蓝队取证审计网络安全

TrickMo Android 银行木马的 40 个新变种已在野外被发现，与 16 个植入程序和 22 个不同的命令和控制 (C2) 基础设施相关，具有旨在窃取 Android PIN 的新功能。 Zimperium 是在 Cleafy 之前发布的一份报告调查了当前流通的一些（但不是所有）变种之后报告了这一情况。 TrickMo 于 2020 年首次由 IBM X-Force 记录，但据悉其至少从 2019 年 9 月起就被用于针对 Android 用户的攻击。 假锁屏窃取 Android PIN TrickMo 新版本的主要功能包括一次性密码 (OTP) 拦截、屏幕录制、数据泄露、远程控制等。该恶意软件试图滥用强大的辅助服务权限来授予自己额外的权限，并根据需要自动点击提示。 作为一种银行木马，它为用户提供各种银行和金融机构的网络钓鱼登录屏幕覆盖，以窃取他们的帐户凭据并使攻击者能够执行未经授权的交易。 攻击中使用的银行覆盖层 Zimperium 分析师在剖析这些新变体时还报告了一个新的欺骗性解锁屏幕，模仿真正的 Android 解锁提示，旨在窃取用户的解锁图案或 PIN。 欺骗性用户界面是托管在外部网站上的 HTML 页面，并在设备上以全屏模式显示，使其看起来像合法屏幕。 当用户输入解锁图案或 PIN 码时，页面会将捕获的 PIN 码或图案详细信息以及唯一的设备标识符（Android ID）传输到 PHP 脚本。 TrickMo 显示的假 Android 锁屏 窃取 PIN 允许攻击者通常在深夜在设备未受到主动监控时解锁设备，…

篇首语：这些年，杨叔发现，虽然越来越多的人都开始使用NLJD，但似乎很多人对这些设备的发展史，以及那些行业中曾经赫赫有名的公司和专家均一无所知。 我们都知道：很多技术的发展，都是要经过“引进--研究--学习--超越”这几个步骤，所以杨叔特别准备了「TSCM发展史」系列软文，希望能让更多人真正了解和走进TSCM行业。 声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 0x01 先说说NLJDNLJD，Non Linear Junction Detector，非线性结点探测器，可以说是当今开展TSCM反窃密检测、物理安全检测的必备专业设备之一。 通过识别PN结的非线性反应，NLJD能够轻易地检测到地板、家具及墙面里隐藏的电子器材，所以自1980年起，从欧美到亚洲，各国反间谍部门、情报机构、重要保密单位都开始大量装备NLJD，对内部环境开展严格的TSCM安全检测。 分享一份美国FBI的内部TSCM检测记录，这份写于1987年3月23日的报告，充分展现了定期检测的工作内容。 如上图可以看到，里面提及了无线检测、物理搜检及电话线路检测等等，均没有发现异常。 嗯，是的，自TSCM检测开展以来，在一个完整的TSCM检测流程里，不仅仅是非线性设备的使用，专业电话线路检测都是必查的内容，这是衡量TSCM检测能力专业与否的关键判断点之一。 更多内容，可以参加RC²的深度专家课程，也可以翻阅杨叔之前的这篇： 行业解密 | TSCM技术反窃密的前世今生 那么， 可能有人注意到了 为什么选择今天发这篇软文呢？ 因为对于…

声明：本文主要为RC²反窃密实验室的威胁情报小组部分成果分享，仅供交流与参考。 1 TSCM圈的扛把子：REI 所谓“天下谁人不识君”，国内外从事反窃密检测的行业人士，很少有不知道REI的。 REI，Research Electronics International，1983年成立于美国，其公司总部、研发、制造设施和培训中心均位于美国田纳西州。 37年来，REI一直从事设计和制造技术安全防护设备，以防止非法信息盗窃和企业间谍活动。 目前，REI的客户已遍布全球，包括需要和负责保护敏感信息的全球政府机构、执法组织、公司安全人员和TSCM专业人士，被公认为技术安全设备的行业领导者。 2 REI的发家史 再说说发家史。 REI公司由Bruce Barsumian于1983年在美国田纳西州的Cookeville成立，后来于1995年与Tom Jones（GM）合伙。 早在1980年代，REI就以出色的TSCM反窃密检测设备而闻名，如TRD-800反录音检测器。 RC²技术威胁情报库 ·TRD-800是REI于1989年开发制造的小型穿戴式反录音与窃听检测器。 ·它可以暗中携带，可以悄悄地探查无线电窃听器材，以及对方暗藏在身上的穿戴式录音器材，然后通过LED灯或内置振动器向使用者发出隐蔽的告警。 -----威胁情报库分割线----- 而且，REI也是最早在美国推出非线性节点探测器的公司。 他们推出检测隐蔽窃听器材的SuperScout NLJD，在市场上热销多年，远销全球各国的反间谍、情报及军事部门。 RC²技术威胁情报库 …

Ultralytics YOLO11 AI 模型在供应链攻击中受到损害，该攻击在运行 Python 包索引 (PyPI) 8.3.41 和 8.3.42 版本的设备上部署加密货币挖矿程序。 Ultralytics 工具是开源的，被跨广泛行业和应用的众多项目所使用。该库在 GitHub 上已被加注 33,600 次，分叉 6,500 次，在过去 24 小时内，仅 PyPI 的下载量就超过 260,000 次。 Ultralytics YOLO11 受损 Ultralytics 8.3.41 和 8.3.42 已发布到 PyPi，直接安装受感染版本或作为依赖项安装的用户发现部署了加密货币挖矿程序。 对于 Google Colab 帐户，所有者因“滥用行为”而被标记并禁止。 Ultralytics 是 SwarmUI 和 ComfyUI 的依赖项，它们都确认其库的全新安装将导致矿工的安装。 来源：@GozukaraFurkan 安装后，受感染的库会在“/tmp/ultralytics_runner”处安装并启动 XMRig Miner，以连接到“connect.consrensys[.]com:8080”处的 minin 池。 运行 XMRig Miner 进程 Ultralytics 创始人兼首席执行官 Glenn Jocher 证实，该问题仅影响这两个受损版本，这些版本已被撤下并替换为干净的 8.3.43 版本。 Jocher 在 GitHub 上发帖称：“我们确认 Ultralytics 版本 8.3.41 和 8.3.42 受到…

Underground 勒索软件团伙声称对上周针对日本科技巨头卡西欧的攻击负责，此次攻击导致系统中断并影响了该公司的部分服务。近日，卡西欧在其网站上披露了此次攻击，但未透露有关该事件的详细信息，称已聘请外部 IT 专家来调查个人数据或其他机密信息是否在攻击中被盗。 目前，Underground 勒索软件组织已将卡西欧添加到其暗网勒索门户网站上，泄露了据称从这家日本公司窃取的大量数据。 泄露的数据包括： 社外秘、法律文件、员工个人资料、保密保密协议、员工工资信息、专利信息 公司财务文件、项目信息、事件报告。 如果上述情况属实，则此次攻击已经损害了卡西欧的员工和知识产权，这可能对其业务产生负面影响。 卡西欧数据在 Underground 勒索软件门户网站上泄露 有媒体再次联系卡西欧，询问对威胁者的说法和数据泄露发表评论，但尚未收到任何回应。 Underground 勒索软件概述 根据 Fortinet 2024 年 8 月下旬的报告，Underground 是自 2023 年 7 月以来针对 Windows 系统的规模相对较小的勒索软件操作。 该病毒与俄罗斯网络犯罪组织“RomCom”(Storm-0978) 有关，该组织此前曾在被破坏的系统上向古巴传播勒索软件。 Fortinet 报告称，今年夏天，Underground 勒索软件运营商开始利用 CVE-2023-36884，这是 Microsoft Office 中的一个远程代码执行缺陷，很可能被用作感染媒介。一旦系统遭到破坏，攻击者就会修改注册表，以在用户断开连接后使远程桌面会话保…

在八月的最初的几周内，ReversingLabs 研究团队发现了一个代号为 "VMConnect "的恶意供应链行动。这一恶意的攻击活动涉及到通过 Python 软件包索引（PyPI）分发的约 24 个恶意 Python 软件包，PyPI 是一个广泛使用的 Python 软件开源库。 这些欺骗性的软件包被巧妙地伪装成著名的开源 Python 实用程序，其中包括 vConnector（pyVmomi VMware vSphere 绑定的封装模块）、eth-tester（用于测试基于以太坊的应用程序的工具包）和数据库（为各种数据库系统提供异步支持的工具）。在调查中，研究人员已经注意到，这一攻击活动的实施者正在不遗余力地将自己的攻击工具伪装的更加的合法。 他们花时间建立了 GitHub 存储库，并使用了看起来完全合法的项目描述，其中甚至还加入了真实的源代码。在最新的发现中，该安全团队还发现了几个新的软件包，每个软件包都还有自己的下载统计数据。其中，"tablediter "已获得了 736 次下载，"request-plus "有 43 次下载，而 "requestspro "则有 341 次下载。 在最近发现的这些软件包中，第一个似乎伪装成了表格编辑工具。与此同时，另外的两个软件包则伪装成了目前正在广泛使用的 "requests "Python 库的合法版本，该库通常用于发出 HTTP 请求。ReversingLabs 无法确定该攻击活动的来源，但一些分析师则更有信心，他们认为该恶意软件是 Labyrinth Chollima 所为，而 La…

目录0x00 技能栈 0x01 漏洞理解篇(Vulnerability) 1.1 前端 1.2 后端 1.3 打造自己的知识库 0x02 漏洞利用篇(Exploit) 2.1 前端安全-XSS 2.2 前端安全-CSRF 2.9 Server-side request forgery (SSRF) 2.4 [注入]SQL注入&数据库漏洞利用 2.5 [注入]模板注入 Server Side Template Injection (SSTI) 2.6 [注入]命令注入&代码执行 2.7 [注入]Xpath注入 2.8 XML External Entity (XXE) 2.9 文件操作漏洞 2.10 反序列化漏洞 2.11 包含漏洞 2.12 Java-特性漏洞 2.13 NodeJs-特性漏洞 2.14 不一致性 0x03 代码审计篇(Audit) 3.1 PHP 3.2 JAVA 3.3 .NET 3.4 Perl CGI 0x04 渗透篇(Penetration) 4.1 网络预置 4.1.1 代理客户端(环境准备) 4.1.2 常规信息（单兵） 4.1.3 资产搜索引擎（大数据） 4.1.4 移动端信息收集 4.1.5 近源渗透（WiFi） 4.2 网络接入(exp) 4.2.1 漏洞验证（扫描器） 4.2.1.1 主动式 4.2.1.2 被动式 4.2.2漏洞利用(1day) 4.2.2.1 漏洞利用知识 4.2.2.2 漏洞利用工具 4.2.2.3 dnslog平台 4.2.3 字典 4.3 权限获取&提…

一些流行的即时通讯服务经常会缺乏某些自定义功能，为了解决这个问题，第三方开发者会开发出一些mod（修改或增强程序），来提供一些受欢迎的功能。但其中一些mod在提供增强功能的同时也会加入一些恶意软件。去年，卡巴斯基实验室的研究人员在WhatsApp的一个mod中发现了Triada木马。最近，他们又发现了一个嵌入间谍mod的Telegram mod，可通过Google Play传播。 WhatsApp现在的情况与此相同：研究人员发现几个之前无害的mod包含一个间谍mod，他们将该mod检测为Trojan-Spy.AndroidOS.CanesSpy。 间谍mod是如何运行的？ 研究人员将通过80d7f95b7231cc857b331a993184499d示例来说明间谍mod的工作过程。 木马化的客户端清单包含在原始WhatsApp客户端中找不到的可疑组件(服务和广播接收器)。广播接收器侦听来自系统和其他应用程序的广播，例如手机开始充电，收到的文本消息或下载程序完成下载；当接收方收到这样的消息时，它调用事件处理程序。在WhatsApp间谍mod中，当手机开机或开始充电时，接收方会运行一项服务，启动间谍mod。 可疑的应用组件 该服务查看恶意软件代码中的Application_DM常量，以选择受攻击设备将继续联系的命令与控制(C&C)服务器。 选择命令和控制服务器 当恶意植入启动时，它会沿着路径/api/v1/AllRequest向攻击运营商的服务器发送包含设备信息的POST请求。这些信息包括IMEI、电话号码、移动国家代码、移动网络…

网络犯罪分子在社会工程攻击中滥用 Windows Quick Assist 功能，在受害者的网络上部署 Black Basta 勒索软件负载。 微软至少从 2024 年 4 月中旬开始就一直在调查这一活动，他们观察到，威胁组织（追踪为 Storm-1811）在将其地址订阅到各种电子邮件订阅服务后，通过电子邮件轰炸目标开始了攻击。 一旦他们的邮箱充斥着未经请求的消息，威胁分子就会冒充 Microsoft 技术支持人员或受攻击公司的 IT 或服务台工作人员给他们打电话，以帮助修复垃圾邮件问题。 在这次语音网络钓鱼攻击中，攻击者通过启动 Quick Assist 内置远程控制和屏幕共享工具，诱骗受害者授予其 Windows 设备访问权限。 微软表示：“一旦用户允许访问和控制，威胁分子就会运行脚本化的 cURL 命令来下载一系列用于传递恶意负载的批处理文件或 ZIP 文件。”在一些情况下，微软威胁情报发现此类活动会导致下载 Qakbot、ScreenConnect 和 NetSupport Manager 等 RMM 工具以及 Cobalt Strike。 安装恶意工具并结束通话后，Storm-1811 会执行域枚举，在受害者网络中横向移动，并使用 Windows PsExec telnet 替换工具部署 Black Basta 勒索软件。 Quick Assist 屏幕共享提示 网络安全公司 Rapid7 也发现了这些攻击，该公司表示，恶意分子将使用“批处理脚本，使用 PowerShell 从命令行获取受害者的凭据”。“凭据是在要求用户登录…

一种名为“CRON#TRAP”的新网络钓鱼活动通过 Linux 虚拟机感染 Windows，该虚拟机包含内置后门，可以秘密访问公司网络。 使用虚拟机进行攻击并不是什么新鲜事，勒索软件团伙和加密货币挖矿者利用虚拟机来秘密执行恶意活动。然而，威胁者通常在破坏网络后手动安装这些软件。 Securonix 研究人员发现的一项新活动是使用网络钓鱼电子邮件执行无人值守的 Linux 虚拟机安装，以破坏企业网络并获得持久性。 网络钓鱼电子邮件伪装成“OneAmerica 调查”，其中包含一个 285MB 的大型 ZIP 存档，用于安装预装后门的 Linux 虚拟机。 该 ZIP 文件包含一个名为“OneAmerica Survey.lnk”的 Windows 快捷方式和一个包含 QEMU 虚拟机应用程序的“data”文件夹，其中主要可执行文件伪装为 fontdiag.exe。 启动快捷方式时，它会执行 PowerShell 命令将下载的存档解压到“%UserProfile%\datax”文件夹，然后启动“start.bat”以在设备上设置并启动自定义 QEMU Linux 虚拟机。 Start.bat批处理文件安装QEMU Linux虚拟机 安装虚拟机时，同一个批处理文件将显示从远程站点下载的 PNG 文件，该文件显示虚假服务器错误作为诱饵，这意味着调查链接已损坏。 显示假错误的图像 名为“PivotBox”的定制 TinyCore Linux VM 预装了一个后门，可保护持久的 C2 通信，允许攻击者在后台进行操作。 由于 QEMU 是一个经过…

WhatsApp for Windows 最新版本中存在一个安全问题，允许发送 Python 和 PHP 附件，当收件人打开这些附件时，这些附件会在没有任何警告的情况下执行。要成功攻击，需要安装 Python，这一先决条件可能会将目标限制在软件开发人员、研究人员和高级用户。 该问题与 4 月份影响 Windows 版 Telegram 的问题类似，该问题最初被拒绝但后来得到修复，攻击者可以在通过消息传递客户端发送 Python .pyzw 文件时绕过安全警告并执行远程代码执行。 WhatsApp 屏蔽了多种被认为对用户有风险的文件类型，但该公司不打算将 Python 脚本添加到列表中且PHP 文件 (.php) 也不包含在 WhatsApp 的阻止列表中。 Python、PHP 脚本未被阻止 安全研究员 Saumyajeet Das 在试验可以附加到 WhatsApp 对话中的文件类型时发现了此漏洞，以查看该应用程序是否允许任何有风险的文件。当发送潜在危险的文件（例如 .EXE）时，WhatsApp 会显示该文件并为收件人提供两个选项：打开或另存为。 WhatsApp 的可执行文件选项 但是，当尝试打开文件时，WhatsApp for Windows 会生成错误，用户只能选择将文件保存到磁盘并从那里启动它。在测试中，使用 WhatsApp for Windows 客户端时，此行为与 .EXE、.COM、.SCR、.BAT 和 Perl 文件类型一致。Das 发现 WhatsApp 还会阻止 .DLL、.HTA 和 VBS 的执行。 对于…

犯罪分子使用生成式AI工具发起商业邮件攻击。 生成式AI用于BEC攻击 随着ChatGPT等人工智能技术的进步，为商业邮件泄露攻击印日新的攻击向量。ChatGPT是一个复杂的人工智能模型，可以根据用户输入生成类似人类的文本。目前也有犯罪分子利用ChatGPT类技术自从生成高度可信的伪造邮件给受害者，增加攻击的成功性。 图 发送BEC的黑客指南 近日，在某犯罪论坛出现了上图所示的讨论帖。其中展示了利用生成式人工智能技术应用于钓鱼攻击或BEC攻击的可行性。帖子建议邮件使用受害者的本地语言、翻译、然后再反馈给ChatGPT这样的接口以增强其复杂性和形式化。该方法表明攻击者即使不熟悉受害者的语言，也可以进行钓鱼或BEC攻击。 图 黑客论坛 黑客论坛还有关于ChatGPT类接口越狱的讨论，即通过精心伪造的输入来操作ChatGPT类应用接口生成泄露敏感信息、不适当内容、有甚至有害的代码的输出。 图 WormGPT 恶意攻击者创建了类似ChatGPT的定制模块，还进行广告展示。人工智能时代恶意活动的复杂性和适应能力不断增加，使得网络安全变得越来越具有挑战性。 WormGPT WormGPT是一款基于GPTJ语言模型的人工智能模块，具备很多的功能，包括无限制字符支持、代码格式能力。 图 WormGPT示例 WormGPT称在不同的数据源上进行了训练，尤其是很多恶意软件相关的数据。而训练过程中使用的数据集仍然是未公开的。 图 WormGPT数据源 研究人员利用WormGPT该工具进行实验，生成了一封欺骗账户管理员支付欺诈账单发票的邮件。 …

漏洞概述 WPS Office程序promecefpluginhost.exe存在不当路径验证问题，允许攻击者在Windows上加载任意Windows库文件。该漏洞已被APT-C-60攻击者利用，当用户打开MHTML格式的文档时，只需单击一个恶意制作的超链接，即可执行攻击者指定的恶意库文件，实现远程代码执行。 影响范围 WPS Office版本12.2.0.13110-12.2.0.16412 复现环境 操作系统：Win10 10.0.18363.592 WPS Office版本：WPS Office 12.2.0.13110 分析过程 WPS程序安装后注册了一个名为 ksoqing 的自定义URL协议，注册表路径为：计算机\HKEY_CLASSES_ROOT\ksoqing\shell\open\command，其内容为"C:\Users\【用户名】\AppData\Local\Kingsoft\WPS Office\12.2.0.13110\office6\wps.exe" /qingbangong "%1"。即访问以ksoqing 开头的URL协议时，将启动wps.exe程序，并传递/qingbangong参数，%1则被替换为以ksoqing 开头的协议链接，一并作为wps启动的参数。 此时wps.exe程序解析参数/qingbangong，并将ksoqing链接内容一并发送到 C:\Users\【用户名】\AppData\Local\Kingsoft\WPS Office\12.2.0.13110\…

知名智能家居品牌 Wyze 承认，由于系统故障，导致约 13000 名用户在查看自家监控录像时，意外看到了其他用户的图像或视频片段。 该公司将事故原因归咎于合作伙伴 AWS上。 “当我们努力使摄像机恢复在线状态时，遇到了安全问题。一些用户说在他们的“事件”选项卡中看到了错误的缩略图和视频。我们立即删除了对“事件”选项卡的访问权限并开始调查。” Wyze 表示，出现这种情况是因为需求突然增加，导致设备 ID 和用户 ID 映射混合，致使某些数据与用户帐户错误连接。因此，客户在点击 Wyze 应用程序的“事件”选项卡中的相机缩略图后，看到其他人的视频源缩略图，在某些情况下甚至看到了视频片段。 目前，Wyze 尚未透露在该事件中视频监控被曝光的用户确切数量。 该公司现在将为用户添加额外的验证层，以确保将来不会再发生此类问题。此外，还调整了系统，以避免在用户设备关系检查期间进行缓存。

网络安全专家发现了一种名为“XFiles Stealer”的新型恶意软件，该恶意软件瞄准 Windows 用户窃取密码和其他敏感信息。 网络安全研究机构 MonThreat 通过其 X 官方频道公布了这一发现。 XFiles Stealer 新版本发布 XFiles Stealer 以 C 编程语言编写，已在暗网论坛上发布，并附带更新。Xfiles 可在 Windows 7 至 Windows 11 的机器上运行。它收集浏览器数据、cookie、密码、自动填充、信用卡等…… 根据分析，这种复杂的恶意软件对个人用户和企业组织都构成威胁。 X-Files Stealer 旨在通过各种媒介渗透 Windows 系统，包括网络钓鱼电子邮件、恶意下载和受感染的网站。 一旦安装，恶意软件就会秘密运行，逃避传统防病毒软件的检测。 它主要用于提取存储在网络浏览器、电子邮件客户端和其他应用程序中的密码。 被盗数据随后被传输到网络犯罪分子控制的远程服务器，网络犯罪分子可以利用这些数据进行身份盗窃、金融欺诈和其他恶意活动。 MonThreat 的分析表明，XFiles Stealer 采用了代码混淆和加密等先进技术来逃避检测。 鉴于 XFiles Stealer 的复杂性，网络安全专家建议应采取多种措施来防范此类威胁和类似的威胁。 ·首先，用户应确保其操作系统和软件已安装最新的安全补丁。 ·此外，采用具有实时保护功能的强大防病毒解决方案可以帮助检测并阻止恶意软件造成危害。 ·最后，建议用户在打开来自未知发件人的电子邮件或从不受信任的来源下载文件时要小心谨慎。 …

链链动未来·技术前瞻 自动化，隐私保护，供应链安全，多云安全，深度学习的应用！ ——腾讯云鼎实验室 高级安全研究员 蒋浩天、王昊宇 随着Golang在后端开发中的地位逐渐上升，其高并发和多协程支持的优质特性让其成为了主流的后端开发语言。然而，随之而来的是对于安全性的更高要求。为了满足这一需求，安全研究人员开始关注如何对基于Golang的后端服务进行安全加固和漏洞防御。在这个背景下，Hook技术变得不可或缺。 Hook技术允许开发者通过修改或拦截代码的执行流程，实现对程序行为的监控和控制。虽然可以对系统库或系统调用进行Hook，但这无法获得Golang内部更为详细的数据信息，尤其是有关程序上下文和执行流的信息。因此，为了实现更高级别的监控和防御，我们需要深入到Golang内部进行Hook操作。 在实践中，Hook技术也时刻面临着挑战。这些挑战涉及稳定性、兼容性、性能问题等多个层面，由于Golang的特殊性，Hook技术在其上的应用更为复杂，又因为Golang的并发模型、内存管理等方面与其他语言存在差异，也使得Hook变得更具难度。 为何在Golang中开发一个真正意义上的稳定的Hook框架如此困难？这其中的难点在哪里？现有的Hook框架存在哪些问题？Golang有哪些独特之处？在Hook的过程中又存在哪些不稳定因素？ 为了解决这些问题，本届XCon2023大会上，来自腾讯云鼎实验室的高级安全研究员 蒋浩天、王昊宇将带来议题《Golang安全：探索安全稳定的Hook方法》的分享，带领我们深入剖析Golang语言的特殊性，研究如何在Go…

链动未来·技术前瞻 未来3-5年，随着卫星互联网技术的蓬勃发展，太空网络、天基系统、天地一体化等科技体系将逐渐清晰完善，对这些网络系统的安全防护也将变得尤为重要。伴随着天基技术应用演变积累了丰富经验且精通攻防对抗的技术专家们将为此安全领域发挥更大的价值！ ——腾讯安全天马实验室 负责人 杨卿 根据UCS卫星数据库于2022年5月1日更新的数据显示，目前全球在轨卫星数量达到5465颗，其中美国拥有的在轨卫星数量最多，达到3433颗，而中国的卫星运行数量也已达到541颗，远超俄罗斯，位居全球第二！ “十三五”时期，我国“天地一体化信息网络”重大工程启动实施，天基信息系统也逐步开始建设。该系统是一种基于卫星技术的信息传输系统，由于其具有传输速度快、传输距离远、容量大、安全性高等特点，现已成为当前信息技术革命和数字化发展的重要手段之一。 作为现代科技的杰出研究成果，基于天基网络的卫星应用技术已在导航、通信、广播、医疗、金融、能源、物流、海事、航空、航天、勘测及气象等关键科技领域发挥重要作用，然而，这个充满无限潜力的技术也正因其应用领域的特殊性与重要性备受攻击者的青睐，由此让天基网络安全的重要性愈发凸显。 从卫星应用系统、终端硬件、通信协议，到测控链路等各个环节，都时刻面临着各种攻击威胁。因此如何通过攻防对抗经验持续并未卜先知的发现高危漏洞，防患于未然是极其重要的。 本届XCon2023大会中，来自腾讯安全天马实验室的负责人杨卿将为我们带来议题《天基网络安全领域攻防对抗研究》的分享，从已发生及已披露的卫星网络安全事件为始，逐步展开剖析天基网络体系下…

链动未来·技术前瞻 安全能力与信任根下移，实现软硬结合，软硬一体。软件成分物料实现可追踪与可感知、可分析，作为软件交付清单的基础部分。两者结合，实现全链路可信。 ——京东集团首席安全研究员 京东安全实验室负责人 Flanker（何淇丹） 随着数字化时代的到来，软件供应链的安全性与完整性愈发凸显，面对不断增长的供应链安全威胁，传统的安全模型已难以胜任。在这一背景下，Google提出的SLSA框架（Supply-chain Levels for Software Artifact）应运而生，成为一种革新性的软件构建和分发模型，为从软件开发到部署的供应链安全问题提供了系统性的解决方案。 SLSA框架旨在确保软件供应链的完整性与可信性，它将整个供应链划分为不同的环节，从源码、构建到发布，分为1至4级的可证明元结构数据生成、校验与准入环节。这些环节的严密管理与监控，旨在确保最终制品软件不受篡改，同时满足严格的安全要求。然而，SLSA框架的应用远不止于此，它赋予了我们拓展狭义上的组件安全与制品安全的能力，并将安全的范围扩展到基础软件系统、移动应用与设备、云原生体系等多个领域，从而实现了广义可信供应链安全的目标。 本届XCon2023大会中，来自京东集团的首席安全研究员，京东安全实验室负责人何淇丹（Flanker）将带来《依托于SLSA框架的广义可信供应链安全建设实践》的分享，从多个维度深入介绍SLSA框架的理论基础和架构实现，并分享在广义可信供应链安全落地实践中所遇到的各种挑战，以及如何改进SLSA框架以适应更加复杂的业务环境。 议题简介 《依托于S…

链动未来·技术前瞻 未来5年，物联网领域的技术趋势预测： 1、物联网设备的数量和多样性的增长，将导致更多的安全威胁和攻击面； 2、物联网设备的智能化和自主化，将导致更多的数据和计算能力分布在边缘和雾层； 3、物联网设备的跨领域和跨平台的集成，将导致更多的协作和互操作性的需求； 4、物联网设备的安全评估和认证，将导致更多的标准和规范的制定和遵守； 5、物联网设备的安全防护和恢复，将导致更多的技术和方法的创新和应用。 ——山石网科通信技术股份有限公司 安全技术研究院安全研究员 王正涵 VxWorks 操作系统是美国WindRiver公司于1983年设计开发的一种嵌入式实时操作系统（RTOS），是嵌入式开发环境的关键组成部分。凭借良好的持续发展能力、高性能的内核以及友好的用户开发环境，Vxworks在嵌入式实时操作系统领域占据一席之地。 “高可靠性”和“强实时性”，使得VxWorks广泛地应用于通信、军事、航空、航天等高精尖技术及实时性要求极高的领域中，如卫星通讯、军事演习、弹道制导、飞机导航等，也因为应用领域的特殊性与关键性，VxWorks的系统安全一直备受技术人员的关注。 2019年该系统就曾被爆出存在多个高危漏洞，面临严重的RCE攻击风险。研究者称“漏洞会导致内存损坏，并造成远程代码执行”。随后系统方对漏洞进行了更新修复，但由于VxWorks系统设备的固件通常是无符号的静态编译的二进制文件，缺乏符号信息和调试信息，也导致系统的固件分析和漏洞挖掘持续面临着巨大挑战。 本届XCon2023大会中，来自山石网科通信技术股份有限公司安全技术研…

循万变·见未来——技术前瞻 未来，静态代码分析领域发展趋势将呈现五大特征： 特征一：关注度提升 随着该领域技术的日益普及和需求的不断上升，在未来，该领域将会受到更多技术和市场的关注。 特征二：全面的代码质量评估 随着分析技术的提高，静态代码分析工具或将超越基本的语法和安全性检查，可提供包括代码风格、可维护性、性能等多方面的综合评估，并且安全性将会进一步被重视，静态代码分析在识别和预防安全漏洞方面的作用将变得更加显著，通过与持续集成/持续交付（CI/CD）流程的对接和IDE的支持等,成为软件开发中不可或缺的一环。 特征三：遵从性与合规性支持 工具将更加注重帮助企业满足行业标准和法规要求，减少合规风险，特别是在部分高度规范的行业中。 特征四：定制化解决方案与开源生态 用户对于定制化静态代码分析规则的需求将持续增长，同时开源工具因其灵活性和成本效益而受到更多开发者的青睐，并促进形成更加活跃的社区和生态系统。 特征五：智能化分析工具 人工智能和机器学习技术的发展或将被应用于静态代码分析，以提供更为深入和精准的代码审查。 ——四维创智（成都）科技发展有限公司 高级研发工程师 王磊 在静态代码分析领域，传统的审计工具往往受限于底层结构的不一致性和数据流分析的复杂性，导致跨语言审计和代码查询规则编写面临重重挑战。本议题旨在介绍YakLang.io团队在解决这些难题上取得的突破性成果，特别是YakSSA和SyntaxFlow两项创新技术。 YakSSA，一种为代码审计量身定制的静态单一赋值（SSA）格式中间表示（IR），解决了传统工具在OOP语言和闭包…

据 SentinelOne 的网络安全专家称，一种名为 XLoader 的苹果 macOS 恶意软件的新变种目前已经出现，它会伪装成一个名为 "OfficeNote "的办公自动化应用程序进行攻击。 研究人员迪内希-德瓦多斯（Dinesh Devadoss）和菲尔-斯托克斯（Phil Stokes）在周一发布的一份分析报告中透露，这个新形式的 XLoader 被打包在一个名为 OfficeNote.dmg 的普通苹果磁盘镜像中。并且该应用程序还带有开发者的签名 "MAIT JAKHU (54YDV8NU9C)"。 XLoader 最初被发现于 2020 年，当时被归类为信息窃取程序和键盘记录程序，以恶意软件即服务（MaaS）模式运行。 它模仿了 Formbook 的攻击方式。虽然 XLoader 的 macOS 变种于 2021 年 7 月才出现，当时是以编译的.JAR 文件的 Java 程序形式发布，但其正常的运行受到现代 macOS 安装中 Java 运行时环境缺失的限制。 为了规避这一限制，最新版本的 XLoader 使用了 C 和 Objective C 等编程语言。携带该恶意软件的磁盘镜像文件是在 2023 年 7 月 17 日签署的，苹果公司后来撤销了这一签名。 SentinelOne 报告称，2023 年 7 月在 VirusTotal 上发现了该恶意软件的多个实例，表明这是一个影响范围很大的攻击活动。研究人员还注意到，该恶意软件在犯罪论坛上打出了出租广告，macOS 版本的售价为每月 199 美元或三个月 299 美元。 …

基于AI+场景的数据风险异常监测与防护 江苏保旺达软件技术有限公司CTO 卢陵鹄 随着数字技术的发展和安全攻击技术发展，传统的数据安全防护手段无法解决海量数据识别和防护、加密流量识别检测等问题。本议题在数据分解分类、加密流量识别检测等具体数据安全场景下，通过采用AI相关算法和模型，有效提升数据识别、检测的识别率、准确率和自动化程度，并给出实际运行案例，有效推动了AI技术在实际安全场景的落地。 【演讲者介绍】 江苏保旺达软件技术有限公司CTO，长期专注于网络信息安全、数据安全、安全攻防对抗、安全架构设计和隐私计算领域的产品研发，具有十五年以上网络安防产品研发经验,负责或参与多项各级科研课题或项目，主持或参与多项各类标准的制定，申请多项网络安全发明专利。 云原生供应链安全的实践和挑战 北京小佑网络科技有限公司 技术总监 白黎明 云原生供应链安全是指在云原生环境中保护软件的整个生命周期，从开发、构建、部署到运行阶段。云原生供应链安全的目标是确保软件的完整性、可信度和可追溯性，防止恶意代码或配置的注入和篡改。近年来，随着云原生技术的广泛采用和创新，云原生供应链安全也面临着越来越多的挑战和威胁，需要采取有效的措施来应对。因此，云原生供应链安全已经成为了一个热门和重要的话题，需要开发者、运维人员和安全人员共同关注和努力。 本次演讲将介绍云原生供应链安全的基本概念、原则和最佳实践，分析云原生供应链安全的主要威胁和挑战，以及如何应对，展示云原生供应链安全相关的开源项目，以及如何利用它们来提升云原生供应链安全能力和水平，展望云原生供应链安全的未…

数字银行可信策略体系实践 蚂蚁集团网商银行 安全工程师 柳星 数字银行最关键的资产是数据，而数据泄漏风险长期、客观存在，为此，我们沉淀一套应对数据类风险的可信纵深检测方案，可信检测是指通过刻画预期内正常行为识别出异常，纵深检测是指设立公网、办公网、生产网防区对攻击行为做层层阻击。经过安全运营和实战检验，在平衡检出和误报的前提下，可以高效检出绝大多数已知和未知数据盗取攻击手法。 【演讲者&团队介绍】 柳星（404notfound），2020年硕士毕业于西安电子科技大学，加入蚂蚁集团网商银行信息安全部，从事威胁对抗工作，曾在成都网络安全大会CCS2021、网络安全创新大会CIS2022等会议上分享数据驱动安全相关研究成果。致力于分享原创高质量干货，包括但不限于：安全、数据、算法、思考。 网商银行信息安全部于2019年3月成立，团队以防范业务归零风险及增强业务竞争力为目标。部门使命是守护网商银行用户信息和数字资产安全，助力科技金融业务发展。部门愿景是让网商银行成为全球最安全可信的银行，引领金融行业安全。 改变游戏规则的动态防御技术 北京卫达信息技术有限公司CEO 张长河 分别在终端、网络、应用、平台不同层面部署安全设备，形成一体化防御方案。该方案可以实现整体防御，终端、网络、应用全覆盖。不需要人工参与高效处置，支持攻防演练等特点，能够保证护网无忧。 【演讲者介绍】 卫达信息创始人张长河教授，曾在中国人民解放军信息工程大学网络攻防实验室从事网络攻防教学科研工作，依托出色的网络攻防能力，荣获国家科技进步二等奖、全军科技进步一等奖，2…

zklend 官方承认遭到黑客攻击，威胁者利用智能合约中 mint() 函数的舍入错误漏洞盗取了 3600 个以太币，价值约 950 万美元。 zkLend 是一个建立在 Starknet 上的去中心化货币市场协议，Starknet 是以太坊的二层扩容解决方案，它使用户能够存入、借入和贷出各种资产。据了解，攻击者将“lending_accumulator”操纵为非常大的数值 4.069297906051644020，然后利用 ztoken mint() 和 withdraw() 过程中的舍入误差，反复存入 4.069297906051644021 wstETH，每次获得 2 个 wei，再取出 4.069297906051644020×1.5 - 1 = 6.103946859077466029 wstETH，每次仅花费 1 个 wei。 开发 Starknet 网络的 Starkware 确认，该漏洞并非 Starknet 技术本身的问题，而是某个应用程序特有的错误。 据 Cyvers 称，威胁者试图通过 RailGun 隐私协议清洗加密货币，但因协议政策而被阻止。 zkLend现已向黑客发出消息，称如果他们归还被盗以太坊的90%资金到以太坊地址：0xCf31e1b97790afD681723fA1398c5eAd9f69B98C，即3300 ETH后，他们可以保留另外10%的资金作为白帽赏金，并且不会对攻击承担任何责任。 目前zkLend 正在与安全公司和执法部门合作。如果在2025年2月14日前没有收到威胁分子的消息，该公司将继续采…

Zyxel 发现不良的安全签名更新正在引起USG Flex或ATP系列防火墙的关键错误，包括将设备放入启动循环中。 Zyxel 表示，这些问题是由于其网络安全功能的应用程序签名更新失败造成的。收到错误更新的设备现在的问题包括： ·设备错误：CLI 命令错误、设备超时或设备注销。 ·无法通过 Web GUI 登录 ATP/USG FLEX：504 网关超时。 ·CPU 使用率高。 ·在“监控”>“日志”中，出现消息“ZySH daemon is busy”。 ·无法在控制台上输入任何命令。 ·Coredump 消息出现在控制台上。 Zyxel 表示，只有具有有效安全许可证的 USG FLEX 或 ATP 系列（ZLD 固件版本）防火墙受到影响，Nebula平台或USG FLEX H（uOS）系列设备不受影响。解决该问题的唯一方法是物理访问防火墙并通过 RS232 串行电缆连接到控制台。 错误更新后 Zyxel 上显示错误 管理员现在需要进行一系列步骤来恢复防火墙，包括备份配置，下载和应用特殊固件，然后通过Web GUI连接以恢复后面的配置文件。 随后，Zyxel 分享了详细的步骤，并强烈建议用户在尝试恢复设备之前对其进行审查。