嘶吼

本周，ZeroSevenGroup（泄露被盗数据的威胁者）表示，他们入侵了美国一家分公司，窃取了 240GB 的文件，其中包含有关丰田员工和客户的信息，以及合同和财务信息。

他们还声称已经使用开源 ADRecon 工具收集了网络基础设施信息，包括凭证，该工具可帮助从 Active Directory 环境中提取大量信息。

威胁者在黑客论坛上称已拿到包括联系人、财务、客户、员工、计划、照片、数据库、网络基础设施、电子邮件等内容的大量数据。除此之外，威胁者还可提供带有密码的所有目标网络的 AD-Recon。

目前，丰田已证实其网络遭到入侵。

当被要求验证该威胁者的说法时，丰田称：该问题范围有限，不是系统范围内的问题。

随后该公司补充说，它“正在与受影响的人接触，并将在需要时提供帮助”，但尚未提供有关何时发现入侵、攻击者如何获得访问权限以及有多少人的数据在事件中被泄露的信息。

丰田数据泄露

虽然丰田尚未透露泄密事件的日期，但相关媒体发现这些文件已被盗，或者至少是在 2022 年 12 月 25 日创建的。这个日期可能表明威胁分子获得了存储数据的备份服务器的访问权限。

去年 12 月，丰田子公司丰田金融服务公司 (TFS) 就曾警告客户，他们的敏感个人和财务数据在一次数据泄露中被暴露，该数据泄露是由 11 月的 Medusa 勒索软件攻击造成的，该攻击影响了这家日本汽车制造商的欧洲和非洲分部。

今年 5 月份，丰田披露了另一起数据泄露事件，由于公司云环境中的数据库配置错误，215 万客户的车辆位置信息在 2013 年 11 月 6 日至 2023 年 4 月 17 日之间暴露了长达十年之久。

几周后，该公司又发现另外两个配置错误的云服务泄露了丰田客户的个人信息，时间长达七年多。

这两起事件发生后，丰田表示已实施了一套自动化系统来监控其所有环境中的云配置和数据库设置，以防止将来再次发生此类泄露。

据了解，2019 年，丰田和雷克萨斯的多家销售子公司也遭遇入侵，攻击者窃取并泄露了该公司当时所说的“多达 310 万条的客户信息”。

根据 Check Point 最新的威胁指数报告，RansomHub 仍是最猖獗的勒索软件团伙。与此同时，研究人员发现了一起利用安全软件更新事故发起的 Remcos Windows 恶意软件攻击活动

2024 年 8 月 ，领先的云端 AI 网络安全平台提供商 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）发布了其 2024 年 7 月《全球威胁指数》报告。尽管 6 月份 LockBit 的肆虐程度大幅下降，但在7月份它又卷土重来，成为第二大最猖獗的勒索软件；RansomHub 仍居榜首。与此同时，研究人员发现了一起利用 CrowdStrike 更新事故分发 Remcos 恶意软件的攻击活动，以及一系列新型 FakeUpdates 攻击手段。FakeUpdates 于 7 月份重返头号恶意软件排行榜榜首。

CrowdStrike Falcon Sensor for Windows 更新事故让网络犯罪分子得以趁机分发一个名为 crowdstrike-hotfix.zip 的恶意 ZIP 文件。该文件附带 HijackLoader，后者可激活 Remcos 恶意软件（在 7 月份位列第七大头号恶意软件）。这一攻击活动主要针对使用西班牙语的企业，通过伪造域名实施网络钓鱼攻击。

此外，研究人员还发现了一系列新型 FakeUpdates 攻击手段，该恶意软件于 7 月份重返恶意软件排行榜榜首。访问受感染网站的用户会遇到虚假的浏览器更新提示，被诱骗安装远程访问木马 (RAT)，例如目前在 Check Point 指数排行榜中位列第九的 AsyncRAT。令人担忧的是，网络犯罪分子现已开始利用 BOINC（一个用于志愿计算的平台），对受感染系统进行远程控制。

Check Point 软件技术公司研究副总裁 Maya Horowitz 表示：“Lockbit 和 RansomHub 等勒索软件团伙的持续肆虐表明勒索软件仍是网络犯罪分子的重要工具，对企业保持着持续的威胁、并严重危及企业的运营连续性和数据安全性。最近利用安全软件更新事故分发 Remcos 恶意软件的事件进一步凸显了网络犯罪分子随时伺机部署恶意软件，以破坏目标机构的防御系统。面对这些威胁，用户需要采取多层安全防护策略，包括实施强大的端点保护、实行严密的监控和开展全面的用户安全教育，以有效抵御这些日益加剧的大规模网络攻击。”

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

FakeUpdates 是上个月最猖獗的恶意软件，全球 7% 的机构受到波及，其次是 Androxgh0st 和 AgentTesla，分别影响了全球 5% 和 3% 的机构。

1. ↔ FakeUpdates – FakeUpdates（又名 SocGholish）是一种使用 JavaScript 编写的下载程序。它会在启动有效载荷之前先将其写入磁盘。FakeUpdates 通过许多其他恶意软件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）引致进一步破坏。

2. ↔ Androxgh0st - Androxgh0st 是一个针对 Windows、Mac 及 Linux 平台的僵尸网络。在感染初始阶段，Androxgh0st 利用多个漏洞，特别是针对 PHPUnit、Laravel 框架和 Apache Web 服务器的漏洞。该恶意软件会窃取 Twilio 账户信息、SMTP 凭证、AWS 密钥等敏感信息，并利用 Laravel 文件收集所需信息。它有不同的变体，可扫描不同的信息。

3. ↔ AgentTesla – AgentTesla 是一种用作键盘记录器和信息窃取程序的高级 RAT，能够监控和收集受害者的键盘输入与系统剪贴板、截图并盗取受害者电脑上安装的各种软件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）的证书。 

4. ↑ Formbook – Formbook 是针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行出售。FormBook 可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数并按照其 C&C 命令下载和执行文件。

5. ↓ Qbot - Qbot（又名 Qakbot）是一种多用途恶意软件，于 2008 年首次出现，旨在窃取用户凭证、记录击键次数、从浏览器中窃取 cookie、监视用户的银行业务操作，并部署更多恶意软件。Qbot 通常通过垃圾邮件传播，采用多种反 VM、反调试和反沙盒手段来阻碍分析和逃避检测。从 2022 年开始，它成为最猖獗的木马之一。

6. ↔ Remcos - Remcos 是一种远程访问木马，于 2016 年首次现身。Remcos 通过垃圾电子邮件随附的恶意 Microsoft Office 文档自行传播，旨在绕过 Microsoft Windows UAC 安全保护并以高级权限执行恶意软件。

7. ↔ Phorpiex - Phorpiex 是一种僵尸网络，因通过垃圾邮件攻击活动分发其他恶意软件家族并助长大规模性勒索攻击活动而广为人知。

8. ↑ Vidar - Vidar 是一种以恶意软件即服务模式运行的信息窃取恶意软件，于 2018 年底首次现身。该恶意软件在 Windows 上运行，不仅可从浏览器和数字钱包中收集各种敏感数据，而且还被用作勒索软件的下载程序。

9. ↓ AsyncRat - Asyncrat 是一种针对 Windows 平台的木马程序。该恶意软件会向远程服务器发送目标系统的系统信息。它从服务器接收命令，以下载和执行插件、终止进程、进行自我卸载/更新，并截取受感染系统的屏幕截图。

10. ↓ NJRat - NJRat 是一种远程访问木马，该木马于 2012 年首次出现，具有多项功能：捕获击键记录、访问受害者的摄像头、窃取浏览器中存储的凭证、上传和下载文件、操纵进程和文件以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和偷渡式下载感染受害者设备，并在命令与控制服务器软件的支持下，通过受感染的 USB 密钥或网盘进行传播。

主要移动恶意软件

上月，Joker 位居最猖獗的移动恶意软件榜首，其次是 Anubis 和 AhMyth。

1. ↔ Joker – 一种存在于 Google Play 中的 Android 间谍软件，可窃取短消息、联系人列表及设备信息。此外，该恶意软件还能够在广告网站上偷偷地为受害者注册付费服务。

2. ↔ Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来，它已经具有一些额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。

3. ↔ AhMyth – AhMyth 是一种远程访问木马 (RAT)，于 2017 年被发现，可通过应用商店和各种网站上的 Android 应用进行传播。当用户安装这些受感染的应用后，该恶意软件便可从设备收集敏感信息，并执行键盘记录、屏幕截图、发送短信和激活摄像头等操作，这些操作通常用于窃取敏感信息。

2024年8月13日，正值成立11周年，爱加密正式进行了品牌升级，向下一个10年征程昂首迈进。作为知名移动安全领域厂商，本次品牌升级吸引多家垂直媒体关注，为更好的传递品牌升级的背后原因，爱加密CEO赵凯接受了媒体采访，由他来介绍爱加密这些年发生的变化以及升级品牌LOGO的初衷。 

爱加密CEO 赵凯

一、从方兴未艾到蓬勃发展

爱加密品牌成立于2013年，彼时正是PC互联网向移动互联网转型的过渡时期。随着移动设备的广泛应用使传统的、基于PC端的安全管控方式无法全面满足移动设备的安全场景及需求。 

据赵凯介绍，移动端和PC端的安全管控措施不完全相同。过去PC设备主要集中于机房等环境，便于管控。但移动设备的出现，大量的业务场景、使用场景脱离了传统管控的环境，以至于传统安全策略无法顺利应用在移动端。同时，大量风险在没有可靠管控的情况下无法被及时发现和处理。 

此外，由于Android系统的开源，使大量未经检验的系统进入到各类移动设备中。由于早期的设备制造商和应用开发商不具备充足的安全意识，导致很多设备和应用本身就存在着大量的安全隐患。与此同时，更多的威胁行为者也关注到了移动设备的快速普及，采取了很多攻击行为以谋取利益。 

爱加密关注到国内移动安全方面的缺失，积极投身于移动安全领域。从方兴未艾到蓬勃发展，爱加密始终伴随着国内移动安全领域的发展。随着法律法规的逐步完善和监管力度的增加，移动互联网的安全性正在逐步提升。无论是设备的厂商、APP的开发商还是使用者，都开始重视安全对移动互联网的重要性。现在，绝大多数智能手机都内置安全应用，监管机构对APP开发者的监管力度与日俱增，个人隐私保护也成为目前最受关注的安全领域之一。

二、爱加密品牌升级背后的故事

在过去的十余年时间里，整个移动安全领域发生了非常大的变化。赵凯认为移动设备及风险的多元化发展让移动安全领域变得更加“丰富”。

早期的移动安全主要聚焦于智能手机等便携式设备，主要风险包括系统安全、应用安全等，随着包括平板电脑、智能手表、智能车机等各类移动设备的出现，移动安全场景迅速扩张；同时AI、大数据等技术的广泛应用也让移动安全的相关产品和服务快速迭代。 

在这个过程中，爱加密紧跟国家战略，拓展了包括AI安全、数据安全、安全运营等相关能力。这些产品和能力的完善使爱加密能更好地践行产业报国和企业担当。

2024年正值爱加密发展的第11年，在“没有网络安全，就没有国家安全”的大背景下，原有的LOGO已经不能充分传递爱加密的品牌内涵。于是，在经过一系列的准备后，爱加密决定以升级品牌LOGO的方式，向外界传达爱加密即将“焕新出发”。

三、LOGO升级，“焕新出发”

此次爱加密LOGO升级可以看到有很多变化。此前，爱加密的LOGO拥有盾牌、Android图标等元素，而全新升级的LOGO去掉了Android图标，增加了红色的对号图案，背景盾牌图案则选择用灰色打底。在此次采访中，赵凯详细介绍了LOGO升级的细节，以及想要对外传递的信息。

1.第11年继往开来

对于此次LOGO升级，爱加密对内对外都进行了大量的调研工作，了解众多客户及员工的看法。他认为，LOGO升级这一举动有两层主要含义，其一是在企业发展的第11年，爱加密会“焕新出发”，继往开来地沿着过去的道路持续发展。其二是通过这种方式，让更多用户了解和关注爱加密这些年的发展、变化以及所做出的成就和贡献。 

不仅如此，此次LOGO升级还体现出爱加密多年来的品牌精神内核。后续，爱加密将继续推进品牌升级的进程，通过贯彻企业核心思想，更好地为移动安全领域的发展贡献力量。

2.红色，爱加密的社会责任 

在此次LOGO升级中，有一抹红色格外显眼。对此，赵凯解释，爱加密是中国的网络安全厂商，红色既代表着爱加密扎根于中国服务于中国，也代表了爱加密人蓬勃向上，奋发登攀的决心与勇气。长期以来，爱加密通过不断挖掘多类移动设备风险，积极配合监管部门工作。他表示，这是爱加密实现实业报国的举措之一。 

以儿童手表为例，在儿童手表逐渐进入孩子们的日常生活时，爱加密关注到儿童手表存在的诸多安全隐患可能会对儿童带来损害。出于社会责任，爱加密通过对儿童手表等移动设备进行针对性检测、发布分析报告并编写相关标准协助产业链上下游企业优化设备安全性。赵凯表示，此举不仅保障了儿童安全，还提醒了更多设备制造商及相关供应商增强安全意识，重视安全隐患。

3.对号，爱加密是第一选择

除了红色，爱加密还在LOGO增加了对号图案。对号寓意着客户对爱加密的坚定选择，以及经由爱加密服务后客户对于自身安全状态的认可。十年来爱加密在服务中积累了丰富的经验，努力帮助客户达到理想的安全状态，也期望爱加密持续成为客户心中最佳安全合作伙伴。

重视服务是爱加密能够取得成功的原因之一。爱加密始终坚持以用户需求为导向，用户是爱加密企业生存的根本。在过去的时间里，爱加密用自身的服务积累了大量的存量客户，这些客户的信任让爱加密能够继续发展，也让更多移动安全产品得以问世。

4.灰色，爱加密的技术沉淀

LOGO中灰色意味着爱加密十年间始终坚持以技术研发为核心和高研发投入，持续探索安全技术边界，竭力推动技术创新，打造全方位、一站式的安全解决方案。盾牌则代表爱加密将通过完善的产品矩阵和服务，与客户一起共同筑牢安全屏障，帮助企业铸造“安全坚盾”，为发展新质生产力蓄势赋能。

在AI大模型快速发展的今天，大量的威胁行为者选择用AI来加持他们的攻击技术，这意味着作为防守方的厂商和用户，也需要将AI作为核心能力去叠加到现有的产品中。目前，爱加密在AI安全领域就人脸识别安全风险提出AI鉴伪方案提升了客户的安全防护能力，在源码检测、合规检测等领域，通过AI使其可以准确度更高、效率更高地帮助客户反馈问题、提高效率。

长期以来，爱加密均投入了大量的人力物力去探索和研发移动安全。赵凯表示，2023年，爱加密的研发收入占比超过了40%。可以说，对技术的执着成就了爱加密。

四、来日正长、敬请期待

爱加密LOGO升级这一消息势必会传递到整个产业，而爱加密的企业使命和责任也会随之传递到更多用户中。

对于即将进入的下一个阶段，赵凯坦言，爱加密不会试图去做大而全的企业，而是会继续坚持做有价值的事，持续挖掘和探索移动安全领域的更多新应用、新趋势。 

在未来更多的十年，爱加密会继续加大对AI领域和数据安全等领域的探索，更好地打磨安全技术和能力，顺应时代和市场趋势，推出更多具有创新意识的安全产品，让爱加密能够服务更多的用户。

由于固件不兼容问题导致已修补的 Windows 设备进入 BitLocker 恢复模式，Microsoft 已禁用针对 BitLocker 安全功能绕过漏洞的修复。

该漏洞被标记为 CVE-2024-38058，它可让攻击者绕过 BitLocker 设备加密功能，并通过物理访问目标设备来访问加密数据。

该公司在更新中解释道：“当客户将针对此漏洞的修复程序应用于他们的设备时，我们收到了有关固件不兼容问题的反馈，这些问题导致 BitLocker 在某些设备上进入恢复模式。因此，随着 2024 年 8 月安全更新的发布，我们将禁用此修复程序。”

禁用修复程序后，微软建议那些想要保护其系统和数据免受 CVE-2024-38058 攻击的用户应用 KB5025885 公告中详述的缓解措施。

但是，他们现在不必部署安全更新，而是必须经历一个 4 阶段的过程，该过程还需要重新启动受影响的设备八次。

此外，微软警告说，在具有安全启动功能的设备上应用缓解措施后，即使重新格式化磁盘，他们也无法再将其删除。

在设备上启用此问题的缓解措施后，即已应用缓解措施，如果用户继续在该设备上使用安全启动，则无法恢复。即使重新格式化磁盘也无法删除已应用的撤销。

在本月的补丁星期二，雷德蒙德还修复了 7 月 Windows 安全更新引发的一个已知问题，该问题导致一些 Windows 设备启动到 BitLocker 恢复。

虽然这与迫使微软禁用 CVE-2024-38058 修复的固件不兼容问题相符，但该公司没有提供任何有关实际根本原因或如何解决该问题的信息。

微软只是建议受影响的客户为他们的设备安装最新更新，因为它包含重要的改进和问题解决方，而没有以任何方式将该错误或其修复与 CVE-2024-38058 漏洞联系起来。

近日，在为某国企单位进行网络安全保障期间，盛邦安全RayAPI产品监测到智慧食堂管理系统信息查询接口存在未鉴权风险，可导致大量敏感信息泄露，包括账号信息、身份照片及系统运行日志等，随后，安全研究人员对该风险进行了详细的验证。

验证步骤

1、RayAPI发现智慧食堂管理系统信息查询接口存在未鉴权风险。

2、关联攻击检测策略进行分析，发现针对该接口存在漏洞利用攻击尝试。

3、查看接口返回信息，发现存在手机号、身份证信息等敏感数据泄露事件。

4、对接口敏感信息进行检测分析，发现除个人隐私信息外，还涉及大量账号信息，其中包括各类摄像头、售卖机和消费机等终端的管理IP及账号口令。

5、进行主动验证测试，发现通过该接口可以直接批量获取敏感信息。

我们的建议

近年来，随着企业信息化、数字化的转型与升级，智慧园区建设当中也不断引入各类新型系统来打通管理流程，例如智慧食堂管理系统，此类系统往往涉及大量员工个人信息，并与其他企业管理系统通过API接口互通，同时又容易被安全运维人员所忽视。对此，我们从系统建设与安全治理两方面给出如下建议：

1、系统建设层面

（1）加强API接口权限控制，尤其针对涉敏类接口，除必要的认证手段之外，还应设定合理的访问频率限制，防止接口被恶意爬取；

（2）加强敏感数据管控措施，尤其针对个人隐私信息，一方面需建立必要的加密传输手段，另一方面需减少非必要的数据内容传输，防止数据过度暴露。

2、安全治理层面

（1）做好接口暴露风险检测。以RayAPI为例，通过对接口类型、调用内容与访问轨迹等条件的关联检测，识别敏感接口的误暴露风险情况；

（2）做好接口异常行为检测。以RayAPI为例，通过对接口访问频次、数据调用规模的趋势分析，识别可能存在的接口攻击行为，并配合安全基线要求设定访问控制策略。

原文链接

一、事件背景

2024年7月9日，微软官方发布了一个针对“windows远程桌面授权服务远程代码执行漏洞”（CVE-2024-38077）的修复补丁包，起初并没有引起大家的警觉。近日在国外某网站上疑似漏洞的作者公开了该漏洞的“POC验证代码”。一时激起千层浪，该漏洞开始疯狂发酵并在安全圈里转发。

该文章的原文链接为：

https://sites.google.com/site/zhiniangpeng/blogs/MadLicense

链接里也附上了漏洞验证视频：

https://www.youtube.com/watch?v=OSYOrRS2k4A&t=8s

有意思的是，截至本文发稿前，这篇文章和文章里提到的漏洞验证视频已均被作者删除。我们就先从作者发的这个链接来看看其中的一些端倪。

二、原文翻译

注：以下内容为原文翻译，我们对其中需重点关注的部分做了标记。

【背景】

今年早些时候，我们对 Windows 远程桌面服务进行了深入分析，发现了多个漏洞，所有相关漏洞（56 例）都已报告给微软。其中包括远程桌面授权服务中的多个 Preauth RCE 漏洞（未经身份验证的非沙盒 0-click RCE）。这些漏洞可用于构建针对 Windows 远程桌面授权服务的多个 Preauth RCE 漏洞。是的，它们是多年来在 Windows 中未见过的 0-click preauth RCE。我们将它们称为Mad、Bad 和 Dead Licenses 漏洞。

本文是关于这些漏洞的系列文章中的第一篇。

在本文中，我们介绍了漏洞 CVE-2024-38077（我们将其命名为 MadLicense【狂躁许可】），并在启用了完整和新缓解措施的 Windows Server 2025 上演示了该漏洞的利用。我们之所以选择 Windows Server 2025，是因为微软声称 Windows Server 2025 提供了下一代安全改进。并且该漏洞适用于 Windows Server 2000到2025（所有 Windows Server ）。

我们现在不会给出详细的技术解释，也不会提供完整的POC 。但是这里的伪代码足以了解此漏洞。为了防止滥用，此处的 python 代码实际上是伪代码。你甚至无法使用此伪代码触发漏洞，更不用说利用它了。这足以证明其严重性，并为防御者在真正弄清楚如何利用它之前采取行动提供足够的时间。

我们在一个月前就通知微软这个漏洞可以被利用，但微软仍将其标记为不太可能被利用。因此我们在此进行了负责任的披露。我们的目的是提高人们对该漏洞风险的认识，并鼓励用户及时更新系统以解决这些问题。Defender 还可以使用本博客中的信息来检测和阻止可能的攻击。

【介绍】

2024年7月，我们报告的以下7个与RDP相关的漏洞已被Microsoft修复：

其中，Windows 远程桌面授权服务中的 3 个 CVSS 评分为 9.8 的 RCE 漏洞值得关注。在微软的公告中，他们认为这些漏洞不太可能被利用。但事实并非如此。事实上，我们在补丁发布之前就告知了微软这些漏洞的可利用性。

在本博客中，我们将演示如何利用 Windows Server 2025上的 CVE-2024-38077 进行预认证 RCE 攻击，绕过所有现代缓解措施，在最新的 Windows Server 上实现零点击 RCE。是的，你没听错，只需利用一个漏洞，你无需任何用户交互即可实现此目的。

【远程桌面许可 (RDL) 服务】

远程桌面许可服务是 Windows Server 的一个组件，用于管理和颁发远程桌面服务的许可证，确保对远程应用程序和桌面的安全且合规的访问。

RDL 服务广泛部署在启用了远程桌面服务的机器上。默认情况下，远程桌面服务仅允许同时使用两个会话。要启用多个同时会话，您需要购买许可证。RDL 服务负责管理这些许可证。RDL 被广泛安装的另一个原因是，在Windows 服务器上安装远程桌面服务 (3389) 时，管理员通常会勾选安装 RDL 的选项。这导致许多启用了 3389 的服务器也启用了 RDL 服务。

在审计RDL服务之前，我们进行了网络扫描，以确定RDL服务在互联网上的部署情况。我们发现至少有17万个活跃的RDL服务直接暴露在公共互联网上，而内部网络中的数量无疑要大得多。此外，RDL服务通常部署在关键业务系统和远程桌面集群中，因此RDL服务中的预认证RCE漏洞对网络世界构成了重大威胁。

【CVE-2024-38077：一个简单的堆溢出漏洞】

终端服务器授权程序旨在管理将任何用户或设备连接到服务器所需的终端服务 CAL。在CDataCoding::DecodeData过程中，会分配一个固定大小的缓冲区（21 字节），然后使用该缓冲区计算并填充用户控制的长度缓冲区，从而导致堆溢出。

这是调用堆栈和伪代码：

C

【POC】

这里我们只是演示了漏洞利用。详细的技术解释将在本系列的后续博客文章中。这里的 Python 代码实际上是伪代码。你甚至无法用这个伪代码触发漏洞，更不用说利用它了。这足以证明漏洞的严重性，也为防御者提供了足够的时间，让他们能够在有人真正弄清楚如何利用漏洞之前采取行动。

适用于：Windows Server 2025 标准版本 24H2（26236.5000.amd64fre.ge_prerelease.240607-1502lserver.dll(10.0.26235.5000)

https://github.com/CloudCrowSec001/CVE-2024-38077-POC/blob/main/CVE-2024-38077-poc.py

【讨论POC】

该漏洞利用的 POC 在 Windows Server 2025 上的成功率超过 95%。考虑到服务崩溃后会重新启动，不需要两次泄露模块基址，最终的成功率可以更高（接近 100%）。

此 POC 将在 Windows Server 2025 上在 2 分钟内完成。但是我们这里的堆整理技术是使用 Windows Server 2025 中引入的新 LFH 缓解措施的未优化版本。我们很懒，实际上并没有完全逆转 Windows Server 2025 中的段堆机制，所以我们的堆整理只是一种启发式解决方案。它一点也不优雅。当然，你必须可以对其进行优化，以使漏洞在 Windows Server 2025 上运行得更快。

对于 Windows Server 2000 到 Windows Server 2022，利用此漏洞会更快，因为缓解措施较少。为简单起见，POC 将加载远程 DLL。但您可以让它在 RDL 进程中运行任意 shellcode。这将使其更加隐蔽。

在 Windows Server 2025 之前的版本中利用此漏洞应该更容易和更有效，但当然，你需要调整代码和偏移量。漏洞可以在 Windows Server 2000到 Windows Server 2025上构建。这里我们只在 2025 进行演示，因为 Windows Server 2025 是最新和最安全的Windows Server 。而且它仍处于预览阶段，因此 POC 不会对世界造成危害。如果要避免偏移量问题以使漏洞利用更加通用，动态搜索是可能的，但你需要将其替换为更高效的内存读取原语以使漏洞利用更加高效。

这里我们做了一个负责任的披露。为了进一步防止这个 POC 被滥用，这里发布的 POC 只是伪代码，并且是未优化的版本，其中的一些关键部分被隐藏了。但伪代码中的信息足以让研究人员检测和阻止利用。

【演示】

视频链接地址：

https://www.youtube.com/watch?v=OSYOrRS2k4A&t=8s

【时间线】

2024年5月1日 

向Microsoft报告此案例

2024年7月1日 

告诉微软此案可利用

2024年7月9日 

修复为CVE-2024-38077（微软将其标记为不太可能被利用）

2024年8月2日 

将本文发送至 Microsoft

2024年8月9日 

微软尚未对本文做出任何回应

2024年8月9日 

文章发布

【讨论】

在本文中，我们将演示如何利用单个漏洞绕过所有缓解措施，并在被认为是最安全的 Windows Server 2025 上实现预身份验证远程代码执行 (RCE) 攻击。这在 2024 年似乎很荒诞，但这是事实。尽管微软几十年来对 Windows 进行了各种防御，并且多年来我们都没有在 Windows 中看到预身份验证 0-click RCE，但我们仍然可以利用单个内存损坏漏洞来完成整个攻击。看起来，具有“下一代安全改进”的系统这次无法阻止 30 年前同样的旧内存利用。

本文的目的是提醒用户尽快更新系统以修复漏洞。

这个组件中其实还有更多的利用，记住我们已经报告了 56 个案例（虽然微软 SRC 合并了我们的许多案例，这很烦人）。有兴趣的研究人员可以尝试弄清楚。

这是本系列的第一篇博文。有关更多漏洞、更多漏洞、与 Microsoft SRC 合作的痛苦与收获等，我们可能会在本系列的后续博文中讨论。

三、事件分析

不知道大家读完原文之后是什么感觉，笔者是体会到了原文作者对微软的深深恶意。核心原因是作者把大量漏洞报送给微软后，微软对其提交的漏洞进行了合并，并“轻描淡写”的进行了补丁升级，在补丁上也把该漏洞标记为了“不太可能被利用”，对作者本人也并未做出任何回应。这一行为明显触及了技术宅的底线，一气之下作者选择了将其公布。在crowdstrike引发了windows蓝屏事件后，又爆出了这个惊天大瓜，难免会引起唏嘘，对微软有不小的冲击。

微软给的官方补丁链接为：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

这里确实将该漏洞标记为了“不太可能利用”，刺激到了作者。

另外文中反复强调，放出来的POC是“伪代码”，我们也第一时间对该代码进行了验证，发现确实不能直接利用，截至发稿前正在对其核心内容进行调试。网传的POC和漏洞检测工具更是错综复杂，提醒大家一定要留个心眼，不要人云亦云。

四、漏洞影响范围

从目前得到的信息来看，触发该漏洞需要两个条件：

windows版本：

Windows Server 2000 - Windows Server 2025

需要开启服务：

Windows Remote Desktop Licensing（RDL）Service

这里容易引起大家误解的就是这个RDL服务了，容易和我们常见的RDP产生混淆，也是为什么这个洞刚爆出来大家一致认为是“核弹级”的，能够比肩“永恒之蓝”的原因。实际上这个服务默认不会自动安装，需要额外安装才会生效，一般出现在企业环境中，个人用户基本不会安装这个服务。我们大致总结了下RDL和RDP的区别，以遍大家能更客观的评估这个漏洞的影响范围。

【RDP】

定义与功能：

RDP，即远程桌面协议，是微软开发的一种网络协议，用于在图形用户界面（GUI）中提供远程连接功能。它允许用户通过网络连接到其他计算机的桌面，以便进行操作和管理。RDP的默认端口是3389。

应用场景：

RDP广泛用于远程管理服务器、远程办公、技术支持等场景，允许用户通过网络在不同地点安全地访问另一台计算机。

【RDL】

定义与功能：

RDL，即远程桌面许可服务，负责管理和颁发许可证。它是Windows Server角色之一，通常用于Windows Server系统。在启用远程桌面服务（RDS）的环境中，RDL确保服务器拥有足够的授权许可证，以便允许多个用户或设备通过RDP同时连接到该服务器。当客户端尝试通过RDP连接到具有远程桌面服务的服务器时，RDL会验证并分配适当的许可证，以确保用户遵循许可协议。启用RDL服务时会随机开启一个RPC的高端口，端口号通常在49152到65535之间。

应用场景：

RDL一般出现在企业环境中，特别是当使用Windows Server进行远程桌面会话主机（Remote Desktop Session Host，RDSH）或虚拟桌面基础架构（VDI）时。它对用户数量和会话数量的管理至关重要。

【主要区别】

目的：

RDP的主要目的是提供连接和交互功能，允许用户访问和使用远程计算机的桌面。

RDL的主要目的是管理许可证，确保连接次数在合法范围内，并控制同时允许的用户或设备数量。

技术层面：

RDP是一个协议，关注的是数据的传输和连接的建立，它是直接影响用户体验的部分。

RDL是一种服务，确保合适的许可证可用并管理连接的合规性，它在后台运行，不会直接影响用户的操作体验。

使用场景：

RDP可用于任何想要远程连接到Windows计算机的用户，不管是在个人设备还是在网络环境中。

RDL则更多应用于企业环境中，特别是在需要高密度并发用户的远程桌面服务中。

综上所述，RDP负责实现远程连接和用户交互，而RDL则负责管理连接的许可证和合规性。RDL主要是确保远程桌面服务在合规的用户和会话数下运行，通俗来讲，当某台服务器需要建立多个RDP连接时才会考虑开启这个服务，这个服务并不是默认加载的，需要手动安装才能生效。

从公布的“伪poc”来看，整个漏洞的检测逻辑是首先连接rpc的135端口，查询rdl服务开启的rpc端口，然后再连接rdl服务的rpc端口，访问提供的认证功能，触发漏洞。

rdl开启的rpc端口：

服务器对应的dll文件：

从www.daydaymap.com上大网测绘的数据可以看出，整个互联网上开放RDP服务的资产有近1700W个， 而互联网上RDL的资产仅有17W个（数据来源于原文作者），占比仅为1%。目前我们还正在整理互联网漏洞验证的POC细节，后续会对互联网上受影响的资产做更全面的摸排。从公开的数据已经可以看出，该漏洞的覆盖范围实际上很有限，并不是传闻中的“开机就能打”、“有远程连接服务就能打”或者“能探测到开放3389端口就能打”。与其说是RDP的漏洞，不如描述成RDL或者RPC的漏洞更为合适。

尽管如此，这也并不意味着这是一个很鸡肋的漏洞。一是因为内网资产里使用远程桌面服务的资产会远多于互联网。另外，一些集权系统如堡垒机、域控等为了对RDP连接数做有效管理和控制，更容易开启RDL服务，因此受到该漏洞影响的资产绝大多数是管理员的核心资产，从这一点上更需要引起大家的关注。我们已经发现很多堡垒机默认就会开启这个服务，需要引起大家的重视。

五、漏洞修复建议

微软已发布该漏洞的官方补丁，下载并安装相关补丁即可。对于无法安装补丁的情况，建议采取以下缓解措施：

1、如非必要，关闭Remote Desktop Licensing服务。

2、注意：此操作将影响远程桌面授权认证和分发，可能导致远程桌面出现问题影响正常业务或降低远程桌面安全性。同时，微软公告中提出：即便采取了上述缓解措施，微软仍强烈建议尽快修复漏洞以全面防护系统。

另外目前正值攻防演练期间，往上会流传大量的“检测工具”，现已发现一些恶意样本在互联网上流传，大家一定要注意识别。

原文链接

篇首语：之前杨叔写了NFL美国职业棒球联赛上的作弊猫腻，这次就聊了棋类比赛，尤其是国际象棋比赛。

前一阵“智能肛珠”的说法出来时，被曾经打败小区8号楼小学生无敌手的“非著名象棋爱好者”杨叔惊为天人，当时便写了这篇初稿。直到今天才终于写完，希望大家喜欢。

声明：以下内容符合OSINT国际开源情报搜集标准，不涉及任何非法行为，仅供交流与参考。

01 智能肛珠猜想引发的群虑

前不久，一则关于猜测棋类选手使用智能肛珠作弊的消息，传遍了网络。

一位国际象棋选手在输掉比赛后，发Twitter抱怨说怀疑对手使用了类似于“智能肛珠”这类的电子设备作弊。这种设备可以藏匿在人体内，并通过远程信号传递+振动的方式提示选手......咦？纳尼？！！

“智能肛珠”的想法确实够奇葩，杨叔其实更想知道的是：

提出这个想法的人，到底经历过什么？

其实吧，这些年，国际象棋作弊确实已经被认为是国际象棋未来发展的最大威胁。

许多业余爱好者甚至专业人士都经常表示，作弊现象已经十分猖獗。从最低级别的在线国际象棋到世界锦标赛，对于作弊的指控已经遍及国际象棋的各个级别。

02 现场手机接听+远程指导

显然地，也有很多人怀疑在棋类赛事里，使用高科技作弊不过是个阴谋论，都是输不起的棋手抹黑对手的诡辩罢了。

.......直到出现一位年轻的选手，在比赛现场的检查中被抓个正着，呵呵。

在印度新德里举行的首届 Hedgewar 博士公开国际象棋锦标赛的第五轮比赛中，19 岁Dhruv Kakkar的对手向首席仲裁员抱怨：

“我注意到他的每一次走棋都需要大约两分钟的时间，无论是复杂还是简单的棋局。”

“有时我甚至认为他听错了指示并且走错了棋。”

于是，在19岁的Kakkar赢得这场比赛后，现场搜身随即被发现作弊。

小伙被抓到时一脸迷茫，像极了被拉进缅北诈骗团伙的无知青年。

Kakkar 在腰带上，装有两节 9 伏的电池。电池与他脖子上的一圈电线相连，藏在衬衫下面。它们还连接到绑在两条腿上的手机，就在脚踝上方。

呵呵，年轻人也是有心了，为防止汗液滑脱，专门用胶带把手机粘在身上，还准备了两个不同的Android手机，据分析应该是为了两场比赛。

啧啧，这腿毛，再浓密点就可以遮住设备了

下图里的小玩意是不是很眼熟？据称是在Kakkar 左耳中发现的。

它可以让Kakkar 聆听朋友舒巴姆口授的棋步，舒巴姆坐在220公里外的电脑前，通过同步使用国际象棋软件Fritz来提供“远程指导”。

哈哈，这不就是曾经在中国考场里叱咤风云的“米粒耳机”嘛，负责考场巡查的无委会技术人员肯定都知道~

没想到走出中国，走向世界了~~

最终，这位来自JMIT大学电子工程专业二年级的学生 Dhruv Kakkar 在一封书面信中承认作弊。

他承认使用这套器材赢得了前四轮比赛（对阵得分为 0、1913、2104 和 2258 的玩家）。赛事首席仲裁员已将 Kakkar 逐出锦标赛，并通报国际象棋联合会 (FIDE) 。

顺便说一下，这个锦标赛的奖金是100万卢布，折算人民币近9万元。

嗯，是不是觉得奖金很少？

03 针孔摄像头+无线发射设备

显然，在身上暗藏非法器材，确实是一种有效的作弊手段，尤其是在比赛奖金比较高的时候。

因佩里亚国际象棋大赛，是意大利最重要的锦标赛之一，据说奖金高达100万美金。呵呵，比起这个，印度那个锦标赛更像是乡镇企业自己搞的内部游戏。

就在意大利这个赛事里，当世界排名第 51,366 位的 Arcangelo Ricciardi 在比赛初期阶段，就轻而易举地杀入了第八轮，引发了很多人的怀疑。

赛事裁判Jean Coqueraut说，他在比赛开始就怀疑选手是不是有什么问题。因为Ricciardi 经常喝一杯水，并用手帕擦脸，以遮挡脖子上的吊坠。

于是，比赛组织方强制使用金属探测器对这位 37 岁的年轻人开展检测，最终发现一件精致的吊坠挂在他的脖子上。

这个吊坠里包含一个微型摄像头，另外还发现连接在他身体上的大量电线和一个 4 厘米长的盒子藏在他的腋下。

经过判断，摄像头被用来将国际象棋比赛实时传输到外面同伙的计算机，然后同伙通过向他腋下的盒子发送无线信号来指导Ricciardi下棋。

气疯了的意大利国际象棋联合会，启动了正式的调查，来决定是否对其体育欺诈行为提出指控。

无语的是，对于意大利而言，赛事作弊事件并没有因此终止，类似的情况依然在不断发生！

04 老人的好帮手：智能手机

接下来出场的，是一位在拉脱维亚国际象棋界的知名人物：

臭名昭著的伊戈尔斯·劳西斯（Igors Rausis）

这位前拉脱维亚冠军曾经被誉为对年长球员的鼓舞，因为他在六年内从大约 2500 的 FIDE 评级（普通特级大师的水平）攀升至 2700 的边缘。

当时，Rausis 也成为前100 名中年龄最大的球员，甚至当他前些年闯入前100 名时，他被行业称赞为一个榜样：证明“年龄的增长不一定会成为国际象棋进步的障碍”。

而在2019年斯特拉斯堡的国际锦标赛上，这位59岁的大爷在赛事中多次借口去厕所后，终于引起了举办方的怀疑。

于是，便被人拍到了Rausis 在厕所操作事先藏匿手机作弊的实锤证据，引起了行业轰动。

由于使用智能手机作弊，这位曾代表拉脱维亚、捷克共和国和孟加拉国的乌克兰出生的棋手，被国际象棋联合会 (FIDE) 评定的锦标赛禁赛六年，并剥夺了他的特级大师头衔。

甚至2020年，大爷想暗中参加一场拉脱维亚北部小镇瓦尔卡举行的小型比赛，依然会被不依不饶的其他选手们联合抗议抵制。

唉，大爷，都什么时代了？

麻烦上Ebay、Amazon，看看那些Spyshop里最新无线器材可好？

所以，这就是为何国际象棋比赛禁止使用手机，因为国际象棋软件是可以用来“指导”获胜的。

鉴于使用下棋软件作弊愈发增多的态势，甚至有位大学教授，还专门研究了人类下国际象棋与游戏AI的行为匹配度，来推敲选手是否在使用电脑或手机程序作弊。

有人出版了这么一本书，难道是作弊指南？哈哈，推荐给大家~

05 不断升级的象棋赛事安检

这些层出不穷的作弊手段，给国际象棋比赛都蒙上了一层阴影，搞得“输了比赛就指责对方作弊”的选手也越来越多。

出于无奈的考虑，现在国际象棋赛事中已经加入了选手入场前金属检测的环节，对，和你想的一样，就是机场安检的那一套。

不过在杨叔看来，这样的安检太粗糙了，作为比赛现场的安全防护，至少在信号层面的压制或屏蔽，还是十分有必要的。

杨叔提供一些建议供赛事方参考：

• 禁止棋类赛事的直播

• 注意哦，是禁止直播，不是禁止实况转播。

• 换句话说，就是比赛的视频信号传输应延时2~3步（大约5~10分钟），以防止可能的外部远程指导。

• 禁止比赛选手携带任何电子设备

• 包括智能手机、智能手表、手环、蓝牙耳机等在内的任何电子设备。

• 必须要加强全身安检来确保这一点。

• 在比赛区域内启用信号屏蔽

• 和国家四六级考试一样，比赛区域内需阻断一切无线信号传输。

• 必要时，应邀请或安排专业团队开展现场信号溯源工作

• 阻止选手与外部的互动

• 球类比赛中，观众互动对赛事的影响不大。

• 但对于棋类比赛，特别是高水平比赛，在比赛中，选手不应与赛场工作人员之外的任何人产生互动，甚至观众都应该对选手不可见。

• 双面镜或雾化玻璃会是一个选择，这样选手只能看到自己和对手，不受外部观众的影响。

估计国际象棋协会主席也只能嘟囔着：God！FXXK......然后继续在赛事期间安排专人监督吧。

回想起以前那个技术有限的时代，当众观看大师级比赛也是一种难忘的回忆。

好了，这期就到这里。

声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。

01 什么是氰化物？

影视剧里，虚构的正反面人物们在被俘虏后，便会口吐白沫，把他们的秘密带进坟墓......这都要归功于那些隐藏在假牙中的秘密氰化物，是它们协助死士们保守了秘密。

好吧，听起来这个设计似乎挺合理

先说说什么是氰化物。

所谓“氰化物”特指带有氰基（CN）的化合物，通常是有毒的致命物质。

现实中，氰化物中毒后，中枢神经系统会迅速丧失功能，继而使人体出现强直性或阵发性痉挛、昏迷、心跳停止、多脏器衰竭等症状而迅速死亡，最快五分钟即可致死。

而具有相同毒性的砒霜，则最少需要一个小时，甚至几个小时。所以，氰化物确实是能快速致死的选择之一，这一点，电影里倒是没有骗人。

嗯，顺便说一句，影视剧里那种“口吐白沫”特效，实际上是用泡腾片加牛奶特制的。

据说有演员拍太多“中毒”，导致看到泡腾片就有了心理阴影，哈哈哈~

说到这里，突然想到个可怕的场景：

万一演员此时突发癫痫，结果导演还误以为他入戏了，所有人都继续拍摄没人理会，演员怎么办？难道发个知乎求助：在线等，挺急的？

02 装在假牙里的可能

再聊聊氰化物装在假牙里的可行性。

首先，带有隐藏空间的假牙是真实存在的。

专门用于间谍活动的空心牙齿，主要用来隐藏胶片、微缩情报等。这些牙齿通常会代替臼齿植入，位于口腔后部的某个难以被发现的地方。

下图是国际间谍博物馆里的藏品。

其次，二战时期的氰化物药丸虽然已缩减到只有豌豆大小，但体积还是太大了，无法安全或牢固地藏在假牙中。

现实中，有人会把药丸藏在嘴里压在舌头下，但也从来没有藏在牙齿里。

国际间谍博物馆的某位研究员曾公开表示：

目前没有任何证据表明：有专门为隐藏氰化物设计制作的空心牙齿，因为它必须是一颗“非常巨大”的牙齿

下图是前苏联KGB情报机构曾使用的间谍牙齿。

从上图可以看到，内置空间的假牙外壳非常厚实，这么结实的牙齿，现实中也不可能被轻易“咬碎”。

所以，氰化物牙齿只不过是流行文化里一个过度包装的“神话”，而事实上，间谍文化中“紧急自杀措施”的普遍性，可能被媒体们夸大了。

03 真实氰化物自杀案例

2018年，一项发表在《欧洲内科医学杂志》上的医学研究调查中，法国科学家研究了阿道夫·希特勒的牙齿残骸，以确认他于 1945 年去世，试图结束关于“希特勒之死”的阴谋论。

这项对德国独裁者牙齿和头骨的科学研究都证实了，阿道夫·希特勒于 1945 年，在前苏联进攻柏林后死在他的地堡里。他是在先服用氰化物药丸后，再向头部开枪后死亡。

同时，调查结果也证实了：

他既没有乘坐潜艇逃往阿根廷，也不在南极洲的什么未知基地里（估计《重返德军总部》的游戏迷们会很失望）

1945 年 4 月下旬，当前苏联军队袭击柏林时，阿道夫·希特勒就开始了他的自杀计划，包括测试氰化物胶囊，及口述最后的遗嘱。

事实上，在墨索里尼被游击队俘虏，并在意大利米兰郊区广场被公开处决后。传闻说，希特勒无法接受这一切，所以才决定自杀。

这些纳粹核心们永远不会接受自己的失败，为避免类似的命运，他们宁愿自杀。

1945年5月，纳粹党卫队首领，盖世太保总管海因里希·希姆莱试图单独和英美和谈，被拒绝后化妆逃亡，途中被俘后自杀。

据称，当时盟军在俘虏希姆莱后，立刻开展了全身检查，身上有孔的地方都不放过，最后当用窥视镜对口腔进行二次检查时，军医听见希姆莱嘴里传来玻璃的碎裂声（注意这个细节）。

众人马上按住他企图制止，但为时晚矣，希姆莱已然毙命。就这样，希姆莱以服毒自尽的方式逃避了纽伦堡国际军事法庭对他的审判。

在二战结束的那段时间，一些纳粹军官都选择了同样的方式逃脱审判。不过和很多史学家YY的不同，这里面都与氰化物假牙没什么关系。

那么，

氰化物药丸/胶囊到底长什么样子呢？

刚才说的那个玻璃碎裂的声音，又是什么？

有趣的是，就在今年2月，据外媒报道，一对英国夫妇散步时偶然发现一个金属物品，疑似二战时期纳粹使用过的氰化物胶囊。

这玩意也许能回答这个疑问。

根据描述，这是一个金属胶囊外壳，里面有一个很小的玻璃内瓶（指甲盖大小）。瓶内装有透明液体，且玻璃内瓶是完全密封的。

很多人认为它可能是纳粹时期的氰化物胶囊，使用者只需将玻璃内瓶含在嘴里，直接咬碎即可去找元首唠嗑。

Look，是不是很符合希姆莱当时的情况？

其实吧，有太多的方式可以藏匿氰化物了，完全没必要选择牙齿这个既麻烦又不靠谱的方式。

比如眼镜腿和钢笔尾部也可以藏匿氰化物药丸，这样就可以悄悄吞服，类似于默默取下眼镜，装作思考咬着眼镜腿，或者咬着笔帽。

下图是国际间谍博物馆里展出的一副特殊眼镜，其镜腿处藏有氰化物。

似乎现在依旧有不少人有这样的习惯，哈哈，随意模仿小心镜腿有毒。

往期回顾：

2024.8.5—2024.8.11安全动态周回顾

2024.7.29—2024.8.4安全动态周回顾

2024.7.22—2024.7.28安全动态周回顾

2024.7.15—2024.7.21安全动态周回顾

2024.7.8—2024.7.14安全动态周回顾

2024.7.1—2024.7.7安全动态周回顾

2024.6.24—2024.6.30安全动态周回顾

PS4和PS5中的WebKit漏洞指的是其浏览器中发现的WebKit引擎漏洞。

这些漏洞在Safari和Chrome等浏览器中被发现，由于PS4和PS5共享相同的WebKit代码库，因此它们也可能存在这些漏洞。

尽管单独的WebKit漏洞不足以进行越狱，但它却是关键的第一步。利用这类漏洞和内核漏洞（提供更多系统访问权限）可能会导致PS4和PS5的越狱。 

由于PS5具有强大的安全缓解措施，单靠PPPwn漏洞不足以进行PS5的越狱。可能需要与PPPwn结合使用的用户模式漏洞才能实现可行的PS5漏洞利用。

虽然PPPwn在互联网连接期间触发，而WebKit漏洞在Web浏览器中运行，这使得按顺序利用它们变得具有挑战性。

然而，WebKit漏洞对于PS5破解场景通常是积极的信号，因为它们可能为未来的漏洞利用提供途径。 

攻击者能够利用最近修补的Safari/WebKit漏洞，通过利用JavaScript引擎的假设，特定属性（如原型）是不可配置的。

这个漏洞使它们能够被配置，从而基本上创建了类型混淆。

通过操纵这一点，攻击者可以访问本应无法访问的属性，可能是通过分析阶段中使用的Spread操作码。

这突显了当对数据类型的假设被打破时，意外副作用的危险性。

混淆漏洞代码片段

该代码构造了一个潜在的类型混淆漏洞场景。通过从 Function 继承，Base 类获得了内置的 prototype 属性访问权限，在构造过程中将一个数字赋给 super.prototype 可能会损坏原型链。

在一个不存在的 arr 变量上定义了一个 getter，以在调用 prototype getter 时操纵 victim[1]，结合一个大循环操作 victim 元素和最终的类型转换，使用可能由攻击者控制的‘flag’，创造了一个环境，在这种环境下，写入 arr[0] 可能会覆盖另一个对象的 prototype，其值为 victim[1]，从而导致意外行为的发生。

受此漏洞影响的固件

据报道，一种潜在的影响PS4和PS5主机的WebKit漏洞已经出现。用户可以通过在主机浏览器中使用DNS重定向测试特定URL，来查看他们的设备是否容易受到影响。 

根据Wolo的说法，该测试利用漏洞，通过向一个恶意网页提供输入来触发“内存不足”或“系统内存不足”的错误消息，表明在PS4固件版本10.00到11.02和PS5固件版本6.00到8.60上成功利用了漏洞。 

根据Coremail邮件安全人工智能实验室监测，2024年Q2全国企业级用户遭受超过21.4亿次暴力破解，相比于Q1的39.1亿次暴力破解，环比降幅约为45%，无差别的暴力破解攻击大幅下降，但数据显示暴力破解攻击成功次数正在回升。

2024年Q2全域暴力破解成功次数达到912.7万次，环比增长11.4%。攻防专家推测可能是攻击者优化口令字典规则，其次加大了撞库攻击比例，导致破解成功率提高，因此邮箱管理员仍需保持警惕并采取必要的防护措施。

而企业邮件系统用户众多，管理员难以掌握所有邮箱用户的账号安全设置状态，如：客户端专用密码开启情况、二次验证情况、自动转发等。面对如此严峻的挑战，CACTER安全管理中心第二代（以下简称“SMC2”）全面焕新，SMC2在上一代产品的基础上，进行了全面的升级和优化。

不同于SMC1以安全监控态势为主的产品形态，SMC2更注重邮件安全事件的检测与闭环处置能力。作为邮件系统专属安全管家，SMC2支持监测失陷账号、网络攻击、主机威胁，拥有邮件审计、用户行为审计、用户威胁行为分析等能力，并提供账号锁定、IP加黑、邮件召回、告警等处置手段，简化管理，助力企业邮件系统安全运营，全方位守护邮件系统的安全。

数据与分析｜轻松处理和应用邮件系统日志

作为一款内网安全产品，SMC2独立于邮件系统进行安装。通过轻量级的agent采集邮件系统的日志数据，然后对数据进行清洗并入库，这一过程不会占用邮件系统服务器的资源，也不会影响邮件系统的正常收发业务。

SMC2能够处理包括登录日志、收发信日志、行为日志和访问日志在内的多种日志类型，这些日志数据是邮件系统安全分析的基础，管理员可以轻松处理和应用邮件系统日志，快速便捷做好邮件系统运维管理工作。

1、邮件审计：高效邮件检索与安全取证工具

SMC2的邮件审计功能为用户提供了强大的邮件信息检索能力。管理员可以通过组合检索，快速定位邮件信息，并通过审计结果导出功能，将检索结果进行整理和分析。这一功能不仅能够帮助管理员定期或根据特定事件触发审计，及时发现潜在的安全风险或违规行为，而且在安全事件发生或争议时，邮件审计功能还可以作为取证的重要工具。

2、邮件召回：智能补救措施

当检测到可疑或威胁性邮件时，SMC2支持管理员执行邮件召回操作，将邮件从用户邮箱中撤回至不可见目录或垃圾箱中。这不仅阻止了威胁的进一步传播，还为用户提供了一种补救措施。召回操作后，系统还可以自动通知用户，告知其邮件被召回的情况，确保透明度和及时沟通。

3、用户行为审计：构建安全行为档案

用户行为审计功能则从用户操作的角度出发，支持对用户登录、邮件操作、附件下载等39种用户行为的分类查询和时间链条查询。这不仅帮助管理员快速了解用户在特定时间段内的操作行为链条，且数据保存长达180天以上，满足了合规性要求。

4、用户威胁行为分析：智能风险评估

SMC2创新性引入了用户威胁行为分析模块，通过构建用户安全画像，从用户行为出发评估风险等级，并以可视化的方式呈现行为分析结果。这一功能不仅暴露了单独看似不敏感但关联起来具有风险的行为，而且为管理员提供了辅助研判的有力证据。

5、用户安全配置跟踪：集中管理安全配置

SMC2集中展示了所有邮箱用户的安全配置情况，管理员可以通过组合查询，快速发现不符合规定或存在潜在风险的用户配置。这包括自动转发地址、可信任设备、黑名单和白名单等，帮助管理员提高管理效率并简化管理流程。

6、收发信量统计与登录趋势分析：洞察系统运行状态

SMC2支持用户级和系统级的收发信量统计与登录趋势分析。管理员可以查看系统级的收信、发信和登录情况，并通过不同维度的数据分析，找出域内的收发信和登录规律。系统还可以提示管理员潜在的异常指标，如突然增多的威胁邮件、异常发信数量的用户等。

发现即处置｜主动发现和闭环处置邮件系统威胁

1、主动发现&锁定被盗账号：智能算法的应用

SMC2内置了检测23种异常登录行为的算法，能够精准识别暴力破解、异地登录等风险行为，及时为管理员提供事件详情，辅助研判账号安全状态，并支持直接在SMC2中锁定问题账号。

2、网络攻击与主机威胁的监测：安全防护全面升级

SMC2还能够主动发现Coremail旧漏洞利用等网络攻击行为，以及SQL注入、XSS跨站脚本攻击等常见web攻击。此外，SMC2内置了漏洞扫描器指纹，能够识别常见的漏洞扫描器，并且能够监测到攻击者对邮件系统的文件变更，留意未被告知的变更，记录与查询变更信息，检查主机威胁迹象。

3、准实时/定时告警：安全管理的即时响应

为了使管理员能够及时响应安全事件，SMC2支持设置准实时告警和定时告警。告警的设置可以根据管理员的使用习惯和重要时期的需要进行自定义，确保安全事件能够得到快速有效的处理。

方向与研究｜SMC2未来准备解决的管理难题

SMC2未来的发展将继续围绕提升邮件系统安全管理的智能化和自动化水平。随着技术的不断进步，SMC2将集成更先进的算法和大数据分析能力，以更准确地识别和响应安全威胁。

SMC2将实现更加精细化的安全态势感知，通过深度学习技术对用户行为进行模式识别，提前预测并防范潜在风险。同时，SMC2将加强与现有邮件系统的整合，实现更流畅的数据交换和更高效的日志分析流程，进一步降低管理成本并提升操作便捷性。

随着SOAR（安全编排自动化响应）理念的深入应用，SMC2也将能够提供更加自动化的处置流程，减少对人工干预的依赖，提高响应速度。

SMC2的目标是成为一个全面、智能、高效的邮件安全管理平台，不仅能满足当前的安全需求，更能预见并适应未来可能出现的安全挑战，为用户打造一个安全、可靠、高效的邮件使用环境。

2024年Q2管理员社区季刊新近完成，主要盘点了2024年上半年社区的精选文章和热门活动等精彩内容。本文为2024年Q2 管理员社区季刊内容节选，完整内容请上CACTER管理员社区进行查看。

CACTER管理员社区

CACTER管理员社区属于云服务中心板块之一，由Coremail服务团队、CACTER邮件安全团队及多条产品线共同维护，定位为知识库社区，集7*24h在线自助查询、技术问答交流、大咖互动分享、资料下载等功能于一体，专属于Coremail邮件管理员、安全员成长互动的知识库社区。

2024年Q2安全态势

根据Coremail邮件安全人工智能实验室数据显示，2024年Q2钓鱼邮件发送&接收源TOP100域名行业分析，国内钓鱼邮件受害者所在行业比较集中，教育排名第一，约占钓鱼邮件总数的60%（3914.1万封）；企业排名第二，约占26%（1713.4万封）；排名第三的行业为IT互联网，占5%（329.1封）。

其中教育行业收到的钓鱼邮件数量环比上升186%，教育领域于网络安全防护层面存有潜在的薄弱环节，庞大的师生用户数量、频繁的邮件往来，以及邮箱用户安全意识的参差不齐，这些都有可能致使教育行业成为黑客优先选择的攻击对象。

攻击者可以运用社会工程学手段，通过伪装成相关角色（例如老师、合作伙伴、客户或上级主管）的身份，针对性地向特定用户发送钓鱼邮件，从而提高攻击的成功率。

2024年上半年热门内容回顾

在2024年上半年里，CACTER管理员社区积极推动社区话题的交流与讨论，共发起7次社区话题，发布了27篇文章。重保将至，“2024重保HVV行动资料”“CACTER邮件安全大礼包”、“安全使用邮箱建议（用户及管理员向）”等邮件应急处置和安全科普向的经验分享，再次成为了CACTER管理员社区最热门的内容。

2024年上半年热门活动回顾

2024年上半年，CACTER管理员社区延续去年的年终福利活动，开展了“积分回馈兑换春节礼盒”活动，获得管理员的认可。其他热门活动，如“恶意样本提交激励活动”、“Coremail SRC 漏洞奖励活动”，仍有许多用户积极参与，充分展示了CACTER管理员社区的线上优势。

2024年上半年直播回顾

2024年上半年CACTER管理员社区举办了5次直播活动。每一次直播都为管理员带来邮件安全产品的好消息和福利。

1月份的社区年终福利直播，不仅有专家级干货分享，龙年惊喜大礼盒兑换活动；3月份的邮件防泄密直播，则通过真实客户案例分享，向管理员展示了CACTER邮件数据防泄露EDLP的实战应用；4月份的AI大模型专场直播，更是探索了AI大模型在邮件反钓鱼领域的应用，以及揭秘了Coremail邮件安全人工智能实验室对清华智谱AI大模型的应用。

5月份的防御邮件威胁直播分享会，更是带来了CAC2.0反钓鱼防盗号新功能——威胁邮件提示，为构建企业邮件安全闭环提供有力支撑；CACTER邮件安全团队在6月份开展的重保防护经验直播分享会上“倾囊相授”，将多年积累的重保防护经验分享给管理员们。

CACTER将继续努力，为社区用户提供更多优质、实用的内容，致力于为CACTER管理员社区用户提供更加丰富、有用的内容，促进社区的发展与进步。

8 月 16 日，天融信（002212.SZ）发布 2024 年半年度报告。报告期内，天融信新方向新场景业务发展势能强劲，其中云计算业务同比增长35.80%，为公司业绩增长注入新动能。

半年报显示，公司已推出100余类产品、1000多款型号，其中防火墙龙头地位稳固，已连续24年位居国内第一，多款产品连续多年市场排名领先，“一专多强”网络安全产品技术能力版图持续夯实。除传统网络安全业务外，公司在新业务方向上持续发力，云计算业务自2021年起便呈现持续增长态势。本次报告期内云计算业务同比增长率达35.80%，不仅延续了近年来在云计算领域的快速增长轨迹，更进一步巩固了天融信在网络安全及云计算领域的综合领先地位。

相关负责人介绍，公司自2019年发布云计算产品以来，围绕客户业务，持续深耕行业，不断完善产品与解决方案，实现行业客户快速覆盖。报告期内，公司发布天问智算云平台、服务器虚拟化、算力服务器、国产化服务器、新一代云终端等新产品，更新了天融信太行云新版本，增加了数据库一键部署、纳管阿里云、华为云、天翼云等公有云资源等能力，进一步提升产品易用性、稳定性。同时完善信创超融合解决方案、容灾建设解决方案、金融行业桌面云解决方案、VMware迁移替代解决方案等多个方案，满足不同场景下的客户需求。

在云网安融合的大趋势下，公司持续推进“云计算+安全”深度融合，形成覆盖政务云、大型集团云、医疗云、托管云、多云、容器云、公有云等30+业务场景的完整解决方案，在政府、运营商、能源、医疗、海关等众多行业广泛落地实践。

当前，面对博通收购VMware后市场格局的变动以及国产化和信创政策的双重驱动，天融信凭借其在云计算领域的深厚积累与持续创新能力，不仅在国内市场站稳了脚跟，还进一步激发了市场对本土虚拟化与超融合解决方案的关注与期待。此外，随着《深入实施“东数西算”工程 加快构建全国一体化算力网的实施意见》等政策的出台，更为天融信等企业在云计算与安全融合领域的发展提供了明确的方向与强大的动力。

展望未来，中国网络安全产业市场虽面临短期承压，但长期向好趋势依然明显。随着数字化转型的加速推进和云计算技术的广泛应用，网络安全和云计算已成为信息化建设中不可或缺的重要组成部分。分析人士指出，政策驱动下，天融信有望在网络安全和云计算领域迎来更多发展机遇。

8月15日晚间，网络安全行业领军企业天融信（002212.SZ）发布的2024年半年度报告显示，公司在信创领域持续深耕，业绩稳步增长，展现出强大的市场竞争力和技术创新能力。报告期内，天融信信创业务收入同比增长22.99%，成为推动公司未来业绩增长空间的重要引擎。

据了解，天融信2003年开始投入安全ASIC芯片研究、2006年发布具有自主知识产权的首款国产ASIC架构防火墙系统，并于2010年正式启动网络安全国产化研究。在信创领域，天融信始终坚持自主创新，自2013年发布首款龙芯防火墙产品以来，基于国产软硬件的“天融信昆仑”信创系列产品种类不断丰富、产品平台持续更新迭代，已累计发布了涵盖边界安全、安全接入、安全检测、安全审计、安全管理、 端点安全、 数据安全、工控安全、云安全、云计算等方向的 69 类 265 款型号，覆盖所有主流网络安全产品类别，为客户提供完善的信创产品和解决方案。

公司相关负责人表示，天融信推动全栈国产化能力建设，与国内生态上下游紧密合作，将国密算法、联动协议、可信计算技术、拟态技术、人工智能等技术深度融合，打造高安全性、高可靠性、高性能生态体系，提升信创产品和方案核心竞争力。

在信创技术创新方面，公司通过软硬件“平台化”战略，将国产CPU、操作系统、网络芯片、存储等核心部件进行能力抽象，形成公共技术，实现产品快速迭代。在技术与生态融合方面，天融信已累计取得2300余项兼容性认证证书，与众多国内主流信创软硬件厂商达成战略合作，开展产品兼容性适配工作，始终保持信创产品品类最全、型号最多的行业领先优势。在行业应用方面，天融信的信创产品与解决方案已在党政、金融、能源、交通、教育、医疗卫生、航空航天等近 30 个行业实现规模化应用。

当下，信创产业已经成为经济数字化转型、提升产业链发展的关键，加快推动高水平科技自立自强，全面提升自主创新能力，保障产业体系自主可控、安全可靠，是实现国家安全战略和经济高质量发展的必经之路。天融信等公司持续聚焦信创领域，加大关键核心技术研发创新，不仅为产业注入了新的动力，更为整个产业的升级转型提供有力的支撑和引领。

8月15日晚间，网络安全行业领军企业天融信（002212.SZ）发布2024年半年度报告。报告显示，公司在报告期内实现营业总收入8.73亿元，尤为亮眼的是，天融信的云安全业务在报告期内实现了同比51.52%的显著增长，展现公司战略布局的先发优势。

天融信在报告期内深入探索“AI+安全”的融合路径，成功构建了AI赋能的网络安全架构，为新业务方向注入了强大的发展动能。在云安全业务领域，天融信以“AI+云安全运营”为核心理念，基于云安全资源池，提供按需使用、弹性扩容、灵活编排的安全防护和安全运营能力，解决客户上云后顾之忧。同时，将天问大模型融入云安全资源池系统中，运用AI提升产品统一运营的效率，提高威胁检测、分析、响应的效能，强化安全运营效果，帮助客户实现降本增效。

在云安全服务架构方面，天融信凭借云原生技术进行了创新性重构，以云安全资源池平台为核心，融合AI技术，构建了“一个安全运营中心+六层安全防护”的全栈云原生安全防护体系。该体系实现了安全能力的原子化、云原生化、服务化和SaaS化，为多云环境提供了统一且多样化的安全云服务能力，全面保障云环境的数据与业务安全，筑起了云网安全的新防线。

据相关负责人介绍，天融信在云安全服务领域的布局已趋于成熟。自2010年起，公司便开始深耕云安全领域，陆续推出了虚拟化安全网关、安全资源池、云工作负载保护平台、云原生容器安全等面向私有云、公有云、混合多云以及分布式云场景的安全产品及解决方案，构建了覆盖物理边界层、虚拟网络层、云主机层、云应用层和云数据层的“云+网+端” 纵深安全防御体系。

此外，天融信坚持“云网安智”融合发展道路，深入洞察各行业应用场景，在云安全领域的专业能力也得到了业界的广泛认可。公司不仅于2016年成为国内首家获得VMware Ready认证的网络安全厂商，还与腾讯云、华为云、阿里云等行业巨头建立了深度合作关系，持续加强与产业链上下游企业的深度合作，不断探索创新产业和业务模式，坚持以更好的安全交付能力，构建开放共赢的云端生态，助推各行业的数字化转型与产业高质量发展。同时，天融信还通过了CSA CS-CMMI5级认证，标志着其在云安全管理和实施方面的综合能力已跻身国际一流水平，彰显了其在云安全技术领域的领先地位。

据悉，在原子化安全能力生态合作方面，天融信与华为云深度合作云防火墙CFW，为公有云租户提供SaaS化云原生防火墙服务。天融信表示，公司将依托强大的自主创新能力，积极推动“云+安全”融合共生，不断探索创新产业和业务模式，坚持以更好的安全交付能力，构建开放共赢的云端生态，助力各行业客户实现数字化转型。

8月16日，天融信（002212.SZ）发布2024年半年度报告。报告期内，天融信实现营业总收入8.73亿元；毛利率同比增长7.86个百分点；期间费用总计同比下降2.63%，研发费用同比下降5.80%；管理费用同比下降30.64%。公司2024年半年度现金分红总额（含视同现金分红金额）为6299.38万元。

淡季彰显经营韧性，收入质量显著提升。公司积极应对行业和市场发展态势，持续推进提质增效战略。报告期内，公司期间费用总计同比下降2.63%，其中公司在新方向和新技术的前期布局基本完成，研发费用同比下降5.80%；管理费用同比下降30.64%；公司持续保持营销的投入，销售费用同比增加9.71%。

由于网络安全行业的收入存在一定的季节性特征，收入确认主要集中在下半年，报告期内天融信在日常运转、研发投入等各项支出持续发生的同时，归属于上市公司股东的净利润同比增长2.98%，毛利率同比增长7.86个百分点，收入质量明显提升。此外，公司现金流表现亮眼，经营活动产生的现金流量净额同比增加15.44%。

布局新质生产力应用场景，AI赋能筑牢品牌护城河。半年报显示，目前公司已推出100余类产品、1000多款型号，其中防火墙龙头地位稳固，已连续24年位居国内第一，多款产品连续多年市场排名领先，“一专多强”网络安全产品技术能力版图持续夯实。报告期内，公司积极探索“AI+安全”的深度融合与创新，构建企业级AI安全能力体系，把握云网安融合趋势，进一步助推新方向新业务营收贡献提升。半年报显示，公司云安全业务同比增长51.52%，云计算业务同比增长35.80%，信创安全业务同比增长22.99%。值得注意的是，上述业务自2021年起就展现强劲增长势头并延续至今，有望构筑持续稳健成长新引擎。

据相关负责人介绍，公司加快布局新型工业化、车路云一体化、低空经济、卫星互联网等新质生产力应用场景。在细分行业方面，公司除保持政府、运营商等优势行业的基本盘稳定外，其他重点行业也在加速释放增量，其中卫生行业同比增幅46.45%，能源行业同比增幅33.42%，政法行业同比增幅31.13%，交通行业同比增幅15.63%。

中期分红重视股东回报，增持回购稳定投资信心。公司发布利润分配预案，向全体股东每10股派发现金红利0.18元（含税），合计派发现金股利2093.77万元。上半年公司以集中竞价交易方式回购公司股份，支付的总金额为4205.61万元（不含交易费用），视同公司2024年半年度的现金分红。公司2024年半年度现金分红总额（含视同现金分红金额）为6299.38万元。

此前天融信公告披露，公司董事长、总经理李雪莹等人以集中竞价交易方式合计增持公司股份129.22万股，合计增持股份金额为926.11万元，公司持股5%以上股东郑钟南先生增持了公司62.69万股，增持金额约300万元，充分表达对未来发展前景的信心和对公司股票长期投资价值的认可。

积极把握行业结构性复苏，长期价值加速兑现。2024年宏观环境景气度仍相对较低，但伴随多项政策指导文件落地，合规需求持续提升，网络安全行业仍在不断产生新的安全需求，国外厂商的逐步撤出也加速了市场空间的释放。具体来看，AI等新技术为网络安全带来新发展机遇，信创产业支持力度持续加强，大规模设备更新、低空经济、车路云一体化、新型工业化、数字城市等政策接连落地，进一步拓宽了网络安全需求边界。公司在半年报中表示，网络安全作为新质生产力的基石和重要组成部分，需求将不断释放，未来发展长期向好。

随着渠道、产品、成本管理等方面逐步理顺，天融信积极把握行业结构性复苏机遇，工业互联网安全、车联网安全、信创安全等新质生产力业务有望为公司带来增量，公司发展红利或将持续兑现。记者根据公开信息不完全统计，截至目前，今年公司已中标1个亿级项目，数个千万级项目，涵盖政府、海关、教育、烟草、电力等行业，在手订单量较为充足，为长期业绩释放奠定基础。

身份盗窃资源中心 (ITRC)在 2024 年第二季度追踪了 1,041,312,601 名数据泄露受害者，数据显示，比 2023 年第二季度（81,958,874 名受害者）增加了 1,170%。

人数增加的绝大部分原因是由于大多数人们的妥协。ITRC 提到 Prudential（250 万人）和 Infosys McCamish Systems（600 万人）事件是主要导火索。

由于这两起泄密事件都是在 2024 年第二季度宣布的，因此对数据产生了巨大影响。当比较 2024 年上半年 (H1 2024) 的数据泄露受害者数量时，研究人员发现与 2023 年上半年相比，这一数字增长了 490%。

ITRC 对一些数字进行了分解，并以信息图的形式展示：

我们可以从信息图中得出一些值得注意的统计数据：

·2024 年上半年，近 90% 的入侵都是由于数据泄露造成的。

·金融服务业的入侵次数最多，其次是医疗保健业。受害者数量最多的数据泄露企业是 Ticketmaster、Advance Auto Parts 和戴尔。

·80 次供应链攻击涉及 446 个实体，受害者超过 1000 万人。

ITRC 强调的另一个趋势是被盗驾照信息数量增加。这主要是由于疫情后使用驾照信息进行身份确认的趋势所致。这既增加了这些信息被泄露的可能性，也增加了这些信息对窃贼的价值。

疫情爆发前的 2019 年全年，驾驶执照数据被盗的数据泄露事件总计为 198 起，而 2023 年全年为 636 起，截至 2024 年 6 月 30 日为 308 起。

大多数数据泄露不是疏忽造成的，而是有针对性的网络攻击造成的。一定程度上，这也解释了数据删除服务需求的不断增长，它不仅在保护企业隐私权方面发挥着重要作用，还有助于避免或减轻违规的法律后果。

8月23日，XCon2024安全焦点信息安全技术峰会

将在“北京·民航国际会议中心”炫动启幕

一年一度的网安技术盛宴，秉承“严谨求实·唯技至上”的理念宗旨

让每一场技术的分享与对谈 忠于纯粹·酣畅淋漓

以极客的敏锐洞鉴网安产业的瞬息万变

与更多志同道合的朋友一同探寻“适者生存”的丛林法则

XCon2024完整日程抢先曝光！

-深度聚焦场，延续23年的经典技术演讲

聚焦网安前沿技术研探与成果转化，为更安全的未来提供

创新型解决方案

为更优质的网安生态提供新鲜氧分与悦动活力

纯粹的干货·实战级经验分享

-“未来之锋·智创奇迹”技术论坛

XCon首度合作潮流白帽领域

最活跃的安全技术社区HackingGroup

共同打造开放的交流平台，共同营造轻松的分享氛围

切磋技术·拓展人脉

-极客文化市集

王者荣耀5V5现场对决·惊喜豪礼轮番送上

更多互动体验，感受极客文化的深度浸润

XCon2024

售票通道即将关闭，立刻购票，共赴循变之旅

【XCon&KCon，3日联票】¥2069元，仅限30张

【循变者】¥2090元，XCon2024全场通——含聚焦场演讲+HackingGroup“未来之锋·智创奇迹”技术论坛+展商空间+极客市集

【聚焦者】¥2790元，XCon2024全场通——仅限会议当日现场购买，不支持票券折扣

【“未来之锋·智创奇迹”技术论坛】¥0元，XCon&HackingGroup “未来之锋·智创奇迹”技术论坛+展商空间+极客市集

据报道，近 27 亿条美国人的个人信息记录在一个黑客论坛上被泄露，其中包括姓名、社会保险号、地址以及别名。

据称，这些数据来自 National Public Data 公司，该公司收集和出售个人数据，以用于背景调查、获取犯罪记录和供私人调查员使用。

国家公共数据从公共来源搜集这些信息，以汇编美国和其他国家的个人用户资料。

今年 4 月，一个名为 USDoD 的威胁者声称正在出售 29 亿条信息记录，其中包含从 National Public Data 窃取的美国、英国和加拿大人的个人数据。

当时，该威胁者试图以 350 万美元的价格出售这些数据，并声称其中包含这三个国家每个人的记录。

据悉，USDoD 是一个知名的威胁分子，此前曾涉嫌在 2023 年 12 月以 5 万美元的价格出售 InfraGard 的用户数据库。

被盗数据被免费泄露

此后，各种威胁者陆续发布了部分数据副本，每次泄露共享不同数量的记录，在某些情况下，共享不同的数据。

8 月 6 日，一个名为“Fenice”的威胁者在 Breached 黑客论坛上免费泄露了被盗国家公共数据的最完整版本。

然而，Fenice 表示，数据泄露是由另一个名为“SXUL”的威胁者进行的，而不是美国国防部。

国家公共数据在黑客论坛上泄露

泄露的数据由两个文本文件组成，总计 277GB，包含近 27 亿条纯文本记录，而不是美国国防部最初分享的 29 亿条记录。虽然无法确认此次泄露是否包含美国每个人的数据，但许多人证实，这些信息中确实包含他们及其家人的合法信息，甚至有已故者。

每条记录包含以下信息：个人姓名、邮寄地址和社会保险号，部分记录还包含其他信息，例如与个人相关的其他姓名。这些数据均未加密。

此前泄露的数据样本还包括电话号码和电子邮件地址，但这些并不包含在此次 27 亿条记录的泄露中。

值得注意的是，一个人会有多条记录，每条记录对应一个已知居住地址。这也意味着，此次数据泄露不止影响 27亿人，有人说明他们的社会安全号码与他们不认识的其他人有关，因此并非所有信息都是准确的。

此次数据泄露事件已导致多起针对 Jerico Pictures 的集体诉讼，据称该公司以 National Public Data 的名义开展业务，原因是该公司未能充分保护人们的数据。如果您居住在美国，此次数据泄露事件很可能泄露了您的部分个人信息。

由于数据包含数亿个社会安全号码，建议您监控您的信用报告中是否存在欺诈活动，并在发现时向信用局报告。

此外，由于之前泄露的样本还包含电子邮件地址和电话号码，您应该警惕试图诱骗您提供更多敏感信息的网络钓鱼和短信。

声明：本文主要为RC²反窃密实验室的威胁情报小组部分成果分享，仅供交流与参考。

1 TSCM圈的扛把子：REI

所谓“天下谁人不识君”，国内外从事反窃密检测的行业人士，很少有不知道REI的。

REI，Research Electronics International，1983年成立于美国，其公司总部、研发、制造设施和培训中心均位于美国田纳西州。

37年来，REI一直从事设计和制造技术安全防护设备，以防止非法信息盗窃和企业间谍活动。

目前，REI的客户已遍布全球，包括需要和负责保护敏感信息的全球政府机构、执法组织、公司安全人员和TSCM专业人士，被公认为技术安全设备的行业领导者。

2 REI的发家史

再说说发家史。

REI公司由Bruce Barsumian于1983年在美国田纳西州的Cookeville成立，后来于1995年与Tom Jones（GM）合伙。

早在1980年代，REI就以出色的TSCM反窃密检测设备而闻名，如TRD-800反录音检测器。

RC²技术威胁情报库

·TRD-800是REI于1989年开发制造的小型穿戴式反录音与窃听检测器。

·它可以暗中携带，可以悄悄地探查无线电窃听器材，以及对方暗藏在身上的穿戴式录音器材，然后通过LED灯或内置振动器向使用者发出隐蔽的告警。

-----威胁情报库分割线-----

而且，REI也是最早在美国推出非线性节点探测器的公司。

他们推出检测隐蔽窃听器材的SuperScout NLJD，在市场上热销多年，远销全球各国的反间谍、情报及军事部门。 

RC²技术威胁情报库

·SuperScout NLJD是REI开发制造的第一款非线性节点探测器。

·现代社会使用的非线性检测设备的鼻祖产品之一，所谓二次三次谐波原理的体现，即使是目前REI最新版本的非线性设备，本质原理还是一样的。

-----威胁情报库分割线-----

发展期间，REI也经受过一些政策方面的阻力。

比如2010年面向全球推出的OSCOR Blue频谱分析仪，由于产品中涉及某些先进技术，美国出口监管部门判定需要限制出口。

后来，REI通过几年艰苦谈判，终于在2016年，成功地将OSCOR Blue从出口限制条例中去除。

杨叔观点：话说经过了6年才通过，杨叔强烈怀疑真实原因是不是已经满足了技术迭代的保密期吧？

下图是2016年，REI总经理Tom Jones与美国田纳西州的两位参议员，以及参议院外交关系委员会的专员，在讨论出口管制改革后合影。

2019年6月，REI成为HEICO Corporation的电子技术子公司。

这件事在TSCM圈还是挺轰动的，不过估计国内的相关行业没几个人会注意

那么，问题来了：

前三位留言回复准确的热心朋友，都将获得RC²小礼物一份，抓紧机会吧~

3 TSCM设备标杆

根据RC²的威胁情报表明，全球诸多TSCM检测团队，都在大量使用着REI的设备。

无论是美国、法国、德国、英国等欧洲团队，还是来自乌克兰、爱尔兰的团队，都在或多或少地使用REI设备。

当然，明显东欧的团队，还是会带有斯拉夫沙文主义色彩，会不由自主地同时使用着俄罗斯的产品。

那么，REI都有哪些经典产品呢？

RF Detection

专业信号侦测设备

典型产品有OSCOR Green、OSCOR Blue、MESA、ANDRE等四款。其中，OSCOR系列频谱分析设备算是明星产品，地位相当于现在户外圈的“北脸”，几乎人手一套。

至于ANDRE™ - Near-Field Detection Reciever，这款是提取了OSCOR部分功能重新设计推出的产品，也是希望占据企业市场的主打产品。

NLJDs

专业非线性检测设备

非线性检测设备在过去30年，已经扮演了非常重要的角色，已成为TSCM检测标配设备之一。

REI的ORION系列产品，也得到了国内外政府、执法机构及TSCM行业的肯定和好评。

TALAN Inspection

专业电话线路检测仪

嘿嘿，杨叔赌10块，国内的这些销售肯定都不知道：

这款名为TALAN的专业电话及电话线路分析设备，曾因其在行业研究和工程设计上的杰出贡献，被授予2008年度加拿大技术安全会议（CTSC）大奖。

作为一款可以对模拟、数字、IP电话线路及电话机检测的综合性设备，TALAN已经在TSCM江湖里奠定了坚定且难以超越的地位。

嗯，关于REI的主打设备就先说这么多，至于其它的音频检测、视频检测及物理检查设备，杨叔就不再细说了（哼哼，杨叔又不是REI销售，又没广告费）。

呐，RC²反窃密实验室的检测团队，也装备了几款REI设备，下图里你能认出几款？欢迎眼尖的同学留言~

4 REI的优势

很多销售厂商其实并不清楚，REI的产品线本质上遵循了美国的TSCM行业标准和检测体系。

所以，

第一个优势是：

在有些专业领域上，REI保持了技术优势，暂时没有同等能力的对手。比如这款TALAN电话线路及电话机安全检测设备。

我们翻阅下已经解密的情报资料，在这份美国FBI在1987年的办公室TSCM例行检测报告，里面详细地开展了无线电、物理和电子检测，其中就包括了电话线路及电话机检测。

而在目前，市面上能够开展电话线路及电话机检测的综合性设备，几乎也就REI的TALAN这么一款。

咳咳，市面售价30多万，比奔驰车便宜多了。

第二个优势：

就是REI有自己的培训中心和完整的培训体系，将所有产品关联到了一起。

而且，在REI的培训中心，也有一批资深的行业教官，杨叔举个例：

·Mark S. Uker，REI培训总监

马克·S·乌克（Mark S. Uker）从美国陆军退役后，以反间谍特工身份从业17年。马克在美国马里兰州米德堡的美国陆军技术反窃密学校（US Army Technical Counterintelligence School）接受了培训，于1993年获得认证。

他作为团队成员和负责人在德国、马其顿、克罗地亚、日内瓦和美国开展了TSCM任务，主要服务于美军司令部。

目前，马克在REI从事TSCM培训课程的工作，并且还在继续开发高级TSCM概念和计算机取证的课程。

5 REI的短板

短板还是有很多的，一方面来自名气，一方面来自技术。

短板一：设备专业性正在被挑战。

对于专业通信操作人员而言，REI的频谱仪并不能算是优选。德国R&S的频谱仪在国际上的专业度和名气可要大太多了。

而随着更多同行厂商的出现，REI设备的“国际地位”也愈发被晃动，甚至有些不弱于REI的产品已经在冲击TSCM市场并受到好评。

最近REI推出的MESA设备确实满足了一些小型公司和场景的需求，但是在整体技术上，比如蓝牙、WiFi侦测上，并没有表现出太多惊喜。

杨叔观点：在杨叔个人看来，这款产品更像是为了争夺中下游需求市场的战略型产品，主要改进就是设备小型化和UI的美化，实际功能离OSCOR还是差距很大滴。

短板二：技术升级周期较长，事件响应缓慢。

正因为名气太大，所以欧洲的一些监视器材供应商，早已开始对REI的设备开展了针对性的研究，特别是REI的非线性检测设备。

呐，目前高级监视器材主流的方法之一就是增加屏蔽措施，使得REI的非线性设备无法实时探测出此类器材。

换句话说：非线性的作用也就打了很大折扣。

更多监视器材介绍：隐秘又专业 | 海外执法机构未公开的监视设备

但是作为REI主打产品之一的非线性设备，好像并没有因此进行专项升级

6 愈发激烈的市场竞争

霸特，出来混的，肯定要做好随时被挑战的可能。自然界一向如此，人类社会亦是同样。

杨叔记得英国的一个厂家，无论在展会现场，还是在杨叔坐欧铁去拜访交流时，甚至邮件里，都在反复说自家的非线性是全球Best，要比REI的产品优异很多

咳咳，最近国内几家厂商也在这么说

这类竞争厂商，杨叔会在这个“全球TSCM厂商威胁情报库”原创系列里，慢慢和大家唠唠。

7 缩水的REI官方培训？

疫情初期，对于REI冲击还是挺大的，特别是培训方面。

现在即使恢复了线下课程，但课程已经排到了2021年下半年。

杨叔其实一直在推进与REI建立技术层面的交流，所以很早就对REI的官方课程体系做了系统性的研究和总结。

但通过对比课程安排、市场调研及学员反馈发现，REI在中国大陆开展的几次课程，无论时长和内容深度都不符合REI的标准课程定义，只能算是“产品推介会+基础使用培训”吧。

比如REI官方的“电话反窃听认证“”课程，如下图红框内的TALAN设备教学的核心两门课（TALAN Telephone Countermeasure，VoIP）共需10天，而在中国大陆开设的几次课程，所有设备堆一起讲也不过三五天罢了。

再看看下图，REI在南非的课程，同样遵循了标准的课程时长及内容，每个科目都是5天，主流几款设备就需要20天。

所以说，没有人希望这些技术性课程中，因为一些其它因素使得内容有大幅缩水，但现实却依旧说明了：

对专业设备的全部能力开展系统性研究，确实很有必要。

这也是RC²一直在默默开发TSCM专业技能实训课程的原因。

下图是在巴黎的全球最大军警装备展Milipol 2019，REI的全球销售总监Lee专程来到RC2反窃密实验室的展位，送上REI限量版纪念章。

8 国内使用现状

根据和需求方及诸多供应商交流的反馈，国内目前呈现出两个极端。

1，需求方对设备缺乏实战性理解。

很多军警执法机构里，采购了大量的REI设备，但是在使用效率上，存在很大不足。

而很多以销售业绩为主的厂商，并没有能力和人员来详细讲解设备的深入使用~

2，非刚需企业，却购买了专业设备

企业在反窃密方面的需求虽然在升高，但由于对TSCM行业不了解，所以也有不少企业被个别无良厂商忽悠买了一批昂贵的REI检测设备。

但由于实际需求并不高，所以使用上也远远没有达到预期。

这些都导致了某种程度上的恶评，和对行业的误解（抱怨忽悠居多之类的看法），这不能不说是一种遗憾。