所有Linux发行版存在shim漏洞；多个国家黑客利用AI进行网络攻击；美国挫败俄方网络间谍活动网络 - 安全周报 0216

最新推荐文章于 2024-10-10 19:33:35 发布

程序员--青青

最新推荐文章于 2024-10-10 19:33:35 发布

阅读量833

点赞数 7

文章标签： linux 人工智能网络

本文链接：https://blog.csdn.net/ZL_1618/article/details/141314662

版权

1. 美国政府挫败了与俄罗斯有关的从事网络间谍活动的僵尸网络

美国政府于星期四表示，他们成功挫败了一个由数百个小型办公室和家庭办公室（SOHO）路由器组成的僵尸网络。该网络被与俄罗斯有关的APT28组织利用，以掩盖其恶意活动。

美国司法部（DoJ）在一份声明中表示：“这些犯罪活动包括针对俄罗斯政府感兴趣的情报目标进行的大规模鱼叉式网络钓鱼和类似的凭证收集活动，例如美国和外国政府以及军事、安全和企业组织。”

APT28，也被称为BlueDelta、Fancy Bear、Fighting Ursa、Forest
Blizzard（前称Strontium）、FROZENLAKE、Iron Twilight、Pawn
Storm、Sednit、Sofacy和TA422，据评估与俄罗斯总参谋部主要指挥部（GRU）的第26165部队有关联。该组织至少从2007年开始活跃。

法庭文件称，攻击者依靠基于Mirai的MooBot僵尸网络来开展网络间谍活动，该僵尸网络专门挑选由Ubiquiti制造的路由器，将它们共同纳入一个可以修改的设备网络中，以充当代理，在屏蔽其实际IP地址的同时中继恶意流量。

<https://thehackernews.com/2024/02/us-government-disrupts-russian-
linked.html>[
](https://thehackernews.com/2024/02/us-government-disrupts-russian-
linked.html)

2. 俄罗斯Turla黑客使用新的TinyTurla-NG后门攻击波兰非政府组织

2023年12月，被称为Turla的与俄罗斯有关的威胁行为者被观察到使用一种新的后门，名为TinyTurla-
NG，这是针对波兰非政府组织的长达三个月的攻击活动的一部分。

思科Talos在今天发布的一份技术报告中表示：“TinyTurla-
NG就像TinyTurla一样，是一个小型的‘最后机会’后门，当所有其他未经授权的访问/后门机制在受感染的系统上失败或被检测到时，就会使用它。”

TinyTurla-
NG之所以如此命名，是因为它与TinyTurla具有相似性，TinyTurla是敌对组织在至少自2020年以来针对美国、德国和阿富汗的入侵中使用的另一种植入物。网络安全公司首次记录TinyTurla是在2021年9月。

这表明，Turla黑客组织在不断演变其工具和技术，以逃避检测和保持对目标的持久访问。这种趋势强调了持续监测和更新安全防御措施的重要性，以应对新兴威胁和不断变化的攻击模式。

https://thehackernews.com/2024/02/russian-turla-hackers-target-polish.html

3. 微软和OpenAI警告：多个国家黑客利用AI进行网络攻击

与俄罗斯、朝鲜、伊朗和中国相关的国家行为者正在试验人工智能（AI）和大型语言模型（LLMs），以辅助他们正在进行的网络攻击行动。

这些发现来自微软与OpenAI合作发布的一份报告。两家公司均表示，他们通过终止其资产和账户，破坏了五个与国家有关联的行为者利用其AI服务进行恶意网络活动的努力。

微软在与The Hacker
News分享的一份报告中表示：“语言支持是LLMs的一个自然特性，对于持续关注社会工程和其他依赖虚假、欺骗性通信技术的威胁行为者来说很有吸引力，这些通信技术是根据其目标的工作、专业网络和其他关系量身定制的。”

虽然迄今为止尚未检测到使用LLMs进行的任何重大或新型攻击，但对抗性AI技术的探索已经超越了攻击链的各个阶段，如侦察、编程辅助和恶意软件开发。

这家AI公司表示：“这些行为者通常试图利用OpenAI服务查询开源信息、进行翻译、查找编码错误以及运行基本的编码任务。”

<https://thehackernews.com/2024/02/microsoft-openai-warn-of-nation-
state.html>[
](https://thehackernews.com/2024/02/microsoft-openai-warn-of-nation-
state.html)

4. CISA和OpenSSF发布软件包存储库安全框架

美国网络安全和基础设施安全局（CISA）宣布，它正与开源安全基金会（OpenSSF）的软件存储库安全工作组合作，发布一个新的框架，以保护软件包存储库的安全。

该框架被称为“软件包存储库安全原则”，旨在为软件包管理器建立一套基本规则，并进一步加固开源软件生态系统。“软件包存储库在开源生态系统中处于关键位置，有助于预防或缓解此类攻击，”OpenSSF表示。

这一举措凸显了开源软件在全球范围内的重要性，以及确保其安全性和可靠性的必要性。通过发布这样的框架，CISA和OpenSSF希望能够为开源社区提供指导，帮助开发人员和维护人员更好地保护他们的软件包存储库，从而防止潜在的安全威胁和漏洞。

<https://thehackernews.com/2024/02/cisa-and-openssf-release-framework-
for.html>[
](https://thehackernews.com/2024/02/cisa-and-openssf-release-framework-
for.html)

5. shim的关键引导加载程序漏洞影响几乎所有Linux发行版

shim的维护者已经发布了15.8版本，以修复六个安全漏洞，其中包括一个特定情况下可能导致远程代码执行的关键漏洞。

该漏洞被追踪为CVE-2023-40547（CVSS评分：9.8），可能被利用来实现安全启动的绕过。微软安全响应中心（MSRC）的Bill
Demirkapi被发现并报告了这个漏洞。

使用shim的主要Linux发行版，如Debian、Red Hat、SUSE和Ubuntu，都已经针对这个安全漏洞发布了安全公告。

影响与修复建议：

影响范围：由于shim在Linux发行版中的广泛使用，这个漏洞的影响范围非常广。任何使用受影响的shim版本的Linux系统都可能面临风险。
攻击向量：远程攻击者可能会尝试利用这个漏洞来执行恶意代码或绕过系统的安全启动机制。
修复建议：系统管理员和最终用户应尽快更新他们的Linux系统和shim包到最新版本。这可以通过运行系统的包管理器（如apt、yum或zypper）并检查可用的更新来完成。此外，还应确保系统的BIOS/UEFI设置启用了安全启动功能，以提供额外的保护层。
安全策略：除了应用补丁外，组织还应考虑实施其他安全措施，如网络隔离、入侵检测和预防系统（IDS/IPS），以及定期的安全审计和漏洞评估，以降低潜在的安全风险。

https://thehackernews.com/2024/02/critical-bootloader-vulnerability-in.html

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。