蓝队取证审计网络安全

往期回顾： 2024.7.22—2024.7.28安全动态周回顾 2024.7.15—2024.7.21安全动态周回顾 2024.7.8—2024.7.14安全动态周回顾 2024.7.1—2024.7.7安全动态周回顾 2024.6.24—2024.6.30安全动态周回顾 2024.6.17—2024.6.23安全动态周回顾 2024.6.10—2024.6.16安全动态周回顾

最近，T-Mobile 应用程序的一个漏洞使得消费者面临严重的数据泄露风险，这是一个令人感到非常不安的通告。这个安全漏洞可以让攻击者获得其他用户的信用卡号和地址等敏感信息以及用户个人账户。这一事件也引发了人们对该公司是否在致力于保护用户数据的担忧。 据报道，2023 年 9 月 20 日，研究员发现了该漏洞的存在。该应用程序允许未经授权的人检查 T-Mobile客户的各种个人数据。除了姓名和联系方式外，其中还包括了信用卡号码等极其隐私的信息，这将会使得消费者面临资金损失的风险。 T-Mobile 公司很快对这一事件做出了回应。公司发言人表示，我们非常重视客户的安全和隐私。一旦发现了这个漏洞，我们的技术团队就立即在努力解决和修正这个故障。他们向用户保证，目前已立即采取措施来缓解漏洞所造成的影响。 安全专家目前已经强调了该事态的紧迫性。网络安全分析师布莱恩-汤普森（Brian Thompson）强调说："这一事件也凸显了强大的网络安全协议的重要性，尤其是对于处理敏感用户数据的公司而言。像 T-Mobile 这样的企业必须对其系统安全保持警惕，防止此类漏洞再次发生。 该漏洞不仅使用户的信息安全面临更大的风险，而且还引发了对 T-Mobile 数据保护措施的质疑。用户非常信任他们的网络服务提供商，将大量个人信息交给他们，而类似事件会削弱客户的这种信任。 T-Mobile 已建议用户将其应用程序更新到最新版本，这其中包含了修复该故障的必要补丁。此外，T-Mobile 还鼓励用户监控账户中的任何异常活动并及时进行报告。 这一事件严酷地提醒我们，在数…

黑客利用新的 GodLoader 恶意软件，广泛使用 Godot 游戏引擎功能，在短短三个月内逃避检测并感染了 17,000 多个系统。 Check Point Research 在调查攻击时发现，威胁者可以使用此恶意软件加载程序来针对所有主要平台（包括 Windows、macOS、Linux、Android 和 iOS）的游戏玩家。它还利用 Godot 的灵活性及其 GDScript 脚本语言功能来执行任意代码，并使用游戏引擎 .pck 文件（打包游戏资产）绕过检测系统来嵌入有害脚本。 一旦加载，恶意制作的文件就会触发受害者设备上的恶意代码，使攻击者能够窃取凭据或下载其他有效负载，包括 XMRig 加密矿工。 该矿工恶意软件的配置托管在 5 月份上传的私人 Pastebin 文件中，该文件在整个活动期间被访问了 206,913 次。 至少自 2024 年 6 月 29 日起，网络犯罪分子一直在利用 Godot Engine 执行精心设计的 GDScript 代码，从而触发恶意命令并传播恶意软件。VirusTotal 上的大多数防病毒工具仍未检测到这种技术，可能仅在短短的时间内就感染了超过 17,000 台计算机。 Godot 拥有一个充满活力且不断发展的开发者社区，他们重视其开源性质和强大的功能。超过 2,700 名开发者为 Godot 游戏引擎做出了贡献，而在 Discord、YouTube 和其他社交媒体平台等平台上，Godot 引擎拥有大约 80,000 名关注者，他们可以随时了解最新消息。 攻击链 攻击者通过 Starga…

美国网络安全和基础设施安全局(CSA)发布了新版本的“下一代恶意软件”，允许公众提交恶意软件样本供CSA分析。 恶意软件下一代是一个恶意软件分析平台，用于检测可疑工件的恶意软件样本,通过静态和动态分析工具接受自动恶意软件分析，使CSA能够通过自动化分析新发现的恶意软件从而加强网络防御，有助于促进国家网络安全和重要基础设施建设。 可用性 自2023年11月以来，政府等相关组织提供了下一代恶意软件，从1600份提交材料中查明了200个可疑或恶意文件和网址。为此CSA鼓励所有组织、安全研究人员和个人登记可疑档案，并将其提交该平台进行分析。 使用静态和动态分析工具在安全环境中分析提交的文件，结果以PDF和STIX2.1格式提供。 匿名抽样提交 目前只有CSA分析员和其他经过审核的人员才能访问该系统生成的恶意软件分析报告。

近期，研究人员发布了一种工具，可以绕过 Google 新的 App-Bound 加密 cookie 盗窃防御，并从 Chrome 网络浏览器中提取保存的凭据。 该工具名为“Chrome-App-Bound-Encryption-Decryption”，由网络安全研究员 Alexander Hagenah 发现，其他人已经在找出类似的绕过方法。 尽管该工具实现了多个信息窃取者操作已添加到其恶意软件中的功能，但其公开可用性增加了继续在浏览器中存储敏感数据的 Chrome 用户的风险。 Google 的应用程序绑定加密问题 Google 在 7 月份推出了应用程序绑定（App-Bound）加密（Chrome 127）作为一种新的保护机制，该机制使用以 SYSTEM 权限运行的 Windows 服务来加密 cookie。 其目标是保护敏感信息免受 infostealer 恶意软件的侵害，该恶意软件在登录用户的权限下运行，使其无法在没有首先获得系统权限的情况下解密被盗的 cookie，并可能在安全软件中发出警报。 谷歌在 7 月份曾解释：“由于 App-Bound 服务是以系统权限运行的，攻击者需要做的不仅仅是诱骗用户运行恶意应用程序。现在，恶意软件必须获得系统权限，或者将代码注入 Chrome，这是合法软件不应该做的事情。” 然而，到了 9 月份，多个信息窃取者已经找到了绕过新安全功能的方法，并为他们的网络犯罪客户提供了再次窃取和解密 Google Chrome 敏感信息的能力。 信息窃取者开发人员与其工程师之间的“猫捉老鼠”游戏一直是意料之中，…

威胁情报研究人员在名为 PROXYLIB 的活动中发现 VPN 应用程序在用户不知情的情况下将用户的设备变成了网络犯罪分子的工具。 网络犯罪分子通过其他人的设备（称为代理）发送流量，他们能够使用其他人的资源来完成工作，掩盖了攻击的根源，致使被阻止的可能性较小，并且如果他们的代理之一被阻止，他们仍然可以继续操作。 代理网络地下市场的存在就是为网络犯罪分子提供灵活的、可扩展的平台，从该平台发起广告欺诈、密码喷射和撞库攻击等活动。 研究人员在 Google Play 上发现了 28 个应用程序，这些应用程序将 Android 设备变成犯罪分子的代理。其中 17 个应用程序是免费 VPN。目前，所有这些内容均已从 Google Play 中删除。 此外，研究人员还在第三方存储库中发现了数百个应用程序，这些应用程序似乎使用 LumiApps 工具包，这是一个可用于加载 PROXYLIB 的软件开发工具包 (SDK)。他们还将 PROXYLIB 与另一个专门出售代理节点访问权限的平台（称为 Asocks）绑定在一起。 保护与清除 Android 用户现在可以通过 Google Play Protect 自动保护免受 PROXYLIB 攻击，该功能在具有 Google Play 服务的 Android 设备上默认处于启用状态。 可以使用移动设备的卸载功能卸载受影响的应用程序。然而，此类应用程序将来可能会以不同的名称出现，用户仍需警惕。 远离 PROXYLIB 的建议 ·不要安装来自第三方网站的应用程序。 ·不要安装免费 VPN。 ·使用适用于 Andr…

2023年11月，IPStorm基础设施被FBI拆除，同时对与IPStorm恶意软件有关的相关个人进行了定罪。这是当前打击网络威胁工作中的一个重要里程碑。 本文将对IPStorm恶意软件的变体和功能进行深入介绍。 2019年5月，来自anomaly的研究人员发现了一种新的针对Windows的Golang恶意软件，他们将其命名为IPStorm。IPStorm是一种僵尸网络，它滥用名为星际文件系统(IPFS)的合法点对点(p2p)网络作为掩盖恶意流量的手段。据发现，该恶意软件允许攻击者在受害者的Windows计算机上执行任意PowerShell命令。 研究人员最近确定了针对各种Linux架构(ARM, AMD64, Intel 80386)和平台(服务器，Android, IoT)的IPStorm新Linux变体并检测到一个macOS变体。在本文发布时，macOS变体和大多数Linux样本在VirusTotal中完全未被检测到。IPStorm是用Golang编写的，这使得Intezer能够检测到Linux样本和由anomaly首先报告的Windows恶意软件之间的跨平台代码连接。 linux变体比Windows变体有更多的功能，比如使用SSH暴力破解来传播给更多的受害者，以及滥用Steam游戏和广告平台的欺诈性网络活动。linux变体调整了一些功能，以解释该操作系统和Windows之间存在的根本差异。 接下来将介绍IPStorm Windows和Linux样本之间的代码关系图，分析其中一个Linux变体的行为，并将其功能和功能与旧的Wind…

密码重复使用似乎是很多人的常用做法，但这种行为却会对企业的网络安全产生深远影响。当用户在多个账户中重用密码时，这便为黑客进行破坏创造了一个黄金机会。 企业可能有自己强有力的密码策略，但如果重用密码广泛，可能会造成一种错误的安全感。 密码重用如何造成破坏 假设每一个终端用户都被提示创建一个由随机字母组成的多个字符的密码短语，那甚至可以对照最常用的密码列表进行检查。从表面上看活动目录的密码安全性很强，但当用户在不太安全的个人设备、网站或应用程序上重用这个密码时，危机就开始了。 黑客可能会在安全性差的情况下侵入网站的数据库，并访问每个用户的密码。从那里，他们可以试图找出个人在哪里就业，并查阅他们的工作帐户。攻击者还可以通过网络钓鱼等社会工程攻击个人来获得证书。 在密码被泄露的情况下，黑客们使用自动化的工具系统地在各种网站和应用程序中，包括那些与目标工作地点相关的网站和应用程序，测试被盗的用户名和密码组合。这使企业电子邮件帐户、内部系统、文件存储库，甚至行政权限均处于危险之中。 一旦进入网络，攻击者可以横向移动探索不同的系统，并升级他们的特权。攻击者可以访问敏感数据，破坏其他帐户、安装恶意软件，或在网络中发起进一步攻击。他们可以过滤敏感数据、操纵或删除信息、破坏业务，或扣留数据作为勒索筹码。 为什么人们会重复使用密码 密码重用主要是为了方便。用户倾向于选择易于记住的密码，并经常在多个账户中循环使用，以避免管理众多复杂密码的麻烦。 当我们考虑到用户在记住和管理多个密码方面的负担增加时，密码重用的出现并不奇怪。人们被他们需要管理的帐户和密码的数量所淹…

近日，美国国家安全局（NSA）和网络安全与基础设施安全局（CISA）联合发布了一份网络安全咨询报告，以强调大型组织中最常见的网络安全配置错误，并详细介绍了威胁行为者滥用这些错误配置的战术、技术和程序（TTPs）。 通过NSA和CISA红蓝团队的评估，以及NSA和CISA捕获和事件响应团队的活动，这些机构确定了以下10个最常见的网络安全配置错误： 1. 软件和应用程序的默认配置； 2. 用户/管理员权限的不当分离； 3. 内部网络监控不足； 4. 缺乏网络分段； 5. 补丁管理不善； 6. 系统访问控制的绕过； 7. 弱或误配置的多因素认证（MFA）方法； 8. 不充分的网络共享和服务的访问控制列表（ACLs）； 9. 糟糕的凭证卫生； 10. 无限制的代码执行。 这些配置错误说明了许多大型组织——包括那些具有成熟网络态势的组织的系统性漏洞和攻击风险，凸显了软件开发商采用“设计即安全”（secure-by-design）原则的重要性和紧迫性。 以下是每项配置错误以及威胁行为者用于滥用这些错误配置的战术、技术和程序（TTPs）的详细介绍。 1. 软件和应用程序的默认配置 系统、服务和应用程序的默认配置可能允许未经授权的访问或其他恶意活动。常见的默认配置包括： （1）默认凭据； （2）默认业务权限和配置设置； 默认凭证 许多软件开发商发布的商用现货（COTS）网络设备（通过应用程序或web门户提供用户访问）包含内置管理帐户的预定义默认凭据。恶意行为者和评估团队经常通过以下方式滥用默认凭证： （1）通过简单的网络搜索查找凭证，并使用它们获得对设备…

以下内容由WebRAY和Panabit联合发布 0x01 事件背景 从2024年5月开始，国内部分家用路由器开始出现间歇性断网、域名解析延迟高以及解析到海外IP等情况，今年8月该现象变得尤为严重。前几天在做应急响应时候发现某企业暴露在公网上的路由器配置的DNS地址被莫名其妙篡改了，主DNS地址是一个阿里云上的节点，备用DNS地址为1.1.1.1。起初以为这次事件跟近期的攻防演习相关，后面经过深入分析发现该事件并不是个例，我们已排查到有大量暴露在公网上的路由器都存在DNS被篡改的情况，且大部分用户基本没有感知。经过初步统计，攻击者使用的劫持DNS节点数已有百余个，用户访问受影响的目标主要覆盖了阿里云CDN、腾讯云CDN、华为云CDN等，导致了一系列的解析异常。短时间范围内，大量用户投诉对国内重要目标单位访问异常，造成严重安全隐患。 0x02 事件分析 盛邦安全烽火台实验室联合Panabit对该事件进行了专项分析，这起事件是属于典型的DNS劫持攻击事件，符合国外黑灰产组织的攻击特征。攻击者通过搜集公网可访问的路由器地址，利用漏洞或弱口令获取路由器控制权限，修改路由器DNS服务器地址，达到中间人攻击的效果。整体的攻击流程如下图所示： （图中假设攻击者对webray.com.cn进行了dns劫持） 用户在发起HTTP请求之前首先会进行DNS请求，由于绝大部分个人用户不会自定义DNS服务器，所以默认情况下会使用路由器的DNS服务器来进行域名解析。攻击者通过漏洞把路由器DNS服务器篡改为自己可控的恶意DNS服务器，并…

往期回顾： 2024.10.14—2024.10.20安全动态周回顾 2024.10.7—2024.10.13安全动态周回顾 2024.9.23—2024.9.29安全动态周回顾 2024.9.16—2024.9.22安全动态周回顾 2024.9.9—2024.9.15安全动态周回顾 2024.9.2—2024.9.8安全动态周回顾 2024.8.26—2024.9.1安全动态周回顾

网络安全研究人员最近发现了一种新的 Python 恶意软件，该恶意软件以讲鞑靼语的用户为攻击目标，鞑靼语是一种土耳其母语，主要是由俄罗斯及其邻国的鞑靼人使用。基于 Cyble 的恶意软件设计使其可以捕获目标系统的屏幕截图，并通过 FTP（文件传输协议）将其传输到远程的服务器内。 FTP 协议则可以使文件和文件夹通过基于 TCP 的网络（如互联网）从一台主机（目标系统）传输到另一台主机。 该攻击活动背后的威胁行为者就是臭名昭著的 TA866，该组织曾以鞑靼语使用者为目标，并利用 Python 恶意软件开展攻击行动。 TA866如何利用python恶意软件 据CRIL 称，威胁行为者 TA866 使用新型 Python 恶意软件在鞑靼共和国日发动攻击，攻击一直到持续到了 8 月底。 有报告称，一个名为 TA866 的威胁攻击者使用了PowerShell 脚本进行截图并将其上传到了远程 FTP 服务器。 威胁攻击者使用钓鱼电子邮件发送 Python 恶意软件对受害者进行攻击，这些邮件中都包含了一个恶意的 RAR 文件。 该文件包括了两个文件：一个视频文件和一个基于 Python 的可执行文件。 ·当加载程序执行后，就会启动一系列的攻击事件。它会从 Dropbox 下载一个压缩文件，其中包含两个 PowerShell 脚本和一个附加的可执行文件。 ·这些脚本使得创建使用恶意可执行文件运行的计划活动变得更加容易。据 Proofpoint 称，该威胁攻击者的金融攻击行动被命名为 "Screentime "。 TA866 威胁攻击者及其定制黑客工具…

声明：本文主要为RC²反窃密实验室研究成果分享，仅供交流与参考。 0x01 为什么要检测办公室？ 对于绝大多数高管而言，办公室显然是私密交流的主要场所，交谈频率远超过了会议室和咖啡厅。 毕竟，理论上， 它是确保人们能在公司角落敞开发牢骚的保障地。 它是两三个人喝着茶吃着零食讨论公司业务的避风港。 是公司明争暗斗是是非非的一个见证地。 这么一个既开放又私密的房间，你说重要不重要？ 0x02 办公室窃密真实案例 发生在办公室的故事，那可就多了。 2019年5月30日晚23时左右，甲乙丙丁所有高管收到了一封匿名邮件（该邮件并未发送给COO），邮件中附带一段被剪辑的音频。 在相关技术产品的人员帮助下，发现这段音频是由至少6-7段COO的谈话内容剪辑而成。音质清晰，是被录音窃听后合成的，时间跨度约为2019年1月至2019年4月，历时长达三个月。 这三个月窃听剪辑而成的音频，只截取了COO个人的讲话片段，无上下文，无与COO对话人的讲话内容。 而实际上，COO的办公室外就是员工的工位，外面还有前台，园区也有保安，要实现这个窃听需要里应外合才能实现。 那么，又是谁在监听COO的办公室谈话内容？这留下了不少悬念。 具体的例子不太方便举，大家看一则新闻。 所以，在办公室里安装针孔，到底是什么目的呢？ 固话/座机的非法窃听，也一直是商业间谍、企业内鬼、恶意调查公司、非政府组织、国际犯罪团伙等所使用的主要手段之一。 0x03 办公室的小物件才最麻烦 很多人压根想不到，一个高管的办公室里，会有多少小物件? 仅仅看办公桌，小的物件就包括…

背景 虽然整体上大家做分类分级的背景以及目标基本一致：满足监管要求；为数据合规和安全体系建设打好基础。但是实施落地的过程不尽相同，每个客户所处的行业不同，所要遵循的分类分级标准不同，同时每个客户的数据也是截然不同，定制化需求是普遍存在。 当前一些业务模式相对简单的公司，使用excel的方式人工进行数据分类分级；规模更大业务更复杂的公司自研或采购第三方数据分类分级产品或服务。市场上大部分供应商采取产品+服务的方式服务客户，其中产品敏感识别能力较弱更多以运营功能为主，敏感数据识别更多的以人力服务的方式帮助客户进行梳理，虽然能满足监管要求，但是存在以下公认的问题： · 无法做到持续运营，交付的产物是基于当时的数据情况，后续新增数据要么需要人介入重新进行梳理，要么无法保证能够持续准确识别 · 准确率低或不稳定，特别是在数据元信息质量较低的情况 · 人力投入成本高 仅满足监管要求不是我们的终极目标，我们希望用九智汇分类分级产品在满足监管的前提下，为数据合规和数据安全打下坚实的基础，所以我们： · 采集样本数据，走样本数据为主、元数据为辅的技术路线，一方面可以保证已建设的识别能力可持续识别，另一方面准确率稳定性不受元数据质量影响 ·提供智能化、 无侵人、开箱即用的同时，打造易用、灵活、强大的自定义功能，满足客户的定制化需求，一方面降低交付成本，另一方面降低门槛让客户可以自助使用产品进行敏感数据识别。 实践方案 如果没有系统或产品，纯人工来做数据分类分级，基本上大家完成这件事情的步骤都是：找数据在哪里->梳理数据有哪些->找敏感数据-&gt…

StopCrypt 勒索软件（又名 STOP）的新变种在野外被发现，它采用涉及 shellcode 的多阶段执行过程来逃避安全工具。 StopCrypt，也称为 STOP Djvu，是现有的分布最广泛的勒索软件之一。 因为这种勒索软件操作通常不针对企业，而是针对消费者，经常产生数万笔 400 至 1000 美元的小额赎金，以至于很少听到安全研究人员讨论 STOP。 STOP勒索软件通常通过恶意广告和可疑网站传播，这些网站会分发伪装成免费软件、游戏作弊和软件破解的广告软件捆绑包。 然而，当安装这些程序时，用户就会感染各种恶意软件，包括密码窃取木马和 STOP 勒索软件。 自 2018 年首次发布以来，勒索软件加密器没有太大变化，发布的新版本主要是为了修复关键问题。因此，当新的STOP版本发布时，由于受到影响的人数较多，值得关注。 新的多阶段执行 威胁研究团队在野外发现的 STOP 勒索软件新变种，现在利用多阶段执行机制。 最初，恶意软件加载一个看似不相关的 DLL 文件 (msim32.dll)，可能是为了转移注意力。它还实现了一系列长时间延迟循环，可能有助于绕过与时间相关的安全措施。 接下来，它使用堆栈上动态构造的 API 调用来为读/写和执行权限分配必要的内存空间，从而使检测变得更加困难。 StopCrypt 使用 API 调用进行各种操作，包括拍摄正在运行的进程的快照以了解其运行环境。 下一阶段涉及进程空洞，其中 StopCrypt 劫持合法进程并注入其有效负载以在内存中谨慎执行。这是通过一系列精心编排的 API 调用来操作进程内存…

据9月27日报道，一家专门从事人工智能（AI）产品的公司 OpenAI 创建了一个聊天机器人，它可以浏览网络并将最新信息纳入答复。 据OpenAI公司称，该聊天机器人已经可以在互联网上浏览最新的信息，此前，它只能通过人工智能的帮助，利用截至到 2021 年 9 月的数据去进行学习。现在利用此举，一些高级用户可以向聊天机器人询问时事问题、查看新闻。 OpenAI 在公告中也表示，该功能将很快向非高级用户开放，但并未具体说明这是否意味着没有高级订阅的用户也能使用 GPT-4，或是说 GPT 3.5 订阅用户也能使用该功能。 过去，这一人工智能系统是根据 2021 年 9 月以前的数据进行训练的，不久之后，OpenAI 打算将这项服务扩展到包括非付费用户在内的所有用户，让每个人都能利用这项服务。据OpenAI称，ChatGPT现在配备了浏览功能，允许用户执行技术研究、做假期计划或选择需要最新信息等任务。 作为浏览功能的一部分，ChatGPT还创建了一个可安装在 Chrome 浏览器上的扩展，其名为 "Browser with Bing"。有趣的是，ChatGPT 迄今最大的竞争对手——谷歌的 Bard 也推出了一个扩展，允许免费使用必应浏览网页。 ChatGPT Plus 和企业版用户可以使用该功能，用户也可以通过进入应用内的 "设置"，选择 "新功能" 选项，然后从选项列表中选择 "使用必应扩展浏览" 来使用该功能。 这让 ChatGPT 的许多用户欣喜，因为他们希望用最新的信息来使用 ChatGPT 的功能。 必应 iOS 和 Andr…

概述 上周（2024年3月6号），悬镜供应链安全情报中心在Pypi官方仓库（https://pypi.org/）中捕获1起新的Py包投毒事件，Python组件tohoku-tus-iot-automation 从3月6号开始连续发布6个不同版本恶意包，其中多个版本恶意代码使用PyArmor进行加密混淆保护，这些恶意包主要针对Windows平台的Python开发者，除了会窃取系统基础信息和主流浏览器(Edge、Chrome)用户密码数据，还会远程下载木马程序植入到开发者系统中盗取系统密码。 python恶意组件 截至目前，恶意组件tohoku-tus-iot-automation在Pypi官方仓库上已被下载461次。 tohoku-tus-iot-automation恶意组件下载量 该恶意组件包在国内主流Pypi镜像源(清华大学、腾讯云等)仍可正常下载、安装该恶意包，因此潜在的受害者数量将会更多。 以国内清华大学镜像源为例，可通过以下命令测试安装该恶意组件包。 pip3 Install tohoku-tus-iot-automation -i https://pypi.tuna.tsinghua.edu.cn/simple 投毒分析 当Python开发者使用pip install从Pypi官方仓库或下游镜像源直接安装或者依赖引用恶意组件包时，将自动触发执行组件包setup.py中的恶意攻击代码。setup.py被PyArmor加密混淆保护。 原始的恶意代码如下所示： 恶意代码主要包括4大攻击步骤： 收集系统信息 收集浏览器…

区块链攻击向量：区块链技术的主要漏洞（上） 区块链攻击向量 有数百种可能的区块链攻击针对应用程序的不同部分。让我们看一下关键向量和攻击示例： 点对点攻击 点对点（P2P）网络使区块链成为分布式账本。它包括合作处理交易、管理用户和管理区块链的所有网络参与者。 对于去中心化应用程序（dApp）和加密钱包，主要的网络要求是与可信的区块链节点提供商建立安全连接。此外，钱包和 dApp 之间需要安全连接，并且必须能够处理其他方的不当行为。 常见P2P攻击示例： Sybil攻击是通过向同一节点分配多个标识符来安排的。区块链网络没有可信节点，每个请求都会发送到多个随机节点。在女巫攻击期间，黑客控制多个网络节点。然后受害者就会被假节点包围，关闭他们的所有交易。最后，受害者容易受到双花攻击。 Eclipse 攻击需要黑客控制大量 IP 地址或拥有分布式僵尸网络。然后攻击者覆盖受害节点的tried表中的地址，并等待受害节点重新启动。重启后，受害节点的所有传出连接将被重定向到攻击者控制的IP地址。这使得受害者无法获得他们感兴趣的交易。 时间劫持利用了区块链时间戳处理中的理论上的漏洞。黑客改变节点的网络时间计数器并迫使节点接受替代区块链。当恶意用户将多个具有不准确时间戳的虚假对等点添加到网络时，就可以实现这一点。 Apriorit 针对保护 P2P 网络的建议： 使用 HTTPS 连接并验证 SSL 证书。这些措施允许网络节点建立安全连接并加密传输中的数据。这可以保护数据免遭盗窃和劫持。 验证资源真实性。创建执行恶意操作的流行资源的精确副本是一种常见的黑…

在过去的几个月里，Check Point Research一直在追踪分析“STAYIN’ ALIVE ”，这是一项至少从2021年就开始活跃的持续活动。该活动在亚洲开展，主要针对电信行业和政府机构。 “Stayin’Alive”活动主要由下载和加载程序组成，其中一些被用作针对知名亚洲组织的初始攻击载体。发现的第一个下载程序名为CurKeep，目标是越南、乌兹别克斯坦和哈萨克斯坦。 观察到的工具的简单化性质以及它们的流行表明它们是一次性的，主要用于下载和运行额外的有效负载，这些工具与任何已知攻击者创建的产品没有明显的代码重叠，并且彼此之间没有太多共同之处。然而，它们都与ToddyCat基础设施有关。 该活动利用鱼叉式网络钓鱼邮件利用DLL侧加载方案来传播压缩文件，最明显的是劫持Audinate的Dante Discovery软件(CVE-2022-23748)中的dal_keepalives.dll。 “STAYIN’ ALIVE ”活动背后的攻击者利用多个独特的加载程序和下载器，所有这些加载程序和下载器都连接到同一套基础设施，与一个通常被称为“ToddyCat”的攻击相关联。 后门和加载程序的功能是非常基本和高度可变的。这表明攻击者将它们视为一次性的，并且可能主要使用它们来获得初始访问权限。 CurKeep后门 调查是从2022年9月发送给越南电信公司的一封电子邮件开始的，该电子邮件被上传到VirusTotal。邮件主题CHỈ THỊ VỀ VIỆC QUY ĐỊNH QUẢN LÝ VÀ SỬ DỤNG USER，翻译为“管理和使用说明…

篇首语：这些年，杨叔发现，虽然越来越多的人都开始使用NLJD，但似乎很多人对这些设备的发展史，以及那些行业中曾经赫赫有名的公司和专家均一无所知。 我们都知道：很多技术的发展，都是要经过“引进--研究--学习--超越”这几个步骤，所以杨叔特别准备了「TSCM发展史」系列软文，希望能让更多人真正了解和走进TSCM行业。 声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 0x01 先说说NLJDNLJD，Non Linear Junction Detector，非线性结点探测器，可以说是当今开展TSCM反窃密检测、物理安全检测的必备专业设备之一。 通过识别PN结的非线性反应，NLJD能够轻易地检测到地板、家具及墙面里隐藏的电子器材，所以自1980年起，从欧美到亚洲，各国反间谍部门、情报机构、重要保密单位都开始大量装备NLJD，对内部环境开展严格的TSCM安全检测。 分享一份美国FBI的内部TSCM检测记录，这份写于1987年3月23日的报告，充分展现了定期检测的工作内容。 如上图可以看到，里面提及了无线检测、物理搜检及电话线路检测等等，均没有发现异常。 嗯，是的，自TSCM检测开展以来，在一个完整的TSCM检测流程里，不仅仅是非线性设备的使用，专业电话线路检测都是必查的内容，这是衡量TSCM检测能力专业与否的关键判断点之一。 更多内容，可以参加RC²的深度专家课程，也可以翻阅杨叔之前的这篇： 行业解密 | TSCM技术反窃密的前世今生 那么， 可能有人注意到了 为什么选择今天发这篇软文呢？ 因为对于…

声明：以下涉及到产品图片等内容均来自互联网，出于不让厂商尴尬的考虑，某些过于明显的特征均已做模糊化处理。 01 窃听门故事 以下案例来自互联网（百度搜索），仅用于案例的技术性表述参考，不做评论。 2019年6月28日，一篇题为《窃听门风波后续：甲乙丙丁网CEO手撕阿里铁军，谁给你的勇气？》的文章在网络上传开。 简单说就是： 一家名为“甲乙丙丁网”的汽车综合服务商，原公司业务运营中心COO周某，因“不能胜任工作”于6月3日在管理层周例会上被解除职务，并于6月24日被公司通知辞退。 据称，被辞退的导火索是，2019年5月30日晚23时左右，甲乙丙丁所有高管收到了一封匿名邮件（该邮件并未发送给周某），邮件中附带一段被剪辑的音频。 经技术分析，发现这段音频是由至少6-7段周某的谈话内容剪辑而成。音质清晰，猜测是被录音窃听后合成的，时间跨度约为2019年1月至2019年4月，历时长达三个月。 也因此，部分报道有评论称此举为公司窃听。 随后6月28日，甲乙丙丁公司官方发表声明澄清，称录剪辑的录音，“经过内部调查已确定为周某在部门会议中的发言，不存在任何公司私录窃听的情况。”并透露，发送音频者暂未查到，将通过司法机关对该录音进行鉴定。 02 为何要录音 几年前，杨叔和一位IT圈的老哥在酒吧小聚，他曾在某个大型企业董事会里有把椅子。 酒没过三旬，老哥就聊起了他的经历： 当年初入董事会，多年来深知“扬汤止沸，不如釜底抽薪”这个道理的他，在怀揣着“人不犯我我不犯人”的底线原则，他开始有意识地，在每一个和其他董事会成员独处的时候…

7月17日，首届“安全平行切面大会”在北京举行。在中国信息协会信息安全专业委员会指导下，蚂蚁集团等联合发起的“安全平行切面联盟” (Aspect-Oriented Technology Alliance，简称AOTA )在会上正式成立并举行授牌仪式。该联盟是基于“安全平行切面”架构的技术生态联盟，将以定向授权的形式，向行业开放安全平行切面核心技术底座。同时将建立人才培养体系、技术标准体系和切面应用生态，与行业携手推动提升企业安全架构的实战性、稳定性、安全性和易用性。 中国科学院院士冯登国、清华大学网络研究院教授段海新、北京赛博英杰科技有限公司创始人谭晓生等院士专家发表致辞，对安全切面体系的发展与未来表示肯定和期待。同时，会上向平安科技、炼石网络、默安科技等首批 14家联盟成员单位，以及安天科技、中测安华、华云安、红途科技、浙江超限首批5家联盟技术授权单位代表进行授牌。 （图：7月17日，“安全平行切面联盟”正式成立） （从左至右）联盟特聘专家、中国科学技术大学教授左晓栋，联盟理事长、蚂蚁集团副总裁、首席技术安全官韦韬，指导单位中国信息协会信息安全专委会副主任赵进延，技术授权单位代表北京华云安信息技术有限公司CEO沈传宝 中国科学院院士 冯登国 当前行业数字化加速，企业不断引入外部数字产品服务、行业技术体系演化，将会导致企业安全的复杂性爆炸式增长。为应对此挑战，2019年蚂蚁集团首创了全新的安全防护体系“安全平行切面”，把安全能力融入企业技术基础设施里且与业务解耦，在不修改业务正常逻辑的情况下，实现攻击和风险的精确阻断和精细化数据治理。 …

循万变·见未来——技术前瞻 未来，静态代码分析领域发展趋势将呈现五大特征： 特征一：关注度提升 随着该领域技术的日益普及和需求的不断上升，在未来，该领域将会受到更多技术和市场的关注。 特征二：全面的代码质量评估 随着分析技术的提高，静态代码分析工具或将超越基本的语法和安全性检查，可提供包括代码风格、可维护性、性能等多方面的综合评估，并且安全性将会进一步被重视，静态代码分析在识别和预防安全漏洞方面的作用将变得更加显著，通过与持续集成/持续交付（CI/CD）流程的对接和IDE的支持等,成为软件开发中不可或缺的一环。 特征三：遵从性与合规性支持 工具将更加注重帮助企业满足行业标准和法规要求，减少合规风险，特别是在部分高度规范的行业中。 特征四：定制化解决方案与开源生态 用户对于定制化静态代码分析规则的需求将持续增长，同时开源工具因其灵活性和成本效益而受到更多开发者的青睐，并促进形成更加活跃的社区和生态系统。 特征五：智能化分析工具 人工智能和机器学习技术的发展或将被应用于静态代码分析，以提供更为深入和精准的代码审查。 ——四维创智（成都）科技发展有限公司 高级研发工程师 王磊 在静态代码分析领域，传统的审计工具往往受限于底层结构的不一致性和数据流分析的复杂性，导致跨语言审计和代码查询规则编写面临重重挑战。本议题旨在介绍YakLang.io团队在解决这些难题上取得的突破性成果，特别是YakSSA和SyntaxFlow两项创新技术。 YakSSA，一种为代码审计量身定制的静态单一赋值（SSA）格式中间表示（IR），解决了传统工具在OOP语言和闭包…

微软Office 0 day漏洞被用于北约峰会的攻击活动。 漏洞概述 7月11日，微软披露了一个影响多个Windows和office产品的未修复的0 day漏洞，漏洞CVE编号为CVE-2023-36884，CVSS V3评分8.3分。攻击者利用该漏洞可以通过恶意office文档实现远程代码执行，并在无需用户交互的情况下利用该漏洞实现复杂攻击。攻击者成功利用该漏洞可以访问敏感信息、关闭系统保护、拒绝正常用户对系统的访问。 漏洞被用于攻击北约峰会，与俄罗斯有关 CVE-2023-36884漏洞已被用于攻击参与北约峰会的组织。乌克兰计算机应急响应中心（CERT-UA）和BlackBerry研究人员称，攻击者使用伪装为乌克兰世界大会的恶意文档来安装恶意软件payload，包括MagicSpell加载器和RomCom后门。安装成功后，攻击者可以通过伪造的.docx或.rtf文档来发起远程代码执行攻击，向执行的工具传递一个命令。 利用该漏洞的攻击者6月的活动与RomCom存在相似之处。RomCom是一个俄罗斯黑客组织，主要利用勒索软件来窃取凭证、支持情报活动等。 漏洞补丁 目前该漏洞尚未修复，但微软称将通过每月的微软补丁日或其他安全更新的方式为用户提供补丁。微软称用户可以使用Defender for Office启用拦截所有office应用创建子进程攻击面减少规律来防止利用该漏洞的钓鱼攻击。 此外，用户还可以将以下应用名添加到HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explo…

近日，备受瞩目的动作角色扮演游戏《黑神话：悟空》遭遇网络攻击，这一事件引发广泛关注。该游戏由中国游戏开发公司 Game Science 开发，是一款基于中国古代神话《西游记》的开放世界游戏。 攻击的影响主要集中在游戏的发布平台——Steam上。 事件背景 《黑神话：悟空》自首次公布以来，就吸引了大量游戏爱好者的关注。其精美的画面和创新的玩法让人对这款游戏充满期待。然而，这也使得它进入攻击者视线，并对 Steam 平台发起了网络攻击。 攻击详情 根据多方报道，攻击者通过对 Steam 平台进行分布式拒绝服务（DDoS）攻击，导致平台出现了大规模的服务中断和不稳定现象。这种攻击通常会通过大量伪造的流量挤占目标服务器的资源，进而导致正常用户无法访问服务。 事件影响 此次攻击不仅影响了 Steam 平台的正常运营，也对《黑神话：悟空》的发布造成了不小的困扰。开发公司 Game Science 已经发布声明，表示他们正在与 Steam 平台紧密合作，尽快解决问题，确保游戏能够如期发布。 Steam 平台方面则对外表示，他们已经采取了紧急措施来应对攻击，并加强了系统的安全防护。他们还承诺将继续关注事态的发展，并与相关方保持沟通，以最大限度减少对用户的影响。 后续发展 目前，关于此次网络攻击的具体原因和攻击者身份仍然不明确。专家表示，这类攻击可能与游戏的高关注度有关，攻击者可能试图通过这种方式制造混乱，影响游戏的发售。 文章参考自：Game Science 官方声明. Game Science 网站 Steam 平台公告.Steam 新闻中心 《黑神话…