蓝队取证审计网络安全

篇首语：最近杨叔看到好多朋友家小盆友都在上橄榄球课，也就习惯性关注下这个行业的隐私保护现状，于是就......看到了有趣的东西 今年7月，第一本全面揭露美国NFL职业橄榄球大联盟中阴暗面的书籍出版，书中囊括了从偷拍、安装窃听器材、秘密监视，到窃取文件、窃听电话、间谍刺探，以及内部斗争等等球队间对抗的情节。 谁能想到这些听起来像是007电影里的桥段，都来自真实的美国职业橄榄球联盟 声明1：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 声明2：咳咳，杨叔不是橄榄球迷，如果在体育术语上有翻译不准确的地方，就当没看见吧 1 NFL全美职业橄榄球大联盟 美国职业橄榄球大联盟（National Football League，简称NFL）是指美国国家橄榄球联合会（National Football Conference，简称国联NFC）与美国橄榄球联合会（American Football Conference，简称美联AFC）合并后的名称。 NFL美国职业橄榄球大联盟，高居北美四大职业体育运动联盟之首，也是世界上规模最大的职业橄榄球大联盟。 目前，不但很多赛事国内平台都有转播，作为对身体素质要求更高的橄榄球运动，在国内的粉丝群体也正在快速增长中。 PS：杨叔在以前的软文里也提及过NFL，可以作为本篇的参考： 内幕 | 那些体育圈的窃密事件 OK，接下来，我们直接看看有趣的部分。 2 被窃听的球队更衣室 球队最担心的是在客场被恶意窃听。 很显然，客场的更衣室是一个值得关注的区域…

声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 01 总统专车面临的风险 美国历史上，自从1865年林肯总统被刺杀以来，已经有四位总统遭遇暗杀以身殉职，更有许多总统遭遇暗杀未遂，所以美国方面历来重视总统的安保工作。 就像大家在电影新闻上看到的，总统出国访问时，一个由黑色系车辆组成的总统车队里，一个个黑衣帅哥戴着耳机一脸严肃严阵以待。 其实，在伊拉克和阿富汗将近十五年的战争中，反简易爆炸装置 (IED) 和动态通信干扰技术取得了长足的进步，这种系统已经在海外挽救了数百甚至数千人的生命。 在过去十年的后半期，阿富汗和伊拉克各地，美军已经在 MRAP、APC 和装甲车上部署了更先进的技术。 当然，其中关键技术也部署到了总统车队的特种车辆上。 02 第一次见到总统车队 杨叔第一次见到总统车队，是在1998年。杨叔专门翻了些历史资料，和大家一起分享这份记忆。 1998年6月，美国克林顿总统访华，首站放在西安。据报道，克林顿总统的访华团队规模之大是空前的： 随行人数多达1200人，动用了包括空军一号在内的四架飞机和若干架大型运输机，仅是通讯器材就有60吨，随机记者200人，还有另外175个记者是自己打飞的来的。 记得当年克林顿来西安，入住在城东门附近的凯悦大酒店。不过美国总统出访外国前，会提前一两个月派出先遣高级安保人员，与出访国有关方面进行工作对接。 所以杨叔清楚地记得，当时克林顿访华前，在凯悦酒店对面路过，能清晰地看到酒店门口停着两辆酷酷的黑色防弹雪佛兰。 1998…

0x01 非法监视直接切入主题，那些试图继续干扰女孩子生活的前男盆友们，往往都会采用非法监视，一般有以下几种可能： 一，针孔偷拍窃听。在对方家中或者曾经的合租房里安装针孔摄像头、窃听器材，偷拍女孩子的生活起居，暗地了解新交往的对象等等，这样的事情在日本和台湾地区的新闻报道里屡见不鲜，但国内一般很少报道此类事件。 下图是台湾《苹果日报》的新闻报道截图，讲述的就是一位28岁女性遭到40岁前男友部署在屋里器材的偷拍和窃听。 二，相机偷拍。这一项常常和尾行跟踪在一起，一般远距离会使用到专业相机+专业镜头，近距离则是用微单或者手机实现。主要目的还是在于跟踪女孩子的生活状况、有没有新的约会对象或者喜欢的人等等。当然，对于狗仔队而言，其有着完全不同的特殊意义。 三，非法定位。跟踪女孩子的出行状况，比如出差到哪个城市、订哪个酒店、和谁一起游玩等等。有些通过在女孩子背包或者车辆上安装跟踪器实现，有些则需要借用到专业的基站定位技术和地下信息数据支持。 防范建议： （注意：以下建议仅适用于关系僵硬、出现崩离趋势的时期） 0x02 尾行跟踪虽然感觉比较Low，但实际上尾行始终都是一种非常有效的监控手段。不过大多数尾行跟踪行为都建立在一个基础上，就是“对你平时工作生活的了解”。 虽然不至于为了一个前男友就去辞掉工作，但是无论是为了确保自己安全，还是为了新的开始做铺垫，改变下以往的生活作息习惯，显然是恰当的。 先说明，以下建议并不适用于专业跟踪偷拍人士/团队，若是遇到下图这样情况，那就需要专业对专业，需要委托个人隐私安全保护服务（一般不到这个程度，某些打羽…

篇首语：这些年，杨叔发现，虽然越来越多的人都开始使用NLJD，但似乎很多人对这些设备的发展史，以及那些行业中曾经赫赫有名的公司和专家均一无所知。 我们都知道：很多技术的发展，都是要经过“引进--研究--学习--超越”这几个步骤，所以杨叔特别准备了「TSCM发展史」系列软文，希望能让更多人真正了解和走进TSCM行业。 声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 0x01 先说说NLJDNLJD，Non Linear Junction Detector，非线性结点探测器，可以说是当今开展TSCM反窃密检测、物理安全检测的必备专业设备之一。 通过识别PN结的非线性反应，NLJD能够轻易地检测到地板、家具及墙面里隐藏的电子器材，所以自1980年起，从欧美到亚洲，各国反间谍部门、情报机构、重要保密单位都开始大量装备NLJD，对内部环境开展严格的TSCM安全检测。 分享一份美国FBI的内部TSCM检测记录，这份写于1987年3月23日的报告，充分展现了定期检测的工作内容。 如上图可以看到，里面提及了无线检测、物理搜检及电话线路检测等等，均没有发现异常。 嗯，是的，自TSCM检测开展以来，在一个完整的TSCM检测流程里，不仅仅是非线性设备的使用，专业电话线路检测都是必查的内容，这是衡量TSCM检测能力专业与否的关键判断点之一。 更多内容，可以参加RC²的深度专家课程，也可以翻阅杨叔之前的这篇： 行业解密 | TSCM技术反窃密的前世今生 那么， 可能有人注意到了 为什么选择今天发这篇软文呢？ 因为对于…

一般来说，可能会使用车辆GPS跟踪设备的群体，主要有以下几类： 1）企业/上市公司的商业竞争对手 2）同一家企业/公司的中高层 3）家庭纠纷/婚姻/两性问题的其中一方 4）媒体暗访 5）欺诈/绑架等心怀恶意目的人员 6）政府机构/相关部门的秘密调查 7）娱乐圈的绯闻记者 8）黑吃黑其中，就真实案例而言，以1、2、3方面的情况最多。当然，新闻报道上也常能看到5和7的情形。所以，如何保护自己，如何防范可能的非法或者恶意行为，经常性地检查自家车辆会是一个非常好的习惯。下面杨叔会仔细讲述下私家车的标准检查步骤，至于大型或特种车辆在主体方法上类似，只是细节上会有所不同。OK，那我们开始吧...... Part1 外部检查步骤1：准备好手电和自己的车辆使用手册。 是的，你只需要这两样东西。强调下，虽然目前市面较多的GPS追踪器外型都是一个体积较大的带磁吸的盒子，但注意并不是所有的设备都会这么明显。 甚至在某些情况下，唯一能够识别追踪器的途径可能仅仅是条不合适的电线。在开始自检前，一定要强调的是：除非你非常熟悉自己的车，否则请勿轻易自行手动拆除车辆的重要部件。 步骤2：检查车底盘。 如果没有车辆维修专用的修理槽，可以背朝下滑入车底，用手电检查车底盘。大多数跟踪器需要链接到GPS卫星信号，所以一般不会在车底部有较厚金属阻隔的区域。仔细观察并寻找有无可疑的盒状物体或天线，给些小建议： 步骤3：检查车轮口和轮辋凹区。 检查每个车轮的塑料防护罩/挡泥板，特别是感觉松动或弯曲的地方。默认情况下车辆在这个位置不会有任何外置设备，所以若是有跟踪器，那都应该是…

声明：本文主要为RC²反窃密实验室研究成果分享，仅供交流与参考。 0x01 为什么要检测办公室？ 对于绝大多数高管而言，办公室显然是私密交流的主要场所，交谈频率远超过了会议室和咖啡厅。 毕竟，理论上， 它是确保人们能在公司角落敞开发牢骚的保障地。 它是两三个人喝着茶吃着零食讨论公司业务的避风港。 是公司明争暗斗是是非非的一个见证地。 这么一个既开放又私密的房间，你说重要不重要？ 0x02 办公室窃密真实案例 发生在办公室的故事，那可就多了。 2019年5月30日晚23时左右，甲乙丙丁所有高管收到了一封匿名邮件（该邮件并未发送给COO），邮件中附带一段被剪辑的音频。 在相关技术产品的人员帮助下，发现这段音频是由至少6-7段COO的谈话内容剪辑而成。音质清晰，是被录音窃听后合成的，时间跨度约为2019年1月至2019年4月，历时长达三个月。 这三个月窃听剪辑而成的音频，只截取了COO个人的讲话片段，无上下文，无与COO对话人的讲话内容。 而实际上，COO的办公室外就是员工的工位，外面还有前台，园区也有保安，要实现这个窃听需要里应外合才能实现。 那么，又是谁在监听COO的办公室谈话内容？这留下了不少悬念。 具体的例子不太方便举，大家看一则新闻。 所以，在办公室里安装针孔，到底是什么目的呢？ 固话/座机的非法窃听，也一直是商业间谍、企业内鬼、恶意调查公司、非政府组织、国际犯罪团伙等所使用的主要手段之一。 0x03 办公室的小物件才最麻烦 很多人压根想不到，一个高管的办公室里，会有多少小物件? 仅仅看办公桌，小的物件就包括…

以下内容由WebRAY和Panabit联合发布 0x01 事件背景 从2024年5月开始，国内部分家用路由器开始出现间歇性断网、域名解析延迟高以及解析到海外IP等情况，今年8月该现象变得尤为严重。前几天在做应急响应时候发现某企业暴露在公网上的路由器配置的DNS地址被莫名其妙篡改了，主DNS地址是一个阿里云上的节点，备用DNS地址为1.1.1.1。起初以为这次事件跟近期的攻防演习相关，后面经过深入分析发现该事件并不是个例，我们已排查到有大量暴露在公网上的路由器都存在DNS被篡改的情况，且大部分用户基本没有感知。经过初步统计，攻击者使用的劫持DNS节点数已有百余个，用户访问受影响的目标主要覆盖了阿里云CDN、腾讯云CDN、华为云CDN等，导致了一系列的解析异常。短时间范围内，大量用户投诉对国内重要目标单位访问异常，造成严重安全隐患。 0x02 事件分析 盛邦安全烽火台实验室联合Panabit对该事件进行了专项分析，这起事件是属于典型的DNS劫持攻击事件，符合国外黑灰产组织的攻击特征。攻击者通过搜集公网可访问的路由器地址，利用漏洞或弱口令获取路由器控制权限，修改路由器DNS服务器地址，达到中间人攻击的效果。整体的攻击流程如下图所示： （图中假设攻击者对webray.com.cn进行了dns劫持） 用户在发起HTTP请求之前首先会进行DNS请求，由于绝大部分个人用户不会自定义DNS服务器，所以默认情况下会使用路由器的DNS服务器来进行域名解析。攻击者通过漏洞把路由器DNS服务器篡改为自己可控的恶意DNS服务器，并…

篇首语：去年在深圳，和一个厂商交流时，聊到英国DeltaV场强仪，对方很诧异地说：“这玩意质量很差啊，用了三个月就坏了”，What？杨叔顿觉不可思议，毕竟实验室使用三年来几乎没出现过问题。 结果拿来一看：擦，这特么不是假货嘛？... 为了避免更多企业用户入坑，也为了方便RC2的学员朋友们识别真伪，特别地，在课程之余，写下本篇。 声明：以下内容来自RC2反窃密实验室及杨叔个人经验，仅供交流与参考。 01 DeltaV的厂商 国内有不少专业人士用过这款DeltaV手持信号检测设备，也有些人对这款设备嗤之以鼻，这都是假货的功劳 不过，更多的人，可能压根儿没听说过。 作为一款手持信号检测设备，在易用性、准确性和稳定性上，来自英国的DeltaV Advanced已经在国际上同类设备中位列前三。 在高准确度下保持对100MHz至15GHz的信号检测频宽，也超越了99%的同类设备。无论是大使馆，还是企业高管办公室、会议室的检测，均可轻松胜任。 这也是杨叔在2017年起，L2商业安全课程实验中就一直让学员对比体验设备的原因，最终DeltaV也确实赢得了学员们的一致认同。 其实这款设备的厂商： 英国Audiotel International 在国际TSCM反窃密检测圈内也算是鼎鼎有名的老牌厂商之一。 早在2005~2010年间，很多国家的执法机构、战术单位、反间谍及情报部门，都采购过该公司的非线性检测设备和手持信号检测仪。 直到现在，国内一些相关部门的物资仓库里，多少都能翻出一两款Audiotel的早期产品。 哈哈，能熟练使用上面设备的…

篇首语：很多部门都在思考如何使用低技术手段来解决高科技犯罪，反窃密行业同样如此。 嗯，总有些另辟蹊径的思路，比如今天要介绍的是，可以帮小姐姐查针孔偷拍的：ESD K-9 电子存储设备搜检汪汪队~~ 小贴士：K-9这个词源于英文单词Canine，原意指犬科动物，K9其实指的就是警犬或者是军犬，这个词最先流行于美国的警犬部门，现在已被广泛接受~~ 大家在机场见过防爆和缉毒的狗狗吧？ 声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 01 为什么要搜检电子存储设备？ 在现代社会，针对未成年人的互联网犯罪，包括创建和传播未成年人色情制品、儿童性奴、未成年人性侵犯和性虐待的直播等等。近些年，这类犯罪正在以惊人的速度增加。 这些疑犯通常的做法是将其对话信息、图片、视频和其他联系信息都保存在外部存储设备（例如硬盘、U盘、Micro SD卡等）并藏匿，这对执法人员的搜查工作制造了很大难题。 来自美国计算机犯罪部门的警官表示： 在搜查令期间，通常会要求执法人员查找与这些罪行有关的实物证据。这些证据对于识别受害者，并将这些嫌疑人从社区中驱逐及逮捕至关重要。 但当他们依法执行搜查工作时，由于电子存储设备通常很小，容易隐藏，所以虽然搜查工作通常要花费数小时，但总会疏漏些电子物证，甚至有些设备可能永远都找不到。 而每个未发现的设备，都可能是一个或多个身份不明的受害者的血泪证据。 这些被称为数字媒体电子存储设备（DMESD），包括笔记本硬盘、小型U盘、TF卡、SD 卡、Micro SD卡、智能手机以及许多其他存储设备。要知…

篇首语：最近在梳理各种异常频谱，杨叔无意中查到这么一个奇怪的频点，已经超出了正常的检测范围，普通的信号检测设备也无法接收到这个频点的信息。 深挖之余，就有了本篇。 本文同样送给那些喜爱神秘/科幻主义的爱好者、超自然研究者、《飞碟探索》《鬼吹灯》粉及有末日情节的生存控们，希望大家喜欢。 声明：以下内容素材均来自互联网，不涉及宗教、玄学、神话等方面的讨论，仅供交流、参考与闲聊，不喜勿看，谢绝杠精。 0x01 这世界有“鬼”么？ 早在有记载的历史之前，人类就一直在讲鬼故事。 在西方，一些已知最古老的鬼魂出没地，比如公元前8世纪古希腊荷马编著的《奥德赛》描述的，奥德修斯前往冥府寻找先知，看到无数凄厉悲苦的亡魂。 《旧约全书》讲述了恩多女巫召唤幽灵预言家撒母耳，结果导致了扫罗王的战败与自杀。 除了文学上的虚构，西方历史上也有很多有关鬼魂的记载。 公元1世纪，博物学家小普林尼在雅典的一处房子被鬼缠上，他说这个鬼会发出锁链的喀嚓声，还会以长胡子的老人的形象现身。 而出现频率最高的是王后安妮•傅林的鬼魂，据说自从1536年被砍头之后，人们已经在120个地方见到她不下3万次。 而在东方，中国古代如此之多描述鬼魂精怪的著作和传说，什么《搜神记》《聊斋志异》《山海经》《封神演义》......估计故事总数要超过整个西方的合集。 PS：杨叔就曾为小倩（其实是王祖贤）痴迷不已夜不能寐无心喃呢...... ......咳咳，总之，鬼魂、幽灵什么的都被认为是各种超自然行为的罪魁祸首，但多亏了科学，我们终于能够解释其中的一些情况。 嗯，先放张摸金校尉的图镇场。 0x…

声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 0x01 测谎仪的历史 测谎仪的历史可以追溯到19世纪末期，那时人们就开始意识到：撒谎可能会伴随着生理反应的变化。 早期的测谎方法主要是基于观察被试者的生理指标，比如心率、呼吸频率和皮肤电阻等。虽然这些方法不够精确，但它们启发了科学家进一步探索如何利用生理指标来识别撒谎。 莱昂纳德·基勒 (Leonarde Keeler) 是基勒测谎仪的发明者，他一生的大部分时间都在试图辨别人们是否说真话。如下图，他通过测谎仪认识了他的妻子凯瑟琳。 当时的芝加哥，因其帮派和惊人的凶杀率而被称为谋杀之城。1929年，为了扭转这座城市的声誉，市政府在西北大学建立了科学犯罪侦查实验室，这是美国第一个正式的刑事调查机构。基勒夫妇成为了该实验室的两位顶尖犯罪学家，莱昂纳德成为了实验室的测谎专家，凯瑟琳成为了笔迹分析专家。 在洛杉矶，基勒直接向该市改革派警察局长奥古斯特·沃尔默汇报，后者声称该机器将提供“改良、简化和人性化的三级”。沃尔默希望他的门生的机械创新能够让容易出错和暴力的审讯成为过去。 自此，莱昂纳德的机器有了一个正式的名称——基勒测谎仪——并在犯罪侦查实验室中内置了一个公共关系部门。两年之内，测谎成为西北实验室最赚钱的业务。 有趣的是，随着这种设备在检测欺骗和犯罪方面的成功，”基勒解释了原理，“在很大程度上归因于这种测试在招供方面所产生的心理效应。” 他的设备原本是为了简化警方的审讯，但却成为警察强制装备库中的另一个工具。 0x02 关于测谎仪的认知盲区 测谎仪…

伊朗恶意分子正在利用名为 IOCONTROL 的新恶意软件来破坏以色列和美国关键基础设施使用的物联网 (IoT) 设备和 OT/SCADA 系统。 目标设备包括路由器、可编程逻辑控制器 (PLC)、人机界面 (HMI)、IP 摄像头、防火墙和燃料管理系统。该恶意软件的模块化特性使其能够危害不同制造商的各种设备，包括 D-Link、Hikvision、Baicells、Red Lion、Orpak、Phoenix Contact、Teltonika 和 Unitronics。 Claroty 的 Team82 研究人员发现了 IOCONTROL 并对其进行了采样进行分析，他们报告说，这是一种民族国家网络武器，可以对关键基础设施造成严重破坏。 鉴于持续的地缘政治冲突，IOCONTROL 目前用于针对以色列和美国的系统，例如 Orpak 和 Gasboy 燃料管理系统。据报道，该工具与一个名为 CyberAv3ngers 的伊朗黑客组织有关，该组织过去曾对攻击工业系统表现出兴趣。 OpenAI 最近还报告称，该威胁组织使用 ChatGPT 来破解 PLC、开发自定义 bash 和 Python 漏洞利用脚本，并计划入侵。 IOCONTROL 攻击 Claroty 从 Gasboy 燃油控制系统中提取了恶意软件样本，特别是该设备的支付终端 (OrPT)，但研究人员并不确切知道黑客是如何用 IOCONTROL 感染它的。 在这些设备内部，IOCONTROL 可以控制泵、支付终端和其他外围系统，从而可能导致中断或数据被盗。 威胁者在 Telegram…

导读：本文基于《IDC TechScape：中国网络安全软件技术发展路线图，2024》中关于网络安全实训演练测试平台（靶场）的技术路线分析，结合国内外靶场的发展状况与建设经验，深入解读国内靶场行业下一阶段的发展及演进趋势。同时，结合实用型靶场的建设经验，概括适用于国内行业的评价指标，明确未来发展方向。 前景好VS应用难，实用型靶场呼之欲出 IDC靶场发展路线解读 2024年10月，IDC TechScape首次发布《中国网络安全软件技术发展路线图》，在机会型科技趋势中提到网络安全靶场（网络安全实训演练测试平台），并将其标记为值得长期投入的产品类型。赛宁网安基于靶场行业的深厚积淀，成为IDC权威认可的网络安全靶场（网络安全实训演练测试平台）首个推荐厂商。多年深耕，赛宁网安积累了丰富的国内外靶场项目建设经验，并深度参与了用户方靶场的规划及标准制定，在下一代实用型靶场建设方面探索出可借鉴的实践路径和方案。 上述图表数据显示，靶场行业的采用度和市场热度均处于中等水平。对比当前国内靶场面临的功能堆砌、业务复杂、上手门槛高等发展现状，结合市场热度数据，可以合理推断出：尽管靶场在网络安全领域具备良好的应用前景，但缺乏一个通用、简明且实用的行业规范来衡量国内同类产品，这成为制约靶场行业发展的重要因素。 放眼国际市场，实用型靶场占据主流 美欧靶场建设经验参考 美、欧地区在靶场类项目的建设初期会经过多轮业务合理性评审，其规划多基于实际业务需求，并结合安全运营要求作为指导。 欧洲案例 - 挪威网络靶场（Norwegian Cyber Range） 挪威网络…

黑客利用 ZIP 文件串联技术以 Windows 计算机为目标，在压缩档案中传递恶意负载，而目前安全解决方案却无法检测到它们。 该技术利用了 ZIP 解析器和存档管理器处理串联 ZIP 文件的不同方法。有安全公司发现了这一新问题，在分析利用虚假发货通知引诱用户的网络钓鱼攻击时，发现了隐藏木马的串联 ZIP 存档。 安全研究人员发现，该附件伪装成 RAR 存档，并且恶意软件利用 AutoIt 脚本语言来自动执行恶意任务。 网络钓鱼电子邮件将特洛伊木马隐藏在串联的 ZIP 文件中 将恶意软件隐藏在“损坏的”ZIP 中 攻击的第一阶段是准备阶段，威胁者创建两个或多个单独的 ZIP 存档，并将恶意负载隐藏在其中一个中，剩下的则保留无害的内容。 接下来，通过将一个文件的二进制数据附加到另一个文件，将其内容合并到一个组合的 ZIP 存档中，将单独的文件连接成一个文件。尽管最终结果显示为一个文件，但它包含多个 ZIP 结构，每个结构都有自己的中心目录和结束标记。 ZIP 文件的内部结构 利用 ZIP 应用程序漏洞 攻击的下一阶段依赖于 ZIP 解析器如何处理串联档案。安全公司测试了 7zip、WinRAR 和 Windows 文件资源管理器，得到了不同的结果： ·7zip 仅读取第一个 ZIP 存档（这可能是良性的），并可能生成有关其他数据的警告，用户可能会错过这些数据 ·WinRAR 读取并显示这两个 ZIP 结构，显示所有文件，包括隐藏的恶意负载。 ·Windows 文件资源管理器可能无法打开串联文件，或者如果使用 .RAR 扩展名重命名，…

1 概述 近期，安天CERT监测到一起挖矿木马攻击事件，该挖矿木马从2024年3月开始出现，并持续更新攻击脚本。该挖矿木马的典型特点是针对操作系统类型下载对应的挖矿程序、检查系统环境是否有curl、Python、Perl等工具，如果有则使用这些工具下载挖矿程序，如果没有会进行下载适配、根据CPU算力动态调整运行参数，不会饱和使用CPU资源，避免因消耗过多资源被用户感知发现。该挖矿木马因其在脚本中多次出现“app”字符串，故安天CERT将该挖矿木马命名为“app Miner”。 经验证，安天智甲终端防御系统可实现该挖矿木马的有效查杀。 2 攻击流程 app Miner挖矿木马首先会执行一系列功能模块中的功能，如根据CPU线程数估算门罗币（Monero）挖矿的哈希率、根据CPU算力动态调整运行参数、遍历指定目录尝试找到一个足够空间投放挖矿木马的目录、根据受害主机操作系统类型和架构等，生成一个格式化的文件名、查找感染系统中正在运行的竞品挖矿进程等等。之后会从指定的URL上下载挖矿程序、设置挖矿配置文件进行挖矿。该挖矿木马还有很多函数具有多种功能，但默认状态下脚本未开启这些功能或待开发中，其中主要包括计划任务函数、服务函数、进程检查函数等等。 图 2‑1 攻击流程图 3 脚本功能分析 根据CPU线程数估算Monero挖矿的哈希率，然后基于这个哈希率动态计算并选择一个端口号。用于配置一个挖矿程序以选择适当的端口进行通信。这样的设计可能是为了在不同机器上运行时根据机器的不同性能选择合适的设置。 图 3‑1 估算Monero挖矿的哈希率 根据CP…

1 概述 InterLock勒索攻击组织被发现于2024年9月，该组织通过网络钓鱼、漏洞利用、搭载于其他恶意软件和非法获取凭证等多种手段渗透受害者网络，窃取敏感信息并加密数据，实施双重勒索，以此对受害者施加压力。暂未发现该组织通过勒索软件即服务（RaaS）模式招募附属成员以扩大非法收益的情况。目前，已监测到该组织开发了针对Windows、Linux和FreeBSD系统的加密载荷。在Windows系统中，InterLock勒索软件采用“AES+RSA”算法对文件进行加密。感染的迹象包括文件名后添加“.interlock”扩展名，以及出现名为“!README!.txt”的勒索信。截至目前，尚未发现任何工具能够有效解密由InterLock勒索软件加密的数据。 InterLock组织在暗网中运营一个名为“InterLock Worldwide Secrets Blog”的网站，公开受害者信息。该网站包含组织介绍、联系方式、受害者资料以及从受害者系统中窃取的数据等。对于每位受害者，攻击者创建独立的信息板块，列出受害者名称、官网链接、信息概览、被盗文件类型和数量。攻击者利用公开受害者信息和部分被盗文件作为要挟，迫使受害者为防数据被出售或公开而支付赎金或满足其他非法要求。截至2024年11月21日，该网站已公布7名受害者的信息，但实际受害数量可能更多。攻击者可能基于多种原因选择不公开或删除某些信息，例如在与受害者达成协议，或受害者支付赎金换取了信息的移除。 InterLock组织所使用的勒索加密载荷和攻击技战术等特征揭示了其与Rhysida组织[1]…

一种名为“CRON#TRAP”的新网络钓鱼活动通过 Linux 虚拟机感染 Windows，该虚拟机包含内置后门，可以秘密访问公司网络。 使用虚拟机进行攻击并不是什么新鲜事，勒索软件团伙和加密货币挖矿者利用虚拟机来秘密执行恶意活动。然而，威胁者通常在破坏网络后手动安装这些软件。 Securonix 研究人员发现的一项新活动是使用网络钓鱼电子邮件执行无人值守的 Linux 虚拟机安装，以破坏企业网络并获得持久性。 网络钓鱼电子邮件伪装成“OneAmerica 调查”，其中包含一个 285MB 的大型 ZIP 存档，用于安装预装后门的 Linux 虚拟机。 该 ZIP 文件包含一个名为“OneAmerica Survey.lnk”的 Windows 快捷方式和一个包含 QEMU 虚拟机应用程序的“data”文件夹，其中主要可执行文件伪装为 fontdiag.exe。 启动快捷方式时，它会执行 PowerShell 命令将下载的存档解压到“%UserProfile%\datax”文件夹，然后启动“start.bat”以在设备上设置并启动自定义 QEMU Linux 虚拟机。 Start.bat批处理文件安装QEMU Linux虚拟机 安装虚拟机时，同一个批处理文件将显示从远程站点下载的 PNG 文件，该文件显示虚假服务器错误作为诱饵，这意味着调查链接已损坏。 显示假错误的图像 名为“PivotBox”的定制 TinyCore Linux VM 预装了一个后门，可保护持久的 C2 通信，允许攻击者在后台进行操作。 由于 QEMU 是一个经过…

黑客被发现正滥用 macOS 文件的扩展属性来传播一种新的木马，研究人员将其称为 RustyAttr。 威胁分子将恶意代码隐藏在自定义文件元数据中，并使用诱饵 PDF 文档来帮助逃避检测。这项新技术类似于 2020 年 Bundlore 广告软件将其有效负载隐藏在资源分支中以隐藏 macOS 有效负载的方式。安全研究人员在一些野外恶意软件样本中发现了它。 根据他们的分析，由于无法确认任何受害者，研究人员有一定把握将这些样本归因于朝鲜黑客拉扎勒斯。他们认为攻击者可能正在尝试一种新的恶意软件传递解决方案。 这种方法并不常见，现在已被证明可以有效地防止检测，因为 Virus Total 平台上的安全代理都没有标记恶意文件。 在文件属性中隐藏代码 macOS 扩展属性 (EA) 表示通常与文件和目录关联的隐藏元数据，这些元数据在 Finder 或终端中不直接可见，但可以使用“xattr”命令提取以显示、编辑或删除扩展属性。在 RustyAttr 攻击的情况下，EA 名称为“test”并包含 shell 脚本。 macOS 扩展属性内的 Shell 脚本 存储 EA 的恶意应用程序是使用 Tauri 框架构建的，该框架结合了可以调用 Rust 后端函数的 Web 前端（HTML、JavaScript）。当应用程序运行时，它会加载一个包含 JavaScript（“preload.js”）的网页，该网页从“测试”EA 中指示的位置获取内容，并将其发送到“run_command”函数以执行 shell 脚本。 preload.js 的内容 为了在此过…

浏览器隔离是一种日益流行的安全技术，它通过云环境或虚拟机中托管的远程 Web 浏览器路由所有本地 Web 浏览器请求，所访问网页上的任何脚本或内容都在远程浏览器而不是本地浏览器上执行。 然后，页面的渲染像素流被发送回发出原始请求的本地浏览器，仅显示页面的外观并保护本地设备免受任何恶意代码的侵害。许多命令和控制服务器利用 HTTP 进行通信，导致远程浏览器隔离以过滤恶意流量，并使这些通信模型无效。 Mandiant 发现了一种绕过浏览器隔离技术并通过 QR 码实现命令和控制操作的新方法，Mandiant的新技术试图绕过这些限制，尽管它有一些实际限制，但它表明浏览器中现有的安全保护还远远不够完美，需要结合额外措施的“纵深防御”策略。 C2 和浏览器隔离的背景 C2 通道支持攻击者和受感染系统之间的恶意通信，使远程攻击者能够控制受破坏的设备以及执行命令、窃取数据等。由于浏览器在设计上不断与外部服务器交互，因此会激活隔离措施，以防止攻击者在安全关键环境中访问底层系统上的敏感数据。 这是通过在云端、本地虚拟机或本地托管的单独沙盒环境中运行浏览器来实现的。当隔离处于活动状态时，隔离的浏览器会处理传入的 HTTP 请求，并且只有页面的可视内容会流式传输到本地浏览器，这意味着 HTTP 响应中的脚本或命令永远不会到达目标。 这会阻止攻击者直接访问 HTTP 响应或向浏览器注入恶意命令，从而使隐蔽的 C2 通信变得更加困难。 浏览器隔离概述 Mandiant的绕行技巧 Mandiant 研究人员设计了一种新技术，可以绕过现代浏览器中现有的隔离机制。攻击…

1 概览 “游蛇”黑产团伙（又名“银狐”、“谷堕大盗”、“UTG-Q-1000”等）自2022年下半年开始活跃至今，针对国内用户发起了大量攻击活动，以图窃密和诈骗，对企业及个人造成了一定的损失。该黑产团伙主要通过即时通讯软件（微信、企业微信等）、搜索引擎SEO推广、钓鱼邮件等途径传播恶意文件，其传播的恶意文件变种多、免杀手段更换频繁且攻击目标所涉及的行业广泛。近期，安天CERT监测到“游蛇”黑产团伙利用仿冒成远程控制软件下载站点的钓鱼网站传播恶意MSI安装程序。 当恶意MSI安装程序执行后，会在用户选择的安装路径中释放一个正常的安装程序以及一个恶意程序，在桌面中创建指向正常安装程序的快捷方式，并执行恶意程序。恶意程序执行后，从指定URL处获取shellcode并在内存中执行。该shellcode通过异或解密算法进行自解密，在内存中执行嵌入其中的1.dll文件。1.dll文件从指定URL处下载、执行两段shellcode。 第一段shellcode在内存中释放执行RpcTsch.dll，该DLL文件通过RPC创建称为“MM”的计划任务；第二段shellcode在内存中释放执行Dll1.dll，该DLL文件持续对剪贴板内容进行监控，并对符合指定条件的内容进行窃取并连续截取20张图片，推测该DLL文件用于窃取加密货币钱包地址及密钥信息，可能存在黑产团伙之间的“黑吃黑”行为。然后，1.dll对当前的系统环境进行多种检测，收集各类系统信息、构建上线包并与C2服务器连接。攻击者能够利用该恶意文件进行远程控制、信息窃取等恶意操作。 “游蛇”黑产团伙仍…

网络犯罪分子利用欺诈性视频会议平台以窃取加密货币的恶意软件感染 Windows 和 Mac 电脑，通过虚假商务会议来瞄准 Web3 工作人员。 该情况根据会议软件常用的名称被称为“Meeten”，自 2024 年 9 月以来一直在进行。该恶意软件有 Windows 和 macOS 版本，目标是受害者的加密货币资产、银行信息、存储在网络上的信息浏览器和钥匙串凭据（在 Mac 上）。 Meeten 是由 Cado 安全实验室发现的，该实验室称，威胁者不断更改假冒会议软件的名称和品牌，之前曾使用过“Clusee”、“Cuesee”、“Meetone”和“Meetio”等名称。 网站传播 Realst 盗窃者 这些假冒品牌在其中填充了人工智能生成的内容，以增加合法性，看似得到了官方网站和社交媒体帐户的支持。访问者通过网络钓鱼或社交工程进入该网站，并被提示下载所谓的会议应用程序，但实际上，它是 Realst 窃取程序。 根据报告，该骗局以多种方式进行。在一个报告的实例中，用户认识的人在 Telegram 上联系了该用户，希望讨论商业机会并安排通话。然而，Telegram 帐户已创建更有趣的是，诈骗者向他发送了目标公司的投资演示，表明这是一个复杂的、有针对性的骗局。 其他报告称，目标用户正在接听与 Web3 工作相关的电话、下载软件并进行诈骗。他们的加密货币被盗之后。初次接触时，目标将被引导至 Meeten 网站下载产品。除了托管信息窃取程序外，Meeten 网站还包含 Javascript，甚至可以在安装任何恶意软件之前窃取存储在网络浏览器中的…

1 概述 安天CERT在2月5日发布了《攻击DeepSeek的相关僵尸网络样本分析》报告，分析了攻击中活跃的两个僵尸网络体系RapperBot和HailBot和其典型样本，分析了其与Mirai僵尸木马源代码泄漏的衍生关系。安天工程师依托特征工程机制，进一步对HailBot僵尸网络样本集合进行了更细粒度差异比对，在将样本向控制台输出的字符串作为分类标识条件的比对中，发现部分样本修改了早期样本的输出字符串“hail china mainland”，其中数量较多的两组分别修改为“you are now apart of hail cock botnet”和“I just wanna look after my cats, man.”。为区别这三组样本，我们将三组变种分别命名为HailBot.a、HailBot.b、HailBot.c，对三组样本的传播方式、解密算法、上线包、DDoS指令等进行相应的分析。其中也有将输出字符串修改为其他内容样本，但数量较少，未展开分析。 表 1‑1 HailBot三个变种之间的关系 HailBot.a HailBot.b HailBot.c 特殊字符串 hail china mainland you are now apart of hail cock botnet I just wanna look after my cats, man. 传播方式 CVE-2017-17215漏洞 CVE-2017-17215漏洞 CVE-2023-1389漏洞 破解攻击（账号密码数量45） CVE-2017-1721…

近日，国产AI大模型DeepSeek（深度求索）一经推出，凭借其卓越的性能在全球范围内引发了广泛关注，与此同时也成为了不法分子聚焦的目标。安天移动安全团队通过国家计算机病毒应急处理中心的协同分析平台，发现了一批假冒DeepSeek的恶意应用程序。针对这一情况，安天移动安全团队迅速展开了深入分析和关联拓展，揭示了这些恶意应用的潜在威胁，并采取了相应的防护措施，为用户安全使用国产AI产品保驾护航。 1．样本基本特征对比 仿冒应用程序名、图标与正版应用别无二致，普通用户难以分辨真假。 2．样本详细分析 1# 动态分析 恶意应用运行后直接提示更新，点击后会直接弹出安装同名恶意子包弹框请求。 诱导用户请求启用无障碍服务。 程序名、图标和正版基本一致，且可以同时安装于同一设备中。 与官方正版应用比较，恶意样本运行后的界面如下，直接访问的DeepSeek的官网。 正版DeepSeek应用如下，可以看到需要登录后才能正常使用，运行界面也不一致。 2# 静态分析 该恶意应用使用了一些对抗手段来对抗逆向分析工具，增加分析难度，逃避安全检测，具体如下： 样本通过工具创建同名文件夹，对抗分析工具。 使用伪加密修改zip文件数据的方式让工具误认为存在密码。 使用整体自定义壳进行加固处理。 使用类名、变量名混淆来增加分析难度。 使用动态加载的方式加载恶意子包。 子包功能详细分析： 其关键指令解析如下： 主要信息获取行为如下： 1、获取短信信息。 2、获取通讯录。 3、发送短信。 4、获取应用安装列表。 5、获取…

1 概述 勒索攻击目前已成为全球组织机构主要的网络安全威胁之一，被攻击者作为牟取非法经济利益的犯罪工具。为了增加受害方支付勒索赎金的概率并提升赎金金额，攻击者已从单纯的恶意加密数据演变为采用“窃取文件+加密数据”的双重勒索策略。更有甚者，在双重勒索的基础上，增加DDoS攻击以及骚扰与受害方有关的第三方等手段，进一步演变为“多重勒索”。近年来，勒索攻击的主流威胁形态已从勒索团伙广泛传播勒索软件收取赎金，逐渐转化为“RaaS（勒索软件即服务）+定向攻击”收取高额赎金的模式。这种模式针对高价值目标，RaaS的附属成员通过购买0Day漏洞、研发高级恶意代码、收买企业内鬼和情报等手段，提高突防能力并提升勒索载荷落地成功率。这种“定向勒索+窃密+曝光+售卖”的组合链条，通过胁迫受害者支付赎金从而实现获利。为有效应对勒索风险，防御者需要改变对勒索攻击这一威胁的认知，并且更深入地了解定向勒索攻击的运行机理，才能构建有效的敌情想定，针对性的改善防御和响应能力。 2024年中，勒索攻击事件频繁发生，攻击者通过广撒网式的非定向模式和有针对性的定向模式开展勒索攻击。勒索攻击持续活跃的因素之一是RaaS商业模式的不断更新。RaaS是勒索攻击组织开发和运营的基础设施，包括定制的破坏性勒索软件、窃密组件、勒索话术和收费通道等。各种攻击组织和个人可以租用RaaS攻击基础设施，完成攻击后与RaaS组织按比例分赃。这一商业模式的兴起和成熟，使得勒索攻击的门槛大幅降低，攻击者甚至无需勒索软件开发技能，也能对目标进行定向攻击。另一重要因素是初始访问经纪人（Initial Acc…

一种新的JavaScript混淆方法利用不可见的Unicode字符来表示二进制值，在针对美国政治行动委员会（PAC）附属机构的网络钓鱼攻击中被积极滥用。 发现此次攻击的网络威胁实验室报告称，该攻击发生在2025年1月初，并带有复杂的迹象，例如使用了： ·针对受害者提供个性化的非公开信息； ·调试器断点和定时检查以逃避检测； ·递归包装邮戳跟踪链接到模糊的最终网络钓鱼目的地。 JavaScript开发人员在2024年10月首次披露了这种混淆技术，它在实际攻击中的迅速采用凸显了新研究被武器化的速度。 使JS有效负载“不可见” 新的混淆技术利用不可见的Unicode字符，特别是韩文半宽（U+FFA0）和韩文全宽（U+3164）。 JavaScript负载中的每个ASCII字符被转换为8位二进制表示，其中的二进制值（1和0）被不可见的韩文字符替换。 混淆后的代码作为属性存储在JavaScript对象中，由于韩文填充字符呈现为空白，因此脚本中的有效负载看起来为空，如下图末尾的空白所示。 隐藏恶意代码的空白 一个简短的引导脚本使用JavaScript代理的“get（）陷阱”检索隐藏的有效负载。当访问hidden属性时，Proxy将不可见的韩文填充字符转换回二进制并重建原始JavaScript代码。 Juniper分析师报告称，攻击者除了上述步骤之外，还使用了额外的隐藏步骤，比如用base64编码脚本，并使用反调试检查来逃避分析。 韩文填充字符序列的Base64编码 Juniper解释说：“攻击是高度个性化的，包括非公开信息，最初的JavaSc…