FreeBuf_的博客

AI垃圾邮件机器人AkiraBot绕过验证码攻击8万网站！

Windows文件管理器中发现了一个名为CVE-2025-24071的关键漏洞，攻击者只需解压压缩文件即可窃取用户的NTLM哈希密码，无需用户进行任何交互。

网络安全公司Veriti报告称，威胁行为者正在利用ChatGPT中的一个服务器端请求伪造（SSRF）漏洞（CVE-2024-27564，CVSS评分为6.5），针对美国的金融和政府机构进行攻击。

CVE-2024-27564 漏洞被积极利用，金融行业成主要目标，35%组织安全配置不足，全球攻击频发，修复迫在眉睫。

简单记录一次漏洞挖掘，一个系统居然爆了这么多类型的洞，于是想记录哈。(比较基础，我是菜狗，大佬轻喷)。

深度学习是人工智能的一个子集，涉及训练神经网络来识别数据中的模式。这些神经网络会模仿人类大脑的结构和功能，使它们能够从大量数据中学习，并做出预测或决策。例如，深度学习模型可以识别图像中的物体，理解口语（自然语言处理/ NLP），甚至可以从医学图像中诊断疾病。单像素攻击通过改变输入图像的单个像素来攻击深度学习模型，导致模型对图像进行错误分类。这种攻击使用差分进化算法来识别要修改的最优像素。该方法在不知道模型内部参数的情况下仍然有效。单像素攻击在许多领域都会带来严重风险。

OT 对于全球各地的企业和政府而言至关重要，因为它囊括了关键基础设施、医疗保健系统和制造运营系统。OT 和 ICS 系统不可或缺的性质恰恰使它们面临更高的安全风险。据 NIST 称，OT 安全目标通常优先考虑完整性和可用性，其次是机密性，但随着 OT 网络环境的急剧恶化，组织也应将 OT 安全视为首要任务。正如《2024 年运营技术与网络安全态势研究报告》显示，有积极迹象表明，OT安全在许多组织中正趋于成熟。

2020年5月，Bitdefender发布了一份白皮书，其中详细分析了一种复杂的安卓网络间谍软件Mandrake。2024年4月，卡巴斯基的研究人员发现了一个可疑样本，似乎是Mandrake的新版本。随后的分析显示，从2022年到2024年，多达5个携带Mandrake间谍软件的应用程序在Google Play上可用，总安装量已超3.2万次，却未被任何其他供应商发现。

最近几个月，CheckPoint Research（CPR）一直在调查编译后的V8 JavaScript在恶意软件中的使用情况。编译V8 JavaScript是V8（Google的JavaScript引擎）中一个不太为人所知的特性，它可以将JavaScript编译成低级字节码。这种技术可以帮助攻击者避开静态检测并隐藏其原始源代码，使其几乎不可能进行静态分析。为了静态分析编译后的JavaScript文件，研究人员使用了一个新开发的定制工具“View8”，专门用于将V8字节码反编译为高级可读语言。

现代GPU能够以惊人的速度破解用户密码。最简单的暴力破解算法可以在不到一天的时间内破解任何八个字符以内的密码。智能黑客算法甚至可以快速猜出更长的密码。许多用户的密码不够强：59%的密码可以在一小时内被猜出。使用有意义的单词、名称和标准字符组合可以显著减少猜测密码所需的时间。最不安全的密码是完全由数字或单词组成的密码。记住，最好的密码是随机的，由计算机生成的。许多密码管理器都能够生成密码。使用助记词，而不是有意义的短语。检查您的密码是否能抵御黑客攻击。

虽然ChatGPT提供了非凡的功能，但理解和管理相关的安全风险是至关重要的。通过实施强有力的数据保护措施，遵守数据保护法规，保护知识产权和监控员工使用，组织可以最大限度地降低这些风险，并利用ChatGPT的力量推动业务向前发展。- Endare。

由于云服务提供了传统方式所不具备的可扩展性、匿名性和容错性，攻击者越来越多地开始利用云服务来存储、分发和建立 C&C 信道，例如 VCRUM 存储在 AWS 上或 SYK Cryptor 通过 DriveHQ 进行分发。过去的一个月内，研究人员一直在监控使用这种策略的僵尸网络，例如 UNSTABLE 和 Condi。攻击者利用云服务进行恶意软件分发、C&C 通信，这使得防御者更难以察觉攻击。

2024年上半年，网络攻击的势头不仅未见减弱，还发生了数起严重威胁公众安全的重大数据泄露和勒索软件攻击事件。例如，2月份针对UnitedHealth旗下处方处理商Change Healthcare的勒索软件攻击导致美国医疗保健系统中断数周，许多药店和医院无法处理索赔和接收付款；5月份，Ascension的医疗系统遭到勒索软件攻击，导致紧急护理无法正常开展。这些攻击不禁让人怀疑，威胁行为者是否有意针对那些无法承受网络中断严重影响的公司，以便向这些组织施加更大的压力，要求它们支付赎金。

近日，网络安全机构ESET发布了《2024年H1威胁报告》，揭示了过去半年间威胁场景的一些变化趋势，旨在为企业提供最新的威胁情报。

今年上半年，利用生成式人工智能（GenAI）的网络安全工具继续激增。许多供应商正在利用GenAI的功能来自动化安全运营中心（SOC）的工作，特别是在自动化日常活动方面，如收集威胁信息和自动创建查询。与此同时，一些顶级网络安全公司还推出了许多其他新产品。其中包括安全信息和事件管理（SIEM）、安全访问服务边缘（SASE）和扩展检测和响应（XDR）等关键领域的新产品，这些产品来自CrowdStrike、Cisco和Zscaler等主要供应商。

研究人员近期发现了一种高对抗强度的 Loader，其通过钓鱼邮件附件传递给受害者。根据恶意软件所具备的引诱和规避行为，研究人员将其命名为 SquidLoader。SquidLoader 最早在 2024 年 4 月下旬被发现，但研究人员认为其至少已经活跃了一个月以上。SquidLoader 后续投递的是 Cobalt Strike，也都经过加强以对抗静态分析。根据 SquidLoader 的配置信息，研究人员发现过去两年中主要在针对讲中文的受害者进行攻击。

虽然没有获得实际的恶意软件样本文件，但 Limpopo 勒索软件的各种变种有 Akgum、Aktakyr、Bulanyk、Formosa、Hatartam、Monjukly、Sakgar、Sazanda 和 Windows 勒索软件。根据 Limpopo 勒索软件家族使用到的勒索信息文件被提交给公开文件扫描服务的地点：智利、危地马拉、洪都拉斯、印度、意大利、墨西哥、秘鲁、西班牙、泰国、美国和越南等国家都可能受到了影响。Shinra 勒索软件的样本文件最早在 2024 年 4 月提交给公开的文件扫描服务。

SSLoad 是一种隐秘的恶意软件，主要通过钓鱼邮件打开突破口，收集各种信息再回传给攻击者。近期，研究人员发现 SSLoad 通过诱饵 Word 文档投递恶意 DLL 文件，最终部署 Cobalt Strike。另一种攻击方式是利用钓鱼邮件诱导受害者到 Azure 页面，通过 JavaScript 脚本下载 MSI 安装程序再加载 SSLoad 其他载荷。SSLoad 是新型恶意软件，研究人员发现了许多变种。在恶意软件即服务（MaaS）领域，该恶意软件通过多样化的交付方式彰显自身的技术水平。

攻击者在云端存储各种诱饵文件与泄露数据，并且攻击者往往是针对特定目标进行定向攻击，窃取信息后部署远控木马。建议用户提高警惕，在运行文件之前务必检查文件的扩展名和文件格式是否匹配。

RedTail 一直在更新进步，启用私有矿池进行隐蔽，这与 Lazarus 组织的策略类似。VulDB CTI 团队提到了针对 PAN-OS 漏洞（CVE-2024-3400）的在野攻击，可能与 2024 年 4 月 13 日 Lazarus 的攻击活动有关。

通过内置的各种工具和连接器，Nemesis可以对原始数据进行深度处理，提取出更多的上下文信息，如IP地址的地理位置、域名的注册信息、用户行为的模式等。CloudGrappler是一款由Permiso团队打造的开源云安全工具，能够基于现代云威胁参与者的策略、技术和程序(TTP)（如LUCR-3）提供增强的检测功能，它利用高效的日志查询机制，通过命令行接口（CLI）与数据源进行交互，确保在各种环境下都能稳定运行，能够帮助安全管理团队更加轻松地应对云环境中的安全挑战。

目前，Office 文件已经默认禁用宏代码，攻击者开始转向利用其他微软的软件产品来进行恶意 Payload 投递。默认情况下，OneNote 应用也包含在 Office 2019 和 Microsoft 365 软件中，所以 OneNote 文件越来越受到攻击者的青睐。如果有人意外打开恶意 OneNote 文件，就会触发加载恶意 Payload。研究人员发现攻击者在 OneNote 中嵌入恶意脚本或二进制文件，与传统宏代码相比更加灵活。

尽管攻击者已经了解这些漏洞很久很久，但仍然在继续使用并且能够攻击成功。这凸显了组织在识别易受攻击资产和升级补丁管理上，持续面临巨大挑战。研究人员发现并非所有的受害者都使用了 ThinkPHP，攻击者可能不加区分进行了广泛的攻击。攻击者一方面对恶意脚本进行了混淆处理，另一方面也有很低级技术的表现，这二者十分割裂。当然，攻击技术先进并不代表着背后的攻击者也很熟练。

武器基于 Python 的 ELF 和 PE 格式文件窃取程序、混淆 shell 脚本、Poseidon 代理、Telegram RAT、Go-Stealer攻击载体鱼叉式网络钓鱼、恶意 ISO、ZIP 压缩包、恶意链接、ELF 下载器、使用 HTTrack 网站复制器窃取凭证网络基础设施网络服务：Telegram、Google Drive 和 Discord、Hostinger International Limited、Contabo GmbH、NameCheap, Inc。

从长远来看，随着Gen-AI代码生成器的改进，它们确实有可能提高整体软件安全性。问题是，我们将到达一个危险的拐点，当Gen-AI引擎和模型达到能够持续生成相当不错的代码的程度时，开发团队将面临压力，因为有些人会认为“相当不错”就就足够了。而正是因为如此，漏洞才更有可能在未被发现和修复的情况下影响产品安全。这就是危险区域。只要开发人员和管理人员保持适当的怀疑和谨慎，那么Gen-AI就会成为一种有效工具。当谨慎程度下降时，就会变得危险。

密码安全是网络安全的基础，机器学习技术可以作为增强密码安全性的强大工具。通过创建能够执行密码分类的机器学习模型，可以帮助社区进一步提升对密码安全性的认知，并强调创建安全密码的重要性。

提到 “关键资产 ”，相信大家并不陌生，它是企业 IT 基础设施中对组织运作至关重要的技术资产。如果这些资产（如应用服务器、数据库或特权身份）出现问题，势必会对企业安全态势造成严重影响。但每项技术资产都被视为关键业务资产吗？你对关键业务资产的风险真正了解多少？关键业务资产指的是企业的基础技术资产，而技术只是企业成功运营所需的三大支柱之一。为了实现完整的网络安全治理，应考虑以下因素： 1）技术；2）业务流程；3）关键人员。

在过去的二十年中，特别是自2020年以来，与网络相关的事件变得越来越频繁，尤其是具有恶意意图的网络事件数量（例如网络勒索或恶意数据泄露）与COVID-19大流行之前相比几乎翻了一番（见图1）。【图1：2004–23全球网络事件数量走势】网络事件会给企业带来巨大的成本。自2020年以来，上报的网络事件直接损失总额已达近280亿美元（按实际价值计算），数十亿条记录被盗或泄露（见图2）。然而，这些事件的总直接和间接成本很可能还要高得多，估计占全球GDP的1%至10%。

目前，很多恶意软件开发人员都会尝试在不被发现或检测到的情况下最大限度地增加成功感染的设备数量，这也促使他们努力寻找更加复杂的新技术和新方法。不幸的是，由于Android Manifest解析程序的代码由于验证机制不够严格，给了SoumniBot可乘之机。

本文通过各种报告摘录，提供了有关当前勒索软件形势的统计数据和见解。

最近浮出水面的 Dispossessor 勒索软件，其与臭名昭著的 LockBit 勒索软件团伙存在许多相似之处。在全球执法机构联合打击了 LockBit 的攻击基础设施后，Dispossessor 带着与 LockBit 高度相似的结构与内容出现在众人眼前。Dispossessor 符号标记。

与依赖数字修改的VLMs后门攻击不同的是，BadVLMDriver使用常见的物理物品（例如一个红色气球），以此诱导智能驾驶做出不安全的动作（突然加速），可对车辆安全造成重大实际威胁。BadVLMDriver就是其中之一，使用在输入文本中插入的特殊单词，以及嵌入在输入图像中的优化噪声模式作为联合触发器，诱导目标输出，具有较高的成功率。由于预定义的规则难以泛化到不可预测的真实世界的情况，因此人们将深度学习方法整合到驾驶系统的各个组件中，开发了大量的自动驾驶模型，并以监督方式训练，依赖于人工标注的数据集。

基于覆盖引导的模糊测试是很多高级模糊测试工具所使用的一种十分有用的功能，例如AFL、libFuzzer和Fuzzilli等。这种功能允许模糊测试工具确认一个输入是否能够在源程序路径中发现新的边或执行分支。在控制流图（CFG）中，一个边连接两个分支。比如说，如果一个辑条件涉及if-else语句，则会有两条边，一条用于if，另一条用于else语句。它是模糊测试过程中的重要组成部分，有助于确定模糊测试工具是否有效地覆盖了目标程序的可执行代码。

2024 年第一季度，ReliaQuest 发现了 1041 个组织公开了勒索软件数据泄露网站，相比 2023 年第四季度减少了 18%。尽管 2024 年第一季度的数据表明勒索软件活动有所放缓，但这可能只是短暂的平静。安全研究人员预计勒索软件将在 2024 年第二季度再度增加，前几年的趋势也是如此。2024 年 2 月，执法部门对 LockBit 勒索软件团伙进行了打击，这也导致勒索软件活跃程度下降。

在过去的二十年中，特别是自2020年以来，与网络相关的事件变得越来越频繁，尤其是具有恶意意图的网络事件数量（例如网络勒索或恶意数据泄露）与COVID-19大流行之前相比几乎翻了一番（见图1）。【图1：2004–23全球网络事件数量走势】网络事件会给企业带来巨大的成本。自2020年以来，上报的网络事件直接损失总额已达近280亿美元（按实际价值计算），数十亿条记录被盗或泄露（见图2）。然而，这些事件的总直接和间接成本很可能还要高得多，估计占全球GDP的1%至10%。

随着时间的推移，虽然一些威胁参与者的TTP仍然保持一致，例如严重依赖社会工程作为在目标组织中获得立足点或破坏个人设备的手段，但其他人已经更新了他们的工具集并扩大了活动范围。本季度的主要亮点包括Kimsuky在韩国的供应链攻击中使用了基于Golang的后门Durian，以及针对中东的活动，包括像Gelsemium这样的APT组织，以及黑客主义攻击。针对意大利个人的Spyrtacus恶意软件表明，威胁行为者继续针对多个平台开发其恶意软件。APT活动在地理上仍然非常分散。

Sysdig威胁研究团队(TRT)观察到一种新型攻击，命名为LLMjacking。它利用窃取的云凭证，对托管在云上的十个大型语言模型(LLM)服务发起攻击。这些凭证是从一个流行的目标获得，即运行着一个存在漏洞的Laravel版本（CVE-2021-3129）的系统。针对基于LLM的人工智能（AI）系统的攻击经常被讨论，但大多围绕提示滥用和改变训练数据。在这种情况下，攻击者打算将LLM访问权出售给其他网络犯罪分子，而云账户所有者支付费用。

在这篇文章中，我们将演示如何使用Sysmon日志来分析和了解恶意软件的各种行为，其中包括如何通过Firefox从Dropbox下载、运行、并使用Windows工具进行安装。本文将介绍Sysmon日志中各种有用的Event ID，以及如何识别和分析Windows操作系统上的恶意活动。

GuptiMiner 是一个高度复杂的威胁，最早在 2018 年发现，主要为了在大型企业中分发后门。一种是 PuTTY Link 的增强版本后门，能够针对本地网络进行 SMB 扫描，并通过网络横向移动到网络上其他可能易受攻击的 Windows 7 和 Windows Server 2008 主机；另一种是多模块后门，接受攻击者的命令安装更多恶意代码模块，并专注于扫描本地系统上存储的私钥和加密钱包。令人感到不解的是，GuptiMiner 还会分发挖矿程序，对于此类攻击者来说有点不可思议。

人工智能（AI）不仅仅是一种开拓性的创新技术，甚至已经成为一种常态，企业正在工程、IT营销、财务、客户服务等领域迅速采用AI和机器学习（ML）工具。但与此同时，他们必须平衡AI工具带来的诸多风险，以获取最大限度的回报。事实上，为了释放AI的变革潜力，企业必须启用安全控制来保护其数据，防止敏感信息泄露，减轻“影子AI”的蔓延，并确保AI数据的质量。但糟糕的是，这些AI给企业带来的风险是双向的：在企业之外，AI已经成为网络威胁的推动力。