蓝队取证审计网络安全

身份盗窃资源中心 (ITRC)在 2024 年第二季度追踪了 1,041,312,601 名数据泄露受害者，数据显示，比 2023 年第二季度（81,958,874 名受害者）增加了 1,170%。 人数增加的绝大部分原因是由于大多数人们的妥协。ITRC 提到 Prudential（250 万人）和 Infosys McCamish Systems（600 万人）事件是主要导火索。 由于这两起泄密事件都是在 2024 年第二季度宣布的，因此对数据产生了巨大影响。当比较 2024 年上半年 (H1 2024) 的数据泄露受害者数量时，研究人员发现与 2023 年上半年相比，这一数字增长了 490%。 ITRC 对一些数字进行了分解，并以信息图的形式展示： 我们可以从信息图中得出一些值得注意的统计数据： ·2024 年上半年，近 90% 的入侵都是由于数据泄露造成的。 ·金融服务业的入侵次数最多，其次是医疗保健业。受害者数量最多的数据泄露企业是 Ticketmaster、Advance Auto Parts 和戴尔。 ·80 次供应链攻击涉及 446 个实体，受害者超过 1000 万人。 ITRC 强调的另一个趋势是被盗驾照信息数量增加。这主要是由于疫情后使用驾照信息进行身份确认的趋势所致。这既增加了这些信息被泄露的可能性，也增加了这些信息对窃贼的价值。 疫情爆发前的 2019 年全年，驾驶执照数据被盗的数据泄露事件总计为 198 起，而 2023 年全年为 636 起，截至 2024 年 6 月 30 日为 308 起。 大多数数据泄露…

三星为其移动设备推出了一项新的漏洞赏金计划，将对展示关键攻击场景的报告提供高达 1,000,000 美元的奖励。 新的“重要场景漏洞计划（ISVP）”计划重点关注与任意代码执行、设备解锁、数据提取、任意应用程序安装和绕过设备保护相关的漏洞。 重点支出 Knox Vault 是三星的独立安全环境，用于在移动设备上存储敏感的生物特征信息和加密密钥。报告在三星设备上实现本地任意执行将获得 300,000 美元的奖励，而报告远程代码执行 (RCE) 将获得 1,000,000 美元的奖励。 TEEGRIS OS 是三星的可信执行环境 (TEE) 操作系统，它提供了一个与主操作系统安全隔离的环境，以执行敏感代码并处理关键数据，例如支付和身份验证。 TEEGRIS OS 上的本地任意代码执行可获 20 万美元，而 RCE 漏洞可获最高 40 万美元。Rich OS（三星设备的主要操作系统）上的本地代码执行可获 15 万美元，而 RCE 漏洞最高可获 30 万美元。 ISVP 中的最高支出 设备解锁加上完整的用户数据提取将支付 400,000 美元，如果在第一次解锁后实现则支付一半的金额。 另一项值得关注的奖励是，如果从非官方市场或攻击者的服务器实现远程任意应用程序安装，则可获得 100,000 美元，如果从 Galaxy Store 安装应用程序，则可获得 60,000 美元。本地任意安装分别可获得 50,000 美元和 30,000 美元。 要领取奖励，漏洞报告必须包含可构建的漏洞利用程序，该漏洞利用程序必须在 Galaxy S 和 Z 系列等旗…

诺基亚正在调查第三方供应商是否因黑客声称出售该公司被盗的源代码而遭到破坏的事件。该公司称一名未经授权的人称已获取某些第三方承包商数据，甚至可能是诺基亚的数据。诺基亚随后立即展开了调查。 迄今为止，根据调查结果来看尚未发现任何证据表明该司的任何系统或数据受到影响。 此前一个名为 IntelBroker 的恶意分子声称正在出售诺基亚源代码，这些源代码是在破坏第三方供应商的服务器后所获得的，可帮助他们开发一些内部工具。 IntelBroker 出售所谓的诺基亚源代码 IntelBroker 表示，被盗数据包含 SSH 密钥、源代码、RSA 密钥、BitBucket 登录信息、SMTP 帐户、Webhook 和硬编码凭据。 恶意分子表示他们使用默认凭据访问了第三方供应商的 SonarQube 服务器，从而允许他们下载客户的 Python 项目，包括属于诺基亚的项目。 有媒体与诺基亚共享了据称被盗数据的文件树，询问这些数据是否属于他们，但目前尚未收到回复。 此前 IntelBroker 曾入侵 DC Health Link 并在入侵后声名狼藉，与 IntelBroker 相关的其他网络安全事件还包括 Hewlett Packard Enterprise (HPE) 和 Weee 的违规事件。 最近，恶意分子泄露了许多公司的数据，包括 T-Mobile、AMD 和 Apple，这些数据是从第三方 SaaS 供应商处窃取的。

微软Office 0 day漏洞被用于北约峰会的攻击活动。 漏洞概述 7月11日，微软披露了一个影响多个Windows和office产品的未修复的0 day漏洞，漏洞CVE编号为CVE-2023-36884，CVSS V3评分8.3分。攻击者利用该漏洞可以通过恶意office文档实现远程代码执行，并在无需用户交互的情况下利用该漏洞实现复杂攻击。攻击者成功利用该漏洞可以访问敏感信息、关闭系统保护、拒绝正常用户对系统的访问。 漏洞被用于攻击北约峰会，与俄罗斯有关 CVE-2023-36884漏洞已被用于攻击参与北约峰会的组织。乌克兰计算机应急响应中心（CERT-UA）和BlackBerry研究人员称，攻击者使用伪装为乌克兰世界大会的恶意文档来安装恶意软件payload，包括MagicSpell加载器和RomCom后门。安装成功后，攻击者可以通过伪造的.docx或.rtf文档来发起远程代码执行攻击，向执行的工具传递一个命令。 利用该漏洞的攻击者6月的活动与RomCom存在相似之处。RomCom是一个俄罗斯黑客组织，主要利用勒索软件来窃取凭证、支持情报活动等。 漏洞补丁 目前该漏洞尚未修复，但微软称将通过每月的微软补丁日或其他安全更新的方式为用户提供补丁。微软称用户可以使用Defender for Office启用拦截所有office应用创建子进程攻击面减少规律来防止利用该漏洞的钓鱼攻击。 此外，用户还可以将以下应用名添加到HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explo…

7月17日，首届“安全平行切面大会”在北京举行。在中国信息协会信息安全专业委员会指导下，蚂蚁集团等联合发起的“安全平行切面联盟” (Aspect-Oriented Technology Alliance，简称AOTA )在会上正式成立并举行授牌仪式。该联盟是基于“安全平行切面”架构的技术生态联盟，将以定向授权的形式，向行业开放安全平行切面核心技术底座。同时将建立人才培养体系、技术标准体系和切面应用生态，与行业携手推动提升企业安全架构的实战性、稳定性、安全性和易用性。 中国科学院院士冯登国、清华大学网络研究院教授段海新、北京赛博英杰科技有限公司创始人谭晓生等院士专家发表致辞，对安全切面体系的发展与未来表示肯定和期待。同时，会上向平安科技、炼石网络、默安科技等首批 14家联盟成员单位，以及安天科技、中测安华、华云安、红途科技、浙江超限首批5家联盟技术授权单位代表进行授牌。 （图：7月17日，“安全平行切面联盟”正式成立） （从左至右）联盟特聘专家、中国科学技术大学教授左晓栋，联盟理事长、蚂蚁集团副总裁、首席技术安全官韦韬，指导单位中国信息协会信息安全专委会副主任赵进延，技术授权单位代表北京华云安信息技术有限公司CEO沈传宝 中国科学院院士 冯登国 当前行业数字化加速，企业不断引入外部数字产品服务、行业技术体系演化，将会导致企业安全的复杂性爆炸式增长。为应对此挑战，2019年蚂蚁集团首创了全新的安全防护体系“安全平行切面”，把安全能力融入企业技术基础设施里且与业务解耦，在不修改业务正常逻辑的情况下，实现攻击和风险的精确阻断和精细化数据治理。 …

近日，美国国家安全局（NSA）和网络安全与基础设施安全局（CISA）联合发布了一份网络安全咨询报告，以强调大型组织中最常见的网络安全配置错误，并详细介绍了威胁行为者滥用这些错误配置的战术、技术和程序（TTPs）。 通过NSA和CISA红蓝团队的评估，以及NSA和CISA捕获和事件响应团队的活动，这些机构确定了以下10个最常见的网络安全配置错误： 1. 软件和应用程序的默认配置； 2. 用户/管理员权限的不当分离； 3. 内部网络监控不足； 4. 缺乏网络分段； 5. 补丁管理不善； 6. 系统访问控制的绕过； 7. 弱或误配置的多因素认证（MFA）方法； 8. 不充分的网络共享和服务的访问控制列表（ACLs）； 9. 糟糕的凭证卫生； 10. 无限制的代码执行。 这些配置错误说明了许多大型组织——包括那些具有成熟网络态势的组织的系统性漏洞和攻击风险，凸显了软件开发商采用“设计即安全”（secure-by-design）原则的重要性和紧迫性。 以下是每项配置错误以及威胁行为者用于滥用这些错误配置的战术、技术和程序（TTPs）的详细介绍。 1. 软件和应用程序的默认配置 系统、服务和应用程序的默认配置可能允许未经授权的访问或其他恶意活动。常见的默认配置包括： （1）默认凭据； （2）默认业务权限和配置设置； 默认凭证 许多软件开发商发布的商用现货（COTS）网络设备（通过应用程序或web门户提供用户访问）包含内置管理帐户的预定义默认凭据。恶意行为者和评估团队经常通过以下方式滥用默认凭证： （1）通过简单的网络搜索查找凭证，并使用它们获得对设备…

篇首语：去年在深圳，和一个厂商交流时，聊到英国DeltaV场强仪，对方很诧异地说：“这玩意质量很差啊，用了三个月就坏了”，What？杨叔顿觉不可思议，毕竟实验室使用三年来几乎没出现过问题。 结果拿来一看：擦，这特么不是假货嘛？... 为了避免更多企业用户入坑，也为了方便RC2的学员朋友们识别真伪，特别地，在课程之余，写下本篇。 声明：以下内容来自RC2反窃密实验室及杨叔个人经验，仅供交流与参考。 01 DeltaV的厂商 国内有不少专业人士用过这款DeltaV手持信号检测设备，也有些人对这款设备嗤之以鼻，这都是假货的功劳 不过，更多的人，可能压根儿没听说过。 作为一款手持信号检测设备，在易用性、准确性和稳定性上，来自英国的DeltaV Advanced已经在国际上同类设备中位列前三。 在高准确度下保持对100MHz至15GHz的信号检测频宽，也超越了99%的同类设备。无论是大使馆，还是企业高管办公室、会议室的检测，均可轻松胜任。 这也是杨叔在2017年起，L2商业安全课程实验中就一直让学员对比体验设备的原因，最终DeltaV也确实赢得了学员们的一致认同。 其实这款设备的厂商： 英国Audiotel International 在国际TSCM反窃密检测圈内也算是鼎鼎有名的老牌厂商之一。 早在2005~2010年间，很多国家的执法机构、战术单位、反间谍及情报部门，都采购过该公司的非线性检测设备和手持信号检测仪。 直到现在，国内一些相关部门的物资仓库里，多少都能翻出一两款Audiotel的早期产品。 哈哈，能熟练使用上面设备的…

0x01 事件背景 2024年7月19日下午2点左右，大量外资企业和机构的Windows 机器出现蓝屏死机（BSOD）问题，受影响的机器会自动蓝屏，并且无法通过重启解决问题。 在短时间内全球多地爆出蓝屏导致的业务无法正常开展的事件，其中不乏包括国外知名的机构和单位，包括： 美国达美航空、联合航空和美国航空在内的多家美国主要航空公司的所有航班受蓝屏事件影响宣布当天上午停飞。 Microsoft 365订阅服务对于部分用户而言已无法使用，其状态页面警告称客户可能无法访问SharePoint Online、OneDrive for Business、Teams、Intune、PowerBI、Microsoft Fabric、Microsoft Defender和Viva Engage。 英国伦敦证券交易所宣布受蓝屏事件影响暂停交易。 日本轨道交通公司宣布受蓝屏事件影响无法查看列车的实时运行情况，不得已取消多条线路。 澳大利亚亚航空公司、银行、政府网络、企业、超市自动收银机等受到影响。 印度靛蓝航空、阿卡萨航空和香料航空在内的多家航空公司受蓝屏事件影响停飞，航班运营因此中断。 新加坡樟宜机场受蓝屏事件影响无法正常运营。 中国上海多家外企受到影响，环球影城和迪士尼受影响无法正常结算 本次事件主要影响的是国外机构与国内外资企业，有趣的是国内个人终端用户偏爱的盗版windows系统以及裸奔的安全防护反而使其逃过了一劫。在极短的时间内，微软蓝屏事件冲上微博热搜榜第一。此次事件的影响范围之广堪称旷古绝今，必将在互联网历史上留下深刻…

网络安全研究人员最近发现了一种新的 Python 恶意软件，该恶意软件以讲鞑靼语的用户为攻击目标，鞑靼语是一种土耳其母语，主要是由俄罗斯及其邻国的鞑靼人使用。基于 Cyble 的恶意软件设计使其可以捕获目标系统的屏幕截图，并通过 FTP（文件传输协议）将其传输到远程的服务器内。 FTP 协议则可以使文件和文件夹通过基于 TCP 的网络（如互联网）从一台主机（目标系统）传输到另一台主机。 该攻击活动背后的威胁行为者就是臭名昭著的 TA866，该组织曾以鞑靼语使用者为目标，并利用 Python 恶意软件开展攻击行动。 TA866如何利用python恶意软件 据CRIL 称，威胁行为者 TA866 使用新型 Python 恶意软件在鞑靼共和国日发动攻击，攻击一直到持续到了 8 月底。 有报告称，一个名为 TA866 的威胁攻击者使用了PowerShell 脚本进行截图并将其上传到了远程 FTP 服务器。 威胁攻击者使用钓鱼电子邮件发送 Python 恶意软件对受害者进行攻击，这些邮件中都包含了一个恶意的 RAR 文件。 该文件包括了两个文件：一个视频文件和一个基于 Python 的可执行文件。 ·当加载程序执行后，就会启动一系列的攻击事件。它会从 Dropbox 下载一个压缩文件，其中包含两个 PowerShell 脚本和一个附加的可执行文件。 ·这些脚本使得创建使用恶意可执行文件运行的计划活动变得更加容易。据 Proofpoint 称，该威胁攻击者的金融攻击行动被命名为 "Screentime "。 TA866 威胁攻击者及其定制黑客工具…

声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 01 总统专车面临的风险 美国历史上，自从1865年林肯总统被刺杀以来，已经有四位总统遭遇暗杀以身殉职，更有许多总统遭遇暗杀未遂，所以美国方面历来重视总统的安保工作。 就像大家在电影新闻上看到的，总统出国访问时，一个由黑色系车辆组成的总统车队里，一个个黑衣帅哥戴着耳机一脸严肃严阵以待。 其实，在伊拉克和阿富汗将近十五年的战争中，反简易爆炸装置 (IED) 和动态通信干扰技术取得了长足的进步，这种系统已经在海外挽救了数百甚至数千人的生命。 在过去十年的后半期，阿富汗和伊拉克各地，美军已经在 MRAP、APC 和装甲车上部署了更先进的技术。 当然，其中关键技术也部署到了总统车队的特种车辆上。 02 第一次见到总统车队 杨叔第一次见到总统车队，是在1998年。杨叔专门翻了些历史资料，和大家一起分享这份记忆。 1998年6月，美国克林顿总统访华，首站放在西安。据报道，克林顿总统的访华团队规模之大是空前的： 随行人数多达1200人，动用了包括空军一号在内的四架飞机和若干架大型运输机，仅是通讯器材就有60吨，随机记者200人，还有另外175个记者是自己打飞的来的。 记得当年克林顿来西安，入住在城东门附近的凯悦大酒店。不过美国总统出访外国前，会提前一两个月派出先遣高级安保人员，与出访国有关方面进行工作对接。 所以杨叔清楚地记得，当时克林顿访华前，在凯悦酒店对面路过，能清晰地看到酒店门口停着两辆酷酷的黑色防弹雪佛兰。 1998…

Hunters International 勒索软件组织正利用一种名为 SharpRhino 的新型远程访问木马 (RAT) 攻击 IT 工作者，侵入公司网络。 该恶意软件可帮助 Hunters International 实现初始感染，提升他们在受感染系统上的权限，执行 PowerShell 命令，并最终部署勒索软件负载。 Quorum Cyber 的研究人员观察到勒索软件攻击中使用的恶意软件是由一个冒充 Angry IP Scanner 网站的域名抢注网站传播的，Angry IP Scanner 是 IT 专业人员使用的合法网络工具。 2024 年 1 月，网络安全公司 eSentire 和研究员 0xBurgers 就曾发现该恶意软件通过一个假冒的 Advanced IP Scanner 网站传播。 Hunters International 是一个在 2023 年底开始活跃的勒索软件组织，由于其代码相似性而被标记为可能是 Hive 的品牌重塑。著名的受害者包括美国海军承包商 Austal USA、日本光学巨头 Hoya、Integris Health 和弗雷德哈金森癌症中心。 到目前为止，2024 年该威胁组织已宣布对全球各个组织（CIS 除外）发动了 134 起勒索软件攻击，在该领域最活跃的组织中排名第十。 SharpRhino RAT SharpRhino 利用数字签名的 32 位安装程序进行传播，其中包含自解压的受密码保护的 7z 存档以及用于执行感染的附加文件。 存档内容 安装程序会修改 Windows 注册表以实现持久…

我们可以通过使用CyberChef和Regex来克服大量基于文本的混淆，在混淆后，系统将识别一些“畸形”的shellcode，我们将在使用SpeakEasy模拟器进行模拟之前手动修复。 哈希：e8710133491bdf0b0d1a2e3d9a2dbbf0d58e0dbb0e0f7c65acef4f788128e1e4，示例链接请点此。 TLDR 1.识别功能和混淆类型； 2.清除基本混淆与正则表达式和文本编辑器； 3.使用Regex, CyberChef和Subsections去除高级混淆； 4.识别shellcode并修复负字节值(Python或CyberChef)； 5.使用Speakeasy验证和仿真。 初步分析 可以使用受感染的密码保存和解压缩脚本，这样我们可以使用文本编辑器(如notepad++)直接打开文件。 打开后，我们可以看到脚本引用了一些Excel对象以及Wscript.Shell，通常用于执行 .vbs 脚本。 在这个阶段，我们将跳转到使用Wscript来利用Excel执行代码的假设，避免分析Excel/Wscript组件，直接跳转到解码混乱的命令/代码。 我们可以假设代码的初始部分是利用Excel和Wscript来运行一个被混淆的vbs脚本。 混淆技术概述 从第30行开始，可以看到两种主要的混淆形式。 1.脚本被分解成许多小字符串，例如“hello world”将是“hello”＆“world” 2.该脚本使用Chr解码的十进制编码值。例如，“Hello World”可以是“Hell”＆ chr(111)＆“Wo…

往期回顾： 2024.3.25—2024.3.31安全动态周回顾 2024.3.18—2024.3.24安全动态周回顾 2024.3.11—2024.3.17安全动态周回顾 2024.3.4—2024.3.10安全动态周回顾 2024.2.26—2024.3.3安全动态周回顾 2024.2.19—2024.2.25安全动态周回顾 2024.2.12—2024.2.18安全动态周回顾 2024.1.29—2024.2.4安全动态周回顾 2024.1.22—2024.1.28安全动态周回顾 2024.1.15—2024.1.21安全动态周回顾 2024.1.8—2024.1.14安全动态周回顾

漏洞概述 OpenSSH是一个开源实现的SSH协议，用于加密网络通信。OpenSSH提供了一个安全的通道来访问远程计算机或服务器，并包含了一组客户端和服务器工具，以提供包括远程登录、远程执行命令、文件传输等功能。 CVE-2024-6387影响使用glibc的Linux系统，该漏洞被称为”RegreSSHion”。这个漏洞允许未经身份验证的用户在默认配置的情况下，通过LoginGraceTime参数进行远程代码执行，从而以root权限控制受影响的系统。 这个漏洞一旦被利用，可能会导致系统全面崩溃，攻击者可以使用最高权限执行任意代码，从而导致系统全面接管、安装恶意软件、篡改数据和创建后门进行持久访问。它可能会促进网络传播，使攻击者可以利用被入侵的系统作为立足点，穿越并利用组织内其他易受攻击的系统。 漏洞详情 目前该漏洞利用详情已公开，DayDayPoc平台收录了该漏洞poc，访问如下链接可查看漏洞poc https://www.ddpoc.com/DVB-2024-7376.html 影响范围 根据DayDayMap(www.daydaymap.com)全球网络空间资产测绘平台的数据显示，全球有上亿条资产可能遭受该漏洞的影响。国内风险资产主要分布在香港和北京。 DayDayMap查询语法： protocol.service="ssh" 解决方案 目前官方已有可更新版本，建议受影响用户升级至最新版本：OpenSSH > 9.8p1 官方补丁下载地址： https://www.openss…

数字化时代，随着生成和收集的数据比以往任何时候都要多，数据安全的重要性日益突显。社交媒体、电子商务及其他在线服务广泛使用，许多人在无形之中分享着个人信息。 本文将探讨数据安全的关键概念，并介绍保障数据安全方面的最佳实践。 什么是数据安全？ 数据安全是指保护数字数据免遭未经授权的访问、损坏、窃取或丢失这种做法。它涵盖一系列的技术、工具和措施，以确保数据免受各种威胁。数据安全对于个人、企业和政府来说至关重要，因为它确保了数据的机密性、完整性和可用性。 数据安全的好处 1. 保护你的数据——确保你的信息安全、远离内外威胁让你安心。这意味着你可以将更多的精力放在推进业务计划上，少担心潜在的数据泄露。 2. 提升你的信誉——想要持久合作的公司通常会仔细审查潜在合作伙伴的声誉。展示可靠的数据保护实践也有助于与客户建立信任。 3. 满足数据安全标准——采用严格的安全协议可以确保你遵守数据保护标准，帮助你避免巨额违规处罚。 4. 尽量降低法律成本——主动保护数据远比应对数据泄露的后果更具成本效益。致力于数据安全可以节省以后潜在事件相关的大笔费用。 5. 确保运营一致性——强大的数据安全措施为平稳的业务运营铺平了道路，减小了干扰/中断可能影响盈利能力的机会。 数据安全最佳实践 1. 数据发现：首先确定企业拥有的数据的类型和敏感性。这有助于确定哪些数据是关键数据，哪些数据必须遵守特定的安全法规。这样一来，可以清楚地了解如何优先考虑数据保护工作。 2. 限制敏感数据访问：并非所有员工都需要访问所有信息。广泛的访问增加了内部泄露和数据盗窃的风险。 3. 采用最小…

在过去的几年里，漏洞悬赏计划在普及和使用方面都有了显著的提升，越来越多的组织正在采用一些举措，以利用大量的研究人员资源来发现和检查在不法分子手中构成潜在威胁的漏洞。 他们的动机不仅是有机会通过安全和负责任地披露某些未知/不安全的漏洞来获得大额资金，而且还有机会获得认可，成为重大安全漏洞的发现者，并阻止大量数据泄露或其他事件。 漏洞悬赏是一种创新的网络安全方法 在传统的网络安全领域，漏洞悬赏计划是一种相对较新的创新方法。它补充了其他解决方案，带来了持续的安全测试，可以发现真正的/高影响的安全漏洞，以及与国际道德黑客社区的合作。 此外，对于缺乏安全专家、缺乏效率、缺乏对网络威胁指数理解的组织来说，漏洞悬赏计划无疑是一种有效回应。没有零风险的事情，但通过参与漏洞悬赏计划，组织可以像攻击者（而非防御者）那样思考。它们为传统的防御性网络战略带来了一种进攻性的方法，将人和道德黑客置于网络战略的核心。 在漏洞悬赏计划中，道德黑客所发现的每一个漏洞都将是真实的，并与组织的安全策略有关，也与保护组织的信息系统及其用户有关。它们也可以提供明确的投资回报——对于开发人员和其他业务团队来说，这是突显网络安全价值的一种透明而明确的方式。 以下是2023年推出的12项值得关注的漏洞悬赏项目。 1. 美国国防部宣布第三轮“黑进五角大楼”计划 今年1月，美国国防部（DoD）透露，计划启动第三轮“黑进五角大楼”（Hack the Pentagon）漏洞悬赏计划，该计划于2016年首次公布，并于2018年启动第二轮。根据一份绩效工作声明草案，“黑进五角大楼”3.0计划的一个…

相关研究人员最近发现了一个异常活跃的攻击活动，研究人员称之为EleKtra-Leak，它会自动窃取GitHub公共存储库中泄漏的身份和访问管理(IAM)密钥。因此，与该活动相关的攻击者能够创建多个AWS弹性计算(EC2)实例，用于广泛和持久的加密劫持。 分析发现，攻击者能够在五分钟内识别并使用GitHub上首次泄漏的IAM密钥，这一发现证明了攻击者是如何利用云自动化技术来实现扩展加密劫持的目标。攻击者似乎使用自动化工具不断复制公共GitHub存储库，并扫描泄漏的亚马逊网络服务(AWS) IAM密钥。 分析过程 调查过程中，研究发现，攻击者可能会识别频繁出现的AWS账户id，以阻止这些账户id免受未来的攻击或自动化脚本的攻击。因此，研究人员设计了一种新颖的调查架构来动态创建和泄漏不可归因的AWS密钥。 多年来，攻击者越来越多地使用GitHub作为攻击的初始载体。GitHub的一个强大功能是它能够列出所有公共存储库，这使得开发人员和攻击者能够实时跟踪新的存储库。 考虑到这个功能，研究人员选择GitHub作为其窃取AWS密钥的实验平台，将明文泄露的密钥写入新创建的GitHub存储库中的文件中，该存储库是研究人员随机选择并从公共GitHub存储库列表中复制的。研究人员将AWS密钥泄露到复制存储库中随机创建的文件中，然后在成功提交后将其删除。 一旦将窃取的密钥提交到存储库，研究人员就会立即删除了它们。最初，IAM密钥使用Base64编码。然而，尽管像trufflehog这样的工具可以找到泄漏的Base64 IAM密钥，但事实上没有攻击者能找到密钥。…

2023年9月，根据中国国家计算机病毒应急处理中心通报，在会同360公司配合侦办西北工业大学被美国国家安全局（NSA）网络攻击事件过程中，提取出名为“二次约会”的间谍软件样本。 调查发现，除西北工业大学外，美国还长期对国内多个网络目标实施了高达上万次的恶意网络攻击。 美国情报机关攻击华为总部长达14年之久，早在2009年起，美国特定入侵办公室（TAO）就开始入侵华为总部的服务器，并持续开展监控。 据报道，2009年初美国国安局的一个特别小组，成功渗透进了华为公司的计算机网络，并复制超过1400位客户资料和工程师使用的内部培训文件。他们不但窃取了华为的电子邮件存档，还获得个别华为产品的源代码，企图获取华为内部信息的同时，并试图植入后门程序到华为设备中，以便对华为用户进行监控和窃密。 美国国安局之所以渗入华为的深圳总部，因为该公司通过总部处理每个员工的邮件往来，所以从2009年1月起美国就读取了该公司很大一部分员工的电子邮件——包括当时的总裁任正非和董事长孙亚芳的邮件。 随着数字化时代的来临，网络安全防范和风险将是一个永恒的话题。在个人上，用户的计算机终端、移动互联网终端都存在随时被攻击的可能，极大程度会导致个人信息和隐私的泄露，稍有不慎，还会造成经济损失；对企业来说，安全的网络环境不仅是企业经济良好循环的基础，更极大程度上影响着企业的正常运行；在政府层面，如学校、医院、数据中心、交通设施等一旦遭受网络攻击，如若不及时加以控制，必然造成地区动荡，引发恐慌。 习近平总书记在十九届中央政治局第十二次集体学习时讲到“没有网络安全就没有国家安全，…

与今天的勒索软件攻击相比，世界上首起勒索软件攻击简直就是小菜一碟。 1989年，出席世界卫生组织（WHO）艾滋病会议的数千名与会者回到家中，结果在自家的邮箱软盘里发现了一份关于感染艾滋病毒可能性的调查问卷，但是他们没有发现任何问题。磁盘其实含有一个程序，用于加密计算机文件的名称。如果这些人想要恢复文件，被告知要向巴拿马的一个邮箱寄去189美元。 几年后，随着互联网兴起、社会向联网数字世界转变以及加密货币问世，勒索软件随之演变。 恶意分子组织起来，勒索软件即服务（RaaS）浮出水面，双重或三重勒索攻击成为常态。 因此，受害者的数量、被索要的金额以及攻击得逞的影响都在飙升。 NCC集团的全球威胁情报团队报告显示，2023年7月的勒索软件攻击多达502起，创下纪录，比2023年6月的434起攻击增加了16%，是2022年7月观察到的勒索软件攻击数量的两倍多。Malwarebytes的《2023年勒索软件状况》报告发现，勒索软件的总数也创下了纪录，一年内仅在美国、法国、德国和英国就发生了1900起攻击，其中美国几乎占了一半。 企业因勒索软件而遭受的损失也在增加。Cybersecurity Ventures预测，到2031年，勒索软件攻击将给受害者造成2650亿美元的损失——与2017年勒索软件受害者支付的50亿美元相比，增幅惊人。 而金钱损失只是勒索软件影响的一部分。除了成本外，组织还面临业务停机、声誉受损以及客户信任度下降等风险。此外，勒索软件具有下游效应，影响到最初攻击甚至没有针对的人员和系统。此外，即使攻击被公开披露，企业为抢救或恢复系统…

黑客利用 Popup Builder 插件过时版本中的漏洞入侵了 WordPress 网站后，用恶意代码感染了 3300 多个网站。 攻击中利用的缺陷被追踪为 CVE-2023-6000，这是一个影响 Popup Builder 版本 4.2.3 及更早版本的跨站点脚本 (XSS) 漏洞，最初于 2023 年 11 月披露。 今年年初发现的 Balada Injector 活动利用该特定漏洞感染了 6700 多个网站，许多网站管理员都没能足够快地修补补丁。 有报告发现在上个月一个针对 WordPress 插件上的相同漏洞活动显著增加。 根据 PublicWWW 的结果，在3329 个 WordPress 网站中发现了与这一最新活动相关的代码注入 ，Sucuri 自己的扫描仪检测到了 1170 个感染。 注射细节 这些攻击会感染 WordPress 管理界面的自定义 JavaScript 或自定义 CSS 部分，而恶意代码则存储在“wp_postmeta”数据库表中。 注入代码的主要功能是充当各种 Popup Builder 插件事件的事件处理程序，例如“sgpb-ShouldOpen”、“sgpb-ShouldClose”、“sgpb-WillOpen”、“sgpbDidOpen”、“sgpbWillClose”和“ sgpb-DidClose”。 恶意代码会在插件的特定操作时执行，例如当弹出窗口打开或关闭时。 Sucuri 表示，代码的具体操作可能有所不同，但注入的主要目的是将受感染网站的访问者重定向到恶意目的地，例如网络钓鱼页面和恶意…

研究人员发现一款基于Go的多平台恶意软件——NKAbuse，这是首个发现的滥用新网络技术（NKN）进行数据交换的恶意软件。 NKN NKN(新网络技术)是一种使用区块链技术管理资源和维护安全以及透明模型的去中心化点对点网络协议。NKN的作用之一是优化数据传输速率和网络延迟，具体步骤是通过计算高效的数据包传递路径来实现的。与Tor网络类似，个人用户可以通过运行节点加入NKN网络。目前，NKN网络有大约60710个节点，大量阶段的参与可以增强网络的鲁棒性、去中心化、以及处理大量数据的能力。 图 NKN的数据流动 NKAbuse恶意软件 NKAbuse是一款基于Go的多平台恶意软件，这是首个滥用新网络技术（NKN）进行数据交换的恶意软件，主要攻击位于墨西哥、哥伦比亚和越南的Linux主机。其中一个NKAbuse感染的案例利用了Apache Struts漏洞(CVE-2017-5638)来攻击金融机构。虽然大多数攻击的目标是Linux计算机，但恶意软件也可以入侵物联网设备，并支持MIPS、ARM和386架构。 DDoS攻击 NKAbuse录用NKN公链协议来实现大量的洪泛攻击，并在Linux系统中植入后门。具体来说，恶意软件客户端与僵尸主机通过NKN来发送和接收数据。C2发送的payload命令包括针对特定目标的HTTP、TCP、UDP、PING、ICMP、SSL洪泛攻击等。 图 DDoS攻击命令 所有这些payload之前也被用于僵尸网络，因此当与NKN相结合后，恶意软件就可以等待管理主机发起混合攻击。 RAT 除了DDoS能力外，NKA…

12月24日，GitHub向用户发送邮件通知称，所有向GitHub.com贡献代码的用户应在UTC时间2024年1月19日之前启用双因子认证。如果用户不启用双因子认证，其账户功能会受限，用户在登录GitHub后，也会有类似的提醒信息。 图 GitHub要求用户启用双因子认证 GitHub旨在通过双因子认证保护用户账户安全，以及供应链攻击中的代码改变。但双因子仅适用于GitHub.com个人用户，并不适用于企业账户。 如果用户未在截止日期之前启用双因子认证，其功能会被限制。GitHub也向用户提供配置指令。2024年1月19日之后，未通过双因子认证的用户登录GitHub时会自动转向设置页面。 设置双因子认证步骤 GitHub提供了多种启动双因子认证的方法，包括使用安全密钥、GitHub mobile、认证APP、SMS文本信息等。为确保用户的可持续访问，建议使用其中至少两种方法。用户可以在GitHub的安全设置中管理双因子认证和探索其他方法。 图 Github双因子认证设置界面 1月19日之后，用户在启用双因子认证之后就无法关闭双因子认证，但可以修改其配置的验证方法。 图 使用短信认证的GitHub 双因子认证

往期回顾： 2024.4.15—2024.4.21安全动态周回顾 2024.4.8—2024.4.14安全动态周回顾 2024.4.1—2024.4.7安全动态周回顾 2024.3.25—2024.3.31安全动态周回顾 2024.3.18—2024.3.24安全动态周回顾 2024.3.11—2024.3.17安全动态周回顾 2024.3.4—2024.3.10安全动态周回顾 2024.2.26—2024.3.3安全动态周回顾 2024.2.19—2024.2.25安全动态周回顾 2024.2.12—2024.2.18安全动态周回顾 2024.1.29—2024.2.4安全动态周回顾 2024.1.22—2024.1.28安全动态周回顾 2024.1.15—2024.1.21安全动态周回顾 2024.1.8—2024.1.14安全动态周回顾

网络恶意分子被发现将开源虚拟机管理程序平台 QEMU 作为对企业进行网络攻击的隧道工具。 QEMU 是一个免费的模拟器和虚拟机管理程序，允许在计算机上以访客身份运行其他操作系统。 作为攻击的一部分，网络恶意分子使用 QEMU 创建虚拟网络接口和套接字类型网络设备来连接到远程服务器。这使得恶意分子能够创建从受害者系统到攻击者服务器的网络隧道，而对系统性能的影响可以忽略不计。 安全研究分析师发现了这一问题，并指出攻击者用来保持其隐蔽性的多种方法。 隐秘的网络隧道 黑客创建网络隧道，在他们与受感染的系统之间建立隐秘且安全的通信通道。通常，这些隧道会对网络流量进行加密，以帮助绕过防火墙、入侵检测系统和其他安全措施。 安全研究机构表示，在过去三年调查的案例中，有 10% 的黑客使用了 FRP 和 ngrok 实用程序来创建隧道。攻击中使用的其他隧道工具包括 CloudFlare 隧道、Stowaway、ligolo、3proxy、dog-tunnel、chisel、gs-netcat、plink、iox 和 nps。由于它们经常被网络犯罪分子滥用，致使防御者和监控工具对这些持怀疑态度。 在涉及 QEMU 中，攻击者利用一种不太传统的工具来创建网络隧道，这种工具不太可能发出任何警报，即使这意味着放弃流量加密。 此外，QEMU 还提供有独特的功能，例如模拟各种硬件和虚拟网络、允许恶意活动与良性虚拟化流量混合，以及通过战略性设置 VM 枢轴点来桥接分段网络部分。 轻如羽毛的后门 在发现的攻击中，黑客利用“Angry IP Scanner”进行网络扫描，利…

在相关部门截获其服务器不到一周，LockBit 团伙便在新的基础设施上重新启动了勒索软件，并威胁说会将更多的攻击集中在政府部门。 在联邦调查局泄密模型下的一条消息中，该团伙专门发布了一条冗长的消息，讲述了他们的疏忽导致了此次泄露，以及未来的行动计划。 LockBit 勒索软件持续攻击 上周六，LockBit 宣布将恢复勒索软件业务，并发布公告，承认因“个人疏忽和不负责任”导致扰乱了其在克罗诺斯行动中的活动。目前，该团伙将其数据泄露网站转移到了新的 .onion 地址，该地址列出了五名受害者，并附有发布被盗信息的倒计时器。 重新启动的 LockBit 数据泄露网站显示有 5 名受害者 上周，有关部门拆除了 LockBit 的基础设施，其中包括托管数据泄露网站及34 台服务器、从受害者窃取的数据、加密货币地址、解密密钥以及附属面板。 攻击发生后，该团伙称他们只丢失了运行 PHP 的服务器，没有 PHP 的备份系统未受影响。 五天后，LockBit卷土重来并提供了有关漏洞的详细信息，以及他们将如何运营业务以使他们的基础设施更难以被攻击。 过时的 PHP 服务器 LockBit 表示，执法部门（他们统称为 FBI）入侵了两个主要服务器。 “由于我个人的疏忽和不负责任，我没有及时更新PHP。” 威胁分子表示，受害者的管理和聊天面板服务器以及博客服务器正在运行 PHP 8.1.2，并且很可能使用跟踪为 CVE-2023-3824 的关键漏洞进行了黑客攻击。 随后，LockBit 表示他们更新了 PHP 服务器，并宣布日后将奖励任何在最新版本中发现漏…