蓝队取证审计网络安全

目录0x00 技能栈 0x01 漏洞理解篇(Vulnerability) 1.1 前端 1.2 后端 1.3 打造自己的知识库 0x02 漏洞利用篇(Exploit) 2.1 前端安全-XSS 2.2 前端安全-CSRF 2.9 Server-side request forgery (SSRF) 2.4 [注入]SQL注入&数据库漏洞利用 2.5 [注入]模板注入 Server Side Template Injection (SSTI) 2.6 [注入]命令注入&代码执行 2.7 [注入]Xpath注入 2.8 XML External Entity (XXE) 2.9 文件操作漏洞 2.10 反序列化漏洞 2.11 包含漏洞 2.12 Java-特性漏洞 2.13 NodeJs-特性漏洞 2.14 不一致性 0x03 代码审计篇(Audit) 3.1 PHP 3.2 JAVA 3.3 .NET 3.4 Perl CGI 0x04 渗透篇(Penetration) 4.1 网络预置 4.1.1 代理客户端(环境准备) 4.1.2 常规信息（单兵） 4.1.3 资产搜索引擎（大数据） 4.1.4 移动端信息收集 4.1.5 近源渗透（WiFi） 4.2 网络接入(exp) 4.2.1 漏洞验证（扫描器） 4.2.1.1 主动式 4.2.1.2 被动式 4.2.2漏洞利用(1day) 4.2.2.1 漏洞利用知识 4.2.2.2 漏洞利用工具 4.2.2.3 dnslog平台 4.2.3 字典 4.3 权限获取&提…

一个名为“EncryptHub”的威胁者（又名“Larva-208”），一直以世界各地的组织为目标，通过鱼叉式网络钓鱼和社会工程攻击来访问企业网络。 根据Prodaft上周在内部发布的一份报告称，自2024年6月Encrypthub启动运营以来，它已经攻击了至少618个组织。 在获得访问权限后，威胁者安装远程监控和管理（RMM）软件，然后部署像Stealc和Rhadamanthys这样的信息窃取程序。在许多观察到的案例中，EncryptHub也会在受损的系统上部署勒索软件。 据悉，该威胁组织隶属于RansomHub和BlackSuit，过去曾部署过这两家勒索软件加密器，可能是它们的初始访问代理或直接附属机构。 然而，在研究人员观察到的许多攻击中，攻击者部署了自定义的PowerShell数据加密器，因此他们也保留了自己的变体。 获得初始访问权限 Larva-208的攻击包括短信网络钓鱼、语音网络钓鱼，以及模仿企业VPN产品（如Cisco AnyConnect、Palo Alto GlobalProtect、Fortinet和Microsoft 365）的虚假登录页面。 假冒思科登录页面 攻击者通常在给目标的消息中冒充IT支持人员，声称VPN访问有问题或他们的帐户存在安全问题，指示他们登录到一个网络钓鱼网站。 受害者收到链接，这些链接将他们重定向到网络钓鱼登录页面，在那里他们的凭据和多因素身份验证（MFA）令牌（会话cookie）被实时捕获。 一旦网络钓鱼过程结束，受害者将被重定向到服务的真实域，以避免引起怀疑。 网络钓鱼过程概述 Enc…

1 概述 安天CERT在2月5日发布了《攻击DeepSeek的相关僵尸网络样本分析》报告，分析了攻击中活跃的两个僵尸网络体系RapperBot和HailBot和其典型样本，分析了其与Mirai僵尸木马源代码泄漏的衍生关系。安天工程师依托特征工程机制，进一步对HailBot僵尸网络样本集合进行了更细粒度差异比对，在将样本向控制台输出的字符串作为分类标识条件的比对中，发现部分样本修改了早期样本的输出字符串“hail china mainland”，其中数量较多的两组分别修改为“you are now apart of hail cock botnet”和“I just wanna look after my cats, man.”。为区别这三组样本，我们将三组变种分别命名为HailBot.a、HailBot.b、HailBot.c，对三组样本的传播方式、解密算法、上线包、DDoS指令等进行相应的分析。其中也有将输出字符串修改为其他内容样本，但数量较少，未展开分析。 表 1‑1 HailBot三个变种之间的关系 HailBot.a HailBot.b HailBot.c 特殊字符串 hail china mainland you are now apart of hail cock botnet I just wanna look after my cats, man. 传播方式 CVE-2017-17215漏洞 CVE-2017-17215漏洞 CVE-2023-1389漏洞 破解攻击（账号密码数量45） CVE-2017-1721…

近期，微软推出的云计算版本操作系统Windows Azure服务出现故障，微软MSDN发文称，Azure服务中断是由于操作系统升级时出现故障，并且表示Windows Azure的存储并没有受到影响。 微软目前已解决了 Azure 中断问题，并停止了北美和拉丁美洲客户的多项服务。 该公司表示，事件影响了利用其现代云内容交付网络 (CDN) Azure Front Door (AFD) 的服务。其公司代表在 Azure 状态页面上首次承认中断时称：这是由所谓的“配置更改”引起的。为了应对这一问题，许多 Microsoft 服务已无法使用 AFD。 然而，有客户报告称，在英国连接 Azure 服务（包括 Azure DevOps）时遇到错误，Azure DevOps 状态页面将这些问题标记为影响巴西用户。 此外，尽管 Azure 状态页面至少一小时内没有显示任何有关服务受到影响的信息，但在中断期间，许多客户也无法加载该页面。尽管服务健康状态页面显示在整个中断期间 Azure 均未出现任何问题，但 Downdetector 已收到数千份有关服务器连接和登录问题的用户报告。 Azure DevOps 中断 该中断影响了许多 Microsoft 365 和 Azure 服务，导致全球客户出现访问问题和性能下降。 该公司随后证实，此次中断影响了 Microsoft 365 管理中心、Intune、Entra、Power BI 和 Power Platform 服务，并将其归咎于“意外的使用量激增”，“导致 Azure Front Door (AFD)…

篇首语：之前杨叔写了NFL美国职业棒球联赛上的作弊猫腻，这次就聊了棋类比赛，尤其是国际象棋比赛。 前一阵“智能肛珠”的说法出来时，被曾经打败小区8号楼小学生无敌手的“非著名象棋爱好者”杨叔惊为天人，当时便写了这篇初稿。直到今天才终于写完，希望大家喜欢。 声明：以下内容符合OSINT国际开源情报搜集标准，不涉及任何非法行为，仅供交流与参考。 01 智能肛珠猜想引发的群虑 前不久，一则关于猜测棋类选手使用智能肛珠作弊的消息，传遍了网络。 一位国际象棋选手在输掉比赛后，发Twitter抱怨说怀疑对手使用了类似于“智能肛珠”这类的电子设备作弊。这种设备可以藏匿在人体内，并通过远程信号传递+振动的方式提示选手......咦？纳尼？！！ “智能肛珠”的想法确实够奇葩，杨叔其实更想知道的是： 提出这个想法的人，到底经历过什么？ 其实吧，这些年，国际象棋作弊确实已经被认为是国际象棋未来发展的最大威胁。 许多业余爱好者甚至专业人士都经常表示，作弊现象已经十分猖獗。从最低级别的在线国际象棋到世界锦标赛，对于作弊的指控已经遍及国际象棋的各个级别。 02 现场手机接听+远程指导 显然地，也有很多人怀疑在棋类赛事里，使用高科技作弊不过是个阴谋论，都是输不起的棋手抹黑对手的诡辩罢了。 .......直到出现一位年轻的选手，在比赛现场的检查中被抓个正着，呵呵。 在印度新德里举行的首届 Hedgewar 博士公开国际象棋锦标赛的第五轮比赛中，19 岁Dhruv Kakkar的对手向首席仲裁员抱怨： “我注意到他的每一次走棋都需要大约两分钟的时间，无论是复杂还是简…

声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 0x01 测谎仪的历史 测谎仪的历史可以追溯到19世纪末期，那时人们就开始意识到：撒谎可能会伴随着生理反应的变化。 早期的测谎方法主要是基于观察被试者的生理指标，比如心率、呼吸频率和皮肤电阻等。虽然这些方法不够精确，但它们启发了科学家进一步探索如何利用生理指标来识别撒谎。 莱昂纳德·基勒 (Leonarde Keeler) 是基勒测谎仪的发明者，他一生的大部分时间都在试图辨别人们是否说真话。如下图，他通过测谎仪认识了他的妻子凯瑟琳。 当时的芝加哥，因其帮派和惊人的凶杀率而被称为谋杀之城。1929年，为了扭转这座城市的声誉，市政府在西北大学建立了科学犯罪侦查实验室，这是美国第一个正式的刑事调查机构。基勒夫妇成为了该实验室的两位顶尖犯罪学家，莱昂纳德成为了实验室的测谎专家，凯瑟琳成为了笔迹分析专家。 在洛杉矶，基勒直接向该市改革派警察局长奥古斯特·沃尔默汇报，后者声称该机器将提供“改良、简化和人性化的三级”。沃尔默希望他的门生的机械创新能够让容易出错和暴力的审讯成为过去。 自此，莱昂纳德的机器有了一个正式的名称——基勒测谎仪——并在犯罪侦查实验室中内置了一个公共关系部门。两年之内，测谎成为西北实验室最赚钱的业务。 有趣的是，随着这种设备在检测欺骗和犯罪方面的成功，”基勒解释了原理，“在很大程度上归因于这种测试在招供方面所产生的心理效应。” 他的设备原本是为了简化警方的审讯，但却成为警察强制装备库中的另一个工具。 0x02 关于测谎仪的认知盲区 测谎仪…

篇首语：最近在梳理各种异常频谱，杨叔无意中查到这么一个奇怪的频点，已经超出了正常的检测范围，普通的信号检测设备也无法接收到这个频点的信息。 深挖之余，就有了本篇。 本文同样送给那些喜爱神秘/科幻主义的爱好者、超自然研究者、《飞碟探索》《鬼吹灯》粉及有末日情节的生存控们，希望大家喜欢。 声明：以下内容素材均来自互联网，不涉及宗教、玄学、神话等方面的讨论，仅供交流、参考与闲聊，不喜勿看，谢绝杠精。 0x01 这世界有“鬼”么？ 早在有记载的历史之前，人类就一直在讲鬼故事。 在西方，一些已知最古老的鬼魂出没地，比如公元前8世纪古希腊荷马编著的《奥德赛》描述的，奥德修斯前往冥府寻找先知，看到无数凄厉悲苦的亡魂。 《旧约全书》讲述了恩多女巫召唤幽灵预言家撒母耳，结果导致了扫罗王的战败与自杀。 除了文学上的虚构，西方历史上也有很多有关鬼魂的记载。 公元1世纪，博物学家小普林尼在雅典的一处房子被鬼缠上，他说这个鬼会发出锁链的喀嚓声，还会以长胡子的老人的形象现身。 而出现频率最高的是王后安妮•傅林的鬼魂，据说自从1536年被砍头之后，人们已经在120个地方见到她不下3万次。 而在东方，中国古代如此之多描述鬼魂精怪的著作和传说，什么《搜神记》《聊斋志异》《山海经》《封神演义》......估计故事总数要超过整个西方的合集。 PS：杨叔就曾为小倩（其实是王祖贤）痴迷不已夜不能寐无心喃呢...... ......咳咳，总之，鬼魂、幽灵什么的都被认为是各种超自然行为的罪魁祸首，但多亏了科学，我们终于能够解释其中的一些情况。 嗯，先放张摸金校尉的图镇场。 0x…

1 概述 近期，安天CERT监测到多起Outlaw挖矿僵尸网络攻击事件，该挖矿僵尸网络最早于2018年被发现，主要针对云服务器从事挖矿活动，持续活跃。安天CERT在分析近期的攻击事件中发现，该挖矿僵尸网络样本在第三版本基础上有了重要更新，其功能更加多样、隐匿性更高、清除更加困难。主要传播途径和功能依旧是SSH暴力破解攻击目标系统，植入SSH公钥，以达到长期控制目标系统的目的，同时下载执行基于Perl脚本语言编写的后门和开源门罗币挖矿木马，使用扫描和暴力破解工具对其他主机进行相应攻击。 经验证，安天智甲终端防御系统可有效防御、查杀该挖矿木马。 2 攻击流程 Outlaw挖矿僵尸网络首先会通过扫描SSH服务对目的主机进行暴力破解，获取权限后下载最终载荷文件dota3.tar.gz，然后不落地执行tddwrt7s.sh脚本中的指令，初始化脚本，将载荷放到/tmp目录下，解压缩载荷文件，并执行载荷文件中的第一个Perl脚本initall，该脚本最终会执行载荷文件中的第二个Perl脚本init2，会在cron.d文件中写入计划任务，依次执行a、b、c文件夹中的a、a、start脚本。 一、a文件夹： 1.a文件的主要作用是检测与清除RedTail挖矿僵尸网络相关的恶意行为，执行run文件。 2. run文件用于启动并管理名为kswapd00的挖矿程序以及stop脚本。 3.stop文件的主要功能是执行init0文件以及清理目标系统中的指定文件和进程。 4.init0文件用于全面排查并清理与挖矿相关的活动。 二、b文件夹： 1.a文件的主要功能是执…

1 概述 勒索攻击目前已成为全球组织机构主要的网络安全威胁之一，被攻击者作为牟取非法经济利益的犯罪工具。为了增加受害方支付勒索赎金的概率并提升赎金金额，攻击者已从单纯的恶意加密数据演变为采用“窃取文件+加密数据”的双重勒索策略。更有甚者，在双重勒索的基础上，增加DDoS攻击以及骚扰与受害方有关的第三方等手段，进一步演变为“多重勒索”。近年来，勒索攻击的主流威胁形态已从勒索团伙广泛传播勒索软件收取赎金，逐渐转化为“RaaS（勒索软件即服务）+定向攻击”收取高额赎金的模式。这种模式针对高价值目标，RaaS的附属成员通过购买0Day漏洞、研发高级恶意代码、收买企业内鬼和情报等手段，提高突防能力并提升勒索载荷落地成功率。这种“定向勒索+窃密+曝光+售卖”的组合链条，通过胁迫受害者支付赎金从而实现获利。为有效应对勒索风险，防御者需要改变对勒索攻击这一威胁的认知，并且更深入地了解定向勒索攻击的运行机理，才能构建有效的敌情想定，针对性的改善防御和响应能力。 2024年中，勒索攻击事件频繁发生，攻击者通过广撒网式的非定向模式和有针对性的定向模式开展勒索攻击。勒索攻击持续活跃的因素之一是RaaS商业模式的不断更新。RaaS是勒索攻击组织开发和运营的基础设施，包括定制的破坏性勒索软件、窃密组件、勒索话术和收费通道等。各种攻击组织和个人可以租用RaaS攻击基础设施，完成攻击后与RaaS组织按比例分赃。这一商业模式的兴起和成熟，使得勒索攻击的门槛大幅降低，攻击者甚至无需勒索软件开发技能，也能对目标进行定向攻击。另一重要因素是初始访问经纪人（Initial Acc…

01 新剧介绍 先引用下网上的官方介绍： 电视剧《对手》是爱奇艺出品，海东明日影视联合出品，由卢伦常执导，郭京飞、谭卓、颜丙燕、宁理领衔主演，孙佳雨、王天辰、刘帅良主演，何蓝逗联合主演，黄尧、张月特别主演的当代都市谍战剧，讲述了和平年代的“谍战”故事。 《对手》讲述了国家安全警察在日常生活中寻找间谍线索的故事，他们凭借着精湛的侦查能力，为了国家和人民的安居乐业，克服了一切困难，最后赢得了胜利。 02 本剧亮点 感觉全剧贯穿的主题有这么几个： ① 鼓励全民反间防谍，牢记12339，即国家安全举报电话 ② 国内潜伏是没有希望滴，赶紧自首才是王道 ③ 国安警察并不是脱离群众的“神人”，也都是和每一个普普通通的家庭一样，需要面对生活中的各种压力，为了工作，很多时候甚至不得不牺牲家庭。 特别是最后一点，使得剧中的角色变得鲜活、生动了很多。不再是那种一脸正直帅气的标签化特征，而是更加接地气的长相普通，为了任务去染发、赌球、贴纹身混赌场 03 一些经典片段 之前杨叔在分享电影《扫黑 • 决战》时说过，国产电影电视剧中很少出现跟踪、技术窃密的场景，有朋友留言说是国情不允许啊之类。 其实按照国内这些年引进的这么多相关内容的欧美港台电影来看，比如《窃听风云》系列，《碟中谍》等，说国情不允许肯定是夸张了。 杨叔：“相信最主要的原因还是导演、编剧的意识理念缺乏所致。” 所以，在《对手》这部剧里，这方面的情节展现就显得特别亮眼 厦洲市国安处长段迎九，在带领新人外出时，通过询问每个人对环境细节的观察，来考核个人能力。 这一段与香港电影《跟踪》里CIB…

漏洞概述 Ivanti Connect Secure、Ivanti Policy Secure和Ivanti Neurons for ZTA gateways 是Ivanti 公司提供的远程访问和安全连接解决方案，主要功能包含VPN、访问控制、流量加密等。其IF-T/TLS协议在认证前，存在栈缓冲区溢出漏洞，攻击者可以利用该漏洞实现未授权远程代码执行。该漏洞已被APT组织利用。 影响范围 Ivanti Connect Secure 22.7R2 - 22.7R2.4 Ivanti Policy Secure 22.7R1 - 22.7R1.2 Ivanti Neurons for ZTA gateways 22.7R2 - 22.7R2.3 复现环境 版本：Ivanti Connect Secure 22.7R2.3 环境搭建 Ivanti Connect Secure 22.7R2.3导入虚拟机后开机，按照界面提示设置IP地址，管理员账号和密码等。 配置成功后，进入命令行界面，可以根据编号进行系统管理，但是无法执行底层Shell命令。 同时在浏览器中使用HTTPS协议打开配置的IP地址，可以正常显示Web登录界面。 查看虚拟机磁盘文件，尝试挂载到其他系统，解包出系统中的文件。但是文件系统被加密，无法通过常规挂载方式获取系统文件。这种情况下，常见方案可以逆向分析系统启动流程，分析解密算法，解密出系统文件。但是时间成本比较高。 笔者则是选择使用另一种方法，将虚拟机暂停后，修改其内存文…

1 概述 近期，安天CERT通过网络安全监测发现了一起新的挖矿木马攻击事件，该挖矿木马从2023年11月开始出现，期间多次升级组件，目前版本为3.0。截止到发稿前，该挖矿木马攻击事件持续活跃，感染量呈上升态势。主要特点是隐蔽性强、反分析、DLL劫持后门和shellcode注入等，因此安天CERT将该挖矿木马命名为“匿铲”。 在此次攻击活动中，攻击者利用了两个比较新颖的技术以对抗反病毒软件，第一个技术是滥用反病毒软件的旧版本内核驱动程序中的功能来结束反病毒软件和EDR，这个技术通过一个主体的PowerShell脚本、一个独立的PowerShell脚本和一个控制器（内存加载的小型可执行文件）来完成，主体的PowerShell脚本用于下载并安装反病毒软件的旧版本内核驱动程序，独立的PowerShell脚本用于解密并内存加载控制器，控制器用来控制内核驱动程序。虽然被滥用的旧版本内核驱动程序早已更新，但目前仍能被非法利用并有效结束大多数反病毒软件。 第二个技术是利用MSDTC服务加载后门DLL，实现自启动后门，达到持久化的目的。这个技术利用了MSDTC服务中MTxOCI组件的机制，在开启MSDTC服务后，该组件会搜索oci.dll，默认情况下Windows系统不包含oci.dll。攻击者会下载后门DLL重命名为oci.dll并放在指定目录下，通过PowerShell脚本中的命令创建MSDTC服务，这样该服务会加载oci.dll后门，形成持久化操作。 经验证，安天智甲终端防御系统不会被反病毒软件的旧版本内核驱动程序所阻断，也能够对该后门DLL的有效…

自2023年8月底以来，研究人员观察到专门用于标题党和广告内容的受攻击服务器显著增加。但为什么这样的网站对攻击者来说如此有吸引力呢？主要因为这些网站的设计是为了接触到大量潜在的受害者。此外，标题党网站经常使用过时或未修复的软件，这使得它们很容易受到攻击。 本文足以让你了解标题党文章的危险性。文中讨论了标题党网站如何增加流量以获得广告收入，研究人员回顾了一种基于其网络流量特征，来检测易受攻击标题党网站的策略。最后，本文还阐述了基于CVE-2023-3169漏洞的标题党网站数量激增的趋势分析。 标题党网站和广告流量 标题党旨在让读者点击一个可疑的网络内容链接。专门从事标题党内容的网站存在的唯一目的是产生广告收入，因此，标题党网站的网页包含大量攻击性广告。 点击诱饵需要大量的浏览量来产生广告收入，所以这些网站通常使用以下三种策略来增加流量。 常青的话题； 内容发现平台； 生成人工智能(AI)工具； 常青的话题 增加流量的一个策略是关注常青话题。常青话题指的是与特定时间或地点无关的话题，人们一直觉得它们很有趣。例如，金融和卫生被认为是常青的话题。图1和图2显示了来自标题党网站的两个示例页面： 金融主题标题党文章的例子 健康主题标题党文章的例子 内容发现平台 由于标题党内容本身是通过广告传播的，许多标题党网站还依靠第二种策略来增加流量：内容发现平台。 新闻机构和其他内容提供商使用内容发现平台来创收，标题党提供商经常使用这些服务来为他们自己的内容增加流量。 内容发现平台经常使用技术来伪装广告。其中一种方法被称为原生广告，此方法将广告内容配置为与…

1 概览 “游蛇”黑产团伙（又名“银狐”、“谷堕大盗”、“UTG-Q-1000”等）自2022年下半年开始活跃至今，针对国内用户发起了大量攻击活动，以图窃密和诈骗，对企业及个人造成了一定的损失。该黑产团伙主要通过即时通讯软件（微信、企业微信等）、搜索引擎SEO推广、钓鱼邮件等途径传播恶意文件，其传播的恶意文件变种多、免杀手段更换频繁且攻击目标所涉及的行业广泛。近期，安天CERT监测到“游蛇”黑产团伙利用仿冒成远程控制软件下载站点的钓鱼网站传播恶意MSI安装程序。 当恶意MSI安装程序执行后，会在用户选择的安装路径中释放一个正常的安装程序以及一个恶意程序，在桌面中创建指向正常安装程序的快捷方式，并执行恶意程序。恶意程序执行后，从指定URL处获取shellcode并在内存中执行。该shellcode通过异或解密算法进行自解密，在内存中执行嵌入其中的1.dll文件。1.dll文件从指定URL处下载、执行两段shellcode。 第一段shellcode在内存中释放执行RpcTsch.dll，该DLL文件通过RPC创建称为“MM”的计划任务；第二段shellcode在内存中释放执行Dll1.dll，该DLL文件持续对剪贴板内容进行监控，并对符合指定条件的内容进行窃取并连续截取20张图片，推测该DLL文件用于窃取加密货币钱包地址及密钥信息，可能存在黑产团伙之间的“黑吃黑”行为。然后，1.dll对当前的系统环境进行多种检测，收集各类系统信息、构建上线包并与C2服务器连接。攻击者能够利用该恶意文件进行远程控制、信息窃取等恶意操作。 “游蛇”黑产团伙仍…

Nmap是Network Mapper（网络映射器）的缩写，是一个用于端口和IP扫描以及应用程序检测的开源工具。网络和系统管理员将其用于清点网络资产、管理服务升级计划和监视服务正常运行时间。 起初，它是作为一款Linux工具而开发的，但现在也可用于Windows和MacOS。用户还可以在Solaris、AIX或Amiga OS等不太常见的系统上使用Nmap。源代码以C、C++、Perl和Python等版本提供，可以定制该工具以适用于不同的环境。 管理员用Nmap进行渗透测试，检查哪些设备在其网络上运行，Nmap还使他们能够查看哪些端口是敞开的，并发现潜在的漏洞。 Nmap有什么用途？ 大致说来，Nmap允许用户进行快速的网络映射，可以帮助团队优化并保护网络和数据。它被用于渗透测试、道德黑客活动以及进行其他目的。它最近的一项用途是分析网站服务器和物联网设备之间的流量。 Nmap由美国网络安全专家Gordon Lyon开发，下面将逐一介绍Nmap工具的最重要功能： 网络映射 Nmap向用户显示哪些类型的设备连接到网络并使用扫描端口。借助这个命令，用户可以看到服务器、路由器、交换机及其他设备是如何连接的，他们还可以了解它们如何协同工作，并进一步设想网络图。 端口扫描 用户可以使用Nmap检查哪些端口是敞开的，哪些端口是关闭的。这项功能对于IT团队来说非常方便，因为他们可以用它来查看防火墙是否在正常工作，对于那些想要防范端口扫描攻击的人来说，它也派得上用场。 漏洞扫描 Nmap还有助于发现网络容易受到特定威胁攻击的程度。当发现一个影响特定软件或软…

漏洞链攻击是从以下诱饵开始: 分析时，研究人员观察到一个有趣的Microsoft Word文档(.docx文件)于2023年7月3日首次提交给VirusTotal，名为Overview_of_UWCs_UkraineInNATO_campaign.docx。 该活动被社区归因于Storm-0978(也被称为RomCom组织，因为他们使用了RomCom后门)。 恶意Word文档诱饵 此文档托管在以下URL： hxxps://www.ukrainianworldcongress[.]info/sites/default/files/document/forms/2023/Overview_of_UWCs_UkraineInNATO_campaign.docx上面的链接表明该文档很可能是通过电子邮件传播的，电子邮件文本包含指向.docx文件的链接。文件的创建日期和域名ukrainianworldcongress的注册日期都是2023年6月26日。这个时间点表明，这是一个基于电子邮件的活动，其中包含.docx文件的链接。 当该文件最初提交给VirusTotal时，62个杀毒软件中有27个将其识别为恶意文件。 CVE-2023-36584利用的技术分析 微软Office文档一直是攻击者传播恶意软件的常用攻击手段。为了应对这一威胁，微软实施了mow安全，限制Office文档中的各种功能来自不受信任的位置。 Windows将这些文件识别为高风险文件。带有mow标记的文件会生成一个SmartScreen提示，表明它有潜在的危险。当Word文档未标记…

1. 基本介绍1.1 概要 通用即插即用（英语：Universal Plug and Play，简称UPnP）是由“通用即插即用论坛”（UPnP™ Forum）推广的一套网络协议。该协议的目标是使家庭网络（数据共享、通信和娱乐）和公司网络中的各种设备能够相互无缝连接，并简化相关网络的实现。UPnP通过定义和发布基于开放、因特网通讯网协议标准的UPnP设备控制协议来实现这一目标。 1.2 结构组成设备 - UPNP规范中的最基本单元。代表一个物理设备或包含多个物理设备的逻辑设备。服务 - UPNP规范中的最小控制单元。代表设备提供的服务及调用API接口。控制点 - UPNP所在网络的其他网络中UPNP设备。1.3 协议过程发现 - 简单发现服务描述 - 通过远程访问URL，XML文件格式显示服务相关信息控制 - 控制信息使用SOAP协议，XML文件格式显示。2. 安全风险 UPnP由于设计上的缺陷而产生的漏洞，这些其中大多数漏洞是由于服务配置错误或实施不当造成的。 路由器设备作为代理，对内网进行渗透测试开启端口映射，访问内部计算机3. 威胁分析3.1 获得服务控制协议文档(SCPD)(1) 部分开启服务 - 1 (2) 部分开启服务 - 2 开启服务汇总 <serviceType>urn:schemas-upnp-org:service:Layer3Forwarding:1serviceType> <serviceId>urn:upnp-org:serviceId:L3Forwarding1serviceId&…

0x01 前言 任意文件下载漏洞作为最常见的WEB漏洞之一，在平常的渗透测试中经常遇到，但是很多人却并没有深入去想该如何利用这种漏洞，导致忽略了一些细节的信息。 0x02 传统利用 1） 下载配置文件连数据库 通过任意文件下载漏洞下载网站配置文件，利用数据库配置信息远程连接数据库。 php：通过读取当前页面源码反向查找数据库配置文件 aspx: Web.config java:WEB-INF/web.xml、WEB-INF/classes/applicationContext.xml 、application.yml、application.properties、conf/tomcat-users.xml 其它配置： php.ini、my.ini、MetaBase.xml、access.log 2) 下载操作系统敏感文件 通过下载操作系统中的文件获取敏感信息，不同操作系统中的敏感文件包括 Windows： C:\Windows\win.ini C:\Windows\System32\drivers\etc\hosts C:\ProgramData\Microsoft\Search\Data\Applications\Windows\GatherLogs\SystemIndex\SystemIndex.{%d}.gthr 其中%d替换为1-500的数字，文件中保存大量应用对应的临时文件路径，可以泄露敏感信息，有时有奇效 C:\Users\Administrator\AppData\Roaming\Microsoft\Window…

近年来，攻击者变得越来越专业，他们钻研技能，以求犯更少的关键错误，并创建了各种即插即用业务，帮助低技能的攻击者发起诈骗和攻击。 目前存在不同类型的攻击服务，包括恶意软件即服务，攻击者开发并向其他攻击者出售恶意软件服务，该服务还包括在被攻击的主机上创建和传播勒索软件等恶意软件类型。同时，其他服务需要使用多个社交媒体帐户才能成功进行，例如虚假信息、垃圾邮件和恶意软件传播。 事实上，攻击者在社交媒体平台上使用数千个账户发送数千条垃圾邮件并不罕见。但是他们是如何做到自动化的呢？ 最近，Kopeechka服务出现，促进了依赖大规模社交媒体垃圾邮件的攻击活动。在俄语中，“kopeechka”的意思是“便士”。 该服务自2019年初以来一直活跃，为流行的社交媒体平台提供简单的账户注册服务，包括Instagram、Telegram、Facebook和X(以前的Twitter)。我们还注意到，针对未成年人的聊天网站可以通过Kopeechka进行注册。 本文介绍了Kopeechka服务，并对该服务的特性和功能进行了详细的技术分析，以及它如何帮助攻击者实现其目标。 社交媒体平台如何确保账户创建过程的安全 大多数社交媒体平台都采取了积极措施来加强账户创建的安全性。由于许多攻击者在社交媒体平台上创建账户用于非法活动，社交媒体公司为了将攻击者在其平台上的风险降至最低，故选择从账户创建过程开始。 有不同的安全措施来保护平台，防止欺诈账户的创建，例如： 1.电子邮件地址验证。注册时，用户需要证明所提供的电子邮件地址是否存在，这通常是通过代码确认完成的，其中用户通过电子…

1 概述 近期，安天CERT监测到一起挖矿木马攻击事件，该挖矿木马从2024年3月开始出现，并持续更新攻击脚本。该挖矿木马的典型特点是针对操作系统类型下载对应的挖矿程序、检查系统环境是否有curl、Python、Perl等工具，如果有则使用这些工具下载挖矿程序，如果没有会进行下载适配、根据CPU算力动态调整运行参数，不会饱和使用CPU资源，避免因消耗过多资源被用户感知发现。该挖矿木马因其在脚本中多次出现“app”字符串，故安天CERT将该挖矿木马命名为“app Miner”。 经验证，安天智甲终端防御系统可实现该挖矿木马的有效查杀。 2 攻击流程 app Miner挖矿木马首先会执行一系列功能模块中的功能，如根据CPU线程数估算门罗币（Monero）挖矿的哈希率、根据CPU算力动态调整运行参数、遍历指定目录尝试找到一个足够空间投放挖矿木马的目录、根据受害主机操作系统类型和架构等，生成一个格式化的文件名、查找感染系统中正在运行的竞品挖矿进程等等。之后会从指定的URL上下载挖矿程序、设置挖矿配置文件进行挖矿。该挖矿木马还有很多函数具有多种功能，但默认状态下脚本未开启这些功能或待开发中，其中主要包括计划任务函数、服务函数、进程检查函数等等。 图 2‑1 攻击流程图 3 脚本功能分析 根据CPU线程数估算Monero挖矿的哈希率，然后基于这个哈希率动态计算并选择一个端口号。用于配置一个挖矿程序以选择适当的端口进行通信。这样的设计可能是为了在不同机器上运行时根据机器的不同性能选择合适的设置。 图 3‑1 估算Monero挖矿的哈希率 根据CP…

区块链可以增强您解决方案的安全性吗？凭借去中心化、智能合约和代币化等功能，区块链可以提供强大的方法来保护您的数据并自动化网络安全工作。但区块链在网络安全中到底扮演着什么角色，它真的能为所有企业提供强有力的保护吗？ 在本文中，我们仔细研究了区块链网络安全的好处和挑战，并分析了区块链对不同解决方案的网络安全可能产生的影响。 使用区块链实现网络安全：好处和注意事项 区块链对于医疗保健、公共部门、物流、金融等领域的组织有着无穷无尽的应用。除了独特的功能之外，区块链还由于其去中心化和密码学等固有品质提供了更高级别的安全性。让我们看看这种保护软件的技术的主要优点。 安全的数据存储和处理——区块链记录是不可变的，记录在区块链上的任何更改都是透明的且无法修改。因此，存储在区块链上的数据比传统的数字或纸质记录得到更好的保护。 安全的数据传输——区块链可以实现涉及数据和财务的快速、安全的交易。智能合约是区块链技术不可或缺的一部分，它通过自动执行协议来提高安全性，减少人为错误和潜在漏洞的风险。 无单点故障——无需许可的区块链系统是去中心化的，因此比传统系统更具弹性。为了影响整个区块链的运行或安全，恶意行为者必须危害 51% 或更多的网络节点。这意味着即使在遭受DDoS攻击的情况下，由于账本的多个副本，系统也能正常运行。然而，私有区块链无法提供这种优势。 数据透明度和可追溯性——区块链通过数字签名和时间戳交易来提高网络安全性，并允许网络用户轻松追踪交易历史并在任何历史时刻查看账户。此功能还允许公司拥有有关其资产或产品分销的有效信息。 用户机密性——由于使用公…

黑客利用 ZIP 文件串联技术以 Windows 计算机为目标，在压缩档案中传递恶意负载，而目前安全解决方案却无法检测到它们。 该技术利用了 ZIP 解析器和存档管理器处理串联 ZIP 文件的不同方法。有安全公司发现了这一新问题，在分析利用虚假发货通知引诱用户的网络钓鱼攻击时，发现了隐藏木马的串联 ZIP 存档。 安全研究人员发现，该附件伪装成 RAR 存档，并且恶意软件利用 AutoIt 脚本语言来自动执行恶意任务。 网络钓鱼电子邮件将特洛伊木马隐藏在串联的 ZIP 文件中 将恶意软件隐藏在“损坏的”ZIP 中 攻击的第一阶段是准备阶段，威胁者创建两个或多个单独的 ZIP 存档，并将恶意负载隐藏在其中一个中，剩下的则保留无害的内容。 接下来，通过将一个文件的二进制数据附加到另一个文件，将其内容合并到一个组合的 ZIP 存档中，将单独的文件连接成一个文件。尽管最终结果显示为一个文件，但它包含多个 ZIP 结构，每个结构都有自己的中心目录和结束标记。 ZIP 文件的内部结构 利用 ZIP 应用程序漏洞 攻击的下一阶段依赖于 ZIP 解析器如何处理串联档案。安全公司测试了 7zip、WinRAR 和 Windows 文件资源管理器，得到了不同的结果： ·7zip 仅读取第一个 ZIP 存档（这可能是良性的），并可能生成有关其他数据的警告，用户可能会错过这些数据 ·WinRAR 读取并显示这两个 ZIP 结构，显示所有文件，包括隐藏的恶意负载。 ·Windows 文件资源管理器可能无法打开串联文件，或者如果使用 .RAR 扩展名重命名，…

随着技术的发展，世界之间的联系变得更加紧密，攻击者使用的技术也在不断发展。攻击者通过不断地利用供应链和代码库中复杂的相互依赖关系，对组织、个人和社区造成重大风险。 近年来最令人担忧的攻击趋势之一是供应链攻击的增加，尤其是那些对代码库的攻击，这是全球网络安全领域的一个难题。根据欧盟网络安全机构(ENSA)发布的一份报告，62%的组织受到第三方网络事件的影响，只有40%的受访组织表示他们了解第三方网络和隐私风险。更令人担忧的是，38%的受访组织表示，他们不知道哪些网络问题是由第三方组件引起的，最近涉及供应链的网络攻击包括Apache Log4j, SolarWinds Orion和3CX的3CXDesktopApp。 在现代软件开发中，开发人员依赖第三方组件来简化开发过程，这使开发人员能够创建成本效益高、效率高且功能丰富的应用程序。但是，当这些受信任的组件受到攻击时会发生什么？ 攻击者可以通过组织供应链中不太安全的元素，如第三方供应商或软件存储库间接渗透系统，甚至允许他们破坏受信任的组件，从而在更大、更安全的环境中获得立足点。恶意代码经常嵌入看似合法的软件库中，当开发人员集成这些组件，就会不知不觉地将漏洞和其他网络安全风险引入他们的核心系统。 本文深入研究了攻击者在看似合法的应用程序和代码库中植入恶意有效负载的复杂方法，并以最近示例作为研究对象。 技术分析 攻击者复制合法GitHub存储库的示例研究，然后用恶意代码进行木马化和攻击，策略性地用关键字填充其存储库描述部分，以最大限度地提高其在GitHub搜索中的可见性。 通过此分析，我们可以深入…

引言 StripedFly，它是一个加密货币挖矿软件，躲在一个支持Linux和Windows的复杂模块化框架后面。它配备内置的TOR网络隧道，用于与指挥（C2）服务器联系，还有通过可信赖的服务（如GitLab、GitHub和Bitbucket）进行更新和交付的功能，这一切使用自定义加密归档。攻击者煞费苦心来构建这个框架，披露的真相颇为惊人。 它是如何开始的？ 2022年，在Equation恶意软件中发现的旧代码的WININIT.EXE进程中遇到了两个惊人的发现，随后的分析揭示了可追溯到2017年的早期可疑代码。在此期间，它成功逃避了分析，之前被误归类为加密货币挖矿软件。然而，这不是其主要目标。 我们决定全面分析收集的样本，只想排除任何不确定因素，这个加密货币挖矿软件是一个极庞大实体的一部分。该恶意软件使用了定制的EternalBlue SMBv1漏洞来渗入受害者的系统。重要的是，我们的调查剖析了二进制时间戳，表明这个漏洞是在2017年4月之前创建的。值得一提的是，EternalBlue漏洞是Shadow Brokers组织于2017年4月14日公开披露的。 这个特殊蠕虫与其他使用EternalBlue的恶意软件的区别在于其独特的传播模式。它悄无声息地传播，因而避免了大多数安全解决方案的检测。本文现在简要概述我们的发现结果。 感染 第一个检测到的shellcode位于WININIT.EXE进程中，该进程能够从bitbucket[.]org下载二进制文件，并执行PowerShell脚本。最初检测出来时，感染途径是未知的；然而，随着调查逐步深入…

FortiGuard实验室每两周收集一次感兴趣的勒索软件变体的数据，并发布有关报告，旨在让读者了解不断发展的勒索软件形势以及抵御这些变体的缓解措施，本文要讲的是Retch和S.H.O勒索软件。 受影响的平台：Microsoft Windows； 受影响方：Microsoft Windows用户； 影响：加密和泄露受害者的文件，并要求赎金解密文件； 严重性级别：高； Retch勒索软件概述 Retch是2023年8月中旬首次发现的一种新的勒索软件变体，它在受攻击设备上加密文件，并留下两张勒索信，要求受害者支付赎金来解密文件。 攻击媒介 虽然目前无法获得有关Retch勒索软件攻击者使用的攻击媒介的信息，但是它可能与已知其他勒索软件组织有显著关联。 目前，来自以下国家的Retch勒索软件样本已提交给公共文件扫描服务: 美国 伊朗 德国 俄罗斯 法国 哥伦比亚 韩国 意大利 一旦勒索软件运行，它就会查找并加密具有以下文件扩展名的文件： 以下目录不支持文件加密： "Windows" "Program Files" "Program Files (x86)" 勒索软件为加密文件添加了“.Retch”扩展名。 由Retch勒索软件加密的文件 然后，它会在每个加密文件的文件夹中放上一条标记为“Message.txt”的勒索信。 Retch勒索软件释放的勒索信 在勒索信中，攻击者要求受害者支付价值300欧元的比特币来解密文件，由于赎金要求较低，Retch勒索软件的攻击目标很可能是一般消费者而不是企业。如下图所示，赎金信息有法语和英语两种版本，这使我们…