蓝队取证审计网络安全

恶意软件分析涵盖一系列活动，其中包括仔细检查恶意软件的网络流量。要想有效地做好这项工作，关键在于要了解常见的威胁以及如何克服这些威胁。下面将介绍企业可能遇到的三个常见问题以及解决它们所需要的工具。 解密HTTPS流量 超文本安全传输协议（HTTPS）原本是一种确保安全在线通信的协议，如今却已经成为了恶意软件隐藏其恶意活动的一种工具。通过伪装受感染设备与指挥和控制（C&C）服务器之间的数据交换，恶意软件就可以在不被发觉的情况下运行，往外泄露敏感数据，安装额外的攻击载荷，并接收来自攻击者团伙的指令。 然而，如果有合适的工具，解密HTTPS流量就轻而易举。为此，我们可以使用中间人（MITM）代理，MITM代理充当了客户机与服务器之间的中介，可以拦截两者之间传输的信息。 MITM代理帮助分析人员实时监控恶意软件的网络流量，以便他们清楚地了解恶意活动。除此之外，分析人员还可以访问请求和响应数据包的内容、IP以及URL，以查看恶意软件通信的详细信息，并识别窃取的数据，这种工具对于提取恶意软件使用的SSL密钥特别有用。 图1. ANY.RUN沙箱提供的有关AxileStealer的信息 在这个例子中，初始文件（大小为237.06 KB）投放AxilStealer的可执行文件（大小为129.54 KB）。作为一种典型的信息窃取器，它获得了访问存储在网络浏览器中的密码的权限，开始通过Telegram消息传递连接将密码传输给攻击者。 规则“STEALER [ANY.RUN] Attempt to exfiltrate via Telegram”（…

之前杨叔在加拿大一个商场的渔猎柜台，突然看到几款高灵敏度金属探测器，便想起了之前看过的探宝资料，好久没更新，赶紧分享给大家~ 注：以下内容符合OSINT国际开源情报搜集标准，不涉及任何非法行为，仅供交流与参考。 01 海滩上的“宝藏猎人” 这个世界的海水下蕴藏着无数的宝藏，除了那些传说中海盗或者纳粹的宝藏之外，还有很多是由于各种原因，人们失落到海里的珠宝首饰。 有个专门的词形容那些探宝的人：“Treasure hunter”，即：宝藏猎人。 David Stone就是这样一个幸运儿，由于加勒比海的游客们来自世界各地，所以通过金属探测器，他在那里的水域收获了许多“战利品”。 “你永远不知道会发现什么。每次出去都会有新的体验。”他说。 过去六年，他在Onset海滩发现了1910年的10角硬币，以及同等金额的银币。 他还发现了很多宗教物品，例如十字架和圣克里斯托弗奖章。 他的藏品还包括钥匙链、发夹和硝化甘油容器。 令人惊讶的是，他发现的珠宝中大约90%都是男士婚戒。 “很多结婚戒指都会有雕刻和日期，”他说，比如他在帕克伍德海滩地区发现了一枚非常古老的银戒指，上面刻有姓名缩写。 “这枚戒指是由美国最早的女银匠之一制作的，”他说， “波士顿现代主义珠宝商 Ella L. Cone是The Silversmith's Shop的设计师和老板，该店位于波士顿博伊尔斯顿街342号。20世纪50~60年代，她在波士顿和开普敦都有店面。” 当然，并不是所有的东西都值得保留，“我确实发现了很多垃圾，”他说。 “比如钉子、瓶盖......我通常会把…

1 概述 InterLock勒索攻击组织被发现于2024年9月，该组织通过网络钓鱼、漏洞利用、搭载于其他恶意软件和非法获取凭证等多种手段渗透受害者网络，窃取敏感信息并加密数据，实施双重勒索，以此对受害者施加压力。暂未发现该组织通过勒索软件即服务（RaaS）模式招募附属成员以扩大非法收益的情况。目前，已监测到该组织开发了针对Windows、Linux和FreeBSD系统的加密载荷。在Windows系统中，InterLock勒索软件采用“AES+RSA”算法对文件进行加密。感染的迹象包括文件名后添加“.interlock”扩展名，以及出现名为“!README!.txt”的勒索信。截至目前，尚未发现任何工具能够有效解密由InterLock勒索软件加密的数据。 InterLock组织在暗网中运营一个名为“InterLock Worldwide Secrets Blog”的网站，公开受害者信息。该网站包含组织介绍、联系方式、受害者资料以及从受害者系统中窃取的数据等。对于每位受害者，攻击者创建独立的信息板块，列出受害者名称、官网链接、信息概览、被盗文件类型和数量。攻击者利用公开受害者信息和部分被盗文件作为要挟，迫使受害者为防数据被出售或公开而支付赎金或满足其他非法要求。截至2024年11月21日，该网站已公布7名受害者的信息，但实际受害数量可能更多。攻击者可能基于多种原因选择不公开或删除某些信息，例如在与受害者达成协议，或受害者支付赎金换取了信息的移除。 InterLock组织所使用的勒索加密载荷和攻击技战术等特征揭示了其与Rhysida组织[1]…

一般来说，可能会使用车辆GPS跟踪设备的群体，主要有以下几类： 1）企业/上市公司的商业竞争对手 2）同一家企业/公司的中高层 3）家庭纠纷/婚姻/两性问题的其中一方 4）媒体暗访 5）欺诈/绑架等心怀恶意目的人员 6）政府机构/相关部门的秘密调查 7）娱乐圈的绯闻记者 8）黑吃黑其中，就真实案例而言，以1、2、3方面的情况最多。当然，新闻报道上也常能看到5和7的情形。所以，如何保护自己，如何防范可能的非法或者恶意行为，经常性地检查自家车辆会是一个非常好的习惯。下面杨叔会仔细讲述下私家车的标准检查步骤，至于大型或特种车辆在主体方法上类似，只是细节上会有所不同。OK，那我们开始吧...... Part1 外部检查步骤1：准备好手电和自己的车辆使用手册。 是的，你只需要这两样东西。强调下，虽然目前市面较多的GPS追踪器外型都是一个体积较大的带磁吸的盒子，但注意并不是所有的设备都会这么明显。 甚至在某些情况下，唯一能够识别追踪器的途径可能仅仅是条不合适的电线。在开始自检前，一定要强调的是：除非你非常熟悉自己的车，否则请勿轻易自行手动拆除车辆的重要部件。 步骤2：检查车底盘。 如果没有车辆维修专用的修理槽，可以背朝下滑入车底，用手电检查车底盘。大多数跟踪器需要链接到GPS卫星信号，所以一般不会在车底部有较厚金属阻隔的区域。仔细观察并寻找有无可疑的盒状物体或天线，给些小建议： 步骤3：检查车轮口和轮辋凹区。 检查每个车轮的塑料防护罩/挡泥板，特别是感觉松动或弯曲的地方。默认情况下车辆在这个位置不会有任何外置设备，所以若是有跟踪器，那都应该是…

最近，趋势科技管理的XDR (MxDR)团队处理了涉及AsyncRAT的各种样本，这是一种具有多种功能的远程访问工具(RAT)，例如键盘记录和远程桌面控制，这种工具可以使其对受害者构成重大攻击。例如，攻击者会冒充当地银行和执法机构，将AsyncRAT传播给他们的目标。 2021年，AsyncRAT参与了名为“Spalax行动”的网络钓鱼活动，这些网络钓鱼活动一直持续到2021年底和2022年初。他们使用HTML附件进行AsyncRAT传播，同时还集成了反射加载技术。 t0：用户下载带密码保护的ZIP文件downloadedFile_SSAfnmeddOFzc.zip； 1分20秒：用户解压缩包含.wsf脚本的ZIP文件 1分26秒：下载并执行第一个有效负载，导致下载第二个有效负载； 1分35秒：自动启动； 1分59秒：下载并执行第二个有效负载； 5分48秒：进程注入到aspnet_compiler.exe和通过动态DNS的命令与控制(C&C)连接 下图描述了对涉及aspnet_compiler.exe的可疑活动的检测，该活动试图与外部IP地址45[.]141[.]215[.]40建立连接。同时，我们的分析揭示了有关PowerShell脚本和批处理文件的执行情况。我们能够使用这些数据作为支点，回溯并调查文件的入口点及其附加活动。 被触发的工作台警报 我们发现，攻击的触发因素是一个最初通过谷歌Chrome下载的名为downloadd_file_ssafnmeddofzc .zip的文件。 通过Chrome浏览器下载download…

谷歌、AWS和Cloudflare三家公司周二发布公告称，它们阻止了据称有史以来最大的DDoS攻击。 这次攻击是由一个新的DDoS漏洞（编号为CVE-2023-44487）引起的，涉及HTTP/2协议，用于互联网上传输文件的一套标准化规则。美国国家标准与技术研究所（NIST）官网上的漏洞页面介绍说到：“HTTP/2协议之所以允许拒绝服务（服务器资源消耗），是由于请求取消可以快速重置许多请求流。” 作为多方协调披露的一部分，谷歌云、亚马逊网络服务（AWS）和Cloudflare都发布了博文和公告，提供了有关这条DDoS攻击途径的更多技术信息。在谷歌发布的两篇博文中的一篇中，这家科技巨头称之为“迄今为止最大的DDoS攻击，峰值时期每秒超过3.98亿个请求。” 在Cloudflare的技术分析博文中，它追踪到峰值时期每秒超过2.01亿个请求，几乎是之前观察到的创纪录攻击的三倍。 Cloudflare的两名工程师Lucas Pardue和Julien Desgats写道：“令人担忧的是，攻击者仅用2万台机器组成的僵尸网络就能发动这等规模的攻击。现在的僵尸网络由数十万乃至数百万台机器组成。考虑到整个互联网通常每秒只出现10亿到30亿个请求，可想而知，使用这种方法可以将整个互联网的请求都集中在少数目标上。” 在另一篇博文中，谷歌的两名工程师Juho Snellman和Daniele Iamartino专门介绍了这起攻击和攻击途径的工作原理。他们写道，这次名为Rapid Reset（“快速重置”）的攻击持续了几个月，在8月份达到了高峰。 博文作者说道，…

在之前关于Triangulation的介绍文章中，研究人员讨论了TriangleDB的细节，这是这次活动中使用的主要植入程序，使它的C2协议和它可以接收命令。除其他事项外，它还能够执行其他模块。另外，这次活动是相当隐蔽的。 本文详细介绍了该活动是如何进行隐蔽攻击的。在此过程中，研究人员还将揭示有关此攻击中使用组件的更多信息。 验证组件 在之前的文章中，研究人员概述了Triangulation活动攻击链：设备接收恶意iMessage附件，启动一系列漏洞利用，其执行最终导致启动TriangleDB植入。攻击链可以用下图来概括: 除了TriangleDB植入的漏洞和组件外，攻击链还包含两个“验证器”阶段，即“JavaScript验证器”和“二进制验证器”。这些验证器收集有关受害设备的各种信息，并将其发送到C2服务器。然后，这些信息被用来评估植入TriangleDB的iPhone或iPad是否可以作为研究设备。通过执行这样的检查，攻击者可以确保他们的零日漏洞和植入程序不会被阻止。 JavaScript验证器 在攻击链的开始，受害者会收到带有零点击漏洞的不可见iMessage附件。此漏洞的最终目标是在backupabbit[.]com域上默默地打开一个唯一的URL。该URL上托管的HTML页面包含NaCl密码库的模糊JavaScript代码，以及加密的有效负载。这个负载是JavaScript验证器。该验证程序执行许多不同的检查，包括不同的算术运算，如Math.log（-1）或Math.sqrt（-1），Media Source API、WebAs…

1.概览 近日，国产AI大模型DeepSeek（深度求索）线上服务受到大规模网络攻击，多次出现服务中断等情况。引发了国内安全业界的关注。根据奇安信XLab实验室监测报告，发现僵尸网络RapperBot和HailBot[1]针对DeepSeek发动了DDoS攻击。为了更有效地研判风险，支撑对相关攻击的防范，安天CERT从“赛博超脑”平台样本库中提取了上述两个僵尸网络所使用的僵尸木马样本，进行了进一步分析工作。 2.样本分析 2.1 RapperBot与HailBot的前世——Mirai RapperBot与HailBot两个僵尸网络都是僵尸网络Mirai的源码泄露的产物。Mirai僵尸网络在2016年首次被发现，迅速引发了广泛关注。其命名源自日语中的“未来”。与传统以Windows系统肉鸡为主的僵尸网络不同，Mirai感染控制网络摄像头、家用路由器和其他物联网设备，用于构建僵尸网络体系[2]。在2016年，因其引发的“DYN事件”[3]而浮出水面，Mirai的三名作者Paras Jha，Josiah White和Dalton Norman，均为美国人。三人经营了一家名为Protraf Solutions LLC的公司，对外宣称提供DDoS攻击防护，实际上则利用僵尸网络发动DDoS攻击，进行敲诈等牟利活动。三名人员在2018年，被美国阿拉斯加法院判处5年缓刑、2500小时社区服务，赔偿12.7万美元，并需自愿放弃犯罪期间获取的加密货币。 Mirai专门针对物联网（IoT）设备实施自动化渗透植入，如路由器、网络摄像头和数字视频录像机（DVR），…

10 月 12 日，微软宣布新一轮过渡计划，弃用 NTLM 身份认证方式，让更多企业和用户过渡到Kerberos。 Microsoft Access (Office套件的一部分)有一个“链接到远程SQL Server表”的功能。攻击者可能会滥用此功能，通过任意TCP端口(如端口80)自动将Windows用户的NTLM令牌泄露给攻击者控制的任何服务器。只要受害者打开.accdb或.mdb文件，就可以发起攻击。事实上，更常见的Office文件类型(如.rtf)都可以以类似方式运行。这种技术允许攻击者绕过现有的防火墙规则，这些规则旨在阻止由外部攻击发起的NTLM信息窃取。 什么是NTLM？针对它的常见攻击有哪些？ NTLM是NT LAN Manager的缩写，这也说明了协议的来源。NTLM是指 telnet 的一种验证身份方式，即问询/应答身份验证协议，是 Windows NT 早期版本的标准安全协议，是Microsoft在1993年引入的一种目前已被弃用的身份验证协议。微软在今年10月宣布，弃用 NTLM 身份认证方式，让更多企业和用户过渡使用 Kerberos， Kerberos 提供了更好的安全保证，并且比 NTLM 更具可扩展性，现在成为 Windows 中首选默认协议。 企业虽然可以关闭 NTLM 身份认证，但那些硬连线（hardwired）的应用程序和服务可能会遇到问题，为此微软引入了两个身份验证功能。 其一是 Initial and Pass Through Authentication Using Kerberos（IAKerb…

漏洞概述 WPS Office程序promecefpluginhost.exe存在不当路径验证问题，允许攻击者在Windows上加载任意Windows库文件。该漏洞已被APT-C-60攻击者利用，当用户打开MHTML格式的文档时，只需单击一个恶意制作的超链接，即可执行攻击者指定的恶意库文件，实现远程代码执行。 影响范围 WPS Office版本12.2.0.13110-12.2.0.16412 复现环境 操作系统：Win10 10.0.18363.592 WPS Office版本：WPS Office 12.2.0.13110 分析过程 WPS程序安装后注册了一个名为 ksoqing 的自定义URL协议，注册表路径为：计算机\HKEY_CLASSES_ROOT\ksoqing\shell\open\command，其内容为"C:\Users\【用户名】\AppData\Local\Kingsoft\WPS Office\12.2.0.13110\office6\wps.exe" /qingbangong "%1"。即访问以ksoqing 开头的URL协议时，将启动wps.exe程序，并传递/qingbangong参数，%1则被替换为以ksoqing 开头的协议链接，一并作为wps启动的参数。 此时wps.exe程序解析参数/qingbangong，并将ksoqing链接内容一并发送到 C:\Users\【用户名】\AppData\Local\Kingsoft\WPS Office\12.2.0.13110\…

如果你曾经将iPhone、iPad或iPod连接到Windows PC上，你可能会注意到，这些设备会根据你的操作显示为不同类型的设备。例如，如果你正在给iPhone充电，它可能会显示为“USB复合设备”，但如果你正在与iTunes同步音乐，它可能会显示为“苹果移动设备USB驱动程序”。你有没有想过这是怎么回事？事实证明，苹果在Windows电脑上有一个USB低级过滤器，可以帮助他们控制操作系统使用哪些USB配置。 本文中，我们会首先介绍苹果的USB低级过滤器是如何工作的，它是做什么，以及无论是否安装了苹果软件，它如何提供不同的体验；其次，我们将研究为什么当设备的WPD属性WPD_DEVICE_PROTOCOL表明设备正在使用媒体传输协议(MTP)时，iphone的开箱操作如此有限。我们将深入研究诸如Windows便携式设备(WPD)，USB描述符和用户模式驱动程序框架(UMDF)等话题。 初始化苹果的USB低级过滤器 苹果设备将自己呈现为具有多个接口的复合设备，以确保它们的设备被正确识别，并加载所有必要的驱动程序。这是因为苹果设备通常有多个接口，提供不同的功能，如音频、视频和控制。当我们将苹果设备插入Windows设备时，总线适配器识别设备并向操作系统提供其hardwareid和compatibleid。这些id用于根据id的匹配质量在driver Store中搜索最佳驱动程序。 对于总线驱动器来说，要将该设备视为复合设备，必须满足一定的要求。如果不满足这些要求，操作系统将不会自动加载USB复合设备类驱动程序(usbccgp)。在这种情况…

黑客被发现正滥用 macOS 文件的扩展属性来传播一种新的木马，研究人员将其称为 RustyAttr。 威胁分子将恶意代码隐藏在自定义文件元数据中，并使用诱饵 PDF 文档来帮助逃避检测。这项新技术类似于 2020 年 Bundlore 广告软件将其有效负载隐藏在资源分支中以隐藏 macOS 有效负载的方式。安全研究人员在一些野外恶意软件样本中发现了它。 根据他们的分析，由于无法确认任何受害者，研究人员有一定把握将这些样本归因于朝鲜黑客拉扎勒斯。他们认为攻击者可能正在尝试一种新的恶意软件传递解决方案。 这种方法并不常见，现在已被证明可以有效地防止检测，因为 Virus Total 平台上的安全代理都没有标记恶意文件。 在文件属性中隐藏代码 macOS 扩展属性 (EA) 表示通常与文件和目录关联的隐藏元数据，这些元数据在 Finder 或终端中不直接可见，但可以使用“xattr”命令提取以显示、编辑或删除扩展属性。在 RustyAttr 攻击的情况下，EA 名称为“test”并包含 shell 脚本。 macOS 扩展属性内的 Shell 脚本 存储 EA 的恶意应用程序是使用 Tauri 框架构建的，该框架结合了可以调用 Rust 后端函数的 Web 前端（HTML、JavaScript）。当应用程序运行时，它会加载一个包含 JavaScript（“preload.js”）的网页，该网页从“测试”EA 中指示的位置获取内容，并将其发送到“run_command”函数以执行 shell 脚本。 preload.js 的内容 为了在此过…

1 事件的基本情况和影响 北京时间2024年7月19日中午开始，全球多地用户在X（原推特）、脸书、微博等社交平台反映使用微软系统的电脑出现蓝屏现象，至少20多个国家的交通、金融、医疗、零售等行业或公共服务的业务系统受到影响。其原因是使用CrowdStrike公司终端安全产品的Windows操作系统的主机大面积发生系统崩溃故障，即“蓝屏死机”（Blue Screen of Death,BSOD），导致计算机系统无法正常运行。出现故障的终端并不止限于桌面终端，而是覆盖了大量的服务器和云节点，包括导致了多个重要的微软和AWS的云服务和租户服务中断。而且相关主机重新启动后依然会自动进入蓝屏状态，形成了反复崩溃闭环。此事件是今年以来全球波及范围最广的信息系统灾难性事件，也是由安全产品自身导致的最大规模的安全灾难事件，其事件带来的后果影响远远超过了2007年的赛门铁克误杀中文版Windows导致系统蓝屏事件等历史上由安全产品带来的安全事件。 北京时间7月19日19时，安天由云安全中心、安全研究与应急处理中心、攻防实验室人员组成混合分析小组，进行了跟进分析，及时将分析研判进展上报管理和应急部门，开发了CrowdStrike_Crash_Fix应急处理小工具，协助求助用户处理威胁，并发布了本分析报告。 CrowdStrike是美国主要的云、终端安全厂商之一，成立于2011年，2024年6月其市值一度接近千亿美元，是全球市值最大的网络安全上市公司之一。其开发的云本地端点保护平台CrowdStrike Falcon，开启了多租户、云原生、智能安全解决方案的…

篇首语：这是“特警局手册”系列的第4篇，也是杨叔原创技术软文的总第86篇。杨叔希望通过“特警局手册”系列，给大家带来一些有趣的反窃密及高级安保方面知识。 声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 01 长杆伸缩式摄像头操作员 今天，TSCM反窃密专家们，在对某些较大的室内场所检测时，比如大型会议室、酒店套间、高档会所等，都会用到这种可伸缩的长杆式摄像设备。 主要用于检测较高位置的视野盲区，是否存在可疑的器材，比如针孔偷拍、录音笔等。 这类长杆式摄像设备，其实在很多场合都有着实际意义，不过有些人可能并不认同。 杨叔就遇到过，有学员曾经在RC2的专项课程里抱怨说这玩意没用。 呐，其实TSCM领域的一个基本概念就是： 而VPC和管道窥视仪这两款设备，是最能互补的两类设备，一个用于高处，一个用于细节，下图是RC2的平日训练装备。 下图中这个就有些搞笑了，在车辆这样狭窄的空间里，使用长杆式检测设备，就是典型的无处下口，装X失败的范例。 这样类似的情况，在短视频平台上比比皆是（很多看似穿着专业的什么高端安保人员，唉，让人无语）。 哈哈，不扯了，下面聊聊警用的伸缩式长杆摄像头，大家看看有什么区别 02 SWAT的长杆摄像操作员 首先，如下图，执法机构使用的长杆式伸缩摄像机，主要用于楼宇空间，但也可用于搜索吊顶、地下室入口、楼梯间、地下通道、地下排水系统或类似的隐蔽区域。 其次，执法机构使用的设备装有黑白和彩色红外摄像头，因此不需要可见光。摄像头可以在完全黑暗的情况下秘密部署。 第三，在实际…

声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 01 什么是氰化物？ 影视剧里，虚构的正反面人物们在被俘虏后，便会口吐白沫，把他们的秘密带进坟墓......这都要归功于那些隐藏在假牙中的秘密氰化物，是它们协助死士们保守了秘密。 好吧，听起来这个设计似乎挺合理 先说说什么是氰化物。 所谓“氰化物”特指带有氰基（CN）的化合物，通常是有毒的致命物质。 现实中，氰化物中毒后，中枢神经系统会迅速丧失功能，继而使人体出现强直性或阵发性痉挛、昏迷、心跳停止、多脏器衰竭等症状而迅速死亡，最快五分钟即可致死。 而具有相同毒性的砒霜，则最少需要一个小时，甚至几个小时。所以，氰化物确实是能快速致死的选择之一，这一点，电影里倒是没有骗人。 嗯，顺便说一句，影视剧里那种“口吐白沫”特效，实际上是用泡腾片加牛奶特制的。 据说有演员拍太多“中毒”，导致看到泡腾片就有了心理阴影，哈哈哈~ 说到这里，突然想到个可怕的场景： 万一演员此时突发癫痫，结果导演还误以为他入戏了，所有人都继续拍摄没人理会，演员怎么办？难道发个知乎求助：在线等，挺急的？ 02 装在假牙里的可能 再聊聊氰化物装在假牙里的可行性。 首先，带有隐藏空间的假牙是真实存在的。 专门用于间谍活动的空心牙齿，主要用来隐藏胶片、微缩情报等。这些牙齿通常会代替臼齿植入，位于口腔后部的某个难以被发现的地方。 下图是国际间谍博物馆里的藏品。 其次，二战时期的氰化物药丸虽然已缩减到只有豌豆大小，但体积还是太大了，无法安全或牢固地藏在假牙中。 现实中，有人会把药丸藏在…

一种名为“SoumniBot”的新 Android 银行恶意软件通过利用 Android 清单提取和解析过程中的弱点，使用了新的混淆方法。 该方法使 SoumniBot 能够规避 Android 手机中的标准安全措施并执行信息窃取操作。 研究人员发现并分析后提供了该恶意软件利用 Android 例程解析和提取 APK 清单的方法的技术细节。 欺骗 Android 的解析器 清单文件（“AndroidManifest.xml”）位于每个应用程序的根目录中，包含有关组件（服务、广播接收器、内容提供程序）、权限和应用程序数据的详细信息。 虽然恶意 APK 可以使用 Zimperium 的各种压缩技巧来愚弄安全工具并逃避分析，但分析师发现 SoumniBot 使用了三种不同的方法来绕过解析器检查，其中涉及操纵清单文件的压缩和大小。 首先，SoumniBot 在解压 APK 的清单文件时使用无效的压缩值，该值与负责该角色的 Android“libziparchive”库预期的标准值（0 或 8）不同。 Android APK 解析器不会将这些值视为不可接受，而是默认将数据识别为由于错误而未压缩，从而允许 APK 绕过安全检查并继续在设备上执行。 从 APK 中提取清单文件 第二种方法涉及错误报告 APK 中清单文件的大小，提供大于实际数字的值。 由于该文件在上一步中已被标记为未压缩，因此直接从存档中复制该文件，并用垃圾“覆盖”数据填充差异。 虽然这些额外的数据不会直接损害设备，但它在混淆代码分析工具方面发挥着至关重要的作用。 报告错误的文件大…

声明：以下示例均以相对写实/纪实类电影为主，什么神盾局特工、007系列以及纯科幻类电影均不予评论。 0x01 电话窃听 商业反窃密/隐私保护/通信监听相关 在已知的技术监控史上，电话窃听，一直扮演着非常重要的角色。这里必须提及杨叔很喜欢的一部奥斯卡获奖电影《窃听风暴》。 在电影《窃听风暴》里，一位前东德安全机构斯塔西STASI的情报员，奉命对东德作家德瑞曼展开了长期的全面监听。 专业+1：如上图所示，斯塔西监控小组的部署行动非常专业，从进门时的对表计时，到器材走线，再到房间壁纸的恢复，最终完成对各个房间及电话的全面监听，观众们完全可以从中窥探到STASI作为当年全球最强大情报机构之一的能力一隅。 0x02 微型窃听器 商业反窃密/隐私保护/企业办公室及会议安全相关 先从早点的电影说起吧，之前出国参会，杨叔刚好在飞机上温习了一遍香港经典电影《英雄本色2》，时光荏苒，杨叔也从一块小鲜肉变成了......唉，不提也罢。 在电影里，有这么一段：小哥给女友父亲送了一个船模，然后顺手在模型背面贴上窃听器。 错误+1：如上图，从现代角度看这款窃听器材，这是典型的基于SIM卡的窃听器材，技术上肯定是OK的，尤其是小哥可以从随身带的接收设备（比如手机）上轻松听取实时传音。 不过遗憾的是，这部电影是在1987年上映的，作为那个还在使用大哥大电话的时代，这款小型器材只可能是基于无线电频段的。 翻下老照片：1987年，广东广州江南大道，一位女士在用“大哥大”打电话。 但若是无线电器材，这么小巧的接收设备（甚至没有天线），还能…

近日，国产AI大模型DeepSeek（深度求索）一经推出，凭借其卓越的性能在全球范围内引发了广泛关注，与此同时也成为了不法分子聚焦的目标。安天移动安全团队通过国家计算机病毒应急处理中心的协同分析平台，发现了一批假冒DeepSeek的恶意应用程序。针对这一情况，安天移动安全团队迅速展开了深入分析和关联拓展，揭示了这些恶意应用的潜在威胁，并采取了相应的防护措施，为用户安全使用国产AI产品保驾护航。 1．样本基本特征对比 仿冒应用程序名、图标与正版应用别无二致，普通用户难以分辨真假。 2．样本详细分析 1# 动态分析 恶意应用运行后直接提示更新，点击后会直接弹出安装同名恶意子包弹框请求。 诱导用户请求启用无障碍服务。 程序名、图标和正版基本一致，且可以同时安装于同一设备中。 与官方正版应用比较，恶意样本运行后的界面如下，直接访问的DeepSeek的官网。 正版DeepSeek应用如下，可以看到需要登录后才能正常使用，运行界面也不一致。 2# 静态分析 该恶意应用使用了一些对抗手段来对抗逆向分析工具，增加分析难度，逃避安全检测，具体如下： 样本通过工具创建同名文件夹，对抗分析工具。 使用伪加密修改zip文件数据的方式让工具误认为存在密码。 使用整体自定义壳进行加固处理。 使用类名、变量名混淆来增加分析难度。 使用动态加载的方式加载恶意子包。 子包功能详细分析： 其关键指令解析如下： 主要信息获取行为如下： 1、获取短信信息。 2、获取通讯录。 3、发送短信。 4、获取应用安装列表。 5、获取…

声明：本文主要为RC²反窃密实验室的威胁情报小组部分成果分享，仅供交流与参考。 1 TSCM圈的扛把子：REI 所谓“天下谁人不识君”，国内外从事反窃密检测的行业人士，很少有不知道REI的。 REI，Research Electronics International，1983年成立于美国，其公司总部、研发、制造设施和培训中心均位于美国田纳西州。 37年来，REI一直从事设计和制造技术安全防护设备，以防止非法信息盗窃和企业间谍活动。 目前，REI的客户已遍布全球，包括需要和负责保护敏感信息的全球政府机构、执法组织、公司安全人员和TSCM专业人士，被公认为技术安全设备的行业领导者。 2 REI的发家史 再说说发家史。 REI公司由Bruce Barsumian于1983年在美国田纳西州的Cookeville成立，后来于1995年与Tom Jones（GM）合伙。 早在1980年代，REI就以出色的TSCM反窃密检测设备而闻名，如TRD-800反录音检测器。 RC²技术威胁情报库 ·TRD-800是REI于1989年开发制造的小型穿戴式反录音与窃听检测器。 ·它可以暗中携带，可以悄悄地探查无线电窃听器材，以及对方暗藏在身上的穿戴式录音器材，然后通过LED灯或内置振动器向使用者发出隐蔽的告警。 -----威胁情报库分割线----- 而且，REI也是最早在美国推出非线性节点探测器的公司。 他们推出检测隐蔽窃听器材的SuperScout NLJD，在市场上热销多年，远销全球各国的反间谍、情报及军事部门。 RC²技术威胁情报库 …

一项新的恶意软件分发活动正使用虚假的 Google Chrome、Word 和 OneDrive 错误诱骗用户运行安装恶意软件的恶意 PowerShell“修复程序”。 据观察，这项新活动被多个恶意分子使用，包括 ClearFake 背后的恶意分子、一个名为 ClickFix 的新攻击集群，以及 TA571 威胁者，后者以垃圾邮件分发者的身份运作，发送大量电子邮件，导致恶意软件和勒索软件感染。 此前的 ClearFake 攻击利用网站覆盖层，提示访问者安装虚假的浏览器更新，进而安装恶意软件。 威胁者还在新的攻击中使用 HTML 附件和受感染网站中的 JavaScript。但是，现在覆盖层会显示虚假的 Google Chrome、Microsoft Word 和 OneDrive 错误。这些错误会提示访问者单击按钮将 PowerShell“修复”复制到剪贴板，然后在“运行：”对话框或 PowerShell 提示符中粘贴并运行它。 ProofPoint 的一份新报告称：“尽管攻击链需要大量用户交互才能成功，但社会工程学可以同时向人们呈现看似真实的问题和解决方案，这可能会促使用户在不考虑风险的情况下采取行动。” Proofpoint 发现的有效载荷包括 DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、剪贴板劫持程序和 Lumma Stealer。 PowerShell“修复”导致恶意软件 Proofpoint 分析师观察到三条攻击链，它们的区别主要在于初始阶段，只有第一条攻击链不能高度可信…

安全研究人员查看 Parrot 流量引导系统 (TDS) 使用的 10,000 多个脚本后，发现逐渐优化的演变过程使恶意代码对安全机制更加隐蔽。 Parrot TDS 于 2022 年 4 月被网络安全公司发现，自 2019 年以来一直活跃。主要针对易受攻击的 WordPress 和 Joomla 网站，使用 JavaScript 代码将用户重定向到恶意位置。 研究人员分析，Parrot 已经感染了至少 16,500 个网站，是一次大规模的恶意操作。 Parrot 背后的运营商将流量出售给威胁组织，威胁组织将其用于访问受感染网站的用户，以进行分析并将相关目标重定向到恶意目的地，例如网络钓鱼页面或传播恶意软件的位置。 不断演变的恶意软件 Palo Alto Networks 的 Unit 42 团队最近发布的一份报告显示，Parrot TDS 仍然非常活跃，并且 JavaScript 注入更难以检测和删除。 Unit 42 分析了 2019 年 8 月至 2023 年 10 月期间收集的 10,000 个 Parrot 登陆脚本。研究人员发现了四个不同的版本，显示了混淆技术使用的进展。 Parrot 的登陆脚本有助于用户分析，并强制受害者的浏览器从攻击者的服务器获取有效负载脚本，从而执行重定向。 Parrot 攻击链 据研究人员称，Parrot TDS 活动中使用的脚本是通过代码中的特定关键字来识别的，包括“ ndsj ”、“ ndsw ”和“ ndsx ”。 Unit 42 注意到，所检查样本中大多数感染已转移到最新版本的…

研究人员已设计出了一种攻击方法，可以利用现代iOS和macOS设备搭载的A系列和M系列CPU中的侧信道漏洞，迫使苹果的Safari浏览器泄露密码、Gmail邮件内容及其他秘密信息。 学术研究人员将这种攻击命名为“iLeakage”，这是一种切实可行的攻击，只需极少的物理资源。然而，它确实需要对苹果硬件进行深入的逆向工程，还需要在利用侧信道（side channel）这类漏洞方面拥有丰富的专业知识。 侧信道可以根据电磁辐射、数据缓存或目标系统的其他表现形式中留下的线索泄露秘密信息。这里的侧信道是推测执行，这是现代CPU中提升性能的一项功能，近年来却成为了一大批攻击的来源，几乎源源不断的漏洞变种使得芯片制造商（主要是英特尔，其次是AMD）竞相制定缓解措施。 利用苹果芯片上的WebKit 研究人员将iLeakage实施成了一个网站，被易受攻击的macOS或iOS设备访问时，该网站使用JavaScript秘密打开攻击者选择的不同网站，并恢复在弹出窗口中渲染/呈现的网站内容。研究人员成功地利用iLeakage恢复了YouTube的观看历史内容、Gmail收件箱的内容（目标登录期间）以及由凭据管理器自动填充的密码。一旦被访问，iLeakage网站需要大约5分钟来分析目标机器，另外平均需要大约30秒来提取一个512位的秘密信息，比如64个字符的字符串。 图1. 上图：Gmail的Web视图中显示的电子邮件。下图：恢复的发件人地址、主题和内容。 研究人员在相关信息网站上写道：“我们展示了攻击者如何诱使Safari呈现任意网页，随后使用推测执行恢复网页…

本文介绍了在Chrome、Edge和Safari中实现可靠的DNS重绑定的新技术，并讨论了绕过本地网络限制的技术。通过分析慢缓存的根本原因，提出了新的解决技术。本文研究了利用DNS重绑定在Chrome、Edge和Safari中实现瞬间DNS重绑定的攻击技术。 本文是关于DNS重新绑定系列文章中的第二篇。第一篇文章介绍了一个使用DNS重新绑定后攻击的案例。在这篇文章中，我介绍了在IPv6可用时在Chrome, Edge和Safari中实现可靠的，瞬间DNS重新绑定的新技术，以及一种绕过本地网络限制的技术，该技术适用于基于Chrome的浏览器的获取API。 浏览器中的DNS重绑定传统上被视为攻击者通过诱骗受害者加载恶意网站来访问内部网络服务的一种方式，但随着许多现代web应用程序现在在其部分功能上驱动无头浏览器，它已成为攻击web应用程序的有用工具。无头浏览器，即 Headless Browser，是一种没有界面的浏览器。它拥有完整的浏览器内核，包括 JavaScript 解析引擎、渲染引擎等。与普通浏览器最大的不同是，无头浏览器执行过程中看不到运行的界面，但是我们依然可以用 GUI 测试框架的截图功能截取它执行中的页面。在上一篇文章中，我介绍了一个使用可能是最简单的重新绑定方法的例子。在这种情况下，我有很长的时间让漏洞运行，但这在许多web应用程序中不太可能，需要更快的技术。 缓慢的缓存 简单的DNS重绑定技术依赖于对相同主机名的连续查找返回不同的DNS记录。对于这些攻击，所花费的最小时间是浏览器执行两次连续DNS查找之间的时间。这有时可以…

Check Point Research (CPR)提供了一些最近针对Linux系统和ESXi系统的勒索软件攻击案例，不难发现，这些攻击在过去几年一直在增加。 2021年发布的Babuk源代码显然促进了大量勒索软件的出现，许多针对Linux大量使用OpenSSL库以及ChaCha20/RSA和AES/RSA的算法接连出现。 分析介绍 我们对一些顶级勒索软件家族(总共12个)进行了研究，发现这些勒索软件要么是直接为Linux系统开发的，要么是用具有强大跨平台组件的语言开发的，比如Golang或Rust，允许它们在Windows和Linux上不加区分地编译。 为了更好比较Linux和Windows开发的勒索软件，我们首先需要关注这两个系统的历史演变。 Linux勒索软件 Windows勒索软件 首先，我们注意到，第一个可查的勒索软件样本(尽管处于非常早期的阶段)可以追溯到1989年。这种被称为AIDS的威胁是通过软盘和目标Windows系统传播的。 直到2004年的GPCode，我们才开始看到第一批恶意软件。它们专注于Windows环境，很快勒索软件威胁开始进行演变，如2006年的Archiveus，或2012年作为第一个RaaS出现的Reveton。 到2015年，有了Linux.Encoder.1，这是专门针对Linux的勒索软件。此时，网络威胁已经在Windows系统中得到高度发展。尽管这些威胁在Windows中很成熟，但并不能直接转移到Linux上。 事实上，尽管在2015年已经有针对Linux的勒索软件，但相比来说，数量仍然非常…

Nokoyawa勒索软件即服务（RaaS）的运营商是一伙被称为“farnetwork”的威胁组织，多年来通过帮助JSWORM、Nefilim、Karma和Nemty等勒索软件团伙开发恶意软件和管理运营积累了经验。 网络安全公司Group-IB近日的一份报告深入剖析了farnetwork的活动，以及阐述他们是如何逐渐成为勒索软件行当中异常活跃的玩家。 farnetwork向威胁情报分析师们披露了细节，这些细节可以将他们与2019年开始的多起勒索软件活动和一个可以访问多个企业网络的僵尸网络联系起来。 据Group-IB向IT安全外媒体出示的报告显示，这伙威胁组织拥有多个用户名（比如farnetworkl、jingo、jsworm、razvrat、piparkuka和farnetworkitand），并活跃于多个俄语黑客论坛，试图招募加盟团伙从事各种勒索软件活动。 图1. 威胁分子情况简介（图片来源：Group-IB） 今年3月，farnetwork开始为其基于Nokoyawa加密恶意软件的勒索软件即服务项目寻找加盟团伙。然而，Group-IB的威胁情报分析师表示，这伙威胁组织明确表示，他们没有参与开发Nokoyawa的工作。 开展RaaS业务并没有持续多久，farnetwork宣布将退出该领域，并在10月份关闭了Nokoyawa RaaS项目，此前该项目泄露了35名受害者的数据。 图2. Nokoyawa公布受害者（图片来源：Group-B） 然而Group-IB认为，这伙威胁组织的策略是改变方向，以一个新的品牌重新开始，而这个举动正是其…