Akamai近日透露，已经挫败了针对一家美国银行的大规模DDoS（分布式拒绝服务）攻击，攻击峰值高达每秒5510万个数据包。这也是Akamai挫败的第三大规模的DDoS攻击。 根据Akamai的公告，该攻击发生在9月5日，洪水般的流量攻击了“美国最大、最有影响力的金融机构之一，虽然攻击只持续了不到两分钟，但由于犯罪分子使用ACK、PUSH、RESET和SYN洪水攻击向量，攻击流量达到了每秒633.7GB。” 攻击者的主要目标是该银行的网页登陆页面，试图扰乱其网上银行业务，但“没有造成附带损害或服务质量下降”。 Akamai声称，这次攻击是迄今为止针对美国金融公司的最大规模攻击。（2023年2月，Cloudflare声称阻止了有记录以来最大规模的单一DDoS事件，峰值每秒超过7100万个请求。） Akamai的研究人员指出，近年来试图破坏银行网站和业务的DDoS攻击流量正在增加。 从历史上看，科技公司、游戏公司、媒体/娱乐和互联网/电信提供商是DDoS攻击的主要目标，只有10%到15%的DDoS攻击针对银行客户。然而，自2021年以来，针对金融机构的DDoS攻击数量明显激增。“事实上，在过去的四个季度中，超过30%的DDoS攻击都是针对金融服务公司的。”Akamai研究人员透露。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/wBRA9V1_QLk9w1iKKy7fNQ 封面来源于网络，如有侵权请联系删除

网络安全公司 SlashNext 发现，如今的 AI 聊天机器人出现了一种令人担忧的情况。有用户利用AI聊天机器人系统漏洞进行”越狱”操作，这违反了道德准则和网络安全协议。 ChatGPT曾因其先进的对话能力而声名鹊起，然而有一些用户发现了能够绕过其系统内置的安全措施的弱点。如果有人可以操纵聊天机器人提示系统，那就能发布一些未经审查和监管的内容，这引发了道德问题。AI聊天机器人 “越狱 “涉及发布特定命令或叙述，可触发无限制模式，使AI能够不受约束地做出反应。网上一些讨论社区中已经有人在分享这些越狱的策略和战术。 Critical Start 公司网络威胁研究高级经理 Callie Guenther 说：这些平台是用户分享越狱策略、战略和提示的协作空间，以充分发挥人工智能系统的潜力。虽然这些社区的主要动力是探索和推动人工智能的发展，但必须注意到事情的两面性。 SlashNext解释说，这种趋势也引起了网络犯罪分子的注意，他们开发了一些可以利用定制的大型语言模型（LLM）达到恶意目的工具。 研究表明，除了 WormGPT 以外，这些工具大多只是连接到越狱版的公共聊天机器人，能够允许用户在保持匿名的情况下利用AI生成一些内容。 随着AI技术的不断进步，人们对AI越狱的安全性和道德影响的担忧与日俱增。防御安全团队在这方面希望能实现以下两个目标： Darktrace 战略网络人工智能副总裁 Nicole Carignan 说，首先他们可以协助研究如何保护 LLM 免受基于提示的注入，并与社区分享这些经验。 其次，他们可以利用人工智能大规模防御更复杂的社交工程攻击。要想在进攻型人工智能时代有效地保护系统，就需要不断壮大防御型人工智能武器库，而我们已经在这方面取得了重大进展。 据 SlashNext 报道，OpenAI 等组织正在采取积极措施，通过漏洞评估和访问控制来加强聊天机器人的安全性。 研究人员目前正在探索更加有效的策略来强化聊天机器人的安全性，以防止其被那些恶意行为者所利用。AI安全仍处于早期阶段，Darktrace方面未来的目标是开发出能够抵御试图破坏其安全的聊天机器人，同时继续为用户提供有价值的服务。 转自Freebuf，原文链接：https://www.freebuf.com/news/377935.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，安全研究员发现 GitHub 中存在一个新安全漏洞，该漏洞可能导致数千个存储库面临劫持攻击的风险。据悉，在 2023 年 3 月 1 日漏洞披露后，微软旗下的代码托管平台已于 2023 年 9 月 1 日解决了安全漏洞问题。 Checkmarx 安全研究员 Elad Rapoport 在与 The Hacker News 分享的一份技术报告中指出，漏洞问题影响深远，一旦网络攻击者成功利用安全漏洞，便可以劫持使用 Go、PHP 和 Swift 等语言的 4000 多个代码包以及 GitHub 操作，从而影响开源社区的安全。 repocapping 是存储库劫持（repository hijacking）的简称，是一种威胁攻击者能够绕过一种流行的存储库命名空间退役的安全机制并最终控制存储库的技术。（该保护措施的作用是防止其他用户在重命名其用户帐户时创建与包含 100 个以上克隆的存储库同名的存储库。）换句话说，用户名和存储库名称的组合被视为“已退役”状态。 如果这一保障措施被轻易规避，威胁攻击者就可以用相同的用户名创建新账户并上传恶意存储库，从而可能导致软件供应链攻击。 Checkmarx 提出的新方法主要利用了创建存储库和重命名用户名之间的潜在竞争条件来实现劫持存储库。具体来说，需要以下步骤： 受害者拥有命名空间 “victim_user/repo 受害者将 “victim_user “重命名为 “renamed_user” 受害者用户/repo “版本库已退役 用户名为 “acker_user “的威胁攻击者同时创建一个名为 “repo “的存储库，并将用户名 “acker_user “重命名为 “victor_user” 最后一步是使用 API 请求创建版本库，并截获重命名请求以更改用户名。 值得一提的是，GitHub 在近九个月前还修补了一个类似的绕过漏洞，该漏洞可能会为劫持攻击打开“方便之门”。   转自Freebuf，原文链接：https://www.freebuf.com/news/377948.html 封面来源于网络，如有侵权请联系删除

使用“停服”软件、遭遇勒索软件攻击、缺失数据备份计划，多种因素叠加，导致斯里兰卡政府云系统丢失了近4个月的数据。 9月12日有消息称，斯里兰卡政府云系统“兰卡政府云”（LGC）遭受一次大规模勒索软件攻击。该国已经启动调查程序。 这次调查由斯里兰卡计算机网络应急技术处理协调中心（CERT|CC）负责。斯里兰卡信息与通信技术局（ICTA）于9月11日向多家本地新闻媒体确认了这次攻击。 这次攻击很可能从8月26日开始，当时，一个gov.lk域名用户表示他们在过去几周里收到了可疑的链接，有人可能点击了其中一条链接。 “兰卡政府云”的服务和备份系统迅速被加密。斯里兰卡信息与通信技术局首席执行官Mahesh Perera估计，所有使用“gov.lk”电子邮件域名的电子邮件地址（5000个），包括内阁办公室使用的地址，都受到了影响。 系统和备份在遭受攻击后12小时内得以恢复。然而，由于系统在5月17日至8月26日之间的数据没有可用备份，所有受影响的账户在这段时间内的数据都已永久丢失。 使用过时软件因缺乏预算未能升级 Mahesh Perera告诉媒体，“兰卡政府云”于2007年引入，最初使用Microsoft Exchange 2003版，在2014年升级为Microsoft Exchange 2013版。 “兰卡政府云”使用OpenStack/KVM底层架构 他说：“这个版本一直在使用，但现在已经过时，不再维护，容易受到各种类型的攻击。” 尽管斯里兰卡信息与通信技术局计划从2021年开始升级“兰卡政府云”到最新版本（目前是Exchange Server 2019 CU11 Oct21SU），但由于“资金限制和某些以前的董事会决定”，决策一直受到拖延。 在遭受攻击后，斯里兰卡信息与通信技术局已经开始采取措施增强“兰卡政府云”安全性。具体措施包括启动每日离线备份例程，升级相关电子邮件应用程序到最新版本。 斯里兰卡计算机网络应急技术处理协调中心在帮助信息与通信技术局检索丢失的数据。 此前，斯里兰卡政府曾因未能有效促进公共行政部门和私营部门落实严格的网络安全措施而受到批评。 根据基于爱沙尼亚电子政务学院基金的“国家网络安全指数”，斯里兰卡在175个国家中排名第83位。2023年6月，斯里兰卡政府公布了拖延已久的网络安全法案。根据法案规定，该国将首次设立国家网络安全管理机构。   转自安全内参，原文链接：https://www.secrss.com/articles/58734 封面来源于网络，如有侵权请联系删除

据Cyber News披露，美国纽约警方为了监视社交媒体上的用户及内容，花费数百万美元与一家曾被指控不当抓取平台数据的监控公司签订了合同。 监控公司 Voyager Labs 的产品声称能使用人工智能分析网络用户的行为。该公司表示，通过对大型数字文件进行快速分析，可帮助执法部门检测和预测欺诈和犯罪。根据倡导隐私权的非营利组织 “监控技术监督项目”（STOP）获取到的文件，早在 2018 年，该公司就与纽约警察局签署了一份价值近 850 万美元的合同。 但随后，Voyager Labs 被科技巨头 Meta 起诉，称其涉嫌使用近4万个虚假 Facebook 帐户来收集大约 60万个用户的数据，换句话说，就是进行不当的数据抓取。 与此同时，另一份文件显示，纽约皇后区检察机构也与以色列公司 Cobwebs Technologies签署了一项协议，使该公司向警方提供社交网络地图产品。 虽然美国执法部门多年来一直与社交媒体分析公司合作，利用其中的信息辅助一些特定调查，但专家警告说，这种做法需要合法使用，特别是当警方试图通过获取私人信息，并跳过获取传票和搜查令等步骤来预测未来的犯罪行为时。 STOP 主管威尔·欧文 (Will Owen)说道：“与 Voyager Labs 和 Cobwebs Technologies 签订的合同都扩大了执法部门对社交媒体的监控和其他天罗地网般监控工具的使用，这些工具长期以来一直针对包括儿童在内的纽约黑人和拉丁裔。” 欧文认为，这是具有侵入性且非法的行为，宪法要求执法部门在对公众进行搜查之前必须获得搜查令，此举是对宪法的公然绕过。 目前尚不清楚纽约警方到底如何使用 Voyager 软件，但法律允许其警察使用虚假的社交媒体资料。STOP 的实习生莉兹·黄 (Liz Huang) 为此担忧地表示，用户在社交媒体接受的每一个朋友和关注请求，都可能面临着来自警察的监视和对隐私的侵犯。   转自freebuf，原文链接：https://www.freebuf.com/news/377785.html 封面来源于网络，如有侵权请联系删除

Cyber News的一项调查研究显示，全球多所顶尖高校的网站未能及时更新安全补丁，存在敏感信息泄露，甚至被攻击者全面接管的风险。 Cyber News 研究团队详细调查了 20 个每月有数百万访问量的高校网站，其中至少有6个是位于全球Top 100的顶尖高校。研究人员表示，针对大学的攻击历来非常常见，包括了从学生试图取消课程发起的 DDoS 攻击到全面的勒索软件攻击。 安全级别不一定与高校的规模或重要性相关，因为规模较小和较大的高校都表现出类似的漏洞。虽然调查结果不包括任何未受保护的数据库或一年多前的漏洞，但一些高校迟迟没有应用安全更新。研究人员还发现了几个关键漏洞和非常敏感的凭证被泄露。 研究发现，由于暴露的环境文件 (.env) 或远程代码执行 (RCE) 漏洞，UTEL大学（墨西哥）、台湾大学、瓦尔登大学、西印度群岛大学（牙买加）、加州大学圣地亚哥分校泄露的信息可能导致网站被完全接管。 加州大学圣地亚哥分校的网站留下了数据库凭据、Cloudflare 凭据、WordPress 凭据和电子邮件凭据可供获取。攻击者可以利用这些来接管网站、重定向到恶意服务器、从官方通信渠道进行网络钓鱼以及访问用户信息。 台湾大学 (NTU) 的网站泄露了 JSON Web Token 机密、数据库凭据和带有用户名的 git URL。这些都可能使攻击者能够劫持帐户并获得管理员访问权限。 瓦尔登大学和西印度群岛大学这两所规模较小的大学的网站容易受到远程代码执行的攻击，从而可能导致网站被接管。 研究还发现另外8所高校：匹兹堡大学、不列颠哥伦比亚大学、安第斯大学（哥伦比亚）、自由大学、旧道明大学、范德比尔特大学、新罕布什尔大学泄露的凭证或漏洞利用可以获取学生和教师的私人信息。 研究人员指出，他们的研究范围并不详尽，这也意味着所发现的漏洞和错误配置能够被初级网络攻击者利用。为了进行更详细的分析，需要进行更深入的渗透测试。 不应被公开的环境文件 环境文件不应让外部人员访问，因为这些文件是配置文件，通常包含 Web 应用程序使用的部分或全部第三方服务、数据库和 API 凭证。攻击者可能会使用暴露的凭证来访问私有数据库并滥用 API 函数。在某些情况下，泄露的凭证可能会导致整个网站遭到入侵。此外，Git 存储库配置文件的凭证在受损时（允许攻击者下载和检查网站的源代码）应该重置。 而RCE 漏洞，例如 WSO2 Web 服务器 RCE 漏洞 (CVE-2022-29464) 和 Microsoft Exchange RCE 漏洞 (CVE-2023-21529)需要手动或自动修补，或更新 Microsoft Exchange 服务器。 研究人员发现，瓦尔登大学和西印度群岛大学正在运行易受攻击的 WSO2 Web 服务器版本，且这些服务器在一年多的时间内没有更新。其他大学，如范德比尔特大学、新罕布什尔大学和旧道明尼恩大学则延迟了一个多月才修补其 Microsoft Exchange 服务器的 RCE 漏洞。 关于泄露的凭证，研究发现，有两所高校使用了给定软件的默认凭证，5所大学使用了弱密码，反映出这些高校在安全实践上的不足，并暗示了用于其他应用程序的凭证也可能同样使用了弱密码。 来自部分高校的回应 Cybernews 联系了研究中提到的所有大学。波特兰州立大学在接到报告后解决了相应的漏洞问题。 匹兹堡大学回应称，确保数据安全对学校至关重要，信息安全团队在收到通知后立即采取措施修复了漏洞。 瓦尔登大学则称他们没有任何数据泄露或曝光，并表示自己拥有强大的监控系统，致力于保护学生和教职员工的隐私和安全信息，定期进行软件更新和扫描潜在漏洞，以确保不发生泄露。   转自freebuf，原文链接：https://www.freebuf.com/news/377626.html 封面来源于网络，如有侵权请联系删除

美国CISA、FBI和网络司令部发布的一份联合报告显示，国家支持的黑客组织利用Fortinet FortiOS SSL-VPN和Zoho ManageEngine ServiceDesk Plus关键漏洞攻击了美国一家航空机构。此次网络攻击事件背后的黑客组织尚未被命名，虽然联合通报没有将攻击者与特定国家联系起来，但美国网络司令部的新闻稿暗示攻击与伊朗民族国家工作者有关。 根据发布的联合警报显示，国家高级威胁行为者利用CVE-2022-47966未经授权访问面向公众的应用程序（Zoho ManageEngine ServiceDesk Plus），建立持久性，并在网络中横向移动。 CVE-2022-47966指的是一个关键的远程代码执行缺陷，该缺陷使未经身份验证的攻击者能够完全接管易受影响的实例。在成功利用这一漏洞之后，黑客获得了对web服务器的根级别访问权限，并采取措施下载其他恶意软件、收集管理用户凭据，并在网络中横向移动。 这些发现是基于CISA于2023年2月至4月在一家未具名的航空部门机构进行的事件响应调查。有证据表明，恶意活动早在2023年1月18日就开始了。并且美国网络司令部暗示伊朗民族国家工作者参与了袭击。 正如这三个美国机构所警告的那样，这些威胁组织经常扫描面向互联网的设备上未修补的漏洞，以查找关键且易于利用的安全漏洞。 据称，该黑客组织还利用Fortinet FortiOS SSL-VPN中的严重漏洞CVE-2022-42475来访问防火墙。Fortinet还警告说，在攻击期间，额外的恶意有效负载被下载到受感染的设备上，这些有效负载无法检索进行分析。 Fortinet于2022年11月28日悄然修复了该漏洞，但没有发布该漏洞已被广泛利用的信息，随后，12月中旬，客户首次被敦促修补其设备以抵御持续的攻击。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/ZVLSpOEg4Un3DgPbu8snBw 封面来源于网络，如有侵权请联系删除

相信熟悉Windows系统的用户或多或少都了解过其中自带的写字板功能，但微软近期表示，将在未来的某个 Windows 版本更新中正式移除写字板。 写字板是一种基本的文本编辑应用程序，允许用户创建和编辑带有格式化文本，并包含图像和其他文件的链接的文档。自1995年Windows 95发布以来，写字板便一直是Windows系统中自带的软件功能。 随着写字板将正式被弃用，微软建议用户使用Word来替代写字板，并为那些不需要富文本支持的用户推荐使用记事本。 其实自 2020 年 2 月发布 Windows 10 Insider Build 19551 以来，写字板就变成了Windows系统中的可选功能，即用户可以通过控制面板将其卸载。 目前微软并未透露移除写字板的具体原因，但恶意软件也曾利用过写字板进行攻击活动。今年年初，Qbot 恶意软件操作就通过滥用Windows 10 写字板中的 DLL 劫持缺陷来感染计算机并逃避检测。 近年来，微软已在Windows中砍掉了多项已存在多年的自带软件，包括经典的画图程序，该应用在2017年 7 月发布的 Windows 10 Fall Creator’s Update版本更新中被正式移除。但由于画图程序受众依然广泛，微软将其移至应用商店供用户下载。 因此，如果写字板依然存在用户需求，微软仍可能为其提供在应用商店的下载渠道，而不是彻底让这款有着28年历史的应用彻底消失。     转自Freebuf，原文链接:https://www.freebuf.com/news/377081.html 封面来源于网络，如有侵权请联系删除

拥有5亿以上用户的WinRAR，曝出新的漏洞（CVE-2023-40477，CVE-2023-38831）； CVE-2023-40477的PoC 虽然被认为是RCE假定可被利用，但实际上影响并不大； 本文研究内容包括：其影响、可被利用的场景以及缓解措施； 该漏洞已在最新的Winrar v6.23中得到修复，本文也会提出解决办法。 CVE-2023-40477:概述和PoC 八月中旬，WinRAR 6.23发布了一些关于关键漏洞的警告。我们了解到漏洞（CVE-2023-40477）目前已经修复，且公布了以下信息，具体内容详看下文： 尽管其CVE等级很高，但成功利用漏洞所需的复杂性表明广泛滥用的可能性很低，这与广泛利用的Log4j RCE漏洞不同。 可考虑的应对措施主要有两方面： 完全修复：将Winrar更新到6.23+将完全修复。 补丁修复：如果更新不可用或难以部署，可以考虑阻止使用*.rev文件（最好同时阻止*.rXX文件和*.partXX.rar文件）。尽管并没有官方支持肯定，但这可能是目前的一个快速的修复方法。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3019/ 消息来源：wildptr.io，译者：知道创宇404实验室翻译组； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

新的研究结果表明，攻击者可以利用一种隐匿的恶意软件检测规避技术，并通过操纵 Windows 容器隔离框架来绕过端点安全的解决方案。 Deep Instinct安全研究员丹尼尔-阿维诺姆（Daniel Avinoam）在本月初举行的DEF CON安全大会上公布了这一发现。 Microsoft的容器体系结构（以及扩展的 Windows 沙盒）使用所谓的动态生成的映像将文件系统从每个容器分离到主机，同时避免重复系统文件。 Avinoam一份报告中说：它只不过是一个“操作系统映像，其中包含可以更改的文件的干净副本，但链接到主机上已存在的Windows映像中无法更改的文件”，从而降低了完整操作系统的整体大小。结果就是包含’幽灵文件’的图像，它们不存储实际数据，但指向系统上的不同目录。 正因为如此，我突然想到，如果我们可以使用这种重定向机制来混淆我们的文件系统操作并混淆安全产品，那会怎样？ 这就提到了 Windows 容器隔离 FS （wcifs.sys） 过滤器驱动程序的作用。该驱动程序的主要目的就是处理 Windows 容器与其主机之间的文件系统隔离。 换句话说，我们的想法是让当前进程在一个人造容器内运行，并利用迷你过滤器驱动程序来处理 I/O 请求，这样它就可以在文件系统上创建、读取、写入和删除文件，而不会向安全软件发出警报。 值得一提是，在此阶段，迷你过滤器通过向过滤器管理器注册它选择过滤的 I/O 操作，间接地连接到文件系统栈。每个迷你过滤器都会根据过滤器要求和负载顺序组分配一个微软指定的 “整数 “高度值。 wcifs 驱动程序的高度范围为 180000-189999（特别是 189900），而反病毒过滤器（包括第三方的反病毒过滤器）的高度范围为 320000-329999。因此，可以在不触发回调的情况下执行各种文件操作。 Avinoam解释说：因为我们可以使用IO_REPARSE_TAG_WCI_1重新解析标签覆盖文件，而无需检测防病毒驱动程序，所以它们的检测算法不会接收整个图片，因此不会触发。 尽管如此，实施这种攻击需要有管理权限才能与 wcifs 驱动程序通信，而且不能用它来覆盖主机系统上的文件。 在披露这一消息的同时，网络安全公司还展示了一种名为 “NoFilter “的隐蔽技术，该技术可滥用 Windows 过滤平台（WFP）将用户权限提升至 SYSTEM，并可能执行恶意代码。 这些攻击允许使用 WFP 复制另一个进程的访问令牌，触发 IPSec 连接，利用打印线轴服务将 SYSTEM 令牌插入表中，并有可能获得登录到被入侵系统的另一个用户的令牌，以进行横向移动。     转自Freebuf，原文链接:https://www.freebuf.com/news/376704.html 封面来源于网络，如有侵权请联系删除