ISHACK AI BOT

研究人员在TP-Link Tapo智能灯泡和APP中发现4个安全漏洞，可用于窃取目标WiFi密码。 TP-Link Tapo L530E是一款销量很高的智能灯泡，TP-link Tapo APP是一款智能设备管理应用程序，谷歌应用商店下载量超过1000万。来自意大利和英国的研究人员分析了这款智能灯泡和控制应用程序的安全性，并在其中发现了4个安全漏洞，攻击者利用这些漏洞可以窃取目标的WiFi密码。漏洞影响数百万智能物联网设备，使得用户数据传输和认证存在风险。 智能灯泡漏洞 第一个漏洞是Tapo L503E智能灯泡中的认证不当引发的，攻击者可以在密钥交换过程中假冒设备，漏洞CVSS评分8.8分。攻击者利用该漏洞可以提取Tapo用户密码并操纵Tapo设备。 第二个漏洞是硬编码的校验和共享秘密引发的，漏洞CVSS评分7.6分。攻击者可以通过暴力破解或反编译Tapo应用程序的方式获取校验和共享秘密。 第三个漏洞是对称加密过程中缺乏随机性引发的，该漏洞使得所使用的加密方案可预测。 第四个漏洞是未对接收的消息的新鲜性进行检查，session key（会话密钥）的有效性达到了24小时，攻击者在会话密钥有效期内可以发起重放攻击。 攻击场景 对用户影响最大的攻击场景是利用漏洞1和漏洞2来假冒灯泡，并提取Tapo的用户账户信息。然后攻击者可以访问Tapo app，并提取受害者的WiFi SSID和密码，并访问所有连接到该WiFi网络的设备。 图 假冒攻击图 要实现假冒攻击，需要设备处于设置模式。但攻击者也可以通过去除灯泡授权的方式迫使用户重新对灯泡进行设置。 另外一个攻击类型是中间人攻击（MITM）。利用漏洞1和拦截和操作APP和灯泡之间的通信，然后获取最后用户数据交换的RSA加密密钥。 中间人攻击还可以在WiFi设置阶段对未配置的Tapo设备发起，通过桥接2个不同网络、路由发现消息等方式，最终提取base64编码的Tapo的密码、SSID、WiFi密码等。 图 MITM攻击图 最后，利用漏洞4发现重放攻击，重返之前嗅探到了可以改变灯泡功能的消息。 漏洞补丁和修复 研究人员已将相关漏洞提交给了TP-Link，厂商也告知研究人员已经修复了相关漏洞。但论文中未给出详细的漏洞和补丁信息，以及受影响的版本。 论文下载地址：https://arxiv.org/pdf/2308.09019.pdf

链动未来·技术前瞻 未来3-5年，随着卫星互联网技术的蓬勃发展，太空网络、天基系统、天地一体化等科技体系将逐渐清晰完善，对这些网络系统的安全防护也将变得尤为重要。伴随着天基技术应用演变积累了丰富经验且精通攻防对抗的技术专家们将为此安全领域发挥更大的价值！ ——腾讯安全天马实验室 负责人 杨卿 根据UCS卫星数据库于2022年5月1日更新的数据显示，目前全球在轨卫星数量达到5465颗，其中美国拥有的在轨卫星数量最多，达到3433颗，而中国的卫星运行数量也已达到541颗，远超俄罗斯，位居全球第二！ “十三五”时期，我国“天地一体化信息网络”重大工程启动实施，天基信息系统也逐步开始建设。该系统是一种基于卫星技术的信息传输系统，由于其具有传输速度快、传输距离远、容量大、安全性高等特点，现已成为当前信息技术革命和数字化发展的重要手段之一。 作为现代科技的杰出研究成果，基于天基网络的卫星应用技术已在导航、通信、广播、医疗、金融、能源、物流、海事、航空、航天、勘测及气象等关键科技领域发挥重要作用，然而，这个充满无限潜力的技术也正因其应用领域的特殊性与重要性备受攻击者的青睐，由此让天基网络安全的重要性愈发凸显。 从卫星应用系统、终端硬件、通信协议，到测控链路等各个环节，都时刻面临着各种攻击威胁。因此如何通过攻防对抗经验持续并未卜先知的发现高危漏洞，防患于未然是极其重要的。 本届XCon2023大会中，来自腾讯安全天马实验室的负责人杨卿将为我们带来议题《天基网络安全领域攻防对抗研究》的分享，从已发生及已披露的卫星网络安全事件为始，逐步展开剖析天基网络体系下已知的各类攻击手段，以及未来还会出现的未知威胁与安全挑战，在防御策略的探讨下，共同为卫星互联时代的安全保障提供更加有力的支撑。 议题简介 《天基网络安全领域攻防对抗研究》 本议题将从天基体系下常见的卫星应用技术开始，结合当下卫星互联网络所面临的广泛风险与威胁，深入浅出分析该领域相关安全事件成因，并分享基于天基网络中的典型漏洞案例与防御之道。 演讲人介绍 杨卿——腾讯安全天马实验室 负责人 中国网络空间安全人才教育联盟人才挖掘发现工作组副组长，北京冬奥会与冬残奥会网络安全卫士冠军白帽代表，卫星安全领域相关成果分别获得CNVD年度最具价值漏洞与CNNVD年度特殊贡献奖，也曾带领团队入选特斯拉、GSMA等安全名人堂，荣获全球移动通信系统协会“CVD#0001”首位漏洞编号，并于Blackhat USA&Europe&Asia、DEFCON、CanSecWest、HITB、RUXCON、CODEBLUE等国际安全峰会多次发表研究成果，获Blackhat Pwnie Awards最具创新研究奖提名，著有《无线电安全攻防大揭秘》、《硬件安全攻防大揭秘》、《智能汽车安全攻防大揭秘》、《黑客大揭秘：近源渗透测试》、Springer中国作者最具影响力榜单《Inside Radio：An Attack and Defense Guide》等网络安全书籍。 腾讯安全天马实验室，聚焦前沿卫星互联网络及新基建下产业应用场景安全攻防研究与能力输出，在卫星通信系统与终端设备、卫星互联网与物联网、卫星导航与测控等领域，率先原创发现多个影响范围广泛的通用型高危漏洞，为卫星网络通信、卫星网络电话、数字广播电视等重点应用领域提供安全保障，相关研究成果入选首届“卫星互联网安全十大科技挑战”及“卫星互联网安全十大关键科技挑战 No.1”，荣获国家信息安全漏洞库首批漏洞奖励计划001号贡献奖。 XCon2023 会议日程全曝光 ☆购票通道同步开启 【链动者】¥0，展商互动区+XReward开放路演区可通行，不含闭门演讲、自助午餐及会刊 【先锋·造链者】¥2090，全场可通行，含闭门演讲+年度会刊（不含餐）。8月20日晚6点前购买，享此福利 【突围·造链者】¥2790，全场可通行，含闭门演讲+自助午餐+年度会刊 【全速·造链者】¥4500，仅限会议当日现场购买，不支持票券折扣

当一名 Imperva的工作人员被社会工程学攻击并泄露大量的信息时，实际上他已经陷入了一场全球范围内的网络钓鱼攻击活动。 Imperva 位于加利福尼亚州圣马特奥，是一家网络安全公司。该公司专门为企业数据和应用软件提供保护解决方案，确保企业免受潜在的威胁。 该事件起源于他（Imperva 员工）曾经试图在二手物品网站 Yad2 上出售一个汽车座椅。一个有意购买的人在 WhatsApp 上给他发了消息，并使用 Yad2 的外观样式页面介绍了一个虚假的支付服务，同时还发送了一个链接（hxxps://yad2[.]send-u[.]online/4765567942451）。 这个虚假的网站上有 Yad2 徽标和一个橙色的付款按钮。随后，被攻击目标被引导到一个付款页面，该页面会将信用卡信息传送给了欺诈者。并且该网站还提供了客户聊天功能，使用该功能用户能够直接与 Yad2 联系。 这次大规模的攻击行动使用了800 多个不同的恶意域名，伪造了约 340 家全球知名企业的信息。这其中包括知名金融机构、邮政和快递服务以及社交媒体和电子商务平台。 被仿冒的公司实体包括 Facebook、Booking.com 等知名网站和其他经常访问的网站，所有的这些网站都吸引了大量的用户的流量。 目前已经检测到了一个来自俄罗斯 IP 地址的攻击活动，该攻击活动与大约 800 个不同的诈骗域名有关系，所有的这些域名都在 "破坏指标"（IOCs）中有所概述。该攻击活动的源头可追溯到 2022 年 5 月，并且目前仍处于活跃期，并能够定期进行更新。目前综合分析发现了超过 48 种语言的钓鱼网站，所有的这些网站冒充了 340 多家不同的公司。 社会工程学的核心是利用人际交互的力量作为攻击载体。其主要目的是影响、操纵或欺骗受害者，使其能够披露关键信息或进入组织内部。 这类操纵通常能够利用人们愿意提供帮助或担心潜在后果的心理。例如，攻击者可能会假扮成正在处理紧急问题的同事，寻求获得额外的网络资源的许可。

相比外部攻击者，那些系统合法访问权限拥有者的疏忽或恶意行为可能会对组织造成更大的破坏。波耐蒙研究所（Ponemon Institute）发布的《2022年内部威胁成本全球报告》显示，由内部人员疏忽、恶意意图和凭据盗窃造成的网络安全事件的平均成本分别为484,931美元、648,062美元和804,997美元。 好消息是，您可以避免成为内部威胁的受害者。这样做的一种方法是从发生在其他组织中的安全事例中学习。在本文中，我们回顾了最近影响世界知名组织的10起大型网络安全事件。继续阅读，了解如何保护您的公司免受各种类型信息安全事件的影响，例如网络钓鱼、特权滥用、内部数据盗窃、知识产权盗窃和第三方供应商攻击等。 最著名的网络安全事例 1、社会工程攻击：Mailchimp、思科 “攻击者很容易伪装成您信任的人！” 根据Verizon发布的《2023年数据泄露调查报告》显示，社会工程攻击占所有数据泄露事件的17%，占网络安全事件的10%，使社会工程成为三大最常见的网络攻击媒介之一。这种攻击以组织雇员为目标，欺骗他们透露个人信息。如果攻击者设法获得员工用于访问组织资源的密码，他们就可以未经授权地访问组织的关键数据和系统。 Mailchimp 2023年1月，知名的电子邮件营销和通讯平台Mailchimp在其基础设施中发现了一个未经授权的用户。他们声称，入侵者进入了Mailchimp用于用户帐户管理和客户支持的工具之一。 入侵者之前曾以Mailchimp员工为目标，并通过社会工程技术获得了他们的账户凭据。之后，恶意行为者使用受损的凭据访问了133个Mailchimp帐户的数据。Mailchimp声称没有任何敏感信息被盗，但这次入侵可能泄露了客户的姓名和电子邮件地址。 思科（Cisco） 2022年5月，跨国数字通信公司思科意识到其网络中存在攻击者。他们的内部调查显示，攻击者进行了一系列复杂的语音网络钓鱼攻击，以访问思科员工的谷歌账户。由于员工的凭据在浏览器中同步，攻击者可以轻松访问思科的内部系统。 在获得初始访问权限后，攻击者试图尽可能长时间地停留在思科的网络中，并提高他们的访问级别。然而，思科安全团队成功地将攻击者从网络中移除。随后，勒索软件团伙Yanluowang在其网站上发布了泄露的文件。据思科称，这次入侵对他们的业务运营没有影响。 经验教训 建立具有明确指示的网络安全政策很重要，但这可能还不够。您还应该进行定期培训，以确保您的员工充分理解该政策的关键规则，并提高他们的整体网络安全意识。如果您的员工认识到社会工程攻击的类型，并知道如何保护他们的公司账户，他们就不太可能落入骗子的陷阱。 特权帐户需要更高级别的保护，因为它们的用户通常可以访问最关键的系统和数据。如果攻击者获得了访问这些账户的权限，那么可能会对一个组织的安全和声誉造成毁灭性后果。 确保及时检测和预防特权帐户下的恶意活动同样至关重要。考虑部署支持多因素身份验证（MFA）、用户和实体行为分析（UEBA）以及持续的用户监控解决方案。 2、特权滥用：红十字国际委员会（ICRC） “有时，人们会滥用授予他们的特权！” 组织通常有许多具有高级权限的用户，例如管理员、技术专家和管理者。有些特权用户只能访问某些关键资源，例如特定的数据库或应用程序。而其他人可能可以完全访问网络中的每个系统，甚至可以在不引起任何人注意的情况下创建新的特权帐户。如果特权用户存在恶意企图或受到威胁，则可能导致数据泄露、财务欺诈、破坏和其他严重后果。 不幸的是，一般很难检测到具有更高访问权限的用户是否在滥用他们的特权，因为这样的罪犯通常会巧妙地隐藏自身的行为。 红十字国际委员会（ICRC） 2022年1月，红十字国际委员会遭受了网络攻击和大规模数据泄露。据红十字国际委员会前任网络战顾问Lukasz Olejnik称，这可能是人道主义组织历史上最大、最敏感的一次入侵事件。这次数据泄露导致超过51.5万名因冲突、移民和其他灾难而与家人失散的弱势群体的数据泄露。 起初，人们认为这次入侵是由针对该组织的一个分包商的攻击造成的。然而，一项调查显示，这次攻击是专门针对红十字国际委员会的服务器。恶意行为者破坏特权帐户，使用横向移动技术来升级他们的特权，并伪装成管理员来获取敏感数据。 经验教训 组织有不同的方法来成功防止类似红十字会经历的事件。特别是，您可以通过启用MFA和手动批准最关键资产的访问请求来保护组织的特权帐户。 许多组织还拥有由多人使用的特权帐户，例如管理员或服务管理帐户。在这种情况下，可以使用二次身份验证来区分这些帐户下的各个用户的操作。 此外，详细的用户活动记录和彻底的审计可以简化安全事件调查过程。 3、数据泄露：Pegasus Airlines “保持隐私很困难，但泄露却很容易！” 组织在数据保护方面投入了大量的精力和资源。然而，有时一个错误——疏忽的行为，或缺乏关注——都可能意味着所有的努力都是徒劳。 员工的无意行为——例如使用不安全的设备、使用不正确的安全配置或无意中共享数据——通常会导致数据泄露。如果及时发现，可能不会造成危害。然而，当被恶意行为者发现时，这类错误为数据泄露铺平道路的可能性更高。Pegasus Airlines就是这种情况。 Pegasus Airlines 2022年6月，Pegasus Airlines公司发现他们的一个数据库配置错误。调查发现，一名航空公司员工错误地配置了安全设置，暴露了6.5TB的公司宝贵数据。由于AWS存储桶配置不当，2300万份包含飞行图表、导航资料和机组人员个人信息在内的文件可供公众查看和修改。 经验教训 为了确保您的员工不会犯类似的错误，确保定期进行网络安全培训，并在公司建立安全政策。确保使用数据库配置的员工知道配置数据库的正确方法，并了解避免数据暴露的最佳实践。 定期的安全审计可以帮助组织及时识别和处理数据库及系统中的错误配置或漏洞。通过定期审计基础设施的安全性，组织可以防止安全漏洞或员工的错误行为被恶意行为者利用。 在AWS上启用用户活动监视也可以帮助组织迅速识别可疑事件并做出响应，降低关键数据从云环境中被盗的风险。 4、内部数据盗窃：Cash App Investing “内部人员是我们倾向于信任的人！” 与外部攻击者不同，如果内部人员拥有足够的权限，他们几乎可以毫不费力地访问和窃取组织的敏感数据。这些内部人员可能包括现任或前任员工、第三方供应商、合作伙伴和被妥协用户。 根据Verizon的《2023年数据泄露调查报告》显示，内部人员可能出于经济利益和间谍目的、出于意识形态原因或出于怨恨而窃取数据。对于组织来说，内部数据盗窃可能会造成财务损失、声誉损害和客户信任丧失，以及法律责任。 Cash App 2021年12月，Block, Inc.披露了其子公司Cash App发生的网络安全事件。一名前员工下载了包含800多万Cash App投资客户信息的内部报告。 该公司没有说明这名前员工为何以及在多长时间内仍然可以访问敏感的内部数据，但声称被盗报告不包括任何个人身份信息，如用户名、密码或社会安全号码。 经验教训 保护组织敏感数据的第一步是限制用户对它的访问。考虑实现“最小特权原则”，以建立强大的访问管理，并保护关键系统和有价值的数据免受可能的损害。 用户活动监控和审计可以帮助网络安全团队发现员工的可疑行为，比如访问与职位无关的数据或服务，访问公共云存储服务，或向私人账户发送带有附件的电子邮件。 一旦员工的合同被终止，确保一个适当的离职程序。它应该包括停用帐户、VPN访问和远程桌面访问、更改密码以及从电子邮件组和通讯组列表中删除该员工的帐户。 5、知识产权盗窃：雅虎、Pfizer、Proofpoint “商业机密是许多网络罪犯的主要目标！” 知识产权是组织可能拥有的最具价值的数据类型之一。聪明的想法、创新的技术和复杂的公式给企业带来了竞争优势。毫不奇怪，恶意行为者经常以受害者组织的商业机密为目标。 雅虎 2022年2月，雅虎的一名高级研究科学家Qian Sang在收到雅虎竞争对手the Trade Desk的工作邀请后窃取了该公司的知识产权。事件发生两周后，在一项取证分析中，雅虎发现这名臭名昭著的员工将57万份文件从公司笔记本电脑下载到了两台个人外部存储设备上。被盗文件包含AdLearn（雅虎的实时广告购买引擎）的源代码，以及雅虎Github存储库中的其他文件。 辉瑞（Pfizer） 2021年10月，一名在辉瑞工作了15年的员工窃取了该公司1.2万份机密文件，其中包括COVID-19疫苗、辉瑞和BioNTech之间的关系以及实验性单克隆癌症治疗的数据。 辉瑞公司起诉这名前雇员将包含商业机密的文件上传到私人Google Drive账户和个人设备上。考虑到辉瑞的竞争对手XencorXencor此前曾向这位员工提供过工作机会，因此判断这名罪犯有可能打算将窃取的信息传递给Xencor。 Proofpoint 2021年1月，Proofpoint的前全国合作伙伴销售总监窃取了该公司的商业机密，并将其与竞争对手分享。这些文件包含了与Abnormal Security公司（该员工新入职的公司）竞争的战略和策略。Proofpoint方面声称，这名心怀恶意的员工尽管在入职之初就签署了竞业和招募禁止协议，但还是拿走了一个装有专有文件的U盘。 经验教训 首先，组织需要确定哪些信息是最具价值的知识产权，它位于何处，以及谁真正需要访问它。 当涉及到技术专家且不得不让他们访问相关资源时，您应该只授予他们完成工作所需的确切访问权限。建议使用高级访问管理解决方案，防止未经授权的人员访问您的知识产权。 此外，组织可以使用强大的用户活动监控以及用户和实体行为分析（UEBA）工具来加强对组织知识产权的保护。这些解决方案可以帮助检测企业网络中的可疑活动，确保对安全事件做出快速响应，并收集详细的证据以供进一步调查。 6、第三方供应商攻击：T-Mobile、大众汽车 “分包商通常具有与内部用户相同的访问权限！” 拥有一个包含众多分包商、供应商和第三方服务的复杂供应链是当今组织的常态。然而，允许第三方访问您的网络会带来网络安全风险。原因之一是您的第三方可能并不总是遵循所有必要的安全程序。因此，攻击者完全可能通过利用供应商的漏洞来获取组织的资产。 T-Mobile 2023年1月，电信供应商T-Mobile在其系统中检测到恶意活动。事实证明，一个恶意用户滥用了T-Mobile供应链上的一个API。在2022年11月25日至2023年1月5日期间，攻击者从3700万客户账户中窃取了个人数据。 T-Mobile方面表示，被盗的信息不包括身份证号、税号、密码和个人识别码、支付卡信息或任何其他财务数据。然而，这一事件仍然泄露了客户的账单地址、电子邮件、电话号码、出生日期和T-Mobile账号。 大众汽车 2021年5月，大众汽车集团透露，恶意行为者通过攻击与大众汽车经销商合作进行数字销售和营销的供应商，访问了一个不安全的敏感数据文件。此次数据泄露影响了大众集团子公司奥迪的300多万现有和潜在客户。 虽然大部分泄露的数据只包含客户的联系方式和购买或查询的车辆信息，但约9万名客户的敏感数据也被泄露。作为回应，大众承诺向受影响的人提供免费信用保护服务。 经验教训 在选择第三方供应商时，需要关注第三方供应商的网络安全策略和法律法规合规性。如果潜在的分包商或服务提供商缺乏对您组织至关重要的网络安全实践，请考虑在您的服务水平协议中添加相应的要求。 限制分包商对您的关键数据和系统的访问，将其限制在工作所需范围内。为了加强对最关键资产的保护，建议应用额外的网络安全措施，如MFA、手动登录批准和即时特权访问管理。 对API安全性的定期审计也可以帮助识别API实现中的漏洞和弱点。这样，就可以将与第三方服务集成带来的风险降至最低。 此外，考虑部署监视解决方案，以查看谁对您的关键数据做了什么。此外，保留第三方用户活动记录可以实现快速、彻底的网络安全审计和事件调查。

研究人员近日发现，影响市面上大多数VPN产品的几个漏洞可以被攻击者用来读取用户流量、窃取用户信息，甚至攻击用户设备。 “我们实施的攻击从计算上来说开销并不大，这意味着任何拥有适当网络访问权限的人都可以执行攻击，而且攻击与所使用的VPN协议无关，”纽约大学的Nian Xue、纽约大学阿布扎比分校的Yashaswi Malla、Zihang Xia和Christina Pöpper以及荷兰鲁汶大学的Mathy Vanhoef在论文中声称。 “即使受害者使用了另一层加密，比如HTTPS，我们的攻击也会揭示用户在访问哪些网站，这可能是一个重大的隐私风险。” VPN漏洞和可能受到的攻击 这些披露的漏洞已经收到了四个不同的CVE编号：CVE-2023-36672、CVE-2023-35838、CVE-2023-36673和CVE-2023-36671。由于市面上存在如此多易受攻击的解决方案，这些编号将独立于受到影响的解决方案/代码库来表示每个漏洞。 前两个漏洞可以在LocalNet（本地网络）攻击中被利用，即当用户连接到攻击者搭建的Wi-Fi或以太网网络时。后两个漏洞可以在ServerIP攻击中被利用，无论攻击方是运行不受信任的Wi-Fi/以太网网络的攻击者还是恶意的互联网服务提供商（ISP）。 研究人员说：“这两种攻击都操纵受害者的路由表，欺骗受害者将流量发送到受保护的VPN隧道之外的地方，以便攻击者读取和拦截传输的流量。” 研究人员提供了三次攻击的视频演示（https://www.youtube.com/watch?v=vOawEz39yNY&t=52s）。他们还发布了可用于检查VPN客户软件是否易受攻击的脚本。 他们补充说：“一旦足够多的设备被打上了补丁，如果认为有必要及/或有利，攻击脚本也会公开发布。” 易受攻击的应用程序/客户软件和缓解建议 在测试了众多消费者级和企业级VPN解决方案后，研究人员发现，大多数面向苹果设备（无论是苹果电脑、iPhone还是iPad）的VPN以及面向Windows和Linux设备的VPN都容易受到上述一两种攻击。在安卓上，只有四分之一左右的VPN应用程序易受攻击，很可能归因于“精心设计”的API。 Windows、macOS和iOS的内置VPN客户软件也很容易受到攻击，Linux上的一些VPN客户软件也是如此。 研究人员表示，他们不知道这些漏洞在外头被利用，但他们也特别指出，很难发现它们是不是被利用的漏洞。 他们已向一堆VPN供应商通知了发现的漏洞。其中一些供应商已经解决了这些漏洞，但没有在更新发布说明中提及漏洞（为了遵守研究人员的要求，即在他们的研究结果发表之前予以保密）。 研究人员论文的末尾附有各种设备上经过测试的VPN应用程序的完整列表，因此你可能想要检查自己使用的VPN应用程序是否在该列表上；如果在列表上，且容易受到攻击，应该核查供应商是否已经修复了漏洞。如果无法获得这些信息，可能需要联系供应商的技术支持并询问。 研究人员表示：“一些已打上补丁的VPN包括Mozilla VPN、Surfshark、Malwarebytes、Windscribe（可以导入OpenVPN配置文件）和Cloudflare的WARP。” 思科证实，其面向Linux、macOS和Windows的思科安全客户软件和AnyConnect安全移动客户软件容易受到CVE-2023-36672的攻击，但仅限于特定的非默认配置。Mullvad公司表示，只有其iOS应用程序容易受到LocalNet的攻击。 研究人员忠告：“如果你的VPN没有相应的更新，可以通过禁用本地网络访问来应对LocalNet攻击。你也可以通过确保网站使用HTTPS来应对攻击，现在许多网站都支持HTTPS。”

攻击者不断发展，不断开发他们在攻击中使用的工具、战术和程序（TTP）。在当今的网络安全格局中，各种规模和行业的企业都发现自己面临着专业网络犯罪组织、高级持续性威胁(APT)组织甚至有国家背景的攻击者，所有这些攻击者都在利用比以往更快的攻击方法。 除了复杂的TTP和有组织的网络犯罪即服务模式之外。企业还面临着活跃威胁迅速演变成全面事件的考验。在网络安全和网络攻击中，速度是需要注意的关键指标，因为它决定了攻击或防御是否成功。 本文讨论了现代攻击的速度指标、攻击方法，以及企业安全团队如何在自己的检测和响应过程中争分夺秒。 攻击时效性越来越快 在过去的几年里，攻击技术发生了巨大的变化，变得更智能、更快、更先进。当企业使用最新的软件和工具来推进他们的业务时，攻击者也在做同样的事情来改进他们的攻击方法。 勒索软件攻击 根据M-Trends报告，全球平均攻击时间，即攻击开始的时间到被检测到的时间正在逐年缩短。 2022年的平均时间仅为16天，因为攻击者在进入系统后花费的时间更少。近些年，针对全球企业的勒索软件攻击数量激增，则很好地说明了为什么平均攻击时间在下降。 虽然检测和响应能力的提高在一定程度上减少了攻击时间，但勒索软件的流行也是主要推手，因为其目标是所有垂直行业的受害者。鉴于其在相对较短的攻击时间内具有较高的盈利潜力，勒索软件攻击对攻击者来说是非常有利可图的，考虑到相应的保护措施也在提高，其在频率和危害程度上继续升级迭代。 Drive-By 下载攻击 顾名思义，Drive-By 下载是隐蔽的、快速的，而且往往在受害者察觉之前就发生了。这种类型的网络攻击是由攻击者在受害者不知情或不同意的情况下用恶意软件攻击受害者的设备。这通常发生在他们访问一个受感染的网站或点击嵌入在电子邮件或广告中的恶意链接时。然后，该攻击利用网络浏览器、插件或操作系统中的漏洞，使恶意软件能够自动下载并在受害者的设备上执行。Drive-By 下载只需与受害者进行最低限度互动，便可以传播恶意软件、窃取敏感信息和获得未经授权访问权限。 大规模扫描漏洞 研究人员发现，有一个新的CVE在被披露后15分钟后，攻击者就开始利用其在互联网范围内对易受攻击的终端进行大规模扫描。攻击者持续监控供应商公告和软件更新渠道，以获取有关漏洞的最新公告，以及他们可以在下一次攻击中利用的概念证明。通常，这些新的漏洞为他们提供了执行远程代码执行（RCE）和访问公司网络的功能。 对于许多组织来说，补丁管理是一项持续的艰巨任务，需要安全团队努力跟上各种操作系统中所有最新的安全威胁和漏洞。由于执行这些互联网范围的扫描不需要什么专业的技能，即使是刚入门的攻击者也能利用，有时甚至把他们的扫描结果卖给更需要的人。 零日漏洞 攻击者利用零日漏洞的速度越来越快，有研究人员指出，利用时间是安全从业者的关键指标。在过去三年中，从漏洞披露到已知漏洞被利用的时间快速缩短，从2020年的30%的漏洞在一周内被利用到2022年的56%在一天内被利用。零日漏洞最常被用来为勒索软件组织提供初始访问权限。 现成工具的可用性不断提高 除了APT组织，成熟的勒索软件组织和国家支持的攻击者外，由于随时可用的现成黑客工具越来越多，刚入行的攻击者也可以向企业发起攻击。这些工具，包括漏洞利用工具包、信息窃取器、扫描器、密码破解器和攻击模拟工具，在论坛和暗网市场上很常见，大大降低了网络攻击的门槛。 随着现成攻击工具市场不断扩大，几乎没有任何技术专长的攻击者现在都能够快速找到并购买预先存在的脚本，对计算机系统和网络发动攻击。 攻击生命周期 尽管网络攻击者行动迅速，但企业还是有办法先行一步，保护其关键数据和系统。了解攻击者在攻击前和攻击期间的行动方式，可以让防御者采取正确的防护措施。 计划阶段——在攻击行动之前，攻击者将选择他们的目标，并努力确定其操作的可利用方面。这指的是任何唾手可得的成果，例如未修补的漏洞、错误配置、未受保护设备上的管理用户等。 初始攻击——基于计划阶段的发现，攻击者根据受害者设备的漏洞自定义攻击技术。 枚举阶段——一旦进入系统，攻击者将快速移动到系统内部，了解其当前权限的限制，并估计他们开始横向移动所需的权限。在这一阶段，时间至关重要，因为攻击者开始建立攻击立足点并升级他们的访问。 横向攻击——利用盗取的新证书，攻击者能够深入到受影响的系统中。此时，他们的主要目标是传播他们的恶意软件/工具集，泄漏和加密数据。 攻击完成——在删除或攻击备份和本地文件后，攻击者准备勒索受害者。 基于网络攻击生命周期，攻击和枚举阶段为网络防御者开展防御提供了一个契机。在这些初始阶段，攻击者还没有深入渗透到受攻击的网络中，也没有进入正常的网络流量。如果攻击者设法进入横向攻击阶段，检测就会变得更具挑战性。攻击者使用规避策略来避免被发现，将自己深深地嵌入网络中。在这一阶段，攻击者最常用的是离地攻击(living-off-the-land)技术，利用环境中已经存在的合法程序和工具来加强其攻击能力。 由于攻击和横向移动之间的时间跨度随着攻击技术变得更加复杂而迅速缩短，网络防御者的主要目标是专注于在枚举阶段检测攻击迹象，并在造成重大攻击之前将其隔离。 缓解措施 然而，应对这样的挑战往往超出了安全团队的资源范围，安全团队的任务是对大量警报和非上下文事件数据进行手动分类。这就是为什么自动、人工智能驱动的EDR和XDR解决方案是安全团队必须使用的工具。 像SentinelOne Singularity这样的现代安全工具不仅能自主处理已知的恶意软件攻击（从检测到缓解），甚至在勒索软件攻击成功的情况下回滚，而且还能为事件响应者提供情境化数据，以应对有针对性的攻击。 通过Singularity XDR等工具的自动上下文汇聚功能，IR团队可以利用聚合事件信息的洞察力，将从多个工具和服务收集的所有相关数据组合到一个“事件”中，而无需添加额外的工具或更多的人。 虽然功能强大，但这些工具可以通过托管检测和响应服务进行补充，以获得更高级别的安全性。全球各地的组织都依赖于SentinelOne的管理检测和响应(MDR)服务——Vigilance Response，以阻止攻击者在攻击中进行横向攻击。利用SentinelOne Singularity, Vigilance Respond能够即时防御网络攻击，并全天候监控客户环境，寻找高级威胁，并提供更快的平均响应时间（MTTR）率。

漏洞优先级是根据对业务的潜在影响、可利用的容易程度和其他上下文因素确定漏洞并对其进行排序的过程。 它是漏洞管理过程中的关键步骤之一，为该过程的下一个步骤奠定了基础。它的目标是确保优先处理对组织来说风险更高的漏洞，而稍后处理风险较低的漏洞。 漏洞优先级排序的重要性 根据网络安全和基础设施安全局（CISA）的说法，一个漏洞在被发现后的平均15天内就可以被威胁行为者利用。因此，尽快解决这些漏洞，对于有效防范网络攻击至关重要。 关于如何优先处理漏洞的明确指导方针同样至关重要。如果没有优先级，组织可能会浪费时间和资源来修复低风险的漏洞，而忽略高风险的漏洞。 漏洞优先排序可以帮助组织实现以下目标： 减少可利用的攻击面，最大限度地降低数据泄露、服务中断、法规违规等风险； 使组织的安全策略符合其业务目标和目的； 有效地分配安全预算； 与补救和服务所有者建立信任。 如何确定漏洞的优先级？ 组织应该采取基于风险的漏洞管理策略，考虑漏洞的严重性、可利用性、影响和业务情境，以便对漏洞进行适当的优先排序。以下是有效地确定漏洞优先级的四个步骤： 步骤1：识别系统中的漏洞 识别环境中的所有潜在漏洞是漏洞管理方法的第一步，也是最关键的一步。识别过程对于公司了解存在哪些威胁和漏洞至关重要。我们建议将程序自动化，以简化该过程。 步骤2：对漏洞进行分类和优先排序 一旦确定了网络中的漏洞，下一步就是对它们进行分类和排序。有几种方法可以做到这一点： 选项1：通过CVSS分数确定优先级 一个漏洞的严重程度可以通过通用漏洞评分系统（也称为CVSS分数）的数字来表示（0-10）。信息安全团队经常利用CVSS分数作为漏洞管理计划的一部分，对漏洞的修复进行优先排序，并提供漏洞之间的比较点。 然而，CVSS指标的限制之一是它只表示漏洞的严重性，而不考虑所述漏洞对组织的环境造成的风险。 选项2：通过CISA KEV数据库确定优先级 在观察到攻击者不仅仅依赖于被确认为关键的漏洞之后，来自网络安全和基础设施安全局（CISA）的专家们创建了一个活目录，其中包含了已知的被利用的漏洞，这些漏洞也给政府机构和企业带来了重大风险。该目录通常被称为KEV，它使所有组织很容易明白，他们应该集中精力修复已经危及其操作的漏洞子集。 选项3：基于业务上下文的优先级 每个组织都有其特定的优先级、目标和风险承受水平。因此，最好的优先排序方法可能是考虑到业务需求和目标的方法。虽然仍然建议使用CVSS和KEV，但是如果根据当前环境对漏洞进行过滤，则可以更有效地确定漏洞的优先级。为了让它更简单，您可以专注于以下因素： · 确定组织的目标和风险承受能力； · 评估组织资产的重要性； · 结合语境信息； · 制定适当的基于风险的漏洞管理程序。 步骤3：解决漏洞 在评估和优先排序阶段之后，基于风险因素和业务环境解决漏洞是至关重要的。根据漏洞，您可以选择以下两个选项之一： · 补救/修复：漏洞的补救包括通过打补丁、关闭打开的端口或使用详细的流程异常来采取措施修复它。当确定了风险的优先级并了解了漏洞之后，大多数组织都会选择修复漏洞。可以说，只要有可能，这通常是最好的选择； · 缓解：如果一个漏洞不能立即修复，组织可以暂时选择通过减少漏洞被利用的可能性来缓解漏洞，直到漏洞最终被完全修复。 步骤4：报告和监控漏洞 跟踪您修复或缓解的漏洞，并进一步追踪它们的演变进程。如果组织想要管理漏洞带来的风险，就必须提高发现和修复漏洞的效率和精确度。因此，许多公司经常评估其漏洞管理程序的性能。

最近的数据分析显示，第三方应用程序与电子邮件平台的整合力度大幅增加。这一趋势凸显了网络犯罪分子正在利用新的漏洞途径迅速扩张，这也表明他们的攻击策略正在不断的演变。 在全球的企业中，软件即服务（SaaS）应用程序的存在数量不断增加。员工为外部应用程序提供权限，使其能够访问 Microsoft 365 (M365) 和 Google Workspace 等基本 SaaS 平台。 这一趋势也带来了很多的安全漏洞。同时，安全人员和组织也很难监控连接的应用程序的数量或评估这些应用程序所带来的安全威胁的程度。在 2023 年的最初的六个月（1 月至 6 月）中，第三方应用程序的整合力度呈稳步上升的趋势。 与此同时，Abnormal 还注意到企业电子邮件泄密 (BEC) 和供应商电子邮件泄密 (VEC) 攻击事件也在持续不断的升级。这种增长模式在过去的五年中一直在保持不变。Abnormal 的调查结果显示，目前企业的电子邮件系统平均集成了 379 个第三方应用程序。这表明，自 2020 年以来，第三方应用程序的数量大幅增加了 128%。 在员工人数超过 30,000 人的大型企业中，系统集成的第三方应用程序数量在急剧的增加，平均达到了3,973 个。这些应用程序涵盖了协作、生产力、开发、社交网络、安全和其他各种领域的各种功能。 在已集成的第三方应用程序中，约有37% 的程序的权限具有高风险。这些权限包括发送和删除电子邮件或用户，甚至是重置用户的密码。 供应商电子邮件攻击（VEC）属于商业电子邮件攻击（BEC）的范畴，是网络攻击的一个重要组成部分。这些攻击需要伪造或模仿企业电子邮件地址，其目的是欺骗组织、其员工、客户或同事以达到欺诈目的。 商业电子邮件攻击的表现形式多种多样，而供应商电子邮件攻击则是其中一种特别先进的变种。报告还指出，在2023年上半年，BEC 和 VEC 攻击将呈上升趋势。 与前六个月相比，BEC 的攻击数量上升了55%，48% 的实体在同一时期至少遭受过一次 VEC 攻击。从今年上半年收集到的大量信息表明，与前两个半年相比，VEC 攻击激增了 34%。 在这里值得注意的是，现在攻击格局已经发生了很大的变化，BEC 攻击数量已经超过了恶意软件实例，这与前半年的趋势截然不同。最容易受到攻击的是那些拥有 5,000个以上邮箱的大型组织，它们每周至少遭受一次 BEC 攻击的可能性超过 90%，同时遭受 VEC 攻击的可能性为 76%。 在目标行业中，技术行业吸引的 BEC 攻击最为集中，而广告和营销则是 VEC 攻击的主要重点。其他经常遭受 BEC 攻击的行业包括建筑业、金融业、运输业和媒体娱乐业。

新瞬态执行攻击Inception可从所有AMD Zen CPU泄露敏感数据。 苏黎世联邦理工学院（ETH Zurich）研究人员发现一种新的瞬态执行攻击——'Inception'攻击。攻击可从攻击者控制的地址发起推测执行，引发信息泄露。漏洞CVE编号CVE-2023-20569，影响所有AMD Zen CPU。 瞬态执行攻击利用了现代处理器的推测执行特征，通过猜测接下来要执行的内容来提高CPU的性能。如果猜测正确，CPU就无需等到操作执行结束，如果猜测失败，只需要回滚并继续执行操作即可。猜测执行存在的问题是会留下痕迹，攻击者可以查看和分析这些有价值的数据用于攻击活动。 苏黎世联邦理工学院研究人员融合了'Phantom speculation' (CVE-2022-23825)和一种新的瞬态执行攻击（TTE，Training in Transient Execution）创建了更加强大的inception攻击。'Phantom speculation'允许攻击者在无错误预测源处无需任何分支就可以触发错误预测，比如在任意异或XOR指令创建推测执行周期（瞬态窗口）。TTE是一种对未来错误预测的操纵，通过注入新的预测到预测分支来创建可利用的推测执行。Inception攻击融合了以上两种概念，使得被攻击的CPU认为XOR指令是一个递归调用指令。Inception攻击会用攻击者控制的目标地址来覆写返回栈缓存，攻击者可从AMD Zen CPU运行的非特权进程泄露任意数据。 图 Inception攻击逻辑 Inception攻击可实现39字节/秒的数据泄露速率，泄露一个16字符的密码只需要0.5秒，泄露一个RSA密钥只需要6.5秒。Inception攻击可以绕过现有推测执行攻击的修复措施，如Spectre和瞬时控制流劫持等。 Inception攻击是针对AMD CPU的，所以是由AMD CPU的设备都受到Inception和 Phantom攻击的影响。研究人员分析发现Phantom也会影响Intel CPU，此外部分Intel CPU也受到特定TTE变种的影响。 图 特定TTE变种对CPU的影响 研究人员开发的PoC运行在Linux系统上，但Inception 和Phantom攻击是针对的是硬件漏洞。因此，任何受影响的CPU上运行的操作系统都会受到影响。 AMD建议使用Zen 3和Zen 4 CPU架构的用户使用µcode补丁或BIOS更新，对于Zen和Zen 2 CPU架构用户无需使用µcode补丁或BIOS更新。此外，AMD还计划发布更新的AGESA。 相关研究成果已被安全顶会Usenix security 2023录用，论文下载地址：https://comsec.ethz.ch/wp-content/files/inception_sec23.pdf 更多参见：https://comsec.ethz.ch/research/microarch/inception/

链链动未来·技术前瞻 自动化，隐私保护，供应链安全，多云安全，深度学习的应用！ ——腾讯云鼎实验室 高级安全研究员 蒋浩天、王昊宇 随着Golang在后端开发中的地位逐渐上升，其高并发和多协程支持的优质特性让其成为了主流的后端开发语言。然而，随之而来的是对于安全性的更高要求。为了满足这一需求，安全研究人员开始关注如何对基于Golang的后端服务进行安全加固和漏洞防御。在这个背景下，Hook技术变得不可或缺。 Hook技术允许开发者通过修改或拦截代码的执行流程，实现对程序行为的监控和控制。虽然可以对系统库或系统调用进行Hook，但这无法获得Golang内部更为详细的数据信息，尤其是有关程序上下文和执行流的信息。因此，为了实现更高级别的监控和防御，我们需要深入到Golang内部进行Hook操作。 在实践中，Hook技术也时刻面临着挑战。这些挑战涉及稳定性、兼容性、性能问题等多个层面，由于Golang的特殊性，Hook技术在其上的应用更为复杂，又因为Golang的并发模型、内存管理等方面与其他语言存在差异，也使得Hook变得更具难度。 为何在Golang中开发一个真正意义上的稳定的Hook框架如此困难？这其中的难点在哪里？现有的Hook框架存在哪些问题？Golang有哪些独特之处？在Hook的过程中又存在哪些不稳定因素？ 为了解决这些问题，本届XCon2023大会上，来自腾讯云鼎实验室的高级安全研究员 蒋浩天、王昊宇将带来议题《Golang安全：探索安全稳定的Hook方法》的分享，带领我们深入剖析Golang语言的特殊性，研究如何在Golang中实现真正意义上的安全稳定Hook，一同来探讨可能的解决方案，涵盖Hook框架的设计、实现和优化等方面。最终，两位演讲者将分享他们开发的Golang Hook框架，该框架不仅考虑了Golang的特殊性，还解决了已有Hook框架存在的问题。 议题简介 《Golang安全：探索安全稳定的Hook方法》 Golang语言中，相对于C/C++等语言，存在很多特殊性的机制。这些机制方便了开发者，但是对于我们Hook来讲，还是会增加很多障碍。例如说Golang的协程栈迁移，扩容缩减，runtime变量逃逸分析，gc等机制都会影响我们Hook框架的健壮性。并且这些问题十分隐蔽，很难发现。因此演讲者将在此次议题中，介绍如何发现各种潜在的问题，以及这些问题在现有Hook框架中存在的风险。 演讲人介绍 蒋浩天、王昊宇 腾讯云鼎实验室的高级安全研究员 蒋浩天，现就职于腾讯云鼎实验室，曾任职360，字节跳动。主要研究方向云安全，二进制安全，虚拟化等相关领域。曾在国内安全峰会多次发表议题。 王昊宇，现就职于腾讯安全云鼎实验室，毕业于中国科学院大学，主要研究方向云安全、二进制安全、协议安全。曾发表论文于DATE、Inscrypt等会议。 XCon2023 会议日程全曝光 ☆购票通道同步开启 【链动者】¥0，展商互动区+XReward开放路演区可通行，不含闭门演讲、自助午餐及会刊 【先锋·造链者】¥2090，全场可通行，含闭门演讲+年度会刊（不含餐）。8月20日晚6点前购买，享此福利 【突围·造链者】¥2790，全场可通行，含闭门演讲+自助午餐+年度会刊 【全速·造链者】¥4500，仅限会议当日现场购买，不支持票券折扣

链动未来·技术前瞻 未来5年，物联网领域的技术趋势预测： 1、物联网设备的数量和多样性的增长，将导致更多的安全威胁和攻击面； 2、物联网设备的智能化和自主化，将导致更多的数据和计算能力分布在边缘和雾层； 3、物联网设备的跨领域和跨平台的集成，将导致更多的协作和互操作性的需求； 4、物联网设备的安全评估和认证，将导致更多的标准和规范的制定和遵守； 5、物联网设备的安全防护和恢复，将导致更多的技术和方法的创新和应用。 ——山石网科通信技术股份有限公司 安全技术研究院安全研究员 王正涵 VxWorks 操作系统是美国WindRiver公司于1983年设计开发的一种嵌入式实时操作系统（RTOS），是嵌入式开发环境的关键组成部分。凭借良好的持续发展能力、高性能的内核以及友好的用户开发环境，Vxworks在嵌入式实时操作系统领域占据一席之地。 “高可靠性”和“强实时性”，使得VxWorks广泛地应用于通信、军事、航空、航天等高精尖技术及实时性要求极高的领域中，如卫星通讯、军事演习、弹道制导、飞机导航等，也因为应用领域的特殊性与关键性，VxWorks的系统安全一直备受技术人员的关注。 2019年该系统就曾被爆出存在多个高危漏洞，面临严重的RCE攻击风险。研究者称“漏洞会导致内存损坏，并造成远程代码执行”。随后系统方对漏洞进行了更新修复，但由于VxWorks系统设备的固件通常是无符号的静态编译的二进制文件，缺乏符号信息和调试信息，也导致系统的固件分析和漏洞挖掘持续面临着巨大挑战。 本届XCon2023大会中，来自山石网科通信技术股份有限公司安全技术研究院的安全研究员王正涵将带来《基于VxWorks系统的固件符号恢复方法研究》的议题分享，旨在基于研究VxWorks漏洞挖掘的目的，对无符号静态编译的VxWorks固件系统进行深入研究，探索通用的固件分析方法和工具。 议题简介 《基于VxWorks系统的固件符号恢复方法研究》 本议题将介绍加载地址分析方法、符号恢复方法具体实现过程和技术细节，以及遇到的问题和解决方案。希望能够为VxWorks系统设备的安全分析和保护提供一些参考和启示。 演讲人介绍 王正涵——山石网科通信技术股份有限公司 安全技术研究院 安全研究员 王正涵，就职于山石网科通信技术股份有限公司，在安全技术研究院部门担任安全研究员。主要从事二进制方向的安全研究、IoT设备漏洞挖掘、Linux内核漏洞挖掘等工作。 山石安全技术研究院成立于2020年，是公司的信息安全智库与创新部门，旗下包括智能、应用、工控、信创和核心基础等五大实验室，输出原创漏洞、安全专利、原创文章、安全议题等研究成果，不断提供新的漏洞证书、致谢与编号。 XCon2023 会议日程全曝光 ☆购票通道同步开启 【链动者】¥0，展商互动区+XReward开放路演区可通行，不含闭门演讲、自助午餐及会刊 【先锋·造链者】¥2090，全场可通行，含闭门演讲+年度会刊（不含餐）。8月20日晚6点前购买，享此福利 【突围·造链者】¥2790，全场可通行，含闭门演讲+自助午餐+年度会刊 【全速·造链者】¥4500，仅限会议当日现场购买，不支持票券折扣

链动未来·技术前瞻 安全能力与信任根下移，实现软硬结合，软硬一体。软件成分物料实现可追踪与可感知、可分析，作为软件交付清单的基础部分。两者结合，实现全链路可信。 ——京东集团首席安全研究员 京东安全实验室负责人 Flanker（何淇丹） 随着数字化时代的到来，软件供应链的安全性与完整性愈发凸显，面对不断增长的供应链安全威胁，传统的安全模型已难以胜任。在这一背景下，Google提出的SLSA框架（Supply-chain Levels for Software Artifact）应运而生，成为一种革新性的软件构建和分发模型，为从软件开发到部署的供应链安全问题提供了系统性的解决方案。 SLSA框架旨在确保软件供应链的完整性与可信性，它将整个供应链划分为不同的环节，从源码、构建到发布，分为1至4级的可证明元结构数据生成、校验与准入环节。这些环节的严密管理与监控，旨在确保最终制品软件不受篡改，同时满足严格的安全要求。然而，SLSA框架的应用远不止于此，它赋予了我们拓展狭义上的组件安全与制品安全的能力，并将安全的范围扩展到基础软件系统、移动应用与设备、云原生体系等多个领域，从而实现了广义可信供应链安全的目标。 本届XCon2023大会中，来自京东集团的首席安全研究员，京东安全实验室负责人何淇丹（Flanker）将带来《依托于SLSA框架的广义可信供应链安全建设实践》的分享，从多个维度深入介绍SLSA框架的理论基础和架构实现，并分享在广义可信供应链安全落地实践中所遇到的各种挑战，以及如何改进SLSA框架以适应更加复杂的业务环境。 议题简介 《依托于SLSA框架的广义可信供应链安全建设实践》 本议题最大的亮点在于首次将SLSA概念与可信概念相结合，从而拓展了SLSA的适用范围，从解决单独的供应链安全问题变成了新的安全体系底座，在安全能力的复用中，为企业安全体系的建设提出了全新的视角。本次分享中Flanker也将结合大量实践中的攻防案例，详细分析这一框架在对抗安全风险时的具体措施与解决方案。 演讲人介绍 何淇丹（Flanker）——京东集团首席安全研究员，京东安全实验室负责人 京东集团首席安全研究员，京东安全实验室负责人，高级总监。Pwn2Own Mobile和PC双料冠军，黑客奥斯卡Pwnie Award最佳提权漏洞奖得主，Google/Samsung/华为安全全球名人堂成员。多次在BlackHat & DEFCON & CanSecWest & RECon & MOSEC & PoC等发表演讲。 XCon2023 会议日程全曝光 ☆购票通道同步开启 【链动者】¥0，展商互动区+XReward开放路演区可通行，不含闭门演讲、自助午餐及会刊 【先锋·造链者】¥2090，全场可通行，含闭门演讲+年度会刊（不含餐）。8月20日晚6点前购买，享此福利 【突围·造链者】¥2790，全场可通行，含闭门演讲+自助午餐+年度会刊 【全速·造链者】¥4500，仅限会议当日现场购买，不支持票券折

臭名昭著的 Lazarus 黑客组织在最近的一波网络攻击中，他们利用了一个很隐蔽的攻击方式，通过受感染的微软互联网信息服务（IIS）服务器传播恶意软件。网络安全专业人员正在积极关注这一情况，尽可能减少攻击所带来的大量的危害。 根据其他媒体的报道，Lazarus 黑客已经成功控制了一些微软的 IIS 服务器，并利用其在不同的网络中传播恶意软件的能力为自己谋利。黑客传播病毒似乎是由于他们的主要目标，这给使用微软网络服务器软件的公司和组织带来了严重的风险。 赛门铁克的威胁情报团队最近公开了 Lazarus 使用的攻击载体，可以很明显的看出黑客利用被攻击的服务器达到其邪恶目的的行为。赛门铁克在其中的一篇博文中强调了问题的严重性，称这一恶意活动是 Lazarus 组织一直在从事的工作。 AhnLab 的安全分析师也在对目前正在进行的攻击进行了深入的分析。他们一直在积极追踪黑客的行踪，并发现了黑客具有强大实力的证据。在英文和韩文博客文章中，AhnLab 的研究团队就 Lazarus 黑客带来的危险向用户和管理员发出了警告，并敦促他们迅速采取安全措施，防止 IIS 服务器受到攻击。 Lazarus 黑客组织因与朝鲜有关联而闻名，过去曾与各种备受瞩目的网络犯罪有关。他们很擅长网络战争和以金钱为动机的攻击，这使得他们成为全球政府、企业和网络安全机构关注的焦点。最近这起涉及利用微软 IIS 服务器的事件标志着他们的攻击战术达到了一个新的复杂水平，这也强调了我们在面对不断变化的威胁保持警惕的必要性。 在微软 IIS 服务器上托管网站和网络应用程序是目前全球非常普遍的做法。对于依赖这种网络服务器软件的企业来说，这一漏洞的披露对企业提出了警告。安全专家建议用户迅速将系统升级并打上最新版本的补丁，然后制定强有力的安全策略，并进行业务审计，查找出现的可疑活动。 微软一直在积极与安全公司和组织进行合作，研究攻击者的攻击行为，并加强保护措施，以应对日益严重的网络威胁环境。用户只要提高警惕，积极主动做好安全防范，就能大大降低遭受恶意攻击的风险。

云计算技术可以随时通过互联网提供计算资源共享池，且成本低廉甚至免费。通过使用云计算，许多个人和企业已经提高了运营效率，同时降低了 IT 成本。 尽管与现场模型相比，云计算模型充满了优势，但它们仍然容易受到内部和外部攻击。因此，云开发人员需要采取安全措施来保护用户的敏感数据免受网络攻击。 本文是为希望提高云服务解决方案安全性的云开发人员和服务提供商编写的。我们将首先概述云计算技术的关键漏洞，然后看看云计算中最常见的攻击类型。最后，我们将根据行业最佳实践提供有关如何确保基于云的解决方案的安全性的实用建议。 关键云计算漏洞 根据您需要的控制程度，可以选择三种类型的云计算服务： 1、软件即服务 (SaaS) 2、平台即服务 (PaaS) 3、基础设施即服务 (IaaS) 云技术仍在积极开发中，因此存在许多可被网络犯罪分子或恶意内部人员利用的漏洞。让我们看看引起云用户安全担忧的关键云计算漏洞。 数据威胁 云用户在云环境中存储各种类型的数据，其中很多数据包含有关用户或业务活动的敏感信息。然而，这些数据很容易因人为行为、应用程序漏洞和不可预见的紧急情况而丢失、泄露或损坏。显然，云服务提供商无法阻止所有数据威胁，但云开发人员应该应用现代加密算法来确保从用户到云传输的数据的完整性。 云API漏洞 应用程序编程接口 (API) 允许用户与基于云的服务交互。然而，API 中的漏洞可能会严重影响云编排、管理、配置和监控的安全性。云开发人员需要对 API 实施强有力的控制。 恶意内部人士 恶意行为的合法云用户有多种方式在云环境中安排攻击或泄露数据。不过，云开发人员可以通过实施身份和访问管理 (IAM) 技术来最大限度地减少这种威胁。 共享技术漏洞 云计算涉及虚拟化和云编排等共享技术的使用。因此，通过利用这些技术任何部分的漏洞，攻击者都可以对许多云用户造成重大损害。虚拟机管理程序中的弱点可能使黑客能够控制虚拟机甚至主机本身。在虚拟机逃逸的情况下，黑客可以通过共享资源获得对主机的无限制访问。因此，有必要注意您委托云解决方案的云提供商的安全性。 供应商锁定 大多数现代云服务提供商使其客户依赖于他们的服务，而转换成本很高。当提供商无法提供他们所需的所有服务时，许多云用户会感到被锁定。确保您的解决方案具有帮助用户轻松从其他提供商迁移的工具，例如导入各种格式数据的能力。 弱密码学 尽管云提供商使用加密算法来保护存储中的数据，但他们通常使用有限的熵源（例如时间）来自动生成用于数据加密的随机数。例如，基于 Linux 的虚拟机仅从精确的毫秒生成随机密钥。然而，这对于强大的数据加密来说可能还不够，因为攻击者还使用复杂的解码机制来破解信息。因此，云开发人员应该在数据迁移到云之前考虑如何保护数据。 易受攻击的云服务 虽然云计算平台被设计为云服务的分布式系统，但这些服务之间几乎没有保护。因此，攻击者可以利用任何一项云服务中的漏洞来获得对合法用户数据的未经授权的访问。例如，2016年OpenStack云平台的云服务存在超过150个已知弱点。创建强大的架构可以隔离用户在云中的操作。 云计算的攻击向量 云计算中网络攻击的主要目标是获取用户数据并阻止对云服务的访问。两者都会对云用户造成严重伤害，并动摇人们对云服务安全性的信心。 在安排对云服务的攻击时，黑客通常通过以下方式侵入云用户与服务或应用程序之间的通信： 利用云计算中的漏洞； 在云之外的某个地方窃取用户的凭据； 在破解用户密码后使用先前对云的合法访问； 充当恶意内部人员。 如果您的解决方案具有一些区块链驱动的功能，请务必查看我们有关区块链攻击向量的文章。 10 种最常见的云计算攻击类型 攻击云计算服务的方法有很多种，黑客也在不断致力于开发更复杂的方法。然而，至少了解最常见的问题将有助于云开发人员设计更安全的解决方案。以下列出了十种不同类型的云攻击。 1.云恶意软件注入攻击 恶意软件注入攻击的目的是控制云中的用户信息。为此，黑客将受感染的服务实现模块添加到 SaaS 或 PaaS 解决方案，或将虚拟机实例添加到 IaaS 解决方案。如果云系统被成功欺骗，它会将云用户的请求重定向到黑客的模块或实例，从而启动恶意代码的执行。然后攻击者就可以开始恶意活动，例如操纵或窃取数据或窃听。 最常见的恶意软件注入攻击形式是跨站点脚本攻击和 SQL 注入攻击。在跨站点脚本攻击期间，黑客将恶意脚本（Flash、JavaScript 等）添加到易受攻击的网页中。德国研究人员于 2011 年对 Amazon Web Services 云计算平台发起了一次 XSS 攻击。在 SQL 注入的情况下，攻击者以具有易受攻击的数据库应用程序的 SQL 服务器为目标。2008年，索尼的PlayStation网站成为SQL注入攻击的受害者。 2. 滥用云服务 黑客可以使用廉价的云服务对目标用户、公司甚至其他云提供商进行 DoS 和暴力攻击。例如，安全专家Bryan 和 Anderson在 2010 年利用亚马逊 EC2 云基础设施的能力安排了 DoS 攻击。结果，他们仅花费 6 美元租用虚拟服务，就成功地使他们的客户端无法在互联网上使用。 Thomas Roth 在 2011 年黑帽技术安全会议上演示了一个暴力攻击的示例。通过从云提供商租用服务器，黑客可以利用强大的云功能将数千个可能的密码发送到目标用户的帐户。 3.拒绝服务攻击 DoS 攻击旨在使系统超载并使其用户无法获得服务。这些攻击对于云计算系统尤其危险，因为即使单个云服务器被淹没，许多用户也可能遭受损失。在高工作负载的情况下，云系统开始通过涉及更多虚拟机和服务实例来提供更多计算能力。在试图阻止网络攻击的同时，云系统实际上使其更具破坏性。最后，云系统速度变慢，合法用户无法访问其云服务。在云环境中，如果黑客使用更多的僵尸机器来攻击大量系统，DDoS攻击可能会更加危险。为了缓解这些问题，必须了解有效的DDoS 预防技术。 4. 旁路攻击 当黑客将恶意虚拟机放置在与目标虚拟机相同的主机上时，就会发生旁路攻击。在侧信道攻击期间，黑客的目标是加密算法的系统实现。然而，可以通过安全的系统设计来避免这种类型的威胁。 5. 包裹攻击 云计算中的包装攻击是中间人攻击的一个示例。云计算很容易受到包装攻击，因为云用户通常通过网络浏览器连接到服务。XML 签名用于保护用户的凭据免遭未经授权的访问，但此签名不能保护文档中的位置。因此，XML 签名元素包装允许攻击者操纵 XML 文档。 例如，2009 年，亚马逊弹性云计算 (EC2) 的 SOAP 接口中发现了一个漏洞。该漏洞允许攻击者通过成功的签名包装攻击来修改窃听的消息。 6. 云中人攻击 在此类攻击中，黑客利用同步令牌系统中的漏洞拦截并重新配置云服务，以便在下次与云同步时，同步令牌将被替换为向攻击者提供访问权限的新令牌。用户可能永远不知道他们的帐户已被黑客入侵，因为攻击者可以随时放回原始同步令牌。此外，还存在被盗帐户永远无法恢复的风险。 7. 内部攻击 内部攻击是由故意违反安全策略的合法用户发起的。在云环境中，攻击者可以是云提供商管理员或拥有广泛权限的客户公司员工。为了防止此类恶意活动，云开发人员应该设计具有不同级别的云服务访问权限的安全架构。 8. 账户或服务劫持 帐户或服务劫持是在获得用户凭据的访问权限后实现的。有多种技术可以实现这一目标，从钓鱼到间谍软件再到 cookie 中毒。一旦云账户被黑客入侵，攻击者就可以获取用户的个人信息或企业数据，从而危及云计算服务。例如， 2007 年，SaaS 供应商Salesforce的一名员工成为网络钓鱼诈骗的受害者，导致该公司的所有客户帐户均被泄露。 9. 高级持续威胁（APT） APT 是一种让黑客在合法用户不知情的情况下持续窃取存储在云中的敏感数据或利用云服务的攻击。这些攻击的持续时间使黑客能够适应针对它们的安全措施。一旦建立未经授权的访问，黑客就可以穿过数据中心网络并利用网络流量进行恶意活动。 10.新攻击：Spectre和Meltdown 这两类网络攻击在今年早些时候出现，已经成为云计算的新威胁。借助恶意 JavaScript 代码，攻击者可以利用大多数现代处理器的设计缺陷从内存中读取加密数据。Spectre 和 Meltdown都打破了应用程序和操作系统之间的隔离，让攻击者可以从内核读取信息。这对于云开发人员来说确实是一个令人头疼的问题，因为并非所有云用户都安装了最新的安全补丁。 7 个云攻击预防技巧 云服务的动态特性打破了用于现场软件的传统安全模型。显然，云服务提供商无法确保云中的全面安全。云用户也有部分责任。虽然保护云中用户数据的最佳方法是提供分层安全方法，但云服务提供商应实施行业最佳实践，以确保其云安全达到最高水平。以下是有关云开发人员如何确保其基于云的解决方案安全的七个技巧。 1. 强化安全政策 软件供应商在提供云服务时，应在安全策略中限制其保护云中用户数据和操作的责任范围。告知您的客户您为确保云安全所做的工作以及他们需要采取哪些安全措施。 2.使用强认证 窃取密码是访问云中用户数据和服务的最常见方式。因此，云开发人员应该实施强大的身份验证和身份管理。建立多因素身份验证。有多种工具需要静态密码和动态密码。后者通过在移动电话上提供一次性密码或使用生物识别方案或硬件令牌来确认用户的凭据。 3.实施访问管理 为了提高服务的安全性，云开发者应该让云用户将基于角色的权限分配给不同的管理员，这样用户就只能拥有分配给他们的能力。此外，云编排应使特权用户能够根据其在公司内的职责来建立其他用户的权限范围。 4. 保护数据 云环境中的数据在传输和存储的各个阶段都需要加密： 在源头（在用户端） 传输中（从用户传输到云服务器的过程中） 静止时（存储在云数据库中时） 数据在进入云端之前就需要加密。现代数据加密和标记化技术可以有效防御帐户劫持。此外，证明端到端加密对于保护传输中的数据免受中间人攻击也很重要。使用包含盐和哈希值的强大加密算法可以有效地抵御网络攻击。 存储在云端的数据也容易受到意外损坏，因此您还可以通过提供数据备份服务来确保其恢复。 5. 检测入侵 为您的基于云的解决方案提供完全托管的入侵检测系统，该系统可以检测并通知入侵者对云服务的恶意使用。使用入侵检测系统提供网络监控并通知内部人员的异常行为。 6. 安全 API 和访问 云开发人员应确保客户端只能通过安全 API 访问应用程序。这可能需要限制 IP 地址范围或仅通过公司网络或 VPN 提供访问。然而，对于面向公众的应用程序来说，这种方法可能很难实施。因此，您可以通过 API 使用特殊的脚本、模板和配方来实现安全保护。您甚至可以更进一步，在 API 中构建安全保护。 7. 保护云服务 限制对云服务的访问对于防止攻击者通过云服务的弱点获得对用户操作和数据的未经授权的访问是必要的。在设计云服务架构时，将事件处理程序权限最小化，仅保留执行特定操作所需的权限。此外，您可以将安全决策限制为仅针对用户信任的那些能够管理其数据安全的云服务。 结论 云计算技术因其诸多优点而深受用户欢迎。然而，这项技术也引入了漏洞，这些漏洞可能成为网络攻击的新载体。通过了解网络犯罪分子如何在云计算中进行攻击，云开发人员可以更好地保护他们的产品。

链动未来·技术前瞻 “XOps 实践逐渐应用到网络安全分析中，以支撑安全数据治理，安全模型训练、 管理和监控，为网络安全的数据分析人员、ML 工程团队、应用开发团队以及安全运营团队的协作搭建安全、兼容和经济高效的平台，从而实现基于AI 安全模型的持续交付，即实现借助大数据和人工智能技术完成分析能力自适应的调整，更加主动、弹性地去分析新型复杂的威胁和未知多变的风险。" ——绿盟科技天枢实验室 主管研究员 王星凯 绿盟科技天枢实验室 安全研究员 王玉坤 随着网络空间攻防对抗态势不断升级演化，数字化时代的特征不断倒逼网络安全分析从传统的依赖安全专家的人工经验向智能化的安全分析模式快速转变。安全智能分析已成为网络安全风险治理与防控的必备条件之一。 当AI技术被赋予了更多的使命，它的研发运营也成为了推动人工智能从满足基本需求的“能用”向满足高效率、高性能的“好用”转变的重要推手。如何将人工智能研发运营体系与安全场景有效融合，在保证安全性的同时，减少技术和流程的重复，实现网络安全分析自动化、智能化进阶，也正是未来应对网络空间高级、持续、复杂威胁与风险不可或缺的关键技术之一。安全专家需要持续探索的是如何运用AI强大的机器自学习与迁移学习能力将人工丰富的实战经验转化为数据样例，让AI在举一反三的同时，更加灵活而精准的自主应对突发的安全威胁。 本届XCon2023大会中，来自绿盟科技天枢实验室的主管研究员王星凯及安全研究员王玉坤将带来议题《从网络安全场景模型交付谈机器学习平台实践》，深度介绍网络安全智能分析的发展背景、趋势与面临的挑战，总结前沿技术方案。 议题简介 《从网络安全场景模型交付谈机器学习平台实践》 本议题将着重分享相关的实践经验，并阐述实战中安全智能分析的难点。沉淀为技术的发展趋势，展望网络安全领域更智能、高效和可靠的安全分析方案。 演讲人介绍 王星凯——绿盟科技天枢实验室 主管研究员 王玉坤——绿盟科技天数实验室 安全研究员 王星凯，博士毕业于中国科学院大学，清华大学与绿盟科技联合培养博士后，现就职于绿盟科技天枢实验室，任主管研究员，负责安全智能分析团队。主要研究方向包括安全智能分析、人工智能安全及安全知识图谱等，参加省部级项目多项，申请专利10余项，授权5项，参与撰写高水平学术论文10余篇，参与撰写白皮书3份，曾在2023年INSEC WORLD世界信息安全大会发表主题演讲，参与中国信息通信研究院发布《人工智能研发运营体系（MLOps）实践指南（2023年）》的编写。 王玉坤，毕业于北京航空航天大学，现就职于绿盟科技天枢实验室，任安全研究员，负责安全智能分析平台的架构设计与后端开发，研究方向为网络安全大模型、webshell攻击检测、MLOps等。 XCon2023 会议日程全曝光 ☆购票通道同步开启 【链动者】¥0，展商互动区+XReward开放路演区可通行，不含闭门演讲、自助午餐及会刊 【先锋·造链者】¥2090，全场可通行，含闭门演讲+年度会刊（不含餐）。8月20日晚6点前购买，享此福利 【突围·造链者】¥2790，全场可通行，含闭门演讲+自助午餐+年度会刊 【全速·造链者】¥4500，仅限会议当日现场购买，不支持票券折扣

赌博是一门大生意，赌场的经营收入让场内最大的高额赌注都显得微不足道。因此，赌场落实严格的程序和流程，以确保不存在客户欺骗的情况。然而，与计算机领域相比，一些安全研究人员认为赌博法规和安全技术“有点过时”，这导致对此感兴趣的研究人员使用Raspberry Pi Zero来制造自己的概念证明工具。 去年9月，YouTube上播放了一段备受争议的洛杉矶扑克节目《Hustler Live Casino》牌局。长话短说，一个新手骗倒了一个老手。《连线》杂志报道，“成千上万愤怒的扑克玩家”高呼犯规，暗示这个新手在某种程度上作弊了。 《连线》杂志报道了《洗牌和发牌：分析自动洗牌机的安全性》，IOActive公司的Joseph Tartaro、Enrique Nissim和Ethan Shackelford在2023年黑帽大会上对此进行了一番演示。 赌场在随后长达数月的调查后得出了结论：不存在任何犯规行为。然而，这一结论引起了安全公司IOActive的计算机研究人员兼顾问Joseph Tartaro的不满。尤其让Tartaro生气的是这种说法：Deckmate洗牌机完全不容怀疑（尽管一些人怀疑洗牌机被做了手脚）。调查结论相当自信地声称：“Deckmate洗牌机是安全的，不可能被人做手脚。” 这番声明在安全界看来就像向一头公牛亮出红布一样。Deckmate是赌场中使用最广泛的自动洗牌机，因此进一步调查更备受关注。 于是，Tartaro及其在IOActive的两位同事开始对Deckmate进行了长达数月的调查。研究结果于周二在拉斯维加斯举行的黑帽安全大会上公布。 IOActive买来了几台Deckmate洗牌机，与经验丰富的操作员和工程师进行了交谈。值得关注的是，最新版本是Deckmate 2，通常放在扑克玩家膝盖旁边的桌子下，该设备有一个暴露的USB端口。如果黑客能碰到该设备，那么一切都完了。 几位安全研究人员发现，插入到Deckmate 2的USB端口的黑客设备可以“改变洗牌机的代码，以完全劫持洗牌机，并且神不知鬼不觉地篡改洗牌。”大多数对纸牌和赌博但凡有点了解的人都知道，在这些纸牌游戏中，知识就是力量。换句话说，如果一个人对所发的牌有更多的了解，他就能以小搏大。 IOActive在其概念验证赌场作弊演示中使用的黑客设备基于Raspberry Pi Zero，插入到了Deckmate 2 USB接口。IOActive表示，下定决心的骗子可能会设计出一款具有同样功能的专用设备，其外形尺寸只有一个典型的USB加密狗那么小。面对巨额钱财的引诱，骗子可能舍得在这种设备上下血本。 此外，你甚至不需要是纸牌游戏的天才就能解读Deckmate 2的数据，它甚至有一个内置的摄像头，用于验证整副牌。IOActive发现，可以查看摄像头拍摄的画面，实时了解整副牌的发牌顺序。一种明显的作弊方法是，可视化数据可以通过蓝牙发送到附近的智能手机上，IOActive团队也测试了这种方法。第二个人可以与坐在牌桌边的玩家串通，发出做出决定或策略的信号。 Tartaro提到Deckmate 2黑客攻击时说：“基本上，它允许我们多少可以做任何我们想做的事情……比如说，我们可以从摄像头读取恒定的数据，这样我们就可以知道发牌顺序，那样我们就能确切地知道每个人都会有什么样的一手牌。” IOActive还透露了其他一些有趣的研究成果。该研究团队特别指出，最初的Deckmate没有USB端口，但可以通过其他方式做手脚，特别是如果有赌场内部人士愿意这么做的话。据说一些Deckmate还附带一个蜂窝调制解调器，以便厂商监控。这就为中间人攻击或蜂窝信号欺骗提供了更大的攻击面。 面对《连线》杂志的报道，Deckmate系列洗牌机的生产商Light & Wonder对来自IOActive的警告似乎表现出了一种逃避现实的态度。该公司表示，没有已知的证据表明他们的设备在赌场被黑客入侵。然而，负责制定赌场标准的国际博彩标准协会的一位高管建设性地谈到了组建一个技术委员会来调查IOActive的发现结果。有人已经提出了加强安全性的想法，比如移除外部USB端口，或者对软件/固件进行一些修改。我们认为，把IOActive的研究工作看作是建设性的批评可能是个好主意，而不是置之不理。

人们普遍认为macOS比Windows更安全，于是乎很多中小企业就利用macOS来追求安全性，但对于完全依赖macOS来保证安全的中小型企业来说，这是非常危险的。比如，用户将找不到macOS中内置的类似Defender的安全中心。 在这篇文章中，我们将从三方面介绍macOS安全性，这对于目前没有在macOS设备上部署额外终端保护的企业来说是至关重要的。 苹果的平台安全策略 苹果关于在macOS上防范恶意软件介绍的最近一次更新是在2022年5月，最新公开文件指出，其恶意软件防御分为三方面： 防止恶意软件启动或执行：App Store或Gatekeeper与Notarisation的结合； 阻止恶意软件在客户系统上运行：Gatekeeper、Notarisation和XProtect； 修复已执行的恶意软件：XProtect，macOS 内建了称为 XProtect 的防病毒技术，可基于签名检测和移除恶意软件。系统使用由 Apple 定期更新的 YARA 签名，YARA 是一款用来基于签名检测恶意软件的工具。你可以认为它是 macOS 系统中的“Defender”。 不过这些技术的透明性和可做作性都不是太好，例如，不可能允许或排除用户或设备之间的特定应用程序或代码。在单个设备上，用户可以制定非常广泛的系统策略决策，例如允许或拒绝来自App Store外部的所有应用程序，但即便如此，除非系统由移动设备管理平台(MDM)解决方案管理，否则本地用户在没有管理员权限的情况下也可以覆盖该策略。 从企业安全的角度来看，更令人担忧的是，几乎看不到哪些代码被阻止，何时以及为什么被阻止，也不清楚这些扫描是何时执行的，也不知道它们的有效性。另外就是恶意软件修复会在后台悄无声息地发生，而不会向用户发出提示或警告。在企业环境中，这些远远不够的，因为安全维护人员无法掌握信息。如果要充分保护企业，安全团队需要了解恶意软件是何时出现在系统的，存在了多长时间以及恶意软件的攻击源在哪里等。 1. XProtect签名经常会忽略一些最新的恶意软件 根据苹果的说法，macOS内置了名为XProtect的防病毒技术，用于基于签名的恶意软件检测和删除。该系统使用YARA签名，这是一种用于进行基于签名的恶意软件检测的工具，苹果会定期更新。 苹果XProtect的最后一次更新，包含这些YARA签名的bundle是在6月29日开发的，但根据设备的位置，更新可能要几天后才能发布。 不幸的是，这次更新没有包括对文件签名的任何更改，苹果称这些更改增强了XProtect的阻止能力。YARA文件具有与去年2月更新的版本2166相同的哈希。 如果从版本号来看，在过去的12个月里，XProtect的YARA规则应该有7次更新，但实际上在网络安全公司SentinelOne的测试设备中只观察到3次。此外，去年11月发布的2165版本与最近发布的版本之间的区别仅仅是增加了针对两个恶意软件家族的规则：一个针对Keysteal，2019年2月7日。德国安全研究人员 Linus Henze 发现了 macOS 零日漏洞,名为“KeySteal”,它可以用来获取 Mac 用户在钥匙串访问应用中存储的所有敏感数据；另两个是Honkbox。 由于在过去的几个月里，SentinelOne和许多其他供应商都报告了多种新的macOS恶意软件，因此完全依赖XProtect规则的用户和管理员应该提高防护意识。 2. XProtectRemediator会隐藏攻击痕迹 XProtect Remediator 是对现有 XProtect 系统工具的补充。去年九月，在 macOS 12.3 Monterey 发布前后，苹果悄悄为其 XProtect 服务推出了一种新的 XProtect Remediator 工具，该工具可在后台检查恶意软件。XProtect Remediator 会更频繁地查找恶意软件并在检测到恶意软件时对其进行修复。尽管苹果的主要恶意软件拦截工具缺乏更新，但其一直在定期地更新其MRT替代工具XProtectRemeditor。XProtectRemeditor每天每隔6小时运行一次，查找已知恶意软件家族。 对于信息窃取者来说，6个小时的时间太长了，尤其是他们只需要几秒钟就可以完成工作。会话cookie是攻击者进一步潜入组织的主要目标，并将单个Mac的攻击转化为严重的漏洞，例如最近在CircleCI发生的情况。CircleCI是一个非常流行的CI/CD持续集成开发平台，号称向超过一百万软件工程师用户提供“快速可靠的”开发服务。 如上所述，macOS上没有用户界面来让用户了解哪些恶意软件已被修复，何时以及如何被引入系统。然而，从macOS Ventura开始，没有第三方可见性工具的系统管理员可以尝试利用macOS 13引入的eslogger工具。Apple 并不经常为我们提供专门针对安全性的新工具，但 ESLogger 看起来对安全从业人员、恶意软件分析师和威胁检测工程师来说可能非常有用。根据发布的该工具的手册页，ESLogger 与 Endpoint Security 框架共同记录 ES 事件，这些事件可以输出到文件、标准输出或统一的日志系统。Apple 还通过向 ES 框架添加更多 NOTIFY 事件来重申其对第三方安全产品的承诺，并且 ESLogger 支持现在在 macOS Ventura 中可用的所有 80 个 NOTIFY 事件。 ESLogger 为研究人员提供了对安全相关事件的急需且方便的可见性，而无需部署完整的 ES 客户端。 不幸的是，eslogger并没有考虑到企业规模。这将需要一些基础设施和外部工具，以便将整个检测结果带入一个可以监控和挖掘数据的中央数据库。在这两种情况下，除非安全团队积极主动，否则苹果的XProtectRemediator将会在发现恶意软件时悄悄地将其删除，而不会提醒用户或管理员曾经发生过攻击。类似地，该工具既不会警告也不会记录可疑恶意活动，因为它没有明确地编程工具来检测。 对企业和苹果来说，依靠这种补救方式来提高自身安全是一种高风险的策略。在这种情况下，误报的风险可能会对用户和企业造成严重伤害，所以苹果很可能在检测和默默删除方面设计了非常保守的工具。 对于企业来说，无法接收警报和难以检查日志意味着，XProtectRemeditor几乎不可能发现遗漏的感染，也不可能追踪其删除的感染的根本原因，也不太可能进一步调查事件及其对组织的影响。 3.XProtectBehaviorService：隐藏检测活动 苹果公司最近增加了一项恶意软件检测技术，该技术尚未公开发布，名称为XProtectBehaviorService。 目前，该服务只是静默地记录违反某些预编程行为规则的应用程序的详细信息，这些规则目前在/usr/libexec/syspolicyd中定义。 这些规则(内部称为“堡垒规则”)在位于/var/protected/xprotect/ xpdb的隐藏sqlite数据库中记录违规行为。值得称赞的是，苹果正在记录对Slack和Teams等企业应用程序以及各种浏览器和聊天应用程序中数据的访问。然而，问题仍然存在，苹果打算为用户，特别是管理、IT和安全团队提供什么访问权限，以及在进一步操作过程中收集的信息。例如，这些日志最近被用于调查APT攻击，该攻击感染了四个macOS Ventura系统，XProtect既没有成功阻止该攻击，XProtectRemediator也没有将其删除。 尽管这些数据现在可以由事件响应人员找到，但收集这些数据并学习如何使用这些数据却落在了负责安全的人员的肩上。上述示例说明那些完全依赖苹果提供保护的It团队，必须主动分析他们的macOS设备，并挖掘苹果隐藏的日志和监测数据。 总结 如上所述，苹果在安全方面的做法与其他操作系统供应商不同，这本身并无好坏之分，重要的是管理员要清楚地知道他们的操作系统是如何处理安全事件的。一个好的、安静的系统并不一定意味着一个安全可靠的系统。 了解公司终端上发生的事情是保护设备的第一步，在macOS后端发生的与安全相关的事件比面上看到的要多得多。

搜狗拼音输入法加密系统爆安全漏洞可暴露用户输入。 搜狗输入法是国内排名第一的输入法，有超过4.55亿月活用户，支持Windows、安卓、iOS、Linux等系统。 加拿大多伦多大学Citizen Lab研究人员发现搜狗输入法使用的加密算法存在漏洞，恶意攻击者可解密用户的输入信息。漏洞影响Windows、安卓和iOS平台。 漏洞产生的根源是搜狗定制的加密系统——EncryptWall。该系统是敏感流量到未加密的搜狗HTTP API终端的安全通道，通过明文HTTP POST请求中的加密字段来实现。研究人员分析发现EncryptWall系统易受到CBC Padding oracle攻击，这是一种选择密文攻击，影响使用CBC模式和PKCS#7 填充的分组加密。网络监听者利用该攻击可以在不知道加密密钥的情况下恢复加密的网络传输的明文，恢复包括用户输入在内的敏感信息明文。 图 恢复的明文输入示例 该漏洞并不仅仅影响国内用户，根据SimilarWeb网站的统计数据，shurufa.sogou[.]com的访问用户除中国大陆外，还包括中国台湾、中国香港、美国、日本等地区。 研究人员称修复方式非常简单，只需要使用TLS这类加密实现即可。搜狗已于2023年7月20日修复了该漏洞，建议Windows、安卓和iOS用户更新到Windows 13.7、安卓11.26和iOS 11.25及以上版本。 完整技术分析参见：https://citizenlab.ca/2023/08/vulnerabilities-in-sogou-keyboard-encryption/

研究人员成功越狱特斯拉汽车信息娱乐系统，可解锁付费功能，提取秘密信息。 特斯拉（Tesla）汽车中融入了先进的计算机系统，实现包括自动驾驶、娱乐等功能。近期，特斯拉使用搭建的平台实现了车内购买功能，不仅包括额外的连接特征，还包括更快的加速以及座椅加热。因此，黑掉嵌入汽车的计算机系统可以让用户在无需付费的情况下解锁这些付费功能。 此前报道称，配备最新硬件平台的特斯拉Model S和X现在可以玩Steam游戏。特斯拉信息娱乐系统可以从Steam库中运行数千个游戏。特斯拉几款最新的汽车所搭载的信息娱乐系统是基于AMD平台的，来自德国柏林工业大学的研究人员提出一种针对特斯拉汽车信息娱乐系统的越狱方法，使用户可以自由使用特斯拉汽车信息娱乐系统提供的各种功能。 Tesla的信息娱乐APU是基于AMD Zen 1 CPU，因此研究人员尝试利用AMD Zen 1 CPU中之前发现的漏洞来对特斯拉车载APU进行越狱。首先，研究人员使用已知的电压错误注入攻击来攻击系统的信任根——AMD安全处理器（ASP）。然后逆向ASP的启动流以获取使用的Linux版本的root shell。在获取root权限后，研究人员就可以执行任意操作，比如重启信息娱乐系统、控制特斯拉的OTA更新。 此外，还可以访问和解密汽车信息系统中的敏感信息，比如车主的个人数据、通讯录、日历、通话记录、Gmail会话cookie、WiFi密码和历史位置信息。研究人员还成功提取了特斯拉内部服务网络中对车辆进行认证和授权的RSA密钥。 对于实现特斯拉信息娱乐系统越狱所需的工具，研究人员只需要称烙铁和价值100美元的电磁设备就可以实现，比如Teensy 4.0这样的微控制器开发板。 研究人员称已将相关发现报告给了特斯拉。特斯拉回复研究人员称，越狱的座椅加热功能是基于老版本固件的，在最新固件版本中，该配置的更新需要特斯拉Gateway的有效签名。要实现座椅加热和其他软件所功能，需要利用Gateway其他软件或硬件的安全漏洞。 对于其他问题，特斯拉目前正在修复中。 相关研究成果在2023年8月9日BlackHat 2023大会上展示，更多参见：https://www.blackhat.com/us-23/briefings/schedule/#jailbreaking-an-electric-vehicle-in--or-what-it-means-to-hotwire-teslas-x-based-seat-heater-33049

近日，知名软硬件公司American Megatrends International（安迈，简称AMI）开发的MegaRAC基带管理控制器（BMC）软件曝出了两个新的严重漏洞。BMC是一种微型计算机，焊接到了服务器的主板上，使云中心及其客户可以简化远程管理大批计算机的任务。这使管理员们能够远程重装操作系统、安装和卸载应用程序，以及控制整个系统的几乎其他各个方面，甚至在关闭时也能控制。 MegaRAC BMC为管理员们提供了“带外”和“无人值守”远程系统管理功能，从而使管理员能够对服务器进行故障排除，就好像人在设备跟前一样。 该固件被业内十多家服务器制造商所使用，这些制造商为许多云服务和数据中心提供商提供设备。受影响的供应商包括AMD、华硕、ARM、Dell EMC、技嘉、联想、英伟达、高通、HPE、华为、Ampere Computing和华擎科技等更多厂商。 Eclypsium安全公司的安全研究人员在分析了RansomEXX勒索软件团伙窃取的AMI源代码后，发现了这两个漏洞（编号为CVE-2023-34329和CVE-2023-34330）。RansomEXX勒索软件团伙入侵了AMI的商业合作伙伴之一：计算机硬件巨头技嘉兴的网络，从而窃取了AMI源代码。 据安全外媒报道，RansomEXX团伙的攻击者于2021年8月在其暗网数据泄露网站上公布了窃取的文件。 这两个安全漏洞使攻击者能够通过暴露在远程访问者面前的Redfish远程管理接口，绕过身份验证或注入恶意代码： • CVE-2023-34329——通过HTTP报头欺骗手段绕过身份验证（9.9/10 CVSS 3.0基础分数） • CVE-2023-34330——通过动态Redfish扩展接口注入代码（6.7/10 CVSS 3.0基础分数） 只要远程攻击者可以通过网络访问BMC管理接口，即使缺乏BMC凭据，如果通过结合这两个漏洞，就可以在运行易受攻击的固件的服务器上远程执行代码。 这是通过欺骗BMC将HTTP请求视为来自内部接口来实现的。因此，如果接口在网上暴露无遗，攻击者就可以远程上传和执行任意代码，甚至可能从互联网执行这番操作。 影响包括服务器成废砖和无限重启循环 Eclypsium的研究人员在近日发布的一篇博文中写道：“这些漏洞的严重程度从很高到危急不等，包括未经身份验证的远程代码执行和未经授权的设备访问，拥有超级用户的权限。它们可以被能够访问Redfish远程管理接口的远程攻击者的利用，或者从一个受感染的主机操作系统来利用。Redfish是传统IPMI的后续技术，它为管理服务器的基础设施及支持现代数据中心的其他基础设施提供了一种API标准。除了得到常用于现代超大规模环境的OpenBMC固件项目的支持外，Redfish还得到了几乎所有主要的服务器和基础设施供应商的支持。” 这些漏洞对云计算背后的技术供应链构成了重大风险。简而言之，组件供应商中的漏洞影响许多硬件供应商，而这些漏洞又会被传递给许多云服务。因此，这些漏洞可能对组织直接拥有的服务器和硬件以及支持组织使用的云服务的硬件构成了风险。它们还会影响组织的上游供应商，应该与关键第三方进行讨论，作为一般性的供应链风险管理尽职调查的一个环节。 Eclypsium表示：“利用这些漏洞的影响包括：远程控制受感染的服务器，远程部署恶意软件，勒索软件和固件植入或破坏主板组件（BMC或潜在的BIOS/UEFI），可能对服务器造成物理损坏（过电压/固件破坏），以及受害者组织无法中断的无限重启循环。” “我们还需要强调的一点是，这种植入极难被检测出现，而且极容易被任何攻击者以单行漏洞利用代码的形式重新创建。” 在2022年12月和2023年1月，Eclypsium披露了另外五个MegaRAC BMC漏洞（编号为CVE-2022-40259、CVE-2022-40242、CVE-2022-2827、CVE-2022-26872和CVE-2022-40258），这些漏洞可以被利用来劫持、破坏或远程感染被恶意软件感染的服务器。 此外，今天披露的这两个MegaRAC BMC固件漏洞可以与上面提到的这些漏洞结合使用起来。 具体来说，CVE-2022-40258（涉及Redfish & API的弱密码散列）可以帮助攻击者破解BMC芯片上管理员账户的管理员密码，从而使攻击更加简单直接。 Eclypsium表示，他们还没有看到任何证据表明这些漏洞或他们之前披露的BMC&C漏洞正在外头被人利用。然而，由于威胁分子可以访问相同的源数据，这些漏洞沦为攻击武器的风险大大增加了。

ChatGPT是一个基于人工智能技术的自然语言处理模型，可以通过学习大量的语料库，生成自然语言的文本和对话。ChatGPT通过为各行各业带来更高效、智能和个性化的服务而对各行业带来变革性影响。 研究人员发现ChatGPT、Bard、Claude等人工智能大语言模型（Large language model，LLM）会在回答用户提问时，可能会产生一些不当内容，即越狱攻击。比如，通过特殊关键词等查询来让大语言模型产生非预期的响应内容。随后，研究人员开展了大量的调试工作，以尽可能避免回答用户有害的内容。虽然已有研究人员证明了针对大语言模型的越狱攻击，但这一过程需要大量的手动操作来进行设计，而且很容易被大语言模型提供商所修复。 机器学习从数据中学习模式，对抗攻击正是利用机器学习的这一特征来生成异常行为。比如，对图像做出的人类无法察觉的小修改会使图像分类器将其错误识别为其他问题，或使声音识别系统产生人类听不见的响应消息。 来自卡耐基梅隆大学的研究人员系统研究了大语言模型的安全性，证明可以自动构造针对大语言模型的对抗样本，尤其是在用户查询中添加特定字符流会使大语言模型根据用户查询产生结果，并不会判断产生的回复是否有害。与传统的大模型越狱相比，研究人员的这一对抗攻击过程是完全自动的，即用户可以无限制的发起此类攻击。 虽然该研究的攻击目标是开源大语言模型，但研究人员发现利用其提出的方法生成的对抗提示（prompt）是可迁移的，包括对黑盒的公开发布的大语言模型。研究人员发现此类字符串对抗攻击也可以迁移到许多闭源的、公开可访问的基于大模型的聊天机器人，如ChatGPT、Bard和 Claude。鉴于部分模型已开始商用，研究人员对此类模型的安全性表示担忧。 目前尚不清楚大语言模型提供商是否能够完全修复此类对抗攻击行为。但过去10年间，类似的针对机器学习的对抗攻击在计算机视觉是一个非常困难的挑战。虽然深度学习模型的本质使得此类威胁不可避免，但研究人员认为随着大模型的广泛使用以及人们对大模型的依赖，此类对抗攻击应当纳入考虑范围。 针对大语言模型的对抗攻击代码参见：https://github.com/llm-attacks/llm-attacks 针对大语言模型的对抗攻击研究论文参见：https://arxiv.org/abs/2307.15043

8月已至，这意味着黑客“狂欢季”：BSides Las Vegas、Black Hat USA和DEF CON接踵而来。如果你要去拉斯维加斯参加一年一度的系统缺陷探索盛宴，那么下述纪录片可以带你提前沉浸在探索的情绪中。 1、《十亿美元大劫案》Billion Dollar Heist（2023年）流媒体平台（8月15日开始购买）：Prime Video、AppleTV、Xfinity、Vudu、Directv、Fios、YouTube 预告片：https://youtu.be/31FkJyi7M1c 今年夏天最大的黑客纪录片来自环球影视家庭娱乐（Universal Pictures Home Entertainment）公司。《十亿美元大劫案》讲述了2016年针对孟加拉国中央银行进行的数字抢劫。这部电影追溯了整个行动过程，从选择世界银行网络的目标成员到电汇被盗资金，从成功打开网络钓鱼的大门到洗白不义之财。 朝鲜的APT组织Lazarus Group被认定为此次盗窃的幕后黑手。该组织先是侵入了控制银行间国际资金转移的SWIFT软件，然后开始向纽约的联邦储备银行（Federal Reserve Bank）发送看似来自孟加拉国银行的虚假请求。 即便你知道事件是如何展开的，这部电影在渲染悬念方面做得很好，松弛有度地突出了各个方面的出色策划。通过将攻击的执行时间定在一个长周末的周四晚上，网络犯罪分子给了自己四天的时间来完成10亿美元的转账。不过，他们糟糕的拼写错误引发了足够多的问题，让美联储在转出8100万美元后及时停止了转账。 此外，亲眼目睹参与调查的人进一步加强了观影体验感。维也纳IWM网络安全专家Misha Glenny；网络安全侦探Eric Chien、Rakesh Asthana和Mikko Hypponen等知名人士；记者Joshua Hammer、Nicole Perlroth和Krishna Das，以及退休的FBI特工Keith Mularski共同带领观众经历了整个离奇的冒险。 2. 《零日》Zero Days（2016） 流媒体平台：YouTube、Tubi、Vudu、Hulu、AppleTV、Roku、Amazon Prime等。 预告片：https://www.youtube.com/watch?v=ikzAcK0l-ZM 在网络安全领域，另一起不得不提的重大国际事件当属Stuxnet。这种蠕虫是为了破坏伊朗一家工厂的铀浓缩离心机而精心设计的，并迅速传播到了世界各地。2010年，白俄罗斯网络安全专家Sergey Ulasen在其公司伊朗客户的系统中首次发现了这种恶意软件，并发出了警报。 安全专家Eric Chien及其赛门铁克同事Liam O'Murchu火速展开调查行动，一起分析了这个极其复杂且干净的代码，并追踪到其最初的目标是伊朗。 作为一个涉及国际工业破坏和核扩散的故事，这部纪录片的基调要比《十亿美元大劫案》的滑稽风格严肃得多。值得一提的是，美国和以色列通过这场跨越乔治·W·布什（George W. Bush）和奥巴马（Obama）政府的多年行动，在开启网络战时代方面发挥了被广泛接受的作用。这是一款发人深省的影片，值得一看。 3. 《Ashley Madison事件》The Ashley Madison Affair（2023） 流媒体平台：Hulu 预告片：https://youtu.be/q54ZKVXmUcA 在Hulu上播出的这部由三部分组成的原创纪录片，感觉更像是一部真实的犯罪电视节目，而不是对网络安全事件的严肃探索，但它是一个简单而引人注目的影片，突出了内部威胁的严重危害和良好安全卫生的重要性，以及人际关系和亲密关系令人担忧的本质。 Ashley Madison是一个臭名昭著的已婚人士约会网站，令人惊讶的是，时至今日，它仍然存在（网络威胁也是如此）。2015年7月，一个自称“Impact Team”的组织宣布，他们侵入了Ashley Madison的网络，并获取了各种各样的客户信息，包括姓名、活动和照片等。 该组织威胁要公布所有数据，除非Ashley Madison关闭。但网站一直在运行；客户数据库是在当年8月发布的。该事件的结局是，长话短说，许多人的生活被毁了，婚姻甚至生命都结束了。当黑客泄露了Ashley Madison首席执行官诺埃尔·比德曼（Noel Biderman）创建的虚假女性档案的电子邮件以及该公司松懈的安全措施时，他被确定为“恶人”。 除了Ashley Madison能够重建并继续经营之外，这部剧最有趣的地方在于对肇事者的搜寻仍在继续。布莱恩·克雷布斯（Brian Krebs）是追捕黑客的主要代表；他得到了一些提示，引起了他的兴趣，随后发表了对这次黑客攻击的调查。 4. 《无人可信：寻找加密货币之王》Trust No One:The Hunt for the Crypto King（2022） 流媒体平台：Netflix 预告片：https://youtu.be/vW2BPQ15OSw 这是另一个与网络安全无关的影片，但它确实探讨了密码安全和备份的重要性、死后保留账户访问权的问题，以及人际关系中“零信任”的有用性。 影片主人公杰拉德·科顿（Gerald Cotten）是一名加拿大加密货币爱好者，他创办了QuadrigaCX，这是一家国际比特币交易所，从一开始就被证明是一个“庞氏骗局”，但科顿的不良投资和贪污行为进一步掏空了这家交易所。2018年，当人们意识到他们无法收回资金时，整个事情开始崩盘。 科顿后来在去印度的旅途中去世，他的遗孀宣布她无法访问任何账户，因为他没有分享或留下密码。当然，很多人对此说法一个字也不相信，包括科顿死亡的报道，争论一直持续到今天。 5. 《黑客秘史》The Secret History of Hacking（2001） 流媒体平台：YouTube 完整视频：https://youtu.be/PUf1d-GuK0Q 这部由探索频道制作的纪录片将电话窃贼约翰·德雷珀（John Draper）、硬件奇才史蒂夫·沃兹尼亚克（Steve Wozniak）以及近日已故的凯文·米特尼克（Kevin Mitnick）集合再一起，追溯了现代黑客文化在美国的发展史，从电话窃听开始，一直到家酿电脑俱乐部（Homebrew Computer Club），再到社会工程时代。 对黑客文化感兴趣的朋友值得一看！ 6. 《代码2600》Code 2600（2012） 流媒体平台：Amazon Prime（租赁） 预告片：https://youtu.be/gXwIYrsW9Bk 《代码2600》是另一个真正满足复古渴望的影片。这部长镜头电影从1956年的人造卫星开始，一直到杰夫·罗斯（Jeff Ross）在DEF CON大会上一举成名，并在美国政府任职。 就像《黑客秘史》一样，这部影片的内容可能也已广为人知，但看到熟悉的名字和面孔也是相当有趣的一件事情，这些耳熟能详的人物包括布鲁斯·施奈尔（Bruce Schneier），他的智慧开启了整部电影的序幕，也结束了电影。其他有趣的人还包括马库斯·拉努姆（Marcus Ranum）、詹妮弗·格兰尼克（Jennifer Granick）、洛丽·克拉纳（Lorrie Cranor）、埃里克·米肖（Eric Michaud,）和罗伯特·瓦莫西（Robert Vamosi）。 主要的故事情节是隐私和安全之间的权衡。正如施奈尔所观察到的，“我们发现所有这些公司（Facebook、谷歌等）都在缓慢而刻意地降低隐私，因为它们通过人们的分享、信息的可见性、信息的整理和网络化以及被其他人看到来赚钱。” 然而，尽管这种感觉仍然很流行，但它在当时甚至都不是什么新鲜事物。在一个关于美国公民自由联盟会议的黑白新闻短片中，一名男子抱怨道：“我们所能期待的就是暂时搁置数据库……因为不仅有政府的数据库，还有私人的数据库。” 7. 《黑客世界：匿名者》Hackers World: Anonymous（2012） 流媒体平台：YouTube 完整视频：https://youtu.be/1A3sQO_bQ_E 这是本次名单上最短的纪录片，只有20多分钟，但值得注意的是，它邀请了据称是“匿名者”（Anonymous）组织成员的嘉宾，包括已经被揭开面具的格雷格·豪什（Gregg Housh）。另一件让它在黑客主义纪录片领域脱颖而出的事情是，它不是任何一方的彻底宣传。 关于“匿名者”组织的行为对消费者造成伤害的部分有点令人难以置信，因为它与索尼PlayStation网络被黑客入侵的诉讼一样；视频下面的一些评论指出，索尼糟糕的安全性最终导致其客户受到威胁。 也许，16x9纪录片团队访问DEF CON就是为了说明很多黑客的技能是有价值的。为了进一步强调黑客可以对社区做出积极贡献，Melanie Gorka解释了慈善组织Random Hacks of Kindness的理想主义黑客马拉松。 8. 《DEFCON：纪录片》DEFCON: The Documentary（2013) 流媒体平台：YouTube 完整视频：https://www.youtube.com/watch?v=SUhyeY0Fsvw DEF CON以限制摄影和不鼓励媒体报道而闻名，但为了庆祝2012年该黑客大会成立20周年，组织者制作了一部纪录片，观众可以在YouTube上免费观看。在此次的DEF CON会议上，最值得注意的是，在“零日行动”中发挥重要作用的美国国家安全局代表基思·亚历山大（Keith Alexander）将军首次发表了主题演讲。 这部纪录片展示了这个最疯狂的活动的许多反复出现的特征，从LineCon通宵到定制徽章再到黑客比赛，其在一些服装、道具和项目中展示的创造力令人印象深刻，这也说明了为什么这么多人年复一年地参加该盛会。

许多网络安全消息来源称，汉堡王的系统是网络攻击的重要目标，该攻击泄露了大量的私人登录信息。这次漏洞暴露了该公司基础设施中潜在的漏洞，可以很好地提醒人们在当今的数字环境中，一个健全的网络安全规程至关重要。 《安全事务》（Security Affairs）最先注意到了这一漏洞，并指出汉堡王的系统无意中泄露了重要的密码，有可能会允许攻击者非法访问系统。专家说，网络攻击者获得了本应受到保护的数据访问权，这使得汉堡王的内部系统和敏感数据变得十分脆弱。这也显现出了该漏洞的严重性。 专家们则进一步强调了该漏洞的影响，指出这一事件不仅会给汉堡王带来严重的后果，也会给其客户带来严重的后果。恶意攻击者可能会利用泄露的凭证访问其他系统、进行身份盗用，或对与被泄露数据相关的个人和组织发动更有针对性的攻击。 这起事件对各行各业的企业来说都是一个警示，它也显示了进行积极主动地实施全面的网络安全方案的必要性。正如网络安全专家 Jane Doe 博士所说，汉堡王数据泄露事件表明，即使是看似很微小的漏洞也可能会导致重大的数据泄露。企业必须从根本上优先考虑网络安全，实施强有力的安全措施、定期审计和员工培训，以降低风险。 据报道，汉堡王已立即采取措施修补了这一漏洞。该公司发表了一份声明，承认已经发生了泄密事件，并向客户保证，他们正在努力解决这一问题，并加强安全措施。尽管如此，这一事件还是引发了人们对该公司整体安全状况的质疑，并凸显了企业在保护敏感数据方面所面临的各种挑战。

电子邮件安全和威胁检测服务提供商Vade公司近日发布了一份报告，详细阐述了最近发现的一起网络钓鱼攻击，这起攻击成功欺骗了Microsoft 365身份验证系统。 据Vade的威胁情报和响应中心（TIRC）声称，攻击电子邮件含有一个带有JavaScript代码的有害HTML附件。这段代码的目的在于收集收件人的电子邮件地址，并使用来自回调函数变量的数据篡改页面。 TIRC的研究人员在分析一个恶意域名时解码了使用base64编码的字符串，获得了与Microsoft 365网络钓鱼攻击相关的结果。研究人员特别指出，对网络钓鱼应用程序的请求是向eevilcorponline发出的。 研究人员通过periodic-checkerglitchme发现，其源代码与附件的HTML文件很相似，这表明网络钓鱼者在利用glitch.me来托管恶意的HTML页面。 glitch.me是一个允许用户创建和托管Web应用程序、网站和各种在线项目的平台。遗憾的是，在这种情况下，该平台却被人利用，用于托管涉及这起进行中的Microsoft 365网络钓鱼骗局的域名。 当受害者收到一封含有恶意HTML文件（作为附件）的电子邮件时，攻击就开始了。受害者打开该文件后，一个伪装成Microsoft 365的网络钓鱼页面就会在受害者的互联网浏览器中启动。在这个欺骗性页面上，攻击者提示受害者输入其凭据，攻击者会迅速收集这些凭据用于恶意目的。 由于Microsoft 365在商业界得到广泛采用，被泄露的账户很有可能属于企业用户。因此，如果攻击者获得了对这些凭据的访问权，他们就有可能获得敏感的商业和交易信息。 此外据报告显示，Vade的研究人员还发现了一种涉及使用被欺骗的Adobe版本的网络钓鱼攻击。 图1. Office 365和Adobe网络钓鱼诈骗的登录页面（图片来源：Vade） 进一步分析后发现，恶意的“eevilcorp”域名返回了一个与Hawkeye应用程序相关的身份验证页面。值得一提的是，包括Talos在内的网络安全专家曾对最初的HawkEye键盘记录器进行了分析，将其归类为2013年出现的恶意软件套件，随后出现了后续版本。 这一发现很重要，因为这解释了为什么TIRC的研究人员无法将身份验证页面与HawkEye键盘记录器直接联系起来。 发现的攻陷指标（IoC）如下： periodic-checkerglitchme scan-verifiedglitchme transfer-withglitchme air-droppedglitchme precise-shareglitchme monthly-payment-invoiceglitchme monthly-report-checkglitchme eevilcorponline ultimotemporeonline 这起攻击之所以引人注目，是由于它利用了恶意域名（eevilcorponline）和HawkEye。作为一种键盘记录器和数据窃取工具，HawkEye可以在黑客论坛上买到。虽然Vade的调查仍在进行中，但是用户有必要保持警惕，并遵循以下这些措施，以防止沦为Microsoft 365网络钓鱼骗局的受害者： 仔细核对电子邮件发件人：小心那些声称由Microsoft 365发来、实际上由可疑或不熟悉的电子邮件地址发来的电子邮件。验证发件人的邮件地址，以确保它与微软官方域名匹配。 留意一般的问候语：网络钓鱼电子邮件常常使用一般的问候语，比如“亲爱的用户”，而不是直接称呼你的姓名。正规的微软电子邮件通常用你的姓名或用户名来称呼你。 分析电子邮件内容和格式：注意拼写和语法错误以及糟糕的格式。网络钓鱼电子邮件常常含有微软的正规邮件不会含有的错误。 将鼠标悬停在链接上方：在点击电子邮件中的任何链接之前，将鼠标悬停在链接上方，以查看实际的URL。如果链接的目的地看起来可疑或与微软官方域名不同，请不要点击它。 警惕紧急请求：网络钓鱼电子邮件常常给人一种紧迫感，迫使你立即采取行动。小心那些声称你的Microsoft 365账户存在风险或要求紧急验证个人信息的电子邮件。 切记，如果你怀疑一封电子邮件是网络钓鱼骗局，最好谨慎行事。向微软报告任何可疑的电子邮件，并避免提供个人或敏感信息，除非你可以通过官方渠道核实请求的合法性。

网络安全供应商Sophos近日被一种名为SophosEncrypt的新型勒索软件即服务冒充，威胁分子打着这家公司的旗号实施攻击活动。 MalwareHunterTeam昨天发现了这个勒索软件，起初还以为是Sophos红队演习的一部分。 然而，Sophos X-Ops团队在推特上表示，他们并没有创建这个加密器，他们在调查其相关情况。 Sophos发推文声称：“我们早些时候在VT上发现了这个勒索软件，一直在调查。我们的初步调查结果显示，Sophos InterceptX可以抵御这些勒索软件样本。” 此外，ID Ransomware显示了来自被感染受害者的一份提交，表明这起勒索软件即服务活动处于活跃状态。 虽然目前对RaaS活动及推广方式知之甚少，但MalwareHunterTeam发现了一个加密器的样本，让我们可以快速了解它是如何运作的。 SophosEncrypt勒索软件 勒索软件加密器是用Rust编写的，使用C:\Users\Dubinin\路径作为其crate。在内部，勒索软件被命名为“sophos_encrypt”，因此它被称为SophosEncrypt，检测结果已经被添加到了ID Ransomware中。 一旦执行，加密器提示勒索软件加盟组织输入与受害者相关的令牌，该令牌可能最初从勒索软件的管理面板中获取。 输入令牌后，加密器将连接到179.43.154.137:21119，并验证令牌是否有效。勒索软件专家Michael Gillespie发现，可以通过禁用网卡来绕过这道验证，从而实际上在离线状态下运行加密器。 输入有效的令牌后，加密器将提示勒索软件加盟组织在加密设备时使用额外的信息。这些信息包括联系邮箱、jabber地址和一个32个字符的密码，Gillespie称该密码作为加密算法的一部分来使用。 然后，加密器将提示加盟组织加密一个文件或加密整个设备，如下所示。 图1. 加密器在加密前提示信息（图片来源：BleepingComputer） 在加密文件时，Gillespie告诉IT外媒，它使用带PKCS# 7填充的AES256-CBC加密。 每个加密过的文件都会有已输入的令牌、已输入的电子邮件以及以.[[]].[[]].sophos这种格式添加到文件名后面的sophos扩展名。下面是测试加密中的情况。 图2. SophosEncrypt加密的文件（图片来源：BleepingComputer） 在文件被加密的每个文件夹中，勒索软件将创建一封名为information.hta的勒索函，加密完成后它可自动开启。 这封勒索函含有受害者的文件发生了什么，以及加盟组织在加密设备之前输入的联系信息。 图3. SophosEncrypt勒索函（图片来源：BleepingComputer） 勒索软件还能够改变Windows桌面壁纸，当前壁纸醒目地显示它所冒充的“Sophos”品牌。 需要澄清的是，这张壁纸是由威胁分子创建的，与正规的Sophos网络安全公司没有一点关系。 图4. SophosEncrypt壁纸（图片来源：BleepingComputer） 加密器包含许多对位于http://xnfz2jv5fk6dbvrsxxf3dloi6by3agwtur2fauydd3hwdk4vmm27k7ad.onion的Tor网站用。 这个Tor网站不是谈判或数据泄露网站，更像是勒索软件即服务活动的加盟组织面板。 图5. 勒索软件即服务加盟组织面板（图片来源：BleepingComputer） 研究人员仍在分析SophosEncrypt，看看是否有任何漏洞可以免费恢复文件。 如果发现任何弱点或加密问题，我们会发布本文的更新内容。 在文章报道发表后，Sophos也发布了一份关于新的SophosEncrypt勒索软件的报告。 据报告显示，勒索软件团伙的指挥和控制服务器（179.43.154.137）也与之前攻击中使用的Cobalt Strike C2服务器有关。 Sophos的报告解释：“此外，两个样本都含有一个硬编码的IP地址（我们确实看到样本连接到这样一个地址）。” “一年多来，这个地址一直与Cobalt Strike指挥和控制以及自动攻击有关，这些攻击试图用加密货币挖掘软件感染面向互联网的计算机。”