蓝队取证审计网络安全

美国证券交易委员会已结束对 Progress Software 处理 MOVEit Transfer 零日漏洞被广泛利用事件的调查。据悉，该漏洞导致了 9500 多万人的数据泄露。 在提交给美国证券交易委员会的表格中，Progress Software 表示，美国证券交易委员会执法部门不会针对该安全事件采取任何执法行动。 在美国证券交易委员会提交的文件中写道：“美国证券交易委员会已通知 Progress，目前不打算建议对该公司采取执法行动。” 如之前披露的那样，Progress 于 2023 年 10 月 2 日收到了美国证券交易委员会的传票，作为事实调查的一部分，要求提供与 MOVEit 漏洞相关的各种文件和信息。 SEC 一直在调查 Progress Software 对通过 MOVEit Transfer 软件中的零日漏洞进行的大规模数据盗窃攻击的处理情况。 据外媒报道，在 2023 年阵亡将士纪念日假期周末期间，Clop 勒索软件团伙利用零日漏洞对全球公司发起了大规模数据盗窃活动。 据一直在追踪此次攻击影响的 Emsisoft 称，超过 2,770 家公司和 9500 万人的数据通过零日漏洞被窃取。 由于攻击影响广泛，包括政府机构、金融公司、医疗保健组织、航空公司和教育机构，Clop 团伙预计将获得 7500 万至 1 亿美元的赎金。虽然美国证券交易委员会不建议采取任何行动，但 Progress Software 仍然会面临数百起集体诉讼。

ChatGPT是一个基于人工智能技术的自然语言处理模型，可以通过学习大量的语料库，生成自然语言的文本和对话。ChatGPT通过为各行各业带来更高效、智能和个性化的服务而对各行业带来变革性影响。 研究人员发现ChatGPT、Bard、Claude等人工智能大语言模型（Large language model，LLM）会在回答用户提问时，可能会产生一些不当内容，即越狱攻击。比如，通过特殊关键词等查询来让大语言模型产生非预期的响应内容。随后，研究人员开展了大量的调试工作，以尽可能避免回答用户有害的内容。虽然已有研究人员证明了针对大语言模型的越狱攻击，但这一过程需要大量的手动操作来进行设计，而且很容易被大语言模型提供商所修复。 机器学习从数据中学习模式，对抗攻击正是利用机器学习的这一特征来生成异常行为。比如，对图像做出的人类无法察觉的小修改会使图像分类器将其错误识别为其他问题，或使声音识别系统产生人类听不见的响应消息。 来自卡耐基梅隆大学的研究人员系统研究了大语言模型的安全性，证明可以自动构造针对大语言模型的对抗样本，尤其是在用户查询中添加特定字符流会使大语言模型根据用户查询产生结果，并不会判断产生的回复是否有害。与传统的大模型越狱相比，研究人员的这一对抗攻击过程是完全自动的，即用户可以无限制的发起此类攻击。 虽然该研究的攻击目标是开源大语言模型，但研究人员发现利用其提出的方法生成的对抗提示（prompt）是可迁移的，包括对黑盒的公开发布的大语言模型。研究人员发现此类字符串对抗攻击也可以迁移到许多闭源的、公开可访问的基于大模型的聊天机器人，如C…

随着越来越多的企业依赖云计算来简化运营并提高可扩展性，企业正在采用云优先的方法，将网络、性能、安全、终端管理和支持全部通过CloudOps结合起来。CloudOps结合了IT流程和DevOps原理，确保云基础设施及其应用的平稳运行、维护和优化。 随着数据泄露和安全漏洞给企业带来了重大风险，CloudOps已经成为确保基于云的系统安全性和完整性的关键组成部分。通过这篇文章，我们可以学习构建和自动化一个强大的云优先策略，帮助各种规模的组织免受潜在的云安全风险。 CloudOps CloudOps不仅是Cloud+DevOps的深度结合，而是从CARES (Cost, Automation, Resilience, Elasticity, Security)五大维度进一步升级了DevOps实践的关注面，让业务代码的构建效率、发布效率、高可用能力、成本控制等的多个维度可感知、可衡量、可控制。 根据Gartner的数据，预计今年全球最终用户在公共云服务上的支出将增长近22%，总计5973亿美元。鉴于其普及程度，安全专家将云视为数字业务下一阶段的推动力，因为它是数字化转型和服务的高度战略平台。 虽然云的使用在现代商业环境中几乎是普遍的，但许多部署的架构仍然很差，或者是临时组装的。2023年的数字化趋势表明，云基础设施优化是需要关注的首要事项之一。云的兴起是显而易见的，企业领导者正在努力发展他们的IT、工程和开发团队，为他们的业务构建正确的云安全管理和运营策略。这就是CloudOps发挥作用的地方。 CloudOps专注于管理和优化基于云的基础设施、应…

OpenAI 的 ChatGPT 在人工智能语言模型方面取得了重要的进展，并且为用户提供了一个灵活有效的工具，可以用于模拟人类去生成特定的文字。但最近发生的事件凸显了一个非常关键的问题：网络开始出现了各种第三方的插件。虽然这些插件宣称可以大幅的改进chatgpt的功能，但它们也可能会造成严重的隐私和安全问题。 安全专家在一篇文章指出，在 ChatGPT 中使用插件可能会带来各种各样的危害。如果对此审查和监管不当，第三方插件可能会危及系统的安全，使其容易受到攻击者的攻击。这篇文章的作者强调了 ChatGPT 的灵活性以及可调整性，同时这也为攻击者利用安全漏洞留下了空间。 其他媒体的一篇文章对这一问题进行了深入探讨，强调了安装未经批准的插件可能会泄露使用者的敏感数据。如果不进行充分的检查，那么这些插件可能就无法遵循与主 ChatGPT 系统相同的严格的安全准则。因此，私人信息、知识产权和敏感的个人数据很容易被窃取或非法访问。 创建 ChatGPT 的 OpenAI 公司已经在平台的文档中解决了这些问题。该公司也已经意识到了插件可能会带来的各种安全问题，并敦促用户在选择和部署插件时谨慎行事。为了降低潜在的安全风险，OpenAI 强调只使用经过可靠来源验证和确认的插件这一准则是非常重要的。 随着问题的发展，OpenAI 仍在采取积极措施来保证 ChatGPT 的安全性和可靠性。公司鼓励用户在与系统进行交互时，报告他们遇到的可疑的或恶意的插件。通过进行调查和开展适当的行动，OpenAI 能够保护用户并维护其人工智能平台的完整性。 在这里值得注意的是…

朝鲜黑客组织Lazarus从Alphapo窃取价值6000万的加密货币。 区块链数据分析公司"ZackXBT"称Alphapo平台被黑与朝鲜黑客组织Lazarus有关，攻击者累计窃取了价值约6000万美元的加密货币。 Alphapo是一家为博彩、电子贸易、订阅服务和其他在线平台提供中心化加密货币支付服务提供商。7月23日，该平台遭遇网络攻击，初步预计被窃加密货币价值高达2300万美元。被窃的加密货币包括超过600万的USDT、10.8万的USDC、1亿FTN、43万TFL、2500 ETH、1700 DAI。这些加密货币都是从热钱包被窃的，因此大概率是由于私钥泄露导致的。 7月25日，"ZackXBT"称通过分析发现，攻击者还窃取了价值超过3700万的TRON和比特币，累计被窃加密货币价值达到6000万美元。 图 ZackXBT推特内容 ZackXBT称，攻击者可能是朝鲜黑客组织Lazarus，因为Lazarus在链上留下了独一无二的指纹信息。 Lazarus是一个与朝鲜政府有关联的黑客组织，与多次加密货币被窃事件有关，包括从Atomic钱包窃取了价值3500万美元的加密货币，从Harmony Horizon窃取了约1亿美元，从Axie Infinity窃取了约6.17亿美元。 Lazarus会使用虚假的工作录用通知诱惑加密货币公司的员工打开受感染的文件，然后入侵计算机，并窃取其中保存的账户凭证。攻击者还可以入侵受害者所在的公司网络，发起进一步攻击。 分析显示被窃的加密货币流入了Bitget、Bybit等加密货币交易所。而Laza…

《2024网络安全产业图谱》调研征集今天截止，望各厂商尽快将《2024网络安全产业图谱调研表》提交至指定邮箱！ 2024年，嘶吼安全产业研究院对《网络安全产业图谱》进行更新，以更准确的反映当前网络安全产业链的发展规划与趋势。 图谱调整说明： 1、各细分领域精简收录企业数量： 本次图谱调研将参考细分产品营收、营收增长率、客户数量、投入占比、品牌影响力等多个维度，对企业进行全面能力评估，重点收录综合能力较高的企业，为行业用户提供更精准的行业参考指南。 2、热门领域Top10厂商推荐： 在精选出的多个热门领域中，我们将根据调研结果评选出Top10优秀安全厂商，进行单独呈现。 《2024网络安全产业图谱》调研通知： 图谱调研表获取方式：关注嘶吼专业版公众号，回复“2024图谱调研”获取。 1）征集阶段：2024年3月7日——2024年4月7日，下载填报《2024网络安全产业图谱调研表》，并发送至收集邮箱中。 2）分析阶段：根据回收的问卷，嘶吼分析师团队会针对厂商提交材料进行复核，部分厂商可能需要接受验证或者访谈，以便对存疑问题进行沟通。 3）图谱报告发布：《2024网络安全产业图谱》由嘶吼安全产业研究院官方发布。内容将呈现部分细分领域数据统计，根据实际调研结果，撰写包括网络安全产业情况、调研发现等相关内容。 填写说明： 1 请按说明要求填写，方便后续整理数据，请注意，不要删减行列！ 2 提交时请务必在附件中添加（ai格式）公司logo。 3 请务必于今日提交问卷，发送至邮箱[email protected]。 4 务必客观、真实填写该问卷。 …

往期回顾： 2024.9.23—2024.9.29安全动态周回顾 2024.9.16—2024.9.22安全动态周回顾 2024.9.9—2024.9.15安全动态周回顾 2024.9.2—2024.9.8安全动态周回顾 2024.8.26—2024.9.1安全动态周回顾 2024.8.19—2024.8.25安全动态周回顾 2024.8.12—2024.8.18安全动态周回顾

7月17日，在首届“安全平行切面大会”上，“安全平行切面联盟” (Aspect-Oriented Technology Alliance，简称AOTA )在会上正式成立。 该联盟在中国信息协会信息安全专业委员会指导下成立，由蚂蚁集团联合行业共同发起，将为行业安全实战对抗、网络安全保险、安全合规治理带来全新的能力，为网络安全、数据安全、个人信息保护构建全新的技术基础平台，有望引导行业建立全新的安全治理范式。 （从左至右）中国科学技术大学教授左晓栋，蚂蚁集团副总裁、首席技术安全官韦韬，中国信息协会信息安全专委会副主任赵进延，北京华云安信息技术有限公司CEO沈传宝 蚂蚁集团于2019年首次在业界提出安全平行切面体系理念，到如今“安全平行切面联盟”的成立，见证了蚂蚁集团从理念创新到实践落地，快速打造出面向企业数字生命体的新一代安全基础平台的突破能力，也通过“产、学、研、用”的深入融合，不断营造良性的产业生态。 中国科学技术大学网络空间安全学院教授左晓栋——完善的防御体系，才是支撑业务运行的关键 中国科学技术大学网络空间安全学院教授左晓栋表示，网络安全防御体系的研究，贯穿着整个网络安全技术的发展。站在安全角度，完善的网络安全防护体系需要包含安全防护、检测、响应、恢复功能以及对抗能力等要素。但事实上，网络安全的防护体系更需要支撑业务运行。 所以，网络安全产品技术本身的最初设计，需要改变原来的研发模式和思路，应该从应用角度出发，支持安全体系的部署，并且融合业务。安全平行切面体系恰恰在解决业务与安全矛盾的层面上，取得了重要突破。尤其是在数据安全领域，数据…

目前，来自俄罗斯、土耳其、乌克兰和欧亚地区其他国家的超过 28,000 人正受到大规模加密货币窃取恶意软件活动的影响。 该恶意软件活动将自己伪装成通过 YouTube 视频和欺诈性 GitHub 存储库推广的合法软件，受害者在其中下载受密码保护的档案，从而引发感染。 据网络安全公司 Dr. Web 称，该活动使用盗版办公相关软件、游戏作弊和黑客行为，甚至自动交易机器人来欺骗用户下载恶意文件。 据悉，这次恶意软件活动总共影响了 28,000 多人，其中绝大多数是俄罗斯居民。另外。白俄罗斯、乌兹别克斯坦、哈萨克斯坦、乌克兰、吉尔吉斯斯坦和土耳其也发现了大量感染病例。 宣传 Microsoft Excel 本地化（俄语）下载的恶意网站 感染链 感染首先打开一个自解压存档，该存档在下载时会逃避防病毒扫描，因为它受密码保护。受害者输入提供的密码后，存档会释放各种混淆的脚本、DLL 文件和用于启动主有效负载的数字签名加载程序的 AutoIT 解释器。 该恶意软件会检查调试工具是否存在，以查看它是否在分析人员的环境中运行，如果发现任何工具，则会终止。 接下来，它提取攻击后续阶段所需的文件，然后使用图像文件执行选项 (IFEO) 技术修改 Windows 注册表以实现持久性。 简而言之，它利用恶意服务劫持合法的 Windows 系统服务以及 Chrome 和 Edge 的更新进程，因此恶意软件文件会在这些进程启动时执行。 Windows 恢复服务被禁用，并且恶意软件文件和文件夹的“删除”和“修改”权限被撤销，以防止尝试清理。 从那时起，Ncat 网络…

ToddyCat是一个相对较新的复杂APT组织，卡巴斯基研究人员最早在2020年11月检测到该组织的活动，当时该威胁组织正在对目标的Microsoft Exchange服务器进行一系列攻击，去年的一篇文章曾描述过它。 之后，该组织于2020年12月开始活动，并对欧洲和亚洲的知名对象发动了多起攻击。 在去年，我们发现了一组新的全新加载程序，并收集了有关其开发后活动的信息，这使我们能够扩展对该组织的了解，并获得有关攻击者的TTP(战术，技术和程序)的新信息。接下来，我们将描述他们的新工具集，用于窃取和泄露数据的恶意软件，以及该组织用于横向移动和进行间谍活动的技术。 工具集 标准的加载器 加载程序是64位库，由rundll32.exe调用，或者用合法的和签名的可执行文件进行侧加载，这些组件在感染阶段用于加载Ninja木马作为第二阶段。我们已经看到了这些新加载器的三种变体： 第一个变体的文件名为update.dll或x64.dll，通常使用合法的rundll32.exe Windows实用程序加载，大多数恶意代码驻留在DllMain中，但下一个阶段是通过导出的Start函数调用的，其他两个变体应该与合法的VLC.exe媒体播放器一起加载，这被滥用来加载恶意库。 加载程序通过从同一目录中应该存在的另一个文件加载加密的有效负载来启动其活动，然后使用异或对加载的数据进行解码，其中异或项是使用一种不寻常的技术生成的。恶意软件使用静态种子（static seed）通过shuffle和add操作生成256字节的XOR_KEY块。 使用另一个嵌入的64字节…

往期回顾： 2024.7.22—2024.7.28安全动态周回顾 2024.7.15—2024.7.21安全动态周回顾 2024.7.8—2024.7.14安全动态周回顾 2024.7.1—2024.7.7安全动态周回顾 2024.6.24—2024.6.30安全动态周回顾 2024.6.17—2024.6.23安全动态周回顾 2024.6.10—2024.6.16安全动态周回顾

8月已至，这意味着黑客“狂欢季”：BSides Las Vegas、Black Hat USA和DEF CON接踵而来。如果你要去拉斯维加斯参加一年一度的系统缺陷探索盛宴，那么下述纪录片可以带你提前沉浸在探索的情绪中。 1、《十亿美元大劫案》Billion Dollar Heist（2023年）流媒体平台（8月15日开始购买）：Prime Video、AppleTV、Xfinity、Vudu、Directv、Fios、YouTube 预告片：https://youtu.be/31FkJyi7M1c 今年夏天最大的黑客纪录片来自环球影视家庭娱乐（Universal Pictures Home Entertainment）公司。《十亿美元大劫案》讲述了2016年针对孟加拉国中央银行进行的数字抢劫。这部电影追溯了整个行动过程，从选择世界银行网络的目标成员到电汇被盗资金，从成功打开网络钓鱼的大门到洗白不义之财。 朝鲜的APT组织Lazarus Group被认定为此次盗窃的幕后黑手。该组织先是侵入了控制银行间国际资金转移的SWIFT软件，然后开始向纽约的联邦储备银行（Federal Reserve Bank）发送看似来自孟加拉国银行的虚假请求。 即便你知道事件是如何展开的，这部电影在渲染悬念方面做得很好，松弛有度地突出了各个方面的出色策划。通过将攻击的执行时间定在一个长周末的周四晚上，网络犯罪分子给了自己四天的时间来完成10亿美元的转账。不过，他们糟糕的拼写错误引发了足够多的问题，让美联储在转出8100万美元后及时停止了转账。 此外，亲眼目睹参与调…

近期，网络犯罪分子利用U盘进行恶意软件攻击的事件大幅增加。据Mandiant的安全研究人员称，在2023年上半年，通过U盘窃取敏感信息的恶意软件攻击增加了三倍之多。这些研究人员还披露了两个具体的攻击活动的细节。 其中一个攻击活动是由网络间谍组织TEMP.Hex发起的，目标是针对欧洲、亚洲和美国的公共和私营机构进行攻击。 这些U盘中包含了多种恶意软件，并采用DLL劫持技术将最终有效载荷下载到被入侵系统的内存中。一旦这些恶意代码被执行，SOGU恶意软件就会执行各种操作，如捕获屏幕截图、记录键盘输入、建立反向shell连接以及启用远程桌面连接执行其他文件。 这些被窃取的数据可以通过TCP、UDP或ICMP使用自定义二进制协议发送到攻击者的命令和控制（C2）服务器内。此次攻击活动的目标行业包括建筑、工程、政府、制造、零售、媒体和制药行业。 在一次攻击活动中，受害者被诱使点击一个文件，该文件看似是一个在U盘根目录下发现的合法的可执行文件。在执行该文件后，就会使得感染链触发，然后下载一个名为SNOWYDRIVE的基于shellcode的后门程序。 该恶意软件不仅会将自身复制到与受感染系统相连的可移动驱动器上，而且还会执行各种其他的恶意操作，如写入或删除文件、进行文件上传以及执行反向的shell命令。 最近，Check Point研究小组发现了一个新的基于USB的攻击活动，该活动是由一个名为 "Camaro"的组织发起的。 该攻击活动专门针对欧洲的一家医疗机构进行攻击，这其中涉及部署多个新版本的恶意软件工具集，包括WispRider和HopperTic…

一种可以导致数据泄漏的新侧信道攻击方法几乎可以攻陷任何现代CPU，但我们不太可能在短期内看到它被广泛实际利用。 这项研究是由来自奥地利格拉茨科技大学和德国CISPA亥姆霍兹信息安全中心的八名研究人员共同进行的。参与这项研究的一些专家发现了臭名昭著的Spectre和Meltdown漏洞，以及另外几种侧信道攻击方法。 这种新的攻击名为Collide+Power，其破坏力与Meltdown和一类名为微架构数据采样（MDS）的漏洞相提并论。 Collide+Power是一种基于软件的通用型攻击，针对搭载英特尔、AMD或Arm处理器的设备，它适用于任何应用程序和任何类型的数据。芯片制造商们正在发布各自的安全公告，该漏洞已被命名为CVE-2023-20583。 然而研究人员指出，Collide+Power不是一个真正的处理器漏洞，它利用一些CPU部件旨在共享来自不同安全域的数据这一点大做文章。 攻击者可以利用这些共享的CPU部件将自己的数据与来自用户应用程序的数据结合起来。攻击者在改变他们控制的数据时，可以数千次迭代测量CPU功耗，这使他们能够确定与用户应用程序关联的数据。 没有特权的攻击者（比如通过在目标设备上植入恶意软件）可以利用Collide+Power攻击，获得有价值的数据，比如密码或加密密钥。 研究人员特别指出，Collide+Power攻击增强了其他功率侧信道信号，比如PLATYPUS和Hertzbleed攻击中使用的信号。 研究人员解释道：“PLATYPUS和Hertzbleed等以前基于软件的功率侧信道攻击针对加密算法，需要确切了解目…

近年来，二维码的使用呈激增之势。事实上，在2012年，97%的消费者还不知道二维码是何物。而到了2022年第一季度，美国以2880960次二维码扫描量领跑全球，这使得这些古怪的代码成为了吸引新型的复杂网络钓鱼活动的一条途径。 INKY最近发现了大量二维码钓鱼活动，不过在开始切入正文之前，先介绍一下二维码基础知识。如果你已经是这方面的专家，请直接跳过这部分。 二维码是怎么来的？ 二维码的演变过程非常有趣。首先问世的是条形码，它是在20世纪60年代日本经济蓬勃发展时开发出来的。在此之前，收银员不得不把每个产品的价格手动录入到收银机中。生意兴隆，腕管综合症随之普遍起来。后来业界找到了一种解决办法。条形码被光学传感器扫描后，可以迅速向电脑发送产品和价格信息。缺点是条形码只能容纳大约20个字母数字字符的信息。最终，市场需要更多的信息，日本公司Denso Wave Incorporated于是在1994年应势发布了首个二维码。 二维码最大的突破出现在2002年，当时发布了一项可以读取二维码的手机功能。如今，二维码被认为是一种必不可少的营销工具。遗憾的是，二维码对钓鱼者来说似乎同样不可或缺。 好吧，现在回到恶意二维码网络钓鱼这个正题。 快速响应还是快速检索？ 从技术上讲，QR代表快速响应，因为二维码能够在弹指之间提供信息。遗憾的是，网络犯罪分子同样可以快速检索员工凭据。 INKY最近截获了数百封二维码网络钓鱼邮件，虽然这些窃取凭据的邮件来自几个不同的黑客，但相似之处很明显，包括如下： 1. 使用基于图像的网络钓鱼策略。 2. 冒充微软。 3. 似乎来…

近期，Gartner 预测 2024 年全球安全和风险管理支出将增长14.3%，这一增长使得人们重新关注具有成本效益的网络安全投资。 低效的网络安全支出随着预算的增加，变得愈加引发关注，低效的支出通常会导致购买不同的安全工具，这可能会造成更多的安全漏洞并增加违规风险。 简而言之，随着 2024 年网络安全支出的增加，企业必须进行不仅具有成本效益、而且能够切实加强防御的投资。 接下来，本文将深入探讨 2024 年智能网络安全支出的三项基本策略。 进行彻底的需求分析 如果不仔细分析真正需要什么商品或服务，企业可能会陷入“工具蔓延”的陷阱，即积累过多的网络安全工具。 但安全防御目标应该是根据实际需求定制网络安全投资，避免使用不必要的技术。例如，小型企业可能不太需要复杂的企业级入侵检测系统，而大型企业可能也不需要基本的消费级安全解决方案。 仓促选择多个网络安全供应商可能会适得其反。兼顾多个供应商通常会使支持流程变得复杂，由于各种系统而增加培训负担，并对无缝工具集成提出挑战。 选择集成安全解决方案 为了避免浪费开支，请投资将多种保护措施合二为一的安全平台。这不仅更具成本效益，实际上还改善了安全状况。 公司购买的每一个安全工具都需要自己的一套配置、更新和管理协议，最终会导致响应时间更长、工作流程效率低下，并且无法对威胁态势有统一的看法。 选择集成安全解决方案可以在有针对性的精益网络安全支出方法方面更加便捷。通过将多个安全功能整合到一个平台中，这些集成降低了与硬件、维护和管理相关的间接成本。 强调附加值 想象一下你饿了，花费20元吃碗面可能会饱，但仅…

一台计算机在天空中以每小时数万公里的速度飞行成百上千公里，不过它依然是一台计算机。而每台联网计算机都存在攻击面。 研究人员、敌对政府、甚至普通的网络犯罪分子早就展示了如何劫持卫星技术的控制和通信方面。就在去年俄罗斯地面入侵的当天，俄罗斯黑客导致乌克兰卫星互联网服务提供商Viasat出现服务中断。11月18日，亲俄黑客活动组织Killnet对SpaceX的“星链”（Starlink）系统进行了分布式拒绝服务（DDoS）攻击，该系统为乌克兰的断网地区提供连接。最近，瓦格纳集团声称对俄罗斯互联网提供商Dozor-Teleport的暂时中断负责。据推测，该集团是通过将恶意软件上传到多个卫星终端大搞破坏的。 很明显，我们可以破坏卫星链路，但卫星本身破坏得了吗？高空中的固件和软件破坏得了吗？它们同样暴露在威胁面前。 在下个月于拉斯维加斯举行的美国黑帽大会上，德国波鸿鲁尔大学的博士生Johannes Willbold将演示卫星如何可能被黑客肆意操纵（剧透一下：没有那么难。） 他承认：“当然存在隐蔽式安全（security by obscurity），但除此之外，许多卫星并没有采取任何其他措施来防止被滥用。” 卫星坚持隐蔽式安全 在今年早些时候发表的一篇论文中，Willbold和五位同事调查了代表17种不同型号卫星的19名工程师和开发人员。在17个受访者中，3个受访者承认没有实施任何措施来防止第三方入侵。5个受访者不确定或拒绝置评，而剩下的9个受访者确实采取了一些防御措施。然而，即使采取防御措施的受访者中也有一些没有把握——比如说，9个受访者中只有5个实…

受影响的平台：Windows 受影响方：任何组织 影响：远程攻击者窃取凭据、敏感信息和加密货币 严重性级别：严重 8月，FortiGuard实验室捕获了一份Word文档，其中包含一个恶意URL，旨在引诱受害者下载恶意软件加载程序。该加载程序采用二进制填充逃避策略，添加空字节以将文件大小增加到400MB。该加载程序的有效负载包括用于密钥记录和密码恢复的OriginBotnet，用于加密货币盗窃的RedLine Clipper和用于获取敏感信息的AgentTesla。 下图展示了全面的攻击流程，我们会在本文研究该文件如何部署的各个阶段，深入研究其传播恶意软件的细节。 攻击流程 文件分析 钓鱼电子邮件将Word文档作为附件发送，故意呈现模糊的图像和伪造的reCAPTCHA以引诱收件人点击它。点击会激活文件“\Word_rels\document.xml.rels”中嵌入的恶意链接，如下图所示。 Word文档 恶意URL 加载程序分析 初始加载程序是从https://bankslip[.]info/document/scancop20233108[.]exe获取的。此文件是用.NET编写，用于解密“HealthInstitutionSimulation.Properties.Resources.Resources”中的“Main_Project”资源数据。它使用字符串“WdxDFWxcf09WXfVVjLwKKcccwnawf”的异或操作，然后使用“Activator.CreateInstance()”来执行解码的信息。解码过程如下图所示。 …

众多开发者认为SO文件相对而言更加安全，并将许多核心算法、加密解密方法、协议等放在SO文件中。但是，黑客可以通过反编译SO库文件，窃取开发者花费大量人力物力财力的研发成果，进行创意窃取或二次打包，使得开发者和用户利益受损。 作为知名移动信息安全综合服务提供商，爱加密在SO加固方面拥有3大技术优势。 一、爱加密so VMP技术，对so文件的源码进行虚拟化保护，实现数据隐藏、防篡改、防Dump，增加逆向分析的难度。 二、爱加密so Linker技术，对so文件代码段、导出表和字符串等进行加密压缩，在函数运行时动态解密，防止so文件被静态分析，通过内存DUMP源码。 三、多重保护：多种so加固技术可以联合使用，增大了代码反汇编调试破解难度，提高so文件的安全性。爱加密可对Android及Linux 进行so加固，本次仅讲述Android SO加固方面的6大核心技术，即so加壳、so源码混淆、so源码虚拟化保护、so防调用、so Linker、so融合。 so加壳 利用自定义加密算法对C/C++源码编译出来的so文件进行加壳，将so文件的编码进行改变，使加壳后的so文件无法通过ida反编译工具查看导出符号，使so文件无法正确反编译和反汇编。加固后效果如图： so 源码混淆 爱加密通过对so文件的源码进行混淆，降低黑客反编译的可读性，增加反编译难度。可多种混淆方式联用，可根据自己的实际需求选择混淆强度，包含字符串加密、等效指令替换、基本块调度、基本块分裂、虚假控制流、控制流扁平化、控制流间接化，本次篇幅有限仅介绍前四种技术手段。 字符串加密：…

安全研究人员发现了四个漏洞，影响多个版本的 WebOS（LG 智能电视使用的操作系统）。这些缺陷可以对受影响的模型进行不同程度的未经授权的访问和控制，包括授权绕过、权限升级和命令注入。 潜在的攻击取决于使用在端口 3000/3001 上运行的服务在设备上创建任意帐户的能力，该服务可用于使用 PIN 的智能手机连接。 连接电视的 PIN 安全研究人员解释说，虽然易受攻击的 LG WebOS 服务应该只在局域网 (LAN) 设置中使用，但 Shodan 互联网扫描显示， 91000 个暴露的设备可能容易受到这些缺陷的影响。 这四个缺陷总结如下： ·CVE-2023-6317允许攻击者利用变量设置绕过电视的授权机制，从而在没有适当授权的情况下向电视机添加额外的用户。 ·CVE-2023-6318是一个特权提升漏洞，允许攻击者在 CVE-2023-6317 提供的初始未经授权的访问之后获得 root 访问权限。 ·CVE-2023-6319涉及通过操纵负责显示音乐歌词的库来注入操作系统命令，从而允许执行任意命令。 ·CVE-2023-6320允许通过利用com.webos.service.connectionmanager/tv/setVlanStaticAddress API 端点进行经过身份验证的命令注入，从而以 dbus 用户身份执行命令，该用户具有与 root 用户类似的权限。 这些漏洞影响 LG43UM7000PLA上的 webOS 4.9.7–5.30.40、OLED55CXPUA上的 webOS 04.50.51–5.5.0、O…

美国网络安全和基础设施安全局(CSA)发布了新版本的“下一代恶意软件”，允许公众提交恶意软件样本供CSA分析。 恶意软件下一代是一个恶意软件分析平台，用于检测可疑工件的恶意软件样本,通过静态和动态分析工具接受自动恶意软件分析，使CSA能够通过自动化分析新发现的恶意软件从而加强网络防御，有助于促进国家网络安全和重要基础设施建设。 可用性 自2023年11月以来，政府等相关组织提供了下一代恶意软件，从1600份提交材料中查明了200个可疑或恶意文件和网址。为此CSA鼓励所有组织、安全研究人员和个人登记可疑档案，并将其提交该平台进行分析。 使用静态和动态分析工具在安全环境中分析提交的文件，结果以PDF和STIX2.1格式提供。 匿名抽样提交 目前只有CSA分析员和其他经过审核的人员才能访问该系统生成的恶意软件分析报告。

为进一步保护企业合法权益，持续优化营商网络环境，按照中央网信办“清朗·优化营商网络环境—整治涉企侵权信息乱象”专项行动部署要求，北京市网信办于4月2日启动了为期9个月的“清朗·E企护航”专项整治行动。 此次专项整治行动重点聚焦侵犯企业和企业家合法权益的网络信息内容乱象，集中整治抹黑诋毁企业形象声誉、炮制传播虚假不实信息、敲诈勒索谋取非法利益、扰乱企业生产经营秩序、恶意炒作涉企公开信息，及水军账号控评造谣、唱衰经济破坏营商环境等七方面突出问题。属地各网站平台应当严格履行主体责任，健全管理制度，加强热搜榜单、用户账号及MCN机构等重点环节管理，依法依规开展服务，切实维护健康有序的网络传播秩序。 专项整治行动期间，北京市网信办将加大巡查检查力度，充分发挥统筹协调作用，联合有关部门、各区网信办对落实整治要求不力的网站平台和问题严重、影响恶劣的网络账号，依法依规予以严肃查处，并及时公开曝光典型案例，震慑打击违法违规行为。 欢迎社会各界积极向北京市违法和不良信息举报平台以及各网站平台举报涉北京属地平台账号相关违法违规线索，共同营造清朗网络空间。 北京市违法和不良信息举报平台举报网址：www.bjjubao.org.cn 北京属地重点网站平台举报途径：www.bjjubao.org.cn/2023-04/23/content_42964.html 文章来源：北京市互联网信息办公室

黑客利用新的 GodLoader 恶意软件，广泛使用 Godot 游戏引擎功能，在短短三个月内逃避检测并感染了 17,000 多个系统。 Check Point Research 在调查攻击时发现，威胁者可以使用此恶意软件加载程序来针对所有主要平台（包括 Windows、macOS、Linux、Android 和 iOS）的游戏玩家。它还利用 Godot 的灵活性及其 GDScript 脚本语言功能来执行任意代码，并使用游戏引擎 .pck 文件（打包游戏资产）绕过检测系统来嵌入有害脚本。 一旦加载，恶意制作的文件就会触发受害者设备上的恶意代码，使攻击者能够窃取凭据或下载其他有效负载，包括 XMRig 加密矿工。 该矿工恶意软件的配置托管在 5 月份上传的私人 Pastebin 文件中，该文件在整个活动期间被访问了 206,913 次。 至少自 2024 年 6 月 29 日起，网络犯罪分子一直在利用 Godot Engine 执行精心设计的 GDScript 代码，从而触发恶意命令并传播恶意软件。VirusTotal 上的大多数防病毒工具仍未检测到这种技术，可能仅在短短的时间内就感染了超过 17,000 台计算机。 Godot 拥有一个充满活力且不断发展的开发者社区，他们重视其开源性质和强大的功能。超过 2,700 名开发者为 Godot 游戏引擎做出了贡献，而在 Discord、YouTube 和其他社交媒体平台等平台上，Godot 引擎拥有大约 80,000 名关注者，他们可以随时了解最新消息。 攻击链 攻击者通过 Starga…

近日人脸识别防护问题已成焦点，嘉峪关网警、大连市银行协会发布信息，称市民A先生与不法分子视频通话期间手机被犯罪分子控制，未接收到验证码，通话后手机收到消息提示，银行定期存款已被销户，银行人脸识别系统未发挥效果，资金已被转出。经侦查后发现，犯罪分子事先获取了A先生的身份证影像信息，并通过技术手段合成了短视频，使用该视频成功应对了银行大额资金转账时的人脸识别验证。 目前人脸识别防护技术存在明确的安全隐患，人脸信息发生泄露的风险主要存在于收集、存储、使用、加工、传输，其中使用、加工、传输需要金融机构等厂商提高重视度，收集、存储环境也需消费者提高警惕心。消费者不应随意同陌生人的视频聊天、下载来源不明的App、随意参与App内的录制视频/声音活动，北京互联网法院综合审判三庭副庭长曾表示“一些营销短视频、音频的商家经常在未经当事人许可和同意的情况下进行换脸、换声操作，以此获利”，降低人脸信息的收集、存储环节的安全隐患。消费者应保护好银行卡号、密码、身份证等个人信息；人脸、指纹等个人生物信息，发现可疑行为及时报警。 个人生物信息一旦泄露便后患无穷，尤其是人脸信息，上述案例中的收集人脸信息、通过技术手段攻击人脸识别防护系统，攻破后进行盗取转移资金等违法行为的犯罪链已较为成熟。通过AI技术攻击人脸识别防护系统的手段可分为深度伪造攻击与对抗样本攻击。深度伪造攻击是将一个人的面部表情移植到另一个人照片的面部，从而让被移植人照片活化起来；对抗样本攻击是在人脸照片上添加难以察觉的微小扰动使人脸识别系统误判。本次案例中，不法分子极可能是利用视频通话采集受害者人脸信息…

近期，研究人员发布了一种工具，可以绕过 Google 新的 App-Bound 加密 cookie 盗窃防御，并从 Chrome 网络浏览器中提取保存的凭据。 该工具名为“Chrome-App-Bound-Encryption-Decryption”，由网络安全研究员 Alexander Hagenah 发现，其他人已经在找出类似的绕过方法。 尽管该工具实现了多个信息窃取者操作已添加到其恶意软件中的功能，但其公开可用性增加了继续在浏览器中存储敏感数据的 Chrome 用户的风险。 Google 的应用程序绑定加密问题 Google 在 7 月份推出了应用程序绑定（App-Bound）加密（Chrome 127）作为一种新的保护机制，该机制使用以 SYSTEM 权限运行的 Windows 服务来加密 cookie。 其目标是保护敏感信息免受 infostealer 恶意软件的侵害，该恶意软件在登录用户的权限下运行，使其无法在没有首先获得系统权限的情况下解密被盗的 cookie，并可能在安全软件中发出警报。 谷歌在 7 月份曾解释：“由于 App-Bound 服务是以系统权限运行的，攻击者需要做的不仅仅是诱骗用户运行恶意应用程序。现在，恶意软件必须获得系统权限，或者将代码注入 Chrome，这是合法软件不应该做的事情。” 然而，到了 9 月份，多个信息窃取者已经找到了绕过新安全功能的方法，并为他们的网络犯罪客户提供了再次窃取和解密 Google Chrome 敏感信息的能力。 信息窃取者开发人员与其工程师之间的“猫捉老鼠”游戏一直是意料之中，…