蓝队取证审计网络安全

循万变·见未来——技术前瞻 未来，静态代码分析领域发展趋势将呈现五大特征： 特征一：关注度提升 随着该领域技术的日益普及和需求的不断上升，在未来，该领域将会受到更多技术和市场的关注。 特征二：全面的代码质量评估 随着分析技术的提高，静态代码分析工具或将超越基本的语法和安全性检查，可提供包括代码风格、可维护性、性能等多方面的综合评估，并且安全性将会进一步被重视，静态代码分析在识别和预防安全漏洞方面的作用将变得更加显著，通过与持续集成/持续交付（CI/CD）流程的对接和IDE的支持等,成为软件开发中不可或缺的一环。 特征三：遵从性与合规性支持 工具将更加注重帮助企业满足行业标准和法规要求，减少合规风险，特别是在部分高度规范的行业中。 特征四：定制化解决方案与开源生态 用户对于定制化静态代码分析规则的需求将持续增长，同时开源工具因其灵活性和成本效益而受到更多开发者的青睐，并促进形成更加活跃的社区和生态系统。 特征五：智能化分析工具 人工智能和机器学习技术的发展或将被应用于静态代码分析，以提供更为深入和精准的代码审查。 ——四维创智（成都）科技发展有限公司 高级研发工程师 王磊 在静态代码分析领域，传统的审计工具往往受限于底层结构的不一致性和数据流分析的复杂性，导致跨语言审计和代码查询规则编写面临重重挑战。本议题旨在介绍YakLang.io团队在解决这些难题上取得的突破性成果，特别是YakSSA和SyntaxFlow两项创新技术。 YakSSA，一种为代码审计量身定制的静态单一赋值（SSA）格式中间表示（IR），解决了传统工具在OOP语言和闭包…

密码重复使用似乎是很多人的常用做法，但这种行为却会对企业的网络安全产生深远影响。当用户在多个账户中重用密码时，这便为黑客进行破坏创造了一个黄金机会。 企业可能有自己强有力的密码策略，但如果重用密码广泛，可能会造成一种错误的安全感。 密码重用如何造成破坏 假设每一个终端用户都被提示创建一个由随机字母组成的多个字符的密码短语，那甚至可以对照最常用的密码列表进行检查。从表面上看活动目录的密码安全性很强，但当用户在不太安全的个人设备、网站或应用程序上重用这个密码时，危机就开始了。 黑客可能会在安全性差的情况下侵入网站的数据库，并访问每个用户的密码。从那里，他们可以试图找出个人在哪里就业，并查阅他们的工作帐户。攻击者还可以通过网络钓鱼等社会工程攻击个人来获得证书。 在密码被泄露的情况下，黑客们使用自动化的工具系统地在各种网站和应用程序中，包括那些与目标工作地点相关的网站和应用程序，测试被盗的用户名和密码组合。这使企业电子邮件帐户、内部系统、文件存储库，甚至行政权限均处于危险之中。 一旦进入网络，攻击者可以横向移动探索不同的系统，并升级他们的特权。攻击者可以访问敏感数据，破坏其他帐户、安装恶意软件，或在网络中发起进一步攻击。他们可以过滤敏感数据、操纵或删除信息、破坏业务，或扣留数据作为勒索筹码。 为什么人们会重复使用密码 密码重用主要是为了方便。用户倾向于选择易于记住的密码，并经常在多个账户中循环使用，以避免管理众多复杂密码的麻烦。 当我们考虑到用户在记住和管理多个密码方面的负担增加时，密码重用的出现并不奇怪。人们被他们需要管理的帐户和密码的数量所淹…

黑客利用 Popup Builder 插件过时版本中的漏洞入侵了 WordPress 网站后，用恶意代码感染了 3300 多个网站。 攻击中利用的缺陷被追踪为 CVE-2023-6000，这是一个影响 Popup Builder 版本 4.2.3 及更早版本的跨站点脚本 (XSS) 漏洞，最初于 2023 年 11 月披露。 今年年初发现的 Balada Injector 活动利用该特定漏洞感染了 6700 多个网站，许多网站管理员都没能足够快地修补补丁。 有报告发现在上个月一个针对 WordPress 插件上的相同漏洞活动显著增加。 根据 PublicWWW 的结果，在3329 个 WordPress 网站中发现了与这一最新活动相关的代码注入 ，Sucuri 自己的扫描仪检测到了 1170 个感染。 注射细节 这些攻击会感染 WordPress 管理界面的自定义 JavaScript 或自定义 CSS 部分，而恶意代码则存储在“wp_postmeta”数据库表中。 注入代码的主要功能是充当各种 Popup Builder 插件事件的事件处理程序，例如“sgpb-ShouldOpen”、“sgpb-ShouldClose”、“sgpb-WillOpen”、“sgpbDidOpen”、“sgpbWillClose”和“ sgpb-DidClose”。 恶意代码会在插件的特定操作时执行，例如当弹出窗口打开或关闭时。 Sucuri 表示，代码的具体操作可能有所不同，但注入的主要目的是将受感染网站的访问者重定向到恶意目的地，例如网络钓鱼页面和恶意…

近日，美国国家安全局（NSA）和网络安全与基础设施安全局（CISA）联合发布了一份网络安全咨询报告，以强调大型组织中最常见的网络安全配置错误，并详细介绍了威胁行为者滥用这些错误配置的战术、技术和程序（TTPs）。 通过NSA和CISA红蓝团队的评估，以及NSA和CISA捕获和事件响应团队的活动，这些机构确定了以下10个最常见的网络安全配置错误： 1. 软件和应用程序的默认配置； 2. 用户/管理员权限的不当分离； 3. 内部网络监控不足； 4. 缺乏网络分段； 5. 补丁管理不善； 6. 系统访问控制的绕过； 7. 弱或误配置的多因素认证（MFA）方法； 8. 不充分的网络共享和服务的访问控制列表（ACLs）； 9. 糟糕的凭证卫生； 10. 无限制的代码执行。 这些配置错误说明了许多大型组织——包括那些具有成熟网络态势的组织的系统性漏洞和攻击风险，凸显了软件开发商采用“设计即安全”（secure-by-design）原则的重要性和紧迫性。 以下是每项配置错误以及威胁行为者用于滥用这些错误配置的战术、技术和程序（TTPs）的详细介绍。 1. 软件和应用程序的默认配置 系统、服务和应用程序的默认配置可能允许未经授权的访问或其他恶意活动。常见的默认配置包括： （1）默认凭据； （2）默认业务权限和配置设置； 默认凭证 许多软件开发商发布的商用现货（COTS）网络设备（通过应用程序或web门户提供用户访问）包含内置管理帐户的预定义默认凭据。恶意行为者和评估团队经常通过以下方式滥用默认凭证： （1）通过简单的网络搜索查找凭证，并使用它们获得对设备…

与今天的勒索软件攻击相比，世界上首起勒索软件攻击简直就是小菜一碟。 1989年，出席世界卫生组织（WHO）艾滋病会议的数千名与会者回到家中，结果在自家的邮箱软盘里发现了一份关于感染艾滋病毒可能性的调查问卷，但是他们没有发现任何问题。磁盘其实含有一个程序，用于加密计算机文件的名称。如果这些人想要恢复文件，被告知要向巴拿马的一个邮箱寄去189美元。 几年后，随着互联网兴起、社会向联网数字世界转变以及加密货币问世，勒索软件随之演变。 恶意分子组织起来，勒索软件即服务（RaaS）浮出水面，双重或三重勒索攻击成为常态。 因此，受害者的数量、被索要的金额以及攻击得逞的影响都在飙升。 NCC集团的全球威胁情报团队报告显示，2023年7月的勒索软件攻击多达502起，创下纪录，比2023年6月的434起攻击增加了16%，是2022年7月观察到的勒索软件攻击数量的两倍多。Malwarebytes的《2023年勒索软件状况》报告发现，勒索软件的总数也创下了纪录，一年内仅在美国、法国、德国和英国就发生了1900起攻击，其中美国几乎占了一半。 企业因勒索软件而遭受的损失也在增加。Cybersecurity Ventures预测，到2031年，勒索软件攻击将给受害者造成2650亿美元的损失——与2017年勒索软件受害者支付的50亿美元相比，增幅惊人。 而金钱损失只是勒索软件影响的一部分。除了成本外，组织还面临业务停机、声誉受损以及客户信任度下降等风险。此外，勒索软件具有下游效应，影响到最初攻击甚至没有针对的人员和系统。此外，即使攻击被公开披露，企业为抢救或恢复系统…

2023年8月21日，安全研究人员兼HackerOne顾问委员会成员Corben Leo在社交媒体上宣布，他侵入了一家汽车公司，随后发布了一则帖子，解释如何获得了数百个代码库的访问权限。 图1 Corben参加了由这家汽车制造商发起的漏洞悬赏计划。漏洞悬赏是众多行业一种非常普遍的做法，旨在奖励道德黑客发现问题并以负责任的方式报告问题，这种做法久经时间的考验，为许多公司带来了显著的效果。与此同时，有报道称与其他行业相比，汽车制造商支付的漏洞赏金往往少得多。 就本文这个案例而言，这家汽车公司给出了合理的奖励，Corben也有合理的动机去发现和报告这个可能引发危机的漏洞。Corben在帖子中阐述了其攻击方法。简而言之，通过反复试错，他找到了所谓的入站控制器，这其实是用于Kubernetes环境的负载均衡器，通过蛮力攻击，操纵主机报头，他发现了一个错误配置的Spring Boot Actuator（Sprint Boot框架的子项目），该Actuator使用HTTP端点来公开运行应用程序方面的操作信息，他发现的端点是' /env '和' /heapdump '端点。这时候凭据登场亮相了。 图2 ' /env '端点拥有经过适当编辑处理的密码，这意味着进入了死胡同，然而，' /heapdump'端点含有存储在内存中的应用程序对象的快照，暴露了明文格式的凭据。在搜索关键字仅仅几分钟后，他就找到了oauth2凭据，他利用这些凭据访问了一个之前发现的config-server实例；同样由于另一个错误配置的Spring Boot Actuator，他…

网络安全研究人员最近发现了一种新的 Python 恶意软件，该恶意软件以讲鞑靼语的用户为攻击目标，鞑靼语是一种土耳其母语，主要是由俄罗斯及其邻国的鞑靼人使用。基于 Cyble 的恶意软件设计使其可以捕获目标系统的屏幕截图，并通过 FTP（文件传输协议）将其传输到远程的服务器内。 FTP 协议则可以使文件和文件夹通过基于 TCP 的网络（如互联网）从一台主机（目标系统）传输到另一台主机。 该攻击活动背后的威胁行为者就是臭名昭著的 TA866，该组织曾以鞑靼语使用者为目标，并利用 Python 恶意软件开展攻击行动。 TA866如何利用python恶意软件 据CRIL 称，威胁行为者 TA866 使用新型 Python 恶意软件在鞑靼共和国日发动攻击，攻击一直到持续到了 8 月底。 有报告称，一个名为 TA866 的威胁攻击者使用了PowerShell 脚本进行截图并将其上传到了远程 FTP 服务器。 威胁攻击者使用钓鱼电子邮件发送 Python 恶意软件对受害者进行攻击，这些邮件中都包含了一个恶意的 RAR 文件。 该文件包括了两个文件：一个视频文件和一个基于 Python 的可执行文件。 ·当加载程序执行后，就会启动一系列的攻击事件。它会从 Dropbox 下载一个压缩文件，其中包含两个 PowerShell 脚本和一个附加的可执行文件。 ·这些脚本使得创建使用恶意可执行文件运行的计划活动变得更加容易。据 Proofpoint 称，该威胁攻击者的金融攻击行动被命名为 "Screentime "。 TA866 威胁攻击者及其定制黑客工具…

最近，T-Mobile 应用程序的一个漏洞使得消费者面临严重的数据泄露风险，这是一个令人感到非常不安的通告。这个安全漏洞可以让攻击者获得其他用户的信用卡号和地址等敏感信息以及用户个人账户。这一事件也引发了人们对该公司是否在致力于保护用户数据的担忧。 据报道，2023 年 9 月 20 日，研究员发现了该漏洞的存在。该应用程序允许未经授权的人检查 T-Mobile客户的各种个人数据。除了姓名和联系方式外，其中还包括了信用卡号码等极其隐私的信息，这将会使得消费者面临资金损失的风险。 T-Mobile 公司很快对这一事件做出了回应。公司发言人表示，我们非常重视客户的安全和隐私。一旦发现了这个漏洞，我们的技术团队就立即在努力解决和修正这个故障。他们向用户保证，目前已立即采取措施来缓解漏洞所造成的影响。 安全专家目前已经强调了该事态的紧迫性。网络安全分析师布莱恩-汤普森（Brian Thompson）强调说："这一事件也凸显了强大的网络安全协议的重要性，尤其是对于处理敏感用户数据的公司而言。像 T-Mobile 这样的企业必须对其系统安全保持警惕，防止此类漏洞再次发生。 该漏洞不仅使用户的信息安全面临更大的风险，而且还引发了对 T-Mobile 数据保护措施的质疑。用户非常信任他们的网络服务提供商，将大量个人信息交给他们，而类似事件会削弱客户的这种信任。 T-Mobile 已建议用户将其应用程序更新到最新版本，这其中包含了修复该故障的必要补丁。此外，T-Mobile 还鼓励用户监控账户中的任何异常活动并及时进行报告。 这一事件严酷地提醒我们，在数…

在过去的几个月里，Check Point Research一直在追踪分析“STAYIN’ ALIVE ”，这是一项至少从2021年就开始活跃的持续活动。该活动在亚洲开展，主要针对电信行业和政府机构。 “Stayin’Alive”活动主要由下载和加载程序组成，其中一些被用作针对知名亚洲组织的初始攻击载体。发现的第一个下载程序名为CurKeep，目标是越南、乌兹别克斯坦和哈萨克斯坦。 观察到的工具的简单化性质以及它们的流行表明它们是一次性的，主要用于下载和运行额外的有效负载，这些工具与任何已知攻击者创建的产品没有明显的代码重叠，并且彼此之间没有太多共同之处。然而，它们都与ToddyCat基础设施有关。 该活动利用鱼叉式网络钓鱼邮件利用DLL侧加载方案来传播压缩文件，最明显的是劫持Audinate的Dante Discovery软件(CVE-2022-23748)中的dal_keepalives.dll。 “STAYIN’ ALIVE ”活动背后的攻击者利用多个独特的加载程序和下载器，所有这些加载程序和下载器都连接到同一套基础设施，与一个通常被称为“ToddyCat”的攻击相关联。 后门和加载程序的功能是非常基本和高度可变的。这表明攻击者将它们视为一次性的，并且可能主要使用它们来获得初始访问权限。 CurKeep后门 调查是从2022年9月发送给越南电信公司的一封电子邮件开始的，该电子邮件被上传到VirusTotal。邮件主题CHỈ THỊ VỀ VIỆC QUY ĐỊNH QUẢN LÝ VÀ SỬ DỤNG USER，翻译为“管理和使用说明…

据9月27日报道，一家专门从事人工智能（AI）产品的公司 OpenAI 创建了一个聊天机器人，它可以浏览网络并将最新信息纳入答复。 据OpenAI公司称，该聊天机器人已经可以在互联网上浏览最新的信息，此前，它只能通过人工智能的帮助，利用截至到 2021 年 9 月的数据去进行学习。现在利用此举，一些高级用户可以向聊天机器人询问时事问题、查看新闻。 OpenAI 在公告中也表示，该功能将很快向非高级用户开放，但并未具体说明这是否意味着没有高级订阅的用户也能使用 GPT-4，或是说 GPT 3.5 订阅用户也能使用该功能。 过去，这一人工智能系统是根据 2021 年 9 月以前的数据进行训练的，不久之后，OpenAI 打算将这项服务扩展到包括非付费用户在内的所有用户，让每个人都能利用这项服务。据OpenAI称，ChatGPT现在配备了浏览功能，允许用户执行技术研究、做假期计划或选择需要最新信息等任务。 作为浏览功能的一部分，ChatGPT还创建了一个可安装在 Chrome 浏览器上的扩展，其名为 "Browser with Bing"。有趣的是，ChatGPT 迄今最大的竞争对手——谷歌的 Bard 也推出了一个扩展，允许免费使用必应浏览网页。 ChatGPT Plus 和企业版用户可以使用该功能，用户也可以通过进入应用内的 "设置"，选择 "新功能" 选项，然后从选项列表中选择 "使用必应扩展浏览" 来使用该功能。 这让 ChatGPT 的许多用户欣喜，因为他们希望用最新的信息来使用 ChatGPT 的功能。 必应 iOS 和 Andr…

背景 虽然整体上大家做分类分级的背景以及目标基本一致：满足监管要求；为数据合规和安全体系建设打好基础。但是实施落地的过程不尽相同，每个客户所处的行业不同，所要遵循的分类分级标准不同，同时每个客户的数据也是截然不同，定制化需求是普遍存在。 当前一些业务模式相对简单的公司，使用excel的方式人工进行数据分类分级；规模更大业务更复杂的公司自研或采购第三方数据分类分级产品或服务。市场上大部分供应商采取产品+服务的方式服务客户，其中产品敏感识别能力较弱更多以运营功能为主，敏感数据识别更多的以人力服务的方式帮助客户进行梳理，虽然能满足监管要求，但是存在以下公认的问题： · 无法做到持续运营，交付的产物是基于当时的数据情况，后续新增数据要么需要人介入重新进行梳理，要么无法保证能够持续准确识别 · 准确率低或不稳定，特别是在数据元信息质量较低的情况 · 人力投入成本高 仅满足监管要求不是我们的终极目标，我们希望用九智汇分类分级产品在满足监管的前提下，为数据合规和数据安全打下坚实的基础，所以我们： · 采集样本数据，走样本数据为主、元数据为辅的技术路线，一方面可以保证已建设的识别能力可持续识别，另一方面准确率稳定性不受元数据质量影响 ·提供智能化、 无侵人、开箱即用的同时，打造易用、灵活、强大的自定义功能，满足客户的定制化需求，一方面降低交付成本，另一方面降低门槛让客户可以自助使用产品进行敏感数据识别。 实践方案 如果没有系统或产品，纯人工来做数据分类分级，基本上大家完成这件事情的步骤都是：找数据在哪里->梳理数据有哪些->找敏感数据-&gt…

研究人员研发的人工智能算法，可检测到针对军用无人驾驶车辆的中间人攻击。 机器人操作系统（ROS）是高度网络化的，机器人之间需要协作，其中的传感器、控制器等需要通信并通过云服务交换信息，因此极易受到数据泄露和电磁劫持攻击等网络攻击。中间人攻击（MitM）是一种可以拦截和篡改两方通信数据的网络攻击，中间人攻击可破坏无人驾驶车辆的操作、修改传输的指令、甚至控制和指导机器人进行危险的动作。 机器人系统可以从不同层面进行攻击，包括核心系统、子系统、子组件，引发使机器人无法正常工作的操作问题。澳大利亚南澳大学（University of South Australia）和查尔斯特大学研究人员研发了一种可以检测和拦截针对军用无人机器人的中间人攻击的人工智能算法，使用机器学习技术检测中间人攻击，并在几秒钟内就可以阻断攻击。 图为中间人攻击可以攻击的不同节点 检测针对针对无人驾驶车辆和机器人的中间人攻击极其复杂，因此这些系统都在容错模式下运行，区分正常操作和错误条件非常困难。研究人员研发了一个机器学习系统，可以分析机器人的网络流量以检测尝试入侵机器人系统的恶意流量，系统使用基于节点的方法，仔细检查包数据，使用基于流统计的系统来从包头读取元数据，使用深度学习卷积神经网络（CNN）来增强检测结果的准确性。 图为测试中使用的机器人 研究人员使用GVR-BOT机器人进行了测试，实验表明可以成功阻断99%的中间人攻击，假阳性率小于2%。 图为传感器数据（攻击从300秒开始） 图为性能测试结果 研究人员称该系统经过改进可以用于其他机器人系统，如无人机系统。与…

声明：以下涉及到产品图片等内容均来自互联网，出于不让厂商尴尬的考虑，某些过于明显的特征均已做模糊化处理。 01 窃听门故事 以下案例来自互联网（百度搜索），仅用于案例的技术性表述参考，不做评论。 2019年6月28日，一篇题为《窃听门风波后续：甲乙丙丁网CEO手撕阿里铁军，谁给你的勇气？》的文章在网络上传开。 简单说就是： 一家名为“甲乙丙丁网”的汽车综合服务商，原公司业务运营中心COO周某，因“不能胜任工作”于6月3日在管理层周例会上被解除职务，并于6月24日被公司通知辞退。 据称，被辞退的导火索是，2019年5月30日晚23时左右，甲乙丙丁所有高管收到了一封匿名邮件（该邮件并未发送给周某），邮件中附带一段被剪辑的音频。 经技术分析，发现这段音频是由至少6-7段周某的谈话内容剪辑而成。音质清晰，猜测是被录音窃听后合成的，时间跨度约为2019年1月至2019年4月，历时长达三个月。 也因此，部分报道有评论称此举为公司窃听。 随后6月28日，甲乙丙丁公司官方发表声明澄清，称录剪辑的录音，“经过内部调查已确定为周某在部门会议中的发言，不存在任何公司私录窃听的情况。”并透露，发送音频者暂未查到，将通过司法机关对该录音进行鉴定。 02 为何要录音 几年前，杨叔和一位IT圈的老哥在酒吧小聚，他曾在某个大型企业董事会里有把椅子。 酒没过三旬，老哥就聊起了他的经历： 当年初入董事会，多年来深知“扬汤止沸，不如釜底抽薪”这个道理的他，在怀揣着“人不犯我我不犯人”的底线原则，他开始有意识地，在每一个和其他董事会成员独处的时候…

区块链攻击向量：区块链技术的主要漏洞（上） 区块链攻击向量 有数百种可能的区块链攻击针对应用程序的不同部分。让我们看一下关键向量和攻击示例： 点对点攻击 点对点（P2P）网络使区块链成为分布式账本。它包括合作处理交易、管理用户和管理区块链的所有网络参与者。 对于去中心化应用程序（dApp）和加密钱包，主要的网络要求是与可信的区块链节点提供商建立安全连接。此外，钱包和 dApp 之间需要安全连接，并且必须能够处理其他方的不当行为。 常见P2P攻击示例： Sybil攻击是通过向同一节点分配多个标识符来安排的。区块链网络没有可信节点，每个请求都会发送到多个随机节点。在女巫攻击期间，黑客控制多个网络节点。然后受害者就会被假节点包围，关闭他们的所有交易。最后，受害者容易受到双花攻击。 Eclipse 攻击需要黑客控制大量 IP 地址或拥有分布式僵尸网络。然后攻击者覆盖受害节点的tried表中的地址，并等待受害节点重新启动。重启后，受害节点的所有传出连接将被重定向到攻击者控制的IP地址。这使得受害者无法获得他们感兴趣的交易。 时间劫持利用了区块链时间戳处理中的理论上的漏洞。黑客改变节点的网络时间计数器并迫使节点接受替代区块链。当恶意用户将多个具有不准确时间戳的虚假对等点添加到网络时，就可以实现这一点。 Apriorit 针对保护 P2P 网络的建议： 使用 HTTPS 连接并验证 SSL 证书。这些措施允许网络节点建立安全连接并加密传输中的数据。这可以保护数据免遭盗窃和劫持。 验证资源真实性。创建执行恶意操作的流行资源的精确副本是一种常见的黑…

朝鲜黑客组织Lazarus从Alphapo窃取价值6000万的加密货币。 区块链数据分析公司"ZackXBT"称Alphapo平台被黑与朝鲜黑客组织Lazarus有关，攻击者累计窃取了价值约6000万美元的加密货币。 Alphapo是一家为博彩、电子贸易、订阅服务和其他在线平台提供中心化加密货币支付服务提供商。7月23日，该平台遭遇网络攻击，初步预计被窃加密货币价值高达2300万美元。被窃的加密货币包括超过600万的USDT、10.8万的USDC、1亿FTN、43万TFL、2500 ETH、1700 DAI。这些加密货币都是从热钱包被窃的，因此大概率是由于私钥泄露导致的。 7月25日，"ZackXBT"称通过分析发现，攻击者还窃取了价值超过3700万的TRON和比特币，累计被窃加密货币价值达到6000万美元。 图 ZackXBT推特内容 ZackXBT称，攻击者可能是朝鲜黑客组织Lazarus，因为Lazarus在链上留下了独一无二的指纹信息。 Lazarus是一个与朝鲜政府有关联的黑客组织，与多次加密货币被窃事件有关，包括从Atomic钱包窃取了价值3500万美元的加密货币，从Harmony Horizon窃取了约1亿美元，从Axie Infinity窃取了约6.17亿美元。 Lazarus会使用虚假的工作录用通知诱惑加密货币公司的员工打开受感染的文件，然后入侵计算机，并窃取其中保存的账户凭证。攻击者还可以入侵受害者所在的公司网络，发起进一步攻击。 分析显示被窃的加密货币流入了Bitget、Bybit等加密货币交易所。而Laza…

网络安全供应商Sophos近日被一种名为SophosEncrypt的新型勒索软件即服务冒充，威胁分子打着这家公司的旗号实施攻击活动。 MalwareHunterTeam昨天发现了这个勒索软件，起初还以为是Sophos红队演习的一部分。 然而，Sophos X-Ops团队在推特上表示，他们并没有创建这个加密器，他们在调查其相关情况。 Sophos发推文声称：“我们早些时候在VT上发现了这个勒索软件，一直在调查。我们的初步调查结果显示，Sophos InterceptX可以抵御这些勒索软件样本。” 此外，ID Ransomware显示了来自被感染受害者的一份提交，表明这起勒索软件即服务活动处于活跃状态。 虽然目前对RaaS活动及推广方式知之甚少，但MalwareHunterTeam发现了一个加密器的样本，让我们可以快速了解它是如何运作的。 SophosEncrypt勒索软件 勒索软件加密器是用Rust编写的，使用C:\Users\Dubinin\路径作为其crate。在内部，勒索软件被命名为“sophos_encrypt”，因此它被称为SophosEncrypt，检测结果已经被添加到了ID Ransomware中。 一旦执行，加密器提示勒索软件加盟组织输入与受害者相关的令牌，该令牌可能最初从勒索软件的管理面板中获取。 输入令牌后，加密器将连接到179.43.154.137:21119，并验证令牌是否有效。勒索软件专家Michael Gillespie发现，可以通过禁用网卡来绕过这道验证，从而实际上在离线状态下运行加密器。 输入有效的令牌后，加…

威胁者利用 CrowdStrike 故障更新造成大规模业务中断，利用数据擦除器和远程访问工具攻击公司。随着越来越多企业寻求帮助，要求修复受影响的 Windows 主机，研究人员和政府机构发现试图利用这种情况的网络钓鱼电子邮件有所增加。 官方渠道沟通 CrowdStrike 在最新的更新中表示，它“正在积极协助受到近期内容更新影响的客户”，该更新导致全球数百万台 Windows 主机崩溃。 该公司建议客户通过官方渠道验证他们是否与合法代表进行沟通，因为“对手和不良行为者会试图利用此类事件”。 英国国家网络安全中心 (NCSC) 警告称，他们发现旨在利用此次中断的网络钓鱼邮件数量有所增加。自动恶意软件分析平台 AnyRun 也注意到“冒充 CrowdStrike 的尝试有所增加，这可能会导致网络钓鱼”。 伪装成修复程序和更新的恶意软件 网络安全研究员 g0njxa 首次报告了针对 BBVA 银行客户的恶意软件活动，该活动提供了安装 Remcos RAT 的虚假 CrowdStrike Hotfix 更新。 该虚假修补程序通过钓鱼网站 portalintranetgrupobbva[.]com 进行推广，该网站伪装成 BBVA 内部网门户。恶意存档中附有说明，告知员工和合作伙伴安装更新，以避免在连接到公司内部网络时出现错误。 “强制更新以避免公司内部网络的连接和同步错误”，西班牙语的“instrucciones.txt”文件写道。AnyRun 也在社交媒体上发布了有关同一活动的推文，他表示，假冒的热修复程序会提供 HijackLoader，然后…

工业和信息化部依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，持续整治APP侵害用户权益的违规行为。 近期，工业和信息化部组织第三方检测机构进行抽查，共发现17款APP及SDK存在侵害用户权益行为，已予以通报。文中所述APP及SDK应按有关规定进行整改，整改落实不到位的，将依法依规组织开展相关处置工作。你的手机里是否也有安装如下软件？若有，速速卸载！ 工信部通报存在问题的APP（SDK）名单 文章来源自：北京发布 工信部官网

篇首语：这些年，杨叔发现，虽然越来越多的人都开始使用NLJD，但似乎很多人对这些设备的发展史，以及那些行业中曾经赫赫有名的公司和专家均一无所知。 我们都知道：很多技术的发展，都是要经过“引进--研究--学习--超越”这几个步骤，所以杨叔特别准备了「TSCM发展史」系列软文，希望能让更多人真正了解和走进TSCM行业。 声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 0x01 先说说NLJDNLJD，Non Linear Junction Detector，非线性结点探测器，可以说是当今开展TSCM反窃密检测、物理安全检测的必备专业设备之一。 通过识别PN结的非线性反应，NLJD能够轻易地检测到地板、家具及墙面里隐藏的电子器材，所以自1980年起，从欧美到亚洲，各国反间谍部门、情报机构、重要保密单位都开始大量装备NLJD，对内部环境开展严格的TSCM安全检测。 分享一份美国FBI的内部TSCM检测记录，这份写于1987年3月23日的报告，充分展现了定期检测的工作内容。 如上图可以看到，里面提及了无线检测、物理搜检及电话线路检测等等，均没有发现异常。 嗯，是的，自TSCM检测开展以来，在一个完整的TSCM检测流程里，不仅仅是非线性设备的使用，专业电话线路检测都是必查的内容，这是衡量TSCM检测能力专业与否的关键判断点之一。 更多内容，可以参加RC²的深度专家课程，也可以翻阅杨叔之前的这篇： 行业解密 | TSCM技术反窃密的前世今生 那么， 可能有人注意到了 为什么选择今天发这篇软文呢？ 因为对于…

以下内容由WebRAY和Panabit联合发布 0x01 事件背景 从2024年5月开始，国内部分家用路由器开始出现间歇性断网、域名解析延迟高以及解析到海外IP等情况，今年8月该现象变得尤为严重。前几天在做应急响应时候发现某企业暴露在公网上的路由器配置的DNS地址被莫名其妙篡改了，主DNS地址是一个阿里云上的节点，备用DNS地址为1.1.1.1。起初以为这次事件跟近期的攻防演习相关，后面经过深入分析发现该事件并不是个例，我们已排查到有大量暴露在公网上的路由器都存在DNS被篡改的情况，且大部分用户基本没有感知。经过初步统计，攻击者使用的劫持DNS节点数已有百余个，用户访问受影响的目标主要覆盖了阿里云CDN、腾讯云CDN、华为云CDN等，导致了一系列的解析异常。短时间范围内，大量用户投诉对国内重要目标单位访问异常，造成严重安全隐患。 0x02 事件分析 盛邦安全烽火台实验室联合Panabit对该事件进行了专项分析，这起事件是属于典型的DNS劫持攻击事件，符合国外黑灰产组织的攻击特征。攻击者通过搜集公网可访问的路由器地址，利用漏洞或弱口令获取路由器控制权限，修改路由器DNS服务器地址，达到中间人攻击的效果。整体的攻击流程如下图所示： （图中假设攻击者对webray.com.cn进行了dns劫持） 用户在发起HTTP请求之前首先会进行DNS请求，由于绝大部分个人用户不会自定义DNS服务器，所以默认情况下会使用路由器的DNS服务器来进行域名解析。攻击者通过漏洞把路由器DNS服务器篡改为自己可控的恶意DNS服务器，并…

经过四年的漫长调查，联邦通信委员会已认定美国四大无线运营商在共享客户位置数据方面违反了相关法律法规。 美国联邦通信委员会对美国电话电报公司、斯普林特公司、T-移动公司和Viizon公司共处以近2亿美元的罚款，罪名是“未经同意，未采取合理措施，非法共享客户的地点信息，造成未经授权信息泄露。” 罚款分为斯普林特1200万美元，T-移动8000万美元(现已与斯普林特合并)，AT&T超过5700万美元，Viizon近4700万美元。 联邦通信委员会将重点放在航空公司拥有的一些敏感实时位置数据上，发现四大运营商中都在出售其客户的位置信息，随后便将此类信息的访问权转售给第三方定位服务提供者。 据悉，美国法律包括通信法，要求承运人采取合理措施保护客户信息，其中就包括地点信息。 无线运营商试图将获得客户同意的义务转移到位置信息的下游接收方，但最终没有得到有效的客户同意。尽管承运人知道这一点，但他们依旧继续出售获取位置信息的途径，而不采取合理措施保护其不受未经授权信息的获取，这样的行为以至于任何人都可以滥用这一服务来找到北美几乎所有移动电话的位置。

Redline 和 Meta 都是信息窃取者。作为一种恶意软件，可以从受感染设备上的浏览器窃取存储的信息，包括凭据、身份验证 cookie、浏览历史记录、敏感文档、SSH 密钥和加密货币钱包。这些数据随后被威胁者出售或用于助长大规模网络漏洞，从而导致数据盗窃、勒索软件攻击和网络间谍活动。 近期，荷兰国家警察在“马格努斯行动”中查获了 Redline 和 Meta infostealer 恶意软件操作的网络基础设施，并悉数掌握网络犯罪分子手中的数据。 此次行动在国际执法合作伙伴的帮助下进行，这些合作伙伴包括联邦调查局 (FBI)、海军罪案调查处 (NCIS)、美国司法部、欧洲司法组织 (Eurojust)、国家犯罪局 (NCA) 以及葡萄牙和比利时的警察部队。 目前该组织已经宣布针对 Redline 和 Meta 用户进行“最终更新”，提醒他们现在注意自己的帐户凭据、IP 地址、活动时间戳、注册详细信息等。 这表明调查人员掌握了可用于追踪使用该恶意软件的网络犯罪分子的证据，因此未来很可能会进行逮捕和起诉。 此外，当局声称他们可以访问这两种恶意软件的源代码，包括许可证服务器、REST-API 服务、面板、窃取程序二进制文件和 Telegram 机器人。 Meta 和 Redline 共享相同的基础设施，因此这两个项目背后可能有相同的创建者或运营者。Redline 和 Meta 都是通过 Telegram 上的机器人出售的，这些机器人现已被删除。 NCA 国家网络犯罪部门负责人、副主任 Paul Foster 表示：“这些服务得到了犯罪生态…

往期回顾： 2024.10.14—2024.10.20安全动态周回顾 2024.10.7—2024.10.13安全动态周回顾 2024.9.23—2024.9.29安全动态周回顾 2024.9.16—2024.9.22安全动态周回顾 2024.9.9—2024.9.15安全动态周回顾 2024.9.2—2024.9.8安全动态周回顾 2024.8.26—2024.9.1安全动态周回顾

网络恶意分子被发现将开源虚拟机管理程序平台 QEMU 作为对企业进行网络攻击的隧道工具。 QEMU 是一个免费的模拟器和虚拟机管理程序，允许在计算机上以访客身份运行其他操作系统。 作为攻击的一部分，网络恶意分子使用 QEMU 创建虚拟网络接口和套接字类型网络设备来连接到远程服务器。这使得恶意分子能够创建从受害者系统到攻击者服务器的网络隧道，而对系统性能的影响可以忽略不计。 安全研究分析师发现了这一问题，并指出攻击者用来保持其隐蔽性的多种方法。 隐秘的网络隧道 黑客创建网络隧道，在他们与受感染的系统之间建立隐秘且安全的通信通道。通常，这些隧道会对网络流量进行加密，以帮助绕过防火墙、入侵检测系统和其他安全措施。 安全研究机构表示，在过去三年调查的案例中，有 10% 的黑客使用了 FRP 和 ngrok 实用程序来创建隧道。攻击中使用的其他隧道工具包括 CloudFlare 隧道、Stowaway、ligolo、3proxy、dog-tunnel、chisel、gs-netcat、plink、iox 和 nps。由于它们经常被网络犯罪分子滥用，致使防御者和监控工具对这些持怀疑态度。 在涉及 QEMU 中，攻击者利用一种不太传统的工具来创建网络隧道，这种工具不太可能发出任何警报，即使这意味着放弃流量加密。 此外，QEMU 还提供有独特的功能，例如模拟各种硬件和虚拟网络、允许恶意活动与良性虚拟化流量混合，以及通过战略性设置 VM 枢轴点来桥接分段网络部分。 轻如羽毛的后门 在发现的攻击中，黑客利用“Angry IP Scanner”进行网络扫描，利…

篇首语：去年在深圳，和一个厂商交流时，聊到英国DeltaV场强仪，对方很诧异地说：“这玩意质量很差啊，用了三个月就坏了”，What？杨叔顿觉不可思议，毕竟实验室使用三年来几乎没出现过问题。 结果拿来一看：擦，这特么不是假货嘛？... 为了避免更多企业用户入坑，也为了方便RC2的学员朋友们识别真伪，特别地，在课程之余，写下本篇。 声明：以下内容来自RC2反窃密实验室及杨叔个人经验，仅供交流与参考。 01 DeltaV的厂商 国内有不少专业人士用过这款DeltaV手持信号检测设备，也有些人对这款设备嗤之以鼻，这都是假货的功劳 不过，更多的人，可能压根儿没听说过。 作为一款手持信号检测设备，在易用性、准确性和稳定性上，来自英国的DeltaV Advanced已经在国际上同类设备中位列前三。 在高准确度下保持对100MHz至15GHz的信号检测频宽，也超越了99%的同类设备。无论是大使馆，还是企业高管办公室、会议室的检测，均可轻松胜任。 这也是杨叔在2017年起，L2商业安全课程实验中就一直让学员对比体验设备的原因，最终DeltaV也确实赢得了学员们的一致认同。 其实这款设备的厂商： 英国Audiotel International 在国际TSCM反窃密检测圈内也算是鼎鼎有名的老牌厂商之一。 早在2005~2010年间，很多国家的执法机构、战术单位、反间谍及情报部门，都采购过该公司的非线性检测设备和手持信号检测仪。 直到现在，国内一些相关部门的物资仓库里，多少都能翻出一两款Audiotel的早期产品。 哈哈，能熟练使用上面设备的…