蓝队取证审计网络安全

往期回顾： 2024.10.21—2024.10.27安全动态周回顾 2024.10.14—2024.10.20安全动态周回顾 2024.10.7—2024.10.13安全动态周回顾 2024.9.23—2024.9.29安全动态周回顾 2024.9.16—2024.9.22安全动态周回顾 2024.9.9—2024.9.15安全动态周回顾 2024.9.2—2024.9.8安全动态周回顾

据一项民意调查显示，60% 的小企业担心网络安全威胁，58% 的小企业担心供应链崩溃，专业服务行业的小企业比制造业的小企业更担心网络安全威胁。 其中，最担心网络安全威胁的小型企业包括拥有 20-500 名员工的企业 (74%) 和专业服务行业的企业 (71%)。最不担心的小型企业包括制造业企业 (61%)、女性拥有的企业 (68%) 和健康状况一般的企业 (64%)。” 服务企业的担忧是正确的。企业面临的最严重的网络威胁是勒索软件，在几乎任何国家/地区，服务业都是受勒索软件打击最严重的行业。 然而，虽然服务业比制造业遭受的攻击更多，但差距正在稳步缩小，几乎可以忽略不计。 2024 年 2 月按行业划分的已知勒索软件攻击 不过，面对网络威胁，小型企业大都不会无动于衷。49% 的受访者表示，他们在过去一年中对员工进行了网络安全措施培训，23% 的受访者认为他们已“做好充分准备”应对网络威胁，50% 的受访者认为“已做好一定准备”。 对于小型企业的担忧其实并不意外，它们的资源有限但却需要与大型企业一样打击复杂的犯罪团伙。 而且，网络犯罪分子也在不断发展策略。他们喜欢利用社会工程以及互联网连接设备和服务中的漏洞，而不是老式恶意软件来渗透系统和网络。一旦他们侵入公司网络，就会越来越多地利用合法工具而不是恶意软件来进行攻击，这种策略被称为“靠地生存”，这也时刻提醒着企业们需要迭代出能够应对这些威胁的不同方法和安全解决方案。

安全研究人员发现了四个漏洞，影响多个版本的 WebOS（LG 智能电视使用的操作系统）。这些缺陷可以对受影响的模型进行不同程度的未经授权的访问和控制，包括授权绕过、权限升级和命令注入。 潜在的攻击取决于使用在端口 3000/3001 上运行的服务在设备上创建任意帐户的能力，该服务可用于使用 PIN 的智能手机连接。 连接电视的 PIN 安全研究人员解释说，虽然易受攻击的 LG WebOS 服务应该只在局域网 (LAN) 设置中使用，但 Shodan 互联网扫描显示， 91000 个暴露的设备可能容易受到这些缺陷的影响。 这四个缺陷总结如下： ·CVE-2023-6317允许攻击者利用变量设置绕过电视的授权机制，从而在没有适当授权的情况下向电视机添加额外的用户。 ·CVE-2023-6318是一个特权提升漏洞，允许攻击者在 CVE-2023-6317 提供的初始未经授权的访问之后获得 root 访问权限。 ·CVE-2023-6319涉及通过操纵负责显示音乐歌词的库来注入操作系统命令，从而允许执行任意命令。 ·CVE-2023-6320允许通过利用com.webos.service.connectionmanager/tv/setVlanStaticAddress API 端点进行经过身份验证的命令注入，从而以 dbus 用户身份执行命令，该用户具有与 root 用户类似的权限。 这些漏洞影响 LG43UM7000PLA上的 webOS 4.9.7–5.30.40、OLED55CXPUA上的 webOS 04.50.51–5.5.0、O…

近日人脸识别防护问题已成焦点，嘉峪关网警、大连市银行协会发布信息，称市民A先生与不法分子视频通话期间手机被犯罪分子控制，未接收到验证码，通话后手机收到消息提示，银行定期存款已被销户，银行人脸识别系统未发挥效果，资金已被转出。经侦查后发现，犯罪分子事先获取了A先生的身份证影像信息，并通过技术手段合成了短视频，使用该视频成功应对了银行大额资金转账时的人脸识别验证。 目前人脸识别防护技术存在明确的安全隐患，人脸信息发生泄露的风险主要存在于收集、存储、使用、加工、传输，其中使用、加工、传输需要金融机构等厂商提高重视度，收集、存储环境也需消费者提高警惕心。消费者不应随意同陌生人的视频聊天、下载来源不明的App、随意参与App内的录制视频/声音活动，北京互联网法院综合审判三庭副庭长曾表示“一些营销短视频、音频的商家经常在未经当事人许可和同意的情况下进行换脸、换声操作，以此获利”，降低人脸信息的收集、存储环节的安全隐患。消费者应保护好银行卡号、密码、身份证等个人信息；人脸、指纹等个人生物信息，发现可疑行为及时报警。 个人生物信息一旦泄露便后患无穷，尤其是人脸信息，上述案例中的收集人脸信息、通过技术手段攻击人脸识别防护系统，攻破后进行盗取转移资金等违法行为的犯罪链已较为成熟。通过AI技术攻击人脸识别防护系统的手段可分为深度伪造攻击与对抗样本攻击。深度伪造攻击是将一个人的面部表情移植到另一个人照片的面部，从而让被移植人照片活化起来；对抗样本攻击是在人脸照片上添加难以察觉的微小扰动使人脸识别系统误判。本次案例中，不法分子极可能是利用视频通话采集受害者人脸信息…

Hunters International 勒索软件组织正利用一种名为 SharpRhino 的新型远程访问木马 (RAT) 攻击 IT 工作者，侵入公司网络。 该恶意软件可帮助 Hunters International 实现初始感染，提升他们在受感染系统上的权限，执行 PowerShell 命令，并最终部署勒索软件负载。 Quorum Cyber 的研究人员观察到勒索软件攻击中使用的恶意软件是由一个冒充 Angry IP Scanner 网站的域名抢注网站传播的，Angry IP Scanner 是 IT 专业人员使用的合法网络工具。 2024 年 1 月，网络安全公司 eSentire 和研究员 0xBurgers 就曾发现该恶意软件通过一个假冒的 Advanced IP Scanner 网站传播。 Hunters International 是一个在 2023 年底开始活跃的勒索软件组织，由于其代码相似性而被标记为可能是 Hive 的品牌重塑。著名的受害者包括美国海军承包商 Austal USA、日本光学巨头 Hoya、Integris Health 和弗雷德哈金森癌症中心。 到目前为止，2024 年该威胁组织已宣布对全球各个组织（CIS 除外）发动了 134 起勒索软件攻击，在该领域最活跃的组织中排名第十。 SharpRhino RAT SharpRhino 利用数字签名的 32 位安装程序进行传播，其中包含自解压的受密码保护的 7z 存档以及用于执行感染的附加文件。 存档内容 安装程序会修改 Windows 注册表以实现持久…

一台计算机在天空中以每小时数万公里的速度飞行成百上千公里，不过它依然是一台计算机。而每台联网计算机都存在攻击面。 研究人员、敌对政府、甚至普通的网络犯罪分子早就展示了如何劫持卫星技术的控制和通信方面。就在去年俄罗斯地面入侵的当天，俄罗斯黑客导致乌克兰卫星互联网服务提供商Viasat出现服务中断。11月18日，亲俄黑客活动组织Killnet对SpaceX的“星链”（Starlink）系统进行了分布式拒绝服务（DDoS）攻击，该系统为乌克兰的断网地区提供连接。最近，瓦格纳集团声称对俄罗斯互联网提供商Dozor-Teleport的暂时中断负责。据推测，该集团是通过将恶意软件上传到多个卫星终端大搞破坏的。 很明显，我们可以破坏卫星链路，但卫星本身破坏得了吗？高空中的固件和软件破坏得了吗？它们同样暴露在威胁面前。 在下个月于拉斯维加斯举行的美国黑帽大会上，德国波鸿鲁尔大学的博士生Johannes Willbold将演示卫星如何可能被黑客肆意操纵（剧透一下：没有那么难。） 他承认：“当然存在隐蔽式安全（security by obscurity），但除此之外，许多卫星并没有采取任何其他措施来防止被滥用。” 卫星坚持隐蔽式安全 在今年早些时候发表的一篇论文中，Willbold和五位同事调查了代表17种不同型号卫星的19名工程师和开发人员。在17个受访者中，3个受访者承认没有实施任何措施来防止第三方入侵。5个受访者不确定或拒绝置评，而剩下的9个受访者确实采取了一些防御措施。然而，即使采取防御措施的受访者中也有一些没有把握——比如说，9个受访者中只有5个实…

目前，来自俄罗斯、土耳其、乌克兰和欧亚地区其他国家的超过 28,000 人正受到大规模加密货币窃取恶意软件活动的影响。 该恶意软件活动将自己伪装成通过 YouTube 视频和欺诈性 GitHub 存储库推广的合法软件，受害者在其中下载受密码保护的档案，从而引发感染。 据网络安全公司 Dr. Web 称，该活动使用盗版办公相关软件、游戏作弊和黑客行为，甚至自动交易机器人来欺骗用户下载恶意文件。 据悉，这次恶意软件活动总共影响了 28,000 多人，其中绝大多数是俄罗斯居民。另外。白俄罗斯、乌兹别克斯坦、哈萨克斯坦、乌克兰、吉尔吉斯斯坦和土耳其也发现了大量感染病例。 宣传 Microsoft Excel 本地化（俄语）下载的恶意网站 感染链 感染首先打开一个自解压存档，该存档在下载时会逃避防病毒扫描，因为它受密码保护。受害者输入提供的密码后，存档会释放各种混淆的脚本、DLL 文件和用于启动主有效负载的数字签名加载程序的 AutoIT 解释器。 该恶意软件会检查调试工具是否存在，以查看它是否在分析人员的环境中运行，如果发现任何工具，则会终止。 接下来，它提取攻击后续阶段所需的文件，然后使用图像文件执行选项 (IFEO) 技术修改 Windows 注册表以实现持久性。 简而言之，它利用恶意服务劫持合法的 Windows 系统服务以及 Chrome 和 Edge 的更新进程，因此恶意软件文件会在这些进程启动时执行。 Windows 恢复服务被禁用，并且恶意软件文件和文件夹的“删除”和“修改”权限被撤销，以防止尝试清理。 从那时起，Ncat 网络…

文章来源：工业和信息化部科技司

众多开发者认为SO文件相对而言更加安全，并将许多核心算法、加密解密方法、协议等放在SO文件中。但是，黑客可以通过反编译SO库文件，窃取开发者花费大量人力物力财力的研发成果，进行创意窃取或二次打包，使得开发者和用户利益受损。 作为知名移动信息安全综合服务提供商，爱加密在SO加固方面拥有3大技术优势。 一、爱加密so VMP技术，对so文件的源码进行虚拟化保护，实现数据隐藏、防篡改、防Dump，增加逆向分析的难度。 二、爱加密so Linker技术，对so文件代码段、导出表和字符串等进行加密压缩，在函数运行时动态解密，防止so文件被静态分析，通过内存DUMP源码。 三、多重保护：多种so加固技术可以联合使用，增大了代码反汇编调试破解难度，提高so文件的安全性。爱加密可对Android及Linux 进行so加固，本次仅讲述Android SO加固方面的6大核心技术，即so加壳、so源码混淆、so源码虚拟化保护、so防调用、so Linker、so融合。 so加壳 利用自定义加密算法对C/C++源码编译出来的so文件进行加壳，将so文件的编码进行改变，使加壳后的so文件无法通过ida反编译工具查看导出符号，使so文件无法正确反编译和反汇编。加固后效果如图： so 源码混淆 爱加密通过对so文件的源码进行混淆，降低黑客反编译的可读性，增加反编译难度。可多种混淆方式联用，可根据自己的实际需求选择混淆强度，包含字符串加密、等效指令替换、基本块调度、基本块分裂、虚假控制流、控制流扁平化、控制流间接化，本次篇幅有限仅介绍前四种技术手段。 字符串加密：…

声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 01 总统专车面临的风险 美国历史上，自从1865年林肯总统被刺杀以来，已经有四位总统遭遇暗杀以身殉职，更有许多总统遭遇暗杀未遂，所以美国方面历来重视总统的安保工作。 就像大家在电影新闻上看到的，总统出国访问时，一个由黑色系车辆组成的总统车队里，一个个黑衣帅哥戴着耳机一脸严肃严阵以待。 其实，在伊拉克和阿富汗将近十五年的战争中，反简易爆炸装置 (IED) 和动态通信干扰技术取得了长足的进步，这种系统已经在海外挽救了数百甚至数千人的生命。 在过去十年的后半期，阿富汗和伊拉克各地，美军已经在 MRAP、APC 和装甲车上部署了更先进的技术。 当然，其中关键技术也部署到了总统车队的特种车辆上。 02 第一次见到总统车队 杨叔第一次见到总统车队，是在1998年。杨叔专门翻了些历史资料，和大家一起分享这份记忆。 1998年6月，美国克林顿总统访华，首站放在西安。据报道，克林顿总统的访华团队规模之大是空前的： 随行人数多达1200人，动用了包括空军一号在内的四架飞机和若干架大型运输机，仅是通讯器材就有60吨，随机记者200人，还有另外175个记者是自己打飞的来的。 记得当年克林顿来西安，入住在城东门附近的凯悦大酒店。不过美国总统出访外国前，会提前一两个月派出先遣高级安保人员，与出访国有关方面进行工作对接。 所以杨叔清楚地记得，当时克林顿访华前，在凯悦酒店对面路过，能清晰地看到酒店门口停着两辆酷酷的黑色防弹雪佛兰。 1998…

继WormGPT（使用面向恶意软件的数据进行训练的ChatGPT克隆版）之后，如今又出现了一种新的生成式人工智能黑客工具：FraudGPT，据称至少另一种基于谷歌的AI聊天机器人Bard的工具正在开发中。 这两个基于AI的机器人程序都出自同一人之手，此人似乎热衷于专门针对众多的恶意用途训练的聊天机器人，包括网络钓鱼、社会工程攻击以及利用漏洞和创建恶意软件。 FraudGPT于7月25日问世，由用户名为CanadianKingpin12的人在各种黑客论坛上四处宣传，他称这款工具是面向骗子、黑客和垃圾邮件发送者的。 图1. FraudGPT在黑客论坛上推广（图片来源：SlashNext） 下一代网络犯罪聊天机器人 网络安全公司SlashNext的研究人员开展的调查显示，CanadianKingpin12正在积极使用从暗网获取的不受限制的数据集训练新的聊天机器人，或基于为打击网络犯罪而开发的复杂的大型语言模型训练聊天机器人。 CanadianKingpin12在私下表示，他们在开发DarkBART——这是谷歌的对话生成式人工智能聊天机器人的“恶意版本”。 研究人员还了解到，广告商还可以访问另一个名为DarkBERT的大型语言模型，该模型由韩国研究人员开发，使用暗网数据进行训练，但目的是为了打击网络犯罪。 DarkBERT可以根据相关的电子邮件地址提供给学术人士，但SlashNext强调，获取邮件地址对黑客或恶意软件开发人员来说远远谈不上是挑战，他们花上大约3美元就能从学术机构获得电子邮件地址。 图2. 待售的.EDU电子邮件账号（图片来源…

漏洞概述 Easy Chat Server是一款基于Web的在线聊天服务器程序，运行系统为Windows，支持创建多个聊天室，多人在线聊天，该软件曾出现过多个漏洞。近日，安全研究人员发现该软件还存在基于栈溢出的漏洞，漏洞编号CVE-2023-4494。该漏洞源于使用HTTP GET对register.ghp文件进行访问时，未检查用户提交的username值的长度是否超过限制，从而使栈缓冲区溢出，覆盖其他内存空间，可导致任意代码执行。 影响范围 <=3.1 复现环境 操作系统：Win7 sp1，Kali linux 分析工具：IDA，Windbg，OLLYDBG，Burp Suite 漏洞复现 安装3.1版本的Easy Chat Server程序，安装完成后主程序路径为C:\EFS Software\Easy Chat Server\EasyChat.exe。当前服务器IP为192.168.220.128，启动主程序后，主界面如下图所示： 使用浏览器对主页进行访问，Web主界面如下图所示： 根据CVE官方公告，使用HTTP GET对register.ghp文件进行访问时，username字段可导致漏洞产生。所以使用浏览器访问http://192.168.220.128/register.ghp?username=test进行尝试，Web响应界面如下图所示： 可以看出，register.ghp可能是用户注册页面。同时反编译EasyChat.exe程序，发现还需要传递Password等字段。反编译如下图所示： 再次使用浏览器…

10月12日，微软发布新的人工智能漏洞奖励计划，重点关注人工智能赋能的Bing服务，单个漏洞最高奖励15000美元。该漏洞奖励计划将人工智能技术赋能的Bing相关服务纳入范围，安全人员可以向该漏洞奖励计划提交以下服务和产品中的漏洞： 1.浏览器上访问bing.com的人工智能相关的Bing体验，主要包括 Bing Chat、Bing Chat企业版、Bing Image Creator； 2.嵌入微软Edge浏览器(Windows)的人工智能赋能的Bing服务，包括Bing Chat企业版； 3.嵌入微软Start应用的人工智能赋能的Bing服务，包括iOS和安卓版； 4.嵌入微软Skype Mobile应用的人工智能赋能的Bing服务，包括iOS和安卓版。 与Bing相关的在线服务相关漏洞属于M365漏洞奖励计划，新发布的漏洞奖励计划主要关注人工智能系统，包括引发以下结果的漏洞： 1.在用户边界改变Bing聊天行为，比如改变人工智能行为以影响其他用户； 2.通过修复客户端或服务器可见配置来调整BIng的聊天行为，包括修改调试和行为标记； 3.绕过与跨会话内容和历史删除相关的Bing的安全保护； 4.泄露Bing的内部机制和提示词、决策过程和机密信息； 5.绕过Bing聊天模式会话中的限制和规则。 只影响攻击者、模型Hallucination(幻觉)攻击、不准确或保护性的聊天回复等不属于漏洞奖励计划的奖励内容。符合漏洞奖励计划的漏洞根据漏洞类型、漏洞质量、漏洞影响，将获得2000到15000美元的奖励。 微软称，已通过17个不同的漏洞奖…

我们可以通过使用CyberChef和Regex来克服大量基于文本的混淆，在混淆后，系统将识别一些“畸形”的shellcode，我们将在使用SpeakEasy模拟器进行模拟之前手动修复。 哈希：e8710133491bdf0b0d1a2e3d9a2dbbf0d58e0dbb0e0f7c65acef4f788128e1e4，示例链接请点此。 TLDR 1.识别功能和混淆类型； 2.清除基本混淆与正则表达式和文本编辑器； 3.使用Regex, CyberChef和Subsections去除高级混淆； 4.识别shellcode并修复负字节值(Python或CyberChef)； 5.使用Speakeasy验证和仿真。 初步分析 可以使用受感染的密码保存和解压缩脚本，这样我们可以使用文本编辑器(如notepad++)直接打开文件。 打开后，我们可以看到脚本引用了一些Excel对象以及Wscript.Shell，通常用于执行 .vbs 脚本。 在这个阶段，我们将跳转到使用Wscript来利用Excel执行代码的假设，避免分析Excel/Wscript组件，直接跳转到解码混乱的命令/代码。 我们可以假设代码的初始部分是利用Excel和Wscript来运行一个被混淆的vbs脚本。 混淆技术概述 从第30行开始，可以看到两种主要的混淆形式。 1.脚本被分解成许多小字符串，例如“hello world”将是“hello”＆“world” 2.该脚本使用Chr解码的十进制编码值。例如，“Hello World”可以是“Hell”＆ chr(111)＆“Wo…

近期，威胁研究人员披露了多个报废 D-Link 网络附加存储 (NAS) 设备型号中存在新的任意命令注入和硬编码后门缺陷。 发现该缺陷的研究人员“Netsecfish” 解释说 ，该问题存在于“/cgi-bin/nas_sharing.cgi”脚本中，影响其 HTTP GET 请求处理程序组件。 导致该缺陷的两个主要问题（编号为 CVE-2024-3273）是通过硬编码帐户（用户名：“messagebus”和空密码）促成的后门以及通过“system”参数的命令注入问题。 当链接在一起时，任何攻击者都可以在设备上远程执行命令。 命令注入缺陷是由于通过 HTTP GET 请求将 Base64 编码的命令添加到“system”参数，然后执行该命令而引起的。 恶意请求示例 研究人员警告说：“成功利用此漏洞可能允许攻击者在系统上执行任意命令，从而可能导致未经授权访问敏感信息、修改系统配置或拒绝服务条件。” 受 CVE-2024-3273 影响的设备型号包括： ·DNS-320L 版本 1.11、版本 1.03.0904.2013、版本 1.01.0702.2013 ·DNS-325 版本 1.01 ·DNS-327L 版本 1.09，版本 1.00.0409.2013 ·DNS-340L 版本 1.08 网络扫描显示超过 92000 个易受攻击的 D-Link NAS 设备在线暴露，容易受到这些缺陷的攻击。 互联网扫描结果 没有可用的补丁 在联系 D-Link 询问该缺陷以及是否会发布补丁后，供应商表示 NAS 设备已达到使用寿命 (EOL)…

CrushFTP 服务器包含敏感数据并用于文件共享和存储，这使得它们经常成为黑客数据盗窃和勒索软件攻击的目标。 此外，CrushFTP服务器中的漏洞可能被用来未经授权地访问网络或向连接的系统分发恶意软件。 最近，Silent Push的研究人员发现，在版本10.7.1/11.1.0之前的CrushFTP中存在有严重的零日漏洞，标识为CVE-2024-4040，其CVSS评分为9.8。 技术分析 未经身份验证的漏洞允许攻击者通过Web界面逃离虚拟文件系统，获取管理员访问权限和远程代码执行功能。 CrushFTP强烈建议立即进行升级，即使是在DMZ（隔离区域）部署的情况下也是如此。 研究人员正在监控此漏洞，并利用易受攻击的域、托管服务的IP和基础设施填充数据源，并积极利用CVE-2024-4040进行早期检测。 Silent Push每天进行互联网范围内的扫描，利用SPQL对数据进行分类，以定位相关的基础设施和内容。 利用CVE-2024-4040的信息，已确定了暴露于互联网的CrushFTP Web界面可利用的情况。 由此产生的易受攻击的域和IP已经被聚集到两个批量数据源中，供企业客户分析受影响的基础设施。 下面，提到了这两个批量数据源： ·CrushFTP 易受攻击的域 ·CrushFTP 易受攻击的 IP SPQL的核心是一种跨越90多个类别的DNS数据分析工具。纵观全球范围内，CrushFTP接口容易受到CVE-2024-4040的攻击的国家，大多数位于美国和加拿大，但也有许多可以在南美洲、俄罗斯、亚洲和澳大利亚以及其他地方找到。…

往期回顾： 2024.4.22—2024.4.28安全动态周回顾 2024.4.15—2024.4.21安全动态周回顾 2024.4.8—2024.4.14安全动态周回顾 2024.4.1—2024.4.7安全动态周回顾 2024.3.25—2024.3.31安全动态周回顾 2024.3.18—2024.3.24安全动态周回顾 2024.3.11—2024.3.17安全动态周回顾

据网络安全公司的统计数据显示，越来越多的公司拒绝向勒索软件团伙支付勒索赎金， 2024 年第一季度支付赎金的公司达到历史新低，只有 28%。 2023 年第四季度为 29%，自 2019 年初以来，愿意向勒索软件组织支付赎金的企业一直在减少。 这种下降是由于企业进行了更先进的保护措施，以及网络犯罪分子一再违反在支付赎金的情况下不会发布或转售被盗数据的承诺作废致使诚信力缺失。 近年来赎金支付率 然而，值得注意的是，尽管支付率有所下降，但根据 Chainaanalysis 的报告显示，支付给勒索软件组织的金额比以往任何时候都高，去年达到 11 亿美元。 这是由于勒索软件团伙通过提高攻击频率来攻击更多的企业，并要求提供更具体的数字，以防止泄露被盗的秘密并为受害者提供解密密钥。 Coveware 报告称，2024 年第一季度，平均赎金金额环比下降 32%，目前为 381980 美元，而赎金金额中位数环比增加 25%，为 250000 美元。 付款金额趋势 平均赎金金额的下降和中位数赎金金额的增加，表明高额赎金的减少和适度金额的增加。这可能是由于赎金要求变得更加温和或勒索的高价值目标减少所致。 关于初始渗透方法，未知的案例数量不断增加，在 2024 年第一季度达到所有报告案例的近一半。 勒索软件攻击媒介 从已确定的漏洞来看，远程访问和漏洞利用发挥了最大的作用，其中 CVE-2023-20269、CVE-2023-4966 和 CVE-2024-1708-9 缺陷在第一季度被勒索软件运营商利用得最为广泛。 执法效果 Coveware 报告称，…

黑客利用新的 GodLoader 恶意软件，广泛使用 Godot 游戏引擎功能，在短短三个月内逃避检测并感染了 17,000 多个系统。 Check Point Research 在调查攻击时发现，威胁者可以使用此恶意软件加载程序来针对所有主要平台（包括 Windows、macOS、Linux、Android 和 iOS）的游戏玩家。它还利用 Godot 的灵活性及其 GDScript 脚本语言功能来执行任意代码，并使用游戏引擎 .pck 文件（打包游戏资产）绕过检测系统来嵌入有害脚本。 一旦加载，恶意制作的文件就会触发受害者设备上的恶意代码，使攻击者能够窃取凭据或下载其他有效负载，包括 XMRig 加密矿工。 该矿工恶意软件的配置托管在 5 月份上传的私人 Pastebin 文件中，该文件在整个活动期间被访问了 206,913 次。 至少自 2024 年 6 月 29 日起，网络犯罪分子一直在利用 Godot Engine 执行精心设计的 GDScript 代码，从而触发恶意命令并传播恶意软件。VirusTotal 上的大多数防病毒工具仍未检测到这种技术，可能仅在短短的时间内就感染了超过 17,000 台计算机。 Godot 拥有一个充满活力且不断发展的开发者社区，他们重视其开源性质和强大的功能。超过 2,700 名开发者为 Godot 游戏引擎做出了贡献，而在 Discord、YouTube 和其他社交媒体平台等平台上，Godot 引擎拥有大约 80,000 名关注者，他们可以随时了解最新消息。 攻击链 攻击者通过 Starga…

往期回顾： 2024.9.23—2024.9.29安全动态周回顾 2024.9.16—2024.9.22安全动态周回顾 2024.9.9—2024.9.15安全动态周回顾 2024.9.2—2024.9.8安全动态周回顾 2024.8.26—2024.9.1安全动态周回顾 2024.8.19—2024.8.25安全动态周回顾 2024.8.12—2024.8.18安全动态周回顾

0x01 事件背景 2024年7月19日下午2点左右，大量外资企业和机构的Windows 机器出现蓝屏死机（BSOD）问题，受影响的机器会自动蓝屏，并且无法通过重启解决问题。 在短时间内全球多地爆出蓝屏导致的业务无法正常开展的事件，其中不乏包括国外知名的机构和单位，包括： 美国达美航空、联合航空和美国航空在内的多家美国主要航空公司的所有航班受蓝屏事件影响宣布当天上午停飞。 Microsoft 365订阅服务对于部分用户而言已无法使用，其状态页面警告称客户可能无法访问SharePoint Online、OneDrive for Business、Teams、Intune、PowerBI、Microsoft Fabric、Microsoft Defender和Viva Engage。 英国伦敦证券交易所宣布受蓝屏事件影响暂停交易。 日本轨道交通公司宣布受蓝屏事件影响无法查看列车的实时运行情况，不得已取消多条线路。 澳大利亚亚航空公司、银行、政府网络、企业、超市自动收银机等受到影响。 印度靛蓝航空、阿卡萨航空和香料航空在内的多家航空公司受蓝屏事件影响停飞，航班运营因此中断。 新加坡樟宜机场受蓝屏事件影响无法正常运营。 中国上海多家外企受到影响，环球影城和迪士尼受影响无法正常结算 本次事件主要影响的是国外机构与国内外资企业，有趣的是国内个人终端用户偏爱的盗版windows系统以及裸奔的安全防护反而使其逃过了一劫。在极短的时间内，微软蓝屏事件冲上微博热搜榜第一。此次事件的影响范围之广堪称旷古绝今，必将在互联网历史上留下深刻…

近期，Gartner 预测 2024 年全球安全和风险管理支出将增长14.3%，这一增长使得人们重新关注具有成本效益的网络安全投资。 低效的网络安全支出随着预算的增加，变得愈加引发关注，低效的支出通常会导致购买不同的安全工具，这可能会造成更多的安全漏洞并增加违规风险。 简而言之，随着 2024 年网络安全支出的增加，企业必须进行不仅具有成本效益、而且能够切实加强防御的投资。 接下来，本文将深入探讨 2024 年智能网络安全支出的三项基本策略。 进行彻底的需求分析 如果不仔细分析真正需要什么商品或服务，企业可能会陷入“工具蔓延”的陷阱，即积累过多的网络安全工具。 但安全防御目标应该是根据实际需求定制网络安全投资，避免使用不必要的技术。例如，小型企业可能不太需要复杂的企业级入侵检测系统，而大型企业可能也不需要基本的消费级安全解决方案。 仓促选择多个网络安全供应商可能会适得其反。兼顾多个供应商通常会使支持流程变得复杂，由于各种系统而增加培训负担，并对无缝工具集成提出挑战。 选择集成安全解决方案 为了避免浪费开支，请投资将多种保护措施合二为一的安全平台。这不仅更具成本效益，实际上还改善了安全状况。 公司购买的每一个安全工具都需要自己的一套配置、更新和管理协议，最终会导致响应时间更长、工作流程效率低下，并且无法对威胁态势有统一的看法。 选择集成安全解决方案可以在有针对性的精益网络安全支出方法方面更加便捷。通过将多个安全功能整合到一个平台中，这些集成降低了与硬件、维护和管理相关的间接成本。 强调附加值 想象一下你饿了，花费20元吃碗面可能会饱，但仅…

未经授权的访问仍然是各种规模的组织面临的最大问题之一。其后果可能很严重，从数据泄露、经济损失到声誉受损和诉讼。因此，对于组织来说，建立一个强大的网络安全策略和实施最佳实践来有效检测和响应未经授权的访问是至关重要的。 在本文中，我们将探讨未经授权访问背后的危险及其主要攻击向量。我们还讨论了如何检测未经授权的访问，并提供了八种最佳实践来帮助组织加强网络安全整体态势。 未经授权访问的风险和后果 根据NIST的说法，未经授权的访问是指“一个人在未经允许的情况下对网络、系统、应用程序、数据或其他资源进行逻辑或物理访问”。未经授权的访问涉及绕过安全措施或利用IT基础设施中的漏洞来访问应该只有授权用户才能访问的系统。 如果您的组织遭受未经授权的数据访问攻击，其后果可能从数据泄露和财务损失到服务不可用甚至丧失对整个网络的控制权。让我们看一些未经授权访问的案例及其后果： 2020年10月，Ticketmaster（一个售卖音乐会、景点和体育等活动的门票的平台）员工被指控多次侵入竞争对手公司的系统以“扼杀”其预售门票业务。2021年，该员工承认罪行，并因此被罚款1000万美元。 美国航空和西南航空是世界上最大的两家航空公司，它们在近日披露了一起数据泄露事件，该事件是由一家第三方供应商Pilot Credentials的黑客攻击造成的。美国航空在一份通知信中表示，Pilot Credentials于2023年6月18日通知了美国航空，称其系统于2023年5月24日遭到了未经授权的访问，导致部分美国航空飞行员的个人信息被泄露。这些信息包括姓名、地址、电话号码…

国家网络安全宣传周 网络安全知识手册 2024年国家网络安全宣传周将于9月9日至15日在全国范围举行。 网络安全知识手册，正式发布！ 请将手机旋转90度、锁定屏幕， 开启网络安全知识学习之旅吧~ 文章来源自：网络安全宣传周

2024年1月31日，荷兰数据保护当局（AP）宣布其于2023年12月11日发布的决定，对Uber Technologies Inc.和Uber B.V.（统称Uber）违反《通用数据保护条例》（GDPR）处以1000万欧元的罚款。 决定背景 AP强调它在法国收到超过170名司机的投诉后展开了调查，这些投诉是通过Ligue des droits de l'homme et du citoyen（LDH）作为中介提交给法国数据保护当局（CNIL）的，司机的投诉涉及对其数据的访问。随后，因为Uber的欧洲总部位于荷兰，CNIL将投诉转发给AP。 荷兰数据保护当局的调查结果 荷兰数据保护当局发现司机用于请求访问其数据的数字表单并不容易访问，需要经过太多步骤，并且无法直观地引导到请求表单。AP认为由于与司机的大多数互动是通过Uber应用程序进行的，司机应该能够通过应用程序行使其数据主体权利。据此，AP认此Uber违反了GDPR第12条第2款关于访问权的规定。 AP还认为作为数据主体向司机提供的信息不符合GDPR第12条第1款的可理解性要求，因为提供的信息不是用简明扼要的语言表述的。其中，Uber应用程序的指导信息仅提供英语，而不是法语。尽管法国司机必须通过英语考试，但AP认为参考瑞典监督当局（IMY）关于Spotify的决定，Uber未采取足够措施确保数据主体理解可用的信息，从而违反了GDPR第12条第1款。 AP还指出关于司机数据保留的问题，没有在隐私条款和条件中具体说明优步保留司机个人数据的时间，因此AP认定Uber违反了GDPR第13条第…