJD能够轻易地检测到地板、家具及墙面里隐藏的电子器材，所以自1980年起，从欧美到亚洲，各国反间谍部门、情报机构、重要保密单位都开始大量装备NLJD，对内部环境开展严格的TSCM安全检测。 分享一份美国FBI的内部TSCM检测记录，这份写于1987年3月23日的报告，充分展现了定期检测的工作内容。 如上图可以看到，里面提及了无线检测、物理搜检及电话线路检测等等，均没有发现异常。 嗯，是的，自TSCM检测开展以来，在一个完整的TSCM检测流程里，不仅仅是非线性设备的使用，专业电话线路检测都是必查的内容，这是衡量TSCM检测能力专业与否的关键判断点之一。 更多内容，可以参加RC²的深度专家课程，也可以翻阅杨叔之前的这篇： 行业解密 | TSCM技术反窃密的前世今生 那么， 可能有人注意到了 为什么选择今天发这篇软文呢？ 因为对于…

0x01 非法监视直接切入主题，那些试图继续干扰女孩子生活的前男盆友们，往往都会采用非法监视，一般有以下几种可能： 一，针孔偷拍窃听。在对方家中或者曾经的合租房里安装针孔摄像头、窃听器材，偷拍女孩子的生活起居，暗地了解新交往的对象等等，这样的事情在日本和台湾地区的新闻报道里屡见不鲜，但国内一般很少报道此类事件。 下图是台湾《苹果日报》的新闻报道截图，讲述的就是一位28岁女性遭到40岁前男友部署在屋里器材的偷拍和窃听。 二，相机偷拍。这一项常常和尾行跟踪在一起，一般远距离会使用到专业相机+专业镜头，近距离则是用微单或者手机实现。主要目的还是在于跟踪女孩子的生活状况、有没有新的约会对象或者喜欢的人等等。当然，对于狗仔队而言，其有着完全不同的特殊意义。 三，非法定位。跟踪女孩子的出行状况，比如出差到哪个城市、订哪个酒店、和谁一起游玩等等。有些通过在女孩子背包或者车辆上安装跟踪器实现，有些则需要借用到专业的基站定位技术和地下信息数据支持。 防范建议： （注意：以下建议仅适用于关系僵硬、出现崩离趋势的时期） 0x02 尾行跟踪虽然感觉比较Low，但实际上尾行始终都是一种非常有效的监控手段。不过大多数尾行跟踪行为都建立在一个基础上，就是“对你平时工作生活的了解”。 虽然不至于为了一个前男友就去辞掉工作，但是无论是为了确保自己安全，还是为了新的开始做铺垫，改变下以往的生活作息习惯，显然是恰当的。 先说明，以下建议并不适用于专业跟踪偷拍人士/团队，若是遇到下图这样情况，那就需要专业对专业，需要委托个人隐私安全保护服务（一般不到这个程度，某些打羽…

声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 01 总统专车面临的风险 美国历史上，自从1865年林肯总统被刺杀以来，已经有四位总统遭遇暗杀以身殉职，更有许多总统遭遇暗杀未遂，所以美国方面历来重视总统的安保工作。 就像大家在电影新闻上看到的，总统出国访问时，一个由黑色系车辆组成的总统车队里，一个个黑衣帅哥戴着耳机一脸严肃严阵以待。 其实，在伊拉克和阿富汗将近十五年的战争中，反简易爆炸装置 (IED) 和动态通信干扰技术取得了长足的进步，这种系统已经在海外挽救了数百甚至数千人的生命。 在过去十年的后半期，阿富汗和伊拉克各地，美军已经在 MRAP、APC 和装甲车上部署了更先进的技术。 当然，其中关键技术也部署到了总统车队的特种车辆上。 02 第一次见到总统车队 杨叔第一次见到总统车队，是在1998年。杨叔专门翻了些历史资料，和大家一起分享这份记忆。 1998年6月，美国克林顿总统访华，首站放在西安。据报道，克林顿总统的访华团队规模之大是空前的： 随行人数多达1200人，动用了包括空军一号在内的四架飞机和若干架大型运输机，仅是通讯器材就有60吨，随机记者200人，还有另外175个记者是自己打飞的来的。 记得当年克林顿来西安，入住在城东门附近的凯悦大酒店。不过美国总统出访外国前，会提前一两个月派出先遣高级安保人员，与出访国有关方面进行工作对接。 所以杨叔清楚地记得，当时克林顿访华前，在凯悦酒店对面路过，能清晰地看到酒店门口停着两辆酷酷的黑色防弹雪佛兰。 1998…

篇首语：最近杨叔看到好多朋友家小盆友都在上橄榄球课，也就习惯性关注下这个行业的隐私保护现状，于是就......看到了有趣的东西 今年7月，第一本全面揭露美国NFL职业橄榄球大联盟中阴暗面的书籍出版，书中囊括了从偷拍、安装窃听器材、秘密监视，到窃取文件、窃听电话、间谍刺探，以及内部斗争等等球队间对抗的情节。 谁能想到这些听起来像是007电影里的桥段，都来自真实的美国职业橄榄球联盟 声明1：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 声明2：咳咳，杨叔不是橄榄球迷，如果在体育术语上有翻译不准确的地方，就当没看见吧 1 NFL全美职业橄榄球大联盟 美国职业橄榄球大联盟（National Football League，简称NFL）是指美国国家橄榄球联合会（National Football Conference，简称国联NFC）与美国橄榄球联合会（American Football Conference，简称美联AFC）合并后的名称。 NFL美国职业橄榄球大联盟，高居北美四大职业体育运动联盟之首，也是世界上规模最大的职业橄榄球大联盟。 目前，不但很多赛事国内平台都有转播，作为对身体素质要求更高的橄榄球运动，在国内的粉丝群体也正在快速增长中。 PS：杨叔在以前的软文里也提及过NFL，可以作为本篇的参考： 内幕 | 那些体育圈的窃密事件 OK，接下来，我们直接看看有趣的部分。 2 被窃听的球队更衣室 球队最担心的是在客场被恶意窃听。 很显然，客场的更衣室是一个值得关注的区域…

声明：以下涉及到产品图片等内容均来自互联网，出于不让厂商尴尬的考虑，某些过于明显的特征均已做模糊化处理。 01 窃听门故事 以下案例来自互联网（百度搜索），仅用于案例的技术性表述参考，不做评论。 2019年6月28日，一篇题为《窃听门风波后续：甲乙丙丁网CEO手撕阿里铁军，谁给你的勇气？》的文章在网络上传开。 简单说就是： 一家名为“甲乙丙丁网”的汽车综合服务商，原公司业务运营中心COO周某，因“不能胜任工作”于6月3日在管理层周例会上被解除职务，并于6月24日被公司通知辞退。 据称，被辞退的导火索是，2019年5月30日晚23时左右，甲乙丙丁所有高管收到了一封匿名邮件（该邮件并未发送给周某），邮件中附带一段被剪辑的音频。 经技术分析，发现这段音频是由至少6-7段周某的谈话内容剪辑而成。音质清晰，猜测是被录音窃听后合成的，时间跨度约为2019年1月至2019年4月，历时长达三个月。 也因此，部分报道有评论称此举为公司窃听。 随后6月28日，甲乙丙丁公司官方发表声明澄清，称录剪辑的录音，“经过内部调查已确定为周某在部门会议中的发言，不存在任何公司私录窃听的情况。”并透露，发送音频者暂未查到，将通过司法机关对该录音进行鉴定。 02 为何要录音 几年前，杨叔和一位IT圈的老哥在酒吧小聚，他曾在某个大型企业董事会里有把椅子。 酒没过三旬，老哥就聊起了他的经历： 当年初入董事会，多年来深知“扬汤止沸，不如釜底抽薪”这个道理的他，在怀揣着“人不犯我我不犯人”的底线原则，他开始有意识地，在每一个和其他董事会成员独处的时候…

声明：以下内容符合OSINT国际开源情报搜集标准，不涉及任何非法行为，仅供交流与参考。 0x01 先聊聊酒店的墙壁 咳咳，行有行规，先说点正经的。 按照国内酒店装修必须遵循的行业标准《旅馆建筑设计规范》JGJ62-2014中规定，旅馆建筑的隔声减噪设计应符合现行国家标准《民用建筑隔声设计规范》GB 50118-2010的规定。 如下图所示，可以看到，墙壁厚度还真是和酒店级别有一定关系的。 不过在装修的行话里，老师傅们一般会更通俗地用“一砖墙”的说法。所谓“一砖墙”，顾名思义就是厚度为一块标准砖的墙，类似地，就有了“半砖、1砖、1砖半、2砖”墙的说法。 说到这儿，顺便调查下，这些年大家住过的酒店，你认为客房墙壁有多厚？ PS：更多关于墙壁厚度的定义，大家可以在评论区里回复“一砖墙”，就能看到。 那么，按照装修标准，是不是说五星级酒店客房就一定安全呢？ 这个嘛，真不好说。 0x02 一般人如何偷听隔壁 经常出差的人应该都有过这样的体验，尤其是苦逼出差的IT工程师们，撰写项目文档或做编程测试不知不觉到半夜，突然被隔壁莫名的声音惊扰。 除此之外，明显对内部会议、私下聊天的偷听会更有意义。于是乎，什么听诊器、杯子等都被人用来做偷听道具。 百度知道上，甚至还有人专门回答了用杯子偷听的心得，也是醉了。 嗯，肯定有老司机觉得这些都太基础了，根本不值一提，也是，接下来说说专业的做法。 0x03 专业隔墙偷听几十年 从原理上讲，专业偷听设备的确类似于听诊器，不过区别是，专业设备加入了电子降噪及放大的能…

声明：本篇以案例方式，分享一些RC²反窃密实验室在鉴定取证方面的经验，希望能给大家一些参考思路。 0x01 来自知乎的有趣案例 来自执法部门的需求都不合适直接用来做示例，所以还是拿知乎上的吧。前一阵，知乎上有人邀请杨叔回答：下图所示物件是不是窃听器材？ 接下来，简单分析下。 0x02 器材外形分析 关于这个器材，杨叔其实有好多疑问，例如： 图中这是两个主体么？即上方的空塑料小瓶和下方的封装物是一体的？ 还是说下方的封装物是塞进上方的塑料瓶里的？ 在房间什么位置发现的这个物件？ 这个物件发现时的状态是什么样的？ 有没有其它角度的照片？ 但可惜这不是送检，网上压根无人回答，所以只能做可能性判断。我们先从器材外形分析： 分析一：位于图中下方的封装物 看起来很像是电池，但尺寸上又有些奇怪，很可能是9号电池，或者2节27A电池串联。关于电池的尺寸，可以看看下面几个图，这样会有直观概念。 由于提问者没有提供撕开包装物的图片，所以杨叔只能就图猜测。首先是12V的9号电池，瘦长型的电池，尺寸上比较符合。 疑点：不过若是只有一节9号电池的话，仔细看，在长度上会有个空白，也许封装物一侧是一节9号电池，另一侧有个小的保护电路。 下来是12V的27A电池，可以看到尺寸上OK，但是长度上需要2节才能满足。 当然，还有种可能是使用多个纽扣电池串联，这样就可以节约出更多空间给发射电路板。至于纽扣电池的尺寸，可选择性就更多了，举个例子。 分析二：封装物上方的黑色小器件： 这个两边连接了黑红两条线·的微型黑色器件，看起来确实像是微型…

0x01 事件背景 2024年7月19日下午2点左右，大量外资企业和机构的Windows 机器出现蓝屏死机（BSOD）问题，受影响的机器会自动蓝屏，并且无法通过重启解决问题。 在短时间内全球多地爆出蓝屏导致的业务无法正常开展的事件，其中不乏包括国外知名的机构和单位，包括： 美国达美航空、联合航空和美国航空在内的多家美国主要航空公司的所有航班受蓝屏事件影响宣布当天上午停飞。 Microsoft 365订阅服务对于部分用户而言已无法使用，其状态页面警告称客户可能无法访问SharePoint Online、OneDrive for Business、Teams、Intune、PowerBI、Microsoft Fabric、Microsoft Defender和Viva Engage。 英国伦敦证券交易所宣布受蓝屏事件影响暂停交易。 日本轨道交通公司宣布受蓝屏事件影响无法查看列车的实时运行情况，不得已取消多条线路。 澳大利亚亚航空公司、银行、政府网络、企业、超市自动收银机等受到影响。 印度靛蓝航空、阿卡萨航空和香料航空在内的多家航空公司受蓝屏事件影响停飞，航班运营因此中断。 新加坡樟宜机场受蓝屏事件影响无法正常运营。 中国上海多家外企受到影响，环球影城和迪士尼受影响无法正常结算 本次事件主要影响的是国外机构与国内外资企业，有趣的是国内个人终端用户偏爱的盗版windows系统以及裸奔的安全防护反而使其逃过了一劫。在极短的时间内，微软蓝屏事件冲上微博热搜榜第一。此次事件的影响范围之广堪称旷古绝今，必将在互联网历史上留下深刻…

1 事件的基本情况和影响 北京时间2024年7月19日中午开始，全球多地用户在X（原推特）、脸书、微博等社交平台反映使用微软系统的电脑出现蓝屏现象，至少20多个国家的交通、金融、医疗、零售等行业或公共服务的业务系统受到影响。其原因是使用CrowdStrike公司终端安全产品的Windows操作系统的主机大面积发生系统崩溃故障，即“蓝屏死机”（Blue Screen of Death,BSOD），导致计算机系统无法正常运行。出现故障的终端并不止限于桌面终端，而是覆盖了大量的服务器和云节点，包括导致了多个重要的微软和AWS的云服务和租户服务中断。而且相关主机重新启动后依然会自动进入蓝屏状态，形成了反复崩溃闭环。此事件是今年以来全球波及范围最广的信息系统灾难性事件，也是由安全产品自身导致的最大规模的安全灾难事件，其事件带来的后果影响远远超过了2007年的赛门铁克误杀中文版Windows导致系统蓝屏事件等历史上由安全产品带来的安全事件。 北京时间7月19日19时，安天由云安全中心、安全研究与应急处理中心、攻防实验室人员组成混合分析小组，进行了跟进分析，及时将分析研判进展上报管理和应急部门，开发了CrowdStrike_Crash_Fix应急处理小工具，协助求助用户处理威胁，并发布了本分析报告。 CrowdStrike是美国主要的云、终端安全厂商之一，成立于2011年，2024年6月其市值一度接近千亿美元，是全球市值最大的网络安全上市公司之一。其开发的云本地端点保护平台CrowdStrike Falcon，开启了多租户、云原生、智能安全解决方案的…

介绍 攻击者总是能找到各种创造性的方法来绕过防御功能并达到他们的目的，例如通过打包程序、加密程序和代码混淆来实现。然而，逃避检测以及最大化兼容性的最佳方法之一是使用操作系统自身的功能。 在勒索软件威胁的背景下，一个值得注意的情况是利用加密 DLL ADVAPI32.dll 中存在的导出函数，例如 CryptAcquireContextA、CryptEncrypt 和 CryptDecrypt。通过这种方式，攻击者可以确保恶意软件在支持此 DLL 的各种版本的操作系统中运行并模拟正常行为。 而在最近的一次事件响应中，另一种巧妙的技术引起了安全研究人员的注意：使用原生 BitLocker 功能加密并窃取解密密钥。BitLocker 的最初目的是解决丢失、被盗或不当退役设备导致数据被盗或泄露的风险，然而，威胁者发现这种机制可以被重新用于实现恶意目的，且效果非常好。 在该事件中，攻击者能够部署并运行一个高级 VBS 脚本，该脚本利用 BitLocker 进行未经授权的文件加密。安全研究人员在墨西哥、印度尼西亚和约旦发现了此脚本及其修改版本。本文将详细分析在事件响应工作中获得的恶意代码，并提供缓解此类威胁的建议。 这不是我们第一次看到 BitLocker 用于加密驱动器并索要赎金。以前，攻击者在访问和控制关键系统后，会使用此 Microsoft 实用程序来加密这些系统。然而，在这种情况下，攻击者采取了额外的措施来最大限度地扩大攻击造成的损害，并阻碍对事件的有效响应。 VBScript 分析 一个有趣的现象是，攻击者没有像威胁者通常做的那样费心混淆大…

有安全研究机构发现了一个名为“GXC Team”的网络犯罪团伙，该团伙专门制作用于网上银行盗窃、电子商务欺诈和网络诈骗的工具。2023 年 11 月，该团伙的头目以“googleXcoder”的别名在暗网上发布了多条公告，宣布在暗网上出售的产品最高可享受 20% 的折扣。 这些帖子中向大家介绍了一种新工具，该工具结合了人工智能 (AI)，可用于创建用于电信欺诈和商业电子邮件欺诈 (BEC) 的虚假发票。 据报告，成功的商业电子邮件欺诈 (BEC) 诈骗（例如发票欺诈）平均每起事件可造成超过 12 万美元的损失，给企业造成了超过 24 亿美元的惊人财务损失。 毫无疑问，网络犯罪分子已经认识到人工智能在增强和扩展其业务方面的巨大潜力。但人工智能为他们提供了哪些具体优势？ 利用大型语言模型 (LLM) 的人工智能驱动平台（如 FraudGPT 和 WormGPT）的出现改变了游戏规则。这些框架可以创建复杂而精密的商业电子邮件入侵 (BEC) 活动，生成用于洗钱计划的垃圾邮件内容，并提供预制的恶意策略和工具。 就在 2024 年开始之前，即 12 月 30 日，他们推出了其 AI 工具的更新版本，名为“Business Invoice Swapper”。 此次更新已通过“GXC 团队”的官方 Telegram 频道发布。该工具以租赁方式提供，订阅计划起价为每周 2,000 美元，或者一次性支付 15,000 美元即可无限制使用。 要使该工具发挥作用，操作员必须输入要扫描的受感染电子邮件帐户列表。这涉及在文档中指定凭证以及用于“交换”或欺骗过…

安全研究人员发现了一个专为移动运营商网络设计的新的 Linux 后门，名为 GTPDOOR。GTPDOOR 背后的威胁分子以 GPRS 漫游交换 (GRX) 附近的系统为目标，例如 SGSN、GGSN 和 P-GW，这些系统可以为攻击者提供对电信核心网络的直接访问。 GRX 是移动电信的一个组件，可促进跨不同地理区域和网络的数据漫游服务。服务 GPRS 支持节点 (SGSN)、网关 GPRS 支持节点 (GGSN) 和 P-GW（分组数据网络网关（用于 4G LTE））是移动运营商网络基础设施内的组件，每个组件在移动通信中发挥不同的作用。 由于SGSN、GGSN和P-GW网络更多地暴露在公众面前，IP地址范围列在公开文件中，研究人员认为它们可能是获得移动运营商网络初始访问权限的目标。 安全研究人员解释说 ，GTPDOOR 很可能是属于“LightBasin”威胁组织 (UNC1945) 的工具，该组织因专注于全球多家电信公司的情报收集而臭名昭著。 研究人员发现了 2023 年底上传到 VirusTotal 的两个版本的后门，这两个版本基本上都没有被防病毒引擎检测到。这些二进制文件针对的是非常旧的 Red Hat Linux 版本，表明目标已经过时。 隐秘的 GTPDOOR 操作 GTPDOOR 是一种专为电信网络量身定制的复杂后门恶意软件，利用 GPRS 隧道协议控制平面 (GTP-C) 进行隐蔽命令和控制 (C2) 通信。它用于部署在与 GRX 相邻的基于 Linux 的系统中，负责路由和转发漫游相关的信令和用户平面流量。 使用 G…

概述 近日（2024年4月25号），悬镜供应链安全情报中心在Pypi官方仓库（https://pypi.org/）中捕获1起CStealer窃密后门投毒事件，投毒者连续发布6个不同版本的恶意Py包multiplerequests，目标针对windows平台python开发者，该恶意包在安装时会远程加载CStealer后门到受害者系统上执行，该后门会窃取受害者系统敏感信息、主流浏览器隐私数据、数字货币钱包应用数据以及系统屏幕截屏等。此外，后门还会尝试驻留Windows系统启动目录实现开机自启动。 截至目前，恶意Py包multiplerequests在pypi官方仓库上被下载435次。 pypi仓库恶意包multiplerequests下载量 该恶意Py包仍可从国内主流Pypi镜像源(清华大学、腾讯云等)下载安装，因此潜在的受害者数量可能会更多。 清华镜像源 以国内清华大学镜像源为例，可通过以下命令测试安装该恶意组件包。 pip3 install multiplerequests -i https://pypi.tuna.tsinghua.edu.cn/simple 由于该恶意Py包只针对Windows系统，测试环境使用Linux系统，导致恶意包安装过程中触发恶意代码时触发非预期的Windows系统路径(~\\AppData\\Roaming/frvezdffvvcode.py) 的文件写入操作。 投毒分析 以multiplerequests恶意包2.31.0版本为例，当Python开发者使用pip install从Pypi官方仓库…

数据是现代企业的新石油：正确使用它可以促进公司的发展并帮助企业在竞争中领先。就像石油一样，原始数据和未被发现的数据是毫无用处的，企业将无法从中受益；在最坏的情况下，它可能会导致安全事件。这也是企业投资敏感数据发现和保护解决方案的原因。 传统的数据发现工具由数据扫描仪和基于规则的算法提供支持，这些工具通常不足以掌握不断增长的新数据流。因此，许多企业利用人工智能 (AI) 增强其数据发现和保护解决方案。 在本文中，我们将讨论基于规则系统的主要缺点以及使用人工智能发现和保护敏感数据的好处、典型的数据发现和保护解决方案的工作原理，还分享有 Apriorit 经验中的开发技巧。 敏感数据发现如何影响企业安全 将敏感数据保存在一个安全的存储位置似乎是一项容易的任务，但实际上对于许多企业来说几乎是不可能的。在 COVID-19 大流行期间过渡到远程或混合工作、将本地环境迁移到云或经历合并和收购过程，可能会导致敏感数据存储在最不明显的地方。此类数据会受到网络安全解决方案的关注，并增加数据泄露或安全事件的风险。 存储在企业控制和安全边界之外的数据会带来数据盗窃或数据泄漏等安全事件的风险。这就是企业投资敏感数据发现软件的原因——用于检测、识别和组织所有组织资源和环境中的记录的工具。 实施这样的解决方案可以让企业： · 确保遵守网络安全法 · 防止数据被盗和泄露 · 进行数据驱动的网络安全改进 · 提高数据管理效率 跨不同环境和基础设施控制敏感数据的需求不断增长，导致数据发现软件越来越受欢迎。事实上，全球敏感数据发现市场预计将从 2020 年的 51 亿美元…

一种名为“SoumniBot”的新 Android 银行恶意软件通过利用 Android 清单提取和解析过程中的弱点，使用了新的混淆方法。 该方法使 SoumniBot 能够规避 Android 手机中的标准安全措施并执行信息窃取操作。 研究人员发现并分析后提供了该恶意软件利用 Android 例程解析和提取 APK 清单的方法的技术细节。 欺骗 Android 的解析器 清单文件（“AndroidManifest.xml”）位于每个应用程序的根目录中，包含有关组件（服务、广播接收器、内容提供程序）、权限和应用程序数据的详细信息。 虽然恶意 APK 可以使用 Zimperium 的各种压缩技巧来愚弄安全工具并逃避分析，但分析师发现 SoumniBot 使用了三种不同的方法来绕过解析器检查，其中涉及操纵清单文件的压缩和大小。 首先，SoumniBot 在解压 APK 的清单文件时使用无效的压缩值，该值与负责该角色的 Android“libziparchive”库预期的标准值（0 或 8）不同。 Android APK 解析器不会将这些值视为不可接受，而是默认将数据识别为由于错误而未压缩，从而允许 APK 绕过安全检查并继续在设备上执行。 从 APK 中提取清单文件 第二种方法涉及错误报告 APK 中清单文件的大小，提供大于实际数字的值。 由于该文件在上一步中已被标记为未压缩，因此直接从存档中复制该文件，并用垃圾“覆盖”数据填充差异。 虽然这些额外的数据不会直接损害设备，但它在混淆代码分析工具方面发挥着至关重要的作用。 报告错误的文件大…

漏洞概述 漏洞类型 远程命令执行 漏洞等级 严重 漏洞编号 CVE-2024-3400 漏洞评分 10 利用复杂度 低 影响版本 PAN-OS 11.1.* < 11.1.2-h3 PAN-OS 11.0.* < 11.0.4-h1 PAN-OS 10.2.* < 10.2.9-h1 利用方式 远程 POC/EXP 未公开 Palo Alto Networks的PAN-OS是一个运行在Palo Alto Networks防火墙和企业VPN设备上的操作系统。Palo Alto Networks PAN-OS软件的GlobalProtect功能存在命令注入漏洞，针对特定的PAN-OS版本和不同的功能配置，可能使未经身份验证的攻击者能够在防火墙上以root权限执行任意代码。2024年4 月10日，Volexity 发现其一名网络安全监控 (NSM) 客户对 Palo Alto Networks PAN-OS GlobalProtect 功能中发现的漏洞进行了零日利用，攻击者能够创建反向 shell、下载工具、窃取配置数据以及在网络内横向移动。Palo Alto Networks PSIRT 团队确认该漏洞为操作系统命令注入问题，并将其分配为 CVE-2024-3400。 仅适用于启用了GlobalProtect gateway(Network > GlobalProtect > Gateways)和device telemetry(Device > Setup > Telemetry)的PAN-OS 1…

StopCrypt 勒索软件（又名 STOP）的新变种在野外被发现，它采用涉及 shellcode 的多阶段执行过程来逃避安全工具。 StopCrypt，也称为 STOP Djvu，是现有的分布最广泛的勒索软件之一。 因为这种勒索软件操作通常不针对企业，而是针对消费者，经常产生数万笔 400 至 1000 美元的小额赎金，以至于很少听到安全研究人员讨论 STOP。 STOP勒索软件通常通过恶意广告和可疑网站传播，这些网站会分发伪装成免费软件、游戏作弊和软件破解的广告软件捆绑包。 然而，当安装这些程序时，用户就会感染各种恶意软件，包括密码窃取木马和 STOP 勒索软件。 自 2018 年首次发布以来，勒索软件加密器没有太大变化，发布的新版本主要是为了修复关键问题。因此，当新的STOP版本发布时，由于受到影响的人数较多，值得关注。 新的多阶段执行 威胁研究团队在野外发现的 STOP 勒索软件新变种，现在利用多阶段执行机制。 最初，恶意软件加载一个看似不相关的 DLL 文件 (msim32.dll)，可能是为了转移注意力。它还实现了一系列长时间延迟循环，可能有助于绕过与时间相关的安全措施。 接下来，它使用堆栈上动态构造的 API 调用来为读/写和执行权限分配必要的内存空间，从而使检测变得更加困难。 StopCrypt 使用 API 调用进行各种操作，包括拍摄正在运行的进程的快照以了解其运行环境。 下一阶段涉及进程空洞，其中 StopCrypt 劫持合法进程并注入其有效负载以在内存中谨慎执行。这是通过一系列精心编排的 API 调用来操作进程内存…

1 概览 “游蛇”黑产自2022年下半年开始活跃至今，针对国内用户发起了大量钓鱼攻击和诈骗活动。该类黑产传播的恶意程序变种多、更新免杀手段快、更换基础设施频繁、攻击目标所涉及的行业广泛。近期，安天CERT监测到“游蛇”黑产针对与金融、财务相关的企业及人员进行的攻击活动。攻击者投放的初始恶意文件主要有三类：可执行程序、CHM文件、商业远控软件“第三只眼”，伪造的文件名称大多与财税、资料、函件等相关。 由于商业远控软件“第三只眼”提供多方面的远程监控及控制功能，并且将数据回传至厂商提供的子域名服务器、根据qyid值识别控制端用户，攻击者无需自己搭建C2服务器，因此恶意利用该软件进行的攻击活动近期呈现活跃趋势。 “游蛇”黑产仍在频繁地对恶意软件、免杀手段以及相关基础设施进行更新，每天依旧有一定数量的用户遭受攻击并被植入远控木马。安天CERT建议用户接收文件时保持警惕，避免点击安全性未知的可执行程序、脚本等文件，以免遭受“游蛇”攻击，造成不必要的损失。建议未购买使用“第三只眼”远控软件的用户，使用流量监测设备检查网络中是否存在与“dszysoft.com”及其子域名相关的连接记录，若存在则表明可能被恶意植入了相关远控，用户也可以考虑对相关域名进行封禁。 经验证，安天智甲终端防御系统（简称IEP）可实现对该类远控木马的有效查杀。相关防护建议详见本文第四章节。 2 技术梳理 近期，安天CERT监测到攻击者投放的初始恶意文件主要有三类，伪造的文件名称大多与财税、资料、函件等相关。 表 2‑1近期部分样本伪装名称 伪装的程序名称 企业补贴名单.exe …