FreeBuf_的博客

最近几个月，CheckPoint Research（CPR）一直在调查编译后的V8 JavaScript在恶意软件中的使用情况。编译V8 JavaScript是V8（Google的JavaScript引擎）中一个不太为人所知的特性，它可以将JavaScript编译成低级字节码。这种技术可以帮助攻击者避开静态检测并隐藏其原始源代码，使其几乎不可能进行静态分析。为了静态分析编译后的JavaScript文件，研究人员使用了一个新开发的定制工具“View8”，专门用于将V8字节码反编译为高级可读语言。

现代GPU能够以惊人的速度破解用户密码。最简单的暴力破解算法可以在不到一天的时间内破解任何八个字符以内的密码。智能黑客算法甚至可以快速猜出更长的密码。许多用户的密码不够强：59%的密码可以在一小时内被猜出。使用有意义的单词、名称和标准字符组合可以显著减少猜测密码所需的时间。最不安全的密码是完全由数字或单词组成的密码。记住，最好的密码是随机的，由计算机生成的。许多密码管理器都能够生成密码。使用助记词，而不是有意义的短语。检查您的密码是否能抵御黑客攻击。

虽然ChatGPT提供了非凡的功能，但理解和管理相关的安全风险是至关重要的。通过实施强有力的数据保护措施，遵守数据保护法规，保护知识产权和监控员工使用，组织可以最大限度地降低这些风险，并利用ChatGPT的力量推动业务向前发展。- Endare。

由于云服务提供了传统方式所不具备的可扩展性、匿名性和容错性，攻击者越来越多地开始利用云服务来存储、分发和建立 C&C 信道，例如 VCRUM 存储在 AWS 上或 SYK Cryptor 通过 DriveHQ 进行分发。过去的一个月内，研究人员一直在监控使用这种策略的僵尸网络，例如 UNSTABLE 和 Condi。攻击者利用云服务进行恶意软件分发、C&C 通信，这使得防御者更难以察觉攻击。

2024年上半年，网络攻击的势头不仅未见减弱，还发生了数起严重威胁公众安全的重大数据泄露和勒索软件攻击事件。例如，2月份针对UnitedHealth旗下处方处理商Change Healthcare的勒索软件攻击导致美国医疗保健系统中断数周，许多药店和医院无法处理索赔和接收付款；5月份，Ascension的医疗系统遭到勒索软件攻击，导致紧急护理无法正常开展。这些攻击不禁让人怀疑，威胁行为者是否有意针对那些无法承受网络中断严重影响的公司，以便向这些组织施加更大的压力，要求它们支付赎金。

近日，网络安全机构ESET发布了《2024年H1威胁报告》，揭示了过去半年间威胁场景的一些变化趋势，旨在为企业提供最新的威胁情报。

RisePro 是一种窃密木马，以恶意软件即服务（MaaS）的模式在地下论坛出售。该恶意软件家族最早在 2022 年被发现，近期攻击行为快速增长。RisePro 不依赖特定的感染媒介，可以通过多种方式植入失陷主机，通常使用恶意链接和其他诱饵获得立足点。曾经 RisePro 与 PrivateLoader 联合投递，通过 PrivateLoader 将 RisePro 投递到失陷主机。研究人员发现 RisePro 与 PrivateLoader 共享大量代码，这表明两者之间存在联系。

今年上半年，利用生成式人工智能（GenAI）的网络安全工具继续激增。许多供应商正在利用GenAI的功能来自动化安全运营中心（SOC）的工作，特别是在自动化日常活动方面，如收集威胁信息和自动创建查询。与此同时，一些顶级网络安全公司还推出了许多其他新产品。其中包括安全信息和事件管理（SIEM）、安全访问服务边缘（SASE）和扩展检测和响应（XDR）等关键领域的新产品，这些产品来自CrowdStrike、Cisco和Zscaler等主要供应商。

研究人员近期发现了一种高对抗强度的 Loader，其通过钓鱼邮件附件传递给受害者。根据恶意软件所具备的引诱和规避行为，研究人员将其命名为 SquidLoader。SquidLoader 最早在 2024 年 4 月下旬被发现，但研究人员认为其至少已经活跃了一个月以上。SquidLoader 后续投递的是 Cobalt Strike，也都经过加强以对抗静态分析。根据 SquidLoader 的配置信息，研究人员发现过去两年中主要在针对讲中文的受害者进行攻击。

虽然没有获得实际的恶意软件样本文件，但 Limpopo 勒索软件的各种变种有 Akgum、Aktakyr、Bulanyk、Formosa、Hatartam、Monjukly、Sakgar、Sazanda 和 Windows 勒索软件。根据 Limpopo 勒索软件家族使用到的勒索信息文件被提交给公开文件扫描服务的地点：智利、危地马拉、洪都拉斯、印度、意大利、墨西哥、秘鲁、西班牙、泰国、美国和越南等国家都可能受到了影响。Shinra 勒索软件的样本文件最早在 2024 年 4 月提交给公开的文件扫描服务。

SSLoad 是一种隐秘的恶意软件，主要通过钓鱼邮件打开突破口，收集各种信息再回传给攻击者。近期，研究人员发现 SSLoad 通过诱饵 Word 文档投递恶意 DLL 文件，最终部署 Cobalt Strike。另一种攻击方式是利用钓鱼邮件诱导受害者到 Azure 页面，通过 JavaScript 脚本下载 MSI 安装程序再加载 SSLoad 其他载荷。SSLoad 是新型恶意软件，研究人员发现了许多变种。在恶意软件即服务（MaaS）领域，该恶意软件通过多样化的交付方式彰显自身的技术水平。

攻击者在云端存储各种诱饵文件与泄露数据，并且攻击者往往是针对特定目标进行定向攻击，窃取信息后部署远控木马。建议用户提高警惕，在运行文件之前务必检查文件的扩展名和文件格式是否匹配。

RedTail 一直在更新进步，启用私有矿池进行隐蔽，这与 Lazarus 组织的策略类似。VulDB CTI 团队提到了针对 PAN-OS 漏洞（CVE-2024-3400）的在野攻击，可能与 2024 年 4 月 13 日 Lazarus 的攻击活动有关。

通过内置的各种工具和连接器，Nemesis可以对原始数据进行深度处理，提取出更多的上下文信息，如IP地址的地理位置、域名的注册信息、用户行为的模式等。CloudGrappler是一款由Permiso团队打造的开源云安全工具，能够基于现代云威胁参与者的策略、技术和程序(TTP)（如LUCR-3）提供增强的检测功能，它利用高效的日志查询机制，通过命令行接口（CLI）与数据源进行交互，确保在各种环境下都能稳定运行，能够帮助安全管理团队更加轻松地应对云环境中的安全挑战。

目前，Office 文件已经默认禁用宏代码，攻击者开始转向利用其他微软的软件产品来进行恶意 Payload 投递。默认情况下，OneNote 应用也包含在 Office 2019 和 Microsoft 365 软件中，所以 OneNote 文件越来越受到攻击者的青睐。如果有人意外打开恶意 OneNote 文件，就会触发加载恶意 Payload。研究人员发现攻击者在 OneNote 中嵌入恶意脚本或二进制文件，与传统宏代码相比更加灵活。

尽管攻击者已经了解这些漏洞很久很久，但仍然在继续使用并且能够攻击成功。这凸显了组织在识别易受攻击资产和升级补丁管理上，持续面临巨大挑战。研究人员发现并非所有的受害者都使用了 ThinkPHP，攻击者可能不加区分进行了广泛的攻击。攻击者一方面对恶意脚本进行了混淆处理，另一方面也有很低级技术的表现，这二者十分割裂。当然，攻击技术先进并不代表着背后的攻击者也很熟练。

武器基于 Python 的 ELF 和 PE 格式文件窃取程序、混淆 shell 脚本、Poseidon 代理、Telegram RAT、Go-Stealer攻击载体鱼叉式网络钓鱼、恶意 ISO、ZIP 压缩包、恶意链接、ELF 下载器、使用 HTTrack 网站复制器窃取凭证网络基础设施网络服务：Telegram、Google Drive 和 Discord、Hostinger International Limited、Contabo GmbH、NameCheap, Inc。

从长远来看，随着Gen-AI代码生成器的改进，它们确实有可能提高整体软件安全性。问题是，我们将到达一个危险的拐点，当Gen-AI引擎和模型达到能够持续生成相当不错的代码的程度时，开发团队将面临压力，因为有些人会认为“相当不错”就就足够了。而正是因为如此，漏洞才更有可能在未被发现和修复的情况下影响产品安全。这就是危险区域。只要开发人员和管理人员保持适当的怀疑和谨慎，那么Gen-AI就会成为一种有效工具。当谨慎程度下降时，就会变得危险。

密码安全是网络安全的基础，机器学习技术可以作为增强密码安全性的强大工具。通过创建能够执行密码分类的机器学习模型，可以帮助社区进一步提升对密码安全性的认知，并强调创建安全密码的重要性。

提到 “关键资产 ”，相信大家并不陌生，它是企业 IT 基础设施中对组织运作至关重要的技术资产。如果这些资产（如应用服务器、数据库或特权身份）出现问题，势必会对企业安全态势造成严重影响。但每项技术资产都被视为关键业务资产吗？你对关键业务资产的风险真正了解多少？关键业务资产指的是企业的基础技术资产，而技术只是企业成功运营所需的三大支柱之一。为了实现完整的网络安全治理，应考虑以下因素： 1）技术；2）业务流程；3）关键人员。

在过去的二十年中，特别是自2020年以来，与网络相关的事件变得越来越频繁，尤其是具有恶意意图的网络事件数量（例如网络勒索或恶意数据泄露）与COVID-19大流行之前相比几乎翻了一番（见图1）。【图1：2004–23全球网络事件数量走势】网络事件会给企业带来巨大的成本。自2020年以来，上报的网络事件直接损失总额已达近280亿美元（按实际价值计算），数十亿条记录被盗或泄露（见图2）。然而，这些事件的总直接和间接成本很可能还要高得多，估计占全球GDP的1%至10%。

目前，很多恶意软件开发人员都会尝试在不被发现或检测到的情况下最大限度地增加成功感染的设备数量，这也促使他们努力寻找更加复杂的新技术和新方法。不幸的是，由于Android Manifest解析程序的代码由于验证机制不够严格，给了SoumniBot可乘之机。

本文通过各种报告摘录，提供了有关当前勒索软件形势的统计数据和见解。

最近浮出水面的 Dispossessor 勒索软件，其与臭名昭著的 LockBit 勒索软件团伙存在许多相似之处。在全球执法机构联合打击了 LockBit 的攻击基础设施后，Dispossessor 带着与 LockBit 高度相似的结构与内容出现在众人眼前。Dispossessor 符号标记。

与依赖数字修改的VLMs后门攻击不同的是，BadVLMDriver使用常见的物理物品（例如一个红色气球），以此诱导智能驾驶做出不安全的动作（突然加速），可对车辆安全造成重大实际威胁。BadVLMDriver就是其中之一，使用在输入文本中插入的特殊单词，以及嵌入在输入图像中的优化噪声模式作为联合触发器，诱导目标输出，具有较高的成功率。由于预定义的规则难以泛化到不可预测的真实世界的情况，因此人们将深度学习方法整合到驾驶系统的各个组件中，开发了大量的自动驾驶模型，并以监督方式训练，依赖于人工标注的数据集。

基于覆盖引导的模糊测试是很多高级模糊测试工具所使用的一种十分有用的功能，例如AFL、libFuzzer和Fuzzilli等。这种功能允许模糊测试工具确认一个输入是否能够在源程序路径中发现新的边或执行分支。在控制流图（CFG）中，一个边连接两个分支。比如说，如果一个辑条件涉及if-else语句，则会有两条边，一条用于if，另一条用于else语句。它是模糊测试过程中的重要组成部分，有助于确定模糊测试工具是否有效地覆盖了目标程序的可执行代码。

2024 年第一季度，ReliaQuest 发现了 1041 个组织公开了勒索软件数据泄露网站，相比 2023 年第四季度减少了 18%。尽管 2024 年第一季度的数据表明勒索软件活动有所放缓，但这可能只是短暂的平静。安全研究人员预计勒索软件将在 2024 年第二季度再度增加，前几年的趋势也是如此。2024 年 2 月，执法部门对 LockBit 勒索软件团伙进行了打击，这也导致勒索软件活跃程度下降。

在过去的二十年中，特别是自2020年以来，与网络相关的事件变得越来越频繁，尤其是具有恶意意图的网络事件数量（例如网络勒索或恶意数据泄露）与COVID-19大流行之前相比几乎翻了一番（见图1）。【图1：2004–23全球网络事件数量走势】网络事件会给企业带来巨大的成本。自2020年以来，上报的网络事件直接损失总额已达近280亿美元（按实际价值计算），数十亿条记录被盗或泄露（见图2）。然而，这些事件的总直接和间接成本很可能还要高得多，估计占全球GDP的1%至10%。

随着时间的推移，虽然一些威胁参与者的TTP仍然保持一致，例如严重依赖社会工程作为在目标组织中获得立足点或破坏个人设备的手段，但其他人已经更新了他们的工具集并扩大了活动范围。本季度的主要亮点包括Kimsuky在韩国的供应链攻击中使用了基于Golang的后门Durian，以及针对中东的活动，包括像Gelsemium这样的APT组织，以及黑客主义攻击。针对意大利个人的Spyrtacus恶意软件表明，威胁行为者继续针对多个平台开发其恶意软件。APT活动在地理上仍然非常分散。

Sysdig威胁研究团队(TRT)观察到一种新型攻击，命名为LLMjacking。它利用窃取的云凭证，对托管在云上的十个大型语言模型(LLM)服务发起攻击。这些凭证是从一个流行的目标获得，即运行着一个存在漏洞的Laravel版本（CVE-2021-3129）的系统。针对基于LLM的人工智能（AI）系统的攻击经常被讨论，但大多围绕提示滥用和改变训练数据。在这种情况下，攻击者打算将LLM访问权出售给其他网络犯罪分子，而云账户所有者支付费用。

在这篇文章中，我们将演示如何使用Sysmon日志来分析和了解恶意软件的各种行为，其中包括如何通过Firefox从Dropbox下载、运行、并使用Windows工具进行安装。本文将介绍Sysmon日志中各种有用的Event ID，以及如何识别和分析Windows操作系统上的恶意活动。

近日，卡巴斯基发布了《2024年Q1漏洞和利用报告》，提供了一系列有洞察力的统计和分析快照，揭示了新漏洞和利用的发展趋势，以及攻击者最常利用的漏洞概述。为组织获悉和应对相关威胁提供了有价值的见解。

GuptiMiner 是一个高度复杂的威胁，最早在 2018 年发现，主要为了在大型企业中分发后门。一种是 PuTTY Link 的增强版本后门，能够针对本地网络进行 SMB 扫描，并通过网络横向移动到网络上其他可能易受攻击的 Windows 7 和 Windows Server 2008 主机；另一种是多模块后门，接受攻击者的命令安装更多恶意代码模块，并专注于扫描本地系统上存储的私钥和加密钱包。令人感到不解的是，GuptiMiner 还会分发挖矿程序，对于此类攻击者来说有点不可思议。

人工智能（AI）不仅仅是一种开拓性的创新技术，甚至已经成为一种常态，企业正在工程、IT营销、财务、客户服务等领域迅速采用AI和机器学习（ML）工具。但与此同时，他们必须平衡AI工具带来的诸多风险，以获取最大限度的回报。事实上，为了释放AI的变革潜力，企业必须启用安全控制来保护其数据，防止敏感信息泄露，减轻“影子AI”的蔓延，并确保AI数据的质量。但糟糕的是，这些AI给企业带来的风险是双向的：在企业之外，AI已经成为网络威胁的推动力。

人工智能（AI）正在迅速改变各个领域的软件开发和部署。驱动这一转变的两个关键群体为人工智能开发者和人工智能集成商。开发人员处于创建基础人工智能技术的最前沿，包括生成式人工智能（GenAI）模型、自然语言处理（NLP）和大型语言模型（LLM）。与此同时，像Snap、Instacart、CrowdStrike、Priceline、Cloudflare、X（Twitter）和Salesforce这样的集成商通常会将这些人工智能的进步融入到他们的产品中。

What-The-Fuzz是我个人非常喜欢的一款工具（0vercl0k库），除了其本身的强大功能之外，我更喜欢该工具创建时背后的故事。除此之外，0vercl0k库中的各种其他组件也是我非常喜欢的，比如说kdmp-parser、symbolizer和bochscpu等等。如果你了解并使用过这些工具库，那么你肯定非常熟悉内存转储和模糊测试的相关内容。在这篇文章中，我将跟大家分享一种仿真环境下内存转储分析和模糊测试的方法。在此之前，我一般会将内存转储作为在程序崩溃前访问程序崩溃条件和执行上下文的最后一种方式。

1、一定要在Burp中检查重定向响应;实际上，很多节点都会存在本文所述的这种身份绕过漏洞，在Burp中捕捉并检查重定向响应后，我们就能够清楚地了解前后端的交互和反应情况了；2、如果你在一个子域名中找到了可疑的安全问题，可以通过尝试子域名模糊测试方法来进行分析和测试;admin-FUZZ.target.com 例如: admin-stg.target.comFUZZ-admin.target.com 例如: cert-admin.target.com。

PC销量正在飙升。据行业分析公司IDC称，到2028年，PC的出货量可能会上升到2.92亿台。推动这一需求的因素有很多，包括更换疫情期间发布的过时设备的需求，对运行企业AI应用程序所需的高处理能力的笔记本电脑的狂热，以及混合和远程工作的全面巩固。在未来的几十年里，PC仍将是商务工具的首选，Windows在企业电脑市场的占有率高达68%。对于CISO和其他安全和风险专业人士来说，PC的普及继续为所有行业提供攻击面，每台设备都会引入网络犯罪分子和威胁行为者可能利用的新漏洞。监管也将给PC经济带来进一步的压力。

距离 SolarWinds 供应链安全事件发生了四年，供应链安全问题能否有效解决？总的来说局势并不是很乐观，供应链安全问题涉及到层面太过复杂，无论是开源组件使用问题，还是上游的管理权限，亦或是自身代码问题，无论其中哪一个环节出现问题，都会给威胁攻击者留下可乘之机，危害整个链路的安全。

在本文中，我们介绍并描述了盗梦攻击，这是当今最流行的虚拟现实系统上可行的一类强大攻击。我们验证了攻击实现，发现其可以窃听和修改用户看到或听到的所有内容，以及用户发送给VR应用的所有内容。其结果是导致各种各样的个性化错误信息攻击，从歪曲用户的银行余额和改变金融交易的价值，到修改与其他用户交互的虚拟现实聊天应用程序，从而使双方体验到同一对话的两个完全不同的版本。展望未来，我们相信仍有足够的时间来设计和实施多种安全措施，以大幅减少这些攻击的预期扩散以及它们造成的损害。但时间紧迫。