技术超强的网络安全平台

应该注意的是，run（） 方法还接受第二个参数，它是一个参数数组，将使用 escapeshellarg（） 括在引号中，以防止命令注入。如果 run（） 的第二个参数中将参数作为数组，则不太可能利用这一点，因为数组中的每个项目都被视为一个参数，并在调用 assembleCommand（） 时通过 escapeshellarg（） 传递。在 “PdfGenerator.php” 中，generate（） 方法 [1] 只是调用 getExec.run（） [2] 方法的包装器，该方法执行系统命令。

一项新的、复杂的、隐蔽的 Magecart 网页窃取活动已针对 Magento 和 WooCommerce 网站展开。该活动的部分受害者与食品和零售行业的大型组织有关。根据我们发现的证据，该活动已经持续了几周，在某些情况下甚至更长。该活动采用了一种我们以前从未遇到过的高级隐藏技术，令我们措手不及。

我们讨论了汽车 API 如何成为智能移动生态系统的主要攻击媒介之一。与此相关的风险是显而易见的。如果威胁行为者能够大规模远程利用 API，他们将有能力损害品牌或提出赎金请求。当然，Splunk 平台的强大之处在于能够从任何数据大规模创建任何用例。在本博客中，我们将深入研究 API 安全用例，使用机器学习检测 API 异常，并将这些检测与关联起来，以检测正在行动的威胁行为者。

当您考虑数据库安全性时，首先想到的可能是 SQL 注入。2022 年，SQL 注入是一个非常著名的安全漏洞，从甚至XKCD现在著名等项目可以看出。然而，正如您将在本文中看到的那样，在安全数据库访问方面还有更多需要考虑的问题。OWASP Top 10 Proactive Control C3（安全数据库访问）特别完整和详细。它首先明确的是，数据库安全问题不仅仅是关系数据库的问题。NoSQL 数据库也有自己的问题，不应被认为更安全。OWASP 将数据库访问安全分为以下几个方面：安全查询安全配置。

使用过 Amazon Web Services (AWS) 的每个人都知道，云环境有一种独特的方式来授予用户和资源的访问权限。这是通过允许用户和/或资源临时承担角色来实现的。这些类型的操作之所以可能，是因为分配给这些角色的信任策略。信任策略是附加到 AWS 环境中每个角色的文档。此文档描述了允许哪些用户、组、角色和/或资源临时承担角色以执行操作。信任策略对于临时授予用户或资源特定访问权限非常有用。它们为角色添加了一层保护，以避免对手滥用。

原始 HeadCrab 恶意软件使用自定义 Redis 命令 ( rds* ) 进行 C2 交互。这种方法虽然有效，但由于这些不寻常的命令的存在，恶意软件更容易被检测到。

Spring框架是一个广泛使用的基于Java的应用程序框架，为企业级Java应用的开发提供基础设施支持。是一个功能强大的身份验证和访问控制框架，也是保护基于 Spring 的应用程序的行业标准。它提供身份验证和授权，并且可以轻松扩展以满足自定义要求。Spring WebFlux是在 Spring 5 中引入的，作为传统框架的响应式编程替代方案。Spring WebFlux 的核心设计旨在处理异步、非阻塞和反应式编程范例。它提供了一种反应式编程模型，允许开发人员构建可扩展、响应迅速且具有弹性的应用程序。

OpenSSH 预认证沙盒是 OpenSSH 5.9 版中首次引入的安全机制，旨在防止攻击者在预认证阶段利用漏洞后完全破坏系统。它创建了一个受限环境，限制了 SSH 连接认证阶段潜在漏洞的范围。它通过使用多种内核安全机制（例如 seccomp 过滤和命名空间隔离）启动隔离环境来运行 - 本质上将其功能限制为仅限少数预先批准的系统调用。当用户与启用了沙盒功能的 OpenSSH 服务器建立 SSH 连接时，服务器会生成一个在受限环境（也称为沙盒）中运行的新进程。

在最近的一次活动中，我们发现了与/var/lib/docker权限相关的不熟悉的配置。此配置与许多其他低风险问题相结合，导致了一条攻击路径，允许低权限用户将权限提升至 root。由于这种配置是非标准的，很少见，我们想与更广泛的社区分享我们的观察结果和利用这一特定弱点的方法。我们将通过一个示例来实现这一点，该示例部署到 WithSecure 实验室环境，并且仅复制了在参与过程中观察到的与我们将要演示的攻击路径相关的某些技术细节。所有用户、容器等都是针对此环境定制的，并不代表客户的环境。

Linux 内核公开了七个命名空间，用于将系统的特定部分与工作负载隔离开来。例如，PID 命名空间允许进程及其子进程对系统上运行的进程有一个独立的视图。网络命名空间允许一组进程拥有自己的网络视图，这用于为容器化的工作负载提供自己的 IP 地址。这里我们重点介绍挂载命名空间和用户命名空间。前者允许一组进程拥有自己的文件系统视图，后者允许用户访问以前仅允许 root 用户执行的操作 - 只要这些操作仅影响他们自己的命名空间。

大型语言模型 (LLM)，例如支持 OpenAI 的 ChatGPT 和 Google 的 Gemini 的模型，在创建能够执行各种任务的自主代理方面取得了重大进展，突破了人工智能的界限。在之前的博客文章中，我们介绍了提示注入对此类 LLM 驱动的代理的影响。当代理向 LLM 提供的提示中嵌入不受信任的输入时，就会出现这种挑战。简而言之，攻击者可能能够更改原始指令，从而导致意外且潜在的恶意后果。

从这个调用堆栈无法判断对 NtOpenProcess/OpenProcess 的调用实际上源自从未备份的内存中运行的代码，并且表面上的线程看起来是真实的（尽管 cmd.exe 是人为的并且明显可疑）。由于调用源自未备份的内存，SysMon 将调用堆栈中的最后一项记录为“未知”（例如，堆栈遍历中的最后一个返回地址属于浮动/未备份的代码，而不是合法加载的模块），因此显然是可疑的。在 X64 中，事情变得更加复杂，因为 Rbp 不再用作帧指针，因此，遗憾的是，上面使用的方法将不起作用。，并从那里进行交叉引用。

最近，安全研究人员发布了针对Windows Server 中一个严重远程代码执行 (RCE)

微软研究院的 Melissa Chase 发表了第一场演讲，深入探讨了密钥透明度的最新成果和未解决的问题。在现代加密消息部署中，服务提供商通常负责分发用户的公钥。但是，如果中间人攻击者拦截（并篡改）发送者试图与其建立安全通信的接收者的公钥，该怎么办？或者更糟的是，如果服务器受到攻击怎么办？在端到端加密消息设置中，密钥透明度旨在解决可信公钥分发问题，而学术著作中经常忽略这一问题。直到最近，业界对密钥透明度问题的解决方案还是某种形式的带外验证，其中用户可以显示与聊天加密密钥相对应的指纹并将其相互比较。

一旦 DNS 重新绑定攻击成功，攻击者就可以对这些 API 进行排序，以读取 Ollama 运行的进程可访问的任意文件数据，并将这些数据泄露到攻击者控制的系统中。完成对“创建模型” API 请求的调用后，Ollama 将收集组成新创建的用户模型的许多工件，包括大型语言模型数据、许可证数据等，以及我们要提取的文件，所有这些都可以通过其 SHA256 内容进行寻址。这是我们要窃取的文件，在我们的示例中，是可通过运行 Ollama 的主机上的路径名访问的现有文本文件。值得注意的是，该模型配置为通过参数中的。

Windows 访问令牌和备用凭据在这篇文章中，他解释了 Windows 程序runas 的工作原理，以及**netonly标志如何允许创建本地标识与网络标识不同的进程（本地标识保持不变，而网络标识由 runas 使用的凭据表示）。Cobalt Strike 提供了make_token命令来实现与**runas /netonly类似的结果。img如果您熟悉此命令，那么您可能遇到过 Beacon 创建的进程无法正确“继承”新令牌的情况。

假设有两个长度相同的任意字符串 A 和 B。那么可以高效地计算两个字符串 C 和 D，这样其中 || 表示字符串连接。此外，不仅最终的 MD5 结果相同，而且在添加 C 或 D 后，MD5 内部状态也相同。因此，如果您采用任何后缀 E，那么您将得到（前提是两边都添加相同的后缀 E）。

微软于 2022 年 4 月的补丁星期二发布了针对各种组件中一百多个新漏洞的补丁。在这篇博文中，我们将提供有关其中两个漏洞的信息、其利用的含义、影响范围以及如何缓解这些漏洞。我们最近撰写了一篇关于的指南，这是一种用于限制和阻止 Windows 机器上和之间的 RPC 流量的工具。虽然我们尚未确定 RPC 过滤器是否是针对所讨论漏洞的适用解决方案，但我们建议阅读该博客以更好地了解该机制。

Akamai SIRT 管理着全球多个蜜罐，以发现哪些威胁正在积极利用我们的客户和整个互联网。2023 年 10 月下旬，我们注意到针对一个很少使用的 TCP 端口的蜜罐活动略有增加。活动开始时小幅爆发，峰值为每天 20 次尝试，然后逐渐减少到平均每天 2 到 3 次，有些日子完全没有尝试。直到 2023 年 11 月 9 日，受影响的设备仍不为人所知。探测频率较低，似乎首先尝试通过 POST 请求进行身份验证，然后在成功后尝试命令注入攻击。调查发现了特定的 HTTP 漏洞利用路径和目标端口。

是一款开源工具，旨在帮助安全团队检测潜在的 Web Shell。它是 ShellSweep 的增强版。

2022 年 4 月 12 日，微软发布了针对远程过程调用 (RPC) 运行时库 (rpcrt4.dll) 中三个漏洞的补丁。和。受影响的操作系统包括 Windows 7、8、10 和 11，以及 Windows Server 2008、2012、2019 和 2022。利用这些漏洞，远程未经身份验证的攻击者可以利用 RPC 服务的权限在易受攻击的计算机上执行代码。此功能既可用于破坏网络，也可用于执行横向移动，因此是攻击者和勒索软件运营商所期望的。微软将这些漏洞标记为可能被利用。

MS-RPC 是 Windows 网络中使用率较高的协议，许多服务和应用程序都依赖它。因此，MS-RPC 中的漏洞可能会导致严重后果。Akamai 安全情报小组在过去一年中一直致力于 MS-RPC 研究。我们发现并利用了漏洞，构建了研究工具，并记录了该协议的一些未记录的内部细节。虽然之前的博客文章重点关注服务中的漏洞，但这篇文章将研究 RPC 运行时（MS-RPC 的“引擎”）中的漏洞。这些漏洞类似于我们在 2022 年 5 月发现的漏洞。

这在某种程度上是可行的，但由于在这些情况下解析了 URI，因此生成的 URL 路径将无法完全选择，这使得接下来的恶作剧变得不可能。大多数情况下，不安全的反序列化漏洞都与反序列化库支持多态性的能力有关，这意味着能够实例化序列化数据中指定的任意类或类状结构。但它究竟是如何运作的呢？注意：虽然直接序​​列化单个小工具可能有意义，但序列化甚至只是调试整个小工具链通常很危险，因为它可能会在序列化过程中触发链的执行（这不会给你预期的结果，但你会“利用”你自己的系统）。因此，我们的目标 URL 将按我们想要的方式调用。

似乎是为了避免被发现，恶意维护者没有将后门的部分内容推送到公共 git 存储库，而是仅将其包含在源代码 tarball 版本中。最终，在建立信任和信誉后，Jia Tan 开始获得存储库的权限 - 首先是提交权限，最终是发布管理员权限。发布的研究，该函数从身份验证客户端的证书中提取命令（在验证它是威胁行为者之后）并将其传递给 system() 函数执行，从而在身份验证之前实现 RCE。在为代码贡献了大约两年后，2023 年，Jia Tan 对 XZ 进行了一些更改，这些更改包含在 5.6.0 版本中。