Aggregator

威胁行为者加速使用人工智能工具，并针对各种恶意使用案例发起持续的量子计算攻击。

主站 分类 漏洞 工具 极客

A vulnerability was found in Linux Kernel 2.6.12/2.6.14.4. It has been rated as problematic. This issue affects some unknown processing of the component Keyboard Mapping Handler. The manipulation leads to improper access controls. The identification of this vulnerability is CVE-2005-3257. The attack needs to be initiated within the local network. Furthermore, there is an exploit available.

#正版软件 Microsoft Office 2024 家庭版正版团购活动来喽：一次购买终身使用无需续费，支持 Windows 和 Mac。如果你不喜欢订阅 Microsoft 365

反复利用这一安全漏洞会让设备进入维护模式，必须手动干预才能恢复正常运行状态。

主站 分类 漏洞 工具 极客

沉寂多年的“摇滚&黑客”项目在近期重新启动，全新的“摇滚黑客2025演唱会”将在2025年1月11日在北京开唱。这标志着曾经在网络安全行业火爆一时的“摇滚&黑客”跨界文化项目正式回归。全新的“摇滚黑客

正义黑客的狂欢日，网安人的专属摇滚演唱会！北京·福浪LIVEHOUSE等你来！

环境异常 当前环境异常，完成验证后即可继续访问。 去验证

合辑中都是我们优中选优的精华成果。

A vulnerability was found in Oracle Enterprise Manager Base Platform 12.1.0.5/13.1.0.0. It has been declared as critical. Affected by this vulnerability is an unknown functionality of the component Discovery Framework. The manipulation leads to information disclosure. This vulnerability is known as CVE-2016-2107. The attack can be launched remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

error code: 521

网络安全厂商Elastic Security最近观察到一个新的攻击入侵活动，目标直指讲中文的地区，跟踪命名为REF3864。这些有组织的活动通过伪装成合法软件，如网络浏览器或社交媒体信息服务，来瞄准受害者。背后的攻击组织在跨多个平台（包括Linux、Windows和Android）传播恶意软件方面表现出了一定的多样性。在调查分析过程中，研究人员发现了一个独特的Windows感染链，并命名了一个自定义加载器为SADBRIDGE。该加载器部署了一个基于Golang重新编码的QUASAR恶意软件，称之为GOSAR。这也是研究人员首次观察到QUASAR被用Golang编程语言重写。 假Telegram登陆页面 关键发现： 研究人员发现的这次正在进行的攻击活动，目标是讲中文语言的使用者，恶意安装程序伪装成Telegram和Opera网络浏览器等合法软件。 攻击感染链采用注入和DLL侧加载技术，使用自定义加载器（SADBRIDGE）。 攻击者通过SADBRIDGE部署了一种新发现的、用Golang编写的QUASAR后门变种（GOSAR）。 GOSAR是一个正在积极开发中的多功能后门程序，其功能还不完整，但是随着时间的推移观察到了功能改进的迭代版本。 REF3864攻击活动： 在2023年11月，研究人员在对上传到VirusTotal的几个不同样本进行深度分析时，观察到了一个独特的攻击感染链。这些不同的样本被托管在伪装成Telegram或Opera GX浏览器等合法软件的登录页面上。 在调查分析过程中，研究人员还发现了多个涉及类似技术的感染链： 木马化的MSI安装程序，检测率低。 使用合法软件伪装，捆绑恶意DLL。 部署自定义SADBRIDGE加载器。 最终阶段GOSAR加载。 导致 GOSAR 感染的 SADBRIDGE 执行链 研究人员认为，这些攻击活动之所以能够避开安全检测，是因为它们采用了多层次的抽象技术。攻击过程开始于受害者被诱导打开一个包含MSI安装程序的ZIP文件，该文件实际上是一个恶意存档。随后，攻击者利用合法的Windows调试应用程序在后台加载一个被恶意修改的DLL文件。这个DLL文件接着启动一个新的合法程序，并在其中侧加载另一个恶意DLL，最终通过一系列注入技术将GOSAR后门程序植入到受害者的内存中。攻击者还精心伪装其C2基础设施，使其看起来像是可信的服务或软件，以符合受害者对软件安装程序的预期，从而降低被发现的风险。另外，攻击者特别关注列举国内的反病毒检测产品，如360tray.exe，以及中文的防火墙规则名称和描述，这表明攻击目标是中文用户群体。 自2017年以来，QUASAR恶意软件已被用于多次网络攻击活动，GOSAR作为QUASAR的扩展，增加了额外的信息收集功能、多操作系统支持，并改进了对国内反病毒产品和恶意软件分类器的规避能力。然而，由于缺乏具体的诱饵网站和针对目标的行动信息，目前尚无法确定攻击者的确切动机。 攻击过程技术分析： SADBRIDGE恶意软件加载器被打包为MSI可执行文件进行分发，并使用DLL侧加载和各种注入技术来执行恶意负载。SADBRIDGE滥用像x64dbg.exe和MonitoringHost.exe这样的合法应用程序来加载恶意DLL，如x64bridge.dll和HealthServiceRuntime.dll，从而导致后续阶段和shellcodes的执行。 SADBRIDGE通过创建服务和修改注册表来实现持久性。它利用UAC绕过技术（滥用COM接口）静默地将权限提升到管理员级别。此外，SADBRIDGE还通过Windows任务计划程序实现权限提升绕过，以系统级权限执行其主要有效载荷，涉及的工具有ICMLuaUtil。 SADBRIDGE配置使用简单的减法对配置字符串的每个字节进行加密。加密的阶段都附加了0x1.log扩展名，并在运行时使用XOR和LZNT1解压缩算法进行解密。 SADBRIDGE采用PoolParty、APC队列和令牌操作技术来进行进程注入。为避免沙盒分析，它使用长API调用。另一种防御逃避技术涉及API修补，以禁用Windows安全机制，如反恶意软件扫描接口（AMSI）和Windows事件跟踪（ETW）。 GOSAR恶意软件介绍 GOSAR是一个针对Windows和Linux系统的多功能远程访问木马。这个后门包括获取系统信息、截取屏幕、执行命令、键盘记录等功能。GOSAR后门保留了QUASAR的核心功能和行为，同时结合了一些修改，使其与原始版本有所不同。通过使用Go这样的现代语言重写恶意软件，可以降低检测率，因为许多防病毒解决方案和恶意软件分类器难以在这些新的编程结构下识别恶意字符串/特征。值得注意的是，这个变种支持多个平台，包括Linux系统的ELF二进制文件和Windows的传统PE文件。这种跨平台能力与Go的适应性一致，使其比原始的基于.NET的QUASAR实现更加的多功能。   转自安全内参，原文链接：https://www.secrss.com/articles/74099 封面来源于网络，如有侵权请联系删除

A vulnerability has been found in MantisBT 1.2.17 and classified as critical. This vulnerability affects the function preg_replace. The manipulation leads to improper input validation. This vulnerability was named CVE-2014-7146. The attack can be initiated remotely. Furthermore, there is an exploit available.

梆梆安全

随着数字化转型在各行各业的深入发展，手机应用程序（APP）的功能日益多样化，尤其是在政务、金融等领域，超级APP所提供的服务范围越来越丰富。然而，针对这类APP的网络攻击事件也随之频发。近期，梆梆安全收到了多起客户反馈，均指出其APP被植入了恶意外链，这些链接大多导向色情和赌博等不良内容。

案例一

有学生家长反映，通过当地政务服务APP查询学生入学登记信息时，点击“XX主题教育平台”栏目时，突然跳转到色情网站。管理运维APP的公司回应称，客户端链接网站出现异常，怀疑该网站被篡改，公司已立即删除了该链接。

 

案例二

深圳李女士在使用某运营商APP时，订单页突然弹出涉黄、赌博等违法信息。官方客服回应称，问题源于李女士的路由器被攻击、wifi被劫持。建议李女士及时更改WiFi连接密码及管理密码，同时升级路由器固件。

超级APP外链攻击的主要方式

梆梆安全通过对攻击过程进行溯源分析及黑灰产研究发现，针对APP外链的主要攻击方式有三种，分别是：

1、网络链路攻击：包括DNS劫持、HTTP数据劫持、WiFi劫持等；这种是目前最为常见的攻击方式，重点表现为受害者连接了一些公共WIFI，而这些WIFI被攻击者掌握，在网络链路中植入恶意广告内容。

2、终端攻击：终端中存在病毒木马，以及违规应用，自动拦截终端流量植入广告；这种情况主要出现在一些老年人的手机上，而这些手机往往来源于非正规的二手渠道。

3、服务端攻击：通过注入攻击等手段来获取Web站点管理员权限，进而直接篡改网页内容；虽然这种攻击方式的技术门槛相对较高，但考虑到超级APP中可能嵌入了其他第三方站点，而这些第三方外链站点的安全防护能力各不相同，因此仍存在安全风险。

梆梆安全针对外链攻击防护思路

梆梆安全全渠道应用安全监测平台通过在前端植入安全SDK，该SDK通过APP初始化后，动态监控APP内部Webview的流量访问行为，通过同步/异步分析模式，针对APP内的H5外链访问情况进行动态监控/管控，及时发现异常行为；同时，全渠道应用安全监测平台支持构建白名单机制，仅允许授权内的域名/IP进行应用进行加载访问，支持针对加载内容进行动态检查，及时发现违规展示内容，针对风险情况及时上报后端平台进行预警展示。

梆梆核心能力及优势

1、域名/IP动态管控：构建域名/IP白名单机制，仅允许授权范围内的地址加载展示；

2、动态内容监控：针对H5加载内容进行特征匹配检查，及时发现展示内容中的违禁内容；

3、动态风险管控：通过策略配置，及时针对前端异常加载内容进行同步/异步多样化处置，支持禁止加载或弹窗提醒；

4、风险态势感知：及时上送终端风险数据，利用大数据计算及关联分析，及时展示风险情况，掌握终端及站点异常风险态势；

综上所述，超级 APP 凭借其庞大的用户基础和丰富的功能生态，成为网络攻击的潜在目标。梆梆安全建议超级 APP 运营方需加强对外链来源的验证与风险评估，完善用户点击提醒机制；同时，持续更新安全防护策略，对应用内的授权、跳转流程进行严格的安全审查与漏洞修复，以降低外链攻击带来的安全风险，保障用户数据与使用体验的安全稳定。

error code: 521

安全内参12月27日消息，一场被认为由俄罗斯黑客发起的大规模网络攻击，导致乌克兰多个国家登记册下线，公民无法获取与其数字记录相关的基本服务。 根据乌克兰司法部的消息，此次网络攻击中断了出生、婚姻及死亡等登记服务。该部门负责管理乌克兰约60个国家数据库。 目前，这些记录正通过纸质方式临时处理。一旦恢复对国家登记册的访问，所有数据将重新转移至电子数据库。 尽管服务受限，司法部表示，上周仍有超过1400对乌克兰夫妇完成了婚姻登记。 众多民众基本服务全面中断 所有涉及房地产的交易，包括买卖协议、租赁合同、赠与协议和抵押合同，也因这次事件全面暂停。此类交易需依赖国家登记册中的公民个人数据，以及法人和财产权信息。 乌克兰负责欧洲和欧亚一体化事务的副总理Olga Stefanishyna透露，恢复这些登记册的访问预计需要约2周时间。 作为应对措施，乌克兰政府已将现有的军事征召延期自动延长1个月，无需数字续签。根据现行法律，特定类别的乌克兰公民可通过依赖国家登记册数据的“Reserve+”军事应用申请延期。 据当地媒体报道，此次攻击还影响了乌克兰股票交易所的交易、官员和法官的任命，以及一些依赖登记册信息的法院案件审理。 目前尚不清楚此次网络攻击对登记册及基本服务中断造成的经济损失规模。 乌克兰司法部于12月23日宣布，已启动恢复工作，并保证所有数据都会被恢复，因为政府掌握了完整的备份。 “精心策划”的攻击 亲俄黑客组织 XakNet 声称对此次攻击负责，并表示已删除存储在波兰服务器上的主数据库及备份副本。 此前2023年12月，乌克兰国防情报局声称入侵了俄罗斯联邦税务局，并抹去了该机构2300多个数据库。 乌克兰政府官员对攻击细节披露有限，且因“问题的敏感性”拒绝向媒体发表评论。 乌克兰议会网络安全分委员会主席Oleksandr Fedienko表示，黑客可能通过网络钓鱼邮件或贿赂一名拥有登记册访问权限的员工进入系统。目前参与调查的乌克兰网络安全机构尚未公开评论攻击者的具体入侵手段。 乌克兰国家安全局上周指出，他们怀疑此次攻击幕后黑手是与俄罗斯军事情报局（GRU）相关的黑客。与 GRU 疑似相关的威胁组织之一是“沙虫”（Sandworm）。该组织曾对乌克兰发动重大网络攻击，包括2023年针对乌克兰最大电信运营商基辅之星（Kyivstar）的袭击。 Fedienko指出，此次针对国家登记册的攻击是“精心策划”的，只有通过“严密而系统化的组织”才能实现。 乌克兰国家安全局网络安全部门代理负责人Volodymyr Karastelov表示，黑客可能花费数月时间筹备此次针对国家登记册的攻击。   转自安全内参，原文链接：https://www.secrss.com/articles/74077 封面来源于网络，如有侵权请联系删除

说一件自己挖坑自己跳的扯淡之事，供大家幸灾乐祸。在远程虚拟机中配置Win10，wf.msc限RDP的源与目标。开始设复杂密码，因为太过复杂，写在临时文件中，肉眼看了一遍，然后Copy/Paste到lu