蓝队取证审计网络安全

相关研究人员最近发现了一个异常活跃的攻击活动，研究人员称之为EleKtra-Leak，它会自动窃取GitHub公共存储库中泄漏的身份和访问管理(IAM)密钥。因此，与该活动相关的攻击者能够创建多个AWS弹性计算(EC2)实例，用于广泛和持久的加密劫持。 分析发现，攻击者能够在五分钟内识别并使用GitHub上首次泄漏的IAM密钥，这一发现证明了攻击者是如何利用云自动化技术来实现扩展加密劫持的目标。攻击者似乎使用自动化工具不断复制公共GitHub存储库，并扫描泄漏的亚马逊网络服务(AWS) IAM密钥。 分析过程 调查过程中，研究发现，攻击者可能会识别频繁出现的AWS账户id，以阻止这些账户id免受未来的攻击或自动化脚本的攻击。因此，研究人员设计了一种新颖的调查架构来动态创建和泄漏不可归因的AWS密钥。 多年来，攻击者越来越多地使用GitHub作为攻击的初始载体。GitHub的一个强大功能是它能够列出所有公共存储库，这使得开发人员和攻击者能够实时跟踪新的存储库。 考虑到这个功能，研究人员选择GitHub作为其窃取AWS密钥的实验平台，将明文泄露的密钥写入新创建的GitHub存储库中的文件中，该存储库是研究人员随机选择并从公共GitHub存储库列表中复制的。研究人员将AWS密钥泄露到复制存储库中随机创建的文件中，然后在成功提交后将其删除。 一旦将窃取的密钥提交到存储库，研究人员就会立即删除了它们。最初，IAM密钥使用Base64编码。然而，尽管像trufflehog这样的工具可以找到泄漏的Base64 IAM密钥，但事实上没有攻击者能找到密钥。…

网络恶意分子被发现将开源虚拟机管理程序平台 QEMU 作为对企业进行网络攻击的隧道工具。 QEMU 是一个免费的模拟器和虚拟机管理程序，允许在计算机上以访客身份运行其他操作系统。 作为攻击的一部分，网络恶意分子使用 QEMU 创建虚拟网络接口和套接字类型网络设备来连接到远程服务器。这使得恶意分子能够创建从受害者系统到攻击者服务器的网络隧道，而对系统性能的影响可以忽略不计。 安全研究分析师发现了这一问题，并指出攻击者用来保持其隐蔽性的多种方法。 隐秘的网络隧道 黑客创建网络隧道，在他们与受感染的系统之间建立隐秘且安全的通信通道。通常，这些隧道会对网络流量进行加密，以帮助绕过防火墙、入侵检测系统和其他安全措施。 安全研究机构表示，在过去三年调查的案例中，有 10% 的黑客使用了 FRP 和 ngrok 实用程序来创建隧道。攻击中使用的其他隧道工具包括 CloudFlare 隧道、Stowaway、ligolo、3proxy、dog-tunnel、chisel、gs-netcat、plink、iox 和 nps。由于它们经常被网络犯罪分子滥用，致使防御者和监控工具对这些持怀疑态度。 在涉及 QEMU 中，攻击者利用一种不太传统的工具来创建网络隧道，这种工具不太可能发出任何警报，即使这意味着放弃流量加密。 此外，QEMU 还提供有独特的功能，例如模拟各种硬件和虚拟网络、允许恶意活动与良性虚拟化流量混合，以及通过战略性设置 VM 枢轴点来桥接分段网络部分。 轻如羽毛的后门 在发现的攻击中，黑客利用“Angry IP Scanner”进行网络扫描，利…

网络安全研究人员最近发现了一种新的 Python 恶意软件，该恶意软件以讲鞑靼语的用户为攻击目标，鞑靼语是一种土耳其母语，主要是由俄罗斯及其邻国的鞑靼人使用。基于 Cyble 的恶意软件设计使其可以捕获目标系统的屏幕截图，并通过 FTP（文件传输协议）将其传输到远程的服务器内。 FTP 协议则可以使文件和文件夹通过基于 TCP 的网络（如互联网）从一台主机（目标系统）传输到另一台主机。 该攻击活动背后的威胁行为者就是臭名昭著的 TA866，该组织曾以鞑靼语使用者为目标，并利用 Python 恶意软件开展攻击行动。 TA866如何利用python恶意软件 据CRIL 称，威胁行为者 TA866 使用新型 Python 恶意软件在鞑靼共和国日发动攻击，攻击一直到持续到了 8 月底。 有报告称，一个名为 TA866 的威胁攻击者使用了PowerShell 脚本进行截图并将其上传到了远程 FTP 服务器。 威胁攻击者使用钓鱼电子邮件发送 Python 恶意软件对受害者进行攻击，这些邮件中都包含了一个恶意的 RAR 文件。 该文件包括了两个文件：一个视频文件和一个基于 Python 的可执行文件。 ·当加载程序执行后，就会启动一系列的攻击事件。它会从 Dropbox 下载一个压缩文件，其中包含两个 PowerShell 脚本和一个附加的可执行文件。 ·这些脚本使得创建使用恶意可执行文件运行的计划活动变得更加容易。据 Proofpoint 称，该威胁攻击者的金融攻击行动被命名为 "Screentime "。 TA866 威胁攻击者及其定制黑客工具…

黑客利用 Popup Builder 插件过时版本中的漏洞入侵了 WordPress 网站后，用恶意代码感染了 3300 多个网站。 攻击中利用的缺陷被追踪为 CVE-2023-6000，这是一个影响 Popup Builder 版本 4.2.3 及更早版本的跨站点脚本 (XSS) 漏洞，最初于 2023 年 11 月披露。 今年年初发现的 Balada Injector 活动利用该特定漏洞感染了 6700 多个网站，许多网站管理员都没能足够快地修补补丁。 有报告发现在上个月一个针对 WordPress 插件上的相同漏洞活动显著增加。 根据 PublicWWW 的结果，在3329 个 WordPress 网站中发现了与这一最新活动相关的代码注入 ，Sucuri 自己的扫描仪检测到了 1170 个感染。 注射细节 这些攻击会感染 WordPress 管理界面的自定义 JavaScript 或自定义 CSS 部分，而恶意代码则存储在“wp_postmeta”数据库表中。 注入代码的主要功能是充当各种 Popup Builder 插件事件的事件处理程序，例如“sgpb-ShouldOpen”、“sgpb-ShouldClose”、“sgpb-WillOpen”、“sgpbDidOpen”、“sgpbWillClose”和“ sgpb-DidClose”。 恶意代码会在插件的特定操作时执行，例如当弹出窗口打开或关闭时。 Sucuri 表示，代码的具体操作可能有所不同，但注入的主要目的是将受感染网站的访问者重定向到恶意目的地，例如网络钓鱼页面和恶意…

三星为其移动设备推出了一项新的漏洞赏金计划，将对展示关键攻击场景的报告提供高达 1,000,000 美元的奖励。 新的“重要场景漏洞计划（ISVP）”计划重点关注与任意代码执行、设备解锁、数据提取、任意应用程序安装和绕过设备保护相关的漏洞。 重点支出 Knox Vault 是三星的独立安全环境，用于在移动设备上存储敏感的生物特征信息和加密密钥。报告在三星设备上实现本地任意执行将获得 300,000 美元的奖励，而报告远程代码执行 (RCE) 将获得 1,000,000 美元的奖励。 TEEGRIS OS 是三星的可信执行环境 (TEE) 操作系统，它提供了一个与主操作系统安全隔离的环境，以执行敏感代码并处理关键数据，例如支付和身份验证。 TEEGRIS OS 上的本地任意代码执行可获 20 万美元，而 RCE 漏洞可获最高 40 万美元。Rich OS（三星设备的主要操作系统）上的本地代码执行可获 15 万美元，而 RCE 漏洞最高可获 30 万美元。 ISVP 中的最高支出 设备解锁加上完整的用户数据提取将支付 400,000 美元，如果在第一次解锁后实现则支付一半的金额。 另一项值得关注的奖励是，如果从非官方市场或攻击者的服务器实现远程任意应用程序安装，则可获得 100,000 美元，如果从 Galaxy Store 安装应用程序，则可获得 60,000 美元。本地任意安装分别可获得 50,000 美元和 30,000 美元。 要领取奖励，漏洞报告必须包含可构建的漏洞利用程序，该漏洞利用程序必须在 Galaxy S 和 Z 系列等旗…

工业和信息化部依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，持续整治APP侵害用户权益的违规行为。 近期，工业和信息化部组织第三方检测机构进行抽查，共发现17款APP及SDK存在侵害用户权益行为，已予以通报。文中所述APP及SDK应按有关规定进行整改，整改落实不到位的，将依法依规组织开展相关处置工作。你的手机里是否也有安装如下软件？若有，速速卸载！ 工信部通报存在问题的APP（SDK）名单 文章来源自：北京发布 工信部官网

近期，Gartner 预测 2024 年全球安全和风险管理支出将增长14.3%，这一增长使得人们重新关注具有成本效益的网络安全投资。 低效的网络安全支出随着预算的增加，变得愈加引发关注，低效的支出通常会导致购买不同的安全工具，这可能会造成更多的安全漏洞并增加违规风险。 简而言之，随着 2024 年网络安全支出的增加，企业必须进行不仅具有成本效益、而且能够切实加强防御的投资。 接下来，本文将深入探讨 2024 年智能网络安全支出的三项基本策略。 进行彻底的需求分析 如果不仔细分析真正需要什么商品或服务，企业可能会陷入“工具蔓延”的陷阱，即积累过多的网络安全工具。 但安全防御目标应该是根据实际需求定制网络安全投资，避免使用不必要的技术。例如，小型企业可能不太需要复杂的企业级入侵检测系统，而大型企业可能也不需要基本的消费级安全解决方案。 仓促选择多个网络安全供应商可能会适得其反。兼顾多个供应商通常会使支持流程变得复杂，由于各种系统而增加培训负担，并对无缝工具集成提出挑战。 选择集成安全解决方案 为了避免浪费开支，请投资将多种保护措施合二为一的安全平台。这不仅更具成本效益，实际上还改善了安全状况。 公司购买的每一个安全工具都需要自己的一套配置、更新和管理协议，最终会导致响应时间更长、工作流程效率低下，并且无法对威胁态势有统一的看法。 选择集成安全解决方案可以在有针对性的精益网络安全支出方法方面更加便捷。通过将多个安全功能整合到一个平台中，这些集成降低了与硬件、维护和管理相关的间接成本。 强调附加值 想象一下你饿了，花费20元吃碗面可能会饱，但仅…

往期回顾： 2024.9.23—2024.9.29安全动态周回顾 2024.9.16—2024.9.22安全动态周回顾 2024.9.9—2024.9.15安全动态周回顾 2024.9.2—2024.9.8安全动态周回顾 2024.8.26—2024.9.1安全动态周回顾 2024.8.19—2024.8.25安全动态周回顾 2024.8.12—2024.8.18安全动态周回顾

诺基亚正在调查第三方供应商是否因黑客声称出售该公司被盗的源代码而遭到破坏的事件。该公司称一名未经授权的人称已获取某些第三方承包商数据，甚至可能是诺基亚的数据。诺基亚随后立即展开了调查。 迄今为止，根据调查结果来看尚未发现任何证据表明该司的任何系统或数据受到影响。 此前一个名为 IntelBroker 的恶意分子声称正在出售诺基亚源代码，这些源代码是在破坏第三方供应商的服务器后所获得的，可帮助他们开发一些内部工具。 IntelBroker 出售所谓的诺基亚源代码 IntelBroker 表示，被盗数据包含 SSH 密钥、源代码、RSA 密钥、BitBucket 登录信息、SMTP 帐户、Webhook 和硬编码凭据。 恶意分子表示他们使用默认凭据访问了第三方供应商的 SonarQube 服务器，从而允许他们下载客户的 Python 项目，包括属于诺基亚的项目。 有媒体与诺基亚共享了据称被盗数据的文件树，询问这些数据是否属于他们，但目前尚未收到回复。 此前 IntelBroker 曾入侵 DC Health Link 并在入侵后声名狼藉，与 IntelBroker 相关的其他网络安全事件还包括 Hewlett Packard Enterprise (HPE) 和 Weee 的违规事件。 最近，恶意分子泄露了许多公司的数据，包括 T-Mobile、AMD 和 Apple，这些数据是从第三方 SaaS 供应商处窃取的。

我们可以通过使用CyberChef和Regex来克服大量基于文本的混淆，在混淆后，系统将识别一些“畸形”的shellcode，我们将在使用SpeakEasy模拟器进行模拟之前手动修复。 哈希：e8710133491bdf0b0d1a2e3d9a2dbbf0d58e0dbb0e0f7c65acef4f788128e1e4，示例链接请点此。 TLDR 1.识别功能和混淆类型； 2.清除基本混淆与正则表达式和文本编辑器； 3.使用Regex, CyberChef和Subsections去除高级混淆； 4.识别shellcode并修复负字节值(Python或CyberChef)； 5.使用Speakeasy验证和仿真。 初步分析 可以使用受感染的密码保存和解压缩脚本，这样我们可以使用文本编辑器(如notepad++)直接打开文件。 打开后，我们可以看到脚本引用了一些Excel对象以及Wscript.Shell，通常用于执行 .vbs 脚本。 在这个阶段，我们将跳转到使用Wscript来利用Excel执行代码的假设，避免分析Excel/Wscript组件，直接跳转到解码混乱的命令/代码。 我们可以假设代码的初始部分是利用Excel和Wscript来运行一个被混淆的vbs脚本。 混淆技术概述 从第30行开始，可以看到两种主要的混淆形式。 1.脚本被分解成许多小字符串，例如“hello world”将是“hello”＆“world” 2.该脚本使用Chr解码的十进制编码值。例如，“Hello World”可以是“Hell”＆ chr(111)＆“Wo…

StopCrypt 勒索软件（又名 STOP）的新变种在野外被发现，它采用涉及 shellcode 的多阶段执行过程来逃避安全工具。 StopCrypt，也称为 STOP Djvu，是现有的分布最广泛的勒索软件之一。 因为这种勒索软件操作通常不针对企业，而是针对消费者，经常产生数万笔 400 至 1000 美元的小额赎金，以至于很少听到安全研究人员讨论 STOP。 STOP勒索软件通常通过恶意广告和可疑网站传播，这些网站会分发伪装成免费软件、游戏作弊和软件破解的广告软件捆绑包。 然而，当安装这些程序时，用户就会感染各种恶意软件，包括密码窃取木马和 STOP 勒索软件。 自 2018 年首次发布以来，勒索软件加密器没有太大变化，发布的新版本主要是为了修复关键问题。因此，当新的STOP版本发布时，由于受到影响的人数较多，值得关注。 新的多阶段执行 威胁研究团队在野外发现的 STOP 勒索软件新变种，现在利用多阶段执行机制。 最初，恶意软件加载一个看似不相关的 DLL 文件 (msim32.dll)，可能是为了转移注意力。它还实现了一系列长时间延迟循环，可能有助于绕过与时间相关的安全措施。 接下来，它使用堆栈上动态构造的 API 调用来为读/写和执行权限分配必要的内存空间，从而使检测变得更加困难。 StopCrypt 使用 API 调用进行各种操作，包括拍摄正在运行的进程的快照以了解其运行环境。 下一阶段涉及进程空洞，其中 StopCrypt 劫持合法进程并注入其有效负载以在内存中谨慎执行。这是通过一系列精心编排的 API 调用来操作进程内存…

与今天的勒索软件攻击相比，世界上首起勒索软件攻击简直就是小菜一碟。 1989年，出席世界卫生组织（WHO）艾滋病会议的数千名与会者回到家中，结果在自家的邮箱软盘里发现了一份关于感染艾滋病毒可能性的调查问卷，但是他们没有发现任何问题。磁盘其实含有一个程序，用于加密计算机文件的名称。如果这些人想要恢复文件，被告知要向巴拿马的一个邮箱寄去189美元。 几年后，随着互联网兴起、社会向联网数字世界转变以及加密货币问世，勒索软件随之演变。 恶意分子组织起来，勒索软件即服务（RaaS）浮出水面，双重或三重勒索攻击成为常态。 因此，受害者的数量、被索要的金额以及攻击得逞的影响都在飙升。 NCC集团的全球威胁情报团队报告显示，2023年7月的勒索软件攻击多达502起，创下纪录，比2023年6月的434起攻击增加了16%，是2022年7月观察到的勒索软件攻击数量的两倍多。Malwarebytes的《2023年勒索软件状况》报告发现，勒索软件的总数也创下了纪录，一年内仅在美国、法国、德国和英国就发生了1900起攻击，其中美国几乎占了一半。 企业因勒索软件而遭受的损失也在增加。Cybersecurity Ventures预测，到2031年，勒索软件攻击将给受害者造成2650亿美元的损失——与2017年勒索软件受害者支付的50亿美元相比，增幅惊人。 而金钱损失只是勒索软件影响的一部分。除了成本外，组织还面临业务停机、声誉受损以及客户信任度下降等风险。此外，勒索软件具有下游效应，影响到最初攻击甚至没有针对的人员和系统。此外，即使攻击被公开披露，企业为抢救或恢复系统…

声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 01 总统专车面临的风险 美国历史上，自从1865年林肯总统被刺杀以来，已经有四位总统遭遇暗杀以身殉职，更有许多总统遭遇暗杀未遂，所以美国方面历来重视总统的安保工作。 就像大家在电影新闻上看到的，总统出国访问时，一个由黑色系车辆组成的总统车队里，一个个黑衣帅哥戴着耳机一脸严肃严阵以待。 其实，在伊拉克和阿富汗将近十五年的战争中，反简易爆炸装置 (IED) 和动态通信干扰技术取得了长足的进步，这种系统已经在海外挽救了数百甚至数千人的生命。 在过去十年的后半期，阿富汗和伊拉克各地，美军已经在 MRAP、APC 和装甲车上部署了更先进的技术。 当然，其中关键技术也部署到了总统车队的特种车辆上。 02 第一次见到总统车队 杨叔第一次见到总统车队，是在1998年。杨叔专门翻了些历史资料，和大家一起分享这份记忆。 1998年6月，美国克林顿总统访华，首站放在西安。据报道，克林顿总统的访华团队规模之大是空前的： 随行人数多达1200人，动用了包括空军一号在内的四架飞机和若干架大型运输机，仅是通讯器材就有60吨，随机记者200人，还有另外175个记者是自己打飞的来的。 记得当年克林顿来西安，入住在城东门附近的凯悦大酒店。不过美国总统出访外国前，会提前一两个月派出先遣高级安保人员，与出访国有关方面进行工作对接。 所以杨叔清楚地记得，当时克林顿访华前，在凯悦酒店对面路过，能清晰地看到酒店门口停着两辆酷酷的黑色防弹雪佛兰。 1998…

2023年9月，根据中国国家计算机病毒应急处理中心通报，在会同360公司配合侦办西北工业大学被美国国家安全局（NSA）网络攻击事件过程中，提取出名为“二次约会”的间谍软件样本。 调查发现，除西北工业大学外，美国还长期对国内多个网络目标实施了高达上万次的恶意网络攻击。 美国情报机关攻击华为总部长达14年之久，早在2009年起，美国特定入侵办公室（TAO）就开始入侵华为总部的服务器，并持续开展监控。 据报道，2009年初美国国安局的一个特别小组，成功渗透进了华为公司的计算机网络，并复制超过1400位客户资料和工程师使用的内部培训文件。他们不但窃取了华为的电子邮件存档，还获得个别华为产品的源代码，企图获取华为内部信息的同时，并试图植入后门程序到华为设备中，以便对华为用户进行监控和窃密。 美国国安局之所以渗入华为的深圳总部，因为该公司通过总部处理每个员工的邮件往来，所以从2009年1月起美国就读取了该公司很大一部分员工的电子邮件——包括当时的总裁任正非和董事长孙亚芳的邮件。 随着数字化时代的来临，网络安全防范和风险将是一个永恒的话题。在个人上，用户的计算机终端、移动互联网终端都存在随时被攻击的可能，极大程度会导致个人信息和隐私的泄露，稍有不慎，还会造成经济损失；对企业来说，安全的网络环境不仅是企业经济良好循环的基础，更极大程度上影响着企业的正常运行；在政府层面，如学校、医院、数据中心、交通设施等一旦遭受网络攻击，如若不及时加以控制，必然造成地区动荡，引发恐慌。 习近平总书记在十九届中央政治局第十二次集体学习时讲到“没有网络安全就没有国家安全，…

据9月27日报道，一家专门从事人工智能（AI）产品的公司 OpenAI 创建了一个聊天机器人，它可以浏览网络并将最新信息纳入答复。 据OpenAI公司称，该聊天机器人已经可以在互联网上浏览最新的信息，此前，它只能通过人工智能的帮助，利用截至到 2021 年 9 月的数据去进行学习。现在利用此举，一些高级用户可以向聊天机器人询问时事问题、查看新闻。 OpenAI 在公告中也表示，该功能将很快向非高级用户开放，但并未具体说明这是否意味着没有高级订阅的用户也能使用 GPT-4，或是说 GPT 3.5 订阅用户也能使用该功能。 过去，这一人工智能系统是根据 2021 年 9 月以前的数据进行训练的，不久之后，OpenAI 打算将这项服务扩展到包括非付费用户在内的所有用户，让每个人都能利用这项服务。据OpenAI称，ChatGPT现在配备了浏览功能，允许用户执行技术研究、做假期计划或选择需要最新信息等任务。 作为浏览功能的一部分，ChatGPT还创建了一个可安装在 Chrome 浏览器上的扩展，其名为 "Browser with Bing"。有趣的是，ChatGPT 迄今最大的竞争对手——谷歌的 Bard 也推出了一个扩展，允许免费使用必应浏览网页。 ChatGPT Plus 和企业版用户可以使用该功能，用户也可以通过进入应用内的 "设置"，选择 "新功能" 选项，然后从选项列表中选择 "使用必应扩展浏览" 来使用该功能。 这让 ChatGPT 的许多用户欣喜，因为他们希望用最新的信息来使用 ChatGPT 的功能。 必应 iOS 和 Andr…

经过四年的漫长调查，联邦通信委员会已认定美国四大无线运营商在共享客户位置数据方面违反了相关法律法规。 美国联邦通信委员会对美国电话电报公司、斯普林特公司、T-移动公司和Viizon公司共处以近2亿美元的罚款，罪名是“未经同意，未采取合理措施，非法共享客户的地点信息，造成未经授权信息泄露。” 罚款分为斯普林特1200万美元，T-移动8000万美元(现已与斯普林特合并)，AT&T超过5700万美元，Viizon近4700万美元。 联邦通信委员会将重点放在航空公司拥有的一些敏感实时位置数据上，发现四大运营商中都在出售其客户的位置信息，随后便将此类信息的访问权转售给第三方定位服务提供者。 据悉，美国法律包括通信法，要求承运人采取合理措施保护客户信息，其中就包括地点信息。 无线运营商试图将获得客户同意的义务转移到位置信息的下游接收方，但最终没有得到有效的客户同意。尽管承运人知道这一点，但他们依旧继续出售获取位置信息的途径，而不采取合理措施保护其不受未经授权信息的获取，这样的行为以至于任何人都可以滥用这一服务来找到北美几乎所有移动电话的位置。

针对 Facebook 广告商的新网络安全威胁名为 VietCredCare。该信息窃取程序至少自 2022 年 8 月起就一直活跃，旨在通过自动过滤来自受感染设备的 Facebook 会话 cookie 和凭据来劫持企业 Facebook 帐户。 该恶意软件会评估被盗帐户是否管理业务资料以及是否有Meta广告信用余额。 VietCredCare 如何运作 VietCredCare 通过社交媒体帖子和即时消息平台上的虚假网站链接进行分发，伪装成 Microsoft Office 或 Acrobat Reader 等合法软件。 Group-IB 表示，安装后，它可以从网络浏览器中提取凭据、cookie 和会话 ID，包括 Google Chrome、Microsoft Edge 和 Cốc Cốc（一款专注于越南市场的浏览器）。 该恶意软件因其能够检索受害者的 IP 地址、检查 Facebook 帐户是否为企业资料以及评估该帐户当前是否管理广告而闻名。 它还采取措施通过禁用 Windows 反恶意软件扫描接口 (AMSI) 并将自身添加到Windows Defender 防病毒排除列表来逃避检测。 报告称，VietCredCare 的核心功能是过滤 Facebook 凭据，如果敏感帐户遭到泄露，将面临声誉和财务损失的风险。 多个政府机构、大学、电子商务平台、银行和越南公司的凭证已遭恶意软件窃取。 威胁分子使用被盗的 Facebook 帐户发布政治内容或传播网络钓鱼和附属诈骗以获取经济利益。 这种大规模恶意软件分发计划有助于接管企业 Fac…

未经授权的访问仍然是各种规模的组织面临的最大问题之一。其后果可能很严重，从数据泄露、经济损失到声誉受损和诉讼。因此，对于组织来说，建立一个强大的网络安全策略和实施最佳实践来有效检测和响应未经授权的访问是至关重要的。 在本文中，我们将探讨未经授权访问背后的危险及其主要攻击向量。我们还讨论了如何检测未经授权的访问，并提供了八种最佳实践来帮助组织加强网络安全整体态势。 未经授权访问的风险和后果 根据NIST的说法，未经授权的访问是指“一个人在未经允许的情况下对网络、系统、应用程序、数据或其他资源进行逻辑或物理访问”。未经授权的访问涉及绕过安全措施或利用IT基础设施中的漏洞来访问应该只有授权用户才能访问的系统。 如果您的组织遭受未经授权的数据访问攻击，其后果可能从数据泄露和财务损失到服务不可用甚至丧失对整个网络的控制权。让我们看一些未经授权访问的案例及其后果： 2020年10月，Ticketmaster（一个售卖音乐会、景点和体育等活动的门票的平台）员工被指控多次侵入竞争对手公司的系统以“扼杀”其预售门票业务。2021年，该员工承认罪行，并因此被罚款1000万美元。 美国航空和西南航空是世界上最大的两家航空公司，它们在近日披露了一起数据泄露事件，该事件是由一家第三方供应商Pilot Credentials的黑客攻击造成的。美国航空在一份通知信中表示，Pilot Credentials于2023年6月18日通知了美国航空，称其系统于2023年5月24日遭到了未经授权的访问，导致部分美国航空飞行员的个人信息被泄露。这些信息包括姓名、地址、电话号码…

继WormGPT（使用面向恶意软件的数据进行训练的ChatGPT克隆版）之后，如今又出现了一种新的生成式人工智能黑客工具：FraudGPT，据称至少另一种基于谷歌的AI聊天机器人Bard的工具正在开发中。 这两个基于AI的机器人程序都出自同一人之手，此人似乎热衷于专门针对众多的恶意用途训练的聊天机器人，包括网络钓鱼、社会工程攻击以及利用漏洞和创建恶意软件。 FraudGPT于7月25日问世，由用户名为CanadianKingpin12的人在各种黑客论坛上四处宣传，他称这款工具是面向骗子、黑客和垃圾邮件发送者的。 图1. FraudGPT在黑客论坛上推广（图片来源：SlashNext） 下一代网络犯罪聊天机器人 网络安全公司SlashNext的研究人员开展的调查显示，CanadianKingpin12正在积极使用从暗网获取的不受限制的数据集训练新的聊天机器人，或基于为打击网络犯罪而开发的复杂的大型语言模型训练聊天机器人。 CanadianKingpin12在私下表示，他们在开发DarkBART——这是谷歌的对话生成式人工智能聊天机器人的“恶意版本”。 研究人员还了解到，广告商还可以访问另一个名为DarkBERT的大型语言模型，该模型由韩国研究人员开发，使用暗网数据进行训练，但目的是为了打击网络犯罪。 DarkBERT可以根据相关的电子邮件地址提供给学术人士，但SlashNext强调，获取邮件地址对黑客或恶意软件开发人员来说远远谈不上是挑战，他们花上大约3美元就能从学术机构获得电子邮件地址。 图2. 待售的.EDU电子邮件账号（图片来源…

研究人员发现一款基于Go的多平台恶意软件——NKAbuse，这是首个发现的滥用新网络技术（NKN）进行数据交换的恶意软件。 NKN NKN(新网络技术)是一种使用区块链技术管理资源和维护安全以及透明模型的去中心化点对点网络协议。NKN的作用之一是优化数据传输速率和网络延迟，具体步骤是通过计算高效的数据包传递路径来实现的。与Tor网络类似，个人用户可以通过运行节点加入NKN网络。目前，NKN网络有大约60710个节点，大量阶段的参与可以增强网络的鲁棒性、去中心化、以及处理大量数据的能力。 图 NKN的数据流动 NKAbuse恶意软件 NKAbuse是一款基于Go的多平台恶意软件，这是首个滥用新网络技术（NKN）进行数据交换的恶意软件，主要攻击位于墨西哥、哥伦比亚和越南的Linux主机。其中一个NKAbuse感染的案例利用了Apache Struts漏洞(CVE-2017-5638)来攻击金融机构。虽然大多数攻击的目标是Linux计算机，但恶意软件也可以入侵物联网设备，并支持MIPS、ARM和386架构。 DDoS攻击 NKAbuse录用NKN公链协议来实现大量的洪泛攻击，并在Linux系统中植入后门。具体来说，恶意软件客户端与僵尸主机通过NKN来发送和接收数据。C2发送的payload命令包括针对特定目标的HTTP、TCP、UDP、PING、ICMP、SSL洪泛攻击等。 图 DDoS攻击命令 所有这些payload之前也被用于僵尸网络，因此当与NKN相结合后，恶意软件就可以等待管理主机发起混合攻击。 RAT 除了DDoS能力外，NKA…

2022年9月，工信部发布《国家车联网产业标准体系建设指南（智能网联汽车）（2022年版）（征求意见稿），预计到 2025 年，系统形成能够支撑组合驾驶辅助和自动驾驶通用功能的智能网联汽车标准体系，到 2030 年，全面形成能够支撑实现单车智能和网联赋能协同发展的智能网联汽车标准体系。在智能网联汽车系统中，车辆通过各种传感器、通信设备和计算资源连接到互联网，实现车辆与车辆、车辆与基础设施、车辆与用户之间的信息交互和数据共享。然而，这样的连接也带来了一系列安全风险，如恶意攻击、黑客入侵、数据泄露、远程操控等。 在此背景下，嘶吼安全产业研究院预计出品《先稽我智 安能动之：汽车智能网联安全调研报告 2023》意义深远，我们衷心希望，通过共同努力和创新，汽车智能网联安全行业能够蓬勃发展，为用户提供更安全、智能的出行体验，并为社会交通安全作出应有的贡献。 一、本报告研究内容 本报告具体内容包括如下四个方面： 1、汽车智能网联安全概述。 2、汽车智能网联安全产业SCP分析+市场调研。 本次报告通过SCP模型串联整个汽车智能网联安全产业情况，配合问卷调研+公开访谈。问卷调研聚焦汽车智能网联安全厂商+产品情况，具体包括汽车智能网联安全相关厂商情况评估、其产品情况评估和竞争能力评估等。 3、汽车智能网联安全未来趋势。结合调研问卷阐述汽车智能网联安全技术、创新等方面的趋势。 4、汽车智能网联安全典型厂商案例。 二、本报告预计发布时间 2023年10月 汽车智能网联安全调研报告发布会 三、本报告发布渠道 1、在嘶吼自媒体矩阵平台，包括但不限于微信公众号、官网…

法国巴黎大皇宫是负责管理法国多家博物馆和文化场所的机构。它负责监督博物馆运营的各个方面，包括展览、文化节目和运营。 据了解，该馆于 2024 年 8 月 3 日星期六晚遭受了网络攻击。 其本身是巴黎的一处历史遗址和展览馆，目前举办奥运会的大型艺术展览和文化活动，包括击剑和跆拳道比赛。 据外媒透露，大皇宫剧院的运营中断是勒索软件攻击造成的。然而，卢浮宫馆长在社交媒体上反驳了有关此次袭击影响到其他博物馆的说法，包括著名的卢浮宫，该博物馆在当前的旅游繁荣时期尤为重要。 据法国媒体报道，此次攻击导致巴黎大皇宫博物馆关闭系统，以此防止攻击蔓延，此次攻击导致法国多家博物馆的书店和精品店停业。不过，当局已制定解决方案，让这些书店和精品店能够自主运营。 大皇宫博物馆方面表示，此次网络攻击没有对其管理的博物馆造成其他影响，博物馆仍在正常运营，奥运会赛事也顺利进行。 “至于大皇宫博物馆管理的 36 家博物馆商店，它们正在正常、自主地运营，博物馆及其商店在正常情况下仍向公众开放。”大皇宫博物馆表示，它立即向 ANSSI（法国网络安全工作组）、国家信息和自由委员会 (CNIL) 和文化部通报了此次网络攻击事件。 ANSSI 目前正在协助补救和网络恢复过程，而初步调查尚未发现任何受感染系统数据泄露的迹象。 然而，据称威胁者留下了一张勒索信，要求以加密货币支付，否则他们会泄露在攻击中窃取的数据。 有可靠证据表明，此次攻击可能是由 Grand Palais Rmn 合作者的账户被劫持引起的，其凭证被信息窃取恶意软件窃取。 目前还没有任何勒索软件组织出面对此次攻击负责…

WhatsApp for Windows 最新版本中存在一个安全问题，允许发送 Python 和 PHP 附件，当收件人打开这些附件时，这些附件会在没有任何警告的情况下执行。要成功攻击，需要安装 Python，这一先决条件可能会将目标限制在软件开发人员、研究人员和高级用户。 该问题与 4 月份影响 Windows 版 Telegram 的问题类似，该问题最初被拒绝但后来得到修复，攻击者可以在通过消息传递客户端发送 Python .pyzw 文件时绕过安全警告并执行远程代码执行。 WhatsApp 屏蔽了多种被认为对用户有风险的文件类型，但该公司不打算将 Python 脚本添加到列表中且PHP 文件 (.php) 也不包含在 WhatsApp 的阻止列表中。 Python、PHP 脚本未被阻止 安全研究员 Saumyajeet Das 在试验可以附加到 WhatsApp 对话中的文件类型时发现了此漏洞，以查看该应用程序是否允许任何有风险的文件。当发送潜在危险的文件（例如 .EXE）时，WhatsApp 会显示该文件并为收件人提供两个选项：打开或另存为。 WhatsApp 的可执行文件选项 但是，当尝试打开文件时，WhatsApp for Windows 会生成错误，用户只能选择将文件保存到磁盘并从那里启动它。在测试中，使用 WhatsApp for Windows 客户端时，此行为与 .EXE、.COM、.SCR、.BAT 和 Perl 文件类型一致。Das 发现 WhatsApp 还会阻止 .DLL、.HTA 和 VBS 的执行。 对于…

漏洞概述 OpenSSH是一个开源实现的SSH协议，用于加密网络通信。OpenSSH提供了一个安全的通道来访问远程计算机或服务器，并包含了一组客户端和服务器工具，以提供包括远程登录、远程执行命令、文件传输等功能。 CVE-2024-6387影响使用glibc的Linux系统，该漏洞被称为”RegreSSHion”。这个漏洞允许未经身份验证的用户在默认配置的情况下，通过LoginGraceTime参数进行远程代码执行，从而以root权限控制受影响的系统。 这个漏洞一旦被利用，可能会导致系统全面崩溃，攻击者可以使用最高权限执行任意代码，从而导致系统全面接管、安装恶意软件、篡改数据和创建后门进行持久访问。它可能会促进网络传播，使攻击者可以利用被入侵的系统作为立足点，穿越并利用组织内其他易受攻击的系统。 漏洞详情 目前该漏洞利用详情已公开，DayDayPoc平台收录了该漏洞poc，访问如下链接可查看漏洞poc https://www.ddpoc.com/DVB-2024-7376.html 影响范围 根据DayDayMap(www.daydaymap.com)全球网络空间资产测绘平台的数据显示，全球有上亿条资产可能遭受该漏洞的影响。国内风险资产主要分布在香港和北京。 DayDayMap查询语法： protocol.service="ssh" 解决方案 目前官方已有可更新版本，建议受影响用户升级至最新版本：OpenSSH > 9.8p1 官方补丁下载地址： https://www.openss…

10月5日，密码学专家Filippo Valsorda发布漏洞奖励计划，对首个破解NIST 椭圆曲线seeds（随机数种子）和用来生成seeds的原始短语的人给予12288美元（约合8.97万元人民币）的奖励，如果奖励接受者决定将奖励捐献给501(c)(3)慈善机构，那么奖励将增加到36864美元（约合26.9万元人民币）。 该挑战赛的其他发起人包括Johns Hopkins大学教授Matt Green、PKI和Chromium贡献者 Ryan Sleevi、浏览器安卓专家Chris Palmer、"Logjam attack"发现者David Adrian和AWS密码学工程师Colm MacCárthaigh。 在椭圆曲线密码学（ECC）中，seeds（随机数种子）是用作加密算法或生成密码学密钥的初始输入的值，ECC依赖定义在有限域上的椭圆曲线的数学概念来生成相对短的安全密钥。2000年NIST FIPS 186-2数字签名标准中引入的NIST椭圆曲线（P-192, P-224, P-256, P-384和 P-521）对现代密码学来说非常重要。其中使用了NSA（美国国家安全局）1997年生成的seeds。 该曲线是由其系数和随机seed值确定的，派生密钥的确定性过程是透明和可验证的，以减少可能的隐藏漏洞，终端用户和开发者无需直接与这些seeds进行交互，而是使用选定的密码学协议的椭圆参数。 但关注系统安全性和完整性的研究人员比较关注seeds的源。没有人知道这些seeds是如何生成的，有谣言和研究表明这些seeds是由NSA Jer…