1、CDK Global遭网络攻击影响数千家美国汽车经销商 https://www.bleepingcomputer.com/news/security/cdk-global-cyberattack-impacts-thousands-of-us-car-dealerships/ 汽车经销商软件服务提供商CDK Global遭受大规模网络攻击，导致公司关闭系统，客户无法正常开展业务。CDK Global为汽车行业的客户提供SaaS平台，处理汽车经销商运营的各个方面，包括CRM、融资、工资单、支持和服务、库存以及后台运营。遭受网络攻击后CDK Global关闭了其IT系统、电话和应用程序以防止攻击蔓延，包括在昨晚凌晨2点左右关闭了其两个数据中心。 2、攻击者创建虚假软件报错信息传播恶意窃密软件 http://www.proofpoint.com/us/blog/threat-insight/clipboard-compromise-powershell-self-pwn 研究人员发现名为TA571的威胁行为体通过引诱用户访问一个被感染的网站，网站中通过币安的智能链合约加载托管在区块链上的恶意脚本，脚本会执行一些检查，并显示虚假的Google Chrome网页错误警告弹框，对话框提示访问者通过将PowerShell脚本复制到剪贴板并在Windows PowerShell（管理）控制台中运行来修复错误，实际会下载Matanbuchus或DarkGate家族的窃密软件。 3、Void Arachne组织利用虚假VPN软件安装器针对中文用户 https://www.trendmicro.com/en_us/research/24/f/behind-the-great-wall-void-arachne-targets-chinese-speaking-user.html 研究人员发现代号为Void Arachne的前所未见的威胁行为体正在使用搜索引擎优化投毒、社交媒体消息平台等手段传播恶意软件，包括伪装成虚拟专用网络(LetsVPN、QuickVP)、Google Chrome、简体中文版Telegram语言包、AI语音转换器、深度色情伪造器等流行软件的恶意Windows安装程序，最终植入Winos 4.0远控框架，Winos 4、美国以国家安全风险为由禁止销售卡巴斯基产品 https://securityaffairs.com/164753/laws-and-regulations/us-bans-sale-of-kaspersky-products.html 拜登政府宣布将禁止销售卡巴斯基杀毒软件，原因是俄罗斯对美国国家安全构成风险。美国政府正在利用特朗普政府时期建立的权力实施一项新规定，以俄罗斯对美国国家安全构成风险为由禁止销售卡巴斯基软件。 5、ATLASSIAN 修复了CONFLUENCE 中的六个高危漏洞 https://securityaffairs.com/164743/security/atlassian-confluence-crucible-jira-flaws.html 澳大利亚软件公司 Atlassian 解决了其 Confluence、Crucible 和 Jira 解决方案中的多个高严重漏洞。 6、新型信息窃取程序 FICKLE STEALER 通过多种攻击方式进行传播 https://securityaffairs.com/164726/malware/fickle-stealer-attack-methods.html Fortinet FortiGuard 实验室的研究人员检测到一种基于 Rust 的新型信息窃取程序，名为 Fickle Stealer，它通过多种攻击媒介传播。该恶意软件代码复杂，依赖多种策略进行传播，包括 VBA 投放器、VBA 下载器、链接下载器和可执行文件下载器。 7、研究人员发现影响多款英特尔 CPU 的 UEFI 漏洞 https://www.securityweek.com/hundreds-of-pc-server-models-possibly-affected-by-serious-phoenix-uefi-vulnerability/ Phoenix 的 SecureCore UEFI 固件解决方案中最近发现一个高严重漏洞，数百种使用英特尔处理器的 PC 和服务器型号可能会受到该漏洞的影响。该漏洞的编号为 CVE-2024-0762，又名UEFIcanhazbufferoverflow，本地攻击者可以利用此安全漏洞在运行时提升权限并在 UEFI 固件中执行任意代码。 Phoenix Technol 8、命令行程序 wget 中发现一个严重漏洞 https://borncity.com/win/2024/06/18/critical-vulnerability-cve-2024-38428-in-wget/ 命令行程序 wget 中发现一个严重漏洞，CVSS 基本评分为 10.0。该漏洞存在于 9、AMD多项内部数据被黑客挂到暗网出售 https://www.bleepingcomputer.com/news/security/amd-investigates-breach-after-data-for-sale-on-hacking-forum/ AMD正在调查一起数据泄露事件，该事件可能有网络攻击导致，攻击者已将窃取的数据泄露至黑客论坛出售，声称其中包含AMD员工信息、财务文件和其他机密信息。 10、苹果公司遭黑客入侵，部分工具源代码被盗 https://www.freebuf.com/news/403976.html 6 月份，Intel Broker 非法“访问”苹果公司的网络系统，盗取了 AppleConnect-SSO、AppleMacroPlugin、Apple-HWE-Confluence-Advanced 等工具的源代码。苹果方面指出，此次网络攻击事件不会对苹果公司的客户信息造成任何影响。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、保险巨头Globe Life门户网站遭入侵用户数据被访问 https://www.sec.gov/Archives/edgar/data/320335/000032033524000029/gl-20240614.htm 美国金融服务控股公司Globe Life表示，攻击者可能在入侵其一个门户网站后访问了系统中的消费者和保单持有人的数据。该事件是公司在6月13日星期四审查与访问权限、用户身份管理相关的潜在漏洞时发现的。应州保险监管机构的询问，Globe Life的副法律顾问兼公司秘书Christopher T. Moore在周五向美国证券交易委员会（SEC）提交的文件中表示：“在通知这些情况后，公司立即移除了对该门户的非法外部访问。” 2、新型黑客工具包针对微软365账户发起钓鱼 https://blog.eclecticiq.com/onnx-store-targeting-financial-institution 一个名为ONNX Store的新型网络钓鱼即服务(PhaaS)平台可以针对Microsoft 365和Office 365电子邮件帐户发起攻击，该平台是阿拉伯语威胁行为体MRxC0DER管理的Caffeine网络钓鱼工具包的更名版本。研究人员已经发现有攻击者正在使用ONNX平台的服务，通过网络钓鱼电子邮件分发带有恶意二维码的PDF附件，盗取包括银行、信用合作社服务提供商和私人融资公司等行业员工的Microsoft 365帐户的登陆凭证。 3、Scattered Spider黑客组织针对SaaS应用程序窃密数据 https://cloud.google.com/blog/topics/threat-intelligence/unc3944-targets-saas-applications/ 研究人员发现Scattered Spider黑客组织试图从软件即服务（SaaS）应用程序中窃取数据，并从Active Directory联合服务(ADFS)中提取证书，结合Golden SAML攻击攻击者可以获得对基于云的应用程序的持久访问权限。Scattered Spider黑客团伙也被称为Octo Tempest、0ktapus、Scatter Swine和UNC3944，通常通过短信钓鱼、SIM交换和账户 4、CISA警告Windows严重漏洞被勒索软件组织利用 https://www.cisa.gov/known-exploited-vulnerabilities-catalog 美国网络安全和基础设施安全局（CISA）将一个在勒索软件攻击中被滥用的高严重性Windows漏洞标记为零日漏洞，并添加到由CISA维护的软件安全漏洞目录中。该漏洞被跟踪为CVE-2024-26169，由Windows系统错误报告服务中的不正确权限管理缺陷引起。成功利用该漏洞可使本地攻击者在无需用户交互的低复杂性攻击中获得系统高级别权限。微软已于2024年3月12日的每月补丁更新中修补了该漏洞。 5、AMD公司被盗数据出现在黑客论坛中出售 https://www.bleepingcomputer.com/news/security/amd-investigates-breach-after-data-for-sale-on-hacking-forum/ 2024年6月，AMD公司遭遇网络攻击后数据泄露，泄露数据包括：未来的AMD产品计划、规格表、员工数据库、客户数据库、属性文件、ROM、源代码、固件和财务状况等。一名威胁行为体将被盗的数据放在黑客论坛上出售，威胁行为体分享了一些据称被盗的AMD凭证截图，但尚未透露这些凭证的售价和获取方式。AMD正在与执法官员以及第三方托管合作伙伴密切合作调查该攻击事件。 6、Google Chrome 126 更新解决了多个高严重性漏洞 https://securityaffairs.com/164688/security/google-chrome-126-update.html Google 发布了 Chrome 126 更新，该更新解决了 TyphoonPWN 2024 黑客大赛上展示的高严重性漏洞。 7、Mailcow 邮件服务器漏洞导致服务器遭受远程代码执行 https://thehackernews.com/2024/06/mailcow-mail-server-flaws-expose.html Mailcow 开源邮件服务器套件中披露了两个安全漏洞，恶意行为者可以利用这些漏洞在易受攻击的实例上执行任意代码。 8、Barracuda最新报告显示：有 92% 的企业曾遭遇社工攻击 https://www.freebuf.com/news/403895.html 据Barracuda公司的最新报告显示， 2023 年，有约 92% 的企业平均在一年内经历了 6 次因电子邮件社交工程攻击导致的凭据泄露事件。 9、Kraken 加密货币交易所因零日漏洞遭窃300万美元 https://thehackernews.com/2024/06/kraken-crypto-exchange-hit-by-3-million.html 加密货币交易所 Kraken 透露，一名未透露姓名的安全研究人员利用其平台中“极其严重”的零日漏洞窃取了价值 300 万美元的数字资产，并拒绝归还。 10、洛杉矶公共卫生局披露大规模数据泄露事件 https://www.infosecurity-magazine.com/news/los-angeles-health-data-breach/ 公共卫生部表示： "虽然公共卫生部无法确认信息是否被访问或滥用，但我们鼓励个人与医疗服务提供者一起审查其医疗记录中的信息内容和准确性。" 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

前言 看了几家云厂商的对象存储，使用上有相似也有差异，聊聊阿里云、腾讯云、京东云三家对象存储在使用中存在的风险以及防护措施。 0x01 云存储命名 阿里云对象存储OSS(Object Storage Service)，新用户免费试用三个月，存储包容量规格20G三个月. 腾讯云对象存储 COS（Cloud Object Storage），新用户标准存储容量包，有效期6个月（180天），个人用户50GB6个月，企业用户1T六个月。 京东云对象存储OSS（Object Storage Service） ，目前无限制，存储包容量规格10G/月，请求次数50W次/月的标准，低于标准一直免费使用。 0x02 云存储空间创建 阿里云 创建存储桶Bucket的名称唯一设置和地域没有关系，创建存储桶后的域名规则为：<BucketName>.oss.<Region>.aliyuncs.com 腾讯云 腾讯云创建存储桶名称唯一跟低于也无关系，其名称构成<BucketName-APPID>.cos.<Region>.myqcloud.com 京东云 京东云的bucket地域只有四个，命令规则为<BucketName>.s3.<position>-id.jdcloud-oss.com 华北 华东 0x03 云存储API密钥存储 阿里云 进入 离开创建页面后无法获取SK，需提前保存SK，后期无法查看 这里用户权限需要授权 如果未授权，则Forbiden访问 腾讯云 创建AK/SK后期无法查询，密钥存储要求上基本与阿里云一致。 京东云 京东云需要首先设置AccessKey，否则无法操作存储桶。 AccessKey创建后可AS查看 0x04 云存储常见安全问题 1. 配置不当导致的安全问题 阿里云 阿里云设置公有读 存储桶内的文件可被读取，虽然无法直接list对象，但是可以通过爆破的方式读取文件内容 当设置包含listobject时，web访问存储桶直接可遍历对象 当Bucket的权限设置为公共读写的时候，是可以直接使用PUT方式上传文件到存储桶内，这种配置会导致桶内文件来源的真实性无法保证 文件上传成功 腾讯云 腾讯云的存储桶权限和阿里云类似，描述不同，当非公共读写、非私有的条件下是可以遍历桶内文件的 存储桶内的文件可被读取，虽然无法直接list对象，但是可以通过爆破的方式读取文件内容 公共读写权限配置后可直接上传 京东云 京东云在Bucket的权限上和阿里、腾讯基本一致，非私有状态下，也存在Bucket文件可遍历 上传txt 文件写入成功 风险 针对配置不当，可能产生的风险在于 数据泄露： 配置不当可能导致存储桶中的敏感数据被公开访问，如用户个人信息、敏感文件等。 后渗透风险：桶内数据来源的真实性面向用户无法保障，且对用户的安全性造成影响，可利用该漏洞进行供应链攻击。 2.策略配置不当导致的安全风险 针对三家厂商的存储桶，阿里云bucket授权策略 腾讯云Policy策略 这两家比较类似 京东云CORS跨域规则 规则添加简单测试还是比较友好的 风险 规则配置可能会导致存储桶敏感文件泄露，比如说规则设置添加遍历存储桶对象等。 3.存储桶爆破 阿里云 阿里云针对存储桶的回显返回值不同 无Bucket 腾讯云 腾讯云的回显 京东云 风险 虽然三家的产品根据回显值均可以爆破，如果从利用角度来讲，需要配合前面的配置不当才能继续后渗透，从爆破的角度来讲，腾讯云的域名构成<BucketName-APPID>.cos.<Region>.myqcloud.com的爆破存储桶的风险可以说是最低的，甚至可以说基本上不用考虑。目前下载大量的存储桶在业务中的应用可能最常见的是图片文件云存储利用，一般是不设置域名绑定存储桶的。 4.AK/SK泄露 AK 和 SK 泄露可能被恶意用户用于未经授权的访问云服务资源，导致数据泄露、篡改或删除等安全问题。针对不同厂商目前有工具可直接利用泄露的AK/SK接管存储桶。 针对不同厂商对象存储AK/SK的创建用户的权限划风险需要注意 阿里云RAM访问控制 腾讯云用户访问管理权限分配 京东云 用户授权 用户权限配置不当，会导致云服务被完全接管。 0x05 云存储防护 加强身份验证和访问控制： 使用身份和访问管理（IAM）来限制对存储桶和其中对象的访问。确保只有授权的用户或服务能够访问，并严格控制他们的权限，采用最小权限原则。 加密数据： 对于敏感数据，采用适当的加密措施，包括数据在传输和静态存储时的加密。 网络安全配置： 配置网络安全组、防火墙等措施，限制对存储桶的访问仅来自可信来源，减少公开访问的风险。 监控和日志记录： 设置监控警报，对存储桶的访问和活动进行实时监控，并记录审计日志，以便及时发现异常行为或潜在的安全威胁。 定期备份和恢复： 定期备份存储桶中的重要数据，并建立有效的恢复计划，以防止数据丢失或损坏，例如意外删除或勒索软件攻击。 防止公开访问误配置： 定期审查存储桶的访问权限配置，确保没有意外的公开访问权限，避免因配置错误导致数据泄露的风险。 实施访问限制策略： 使用 IP 白名单或访问令牌等策略，限制存储桶的访问仅限于授权的用户或系统。

0x01 XSS的挖掘思路 1.1 反射型 直接搜索 echo print_r print之类的函数即可也可以寻找$_GET变量来判断是否存在输出（不过对于代码审计来说除非实在挖不出漏洞，否则没必要关注反射xss） 1.2 dom型 和反射型差不多需要看网站的前端javascript(一般安装好网页直接查看源代码即可，和反射xss一样代码审计没必要太过于关注)。但是也和反射型有区别，domxss是不经过服务器处理的，也就是不需要经过后端代码，需要审计javascript。 1.3 存储型xss 对于代码审计，存储型xss才是需要关注的重点。 存储型xss一般是存在有数据库交互的地方，因为需要把数据写入进去数据库中才能长期储存数据。 所以我们在审计存储型xss的时候会关注数据库交互的地方。 这里举例两种思路： 思路一 ： 从数据库类文件中开始审计 什么是数据库类文件呢？其实在实际开发项目过程中，通常程序员都会把数据库操作封装成一个类来提供操作。 比如说我们需要设计一个留言板，留言板最基本得有这几个功能吧。比如说发表留言，查看留言，回复留言，删除留言，修改留言等等功能。 而这些是不是需要使用数据库来实现这类功能（下面用代码配合伪代码示意，注意代码可以不用理解功能，但是要能够理解代码为什么要这样写。） # 比如用户发表一条留言 # uname就是用户名也就是"小明"，content就是内容也就是"你好" insert into text(id, uname, content) value(1, '小明', '你好'); # 然后用户发现你好不太恰当，想删掉替换成您好 delete from text where id = 1; # id就是数据库用于区分不同数据的字段， delete from 表示删除表里面的内容 text表示需要删除的表 # 表示删除id=1的数据 where id = 1 # 那么php中的代码是这样看小明的： $sql = "insert into text(id, uname, content) value(1, '小明', '你好')"; // $conn就是我们数据库的链接 mysqli_query($conn, $sql); $sql = "delete from text where id = 1"; mysqli_query($conn, $sql); // 小明换成了您好 $sql = "insert into text(id, uname, content) value(2, '小明', '您好')"; mysqli_query($conn, $sql); $sql = "delete from text where id = 2"; mysqli_query($conn, $sql); # 这样的代码是不是特别麻烦 把他简化一下（把sql查询做成一个函数） function sql_insert($name, $content){ $sql = "insert into text(id, uname, content) value(1, '{$name}', '{$content}'，哈哈哈哈')"; mysqli_query($conn,$sql); } function sql_delete($id){ $sql = "delete from text where id = '{$id}'"; mysqli_query($conn,$sql); } // 好的封装完成了 这时候小明发送你好 sql_insert('小明', "你好"); sql_delete(1); // 想删除 // 发送您好 sql_insert('小明', "您好"); sql_delete(2); // 又删除 # 这样是不是无论小明发多少条留言都能够很轻松的删除插入 # 好了 这就是封装成的作用（把重复的操作放在一起） # 这里是写完了，但是还是有一个问题，比如遇到sql注入怎么办。遇到xss怎么办。 # 很简单！只需要修改我们定义的两个操作函数即可 function sql_insert($name, $content){ $name = htmlspecialchars(addslashes($name)); $content = htmlspecialchars(addslashes($content)); // 添加了转义 $sql = "insert into text(id, uname, content) value(1, '{$name}', '{$content}')"; mysqli_query($conn,$sql); } function sql_delete($id){ $id = intval($id); // 强制转换 $sql = "delete from text where id = '{$id}'"; mysqli_query($conn,$sql); } # 是不是这样的写法很方便，如果我们不定义一个函数集中操作的话每次拼接sql语句都需要添加htmlspecialchars和addlashes # 这就是我们为什么要寻找数据库操作文件的意义。（因为程序员很有可能把过滤函数写在sql类中） 好了，进入正题。 关于如何找到sql封装文件，很简单。 搜索关键字即可（new mysqli, mysqli,pdo）这里拿其他cms来实例（phpems架构比较复杂也就是上课时用的cms）这里我使用yixuncms_v2.0.3 打开文件,全局搜索 第二步 分析文件的功能 查找需要的关键函数 直接跟进query函数 查看是否有过滤 右键定位函数 定位escape_string_array函数 然后跟进审计 思路二： 使用输出函数进行动态输出查看是否过滤 因为源代码在我们服务器上，我们可以使用echo或者var_dump查看过滤后的结果来判断过滤了什么。 由于我们不知道在程序在哪个页面做了sql查询，所以选择登录功能作为测试点 因为可以知道一点，那就是登陆功能一定是做了sql查询的，除非是前端登陆，而前端登陆本身也就是一个漏洞... 知道了这一点，登陆抓包，登陆账号密码有没有都不要紧。 我这里使用错误的账号密码登陆： 返回了一个操作失败 然后我们根据提示去全局搜索： 操作失败 至于为什么是这三个呢？ 因为我们抓到的数据表访问的就是这个路径 进入app.php 然后定位getUserByUserName函数 然后就可以添加代码进行调试了（修改后记得保存 快捷键 ctrl + s） 再次发包进行调试发现已经返回sql语句了 思路在这里完结了。下面是漏洞复现 0x02 漏洞的复现 因为上面已经知道了xss和sql在普通参数里面不存在，然后正常注册后登陆发现 那么直接根据注册ip搜索 跟进后再次全局搜索 由于程序开发中默认ip地址是安全的一般很少会进行过滤，所以这里直接猜测ip地址不存在过滤。 然后注册账号进行测试 payload：Client-ip: <svg/onload=alert(1)> 然后放包，发现个人中心已经存储了我们的xss 同理，这里没有经过过滤也是存在注入的。这里就不在演示 0x03 总结 xss加固可以在前端或者后端实体编码 同时也要注意对单双引号的转义。 不要以为获取ip就是安全的，获取ip往往是不安全的。 思路 -》 找过滤函数 -》测试过滤是否有遗漏 -》 测试可能没有经过过滤的参数 有些网站会把在属性内的参数使用反斜杠编码.比如你输入 &url="onerror=alert(1) 双引号会被转义成/"，这时如果网站的编码是gb2312...之类的可以使用宽字节 %df"的方式绕过

1、伦敦医院遭遇勒索软件攻击取消800多次手术计划 https://www.england.nhs.uk/london/2024/06/14/update-on-cyber-incident-clinical-impact-in-south-east-london-friday-14-june-2024/ NHS英格兰媒体今天透露，受上周Synnovis医疗联合组织遭遇勒索软件攻击事件的影响，多家伦敦医院被迫取消了数百次计划的手术预约。Synnovis医疗联合组织前身为Viapath，于2009年作为GSTS Pathology成立，并在2022年10月更名为Synnovis，该组织由SYNLAB（英国及爱尔兰公司）、盖伊圣托马斯NHS信托基 2、制造业巨头Keytronic遭遇勒索软件攻击后泄露数据 https://www.bleepingcomputer.com/news/security/keytronic-confirms-data-breach-after-ransomware-gang-leaks-stolen-files/ PCBA制造业巨头Keytronic警告称，两周前黑客组织Black Basta泄露了该公司530GB数据。Key Tronic（更广为人知的名称为Keytronic）是一家美国科技公司，最初作为键盘和鼠标的原始设备制造商（OEM），现在是全球最大的印刷电路板组装（PCBA）制造商之一。上个月，Keytronic在一份SEC文件中披露，5月6日曾遭遇了一次 3、Firefox现已支持设备级别登录凭证保护措施 https://www.mozilla.org/en-US/firefox/127.0/releasenotes/ Mozilla Firefox目前已支持允许您使用设备级别的登录信息（包括操作系统凭证、指纹、PIN或其他生物识别技术）进一步保护对浏览器密码管理器中存储凭据的访问。需要明确的是，这个新功能并不能防止信息窃取恶意软件的攻击，而是防御具有近源或远程访问设备能力的人员在未经身份验证的情况下获取您设备中存储的凭据。 4、微软宣布Outlook个人账户即将迎来新的安全变更 http://techcommunity.microsoft.com/t5/outlook-blog/keeping-our-outlook-personal-email-users-safe-reinforcing-our/ba-p/4164184 作为微软“安全未来计划”的一部分，微软宣布了针对Outlook个人电子邮件账户的网络安全增强措施，包括在2024年9月16日之前弃用基本身份验证方案（用户名+密码）。该软件巨头还宣布将停止支持Windows上的“邮件”和“日历”应用程序，弃用Outlook Light，并取消用户通过Outlook.com访问Gmail账户的功能。 5、Meta因隐私问题暂停使用欧盟用户的数据训练AI https://about.fb.com/news/2024/06/building-ai-technology-for-europeans-in-a-transparent-and-responsible-way/ Meta周五表示，应爱尔兰数据保护委员会（DPC）的要求，正在推迟使用在Facebook和Instagram上成人用户的公共内容来训练其大型语言模型（LLMs）。Meta公司对不得不暂停其AI计划表示失望，虽然其已考虑到了监管机构和该地区数据保护机构的反馈。据称Meta计划的使用个人数据来训练其人工智能（AI）模型无需获得用户的明确同意，而是依赖于该区域的法律基础来处理该地区的 6、ASUS警告7款路由器存在严重远程身份验证绕过漏洞 https://www.twcert.org.tw/tw/cp-132-7859-0e104-1.html ASUS发布了新的固件更新，以解决影响七款路由器型号的严重漏洞，该漏洞允许远程攻击者登录设备。该漏洞被追踪为CVE-2024-3080（CVSS v3.1评分：9.8“严重”），是一种身份验证绕过漏洞，允许未经身份验证的远程攻击者接管设备。 7、VMware 修复了vCenter 中的 RCE 和提权漏洞 https://securityaffairs.com/164659/hacking/vmware-fixed-vcenter-server-flaws.html VMware 解决了可能允许远程代码执行或权限提升的 vCenter Server 漏洞。vCenter Server 在 DCERPC 协议的实施过程中存在多个堆溢出漏洞，编号为 CVE-2024-37079、CVE-2024-37080（最高 CVSSv3 基本分数 9.8）。该公司发布的公告称： “具有 vCenter Server 网络访问权限的恶意行为者可能会通过发送特制的网络数据包来触发这些漏洞，从而可能导致远程代码执 8、虚假的谷歌浏览器错误诱导用户运行恶意PowerShell脚本 https://www.freebuf.com/news/403837.html Proofpoint的安全研究人员近期注意到有多个黑客组织正利用虚假的谷歌 Chrome浏览器、Word 和 OneDrive 等程序的运行错误来诱导用户安装运行带有恶意 PowerShell的修复程序。据观察，这些黑客组织包括 ClearFake和TA571。 9、勒索攻击迫使越南国家邮政服务瘫痪超3天 https://www.secrss.com/articles/67105 据当地媒体报道，越南邮政于6月4日遭到勒索软件攻击，邮政和快递服务受到影响。该公司当时报告称，旗下邮政金融、公共物流和货物分发服务未受影响。 10、新的 Linux 恶意软件利用Discord和表情符号作为C2 https://www.freebuf.com/news/403792.html 网络安全公司 Volexity 近日发现有一个高级持续性威胁（APT）利用 Discord 和表情符号作为命令和控制 （C2） 平台在受感染的设备上执行命令，使其绕过寻找基于文本的命令的安全软件，攻击了印度的政府机构。该恶意软件允许威胁行为者执行命令、截屏、窃取文件、部署其他有效负载和搜索文件。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、NiceRAT恶意软件通过盗版软件针对韩国用户 https://asec.ahnlab.com/en/66790/ 研究人员发现威胁行为体正在部署一种名为NiceRAT的恶意软件，并将被感染的设备纳入其僵尸网络。研究人员表示，这些攻击主要针对南韩用户，感染途径被设计成通过盗版软件传播，例如破解版的Microsoft Windows或提供Microsoft Office许可证验证的工具。 2、新的ARM TIKTAG攻击影响Chrome和Linux系统 https://arxiv.org/pdf/2406.08719 一种名为“TIKTAG”的新型攻击方式主要针对ARM的内存标记扩展（MTE），能够以超过95%的成功率泄露内存中的数据，并同时允许黑客绕过该设备中的MTE安全功能，MTE是ARM v8.5-A架构（及更高版本）中添加的功能，旨在检测和防止内存损坏。由三星、首尔国立大学和乔治亚理工学院的韩国研究团队共同签署的论文展示了针对Google Chrome和Linux内核实现此类攻击。 3、黑客入侵合法网站伪装更新分发BadSpace后门程序 https://www.gdatasoftware.com/blog/2024/06/37947-badspace-backdoor 被入侵的合法网站正被用作传播Windows后门程序BadSpace，攻击者将网站伪装成浏览器更新作为幌子欺骗目标访问。研究人员在一份报告中表示：“威胁行为体使用多阶段的攻击链，涉及被感染的网站、命令与控制（C2）服务器，以及用于在受害者系统中部署BadSpace后门的JScript下载器。” 4、奥地利非营利组织指控谷歌隐私沙盒存在用户跟踪 https://noyb.eu/en/google-sandbox-online-tracking-instead-privacy 谷歌计划在其Chrome浏览器中弃用第三方跟踪Cookie并推出隐私沙盒的计划遇到新的问题，奥地利隐私非营利组织noyb（none of your business）表示该功能仍可用于跟踪用户。noyb表示：“虽然所谓的‘隐私沙盒’被宣传为对第三方跟踪的隐私层面改进，但现在跟踪只是由谷歌在浏览器内进行。”为了实现这一点，该公司理论上需要用户的知情同意，然后谷歌却通过假装‘打开广告隐私功能’来欺骗用户同意。” 5、电信诈骗盯上高考考生：发短信称“有作弊行为”并引导回电 https://www.ithome.com/0/775/189.htm 据工信部反诈专班、中国警察网今日通报，近期有网友反映，高考后收到了声称自己在考试中“被监控发现有作弊行为，该科成绩为 0 分”的信息，并留下了当地“教育部门”的电话，引导其致电“咨询详细情况”。 6、苹果、谷歌等因涉嫌违规收集用户数据被韩国罚款超2亿韩元 https://www.ithome.com/0/775/024.htm 因涉嫌未经用户同意收集位置数据、违反披露位置数据政策条款等行为，苹果被韩国监管机构处以 2.1 亿韩元（当前约 111.1 万元人民币）的罚款。 7、虚假2024年巴黎夏季奥运会门票已在网络中出现 https://cybernews.com/news/fake-paris-2024-summer-olympic-games-tickets/ Proofpoint的研究人员在谷歌上搜索了2024年巴黎奥运会的门票。在众多结果中，他们发现了一个指向欺诈网站的链接。 8、半导体厂商Kulicke & Soffa泄露了1200万份文件 https://cybersecuritynews.com/kulicke-soffa-data-breach/ 领先的半导体封装和电子组装解决方案提供商 Kulicke and Soffa Industries， Inc. （K&S） 披露了一起数据泄露事件，该事件已泄露了大约 1200 万个文件。 9、暗网市场Empire Market 运营者被指控促成4.3 亿美元非法交易 https://securityaffairs.com/164619/deep-web/empire-market-owners-charged.html 联邦当局指控两名个人运营暗网市场 Empire Market，促成了超过 4.3 亿美元的非法交易。这两名男子被指控促成了超过 400 万笔交易，总价值超过 4.3 亿美元，涉及非法商品和服务。当局指控他们犯有多项罪行，包括贩毒、计算机欺诈、访问设备欺诈、伪造和洗钱，最高可判处终身监禁。佩维和汉密尔顿目前被美国执法部门拘留，尚未安排提审。 10、香港中文大学遭遇黑客攻击致大规模数据泄露 https://www.anquanke.com/post/id/297316 据香港中文大学CUSCS 称，泄露的数据包括 20,870 个 Moodle 帐户的姓名、电子邮件地址和学生编号，这些帐户包括导师、学生、毕业生和访客。据报道，这些个人数据是在该机构一所学校的服务器遭到黑客攻击后被盗的。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、研究人员发现针对错误配置Kubernetes集群的挖矿活动 https://www.wiz.io/blog/dero-cryptojacking-campaign-adapts-to-evade-detection 研究人员警告称，一场正在进行的加密劫持活动正针对配置错误的Kubernetes集群来挖掘Dero加密货币。在这次事件中，威胁行为者利用对互联网开放的集群的匿名访问来启动恶意容器镜像，这些镜像托管在Docker Hub上，有些已超过10000次下载。这些Docker镜像包含一个UPX包装的DERO挖矿程序，名为‘pause’。 2、Black Basta勒索软件疑似利用微软Windows零日漏洞 https://symantec-enterprise-blogs.security.com/threat-intelligence/black-basta-ransomware-zero-day 据研究人员的新发现，与Black Basta勒索软件有关的威胁行为者可能利用了最近披露的微软Windows错误报告服务中的权限提升漏洞作为零日漏洞。该安全漏洞是CVE-2024-26169（CVSS评分：7.8），是Windows错误报告服务中的一个权限提升漏洞，可能被利用以获得SYSTEM权限。微软于2024年3月修补了该漏洞。研究人员团队表示：“对最近攻击中部署的漏洞利用工具的分析显示，其编译 3、Arid Viper组织利用AridSpy木马发起移动端间谍活动 https://www.welivesecurity.com/en/eset-research/arid-viper-poisons-android-apps-with-aridspy/ 据研究人员发布的一份报告称，名为Arid Viper的威胁行为者被认为与利用被植入木马的Android应用程序分发间谍软件AridSpy的移动间谍活动有关。研究人员说：“恶意软件通过冒充各种消息应用程序、工作机会应用程序和巴勒斯坦民事登记应用程序的专用网站传播。这些通常是通过添加AridSpy恶意代码而被植入木马的现有应用程序。”据称，自2022年以来，这一活动已涉及多达五个行动，研究人员记录了AridSp 4、Veeam恢复编排器严重认证绕过漏洞利用代码被公开 https://summoning.team/blog/veeam-recovery-orchestrator-auth-bypass-cve-2024-29855/ 一个关键的Veeam恢复编排器（VRO）认证绕过漏洞（编号CVE-2024-29855）的概念验证（PoC）利用已发布，增加了被攻击利用的风险。该漏洞利用由安全研究员Sina Kheirkha开发，他还在自己的网站上发布了详细的文章。文章展示了该漏洞实际上比供应商公告所暗示的更容易被利用。CVE-2024-29855在CVSS v3.1中被评为9.0（“关键”），是影响Veeam恢复编排器版本7.0.0.337和7.1.0.2 5、Life360平台客户数据泄露后遭遇攻击者勒索 http://www.tile.com/en-us/blog/unauthorized-access-incident-2024 安全和位置服务公司Life360表示，在威胁行为者入侵并窃取Tile客户支持平台的敏感信息后，他们成为勒索企图的目标。Life360为全球超过6600万会员提供实时位置跟踪、碰撞检测和紧急道路援助服务。2021年12月，Life360以2.05亿美元收购了蓝牙追踪服务提供商Tile。周三，Life360透露，一名攻击者入侵了Tile客户支持平台，获取了姓名、地址、电子邮件地址、电话号码和设备识别号码等信息。Life360 CEO Chris Hulls表示：“与许 6、AWS增加支持Passkey的多因素认证方案需用户启用MFA http://aws.amazon.com/blogs/security/passkeys-enhance-security-and-usability-as-aws-expands-mfa-requirements/ Amazon Web Services（AWS）引入了FIDO2 Passkey作为一种新的多因素认证（MFA）方法，以增强账户安全性和可用性。此外，正如去年10月宣布的那样，该互联网公司提醒我们，“root” AWS账户必须在2024年7月底之前启用MFA。FIDO2 Passkey是物理（硬件密钥）或基于软件的认证解决方案，利用公钥加密（公钥+私钥对）来签署服务器发送的用 7、美国Truist银行泄露数据被公开在黑客论坛出售 https://www.bleepingcomputer.com/news/security/truist-bank-confirms-data-breach-after-stolen-data-shows-up-on-hacking-forum/ 领先的美国商业银行Truist确认其系统在2023年10月的一次网络攻击中被入侵，此前一名威胁行为者在黑客论坛上出售该公司的部分数据。总部位于北卡罗来纳州夏洛特市的Truist银行是在2019年12月SunTrust银行和BB&T（分行银行和信托公司）合并后成立的。现在，Truist已成为总资产达5350亿美元的前十大商业银行，提供广泛的服务，包 8、美国医疗系统巨头Ascension遭遇勒索软件攻击 https://about.ascension.org/en/cybersecurity-event 美国最大的医疗系统之一Ascension透露，2024年5月的勒索软件攻击是由一名员工下载恶意文件到公司设备引起的。Ascension表示，这可能是一次“无心之失”，因为该员工以为他们下载的是一个合法文件。该攻击影响了MyChart电子健康记录系统、电话和用于订购测试、手术和药物的系统，促使这家医疗巨头在5月8日将一些设备下线，以遏制当时被描述为“网络安全事件”。这迫使员工以纸质记录程序和药物，因为他们无法再电子访问病人记录。Ascension还暂停了一些非紧急选择性手术、测试和预约，并将急 9、华硕修复了多款路由器中严重的身份验证绕过漏洞 https://securityaffairs.com/164549/security/asus-router-models-critical-rce.html 华硕解决了一个严重的远程身份验证绕过漏洞，该漏洞编号为 CVE-2024-3080 （CVSS v3.1 分数：9.8），影响七种路由器型号。该漏洞是一个身份验证绕过问题，远程攻击者可以利用该漏洞无需身份验证即可登录设备。 10、网络犯罪分子使用PhantomLoader分发SSLoad恶意软件 https://intezer.com/blog/research/ssload-technical-malware-analysis/ 根据网络安全公司的发现，新出现的SSLoad恶意软件通过一种以前未记录的加载程序PhantomLoader进行分发。安全研究员在本周发布的一份报告中表示：“加载程序通过二进制修补文件并使用自修改技术来规避检测，添加到合法的DLL（通常是EDR或AV产品）中。”SSLoad可能通过恶意软件即服务（MaaS）模式提供给其他威胁行为者，由于其不同的分发方法，通过网络钓鱼邮件渗透系统，进行侦察，并向受害者推送其他类型的恶意软件。研究人员此前的报告揭示了使用SSLo 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、VBEM平台身份认证绕过漏洞利用代码被公开 https://summoning.team/blog/veeam-enterprise-manager-cve-2024-29849-auth-bypass/ 一个针对Veeam Backup Enterprise Manager身份验证绕过漏洞（CVE-2024-29849）的概念验证（PoC）利用代码现已公开，使管理员必须紧急应用最新的安全更新。Veeam Backup Enterprise Manager（VBEM）是一个基于Web的平台，用于通过Web控制台管理Veeam Backup & Replication安装。它有助于控制备份任务并在组织的备份基础设施和大规模部署中执行恢复 2、Google警告Pixel固件中存在已被利用的零日漏洞 https://source.android.com/docs/security/bulletin/pixel/2024-06-01 Google警告称，影响Pixel固件的安全漏洞在野外被作为零日漏洞利用。这个高严重性漏洞被标记为CVE-2024-32896，被描述为Pixel固件中的权限提升问题。该公司未分享任何与利用此漏洞的攻击性质相关的详细信息，但指出“有迹象表明CVE-2024-32896可能正在有限的、针对性的利用中。2024年6月的安全更新解决了总共50个安全漏洞，其中五个涉及高通芯片组的各种组件。 3、BlackBerry Cylance公司称泄露数据出自第三方合作平台 https://www.bleepingcomputer.com/news/security/cylance-confirms-data-breach-linked-to-third-party-platform/ 网络安全公司Cylance确认在黑客论坛上出售的数据是从“第三方平台”窃取的旧数据。名为Sp1d3r的威胁行为者正在以75万美元出售这些被盗数据，这些数据据称包括大量信息，如3400万个客户和员工的电子邮件以及Cylance客户、合作伙伴和员工的个人身份信息。然而，研究人员称泄露的样本似乎是Cylance使用的旧营销数据。该公司称相关数据是从一个与BlackBerry无关的第三方 4、研究人员发现已有数百万次安装的恶意VSCode扩展 https://www.bleepingcomputer.com/news/security/malicious-vscode-extensions-with-millions-of-installs-discovered/ 一组以色列研究人员探索了Visual Studio Code市场的安全性，并通过将流行的“Dracula Official”主题的副本特洛伊化为包含风险代码，成功“感染”了超过100个组织。进一步的研究发现，VSCode Marketplace上有数千个扩展程序，安装次数达到了数百万。Visual Studio Code（VSCode）是由微软发布的源代码编辑器，许多专 5、Chrome 浏览器扩展 EmailGPT 曝出高危零日漏洞 https://www.itsec.ru/news/rasshireniye-emailgpt-dlia-pochti-google-soderzhit-neispravlennuyu-0day-uyazvimost 安全漏洞由 Synopsys 网络安全研究中心的专家发现并上报，追踪为 CVE-2024-5184（CVSS 得分为 6.5），是一个 "提示注入 "类型的漏洞，允许威胁攻击者操纵服务并盗取敏感信息，可能引发知识产权泄露、拒绝服务和大额经济损失。 6、工信部发布关于防范CatDDoS团伙网络攻击的风险提示 https://www.secrss.com/articles/66958 近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现，CatDDoS黑客团伙利用知名厂商网络产品安全漏洞传播恶意样本，在全球范围内实施分布式拒绝服务（DDoS）攻击。 7、新型攻击技术“Sleepy Pickle”瞄准机器学习模型 https://thehackernews.com/2024/06/new-attack-technique-sleepy-pickle.html 一种被称为“Sleepy Pickle”的新型“混合机器学习 (ML) 模型利用技术”的发现， Pickle 格式所带来的安全风险再次凸显出来。根据 Trail of Bits 的说法，这种攻击方法利用用于打包和分发机器学习 (ML) 模型的普遍格式来破坏模型本身，对组织的下游客户构成严重的供应链风险。 8、谷歌安卓系统在巴西测试人工智能驱动的新防盗功能 https://cybernews.com/tech/google-android-tests-ai-anti-theft-feature-brazil/ 谷歌选择在巴西测试所有安卓智能手机的新人工智能防盗功能，使这个南美国家成为这项新防盗技术的首批试用国。该功能的设计初衷是利用人工智能检测手机是否被盗，一旦检测到，手机就会自动远程锁定主屏幕。 9、卡巴斯基揭露中控考勤终端中的 24 个漏洞 https://www.kaspersky.com/about/press-releases/2024_kaspersky-finds-24-vulnerabilities-in-chinese-biometric-access-systems 卡巴斯基发现国际制造商 ZKTeco 生产的混合生物识别终端存在大量漏洞。通过向数据库添加随机用户数据或使用伪造的二维码，恶意攻击者可以轻松绕过验证过程并获得未经授权的访问权限。攻击者还可以窃取和泄露生物识别数据、远程操纵设备并部署后门。 10、Airbnb等旅游类未经允许收集数据，索取手机权限 https://www.freebuf.com/news/403449.html 据CyberNews独家研究的消息，无论是Booking、Airbnb、希尔顿还是丽笙，这些市场上Top级别的酒店或旅行类相关应用程序都会不同程度地尝试在未询问的情况下获取用户敏感权限及数据。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、克利夫兰市遭遇网络攻击迫使关闭其IT系统 https://fox8.com/news/cleveland-city-hall-investigating-cyber-incident-i-team/ 俄亥俄州克利夫兰市目前正在应对一场网络攻击，这场攻击迫使其关闭了面向市民的服务，包括Erieview和市政厅的公共办公室和设施。克利夫兰大都市区人口超过200万人，是一个重要的医疗、制造、金融、物流、教育和技术中心，也是俄亥俄州最重要的经济中心。这次中断首次在昨天被披露，当时市政当局警告说，由于网络事件，公共服务已减少到基本操作。今天早些时候通过X上的一条线程提供的状态更新解释说，事件仍在第三方专家的帮助下进行调查。同时，市政厅和Eri 2、微软发布六月份安全补丁修复了51个漏洞 https://msrc.microsoft.com/update-guide/releaseNote/2024-Jun 微软已经发布了更新，修复了51个漏洞，这是其2024年6月补丁星期二更新的一部分。在这51个漏洞中，一个被评为关键漏洞，50个被评为重要漏洞。除此之外，还解决了上个月基于Chromium的Edge浏览器中的17个漏洞。这些安全漏洞中没有一个在野外被积极利用，只有一个在发布时被列为公开已知漏洞。这涉及一个第三方建议，跟踪编号为CVE-2023-50868（CVSS评分：7.5），这是一个影响DNSSEC验证过程的拒绝服务问题，可能导致DNSSEC验证解析器上的CPU耗尽。 3、JetBrains警告IDE漏洞可暴露GitHub访问令牌 https://blog.jetbrains.com/security/2024/06/updates-for-security-issue-affecting-intellij-based-ides-2023-1-and-github-plugin/ JetBrains警告客户修补影响其IntelliJ集成开发环境（IDE）应用程序的关键漏洞，该漏洞暴露了GitHub访问令牌。此安全漏洞的跟踪编号为CVE-2024-37051，影响所有2023.1及以后的基于IntelliJ的IDE，其中启用了并配置/使用了JetBrains GitHub插件。“2024年5月29日，我们收到了外部安全报 4、TellYouThePass勒索软件利用最新PHP RCE漏洞 https://www.imperva.com/blog/update-cve-2024-4577-quickly-weaponized-to-distribute-tellyouthepass-ransomware/ TellYouThePass勒索软件团伙一直在利用最近修补的CVE-2024-4577远程代码执行漏洞，通过PHP传递webshell并在目标系统上执行加密器负载。攻击于6月8日开始，仅在PHP维护者发布安全更新后不到48小时，攻击者就利用了公开的漏洞利用代码。TellYouThePass勒索软件以快速利用具有广泛影响的公共漏洞而闻名。去年11月，他们在攻击中使用了Apach 5、法国电信巨头Corse GSM 20 万客户信息遭泄露 https://www.anquanke.com/post/id/297181 法国一家大型电信公司Corse GSM遭遇了大规模数据泄露。这可能会对其数百万客户产生潜在影响。Corse GSM 数据泄露事件是由一名威胁行为者在流行的数据黑客网站 BreachForums 上使用别名“ssh_xyz”提出的。 6、Linux nftables 漏洞正被积极利用 https://www.solidot.org/story?sid=78395 安全公司 CrowdStrike 报告，今年早些时候发现的 Linux nftables 漏洞正被活跃利用。该漏洞编号 CVE-2024-1086，是在 2024 年 1 月 31 日披露的，危险评分 7.8/10，属于本地提权漏洞，绝大部分 Linux 发行版已经修复。 7、英国和加拿大正在调查 23andMe 数据泄露事件 https://www.bleepingcomputer.com/news/security/23andme-data-breach-under-investigation-in-uk-and-canada/ 加拿大和英国的隐私机构已经启动了一项联合调查，以评估去年 23andMe 数据泄露事件中暴露的敏感客户信息的范围。 8、Fortinet 修补 FortiOS 中的代码执行漏洞 https://www.securityweek.com/fortinet-patches-code-execution-vulnerability-in-fortios/ Fortinet 已修补 FortiOS 中的多个漏洞，包括一个高严重性代码执行安全漏洞。 9、Chrome 126、Firefox 127 修补高危漏洞 https://www.securityweek.com/chrome-126-firefox-127-patch-high-severity-vulnerabilities/ 谷歌和 Mozilla 周二宣布向稳定渠道发布 Chrome 126 和 Firefox 127，其中包含针对多个高严重内存安全漏洞的补丁。 10、乌克兰警方逮捕了开发Conti 和 LockBit加密组件的黑客 https://securityaffairs.com/164475/breaking-news/developer-crypter-conti-lockbit-ransomware.html 乌克兰网络警察逮捕了一名俄罗斯男子，因为他开发了 Conti 和 LockBit 勒索软件操作中使用的加密器组件。该男子于 2024 年 4 月 18 日在基辅被捕，这是名为“终局行动”的国际执法行动的一部分。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

前言 导入地址表钩取的方法容易实现但是存在缺陷，若需要钩取的函数不存在导入地址表中，那么我们就无法进行钩取，出现以下几种情况时，导入函数是不会存储在导入地址表中的。 延迟加载：当导入函数还没调用时，导入函数还未写入到导入地址表中。 动态链接：使用LoadLibrary与GetProcAddress函数时，程序是显示获取函数地址的，因此不会写入到导入地址表中。 手动解析导入函数：即程序自身实现一套导入方法，那么此时也不会将导入函数写入到导入地址表中。 有一种钩取方法解决上述问题即内联钩取（inline hook）。 内联钩取(inline hook) 内联钩取实际是找到需要钩取的函数地址，这里与导入地址表钩取不同的是我们不再局限于导入地址表，而是程序中所有的函数地址都能够作为钩取的对象。 这里以CreateProcessW函数为例，在CreateProcessW函数中，第一条指令是mov edi，edi 那么根据钩取的思路，我们将mov edi，edi这条指令修改为jmp xxx（xxx为我们自定义函数的地址），那么在执行CreateaProcessW函数时即可跳转到我们的自定义函数中。 我们获取mov edi，edi指令的地址，并且将该指令篡改为jmp指令，并且把mov edi，edi指令的数据进行存储，那么在执行到CreateProcessW函数时就会执行jmp指令跳转到自定义函数中，在钩取操作时需要将指令写回，还原CreateProcessW函数的执行逻辑，就可以在钩取的同时无碍的执行程序。 那么总结一下内联钩取函数的流程 找到需要钩取的函数的指令地址，这个指令并不仅限于函数起始的指令。 将该指令篡改成跳转指令，跳转的目的就是自定义的函数。 在自定义函数内需要还原被钩取函数的指令。 因此内联钩取的实际就是修改程序执行逻辑，劫持程序的执行流程。由于32位程序与64位程序的汇编语言与寻址方式有些许差异，因此不同机器位数的程序的内联钩取方式不同。 机器码的获取 由于在篡改内存时需要将jmp xxx的机器码填写到内存中，因此做内联钩取时需要获取指令对应的机器码。在C语言中支持内联汇编，因此可以使用内联汇编然后查看对应的机器码即可。 但是直接使用visual studio编译64位程序的内联汇编代码会出错，这是因为visual studio自带的编译工具不支持x64的内联汇编。 因此需要先安装clang编译器 在项目的编译工具选择clang即可 在反汇编窗口中就有机器码了。 32位的内联钩取 首先第一步是确定在32位程序下是如何进行跳转的，在32位情况使用跳转指令是根据偏移获取目的地址，偏移的计算公式如下 跳转偏移 = 跳转目的地址 - 当前指令地址 - 指令长度 因此jmp xxx中，xxx是偏移值而不是目的函数的绝对地址。 紧接着需要确定在32位下跳转指令的机器码是多少，用下面例子看看 void MyCreateProcess() { } int main() { __asm { jmp MyCreateProcess; }; } 可以看到对应的机器码为E9 EB FF FF FF 可以看到目标函数的地址为0xA71000，使用上述公式计算一下偏移为0xA71000 - 0x0A71010 - 5 = 0xffffffeb，因此E9为jmp的机器码 因此需要将待钩取函数的第一条指令修改为E9 XX XX XX XX XX，长度为5个字节 然后选择一个目标函数，这里还是使用CreateProcessW函数作为例子，需要先获取CreateProcessW函数的地址   ...    hMoudle = GetModuleHandleA(szDllName); //获取Kernel32.dll模块的地址    if (hMoudle == NULL)   {        GetLastError();   }        pfnOld = GetProcAddress(hMoudle, funName);//获取CreateProcessW函数地址    if (pfnOld == NULL)   {        GetLastError();   } ... 然后需要保存原始指令，然后修改区域为可写权限，紧接着计算一下偏移把完整的指令写进到待钩取函数即可。 ... //修改权限    VirtualProtect(pfnOld, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);    //存储原始的5个字节    memcpy(pOrgBytes, pfnOld, 5);    //计算需要跳转到的地址    //跳转偏移 = 跳转目的地址 - 当前指令地址 - 指令长度    dwAddress = (ULONGLONG)pfnNew - (ULONGLONG)pfnOld - 5; //将目标函数的地址写入到指令中    memcpy(&pBuf[1], &dwAddress, 4); //篡改为跳转指令    memcpy(pfnOld, pBuf, 5); //还原权限    VirtualProtect(pfnOld, 5, dwOldProtect, &dwOldProtect); ... 64位的内联钩取 64位下的规则会与32位有差异，但是总体思路是一致的。在32位下我们采用了偏移的方式找到目标函数，在64位下可以换种方式，采用mov rax, xxx; jmp rax，将函数的绝对地址写入寄存器，然后跳转到指定寄存器的方式。 如下例子，我们首先获取自定义函数的绝对地址，紧接着将它存放于寄存器中，紧接着跳转即可。 int main() { __asm { mov rax, 0x1122334455667788; jmp rax; }; } 可以看到mov rax, xxx; jmp rax指令的机器码为48 B8 xx xx xx xx xx xx xx xx FF E0，其中由于64位地址都是8字节的，因此需要xx需要填充8字节 因此总体代码与32位区别不大，这里需要注意的是篡改的指令长度需要根据实际进行更改。    /*    * 48 B8 88 77 66 55 44 33 22 11 mov rax, 0x1122334455667788    * FF E0                         jmp rax    * 需要12个字节进行跳转    */    //修改区域权限    VirtualProtect((LPVOID)pfnOrg, 12, PAGE_EXECUTE_READWRITE, &dwOldProtect);    //保存原有的12字节数据    memcpy(pOrgBytes, pfnOrg, 12);    //将HOOK函数的地址填进缓冲区    //将目标地址拷贝到指令中    memcpy(&pBuf[2], &pfnNew, 8);    //篡改待钩取函数    memcpy(pfnOrg, pBuf, 12);    //恢复权限    VirtualProtect((LPVOID)pfnOrg, 12, dwOldProtect, &dwOldProtect); 因此任意可以修改函数执行流程的汇编指令实际都可以例如push xxx; ret。 完整代码可以参考： https://github.com/h0pe-ay/HookTechnology/tree/main/Hook-InlineHook总结 优势 内联钩取相较于导入表钩取的选择性更广，可以选择任意的函数及函数内的任意指令地址。 劣势 每次都需要脱钩后再进行挂钩，影响效率 多线程写入时可能会出错