ISHACK AI BOT

Fortra 称，FileCatalyst Workflow 中存在一个严重的硬编码密码漏洞，攻击者可以利用该漏洞未经授权访问内部数据库，从而窃取数据并获得管理员权限。 任何人都可以使用该硬编码密码远程访问暴露的 FileCatalyst Workflow HyperSQL (HSQLDB) 数据库，从而未经授权访问潜在的敏感信息。 此外，数据库凭据可能会被滥用来创建新的管理员用户，因此攻击者可以获得对 FileCatalyst Workflow 应用程序的管理级访问权限并完全控制系统。 在最近发布的安全公告中，Fortra 表示该问题被跟踪为 CVE-2024-6633（CVSS v3.1：9.8，“严重”），影响 FileCatalyst Workflow 5.1.6 Build 139 及更早版本。建议用户升级到 5.1.7 或更高版本。 Fortra 在公告中指出，HSQLDB 仅用于简化安装过程，并建议用户在安装后设置替代解决方案。因为没有按照建议配置 FileCatalyst Workflow 使用备用数据库的用户很容易受到任何可以到达 HSQLDB 的来源的攻击。暂时还没有缓解措施或解决方法，因此建议系统管理员尽快应用可用的安全更新。 缺陷发现和细节 Tenable 于 2024 年 7 月 1 日发现了 CVE-2024-6633，当时他们在所有 FileCatalyst Workflow 部署中都发现了相同的静态密码“GOSENSGO613”。Tenable 解释说，在产品的默认设置下，可以通过 TCP 端口 4406 远程访问内部 Workflow HSQLDB，因此暴露程度很高。 一旦登录到 HSQLDB，攻击者就可以在数据库中执行恶意操作。例如，攻击者可以在 DOCTERA_USERS 表中添加管理员级别的用户，从而允许以管理员用户身份访问 Workflow Web 应用程序。 高访问级别、易利用性以及利用 CVE-2024-6633 的网络犯罪分子的潜在收益使得此漏洞对 FileCatalyst Workflow 用户来说极其危险。Tenable 指出，最终用户无法通过常规方式更改此密码，因此升级到 5.1.7 或更高版本是唯一的解决方案。 Fortra 产品因为其中的严重漏洞可能导致多个高价值企业网络同时遭受大规模攻击因此始终是攻击者的主要目标之一。

文章来源：工业和信息化部科技司

多个勒索软件团伙用来关闭端点检测和响应 (EDR) 解决方案的恶意 PoorTry 内核模式 Windows 驱动程序已演变为 EDR 擦除器，删除了对安全解决方案的运行至关重要的文件，并使恢复变得更加困难。 尽管 Trend Micro 自 2023 年 5 月以来就警告过 Poortry 上添加了此功能，但 Sophos 现已确认在野外看到了 EDR 擦除攻击。 PoorTry 从 EDR 停用器演变为 EDR 擦除器，代表了勒索软件参与者在策略上非常激进的转变，他们现在优先考虑更具破坏性的设置阶段，以确保在加密阶段获得更好的结果。 PoorTry，也称为“BurntCigar”，于 2021 年开发，作为内核模式驱动程序，用于禁用 EDR 和其他安全软件。 该套件被多个勒索软件团伙使用，包括 BlackCat、Cuba 和 LockBit，最初引起人们注意是因为其开发人员找到了通过 Microsoft 的认证签名流程对其恶意驱动程序进行签名的方法。其他网络犯罪团伙，如 Scattered Spider也被发现使用该工具实施以凭证盗窃和 SIM 卡交换攻击为重点的入侵。 在 2022 年和 2023 年期间，Poortry 不断发展，优化其代码并使用 VMProtect、Themida 和 ASMGuard 等混淆工具来打包驱动程序及其加载器（Stonestop）以进行逃避检测。 Evolution to a wiper Sophos 的最新报告基于 2024 年 7 月的 RansomHub 攻击，该攻击利用 Poortry 删除关键的可执行文件 (EXE)、动态链接库 (DLL) 和安全软件的其他重要组件。 这确保了 EDR 软件无法被防御者恢复或重新启动，从而使系统在攻击的后续加密阶段完全不受保护。该过程从 PoorTry 的用户模式组件开始，识别安全软件的安装目录以及这些目录中的关键文件。 然后，它会向内核模式组件发送请求，系统地终止与安全相关的进程，然后删除它们的关键文件。 这些文件的路径被硬编码到 PoorTry 上，而用户模式组件支持按文件名或类型删除，这使其具有一定的操作灵活性，可以覆盖更广泛的 EDR 产品。 按文件类型删除功能 该恶意软件可以进行微调，只删除对 EDR 操作至关重要的文件，从而避免在攻击风险较高的第一阶段产生不必要的噪音。 Sophos 还指出，最新的 Poortry 变体采用签名时间戳操纵来绕过 Windows 上的安全检查，并使用 Tonec Inc. 的 Internet Download Manager 等其他软件的元数据。 驱动程序属性 攻击者采用了一种被称为“证书轮盘”的策略，他们部署使用不同证书签名的相同有效载荷的多个变体，以增加至少一个成功执行的机会。 随着时间的推移，用于签署 Poortry 驱动程序的各种证书 尽管人们努力追踪 PoorTry 的演变并阻止其生效，但该工具的开发人员已经表现出了适应新防御措施的非凡能力。 EDR 擦除功能使该工具在应对攻击方面比防御者更具优势，但也可能为在加密前阶段检测攻击提供新的机会。

工业和信息化部依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，持续整治APP侵害用户权益的违规行为。 近期，工业和信息化部组织第三方检测机构进行抽查，共发现17款APP及SDK存在侵害用户权益行为，已予以通报。文中所述APP及SDK应按有关规定进行整改，整改落实不到位的，将依法依规组织开展相关处置工作。你的手机里是否也有安装如下软件？若有，速速卸载！ 工信部通报存在问题的APP（SDK）名单 文章来源自：北京发布 工信部官网

一种名为 Styx Stealer 的新网络安全威胁已经出现。它可以在使用频繁网络浏览器中窃取敏感数据（例如已保存的密码、cookie 和自动填充信息）来锁定用户。 该恶意软件影响涉及到 Chromium 和 Gecko 的浏览器，并将其影响范围扩展到了浏览器扩展、加密货币钱包，甚至 Telegram 和 Discord 等消息平台。 Styx Stealer 的曝光引起了网络安全专家和用户的警惕，它对网络安全构成了重大风险。 利用 Windows Defender 漏洞 Styx Stealer 利用了 Microsoft Windows Defender SmartScreen 中的漏洞，该漏洞编号为CVE-2023-36025，也称为 Phemedrone Stealer。 该漏洞于 2024 年初广泛传播，使得恶意分子能够绕过安全措施并渗透到用户的系统。 不断的漏洞的利用，给网络安全防御带来了持续挑战，特别是当威胁分子发现和利用广泛使用的软件中的漏洞时。 有趣的是，Styx Stealer 的功能演示已发布在其开发人员的社交媒体上。尽管该媒体账号影响力不大，但此次演示还是引起了网络安全专业人士的注意。 此外，有威胁分子在俄罗斯一个热门论坛上发现出售 Styx Stealer，这表明该病毒具有广泛传播的潜力。这一事件发展无疑警醒了用户和组织需要保持警惕以保护其数字资产。 随着情况的发展，专家建议用户更新安全软件，对可疑链接和下载保持警惕，并定期更改密码，以防止潜在的违规行为。 Styx Stealer 的出现提醒人们网络威胁形势的不断演变以及主动网络安全措施的重要性，增强网络安全意识和手段刻不容缓。

近日，备受瞩目的动作角色扮演游戏《黑神话：悟空》遭遇网络攻击，这一事件引发广泛关注。该游戏由中国游戏开发公司 Game Science 开发，是一款基于中国古代神话《西游记》的开放世界游戏。 攻击的影响主要集中在游戏的发布平台——Steam上。 事件背景 《黑神话：悟空》自首次公布以来，就吸引了大量游戏爱好者的关注。其精美的画面和创新的玩法让人对这款游戏充满期待。然而，这也使得它进入攻击者视线，并对 Steam 平台发起了网络攻击。 攻击详情 根据多方报道，攻击者通过对 Steam 平台进行分布式拒绝服务（DDoS）攻击，导致平台出现了大规模的服务中断和不稳定现象。这种攻击通常会通过大量伪造的流量挤占目标服务器的资源，进而导致正常用户无法访问服务。 事件影响 此次攻击不仅影响了 Steam 平台的正常运营，也对《黑神话：悟空》的发布造成了不小的困扰。开发公司 Game Science 已经发布声明，表示他们正在与 Steam 平台紧密合作，尽快解决问题，确保游戏能够如期发布。 Steam 平台方面则对外表示，他们已经采取了紧急措施来应对攻击，并加强了系统的安全防护。他们还承诺将继续关注事态的发展，并与相关方保持沟通，以最大限度减少对用户的影响。 后续发展 目前，关于此次网络攻击的具体原因和攻击者身份仍然不明确。专家表示，这类攻击可能与游戏的高关注度有关，攻击者可能试图通过这种方式制造混乱，影响游戏的发售。 文章参考自：Game Science 官方声明. Game Science 网站 Steam 平台公告.Steam 新闻中心 《黑神话：悟空》网络攻击相关报道. IGN. IGN 网站 《黑神话：悟空》遭遇的网络攻击分析. GameSpot. GameSpot 网站

往期回顾： 2024.8.12—2024.8.18安全动态周回顾 2024.8.5—2024.8.11安全动态周回顾 2024.7.29—2024.8.4安全动态周回顾 2024.7.22—2024.7.28安全动态周回顾 2024.7.15—2024.7.21安全动态周回顾 2024.7.8—2024.7.14安全动态周回顾 2024.7.1—2024.7.7安全动态周回顾

近日，一个名为 Mad Liberator 的新数据勒索团伙瞄准了 AnyDesk 用户，并运行虚假的 Microsoft Windows 更新屏幕来分散注意力，同时从目标设备窃取数据。 该行动于 7 月开始出现，虽然观察该活动的研究人员没有发现任何涉及数据加密的事件，但该团伙在其数据泄露网站上指出，他们使用 AES/RSA 算法来锁定文件。 Mad Liberator“关于”页面 针对 AnyDesk 用户 在网络安全公司 Sophos 的一份报告中，研究人员表示，Mad Liberator 攻击始于使用 AnyDesk 远程访问应用程序与计算机进行未经请求的连接，该应用程序在管理公司环境的 IT 团队中很受欢迎。 目前尚不清楚威胁者如何选择其目标，但有一种理论是，Mad Liberator 会尝试潜在的地址（AnyDesk 连接 ID），直到有人接受连接请求，但该说法尚未证实。 AnyDesk 上的连接请求 一旦连接请求被批准，攻击者就会在受感染的系统上放置一个名为 Microsoft Windows Update 的二进制文件，该二进制文件会显示一个虚假的 Windows Update 启动画面。 伪造的 Windows 更新启动画面 该诡计的唯一目的是分散受害者的注意力，同时威胁者使用 AnyDesk 的文件传输工具从 OneDrive 帐户、网络共享和本地存储中窃取数据。在虚假更新屏幕期间，受害者的键盘被禁用，以防止破坏数据泄露过程。 安全研究人员发现，Mad Liberator 的攻击持续了大约四个小时，在数据泄露后阶段，它没有进行任何数据加密。但它仍然在共享网络目录上留下勒索信，以确保在企业环境中获得最大程度的可见性。 被入侵的设备被泄露勒索信 安全研究人员指出，在 AnyDesk 连接请求之前，它没有看到 Mad Liberator 与目标互动，也没有记录任何支持攻击的网络钓鱼尝试。 关于 Mad Liberator 的勒索过程，威胁者在其暗网上声明，他们首先联系被入侵的公司，并表示如果满足他们的金钱要求，他们就会“帮助”他们修复安全问题并恢复加密文件。 如果受害公司在 24 小时内没有回应，他们的名字就会被公布在勒索门户网站上，并有七天的时间联系威胁者。 在发出最后通牒后的五天内，如果受害者没有支付赎金，所有被盗文件都会被公布在 Mad Liberator 网站上，目前该网站已列出了九名受害者。

本周，ZeroSevenGroup（泄露被盗数据的威胁者）表示，他们入侵了美国一家分公司，窃取了 240GB 的文件，其中包含有关丰田员工和客户的信息，以及合同和财务信息。 他们还声称已经使用开源 ADRecon 工具收集了网络基础设施信息，包括凭证，该工具可帮助从 Active Directory 环境中提取大量信息。 威胁者在黑客论坛上称已拿到包括联系人、财务、客户、员工、计划、照片、数据库、网络基础设施、电子邮件等内容的大量数据。除此之外，威胁者还可提供带有密码的所有目标网络的 AD-Recon。 目前，丰田已证实其网络遭到入侵。 当被要求验证该威胁者的说法时，丰田称：该问题范围有限，不是系统范围内的问题。 随后该公司补充说，它“正在与受影响的人接触，并将在需要时提供帮助”，但尚未提供有关何时发现入侵、攻击者如何获得访问权限以及有多少人的数据在事件中被泄露的信息。 丰田数据泄露 虽然丰田尚未透露泄密事件的日期，但相关媒体发现这些文件已被盗，或者至少是在 2022 年 12 月 25 日创建的。这个日期可能表明威胁分子获得了存储数据的备份服务器的访问权限。 去年 12 月，丰田子公司丰田金融服务公司 (TFS) 就曾警告客户，他们的敏感个人和财务数据在一次数据泄露中被暴露，该数据泄露是由 11 月的 Medusa 勒索软件攻击造成的，该攻击影响了这家日本汽车制造商的欧洲和非洲分部。 今年 5 月份，丰田披露了另一起数据泄露事件，由于公司云环境中的数据库配置错误，215 万客户的车辆位置信息在 2013 年 11 月 6 日至 2023 年 4 月 17 日之间暴露了长达十年之久。 几周后，该公司又发现另外两个配置错误的云服务泄露了丰田客户的个人信息，时间长达七年多。 这两起事件发生后，丰田表示已实施了一套自动化系统来监控其所有环境中的云配置和数据库设置，以防止将来再次发生此类泄露。 据了解，2019 年，丰田和雷克萨斯的多家销售子公司也遭遇入侵，攻击者窃取并泄露了该公司当时所说的“多达 310 万条的客户信息”。

由于固件不兼容问题导致已修补的 Windows 设备进入 BitLocker 恢复模式，Microsoft 已禁用针对 BitLocker 安全功能绕过漏洞的修复。 该漏洞被标记为 CVE-2024-38058，它可让攻击者绕过 BitLocker 设备加密功能，并通过物理访问目标设备来访问加密数据。 该公司在更新中解释道：“当客户将针对此漏洞的修复程序应用于他们的设备时，我们收到了有关固件不兼容问题的反馈，这些问题导致 BitLocker 在某些设备上进入恢复模式。因此，随着 2024 年 8 月安全更新的发布，我们将禁用此修复程序。” 禁用修复程序后，微软建议那些想要保护其系统和数据免受 CVE-2024-38058 攻击的用户应用 KB5025885 公告中详述的缓解措施。 但是，他们现在不必部署安全更新，而是必须经历一个 4 阶段的过程，该过程还需要重新启动受影响的设备八次。 此外，微软警告说，在具有安全启动功能的设备上应用缓解措施后，即使重新格式化磁盘，他们也无法再将其删除。 在设备上启用此问题的缓解措施后，即已应用缓解措施，如果用户继续在该设备上使用安全启动，则无法恢复。即使重新格式化磁盘也无法删除已应用的撤销。 在本月的补丁星期二，雷德蒙德还修复了 7 月 Windows 安全更新引发的一个已知问题，该问题导致一些 Windows 设备启动到 BitLocker 恢复。 虽然这与迫使微软禁用 CVE-2024-38058 修复的固件不兼容问题相符，但该公司没有提供任何有关实际根本原因或如何解决该问题的信息。 微软只是建议受影响的客户为他们的设备安装最新更新，因为它包含重要的改进和问题解决方，而没有以任何方式将该错误或其修复与 CVE-2024-38058 漏洞联系起来。

身份盗窃资源中心 (ITRC)在 2024 年第二季度追踪了 1,041,312,601 名数据泄露受害者，数据显示，比 2023 年第二季度（81,958,874 名受害者）增加了 1,170%。 人数增加的绝大部分原因是由于大多数人们的妥协。ITRC 提到 Prudential（250 万人）和 Infosys McCamish Systems（600 万人）事件是主要导火索。 由于这两起泄密事件都是在 2024 年第二季度宣布的，因此对数据产生了巨大影响。当比较 2024 年上半年 (H1 2024) 的数据泄露受害者数量时，研究人员发现与 2023 年上半年相比，这一数字增长了 490%。 ITRC 对一些数字进行了分解，并以信息图的形式展示： 我们可以从信息图中得出一些值得注意的统计数据： ·2024 年上半年，近 90% 的入侵都是由于数据泄露造成的。 ·金融服务业的入侵次数最多，其次是医疗保健业。受害者数量最多的数据泄露企业是 Ticketmaster、Advance Auto Parts 和戴尔。 ·80 次供应链攻击涉及 446 个实体，受害者超过 1000 万人。 ITRC 强调的另一个趋势是被盗驾照信息数量增加。这主要是由于疫情后使用驾照信息进行身份确认的趋势所致。这既增加了这些信息被泄露的可能性，也增加了这些信息对窃贼的价值。 疫情爆发前的 2019 年全年，驾驶执照数据被盗的数据泄露事件总计为 198 起，而 2023 年全年为 636 起，截至 2024 年 6 月 30 日为 308 起。 大多数数据泄露不是疏忽造成的，而是有针对性的网络攻击造成的。一定程度上，这也解释了数据删除服务需求的不断增长，它不仅在保护企业隐私权方面发挥着重要作用，还有助于避免或减轻违规的法律后果。

据报道，近 27 亿条美国人的个人信息记录在一个黑客论坛上被泄露，其中包括姓名、社会保险号、地址以及别名。 据称，这些数据来自 National Public Data 公司，该公司收集和出售个人数据，以用于背景调查、获取犯罪记录和供私人调查员使用。 国家公共数据从公共来源搜集这些信息，以汇编美国和其他国家的个人用户资料。 今年 4 月，一个名为 USDoD 的威胁者声称正在出售 29 亿条信息记录，其中包含从 National Public Data 窃取的美国、英国和加拿大人的个人数据。 当时，该威胁者试图以 350 万美元的价格出售这些数据，并声称其中包含这三个国家每个人的记录。 据悉，USDoD 是一个知名的威胁分子，此前曾涉嫌在 2023 年 12 月以 5 万美元的价格出售 InfraGard 的用户数据库。 被盗数据被免费泄露 此后，各种威胁者陆续发布了部分数据副本，每次泄露共享不同数量的记录，在某些情况下，共享不同的数据。 8 月 6 日，一个名为“Fenice”的威胁者在 Breached 黑客论坛上免费泄露了被盗国家公共数据的最完整版本。 然而，Fenice 表示，数据泄露是由另一个名为“SXUL”的威胁者进行的，而不是美国国防部。 国家公共数据在黑客论坛上泄露 泄露的数据由两个文本文件组成，总计 277GB，包含近 27 亿条纯文本记录，而不是美国国防部最初分享的 29 亿条记录。虽然无法确认此次泄露是否包含美国每个人的数据，但许多人证实，这些信息中确实包含他们及其家人的合法信息，甚至有已故者。 每条记录包含以下信息：个人姓名、邮寄地址和社会保险号，部分记录还包含其他信息，例如与个人相关的其他姓名。这些数据均未加密。 此前泄露的数据样本还包括电话号码和电子邮件地址，但这些并不包含在此次 27 亿条记录的泄露中。 值得注意的是，一个人会有多条记录，每条记录对应一个已知居住地址。这也意味着，此次数据泄露不止影响 27亿人，有人说明他们的社会安全号码与他们不认识的其他人有关，因此并非所有信息都是准确的。 此次数据泄露事件已导致多起针对 Jerico Pictures 的集体诉讼，据称该公司以 National Public Data 的名义开展业务，原因是该公司未能充分保护人们的数据。如果您居住在美国，此次数据泄露事件很可能泄露了您的部分个人信息。 由于数据包含数亿个社会安全号码，建议您监控您的信用报告中是否存在欺诈活动，并在发现时向信用局报告。 此外，由于之前泄露的样本还包含电子邮件地址和电话号码，您应该警惕试图诱骗您提供更多敏感信息的网络钓鱼和短信。

近期，微软推出的云计算版本操作系统Windows Azure服务出现故障，微软MSDN发文称，Azure服务中断是由于操作系统升级时出现故障，并且表示Windows Azure的存储并没有受到影响。 微软目前已解决了 Azure 中断问题，并停止了北美和拉丁美洲客户的多项服务。 该公司表示，事件影响了利用其现代云内容交付网络 (CDN) Azure Front Door (AFD) 的服务。其公司代表在 Azure 状态页面上首次承认中断时称：这是由所谓的“配置更改”引起的。为了应对这一问题，许多 Microsoft 服务已无法使用 AFD。 然而，有客户报告称，在英国连接 Azure 服务（包括 Azure DevOps）时遇到错误，Azure DevOps 状态页面将这些问题标记为影响巴西用户。 此外，尽管 Azure 状态页面至少一小时内没有显示任何有关服务受到影响的信息，但在中断期间，许多客户也无法加载该页面。尽管服务健康状态页面显示在整个中断期间 Azure 均未出现任何问题，但 Downdetector 已收到数千份有关服务器连接和登录问题的用户报告。 Azure DevOps 中断 该中断影响了许多 Microsoft 365 和 Azure 服务，导致全球客户出现访问问题和性能下降。 该公司随后证实，此次中断影响了 Microsoft 365 管理中心、Intune、Entra、Power BI 和 Power Platform 服务，并将其归咎于“意外的使用量激增”，“导致 Azure Front Door (AFD) 和 Azure 内容分发网络 (CDN) 组件的性能低于可接受的阈值，从而导致间歇性错误、超时和延迟峰值。” 然而，微软此后透露，上周持续 9 小时的 Azure 中断是由针对多个 Azure Front Door 和 CDN 站点的容量耗尽 TCP SYN 洪水分布式拒绝服务 (DDoS) 攻击引发的。 微软表示：“虽然最初的触发事件是分布式拒绝服务 (DDoS) 攻击，从而激活了 DDoS 防护机制，但初步调查表明，防御措施实施中的错误放大了攻击的影响，而不是减轻了它的影响。” 本月初，Microsoft 365 客户受到了另一次大面积中断的影响，该公司当时称此次中断是由 Azure 配置更改引起的。 其他全球性中断则分别在 2022 年 7 月因企业配置服务 (ECS) 部署故障以及 2023 年 1 月广域网 IP 更改后影响了 Microsoft 365 服务。 2023 年 6 月，该公司证实其 Azure、Outlook 和 OneDrive 门户网站在第 7 层 DDoS 攻击中被一个被追踪为匿名苏丹 (又名 Storm-1359) 的威胁者摧毁，该攻击被认为与俄罗斯有联系。

01 新剧介绍 先引用下网上的官方介绍： 电视剧《对手》是爱奇艺出品，海东明日影视联合出品，由卢伦常执导，郭京飞、谭卓、颜丙燕、宁理领衔主演，孙佳雨、王天辰、刘帅良主演，何蓝逗联合主演，黄尧、张月特别主演的当代都市谍战剧，讲述了和平年代的“谍战”故事。 《对手》讲述了国家安全警察在日常生活中寻找间谍线索的故事，他们凭借着精湛的侦查能力，为了国家和人民的安居乐业，克服了一切困难，最后赢得了胜利。 02 本剧亮点 感觉全剧贯穿的主题有这么几个： ① 鼓励全民反间防谍，牢记12339，即国家安全举报电话 ② 国内潜伏是没有希望滴，赶紧自首才是王道 ③ 国安警察并不是脱离群众的“神人”，也都是和每一个普普通通的家庭一样，需要面对生活中的各种压力，为了工作，很多时候甚至不得不牺牲家庭。 特别是最后一点，使得剧中的角色变得鲜活、生动了很多。不再是那种一脸正直帅气的标签化特征，而是更加接地气的长相普通，为了任务去染发、赌球、贴纹身混赌场 03 一些经典片段 之前杨叔在分享电影《扫黑 • 决战》时说过，国产电影电视剧中很少出现跟踪、技术窃密的场景，有朋友留言说是国情不允许啊之类。 其实按照国内这些年引进的这么多相关内容的欧美港台电影来看，比如《窃听风云》系列，《碟中谍》等，说国情不允许肯定是夸张了。 杨叔：“相信最主要的原因还是导演、编剧的意识理念缺乏所致。” 所以，在《对手》这部剧里，这方面的情节展现就显得特别亮眼 厦洲市国安处长段迎九，在带领新人外出时，通过询问每个人对环境细节的观察，来考核个人能力。 这一段与香港电影《跟踪》里CIB（香港刑事犯罪情报科）处长对新人考核的内容非常相近，应该是导演在向经典电影致敬。 杨叔之前也分享过这部经典香港电影，感兴趣可翻阅： 你看美人，我找设备 | 细数中国香港电影里的反窃密场景 郭京飞饰演的潜伏间谍“桃园 ”，在某总工办公室安装无线发射功能的窃听器。 这样，境外间谍组长林彧，就能从远程窃听办公室里的内容。这个设定也属于典型的技术窃密手段。 郭京飞在行动时，将车辆停在两个监控摄像头的死角位置，这个细节很有那种行动类港片色彩，要给满分。 场景 4 无线窃听器 为了监听及控制，境外潜伏间谍在女孩包里安装了无线窃听器，在被国安丁晓禾发现后，迅速开展了紧急线人保护流程处理。 剧中发现窃听器材后的处理流程非常紧凑、专业。 郭京飞在获得女儿男友家的地址后，为了方便后续监视，在对方屋顶射灯里，安装了一个针孔偷拍器材（桃园同学可真是“全才”啊） 布置在射灯光源侧方上的这种“光源盲区”部署手法，有点技术含量，很符合角色定义 电视剧中多次使用到了暗语，这一点非常好。 比如丁老师在被绑架前，用暗语告诉了郭京飞她的位置，而这个位置的定义，恰恰是国内公安一直在宣传的报警方式：电线杆上的编码。 再比如社会工程学、莫尔斯电码、保险柜的技术开锁、EMP开锁、紫外线勘查痕迹等等，还有很多场景都设计得很用心，哈哈，杨叔就不剧透了。 04 可以再加强的细节 杨叔觉得整部剧中，有些细节还是可以再加强一下的，比如： 郭京飞怀疑自家里被装了器材，于是开始对卧室进行排查。 令人无语的是，作为一部现代反谍剧，一位“专业间谍”，居然使用淘宝上购买的反偷拍设备？！ 而且这还并非是最新款，而是已经淘汰的10多年前华强北销售的CC308系列。 可能有人会说，从淘宝上买设备是一种掩护，或者由于郭京飞没钱，没办法购买昂贵的检测设备（目前这款CC308也就是几十元），更或者说这就是十多年潜伏时购置的，一直使用到现在。 听起来似乎有那么点道理，但是： 一，对比郭京飞在人家总工房间安装无线电窃听器这个场景，就知道他本身对窃听器材功能肯定是熟悉的。 在这种设定前提下，对室内是否存在无线发射器材，使用一些具备无线侦测能力的专业检测设备，相信更加符合人物设定。 下图是RC2的Level-2课程现场，学员们使用专业手持检测设备，开展室内物理安全检测。 二，作为民用的CC308产品质量很差，特别是电池无法拆卸这一点，基本上连续使用1个多月后就会出故障。这个糟糕的设计，现在还有很多国内设备在模仿。 杨叔2008年在华强北也买过这款，1个月后内置电池就鼓包废掉了，我想导演一定不知道这一点 这确实是一个小败笔，还好瑕不掩瑜。 剧中对无线窃听的展示，让人眼前一亮。 不过令人哭笑不得的是，剧中无论是国安的监控人员，还是境外潜伏间谍，居然用的都是同一个音频监控软件界面。 杨叔觉得：这肯定是技术/道具组偷懒了 这款名为”Adobe Audition CC 2018”的软件，确实是强大的音频工作站，可以用于创建、混合、编辑和复原音频内容的多轨、波形和光谱显示功能。 难道说行业里这一款是爆款？双方都在用？ 更幽默的是，剧中双方居然都用同一款甚至同一个型号的监听耳机，我就D#@*？ 05 剧中的伏笔 全剧中多次出现了国内“天网工程”和“情报大数据”方面的内容，尽显技术监控能力。 不过导演在一边肯定这些高新技术使用的同时，也指出了依然可能存在的死角。 比如剧中的国安警察黄海，在一个缺少公共治安摄像头的背街小巷中，在手机信号被屏蔽后，就遭遇了杀手的埋伏，而自己的队友由于没办法精准定位手机，险些就没救上。 剧情和结局就不剧透了，感兴趣的朋友们赶紧去看。

三星为其移动设备推出了一项新的漏洞赏金计划，将对展示关键攻击场景的报告提供高达 1,000,000 美元的奖励。 新的“重要场景漏洞计划（ISVP）”计划重点关注与任意代码执行、设备解锁、数据提取、任意应用程序安装和绕过设备保护相关的漏洞。 重点支出 Knox Vault 是三星的独立安全环境，用于在移动设备上存储敏感的生物特征信息和加密密钥。报告在三星设备上实现本地任意执行将获得 300,000 美元的奖励，而报告远程代码执行 (RCE) 将获得 1,000,000 美元的奖励。 TEEGRIS OS 是三星的可信执行环境 (TEE) 操作系统，它提供了一个与主操作系统安全隔离的环境，以执行敏感代码并处理关键数据，例如支付和身份验证。 TEEGRIS OS 上的本地任意代码执行可获 20 万美元，而 RCE 漏洞可获最高 40 万美元。Rich OS（三星设备的主要操作系统）上的本地代码执行可获 15 万美元，而 RCE 漏洞最高可获 30 万美元。 ISVP 中的最高支出 设备解锁加上完整的用户数据提取将支付 400,000 美元，如果在第一次解锁后实现则支付一半的金额。 另一项值得关注的奖励是，如果从非官方市场或攻击者的服务器实现远程任意应用程序安装，则可获得 100,000 美元，如果从 Galaxy Store 安装应用程序，则可获得 60,000 美元。本地任意安装分别可获得 50,000 美元和 30,000 美元。 要领取奖励，漏洞报告必须包含可构建的漏洞利用程序，该漏洞利用程序必须在 Galaxy S 和 Z 系列等旗舰机型的最新安全更新中持续运行，且无需特权。 要领取最高奖励，漏洞利用程序必须持久且无需点击，这意味着它不需要用户交互。 2023 年支付 83 万美元 本周，三星还宣布，它向在2023 年参与其移动安全奖励计划的 113 名安全研究人员支付 827,925 美元作为其提交内容的报酬。 据统计，自 2017 年该计划启动以来，三星已支付了超过 4,900,000 美元的漏洞赏金，最高金额为 120,000 美元。去年的最高支付额为 57,190 美元。 ISVP 的推出旨在打破这些记录，以提供强有力的激励来收集影响三星设备的更多严重问题的报告。

美国证券交易委员会已结束对 Progress Software 处理 MOVEit Transfer 零日漏洞被广泛利用事件的调查。据悉，该漏洞导致了 9500 多万人的数据泄露。 在提交给美国证券交易委员会的表格中，Progress Software 表示，美国证券交易委员会执法部门不会针对该安全事件采取任何执法行动。 在美国证券交易委员会提交的文件中写道：“美国证券交易委员会已通知 Progress，目前不打算建议对该公司采取执法行动。” 如之前披露的那样，Progress 于 2023 年 10 月 2 日收到了美国证券交易委员会的传票，作为事实调查的一部分，要求提供与 MOVEit 漏洞相关的各种文件和信息。 SEC 一直在调查 Progress Software 对通过 MOVEit Transfer 软件中的零日漏洞进行的大规模数据盗窃攻击的处理情况。 据外媒报道，在 2023 年阵亡将士纪念日假期周末期间，Clop 勒索软件团伙利用零日漏洞对全球公司发起了大规模数据盗窃活动。 据一直在追踪此次攻击影响的 Emsisoft 称，超过 2,770 家公司和 9500 万人的数据通过零日漏洞被窃取。 由于攻击影响广泛，包括政府机构、金融公司、医疗保健组织、航空公司和教育机构，Clop 团伙预计将获得 7500 万至 1 亿美元的赎金。虽然美国证券交易委员会不建议采取任何行动，但 Progress Software 仍然会面临数百起集体诉讼。

法国巴黎大皇宫是负责管理法国多家博物馆和文化场所的机构。它负责监督博物馆运营的各个方面，包括展览、文化节目和运营。 据了解，该馆于 2024 年 8 月 3 日星期六晚遭受了网络攻击。 其本身是巴黎的一处历史遗址和展览馆，目前举办奥运会的大型艺术展览和文化活动，包括击剑和跆拳道比赛。 据外媒透露，大皇宫剧院的运营中断是勒索软件攻击造成的。然而，卢浮宫馆长在社交媒体上反驳了有关此次袭击影响到其他博物馆的说法，包括著名的卢浮宫，该博物馆在当前的旅游繁荣时期尤为重要。 据法国媒体报道，此次攻击导致巴黎大皇宫博物馆关闭系统，以此防止攻击蔓延，此次攻击导致法国多家博物馆的书店和精品店停业。不过，当局已制定解决方案，让这些书店和精品店能够自主运营。 大皇宫博物馆方面表示，此次网络攻击没有对其管理的博物馆造成其他影响，博物馆仍在正常运营，奥运会赛事也顺利进行。 “至于大皇宫博物馆管理的 36 家博物馆商店，它们正在正常、自主地运营，博物馆及其商店在正常情况下仍向公众开放。”大皇宫博物馆表示，它立即向 ANSSI（法国网络安全工作组）、国家信息和自由委员会 (CNIL) 和文化部通报了此次网络攻击事件。 ANSSI 目前正在协助补救和网络恢复过程，而初步调查尚未发现任何受感染系统数据泄露的迹象。 然而，据称威胁者留下了一张勒索信，要求以加密货币支付，否则他们会泄露在攻击中窃取的数据。 有可靠证据表明，此次攻击可能是由 Grand Palais Rmn 合作者的账户被劫持引起的，其凭证被信息窃取恶意软件窃取。 目前还没有任何勒索软件组织出面对此次攻击负责，威胁者仍然未知。

Hunters International 勒索软件组织正利用一种名为 SharpRhino 的新型远程访问木马 (RAT) 攻击 IT 工作者，侵入公司网络。 该恶意软件可帮助 Hunters International 实现初始感染，提升他们在受感染系统上的权限，执行 PowerShell 命令，并最终部署勒索软件负载。 Quorum Cyber 的研究人员观察到勒索软件攻击中使用的恶意软件是由一个冒充 Angry IP Scanner 网站的域名抢注网站传播的，Angry IP Scanner 是 IT 专业人员使用的合法网络工具。 2024 年 1 月，网络安全公司 eSentire 和研究员 0xBurgers 就曾发现该恶意软件通过一个假冒的 Advanced IP Scanner 网站传播。 Hunters International 是一个在 2023 年底开始活跃的勒索软件组织，由于其代码相似性而被标记为可能是 Hive 的品牌重塑。著名的受害者包括美国海军承包商 Austal USA、日本光学巨头 Hoya、Integris Health 和弗雷德哈金森癌症中心。 到目前为止，2024 年该威胁组织已宣布对全球各个组织（CIS 除外）发动了 134 起勒索软件攻击，在该领域最活跃的组织中排名第十。 SharpRhino RAT SharpRhino 利用数字签名的 32 位安装程序进行传播，其中包含自解压的受密码保护的 7z 存档以及用于执行感染的附加文件。 存档内容 安装程序会修改 Windows 注册表以实现持久性，并创建 Microsoft.AnyKey.exe 的快捷方式，该快捷方式通常是 Microsoft Visual Studio 二进制文件，在本例中被滥用。 此外，安装程序还会释放“LogUpdate.bat”，它会在设备上执行 PowerShell 脚本，将 C# 编译到内存中，以隐秘地执行恶意软件。 为了实现冗余，安装程序会创建两个目录“C:\ProgramData\Microsoft: WindowsUpdater24”和“LogUpdateWindows”，这两个目录都用于命令和控制 (C2) 交换。恶意软件中硬编码了两个命令，分别是“delay”（延迟）和“exit”（退出），前者用于设置下一个 POST 请求的计时器，后者用于终止通信。 分析表明，该恶意软件可以在主机上执行 PowerShell，可用于执行各种危险操作。Quorum 通过 SharpRhino 成功启动 Windows 计算器，测试了这一机制。 负责 PowerShell 执行的 QFunction 他们采用的新策略是部署网站来冒充合法的开源网络扫描工具，他们将目标瞄准 IT 工作者，希望能够窃取具有提升权限的账户。 因此，用户应谨慎对待搜索结果中的赞助结果，以避开恶意广告，激活广告拦截器以完全隐藏这些显示，并收藏已知可获取安全安装程序的官方项目网站。 为了减轻勒索软件攻击的影响，请制定备份计划，执行网络分段，并确保所有软件都是最新的，以减少特权提升和横向移动的机会。

往期回顾： 2024.7.22—2024.7.28安全动态周回顾 2024.7.15—2024.7.21安全动态周回顾 2024.7.8—2024.7.14安全动态周回顾 2024.7.1—2024.7.7安全动态周回顾 2024.6.24—2024.6.30安全动态周回顾 2024.6.17—2024.6.23安全动态周回顾 2024.6.10—2024.6.16安全动态周回顾

Bitdefender 于 2020 年首次记录了 Android 间谍软件“Mandrake”，研究人员强调了该恶意软件复杂的间谍功能，并指出它至少从 2016 年开始就在野外运行。 卡巴斯基最近报告称，具有更好的混淆和规避功能的 Mandrake 新变种已经通过 2022 年提交给 Google Play 的五个应用程序潜入进来。 这些应用程序至少持续可用一年，而最后一个应用程序 AirFS（在受欢迎程度和感染率方面较为突出）于 2024 年 3 月底被删除。 Google Play 上的 AirFS 卡巴斯基确定了五款携带 Mandrake 的应用程序如下： · AirFS – it9042 通过 Wi-Fi 共享文件（2022 年 4 月 28 日至 2024 年 3 月 15 日期间下载量为 30,305 次） · Astro Explorer 来自 shevabad（2022 年 5 月 30 日至 2023 年 6 月 6 日期间下载量为 718 次） · Amber 来自 kodaslda （2022 年 2 月 27 日至 2023 年 8 月 19 日期间下载量为 19 次） · CryptoPulsing 来自 shevabad（2022 年 11 月 2 日至 2023 年 6 月 6 日期间下载量为 790 次） ·Brain Matrix 来自 kodaslda（2022 年 4 月 27 日至 2023 年 6 月 6 日期间下载量为 259 次） 该网络安全公司表示，大多数下载来自加拿大、德国、意大利、墨西哥、西班牙、秘鲁和英国。 四款应用将 Mandrake 恶意软件植入受害者设备 逃避侦查 与将恶意逻辑放置在应用程序的 DEX 文件中的典型 Android 恶意软件不同，Mandrake 将其初始阶段隐藏在本机库“libopencv_dnn.so”中，该库使用 OLLVM 进行大量混淆。 在恶意应用程序安装后，该库会导出函数以从其资产文件夹解密第二阶段加载器 DEX 并将其加载到内存中。 第二阶段请求绘制覆盖的权限并加载第二个本机库“libopencv_java3.so”，该库解密证书以便与命令和控制（C2）服务器进行安全通信。 与 C2 建立通信后，该应用程序会发送设备配置文件，并在认为合适时接收核心 Mandrake 组件（第三阶段）。一旦激活核心组件，Mandrake 间谍软件就可以执行各种恶意活动，包括数据收集、屏幕录制和监控、命令执行、模拟用户滑动和点击、文件管理和应用程序安装。 值得注意的是，威胁者可以通过显示模仿 Google Play 的通知来提示用户安装更多恶意 APK，诱骗用户通过看似可信的过程安装不安全的文件。 卡巴斯基表示，该恶意软件还使用基于会话的安装方法来绕过 Android 13（及更高版本）对非官方来源 APK 安装的限制。 与其他 Android 恶意软件一样，Mandrake 可以要求用户授予在后台运行的权限，并在受害者的设备上隐藏植入程序应用程序的图标，从而秘密运行。 该恶意软件的最新版本还具有逃避攻击的功能，可在 Frida（一种在安全分析师中流行的动态检测工具包）中存在。 它还检查设备根状态，搜索与其相关的特定二进制文件，验证系统分区是否以只读方式安装，并检查设备上是否启用了开发设置和 ADB。 Mandrake 威胁仍然存在，尽管卡巴斯基认定为植入程序的五款应用已不再在 Google Play 上提供，但该恶意软件可能会通过新的、更难检测的应用卷土重来。 建议 Android 用户仅安装来自信誉良好的发行商的应用，在安装前查看用户评论，避免授予与应用功能无关的危险权限请求，并确保 Play Protect 始终处于活动状态。 Google 也分享了有关在 Google Play 上发现恶意应用的声明表示，Google Play Protect 会自动保护 Android 用户免受已知版本的恶意软件侵害，该功能在安装有 Google Play 服务的 Android 设备上默认启用。Google Play Protect 可以警告用户或阻止已知表现出恶意行为的应用程序，即使这些应用程序来自 Play 以外的来源。

WhatsApp for Windows 最新版本中存在一个安全问题，允许发送 Python 和 PHP 附件，当收件人打开这些附件时，这些附件会在没有任何警告的情况下执行。要成功攻击，需要安装 Python，这一先决条件可能会将目标限制在软件开发人员、研究人员和高级用户。 该问题与 4 月份影响 Windows 版 Telegram 的问题类似，该问题最初被拒绝但后来得到修复，攻击者可以在通过消息传递客户端发送 Python .pyzw 文件时绕过安全警告并执行远程代码执行。 WhatsApp 屏蔽了多种被认为对用户有风险的文件类型，但该公司不打算将 Python 脚本添加到列表中且PHP 文件 (.php) 也不包含在 WhatsApp 的阻止列表中。 Python、PHP 脚本未被阻止 安全研究员 Saumyajeet Das 在试验可以附加到 WhatsApp 对话中的文件类型时发现了此漏洞，以查看该应用程序是否允许任何有风险的文件。当发送潜在危险的文件（例如 .EXE）时，WhatsApp 会显示该文件并为收件人提供两个选项：打开或另存为。 WhatsApp 的可执行文件选项 但是，当尝试打开文件时，WhatsApp for Windows 会生成错误，用户只能选择将文件保存到磁盘并从那里启动它。在测试中，使用 WhatsApp for Windows 客户端时，此行为与 .EXE、.COM、.SCR、.BAT 和 Perl 文件类型一致。Das 发现 WhatsApp 还会阻止 .DLL、.HTA 和 VBS 的执行。 对于所有这些程序，当尝试通过单击“打开”直接从应用程序启动它们时，都会发生错误，只有先保存到磁盘后才能执行它们。 从 WhatsApp 客户端启动 .EXE 失败 Das 在接受采访时表示，他发现 WhatsApp 客户端不会阻止三种文件类型启动：.PYZ（Python ZIP 应用程序）、.PYZW（PyInstaller 程序）和 .EVTX（Windows 事件日志文件）。 测试证实，WhatsApp 不会阻止 Python 文件的执行，并发现 PHP 脚本也会发生同样的情况。 如果所有资源都存在，接收者只需单击接收文件上的“打开”按钮，脚本就会执行。 Das 于 6 月 3 日向 Meta 报告了该问题，该公司于 7 月 15 日回复称，另一位研究人员已经报告了该问题。目前。该漏洞仍然存在于适用于 Windows 的最新 WhatsApp 版本中，我们可以在 Windows 11 v2.2428.10.0 上对此多加注意。 相关媒体企图联系 WhatsApp，以澄清驳回研究人员报告的原因，一位发言人解释说，他们不认为这是他们的问题，因此没有修复计划。 该公司代表解释说，WhatsApp 有一个系统，当用户收到不在其联系人列表中的用户或电话号码在其他国家/地区注册的用户发送的消息时，会发出警告。然而，如果用户的帐户被劫持，攻击者可以向联系人列表中的每个人发送恶意脚本，这些脚本更容易直接从消息应用程序中执行。 此外，这些类型的附件可能会发布到公共和私人聊天组中，威胁者可能会滥用这些聊天组来传播恶意文件。在回应 WhatsApp 拒绝该报告时，Das 对该项目处理这种情况的方式表示失望。 其实只需将 .pyz 和 .pyzw 扩展名添加到阻止列表中，Meta 便可以阻止通过这些 Pythonic zip 文件进行的潜在攻击。通过解决该问题，WhatsApp 不仅可以增强其用户的安全性，还可以表明他们致力于迅速解决安全问题的良好态度。 有关媒体联系了 WhatsApp，提醒他们 PHP 扩展也没有被阻止，但目前尚未收到其回复。

威胁者利用 CrowdStrike 故障更新造成大规模业务中断，利用数据擦除器和远程访问工具攻击公司。随着越来越多企业寻求帮助，要求修复受影响的 Windows 主机，研究人员和政府机构发现试图利用这种情况的网络钓鱼电子邮件有所增加。 官方渠道沟通 CrowdStrike 在最新的更新中表示，它“正在积极协助受到近期内容更新影响的客户”，该更新导致全球数百万台 Windows 主机崩溃。 该公司建议客户通过官方渠道验证他们是否与合法代表进行沟通，因为“对手和不良行为者会试图利用此类事件”。 英国国家网络安全中心 (NCSC) 警告称，他们发现旨在利用此次中断的网络钓鱼邮件数量有所增加。自动恶意软件分析平台 AnyRun 也注意到“冒充 CrowdStrike 的尝试有所增加，这可能会导致网络钓鱼”。 伪装成修复程序和更新的恶意软件 网络安全研究员 g0njxa 首次报告了针对 BBVA 银行客户的恶意软件活动，该活动提供了安装 Remcos RAT 的虚假 CrowdStrike Hotfix 更新。 该虚假修补程序通过钓鱼网站 portalintranetgrupobbva[.]com 进行推广，该网站伪装成 BBVA 内部网门户。恶意存档中附有说明，告知员工和合作伙伴安装更新，以避免在连接到公司内部网络时出现错误。 “强制更新以避免公司内部网络的连接和同步错误”，西班牙语的“instrucciones.txt”文件写道。AnyRun 也在社交媒体上发布了有关同一活动的推文，他表示，假冒的热修复程序会提供 HijackLoader，然后将 Remcos 远程访问工具投放到受感染的系统上。 恶意软件加载程序伪装成 CrowdStrike 的修补程序 在另一个警告中，AnyRun 宣布攻击者正在以提供 CrowdStrike 更新为幌子分发数据擦除器。它通过用零字节覆盖文件来破坏系统，然后通过 #Telegram 报告此内容。 亲伊朗的黑客组织 Handala 声称发动了这次攻击，该组织在 Twitter 上表示，他们冒充 CrowdStrike 向以色列公司发送电子邮件，分发数据擦除器。威胁者冒充 CrowdStrike，通过域名“crowdstrike.com.vc”发送电子邮件，告诉客户他们创建了一个工具来让 Windows 系统恢复在线。 Handala 威胁者发送的网络钓鱼电子邮件 这些电子邮件包括一份 PDF，其中包含有关运行虚假更新的进一步说明，以及从文件托管服务下载恶意 ZIP 存档的链接。此 zip 文件包含一个名为“Crowdstrike.exe”的可执行文件。 恶意附件推送数据擦除器 一旦执行虚假的 CrowdStrike 更新，数据擦除器就会被提取到 %Temp% 下的文件夹并启动以销毁存储在设备上的数据。 数百万台 Windows 主机崩溃 CrowdStrike 软件更新中的缺陷对众多 Windows 系统产生了巨大影响，这对网络犯罪分子来说是一个不容错过的好机会。 据微软称，此次错误更新“影响了 850 万台 Windows 设备，占所有 Windows 设备的不到 1%”。此次损害发生在 78 分钟内，即 UTC 时间 04:09 至 UTC 时间 05:27 之间。 尽管受影响的系统比例很低，而且 CrowdStrike 也努力迅速解决问题，但影响却十分巨大。计算机崩溃导致数千架航班被取消，金融公司业务中断，医院、媒体组织、铁路瘫痪，甚至影响了紧急服务。 CrowdStrike 在上周六发布的事故分析文章中解释称，此次中断的原因是 Windows 主机（7.11 及以上版本）的通道文件（传感器配置）更新触发了逻辑错误，从而导致系统崩溃。 虽然导致崩溃的通道文件已被确定并且不再导致问题，但仍在努力恢复系统正常运行的公司可以按照 CrowdStrike 的指示来恢复单个主机、BitLocker 密钥和基于云的环境。

循万变·见未来——技术前瞻 未来，静态代码分析领域发展趋势将呈现五大特征： 特征一：关注度提升 随着该领域技术的日益普及和需求的不断上升，在未来，该领域将会受到更多技术和市场的关注。 特征二：全面的代码质量评估 随着分析技术的提高，静态代码分析工具或将超越基本的语法和安全性检查，可提供包括代码风格、可维护性、性能等多方面的综合评估，并且安全性将会进一步被重视，静态代码分析在识别和预防安全漏洞方面的作用将变得更加显著，通过与持续集成/持续交付（CI/CD）流程的对接和IDE的支持等,成为软件开发中不可或缺的一环。 特征三：遵从性与合规性支持 工具将更加注重帮助企业满足行业标准和法规要求，减少合规风险，特别是在部分高度规范的行业中。 特征四：定制化解决方案与开源生态 用户对于定制化静态代码分析规则的需求将持续增长，同时开源工具因其灵活性和成本效益而受到更多开发者的青睐，并促进形成更加活跃的社区和生态系统。 特征五：智能化分析工具 人工智能和机器学习技术的发展或将被应用于静态代码分析，以提供更为深入和精准的代码审查。 ——四维创智（成都）科技发展有限公司 高级研发工程师 王磊 在静态代码分析领域，传统的审计工具往往受限于底层结构的不一致性和数据流分析的复杂性，导致跨语言审计和代码查询规则编写面临重重挑战。本议题旨在介绍YakLang.io团队在解决这些难题上取得的突破性成果，特别是YakSSA和SyntaxFlow两项创新技术。 YakSSA，一种为代码审计量身定制的静态单一赋值（SSA）格式中间表示（IR），解决了传统工具在OOP语言和闭包支持语言上的SSA化难题。它不仅保留了语言的关键特征，确保了代码审计和查询的准确性，而且通过设计实现了对多种编程语言的统一编译中端处理，显著提升了跨语言审计的可行性。 SyntaxFlow，一种全新的声明式高级程序行为分析语言，以其简洁的语法和强大的搜索功能，为用户提供了一种直观且功能丰富的代码查询工具。它支持精确和模糊搜索，能够进行语言特征搜索、数据流和控制流分析，以及代码特征过滤，极大地增强了代码审计的深度和广度。 本次XCon2024大会中，来自四维创智（成都）科技发展有限公司的高级研发工程师 王磊将带来议题《从YakSSA到SyntaxFlow：静态代码分析技术的创新与实践》，在提供对YakSSA和SyntaxFlow技术全面理解的同时，系统介绍它们在静态代码分析技术中的技术方案，深度探索这些技术在实际代码审计工作中的应用潜力。 议题简介 《从YakSSA到SyntaxFlow：静态代码分析技术的创新与实践》 本议题将深入探讨YakSSA和SyntaxFlow的技术细节，包括SyntaxFlow语言的高级特性，以及YakSSA HIR的设计实现、多语言前端的构建。此外，还将展示如何利用这些技术进行自动化且准确的跨过程分析，以及如何通过代码特征过滤和分析提高审计效率。 SSA格式IR的创新应用：YakSSA是首个专门用于代码审计的SSA格式IR，它在代码静态分析领域中引入了新的视角和方法。 跨语言审计能力：YakSSA的多语言前端实现，解决了现有工具在跨语言审计中的难题，提供了统一的编译中端。 SyntaxFlow的声明式查询语言：SyntaxFlow语言的简洁语法和强大的搜索功能，为用户提供了一种简单易懂且功能丰富的代码查询工具。 自动化和准确性：YakSSA和SyntaxFlow的结合，实现了自动化且准确的跨过程分析，提高了代码审计的效率和准确性。 代码特征过滤和分析：SyntaxFlow的高级过滤功能，允许用户根据特定的语言特征进行深入分析，为代码审计提供了新的维度。 演讲团队介绍 王磊——四维创智（成都）科技发展有限公司 YakLang.io 是国内最早提出“安全生态共建”、“安全能力融合”的安全团队。团队专注于开源社区，始终坚持"做难而正确的事"。 团队研发的Yak网络安全领域编程语言提供了非常强大的安全产品编程能力，是绝大部分"数据描述语言/容器语言"的超集。凭借先进的技术理念和对行业不变的热情，帮助用户进行安全能力建设，帮助用户应对变化多端的互联网安全威胁。 主要项目yaklang已开发出25个网络安全专用模块，超过100个网络安全专用库函数，在全球最大开源网站GitHub上建立了Yaklang开源社区，月调用次数达3000万次以上。项目成果获授权国内发明专利9项，受理4项，软著10项，发表论文5篇，出版专著1部，待出版教材1本，研究成果支撑了国际国内标准4项，项目取得了重要的社会和经济效益。

安全研究人员追踪的网络犯罪团伙 Revolver Rabbit 已注册了超过 50 万个域名，用于针对 Windows 和 macOS 系统的信息窃取活动。为了进行如此大规模的攻击，威胁者依赖于注册域生成算法 (RDGA)，这是一种允许在瞬间注册多个域名的自动化方法。 RDGA 类似于网络犯罪分子在恶意软件中实施的域名注册算法 (DGA)，用于创建命令和控制 (C2) 通信的潜在目的地列表。 两者之间的一个区别是，DGA 嵌入在恶意软件中，并且只有部分生成的域被注册，而 RDGA 仍保留在威胁行为者手中，并且所有域都已注册。 虽然安全研究人员发现 DGA 并尝试对其进行逆向工程以了解潜在的 C2 域，但 RDGA 是秘密的，找到生成要注册的域的模式变得更加具有挑战性。 Revolver Rabbit 运营着超过 500,000 个域名 专注于 DNS 的安全供应商 Infoblox 的研究人员发现，Revolver Rabbit 一直在使用 RDGA 购买数十万个域名，注册费总计超过 100 万美元。 威胁者正在传播 XLoader 信息窃取恶意软件（Formbook 的后继者），其适用于 Windows 和 macOS 系统的变种用于收集敏感信息或执行恶意文件。 Infoblox 表示，Revolver Rabbit 控制着超过 500,000 个 .BOND 顶级域名，这些域名用于为恶意软件创建诱饵和实时 C2 服务器。 Infoblox 威胁情报副总裁告诉媒体，与 Revolver Rabbit 相关的 .BOND 域名最容易发现，但威胁者随着时间的推移已经在多个 TLD 上注册了超过 700,000 个域名。 考虑到 .BOND 域名的价格约为 2 美元，Revolver Rabbit 在其 XLoader 操作中的“投资”接近 100 万美元，不包括过去购买的域名或其他 TLD 上的域名。 Infoblox 表示：“该攻击者使用的最常见的 RDGA 模式是一系列由一个或多个字典单词和五位数字组成的序列，每个单词或数字之间用破折号分隔。” 这些域名通常易于阅读，似乎专注于特定主题或地区，并显示出多样性，如以下示例所示： ·usa-online-degree-29o[.]bond ·bra-portable-air-conditioner-9o[.]bond ·uk-river-cruises-8n[.]bond ·ai-courses-17621[.]bond ·app-software-development-training-52686[.]bond ·assisted-living-11607[.]bond ·online-jobs-42681[.]bond ·perfumes-76753[.]bond ·security-surveillance-cameras-42345[.]bond ·yoga-classes-35904[.]bond 研究人员表示：经过数月的追踪，将 Revolver Rabbit RDGA 与已建立的恶意软件联系起来，凸显了了解 RDGA 作为威胁者工具箱中的一种技术的重要性。 Infoblox 已跟踪 Revolver Rabbit 近一年，但直到最近，RDGA 的使用才掩盖了威胁者的目标。过去曾观察到该对手的攻击活动，但并未将其与 Infoblox 发现的规模如此之大的行动联系起来。 例如，事件响应公司 Security Joes 的恶意软件分析工具提供了有关 Formbook 信息窃取程序样本的技术细节，该样本拥有 60 多个诱饵 C2 服务器，但 .BOND TLD 中只有一个域是真实的。 多个威胁者正在使用 RDGA 进行恶意操作，包括恶意软件传送和网络钓鱼、垃圾邮件活动和诈骗，以及通过流量分配系统 (TDS) 将流量路由到恶意位置。

上周五，CrowdStrike 发布了一项错误更新，导致全球数百万台 Windows 设备突然崩溃，出现蓝屏死机 (BSOD) 并进入重启循环。 这次故障导致大规模 IT 中断，公司突然发现所有 Windows 设备都无法使用。这些 IT 中断影响了世界各地的机场、医院、银行、公司和政府机构。 为了解决此问题，管理员需要将受影响的 Windows 设备重新启动到安全模式或恢复环境，并从 C:\Windows\System32\drivers\CrowdStrike 文件夹中手动删除有问题的内核驱动程序。但是，由于面临数百甚至数千台受影响的 Windows 设备，因此手动执行这些修复可能会很麻烦、耗时且困难。 为了帮助 IT 管理员和支持人员，微软发布了一款自定义恢复工具，可以自动从 Windows 设备中删除有缺陷的 CrowdStrike 更新，以便它们可以再次正常启动。“作为对影响 Windows 客户端和服务器的 CrowdStrike Falcon 代理问题的后续行动，我们发布了一款 USB 工具来帮助 IT 管理员加快修复过程，”微软支持公告中写道。 用户可以在 Microsoft 下载中心找到签名的 Microsoft 恢复工具：https://go.microsoft.com/fwlink/?linkid=2280386。” 要使用 Microsoft 的恢复工具，IT 人员需要一个具有至少 8 GB 空间的 Windows 64 位客户端、此设备的管理权限、一个至少具有 1 GB 存储空间的 USB 驱动器以及 Bitlocker 恢复密钥（如果需要）。 需要注意的是，用户需要一个 32GB 或更小的 USB 闪存驱动器，否则将无法将其格式化为 FAT32，而这是启动驱动器所必需的。 恢复工具是通过从 Microsoft 下载的 PowerShell 脚本创建的，需要以管理员权限运行。运行时，它将格式化 USB 驱动器，然后创建自定义 WinPE 映像，该映像将复制到驱动器并使其可启动。 创建 Microsoft CrowdStrike 恢复工具 然后，用户可以使用 USB 密钥启动受影响的 Windows 设备，它将自动运行名为 CSRemediationScript.bat 的批处理文件。 Microsoft 恢复工具删除有问题的 CrowdStrike 驱动程序 此批处理文件将提示用户输入任何必要的 Bitlocker 恢复密钥，可以使用以下步骤检索这些密钥。然后，脚本将在 C:\Windows\system32\drivers\CrowdStrike 文件夹中搜索有问题的 CrowdStrike 内核驱动程序，如果检测到，则自动将其删除。它不会创建任何日志或 CrowdStrike 驱动程序的备份。 完成后，脚本将提示用户按任意键，然后用户的设备将重新启动。现在 CrowdStrike 驱动程序已被删除，设备应该重新启动进入 Windows 并再次可用。 其实，Windows 管理员面临的最大障碍是检索任何必要的 Bitlocker 恢复密钥。因此，在尝试恢复设备之前，确定是否需要并恢复密钥应该是第一步。