网络安全日报 2025年11月20日
1、ShadowRay 2.0利用AI形成自我传播僵尸网络
https://www.oligo.security/blog/shadowray-2-0-attackers-turn-ai-against-itself-in-global-campaign-that-hijacks-ai-into-self-propagating-botnet 研究人员揭露了ShadowRay 2.0的复杂网络攻击活动,这一活动利用了人工智能系统中的漏洞进行自我传播。攻击者通过CVE-2023-48022漏洞,获得了对Ray集群的控制权,并将这些集群转化为加密货币挖矿和数据窃取的工具。目前已有超过20万台Ray服务器暴露在互联网上,面临着网络攻击的风险。攻击者在各个阶
2、Fortinet警告FortiWeb出现新零日漏洞
https://fortiguard.fortinet.com/psirt/FG-IR-25-513 Fortinet发布安全更新,修复其Web应用程序防火墙FortiWeb中的一个新零日漏洞。该漏洞被标记为CVE-2025-58034,已被威胁行为体积极利用。根据报告,经过身份验证的攻击者可以通过操作系统命令注入漏洞执行未经授权的代码,攻击复杂度低且无需用户交互。Fortinet在公告中指出,他们已经观察到该漏洞在实际攻击中被利用,迄今为止约有2000次攻击被检测到。为防止潜在的攻击,Fortinet建议管理员及时升级FortiWeb设备至最新软件版本。
3、法国Pajemploi机构数据泄露影响120万人
https://www.urssaf.fr/accueil/actualites/pajemploi-vol-de-donnees.html 法国托儿服务机构Pajemploi披露一起数据泄露事件,影响约120万名注册专业护理人员。攻击者于11月14日窃取包括全名、社保号码、出生地、邮政地址及认证编号等个人信息,银行账号、邮箱和密码未被获取。该机构已通知法国数据保护局和国家信息安全局,并承诺单独联系每位受害者。事件未影响工资申报等核心业务运营。
4、900万次安装:恶意Chrome V*PN扩展劫持用户流量
https://securityonline.info/9-million-installs-malicious-chrome-vpn-extensions-hijack-user-traffic-via-remote-pac-proxy-injection/ 5、 D-Link DIR-878路由器终止支持:3个未修复漏洞可导致RCE
https://securityonline.info/d-link-dir-878-reaches-eol-3-unpatched-rce-flaws-allow-unauthenticated-remote-command-execution/ D-Link警告DIR-878路由器用户,该产品已终止支持,存在四个未修复漏洞,其中三个允许未经认证的远程命令执行,可能导致设备完全沦陷。建议用户立即更换设备以避免重大安全风险。
6、WhatsApp严重漏洞致35亿用户电话号码泄露
https://cybersecuritynews.com/whatsapp-vulnerability-exposes-3-5-billion-users/ WhatsApp严重漏洞致35亿用户数据泄露,攻击者可获取号码、加密密钥等敏感信息,Meta虽修复但风险犹存,凸显便利功能与隐私保护的矛盾,监管或将加强。
7、Windows 11 新增三大恢复工具:时间点还原与网络化恢复环境支持
https://securityonline.info/new-windows-11-tools-point-in-time-restore-network-enabled-recovery-environment/ 微软将推出Windows 11新型恢复工具:时间点还原可回滚系统快照;WinRE恢复环境支持自动联网;企业级云重建功能可保留用户数据,并隐藏公共屏幕错误信息。
8、谷歌已修复2025年第7个被积极利用的Chrome零日漏洞
https://www.anquanke.com/post/id/313261 谷歌已发布 Chrome 浏览器安全更新,修复其 V8 JavaScript 引擎 中的两个高危漏洞,其中 CVE-2025-13223 已被证实存在 在野利用。这是今年修复的第 7 个 Chrome 零日漏洞。
9、Serv-U 中存在严重漏洞可导致远程代码执行
https://www.anquanke.com/post/id/313245 SolarWinds 已发布安全更新,修复其文件传输管理和 FTP 服务器平台 Serv-U 中的三个严重漏洞。每个漏洞的 CVSS 评分均为 9.1,经认证的管理员滥用这些漏洞时可实现远程代码执行(RCE)。这三个漏洞均影响 15.5.3 版本之前的 Serv-U,SolarWinds 强烈敦促客户立即更新。
10、欧盟EDPS发布《人工智能系统风险管理指南》
https://www.secrss.com/articles/85164 2025年11月11日,欧盟数据保护监督局(EDPS)发布了《人工智能系统风险管理指南》(以下简称为“该指南”),该指南重点聚焦人工智能系统在数据处理链条中引入的技术性风险,并提出全流程风险管理方法与合规建议。该指南旨在帮助数据控制者在根据《2018/1725号条例》(EUDPR)开发、采购和部署人工智能系统时进行数据保护风险评估。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
AI养蛊:让钓鱼邮件和反钓鱼邮件系统打一架
mab
多臂老虎机,又称为mab。
同一个环境,动作,状态下有可能返回1,有可能返回0。
也就是说环境反馈它不是一个固定的值。
可以假设为有五个函数,也就是相当于五种反馈,第一个函数返回1的概率是20%,返回0的概率是80%。
代码实现:
import numpy as np
import pandas as pd
class MultiArmedBandit:
def __init__(self, n_arms, true_rewards):
self.n_arms = n_arms
self.true_rewards = true_rewards
self.estimates = np.zeros(n_arms) # 每个臂的奖励估计
self.action_counts = np.zeros(n_arms) # 每个臂被选择的次数
def select_arm(self, epsilon):
if np.random.rand() < epsilon:
return np.random.randint(self.n_arms) # 探索
else:
return np.argmax(self.estimates) # 开发
def update_estimates(self, chosen_arm, reward):
self.action_counts[chosen_arm] += 1
# 更新奖励估计
self.estimates[chosen_arm] += (reward - self.estimates[chosen_arm]) / self.action_counts[chosen_arm]
def simulate_bandit(n_arms, true_rewards, n_rounds, epsilon):
bandit = MultiArmedBandit(n_arms, true_rewards)
rewards = np.zeros(n_rounds)
cumulative_rewards = np.zeros(n_rounds)
for round in range(n_rounds):
chosen_arm = bandit.select_arm(epsilon)
reward = np.random.normal(true_rewards[chosen_arm], 1) # 奖励是正态分布
bandit.update_estimates(chosen_arm, reward)
rewards[round] = reward
cumulative_rewards[round] = np.sum(rewards)
return cumulative_rewards
# 参数设置
n_arms = 5
true_rewards = [1.0, 1.5, 2.0, 0.5, 1.2] # 每个臂的真实奖励均值
n_rounds = 1000
epsilon = 0.1
cumulative_rewards = simulate_bandit(n_arms, true_rewards, n_rounds, epsilon)
results_df = pd.DataFrame({
'Round': np.arange(1, n_rounds + 1),
'Cumulative Rewards': cumulative_rewards
})
results_df
类定义:MultiArmedBandit
n_arms 老虎机的数量
true_rewards 每个臂的真实平均奖励
estimates 目前认为每个臂的平均回报是多少,初始全为0。
action_counts 记录每个臂被拉了多少次,用于更新均值。
选择臂:select_arm(self, epsilon)
然后定义一个随机数。
以概率 ε 进行探索,也就是随机选一个臂,以概率 1 - ε 进行开发(选当前估计奖励最高的臂)。
比如说当 epsilon = 0.1:
10% 概率随机探索
90% 概率选估计最好的那一个
更新估计值:update_estimates()
R 是这次的实际奖励;N 是该臂被选过的次数;Q 是对该臂期望奖励的估计。
模拟函数:simulate_bandit()
初始化一个 MultiArmedBandit 实例;
进行多轮(n_rounds)实验;
每一轮:
用 select_arm() 决定拉哪一台机器;
根据真实均值 true_rewards[chosen_arm] 生成一个服从正态分布的奖励;
用 update_estimates() 更新估计;
记录当前的奖励和累计奖励
效果如图所示:
ucb
UCB算法是一种用于解决探索与利用问题的策略选择方法,广泛应用于多臂老虎机问题。
其核心思想是通过估计每个选项的潜在收益来平衡探索新选项和利用已知最佳选项 之间的权衡。
基本原理
探索与利用:
探索:尝试新的选项以获取更多的信息。
利用:选择当前已知的最佳选项以最大化收益。
UCB值计算: 对于每个选项,UCB算法计算一个上置信界值也就是UCB值,该值结合了成功率和探索因子。
计算公式:
X_i 是选项 i 的成功率,即平均收益; n 是当前总的尝试次数; n_i 是选项 i 的尝试次数。
第一项是指当前已知的平均成功率;第二项是指置信区间,也就是越没试过的策略,这项越大;比如说你去饭堂吃饭,吃过 10 次的店你知道它一般,但没吃过的店你可能会想试一试,这就是 UCB 的探索机制。
应用场景 UCB算法广泛应用于在线广告推荐、A/B测试、动态定价、机器学习模型选择等领域,尤其是在需要实时决策和反馈的环境中。
ucb的通俗解释:一个左撇子,用手拿东西的时候,用右手的概率是20% ,用左手的概率是80%由于第一次选择的时候左右都会选,但是概率不同,选择不同手的频率就会影响两边ubc(可以理解为Q表)的值 那么我们就可以根据两边受频率影响的值动态调整我们是否选择高的那边的概率。
防火墙策略
假设有五个防火墙策略,并且拦截攻击的成功率都不一致。
但是在实际项目中,不用都写出成功率出来,毕竟只要知道哪个防火墙拦截的成功率高,那肯定优先选择那个防火墙。
现在是不知道概率多少。
import numpy as np
import pandas as pd
def check1(payload):
return np.random.rand() < 0.5 # 50%成功率
def check2(payload):
return np.random.rand() < 0.7 # 70%成功率
def check3(payload):
return np.random.rand() < 0.4 # 40%成功率
def check4(payload):
return np.random.rand() < 0.3 # 30%成功率
def check5(payload):
return np.random.rand() < 0.6 # 60%成功率
# 将所有检查函数放入列表中
check_functions = [check1, check2, check3, check4, check5]
# 定义防火墙策略选择器类
class FirewallPolicySelector:
def __init__(self, n_policies):
self.n_policies = n_policies
self.successes = np.zeros(n_policies)
self.attempts = np.zeros(n_policies)
def select_policy(self):
total_attempts = np.sum(self.attempts)
if total_attempts == 0:
return np.random.randint(self.n_policies) # 如果没有尝试过,随机选择
ucb_values = self.successes / (self.attempts + 1e-5) + np.sqrt(2 * np.log(total_attempts) / (self.attempts + 1e-5))
return np.argmax(ucb_values) # 选择UCB值最高的策略
def update(self, chosen_policy, success):
self.attempts[chosen_policy] += 1
self.successes[chosen_policy] += success
# 模拟防火墙策略优化过程
def simulate_firewall(n_policies, n_rounds):
policy_selector = FirewallPolicySelector(n_policies)
results = []
for round in range(n_rounds):
chosen_policy = policy_selector.select_policy()
payload = np.random.randint(0, 100) # 生成随机攻击样本
success = check_functions[chosen_policy](payload) # 使用选定的check函数
policy_selector.update(chosen_policy, success)
results.append((round + 1, chosen_policy, success))
results_df = pd.DataFrame(results, columns=['轮次', '选择的策略', '成功拦截'])
return results_df
# 参数设置
n_policies = len(check_functions) # 策略数量
n_rounds = 1000
# 运行模拟
results_df = simulate_firewall(n_policies, n_rounds)
# 筛选出成功拦截的部分
successful_results = results_df[results_df['成功拦截'] == 1]
# 输出每个策略的成功率
print("\n每个策略的成功率:")
print(results_df.groupby('选择的策略')['成功拦截'].mean())
# 显示成功拦截的结果
print("\n成功拦截的结果:")
print(successful_results)
# 统计每个策略的选择次数
policy_counts = results_df['选择的策略'].value_counts()
# 创建 DataFrame 显示所有策略及其选择次数
result_df = pd.DataFrame({
'选择次数': policy_counts
}).reset_index()
# 重命名列
result_df.columns = ['选择的策略', '选择次数']
# 设置行标题
result_df.index = [f'策略 {i+1}' for i in range(len(result_df))]
result_df
防火墙策略选择器类 FirewallPolicySelector
n_policies: 策略数量;successes[i]: 第 i 个策略成功的次数;attempts[i]: 第 i 个策略被尝试的次数
策略选择核心 select_policy()
这里用的ucb计算公式,在上述已贴出。
模拟防火墙运行:simulate_firewall()
循环共执行 n_rounds,比如 1000 轮:
选择一个策略,然后模拟生成攻击,接着判断是否成功拦截,最后更新策略统计。
简单来说,这份代码就是模拟了一个基于UCB算法的自适应防火墙策略选择系统,它通过统计每个检测策略的历史成功率和尝试次数,自动在多轮攻击中选择最有效的策略,在“探索新方法”和“利用已知最优”之间取得平衡,最终趋向于选择拦截率最高的策略。
效果如图:
其实还有其他场景也适合,比如说什么恶意代码识别,邮箱识别,毕竟是策略选择。
邮件攻防
假设现在有个角色A 通过mba模型实现强化学习下的优化钓鱼邮件内容。
还有一个角色B 通过Q-learning的方式实现强化学习下的钓鱼邮件内容识别。
当然也可以换成一边是恶意软件,一边杀毒软件,做一个养蛊哈哈。
整个流程就是攻击方不断发送不同类型的钓鱼邮件,防御方在识别的过程中逐渐学习,而攻击方也会记录哪些内容更容易成功,从而倾向选择这些高成功率内容。
import numpy as np
import pandas as pd
class PhishingContentOptimizer:
def __init__(self, contents, phishing_probabilities, epsilon=0.1):
self.contents = contents # 钓鱼邮件内容列表
self.phishing_probabilities = phishing_probabilities # 各内容被识别为钓鱼邮件的概率
self.epsilon = epsilon # 探索率
self.success_counts = np.zeros(len(contents)) # 各内容成功次数
self.total_counts = np.zeros(len(contents)) # 各内容尝试次数
def select_content(self):
if np.random.rand() < self.epsilon:
return np.random.choice(self.contents) # 随机选择
else:
success_rates = self.success_counts / (self.total_counts + 1e-5) # 避免除零
return self.contents[np.argmax(success_rates)] # 选择成功率最高的内容
def update(self, chosen_content, success):
index = self.contents.index(chosen_content)
self.total_counts[index] += 1
if success:
self.success_counts[index] += 1
class QLearningPhishingDetector:
def __init__(self, actions, learning_rate=0.1, discount_factor=0.9, exploration_rate=1.0):
self.q_table = {} # Q值表
self.actions = actions # 可采取的动作
self.learning_rate = learning_rate # 学习率
self.discount_factor = discount_factor # 折扣因子
self.exploration_rate = exploration_rate # 探索率
self.exploration_decay = 0.99 # 探索率衰减
def get_action(self, state):
if state not in self.q_table:
self.q_table[state] = [0] * len(self.actions)
if np.random.rand() < self.exploration_rate:
return np.random.choice(self.actions) # 探索
else:
return self.actions[np.argmax(self.q_table[state])] # 利用
def update_q_value(self, state, action, reward, next_state):
current_q = self.q_table[state]
max_future_q = max(self.q_table.get(next_state, [0] * len(self.actions)))
current_q[action] += self.learning_rate * (reward + self.discount_factor * max_future_q - current_q[action]) # 更新Q值
def decay_exploration(self):
self.exploration_rate *= self.exploration_decay
# 示例钓鱼邮件内容及其被识别为钓鱼邮件的概率
contents = [
"您的账户存在异常,请立即验证。",
"恭喜您获得奖品,请点击链接领取。",
"重要通知:请更新您的账户信息。",
"您有新的消息,请查看。",
"系统升级,请确认您的信息。",
]
# 各内容被识别为钓鱼邮件的概率
phishing_probabilities = {
contents[0]: 0.1,
contents[1]: 0.3,
contents[2]: 0.6,
contents[3]: 0.5,
contents[4]: 0.4,
}
# 初始化角色A(内容优化器)
optimizer = PhishingContentOptimizer(contents, phishing_probabilities)
# 初始化角色B(钓鱼邮件识别器)
actions = [0, 1] # 0: 正常邮件, 1: 钓鱼邮件
detector = QLearningPhishingDetector(actions)
# 预训练阶段
pretrain_steps = 50 # 预训练步骤数
for _ in range(pretrain_steps):
chosen_content = np.random.choice(contents) # 随机选择内容
action = detector.get_action(chosen_content) # 识别邮件
# 根据内容的钓鱼概率判断
success = np.random.rand() < phishing_probabilities[chosen_content] if action == 1 else False
reward = 1 if action == 1 and success else -1 # 奖励机制
detector.update_q_value(chosen_content, action, reward, chosen_content) # 更新Q值
detector.decay_exploration() # 衰减探索率
# 模拟钓鱼攻击过程
results = []
for _ in range(100): # 模拟100次钓鱼攻击
chosen_content = optimizer.select_content()
# 角色B识别邮件
action = detector.get_action(chosen_content) # 识别邮件
results.append({
'选择的内容': chosen_content,
'识别结果': '钓鱼邮件' if action == 1 else '正常邮件'
})
# 统计识别结果的成功率
for result in results:
if result['识别结果'] == '钓鱼邮件':
# 根据内容的钓鱼概率判断
success = np.random.rand() < phishing_probabilities[result['选择的内容']]
else:
success = False # 正常邮件识别为钓鱼邮件的成功率为0
# 更新角色A的成功与否
optimizer.update(result['选择的内容'], success)
# 更新角色B的Q值
reward = 1 if action == 1 and success else -1 # 奖励机制
detector.update_q_value(result['选择的内容'], action, reward, result['选择的内容']) # 更新Q值
detector.decay_exploration() # 衰减探索率
# 转换为DataFrame
results_df = pd.DataFrame(results)
# 输出结果
print(results_df)
# 统计每个内容的使用频率
content_counts = results_df['选择的内容'].value_counts()
most_used_content = content_counts.idxmax()
most_used_count = content_counts.max()
# 筛选出使用最多的内容的结果
most_used_results = results_df[results_df['选择的内容'] == most_used_content]
# 输出使用最多的内容
print(f"\n使用最多的内容: {most_used_content}, 使用次数: {most_used_count}")
print("\n使用最多内容的结果:")
print(most_used_results)
# 统计识别结果为正常邮件的百分比
normal_email_count = results_df[results_df['识别结果'] == '正常邮件'].shape[0]
total_count = results_df.shape[0]
normal_email_percentage = (normal_email_count / total_count) * 100
print(f"\n识别结果为正常邮件的百分比: {normal_email_percentage:.2f}%")
钓鱼内容优化器 PhishingContentOptimizer
contents: 所有钓鱼邮件的模板内容
phishing_probabilities: 每种内容被识别为钓鱼的概率,也就是被识破的难度
epsilon: ε-贪婪算法中的“探索率”,比如 0.1 意味着 10% 概率随机探索
success_counts: 各邮件“成功骗过检测”的次数
total_counts: 每个内容被使用的次数
选择内容 select_content
每轮发送邮件前,优化器根据历史成功率决定发哪种内容:
90% 概率选择成功率最高的邮件
10% 概率随机选一个探索新的可能
这样攻击方会逐渐聚焦在最有效的邮件内容上。
钓鱼邮件检测器 QLearningPhishingDetector
更新 Q 值 update_q_value
在状态 s 采取动作 a 后,得到奖励 r,下一状态 s' 的最大潜在价值是 max_future_q,于是把当前的 Q 值往新的期望值方向更新一点。
预训练阶段,让检测器先学习
模拟 50 封训练邮件,让检测器初步学会识别钓鱼概率高的邮件。
奖励逻辑:
检测为钓鱼且确实钓鱼 → 奖励 +1
否则 → 惩罚 -1
如果检测器判断为“钓鱼邮件”,就按对应概率看它是否真识别成功, 否则认为识别失败。
然后,攻击方更新该邮件的成功率,防御方更新Q值,探索率继续衰减。
这里其实还有个预训练,先让钓鱼邮件识别器跑起来,学习里面一些东西,分辨出哪个是钓鱼邮件,哪个是正常邮件。
然后再去模拟钓鱼邮件攻击的过程,结果如下图所示:
结果看起来比较发散,没有那么真实,其实可以把Q-Learing算法那一部分改为神经网络。
GAN网络其实就是Ai和Ai之间对打的过程。
网络安全日报 2025年11月19日
1、Npm恶意包利用Adspect窃取加密货币
https://socket.dev/blog/npm-malware-campaign-uses-adspect-cloaking-to-deliver-malicious-redirects 研究人员发现威胁行为体"dino_reborn"通过七个npm恶意包实施复杂供应链攻击。该活动利用Adspect Cloaking技术构建虚假验证码页面,精准识别并分流安全研究人员与潜在受害者。恶意代码自动采集浏览器指纹、系统信息等13个数据点,通过代理转发至C2服务器判定访问者身份。研究人员遭遇反调试陷阱,受害者则被重定向至伪装成Uniswap等去中心化交易所的加密货币诈骗网站。攻击者同时嵌入Of
2、欧洲光纤法国公司遭黑客入侵
https://www.bleepingcomputer.com/news/security/eurofiber-france-warns-of-breach-after-hacker-tries-to-sell-customer-data/ 欧洲光纤网络法国公司(Eurofiber France)披露,11月13日其票务管理系统遭黑客入侵,约10000家企业客户数据被盗。自称"ByteToBreach"的威胁行为者声称掌握包括截图、VPN配置、凭证、源代码等敏感信息,并试图出售。该公司确认事件仅影响法国分部及云部门ATE门户、子品牌Eurafibre等,银行信息等关键数据未受影响。发现漏洞
3、荷兰警方摧毁防弹托管服务商(BPHS)
https://www.bleepingcomputer.com/news/security/dutch-police-seizes-250-servers-used-by-bulletproof-hosting-service/ 荷兰警方查获海牙和佐特梅尔数据中心约250台物理服务器,导致数千台虚拟服务器下线。此次行动针对一家自2022年起运营的防弹托管服务提供商,该服务商承诺完全匿名且拒绝配合执法部门,涉嫌为勒索软件、僵尸网络、钓鱼活动及儿童虐待内容提供便利,已出现在80余起国内外网络犯罪调查中。调查人员将对服务器进行取证分析以追踪运营者及客户。目前警方尚未公布逮捕信息,且未透露服务商具
4、谷歌紧急修复Chrome浏览器正被利用的0Day漏洞
https://www.freebuf.com/articles/network/457698.html 谷歌紧急修复正被利用的Chrome零日漏洞,可导致远程代码执行!
5、微软成功抵御史上最大规模云DDoS攻击,峰值达15.7 Tbps
https://www.freebuf.com/articles/es/457658.html 微软抵御15.7Tbps史上最大云DDoS攻击,Aisuru僵尸网络威胁升级!
6、信息窃取木马Lumma在遭曝光后重现
https://www.anquanke.com/post/id/313209 科技(Trend Micro)研究人员观察到 Lumma Stealer(又名 Water Kurita) 活动显著复苏。尽管上月针对该恶意软件核心成员的定向 dox 活动曾短暂扰乱其运营,但如今其活跃度已大幅回升。
7、美国CISA发布警告:Lynx+网关存在严重漏洞
https://www.anquanke.com/post/id/313206 网络安全与基础设施安全局(CISA)发布新安全公告,详细披露通用工业控制公司(GIC)生产的 Lynx+ Gateway 存在多个高严重性漏洞。公告指出:“成功利用这些漏洞可能导致敏感设备信息泄露、未授权访问或造成拒绝服务状态。”
8、美网军斥资千万美元聘用AI黑客,开发自动化网络战武器
https://www.secrss.com/articles/85127 美国正悄然投资可用于网络战的AI代理,今年已向一家利用AI对美国敌人实施进攻性网络攻击的神秘初创公司投入了数百万美元。根据美国联邦合同记录,总部位于弗吉尼亚州阿灵顿的隐身初创公司名为Twenty(又称XX),今年夏天与美国网络司令部签署了一份最高可达1260万美元的合同。它还从海军获得了一份价值24万美元的研究合同。
9、黑客叫卖三星内部数据,包含源代码和硬编码凭证
https://www.secrss.com/articles/85090 威胁行为者在网络犯罪论坛上发帖,声称已成功入侵三星,并正在出售据称属于该公司的内部数据。该黑客在帖子中称,他们入侵了一家为多家大型公司提供服务的三方承包商,这表明此次据称的泄露事件潜在影响范围可能不仅限于三星。
10、Cloudflare称周二客户大规模服务中断并非黑客攻击引起
https://www.securityweek.com/cloudflare-says-highly-disruptive-outage-not-caused-by-attack/ 故障影响了包括 ChatGPT、X、Dropbox、Shopify 和游戏《英雄联盟》在内的大量在线服务。据报道,该事件还导致了一些与关键机构(如新泽西交通公司、纽约市应急管理机构和法国国家铁路公司 SNCF)相关的网站和其他数字服务出现中断。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年11月18日
1、RondoDox利用XWiki漏洞扩展僵尸网络
https://www.vulncheck.com/blog/xwiki-under-increased-attack 近期,网络安全研究人员发现,名为RondoDox的僵尸网络正在利用XWiki服务器的严重安全漏洞CVE-2025-24893,迅速扩展其控制范围。该漏洞允许攻击者未授权地执行远程代码,已被证明自3月起便遭到利用。尽管XWiki团队已在2025年2月修复了该漏洞,攻击者依然通过各种方式利用这一缺陷,导致大量设备被纳入僵尸网络,并发起DDoS攻击。11月7日和11月11日的攻击尝试数量显著上升,表明多个威胁行为体正在积极利用该漏洞进行攻击。
2、ClickFix滥用Finger协议进行远程攻击
https://www.bleepingcomputer.com/news/security/decades-old-finger-protocol-abused-in-clickfix-malware-attacks/ 近日,ClickFix的恶意软件利用了Finger协议的漏洞,重新将这一存在数十年的命令带入攻击活动。Finger命令可在Unix和Linux系统上查询用户信息,现如今却被黑客滥用,以获取对Windows设备的远程控制。研究人员发现通过执行特定的批处理文件,攻击者能够利用Finger协议从远程服务器检索并执行命令。研究还显示,虽然一些Finger协议的主机已停止响应,但仍有
3、恶意MCP服务器可劫持Cursor窃取凭据
https://cybersecuritynews.com/hackers-rogue-mcp-server-malicious-code/ 网络安全研究人员发现,Cursor IDE的模型上下文协议服务器存在严重安全缺陷。攻击者可通过恶意MCP服务器向Cursor内置浏览器注入任意JavaScript代码,完全控制浏览器行为。该漏洞源于Cursor未对其专有功能实施完整性校验,攻击者利用"document.body.innerHTML"替换技术覆盖页面内容,轻松绕过UI层安全检查。由于MCP服务器本身需广泛系统权限,一旦遭滥用即可修改组件、提升权限。此威胁将CI/CD安全边界延伸至开发者终
4、钓鱼邮件伪装成垃圾邮件提醒窃取凭证
https://www.malwarebytes.com/blog/news/2025/11/phishing-emails-disguised-as-spam-filter-alerts-are-stealing-logins 网络钓鱼活动再度升级,网络犯罪分子通过伪装成垃圾邮件过滤器的邮件,成功诱骗用户点击恶意链接。这类邮件声称由于企业内部的安全消息系统升级,导致未送达的邮件需进行处理。用户在点击链接后,会被引导至一个伪造的登录页面,攻击者实时获取用户的登录凭证,极大增加了账号被盗的风险。
5、捷豹路虎遭网络攻击损失超2.2亿美元
https://media.jaguarlandrover.com/news/2025/11/jlr-performance-impacted-challenging-quarter 捷豹路虎披露2025年第三季度网络安全事件造成约2.2亿美元损失。9月2日,黑客组织Scattered Lapsus$ Hunters攻击其系统并窃取数据,导致主要工厂停产,3.3万名员工受影响。数周中断引发供应链流动性危机,英国政府于9月29日紧急批准15亿英镑贷款担保。经分阶段复工,生产于10月8日恢复。英国央行在近期的货币政策报告中指出,此次网络攻击是导致2025年第三季度国内生产总值(GDP)低于预期的
6、高度复杂的macOS DigitStealer采用多阶段攻击逃避检测
https://cybersecuritynews.com/highly-sophisticated-macos-digitstealer/ 新型macOS恶意软件DigitStealer针对M2及以上芯片设备,通过伪装合法软件和多阶段攻击链窃取数据。采用高级硬件检测规避分析环境,利用Cloudflare托管有效载荷,极具隐蔽性。
7、研究人员发现严重AI漏洞影响Meta、Nvidia及微软推理框架
https://thehackernews.com/2025/11/researchers-find-serious-ai-bugs.html 网络安全研究人员发现多个主流AI推理引擎存在远程代码执行漏洞,涉及Meta、Nvidia等厂商,根源是ZeroMQ和Python pickle反序列化的不安全使用。漏洞通过代码复用传播,攻击者可执行任意代码窃取数据或部署恶意负载。建议严格审查代码和扩展,仅使用可信来源。
8、pgAdmin曝出高危漏洞通过 PostgreSQL 转储文件实现RCE
https://securityonline.info/critical-pgadmin-flaws-cve-2025-12762-cvss-9-1-allow-remote-code-execution-via-postgresql-dump-files/ pgAdmin 9.9及以下版本曝出四个高危漏洞,包括严重远程代码执行(CVSS 9.1)、Windows命令注入、LDAP注入和TLS证书验证绕过漏洞,可导致服务器被完全控制或数据泄露。建议立即升级至v9.10版本修复风险。
9、IBM AIX 曝出高危漏洞NIM 私钥泄露与目录遍历风险并存
https://securityonline.info/critical-ibm-aix-rce-cve-2025-36250-cvss-10-0-flaw-exposes-nim-private-keys-and-risks-directory-traversal/ IBM披露AIX和VIOS系统四大高危漏洞,包括远程命令执行(CVSS 10.0)、私钥泄露和目录遍历,攻击者可控制主机。受影响版本为AIX 7.2/7.3及VIOS 3.1/4.1,需尽快安装补丁。
10、华硕DSL路由器曝出关键认证绕过漏洞可远程控制设备
https://securityaffairs.com/184636/security/critical-cve-2025-59367-flaw-lets-hackers-access-asus-dsl-routers-remotely.html 华硕多款DSL路由器曝高危认证绕过漏洞(CVE-2025-59367),攻击者可远程控制设备。受影响机型需立即升级至1.1.2.3_1010固件,淘汰机型应加强密码并禁用暴露服务。华硕路由器常被僵尸网络攻击,用户需警惕。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年11月17日
1、黑客注册4300个域名攻击酒店预订平台
https://www.netcraft.com/blog/thousands-of-domains-target-hotel-guests-in-massive-phishing-campaign 网络安全专家披露了一项针对旅行者的大规模网络钓鱼活动,攻击者利用4300多个注册域名,伪装成知名旅游品牌,以诱骗计划度假的用户。攻击者构建了复杂的钓鱼页面,模仿如Airbnb和Booking.com等网站,利用“Want Your Feedback”的名义发送恶意邮件,引导受害者点击链接,声称需要确认酒店预订。然而,这些链接实际上会将用户重定向到钓鱼网站。此外,钓鱼工具包还支持多种语言,增加了攻
2、Chrome扩展程序窃取以太坊钱包助记词
https://socket.dev/blog/malicious-chrome-extension-exfiltrates-seed-phrases 网络安全研究人员发现了一款名为“Safery: 以太坊钱包”的恶意Chrome扩展程序,该程序伪装成合法的钱包,但实际上隐藏了窃取用户助记词的功能。这款扩展于2025年9月29日上传至Chrome网上应用商店,最近一次更新是在11月12日,至今仍可供用户下载。该扩展声称是“一个简单、安全的以太坊钱包”,但实际上却包含一个后门,能够将用户的助记词编码为虚假的Sui地址,并向攻击者控制的钱包发送微交易,进而窃取助记词。这种攻击方式使得攻击者能够在
3、攻击者利用WhatsApp屏幕共享功能窃取资金
https://hackread.com/whatsapp-screen-sharing-scammers-steal-otps-funds/ 诈骗分子正大规模滥用WhatsApp屏幕共享功能实施诈骗,已致全球巨额损失,一受害者损失约70万美元。攻击者通过陌生视频通话冒充银行或Meta客服,谎称账户异常制造恐慌,诱骗受害者开启屏幕共享或安装远程应用,进而窃取密码、银行信息及一次性验证码。该攻击利用2023年推出的功能,核心在于心理操纵而非技术手段。
4、WatchGuard高危漏洞威胁5.4万台防火墙
https://thehackernews.com/2025/11/cisa-flags-critical-watchguard-fireware.html 美国网络安全和基础设施安全局(CISA)周三将WatchGuard Fireware严重漏洞CVE-2025-9242(CVSS 9.3)列入已知已利用漏洞目录。该越界写入漏洞影响Fireware OS 11.10.2至2025.1版本,允许未经身份验证的远程攻击者执行任意代码。尽管WatchGuard已于9月发布补丁,近日确认该漏洞正被积极利用。Shadowserver数据显示,截至11月12日全球仍有54,300台Firebox设备
5、终局行动全球围剿Rhadamanthys窃密软件
https://www.europol.europa.eu/media-press/newsroom/news/end-of-game-for-cybercrime-infrastructure-1025-servers-taken-down 欧洲刑警组织与欧洲司法组织协调启动"终局行动3.0",联合澳、加、美等11国及Shadowserver等30余家机构,针对肆虐全球的信息窃取恶意软件Rhadamanthys展开跨国打击。2025年3月14日至11月11日期间,该软件已发起8621万余次窃密事件,感染52.5万个独立IP,波及226个国家及17,674个自治系统。执法部门缴获的后端数据已
6、新型蠕虫病毒正侵袭npm生态,已污染超过10万个软件包
https://www.sonatype.com/blog/unprecedented-automation-indonesianfoods-pits-open-source-against-itself 名为"IndonesianFoods"的新型蠕虫病毒正侵袭npm生态系统,已污染超过10万个软件包。该恶意程序每七秒自我复制一次,通过自动化手段快速部署大量无害但资源消耗性的包,使注册表系统不堪重负。研究显示,这并非首次类似攻击,早在9月10日就已出现早期版本。攻击者利用自动化工具,以远超响应速度的方式制造混乱。尽管当前蠕虫未直接窃取凭证或植入恶意代码,但其展示了开放生态系统固有的脆弱性。
7、Fortinet FortiWeb防火墙漏洞遭公开利用
https://www.bleepingcomputer.com/news/security/fortiweb-flaw-with-public-poc-actively-exploited-to-create-admin-users/ 网络安全研究人员披露,Fortinet FortiWeb Web应用防火墙存在路径遍历漏洞正被主动利用。攻击者无需认证即可通过特定API端点创建管理员账户,该漏洞影响8.0.1及更早版本,已在10月底发布的8.0.2版本中修复。威胁情报机构10月首次发现该漏洞,随后攻击活动激增,多个IP地址参与攻击。watchTowr Labs已验证漏洞并发布检测工具。Fo
8、ImunifyAV严重RCE漏洞影响5600万网站
https://patchstack.com/articles/remote-code-execution-vulnerability-found-in-imunify360/ 安全研究人员披露,ImunifyAV杀毒软件组件AI-bolit存在严重远程代码执行漏洞,影响32.7.4.0之前版本,波及5600万个网站。该漏洞CVSS评分8.2,源于反混淆逻辑执行攻击者控制的危险PHP函数(system, exec, eval等),可导致服务器完全接管。Imunify360集成扫描器默认强制启用反混淆功能,使共享主机环境面临root权限提升风险。CloudLinux于10月底发布修复补丁但未发
9、英国国家医疗服务体系遭Clop勒索攻击
https://www.govinfosecurity.com/uk-nhs-named-in-clop-gangs-exploits-oracle-zero-days-a-30030 勒索软件团伙Clop利用Oracle E-Business Suite零日漏洞发动攻击,英国国家医疗服务体系(NHS)被列入受害者名单。攻击者通过CVE-2025-53072和CVE-2025-62481两个CVSS 9.8分的严重漏洞,无需认证即可接管Oracle Marketing系统。该攻击自2025年7月开始,9月底Clop向受害者发送勒索邮件,索要高达5000万美元赎金。NHS于10月下旬发布安全公
10、伊朗APT42发起SpearSpecter间谍行动
https://thehackernews.com/2025/11/iranian-hackers-launch-spearspecter-spy.html 以色列国家数字机构披露,伊朗国家支持的黑客组织APT42正针对国防和政府机构实施"SpearSpecter"持续性间谍行动。该行动自2025年9月起活跃,通过WhatsApp发送伪装成会议文件的恶意链接,利用search-ms协议和WebDAV托管的LNK文件部署PowerShell后门TAMECAT。攻击者采用HTTPS、Discord、Telegram三通道架构维持持久化访问,具备浏览器数据窃取、Outlook邮件提取及定时屏幕截图
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年11月14日
1、黑客利用Citrix和Cisco ISE零日漏洞发起攻击
https://aws.amazon.com/cn/blogs/security/amazon-discovers-apt-exploiting-cisco-and-citrix-zero-days/ 研究人员近期发现,黑客组织利用思科和Citrix系统中的未公开零日漏洞进行复杂攻击。这些攻击显示出攻击者对关键身份和网络访问控制基础设施的重视。攻击者在成功侵入后,部署了名为IdentityAuditAction的自定义Web Shell,该后门程序伪装成合法组件,展现出高级的隐蔽技巧。研究表明,攻击者不仅对企业级Java应用程序的架构有深入了解,还能访问多个未公开的零日漏洞。
2、研究人员发现Sora 2存在音频泄露漏洞
https://mindgard.ai/blog/extracting-sora-system-prompt 安全研究团队最近对OpenAI的Sora 2模型进行了深入分析,发现该模型存在系统提示信息泄露的重大风险。Sora 2被设计为生成高质量的视频内容,然而,滥用其功能生成暴力内容的事件引发了广泛的关注。尽管Sora拒绝直接分享系统提示信息,但通过图像、视频和音频等多种输出形式,研究团队成功拼接了生成的短音频片段,重建了几乎完整的系统提示。这一发现突显了多模态人工智能系统所面临的安全隐患,攻击者可通过非文本格式获取敏感信息。
3、新型网络钓鱼活动攻击多国中小企业
https://blog.checkpoint.com/email-security/new-phishing-campaign-exploits-meta-business-suite-to-target-smbs-across-the-u-s-and-beyond/ 研究人员发现大规模钓鱼活动,攻击者滥用Meta Business Suite功能,通过合法facebookmail.com域名发送虚假通知,已针对美国、欧洲、加拿大和澳大利亚的5000多家企业发送超4万封钓鱼邮件。攻击者创建虚假Facebook企业页面,以"免费广告积分计划"等紧急主题发送邀请,将受害者引导至vercel.a
4、恶意npm包潜入GitHub Actions构建流程
https://www.csoonline.com/article/4088529/malicious-npm-package-sneaks-into-github-actions-builds.html 仿冒"@actions/artifact"的恶意npm包窃取GitHub Actions令牌,冒名发布恶意构件。该包伪装成合法模块,利用CI/CD管道漏洞获取高权限,影响超26万次下载。建议检查运行环境并更新安全措施。
5、多个OpenOffice漏洞可导致内存损坏及未经授权的内容加载
https://cybersecuritynews.com/apache-openoffice-vulnerabilities/ Apache OpenOffice 已发布版本 4.1.16,解决了七个严重的安全漏洞,这些漏洞导致未经授权的远程文档加载和内存损坏攻击。
6、GitLab高危XSS漏洞可能引发Kubernetes代理会话劫持
https://securityonline.info/high-severity-gitlab-xss-flaw-cve-2025-11224-risks-kubernetes-proxy-session-hijacking/ GitLab发布安全更新,修复多个漏洞,包括高风险的XSS漏洞(CVE-2025-11224)和仅影响企业版的授权问题(CVE-2025-11865)。建议管理员尽快安装补丁,防止数据泄露和权限滥用。
7、Open WebUI 漏洞可通过恶意提示词导致管理员RCE
https://securityonline.info/open-webui-xss-flaw-cve-2025-64495-risks-admin-rce-via-malicious-prompts/ Open WebUI 0.6.34及之前版本存在高危漏洞(CVE-2025-64495),攻击者通过恶意提示词触发XSS,可导致账户接管或远程代码执行。建议升级至0.6.35并禁用富文本插入提示词功能,同时启用CSP等防护措施。
8、黑客利用隐写术将 XWorm 隐藏在 PNG 中
https://cybersecuritynews.com/steganography-attacks-xworm-in-pngs/ ANY.RUN 专家最近发现了一个新的 XWorm 活动,该活动使用隐写术将恶意负载隐藏在看似无害的 PNG 图像中。
9、一场通过Telegram的网络钓鱼活动正针对欧洲企业
https://www.anquanke.com/post/id/313153 ble 研究与情报实验室(CRIL)的研究人员发现了一场大规模多品牌钓鱼攻击活动,该活动利用 HTML 邮件附件窃取凭据,绕过了传统基于 URL 和域名的检测系统。窃取的数据直接发送至攻击者控制的 Telegram 机器人,实现近乎实时的凭据收集,无需依赖传统命令控制(C2)服务器。
10、被动Wi-Fi嗅探攻击:识别智能手机用户准确率高达 98%
https://www.anquanke.com/post/id/313167 一种名为 U-Print 的新型攻击技术,通过捕获并分析加密 Wi-Fi 流量,能够在被动监听的情况下准确识别智能手机用户。与以往依赖于应用识别或需要 IP 层访问的攻击不同,U-Print 仅在无线 MAC 层上运行,无需解密数据包或破解 MAC 地址随机化机制,就能推断出不仅是用户正在使用哪些应用,还包括具体的应用内操作,甚至识别出使用者本人。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年11月13日
1、恶意软件Danabot回归威胁金融和加密用户
https://cybersecuritynews.com/danabot-malware-resurfaced-with-version-669/ Danabot恶意软件在经历了“终局行动”的打击后,凭借669版本回归。安全分析师指出,这一版本通过复杂的多阶段攻击,重新威胁着金融机构和加密货币用户。Danabot的主要活动包括凭证盗窃和信息泄露,而最新的669版本在技术和行为策略上进行了显著改进。通过鱼叉式网络钓鱼和恶意文档来传播其有效载荷,Danabot能够有效诱骗受害者执行恶意附件,从而实现系统感染。一旦感染成功,该恶意软件会部署多个模块,以便进行数据收集和横向移动,甚至针对加密货币钱
2、恶意NPM包通过抢注域名攻击用户
https://www.veracode.com/blog/malicious-npm-package-targeting-github-actions/ 研究人员发现一个恶意NPM包“@actions/artifact”,该包通过抢注与合法包@actions/artifact相似的域名,意在针对GitHub用户进行攻击。该恶意软件的设计目的是窃取GitHub构建环境中的令牌,并利用这些令牌发布新的恶意工具。研究表明,该包有6个版本,并且每个版本都包含安装后钩子,下载并运行恶意代码。令人关注的是,主流杀毒软件尚未检测到这些恶意版本。
3、SAP发布安全更新修复多个漏洞
https://www.bleepingcomputer.com/news/security/sap-fixes-hardcoded-credentials-flaw-in-sql-anywhere-monitor/ SAP于2025年11月发布了重要的安全更新,针对多个关键漏洞进行修复,其中包括SQL Anywhere Monitor中的一个高风险硬编码凭据缺陷(CVE-2025-42890),其严重性评分高达10.0。这一漏洞允许攻击者通过嵌入在代码中的凭据访问管理功能,并可能导致任意代码执行。此外,另一个严重漏洞(CVE-2025-42887)影响了SAP Solution Manag
4、日立子公司遭Clop勒索攻击
https://cyberscoop.com/globallogic-oracle-clop-attacks/ 全球数字工程和产品设计公司GlobalLogic近日宣布,因与Oracle E-Business Suite相关的零日漏洞遭Clop勒索软件组织攻击,导致近10500名现任和前任员工的人力资源数据被泄露。GlobalLogic于2021年被日立收购,目前为近600家客户提供服务。该公司在加利福尼亚州和缅因州提交了数据泄露通知,显示攻击发生于2023年7月,直至10月9日才被发现。泄露的数据包括姓名、地址、社会保障号、工资信息等敏感信息。
5、Windows 远程桌面服务漏洞可导致攻击者权限提升
https://www.freebuf.com/articles/system/456771.html 微软近日披露了Windows远程桌面服务(RDS)中存在一个重大漏洞,可能允许已授权的攻击者在受影响系统上提升权限。该漏洞编号为CVE-2025-60703,源于不受信任的指针解引用问题——这是一个困扰软件行业多年的典型内存安全问题,微软将其评为"重要"级别。
6、Chrome 修复 V8 JavaScript 引擎高危实现漏洞
https://www.freebuf.com/articles/network/456774.html 谷歌已发布 Chrome 142.0.7444.162/.163 版本,用于修复 V8 JavaScript 引擎中的一个高危安全漏洞。该稳定版更新将在未来数日或数周内逐步推送至 Windows、Mac 和 Linux 平台。
7、Windows 内核 0Day 漏洞遭野外利用提权
https://www.freebuf.com/articles/system/456703.html 微软已为Windows内核中新发现的权限提升漏洞分配编号CVE-2025-62215,该漏洞目前已在野外遭到主动利用。2025年11月11日披露的该漏洞被评级为"重要",属于内核权限提升问题。微软漏洞可利用性指数显示"已检测到利用活动",表明尽管尚未公开披露,但该漏洞已被实际利用。
8、CISA警告三星移动设备0Day RCE漏洞正遭攻击者利用
https://cybersecuritynews.com/samsung-0-day-rce-vulnerability-exploited/ 三星移动设备存在高危0Day漏洞(CVE-2025-21042),攻击者可远程执行任意代码。CISA警告该漏洞正被利用,建议立即安装补丁或采取缓解措施,否则可能导致设备被完全控制。
9、丹麦挪威调查宇通客车安全漏洞
https://securityaffairs.com/184411/security/denmark-and-norway-investigate-yutong-bus-security-flaw.html 北欧调查中国宇通电动客车安全漏洞,担忧远程控制风险。宇通称数据加密存储并严格管控,但专家指出所有联网车辆均存隐患。欧洲在依赖中国技术与安全担忧间陷入两难,凸显中欧技术关系复杂化。
10、朝鲜Lazarus使用新型加密后门攻击航空航天/国防领域
https://securityonline.info/lazarus-group-attacks-aerospace-defense-with-new-chacha20-encrypted-comebacker-backdoor/ 朝鲜 Lazarus 集团针对航空航天和国防领域发起定向间谍活动,使用新型 ChaCha20 加密的 Comebacker 后门变种,通过恶意 Word 文档传播,采用三阶段加密加载和 AES 加密通信,伪装知名机构诱饵文档精准攻击。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年11月12日
1、KONNI组织利用安卓Find Hub功能发起攻击
https://www.genians.co.kr/en/blog/threat_intelligence/android 安全机构近日发布的一份报告揭示了与KONNI APT活动相关的新型网络攻击,攻击者利用谷歌的Find Hub功能,通过伪装成心理咨询师和朝鲜人权活动家的身份,散布恶意软件以远程擦除安卓设备数据。该攻击活动已秘密持续近一年,恶意文件通过韩国KakaoTalk即时通讯软件传播,攻击者借助信任关系进行社交工程攻击,成功入侵目标设备。
2、Triofox认证绕过漏洞遭野外利用
https://cloud.google.com/blog/topics/threat-intelligence/triofox-vulnerability-cve-2025-12480/ 研究人员发现Gladinet Triofox文件共享平台存在高危认证绕过漏洞CVE-2025-12480。攻击者自2025年8月24日起利用该漏洞伪造HTTP Host头为localhost,绕过身份验证访问配置页面,创建高权限管理员账户并执行恶意代码。UNC6485威胁行为体通过滥用平台内置防病毒功能,将恶意脚本配置为扫描引擎路径实现代码执行,进而部署Zoho UEMS、AnyDesk等远程工具,建立S
3、QRR钓鱼即服务平台攻击Microsoft 365用户
https://www.bleepingcomputer.com/news/security/quantum-route-redirect-phaas-targets-microsoft-365-users-worldwide/ 网络安全研究人员发现,名为Quantum Route Redirect(QRR)的新型钓鱼即服务平台正通过约1000个域名对全球Microsoft 365用户发起自动化攻击。自2025年8月以来,该平台已波及90个国家,其中76%的攻击针对美国用户。QRR通过伪装成DocuSign请求、付款通知、未读语音邮件或二维码的钓鱼邮件,利用特定URL模式将受害者导向凭据收集
4、npm包expr-eval存在严重漏洞
https://kb.cert.org/vuls/id/263614 安全研究人员发现npm包expr-eval中存在严重漏洞,可能导致攻击者通过恶意构造的输入执行任意代码。这一JavaScript库被广泛用于计算数学表达式,并在自然语言处理和人工智能等应用中发挥重要作用。然而,研究人员指出,该库的漏洞允许攻击者在解析器使用的对象中定义任意函数,从而注入恶意代码并执行系统级命令,这可能导致敏感数据泄露和本地资源被访问。该漏洞已被标记为CVE-2025-12735,并通过Pull Request #288得到修复。
5、瑞士NCSC发布警告:谨防iPhone丢失后钓鱼诈骗短信
https://www.bleepingcomputer.com/news/security/lost-iphone-dont-fall-for-phishing-texts-saying-it-was-found/ 瑞士国家网络安全中心(NCSC)近日发布警告,提醒iPhone用户注意一种新的网络钓鱼诈骗。该诈骗声称找到了用户丢失或被盗的iPhone,实际目的是窃取Apple ID凭证。攻击者利用用户在“查找”应用中设置的自定义信息,通过短信或iMessage发送钓鱼信息,声称手机已经被找到,并提供一个链接供用户查看设备位置。该链接实际上指向一个模仿苹果网站的钓鱼页面,用户在此输入的信息将
6、新型Whisper Leak工具可窃取加密流量中AI Agent的用户提示
https://cybersecuritynews.com/whisper-leak-toolkit/ 研究人员发现"Whisper Leak"旁路攻击技术,能通过分析加密流量的数据包大小和时间特征,窃取AI聊天对话主题,准确率高达98%。该漏洞对敏感话题用户构成严重威胁,微软等公司已部署修复方案,建议用户采取防护措施。
7、 runc关键漏洞威胁Docker和Kubernetes容器隔离安全
https://cybersecuritynews.com/runc-tool-vulnerability/ runc曝出三个关键漏洞(CVE-2025-31133/52565/52881),攻击者可突破容器隔离获取宿主机root权限。所有版本受影响,已发布修复版本1.2.8/1.3.3/1.4.0-rc.3+,建议立即升级并启用用户命名空间防护。
8、最新分析揭示LockBit 5.0核心能力与两阶段执行模型
https://cybersecuritynews.com/new-analysis-uncovers-lockbit-5-0-key-capabilities/ LockBit 5.0勒索软件2025年9月升级,采用两阶段执行模型提升隐蔽性,通过加载器动态解析API并注入有效载荷,绕过安全检测,威胁关键基础设施,展现持续技术演进和广泛攻击能力。
9、AI浏览器通过模拟人类用户行为绕过付费墙
https://cybersecuritynews.com/ai-browsers-bypass-content-paywall/ 先进AI浏览器如Atlas和Comet通过模仿人类行为绕过付费墙,直接获取隐藏内容或聚合信息还原文章,威胁出版商收入。传统防护机制失效,服务器端付费墙仅能提供有限保护。
10、恶意NuGet包暗藏逻辑炸弹:安装数年后才引爆的定时威胁
https://thehackernews.com/2025/11/hidden-logic-bombs-in-malware-laced.html Socket发现9个恶意NuGet包,由用户"shanhai666"发布,设计在2027-2028年触发破坏数据库和工业控制系统。最危险的Sharp7Extend包针对PLC,分阶段执行随机终止和静默写入失败,伪装成随机故障,使取证困难。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
深度学习模型CNN识别恶意软件
0.前言
给组里的本科生讲一讲恶意软件,以及如何识别恶意软件。
1.CNN介绍
注:这里写得很简陋,只挑笔者不熟悉的部分写,具体学习还是得详看官方文档。
卷积神经网络(CNN)是一种深度学习模型,特别适用于处理图像和视频等数据。
CNN包括:卷积层、激活层、池化层、全连接层。
CNN的工作流程:
1.输入层:接收原始数据(如图像)
卷积层:提取特征,生成特征图
激活层:引入非线性
池化层:下采样,减少维度
重复步骤 2-4:多次卷积和池化以提取更高层次的特征.
全连接层:展平特征图并进行分类
输出层:输出预测结果
感受野是卷积神经网络中一个重要的概念,指的是网络中某一层的一个神经元所能“看到”的输入区域。
换句话说,感受野描述了网络中某个特征图位置的神经元对输入图像的哪些部分有响应。
单层感受野:对于卷积层,感受野的大小可以通过以下公式计算:
(R) 是当前层的感受野大小, R prev是前一层的感受野大小,(k) 是卷积核的大小,(S) 是步长。
说白了就是决定模型到底是看得宏观一点,还是看得微观一点,这主要还是取决于数据集,数据集提取出来的数学特征,是细节上的能够具体表明的数学特征。
还是比较抽象的数学特征。
比较抽象比较宏观的话,就可以用大一点的感受野。
感受野的影响:
特征提取能力: 较大的感受野可以捕捉到更大范围的上下文信息,有助于提取全局特征,但是准确度可能就会下降;较小的感受野则适合捕捉局部细节,判断的准确度就会更高,但是就不能理解更高维度的内容。
模型性能: 在某些任务中,较大的感受野可能会提高模型的性能,尤其是在处理复杂场景时。
设计选择: 在设计CNN时,可以通过选择合适的卷积核大小、步长和层数来控制感受野的大小,以适应特 定任务的需求。
2.CNN识别恶意软件
注意:这里放出的代码都不是完整的,只截取重要部分代码。
这里收集一些windows api的调用序列,观察这个软件中调用哪些api,来判断这个软件是不是恶意软件。
windows_api_list = [
"CreateFileA", "CreateFileW", "ReadFile", "WriteFile", "CloseHandle",
"GetLastError", "SetLastError", "VirtualAlloc", "VirtualFree",
"CreateThread", "ExitThread", "WaitForSingleObject", "GetModuleHandleA",
"GetProcAddress", "LoadLibraryA", "LoadLibraryW", "FreeLibrary",
"GetModuleFileNameA", "GetModuleFileNameW", "MessageBoxA", "MessageBoxW",
"CreateEventA", "CreateEventW", "SetEvent", "ResetEvent", "WaitForMultipleObjects",
"OpenProcess", "TerminateProcess", "ReadProcessMemory", "WriteProcessMemory",
"CreateProcessA", "CreateProcessW", "GetExitCodeProcess", "ShellExecuteA",
"ShellExecuteW", "FindFirstFileA", "FindNextFileA", "FindClose",
"DeleteFileA", "DeleteFileW", "MoveFileA", "MoveFileW",
"CopyFileA", "CopyFileW", "CreateDirectoryA", "CreateDirectoryW",
"RemoveDirectoryA", "RemoveDirectoryW", "GetFileSize", "SetFilePointer",
"FlushFileBuffers", "GetFileInformationByHandle", "SetEndOfFile",
"GetFileTime", "SetFileTime", "CreateMutexA", "CreateMutexW",
"ReleaseMutex", "OpenMutexA", "OpenMutexW", "CreateSemaphoreA",
"CreateSemaphoreW", "ReleaseSemaphore", "OpenSemaphoreA", "OpenSemaphoreW",
"CreatePipe", "ReadFileEx", "WriteFileEx", "CancelIo",
"GetOverlappedResult", "CreateIoCompletionPort", "PostQueuedCompletionStatus",
"GetQueuedCompletionStatus", "SetEvent", "ResetEvent", "CreateFileMappingA",
"CreateFileMappingW", "MapViewOfFile", "UnmapViewOfFile", "VirtualQuery",
"VirtualQueryEx", "GetSystemInfo", "GetSystemTime", "SetSystemTime",
"GetTickCount", "Sleep", "GetCurrentProcessId", "GetCurrentThreadId",
"GetCommandLineA", "GetCommandLineW", "GetEnvironmentVariableA",
"GetEnvironmentVariableW", "SetEnvironmentVariableA", "SetEnvironmentVariableW",
"CreateProcessAsUserA", "CreateProcessAsUserW", "ImpersonateLoggedOnUser",
"RevertToSelf", "OpenThreadToken", "SetThreadToken", "DuplicateTokenEx",
"AdjustTokenPrivileges", "GetTokenInformation", "SetTokenInformation",
"CreateRemoteThread", "GetExitCodeThread", "WaitForInputIdle"
]
收集完之后,把这些windows api变成numpy数组 类似[0,1],每一个位置代表一个独特的windowsapi函数,位置上的值代表这个函数有没有被调用。
然后我们要接收.exe软件,使用pefile.PE这个python的第三方库,从其导入表里面把windows api提取出来,放入列表。
然后遍历.exe软件提取到的的windows api,是否在事先写好的windows api列表中,如果找到,就找到对应的索引号,写成1。
def extract_api_calls(exe_path):
pe = pefile.PE(exe_path)
api_calls = []
# 遍历导入表
for entry in pe.DIRECTORY_ENTRY_IMPORT:
for imp in entry.imports:
api_calls.append(imp.name.decode('utf-8') if imp.name else None)
return api_calls
def create_api_vector(api_calls):
vector = np.zeros(len(windows_api_list), dtype=int)
for api in api_calls:
if api in windows_api_list:
index = windows_api_list.index(api)
vector[index] = 1
return vector
这里的恶意软件的数据集可以利用微步的api,去爬取恶意样本。
正常软件也同理。
把正常软件标签贴为0,恶意的程序标签为1。
def whitelist(whitedir):
labels = []
features = []
# 获取文件夹中所有的 EXE 文件
for filename in os.listdir(whitedir):
if filename.endswith('.exe'):
one_feature = read_one_file(os.path.join(whitedir, filename))
features.append(one_feature)
labels.append(0) # 标签为 0
# 将 features 转换为 numpy 数组
features_array = np.array(features)
return features_array, np.array(labels)
def blacklist(whitedir):
labels = []
features = []
# 获取文件夹中所有的 EXE 文件
for filename in os.listdir(whitedir):
if filename.endswith('.exe'):
one_feature = read_one_file(os.path.join(whitedir, filename))
features.append(one_feature)
labels.append(1) # 标签为 1
# 将 features 转换为 numpy 数组
features_array = np.array(features)
return features_array, np.array(labels)
# 读取白名单和黑名单特征
whitelist_features, whitelist_labels = whitelist("./data/normal_file")
blacklist_features, blacklist_labels = blacklist("./data/virus_file")
数据处理好之后,开始创建模型。
import tensorflow as tf
import vec_data
# 创建 CNN 模型
model = tf.keras.Sequential([
tf.keras.layers.Conv1D(32, kernel_size=3, activation='relu', input_shape=(vec_data.features.shape[1], 1)),
tf.keras.layers.MaxPooling1D(pool_size=2),
tf.keras.layers.Conv1D(64, kernel_size=3, activation='relu'),
tf.keras.layers.MaxPooling1D(pool_size=2),
tf.keras.layers.Flatten(),
tf.keras.layers.Dense(64, activation='relu'),
tf.keras.layers.Dense(2, activation='softmax') # 二分类
])
模型比较简单,一个卷积,一个池化,再一个卷积,一个池化,然后就展平,全连接,全连接。
所有神经网络的第一层一定都是数据输入层,不管是什么神经网络算法,都得在第一层写个input_shape表示输入的数据。
接下来是模型的参数:
train_param = {"epoch": 50, "batch_size": 32}
model_compile_param = {
"optimizer":'adam',
"loss":'sparse_categorical_crossentropy',
"metrics":['accuracy']
}
第一个是训练次数 50 和每一次训练读到的数据的最小量 32。
第二个是模型编译的参数,adam编译器,损失函数,评分机制。
然后是模型训练:
import tensorflow as tf
import model_struct
import vec_data
import model_param
model_struct.model.compile(optimizer=model_param.model_compile_param["optimizer"],
loss=model_param.model_compile_param["loss"],
metrics=model_param.model_compile_param["metrics"])
print(model_struct.model.summary())
model_struct.model.fit(vec_data.features,
vec_data.labels,
epochs=model_param.train_param["epoch"],
batch_size=model_param.train_param["batch_size"])
model_struct.model.save("my_cnn.keras")
先把模型编译出来,然后就做训练,最后把模型保存下来。
显示的神经网络的形状,卷积层向下输出32,到展平那里输出已经是1600了。
下面是训练50次:
可以看到损失函数的大小和正确率。
虽然最后正确率显示有92%,但是因为实际的样本数量较少,训练次数又较多,就会有过拟合的问题,实战不行。
所以还得去多找一些样本,VT和微步。
模型完成之后,就来用模型去测试了。
这里写个了简单弹窗程序:
#include <windows.h>
void main() {
MessageBoxA(NULL,"aaaa","bbbb",MB_OK);
}
编译出.exe文件后丢给模型去测试:
import tensorflow as tf
import numpy as np
import vec_data
def predict_exe(exe_path, model):
# 提取 API 调用
api_calls = vec_data.extract_api_calls(exe_path)
# 创建特征向量
feature_vector = vec_data.create_api_vector(api_calls)
# 调整输入形状
feature_vector = feature_vector.reshape(1, feature_vector.shape[0], 1) # (1, 特征长度, 1)
# 进行预测
prediction = model.predict(feature_vector)
# 获取预测结果
predicted_class = np.argmax(prediction, axis=1)
return predicted_class[0]
model = tf.keras.models.load_model('./my_cnn.keras')
# 示例用法
exe_path = "../Project1/x64/Release/Project1.exe"
predicted_label = predict_exe(exe_path, model)
print(f'Predicted label: {predicted_label}') # 0 表示白名单,1 表示黑名单
将目标.exe文件导入,然后提取API,创建特征向量,调整输入形状,进行预测结果会是个矩阵,所以最后用np.argmax这个参数最大的矩阵拿来做标签预测。
它显示的是1,也就是个恶意软件,但是这其实只是个正常的弹窗程序罢了。
所以这里其实就存在问题,样本数量太少了,导致实战不行。
不过模型的构造和训练方法是一样的,只需要增加样本数量和根据自己电脑性能调整训练次数,就可以有令人满意的结果。
补充:用windows api来做恶意软件检测其实算是比较取巧,因为在免杀中很多恶意软件是可以隐藏的导入表函数的,然后还有很多函数可以替换达到同样的效果。
还有就是现在很多恶意软件都会把自己的api调用变成一个正常应用程序,也就是说正常程序会调用的windows api,恶意软件也会用,所以拿windows api 来做恶意软件检测在实战中效果应该是不太理想的。
像360,火绒之类的大厂 会用ast ,也就是控制流程,if-else这些东西,做成numpy数组;
或者是直接把shellcode这类16进制数放入模型中,比如说提取text段shellcode放入数组。
当然长度可能会不一样,所以需要定义一下长度(1.1024*1024),把shellcode放入到每一个位置中去,如果小于定义长度就拿0去填充。
如果大于就切掉多余的部分。
或者直接多个模型多个特征来综合判断是不是恶意软件。
网络安全日报 2025年11月11日
1、网络钓鱼利用Telegram机器人窃取用户凭证
https://cyble.com/blog/multi-brand-phishing-campaign-harvests-credentials/ 网络安全研究机构监测发现,近期活跃的钓鱼活动利用HTML附件伪装Adobe、Microsoft等知名品牌登录页面,通过Telegram Bot API直接窃取用户凭证。该攻击规避传统URL检测,覆盖农业、汽车、政府等十余个行业,重点针对中欧东欧组织。攻击者采用AES加密、反取证措施(禁用F12、右键等)增强隐蔽性,并构建去中心化机器人网络批量传输数据。由于恶意代码内嵌于附件,传统邮件网关难以拦截。
2、恶意软件NGate利用NFC中继盗刷资金
https://www.esecurityplanet.com/threats/news-ngate-malware-poland-atm/ 波兰计算机应急响应团队披露新型Android恶意软件NGate,该软件通过NFC中继技术针对银行用户实施ATM盗刷。攻击者冒充银行客服,诱导受害者安装伪装应用并执行"支付卡验证",实则利用手机NFC功能读取卡片数据及密码,实时转发至攻击者设备后重放于ATM机完成取款。技术分析显示,该恶意软件采用主机卡模拟技术捕获EMV协议数据,其C2服务器地址经XOR加密隐藏于应用资产中,通信采用明文TCP协议传输支付卡号、有效期、PIN码等敏感信息,兼具读卡器与发射
3、DragonForce勒索软件攻击制造业
https://www.darktrace.com/blog/tracking-a-dragon-investigating-a-dragonforce-affiliated-ransomware-attack-with-darktrace 勒索软件即服务(RaaS)平台DragonForce近期对某制造业企业发起链式攻击。攻击者初期利用OpenVAS扫描器进行内网侦察,针对管理员账户实施暴力破解并首次成功调用"administrator"凭证。沉寂八天后,威胁升级,受控设备通过SSH协议向俄罗斯Proton66托管的恶意IP 45.135.232[.]229大规模外泄数据,随后通过SMB协
4、runc披露多个允许容器逃逸攻击漏洞
https://www.sysdig.com/blog/runc-container-escape-vulnerabilities 安全研究人员发布了一篇关于runc新发现漏洞的文章,这些漏洞可能导致容器逃逸。被披露的三个漏洞,包括CVE-2025-31133、CVE-2025-52565和CVE-2025-52881,使得攻击者能够绕过容器的安全隔离,甚至获取宿主机的root权限。文章详细分析了每个漏洞的技术细节,指出CVE-2025-31133利用了runc对maskedPaths功能的错误实现,而CVE-2025-52565和CVE-2025-52881则分别通过挂载竞争条件和写入重定
5、NVIDIA App漏洞可导致攻击者执行恶意代码
https://cybersecuritynews.com/nvidia-nvapp-windows-vulnerability/ NVIDIA修复Windows版APP高危漏洞CVE-2025-23358,该漏洞允许本地攻击者通过安装程序组件执行任意代码并提权,CVSS评分8.2。建议用户立即升级至11.0.5.260或更高版本。
6、日经新闻遭黑客入侵:1.7万条Slack消息与个人数据泄露
https://hackread.com/nikkei-data-breach-hackers-steal-data-slack-messages/ 日经集团遭黑客入侵,超1.7万人敏感信息泄露,攻击者通过窃取员工Slack凭证渗透系统。事件凸显网络威胁转向数据勒索,专家指出需加强异常行为监测。此前日经曾因商业电邮诈骗损失2900万美元。
7、 现代汽车美国子公司确认遭遇数据泄露(用户驾照信息等)
https://cyberpress.org/hyundai-autoever-data-breach/ 现代汽车美国软件子公司遭网络攻击,客户姓名、社保号及驾照信息泄露,攻击持续9天被遏制。公司已提供两年免费信用监控服务,建议用户监测账户并设置信用冻结。
8、思科身份服务引擎漏洞可致攻击者意外重启系统
https://cybersecuritynews.com/cisco-identity-services-engine-ddos-vulnerability/ 思科ISE存在高危漏洞CVE-2024-20399,攻击者可利用RADIUS请求使系统崩溃重启,影响3.4.0至3.4 P3版本。建议关闭漏洞设置或升级至Patch 4+版本。
9、 恶意VS Code扩展"Vibe-Coded"内置勒索功能
https://thehackernews.com/2025/11/vibe-coded-malicious-vs-code-extension.html 研究人员发现恶意VS Code扩展"susvsex"具备勒索功能,通过GitHub实现C2控制;同时17个npm软件包传播Vidar窃密木马,凸显开源生态供应链风险。开发者需警惕此类攻击。
10、ValleyRAT木马利用微信和钉钉,针对国内用户发起攻击
https://cybersecuritynews.com/multi-staged-valleyrat-uses-wechat/ ValleyRAT是针对中文用户的复杂Windows木马,通过钓鱼攻击传播,利用微信/钉钉注册表检测目标,采用UAC绕过和反分析技术,使用MSBuild.exe伪装执行,具备高级规避能力。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

