蓝队取证审计网络安全

失效的访问控制这个漏洞类别一直跻身OWASP Top Web应用程序安全风险列表，目前已对应用程序安全构成了严重的挑战。 访问控制漏洞让用户可以访问敏感数据，并使他们能够执行超出预期权限的操作，此类漏洞的后果可能导致数据泄露、篡改甚至销毁。 本文将讨论为什么即使在漏洞扫描和评估之后失效的访问控制漏洞仍然常常存在，以及手动渗透测试对于有效检测和缓解的重要性。 什么是访问控制？ 访问控制如同一种授权检查，确保对资源的访问和执行操作的能力授予了某些用户（如管理员），而不是其他用户（如普通用户）。这种检查主要在身份验证过程之后执行。 在Web应用程序安全中，访问控制与内容、功能的预期用途以及用户扮演的各种角色密切相关。比如说，这可能包括阻止低权限用户执行管理员功能、阻止用户访问另一用户的资源，或者基于上下文因素授予或拒绝对资源或功能的访问。 在处理包含大量用户角色和功能的大型复杂应用程序时，正确实施访问控制很快会变得困难重重。 什么是失效的访问控制？ 失效的访问控制顾名思义是访问控制没有按预期工作，这实际上与我们上面提到的恰好相反，后面附有一些详细的例子。 不安全的直接对象引用（IDOR） 以允许普通用户查看和编辑帐户信息的应用程序为例。每个帐户被分配了一个用户ID，编辑请求被发送后，应用程序根据请求中所含的ID确定要更新哪个帐户。在这种场景下，攻击者可以通过将用户ID改为受害者的ID来操纵旨在更新帐户的出站请求。 如果没有实施适当的访问控制，受害者的帐户将收到编辑——这是直接影响完整性的IDOR漏洞。假设攻击者更改了受害者的电子邮件地址，随后提…

GitHub 默认为所有公共存储库启用推送保护，以防止推送新代码时意外泄露访问令牌和 API 密钥等机密。这是一种自动防止敏感信息泄露的简单方法。该功能于 2023 年 5 月普遍适用于所有公共存储库。 推送保护通过在接受“git推送”操作之前扫描机密，并在检测到机密时阻止提交来主动防止泄漏。 GitHub 表示，秘密扫描功能通过发现来自 180 多个服务提供商的 200 多种令牌类型和模式（API 密钥、私钥、秘密密钥、身份验证令牌、访问令牌、管理证书、凭证等），自动防止秘密泄露。 “我们开始为所有用户推出推送保护。这意味着，当在公共存储库的任何推送中检测到受支持的机密时，您可以选择从提交中删除该机密，或者绕过封锁。” 即使所有公共存储库默认启用推送保护，GitHub 用户也可以绕过自动提交阻止。虽然不推荐，但他们可以在安全设置中完全停用推送保护。 推送保护的实际应用 使用 GitHub Advanced Security，它可以保护私有存储库中的敏感信息，还添加了一套其他秘密扫描功能，以及代码扫描、人工智能驱动的代码建议和其他静态应用程序安全 (SAST) 功能。 Tooley 和 Claessens 表示：“API 密钥、令牌和其他机密的意外泄露可能会带来安全漏洞、声誉受损和法律责任，其规模之大令人咂舌。” 仅在 2024 年年初，GitHub 就在公共存储库上检测到了超过 100 万个泄露的机密。也就是说，每分钟就有十几起意外泄露。凭证和秘密泄露也因此导致了多起影响深远的数据泄露事件。

ChatGPT遭遇DDoS攻击 2023年11月8日，OpenAI声称，正在解决针对其API和ChatGPT服务的DDoS攻击，引发的服务中断问题。OpenAI 经过调查发现，其服务中断是由于异常流量所引发，即DDoS攻击。此外，11月6日以来ChatGPT已遭遇多次服务中断。 图 ChatGPT服务中断 DDoS攻击与Anonymous Sudan有关 OpenAI尚未确定DDoS攻击的发起者，但知名黑客组织Anonymous Sudan于11月8日承认是其发起了DDoS攻击。Anonymous Sudan 还承认在攻击中使用了SkyNet僵尸网络。 10月，SkyNet开始提供更强的攻击服务，并支持应用层攻击或Layer 7 DDoS攻击。在Layer 7 DDoS攻击中，攻击者通过发起大量的请求来淹没服务，使得服务无法处理正常的请求。与消耗带宽的反射性DNS放大网络层攻击相比，这种攻击可以消耗目标服务器和网络的资源，且更加高效。6月，Anonymous Sudan还使用Layer 7 DDoS攻击攻击了微软的Outlook.com、OneDrive和Azure Portal。

0x01 前言 基于netty动态创建pipeline的特性，其内存马的构造思路与tomcat有一定的区别，目前网上有关netty内存马的文章都围绕CVE-2022-22947和XXL-JOB两种场景展开，并未对其做更为详细的分析。本文就以上述两种场景为始，尝试从源码角度探究netty内存马的部分细节，以供大家参考。 0x02 Netty介绍 I/O事件：分为出站和入站两种事件，不同的事件会触发不同种类的handler。 Handler (ChannelHandler)：handler用于处理I/O事件，继承如下几种接口，并重写channelRead方法完成请求的处理，功能类似于filter。 ChannelInboundHandlerAdapter 入站I/O事件触发该 handlerChannelOutboundHandlerAdapter 出站I/O事件触发该 handlerChannelDuplexHandler 入站和出站事件均会触发该handlerChannel (SocketChannel)：可以理解为对 Socket 的封装, 提供了 Socket 状态、读写等操作，每当 Netty 建立了一个连接后，都会创建一个对应的 Channel 实例，同时还会初始化和 Channel 所对应的 pipeline。 Pipeline (ChannelPipeline)：由多个handler所构成的双向链表，并提供如addFirst、addLast等方法添加handler。需要注意的是，每次有新请求入站时，都会创建一个与之对应的cha…

今年4月15日、7月8日，中国国家计算机病毒应急处理中心等机构连续发布了两次专题报告，揭露了美方利用所谓“伏特台风”虚假叙事行动计划对我国抹黑的真实意图。 10月14日，我国网络安全机构第三次发布专题报告，进一步公开美国政府机构和“五眼联盟”国家针对中国和德国等其他国家，以及全球互联网用户实施网络间谍窃听、窃密活动，并掌握了美国政府机构通过各种手段嫁祸他国的相关证据，另外还有他们采取“供应链”攻击，在互联网设备产品中植入后门等事实，彻底揭穿所谓“伏特台风”这场由美国联邦政府自导自演的政治闹剧。 美研发嫁祸他国隐身“工具包”代号“大理石” 报告显示，长期以来，美国在网络空间积极推行“防御前置”战略，并实施“前出狩猎”战术行动，也就是在对手国家周边地区部署网络战部队，对这些国家的网上目标进行抵近侦察和网络渗透。为适应这种战术需要，美国情报机构专门研发了掩盖自身恶意网络攻击行为、嫁祸他国的隐身“工具包”，代号“大理石”。 国家计算机病毒应急处理中心高级工程师杜振华介绍，“大理石”的主要功能是对这种网络武器，也就是像间谍软件或者恶意程序代码中的可识别特征进行混淆，甚至是擦除。就像是把开发者的指纹给擦除了，也相当于像把枪械武器的膛线改变了，所以导致从技术上对这种武器的溯源变得非常困难。 技术团队调查发现，根据“大理石”工具框架源代码及其注释显示，它被确定为一个机密级（且不可向国外透露）的武器研发计划，起始时间不晚于2015年。“大理石”工具框架可以使用超过100种混淆算法，它能将源代码文件中可读的变量名、字符串等替换为不可读（不可识别）内容，并且可…

我们将在本文介绍解码用于加载cobalt strike shellcode的简单.hta加载器的过程，接下来用文本编辑器执行初始分析，并使用CyberChef提取嵌入的shellcode，将使用模拟器(SpeakEasy)验证shellcode，使用Ghidra执行一些基本分析。 哈希：2 c683d112d528b63dfaa7ee0140eebc4960fe4fad6292c9456f2fbb4d2364680。将zip文件下载到一个安全的虚拟机中，并在感染密码的情况下解压缩，将显示一个.hta文件。.hta文件本质上是一个带有嵌入式脚本的html文件，我们的目标是定位和分析嵌入的脚本。 由于.hta是一种基于文本的格式，我们可以直接在文本编辑器中打开该文件。 使用文本编辑器进行分析 在文本编辑器中打开该文件将显示一小段混淆的代码，后面跟着一个大的base64 blob。 出于分析目的，我们不需要解码初始部分，我们可以通过PowerShell命令的存在和分解的wscript.shell来判断这一点。它通常从javascript执行命令。 使用初始脚本只执行base64 blob的方法，我们可以直接解码base64。如果base64 blob不能解码，可以返回到初始片段进行分析。 解码Base64 可以继续突出显示整个base64 blob并将其复制到cyberchef，现在可以尝试解码它。 将base64内容复制到CyberChef中，可以看到字符之间带有空字节的明文，这通常表示utf-16编码，很容易通过“decode t…

一种名为“CRON#TRAP”的新网络钓鱼活动通过 Linux 虚拟机感染 Windows，该虚拟机包含内置后门，可以秘密访问公司网络。 使用虚拟机进行攻击并不是什么新鲜事，勒索软件团伙和加密货币挖矿者利用虚拟机来秘密执行恶意活动。然而，威胁者通常在破坏网络后手动安装这些软件。 Securonix 研究人员发现的一项新活动是使用网络钓鱼电子邮件执行无人值守的 Linux 虚拟机安装，以破坏企业网络并获得持久性。 网络钓鱼电子邮件伪装成“OneAmerica 调查”，其中包含一个 285MB 的大型 ZIP 存档，用于安装预装后门的 Linux 虚拟机。 该 ZIP 文件包含一个名为“OneAmerica Survey.lnk”的 Windows 快捷方式和一个包含 QEMU 虚拟机应用程序的“data”文件夹，其中主要可执行文件伪装为 fontdiag.exe。 启动快捷方式时，它会执行 PowerShell 命令将下载的存档解压到“%UserProfile%\datax”文件夹，然后启动“start.bat”以在设备上设置并启动自定义 QEMU Linux 虚拟机。 Start.bat批处理文件安装QEMU Linux虚拟机 安装虚拟机时，同一个批处理文件将显示从远程站点下载的 PNG 文件，该文件显示虚假服务器错误作为诱饵，这意味着调查链接已损坏。 显示假错误的图像 名为“PivotBox”的定制 TinyCore Linux VM 预装了一个后门，可保护持久的 C2 通信，允许攻击者在后台进行操作。 由于 QEMU 是一个经过…

一个名为 Cicada3301 的新勒索软件即服务 (RaaS) 行动迅速在全球发起了网络攻击，已在其勒索门户网站上列出了 19 名受害者。 这项新的网络犯罪行动以游戏命名，该游戏涉及复杂的加密谜题，并使用相同的徽标在网络犯罪论坛上进行推广。然而，其实两者之间没有任何联系。 Cicada3301 RaaS 已于 2024 年 6 月 在勒索软件和网络犯罪论坛 RAMP 的论坛帖子中首次开始推广该行动并招募会员。 然而，外媒早已注意到 Cicada 攻击，这表明该团伙在试图招募分支机构之前是独立运作的。 Cicada3301 勒索软件运营商在 RAMP 论坛上寻找附属机构 与其他勒索软件操作一样，Cicada3301 采取双重勒索策略，即入侵公司网络、窃取数据，然后加密设备。然后利用加密密钥和泄露被盗数据的威胁作为手段，恐吓受害者支付赎金。 威胁者运营一个数据泄露网站，将其用作双重勒索计划的一部分。 Cicada3301 勒索门户 Truesec 对新恶意软件的分析显示，Cicada3301 与 ALPHV/BlackCat 之间存在显著的重叠，表明可能是由前 ALPHV 核心团队成员创建的品牌重塑或分叉。 这是基于以下事实： ·两者都是用 Rust 编写的。 ·两者都使用 ChaCha20 算法进行加密。 ·两者都使用相同的 VM 关闭和快照擦除命令。 ·两者都使用相同的用户界面命令参数、相同的文件命名约定和相同的勒索信解密方法。 ·两者都对较大的文件使用间歇性加密。 具体来说，ALPHV 在 2024 年 3 月初实施了一次退出…

往期回顾： 2024.10.21—2024.10.27安全动态周回顾 2024.10.14—2024.10.20安全动态周回顾 2024.10.7—2024.10.13安全动态周回顾 2024.9.23—2024.9.29安全动态周回顾 2024.9.16—2024.9.22安全动态周回顾 2024.9.9—2024.9.15安全动态周回顾 2024.9.2—2024.9.8安全动态周回顾

往期回顾： 2024.4.29—2024.5.5安全动态周回顾 2024.4.22—2024.4.28安全动态周回顾 2024.4.15—2024.4.21安全动态周回顾 2024.4.8—2024.4.14安全动态周回顾 2024.4.1—2024.4.7安全动态周回顾 2024.3.25—2024.3.31安全动态周回顾

CISA 表示，已发现威胁分子滥用未加密的持久性 F5 BIG-IP cookie 来识别和瞄准目标网络上的其他内部设备。 通过绘制内部设备图，威胁者可以潜在地识别网络上易受攻击的设备，作为网络攻击规划阶段的一部分。 据 CISA 表述，“恶意分子可以利用从未加密的持久性 cookie 收集的信息来推断或识别其他网络资源，并可能利用网络上其他设备中发现的漏洞。” F5 持久会话 cookie F5 BIG-IP 是一套应用程序交付和流量管理工具，用于负载平衡 Web 应用程序并提供安全性。其核心模块之一是本地流量管理器（LTM）模块，它提供流量管理和负载平衡，以在多个服务器之间分配网络流量。使用此功能，客户可以优化其负载平衡的服务器资源和高可用性。 产品中的本地流量管理器 (LTM) 模块使用持久性 cookie，通过每次将来自客户端（Web 浏览器）的流量引导到同一后端服务器来帮助维护会话一致性，这对于负载平衡至关重要。 “Cookie 持久性使用 HTTP cookie 强制执行持久性”F5 的文档解释道。 与所有持久模式一样，HTTP cookie 确保来自同一客户端的请求在 BIG-IP 系统最初对它们进行负载平衡后被定向到同一池成员。如果同一池成员不可用，系统会进行新的负载权衡决定。 这些 cookie 默认情况下未加密，可能是为了保持旧配置的操作完整性或出于性能考虑。从版本 11.5.0 及更高版本开始，管理员获得了一个新的“必需”选项来对所有 cookie 强制加密。 那些选择不启用它的人会面临安全风险。但是，这些 co…

新的研究表明，威胁分子可以灵活地快速迭代攻击模式，以绕过安全控制措施。 安全公司Proofpoint对最近一起针对美国一家智库的核安全专家的攻击进行了调查，揭示了资源丰富的攻击者如何迅速改变花招以攻击不同的机器。 在意识到最初的攻击载荷无法在Mac上奏效后，威胁分子迅速转而采用已知攻击使用苹果硬件的目标奏效的新技术。 在这起复杂的行动中，技术娴熟的威胁分子针对一个重要目标设计了一条看似无害的电子邮件链，并在数周内保持联络，以建立信任和融洽关系，然后趁机发动进一步的攻击。 攻击是如何发生的？ 2023年5月中旬的攻击来自TA453，这是一伙与伊朗政府有关联的威胁分子，被称为Charming Kitten（迷人小猫）、APT42、Mint Sandstorm和Yellow Garuda，他们冒充皇家联合军种研究所（RUSI）的成员。 这伙以从事间谍活动出名的攻击者利用多角色手法，向目标发送了一条电子邮件链，似乎要求收件人就一个名为“全球安全背景下的伊朗”项目给予反馈。 攻击者从不同的账户发送了多封邮件，所有邮件都相互引用参照，以营造一种真实感——这是在以前的电子邮件劫持活动中看到的一种技术。 在一次看似无害的交互之后，恶意的Google Script宏被投递，旨在将目标引到Dropbox URL。这个URL托管了一个由密码加密的.rar文件，该文件含有一个伪装成PDF但实际上是Windows LNK文件的释放器（dropper）。 自去年微软默认屏蔽VBA宏以来，使用LNK文件一直是网络攻击的标志。多年来，利用VBA宏一直是使用恶意制作的Mi…

威胁分子之所以使用游戏安装程序传播各种恶意软件，是由于游戏拥有庞大的用户群，用户通常将游戏安装程序视为合法软件。威胁分子使用的这种社交工程伎俩利用用户的信任，诱使他们下载并运行恶意游戏安装程序。庞大文件和游戏复杂性为威胁分子提供了隐藏恶意软件的机会。 通过游戏安装程序传播的恶意软件可以通过窃取敏感信息和实施勒索软件攻击等活动来获利。Cyble研究和情报实验室（CRIL）之前发现了几起专门针对游戏玩家及其游戏相关应用软件的恶意软件活动，包括Enlisted、MSI Afterburner和FiveM Spoofer等。 最近，CRIL发现了一个植入木马的《超级马里奥兄弟》游戏安装程序投放多个恶意组件，包括XMR挖矿软件、SupremeBot挖矿客户软件和开源Umbral窃取器。恶意软件文件被发现与super-mario-forever-v702e的合法安装文件捆绑在一起。这起事件凸显了威胁分子利用游戏安装程序作为投放机制的另一个原因：通常与游戏相关的强大硬件为挖掘加密货币提供了宝贵的算力。 《超级马里奥》是一个大受欢迎的电子游戏系列，以其平台游戏玩法、酷炫的视觉效果、令人难忘的角色和迷人的音乐而闻名。最近随着新游戏和动画电影的推出，这个系列再度风靡一时。多年来，该系列游戏不断发展，在各种游戏和游戏机上引入了新的游戏机制、升级和关卡。自20世纪80年代面市以来，《超级马里奥》游戏已吸引了全球大批粉丝，全世界数百万玩家都喜欢其所提供的沉浸式体验。 下图是《超级马里奥永远》成功安装后的GUI。 图1.《超级马里奥》游戏的GUI 下图显示了投放…

往期回顾： 2024.10.7—2024.10.13安全动态周回顾 2024.9.23—2024.9.29安全动态周回顾 2024.9.16—2024.9.22安全动态周回顾 2024.9.9—2024.9.15安全动态周回顾 2024.9.2—2024.9.8安全动态周回顾 2024.8.26—2024.9.1安全动态周回顾 2024.8.19—2024.8.25安全动态周回顾

篇首语：最近杨叔看到好多朋友家小盆友都在上橄榄球课，也就习惯性关注下这个行业的隐私保护现状，于是就......看到了有趣的东西 今年7月，第一本全面揭露美国NFL职业橄榄球大联盟中阴暗面的书籍出版，书中囊括了从偷拍、安装窃听器材、秘密监视，到窃取文件、窃听电话、间谍刺探，以及内部斗争等等球队间对抗的情节。 谁能想到这些听起来像是007电影里的桥段，都来自真实的美国职业橄榄球联盟 声明1：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 声明2：咳咳，杨叔不是橄榄球迷，如果在体育术语上有翻译不准确的地方，就当没看见吧 1 NFL全美职业橄榄球大联盟 美国职业橄榄球大联盟（National Football League，简称NFL）是指美国国家橄榄球联合会（National Football Conference，简称国联NFC）与美国橄榄球联合会（American Football Conference，简称美联AFC）合并后的名称。 NFL美国职业橄榄球大联盟，高居北美四大职业体育运动联盟之首，也是世界上规模最大的职业橄榄球大联盟。 目前，不但很多赛事国内平台都有转播，作为对身体素质要求更高的橄榄球运动，在国内的粉丝群体也正在快速增长中。 PS：杨叔在以前的软文里也提及过NFL，可以作为本篇的参考： 内幕 | 那些体育圈的窃密事件 OK，接下来，我们直接看看有趣的部分。 2 被窃听的球队更衣室 球队最担心的是在客场被恶意窃听。 很显然，客场的更衣室是一个值得关注的区域…

本周，ZeroSevenGroup（泄露被盗数据的威胁者）表示，他们入侵了美国一家分公司，窃取了 240GB 的文件，其中包含有关丰田员工和客户的信息，以及合同和财务信息。 他们还声称已经使用开源 ADRecon 工具收集了网络基础设施信息，包括凭证，该工具可帮助从 Active Directory 环境中提取大量信息。 威胁者在黑客论坛上称已拿到包括联系人、财务、客户、员工、计划、照片、数据库、网络基础设施、电子邮件等内容的大量数据。除此之外，威胁者还可提供带有密码的所有目标网络的 AD-Recon。 目前，丰田已证实其网络遭到入侵。 当被要求验证该威胁者的说法时，丰田称：该问题范围有限，不是系统范围内的问题。 随后该公司补充说，它“正在与受影响的人接触，并将在需要时提供帮助”，但尚未提供有关何时发现入侵、攻击者如何获得访问权限以及有多少人的数据在事件中被泄露的信息。 丰田数据泄露 虽然丰田尚未透露泄密事件的日期，但相关媒体发现这些文件已被盗，或者至少是在 2022 年 12 月 25 日创建的。这个日期可能表明威胁分子获得了存储数据的备份服务器的访问权限。 去年 12 月，丰田子公司丰田金融服务公司 (TFS) 就曾警告客户，他们的敏感个人和财务数据在一次数据泄露中被暴露，该数据泄露是由 11 月的 Medusa 勒索软件攻击造成的，该攻击影响了这家日本汽车制造商的欧洲和非洲分部。 今年 5 月份，丰田披露了另一起数据泄露事件，由于公司云环境中的数据库配置错误，215 万客户的车辆位置信息在 2013 年 11 月 6 日至 2…

介绍 攻击者总是能找到各种创造性的方法来绕过防御功能并达到他们的目的，例如通过打包程序、加密程序和代码混淆来实现。然而，逃避检测以及最大化兼容性的最佳方法之一是使用操作系统自身的功能。 在勒索软件威胁的背景下，一个值得注意的情况是利用加密 DLL ADVAPI32.dll 中存在的导出函数，例如 CryptAcquireContextA、CryptEncrypt 和 CryptDecrypt。通过这种方式，攻击者可以确保恶意软件在支持此 DLL 的各种版本的操作系统中运行并模拟正常行为。 而在最近的一次事件响应中，另一种巧妙的技术引起了安全研究人员的注意：使用原生 BitLocker 功能加密并窃取解密密钥。BitLocker 的最初目的是解决丢失、被盗或不当退役设备导致数据被盗或泄露的风险，然而，威胁者发现这种机制可以被重新用于实现恶意目的，且效果非常好。 在该事件中，攻击者能够部署并运行一个高级 VBS 脚本，该脚本利用 BitLocker 进行未经授权的文件加密。安全研究人员在墨西哥、印度尼西亚和约旦发现了此脚本及其修改版本。本文将详细分析在事件响应工作中获得的恶意代码，并提供缓解此类威胁的建议。 这不是我们第一次看到 BitLocker 用于加密驱动器并索要赎金。以前，攻击者在访问和控制关键系统后，会使用此 Microsoft 实用程序来加密这些系统。然而，在这种情况下，攻击者采取了额外的措施来最大限度地扩大攻击造成的损害，并阻碍对事件的有效响应。 VBScript 分析 一个有趣的现象是，攻击者没有像威胁者通常做的那样费心混淆大…

法国司法部长埃里克-杜邦-莫雷蒂（Éric Dupond-Moretti）宣布了这项立法，并保证每年仅在数量有限的案件中使用该手段。这种使用间谍手段办案的有效期最长为6个月，而且要必须经过法官的批准，目前主要适用于可能被判处至少5年有期徒刑的案件。他补充说，我们离1984年的极权主义还很遥远。我们使用这种手段也仅仅用于办案，更多人的生命将得到挽救。 让执法人员或政府人员在未经授权的情况下访问某人的手机并秘密观察其活动，这无疑会侵犯它的隐私。这不仅为掌权者滥用公民的隐私权限创造了很多机会，而且也为个人恶意滥用权力提供了便利。 然而，这种监控并非新现象。早在2006年，美国联邦调查局就曾合法的启动了手机麦克风，甚至在关机状态下监控嫌疑人。当时，许多手机仍可拆卸电池，但现代设备已不具备这种功能了。 根据Comparitech公司2022年的一份报告，所有被调查的50个国家都允许本国警方在一定程度上访问智能手机及其数据。各国的权限范围也不尽相同，许多国家要求对此类行动出示授权令。 沙特阿拉伯、新加坡和阿拉伯联合酋长国提供了最不受限制的访问权限，沙特阿拉伯甚至允许在没有任何不法行为嫌疑的情况下进行访问。令人惊讶的是，德国允许情报人员远程访问智能手机并安装间谍软件，而无需提前将该个人列为犯罪嫌疑人。在美国，虽然也有例外，但一般都是需要授权令的。澳大利亚则更进一步，甚至授权警方修改嫌疑人手机上的数据。 然而，一些国家已经建立了对智能手机隐私的有力保护。奥地利、比利时、芬兰和爱尔兰是这方面做的最好的国家之一，因为这些国家有明确的法律规定，只有当当事人是…

10月12日，微软发布新的人工智能漏洞奖励计划，重点关注人工智能赋能的Bing服务，单个漏洞最高奖励15000美元。该漏洞奖励计划将人工智能技术赋能的Bing相关服务纳入范围，安全人员可以向该漏洞奖励计划提交以下服务和产品中的漏洞： 1.浏览器上访问bing.com的人工智能相关的Bing体验，主要包括 Bing Chat、Bing Chat企业版、Bing Image Creator； 2.嵌入微软Edge浏览器(Windows)的人工智能赋能的Bing服务，包括Bing Chat企业版； 3.嵌入微软Start应用的人工智能赋能的Bing服务，包括iOS和安卓版； 4.嵌入微软Skype Mobile应用的人工智能赋能的Bing服务，包括iOS和安卓版。 与Bing相关的在线服务相关漏洞属于M365漏洞奖励计划，新发布的漏洞奖励计划主要关注人工智能系统，包括引发以下结果的漏洞： 1.在用户边界改变Bing聊天行为，比如改变人工智能行为以影响其他用户； 2.通过修复客户端或服务器可见配置来调整BIng的聊天行为，包括修改调试和行为标记； 3.绕过与跨会话内容和历史删除相关的Bing的安全保护； 4.泄露Bing的内部机制和提示词、决策过程和机密信息； 5.绕过Bing聊天模式会话中的限制和规则。 只影响攻击者、模型Hallucination(幻觉)攻击、不准确或保护性的聊天回复等不属于漏洞奖励计划的奖励内容。符合漏洞奖励计划的漏洞根据漏洞类型、漏洞质量、漏洞影响，将获得2000到15000美元的奖励。 微软称，已通过17个不同的漏洞奖…

我们发现利用Apache ActiveMQ漏洞CVE-2023-46604下载并攻击Linux系统的Kinsing恶意软件(也称为h2miner)和加密货币矿工被利用时，此漏洞会导致远程代码执行(RCE)， Kinsing使用它来下载和安装恶意软件。 该漏洞本身是由于OpenWire命令未能验证未经检测类类型而导致RCE。 ActiveMQ(用Java编写)是一个由Apache开发的开源协议，它实现了面向消息的中间件(MOM)。它的主要功能是在不同的应用程序之间发送消息，还包括STOMP、Jakarta Messaging (JMS)和OpenWire等附加特性。 Kinsing恶意软件是一种主要针对基于linux的系统的严重威胁，可以渗透服务器并在网络中迅速传播。它通过利用web应用程序或配置错误的容器环境中的漏洞进入。 最近，Kinsing背后的攻击组织一直在利用CVE-2023-4911 (Looney Tunables)漏洞。一旦Kinsing攻击了一个系统，它就会部署一个加密货币挖掘脚本，利用主机的资源来挖掘比特币等加密货币，从而对基础设施造成严重破坏，并对系统性能产生负面影响。 受影响的ActiveMQ版本 以下是受CVE-2023-46604漏洞影响的Apache ActiveMQ版本： Apache ActiveMQ 5.18.0 5.18.3之前的版本； Apache ActiveMQ 5.17.0 5.17.6之前的版本； Apache ActiveMQ 5.16.0 5.16.7之前的版本； 5.15.16之前的Ap…

许多网络安全消息来源称，汉堡王的系统是网络攻击的重要目标，该攻击泄露了大量的私人登录信息。这次漏洞暴露了该公司基础设施中潜在的漏洞，可以很好地提醒人们在当今的数字环境中，一个健全的网络安全规程至关重要。 《安全事务》（Security Affairs）最先注意到了这一漏洞，并指出汉堡王的系统无意中泄露了重要的密码，有可能会允许攻击者非法访问系统。专家说，网络攻击者获得了本应受到保护的数据访问权，这使得汉堡王的内部系统和敏感数据变得十分脆弱。这也显现出了该漏洞的严重性。 专家们则进一步强调了该漏洞的影响，指出这一事件不仅会给汉堡王带来严重的后果，也会给其客户带来严重的后果。恶意攻击者可能会利用泄露的凭证访问其他系统、进行身份盗用，或对与被泄露数据相关的个人和组织发动更有针对性的攻击。 这起事件对各行各业的企业来说都是一个警示，它也显示了进行积极主动地实施全面的网络安全方案的必要性。正如网络安全专家 Jane Doe 博士所说，汉堡王数据泄露事件表明，即使是看似很微小的漏洞也可能会导致重大的数据泄露。企业必须从根本上优先考虑网络安全，实施强有力的安全措施、定期审计和员工培训，以降低风险。 据报道，汉堡王已立即采取措施修补了这一漏洞。该公司发表了一份声明，承认已经发生了泄密事件，并向客户保证，他们正在努力解决这一问题，并加强安全措施。尽管如此，这一事件还是引发了人们对该公司整体安全状况的质疑，并凸显了企业在保护敏感数据方面所面临的各种挑战。

电子邮件安全和威胁检测服务提供商Vade公司近日发布了一份报告，详细阐述了最近发现的一起网络钓鱼攻击，这起攻击成功欺骗了Microsoft 365身份验证系统。 据Vade的威胁情报和响应中心（TIRC）声称，攻击电子邮件含有一个带有JavaScript代码的有害HTML附件。这段代码的目的在于收集收件人的电子邮件地址，并使用来自回调函数变量的数据篡改页面。 TIRC的研究人员在分析一个恶意域名时解码了使用base64编码的字符串，获得了与Microsoft 365网络钓鱼攻击相关的结果。研究人员特别指出，对网络钓鱼应用程序的请求是向eevilcorponline发出的。 研究人员通过periodic-checkerglitchme发现，其源代码与附件的HTML文件很相似，这表明网络钓鱼者在利用glitch.me来托管恶意的HTML页面。 glitch.me是一个允许用户创建和托管Web应用程序、网站和各种在线项目的平台。遗憾的是，在这种情况下，该平台却被人利用，用于托管涉及这起进行中的Microsoft 365网络钓鱼骗局的域名。 当受害者收到一封含有恶意HTML文件（作为附件）的电子邮件时，攻击就开始了。受害者打开该文件后，一个伪装成Microsoft 365的网络钓鱼页面就会在受害者的互联网浏览器中启动。在这个欺骗性页面上，攻击者提示受害者输入其凭据，攻击者会迅速收集这些凭据用于恶意目的。 由于Microsoft 365在商业界得到广泛采用，被泄露的账户很有可能属于企业用户。因此，如果攻击者获得了对这些凭据的访问权，他们就有可能获得…

我们会在本文中详细介绍四个在去年被修复的旧漏洞： CVE-2022-38108； CVE-2022-36957； CVE-2022-36958； CVE-2022-36964； CVE-2022-38108 这个漏洞已经在这篇博客文章中提到了。 简单来说，几个SolarWinds服务通过RabbitMQ实例相互通信，该实例可通过端口5671/TCP访问。虽然访问它需要凭据，但是高权限用户可以通过SolarWinds Orion平台提取这些凭据，攻击者利用CVE-2023-33225，它允许低权限用户提取这些凭证。 该漏洞针对的是SolarWinds信息服务。为了向信息服务发送AMQP消息，必须将消息的Routing-Key设置为SwisPubSub， Routing Key就是路由规则,消息对应的队列。 AMQP消息中的Routing-Key 现在，让我们来验证SolarWinds是如何处理这些消息的，可以从EasyNetQ.Consumer.HandleBasicDeliver方法开始： 在[1]处，代码检索AMQP消息的属性，这些属性由发送消息的攻击者控制。 在[2]处，它创建了一个执行上下文，其中包含AMQP消息属性和消息正文。 在[3]处，它执行一个任务来使用消息。 这就需要Consume方法。 在[1]处，EasyNetQ.DefaultMessageSerializationStrategy.DeserializeMessage被调用，它接受输入的消息属性和消息正文。调用名为DeSerialize的方法并返回type类型的输…

随着加密货币的普及和应用范围的扩大，热钱包（Hot Wallet）是一种连接互联网的钱包，可以方便快捷地进行交易。最常见的热钱包是交易所内部的钱包，当用户在交易所开通账户时，会自动获得一个钱包地址。此外，还有一些第三方热钱包，如MetaMask和Trust Wallet等，可作为浏览器插件或移动应用程序使用。热钱包的优点是操作简单、方便快捷，适合频繁交易和使用去中心化应用（dApp）。冷钱包（Cold Wallet）是一种离线存储私钥的钱包，用于储存长期持有、不经常交易的加密资产。冷钱包可以分为硬件钱包和纸钱包两种形式。硬件钱包是一种物理设备，如Ledger、Trezor和Coolwallet等，通过与电脑或移动设备连接来进行交互。纸钱包是将私钥和地址以纸质形式打印或手写保存。冷钱包的优点是安全性极高，由于私钥离线存储，攻击者攻击的风险大大降低。无论你是交易频繁还是长期持有加密资产，合理选择热钱包和冷钱包都能提供更好的资产管理和安全保护。但随着加密货币在全球的受欢迎程度越来越高，存储它们的新方式越多，试图盗取数字货币的攻击者使用的工具库就越广泛。攻击者根据目标使用的钱包技术的复杂性来调整其攻击策略，比如通过钓鱼攻击模仿合法网站的来攻击目标，如果成功，他们可以窃取其中全部的金额。热钱包和冷钱包采用了两种截然不同的电子邮件攻击方法，热钱包和冷钱包这两种方法是最流行的加密货币存储方式。 盗取热钱包的方法简单而粗暴 热钱包是一种可以永久访问互联网的加密货币钱包，是一种在线服务，从加密货币交易所到专门的应用程序都要用到。热钱包是一种非常流行的加密存…

Rustbucket 是一种全新类型的恶意软件，最近刚刚浮出水面，目前已对 macOS 设备构成了严重威胁。这种隐匿的间谍软件能悄无声息地感染 Mac 系统，而不会引起使用者的任何警觉。由于 Rustbucket 能够将自己伪装成安全的 PDF 查看器，因此这引起了大量的安全专家的注意。本文旨在向读者介绍 Rustbucket 的秘密、可能的来源以及用户为保护 macOS 计算机应采取的安全措施。 Rustbucket 因其隐蔽的渗透策略在网络安全界掀起了轩然大波。它将自己伪装成一个看似正常的 PDF 查看器，诱使用户在不知情的情况下允许它访问自己的 Macos 系统。一旦进入到了系统，恶意软件就会处于休眠状态，从而逃避安全软件和 Mac 用户的检测。专家们强调，Rustbucket 的技术非常复杂，能够悄无声息地收集用户的敏感信息，并在不被发现的情况下进行恶意的攻击活动。 研究人员目前已将 Rustbucket 与朝鲜国家支持的高级持续威胁（APT）攻击联系了起来。虽然目前还需要做进一步调查才能最终确认其来源，但它与以前观察到的朝鲜 APT 恶意软件的相似之处还非常明显。这一发现引起了人们对潜在的国家支持的网络间谍攻击活动的担忧，并凸显了提高 macOS 安全警惕性的必要性。 系统保护措施： 及时对软件进行更新：定期更新操作系统和应用程序有助于防止恶意软件利用已知漏洞。 谨慎对待电子邮件附件： 打开电子邮件附件时要谨慎，尤其是那些来源不明或可疑的附件。验证附件和发件人的合法性后再进行操作。 使用强大的安全软件：安装专为 macOS 系统…