Cybersecurity information flow

作者：启明星辰ADLab 
原文链接：https://mp.weixin.qq.com/s/Yqcnw3uUGNYQBCfZrzpJZg
1 概述
近期，启明星辰ADLab监测到一批VT平台零检出率的新物联网僵尸，我们对僵尸程序的二进制代码和通信协议做了深入同源性分析，并判断该系列僵尸为一款从未出现过的新型僵尸家族。该僵尸的文件命名、代码特征中常常包含” Goldoon“的字符串，因此我们将...

A Frida script that disables Flutter's TLS verification

Forrester近日发布《2024年网络安全威胁预测报告》指出，人工智能正重塑网络安全格局，武器化大语言模型正成为首选攻击工具，安全团队在应对武器化人工智能攻击方面将面临日益严峻的挑战。此外，Forrester还预测2024年网络安全行业将面临诸多新兴威胁，热点包括深度伪造、APT组织和网络犯罪团伙兜售的“勒索软件即服务”、FraudGPT恶意大模型、物联网攻击服务，以及无痕攻击（无法被网络安全系统检测到的定制化恶意软件攻击）。 根据CrowdStrike最新发布的《2024年全球威胁报告》显示，无痕攻击在所有攻击事件中的占比从2022年的71%上升到2023年的75%。 数据泄露平均成本高达218万美元 2024年企业网络安全态势空前严峻。Forrester最近针对安全和风险管理专业人士的调查发现，近八成(78%)的受访者表示其组织的敏感数据在过去12个月中至少被泄露或入侵过一次。报告指出：“一次成功的网络攻击会成为未来攻击的信号弹。” 对比2022年和2023年的安全调查数据，过去12个月内经历过6到10次攻击的受访者比例增加了13%。48%的受访者曾遭遇过损失超过100万美元的网络攻击或数据泄露事件。其中大多数数据泄露事件的修复成本在200万至500万美元之间(27%)，还有3%的事件的修复成本超过1000万美元。 数据泄露的平均预估成本为218万美元。接受采访的每3位安全和风险管理专业人士中就有1位遭受过总损失额在200万至1000万美元以上的数据泄露事件。——Forrester Forrester评选的2024年五大安全威胁 利用虚假信息操纵舆论、日益增长的深度造假风险、生成式人工智能数据泄露、人工智能软件供应链漏洞以及太空安全是Forrester今年警告的五大安全威胁。下面将逐一进行概述。 1 大选年的叙事（舆论）操控攻击 舆论操控攻击通过操纵信息、破坏其可信度来抹黑或扭曲叙事的真实含义。Forrester的报告写道：“新技术使传播复杂的虚假信息和错误信息变得更加轻松快捷。2024年将有64个国家举行选举，因此旨在塑造舆论和影响行为的叙事操控攻击将尤为盛行。”Forrester指出，俄罗斯国家攻击者就曾利用舆论操控攻击试图在美国和墨西哥边境争论问题上挑动政治分歧。美国情报界最近发布的《2024年年度威胁评估》详细解释了国家攻击者如何利用舆论操控攻击和其他技术扰乱外交政策和选举。 2 深度伪造引发身份

白俄罗斯黑客组织“网络游击队”Cyber-Partisans 声称已渗透到该国主要克格勃安全机构的网络。黑客访问了超过 8,600 名员工的人事档案。 周五，白俄罗斯克格勃网站显示一个空白页面，显示“正在开发中”的信息。 Cyber-Partisans 组织在其 Telegram 频道上发布了一系列文件作为黑客攻击的证据，包括网站管理员列表、底层数据库和服务器日志。   白俄罗斯克格勃官方网站已经2个多月无法运行。这一切都是因为网络游击队于 2023 年秋季到达那里并输出了所有可用信息。 “唉，我们发出了一点噪音，不得不关闭该网站。我们将发布管理员列表作为证据。请参阅下面的单独帖子中的站点数据库和服务器日志。”阅读该小组在 Telegram 上发布的消息。 网络游击队协调员尤利安娜·沙梅塔维茨告诉美联社，对克格勃的袭击是对该机构负责人伊万·特尔特尔的“回应”，后者指责该组织准备袭击白俄罗斯的关键基础设施，包括一座核电站。 沙梅塔维茨说：“克格勃正在实施该国历史上最大规模的政治镇压，必须对此负责。” “我们致力于拯救白俄罗斯人的生命，而不是像镇压的白俄罗斯特种部队那样摧毁他们。” Shametavets 证实，网络游击队窃取了 8,600 多名克格勃员工的个人档案。 Cyber-Partisans 还推出了 Telegram 聊天机器人，允许公民通过上传照片来揭露克格勃特工的身份。 白俄罗斯网络游击队是一个自 2020 年以来一直活跃的黑客组织。网络游击队是在有争议的 2020 年选举和随后镇压抗议活动后成立的，其目标是白俄罗斯政府机构。 过去四年来，网络游击队组织对白俄罗斯官方媒体进行了多次攻击。2022年，他们多次针对白俄罗斯铁路，夺取了其交通信号灯和控制系统的控制权，这一行动扰乱了俄罗斯军事装备经白俄罗斯进入乌克兰的运输。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Os96hZnBVyaJxnGGa_rZ7A 封面来源于网络，如有侵权请联系删除

工业巨头霍尼韦尔发布了关于 USB 传播的恶意软件对工业组织构成威胁的第六份年度报告，警告其复杂性有所增加。 该报告基于该公司的全球分析、研究和防御 (GARD) 团队使用安全产品收集的数据进行的分析，该产品旨在检测和阻止客户工业环境中使用的 USB 驱动器上的恶意软件。 与前两年相比，过去一年的一些数据基本没有变化。在霍尼韦尔产品在 USB 驱动器上检测到的所有恶意软件中，31% 是已知针对工业系统或公司的攻击活动的一部分或与其相关。 与过去几年类似，超过一半的恶意软件旨在通过 USB 驱动器进行攻击或传播，这可以帮助恶意软件跨越隔离网络。此外，大约一半的恶意软件能够连接到远程 C&C 服务器。 同样与过去两年类似的是，80% 检测到的恶意软件能够对运营技术 (OT) 流程造成干扰，包括失去视野、失去控制或系统中断。这包括勒索软件、擦除器和专门设计用于操纵或破坏控制的恶意软件，例如Industroyer2和Black Energy。 霍尼韦尔在报告中表示：“这些指标共同支持了这样一种信念，即 USB 传播的恶意软件被故意利用作为针对工业目标的协调攻击活动的一部分，包括可能导致视野和/或控制丧失的功能。” 与往年相比，霍尼韦尔已开始监控更多指标。这揭示了向离地生活 (LotL) 策略的转变，以增加攻击者不被发现的机会。 霍尼韦尔表示：“新证据表明，对手正在追求 LotL 策略，将更复杂的检测规避和持久性技术与利用目标系统固有功能的执行技术相结合。” 大约 20% 的 USB 恶意软件是基于内容的，滥用现有的文档和脚本功能，而不是利用新的漏洞。 在被阻止的所有恶意软件中，超过 13% 专门利用了常见文档（如 Word 文档、电子表格、脚本等）的固有功能。另外 2% 的恶意软件专门针对常见文档格式中的已知漏洞，另外 5% 专门针对用于修改和创建这些文件类型的应用程序。 该公司还发现针对 Linux 和其他平台的恶意软件有所增加，其中包括专门为工业设施设计的恶意软件。 另一个令人担忧的趋势与恶意软件频率有关。霍尼韦尔表示，与去年相比，被阻止的恶意软件数量相对于扫描文件总数增加了约 33%，同比增长了 700%。 霍尼韦尔警告称：“连续第六年，试图进入工业/OT 环境的已知威胁的复杂程度、频率和潜在运营风险持续增加。” “USB 传播的恶意软件显然被用作针对工业目标的更大规模网络攻击活动的一部分。对 ATT&#3

Netacea 公司发布预警，93% 的企业网络安全负责人预计每天都会面临人工智能驱动的网络攻击，网络犯罪分子正在利用人工智能技术，策划更复杂、更智能化、更具威胁的网络攻击活动，智能化工具正迅速成为网络犯罪分子的惯用技俩。 人工智能技术自成熟以来就被网络犯罪分子盯上了，作为一种强大技术手段，威胁攻击者可以利用其构造出更复杂的网络攻击策略，从而规避受害者的网络防御检测机制，窃密敏感数据信息。 人工智能技术成为威胁攻击者的新“助力” 研究人员针对英国、美国等国的企业网络安全负责人，进行了一项有关“人工智能技术应用于网络攻击”的研究调查。结果显示，大多数安全负责人预计每天都会发生由人工智能驱动的网络攻击活动，甚至 65% 的受访者预计攻击性人工智能将成为网络犯罪分子最常用的手段，用于大多数网络攻击中。 此外，安全负责人还着重强调了进攻性人工智能的重要性。 由于时间紧迫，并且背负着保护其组织免受已知网络安全威胁以及潜在安全威胁，安全负责人必须确保企业董事会成员能够意识到进攻性人工智能可能带来的威胁。 在众多受访者中，有 11% 的安全负责人认为爬虫攻击是其业务面临的最大网络威胁，仅次于勒索软件、网络钓鱼和恶意软件（ Netacea 研究发现，对于大型企业来说，机器人攻击可能会导致其损失了 4.3% 的经营收入，这一数字相当于遭受了 50 次勒索软件要支付的赎金）。 人工智能技术改变了网络防御态势以及攻击方法 人工智能技术在被用作构造更具智能化的网络攻击工具的同时，也被用于网络防御。Netacea 调查的所有受访者都以某种方式将人工智能纳入了他们的安全堆栈，所有受访者都表示人工智能改善了他们的安全态势，其中 27% 的受访者表示这种改善非常显著。 人工智能技术在企业网络防御中具有很重要的作用，61% 的安全负责人认为人工智能大大降低了他们的运营开销。 调查表明，人工智能技术只能“赋能”防御高影响、低频率的攻击，例如 DDoS（62%），对于僵尸攻击（33%）起到作用相对较小，这种情况表明，虽然人工智能是一种值得欢迎的网络威胁防御手段，但它尚未得到普遍应用，也未被用于抵御最具破坏性的攻击。 有 90% 的受访者对其 Web 应用防火墙、DDoS 防护和 API 安全的人工智能防御能力充满信心，但只有 60% 的受访者对其僵尸管理工具持同样的看法。 最后，Netacea的 CTO Andy Still 强调，人工智能技术的强大

infosecurity网站消息，近日，一项研究分析揭示了针对美国邮政服务（USPS）的网络钓鱼和网络诈骗攻击的严重程度，尤其是在节假日期间。 这项研究由Akamai安全研究人员利用匿名全球DNS查询日志进行，揭示了一个令人震惊的趋势。模仿USPS网站的非法域名吸引的流量几乎与合法域名相当，有时甚至更高，尤其是在感恩节和圣诞节等购物高峰期。 研究人员通过识别与确认的欺诈性JavaScript文件和类似欺诈消息的HTML模式相关联的恶意域名，开始了这项研究。通过过滤标准，包含“USPS”字符串的域名被分离出来，形成了反映恶意意图的数据集。值得注意的是，这项研究非常注意避免误报，以确保分析的准确性。 研究发现了大量欺骗性域名，它们采用了组合蹲守等技术，利用USPS等熟悉的品牌名称唤起受害者的信任。其中，”usps-post[.]world “和 “uspspost[.]me “是最热门的恶意域名，每个域名的点击量都超过了10万次，凸显了这些攻击活动的有效性。 对顶级域名（TLDs）的分析显示，威胁行为者在常见选择中有共同之处，其中“.com”和“.top”域名在这一领域占主导地位。有趣的是，“.com” TLD顶级域名具有全球合法性，而“.top”则成为一个备受安全研究人员关注的恶意活动的流行替代品。 在IP地址方面，出现了不同的模式。在 IP 地址方面，出现了明显的模式。一些IP托管的域名数量少，但流量大；而另一些IP托管的域名数量多，但单个流量小。这种多样性表明，网络犯罪分子采用了不同的策略来逃避检测。 对合法USPS流量和恶意域名进行比较后发现，两者的查询次数惊人地相似，尤其是在节假日期间，这表明消费者面临着巨大的威胁。   转自Freebuf，原文链接：https://www.freebuf.com/news/399846.html 封面来源于网络，如有侵权请联系删除

近日，谷歌称其在过去一年时间里从应用商店中封禁了 33.3 万个不良账户，原因是这些账户试图分发恶意软件或屡次违反政策。同时，谷歌还拒绝了近 20万个提交到 Play Store的应用程序，以解决访问位置或短信等敏感数据的问题。 谷歌的Steve Kafka、Khawaja ShamsMohet Saxena 表示：2023年谷歌共阻止了228万个违反政策的应用程序在Google Play上发布。这主要得益于谷歌全新改进的安全功能、政策更新以及先进的机器学习和应用程序审查流程。 谷歌的这项执法工作以所谓的 SAFE 原则为基础，SAFE 原则包括：保护用户、倡导开发者保护、促进负责任的创新、加强平台防御。 最近推出的审查和安全措施加强了对恶意提交内容的识别和对 Google Play 上已有风险内容的删除，这些措施包括： 更严格的开发者注册和身份验证流程 为 Android VPN 应用程序引入独立的安全审查和徽章 增加实时扫描功能，阻止恶意软件执行 固件加固，使 SoC 级缺陷更难被利用 扩展 SDK 索引（现已覆盖 600 万个应用程序），帮助开发人员为其项目选择安全的 SDK 除了封禁了近 230 万个应用和暂停 33.3 万个违规发布商之外，谷歌还拒绝了 20 万个无正当理由请求访问短信内容和后台位置数据等风险权限的应用提交请求。 此外，谷歌还表示加强了开发者入职和审查流程，开始要求他们提供更多身份信息，并在设置 Play 控制台开发者账户时完成验证流程。这能够使其更好地了解开发者社区，并根除不良行为者利用该系统传播恶意应用程序的行为。 近年来，谷歌正在积极采取一系列措施以确保安卓生态系统的安全。 去年 11 月，谷歌将其于 2019 年 11 月发起的应用程序防御联盟转移到 Linux 基金会旗下，Meta 和微软也加入成为创始指导成员。 大约在同一时间，谷歌在代码层面推出了实时扫描功能，以应对新型安卓恶意软件，并在 Play Store 的数据安全版块为经过移动应用安全评估（MASA）审核的 VPN 应用提供了 “独立安全审查 ”徽章。 在面向用户的方面，谷歌也采取了措施，从 Play Store 下架了约 150 万个不针对最新 API 的应用程序。 此外，Google 还与 31 家 SDK 提供商合作，确保仅从安装了这些 SDK 的应用的设备中收集和共享最少量的敏感信息。 谷歌表示，这一举措直接

《2023银行业信息安全分析报告》对2023年银行业安全监管情况、监管政策、安全事件等进行分析。

美国会计公司 BerryDunn 遭第三方数据泄露，超过 100 万人的个人信息受影响。 2023年9月14日，BerryDunn收到通知，称其供应商之一的缅因州网络维护和监控公司Reliable Networks，有可能影响其网络的可疑活动。BerryDunn声称已立即执行其件响应协议，并聘请网络安全专家协助确定事件的性质以及是否有任何数据受到损害。 据调查，此次涉及泄露的数据包括： 姓名 地址 驾驶执照号码 非驾驶员身份证 调查显示，威胁行为者访问了Reliable的网络，并复制了存储在其系统上的数据。BerryDunn的内部调查于2024年4月2日结束，距该公司收到入侵通知近一年。 该会计师事务所已“采取措施保护 HAPG 数据，如停用 Reliable 控制下的所有 BerryDunn 系统，并将所有 HAPG 数据迁移到内部 BerryDunn 系统的安全，这些系统作为我们网络安全计划的一部分受到持续监控。” BerryDunn 通过Zero Fox公司IDX提供身份盗窃保护服务。   转自安全客，原文链接：https://www.anquanke.com/post/id/296095 封面来源于网络，如有侵权请联系删除

No-root network monitor, firewall and PCAP dumper for Android

Web application build Golang with Vulnerability

2023年共11家企业营收同比上涨，13家企业营收同比下跌，营收同比平均增长幅度为16.2%

On F5 BIG-IP 16.1.x versions prior to 16.1.2.2, 15.1.x versions prior to 15.1.5.1, 14.1.x versions prior to 14.1.4.6, 13.1.x versions prior to 13.1.5, and all 12.1.x and 11.6.x versions, undisclosed requests may bypass iControl REST authentication. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated
[GitHub]A remote code execution vulnerability exists in the iControl REST API feature of F5's BIG-IP product. An unauthenticated, remote attacker can exploit this to bypass authentication and execute arbitrary commands with root privileges.

" 在F5 BIG-IP 16.1.x版本之前的16.1.2.2、15.1.x版本之前的15.1.5.1、14.1.x版本之前的14.1.4.6、13.1.x版本之前的13.1.5，以及所有12.1.x和11.6.x版本中，未公开的请求可能会绕过iControl REST认证。注意：已达到技术支持结束（EoTS）的软件版本不予评估。\n\n[GitHub] F5 BIG-IP产品的iControl REST API功能存在远程代码执行漏洞。未经身份验证的远程攻击者可以利用此漏洞绕过认证，并使用root权限执行任意命令。"

An OS command injection vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow users to execute commands via a network. We have already fixed the vulnerability in the following versions: QTS 5.1.3.2578 build 20231110 and later QTS 4.5.4.2627 build 20231225 and later QuTS hero h5.1.3.2578 build 20231110 and later QuTS hero h4.5.4.2626 build 20231225 and later QuTScloud c5.1.5.2651 and later
[GitHub]writeup and PoC for CVE-2024-32766 QNAP OS command injection vulnerability.

" 已报告称，一种操作系统命令注入漏洞影响了多个QNAP操作系统版本。如果被利用，此漏洞可能允许用户通过网络执行命令。我们已在以下版本中修复了该漏洞：QTS 5.1.3.2578 build 20231110及后续版本，QTS 4.5.4.2627 build 20231225及后续版本，QuTS hero h5.1.3.2578 build 20231110及后续版本，QuTS hero h4.5.4.2626 build 20231225及后续版本，以及QuTScloud c5.1.5.2651及后续版本。\n[GitHub] 提供了CVE-2024-32766 QNAP操作系统命令注入漏洞的 writeup 和 PoC。"

2023年共11家企业营收同比上涨，13家企业营收同比下跌，营收同比平均增长幅度为16.2%

MultCheck是一款功能强大的恶意软件分析工具，可以直接测试目标文件是否具备恶意性，并检查目标文件是否被一个或多个AV标记。

61% 的安全领导者认为人工智能大大降低了他们的运营开销。

有新的漏洞组件被发现啦,组件ID:DedeCMS
Cross Site Scripting vulnerability in DedeCMS v.5.7.113 allows a remote attacker to run arbitrary code via the mnum parameter.

有新的漏洞组件被发现啦,组件ID:F5
IEIT NF5280M6 UEFI firmware through 8.4 has a pool overflow vulnerability, caused by improper use of the gRT->GetVariable() function. Attackers with access to local NVRAM variables can exploit this by modifying these variables on SPI Flash, resulting in memory data being tampered with. When critical data in memory data is tampered with,a crash may occur.

Slice and dice logs on the command line

RAG (Retrieval Augmented Generation) Framework for building modular, open source applications for production by TrueFoundry

AI在攻防方面，游戏安全等安全领域是很大的帮助，这篇文章说的是在攻击场景，那么防御场景呢？

⭕ Go 语言常用工具库，这个轱辘还算圆！

R语言发现了一个反序列化漏洞(CVE-2024-27322)，攻击者可以利用这个漏洞执行任意代码。

披露了D-Link NAS设备中的一个漏洞，允许使用特定用户名无需凭据访问设备，并且可以执行任意系统命令，且D-Link并未提供补丁。

Palo Alto Networks的防火墙设备面临着严重的漏洞CVE-2024-3400，导致远程控制漏洞，被攻击者利用部署加密货币挖矿恶意软件。

介绍了如何使用CodeQL进行安全研究，发现漏洞