蓝队取证审计网络安全

本文介绍了在Chrome、Edge和Safari中实现可靠的DNS重绑定的新技术，并讨论了绕过本地网络限制的技术。通过分析慢缓存的根本原因，提出了新的解决技术。本文研究了利用DNS重绑定在Chrome、Edge和Safari中实现瞬间DNS重绑定的攻击技术。 本文是关于DNS重新绑定系列文章中的第二篇。第一篇文章介绍了一个使用DNS重新绑定后攻击的案例。在这篇文章中，我介绍了在IPv6可用时在Chrome, Edge和Safari中实现可靠的，瞬间DNS重新绑定的新技术，以及一种绕过本地网络限制的技术，该技术适用于基于Chrome的浏览器的获取API。 浏览器中的DNS重绑定传统上被视为攻击者通过诱骗受害者加载恶意网站来访问内部网络服务的一种方式，但随着许多现代web应用程序现在在其部分功能上驱动无头浏览器，它已成为攻击web应用程序的有用工具。无头浏览器，即 Headless Browser，是一种没有界面的浏览器。它拥有完整的浏览器内核，包括 JavaScript 解析引擎、渲染引擎等。与普通浏览器最大的不同是，无头浏览器执行过程中看不到运行的界面，但是我们依然可以用 GUI 测试框架的截图功能截取它执行中的页面。在上一篇文章中，我介绍了一个使用可能是最简单的重新绑定方法的例子。在这种情况下，我有很长的时间让漏洞运行，但这在许多web应用程序中不太可能，需要更快的技术。 缓慢的缓存 简单的DNS重绑定技术依赖于对相同主机名的连续查找返回不同的DNS记录。对于这些攻击，所花费的最小时间是浏览器执行两次连续DNS查找之间的时间。这有时可以…

FROZEN#SHADOW 被发现采用了一种新的攻击活动，该活动利用 SSLoad 恶意软件进行操作，并利用 Cobalt Strike Implants 来控制和接管整个网络。 此外，威胁分子还使用 ScreenConnect RMM 等远程监控和管理软件进行进一步控制。 SSLoad 是一种精心设计的恶意软件，可以秘密渗透系统、收集敏感信息，并将收集到的信息泄露给恶意软件操作者。 此外，该恶意软件还利用多个后门和有效负载来逃避检测并保持持久性。 技术分析 这种新的攻击活动从包含恶意链接的传统网络钓鱼电子邮件开始。 当用户访问此链接时，它会将他们重定向到 mmtixmm[.]org URL 到另一个下载站点，在该站点将 JavaScript 文件下载到受害者计算机。如果手动执行此 JavaScript 文件，它会执行多项操作，在受害者计算机上下载并执行更多有效负载。 这些网络钓鱼电子邮件活动的目标似乎是随机的，因为受害者分布在多个国家，包括亚洲、欧洲和美洲。 对恶意软件的进一步调查表明，攻击发生在以下不同阶段： ·第 1 阶段：初始执行 – JavaScript ·第 2 阶段：MSI 文件执行 ·第 3 阶段：恶意软件执行 ·第 4 阶段：钴击执行 ·第 5 阶段：RMM 软件和横向移动 第 1 阶段：初始执行 – JavaScript 此初始阶段涉及手动执行 JavaScript 文件。通过分析 JS 文件 out_czlrh.js，发现它由 97.6% 的注释代码组成，其中包含随机字符以混淆文件。然而，删除注释代码后会发现一段非常…

爱彼迎（Airbnb）在全球10万个活跃城市拥有超过700万个房源，为广大游客提供了价位合理、环境舒适的住宿，但超旺的人气也使其容易受到网络犯罪分子、欺诈性房东、虚假帐户及其他骗局的攻击。 本文便着重探讨了网络犯罪分子如何利用爱彼迎及其用户。 走近窃取器的世界 为了了解网络犯罪分子在如何利用爱彼迎，明白他们用来未经授权访问帐户的方法至关重要。 网络犯罪分子经常使用一种名为“窃取器”（stealer）的恶意软件来获取用户名和密码等信息，这类窃取器其实是一种恶意软件，渗入设备，并将窃取的数据（又名为日志）传输给攻击者。日志通常被发送到服务器，但在一些情况下，日志也可以通过电子邮件和Telegram等安全聊天程序来加以传送。 窃取器可以通过各种不同的技术加以部署，包括社会工程、利用软件漏洞和恶意广告等技术。 此外，还有一个地下市场，网络犯罪分子可以在这里大量买卖设备访问权限（又叫机器人程序、安装件或感染）。 图1. 该截图显示了网络犯罪分子在论坛上出售机器人程序 愿意花钱的网络犯罪分子可以联系机器人程序卖家或商店，立即开始在成千上万个设备上部署窃取器。 图2. 该截图显示了在一个臭名昭著的网络犯罪论坛上可售的不同窃取器 窃取器可以入侵大多数浏览器，主要目标是网络应用程序的帐户信息。日志通常遵循特定的格式，这包括多列，其中的一行行数据含有各种信息，比如姓名和信用卡或借记卡详细信息等。除了获取登录凭据外，窃取器还可以泄露cookie。 cookie的重要性 cookie是存储在用户设备上的小小的数据文件，其中含有关于用户在特定网站上浏览活动和…

概述 近日（2024年4月25号），悬镜供应链安全情报中心在Pypi官方仓库（https://pypi.org/）中捕获1起CStealer窃密后门投毒事件，投毒者连续发布6个不同版本的恶意Py包multiplerequests，目标针对windows平台python开发者，该恶意包在安装时会远程加载CStealer后门到受害者系统上执行，该后门会窃取受害者系统敏感信息、主流浏览器隐私数据、数字货币钱包应用数据以及系统屏幕截屏等。此外，后门还会尝试驻留Windows系统启动目录实现开机自启动。 截至目前，恶意Py包multiplerequests在pypi官方仓库上被下载435次。 pypi仓库恶意包multiplerequests下载量 该恶意Py包仍可从国内主流Pypi镜像源(清华大学、腾讯云等)下载安装，因此潜在的受害者数量可能会更多。 清华镜像源 以国内清华大学镜像源为例，可通过以下命令测试安装该恶意组件包。 pip3 install multiplerequests -i https://pypi.tuna.tsinghua.edu.cn/simple 由于该恶意Py包只针对Windows系统，测试环境使用Linux系统，导致恶意包安装过程中触发恶意代码时触发非预期的Windows系统路径(~\\AppData\\Roaming/frvezdffvvcode.py) 的文件写入操作。 投毒分析 以multiplerequests恶意包2.31.0版本为例，当Python开发者使用pip install从Pypi官方仓库…

漏洞概述 2024年3月29日，开发人员Andres Freund在安全邮件列表上报告称，他在调查SSH性能问题时发现了涉及XZ包中的供应链攻击，分析后发现是SSH使用的上游liblzma库被植入了后门代码，可能允许攻击者通过后门非授权访问系统。 XZ Utils 是一款用于压缩和解压缩 .xz 和 .lzma 文件的工具集。XZ Utils 由 Lasse Collin 开发，是一个开源项目，广泛应用于各种操作系统中，受影响开源操作系统可在https://repology.org/project/xz/versions中查询.xz 文件格式是一种基于 LZMA2 压缩算法的文件格式，它提供了比传统 gzip 更高的压缩比，同时保持了相对较高的解压缩速度。XZ Utils v5.6.0和v5.6.1中tar包的编译文件被植入恶意命令。在某些特定编译环境下，恶意命令执行后将替换正常编译过程中的中间文件为后门文件，最后和其他组件一起编译到XZ Utils的Liblzma库文件中。当后门代码被执行时，将挂钩（HOOK）SSHD进程中的SSH登录认证函数。当接收到指定的SSH数据包时，将未授权执行指定的系统命令。 漏洞细节分析 1、植入流程 目前XZ Utils的Github仓库（https://github.com/tukaani-project/xz）已无法访问。笔者分析时使用的版本是从其他镜像网站下载的xz-5.6.1.tar.gz。初始恶意代码主要在文件build-to-host.m4中。 这条命令拼…

Moq在NuGet软件注册中心上分发，每天的下载量超过100000人次，自问世以来累计下载量已超过4.76亿人次。 Moq近期发布的4.20.0版本悄悄加入了另一个项目SponsorLink，该项目在开源软件消费者中引起了轩然大波，他们将此举比作辜负了广大用户的信任。 SponsorLink貌似是一个开源项目，实际上作为闭源代码在NuGet上分发，关键是含有经过混淆处理的DLL，这些DLL收集用户电子邮件地址的哈希值，并将它们发送到SponsorLink的CDN，从而引发隐私问题。 Moq辜负了用户的信任 半个月前，Moq的所有者之一Daniel Cazzulino（kzu，还负责维护SponsorLink 项目）将SponsorLink添加到Moq 4.20.0及更高版本中。 这一举动在开源生态系统中引起了轰动，主要出于两个原因——虽然Cazzulino完全有权改变其项目Moq，但他在捆绑依赖项之前并没有通知用户群，而且SponsorLink DLL含有经过混淆处理的代码，因而很难进行逆向工程分析，并不是完全“开源”。 德国软件开发人员Georg Dang警告道，扫描功能是在构建过程中运行的.NET 分析器工具的一部分，很难被禁用。 SponsorLink称自己是一种将GitHub Sponsors集成到用户库中的方法，以便用户可以正确链接到他们的赞助商以解锁功能，或者只是因支持用户的项目而获得应有的认可。 GitHub用户Mike（d0pare）反编译了DLL，并分享了大致重构源代码的结果。据这位分析师声称，这个库“生成外部git进程…

有安全研究机构发现了一个名为“GXC Team”的网络犯罪团伙，该团伙专门制作用于网上银行盗窃、电子商务欺诈和网络诈骗的工具。2023 年 11 月，该团伙的头目以“googleXcoder”的别名在暗网上发布了多条公告，宣布在暗网上出售的产品最高可享受 20% 的折扣。 这些帖子中向大家介绍了一种新工具，该工具结合了人工智能 (AI)，可用于创建用于电信欺诈和商业电子邮件欺诈 (BEC) 的虚假发票。 据报告，成功的商业电子邮件欺诈 (BEC) 诈骗（例如发票欺诈）平均每起事件可造成超过 12 万美元的损失，给企业造成了超过 24 亿美元的惊人财务损失。 毫无疑问，网络犯罪分子已经认识到人工智能在增强和扩展其业务方面的巨大潜力。但人工智能为他们提供了哪些具体优势？ 利用大型语言模型 (LLM) 的人工智能驱动平台（如 FraudGPT 和 WormGPT）的出现改变了游戏规则。这些框架可以创建复杂而精密的商业电子邮件入侵 (BEC) 活动，生成用于洗钱计划的垃圾邮件内容，并提供预制的恶意策略和工具。 就在 2024 年开始之前，即 12 月 30 日，他们推出了其 AI 工具的更新版本，名为“Business Invoice Swapper”。 此次更新已通过“GXC 团队”的官方 Telegram 频道发布。该工具以租赁方式提供，订阅计划起价为每周 2,000 美元，或者一次性支付 15,000 美元即可无限制使用。 要使该工具发挥作用，操作员必须输入要扫描的受感染电子邮件帐户列表。这涉及在文档中指定凭证以及用于“交换”或欺骗过…

1 概览 “游蛇”黑产团伙自2022年下半年开始活跃至今，针对国内用户发起了大量钓鱼攻击和诈骗活动。该类黑产传播的恶意程序变种多、频繁更换免杀手段及基础设施、攻击目标所涉及的行业广泛。近期，安天CERT监测到“游蛇”黑产团伙针对财税人员传播恶意Excel文件，诱导用户点击其中的超链接跳转至钓鱼网站，从中下载执行恶意程序。 恶意程序执行后加载恶意的Index.asp文件，然后分多个阶段下载执行恶意AutoHotKey、Python脚本、以及两段Shellcode，最终在受害者计算机的内存中执行远控木马。该远控木马具备键盘记录、剪贴板监控、屏幕截图等基本窃密功能，并支持接收执行多种远控命令。“游蛇”黑产团伙攻击者通常会利用远控木马控制受害者计算机中的即时通讯软件，冒充受害者身份进行后续的攻击、诈骗活动。 “游蛇”黑产团伙仍在频繁地对恶意软件、免杀手段以及相关基础设施进行更新，每天依旧有一定数量的用户遭受攻击并被植入远控木马。安天CERT建议用户接收文件时保持警惕，避免点击安全性未知的可执行程序、脚本、文档等文件，以免遭受“游蛇”攻击，造成不必要的损失。 经验证，安天智甲终端防御系统（简称IEP）可实现对该远控木马的有效查杀。 排查方案详见本文第四章节，相关防护建议详见第五章节。 2 技术梳理 在此次攻击活动中，攻击者投放的诱饵文件是名称为“（六月）偷-漏涉-税-违规企业名单公示.xlsx”的Excel文件，诱导用户点击其中的“点击查看”，从而跳转至钓鱼网站中。 图 2‑1诱饵文件 该钓鱼网站如下图所示，用户点击该网站中的任意按钮后会下载一个…

二开背景 suricata是一款高性能的开源网络入侵检测防御引擎，旨在检测、预防和应对网络中的恶意活动和攻击。suricata引擎使用多线程技术，能够快速、准确地分析网络流量并识别潜在的安全威胁，是众多IDS和IPS厂商的底层规则检测模块。 前段时间搭了个suricata引擎播包测试流量规则，发现原生的suricata引擎并不能获取规则匹配的位置、命中的字符串等信息。因suricata引擎并不会输出命中的信息，遂修改源码，改了命中详情(下文简称高亮)出来，今天想跟大家分享一下修改和使用的过程。 1、suricat编译安装 参考官方文档https://docs.suricata.io/en/suricata-6.0.0/install.html#install-advanced 先装库，装rust支持，装make 然后下载源码make 编译后的二进制程序在/src/.libs/suricata查看依赖库，然后补齐到默认so库目录中即可运行。 2、vscode+gdb调试suricata环境搭建 然后就是装插件，除了必备的c语言插件全家桶之外还需要装GDB Debug这个插件。 接着任意新建一个运行配置。 修改lauch.json为： { // Use IntelliSense to learn about possible attributes. // Hover to view descriptions of existing attributes. // For more infor…

一种新的JavaScript混淆方法利用不可见的Unicode字符来表示二进制值，在针对美国政治行动委员会（PAC）附属机构的网络钓鱼攻击中被积极滥用。 发现此次攻击的网络威胁实验室报告称，该攻击发生在2025年1月初，并带有复杂的迹象，例如使用了： ·针对受害者提供个性化的非公开信息； ·调试器断点和定时检查以逃避检测； ·递归包装邮戳跟踪链接到模糊的最终网络钓鱼目的地。 JavaScript开发人员在2024年10月首次披露了这种混淆技术，它在实际攻击中的迅速采用凸显了新研究被武器化的速度。 使JS有效负载“不可见” 新的混淆技术利用不可见的Unicode字符，特别是韩文半宽（U+FFA0）和韩文全宽（U+3164）。 JavaScript负载中的每个ASCII字符被转换为8位二进制表示，其中的二进制值（1和0）被不可见的韩文字符替换。 混淆后的代码作为属性存储在JavaScript对象中，由于韩文填充字符呈现为空白，因此脚本中的有效负载看起来为空，如下图末尾的空白所示。 隐藏恶意代码的空白 一个简短的引导脚本使用JavaScript代理的“get（）陷阱”检索隐藏的有效负载。当访问hidden属性时，Proxy将不可见的韩文填充字符转换回二进制并重建原始JavaScript代码。 Juniper分析师报告称，攻击者除了上述步骤之外，还使用了额外的隐藏步骤，比如用base64编码脚本，并使用反调试检查来逃避分析。 韩文填充字符序列的Base64编码 Juniper解释说：“攻击是高度个性化的，包括非公开信息，最初的JavaSc…

5G开启了传统无线连接无法实现的前所未有的应用，帮助企业加速数字化转型、降低运营成本，并最大限度地提高生产力，以获得最佳投资回报。为了实现目标，5G依赖关键的服务类别：大规模机器类型通信（mMTC）、增强型移动宽带（eMBB）和超可靠低延迟通信（uRLLC）。 随着商用频谱不断增加，专用5G网络的使用率和普及率也随之提高。制造、国防、港口、能源、物流和采矿等行业只是这些专用网络的早期采用者之一，特别是对于那些迅速依赖物联网以实现生产系统和供应链数字化的公司。与公共电网不同，专用5G中的蜂窝基础设施设备可能归用户企业、系统集成商或运营商拥有和运营。然而，鉴于针对使用5G开发各种技术的研究和探索越来越多，网络犯罪分子也在考虑利用种种威胁和风险，企图通过这种新的通信标准，入侵用户和组织的系统和网络。本文探讨了普通用户设备如何在5G网络基础设施和用例中被滥用。 5G拓扑结构 在端到端5G蜂窝系统中，用户设备（又名UE，比如移动电话和物联网设备）通过无线电波连接到基站，基站则通过有线IP网络连接到5G核心。 从功能上来说，5G核心可以分为两个平面：控制平面和用户平面。在网络中，控制平面承载信号，并根据流量从一个端点到另一个端点的交换方式为流量传输提供方便。同时，用户平面负责连接和处理通过无线局域网（RAN）传输的用户数据。 基站发送与设备连接相关的控制信号，并通过NGAP（下一代应用协议）与控制平面建立连接。来自设备的用户流量使用GTP-U（GPRS隧道协议用户平面）发送到用户平面。数据流量从用户平面路由传输到外部网络。 图1. 基本的5G网络基…

ChatGPT等大语言模型（LLM）使用来自图书、网站及其他来源的海量文本数据进行训练，通常情况下，训练它们所用的数据是一个秘密。然而，最近的一项研究揭示：它们有时可以记住并反刍训练它们所用的特定数据片段。这个现象名为“记忆”。 随后，来自谷歌DeepMind、华盛顿大学、加州大学伯克利分校及其他机构的研究人员着手去研究这些模型（包括ChatGPT）可以记住多少数据以及记住哪种类型的数据。 这项研究的重点是“可提取的记忆”，即人们可以通过提出特定的问题或提示从模型中检索的记忆。他们想看看外部实体是否可以在事先不知道有什么数据的情况下提取模型学到的数据。 图1 研究团队在多种语言模型上进行了广泛深入的实验，包括知名的GPT-Neo、LLaMA和ChatGPT。他们生成了数十亿个token（即单词或字符），检查这些token是否与用来训练这些模型的数据相匹配。他们还开发了一种独特的方法来测试ChatGPT，让ChatGPT多次重复一个单词，直到它开始生成随机性内容。 令人惊讶的是这些模型不仅能记住大块的训练数据，还能在正确的提示下反刍这些数据。对于ChatGPT来说更是如此，它经过了特殊的对齐处理，以防止这种情况出现。 研究还强调需要对人工智能模型进行全面的测试。需要仔细审查的不仅仅是面向用户的对齐模型，基本的基础模型和整个系统（包括API交互）都需要严格的检查。这种注重整体的安全方法对于发现隐藏的漏洞至关重要。 研究团队在实验中成功地提取了各种类型的数据，从详细的投资研究报告到针对机器学习任务的特定Python代码，不一而足。这些例子表明…

漏洞概述 Easy Chat Server是一款基于Web的在线聊天服务器程序，运行系统为Windows，支持创建多个聊天室，多人在线聊天，该软件曾出现过多个漏洞。近日，安全研究人员发现该软件还存在基于栈溢出的漏洞，漏洞编号CVE-2023-4494。该漏洞源于使用HTTP GET对register.ghp文件进行访问时，未检查用户提交的username值的长度是否超过限制，从而使栈缓冲区溢出，覆盖其他内存空间，可导致任意代码执行。 影响范围 <=3.1 复现环境 操作系统：Win7 sp1，Kali linux 分析工具：IDA，Windbg，OLLYDBG，Burp Suite 漏洞复现 安装3.1版本的Easy Chat Server程序，安装完成后主程序路径为C:\EFS Software\Easy Chat Server\EasyChat.exe。当前服务器IP为192.168.220.128，启动主程序后，主界面如下图所示： 使用浏览器对主页进行访问，Web主界面如下图所示： 根据CVE官方公告，使用HTTP GET对register.ghp文件进行访问时，username字段可导致漏洞产生。所以使用浏览器访问http://192.168.220.128/register.ghp?username=test进行尝试，Web响应界面如下图所示： 可以看出，register.ghp可能是用户注册页面。同时反编译EasyChat.exe程序，发现还需要传递Password等字段。反编译如下图所示： 再次使用浏览器…

macOS 15“Sequoia”的用户在使用某些端点检测和响应 (EDR) 或虚拟专用网络 (VPN) 解决方案以及 Web 浏览器时报告网络连接错误。在停用这些工具后问题得到解决，这表明网络堆栈存在不兼容问题。 受影响的用户描述了 CrowdStrike Falcon 和 ESET Endpoint Security 的问题，以及防火墙引起的数据包损坏，从而导致 Web 浏览器 SSL 失败或无法使用“wget”和“curl”。 9 月，苹果发布了 Sequoia，称其为“全球最先进的桌面操作系统的最新版本”。在一份非公开公告中，CrowdStrike 表示由于 macOS 15 Sequoia 的内部网络结构发生变化，建议客户不应升级，直到发布完全支持 macOS 15 Sequoia 的 Mac 传感器为止。 据报道，SentinelOne 支持还警告用户不要立即升级到 macOS Sequoia，因为最近发现了可用性问题。 人们还报告了 Mullvad VPN 以及他们用于远程工作的企业 VPN 产品存在间歇性连接问题，但据了解 ProtonVPN 在最新的 macOS 版本上运行良好。 虽然苹果公司尚未回应有关这些问题的新闻请求，但 据 macOS 15 发行说明显示，该操作系统防火墙中的一项功能已被弃用，这可能是导致这些问题的原因。 Application Firewall settings are no longer contained in a property list. If your app or workflow…

Check Point Research与Sygnia事件响应小组合作，追踪分析Manticore活动，这是一个主要针对中东政府和电信部门的攻击活动。据分析，Manticore与OilRig(又名APT34、EUROPIUM、Hazel Sandstorm)有关联。 在最新的攻击活动中，攻击者利用了LIONTAIL框架，这是一套复杂的自定义加载程序和内存驻留shellcode有效负载。Manticore使用HTTP.sys驱动程序的未记录功能从传入的HTTP流量中提取有效负载。观察到的LIONTAIL相关恶意软件的多种变体表明，Manticore为每台受攻击的服务器生成了一个自定义的植入程序，使恶意活动能够融入合法的网络流量中，并且无法从中识别。 尽管LIONTAIL框架本身看起来很独特，并且与任何已知的恶意软件家族没有明显的代码重叠，但这些攻击中使用的其他工具与之前报告的活动重叠。最值得注意的是，其中一些最终与OilRig有关联。 在这篇文章中，我们提供了最新工具的技术分析。 LIONTAIL框架 LIONTAIL是一个恶意软件框架，包括一组自定义shellcode加载器和内存驻留shellcode有效负载。它的一个组件是用c语言编写的LIONTAIL后门。它是一个轻量级但相当复杂的被动后门，安装在Windows服务器上，使攻击者能够通过HTTP请求远程执行命令。后门为其配置中提供的url列表设置侦听器，并执行攻击者向这些url发送请求的有效负载。 LIONTAIL后门组件是最新的Manticore攻击中使用的主要植入程序。利用来自面向…

FortiGuard实验室最近发现了一个电子邮件钓鱼活动，利用欺骗性的预订信息引诱受害者点击恶意PDF文件。PDF下载了一个用PowerGUI创建的 .NET可执行文件，然后运行PowerShell脚本来获取最终的恶意软件，称为MrAnon Stealer。 该恶意软件是一个基于Python的信息窃取程序，使用cx Freeze压缩以逃避检测。MrAnon Stealer窃取受害者的凭据、系统信息、浏览器会话和加密货币扩展，攻击流程如下所示。 攻击流 下载网址主要在德国被查询，这表明它是攻击的主要目标。这个URL的查询数量在2023年11月显著上升，该活动在该月异常活跃和激进。在本文中，我们将详细介绍该恶意软件在每个阶段的行为。 初始感染载体：Booking.pdf 攻击者伪装成一家希望预订酒店房间的公司，发送主题为“12月房间可用性查询”的网络钓鱼电子邮件。该网站包含假日期间虚假的酒店预订信息，附加的恶意PDF文件有一个下载链接隐藏在对象中。其解码后的数据如下： 网络钓鱼邮件 恶意PDF文件 .NET可执行文件：adobe.exe 通过“Loader”类中的字符串，可以发现恶意软件使用了PowerShell脚本编辑器，该编辑器将PowerShell脚本转换为微软可执行文件。 反编译的Exec()函数 在检查下图所示的.NET可执行文件后，我们发现它利用ScriptRunner.dll提取“Scripts.zip”以获得一个PowerShell脚本。解压后的文件存放在以下位置： “%USERPROFILE%\AppData\L…

2023年7月10日，嘶吼安全产业研究院联合国家网络安全产业园区（通州园）正式发布《嘶吼2023网络安全产业图谱》。 随着数字化时代的发展，网络安全产业正在经历快速变革。过去，网络安全主要关注传统的防御手段和反应式的威胁应对，但现在，随着威胁的不断演进和技术的快速发展，网络安全产业也不得不适应新的挑战和需求。嘶吼安全产业研究院根据当前网络安全发展规划与趋势发布《嘶吼2023网络安全产业图谱》调研，旨在进一步了解网络安全产业的现状和未来发展趋势，展现网络安全产业的构成和重要组成部分，探索网络安全产业的竞争格局和发展前景。 本次《嘶吼2023网络安全产业图谱》采用了市场调研、数据精析、文献研究及政策参考等多方面综合分析，反映网络安全行业市场规模状况、体现产业化的重点发展的方向、展现各细分领域在整个网络安全行业中的市场占比情况、揭示行业热门细分赛道的市场潜力和发展趋势。 图谱概况： 《嘶吼2023网络安全产业图谱》调研成功收录417家网络安全企业，分为七大类别，共涉及121个细分领域。相比于2022年新增22个细分领域，下面为本次图谱新增与修改部分。 新增分类： 基础技术与通用能力-密码安全：密码测评。 安全服务-安全运营与管理：态势感知、外部攻击面管理（EASM）、网络资产攻击面管理（CAASM）。 安全服务-攻防对抗与演练：威胁情报、入侵检测与防御IPS/DPS、溯源取证、入侵与攻击模拟（BAS）。 开发与应用安全-软件供应链安全：软件管控平台、静态应用程序安全测试（SAST）、动态应用程序安全测试（DAST）、交互式应用安全测试（IAS…

24年3月，工信部发布《关于侵害用户权益行为的APP（SDK）通报（2024年第2批，总第37批）》，对“摇一摇”乱跳转、信息窗口“关不掉”加强管理，工信部自2024年起于通报中强调本类问题，未来或将持续加强管理。为协助各App开发者了解工信部查处标准，特编写本文解读标准相关内容。 一、通报依据 “摇一摇”乱跳转问题查处依据工信部26号文及《T/TAF 078.7-2022 APP用户权益保护测评规范》。 在工信部26号文中提及：“开屏和弹窗信息窗口提供清晰有效的关闭按钮，保证用户可以便捷关闭；不得频繁弹窗干扰用户正常使用，或利用“全屏热力图”、高灵敏度“摇一摇”等易造成误触发的方式诱导用户操作。” 《T/TAF 078.7-2022 APP用户权益保护测评规范》对欺骗误导强迫用户点击跳转的情况细化为了4种情况，并对交互动作数值给出了明确限制，APP 欺骗误导强迫用户点击跳转，具体场景包括但不限于以下方式： 1、APP以欺骗、误导或者强迫等方式向用户提供互联网信息服务或者产品； 2、未以显著方式明示或未经用户主动选择同意，APP 信息窗口页面，存在跳转、使用第三方的行为； 3、APP信息窗口页面，跳转、使用第三方时，存在欺骗误导强迫用户跳转的文字、图片或视频链接； 4、APP信息窗口通过用户“摇一摇”等交互动作触发页面或第三方应用跳转的，未清晰明示用户需要执行的触发动作及交互预期，或通过设置高灵敏度降低交互动作判定阈值，造成误导、强迫式跳转。 注：触发用户跳转的交互动作可参照如设备加速度不小于15m/s2，转动角度不小于35°，操作时间不…

安全研究人员发现了一个专为移动运营商网络设计的新的 Linux 后门，名为 GTPDOOR。GTPDOOR 背后的威胁分子以 GPRS 漫游交换 (GRX) 附近的系统为目标，例如 SGSN、GGSN 和 P-GW，这些系统可以为攻击者提供对电信核心网络的直接访问。 GRX 是移动电信的一个组件，可促进跨不同地理区域和网络的数据漫游服务。服务 GPRS 支持节点 (SGSN)、网关 GPRS 支持节点 (GGSN) 和 P-GW（分组数据网络网关（用于 4G LTE））是移动运营商网络基础设施内的组件，每个组件在移动通信中发挥不同的作用。 由于SGSN、GGSN和P-GW网络更多地暴露在公众面前，IP地址范围列在公开文件中，研究人员认为它们可能是获得移动运营商网络初始访问权限的目标。 安全研究人员解释说 ，GTPDOOR 很可能是属于“LightBasin”威胁组织 (UNC1945) 的工具，该组织因专注于全球多家电信公司的情报收集而臭名昭著。 研究人员发现了 2023 年底上传到 VirusTotal 的两个版本的后门，这两个版本基本上都没有被防病毒引擎检测到。这些二进制文件针对的是非常旧的 Red Hat Linux 版本，表明目标已经过时。 隐秘的 GTPDOOR 操作 GTPDOOR 是一种专为电信网络量身定制的复杂后门恶意软件，利用 GPRS 隧道协议控制平面 (GTP-C) 进行隐蔽命令和控制 (C2) 通信。它用于部署在与 GRX 相邻的基于 Linux 的系统中，负责路由和转发漫游相关的信令和用户平面流量。 使用 G…

一种被称为“RAMBO”（用于进攻的隔离内存总线辐射）的新型侧信道攻击会从设备的 RAM 产生电磁辐射，以从隔离的计算机发送数据。 隔离系统通常用于对安全性要求极高的任务关键型环境，例如政府、武器系统和核电站，这些系统与公共互联网和其他网络隔离，以防止恶意软件感染和数据盗窃。 尽管这些系统没有连接到更广泛的网络，但它们仍然可能受到通过物理介质如USB 驱动器，引入恶意软件感染或发起复杂供应链攻击。 该恶意软件可以秘密操作，以调制隔离系统的 RAM 组件，从而允许将机密从计算机传输到附近的接收者。属于此类攻击的最新方法来自以色列大学的研究人员，由 Mordechai Guri 领导，他是隐蔽攻击渠道方面经验丰富的专家，曾开发出使用网卡 LED、USB 驱动器 RF 信号、SATA 电缆和电源泄漏数据的方法。 RAMBO 攻击如何运作 为了实施 Rambo 攻击，攻击者会在隔离的计算机上植入恶意软件，以收集敏感数据并准备传输。它通过操纵内存访问模式（内存总线上的读/写操作）从设备的 RAM 产生受控的电磁辐射来传输数据。 这些发射本质上是恶意软件在 RAM 内快速切换电信号（开关键控“OOK”）的副产品，该过程不会受到安全产品的主动监控，也无法被标记或停止。 执行 OOK 调制的代码 发射的数据被编码为“1”和“0”，在无线电信号中表示为“开”和“关”。研究人员选择使用曼彻斯特编码来增强错误检测并确保信号同步，从而减少接收端出现错误解释的可能性。 攻击者可能会使用带有天线的相对便宜的软件定义无线电 (SDR) 来拦截调制的电磁辐射并将其转换…

随着数字化时代的蓬勃发展，网络安全产业正迎来一场深刻而迅猛的变革。在过去，我们曾专注于传统的安全防御手段，采取反应式的威胁应对策略。如今，随着威胁的不断演变和技术的飞速进步，网络安全面临着前所未有的挑战和新的需求。这一变革推动我们重新审视网络安全的本质，并着眼于更加智能、预测性和综合性的解决方案。不再局限于单一的防御模式，我们必须迎接更智能化的威胁，同时在数字生态系统中建立起更为全面的保护体系。 2024年3月7日，嘶吼安全产业研究院启动了《2024网络安全产业图谱》调研工作。截止到今天，《2024网络安全产业图谱》调研征集阶段即将结束，望各厂商尽快下载填报《2024网络安全产业图谱调研表》，并于4月7日前发送至指定邮箱。 为适应当前网络安全领域的快速发展，嘶吼安全产业研究院对《网络安全产业图谱》进行更新，以更准确的反映当前网络安全产业链的发展规划与趋势。在各领域新兴技术不断涌现的背景下，我们合理重新分类网络安全产业链，进一步规划网安产业布局，展现产业核心企业能力与竞争力，为政企及其他组织机构提供客观参考。 图谱调整说明： 1、各细分领域精简收录企业数量： 本次图谱调研将参考细分产品营收、营收增长率、客户数量、投入占比、品牌影响力等多个维度，对企业进行全面能力评估，重点收录综合能力较高的企业，为行业用户提供更精准的行业参考指南。 2、热门领域Top10厂商推荐： 在精选出的多个热门领域中，我们将根据调研结果评选出Top10优秀安全厂商，进行单独呈现。 《2024网络安全产业图谱》调研通知： 图谱调研表获取方式：关注嘶吼专业版公众号，回…

探索Cobalt Strike shellcode是由编译后的可执行.exe文件加载情况，这将需要使用调试器(x64dbg)和静态分析(Ghidra)来执行完整的分析。 可执行文件是编译后的exe，包含隐藏和混淆的Shellcode，使用一个简单的异或例程和一个4字节的项对shellcode进行解码，然后将其写入一个用VirtualAlloc创建的简单缓冲区。 本文将探索使用调试器获得解码的shellcode的方法，然后寻找使用Ghidra手动定位shellcode和相关解密密钥的方法，还将研究在X64dbg和Ghidra之间切换的方法，以及使用ChatGPT识别和分析Ghidra输出的方法。 获取样本 点此下载样本(pw:infected)。 SHA256: 99986d438ec146bbb8b5faa63ce47264750a8fdf508a4d4250a8e1e3d58377fd 分析 我们可以先把文件保存到一台分析机上然后用感染的密码解压缩。从这里我们还可以创建一个文件名较短的副本。 由于该文件是已编译的可执行文件，我们可以尝试使用调试器对其进行分析。在本文中为x64dbg。 我们可以继续使用x64dbg打开文件，一直点击直到到达入口点。 现在，我们可以继续在API上创建一些断点，这些断点通常(但并不总是)在恶意软件解包时使用。 我们可以通过运行bp VirtualAlloc和bp VirtualProtect来创建2个断点。 创建断点后，我们可以继续并允许恶意软件继续(F9)。恶意软件将继续运行并触发VirtualAl…

高质量图像对于包括安全和车载摄像系统在内的各种解决方案以及开发和训练用于图像处理任务的机器学习算法至关重要。 然而，物理相机传感器经常会导致照片失真。这些扭曲会显着降低图像质量，甚至使您的解决方案无法处理图像。 在本文中，我们将探讨什么是图像失真以及消除它们的重要性。我们还展示了如何使用 OpenCV 修复图像失真。本文对于致力于具有图像处理功能的 IT 解决方案、想要了解有关修复图像失真的更多信息的企业和开发团队将有所帮助。 什么是图像失真？它们如何影响您的解决方案的性能？ 图像失真通常是图形图像与其现实原型的不成比例、不充分的偏差。例如，现实生活中的直线或平行线可能会出现变形或不自然的弯曲。另一个例子是与照明相关的扭曲，例如当颜色朝图像边界变暗时，类似于渐晕。 并非所有的扭曲都是不利的。例如，您可能希望在使用广角镜头拍摄的图像中保留特定的畸变，以突出显示前景和背景之间的距离。 然而，通常情况下，您需要相机来拍摄精确的图像。对于某些技术来说，获得零失真的图像至关重要。 确保图像无失真对于开发机器学习(ML) 解决方案和训练人工智能(AI) 网络执行图像处理任务极其重要。 训练数据集必须一致（相似的示例必须具有相似的标记）且统一（所有属性的值必须在所有数据中具有可比性）。质量差的数据集会降低人工智能算法训练过程的效率。 在某些情况下，可以故意将扭曲的图像放置在数据集中。例如，您可能想要训练算法来处理由具有不同失真的不同相机拍摄的图像。然而，如果来自不同相机的图像在扭曲的形式和程度方面存在显着差异，那么将此类图像包含在一个数据集中将破坏一…

安全研究人员基于 Microsoft 配置管理器的不当设置，创建了攻击和防御技术的知识库存储库，这将允许攻击者执行有效负载或成为域控制器。 配置管理器 (MCM) 称为系统中心配置管理器（SCCM、ConfigMgr），自 1994 年以来一直存在，并存在于许多 Active Directory 环境中，帮助管理员管理 Windows 网络上的服务器和工作站。 十多年来，它一直是安全研究的对象，作为可以帮助对手获得 Windows 域管理权限的攻击面。 在SO-CON 安全会议上 ，SpectreOps 研究人员宣布发布 Misconfiguration Manager，这是一个基于错误 MCM 配置进行攻击的存储库，还为防御者提供资源以强化其安全立场。 SpectreOps 解释说：“我们的方法不仅限于对已知对手的策略进行分类，还包括渗透测试、红队行动和安全研究领域的贡献。”MCM/SCCM 的设置并不容易，而且许多默认配置都为攻击者留下了可乘之机。 获取域控制 SpectreOps 研究人员指出，研究人员在其工作中看到的最常见且最具破坏性的错误配置是具有过多特权的网络访问帐户 (NAA)。 谈到 MCM/SCCM，研究人员表示，“配置起来非常困难，新手或不知情的管理员可能会选择使用相同的特权帐户来完成所有操作。” 在工作期间，他们遇到了一种场景，该场景从损害标准用户的 SharePoint 帐户到成为域控制器，这一切都是由于 MCM 的 MCM 部署配置错误以及特权过高的 NAA 造成的。 在另一个示例中，研究人员表示配置管理器站点可…

犯罪分子使用生成式AI工具发起商业邮件攻击。 生成式AI用于BEC攻击 随着ChatGPT等人工智能技术的进步，为商业邮件泄露攻击印日新的攻击向量。ChatGPT是一个复杂的人工智能模型，可以根据用户输入生成类似人类的文本。目前也有犯罪分子利用ChatGPT类技术自从生成高度可信的伪造邮件给受害者，增加攻击的成功性。 图 发送BEC的黑客指南 近日，在某犯罪论坛出现了上图所示的讨论帖。其中展示了利用生成式人工智能技术应用于钓鱼攻击或BEC攻击的可行性。帖子建议邮件使用受害者的本地语言、翻译、然后再反馈给ChatGPT这样的接口以增强其复杂性和形式化。该方法表明攻击者即使不熟悉受害者的语言，也可以进行钓鱼或BEC攻击。 图 黑客论坛 黑客论坛还有关于ChatGPT类接口越狱的讨论，即通过精心伪造的输入来操作ChatGPT类应用接口生成泄露敏感信息、不适当内容、有甚至有害的代码的输出。 图 WormGPT 恶意攻击者创建了类似ChatGPT的定制模块，还进行广告展示。人工智能时代恶意活动的复杂性和适应能力不断增加，使得网络安全变得越来越具有挑战性。 WormGPT WormGPT是一款基于GPTJ语言模型的人工智能模块，具备很多的功能，包括无限制字符支持、代码格式能力。 图 WormGPT示例 WormGPT称在不同的数据源上进行了训练，尤其是很多恶意软件相关的数据。而训练过程中使用的数据集仍然是未公开的。 图 WormGPT数据源 研究人员利用WormGPT该工具进行实验，生成了一封欺骗账户管理员支付欺诈账单发票的邮件。 …