免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Firefox 紧急更新修补了两个被积极利用的零日漏洞 https://www.securityweek.com/emergency-firefox-update-patches-two-actively-exploited-zero-day-vulnerabilities 2、SharkBot 银行木马伪装成反病毒软件通过Google Play传播 https://securityaffairs.co/wordpress/128765/malware/sharkbot-trojan-google-play.html 3、Coinbase 阻止访问 25,000 个与俄罗斯个人和实体相关的加密货币地址 https://securityaffairs.co/wordpress/128775/digital-id/coinbase-blocked-25000-russian-addresses.html 4、铁威马存储 (TNAS) 设备中的高危漏洞可导致被远程攻击 https://thehackernews.com/2022/03/critical-bugs-in-terramaster-tos-could.html 5、钓鱼邮件针对石油和天然气公司分发恶意软件 https://blog.malwarebytes.com/threat-intelligence/2022/03/beware-of-malware-offering-warm-greetings-from-saudi-aramco/ 6、Adafruit公司遭到数据泄露暴露用户的信息 https://www.bleepingcomputer.com/news/security/adafruit-discloses-data-leak-from-ex-employees-github-repo/ 7、美国医疗保健提供商DRH Health数据泄露 https://www.duncanbanner.com/community/affected-patients-to-receive-information-about-drh-data-security-incident/article_4e5b6b88-9c19-11ec-b6af-8353d6989d4c.html 8、俄乌战争双方大量使用 Telegram进行虚假信息和黑客活动 https://thehackernews.com/2022/03/both-sides-in-russia-ukraine-war.html 9、FBI 获得了 Sci-Hub 创始人 Google 账号数据 https://torrentfreak.com/fbi-gains-access-to-sci-hub-founders-google-account-data-220303/ 10、因申请系统漏洞，日本6万人份外籍入境者信息遭泄露 http://d.youth.cn/shrgch/202203/t20220304_13497978.htm

前言 我们一直都在说，密码学是网络空间安全领域的唯一理论支撑，大家都认为密码学是安全的压舱石。 密码学对安全的关键意义毋庸讳言，安全领域非密码学的师傅们而言，对于密码学的认识可能限于打CTF时接触的基础的凯撒密码、栅栏密码到涉及分析的padding oracle attack等，再到要读最新的论文手动编程才能求解的一些问题。 大家对密码学的安全性问题了解并不足够，本系列文章核心来自我们在学习相关文献时的学习记录，整理成文希望能够提升大家对”压舱石“安全性的认识。 具体而言，在本篇文章中，我们会介绍密码学的安全性的定义、如何保证安全性；之后会介绍古典密码及其本质的缺陷，然后引出一次一密；接着会定义攻击模型及安全目标，并通过分析引出随机性的重要性，为了便于理解，在文中会时刻举例说明，同时给出实际中由于对密码学安全性理解不足而发生过的安全事故。 安全性 密码学中的安全性与计算机中的安全性是存在区别的。 计算机安全，我们以软件安全为例，其目标是防止攻击者利用程序代码触发漏洞，而密码学安全的目标是使定义明确的问题无法求解。对于软件安全而言，一个软件要么是安全的，要么是不安全的，但是对于密码领域的程序而言，安全与否并不是绝对的，我们可以计算出破解加密算法所需的工作量，即量化其安全性，但是却不能绝对称其为安全。 密码学中的安全性可以分为两种：理论安全性与计算安全性。当攻击者拥有无限时间和资源还是不能破译密码时，称其为理论安全，也叫做无条件安全，下文会介绍的一次一密便是典型；而如果一个密码算法在给定时间和资源内无法被攻破，则称其为计算安全的，这与攻击者的能力、目标等条件密切相关，在下文我们会根据不同的条件建立不同的攻击模型与安全目标等。 举个例子，设一个密码算法E的密钥K是128比特，加密过程为C=E(K,P)，已知一个明文-密文对(P,C),但是不知道K。 求K，这个问题不是理论安全的，因为我们可以穷举2^128种可能；但是这个问题是计算安全的，因为即使一秒钟可以穷举1000亿个K,要穷举 2^128个K要花费超过100 000 000 000 000 000 年的时间，在实践中是安全的。 形式化及度量 我们这里可以给出形式化的定义，设对于一个密码方案，攻击者最多能执行t个操作，攻击成功概率不高于ε，则该方案是(t,ε)-安全的，此时给出的是破解密码算法的难度的下限。注意，这意味着，没有攻击者能够在执行小于t次操作得情况下，获得概率为ε的成功率，但是这并不是说明攻击者执行t次就恰好可以成功，也不会说明需要具体多少次才能成功，所以t实际上是攻击算法所需的操作量的下界。 还是以攻击128比特密钥的对称密码算法为例，理想情况下，此密码对于1到2^128之间的任何t值都是 (t,2/2^12)-安全的，最好的攻击就是暴力破解。我们可以计算以下三种可能的攻击的成功概率： 1.t=1，说明攻击者尝试了一个密钥，并以ε=1/2^128的概率成功 2.t=2^128，说明攻击者尝试了所有密钥，其中一定有一个是成功的，所以成功概率ε=1 3.t=2^64，此时的成功概率ε= 2^-64，也就是说，攻击者尝试所有密钥的一小部分时，成功概率与尝试的密钥数量成正比。 从这个例子我们可以看出，对于1到2^n比特之间的任意t，一个n比特密钥的密码至多是 (t,t/2^n)-安全的，因为无论密码多强大，暴力破解总是可以成功的，实际中的关键就是在于能够抵抗暴力攻击多久。 我们可以对(t,ε)-安全进一步简化。我们说当攻击成功至少需要t次操作时，称其为t-安全，这里我们实际上假设ε是接近1的概率，通过比特表示安全性，”n比特安全“说明攻破它需要2^n次操作。 而直到操作次数后，我们就可以通过取其对数确定其安全强度。假设需要1000000次操作，则其安全强度为log2 1000000=20比特。 其他因素 虽然比特安全性在比较不同密码的安全强度时很有用，但是其没有提供足够的关于攻击成本的信息，仅仅通过比特安全性并不能说明什么，比如两个密码都有128比特密钥和128比特安全性，但是第一个密码比第二个快100倍。那么实际上对第二个密码进行暴力破解2^128次时，可以对第一个密码做 100x2^128次操作了，如果我们以第一个快密码为标准，那么破解慢密码需要 2^134.64次操作。 那么，这能够说明第二个密码比第一个密码安全吗？当然不行，所以我们还需要考虑其他因素。 并行性 设有两个攻击，每个攻击都需要2^56次操作，第一种攻击只能串行，第二种攻击可以并行。假设我们有 2^16=65536个处理器，那么可以将并行工作的负载分成65536个独立任务，每个任务只需要执行 2^40次操作即可。 也就是说，即使并行攻击和顺序攻击执行相同数量的操作，但是并行攻击比顺序攻击快65536倍。 内存 这实际上和攻击所用的空间成本有关，即攻击需要多次内存查找、内存访问速度、访问数据大小等，这些对时间的影响非常关键。例如在当前的CPU上，从寄存器读数据需要1个周期，从CPU缓存读数据需要20个周期，从DRAM读数据需要100个周期。 预计算 这一般被称作攻击的离线阶段，这些操作只需要执行一次，在后面的攻击中就可以重复使用。比如彩虹表破解hash就是这一类，虽然在计算彩虹表进行预计算时会花费大量时间，但是在实际攻击过程中很快就可以实施。 目标数量 攻击目标数量越多，攻击面就越大，攻击者就可以拿到更多关于密钥的信息。举个例子，设目标为n比特的密钥，需要2^n次尝试才能找到正确的密钥，但如果攻击目标为多个n比特密钥，即对于单个明文P，攻击者有M个不同的密文，其分别用M个n比特密钥加密得到。如果攻击者要破解的是M个密钥中的每一个，那么还是需要 2^n次操作，但是如果只需要破解M个中的一个，那么只需要 2^n/M次操作。 也就是说，攻击成本随着目标数量增加而降低。 安全性证明 要评估某密码算法的安全性，我们一般会通过数学证明得到。 在密码学中其被称为可证明安全性，它可以证明某个密码方案至少和解决另一个已知的困难问题是同等困难的，只要困难问题仍然存在，那么方案就是安全的，这种证明方式被称为规约，其来自复杂性理论。 安全性证明根据其所使用的困难问题的类型，可以分为两种:与数学问题相关、与密码问题相关。 与数学问题相关 破解这类方案至少与解决一些数学难题一样困难。 密码学中一个著名的数学难题就是大数分解，RSA正是依赖于它。RSA通过计算C=p^e mond n来加密明文p，其中，e和大数n=pq是公钥。 通过P=c^d mond n解密，其中d是和e、n有关的私钥。 如果我们可以分解n，那么就可以从公钥中恢复私钥来破解RSA;如果有私钥，就可以分解n。 换句话说，恢复RSA私钥和分解大数n是等价的困难问题，这就是我们所说的归约。 与密码问题相关 这类方案是与另一个密码方案比较，并证明只有破解第一个密码方案时，才能破解第二个密码方案。对称密码的安全性证明常用这种方式。 不过可证明安全性并不适用于所有类型的算法，有一些密码算法并没有被证明是安全的，如AES，AES不能规约到一些众所周知的难题，既不与数学问题相关，也不与密码问题相关，而我们之所以还用AES，是因为许多专家尝试破解它但是失败了。此时的安全性证明，我们成为启发式的：密码分析人员分析多轮后，密码算法的安全冗余还是很高，我们就相信它是安全的。 错误的安全性证明 我们已经说了安全性证明非常重要，但是密码学大佬们在进行安全性证明时仍然有可能犯错，对于OAEP的证明就是一个典型例子。OAEP是一种使用RSA实现安全加密的方法，在许多应用程序中使用，OAEP给出的安全性证明中声称其抵抗选择密文攻击的有效期为7年，但是后来大家研究发现证明是错误的，给出的结论也是错误的。之后给出了新的证明，结论是OAEP对选择密文攻击是安全的。 古典密码 古典密码是计算机发明之前的密码，算法作用在字母上而不是比特位上。古典密码中最经典的就是凯撒密码和维吉尼亚密码，二者的基础知识背景这里不再介绍。 凯撒密码   凯撒密码容易被破解，只需要把密文往前移动3位即可得到响应的明文。这种方式安全程度非常低，在古罗马时期经常被使用，不过实际上，前些年意大利警方还通过破译一种凯撒密码的变种抓到了黑手党头目。要增强凯撒密码的安全性，可以改变移位的位数，不过即使这么做了，攻击者最多尝试25次也就可以解密了。 维吉尼亚密码   维吉尼亚密码虽然比凯撒密码安全了很多，但还是容易被攻破。 举个例子，明文“THEY DRINK THE TEA"通过密钥”DUH“加密后的密文为”WBLBXYLHRWBLWYH“ 第一步找出密钥的长度。我们注意到密文中WBL出现了2次，间隔9个字母，这意味着相同的3个字母被用同样的移位模式加密，所以密钥长度要么是9，要么能够整除9.而在英语中，THE是最常出现的3个字母的组合，所以我们可以认为这个重复的3个字母为THE,那么可能的密钥就是DUH. 第二步使用频率分析法找出字母分布的不均匀性。在英语中E是最常见的字母，所以如果密文中X出现次数最多，那么X对应的明文很可能就是E 工作原理 通过上面对两种古典密码的简单分析，我们已经知道密码的工作原理主要就是置换和模式。 置换是指能够变换一个对象的函数，且对每个对象都有唯一的逆（如凯撒密码中的3字母移位），而模式则是通过置换处理任意长度的消息的算法（如凯撒密码中的模式就是对每个字母施加相同的置换，而维吉尼亚密码中则是对不同位置的字幕施加不同的置换） 置换 并不是任意置换都是安全的，为了保证安全，置换需要满足：密钥确定置换，只要密钥保密，则置换保密。不同的密钥确定不同的置换。置换应当看起来随机，经过置换的密文应该没有显著的特征或者可识别的模式。 如果满足以上条件，则称这种置换为安全置换，但是这仅是建立安全密码的必要不充分条件，因为其还和模式相关。 操作模式 在说明操作模式为什么也是建立安全密码的必要条件之前，我们举个例子。 假设我们现在已经有一种安全的置换:A->X,B->M,N->L 那么对于香蕉的英文BANANA则有密文：MXLXLX 我们注意到，仅仅对明文中的所有字母施加相同的置换，在密文中会表现出一种重复的模式，攻击者分析这种模式，即使不能获得完整的信息，但是也能获得一部分信息，比如在这个例子的密文中我们看到在字母的第2，4，6位出现相同的字母，在3，5位出现了相同的字母，如果攻击者知道密文对应的是一种水果，那么攻击者很容易推测出这是BANANA，而不是ORANGE等其他水果。 从这个例子可以看出模式的重要性，模式通过对相同的字母施加不同的置换从而降低了明文中重复字母在密文中表现出的特征的风险。以维吉尼亚密码为例，如果密钥长度为N，那么就有N种不同的置换被施加在连续长度为N的字母串上，不过如果N并非足够长，我们就可以通过频率分析对其进行攻击。所以，如果维吉尼亚密码并应用于加密与密钥长度相同的明文，则频率分析就失效了。 一次一密 我们回过头来在看古典密码，它注定是不安全的，以我们现在的计算能力分分钟就能攻破它。我们知道，为了确定安全，置换应该看起来是随机的，最好的方法就是从所有置换的集合中随机选择每个置换。实际上可以选择的置换有很多，对于字母表，有26!，约等于2^88种置换，但是古典密码却只能使用其中的一小部分。 此外，置换不仅仅可以通过字母移位进行，还可以使用其他操作如乘法、加法等，这便是现代密码了，比如给定128比特密钥，然后进行一定比特位的操作来加密单个字母。 古典密码是绝对不安全的，那么有没有绝对安全的密码呢？ 有的，那便是我们这里有介绍的一次一密。 一次一密有绝对的保密性，即使攻击者有无限的计算能力，也无法了解除明文长度以外的任何信息。 设明文为P,密钥为K，其长度与P相等，密文为C，则一次一密的加密过程为:   这个符号是异或运算符 解密则是   一次一密的关键在于密钥K只能使用一次。如果使用两次，设分别将明文P1,P2加密为C1,C2，则攻击者通过如下运算   可以得到P1,P2的异或结果，从而导致信息泄露（当攻击者这知道一条明文时，就可以通过上式结果推出另一条明文） 一次一密的不便之处在于密钥长度需要和明文一样，除了这个缺点外，是非常完美的。香农在上世纪40年代的时候就已经证明了其安全性。 香农指出，要实现完美的保密，一次一密的密钥必须至少与明文一样长，这样攻击者就无法在给定密文的情况下排除任何可能的明文。 这是非常直观的，如果K是随机的，那么C也是随机的，因为随机字符串与任何固定字符串异或得到的结果也是随机的。随机比特串第一位为0的概率为1/2，一个随机比特与另一比特异或的结果为0的概率为1/2，在任意长度的比特串上这一点都成立。换句话说，对于不知道K的攻击者而言，即使其拥有的时间和算力是无限的，但是对他而言C依然是随机的。 假设C长度为128比特，那么有2^128种可能的密文，对于攻击者而言, 就有2^128种可能的明文。如果密钥长度小于128，即可能的密钥少于 2^128种，那么攻击者可以排除某些明文。比如密钥为64比特，那么攻击者可以确定 2^64种可能的明文，这就排除了大多数的128位比特串。 此时攻击者可能不知道明文是什么，但是其知道明文不是什么，从而破坏了完美保密性。 现在我们已经知道，古典密码不安全，一次一密不实用，那么怎么设计安全和实用兼顾的密码呢？ 攻击模型与安全性 如果一个密码体制是安全的，必须要定义好对应的攻击模型和安全性目标。攻击模型是关于攻击者可能与密码算法如何交互以及攻击者能力的一系列假设。在进一步分析之前，我们要先了解Kerckhoff原则，其指出，密码的安全性应仅取决于密钥的保密性，而不应取决于密码算法的保密性。 黑盒模型 如果攻击者只能看到密码模型的输入和输出，则称其为黑盒模型。黑盒模型中依据从最弱到最强的顺序列举如下： 唯密文攻击(ciphertext-only attackers,COA)：仅知道密文，但不知道相关的明文，也不知道有哪些可以选择的明文。此时攻击者是完全被动的，无法执行加密或解密操作 已经明文攻击(known-plaintext attackes,KPA):知道密文以及其对应的明文。此时攻击者也是被动的，不过它可以获得一系列明文-密文对，其中明文是随机选择的。 选择明文攻击(chosen-plaintext attacks,CPA):可以对选定的明文进行加密并得到对应的密文。此时的攻击者是主动的 选择密文攻击(chosen-ciphertext attackers,CCA):可以进行加密和解密。注意，这个模型只是表示攻击者可以介入加密和查看明文的情况，其解密的内容并不一定足以攻破系统。 灰盒模型 灰盒模型中，攻击者可以访问密码的实现，比如对于智能卡、嵌入式系统等，攻击者对其拥有物理访问权限，从而可以篡改算法的内部结构。这类模型中最典型的一类就是侧信道攻击。 侧信道攻击依赖于密码实现的信息源，攻击者观察密码实施时的模型特征，比如对于软件而言，可以观察其执行时间、错误消息、返回值、分支等，对于硬件而言，可以观察其功耗、电磁辐射等。 侵入式攻击也属于灰盒模型，其可以通过激光故障注入等方法改变芯片的行为。 安全目标 我们之前一直都没有明确定义密码的安全目标，只是笼统地说，能让攻击者对密码一无所示的就是好方法，实际上这是远远不够的。实际上，已经有两个常用的安全目标了。 1.不可区分性（indistinguishability,IND）：密文应与随机字符串没有区别。关于这一点，可以通过一个game说明。 设攻击者选定两个明文，收到两者的密文之一，攻击者无法分辨出这是哪个明文对应的密文 2.不可展性(non-malleability，NM)：给定密文C1,应该不可能创建另一个密文C2,使其对应的明文P2以有意义的方式与P1相关 IND-CPA 上述的安全目标仅在于具体的攻击模型结合时才有用，一般我们会写作GOAL-MODEL，如IND-CPA，表示的是针对选择明文攻击者的不可区分性。 以IND-CPA为例，这是最重要的安全概念之一，这也称为语义安全，只要密钥保密，密文就不会泄露任何有关明文的信息，当对同一明文加密两次时，加密系统会返回不同的密文。 IND-CPA的关键是随机化，我们还是以IND game为例。设攻击者选择两个明文P1,P2并接受两个明文之一对应的密文但是不知道它对应的是哪一个明文。在CPA模型中，攻击者可以执行加密以获得大C1=E(K,P1)，C2=E(K,P2)，如果加密不是随机的，那么攻击者查询Ci是否等于C1或C2就可以确定对哪个明文加密，从而赢得game。 实现IND-CPA最简单的方式就是使用确定性随机比特发生器(deterministic random generator,DRBG)，它可以返回给定的某些秘密值的随机比特： E(K,R,P)=(DBRG(K||R)异或P,R) 上式中的R是每次加密随机选择的字符串，并与密钥K一起提供给DRBG,如果其生成的是真随机比特串，那么该密码的就是IND-CPA安全的。 这里我们只是简单分析了IND-CPA,这种GOAL-MODEL组合还有很多，比如NM-CPA,NM-CCA,IND-CPA,IND-CCA等，他们之间的一些关系是很明显的：IND-CCA蕴含着IND-CPA,NM-CCA蕴含着NM-CPA,因为CPA攻击者可以做的事情CCA攻击者也可以做。 以上我们都还是考虑了对称密码，对于非对称密码而言，由于任何攻击者都可以使用公钥加密，所以模型默认都是CPA的 弱密码算法 尽管我们已经介绍了相关的密码学概念，但是在实际中如果没有选择适当的密码算法、模型等，还是会造成严重的危害。 在GSM时代，手机通信的加密使用了A5/1的算法，通过建立查找表便可以对其进行攻击。在参考连接6中，可以看到详细的情况。 错误模型 即使密码使用者学习过安全模型，但还是有可能使用错误模型。很多通信协议确实使用了在CPA或CCA中安全的算法，但是实际中有些攻击是不需要涉及CPA中的加密查询或CCA中的解密查询的，比如对于Padding oracle attack而言，只需要进行有效性查询即可，在这种攻击方案下，只有密文对应的明文有适当的填充时，密文才有效，如果填充不正确，解密就会失败，攻击者可以通过观察解密是否失败进行攻击。 这种攻击方案，打CTF的师傅们应该很熟悉了，这里也不再进一步说明，有兴趣的话也可以参考《白帽子讲web安全》中的相关章节。 随机性 我们已经知道，在密码系统中，需要随机性来保证安全。可以说，其中的关键就在于随机比特的生成，其依赖于熵源以及从熵源产生随机比特的算法。 熵源由随机数发生器(RNG)提供，算法由伪随机数发生器(PRNG)提供。 RNG的作用是利用模拟世界中的熵在数字系统中生成不可预测的比特，比如从温度、噪声、静电测量中采样出比特信息，也可以从传感器，IO，系统日志等提取正在运行的OS中的熵。而PRNG的作用则是从一些真正随机的比特生成许多人为的随机比特。 总结来说，RNG以非确定的方式从模拟源生成真随机比特，不保证高熵，而PRNG以确定的方式从数字源生成看起来随机的比特，并具有最大熵。 在随机性方面可能出现哪些问题呢？ 熵源不理想 一开始的Netscape浏览器的SSL代码是根据如下所示的伪码计算出128比特的PRNG种子的   这里的问题在于，PID和microseconds是可以被猜测的，如果可以猜到seconds，那么microseconds就只有10^6个可能的值 这是Log(10^6)的熵，大约20比特 另外，PID和PPID各15比特，所以本应有15+15=30比特的熵，但是在标注的1中，可看到，PPID和PID有3比特的重叠，所以只能产生15+12=27比特的熵 所以一共的熵为20+27=47比特，但是128比特的种子应该128比特的熵才对。这是熵源不理想的典型例子。 启动时熵不足 前些年有研究人员扫描整个互联网并从TLS证书和SSL主机中提取公钥，发现一些系统具有相同的公钥，私钥也非常相似。这是非常不合常理的，因为一般情况下，对于两个不同的大数n=pq，n'=p'q'，p与p'不相等，q与q'不相等，但是研究人员发现经常会有n与n'不相等的情况下，p=p' 后面发现这其中的原因是，尽管使用了不错的PRNG，但由于在初次启动时会尽早生成公钥，所以在收集到足够的熵之前，如果基础熵源选取相同，那么不同系统中的PRNG会产生相同的随机比特。 会生成相同的密钥，是由于以下伪码中的密钥生成方案造成的   如果两个系统的种子相同，运行上述代码后会生成相同的p,q，也就会生成相同的n。而只有研究人员发现的，在不同密钥中存在共享素数，则是因为在密钥生成过程中注入了额外的熵，如下所示   如果两个系统使用相同的种子运行上述代码，会生成相同的p，但是由于prng.add_entropy()注入了熵，会得到不同的q 对于n=pq，n'=pq'的情况，会有什么为题呢？ 这里的关键在于，通过计算n和n‘的最大公约数就可以恢复出p。 非加密PRNG PRNG很常见，在不涉及密码学的场合中也有其身影，我们可以分为加密PRNG和非加密PRNG。非加密PRNG的作用一般是用于生成良好均匀的分布，常用于科学模型、视频游戏中，它只关心比特之间的概率分布的质量，但是不关心它的可预测性，所以在密码程序中不应使用非加密PRNG. 但是实际上，很多编程语言中都用的是非加密PRNG，比如libc中的rand,drand48,PHP中的rand,mt_rand,Python中的random模运算，Ruby中的Random类等。最常见的非加密PRNG就是Mersenne Twister(MT)算法了，它可以产生没好友统计偏差的符合一致分布的随机比特，但是这些比特是可预测的，给定一些MT产生的一些比特，可以预测接下来会出现哪些比特。 MT算法比加密PRNG简单多了，其内部状态是一个由624个32比特字组成的数组S，其初始值为S1,S2,...S624,运行一次后变为S2,...S625...其中的Sk+624可以通过如下计算：   初始状态的比特可以表示为输出比特之间的异或，反之亦然。 如果将其应用于密码系统则会造成危害。 MediaWiki使用随机性生成诸如安全令牌、临时密码等信息，按理来说，此处的随机性应是不可预测的，但是旧版本的MediaWiki使用了非加密PRNG来生成这些令牌和密码，其源码部分如下   从代码中可以看到mt_rand() 这就是我们一直在说的Mersenne Twister，利用它攻击者就可以预测未来的令牌和临时密码。 参考 1.Shoup V. OAEP reconsidered[C]//Annual International Cryptology Conference. Springer, Berlin, Heidelberg, 2001: 239-259. 2.https://www.semanticscholar.org/paper/Understanding-brute-force-Bernstein/3bf374700ec98ea5d1b7658ec85c472f2fe4d952 3.https://link.springer.com/article/10.1007/s00145-003-0213-5 4.https://dl.acm.org/doi/10.1145/800070.802212 5.https://www.schneier.com/academic/archives/1998/01/cryptanalytic_attack.html 6.https://zh.wikipedia.org/wiki/A5/1 7.https://guidanceshare.com/wiki/Non-cryptographic_PRNG 8.https://www.mediawiki.org/wiki/Manual:Config_script/it 9.https://blog.cryptographyengineering.com/2012/03/09/surviving-bad-rng/ 10.https://www.cs.umd.edu/class/fall2018/cmsc818O/papers/ps-and-qs.pdf

前言 CVE-2021-42013为目录穿越文件读取漏洞，影响 httpd 2.4.49，CVE编号为CVE-2021-41773， https 2.4.50不完全修复可绕过，如果开启 mod_cgi 则可RCE。 分析 CVE-2021-41773复现分析如下： 利用网上师傅的docker镜像 docker run -p 8080:80 -d --privileged turkeys/httpd:cve-2021-41773 环境中有安装好的 pwndbg 插件，直接按步调试即可，这里参考Betta师傅的文章 正文 CVE-2021-41773不完全的修复导致了 CVE-2021-42013 可用的 payload 有 /%2%65.//%2%65%2e//.%2%65//%2e%2%65/  /%2%65%2%65//%%32e%%32e//%25%32%65%25%32%65/ # 无法生效 ap_normalize_path 不能将 %25 进行url解码处理后为 %  我们注意到 https 2.4.50 中添加了补丁 添加的补丁是对 .%2e 和 %2e%2e 进行了校验，但是我们在 request.c 中注意到还会调用 ap_unescape_url 来对 url 进行又一次的编码，所以通过两次编码就可以绕过 request.c::ap_process_request_internal util.c:ap_normalize_path 返回结果为一次编码后的结果 util.c:ap_unescape_url util.c:ap_unescape_url 我们看到此时保存值的指针地址 0x7fa06c00a1f0 ◂— '/cgi-bin/%2e./%2e./%2e./%2e./%2e./etc/passwd' 函数执行结束后 打印出 0x7fa06c00a1f0  对应的值 发现已经对 url 进行了再一次的解码 命令执行 在 /etc/httpd/httpd.conf 配置文件中去掉 mod_cgid.so 的注释 结语 至此，CVE-2021-42013的漏洞分析到此结束，如有不当感谢师傅指出！！！ 参考链接 https://mp.weixin.qq.com/s/IYbaDLrMJBT0yb4xT3UYWg

通过对数字信号进行编码来表示数据,不归零编码、曼切斯特编码、差分曼切斯特编码都是其编码方式。 差分曼彻斯特编码是一种使用中位转变来计时的编码方案。数据通过在数据位开始处加一转变来表示。令牌环局域网就利用差分曼彻斯特编码方案。 在 每个时钟周期的中间都有一次电平跳变，这个跳变做同步之用。 在每个时钟周期的起始处：跳变则说明该比特是0，不跳变则说明该比特是1。 差分曼彻斯特编码的优点为：收发双方可以根据编码自带的时钟信号来保持同步，无需专门传递同步信号的线路，因此成本低；缺点为：实现技术复杂。 曼彻斯特编码（Manchester Encoding），也叫做相位编码(PE)，是一个同步时钟编码技术，被物理层使用来编码一个同步位流的时钟和数据。曼彻斯特编码被用在以太网媒介系统中。曼彻斯特编码提供一个简单的方式给编码简单的二进制序列而没有长的周期没有转换级别，因而防止时钟同步的丢失，或来自低频率位移在贫乏补偿的模拟链接位错误。在这个技术下，实际上的二进制数据被传输通过这个电缆，不是作为一个序列的逻辑1或0来发送的（技术上叫做反向不归零制(NRZ)）。相反地，这些位被转换为一个稍微不同的格式，它通过使用直接的二进制编码有很多的优点。  差分曼彻斯特编码，每位中间的跳变仅提供时钟定时，而用每位开始时有无跳变表示"0"或"1"，有跳变为"0"，无跳变为"1"。 曼彻斯特编码的编码规则是:在信号位中电平从低到高跳变表示1，在信号位中电平从高到低跳变表示0。 这个图就单独的表示曼彻斯特编码的0,1原理图 从低到高就是0，从高到低就是1   看曼彻斯特就简单的分成一段一段看他上升还是下降就可以表示出来 而差分曼彻斯特要看他前一个信号的值，比如这图里第一个就是不跳就用1表示，第二个信号从底下升到高处就跳了表示0，第三个也是不跳用1表示，第4个同理也是1，第5个跳了就是0。而差分的意思应该就是要把一段内拆成两段只看前一段，而后一半是用来同步时钟用的，顺便可以传输下一个数据来表示是否有跳  再来看下三种信号的区别  在来说下802.3曼彻斯特和标准曼彻斯特的区别，就是编码后的字符的区别。 第一种G. E. Thomas, Andrew S. Tanenbaum1949年提出的，它规定0是由低-高的电平跳变表示，1是高-低的电平跳变。 按此规则有： • 编码0101（即0x5），表示原数据为00； • 编码1001（0x9）表示10； • 编码0110（0x6）表示01； • 编码1010（0xA）表示11。 第二种IEEE 802.4（令牌总线）和低速版的IEEE 802.3（以太网）中规定, 按照这样的说法, 低-高电平跳变表示1, 高-低的电平跳变表示0。 • 编码0101（0x5）表示11； • 编码1001（0x9）表示01； • 编码0110（0x6）表示10； • 编码1010（0xA）表示00；  顺便推荐一个可解，差分曼彻斯特和标准曼彻斯特和802.3曼彻斯特 http://www.pc6.com/softview/SoftView_606143.html  BUUOJ-Crypto-传感器 5555555595555A65556AA696AA6666666955 这是某压力传感器无线数据包解调后但未解码的报文(hex)    已知其ID为0xFED31F，请继续将报文完整解码，提交hex。 提示1：曼联 去网上抄了个脚本，这个脚本的转换其实就是应用了802.3曼彻斯特的规则取了1和3位，题目里给了id的话，可以看flag解出来是否含有id？吗，相当于校验是否正确的一个功能。 cipher='5555555595555A65556AA696AA6666666955' def iee(cipher):     tmp=''     for i in range(len(cipher)):         a=bin(eval('0x'+cipher[i]))[2:].zfill(4)   #补齐四位方便取1和3位         tmp=tmp+a[1]+a[3]      #加上1和3位，就是应用了802.3的規則，或者定义一个字典替换也可以         print(tmp)     plain=[hex(int(tmp[i:i+8][::-1],2))[2:] for i in range(0,len(tmp),8)]     print(''.join(plain).upper()) iee(cipher) # tmp="111111111111111101111111110010111111100000100110000010101010101010011111" # flag="" # for i in range(0,len(tmp),8): #     # plain=hex(int(tmp[i:i+8][::-1],2))[2:] #     # print(''.join(plain).upper()) #     flag+=((hex(int(tmp[i:i+8][::-1],2)))[2:]) # print(flag.upper())  或者用工具也可以直接出  CISCN(全国大学生信息安全竞赛) 2016 传感器2 现有某ID为0xFED31F的压力传感器，已知测得压力为45psi时的未解码报文为： 5555555595555A65556A5A96AA666666A955 压力为30psi时的未解码报文为： 5555555595555A65556A9AA6AA6666665665 请给出ID为0xFEB757的传感器在压力为25psi时的解码后报文，提交hex。 注：其他测量读数与上一个传感器一致。 tips：flag是flag{破译出的明文} 根据进制转换，转成十进制差5的话就是11 0xFED31F 45psi fffffed31f635055f8 30psi fffffed31f425055d7 找到两个psi差的地方，相减，括号内是十进制的数 f8(248)-d7(215)=0x21(33) 63(99)-42(66)=0x21(33) 15差33的话，5就是差11。除3即可 15   33 5    11 0xFEB757 CC=215-11 37=66-11      拿差值替换掉 25psi   fffffed31f375055CC      把检验位直接替换掉      fffffeb757375055cc      转成大写      FFFFFEB757375055CC CISCN(全国大学生信息安全竞赛) 2017 传感器1 已知ID为0x8893CA58的温度传感器的未解码报文为：3EAAAAA56A69AA55A95995A569AA95565556 此时有另一个相同型号的传感器，其未解码报文为：3EAAAAA56A69AA556A965A5999596AA95656 请解出其ID，提交flag{hex（不含0x）}。 先把给的字符串转成以一位字符串转为4位2进制的01数字。然后在以两位分割，因为差分曼彻斯特编码后面的数据是同步时钟和决定下一个传输的数据的，所以加进去之后。还要等于cc，让他继续下一步的操作，判断是否为01就是是否有跳。bintohex函数就是把01数据转为字符串。可以看下面另一个脚本的单独操作 #coding:utf-8 import re   #hex1 = 'AAAAA56A69AA55A95995A569AA95565556' # #  0x8893CA58 hex1 = 'AAAAA56A69AA556A965A5999596AA95656' def bintohex(s1):     s2 = ''     s1 = re.findall('.{4}',s1)     print ('每一个hex分隔:',s1)     for i in s1:         s2 += str(hex(int(i,2))).replace('0x','')       print ('ID:',s2)   def diffmqst(s):     s1 = ''     s = re.findall('.{2}',s)     cc = '01'     for i in s:         if i == cc:             s1 += '0'         else:             s1 += '1'         cc = i  # 差分加上cc = i       print ('差分曼切斯特解码:',s1)     bintohex(s1)   if __name__ == '__main__':     bin1 = bin(int(hex1,16))[2:]     diffmqst(bin1)   在贴一个脚本 str1 = '3EAAAAA56A69AA556A965A5999596AA95656' s = '' for i in xrange(len(str1)/2):     ch = str1[i*2 : i*2+2]     b = bin(int(ch, 16))[2:]     b = '0' * (8-len(b)) + b     s += b print 's:'+s r = '' #因为此处除了前六位都是10和01，很明显是曼彻斯特，因而把前六位去掉即可看到正确的结果 s = s[6:] print 's:'+s for i in xrange(len(s)/2-1):     c = s[i*2+1 : i*2+3]     if c == '11' or c=='00':         r += '1'     else:         r += '0' print "r:"+r ret ='' for i in xrange(len(r)/8):     c = r[i*8 : i*8+8]     print str(r[i*8 : i*8+8]) + ' ' + c     ret += hex(int(c, 2 ))[2:].upper() print ret 左边去掉5个字符，右边去掉4个字符 str="10000000001001001101100010000100010110101011111100110100000100011001" a=0 flag="" for i in range(0,len(str)/4):     # print(str[0+(i*4):4+(i*4)])     # a+=1     flag+=hex(int(str[0+(i*4):4+(i*4)],2))[2:]     # print(hex(int(str[0+(i*4):4+(i*4)],2))[2:])     # print(str[4:8]) print(flag)   或者就是直接上工具    CISCN(全国大学生信息安全竞赛) 2017 传感器2 已知ID为0x8893CA58的温度传感器未解码报文为：3EAAAAA56A69AA55A95995A569AA95565556 为伪造该类型传感器的报文ID（其他报文内容不变），请给出ID为0xDEADBEEF的传感器1的报文校验位（解码后hex），以及ID为0xBAADA555的传感器2的报文校验位（解码后hex），并组合作为flag提交。 例如，若传感器1的校验位为0x123456，传感器2的校验位为0xABCDEF，则flag为flag{123456ABCDEF}。 0024D 8893CA58 41 81 0024D 8845ABF3 41 19 把上一题的数据拿过来查看，格式应该是0024+id+41+xx(校验) 其他格式都是固定的，即可判别最后两位为校验 把题目给的数据，分开找到校验的值。如果是按一位=4位，即为8位，可以尝试crc8 >>> bin(int('A',16)) '0b1010'   可以看到就是等于校验值的  直接就拿题目要求的替换掉id即可 0xDEADBEEF 024DDEADBEEF41 0xBAADA555 024DBAADA55541 >>> hex(c8(binascii.unhexlify('024DDEADBEEF41'))) '0xb5' >>> hex(c8(binascii.unhexlify('024DBAADA55541'))) '0x15' http://www.ip33.com/crc.html  参考链接： [1] https://blog.csdn.net/qq_37790902/article/details/79616450 [2] https://blog.csdn.net/Enderman_xiaohei/article/details/104331317 [3] http://www.pc6.com/softview/SoftView_606143.html [4]https://blog.csdn.net/zz_Caleb/article/details/89331290 [5]https://zhuanlan.zhihu.com/p/27827585 [6]https://blog.csdn.net/qq_43165101/article/details/97395191

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、71,000 名 NVIDIA 员工的用户凭证泄露 https://www.securityweek.com/credentials-71000-nvidia-employees-leaked-following-cyberattack 2、Linux 内核 cgroups 中的 CVE-2022-0492 漏洞允许容器逃逸 https://securityaffairs.co/wordpress/128742/security/cve-2022-0492-linux-kernel-flaw.html 3、Lapsus$ 团伙泄露从三星电子窃取的数据 https://securityaffairs.co/wordpress/128712/cyber-crime/samsung-electronics-lapsus-ransomware.html 4、CISA 在已知利用漏洞目录中增加了 95 个漏洞 https://securityaffairs.co/wordpress/128686/security/catalog-of-actively-exploited.html 5、俄发布使用 DDoS 攻击攻击其基础设施的 IP 和域列表 https://thehackernews.com/2022/03/russia-releases-list-of-ips-domains.html 6、思科修复Expressway和TelePresenceVCS中的高危漏洞 https://www.securityweek.com/cisco-patches-critical-vulnerabilities-expressway-telepresence-vcs-products 7、日本美容零售商Acro披露遭到黑客入侵 https://portswigger.net/daily-swig/japanese-beauty-retailer-acro-blames-third-party-hack-for-breach-of-100k-payment-cards 8、大规模Meris僵尸网络嵌入来自REvil的勒索信 https://threatpost.com/massive-meris-botnet-embeds-ransomware-notes-revil/178769/ 9、Dynamicweb软件中漏洞可导致服务器受损 https://portswigger.net/daily-swig/rce-vulnerability-in-dynamicweb-enterprise-software-could-allow-server-compromise 10、恶意软件使用被盗的英伟达代码签名证书 https://www.bleepingcomputer.com/news/security/malware-now-using-stolen-nvidia-code-signing-certificates/

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、英特尔推出适用于第 12 代核心处理器的博锐安全增强功能 https://www.securityweek.com/intel-unveils-vpro-security-enhancements-12th-gen-core-processors 2、医疗保健公司 Mon Health 披露第二次数据泄露 https://www.securityweek.com/healthcare-company-mon-health-discloses-second-data-breach 3、Avast 发布了HermeticRansom 免费解密器 https://securityaffairs.co/wordpress/128652/breaking-news/free-decryptor-hermeticransom-ukraine.html 4、研究人员发现超10万个医用输液泵受高危漏洞影响 https://securityaffairs.co/wordpress/128633/hacking/medical-infusion-pumps-flaws.html 5、乌克兰 WordPress 网站遭受大规模复杂攻击 https://securityaffairs.co/wordpress/128613/cyber-warfare-2/ukrainian-wordpress-sites-attacks.html 6、研究人员展示了针对同态加密的新侧信道攻击 https://thehackernews.com/2022/03/researchers-demonstrate-new-side.html 7、Avast研究人员警告不要加入 DDoS 攻击以帮助乌克兰 https://blog.avast.com/avast-threatlabs-warns-against-ddos-attacks-ukraine 8、Hashnode博客平台中存在远程代码执行漏洞 https://portswigger.net/daily-swig/remote-code-execution-vulnerability-uncovered-in-hashnode-blogging-platform 9、苹果禁用俄罗斯 iPhone 核心功能，暂停在俄销售产品 http://finance.sina.com.cn/stock/relnews/us/2022-03-02/doc-imcwipih6147063.shtml 10、俄媒：俄罗斯准备启用本国互联网 https://www.secrss.com/articles/39831

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Conti Ransomware 源代码被泄露 https://www.securityweek.com/conti-ransomware-source-code-leaked 2、谷歌发布Chrome 99，共修复28个漏洞 https://www.securityweek.com/google-paid-out-over-100000-vulnerabilities-patched-chrome-99 3、VoIPmonitor 监控软件中发现的严重安全漏洞 https://thehackernews.com/2022/03/critical-security-bugs-uncovered-in.html 4、TeaBot Android 银行恶意软件通过 Google Play 商店应用传播 https://thehackernews.com/2022/03/teabot-android-banking-malware-spreads.html 5、卫星通信巨头Viasat遭到网络攻击服务中断 https://www.zdnet.com/article/viasat-confirms-cyberattack-causing-outages-across-europe/ 6、研究人员发现大量的垃圾邮件针对微软帐户 https://threatpost.com/microsoft-accounts-targeted-russian-credential-harvesting/178698/ 7、2021 年针对编程 API 的攻击增长了 600% 以上 https://www.bleepingcomputer.com/news/security/attacks-abusing-programming-apis-grew-over-600-percent-in-2021/ 8、新型芯片可防止黑客从智能设备中提取隐藏信息 https://www.cnbeta.com/articles/tech/1241121.htm 9、莫斯科交易所被网络攻击而被迫下线 https://www.infosecurity-magazine.com/news/moscow-exchange-cyber-attack/ 10、2022 年可能是网络犯罪将重心转向消费者的一年 https://www.bleepingcomputer.com/news/security/2022-may-be-the-year-cybercrime-returns-its-focus-to-consumers/

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、NVIDIA 确认员工凭证在网络攻击中被盗 https://www.securityweek.com/nvidia-confirms-employee-credentials-stolen-cyberattack 2、DDoS 攻击滥用网络中间设备进行反射、放大 https://www.securityweek.com/ddos-attacks-abuse-network-middleboxes-reflection-amplification 3、施耐德继电器缺陷可能允许黑客禁用电网保护 https://www.securityweek.com/schneider-relay-flaws-can-allow-hackers-disable-electrical-network-protections 4、研究人员发现了针对乌克兰网络攻击的新数据擦除器-IsaacWiper https://securityaffairs.co/wordpress/128553/malware/isaacwiper-data-wiper.html 5、900 万安装量的 Chrome Skype 扩展程序被发现泄露用户信息 https://portswigger.net/daily-swig/private-chat-chrome-skype-extension-with-9m-installs-found-to-be-leaking-user-info 6、Lansweeper 中的漏洞可能导致 JavaScript、SQL 注入 https://blog.talosintelligence.com/2022/03/vuln-spotlight-.html 7、严重的 GitLab 漏洞可能允许攻击者窃取运行者注册令牌 https://portswigger.net/daily-swig/critical-gitlab-vulnerability-could-allow-attackers-to-steal-runner-registration-tokens 8、PJSIP库存在高危RCE漏洞影响WhatsApp和其他VoIP应用 https://threatpost.com/rce-bugs-whatsapp-popular-voip-apps-patch-now/178719/ 9、CISA在已知被利用漏洞目录增加了4个漏洞 https://thehackernews.com/2022/02/cisa-adds-recently-disclosed-zimbra-bug.html 10、三周被罚一个亿！苹果向荷兰“妥协”：首次开放第三方支付 https://news.mydrivers.com/1/817/817246.htm

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、针对乌克兰民用数字目标的网络攻击激增 https://www.securityweek.com/microsoft-cyberattacks-ukraine-hitting-civilian-digital-targets 2、丰田在日本的全部生产线因其供应商遭网络攻击而停止 https://www.securityweek.com/toyotas-japan-production-halted-over-suspected-cyberattack 3、UNC2596 通过Exchange Server 漏洞部署 Cuba勒索软件 https://cyware.com/news/unc2596-deploys-cuba-ransomware-via-microsoft-exchange-server-vulnerabilities-280b72bd 4、Gerbv 中发现的漏洞可能导致代码执行、信息泄露 https://blog.talosintelligence.com/2022/02/vuln-spotlight-gerbv-g.html 5、研究人员构建Apple Airtag克隆版本成功绕过反跟踪保护技术 https://thehackernews.com/2022/02/experts-create-apple-airtag-clone-that.html 6、6万多条属于Conti勒索软件团伙的内部消息遭泄露 https://www.bleepingcomputer.com/news/security/conti-ransomwares-internal-chats-leaked-after-siding-with-russia/ 7、Android 上的 Visual Voice Mail 可能容易被窃听 https://www.bleepingcomputer.com/news/security/visual-voice-mail-on-android-may-be-vulnerable-to-eavesdropping/ 8、臭名昭著的黑客论坛Raidforums据称被当局查封 https://www.hackread.com/hacking-forum-raidforums-com-seized-by-authorities/ 9、俄克拉荷马州的DNA解决方案公司的个人数据被泄露 https://portswigger.net/daily-swig/dna-data-of-sexual-assault-victims-exposed-in-breach-at-us-laboratory 10、俄乌冲突加剧，网络安全股价大涨，最高涨幅超110% https://www.secrss.com/articles/39667

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、匿名者声称破坏了白俄罗斯铁路的内部网络 https://securityaffairs.co/wordpress/128486/hacktivism/anonymous-breached-belarusian-railways.html 2、芯片制造商巨头英伟达遭受勒索软件攻击 https://securityaffairs.co/wordpress/128456/cyber-crime/nvidia-ransomware-attack.html 3、Fileless SockDetour 后门针对美国国防承包商 https://securityaffairs.co/wordpress/128446/apt/sockdetour-backdoor-targets-us-defense.html 4、Okta Advanced Server Access 客户端中存在 RCE漏洞 https://securityaffairs.co/wordpress/128418/security/nhs-okta-advanced-server-access-rce.html 5、TrickBot 恶意软件团伙关闭了其僵尸网络基础设施 https://thehackernews.com/2022/02/notorious-trickbot-malware-gang-shuts.html 6、GE Digital修复了Proficy CIMPLICITY HMI/SCADA软件的漏洞 https://www.securityweek.com/ge-scada-product-vulnerabilities-show-importance-secure-configurations 7、Zenly社交媒体应用程序中被发现存在两个漏洞 https://threatpost.com/zenly-bugs-account-takeover/178646/ 8、Electron Bot恶意软件通过仿冒流行游戏进入微软官方商店 https://www.bleepingcomputer.com/news/security/malware-infiltrates-microsoft-store-via-clones-of-popular-games/ 9、IBM的数据显示亚洲成为2021年受网络攻击的最多的地区 https://www.zdnet.com/article/asia-most-targeted-region-in-2021-taking-on-one-in-four-cybersecurity-attacks/ 10、Cuba勒索软件团伙频繁利用Microsoft Exchange漏洞 https://threatpost.com/microsoft-exchange-exploited-cuba-ransomware/178665/