蓝队取证审计网络安全

众多开发者认为SO文件相对而言更加安全，并将许多核心算法、加密解密方法、协议等放在SO文件中。但是，黑客可以通过反编译SO库文件，窃取开发者花费大量人力物力财力的研发成果，进行创意窃取或二次打包，使得开发者和用户利益受损。 作为知名移动信息安全综合服务提供商，爱加密在SO加固方面拥有3大技术优势。 一、爱加密so VMP技术，对so文件的源码进行虚拟化保护，实现数据隐藏、防篡改、防Dump，增加逆向分析的难度。 二、爱加密so Linker技术，对so文件代码段、导出表和字符串等进行加密压缩，在函数运行时动态解密，防止so文件被静态分析，通过内存DUMP源码。 三、多重保护：多种so加固技术可以联合使用，增大了代码反汇编调试破解难度，提高so文件的安全性。爱加密可对Android及Linux 进行so加固，本次仅讲述Android SO加固方面的6大核心技术，即so加壳、so源码混淆、so源码虚拟化保护、so防调用、so Linker、so融合。 so加壳 利用自定义加密算法对C/C++源码编译出来的so文件进行加壳，将so文件的编码进行改变，使加壳后的so文件无法通过ida反编译工具查看导出符号，使so文件无法正确反编译和反汇编。加固后效果如图： so 源码混淆 爱加密通过对so文件的源码进行混淆，降低黑客反编译的可读性，增加反编译难度。可多种混淆方式联用，可根据自己的实际需求选择混淆强度，包含字符串加密、等效指令替换、基本块调度、基本块分裂、虚假控制流、控制流扁平化、控制流间接化，本次篇幅有限仅介绍前四种技术手段。 字符串加密：…

往期回顾： 2024.10.14—2024.10.20安全动态周回顾 2024.10.7—2024.10.13安全动态周回顾 2024.9.23—2024.9.29安全动态周回顾 2024.9.16—2024.9.22安全动态周回顾 2024.9.9—2024.9.15安全动态周回顾 2024.9.2—2024.9.8安全动态周回顾 2024.8.26—2024.9.1安全动态周回顾

循万变·见未来——技术前瞻 未来，静态代码分析领域发展趋势将呈现五大特征： 特征一：关注度提升 随着该领域技术的日益普及和需求的不断上升，在未来，该领域将会受到更多技术和市场的关注。 特征二：全面的代码质量评估 随着分析技术的提高，静态代码分析工具或将超越基本的语法和安全性检查，可提供包括代码风格、可维护性、性能等多方面的综合评估，并且安全性将会进一步被重视，静态代码分析在识别和预防安全漏洞方面的作用将变得更加显著，通过与持续集成/持续交付（CI/CD）流程的对接和IDE的支持等,成为软件开发中不可或缺的一环。 特征三：遵从性与合规性支持 工具将更加注重帮助企业满足行业标准和法规要求，减少合规风险，特别是在部分高度规范的行业中。 特征四：定制化解决方案与开源生态 用户对于定制化静态代码分析规则的需求将持续增长，同时开源工具因其灵活性和成本效益而受到更多开发者的青睐，并促进形成更加活跃的社区和生态系统。 特征五：智能化分析工具 人工智能和机器学习技术的发展或将被应用于静态代码分析，以提供更为深入和精准的代码审查。 ——四维创智（成都）科技发展有限公司 高级研发工程师 王磊 在静态代码分析领域，传统的审计工具往往受限于底层结构的不一致性和数据流分析的复杂性，导致跨语言审计和代码查询规则编写面临重重挑战。本议题旨在介绍YakLang.io团队在解决这些难题上取得的突破性成果，特别是YakSSA和SyntaxFlow两项创新技术。 YakSSA，一种为代码审计量身定制的静态单一赋值（SSA）格式中间表示（IR），解决了传统工具在OOP语言和闭包…

最近，T-Mobile 应用程序的一个漏洞使得消费者面临严重的数据泄露风险，这是一个令人感到非常不安的通告。这个安全漏洞可以让攻击者获得其他用户的信用卡号和地址等敏感信息以及用户个人账户。这一事件也引发了人们对该公司是否在致力于保护用户数据的担忧。 据报道，2023 年 9 月 20 日，研究员发现了该漏洞的存在。该应用程序允许未经授权的人检查 T-Mobile客户的各种个人数据。除了姓名和联系方式外，其中还包括了信用卡号码等极其隐私的信息，这将会使得消费者面临资金损失的风险。 T-Mobile 公司很快对这一事件做出了回应。公司发言人表示，我们非常重视客户的安全和隐私。一旦发现了这个漏洞，我们的技术团队就立即在努力解决和修正这个故障。他们向用户保证，目前已立即采取措施来缓解漏洞所造成的影响。 安全专家目前已经强调了该事态的紧迫性。网络安全分析师布莱恩-汤普森（Brian Thompson）强调说："这一事件也凸显了强大的网络安全协议的重要性，尤其是对于处理敏感用户数据的公司而言。像 T-Mobile 这样的企业必须对其系统安全保持警惕，防止此类漏洞再次发生。 该漏洞不仅使用户的信息安全面临更大的风险，而且还引发了对 T-Mobile 数据保护措施的质疑。用户非常信任他们的网络服务提供商，将大量个人信息交给他们，而类似事件会削弱客户的这种信任。 T-Mobile 已建议用户将其应用程序更新到最新版本，这其中包含了修复该故障的必要补丁。此外，T-Mobile 还鼓励用户监控账户中的任何异常活动并及时进行报告。 这一事件严酷地提醒我们，在数…

网络安全供应商Sophos近日被一种名为SophosEncrypt的新型勒索软件即服务冒充，威胁分子打着这家公司的旗号实施攻击活动。 MalwareHunterTeam昨天发现了这个勒索软件，起初还以为是Sophos红队演习的一部分。 然而，Sophos X-Ops团队在推特上表示，他们并没有创建这个加密器，他们在调查其相关情况。 Sophos发推文声称：“我们早些时候在VT上发现了这个勒索软件，一直在调查。我们的初步调查结果显示，Sophos InterceptX可以抵御这些勒索软件样本。” 此外，ID Ransomware显示了来自被感染受害者的一份提交，表明这起勒索软件即服务活动处于活跃状态。 虽然目前对RaaS活动及推广方式知之甚少，但MalwareHunterTeam发现了一个加密器的样本，让我们可以快速了解它是如何运作的。 SophosEncrypt勒索软件 勒索软件加密器是用Rust编写的，使用C:\Users\Dubinin\路径作为其crate。在内部，勒索软件被命名为“sophos_encrypt”，因此它被称为SophosEncrypt，检测结果已经被添加到了ID Ransomware中。 一旦执行，加密器提示勒索软件加盟组织输入与受害者相关的令牌，该令牌可能最初从勒索软件的管理面板中获取。 输入令牌后，加密器将连接到179.43.154.137:21119，并验证令牌是否有效。勒索软件专家Michael Gillespie发现，可以通过禁用网卡来绕过这道验证，从而实际上在离线状态下运行加密器。 输入有效的令牌后，加…

密码重复使用似乎是很多人的常用做法，但这种行为却会对企业的网络安全产生深远影响。当用户在多个账户中重用密码时，这便为黑客进行破坏创造了一个黄金机会。 企业可能有自己强有力的密码策略，但如果重用密码广泛，可能会造成一种错误的安全感。 密码重用如何造成破坏 假设每一个终端用户都被提示创建一个由随机字母组成的多个字符的密码短语，那甚至可以对照最常用的密码列表进行检查。从表面上看活动目录的密码安全性很强，但当用户在不太安全的个人设备、网站或应用程序上重用这个密码时，危机就开始了。 黑客可能会在安全性差的情况下侵入网站的数据库，并访问每个用户的密码。从那里，他们可以试图找出个人在哪里就业，并查阅他们的工作帐户。攻击者还可以通过网络钓鱼等社会工程攻击个人来获得证书。 在密码被泄露的情况下，黑客们使用自动化的工具系统地在各种网站和应用程序中，包括那些与目标工作地点相关的网站和应用程序，测试被盗的用户名和密码组合。这使企业电子邮件帐户、内部系统、文件存储库，甚至行政权限均处于危险之中。 一旦进入网络，攻击者可以横向移动探索不同的系统，并升级他们的特权。攻击者可以访问敏感数据，破坏其他帐户、安装恶意软件，或在网络中发起进一步攻击。他们可以过滤敏感数据、操纵或删除信息、破坏业务，或扣留数据作为勒索筹码。 为什么人们会重复使用密码 密码重用主要是为了方便。用户倾向于选择易于记住的密码，并经常在多个账户中循环使用，以避免管理众多复杂密码的麻烦。 当我们考虑到用户在记住和管理多个密码方面的负担增加时，密码重用的出现并不奇怪。人们被他们需要管理的帐户和密码的数量所淹…

2023年8月21日，安全研究人员兼HackerOne顾问委员会成员Corben Leo在社交媒体上宣布，他侵入了一家汽车公司，随后发布了一则帖子，解释如何获得了数百个代码库的访问权限。 图1 Corben参加了由这家汽车制造商发起的漏洞悬赏计划。漏洞悬赏是众多行业一种非常普遍的做法，旨在奖励道德黑客发现问题并以负责任的方式报告问题，这种做法久经时间的考验，为许多公司带来了显著的效果。与此同时，有报道称与其他行业相比，汽车制造商支付的漏洞赏金往往少得多。 就本文这个案例而言，这家汽车公司给出了合理的奖励，Corben也有合理的动机去发现和报告这个可能引发危机的漏洞。Corben在帖子中阐述了其攻击方法。简而言之，通过反复试错，他找到了所谓的入站控制器，这其实是用于Kubernetes环境的负载均衡器，通过蛮力攻击，操纵主机报头，他发现了一个错误配置的Spring Boot Actuator（Sprint Boot框架的子项目），该Actuator使用HTTP端点来公开运行应用程序方面的操作信息，他发现的端点是' /env '和' /heapdump '端点。这时候凭据登场亮相了。 图2 ' /env '端点拥有经过适当编辑处理的密码，这意味着进入了死胡同，然而，' /heapdump'端点含有存储在内存中的应用程序对象的快照，暴露了明文格式的凭据。在搜索关键字仅仅几分钟后，他就找到了oauth2凭据，他利用这些凭据访问了一个之前发现的config-server实例；同样由于另一个错误配置的Spring Boot Actuator，他…

2023年11月，IPStorm基础设施被FBI拆除，同时对与IPStorm恶意软件有关的相关个人进行了定罪。这是当前打击网络威胁工作中的一个重要里程碑。 本文将对IPStorm恶意软件的变体和功能进行深入介绍。 2019年5月，来自anomaly的研究人员发现了一种新的针对Windows的Golang恶意软件，他们将其命名为IPStorm。IPStorm是一种僵尸网络，它滥用名为星际文件系统(IPFS)的合法点对点(p2p)网络作为掩盖恶意流量的手段。据发现，该恶意软件允许攻击者在受害者的Windows计算机上执行任意PowerShell命令。 研究人员最近确定了针对各种Linux架构(ARM, AMD64, Intel 80386)和平台(服务器，Android, IoT)的IPStorm新Linux变体并检测到一个macOS变体。在本文发布时，macOS变体和大多数Linux样本在VirusTotal中完全未被检测到。IPStorm是用Golang编写的，这使得Intezer能够检测到Linux样本和由anomaly首先报告的Windows恶意软件之间的跨平台代码连接。 linux变体比Windows变体有更多的功能，比如使用SSH暴力破解来传播给更多的受害者，以及滥用Steam游戏和广告平台的欺诈性网络活动。linux变体调整了一些功能，以解释该操作系统和Windows之间存在的根本差异。 接下来将介绍IPStorm Windows和Linux样本之间的代码关系图，分析其中一个Linux变体的行为，并将其功能和功能与旧的Wind…

威胁情报研究人员在名为 PROXYLIB 的活动中发现 VPN 应用程序在用户不知情的情况下将用户的设备变成了网络犯罪分子的工具。 网络犯罪分子通过其他人的设备（称为代理）发送流量，他们能够使用其他人的资源来完成工作，掩盖了攻击的根源，致使被阻止的可能性较小，并且如果他们的代理之一被阻止，他们仍然可以继续操作。 代理网络地下市场的存在就是为网络犯罪分子提供灵活的、可扩展的平台，从该平台发起广告欺诈、密码喷射和撞库攻击等活动。 研究人员在 Google Play 上发现了 28 个应用程序，这些应用程序将 Android 设备变成犯罪分子的代理。其中 17 个应用程序是免费 VPN。目前，所有这些内容均已从 Google Play 中删除。 此外，研究人员还在第三方存储库中发现了数百个应用程序，这些应用程序似乎使用 LumiApps 工具包，这是一个可用于加载 PROXYLIB 的软件开发工具包 (SDK)。他们还将 PROXYLIB 与另一个专门出售代理节点访问权限的平台（称为 Asocks）绑定在一起。 保护与清除 Android 用户现在可以通过 Google Play Protect 自动保护免受 PROXYLIB 攻击，该功能在具有 Google Play 服务的 Android 设备上默认处于启用状态。 可以使用移动设备的卸载功能卸载受影响的应用程序。然而，此类应用程序将来可能会以不同的名称出现，用户仍需警惕。 远离 PROXYLIB 的建议 ·不要安装来自第三方网站的应用程序。 ·不要安装免费 VPN。 ·使用适用于 Andr…

区块链攻击向量：区块链技术的主要漏洞（上） 区块链攻击向量 有数百种可能的区块链攻击针对应用程序的不同部分。让我们看一下关键向量和攻击示例： 点对点攻击 点对点（P2P）网络使区块链成为分布式账本。它包括合作处理交易、管理用户和管理区块链的所有网络参与者。 对于去中心化应用程序（dApp）和加密钱包，主要的网络要求是与可信的区块链节点提供商建立安全连接。此外，钱包和 dApp 之间需要安全连接，并且必须能够处理其他方的不当行为。 常见P2P攻击示例： Sybil攻击是通过向同一节点分配多个标识符来安排的。区块链网络没有可信节点，每个请求都会发送到多个随机节点。在女巫攻击期间，黑客控制多个网络节点。然后受害者就会被假节点包围，关闭他们的所有交易。最后，受害者容易受到双花攻击。 Eclipse 攻击需要黑客控制大量 IP 地址或拥有分布式僵尸网络。然后攻击者覆盖受害节点的tried表中的地址，并等待受害节点重新启动。重启后，受害节点的所有传出连接将被重定向到攻击者控制的IP地址。这使得受害者无法获得他们感兴趣的交易。 时间劫持利用了区块链时间戳处理中的理论上的漏洞。黑客改变节点的网络时间计数器并迫使节点接受替代区块链。当恶意用户将多个具有不准确时间戳的虚假对等点添加到网络时，就可以实现这一点。 Apriorit 针对保护 P2P 网络的建议： 使用 HTTPS 连接并验证 SSL 证书。这些措施允许网络节点建立安全连接并加密传输中的数据。这可以保护数据免遭盗窃和劫持。 验证资源真实性。创建执行恶意操作的流行资源的精确副本是一种常见的黑…

研究人员研发的人工智能算法，可检测到针对军用无人驾驶车辆的中间人攻击。 机器人操作系统（ROS）是高度网络化的，机器人之间需要协作，其中的传感器、控制器等需要通信并通过云服务交换信息，因此极易受到数据泄露和电磁劫持攻击等网络攻击。中间人攻击（MitM）是一种可以拦截和篡改两方通信数据的网络攻击，中间人攻击可破坏无人驾驶车辆的操作、修改传输的指令、甚至控制和指导机器人进行危险的动作。 机器人系统可以从不同层面进行攻击，包括核心系统、子系统、子组件，引发使机器人无法正常工作的操作问题。澳大利亚南澳大学（University of South Australia）和查尔斯特大学研究人员研发了一种可以检测和拦截针对军用无人机器人的中间人攻击的人工智能算法，使用机器学习技术检测中间人攻击，并在几秒钟内就可以阻断攻击。 图为中间人攻击可以攻击的不同节点 检测针对针对无人驾驶车辆和机器人的中间人攻击极其复杂，因此这些系统都在容错模式下运行，区分正常操作和错误条件非常困难。研究人员研发了一个机器学习系统，可以分析机器人的网络流量以检测尝试入侵机器人系统的恶意流量，系统使用基于节点的方法，仔细检查包数据，使用基于流统计的系统来从包头读取元数据，使用深度学习卷积神经网络（CNN）来增强检测结果的准确性。 图为测试中使用的机器人 研究人员使用GVR-BOT机器人进行了测试，实验表明可以成功阻断99%的中间人攻击，假阳性率小于2%。 图为传感器数据（攻击从300秒开始） 图为性能测试结果 研究人员称该系统经过改进可以用于其他机器人系统，如无人机系统。与…

以下内容由WebRAY和Panabit联合发布 0x01 事件背景 从2024年5月开始，国内部分家用路由器开始出现间歇性断网、域名解析延迟高以及解析到海外IP等情况，今年8月该现象变得尤为严重。前几天在做应急响应时候发现某企业暴露在公网上的路由器配置的DNS地址被莫名其妙篡改了，主DNS地址是一个阿里云上的节点，备用DNS地址为1.1.1.1。起初以为这次事件跟近期的攻防演习相关，后面经过深入分析发现该事件并不是个例，我们已排查到有大量暴露在公网上的路由器都存在DNS被篡改的情况，且大部分用户基本没有感知。经过初步统计，攻击者使用的劫持DNS节点数已有百余个，用户访问受影响的目标主要覆盖了阿里云CDN、腾讯云CDN、华为云CDN等，导致了一系列的解析异常。短时间范围内，大量用户投诉对国内重要目标单位访问异常，造成严重安全隐患。 0x02 事件分析 盛邦安全烽火台实验室联合Panabit对该事件进行了专项分析，这起事件是属于典型的DNS劫持攻击事件，符合国外黑灰产组织的攻击特征。攻击者通过搜集公网可访问的路由器地址，利用漏洞或弱口令获取路由器控制权限，修改路由器DNS服务器地址，达到中间人攻击的效果。整体的攻击流程如下图所示： （图中假设攻击者对webray.com.cn进行了dns劫持） 用户在发起HTTP请求之前首先会进行DNS请求，由于绝大部分个人用户不会自定义DNS服务器，所以默认情况下会使用路由器的DNS服务器来进行域名解析。攻击者通过漏洞把路由器DNS服务器篡改为自己可控的恶意DNS服务器，并…

背景 虽然整体上大家做分类分级的背景以及目标基本一致：满足监管要求；为数据合规和安全体系建设打好基础。但是实施落地的过程不尽相同，每个客户所处的行业不同，所要遵循的分类分级标准不同，同时每个客户的数据也是截然不同，定制化需求是普遍存在。 当前一些业务模式相对简单的公司，使用excel的方式人工进行数据分类分级；规模更大业务更复杂的公司自研或采购第三方数据分类分级产品或服务。市场上大部分供应商采取产品+服务的方式服务客户，其中产品敏感识别能力较弱更多以运营功能为主，敏感数据识别更多的以人力服务的方式帮助客户进行梳理，虽然能满足监管要求，但是存在以下公认的问题： · 无法做到持续运营，交付的产物是基于当时的数据情况，后续新增数据要么需要人介入重新进行梳理，要么无法保证能够持续准确识别 · 准确率低或不稳定，特别是在数据元信息质量较低的情况 · 人力投入成本高 仅满足监管要求不是我们的终极目标，我们希望用九智汇分类分级产品在满足监管的前提下，为数据合规和数据安全打下坚实的基础，所以我们： · 采集样本数据，走样本数据为主、元数据为辅的技术路线，一方面可以保证已建设的识别能力可持续识别，另一方面准确率稳定性不受元数据质量影响 ·提供智能化、 无侵人、开箱即用的同时，打造易用、灵活、强大的自定义功能，满足客户的定制化需求，一方面降低交付成本，另一方面降低门槛让客户可以自助使用产品进行敏感数据识别。 实践方案 如果没有系统或产品，纯人工来做数据分类分级，基本上大家完成这件事情的步骤都是：找数据在哪里->梳理数据有哪些->找敏感数据-&gt…

篇首语：这些年，杨叔发现，虽然越来越多的人都开始使用NLJD，但似乎很多人对这些设备的发展史，以及那些行业中曾经赫赫有名的公司和专家均一无所知。 我们都知道：很多技术的发展，都是要经过“引进--研究--学习--超越”这几个步骤，所以杨叔特别准备了「TSCM发展史」系列软文，希望能让更多人真正了解和走进TSCM行业。 声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 0x01 先说说NLJDNLJD，Non Linear Junction Detector，非线性结点探测器，可以说是当今开展TSCM反窃密检测、物理安全检测的必备专业设备之一。 通过识别PN结的非线性反应，NLJD能够轻易地检测到地板、家具及墙面里隐藏的电子器材，所以自1980年起，从欧美到亚洲，各国反间谍部门、情报机构、重要保密单位都开始大量装备NLJD，对内部环境开展严格的TSCM安全检测。 分享一份美国FBI的内部TSCM检测记录，这份写于1987年3月23日的报告，充分展现了定期检测的工作内容。 如上图可以看到，里面提及了无线检测、物理搜检及电话线路检测等等，均没有发现异常。 嗯，是的，自TSCM检测开展以来，在一个完整的TSCM检测流程里，不仅仅是非线性设备的使用，专业电话线路检测都是必查的内容，这是衡量TSCM检测能力专业与否的关键判断点之一。 更多内容，可以参加RC²的深度专家课程，也可以翻阅杨叔之前的这篇： 行业解密 | TSCM技术反窃密的前世今生 那么， 可能有人注意到了 为什么选择今天发这篇软文呢？ 因为对于…

Fortra 称，FileCatalyst Workflow 中存在一个严重的硬编码密码漏洞，攻击者可以利用该漏洞未经授权访问内部数据库，从而窃取数据并获得管理员权限。 任何人都可以使用该硬编码密码远程访问暴露的 FileCatalyst Workflow HyperSQL (HSQLDB) 数据库，从而未经授权访问潜在的敏感信息。 此外，数据库凭据可能会被滥用来创建新的管理员用户，因此攻击者可以获得对 FileCatalyst Workflow 应用程序的管理级访问权限并完全控制系统。 在最近发布的安全公告中，Fortra 表示该问题被跟踪为 CVE-2024-6633（CVSS v3.1：9.8，“严重”），影响 FileCatalyst Workflow 5.1.6 Build 139 及更早版本。建议用户升级到 5.1.7 或更高版本。 Fortra 在公告中指出，HSQLDB 仅用于简化安装过程，并建议用户在安装后设置替代解决方案。因为没有按照建议配置 FileCatalyst Workflow 使用备用数据库的用户很容易受到任何可以到达 HSQLDB 的来源的攻击。暂时还没有缓解措施或解决方法，因此建议系统管理员尽快应用可用的安全更新。 缺陷发现和细节 Tenable 于 2024 年 7 月 1 日发现了 CVE-2024-6633，当时他们在所有 FileCatalyst Workflow 部署中都发现了相同的静态密码“GOSENSGO613”。Tenable 解释说，在产品的默认设置下，可以通过 TCP 端口 4406 …

声明：本文主要为RC²反窃密实验室研究成果分享，仅供交流与参考。 0x01 为什么要检测办公室？ 对于绝大多数高管而言，办公室显然是私密交流的主要场所，交谈频率远超过了会议室和咖啡厅。 毕竟，理论上， 它是确保人们能在公司角落敞开发牢骚的保障地。 它是两三个人喝着茶吃着零食讨论公司业务的避风港。 是公司明争暗斗是是非非的一个见证地。 这么一个既开放又私密的房间，你说重要不重要？ 0x02 办公室窃密真实案例 发生在办公室的故事，那可就多了。 2019年5月30日晚23时左右，甲乙丙丁所有高管收到了一封匿名邮件（该邮件并未发送给COO），邮件中附带一段被剪辑的音频。 在相关技术产品的人员帮助下，发现这段音频是由至少6-7段COO的谈话内容剪辑而成。音质清晰，是被录音窃听后合成的，时间跨度约为2019年1月至2019年4月，历时长达三个月。 这三个月窃听剪辑而成的音频，只截取了COO个人的讲话片段，无上下文，无与COO对话人的讲话内容。 而实际上，COO的办公室外就是员工的工位，外面还有前台，园区也有保安，要实现这个窃听需要里应外合才能实现。 那么，又是谁在监听COO的办公室谈话内容？这留下了不少悬念。 具体的例子不太方便举，大家看一则新闻。 所以，在办公室里安装针孔，到底是什么目的呢？ 固话/座机的非法窃听，也一直是商业间谍、企业内鬼、恶意调查公司、非政府组织、国际犯罪团伙等所使用的主要手段之一。 0x03 办公室的小物件才最麻烦 很多人压根想不到，一个高管的办公室里，会有多少小物件? 仅仅看办公桌，小的物件就包括…

在过去的几个月里，Check Point Research一直在追踪分析“STAYIN’ ALIVE ”，这是一项至少从2021年就开始活跃的持续活动。该活动在亚洲开展，主要针对电信行业和政府机构。 “Stayin’Alive”活动主要由下载和加载程序组成，其中一些被用作针对知名亚洲组织的初始攻击载体。发现的第一个下载程序名为CurKeep，目标是越南、乌兹别克斯坦和哈萨克斯坦。 观察到的工具的简单化性质以及它们的流行表明它们是一次性的，主要用于下载和运行额外的有效负载，这些工具与任何已知攻击者创建的产品没有明显的代码重叠，并且彼此之间没有太多共同之处。然而，它们都与ToddyCat基础设施有关。 该活动利用鱼叉式网络钓鱼邮件利用DLL侧加载方案来传播压缩文件，最明显的是劫持Audinate的Dante Discovery软件(CVE-2022-23748)中的dal_keepalives.dll。 “STAYIN’ ALIVE ”活动背后的攻击者利用多个独特的加载程序和下载器，所有这些加载程序和下载器都连接到同一套基础设施，与一个通常被称为“ToddyCat”的攻击相关联。 后门和加载程序的功能是非常基本和高度可变的。这表明攻击者将它们视为一次性的，并且可能主要使用它们来获得初始访问权限。 CurKeep后门 调查是从2022年9月发送给越南电信公司的一封电子邮件开始的，该电子邮件被上传到VirusTotal。邮件主题CHỈ THỊ VỀ VIỆC QUY ĐỊNH QUẢN LÝ VÀ SỬ DỤNG USER，翻译为“管理和使用说明…

StopCrypt 勒索软件（又名 STOP）的新变种在野外被发现，它采用涉及 shellcode 的多阶段执行过程来逃避安全工具。 StopCrypt，也称为 STOP Djvu，是现有的分布最广泛的勒索软件之一。 因为这种勒索软件操作通常不针对企业，而是针对消费者，经常产生数万笔 400 至 1000 美元的小额赎金，以至于很少听到安全研究人员讨论 STOP。 STOP勒索软件通常通过恶意广告和可疑网站传播，这些网站会分发伪装成免费软件、游戏作弊和软件破解的广告软件捆绑包。 然而，当安装这些程序时，用户就会感染各种恶意软件，包括密码窃取木马和 STOP 勒索软件。 自 2018 年首次发布以来，勒索软件加密器没有太大变化，发布的新版本主要是为了修复关键问题。因此，当新的STOP版本发布时，由于受到影响的人数较多，值得关注。 新的多阶段执行 威胁研究团队在野外发现的 STOP 勒索软件新变种，现在利用多阶段执行机制。 最初，恶意软件加载一个看似不相关的 DLL 文件 (msim32.dll)，可能是为了转移注意力。它还实现了一系列长时间延迟循环，可能有助于绕过与时间相关的安全措施。 接下来，它使用堆栈上动态构造的 API 调用来为读/写和执行权限分配必要的内存空间，从而使检测变得更加困难。 StopCrypt 使用 API 调用进行各种操作，包括拍摄正在运行的进程的快照以了解其运行环境。 下一阶段涉及进程空洞，其中 StopCrypt 劫持合法进程并注入其有效负载以在内存中谨慎执行。这是通过一系列精心编排的 API 调用来操作进程内存…

概述 上周（2024年3月6号），悬镜供应链安全情报中心在Pypi官方仓库（https://pypi.org/）中捕获1起新的Py包投毒事件，Python组件tohoku-tus-iot-automation 从3月6号开始连续发布6个不同版本恶意包，其中多个版本恶意代码使用PyArmor进行加密混淆保护，这些恶意包主要针对Windows平台的Python开发者，除了会窃取系统基础信息和主流浏览器(Edge、Chrome)用户密码数据，还会远程下载木马程序植入到开发者系统中盗取系统密码。 python恶意组件 截至目前，恶意组件tohoku-tus-iot-automation在Pypi官方仓库上已被下载461次。 tohoku-tus-iot-automation恶意组件下载量 该恶意组件包在国内主流Pypi镜像源(清华大学、腾讯云等)仍可正常下载、安装该恶意包，因此潜在的受害者数量将会更多。 以国内清华大学镜像源为例，可通过以下命令测试安装该恶意组件包。 pip3 Install tohoku-tus-iot-automation -i https://pypi.tuna.tsinghua.edu.cn/simple 投毒分析 当Python开发者使用pip install从Pypi官方仓库或下游镜像源直接安装或者依赖引用恶意组件包时，将自动触发执行组件包setup.py中的恶意攻击代码。setup.py被PyArmor加密混淆保护。 原始的恶意代码如下所示： 恶意代码主要包括4大攻击步骤： 收集系统信息 收集浏览器…

针对 Facebook 广告商的新网络安全威胁名为 VietCredCare。该信息窃取程序至少自 2022 年 8 月起就一直活跃，旨在通过自动过滤来自受感染设备的 Facebook 会话 cookie 和凭据来劫持企业 Facebook 帐户。 该恶意软件会评估被盗帐户是否管理业务资料以及是否有Meta广告信用余额。 VietCredCare 如何运作 VietCredCare 通过社交媒体帖子和即时消息平台上的虚假网站链接进行分发，伪装成 Microsoft Office 或 Acrobat Reader 等合法软件。 Group-IB 表示，安装后，它可以从网络浏览器中提取凭据、cookie 和会话 ID，包括 Google Chrome、Microsoft Edge 和 Cốc Cốc（一款专注于越南市场的浏览器）。 该恶意软件因其能够检索受害者的 IP 地址、检查 Facebook 帐户是否为企业资料以及评估该帐户当前是否管理广告而闻名。 它还采取措施通过禁用 Windows 反恶意软件扫描接口 (AMSI) 并将自身添加到Windows Defender 防病毒排除列表来逃避检测。 报告称，VietCredCare 的核心功能是过滤 Facebook 凭据，如果敏感帐户遭到泄露，将面临声誉和财务损失的风险。 多个政府机构、大学、电子商务平台、银行和越南公司的凭证已遭恶意软件窃取。 威胁分子使用被盗的 Facebook 帐户发布政治内容或传播网络钓鱼和附属诈骗以获取经济利益。 这种大规模恶意软件分发计划有助于接管企业 Fac…

声明：以下涉及到产品图片等内容均来自互联网，出于不让厂商尴尬的考虑，某些过于明显的特征均已做模糊化处理。 01 窃听门故事 以下案例来自互联网（百度搜索），仅用于案例的技术性表述参考，不做评论。 2019年6月28日，一篇题为《窃听门风波后续：甲乙丙丁网CEO手撕阿里铁军，谁给你的勇气？》的文章在网络上传开。 简单说就是： 一家名为“甲乙丙丁网”的汽车综合服务商，原公司业务运营中心COO周某，因“不能胜任工作”于6月3日在管理层周例会上被解除职务，并于6月24日被公司通知辞退。 据称，被辞退的导火索是，2019年5月30日晚23时左右，甲乙丙丁所有高管收到了一封匿名邮件（该邮件并未发送给周某），邮件中附带一段被剪辑的音频。 经技术分析，发现这段音频是由至少6-7段周某的谈话内容剪辑而成。音质清晰，猜测是被录音窃听后合成的，时间跨度约为2019年1月至2019年4月，历时长达三个月。 也因此，部分报道有评论称此举为公司窃听。 随后6月28日，甲乙丙丁公司官方发表声明澄清，称录剪辑的录音，“经过内部调查已确定为周某在部门会议中的发言，不存在任何公司私录窃听的情况。”并透露，发送音频者暂未查到，将通过司法机关对该录音进行鉴定。 02 为何要录音 几年前，杨叔和一位IT圈的老哥在酒吧小聚，他曾在某个大型企业董事会里有把椅子。 酒没过三旬，老哥就聊起了他的经历： 当年初入董事会，多年来深知“扬汤止沸，不如釜底抽薪”这个道理的他，在怀揣着“人不犯我我不犯人”的底线原则，他开始有意识地，在每一个和其他董事会成员独处的时候…

近日，备受瞩目的动作角色扮演游戏《黑神话：悟空》遭遇网络攻击，这一事件引发广泛关注。该游戏由中国游戏开发公司 Game Science 开发，是一款基于中国古代神话《西游记》的开放世界游戏。 攻击的影响主要集中在游戏的发布平台——Steam上。 事件背景 《黑神话：悟空》自首次公布以来，就吸引了大量游戏爱好者的关注。其精美的画面和创新的玩法让人对这款游戏充满期待。然而，这也使得它进入攻击者视线，并对 Steam 平台发起了网络攻击。 攻击详情 根据多方报道，攻击者通过对 Steam 平台进行分布式拒绝服务（DDoS）攻击，导致平台出现了大规模的服务中断和不稳定现象。这种攻击通常会通过大量伪造的流量挤占目标服务器的资源，进而导致正常用户无法访问服务。 事件影响 此次攻击不仅影响了 Steam 平台的正常运营，也对《黑神话：悟空》的发布造成了不小的困扰。开发公司 Game Science 已经发布声明，表示他们正在与 Steam 平台紧密合作，尽快解决问题，确保游戏能够如期发布。 Steam 平台方面则对外表示，他们已经采取了紧急措施来应对攻击，并加强了系统的安全防护。他们还承诺将继续关注事态的发展，并与相关方保持沟通，以最大限度减少对用户的影响。 后续发展 目前，关于此次网络攻击的具体原因和攻击者身份仍然不明确。专家表示，这类攻击可能与游戏的高关注度有关，攻击者可能试图通过这种方式制造混乱，影响游戏的发售。 文章参考自：Game Science 官方声明. Game Science 网站 Steam 平台公告.Steam 新闻中心 《黑神话…

身份盗窃资源中心 (ITRC)在 2024 年第二季度追踪了 1,041,312,601 名数据泄露受害者，数据显示，比 2023 年第二季度（81,958,874 名受害者）增加了 1,170%。 人数增加的绝大部分原因是由于大多数人们的妥协。ITRC 提到 Prudential（250 万人）和 Infosys McCamish Systems（600 万人）事件是主要导火索。 由于这两起泄密事件都是在 2024 年第二季度宣布的，因此对数据产生了巨大影响。当比较 2024 年上半年 (H1 2024) 的数据泄露受害者数量时，研究人员发现与 2023 年上半年相比，这一数字增长了 490%。 ITRC 对一些数字进行了分解，并以信息图的形式展示： 我们可以从信息图中得出一些值得注意的统计数据： ·2024 年上半年，近 90% 的入侵都是由于数据泄露造成的。 ·金融服务业的入侵次数最多，其次是医疗保健业。受害者数量最多的数据泄露企业是 Ticketmaster、Advance Auto Parts 和戴尔。 ·80 次供应链攻击涉及 446 个实体，受害者超过 1000 万人。 ITRC 强调的另一个趋势是被盗驾照信息数量增加。这主要是由于疫情后使用驾照信息进行身份确认的趋势所致。这既增加了这些信息被泄露的可能性，也增加了这些信息对窃贼的价值。 疫情爆发前的 2019 年全年，驾驶执照数据被盗的数据泄露事件总计为 198 起，而 2023 年全年为 636 起，截至 2024 年 6 月 30 日为 308 起。 大多数数据泄露…

7月17日，首届“安全平行切面大会”在北京举行。在中国信息协会信息安全专业委员会指导下，蚂蚁集团等联合发起的“安全平行切面联盟” (Aspect-Oriented Technology Alliance，简称AOTA )在会上正式成立并举行授牌仪式。该联盟是基于“安全平行切面”架构的技术生态联盟，将以定向授权的形式，向行业开放安全平行切面核心技术底座。同时将建立人才培养体系、技术标准体系和切面应用生态，与行业携手推动提升企业安全架构的实战性、稳定性、安全性和易用性。 中国科学院院士冯登国、清华大学网络研究院教授段海新、北京赛博英杰科技有限公司创始人谭晓生等院士专家发表致辞，对安全切面体系的发展与未来表示肯定和期待。同时，会上向平安科技、炼石网络、默安科技等首批 14家联盟成员单位，以及安天科技、中测安华、华云安、红途科技、浙江超限首批5家联盟技术授权单位代表进行授牌。 （图：7月17日，“安全平行切面联盟”正式成立） （从左至右）联盟特聘专家、中国科学技术大学教授左晓栋，联盟理事长、蚂蚁集团副总裁、首席技术安全官韦韬，指导单位中国信息协会信息安全专委会副主任赵进延，技术授权单位代表北京华云安信息技术有限公司CEO沈传宝 中国科学院院士 冯登国 当前行业数字化加速，企业不断引入外部数字产品服务、行业技术体系演化，将会导致企业安全的复杂性爆炸式增长。为应对此挑战，2019年蚂蚁集团首创了全新的安全防护体系“安全平行切面”，把安全能力融入企业技术基础设施里且与业务解耦，在不修改业务正常逻辑的情况下，实现攻击和风险的精确阻断和精细化数据治理。 …

三星为其移动设备推出了一项新的漏洞赏金计划，将对展示关键攻击场景的报告提供高达 1,000,000 美元的奖励。 新的“重要场景漏洞计划（ISVP）”计划重点关注与任意代码执行、设备解锁、数据提取、任意应用程序安装和绕过设备保护相关的漏洞。 重点支出 Knox Vault 是三星的独立安全环境，用于在移动设备上存储敏感的生物特征信息和加密密钥。报告在三星设备上实现本地任意执行将获得 300,000 美元的奖励，而报告远程代码执行 (RCE) 将获得 1,000,000 美元的奖励。 TEEGRIS OS 是三星的可信执行环境 (TEE) 操作系统，它提供了一个与主操作系统安全隔离的环境，以执行敏感代码并处理关键数据，例如支付和身份验证。 TEEGRIS OS 上的本地任意代码执行可获 20 万美元，而 RCE 漏洞可获最高 40 万美元。Rich OS（三星设备的主要操作系统）上的本地代码执行可获 15 万美元，而 RCE 漏洞最高可获 30 万美元。 ISVP 中的最高支出 设备解锁加上完整的用户数据提取将支付 400,000 美元，如果在第一次解锁后实现则支付一半的金额。 另一项值得关注的奖励是，如果从非官方市场或攻击者的服务器实现远程任意应用程序安装，则可获得 100,000 美元，如果从 Galaxy Store 安装应用程序，则可获得 60,000 美元。本地任意安装分别可获得 50,000 美元和 30,000 美元。 要领取奖励，漏洞报告必须包含可构建的漏洞利用程序，该漏洞利用程序必须在 Galaxy S 和 Z 系列等旗…