嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com
嘶吼是一家新兴的互联网安全新媒体,为您带来不一样的互联网安全新视界。嘶吼的出现将为信息安全领域带来更有力量的声音,我们的每一声嘶吼,都如雷贯耳;每一个步伐,都掷地有声!
在Pwn2Own Berlin 2025的第二天,参赛者利用了微软SharePoint、VMware ESXi、Oracle VirtualBox、红帽企业Linux和Mozilla Firefox等多个产品中的零日漏洞,获得了43.5万美元的奖金。 最引人注目的是来自STARLabs SG的Nguyen Hoang Thach对VMware ESXi的成功攻击,他利用整数溢出漏洞获得了15万美元。 越南电信网络安全公司(Viettel Cyber Security)的Dinh Ho Anh Khoa获得了10万美元的奖金,原因是他利用一个结合了认证绕过和不安全反序列化漏洞的漏洞链攻击微软SharePoint。 Palo Alto Networks的Edouard Bochin和Tao Yan也演示了Mozilla Firefox中的越权写入零日漏洞,STAR Labs SG的Gerrard Tai使用use-after-free漏洞将红帽企业Linux的权限升级为root, Viettel Cyber Security使用了另一个越权写入Oracle VirtualBox的guest-to-host漏洞。 在人工智能领域,Wiz Research的安全研究人员用免费使用的零日漏洞,利用Redis和Qrious Secure链接的四个安全漏洞,攻击了英伟达的Triton推理服务器。 在第一天,参赛者在成功利用Windows 11、Red Hat Linux和Oracle VirtualBox的零日漏洞后,获得了26万美元的奖金,在比赛的前两天,他们展示了20个独特的零日漏洞,总共获得了69.5万美元的奖金。 Pwn2Own柏林第二天的排名 Pwn2Own Berlin 2025黑客大赛将重点关注企业技术,首次引入人工智能类别,并于5月15日至5月17日在OffensiveCon会议期间举行。 安全研究人员在AI、web浏览器、虚拟化、本地特权升级、服务器、企业应用程序、云原生/容器和汽车类别的完全修补产品中展示零日漏洞,将能够获得超过100万美元的奖励。 然而,在Pwn2Own启动之前,没有特斯拉的注册,但两辆2025年的特斯拉Y型和2024年的特斯拉3型台式汽车也可以作为目标。 在比赛的最后一天,黑客们将尝试利用Windows 11、Oracle VirtualBox、VMware ESXi、VMware Workstation、Mozilla Firefox以及Nvidia的Triton Inference Server和Container Toolkit中的零日漏洞。 在Pwn2Own竞赛期间披露了零日漏洞后,供应商有90天的时间发布其软件和硬件产品的安全修复程序。
依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经公安部计算机信息系统安全产品质量监督检验中心检测,在应用宝中35款移动应用存在违法违规收集使用个人信息情况,现通报如下。 1、未以结构化清单的方式逐一列出收集、使用个人信息规则。涉及 12 款移动应用如下: 《智慧 AI 聊天》(版本 1.4.0)、《虚拟恋爱 AI》(版本 1.1.3)、《轻抖》(版本 V3.2.400)、《剪辑软件》(版本 1.1.2)、《视频剪辑》(版本 26.9.82)、《爱剪》(版本 V1.0.0)、《视频编辑剪辑 cut》(版本 1.0.2)、《妙剪》(版本 1.55)、《智能出行》(版本 1.0.2)、《创游世界》(版本 1.56.0)、《AI音乐学园》(版本 7.1.1)、《台铃电动》(版本 3.3.5)。 2、实际收集的个人信息超出用户授权范围。涉及 18 款移动应用如下: 《智谱清言》(版本 2.9.6)、《Wink》(版本 2.7.0)、《剪印》(版本 24.03.26)、《抖影视频剪辑》(版本 1.2.8)、《Pr 视频剪辑》(版本 2.7.5)、《爱剪辑》(版本 80.21.0)、《免费剪辑视频》(版本 v1.1.8)、《剪辑软件》(版本 1.1.2)、《AI 视频成片》(版本 3.2.0)、《视频剪辑》(版本 26.9.82)、《妙剪》(版本 1.55)、《自律锁机》(版本 24.08.10)、《画世界》(版本 2.9.8)、《QCY》(版本 4.0.8)、《智能出行》(版本 1.0.2)、《创游世界》(版本 1.56.0)、《AVmini》(版本 4.2.0.12)、《小白学习打印》(版本 4.17.4)。 3、个人信息保护政策中描述收集的个人信息与业务功能无直接关联。涉及 2 款移动应用如下: 《AI 智能秘书》(版本 1.0.25)、《抖影视频剪辑》(版本 1.2.8)。 4、在配置文件中声明与移动应用的所有业务功能均没有直接关联的权限。涉及 8 款移动应用如下: 《AI 智能秘书》(版本 1.0.25)、《智慧 AI 聊天》(版本 1.4.0)、《AI 对话专家》(版本 1.0.17)、《QCY》(版本 4.0.8)、《来音吉他》(版本 3.5.8)、《台铃电动》(版本 3.3.5)、《Wow》(版本 1.16.5)、《猫箱》(版本 1.57.0)。 5、申请的可收集个人信息的权限与业务功能没有直接关联。涉及 1 款移动应用如下: 《AVmini》(版本 4.2.0.12)。 6、提前要求用户授权当前未使用的特定功能所需的权限。涉及 2 款移动应用如下: 《AI 剪辑》(版本 20.5)、《视频剪辑王》(版本 1.2.3)。 7、提前要求用户填写当前未使用的特定功能需要的个人信息。涉及 2 款移动应用如下: 《小白学习打印》(版本 4.17.4)、《台铃电动》(版本 3.3.5)。 8、实际收集的个人信息与业务功能没有直接关联。涉及 2 款移动应用如下: 《Kimi》(版本 2.0.8)、《Wink》(版本 2.7.0)。 9、实际收集个人信息的频率与业务功能没有直接关联。涉及 10 款移动应用如下: 《ChatGreat》(版本 1.1.3)、《虚拟恋爱 AI》(版本 1.1.3)、《轻抖》(版本 V3.2.400)、《免费剪辑视频》(版本 v1.1.8)、《剪辑软件》(版本 1.1.2)、《妙剪》(版本 1.55)、《创游世界》(版本 1.56.0)、《AVmini》(版本 4.2.0.12)、《台铃电动》(版本 3.3.5)、《Wow》(版本 1.16.5)。 10、未向用户提供更正或补充其个人信息的具体途径。涉及 1 款移动应用如下: 《ChatGreat》(版本 1.1.3)。 11、广告存在误导、欺骗用户行为。涉及 5 款移动应用如下: 《AI Genie》(版本 2.9.0)、《虚拟恋爱 AI》(版本 1.1.3)、《免费剪辑视频》(版本 v1.1.8)、《视频剪辑王》(版本 1.2.3)、《视频编辑剪辑 cut》(版本 1.0.2)。 (注:文中所列移动应用检测时间为2025年4月16日至2025年5月15日,来源均为应用宝) 文章来源自:国家网络安全通报中心
注:以下内容部分符合OSINT国际开源情报搜集标准,主要来自杨叔个人经历和感受,仅供交流与参考。 0x01 关于Security Show 会场安检/安保机制/日本安防展现场 会议举办方是Nikkei Inc. 即日本経済新聞社,是日本领先的商业、经济和金融新闻供应商,通过出版、广播、互联网和展览等多种媒介提供新闻资讯。 展会时间为2025.03.04--03.07,共持续4天,在日本的朋友有空可以到现场观摩下。 注:海外访客不需要提前申请,只需要在现场提交名片就可以注册。 虽然SECURITY SHOW 2025已是日本最大规模的安防展,但由于国家整体环境相对安全,加上对枪支管控较为严格,所以整体上,并不像欧洲的安防展上那样会出现大量的武器/防暴装备,反而更加侧重公共安全领域。 SECURITY SHOW 2025主要聚焦在以下六个领域: • General Security :综合安防系统、门禁、生物识别、锁具、警报等。 • Security Technology & Device:安防机器人、无人机、人工智能技术等。 • Video Surveillance Solutions:IP摄像机、存储、网络设备、视频管理软件、云服务等。 • Cyber Security:网络信息安全、物理安全措施、加密认证技术等。 • Home Security:家庭安防、自卫产品、安防用品等。 • Disaster Prevention:地震对策、储备、火灾警报、应急通信设备、安全确认系统、业务连续性计划等。 接下来,杨叔就按个人兴趣,逐个分享下现场资料~ 0x02 公安的吉祥物? 公共安全/日本安防展现场 由于日本遭受过奥姆真理教的恐怖袭击,所以一直非常重视反恐层面。颇有影响力的日本公安调查厅PSIA,也专门提前表示将参展本次第33届安全保障管理综合展览会。 PSIA预告将展示有关公安调查厅的职责和作用以及经济安全保障、国际恐怖主义和网络攻击现状的展板,还将分发各种资料并播放有关经济安全、奥姆真理教和国际恐怖主义形势的教育视频。并将举办一场题为“网络空间的威胁:国家发起和国家支持的网络攻击”的研讨会。 在PSIA的展位上,全是戴着黑色口罩的帅气小哥和身材棒棒的小姐姐,确实很符合日剧里的精英人物定义,嘿嘿,这其实都是公关部门的人吧? 咳咳,为了不被小姐姐请走,杨叔只拍了展位,顺手领了份小礼品。 ★小知识: ▪ 公安调查厅是日本主要的情报机构之一,隶属于法务省。公安调查厅名义上是根据《防止破坏法》设立的。公安调查厅总部位于东京都千代田区,下设调查一部、调查二部、总务部以及研修所。 ▪ 公安调查厅于1952年7月21日《颠覆活动防制法》施行后成立,旨在全面调查法律规定的颠覆组织管制及纪律处分请求相关事项。 ▪ 1999年12月27日,《关于实施无差别大规模杀人行为的组织规制的法律》(组织规制法)生效,公安调查厅增加了对实施无差别大规模杀人行为的组织进行调查的规制程序、处理请求及规制措施。 某种角度来说,可以认为PSIA已代表日本政府冲在打击国际恐怖主义的第一线。 话说回来,谁能想到,虽然大家都知道二次元已是日本的支柱产业之一,但杨叔惊奇地发现: 日本各地公安部门都有自己的吉祥物,或者专属动漫角色...... 什么?逮捕令这么经典的动漫你没看过?......好吧,猜猜上面的角色出自下面哪里? 去年暑期,杨叔在日本开展「L3高级隐私风控专家课程」时,带队参观北海道警视厅,看到那边公安的吉祥物居然是一只“四不像”动物~ 0x03 安防设备类 安防设备/日本安防展现场 安防的厂商实在太多了,从日本排名前三的ALSOK,到中国安防巨头厂商大华等,都在现场准备了大型的展位,而且是双方都面对面装了一大堆监控摄像头直接PK的展位~ 现场几乎每个厂商都推出了各种AI人脸识别、AI轨迹识别、可疑行为特征库等技术,让人眼花缭乱的同时,瞬间明白了日本街头人人都喜欢戴口罩的根本原因~ 杨叔在一大堆安防厂商中,找出了这家日本公司,只因为他们同时还提供车牌识别技术。以前杨叔在某电子物证鉴定中心做外聘专家时,看过很多要求识别视频里车牌的案件诉求。 现场居然放了一套高速车模来模拟车牌捕捉演示,很Nice的想法。不过在交流后,了解到他们只能捕获到180公里时速的车牌。 0x04 物理安全类 家庭安保/物理安全/日本安防展现场 由于日本关注家庭财产的安全,所以日本社会对于安防领域的需求非常大,展会上也能发现一些适用于家庭安防等范畴的轻量级解决方案。 比如这家专做玻璃防爆膜的厂家,现场展示了日式别墅里标配的窗户玻璃被暴力敲击破坏时,能确保不会对室内人员造成二次伤害。这满满的动漫风啊,真是颇具日本特色。 展会现场有很多公司都带来了安防机器人、机器狗等新科技展示,杨叔转了一圈,发现大多数都是中国公司,哈哈,就不展示了。 有家日本公司,倒是展示了在施工现场的机器人应用场景,但这个指挥交通的场景,怎么有点弱智和搞笑?不是,说好的机动警察呢? 0x05 小结 日本安防展现场 ......总体来说,日本安防展的规模不大,就参展厂商数量而言,比起俄罗斯、英国和法国的展会有不少差距~ 有趣的是,作为日本安防圈重要一环的日本调查业,并没有任何一家公司出现在SECURITY SHOW 2025的现场,所以如果有人是为了学习了解日本市场监视器材和检测设备来参会,注定要失望~ 不过,这次RC2专程去拜访了日本最大的调查装备供应商本部,双方做了很多深度的交流,这个就是另外的话题了......在今年升级的「PPES物理安全专家课」和特别研讨会上,杨叔会分享更多有趣的日本器材~~敬请期待吧 2025年,RC2也将组织多轮海外研讨活动,除了赴海外(欧洲多国、俄罗斯及日本等)参加行业有影响力的安防展会外,也将拜访行业知名的TSCM厂商交流最新检测设备和器材,欢迎小伙伴们提前报名,加入组队。 OK,以上, 我们3月底与4月初,HK和上海的沙龙上见~
谨以此文,向那些仍然在默默付出的监听技术专家们致敬。 0x01 阿斯顿的拍卖行 2018年7月,阿斯顿的英国达德利(Dudley)拍卖行(大约在利物浦和伦敦的中间地区)举办了俄罗斯收藏品拍卖会,其中有25件在冷战时期收集的极为稀有和罕见的间谍相机。 “在一个地方找到如此多的相机是非常不寻常的,”阿斯顿的摄影顾问蒂姆•戈德•史密斯说。一个未公布身份的拍卖方,在过去的30至40年间,一直致力于收集前苏联间谍相机,甚至早在前苏联政府刚开始购置这类器材时就已开始收集。 戈德•史密斯说:“很明显,那个时候,东德仍处于前苏联的完全控制中。”所以直到最近,能够在西方国家找到这样一个间谍相机宝库几乎可以说是奇迹。 阿斯顿每年举办三次拍卖会,但正如戈德•史密斯所说的那样,7月这场拍卖会“已经完全解锁了所有人的想象力。” 0x02 间谍相机的品牌 这些相机制造于1942年至1990年间,保存得非常完整,几乎所有相机都处于随时可以正常工作的状态,可以说是非常具有收藏品质。前苏联的解体,再加上当今社会小型数码相机的进步,意味着收藏家们获得真实的、旧式的、在电影中传闻的间谍相机的机会已非常有限,更不用说那些仍然具备可使用能力的相机藏品。 嗯,首先,作为间谍的装备,迷你相机必须够小,够袖珍,否则一旦被发现,赌上的就不仅仅是这个间谍的生命,很有可能是整个组织。 本次拍卖藏品中有几款Minox相机,其中包括罕见的Minox Riga,这是该品牌有史以来出品的第一款也是最小的微型镜头。该品牌位于拉脱维亚首都里加,仅在1938年至1943年间投入生产。如下图为几款超小型Minox Riga。 其次,间谍相机要足够隐蔽,所以大部分藏品的主要亮点是这些间谍相机都以伪装成普通物体的思路设计。比如隐藏在附件盒中的相机,隐藏在香烟盒和内置于伞中的相机,甚至还有一个藏匿在男士夹克中的相机。 如下图为一架F-21 AJAX-12间谍相机,配有f2.8 28mm镜头,隐藏在绅士伞内。 这让杨叔想起来另一款同样有名的间谍相机,那个时候,在拐杖中安装微型相机也是一大特色,可惜这次没有出现在拍卖会上。 Lot 178是一款IMBIR 16mm静音电影摄像机,可以伪装成女士单肩包。 根据戈德•史密斯的说法,哈哈,这是一种类似于GoPro的早期设备,主要用于“甜蜜的陷阱(Honey Trap)”场景,比如女性间谍安排的暧昧遭遇或者房间内勾引。 0x03 继续,不要停 如果只是随便扫一眼,下图看起来似乎只是一个普通的Zenit E相机,但打开它的外套就能看的一个隐藏的微型F-21 AJAX-12相机。 这就是设计最巧妙的地方,比如秘密行动人员在某个不允许拍摄照片的地方,保安人员会主观认为:哦,这人挂在脖子上的相机是收在套里的,所以无法拍照,OK。 而实际上,秘密相机可以像钟表一样拨动,内部设计有弹簧和微小的机械齿轮。根据说明,当使用者按下相机底部的一个小按钮时,“一小块琴弦打开了侧面的翻盖。快门按下,翻盖关闭,齿轮转动,为下一张照片做好准备。” “这显然是一款值得Q留意的有趣玩意儿,”戈德•史密斯补充道,Q指的是英国军情六处著名的军需官(也就是007系列电影里的Q博士),他为007提供各种创新的间谍器材。哈哈,007的影迷都知道Q帮助邦德捡了N多条命,因此,普遍认为Q比邦德重要多了。 下图为1989年KIEV-30M超小型间谍相机,配备f3.5 23mm镜头,伪装成工作的手持式电池供电灯。 下图为一件男式夹克,内部装有20世纪70年代的F-21 Ajax-12相机。镜头隐藏在其中一个纽扣后面,可以通过夹克口袋中的“扳机”进行偷拍。 下图这款女士手包配有间谍相机配件。 0x04 售价 这次拍卖的总共包括16个间谍相机和大约十几个配件,包括前苏联克格勃KGB和东德斯塔西STASI使用的前苏联C-215监视潜望镜。 戈德史密斯拒绝讨论定价估计,他说,“这些东西真的很难......通常每年只有一两个出售。”对比阿斯顿同一时期同类型收藏品的拍卖价格,似乎没有什么间谍相机藏品会低于四位数(美金)。 0x05 想起了STASI博物馆 说到这里,杨叔又想起了在柏林STASI博物馆看到的那些间谍相机藏品。比如下图这款微型纽扣相机,可以说是当时划时代的精密设计。 其它还有伪装成领带夹、水杯套、水桶,甚至还有直接伪装成车门的匪夷所思的针孔偷拍偷录器材,前东德情报机关的监听技术专家们,可以说已经把想象力发挥到了极致。 感兴趣的朋友们可以看原文:全面监听:以斯塔西的名义 下图是日本调查业使用到的烟盒型针孔偷拍器材(学员可以把玩哦)。 下图是前苏联KGB使用的间谍相机,间隔几十年,异曲同工的器材,不过技术上不可同日而语,现在这种已经沦为民事调查使用了。
英国最大的跨国商业零售集团玛莎百货(Marks and Spencer)证实,客户数据信息在上个月的一次网络攻击中被盗,当时有人使用勒索软件对服务器进行加密。 这次攻击发生在2025年4月22日,严重影响了该零售商1400家门店的业务运营,迫使其停止接受在线订单。 此次攻击是由DragonForce 恶意软件附属机构进行的,他们利用了 Scattered Spider 社会工程学战术,侵入了玛莎百货的网络,目的是破坏其网络。在攻击期间,攻击者对公司服务器上托管的VMware ESXi虚拟机进行了加密。 事件发生后,玛莎百货就此次攻击事件进行调查,并证实入侵者窃取了属于顾客的敏感个人信息,但目前没有证据表明这些信息已被共享,其中不包括可用的卡或付款细节,也不包括账户密码,因此客户无需采取任何行动。 尽管有这些保证,但所有拥有活跃 M&S 帐户的客户,在下次通过网站或应用程序登录时将被提示重置密码。 根据M&S网站上发布的信息,以下数据类型已被曝光: ·姓名 ·电子邮件 ·家庭住址 ·电话号码 ·出生日期 ·在线订单历史 ·家庭信息 ·薪酬参考范围 ·“隐藏”支付卡详细信息 玛莎百货发言人表示,这些信用卡是根据PCI准则进行混淆处理的。客户不需要采取任何行动,但可能会收到声称来自玛莎百货的电子邮件、电话或短信,但事实并非如此,所以一定要小心。 “我们永远不会联系您,要求您向我们提供用户名等个人账户信息,我们也永远不会要求您向我们提供密码。” 目前,Sparks的促销活动将暂停,但这次没有分享有关在线订单处理或其他业务中断状态的具体更新。玛莎百货表示,将通知所有受影响的客户,并承诺在有消息时分享更多细节。
2025年5月15日,第十届中国(北京)军事智能技术装备博览会暨北京国际低空产业博览会在北京国家会议中心隆重召开。众多行业专家与专业观众汇聚一堂,共同探讨低空产业及相关领域的前沿发展与安全挑战。盛邦安全携前沿技术及创新产品亮相,并现场发布《2024网络空间资产测绘与反测绘年度报告》、《2024卫星互联网安全年度报告》两大年度报告,以创新技术赋能网络安全,成为展会焦点。 双报告重磅发布,洞察安全趋势新风向 展会期间,盛邦安全正式发布了行业首份《2024卫星互联网安全年度报告》与《2024网络空间资产测绘与反测绘年度报告》。中国指挥与控制学会秘书长刘玉超、中国指挥与控制学会委员网络安全专家参与本次年度报告发布,并就报告发布的战略意义做简要分享。 在全球数字化加速,网络边界愈发模糊的今天,网络空间资产测绘的重要性日益凸显,已成为学术界、产业界及监管机构的共同关注焦点,相关技术和实践也在加速落地。而卫星互联网作为空天地一体化的新型网络架构,正在为全球提供更广阔的互联网接入服务。随着技术应用的深入,互联网的网络安全挑战也日益严峻——从开放架构的风险到用户端的管理难题,从频发的攻击事件到复杂链路的安全防护,这些问题亟需行业共同应对。两份报告以海量数据与技术分析为支撑,深度剖析行业发展脉络,提供安全体系框架的专业参考,具备实践可行性、技术先进性和指导价值。 ✦ 2024网络空间资产测绘与反测绘年度报告 《2024网络空间资产测绘与反测绘年度报告》由中国指挥与控制学会网络空间测绘专业委员会指导,清华大学、远江盛邦安全科技集团股份有限公司联合发布。旨在系统梳理过去一年网络空间资产测绘与反测绘的最新动态与发展趋势。通过全景分析全球暴露资产(涵盖IPv6)、loT及工控系统),揭示了全球资产分布与安全风险,尤其在金融、能源、电信等关基行业的的资产暴露问题亟待解决,强调业务与社会风险叠加下的防护体系构建需求。帮助企业、研究机构与政策制定者全面理解当前面临的风险、挑战与应对路径。 中国指挥与控制学会秘书长刘玉超 ✦ 2024卫星互联网安全年度报告 面对卫星互联网快速发展的大趋势,针对卫星网络安全事件频发而安全体系尚未成型的现状,盛邦安全科技集团联合南京航空航天大学、南京天际易达通信技术有限公司共同发布《2024卫星互联网安全年度报告》,解析卫星互联网核心特征,分析当前高频安全事件类型,提炼卫星互联网安全需求及技术攻关方向,包括物理安全、链路安全、运控安全、载荷安全、信关站安全、资产安全、终端接入安全、低空网络安全等方面。提出了盛邦安全对于卫星互联网安全的创新观点,为卫星互联网发展提供安全的专业参考。并对近期伊朗116艘油轮受到“史上最大规模”网络攻击事件的详细技术解析。 作为科创板上市公司,本次展会盛邦安全传递出其以技术赋能产业、以创新守护国家安全的使命担当。未来,盛邦安全将继续加大研发投入,不断创新与突破,致力于为用户提供更加全面、高效、可靠的安全解决方案。为低空产业的腾飞、卫星互联网的发展以及网络空间的安全稳定保驾护航。在数字化时代的浪潮中,盛邦安全将与各方携手共进,共为我国的科技强国建设贡献更多力量。 点击“原文链接”,下载相关报告↓ 原文链接
注:以下内容部分符合OSINT国际开源情报搜集标准,仅供交流与参考。 01 针对军队无人机操作员的暗杀 今天,2025年2月8日,爆出了一个震惊俄乌战争新闻圈的大瓜,这个瓜预计会被视为打响真正意义上“供应链战争”的第一枪。 俄罗斯情报部门正在全力调查一起阴谋,据称该阴谋将装有炸药的无人机FPV第一人称视角飞行操控眼镜发送给无人机部队,预谋通过引爆来大范围杀死或重伤FPV操作员。 这场攻击类似于去年 9 月以色列对真主党发动的大规模袭击,当时以色列摩萨德通过使用数千台装有炸药的传呼机和对讲机,最终导致有二十多名真主党成员丧生,数千人受伤,该事件轰动了整个世界。 根据俄罗斯 Razved Dozor 军事频道报道:“据可靠消息来源称,敌方破坏者试图在俄罗斯领土内利用志愿者(在他们不知情的情况下)实施大规模恐怖袭击行为。” “有军方人员报告称,发现多起志愿者运送的 FPV Skyzone Cobra 飞行操控眼镜存在问题,”Razved Dozor 声称,“操控眼镜内被装有自制爆炸装置 (IED),内有 10-15 克塑性炸药和雷管,很可能设置为操控眼镜开机后爆炸。” Razved Dozor 同时指出:飞行操控眼镜是由不知情的志愿者通过人道主义援助包裹寄出的。 TIPS知识点:很多人不知道的事实是,随着 FPV 无人机在战斗中发挥着越来越重要的作用,战争双方都通过邮寄的方式向前线部队提供无人机、飞行操控眼镜和其他所需配件装备。 这次是由于当局截获了几个可疑的飞行操控眼镜包裹才发现问题,但目前尚不清楚有多少安放炸弹的FPV操控眼镜已被寄出~ 02 威胁分析 “装有眼镜的盒子本身有被打开的细微痕迹,”俄罗斯 Readovka 军事媒体报道。 “多亏了军方的警惕,才避免了灾难。目前相关信息已由安全部队和情报部门接手,正在确定暗杀者身份。” 虽然这个疑似来自乌克兰的阴谋行动,与以色列摩萨德的寻呼机攻击事件,都是通过“在敌人使用的设备中嵌入炸药”的方式实现,但有一个很大的区别。 即以色列的袭击更加复杂,传呼机和对讲机都由特定消息命令触发,并同时发送给数千台设备。这里面包括建立皮包公司和复杂的供应链,这都是多年间谍活动耕耘的成果。 而本次 FPV 炸弹袭击,貌似只需要给FPV飞行操控眼镜通电就能达到效果,所以可能很多人会觉得是不是只要有一个飞行操控眼镜爆炸,就可以警告其他操作员,从而减少伤亡人数。 但是实际上,杨叔觉得攻击方完全可以通过如下几种方式,加大破坏力度,收获更多战果: 指定时间引爆 通过设备内置的时钟或与其他电子设备同步时间,预设好一个具体时间或时间段,该时间敌方将开展一轮重要的反击作战,或一次渗透作战。 试想下,在双方刚开始接触战,俄方FPV无人机部队的操作员们正全部戴着飞行操控眼镜,专注于战场对抗时,突然间操控眼镜全部爆炸,炸死炸伤绝大部分操作员,直接导致无人机部队团灭,战场上的所有无人机失控坠毁。 俄方将立刻失去对巷战、坑道战等士兵的快速支援,及对敌装甲部队、快速响应部队的骚扰和打击能力,甚至长时间失去无人机战场能力。 攻击特定部队 从已公开的资料上看,敌方利用了不知情的志愿者,并通过邮包寄出。根据俄军情报部门的说法,战时确实很难对每一台电子设备做拆卸检查,所以完全存在对特定部队的供应链下手,在采购无人机或操控备件时做手脚来实现攻击目的的可能性。 03 该事件对俄乌战争的影响 虽然飞行眼镜中只包含少量炸药,但“爆炸的威力足以摧毁一座寺庙”,广受欢迎的 Alex Parker Returns Telegram 频道解释道: “因为做工很粗糙,在眼镜上可以看出拆开的痕迹,因此奇迹般地避免了灾难。但我相信这只是一个开始,这种攻击的强度只会进一步扩大,太可怕了。” 诸多俄罗斯军事频道和媒体有充分的理由担心,这可能只是一场更大规模攻击的开始。 因为发生这种级别的破坏企图意味着: 作战部队使用的任何电子设备,都可能面临类似的篡改风险。 在非常激烈的战事下,还必须物理拆卸每一个电子设备来检查验证安全性,这将大大减慢供应链的速度。 同时,这也对士兵造成了严重的心理影响,不仅仅是无人机作战部队的操作员们,其他部队现在也开始怀疑他们收到的任何电子设备里,是否配备了类似的炸药装置。 04 写在最后 供应链安全,不仅仅对于军事涉密单位有重大意义,对于高度重视商业秘密的企业来说,同样占据非常重要的地位。 对于RC2而言,在过去的八年间,我们自己已遇到过类似“通过供应链,将内藏非法改装窃听器材的办公设备,运送进董事会成员办公室”的案例(杨叔已在这些年的课程里分享过这个案例)。 从专业TSCM的角度来看,通过供应链的渗透,充分说明了如果没有技术层面的商业秘密防护意识与能力支持,即使是拥有完善的商业秘密保护规范,和复杂的安防措施,也依然存在核心商业窃密/泄密的风险。 2025,整个国际环境依然动荡,地缘政治与区域发展的冲突仍然存在巨大的不确定性,企业和高净值群体如何确保自身利益不受非法窥探,如何确保在遵从正常商业法则的前提下保护成长果实。 RC2会继续,与各位共同成长~
随着现代科技的发展,对于愈发开始注重个人隐私的人士而言,到底该如何确保自己的手机安全,已经成为很多人心底的巨大疑惑和诉求。 但更多的情况是,受各类影视剧的影响,很多人会认为某些夸大的监视技术都是“可能的”,从而不断产生更多的猜忌,甚至影响到工作和生活。 所以,与其瞎猜加重“被迫害妄想症”病情,不如跟随TSCM反窃密&无线安全专家,系统了解下智能手机到底面临什么风险?如何实现最佳安全防御实践~ 注:以下内容为RC²原创课程介绍,部分图片符合OSINT国际开源情报搜集标准,仅供交流与参考。 毋庸置疑,手机监视技术一直在蓬勃发展中。从早期的GSM协议栈算法隐患导致的全球手机监听风险,再到运营商基站底层信令风险引发的手机快速定位风险,以及后来报道的国家领导人手机被植入商业间谍/木马APP的爆炸性新闻...... 这些年,更多的手机安全事件,也陆续发生在明星、企业高管、高净值群体,甚至普通人身上。 课程时间: 2025年6月某周末 封闭授课 课程地点: 上海某地 详见课程小群 课程人数: 2025年 精雕课程首期 限定6人,先到先得 课程报名约束: 本课程完全由RC²反窃密实验室独立开发及授课,仅面向: • 持有LEVEL-2 初级证书,且未被列入违规黑名单的学员 • 持有LEVEL-3 中级证书的进阶学员 • 持有LEVEL-4 高级证书的高级学员 • 持有PPES 专家认证证书的专家学员 • 未持有上述证书的零基础人士,请绕行 PPES-201 课程内容: PPES系列高级反窃密安全专家课程,一直侧重对真实技术的理解与安全保密防护意识的建设,以下201课程的部分内容: - 智能手机安全概述 - 美国运营商手机数据保存机制 - 手机信号劫持及监听技术历史 - 全球手机监视项目解析 - 手机监视效果案例 - 手机通信安全防护展示 - 手机定位技术......揭秘 - 手机周边窃听风险及防护 - 手机商业远程控制APP与防护 - 手机漏洞...... ......等更多内容不再列出 主讲师介绍 杨叔,Chris Yang RC²反窃密实验室(RC² TSCM LAB)创始人,具备长达22年的信息安全与隐私保护从业经验,曾就职NSFOCUS、华为、阿里巴巴等企业担任信息安全团队负责人、专家组长和安全研究员。 曾受邀在XCON、XKungFoo、KCON、ISC、SDC、VARA、CNCERT、QCON、OWASP等30多个信息安全会议上担任演讲嘉宾,目前是多个信息安全/黑客会议技术委员会成员,也是多本无线网络安全/黑客书籍作者。 自2016年成立RC²反窃密实验室后,迅速推出“KYUUBI商业安全&隐私保护认证”,并基于多年无线安全技术领域的积累和实验室不断向海外学习研究的储备,2019年推出了中国大陆最完整的TSCM专家培养体系:PPES反窃密安全专家认证课程(总课时长达20天),为诸多行业头部企业培养了内部核心团队,协助企业建设核心商业秘密的安全技术防护体系。 2025年5月,正式推出全新的「PPES-201 智能手机隐私保护实践指南」课程,以解决目前社会中个人隐私保护的最大痛点之一:手机隐私保护。 关于RC² RC²反窃密实验室(RC² TSCM LAB),于2016年成立,本部位于中国上海,目前在深圳、香港、日本均有分支机构。 RC²以坚持跟踪研究最新TSCM技术与装备,储备相关能力并建设TSCM威胁情报机制,协助企业提升商业秘密保护能力及强化高管隐私保护为己任。自成立至今九年来,RC²专业团队已获得互联网头部企业、跨国公司、金融机构等高端客户的一致信任和好评。 课程费用: ★ 中国大陆仅此一家,高性价比价格: ★ ¥11,999元/人,至少完成2门PPES课程,或 ★ ¥13,999元/人,至少完成Level-3课程,或 ★ ¥16,999元/人,至少完成Level-2课程,或 ★ ¥26,999元/人,特定军警执法机构版本 不接受社会零基础人士 谢绝同行 ★ 首期学员特别优惠: 在上述基础上, L3/L4/PPES认证学员可再享优惠减免1000元 ★ 费用包含: • 1天封闭授课费用 • 课程场地 • 课程内相关实验/设备损耗 • 课程专属学员物资包 • PPES-201证书 • 课程当日午餐 • 课程当日茶歇与饮品 报名方式: ★ 支持银行付款方式,或支付宝方式报名。 •账户名:上海锐勘信息技术咨询有限公司 •开户行:招商银行股份有限公司上海延西支行 •账号:121925667210701 ★ 报名时需全款支付,备注姓名,转账即可。 ★ 报名前应先与客服联系,提交“姓名+身份证号+公司”等基本信息,确认后再支付费用,支付成功后应及时通知客服核实。 ★ 扫下方二维码,加RC²官方客服小姐姐,附备注信息,确认课程款项转账成功后,按需提交其它个人资料后即视为报名完成,其它事宜会在小群内通知。 特别地, ★ 注1:由于涉及课程相关准备、酒店预定、装备运输及其它事务工作,报名一旦确定,就会产生相应费用支出。故由于个人原因导致无法成行等情况,无法退还报名费用,敬请大家相互体谅。 ★ 注2:由于地震、台风等不可抗力导致活动取消的,活动组织方会协商课程改期,并会尽力协调保险涉及事宜,其它不承担任何责任,请大家相互理解。 ★ 注3:由于学员个人原因,无法正常参加课程所导致的损失,一律由个人承担。 最后, 电子窃听,依然是当前商业安全主要威胁之一。 私人谈话的内容往往极具价值,所以也是商业刺探的首选目标。 巨大利益诱惑下,原本深得器重的人,也可能不再值得信任。 2025年,RC²计划推出系列升级的「商业秘密与隐私保护主题」活动与课程,包括: 企业出海安全、开源威胁情报、行政安全、海外专家课程、留学安全、暑期青少年调查员训练营等实用又有趣的内容,敬请期待~
梆梆安全产品季 免费试用活动 即将进入 最后一周倒计时! 没加固的APP要抓紧啦 问 梆梆安全加固产品,都有谁在用? 答 保护10万+用户的移动安全 目前,梆梆安全拥有10万家以上企业及开发者用户,安全技术覆盖的移动应用软件超过100万,这些应用已经累计安装在10亿个移动终端上,用户遍及政府、金融、互联网、物联网、运营商、企业、医疗、能源、教育等各大行业。 银行客户 银行APP拥有非常庞大的用户体量,因此也更容易成为黑产攻击的对象。梆梆安全的银行客户遍及国有六大行、十二家股份制商业银行及各地城商行。 1.通过针对性地制定加固策略,使银行的移动客户端在不影响其用户体验的前提下,得到了有效的加固保护,增强了其在移动互联网领域进行攻防对抗的能力; 2. 通过对SDK进行加固,提高了银行外发SDK的技术安全性,为开放银行战略的稳步推进夯实基础; 3. 应用上线后的环境监测措施确保了银行移动应用具备环境风险监测能力,避免了被庞大黑产攻击导致行方声誉损失甚至用户资金损失。 某行项目实施了Android & iOS应用客户端及SDK的加固系统以及运行环境可信监测SDK。在手机银行等2C类核心移动应用上进行了集成与应用,针对行方不同应用的安全需求确定不同的安全目标,从而制定不同的定制化加固策略,与运行环境可信监测SDK一同提升行方移动客户端上线前中后全生命周期的安全性。 政企客户 部分政务、政企合作伙伴 政务APP承载了当地或全国政务服务的线上功能,要求围绕政务平台总体架构,实现APP的动态防护和纵深防御,保障政务APP安全可靠的运行。 1.构建了紧密贴合平台安全需求的纵深防御技术体系,通过动态安全手段为政务APP提供全方位的安全保障; 2. 通过多维度应用防护手段,保障政务APP客户端完整性,保护App知识产权和数字资产安全; 3. 满足网络安全法、等保2.0以及监管机构对于移动App的合规性要求; 4. 通过移动威胁感知和应用渠道监测进行持续性的动态安全持续监测,保护政务APP的形象; 梆梆安全为某国家政务服务平台提供了Android加固系统、iOS加固系统、移动威胁感知的本地化部署,并且提供了移动应用渠道监测服务,为政务APP提供应用安全防护、应用运行时安全监测与防护、应用发布渠道盗版/仿冒发现。同时,梆梆安全配合项目组完成攻防演练和相关安全检查工作。 车联网客户 部分车联网、物联网合作伙伴 随着汽车智能化、网联化、电动化的发展趋势不断加速,信息篡改、病毒入侵等手段已成功被黑客应用于黑客攻击中,远程漏洞攻击、敏感数据泄露等网络安全风险延伸至车联网领域,严重威胁车企及用户的人身、信息安全。 梆梆安全深耕车联网行业信息安全建设多年,从“应用程序安全、通信数据安全、存储数据安全、算法密钥安全”四个维度,提供从静态防逆向到动态防调试的无死角保护,形成了一整套的应用安全解决方案,通过建立车联网应用+白盒密钥的一体化保护体系,层层设防,有效规避针对车联网应用程序、通信数据的各类攻击破解行为。 互联网客户 部分互联网企业合作伙伴 互联网的迅猛发展带来了网络安全威胁的加剧,尤其是移动应用频繁遭受攻击,不仅危及企业的业务运营,还可能损害品牌形象和客户信任。对于依赖移动应用开展业务的互联网企业,在日常运营中,公司处理众多敏感信息,因此对移动安全及数据防护有着紧急且重要的需求。 梆梆安全围绕客户2C端业务APP,基于SDL框架,通过安全加固、安全监测、安全运营等保障移动端业务安全,防范应用破解、恶意扣费、盗版仿冒等风险;保护企业上下游合作生态安全,对于外发的SDK、API、H5等,防止业务逻辑缺陷导致被恶意利用、非授权集成调用导致控制机制失效、以及动态运行时遭受攻击。 梆梆安全移动应用加固 梆梆安全应用加固基于虚拟化保护技术(VMP)、SO动态清除技术、高级防动态调试技术、“源到源”加固保护技术等核心技术手段,为客户提供全生命周期一体化安全保障服务,有效防止针对移动应用的反编译、二次打包、内存注入、动态调试、数据窃取、交易劫持、应用钓鱼等恶意攻击行为,保护应用核心代码安全。 支持应用形态包括:Android、iOS、鸿蒙、H5、小程序等。 一、核心能力 1.防逆向破解 采用代码混淆、虚拟化加密等技术,防止应用被逆向还原,保护核心逻辑与算法。 2. 防调试分析 通过防调试、防注入技术,阻断内存数据篡改与动态攻击。 3. 防篡改打包 基于完整性校验与签名验证,确保应用不被非法篡改或二次打包。 4. 防数据泄露 对本地存储的敏感数据实施透明加密,杜绝信息外泄风险。 5. 运行环境安全保护 实时监测并拦截Root、模拟器等高风险环境,保障应用运行安全。 二、用户价值 合规监管保障 满足上级监管机构对应用的安全测评、合规过检要求。协助企业完成依赖Android应用加固技术的风险项目的整改。 全方位攻击防御 提供多层级防护机制,精准阻断破解、篡改、盗版等黑产攻击行为,保障应用运行环境的安全性及业务连续性。 核心知识产权保护 通过代码加密与动态保护技术,全面守护核心算法、业务逻辑等关键资产,防止技术成果被恶意窃取或非法利用,稳固企业技术优势与市场竞争力。
安全研究人员最新发现,供应链攻击的目标是Linux服务器,其磁盘擦除恶意软件隐藏在GitHub上发布的Golang模块中。 该活动于上个月被发现,并依赖于三个恶意Go模块,其中包括“高度混淆的代码”,用于检索远程有效载荷并执行它们。 磁盘完全销毁 这种攻击似乎是专门为基于linux的服务器和开发人员环境设计的,因为破坏性的有效载荷——一个名为done.sh的Bash脚本,会为文件清除活动运行一个‘ dd ’命令。 此外,有效负载验证它在Linux环境(运行时)中运行。GOOS == "linux"),然后再尝试执行。 供应链安全公司Socket的一项分析表明,该命令用零覆盖数据的每个字节,导致不可逆转的数据丢失和系统故障。 目标是主存储卷/dev/sda,其中包含关键系统数据、用户文件、数据库和配置。 “通过用零填充整个磁盘,脚本完全破坏了文件系统结构、操作系统和所有用户数据,使系统无法启动和不可恢复”——Socket 研究人员在4月份发现了这次攻击,并在GitHub上发现了三个Go模块,这些模块已经从平台上删除: ·github[.]com/truthfulpharm/prototransform ·github[.]com/blankloggia/go-mcp ·github[.]com/steelpoor/tlsproxy 所有三个模块都包含混淆的代码,这些代码解码成使用‘ wget ’下载恶意数据清除脚本(/bin/bash或/bin/sh)的命令。 根据Socket研究人员的说法,有效负载在下载后立即执行,“几乎没有时间进行响应或恢复。” 恶意Go模块似乎模拟了将消息数据转换为各种格式的合法项目(Prototransform),模型上下文协议(Go -mcp)的Go实现,以及为TCP和HTTP服务器提供加密的TLS代理工具(tlsproxy)。即使最小限度地暴露在分析的破坏性模块中,也会产生重大影响,例如完全丢失数据。 由于Go生态系统的分散性,缺乏适当的检查,来自不同开发人员的包可能具有相同或相似的名称。 攻击者可以利用这一点来创建看似合法的模块名称空间,并等待开发人员将恶意代码集成到他们的项目中。
声明:本文主要为杨叔个人心得分享,仅供交流与参考,谢绝杠精。 01 总有刁民想害朕? 先引用下“人民网”的文章内容: 据不完全统计,每天有20余种新的化学物质进入我们所生活的环境,其中有60多万种化学品实现了成规模的商业生产,其中相当一部分具有各种不同的毒性效应。 因此,在各种意外中毒事件中,由于医疗机构毒物检测手段的匮乏,给病因学判定带来极大的困难。 但遗憾的是,也有很多中毒事件源自人为: 2020年10月曝光的乳山公务员投毒事件,就是因为乳山市统计局一名普通的科员对单位干部任用不满,怀恨在心,网上购买母猪催情剂,用注射器注入大家饮用的大桶水里,造成单位各个办公室都在喝被污染的水。 自2017年8月开始,连续两年半,统计局的同志们就像吃了催肥剂,一个个肥嘟嘟、圆滚滚的……慢性毒药给统计局的同志们造成不可挽回的健康损失。 2013年4月11日,复旦大学枫林校区2010级硕士研究生黄某自4月1日饮用了寝室内饮水机中的水后出现身体不适,有中毒迹象,送至医院抢救。 经警方初步查明,林某因生活琐事与黄某关系不和,心存不满,经预谋,3月31日中午,将实验室的剧毒化合物带至寝室,注入饮水机槽。4月1日上午,黄某饮用饮水机水后出现中毒症状,后经医院救治无效于4月16日去世。 2004年,扬州大学也曾发生一起“投毒”事件,毒物为秋水仙碱。受害者名叫武辉,1963年出生,由东南大学博士后被作为人才引进扬州大学,进校即任扬大医学院基础医学部“医学遗传学与医学细胞学”教研室主任。 能确认的投毒事件有两次,其中最严重、也是导致整个事件东窗事发的一次发生在2004年的10月9日晚,嫌疑人在受害者的鲜橙多饮料瓶内投毒。 武辉回到家中便开始上吐下泻,“开始还只是拉稀,到了后来拉出来的全是水,紧接着消化道开始出血,凌晨时,全身肌肉开始变得僵硬。 至于“杀人于无形”的毒物,最为人所熟知的要数著名的清华女生铊中毒案。 1994年,清华大学女生朱令在校期间离奇出现铊中毒的症状,导致身体健康遭到极大的伤害。由于朱令没有铊的接触史,警方认定为是投毒事件,但此案经过调查之后,几度沉浮,凶手至今仍逍遥法外,尚无明确结果。 ......略 唉,随便一搜就这么多案例,杨叔不由想起很久以前的一个职业:食物品尝师 食物品尝师是指品尝为他人准备的食物以确认是否存在问题的人。但是,显然地,品尝食物并不能有效识别出那种需要较长时间才能起作用的慢效毒物。 所以,和古代利用硫化物与银接触会生成黑色的“硫化银”的原理,使用的“银针试毒”方式一样,这些方式都已慢慢退出了历史舞台。 什么?“吃河豚让厨师先试吃“”那个不算,那是行规。 So,现代专业的验毒又是怎么做的呢? 02 专业毒物检测服务 引用一家私人检测公司的网站内容: 毒物和毒素专业测试服务 我们可以协助您满足任何毒物测试实验室的需求。我们提供使用头发、指甲,脚趾甲、血液和尿液的毒药、化学药品、毒素和药物测试。 我们以应有的尊重对待客户,并提供所需的测试服务。根据您的毒物测试需求,我们发布认证实验室报告的平均处理时间为10-12个工作日。快速服务需额外收费。 我们可以检测到的毒药清单包括: 氰化物、防冻剂、未知化学品、毒素、安眠药,砷、眼药水、街头/狂欢/消遣性药物(治疗性)处方药、非处方药、家用清洁剂、餐具洗涤剂、制动液、防冻剂、漂白剂、杀鼠剂、杀虫剂/除草剂...... 还有包含超过850,000个条目的国际光谱数据库。可以为可疑的故意用药过量或毒素中毒导致疾病或死亡情况,提供法庭支持的法医实验室测试。 按照现在的检测水平,基本上这个世界上所有自然及人工合成类毒素都能鉴定出来......除非是高科技实验室提取的某种新型毒素。 不过前些年KGB几次暗杀的毒素也已经被分析出来了,所以民间的更不用说。 所以主要问题是,需要的时间代价(10~12个工作日)实在太长,显然不适合平日使用。 03 便携式食品毒物检测设备 市面上还是有一些产品能够用于毒物检测的,杨叔直接推荐下:MyDx智能手持化学分析仪 MyDx是一台多功能手持式化学分析仪,可对食物中的农药、饮用水中的化学物质进行测试 ,不同版本的硬件设备还可以对空气中的毒素,以及大麻样品(适用于大麻合法化国家)的安全性和效力进行检测。 MyDx支持APP上的实时检测结果显示,这一点非常实用。 FoodSniffer智能肉类安全检测器 FoodSniffer智能检测器有一个最大的亮点: 不用接触到肉类表面,就能知道食物的新鲜程度。内置的传感器还能检测食物的温度、氨气的含量等数据,并通过蓝牙将数据发送到手机上。 Foodsniffer也会对食物的处理方式一同提供给客户,比如新鲜可食用的物品,或者是需要加热才能食用,以及无法食用等意见,这样既能避免浪费,还能减少食物中毒的风险。 当然,其它的检验类产品还有一些,不过有些是纯粹的高端医疗领域产品,就不太适合随身携带使用了。 04 更快捷的检测盒 还有一种选择,就是检测试剂盒。 WG 06食品中毒检测试剂盒是一种易于使用的快速检测试剂盒,用于检测食品和饮料中的无机中毒。该套件带有一组三个独立的检测器,以及分析食物样品并记录结果,以备将来使用或作为相关证据。 显然,这个类似于PH试纸的设计是挺方便携带,不过就是要好好研读下说明书 05 高级别要员保护机制 看到这儿,你现在觉得,那种所谓的指纹加密水壶之类的东西到底有没有用呢?想想无非是买个自我安慰罢了。 时间仓促,杨叔翻查了一些安保资料,暂时没有找到太多关于有毒物质鉴定的描述,更多的是关注整体环境的有害物质存留情况。 比如上面提及Workplace Hazardous Materials Information System (WHMIS) ,即工作场所有害物质信息系统,在工作中的应用。 但实际上,根据特勤局及要员保护部门的安全要求,饮用水、食材等生活用品的毒素检测是每天都要开展的,这一点在高级别要员保护中是强制执行项。 这些今天就不再展开谈论了。
注:以下内容符合OSINT国际开源情报搜集标准,部分来自杨叔及团队小伙伴的自身储备分享,可能存在认知偏差,仅供交流与参考。 01 RC2 OSINT情报小组 RC2自己的OSINT威胁情报团队已默默耕耘了七个年头。团队从零开始,一直在持续挖掘整理着TSCM行业、商业窃密态势和隐私保护领域的数据,从最初的全球TSCM同行竞争性情报数据搜集,到海外一线BUGSWEEP检测团队能力发掘,直到整理出一套属于RC2自己的开源情报体系。 例如,RC2会持续关注国际上最新的商业窃密案例,剖析案例的技术细节,形成文档资料存储,同时选择将其中一部分作为课程PPT分享。 示例:2020年初,伦敦的标志性五星级酒店--丽兹酒店(The Ritz London)以7.5亿英镑的价格出售,这中间爆出了涉嫌商业窃听的大瓜。杨叔早在2020年的Level-2课程里就分享了这个被誉为“2020年最受瞩目的商业窃密案例。 ~类似的案例还有很多,为确保学员始终能接触到最新的案例,基本上杨叔保持着每隔两个月升级一轮PPT的动态更新速度。 02 AI平台的白名单 有人问过杨叔关于使用AI平台开展行业研究的可行性,嗯,这个确实要看情况,主要取决于你要关注的数据本身。杨叔分享下自己的经验: 从ChatGPT 2.0 版本开始,杨叔和团队小伙伴们就开始不断尝试使用AI做TSCM行业分析和数据梳理,其结果让人颇有些哭笑不得。 到现在杨叔还记得: 2024年初,在加拿大某地,杨叔基于ChatGPT 3.5版本,通过检索一些行业有名的公司来简单验证下Chatgpt的数据消息更新效率和范围,在查到一家颇有名气的以色列咨询服务公司(行业内有名的情报公司)时,平台居然回复(为方便理解,以下用中文展示): 因为某些协议限制,无法显示结果。 然后杨叔立刻给出提示,要求列出是哪些协议限制?ChatGPT回复: 因为某些限制无法告知,请开展其他检索。 What?见了鬼了,杨叔随即又试了一些“有名”的行业公司,发现大部分都无法检索,于是明白: 「这个AI平台其实存在一个”白名单“,那些多少与美国政府、北约及其它敏感平台有合作的公司或机构数据,都已被过滤。」 好吧,在这种情况下,作为情报分析师而言,先不说ChatGPT的版本更新情况和是否链接外网,也不说储存的数据库是否完整......仅仅对于当前很多强指向性的检索或者提问的回复,是否严谨可信?是否全面准确,还是已被删减? 就已经打了一个大大的问号~ 03 AI平台的“后门设定” 可能有些人注意过这个新闻,但杨叔想大部分人可能压根没关注过。 以下为新闻原文: 此前,美国知名人工智能公司OpenAI宣布,前美国陆军将军保罗将加入其董事会,成为新设立的安全与保障委员会的一员,OpenAI表示这一举措旨在利用人工智能技术加速识别并应对网络安全威胁,看似这是一次正常的人员任命,但考虑到保罗的背景(保罗曾任职美国国家安全局局长),此事引起了特别的关注。 其中,爱德华·斯诺登就认为OpenAI已经成为美国情报部门的帮凶,已视其为具有潜在的、广泛侵犯个人权利的行为。 OK,按道理说,所有使用AI的情报分析人员,都应该知道有这样几个“潜规则”: 规则1:AI平台会记录所有检索的相关信息 包括用户信息、语言类型、访问IP、浏览器版本信息、提交查询内容、回复内容、是否通过VPN等。 规则2:AI平台会分析用户的背景信息 通过用户检索的内容、提交的关键字信息、关注的行业或领域、查询频次、用语等,来推断用户的年龄、职业、所在行业/部门、是否政府雇员等。 无语的是,常常有“缺乏上述常识”的人因此而“暴露”:因为检索了太多关键且敏感的内容,被AI平台溯源、并结合其它数据进行了“画像”工作。 在OPENAI官方于2025年2月更新的《Disrupting malicious uses of our models》报告里,可以看到在具体案例里,第一个就直接列出了“疑似来自中国的账户使用ChatGPT平台作为情报检索工具”的证据: 随后,关于“OpenAI公司封禁及移除来自中国、朝鲜可疑行为账户”这个主题就上了网络新闻。 当然了,OpenAI还移除了其它包括欧洲国家的存在疑似情报搜索等行为的可疑账户,还列举了部分账户作为说明。 所以说啊,作为合格的开源情报搜集与分析人员,第一要务就是不能在一个平台上开展过多敏感数据的检索,需牢记的主要原因有两个: 原因1:可能会被平台里预定义规则“锁定”,导致自身的暴露,会被溯源、被监控及账户被封锁。 原因见上,已经用实例解释了。 原因2:可能会被“有目的推送”伪造或虚假的信息,混淆判断。 这个道理也很简单,全世界的技术人员都知道AI会帮助完成搜索、整理、总结分析的工作,那么可以试想一下,会有多少情报机构、智库、国际安保公司、第三方情报部门、企业安全部门等在不停地在一遍又一遍地遍历互联网,完成大数据的检索。 那对于某些并不希望外部能够获取相关数据,或者已经采取了对应的安全防护措施的机构来说,“故意释放错误的信息来混淆初始数据”,就是一种很好的选择。尤其是故意提交虚假信息来训练AI,那么这些数据最终会进入到AI的后台大数据库中,变成可以向其他人展示的“成果内容”。 这种攻击方式,现在也被称为“AI污染“或”AI下毒”攻击。 04 AI平台对TSCM行业的影响 目前,对于TSCM反窃密领域而言,由于赛道特殊且非常小众,所以国内的AI平台普遍都没有相关概念,或者只是单纯地重复网上的定义,暂时没有相关的深度和知识积累。 而在以ChatGPT为主的海外AI平台上,虽然通过学习库里大量的累计网络资源,能够检索和分析相关信息,但不知道是算法规则限制,还是关键字过滤的原因,实际上回复的误报率相当高。 比如在ChatGPT上使用该指令:列出美国排名前10的TSCM公司。你会发现在结果里面,有一大半都是安保/安防公司,和TSCM行业关系不大,那些非常有名的专业公司压根没有列出。 还有很多查询指令,通过比对RC2自己积累的「TSCM全球知识情报库」,发现结果匹配度相当低,且一大堆错误数据。尽管也有正确可用的数据,但大多数由于时效性,仅仅只能作为参考罢了。 但如果只是询问一些绝大多数AI平台都擅长的那种初级框架性问题,比如: 如何开展办公室的BUGSWEEP检测工作? 这时候,AI就会巴拉巴拉地列出一大堆要检查的位置和注意事项,看似好像挺专业全面,但实际上,这些不过是从网上广为流传的公开资料里汇总给出而已。 只有当你追问一些专业技术细节的时候,如: --如何检测在弱电线路里暗接的窃听器材? --列出欧洲最新的防非线探测的窃听器型号? 等这类细颗粒问题时,AI就没办法准确回答,或者用其它电工知识,甚至国外网店上卖的“华强北版本偷拍器材”来糊弄你~ 唉,所以啊,网上那些说什么“通过AI平台学习TSCM知识、研究TSCM技术的”,都是不懂装懂的噱头罢了~ 当然,并不能因此说所有的AI平台都对TSCM行业无用,经过特定搭建并投入大量时间心血海量训练的AI平台还是会很有效果的,当然,这就是另一个话题了,这里就不多展开~ 2025年5月,RC²计划推出“PPES-2XX”系列全新高级课程,比如“PPES-201 智能手机隐私保护实践指南”,及“PPES-202 企业供应链物理安全风险评估”课程。 其中,201课程将包括: 运营商通信监控、手机信号劫持与监听、手机定位与防护、手机周边窃听风险识别、手机远控APP等方面,全面了解当前个人智能手机面临的安全风险及应对措施,敬请期待~
注:同时,本文是“那些年,我们用过的手机防偷拍APP”一文的续篇,希望大家喜欢。 0x01 手机防窥探APP 估计很多人压根就没听说过Midas Ensemble Technologies这家公司,杨叔之前也是完全不知所谓的。不过他家有一款下载量过100万的APP,在国外可是有着大量的受众度。 这个名为“HiddenEye”(隐藏的眼)的APP,功能很有意思,就是可以在你不在场的情况下,记录下你的朋友/家人窥探你手机的行为。该APP适用于全行业人士,可谓老少皆宜。 该APP设计非常实用简单,没有任何多余花哨的外观,你可以设置在别人尝试解锁手机时直接拍摄对方面部,也可以设置当他人在你不知情的情况下尝试解锁手机时,直接播放铃声惊吓。哈哈,是不是很赞? 嘿嘿,行走江湖,身为一个安全意识高的行业银士,怎能不做点小小的防范? PS:友情提示下卸载该APP的方式,注意一定要先在“设备管理”中停用HiddenEye。Android下路径为“系统设置”--“位置和安全”--“设备管理”。 0x02 手机偷拍APP 一直以来,Google Play官方应用商店中,就有一些APP可以将Android智能手机变成间谍相机,其中一些APP甚至都可以用作监控解决方案。 杨叔在上一篇“那些年,我们用过的手机防偷拍APP”一文里介绍了一款,这次聊点不一样的。 有一款名为Spy Camera OS的免费APP,能够提供简单/快速/自动的方式拍照,用户甚至可以设置自动或手动地使用手机的前置或后置摄像头拍摄图像。 设置成功后点击手机主屏幕下方的“Capture”就可以直接拍照,该APP适用于几乎所有版本的Android手机,一旦安装成功,用户完全可以在划动屏幕翻页的时候,悄悄按下Capture拍照了。 而且,这个APP的广告词太直指人心: “Everyone at one time will want to capture image without anyone notice it-”,翻译过来就是: “每个人,总会有那么一刻,想在不惊动他人的情况下拍些照片。” 0x03 探查针孔摄像头APP 和杨叔之前写的那篇“那些年,我们用过的手机防偷拍APP”一文里面介绍的探查工具不同,今天说的这款要高级的多。 这类一般称之为“Hidden Cam Detector ”的APP,不再使用红外光去探查摄像头的反光点,而是采用了一种很新奇的方式来探查摄像头,即“Radiation Meter”(辐射计)。 你没看错!!就是辐射剂量!! 是不是感觉很匪夷所思?其实吧,这来自于2014年发布的一项研究--“如何将普通智能手机的摄像头转化为可以发现辐射的伽马射线探测器”。 爱达荷州爱达荷国家实验室的研究人员开发了一款应用程序,通过使用手机内置摄像头检测伽马射线,从而将普通智能手机变成辐射探测器。 (下面这句两话都不是杨叔说的)从理论上讲,我们智能手机当中的电子摄像头从技术类型来说其实和大型强子对撞机是一样的,手机的电子摄像头应该能够以同样的方式检测伽马射线,因为它们能够检测可见光光子。这些摄像头能够检测出:进入的光子轰击像素中的电子时产生的光,从而形成可检测到的电荷回路。 他们已在实验室广泛的测试过该应用程序,并得出结论:智能手机不仅可以检测伽玛射线,还可以根据预设的辐射能量谱,计算出辐射剂量,甚至有可能计算出辐射源的方向。下图为当时测试用的智能手机。 纳尼,这么牛逼?辐射剂量? 下面杨叔就肉身做下这个诡异的测试,打开iShift Solutions出品的一款名为“Hidden Camera Detector”的APP(注意使用时小广告挺多的)。 在主界面选择左上角的“Camrea”,注意下面小字里说明了是Detect Camera By Radiation Meter,即通过辐射计探查摄像头。 接下来的界面就是这样,在蓝色仪表盘下方会有一个计量变化曲线,当前页面中间显示为“NO POTENTIAL CAMERA DETECTED”,即没有检测到疑似摄像头。 当杨叔换了个舒服的姿势,把手机对准笔记本摄像头,并慢慢抵近时,奇迹发生了: APP会报警并提示: “COMPUTER/TV/MOBILE DETECTED”,即检测到疑似电脑/电视/移动摄像头!!! 为了进一步验证,杨叔从RC²反窃密实验室里翻出一个课程用针孔摄像头教具,除臭芳香盒状的,打开电源丢在一旁,再把开启APP的手机慢慢抵近器材。 结果立刻出现了波动,屏幕上一直在探测出和无探测结果之间来回闪动,并不能稳定识别为针孔摄像头。无法确定是因为教具器材电量不足,还是其它什么原因所致。 粗测一圈,同样的情况也出现在其它类型的针孔摄像头上,似乎对电脑手机摄像头的敏感度更高些。 不过显然的,这种方法存在很多缺陷,肯定无法与专业场强仪比较,但对于单纯从红外识别针孔摄像头的方式而言,又多了一种参考。请大家注意:此类APP仅可以作为临时参考,无法作为最终结论。 0x04 其它侦探用APP
假冒的人工智能视频生成工具正被用来传播一种新的窃取信息的恶意软件,名为“Noodlophile”,它以生成的媒体内容为幌子。 这些网站使用“Dream Machine”等名字,并在Facebook上的高知名度群组中做广告,冒充先进的人工智能工具,根据上传的用户文件生成视频。 尽管使用人工智能工具来传播恶意软件并不是一个新概念,而且已经被经验丰富的网络犯罪分子所采用,但Morphisec最新活动的发现为这一组合引入了一个新的信息杀手。 根据Morphisec的说法,“Noodlophile”是在暗网论坛上出售的,通常与“Get Cookie + Pass”服务捆绑在一起,所以这是一种新的恶意软件即服务,与讲越南语的运营商有关。 Facebook广告将用户带到恶意网站 多级感染链 一旦受害者访问恶意网站并上传他们的文件,他们就会收到一个ZIP档案,其中应该包含人工智能生成的视频。 相反,ZIP包含一个看似可执行文件(Video Dream machinai .mp4.exe),以及一个隐藏文件夹,其中包含后续阶段所需的各种文件。如果Windows用户禁用了文件扩展名(永远不要这样做),那么一眼望去,它看起来就像一个MP4视频文件。 “Video Dream MachineAI.mp4.exe文件是一个32位的c++应用程序,使用通过Winauth创建的证书进行签名,”Morphisec解释说。 尽管它的名字具有误导性(暗示是一个mp4视频),但这个二进制文件实际上是CapCut的改版版本,CapCut是一个合法的视频编辑工具(版本445.0)。这种欺骗性的命名和证书帮助它逃避用户的怀疑和一些安全解决方案。 DreamMachine网站放弃了有效载荷 双击假MP4将执行一系列可执行文件,最终启动批处理脚本(Document.docx/install.bat)。 该脚本使用合法的Windows工具“certutil.exe”解码并提取base64编码的密码保护的RAR存档,冒充PDF文档。同时,它还为持久化添加了一个新的Registry键。 接下来,脚本执行‘srchost.exe ’,它运行一个从硬编码的远程服务器地址获取的混淆的Python脚本(randomuser2025.txt),最终在内存中执行noodle lophile Stealer。 如果在受感染的系统上检测到Avast,则使用PE掏空将有效载荷注入RegAsm.exe。否则,将使用shellcode注入在内存中执行。 完整的执行链 noodle lophile是一种新的信息窃取恶意软件,其目标是存储在web浏览器上的数据,如帐户凭据、会话cookie、令牌和加密货币钱包文件。 Noodlophile代表了恶意软件生态系统的新成员。以前在公共恶意软件跟踪或报告中没有记录,这种窃取程序结合了浏览器凭证盗窃、钱包泄露和可选的远程访问部署。 被窃取的数据是通过电报机器人泄露的,它作为一个秘密的命令和控制(C2)服务器,让攻击者实时访问被盗的信息。 在某些情况下,Noodlophile与XWorm(一种远程访问木马)捆绑在一起,使攻击者能够提升数据窃取能力,远远超出了信息窃取器所提供的被动窃取能力。 防止恶意软件的最好方法是避免从未知网站下载和执行文件。在打开前一定要验证文件扩展名,并在执行前用最新的防病毒工具扫描所有下载的文件。
近期,法国奢侈时尚品牌迪奥之家(House of Dior)遭遇网络安全事件,该事件导致客户信息外泄。据了解,这一事件主要影响了迪奥时装和配饰的客户。目前,网络安全专家正在调查这起事件,以尽快确定其范围。 迪奥表示,这次事件并没有暴露账户密码或支付卡信息,因为这些信息存储在另一个数据库中,没有受到影响。 韩国和中国确认受到影响 虽然迪奥没有具体说明受影响的客户数量和地区,但有一份通知证实其韩国网站受到了影响。还有一些报道称,中国客户收到了该时尚品牌的数据泄露通知。 根据网上分享的通知截图,该事件于5月7日被发现,涉及未经授权的人员访问,并暴露了以下信息: ·全名 ·性别 ·电话号码 ·电子邮件地址 ·邮寄地址 ·购买历史 发给中国客户的通知 张贴在迪奥韩国店的通知还表明泄露日期为2025年5月7日。迪奥作为国际奢饰品品牌,毫无疑问这是一起具有国际影响的常见网络安全事件。但在这种情况下,只有联系信息、购买数据和客户与品牌共享的偏好被标记为潜在暴露信息。 公告发布在迪奥韩国网站上 与此同时,韩国媒体报道称,迪奥因未能将数据泄露一事通知韩国所有相关部门而面临法律审查。 目前,迪奥建议客户对要求提供个人信息的网络钓鱼保持警惕,并立即与他们联系,及时报告假冒品牌的情况。截止到现在,有关客户数量和受影响国家的详细信息尚未公开披露。
蓝莲花战队队旗队标交接仪式 2025年5月10日,北京——作为中国CTF竞赛领域标杆性团队的蓝莲花战队(Blue-Lotus)在京举办成立十五周年主题论坛。这支源自清华大学的国际顶尖网络安全战队,汇聚新老队员及行业专家150余人,通过技术研讨、创业分享与学术对话,共同探讨AI时代极客面临的新挑战,网络安全人才培养模式以及新形势下创新创业发展路径。 清华大学信息化工作办公室主任张小平老师致辞 清华大学计算机系研究员,清华大学信息化工作办公室主任张小平在开幕致辞中,从三个层面对蓝莲花战队过去十五年的发展给予积极评价,首先,蓝莲花战队在网络安全竞技领域取得了令人瞩目的成绩,已经成长为国际一流的网安竞技战队之一;其次,战队代表清华大学深度参与教育部等部门组织的网络安全攻防演练,为高校网络安全防御做出了贡献;第三,战队为国家网络安全领域培养了优秀的人才,不论在学术界还是产业界,这些人才都已成为中坚力量,支持国家网信事业发展。 清华大学网络研究院教授段海新老师致辞 战队联合创始人、清华大学段海新教授以“三个突破”概括发展历程:2010年组建战队参与全球网安竞技场,“从零到一”走到世界的舞台;2014~2015年首创组织全国性及国际性CTF竞赛,引领了国内CTF竞赛风潮;2016年战队孵化出首支创业团队,开辟“竞技-研究-产业”转化通道,队员们或投身安全领域的创业,或在国内头部企业担任关键技术职务,在网络安全方向继续耕耘。他特别强调:“在当前形势下,既要坚持自强不息,不断追求技术上的突破;又要有厚德载物的胸怀,与学术界、产业界合作共享,从而为更安全的网络空间,做出应有的贡献”。 北京赛博英杰有限公司创始人谭晓生做主题分享 在主题演讲环节,北京赛博英杰科技有限公司创始人、董事长谭晓生首先对蓝莲花战队孵化了长亭科技、华清未央、丈八网安等多家创新创业公司,给予高度评价。他以RSAC 2025大会为切入点,从大会呈现的新特点:“参会人数空前、参展厂商数接近疫情前最高水平”、“创新沙盒大赛开源漏洞管理技术夺魁”、“资本市场对安全创新的高度关注”、“议题聚焦AI与新兴安全挑战”等,系统分析了2025年国内网络安全创新面临的机遇和挑战。他指出,“新兴力量崛起”是2025年网安创新领域值得关注的亮点,鼓励有志于网络安全创新创业的人士,积极投身于重塑网络安全格局的创新技术,“踏踏实实做好网络安全技术和产品”,走出国门,走向世界。 零一万物联合创始人马杰做主题分享 零一万物联合创始人、国内首个云安全服务品牌“安全宝”创始人马杰分享了题为《用AI,做世界的蓝军》的报告。他回忆了与蓝莲花战队共同转战世界各大CTF竞赛的历程,介绍了当下AI 2.0所带来的技术变革以及在AI红蓝对抗的前沿探索,他表示,网络安全从业人员要拥抱变化,做AI 2.0时代的蓝军,要拥有扎实的技术能力、系统的思维能力、高效的协同能力以及敏捷的学习能力。 随后奇安信集团副总裁郑晓峰,京东集团高级总监、獬豸实验室负责人何淇丹,腾讯玄武实验室移动安全负责人刘惠明,华为安全研究员刘保证,阿里云安全保障能力研发负责人刘煜堃,腾讯玄武实验室基础安全研究组负责人李冠成,长亭科技联合创始人杨坤,丈八网安CEO、联合创始人王珩,三思网安创始人魏克,云起无垠创始人兼CEO沈凯文,清华大学长聘副教授、网络研究院副院长张超,上海交通大学创新实践教学研究室副主任陈力波,清华大学副教授陈建军,南开大学密码与网络空间安全学院副教授李想等十余位从蓝莲花战队中成长并已经在网络安全产业界、学术界声名鹊起的技术专家学者分别做了议题分享,他们从网络安全产业、创业、学术等方面,针对网络安全技术的现状、发展趋势及创新创业之路等发表了各自观点。与会嘉宾还针对“清华/蓝莲花系网安创业氛围打造与合作前行”、“网安技术需求与学术研究的对接”等相关话题进行深度交流。 蓝莲花队员进行产业论坛议题分享 (左上:郑晓峰,右上:何淇丹,左中:刘惠明, 右中:刘保证,左下:刘煜堃,右下:李冠成) 蓝莲花队员进行创业分论坛议题分享 (左上:杨坤,右上:王珩,左下:魏克,右下:沈凯文) 蓝莲花队员进行学术分论坛议题分享 (左上:张超,右上:陈力波,左下:陈建军,李想) 会上,蓝莲花战队还举行了队旗队标的传递仪式。蓝莲花、紫荆花战队队员们一起回顾往昔,交流新技术,碰撞新思路,正如蓝莲花的精神传承“blue-lotus for life”所昭示的,未来战队成员将继往开来,开启新征程,让蓝莲花在清华园中“生生不息,永远绽放”。 论坛由清华大学信息化工作办公室、清华大学网络科学与网络空间研究院指导,清华大学学生网络安全技术协会主办,奇安信集团、长亭科技、InForSec协办,三思网安、丈八网安、云起无垠、百度安全、赛宁网安、华清未央等支持,约150位蓝莲花、紫荆花战队成员及网安领域专业技术人员出席了会议。本次论坛的“产业分论坛”、 “创业分论坛”和“学术分论坛”,分别由清华大学网络研究院副研究员诸葛建伟、北京赛博英杰科技有限公司创始人谭晓生,以及清华大学长聘副教授、网络研究院副院长张超主持。
近期,美执法部门捣毁了一个僵尸网络,该网络在过去20年里感染了数千台路由器,建立了两个名为Anyproxy和5socks的住宅代理网络。 在这次被称为“月球登陆者行动”的联合行动中,美国当局与荷兰国家警察、荷兰公诉署和泰国皇家警察的检察官和调查人员以及Lumen Technologies的黑莲花实验室(Black Lotus Labs)的分析师合作。 相关文件显示,至少从2004年起,这个现已被拆除的僵尸网络就用恶意软件感染了全球范围内较旧的无线互联网路由器,允许未经授权访问受感染的设备,这些设备可以作为代理服务器在Anyproxy.net和5socks.net上出售。这两个域名由弗吉尼亚州的一家公司管理,并托管在全球的服务器上。 僵尸网络控制者需要加密货币进行支付。用户无需身份验证就可以直接与代理连接,正如之前的案例所记录的那样,这可能导致广泛的恶意分子获得免费访问权限。 考虑到来源范围,只有大约10%的病毒在流行的工具(如VirusTotal)中被检测到是恶意的,这意味着它们一直在高度成功地避开网络监控工具。此类代理旨在帮助隐藏一系列非法活动,包括广告欺诈、DDoS攻击、暴力破解或利用受害者数据。 据悉,他们的用户根据所要求的服务,每月支付9.95美元到110美元不等的订阅费。该网站的口号是”从2004年开始工作!“表明这项服务确实已经提供了20多年。 这四名被告在包括一些网络犯罪分子使用的网站在内的多个网站上,将这两种服务(推广了 7000 多个代理)宣传为住宅代理服务,据称他们通过出售提供访问 Anyproxy 僵尸网络中受感染路由器权限的订阅服务,非法获利超过 4600 万美元。 他们利用在俄罗斯互联网托管服务提供商 JCS Fedora Communications 注册并托管的服务器运营 Anyproxy.net 和 5socks.net 这两个网站。他们还使用荷兰、土耳其及其他地区的服务器来管理 Anyproxy 僵尸网络以及这两个网站。 5Socks.net查封的横幅 针对EoL路由器 联邦调查局还发布了一份flash公告和一份公共服务公告,称这个僵尸网络的目标是带有TheMoon恶意软件变种的补丁终了路由器。 联邦调查局警告说,攻击者正在安装代理,以便在网络犯罪租赁活动、加密货币盗窃攻击和其他非法行动中逃避检测。 通常被僵尸网络攻击的设备列表包括Linksys和Cisco路由器型号,包括: ·Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550 ·Linksys WRT320N, WRT310N, WRT610N ·Cisco M10 and Cradlepoint E100 根据最新发现,一些使用寿命即将结束的路由器被发现受到了新版TheMoon恶意软件的攻击,这些路由器开启了远程管理功能。这种恶意软件允许恶意分子在毫无戒心的受害者路由器上安装代理,并匿名进行网络犯罪。 这种住宅代理服务对犯罪黑客在实施网络犯罪时提供匿名服务特别有用;与商业ip地址相反,住宅ip地址通常被互联网安全服务认为更有可能是合法的流量。通过这种方式,同谋者从出售被入侵路由器的访问权中获得了私人经济利益。
知名学生互动平台iClicker网站遭到ClickFix攻击,该攻击使用假的CAPTCHA提示来欺骗学生和教师在他们的设备上安装恶意软件。 iClicker是一种数字课堂工具,教师可以使用它来记录出勤情况,提出现场问题或调查,并跟踪学生的参与情况。它被美国各地的5000名教师和700万名学生广泛使用,包括密歇根大学、佛罗里达大学和加利福尼亚大学。 根据密歇根大学安全计算团队的安全警报,iClicker网站在2025年4月12日至4月16日期间遭到黑客攻击,显示了一个假的CAPTCHA,指示用户按“我不是机器人”来验证自己。 然而,当访问者点击验证提示时,PowerShell脚本被悄无声息地复制到Windows剪贴板中,这就是所谓的“ClickFix”社会工程攻击。 然后CAPTCHA会指示用户打开Windows运行对话框(Win + R),将PowerShell脚本(Ctrl + V)粘贴到其中,并按Enter键执行以验证自己。 一个假的CAPTCHA在ClickFix攻击的例子 当ClickFix攻击不再在iClicker的网站上运行时,Reddit上的一个人在Any上发起了这个命令。Run,显示要执行的PowerShell有效负载。 iClicker攻击中使用的PowerShell命令被严重混淆,但在执行时,它会连接到位于http://67.217.228[.]14:8080的远程服务器,以检索要执行的另一个PowerShell脚本。 在iClicker ClickFix攻击中使用的模糊PowerShell脚本 但人们无法知道最终安装了什么恶意软件,因为根据访问者的类型,检索到的PowerShell脚本是不同的。 对于目标访问者,它会发送一个脚本,将恶意软件下载到计算机上。密歇根大学表示,恶意软件允许威胁者完全访问受感染的设备。 对于那些不是目标的,比如恶意软件分析沙箱,脚本将下载并运行合法的Microsoft Visual c++ Redistributable,如下所示。 iwr https://download.microsoft.com/download/9/3/f/93fcf1e7-e6a4-478b-96e7-d4b285925b00/vc_redist.x64.exe -out "$env:TMP/vc_redist.x64.exe"; & "$env:TMP/vc_redist.x64.exe" ClickFix攻击已成为广泛的社会工程攻击,已被用于许多恶意软件活动,包括假装为Cloudflare CAPTCHA,谷歌Meet和web浏览器错误的攻击。 从过去的攻击来看,攻击可能会分发一个信息拦截器,它可以从谷歌Chrome、Microsoft Edge、Mozilla Firefox和其他Chromium浏览器窃取cookie、凭据、密码、信用卡和浏览历史记录。 这种类型的恶意软件还可以窃取加密货币钱包、私钥和可能包含敏感信息的文本文件,例如名为seed.txt、pass.txt、ledger.txt、trezor.txt、metamask.txt、bitcoin.txt、words、wallet.txt、*.txt和*.pdf的文件。 这些数据被收集成存档并发送回攻击者,在那里他们可以在进一步的攻击中使用这些信息,或者在网络犯罪市场上出售这些信息。 被盗的数据也可以用来进行大规模的破坏,从而导致勒索软件攻击。由于此次攻击的目标是大学生和教师,其目的可能是窃取证书,然后对大学网络进行攻击。 值得一提的是,有人发现iClicker于5月6日在其网站上发布了一份安全公告,但在页面的HTML中包含了一个标签,从而阻止了该文档被搜索引擎索引,从而使查找有关该事件的信息变得更加困难。 带有noindex标签的点击器安全公告 “我们最近解决了一个影响iClicker登陆页面(iClicker.com)的事件。重要的是,iClicker的数据、应用程序或操作都没有受到影响,iClicker登陆页面上发现的漏洞已经得到解决,”iClicker的安全公告写道。 出于考虑,iClicker建议在网站被黑客入侵时访问iClicker.com并遵循虚假CAPTCHA指令的用户应立即更改其iClicker密码,如果执行了该命令,则应将存储在计算机上的所有密码更改为每个网站的唯一密码。此外,通过移动应用程序访问iClicker或没有遇到假CAPTCHA的用户不会受到攻击的风险。
国内网络安全权威机构安全牛于近日正式发布《中国网络安全行业全景图(第十二版)》。梆梆安全凭借技术研发优势、专业安全服务能力及移动安全领域深耕成果,连续十二次上榜,入选11大类安全领域及38项细分赛道,品牌影响力和技术竞争力再获权威印证。 安全牛全景图对于网络安全产业的阶段性发展具有关键的里程碑意义。历经十年12版迭代,收录311家厂商、2223项二级细分领域。 第十二版基于GB/T 25066-2020标准,更突出网络安全技术的动态演进与场景化应用,更注重细分领域的技术纵深能力与案例实践价值,对于成熟、标准的产品考量其市场应用的典型性和代表性,对于新技术产品考量其技术先进性和创新能力。 安全牛对第十二版全景图的审核调研发现,中国网络安全产业正在经历一个重要的转变,即从“合规驱动”向“需求驱动”过渡。在这一过程中,金融、电力、电信运营商、工业等关键行业成为了引领者,驱动安全厂商具备更高的安全技术产品化和工程化水平。在非传统IT领域,如工业领域的OT网络、智能网联车领域的车联网,以及智能设备领域的视频网络等,安全需求及项目机会呈现爆发式增长趋势。 梆梆安全入选详情 移动安全:移动终端管理、移动应用安全、移动威胁防御(MTD) 物联网安全:车联网安全、视频监控安全、其他物联网安全 数据安全:数据防泄漏、数据分类分级、数据安全治理服务、数据安全评估和检查、个人信息保护 应用与业务安全:API安全、应用安全监测、抗BOT、支付安全、欺诈监测和识别、其它业务安全 软件供应链安全:开发流程安全管控、DevSecOps、静态安全测试、动态/模糊安全测试、交互式安全测试 网络安全服务:渗透测试/众测、安全合规、安全集成、安全咨询与规划、安全意识与培训、攻防演练、安全靶场、应急响应与重保服务、安全测评与认证 安全支撑技术与体系:威胁情报 密码技术及应用:密钥管理、加解密 安全管理与运营:安全运营管理中心(SOC)、网络空间资产测绘 网络与通信安全:通信传输安全 计算环境安全:漏洞检测与管理 移动安全 物联网安全 数据安全 应用与业务安全 软件供应链安全 网络安全服务 安全支撑技术与体系 密码技术及应用 安全管理与运营 网络与通信安全 计算机环境安全 梆梆安全在网络安全领域深耕多年,聚焦移动应用安全主航道,深度布局数据安全、物联网安全、车联网安全、API安全等前沿方向,通过持续深化核心技术攻关完成产品体系迭代升级、安全服务专业化,在关键基础设施领域形成可验证的解决方案,依托核心自主知识产权为各行业客户安全防护体系建设提供有效支撑。面向数字化纵深发展的新阶段,梆梆安全将继续以推动产业良性发展为目标,强化技术纵深能力,驱动行业高质量发展。
互联网服务巨头Cloudflare表示,其在2024年缓解了创纪录数量的DDoS攻击,同比大幅增长358%,环比增长198%。 这些数据来自Cloudflare的2025年第一季度DDoS报告,该公司表示,它在2024年共缓解了2130万次DDoS攻击。 然而,对于在线实体和公司来说,2025年似乎是一个更大的问题,Cloudflare仅在2025年第一季度就应对了2050万次DDoS攻击。 这些攻击包括Cloudflare本身,其基础设施在18天的多向量攻击中直接成为660万次攻击的目标。 针对Cloudflare网络的攻击 Cloudflare解释说:“在2050万次DDoS攻击中,1680万次是网络层DDoS攻击,其中660万次是直接针对Cloudflare的网络基础设施。”这些攻击是为期18天的多向量DDoS攻击的一部分,包括SYN洪水攻击,mirai生成的DDoS攻击,SSDP放大攻击等等。 这一增长的最大推动力是网络层攻击,近几个月来增长最为迅猛,同比增长509%。 DDoS攻击总次数 与此同时,超容量攻击的趋势有增无减,Cloudflare记录了超过700次攻击,这些攻击的带宽超过1tbps(太比特每秒)或数据包速率超过每秒10亿个数据包。在今年第一季度,属于这些类别的超容量攻击平均每天发生8次,总数比上一季度翻了一番。 Cloudflare表示,他们在2025年第一季度确定了两种新兴威胁,即无连接轻量级目录访问协议(CLDAP)和封装安全有效载荷(ESP)反射/放大攻击。 CLDAP攻击环比增长了3488%,表现为使用UDP而不是TCP的LDAP变体,后者更快,但可靠性较差。CLDAP中的UDP不需要握手,允许IP欺骗,攻击者通过伪造源IP地址来将大量流量反映到他们的目标。 ESP攻击的季度增长率为2301%,可能是由于配置错误或暴露系统存在漏洞。 观察到的2025年第一季度攻击趋势 游戏服务器遭攻击 Cloudflare报告中强调的一次攻击发生在2025年第一季度,涉及一家美国托管提供商,该提供商为《反恐精英GO》、《军团要塞2》和《半条命2:死亡竞赛》的多人游戏服务器提供服务。 这次攻击分多波进行,目标是27015端口,该端口以在游戏中使用而闻名,并规定它对UDP和TCP都是开放的,所以目标显然是破坏游戏服务。 这次攻击是“超大容量”的,达到每秒15亿个数据包,不过Cloudflare说攻击仍在缓解。 游戏服务器是DDoS攻击的热门目标,因为这种中断可能对发行商和整个玩家社区造成极大的破坏和影响。 即将破纪录的DDoS披露 该公司首席执行官Matthew Prince上周晚些时候宣布,他们已经缓解了创纪录的分布式拒绝服务(DDoS)攻击,峰值为5.8 Tbps,持续了大约45秒。 此前的记录也是由Cloudflare报告的,是由1.3万台设备组成的基于mirai的僵尸网络发起的5.6 Tbps的DDoS攻击。
5月15日15:00准时开讲! 立即扫码预约:享千元大礼+HW防护攻略 HW行动即将来袭!一场直播带你掌握HW邮件安全X反钓鱼演练防护全链条 直播亮点抢先看: 风险识别:用户威胁分析,安全态势一目了然 响应处置:安全事件准实时告警,一键响应处置 溯源分析:邮件系统日志审计,高效安全溯源 攻防演练:1次演练=100种陷阱?反钓鱼演练指南 扫码预约直播间,先人一步掌握邮件安全核心技能,为HW 行动保驾护航!
一种新的“自带安装程序”EDR 旁路技术在攻击中被利用,以绕过 SentinelOne 的防篡改保护功能,使恶意分子能够禁用端点检测和响应(EDR)代理,从而安装 Babuk 勒索软件。 这种技术利用了代理升级过程中的一个漏洞,使威胁者能够终止正在运行的 EDR 代理,从而使设备失去保护。 此次攻击是由 Stroz Friedberg事件响应团队的人员在与今年早些时候遭受勒索软件攻击的一位客户合作期间发现的。 该技术并非像我们通常看到的 EDR 旁路那样依赖第三方工具或驱动程序,而是滥用 SentinelOne 安装程序本身。 SentinelOne 建议客户启用默认关闭的“在线授权”设置,以防范此类攻击。 在勒索软件攻击中被积极利用 Stroz Friedberg的研究人员解释说,SentinelOne 通过一项防篡改保护功能来保护其 EDR 代理,该功能要求在 SentinelOne 管理控制台中进行手动操作或输入唯一代码才能移除代理。 然而,与许多其他软件安装程序一样,在安装不同版本的代理程序时,SentinelOne 安装程序会在现有文件被新版本覆盖之前终止任何相关的 Windows 进程。 威胁者发现他们可以利用这一短暂的机会窗口,运行一个合法的 SentinelOne 安装程序,然后在安装程序关闭正在运行的代理服务后强行终止安装过程,从而使设备处于未受保护的状态。 自带安装器EDR绕过攻击链 今年早些时候,Stroz Friedberg被委托调查对客户网络的攻击,日志显示攻击者通过漏洞获得了对客户网络的管理访问权限。 然后,攻击者通过在SentinelOne Windows Installer(“msiexec.exe”)进程安装和启动新版本的代理程序之前终止该进程,使用了这种新的绕过。由于设备上的保护被禁用,威胁者随后能够部署勒索软件。 威胁者可以利用新版本或旧版本的代理来进行这种攻击,所以即使最新版本在设备上运行,他们仍然容易受到攻击。 Stroz Friedberg在报告中说:“Stroz Friedberg还观察到,在安装程序终止后不久,SentinelOne管理控制台的主机就离线了。进一步的测试表明,攻击成功地跨越了多个版本的SentinelOne代理,并且不依赖于本次事件中观察到的特定版本。” SentinelOne已于2025年1月私下与客户分享了缓解措施。缓解措施是在哨兵策略设置中启用“在线授权”功能,启用该功能时,需要在发生代理的本地升级、降级或卸载之前获得SentinelOne管理控制台的批准。 SentinelOne还与所有其他主要的EDR供应商分享了Stroz Friedberg关于这项新技术的建议,以防他们也受到影响。经证实,这次攻击并未影响其EDR软件。
专注推动网络与安全融合的全球性综合网络安全解决方案供应商Fortinet(Nasdaq:FTNT),于近日公布2025年第一季度财报。 Fortinet 创始人、董事长兼首席执行官谢青(Ken Xie)表示“我们非常荣幸地宣布,Fortinet第一季度全球市场表现亮眼,非 GAAP 营业利润率创下34%新高,比上年同期上升 570 个基点,账单收入增势不减,年同比增长14%。通过持续投资统一SASE(Unified SASE)和安全运营(Security Operations)两大高速增长的市场领域,进一步巩固了我们在安全组网领域的行业领先地位。凭借深厚的网络与安全融合专长、人工智能创新卓越优势,以及基于统一操作系统FortiOS 实现的高效产品开发和无缝集成能力,我们得以持续引领网安行业原生创新与发展,并将以树立网络安全领域行业标杆为已任,持续推动增长型战略加速前行”。 2025年第一季度财报摘要 • 营收 15.4 亿美元,较去年同期增长 13.8% • 服务收入 10.8 亿美元,较去年同期增长 14.4% • 产品收入 4.591 亿美元,较去年同期增长 12.3%。 • 账单收入 16 亿美元,较去年同期增长 13.5%。 • GAAP 营业利润 4.538 亿美元 • GAAP 营业利润率 29.5% • GAAP 净利润 4.334 亿美元 • GAAP 每股摊薄净收益 0.56 美元 • 非 GAAP 营业利润 5.262 亿美元 • 非 GAAP 营业利润率 34.2% • 非 GAAP 净利润 4.523 亿美元 • 非 GAAP 每股摊薄净收益 0.58 美元 • 经营业务现金流 8.633 亿美元 • 自由现金流 7.828 亿美元
2025年5月9日,国内专业权威咨询机构——安全牛,正式发布第十二版《中国网络安全行业全景图》(以下简称“全景图”)。Coremail旗下独立品牌—CACTER,凭借26年技术积淀与持续创新,第十二次荣登“邮件安全”领域榜单。 在本次的全景图中,CACTER从全国350余家安全厂商、近3000项申报中强势突围,实现十二度蝉联入选殊荣。这不仅彰显了行业权威机构对CACTER技术实力的持续认可,更印证了我们在产品研发、市场应用及用户服务领域建立的标杆地位。十二载领航之路,源于CACTER始终践行的三重坚持:以前沿技术创新构筑竞争壁垒,以严苛品控锻造产品矩阵,以深度服务体系赢得客户信赖,持续巩固邮件安全领域标杆品牌地位。 26年深耕,构建邮件安全全场景防线 凭借26年的反垃圾反钓鱼技术沉淀,CACTER致力于提供综合性邮件安全方案。产品包括涵盖邮件安全网关、CAC2.0反钓鱼防盗号、安全海外中继、邮件数据防泄露EDLP、安全管理中心SMC2、反钓鱼演练等,为企业邮件通信保驾护航。 CACTER邮件安全网关 CACTER邮件安全网关基于自主研发神经网络平台Nerve 2.0恶意邮件检测能力,可对接收,外发以及域内垃圾邮件、钓鱼邮件、病毒邮件、BEC诈骗邮件等恶意邮件进行全方位检测拦截(阻断或隔离),反垃圾准确率高达99.8%,误判率低于0.02%。其中CACTER大模型邮件安全网关结合大模型 AI 能力,包含高管保护、大模型URL沙箱、AI智能报告等功能。 CACTER邮件数据防泄露系统EDLP CACTER EDLP基于自研AI多维行为分析与实时预警技术打造的智能邮件数据防泄露系统。支持混合部署模式,提供从内容识别、传输加密到合规审计的全链路数据防护,能预防并阻止有意或无意的邮件数据泄露行为,为中大型企业、金融机构及政府部门等提供精准、高效的数据安全防护。 CACTER安全管理中心SMC2 安全管理中心SMC2支持监测失陷账号、网络攻击、主机威胁,拥有邮件审计、用户行为审计、用户威胁行为分析等能力,并提供账号锁定、IP加黑、邮件召回、告警等处置手段,简化管理,助力邮件系统安全运营。 安全海外中继 安全海外中继产品依托全球优质中继服务器,智能选择最优质通道进行投递和接收,融合反垃圾网关技术,保障海外交流安全通畅,有效解决跨境交流的收发延迟、链路不稳定,海外恶意邮件威胁等问题。 产品支持Coremail、Exchange、O365、Gmail、IBM Domino、Lotus notes等邮件系统。 CAC2.0反钓鱼防盗号 CAC2.0是一款同时具备威胁邮件识别过滤、邮箱账号异常监测与准实时告警、泄露账号威胁登录拦截,以及综合型邮件威胁情报(攻击IP、威胁URL、钓鱼邮件主题、重保紧急情报等)的云安全服务,全面防范“邮件威胁”和“账号威胁”,拥有“事前拦截,事中告警,事后处置”的全流程能力。 当前,CACTER已为20000家+企业客户邮件通信保驾护航,涵盖金融、政府、教育等多个行业。未来,CACTER 将继续秉持初心,不断探索创新,为网络安全行业的发展贡献更多力量,守护企业邮件安全的每一道防线。
24年前,一群疯狂痴迷安全技术的年轻人从全国各地齐聚北京。2天的时间里,数场思想的碰撞,数次只关乎技术的对谈……从那时起,中国的网络安全逐渐有了“圈子”的概念,也从那次聚会开始,中国网安圈有了一场“一年一会”的约定——XCon安全焦点信息安全技术峰会。 之后的每一年,XCon总是如约而至。带着对全球网络安全产业的深刻洞察,带着对前沿安全技术的探索实践,带着对日益复杂的网络攻击强有力地对抗,带着一批又一批执着于技术本身、钟爱探索未知,热爱无私分享的年轻人,从XCon的演讲台出发,向行业的更高处,向技术研究的更高点不断进发。 24年间,中国的网安技术从世纪之初以依托防火墙、杀毒软件等具象的技术构筑数字边界,到数年后在云计算与大数据的浪潮下,面对日益频繁的黑客攻击,《网络安全法》的横空出世。从5G技术向万物智联全面延伸到2020年前后,AI与量子计算带来的技术革命……如今随着AI在各行各业,甚至是生产生活的点滴处不断渗透,安全已成为嵌入数字文明的重要基因。云原生防御自生长,AI内生免疫,低空安全网不断覆盖扩张……这些不仅是技术不断跃迁的印记,更是“精于研探·持续创新”的网安人扎实构建的安全防线。 今年,当AI成为时代与社会发展的诸多前提,我们也将本届大会的主题拟定为“未来·皆有AI”。我们将再次向全球的网络安全技术从业者、爱好者、机构、实验室、民间技术团体发出邀请,诚邀你将过往对全球网安技术发展的崭新认知、创新探索、突破实践向行业及更多的安全技术人分享,一同延续XCon这场24年未曾中断的技术对谈,在深度地交流与思想地碰撞下,一起更好地预见风险,更高效地抵御攻击,更精准地把握机遇,更从容地面对未来! XCon2025议题征集正式启动,期待你带来关于安全未来的好消息! XCon2025||未来·皆有AI 01议题征集方向 AI技术/AIGC应用与安全/大模型应用与安全技术/深度伪造/低空经济/智能驾驶/智能安全设备/SOAR/漏洞利用与漏洞缓解技术/移动安全/应用安全/工控安全/数据安全/5G安全/逆向工程/数据分析与应急响应/云安全与虚拟化/生物识别/风控安全/反欺诈/隐私窃密/区块链/密码学/数据取证和事件响应/开源工具/OSINT/安全策略与架构/态势感知/零信任/DevSecOps……等一切引发组委会和全球关注的前沿安全技术及研究方向。 02征集内容及要求 1)演讲者需以PPT形式,对征文内容进行明确且详细的描述,内容包含但不限于:研究思路、研究发现、研究成果及解决方案。说明中请告知组委会,该议题是否在其他地方有过相关发布和发布范围; 2)演讲者以个人名义提交议题,需对自身和工作经历进行描述; 3)演讲者以团队名义提交议题,需另外增加详细的团队介绍; 4)深度场演讲将不采纳以企业宣传、产品推广或销售为目的的任何议题。 5)演讲过程中所需细节: -演讲时长:不少于40分钟 -是否发布新的工具 -是否发布新的漏洞 -是否发布新的Exploit代码 -所有征文通过cfp@xfuturesec.com提交,供XCon组委会审核筛选。 *无论您的议题是否被收录,我们都会通过您留下的联系方式告知您审核结果。 -征集截止日期:2025年7月04日18:00 XCon2025||未来·皆有AI 01议题征集方向 覆盖“网络安全”全领域,着重倾向于AIGC、大模型技术的安全与应用等。内容包含但不限于:新产品(解决方案)发布、展示与体验、新工具演示发布、创新成果发布等。 02征集内容及要求 1)演讲者需要对路演内容进行PPT版本的详细描述。同时需说明该内容适用于何种领域(应用场景)、可解决何种问题,并说明该议题是否在其他地方有过相关发布和发布范围; 2)演讲者以个人名义提交内容,需对自身和工作经历、演讲经历进行详细描述; 3)演讲者以团队名义提交内容,需另附团队及成员的详细介绍; 4)演讲时长,不超过20分钟。 *无界场演讲可接受企业基于技术本身的应用与解决方案展示,并对企业自身及产品进行宣传。(如:企业及产品名称、优势特点、应用领域与场景等)。 -所有征文通过cfp@xfuturesec.com提交,供XCon组委会审核筛选。 *无论您的议题是否被收录,我们都会通过您留下的联系方式告知您审核结果。 -征集截止日期:2025年7月04日18:00
近日,北京丈八网络安全科技有限公司(简称“丈八网安”)和武汉人工智能研究院(简称“武智院”)达成了战略合作,双方将围绕人工智能技术与基于网络仿真技术的网络靶场、网络兵棋推演等产品的深度融合展开合作,以前沿技术为驱动,加速产品技术迭代升级,同步推进全国市场战略布局,为行业数字化转型筑牢更坚实、更智慧、更高效的安全防线。 丈八网安深耕网络仿真技术,在基于此技术的网络靶场、网络兵棋推演等产品建设方面积累了深厚的技术成果与丰富的实践经验;武智院作为人工智能领域的国家级科研力量,拥有顶尖的科研团队与前沿的技术成果。双方的强强联合,不仅是技术资源的优势互补,更是对未来网络安全发展趋势的精准把握。 在人工智能技术呈指数级发展的当下,丈八网安认为:AI 是网络安全领域的 “双刃剑”,既是需严密防护的对象,也是攻防博弈的关键工具。一方面,AI 系统因数据敏感、算法复杂,面临数据投毒、模型窃取等风险,还可能被恶意利用形成新型威胁;另一方面,其强大的分析决策能力,为网络安全防御带来实时威胁识别、自动化响应等创新手段,推动防护模式向主动智能升级。长期以来,丈八网安在此理念指导下,从 AI 的 “工具” 和 “对象” 双向价值着手,在原有的产品架构中植入智能体中台,集成了通用对话、代码分析、文档分析、攻击面分析、威胁情报、攻防战技法等多个智能体,形成网络安全专属“智慧大脑”平台。 在“智慧大脑”平台的支撑下,AI 技术深度融入各项应用功能,释放强大效能。以平台内的AI决策助手为例,它能基于深度学习成果,迅速基于当前攻防态势做出合理的策略建议,帮助用户确定下一步的行动目标;AI 智能对手,可自主发起攻击行动,帮助用户开展防御训练,有效提升用户的实战应对能力;AI测试助手,能精准识别网络拓扑结构和应用脆弱性,编写出可运行的网络安全以及网络性能相关的测试用例代码,为高效测试提升提供有力支持。丈八网安希望通过此次与武智院的战略合作,依托其在人工智能领域的专业积累,助力现有的多个智能体达成更卓越的思考能力和执行能力。这将大幅提升用户对产品功能的运用效率,在人才培养、策略推演等关键领域发挥更大价值。同时,双方也将整合各自优势资源,积极探索人工智能与网络安全融合的新应用、新场景,联合打造更具创新性、更具市场竞争力的新产品,引领行业发展新潮流,为网络安全领域注入新活力。 此次合作,是丈八网安与武智院在网络安全智能化进程中的重要一步。双方将以技术为基石,以市场为导向,稳步推进产品迭代与场景拓展。未来,随着合作的持续深化,前沿技术将不断转化为切实可用的安全解决方案,为行业数字化转型提供可靠支撑。丈八网安与武智院也将秉持务实合作的理念,持续探索 AI 与网络仿真技术的融合路径,在服务用户、推动行业发展的道路上稳步前行。 关于丈八网安: 丈八网安是专注尖端网络仿真技术创新及产品研发的创新型企业,旗下产品有:丈八网络靶场平台、丈八测试验证平台、丈八兵棋推演系统,产品围绕国防科技、金融、教育、交通、能源、医疗等关键信息基础设施领域,在仿真网络攻防训练、竞赛、演习、应急响应预演、测试评估、策略验证、网络兵棋推演等多种场景中发挥重要作用。 关于武智院: 武智院是由武汉东湖新技术开发区建设的新型研发机构,主要聚焦跨模态智能国际前沿研究方向,是中国科学院自动化研究所加速推动人工智能创新成果规模化应用的创新平台,致力于打造新一代人工智能技术创新策源地和产业发展高地。武智院坚持以原始创新和核心技术研发为主导,以产业落地为目标,汇聚国内外一流高端人才,全面推动全新人工智能研发转化范式变革,促进人工智能赋能千行百业。
依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络产品安全漏洞管理规定》等法律法规,按照工业和信息化部工作部署要求,国家监管机构持续开展APP隐私合规和网络数据安全专项整治。 梆梆安全《安全隐私合规监管趋势报告》持续跟进国家监管机构通报数据,并依据近期监管支撑发现存在隐私合规类问题的APP数据,从APP行业分类及隐私合规问题进行分类说明,帮助企业更好的完成APP隐私合规建设。 最新监管通报动态 4月17日,计算机病毒应急处理中心依据相关法律法规,通过监测发现13款移动应用存在隐私不合规行为,计算机病毒应急处理中心提醒用户应谨慎下载使用违规移动应用,避免个人隐私信息被泄露。 4月18日, 贵州通管局依据相关法律法规,持续开展APP 侵害用户权益专项整治行动,截至目前,尚有10款APP未完成整改,上述APP应限期完成整改,逾期不整改的,贵州通管局将依法采取下一步处置措施。 4月19日, 甘肃通管局依据相关法律法规,持续开展APP隐私合规和数据安全专项整治行动,截至目前,尚有8款APP及小程序未完成整改,上述APP及小程序应限期完成整改,逾期未完成整改的,甘肃通管理局将依法依规采取下一步处置措施。 4月20日,计算机病毒应急处理中心依据相关法律法规,检测发现67款移动应用存在违法违规收集使用个人信息情况,计算机病毒应急处理中心现予以通报处置。 4月21日,工信部依据相关法律法规,对APP、SDK违法违规收集使用个人信息等问题开展治理,经抽查共发现52款APP及SDK存在侵害用户权益行为,上述APP及SDK应按有关规定进行整改,对于整改落实不到位的,工信部将依法依规组织开展相关处置工作。 4月21日, 浙江通管局依据相关法律法规,持续开展APP侵害用户权益治理工作,截至目前,尚有13款APP未按要求完成整改,现予以通报,上述APP应限期完成整改,对于整改落实不到位的,浙江通管局将视情采取下架、关停、行政处罚等措施。 4月21日,湖北通管局依据相关法律法规,持续开展APP专项治理工作,截至目前,仍有1款APP未按照要求完成整改反馈,湖北通管局决定对该APP予以下架处置。 4月29日,四川和重庆通管局依据相关法律法规,对川渝两地主流应用商店移动互联网应用程序(APP)进行了检查,截至目前,仍有9款APP/小程序未按要求完成整改,上述APP/小程序应限期完成整改,逾期不整改的,四川和重庆通管局将依法依规进行处置。 4月30日,湖南通管局依据相关法律法规,持续开展侵害用户权益移动应用程序(APP、小程序、快应用)专项整治行动,截至目前,尚有32款移动应用程序未按期完成整改,现予以公开通报,上述移动应用应限期完成整改,逾期未整改合格、未反馈的,湖南通管局将依法依规采取下架、行政处罚并纳入电信经营不良名单等进一步处理措施。 监管支撑汇总 1.梆梆监管支撑数据 依据近两周监管支撑发现存在隐私合规类问题的APP数据,从APP行业分类及TOP5问题数据两方面来说明。 1)问题行业TOP3: 本地生活、网上购物、学习教育 2)隐私合规问题TOP5: TOP1:认定方法 2-1未逐一列出APP(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等; TOP2:认定方法 2-3 在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解; TOP3:认定方法3-3 实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围; TOP4:认定方法 3-8 未向用户提供撤回同意收集个人信息的途径、方式; TOP5:认定方法3-9 违反其所声明的收集使用规则,收集使用个人信息。 2.国家监管数据分析 针对国家近两周监管通报数据,依据问题类型,统计涉及APP数量如下: 问题分类 问题数量 未经用户同意收集使用个人信息 83 基于个人同意处理个人信息的,个人有权 撤回其同意。个人信息处理者应当提供便 捷的撤回同意的方式 59 违规收集个人信息 50 未明示收集使用个人信息的目的、方式和 范围 47 未按法律规定提供删除或更正个人信息功 能”或“未公布投诉、举报方式等信息 34 未公开收集使用规则 33 个人信息处理者向其他个人信息处理者提 供其处理的个人信息的,应当向个人告知 接收方的名称或者姓名、联系方式、处理 目的、处理方式和个人信息的种类,并取 得个人的单独同意 30 超范围收集个人信息 23 APP强制、频繁、过度索取权限 23 未经同意向他人提供个人信息 23 窗口关闭用户可选 21 个人信息处理者在处理个人信息前,应当 以显著方式、清晰易懂的语言真实、准确、 完整地向个人告知下列事项: (一)个人信息处理者的名称或者姓名和 联系方式; (二)个人信息的处理目的、处理方式, 处理的个人信息种类、保存期限; (三)个人行使本法规定权利的方式和程 序; (四)法律、行政法规规定应当告知的其 他事项。 前款规定事项发生变更的,应当 将变更部分告知个人。 16 个人信息处理者应当建立便捷的个人行使 权利的申请受理和处理机制。拒绝个人行 使权利的请求的,应当说明理由。 13 APP频繁自启动和关联启动 10 未采取相应的加密、去标识化等安全技术 措施 10 个人信息处理者处理不满十四周岁未成年 人个人信息的,未制定专门的个人信息处 理规则;个人信息处理者处理不满十四周 岁未成年人个人信息的,应当取得未成年 人的父母或者其他监护人的同意 8 处理敏感个人信息应当取得个人的单独同 意 6 违规使用个人信息 5 个人信息处理者处理敏感个人信息的,除 本法第十七条第一款规定的事项外,还应 当向个人告知处理敏感个人信息的必要性 以及对个人权益的影响;依照本法规定可 以不向个人告知的除外。 5 未明示个人信息处理规则 3 个人信息处理者向中华人民共和国境外提 供个人信息的,未向个人告知境外接收方 的名称或者姓名、联系方式、处理目的、 处理方式、 个人信息的种类以及个人向境 外接收方行使本法规定权利的方式和程序 等事项,并取得个人的单独同意 3 强制用户使用定向推送 2 未经同意向他人提供个人信息 2 应用分发平台上的APP信息明示不到位 1 总计 510 针对国家近两周监管通报数据,依据APP类型,统计出现通报的APP数量如下: APP类型 APP数量 实用工具 62 学习教育 21 网络游戏 15 新闻资讯 13 即时通信 9 网上购物 8 问诊挂号 8 手机银行 6 本地生活 5 网络约车 5 餐饮外卖 4 求职招聘 4 投资理财 4 网络借贷 4 网络社区 4 网络社区 3 网上购物 3 地图导航 2 电子图书 2 交通票务 2 旅游服务 2 实用工具 2 用车服务 2 邮件快件寄递 2 运动健身 2 在线影音 2 短视频 1 二手车交易 1 房屋租售 1 今天票务 1 酒店服务 1 旅游服务 1 问诊挂号 1 线上购物 1 总计 204
如今勒索软件领域正在重新洗牌,一个名为“DragonForce”的犯罪团伙正试图将其他团伙纳入类似卡特尔的组织架构之中。 DragonForce现在正通过一种分布式联盟品牌模式激励其他勒索软件组织,为其他勒索软件即服务(RaaS)运营提供了一种无需承担基础设施维护成本和精力即可开展业务的途径。 该组织的一名代表表示,他们纯粹是出于经济动机,但也遵循道德准则,反对攻击某些医疗保健机构。 通常,勒索即服务(RaaS)运营有其自身的附属机构或合作伙伴,而勒索软件开发者则提供文件加密恶意软件和基础设施。 附属人员会构建加密软件包的变体,侵入受害者的网络并部署勒索软件。他们还会管理解密密钥,并通常与受害者协商赎金支付事宜。 该开发者还运营着一个所谓的数据泄露网站(DLS),在上面发布那些未向攻击者支付赎金的受害者被盗取的信息。 作为使用其恶意软件和基础设施的交换条件,该开发者会从收到的赎金中向合作伙伴收取通常高达 30% 的费用。 DragonForce勒索软件业务 DragonForce自称为“勒索软件卡特尔”,并抽取 20% 的赎金。在其模式下,附属机构能够获取基础设施(谈判工具、被盗数据存储、恶意软件管理),并以自己的品牌使用“DragonForce”加密器。 该集团于 3 月宣布了这一“新方向”,称附属公司可以在已获证实的合作伙伴的支持下创建自己的品牌。 正如下面的帖子所说,DragonForce 旨在管理“无限品牌”,这些品牌能够针对 ESXi、NAS、BSD 和 Windows 系统。 DragonForce宣布了类似saas的RaaS模型 DragonForce结构是一个市场,分支机构可以选择以DragonForce的品牌或其他品牌部署攻击。基本上,威胁团体可以使用他们自己的服务和白标签,所以看起来他们是自己的品牌。作为回报,他们不必处理运行数据泄漏和谈判站点、开发恶意软件或处理谈判等令人头疼的问题。不过,有一些规则需要遵守,子公司一旦失足就会被踢出去。 然而,这些规则只适用于采用新提出的勒索软件商业模式的威胁者。当被问及医院或医疗机构是否不受限制时,DragonForce则表示,这完全取决于医院的类型。 网络安全公司Secureworks的研究人员表示,DragonForce的模式可能会吸引更广泛的分支机构,并吸引技术含量较低的威胁者。即使是老练的威胁者也可能会欣赏这种灵活性,这种灵活性允许他们部署自己的恶意软件,而无需创建和维护自己的基础设施。 通过增加会员基础,DragonForce可以通过其拟议模式的灵活性获得更大的利润。目前尚不清楚有多少勒索软件分支机构就新的服务模式联系了DragonForce卡特尔,但威胁者表示,成员名单包括知名团伙。最新了解到,一个名为RansomBay的新勒索软件团伙已经进入了DragonForce的模式。
2025年5月8日,Coremail CACTER邮件安全联合北京中睿天下信息技术有限公司发布《2025年第一季度企业邮箱安全性研究报告》。(以下简称”报告“) 报告显示,企业邮箱安全威胁仍在不断升级,整体形势依旧严峻。具体而言,主要面临三大核心威胁:垃圾邮件泛滥成规模、钓鱼邮件精准化升级以及暴力破解攻击持续高发,传统单点防护手段已难以有效应对。 在此背景下,CACTER通过技术融合与行业适配,将AI大模型、网关拦截、数据防泄露等能力整合为动态防护机制,为企业邮箱安全提供全方位、多层次的防护保障。(本文摘取季报部分数据呈现) 一、垃圾邮件同比34%,境外威胁持续上升 报告显示,2025年Q1企业邮箱垃圾邮件总量达9.76亿封,同比激增34.07%。值得注意的是,香港地区以1103.6万封垃圾邮件首次跻身境内攻击源TOP3,成为不可忽视的新型威胁源头。 从境外数据来看,美国、马来西亚等老牌攻击源持续活跃,美国已连续4个季度占据境外垃圾邮件发送源榜首,高达2175.2万封。来自马来西亚、捷克、日本的发送量分别为1329.7万封、1256.2万封、1208.3万封。 从主题上看,垃圾邮件主题以广告推广和低价值信息为主,例如职业培训、群发广告、模糊职业词诱导等,通过这些看似吸引人的话题,诱使用户点击链接或回复邮件,从而达到推广产品或获取用户信息的目的。 二、钓鱼邮件同比激增114.91%,生成式AI为主要推手 2025年Q1钓鱼邮件攻击量攀升至2.45亿,较上季度增长16.67%,较去年同期激增114.91%。近年来生成式AI技术的滥用,催生了伪造高管签名、模仿内部通知等新型钓鱼手段,使邮箱用户遭受的攻击数量大幅增加。钓鱼邮件的精准化升级,不仅增加了用户识别的难度,也加剧了数据泄露和经济损失的风险。 从境外数据来看,日本跃居美国成为钓鱼邮件攻击的主要来源,其数量远远超过其他国家,达到了1341.2万封。其次为美国,发送量413.7万封;俄罗斯排行第三,发送量340.9万封。 从主题上看,钓鱼邮件主题高度呈现紧迫性和权威性,例如使用安全威胁、账号限制、官方伪装等,诱使用户点击链接或泄露敏感信息。 三、全域破解攻击量达峰值,呈现量增效降特征 2025年Q1企业级用户遭受超过无差别的暴力破解达到47.7 亿次,环比2024年Q4增长13.03%。虽然全域被暴力破解成功的次数为 519.3 万次,成功率仅 0.11%,呈现出量增效降的特征,但攻击量已接近历史峰值,这依然给企业邮箱安全带来了巨大的压力。 从被攻击TOP100域名的行业分析来看,企业(占比49%)和教育行业(占比36%)因其具有大量高价值用户数据,成为黑客列为主要攻击目标,远超其他行业。因此企业和教育行业亟需加强邮箱账号的安全防范措施,防止数据泄露。 四、三大主要威胁,CACTER出招守护 面对 2025 年Q1企业邮箱出现的垃圾邮件规模化泛滥、钓鱼攻击精准化升级、暴力破解持续高发这三大主要威胁,CACTER 提出了针对性的防护建议: 1、拦截规模化恶意邮件威胁 针对境外垃圾邮件泛滥与普通钓鱼攻击,可采用CACTER邮件安全网关。该产品基于自研反垃圾引擎与威胁情报库,实现动态封堵高频攻击源(如美国、日本IP等),并深度解析邮件主题与内容。 2、破解破解AI驱动的高级钓鱼威胁 当前 AI 驱动的邮件攻击愈演愈烈,攻击者利用大模型实现 “目标分析-钓鱼生成” 的自动化攻击闭环,批量生成高仿真钓鱼内容,结合多态混淆技术突破传统检测。对此,CACTER大模型邮件安全网关基于大模型技术突破传统网关局限,创新推出三大核心模块: ·高管保护方案:定向防御核心人员的恶意攻击 ·大模型 URL沙箱:智能检测新型恶意链接 ·AI统计报告:深度解析邮件恶意数据,提出邮件防控策略 在提升反垃圾/反钓鱼/反病毒能力的同时,降低运维成本,适配企业多样化安全需求。 3、加固账号与数据安全 针对暴力破解与数据泄露风险,建议结合安全管理中心SMC2与邮件数据防泄露EDLP系统进行防护。 ·安全管理中心SMC2:可进行用户安全巡检,设置高风险、中风险、潜在风险的用户画像,系统实时监控异常登录行为(如境外IP频繁访问),助力管控高危账号,减少弱密码等问题导致的暴力破解成功率 ·邮件数据防泄露EDLP:EDLP的邮件全检策略,能够自动检测外发邮件中的敏感信息(如身份证号、商业合同),并联动分级审批流程。同时EDLP能够留存完整邮件追溯记录,有效降低数据泄露风险。 从2025 年 Q1报告看, 企业邮箱攻击仍呈现出多样化、复杂化的新形势和新威胁,企业应紧跟行业趋势,及时更新防护策略,加强对员工的安全培训,提高员工的安全意识。
本期要点 特别说明:本文类别仅为大致分类,请以专业书籍为准 本文为节选 AI基本术语 大语言模型 •解释:基于海量文本数据训练的人工智能模型,通过深度学习技术(如 Transformer 架构)实现自然语言的理解、生成、推理等功能,具备处理长文本、上下文关联和复杂语义的能力。 •应用场景:广泛应用于自然语言处理任务,如智能对话(Chatbot)、文本生成(文案创作、代码编写)、情感分析、机器翻译等,典型代表包括 DeepSeek、GPT-4、Llama 等。 多模态模型 •解释:支持文本、图像、语音、视频等多种数据类型输入输出的模型,通过跨模态融合技术实现对复杂信息的综合处理,打破单一模态的局限性。 •应用场景:覆盖智能交互(如图文理解、视频分析)、内容创作(图文生成、语音合成)、辅助决策(医疗影像与文本报告结合)等场景,例如 DeepSeek VL2 在电商商品图文分析、苏商银行票据识别中的应用。 混合专家模型 •解释:通过动态路由机制将输入任务分配至多个 “专家模块” 处理的架构,每个专家专注于特定子任务,实现模型参数的高效利用,降低整体算力消耗。 •应用场景:适用于大规模模型训练(如万亿参数模型),典型案例为 DeepSeek 核心架构通过 MoE 提升多任务处理效率,在保持性能的同时减少计算资源占用。 自托管 AI •解释:企业在自有服务器、私有云或本地化基础设施上独立部署 AI 模型的模式,拥有对数据、模型和服务的完全控制权。 •应用场景:适用于对数据隐私、合规性要求高的行业(如金融、政务),如数禾科技、中原银行通过自托管部署保障用户数据本地化处理,避免第三方依赖风险。 第三方托管 AI •解释:依赖云服务商(如 OpenAI、Azure、阿里云)提供的 AI 平台或 API 服务,无需自建基础设施即可调用模型能力。 •应用场景:适合中小企业快速落地 AI 应用(如客服机器人、图像识别),但需关注第三方服务的安全性(如数据泄露、服务中断),典型案例为企业通过调用 GPT-3 接口实现文本生成功能。 本部分为节选 安全机制术语 动态防御体系 •解释:基于人工智能构建的实时威胁响应机制,通过机器学习分析攻击模式,自动化调度防御资源,形成 “以 AI 对抗 AI” 的智能防护体系,实现对新型网络攻击的动态识别与自适应防御。 • 技术实现:: 智能流量清洗:利用 AI 算法实时识别 DDoS 攻击流量(如僵尸网络发起的 NTP/SSDP 反射攻击),通过 Anycast 架构将流量分散至全球节点(如 DeepSeek 部署 12 个区域集群),确保服务可用性。 攻击预测与响应:通过历史数据训练异常检测模型,提前预判攻击峰值并自动扩容算力,可大大缩短遭受攻击导致服务中断时间。 对抗样本 •解释:对抗样本是对原始输入数据(如图像、文本)添加人类难以察觉的微小扰动后生成的样本,可误导机器学习模型输出错误结果(如将熊猫图像误判为长臂猿)。 •核心特性:核心利用模型对输入特征的过度敏感,通过精心设计的扰动(如像素级噪声、语义模糊文本)欺骗模型决策边界,具有 “扰动微小但破坏力强”“依赖模型特异性” 的特点,暴露模型鲁棒性不足的问题。 对抗训练 •解释:对抗训练是通过向输入数据添加精心设计的微小扰动(对抗样本),迫使机器学习模型学习抵御此类攻击、提升鲁棒性的技术。 •核心机制:在训练过程中,同时优化模型对原始数据和对抗数据的正确分类能力,使模型学会识别数据中的关键特征而非表面噪声,从而增强对对抗攻击(如图片添加人眼不可见扰动导致分类错误)的抵抗力。 差分隐私 •解释:差分隐私是一种严格的隐私保护模型,通过向数据中添加可控噪声(如拉普拉斯、高斯噪声),确保单个个体数据的存在与否对分析结果影响可忽略。同时,使攻击者无法通过输出结果推断特定个体是否参与数据集合,从理论上保障数据隐私的严格性。 •应用场景:广泛应用于数据发布(如医疗统计、人口普查)、机器学习(隐私保护联邦学习)等场景,在释放数据价值的同时避免个体信息泄露。 联邦学习 •解释:联邦学习是一种分布式机器学习框架,允许多个参与方(如企业、设备)在本地数据不出域的前提下协作训练模型。 •应用场景:各节点基于本地数据独立训练,上传模型参数或梯度至中央服务器聚合,形成全局模型。优势在于平衡数据共享与隐私保护,避免原始数据泄露,适用于医疗、金融、物联网等敏感领域。 量子比特 •解释:量子比特(Qubit)是量子计算的基本信息单元,不同于经典比特(0 或 1 的确定态),它能以叠加态存在,即同时处于 | 0⟩和 | 1⟩的线性组合(如 α|0⟩+β|1⟩,α²+β²=1)。此外,多个量子比特可通过 “纠缠” 产生关联,其状态变化会瞬时影响彼此。 •核心优势:这种叠加与纠缠特性赋予量子计算并行处理和高效解决复杂问题的能力。 抗量子算法 •解释:抗量子算法是专为抵御量子计算机攻击设计的密码学算法,针对传统公钥密码(如 RSA、ECC)在量子计算下的安全漏洞(如 Shor 算法破解大数分解和离散对数问题)。 •技术优势:通过基于新型数学难题(如格理论、编码理论、多变量多项式)构建加密体系,确保密钥生成、加密解密过程在量子计算环境下仍具不可破解性,为数据长期安全提供保障。 零信任架构 •解释:零信任架构是一种网络安全模型,遵循 “永不信任,始终验证” 原则,摒弃传统边界防护思维,对所有访问请求(包括内部)持续验证身份、设备安全状态及访问权限。 •核心机制:通过动态身份认证(如多因素认证)、最小权限分配(按需授权)、实时风险评估,构建 “身份 - 设备 - 行为” 三位一体的信任体系,确保每次访问均经过细粒度校验,从源头阻断非授权访问。 本部分为节选 本文为节选 来源:重庆信通设计院天空实验室
超过1200个暴露在互联网上的SAP NetWeaver实例容易受到一个高严重程度的未经身份验证文件上传漏洞的攻击,该漏洞允许攻击者劫持服务器。 SAP NetWeaver是一个应用服务器和开发平台,可以跨不同技术运行和连接SAP和非SAP应用程序。上周,SAP披露了一个未经身份验证的文件上传漏洞,跟踪为CVE-2025-31324,该漏洞存在于SAP NetWeaver Visual Composer中,特别是Metadata Uploader组件。 该漏洞允许远程攻击者在没有身份验证的情况下在暴露的实例上上传任意可执行文件,从而实现代码执行和整个系统的危害。 包括ReliaQuest、watchtower和Onapsis在内的多家网络安全公司证实,该漏洞在攻击中被积极利用,威胁者利用它在易受攻击的服务器上投放web shell。 SAP发言人表示,他们已经意识到了这些攻击,并在2024年4月8日发布了一个解决方案,随后在4月25日发布了一个安全更新,解决了CVE-2025-31324问题。他们没有发现任何此类攻击影响客户数据或系统的案例。 广泛用于攻击 研究人员现已证实,许多易受攻击的SAP Netweaver服务器暴露在互联网上,使其成为攻击的主要目标。 Shadowserver基金会发现了427个暴露的服务器,并提醒大量暴露的攻击面和潜在的严重后果。大多数易受攻击的系统位于美国,其次是印度、澳大利亚、德国、荷兰、巴西和法国等。 然而,网络防御搜索引擎Onyphe描绘了一幅更为可怕的画面,他们发现,有1284台易受攻击的服务器暴露在网上,其中474台已经被webshell入侵。 Onyphe首席技术官说道:“大约有20家《财富》500强或全球500强企业很容易受到攻击,其中许多企业都受到了损害。” 研究人员报告说,这些攻击者正在利用诸如“cache.jsp”和“helper.jsp”这样的名称的webshell。然而,Nextron Research表示,他们也使用随机名称,这使得发现易受攻击的Netweaver实例变得更加困难。 虽然服务器的数量并不多,但考虑到大型企业和跨国公司通常使用SAP NetWeaver,风险仍然很大。为了解决该风险,建议按照本公告中供应商的说明应用最新的安全更新。 如果无法应用更新,建议采用以下缓解措施: 1.限制对/developmentserver/metadata auploader端点的访问。 2.如果没有使用Visual Composer,请考虑完全关闭它。 3.将日志转发到SIEM并扫描servlet路径中未授权的文件。
据Resecurity调研发现,针对全球能源行业企业的网络攻击正在增加,其中一些与攻击出于地缘政治目的,针对国家基础设施的大规模攻击有关。 其中一些攻击代表了旨在针对国家级基础设施的更大规模的活动,作为地缘政治影响力的工具。预计民族国家行为者和外国情报机构将利用这种方法作为未来新一代战争的手段,网络犯罪分子的作用可能会很重要,可以进一步进行网络攻击,并为进攻性网络行动提供基础设施和资源。 北美电力可靠性公司(NERC)是一家非营利的国际监管机构,负责执行美国和加拿大的行业标准。该公司去年称,美国电网越来越容易受到网络攻击。 根据NERC的数据,电网中易受影响的点的数量正在以每天60个的速度增长。为了应对这些日益增长的威胁,美国能源部(DOE)发布了新的配电系统和分布式能源(DER)网络安全指南。这些指导方针是与全国公用事业监管专员协会(NARUC)合作制定的,旨在为降低风险和提高关键基础设施的网络弹性提供一个共同框架。 根据网络安全专家的说法,黑客行动主义是针对能源公司的另一种普遍威胁,与俄罗斯-乌克兰和各种加沙关系的敌对团体有意识形态动机,试图通过宣传各种受害者的OT网络的所谓妥协来建立信誉。 这些网络间谍活动主要是由地缘政治因素驱动的,因为俄乌战争、加沙冲突等造成的紧张局势被投射到网络空间。 随着敌对行动的加剧,第三次世界大战的潜在可能性越来越大,敌对国家正试图通过渗透西方和西方盟国的关键基础设施网络来展示他们的网络军事能力。幸运的是,这些民族国家的活动绝大多数仅限于间谍活动,而不是像震网那样的攻击,目的是在物理领域造成伤害。 针对能源目标的网络攻击越来越多的第二个驱动因素是技术转型,以云计算的采用为标志,这在很大程度上促进了IT和OT网络的日益融合。因此,跨关键基础设施部门的iot - it融合使得联网工业物联网(IIoT)设备和系统更容易被威胁者渗透。具体来说,研究人员已经观察到,攻击者正在使用受损的IT环境作为横向移动到OT网络的中转站。 对于勒索软件攻击者来说,攻击OT尤其有利可图,因为这种类型的攻击使攻击者能够在物理上瘫痪能源生产运营,从而使他们能够获得更高的赎金金额。然而,在网络军事或网络恐怖主义场景中,OT系统的破坏对物理环境和人类生命可能是灾难性的。 另一个改变能源公司威胁环境的技术趋势是迅速推进人工智能的采用。人工智能不仅降低了某些类型攻击活动的进入门槛,而且人工智能与能源部门网络的日益融合也带来了新的网络风险场景的漩涡。
人工智能技术的加速迭代推动其向各行业领域深度渗透,在改变人们生活方式、提升社会生产效率的同时,AI的滥用正成为威胁公民合法权益及隐私安全的新隐患。 ·某高校学生利用AI程序篡改短信验证码功能,向数千名学生发送淫秽骚扰短信,已被公安机关立案侦查; ·某诈骗团伙通过AI换脸技术伪造视频通话,骗取受害者430万元; ·某犯罪团伙利用AI技术开发游戏外挂程序,通过模拟玩家真实操作实现相关功能,破坏游戏公平性,涉案金额达3000万元; (图片来源于网络) 这些真实案例暴露出AI技术被滥用于网络犯罪时的高效性与危害性,从精准获取个人信息到制造虚假内容,从自动化攻击到深度伪造,技术一旦失控,便可能成为扰乱社会秩序的“帮凶”。 面对AI技术滥用乱象,国家重拳出击。中央网信办于2025年持续部署“清朗”系列专项行动,将“整治AI技术滥用”列为八大重点任务之一,并进一步在全国范围内部署开展为期3个月的“清朗·整治AI技术滥用”专项行动。 第一阶段:重点整治6类突出问题 一是违规AI产品。利用生成式人工智能技术向公众提供内容服务,但未履行大模型备案或登记程序。提供“一键脱衣”等违背法律、伦理的功能。在未经授权同意情况下,克隆、编辑他人声音、人脸等生物特征信息,侵犯他人隐私。 二是传授、售卖违规AI产品教程和商品。传授利用违规AI产品伪造换脸视频、换声音频等教程信息。售卖违规“语音合成器”“换脸工具”等商品信息。营销、炒作、推广违规AI产品信息。 三是训练语料管理不严。使用侵犯他人知识产权、隐私权等权益的信息。使用网上爬取的虚假、无效、不实内容。使用非法来源数据。未建立训练语料管理机制,未定期排查清理违规语料。 四是安全管理措施薄弱。未建立与业务规模相适应的内容审核、意图识别等安全措施。未建立有效的违规账号管理机制。未定期开展安全自评估。社交平台对通过API接口接入的AI自动回复等服务底数不清、把关不严。 五是未落实内容标识要求。服务提供者未对深度合成内容添加隐式、显式内容标识,未向使用者提供或提示显式内容标识功能。内容传播平台未开展生成合成内容监测甄别,导致虚假信息误导公众。 六是重点领域安全风险。已备案AI产品提供医疗、金融、未成年人等重点领域问答服务的,未针对性设置行业领域安全审核和控制措施,出现“AI开处方”“诱导投资”“AI幻觉”等问题,误导学生、患者,扰乱金融市场秩序。 技术源头治理与合规管控 第一阶段强化AI技术源头治理,清理整治违规AI应用程序,加强AI生成合成技术和内容标识管理,推动网站平台提升检测鉴伪能力。重点严控生物特征数据滥用(如换脸、换声),打击非法克隆行为以保护隐私;医疗、金融等重点领域的问答服务或需设置行业安全审核和控制措施,防范专业风险。 第二阶段:重点整治7类突出问题 一是利用AI制作发布谣言。无中生有、凭空捏造涉时事政治、公共政策、社会民生、国际关系、突发事件等各类谣言信息,或擅自妄测、恶意解读重大方针政策。借突发案事件、灾难事故等,编造、捏造原因、进展、细节等。冒充官方新闻发布会或新闻报道,发布谣言信息。利用AI认知偏差生成的内容进行恶意引导。 二是利用AI制作发布不实信息。将无关图文、视频拼凑剪辑,生成虚实混杂、半真半假的信息。模糊修改事件发生的时间、地点、人物等要素,翻炒旧闻。制作发布涉财经、教育、司法、医疗卫生等专业领域的夸大、伪科学等不实内容。借助AI算命、AI占卜等误导欺骗网民,传播迷信思想。 三是利用AI制作发布色情低俗内容。利用AI脱衣、AI绘图等功能生成合成色情内容或他人不雅图片、视频,衣着暴露、搔首弄姿等软色情、二次元擦边形象,或扮丑风等导向不良内容。制作发布血腥暴力场景,人体扭曲变形、超现实怪物等恐怖诡谲画面。生成合成“小黄文”“荤段子”等性暗示意味明显的小说、帖文、笔记。 四是利用AI假冒他人实施侵权违法行为。通过AI换脸、声音克隆等深度伪造技术,假冒专家、企业家、明星等公众人物,欺骗网民,甚至营销牟利。借AI对公众人物或历史人物进行恶搞、抹黑、歪曲、异化。利用AI冒充亲友,从事网络诈骗等违法活动。不当使用AI“复活逝者”,滥用逝者信息。 五是利用AI从事网络水军活动。利用AI技术“养号”,模拟真人批量注册、运营社交账号。利用AI内容农场或AI洗稿,批量生成发布低质同质化文案,博取流量。使用AI群控软件、社交机器人批量点赞跟帖评论,刷量控评,制造热点话题上榜。 六是AI产品服务和应用程序违规。制作和传播仿冒、套壳AI网站和应用程序。AI应用程序提供违规功能服务,例如创作类工具提供“热搜热榜热点扩写成文”等功能,AI社交、陪聊软件等提供低俗软色情对话服务等。提供违规AI应用程序、生成合成服务或课程的售卖、推广引流等。 七是侵害未成年人权益。AI应用程序诱导未成年人沉迷、在未成年人模式下存在影响未成年人身心健康的内容等。 违法内容整治与生态治理 第二阶段聚焦利用AI技术制作发布谣言、不实信息、色情低俗内容,假冒他人、从事网络水军活动等突出问题,集中清理相关违法不良信息,处置处罚违规账号、MCN机构和网站平台。重点打击AI换脸、声纹克隆实施侵权违法行为。针对AI应用程序,重点整治仿冒、套壳应用程序及违规功能服务,维护网络空间秩序。 此次专项行动两阶段均将AI换脸技术滥用纳入治理范围,重点应对生物认证系统暴露的安全隐患。梆梆安全基于近期通报案件,犯罪团伙利用AI技术将静态证件照转为动态视频,通过支付平台人脸识别漏洞篡改账户密码实施盗刷,对深度伪造人脸攻击手段进行深入分析,存在以下两种情况: ·非实时伪造人脸视频:攻击者以受害者照片为素材,模拟点头、眨眼等动作利用AI生成伪造视频,通过HOOK技术注入人脸识别环节,以期达到绕过人脸识别的目的。 ·实时换脸攻击:攻击者采用AI实时换脸工具进行现场拍摄采集视频,并利用受害者照片作为源素材进行换脸,后采用摄像头拍摄高清屏幕的方式,能够实时绕过动作及炫彩光等各种活体校验手段实现攻击渗透。 针对上述风险,梆梆安全提供人脸识别业务安全防护解决方案,通过代码加密和通信协议的保护,提升人脸协议和数据破解篡改的攻击门槛,利用安全监测与业务系统的联动,解决应用运行过程中出现的前端技术类攻击行为。 面对AI换脸技术与生物认证攻防的持续升级,梆梆安全将加强AI安全核心技术攻关,聚焦人脸识别领域加大研发力度,为行业用户构建动态防御体系精准识别并抵御新型攻击手段,筑牢可信数字环境安全防线。
在十四届全国人大三次会议《政府工作报告》中,“大力发展智能网联新能源汽车”被正式列为国家战略重点。随着产业加速落地窗口期的到来,智能座舱、车路协同等创新技术正深度重塑车联网行业生态。 值得关注的是,在产业规模迅速增长的同时,智能网联汽车也暴露出诸多安全隐患。Upstream《2025全球汽车网络安全报告》显示,2024年汽车与智能出行网络安全风险规模和影响持续扩大,高影响(数千至数百万移动资产)事件占比持续增长,占所有事件的60%以上,92%的攻击为远程实施;披露2024年汽车行业相关CVE漏洞422个,同比增长11.6%。 (图片来源Upstream《2025全球汽车网络安全报告》) 为应对智能网联汽车所面临的安全威胁,车企正在加速构建自身的安全检测体系。在具体实施过程中也面临着如下挑战: ·测试人员需深入掌握R155、GB 44495-2024等法律法规和标准,以确保测试过程符合各项合规性要求; ·需要具备网络安全、软件开发与安全测试等多领域知识,熟练掌握渗透测试、漏洞扫描和代码审查等技术,以快速识别和发现安全漏洞; ·需配置漏洞扫描器、车内通讯测试工具、应用安全测试工具、无线电安全测试工具等多种专业测试工具,以全面评估汽车信息安全整体情况; ·为提高测试效率和一致性,需建立标准化测试管理体系,通过制定明晰的测试策略和文档模板,确保各环节操作具有可验证的标准化特征。 梆梆安全依托在汽车信息安全领域多年的专业经验和技术积累,融合泰防实验室攻防研究成果,推出了「梆梆安全汽车信息安全测试系统」,专为汽车整车及零部件信息安全开发测试而设计的综合安全评估系统,集成先进的测试方法和工具,对汽车电子控制单元(ECU)、通信协议、以及整车网络进行全面的安全性分析,助力企业构建全生命周期安全合规测评能力。 汽车信息安全测试系统 梆梆安全汽车信息安全测试系统是一款针对整车和零部件进行信息安全测试和管理的系统,该系统由管理平台和测试工具箱两部分组合而成。 ·管理平台提供车型、零部件管理、测试项目管理、报告管理、测试工具箱管理等涵盖车辆测试全生命周期关键活动,内置整车、零部件、通信、应用、云服务等方面常用的测试用例和测试工具库。 ·测试工具箱集成软件无线电、蓝牙、Wi-Fi、芯片安全、NFC、车载以太网、CAN总线等各种软、硬件检测工具。企业可以“开箱即用”的方式开始其信息安全测试工作。 一 核心价值 1.全面的测试能力:集成多款主流信息安全测试工具,全方位检测车联网系统潜在安全漏洞和风险点,部分测试项目支持脚本自动化测试,提高测试效率。 2. 完善的测试管理体系:支持安全测试过程全生命周期管理,系统内置一套标准的测试过程管理体系,确保信息安全测试工作的标准化和规范化。 3. 丰富的知识库:内置知识库包含法规标准解读、测试工具操作手册、合规测试用例。支持企业将已有的知识录入系统,实现企业信息安全测试能力的建设和积累,形成企业信息安全测试知识体系。 4. 多样化的工作模式:支持在/离线工作模式,可在无网络离线模式下完成整车、零部件的测试工作,待具备网络连接的条件下,再同步所有的测试结果数据到汽车信息安全测试系统,极大方便用户在各种环境开展信息安全测试工作。 5. 便捷的生成测试报告:可一键自动生成专业的信息安全测试报告,包括详细的测试记录、测试发现的风险及其修复建议。极大降低用户编写测试报告的工作量,提高用户的工作效率。 6. 第三方业务系统集成管理:支持与第三方系统集成,将安全测试管理与企业现有能力平台、全生命周期开发管理平台有效结合,可以大大提升企业的工作能力和效率。 二 应用场景 汽车制造商:应对测试人才短缺与工具碎片化挑战,系统内置常用的汽车信息安全测试工具并提供测试用例,支持部分自动化测试,可以有效降低测试工作量并提高测试效率。同时解决缺乏系统性信息安全测试管理的问题,实现零部件全生命周期安全数据追踪及供应链风险态势可视化。 零部件供应商:打破测试准入门槛,依托预置用例库与多协议兼容能力,快速响应主机厂信息安全验证需求,确保产品合规交付。 研究机构:突破工具资源与知识储备瓶颈,内置测试矩阵与安全知识库赋能攻防研究,加速车联网安全技术孵化。 监管机构:基于国标合规基线(CNAS标准)构建标准化测试框架,支持车载网关、交互系统等关键模块的合规性验证,达到监管机构标准化、规范化的要求。 三 所获荣誉 梆梆安全汽车信息安全测试系统荣获2024年中国网络安全产业联盟“网络安全优秀创新成果大赛优胜奖”及“中国网络安全创新创业大赛二等奖”,标志着梆梆安全已实现车联网攻防技术与检测能力体系的产品化应用。 2024年7月经中国合格评定国家认可委员会(CNAS)评审,满足GB/T 40856-2021、GB/T 40857-2021两项国家标准的全部检测要求,具备实施汽车网关和车载信息系统的检测工作能力被授予“实验室认可证书”资质。 梆梆安全泰防实验室围绕汽车安全检测、渗透测试、创新技术攻关等服务,为智能网联汽车产业提供强有力的全业务支撑。截至目前,梆梆安全已携手主机厂、零部件企业、监管机构及高校科研院所,围绕智能网联汽车全场景安全防护需求展开联合技术攻坚。未来将以创新技术为引擎,持续完善车联网安全合规能力矩阵,赋能智能出行安全,推动车路云一体化生态可信发展。
被称为Luna Moth的数据盗窃勒索组织,又名Silent Ransom group,已经加大了对美国法律和金融机构的回调网络钓鱼攻击力度。 据 EclecticIQ 研究员 Arda Büyükkaya 称,这些攻击的最终目的是窃取数据和实施勒索。 Luna Moth,内部称为 Silent Ransom Group,他们之前曾发起 BazarCall 活动,以便为 Ryuk 获取公司网络的初始访问权限,后来又发起 Conti 勒索软件攻击。 2022年3月,随着Conti开始关闭,BazarCall威胁组织从Conti集团中分离出来,成立了一个名为Silent Ransom Group (SRG)的新组织。 Luna moth最近的攻击包括通过电子邮件、虚假网站和电话冒充IT支持人员,并且完全依赖社会工程和欺骗,在任何情况下都没有部署勒索软件。 据安全公司评估,截至2025年3月,Luna Moth可能已经通过GoDaddy注册了至少37个域名,以支持其回调网络钓鱼活动。 这些域名中的大多数都是美国主要律师事务所和金融服务公司的IT帮助台或支持门户,使用的是键入的模式。 Luna Moth在过去12个月的目标 elecectiq发现的最新活动始于2025年3月,目标是美国的组织,这些组织发送恶意电子邮件,其中包含假的号码,收件人被敦促拨打电话解决不存在的问题。 一名Luna Moth操作员冒充IT人员接听电话,并说服受害者安装来自假IT帮助台网站的远程监控和管理(RMM)软件,使攻击者能够远程访问他们的机器。 虚假的帮助台网站使用域名,这些域名遵循像[company_name]-helpdesk.com和[company_name]helpdesk.com这样的命名模式。 虚假IT支持网站 在这些攻击中被滥用的工具包括Syncro、SuperOps、Zoho Assist、Atera、AnyDesk和Splashtop。这些都是合法的数字签名工具,所以它们不太可能触发对受害者的任何警告。 一旦安装了RMM工具,攻击者就可以动手访问键盘,允许他们传播到其他设备并搜索本地文件和共享驱动器以获取敏感数据。 找到有价值的文件后,他们使用WinSCP(通过SFTP)或Rclone(云同步)将这些文件泄露到攻击者控制的基础设施中。 数据被盗后,Luna Moth联系受害组织,威胁要在其清晰网域名上公开泄露数据,除非他们支付赎金。每个受害者的赎金金额各不相同,从100万美元到800万美元不等。 Luna Moth的勒索网站 Büyükkaya评论了这些攻击的隐蔽性,指出它们不涉及恶意软件、恶意附件或恶意软件网站的链接。受害者只是自己安装RMM工具,认为他们正在接受帮助台的支持。由于企业通常使用这些RMM工具,因此它们不会被安全软件标记为恶意工具,并允许运行,建议考虑限制在组织环境中不使用的RMM工具的执行。
1 概述 “游蛇”黑产团伙(又名“银狐”、“谷堕大盗”、“UTG-Q-1000”等)自2022年下半年开始活跃至今,针对国内用户发起了大量攻击活动,以图窃密和诈骗,对企业及个人造成了一定的损失。该黑产团伙主要通过即时通讯软件(微信、企业微信等)、搜索引擎SEO推广、钓鱼邮件等途径传播恶意文件,其传播的恶意文件变种多、免杀手段更换频繁且攻击目标所涉及的行业广泛。 安天持续对“游蛇”黑产团伙进行跟踪,发布多篇报告。近期,两类较为活跃的恶意样本持续传播:第一类是伪装成文档的恶意程序,此类恶意程序多使用Qt库进行开发,也存在部分恶意程序是在开源软件代码的基础上添加恶意代码形成的,通过释放“白加黑”组件最终执行后门文件。第二类是伪装成应用软件的恶意MSI安装程序,包含正常应用软件安装程序以及其他数十个正常文件,攻击者将“白加黑”组件隐藏在其中,最终执行上线模块及登录模块。 “游蛇”黑产团伙仍在频繁地对恶意软件及免杀手段进行更新,并且由于该黑产团伙使用的远控木马及攻击组件的源代码在网络中流传,因此存在更多恶意变种,每天有大量的用户遭受攻击并被植入远控木马。安天CERT建议用户从官方网站下载安装应用程序,避免点击安全性未知的可执行程序、脚本、文档等文件,以免遭受“游蛇”攻击造成损失。 用户可以在安天垂直响应平台(https://vs2.antiy.cn)中下载使用“游蛇”专项排查工具和安天系统安全内核分析工具(ATool)对“游蛇”木马进行排查和清除。 2 样本分析 2.1 伪装成文档的恶意程序列表列举 表格 2‑1相关样本文件名称 样本文件名称 2025年4月份第一批信息列表pdf.exe 2025年省局辖区315晚会企业曝光名单.exe 2025年4月第二批信息公示pdf.exe 2025年4月第一批公示文件pdf.exe 2025年稳岗补贴名单.exe 关于清明节,放假安排,大家自己查看.exe 稽查人员名单.exe 2.1.1 通过QT库开发的恶意程序 此类恶意程序近期多使用Qt库进行开发,执行后会进行多层反调试检测,并执行大量无效代码以阻碍分析。然后该程序会在内存中执行Shellcode,解密得到一个原名称为“InjectFile.dll”的DLL文件,并执行其“run”导出函数。 图 2‑1 InjectFile.dll文件信息 此类DLL文件会对当前进程进行判断,然后注入至目标进程的内存中执行,目前发现此类DLL文件的目标进程包括svchost.exe、spoolsv.exe、explorer.exe、winlogon.exe等。 图 2‑2此类DLL文件“run”导出函数的主逻辑 然后在指定路径中释放“白加黑”组件,通常由一个可执行程序、一个恶意DLL文件以及一个含有Shellcode内容的BIN文件组成。 图 2‑3释放“白加黑”组件 通过COM接口为释放的“白加黑”组件创建计划任务,计划任务名称为“.NET Framework NGEN v4.0.30318”。 图 2‑4通过COM接口为“白加黑”组件创建计划任务 “白加黑”组件中的EXE程序被用于加载执行恶意DLL文件,该恶意DLL文件会读取同路径中BIN文件的内容,对其进行解密并将载荷写入内存中执行。 图 2‑5 读取bin文件内容并写入内存中执行 该载荷是一个原名称为“Server64.dll”的DLL文件,是“游蛇”黑产团伙使用的后门文件,具有网络通信、下载文件、远程控制、窃密等多种功能。 图 2‑6下载执行功能 2.1.2 篡改开源软件代码形成的恶意程序 近期还发现攻击者通过篡改开源软件的代码形成恶意程序。此类初始恶意样本通常为压缩包文件,内含一个恶意可执行程序和一个后缀名为“.dll”的文件。 图 2‑7恶意文件组成 其中的恶意可执行程序是攻击者在开源软件的源代码基础上,添加恶意的功能函数后形成的。而后缀名为“.dll”的文件则是经过加密的二进制文件。 图 2‑8恶意代码(左)与开源代码(右)进行比对 恶意代码会读取加密二进制文件内容,对其进行解密得到载荷,并在指定路径中释放和2.1.1中相同的“白加黑”组件。 图 2‑9读取加密二进制文件内容并进行解密 2.2 伪装成应用软件的恶意MSI安装程序列表举例 表格 2‑2相关样本文件名称 样本文件名称 Google AI Browser v2.4.1.msi Youdao Translates v1.1.1.msi King of WPS v1.1.7.msi Sogou AI inputs v2.1.4.msi DeepSeek AI Assiant v2.4.5.msi 攻击者将“白加黑”组件(uc.exe、UCore.dll、Ucore3.cpy、update.cab)隐藏在MSI安装程序中,其中包含正常应用软件安装程序以及其他数十个正常文件,并且在用户执行后执行其中的正常应用软件安装程序,以此迷惑用户。 图 2‑10隐藏在MSI安装程序中的恶意组件 该MSI安装程序将Ucore3.cpy文件释放至C:\ProgramData\11UCore3.cpy,“白加黑”组件执行后调用UCore.dll中的“run”函数,通过COM接口为释放的“白加黑”组件创建计划任务。 图 2‑11创建计划任务 然后读取11UCore3.cpy文件内容,并使用指定密钥对其进行xor解密得到一个DLL文件。 图 2‑12对11UCore3.cpy文件进行xor解密 该DLL文件会读取update.cab文件内容,并对其进行RC4解密得到最终载荷。 图 2‑13对update.cab文件进行RC4解密得到最终载荷 该载荷文件原名称为“上线模块.dll”,是WinOs远控木马中的一个功能插件。该模块会解析硬编码的C2服务器、功能等配置信息,回连C2服务器获取载荷文件,载荷文件通常为WinOs远控木马的“登录模块”。 图 2‑14上线模块 3 使用工具排查与处置“游蛇”木马 用户可以在安天垂直响应平台(https://vs2.antiy.cn)中下载使用“游蛇”专项排查工具和安天系统安全内核分析工具对“游蛇”木马进行排查和清除。 “游蛇”专项排查工具可用于排查“游蛇”黑产团伙在攻击活动中投放的加载器和加载至内存中的远控木马。 安天系统安全内核分析工具(简称ATool)是一款面向威胁检测与威胁分析人员的Windows系统深度分析工具,其能够有效检测操作系统中潜在的窃密木马、后门及黑客工具等恶意程序并辅助专业人员开展手动处置工作,具有已知威胁有效检测,未知威胁及时发现,顽固感染一键处置等功能特点。 图 3‑1安天垂直响应平台 3.1 使用“游蛇”专项排查工具排查“游蛇”木马 由于“游蛇”黑产团伙使用的攻击载荷迭代较快,且持续更新免杀技术,为了更精准、更全面的清除受害主机中存在的威胁,客户在使用专项排查工具检出威胁后,可以联系安天应急响应团队(cert@antiy.cn)。 图 3‑2 使用“游蛇”专项排查工具发现恶意进程 3.2 使用安天系统安全内核分析工具清除“游蛇”木马 发现“游蛇”威胁后,用户可以在安天垂直响应平台下载使用ATool对“游蛇”木马进行清除。例如,在ATool的“进程管理”页面中,右键点击恶意进程“uc.exe”:先点击“在Windows文件管理器中定位”定位“uc.exe”所在的路径,然后点击“终止”结束“uc.exe”进程,最后删除“uc.exe”所在路径中的所有文件。 图 3‑3使用ATool工具定位、终止恶意进程 在ATool的“计划任务”页面中,使用“查找”功能搜索恶意进程名称,发现并删除恶意计划任务。 图 3‑4通过恶意进程名称查找恶意计划任务 此外,ATool针对可执行对象支持四个对象维度的信誉查询,即“发布者信誉”、“内容信誉”、“行为信誉”和“路径信誉(位置信誉)”。点击工具上方的“信誉分析”按钮能够执行对当前清单对象的云端信誉查询,从而帮助用户发现系统中的潜在威胁。 图 3‑5使用ATool的“信誉分析”功能发现恶意进程 4 终端安全防护 4.1 部署安天智甲加强终端文件接收和执行防护 建议企业用户部署专业的终端安全防护产品,对本地新增和启动文件进行实时检测,并周期性进行网内病毒扫描。安天智甲终端安全系列产品(以下简称“智甲”)依托安天自研威胁检测引擎和内核级主动防御能力,可以有效查杀本次发现病毒样本。 智甲可对本地磁盘进行实时监测,对新增文件自动化进行病毒检测,对发现病毒可在其落地时第一时间发送告警并进行处置,另外,安天AVLSDK威胁检测引擎支持提取恶意代码最核心的部分作为检测特征,可有效应对恶意代码的变形与衍生,更能提升智甲产品对游蛇变种病毒的查杀效果。 图 4‑1发现病毒时,智甲第一时间捕获并发送告警 智甲还为用户提供统一管理平台,管理员可通过平台集中查看网内威胁事件详情,并批量进行处置,提高终端安全运维效率。 图 4‑2提供统一管理平台对威胁事件高效处置 5 IoCs 90D4BA33990011A5C8A203AC236B3B8C 470C3D37A8E518BD8D728D01CFBE3647 24B970B2C9D988DC74E7F945D0866017 DA5CF5E3158057D0D7B6D6F2D17DD888 BA8F5D8DF47283A34A71EB03DDE3C36B 039E9EF2E283E8341B297DA686182412 FE2D6987326CDFF72DC3AA378C1B8680 FCA4C875B3E1AD8CD50D18450B08D14A D6435074233583A7CB4A6FA2FE09FA8B 89AAE1127681E672E7D836D0DB372847 18.166.199[.]216 13.215.69[.]47 43.199.120[.]146 52.128.225[.]126 安天针对“游蛇”威胁历史报告清单: [1] 通过伪造中文版Telegram网站投放远控木马的攻击活动分析 [R/OL].(2022-10-24) https://www.antiy.cn/research/notice&report/research_report/20221024.html [2] 利用云笔记平台投递远控木马的攻击活动分析[R/OL].(2023-03-24) https://www.antiy.cn/research/notice&report/research_report/20230324.html [3] 利用云笔记平台投递远控木马的黑产团伙分析[R/OL].(2023-03-30) https://www.antiy.cn/research/notice&report/research_report/20230330.html [4] “游蛇”黑产团伙针对国内用户发起的大规模攻击活动分析[R/OL].(2023-05-18) https://www.antiy.cn/research/notice&report/research_report/20230518.html [5] “游蛇”黑产团伙近期钓鱼攻击活动分析[R/OL].(2023-07-11) https://www.antiy.cn/research/notice&report/research_report/TrojanControl_Analysis.html [6] “游蛇”黑产团伙利用微信传播恶意代码的活动分析[R/OL].(2023-08-22) https://www.antiy.cn/research/notice&report/research_report/SnakeTrojans_Analysis.html [7] “游蛇”黑产团伙专题分析报告 [R/OL].(2023-10-12) https://www.antiy.cn/research/notice&report/research_report/SwimSnakeTrojans_Analysis.html [8] “游蛇”黑产团伙针对财务人员及电商客服的新一轮攻击活动分析[R/OL].(2023-11-11) https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis.html [9] “游蛇”黑产近期攻击活动分析 [R/OL].(2024-04-07) https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis_202404.html [10] “游蛇”黑产团伙利用恶意文档进行钓鱼攻击活动分析[R/OL].(2024-06-21) https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis_202406.html [11] 钓鱼下载网站传播“游蛇”威胁,恶意安装程序暗藏远控木马[R/OL].(2024-12-20) https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis_202412.html
如今,黑客们进行网络攻击不是横冲直撞的直接闯入,而是采用更隐秘的登录方式。网络犯罪分子会使用有效的凭证,绕过安全系统,同时在监控工具面前显得合法。 这个问题很普遍;谷歌Cloud报告称,47%的云数据泄露是由于凭证保护薄弱或不存在造成的,而IBM X-Force将全球近三分之一的网络攻击归咎于账户泄露。 那这对企业防御意味着什么呢?用户需要了解有关如何保护系统免受基于凭证的攻击、当防御失败时应该做什么。 为什么基于凭证的攻击是黑客的首选方法 网络罪犯喜欢基于凭证的攻击有以下几个原因: ·易于执行:与更复杂的零日攻击相比,基于凭证的攻击相对容易部署。 ·成功率高:用户在多个账户上重复使用相同的密码,攻击者更容易获得广泛的访问权限;一把钥匙可以打开许多扇门。 ·检测风险低:因为它们使用有效的凭据进行攻击,黑客可以混入正常的流量中,从而避开安全警报。 ·价格便宜:基于凭证的攻击需要最少的资源,但可以产生大量的奖励。黑客可以很容易地(而且花费不高)在暗网上买到一套被盗的凭证,然后使用免费的自动化工具跨多个系统测试凭证。 ·系统通用:基于凭证的攻击可以在任何需要凭证的地方使用,这意味着黑客有多个潜在的入口点——从web应用程序到云服务。 为什么企业会成为攻击首选目标 企业会成为基于凭证的黑客的一个有吸引力的目标吗?如果存在一些安全漏洞,那么企业的系统可能比人们想象的更容易受到攻击。以下是企业成为首要目标的原因: ·弱密码策略为攻击者创建了一个公开的邀请,使其可以通过自动化工具和通用密码列表轻松猜测或破解凭证 ·如果不能实现多因素身份验证,即使是最强大的密码也容易被窃取 ·不充分的安全培训使员工更容易受到网络钓鱼电子邮件、社会工程策略和其他攻击的攻击 ·糟糕的网络分割让黑客一旦攻破了一个端点就可以开放访问 ·监视不足会使攻击者在关键系统内操作数天、数周甚至数月而不被发现 ·员工密码重复使用会放大任何违规行为的影响,因为一个被盗的凭证可以解锁个人和公司环境中的多个系统。 当凭证被泄露时应如何应对 如果企业成为基于凭证的攻击的目标,应意识到后果会有多么严重。 以下是企业在应对攻击时遵循的典型防范步骤: 1.初始检测和警报。一旦监控工具检测到异常并提醒安全团队时,企业必须迅速采取行动以限制损害。 2.评估和分类。验证警报是否合法。然后,确定哪些系统和帐户受到影响,评估对企业的潜在影响。 3.隔离和遏制。切断受感染设备与网络的连接,切断黑客的接入点。撤销对受感染帐户的访问权限,并分割网络以遏制威胁。 4.详细的调查。通过分析日志和取证数据跟踪攻击者的活动。确定黑客是如何破坏凭证的,并评估黑客在访问时所做的事情。 5.沟通和通知。透明滋生信任,而保密滋生猜疑。考虑到这一点,向所有相关的利益相关者提供清晰、真实的更新,包括高级管理层、法律团队和受影响的用户。 6.根除和恢复。开始重建自己的安全系统,让它们更强大。重置所有受损帐户的密码,修补被利用的漏洞,从干净的备份中恢复系统,并实现多因素身份验证。 7.事后审查。防范未来攻击的最佳方法是从当前的漏洞中吸取教训。在泄露事件发生后,分析事件响应流程,更新响应计划,并根据经验教训实施额外的安全措施。
4月29日,中国电信2025智能云生态大会——企业合作论坛在福州举行。论坛旨在落实“人工智能+”行动,探讨AI在行业的创新应用与生态建设,展示中国电信在人工智能领域的成果,推动产业深度融合。天翼安全科技有限公司党委书记、总经理刘紫千出席论坛,并以《硬币的两面——大模型时代的安全重构》为主题发表演讲。 人工智能的蓬勃发展为网络安全领域的产品创新与运营模式带来革命性机遇,同时也对AI自身的安全可控提出了严峻挑战,正如硬币有正反两面。拥抱AI赋能安全的效率提升,同时构建坚实的AI防护体系,成为核心议题。 AI for Security 在AI赋能安全的实践中,中国电信安全公司致力于通过智能化手段实现安全运营效率的持续提升。2023年,中国电信安全公司打造了国内首个安全领域的高质量数据集-阡陌,推出了安全垂类大模型-见微。见微安全大模型深度聚焦网络安全赋能,围绕数据、代码、运营、攻防,构建“四位一体”技术框架,全面覆盖威胁研判、智能运营等核心应用场景,对外全面升级云堤·抗D、天翼安全大脑等产品的核心能力,对内赋能MSSP平台及SOC体系。 Security for AI 新技术催生新业务引发新风险,自然也需要新的安全能力进行防护。随着AI从1.0时期的对话式向2.0时期的智能体,乃至未来的3.0时期具身智能演进,攻击面也在发生深刻变革。AI过度灵活的交互方式引入了新的攻击变量,不安全的输出、数据边界消融、算力资源滥用(DoS)、智能体权限失控等问题尤为突出。然而,安全的底层逻辑仍然不变,那就是:漏洞的必然存在、权限与信任体系的根基、数据保护的刚需,以及攻防对抗的本质。为了应对这些挑战,中国电信安全公司构建了立体化、多层次的大模型安全动态防护体系。 在IaaS和PaaS层,中国电信安全公司能够提供从网络边界到核心算力的防护,通过部署多重防火墙、增强DDoS防护能力,实施实时流量监控与异常检测来加固入口,推进硬件级安全隔离与完整性校验,落实严格的物理安全措施。在DaaS层,提供全生命周期的数据保护,确保数据的完整性与可追溯性。在MaaS层,针对AI模型与交互的特有风险,部署专项防护能力-大模型护栏,采用对抗样本防御、输入过滤净化来抵御针对模型的攻击,约束模型行为,减少不安全输出等原生风险,并通过红蓝对抗演练持续检验和提升防护水位。在SaaS层,提供零信任安全架构,利用动态令牌强化认证,实现用户交互行为监控;并对新兴的Agent智能体工具调用行为进行实时监控、审计与安全评估,确保其安全可控。 “以攻促防”是提升安全能力的有效途径。通过构建生成式对抗环境模拟复杂攻击,并积极探索强化学习(RL)驱动的深层隐蔽攻击等前沿技术研究,持续优化防御策略,以应对不断进化的威胁,最终确保AI系统实现真正的安全、可靠、可控,为未来更高级智能应用的发展奠定坚实的安全基石。 为应对AI安全挑战,中国电信安全公司整合自身安全能力与实践经验,推出一站式大模型安全运营服务。该服务体系化地融合了风险评测(涵盖环境与模型自身)、纵深防护(覆盖网络、环境、数据、模型、应用)和持续运营(提供7x24小时监控、响应与优化)三大核心环节,形成安全闭环。中国电信安全公司致力于通过专业的安全托管服务,赋能千行百业安全、放心地拥抱和应用AI技术,共同开创并守护智能安全的未来。
4月30日,第八届数字中国建设峰会·2025智能云生态大会主论坛在福州成功举行。大会围绕数字基础设施、智能云、人工智能、网信安全等前沿话题,旨在打造一场融合政策引领、前沿探索、技术创新与产业落地的交流盛会,携手合作伙伴开展全方位、多领域合作,持续构建开放创新生态,加速新质生产力发展。会上,中国电信一站式大模型安全能力平台重磅发布,安全护智、智惠安全! 天翼安全科技有限公司党委书记、总经理刘紫千指出,人工智能时代AI安全将是高质量发展的基石,立足于中国电信的云改数转和智惠升级的战略,中国电信推出一站式大模型安全能力平台,具备三大核心能力: 一、大模型应用的风险预警能力 基于中国电信安全公司自主研发的广目资产测绘能力和网络原生的灵犀威胁情报能力,实时动态地感知我国互联网空间中部署的大模型服务,并对其在环境、数据、模型、应用等不同层面的风险进行实时全网探测,呈现宏观的大模型风险态势,实现智算服务的风险可视可知。 二、大模型安全的技术检测能力 在技术检测方面,AI技术的引用带来了新的变化,例如难以控制的输入、难以预料的输出、数据边界的消融、智能体权限滥用,然而安全的本质仍然不变,包括漏洞的必然存在、权限与信任体系的根基、数据保护的刚需,以及攻防对抗的本质。中国电信安全公司打造大模型安全靶场,基于11种安全的测试方法,对目前主流大模型进行动态实时的安全性检测,为客户提供大模型深度安全检测服务,精准识别模型层安全漏洞,全面排查风险隐患。 三、大模型安全护栏能力 面对新型攻击面利用所带来的安全挑战,以及传统漏洞与威胁持续演变形成的安全风险,中国电信安全公司构建了多层次、立体化的大模型安全动态防护体系。该体系从前场(业务访问端)、中场(服务开放端)到后场(资源载体端)等不同层面为客户提供全链路的大模型安全防护能力。实践表明,通过加载中国电信提供的大模型安全防护方案,将大大降低攻击者对大模型的攻击成功率,全面提升大模型系统的安全性。中国电信安全公司通过持续迭代、以攻促防的方式,构建生成式对抗环境模拟复杂攻击,持续优化防御策略,以应对高度迭代动态变化的的AI安全风险,打造AI安全防护标杆体系,通过持续技术演进使防护能力与业界前沿标准同频共振。 一站式大模型安全能力平台 站在客户的角度,中国电信的AI安全防护体系一定是一站式的能力平台。中国电信安全公司通过整合自身安全能力与实践经验,推出一站式大模型安全能力平台。该平台体系化地融合了风险评测(涵盖传统环境与模型自身)、纵深防护(覆盖网络、环境、数据、模型、应用)和持续运营(提供7x24小时监控、响应与优化)三大核心环节,形成安全闭环,致力于以专业化的安全托管服务,助力千行百业安心拥抱人工智能技术,共同开创智能时代,守护安全未来。 在人工智能技术加速迭代、网络安全威胁呈现多元化交织演进的时代背景下,中国电信安全将充分依托技术积淀与资源禀赋优势,构建全方位大模型动态防护体系,实现人工智能安全、可靠、可控。
一封邮件让IT员工”破防”,这类钓鱼邮件千万要警惕! 据《2024中国企业邮箱安全报告》显示,2024年伪装成安全通知类主题的钓鱼邮件数量高达192.9万封,其中IT、金融行业成重灾区。这些钓鱼邮件犹如一把暗箭,随时可瓦解企业员工邮箱账号,窃取关键信息。 对于企业来说,构筑一道防得住,能反击的安全防线迫在眉睫——CACTER CAC2.0反钓鱼防盗号(以下简称:CAC2.0),是一款同时具备邮件识别过滤、邮箱账号异常监测与准实时告警、泄露账号威胁登录拦截,以及综合型邮件威胁情报(攻击IP、威胁URL、钓鱼邮件主题、重保紧急情报等)的云安全服务,为企业全面防范邮件威胁和邮件账号威胁。 案例还原:一场精心设计的“账号认证”骗局 2024年12月,某知名IT企业员工小张收到一封“邮件异常登录提醒”的邮件通知,邮件显示其邮箱在几天前在加拿大被异常登录,并要求小张立即进行“安全认证”。小张担心自己被盗号便立即点击链接进行认证。殊不知第二天小张的邮箱已被攻陷,无法登录。 经管理员排查发现原来所谓的“安全认证”就是罪魁祸首,这无疑是一场黑客精心设计的“贼喊捉贼”式骗局。 案例源自《2024中国企业邮箱安全性研究报告》 此类”安全认证“钓鱼邮件屡见不鲜,黑客伪造企业内部域名绕过常规安全防护体系, 利用”异常登录”制造恐慌,精准触发用户应激反应,引导其点击伪装成“安全认证”的恶意链接。 一旦邮箱账号被攻陷,邮箱中的核心数据随时都会被泄露.被盗邮箱进一步会作为跳板,渗透企业内部网络,获取更多权限和敏感信息,给企业带来不可挽回的损失。无论企业安全部门还是企业员工,都应对此提高警惕。 CAC2.0反钓鱼防盗号:从拦截到反杀 我们来看看小张的企业若提前部署CAC2.0后,可以预防哪些风险? 1. 反垃圾反钓鱼监测:CAC2.0依据数亿级的垃圾邮件样本特征,可对恶意邮件意图精准分析,并进行恶意URL检测和附件检测,迅速识别恶意钓鱼邮件。 案例直击:小张收到的这封“安全认证”主题的钓鱼邮件将会经由CAC2.0在0.3秒内被识别为“高风险”邮件,直接隔离至垃圾箱。 2.邮箱账号防暴:CAC2.0”防暴卫士”可快速识别出风险IP登录,即使账号密码正确,邮件系统放行,CAC2.0仍然可拦截不允许登录,并准实时告警,管理员可通过面板查看本域的拦截日志。 案例直击:当黑客盗取小张的邮箱账号并尝试登录时,CAC2.0将触发“风险IP拦截”,实时同步向管理员推送告警:检测到异常IP登录。 3.邮件威胁情报系统:CAC2.0会通过邮件实时推送紧急安全情报至管理员邮箱,并结合最新典型威胁邮件案例,分析本域类似的威胁邮件检测及相关收件人,帮助管理员全面掌握自身系统的潜在风险,提前筑牢安全屏障。 案例直击:针对小张此类异常行为用户,CAC2.0会在24小时内推送安全报告,帮助管理员排查风险,并采取措施永久封禁攻击IP。 员工自保指南:3招识破“贼喊捉贼” 针对此类“安全通知“,到底如何防范?CACTER小助手为大家准备一些自保小贴士: 1、认清发信人域名:在收到各类“系统通知”时,注意认清发信人域名,办公系统和管理员不可能使用外部域名发送通知。 2、识别钓鱼网站:任何系统的安全认证不可能在外部网站进行,识别所谓“安全网站”的域名可以规避大部分钓鱼网站。 3、警惕”认证“要求:邮箱系统对异常登录的账号会采取直接进行锁定或要求重置口令,决不会要求输入口令进行”认证“,因此以安全认证为主题的基本可判定为钓鱼邮件。 在钓鱼邮件套路无穷的当下,多一份防护,多一份安心,CAC2.0拥有“事前拦截,事中告警,事后处置”的全流程能力,能够在企业邮箱管理的苛刻环境下,提供稳定可靠的服务。
今年以来,多起数据泄露事件引发监管重拳整治 多款APP因未通过合规审查被通报下架 移动应用安全治理正面临着 合规高压与安全风险叠加的双重困扰 「梆梆产品季」助力企业破局 “应用加固+合规检测+安全测评” 三大核心产品,即日起至5月23日 免费试用 通过轻量化部署实现安全能力前置,既满足政策对关键业务系统的刚性要求,又为快速迭代的数字化场景提供动态防护。这场安全之旅的起点,正是企业从被动合规转向主动防御的必经之路。 一图速览「试用规则」 梆梆产品季限时福利 参与转发抽奖,赢取超值礼包! 转发本篇文章到朋友圈,将“转发截图”发送至公众号后台即可参与抽奖,截至5月12日12:00,小编将抽取5名幸运用户,每位可获得“梆梆安全春促大礼包”一份,行业权威报告、移动应用技术干货等书籍文献,以及定制周边等精美礼品应有尽有! 说明:活动结束后,获奖用户ID将在梆梆安全官方公众号统一公布,请及时关注并留意相关推送信息。(每个ID不可重复领取,最终解释权归梆梆安全所有)
中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意IP,境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联,网络攻击类型包括建立僵尸网络、后门利用、窃密等,对中国国内联网单位和互联网用户构成重大威胁。相关恶意网址和恶意IP归属地主要涉及:美国、瑞典、印度。主要情况如下: 一、恶意地址信息 (一)恶意地址:ddos.8ucddos.com 关联IP地址:38.165.82.8 归属地:美国/加利福尼亚州/圣何塞 威胁类型:僵尸网络 病毒家族:XorDDoS 描述:这是一种Linux僵尸网络病毒,主要通过内置用户名、密码字典进行Telnet和SSH暴力破解的方式扩散。其在加解密中大量使用了Xor,同时运用多态及自删除的方式随机生成进程名,可实现对网络设备进行扫描和对网络摄像机、路由器等IOT设备的攻击,攻击成功后,可利用僵尸程序形成一个僵尸网络,对目标网络发起分布式拒绝服务(DDos)攻击,造成大面积网络瘫痪或无法访问网站或在线服务。 (二)恶意地址:amushuvfikjas.b2047.com 关联IP地址:104.155.138.21 归属地:美国/艾奥瓦州/康瑟尔布拉夫斯 威胁类型:僵尸网络 病毒家族:XorDDoS 描述:这是一种Linux僵尸网络病毒,主要通过内置用户名、密码字典进行Telnet和SSH暴力破解的方式扩散。其在加解密中大量使用了Xor,同时运用多态及自删除的方式随机生成进程名,可实现对网络设备进行扫描和对网络摄像机、路由器等IOT设备的攻击,攻击成功后,可利用僵尸程序形成一个僵尸网络,对目标网络发起分布式拒绝服务(DDos)攻击,造成大面积网络瘫痪或无法访问网站或在线服务。 (三)恶意地址:a.gandzy.shop 关联IP地址:104.131.68.180 归属地:美国/新泽西州/克利夫顿 威胁类型:僵尸网络 病毒家族:MooBot 描述:这是一种Mirai僵尸网络的变种,常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等进行入侵,攻击者在成功入侵设备后将下载MooBot的二进制文件并执行,进而组建僵尸网络并可能发起DDoS(分布式拒绝服务)攻击。 (四)恶意地址:shetoldmeshewas12.uno 关联IP地址:104.131.68.180 归属地:美国/新泽西州/克利夫顿 威胁类型:僵尸网络 病毒家族:MooBot 描述:这是一种Mirai僵尸网络的变种,常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等进行入侵,攻击者在成功入侵设备后将下载MooBot的二进制文件并执行,进而组建僵尸网络并可能发起DDoS(分布式拒绝服务)攻击。 (五)恶意地址:yu5bca55387d2a9ba0d7.ddnsfree.com 关联IP地址:173.208.162.39 归属地:美国/密苏里州/北堪萨斯城 威胁类型:后门 病毒家族:AsyncRAT 描述:该恶意地址关联多个AsyncRAT病毒家族样本,部分样本的MD5值为31bfa56bcd984d9a334a3006d3cc323d。该网络后门采用C#语言编写,主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL,以及访问特定URL等。主要通过移动介质、网络钓鱼等方式进行传播,现已发现多个关联变种,部分变种主要针对民生领域的联网系统。 (六)恶意地址:sbdar.com 关联IP地址:23.20.239.12 归属地:美国/弗吉尼亚州/阿什本 威胁类型:窃密 病毒家族:AmosStealer 描述:该恶意地址关联到AmosStealer病毒家族样本,部分样本的MD5值为9841c50833e3c05e74bffd97b3737d46。AmosStealer(也称为“Atomic Stealer”)是一种针对macOS系统的信息窃取恶意软件,能够窃取用户的登录凭证、浏览器数据、加密货币钱包信息等,该恶意软件通过伪装成合法软件或利用恶意广告(malvertising)进行传播。 (七)恶意地址:34.58.66.17 归属地:美国/加利福尼亚州/山景城 威胁类型:后门 病毒家族:AsyncRAT 描述:该恶意地址关联多个AsyncRAT病毒家族样本,部分样本的MD5值为91aa773721ad37dc7205accac80dbf76。该网络后门采用C#语言编写,主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL,以及访问特定URL等。主要通过移动介质、网络钓鱼等方式进行传播,现已发现多个关联变种,部分变种主要针对民生领域的联网系统。 (八)恶意地址:reald27.duckdns.org 关联IP地址:46.246.86.20 归属地:瑞典/斯德哥尔摩省/斯德哥尔摩 威胁类型:后门 病毒家族:NjRAT 描述:该恶意地址关联到NjRAT病毒家族样本,部分样本程序的MD5值为b28304414842bcacb024d0b5c70fc2ea。该后门是一种由 C#编写的远程访问木马,具备屏幕监控、键盘记录、密码窃取、文件管理(上传、下载、删除、重命名文件)、进程管理(启动或终止进程)、远程激活摄像头、交互式 Shell(远程命令执行)、访问特定 URL 及其它多种恶意控制功能,通常通过移动存储介质感染、网络钓鱼邮件或恶意链接进行传播,用于非法监控、数据窃取和远程控制受害者计算机。 (九)恶意地址:serisbot.geek 关联IP地址:139.59.53.195 归属地:印度/卡纳塔克邦/班加罗尔 威胁类型:僵尸网络 病毒家族:Mirai 描述:这是一种Linux僵尸网络病毒,通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散,入侵成功后可对目标网络系统发起分布式拒绝服务(DDoS)攻击。 二、排查方法 (一)详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录,查看是否有以上恶意地址连接记录,如有条件可提取源IP、设备信息、连接时间等信息进行深入分析。 (二)在本单位应用系统中部署网络流量检测设备进行流量数据分析,追踪与上述网址和IP发起通信的设备网上活动痕迹。 (三)如果能够成功定位到遭受攻击的联网设备,可主动对这些设备进行勘验取证,进而组织技术分析。 三、处置建议 (一)对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕,重点关注其中来源未知或不可信的情况,不要轻易信任或打开相关文件。 (二)及时在威胁情报产品或网络出口防护设备中更新规则,坚决拦截以上恶意网址和恶意IP的访问。 (三)向公安机关及时报告,配合开展现场调查和技术溯源。 文章来源自:国家网络安全通报中心
苹果的AirPlay协议和AirPlay软件开发工具包(SDK)中的一系列安全漏洞使未打补丁的第三方和苹果设备暴露于各种攻击中,包括远程代码执行。 网络安全公司Oligo Security的安全研究人员发现并报告了这些漏洞,他们可以利用零点击和一键式RCE攻击、中间人(MITM)攻击和拒绝服务(DoS)攻击,以及绕过访问控制列表(ACL)和用户交互,获得敏感信息的访问权限,并读取任意本地文件。 Oligo向苹果披露了23个安全漏洞,苹果于3月31日发布了针对iphone和ipad (iOS 18.4和iPadOS 18.4)、mac (macOS Ventura 13.7.5、macOS Sonoma 14.7.5和macOS Sequoia 15.4)和Apple Vision Pro (visionOS 2.4)设备的安全更新来解决这些漏洞(统称为“AirBorne”)。 该公司还修补了AirPlay音频SDK、AirPlay视频SDK和CarPlay通信插件。 虽然“AirBorne”漏洞只能被攻击者通过无线网络或点对点连接在同一网络上利用,但它们允许接管易受攻击的设备,并使用访问作为启动台来破坏同一网络上其他启用airplay的设备。 Oligo的安全研究人员表示,他们能够证明攻击者可以使用两个安全漏洞(CVE-2025-24252和CVE-2025-24132)来创建可蠕虫的零点击RCE漏洞。 此外,CVE-2025-24206用户交互绕过漏洞允许威胁者绕过AirPlay请求的“接受”点击要求,并可以与其他漏洞链接以发起零点击攻击。 这意味着攻击者能够控制某些支持 AirPlay 的设备,并实施诸如部署恶意软件之类的操作,这种恶意软件会传播到受感染设备所连接的任何本地网络中的设备。这可能会导致与间谍活动、勒索软件、供应链攻击等相关的其他复杂攻击的发生。 由于 AirPlay 是苹果设备(Mac、iPhone、iPad、Apple TV 等)以及利用 AirPlay 软件开发工具包的第三方设备的一项基础软件,这类漏洞可能会产生深远的影响。 网络安全公司建议用户应立即把所有企业苹果设备和启用 AirPlay 的设备更新到最新软件版本,并要求员工也更新他们所有的个人 AirPlay 设备。 用户还可以采取以下措施来缩小攻击面:将所有苹果设备更新至最新版本;若不使用,禁用 AirPlay 接收器;通过防火墙规则限制仅允许受信任设备访问 AirPlay;仅允许当前用户使用 AirPlay 以缩小攻击面。 苹果公司称,全球活跃的苹果设备(包括 iPhone、iPad、Mac 以及其他设备)超过 23.5 亿台,而 Oligo 估计,还有数千万台支持 AirPlay 的第三方音频设备,如扬声器和电视,这还不包括支持 CarPlay 的汽车信息娱乐系统。
近日,中国互联网协会数据安全与治理工作委员会(以下简称“委员会”)在第二届委员会第一次全体成员会议上举行了“专家证书颁发仪式”,重庆信通设计院入选“中国互联网协会数据安全与治理工作委员会成员单位”,同时我院两名行业专家入选专家库,成为“中国互联网协会数据安全与治理工作委员会专家”。 未来,委员会专家库将充分发挥专家智库支撑作用,提升委员会在数据安全与治理领域政策研究、决策咨询、评审评价等工作的科学性、规范化、专业化水平,助力委员会持续发展,不断推动数据安全与治理工作迈上新台阶。 来源:重庆信通设计院天空实验室
一种名为“Cookie-Bite”的概念验证攻击利用浏览器扩展程序从 Azure Entra ID 中窃取浏览器会话 Cookie,以绕过多因素身份验证(MFA)保护,并保持对 Microsoft 365、Outlook 和 Teams 等云服务的访问。 此次攻击由 Varonis 安全研究人员设计,他们分享了一种概念验证(PoC)方法,涉及一个恶意的和一个合法的 Chrome 扩展程序。然而,窃取会话 cookie 并非新鲜事,因为信息窃取程序和中间人网络钓鱼攻击通常都会将其作为目标。 虽然通过窃取 Cookie 来入侵账户并非新手段,但“Cookie-Bite”技术中恶意 Chrome 浏览器扩展程序的使用因其隐秘性和持久性而值得关注。 Cookie扩展攻击 “Cookie-Bite”攻击由一个恶意的 Chrome 扩展程序构成,该扩展程序充当信息窃取器,专门针对 Azure Entra ID(微软基于云的身份和访问管理(IAM)服务)中的“ESTAUTH”和“ESTSAUTHPERSISTNT”这两个 Cookie。 ESTAUTH 是一个临时会话令牌,表明用户已通过身份验证并完成了多因素身份验证。它在浏览器会话中有效,最长可达 24 小时,在应用程序关闭时过期。 ESTSAUTHPERSISTENT 是在用户选择“保持登录状态”或 Azure 应用 KMSI 策略时创建的会话 Cookie 的持久版本,其有效期最长可达 90 天。 应当注意的是,虽然此扩展程序是为针对微软的会话 Cookie 而创建的,但它可以被修改以针对其他服务,包括谷歌、Okta 和 AWS 的 Cookie。 Varonis 的恶意 Chrome 扩展程序包含用于监控受害者登录事件的逻辑,监听与微软登录网址匹配的标签页更新。 当登录发生时,它会读取所有作用域为“login.microsoftonline.com”的 Cookie,应用过滤以提取上述两个令牌,并通过 Google 表单将 Cookie 的 JSON 数据泄露给攻击者。 “在将该扩展程序打包成 CRX 文件并上传至 VirusTotal 后,结果显示目前没有任何安全供应商将其检测为恶意程序,”Varonis 警告称。 Chrome扩展窃取微软会话cookie 如果攻击者可以访问设备,他们可以部署一个PowerShell脚本,通过Windows任务调度程序运行,在每次启动Chrome时使用开发者模式自动重新注入未签名扩展。 PowerShell攻击中使用的例子 一旦cookie被盗,攻击者就会将其注入浏览器,就像其他被盗的cookie一样。这可以通过合法的Cookie-Editor Chrome扩展等工具来实现,该扩展允许威胁行为者将被盗的cookie导入到他们的浏览器“login.microsoftonline.com”下。 刷新页面后,Azure将攻击者的会话视为完全经过身份验证,绕过MFA并给予攻击者与受害者相同的访问级别。 注入偷来的 cookie 从那里,攻击者可以使用Graph Explorer枚举用户、角色和设备,发送消息或访问Microsoft Teams上的聊天,并通过Outlook Web阅读或下载电子邮件。 通过TokenSmith、ROADtools和AADInternals等工具,还可能进一步利用特权升级、横向移动和未经授权的应用程序注册。 Cookie-Bite攻击概述 微软将研究人员在攻击演示中的登录尝试标记为“atRisk”,因为他们使用了VPN,因此监控异常登录是防止这些攻击的关键。 此外,建议实施条件访问策略(CAP),以限制对特定IP范围和设备的登录。 关于Chrome扩展,建议执行Chrome ADMX策略,只允许预先批准的扩展运行,并完全阻止用户从浏览器的开发者模式。
根据安全研究人员最新发现,iOS系统的一个关键漏洞可能允许恶意应用程序仅用一行代码就永久禁用iphone。该漏洞被命名为CVE-2025-24091,利用操作系统的达尔文通知系统触发无尽的重启周期,有效地“阻塞”设备并需要完整的系统恢复。 iOS Darwin通知漏洞 该漏洞利用了Darwin通知,这是CoreOS层中的一种低级消息传递机制,允许进程通信系统范围的事件。 与NSNotificationCenter或NSDistributedNotificationCenter等更常见的通知系统不同,Darwin通知是传统API的一部分,在苹果操作系统的基础层面上运行。 安全研究员Guilherme Rambo发现了这一漏洞,他解释说:“达尔文通知甚至更简单,因为它们是 CoreOS 层的一部分。它们为苹果操作系统上的进程之间提供了一种简单的消息交换底层机制。” 关键漏洞在于,iOS上的任何应用程序都可以在无需特殊权限或授权的情况下发送敏感的系统级 Darwin 通知。 最危险的一点在于,这些通知可能会触发强大的系统功能,包括进入“正在恢复”模式。 仅需一行代码即可完成 该漏洞利用起来非常简单——只需一行代码就能触发漏洞:当执行此代码时,会迫使设备进入“正在恢复”状态。由于实际上并未进行恢复操作,该过程必然失败,从而提示用户重启设备。 研究人员创建了一个名为“VeryEvilNotify”的概念验证攻击,将此漏洞利用程序嵌入到了一个小部件扩展中。并指出:“iOS 会定期在后台唤醒部件扩展。” 由于系统中小部件的使用非常普遍,所以当安装并启动包含小部件扩展的新应用时,系统会非常急切地执行其小部件扩展。 通过将漏洞利用程序置于一个在发送通知后会反复崩溃的小部件中,研究人员制造了一种持续攻击,每次重启后都会触发,形成一个无休止的循环,致使设备无法使用。 缓解措施 苹果公司在 iOS 18.3 中通过为敏感的 Darwin 通知实施新的授权系统解决了这一漏洞。该研究人员获得了 17500 美元的漏洞赏金。 具体来说,系统通知现在需要以“com.apple.private.restrict-post.”为前缀,并且发送进程必须具备以“com.apple.private.darwin-notification.restrict-post. 这并非苹果系统中首次出现与达尔文相关的漏洞。此前,卡巴斯基实验室曾发现一个名为“达尔文核弹”的漏洞,该漏洞能让远程攻击者通过专门设计的网络数据包发起拒绝服务攻击。 强烈建议所有 iPhone 用户立即更新至 iOS 18.3 或更高版本。运行早期版本的设备仍易受此攻击,该攻击可能通过看似无害的应用程序或小部件通过 App Store 或其他分发方式部署。 该案例凸显了移动操作系统中持续存在的安全挑战,即便是简单且容易被忽视的旧版应用程序编程接口(API),如果安全防护不当,也会带来重大风险。
今日,ISC.AI 2025互联网安全大会正式宣布启动,并将于4月30日开启全球议题征集。2025年,全球大模型技术参数规模跨入百万亿级,正加速走进百行千业,成为推动我国科技进步、经济增长和国家强盛的关键力量。然而技术狂飙下,大模型安全漏洞呈指数级增长,迫使AI与安全进入共生新纪元。在此变革浪潮中,这场以“AI+安全”为核心命题的大会,将汇聚全球政要、行业领袖、专家学者,共同破解智能时代的“安全方程”,通过建立政产学研用协同创新网络,进一步推动大模型产业价值释放和数字安全的跃迁。 五大板块:打造AI产业全价值链体系 ISC.AI 2025以“构建全球数智共同体”为目标,创新打造五大会议板块,覆盖从技术前沿到产业落地、从学术研究到生态共建的全价值链体系,形成大模型应用发展的超级枢纽。 一场开幕式,将邀请全球专家智囊深度参与,搭建起“政产学研用”的国际交流平台,探讨复杂国际背景下的安全治理与对抗,共商共议大模型开发应用和数字安全发展方向,输出紧贴国家、经济、社会、企业的前瞻观点洞察。 AI和安全峰会“双峰并立”,将邀请行业领袖和技术大咖围绕大模型和数字安全探讨最新技术和行业应用,带领参会者沉浸式探索技术深水区与产业无人区。 二十余场垂直论坛全景扫描AI行业生态,包括大模型安全应用、大模型多模态应用、安全即服务、安全大模型应用、AI原生应用开发、AI攻防、智能化安全运营等技术论坛,与AI反诈、医疗AI多模态诊断、智慧城市数字孪生等行业赋能专场论坛。 一大创新赛事,培育数智时代新生力量,秉承产教融合、科教融汇、教育赋能。创新独角兽沙盒大赛开设AI应用、数字安全、ISC沙盒新星三大赛道。其中,新星赛聚焦数智时代新质人才的培养和挖掘,引导高校学生直面产业级场景需求,锤炼AI大模型创新思维与工程能力。大赛旨在为AI产业输送兼具技术底蕴与应用视野的复合型人才。 一场实战训练营,基于“产教融合、科教融汇、教育赋能“的培养理念,开设三大课程。学生先锋营(大会前开课) 聚焦"行业认知+实战筑基"双维度提升,帮助学生建立数字安全与人工智能产业图谱认知,掌握前言工具基础应用能力;专业精进营(大会期间开课) 围绕安全+AI最新技术议题进行深度讲解,助力从业者打造"技术纵深+生态连接"核心竞争力 ;师资领航营(大会前开课) 通过AI增强型课堂工作坊,助力教师"教学赋能+科研反哺"双向增强,掌握前沿数字教学能力。 一大生态展区,包含AI未来体验馆和数字安全生态展。AI未来体验馆将迎来三个全新升级:创新升级、技术升级、体验升级。不仅有最新的AI应用创新技术展示,还有机器人互动、低空飞行模拟器、数字人人工智能陪伴等全新产品带来的震撼体验。此外,数字安全生态展将聚集百家上下游企业,展示行业最新解决方案和创新产品。 全球议题招募:AI+安全共生未来 ISC.AI 2025将于4月30日至 6月20日面向全球征集AI和安全双赛道议题,向AI与数字安全领域的企业、高校及技术极客发出邀请。为持续发扬探索会议新形态的办会精神,本届大会鼓励公众通过应用“纳米AI”的创新功能来生成议题,积极参与到议题征集活动中来。 AI议题方向: ·AI技术:大模型安全技术、大模型多模态应用、AI安全创新人才培养、AI技术融合教学实践、大模型与智能体前沿技术、视觉大模型关键技术与应用…… ·AI应用:垂直行业大模型价值落地方法论、大模型开源生态建设策略、数字教学体系设计、大模型驱动的产业数字化转型…… 数字安全议题方向: ·技术创新:安全大模型技术应用、自动化安全运营SOAR、漏洞发现与修复、APT攻击分析溯源…… ·行业应用:关键基础设施安全防护升级、数字人才培养(安全+AI)、中小微企业安全防护体系创新…… 包括但不限于以上议题方向。 即刻加入,定义未来 我们诚邀全球创新力量提交最具突破性、实践性、争议性的议题,提交议题入围者将获得演讲机会、展区资源、ISC媒体矩阵公众曝光、专属礼遇等丰富权益。 访问ISC官方网站提交议题,成为AI安全时代的规则制定者!
一种名为“SuperCard X”的新型恶意软件即服务(MaaS)平台已经出现,该平台通过NFC中继攻击安卓设备,使销售点和ATM交易能够使用受损的支付卡数据。 SuperCard X是由移动安全公司Cleafy发现的,该公司报告称,在意大利发现了利用这种安卓恶意软件的攻击。这些攻击涉及多个具有细微差异的样本,表明分支机构可以根据区域或其他特定需求定制构建。 SuperCard X攻击是如何展开的 攻击开始时,受害者会收到一条假冒银行的假短信或WhatsApp消息,声称他们需要拨打一个号码来解决可疑交易引起的问题。 接电话的是一名冒充银行客服人员的骗子,他利用社会工程学欺骗受害者“确认”他们的卡号和密码。然后,他们试图说服用户通过他们的银行应用取消消费限制。 最后,威胁者说服用户安装一个伪装成安全或验证工具的恶意应用程序(Reader),其中包含SuperCard X恶意软件。 安装后,Reader app只需要很少的权限,主要是NFC模块的访问权限,这就足够进行数据窃取了。 诈骗者指示受害者将他们的支付卡轻敲到他们的手机上以验证他们的卡,允许恶意软件读取卡芯片数据并将其发送给攻击者。 攻击者在他们的安卓设备上接收这些数据,该设备运行另一个名为Tapper的应用程序,该应用程序使用被盗数据模拟受害者的卡片。 这两款应用和设备参与了此次攻击 这些“模拟”卡允许攻击者在商店和自动取款机上进行非接触式支付,但金额有限制。由于这些小额交易是即时的,对银行来说似乎是合法的,因此它们更难被标记和逆转。 SuperCard X攻击概述 规避恶意软件 Cleafy指出,SuperCard X目前没有被VirusTotal上的任何防病毒引擎标记,并且没有危险的权限请求和侵略性攻击功能,如屏幕覆盖,确保它不受启发式扫描的影响。 该卡的仿真是基于atr (Answer to Reset)的,这使得该卡在支付终端看来是合法的,显示了技术的成熟度和对智能卡协议的理解。 另一个值得注意的技术方面是使用互TLS (mTLS)进行基于证书的客户机/服务器身份验证,保护C2通信免受研究人员或执法部门的拦截和分析。 保密通信系统 根据目前的检测,谷歌Play上没有发现包含此恶意软件的应用程序。Android用户将自动受到谷歌Play Protect的保护,该保护在带有谷歌Play Services的Android设备上默认是开启的。谷歌Play Protect可以提醒用户或阻止已知表现出恶意行为的应用,即使这些应用是来自Play之外的来源。
4月28日,在第八届数字中国建设峰会期间,第二届“长城杯”信息安全铁人三项赛(防护赛)总决赛在福建福州举办。本届大赛由中央网络安全和信息化委员会办公室、教育部、国家市场监督管理总局、国家数据局指导,中国信息安全测评中心、北京师范大学、中国电信集团有限公司、中国移动通信集团有限公司联合主办。第十二届全国政协副主席、国家电子政务专家委员会主任王钦敏出席活动并致闭幕辞。 第十二届全国政协副主席、国家电子政务专家委员会主任王钦敏致辞 本届大赛以“智能防护,开启数字安全新时代”为主题,经过线上初赛、半决赛的激烈角逐,来自84所高校的100支参赛队伍、近400名参赛学生会师总决赛。 总决赛现场 福建省委常委、常务副省长王永礼专程到比赛现场看望大赛组委会同志和参赛选手,福建省政协副主席黄如欣也出席此次活动。总决赛开幕仪式上,国家数据局数字科技和基础设施建设司司长杜巍、中国信息安全测评中心主任彭涛、中国电信集团有限公司网络和信息安全管理部总经理谷红勋、中国移动通信集团有限公司网络与信息安全管理部副总经理袁捷等嘉宾致辞,大赛主办、承办单位的代表共同启动本次总决赛。 国家数据局数字科技和基础设施建设司司长杜巍致辞 中国信息安全测评中心主任彭涛致辞 中国电信集团有限公司网络和信息安全管理部总经理谷红勋致辞 中国移动通信集团有限公司网络与信息安全管理部副总经理袁捷致辞 总决赛启动现场 经过7小时激烈角逐及大赛裁判组严格评审,本次总决赛评比出一、二、三等奖和专项奖。来自广州大学、南京邮电大学通达学院、合肥师范学院的队伍获得一等奖;来自浙江师范大学、吉林大学、国防科技大学、哈尔滨工业大学、西北工业大学、西北大学、山东警察学院、安徽工业经济职业技术学院、北京航空航天大学、中山大学、五邑大学、安徽大学、上海交通大学、南昌航空大学科技学院、广东外语外贸大学等15所高校的队伍获得二等奖;来自东南大学无锡校区的队伍获得逆向分析专项奖,来自南京航空航天大学的队伍获得人工智能专项奖,来自电子科技大学的队伍获得网络渗透专项奖;此外,来自全国高校的79支队伍获得三等奖。 颁奖仪式现场 与会嘉宾认为,随着AI技术的迅猛发展以及行业渗透加快,网络空间安全形势渐趋复杂。作为一项面向高等院校全日制在校生的公益性科技类竞赛,本届大赛通过模拟真实的网络环境和企业计算环境,检验了参赛选手的网络安全实战能力,不仅为高校网络安全专业学生提供了一个展示才华的舞台,也为网络安全产业的发展引入了新的生力军。期待未来有更多高校网络安全专业学生踊跃参赛,加快推动网络空间创新发展、安全发展、普惠发展,携手迈进更加美好的“数字未来”。 本届大赛由中国信息产业商会信息安全产业分会、北京中测安华科技有限公司、《中国信息安全》杂志社有限公司、启明星辰信息技术集团股份有限公司、华为技术有限公司、北京天融信网络安全技术有限公司、北京西普阳光科技有限公司、网安世纪科技有限公司、奇安信科技集团股份有限公司、永信至诚科技集团股份有限公司、北京长亭科技有限公司、福州大学网络系统信息安全福建省高校重点实验室等单位承办。
企业邮箱如同数字城堡,而邮件安全网关则是城墙上的智能哨兵——它需精准拦截恶意钓鱼邮件、病毒附件等“外敌”,还要保证正常邮件高效流通。然而面对硬件网关、软件网关、云网关三种哨兵形态,企业如何精准匹配自身能力和需求并做出正确的选择? 答案:没有“最好”,只有“最合适”!本文将从形态优势和适用场景两大维度,帮助企业找到最合适的邮件安全“哨兵”。 三大形态对比:你的企业适合哪种“哨兵”? 1、硬件网关:本地部署的“硬核卫士” 优势: ·一站式安装部署:由厂商提供全面的硬件、软件和服务支持,涵盖从采购到部署的全过程。企业无需自行挑选和整合不同组件。 ·数据本地化:部署在企业内网,数据不出本地,满足对数据安全要求极高、网络环境复杂的大型企业或涉密机构。 适用场景: ·适合对数据安全要求严格的企业,如政府、金融行业。 ·已具备专业IT团队,无需自行配备相应的硬件资源。 2、软件网关:灵活轻量的“全能选手” 优势: ·无需购买硬件:直接部署在现有服务器上,节省硬件成本和电力成本。 ·高效兼容:可兼容大部分硬件设备,支持虚拟机资源部署。 适用场景: ·适合对数据敏感度高且需专业防护的企业。 ·已具备专业IT团队,需配备相应的硬件资源。 硬件/软件网关升级推荐: 面对AI 邮件攻击来势汹汹,CACTER深度融合大模型技术, 在传统邮件安全网关基础上全面赋能AI能力,推出了新一代 CACTER 大模型邮件安全网关: 3、云网关:即开即用的“云端守护者” 优势: ·即开即用:无需复杂的安装和配置,企业可以在短时间内快速启用邮件安全服务。 ·按需付费:采用按需付费的模式,企业只需支付实际使用的费用,无需购买的硬件设备和软件许可。 适用场景: ·适合企业邮件流量较小的企业。 ·无专业IT人员运维,对部署速度要求较高。 选型口诀,即刻锁定最优解 CACTER 邮件安全网关:全场景覆盖的 “安全管家” CACTER 邮件安全网关涵盖三种形态,均能为你提供以下功能: 1、独家完整域内安全管控方案:三种形态均支持域内垃圾邮件过滤检测,域内发信行为管控和告警功能,全面检测图片、二维码、附件、链接型钓鱼软件等。 2、层层过滤:依托全国上百万个海量样本检测,对收发信行为分析,恶意URL检测、邮件内容特征检测、附件检测等进行层层过滤,反垃圾误判率低于0.02%。 3、灵活拓展能力:硬件/软件网关可拓展AI大模型能力,解锁高管保护、大模型URL沙箱、AI统计报告等高级功能。 4、检测能力实时更新:拥有数亿恶意邮件样本,实时更新邮件检测引擎规则,提供最新邮件防护技术和能力。 邮件安全从来都不是 “选择题”,而是 “必答题”!
您可以订阅此RSS以获取更多信息