1、研究人员披露Predator间谍软件数百万美元许可模型
https://blog.talosintelligence.com/intellexa-and-cytrox-intel-agency-grade-spyware/
复杂商业间谍软件Predator的一项新分析表明,其在重新启动之间持续存在的能力是作为“附加功能”提供的,并且取决于客户选择的许可选项。2021 年,Predator 间谍软件无法在受感染的 Android 系统上重新启动(iOS 上也有)。但是,到 2022 年 4 月,他们的客户就可以享受到这种功能了。Predator 可以针对 Android 和 iOS,被描述为一种“远程移动提取系统”,其以许可模式出售,根据初始访问所使用的漏洞和并发感染的数量,该模式的售价高达数百万美元,远离脚本小子和新手犯罪分子。
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
2、APT33组织利用新的FalseFont恶意软件针对国防公司发起攻击
https://twitter.com/MsftSecIntel/status/1737895715911700830
伊朗网络间谍组织APT33正在使用最近发现的 FalseFont 后门恶意软件来攻击全球的国防承包商。微软观察到伊朗民族国家演员 Peach Sandstorm 试图向国防工业基地 (DIB) 部门的组织工作的个人提供一个新开发的名为 FalseFont 的后门。这些攻击的目标 DIB 部门包括超过 100000 家参与研究和开发军事武器系统、子系统和组件的国防公司和分包商。该黑客组织也被称为 Peach Sandstorm、HOLMIUM 或 Refined Kitten,至少自 2013 年以来一直活跃。他们的目标涵盖美国、沙特阿拉伯和韩国的各个行业部门,包括政府、国防、研究、金融和工程垂直领域。FalseFont 是微软今天公布的活动中部署的自定义后门,它允许操作员远程访问受感染的系统、执行文件以及将文件传输到其命令和控制 (C2) 服务器。
3、诈骗者利用广告推送传播MS Drainer钓鱼网站盗取巨额加密货币
攻击者利用谷歌和 Twitter 的广告传播包含名为“MS Drainer”的加密货币流失程序的网站,该网站在过去 9 个月内已从 63210 名受害者那里窃取了 5900 万美元。从 2023 年 3 月至今,他们发现了超过一万个使用 MS Drainer 的网络钓鱼网站,其中 5 月、6 月和 11 月的活动激增。用户被带到一个看似合法的网络钓鱼网站,并被诱骗批准恶意合约,从而允许 Drainer 自动执行未经授权的交易,并将受害者的钱转移到攻击者的钱包地址。MS Drainer 的源代码由名为“Pakulichev”或“PhishLab”的用户以 1,500 美元的价格出售给网络犯罪分子,该用户还对使用该工具包窃取的任何资金收取 20% 的费用。此外,PhishLab 还销售为恶意软件添加新功能的附加模块,价格在 500 至 1,000 美元之间。
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
4、OpenAI针对ChatGPT数据泄露漏洞推出了不完善的修复程序
https://embracethered.com/blog/posts/2023/openai-data-exfiltration-first-mitigations-implemented/
OpenAI 缓解了 ChatGPT 中的数据泄露错误,该错误可能会将对话详细信息泄露到外部 URL。据发现该漏洞的研究人员称,缓解措施并不完美,因此攻击者在某些条件下仍然可以利用它。此外,ChatGPT 的 iOS 移动应用程序尚未实施安全检查,因此该平台上的风险仍未得到解决。安全研究人员发现了一种从 ChatGPT 中窃取数据的技术,并于 2023 年 4 月向 OpenAI 报告。该研究人员后来于 2023 年 11 月分享了有关创建恶意 GPT 的更多信息,这些恶意 GPT 利用该缺陷对用户进行网络钓鱼。由于聊天机器人供应商没有做出回应,研究人员决定于 2023 年 12 月 12 日公开披露他的发现,他展示了一个名为“The Thief!”的定制井字棋 GPT,该 GPT 可以将对话数据泄露到外部由研究人员操作的 URL。
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
5、Ivanti发布了针对13个严重Avalanche RCE漏洞的补丁
https://forums.ivanti.com/s/article/Avalanche-6-4-2-Security-Hardening-and-CVEs-addressed
Ivanti 发布了安全更新,修复了该公司 Avalanche 企业移动设备管理 (MDM) 解决方案中的 13 个关键安全漏洞。Avalanche 允许管理员通过互联网从一个中央位置管理超过 100000 台移动设备、部署软件并安排更新。这些安全缺陷是由WLAvalancheService 堆栈或基于堆的缓冲区溢出漏洞造成的。未经身份验证的攻击者可以在低复杂性攻击中利用它们,这些攻击不需要用户交互即可在未修补的系统上获得远程代码执行。攻击者向移动设备服务器发送特制数据包可能会导致内存损坏,从而导致拒绝服务 (DoS) 或代码执行。
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
6、攻击者利用伪造的F5 BIG-IP零日警告电子邮件部署数据擦除器
https://www.gov.il/he/Departments/publications/reports/alert_1687
以色列国家网络管理局警告称,假冒 F5 BIG-IP 零日安全更新的网络钓鱼电子邮件会部署 Windows 和 Linux 数据擦除器。以色列国家网络管理局 (INCD) 充当 CERT,负责保护国家免受网络威胁,并向组织和公民发出已知攻击的警告。自十月以来,以色列一直是亲巴勒斯坦和伊朗黑客活动分子的重点攻击目标,他们一直在对该国的组织进行数据盗窃和数据擦除攻击。11 月,研究人员发现了一种名为 BiBi Wiper 的新数据擦除器, 它同时针对 Linux 和 Windows 设备,据信是由亲哈马斯的黑客活动分子创建的。
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
7、加密货币诈骗者滥用Twitter功能来冒充知名账户
https://twitter.com/XrplServices/status/1736432471166660814
加密货币诈骗者正在滥用合法的 Twitter“功能”来宣传诈骗、虚假赠品以及用于窃取您的加密货币和 NFT 的欺诈性 Telegram 频道。在 X(以前更广泛地称为 Twitter)上,帖子的 URL 由发推者的帐户名和状态 ID 组成。网站使用状态 ID 来确定应从网站数据库加载哪些帖子,而不去检查帐户名是否有效。这允许您获取推文的 URL 并将帐户名称修改为您想要的任何名称,甚至是高调的帐户。访问 URL 时,网站只会将您重定向到与 ID 关联的正确 URL。诈骗者在过去两周(甚至更长时间)已经开始 使用 这种重定向机制 来创建看似属于合法、知名组织的 URL。所有冒充组织都是与加密货币相关的帐户,例如 Binance(1100 万粉丝)、以太坊基金会(300 万)、zkSync(130 万)和 Chainlink(100 万)。
8、安卓恶意软件Chameleon禁用指纹解锁以窃取PIN
https://www.threatfabric.com/blogs/android-banking-trojan-chameleon-is-back-in-action
Chameleon Android 银行木马以新版本重新出现,该版本使用一种棘手的技术来接管设备——禁用指纹和面部解锁来窃取设备 PIN。它通过使用 HTML 页面技巧来获取对辅助功能服务的访问权限,并使用一种破坏生物识别操作以窃取 PIN 并随意解锁设备的方法来实现此目的。今年 4 月发现的 Chameleon 早期版本冒充澳大利亚政府机构、银行和 CoinSpot 加密货币交易所,在受感染的设备上执行键盘记录、覆盖注入、cookie 盗窃和短信盗窃。
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
9、Inhospitality恶意垃圾邮件活动针对酒店业发起攻击
https://news.sophos.com/en-us/2023/12/19/inhospitality-malspam-campaign-targets-hotel-industry/
一项针对全球酒店的密码窃取恶意软件活动正在利用有关服务问题或信息请求的电子邮件投诉作为社会工程诱饵,以获取活动目标的信任,然后再向其发送链接恶意负载。攻击者最初通过电子邮件联系目标,该电子邮件只包含文本,但主题是服务面向企业(如酒店)会希望快速响应。只有在目标回复威胁行为者的初始电子邮件后,威胁行为者才会发送后续消息,链接到他们声称的有关其请求或投诉的详细信息。社会工程角度涵盖了各种各样的主题,但可以分为两大类:对发送者声称在最近住宿中遇到的严重问题的投诉,或请求提供信息以帮助将来可能的预订。
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
10、游戏巨头育碧正在调查数据泄露事件
https://securityaffairs.com/156331/data-breach/ubisoft-investigating-alleged-data-breach.html
游戏发行商育碧正在审查著名研究人员 vx-underground 披露证据后有关潜在数据泄露。研究人员报告称,2023 年 12 月 20 日,一名未知威胁参与者可以访问育碧基础设施大约 48 小时。管理员发现攻击后将入侵者锁定。目前尚不清楚攻击者如何入侵该公司,他们试图窃取 R6 Siege 用户数据,但没有成功。
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全该如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
如果你对网络安全入门感兴趣,
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
924
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
