免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、"RSOCKS"僵尸网络基础设施被美国执法部门拆除 https://www.securityweek.com/law-enforcement-dismantle-infrastructure-russian-rsocks-botnet 2、两次修补的 Windows RDP 漏洞的详细信息已披露 https://www.securityweek.com/details-twice-patched-windows-rdp-vulnerability-disclosed 3、Ninja Forms 插件严重漏洞影响数百万WordPress网站 https://www.securityweek.com/exploited-vulnerability-patched-wordpress-plugin-over-1-million-installations 4、研究人员警告针对 QNAP NAS 的新 eCh0raix 勒索软件活动 https://securityaffairs.co/wordpress/132410/cyber-crime/ech0raix-ransomware-attacks.html 5、研究人员将 Hermit 间谍软件与意大利监控公司 RCS Lab关联 https://securityaffairs.co/wordpress/132363/malware/hermit-spyware-italian-surveillance-firm.html 6、黑客以版权为主题的虚假电子邮件针对EI-ISAC的成员 https://www.cisecurity.org/insights/blog/fake-facebook-email-uses-copyrights-to-trick-ei-isac-members 7、研究人员发现了CopperStealer恶意软件的更新样本 https://www.trendmicro.com/en_us/research/22/f/websites-hosting-fake-cracks-spread-updated-copperstealer.html 8、人力资源公司Robert Half称黑客攻击了1058个客户账户 https://www.securityweek.com/staffing-firm-robert-half-says-hackers-targeted-over-1000-customer-accounts 9、西门子工控管理系统发现15个漏洞 https://therecord.media/15-vulnerabilities-discovered-in-siemens-industrial-control-management-system/ 10、思科表示不会修复老旧 VPN 路由器中的RCE漏洞 https://www.bleepingcomputer.com/news/security/cisco-says-it-won-t-fix-zero-day-rce-in-end-of-life-vpn-routers/

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、"MaliBot"安卓恶意软件窃取财务、个人信息 https://www.securityweek.com/malibot-android-malware-steals-financial-personal-information 2、思科修补了电子邮件安全设备中的关键漏洞 https://www.securityweek.com/cisco-patches-critical-vulnerability-email-security-appliance 3、流行的 Fastjson 库修补了一个高危 RCE 漏洞 https://thehackernews.com/2022/06/high-severity-rce-vulnerability.html 4、Microsoft Office 365 功能被勒索软件滥用勒索云存储文件 https://thehackernews.com/2022/06/a-microsoft-office-365-feature-could.html 5、ALPHV/BlackCat 勒索软件团伙开始发布受害者的数据 https://securityaffairs.co/wordpress/132339/malware/blackcat-ransomware-clear-web.html 6、由于 ElasticSearch 配置错误，BeanVPN 暴露了 2500 万条用户记录 https://www.infosecurity-magazine.com/news/beanvpn-leaks-user-records/ 7、RansomHouse 勒索软件攻击了非洲最大连锁超市Shoprite https://www.bleepingcomputer.com/news/security/extortion-gang-ransoms-shoprite-largest-supermarket-chain-in-africa/ 8、酿酒巨头喜力证实在WhatsApp上流传的免费啤酒是场骗局 https://www.theregister.com/2022/06/15/heineken_phishing_scam/ 9、黑客利用三年前的 Telerik 漏洞部署 Cobalt Strike beacon https://www.bleepingcomputer.com/news/security/hackers-exploit-three-year-old-telerik-flaws-to-deploy-cobalt-strike/ 10、美国国防承包商 L3Harris 正在就收购 NSO 集团进行谈判 https://www.cnbeta.com/articles/tech/1280867.htm

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Splunk Enterprise 修补了的关键代码执行漏洞 https://www.securityweek.com/critical-code-execution-vulnerability-patched-splunk-enterprise 2、Internet Explorer浏览器今天起停止服务 https://www.securityweek.com/so-long-internet-explorer-browser-retires-today 3、新的Hertzbleed侧信道攻击可远程窃取 AMD 和 Intel 芯片的加密密钥 https://securityaffairs.co/wordpress/132316/hacking/hertzbleed-side-channel-attack-allows-to-remotely-steal-encryption-keys-from-amd-and-intel-chips.html 4、Citrix ADM 中的一个严重漏洞允许重置管理员密码 https://securityaffairs.co/wordpress/132299/security/citrix-application-delivery-management-flaw.html 5、Panchan Golang P2P 僵尸网络针对 Linux 服务器 https://securityaffairs.co/wordpress/132290/cyber-crime/panchan-p2p-botnet.html 6、Cloudflare阻止了破纪录的HTTPS DDoS攻击（2600万RPS） https://thehackernews.com/2022/06/cloudflare-saw-record-breaking-ddos.html 7、SAP 修补高危 NetWeaver 漏洞 https://www.securityweek.com/sap-patches-high-severity-netweaver-vulnerabilities 8、Phosphorus组织针对以色列和美国官员进行鱼叉式网络钓鱼 https://www.infosecurity-magazine.com/news/iran-spearphishers-hijack-email/ 9、卡塔尔加强网络安全为世界杯做准备 https://www.computerweekly.com/news/252521418/Qatar-bolsters-cyber-security-in-preparation-for-World-Cup 10、Firefox 现在默认阻止所有用户的跨站点跟踪 https://www.bleepingcomputer.com/news/security/firefox-now-blocks-cross-site-tracking-by-default-for-all-users/

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Windows 周二补丁日更新修复50个漏洞，包括"Follina"漏洞 https://www.securityweek.com/windows-updates-patch-actively-exploited-follina-vulnerability 2、西门子和施耐德电气解决了 80 多个漏洞 https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-over-80-vulnerabilities 3、Zimbra 电子邮件中的一个漏洞允许窃取用户的登录凭据 https://securityaffairs.co/wordpress/132269/hacking/zimbra-email-suite-flaw.html 4、未修补的 Travis CI API 漏洞暴露了数以万计的用户令牌 https://thehackernews.com/2022/06/unpatched-travis-ci-api-bug-exposes.html 5、ESET 研究人员发现了一种专门破坏电网的恶意软件：Industroyer https://www.welivesecurity.com/2022/06/13/industroyer-cyber-weapon-brought-down-power-grid 6、DragonForce黑客组织攻击了至少70个印度网站 https://www.govinfosecurity.com/malaysian-hacktivists-target-indian-websites-as-payback-a-19325 7、网络犯罪分子使用反向隧道和URL缩短器发起网络钓鱼活动 https://portswigger.net/daily-swig/cybercriminals-use-reverse-tunneling-and-url-shorteners-to-launch-virtually-undetectable-phishing-campaigns 8、乌干达证券交易所被发现泄露32GB敏感数据 https://www.hackread.com/scoop-uganda-security-exchange-leaking-sensitive-records/ 9、伊朗黑客在攻击中发现新的 DNS劫持恶意软件 https://thehackernews.com/2022/06/iranian-hackers-spotted-using-new-dns.html 10、索尼 PS5、PS4、PS3 主机存在重大漏洞，可执行任意代码 https://www.ithome.com/0/623/615.htm

https://edu.yijinglab.com/post/100#1-%E6%A6%82%E8%BF%B0 1、概述 本文侧重于从不同角度了解Windows Active Directory环境。如从管理员身份配置安全策略的角度、攻击者绕过安全策略的角度、检测攻击者的角度。导致Active Directory受攻击破坏的因素有很多，比如错误的配置、糟糕的维护程序以及管理员犯的其他很多错误。文章涉及基本和高级的概念、环境配置及攻击，内容可能有点长，但是这有助于模拟不同的攻击，模拟和了解红队的攻击行为。 https://edu.yijinglab.com/post/100#2-%E4%BB%80%E4%B9%88%E6%98%AFactive-directory 2、什么是Active Directory Active Directory简单来说，就是Microsfot提供的一项功能服务，它充当集中存储库并存储与Active Directory 用户、计算机、服务器和组织内的其他资源等对象相关的所有数据，它使系统管理员的管理变得容易。但它的主要功能是提供一种在域环境中对用户和机器进行身份验证的方法。使用 Active Directory，可以远程管理用户、工作站及其权限等资源。因此，它是一个可从网络上的任何地方访问的单一管理界面。它主要是 Microsoft Windows 的一项功能，但其他操作系统也可以加入其中，例如你可以在 Active Directory 环境中加入Linux 主机。 https://edu.yijinglab.com/post/100#3-%E4%BB%80%E4%B9%88%E6%98%AF%E5%9F%9F 3、什么是域 简而言之，域可以称为共享公共 Active Directory 数据库的所有 Active Directory 对象（如用户、计算机、组等）的集合或结构，并由称为域控制器的域的主服务器管理。域始终以其唯一的名称来引用，并且具有正确的域名结构。 域名示例：rootdse.lab 此域名中的ROOTDSE代表其NetBIOS名称 我们可以将Active Directory基础结构拆分成多个单独的域，以创建更小的边界，以便可以在大型网络中分离不同域的管理任务。在Active Directory环境中，域还可以为管理某些设置(如密码策略和帐户锁定策略)创建边界，以便它们只能应用于域级别的域用户帐户。我们将在本系列的后面部分详细讨论组策略和错误配置的策略。 域中包含的几个重要组件： 组、用户、计算机等对象。 身份认证服务 组策略 DNS DHCP https://edu.yijinglab.com/post/100#active-directory-powershell%E6%A8%A1%E5%9D%97 Active Directory PowerShell模块 通过在Powershell中导入Active Directory模块，我们可以检索有关域环境的基本信息。 默认情况下，Active Directory模块只存在于域控制器中，不存在工作站上。 这些文件的路径：C:\Windows\Microsoft.NET\assembly\GAC_64\Microsoft.ActiveDirectory.Management\ 默认情况下，此模块需要在要启用需要管理权限的 Active Directory powershell 模块的客户端计算机上安装远程服务器管理工具包 (RSAT)。每个域控制器都安装了 RSAT。因此域控制器和成员服务器都安装了内置的 Active Directory powershell 模块。但是也有一种方法可以在工作站上使用它（无需安装 RSAT），只需从域控制器复制 DLL 文件并将其导入到 powershell 会话中即可。 要在加入域的工作站上导入它，请从此处下载它(https://github.com/ScarredMonk/RootDSE-ActiveDirectory)，然后使用Import-Module简单地导入它，然后就可以使用此模块中的任何命令。 Import-Module '.\Microsoft.ActiveDirectory.Management.dll' 要检索有关域的信息，我们可以使用以下命令： PS C:\Users\scarred.monk> Get-ADDomain AllowedDNSSuffixes : {} ChildDomains : {matrix.rootdse.lab} ComputersContainer : CN=Computers,DC=rootdse,DC=lab DeletedObjectsContainer : CN=Deleted Objects,DC=rootdse,DC=lab DistinguishedName : DC=rootdse,DC=lab DNSRoot : rootdse.lab DomainControllersContainer 要检索域名，我们可以使用以下命令： PS C:\Users\scarred.monk> (Get-ADDomain).DNSRoot rootdse.lab https://edu.yijinglab.com/post/100#sid SID 每个域都有一个唯一的 SID（安全标识符）来标识它。通常，SID 用于唯一标识安全主体，例如用户帐户、计算机帐户或在安全上下文中运行的进程或用户或计算机帐户。 SID 在其范围内（域或本地）是唯一的，并且永远不会被重用。对于域帐户，安全主体的 SID 是通过将域的 SID 与帐户的相对标识符 (RID) 连接起来创建的。 https://edu.yijinglab.com/post/100#rid RID RID(相对标识符)是Active Directory对象的安全标识符(SID)的一部分，用于唯一标识域中的帐户或组。它在创建时分配给Active Directory对象。RID是SID的最后一部分。 https://edu.yijinglab.com/post/100#fqdn-%E5%AE%8C%E5%85%A8%E5%90%88%E6%A0%BC%E5%9F%9F%E5%90%8D%E5%85%A8%E7%A7%B0%E5%9F%9F%E5%90%8D FQDN（ 完全合格域名/全称域名） 完全合格域名是域中特定主机的完整域名。 FQDN包含两部分：主机名+域名 例如，如果域是 matrix.rootdse.lab，并且矩阵域中的计算机具有主机名 MTRXDC01，则该计算机的 FQDN 将是 mtrxdc01.matrix.rootdse.lab https://edu.yijinglab.com/post/100#4-%E5%9F%9F%E6%8E%A7%E5%88%B6%E5%99%A8domain-controller 4、域控制器（Domain Controller） 简而言之，Active Directory域控制器承载对域中的身份验证请求进行响应的服务。它对网络上的用户访问进行身份验证和验证。当用户和计算机帐户登录到网络时，他们向域控制器进行身份验证，域控制器验证他们的信息(如用户名、密码)，然后决定是允许还是拒绝这些用户的访问。域控制器是攻击者的重要服务器和主要目标，因为它持有Active Directory环境的密钥。每个域至少有一个域控制器(也可以有其他域控制器)。 要检查域控制器，我们可以使用以下命令： PS C:\Users\scarred.monk> (Get-ADDomainController).HostName RDSEDC01.rootdse.lab 域控制器提供名称解析服务，并负责将域数据库中有关域对象的信息保持为最新。Active Directory数据库存储在文件C：\WINDOWS\NTDS\ntds.dit中，该文件在域控制器中维护。如果此文件被盗，则有关Active Directory对象(如用户、计算机、组、GPO等)的所有信息(包括用户凭据)也会受到威胁。 https://edu.yijinglab.com/post/100#%E5%8F%AA%E8%AF%BB%E5%9F%9F%E6%8E%A7%E5%88%B6%E5%99%A8 只读域控制器 出于备份目的，域控制器有三种类型，即主域控制器、只读域控制器和附加域控制器。只读域控制器(RODC)不允许对数据库进行任何更改。如果是只读域控制器，则必须在可写域控制器上进行更改，然后将其复制到特定域中的只读域控制器。只读域控制器是为了解决在远程位置的分支机构中常见的问题，这些分支机构可能没有域控制器，或者物理安全性差、网络带宽差，或者没有当地的专业知识来支持它。只读域控制器的主要用途是促进来自远程办公分支机构的身份验证，并允许用户访问域资源。 https://edu.yijinglab.com/post/100#5-%E5%9F%9F%E6%A0%91domain-tree 5、域树（Domain Tree） 域树表示为一系列以分层顺序连接在一起的域，这些域使用相同的DNS命名空间。当我们将子域添加到父域时，会创建域树。例如，有一个根域rootdse.lab，并向其添加了一个新的域矩阵(FQDN为matrix.rootdse.lab)，一旦在两者之间自动创建树系信任，它就会成为同一域树的一部分。信任将在下一节中解释。 https://edu.yijinglab.com/post/100#6-%E6%A3%AE%E6%9E%97forest 6、森林（Forest） Active Directory林是共享公共架构的多个域树的集合，所有域通过信任连接在一起。林中的每个域都可以有一个或多个域控制器，这些域控制器可以与其他域交互，也可以访问来自其他域的资源。林的名称与根域相同。如果林包含单个域，则该域本身就是根域。 我们可以按如下方式检查Active Directory中的林名称： PS C:\Users\scarred.monk> Get-ADForest ApplicationPartitions : {DC=DomainDnsZones,DC=matrix,DC=rootdse,DC=lab, DC=ForestDnsZones,DC=rootdse,DC=lab, DC=DomainDnsZones,DC=rootdse,DC=lab} CrossForestReferences : {} DomainNamingMaster : RDSEDC01.rootdse.lab Domains : {matrix.rootdse.lab, rootdse.lab} Fo 通过从上面的输出请求RootDomain属性，可以过滤上面的命令以提取林名称： PS C:\Users\scarred.monk> (Get-ADForest).RootDomain rootdse.lab 同样，我们可以使用此方法查看任何特定的属性，方法是将整个命令放在括号中，然后键入要查看的属性名称。 https://edu.yijinglab.com/post/100#7-%E4%BF%A1%E4%BB%BBtrusts 7、信任（Trusts） 在林中，域通过称为信任的连接相互连接。这就是为什么一个域的用户能够访问其他域的资源。在 Active Directory 环境中，一旦在两个域之间建立信任关系，它就会向跨实体的用户、组和计算机授予对资源的访问权限。这是通过连接域之间的身份验证系统并允许身份验证流量在它们之间流动来完成的。稍后将详细讨论这一点，以了解当一个域中的用户请求访问另一个域的资源时会发生什么，当前域控制器向用户返回一个特殊的票证（用域间信任密钥签名），该票证指的是另一个域的域控制器。这部分会在后续的 Kerberos 部分详细解释。 https://edu.yijinglab.com/post/100#%E4%BF%A1%E4%BB%BB%E6%96%B9%E5%90%91%E5%8D%95%E5%90%91%E6%88%96%E5%8F%8C%E5%90%91 信任方向（单向或双向） 信托可以是单向的，也可以是双向的。在单向信任域中，域一信任域二，这意味着域一是信任域，域二将是受信任域。某个域中的用户访问另一个域中的资源，该用户需要在信任域中。下图显示了两个域之间信任流的图形表示。 在双向信任的情况下，所有域都可以与所有用户共享资源，而不管它们属于哪个域。顾名思义，信任是双向的。当我们在两个域（域一和域二）之间创建信任时，域一中的用户帐户将可以访问域二中的资源，反之亦然。 有各种类型的信任。信任可以是传递性的，也可以是非传递性的。下表解释了不同类型的信任。 信任类型属性信任方向验证详情Tree-RootTransitive双向Kerberos V5 or NTLM将新树添加到林时自动创建Parent-ChildTransitive双向Kerberos V5 or NTLM添加子域时自动创建ShortcutTransitive单向或者双向Kerberos V5 or NTLM手动创建。在林中使用以缩短信任路径以提高身份验证时间ForestTransitive单向或者双向Kerberos V5 or NTLM手动创建。用于在AD DS林之间共享资源。 https://edu.yijinglab.com/post/100#%E6%A3%AE%E6%9E%97%E4%B8%AD%E7%9A%84%E4%BC%A0%E9%80%92%E4%BF%A1%E4%BB%BB 森林中的传递信任： 可传递信任扩展到林中的任何其他受信任域。 例如： 如果域1信任域2，域2信任域3，则域1信任域3。 在这里，信任关系通过每个受信任域。因为它是可传递的信任，所以它允许域1中的用户帐户访问域3中的资源，反之亦然(而不必在域1和域3之间创建额外的信任) https://edu.yijinglab.com/post/100#%E6%A3%AE%E6%9E%97%E4%B8%AD%E7%9A%84%E9%9D%9E%E4%BC%A0%E9%80%92%E6%80%A7%E4%BF%A1%E4%BB%BB 森林中的非传递性信任 在不可传递信任的情况下，与信任之外的域的关系受到限制。这意味着不允许其他域访问信任之外的资源。他们将无法通过其身份验证信息。 在上面的示例中，域1和域2之间建立了不可传递的信任关系，两个域中的用户帐户都可以访问另一个域中的资源。因此，当我们添加新的域3并在域2和域3之间创建信任时，域1中的用户不会自动被允许访问域3中的资源。 https://edu.yijinglab.com/post/100#%E6%A3%AE%E6%9E%97%E4%B8%AD%E7%9A%84%E8%87%AA%E5%8A%A8%E4%BF%A1%E4%BB%BB 森林中的自动信任 默认情况下，当添加子域或添加域树时，会自动创建双向可传递信任。两种默认信任类型是父子信任和树根信任。 https://edu.yijinglab.com/post/100#8-%E5%85%A8%E5%B1%80%E7%BC%96%E5%BD%95-global-cataloggc 8、全局编录 Global Catalog(GC) 全局编录用于执行全林搜索，因为全局编录服务器包含所有对象的完整副本。默认情况下，域中的根域控制器被视为全局编录服务器。为了加快对林中其他域中对象的查询速度，全局编录服务器具有其自己域的副本和其他域对象的只读分区。假设我们必须从当前域以外的域中查询特定用户的描述属性，在这种情况下，全局编录将检索它而无需查询其他域的域控制器。 让我们举一个具有四个域的 Active Directory 林的示例，其中域1是根域： 由于域1是根域控制器，因此它保存当前域的完全可写目录分区： 全局编录服务器在目录数据库文件(Ntds.dit)中保存其自己域的副本(完整且可写)和林中所有其他域的部分只读副本： https://edu.yijinglab.com/post/100#9-%E5%B0%8F%E7%BB%93 9、小结 1、Active Directory是一种目录服务，充当集中式存储库并保存与Active Directory对象相关的所有数据 2、Active Directory域是共享Active Directory数据库的所有对象(如用户、计算机、组等)的结构 3、域代表Active Directory林中的逻辑分区 4、SID（安全标识符）用于唯一标识用户、计算机帐户等安全主体 5、RID (Relative identifier) 是 SID 的最后一部分，用于唯一标识域内的帐户或组 6、FQDN是域中特定主机的完整域名 7、域树基本上是一系列按层次顺序连接在一起的域 8、域控制器对网络上的用户访问进行身份验证和验证 9、信任允许用户、组和计算机访问其他实体的资源 10、全局编录包含所有对象的完整副本，在执行林范围搜索时使用 在第2部分中，我们将介绍不同类型的Active Directory对象以及如何查询它们。

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、研究人员展示了特斯拉钥匙卡功能如何被滥用来偷车 https://www.securityweek.com/researcher-shows-how-tesla-key-card-feature-can-be-abused-steal-cars 2、Drupal 修补了"高危"第三方库漏洞 https://www.securityweek.com/drupal-patches-high-risk-third-party-library-flaws 3、HelloXD 勒索软件在目标系统上部署持久访问后门 https://securityaffairs.co/wordpress/132207/malware/helloxd-ransomware-installs-microbackdoor.html 4、研究人员证明WiFi 连接探测请求会暴露用户数据 https://securityaffairs.co/wordpress/132193/mobile-2/wifi-probe-requests-track-users.html 5、与俄有关的 APT 利用 Follina RCE 漏洞攻击乌克兰 https://securityaffairs.co/wordpress/132227/apt/cert-ua-sandworm-follina-rce.html 6、研究人员披露了 Mitel 企业 IP 电话中的两个漏洞 https://thehackernews.com/2022/06/researchers-disclose-rooting-backdoor.html 7、多个勒索软件正在利用Atlassian Confluence中的漏洞 https://securityaffairs.co/wordpress/132186/cyber-crime/ransomware-gangs-cve-2022-26134-rce-atlassian-confluence.html 8、华盛顿州7万名凯萨医疗机构患者的个人信息被泄露 https://portswigger.net/daily-swig/kaiser-permanente-data-breach-exposed-healthcare-records-of-70-000-patients 9、FBI表示不到25%的NetWalker勒索软件受害者报告了事件 https://therecord.media/fbi-doj-say-less-than-25-of-netwalker-ransomware-victims-reported-incidents/ 10、 尼日利亚警方破获计划对10家银行进行网络攻击的团伙 https://www.govinfosecurity.com/nigerian-police-bust-gang-planning-cyberattacks-on-10-banks-a-19320

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、LenelS2 HID Mercury门禁控制器中的漏洞允许黑客解锁门 https://www.securityweek.com/vulnerabilities-hid-mercury-access-controllers-allow-hackers-unlock-doors 2、Chrome 102 更新修复高危漏洞 https://www.securityweek.com/chrome-102-update-patches-high-severity-vulnerabilities 3、研究人员发现一种针对 Apple M1 CPU 的新攻击技术：PACMAN https://securityaffairs.co/wordpress/132154/hacking/pacman-attack-apple-m1-cpus.html 4、研究人员发现可以对蓝牙信号进行指纹识别以跟踪智能手机 https://thehackernews.com/2022/06/researchers-find-bluetooth-signals-can.html 5、MakeMoney恶意广告活动诱导用户安装虚假的Firefox更新 https://blog.malwarebytes.com/threat-intelligence/2022/06/makemoney-malvertising-campaign-adds-fake-update-template/ 6、研究人员表示越来越多的恶意软件团伙开始利用Follina漏洞 https://www.theregister.com/2022/06/09/symantec-follina-microsoft/ 7、Lycaeum组织利用基于.NET的DNS后门攻击能源和电信行业 https://www.bleepingcomputer.com/news/security/iranian-hackers-target-energy-sector-with-new-dns-backdoor/ 8、研究人员分享了Linux恶意软件Symbiote的详细信息 https://www.securityweek.com/highly-evasive-linux-malware-symbiote-infects-all-running-processes 9、富士通云存储漏洞可使攻击者破坏虚拟备份 https://portswigger.net/daily-swig/separate-fujitsu-cloud-storage-vulnerabilities-could-enable-attackers-to-destroy-virtual-backups 10、针对Atlassian RCE漏洞的PoC已在线发布 https://cyware.com/news/poc-exploits-for-atlassian-rce-bug-exploit-released-online-463354a9

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、'Follina' 漏洞被Qbot、AsyncRAT 和其他恶意软件利用 https://www.securityweek.com/follina-vulnerability-exploited-deliver-qbot-asyncrat-other-malware 2、研究人员发现了一种高度隐蔽的 Linux 恶意软件Symbiote https://securityaffairs.co/wordpress/132113/malware/symbiote-linux-malware.html 3、新的 Emotet 变体从 Google Chrome 窃取用户信用卡数据 https://securityaffairs.co/wordpress/132090/cyber-crime/emotet-google-chrome-info-stealer.html 4、Black Basta勒索软件现在支持加密VMware ESXi服务器 https://securityaffairs.co/wordpress/132037/hacking/black-basta-ransomware-vmware-esxi.html 5、网络钓鱼活动利用Facebook Messenger诱导用户查看广告 https://www.bleepingcomputer.com/news/security/massive-facebook-messenger-phishing-operation-generates-millions/ 6、Linux僵尸网络正在利用Atlassian Confluence的高危漏洞 https://www.bleepingcomputer.com/news/security/linux-botnets-now-exploit-critical-atlassian-confluence-bug/ 7、谷歌因侵犯隐私向居民赔偿1 亿美元 https://www.freebuf.com/news/335570.html 8、网络犯罪者使用自动 Bot 服务在大规模范围内绕过 2FA 身份验证 https://www.techrepublic.com/article/cybercriminals-automated-bot-bypass-2fa 9、MyEasyDocs 暴露了 30GB 的以色列和印度学生 PII 数据 https://www.hackread.com/myeasydocs-exposed-30gb-israel-india-students-pii-data 10、越来越多的自动驾驶汽车引发网络安全担忧 https://thehill.com/driving-into-the-future/3514634-increasingly-autonomous-cars-raise-cybersecurity-fears/

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、研究发现 80% 的勒索软件受害者遭二次攻击 https://www.securityweek.com/it-doesnt-pay-pay-study-finds-eighty-percent-ransomware-victims-attacked-again 2、美国司法部和FBI查封了 SSNDOB 网络犯罪市场 https://securityaffairs.co/wordpress/132061/cyber-crime/us-seized-ssndob-marketplace.html 3、Owl Labs 修补了视频会议设备中的严重漏洞 https://www.securityweek.com/owl-labs-patches-severe-vulnerability-video-conferencing-devices 4、0Patch 为新 DogWalk Windows 0day漏洞发布非官方安全补丁 https://securityaffairs.co/wordpress/132070/hacking/unofficial-security-patch-dogwalk.html 5、Apple 推出用于应用程序和网站的无密码身份验证 https://www.helpnetsecurity.com/2022/06/07/apple-passkeys/ 6、FakeCrack恶意软件通过中毒的CCleaner搜索结果进行传播 https://www.bleepingcomputer.com/news/security/poisoned-ccleaner-search-results-spread-information-stealing-malware/ 7、马萨诸塞州一医疗公司的数据泄露影响了200万患者 https://www.securityweek.com/data-breach-shields-health-care-group-impacts-2-million-patients 8、Mandiant否认被 LockBit 勒索组织窃取数据 https://www.bleepingcomputer.com/news/security/mandiant-no-evidence-we-were-hacked-by-lockbit-ransomware/ 9、SVCReady恶意软件正在发起新的钓鱼邮件攻击 https://thehackernews.com/2022/06/researchers-warn-of-spam-campaign.html 10、Red TIM Research发现Resi上一个命令注入高危漏洞 https://securityaffairs.co/wordpress/131985/security/resi-critical-command-injection.html

0x01 事情概述 前一段时间接到了销售给过来的消息说某单位服务器出现问题了，但是出问题的是某云服务器，出现外联德国的行为，告警行为远控，可能没有日志，还比较急，让先支持处置，有可能的话帮忙溯源好抓人，给了个处置对的第三方师傅。 0x02 分析 毕竟给的信息是外联远控，如果是外联的情况下一般就要考虑是否是灰黑产，这种情况下出现在个人终端的可能下要大于服务器，所以这个时候基本上就是杀毒，沙箱运行看是否会出现外联行为，如果是远控类木马的情况下，一般服务器被上传的可能性比较高，钓鱼类的可能是个人终端，这是基于服务关系来分析的。 0x03 远程处置 第三方老师傅给了个vpn让先给远程看一下，正常情况下肯定是先要考虑备份镜像，在镜像中做操作，如果需要备份镜像的话这里我推荐使用``FTK``，备份之后再转格使用vm打开就ok了，比较容易上手操作。在物理机上直接操作会破坏证据，但是根据给的外联地址去进行信息搜集肯定是攻击者挂的代理地址，没有实际意义，没有高交互的蜜罐的条件下想要实现反制和溯源的基本上是没有可能的。 0x04 排查 火绒杀毒 windows日志查询 eventvwr 发现日志并未被清除，如果说是实现了远控，起码就操作者行为来讲，还是讲武德的。 windows日志分为五类 应用程序日志 安全日志 Setup日志 #安装日志 系统日志 Forwarded Events日志 #转发日志 这里主要看应用程序日志和安全日志即可，应用程序日志即安装应用程序产生的事件，安全日志主要记录用户操作产生的日志，例如登入/登出，清除日志等。 事实上并没有异常的登录事件，从出现问题到服务器关掉的登录事件以及操作日志来说也没有问题 查看定时任务 翻了一遍定时任务并未有新创建的定时任务 熟悉winserver2012的都清楚装机初始的自动任务都存在，另外无其他特殊的计划任务。 net user 无新增用户 就单纯从业务来讲，不牵涉到内网部分，所以也根本不担心内网横向的风险。断网条件下是无法通过查看连接状态判断是什么程序触发的，分析业务盘的文件 这个时候服务没有起，可以发现使用的中间件，jar包是2017年的，但是有没有打补丁不清楚，因为我没找到的patch文件以及其它像是weblogic的补丁jar包，这里可能会有人有疑问，没看见包就没打补丁么，不接受杠精提问，只是分析而已，这个时候跟开发和运维对接可以确定中间件服务对公网有映射，查看文件目录，因为查杀结果并没有出来，在文件目录下发现存在恶意文件 冰蝎马不是吗？ 但是问题来了文件的属性日期不会欺骗人，出现问题的时间是今年，但是这个文件属性是去年的，这就有点儿意思了，除非还有一种可能，有其它木马或者说是之前被利用未告警的。查看杀毒结果 找到文件分析，该木马家族：CoinMiner的行为特征 根据情报库去找 归属地是德国的，其实这种情况下已经可以交差了。但是令我比较在意的是中间件的RCE，因为涉及到数据问题，第三方的师傅要求到单位使用镜像内网复现。 确实找到了上传点,确定上传路径 xxx/xxx/x/x/x/x/x/x/mages/shell2.jsp http://10.xxxxxxxxxxxxxxxxxx/images/shell2.jsp 连接木马可成功 这时候有从云厂商那里要来的日志，量很少，但是没有关于weblogic利用的日志 这是比较有意思的，到这里其实只有一种情况，服务器是去年被入侵的，但是收到的通知是异常外联远控，可能只是基于情报库而不是从很长一段时间的监测为根据，只能说是意外发现了。 实验推荐 实验：内存镜像取证（蚁景网安实验室）　https://www.yijinglab.com/expc.do?ec=ECID6a2f-ed6f-4f85-9363-731535a5c3c4>>