蓝队取证审计网络安全

介绍 攻击者总是能找到各种创造性的方法来绕过防御功能并达到他们的目的，例如通过打包程序、加密程序和代码混淆来实现。然而，逃避检测以及最大化兼容性的最佳方法之一是使用操作系统自身的功能。 在勒索软件威胁的背景下，一个值得注意的情况是利用加密 DLL ADVAPI32.dll 中存在的导出函数，例如 CryptAcquireContextA、CryptEncrypt 和 CryptDecrypt。通过这种方式，攻击者可以确保恶意软件在支持此 DLL 的各种版本的操作系统中运行并模拟正常行为。 而在最近的一次事件响应中，另一种巧妙的技术引起了安全研究人员的注意：使用原生 BitLocker 功能加密并窃取解密密钥。BitLocker 的最初目的是解决丢失、被盗或不当退役设备导致数据被盗或泄露的风险，然而，威胁者发现这种机制可以被重新用于实现恶意目的，且效果非常好。 在该事件中，攻击者能够部署并运行一个高级 VBS 脚本，该脚本利用 BitLocker 进行未经授权的文件加密。安全研究人员在墨西哥、印度尼西亚和约旦发现了此脚本及其修改版本。本文将详细分析在事件响应工作中获得的恶意代码，并提供缓解此类威胁的建议。 这不是我们第一次看到 BitLocker 用于加密驱动器并索要赎金。以前，攻击者在访问和控制关键系统后，会使用此 Microsoft 实用程序来加密这些系统。然而，在这种情况下，攻击者采取了额外的措施来最大限度地扩大攻击造成的损害，并阻碍对事件的有效响应。 VBScript 分析 一个有趣的现象是，攻击者没有像威胁者通常做的那样费心混淆大…

威胁分子之所以使用游戏安装程序传播各种恶意软件，是由于游戏拥有庞大的用户群，用户通常将游戏安装程序视为合法软件。威胁分子使用的这种社交工程伎俩利用用户的信任，诱使他们下载并运行恶意游戏安装程序。庞大文件和游戏复杂性为威胁分子提供了隐藏恶意软件的机会。 通过游戏安装程序传播的恶意软件可以通过窃取敏感信息和实施勒索软件攻击等活动来获利。Cyble研究和情报实验室（CRIL）之前发现了几起专门针对游戏玩家及其游戏相关应用软件的恶意软件活动，包括Enlisted、MSI Afterburner和FiveM Spoofer等。 最近，CRIL发现了一个植入木马的《超级马里奥兄弟》游戏安装程序投放多个恶意组件，包括XMR挖矿软件、SupremeBot挖矿客户软件和开源Umbral窃取器。恶意软件文件被发现与super-mario-forever-v702e的合法安装文件捆绑在一起。这起事件凸显了威胁分子利用游戏安装程序作为投放机制的另一个原因：通常与游戏相关的强大硬件为挖掘加密货币提供了宝贵的算力。 《超级马里奥》是一个大受欢迎的电子游戏系列，以其平台游戏玩法、酷炫的视觉效果、令人难忘的角色和迷人的音乐而闻名。最近随着新游戏和动画电影的推出，这个系列再度风靡一时。多年来，该系列游戏不断发展，在各种游戏和游戏机上引入了新的游戏机制、升级和关卡。自20世纪80年代面市以来，《超级马里奥》游戏已吸引了全球大批粉丝，全世界数百万玩家都喜欢其所提供的沉浸式体验。 下图是《超级马里奥永远》成功安装后的GUI。 图1.《超级马里奥》游戏的GUI 下图显示了投放…

法国司法部长埃里克-杜邦-莫雷蒂（Éric Dupond-Moretti）宣布了这项立法，并保证每年仅在数量有限的案件中使用该手段。这种使用间谍手段办案的有效期最长为6个月，而且要必须经过法官的批准，目前主要适用于可能被判处至少5年有期徒刑的案件。他补充说，我们离1984年的极权主义还很遥远。我们使用这种手段也仅仅用于办案，更多人的生命将得到挽救。 让执法人员或政府人员在未经授权的情况下访问某人的手机并秘密观察其活动，这无疑会侵犯它的隐私。这不仅为掌权者滥用公民的隐私权限创造了很多机会，而且也为个人恶意滥用权力提供了便利。 然而，这种监控并非新现象。早在2006年，美国联邦调查局就曾合法的启动了手机麦克风，甚至在关机状态下监控嫌疑人。当时，许多手机仍可拆卸电池，但现代设备已不具备这种功能了。 根据Comparitech公司2022年的一份报告，所有被调查的50个国家都允许本国警方在一定程度上访问智能手机及其数据。各国的权限范围也不尽相同，许多国家要求对此类行动出示授权令。 沙特阿拉伯、新加坡和阿拉伯联合酋长国提供了最不受限制的访问权限，沙特阿拉伯甚至允许在没有任何不法行为嫌疑的情况下进行访问。令人惊讶的是，德国允许情报人员远程访问智能手机并安装间谍软件，而无需提前将该个人列为犯罪嫌疑人。在美国，虽然也有例外，但一般都是需要授权令的。澳大利亚则更进一步，甚至授权警方修改嫌疑人手机上的数据。 然而，一些国家已经建立了对智能手机隐私的有力保护。奥地利、比利时、芬兰和爱尔兰是这方面做的最好的国家之一，因为这些国家有明确的法律规定，只有当当事人是…

往期回顾： 2024.4.15—2024.4.21安全动态周回顾 2024.4.8—2024.4.14安全动态周回顾 2024.4.1—2024.4.7安全动态周回顾 2024.3.25—2024.3.31安全动态周回顾 2024.3.18—2024.3.24安全动态周回顾 2024.3.11—2024.3.17安全动态周回顾 2024.3.4—2024.3.10安全动态周回顾 2024.2.26—2024.3.3安全动态周回顾 2024.2.19—2024.2.25安全动态周回顾 2024.2.12—2024.2.18安全动态周回顾 2024.1.29—2024.2.4安全动态周回顾 2024.1.22—2024.1.28安全动态周回顾 2024.1.15—2024.1.21安全动态周回顾 2024.1.8—2024.1.14安全动态周回顾

安全研究人员追踪的网络犯罪团伙 Revolver Rabbit 已注册了超过 50 万个域名，用于针对 Windows 和 macOS 系统的信息窃取活动。为了进行如此大规模的攻击，威胁者依赖于注册域生成算法 (RDGA)，这是一种允许在瞬间注册多个域名的自动化方法。 RDGA 类似于网络犯罪分子在恶意软件中实施的域名注册算法 (DGA)，用于创建命令和控制 (C2) 通信的潜在目的地列表。 两者之间的一个区别是，DGA 嵌入在恶意软件中，并且只有部分生成的域被注册，而 RDGA 仍保留在威胁行为者手中，并且所有域都已注册。 虽然安全研究人员发现 DGA 并尝试对其进行逆向工程以了解潜在的 C2 域，但 RDGA 是秘密的，找到生成要注册的域的模式变得更加具有挑战性。 Revolver Rabbit 运营着超过 500,000 个域名 专注于 DNS 的安全供应商 Infoblox 的研究人员发现，Revolver Rabbit 一直在使用 RDGA 购买数十万个域名，注册费总计超过 100 万美元。 威胁者正在传播 XLoader 信息窃取恶意软件（Formbook 的后继者），其适用于 Windows 和 macOS 系统的变种用于收集敏感信息或执行恶意文件。 Infoblox 表示，Revolver Rabbit 控制着超过 500,000 个 .BOND 顶级域名，这些域名用于为恶意软件创建诱饵和实时 C2 服务器。 Infoblox 威胁情报副总裁告诉媒体，与 Revolver Rabbit 相关的 .BOND 域名最容易发现，…

美国证券交易委员会已结束对 Progress Software 处理 MOVEit Transfer 零日漏洞被广泛利用事件的调查。据悉，该漏洞导致了 9500 多万人的数据泄露。 在提交给美国证券交易委员会的表格中，Progress Software 表示，美国证券交易委员会执法部门不会针对该安全事件采取任何执法行动。 在美国证券交易委员会提交的文件中写道：“美国证券交易委员会已通知 Progress，目前不打算建议对该公司采取执法行动。” 如之前披露的那样，Progress 于 2023 年 10 月 2 日收到了美国证券交易委员会的传票，作为事实调查的一部分，要求提供与 MOVEit 漏洞相关的各种文件和信息。 SEC 一直在调查 Progress Software 对通过 MOVEit Transfer 软件中的零日漏洞进行的大规模数据盗窃攻击的处理情况。 据外媒报道，在 2023 年阵亡将士纪念日假期周末期间，Clop 勒索软件团伙利用零日漏洞对全球公司发起了大规模数据盗窃活动。 据一直在追踪此次攻击影响的 Emsisoft 称，超过 2,770 家公司和 9500 万人的数据通过零日漏洞被窃取。 由于攻击影响广泛，包括政府机构、金融公司、医疗保健组织、航空公司和教育机构，Clop 团伙预计将获得 7500 万至 1 亿美元的赎金。虽然美国证券交易委员会不建议采取任何行动，但 Progress Software 仍然会面临数百起集体诉讼。

受影响的平台：Windows 受影响方：任何组织 影响：远程攻击者窃取凭据、敏感信息和加密货币 严重性级别：严重 8月，FortiGuard实验室捕获了一份Word文档，其中包含一个恶意URL，旨在引诱受害者下载恶意软件加载程序。该加载程序采用二进制填充逃避策略，添加空字节以将文件大小增加到400MB。该加载程序的有效负载包括用于密钥记录和密码恢复的OriginBotnet，用于加密货币盗窃的RedLine Clipper和用于获取敏感信息的AgentTesla。 下图展示了全面的攻击流程，我们会在本文研究该文件如何部署的各个阶段，深入研究其传播恶意软件的细节。 攻击流程 文件分析 钓鱼电子邮件将Word文档作为附件发送，故意呈现模糊的图像和伪造的reCAPTCHA以引诱收件人点击它。点击会激活文件“\Word_rels\document.xml.rels”中嵌入的恶意链接，如下图所示。 Word文档 恶意URL 加载程序分析 初始加载程序是从https://bankslip[.]info/document/scancop20233108[.]exe获取的。此文件是用.NET编写，用于解密“HealthInstitutionSimulation.Properties.Resources.Resources”中的“Main_Project”资源数据。它使用字符串“WdxDFWxcf09WXfVVjLwKKcccwnawf”的异或操作，然后使用“Activator.CreateInstance()”来执行解码的信息。解码过程如下图所示。 …

近日，备受瞩目的动作角色扮演游戏《黑神话：悟空》遭遇网络攻击，这一事件引发广泛关注。该游戏由中国游戏开发公司 Game Science 开发，是一款基于中国古代神话《西游记》的开放世界游戏。 攻击的影响主要集中在游戏的发布平台——Steam上。 事件背景 《黑神话：悟空》自首次公布以来，就吸引了大量游戏爱好者的关注。其精美的画面和创新的玩法让人对这款游戏充满期待。然而，这也使得它进入攻击者视线，并对 Steam 平台发起了网络攻击。 攻击详情 根据多方报道，攻击者通过对 Steam 平台进行分布式拒绝服务（DDoS）攻击，导致平台出现了大规模的服务中断和不稳定现象。这种攻击通常会通过大量伪造的流量挤占目标服务器的资源，进而导致正常用户无法访问服务。 事件影响 此次攻击不仅影响了 Steam 平台的正常运营，也对《黑神话：悟空》的发布造成了不小的困扰。开发公司 Game Science 已经发布声明，表示他们正在与 Steam 平台紧密合作，尽快解决问题，确保游戏能够如期发布。 Steam 平台方面则对外表示，他们已经采取了紧急措施来应对攻击，并加强了系统的安全防护。他们还承诺将继续关注事态的发展，并与相关方保持沟通，以最大限度减少对用户的影响。 后续发展 目前，关于此次网络攻击的具体原因和攻击者身份仍然不明确。专家表示，这类攻击可能与游戏的高关注度有关，攻击者可能试图通过这种方式制造混乱，影响游戏的发售。 文章参考自：Game Science 官方声明. Game Science 网站 Steam 平台公告.Steam 新闻中心 《黑神话…

Fortra 称，FileCatalyst Workflow 中存在一个严重的硬编码密码漏洞，攻击者可以利用该漏洞未经授权访问内部数据库，从而窃取数据并获得管理员权限。 任何人都可以使用该硬编码密码远程访问暴露的 FileCatalyst Workflow HyperSQL (HSQLDB) 数据库，从而未经授权访问潜在的敏感信息。 此外，数据库凭据可能会被滥用来创建新的管理员用户，因此攻击者可以获得对 FileCatalyst Workflow 应用程序的管理级访问权限并完全控制系统。 在最近发布的安全公告中，Fortra 表示该问题被跟踪为 CVE-2024-6633（CVSS v3.1：9.8，“严重”），影响 FileCatalyst Workflow 5.1.6 Build 139 及更早版本。建议用户升级到 5.1.7 或更高版本。 Fortra 在公告中指出，HSQLDB 仅用于简化安装过程，并建议用户在安装后设置替代解决方案。因为没有按照建议配置 FileCatalyst Workflow 使用备用数据库的用户很容易受到任何可以到达 HSQLDB 的来源的攻击。暂时还没有缓解措施或解决方法，因此建议系统管理员尽快应用可用的安全更新。 缺陷发现和细节 Tenable 于 2024 年 7 月 1 日发现了 CVE-2024-6633，当时他们在所有 FileCatalyst Workflow 部署中都发现了相同的静态密码“GOSENSGO613”。Tenable 解释说，在产品的默认设置下，可以通过 TCP 端口 4406 …

ToddyCat是一个相对较新的复杂APT组织，卡巴斯基研究人员最早在2020年11月检测到该组织的活动，当时该威胁组织正在对目标的Microsoft Exchange服务器进行一系列攻击，去年的一篇文章曾描述过它。 之后，该组织于2020年12月开始活动，并对欧洲和亚洲的知名对象发动了多起攻击。 在去年，我们发现了一组新的全新加载程序，并收集了有关其开发后活动的信息，这使我们能够扩展对该组织的了解，并获得有关攻击者的TTP(战术，技术和程序)的新信息。接下来，我们将描述他们的新工具集，用于窃取和泄露数据的恶意软件，以及该组织用于横向移动和进行间谍活动的技术。 工具集 标准的加载器 加载程序是64位库，由rundll32.exe调用，或者用合法的和签名的可执行文件进行侧加载，这些组件在感染阶段用于加载Ninja木马作为第二阶段。我们已经看到了这些新加载器的三种变体： 第一个变体的文件名为update.dll或x64.dll，通常使用合法的rundll32.exe Windows实用程序加载，大多数恶意代码驻留在DllMain中，但下一个阶段是通过导出的Start函数调用的，其他两个变体应该与合法的VLC.exe媒体播放器一起加载，这被滥用来加载恶意库。 加载程序通过从同一目录中应该存在的另一个文件加载加密的有效负载来启动其活动，然后使用异或对加载的数据进行解码，其中异或项是使用一种不寻常的技术生成的。恶意软件使用静态种子（static seed）通过shuffle和add操作生成256字节的XOR_KEY块。 使用另一个嵌入的64字节…

ChatGPT遭遇DDoS攻击 2023年11月8日，OpenAI声称，正在解决针对其API和ChatGPT服务的DDoS攻击，引发的服务中断问题。OpenAI 经过调查发现，其服务中断是由于异常流量所引发，即DDoS攻击。此外，11月6日以来ChatGPT已遭遇多次服务中断。 图 ChatGPT服务中断 DDoS攻击与Anonymous Sudan有关 OpenAI尚未确定DDoS攻击的发起者，但知名黑客组织Anonymous Sudan于11月8日承认是其发起了DDoS攻击。Anonymous Sudan 还承认在攻击中使用了SkyNet僵尸网络。 10月，SkyNet开始提供更强的攻击服务，并支持应用层攻击或Layer 7 DDoS攻击。在Layer 7 DDoS攻击中，攻击者通过发起大量的请求来淹没服务，使得服务无法处理正常的请求。与消耗带宽的反射性DNS放大网络层攻击相比，这种攻击可以消耗目标服务器和网络的资源，且更加高效。6月，Anonymous Sudan还使用Layer 7 DDoS攻击攻击了微软的Outlook.com、OneDrive和Azure Portal。

Moq在NuGet软件注册中心上分发，每天的下载量超过100000人次，自问世以来累计下载量已超过4.76亿人次。 Moq近期发布的4.20.0版本悄悄加入了另一个项目SponsorLink，该项目在开源软件消费者中引起了轩然大波，他们将此举比作辜负了广大用户的信任。 SponsorLink貌似是一个开源项目，实际上作为闭源代码在NuGet上分发，关键是含有经过混淆处理的DLL，这些DLL收集用户电子邮件地址的哈希值，并将它们发送到SponsorLink的CDN，从而引发隐私问题。 Moq辜负了用户的信任 半个月前，Moq的所有者之一Daniel Cazzulino（kzu，还负责维护SponsorLink 项目）将SponsorLink添加到Moq 4.20.0及更高版本中。 这一举动在开源生态系统中引起了轰动，主要出于两个原因——虽然Cazzulino完全有权改变其项目Moq，但他在捆绑依赖项之前并没有通知用户群，而且SponsorLink DLL含有经过混淆处理的代码，因而很难进行逆向工程分析，并不是完全“开源”。 德国软件开发人员Georg Dang警告道，扫描功能是在构建过程中运行的.NET 分析器工具的一部分，很难被禁用。 SponsorLink称自己是一种将GitHub Sponsors集成到用户库中的方法，以便用户可以正确链接到他们的赞助商以解锁功能，或者只是因支持用户的项目而获得应有的认可。 GitHub用户Mike（d0pare）反编译了DLL，并分享了大致重构源代码的结果。据这位分析师声称，这个库“生成外部git进程…

每年都会有大量的公司发生重大数据泄露事件，例如2022年Medibank和Optus的数据泄露、Twitter的数据泄露、Uber和Rockstar的数据泄露以及2023年T-Mobile、MailChimp和OpenAI的数据泄露。在2022年，卡巴斯基实验室列出了全球700家来自不同行业的公司，然后在暗网上搜索，试图分析这些公司遭受攻击的可能性有多大？ 研究发现，暗网里的帖子都是关于出售受攻击帐户、内部数据库和文档，以及访问公司基础设施。虽然暗网确实促进了各种数据类型的销售，例如，银行卡信息、驾驶执照和身份证照片等，但本文重点还是放在了与企业特别相关的信息上。研究发现700家公司中有223家在暗网上被提及，泄露数据的主题也不同。 各行业分布 这意味着三分之一的公司在与销售数据或访问相关的暗网帖子中被引用，即使是网络安全成熟度高的公司也避免不了被黑客攻击。 本文提供了一个统计概述，包括所有暗网帖子，涉及2022年1月至2023年11月期间出售、购买或免费传播受攻击帐户的数据。 数据泄露 数据泄露会暴露机密、敏感信息，并可能导致重大问题。最常见的例子是数据库和内部文档，因为所有有一定规模的公司都使用机密数据，泄露会影响公司本身、员工和客户。 暗网上每月大约有1700个新的帖子出现，涉及销售、传播或购买泄露数据。 2022年1月至2023年11月与数据库出售/购买相关的消息数量 应该注意的是，并不是每条消息都代表一条最新出现的泄漏，其中有些是重复的广告相同泄漏。 一个组合报价的示例 另一种流行的泄露类型是收集公共数据的数据库，如姓名…

开放式无线接入网 (ORAN or O-RAN) 是搭建一个开放、虚拟化和智能的无线接入网 (RAN) 体系结构，从而创造一个包含多家厂商、各家厂商的产品之间可以互操的生态系统。开放无线接入网(ORAN)体系结构为以前封闭的系统提供了标准化的接口和协议。然而，通过对ORAN的研究表明，恶意xApps构成的潜在威胁能够危及整个Ran智能控制器(RIC)子系统。Open RAN为5G无线接入网(RAN)引入了模块化和解耦的设计范式，并承诺通过O-RAN定义的RAN智能控制器(RIC, RAN Intelligent Controller)实现完全的可编程性。 开放式无线电接入网架构通过建立标准接口和协议提供了对先前封闭的无线电接入网系统的接入。预计不同的供应商将在O-RAN中创建eXtended应用程序（xApps），由运营商安装，这使得xApps成为恶意攻击者的潜在攻击向量，目的是在关键通信节点中站稳脚跟。 本文将会介绍恶意xApp如何危害整个RAN智能控制器（RIC）子系统。 5G网络 下图为5G蜂窝网络的总体架构。通过对分组核心的一些修改，拓扑结构也可以扩展以适应前几代网络（如3G和4G）。在下图的左侧是用户： 5G网络的端到端架构 基站（如图2所示）由以下组件组成： 1.发射和接收无线电信号的天线。 2.一种远程无线电头（RRH），它容纳射频（RF）收发器，负责将数字信号转换为无线电信号，反之亦然。 3.一种基带单元（BBU），用于处理数字数据处理，包括调制、编码和解码以及更高层协议。BBU可以管理多个RRH和天线。 典型RAN架…

2023年9月，根据中国国家计算机病毒应急处理中心通报，在会同360公司配合侦办西北工业大学被美国国家安全局（NSA）网络攻击事件过程中，提取出名为“二次约会”的间谍软件样本。 调查发现，除西北工业大学外，美国还长期对国内多个网络目标实施了高达上万次的恶意网络攻击。 美国情报机关攻击华为总部长达14年之久，早在2009年起，美国特定入侵办公室（TAO）就开始入侵华为总部的服务器，并持续开展监控。 据报道，2009年初美国国安局的一个特别小组，成功渗透进了华为公司的计算机网络，并复制超过1400位客户资料和工程师使用的内部培训文件。他们不但窃取了华为的电子邮件存档，还获得个别华为产品的源代码，企图获取华为内部信息的同时，并试图植入后门程序到华为设备中，以便对华为用户进行监控和窃密。 美国国安局之所以渗入华为的深圳总部，因为该公司通过总部处理每个员工的邮件往来，所以从2009年1月起美国就读取了该公司很大一部分员工的电子邮件——包括当时的总裁任正非和董事长孙亚芳的邮件。 随着数字化时代的来临，网络安全防范和风险将是一个永恒的话题。在个人上，用户的计算机终端、移动互联网终端都存在随时被攻击的可能，极大程度会导致个人信息和隐私的泄露，稍有不慎，还会造成经济损失；对企业来说，安全的网络环境不仅是企业经济良好循环的基础，更极大程度上影响着企业的正常运行；在政府层面，如学校、医院、数据中心、交通设施等一旦遭受网络攻击，如若不及时加以控制，必然造成地区动荡，引发恐慌。 习近平总书记在十九届中央政治局第十二次集体学习时讲到“没有网络安全就没有国家安全，…

黑客利用 Popup Builder 插件过时版本中的漏洞入侵了 WordPress 网站后，用恶意代码感染了 3300 多个网站。 攻击中利用的缺陷被追踪为 CVE-2023-6000，这是一个影响 Popup Builder 版本 4.2.3 及更早版本的跨站点脚本 (XSS) 漏洞，最初于 2023 年 11 月披露。 今年年初发现的 Balada Injector 活动利用该特定漏洞感染了 6700 多个网站，许多网站管理员都没能足够快地修补补丁。 有报告发现在上个月一个针对 WordPress 插件上的相同漏洞活动显著增加。 根据 PublicWWW 的结果，在3329 个 WordPress 网站中发现了与这一最新活动相关的代码注入 ，Sucuri 自己的扫描仪检测到了 1170 个感染。 注射细节 这些攻击会感染 WordPress 管理界面的自定义 JavaScript 或自定义 CSS 部分，而恶意代码则存储在“wp_postmeta”数据库表中。 注入代码的主要功能是充当各种 Popup Builder 插件事件的事件处理程序，例如“sgpb-ShouldOpen”、“sgpb-ShouldClose”、“sgpb-WillOpen”、“sgpbDidOpen”、“sgpbWillClose”和“ sgpb-DidClose”。 恶意代码会在插件的特定操作时执行，例如当弹出窗口打开或关闭时。 Sucuri 表示，代码的具体操作可能有所不同，但注入的主要目的是将受感染网站的访问者重定向到恶意目的地，例如网络钓鱼页面和恶意…

声明：本文主要为RC²反窃密实验室研究成果分享，仅供交流与参考。 0x01 为什么要检测办公室？ 对于绝大多数高管而言，办公室显然是私密交流的主要场所，交谈频率远超过了会议室和咖啡厅。 毕竟，理论上， 它是确保人们能在公司角落敞开发牢骚的保障地。 它是两三个人喝着茶吃着零食讨论公司业务的避风港。 是公司明争暗斗是是非非的一个见证地。 这么一个既开放又私密的房间，你说重要不重要？ 0x02 办公室窃密真实案例 发生在办公室的故事，那可就多了。 2019年5月30日晚23时左右，甲乙丙丁所有高管收到了一封匿名邮件（该邮件并未发送给COO），邮件中附带一段被剪辑的音频。 在相关技术产品的人员帮助下，发现这段音频是由至少6-7段COO的谈话内容剪辑而成。音质清晰，是被录音窃听后合成的，时间跨度约为2019年1月至2019年4月，历时长达三个月。 这三个月窃听剪辑而成的音频，只截取了COO个人的讲话片段，无上下文，无与COO对话人的讲话内容。 而实际上，COO的办公室外就是员工的工位，外面还有前台，园区也有保安，要实现这个窃听需要里应外合才能实现。 那么，又是谁在监听COO的办公室谈话内容？这留下了不少悬念。 具体的例子不太方便举，大家看一则新闻。 所以，在办公室里安装针孔，到底是什么目的呢？ 固话/座机的非法窃听，也一直是商业间谍、企业内鬼、恶意调查公司、非政府组织、国际犯罪团伙等所使用的主要手段之一。 0x03 办公室的小物件才最麻烦 很多人压根想不到，一个高管的办公室里，会有多少小物件? 仅仅看办公桌，小的物件就包括…

许多网络安全消息来源称，汉堡王的系统是网络攻击的重要目标，该攻击泄露了大量的私人登录信息。这次漏洞暴露了该公司基础设施中潜在的漏洞，可以很好地提醒人们在当今的数字环境中，一个健全的网络安全规程至关重要。 《安全事务》（Security Affairs）最先注意到了这一漏洞，并指出汉堡王的系统无意中泄露了重要的密码，有可能会允许攻击者非法访问系统。专家说，网络攻击者获得了本应受到保护的数据访问权，这使得汉堡王的内部系统和敏感数据变得十分脆弱。这也显现出了该漏洞的严重性。 专家们则进一步强调了该漏洞的影响，指出这一事件不仅会给汉堡王带来严重的后果，也会给其客户带来严重的后果。恶意攻击者可能会利用泄露的凭证访问其他系统、进行身份盗用，或对与被泄露数据相关的个人和组织发动更有针对性的攻击。 这起事件对各行各业的企业来说都是一个警示，它也显示了进行积极主动地实施全面的网络安全方案的必要性。正如网络安全专家 Jane Doe 博士所说，汉堡王数据泄露事件表明，即使是看似很微小的漏洞也可能会导致重大的数据泄露。企业必须从根本上优先考虑网络安全，实施强有力的安全措施、定期审计和员工培训，以降低风险。 据报道，汉堡王已立即采取措施修补了这一漏洞。该公司发表了一份声明，承认已经发生了泄密事件，并向客户保证，他们正在努力解决这一问题，并加强安全措施。尽管如此，这一事件还是引发了人们对该公司整体安全状况的质疑，并凸显了企业在保护敏感数据方面所面临的各种挑战。

1 前言 2016年前后，勒索攻击的主流威胁形态已经从勒索团伙传播扩散或广泛投放勒索软件收取赎金，逐渐转化为RaaS+定向攻击收取高额赎金的运行模式。RaaS为Ransomware as a Service（勒索即服务）的缩写，是勒索团伙研发运营的勒索攻击基础设施，包括可定制的破坏性勒索软件、窃密组件、勒索话术和收费通道等。各种攻击团伙和个人租用RaaS攻击基础设施，在获得赎金后，与RaaS攻击组织分账结算。在众多勒索攻击组织中，LockBit组织最为活跃，从其公布的数据显示，LockBit的RaaS支撑了上千起的攻击活动，并因一例涉及中资企业海外机构案例被国内外广泛关注。 为有效应对RaaS+定向勒索风险，防御者需要更深入地了解定向勒索攻击的运行机理，才能构建有效的敌情想定，针对性的改善防御和响应能力。因此，择取典型案例，对此类攻击进行深度复盘极为重要。但由于相关涉我案例的分析支撑要素并不成熟，安天CERT在其他近期重大攻击案例中进行了筛选，选择了同样与LockBit组织相关，且可参考信息相对丰富的波音公司遭遇定向勒索攻击事件（以下简称本事件）展开了完整复盘分析。安天CERT长期关注和分析勒索攻击，对LockBit等攻击组织的持续关注，形成了较为系统的分析积累，依托安天赛博超脑平台的情报数据，CISA等机构对本事件公布的相关公开信息展开工作。从攻击过程还原、攻击工具清单梳理、勒索样本机理、攻击致效后的多方反应、损失评估、过程可视化复盘等方面开展了分析工作，并针对事件中暴露的防御侧问题、RaaS+定向勒索的模式进行了解析，并提出了防御和…

密码重复使用似乎是很多人的常用做法，但这种行为却会对企业的网络安全产生深远影响。当用户在多个账户中重用密码时，这便为黑客进行破坏创造了一个黄金机会。 企业可能有自己强有力的密码策略，但如果重用密码广泛，可能会造成一种错误的安全感。 密码重用如何造成破坏 假设每一个终端用户都被提示创建一个由随机字母组成的多个字符的密码短语，那甚至可以对照最常用的密码列表进行检查。从表面上看活动目录的密码安全性很强，但当用户在不太安全的个人设备、网站或应用程序上重用这个密码时，危机就开始了。 黑客可能会在安全性差的情况下侵入网站的数据库，并访问每个用户的密码。从那里，他们可以试图找出个人在哪里就业，并查阅他们的工作帐户。攻击者还可以通过网络钓鱼等社会工程攻击个人来获得证书。 在密码被泄露的情况下，黑客们使用自动化的工具系统地在各种网站和应用程序中，包括那些与目标工作地点相关的网站和应用程序，测试被盗的用户名和密码组合。这使企业电子邮件帐户、内部系统、文件存储库，甚至行政权限均处于危险之中。 一旦进入网络，攻击者可以横向移动探索不同的系统，并升级他们的特权。攻击者可以访问敏感数据，破坏其他帐户、安装恶意软件，或在网络中发起进一步攻击。他们可以过滤敏感数据、操纵或删除信息、破坏业务，或扣留数据作为勒索筹码。 为什么人们会重复使用密码 密码重用主要是为了方便。用户倾向于选择易于记住的密码，并经常在多个账户中循环使用，以避免管理众多复杂密码的麻烦。 当我们考虑到用户在记住和管理多个密码方面的负担增加时，密码重用的出现并不奇怪。人们被他们需要管理的帐户和密码的数量所淹…

往期回顾： 2024.7.22—2024.7.28安全动态周回顾 2024.7.15—2024.7.21安全动态周回顾 2024.7.8—2024.7.14安全动态周回顾 2024.7.1—2024.7.7安全动态周回顾 2024.6.24—2024.6.30安全动态周回顾 2024.6.17—2024.6.23安全动态周回顾 2024.6.10—2024.6.16安全动态周回顾

往期回顾： 2024.10.7—2024.10.13安全动态周回顾 2024.9.23—2024.9.29安全动态周回顾 2024.9.16—2024.9.22安全动态周回顾 2024.9.9—2024.9.15安全动态周回顾 2024.9.2—2024.9.8安全动态周回顾 2024.8.26—2024.9.1安全动态周回顾 2024.8.19—2024.8.25安全动态周回顾

2022年9月，工信部发布《国家车联网产业标准体系建设指南（智能网联汽车）（2022年版）（征求意见稿），预计到 2025 年，系统形成能够支撑组合驾驶辅助和自动驾驶通用功能的智能网联汽车标准体系，到 2030 年，全面形成能够支撑实现单车智能和网联赋能协同发展的智能网联汽车标准体系。在智能网联汽车系统中，车辆通过各种传感器、通信设备和计算资源连接到互联网，实现车辆与车辆、车辆与基础设施、车辆与用户之间的信息交互和数据共享。然而，这样的连接也带来了一系列安全风险，如恶意攻击、黑客入侵、数据泄露、远程操控等。 在此背景下，嘶吼安全产业研究院预计出品《先稽我智 安能动之：汽车智能网联安全调研报告 2023》意义深远，我们衷心希望，通过共同努力和创新，汽车智能网联安全行业能够蓬勃发展，为用户提供更安全、智能的出行体验，并为社会交通安全作出应有的贡献。 一、本报告研究内容 本报告具体内容包括如下四个方面： 1、汽车智能网联安全概述。 2、汽车智能网联安全产业SCP分析+市场调研。 本次报告通过SCP模型串联整个汽车智能网联安全产业情况，配合问卷调研+公开访谈。问卷调研聚焦汽车智能网联安全厂商+产品情况，具体包括汽车智能网联安全相关厂商情况评估、其产品情况评估和竞争能力评估等。 3、汽车智能网联安全未来趋势。结合调研问卷阐述汽车智能网联安全技术、创新等方面的趋势。 4、汽车智能网联安全典型厂商案例。 二、本报告预计发布时间 2023年10月 汽车智能网联安全调研报告发布会 三、本报告发布渠道 1、在嘶吼自媒体矩阵平台，包括但不限于微信公众号、官网…

近期，研究人员发布了一种工具，可以绕过 Google 新的 App-Bound 加密 cookie 盗窃防御，并从 Chrome 网络浏览器中提取保存的凭据。 该工具名为“Chrome-App-Bound-Encryption-Decryption”，由网络安全研究员 Alexander Hagenah 发现，其他人已经在找出类似的绕过方法。 尽管该工具实现了多个信息窃取者操作已添加到其恶意软件中的功能，但其公开可用性增加了继续在浏览器中存储敏感数据的 Chrome 用户的风险。 Google 的应用程序绑定加密问题 Google 在 7 月份推出了应用程序绑定（App-Bound）加密（Chrome 127）作为一种新的保护机制，该机制使用以 SYSTEM 权限运行的 Windows 服务来加密 cookie。 其目标是保护敏感信息免受 infostealer 恶意软件的侵害，该恶意软件在登录用户的权限下运行，使其无法在没有首先获得系统权限的情况下解密被盗的 cookie，并可能在安全软件中发出警报。 谷歌在 7 月份曾解释：“由于 App-Bound 服务是以系统权限运行的，攻击者需要做的不仅仅是诱骗用户运行恶意应用程序。现在，恶意软件必须获得系统权限，或者将代码注入 Chrome，这是合法软件不应该做的事情。” 然而，到了 9 月份，多个信息窃取者已经找到了绕过新安全功能的方法，并为他们的网络犯罪客户提供了再次窃取和解密 Google Chrome 敏感信息的能力。 信息窃取者开发人员与其工程师之间的“猫捉老鼠”游戏一直是意料之中，…

循万变·见未来——技术前瞻 未来，静态代码分析领域发展趋势将呈现五大特征： 特征一：关注度提升 随着该领域技术的日益普及和需求的不断上升，在未来，该领域将会受到更多技术和市场的关注。 特征二：全面的代码质量评估 随着分析技术的提高，静态代码分析工具或将超越基本的语法和安全性检查，可提供包括代码风格、可维护性、性能等多方面的综合评估，并且安全性将会进一步被重视，静态代码分析在识别和预防安全漏洞方面的作用将变得更加显著，通过与持续集成/持续交付（CI/CD）流程的对接和IDE的支持等,成为软件开发中不可或缺的一环。 特征三：遵从性与合规性支持 工具将更加注重帮助企业满足行业标准和法规要求，减少合规风险，特别是在部分高度规范的行业中。 特征四：定制化解决方案与开源生态 用户对于定制化静态代码分析规则的需求将持续增长，同时开源工具因其灵活性和成本效益而受到更多开发者的青睐，并促进形成更加活跃的社区和生态系统。 特征五：智能化分析工具 人工智能和机器学习技术的发展或将被应用于静态代码分析，以提供更为深入和精准的代码审查。 ——四维创智（成都）科技发展有限公司 高级研发工程师 王磊 在静态代码分析领域，传统的审计工具往往受限于底层结构的不一致性和数据流分析的复杂性，导致跨语言审计和代码查询规则编写面临重重挑战。本议题旨在介绍YakLang.io团队在解决这些难题上取得的突破性成果，特别是YakSSA和SyntaxFlow两项创新技术。 YakSSA，一种为代码审计量身定制的静态单一赋值（SSA）格式中间表示（IR），解决了传统工具在OOP语言和闭包…