蓝队取证审计网络安全

一、事件背景 2024年7月9日，微软官方发布了一个针对“windows远程桌面授权服务远程代码执行漏洞”（CVE-2024-38077）的修复补丁包，起初并没有引起大家的警觉。近日在国外某网站上疑似漏洞的作者公开了该漏洞的“POC验证代码”。一时激起千层浪，该漏洞开始疯狂发酵并在安全圈里转发。 该文章的原文链接为： https://sites.google.com/site/zhiniangpeng/blogs/MadLicense 链接里也附上了漏洞验证视频： https://www.youtube.com/watch?v=OSYOrRS2k4A&t=8s 有意思的是，截至本文发稿前，这篇文章和文章里提到的漏洞验证视频已均被作者删除。我们就先从作者发的这个链接来看看其中的一些端倪。 二、原文翻译 注：以下内容为原文翻译，我们对其中需重点关注的部分做了标记。 【背景】 今年早些时候，我们对 Windows 远程桌面服务进行了深入分析，发现了多个漏洞，所有相关漏洞（56 例）都已报告给微软。其中包括远程桌面授权服务中的多个 Preauth RCE 漏洞（未经身份验证的非沙盒 0-click RCE）。这些漏洞可用于构建针对 Windows 远程桌面授权服务的多个 Preauth RCE 漏洞。是的，它们是多年来在 Windows 中未见过的 0-click preauth RCE。我们将它们称为Mad、Bad 和 Dead Licenses 漏洞。…

重发按语：2023年6月1日，卡巴斯基发布报告《三角行动：iOS设备被以前未知的恶意软件攻击》，当时报告中仅进行了事件披露，没有发布样本分析。为让全球用户更深入了解A2PT攻击组织的攻击能力，安天CERT在6月9日披露了一份历史积累分析成果，曝光了同一威胁来源方向的历史样本分析。与卡巴曝光的攻击来自于针对手机iMessage服务投放不同，安天曝光的样本来自于“量子”系统的投放，报告也因此命名为《“量子”系统击穿苹果手机》。历经数月的艰苦分析，卡巴于今日发布了新分析成果报告《三角行动：最后一个谜团》。安天勘误重发6月的报告，也提醒用户应广泛关注来自量子系统的空中投放。 // 该报告首次发布时《图 5‑3 量子系统可攻击场景图谱化分析》有误，已经勘正，特此致歉。 1 概述：覆盖智能终端的A2PT样本拼图 在过去二十多年的时间里，全球关键信息基础设施运营者、安全厂商、研究者所面临的重大考验是，如何应对以NSA等情报机构所发动的网络攻击活动，基于这种攻击活动应用了难以想象的技术与资源，安天CERT将这种攻击活动称之为A2PT（高级的高级持续性威胁）攻击，并发现其中多起攻击都来自于NSA下属的方程式组织。如何把A2PT攻击活动中的攻击样本与过程揭示出来，成为了一场比马拉松更艰苦的分析接力赛，这场接力至少已经完成了三次交接棒，第一阶段从2010年的“震网”事件触发，围绕“震网”—“火焰”—“毒曲”—“高斯”系列样本的攻击活动、样本同源性与关联展开，直到2013年的斯诺登事件出现，才发现这些只是冰山一角；第二阶段是从方程式组织（隶属于NSA）被曝光开始…

0x01 前言 F5 BIG-IP广域流量管理器是一种网络流量管理设备，用于提升链路性能与可用性。F5在金融行业具有特别广泛的使用量，做过各大银行攻防演练的小伙伴对这个系统应该不会陌生。 最近爆出的CVE-2023-46747漏洞能达到远程RCE的效果，属于严重级别的安全漏洞。有意思的是这个漏洞和“AJP请求走私”有关。本文将对请求走私漏洞和CVE-2023-46747做一个详细介绍和分析。 0x02 AJP请求走私介绍 较早出现的AJP请求走私漏洞是CVE-2022-26377，关于该漏洞的详细信息已经有作者进行过分析，感兴趣的读者可以查看原文https://www.ctfiot.com/44809.html，这里我们关注的是AJP请求走私漏洞的危害。 AJP请求走私漏洞影响Apache Httpd < 2.4.54，注意这里直接受影响的并不是tomcat，所以并不是所有的java网站都受请求走私漏洞的影响，而是只有启用了httpd服务的网站才受此漏洞影响，类似于现在前后端分离中nginx服务的作用。在F5 BIG-IP中启动的WEB服务的架构如图2.1所示，并且在F5-BIG-IP中的httpd版本2.2.15，受CVE-2022-26377漏洞影响。 图2.1 F5 BIG-IP中的WEB服务架构 图2.2 F5 BIG-IP中的httpd版本 AJP请求走私漏洞并不是一个高危漏洞，在各个CVSS评分在6.5-7.5之间，所以一直没有受到我的关注，只是觉得这是一个仅供研究没有实际意义的理论漏洞。在这次F5 BIG-IP的R…

随着收益和玩家数量（超过30亿）的增加，游戏行业也成为攻击者的目标，尤其是玩家们期待已久的热门游戏经常被用作恶意活动的诱饵。截至2022年，近四分之一的玩家是未成年人，他们更容易成为攻击者的猎物。 分析方法 为了深入了解当前与游戏相关的网络安全风险，卡巴斯基对针对游戏社区的普遍威胁进行了全方位研究。从伪装成游戏应用、mod和作弊的威胁到对该领域最活跃的恶意软件家族的功能分析。他们还分析了使用各种游戏名称和游戏平台作为诱饵的网络钓鱼页面。 本文的分析利用了来自卡巴斯基安全网络(KSN)的数据，这是一个处理卡巴斯基用户自愿分享的匿名网络威胁相关数据的系统。分析时间段从2022年7月1日到2023年7月1日。 研究人员除了选择在流媒体平台(如Origin和Steam)上下载或准备发布的排名前14款游戏，还分析了与平台无关的游戏进行研究。 游戏列表是基于互联网上最受欢迎游戏的几个排名。他们重点分析了手机版和桌面版《我的世界》《Roblox》《反恐精英:全球进攻》(CS:GO)、《绝地求生》(PUBG)，《霍格沃茨遗产》《远古防御2》(DOTA 2)，《英雄联盟》《魔兽世界》《Apex传奇》《暗黑破坏神4》《星球大战绝地求生》《塞尔达传说》《博德之门3》和《最终幻想XVI》相关的威胁。 威胁分析 在过去的一年里（2022年7月1日至2023年7月1日），卡巴斯基总共检测到4076530次与游戏相关的桌面感染，影响着全球192456名玩家。 最常见的威胁是下载程序(89.70%)，其次是广告软件(5.25%)和特洛伊木马(2.39%)。 作为诱饵，使…

黑客利用 ZIP 文件串联技术以 Windows 计算机为目标，在压缩档案中传递恶意负载，而目前安全解决方案却无法检测到它们。 该技术利用了 ZIP 解析器和存档管理器处理串联 ZIP 文件的不同方法。有安全公司发现了这一新问题，在分析利用虚假发货通知引诱用户的网络钓鱼攻击时，发现了隐藏木马的串联 ZIP 存档。 安全研究人员发现，该附件伪装成 RAR 存档，并且恶意软件利用 AutoIt 脚本语言来自动执行恶意任务。 网络钓鱼电子邮件将特洛伊木马隐藏在串联的 ZIP 文件中 将恶意软件隐藏在“损坏的”ZIP 中 攻击的第一阶段是准备阶段，威胁者创建两个或多个单独的 ZIP 存档，并将恶意负载隐藏在其中一个中，剩下的则保留无害的内容。 接下来，通过将一个文件的二进制数据附加到另一个文件，将其内容合并到一个组合的 ZIP 存档中，将单独的文件连接成一个文件。尽管最终结果显示为一个文件，但它包含多个 ZIP 结构，每个结构都有自己的中心目录和结束标记。 ZIP 文件的内部结构 利用 ZIP 应用程序漏洞 攻击的下一阶段依赖于 ZIP 解析器如何处理串联档案。安全公司测试了 7zip、WinRAR 和 Windows 文件资源管理器，得到了不同的结果： ·7zip 仅读取第一个 ZIP 存档（这可能是良性的），并可能生成有关其他数据的警告，用户可能会错过这些数据 ·WinRAR 读取并显示这两个 ZIP 结构，显示所有文件，包括隐藏的恶意负载。 ·Windows 文件资源管理器可能无法打开串联文件，或者如果使用 .RAR 扩展名重命名，…

今年上半年，一家软件供应商受到了Lazarus恶意软件的攻击，该恶意软件是通过未打补丁的正版软件传播的。值得注意的是，这些软件漏洞并不是新的，尽管供应商发出了警告和补丁，但许多供应商的系统仍继续使用有漏洞的软件，允许攻击者利用它们。幸运的是，研究人员的主动响应发现了对另一个供应商的攻击，并有效地挫败了攻击者的努力。 经过进一步调查，研究人员发现开发被利用软件的软件供应商之前曾多次成为Lazarus的受害者。这种反复出现的漏洞表明，一个持久的攻击者的目标可能是窃取有价值的源代码或篡改软件供应链，他们继续利用公司软件中的漏洞，同时瞄准其他软件制造商。 攻击时间 攻击者表现出了高度的复杂性，采用了先进的逃避技术，并引入了SIGNBT恶意软件来控制受害者。此外，在内存中发现的其他恶意软件包括Lazarus著名的LPEClient，这是一种以受害者分析和有效负载传播而闻名的工具，此前曾在针对国防承包商和加密货币行业的攻击中被观察到。 执行情况如下： 1.一个软件供应商通过利用另一个备受瞩目的软件而受到威胁。 2.这次攻击中使用的SIGNBT恶意软件采用了多种攻击链和复杂的技术。 3.在这次攻击中使用的LPEClient被观察到执行一系列与Lazarus组织相关的目标攻击。 SIGNBT加载程序 在2023年7月中旬，研究人员发现了一系列针对几名受害者的攻击，这些攻击是通过合法的安全软件进行的，这些软件旨在使用数字证书加密网络通信。该软件被利用来传递恶意软件的确切方法仍然难以捉摸。然而，研究人员在正版软件的进程中发现了利用后的活动。 在检查受害者系…

BlackCat运营商最近宣布对他们的工具进行更新，包括一个名为Munchkin的实用程序，它允许攻击者将BlackCat有效负载传播到远程设备和受害者组织网络上的共享。在过去的两年中，作为勒索软件即服务(RaaS)商业模式的一部分，BlackCat勒索软件运营商一直在不断发展和更新他们的工具。 在最新发现的样本中，Unit 42的研究人员获得了一个独特的Munchkin样本，因为它加载在自定义的Alpine虚拟机(VM)中。这种利用自定义虚拟机来部署恶意软件的新策略在最近几个月得到了越来越多的应用，允许勒索软件攻击者使用虚拟机来绕过部署恶意软件有效负载的安全解决方案。 本文详细介绍了这个新实用程序的攻击进程，并进一步阐明了BlackCat攻击者使用的持续策略。 BlackCat概述 BlackCat勒索软件于2021年11月首次被曝光。这种攻击因其恶意软件的复杂性以及使用Rust编程语言等独特方法而臭名昭著。 与其他勒索软件类似，BlackCat采用了RaaS商业模式，这种模式允许其他机构有偿利用他们的工具，使用机构会获得大约80-90%的赎金，其余的则交给运营商。 “BlackCat”组织及其使用机构历来把目标锁定在美国境内。然而，随着时间的推移以及受欢迎程度，攻击范围正在逐渐扩大，最近，人们发现BlackCat的目标是全球众多行业及其垂直行业的受害者。 BlackCat工具集多年来一直在不断发展。 原始版本仅提供了一个嵌入式JSON配置，并没有应用混淆或加密。 随着时间的推移，操作人员更新了恶意软件家族，以混淆这种底层配置。他们还需…

Google Suite是Google在订阅基础上提供的一套云计算生产力和协作软件工具和软件，它包含Google广受欢迎的网上应用，包括Gmail、Google云端硬盘、Google环聊、Google日历和Google文档，现已更名为Google Workspace。研究人员用一种意想不到的方式访问了来自Google Cloud Platform (GCP)的Google Workspace域数据。 研究人员发现，具有必要权限的GCP标识可以为委托用户生成访问令牌，拥有被盗凭证的恶意内部人员或外部攻击者可以使用此访问令牌冒充Google Workspace用户，授予对其数据的未经委托访问或以其名义执行操作。 随着组织越来越依赖基于云的服务，如Google Workspace和Google Cloud Platform GCP，深入研究其安全功能和漏洞的复杂性变得至关重要。 全域委托滥用概述 模拟 下图所示的可能的攻击路径可能是恶意的内部人员利用他们的访问权限，例如，在GCP项目中具有编辑器权限的开发人员。他们可以通过滥用在GoogleWorkspace中被授予全域委托权限的服务帐户来做到这一点，内部人员有权在同一个GCP项目中为服务帐户生成访问令牌。 第二个攻击场景 启用了全域委托权限后，恶意的内部人员可以冒充Google Workspace域中的用户，并使用访问令牌对API请求进行身份验证。通过利用适当的作用域和API访问，内部人员可以访问和检索敏感的Google Workspace数据，这可能会危及存储在域内的电子邮件、文档和其他机…

在追踪Pensive Ursa(又名Turla, Uroburos)的迭代中，Unit 42的研究人员发现了Kazuar一个新的升级变体——一个先进而隐秘的 .NET后门，Pensive Ursa通常将其用作第二级有效负载。 “Pensive Ursa”是一个总部位于俄罗斯的攻击组织，至少从2004年开始活动，与俄罗斯联邦安全局(FSB)有联系。 乌克兰CERT在2023年7月报告说，这个版本的Kazuar是针对乌克兰国防部门的，背后攻击组织的目标是敏感数据，比如Signal消息、源代码控制和云平台数据。 自从Unit 42在2017年发现Kazuar以来，研究人员只在野外看到过几次，主要针对欧洲政府和军事部门的组织。由于代码相似，Sunburst后门与Kazuar联系在一起，这表明了它非常复杂。自2020年底以来，研究人员没有在野外看到新的Kazuar样本，但有报道称Kazuar正在不断开发中。 正如Kazuar升级版的代码所揭示的那样，Kazuar的开发者正在增强器隐形操作能力，他们使用各种先进的反分析技术，并通过有效的加密和混淆实践来保护恶意软件代码。 Kazuar概述 Kazuar是一种先进的、隐秘的.NET后门，Pensive Ursa通常将其作为第二阶段的有效负载，与攻击组织通常使用的其他工具一起传播。 最近乌克兰CERT报告的活动揭示了Kazuar的多阶段传播机制，以及其他工具，如新的Capibar第一阶段后门。研究人员对这个新版本的技术分析显示，它的代码结构和功能都有了显著的改进。 这篇文章将详细介绍以前未记录的功能，包括…

网络犯罪分子利用欺诈性视频会议平台以窃取加密货币的恶意软件感染 Windows 和 Mac 电脑，通过虚假商务会议来瞄准 Web3 工作人员。 该情况根据会议软件常用的名称被称为“Meeten”，自 2024 年 9 月以来一直在进行。该恶意软件有 Windows 和 macOS 版本，目标是受害者的加密货币资产、银行信息、存储在网络上的信息浏览器和钥匙串凭据（在 Mac 上）。 Meeten 是由 Cado 安全实验室发现的，该实验室称，威胁者不断更改假冒会议软件的名称和品牌，之前曾使用过“Clusee”、“Cuesee”、“Meetone”和“Meetio”等名称。 网站传播 Realst 盗窃者 这些假冒品牌在其中填充了人工智能生成的内容，以增加合法性，看似得到了官方网站和社交媒体帐户的支持。访问者通过网络钓鱼或社交工程进入该网站，并被提示下载所谓的会议应用程序，但实际上，它是 Realst 窃取程序。 根据报告，该骗局以多种方式进行。在一个报告的实例中，用户认识的人在 Telegram 上联系了该用户，希望讨论商业机会并安排通话。然而，Telegram 帐户已创建更有趣的是，诈骗者向他发送了目标公司的投资演示，表明这是一个复杂的、有针对性的骗局。 其他报告称，目标用户正在接听与 Web3 工作相关的电话、下载软件并进行诈骗。他们的加密货币被盗之后。初次接触时，目标将被引导至 Meeten 网站下载产品。除了托管信息窃取程序外，Meeten 网站还包含 Javascript，甚至可以在安装任何恶意软件之前窃取存储在网络浏览器中的…

苹果的OTA更新 在大多数情况下，macOS更新是通过OTA更新过程完成的。 OTA是over-the-air的缩写。在“系统设置”中，我们可以通过点击“立即更新”按钮直接更新系统。 OTA更新是一种增量更新，因此比完整的操作系统升级更快，容量更小。 它用于小版本更新，通常每两个月更新一次。但是，如果苹果公司认为内核中存在紧急漏洞，并且已经被积极利用，并且无法通过RSR(快速安全响应)修复，则可能在几周内可用，OTA更新包从Apple CDN服务器下载。 从表中可以看到，OTA包是针对当前操作系统版本定制的。 例如，为了更新到12.6,12.5和12.4的软件包是不同的。更新过程是应用补丁码，所以不同的操作系统版本有不同的补丁码。在大多数情况下，系统越老，包就越大。 下载并解压缩OTA包后，我们可以看到包的内容如下： 引导目录包含与引导过程相关的内容，增量更新的真正补丁代码位于名为payloadv2的目录中。有一个名为payload.bom的关键文件，它列出了OTA包中的所有项目及其校验和值。文件payload.bom.signature用于验证payload.bom文件的完整性。文件pre.bom和post.bom列出了更新前后系统上的所有项目及其校验和值。Info.plist文件提供了有关当前OTA包的一些基本信息，例如预版本、目标版本等。 在payloadv2文件夹中，有一些需要注意的重要文件。新系统中的新数据文件被压缩为名为data_payload的文件。ecc_data文件夹包含一些与文件权限相关的文件。links.txt…

监控和限制对潜在恶意文件的访问可以使您的产品免遭黑客攻击、数据泄露和破坏。为了在基于Linux的环境中做到这一点，开发人员通常必须进行内核级修改，这实现起来很复杂，并且对系统来说存在风险。 在本文中，我们探讨了内核级修改的替代方案：安全增强型 Linux (SELinux) 中的自定义策略和沙箱。我们研究如何使用它们进行事件记录和监视、限制文件访问以及控制自定义沙箱内的系统调用。 为什么要限制 Linux 环境中的文件访问？ 在创建软件解决方案时（无论是简单的驱动程序还是复杂的网络安全系统），保护您的产品免遭未经授权的访问非常重要。对于开发基于 Linux 的产品的团队来说，监视和管理数据和文件访问的常见原因包括： 有几种传统方法可以做到这一点：创建Linux 内核模块来挂钩文件操作、设置挂钩来监视和控制进程等。传统的限制访问方法通常需要高级技术专业知识，并且会给开发过程带来额外的复杂性。它们还可能向您的环境添加严重错误，因为它们通常需要内核级更改。这就是为什么只有当您需要对文件的访问权限进行细致的控制时，此类方法才有用。 当您只需要监视、允许或拒绝访问而不需要任何其他更改时，最好使用SELinux。该系统集成到 Linux 内核中，为开发人员提供强制访问控制的方法。SELinux 为 Linux 环境中的元素设置上下文并通过策略对其进行管理。SELinux 提供了一个强大的沙箱，允许您在有限的环境中执行进程。此环境利用 SELinux 策略来定义沙箱中运行的进程的约束和权限。使用此类策略可以让开发人员有效地增强其应用程序的安全状况。 …

Microsoft 已在未来版本的 Windows Server 中正式弃用点对点隧道协议 (PPTP) 和第 2 层隧道协议 (L2TP)，并建议管理员切换到提供更高安全性的不同协议。 20 多年来，该企业一直使用 PPTP 和 L2TP VPN 协议来提供对企业网络和 Windows 服务器的远程访问。 然而，随着网络安全攻击和资源变得更加复杂和强大，协议变得越来越不安全。例如，PPTP 很容易受到捕获的身份验证哈希值的离线强力攻击，而 L2TP 不提供加密，除非与其他协议（如 IPsec）结合使用。 但是，如果 L2TP/IPsec 配置不正确，可能会引入使其容易受到攻击的弱点。 因此，Microsoft 建议用户转向更新的安全套接字隧道协议 (SSTP) 和 Internet 密钥交换版本 2 (IKEv2) 协议，这些协议可提供更好的性能和安全性。 微软表示：“此举是微软战略的一部分，旨在通过将用户过渡到安全套接字隧道协议（SSTP）和互联网密钥交换版本 2（IKEv2）等更强大的协议来增强安全性和性能。” 这些更新协议能提供相对来说的更加安全的加密、更快的连接速度和更好的可靠性，使它们更适合当今日益复杂的网络环境。 Microsoft 还分享了每个协议的以下优点： SSTP 的优点 ·强加密：SSTP使用SSL/TLS加密，提供安全的通信通道。 ·防火墙穿越：SSTP可以轻松穿过大多数防火墙和代理服务器，确保无缝连接。 ·易于使用：凭借 Windows 的本机支持，SSTP 的配置和部署非常简单。 IKEv2的优点 ·安全…

今年6月，卡巴斯基的研究者就发现有攻击者利用iMessage来传播恶意软件，iOS 15.7以及此前版本均受到影响。研究人员通过mvt-ios（iOS 移动验证工具包）分析受攻击的设备之后，发现他们可以通过iMessage发送信息，受害者在接收到信息之后，不需要任何用户交互，就能触发系统内漏洞，从而执行任意恶意代码。研究人员将这个攻击活动称为 "Triangulation活动 "。 Triangulation活动的首次公开报道请看这篇文章，正如研究人员在三角测量行动的第一篇文章中提到的，最初发现的受攻击设备正是在莫斯科总部工作的卡巴斯基员工。所有这些设备都连接到公司的Wi-Fi网络，这样研究人员就可以记录和检查网络流量。在花了一些时间调查Wireshark之后，研究人员最终发现了以下内容： 1.在表现出可疑行为之前，连接到iMessage服务器的设备通常负责接收信息和下载附件； 2.在下载了可能是附件的几千字节数据后，这些设备建立了与服务器backuprabbit[.]com的连接，在不到一分钟的时间内与服务器交换数据； 3.接下来，设备连接到以下服务器进行更长的会话： cloudsponcer[.]com snoweeanalytics[.]com topographyupdates[.]com unlimitedteacup[.]com、 virtuallaughing[.]com 4.设备重启后，所有可疑活动都停止了； 所有与服务器的通信都是通过HTTPS进行的，所以研究人员无法从流量中恢复任何额外的细节。 设备映像 由于所有的…

漏洞概述 PHP是一种被广泛应用的开放源代码的多用途脚本语言，PHP-CGI是PHP自带的FastCGI管理器。是一个实现了CGI协议的程序，用来解释PHP脚本的程序，2024年6 月7日，推特安全上orange公开了其漏洞细节，并且PHP官方已修复该漏洞。并确认该漏洞在为远程代码执行漏洞，并将其分配编号为 CVE-2024-4577。 XAMPP（Apache+MySQL+PHP+PERL）就是一个功能强大的建站集成软件包，该漏洞在XAMPP开启了PHP-CGI模式下运行时可造成远程代码执行，攻击者可通过该漏洞获取服务器权限。 该漏洞仅适用于php版本为8.1 < 8.1.29，PHP 8.2 < 8.2.20，PHP 8.3 < 8.3.8，同时在php-cgi模式下运行php，并且运行在windows平台，且使用语系为繁体中文950、日文932、简体中文936等。 漏洞复现 DayDayPoc链接(poc&exp)： https://www.ddpoc.com/DVB-2024-7248.html 漏洞影响范围 DayDayMap(www.daydaymap.com)查询语法：app="XAMPP" || web.icon="56f7c04657931f2d0b79371b2d6e9820"解决方案 目前该漏洞利用详情已公开，且漏洞影响范围较大，建议客户尽快做好自查及防护。 PHP官方已发布修复方案，受影响的用户建议更新至安全版本。 https://www.php.net/downloads.ph…

MANTICORE的攻击范围正在逐步扩大（上） Web shell Manticore部署了多个Web shell，包括之前被间接归因于OilRig的Web shell，其中一些web shell因其混淆、命名约定和工件而更受关注。与Manticore在过去几年的攻击中使用的许多其他web Shell和基于.NET的工具相比，web Shell保留了类和方法模糊以及类似的字符串加密算法，该加密算法与一个字节异或，密钥从第一个字节或前2个字节派生。 其中一个shell是对开源XML/XSL转换web shell (XSL Exec shell)进行了严重混淆和略微修改的版本。这个web shell还包含两个混淆的函数，它们返回字符串“~/1.aspx”。这些函数从未被调用过，很可能是其他版本的残余，正如我们在Manticore之前使用的工具(如FOXSHELL)中观察到的那样： FOXSHELL web shell版本中未使用的字符串 攻击目标 根据对最新利用LIONTAIL的分析发现，受害者遍布中东地区。大多数受影响的实体属于政府、电信、军事和金融部门，以及IT服务提供商。 至少从2019年开始，Manticore就开始在中东地区活跃。它最初是基于开源的web部署代理，随着时间的推移演变成一个多样化和强大的工具集，既利用了自定义编写的组件，也利用了开源组件。 Manticore使用的多个恶意软件版本的代码和功能演变概述 基于Tunna的Web shell 最早的一个与攻击者活动相关的样本是基于Tunna的web shell, Tunn…

从7月到9月，研究人员就已经观察到DarkGate活动，趋势科技检测为TrojanSpy.AutoIt.DARKGATE.AA，攻击者滥用即时通讯平台向受害者提供VBA加载器脚本。该脚本下载并执行由AutoIT脚本组成的第二阶段有效负载，其中包含DarkGate恶意软件代码。目前还不清楚即时消息应用程序的原始帐户是如何被攻击的，但应该是通过地下论坛获得的凭据。 DarkGate在过去的几年里并不是很活跃。然而，根据Truesec和MalwareBytes的报告，今年已经观察到多个攻击部署。通过对这次活动的密切监控，研究人员发现大多数DarkGate攻击都发生在美洲地区，其次是亚洲、中东和非洲。 2023年8月至9月DarkGate活动的分布 DarkGate活动背景 DarkGate于2017年底首次被发现，被归类为商品加载器。自2023年5月以来，DarkGate已经在俄语论坛开始流行，从那时起，使用恶意软件的初始入口攻击数量开始有所增加。DarkGate具有各种功能，包括执行以下操作的功能： 执行发现命令(包括目录遍历)； 自我更新，自我管理； 实现远程访问软件，如远程桌面协议或RDP、隐藏虚拟网络计算或hVNC、AnyDesk； 启用加密货币挖掘功能(启动、停止和配置)； 按键记录(keylogging)，Keylogging攻击是指攻击者跟踪键盘、鼠标活动，获得用户输入的信息，包括帐号、口令等； 从浏览器窃取信息； 权限升级。 DarkGate还使用一种名为AutoIt的windows专用自动化和脚本工具，来传播和执行其恶意功…

篇首语：只见他熟练地打开检测设备，在卧室快速地扫描，片刻后起身对着女主点点头，示意可以就寝......这是2018年热剧《保镖》里的镜头。 PPO，Personal Protection Officer，私人安防官，也是我们常说的高端保镖，区别于传统意义上的私人保镖或者保镖团队，PPO的定位已经从战术技能型保镖，转向技术全能型发展。 所谓“技术全能型高端保镖”，即除了必须具备的枪械格斗驾驶等标准技能外，还要求对新安防领域的技术、装备和如何确保高净值客户的隐私安全技能，均有一定深度的涉猎，并能够根据需求自行检索和分析情报，做出快速反应。 著名的“英国丽兹酒店亿万富豪套房窃听事件”就说明了，在套房外职业保镖们的严密守护下，亿万富翁依然被自己的外甥，通过一款民用非法器材窃听了数月。 可见，没有技术层面的支持，即使是职业安保人员，也并不能阻止窃密/泄密的发生。 现在这个竞争愈发激烈时代，若连基本的物理安全检测都不会，还怎么保护雇主的隐私安危呢？ 声明：以下内容遵循OSINT国际开源情报检索标准，部分来自RC²业务的相关场景，仅供参考。 0x01 识别干扰信号+隐蔽告警 在很多时候，贴身保镖需要陪同雇主参与一些商谈或交流，有时候是在对方安排的场所，比如商务会谈室、商务会所，甚至别墅等等。 而出于某种情况，在未知的场景下，可能会遭遇到信号屏蔽干扰的情况。 比如正在会谈中，突然有信号屏蔽设备工作，此时所有的无线信号都将受到干扰，如4G、5G手机信号、无线电信号、WiFi、蓝牙等等。 作为职业保镖，应该能够关注到自己手机信号出现的异常，但是，能否…

想要轻松掌握 Android 恶意软件的逆转技术吗？Incinerator 将是你在这场网络攻防战中的得力伙伴，无论是资深专家还是初出茅庐的新手，都能在这款工具中找到自己的舞台。 大家好！在这篇文章里，我们将探索 Incinerator 的强大功能、丰富特性以及它所带来的种种优势。这款 Android 逆向工程工具集的灵感来自于广受好评的 Shambles 项目。 我们的目标非常明确：打造一款能够轻松应对 Android 应用，尤其是恶意软件的高级逆向工具。我们需要的是一个集反编译、解密、动态调试和漏洞检测于一体的全能工具。而且，这款工具还得能够快速、准确地揪出那些常见和隐蔽的威胁迹象（IOCs）。 正是基于这些目标，我们推出了 Incinerator！简单来说，它是一个功能全面、操作简便的逆向工程生态系统。不论你是经验丰富的逆向工程专家，还是刚踏入恶意软件分析领域的新手，Incinerator 都能满足你的需求。 Incinerator 应用内置了多种强大功能，让你可以轻松反编译 Android 应用，自动解密内容，取消反射 API 调用，获取清晰的反混淆代码，并在真实设备上进行实时调试分析。这对于那些想要深入了解、分析和逆转 Android 恶意软件的人来说，是一个完美的选择，即使你没有太多经验也没关系。 Incinerator 在后台进行的分析工作包括组件分析、安全漏洞检测、静态和动态代码分析、漏洞挖掘以及恶意代码分析。通过全面的检查，Incinerator 能够有效地帮助用户识别和解决安全风险和漏洞。 在更高层次上，Incine…

漏洞概述 漏洞类型 远程命令执行 漏洞等级 严重 漏洞编号 CVE-2024-3400 漏洞评分 10 利用复杂度 低 影响版本 PAN-OS 11.1.* < 11.1.2-h3 PAN-OS 11.0.* < 11.0.4-h1 PAN-OS 10.2.* < 10.2.9-h1 利用方式 远程 POC/EXP 未公开 Palo Alto Networks的PAN-OS是一个运行在Palo Alto Networks防火墙和企业VPN设备上的操作系统。Palo Alto Networks PAN-OS软件的GlobalProtect功能存在命令注入漏洞，针对特定的PAN-OS版本和不同的功能配置，可能使未经身份验证的攻击者能够在防火墙上以root权限执行任意代码。2024年4 月10日，Volexity 发现其一名网络安全监控 (NSM) 客户对 Palo Alto Networks PAN-OS GlobalProtect 功能中发现的漏洞进行了零日利用，攻击者能够创建反向 shell、下载工具、窃取配置数据以及在网络内横向移动。Palo Alto Networks PSIRT 团队确认该漏洞为操作系统命令注入问题，并将其分配为 CVE-2024-3400。 仅适用于启用了GlobalProtect gateway(Network > GlobalProtect > Gateways)和device telemetry(Device > Setup > Telemetry)的PAN-OS 1…

1 概览 “游蛇”黑产自2022年下半年开始活跃至今，针对国内用户发起了大量钓鱼攻击和诈骗活动。该类黑产传播的恶意程序变种多、更新免杀手段快、更换基础设施频繁、攻击目标所涉及的行业广泛。近期，安天CERT监测到“游蛇”黑产针对与金融、财务相关的企业及人员进行的攻击活动。攻击者投放的初始恶意文件主要有三类：可执行程序、CHM文件、商业远控软件“第三只眼”，伪造的文件名称大多与财税、资料、函件等相关。 由于商业远控软件“第三只眼”提供多方面的远程监控及控制功能，并且将数据回传至厂商提供的子域名服务器、根据qyid值识别控制端用户，攻击者无需自己搭建C2服务器，因此恶意利用该软件进行的攻击活动近期呈现活跃趋势。 “游蛇”黑产仍在频繁地对恶意软件、免杀手段以及相关基础设施进行更新，每天依旧有一定数量的用户遭受攻击并被植入远控木马。安天CERT建议用户接收文件时保持警惕，避免点击安全性未知的可执行程序、脚本等文件，以免遭受“游蛇”攻击，造成不必要的损失。建议未购买使用“第三只眼”远控软件的用户，使用流量监测设备检查网络中是否存在与“dszysoft.com”及其子域名相关的连接记录，若存在则表明可能被恶意植入了相关远控，用户也可以考虑对相关域名进行封禁。 经验证，安天智甲终端防御系统（简称IEP）可实现对该类远控木马的有效查杀。相关防护建议详见本文第四章节。 2 技术梳理 近期，安天CERT监测到攻击者投放的初始恶意文件主要有三类，伪造的文件名称大多与财税、资料、函件等相关。 表 2‑1近期部分样本伪装名称 伪装的程序名称 企业补贴名单.exe …

概述 经监测，我们截获了一起与未知家族有关的欺诈性 Android 应用传播事件。详细调查发现，该家族主要使用开源的 Telegram Android 源代码作为其核心功能模板。通过各种策略，包括但不限于刷单、投资推广和色情聊天，该家族诱导用户下载并安装其应用，从而执行欺诈操作。进一步网络环境探测结果显示，存在多款与该家族高度相似的活跃应用，进一步证实了这些应用确实属于同一个欺诈家族。这个家族不仅具有高度的欺诈性和一致性，还拥有一个完整的业务供应链。基于上述特点，我们决定为这一欺诈家族命名为“BOOMSLANG（树蚺）”。 技术分析 从我们获取的家族样本中进行溯源分析后，发现该家族最早始于 2022 年 9 月进行传播。由于当时疫情等外部因素的影响，该家族在 2022 年 9 月至 2023 年 3 月期间处于欺诈传播的初级阶段。然而，随着社会状况逐渐恢复，该家族开始大规模传播，并推出了多个不同业务类型的版本。值得注意的是，为了适应反欺诈措施，该家族在 2023 年 7 月首次进行了变种，引入了“Domain Over HTTPS（DoH）”技术。随后，在 2023 年 9 月，家族样本再次发生变种，增加了对现有自动化 App 安全检测手段的抵抗能力，具体采用了 NPManager 自带的 StringFrog 混淆技术，以规避基于字符串提取的安全检测。 DoH（DNS over HTTPS）是一种安全协议，用于通过 HTTPS 加密的连接进行 DNS 解析请求和响应。其主要目的是增加隐私和安全性，防止 DNS 请求被窃听或篡改。 接…

苹果USB低级过滤器，可帮助控制操作系统使用USB配置（上） PTP还是MTP？ 本文中，我们将重点讨论为什么iphone没有像我们期望的使用MTP协议的设备那样提供一整套存储操作，还将研究USB接口类/子类和WPD_DEVICE_PROTOCOL属性之间不匹配的原因。为了回答这些问题，我们将了解如何创建WPD设备、如何“挂载”存储以及如何设置WPD属性。 首先对比一下使用PTP连接的Android设备和iPhone之间WPD设备协议属性的差异： 考虑到iPhone中的WPD协议属性，我们期望有一组更丰富的选项来与设备交互，可以通过查看设备的接口描述符来快速回答为什么iPhone表现为PTP设备。 iPhone和小米在PTP和MTP模式下的描述如下：iPhone有多种配置，但无论选择哪一种，创建WPD的接口PDO总是包含类6和子类1的接口。 尽管已经回答了最大的问题，但仍然有一些细节，比如为什么iPhone不允许创建或复制任何东西到它，而另一方面，小米即使使用PTP也允许创建对象，所以对于喜欢深入了解事物的人来说，仅仅浏览界面描述是不够的。 由于此描述符将生成CompatibleId USB\Class_06&SubClass_01&Prot_01，因此寻找与此ID匹配的INF，我们找到wpdmtp.inf。在此INF中，可以获得WPD设备的UMDF部分的以下组件： WpdMtp.dll:MTP核心协议组件； WpdMtpUS.dll：Usbscan MTP驱动程序的传输层； WpdMtpDr.dll：Windows便…

导读：本文基于《IDC TechScape：中国网络安全软件技术发展路线图，2024》中关于网络安全实训演练测试平台（靶场）的技术路线分析，结合国内外靶场的发展状况与建设经验，深入解读国内靶场行业下一阶段的发展及演进趋势。同时，结合实用型靶场的建设经验，概括适用于国内行业的评价指标，明确未来发展方向。 前景好VS应用难，实用型靶场呼之欲出 IDC靶场发展路线解读 2024年10月，IDC TechScape首次发布《中国网络安全软件技术发展路线图》，在机会型科技趋势中提到网络安全靶场（网络安全实训演练测试平台），并将其标记为值得长期投入的产品类型。赛宁网安基于靶场行业的深厚积淀，成为IDC权威认可的网络安全靶场（网络安全实训演练测试平台）首个推荐厂商。多年深耕，赛宁网安积累了丰富的国内外靶场项目建设经验，并深度参与了用户方靶场的规划及标准制定，在下一代实用型靶场建设方面探索出可借鉴的实践路径和方案。 上述图表数据显示，靶场行业的采用度和市场热度均处于中等水平。对比当前国内靶场面临的功能堆砌、业务复杂、上手门槛高等发展现状，结合市场热度数据，可以合理推断出：尽管靶场在网络安全领域具备良好的应用前景，但缺乏一个通用、简明且实用的行业规范来衡量国内同类产品，这成为制约靶场行业发展的重要因素。 放眼国际市场，实用型靶场占据主流 美欧靶场建设经验参考 美、欧地区在靶场类项目的建设初期会经过多轮业务合理性评审，其规划多基于实际业务需求，并结合安全运营要求作为指导。 欧洲案例 - 挪威网络靶场（Norwegian Cyber Range） 挪威网络…

数据是现代企业的新石油：正确使用它可以促进公司的发展并帮助企业在竞争中领先。就像石油一样，原始数据和未被发现的数据是毫无用处的，企业将无法从中受益；在最坏的情况下，它可能会导致安全事件。这也是企业投资敏感数据发现和保护解决方案的原因。 传统的数据发现工具由数据扫描仪和基于规则的算法提供支持，这些工具通常不足以掌握不断增长的新数据流。因此，许多企业利用人工智能 (AI) 增强其数据发现和保护解决方案。 在本文中，我们将讨论基于规则系统的主要缺点以及使用人工智能发现和保护敏感数据的好处、典型的数据发现和保护解决方案的工作原理，还分享有 Apriorit 经验中的开发技巧。 敏感数据发现如何影响企业安全 将敏感数据保存在一个安全的存储位置似乎是一项容易的任务，但实际上对于许多企业来说几乎是不可能的。在 COVID-19 大流行期间过渡到远程或混合工作、将本地环境迁移到云或经历合并和收购过程，可能会导致敏感数据存储在最不明显的地方。此类数据会受到网络安全解决方案的关注，并增加数据泄露或安全事件的风险。 存储在企业控制和安全边界之外的数据会带来数据盗窃或数据泄漏等安全事件的风险。这就是企业投资敏感数据发现软件的原因——用于检测、识别和组织所有组织资源和环境中的记录的工具。 实施这样的解决方案可以让企业： · 确保遵守网络安全法 · 防止数据被盗和泄露 · 进行数据驱动的网络安全改进 · 提高数据管理效率 跨不同环境和基础设施控制敏感数据的需求不断增长，导致数据发现软件越来越受欢迎。事实上，全球敏感数据发现市场预计将从 2020 年的 51 亿美元…