上周初，被扔过来单位内部的一个链接，让渗透一下，本以为三下五除二很快就能测完，没想到在对抗杀软时费了一番功夫，再加上杂七杂八的事儿，经过了一个星期才测完(＃￣～￣＃)。打开链接，见到一个熟悉的登录框，是一个资产管理系统。 在进行了一番端口目录、认证机制、会话管理、授权访问等方面的检查后发现了一些问题，这里不做赘述，此次重点想写写拿shell的经历。进入主页面，没用多长时间就找到了上传点，而且有两个。一个是头像上传，涉及裁剪、压缩等操作。 另一个是工具上传，允许直接上传文件（包）。两全伤害取其轻，就用这个。 创建个txt，随便加点内容进去，burp抓包看看这个功能的情况。 上传成功，并且有回显路径，有戏。 访问一下文件地址也展现出来了，直接上马子试试。 被阻断，不允许上传.java、.class、.jsp、.html等类型文件。一看就是之前经历过渗透测试，吃过亏（事后查了一下这家软件公司，做了不少企业的资产管理系统，是个成熟的项目，而且公司在2023年中已经上市，尽管在北交所，也必然会遵循一定的代码规范）。刚才上传用的是冰蝎4，查看burp的history中并无请求出现，证明是前端验证。尝试绕过前端验证，直接将冰蝎源码上传。 成功绕过，并且返回了文件路径……这就要完活儿了？！似乎有些轻松。访问一下： 404，文件没了。紧接着又拿哥斯拉试了一遍，同样是返回了路径，同样是404……猜测可能有杀软，落地文件被删除。接下来要做免杀了，使用在线工具对webshell进行变异，上传后一路404，更加确定杀软的存在。并且这款杀软的静态特征检测库还很全，如果仅仅混淆边边角角的代码是无法过它的，猜测它是能够匹配关键代码、关键API。 变异的厉害了还抛出了500，破坏了webshell自身的逻辑，甚至是添加了错误代码。看来省事儿的方式效果不理想，想要落地还是得自己动手，ε=(´ο｀*)))唉。 最后使用了一个加长版的一句话木马才成功落地，请求如下： 访问文件路径并带上whoami。 直接就是administrator管理员。此马儿与传统的一句话jsp一样，也是用Runtime来执行命令，只不过前面加了一个参数pwd固定值判断，后面使用System.out来print一个String，并且这个String是命令执行的结果。 <% if("023".equals(request.getParameter("pwd"))){ java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream(); int a = -1; byte[] b = new byte[2048]; out.print("<pre>"); while((a=in.read(b))!=-1){ out.println(new String(b)); } out.print("</pre>"); } %> 但是蚁剑不给力，连接时报500。尝试了多种设置均以失败告终，哪位大神研究过蚁剑还请指导一下，Thanks♪(･ω･)ﾉ。 测试到这个地步对于这个活儿来说其实可以交差了，已经拿到了权限，但如果想进行横向的话是无法继续利用的，所以还是要做免杀。掏出珍藏多年的idea（鄙视自己一下ε(┬┬﹏┬┬)3），打开冰蝎，调好格式，尝试做混淆。鉴于前面踩过坑，已经了解到该杀软能够检测到关键代码，所以直接分析源码。作为webshell，回显是必须的功能，而对于冰蝎来说，response数据来自于request.getReader().readLine()。因此直接对第18行动手，先用注释尝试一下，随便填加一些字符。 发送请求： 成功。访问一下回显路径： 空白页，没有报404，证明文件确实落地了，没有被杀掉。上冰蝎： 连接成功！免杀完毕。这次是真的可以交差了。进来后第一件事儿就是看看到底是哪个杀软在作祟： MsMpEng.exe，微软的Windows Defender。 好奇心驱使，又拿了一个原版的冰蝎本地验证一下，果不其然，被秒杀（图中右上角的文件）： 总结，这次拿shell的过程主要是在对抗杀软上耗费了很多时间，其次是在寻找杀软的进程上。因为服务器上一般都有专业杀毒软件或者HIDS防护，没有想到是Windows自己的Defender。虽然在写的时候只用一句话一张图带过，但在搜索进程的时候还特地整理了一份常见杀软的表格，挨个儿比对才有了最后那张图。

1、Lazarus组织利用Windows零日漏洞获取内核权限 https://decoded.avast.io/janvojtesek/lazarus-and-the-fudmodule-rootkit-beyond-byovd-with-an-admin-to-kernel-zero-day/ 据研究人员披露，Lazarus组织利用了Windows AppLocker驱动程序(appid.sys)的一个未知的零日漏洞，获取了目标系统的内核级别的权限，并关闭了可能检测到他们的安全工具。该漏洞被微软标记为CVE-2024-21338，并在2月份的补丁更新中修复。该漏洞存在于Windows AppLocker驱动程序的IOCTL分发器中，可以让攻击者在内核 2、Predator间谍软件在曝光后仍在活跃 https://go.recordedfuture.com/hubfs/reports/cta-2024-0301.pdf Predator间谍软件是一种针对高价值目标的手机监控工具。Predator间谍软件可以利用零日漏洞攻击Android和iOS设备，获取设备上的所有数据和权限。2021年8月至10月，研究人员发现了三起利用Predator间谍软件的网络攻击活动，目标包括欧盟议会主席、台湾总统、美国国会议员和德国驻美国大使等。这些攻击都是通过发送伪装成URL缩短服务的一次性链接来实施的，一旦用户点击链接，就会被重定向到攻击者控制的域名，从而触发零日漏洞并下载Predator间谍软件。Pr 3、Savvy Seahorse利用DNS骗局诱导投资者进入假冒平台 https://insights.infoblox.com/resources-whitepaper/infoblox-report-blog-beware-the-shallow-waters-savvy-seahorse-lures-victims-to-fake-investment-platforms-through-facebook-ads Savvy Seahorse是一个网络威胁行为者，专门针对投资平台进行DNS骗局，诱导用户进入伪造的网站，然后窃取他们的资金和个人信息。Savvy Seahorse使用Facebook广告，假冒知名公司如Tesla和Facebook/Meta， 4、数据库暴露导致世界科技巨头的2FA代码泄露 https://techcrunch.com/2024/02/29/leaky-database-two-factor-codes/ 根据报道，一家在全球范围内提供短信转发服务的亚洲科技和互联网公司YX International，因为未对其内部数据库进行密码保护，导致其数据库被公开暴露在互联网上，任何人都可以通过浏览器访问其中的敏感数据。这些数据包括了为用户发送的一次性验证码和密码重置链接，这些验证码和链接可能被用于访问用户的Facebook、Google、TikTok等账户。YX International是一家生产移动网络设备和提供短信转发服务的公司。短信转发服务可以帮助将及时的短信信 5、欧洲零售巨头Pepco遭遇钓鱼攻击损失1550万欧元 https://www.pepcogroup.eu/media-news/pepco-group-n-v-notice-regarding-hungarian-business/ Pepco集团(Pepco或Group)是一家在欧洲16个国家经营超过3000家折扣店的零售公司。该公司近日公布，其在匈牙利的业务遭到了一场复杂的钓鱼攻击，导致约1550万欧元的现金损失。据报道，攻击者冒充Pepco的高管，通过电子邮件诱骗员工转账给一个虚假的账户。Pepco表示，这起事件已经报告给了相关的执法机构，并正在与保险公司合作，以尽可能地挽回损失。Pepco还表示，这起攻击并未影响其业务运营，也没有泄露任 6、GitHub遭大规模攻击，超过 10 万个存储库被感染 https://www.freebuf.com/news/393211.html 网络安全公司 Apiiro 报告称，GitHub 遭受了大规模攻击，可能影响成千上万的人。这种攻击涉及克隆安全且干净的存储库，添加恶意的、模糊的代码后重新上传。 7、美国法院命令NSO集团将其间谍软件代码交给WhatsApp https://www.freebuf.com/news/393207.html 近日，美国法院下令要求以色列间谍软件开发商NSO集团将其Pegasus间谍软件的代码交给WhatsApp。2019年，NSO集团利用WhatsApp的安全漏洞对1400名用户进行了为期两周的监视。同年，WhatsApp向该公司提起了法律诉讼。自那时起，诉讼一直在进行。 8、史上首次：美国禁止向中国跨境传输数据 https://www.secrss.com/articles/64022 美国方面依据《国际紧急经济权力法》发布了一项保护美国人个人敏感数据免遭“受关注国家”利用的行政命令，尽管详细信息还没有披露出，但从已有信息已经可以判断，美国政府决意切断某些敏感数据向中国和其他几个同样被美国视为“外国敌手”的国家的跨境传输。 9、海康威视修补安全管理系统中的高危漏洞 https://www.securityweek.com/hikvision-patches-high-severity-vulnerability-in-security-management-system/ 视频监控设备制造商海康威视宣布修补其安全管理系统 HikCentral Professional 中的两个漏洞。这些缺陷中最重要的是 CVE-2024-25063，这是一个高严重性缺陷，可能导致对某些 URL 进行未经授权的访问。该错误影响 HikCentral Professional 版本 2.5.1 及更低版本。 10、美国指控伊朗黑客，悬赏1000万美元抓获 https://thehackernews.com/2024/03/us-charges-iranian-hacker-offers-10.html 美国司法部 (DoJ) 周五公布了对一名伊朗国民的起诉书，该名伊朗国民涉嫌参与旨在损害美国政府和私人实体的多年网络活动。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Bifrost恶意软件伪装成VMware域名进行逃避 https://unit42.paloaltonetworks.com/new-linux-variant-bifrost-malware/ Bifrost是一种远程访问木马(RAT)，可以让攻击者控制受感染的系统。最近，研究人员发现了一种新的Bifrost Linux变种，它采用了一些新颖的逃避技术，包括使用一个欺骗性的域名，让人误以为是VMware的一部分。该域名为download.vmfare[.]com，与VMware的合法域名非常相似，因此可能在检查时被忽略。该恶意软件通过该域名与其命令和控制服务器通信，接收指令和发送数据。此外，该恶意软件还具有自删除功能，可以在执行完毕后清除自身 2、GTPDOOR恶意软件利用GPRS隧道攻击电信网络 https://doubleagent.net/telecommunications/backdoor/gtp/2024/02/27/GTPDOOR-COVERT-TELCO-BACKDOOR 研究人员最近发现了一款名为GTPDOOR的新型Linux恶意软件，专为部署在与GPRS漫游交换(GRX)网络相邻的电信网络中设计。该恶意软件在利用GPRS隧道协议(GTP)进行指挥控制(C2)通信方面独树一帜。GPRS漫游允许用户在远离其主手机网络时访问GPRS服务，由GRX转运使用GTP在来访和主公共陆地移动网络(PLMN)之间传递漫游流量。研究人员分析认为这一后门与已知的威胁行为者LightBas 3、新型Silver SAML攻击规避身份系统内部Golden SAML防御 https://www.semperis.com/blog/meet-silver-saml/ 研究人员披露了一种名为Silver SAML的新攻击技术，即使在已对Golden SAML攻击采取了缓解措施的情况下，该技术也能成功执行攻击。Silver SAML利用SAML漏洞，允许攻击者从诸如Entra ID这样的身份提供商对配置它用于身份验证的应用程序(例如Salesforce)发起攻击。Golden SAML(安全声明标记语言的简称)首次由CyberArk在2017年记录。简言之，这种攻击手段涉及滥用互操作身份验证标准来冒充组织中几乎任何身份。这也类似于Golden Ticket攻击，因 4、研究人员发现零点击Facebook账号接管漏洞 https://infosecwriteups.com/0-click-account-takeover-on-facebook-e4120651e23e 研究人员警告说，Facebook的一个关键漏洞可能允许网络威胁行为者劫持任何Facebook账户。研究人员把这个漏洞描述为Facebook密码重置流程特定端点的速率限制问题。攻击者本可以利用这个漏洞通过暴力破解特定类型的一次性数字(nonce)来接管任何Facebook账户。研究人员发现该问题影响Facebook的密码重置程序，当用户选择“通过Facebook通知发送代码”时。分析易受攻击的端点，研究人员发现三个条件为暴力攻击打开了大门： 5、CutOut.Pro AI工具否认被黑客入侵泄露2000万用户信息 https://www.hackread.com/hacker-cutout-pro-ai-tool-data-breach/ CutOut.Pro AI工具是一个提供AI照片和视频编辑功能的在线平台。近日，有黑客声称已经入侵了该平台的系统，并窃取了2000万用户的敏感信息，包括姓名、邮箱、密码、IP地址、支付方式等。黑客还在暗网上出售这些信息，每条信息的价格为0.01比特币。然而，CutOut.Pro AI工具对此事进行了否认，称黑客的说法是“明显的骗局”，并表示他们的系统没有遭到任何入侵或泄露。该平台还提供了一份声明，解释了他们的安全措施和用户数据保护政策。 6、研究人员发现PDF文件中的恶意代码激增 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rise-in-deceptive-pdf-the-gateway-to-malicious-payloads/ 研究人员发现了PDF文件中的恶意代码的显著增长，这些PDF文件通常通过电子邮件附件的形式传播，隐藏在各种主题下，如发票、紧急通知、诱导性的按钮等，诱骗用户打开或点击。这些PDF文件利用了PDF文件的复杂结构和JavaScript功能，可以直接或间接地执行嵌入的恶意脚本，从而启动PowerShell，注入进程，或者跳转到恶意网站，下载恶意载荷。研究人员表示，这些PDF文件中的恶 7、德国警方查封最大的德语网络犯罪市场 https://securityaffairs.com/159813/cyber-crime/germany-police-seized-crimemarket.html 近日，德国杜塞尔多夫警方宣布，一场大规模的国际执法行动成功查封了最大的德语网络犯罪市场Crimemarket，并逮捕了其中一名运营者。该网络犯罪市场已经存在了超过15年，提供了各种网络犯罪服务，如销售恶意软件、黑客工具、盗取的数据、假身份证、假钞等。据报道，Crimemarket拥有超过50万名注册用户，其中包括许多知名的网络犯罪分子，如Emotet、Trickbot、Ryuk等恶意软件的运营者。该网络犯罪市场的特点是采用 8、CISA等机构联合发布关于Phobos勒索软件防御指南 https://www.cisa.gov/sites/default/files/2024-02/aa24-060a-stopransomware-phobos-ransomware_1.pdf CISA，FBI和MS-ISAC发布了一份关于Phobos勒索软件的联合网络安全指南，该活动旨在发布一些针对网络防御者的咨询，详细介绍了各种勒索软件变体和勒索软件威胁行为者。这些防御指南内容包括了最近和历史上观察到的TTPs和IOCs，以帮助组织防范勒索软件。Phobos勒索软件是一种RaaS模式的勒索软件，自2019年5月以来，MS-ISAC就经常收到影响州，地方，部落和领土(SLTT)政府的Ph 9、IBM 发布全新AI SSD，60 秒内检测并清除勒索软件 https://www.ithome.com/0/752/804.htm IBM 公司近日发布新闻稿，宣布推出新版 FlashCore Module 存储硬盘和新版 Storage Defender 软件，两者结合可提高客户检测和应对网络攻击或勒索软件的能力。 10、LockBit利用新的服务器和加密器再次发起攻击 https://www.bleepingcomputer.com/news/security/lockbit-ransomware-returns-to-attacks-with-new-encryptors-servers/ 在不久前因联合执法行动而中断服务后，LockBit 勒索软件团伙使用更新后的加密器和链接到新服务器的勒索票据再次发起攻击。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

不知道你是否使用过IDA的条件断点呢？在IDA进阶使用中，它的很多功能都有大作用，比如：ida-trace来跟踪调用流程。同时IDA的断点功能也十分强大，配合IDA-python的输出语句能够大杀特杀！ 那么本文就介绍一下这个功能点，使用z3来秒解题目。 条件断点 什么是条件断点呢？ 条件断点（ConditionalBreakpoint）是一种在代码调试过程中设置的断点，它可以根据特定的条件暂停程序的执行。当程序执行到设置了条件断点的代码行时，如果该条件为真，则程序会暂停执行；如果该条件为假，则程序会继续执行。这种调试技术常用于复杂的程序调试，能够帮助程序员更快地发现程序中的错误，并提高调试的效率。条件断点可以应用于多种编程语言和开发环境中，如C++、Java、Python等。 与普通的断点大差不差，不同点在于，程序运行到条件断点处时，不会让程序暂停，而是继续执行，并执行我们设置好的脚本。 OK，接下来让我们分析这道题目 初次分析 main函数 flag的格式 打开main函数，发现使用了SIMD指令赋值了一些关键数据 继续分析 看来cry1和cry2是很关键的函数 密文： cry1 发现对我们的输入flag，进行一些转换： 比如：位置顺序和对我们的flag异或一个固定的值。 异或的值是由上下文决定的，但是总是单字节固定 将输入的flag运算完后，转换为 一个int类型的矩阵 初次分析到此结束 cry2 条件断点妙用 经过动调，我发现关键的加密就这三个汇编指令。 意思：取flag->与一个固定的矩阵相乘->输出加密之后的矩阵 如果我们能够打印，加密前的flag和相乘的矩阵元素，就可以逆推明文啦 主要是不清楚，矩阵相乘的顺序，可能是打乱的，那样只能这样来做。 使用了：条件断点 这三个断点依次使用下面3个条件输出 主要是这两个命令： get_reg_value("rbx") 获取rbx寄存器的值 idc.get_wide_dword() 获取某地址的值（4字节读取）  print("[rbx] = ",hex(idc.get_wide_dword(get_reg_value("rbx"))))    print("rax = ",hex(get_reg_value("rax")),"[rdi]=  ",hex(idc.get_wide_dword(get_reg_value("rdi"))))    print("output，rax = ",hex(get_reg_value("rax")),"n") 然后edit breakpoint OK，见证奇迹的时刻到了，运行程序，成功输出： 推导 因为密文说16字节的，我们将真正的密文提取出来和我们输入假flag产生的密文也提取出来，进行对比 Python 密文  unsigned int data[16] = {  0x00000436, 0x000002B4, 0x000002AF, 0x00000312, 0x000002EA, 0x00000253,  0x0000020A, 0x0000028E,  0x000001C6, 0x0000015C, 0x0000017C, 0x0000017A, 0x0000069E, 0x000004AE,  0x000004B1, 0x00000522 };    假flag输出的结果密文  unsigned int data[16] = {  0x00000466, 0x000002F9, 0x00000329, 0x0000046E, 0x00000290, 0x00000184,  0x000001E4, 0x0000023A,  0x00000183, 0x000000C1, 0x0000011E, 0x00000122, 0x00000646, 0x00000467,  0x000004F7, 0x000005EA };    这是根据条件输出得到的规律；    x1*1+x2*5+x3*4+x4*3=0x436  y1*1+y2*5+y3*4+y4*3=0x2B4  z1*1+z2*5+z3*4+z4*3=0x2AF  n1*1+n2*5+n3*4+n4*3=0x312    x1*2+x2*1+x3*2+x4*3=0x2EA  y1*2+y2*1+y3*2+y4*3=0x253  z1*2+z2*1+z3*2+z4*3=0x20A  n1*2+n2*1+n3*2+n4*3=0x28E    x1*2+x2+x3+x4=0x1c6  y1*2+y2+y3+y4=0x15c  z1*2+z2+z3+z4=0x17c  n1*2+n2+n3+n4=0x17a    x1*3+x2*5+x3*4+x4*7=0x69e  y1*3+y2*5+y3*4+y4*7=0x4ae  z1*3+z2*5+z3*4+z4*7=0x4b1  n1*3+n2*5+n3*4+n4*7=0x522 z3解密 解密脚本： Python from z3 import *    # 定义变量  x = [Int(f'x{i}') for i in range(1, 5)]  y = [Int(f'y{i}') for i in range(1, 5)]  z = [Int(f'z{i}') for i in range(1, 5)]  n = [Int(f'n{i}') for i in range(1, 5)]    # 定义目标值  goal = [  0x466,  0x2f9,  0x329,  0x46e,  0x290,  0x184,  0x1e4,  0x23a,  0x183,  0xc1,  0x11e,  0x122,  0x646,  0x467,  0x4f7,  0x5ea ]    # 定义约束条件  constraints = [  x[0]*1 + x[1]*5 + x[2]*4 + x[3]*3 == goal[0],  y[0]*1 + y[1]*5 + y[2]*4 + y[3]*3 == goal[1],  z[0]*1 + z[1]*5 + z[2]*4 + z[3]*3 == goal[2],  n[0]*1 + n[1]*5 + n[2]*4 + n[3]*3 == goal[3],  x[0]*2 + x[1]*1 + x[2]*2 + x[3]*3 == goal[4],  y[0]*2 + y[1]*1 + y[2]*2 + y[3]*3 == goal[5],  z[0]*2 + z[1]*1 + z[2]*2 + z[3]*3 == goal[6],  n[0]*2 + n[1]*1 + n[2]*2 + n[3]*3 == goal[7],  x[0]*2 + x[1] + x[2] + x[3] == goal[8],  y[0]*2 + y[1] + y[2] + y[3] == goal[9],  z[0]*2 + z[1] + z[2] + z[3] == goal[10],  n[0]*2 + n[1] + n[2] + n[3] == goal[11],  x[0]*3 + x[1]*5 + x[2]*4 + x[3]*7 == goal[12],  y[0]*3 + y[1]*5 + y[2]*4 + y[3]*7 == goal[13],  z[0]*3 + z[1]*5 + z[2]*4 + z[3]*7 == goal[14],  n[0]*3 + n[1]*5 + n[2]*4 + n[3]*7 == goal[15] ]    # 创建求解器  solver = Solver()    # 添加约束条件  solver.add(constraints)    # 求解  if solver.check() == sat:  model = solver.model()  for i in range(1, 5):  print(f'x{i} = {model[x[i-1]]}')  print(f'y{i} = {model[y[i-1]]}')  print(f'z{i} = {model[z[i-1]]}')  print(f'n{i} = {model[n[i-1]]}')  else:  print('无解') 得到的结果，将其按照数组来填充 得到 Python 这是真flag解密后的结果：  x1 = 100  y1 = 89  z1 = 119  n1 = 92    x2 = 66  y2 = 5  z2 = 69  n2 = 4    x3 = 84  y3 = 83  z3 = 4  n3 = 104    x4 = 104  y4 = 82  z4 = 69  n4 = 86    100,89,119,92,66,5,69,4,84,83,4,104,104,82,69,86   这是假flag解密后的结果： x1 = 60  y1 = 1  z1 = 47  n1 = 4    x2 = 88  y2 = 87  z2 = 86  n2 = 95    x3 = 89  y3 = 13  z3 = 14  n3 = 94  x4 = 90  y4 = 91  z4 = 92  n4 = 93    60,1,47,4,88,87,86,95,89,13,14,94,90,91,92,93 按照我的思路来填充结果数组； 因为刚才说了，异或的值不清楚，但是一直为单字节固定值，所以使用Cybe的爆破功能。 根据程序的验证功能可知，flag以Sn@K开头，所以找到了真正的flag 但是顺序发生了变化，下面是假flag生成密文解密之后的结果，发现密文变化了 +-----------------------------------------------------------------------+ | Sn@ku2r3cd3__era                                                      | | Sn@k78906ba15432                                                     | |                                                                                       | | Sn@k0123456789ab                                                    | |                                                                                       | | 经过交换后的结果：                                                      | |                                                                                       | | Sn@k78906ba15432                                                    | |                                                                                       | | 按照我们构造的flag交换顺序后的字符串来恢复            | | 恢复                                                                               | | Sn@k3_are_cu2r3                                                        | +-----------------------------------------------------------------------+ 成功验证！

1、与伊朗有关的黑客瞄准中东航空航天和国防部门 https://thehackernews.com/2024/02/iran-linked-unc1549-hackers-target.html 研究人员发现针对中东国家（包括以色列和阿拉伯联合酋长国（UAE），可能还有土耳其、印度和阿尔巴尼亚）的航空航天和国防工业的涉嫌与伊朗有联系的间谍活动。 研究人员将这一活动归因于伊朗攻击者 UNC1549 ，该攻击者与Tortoiseshell重叠 ，Tortoiseshell是一个已公开 与 伊朗伊斯兰革命卫队 (IRGC)有联系的威胁攻击者。这一可疑的 UNC1549 活动至少自 2022 年 6 月以来一直活跃，并且截至 2024 年 2 月 2、TimbreStealer恶意软件以税务为主题针对墨西哥用户 https://blog.talosintelligence.com/timbrestealer-campaign-targets-mexican-users/ 据观察，该威胁行为者至少从 2023 年 11 月开始，通过使用墨西哥税务相关主题的垃圾邮件活动来分发 TimbreStealer。该威胁行为者之前曾使用类似的策略、技术和程序 (TTP) 来分发名为“Mispadu”的银行木马。TimbreStealer 是一种新的模糊信息窃取程序，针对墨西哥的受害者。它包含多个嵌入式模块，用于编排、解密和保护恶意软件二进制文件。网络钓鱼活动使用地理围栏技术仅针对墨西哥的用户，任何从其他位置联系有 3、Agent Tesla恶意软件利用邮件传播恶意载荷 https://www.forcepoint.com/blog/x-labs/agent-tesla-malware-attacks-travel-industry 研究人员发现Agent Tesla 恶意软件活动在大流行开始时有所增加，并不断发展技术并使用新策略交付和执行。攻击者利用电子邮件仿冒品牌，寻求在Booking.com上进行的预订退款，并要求收件人检查随附的 PDF 格式的卡对账单。感染过程之后会出现带有 PDF 附件形式的预订发票的虚假电子邮件，该电子邮件会下载恶意JavaScript，在执行时会下载 PowerShell 脚本。PowerShell 脚本具有复杂的多阶段混淆策 4、德国黑森州消费者中心遭受勒索软件攻击 https://www.verbraucherzentrale-hessen.de/pressemeldungen/verbraucherzentrale/hackerangriff-auf-verbraucherzentrale-hessen-92732 黑森州是德国中部的一个州，人口超过 600 万，涵盖德国第二大都市区和主要金融中心法兰克福。黑森州消费者中心是一个非营利组织，旨在向黑森州居民提供有关消费者法、电话和互联网、金融和保险、节能、健康和护理、食品和营养等方面的公正和中立的建议。 近日，黑森州消费者咨询中心的 IT 基础设施遭到攻击。黑森州消费者咨询中心暂时无法使用或只能在有限 5、medQ软件平台确认被黑客攻击导致数据泄露 https://www.jdsupra.com/legalnews/medq-confirms-data-breach-after-8682976/ 2024 年 2 月 23 日，研究人员发现黑客访问并加密了 medQ 使用的软件平台后，向缅因州总检察长提交了数据泄露通知。通知中表示该事件导致未经授权的一方能够访问消费者的敏感信息，其中包括他们的姓名、社会安全号码、驾驶执照号码、出生日期、健康信息、诊断、实验室结果、药物、治疗信息以及健康保险和索赔信息。调查完成后，medQ 开始向所有信息受到最近数据安全事件影响的个人发送数据泄露通知信。 6、Anycubic 3D打印机在全球范围内遭到黑客攻击 https://www.bleepingcomputer.com/news/security/anycubic-3d-printers-hacked-worldwide-to-expose-security-flaw/ 根据 Anycubic 的一波在线报告，有人入侵了他们的 3D 打印机，并警告这些设备面临攻击。据称，此漏洞使潜在攻击者能够使用该公司的 MQTT 服务 API 控制任何受此漏洞影响的 Anycubic 3D 打印机。部分受害机器会收到提醒消息“您的机器存在严重漏洞，对您的安全构成重大威胁。强烈建议立即采取行动，以防止潜在的利用，”建议收到此警告消息的客户断开打印机与互联网的 7、Windows 零日漏洞正在被黑客利用以获取内核权限 https://www.freebuf.com/news/392838.html 研究人员近期发现，Lazarus 黑客组织正在试图利用 Windows AppLocker 驱动程序 appid.sys 中的零日漏洞 CVE-2024-21338，获得内核级访问权限并关闭安全工具，从而能够轻松绕过 BYOVD（自带漏洞驱动程序）技术。 8、针对苹果 macOS 的 Atomic Stealer 恶意变种曝光 https://www.ithome.com/0/752/468.htm Atomic Stealer 的目标是与已安装的加密钱包扩展和应用程序、浏览器数据、系统信息和密码相关的文件。 9、勒索软件攻击已是企业主要的规模级威胁 https://www.proofpoint.com/us/newsroom/press-releases/proofpoints-2024-state-phish-report-68-employees-willingly-gamble Proofpoint 2024年网络钓鱼状况报告显示，超过三分之二 （69%） 的组织在过去一年中经历了一次成功的勒索软件事件，与上一年相比增加了五个百分点。 10、Hugging Face “惊现”上百个恶意ML模型 https://www.freebuf.com/news/392830.html 近日，JFrog 的安全团队发现Hugging Face 平台上至少 100 个恶意人工智能 ML 模型实例，其中一些可以在受害者的机器上执行代码，为攻击者提供了一个持久的后门，构成了数据泄露和间谍攻击的重大风险。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、研究人员发现AMOS窃取程序新变种 https://www.bitdefender.com/blog/labs/when-stealers-converge-new-variant-of-atomic-stealer-in-the-wild/ 研究人员重新审视恶意软件旧样本（或挖掘新样本），隔离多个可疑且未被检测到的 macOS 磁盘映像文件，经过分析发现 AMOS（原子）窃取程序的新变种。新变种删除并使用 Python 脚本来保持隐蔽。研究人员正在分享检测指标和规则，以帮助识别并阻止这种威胁。该恶意软件会获取浏览器中存储的信息和系统上的特殊文件，还会采用策略窃取本地用户帐户密码。 2、黑客劫持Ubiquiti路由器发起隐秘攻击 https://www.bleepingcomputer.com/news/security/russian-hackers-hijack-ubiquiti-routers-to-launch-stealthy-attacks/ FBI在联合咨询中表示，俄罗斯军事黑客正在使用受损的 Ubiquiti EdgeRouter 来逃避检测。该网络间谍追溯为俄罗斯总参谋部主要情报局 (GRU) 的一部分，被追踪为 APT28 和 Fancy Bear，正在使用这些被劫持且流行的路由器来构建广泛的僵尸网络，帮助窃取凭据、收集 NTLMv2 摘要和代理恶意流量。此外还在针对全球军队、政府和其他组织的秘密 3、多个勒索软件组织利用ScreenConnect漏洞攻击 https://www.trendmicro.com/en_us/research/24/b/threat-actor-groups-including-black-basta-are-exploiting-recent-.html Black Basta 和 Bl00dy 勒索软件团伙加入了针对未针对最高严重性身份验证绕过漏洞修补的 ScreenConnect 服务器的广泛攻击。此严重缺陷 (CVE-2024-1709) 允许攻击者在暴露于 Internet 的服务器上创建管理员帐户、删除所有其他用户并接管任何易受攻击的实例。这些漏洞被利用来部署勒索软件，从而对依赖该软件的企业造成相当大的 4、Hugging Face漏洞使人工智能模型面临供应链风险 https://hiddenlayer.com/research/silent-sabotage/ Hugging Face 是一个流行的协作平台，可帮助用户托管预先训练的机器学习模型和数据集，以及构建、部署和训练它们。研究人员发现，Hugging Face Safetensors 转换服务有可能遭到破坏，最终劫持用户提交的模型并导致供应链攻击。报告中表示：“可以将含有攻击者控制数据的恶意拉取请求从 Hugging Face 服务发送到平台上的任何存储库，并劫持通过转换服务提交的任何模型。”反过来，这可以使用旨在由服务转换的劫持模型来完成，从而允许恶意行为者通过伪装成转换机器人来请求对平台上 5、制药巨头Cencora在网络攻击中发生数据泄露 https://www.sec.gov/Archives/edgar/data/1140859/000110465924028288/tm247267d1_8k.htm 制药巨头 Cencora 表示他们遭受了网络攻击，威胁者从企业 IT 系统中窃取了数据。Cencora 以前称为 AmerisourceBergen，专门从事制药服务，为医生办公室、药房和动物保健提供药物分销和解决方案。 该公司 2023 财年的收入为 2,622 亿美元，拥有约 46,000 名员工。Cencora 表示，他们尚未确定该事件是否会对他们的财务或运营产生重大影响。目前，还没有关于谁入侵了 Cencora 的进 6、英特尔酷睿 Ultra vPro 平台带来新的安全功能 https://www.securityweek.com/intel-core-ultra-vpro-platform-brings-new-security-features/ 英特尔周二宣布通过最新的 vPro 平台和该公司的优质 Core Ultra 处理器推出新的和改进的安全功能。 7、WP LiteSpeed插件漏洞使 500 万个网站面临风险 https://thehackernews.com/2024/02/wordpress-litespeed-plugin.html WordPress 的 LiteSpeed Cache 插件中披露了一个安全漏洞，该漏洞可能使未经身份验证的用户能够升级其权限。该漏洞编号为CVE-2023-40000，已于 2023 年 10 月在版本 5.7.0.1 中得到解决。 8、许多主要新闻媒体正屏蔽 OpenAI 爬虫 https://www.freebuf.com/news/392764.html 自OpenAI的内容生成式人工智能模型面世以来，大量互联网数据成为了不断训练和优化模型的“饵料”，但据路透社研究所的一项调查，有越来越多的新闻媒体已对OpenAI的数据爬取说“不”，在传统媒体领域，这一比例甚至超过了50%。 9、黑客借助LabHost平台对加拿大银行用户发起大规模钓鱼攻击 https://www.freebuf.com/news/392751.html 网络钓鱼即服务（PhaaS）平台 "LabHost "一直在帮助网络犯罪分子攻击北美银行，尤其是加拿大的金融机构，近日的攻击活动明显增加。 10、工信部印发《工业领域数据安全能力提升实施方案(2024-2026年)》 https://wap.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_1a556c20db1b4e19a12578044db0558e.html 工业和信息化部近日印发《工业领域数据安全能力提升实施方案（2024—2026年）》，提出到2026年底，我国工业领域数据安全保障体系基本建立。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

现在混淆的主要目的之一就有让逆向分析人员不清楚函数的调用流程，给你一堆函数，加了高强度的OLLVM，更不能看了。那么Trace跟踪技术就显得很重要的，如果清楚了函数调用流程，那么逐个分析，距离成功不就很快了。 万事开头难，逆向程序难在不知道从哪开始。 前几天做了一道AIS3的题目，内含50个加密函数，加密的流程很简单，关键是对这50个加密函数进行了ollvm控制流平坦化魔改（去除也很简单），主要是想抛砖引玉，锻炼和练习trace的技术。这样在以后遇到高强度的混淆干扰也能有一战的能力。 题目附件如下： [stateful] 本文的重点在于总结trace技巧，题目本身不算很难。 分析 打开题目，进入main函数 发现逻辑不是很难，进入state_machine函数 好家伙，一大坨 尝试使用OBPO插件去除，发现直接卡死。使用D810也是卡死。 更高级的玩法使用Unicorn进行去除，类似deflat 本文的重点是在不去除平坦化的前提下去trace函数调用流程 发现有50多个state函数，并且每个函数的功能很简单，我们的目的是： trace每一个函数，并在梳理调用流程的过程中，输出关键的加密流程，从而写出解密流程 注意调试的时候，记得传入参数 Trace 方法一：手动trace 最简单粗暴的方法，对每一个state函数下断点，然后运行程序，逐一拿到调用流程。 如果函数过多，这种方法就不太行了 最终笔者运行拿到了调用的流程 a1[14] += a1[35] + a1[8];  a1[9] -= a1[2] + a1[22];  *a1 -= a1[18] + a1[31];  a1[2] += a1[11] + a1[8];  a1[6] += a1[10] + a1[41];  a1[14] -= a1[32] + a1[6];  a1[16] += a1[25] + a1[11];  a1[31] += a1[34] + a1[16];  a1[9] += a1[11] + a1[3];  a1[17] += *a1 + a1[7];  a1[5] += a1[40] + a1[4];  a1[37] -= a1[29] + a1[3];  a1[23] += a1[7] + a1[34];  a1[39] -= a1[25] + a1[38];  a1[27] += a1[18] + a1[20];  a1[20] += a1[19] + a1[24];  a1[15] += a1[22] + a1[10];  a1[30] -= a1[33] + a1[8];  a1[1] -= a1[29] + a1[13];  a1[19] += a1[10] + a1[16];  *a1 += a1[33] + a1[16];  a1[36] += a1[11] + a1[15];  a1[24] += a1[20] + a1[5];  a1[7] += a1[21] + *a1;  a1[1] += a1[15] + a1[6];  a1[30] -= a1[13] + a1[2];  a1[1] += a1[16] + a1[40];  a1[31] += a1[1] + a1[16];  a1[32] += a1[5] + a1[25];  a1[13] += a1[25] + a1[28];  a1[7] += a1[10] + *a1;  a1[21] += a1[34] + a1[15];  a1[21] -= a1[13] + a1[42];  a1[18] += a1[29] + a1[15];  a1[4] += a1[7] + a1[25];  *a1 += a1[28] + a1[31];  a1[2] += a1[34] + a1[25];  a1[13] += a1[26] + a1[8];  a1[41] -= a1[3] + a1[34];  a1[37] += a1[27] + a1[18];  a1[4] += a1[27] + a1[25];  a1[23] += a1[30] + a1[39];  a1[18] += a1[26] + a1[31];  a1[10] -= a1[12] + a1[22];  a1[4] += a1[6] + a1[22];  a1[37] += a1[12] + a1[16];  a1[15] += a1[40] + a1[8];  a1[17] += a1[38] + a1[24];  a1[8] += a1[14] + a1[16];  a1[5] += a1[37] + a1[20]; 其实手都快残了 方法二：IDA-trace 程序动态调试的时候才可以使用trace功能 IDA自动进行trace跟踪，然后稍等片刻 可以发现成功的trace了调用了流程 但是有一点不方便的是，有了调用流程，但是我们还要进入每一个函数，提取加密的流程才行。 IDA快捷键Ctrl+F5可以导出整个程序的伪代码 然后进一步提取和分析 这里可以使用IDA-python自动下断点  Go  import idc    bpt_addr = 0x5599F331ADA7  bpt_size=1  idaapi.add_bpt(bpt_addr,bpt_size)  print("Final") 当然还不够，我们要达到的效果是，触发断点然后输出相关加密信息到output函数窗口，就是有断点回调函数  import idaapi    # 定义回调函数  def my_bpt_callback(bptno):  print("Breakpoint %d hit!" % bptno)    # 添加断点  bpt_addr = 0x5599F331ADA7  bpt_size=1  bpt = idaapi.add_bpt(bpt_addr,bpt_size)    # 设置断点回调  idaapi.add_bpt_chngev_cnd(bpt, idaapi.BPT_EXEC, my_bpt_callback)  #设置执行断点 ----------------------------------------------------------------------- idaapi.BPT_EXEC 表示执行事件 方法三：trace_natives https://github.com/Pr0214/trace_natives按照说明，进行输出，发现是这样的效果（IDA中，Edit-Plugins-traceNatives） 解密 有了调用流程，剩下的就很简单了 #define _CRT_SECURE_NO_WARNINGS  #include <stdio.h>  #include <iostream>    int main() {  unsigned char a1[] = {  0x0F, 0x77, 0xEC, 0x33, 0x44, 0x16, 0x13, 0x59, 0x1D, 0x42,  0x84, 0x75, 0x5F, 0xE4, 0x83, 0xC0, 0x3B, 0xC1, 0x95, 0xCF,  0xDB, 0x33, 0x6C, 0xD2, 0xED, 0x72, 0x5F, 0x0D, 0x74, 0x41,  0x5B, 0x73, 0xA0, 0x33, 0x53, 0x24, 0x02, 0x59, 0x74, 0x60,  0x33, 0xCC, 0x7D };      a1[5] -= a1[37] + a1[20];  a1[8] -= a1[14] + a1[16];  a1[17] -= a1[38] + a1[24];  a1[15] -= a1[40] + a1[8];  a1[37] -= a1[12] + a1[16];  a1[4] -= a1[6] + a1[22];  a1[10] += a1[12] + a1[22];  a1[18] -= a1[26] + a1[31];  a1[23] -= a1[30] + a1[39];  a1[4] -= a1[27] + a1[25];  a1[37] -= a1[27] + a1[18];  a1[41] += a1[3] + a1[34];  a1[13] -= a1[26] + a1[8];  a1[2] -= a1[34] + a1[25];  *a1 -= a1[28] + a1[31];  a1[4] -= a1[7] + a1[25];  a1[18] -= a1[29] + a1[15];  a1[21] += a1[13] + a1[42];  a1[21] -= a1[34] + a1[15];  a1[7] -= a1[10] + *a1;  a1[13] -= a1[25] + a1[28];  a1[32] -= a1[5] + a1[25];  a1[31] -= a1[1] + a1[16];  a1[1] -= a1[16] + a1[40];  a1[30] += a1[13] + a1[2];  a1[1] -= a1[15] + a1[6];  a1[7] -= a1[21] + *a1;  a1[24] -= a1[20] + a1[5];  a1[36] -= a1[11] + a1[15];  *a1 -= a1[33] + a1[16];  a1[19] -= a1[10] + a1[16];  a1[1] += a1[29] + a1[13];  a1[30] -= a1[33] + a1[8];  a1[15] -= a1[22] + a1[10];  a1[20] -= a1[19] + a1[24];  a1[27] -= a1[18] + a1[20];  a1[39] += a1[25] + a1[38];  a1[23] -= a1[7] + a1[34];  a1[37] += a1[29] + a1[3];  a1[5] -= a1[40] + a1[4];  a1[17] -= *a1 + a1[7];  a1[9] -= a1[11] + a1[3];  a1[31] -= a1[34] + a1[16];  a1[16] -= a1[25] + a1[11];  a1[14] += a1[32] + a1[6];  a1[6] -= a1[10] + a1[41];  a1[2] -= a1[11] + a1[8];  *a1 += a1[18] + a1[31];  a1[9] += a1[2] + a1[22];  a1[14] -= a1[35] + a1[8];    printf("%s", a1);  return 0; } 得到flag AIS3{4re_YOu@sTATEfUl_0r_StA03L3S$_ctF3R}

1、8000多个品牌域名被劫持用于传播大规模垃圾邮件 https://labs.guard.io/subdomailing-thousands-of-hijacked-major-brand-subdomains-found-bombarding-users-with-millions-a5e5fb892935 研究人员发现了一场规模庞大的子域名劫持活动，已损害了来自知名品牌和机构的8,000多个域名，包括MSN、VMware、McAfee、《经济学人》、康奈尔大学、CBS、Marvel、eBay等。这种被称为“SubdoMailing”的恶意活动利用与这些域相关的信任，每天传播数以百万计的垃圾邮件和恶意网络钓鱼电子邮件，利用其可信度和被盗资源 2、钢铁巨头蒂森克虏伯证实汽车部门遭受网络攻击 https://www.bleepingcomputer.com/news/security/steel-giant-thyssenkrupp-confirms-cyberattack-on-automotive-division/ 蒂森克虏伯股份公司是全球最大的钢铁生产商之一，是全球产品供应链的重要组成部分，这些产品使用钢铁作为材料，应用于机械、汽车、电梯和自动扶梯、工业工程、可再生能源和建筑等各个领域拥有超过 10 万名员工，年收入超过 444 亿美元（2022 年）。钢铁巨头蒂森克虏伯证实，黑客入侵了其汽车部门的系统，当前采取了各种安全措施，暂时下线了某些应用程序和系统。没有其他业务部 3、新IDAT加载程序使用隐写术推送商业木马 https://blog.morphisec.com/unveiling-uac-0184-the-remcos-rat-steganography-saga 总部位于芬兰的乌克兰实体已成为恶意活动的一部分，该活动使用名为 IDAT Loader 的恶意软件加载程序分发名为 Remcos RAT 的商业远程访问木马。此次攻击研究人员追踪到，名为 UAC-0184 的威胁行为者所为。研究人员探讨了攻击的更广泛的执行过程，强调了关键的独特方面，包括 IDAT 加载程序的使用以及针对芬兰乌克兰实体的攻击。CERT-UA（在乌克兰编写）和Uptycs之前已审查了相关 Remcos RAT 攻击的详细 4、黑客利用已停更的CMS编辑器攻击政府和教育网站 https://www.bleepingcomputer.com/news/security/hackers-exploit-14-year-old-cms-editor-on-govt-edu-sites-for-seo-poisoning/ 威胁行为者正在利用 14 年前停止使用的 CMS 编辑器来危害世界各地的教育和政府实体，通过恶意网站或诈骗来篡改搜索结果。开放重定向是指网站允许任意重定向请求，在没有充分验证或安全检查的情况下将用户从原始站点带到外部 URL。攻击者滥用这些开放重定向来执行网络钓鱼攻击、传播恶意软件或欺骗用户，同时看似来自合法域。由于 URL 托管在受信任的域上，因此 5、美国及其盟友警告APT29组织转向云攻击 https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-057a 五眼 (FVEY) 情报联盟成员警告称，APT29 俄罗斯对外情报局 (SVR) 黑客现在正转向针对受害者的云服务进行攻击。APT29 （也被称为 Cozy Bear、Midnight Blizzard、The Dukes）在三年多前精心策划的SolarWinds 供应链攻击之后，入侵了多个美国联邦机构。APT29 最初的云漏洞向量还包括使用被盗的访问令牌（使他们能够在不使用凭据的情况下劫持帐户）、受感染的住宅路由器来代理其恶意活动、绕过多因素身份验证 (M 6、NIST网络安全框架2.0正式发布 https://www.securityweek.com/nist-cybersecurity-framework-2-0-officially-released/ NIST 发布了网络安全框架 2.0，这是自十年前 CSF 创建以来的首次重大更新。该网络安全框架最初针对关键基础设施组织，但已得到广泛使用和广泛推荐，NIST 强调CSF 2.0旨在帮助所有组织降低风险，无论行业、规模或安全复杂程度如何。 7、LiteSpeed Cache插件中XSS漏洞影响数百万wp网站 https://securityaffairs.com/159667/hacking/litespeed-cache-plugin-xss.html 研究人员警告 WordPress Patchstack 的 LiteSpeed Cache 插件中存在一个 XSS 漏洞，追踪为 CVE-2023-40000 研究人员警告称存在未经身份验证的站点范围内存储的 XSS 漏洞。 8、Optum Solutions 遭Blackcat勒索软件攻击影响美国药房 https://securityaffairs.com/159641/cyber-crime/blackcat-ransomware-attack-optum-solutions.html 联合健康集团子公司 Optum 遭受 BlackCat 勒索软件攻击，导致 Change Healthcare 支付交易平台发生中断。 9、开源 Xeno RAT 木马成为 GitHub 上的潜在威胁 https://thehackernews.com/2024/02/open-source-xeno-rat-trojan-emerges-as.html 一种名为Xeno RAT的“精心设计”的远程访问木马 (RAT)已在 GitHub 上发布，其他参与者无需额外付费即可使用该木马。该开源 RAT 采用 C# 编写，与 Windows 10 和 Windows 11 操作系统兼容，配备了“用于远程系统管理的全面功能”，其开发人员（其名称为 moom825）表示。 10、《中华人民共和国保守国家秘密法》修订发布5月1日正式实行 https://www.freebuf.com/news/392731.html 2024 年 2 月 27 日，中华人民共和国第十四届全国人民代表大会常务委员会第八次会议修订通过《中华人民共和国保守国家秘密法》，自 2024 年 5 月 1 日起施行。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、研究人员利用漏洞解密HomuWitch勒索软件 https://decoded.avast.io/threatresearch/decrypted-homuwitch-ransomware/ HomuWitch 是一种勒索软件最初出现于 2023 年 7 月。与当前大多数勒索软件病毒不同，HomuWitch 的目标目标是最终用户（个人），而不是机构和公司。它的流行率并不是特别高，所要求的赎金金额也不是很大，这使得该恶意软件迄今为止一直处于相对低调的状态。在调查威胁过程中，研究人员发现了一个漏洞，该漏洞能够为所有 HomuWitch 受害者创建免费解密工具。现在公开共享此工具，以帮助受影响的个人免费解密文件。 2、LockBit勒索组织发布声明并重建泄露网站 https://www.govinfosecurity.com/ransomware-operation-lockbit-reestablishes-dark-web-leak-site-a-24442 LockBit 团伙正在新的基础设施上重新启动勒索软件操作，并威胁将更多的攻击集中在政府部门。俄语勒索软件组织 LockBit 周六下午重新建立了一个暗网泄露网站，并发布了一篇显然是由其领导人撰写的长文，声称不会退出地下犯罪世界。LockBit 领导人在一封长信中表示，FBI 似乎利用了 Web 脚本语言 PHP 中的一个漏洞（编号为CVE-2023-3824）来渗透勒索软件即服务操作的服务 3、洛杉矶国际机场250万私人飞机所有者数据泄露 https://www.hackread.com/hackers-leak-private-plane-owners-data-la-airport-breach/ 黑客IntelBroker 声称已经入侵了洛杉矶国际机场的数据库，窃取了属于私人飞机所有者的大量机密用户数据。其中包括敏感信息，IntelBroker 声称利用洛杉矶国际机场使用的 CRM 系统之一中的漏洞成功实施了数据泄露。需要强调的是，泄露的详细信息将黑客行为归咎于名为“kwillsy”的用户。然而，IntelBroker 在声明中澄清，“kwillsy”与此次泄露无关，他们对此次黑客攻击承担全部责任。 4、报告称绕过安全邮件网关的恶意邮件增加了105% https://www.freebuf.com/articles/paper/392602.html 近日，电子邮件安全公司Cofense发布的《2024年度邮件安全报告》指出，在2023年，绕过安全电子邮件网关（SEG）的恶意电子邮件威胁增加了100%以上。换句话说，电子邮件安全解决方案并未有效地阻止威胁。 5、著名杀软厂商Avast被指控向广告商出售用户浏览数据 https://www.securityweek.com/ftc-accuses-avast-of-selling-customer-browsing-data-to-advertisers/ 著名安全厂商 Avast 被美国联邦贸易委员会 (FTC) 指控通过其浏览器扩展和防病毒软件收集消费者网络浏览数据，并在没有充分通知和未经消费者同意的情况下出售这些数据。 6、Zyxel 修补防火墙产品中的远程代码执行漏洞 https://www.securityweek.com/zyxel-patches-remote-code-execution-bug-in-firewall-products/ 台湾地区网络供应商 Zyxel 确认防火墙和接入点中的安全缺陷使用户面临远程代码执行攻击的风险。 7、朝鲜黑客利用恶意 npm 软件包瞄准开发人员 https://thehackernews.com/2024/02/north-korean-hackers-targeting.html 这些恶意软件包包含能够从网络浏览器窃取凭据、下载其他有害脚本以及与已知的朝鲜威胁行为者建立连接的脚本。 8、OWASP发布AI大模型应用网络安全治理检查清单v1.0 https://www.secrss.com/articles/63924 日前，全球开源安全组织OWASP（Open Web Application Security Project）发布了《AI大模型应用网络安全治理检查清单（V1.0）》（以下简称为《检查清单》）。在这份长达32页的《检查清单》中，较完整地介绍了AI大模型部署应用时的安全原则、部署策略和检查对照表，适用于那些希望在快速发展的AI领域中保持领先地位的组织和机构，使他们能够在制定大型语言模型战略时，专注于制定一份全面的关键领域和任务清单。 9、Joomla发现 5 个漏洞可执行任意代码 https://www.anquanke.com/post/id/293403 Joomla 内容管理系统中发现了五个漏洞，可用于在易受攻击的网站上执行任意代码。开发人员已经通过 在版本 5.0.3 和 4.4.3 中 发布 CMS修复程序来修复这些影响 Joomla 多个版本的安全问题。 10、美国卫生与公众服务部 (HHS) 达成第二次勒索软件和解 https://www.cybersecuritydive.com/news/hhs-ransomware-settlement/708236/ 在勒索软件攻击泄露了 14,000 多人的健康信息后，美国卫生与公众服务部 (HHS) 与 Green Ridge Behavioral Health 达成和解。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1.目标 2.微信sessionkey泄露导致任意用户登录 点击快捷登录，发现可以使用手机号进行登录 发现sessionkey，使用工具利用 没有账号，尝试13111111111(一般测试账号是这个),成功登录 3.进行指纹识别，发现为SpringBoot框架,测试发现SpringActuator信息泄露 4.发现actuator/gateway/routes(Spring路由)可以访问,尝试Spring CloudGeteway Rce Nday利用 利用失败 5.访问配置环境(actuator/env)，发现加密的redis密码 由于heapdump端点提供来自应用程序 JVM的堆转储。因此下载到本地分析(可以通过分析查看/env端点被*号替换到数据的具体值。) 分析得到redis密码，redis-cli连接成功 6.访问配置环境(actuator/env)，还发现Nacos开放在另外一个ip下 发现这个熟悉的界面 后加nacos成功访问 使用Nacos未授权添加账号密码，成功进入 7.分析代码的详情，发现数据库账号密码,redis账号密码 数据库连接成功 0.4G的学生数据 发现微信key，企业微信key,还有微信支付的key 发现阿里云ak-sk 还有minioadmin的存储桶 存储桶登录成功 总结，Spring框架页内使用广泛,但是记得禁止这个目录的访问(/actuator/)，否则一旦泄露，可能导致一系列严重的漏洞。