摘要 在网络威胁高度工业化的今天，攻击者通过模板化工具与自动化流程大规模构建克隆钓鱼站，重点瞄准金融、社交与企业邮箱等高价值目标。 本文基于实战案例，介绍如何利用知道创宇 ZoomEye 的多维检索能力——结合 HTTP 标题、HTTP 正文、ICON、IP 解析与前端痕迹（如 Telegram Bot），把零散痕迹转化为可操作情报与持久检测特征规则，实现对恶意站点的高效发现与扩展，为威胁分析师提供可复用的实战思路。 概述 威胁狩猎的核心不是发现单个页面，而是识别能够泛化的指纹特征，并据此做横向扩展。本文的方法论可概括为三步： 初次发现：从单个可疑页面中提取高信噪比特征（标题、正文中特殊字符串、iconhash、证书信息、前端API调用等）。 横向扩展：基于初次发现结果，在 ZoomEye 中进行精确检索（按 IP、iconhash、http.body、title 等），识别同一批次或同一基础设施下的其他恶意资产。 交叉验证：结合证书、域名注册信息、时间窗口与托管/解析习惯，对命中结果去噪并标注处置优先级。         以下各节分别以实例说明每种特征的提取与检索策略，并给出实用查询示例。 通过HTTP正文特征发现克隆钓鱼站         攻击者经常在钓鱼页面中复制目标站点的部分文字或版权信息，这些字符串在合法站点以外出现时，具备很强的指示性。示例流程（Coinbase交易所）： 访问 Coinbase交易所 官方站点，在官方站点读取独有字符串（例如版权语句）：”© 2025 Coinbase” 在 ZoomEye 中查询包含该字符串的站点，并排除官方域名与证书，从而聚焦疑似克隆钓鱼站 http.body=“2025 coinbase” && domain!=“coinbase.com” && ssl!=“coinbase” 要点：选择不太可能被第三方正常复用的长字符串或格式（如版权行、资源文件名、带时间戳的路径），能显著提高命中率和精确度。 解析IP并做横向追查        攻击者常把多个恶意域名解析到同一台服务器（同一 IP），既降成本，又能在域名被封时快速切换。我们发现一个恶意站点后，解析其域名获得 IP，在 ZoomEye 中查询该 IP 的相关网络资产，通常能横向枚举出更多相关恶意域名与页面。示例查询：针对前文提及Coinbase交易所仿冒站点的解析IP地址 5.254.129.71 进行查询，可命中 29 条与交易所高仿克隆相关的恶意站点，涉及 Coinbase、Gate、WEEX、Bybit等多家交易所。 ip="5.254.129.71" 要点：IP 关联对快速扩展非常有效，但需注意 CDN/反向代理与共享主机场景导致的误判，结合证书 CN/SAN、网页特征与域名模式做交叉验证可降低误报。 基于HTTP标题做批量识别        钓鱼攻击常呈现规模化与模板化：攻击者用可配置模板快速替换目标名称（如软件或登录站点），辅以社会工程话术，并批量注册域名解析到同一服务器。我们发现一个钓鱼站点后，可提取其 HTTP 标题中的特征字符串，在 ZoomEye 中搜索，以识别同批次的钓鱼站点。示例查询：某钓鱼站点标题为”Facebook 桌面版”，而众所周知 Facebook 并无桌面版软件，因此该标题可作为钓鱼站点的特征。在 ZoomEye 中可用以下语句扩展搜索，以发现更多恶意钓鱼站点： title="Facebook 桌面版" 要点：选择那些在合法生态中罕见或明显不合常理的标题（如“桌面版”与实际服务不符、包含拼写/语言混杂的句子等），能快速找到批量模板化产出的站点。 通过HTTP正文独特资源检索        发现钓鱼站点时，不必局限于标题——还可以分析 HTTP 正文内容。钓鱼站点往往会复用静态资源（图标、图片、脚本文件名等），这些资源名通常不容易在其他非相关站点被无差别使用，因而是优秀的检索特征。示例查询：某钓鱼站点正文包含一个特定 ICON 图标名称，且该图标文件是网页所需资源。我们可将此 ICON 图标名称视为钓鱼站点特征，在 ZoomEye 中使用以下语句扩展搜索： http.body="20190706125618443.png"  要点：提取资源完整路径或文件名（含随机串或时间戳）作为检索条件，优先查找完全匹配以降低噪声。 基于ICON图标的反查        相比模板化钓鱼站，高价值目标（金融、邮箱、办公软件）的克隆钓鱼站仿真度更高，通常复用品牌icon与界面元素。通过 icon图标反查所有使用同一 icon 的页面，这对发现高仿克隆站尤其有效。示例流程（Binance交易所）： 查询 Binance 交易所官方站点，获取其官方 icon（点击结果页图标可得 iconhash） domain="binance.com" 在 ZoomEye 查询页点击该 icon，反查所有使用该 icon 的站点 iconhash="43365839589fc348172246e108c1297c" 在查询语句中排除官方站点域名与证书，聚焦疑似克隆钓鱼站 iconhash="43365839589fc348172246e108c1297c" && domain!="binance.com" && ssl!="binance.com" 要点：iconhash 检索对高仿站检出率高，但会漏掉仅使用其它资源或做深度伪造的不复用 icon 的页面；因此应与其它特征联合使用。 利用前端痕迹线索发现并扩展恶意站点        在分析高价值目标的克隆钓鱼站时，发现一个有意思的攻击方法：前端 JS 不仅收集表单内容，还会通过 ipapi.co 之类的 IP 情报接口获取用户的 IP、国家/城市/邮编等信息，最终调用 Telegram Bot API 的 sendMessage 把数据发到指定的用户/群组/频道。 这类实现往往在页面源码或网络请求中暴露 bot token 与接收方的 chat_id。作为防御方，我们可以据此用 Telegram Bot API 的 getChat 查询该用户/群组/频道的基础信息；若基础信息中暴露了频道邀请链接，也可进入频道查看内容以辅助研判和溯源。 示例：https://api.telegram.org/bot{token}/getChat?chat_id={chat_id} 既然这些克隆钓鱼站用 Telegram Bot API 外送数据，我们就可把前端痕迹当作特征做横向枚举。在 ZoomEye 中检索同时包含 api.telegram.org、bot、sendMessage 的页面正文，通常能高效筛出可疑站点： http.body="api.telegram.org" && http.body="bot" && http.body="sendMessage"        该组合在正常业务页面中极少出现（因其含义是调用 Telegram 机器人发送消息），因而具备较强指示性。为进一步降噪，可叠加时间窗口（after=）或与 ipapi.co 等指纹联合使用。      基于 Telegram Bot 特征枚举到的一批克隆钓鱼站，进一步审查其 HTTP 标题，可以看到攻击覆盖多种诱饵类型： 高价值品牌克隆 例如标题 “ВТБ – Ваш отзыв важен для нас!”（VTB – Your feedback is important to us!），仿造俄罗斯 VTB 银行的反馈页面，用于骗取账号或个人信息。 文件下载诱导 例如标题 “File Shared Notification”，伪装“同事/业务共享文件”，引导下载安装恶意程序，手法直接粗暴。 软件升级诱导 例如标题 “Update Chrome”，伪装浏览器/软件升级页面，实则投放恶意安装包。 要点：HTTP标题特征只是一个切入点，可以结合正文特征、证书/主机属性、域名模式与时间窗口交叉验证。 实战建议与去噪方法 组合特征优先：单一特征（如仅 title）易受噪声影响，推荐同时组合 title、http.body、iconhash 与 IP 查询并限定时间窗口（after=）以提高事件关联性。 排除规则：在查询中持续排除已知合法域与证书（domain!=”…” && ssl!=”…”），减少误报。 证书/托管信息交叉验证：使用证书的 CN/SAN、Whois、托管/ASN 信息判断基础设施是否为恶意惯犯或共享托管环境。 优先级打分：对命中结果建立评分机制（例如：同时命中 3 个指纹 = 高危；命中 1 个指纹且位于可疑 IP = 中危），以便集中人力处置高价值事件。 自动化和持续监控：把高信噪比的特征加入到自动化规则中，定期在 ZoomEye 上跑批量查询并把新命中写入告警系统或情报数据库。 结语        借助 ZoomEye 的多维检索能力，安全分析师可以把单点可疑线索提升为有组织、可量化的情报流。本文展示的基于标题、正文、资源、ICON、IP 与前端痕迹的链式发现方法，既可用于发现克隆钓鱼站，也适用于追踪恶意分发基础设施、C2 节点等。威胁狩猎应坚持两条原则：（1）优先识别可泛化的指纹特征；（2）交叉验证来降低误报。推荐将这些指纹特征结构化为 IOC 相似的检测规则，集成进监控/告警流水线，实现持续可量化的防御能力提升。 好消息，ZoomEye社区版(终身有效)会员限时回归！ 为什么选择社区版？ 永久功能：终身使用特色语法、API、AI搜索等核心功能 海量积分：一次性赠送 100 万积分，立即到账，有效期 1 年 超值价格：仅 999 元，享终身会员特权，省钱更省心 活动时间 11月10日10点起 （限时售卖，售完为止） 售卖价格 999元（一次付费，终身有效） 活动内容 1、注册过ZoomEye的用户，购买社区版(终身有效)即赠 100万 权益积分；新注册用户购买可获得 80万 权益积分！ 2、使用「付费会员」邀请码购买社区版，邀请人与被邀请人均可额外各得 10万 权益积分！点击查看邀请码使用教程 3、加入 ZoomEye交流群，再领 2000权益积分，入群可享专属网络情报推送！ * 所有权益积分有效期均为 1 年 购买链接 https://www.zoomeye.org/pricing 如有任何疑问，请添加ZoomEye助手 消息来源：ZoomEye Team； 转载请注明出处并附上原文

在拉斯维加斯举行的黑帽大会（BLACK HAT USA 2024）上，来自德国 CISPA 亥姆霍兹信息安全中心的一组研究人员披露了影响基于 RISC-V 架构的流行 CPU 的新漏洞细节。 RISC-V是一种开源指令集架构 (ISA)，旨在为各种类型的应用开发定制处理器，包括嵌入式系统、微控制器、数据中心和高性能计算机。 CISPA 研究人员发现中国芯片公司 T-Head （阿里巴巴旗下的平头哥半导体）生产的玄铁 C910 CPU 中存在漏洞。据专家介绍，玄铁 C910 是速度最快的 RISC-V CPU 之一。 这个被称为GhostWrite 的漏洞允许具有有限权限的攻击者读取和写入物理内存，从而可能使他们获得对目标设备的完全和不受限制的访问权限。 虽然 GhostWrite 漏洞特定于玄铁 C910 CPU，但已确认多种类型的系统受到影响，包括云服务器中的 PC、笔记本电脑、容器和虚拟机。 研究人员列出的易受攻击的设备列表包括 Scaleway Elastic Metal RV 裸机云实例；Sipeed Lichee Pi 4A、Milk-V Meles 和 BeagleV-Ahead 单板计算机 (SBC)；以及一些 Lichee 计算集群、笔记本电脑和游戏机。 “要利用此漏洞，攻击者需要在易受攻击的 CPU 上执行非特权代码。这对多用户和云系统构成威胁，或者在执行不受信任的代码时，甚至在容器或虚拟机中也是如此。”研究人员解释道。 为了展示他们的研究结果，研究人员展示了攻击者如何利用 GhostWrite 获取 root 权限或从内存中获取管理员密码。 与之前披露的许多CPU 攻击不同，GhostWrite 不是侧信道攻击，也不是瞬时执行攻击，而是一个架构错误。 研究人员向 T-Head 报告了他们的发现，但目前尚不清楚该供应商是否采取了任何行动。SecurityWeek在本文发表前几天联系了 T-Head 的母公司阿里巴巴征求意见，但尚未得到回复。 云计算和网络托管公司 Scaleway 也已收到通知，研究人员表示该公司正在向客户提供缓解措施。 值得注意的是，该漏洞是一个硬件错误，无法通过软件更新或补丁修复。禁用 CPU 中的矢量扩展可以减轻攻击，但也会影响性能。 研究人员告诉SecurityWeek，尚未为 GhostWrite 漏洞分配 CVE 标识符。 虽然没有迹象表明该漏洞已被利用，但 CISPA 研究人员指出，目前还没有特定的工具或方法来检测攻击。 研究人员发表的论文中提供了更多技术信息。他们还发布了一个名为 RISCVuzz 的开源框架，用于发现 GhostWrite 和其他 RISC-V CPU 漏洞。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aO8kr865bmh1VSlC4fIPPQ 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，Pwn2Own 多伦多 2023 黑客大赛落下帷幕，参赛团队在为期 3 天的比赛时间里，针对消费类产品进行了 58 次0day漏洞利用（以及多次漏洞碰撞），共获得了 103.85 万美元的奖金。 Pwn2Own 多伦多 2023 黑客大赛期间，各参赛团队以移动和物联网设备为攻击目标，主要包括手机（苹果 iPhone 14、谷歌 Pixel 7、三星 Galaxy S23 和小米 13 Pro）、打印机、无线路由器、网络附加存储（NAS）设备、家庭自动化集线器、监控系统、智能扬声器以及谷歌的 Pixel Watch 和 Chromecast 设备，以上所有设备都处于默认配置并运行最新的安全更新。参赛队伍成功“演示”了针对小米、西部数据、群晖、佳能、利盟、Sonos、TP-Link、QNAP、Wyze、利盟和惠普等多家厂商设备中 58 个0day漏洞的利用。 值得注意的是，没有参赛队队伍入侵苹果 iPhone 14 和谷歌 Pixel 7 智能手机，但有参赛选手四次入侵了打满补丁的三星 Galaxy S23。 各团队积极“打榜” Pentest Limited 团队率先演示了三星 Galaxy S23 的0day漏洞，利用输入验证不当的缺陷获得了代码执行权，赢得了 5 万美元和 5 个 “Pwn 大师 “积分。 紧随其后，STAR Labs SG 团队也在第一天成功利用了允许输入的列表入侵了三星的旗舰产品，获得了 2.5 万美元（第二轮针对同一设备的一半奖金）和 5 个 Pwn 大师积分。 Interrupt Labs 和 ToChim 团队的安全研究人员在比赛第二天利用允许输入的列表和另一个不恰当的输入验证缺陷入侵了 Galaxy S22。   Pwn2Own 多伦多 2023 最终排行榜（ZDI） 最终，Viettel 团队赢得了比赛，共获得 18 万美元现金奖励和 30 个 Pwn 大师积分。紧随其后的是 Sea Security 的 Orca 团队，获得 116250 美元以及 17.25 分，DEVCORE Intern 和 Interrupt Labs 各获得 50000 美元和 10 分。 根据大赛规则，一旦参赛人员在 Pwn2Own 大赛上发现可被利用的0day漏洞，供应商在 ZDI 公开披露之前有 120 天时间用于发布新补丁。 在今年 3 月 Pwn2Own Vancouver 2023 比赛期间，参赛者利用 27 个0day漏洞（和几个漏洞碰撞）赢得了 1035000 美元和一辆特斯拉 Model 3 汽车。     转自Freebuf，原文链接：https://www.freebuf.com/news/382191.html 封面来源于网络，如有侵权请联系删除

最新研究称，如果发生针对支付系统的大规模网络攻击，全球经济可能遭受3.5万亿美元（约合人民币25.6万亿元）的损失；发生概率大约为3.3％，相当于30年一遇。 有消息称：英国保险巨头劳埃德保险社（Lloyd”s of London）警告称，如果发生针对支付系统的大规模网络攻击，全球经济可能遭受3.5万亿美元（约合人民币25.6万亿元）的损失。 针对上述假想情景，劳埃德保险社与剑桥大学风险研究中心共同建模，认为其发生概率较低。研究人员提出，发生概率大约为3.3％，相当于30年一遇。 模拟预测金融系统遭网攻后果 此前，英国政府也研究了金融系统遭网络攻击的概率，发现灾难性事件发生概率较低。英国内阁在国家风险登记报告中，对金融市场基础设施遭受攻击的最坏情况建模，认为这种情况在有限的预测期内发生“几率很小”。 按照英国政府模拟的情景，网络攻击将对金融系统产生重大影响，比如对金融交易处理造成影响。这可能导致人们对金融数据和整个金融系统的可用性和完整性失去信心。 与之不同，按照劳埃德保险社模拟的情景，假设同时发生了数次相互独立、规模空前的网络攻击，影响到各种组织监管的金融市场基础设施的多个独立系统。 谈及研究情景，劳埃德保险社表示：“攻击者在金融服务业用于确认交易和验证支付的关键软件中植入恶意代码。随着常规软件更新，这些代码会发送到成千上万的合作伙伴和客户网络，渗透进入这些网络。” 随后，攻击者可以创建“后门，允许黑客发动大规模入侵。这意味着客户无法为产品和服务付款，银行无法结算支付，银行间贷款也只得暂停。” 尽管只论证了银行会无法结算支付，劳埃德保险社警告称：“基于现在掌握的数据，黑客可以通过扰乱数据，将资金转移至他们控制的帐户网络。他们可以潜伏数月之久。修复损害并发现后续侵入则需要更多时间。” 这家保险巨头还描述道，应急响应团队将疲于追踪攻击者，没有精力处理其他工作。由于人们对金融机构信心下降、新规定的出台，业务也会受到影响。 研究探讨了“假设（但有可能发生）”的情景。研究发现，平均而言，这种全球性攻击可能导致全球GDP在五年内下降3.5万亿美元（24.5万亿人民币）。受影响最严重的将是美国，其次是中国和日本。 劳埃德保险社承认，研究所描述的影响来自“高度复杂、从未出现过的新型攻击。” 警惕网络攻击引发金融系统风险 劳埃德保险社主席Bruce Carnegie-Brown表示：“我们致力于围绕系统性风险建立弹性。企业和社会正面临潜在网络威胁。今天发布的风险情景说明，保险在支持和保护客户免受此类威胁方面发挥了重要作用。” “网络具有全球互联性，意味着网络威胁风险不容忽视，不可能由一个行业单独应对。因此，我们必须继续在政府、行业和保险市场之间分享知识、专业技能和创新思想，确保社会建立对大规模潜在风险的弹性。” 2017年，NotPetya勒索软件攻击席卷乌克兰，重创网络保险市场。当时，很多市场开始担心保险政策中的战争除外条款是否适用。 由于上述攻击事件造成损失，亿滋国际食品公司向苏黎士美国保险公司提出1亿美元索赔。两家公司打了多年的法律战。2022年，双方终于达成和解。类似的索赔仍在发生。 在这一背景下，劳埃德保险社牵头进行了一项颇具争议的工作，希望修订这些除外责任条款，找到既满足客户需求又满足保险市场需求的解决方案。今年3月，劳埃德保险社警告称，更新除外责任条款后可能会影响公司利润。   转自安全内参，原文链接：https://www.secrss.com/articles/59821 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 随着Facebook打击虚假账户的行动影响到无辜的旁观者，成千上万的用户在X或评论网站上表达了不满。专家警告说，如果你的Facebook账户被黑客入侵或被禁用，请准备好耐心和毅力。由于没有有效的客户支持，恢复账户可能需要数周时间。 自2017年10月以来，Facebook已经删除了惊人的276.7亿个虚假账户，这是地球总人口的3.5倍。Facebook每个季度都会删除数以亿计，有时甚至超过10亿个虚假账户。 注销账户的背后是什么？它们有多精确？我们无法获悉答案，因为Meta的媒体团队没有回应Cybernews的询问。 缺乏响应性支持，账户被暂停、禁用甚至被黑客攻击，用户对于Facebook的抱怨不绝于耳。 Facebook在Trustpilot.com上的用户评价为1.5星，在pissedConsumer.com上的用户评价为1.8星。 在X (Twitter)上，“被黑”这个通用搜索词每天都会提供几十个不同的新故事，比如: “我的账户依然处于被黑状态，我不知道为什么Facebook的客户支持没有回复我的电子邮件。近15天来，我一直在试图联系Facebook的支持团队，但没有得到他们的任何回复，Facebook的支持团队简直就是狗屎。” 当然，即使将评论网站或X上的所有投诉合并起来，几千名不满意的用户与Facebook的30亿月活跃用户相比也显得微不足道。然而，专家们向Cybernews证实，这些问题并非巧合。 “根据消费者的评论，Meta对用户申诉过程的处理似乎是不一致的。一些用户表示，他们的账户被泄露，他们的诉求得不到回应或及时解决，这让他们感到沮丧。在涉及账户被黑的情况下，Meta缺乏及时的帮助，这引起了人们对其客户支持的担忧。”PissedConsumer.com的首席执行官兼联合创始人迈克尔·波多尔斯基说。 据CNBC报道，Meta的两轮裁员影响了该公司为用户、公众人物、社区和企业提供的本已糟糕的客户服务。今年1月，Meta停止了对管理热门Facebook社区和群组的特权用户的支持功能。 4-5%的虚假账户被删除，数量达上亿 Facebook在今年第一季度删除了4.26亿个虚假账户。这是五年多来的最低数字。在前两年，这一数字在每个季度13亿至18亿之间波动。 Facebook在报告中写道:“由于网络空间的高度对抗性，预计虚假账户的执法指标会出现波动。” Facebook估计，在2023年第一季度，虚假账户约占Facebook全球月活跃用户(MAU)的4-5%。 真实用户受到妨碍:恢复账户可能需要数周时间 营销机构Ascendly marketing的总裁兼创始人马歇尔•戴维斯(Marshal Davis)表示，Facebook上的合法用户有时会陷入旨在捕捉虚假账户的拉网中。Ascendly marketing也帮助客户和有影响力的人在Meta和其他平台上找回自己的账户。 “Meta的申诉程序对用户并不友好，经常导致账户恢复延迟。缺乏流线型的沟通渠道加剧了这一问题。用户被蒙在鼓里，不确定他们的上诉状态。恢复一个被禁用或被黑的账户是一个漫长的过程，可能会持续数周。” 使问题复杂化的原因是缺乏直接的人力支持。 戴维斯补充说:“用户应该准备好迎接漫长、令人沮丧的体验。” 据他介绍，由于Meta机器学习算法的局限性，误报经常发生。Meta的平台对虚假账户具有吸引力，因为它们的全球可访问性、进入门槛底下和创建账户的简易。这使得恶意行为者使用自动机器人或人工操作员为各种恶意活动创建账户——包括垃圾邮件和虚假信息。 “这些算法往往无法理解用户生成内容背后的细微差别和背景。”戴维斯说。 这个功能有时候会被“喷子”滥用。正如英国政府所揭露的那样，克里姆林宫用来为俄罗斯入侵乌克兰争取支持的策略包括利用“a troll factory（巨魔工厂）”在社交媒体上传播虚假信息。 99000名愤怒的消费者的抱怨 PissedConsumer.com与Cybernews分享了一些统计数据:自2015年以来，该网站的用户共发布了9.9万条关于Facebook的评论，平均评分为1.8星。 截至2023年9月，通过PissedConsumer平台向Facebook客户服务部门拨打的电话高达705089个。评论的用户们声称他们共遭受了1.02亿美元的损失。 该公司说：“消费者倾向于联系Facebook客服询问有关账户、产品或服务的问题，并要求提供信息。” 负面评论通常包括“没有客户服务”和“被黑客攻击”，而正面评论则提到“朋友”和“家人”。 PissedConsumer.com的首席执行官兼联合创始人Michael Podolsky指出，许多问题出在Meta用于验证和报告的自动算法上。 他指出，Facebook用户面临的最重要问题是缺乏客户服务，这加剧了根本问题，例如账户被黑客入侵、违反内容政策、冒充、诈骗、仇恨言论、隐私泄露或其他客户的突出问题。 Podolsky表示:“消费者通常希望在遇到问题时得到及时的回应和帮助，但这些评论表明Meta的消费者支持流程还有改进的空间。 账户被黑了或者被禁用了怎么办? 有时，Meta会在X (Twitter)上对陷入困境的用户做出反应。他们的建议通常是:“您好，请访问我们的帮助中心获取帐户支持:https://meta.com/help/。” 对此，有些人的回应是:“我试过了，你的帮助中心一点帮助都没有。” “用户应该做的第一件事是尝试Meta的官方支持渠道，比如帮助中心或客户支持。我们一直强烈鼓励消费者向公司公开表达他们的担忧。在Twitter (X)上发布帖子可能会引起关注，但就Meta而言，这并不是一个万无一失的解决方案。Meta的专用支持渠道更有可能为账户相关问题提供直接帮助。请记住，反应时间和效果可能会有所不同，所以在试图解决这些问题时要有耐心和毅力。”     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 国家安全保障会议(NSC)泄露了近1万名会员的电子邮件和密码，包括政府机关和大企业在内的2000多家企业被曝光。 美国国家安全委员会(NSC)是一家提供工作场所和驾驶安全培训的非营利组织。NSC的数字平台为不同企业、机构和教育机构的近55,000名成员提供在线资源。 然而，该组织网站在长达5个月的时间里都暴露在网络攻击的危险中。Cybernews研究小组发现，公开访问网络目录暴露了数千个凭据。 在泄露的一长串证书清单中，大约有2000家公司和政府机构的员工信息，包括: 化石燃料巨头:壳牌、英国石油、埃克森（Exxon,）、雪佛龙(Chevron) 电子制造商:西门子、英特尔、惠普、戴尔、英特尔、IBM、AMD 航空公司:波音公司、美国联邦航空管理局(FAA) 制药公司:辉瑞、礼来 汽车制造商:福特、丰田、大众、通用、劳斯莱斯、特斯拉 政府机构:司法部(DoJ)、美国海军、联邦调查局、五角大楼、NASA、职业安全与健康管理局(OSHA) 互联网服务提供商:Verizon、Cingular、Vodafone、 ATT、Sprint、 Comcast 其他:亚马逊、Home Depot、Honeywell、可口可乐、UPS 这些公司可能在该平台上拥有账户，以获取培训材料或参加国家安全委员会组织的活动。 该漏洞不仅对NSC系统构成了风险，而且对使用NSC服务的公司也构成了风险。泄露的凭证可能被用于凭证填充攻击，这种攻击试图登录公司的互联网连接工具，如VPN门户、人力资源管理平台或公司电子邮件。 此外，凭据可能被用来获得进入公司网络的初始访问权限，以部署勒索软件、窃取或破坏内部文件或访问用户数据。Cybernews联系了NSC，并迅速解决了这个问题。 曝光的网页文件夹|来源:Cybernews 对网络目录的公共访问 该漏洞于3月7日被发现。Cybernews研究小组发现了NSC网站的子域名，该域名可能用于开发目的。它向公众公开了其网络目录列表，使攻击者能够访问对网络服务器运行至关重要的大多数文件。在可访问的文件中，研究人员还发现了存储用户电子邮件和散列密码的数据库备份。这些数据被公开访问了5个月，因为IoT搜索引擎在2023年1月31日首次对泄漏进行了索引。 总的来说，备份存储了大约9500个唯一帐户及其凭证，涉及到各个行业的近2000个不同的公司电子邮件域。 泄露的包含用户凭证的表|来源:Cybernews 一个对公众开放的开发环境显示出其开发实践有多糟糕。这样的环境应该与生产环境的域分开托管，并且必须避免托管实际的用户数据，更不应该是公开访问的。 用户表架构|来源:Cybernews 由于大量电子邮件被泄露，平台用户遇到垃圾邮件和网络钓鱼邮件的情况可能会激增。建议用户从外部验证电子邮件中包含的信息，并谨慎点击链接或打开附件。 可破译的密码 被暴露的密码使用SHA-512算法进行杂凑—该算法被认为对密码散列是安全的，另外还使用了一种额外的安全措施—salts。但是，salts与密码散列存储在一起，并且仅使用base64进行编码。这使得潜在的攻击者很容易检索到salts的明文版本，从而简化了密码破解过程。 破解数据库中发现的单个密码可能需要长达6小时的时间，这取决于密码的强度以及攻击者使用的先前泄露的密码或单词组合列表状况。 这并不意味着泄露的数据库中的每个密码都可以被破解，然而其中很大一部分可以被黑客获取。研究表明，80%的成功破解此类密码的概率是相对常见的。 出于这个原因，我们建议拥有NSC帐户的用户在nsc.org网站和使用相同密码的任何其他帐户上更改其密码。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 据IT安全公司ReliaQuest的威胁研究人员研究，QakBot、SocGholish和Raspberry Robin这三种恶意软件加载程序在80%的攻击事件中造成了严重破坏。 恶意软件加载程序被用作交付和执行其他形式的恶意软件的载体，例如勒索软件、病毒、特洛伊木马或蠕虫。它们是攻击者在初始网络攻击阶段投放有效载荷（payloads）的最常见工具之一。 ReliaQuest的研究人员观察了消费者环境中最常见的变种，发现自今年年初以来，仅三个恶意软件加载程序就占了大部分事件的份额。 恶意软件加载器对网络安全团队来说很棘手，因为即使加载的恶意软件相同，对一个加载器的防御可能对另一个加载器不起作用。 “仅检测到恶意软件加载程序，并不意味着目标网络受到了损害。我们观察到的大多数情况下，恶意软件加载程序在杀伤链的早期都会被检测到并停止，但加载器引起的任何系统瘫痪威胁都不容忽视，尤其是三种最受欢迎的加载器。”研究人员写道。然而，我们对主要罪犯QakBot (QBot, QuackBot, Pinkslipbot)、SocGholish和Raspberry Robin真的了解吗? QakBot瞬息万变 QakBot与Black Basta勒索软件组织有关，最初是作为银行木马设计的，升级了新的功能后便成为了一种通用的恶意软件。 QakBot不仅用于对目标网络的初始访问，还提供远程访问有效载荷、窃取敏感数据，并帮助黑客进行横向移动和远程代码执行。 通常，QakBot是通过网络钓鱼电子邮件发送的。这些电子邮件为收件人提供量身定制的诱饵，如工作订单、紧急请求、发票、文件附件、超链接等。有效载荷以PDF、HTML或OneNote文件的形式下载。 研究人员解释说:“QakBot会使用WSF、JavaScript、Batch、HTA或LNK文件，通过此类文件在执行计划任务或注册表运行键从而建立持久性。” QakBot的经营者足智多谋，能够迅速做出反应或改变他们的部署策略。这种恶意软件是一种不断发展和持续的威胁，可以灵活的针对任何行业或地区。 通过SocGholish，一个用户得以影响整个系统 SocGholish，也被称为FakeUpdates，是一种伪装成合法的软件更新的程序。这个JavaScript恶意软件加载程序的目标是基于微软Windows环境的系统，并通过驱动式妥协(下载无需用户交互)交付。 ReliaQuest写道:“访问受感染网站的访问者被诱骗下载‘更新’，他们通常是通过过时浏览器的提示或其他针对Microsoft Teams和Adobe Flash的诱饵看到更新提示的。” SocGholish与总部位于俄罗斯、以经济驱动的网络犯罪集团“Evil Corp”有关。他们典型的主要目标是位于美国的住宿和食品服务商、零售贸易和法律服务行业。 该软件还与初始访问代理公司Exotic Lily有联系。Exotic Lily公司通过高度复杂的网络钓鱼活动获得初始访问权限，并将权限出售给勒索软件组织或其他攻击者。 SocGholish运营商会使用令人信服的社会工程策略，让人们放下戒备心。 “它庞大的恶意软件分发网络会运行在受感染的网站和社会工程上，”研究人员警告说:“仅仅四次用户点击就能在几天内影响整个领域或计算机系统网络。” Raspberry Robin是个多面手 树莓罗宾(Raspberry Robin)是一种非常难以捉摸的蠕虫加载程序，针对微软Windows环境，与各种能力很强的恶意组织(包括Evil Corp和Silence (Whisper Spider))有联系。 它的传播能力异常强大，恶意USB设备完成初始感染后，cmd.exe便会在受感染的USB上运行并执行LNK文件。LNK文件包含触发本地Windows进程的命令，例如msiexec.exe，以启动一个出站连接来下载Raspberry Robin DLL。 除了Cobalt Strike工具外，Raspberry Robin还被用于传递多种勒索软件和其他恶意软件变体，如“Cl0p”“LockBit”“TrueBot”和“Flawed Grace”。 2023年，Raspberry Robin运营商的目标是金融机构、电信、政府和制造组织。 研究人员解释说:“Raspberry Robin是黑客武器库中非常有用的补充，有助于开辟一个初始网络立足点，并提供多种形式的有效载荷。” 如何防御恶意软件加载程序? 有几个步骤可以帮助最小化来自恶意软件加载程序的威胁。以下是ReliaQuest的建议: 配置GPO(组策略对象)以将JS文件的默认执行引擎从Wscript更改为Notepad，以及您认为合适的任何其他脚本文件。这将阻止这些文件在主机上执行。 阻止具有通常用于恶意软件传递的文件扩展名的入站电子邮件。 通过防火墙或代理配置，限制公司资产与互联网的任意连接，以最大限度地减少恶意软件和C2活动。 限制远程访问软件的使用（除非个人工作绝对需要）或者加强监控以发现误用。网络犯罪分子—尤其是IAB和勒索软件运营商——喜欢使用这种软件来获取和维持对网络的访问权限。 禁用ISO挂载。ISO是一种越来越可靠的绕过防病毒或端点检测工具的方式。 实现USB访问控制和 GPO，以防止自动运行命令执行。如果业务条件允许，请考虑禁用任何可移动媒体访问。 培训员工识别网络上使用的社会工程策略，并为他们提供适当的渠道来报告可疑的电子邮件或其他活动。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 去年LockBit 3.0勒索软件构建器的泄漏导致威胁行为者滥用该工具来生成新的变体。 俄罗斯网络安全公司卡巴斯基(Kaspersky)表示，它检测到一次部署了一类LockBit版本的勒索软件的入侵，但索要赎金的程序明显与之前不同。 安全研究人员Eduardo Ovalle和Francesco Figurelli说:“该事件背后的攻击者决定使用不同的勒索信。信的标题与一个从前不为人知的组织有关，名为‘NATIONAL HAZARD AGENCY’。” 新版本的勒索信直接指定了获得解密密钥需要支付的金额，并将通信定向到Tox服务和电子邮件。这与LockBit组织的行为不同，后者没有提到金额，而是使用自己的通信和协商平台。 NATIONAL HAZARD AGENCY并不是唯一使用泄露的LockBit 3.0构建器的网络犯罪团伙。已知利用它的其他组织包括Bl00dy和Buhti。 卡巴斯基指出，它在遥测中共检测到396个不同的LockBit样本，其中312个工件是使用泄露的构建器创建的。多达77个样本在勒索信中没有提到“LockBit”。 研究人员说:“许多检测到的参数与构建器的默认配置相对应，只有一些包含微小的变化。这表明，这些样本可能是出于紧急需求而开发的，也可能是由懒惰的人开发的。” 这一披露是在Netenrich深入研究一种名为ADHUBLLKA的勒索软件毒株之际发布的。该病毒自2019年以来多次更名(BIT、LOLKEK、OBZ、U2K和TZW)，同时针对个人和小企业，以换取每位受害者800至1600美元的小额赔偿。 尽管每次迭代都会对加密方案、赎金笔记和通信方法进行轻微修改，但仔细检查就会发现，由于源代码和基础架构的相似性，它们都与ADHUBLLKA有关。 安全研究员Rakesh Krishnan说:“当一个勒索软件在野外应用成功时，网络犯罪分子通常会使用相同的勒索软件样本—稍微调整一下他们的代码库—来试验其他项目。” “例如，他们可能会更改加密方案、赎金笔记或指挥与控制(C2)通信通道，然后将自己重新命名为‘新的’勒索软件。” 勒索软件仍然是一个积极发展的生态系统，见证了黑客策略的频繁变化。恶意软件越来越多地关注Linux环境，使用Trigona, Monti和Akira等家族。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 你真的隐身了吗? 深入谷歌私人浏览，揭开网络隐身的神话和真相。 长期以来，谷歌的隐身模式一直是那些希望对共享设备和有意跟踪在线活动的公司的用户的首选保密工具。它通常被称为私人浏览，或色情模式。 与流行的观点相反，隐私功能不仅仅是为了隐藏网上的成人内容。例如，大多数在线航班搜索引擎使用cookie来跟踪搜索，在多次搜索同一行程后，机票价格会慢慢上涨，从而诱使用户提前预订。用户可以通过打开单独的隐身浏览窗口来节省潜在的巨大成本。 “隐形页面”的真相 许多用户仍然没有意识到，隐身浏览窗口并没有向雇主、互联网服务提供商或他们访问的一些网站隐藏他们的浏览历史。在私人窗口登录Facebook、亚马逊或Gmail等任何网站时，大型科技公司仍然可以将你的在线活动与其他账户和个人资料联系起来。虽然对许多人来说，这是显而易见的，但其他人仍带着虚假的安全感继续使用这个功能。 然而，在技术人员沾沾自喜之前，即使你相信你的在线行为被匿名所掩盖，看不见的力量可能仍然在起作用。即使没有登录到一个平台，你的虚拟足迹仍然很容易被追踪，这要归功于“指纹识别”。这种高级形式的跟踪结合了您的IP地址、屏幕分辨率、安装的字体和浏览器版本等详细信息。指纹识别技术创造了一个独特的轮廓—就像一个侦探从分散的线索中拼凑出一个难以捉摸的人物的身份。 这个数字身份可以跨会话和设备持久存在。它通常不受试图清除浏览器历史记录或使用隐身模式的影响。这对用户来说意味着，让你的设备成为“你的”的那些方面—那些个人定制和调整—也可能是泄露你在线匿名性的因素。所以，即使你在“隐身”的保护伞下浏览网页，也要记住:你的数字身份影子可能仍然是可见的。 隐私审判:谷歌的隐身模式面临50亿美元的赔款 自从将“不作恶”(Don’t be evil)的座右铭从公司行为准则中删除后，许多人对信任这家科技巨头变得越来越谨慎。从2020年起，谷歌将面临一场50亿美元的巨额诉讼，这是一项开创性的法律行动，给其吹捧的“隐身模式”蒙上了阴影。原告强烈认为，尽管谷歌保证了隐私，但其复杂的cookie网络、分析工具和基于应用程序的工具未能暂停跟踪，即使用户认为他们在隐身保护伞下受到了保护。 相比之下，谷歌坚定地为自己辩护，强调其网站一贯有清晰的声明。他们指出，Chrome的隐身功能并不是一种隐形的面纱，而只是一种防止浏览数据被存储在本地的功能。事实上，每次用户打开私人浏览会话时，都会出现警告。问题是很少有人读到这个警告，这意味着这场诉讼的关键在于一个经典的论题:感知安全与实际安全。 这家科技巨头将法庭案件视为小麻烦。从局外人的角度来看，潜在的罚款似乎只是他们巨大收入海洋中的沧海一粟。对这类公司来说，处罚已成为他们在数据驱动的帝国中开展业务的另一项成本。但随着一场50亿美元的诉讼越来越接近审判，这家科技巨头会受到的可能不仅仅是流个鼻血这么简单了。 谷歌是否歪曲了隐身模式的作用? 从技术角度来看，谷歌的隐身模式的主要功能似乎一直是透明的:保护用户的浏览历史不被其他使用同一设备的人看到。如果你的设备在多个设备上同步，这个功能可以确保隐私不被窥探。 精通技术的人很清楚它的局限性。然而，普通用户往往会被迫接受冗长的条款和条件。这些文件有时用密密麻麻的法律术语写成，似乎是为了鼓励用户盲目地同意。 对许多用户来说，“历史”一词可能包含了更广泛的理解。他们可以假定“没有历史”意味着没有任何痕迹—在网络空间的沙滩上没有留下脚印。这种感知到的隐私和实际功能之间的差异可能会导致虚假陈述。如果这是故意混淆以误导普通用户，那么问责制问题就出现了。 2018年，谷歌Chrome工程师的内部通信揭示了他们对隐身模式的看法，这为这场辩论增加了另一层含义。谷歌员工开玩笑说，使用“间谍”图标是不合适的。另一个人将其与《辛普森一家》中的一个搞笑角色“Guy Incognito”联系起来，这个角色以其可笑而无效的伪装而闻名。这个玩笑虽然轻松愉快，但可能无意中强调了一个事实:隐姓姓名对隐私的承诺可能就像“Guy Incognito”的胡子伪装一样肤浅。虽然表面上来看是幽默的，但这种内部玩笑可以被视为淡化隐私问题。 隐私逐渐成为这个时代的奢侈品，但结合VPN浏览器扩展可以在保护在线匿名性方面发挥关键作用。它提供了一个强大的屏障，防止互联网服务提供商跟踪你的一举一动。这是阻止广告商从你在网站上的浏览中获取利益一个屏障。 虽然隐身面纱看起来不透明，但真正的在线隐身可能比你想象的更难以捉摸。读者可以常常自省：我的数字身份是否真的隐藏起来了。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 最近的Discord.io漏洞表明，游戏社区成为了越来越有吸引力的目标，因为他们经常使用高性能的机器，并且有资源可以窃取。DomainTools的研究人员写道，大多数恶意软件的目标是Windows系统，并通过Discord发送。可能需要格式化磁盘并重新安装操作系统才能解决恶意攻击。 利用Discord.io漏洞，恶意行为者可以挖掘被入侵的账户和社区列表，以确定可能的感染目标。 研究人员警告说:“只需点击一下，目标玩家的电脑就能被完全破坏。电脑通常被安上信息窃取程序，但远程访问木马、加密矿工或其他恶意软件也可能被释放出来。” 如果发生这种情况，用户不应该浪费时间试图用好的软件来清除有害的软件。 DomainTools研究和数据副总裁肖恩•麦克尼表示:“有时候，解决的唯一途径就是从头开始重新格式化机器——重新组装和铺路（nuke and pave）。” 为什么擦除硬盘是最好的方法 “Nuke and pave”意味着彻底清除受感染设备的硬盘驱动器，从而删除所有数据和软件，然后重新安装一个干净版本的Windows。但事情并不总是那么简单，因为网络骗子正在寻找隐藏他们肮脏代码的新方法。 恶意软件通常会深入到系统中，躲避监控，还可能包括防御防篡改措施。 尽管你会努力尝试使用杀毒软件来清除受感染的系统病毒，但你永远无法完全确定你是否已经清理干净。研究人员警告说:“事实上，你可能经常运行多个反病毒产品—每个产品都得意洋洋地向你报告‘没有发现恶意软件’，结果系统仍然表现出不可否认的严重的问题。” 如今，用户必须牢记，即使是重新格式化驱动器和重新安装系统也变得更加复杂。 DomainTools的研究人员写道:“我们知道你会给你的系统消毒(尽管我们都知道这行不通)。” 在这种情况下，研究人员建议用户了解不同类型的恶意软件之间的细微差别。它可能是机器人程序、真正的计算机病毒、蠕虫、后门、特洛伊木马、rootkit、潜在的不需要的程序、广告软件、犯罪软件、勒索软件、间谍软件等，不同类型决定了清洁工具的不同。 你必须“为清洁工作选择正确的工具并确保设置了所有正确的选项，”研究人员警告说：“许多杀毒软件供应商只使用一个工具，并未提供一个全面的方法来发现和清除所有类型的恶意软件。” 此外，用户应该扫描其系统上的所有数据卷（volumes）。但即便如此，目前无论使用什么工具都无法得到保证。例如，即使杀毒产品宣称计算机是干净的，最好的做法也是使用其他工具(如MalwareByte的ADWCleaner)检查系统中留下的与恶意软件相关的工件。 研究人员注意到:“在一台感染了Discord恶意软件的样本电脑上，ADW发现并标记了三个注册表项，但没有删除。” 恶意软件作者以操纵注册表项而闻名。注册表中有问题或混淆的设置可能被深埋，难以修复。例如，搜索劫持恶意软件可能会将浏览器的默认搜索引擎更改为向劫持者支付重新路由流量的搜索引擎。 其他恶意软件可能隐藏在浏览器扩展中，这些扩展可能被防病毒软件扫描，也可能不被扫描，并且可能在启动时通过主要通过msconfig可见的条目自动启动并在后台运行。恶意软件的创建者一直在寻找新的方法来在受感染的系统上实现“持久性”。 为什么是游戏玩家?为什么是Discord? 攻击者已经进行了成本效益分析，而游戏玩家在他们的清单上名列前茅。 首先，游戏电脑通常比非游戏电脑更强大，而且往往拥有一流的网络连接。如果攻击需要付出同等精力，网络犯罪分子将瞄准更快的系统来安装他们的加密矿工，控制中心或其他货币化选项。 游戏电脑通常不受保护，因为防病毒软件和其他措施可能会“减慢系统速度”。 Discord是一款面向游戏玩家的即时通讯服务，免费且广受欢迎，拥有超过1.5亿活跃用户。该软件的通信是加密的，因此流量对网络监控和攻击检测工具是隐藏的。Discord的用户拥有可以被攻击者变现的资产。 Sophos将Discord描述为一个“粗鲁的社区”和“恶意软件的垃圾场”。甚至对于没有托管在Discord上的恶意软件，Discord API也是恶意命令和控制网络功能的沃土，这些功能隐藏在Discord的tls保护的网络流量中。 一种流行的攻击方式是“新游戏”，当队友或其他人要求尝试新软件时，这实际上可能是恶意软件。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文