蓝队取证审计网络安全

Nokoyawa勒索软件即服务（RaaS）的运营商是一伙被称为“farnetwork”的威胁组织，多年来通过帮助JSWORM、Nefilim、Karma和Nemty等勒索软件团伙开发恶意软件和管理运营积累了经验。 网络安全公司Group-IB近日的一份报告深入剖析了farnetwork的活动，以及阐述他们是如何逐渐成为勒索软件行当中异常活跃的玩家。 farnetwork向威胁情报分析师们披露了细节，这些细节可以将他们与2019年开始的多起勒索软件活动和一个可以访问多个企业网络的僵尸网络联系起来。 据Group-IB向IT安全外媒体出示的报告显示，这伙威胁组织拥有多个用户名（比如farnetworkl、jingo、jsworm、razvrat、piparkuka和farnetworkitand），并活跃于多个俄语黑客论坛，试图招募加盟团伙从事各种勒索软件活动。 图1. 威胁分子情况简介（图片来源：Group-IB） 今年3月，farnetwork开始为其基于Nokoyawa加密恶意软件的勒索软件即服务项目寻找加盟团伙。然而，Group-IB的威胁情报分析师表示，这伙威胁组织明确表示，他们没有参与开发Nokoyawa的工作。 开展RaaS业务并没有持续多久，farnetwork宣布将退出该领域，并在10月份关闭了Nokoyawa RaaS项目，此前该项目泄露了35名受害者的数据。 图2. Nokoyawa公布受害者（图片来源：Group-B） 然而Group-IB认为，这伙威胁组织的策略是改变方向，以一个新的品牌重新开始，而这个举动正是其…

研究人员已设计出了一种攻击方法，可以利用现代iOS和macOS设备搭载的A系列和M系列CPU中的侧信道漏洞，迫使苹果的Safari浏览器泄露密码、Gmail邮件内容及其他秘密信息。 学术研究人员将这种攻击命名为“iLeakage”，这是一种切实可行的攻击，只需极少的物理资源。然而，它确实需要对苹果硬件进行深入的逆向工程，还需要在利用侧信道（side channel）这类漏洞方面拥有丰富的专业知识。 侧信道可以根据电磁辐射、数据缓存或目标系统的其他表现形式中留下的线索泄露秘密信息。这里的侧信道是推测执行，这是现代CPU中提升性能的一项功能，近年来却成为了一大批攻击的来源，几乎源源不断的漏洞变种使得芯片制造商（主要是英特尔，其次是AMD）竞相制定缓解措施。 利用苹果芯片上的WebKit 研究人员将iLeakage实施成了一个网站，被易受攻击的macOS或iOS设备访问时，该网站使用JavaScript秘密打开攻击者选择的不同网站，并恢复在弹出窗口中渲染/呈现的网站内容。研究人员成功地利用iLeakage恢复了YouTube的观看历史内容、Gmail收件箱的内容（目标登录期间）以及由凭据管理器自动填充的密码。一旦被访问，iLeakage网站需要大约5分钟来分析目标机器，另外平均需要大约30秒来提取一个512位的秘密信息，比如64个字符的字符串。 图1. 上图：Gmail的Web视图中显示的电子邮件。下图：恢复的发件人地址、主题和内容。 研究人员在相关信息网站上写道：“我们展示了攻击者如何诱使Safari呈现任意网页，随后使用推测执行恢复网页…

爱彼迎（Airbnb）在全球10万个活跃城市拥有超过700万个房源，为广大游客提供了价位合理、环境舒适的住宿，但超旺的人气也使其容易受到网络犯罪分子、欺诈性房东、虚假帐户及其他骗局的攻击。 本文便着重探讨了网络犯罪分子如何利用爱彼迎及其用户。 走近窃取器的世界 为了了解网络犯罪分子在如何利用爱彼迎，明白他们用来未经授权访问帐户的方法至关重要。 网络犯罪分子经常使用一种名为“窃取器”（stealer）的恶意软件来获取用户名和密码等信息，这类窃取器其实是一种恶意软件，渗入设备，并将窃取的数据（又名为日志）传输给攻击者。日志通常被发送到服务器，但在一些情况下，日志也可以通过电子邮件和Telegram等安全聊天程序来加以传送。 窃取器可以通过各种不同的技术加以部署，包括社会工程、利用软件漏洞和恶意广告等技术。 此外，还有一个地下市场，网络犯罪分子可以在这里大量买卖设备访问权限（又叫机器人程序、安装件或感染）。 图1. 该截图显示了网络犯罪分子在论坛上出售机器人程序 愿意花钱的网络犯罪分子可以联系机器人程序卖家或商店，立即开始在成千上万个设备上部署窃取器。 图2. 该截图显示了在一个臭名昭著的网络犯罪论坛上可售的不同窃取器 窃取器可以入侵大多数浏览器，主要目标是网络应用程序的帐户信息。日志通常遵循特定的格式，这包括多列，其中的一行行数据含有各种信息，比如姓名和信用卡或借记卡详细信息等。除了获取登录凭据外，窃取器还可以泄露cookie。 cookie的重要性 cookie是存储在用户设备上的小小的数据文件，其中含有关于用户在特定网站上浏览活动和…

概述 近日（2024年4月25号），悬镜供应链安全情报中心在Pypi官方仓库（https://pypi.org/）中捕获1起CStealer窃密后门投毒事件，投毒者连续发布6个不同版本的恶意Py包multiplerequests，目标针对windows平台python开发者，该恶意包在安装时会远程加载CStealer后门到受害者系统上执行，该后门会窃取受害者系统敏感信息、主流浏览器隐私数据、数字货币钱包应用数据以及系统屏幕截屏等。此外，后门还会尝试驻留Windows系统启动目录实现开机自启动。 截至目前，恶意Py包multiplerequests在pypi官方仓库上被下载435次。 pypi仓库恶意包multiplerequests下载量 该恶意Py包仍可从国内主流Pypi镜像源(清华大学、腾讯云等)下载安装，因此潜在的受害者数量可能会更多。 清华镜像源 以国内清华大学镜像源为例，可通过以下命令测试安装该恶意组件包。 pip3 install multiplerequests -i https://pypi.tuna.tsinghua.edu.cn/simple 由于该恶意Py包只针对Windows系统，测试环境使用Linux系统，导致恶意包安装过程中触发恶意代码时触发非预期的Windows系统路径(~\\AppData\\Roaming/frvezdffvvcode.py) 的文件写入操作。 投毒分析 以multiplerequests恶意包2.31.0版本为例，当Python开发者使用pip install从Pypi官方仓库…

Moq在NuGet软件注册中心上分发，每天的下载量超过100000人次，自问世以来累计下载量已超过4.76亿人次。 Moq近期发布的4.20.0版本悄悄加入了另一个项目SponsorLink，该项目在开源软件消费者中引起了轩然大波，他们将此举比作辜负了广大用户的信任。 SponsorLink貌似是一个开源项目，实际上作为闭源代码在NuGet上分发，关键是含有经过混淆处理的DLL，这些DLL收集用户电子邮件地址的哈希值，并将它们发送到SponsorLink的CDN，从而引发隐私问题。 Moq辜负了用户的信任 半个月前，Moq的所有者之一Daniel Cazzulino（kzu，还负责维护SponsorLink 项目）将SponsorLink添加到Moq 4.20.0及更高版本中。 这一举动在开源生态系统中引起了轰动，主要出于两个原因——虽然Cazzulino完全有权改变其项目Moq，但他在捆绑依赖项之前并没有通知用户群，而且SponsorLink DLL含有经过混淆处理的代码，因而很难进行逆向工程分析，并不是完全“开源”。 德国软件开发人员Georg Dang警告道，扫描功能是在构建过程中运行的.NET 分析器工具的一部分，很难被禁用。 SponsorLink称自己是一种将GitHub Sponsors集成到用户库中的方法，以便用户可以正确链接到他们的赞助商以解锁功能，或者只是因支持用户的项目而获得应有的认可。 GitHub用户Mike（d0pare）反编译了DLL，并分享了大致重构源代码的结果。据这位分析师声称，这个库“生成外部git进程…

FROZEN#SHADOW 被发现采用了一种新的攻击活动，该活动利用 SSLoad 恶意软件进行操作，并利用 Cobalt Strike Implants 来控制和接管整个网络。 此外，威胁分子还使用 ScreenConnect RMM 等远程监控和管理软件进行进一步控制。 SSLoad 是一种精心设计的恶意软件，可以秘密渗透系统、收集敏感信息，并将收集到的信息泄露给恶意软件操作者。 此外，该恶意软件还利用多个后门和有效负载来逃避检测并保持持久性。 技术分析 这种新的攻击活动从包含恶意链接的传统网络钓鱼电子邮件开始。 当用户访问此链接时，它会将他们重定向到 mmtixmm[.]org URL 到另一个下载站点，在该站点将 JavaScript 文件下载到受害者计算机。如果手动执行此 JavaScript 文件，它会执行多项操作，在受害者计算机上下载并执行更多有效负载。 这些网络钓鱼电子邮件活动的目标似乎是随机的，因为受害者分布在多个国家，包括亚洲、欧洲和美洲。 对恶意软件的进一步调查表明，攻击发生在以下不同阶段： ·第 1 阶段：初始执行 – JavaScript ·第 2 阶段：MSI 文件执行 ·第 3 阶段：恶意软件执行 ·第 4 阶段：钴击执行 ·第 5 阶段：RMM 软件和横向移动 第 1 阶段：初始执行 – JavaScript 此初始阶段涉及手动执行 JavaScript 文件。通过分析 JS 文件 out_czlrh.js，发现它由 97.6% 的注释代码组成，其中包含随机字符以混淆文件。然而，删除注释代码后会发现一段非常…

1 概览 “游蛇”黑产团伙自2022年下半年开始活跃至今，针对国内用户发起了大量钓鱼攻击和诈骗活动。该类黑产传播的恶意程序变种多、频繁更换免杀手段及基础设施、攻击目标所涉及的行业广泛。近期，安天CERT监测到“游蛇”黑产团伙针对财税人员传播恶意Excel文件，诱导用户点击其中的超链接跳转至钓鱼网站，从中下载执行恶意程序。 恶意程序执行后加载恶意的Index.asp文件，然后分多个阶段下载执行恶意AutoHotKey、Python脚本、以及两段Shellcode，最终在受害者计算机的内存中执行远控木马。该远控木马具备键盘记录、剪贴板监控、屏幕截图等基本窃密功能，并支持接收执行多种远控命令。“游蛇”黑产团伙攻击者通常会利用远控木马控制受害者计算机中的即时通讯软件，冒充受害者身份进行后续的攻击、诈骗活动。 “游蛇”黑产团伙仍在频繁地对恶意软件、免杀手段以及相关基础设施进行更新，每天依旧有一定数量的用户遭受攻击并被植入远控木马。安天CERT建议用户接收文件时保持警惕，避免点击安全性未知的可执行程序、脚本、文档等文件，以免遭受“游蛇”攻击，造成不必要的损失。 经验证，安天智甲终端防御系统（简称IEP）可实现对该远控木马的有效查杀。 排查方案详见本文第四章节，相关防护建议详见第五章节。 2 技术梳理 在此次攻击活动中，攻击者投放的诱饵文件是名称为“（六月）偷-漏涉-税-违规企业名单公示.xlsx”的Excel文件，诱导用户点击其中的“点击查看”，从而跳转至钓鱼网站中。 图 2‑1诱饵文件 该钓鱼网站如下图所示，用户点击该网站中的任意按钮后会下载一个…

安全研究人员基于 Microsoft 配置管理器的不当设置，创建了攻击和防御技术的知识库存储库，这将允许攻击者执行有效负载或成为域控制器。 配置管理器 (MCM) 称为系统中心配置管理器（SCCM、ConfigMgr），自 1994 年以来一直存在，并存在于许多 Active Directory 环境中，帮助管理员管理 Windows 网络上的服务器和工作站。 十多年来，它一直是安全研究的对象，作为可以帮助对手获得 Windows 域管理权限的攻击面。 在SO-CON 安全会议上 ，SpectreOps 研究人员宣布发布 Misconfiguration Manager，这是一个基于错误 MCM 配置进行攻击的存储库，还为防御者提供资源以强化其安全立场。 SpectreOps 解释说：“我们的方法不仅限于对已知对手的策略进行分类，还包括渗透测试、红队行动和安全研究领域的贡献。”MCM/SCCM 的设置并不容易，而且许多默认配置都为攻击者留下了可乘之机。 获取域控制 SpectreOps 研究人员指出，研究人员在其工作中看到的最常见且最具破坏性的错误配置是具有过多特权的网络访问帐户 (NAA)。 谈到 MCM/SCCM，研究人员表示，“配置起来非常困难，新手或不知情的管理员可能会选择使用相同的特权帐户来完成所有操作。” 在工作期间，他们遇到了一种场景，该场景从损害标准用户的 SharePoint 帐户到成为域控制器，这一切都是由于 MCM 的 MCM 部署配置错误以及特权过高的 NAA 造成的。 在另一个示例中，研究人员表示配置管理器站点可…

ChatGPT等大语言模型（LLM）使用来自图书、网站及其他来源的海量文本数据进行训练，通常情况下，训练它们所用的数据是一个秘密。然而，最近的一项研究揭示：它们有时可以记住并反刍训练它们所用的特定数据片段。这个现象名为“记忆”。 随后，来自谷歌DeepMind、华盛顿大学、加州大学伯克利分校及其他机构的研究人员着手去研究这些模型（包括ChatGPT）可以记住多少数据以及记住哪种类型的数据。 这项研究的重点是“可提取的记忆”，即人们可以通过提出特定的问题或提示从模型中检索的记忆。他们想看看外部实体是否可以在事先不知道有什么数据的情况下提取模型学到的数据。 图1 研究团队在多种语言模型上进行了广泛深入的实验，包括知名的GPT-Neo、LLaMA和ChatGPT。他们生成了数十亿个token（即单词或字符），检查这些token是否与用来训练这些模型的数据相匹配。他们还开发了一种独特的方法来测试ChatGPT，让ChatGPT多次重复一个单词，直到它开始生成随机性内容。 令人惊讶的是这些模型不仅能记住大块的训练数据，还能在正确的提示下反刍这些数据。对于ChatGPT来说更是如此，它经过了特殊的对齐处理，以防止这种情况出现。 研究还强调需要对人工智能模型进行全面的测试。需要仔细审查的不仅仅是面向用户的对齐模型，基本的基础模型和整个系统（包括API交互）都需要严格的检查。这种注重整体的安全方法对于发现隐藏的漏洞至关重要。 研究团队在实验中成功地提取了各种类型的数据，从详细的投资研究报告到针对机器学习任务的特定Python代码，不一而足。这些例子表明…

5G开启了传统无线连接无法实现的前所未有的应用，帮助企业加速数字化转型、降低运营成本，并最大限度地提高生产力，以获得最佳投资回报。为了实现目标，5G依赖关键的服务类别：大规模机器类型通信（mMTC）、增强型移动宽带（eMBB）和超可靠低延迟通信（uRLLC）。 随着商用频谱不断增加，专用5G网络的使用率和普及率也随之提高。制造、国防、港口、能源、物流和采矿等行业只是这些专用网络的早期采用者之一，特别是对于那些迅速依赖物联网以实现生产系统和供应链数字化的公司。与公共电网不同，专用5G中的蜂窝基础设施设备可能归用户企业、系统集成商或运营商拥有和运营。然而，鉴于针对使用5G开发各种技术的研究和探索越来越多，网络犯罪分子也在考虑利用种种威胁和风险，企图通过这种新的通信标准，入侵用户和组织的系统和网络。本文探讨了普通用户设备如何在5G网络基础设施和用例中被滥用。 5G拓扑结构 在端到端5G蜂窝系统中，用户设备（又名UE，比如移动电话和物联网设备）通过无线电波连接到基站，基站则通过有线IP网络连接到5G核心。 从功能上来说，5G核心可以分为两个平面：控制平面和用户平面。在网络中，控制平面承载信号，并根据流量从一个端点到另一个端点的交换方式为流量传输提供方便。同时，用户平面负责连接和处理通过无线局域网（RAN）传输的用户数据。 基站发送与设备连接相关的控制信号，并通过NGAP（下一代应用协议）与控制平面建立连接。来自设备的用户流量使用GTP-U（GPRS隧道协议用户平面）发送到用户平面。数据流量从用户平面路由传输到外部网络。 图1. 基本的5G网络基…

高质量图像对于包括安全和车载摄像系统在内的各种解决方案以及开发和训练用于图像处理任务的机器学习算法至关重要。 然而，物理相机传感器经常会导致照片失真。这些扭曲会显着降低图像质量，甚至使您的解决方案无法处理图像。 在本文中，我们将探讨什么是图像失真以及消除它们的重要性。我们还展示了如何使用 OpenCV 修复图像失真。本文对于致力于具有图像处理功能的 IT 解决方案、想要了解有关修复图像失真的更多信息的企业和开发团队将有所帮助。 什么是图像失真？它们如何影响您的解决方案的性能？ 图像失真通常是图形图像与其现实原型的不成比例、不充分的偏差。例如，现实生活中的直线或平行线可能会出现变形或不自然的弯曲。另一个例子是与照明相关的扭曲，例如当颜色朝图像边界变暗时，类似于渐晕。 并非所有的扭曲都是不利的。例如，您可能希望在使用广角镜头拍摄的图像中保留特定的畸变，以突出显示前景和背景之间的距离。 然而，通常情况下，您需要相机来拍摄精确的图像。对于某些技术来说，获得零失真的图像至关重要。 确保图像无失真对于开发机器学习(ML) 解决方案和训练人工智能(AI) 网络执行图像处理任务极其重要。 训练数据集必须一致（相似的示例必须具有相似的标记）且统一（所有属性的值必须在所有数据中具有可比性）。质量差的数据集会降低人工智能算法训练过程的效率。 在某些情况下，可以故意将扭曲的图像放置在数据集中。例如，您可能想要训练算法来处理由具有不同失真的不同相机拍摄的图像。然而，如果来自不同相机的图像在扭曲的形式和程度方面存在显着差异，那么将此类图像包含在一个数据集中将破坏一…

二开背景 suricata是一款高性能的开源网络入侵检测防御引擎，旨在检测、预防和应对网络中的恶意活动和攻击。suricata引擎使用多线程技术，能够快速、准确地分析网络流量并识别潜在的安全威胁，是众多IDS和IPS厂商的底层规则检测模块。 前段时间搭了个suricata引擎播包测试流量规则，发现原生的suricata引擎并不能获取规则匹配的位置、命中的字符串等信息。因suricata引擎并不会输出命中的信息，遂修改源码，改了命中详情(下文简称高亮)出来，今天想跟大家分享一下修改和使用的过程。 1、suricat编译安装 参考官方文档https://docs.suricata.io/en/suricata-6.0.0/install.html#install-advanced 先装库，装rust支持，装make 然后下载源码make 编译后的二进制程序在/src/.libs/suricata查看依赖库，然后补齐到默认so库目录中即可运行。 2、vscode+gdb调试suricata环境搭建 然后就是装插件，除了必备的c语言插件全家桶之外还需要装GDB Debug这个插件。 接着任意新建一个运行配置。 修改lauch.json为： { // Use IntelliSense to learn about possible attributes. // Hover to view descriptions of existing attributes. // For more infor…

有安全研究机构发现了一个名为“GXC Team”的网络犯罪团伙，该团伙专门制作用于网上银行盗窃、电子商务欺诈和网络诈骗的工具。2023 年 11 月，该团伙的头目以“googleXcoder”的别名在暗网上发布了多条公告，宣布在暗网上出售的产品最高可享受 20% 的折扣。 这些帖子中向大家介绍了一种新工具，该工具结合了人工智能 (AI)，可用于创建用于电信欺诈和商业电子邮件欺诈 (BEC) 的虚假发票。 据报告，成功的商业电子邮件欺诈 (BEC) 诈骗（例如发票欺诈）平均每起事件可造成超过 12 万美元的损失，给企业造成了超过 24 亿美元的惊人财务损失。 毫无疑问，网络犯罪分子已经认识到人工智能在增强和扩展其业务方面的巨大潜力。但人工智能为他们提供了哪些具体优势？ 利用大型语言模型 (LLM) 的人工智能驱动平台（如 FraudGPT 和 WormGPT）的出现改变了游戏规则。这些框架可以创建复杂而精密的商业电子邮件入侵 (BEC) 活动，生成用于洗钱计划的垃圾邮件内容，并提供预制的恶意策略和工具。 就在 2024 年开始之前，即 12 月 30 日，他们推出了其 AI 工具的更新版本，名为“Business Invoice Swapper”。 此次更新已通过“GXC 团队”的官方 Telegram 频道发布。该工具以租赁方式提供，订阅计划起价为每周 2,000 美元，或者一次性支付 15,000 美元即可无限制使用。 要使该工具发挥作用，操作员必须输入要扫描的受感染电子邮件帐户列表。这涉及在文档中指定凭证以及用于“交换”或欺骗过…

随着数字化时代的蓬勃发展，网络安全产业正迎来一场深刻而迅猛的变革。在过去，我们曾专注于传统的安全防御手段，采取反应式的威胁应对策略。如今，随着威胁的不断演变和技术的飞速进步，网络安全面临着前所未有的挑战和新的需求。这一变革推动我们重新审视网络安全的本质，并着眼于更加智能、预测性和综合性的解决方案。不再局限于单一的防御模式，我们必须迎接更智能化的威胁，同时在数字生态系统中建立起更为全面的保护体系。 2024年3月7日，嘶吼安全产业研究院启动了《2024网络安全产业图谱》调研工作。截止到今天，《2024网络安全产业图谱》调研征集阶段即将结束，望各厂商尽快下载填报《2024网络安全产业图谱调研表》，并于4月7日前发送至指定邮箱。 为适应当前网络安全领域的快速发展，嘶吼安全产业研究院对《网络安全产业图谱》进行更新，以更准确的反映当前网络安全产业链的发展规划与趋势。在各领域新兴技术不断涌现的背景下，我们合理重新分类网络安全产业链，进一步规划网安产业布局，展现产业核心企业能力与竞争力，为政企及其他组织机构提供客观参考。 图谱调整说明： 1、各细分领域精简收录企业数量： 本次图谱调研将参考细分产品营收、营收增长率、客户数量、投入占比、品牌影响力等多个维度，对企业进行全面能力评估，重点收录综合能力较高的企业，为行业用户提供更精准的行业参考指南。 2、热门领域Top10厂商推荐： 在精选出的多个热门领域中，我们将根据调研结果评选出Top10优秀安全厂商，进行单独呈现。 《2024网络安全产业图谱》调研通知： 图谱调研表获取方式：关注嘶吼专业版公众号，回…

漏洞概述 Easy Chat Server是一款基于Web的在线聊天服务器程序，运行系统为Windows，支持创建多个聊天室，多人在线聊天，该软件曾出现过多个漏洞。近日，安全研究人员发现该软件还存在基于栈溢出的漏洞，漏洞编号CVE-2023-4494。该漏洞源于使用HTTP GET对register.ghp文件进行访问时，未检查用户提交的username值的长度是否超过限制，从而使栈缓冲区溢出，覆盖其他内存空间，可导致任意代码执行。 影响范围 <=3.1 复现环境 操作系统：Win7 sp1，Kali linux 分析工具：IDA，Windbg，OLLYDBG，Burp Suite 漏洞复现 安装3.1版本的Easy Chat Server程序，安装完成后主程序路径为C:\EFS Software\Easy Chat Server\EasyChat.exe。当前服务器IP为192.168.220.128，启动主程序后，主界面如下图所示： 使用浏览器对主页进行访问，Web主界面如下图所示： 根据CVE官方公告，使用HTTP GET对register.ghp文件进行访问时，username字段可导致漏洞产生。所以使用浏览器访问http://192.168.220.128/register.ghp?username=test进行尝试，Web响应界面如下图所示： 可以看出，register.ghp可能是用户注册页面。同时反编译EasyChat.exe程序，发现还需要传递Password等字段。反编译如下图所示： 再次使用浏览器…

macOS 15“Sequoia”的用户在使用某些端点检测和响应 (EDR) 或虚拟专用网络 (VPN) 解决方案以及 Web 浏览器时报告网络连接错误。在停用这些工具后问题得到解决，这表明网络堆栈存在不兼容问题。 受影响的用户描述了 CrowdStrike Falcon 和 ESET Endpoint Security 的问题，以及防火墙引起的数据包损坏，从而导致 Web 浏览器 SSL 失败或无法使用“wget”和“curl”。 9 月，苹果发布了 Sequoia，称其为“全球最先进的桌面操作系统的最新版本”。在一份非公开公告中，CrowdStrike 表示由于 macOS 15 Sequoia 的内部网络结构发生变化，建议客户不应升级，直到发布完全支持 macOS 15 Sequoia 的 Mac 传感器为止。 据报道，SentinelOne 支持还警告用户不要立即升级到 macOS Sequoia，因为最近发现了可用性问题。 人们还报告了 Mullvad VPN 以及他们用于远程工作的企业 VPN 产品存在间歇性连接问题，但据了解 ProtonVPN 在最新的 macOS 版本上运行良好。 虽然苹果公司尚未回应有关这些问题的新闻请求，但 据 macOS 15 发行说明显示，该操作系统防火墙中的一项功能已被弃用，这可能是导致这些问题的原因。 Application Firewall settings are no longer contained in a property list. If your app or workflow…

Check Point Research与Sygnia事件响应小组合作，追踪分析Manticore活动，这是一个主要针对中东政府和电信部门的攻击活动。据分析，Manticore与OilRig(又名APT34、EUROPIUM、Hazel Sandstorm)有关联。 在最新的攻击活动中，攻击者利用了LIONTAIL框架，这是一套复杂的自定义加载程序和内存驻留shellcode有效负载。Manticore使用HTTP.sys驱动程序的未记录功能从传入的HTTP流量中提取有效负载。观察到的LIONTAIL相关恶意软件的多种变体表明，Manticore为每台受攻击的服务器生成了一个自定义的植入程序，使恶意活动能够融入合法的网络流量中，并且无法从中识别。 尽管LIONTAIL框架本身看起来很独特，并且与任何已知的恶意软件家族没有明显的代码重叠，但这些攻击中使用的其他工具与之前报告的活动重叠。最值得注意的是，其中一些最终与OilRig有关联。 在这篇文章中，我们提供了最新工具的技术分析。 LIONTAIL框架 LIONTAIL是一个恶意软件框架，包括一组自定义shellcode加载器和内存驻留shellcode有效负载。它的一个组件是用c语言编写的LIONTAIL后门。它是一个轻量级但相当复杂的被动后门，安装在Windows服务器上，使攻击者能够通过HTTP请求远程执行命令。后门为其配置中提供的url列表设置侦听器，并执行攻击者向这些url发送请求的有效负载。 LIONTAIL后门组件是最新的Manticore攻击中使用的主要植入程序。利用来自面向…

一种新的JavaScript混淆方法利用不可见的Unicode字符来表示二进制值，在针对美国政治行动委员会（PAC）附属机构的网络钓鱼攻击中被积极滥用。 发现此次攻击的网络威胁实验室报告称，该攻击发生在2025年1月初，并带有复杂的迹象，例如使用了： ·针对受害者提供个性化的非公开信息； ·调试器断点和定时检查以逃避检测； ·递归包装邮戳跟踪链接到模糊的最终网络钓鱼目的地。 JavaScript开发人员在2024年10月首次披露了这种混淆技术，它在实际攻击中的迅速采用凸显了新研究被武器化的速度。 使JS有效负载“不可见” 新的混淆技术利用不可见的Unicode字符，特别是韩文半宽（U+FFA0）和韩文全宽（U+3164）。 JavaScript负载中的每个ASCII字符被转换为8位二进制表示，其中的二进制值（1和0）被不可见的韩文字符替换。 混淆后的代码作为属性存储在JavaScript对象中，由于韩文填充字符呈现为空白，因此脚本中的有效负载看起来为空，如下图末尾的空白所示。 隐藏恶意代码的空白 一个简短的引导脚本使用JavaScript代理的“get（）陷阱”检索隐藏的有效负载。当访问hidden属性时，Proxy将不可见的韩文填充字符转换回二进制并重建原始JavaScript代码。 Juniper分析师报告称，攻击者除了上述步骤之外，还使用了额外的隐藏步骤，比如用base64编码脚本，并使用反调试检查来逃避分析。 韩文填充字符序列的Base64编码 Juniper解释说：“攻击是高度个性化的，包括非公开信息，最初的JavaSc…

FortiGuard实验室最近发现了一个电子邮件钓鱼活动，利用欺骗性的预订信息引诱受害者点击恶意PDF文件。PDF下载了一个用PowerGUI创建的 .NET可执行文件，然后运行PowerShell脚本来获取最终的恶意软件，称为MrAnon Stealer。 该恶意软件是一个基于Python的信息窃取程序，使用cx Freeze压缩以逃避检测。MrAnon Stealer窃取受害者的凭据、系统信息、浏览器会话和加密货币扩展，攻击流程如下所示。 攻击流 下载网址主要在德国被查询，这表明它是攻击的主要目标。这个URL的查询数量在2023年11月显著上升，该活动在该月异常活跃和激进。在本文中，我们将详细介绍该恶意软件在每个阶段的行为。 初始感染载体：Booking.pdf 攻击者伪装成一家希望预订酒店房间的公司，发送主题为“12月房间可用性查询”的网络钓鱼电子邮件。该网站包含假日期间虚假的酒店预订信息，附加的恶意PDF文件有一个下载链接隐藏在对象中。其解码后的数据如下： 网络钓鱼邮件 恶意PDF文件 .NET可执行文件：adobe.exe 通过“Loader”类中的字符串，可以发现恶意软件使用了PowerShell脚本编辑器，该编辑器将PowerShell脚本转换为微软可执行文件。 反编译的Exec()函数 在检查下图所示的.NET可执行文件后，我们发现它利用ScriptRunner.dll提取“Scripts.zip”以获得一个PowerShell脚本。解压后的文件存放在以下位置： “%USERPROFILE%\AppData\L…

开放式无线接入网 (ORAN or O-RAN) 是搭建一个开放、虚拟化和智能的无线接入网 (RAN) 体系结构，从而创造一个包含多家厂商、各家厂商的产品之间可以互操的生态系统。开放无线接入网(ORAN)体系结构为以前封闭的系统提供了标准化的接口和协议。然而，通过对ORAN的研究表明，恶意xApps构成的潜在威胁能够危及整个Ran智能控制器(RIC)子系统。Open RAN为5G无线接入网(RAN)引入了模块化和解耦的设计范式，并承诺通过O-RAN定义的RAN智能控制器(RIC, RAN Intelligent Controller)实现完全的可编程性。 开放式无线电接入网架构通过建立标准接口和协议提供了对先前封闭的无线电接入网系统的接入。预计不同的供应商将在O-RAN中创建eXtended应用程序（xApps），由运营商安装，这使得xApps成为恶意攻击者的潜在攻击向量，目的是在关键通信节点中站稳脚跟。 本文将会介绍恶意xApp如何危害整个RAN智能控制器（RIC）子系统。 5G网络 下图为5G蜂窝网络的总体架构。通过对分组核心的一些修改，拓扑结构也可以扩展以适应前几代网络（如3G和4G）。在下图的左侧是用户： 5G网络的端到端架构 基站（如图2所示）由以下组件组成： 1.发射和接收无线电信号的天线。 2.一种远程无线电头（RRH），它容纳射频（RF）收发器，负责将数字信号转换为无线电信号，反之亦然。 3.一种基带单元（BBU），用于处理数字数据处理，包括调制、编码和解码以及更高层协议。BBU可以管理多个RRH和天线。 典型RAN架…

声明：以下内容符合OSINT国际开源情报搜集标准，不涉及任何非法行为，仅供交流与参考。 0x01 先聊聊酒店的墙壁 咳咳，行有行规，先说点正经的。 按照国内酒店装修必须遵循的行业标准《旅馆建筑设计规范》JGJ62-2014中规定，旅馆建筑的隔声减噪设计应符合现行国家标准《民用建筑隔声设计规范》GB 50118-2010的规定。 如下图所示，可以看到，墙壁厚度还真是和酒店级别有一定关系的。 不过在装修的行话里，老师傅们一般会更通俗地用“一砖墙”的说法。所谓“一砖墙”，顾名思义就是厚度为一块标准砖的墙，类似地，就有了“半砖、1砖、1砖半、2砖”墙的说法。 说到这儿，顺便调查下，这些年大家住过的酒店，你认为客房墙壁有多厚？ PS：更多关于墙壁厚度的定义，大家可以在评论区里回复“一砖墙”，就能看到。 那么，按照装修标准，是不是说五星级酒店客房就一定安全呢？ 这个嘛，真不好说。 0x02 一般人如何偷听隔壁 经常出差的人应该都有过这样的体验，尤其是苦逼出差的IT工程师们，撰写项目文档或做编程测试不知不觉到半夜，突然被隔壁莫名的声音惊扰。 除此之外，明显对内部会议、私下聊天的偷听会更有意义。于是乎，什么听诊器、杯子等都被人用来做偷听道具。 百度知道上，甚至还有人专门回答了用杯子偷听的心得，也是醉了。 嗯，肯定有老司机觉得这些都太基础了，根本不值一提，也是，接下来说说专业的做法。 0x03 专业隔墙偷听几十年 从原理上讲，专业偷听设备的确类似于听诊器，不过区别是，专业设备加入了电子降噪及放大的能…

安全研究人员发现了一个专为移动运营商网络设计的新的 Linux 后门，名为 GTPDOOR。GTPDOOR 背后的威胁分子以 GPRS 漫游交换 (GRX) 附近的系统为目标，例如 SGSN、GGSN 和 P-GW，这些系统可以为攻击者提供对电信核心网络的直接访问。 GRX 是移动电信的一个组件，可促进跨不同地理区域和网络的数据漫游服务。服务 GPRS 支持节点 (SGSN)、网关 GPRS 支持节点 (GGSN) 和 P-GW（分组数据网络网关（用于 4G LTE））是移动运营商网络基础设施内的组件，每个组件在移动通信中发挥不同的作用。 由于SGSN、GGSN和P-GW网络更多地暴露在公众面前，IP地址范围列在公开文件中，研究人员认为它们可能是获得移动运营商网络初始访问权限的目标。 安全研究人员解释说 ，GTPDOOR 很可能是属于“LightBasin”威胁组织 (UNC1945) 的工具，该组织因专注于全球多家电信公司的情报收集而臭名昭著。 研究人员发现了 2023 年底上传到 VirusTotal 的两个版本的后门，这两个版本基本上都没有被防病毒引擎检测到。这些二进制文件针对的是非常旧的 Red Hat Linux 版本，表明目标已经过时。 隐秘的 GTPDOOR 操作 GTPDOOR 是一种专为电信网络量身定制的复杂后门恶意软件，利用 GPRS 隧道协议控制平面 (GTP-C) 进行隐蔽命令和控制 (C2) 通信。它用于部署在与 GRX 相邻的基于 Linux 的系统中，负责路由和转发漫游相关的信令和用户平面流量。 使用 G…

1 前言 2016年前后，勒索攻击的主流威胁形态已经从勒索团伙传播扩散或广泛投放勒索软件收取赎金，逐渐转化为RaaS+定向攻击收取高额赎金的运行模式。RaaS为Ransomware as a Service（勒索即服务）的缩写，是勒索团伙研发运营的勒索攻击基础设施，包括可定制的破坏性勒索软件、窃密组件、勒索话术和收费通道等。各种攻击团伙和个人租用RaaS攻击基础设施，在获得赎金后，与RaaS攻击组织分账结算。在众多勒索攻击组织中，LockBit组织最为活跃，从其公布的数据显示，LockBit的RaaS支撑了上千起的攻击活动，并因一例涉及中资企业海外机构案例被国内外广泛关注。 为有效应对RaaS+定向勒索风险，防御者需要更深入地了解定向勒索攻击的运行机理，才能构建有效的敌情想定，针对性的改善防御和响应能力。因此，择取典型案例，对此类攻击进行深度复盘极为重要。但由于相关涉我案例的分析支撑要素并不成熟，安天CERT在其他近期重大攻击案例中进行了筛选，选择了同样与LockBit组织相关，且可参考信息相对丰富的波音公司遭遇定向勒索攻击事件（以下简称本事件）展开了完整复盘分析。安天CERT长期关注和分析勒索攻击，对LockBit等攻击组织的持续关注，形成了较为系统的分析积累，依托安天赛博超脑平台的情报数据，CISA等机构对本事件公布的相关公开信息展开工作。从攻击过程还原、攻击工具清单梳理、勒索样本机理、攻击致效后的多方反应、损失评估、过程可视化复盘等方面开展了分析工作，并针对事件中暴露的防御侧问题、RaaS+定向勒索的模式进行了解析，并提出了防御和…

2023年7月10日，嘶吼安全产业研究院联合国家网络安全产业园区（通州园）正式发布《嘶吼2023网络安全产业图谱》。 随着数字化时代的发展，网络安全产业正在经历快速变革。过去，网络安全主要关注传统的防御手段和反应式的威胁应对，但现在，随着威胁的不断演进和技术的快速发展，网络安全产业也不得不适应新的挑战和需求。嘶吼安全产业研究院根据当前网络安全发展规划与趋势发布《嘶吼2023网络安全产业图谱》调研，旨在进一步了解网络安全产业的现状和未来发展趋势，展现网络安全产业的构成和重要组成部分，探索网络安全产业的竞争格局和发展前景。 本次《嘶吼2023网络安全产业图谱》采用了市场调研、数据精析、文献研究及政策参考等多方面综合分析，反映网络安全行业市场规模状况、体现产业化的重点发展的方向、展现各细分领域在整个网络安全行业中的市场占比情况、揭示行业热门细分赛道的市场潜力和发展趋势。 图谱概况： 《嘶吼2023网络安全产业图谱》调研成功收录417家网络安全企业，分为七大类别，共涉及121个细分领域。相比于2022年新增22个细分领域，下面为本次图谱新增与修改部分。 新增分类： 基础技术与通用能力-密码安全：密码测评。 安全服务-安全运营与管理：态势感知、外部攻击面管理（EASM）、网络资产攻击面管理（CAASM）。 安全服务-攻防对抗与演练：威胁情报、入侵检测与防御IPS/DPS、溯源取证、入侵与攻击模拟（BAS）。 开发与应用安全-软件供应链安全：软件管控平台、静态应用程序安全测试（SAST）、动态应用程序安全测试（DAST）、交互式应用安全测试（IAS…

探索Cobalt Strike shellcode是由编译后的可执行.exe文件加载情况，这将需要使用调试器(x64dbg)和静态分析(Ghidra)来执行完整的分析。 可执行文件是编译后的exe，包含隐藏和混淆的Shellcode，使用一个简单的异或例程和一个4字节的项对shellcode进行解码，然后将其写入一个用VirtualAlloc创建的简单缓冲区。 本文将探索使用调试器获得解码的shellcode的方法，然后寻找使用Ghidra手动定位shellcode和相关解密密钥的方法，还将研究在X64dbg和Ghidra之间切换的方法，以及使用ChatGPT识别和分析Ghidra输出的方法。 获取样本 点此下载样本(pw:infected)。 SHA256: 99986d438ec146bbb8b5faa63ce47264750a8fdf508a4d4250a8e1e3d58377fd 分析 我们可以先把文件保存到一台分析机上然后用感染的密码解压缩。从这里我们还可以创建一个文件名较短的副本。 由于该文件是已编译的可执行文件，我们可以尝试使用调试器对其进行分析。在本文中为x64dbg。 我们可以继续使用x64dbg打开文件，一直点击直到到达入口点。 现在，我们可以继续在API上创建一些断点，这些断点通常(但并不总是)在恶意软件解包时使用。 我们可以通过运行bp VirtualAlloc和bp VirtualProtect来创建2个断点。 创建断点后，我们可以继续并允许恶意软件继续(F9)。恶意软件将继续运行并触发VirtualAl…