蓝队取证审计网络安全

1 前言 2016年前后，勒索攻击的主流威胁形态已经从勒索团伙传播扩散或广泛投放勒索软件收取赎金，逐渐转化为RaaS+定向攻击收取高额赎金的运行模式。RaaS为Ransomware as a Service（勒索即服务）的缩写，是勒索团伙研发运营的勒索攻击基础设施，包括可定制的破坏性勒索软件、窃密组件、勒索话术和收费通道等。各种攻击团伙和个人租用RaaS攻击基础设施，在获得赎金后，与RaaS攻击组织分账结算。在众多勒索攻击组织中，LockBit组织最为活跃，从其公布的数据显示，LockBit的RaaS支撑了上千起的攻击活动，并因一例涉及中资企业海外机构案例被国内外广泛关注。 为有效应对RaaS+定向勒索风险，防御者需要更深入地了解定向勒索攻击的运行机理，才能构建有效的敌情想定，针对性的改善防御和响应能力。因此，择取典型案例，对此类攻击进行深度复盘极为重要。但由于相关涉我案例的分析支撑要素并不成熟，安天CERT在其他近期重大攻击案例中进行了筛选，选择了同样与LockBit组织相关，且可参考信息相对丰富的波音公司遭遇定向勒索攻击事件（以下简称本事件）展开了完整复盘分析。安天CERT长期关注和分析勒索攻击，对LockBit等攻击组织的持续关注，形成了较为系统的分析积累，依托安天赛博超脑平台的情报数据，CISA等机构对本事件公布的相关公开信息展开工作。从攻击过程还原、攻击工具清单梳理、勒索样本机理、攻击致效后的多方反应、损失评估、过程可视化复盘等方面开展了分析工作，并针对事件中暴露的防御侧问题、RaaS+定向勒索的模式进行了解析，并提出了防御和…

安全研究人员追踪的网络犯罪团伙 Revolver Rabbit 已注册了超过 50 万个域名，用于针对 Windows 和 macOS 系统的信息窃取活动。为了进行如此大规模的攻击，威胁者依赖于注册域生成算法 (RDGA)，这是一种允许在瞬间注册多个域名的自动化方法。 RDGA 类似于网络犯罪分子在恶意软件中实施的域名注册算法 (DGA)，用于创建命令和控制 (C2) 通信的潜在目的地列表。 两者之间的一个区别是，DGA 嵌入在恶意软件中，并且只有部分生成的域被注册，而 RDGA 仍保留在威胁行为者手中，并且所有域都已注册。 虽然安全研究人员发现 DGA 并尝试对其进行逆向工程以了解潜在的 C2 域，但 RDGA 是秘密的，找到生成要注册的域的模式变得更加具有挑战性。 Revolver Rabbit 运营着超过 500,000 个域名 专注于 DNS 的安全供应商 Infoblox 的研究人员发现，Revolver Rabbit 一直在使用 RDGA 购买数十万个域名，注册费总计超过 100 万美元。 威胁者正在传播 XLoader 信息窃取恶意软件（Formbook 的后继者），其适用于 Windows 和 macOS 系统的变种用于收集敏感信息或执行恶意文件。 Infoblox 表示，Revolver Rabbit 控制着超过 500,000 个 .BOND 顶级域名，这些域名用于为恶意软件创建诱饵和实时 C2 服务器。 Infoblox 威胁情报副总裁告诉媒体，与 Revolver Rabbit 相关的 .BOND 域名最容易发现，…

篇首语：很多部门都在思考如何使用低技术手段来解决高科技犯罪，反窃密行业同样如此。 嗯，总有些另辟蹊径的思路，比如今天要介绍的是，可以帮小姐姐查针孔偷拍的：ESD K-9 电子存储设备搜检汪汪队~~ 小贴士：K-9这个词源于英文单词Canine，原意指犬科动物，K9其实指的就是警犬或者是军犬，这个词最先流行于美国的警犬部门，现在已被广泛接受~~ 大家在机场见过防爆和缉毒的狗狗吧？ 声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 01 为什么要搜检电子存储设备？ 在现代社会，针对未成年人的互联网犯罪，包括创建和传播未成年人色情制品、儿童性奴、未成年人性侵犯和性虐待的直播等等。近些年，这类犯罪正在以惊人的速度增加。 这些疑犯通常的做法是将其对话信息、图片、视频和其他联系信息都保存在外部存储设备（例如硬盘、U盘、Micro SD卡等）并藏匿，这对执法人员的搜查工作制造了很大难题。 来自美国计算机犯罪部门的警官表示： 在搜查令期间，通常会要求执法人员查找与这些罪行有关的实物证据。这些证据对于识别受害者，并将这些嫌疑人从社区中驱逐及逮捕至关重要。 但当他们依法执行搜查工作时，由于电子存储设备通常很小，容易隐藏，所以虽然搜查工作通常要花费数小时，但总会疏漏些电子物证，甚至有些设备可能永远都找不到。 而每个未发现的设备，都可能是一个或多个身份不明的受害者的血泪证据。 这些被称为数字媒体电子存储设备（DMESD），包括笔记本硬盘、小型U盘、TF卡、SD 卡、Micro SD卡、智能手机以及许多其他存储设备。要知…

声明：以下内容符合OSINT国际开源情报搜集标准，不涉及任何非法行为，仅供交流与参考。 0x01 先聊聊酒店的墙壁 咳咳，行有行规，先说点正经的。 按照国内酒店装修必须遵循的行业标准《旅馆建筑设计规范》JGJ62-2014中规定，旅馆建筑的隔声减噪设计应符合现行国家标准《民用建筑隔声设计规范》GB 50118-2010的规定。 如下图所示，可以看到，墙壁厚度还真是和酒店级别有一定关系的。 不过在装修的行话里，老师傅们一般会更通俗地用“一砖墙”的说法。所谓“一砖墙”，顾名思义就是厚度为一块标准砖的墙，类似地，就有了“半砖、1砖、1砖半、2砖”墙的说法。 说到这儿，顺便调查下，这些年大家住过的酒店，你认为客房墙壁有多厚？ PS：更多关于墙壁厚度的定义，大家可以在评论区里回复“一砖墙”，就能看到。 那么，按照装修标准，是不是说五星级酒店客房就一定安全呢？ 这个嘛，真不好说。 0x02 一般人如何偷听隔壁 经常出差的人应该都有过这样的体验，尤其是苦逼出差的IT工程师们，撰写项目文档或做编程测试不知不觉到半夜，突然被隔壁莫名的声音惊扰。 除此之外，明显对内部会议、私下聊天的偷听会更有意义。于是乎，什么听诊器、杯子等都被人用来做偷听道具。 百度知道上，甚至还有人专门回答了用杯子偷听的心得，也是醉了。 嗯，肯定有老司机觉得这些都太基础了，根本不值一提，也是，接下来说说专业的做法。 0x03 专业隔墙偷听几十年 从原理上讲，专业偷听设备的确类似于听诊器，不过区别是，专业设备加入了电子降噪及放大的能…

伊朗恶意分子正在利用名为 IOCONTROL 的新恶意软件来破坏以色列和美国关键基础设施使用的物联网 (IoT) 设备和 OT/SCADA 系统。 目标设备包括路由器、可编程逻辑控制器 (PLC)、人机界面 (HMI)、IP 摄像头、防火墙和燃料管理系统。该恶意软件的模块化特性使其能够危害不同制造商的各种设备，包括 D-Link、Hikvision、Baicells、Red Lion、Orpak、Phoenix Contact、Teltonika 和 Unitronics。 Claroty 的 Team82 研究人员发现了 IOCONTROL 并对其进行了采样进行分析，他们报告说，这是一种民族国家网络武器，可以对关键基础设施造成严重破坏。 鉴于持续的地缘政治冲突，IOCONTROL 目前用于针对以色列和美国的系统，例如 Orpak 和 Gasboy 燃料管理系统。据报道，该工具与一个名为 CyberAv3ngers 的伊朗黑客组织有关，该组织过去曾对攻击工业系统表现出兴趣。 OpenAI 最近还报告称，该威胁组织使用 ChatGPT 来破解 PLC、开发自定义 bash 和 Python 漏洞利用脚本，并计划入侵。 IOCONTROL 攻击 Claroty 从 Gasboy 燃油控制系统中提取了恶意软件样本，特别是该设备的支付终端 (OrPT)，但研究人员并不确切知道黑客是如何用 IOCONTROL 感染它的。 在这些设备内部，IOCONTROL 可以控制泵、支付终端和其他外围系统，从而可能导致中断或数据被盗。 威胁者在 Telegram…

开放式无线接入网 (ORAN or O-RAN) 是搭建一个开放、虚拟化和智能的无线接入网 (RAN) 体系结构，从而创造一个包含多家厂商、各家厂商的产品之间可以互操的生态系统。开放无线接入网(ORAN)体系结构为以前封闭的系统提供了标准化的接口和协议。然而，通过对ORAN的研究表明，恶意xApps构成的潜在威胁能够危及整个Ran智能控制器(RIC)子系统。Open RAN为5G无线接入网(RAN)引入了模块化和解耦的设计范式，并承诺通过O-RAN定义的RAN智能控制器(RIC, RAN Intelligent Controller)实现完全的可编程性。 开放式无线电接入网架构通过建立标准接口和协议提供了对先前封闭的无线电接入网系统的接入。预计不同的供应商将在O-RAN中创建eXtended应用程序（xApps），由运营商安装，这使得xApps成为恶意攻击者的潜在攻击向量，目的是在关键通信节点中站稳脚跟。 本文将会介绍恶意xApp如何危害整个RAN智能控制器（RIC）子系统。 5G网络 下图为5G蜂窝网络的总体架构。通过对分组核心的一些修改，拓扑结构也可以扩展以适应前几代网络（如3G和4G）。在下图的左侧是用户： 5G网络的端到端架构 基站（如图2所示）由以下组件组成： 1.发射和接收无线电信号的天线。 2.一种远程无线电头（RRH），它容纳射频（RF）收发器，负责将数字信号转换为无线电信号，反之亦然。 3.一种基带单元（BBU），用于处理数字数据处理，包括调制、编码和解码以及更高层协议。BBU可以管理多个RRH和天线。 典型RAN架…

1 概述 近日，安天CERT通过网络安全监测发现利用“黑神话悟空修改器”传播恶意代码的活动，攻击者将自身的恶意代码程序与《黑神话：悟空》第三方修改器“风灵月影”捆绑在一起，再通过在社媒发布视频等方式引流，诱导玩家下载。玩家一旦下载了带有恶意代码的修改器版本，在运行修改器的同时，也将在后台自动运行恶意代码，导致计算机被控制，产生隐私泄露、经济损失等风险。 《黑神话：悟空》作为国产首款3A游戏大作，千万玩家在线狂欢，尽享盛宴。但玩家尽情在痛殴游戏中的BOSS（或被BOSS痛殴）的时候，也要小心网络中的妖魔鬼怪、恶意代码。祝玩家在游戏中都成为齐天大圣，在上网时也擦亮火眼金睛，穿上金甲战衣。 经验证，安天智甲终端防御系统（简称IEP）可实现对捆绑的恶意代码的有效查杀。 2 样本传播渠道 1.利用视频图文引流，携带恶意钓鱼网址 攻击者在视频网站、博客等平台发布视频、图文等格式钓鱼内容，并在其中附带捆绑木马的游戏修改器下载链接，诱导用户下载并执行恶意程序。 图 2‑1通过视频网站引流钓鱼网址 图 2‑2通过发帖引流钓鱼网址 2.警惕利用闲鱼、淘宝等购物平台传播捆绑木马 《黑神话：悟空》的大量“修改器”上架闲鱼、淘宝平台，售价在1~10元左右，这些修改器很多都标注称是“风灵月影”，但实际上，该修改器均为完全免费软件，在风灵月影的网站上就可免费下载。攻击者可能会将携带恶意代码的《黑神话：悟空》修改器挂到购物网站上引流，请广大用户谨慎购买。 图 2‑3 闲鱼、淘宝平台售卖大量修改器 3 样本分析 3.1样本标签 表 3‑1二进制可执行文件 病毒名称 …

作为我国工业和信息化领域的主管部门，工业和信息化部一直致力于推动数据安全的发展建设，维护国家信息安全。日前，工信部积极响应政策号召，组织开展2023年工业和信息化领域数据安全典型案例遴选工作，旨在通过本次遴选工作的开展，总结和推广行业内最佳实践，发挥优秀案例示范引领作用，进一步提升我国在数据安全领域的国家竞争力。 本次遴选工作面向工业领域、电信和互联网领域组织开展数据安全典型案例遴选，按照技术先进、特点突出的原则，挖掘行业广泛认可、企业应用效果良好的案例，树立行业标杆、扩大产业影响，促进数据安全产品、应用和服务的示范推广，全面推动数据安全能力建设和创新发展。坚持“以点带面、点面结合”原则，将案例划分为“工业领域”“电信和互联网领域”进行征集，每个领域遴选“四方向、十类型”数据安全典型案例。四个方向具体包括：数据安全基础共性方向、数据安全监测分析方向、数据安全体系整体设计实施方向以及其他方向。 以下为通知原文： 各省、自治区、直辖市、计划单列市及新疆生产建设兵团工业和信息化主管部门，各省、自治区、直辖市通信管理局，有关中央企业，部内相关司局： 为贯彻落实《中华人民共和国数据安全法》及《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》，充分发挥典型案例在数据安全产业发展中的示范引领作用，切实增强工业和信息化领域数据安全保障水平，现组织开展2023年工业和信息化领域数据安全典型案例遴选工作。有关事项通知如下： 一、工作目标 面向工业领域、电信和互联网领域组织开展数据安全典型案例遴选，按照技术先进、特点突出的原则，挖掘行业广泛认可、…

针对中东地区电信服务提供商的网络攻击是利用名为 HTTPSnoop 和 PipeSnoop 的新型恶意软件实施的，这些恶意软件允许网络犯罪分子远程控制这些感染了这种恶意软件的设备。 他们还发现了 HTTPSnoop 的配套植入程序PipeSnoop，它能够从命名管道中接受 shellcode，并通过将其发送到打开的套接字并在受感染的终端上进行执行。这些发现也证实，这两个被植入的程序属于一个名为"ShroudedSnooper"的黑客群组，Cisco Talos 认为它们极有可能属于新的入侵组织。 根据 Cisco Talos 的报告，这两个植入程序属于同一组名为 "ShroudedSnooper "的入侵程序，但在技术上是针对不同的操作目标进行的渗透。后门 HTTPSnoop是一种简单而有效的后门，它通过使用一种新颖的技术在 Windows 操作系统中进行编译，与 HTTP 内核驱动程序以及设备进行连接，监听传入的 HTTP(S) 请求，并在受感染的机器上执行恶意的命令。 Cisco Talos 在与 The Hacker News 分享的一份报告中指出，HTTPSnoop 是一种简单而有效的后门程序。值得注意的是，一个代号为 PipeSnoop 的姊妹植入程序也是威胁行为者武器库的一部分，因为该植入程序能够从命名管道中接受任意 shellcode 并在受感染的机器上进行执行。 据说，攻击者为了在目标环境中站稳脚跟，ShroudedSnooper 会首先攻击公网的服务器，并首先使用HTTPSnoop 进行攻击。这两种恶意软件都冒充了 Pa…

0x01 非法监视直接切入主题，那些试图继续干扰女孩子生活的前男盆友们，往往都会采用非法监视，一般有以下几种可能： 一，针孔偷拍窃听。在对方家中或者曾经的合租房里安装针孔摄像头、窃听器材，偷拍女孩子的生活起居，暗地了解新交往的对象等等，这样的事情在日本和台湾地区的新闻报道里屡见不鲜，但国内一般很少报道此类事件。 下图是台湾《苹果日报》的新闻报道截图，讲述的就是一位28岁女性遭到40岁前男友部署在屋里器材的偷拍和窃听。 二，相机偷拍。这一项常常和尾行跟踪在一起，一般远距离会使用到专业相机+专业镜头，近距离则是用微单或者手机实现。主要目的还是在于跟踪女孩子的生活状况、有没有新的约会对象或者喜欢的人等等。当然，对于狗仔队而言，其有着完全不同的特殊意义。 三，非法定位。跟踪女孩子的出行状况，比如出差到哪个城市、订哪个酒店、和谁一起游玩等等。有些通过在女孩子背包或者车辆上安装跟踪器实现，有些则需要借用到专业的基站定位技术和地下信息数据支持。 防范建议： （注意：以下建议仅适用于关系僵硬、出现崩离趋势的时期） 0x02 尾行跟踪虽然感觉比较Low，但实际上尾行始终都是一种非常有效的监控手段。不过大多数尾行跟踪行为都建立在一个基础上，就是“对你平时工作生活的了解”。 虽然不至于为了一个前男友就去辞掉工作，但是无论是为了确保自己安全，还是为了新的开始做铺垫，改变下以往的生活作息习惯，显然是恰当的。 先说明，以下建议并不适用于专业跟踪偷拍人士/团队，若是遇到下图这样情况，那就需要专业对专业，需要委托个人隐私安全保护服务（一般不到这个程度，某些打羽…

在当今快节奏的商业环境中，员工越来越多地求助于未经授权的 IT 解决方案来简化工作并提高生产力。这些系统、设备、软件和服务被称为“影子 IT”，它们通常在企业 IT 部门的管辖范围之外运行。 尽管影子 IT 通常是出于提高办公效率而采用的，但它可能会带来重大的安全风险、合规性问题和隐性成本。本文探讨了影子 IT 的普遍性、它带来的风险，并讨论了管理影子 IT 的策略，包括能够持续发现未知 IT 资产的解决方案。 影子 IT 示例和成本 影子 IT 的兴起可以归因于多种因素，其驱动因素包括对效率的需求以及对僵化的 IT 流程的不满。员工经常求助于未经授权的解决方案，例如未经批准的协作工具等来克服这些障碍。这种趋势在远程团队中尤为普遍，因为有效的沟通对于远程团队至关重要。 另一个因素是云服务的广泛普及。有了易于使用的应用程序，员工无需通过官方 IT 渠道即可轻松实施工具。 影子 IT 有多种形式，包括使用个人设备工作、采用未经授权的云服务进行文件共享和协作、使用未经批准的生产力应用程序和通信工具、以及在 IT 部门不知情的情况下部署软件。 然而，影子 IT 的盛行给企业带来了巨大的安全和财务风险。研究结果凸显了问题的严重性： ·卡巴斯基发现，85% 的企业面临网络事件，其中 11% 直接与影子 IT 有关。 ·CIO Insight 发现，81% 的业务线员工和 83% 的 IT 员工使用未经批准的 SaaS 应用程序。 ·Mobile Mentor 透露，三分之一的员工绕过公司安全政策来完成他们的任务。 ·Gartner 估计，大型企业的影…

TrickMo Android 银行木马的 40 个新变种已在野外被发现，与 16 个植入程序和 22 个不同的命令和控制 (C2) 基础设施相关，具有旨在窃取 Android PIN 的新功能。 Zimperium 是在 Cleafy 之前发布的一份报告调查了当前流通的一些（但不是所有）变种之后报告了这一情况。 TrickMo 于 2020 年首次由 IBM X-Force 记录，但据悉其至少从 2019 年 9 月起就被用于针对 Android 用户的攻击。 假锁屏窃取 Android PIN TrickMo 新版本的主要功能包括一次性密码 (OTP) 拦截、屏幕录制、数据泄露、远程控制等。该恶意软件试图滥用强大的辅助服务权限来授予自己额外的权限，并根据需要自动点击提示。 作为一种银行木马，它为用户提供各种银行和金融机构的网络钓鱼登录屏幕覆盖，以窃取他们的帐户凭据并使攻击者能够执行未经授权的交易。 攻击中使用的银行覆盖层 Zimperium 分析师在剖析这些新变体时还报告了一个新的欺骗性解锁屏幕，模仿真正的 Android 解锁提示，旨在窃取用户的解锁图案或 PIN。 欺骗性用户界面是托管在外部网站上的 HTML 页面，并在设备上以全屏模式显示，使其看起来像合法屏幕。 当用户输入解锁图案或 PIN 码时，页面会将捕获的 PIN 码或图案详细信息以及唯一的设备标识符（Android ID）传输到 PHP 脚本。 TrickMo 显示的假 Android 锁屏 窃取 PIN 允许攻击者通常在深夜在设备未受到主动监控时解锁设备，…

二进制代码利用是发现和利用计算机程序中的漏洞以修改或干扰其预期行为的一种方法。这些漏洞可能导致身份验证绕过和信息泄漏，或者还可能导致远程代码执行情形。很大一部分二进制代码利用发生在堆栈（stack）上，有时候发生在堆（heap）上，甚至发生在内核空间上。堆栈是存储由函数创建的临时变量的内存区域。相比之下，堆则是可以动态分配的内存区域。 下面介绍的所有技术都依赖用户输入和程序的潜在崩溃或分段错误——缓冲区溢出。当进程试图用超出预期的过多数据填充一块内存区域时，就会出现这种损坏。有鉴于此，就有可能覆盖内存，并控制下一个指令点/函数。 接下来，我们将描述堆栈利用过程中一些最常用的技术。 ret2win 我们可以将ret2win技术理解为对二进制代码中存在的特定调用«win() function»的简单重定向。实现这一目标的主要步骤如下： • 找到目标函数/调用，以重定向执行流«win() function»。 • 通过覆盖堆栈上的返回地址（比如EIP）来调用它。 下一段代码介绍如何找到这类漏洞。在添加填充和对齐载荷之后，必须添加目标调用«win() function - 0x080491c3»的偏移量，最后执行它。本文使用了用于二进制利用的CTF框架Pwntools（https://github.com/Gallopsled/pwntools），为学习过程提供便利。 from pwn import * p = process('./vuln_program') payload = b'A' * 52 …

漏洞概述 漏洞类型 越界写入/远程命令执行 漏洞等级 高危 漏洞编号 CVE-2024-21762 漏洞评分 9.3 利用复杂度 低 影响版本 FortiOS & FortiProxy 利用方式 远程 POC/EXP 已公开 Fortinet FortiOS是美国飞塔（Fortinet）公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。在SSL VPN组件中存在越界写入漏洞，可能导致未经身份验证的远程威胁者通过特制HTTP请求执行任意命令或代码。 具体影响版本： FortiOS 7.4.0 - 7.4.2，7.2.0 - 7.2.6，7.0.0 - 7.0.13，6.4.0 - 6.4.14，6.2.0 - 6.2.15，6.0.0 - 6.0.17FortiProxy 7.4.0 - 7.4.2，7.2.0 - 7.2.8，7.0.0 - 7.0.14，2.0.0 - 2.0.13，1.2-1.0漏洞复现 daydaypoc漏洞平台于2024年3月12日已收录该漏洞。 以下链接可查看详情： https://www.ddpoc.com/DVB-2024-6401.html 解决方案 官方已修复该漏洞，受影响用户可升级到以下安全版本： FortiOS 7.4版升级至>=7.4.3 FortiOS 7.2版本升级至>=7.2.7 FortiOS 7.0版本升级至>= 7.0.14 FortiOS…

新颖创新技术的兴起和迅速采用已极大地改变了各行各业的全球网络安全和合规格局，比如生成式人工智能、无代码应用程序、自动化和物联网等新技术。 网络犯罪分子正转而采用新的技术、工具和软件来发动攻击，并造成更大的破坏。因此，《2023年网络安全风险投资网络犯罪报告》预测，与网络犯罪相关的危害成本将迅速增加——预计到2024年底，全球损失将达到10.5万亿美元。该报告将数据泄露、资金被盗、知识产权盗窃、运营中断和攻击后恢复等方面的成本列为组织在这种趋势下面临的主要支出。 另一方面，谷歌的《2024年云网络安全预测》报告强调，未来一年，人工智能日益被用于扩大恶意活动的规模，政府撑腰的网络犯罪团伙、零日漏洞和现代网络钓鱼将是三种主要的攻击途径。 为了保持领先一步，IT和安全领导者应该致力于分层安全解决方案和零信任，以保护公司的数据远离勒索软件和网络钓鱼等主要的网络安全威胁。 1. 勒索软件 勒索软件指破坏关键业务系统和资产，企图对其进行加密并勒索赎金，在2024年将继续困扰所有行业的组织。新老网络犯罪团伙将利用勒索软件即服务，因此比以往任何时候更容易发动复杂的攻击。他们还将采用层出不穷的勒索手法，比如双重和三重勒索，通过威胁泄露数据向受害者施压。 2023年11月ALPHV/BlackCat勒索软件组织对MeridianLink的勒索软件攻击证明，勒索软件团伙还愿意利用法规做文章。在这次攻击中，BlackCat报告了自己的罪行，利用美国证券交易委员会（SEC）的新法规向MeridianLink施压。 医疗保健、政府和关键基础设施将尤其成为勒索软件的攻击…

一项新的恶意软件活动正在向全球传播一种之前未曾记录的后门“Voldemort”，主要冒充美国、欧洲和亚洲的税务机构。根据 Proofpoint 的报告，该活动于 2024 年 8 月 5 日开始，已向 70 多个目标组织传播了 20,000 多封电子邮件，在其活动高峰期一天内就达到了 6,000 封。 超过一半的目标组织属于保险、航空航天、交通运输和教育行业。此次攻击活动的幕后威胁者尚不清楚，但 Proofpoint 认为最有可能的目的是进行网络间谍活动。 此次攻击与 Proofpoint 在本月初描述的攻击类似，但最后阶段涉及了不同的恶意软件。 冒充税务机关 Proofpoint 的最新报告称，攻击者正在根据公开信息制作网络钓鱼电子邮件以匹配目标组织的位置。 网络钓鱼电子邮件冒充该组织所在国家的税务机关，声称有更新的税务信息并包含相关文件的链接。 攻击活动中使用的恶意电子邮件样本 点击该链接会将收件人带到托管在 InfinityFree 上的登录页面，该页面使用 Google AMP Cache URL 将受害者重定向到带有“单击查看文档”按钮的页面。 单击按钮后，页面将检查浏览器的用户代理，如果适用于 Windows，则将目标重定向到指向 TryCloudflare 隧道 URI 的 search-ms URI（Windows 搜索协议）。非 Windows 用户将被重定向到一个空的 Google Drive URL，该 URL 不提供任何恶意内容。 如果受害者与 search-ms 文件交互，Windows 资源管理器就会被触发…

继谷歌、微软后，GitHub发布passkey测试预览版，支持无密码登录。 7月12日，GitHub宣布在其最新的公开预览版中引入了无密码认证功能，用户可以自主从安全密钥升级到passkey。 Passkeys是与计算机、智能手机等相关的个人设备，在减小数据泄露风险、应对钓鱼攻击、防止密码被窃等方面起着重要作用。用户使用passkey后无需使用密码和双因子认证。用户也可以使用个人可识别信息、生物认证方法等登陆应用和在线平台，如人脸识别、指纹等。通过无密码登录用户无需对每个APP和网站管理不同的密码，改善用户体验和提高安全性。 要激活账户的passkey，需要点击GitHub页面的个人信息。打开'Feature Preview'菜单，点击启用'Enable passkeys'选项。下次再使用安全密钥登录时，GitHub就会询问用户是否要升级到passkey。因为passkey是一种隐私保护的特征，在升级过程中可能会需要多次触发passkey，以确保升级了正确的凭证信息。 过去几年，GitHub通过双因子认证、登录警告、拦截被黑的密码使用、添加WebAuthn支持等方式加强账户安全。今年3月13日，GitHub就对所有应用开发者强制使用双因子认证。此次passkey的升级将为用户提供更加灵活、可靠、安全的认证方式。 在passkey的使用方面，谷歌在今年5月对所有谷歌账户支持passkey，允许用户在无需输入密码或第二步验证的情况下登入账户。6月，微软在Windows 11中也支持passkey，在Windows hello中添加了内置的p…

1 事件概述 当地时间2024年9月17日下午，黎巴嫩首都贝鲁特以及黎巴嫩东南部和东北部多地发生大量寻呼机（BP机）爆炸事件。黎巴嫩真主党第一时间在其Telegram频道上发布消息称，爆炸发生在当地时间下午3时30分左右，影响了真主党各机构的“工作人员”，有“大量”人受伤。截至18日16时，以色列时报援引黎巴嫩公共卫生部门数据称，爆炸造成11人死亡，约4000人受伤，其中约500人双目失明。 基于本事件最初被多方报道为网络攻击触发的事件，为梳理实际情况，安天组成了由安天CERT、战略情报中心、无线安全技术研发组的混合分析团队进行如下分析。经综合研判，我们初步分析认为这是一起基于供应链（含配送物流）侧，将爆炸物和通讯设备相结合，利用远程信号激活控制电路，实现批量触发爆炸的严重事件。整体研判分析过程如下： 2 事件影响范围 根据媒体和网络信息，爆炸主要发生在黎巴嫩真主党势力强大的地区，特别是贝鲁特南部郊区和贝卡地区，导致此次爆炸事件发生的原因是使用特定品牌型号的寻呼机，根据目前采集信息来看包括了Gold Apollo Pager AP-900 GP和AR-924等型号，上述型号为中国台湾地区金阿波罗公司品牌的寻呼机。但也有未充分验证的消息说爆炸寻呼机也包括Motorola LX2、Teletrim等品牌。此次发生爆炸的通讯设备是在手机普及时代已被绝大多数人所弃用的寻呼机。但由于寻呼机有作为纯信号接受设备，不发射信号，难以被定位的优势。因此在地缘安全形势复杂的黎巴嫩，被黎巴嫩真主党成员以及黎政府重要岗位人员大量使用。网络信源称，真主党向金阿波罗…

黑客瞄准 Oracle WebLogic 服务器，用一种名为“Hadooken”的新 Linux 恶意软件感染它们，该恶意软件会启动一个加密矿工和一个分布式拒绝服务 (DDoS) 攻击工具。 获得的访问权限还可能用于对 Windows 系统执行勒索软件攻击。容器安全解决方案公司 Aqua Security 的研究人员在蜜罐上观察到了这种攻击，威胁者由于凭证薄弱而攻破了蜜罐。 Oracle WebLogic Server 是一款企业级 Java EE 应用服务器，用于构建、部署和管理大规模分布式应用程序。该产品常用于银行和金融服务、电子商务、电信、政府组织和公共服务。 攻击者之所以将 WebLogic 视为目标，是因为它在业务关键型环境中非常受欢迎，这些环境通常拥有丰富的处理资源，是加密货币挖矿和 DDoS 攻击的理想选择。 Hadooken 猛烈攻击 一旦攻击者破坏环境并获得足够的权限，他们就会下载名为“c”的 shell 脚本和名为“y”的 Python 脚本。 研究人员表示，这两个脚本都会释放 Hadooken，但 shell 代码还会尝试在各个目录中查找 SSH 数据，并利用这些信息攻击已知服务器。此外，“c”还会在网络上横向移动以分发 Hadooken。 在已知主机上搜索 SSH 密钥 反过来，Hadooken 会投放并执行加密货币挖矿程序和 Tsunami 恶意软件，然后设置多个 cron 作业，这些作业的名称和有效负载执行频率都是随机的。 Tsunami 是一种 Linux DDoS 僵尸网络恶意软件，它通过对弱密码进行暴…

每年都会有大量的公司发生重大数据泄露事件，例如2022年Medibank和Optus的数据泄露、Twitter的数据泄露、Uber和Rockstar的数据泄露以及2023年T-Mobile、MailChimp和OpenAI的数据泄露。在2022年，卡巴斯基实验室列出了全球700家来自不同行业的公司，然后在暗网上搜索，试图分析这些公司遭受攻击的可能性有多大？ 研究发现，暗网里的帖子都是关于出售受攻击帐户、内部数据库和文档，以及访问公司基础设施。虽然暗网确实促进了各种数据类型的销售，例如，银行卡信息、驾驶执照和身份证照片等，但本文重点还是放在了与企业特别相关的信息上。研究发现700家公司中有223家在暗网上被提及，泄露数据的主题也不同。 各行业分布 这意味着三分之一的公司在与销售数据或访问相关的暗网帖子中被引用，即使是网络安全成熟度高的公司也避免不了被黑客攻击。 本文提供了一个统计概述，包括所有暗网帖子，涉及2022年1月至2023年11月期间出售、购买或免费传播受攻击帐户的数据。 数据泄露 数据泄露会暴露机密、敏感信息，并可能导致重大问题。最常见的例子是数据库和内部文档，因为所有有一定规模的公司都使用机密数据，泄露会影响公司本身、员工和客户。 暗网上每月大约有1700个新的帖子出现，涉及销售、传播或购买泄露数据。 2022年1月至2023年11月与数据库出售/购买相关的消息数量 应该注意的是，并不是每条消息都代表一条最新出现的泄漏，其中有些是重复的广告相同泄漏。 一个组合报价的示例 另一种流行的泄露类型是收集公共数据的数据库，如姓名…

安全研究人员最新发现一起针对 Linux 主机上的 Redis 服务器的安全活动——威胁组织正使用名为“Migo”的恶意软件来挖掘加密货币。 Redis（远程字典服务器）是一种内存数据结构存储，用作数据库、缓存和消息代理，以其高性能而闻名，每秒为游戏、技术、金融服务等行业的实时应用程序提供数千个请求。 威胁组织通常利用暴露的和可能易受攻击的 Redis 服务器来劫持资源、窃取数据和实施其他恶意目的。 新的恶意软件的不同之处在于使用系统削弱命令来关闭 Redis 安全功能，从而允许加密劫持活动较长时间持续。 Migo 活动由云取证提供商 Cado Security的分析师所发现，他们在蜜罐中观察到攻击者使用 CLI 命令关闭保护配置并利用服务器。 关闭 Redis 防护罩 在暴露的 Redis 服务器受到攻击后，攻击者会禁用关键的安全功能，以允许接收后续命令并使副本可写。 Cado 表示，他们注意到攻击者通过 Redis CLI 禁用了以下配置选项： ·set protected-mode：禁用此选项将允许外部访问 Redis 服务器，从而使攻击者更容易远程执行恶意命令。 ·replica-read-only：关闭此功能使攻击者能够直接写入副本并在分布式 Redis 设置中传播恶意负载或数据修改。 ·aof-rewrite-incremental-fsync：禁用它可能会导致在仅追加文件 (AOF) 重写期间产生更重的 IO 负载，来帮助攻击者不被检测到。 ·rdb-save-incremental-fsync：关闭它可能会导致 RDB 快…

1.概述 2024年2月12日，美国网络安全公司SentinelOne在其官网上发布题为“China’s Cyber Revenge/Why the PRC Fails to Back Its Claims of Western Espionage”的报告[1]，（以下简称“SentinelOne报告”），对“中国三家知名网络安全企业360、奇安信、安天及中国网络安全产业联盟（CCIA）”等机构揭露美方情报机构网络攻击的相关报告进行解读。我们先直接概括其报告中的观点和关键逻辑。 SentinelOne报告对我们公开的分析报告基于时间线进行了梳理，并引述一些美方人士观点，设定了如下观点： 1、中方报告是对国际其他机构对美方分析的跟进，存在长期滞后； 2、中方分析工作严重依赖美方自身的信息泄露； 3、中方报告没有“PCAP包”级别的技术实证。 SentinelOne报告的逻辑并不是应答全球网络安全业界和研究者过去二十年来对美方情报机构攻击活动和能力的持续分析曝光，包括在美方多次信息泄露中所暴露出来的触目惊心的真相，而是试图把国际关注度转移到中国网络安全工作者的技术能力和水平是否能够支撑其持续独立发现、分析、研究、溯源美方的攻击上，并将实证的概念窄化为一种具体的技术格式。美西方此前长时间习惯性地从宏观层面夸大中国网络安全能力，以便为其情报机构和军工复合体争取巨额的网络安全预算，而此时，突然又在微观层面开启一波认为中国分析溯源能力很差的“嘲讽”流，并宣判：作为被霸凌者，你们反抗无效！ 对SentinelOne报告所提及的中国安全企业的分析报告，有…

GitHub 默认为所有公共存储库启用推送保护，以防止推送新代码时意外泄露访问令牌和 API 密钥等机密。这是一种自动防止敏感信息泄露的简单方法。该功能于 2023 年 5 月普遍适用于所有公共存储库。 推送保护通过在接受“git推送”操作之前扫描机密，并在检测到机密时阻止提交来主动防止泄漏。 GitHub 表示，秘密扫描功能通过发现来自 180 多个服务提供商的 200 多种令牌类型和模式（API 密钥、私钥、秘密密钥、身份验证令牌、访问令牌、管理证书、凭证等），自动防止秘密泄露。 “我们开始为所有用户推出推送保护。这意味着，当在公共存储库的任何推送中检测到受支持的机密时，您可以选择从提交中删除该机密，或者绕过封锁。” 即使所有公共存储库默认启用推送保护，GitHub 用户也可以绕过自动提交阻止。虽然不推荐，但他们可以在安全设置中完全停用推送保护。 推送保护的实际应用 使用 GitHub Advanced Security，它可以保护私有存储库中的敏感信息，还添加了一套其他秘密扫描功能，以及代码扫描、人工智能驱动的代码建议和其他静态应用程序安全 (SAST) 功能。 Tooley 和 Claessens 表示：“API 密钥、令牌和其他机密的意外泄露可能会带来安全漏洞、声誉受损和法律责任，其规模之大令人咂舌。” 仅在 2024 年年初，GitHub 就在公共存储库上检测到了超过 100 万个泄露的机密。也就是说，每分钟就有十几起意外泄露。凭证和秘密泄露也因此导致了多起影响深远的数据泄露事件。

ChatGPT遭遇DDoS攻击 2023年11月8日，OpenAI声称，正在解决针对其API和ChatGPT服务的DDoS攻击，引发的服务中断问题。OpenAI 经过调查发现，其服务中断是由于异常流量所引发，即DDoS攻击。此外，11月6日以来ChatGPT已遭遇多次服务中断。 图 ChatGPT服务中断 DDoS攻击与Anonymous Sudan有关 OpenAI尚未确定DDoS攻击的发起者，但知名黑客组织Anonymous Sudan于11月8日承认是其发起了DDoS攻击。Anonymous Sudan 还承认在攻击中使用了SkyNet僵尸网络。 10月，SkyNet开始提供更强的攻击服务，并支持应用层攻击或Layer 7 DDoS攻击。在Layer 7 DDoS攻击中，攻击者通过发起大量的请求来淹没服务，使得服务无法处理正常的请求。与消耗带宽的反射性DNS放大网络层攻击相比，这种攻击可以消耗目标服务器和网络的资源，且更加高效。6月，Anonymous Sudan还使用Layer 7 DDoS攻击攻击了微软的Outlook.com、OneDrive和Azure Portal。

0x01 前言 基于netty动态创建pipeline的特性，其内存马的构造思路与tomcat有一定的区别，目前网上有关netty内存马的文章都围绕CVE-2022-22947和XXL-JOB两种场景展开，并未对其做更为详细的分析。本文就以上述两种场景为始，尝试从源码角度探究netty内存马的部分细节，以供大家参考。 0x02 Netty介绍 I/O事件：分为出站和入站两种事件，不同的事件会触发不同种类的handler。 Handler (ChannelHandler)：handler用于处理I/O事件，继承如下几种接口，并重写channelRead方法完成请求的处理，功能类似于filter。 ChannelInboundHandlerAdapter 入站I/O事件触发该 handlerChannelOutboundHandlerAdapter 出站I/O事件触发该 handlerChannelDuplexHandler 入站和出站事件均会触发该handlerChannel (SocketChannel)：可以理解为对 Socket 的封装, 提供了 Socket 状态、读写等操作，每当 Netty 建立了一个连接后，都会创建一个对应的 Channel 实例，同时还会初始化和 Channel 所对应的 pipeline。 Pipeline (ChannelPipeline)：由多个handler所构成的双向链表，并提供如addFirst、addLast等方法添加handler。需要注意的是，每次有新请求入站时，都会创建一个与之对应的cha…