免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、 Google Project Zero 批量Windows 中的特权提升 (EoP) 漏洞 https://threatpost.com/windows-eop-bug-detailed-by-google-project-zero/168823/ 2、印第安纳州Covid-19接触者追踪系统泄露超75万个人数据 https://threatpost.com/covid-contact-tracing-exposed-fake-vax-cards/168821/ 3、思科称多款旧版路由器存在高危代码执行漏洞但不打算修复 https://www.securityweek.com/cisco-critical-flaw-older-smb-routers-will-remain-unpatched 4、2021 上半年披露了 600 多个影响工控系统 (ICS) 产品的漏洞 https://www.securityweek.com/over-600-ics-vulnerabilities-disclosed-first-half-2021-report 5、GitHub 敦促用户采用双因素身份验证 https://www.securityweek.com/github-encourages-users-adopt-two-factor-authentication 6、日本加密货币交易所 Liquid 遭攻击被窃取9700万美金数字货币 https://securityaffairs.co/wordpress/121282/cyber-crime/liquid-cryptocurency-exchange-data-theft.html 7、NK-linked InkySquid APT 在最近的攻击中利用 IE 漏洞 https://securityaffairs.co/wordpress/121262/apt/inkysquid-apt-ie-exploirs.html 8、日本保险公司Tokio Marine披露了勒索软件攻击 https://www.cyberscoop.com/tokio-marine-ryan-specialty-group-ransomware-cyber-insurance/ 9、黑客在2020年利用Citrix漏洞入侵了美国人口普查局 https://www.bleepingcomputer.com/news/security/us-census-bureau-hacked-in-january-2020-using-citrix-exploit/ 10、CISA 发布关于防止勒索软件数据泄露的指南 https://www.bleepingcomputer.com/news/security/cisa-shares-guidance-on-how-to-prevent-ransomware-data-breaches/

0x00 前言 一切的一切要从 （盘古开天辟地） 几个月前的某大型网安活动期间说起。话说当时一位素未谋面的基友给在下发了一个疑似钓鱼的样本，说是让我试试看下能不能溯源出攻击方。于是虽然作为一名萌新，此前也从未接触过类似的工作，但想到既然是基友的请求，那也唯有欣然接受了。不过值得庆幸的是，最后虽然折腾了大半天，而且好像也没帮上什么忙，但与样本分析的初接触过程中，还是学到了不少东西的。唯独可惜的是，由于当时的自己沉迷摸鱼，没有及时把过程记录下来。如今偶然再想起，决定补写一文章——但也只能力求复刻当时的真实情况了。所以如果发现文中一些时间戳对不上的，请自动忽略，个人认为不影响文章的真实性。。。 0x01 投石问路 因为样本是基友直接发给我的，所以样本的发现过程这里按下不表，直奔主题吧。 拿到样本，一个朴实无华的 exe 可执行文件，再看这 exe 的图标更是已经烂大街的了： 于是本着没吃过猪肉也见过猪跑的道理，想起平时摸鱼时也看过不少大佬们做过的免杀和样本分析的文章，先草率地做出了一个最简单的猜想：很可能又是一个使用 rar 自解压制作的钓鱼样本。 于是就草率地先尝试使用 bandzip 打开，发现格式不对： 显然，这样草率的猜想果然是不靠谱的，遂转换思路。 于是又想到，正所谓他山之石可以攻玉，况且自己之前在这方面也几乎零基础，那不妨先扔在线的分析网站跑一波吧，就算只搞到个大概的报告也可以供参考。于是将样本拖进 VT，立等片刻后，得到结果： 只是瞧瞧这多引擎的检测结果，居然还有点小意外？！于是这个情况顿时让我对这个样本又多了几分好奇：看来有机会还是要搞清楚这个样本是怎么制作的呀。再说作为一条有理想的咸鱼，一直这样依赖工具也不是办法，有机会还是要锻炼下自己的动手能力。于是决定为基友献出自己的”第一次“，尝试手动分析下这个样本，顺便看看它这个查杀率是怎么做到的。 0x02 循序渐进 说是手动分析，但一来自己经验不足，二来身边也没有随时可抱大腿的大佬来解疑答惑，那眼前 VT 的分析结果还是要参考下的，起码起到风向标的作用。 VT 分析结果的前面几项都没有什么特别有价值的信息。直至切换到分析结果中的 BEHAVIOR 选项卡，发现样本执行过程释放和加载了一个名为python27.dll 的动态链接库文件： 看到这，作为一名常年网上冲浪、已经将喊666刻进DNA里的资深菜鸡，我的 privilege 又尽数体现了：根据经验，这大概又是一个 PyInstaller 打包的 exe文件。 于是现学现卖，从搜索引擎得知： PyInstaller 打包的文件可以使用一个名为 pyinstxtractor.py 的 https://link.segmentfault.com/?url=https%3A%2F%2Fsourceforge.net%2Fprojects%2Fpyinstallerextractor%2F 来进行解包反编译得到 pyc 文件 pyc 是 python 源代码执行编译后得到的文件。可使用 uncompyle6 等工具进行反编译，得到最终的 python源码 因此需准备工具有：pyinstxtractor.py）（可github获取）、uncompyle6 （可直接使用 pip install 安装） 有了以上前置知识后，那么依葫芦画瓢——下载脚本并执行： python pyinstxtractor flashplayerpp_install_cn.exe： 幸运的是，过程十分顺利，在当前目录下生成了解压文件夹： 然后，根据资料，在解压目录中找到可疑的 pyc文件，名为 main： 按照剧本，这里的 main 应该就是 main.py 编译之后得到的 pyc 文件。但实际操作中，无论是使用在线反编译工具如 https://link.segmentfault.com/?url=http%3A%2F%2Ftools.bugscaner.com%2Fdecompyle%2F，还是本地的 https://link.segmentfault.com/?url=https%3A%2F%2Fgithub.com%2Frocky%2Fpython-uncompyle6%2F 和 https://link.segmentfault.com/?url=https%3A%2F%2Fsource 根据报错信息不难发现，报错与一个 magic number的概念有关。因此要想继续分析流程，就必须先解决 magic number的问题。 于是继续求助搜索引擎。得到解释如下： magic number 是 pyc 文件结构的一部分，其位于文件开头的前 4 个字节，代表了 python 的版本信息。 出现 unknown magic number 错误，很可能是制作样本的钓鱼佬对 pyc 文件做了手脚。这种情况在 CTF 中也比较常见 在知道 python 版本的情况下，可通过补全magic number 信息来尝试修复无法还原的 pyc 文件 0x03 原来是虚晃一枪 老实说，看完上面收集回来的信息，我当时的表情就是这样的： 显然，事情到这一步已经超出了一个我这个菜鸡的预期了。 所以说，要半途而废嘛，也不是没想过。。。可气氛都渲染到这里了，不继续下去好像也不太说得过去的样子。。。 于是，本着准备手动修复 magic number 信息的想法， winhex 打开 main.pyc，却惊喜地发现： main 文件里面的竟然是源码明文？！！ 这。。这。。。这是咋回事呢？跟说好的剧本不一样啊。。这样难道不会影响打包的 exe 文件的运行的吗？难道这就是这个样本被查杀率不高的原因？ 于是本着知其所以然的心态，本人又围绕这这个问题，尝试找了不少资料。但可惜水平有限，最终也是没找到相应的解释，对此还希望有知道的师傅能指教一二。。。 不过言归正传，既然拿到了 python 的源码，那一切就好办了。。 直接将 main.pyc 改名为 main.py，用 sublime 打开，得到： 简单看了下源码，发现执行的过程如下： 1、is_admin 函数先判断是否为管理员权限，如果不是，则调用 API 请求以管理员身份运行该样本 2、如果当前已经是管理员权限，则执行 NDdFrvsmTh 函数 3、NDdFrvsmTh 函数开辟两个线程，一个线程执行TFZWSTEcc函数下载真正的 flash 安装包到本地执行安装，另一个线程执行TENRWCTE 函数加载 shellcode 使主机上线 4、TFZWSTEcc 函数先从远程地址 https://link.segmentfault.com/?url=https%3A%2F%2Fwww.xxx.us%2Fxxxxxyyyyyyvszzzzz 加载 CS 的shellcode，然后几句 cPickle.loads 分别为 shellcode 的执行分配内存空间、设置执行权限、创建线程并最终执行： （PS：可能是我愚钝，总之一番概览下来，好像除了从远程加载 shellcode 而不是硬编码到代码中去之外，也没啥特别的。。。？所以至此 VT 的这个 6/64 的查杀率似乎也成了我的一个未解之谜。。 ） 同时既然已经知道 shellcode 的远程下载地址，那么可直接尝试获取 shellcode 到本地进行分析。编写了个简单的脚本： 执行后顺利得到 shellcode.bin 文件： 最后简单使用 strings 即可得到 teamserver 的地址： 不过可惜的是，上了CDN： 明显，这种情况，以本人的水平也暂时谈不上什么反制了。最后将自己的分析过程打包给基友后就洗洗睡第二天继续吃瓜去了。。。 0xFF 总结 本文主要记录了本人在对一钓鱼样本进行分析溯源学习时的踩坑经过。整个过程可简单概况为以下几部分： 使用pyinstxtractor 反编译 pyinstaller 打包的exe，得到 pyc 文件 尝试使用 uncompyle6反编译 得到的pyc 文件，进一步得到 python 源码未果 根据 uncompyle6 使用过程中出现的问题，寻找原因和解决办法，尝试手动修复 pyc 文件 尝试修复 pyc 文件时直接发现 python 源码（是资料中未提及过的情况，很惊奇，遂于寻找原因，但未果） 分析 python 源码，得到 teamserver 地址。最后能力有限，不会反制 最后本人技术粗浅，文章措辞轻浮，肯定有许多错漏之处，还望各位大佬大力斧正的同时轻喷。。。 实验推荐：https://www.yijinglab.com/expc.do?ec=ECIDaefb-df77-4f25-8c11-864cf64abe24

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、伊朗 APT Hexane 瞄准以色列公司 https://www.securityweek.com/report-iranian-apt-hexane-targets-israeli-companies 2、T-Mobile 确认数据泄露影响数4860万客户 https://www.securityweek.com/t-mobile-confirms-data-breach-impacts-millions-customers 3、黑莓QNX 系统BadAlloc 漏洞影响上亿汽车、医疗、工控设备 https://www.securityweek.com/badalloc-flaw-impacts-many-systems-running-blackberrys-qnx-embedded-os 4、研究人员发现 Diavol 勒索软件与 TrickBot 僵尸网络团队关联 https://securityaffairs.co/wordpress/121251/malware/diavol-ransomware-trickbot-gang.html 5、德国DPA 警告说，公共机构使用 Zoom 违反欧盟 GDPR https://securityaffairs.co/wordpress/121232/digital-id/hamburg-dpa-zoom-gdpr.html 6、研究人员发现Neurevt木马针对墨西哥用户 https://blog.talosintelligence.com/2021/08/neurevt-trojan-takes-aim-at-mexican.html 7、安卓恶意软件FLUBOT瞄准德国和波兰的银行 https://kkhacklabs.com/resurgent-flubot-malware-targets-german-and-polish-banks/ 8、巴西财政部遭到勒索软件攻击 https://www.zdnet.com/article/brazilian-national-treasury-hit-with-ransomware-attack/ 9、大通银行客户信息意外泄露给其他客户 https://www.bleepingcomputer.com/news/security/chase-bank-accidentally-leaked-customer-info-to-other-customers/ 10、Trickbot 新攻击伪装成 1Password 安装程序以提取数据 https://www.hackread.com/trickbot-installs-fake-1password-manager-extract-data/

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、恶意广告传播Cinobi 银行木马窃取加密货币 https://thehackernews.com/2021/08/malicious-ads-target-cryptocurrency.html 2、Adobe 修复Photoshop 高危漏洞 https://www.securityweek.com/adobe-plugs-critical-photoshop-security-flaws 3、FortiWeb Web 防火墙发现高危命令注入漏洞 https://www.securityweek.com/high-severity-command-injection-vulnerability-found-fortinet-firewall 4、FBI 泄露了190万条其监视的“恐怖分子”相关记录 https://www.securityweek.com/fbi-reportedly-exposed-secret-terrorist-watchlist 5、LockBit 2.0 勒索软件在全球扩散 https://threatpost.com/lockbit-ransomware-proliferates-globally/168746/ 6、SEOPress WordPress 插件XSS漏洞影响数十万网站 https://threatpost.com/xss-bug-seopress-wordpress-plugin/168702/ 7、Valve 修复可以向 Steam 钱包添加无限资金的严重漏洞 https://threatpost.com/valve-bug-unlimited-funds/168710/ 8、 Kalay 云平台严重漏洞影响数百万物联网设备 https://securityaffairs.co/wordpress/121226/hacking/kalay-cloud-platform-critical-flaw.html 9、谷歌为两个严重的 Chrome 漏洞支付 42,000 美元 https://www.securityweek.com/google-awards-42000-two-serious-chrome-vulnerabilities 10、Trickbot恶意软件利用伪造的安装程序收集信息 https://www.hackread.com/trickbot-installs-fake-1password-manager-extract-data/

一、电子数据取： 1、什么是取证 电子取证学：为打击网络犯罪而生的电子数据取证，是计算机学科与法学学科交叉的一门学科，涉及到的知识包括计算机软硬件知识体系、网络技术、密码学、通信技术以及法学知识等。 常规取证：有调查取证权的组织或者个人为了查明案件事实的需要，向有关单位或个人依法进行调查和收集证据。 “洛卡德物质交换原理”：“没有真正完美的犯罪，只有未被发现的线索。” 埃德蒙·洛卡德（Edmond Locard，1877～1966)博士是法国著名的法庭科学家和侦查学家，他是个固执的学者，穷其一生都在为犯罪现场中物证的取证和鉴定工作努力着，之所以说他「固执」，是因为他一辈子都坚信着那么一件事： ——犯罪者，必留痕 卡洛德在20世纪初提出了他最著名的物质交换定律。 此理论的核心非常简单： ——「每一个犯罪行为都会留下痕迹」 也就是说： ——只要发生了犯罪行为，就必然会留下相关痕迹，没有所谓「无痕」的犯罪现场。 ——哪怕很多犯罪者具有一定的反侦查能力，会刻意的去破坏一些痕迹，但作为代价，这会带来更多的物质交换过程，再次形成各种新的痕迹物证。 形象地说，如果你打我一巴掌，我的脸上会留下你的手印、汗渍、划痕等，而你的手上也会有我的皮肤组织、汗渍等，这样一来通过证据的吻合度是可以判断出究竟是谁打了我 电子数据同样遵循这个原理，网络罪犯也会留下“手印”，但这个痕迹只有专业的取证人员才能看得到。 物质交换原理是电子数据取证的理论基础，而取证就是寻找各种犯罪交换后留下的痕迹作为证据的活动。 电子数据就是电子证据，在取证行业里所说的电子数据，就是指的电子证据。 | 2013年施行的《中华人民共和国刑事诉讼法》第四十七条规定了 "电子数据"为证据的7大类型。 2016年两高一部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》（以下简称规定）以定义和列举的方式，对电子数据做了明确规定：电子数据是案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据。电子数据包括但不限于下列信息、电子文件：网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息；手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息；用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息；文档、图片、音视频、数字证书、计算机程序等电子文件。 电子数据取证什么？ 电子数据取证就是把数字证据转换为报告形式的过程。 这个转化形式的过程却涉及法律标准、技术手段、工具使用等等多领域复杂的内容，那可不是几句话能说得清楚的 取证过程大致分为： 证据收集--->数据获取--->数据分析--->取证报告 1、收集阶段： 电子数据脆弱性，它很容易被破坏：病毒、删除、覆盖等都会导致电子数据改变和丢失。 2、数据获取阶段： 1. 转储过程是否会改变原始设备上的原始数据?(证据一旦被改变了就没有法律效应了) 2.怎么证明你在转储过程中没有改变任何数据? 解决办法：镜像 和写保护。 3、数据分析阶段 4、报告撰写阶段：形式详细记录下来，尤其是能证明犯罪事实的关键证据 电子数据取证的目的 电子数据取证的终极目标是：为法庭审判提供合法的证据。 为了达到目标，可能用到的手段方法，数据恢复，密码破解等 电子数据取证的重要性 中国网络犯罪占犯罪总是 1/3 每年以 30%以上的速度增长 网络犯罪造成的经济损失每年达7000亿以上 案例 熊猫烧香： 1、硬盘数据：“灰鸽子”、“Sniffer”、“DDOS.EXE”、“网络神偷”、“Web3389”、“日 志清理”等大量黑客网络攻击工具、木马制作，病毒，网络攻击的相关电子书。大量用VB，VC和Dephi编写的病毒和木马源代码：多线程端口，PHP注入，文 件捆绑，隐藏运行，QQ密码截获，IE密码探测等。 五号分区的 Source\Code\Delphi\Wy_Work\目录下，发现“武汉男生”（熊猫烧香）病毒的客户端和服务端程序，同时，在 \Source Code \Delphi\ My_Work\武汉男生进程监控\code目录下发现“武汉男生”的源程序代码文件，截图如下： 2、聊天记录： 3、盗卖账号信息 4、账号登录信息：大量网络游戏（征途、冒险岛等）登录用户名和口令 5、账目信息：“账单文件”记录了2005年到2006年7月的账目信息 二、Linux系统入侵痕迹分析取证 1、基本信息获取 系统信息： 系统版本信息： uname -a   lsb_version -a head -n 1 /etc/issue 用户和组信息： cut -d: -f1 /etc/passwd //查看用户信息 cut -d: -f1 /etc/group //查看用户组信息 网络信息： ip a show //网络接口信息 ip route //路由信息 ss -tanp //端口信息 iptables -L //防火墙信息 系统运行状态： 任务计划 cat /etc/crontab //查看系统任务计划 /var/spool/cron/USERNAME //用户任务计划 进程信息 ps aux //a 与终端相关的进程 u 以用户为中心组织进程状态信息显示 x 与终端无光的进程 ps -ef //e 显示所有进程。f显示完整格式程序信息 ps -eFH //F显示完整格式的进行信息 H以进程层级格式显示进程相关信息 top 服务信息 systemctl list-units --type=service //显示所有已启动的服务 systemctl list-units -t service -a //所有开启和关闭的 systemctl list-unit-files -t service -a //服务状态，是否开机启动，static：开机不启动，但是可以被另一个服务激活 /usr/lib/systemd/system //服务目录 2、日志分析 日志的主要用途是系统审计、监测追踪和分析统计。 UNIX/ Linux采用了syslog工具来进行日志记录，所有在主机上发生的事情都会被记录下来不管是好的还是坏的。 syslog：Linux 内核由很多子系统组成包括网络、文件访问、内存管理等。 子系统需要给用户传送一些消息这些消息内容包括消息的来源及其重要性等。所有的子系统都要把消息送到一个可以维护的公用消息区于是就有了 syslog。 syslog 是一个综合的日志记录系统。 它的主要功能：方便日志管理和分类存放日志。 syslog 配置文件：/etc/syslog.conf 三类日志： 系统接入日志： 根据该日志跟踪到谁在何时登录到系统 /var/log/wtmp和/var/run/utmp //telnet、ssh等程序会更新wtmp和utmp文件 进程统计日志：分析系统使用者对系统进行的配置以及对文件进行的操作 pacct或acct 错误日志： /var/log/messages 常用日志文件： /var/log/boot.log //该文件记录了系统在引导过程中发生的事件就是Linux系统开机自检过程显示的信息。 /var/log/cron //该日志文件记录crontab守护进程crond所派生的子进程的动作,前面加上用户、登录时间和PID以及派生出的进程的动作. /var/log/maillog //该日志文件记录了每一个发送到系统或从系统发出的电子邮件的活动。它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统 /var/log/messages //该日志文件是许多进程日志文件的汇总 /var/log/syslog //RHEL/Centos默认不开启，需要配置，它和/etc/log/messages日志文件不同它只记录警告信息， 该日志文件能记录当用户登录时login记录下的错误口令、Sendmail的问题、su命令执行失败等信息。 /var/log/secure //记录与安全相关的信息,主要是一些和认证、权限使用相关的信息。其是sshd会将所有信息记录[其中包括失败登录]在这里信息   /var/log/lastlog //记录最近成功登录的事件和最后一次不成功的登录事件，只能root执行 /var/log/wtmp //永久记录每个用户登录、注销及系统的启动、停机的事件，该日志文件可以用来查看用户的登录记录，last命令就通过访问这个文件获得这些信息 /var/run/utmp //该日志文件记录有关当前登录的每个用户的信息， who、w、users、finger 访问此文件 ，随着用户登录和注销系统而不断变化，它只保留当时联机的用户记录不会为用户保留永久的记录 //以上提及的3个文件/var/log/wtmp、/var/run/utmp、/var/log/lastlog是日志子系统的关键文件，都记录了用户登录的情况。这些文件的所有记录都包含了时间戳。这些文件是按二进制保存。不能用less、cat之类的命令直接查看这些文件，而是需要使用相关命令通过这些文件而查看 每次有一个用户登录时login程序在文件lastlog中查看用户的UID。 如果存在则把用户上次登录、注销时间和主机名写到标准输出中， 然后login程序在lastlog中记录新的登录时间打开utmp文件并插入用户的utmp记录。 该记录一直用到用户登录退出时删除。utmp文件被各种命令使用包括who、w、users和finger。 下一步login程序打开文件wtmp附加用户的utmp记录。当用户登录退出时具有更新时间戳的同一utmp记录附加到文件中。 wtmp文件被程序last使用。 查看日志文件： 绝大多数是文本文件， cat、tac、more、less、tail和 grep进行查看 日志文件的格式：以 /var/log/messages 为例 该文件中每一行表示一个消息而且都由四个域的固定格式组成 时间戳：Timestamp 表示消息发出的日期和时间。 主机名：Hostname 表示生成消息的主机名 生成消息的子系统名称：“Kernel”表示消息来自内核 消息：Message ：具体的消息内容 Dec 16 03:32:41 cnetos5 syslogd 1.4.1: restart. // syslog 发出的消息说明了守护进程已经在 xxx 重新启动了 查看非文本格式日志文件： lastlog :使用 lastlog 命令来检查某特定用户上次登录的时间并格式化输出上次登录日志 /var/log/lastlog 的内容 last:搜索 /var/log/wtmp 来显示自从文件第一次创建以来登录过的用户 lastb:命令搜索 /var/log/btmp 来显示登录未成功的信息 who:查询 wtmp 文件并报告当前登录的每个用户 who /var/log/wtmp //查询历史登录用户 登录日志 二进制日志文件： 1、最近一次日志/var/log/lastlog lastlog //最近一次用户登录的时间记录2、用户登录日志/var/log/wtmp[root@localhost ~]# last - 或[root@localhost ~]# last -f <filename> # 指定输入文件 last -u 用户名显示用户上次登录的情况 last -t 天数显示指定天数之前的用户登录情况。 系统日志 应用日志 apache日志: /var/log/httpd/access.log #[Apache服务器的客户系统访问记录]/var/log/httpd/error.log #[Apache服务器的所有出错记录] cups 打印日志：CUPS [ Common Unix Printing System ] 通用UNIX打印系统 /var/log/cups/access_log # 访问日志文件，其中记录了打印机的设置情况，提交的打印作业，以及打印作业的状态记录等信息/var/log/cups/error_log # 默认的日志文件，存储各种错误信息 Samba 服务器日志 > [目录] /var/log/samba[root@localhost ~]# ls /var/log/samba> log.smbd # 其中包含Samba服务器启动以及SMB/CIFS文件与打印共享方面的信息> log.nmbd # 其中包含基于IP协议的NETBIOS网络通信方面的信息> log.sysname # 用于记录特定客户系统的服务请求信息，文件名中的sysname是客户系统的主机名，如 log.winxp 相关实验：https://www.yijinglab.com/cour.do?w=1&c=C9d6c0ca797abec2017080314263200001 介绍：详细了解windows，linux电子取证的原理，使用不同的网络取证工具学习取证中的信息收集，协议分析，内存磁盘取证，文件恢复等功能操作

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、T-Mobile 承认客户数据泄露，已启动调查 https://www.securityweek.com/t-mobile-acknowledges-breach-customer-data-launches-probe 2、Colonial Pipeline 通知受勒索攻击影响的个人信息泄露 https://www.securityweek.com/colonial-pipeline-confirms-personal-information-impacted-ransomware-attack 3、Realtek SDK多个严重漏洞影响数百万设备 https://www.securityweek.com/devices-many-vendors-can-be-hacked-remotely-due-flaws-realtek-sdk 4、攻击者可利用防火墙、入侵防御等系统进行DDoS反射放大攻击 https://thehackernews.com/2021/08/attackers-can-weaponize-firewalls-and.html 5、 STARTTLS 数十个漏洞影响Apple Mail、Gmail等多个邮件客户端 https://thehackernews.com/2021/08/dozens-of-starttls-related-flaws-found.html 6、福特网站漏洞泄露内部系统客户和员工记录 https://www.bleepingcomputer.com/news/security/ford-bug-exposed-customer-and-employee-records-from-internal-systems/ 7、美国金融业监管局警告冒充其官员的网络钓鱼活动 https://www.bleepingcomputer.com/news/security/us-brokers-warned-of-ongoing-phishing-attacks-impersonating-finra/ 8、GitHub 废除基于密码的 Git 身份验证 https://github.blog/changelog/2021-08-12-git-password-authentication-is-shutting-down/ 9、AI造出9张“万能人脸”，可冒充超40%的人 https://www.ithome.com/0/569/495.htm 10、勒索软件团伙正积极利用WindowsPrint Spooler漏洞 https://thehackernews.com/2021/08/ransomware-gangs-exploiting-windows.html

#前言 对抗样本大家都耳熟能详了，但是大家可能觉得离自己比较远，毕竟主要是学术界在做这方面的工作，可能还需要很多数学理论基础，所以没有尝试动手实践过。在本文中，不会提及高深的数学理论，唯一的公式也仅是用于形式化描述攻击方案，并不涉及任何数学概念，同时以代码为导向，将论文中提出的方案进行实践，成功实施对抗样本攻击，之后给出了典型的防御方案，即对抗训练，同样也是以实战为导向，证明防御方案的有效性。对抗样本领域的研究正热火朝天，本文提及的攻击和防御方案并不是最优的，希望感兴趣的师傅们看了本文后，能够不再对该领域抱有排斥心理，加入对抗样本的研究队伍中来，为AI安全贡献自己的力量。  #模型搭建及评估 本次我们使用的数据集是Fashion MNIST。Fashion-MNIST是一个替代MNIST手写数字集的图像数据集。 它是由Zalando（一家德国的时尚科技公司）旗下的研究部门提供。其涵盖了来自10种类别的共7万个不同商品的正面图片。Fashion-MNIST的大小、格式和训练集/测试集划分与原始的MNIST完全一致。60000/10000的训练测试数据划分，28x28的灰度图片. 数据集大致如下所示  上图中每一类有3行，10个类别分别是T-shirt/top', 'Trouser', 'Pullover', 'Dress', 'Coat','Sandal', 'Shirt', 'Sneaker', 'Bag', 'Ankle boot’ 首先加载数据集  我们需要简单的对数据集预处理，给其添加一个channel维度，否则卷积层不能正常工作，还需要将像素值缩放到[0,1]范围  接下来打印出实际加载的样本看看  因为图片是灰度图像，所以输入的shape定义如下  接下来搭建一个CNN模型，架构如下  使用summary方法输出各层的参数状况  设置优化器、损失函数、batch size等超参数  我们再定义一个辅助函数，用于绘出训练过程相关度量指标的变化  接下来开始训练模型  使用前面定义的绘图函数画出模型训练过程的指标的变化情况  评估模型在测试集上的性能  上图打印出的classification report，这个怎么看呢 列表左边的一列为分类的标签名 右边的第一行中，precision recall f1-score三列分别为各个类别的精确度、召回率及F1 值．support是某类别在测试数据中的样本个数； accuracy表示准确率，也即正确预测样本量与总样本量的比值；macro avg表示宏平均，表示所有类别对应指标的平均值，而weighted avg带权重平均，表示类别样本占总样本的比重与对应指标的乘积的累加和。 从上面的classification report可以看到模型在测试集上的表现还是不错的 而打印出的混淆矩阵如下  混淆矩阵是机器学习中总结分类模型预测结果的情形分析表，以矩阵形式将数据集中的记录按照真实的类别与分类模型预测的类别判断两个标准进行汇总。其中矩阵的行表示真实值，矩阵的列表示预测值。 我们以第一行为例，样本的真实类别为t-shirt,在分类结果里，有862个样本被正确分类，有16个样本被错误分类到pullover,有15个样本被错误分类到dress，有3个样本被错误分类到coat，有96个样本被错误分类到shirt，有8个样本被错误分类到bag 如果只要看有每个类别分别由多少样本被正确分类，则只需要看对角线即可。每一类总共是1000个测试样本，而t-shirt有862个被正确分类，trouser有975个被正确分类，以此类推。从混淆矩阵可以更具体看出测试样本是被错误分到了哪一类。 #对抗样本攻击 对抗样本可能或多或少都有听说过，它是通过对数据集中的样本应用较小但蓄意的会导致最坏情况的扰动而形成的输入，因此，被扰动的输入导致模型以高置信度输出错误的答案。 我们本次来实践最经典的对抗样本攻击方案--FGSM，下面这张图片大家应该都看过，它正是出自于提出FGSM的论文  从熊猫图像开始，攻击者在原始图像上添加小扰动，结果模型将此图像预测为长臂猿。 那么FGSM攻击是如何实现的呢？或者说攻击中添加的扰动是怎么来的呢？ 我们知道训练分类模型时，网络基于输入图像学习特征，然后经过softmax层得到分类概率，接着损失函数基于分类概率和真实标签计算损失值，回传损失值并计算梯度（也就是梯度反向传播），最后网络参数基于计算得到的梯度进行更新，网络参数的更新目的是使损失值越来越小，这样模型分类正确的概率也就越来越高。 对抗样本攻击的目的是不修改分类网络的参数，而是通过修改输入图像的像素值使得修改后的图像能够扰乱分类网络的分类，那么根据前面提到的分类模型的训练过程，可以将损失值回传到输入图像并计算梯度，也就是下式  其中， θ 是模型的参数，x 是模型的输入，y 是与 x 关联的类别，J (θ, x, y) 是用于训练神经网络的损失函数。 接下来可以通过sign()函数计算梯度的方向，sign()函数是用来求数值符号的函数，比如对于大于0的输入，输出为1， 对于小于0的输入，输出为-1，对于等于0的输入，输出为0。之所以采用梯度方向而不是采用梯度值是为了控制扰动的距离. 常规的分类模型训练在更新参数时都是将参数减去计算得到的梯度，这样就能使得损失值越来越小，从而模型预测对的概率越来越大。既然对抗攻击是希望模型将输入图像错分类成错误类别，那么要求损失值越来越大，也就是模型预测的概率中对应于真实标签的概率越小越好，这和原来的参数更新目的正好相反。因此只需要在输入图像中加上计算得到的梯度方向，这样修改后的图像经过分类网络时的损失值就比修改前的图像经过分类网络时的损失值要大，换句话说，模型预测对的概率变小了。此外我们还需要用来控制扰动的程度，确保扰动足够小。所以，扰动的式子如下  将扰动加到原样本上就得到了对抗样本，如下所以  我们将这称为生成对抗样本的fast gradient sign method（快速梯度符号方法）。 对应的代码实现如下   应用以上函数，我们来看看对coat样本的攻击前后的结果  从可视化的结果可以看到，左边是原样本，以真实标签为coat，模型以较高的置信度将其预测为coat，中间是添加的对抗扰动，加上之后就得到了右边的对抗样本，其被模型错误预测为了pullover，说米我们攻击成功了。 查看对sneaker的攻击前后结果  同样攻击成功了，对于其他测试集样本生成的对抗样本同样可以攻击成功。 接下来我们来进行对抗训练，提升模型的鲁棒性 为了更全面的衡量模型在面对对抗样本攻击时有多么容易受到攻击，我们可以针对测试数据应用FGSM生成对应的对抗样本测试集  通过打印classification report和混淆矩阵来评估模型在面对对抗样本攻击时的鲁棒性  可以看到整体的指标都是较低的，说明模型面对对抗样本攻击的鲁棒性较弱 接下来我们通过对抗训练的方法增强模型的鲁棒性  #对抗训练 在实践之前，先来介绍对抗训练的概念。 对抗训练（Adversarial Training）最初由 Ian Goodfellow 等人提出，作为一种防御对抗攻击的方法，其思路非常简单直接，将生成的对抗样本加入到训练集中去，做一个数据增强，让模型在训练的时候就先学习一遍对抗样本。 对抗训练实际上是一个min-max优化问题，寻找一个模型（以参数表示），使得其能够正确分类扰动在一定范围S内的对抗样本，即  其中(x,y)表示原始数据和对应的标签，D表示数据的分布，L是损失函数 内层（中括号内）是一个最大化，L则表示在样本x上叠加一个扰动，再经过神经网络函数，与标签y比较得到的损失。 max L是优化目标，即寻找使损失函数最大的扰动，简单来讲就是添加的扰动要尽量让神经网络迷惑。外层就是对神经网络进行优化的最小化公式，即当扰动固定的情况下，我们训练神经网络模型使得在训练数据上的损失最小，也就是说，使模型具有一定的鲁棒性能够适应这种扰动。 接下来我们来看实际中对抗训练是怎么做到提升模型鲁棒性的 首先将同样的方法应用于训练集，生成原训练集的一批对抗样本，作为对抗样本训练集，并将对抗样本训练集和原来的训练集合在一起作为最终的训练集  开始在最终的训练集上训练模型  训练过程中的指标变化如下  如此，就完成了对抗训练 那么怎么对抗训练得到的模型的好坏呢？ 首先要看该模型在正常的测试集上的性能，毕竟大多数测试样本都是正常的，这才是训练模型最主要的任务，即需要在正常的测试样本面前表现好  可以看到性能还是不错的 另外还要看模型在接收对抗样本时的性能，毕竟这是对抗训练相比一般训练最主要的目的所在，就是为了在面对对抗样本时，不会被其欺骗  从结果可以看到，模型在面对对抗样本时表现非常好 直接看这些指标不具体的话，我们可以从10类样本中各打印一个样本的对抗样本，并查看模型对其分类结果  从结果可以看到，10个对抗样本都被模型正确分类了，说明模型的鲁棒性较好，表明了对抗训练的有效性。  实验推荐：https://www.yijinglab.com/cour.do?w=1&c=CCIDaa5a-85bb-4c6d-90fa-d61c89e7a81c #参考 1.EXPLAINING AND HARNESSING ADVERSARIAL EXAMPLES 2.ADVERSARIAL TRAINING METHODS FOR SEMI-SUPERVISED TEXT CLASSIFICATION 3.Towards Deep Learning Models Resistant to Adversarial Attacks 4.https://zhuanlan.zhihu.com/p/104040055 5.https://zhuanlan.zhihu.com/p/166364358 6.https://github.com/1Konny/FGSM 7.https://github.com/ndb796/Pytorch-Adversarial-Training-CIFAR 8.https://github.com/zjfheart/Friendly-Adversarial-Training

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、AMD 芯片的电压故障攻击影响云环境 https://www.securityweek.com/voltage-glitching-attack-amd-chips-poses-risk-cloud-environments 2、英国国防部发布的招聘广告揭露了一个秘密黑客小组 https://securityaffairs.co/wordpress/121172/cyber-warfare-2/uk-ministry-of-defence-secret-hacking-squad.html 3、暗网市场 AlphaBay 在遭执法机构关闭4年后重新活跃 https://securityaffairs.co/wordpress/121143/deep-web/alphabay-marketplace-revamped.html 4、立陶宛外交部机密文件在暗网出售 https://securityaffairs.co/wordpress/121131/data-breach/lithuanian-ministry-of-foreign-affairs-data-leak.html 5、SynAck 勒索软件团伙为老受害者发布主解密密钥 https://securityaffairs.co/wordpress/121116/malware/synack-ransomware-decryption-keys.html 6、谷歌开源 Allstar 工具来保护 GitHub 存储库 https://securityaffairs.co/wordpress/121102/security/allstar-tool-open-source.html 7、研究人员发明了一种新的攻击技术可利用电源指示灯恢复设备声音 https://securityaffairs.co/wordpress/121158/hacking/glowworm-attack-spy-conversations.html 8、新版Mimikatz可从Windows 365 云 PC提取Azure 凭证 https://securityaffairs.co/wordpress/121124/hacking/windows-365-mimikaz-credentials.html 9、Facebook 为 Messenger 中的音视频通话添加端到端加密 https://thehackernews.com/2021/08/facebook-adds-end-to-end-encryption-for.html 10、研究人员发现针对苹果的新AdLoad恶意软件活动 https://www.zdnet.com/article/researchers-discover-new-adload-malware-campaigns-against-macs-and-apple-products/

*开幕灵魂拷问：你有对象吗？* 有的话看这里： 好了有对象的可以走了，单身的留一下，我再讲两点。 都说搞安全的头发少还没对象，那么跟着看下来的一定还有99.99%。 恰逢七夕，说什么都得送大伙儿一份礼物。请看：↓ 每周五固定节目又来了！倍受期待的《Weekly CTF》系列之<第二十六周 | Ez_unserialize>它在同一时间又见面了，这是一个免费的课程且每周有更新，大家可以多多关注。 没想到吧情人节蚁景网安室送的礼物是一道题！像不像暑假玩得正嗨的你被贴心好友送了一本《开心暑假》，往年情人节我们还送过实验，也送过双倍积分……我这个渣男怎么样，送礼一套一套的还不重样。 最后让我们回到找对象的主题，大家都知道解题有方法只是时间问题，但心仪对象的心能不能解开这个真的是谜。首先这句话的前一段我不信，要不我给你一道数学题？物理题也行。 解题只会得到答案，但在解题的过程中你会收获知识，从而变得更优秀。优秀的人都是相互吸引的，当你从不断地学习中获得进步，即使你初次心动的人没有和你在一起，你也会遇到跟现在优秀的你一起并肩的人。 本周的CTF练习题是反序列化方向的，结合实验描述给出的线索，开启变优秀之路吧！期待你们的精彩表现，率先做出来的也可以自己发布writeup或者解题视频，万一被官方看上说不定有小惊喜奖励呢！假如你真的解不出来或者对前面的CTF题感兴趣，我可以偷偷告诉你上B站搜关键字有惊喜发现噢~ 下周我们同一时间见！下个七夕我们都会有对象的！ 链接直达：https://www.yijinglab.com/expc.do?ec=ECID1fab-e5bd-473c-92b7-768737c0d4ee

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、微软确认（又一个）新的Print Spooler 漏洞-CVE-2021-36958 https://www.securityweek.com/microsoft-confirms-yet-another-printnightmare-flaw-ransomware-actors-pounce 2、趋势科技确认针对其 Apex One产品的在野零日攻击 https://www.securityweek.com/trend-micro-confirms-wild-zero-day-attacks 3、Magniber Ransomware利用PrintNightmare漏洞感染服务器 https://securityaffairs.co/wordpress/121076/malware/magniber-ransomware-printnightmare-exploits.html 4、攻击者正逐步归还从Poly Network 盗取的资产 https://securityaffairs.co/wordpress/121057/hacking/poly-network-hackers.html 5、研究人员发布CobaltSpam工具可破坏CobaltStrike 服务器 https://therecord.media/cobaltspam-tool-can-flood-cobalt-strike-malware-servers/ 6、Node.js 修复了可被远程域劫持的高危漏洞 https://portswigger.net/daily-swig/node-js-developers-fix-high-risk-vulnerability-that-could-allow-remote-domain-hijacking 7、假COVID疫苗卡在暗网上的销量激增 https://www.techrepublic.com/article/fake-covid-vaccine-card-sales-ramp-up-on-dark-web/ 8、AT&T实验室的Xmill实用程序被发现存在多个漏洞 https://blog.talosintelligence.com/2021/08/vuln-spotlight-att.html 9、非独立组网的5G 让手机暴露在 Stingray 监视之下 https://www.wired.com/story/5g-network-stingray-surveillance-non-standalone/ 10、西门子和施耐德电气发布补丁修复工控产品中的50多个漏洞 https://www.securityweek.com/august-2021-ics-patch-tuesday-siemens-schneider-address-over-50-flaws