Python 软件包索引（PyPI）软件仓库的管理员已经隔离了 “aiocpa ”软件包，因为该软件包在新的更新中包含了通过 Telegram 外泄私钥的恶意代码。 该软件包被描述为同步和异步 Crypto Pay API 客户端。该软件包最初于 2024 年 9 月发布，迄今已被下载 12100 次。 将 Python 库隔离后，客户端就无法继续安装，其维护者也无法对其进行修改。 网络安全机构Phylum上周分享了软件供应链攻击的细节，该机构称，软件包的作者在PyPI上发布了恶意更新，同时在GitHub的库中保持清洁，试图逃避检测。 目前还不清楚最初的开发者是恶意更新的幕后黑手，还是他们的证书被其他威胁行为者泄露。 恶意活动的迹象首次出现在 0.1.13 版本的库中，其中包括对 Python 脚本 “sync.py ”的修改，该脚本的目的是在安装软件包后立即解码并运行一段混淆代码。 Phylum说：“这个特殊的blob被递归编码并压缩了50次，”Phylum补充说，它被用来使用Telegram机器人捕获并传输受害者的Crypto Pay API令牌。 值得注意的是，Crypto Pay 被宣传为基于 Crypto Bot（@CryptoBot）的支付系统，允许用户接受加密货币支付，并使用 API 向用户转账。 这一事件意义重大，尤其是因为它凸显了在下载软件包之前扫描其源代码的重要性，而不仅仅是检查其相关的软件仓库。 “正如这里所证明的那样，攻击者可以在向生态系统分发恶意软件包的同时，故意维护干净的源代码库，”该公司表示，并补充说，“这次攻击提醒我们，软件包之前的安全记录并不能保证其持续的安全性。” 软件包 aiocpa 已正式从 PyPI 软件源中删除。     转自安全客，原文链接：https://www.anquanke.com/post/id/302189 封面来源于网络，如有侵权请联系删除

研究人员表示，影响大多数计算机的固件漏洞使黑客能够执行恶意代码并绕过启动安全系统。 研究人员表示，可能影响95%计算机的固件漏洞使黑客能够无视启动安全并在启动时执行恶意软件。这些缺陷源于 UEFI 系统固件中用于在启动屏幕上加载徽标图像的图像解析器，因此被称为“LogoFAIL”。 发现这些漏洞的固件供应链安全公司 Binarly 的研究人员警告说： “包括英特尔、宏碁和联想在内的不同供应商的数百种消费级和企业级设备可能容易受到攻击。” LogoFAIL 首次在11月29日的博客文章中披露，技术细节在Binarly 在Black Hat Europe 2023上展示其发现后于周三发布。 什么是LogoFAIL？ LogoFAIL 是用于在设备启动过程中加载徽标的图像解析库中的一组固件漏洞。利用 LogoFAIL 要求攻击者能够访问存储徽标图像的 EFI 系统分区 (ESP)，即黑客通过利用其他错误获得远程访问权限或对设备进行物理访问。 使用恶意负载更改或替换徽标图像会导致在启动过程中解析图像时注入的恶意软件被任意执行。此图像解析过程发生得太早，无法让安全启动和英特尔 Boot Guard 等安全机制检测到恶意代码。 Binarly 研究人员写道： “这种攻击向量可以为攻击者提供绕过大多数端点安全解决方案的优势，并提供一个隐形固件启动工具包，该启动工具包将持续存在于 ESP 分区或带有修改过的徽标图像的固件胶囊中。” 我的计算机是否受到 LogoFAIL 的影响？ 由于三个主要独立 BIOS 供应商 (IBV)（AMI、Insyde 和 Phoenix）普遍使用受影响的图像解析器，LogoFAIL 的攻击面非常巨大。这些供应商为宏碁、英特尔和联想等数十家主要设备制造商提供 UEFI 系统固件，然后这些制造商将固件整合到数百种设备型号中。 据 DarkReading 称， Binarly 首席执行官 Alex Matrosov 估计95%的设备使用来自受影响的 IBV 之一的 UEFI 固件。 然而，Binarly 研究人员报告称，并非所有具有构成 LogoFAIL 的图像解析器缺陷的设备都可以被视为真正“可利用”。例如，虽然研究人员测试的戴尔设备总共包含了526个有缺陷的解析器，但这些缺陷无法用于执行恶意代码，因为戴尔计算机不允许更改启动徽标图像。 虽然研究人员尚未能够编制受影响设备型号的完整列表，但他们在披露 LogoFAIL 详细信息的几个月前就向主要 IBV 和设备供应商报告了这些漏洞。用户需要确保他们的计算机固件是最新的，以防止 LogoFAIL 漏洞；例如，联想发布了安全公告以及有关如何更新特定设备型号的说明。   转自安全客，原文链接https://www.anquanke.com/post/id/291789 封面来源于网络，如有侵权请联系删除

日本计算机紧急响应小组 (JPCERT) 日前分享了在2023 年 7 月检测到的利用PDF文档的新型攻击——PDF MalDoc攻击，能将恶意 Word 文件嵌入 PDF 来绕过安全检测。 JPCERT采样了一种多格式文件，能被大多数扫描引擎和工具识别为 PDF，但办公应用程序可以将其作为常规 Word 文档 (.doc) 打开。多格式文件是包含两种不同文件格式的文件，这些文件格式可根据打开它们的应用程序解释为多种文件类型并执行。 通常，攻击者使用多格式来逃避检测或迷惑分析工具，因为这些文件在一种格式中可能看起来安全，而在 另一种格式中隐藏恶意代码。 在JPCERT的分析结果中，PDF 文档包含一个带有 VBS 宏的 Word 文档，如果在 Microsoft Office 中以 .doc 文件形式打开，则可以下载并安装 MSI 恶意软件文件，但JPCERT并未透露有关安装的恶意软件类型的任何详细信息。 需要注意，PDF 中的 MalDoc 无法绕过 Microsoft Office 上禁止自动执行宏的安全设置，用户需要通过点击相应设置或解锁文件来手动禁用。 JPCERT 表示，虽然将一种文件类型嵌入另一种文件类型并不是什么新鲜事，但攻击者部署多格式文件来逃避检测的情况已时有发生。 对于攻击者来说，PDF 中MalDoc 的主要优势在于能够躲避传统 PDF 分析工具（如 “pdfid”）或其他自动分析工具的检测，这些工具只会检查文件外层看似正常的结构。 JPCERT给出的解决办法是采用多层防御和丰富的检测集，“OLEVBA”等其他分析工具仍然可以检测隐藏在多语言中的恶意内容。此外，他们还分享了一条 Yara 规则，即检查文件是否以 PDF 签名开头，并包含指示 Word 文档、Excel 工作簿或 MHT 文件的模式，这与 JPCERT 在野外发现的规避技术一致。     转自Freebuf，原文链接:https://www.freebuf.com/news/376435.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，网络安全公司 Deep Instinct 的安全研究人员发布了一个滥用Windows筛选平台（ WFP) 来提升用户权限的工具NoFilter，能将访问者的权限增加到Windows上的最高权限级别——SYSTEM权限。 该实用程序在后利用场景中非常有用，在这种场景中，攻击者需要以更高的权限执行恶意代码，或者在其他用户已经登录到受感染设备时在受害者网络上横向移动。 微软将WFP 定义为一组 API 和系统服务，为创建网络过滤应用程序提供平台。开发人员可以使用 WFP API 创建代码，在网络数据到达目的地之前对其进行过滤或修改，这些功能在网络监控工具、入侵检测系统或防火墙中可见。 研究人员开发了三种新的攻击来提升的权限，既不会留下太多证据，也不会被众多安全产品检测到。 复制访问令牌 第一种方法允许使用 WFP 复制访问令牌，即在线程和进程的安全上下文中识别用户及其权限的代码片段。当线程执行特权任务时，安全标识符会验证关联的令牌是否具有所需的访问级别。 安全研究员解释称，调用 NtQueryInformationProcess 函数可以获取包含进程持有的所有令牌的句柄表。这些令牌的句柄可以复制，以便另一个进程升级到 SYSTEM。Windows 操作系统中一个名为 tcpip.sys的重要驱动程序 具有多个函数，可以通过设备 IO 请求向 WPF ALE（应用程序层执行）内核模式层调用这些函数，以进行状态过滤。NoFilter工具 通过这种方式滥用WPF来复制令牌，从而实现权限提升。 研究人员表示，通过避免调用 DuplicateHandle，可以提高隐蔽性，并且许多端点检测和响应解决方案可能会忽视恶意操作。 获取系统和管理员访问令牌 第二种技术涉及触发 IPSec 连接并滥用 Print Spooler 服务以将 SYSTEM 令牌插入表中。使用 RpcOpenPrinter 函数按名称检索打印机的句柄。通过将名称更改为“\\127.0.0.1”，该服务将连接到本地主机。在 RPC 调用之后，需要向 WfpAleQueryTokenById 发出多个设备 IO 请求才能检索 SYSTEM 令牌。 研究人员表示，这种方法比第一种方法更隐蔽，因为配置 IPSec 策略通常是由网络管理员等合法特权用户完成的操作。 第三种方法允许获取登录到受感染系统的另一个用户的令牌，以进行横向移动。研究人员表示，如果可以将访问令牌添加到哈希表中，则可以使用登录用户的权限启动进程。为了获取令牌并以登录用户的权限启动任意进程，研究人员滥用了 OneSyncSvc 服务和 SyncController.dll，它们是攻击性工具领域的新组件。 检测建议 黑客和渗透测试人员很可能会采用这三种方法，但Deep Instinct也给出了如下缓解措施： 配置与已知网络配置不匹配的新 IPSec 策略。 当 IPSec 策略处于活动状态时，RPC 调用 Spooler/OneSyncSvc。 通过多次调用 WfpAleQueryTokenById 来暴力破解令牌的 LUID。 BFE 服务以外的进程向设备 WfpAle 发出设备 IO 请求。     转自Freebuf，原文链接:https://www.freebuf.com/news/376019.html 封面来源于网络，如有侵权请联系删除

当开发人员在GitHub上寻找开源项目时，会习惯对其元数据进行检查，但研究发现，这些元数据很容易被伪造，并以此用来传播恶意代码。 Checkmarx 的研究人员在一份新报告中警告说，开发人员在查看元数据时应当尽力核实背后贡献者的身份，而不应仅停留于对元素据表面的检查。 通常，开发人员在GitHub上寻找开源项目时，会倾向于选择那些活跃的、有积极维护记录的贡献者所提供的项目，Git对每一次更改分配了一个唯一的 ID，该ID记录了由谁更新、具体的更新内容以及时间戳，相对而言，拥有较多的更新反映了贡献者对这个项目的重视，项目得到了较好的维护与优化。 但根据Checkmarx的说法，攻击者可以轻松伪造这些记录。报告称，衡量 GitHub 上用户活动的一个重要指标是用户个人资料页面上的活跃热图，显示用户在一段时间内的活跃程度，而攻击者能在注册的全新账户上通过伪造带有时间戳的提交记录，使之看起来已经平台上活跃了很长时间。 利用git set更改本地两个环境变量，从而在 GitHub 上显示伪造的时间戳 类似的，攻击者还可以“借用”一些知名的、信誉度良好的贡献者身份上传包含恶意代码的项目，攻击者只需要找到这些贡献者的电子邮件地址，然后在 Git 命令行上设置用户名和电子邮件地址并提交更改。报告称，尽管 GitHub 提供了隐藏电子邮件地址的方法，但大多数人并没有使用这些功能，从而让攻击者可以相对容易地获取这些邮件地址。此外，被借用身份的贡献者也不会收到任何关于他们的账户被添加为另一个项目的贡献者的通知。 Checkmarx的供应链安全主管Tzachi Zornstain强调，开发人员在选择开源项目时，要重视这些项目贡献者的身份是否已被验证，如果一个项目包含多个贡献者提交的代码，要确保这些贡献者也是必须真实可靠。 他还建议这些项目贡献者使用GitHub的数字签名功能，对自己的代码进行签名，这样他们的贡献就会被验证。该功能包括一个 “警惕模式”，显示所有在其名下贡献的代码的状态，包括其他人可能在其名下提交的代码。GitHub指出，如果所有贡献者希望能够这样做，就需要在2023年前开启双因素认证。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339431.html 封面来源于网络，如有侵权请联系删除