蓝队取证审计网络安全

据9月27日报道，一家专门从事人工智能（AI）产品的公司 OpenAI 创建了一个聊天机器人，它可以浏览网络并将最新信息纳入答复。 据OpenAI公司称，该聊天机器人已经可以在互联网上浏览最新的信息，此前，它只能通过人工智能的帮助，利用截至到 2021 年 9 月的数据去进行学习。现在利用此举，一些高级用户可以向聊天机器人询问时事问题、查看新闻。 OpenAI 在公告中也表示，该功能将很快向非高级用户开放，但并未具体说明这是否意味着没有高级订阅的用户也能使用 GPT-4，或是说 GPT 3.5 订阅用户也能使用该功能。 过去，这一人工智能系统是根据 2021 年 9 月以前的数据进行训练的，不久之后，OpenAI 打算将这项服务扩展到包括非付费用户在内的所有用户，让每个人都能利用这项服务。据OpenAI称，ChatGPT现在配备了浏览功能，允许用户执行技术研究、做假期计划或选择需要最新信息等任务。 作为浏览功能的一部分，ChatGPT还创建了一个可安装在 Chrome 浏览器上的扩展，其名为 "Browser with Bing"。有趣的是，ChatGPT 迄今最大的竞争对手——谷歌的 Bard 也推出了一个扩展，允许免费使用必应浏览网页。 ChatGPT Plus 和企业版用户可以使用该功能，用户也可以通过进入应用内的 "设置"，选择 "新功能" 选项，然后从选项列表中选择 "使用必应扩展浏览" 来使用该功能。 这让 ChatGPT 的许多用户欣喜，因为他们希望用最新的信息来使用 ChatGPT 的功能。 必应 iOS 和 Andr…

网络安全研究人员最近发现了一种新的 Python 恶意软件，该恶意软件以讲鞑靼语的用户为攻击目标，鞑靼语是一种土耳其母语，主要是由俄罗斯及其邻国的鞑靼人使用。基于 Cyble 的恶意软件设计使其可以捕获目标系统的屏幕截图，并通过 FTP（文件传输协议）将其传输到远程的服务器内。 FTP 协议则可以使文件和文件夹通过基于 TCP 的网络（如互联网）从一台主机（目标系统）传输到另一台主机。 该攻击活动背后的威胁行为者就是臭名昭著的 TA866，该组织曾以鞑靼语使用者为目标，并利用 Python 恶意软件开展攻击行动。 TA866如何利用python恶意软件 据CRIL 称，威胁行为者 TA866 使用新型 Python 恶意软件在鞑靼共和国日发动攻击，攻击一直到持续到了 8 月底。 有报告称，一个名为 TA866 的威胁攻击者使用了PowerShell 脚本进行截图并将其上传到了远程 FTP 服务器。 威胁攻击者使用钓鱼电子邮件发送 Python 恶意软件对受害者进行攻击，这些邮件中都包含了一个恶意的 RAR 文件。 该文件包括了两个文件：一个视频文件和一个基于 Python 的可执行文件。 ·当加载程序执行后，就会启动一系列的攻击事件。它会从 Dropbox 下载一个压缩文件，其中包含两个 PowerShell 脚本和一个附加的可执行文件。 ·这些脚本使得创建使用恶意可执行文件运行的计划活动变得更加容易。据 Proofpoint 称，该威胁攻击者的金融攻击行动被命名为 "Screentime "。 TA866 威胁攻击者及其定制黑客工具…

Mallox 勒索软件行动的附属机构（也称为 TargetCompany）被发现使用稍微修改过的 Kryptina 勒索软件版本攻击 Linux 系统。 SentinelLabs 表示，此版本与其他针对 Linux 的 Mallox 变体不同，例如 Trend Micro 研究人员去年 6 月描述的变体，这突显了勒索软件生态系统的策略转变。此外，这再次表明，之前只针对 Windows 的恶意软件 Mallox 正在将 Linux 和 VMWare ESXi 系统纳入其攻击范围，标志着该行动的重大演变。 从 Kryptina 到 Mallox Kryptina 于 2023 年底作为针对 Linux 系统的低成本（500-800 美元）勒索软件即服务 (RaaS) 平台推出，但未能在网络犯罪社区引起关注。 2024 年 2 月，其所谓的管理员使用别名“Corlys”在黑客论坛上免费泄露了 Kryptina 的源代码，据推测这些源代码被有意获得可运行的 Linux 变体的随机勒索软件参与者获取。 威胁者泄露源代码 在 Mallox 的一家附属公司遭遇操作失误并暴露其工具后，SentinelLabs 发现 Kryptina 已被该项目采用，其源代码被用于构建重新命名的 Mallox 有效载荷。 暴露服务器上的 Kryptina 源代码 重新命名的加密器名为“Mallox Linux 1.0”，使用 Kryptina 的核心源代码、相同的 AES-256-CBC 加密机制和解密例程，以及相同的命令行构建器和配置参数。 这表明 Mallox…

声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 01 总统专车面临的风险 美国历史上，自从1865年林肯总统被刺杀以来，已经有四位总统遭遇暗杀以身殉职，更有许多总统遭遇暗杀未遂，所以美国方面历来重视总统的安保工作。 就像大家在电影新闻上看到的，总统出国访问时，一个由黑色系车辆组成的总统车队里，一个个黑衣帅哥戴着耳机一脸严肃严阵以待。 其实，在伊拉克和阿富汗将近十五年的战争中，反简易爆炸装置 (IED) 和动态通信干扰技术取得了长足的进步，这种系统已经在海外挽救了数百甚至数千人的生命。 在过去十年的后半期，阿富汗和伊拉克各地，美军已经在 MRAP、APC 和装甲车上部署了更先进的技术。 当然，其中关键技术也部署到了总统车队的特种车辆上。 02 第一次见到总统车队 杨叔第一次见到总统车队，是在1998年。杨叔专门翻了些历史资料，和大家一起分享这份记忆。 1998年6月，美国克林顿总统访华，首站放在西安。据报道，克林顿总统的访华团队规模之大是空前的： 随行人数多达1200人，动用了包括空军一号在内的四架飞机和若干架大型运输机，仅是通讯器材就有60吨，随机记者200人，还有另外175个记者是自己打飞的来的。 记得当年克林顿来西安，入住在城东门附近的凯悦大酒店。不过美国总统出访外国前，会提前一两个月派出先遣高级安保人员，与出访国有关方面进行工作对接。 所以杨叔清楚地记得，当时克林顿访华前，在凯悦酒店对面路过，能清晰地看到酒店门口停着两辆酷酷的黑色防弹雪佛兰。 1998…

0x01 事件背景 2024年7月19日下午2点左右，大量外资企业和机构的Windows 机器出现蓝屏死机（BSOD）问题，受影响的机器会自动蓝屏，并且无法通过重启解决问题。 在短时间内全球多地爆出蓝屏导致的业务无法正常开展的事件，其中不乏包括国外知名的机构和单位，包括： 美国达美航空、联合航空和美国航空在内的多家美国主要航空公司的所有航班受蓝屏事件影响宣布当天上午停飞。 Microsoft 365订阅服务对于部分用户而言已无法使用，其状态页面警告称客户可能无法访问SharePoint Online、OneDrive for Business、Teams、Intune、PowerBI、Microsoft Fabric、Microsoft Defender和Viva Engage。 英国伦敦证券交易所宣布受蓝屏事件影响暂停交易。 日本轨道交通公司宣布受蓝屏事件影响无法查看列车的实时运行情况，不得已取消多条线路。 澳大利亚亚航空公司、银行、政府网络、企业、超市自动收银机等受到影响。 印度靛蓝航空、阿卡萨航空和香料航空在内的多家航空公司受蓝屏事件影响停飞，航班运营因此中断。 新加坡樟宜机场受蓝屏事件影响无法正常运营。 中国上海多家外企受到影响，环球影城和迪士尼受影响无法正常结算 本次事件主要影响的是国外机构与国内外资企业，有趣的是国内个人终端用户偏爱的盗版windows系统以及裸奔的安全防护反而使其逃过了一劫。在极短的时间内，微软蓝屏事件冲上微博热搜榜第一。此次事件的影响范围之广堪称旷古绝今，必将在互联网历史上留下深刻…

诺基亚正在调查第三方供应商是否因黑客声称出售该公司被盗的源代码而遭到破坏的事件。该公司称一名未经授权的人称已获取某些第三方承包商数据，甚至可能是诺基亚的数据。诺基亚随后立即展开了调查。 迄今为止，根据调查结果来看尚未发现任何证据表明该司的任何系统或数据受到影响。 此前一个名为 IntelBroker 的恶意分子声称正在出售诺基亚源代码，这些源代码是在破坏第三方供应商的服务器后所获得的，可帮助他们开发一些内部工具。 IntelBroker 出售所谓的诺基亚源代码 IntelBroker 表示，被盗数据包含 SSH 密钥、源代码、RSA 密钥、BitBucket 登录信息、SMTP 帐户、Webhook 和硬编码凭据。 恶意分子表示他们使用默认凭据访问了第三方供应商的 SonarQube 服务器，从而允许他们下载客户的 Python 项目，包括属于诺基亚的项目。 有媒体与诺基亚共享了据称被盗数据的文件树，询问这些数据是否属于他们，但目前尚未收到回复。 此前 IntelBroker 曾入侵 DC Health Link 并在入侵后声名狼藉，与 IntelBroker 相关的其他网络安全事件还包括 Hewlett Packard Enterprise (HPE) 和 Weee 的违规事件。 最近，恶意分子泄露了许多公司的数据，包括 T-Mobile、AMD 和 Apple，这些数据是从第三方 SaaS 供应商处窃取的。

往期回顾： 2024.3.25—2024.3.31安全动态周回顾 2024.3.18—2024.3.24安全动态周回顾 2024.3.11—2024.3.17安全动态周回顾 2024.3.4—2024.3.10安全动态周回顾 2024.2.26—2024.3.3安全动态周回顾 2024.2.19—2024.2.25安全动态周回顾 2024.2.12—2024.2.18安全动态周回顾 2024.1.29—2024.2.4安全动态周回顾 2024.1.22—2024.1.28安全动态周回顾 2024.1.15—2024.1.21安全动态周回顾 2024.1.8—2024.1.14安全动态周回顾

黑客利用 Popup Builder 插件过时版本中的漏洞入侵了 WordPress 网站后，用恶意代码感染了 3300 多个网站。 攻击中利用的缺陷被追踪为 CVE-2023-6000，这是一个影响 Popup Builder 版本 4.2.3 及更早版本的跨站点脚本 (XSS) 漏洞，最初于 2023 年 11 月披露。 今年年初发现的 Balada Injector 活动利用该特定漏洞感染了 6700 多个网站，许多网站管理员都没能足够快地修补补丁。 有报告发现在上个月一个针对 WordPress 插件上的相同漏洞活动显著增加。 根据 PublicWWW 的结果，在3329 个 WordPress 网站中发现了与这一最新活动相关的代码注入 ，Sucuri 自己的扫描仪检测到了 1170 个感染。 注射细节 这些攻击会感染 WordPress 管理界面的自定义 JavaScript 或自定义 CSS 部分，而恶意代码则存储在“wp_postmeta”数据库表中。 注入代码的主要功能是充当各种 Popup Builder 插件事件的事件处理程序，例如“sgpb-ShouldOpen”、“sgpb-ShouldClose”、“sgpb-WillOpen”、“sgpbDidOpen”、“sgpbWillClose”和“ sgpb-DidClose”。 恶意代码会在插件的特定操作时执行，例如当弹出窗口打开或关闭时。 Sucuri 表示，代码的具体操作可能有所不同，但注入的主要目的是将受感染网站的访问者重定向到恶意目的地，例如网络钓鱼页面和恶意…

强密码是保护用户帐户的关键——即使是已经忘记的帐户。黑客也会寻找任何方法来访问用户的环境或窃取数据，甚至利用早已被遗忘的陈旧或不活跃的帐户。 旧账户很容易被忽视，但它们仍然可以为黑客提供初始访问路线，并为他们提供扩大活动的平台。每个有权访问用户基础设施的账户都很重要。 保护测试账户 测试环境（例如在创建新软件或网站功能时生成的环境）是黑客的首要目标。犯罪分子可以利用这些帐户轻松访问数据：例如，用于开发测试环境的真实客户信息。他们甚至可以利用这些环境作为跳板，访问其他更具特权的帐户。黑客可以利用管理员或特权帐户造成更大的破坏。 当熟练的攻击者获得具有登录凭据的任何用户帐户的访问权限（即使是具有非常低访问权限的旧测试帐户）时，他们可以将其用作扩展访问权限和提升权限的平台。 例如，他们可以在具有相似权限级别的帐户之间水平移动，或者垂直跳转到具有更多权限的帐户，例如 IT 团队帐户或管理员帐户。 微软漏洞利用测试账户 今年 1 月，微软表示其公司网络遭到俄罗斯黑客的攻击。名为 Midnight Blizzard 的攻击者窃取了电子邮件和附加文件。 微软表示，只有“极小一部分”公司电子邮件账户遭到入侵，但其中确实包括高层领导以及网络安全和法律团队的员工。 攻击者使用“密码喷洒攻击”入侵，这是一种暴力破解技术，涉及对多个账户尝试相同的密码。这次攻击没有利用微软系统或产品的漏洞。 相反，这就像猜测未使用的测试帐户上的弱密码或已知被破解的密码一样简单。用该软件巨头的话来说，攻击者“使用密码喷洒攻击来破坏传统的非生产测试租户帐户并获得立足点”。 这就强调了…

身份盗窃资源中心 (ITRC)在 2024 年第二季度追踪了 1,041,312,601 名数据泄露受害者，数据显示，比 2023 年第二季度（81,958,874 名受害者）增加了 1,170%。 人数增加的绝大部分原因是由于大多数人们的妥协。ITRC 提到 Prudential（250 万人）和 Infosys McCamish Systems（600 万人）事件是主要导火索。 由于这两起泄密事件都是在 2024 年第二季度宣布的，因此对数据产生了巨大影响。当比较 2024 年上半年 (H1 2024) 的数据泄露受害者数量时，研究人员发现与 2023 年上半年相比，这一数字增长了 490%。 ITRC 对一些数字进行了分解，并以信息图的形式展示： 我们可以从信息图中得出一些值得注意的统计数据： ·2024 年上半年，近 90% 的入侵都是由于数据泄露造成的。 ·金融服务业的入侵次数最多，其次是医疗保健业。受害者数量最多的数据泄露企业是 Ticketmaster、Advance Auto Parts 和戴尔。 ·80 次供应链攻击涉及 446 个实体，受害者超过 1000 万人。 ITRC 强调的另一个趋势是被盗驾照信息数量增加。这主要是由于疫情后使用驾照信息进行身份确认的趋势所致。这既增加了这些信息被泄露的可能性，也增加了这些信息对窃贼的价值。 疫情爆发前的 2019 年全年，驾驶执照数据被盗的数据泄露事件总计为 198 起，而 2023 年全年为 636 起，截至 2024 年 6 月 30 日为 308 起。 大多数数据泄露…

2023年9月，根据中国国家计算机病毒应急处理中心通报，在会同360公司配合侦办西北工业大学被美国国家安全局（NSA）网络攻击事件过程中，提取出名为“二次约会”的间谍软件样本。 调查发现，除西北工业大学外，美国还长期对国内多个网络目标实施了高达上万次的恶意网络攻击。 美国情报机关攻击华为总部长达14年之久，早在2009年起，美国特定入侵办公室（TAO）就开始入侵华为总部的服务器，并持续开展监控。 据报道，2009年初美国国安局的一个特别小组，成功渗透进了华为公司的计算机网络，并复制超过1400位客户资料和工程师使用的内部培训文件。他们不但窃取了华为的电子邮件存档，还获得个别华为产品的源代码，企图获取华为内部信息的同时，并试图植入后门程序到华为设备中，以便对华为用户进行监控和窃密。 美国国安局之所以渗入华为的深圳总部，因为该公司通过总部处理每个员工的邮件往来，所以从2009年1月起美国就读取了该公司很大一部分员工的电子邮件——包括当时的总裁任正非和董事长孙亚芳的邮件。 随着数字化时代的来临，网络安全防范和风险将是一个永恒的话题。在个人上，用户的计算机终端、移动互联网终端都存在随时被攻击的可能，极大程度会导致个人信息和隐私的泄露，稍有不慎，还会造成经济损失；对企业来说，安全的网络环境不仅是企业经济良好循环的基础，更极大程度上影响着企业的正常运行；在政府层面，如学校、医院、数据中心、交通设施等一旦遭受网络攻击，如若不及时加以控制，必然造成地区动荡，引发恐慌。 习近平总书记在十九届中央政治局第十二次集体学习时讲到“没有网络安全就没有国家安全，…

篇首语：去年在深圳，和一个厂商交流时，聊到英国DeltaV场强仪，对方很诧异地说：“这玩意质量很差啊，用了三个月就坏了”，What？杨叔顿觉不可思议，毕竟实验室使用三年来几乎没出现过问题。 结果拿来一看：擦，这特么不是假货嘛？... 为了避免更多企业用户入坑，也为了方便RC2的学员朋友们识别真伪，特别地，在课程之余，写下本篇。 声明：以下内容来自RC2反窃密实验室及杨叔个人经验，仅供交流与参考。 01 DeltaV的厂商 国内有不少专业人士用过这款DeltaV手持信号检测设备，也有些人对这款设备嗤之以鼻，这都是假货的功劳 不过，更多的人，可能压根儿没听说过。 作为一款手持信号检测设备，在易用性、准确性和稳定性上，来自英国的DeltaV Advanced已经在国际上同类设备中位列前三。 在高准确度下保持对100MHz至15GHz的信号检测频宽，也超越了99%的同类设备。无论是大使馆，还是企业高管办公室、会议室的检测，均可轻松胜任。 这也是杨叔在2017年起，L2商业安全课程实验中就一直让学员对比体验设备的原因，最终DeltaV也确实赢得了学员们的一致认同。 其实这款设备的厂商： 英国Audiotel International 在国际TSCM反窃密检测圈内也算是鼎鼎有名的老牌厂商之一。 早在2005~2010年间，很多国家的执法机构、战术单位、反间谍及情报部门，都采购过该公司的非线性检测设备和手持信号检测仪。 直到现在，国内一些相关部门的物资仓库里，多少都能翻出一两款Audiotel的早期产品。 哈哈，能熟练使用上面设备的…

三星为其移动设备推出了一项新的漏洞赏金计划，将对展示关键攻击场景的报告提供高达 1,000,000 美元的奖励。 新的“重要场景漏洞计划（ISVP）”计划重点关注与任意代码执行、设备解锁、数据提取、任意应用程序安装和绕过设备保护相关的漏洞。 重点支出 Knox Vault 是三星的独立安全环境，用于在移动设备上存储敏感的生物特征信息和加密密钥。报告在三星设备上实现本地任意执行将获得 300,000 美元的奖励，而报告远程代码执行 (RCE) 将获得 1,000,000 美元的奖励。 TEEGRIS OS 是三星的可信执行环境 (TEE) 操作系统，它提供了一个与主操作系统安全隔离的环境，以执行敏感代码并处理关键数据，例如支付和身份验证。 TEEGRIS OS 上的本地任意代码执行可获 20 万美元，而 RCE 漏洞可获最高 40 万美元。Rich OS（三星设备的主要操作系统）上的本地代码执行可获 15 万美元，而 RCE 漏洞最高可获 30 万美元。 ISVP 中的最高支出 设备解锁加上完整的用户数据提取将支付 400,000 美元，如果在第一次解锁后实现则支付一半的金额。 另一项值得关注的奖励是，如果从非官方市场或攻击者的服务器实现远程任意应用程序安装，则可获得 100,000 美元，如果从 Galaxy Store 安装应用程序，则可获得 60,000 美元。本地任意安装分别可获得 50,000 美元和 30,000 美元。 要领取奖励，漏洞报告必须包含可构建的漏洞利用程序，该漏洞利用程序必须在 Galaxy S 和 Z 系列等旗…

与今天的勒索软件攻击相比，世界上首起勒索软件攻击简直就是小菜一碟。 1989年，出席世界卫生组织（WHO）艾滋病会议的数千名与会者回到家中，结果在自家的邮箱软盘里发现了一份关于感染艾滋病毒可能性的调查问卷，但是他们没有发现任何问题。磁盘其实含有一个程序，用于加密计算机文件的名称。如果这些人想要恢复文件，被告知要向巴拿马的一个邮箱寄去189美元。 几年后，随着互联网兴起、社会向联网数字世界转变以及加密货币问世，勒索软件随之演变。 恶意分子组织起来，勒索软件即服务（RaaS）浮出水面，双重或三重勒索攻击成为常态。 因此，受害者的数量、被索要的金额以及攻击得逞的影响都在飙升。 NCC集团的全球威胁情报团队报告显示，2023年7月的勒索软件攻击多达502起，创下纪录，比2023年6月的434起攻击增加了16%，是2022年7月观察到的勒索软件攻击数量的两倍多。Malwarebytes的《2023年勒索软件状况》报告发现，勒索软件的总数也创下了纪录，一年内仅在美国、法国、德国和英国就发生了1900起攻击，其中美国几乎占了一半。 企业因勒索软件而遭受的损失也在增加。Cybersecurity Ventures预测，到2031年，勒索软件攻击将给受害者造成2650亿美元的损失——与2017年勒索软件受害者支付的50亿美元相比，增幅惊人。 而金钱损失只是勒索软件影响的一部分。除了成本外，组织还面临业务停机、声誉受损以及客户信任度下降等风险。此外，勒索软件具有下游效应，影响到最初攻击甚至没有针对的人员和系统。此外，即使攻击被公开披露，企业为抢救或恢复系统…

在过去的几年里，漏洞悬赏计划在普及和使用方面都有了显著的提升，越来越多的组织正在采用一些举措，以利用大量的研究人员资源来发现和检查在不法分子手中构成潜在威胁的漏洞。 他们的动机不仅是有机会通过安全和负责任地披露某些未知/不安全的漏洞来获得大额资金，而且还有机会获得认可，成为重大安全漏洞的发现者，并阻止大量数据泄露或其他事件。 漏洞悬赏是一种创新的网络安全方法 在传统的网络安全领域，漏洞悬赏计划是一种相对较新的创新方法。它补充了其他解决方案，带来了持续的安全测试，可以发现真正的/高影响的安全漏洞，以及与国际道德黑客社区的合作。 此外，对于缺乏安全专家、缺乏效率、缺乏对网络威胁指数理解的组织来说，漏洞悬赏计划无疑是一种有效回应。没有零风险的事情，但通过参与漏洞悬赏计划，组织可以像攻击者（而非防御者）那样思考。它们为传统的防御性网络战略带来了一种进攻性的方法，将人和道德黑客置于网络战略的核心。 在漏洞悬赏计划中，道德黑客所发现的每一个漏洞都将是真实的，并与组织的安全策略有关，也与保护组织的信息系统及其用户有关。它们也可以提供明确的投资回报——对于开发人员和其他业务团队来说，这是突显网络安全价值的一种透明而明确的方式。 以下是2023年推出的12项值得关注的漏洞悬赏项目。 1. 美国国防部宣布第三轮“黑进五角大楼”计划 今年1月，美国国防部（DoD）透露，计划启动第三轮“黑进五角大楼”（Hack the Pentagon）漏洞悬赏计划，该计划于2016年首次公布，并于2018年启动第二轮。根据一份绩效工作声明草案，“黑进五角大楼”3.0计划的一个…

未经授权的访问仍然是各种规模的组织面临的最大问题之一。其后果可能很严重，从数据泄露、经济损失到声誉受损和诉讼。因此，对于组织来说，建立一个强大的网络安全策略和实施最佳实践来有效检测和响应未经授权的访问是至关重要的。 在本文中，我们将探讨未经授权访问背后的危险及其主要攻击向量。我们还讨论了如何检测未经授权的访问，并提供了八种最佳实践来帮助组织加强网络安全整体态势。 未经授权访问的风险和后果 根据NIST的说法，未经授权的访问是指“一个人在未经允许的情况下对网络、系统、应用程序、数据或其他资源进行逻辑或物理访问”。未经授权的访问涉及绕过安全措施或利用IT基础设施中的漏洞来访问应该只有授权用户才能访问的系统。 如果您的组织遭受未经授权的数据访问攻击，其后果可能从数据泄露和财务损失到服务不可用甚至丧失对整个网络的控制权。让我们看一些未经授权访问的案例及其后果： 2020年10月，Ticketmaster（一个售卖音乐会、景点和体育等活动的门票的平台）员工被指控多次侵入竞争对手公司的系统以“扼杀”其预售门票业务。2021年，该员工承认罪行，并因此被罚款1000万美元。 美国航空和西南航空是世界上最大的两家航空公司，它们在近日披露了一起数据泄露事件，该事件是由一家第三方供应商Pilot Credentials的黑客攻击造成的。美国航空在一份通知信中表示，Pilot Credentials于2023年6月18日通知了美国航空，称其系统于2023年5月24日遭到了未经授权的访问，导致部分美国航空飞行员的个人信息被泄露。这些信息包括姓名、地址、电话号码…

我们可以通过使用CyberChef和Regex来克服大量基于文本的混淆，在混淆后，系统将识别一些“畸形”的shellcode，我们将在使用SpeakEasy模拟器进行模拟之前手动修复。 哈希：e8710133491bdf0b0d1a2e3d9a2dbbf0d58e0dbb0e0f7c65acef4f788128e1e4，示例链接请点此。 TLDR 1.识别功能和混淆类型； 2.清除基本混淆与正则表达式和文本编辑器； 3.使用Regex, CyberChef和Subsections去除高级混淆； 4.识别shellcode并修复负字节值(Python或CyberChef)； 5.使用Speakeasy验证和仿真。 初步分析 可以使用受感染的密码保存和解压缩脚本，这样我们可以使用文本编辑器(如notepad++)直接打开文件。 打开后，我们可以看到脚本引用了一些Excel对象以及Wscript.Shell，通常用于执行 .vbs 脚本。 在这个阶段，我们将跳转到使用Wscript来利用Excel执行代码的假设，避免分析Excel/Wscript组件，直接跳转到解码混乱的命令/代码。 我们可以假设代码的初始部分是利用Excel和Wscript来运行一个被混淆的vbs脚本。 混淆技术概述 从第30行开始，可以看到两种主要的混淆形式。 1.脚本被分解成许多小字符串，例如“hello world”将是“hello”＆“world” 2.该脚本使用Chr解码的十进制编码值。例如，“Hello World”可以是“Hell”＆ chr(111)＆“Wo…

数字化时代，随着生成和收集的数据比以往任何时候都要多，数据安全的重要性日益突显。社交媒体、电子商务及其他在线服务广泛使用，许多人在无形之中分享着个人信息。 本文将探讨数据安全的关键概念，并介绍保障数据安全方面的最佳实践。 什么是数据安全？ 数据安全是指保护数字数据免遭未经授权的访问、损坏、窃取或丢失这种做法。它涵盖一系列的技术、工具和措施，以确保数据免受各种威胁。数据安全对于个人、企业和政府来说至关重要，因为它确保了数据的机密性、完整性和可用性。 数据安全的好处 1. 保护你的数据——确保你的信息安全、远离内外威胁让你安心。这意味着你可以将更多的精力放在推进业务计划上，少担心潜在的数据泄露。 2. 提升你的信誉——想要持久合作的公司通常会仔细审查潜在合作伙伴的声誉。展示可靠的数据保护实践也有助于与客户建立信任。 3. 满足数据安全标准——采用严格的安全协议可以确保你遵守数据保护标准，帮助你避免巨额违规处罚。 4. 尽量降低法律成本——主动保护数据远比应对数据泄露的后果更具成本效益。致力于数据安全可以节省以后潜在事件相关的大笔费用。 5. 确保运营一致性——强大的数据安全措施为平稳的业务运营铺平了道路，减小了干扰/中断可能影响盈利能力的机会。 数据安全最佳实践 1. 数据发现：首先确定企业拥有的数据的类型和敏感性。这有助于确定哪些数据是关键数据，哪些数据必须遵守特定的安全法规。这样一来，可以清楚地了解如何优先考虑数据保护工作。 2. 限制敏感数据访问：并非所有员工都需要访问所有信息。广泛的访问增加了内部泄露和数据盗窃的风险。 3. 采用最小…

据一项民意调查显示，60% 的小企业担心网络安全威胁，58% 的小企业担心供应链崩溃，专业服务行业的小企业比制造业的小企业更担心网络安全威胁。 其中，最担心网络安全威胁的小型企业包括拥有 20-500 名员工的企业 (74%) 和专业服务行业的企业 (71%)。最不担心的小型企业包括制造业企业 (61%)、女性拥有的企业 (68%) 和健康状况一般的企业 (64%)。” 服务企业的担忧是正确的。企业面临的最严重的网络威胁是勒索软件，在几乎任何国家/地区，服务业都是受勒索软件打击最严重的行业。 然而，虽然服务业比制造业遭受的攻击更多，但差距正在稳步缩小，几乎可以忽略不计。 2024 年 2 月按行业划分的已知勒索软件攻击 不过，面对网络威胁，小型企业大都不会无动于衷。49% 的受访者表示，他们在过去一年中对员工进行了网络安全措施培训，23% 的受访者认为他们已“做好充分准备”应对网络威胁，50% 的受访者认为“已做好一定准备”。 对于小型企业的担忧其实并不意外，它们的资源有限但却需要与大型企业一样打击复杂的犯罪团伙。 而且，网络犯罪分子也在不断发展策略。他们喜欢利用社会工程以及互联网连接设备和服务中的漏洞，而不是老式恶意软件来渗透系统和网络。一旦他们侵入公司网络，就会越来越多地利用合法工具而不是恶意软件来进行攻击，这种策略被称为“靠地生存”，这也时刻提醒着企业们需要迭代出能够应对这些威胁的不同方法和安全解决方案。

网络恶意分子被发现将开源虚拟机管理程序平台 QEMU 作为对企业进行网络攻击的隧道工具。 QEMU 是一个免费的模拟器和虚拟机管理程序，允许在计算机上以访客身份运行其他操作系统。 作为攻击的一部分，网络恶意分子使用 QEMU 创建虚拟网络接口和套接字类型网络设备来连接到远程服务器。这使得恶意分子能够创建从受害者系统到攻击者服务器的网络隧道，而对系统性能的影响可以忽略不计。 安全研究分析师发现了这一问题，并指出攻击者用来保持其隐蔽性的多种方法。 隐秘的网络隧道 黑客创建网络隧道，在他们与受感染的系统之间建立隐秘且安全的通信通道。通常，这些隧道会对网络流量进行加密，以帮助绕过防火墙、入侵检测系统和其他安全措施。 安全研究机构表示，在过去三年调查的案例中，有 10% 的黑客使用了 FRP 和 ngrok 实用程序来创建隧道。攻击中使用的其他隧道工具包括 CloudFlare 隧道、Stowaway、ligolo、3proxy、dog-tunnel、chisel、gs-netcat、plink、iox 和 nps。由于它们经常被网络犯罪分子滥用，致使防御者和监控工具对这些持怀疑态度。 在涉及 QEMU 中，攻击者利用一种不太传统的工具来创建网络隧道，这种工具不太可能发出任何警报，即使这意味着放弃流量加密。 此外，QEMU 还提供有独特的功能，例如模拟各种硬件和虚拟网络、允许恶意活动与良性虚拟化流量混合，以及通过战略性设置 VM 枢轴点来桥接分段网络部分。 轻如羽毛的后门 在发现的攻击中，黑客利用“Angry IP Scanner”进行网络扫描，利…

Hunters International 勒索软件组织正利用一种名为 SharpRhino 的新型远程访问木马 (RAT) 攻击 IT 工作者，侵入公司网络。 该恶意软件可帮助 Hunters International 实现初始感染，提升他们在受感染系统上的权限，执行 PowerShell 命令，并最终部署勒索软件负载。 Quorum Cyber 的研究人员观察到勒索软件攻击中使用的恶意软件是由一个冒充 Angry IP Scanner 网站的域名抢注网站传播的，Angry IP Scanner 是 IT 专业人员使用的合法网络工具。 2024 年 1 月，网络安全公司 eSentire 和研究员 0xBurgers 就曾发现该恶意软件通过一个假冒的 Advanced IP Scanner 网站传播。 Hunters International 是一个在 2023 年底开始活跃的勒索软件组织，由于其代码相似性而被标记为可能是 Hive 的品牌重塑。著名的受害者包括美国海军承包商 Austal USA、日本光学巨头 Hoya、Integris Health 和弗雷德哈金森癌症中心。 到目前为止，2024 年该威胁组织已宣布对全球各个组织（CIS 除外）发动了 134 起勒索软件攻击，在该领域最活跃的组织中排名第十。 SharpRhino RAT SharpRhino 利用数字签名的 32 位安装程序进行传播，其中包含自解压的受密码保护的 7z 存档以及用于执行感染的附加文件。 存档内容 安装程序会修改 Windows 注册表以实现持久…

相关研究人员最近发现了一个异常活跃的攻击活动，研究人员称之为EleKtra-Leak，它会自动窃取GitHub公共存储库中泄漏的身份和访问管理(IAM)密钥。因此，与该活动相关的攻击者能够创建多个AWS弹性计算(EC2)实例，用于广泛和持久的加密劫持。 分析发现，攻击者能够在五分钟内识别并使用GitHub上首次泄漏的IAM密钥，这一发现证明了攻击者是如何利用云自动化技术来实现扩展加密劫持的目标。攻击者似乎使用自动化工具不断复制公共GitHub存储库，并扫描泄漏的亚马逊网络服务(AWS) IAM密钥。 分析过程 调查过程中，研究发现，攻击者可能会识别频繁出现的AWS账户id，以阻止这些账户id免受未来的攻击或自动化脚本的攻击。因此，研究人员设计了一种新颖的调查架构来动态创建和泄漏不可归因的AWS密钥。 多年来，攻击者越来越多地使用GitHub作为攻击的初始载体。GitHub的一个强大功能是它能够列出所有公共存储库，这使得开发人员和攻击者能够实时跟踪新的存储库。 考虑到这个功能，研究人员选择GitHub作为其窃取AWS密钥的实验平台，将明文泄露的密钥写入新创建的GitHub存储库中的文件中，该存储库是研究人员随机选择并从公共GitHub存储库列表中复制的。研究人员将AWS密钥泄露到复制存储库中随机创建的文件中，然后在成功提交后将其删除。 一旦将窃取的密钥提交到存储库，研究人员就会立即删除了它们。最初，IAM密钥使用Base64编码。然而，尽管像trufflehog这样的工具可以找到泄漏的Base64 IAM密钥，但事实上没有攻击者能找到密钥。…

2022年9月，工信部发布《国家车联网产业标准体系建设指南（智能网联汽车）（2022年版）（征求意见稿），预计到 2025 年，系统形成能够支撑组合驾驶辅助和自动驾驶通用功能的智能网联汽车标准体系，到 2030 年，全面形成能够支撑实现单车智能和网联赋能协同发展的智能网联汽车标准体系。在智能网联汽车系统中，车辆通过各种传感器、通信设备和计算资源连接到互联网，实现车辆与车辆、车辆与基础设施、车辆与用户之间的信息交互和数据共享。然而，这样的连接也带来了一系列安全风险，如恶意攻击、黑客入侵、数据泄露、远程操控等。 在此背景下，嘶吼安全产业研究院预计出品《先稽我智 安能动之：汽车智能网联安全调研报告 2023》意义深远，我们衷心希望，通过共同努力和创新，汽车智能网联安全行业能够蓬勃发展，为用户提供更安全、智能的出行体验，并为社会交通安全作出应有的贡献。 一、本报告研究内容 本报告具体内容包括如下四个方面： 1、汽车智能网联安全概述。 2、汽车智能网联安全产业SCP分析+市场调研。 本次报告通过SCP模型串联整个汽车智能网联安全产业情况，配合问卷调研+公开访谈。问卷调研聚焦汽车智能网联安全厂商+产品情况，具体包括汽车智能网联安全相关厂商情况评估、其产品情况评估和竞争能力评估等。 3、汽车智能网联安全未来趋势。结合调研问卷阐述汽车智能网联安全技术、创新等方面的趋势。 4、汽车智能网联安全典型厂商案例。 二、本报告预计发布时间 2023年10月 汽车智能网联安全调研报告发布会 三、本报告发布渠道 1、在嘶吼自媒体矩阵平台，包括但不限于微信公众号、官网…

继WormGPT（使用面向恶意软件的数据进行训练的ChatGPT克隆版）之后，如今又出现了一种新的生成式人工智能黑客工具：FraudGPT，据称至少另一种基于谷歌的AI聊天机器人Bard的工具正在开发中。 这两个基于AI的机器人程序都出自同一人之手，此人似乎热衷于专门针对众多的恶意用途训练的聊天机器人，包括网络钓鱼、社会工程攻击以及利用漏洞和创建恶意软件。 FraudGPT于7月25日问世，由用户名为CanadianKingpin12的人在各种黑客论坛上四处宣传，他称这款工具是面向骗子、黑客和垃圾邮件发送者的。 图1. FraudGPT在黑客论坛上推广（图片来源：SlashNext） 下一代网络犯罪聊天机器人 网络安全公司SlashNext的研究人员开展的调查显示，CanadianKingpin12正在积极使用从暗网获取的不受限制的数据集训练新的聊天机器人，或基于为打击网络犯罪而开发的复杂的大型语言模型训练聊天机器人。 CanadianKingpin12在私下表示，他们在开发DarkBART——这是谷歌的对话生成式人工智能聊天机器人的“恶意版本”。 研究人员还了解到，广告商还可以访问另一个名为DarkBERT的大型语言模型，该模型由韩国研究人员开发，使用暗网数据进行训练，但目的是为了打击网络犯罪。 DarkBERT可以根据相关的电子邮件地址提供给学术人士，但SlashNext强调，获取邮件地址对黑客或恶意软件开发人员来说远远谈不上是挑战，他们花上大约3美元就能从学术机构获得电子邮件地址。 图2. 待售的.EDU电子邮件账号（图片来源…

10月5日，密码学专家Filippo Valsorda发布漏洞奖励计划，对首个破解NIST 椭圆曲线seeds（随机数种子）和用来生成seeds的原始短语的人给予12288美元（约合8.97万元人民币）的奖励，如果奖励接受者决定将奖励捐献给501(c)(3)慈善机构，那么奖励将增加到36864美元（约合26.9万元人民币）。 该挑战赛的其他发起人包括Johns Hopkins大学教授Matt Green、PKI和Chromium贡献者 Ryan Sleevi、浏览器安卓专家Chris Palmer、"Logjam attack"发现者David Adrian和AWS密码学工程师Colm MacCárthaigh。 在椭圆曲线密码学（ECC）中，seeds（随机数种子）是用作加密算法或生成密码学密钥的初始输入的值，ECC依赖定义在有限域上的椭圆曲线的数学概念来生成相对短的安全密钥。2000年NIST FIPS 186-2数字签名标准中引入的NIST椭圆曲线（P-192, P-224, P-256, P-384和 P-521）对现代密码学来说非常重要。其中使用了NSA（美国国家安全局）1997年生成的seeds。 该曲线是由其系数和随机seed值确定的，派生密钥的确定性过程是透明和可验证的，以减少可能的隐藏漏洞，终端用户和开发者无需直接与这些seeds进行交互，而是使用选定的密码学协议的椭圆参数。 但关注系统安全性和完整性的研究人员比较关注seeds的源。没有人知道这些seeds是如何生成的，有谣言和研究表明这些seeds是由NSA Jer…