嘶吼

最新发现，数十款技嘉主板型号运行在易受安全问题影响的UEFI固件上，这些安全问题允许植入对操作系统不可见的引导恶意软件，该恶意软件可在重新安装系统后仍然存在。

这些漏洞可能允许具有本地或远程管理员权限的攻击者在系统管理模式（SMM）中执行任意代码，SMM 是一个与操作系统（OS）隔离的环境，并且在机器上具有更多权限。

在操作系统以下运行的机制具有低级硬件访问权限，并在系统启动时初始化。因此，这些环境中的恶意软件可以绕过系统上的传统安全防御。

UEFI，或统一可扩展固件接口，由于具有安全启动功能，固件更加安全，该功能通过加密验证确保设备在启动时使用的是安全和受信任的代码。

因此，像引导程序（BlackLotus、CosmicStrand、MosaicAggressor、MoonBounce、LoJax）这样的EFI级恶意软件可以在每次启动时部署恶意代码。

大量主板受到影响

这四个漏洞是由固件安全公司Binarly的研究人员发现的，他们与卡内基梅隆大学的CERT协调中心（CERT/CC）分享了他们的发现。

最初的固件供应商是American megtrends Inc. (AMI)，该公司在披露后解决了这些问题，但一些OEM固件版本（例如技嘉）当时没有实现修复。

在技嘉固件的实现中，Binarly发现了以下漏洞，所有漏洞的严重性评分都为8.2：

·CVE-2025-7029: SMI 处理程序（OverClockSmiHandler）中的错误可能导致 SMM 权限提升。

·CVE-2025-7028: SMI处理程序（SmiFlash）中的错误，允许对系统管理RAM （SMRAM）进行读/写访问，这可能导致恶意软件安装。

·CVE-2025-7027：可以导致SMM权限升级，并通过向SMRAM写入任意内容来修改固件。

·CVE-2025-7026：允许任意写入SMRAM，并可能导致特权升级到SMM和持久固件危害。

根据统计，有超过240个主板型号受到影响——包括修订，变体和特定地区的版本，固件在2023年底到2024年8月中旬之间更新。其中，一位公司代表表示“超过100条产品线受到影响。”

其他企业设备供应商的产品也受到这四个漏洞的影响，但它们的名称在修复程序可用之前不会公开。

据CERT/CC称，Binarly研究人员于4月15日通知卡内基梅隆CERT/CC有关这些问题，技嘉于6月12日确认了这些漏洞，随后发布了固件更新。但是，OEM还没有发布关于Binarly报告的安全问题的安全公告。

与此同时，Binarly的创始人兼首席执行官Alex Matrosov表示，技嘉很可能还没有发布修复程序。由于许多产品的使用寿命已经结束，用户可能不会收到任何安全更新。

“因为这四个漏洞都来自AMI的参考代码，AMI在前一段时间才在保密协议下向付费客户披露了这些漏洞，这对下游供应商造成了多年的重大影响，因为这些漏洞一直处于脆弱状态，而且没有打补丁。”

虽然普通消费者的风险很低，而那些在关键环境中的人可以使用Binarly的risk Hunt扫描工具来评估特定的风险，该工具包括对这四个漏洞的免费检测。

使用技嘉主板的来自不同OEM的计算机可能面临攻击风险，因此建议用户关注固件更新并及时应用它们。

全球“AI+安全”领域规格最高、规模最大、影响力最深远的盛会——第十三届互联网安全大会（简称ISC.AI 2025）将于8月6日-7日在北京国家会议中心震撼启幕！本届大会以划时代的“ALL IN AGENT”为主题，汇聚全球顶尖智慧，深度聚焦智能体时代数字安全与人工智能的前沿动态，以创新动能激活数字未来，以生态合力开启智能体时代全球发展新纪元！

本届大会由中国互联网协会、中国人工智能学会、中国软件行业协会、东方企业创新发展中心、360互联网安全中心、ISC.AI大会组委会主办，中国计算机学会计算机安全专业委员会、中国人工智能学会人工智能与安全专业委员会、北京信息化和工业化融合服务联盟、中关村数智人工智能产业联盟、中关村朝阳园“数链先锋”产业党建联盟、大模型产业联盟承办，ISC平台、纳米AI、360AI办公支持。

十三载领航，ISC.AI开启人工智能下半场

自2013年首届大会启幕以来，ISC.AI始终紧扣时代命脉，立于科技浪潮之巅，以敏锐洞察锚定安全发展航向，在数字文明的壮阔进程中持续书写引领篇章。当历史的车轮驶入2025年，人工智能发展进入下半场，智能体技术正加速突破实验室边界，深度融入产业核心领域，日益成为驱动产业变革的关键引擎。

在此背景下，ISC.AI 2025以“ALL IN AGENT”为主题，旨在搭建全球顶尖思想碰撞的舞台，加速推动智能体技术的颠覆性创新、产业深度融合与生态体系繁荣，共同解锁智能体深度赋能产业升级、重塑未来业务流程与人机协作新范式的无限可能，见证智能体技术从理论突破到规模化应用的跨越式发展，开启以智能体驱动未来发展的全新时代！

前沿传承，引领AI与安全深度融合

ISC.AI 2025化身全球安全与AI领域的“创新磁场”，打造开幕式、未来峰会、技术及产业论坛、红衣公开课、创新独角兽沙盒大赛、ISC.AI训练营、ISC.AI Park等八大板块30余场活动，输出国家、经济、社会、企业的前瞻观点，助力智能体时代数字安全的跃迁升级。

在安全领域，ISC.AI延续大会十二年安全基因，围绕知识图谱重塑智能时代安全体系、安全智能体技术赋能与应用、Agentic SOC安全运营新范式、威胁情报技术发展、智能化时代勒索挑战与应对、新型涉网犯罪打击与治理等安全领域热点话题，携手中国计算机学会计算机安全专委会、中国人工智能学会人工智能与安全专委会、北京市工商联人工智能产业委员会等协会机构共同展开研讨。

在AI领域，ISC.AI聚焦智能体助推数转智改以及智能体技术本身的带来的安全问题，与中关村数智人工智能产业联盟、北京人工智能产业联盟、全国工商联人工智能委员会、大模型产业联盟共同就国际人工智能发展、智能体驱动产业创新、共筑智能体生态新图景，企业级AI应用、人工智能安全治理与创新实践等话题展开交流与合作。

智能体深度参与，全景呈现智能未来

ISC.AI 2025不仅“谈论”智能体，更将首次大规模、深度由智能体参与大会核心环节，全景呈现前所未有的“ALL IN AGENT”智能未来。来自纳米AI智能体市场中的“智能体天团”将全方位支持大会，提供多维度、全流程的智能化支持。“一句话成片”的超级视频智能体，“秒级定位”精准信息的超级搜索智能体，“同步完成多语言互译”的实时翻译智能体等更多智能体搭子都将各展所长。

同时，ISC.AI 2025为与会者配备专属AI参会助手与智能伴会搭子。从智能日程管理、实时会议纪要到个性化内容推荐，无论是快速获取演讲精华、智能规划参会路径，还是实时解答会议疑问，参会助手都能以自然语言交互方式提供贴心服务，让每位参会者都能享受高度定制化的智能参会体验，感受ISC.AI 2025的科技高光时刻。

此外，大会打造集多元AI玩法于一体的ISC.AI Park未来试验场展区，在创新思维、前沿技术与沉浸体验等维度实现突破性提升。充满探索精神的黑客集市，让开发者与极客们自由切磋最新技术成果；沉浸式的AI互动体验区，通过人机协作游戏、智能场景模拟等方式让访客直观感受AI魅力；为技术爱好者提供交流实践平台，构建从创意孵化到落地体验的完整生态链条。

从技术突围到场景深耕，从生态共建到未来领航，ISC.AI 2025邀您共赴这场关乎未来格局的智能盛宴！8月6日至7日，北京国家会议中心，不见不散！

在数字化深度重塑世界的今天，网络空间已成为国家竞争、企业生存的战略新疆域。从关键基础设施遭袭到供应链攻击蔓延，单一的技术防御或决策判断已难以应对复杂风险。在此背景下，丈八网安推出的网络靶场与网络兵棋推演系统，共同构建了“技术－策略”双螺旋驱动的防御体系——前者锻造一线攻防硬实力，后者锤炼战术决策软实力，二者协同构成网络安全防御的闭环生态。

一、定位：从“技术执行”到“战术判断”

网络安全防御的成败，既取决于“一线能不能防住”，更取决于“全局该不该这么防”。丈八网安的两款产品，正是瞄准这两个核心环节精准定位，形成防御能力的上下联动。

网络靶场是一线技术人员的“实战训练场”，它的核心价值，是为技术人员提供1:1还原真实网络环境的虚拟空间，让他们在安全可控的条件下锤炼攻防技术。  

以勒索病毒防御场景为例，技术人员需要的是快速止损、精准溯源的硬技能：比如通过靶场模拟病毒入侵路径，练习“从漏洞定位到隔离感染主机、从病毒消杀到系统恢复”的全流程操作；甚至可以模拟极端场景，如工业控制系统被感染，训练“断网不影响核心生产”的精细操作。这里的核心是练技术动作的熟练度与准确性，就像战士在靶场练习射击精度，确保实战中枪枪命中。

网络靶场平台实战课操作界面

网络兵棋推演系统是决策者的“战略沙盘”，与靶场不同，兵棋推演系统聚焦全局风险研判与策略优化，为管理者、决策者提供模拟复杂连锁反应的虚拟推演环境。  

同样面对勒索病毒，决策者需要的是权衡利弊、统筹资源的策略能力：比如通过系统模拟病毒扩散路径，快速掌握“已感染哪些核心业务系统，如财务系统、生产数据库等，量化停机导致的日损失，如生产线停工损失500万元/天”；推演支付赎金vs拒绝支付的两种方案：前者可能面临合规风险，后者可能导致核心数据永久丢失；甚至可以模拟跨部门协同效果——技术团队消杀的同时，法务团队如何应对监管问询，公关团队如何降低声誉损失。这里的核心是练策略选择的合理性与前瞻性，就像将军在沙盘上推演战役部署，确保全局步步为营。

兵棋推演系统的决策视角

二、技术：从“精细还原”到“全局抽象”

两款产品的定位差异，背后是两套精准匹配需求的技术体系。丈八网安通过自主研发的ZBOS网络仿真引擎，用双技术路线支撑双防御需求，既保证技术的专业性，又降低使用的门槛。

网络靶场为了满足技术人员“练实操”的需求，采用混合系统仿真技术，还原毫米级细节。简单说，就是1:1复刻真实网络的每一个细节。它不仅能模拟服务器、交换机、工业PLC等硬件设备的运行状态，还能还原漏洞攻击的全链路，支持物理设备接入。精细化还原让技术人员在靶场的操作感受与真实环境几乎一致，确保练完就能用。

网络兵棋推演系统为了满足决策者“练策略”的需求，采用离散事件仿真技术。通俗讲，就是：抓核心、舍细节，快速推演全局连锁反应。它通过数字建模的方式抽象网络攻防的核心逻辑，忽略技术细节，如具体漏洞利用代码、单设备配置步骤等，而是将攻击扩散、策略执行等关键节点抽象为“事件单元”，通过算法模拟事件触发、传递与连锁反应，更好地帮助决策者训练攻防战术、推演应对方案，提升在复杂网络环境中的实战处置能力。

三、协同：从“双向咬合”到“体系进化”，构建不可替代的防御闭环  

网络安全能力进化的本质，是战术精准性与技术有效性的动态平衡。丈八网络靶场与兵棋推演系统的协同，绝非简单的功能叠加，而是像战争中后方指挥中枢与前线作战部队的深度咬合——兵棋的战术推演为靶场的技术训练锚定方向，靶场的实操数据为兵棋的策略优化提供依据，二者通过持续的“指导－验证－反馈－迭代”，形成1+1>2的体系化能力。丈八网安也是唯一推出双螺旋驱动的产品体系及解决方案的厂商，形成远超同行的核心竞争优势。

双螺旋驱动的网络安全能力进化体系

兵棋推演系统输出的战术判断，能为靶场的技术训练划定“优先级”和“实战场景”，避免技术人员陷入盲目练技术的误区。例如，某能源企业通过兵棋推演发现：供应链攻击中，第三方运维软件的漏洞是核心突破口，且此类攻击会优先瞄准电力调度系统，这一结论可直接指导靶场设计针对性训练。 

这种“战术指导技术”的协同，让靶场的技术训练不再是纸上谈兵，而是精准匹配企业真实面临的高风险场景，确保技术人员练的就是实战中必须赢的环节。  

靶场积累的技术实操数据，能反哺兵棋的推演模型，让战术决策从理想化假设落地为可执行的方案。如在勒索病毒防御场景下，兵棋最初推演时，可能假设“断网隔离可在5分钟内完成”，但靶场的实操数据显示：工业控制系统因涉及生产安全，断网前需完成3个关键步骤，实际耗时至少20分钟。基于这一数据，兵棋会修正推演模型：将断网耗时参数从5分钟调整为20分钟，进而重新计算“20分钟内病毒可能扩散的范围”，并优化策略，比如增加断网前的临时隔离措施等。  

这种“技术反哺战术”的协同，让兵棋的策略不再是空中楼阁，而是建立在真实技术能力之上的可行方案，确保决策者制定的策略不仅正确，而且能落地。  

可以说，兵棋的策略因靶场数据而落地，靶场的训练因兵棋指导而聚焦，更关键的是，通过持续的协同迭代，让企业在面对未知的新型攻击时，具备快速调整战术、同步升级技术的敏捷性，这才是网络安全防御的终极竞争力。

从国家关键信息基础设施防护到企业数字化转型安全，网络安全防御早已进入技术与策略并重的新阶段。未来，丈八网安将继续推动网络靶场与兵棋推演系统的协同实践，让“技术尖兵”与“战术智囊”同频共振，助力企业在数字时代的安全博弈中，始终掌握主动、赢得未来。

• 公共政务数据 安全共享交换技术体系框架

• 公共政务数据 安全交换技术规范

• 20+垂直领域数据 安全交换规范示例

• 40+公共政务数据 安全交换相关标准规范现状

相关资料获取

文末评论留言

（点击图片可放大）

该技术体系核心：

• 数据安全防护

• 共享业务安全监管及运营

• 区块链服务为核心

依托共享数据安全基础设施：

• 密码服务

• 信任服务等

数据安全防护技术包含三个方面：

• 数据安全利用与管控

• 敏感数据识别与利用

• 安全策略控制

针对数据共享交换的安全需求，运用数据加密、数据水印、数据脱敏、数据访问审计等技术，结合数据标签服务、敏感数据分级分类及数据管控策略配置等，实现数据的安全可控。

共享业务安全监管及运营将数据共享交换监管融入平台与网络安全风险监管，把监管和分析结果通过统一平台呈现，以此指导共享业务运营。通过综合安全监管和运营，从云平台、数据流转业务、安全风险等多维度分析，监控数据安全态势、权属变化、扩散及应用情况，并依据态势分析结果开展风险预警通报与应急响应处理。

区块链服务利用其记账安全特性，如实记录数据共享交换的访问与操作过程，通过溯源实现数据安全审计。

以浙江省公共数据安全交换为例

基本要求：

• 数据交换系统应满足 GB/T 22239-2019 中三级网络安全等级保护的要求，在传输安全、数据脱敏、用户管理、身份鉴别、授权管理、安全运维等方面发现不符合相应等级保护要求的，应及时整改；

• 安全技术框架相关规范应按照 GB/T 39477-2020 中 5.2 的相关规定执行。

传输安全：

数据交换系统应保障传输安全，包括但不限于：

• 具备监控数据传输过程的能力，发现问题时及时告警并进行阻断；

• SSL 协议传输；

• 支持 TSL 安全协议传输；

• 在数据交换不完整时清除传输缓存数据；

• 建立交换数据退役服务机制；

• 定期检查或评估数据传输的安全性和可靠性。

数据脱敏：

数据交换系统应落实数据脱敏，包括但不限于：

• 对交换数据库提供数据脱敏防护能力；

• 对交换数据库的人工操作必须提供操作行为日志；

• 定期检查或评估数据脱敏规则的敏感性和可靠性。

用户管理：

数据交换系统应做好身份鉴别，包括但不限于：

• 支持对用户进行角色分立管理，设立管理角色、审计角色及操作角色;

• 用户管理机制应与一体化智能化公共数据平台综合集成；

• 支持对特定数据的访问主体进行授权和取消授权的管理方式；

• 支持基于角色的用户分组并支持对用户组整体管理。

身份鉴别：

数据交换系统应实现授权管理，包括但不限于：

• 应对交换数据库的使用者进行身份鉴别；

• 采用数字证书或标识数据等方式实现身份认证；

• 应对相关服务器建立黑、白名单机制。

授权管理：

数据交换系统应实现用户管理，包括但不限于：

• 针对用户访问权限、数据操作权限、应用访问数据权限等维度的授权管理机制；

• 对交换数据库、交换管理等提供授权和操作行为，应具有审计功能；

• 交换数据库操作权限应由交换管理系统集中授权；

• 用于推送的交换数据库应仅提供数据的 insert 权限；

• 用于接收的交换数据库回执表提供数据的 insert 权限，其他应仅提供数据的 select 权限；

• 仅允许白名单内的服务器连接交换数据库。

安全保障：

数据交换系统应保障安全，包括但不限于：

• 对操作系统、数据库软件和公共数据交换系统的安全漏洞进行防护和修复；

• 对公共数据交换安全事件进行监控，日志应至少保存 3 个月，并定期审核；

• 制定突发事件应急保障制度、预案并定期演练；

• 配合安全检查，完成安全问题整改；

• 公共数据交换的运维人员应签订数据安全保密承诺书。

物联感知信息 安全交换

（1）物联网安全总体主要原则

• 最小特权原则：各类主体包括人员、设备和应用在内，其拥有的特权应为满足其业务需求的最小特权；

• 分权制衡原则：敏感场景的最高权限角色、操作角色和审计角色应分别由不同主体担任；

• 主动防御原则：应构建主动安全感知和防御能力，积极发现安全风险，降低安全事件造成的影响。

（2）物联网安全架构参考模型

（点击图片可放大）

（3）网络安全要求

• 应能针对终端流量进行识别，判定终端类型以及流量异常等情况；

• 应能对恶意行为进行检测和隔离，快速检测终端异常行为快速检测和隔离；

• 应对不同场景分别增强管道安全能力，如防 DDoS 攻击、防信令风暴能力、协议抗攻击等；

• 应满足 GB/T 37024 中基本级安全技术要求，GB/T 22240—2020 中规定的三级和三级以上信息系统中的感知层网关应满足增强级安全技术要求；

• 应满足 GB/T 37093 中基本级要求，GB/T 22240—2020 中规定的三级和三级以上信息系统的感知接入网通信网应满足增强级要求；

• 应该满足 GB/T 37971 智慧城市安全体系对物联感知层相关要求。

（详情版获取，请文末评论留言）

• 公路工程试验检测感知信息

• 公共安全视频图像

• 物联感知信息

• 民航旅客行李全流程跟踪数据

• 高速公路数据

• 公务用车信息化平台数据

• 政府采购系统和公共资源数据

• 电子政务共享数据

• 全国一体化政务大数据

• 智慧城市基础设施:数据

• 智慧物业服务数据

• 高效办成一件事服务管理系统数据

• 政府信息公开电子监察数据

• 基础教育数据

• 政务区块链服务平台数据

• 政协信息数据

• 多村振兴大数据

• 电子政务网应用平台公文数据

• 综合交通运输政务信息

• 全国安全生产数据

• 政府网站数据

• 安全生产信息系统数据

• 民航政务数据

• 电子政务共享数据

• 12345 政务服务便民热线数据

（点击图片可放大）

参考资料：

《政务数据安全共享交换技术体系及管理体系研究》

《公共数据交换技术规范》（浙江省）

《物联感知信息交换与共享技术规范》（厦门市）

重庆信通设计院

首批上海数据交易所

数据安全服务商

首批商用密码检测机构

来源：重庆信通设计院天空实验室

7月25日，第三届“天网杯”网络安全大赛正式启动。本次大赛由天津市人民政府主办，国家计算机病毒应急处理中心及多家国家级科研机构和天津市相关委办局共同承办，360数字安全集团、先进计算与关键软件（信创）海河实验室、中汽智联技术有限公司、天津市网络与数据安全生态协会、大数据协同安全技术国家工程研究中心、ISC平台、南京赛宁信息技术有限公司等单位联合支持。

本届大赛以“筑牢数字安全屏障，护航国家发展大局”为核心目标，聚焦网络安全、数字安全和人工智能安全等前沿技术领域，设置关键产品漏洞挖掘挑战赛、人工智能安全挑战赛和智能网联汽车安全挑战赛三大赛道。通过举办大赛，推动数字浪潮下网络安全技术实现系统性突破。

作为网络安全领域的标杆赛事，大赛突破领域界限，向“政、产、学、研、用”各界开放报名通道。目前，大赛官网已经上线并发布赛事信息，同步开启线上报名，参赛选手可在大赛官网（https://twcup.cverc.org.cn）自行注册、报名、组队参赛，组委会将对报名战队进行参赛资格审核；8月初，组织取得参赛资格选手战队进行线上初赛；9月上旬，大赛组委会专家委员会将对初赛成果进行入围评审；9月下旬，将在天津举办线下决赛和颁奖仪式。

据了解，在成功举办前两届大赛的基础上，今年的大赛将致力于推动安全技术自主创新与产业协同发展，积极构建“以赛育才”产学研生态链，夯实国家网络安全战略人才基石，筑牢数字中国“技术底座”，进一步维护网络空间安全防线。

XCon2025安全焦点信息安全技术峰会

将于8月22日，在北京民航国际会议中心燃动启幕

当AI重构攻防战场，我们执技术之刃重划安全边界！

这一次，我们将再度集结全球网络安全技术大脑

重新定义AI时代下的安全范式

向你汇报这一年

优秀的安全技术人他们的思考、实践与创新

重新解构安全的定义，从容拥抱与AI共生的未来

大会完整日程正式解锁，邀你一同共赴盛宴！

五大主题专区·高频共振

【经典深度场】

10场纯享型技术演讲·400分钟全程干货在线

领略网安前沿技术应用实践，把握AI时代技术脉搏

从痛点直击到创新突破

邀你沉浸技术饕餮

【新锐无界场】

再次携手国内超活跃青年技术社区HackingGroup

感受网安新锐力量的活力与脑洞

轻松交流·无界分享

入圈与破圈·跨界与升维

【极客市集】

香港+吉隆坡Group惊喜亮相

漏洞研究+智能体实践+硬件互动破解

别怕不懂黑话，沉浸极客文化

【展商专区】

活力网安厂牌，拉新·互动·扩列·赢礼

极客文化与潮流聚集地

好友列表疯狂+1

品牌限定周边拿到手软

【来个Offer·招聘专区】

网安大厂+专精厂商，多个优岗急聘急招

投个简历·来个Offer

遇见更多机会·成就更好的自己

24年！首发「学生票」，宠粉极客青年

XCon品牌创立24年，首次开设「学生票」

旨在集结网络安全新生力量

激发中国网络安全创新活力

多类型票种同步启售·更多团享福利即刻下单

【体验票】¥0元，含：无界场+极客市集+展商专区+招聘专区

【学生票】¥398元，XCon2025全场通——含：深度场＋无界场+极客市集＋展商专区＋招聘专区 

*特别说明：购买学生票，现场验票时，须出示有效期内学生证。如无法提供有效证件，需按普通票补齐票价

【学生票】团购专项 2张享9折、5张享7折、10张享5折

【普通票】¥2790元，XCon2025全场通——含：深度场＋无界场+极客市集＋展商专区＋招聘专区

【普通票】团购专项 5张享7折、10张享5折

引言

随着网络攻击技术的不断演变，恶意代码加载器逐渐成为恶意代码执行的关键组成部分。此类加载器是一种用于将各种恶意代码加载到受感染的系统中的恶意工具，通常负责绕过系统安全防护，将恶意代码注入内存中并执行，为后续的特洛伊木马类型恶意代码的部署奠定基础。加载器的核心功能包括持久性机制、无文件内存执行以及多层次规避技术。

安天CERT将近几年历史跟踪储备的典型恶意加载器家族有关信息汇总成专题报告，并持续追踪新的流行加载器家族。本项目专题将聚焦加载器技术细节，深入挖掘其在攻击链中的核心功能，包括其混淆技术、加密机制以及注入策略等。此外，我们也会不断完善自身安全产品能力，采取有效技术方案进一步提升针对加载器的识别率和准确率，帮助用户组织提前发现并阻止潜在威胁。

1 概述

ArmouryLoader加载器最早于2024年被发现，曾被用于投递SmokeLoader和CoffeeLoader等恶意代码家族。该加载器通过劫持华硕Armoury Crate系统管理软件的导出函数进行加载，因此被命名为ArmouryLoader。ArmouryLoader加载器具备提权、持久化以及投递目标载荷的功能，并具有一定对抗EDR（端点检测和响应）能力，使后续投递的载荷更容易突破系统防线。

ArmouryLoader在加载阶段会调用OpenCL解密载荷，需要运行环境具有GPU或32位CPU才能正常运行，能够起到规避沙箱和虚拟机环境的作用。ArmouryLoader在投递目标载荷时，还会利用系统中合法DLL的代码段来读取敏感内存、调用系统函数，并在此基础上伪造调用栈，隐藏系统调用的发起者，以此来规避EDR检测。通过以上手段，ArmouryLoader具有较强的隐蔽性，使其在沙箱和终端环境均难以被检测，提高了目标载荷投递的成功率，对用户的系统安全构成威胁。

该加载器详细信息参见安天病毒百科。

图 1‑1长按识别二维码查看HijackLoader加载器详细信息

2 ArmouryLoader加载器生存技术举例分析

2.1 混淆技术分析

ArmouryLoader具有三种混淆代码的方式，分别为增加无用指令、代码自解密和使用OpenCL解密。

其中ArmouryLoader在第一阶段和第三阶段拥有无用指令填充的混淆代码。

图 2‑1ArmouryLoader添加的无用指令

在第二、四和六阶段均有自解密代码以干扰分析。

图 2‑2Armoury自解密代码

此外ArmouryLoader在第三阶段还会用OpenCL解密代码，增加分析难度并增加了对运行环境设备的要求。

图 2‑3ArmouryLoader使用OpenCL解密代码

2.2 提权技术分析

ArmouryLoader在第五阶段会尝试使用CMSTPLUA COM组件进行提权，在提权时ArmouryLoader会将自身伪装成explorer.exe，随后调用提权函数获取Administrator权限。

图 2‑4ArmouryLoader使用COM组件进行提权

2.3 持久化技术分析

ArmouryLoader会通过计划任务实现持久化。根据版本不同，ArmouryLoader会使用系统工具schtasks或计划任务COM组件实现持久化。

无论持久化的方式如何，当具有管理员权限时，ArmouryLoader会选择通过用户登录触发并获取最高权限，否则ArmouryLoader将会以普通权限每隔30分钟执行一次。

图 2‑5以最高权限运行的计划任务

此外ArmouryLoader还会对持久化的文件加以系统、隐藏和只读属性，并修改ACL拒绝用户修改和删除文件。

图 2‑6ArmouryLoader设置文件属性

2.4 对抗技术分析

ArmouryLoader会通过合法DLL中的特殊gadget读取敏感位置内存。

图 2‑7ArmouryLoader通过gadget读取敏感内存数据

ArmouryLoader在第三阶段和第八阶段调用敏感函数时还会通过伪造调用栈避免检测。

图 2‑8ArmouryLoader伪造函数调用栈

ArmouryLoader还会通过Halo's Gate获取系统函数调用号，具有一定的反syscall hook能力，能够直接进行系统调用。

图 2‑9ArmouryLoader使用Halo's Gate技术搜索系统调用号

3 攻击流程

ArmouryLoader共具有八个阶段，每个阶段相对独立，分步完成最终载荷的投递工作。ArmouryLoader的一、三、五、七阶段负责完成特定的恶意行为，而二、四、六、八阶段负责加载下一阶段的PE载荷。

表 3‑1ArmouryLoader不同阶段恶意行为

加载阶段

恶意行为

第一阶段

劫持Armoury   Crate导出函数，运行第二阶段shellcode

第二阶段

解密并运行第三阶段PE文件

第三阶段

通过OpenCL解密并运行第四阶段shellcode

第四阶段

解密并运行第五阶段PE文件

第五阶段

进行提权及持久化，并运行第六阶段shellcode

第六阶段

解密并运行第七阶段PE文件

第七阶段

将第八阶段的shellcode注入到64位dllhost.exe

第八阶段

加载并运行目标载荷

4 样本分析

4.1 样本标签

表 4‑1ArmouryLoader样本标签

病毒名称

Trojan/Win32.ArmouryLoader

原始文件名

ArmouryA.dll

MD5

5A31B05D53C39D4A19C4B2B66139972F

处理器架构

x86

文件大小

1.41 MB (1,480,552 字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2023-12-13 15:31:16

数字签名

ASUSTeK COMPUTER INC.（数字签名无效）

加壳类型

无

编译语言

Microsoft Visual   C/C++(19.16.27049)

VT首次上传时间

2024-09-12 18:34:23

VT检测结果

33/72

4.2 ArmouryLoader加载器第一阶段

ArmouryA.dll是华硕Armoury Crate程序的一部分，ArmouryLoader加载器通过劫持ArmouryA.dll导出函数freeBuffer实现运行。

该函数中包含有大量无用代码以干扰安全人员对其分析，并最终会解密并执行第二阶段载荷。

图 4‑1ArmouryLoader解密并执行第二阶段代码

4.3 ArmouryLoader加载器第二阶段

在ArmouryLoader第二阶段，拥有大量自解密代码以阻碍静态分析。

图 4‑2ArmouryLoader自解密代码

在第二阶段，ArmouryLoader会通过PEB加载CreateThread函数，并创建一个新线程执行后续逻辑。

图 4‑3ArmouryLoader创建新线程执行后续逻辑

在新线程中，ArmouryLoader会从二阶段载荷中读取第三阶段的PE文件，并加载到内存中执行。

图 4‑4ArmouryLoader加载第三阶段PE文件

4.4 ArmouryLoader加载器第三阶段

在第三阶段，ArmouryLoader会加载OpenCL库，并通过OpenCL解密第四阶段载荷。该阶段会通过OpenCL库调用Nvidia、AMD或Intel设备进行shellcode解密。

图 4‑5ArmouryLoader寻找OpenCL可用设备

随后ArmouryLoader会将两个字符串异或生成解密密钥，再将密钥与密文传入OpenCL设备中进行异或解密，得到下一阶段的shellcode进而执行。

图 4‑6ArmouryLoader使用OpenCL设备解密shellcode

在后续的版本中，该阶段载荷增加了大量混淆，使其难以分析。

图 4‑7ArmouryLoader第三阶段混淆

在后续版本中，还对通过构造ROP链的方式对函数的帧栈进行伪造以对抗栈回溯。以程序调用GetModuleHandleW为例，该图中函数将会通过ret 4指令将EIP设置为GetModuleHandleW函数地址，随后再出栈四个字节。此时栈顶将留下GetModuleHandleW函数的返回地址RtlCreateMemoryBlockLookaside+88，以及函数的参数OpenCL.dll的字符串指针。其中RtlCreateMemoryBlockLookaside+88实际上为jmp [EBX]的汇编指令，当GetModuleHandleW函数返回时，将会从EBX地址中读取函数真正的返回值，并设置到EIP上，以归还程序的控制流。

图 4‑8ArmouryLoader构造ROP链对抗栈回溯

4.5 ArmouryLoader加载器第四阶段

在第四阶段，ArmouryLoader将解密并加载第五阶段PE文件并在内存中执行。

该阶段同样拥有自解密逻辑，但加密的层数较少，并使用loop指令控制循环而非第二阶段的jnz。

图 4‑9ArmouryLoader执行自解密逻辑

在完成解密后ArmouryLoader将会在内存中加载PE文件并执行。

图 4‑10ArmouryLoader加载PE文件到内存

4.6 ArmouryLoader加载器第五阶段

在第五阶段，ArmouryLoader会先检测程序是否具有提升权限或属于System用户组，并根据权限的不同选择不同的持久化位置。

图 4‑11ArmouryLoader检测进程权限

随后ArmouryLoader会复制自身到%PROGRAMDATA%或%LOCALAPPDATA%下，并设置文件系统、隐藏和只读属性。

图 4‑12ArmouryLoader移动自身到特定目录

之后ArmouryLoader还会添加文件的ACL列表来禁止用户删除或修改自身程序。

图 4‑13ArmouryLoader修改文件ACL列表

之后ArmouryLoader会通过schtasks创建一个名为AsusUpdateServiceUA每隔30分钟运行一次的计划任务来实现持久化。

图 4‑14ArmouryLoader通过schtasks创建计划任务实现持久化

如果具有管理员权限，ArmouryLoader则会在用户登录时以最高权限执行。

图 4‑15ArmouryLoader以最高权限运行计划任务

在较新的版本中，ArmouryLoader会尝试利用COM组件进行提权，此时ArmouryLoader会先修改PEB和LDR_DATA_TABLE_ENTRY中的进程信息。

图 4‑16ArmouryLoader修改进程信息

随后通过COM组件CMLuaUtil进行提权。

图 4‑17ArmouryLoader使用COM组件进行提权

在后续更新中，ArmouryLoader使用COM组件替代schtasks程序来创建计划任务。

图 4‑18ArmouryLoader使用COM组件创建计划任务

当不具有System权限时，计划任务将每10分钟触发一次。

图 4‑19ArmouryLoader设定每10分钟触发一次的计划任务

当具有System权限时，ArmouryLoader将设置以最高权限运行程序。

图 4‑20ArmouryLoader设置计划任务运行权限

此时ArmouryLoader计划任务将登录触发。

图 4‑21ArmouryLoader设置计划任务登录触发

随后运行shellcode执行下一阶段。

图 4‑22ArmouryLoader执行第六阶段载荷

4.7 ArmouryLoader加载器第六阶段

第六阶段与第四阶段样本功能相同，负责解密和加载下一阶段PE文件。

图 4‑23ArmouryLoader完成重定向工作并调用下一阶段PE文件入口点

4.8 ArmouryLoader加载器第七阶段

在第七阶段，ArmouryLoader将创建64位的dllhost.exe进程，并将shellcode注入其中，以将运行环境从32位更改为64位。

ArmouryLoader首先关闭文件重定向，并创建一个64位的dllhost.exe进程。

图 4‑24ArmouryLoader关闭文件重定向

随后ArmouryLoader会搜索一些64位的DLL以便劫持主进程，在该过程中ArmouryLoader将频繁使用天堂之门技术执行64位代码。

图 4‑25ArmouryLoader通过天堂之门执行64位代码

通过天堂之门，ArmouryLoader可以调用64位DLL中的函数。如图所示，ArmouryLoader通过get_dll64、get_func64和call_func64可以实现64位函数的搜索和调用。再对特定的函数进行封装以实现像调用普通函数一样调用64位函数。

图 4‑26ArmouryLoader对64位的NtGetContextThread进行封装

最后通过劫持主进程的方式在dllhost.exe中执行64位shellcode。

图 4‑27ArmouryLoader劫持64位dllhost.exe主进程

4.9 ArmouryLoader加载器第八阶段

在第八阶段，ArmouryLoader首先会获取ZwAddBootEntry、NtAllocateVirtualMemory和NtProtectVirtualMemory函数地址，并搜索对应的系统调用号。

图 4‑28Armoury搜索函数及系统调用号

在新版ArmouryLoader中，ArmouryLoader会在ntdll中搜索mov rax,[rax];ret;的gadget，并通过该gadget读取敏感内存区域，以欺骗EDR读取行为是由ntdll发出的。

图 4‑29ArmouryLoader通过gadget间接读取数据

ArmouryLoader会尝试在函数中搜索特定字节序列来获取调用号。

图 4‑30ArmouryLoader搜索系统调用号

如果目标函数被hook，则会导致ArmouryLoader搜索字节序列失败，进而导致无法获取系统调用号。此时ArmouryLoader会使用Halo's Gate技术进一步搜索系统调用号。该技术将搜索邻近的Zw函数，从中获取系统调用号。并根据搜索到的临近函数与目标函数之间的距离推算出目标函数的系统调用号。

图 4‑31ArmouryLoader使用Halo's Gate技术搜索系统调用号

在新版ArmouryLoader中，该算法进一步完善。ArmouryLoader不再假定Zw函数大小为32字节，而通过遍历函数导出表计算出最小的Zw函数间距，从而获取Zw函数大小。

图 4‑32ArmouryLoader计算Zw函数最小间距

在搜索完系统调用号后，ArmouryLoader会使用NtAllocateVirtualMemory和NtProtectVirtualMemory为最终的目标载荷申请内存空间。该过程中ArmouryLoader会先计算将会使用ZwAddBootEntry函数中的syscall配合系统调用号调用系统函数。并在这基础上伪造调用栈。

该过程将在kernel32.dll中搜索jmp [rbx]的gadget，用于在函数调用结束后返还控制流。

图 4‑33Armoury搜索jmp [rbx] gadget

随后ArmouryLoader通过.pdata节中的ExceptionDir获取函数对应的RUNTIME_FUNCTION信息，从而寻找函数的UnwindInfo，其中UnwindInfo包含了函数的帧栈大小信息。

图 4‑34ArmouryLoader搜索函数的RUNTIME_FUNCTION信息

之后ArmouryLoader通过UnwindInfo计算jmp [rbx] gadget所在函数以及BaseThreadInitThunk和RtlUserThreadStart的帧栈大小，用于后续的伪造。

图 4‑35ArmouryLoader计算函数栈大小

随后ArmouryLoader将jmp [rbx] gadget置于syscall的返回地址，而函数真正的返回地址的指针置于rbx寄存器中以实现返还控制流。并在后续的调用栈上将部署BaseThreadInitThunk和RtlUserThreadStart函数的帧栈，以欺骗EDR让其误以为syscall是从RtlUserThreadStart到BaseThreadInitThunk再经由kernel32中某个函数发出的。

图 4‑36ArmouryLoader伪造调用栈

在分配完内存空间后，ArmouryLoader将最终的目标载荷复制到指定内存区域，并完成重定向工作，调用程序入口点完成投递。根据最终的C2域名可知，ArmouryLoader投递的目标载荷为CoffeeLoader。

图 4‑37CoffeeLoader C2地址

5 IoCs

IoCs

5A31B05D53C39D4A19C4B2B66139972F

90065F3DE8466055B59F5356789001BA

6 样本对应的ATT&CK映射图谱

图 6‑1技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表：

表 6‑1ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

持久化

利用计划任务/工作

ArmouryLoader通过计划任务实现持久化

滥用提升控制权限机制

滥用提升控制权限机制

ArmouryLoader通过COM组件进行提权

防御规避

反混淆/解码文件或信息

ArmouryLoader拥有大量异或加密的代码段

ArmouryLoader通过OpenCL解密代码

ArmouryLoader通过天堂之门执行64位代码

修改文件和目录权限

ArmouryLoader通过添加ACL记录禁止用户更改和删除

隐藏行为

ArmouryLoader为持久化的文件添加隐藏、系统和只读属性

间接执行命令

ArmouryLoader通过系统DLL gadget读取目标内存

ArmouryLoader通过syscall直接调用系统函数

ArmouryLoader伪造调用函数调用栈

仿冒

ArmouryLoader伪装华硕系统管理软件，具有无效的数字签名

混淆文件或信息

ArmouryLoader代码具有混淆

ArmouryLoader通过哈希检索API

7 安天智甲助力用户防御加载器威胁

经过测试，安天智甲终端安全系列产品（以下简称“智甲”）依托安天自研威胁检测引擎和内核级主动防御能力，可以有效查杀和防御本次发现病毒样本。

智甲可对本地磁盘进行实时监测，对新增文件自动化进行病毒检测。针对此次威胁，当用户通过接收邮件附件、微信传输、网络下载等方式将ArmouryLoader加载器存储至本地时，智甲会立即对该病毒进行告警并清除恶意文件，防止用户启动文件导致终端遭受攻击。

图 7‑1发现病毒时，智甲第一时间捕获并发送告警

智甲还为用户提供统一管理平台，管理员可通过平台集中查看网内威胁事件详情，并批量进行处置，提高终端安全运维效率。

图 7‑2智甲管理中心助力管理员实现高效的终端安全管理

附录：安天澜砥威胁检测分析垂直大模型自动化分析结

安天澜砥威胁检测分析垂直大模型能对样本进行自动化分析，部分解析内容如下：

根据提供的日志和分析结果，以下是详细的判定结论和解释：

1.判定结论

评估结果：可疑（准确度：约95%）

1.详细解释

2.特征匹配与判定依据：

恶意API调用：日志中多次出现与证书相关API的调用，如GetDeviceIndex、FreeEnvironmentStrings、CertGen等。这些API通常用于处理证书和安全相关的任务，恶意软件常利用这些API进行恶意操作，如绕过证书验证、获取私钥等。

字符串分析：日志中包含大量与证书相关的URL和字符串，例如crl3.digicert.com、ocsp.digicert、cacerts.digicert.com等。这些域名通常与数字证书相关的CA机构相关。

混淆与编码：日志中出现的混淆代码片段（如??表示未被选中作为特征使用）可能用于隐藏恶意行为，增加了检测的难度。

异常行为模式：日志中多处出现重复的字节模式（如04 81 AD 30 81 AA 30 53 A0 51 A0 4F 86 4D 68 74 74 70 3A 2F 2F       63 72 6C 33 2E 64 69 67 69 63 65 72 74 2E 63 6F 6D），可能用于数据填充或隐藏恶意代码。

·恶意代码特征：

证书相关操作：存在与证书相关的API调用，可能用于获取、验证或使用证书进行恶意通信。

混淆与加密：日志中包含大量混淆代码，增加了检测的复杂性，可能用于隐藏恶意行为。

异常字符串：出现多个与数字证书相关的域名和路径，可能用于绕过安全检测或进行恶意通信。

·评估准确度：

高可信度特征：日志中存在多个与恶意代码特征匹配的特征，增加了检测的准确性。

潜在的模糊性：部分特征（如??表示未被选中作为特征使用）可能隐藏了恶意行为，但整体特征仍显示出较高的可疑性。

·结论

根据上述分析，日志中包含多个与证书相关且可疑的API调用和字符串，这些特征符合恶意软件的典型行为模式。因此，分析工具判定该文件为Trojan.Win32.ShipCome（或类似的恶意软件家族）是合理的。

准确度评估：约95%

按照国标草案给出威胁分类为Trojan.Win32.SpyBind，自动提取特征生成的YARA规则如下：

rule Trojan.Win32.ShipCome:Trojan {    meta:       description = "这是一段由 VILLM V2 模型生成的 YARA 规则。用于检测Trojan.Win32.ShipCome"    strings:     $a = {f7 d3 4f 33 f8 c1 c6 17}     $b = {c1 ce 17 33 f8 47 f7 d3}     $c = {4e 33 c3 33 cf f7 d0 33 c5 c1 cf 17 4e 4b}     $d = {f7 d0 f7 d0 87 c7 f7 d2}     $e = {4b 33 cd 87 c1 ff e0}    condition:       all of them }

安天澜砥威胁检测分析垂直大模型是国内首个通过国家网信办备案的威胁检测生成式算法。模型基于安天赛博超脑20余年积累的海量样本特征工程数据训练而成，训练数据包括文件识别信息、判定信息、属性信息、结构信息、行为信息、主机环境信息、数据信息等，支持对不同场景下向量特征进行威胁判定和输出详实的知识理解，形成应用不同需求和场景的多形态的检测方式，提升后台隐蔽威胁判定能力，进一步为安全运营赋能。

图 8‑1安天澜砥威胁检测分析垂直大模型样本分析结果

参考资料

[1]. 安天.Trojan/Win32.ArmouryLoader病毒详解与防护-计算机病毒百科[R/OL].(2025-07-07)
https://www.virusview.net/malware/Trojan/Win32/ArmouryLoader

依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经公安部计算机信息系统安全产品质量监督检验中心检测，33款移动应用存在违法违规收集使用个人信息情况，现通报如下：

1、未公开收集使用规则。涉及1款移动应用如下：

《比陌》（1.1.2，百度手机助手）。

2、未逐一列出收集、使用个人信息的目的、方式、范围。涉及14款移动应用如下：

《映客直播》（9.7.25，华为应用市场）、《悦享家生活》（9.7.1，华为应用市场）、《小盒学习》（5.2.04，华为应用市场）、《宝宝树孕育》（9.91.2，华为应用市场）、《花生日记》（6.3.0，小米应用商店）、《Nico》（8.32.2，VIVO应用商店）、《零售云》（8.32.0，VIVO应用商店）、《己陌》（1.8.88，应用宝）、《本地陌聊》（5.3.2，VIVO应用商店）、《爱文漂流瓶》（2.0.3，VIVO应用商店）、《一起作业》（3.8.24.10009，VIVO应用商店）、《萤石云视频》（7.2.19.250609，豌豆荚）、《即陌》（1.0.12.2，豌豆荚）、《连信》（6.4.6，豌豆荚）。

3、在申请打开可收集个人信息的权限时，未同步告知用户其目的。涉及1款移动应用如下：

《即陌》（1.0.12.2，豌豆荚）。

4、在申请收集用户等个人敏感信息时，未同步告知用户其目的。涉及1款移动应用如下：

《Nico》（8.32.2，VIVO应用商店）。

5、征得用户同意前就开始收集个人信息。涉及3款移动应用如下：

《零售云》（8.32.0，VIVO应用商店）、《一起作业》（3.8.24.10009，VIVO应用商店）、《即陌》（1.0.12.2，豌豆荚）。

6、实际收集的个人信息超出用户授权范围。涉及14款移动应用如下：

《宝宝树孕育》（9.91.2，华为应用市场）、《花生日记》（6.3.0，小米应用商店）、《情多多》（9.6.8，应用宝）、《Nico》（8.32.2，VIVO应用商店）、《零售云》（8.32.0，VIVO应用商店）、《己陌》（1.8.88，应用宝）、《爱文漂流瓶》（2.0.3，VIVO应用商店）、《返利》（9.61.0，百度手机助手）、《约桃》（2.0.6，应用宝）、《相机360》（9.9.48，百度手机助手）、《萤石云视频》（7.2.19.250609，豌豆荚）、《即陌》（1.0.12.2，豌豆荚）、《连信》（6.4.6，豌豆荚）、《心遇》（2.6.0，豌豆荚）。

7、配置文件中声明的可收集个人信息的权限超出相关功能的必要范围。涉及3款移动应用如下：

《宝宝树孕育》（9.91.2，华为应用市场）、《陌生》（1.1.0，华为应用市场）、《万能遥控》（7.1.5，应用宝）。

8、实际收集的个人信息超出相关功能的必要范围。涉及3款移动应用如下：

《花生日记》（6.3.0，小米应用商店）、《附近陌生人欢聊》（3.0.2，OPPO软件商店）、《萤石云视频》（7.2.19.250609，豌豆荚）。

9、实际收集个人信息的频率超出相关功能的必要范围。涉及14款移动应用如下：

《得间免费小说》（5.4.2.1，华为应用市场）、《糖豆》（8.5.3，华为应用市场）、《映客直播》（9.7.25，华为应用市场）、《小盒学习》（5.2.04，华为应用市场）、《宝宝树孕育》（9.91.2，华为应用市场）、《花生日记》（6.3.0，小米应用商店）、《ZAKER》（9.1.4，OPPO软件商店）、《爱聊》（6.0.6，OPPO软件商店）、《附近陌生人欢聊》（3.0.2，OPPO软件商店）、《驾校宝典》（1.12.18，应用宝）、《车来了》（4.67.0，OPPO软件商店）、《爱文漂流瓶》（2.0.3，VIVO应用商店）、《一起作业》（3.8.24.10009，VIVO应用商店）、《扫描全能王》（6.91.0.2507020000，VIVO应用商店）。

10、提前要求用户打开非当前功能所需的可收集个人信息权限。涉及5款移动应用如下：

《万能遥控》（7.1.5，应用宝）、《Nico》（8.32.2，VIVO应用商店）、《陌趣》（1.0.0，应用宝）、《扫描全能王》（6.91.0.2507020000，VIVO应用商店）、《即陌》（1.0.12.2，豌豆荚）。

11、强制要求用户打开非必要的可收集个人信息权限。涉及2款移动应用如下：

《爱文漂流瓶》（2.0.3，VIVO应用商店）、《扫描全能王》（6.91.0.2507020000，VIVO应用商店）。

12、强制要求用户提供非必要的个人信息。涉及2款移动应用如下：

《Nico》（8.32.2，VIVO应用商店）、《爱文漂流瓶》（2.0.3，VIVO应用商店）。

13、广告存在误导、欺骗用户行为。涉及3款移动应用如下：

《随手电筒》（7.0.3，应用宝）、《小伴龙》（10.3.6，小米应用商店）、《Nico》（8.32.2，VIVO应用商店）。

上期通报的公安部计算机信息系统安全产品质量监督检验中心检测发现的45款违法违规移动应用，经复测仍有8款存在问题，相关移动应用分发平台已予以下架。

（注：以上所列移动应用检测时间为2025年6月23日至2025年7月9日）

来源：国家网络安全通报中心

国家网络安全通报中心近期通报33款移动应用因违法违规收集使用个人信息被点名，问题涉及规则不透明、超范围获取敏感数据、强制索取权限及误导性广告等，严重侵害用户隐私。梆梆安全作为网络安全践行者深耕个人信息保护领域多年，深知合规是生命线。

我们建议用户： 优先选择正规应用商店下载，安装前务必细读隐私条款，谨慎授予位置、通讯录等非必要权限。同时呼吁开发者： 严格遵守《网络安全法》《个人信息保护法》，坚守法律红线，做到个人信息收集使用的透明化与最小化。携手共同筑牢个人信息安全屏障！

数字经济的浪潮席卷全球，金融服务触手可及。然而，便捷高效的移动应用在重塑银行业态的同时，也成为了不法分子觊觎的“新战场”。电信网络诈骗，这一金融安全的“顽疾”，在2025年呈现出技术更迭加速、手段更加隐蔽、危害持续扩大的严峻态势，对银行业信息安全构成前所未有的系统性挑战。

作为深耕金融行业移动安全领域的头部厂商，梆梆安全始终站在守护金融安全的最前沿，凭借对行业脉搏的精准把握和对海量安全态势的深度洞察，深度分析反电信诈骗相关政策法规要求，结合多年服务头部金融机构的反电诈安全建设最佳实践，将沉淀的经验与创新的技术方案，转化为可落地的对策与建议，重磅发布《2025年银行业信息安全分析报告（电诈专刊）》，赋能银行业安全新动能。

一.2025年银行业移动应用运营情况分析

1.银行业移动应用应用市场上线运营数量

根据梆梆安全移动应用监管平台对国内外1000+活跃应用市场实时监测的数据显示，2024-09-01至2025-05-31发布的应用中，共发现归属于银行业相关客户运营的APP共3126款，其中手机银行应用数量为2090款，占比为66.86%。

2. 银行业移动应用基础安全基本情况

通过对发现的银行业的3126款移动应用进行安全分析，发现其中198款应用存在一个或以上高危漏洞，其中854款应用存在一个或以上中高危漏洞，包含中高危漏洞整体占比为27.32%。其中经过安全检测的2090款手机银行应用中，有138款应用存在一个或以上高危漏洞，有556款应用存在一个或以上中高危漏洞，包含中高危漏洞应用占比为26.60%。

高危漏洞情况分析

中高危漏洞情况分析

高危漏洞（TOP5）

中危漏洞（TOP10）

3. 银行业移动应用个人信息保护合规基本情况

通过对发现的银行业的3126款移动应用进行个人信息保护基础合规分析，选取了问题最多，也最基础的六个检测项（分别为：违规收集个人信息、超范围收集个人信息、违规使用个人信息、强制用户使用定向推送功能、APP强制、频繁、过度索取权限和APP频繁自启动和关联启动），发现其中456款应用存在一个或以上个人信息保护问题，占比为14.59%。其中经过个人信息保护合规分析的2090款手机银行应用中，有316款应用存在一个或以上个人信息保护问题，占比为15.12%。

4. 银行业移动应用安全加固情况

通过对发现的银行业的移动应用进行加固情况分析，发现其中2874款应用使用了安全加固产品，占比为91.94%。其中1937款手机银行应用采用了加固手段进行代码保护，占比为92.68%。

5. 银行业移动应用安全运营情况总结

基础安全加固稳步提升但存隐忧： 移动应用基础安全加固覆盖率较2024年提升0.5%-1.0%，然而仍有10%的应用依赖免费加固方案，其防护效果难以满足基础安全需求。建议相关银行升级至付费加固方案，以完善核心代码保护能力。

中高危漏洞治理成效显著： 与去年相比，手机银行及其他银行应用中高危漏洞比例大幅下降（从近40%降至约27%），表明应用上线前的安全管控能力得到实质性提升。

个人信息保护合规持续承压： 尽管基于基础检测项的移动应用个人信息保护问题率接近15%有所下降，但需高度警惕（此次检测未涵盖191号文、164号文、26号文等多项关键要求）。梆梆安全密切追踪监管态势发现：工信部及各地通管局对此保持高频检查，公安、网信部门亦协同发力。银行机构务必保持高度警惕，持续加强该领域的投入与合规建设。

二.2025年银行业移动应用电诈情况分析

1.银行业电诈技术趋势分析

根据梆梆安全电信诈骗研究组的研究发现，自2023年以来电信诈骗从传统的话术诈骗已经逐步升级为以话术诈骗为基础骗取信任，再通过各类技术的应用协助诈骗分子进行诈骗的综合诈骗工程。

今年以来，信息窃取呈现主动化趋势：多起案例显示，木马病毒通过仿冒热门应用，在后台窃取用户屏幕内容、输入信息、人脸信息等敏感数据，并直接倒卖至电诈下游，完成了从购买信息到主动窃取的转变。

同时，随着电诈事件上升，监测对抗面临常态化挑战：新型屏幕共享/远程工具（如银联会议、抖音会议）采用独特共享机制和随机包名，导致银行现有监测工具的发现率下降。银行业需持续更新监测产品，以应对此类工具的快速迭代。

此外，跨境资金转移实现产业化升级：利用NFC隔空读卡等技术，诈骗分子可在境内操控银行卡于境外实时大额消费，极大便利了非法资金跨境转移。

综上所述，当前电诈技术三大核心趋势为：信息窃取主动化、工具更新常态化、跨境协作产业化。 银行业需：

·掌握应用运行态势；

·联动移动应用监测系统与业务系统，及时发现电诈事件；

·通过业务阻断、人工外呼等手段，减少客户损失，强化资金防护。

2. 银行业移动应用电诈影响数量分析

2025年上半年，梆梆安全电信诈骗研究组对使用梆梆安全监测系统的银行客户进行数据巡检工作，聚焦电信诈骗相关的屏幕共享、类银联会议风险应用、仿冒应用病毒木马三类威胁。根据巡检数据分析发现：

所有受检银行的涉诈设备占活跃设备比例均在0.03%以上（即每万台活跃设备中有3台设备可能存在电诈风险），其中大行活跃设备基数巨大（亿级），电诈影响设备数均在5万以上，部分银行甚至在10万以上，范围可观。屏幕共享类风险占比最高，达约85%。类银联会议风险应用根据巡检时间不同，呈明显的上升趋势，仿冒应用病毒木马因为同样随着时间的推移，呈现一定下降的趋势，经过梆梆安全电信诈骗研究组分析，这并不代表此类风险在降低，而只是因为随着时间的推移，目前已知恶意样本的存活率降低造成的，该类风险仍然持续存在，并且从反诈中心近期发布的样本数量可以看出，此类木马的新样本层出不穷，仍然需要高度重视。

部分银行电诈影响巡检数据汇总

三.银行业重点安全风险分析

1.类“XX金融”木马电信诈骗风险

2024年年底，有电诈人员通过线下推广等方式诱导民众安装伪装成“XX金融”的木马APP，在成功控制受害者的手机后，结合其他手段对受害者实施诈骗，造成受害者资金损失，影响面较大。

木马安装过程说明

该木马是一个完成度极高、功能复杂的攻击程序，攻击者可通过该木马盗取的数据进行“踩点”，利用盗取的数据直接窃取用户资金，或配合电诈犯罪分子实施更复杂的诈骗。

该类木马通过申请无障碍权限，驻留后台运行，且通过截屏的方式获取用户展示的敏感信息；通过监听键盘输入的方式获取用户的输入信息；通过前置摄像头获取用户的人脸信息等个人敏感信息，并通过搭建的RTC聊天室收集各个终端上送的信息。

同时采用了多种手段对抗安全检测，如：其采用了安全加固对于其代码进行了保护，防止代码反编译了解其运行机制；通过删除图标的方式隐藏自身，并后台运行；并通过对于“设置-应用-该应用主页面”崩溃的方式防卸载等。

目前，梆梆安全积极与监管机构进行合作，已拿到多批监管机构掌握的电诈应用样本，正在进行相应分析工作。

2. Rustdesk衍生“XX会议”应用远程控制电诈风险

根据梆梆安全移动应用安全监测平台数据及其他渠道获取的情报，当前存在多个基于Android系统的“银联会议”、“银监会议”及其马甲包。如下图所示，电信诈骗者诱骗手机用户安装“银联会议”后，诱导用户打开屏幕共享及无障碍服务。屏幕共享用以获取手机显示信息；无障碍服务用以远程操控手机。

此类软件基于开源的屏幕共享/远程操控框架RustDesk进行二次开发：诈骗人员搭建RustDesk服务端并在客户端中以“银联”、“银监”等字样隐藏RustDesk特征，该类型黑产软件通过架设RustDesk的自托管（hbbs/hbbr）服务，实现对手机远程操控，并且其创建的用以屏幕共享的虚拟屏幕被设置为私有屏幕，导致其他软件难以用通用方法进行监测。

3. NFC远程刷卡电诈及洗钱安全风险

梆梆安全电信诈骗研究组发现一类新型的涉诈攻击，被广泛应用于电诈过程中的资金窃取。诈骗分子通过在受害者的手机中安装定制化NFC读卡软件（如“NFO-X”“Uni-pay”），并欺骗受害者利用手机NFC模块读取银行卡信息，并借助远程服务器将数据同步至诈骗分子控制的刷卡端设备，从而通过POS机完成交易的方式获取受害者的资金。此技术突破传统物理接触限制，实现“隔空盗刷”，受害者仅需触碰银行卡即完成了交易，造成了经济损失。

与传统转账诈骗不同，该手法无需受害者主动操作转账或扫码，资金通过POS机直接划扣。部分案例中，诈骗分子诱导受害者绑定数字钱包，利用NFC功能模拟实体卡交易，并通过虚拟货币洗钱通道转移赃款。

四.银行业新型电信诈骗解决方案

通过事前防御、事中监测、事后回溯三重防护体系，协助银行业客户解决涉及到手机银行及相关应用的电信诈骗问题，防止侵害事件的发生，保护客户的资金安全。

·事前防御体系：风险前置

建议针对现有的行内应用，通过针对性的风险评估进行验证，验证应用本身是否对主流的电信诈骗应用具备监测处置能力，如对屏幕共享、“银联会议”及其变种软件、无障碍服务等是否有相应的检测能力，并且是否通过弹窗或者退出等手段进行处置。

·事中监测体系：精准阻断

通过具备字符乱序和内存逐字符加密的安全键盘对于应用进行基础防御，防止输入信息被窃取。以安全加固和安全监测构筑的多层次多维度的监测体系，对于电信诈骗攻击中常见的截屏录屏、屏幕共享、远程控制、无障碍模式、风险应用等攻击特征进行监测，实时发现并阻断相应攻击，或与行内风控系统进行联动，处置相应风险，保护客户资金安全。

·事后追溯体系：能力进化

通过针对已知电信诈骗事件的风险溯源、攻击分析等反哺事中监测体系的监测能力，对于新获取的攻击样本、攻击手段进行技术分析，找出其中可能存在的关键特征，并通过推送或离线升级的方式实现监测平台的功能升级，发现更多的潜在电信诈骗事件，提升行内对于电信诈骗事件的监测能力。

未雨绸缪，方能行稳致远。在金融科技迅猛发展的今天，安全不再是成本，而是核心竞争力与增长动能。梆梆安全始终肩负使命，携手客户共同夯实安全基石，抵御电诈风险，构建更安全、更可信的数字金融未来。

扫码下载

扫描下方二维码即可下载《2025年银行业信息安全分析报告（电诈专刊）》完整版

在网上暴露的超过1000个CrushFTP实例易受劫持攻击的威胁，这些攻击利用了一个严重的安全漏洞，提供对网页界面的管理员访问权限。

该安全漏洞（CVE-2025-54309）是由于错误处理AS2验证，并影响10.8.5和11.3.4_23以下的所有CrushFTP版本。该供应商在7月19日将该漏洞标记为在野外被积极利用，并指出攻击可能更早开始，尽管它尚未找到证据来证实这一点。

7月18日上午9点，CrushFTP在野外发现了一个0day漏洞。它可能持续了更长的时间。黑客显然对其代码进行了逆向工程，发现了一些CrushFTP已经修复的bug。

但CrushFTP最近表示，保持最新状态的服务器不容易受到攻击，并指出使用非军事区（DMZ）实例隔离其主服务器的客户不会受到此漏洞的影响。

该公司还建议审查上传和下载日志中的异常活动，以及启用自动更新和服务器和管理访问的白名单ip，以进一步减少利用企图。

根据安全威胁监控平台Shadowserver的扫描，大约有1040个CrushFTP实例仍然没有针对CVE-2025-54309打补丁，很容易受到攻击。

ShadowServer通知CrushFTP客户，他们的服务器不受正在进行的CVE-2025-54309攻击的保护，将其内容暴露给数据盗窃企图。

虽然目前还不清楚这些正在进行的攻击是部署恶意软件还是用于窃取数据，但近年来，像CrushFTP这样的托管文件传输解决方案一直是勒索软件团伙的高价值目标。仅Clop网络犯罪团伙就与针对Accelion FTA、GoAnywhere MFT、MOVEit Transfer以及最近的Cleo软件的零日漏洞的多次数据盗窃活动有关。

据悉，2024年4月，CrushFTP还修补了一个被积极利用的零日漏洞（追踪为CVE-2024-4040），该漏洞允许未经身份验证的攻击者逃离用户的虚拟文件系统（VFS）并下载系统文件。

当时，网络安全公司CrowdStrike发现有证据表明，针对多个美国组织的CrushFTP实例的攻击可能出于政治动机，主要目的是收集情报。

近期，广州大学、国家工业信息安全发展研究中心与杭州海康威视数字技术股份有限公司安全研究团队在研究过程中捕获到一例具有显著特征的病毒样本，该样本具有独特的攻击手法和高度的隐蔽性，根据其在下载服务器上的文件命名，该样本被命名为darka5。经过对该样本的深入分析，研究团队发现其不仅运用了先进的加密技术，还具备复杂的网络通信混淆手段，使得追踪和防御工作面临巨大挑战。

本报告将详细剖析darka5恶意家族样本的关键特征，涵盖其攻击向量、下载器行为、数据加密差异、通信流量混淆以及特殊的隐蔽手段，旨在为网络安全专家和防御者提供深入的见解，以更好地理解和应对这一新兴安全威胁。

一 样本分析

（一）攻击向量

darka5是一个通过IoT设备命令执行漏洞进行传播的恶意样本，研究团队通过物联网威胁诱捕系统成功捕获该样本，其投递方式较为复杂，通过分析捕获所得攻击日志可知，攻击者首先通过echo的方式实现样本文件的拼接，然后写入一个微型下载器，最终通过该下载器进行攻击样本的下载和执行。攻击载荷如下图所示：

攻击源IP为109.205.213.198，经公开信息追溯，该IP最早的活跃时间为2023年12月27日：

（二）下载器分析

基于对攻击向量的分析，研究团队成功还原出大小为1980字节的ELF文件，该文件未使用libc，推测其使用汇编语言编写。完整的函数列表如下：

在主函数中，该程序尝试通过HTTP协议从远程服务器（http://2.57.122.83:80/darka5）下载文件到本地的/dev/.j目录下：

（三）数据加密差异

通过分析，darka5样本采用了ChaCha20加密算法，该样本基于Mirai修改而来，与2023年360 Netlab曾分析过的Rimasuta样本相似，同样引入了ChaCha20算法，但仅限于常量字符串加密。

ChaCha20算法所使用的Key和Nonce硬编码在常量段：

在Key实际使用时，会先经过异或后再传入ChaCha20加密函数：

解密后，该样本的常量字符串表如下：

（四）通信流量混淆

在darka5样本中，对于Key的异或手段同样用在了与C2通信的过程中。当解析来自C2的攻击指令时，该样本会将流量内容与0x82异或操作，以还原出原始的攻击者指令：

（五）特殊的隐蔽手段

通过对darka5样本进行深入分析发现，该样本使用了较为特殊的C2连接方式。darka5样本具有一个统一的函数入口，用来返回即将要连接的C2服务器。该函数使用了加密常量表中存储的域名：iwant.coin、chongwa.bazar、packetsyikes.lib、qq.com、git.hbmc.net，以及端口：8338、9944、3177。在连接C2服务器的函数时，会根据连接失败的次数随机选择不同的域名：

除根据域名重试次数和随机数选择域名之外，darka5样本在解析域名的方式上亦呈现出与以往常见病毒的不同之处。通过逆向分析发现该样本在选择五个域名之中的任意一个之后，还会随机选择一个硬编码的DNS服务器来进行域名解析，以此提高域名解析的成功率。可能选择的DNS服务器列表如下：

在经过上述C2服务器地址解析过程后，如若C2服务器解析或者连接失败，darka5样本将自动增加重试计数，并影响下一次C2服务器的解析逻辑，此过程将持续进行，直至成功解析并连接到C2服务器为止。

在这种C2服务器解析的逻辑机制中，涉及多个具有不确定的变量因素，包括重试失败的次数、随机选取的域名结果以及随机选择的DNS服务器，这些变量因素均会对最终解析到的C2地址产生影响。同时，在这种随机选择和重试的机制下，C2服务器信息的隐蔽性得到了显著提升。darka5样本能够成功迷惑各类沙箱服务，使其在有限的分析时间内提取到错误的C2服务器信息。

二 总结

darka5样本运用多种技术手段，使其在与常规Mirai样本相比，展现出明显的差异性。无论是常量表使用ChaCha20算法加密，还是控制指令混淆，或是特殊的C2解析方式，这些特征都极大地增加了样本分析的难度，使得现有的自动化分析流程难以从中提取出有价值的信息。此外，根据捕获到的攻击向量分析，该病毒开发者显然擅长追踪和利用新漏洞，对此病毒家族后续可能造成的更大影响与危害，需予以高度警觉。

三 loc

注：该成果源自广州大学牵头的国家重点研发计划项目（2022YFB3104100）中的课题四“高质量攻击数据诱捕与分析关键技术及系统”（2022YFB3104104），旨在构建面向大规模物联网攻击威胁的主动防护能力。

PoisonSeed网络钓鱼活动通过滥用WebAuthn中的跨设备登录功能来绕过FIDO2安全密钥保护，诱骗用户同意来自虚假公司门户的登录认证请求。

众所周知，PoisonSeed攻击者利用大规模网络钓鱼攻击来进行金融欺诈。在过去，分发包含加密种子短语的电子邮件用于耗尽加密货币钱包。

在Expel最近观察到的网络钓鱼攻击中，PoisonSeed攻击者并没有利用FIDO2的安全漏洞，而是滥用了合法的跨设备身份验证功能。

跨设备认证是一种WebAuthn功能，允许用户使用另一台设备上的安全密钥或认证应用程序在一台设备上登录。身份验证请求不需要物理连接，比如插入安全密钥，而是通过蓝牙或二维码扫描在设备之间传输。

这种攻击首先将用户引导到一个仿冒企业登录门户的网络钓鱼网站，比如Okta或Microsoft 365。当用户向门户输入凭据时，该活动使用中间对手（AiTM）后端，使用提交的凭据在合法登录门户上实时静默登录。

攻击中的目标用户通常会使用他们的FIDO2安全密钥来验证多因素身份验证请求。但是，网络钓鱼后端会告诉合法登录门户使用跨设备身份验证进行身份验证。

这将导致合法门户生成QR码，该QR码被传输回网络钓鱼页面并显示给用户。当用户使用智能手机或身份验证应用扫描这个二维码时，它就会批准攻击者发起的登录尝试。

PoisonSeed攻击流绕过FIDO2保护

这种方法允许攻击者发起依赖于跨设备身份验证而不是用户的物理FIDO2密钥的登录流，从而有效地绕过了FIDO2安全密钥保护。

Expel说，这种攻击并没有利用FIDO2实现中的漏洞，而是滥用了降低FIDO密钥身份验证过程的合法功能。为了降低风险，Expel建议采取以下防御措施：

·限制允许用户登录的地理位置，并为个人旅行建立注册流程。

·定期检查来自未知地点的未知FIDO密钥和不常见的安全密钥品牌的注册。

·考虑强制基于蓝牙的身份验证作为跨设备身份验证的要求，这将大大降低远程网络钓鱼攻击的有效性。

Expel还观察到一个单独的事件，一个威胁者在通过被认为是网络钓鱼的方式破坏了一个账户并重置了密码后，注册了自己的FIDO密钥。然而，这种攻击不需要任何欺骗用户的方法，比如QR码。

这种攻击突出了威胁者如何通过欺骗用户完成登录流程来绕过使用安全密钥进行物理交互的需要，从而找到绕过抗网络钓鱼认证的方法。

《关键信息基础设施商用密码使用管理规定》已经2025年4月21日国家密码管理局局务会议审议通过，并经国家互联网信息办公室、公安部同意，现予公布，自2025年8月1日起施行。

关键信息基础设施商用密码使用管理规定

第一条　为规范关键信息基础设施商用密码使用，保护关键信息基础设施安全，根据《中华人民共和国密码法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《商用密码管理条例》和《关键信息基础设施安全保护条例》、《网络数据安全管理条例》等有关法律、行政法规，制定本规定。

第二条　依据《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》等法律、行政法规和国家有关规定认定的关键信息基础设施的商用密码使用管理，适用本规定。

第三条　国家密码管理部门会同国家网信部门、国务院公安部门负责规划、指导和监督全国的关键信息基础设施商用密码使用管理工作，建立关键信息基础设施商用密码使用管理信息共享机制。

县级以上地方各级密码管理部门会同网信部门、公安机关负责指导和监督本行政区域的关键信息基础设施商用密码使用管理工作。

第四条　关键信息基础设施保护工作部门（以下简称保护工作部门）在职责范围内负责监督管理本行业、本领域关键信息基础设施商用密码使用工作，单独编制本行业、本领域商用密码使用规划或者纳入本行业、本领域的关键信息基础设施安全规划并组织实施，指导本行业、本领域关键信息基础设施运营者（以下简称运营者）开展商用密码相关制度、人员、经费等保障工作。

保护工作部门应当于每年3月31日前向国家密码管理部门、国家网信部门、国务院公安部门报告上一年度本行业、本领域关键信息基础设施商用密码使用管理情况。

关键信息基础设施发生涉及商用密码的重大网络安全事件或者发现涉及商用密码的重大网络安全威胁时，保护工作部门应当及时向国家密码管理部门、国家网信部门、国务院公安部门报告，指导运营者开展应急处置，必要时开展商用密码应用安全性评估。

第五条　运营者应当按照相关法律、行政法规和国家有关规定，遵循国家商用密码管理、网络安全等级保护、关键信息基础设施安全保护等制度要求，使用商用密码保护关键信息基础设施，同步规划、同步建设、同步运行商用密码保障系统，并定期开展商用密码应用安全性评估。

运营者应当于每年1月31日前向所属的保护工作部门报告上一年度关键信息基础设施商用密码使用以及商用密码应用安全性评估开展情况。

第六条　运营者应当加强关键信息基础设施商用密码使用制度保障，建立商用密码使用、应急处置、重大事件报告等关键信息基础设施商用密码使用管理制度。

运营者的主要负责人对关键信息基础设施商用密码使用管理负总责，负责关键信息基础设施商用密码使用和涉及商用密码的重大网络安全事件处置工作。

第七条　运营者应当加强关键信息基础设施商用密码使用人员保障，配备取得密码相关专业学历或者密码相关国家职业技能等级认定证书的专业人员分别承担密钥管理员、密码操作员等职责，配备具有安全审计专业能力的人员承担密码安全审计员职责。

运营者应当对密码相关专业人员进行安全背景审查，并定期组织其参加密码相关业务技能培训，提高密码相关专业人员的商用密码使用能力。

第八条　运营者应当加强关键信息基础设施商用密码使用和应用安全性评估经费保障，将商用密码使用和应用安全性评估经费纳入网络安全和信息化经费安排。

第九条　关键信息基础设施使用的商用密码产品、服务应当经检测认证合格，使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定。

运营者采购涉及商用密码的网络产品和服务，影响或者可能影响国家安全的，应当按照《网络安全审查办法》进行网络安全审查。

第十条　关键信息基础设施应当按照国家数据安全保护、个人信息保护有关要求，使用商用密码对其存储、使用、传输的核心数据、重要数据和个人信息进行保护。

第十一条　关键信息基础设施规划阶段，其运营者应当依照相关法律、行政法规和标准规范，根据商用密码应用需求，制定商用密码应用方案，规划商用密码保障系统并纳入关键信息基础设施安全规划统筹部署。

运营者应当自行或者委托商用密码检测机构对商用密码应用方案进行商用密码应用安全性评估。商用密码应用方案未通过商用密码应用安全性评估的，不得作为商用密码保障系统的建设依据。

第十二条　关键信息基础设施建设阶段，其运营者应当按照通过商用密码应用安全性评估的商用密码应用方案组织实施，落实商用密码安全防护措施，建设商用密码保障系统。建设过程中需要调整商用密码应用方案的，应当重新开展商用密码应用安全性评估，评估通过后方可按照调整后的商用密码应用方案继续建设。

关键信息基础设施运行前，其运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。关键信息基础设施未通过商用密码应用安全性评估的，运营者应当进行改造，改造期间不得投入运行。

第十三条　关键信息基础设施建成运行后，其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估，确保关键信息基础设施商用密码的正确使用和商用密码保障系统的有效运行。关键信息基础设施未通过商用密码应用安全性评估的，运营者应当进行改造，并在改造期间采取必要措施保证关键信息基础设施运行安全。

第十四条　本规定施行前正在建设的关键信息基础设施，其运营者应当加强商用密码应用方案编制论证，建设完善商用密码保障系统，并按照本规定第十二条开展商用密码应用安全性评估。

本规定施行前已经投入运行的关键信息基础设施，其运营者应当按照本规定第十三条开展商用密码应用安全性评估。

第十五条　开展关键信息基础设施商用密码应用安全性评估，应当符合《商用密码应用安全性评估管理办法》有关规定。

关键信息基础设施商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评加强衔接，避免重复评估、测评。

第十六条　国家密码管理部门负责建设和管理国家关键信息基础设施商用密码运行安全管理基础设施，统筹保护工作部门建设本行业、本领域关键信息基础设施商用密码运行安全管理基础设施，会同国家网信部门、国务院公安部门分析研判关键信息基础设施商用密码运行安全态势，协同应对处置重大商用密码运行安全威胁。

第十七条　密码管理部门应当定期组织开展关键信息基础设施商用密码使用情况监督检查。保护工作部门应当定期对本行业、本领域关键信息基础设施商用密码使用情况进行检查并提出改进措施，必要时可以自行或者委托商用密码检测机构等专业机构进行商用密码应用安全性评估。

运营者对密码管理部门和保护工作部门开展的关键信息基础设施商用密码使用情况监督检查应当予以配合，根据监督检查意见及时进行整改并向保护工作部门报告整改情况，保护工作部门应当将整改情况向国家密码管理部门报告。

开展关键信息基础设施商用密码使用情况监督检查应当加强协同配合、信息沟通，避免不必要的检查和交叉重复检查。监督检查不得收取费用，不得要求被监督检查单位购买、使用指定单位或者指定品牌的商用密码产品、服务。

第十八条　密码管理部门、有关部门、商用密码检测机构及其工作人员对其在履行职责中知悉的国家秘密、商业秘密和个人隐私承担保密义务，不得泄露或者非法向他人提供。

第十九条　运营者违反《中华人民共和国密码法》、《中华人民共和国网络安全法》、《商用密码管理条例》、《关键信息基础设施安全保护条例》和本规定有关条款，有下列情形之一的，由密码管理部门责令改正，给予警告；拒不改正或者有其他严重情节的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款：

（一）未按照要求使用商用密码保护关键信息基础设施，同步规划、同步建设、同步运行商用密码保障系统的；

（二）关键信息基础设施使用的商用密码产品、服务未经检测认证合格的；

（三）关键信息基础设施使用的密码算法、密码协议、密钥管理机制等商用密码技术未通过国家密码管理部门审查鉴定的；

（四）关键信息基础设施规划阶段，未制定商用密码应用方案，或者未对商用密码应用方案进行商用密码应用安全性评估的；

（五）关键信息基础设施建设阶段，未按照通过商用密码应用安全性评估的商用密码应用方案建设商用密码保障系统的；

（六）关键信息基础设施运行前，未开展商用密码应用安全性评估，或者未通过商用密码应用安全性评估且未进行改造的；

（七）关键信息基础设施建成运行后，未定期开展商用密码应用安全性评估，或者未通过定期开展的商用密码应用安全性评估且未进行改造的。

第二十条　运营者违反《中华人民共和国密码法》、《中华人民共和国网络安全法》、《商用密码管理条例》、《关键信息基础设施安全保护条例》和本规定第九条，使用未经安全审查或者安全审查未通过的涉及商用密码的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额1倍以上10倍以下罚款；对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。

第二十一条　运营者违反《中华人民共和国密码法》、《中华人民共和国网络安全法》、《商用密码管理条例》、《关键信息基础设施安全保护条例》和本规定第十七条，无正当理由拒不接受、不配合或者干预、阻挠密码管理部门、有关部门的商用密码监督管理的，由密码管理部门、有关部门责令改正，给予警告；拒不改正或者有其他严重情节的，处5万元以上50万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款；情节特别严重的，责令停业整顿。

第二十二条　运营者违反本规定，有下列情形之一的，由密码管理部门、有关部门依据职责责令改正：

（一）未按照要求报告上一年度关键信息基础设施商用密码使用以及商用密码应用安全性评估开展情况的；

（二）未建立关键信息基础设施商用密码使用管理制度的；

（三）未按照要求配备密钥管理员、密码操作员、密码安全审计员的；

（四）未保障关键信息基础设施商用密码使用和应用安全性评估经费的。

第二十三条　从事关键信息基础设施商用密码使用监督管理工作的人员滥用职权、玩忽职守、徇私舞弊，或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的，依法给予处分。

第二十四条　属于国家政务信息系统的关键信息基础设施的商用密码使用管理，除应当遵守本规定以外，还应当按照《国家政务信息化项目建设管理办法》（国办发〔2019〕57号）等有关规定要求执行。

第二十五条　本规定自2025年8月1日起施行。

文章来源自：中国网信网

一种新型的点击劫持技术可以利用用户界面动画绕过Android的权限系统，允许访问敏感数据或欺骗用户执行破坏性操作，例如清除设备。

与传统的基于覆盖的点击劫持不同，TapTrap攻击甚至可以在零权限应用程序上启动无害的透明活动，这种行为在Android 15和16中仍然没有得到缓解。

TapTrap是由维也纳工业大学和拜雷塔大学的安全研究团队开发的，并将在下个月的USENIX安全研讨会上展示。目前，该团队已经发表了一篇技术论文，概述了这次攻击，并建立了一个网站，总结了大部分细节。

TapTrap如何工作

TapTrap滥用Android用自定义动画处理活动转换的方式，在用户看到的和设备实际注册的内容之间造成视觉上的不匹配。

一个恶意应用程序在目标设备上安装后，使用‘startActivity()’和自定义低不透明度动画从另一个应用程序启动敏感的系统屏幕（权限提示、系统设置等）。

“TapTrap的关键是使用一种动画，使目标活动几乎不可见，”研究人员在一个解释攻击的网站上说。

这可以通过定义一个自定义动画来实现，将开始和结束的不透明度（alpha）设置为一个低值，比如0.01，从而使恶意或危险的活动几乎完全透明。可选的是，缩放动画可以用于缩放特定的UI元素（例如，权限按钮），使其占据整个屏幕，并增加用户点击它的机会。

TapTrap概述

虽然启动的提示接收所有触摸事件，但用户看到的只是显示自己UI元素的底层应用，因为在它的顶部是用户实际参与的透明屏幕。

用户认为他们是在与应用程序互动，他们可能会点击屏幕上与危险操作相对应的特定位置，例如在几乎看不见的提示上点击“允许”或“授权”按钮。

风险暴露

为了检查TapTrap是否可以与Play Store（官方Android仓库）中的应用程序配合使用，研究人员分析了近100000个应用程序。他们发现76%的应用程序容易受到TapTrap攻击，因为它们包含满足以下条件的屏幕活动：

·可以由另一个应用程序启动

·在与调用应用程序相同的任务中运行

·不覆盖过渡动画

·在动画完成之前就对用户输入作出反应

研究人员表示，除非用户在开发者选项或可访问性设置中禁用动画，否则最新的Android版本是可以启用动画的，否则会使设备暴露在TapTrap攻击之下。

在开发攻击时，研究人员使用了当时最新的Android 15，但在Android 16发布后，他们也对其进行了一些测试。

Marco Squarcina表示，他们在运行Android 16的bb0 Pixel 8a上尝试了TapTrap，他们可以确认这个问题仍然没有得到缓解。

专注于隐私和安全的移动操作系统GrapheneOS也证实，最新的Android 16容易受到TapTrap技术的攻击，并宣布他们的下一个版本将包括修复程序。

2025年6月，我国成功将卫星互联网低轨04组卫星送入预定轨道。自2024年12月16日成功发射卫星互联网低轨01组卫星以来，我国已完成四次低轨卫星发射任务，展现了我国在卫星互联网领域的快速进步。这也让盛邦安全董事长权小文更加坚定了他多年前的选择，并对公司未来发展充满信心。

十五年前，面对老东家的不看好以及网络安全行业日益激烈的竞争，不甘心成为外企“螺丝钉”的权小文毅然决定创业。面对完全市场化的残酷竞争，创业团队靠着“吹过的牛必须自己兑现”的信念，通过给大厂“打零工”的方式，慢慢在业内找到一席之地，逐渐站稳了脚跟。

当谈及这段成功的创业历程时，权小文谦逊地表示，其中不乏“运气”的因素。他直言，正是因为工程师的“迟钝”基因，公司与接连涌现的热门风口擦身而过，当行业回归理性时，迎来了真正属于公司的机会。从漏洞扫描起步，盛邦安全的业务现已覆盖场景化安全、网络空间地图和卫星互联网安全，成为我国网络信息安全行业的重要参与者。

从“打短工”到行业标杆：工程师的长期主义突围战

“我们内部常讲‘坚持长期主义’，要敢于耐下心坐‘冷板凳’，唯有这样才能将机会做深做透，好多机会都是熬出来的。”复盘创业历程，权小文坦言，资本过度涌入，加之管理水平滞后于行业发展，导致众多同行陷入“失速”困境，而盛邦安全则凭借初创期的稳健步伐，逐步壮大。

2010年，不甘心在外企仅充当“螺丝钉”角色的权小文决定创业。彼时，瞄准Web应用安全这条新赛道的权小文，并不被人理解和看好。

面对技术输出、商业模式、交付能力的全栈挑战，创业初期，权小文团队选择与“大厂”进行技术合作。公司曾长期处于高强度的工作模式：白天奔波谈客户，夜晚埋头写代码，次日即交付产品，这种“打短工”式的高效节奏，成为常态。

“产品会说话，工程师的尊严来自自己的产品，这也是我们早期一路走来推崇的理念，我们早期花了大量时间慢慢积累技术经验，把产品打磨出来。”经过五年的创业历程，盛邦安全在2015年迎来了公开“首秀”，凭借其在网络安全领域的强劲业绩和市场表现，迎来了属于公司的“风口”。2016年，凭借深厚的技术积累，盛邦安全迅速推出首款网络资产安全治理产品，标志着公司在该领域的深入探索与研究。

据了解，盛邦安全的立身之本就是漏洞检测和防御技术，资产识别正是漏洞检测的第一步，也是网络空间资产安全治理的基本功。谈及公司发展史上的这一重要阶段，权小文感慨：“很多好机会真的是熬出来的。”

“我们做技术的人比较‘迟钝’，但正因为如此，我们团队的发展得以与行业的发展同频。”权小文表示。以漏洞技术为原点，盛邦安全的业务由场景化网络安全升级为网络空间地图，在低空、深海、卫星等应用场景着眼布局，形成网络安全业务、网络空间地图业务、卫星互联网安全业务三大核心业务板块。

从漏洞扫描到卫星互联网安全：一条技术主线的自然延伸

2025年6月6日，我国在太原卫星发射中心使用长征六号甲运载火箭，以一箭5星方式，成功将卫星互联网低轨04组卫星送入预定轨道。卫星互联网低轨04组卫星使用Ka等频段载荷，主要为用户提供宽带通信、互联网接入等服务。从近四次互联网低轨卫星发射时间线来看，间隔天数呈现“波动式缩短”趋势，发射频率明显加快。

眼下，卫星互联网相关动向已成为权小文的“特别关注”。权小文表示，凭借随时随地接入互联网的特性，卫星互联网在军事、航空、海事等领域展现出巨大潜力，并被视为未来6G网络的重要雏形。但卫星互联网的快速发展也带来了网络安全挑战，全球卫星网络攻击事件频发，攻击面不断扩大。

2024年，登陆资本市场尚不足一年的盛邦安全果断出手，通过控股卫星通信安全厂商天御云安，正式官宣进军卫星互联网安全领域。“有人质疑我们作为网络安全企业涉足卫星业务的可行性，但实际上，这两项业务紧密相连，同属于一条主线。”权小文表示，公司进军卫星互联网安全，是沿着漏洞检测和资产安全治理的核心业务深挖出来的新场景、新机遇。

事实上，盛邦安全自2021年起便着手卫星互联网安全技术研发，率先在行业内布局，加大安全检测和防护技术的投入，针对卫星互联网的体系结构和脆弱性，构建了网络空间态势感知能力。权小文介绍，网络空间地图的绘制过程中，地网（地面互联网）与天网（卫星互联网）构成两大核心，公司早已洞察卫星互联网领域的潜力，着手进行技术积淀。

“一年的磨合下来，我们认为双方的合作非常成功。技术层面，此次并购大幅提升了卫星互联网的密码与防御技术；业务层面，天御云安在芯片领域的专长为公司业务开辟了新路径，完善了卫星板块的布局。”权小文表示。

公开信息显示，2024年，卫星互联网安全业务已经开始为公司贡献收入，全年实现营业收入1794万元，占公司全部收入比例为6.11%，并且有着较高的毛利率。

不盲从“高大上”风口：“店小二”式解决真实安全需求

2023年7月，盛邦安全登陆上交所科创板。借助资本市场的力量，公司发展大幅提速。两年的时间先后探索了卫星、低空、深海以及应急等领域，而在权小文看来，盛邦安全“店小二”的角色始终没变。

“我一直觉得网络安全是一个‘店小二’模式，在给用户进行配套的时候，一定要将企业价值充分体现出来，有效解决客户从业务需要到成本控制在内的各种问题。”他告诉记者，很多具有商业价值的业务并不“高大上”，只要能够满足客户需求，哪怕看似很“low”的生意，也蕴含着巨大的价值。

多年来，不理解和质疑的声音一直伴随着盛邦安全的成长历程，但权小文团队秉持用产品说话的态度，进行了多次强有力的回应。数年前，业内对公司的客户资产梳理业务持怀疑态度，质疑其业务价值。事实上，这项业务切实解决了客户的实际问题，为公司的发展壮大和多场景业务拓展奠定了坚实基础。

他告诉记者，盛邦安全的一大优势在于将客户需求、技术创新与行业发展紧密结合，以客户为中心推动有效创新，包括价值提供能力、问题解决能力、产品的场景适应性、效率和成本在内的工程能力是公司的核心。目前，盛邦安全内部已经形成一套成熟系统，能够有效突破各类场景问题，快速形成解决方案。

“不管是目前比较火的深海领域，还是低空经济，我们都能在现有技术能力的基础上快速调整优化，形成新的解决方案，这也是工程能力的重要性所在。”在他看来，作为“店小二”，公司必须最快速响应客户需求，灵活应变。

据了解，在低空领域，盛邦安全的城市无人航空运营安全运营服务体系解决方案将在成都落地。相关方案包括了无人机终端安全、飞行控制中心系统安全、机库系统安全、无人机与飞行控制中心之间的空口通信信道安全、飞行控制中心与机库之间的地面通信信道安全等方面。

展望未来，盛邦安全将在攻防两端继续发力布局。在防守端，公司将坚守安全检测与防御的阵地，持续追踪国内外相关领域的新业务形态，并拓展更多市场。在进攻端，公司将依托网络空间地图的优势，保持高度敏感性，积极探索新的应用场景。

原文链接

根据《个人信息保护法》《个人信息保护合规审计管理办法》等法律法规规章规定，现就开展个人信息保护负责人信息报送工作有关事项公告如下：

一、信息报送要求

根据《个人信息保护法》第五十二条、《个人信息保护合规审计管理办法》第十二条规定，处理100万人以上个人信息的个人信息处理者，应当向所在地设区的市级网信部门履行个人信息保护负责人信息报送手续。

二、信息报送时间

（一）自本公告发布之日起，个人信息处理者处理个人信息达到100万人的，应当自数量达到之日起30个工作日内完成信息报送。

（二）本公告发布前，个人信息处理者处理个人信息数量已经达到100万人的，应当在2025年8月29日前完成信息报送。

（三）报送信息发生实质性变更的，应当在变更之日起30个工作日内办理信息变更手续。

三、信息报送方式

个人信息保护负责人信息报送工作采用线上方式。请直接访问“个人信息保护业务系统”（https://grxxbh.cacdtsc.cn），按照系统首页提供的《个人信息保护负责人信息报送系统填报说明（第一版）》，准备相关材料并履行信息报送手续，也可从中国网信网（https://www.cac.gov.cn）首页“全国网信政务办事大厅”栏目访问“个人信息保护业务系统”。

四、法律责任

未按照《个人信息保护法》《个人信息保护合规审计管理办法》等法律法规规章的规定履行信息报送手续的，依照有关法律法规规章的规定处理。

特此公告。

国家互联网信息办公室

2025年7月18日

来源：“网信中国”微信公众号

新型信息基础设施加速布局，互联网基础资源持续丰富，为互联网普及和数字经济发展提供了坚实支撑。CNNIC第56次报告数据显示，截至今年6月，我国网民规模已达11.23亿人，互联网普及率达79.7%，移动用户上网流量连续6个月实现两位数增长。与此同时，人工智能应用场景不断深化，构建起覆盖多领域的智能应用生态，APP已深度融入公众日常工作与生活的方方面面。

然而，伴随国家监管体系日趋严格与用户隐私保护意识的显著增强，企业正面临前所未有的复杂合规挑战：

·APP业务场景日益多元化、功能组件持续复杂化，如何精准界定并确保信息采集的合规性与合理性？

·面对层出不穷的监管手段和日益精细化的技术合规要求，如何清晰洞察并验证集成的第三方软件数据是否合规？

·加之检测标准与法律条文的多头化，如何将抽象条款中的具体检测事项有效落地执行？

以上构成了当前企业移动应用合规管理的核心困境。梆梆安全建议企业亟需完善移动应用全生命周期的合规检测能力。通过构建常态化、持续化的安全合规机制，赋能企业在动态变化的监管环境中精准识别风险、高效落实要求，将合规压力转化为内生动力，筑牢企业发展的安全基石。

移动应用合规检测框架

梆梆安全依托十余年深耕移动安全领域的技术沉淀与实践经验，系统性搭建了专业的移动应用合规检测框架，通过覆盖应用全生命周期的自动化检测与深度分析，精准识别隐私合规性问题并输出风险评估报告及整改建议，助力企业高效构建合规防线。

1.个人信息隐私合规评估及咨询

依托多年技术沉淀，以为“自动化检测+人工审查”形式，根据企业用户业务场景，提供从合规检测、风险评估到整改落地的一站式安全服务。

2. 个人信息保护合规审计

依据法律法规及监管要求提供合规审计服务，包括管理制度审计、安全措施有效性审计、个人信息处理活动合规审计、法律文件合规审计，涵盖数据处理、跨境传输、安全措施等17项检测大类，助力企业识别风险、建立或完善合规体系，有效规避或降低监管风险、高效处置消费者投诉。

3. 移动应用合规平台

借助深度定制化的检测沙箱、利用自动化脱壳、应用自动化遍历及人工深度辅助测试等技术，全面发现应用权限信息、集成第三方SDK信息，动态行为信息、通过场景化分析，发现应用潜在的隐私合规问题，帮助用户发现应用违规行为并输出合规评估报告及整改建议。

黑客在Interlock勒索软件攻击中采用了一种名为“FileFix”的新技术，在目标系统上投放远程访问木马（RAT）。在过去的几个月里，随着攻击者开始使用KongTuke网络注入器（又名“LandUpdate808”）通过受感染的网站传递有效载荷，Interlock勒索软件的操作有所增加。

DFIR Report和Proofpoint的研究人员自5月以来就观察到了这种操作方式的转变。当时，受感染网站的访问者会被提示通过一个虚假的CAPTCHA +验证，然后将内容粘贴到一个运行对话框中，自动保存到剪贴板中，这是一种与ClickFix攻击一致的策略。这个技巧引导用户执行一个PowerShell脚本，该脚本获取并启动了一个基于node .js的Interlock RAT变体。

今年6月，研究人员发现了一种在野外使用的基于php的Interlock RAT变体，该变体使用的是相同的KongTuke注射器。

本月早些时候，交付包装发生了重大变化，Interlock现在切换到ClickFix方法的FileFix变体作为首选交付方法。

Interlock的FileFix攻击

FileFix是由安全研究员mr.d0x开发的一种社会工程攻击技术。它是ClickFix攻击的演变，ClickFix在过去一年中成为最广泛使用的有效负载分发方法之一。

在FileFix变体中，攻击者将受信任的Windows UI元素（如文件资源管理器和HTML应用程序（. hta））作为武器，诱骗用户执行恶意的PowerShell或JavaScript代码，而不显示任何安全提醒。

通过将复制的字符串粘贴到文件资源管理器的地址栏中，提示用户“打开文件”。该字符串是一个PowerShell命令，使用注释语法伪装成文件路径。

在最近的Interlock攻击中，目标被要求将一个伪装成假文件路径的命令粘贴到文件资源管理器上，导致从trycloudflare.com下载PHP RAT并在系统上执行。

感染后，RAT会执行一系列PowerShell命令来收集系统和网络信息，并将这些数据作为结构化JSON泄露给攻击者。

DFIR报告还提到了交互式活动的证据，包括Active Directory枚举、检查备份、导航本地目录和检查域控制器。

命令和控制（C2）服务器可以发送shell命令让RAT执行、引入新的有效负载、通过Registry运行键添加持久性，或者通过远程桌面（RDP）进行横向移动。

Interlock勒索软件于2024年9月发布，著名的受害者包括德克萨斯理工大学、DaVita和Kettering Health。

勒索软件操作利用ClickFix来感染目标，但它转向FileFix表明攻击者很快就适应了更隐蔽的攻击方法。这是首次公开证实FileFix被用于实际的网络攻击。随着威胁者探索将其纳入攻击链的方法，它可能会越来越受欢迎。

一种新的Konfety安卓恶意软件变种出现，带有畸形的ZIP结构和其他混淆方法，使其能够逃避分析和检测。

据悉，Konfety自称是一款合法的应用程序，模仿谷歌Play上的无害产品，但没有任何承诺的功能。恶意软件的功能包括将用户重定向到恶意网站，推送不需要的应用程序安装，以及虚假的浏览器通知。

相反，它使用CaramelAds SDK获取并呈现隐藏的广告，并泄露安装的应用程序、网络配置和系统信息等信息。

由Konfety触发的不良广告和重定向

虽然Konfety不是间谍软件或RAT工具，但它在APK中包含一个加密的二级DEX文件，该文件在运行时被解密和加载，包含在AndroidManifest文件中声明的隐藏服务。这为动态安装额外的模块敞开了大门，从而允许在当前感染中提供更危险的功能。

逃避策略

移动安全平台Zimperium的研究人员发现并分析了最新的Konfety变种，报告称该恶意软件使用几种方法来混淆其真实性质和活动。

Konfety通过复制谷歌Play上可用的合法应用程序的名称和品牌，并通过第三方商店分发，从而诱骗受害者安装它——Human的研究人员将这种策略称为“诱饵双胞胎”。

恶意软件的运营商正在第三方应用商店中推广它。

这些市场通常是用户寻找“免费”的高级应用版本的地方，因为他们想避免被Google跟踪，或者他们的安卓设备不再受支持，或者他们无法使用Google服务。

动态代码加载（恶意逻辑隐藏在运行时加载的加密DEX文件中）是Konfety采用的另一种有效的混淆和逃避机制。

Konfety中另一个不常见的反分析策略是以一种混淆或破坏静态分析和逆向工程工具的方式操纵APK文件。

首先，APK将通用位标志设置为“0位”，表示文件已加密，即使它没有加密。当试图检查文件时，这会触发错误的密码提示，阻止或延迟对APK内容的访问。

其次，APK中的关键文件是使用BZIP压缩（0x000C）声明的，而APKTool和JADX等分析工具不支持这种压缩，从而导致解析失败。

分析工具在试图解析恶意APK时崩溃

同时，Android忽略声明的方法，退回到默认处理以保持稳定性，允许恶意应用在设备上毫无问题地安装和运行。安装后，Konfety会隐藏其应用程序图标和名称，并使用地理围栏根据受害者所在地区改变行为。

在过去的Android恶意软件中也观察到基于压缩的混淆，正如卡巴斯基在2024年4月关于SoumniBot恶意软件的报告中所强调的那样。在这种情况下，SoumniBot在AndroidManifest.xml中声明了一个无效的压缩方法，声明了一个虚假的文件大小和数据覆盖，并用非常大的命名空间字符串混淆了分析工具。

通常建议人们避免安装第三方Android应用商店的APK文件，只信任你知道的发行商的软件。

近日，中国信息通信研究院“数字安全护航计划”于2025全球数字经济大会数字生态建设专题论坛重磅发布第三期《数字安全护航技术能力全景图》。梆梆安全凭借卓越实力连续三期登榜，入选12大类48项细分领域，实现移动安全赛道全领域覆盖。公司深度应用人工智能技术驱动产品升级，充分印证在网络安全领域的行业标杆地位与智能安全实力。

本期全景图征集经中国信通院数字安全护航计划专家库严格评审，旨在客观反映我国数字安全产业链全貌与发展水平，为政府部门政策制定、产业界技术布局、建设方能力选型提供权威、清晰、实用的参考坐标。

当前，人工智能已成为驱动网络安全变革的核心引擎，也是梆梆安全打造新一代安全体系的战略支点。公司在移动安全、安全靶场等关键领域，创新性地应用AI技术并实现成果落地，将AI大模型能力深度整合至产品矩阵，获得行业高度认可。

梆梆安全入选结果

移动安全：移动终端管理、移动应用安全、移动业务安全、SDK安全、移动威胁防御

物联网安全：车联网安全、其他物联网安全

数据安全：数据脱敏、数据防泄露、数据分级分类、数据安全治理服务、数据安全评估和检查、个人信息保护

软件供应链安全：开发安全生命周期（SDL）、源代码安全、交互式安全测试、静态安全测试、动态/模糊安全测试、软件成分分析

应用与业务安全：API安全、应用安全监测、内容安全、欺诈检测和识别、抗BOT、支付安全、运行时应用程序自我保护（RASP）

计算机环境安全：漏洞检测与管理、恶意软件防护

数字安全服务：安全合规、安全咨询与规划、安全运维与托管服务、安全意识与培训、渗透测试/众测、攻防演练、应急响应与重保服务、演练保障、社会工程学与反钓鱼、技术人才培训

安全管理与运营：安全监管态势感知、安全运营态势感知、安全响应自动化（SOAR）、脆弱性评估与管理

安全支撑技术与体系：威胁情报、安全靶场

密码技术与应用：加解密、密钥管理

网络与通信安全：通信传输安全

信创安全：信创态势感知平台

移动安全

物联网安全

数据安全

软件供应链安全

应用与业务安全

计算机环境安全

数字安全服务

安全管理与运营

安全支撑技术与体系

密码技术与应用

网络与通信安全

信创安全

展望未来，梆梆安全将持续引领网络安全创新，依托AI大模型赋能的突破性产品成果， 为金融、政务、车联网、互联网、交通、智能制造等关键行业的数字化转型，打造覆盖全生命周期的智能防护体系，以更高效、更精准的安全能力护航数字经济的蓬勃发展。

在全球化商业中，邮件不仅是日常沟通工具，更是企业的 “数字生命线”，订单确认、合同往来等关键信息的投递稳定性与安全性，直接关联业务成败、国际信誉乃至数据安全。。

7 月 10 日微软 Exchange Online 全球故障（事件编号 EX1112414）便是警示 —— 这场持续 11 小时以上的故障，让北美、欧洲、亚太等多地超2100名用户受影响，62%无法登录，33% 服务器连接错误，不少企业因邮件延迟错失合作窗口，直接造成业务损失。

除此类系统故障，企业跨境通邮还常遇投递失败、退信、延迟、钓鱼攻击等问题，导致其国际业务频繁 “卡壳”。对此，拥有26年技术积累的 CACTER 邮件安全海外中继服务，可针对性破解痛点，为企业打造 “零障碍” 跨境通信通道，全力保障邮件安全、稳定、高效送达全球。

海外通邮的４大核心难题

深入分析企业跨境通信困境，CACTER 技术团队总结出 4 大核心难题——这些看似 “小问题”，实则可能成为国际业务推进的 “隐形绊脚石”：：

CACTER邮件安全海外中继的「四重智能防护网」

面对以上这些难题，CACTER 邮件安全海外中继以 “智能 + 安全 + 高效” 为核心，构建起覆盖全球的通信保障体系，通过 “四重智能防护网” 为企业扫清障碍：

全球节点覆盖，解决跨境通邮 “链路堵”

CACTER海外服务平台遍布亚洲、美洲、欧洲等几大洲，在世界各大主要城市比如纽约、伦敦、法兰克福、东京、新加坡，香港等部署了多台海外中继服务器，智能选择最优收件和发件的中继节点，保证海外邮件收发顺畅。安全海外中继支持为Coremail、Exchange、O365、Gmail、IBM Domino、lotus notes等系统提供全球通邮服务，无需额外部署服务，在原系统设置成功即可马上生效。

智能技术引擎，提升跨境投递 “时效性”

·智能DNS匹配接收：通过智能DNS策略解析，根据发件来源实时锁定响应最快的海外中继节点，再经国内中继服务器无缝转接至企业邮箱系统。让海外邮件从抵达节点到进入收件箱的耗时大幅缩短，实现 “即到即收” 的高效体验。

·SDN服务智能轮询投递：通过智能SDN策略解析，能对所有的邮件进行归类分道，根据邮件特征智能化分配投递通道，配合全球服务器的动态轮询机制，确保每封邮件都能避开拥堵链路，始终保持稳定投递状态，让全球通邮像同城通信一样可靠。

多维安全屏障，解决境外威胁 “防御弱”

CACTER自研CAC邮件云反垃圾引擎，与国内外知名反病毒厂商联手，打造海外邮件接收安全检测云平台，内嵌反垃圾、反钓鱼、反病毒，防伪造，敏感过滤等安全能力。可针对性检测海外恶意邮件，并对敏感信息邮件和恶意邮件攻击进行拦截，确保邮件系统远离境外威胁。

便捷管理赋能，降低运维工作 “复杂度”

CACTER 安全海外中继支持邮箱管理员通过邮件管理云平台，直观掌握海外邮件的接收与投递情况，并对异常收发信进行监控。通过直观的统计报表和详细日志，能快速定位问题根源；隔离区功能让可疑邮件的处理更灵活，管理员可随时查看、释放或拦截相关邮件。整个操作流程简洁高效，让邮件系统的运维工作从繁琐变得轻松，大幅减少人工介入的时间成本。

26 年深耕，案例见证实力

作为国内领先的邮件安全解决商，CACTER已成功助力金融、高校、互联网、医药、物流能源等企业实现海外邮件畅通无阻。无论是跨国业务高频往来的行业巨头，还是刚迈出国际化步伐的新锐企业，CACTER的安全海外中继服务都已成为他们的“全球通信护航者”。

从解决一封邮件的延迟，到守护企业的全球信誉，CACTER 邮件安全海外中继始终以技术实力为支撑，用成熟经验作保障。在全球化浪潮中，它不仅是企业跨境通信的 “稳定器”，更是打通全球业务脉络的 “助推器”—— 选择 CACTER，让每一封邮件都成为企业出海的 “信任名片”。