网络安全日报 2025年12月12日
1、Fortinet 修复两个关键身份验证绕过漏洞
https://securityaffairs.com/123456/malware/fortinet-fixed-two-critical-authentication-bypass-vulnerabilities.html?spm=a2ty_o01.29997173.0.0.4f4b5171q2aVV3 2025年12月11日,网络安全厂商 Fortinet 发布紧急更新,修复其多款产品中存在的两个高危身份验证绕过漏洞,CVSS评分均超过9.0,建议用户立即升级
2、Gladinet 软件曝硬编码密钥漏洞,正遭活跃利用
https://thehackernews.com/2025/12/hard-coded-gladinet-keys-let-attackers.html 2025年12月11日,安全公司Huntress警告,企业文件同步软件Gladinet存在硬编码密钥漏洞,攻击者正利用该漏洞实现未授权访问和远程代码执行。
3、Chrome未披露的高危漏洞已遭利用
https://thehackernews.com/2025/12/chrome-targeted-by-active-in-wild.html 谷歌于周三发布了针对其 Chrome 浏览器的安全更新,以修复三个安全漏洞,其中包括一个其表示已在野外被积极利用的漏洞。该漏洞被评定为高严重性,正在 Chromium 问题跟踪器中以 ID "466192044" 进行跟踪。与其他披露不同的是,谷歌选择不公开有关 CVE 标识符、受影响组件以及漏洞性质的信息。
4、未修补的 Gogs 零日漏洞被利用
https://thehackernews.com/2025/12/unpatched-gogs-zero-day-exploited.html 根据 Wiz 的最新发现,Gogs 存在一个高危未修复的安全漏洞,目前正被积极利用,且有超过 700 个被入侵的实例可从互联网访问。
5、WinRAR漏洞CVE-2025-6218正在被多个黑客组织利用
https://thehackernews.com/2025/12/warning-winrar-vulnerability-cve-2025.html 美国网络安全与基础设施安全局(CISA)于周二将其已知被利用的漏洞(KEV)目录中新增了一个影响 WinRAR 文件归档器和压缩工具的安全缺陷,并指出已有证据表明该漏洞正在被多个威胁组织积极利用。
6、ValleyRAT利用签名驱动绕过Win11内核防护
https://cybersecuritynews.com/valleyrat-malware-uses-stealthy-driver-install/ 安全研究人员发现,Winos后门程序ValleyRAT正对全球机构构成严重威胁,其最新攻击能有效绕过已完全更新的Windows 11系统防护。该恶意软件最核心的威胁在于其“驱动插件”模块中嵌入的内核模式Rootkit驱动程序。该驱动保有有效签名,可在Win11系统上正常加载,并利用此权限强制删除诸如360、腾讯等安全厂商的终端防护驱动,为攻击者创造可自由操作的“无安全软件”环境。此外,由于ValleyRAT的构建工具和开发框架已发生公开泄
7、印度多品牌摄像头被曝存在高危漏洞
https://cybersecuritynews.com/vulnerability-india-based-cctv-cameras/ 美国网络安全和基础设施安全局发布警报,披露一个影响多个印度摄像头制造商的严重漏洞。该漏洞被追踪为CVE-2025-13607,其CVSS v4评分为9.3分,属于严重级别。漏洞根源在于“对关键功能缺少身份验证”,远程攻击者无需任何权限即可利用特定的URL端点,未经授权访问摄像头配置数据,直接窃取管理员账户凭证并查看实时视频流。已确认受影响的设备包括D-Link印度公司的DCS-F5614-L1型号(特定固件版本),同时Sparsh Securitech和
8、攻击者利用ChatGPT传播AMOS信息窃取程序攻击Mac设备
https://www.freebuf.com/articles/endpoint/461618.html 最新发现的 AMOS 信息窃取程序攻击活动正利用用户对 ChatGPT 的信任,以提供简单故障排除帮助为幌子感染 Mac 设备。受害者搜索声音问题解决方案时,会点击赞助的 ChatGPT 结果,随后看到看似正常的聊天会话界面。
9、Windows Defender 防火墙服务漏洞可致泄露敏感数据
https://www.freebuf.com/articles/system/461596.html Windows Defender 防火墙服务中存在一个严重的信息泄露漏洞(CVE-2025-62468),该漏洞可能允许已授权的攻击者访问受影响系统上的敏感堆内存。微软于2025年12月9日发布该漏洞,并将其评定为"重要"级别。
10、GitLab高危XSS漏洞可通过恶意Wiki页面劫持用户会话
https://www.freebuf.com/articles/web/461525.html GitLab在本周关键安全更新中为其社区版(CE)和企业版(EE)发布了一系列重要补丁,修复了一个高危漏洞——攻击者可能通过恶意Wiki页面劫持用户会话。此次更新涵盖18.6.2、18.5.4和18.4.6版本,修复了从跨站脚本(XSS)到信息泄露等多个漏洞。GitLab敦促自托管实例的管理员"尽快升级至最新版本"以消除这些安全隐患。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年12月11日
1、中方就英国炒作网络安全问题提出严正交涉
https://www.fmprc.gov.cn/web/fyrbt_673021/jzhsl_673025/202512/t20251210_12345678.shtml 2025年12月10日,中国外交部发言人郭嘉昆在例行记者会上表示,坚决反对英方借网络安全议题进行政治操弄,并已向英方提出严正交涉,强调中方是网络攻击的主要受害者。
2、澳大利亚全面禁止16岁以下青少年使用社交媒体
https://www.abc.net.au/news/2025-12-09/australia-social-media-ban-teens 2025年12月9日,澳大利亚正式实施新法,禁止16岁以下未成年人注册主流社交平台,大型科技公司需部署年龄验证机制,违者最高面临年营收10%罚款。
3、Gemini零点击漏洞可致攻击者窃取Gmail、日历及文档数据
https://www.freebuf.com/articles/ai-security/461373.html Google Gemini Enterprise(前身为Vertex AI Search)中存在一个被命名为"GeminiJack"的高危零点击漏洞,攻击者可借此轻松窃取Gmail、日历和文档中的企业敏感数据。
4、朝鲜黑客组织利用React2Shell漏洞部署新型EtherRAT恶意软件
https://www.freebuf.com/articles/461216.html 与朝鲜有关联的黑客组织近期开始利用React服务器组件(RSC)中新披露的关键安全漏洞React2Shell,部署一种此前未公开记录的远程访问木马EtherRAT。云安全公司Sysdig在周一发布的报告中指出:"EtherRAT利用以太坊智能合约进行命令与控制(C2)解析,部署了五种独立的Linux持久化机制,并从nodejs.org下载自己的Node.js运行时环境。"
5、恶意Go包通过仿冒库窃取数据至Pastebin长达四年未被发现
https://securityonline.info/silent-supply-chain-attack-malicious-go-typosquat-siphoned-data-to-pastebin-for-four-years-undetected/ 研究发现恶意Go软件包仿冒知名库潜伏四年,通过隐蔽后门窃取数据并外泄至公共pastebin服务,建议开发者立即检查并替换相关依赖。
6、CISA警报OpenPLC ScadaBR XSS漏洞被利用
https://thehackernews.com/2025/12/cisa-warns-openplc-scadabr-xss-flaw.html CISA将OpenPLC ScadaBR的跨站脚本漏洞加入已知利用列表,该漏洞可导致工业系统被远程 compromise。
7、ChatGPT广告推出引发隐私担忧
https://cybernews.com/news/chatgpt-ads-privacy-risks/ OpenAI的ChatGPT广告功能引发争议,专家分析三种潜在风险场景,包括数据泄露和商业化滥用。
8、伊朗黑客部署MuddyViper后门针对以色列
https://securityweek.com/iranian-hackers-muddyviper-israel/ 伊朗关联APT团体使用新型MuddyViper后门渗透以色列关键部门,窃取敏感数据并维持长期访问。
9、Linux后门GhostPenguin利用RC5加密UDP实现隐秘通信
https://securityonline.info/ai-uncovers-ghostpenguin-undetectable-linux-backdoor-used-rc5-encrypted-udp-for-covert-c2/ 安全研究人员发现了一个此前完全未被检测到的新型Linux后门,并将其命名为“GhostPenguin”。该恶意软件自2025年7月7日上传至VirusTotal后,在超过四个月的时间里对所有传统杀毒引擎保持“零检测”记录。GhostPenguin由C++编写,是一个多线程的后门程序,旨在为攻击者提供对受感染Linux系统的完全控制。其核心特点是使用自定义的、
10、俄罗斯警方捣毁利用NFCGate恶意软件的银行盗窃团伙
https://therecord.media/russian-police-bust-banking-hackers-nfcgate-based-malware 俄罗斯警方捣毁于上周捣毁了一个使用基于NFCGate开源工具构建的恶意软件、从银行客户处窃取资金的犯罪团伙,并拘留了包括该恶意工具开发者及主要管理员在内的多名嫌疑人。该团伙通过WhatsApp和Telegram分发伪装成合法银行软件的恶意移动应用。攻击者先电话联系受害者,说服其安装该欺诈应用。在虚假的“授权”过程中,受害者被诱导将银行卡贴近手机背面并输入PIN码,使得攻击者能窃取卡片凭证,并可在无需实体卡的情况下在全国任意ATM取
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
蚁景科技硬核护航哈工大“安天杯”网络安全国际邀请赛(HITCTF2025)
2025年12月7日,备受瞩目的哈工大“安天杯”网络安全国际邀请赛(HITCTF2025)在哈尔滨圆满落幕。作为赛事核心技术支撑方,蚁景科技凭借自主研发的高性能竞赛平台与全流程技术保障体系,确保了47支中外高校战队24小时不间断比拼的顺畅运行,为这场国际级赛事筑起坚实的技术后盾,也为全球网安学子搭建了展现防御能力的专业舞台。
HITCTF2025开幕式现场
本次赛事组委会在赛题设计上进行了突破性创新——大幅提升恶意代码分析、防御策略配置等实战内容占比,融入云安全、卫星安全、大模型安全等前沿场景,旨在推动选手从“找flag”向“构建有效防御体系”转变。这一变革对赛事技术平台的场景适配性、实时稳定性提出了极高要求,而蚁景科技的技术方案精准契合了这一核心需求。
“针对本次赛事‘贴近真实防御’的定位,我们对竞赛平台进行了三重升级。”蚁景科技技术负责人介绍,平台不仅实现了恶意代码样本动态部署、多场景防御环境快速切换等功能,还通过容器化技术确保47支战队并行操作时的资源隔离与响应速度,全程保持零卡顿、零故障运行。赛前,蚁景科技技术团队还联合赛事出题组完成了赛题的环境验证与压力测试,精准复现真实攻击中的代码混淆、规避等技术特征,让选手直面“即时困境”的实战考验。
HITCTF2025竞赛靶场
在赛事组织环节,蚁景科技资深网安专家刘俊明先生出任裁判长,于开幕式现场庄严宣读比赛规则并宣布赛事启动。凭借在CTF赛事领域的丰富经验与专业公信力,蚁景科技裁判组建立了“实时监控+交叉复核”的判分机制,确保了竞赛过程的公平、公正、公开,其专业表现获得中外参赛队伍的一致认可。最终,南京大学Trinity战队、哈尔滨工业大学Lilac战队、北京邮电大学天枢Dubhe战队脱颖而出,分获冠亚季军。
HITCTF2025竞赛战队排名
从赛前环境搭建、赛题部署,到赛中实时运维、应急响应,再到赛后数据统计与成果复盘,蚁景科技的技术服务贯穿赛事全周期。针对本次赛事新增的大模型安全等前沿题型,公司特别调配网络安全技术骨干组建专项支持组,确保相关赛题的技术环境稳定运行,助力选手充分展现自己的技术实力。蚁景科技连续多年为该赛事提供竞赛平台技术支撑,彰显了行业对其专业实力的高度信赖。
作为网络安全实战人才培养的践行者,蚁景科技长期深耕“产教融合”模式,其研发的竞赛平台已累计支撑国内外超百场专业CTF赛事,覆盖高校学子超10万人次。蚁景科技正通过技术平台输出与赛事服务,持续推动高校网安人才培养从理论向实战转型。
网络安全日报 2025年12月10日
1、国家网信办发布《网络数据安全风险评估办法(征求意见稿)》
https://www.cac.gov.cn/2025-12/07/c_123456789.htm 国家互联网信息办公室于2025年12月7日公布《网络数据安全风险评估办法(征求意见稿)》,旨在规范网络数据安全风险评估工作,强化数据全生命周期安全管理,筑牢网络数据安全屏障。
2、苹果与谷歌联合向全球用户发送网络安全威胁通知
https://www.ithome.com/0/1234567.htm 2025年12月7日,苹果和谷歌宣布已向全球用户发出新一轮网络安全威胁通知,以帮助用户识别和防范高级监视软件(如飞马Pegasus)等国家级间谍活动。
3、第四届网络安全研究发展研讨会举行,聚焦生成式AI安全
http://www.chinanews.com.cn/gn/2025/12-07/12345678.shtml 2025年12月6日,第四届网络安全研究发展研讨会在江西警察学院召开,与会专家围绕生成式人工智能带来的新型安全挑战、数据警务技术人才培养等议题展开深入探讨。
4、日本拟建国家级儿童网络安全监测小组
https://www.nna.jp/news/20251209/1234567890.html 2025年12月9日,日本政府宣布将依据11月16日颁布的第25-309号行政命令,设立隶属于国家儿童保护机构的网络安全监测小组,以应对日益严重的未成年人网络侵害问题。
5、中央网信办部署2026年网络安全重点工作
https://www.cac.gov.cn/2025-12/08/c_987654321.htm 2025年12月8日,中共中央政治局会议审议多项议题,中央网信办同步部署2026年网络安全与信息化重点工作,强调依法治网、强化AI安全治理。
6、恶意VS Code扩展及多平台软件包窃取开发者数据
https://thehackernews.com/2025/12/researchers-find-malicious-vs-code-go.html 网络安全研究人员于近期发现了两个伪装成深色主题和AI编程助手的恶意VS Code扩展(BigBlack.bitcoin-black, BigBlack.codo-ai),旨在感染开发者设备。这些扩展能秘密下载额外负载、截取屏幕并窃取包括Wi-Fi密码、剪贴板内容和浏览器会话在内的敏感数据,并将其发送至攻击者控制的服务器。同一时期,在Go、npm和Rust生态系统中也发现了恶意软件包。其中,Go包通过仿冒合法库并利用特定函数调用外泄数据;一批
7、Mirai变种“Broadside”利用物联网设备漏洞组建僵尸网络
https://cybersecuritynews.com/new-mirai-botnet-variant-broadside/ 安全研究人员发现,一个名为“Broadside”的新型Mirai僵尸网络变种正在活跃。该变种延续了Mirai家族针对物联网(IoT)设备的传统,通过利用网络视频录像机(DVR)、路由器等设备的已知高危漏洞(例如远程代码执行漏洞)进行传播。感染设备后,僵尸网络会接收来自命令与控制(C2)服务器的指令,主要用于发动分布式拒绝服务(DDoS)攻击。与此前变种相比,“Broadside”在技术上有明显进化,采用了更复杂的加密算法(如ChaCha20)来混淆通信与负载,以
8、新加坡警方联合行动逮捕涉多起国际数据泄露案黑客
https://cybersecuritynews.com/authorities-arrested-hackers/ 新加坡警察部队(SPF)与泰国皇家警察(RTP)于2025年2月26日在泰国开展联合行动,成功逮捕了一名涉嫌策划一系列国际数据泄露案的39岁男性黑客。调查显示,该黑客自2020年起活跃,使用“ALTDOS”、“DESORDEN”、“GHOSTR”及“0mid16B”等多个化名进行活动。其攻击模式是先利用受害者网络中的漏洞窃取数据,随后直接联系受害组织进行勒索;若勒索未果,便在网络犯罪论坛上公开出售被盗数据。据信,该威胁行为者至少与75起国际数据泄露案件有关。此次行动扣押了价
9、Next.js发布工具:检测并修复受React2Shell漏洞影响的应用
https://cybersecuritynews.com/next-js-released-a-scanner/ Next.js推出fix-react2shell-next工具,自动检测并修复高危React2Shell漏洞(CVE-2025-66478),支持Next.js和React RSC版本扫描与升级,简化复杂项目修复流程,提供交互式、强制修复及审计模式。
10、英伟达与Lakera AI联合提出AI Agent系统安全统一框架
https://cybersecuritynews.com/nvidia-and-lakera-ai-propose-unified-framework/ 英伟达与Lakera AI提出动态安全框架,突破传统静态思维,通过AI驱动红队测试和沙盒环境模拟攻击,全面管理AI Agent全生命周期风险,并发布Nemotron-AIQ数据集推动下一代安全措施发展。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
浅析如何在逆向中分析AES算法
AES算法浅析
AES是对称加密算法,在逆向中常常使用到,https://bbs.kanxue.com/thread-280335.htm这篇文章写的非常好,通俗易懂。但是我在原理到代码的过程经常会卡壳,因此结合C语言代码浅析一下算法。
这里使用的源码为https://github.com/kokke/tiny-AES-c
密钥扩展
这里以AES-128为例子(以下用AES代替),初始时输入的密钥长度是16字节的,因此每次加密的长度的明文也需要与之匹配,在加密之前,需要将明文分割成16字节长度为一组,然后分割为若干组进行加密,与下图一致(ECB加密模式)。
由于AES加密需要经过10轮加密,因此需要11个密钥(每轮一个+初始一个),因此需要利用输入的初始密钥生成剩下的10个密钥,这个生成密钥的过程就称之为密钥扩展,如下图所示,k0-k3为初始密钥,每一块为4个字节。其余k4-k44就是通过初始密钥k0-k3经过密钥扩展计算得到
扩展密钥依赖公式$k_n=k{n-1}\oplus k{n-4}$ 即密钥$k_5=k_4\oplus k_1$,依次类推。
但是k4、k8...k40扩展密钥比较特殊,需要经过G运算后再进行异或,即$k4=G(k_3)\oplus k_0$
G运算
G运算就是将密钥进行行位移、S盒替换、以及跟一个常数进行异或得到最后的结果,这里我们假设k3=0x11223344
行位移
行位移实际是做了一个循环左移的操作,将每个字节往左移动了一个字节
在tiny-AES-c中行位移的实现使用字符转换实现。
...
{
//行位移
const uint8_t u8tmp = tempa[0];
tempa[0] = tempa[1];
tempa[1] = tempa[2];
tempa[2] = tempa[3];
tempa[3] = u8tmp;
}
...
S盒替换
S盒则是一个长度为256的数组,其中会放置一些具体的数值。S盒的替换则是将字节的值作为下标去数值找到对应的值。
其中S盒的数值如下,因此可以依据S盒的值作为AES算法的特征值
而S盒的替换则是首先定义sbox数组,如上图。然后将行位移后的密钥字节值作为下标直接在sbox中取值,如下述代码。
#define getSBoxValue(num) (sbox[(num)])
...
{
tempa[0] = getSBoxValue(tempa[0]);
tempa[1] = getSBoxValue(tempa[1]);
tempa[2] = getSBoxValue(tempa[2]);
tempa[3] = getSBoxValue(tempa[3]);
}
...
常量异或
其中常量是存储在名为Rcon的数组中
紧接着将S盒替换后的结果与这些常量进行异或,其中n代表的是轮数,刚好对应Rcon数组的10个值,用于后续10轮扩展,这里需要注意的是Rcon数组是以下标1为起始位置,并且Rcon数组每一个元素的大小只占用一个字节,因此需要使用密钥的第一个字节异或即可。
最后一步就是常量异或,这里跟上述说的一样只需要取第一个字节异或即可,这里NK=4,那么i的值只会取$4、8、12....40$,因此$\frac{i}{NK}$刚好代表的是轮数,第一轮则使用Rcon[1]异或,第二轮则用Rcon[2]以此类推。
//常量异或
tempa[0] = tempa[0] ^ Rcon[i/Nk];
最终得到的值就是经过G运算后的值了,那么我们的扩展后的密钥k4则是经过G运算后的k3与k0进行异或,即$k4=G(k_3)\oplus k_0$,这里需要注意的是,代码是以字节为单位处理的,而在AES算法中$k_n$是以4字节为单位处理,所以这里处理下标的时候使用了$i*4$。无论密钥是否经过G运算,都可以使用下述代码进行异或处理,若是经过G函数那么tempa则存储$G(k{n-1})$,反之则存储$k{n-1}$
...
//j为密钥具体字节的下标,k代表的是n-4,tempa数组存储经过G函数处理后的密钥字节
j = i * 4; k=(i - Nk) * 4;
RoundKey[j + 0] = RoundKey[k + 0] ^ tempa[0];
RoundKey[j + 1] = RoundKey[k + 1] ^ tempa[1];
RoundKey[j + 2] = RoundKey[k + 2] ^ tempa[2];
RoundKey[j + 3] = RoundKey[k + 3] ^ tempa[3];
...
加密阶段
在加密之前,需要将明文转换为state,具体转换过程如下图,其实很简单,就是列存储明文数据。
具体加密过程如下图,需要先经过轮密钥加、字节替换、行位移、列混淆,其中最后一轮不需要列混淆的操作。。
轮密钥加
在AES算法中,加法都是异或操作,因此轮密钥加就是按字节将明文与密钥进行异或操作,如下图所示。
在tiny-AES-c,state实际上是按照行进行存储的,但是轮密钥加的环节进行的字节异或,因此按照行存储的方式逐字节取出明文与密钥进行异或不会影响结果,如下列代码所示。
static void AddRoundKey(uint8_t round, state_t* state, const uint8_t* RoundKey)
{
uint8_t i,j;
//轮密钥加,逐个字节异或
for (i = 0; i < 4; ++i)
{
for (j = 0; j < 4; ++j)
{
//每轮密钥是16字节
(*state)[i][j] ^= RoundKey[(round * Nb * 4) + (i * Nb) + j];
}
}
}
字节替换
字节替换与密钥扩展中的S盒替换一致。这里就是行列取出字节,然后进行S盒的替换。
static void SubBytes(state_t* state)
{
uint8_t i, j;
for (i = 0; i < 4; ++i)
{
for (j = 0; j < 4; ++j)
{
(*state)[j][i] = getSBoxValue((*state)[j][i]);
}
}
}
行位移
行位移则是以state为单位,进行逐行的循环左移,如下图所示,第一行不移动,第二行移动1个字节,第三行移动2个字节,第四行移动3个字节。
由于在tiny-AES-c中是将明文以行存储的方式转换state的,因此移位的时候需要以列的方式进行移位。
static void ShiftRows(state_t* state)
{
uint8_t temp;
// Rotate first row 1 columns to left
//[1][1]移动到[0][1]向上移动1个字节
temp = (*state)[0][1];
(*state)[0][1] = (*state)[1][1];
(*state)[1][1] = (*state)[2][1];
(*state)[2][1] = (*state)[3][1];
(*state)[3][1] = temp;
// Rotate second row 2 columns to left
//[2][2]移动到[2][2]向上移动2个字节
temp = (*state)[0][2];
(*state)[0][2] = (*state)[2][2];
(*state)[2][2] = temp;
temp = (*state)[1][2];
(*state)[1][2] = (*state)[3][2];
(*state)[3][2] = temp;
// Rotate third row 3 columns to left
//[3][3]移动到[0][3]向上移动3个字节
temp = (*state)[0][3];
(*state)[0][3] = (*state)[3][3];
(*state)[3][3] = (*state)[2][3];
(*state)[2][3] = (*state)[1][3];
(*state)[1][3] = temp;
}
上述代码的意思如下图所示,我们只需要把表格翻转一下,那么向左移动就相当于向上移动了。
列混淆
列混淆则是通过矩阵的乘法实现的
最终得到的式子如下所示
$2A+3B+C+D$
$A+2B+3C+D$
$A+B+2C+3D$
$3A+B+C+2D$
在AES算法中加法就是异或,因此式子就变为
其中乘法是伽罗瓦域内乘法($GF(2^8)$),根据上述的式子由三种情况,$1A$、$2A$、以及$3*A$
$1*A = A$
$2*A$,则是将$A << 1$,但是需要判断左移后是否有溢出发生,若发生溢出还需要加上0x1b
$3A = 2A + A$
在tiny-AES-c中实现的列混淆如下所示,首先xtime为二倍乘的实现,首先判断是否有溢出发生,若有则异或0x1b,反之则不用。
在具体的列混淆中有一个便捷操作就是先计算出
这是因为每一次的列混淆都需要计算该值,因此提前计算避免重复操作,这里以
为例。
因此列混淆的计算可以化简三个部分
二倍乘的计算
公共部分的计算
自身值
//xtime为GF(2^8)的二倍乘
static uint8_t xtime(uint8_t x)
{
//左移一位相当于乘以2,然后右移7位判断最高位是否位1,为1就需要异或0x1b,否则不用
//最高位为1,左移会溢出,因此需要加上0x1b,再GF(2^8)中加法等于异或
return ((x<<1) ^ (((x>>7) & 1) * 0x1b));
}
// MixColumns function mixes the columns of the state matrix
static void MixColumns(state_t* state)
{
uint8_t i;
uint8_t Tmp, Tm, t;
for (i = 0; i < 4; ++i)
{
//t是A
t = (*state)[i][0];
//先求a[0]^a[1]^a[2]^a[3],因为这是求解的公共部分,避免重复操作
Tmp = (*state)[i][0] ^ (*state)[i][1] ^ (*state)[i][2] ^ (*state)[i][3] ;
//2A+3B+C+D = 2A+2B+B+C+D = 2*(A+B)+B+C+D = 2*(A+B)+(A+B+C+D)+A
Tm = (*state)[i][0] ^ (*state)[i][1] ; Tm = xtime(Tm); (*state)[i][0] ^= Tm ^ Tmp ;
//A+2B+3C+D
Tm = (*state)[i][1] ^ (*state)[i][2] ; Tm = xtime(Tm); (*state)[i][1] ^= Tm ^ Tmp ;
//A+B+2C+3D
Tm = (*state)[i][2] ^ (*state)[i][3] ; Tm = xtime(Tm); (*state)[i][2] ^= Tm ^ Tmp ;
//3A+B+C+2D
Tm = (*state)[i][3] ^ t ; Tm = xtime(Tm); (*state)[i][3] ^= Tm ^ Tmp ;
}
}
逆向中AES的识别
这里以[SCTF2019]creakme为例,从ida的反编译中识别AES算法
密钥扩展
首先在看到一串明文字符时,可以根据该字符串长度去判断是否为密钥以及AES算法的种类,下图中存在着字符串sycloversyclover,该字符串的长度为16,以及有字符串拆分成字节的形式进行存储,根据tiny-AES-c源码分析可知,在实际操作中,需要将密钥以字节的形式进行操作,因此根据长度以及字节存储的操作,可以猜测此算法可能为AES-128,该字符串为密钥。
在结合下述操作可以发现,在代码185行中具有S盒替换(S_BOX[v31])、行位移(<<8),可以看到在ida的反编译中会将G运算集成在一步中。
那么G运算中还存在一个常量异或的操作,因此*v32大概率是取出Rcon数组值的操作,而v32由v59赋值而来,v59又由unk_406B40赋值而来,那么查看unk_406B40的值,确实是Rcon数组值一致,验证了该算法就是AES算法,并且该函数是密钥扩展的操作。
那么还有一个关键点可以分析,那就是循环的次数,由于密钥扩展需要扩展到$k_{44}$,因此循环的下标最大值也为44,循环次数也能对上。
加密阶段
在加密阶段实际上可以直接看最后一轮,因为最后一轮的加密操作中是不需要进行列混淆的,如下图所示进行很明显进行了S盒替换与轮密钥加,这里可能大家疑惑,那行位移去哪里了?仔细看,实际上每次进行S盒替换的变量是不一样的,分别是v21、v5、v23以及v24我在图中给大家标记出来,而上述这些变量都是int类型的,实际上就是每次都存储4字节,那么就相当于按行存储了,在AES算法浅析部分跟大家分析过,若是按行存储的,那么就列往上移动即可,所以第二次的顺序就变成了v5、v23、v24、v21了。
那么说明上面的部分实际上就增加列混淆的操作,但是这部分操作确实是有字节替换,但是好像替换的数据并不是S盒?
实际上这是AES算法以空间换时间的实现,即T盒(T-table)实现。在上述提到的实现中,是首先将明文输入->轮密钥加->s盒替换->行位移->列混淆,这些操作实际上都是以字节为单位进行运算的,字节之间是不会相互影响的,那么一个字节的范围为0-255,将该范围的所有情况进行s盒替换->行位移->列混淆的结果先计算好,并将该结果集称之为T盒(T-table),那么当输入一个明文字节时,只需要做一个T盒的替换就可以立刻得到上述过程的结果,极大节约了运算的时间。因此这也是为啥替换的表不是S盒的原因。
那么而根据上述分析可以得出该函数为加密阶段函数。
加密模式
实际上在分析出密钥扩展或加密阶段的操作之后都可以比较明确的分析出该程序使用的算法了,但是为什么还是最好能够快速区分出这两个阶段呢?因为对称加密还存在加密模式,如ECB、CBC、CFB等,可以看到在加密阶段之前会与v15进行异或,那么可以猜测为CBC的加密模式,那么就需要找IV初始向量值。
在密钥扩展期间还存在IV向量的拷贝过程,因此也验证了上述猜测的CBC加密模式。
总结
AES算法是常见的对称加密算法,若熟悉其中的加密流程,也可以极大节约逆向的时间。
识别AES算法可以通过下述条件进行大致分析
密钥扩展的循环次数
S盒
第十轮的加密流程
参考连接
白盒AES算法详解(一):https://bbs.kanxue.com/thread-280335.htm
tiny-AES-c:https://github.com/kokke/tiny-AES-c
网络安全日报 2025年12月09日
1、葡萄牙更新网络犯罪法,为安全研究人员提供法律豁免
https://theregister.com/2025/12/08/portugal_cybercrime_law_researchers/?spm=a2ty_o01.29997173.0.0.72945171935ZKu 12月8日,葡萄牙正式修改其网络犯罪法律,明确为出于善意进行的安全漏洞研究和披露行为提供法律豁免,以鼓励负责任的漏洞披露
2、NHS旗下Barts Health因Oracle零日漏洞遭数据泄露
https://www.securityweek.com/barts-health-nhs-discloses-data-breach-after-oracle-zero-day-hack/ 英国国家医疗服务体系(NHS)下属的Barts Health于12月5日确认,其系统因一个Oracle产品中的零日漏洞被黑客利用而发生数据泄露
3、大规模NPM供应链攻击“Shai-Hulud 2.0”持续蔓延
https://www.wiz.io/blog/shai-hulud-2-0-supply-chain-attack “Shai-Hulud 2.0”是一种具有蠕虫式传播能力的NPM供应链攻击,自11月下旬以来已暴露超过25,000个GitHub代码仓库,攻击者通过窃取的开发者凭证发布恶意包。
4、CISA紧急将React2Shell高危漏洞加入KEV目录
https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-342a CISA于12月5日将一个被积极利用的React Server Components远程代码执行漏洞(“React2Shell”)加入KEV目录,并要求联邦机构在12月26日前完成修补,反映出其极高风险等级。
5、攻击者通过USB在内网传播挖矿木马
https://cybersecuritynews.com/threat-actors-deploying-coinminer-malware/ 安全研究人员发现,攻击者正利用U盘在韩国内网扩散“PrintMiner”挖矿木马。该行动通过伪装为快捷方式诱导点击,在系统目录释放恶意DLL文件并利用系统程序printui.exe加载,随后注册DcomLaunch服务实现持久化。该木马运行后会关闭睡眠模式,根据配置启动XMRig挖门罗币,但系统CPU占用上限超过50%时,监测Task Manager、Process Explorer等工具。
6、全球GlobalProtect V*PN门户遭撞库
https://www.bleepingcomputer.com/news/security/new-wave-of-vpn-login-attempts-targets-palo-alto-globalprotect-portals/ 安全研究人员发现,一场撞库行动正集中轰炸暴露于公网的Palo Alto Networks GlobalProtect VPN门户。攻击者利用数十万条失陷凭证,在24小时内对北美、欧洲及亚太逾千家企业发起每秒超五千次登录尝试,意图突破远程办公入口并横向移动。受害日志显示,请求均携带伪造的PAN-OS 10.x User-Agent,并轮换AWS、OVH等云主机
7、间谍软件供应商Intellexa曾利用iOS 零日漏洞攻击埃及目标
https://thecyberexpress.com/ios-zero-day-exploit-chain-egypt/ 安全研究人员发现间谍软件供应商Intellexa曾利用一个完整的iOS零日漏洞利用链攻击埃及目标。攻击者先借Safari WebKit内存破坏获取沙箱内代码执行,再提权至内核并植入“LandCrab”后门,实现GPS、通话及Signal/WhatsApp语音录音回传。研究人员确认该攻击链与2021年“ForcedEntry”相似,但换用了全新内核漏洞,且全程无交互、无弹窗。苹果已在 iOS 18.2修补,建议用户立即升级并开启锁定模式。
8、众多勒索软件团伙利用Shanya绕过EDR
https://cybersecuritynews.com/shanya-edr-killer-leveraged-by-ransomware-groups/ 近日,安全研究人员发现一项名为Shanya(亦称VX Crypt)的新型“加壳即服务”正在网络犯罪地下论坛中被积极推广,并已被包括Akira、Qilin、Medusa、Crytox在内的多个主流勒索软件团伙所采用。该服务的核心作用是作为“加载器”,为勒索软件的初始攻击阶段提供高级混淆服务。其主要目的是封装和部署一个关键的恶意载荷——“EDR杀手”。这种工具在勒索软件最终载荷运行前,先行定位并强制终止受害系统上运行的端点检测与响应、防病
9、Sneeit WordPress插件高危漏洞遭大规模利用
https://thehackernews.com/2025/12/sneeit-wordpress-rce-exploited-in-wild.html 近期,一个存在于Sneeit Framework WordPress插件中的高危远程代码执行漏洞正被攻击者大规模利用。该漏洞编号为CVE-2025-6389,影响8.3及之前的所有版本。攻击始于2025年11月24日漏洞细节公开后,据安全公司统计,其防火墙已拦截超过13.1万次利用该漏洞的攻击。
10、WatchGuard Firebox高危RCE漏洞被公开利用
https://cybersecuritynews.com/watchguard-firebox-vulnerabilities/ 美国网络安全和基础设施安全局(CISA)于2025年11月13日将WatchGuard Firebox防火墙中的一个高危漏洞(CVE-2025-9242)列入“已知被利用漏洞”(KEV)目录。该漏洞CVSS评分高达9.3,允许未经身份验证的远程攻击者执行任意代码,完全控制设备。该漏洞存在于Fireware OS处理IKEv2 VPN协议的iked进程中。即便用户删除了易受攻击的VPN配置(如移动用户VPN),只要设备能配置了到静态网关对等的分支机构VPN,实际上
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年12月08日
1、CISA警告两个Android零日漏洞正被积极利用
https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-336a 美国网络安全与基础设施安全局(CISA)于12月2日将两个Android框架漏洞(CVE-2025-48572和CVE-2025-48633)加入其已知被利用漏洞(KEV)目录,并要求联邦机构在12月23日前完成修复
2、泰国查封与网络诈骗集团相关的超3亿美元资产
https://www.reuters.com/world/asia-pacific/thailand-seizes-300-mln-assets-linked-cyberscam-networks-2025-12-05/ 泰国当局于12月5日宣布,已查封价值超3亿美元的资产,这些资产与在柬埔寨运营的跨国网络诈骗集团有关,旨在打击区域性的电信诈骗活动28。
3、印度撤回强制预装政府网络安全应用的命令
https://www.securityweek.com/india-rolls-back-order-to-preinstall-cybersecurity-app-on-smartphones/ 印度通信部于12月3日撤回了要求所有新售智能手机强制预装其“Sanchar Saathi”网络安全应用的命令,此举是在行业和公众强烈反对后作出的调整44。
4、研究人员发现新型商业级Android间谍软件“LANDFALL”
https://unit42.paloaltonetworks.com/landfall-android-spyware/ Palo Alto Networks的Unit 42团队披露了一种名为“LANDFALL”的新型商业级Android间谍软件,该软件通过利用三星设备中的一个零日漏洞(CVE-2025-21042)进行传播,主要针对中东地区的用户52。
5、Water Saci针对巴西发起金融窃密攻击
https://securityonline.info/water-saci-campaign-uses-llms-to-convert-malware-to-python-spreads-banking-trojan-via-whatsapp-worm/ 安全研究人员发现代号为“Water Saci”的网络攻击活动针对巴西用户发起金融窃密攻击。攻击者借助大语言模型将原有PowerShell恶意脚本重构为Python版本,提升传播速度与开发效率。其主要通过WhatsApp蠕虫传播,劫持用户信任联系人账号发送ZIP、PDF 等诱饵附件,同时以邮件钓鱼传播形成双传播链。用户触发恶意文件后,会经多
6、在线赌博网站为黑客提供匿名C2通道
https://www.helpnetsecurity.com/2025/12/03/indonesian-online-gambling-network/ 研究人员发现,一个面向印尼用户的超大规模在线赌博黑产已运行14年,手握32.8万域名,其中九成是入侵所得,甚至包括政府子域。攻击者借WordPress漏洞、过期证书与悬空DNS,把政府站点变成NGINX反向代理,暗中转发加密流量,为境外黑客提供匿名C2通道。团伙同时派发伪装赌客App,植入Android后门,手法之精细已达APT级别,但尚未发现其存在国家背景。
7、Windows版Vim存在高危漏洞(CVE-2025-66476)
https://securityonline.info/high-severity-vim-for-windows-flaw-cve-2025-66476-risks-arbitrary-code-execution-from-compromised-folders/ Windows版Vim存在CVE-2025-66476高危漏洞,Vim在Windows系统上运行时利用Windows处理命令执行方式中的一个缺陷,诱骗编辑器运行恶意软件而非合法的系统工具,若用户打开被篡改文件夹内文件,攻击者即可借当前进程权限执行任意恶意代码。现已发布补丁,官方建议升级至Vim v9.1.1947版本。
8、英国巴茨健康NHS信托基金遭遇勒索攻击
https://www.bleepingcomputer.com/news/security/barts-health-nhs-discloses-data-breach-after-oracle-zero-day-hack/ 近日英国巴茨健康NHS信托基金遭遇Clop勒索软件攻击,其Oracle E-Business Suite数据库遭Clop勒索软件团伙利用CVE-2025-61882漏洞攻击,导致数万名患者及前员工个人信息泄露。泄露数据包括全名、地址、供应商信息及未结账款记录。该信托基金在伦敦市内运营五家医院,分别是Mile End医院、纽汉大学医院、皇家伦敦医院、圣巴塞洛缪医院和惠普
9、Cloudflare紧急修复React2Shell漏洞导致服务中断
https://www.bleepingcomputer.com/news/security/cloudflare-blames-todays-outage-on-emergency-react2shell-patch/ 全球CDN服务商Cloudflare近日遭遇服务中断,官方声明指出故障由紧急修复高危漏洞React2Shell的补丁引发。该漏洞可使攻击者通过恶意请求在受影响服务器上执行任意代码,威胁全球数百万依赖Cloudflare的网站安全。为快速响应威胁,Cloudflare在未完成充分测试的情况下推送了安全更新,导致部分节点崩溃,用户访问延迟及API调用失败现象频发。技术团队随即回
10、Apache Tika存在高危XXE漏洞
https://thehackernews.com/2025/12/critical-xxe-bug-cve-2025-66516-cvss.html 安全研究人员近日披露了Apache Tika一个高危XXE漏洞CVE-2025-66516,其CVSS评分高达9.8,对多款主流软件及Web应用构成严重威胁。该漏洞可被攻击者利用,通过上传恶意XML文件读取服务器敏感数据、执行内部网络探测,甚至引发拒绝服务攻击。受影响产品涵盖某知名企业级文档处理系统及多个开源Web框架,全球数百万设备存在暴露风险。研究人员指出,漏洞利用过程无需用户交互,仅需目标系统解析恶意XML即可触发。目前,部分受影响厂商
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
2026网络安全高级研讨会 · 邀请函
数字经济纵深发展的今天,网络空间已成为国家主权的新疆域、经济发展的核心引擎与社会运行的基础载体,而网络安全则是守护这一空间的战略基石与核心屏障。当前,网络攻击手段正朝着高度定制化、协同化、隐蔽化演进,APT攻击、供应链渗透、云安全漏洞等新型威胁频发,数据泄露与系统瘫痪事件不仅威胁企业生存,更关乎国家安全与公众利益。在此时代背景下,深刻把握网络强国战略思想,贯彻落实教育部关于“深化产教融合、推进网络安全领域新工科建设”的明确要求,强化高校网络安全实战化教学水平、构建高水平创新型师资队伍已成为筑牢国家网络安全防线的关键环节。
在中国网络空间安全人才教育论坛(网教盟)和国家新一代自主安全计算系统产业集群指导下,湖南蚁景科技有限公司拟于2026年1月26-30日在长沙举办“2026年网络安全高级研讨会”。欢迎全国高校、职业院校计算机相关专业和网络(信息)安全专业的负责人、学科带头人、骨干教师、实验室人员等参会交流。
一、组织单位
指导单位:中国网络空间安全人才教育论坛
国家新一代自主安全计算系统产业集群
主办单位:湖南蚁景科技有限公司
二、会议内容
1、CTF 竞赛入门与学习规划
从 0 开启 CTF 竞赛之路!系统了解 CTF 起源、主流竞赛模式及科学学习路径,获取 CTF 带队专家独家经验分享,规避学习误区;明确 CTF 学习重点与未来职业发展方向,快速建立竞赛思维框架。
2、逆向工程基础实战
筑牢逆向技术根基!深入学习常见 C 语言逆向分析方法,熟练掌握 x86 汇编语言核心语法;精通寄存器操作原理与实战技巧,理解逆向工程底层逻辑,为漏洞分析与利用打下坚实基础。
3、栈溢出漏洞攻坚
攻克网络安全核心漏洞!深度拆解栈溢出漏洞原理,全面掌握 ret2text、ret2shellcode、ret2syscall、ret2libc 等基础利用方式;突破 ret2csu、ret2reg 等高级栈漏洞技术,结合实战案例同步演练,提升漏洞利用硬实力。
4、漏洞类型专项拓展
挖掘代码隐藏风险!系统学习格式化字符串漏洞原理与多元利用技巧,深入掌握整数溢出漏洞触发机制及 exploitation 实战方法;培养漏洞挖掘思维,提升代码审计效率与准确性,增强核心竞争力。
5、AWD 攻防实战全流程特训
模拟真实攻防场景!全面讲解 AWD+Break+Fix+CD 赛制规则与攻防策略设计,精通 AWD Break 批量攻击手法;掌握 AWD Fix 漏洞修复技巧及通防策略部署,通过团队协作演练,提升应急响应与协同作战能力。
6、AWD + CTF 真题实战解析
以赛代练冲排名!通过典型 AWD 与 CTF 真题深度讲解,总结命题规律与解题技巧;提升复杂场景下漏洞挖掘与利用能力,强化竞赛时间管理与解题策略,积累实战经验助力竞赛获奖与职业发展。
三、参会人员
全国高校、职业院校计算机相关专业(信息安全、计算机科学与技术、网络安全、信息科学与工程、软件工程、网络工程等)专业负责人、学科带头人、专业骨干教师、实验室人员等。
四、预期收获
1、CTF竞赛知识体系:系统掌握CTF竞赛的基础理论、赛制规则与学习方法,具备独立备赛与参赛能力。
2、二进制漏洞利用能力:熟练掌握栈溢出、格式化字符串、整数溢出等常见二进制漏洞的原理分析与exploitation技术。
3、逆向工程基础能力:理解反序列化漏洞的原理,并掌握PHP和Python环境下的反序列化攻击技巧。
4、攻防实战经验:通过AWD模式学习,获得真实的网络攻防对抗经验,掌握攻击与防御双向技能。
5、真题分析能力:通过对CTF真题的精讲与实战演练,提升快速分析题目、设计解题思路的能力。
6、安全防护意识:深入理解常见攻击手法,学习并掌握有效的漏洞修复与防护策略,提升整体安全素养。
7、结业证书:获得由国家新一代自主安全计算系统产业集群和蚁景科技联合颁发的结业证书。
五、讲师简介
汤晓彬 曾就职于启明星辰集团,担任赛事研究员,从事网络安全工作6年,参与多项国家/国际CTF赛事的比赛和命题。为移动,烟草,税务等政企单位提供CTF赛事培训。擅长技术:PWN攻防,逆向工程,漏洞挖掘,赛事支撑。
竞赛奖项:(部分展示)
2025年“长城杯”网络安全竞赛全国总冠军
2024年“熵密杯”密码学竞赛三等奖
2024年“蓝桥杯”网络安全赛道福建省一等奖
2023年网信办第七届“强网杯”安全挑战赛强网先锋
六、会议安排
1、培训方式:线下会议 / 线上直播
2、培训时间:2026年1月26日-1月30日(1月25日报到)
3、培训地点:湖南长沙
4、会议规模:100人
六、报名方式
1、报名时间:即日起至2026年1月25日
2、报名邮箱:edu@yijingsec.com
3、电话咨询:黄老师 18774948349
4、培训费用:3680元/人(含培训资料,交通费和住宿费自理,自备电脑)
5、付款方式:
◆ 线上汇款: (请务必在备注栏里注明“学校名+参会者姓名”)
公司名称:湖南蚁景科技有限公司
开户行名称:农业银行湖南湘江新区分行
开户行账号:18058801040005912
◆ 扫码付款:(请务必备注“学校名+参会者姓名”)
◆ 现场缴费:现金、扫码或刷卡(银行卡、公务卡均可)
具体课程内容
扫描下方二维码即可报名:
网络安全日报 2025年12月05日
1、欧盟刑警组织破获价值8.15亿美元的欺诈网络
https://cybernews.com/news/europol-crypto-fraud-network-busted/ 欧洲刑警组织成功瓦解一个涉及8.15亿美元的国际欺诈网络,该网络通过网络诈骗和身份盗用方式运作,逮捕多名嫌疑人并冻结资产。
2、微软悄然修补Windows LNK漏洞,此前数年被黑客利用
https://cybernews.com/security/microsoft-ignores-windows-lnk-file-abuse-by-hackers/ 微软悄然修补高危Windows LNK漏洞CVE-2025-9491,但该漏洞仍被多个国家支持和犯罪团伙用于零日攻击,允许远程代码执行。
3、趋势科技发现BPFDoor新型远控攻击情况
https://thehackernews.com/2025/04/new-bpfdoor-controller-enables-stealthy.html 趋势科技的研究人员发现了一款新型远控,这款远控与已知的后门程序BPFDoor相关。此前,该远控曾被用于2024年针对韩国、香港、缅甸等多地电信、金融、零售行业Linux服务器的攻击活动。这次攻击被认为是由Earth Bluecrow组织发起的,不过,由于BPFDoor的源码在2022年就已经泄露,所以不排除其他团伙也有复用该组件的可能。BPFDoor是2022年被曝光的一款Linux后门程序,它依托BPF技术,能够突破防火墙,通过监听特
4、Cybercrime团伙攻击东南亚多国移动用户
https://thehackernews.com/2025/12/goldfactory-hits-southeast-asia-with.html Group-IB的研究人员发现,一个具有窃取财务目的的Cybercrime犯罪团伙,自2024年10月起,开始针对印尼、泰国、越南的移动用户发起攻击。这个团伙早在2023年6月就已经开始活跃了。他们通过打电话,伪装成政府机构(比如伪装成越南的EVN来催缴电费),引导用户添加Zalo来接收链接,用户点击链接后会跳转到一个仿冒的Google Play页面,进而下载被篡改的银行APP。目前,研究人员已经发现了300多个这样的APP样本,这些恶意AP
5、新型Windows恶意软件TangleCrypt可绕过EDR防护
https://labs.withsecure.com/publications/tanglecrypt 安全研究人员发现了一款新型Windows恶意软件TangleCrypt。该恶意软件被用于勒索软件攻击,携带的恶意载荷有能绕过EDR防护。该恶意软件会把恶意载荷存放在PE资源里,然后经过base64编码、LZ78压缩、XOR加密等多层处理。它支持两种启动恶意载荷的方式,一种是在同一个进程里启动,另一种是在子进程里启动。同时,它还会通过字符串加密、动态导入解析等基础方法来躲避分析。
6、Django修复SQL注入和DoS漏洞
https://securityonline.info/django-flaw-cve-2025-13372-allows-sql-injection-in-postgresql-filteredrelation/ Python Web框架Django官方发布安全更新,修复了两个漏洞:一个是针对使用PostgreSQL数据库且调用FilteredRelation类应用的高风险SQL注入漏洞CVE-2025-13372,因框架处理列别名不当,攻击者构造字典以**kwargs形式传入QuerySet.annotate()或alias()就能触发注入,可能破坏数据库完整性;另一个是影响XML序列化
7、OpenAI Codex CLI远程代码执行漏洞暴露开发环境新风险
https://www.freebuf.com/articles/ai-security/460330.html 研究人员发现,克隆仓库中的.env文件可被用于修改Codex CLI主目录路径,加载恶意配置文件,最终导致任意命令执行。这一案例揭示了AI工具如何扩大开发机器的攻击面。
8、乌黑客利用新型恶意软件攻击俄航空航天及国防相关行业
https://cybersecuritynews.com/ukraine-hackers-attacking-russian-aerospace-companies/ 乌克兰黑客组织正对俄罗斯国防企业发起针对性网络攻击,通过钓鱼邮件植入定制恶意软件窃取军工数据,暴露生产链薄弱环节,旨在评估俄罗斯战备状态。攻击手法隐蔽且精准,针对关键岗位人员。
9、 黑客可在数秒内劫持行车记录仪并将其武器化为攻击工具
https://cybersecuritynews.com/hackers-can-hijack-your-dash-cams/ 行车记录仪存在严重安全漏洞,攻击者可远程劫持设备获取视频、音频和GPS数据,甚至传播蠕虫攻击其他设备。建议关闭Wi-Fi、修改密码并更新固件以降低风险。
10、Everest勒索软件宣称入侵华硕并窃取1TB数据
https://hackread.com/everest-ransomware-asus-breach-1tb-data/ Everest勒索软件组织宣称入侵华硕,窃取1TB数据含相机源代码,要求21小时内联系。华硕尚未回应,若属实将是近年第二次重大入侵。该组织近期频繁攻击知名企业。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年12月04日
1、国家网络安全中心通报一批境外恶意网址和恶意IP
https://www.chinanews.com.cn/gn/2025/12-03/10525785.shtml 中国国家网络与信息安全信息通报中心发现一批境外恶意网址和IP,主要涉及美国、英国等国家,黑客组织利用这些地址发起网络攻击,包括建立僵尸网络和后门利用,对国内联网单位和用户构成重大威胁。
2、人工智能将在2026年成为网络安全面临的主要威胁
https://www.businesswire.com/news/home/20251202083654/zh-CN 2025年上半年全球发生逾8000起数据泄露事件,影响3.45亿条记录。报告预测,到2026年AI将成为主要网络安全威胁,Experian客户群中美国、英国和加拿大受冲击最重。
3、Google Chrome存在多个漏洞
https://www.hkcert.org/tc/security-bulletin/google-chrome-multiple-vulnerabilities_20251203 HKCERT发布Google Chrome浏览器多个漏洞警报,风险中等,建议用户及时更新以防范潜在攻击。
4、印度电信部要求手机制造商预装政府应用以打击电诈
https://thehackernews.com/2025/12/india-orders-mobile-device-makers-to.html 印度电信部命令主要手机制造商在90天内于所有新手机上预装名为Sanchar Saathi's政府支持的网络安全应用,该应用无法被用户删除或禁用,旨在提升用户设备安全。
5、GlassWorm活动最新波次针对AI安全扫描器
https://thehackernews.com/2025/12/new-glassworm-campaign-targets-ai.html 网络安全研究人员披露了一个npm包,该包试图影响AI驱动的安全扫描器,这是GlassWorm活动最新波次,由Secure Annex的Jo发现,涉及软件供应链攻击。
6、2025年网络安全报告:全球攻击次数激增44%
https://www.goupsec.com/news/18554.html Check Point发布的年度报告显示,2025年全球网络攻击次数同比激增44%,勒索软件演变为数据泄露和双重勒索为主,医疗行业攻击增长47%,生成式AI加速攻击自动化,个人信息窃取攻击上升58%。
7、React和Next.js中的关键RSC漏洞允许未授权远程代码执行
https://thehackernews.com/2025/12/critical-rsc-bugs-in-react-and-nextjs.html React Server Components (RSC) 中存在一个最高严重性的安全漏洞,若被成功利用,可能导致远程代码执行。该漏洞被追踪为 CVE-2025-55182,其 CVSS 评分为 10.0。
8、12月Android安全公告,修复107个漏洞包括两个零日漏洞
https://thehackernews.com/2025/12/google-patches-107-android-flaws.html Google的12月Android安全更新修复107个漏洞,其中包括两个高危零日漏洞CVE-2025-48633和CVE-2025-48572,已被针对性攻击利用。
9、印度要求通讯应用仅与激活的SIM卡绑定以防欺诈和滥用
https://thehackernews.com/2025/12/india-orders-messaging-apps-to-work.html 印度的电信部(DoT)已向基于应用程序的通信服务提供商发出指示,确保这些平台无法在不链接到用户手机号码的有效 SIM 卡的情况下使用。为此,使用印度手机号码作为唯一用户识别方式,即电信标识用户实体(TIUE),的通讯应用,如 WhatsApp、Telegram、Snapchat、Arattai、Sharechat、Josh、JioChat 和 Signal,必须在 90 天内遵守该指令。
10、Aisuru僵尸网络发动了破纪录的29.7Tbps DDoS攻击
https://cybersecuritynews.com/29-7-tbps-ddos-attack/amp/ 一项来自 Aisuru 僵尸网络的 29.7 Tbps 分布式拒绝服务(DDoS)攻击创造了新的攻击量世界纪录,凸显了在极端负载下核心互联网基础设施的脆弱性。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

