蓝队取证审计网络安全

• 自2022年12月首次公开发布以来，开源信息窃取器SapphireStealer越来越频繁好出现在各大公共恶意软件存储库中。 • 像SapphireStealer这样的信息窃取恶意软件可以用来获取敏感信息（包括企业凭据），这些信息常常被手卖售给其他威胁分子，威胁分子利用访问权限实施额外的攻击，包括从事与间谍或勒索软件/敲诈勒索相关的活动。 • 我们认为，多个团伙在使用SapphireStealer，它们分别改进和修改了原始代码库，扩展其功能，以支持额外的数据泄露机制，由此创建了多个变体。 • 在一些情况下，SapphireStealer似乎作为多阶段感染过程的一部分而投放，威胁分子利用FUD-Loader等开源恶意软件下载器向潜在的受害者投放SapphireStealer。 SapphireStealer走开源道路，攻击者留意到了 在过去的几年里，信息窃取器在威胁领域变得越来越流行。虽然这些威胁已存在了很长一段时间，但思科Talos最近发现，出售或出租的新窃取器在各种地下论坛和集市上日益泛滥。窃取器在企图牟利的威胁分子眼里常常是一种诱人的选择，因为它们提供了一种简单的手段来窃取敏感信息和帐户相关资料，并分发给攻击者。这些凭据通常包含企业帐户凭据、访问令牌及可用于进一步危害企业网络的其他数据。在许多情况下，信息窃取器生成的凭据日志可变成现金，它们提供的网络访问权限被出售给其他威胁分子，进而用来开始实施泄密后的各种任务目标，比如从事间谍活动或勒索软件/敲诈勒索。 SapphireStealer是一种新型信息窃取器，主要用于方便窃取各种浏览…

研究人员发现，一个名为ScarletEel的有经济动机的威胁攻击者一直在渗透亚马逊网络服务（AWS）进行各种恶意活动。这些攻击活动包括窃取凭证和知识产权、部署加密挖矿软件以及进行分布式拒绝服务（DDoS）攻击。 ScarletEel最初是由云安全公司Sysdig在今年2月的一篇博文中进行披露的。研究人员发现该组织能够对AWS工具进行灵活的运用，并利用原生的AWS功能在云环境中进行有效的操作。并且通过获得适当的访问权限，ScarletEel然后会执行双重攻击策略，即植入加密挖矿软件，同时窃取知识产权。 针对Sysdig最近进行的分析显示，ScarletEel在不断完善它的战术并躲避云安全检测机制。该威胁行为体已将其能力扩展到针对AWS Fargate（一种相对未开发的计算引擎）。此外，ScarletEel还将DDoS即服务（DDoS-as-a-service）纳入到了其利用技术的范围。 Sysdig的威胁研究工程师Alessandro Brucato解释说，ScarletEel更善于针对受害者的环境，提高了利用漏洞的能力，同时很好的规避了客户实施的防御安全措施。 为了发起更多的网络攻击，ScarletEel利用了Kubernetes集群中的Jupyter notebook容器。攻击者利用脚本搜索AWS凭据，并将其发送回指挥控制（C2）服务器内。不过有趣的是，这些脚本使用了内置的shell命令，而不是使用命令行工具来隐蔽地窃取数据，从而避免了curl和wget等监控工具的检测。 ScarletEel也使用了Pacu（一种针对AWS的开源渗透测…

美国证券交易委员会已结束对 Progress Software 处理 MOVEit Transfer 零日漏洞被广泛利用事件的调查。据悉，该漏洞导致了 9500 多万人的数据泄露。 在提交给美国证券交易委员会的表格中，Progress Software 表示，美国证券交易委员会执法部门不会针对该安全事件采取任何执法行动。 在美国证券交易委员会提交的文件中写道：“美国证券交易委员会已通知 Progress，目前不打算建议对该公司采取执法行动。” 如之前披露的那样，Progress 于 2023 年 10 月 2 日收到了美国证券交易委员会的传票，作为事实调查的一部分，要求提供与 MOVEit 漏洞相关的各种文件和信息。 SEC 一直在调查 Progress Software 对通过 MOVEit Transfer 软件中的零日漏洞进行的大规模数据盗窃攻击的处理情况。 据外媒报道，在 2023 年阵亡将士纪念日假期周末期间，Clop 勒索软件团伙利用零日漏洞对全球公司发起了大规模数据盗窃活动。 据一直在追踪此次攻击影响的 Emsisoft 称，超过 2,770 家公司和 9500 万人的数据通过零日漏洞被窃取。 由于攻击影响广泛，包括政府机构、金融公司、医疗保健组织、航空公司和教育机构，Clop 团伙预计将获得 7500 万至 1 亿美元的赎金。虽然美国证券交易委员会不建议采取任何行动，但 Progress Software 仍然会面临数百起集体诉讼。

在众多网络安全问题中，像二维码网络钓鱼这样的网络钓鱼攻击在该行业大行其道，有报告指出，金融行业的软件供应链也受到了攻击。 “网络钓鱼即服务”大肆袭来 Sekoia声称，2023年，网络钓鱼即服务模式得到广泛的应用。网络犯罪分子正在销售钓鱼工具包，这其中包括模仿各种金融机构的钓鱼页面，以及旨在接管微软并获取微软365登录凭证的工具包，企业微软365验证等多种服务。 NakedPages PhaaS就是此类威胁的一个例子，它提供针对不同目标（其中包括金融机构）的网络钓鱼页面。该威胁攻击行为体拥有3500多人，他们一直维护许可证并经常在Telegram频道上发布软件更新。 Sekoia的战略威胁情报分析师Livia Tibirna说，一般来说，网络犯罪分子更加倾向于通过邀请用户加入他们的公共资源频道来增加软件的受众，从而提高他们的知名度。因此，这些用户是威胁行为者服务的潜在的客户。然而，加入威胁行为者Telegram频道的另一类用户是监控相关威胁的网络安全专家。 二维码网络钓鱼活动已经呈上升趋势。Sekoia报告称，二维码网络钓鱼（或称 "网络钓鱼"）攻击活动数量激增。其中被称为“网络钓鱼”的网络攻击会使用二维码诱骗人们泄露个人信息，如登录密码或银行账户信息。 这家网络安全公司指出，二维码网络钓鱼数量最终都会增加，因为它能有效逃避检测和躲避电子邮件保护解决方案。 据Sekoia称，2023年第三季度最流行的工具包是Dadsec OTT网络钓鱼即服务平台，其中包括大量的网络钓鱼功能。在一些大范围的攻击活动中，特别是冒充金融机构的网络攻击活动中…

漏洞版本 sqli <=3.2.5 phar 反序列化 <=3.2.4 漏洞分析 前台sqli 补丁 https://github.com/star7th/showdoc/commit/84fc28d07c5dfc894f5fbc6e8c42efd13c976fda补丁对比发现，在server/Application/Api/Controller/ItemController.class.php中将$item_id变量从拼接的方式换成参数绑定的形式，那么可以推断，这个点可能存在sql注入。 在server/Application/Api/Controller/ItemController.class.php的pwd方法中，从请求中拿到item_id参数，并拼接到where条件中执行，并无鉴权，由此可判断为前台sql注入。 但在进入sql注入点之前，会从请求中获取captcha_id和captcha参数，该参数需要传入验证码id及验证码进行验证，所以，每次触发注入之前，都需要提交一次验证码。 验证码的逻辑是根据captcha_id从Captcha表中获取未超时的验证码进行比对，验证过后，会将验证码设置为过期状态。 完整拼接的sql语句 SELECT * FROM item WHERE ( item_id = '1' ) LIMIT 1 $password 和 $refer_url 参数都可控，可通过联合查询控制password的值满足条件返回$refer_url参数值，1') union select 1,2,3,4,5…

介绍 攻击者总是能找到各种创造性的方法来绕过防御功能并达到他们的目的，例如通过打包程序、加密程序和代码混淆来实现。然而，逃避检测以及最大化兼容性的最佳方法之一是使用操作系统自身的功能。 在勒索软件威胁的背景下，一个值得注意的情况是利用加密 DLL ADVAPI32.dll 中存在的导出函数，例如 CryptAcquireContextA、CryptEncrypt 和 CryptDecrypt。通过这种方式，攻击者可以确保恶意软件在支持此 DLL 的各种版本的操作系统中运行并模拟正常行为。 而在最近的一次事件响应中，另一种巧妙的技术引起了安全研究人员的注意：使用原生 BitLocker 功能加密并窃取解密密钥。BitLocker 的最初目的是解决丢失、被盗或不当退役设备导致数据被盗或泄露的风险，然而，威胁者发现这种机制可以被重新用于实现恶意目的，且效果非常好。 在该事件中，攻击者能够部署并运行一个高级 VBS 脚本，该脚本利用 BitLocker 进行未经授权的文件加密。安全研究人员在墨西哥、印度尼西亚和约旦发现了此脚本及其修改版本。本文将详细分析在事件响应工作中获得的恶意代码，并提供缓解此类威胁的建议。 这不是我们第一次看到 BitLocker 用于加密驱动器并索要赎金。以前，攻击者在访问和控制关键系统后，会使用此 Microsoft 实用程序来加密这些系统。然而，在这种情况下，攻击者采取了额外的措施来最大限度地扩大攻击造成的损害，并阻碍对事件的有效响应。 VBScript 分析 一个有趣的现象是，攻击者没有像威胁者通常做的那样费心混淆大…

Signal在端到端加密消息协议中加入抗量子加密算法。 Signal 是由Signal 公司推出的一款以隐私为核心的即时通信软件，使用强大的端到端加密（E2EE）加密功能来确保通信的私密性，用户发送的任何文字、视频和图片都会进行端对端加密。 量子计算机使用量子比特，用户通过量子计算机可以在很短时间内完成本来需要多年的计算。虽然目前量子计算机尚未应用于攻击，大公司已经在采取措施向抗量子的加密算法迁移。近日，Signal 宣布将升级其使用的端到端通信协议来使用抗量子的加密密钥来保护用户免受未来的潜在攻击。 Signal 使用端到端加密来保护通信双方，主要的威胁在于加密的通信可能会被拦截并解密，暴露通信的内容。升级前，Signal使用"X3DH" (Extended Triple Diffie-Hellman，扩展三方DH)密钥协商协议。升级后，Signal使用"PQXDH" (Post-Quantum Extended Diffie-Hellman，后量子扩展三方DH)密钥协商协议，其中融入了抗量子的密钥生成机制。PQXDH 使用XD3H的椭圆曲线密钥协商协议和抗量子的密钥封装机制CRYSTALS-Kyber。 CRYSTALS-Kyber是NIST批准的抗量子密码学算法，适用于普通加密和需要少量加密密钥快速交换的操作。Signal称CRYSTALS-Kyber有坚实的安全基础，此外也不想将现有椭圆曲线加密替换为后量子的公钥加密系统，而是增强现有加密系统使得攻击者比如攻破两重系统才能计算出密钥以保护用户通信。 Signal 强调向PQXDH…

线性地址掩码（Linear Address Masking，LAM)是一种允许软件使用64位线性地址中未翻译的地址位，来存储元数据的CPU硬件特征。现各CPU厂商以不同的形式实现了这一技术，其中Intel将其命名为LAM，AMD将其命名为高位地址忽略（Upper Address Ignore，UAI），Arm称之为高字节忽略 (Top Byte Ignore，TBI)。 荷兰阿姆斯特丹自由大学研究人员提出一种基于Spectre的侧信道推测执行攻击——SLAM（Spectre based on LAM），可利用CPU硬件特征从kernel内存中获取root密码哈希值。 窃取root密码哈希 组件（Gadget）是软件代码中攻击者可以操纵以触发推测执行并推测敏感信息的指令。虽然推测执行的结果被丢弃，但这一过程仍然会留下一些痕迹，比如修改的缓存状态。攻击者利用这些信息可以推断出如操作系统和其他程序的数据等敏感信息。 SLAM攻击的目标是使用机密数据作为指针的未掩码的小组件，这在软件中是很常见的，可以用来窃取任意ASCII码kernel数据。研究人员开发了一个扫描器，并在Linux kernel中发现了数百个可利用的小组件。 在现实场景中，攻击者需要在目标系统上执行可以与为掩码的小组件交互的代码，然后使用复杂算法来度量副作用，以从kernel内存中提取出密码或加密密钥这类敏感信息。 PoC代码和数据已上传到Github，下载地址：https://github.com/vusec/slam 攻击影响 SLAM影响以下处理器： ·现有的受到CVE-…

一种名为“SoumniBot”的新 Android 银行恶意软件通过利用 Android 清单提取和解析过程中的弱点，使用了新的混淆方法。 该方法使 SoumniBot 能够规避 Android 手机中的标准安全措施并执行信息窃取操作。 研究人员发现并分析后提供了该恶意软件利用 Android 例程解析和提取 APK 清单的方法的技术细节。 欺骗 Android 的解析器 清单文件（“AndroidManifest.xml”）位于每个应用程序的根目录中，包含有关组件（服务、广播接收器、内容提供程序）、权限和应用程序数据的详细信息。 虽然恶意 APK 可以使用 Zimperium 的各种压缩技巧来愚弄安全工具并逃避分析，但分析师发现 SoumniBot 使用了三种不同的方法来绕过解析器检查，其中涉及操纵清单文件的压缩和大小。 首先，SoumniBot 在解压 APK 的清单文件时使用无效的压缩值，该值与负责该角色的 Android“libziparchive”库预期的标准值（0 或 8）不同。 Android APK 解析器不会将这些值视为不可接受，而是默认将数据识别为由于错误而未压缩，从而允许 APK 绕过安全检查并继续在设备上执行。 从 APK 中提取清单文件 第二种方法涉及错误报告 APK 中清单文件的大小，提供大于实际数字的值。 由于该文件在上一步中已被标记为未压缩，因此直接从存档中复制该文件，并用垃圾“覆盖”数据填充差异。 虽然这些额外的数据不会直接损害设备，但它在混淆代码分析工具方面发挥着至关重要的作用。 报告错误的文件大…

一款名为 SpyLend 的 Android 恶意软件应用程序已在 Google Play 上被下载超过 10 万次。该应用伪装成一款金融工具，但实际上是一个针对印度用户的掠夺性贷款应用程序。 该应用程序属于名为 SpyLoan 的恶意 Android 应用程序组，这些应用伪装成合法的金融工具或贷款服务，实际上却窃取设备数据用于掠夺性贷款。这些应用通常承诺提供快速简便的贷款，只需很少的文档，并提供诱人的条款，以此吸引用户。然而，在安装时，它们会请求过多的权限，从而窃取用户的个人数据，包括联系人、通话记录、短信、照片和设备位置等信息。 这些收集到的数据随后被用来骚扰、敲诈和勒索用户，尤其是当用户未能满足应用程序的还款条款时。 贷款诈骗和敲诈勒索 网络安全公司 CYFIRMA 发现了一款名为 Finance Simplified 的 Android 应用，该应用自称是一款财务管理工具，在 Google Play 上的下载量已达 10 万次。然而，CYFIRMA 表示，该应用在某些国家（如印度）表现出更多的恶意行为，会窃取用户设备的数据用于掠夺性贷款。研究人员还发现了其他恶意 APK，这些 APK 似乎是同一恶意软件活动的变种，包括 KreditApple、PokketMe 和 StashFur。 尽管该应用现已被从 Google Play 中移除，但它可能仍在后台运行，继续从受感染的设备中收集敏感信息。 Google Play 上 Finance Simplified 的多条用户评论显示，该应用提供的贷款服务会向未支付高额利息的借款人进行勒…

在过去的几个月里，Check Point Research一直在追踪分析“STAYIN’ ALIVE ”，这是一项至少从2021年就开始活跃的持续活动。该活动在亚洲开展，主要针对电信行业和政府机构。 “Stayin’Alive”活动主要由下载和加载程序组成，其中一些被用作针对知名亚洲组织的初始攻击载体。发现的第一个下载程序名为CurKeep，目标是越南、乌兹别克斯坦和哈萨克斯坦。 观察到的工具的简单化性质以及它们的流行表明它们是一次性的，主要用于下载和运行额外的有效负载，这些工具与任何已知攻击者创建的产品没有明显的代码重叠，并且彼此之间没有太多共同之处。然而，它们都与ToddyCat基础设施有关。 该活动利用鱼叉式网络钓鱼邮件利用DLL侧加载方案来传播压缩文件，最明显的是劫持Audinate的Dante Discovery软件(CVE-2022-23748)中的dal_keepalives.dll。 “STAYIN’ ALIVE ”活动背后的攻击者利用多个独特的加载程序和下载器，所有这些加载程序和下载器都连接到同一套基础设施，与一个通常被称为“ToddyCat”的攻击相关联。 后门和加载程序的功能是非常基本和高度可变的。这表明攻击者将它们视为一次性的，并且可能主要使用它们来获得初始访问权限。 CurKeep后门 调查是从2022年9月发送给越南电信公司的一封电子邮件开始的，该电子邮件被上传到VirusTotal。邮件主题CHỈ THỊ VỀ VIỆC QUY ĐỊNH QUẢN LÝ VÀ SỬ DỤNG USER，翻译为“管理和使用说明…

最新发现，Steam商店中一款名为PirateFi的免费游戏一直在向用户传播Vidar信息窃取恶意软件。 在2月6日至2月12日期间，这款游戏在Steam目录中出现了近一周的时间，并被多达1500名用户下载。分发服务正在向可能受到影响的用户发送通知，建议他们重新安装Windows。 Steam上的恶意软件 上周，Seaworth Interactive在Steam上发布了《PirateFi》，并获得了积极评价。它被描述为一款以低多边形世界为背景的生存游戏，涉及基地建设、武器制作和食物收集。 PirateFi的Steam页面 本周，Steam发现这款游戏含有恶意软件，但并未指明具体类型。通知中写道：“这款游戏开发者的Steam账户上传了包含可疑恶意软件的构建。” 用户在Steam上玩PirateFi（3476470）时，这些构建是活跃的，所以这些恶意文件很可能在用户的计算机上启动。Steam建议用户使用最新的防病毒软件运行完整的系统扫描，检查他们不认识的新安装的软件，并考虑操作系统格式。 Steam对受影响用户的通知 受影响的用户还在游戏的Steam社区页面上发布了安全提醒，通知其他人不要启动该游戏，因为他们的杀毒软件将其识别为恶意软件。 SECUINFRA Falcon Team的Marius Genheimer获得了通过PirateFi传播的恶意软件样本，并将其识别为Vidar伪造软件的一个版本。 SECUINFRA建议：“如果你是下载这个“游戏”的玩家之一：考虑保存在浏览器、电子邮件客户端、加密货币钱包等中的凭据、会话cooki…

StopCrypt 勒索软件（又名 STOP）的新变种在野外被发现，它采用涉及 shellcode 的多阶段执行过程来逃避安全工具。 StopCrypt，也称为 STOP Djvu，是现有的分布最广泛的勒索软件之一。 因为这种勒索软件操作通常不针对企业，而是针对消费者，经常产生数万笔 400 至 1000 美元的小额赎金，以至于很少听到安全研究人员讨论 STOP。 STOP勒索软件通常通过恶意广告和可疑网站传播，这些网站会分发伪装成免费软件、游戏作弊和软件破解的广告软件捆绑包。 然而，当安装这些程序时，用户就会感染各种恶意软件，包括密码窃取木马和 STOP 勒索软件。 自 2018 年首次发布以来，勒索软件加密器没有太大变化，发布的新版本主要是为了修复关键问题。因此，当新的STOP版本发布时，由于受到影响的人数较多，值得关注。 新的多阶段执行 威胁研究团队在野外发现的 STOP 勒索软件新变种，现在利用多阶段执行机制。 最初，恶意软件加载一个看似不相关的 DLL 文件 (msim32.dll)，可能是为了转移注意力。它还实现了一系列长时间延迟循环，可能有助于绕过与时间相关的安全措施。 接下来，它使用堆栈上动态构造的 API 调用来为读/写和执行权限分配必要的内存空间，从而使检测变得更加困难。 StopCrypt 使用 API 调用进行各种操作，包括拍摄正在运行的进程的快照以了解其运行环境。 下一阶段涉及进程空洞，其中 StopCrypt 劫持合法进程并注入其有效负载以在内存中谨慎执行。这是通过一系列精心编排的 API 调用来操作进程内存…

引言 StripedFly，它是一个加密货币挖矿软件，躲在一个支持Linux和Windows的复杂模块化框架后面。它配备内置的TOR网络隧道，用于与指挥（C2）服务器联系，还有通过可信赖的服务（如GitLab、GitHub和Bitbucket）进行更新和交付的功能，这一切使用自定义加密归档。攻击者煞费苦心来构建这个框架，披露的真相颇为惊人。 它是如何开始的？ 2022年，在Equation恶意软件中发现的旧代码的WININIT.EXE进程中遇到了两个惊人的发现，随后的分析揭示了可追溯到2017年的早期可疑代码。在此期间，它成功逃避了分析，之前被误归类为加密货币挖矿软件。然而，这不是其主要目标。 我们决定全面分析收集的样本，只想排除任何不确定因素，这个加密货币挖矿软件是一个极庞大实体的一部分。该恶意软件使用了定制的EternalBlue SMBv1漏洞来渗入受害者的系统。重要的是，我们的调查剖析了二进制时间戳，表明这个漏洞是在2017年4月之前创建的。值得一提的是，EternalBlue漏洞是Shadow Brokers组织于2017年4月14日公开披露的。 这个特殊蠕虫与其他使用EternalBlue的恶意软件的区别在于其独特的传播模式。它悄无声息地传播，因而避免了大多数安全解决方案的检测。本文现在简要概述我们的发现结果。 感染 第一个检测到的shellcode位于WININIT.EXE进程中，该进程能够从bitbucket[.]org下载二进制文件，并执行PowerShell脚本。最初检测出来时，感染途径是未知的；然而，随着调查逐步深入…

二开背景 suricata是一款高性能的开源网络入侵检测防御引擎，旨在检测、预防和应对网络中的恶意活动和攻击。suricata引擎使用多线程技术，能够快速、准确地分析网络流量并识别潜在的安全威胁，是众多IDS和IPS厂商的底层规则检测模块。 前段时间搭了个suricata引擎播包测试流量规则，发现原生的suricata引擎并不能获取规则匹配的位置、命中的字符串等信息。因suricata引擎并不会输出命中的信息，遂修改源码，改了命中详情(下文简称高亮)出来，今天想跟大家分享一下修改和使用的过程。 1、suricat编译安装 参考官方文档https://docs.suricata.io/en/suricata-6.0.0/install.html#install-advanced 先装库，装rust支持，装make 然后下载源码make 编译后的二进制程序在/src/.libs/suricata查看依赖库，然后补齐到默认so库目录中即可运行。 2、vscode+gdb调试suricata环境搭建 然后就是装插件，除了必备的c语言插件全家桶之外还需要装GDB Debug这个插件。 接着任意新建一个运行配置。 修改lauch.json为： { // Use IntelliSense to learn about possible attributes. // Hover to view descriptions of existing attributes. // For more infor…

近期，代号为“Synergia”的国际执法行动关闭了 1300 多个用于勒索软件、网络钓鱼和恶意软件活动的命令和控制服务器。 命令和控制服务器 (C2) 是由威胁分子操作的设备，用于控制攻击中使用的恶意软件并收集从受感染设备发送的信息。 这些服务器允许威胁分子推送额外的有效负载或命令，以在受感染的设备上执行，使它们成为许多攻击中不可或缺的架构。 对于某些恶意软件而言，使用命令和控制服务器脱机可以防止进一步的恶意活动，因为威胁分子无法从受感染的设备发送或接收数据。 Synergia 行动在 2023 年 9 月至 11 月期间识别并关闭了指挥和控制服务器，来自 55 个国家的 60 个执法机构参与了该行动。通过此次行动，警方发现了 1300 个与勒索软件、恶意软件和网络钓鱼活动相关的 C2 服务器 IP 地址。 国际刑警组织表示，行动期间发现的大约 70% 的指挥与控制 (C2) 服务器已被关闭，这对网络犯罪分子造成了重大影响。 这些服务器大部分位于欧洲，同时在新加坡也发现了大量服务器。在非洲，大多数活动发生在南苏丹和津巴布韦，而在美洲，恶意软件操作在玻利维亚被发现并拆除。 国际刑警组织网络犯罪助理主任贝尔纳多·皮洛表示：“此次行动的结果是通过多个国家和合作伙伴的集体努力取得的，表明了我们对保护数字空间的坚定承诺。” 网络情报公司 Group-IB 参与了这次行动，为调查提供了关键数据，该公司报告称，此次行动发现了 1900 多个与勒索软件、银行木马和恶意软件操作相关的 IP 地址。 Group-IB 表示，其余 30% 尚未下线的服务…

最近，T-Mobile 应用程序的一个漏洞使得消费者面临严重的数据泄露风险，这是一个令人感到非常不安的通告。这个安全漏洞可以让攻击者获得其他用户的信用卡号和地址等敏感信息以及用户个人账户。这一事件也引发了人们对该公司是否在致力于保护用户数据的担忧。 据报道，2023 年 9 月 20 日，研究员发现了该漏洞的存在。该应用程序允许未经授权的人检查 T-Mobile客户的各种个人数据。除了姓名和联系方式外，其中还包括了信用卡号码等极其隐私的信息，这将会使得消费者面临资金损失的风险。 T-Mobile 公司很快对这一事件做出了回应。公司发言人表示，我们非常重视客户的安全和隐私。一旦发现了这个漏洞，我们的技术团队就立即在努力解决和修正这个故障。他们向用户保证，目前已立即采取措施来缓解漏洞所造成的影响。 安全专家目前已经强调了该事态的紧迫性。网络安全分析师布莱恩-汤普森（Brian Thompson）强调说："这一事件也凸显了强大的网络安全协议的重要性，尤其是对于处理敏感用户数据的公司而言。像 T-Mobile 这样的企业必须对其系统安全保持警惕，防止此类漏洞再次发生。 该漏洞不仅使用户的信息安全面临更大的风险，而且还引发了对 T-Mobile 数据保护措施的质疑。用户非常信任他们的网络服务提供商，将大量个人信息交给他们，而类似事件会削弱客户的这种信任。 T-Mobile 已建议用户将其应用程序更新到最新版本，这其中包含了修复该故障的必要补丁。此外，T-Mobile 还鼓励用户监控账户中的任何异常活动并及时进行报告。 这一事件严酷地提醒我们，在数…

网络安全研究人员最近发现了一种新的 Python 恶意软件，该恶意软件以讲鞑靼语的用户为攻击目标，鞑靼语是一种土耳其母语，主要是由俄罗斯及其邻国的鞑靼人使用。基于 Cyble 的恶意软件设计使其可以捕获目标系统的屏幕截图，并通过 FTP（文件传输协议）将其传输到远程的服务器内。 FTP 协议则可以使文件和文件夹通过基于 TCP 的网络（如互联网）从一台主机（目标系统）传输到另一台主机。 该攻击活动背后的威胁行为者就是臭名昭著的 TA866，该组织曾以鞑靼语使用者为目标，并利用 Python 恶意软件开展攻击行动。 TA866如何利用python恶意软件 据CRIL 称，威胁行为者 TA866 使用新型 Python 恶意软件在鞑靼共和国日发动攻击，攻击一直到持续到了 8 月底。 有报告称，一个名为 TA866 的威胁攻击者使用了PowerShell 脚本进行截图并将其上传到了远程 FTP 服务器。 威胁攻击者使用钓鱼电子邮件发送 Python 恶意软件对受害者进行攻击，这些邮件中都包含了一个恶意的 RAR 文件。 该文件包括了两个文件：一个视频文件和一个基于 Python 的可执行文件。 ·当加载程序执行后，就会启动一系列的攻击事件。它会从 Dropbox 下载一个压缩文件，其中包含两个 PowerShell 脚本和一个附加的可执行文件。 ·这些脚本使得创建使用恶意可执行文件运行的计划活动变得更加容易。据 Proofpoint 称，该威胁攻击者的金融攻击行动被命名为 "Screentime "。 TA866 威胁攻击者及其定制黑客工具…

SSH是提供网络服务的安全访问的互联网标准，主要用于远程终端登录和文件传输，应用于超过1.5亿服务器。来自德国波鸿鲁尔大学的安全研究人员在SSH协议中发现了一个安全漏洞——Terrapin，攻击者利用该漏洞可以打破SSH协议安全通道的完整性以影响SSH的安全性。 Terrapin攻击概述 Terrapin是一种针对SSH协议的前缀截断攻击。具体来说，攻击者可以通过调整握手阶段的序列号来移除客户端或服务器发送任意数量的消息，而不引起服务器或客户端的注意。漏洞CVE编号为CVE-2023-48795，CVSS评分5.9分。 图 Terrapin攻击流程 Terrapin攻击流程如图所示，攻击者丢弃一个用于协商多个协议扩展的EXT_INFO消息。一般来说，客户端在接收到服务器发送的下一个二进制包之后会检测到包删除，因为序列化会不匹配。为预防该问题，攻击者在握手阶段注入一个可忽略的包来使序列化产生对应的偏移。 此外，研究人员还发现Terrapin攻击可以用于实现漏洞的利用。比如，研究人员发现AsyncSSH服务器的状态机存在安全漏洞，攻击者利用该漏洞可以用其他账户登录受害者客户端而不引发受害者注意。这使得攻击者可以在加密会话中实现中间人攻击。 为实现Terrapin，需要在网络层具有中间人攻击能力，即攻击者需要具备拦截和修改连接流量的能力。比如，连接必须是安全的或通过ChaCha20-Poly1305、CBC模式。 漏洞扫描器 研究人员用Go语言编写了一个简单的应用来检测SSH服务器或客户端是否受到Terrapin攻击的影响。源码参见GitH…

Live Nation 已确认 Ticketmaster 遭遇数据泄露，其数据被第三方云数据库提供商窃取。 Live Nation 在提交给美国证券交易委员会的文件中分享道：“2024 年 5 月 20 日，Live Nation Entertainment, Inc.在包含公司数据（主要来自其子公司 Ticketmaster LLC）的第三方云数据库环境中发现未经授权的活动，现已与取证调查员展开调查”。 2024 年 5 月 27 日，一名犯罪威胁分子通过暗网出售了该公司用户数据。目前，该公司正积极采取各种方式降低用户和公司面临的风险，并已通知执法部门并配合他们的工作。 据称此次泄密事件泄露了超过 5.6 亿 Ticketmaster 用户的数据，但该公司表示，他们并不认为此次泄密事件会对整体业务运营或财务状况产生重大影响。 此前，一个名为 Shiny Hunters 的威胁分子曾试图在黑客论坛上以 50 万美元的价格出售 Ticketmaster 数据。 据称被盗的数据库包含 1.3TB 的数据，包括客户的完整详细信息（即姓名、家庭和电子邮件地址以及电话号码），以及 5.6 亿客户的门票销售、订单和活动信息。 黑客论坛上出售 Ticketmaster 数据 有关威胁分子如何获取 Ticketmaster 数据库以及其他客户数据的更多信息也被披露出来。有威胁分子声称他们将对最近的 Santander 和 Ticketmaster 数据泄露事件负责，并表示他们从云存储公司 Snowflake 窃取了数据。 据威胁者称，他们使用信息窃…

昨日，Ticketmaster 发布最新声明表示，黑客泄露了 166,000 张泰勒·斯威夫特时代巡回演唱会门票的 Ticketmaster 条形码数据，并警告说，如果不支付 200 万美元的勒索要求，将会泄露更多活动的信息。 自 5 月起，一个名叫 ShinyHunters 的威胁分子开始以 500,000 美元的价格出售 5.6 亿 Ticketmaster 客户的数据。 Ticketmaster 后来证实了数据泄露事件，并承认数据来自他们在 Snowflake 上的账户。据悉，Snowflake 是一家基于云的数据仓库公司，企业使用该公司来存储数据库、处理数据和执行分析。 今年 4 月，威胁分子开始利用恶意软件窃取的凭证下载至少 165 个组织的 Snowflake 数据库。威胁者随后勒索这些公司，要求他们支付费用以防止数据泄露或出售给其他威胁者。 已确认被窃取 Snowflake 账户数据的公司包括 Neiman Marcus、洛杉矶联合学区、Advance Auto Parts、Pure Storage 和 Satander。 泰勒·斯威夫特巡演门票信息被泄露 昨日，一个名为 Sp1d3rHunters 的威胁分子泄露了他们所声称的 166,000 个泰勒·斯威夫特时代巡演条形码的门票数据，这些条形码可用于在各个音乐会日期入场。 Sp1d3rHunters（之前名为 Sp1d3r）是出售从 Snowflake 账户窃取的数据的威胁分子，并公开勒索各公司付款。 威胁情报服务 HackManac 最先分享的勒索要求是：“向我们支付 …

ToddyCat是一个相对较新的复杂APT组织，卡巴斯基研究人员最早在2020年11月检测到该组织的活动，当时该威胁组织正在对目标的Microsoft Exchange服务器进行一系列攻击，去年的一篇文章曾描述过它。 之后，该组织于2020年12月开始活动，并对欧洲和亚洲的知名对象发动了多起攻击。 在去年，我们发现了一组新的全新加载程序，并收集了有关其开发后活动的信息，这使我们能够扩展对该组织的了解，并获得有关攻击者的TTP(战术，技术和程序)的新信息。接下来，我们将描述他们的新工具集，用于窃取和泄露数据的恶意软件，以及该组织用于横向移动和进行间谍活动的技术。 工具集 标准的加载器 加载程序是64位库，由rundll32.exe调用，或者用合法的和签名的可执行文件进行侧加载，这些组件在感染阶段用于加载Ninja木马作为第二阶段。我们已经看到了这些新加载器的三种变体： 第一个变体的文件名为update.dll或x64.dll，通常使用合法的rundll32.exe Windows实用程序加载，大多数恶意代码驻留在DllMain中，但下一个阶段是通过导出的Start函数调用的，其他两个变体应该与合法的VLC.exe媒体播放器一起加载，这被滥用来加载恶意库。 加载程序通过从同一目录中应该存在的另一个文件加载加密的有效负载来启动其活动，然后使用异或对加载的数据进行解码，其中异或项是使用一种不寻常的技术生成的。恶意软件使用静态种子（static seed）通过shuffle和add操作生成256字节的XOR_KEY块。 使用另一个嵌入的64字节…

TDDP 服务程序在 UDP 端口 1040 上监听时，处理数据时未能正确检查长度，这导致了内存溢出，破坏了内存结构，最终引发了服务中断。 本文深入分析了一个在 2020 年向 TP-Link 报告的安全漏洞。遗憾的是，至今没有 CVE 编号分配给这个漏洞，因此相关的详细信息并未公之于众。通常，阅读技术分析报告能够带来丰富的见解和学习机会。我坚信，公开分享研究方法和成果对整个行业以及广大的学习者、学生和专业人士都有着积极的意义。 在本文中，我将使用 Shambles 这个工具来识别、逆向分析、模拟并验证这个导致服务中断的缓冲区溢出问题。如果您对 Shambles 感兴趣，可以通过加入 Discord 服务器并查阅 FAQ 频道来了解更多信息。 首先，我们来介绍一下 TDDP 协议，这是一种在专利 CN102096654A 中详细描述的二进制协议。您需要了解的所有协议细节都在专利描述中。不过，我会在这里为您做一个简要的总结。 TDDP 是 TP-LINK 设备调试协议的缩写，它主要用于通过单个 UDP 数据包进行设备调试。这种协议对于逆向分析来说非常有趣，因为它是一个需要解析的二进制协议。TDDP 数据包的作用是传输包含特定消息类型的请求或命令。下图展示了一个 TDDP 数据包的结构。 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +…

研究人员在TP-Link Tapo智能灯泡和APP中发现4个安全漏洞，可用于窃取目标WiFi密码。 TP-Link Tapo L530E是一款销量很高的智能灯泡，TP-link Tapo APP是一款智能设备管理应用程序，谷歌应用商店下载量超过1000万。来自意大利和英国的研究人员分析了这款智能灯泡和控制应用程序的安全性，并在其中发现了4个安全漏洞，攻击者利用这些漏洞可以窃取目标的WiFi密码。漏洞影响数百万智能物联网设备，使得用户数据传输和认证存在风险。 智能灯泡漏洞 第一个漏洞是Tapo L503E智能灯泡中的认证不当引发的，攻击者可以在密钥交换过程中假冒设备，漏洞CVSS评分8.8分。攻击者利用该漏洞可以提取Tapo用户密码并操纵Tapo设备。 第二个漏洞是硬编码的校验和共享秘密引发的，漏洞CVSS评分7.6分。攻击者可以通过暴力破解或反编译Tapo应用程序的方式获取校验和共享秘密。 第三个漏洞是对称加密过程中缺乏随机性引发的，该漏洞使得所使用的加密方案可预测。 第四个漏洞是未对接收的消息的新鲜性进行检查，session key（会话密钥）的有效性达到了24小时，攻击者在会话密钥有效期内可以发起重放攻击。 攻击场景 对用户影响最大的攻击场景是利用漏洞1和漏洞2来假冒灯泡，并提取Tapo的用户账户信息。然后攻击者可以访问Tapo app，并提取受害者的WiFi SSID和密码，并访问所有连接到该WiFi网络的设备。 图 假冒攻击图 要实现假冒攻击，需要设备处于设置模式。但攻击者也可以通过去除灯泡授权的方式迫使用户重新对灯泡进行设置…

在之前关于Triangulation的介绍文章中，研究人员讨论了TriangleDB的细节，这是这次活动中使用的主要植入程序，使它的C2协议和它可以接收命令。除其他事项外，它还能够执行其他模块。另外，这次活动是相当隐蔽的。 本文详细介绍了该活动是如何进行隐蔽攻击的。在此过程中，研究人员还将揭示有关此攻击中使用组件的更多信息。 验证组件 在之前的文章中，研究人员概述了Triangulation活动攻击链：设备接收恶意iMessage附件，启动一系列漏洞利用，其执行最终导致启动TriangleDB植入。攻击链可以用下图来概括: 除了TriangleDB植入的漏洞和组件外，攻击链还包含两个“验证器”阶段，即“JavaScript验证器”和“二进制验证器”。这些验证器收集有关受害设备的各种信息，并将其发送到C2服务器。然后，这些信息被用来评估植入TriangleDB的iPhone或iPad是否可以作为研究设备。通过执行这样的检查，攻击者可以确保他们的零日漏洞和植入程序不会被阻止。 JavaScript验证器 在攻击链的开始，受害者会收到带有零点击漏洞的不可见iMessage附件。此漏洞的最终目标是在backupabbit[.]com域上默默地打开一个唯一的URL。该URL上托管的HTML页面包含NaCl密码库的模糊JavaScript代码，以及加密的有效负载。这个负载是JavaScript验证器。该验证程序执行许多不同的检查，包括不同的算术运算，如Math.log（-1）或Math.sqrt（-1），Media Source API、WebAs…