2 CVE Vulnerabilities

sy64

https://www.sygnia.co/blog/esxi-ransomware-ssh-tunneling-defense-strategies/

总结

网页主要探讨了ESXi虚拟化基础设施面临的勒索软件攻击，特别是通过SSH隧道进行持续性攻击的技术，并提供了防御策略和前期调查的见解。

摘要

网页详细介绍了ESXi勒索软件攻击的技术和策略，包括如何利用SSH隧道作为持续性机制。文章指出，ESXi设备因其在虚拟化基础设施中的关键作用，成为了高价值目标。攻击者通过SSH隧道技术在网络中保持隐蔽，使用本地工具和ESXi的原生SSH功能来建立与命令与控制(C2)服务器的连接。文章还提供了对ESXi设备上的事件日志记录机制的分析，强调了配置syslog转发至外部服务器的重要性，以便集中监控和日志保留。此外，文章列举了一系列可能表明恶意活动的ESXi syslog文件中的常见活动和消息。最后，文章提供了从ESXi设备收集实时前nsics证据的命令行示例，以及相关文章和如何联系作者的信息。

观点

ESXi虚拟化设备因其在企业网络中的核心作用，成为了攻击者的高价值目标，攻击者通过加密和窃取虚拟机镜像来造成严重的业务中断。
攻击者利用SSH隧道技术来保持在网络中的持续性和隐蔽性，通过使用ESXi的本地SSH功能或其他工具来建立与C2服务器的连接。
ESXi的日志记录机制分散在多个专门的日志文件中，这使得前nsics调查变得复杂，需要从多个来源收集信息。
为了简化监控和日志管理，应该在ESXi上配置syslog转发到外部syslog服务器。
监控和威胁狩猎是检测和对抗SSH隧道攻击的关键，需要关注SSH服务的启用、防火墙规则的修改、SSH登录记录、端口转发和用户新增等活动。
实时收集ESXi设备上的前nsics证据对于揭露和分析攻击活动至关重要。

sy64

https://www.outflank.nl/blog/2024/10/15/introducing-early-cascade-injection-from-windows-process-creation-to-stealthy-injection/

总结

网页主要介绍了一种新型的进程注入技术——早期级联注入（Early Cascade Injection），该技术结合了Early Bird APC注入和EDR-Preloading技术，能够在Windows进程创建的用户模式部分进行隐蔽的注入，有效地对抗顶级EDR检测。

摘要

本文首先介绍了Windows进程创建的过程，包括进程创建API、内核模式和用户模式进程创建的细节，以及用户模式进程创建的关键步骤LdrInitializeThunk。接着，详细解释了早期级联注入技术的工作原理，包括如何利用LdrLoadDll函数在进程创建过程中实现DLL的映射和初始化。文章继续探讨了早期级联注入与Early Bird APC注入和EDR-Preloading的关系，并对EDR的用户模式检测措施进行了分析。最后，文章介绍了早期级联注入的关键特点，如不需要跨进程APC排队、最小化远程进程交互、以及能够在EDR加载其检测措施之前控制进程。

观点

早期级联注入技术能够在EDR加载其检测措施之前，通过操作ntdll.dll中的g_pfnSE_DllLoaded指针，实现对进程的控制，从而有效地绕过EDR的监控。
相比于Early Bird APC注入，早期级联注入不依赖于跨进程APC排队，因此更难被EDR检测到。
早期级联注入技术利用了NtQueueApcThread函数，通过在目标进程内部排队APC，实现了代码的无限执行，同时避免了Loader Lock的限制。
EDR在进程创建的用户模式部分加载其检测措施，通常是通过注入器代码和API挂钩实现的。
早期级联注入的实现依赖于对Windows进程创建流程的深入理解，包括LdrInitializeThunk的执行时间线和LdrLoadDll函数的工作机制。
早期级联注入的关键在于，它能够在EDR的检测措施初始化之前，通过g_pfnSE_DllLoaded指针执行shellcode，从而打断EDR的初始化过程。
早期级联注入技术的实现细节和代码不会公开，以防止滥用，但已经集成到Outflank Security Tooling（OST）中供授权用户使用。

sy64

https://www.praetorian.com/blog/etw-threat-intelligence-and-hardware-breakpoints/

总结

网页主要探讨了如何利用 Windows 的事件跟踪 (ETW) 威胁情报提供程序来检测恶意活动，以及攻击者如何通过硬件断点绕过 EDR 检测。

摘要

网页详细介绍了现代端点检测与响应 (EDR) 解决方案如何依赖 Windows 的 ETW 威胁情报提供程序来监测恶意活动，同时保持系统稳定性。攻击者通过使用 CPU 级别的硬件断点挂钩函数，可以在用户空间中操纵遥测数据，从而绕过 EDR 检测。文章进一步探讨了硬件断点的工作原理，以及如何通过内核调试器确定触发 ETW 事件的内核函数。此外，文章提供了一个利用 NtContinue 函数设置硬件断点而不触发 ETW 事件的技术细节，以及如何通过这种方式逃避 EDR 监控，实现 AMSI 和 ETW 的“无补丁”绕过。最后，文章展示了如何应用这些技术以逃避 EDR 检测，并对 Praetorian 公司的服务和产品进行了推广。

观点

EDR 解决方案严重依赖 ETW 威胁情报提供程序来检测恶意活动，而不会损害系统稳定性。
攻击者可以利用硬件断点在用户空间中操纵遥测数据，而无需直接修补内核，从而绕过 EDR 检测。
硬件断点依赖于 CPU 的调试寄存器 (DrX)，通常需要特权级别 0 (PL0) 才能设置，而用户模式应用程序在 PL3 上运行，无法直接操作这些寄存器。
通过 NtSetInformationThread 和 NtSetContextThread 等传统方法设置硬件断点会触发 ETW 事件，这些事件被 EDR 利用用于检测。
NtContinue 函数可以用来设置硬件断点而不触发 ETW 事件，这为攻击者提供了一种绕过 EDR 监控的方法。
通过分析 ReactOS 的源代码，可以了解 NtContinue 如何处理调试寄存器，从而实现设置硬件断点而不触发 ETW 事件。
提供了一个利用 NtContinue 设置硬件断点的示例代码，展示了如何逃避 EDR 检测并验证其有效性。
攻击者可以利用 NtContinue 清除调试寄存器，以防止 EDR 使用硬件断点来防止解钩。
Praetorian 提供了Managed Continuous Threat Exposure Management 解决方案的 30 天免费试用，以及其他专业安全服务。
文章强调了 EDR 依赖 ETW 威胁情报提供程序的重要性，以及攻击者可能采用的绕过 EDR 检测的技术，这对于安全社区来说是一个重要的警示。

sy64

https://unit42.paloaltonetworks.com/espionage-campaign-targets-south-asian-entities/

总结

网页详细分析了一项针对南亚高价值目标的间谍行动CL-STA-0048，该行动使用了多种罕见的工具和技术，包括Hex Staging技术和PlugX后门，旨在获取政府雇员的个人信息和目标组织的敏感数据，并且存在与中国威胁行为者的联系。

摘要

网页揭示了一项名为CL-STA-0048的针对南亚高价值目标的间谍行动，这些目标包括一家电信公司。该活动集群采用了包括Hex Staging技术和通过DNS进行渗透的罕见工具和技术，以及滥用Sqlcmd实用程序窃取数据。通过对策略、技术和程序（TTP）以及所使用的工具、基础设施和受害者情况的分析，研究人员以中等至高度的信心评估此项活动源自中国。攻击者的主要目的是获取政府雇员的个人信息并窃取目标组织的敏感数据，这些行为具有国家高级持续威胁（APT）间谍行动的特征。攻击者展示了有条不紊的网络渗透方法，依次尝试利用面向公众的服务器上的已知漏洞，包括互联网信息服务（IIS）、阿帕奇Tomcat和MSSQL服务。攻击者使用了PlugX后门，并采用了Hex Staging方法和恶意软件传播，以及权限提升工具如SspiUacBypass和Potato Suite，以及命令和控制工具如SoftEther VPN和基于Winos4.0的下载器。此外，攻击者部署了Cobalt Strike进行进一步的恶意活动，并试图创建一个特权数据库用户以窃取表数据。该活动的时间框架和使用的工具和技术表明与中国威胁行为者的联系。最后，文章强调了组织需要采取积极的网络安全措施，如修补漏洞、维护良好的IT卫生和使用威胁监控来抵御此类高级威胁。

观点

间谍行动的目标和手段：CL-STA-0048活动集群针对南亚的高价值目标，包括电信公司，使用了罕见的工具和技术进行数据窃取和个人信息获取。
技术和技术分析：研究人员通过分析策略、技术和程序（TTP）以及所使用的工具、基础设施和受害者状况，认为此项活动与中国有关。
攻击者的主要目标：攻击者的主要目标是获取政府雇员的个人信息和目标组织的敏感数据，这表明行动具有APT间谍行动的特征。
网络渗透方法：攻击者展示了有条不紊的网络渗透方法，包括利用IIS、Tomcat和MSSQL服务的已知漏洞。
使用的工具和技术：攻击者使用了PlugX后门、Hex Staging方法、权限提升工具、命令和控制工具以及Cobalt Strike等技术。
数据库攻击：攻击者试图创建一个特权数据库用户，并部署了恶意SQL脚本来窃取表数据。
与的联系：该活动的时间框架、工具和技术的使用，以及其他一些迹象，表明与威胁行为者的联系。
防御建施和建议：文章建议组织应专注于修补漏洞、维护良好的IT卫生和使用威胁监控来抵御此类高级威胁。
保护和缓解措施：Palo Alto Networks的产品和服务提供了针对该活动集群相关的保护和缓解措施。

sy64

https://www.vicarius.io/vsociety/posts/exploring-opensshs-agent-forwarding-rce-cve-2023-38408

sy64

https://www.outflank.nl/blog/2025/02/03/secure-enclaves-for-offensive-operations-part-i/

本文介绍了基于虚拟化的安全（VBS） enclave及其在Windows系统攻击性操作中的应用。VBS enclave提供软件型可信执行环境（TEE），其内存区域相互隔离，仅 enclave 内的代码才能访问 enclave 内的数据。攻击者可利用 enclave 安全存储和处理数据，在防御者难以检测的区域嵌入恶意代码或逻辑，从而躲避EDR检测。文章详细讲解了VBS enclave 的架构、工作原理及生命周期，包括 enclave 宿主应用和 enclave DLL 的交互方式。开发和调试 enclave 需要生产签名和特殊调试标志。文章还探讨了利用现有 enclave API 和 DLL（例如SFAPE.dll）进行攻击的可能性，并提及后续文章将深入探讨高级攻击技术，包括操控已签名 enclave DLL 和利用 enclave API 实现隐蔽的防御规避和植入隐藏。

sy64

https://socradar.io/top-10-vpn-vulnerabilities-2022-h1-2024/
根据网页内容，以下是 2022 年至 2024 年上半年期间的一些具体的 VPN 漏洞 CVE 编号：

CVE-2024-24919 - Check Point Quantum Gateway/Spark Gateway/CloudGuard Network 远程访问 VPN 中的信息泄露。
CVE-2024-21762 - Fortinet FortiOS 7.4.2 及以上版本 SSL-VPN 中的越界写入。
CVE-2024-3400 - Palo Alto Networks PAN-OS GlobalProtect 中的命令注入。
CVE-2023-27997 - Fortinet FortiOS/FortiProxy FortiGate SSL-VPN 中的基于堆的溢出。
CVE-2022-42475 - FortiOS FortiOS SSL-VPN/FortiProxy SSL-VPN 请求中的基于堆的溢出。
CVE-2023-46805 和 CVE-2024-21887 - Ivanti Connect Secure/Policy Secure Web 中的不当身份验证和命令注入。
CVE-2023-28771 - Zyxel USG/USG FLEX/VPN/ATP 错误消息 OS 命令注入。
CVE-2023-20073 - Cisco RV340/RV340W/RV345/RV345P 中的无限制上传。
CVE-2023-46850 - OpenVPN/OpenVPN 访问服务器中的 Use After Free。
CVE-2022-43931 - Synology VPN Plus Server 远程桌面中的越界写入。

这些 CVE 编号代表了一些高风险的安全漏洞，其中包括了信息泄露、越界写入、命令注入、基于堆的溢出和 Use After Free 等问题。

sy64

https://github.com/AlrikRr/Cisco-Smart-Exploit

Cisco SmartInstall 漏洞 [CVE-2018-0171]

https://web.archive.org/web/20180404224411/https://embedi.com/blog/cisco-smart-install-remote-code-execution/

https://bond-o.medium.com/cisco-smart-install-rce-d0cb58e752c0

https://github.com/axcheron/cisco_pwdecrypt

https://github.com/hellowenying/CVE2018-0171

https://github.com/rikosintie/SmartInstall

https://github.com/frostbits-security/SIET

Smart Install是为新的LAN以太网交换机提供零触摸部署的即插即用配置和图形管理功能，在TCP端口4786上运行的Cisco专用协议，若设备启用了Smart Install功能且对外开放4786端口，攻击者就可通过发送畸形Smart Install报文来利用此漏洞，使得设备缓冲区溢出，导致拒绝服务乃至远程代码执行等后果。

https://bond-o.medium.com/cisco-snmp-secrets-e4b731b19737
UDP 端口 161
使用 Hydra 使用 SecLists snmp-community-strings.txt单词表对目标执行 SNMP 暴力攻击

https://www.anquanke.com/post/id/105473

sy64

https://www.cisa.gov/sites/default/files/2024-04/CSRB_Review_of_the_Summer_2023_MEO_Intrusion_Final_508c.pdf

2023年夏季微软Exchange Online入侵事件回顾

sy64

https://samcurry.net/hacking-subaru

sy64

https://retr0.blog/blog/llama-rpc-rce

总结

网页主要介绍了如何通过利用 Llama.cpp 中的堆溢出漏洞，实现远程代码执行（RCE）的详细技术过程。

摘要

网页详细记录了 Patrick Peng 对 Llama.cpp 中 Heap Maze 的研究和探索。作者在前言中提到，他花了大约 30 小时来研究堆溢出到远程代码执行的过程，并在此之前花费了两周时间研究 Llama.cpp 的 RPC & 内存实现。作者强调，由于 Llama.cpp 拥有独特的堆管理系统，传统的 ptmalloc 堆漏洞利用方法在这里失效，需要开发新的利用策略。文章接着详细介绍了 Llama.cpp 的 RPC 功能、Tensor 和 buffer 结构体、以及过去的安全漏洞修复。作者描述了如何通过 heap-overflow 漏洞利用 Llama.cpp 的特殊功能，以及如何绕过之前实施的多层次安全检查。他还详细解释了如何通过 partial-write 技术和结构化编程来构造信息泄露，以及如何最终实现 RCE。最后，作者提供了一个实际的利用代码示例，展示了如何在实际环境中执行这个复杂的利用链。

观点

Llama.cpp 的堆管理系统与标准的 ptmalloc 系统有显著不同，这使得传统的堆漏洞利用方法在这里不再适用。
即使在实施了严格的安全检查和修复之后，Llama.cpp 的 RPC 功能仍然存在漏洞，可以通过精心设计的请求来利用。
通过对 Llama.cpp 的深入分析，作者发现了一个 heap-overflow 漏洞，该漏洞可以通过特定的方法转化为远程代码执行。
利用 Llama.cpp 的特殊内存管理特性，可以通过 partial-write 技术来构造信息泄露，从而获取到关键的内存地址信息。
通过结构化编程和精心设计的堆布局，可以绕过安全检查，实现对执行流程的控制，最终达到远程代码执行的目的。
作者通过实际的利用代码示例，证明了他的研究成果是可行的，并展示了如何在实际环境中执行这个复杂的利用链。

sy64

https://xphantom.nl/posts/Offensive-Security-Lab/

总结

本文主要介绍了如何使用 Ludus 工具搭建和管理一个专门用于进行攻防实践的安全实验室。

摘要

文章首先介绍了 Ludus 工具的优势，强调了其简化实验室搭建和管理的能力，并提供了硬件推荐。接下来，作者分享了自己使用 Debian 12 安装 Ludus 的经验，并指出了在安装过程中需要注意的点。文章详细说明了如何安装 Ludus、创建用户、获取 Proxmox 凭据以及如何访问 Proxmox 网页管理界面。

作者进一步阐述了如何使用模板来构建实验室环境，包括如何构建、监控和添加新的模板。文章特别介绍了如何使用 Game of Active Directory (GOAD) 来设置一个具有多个服务器和域控制器的活动目录环境。

在实验室设置部分，文章详细描述了如何修改配置文件以添加 Exchange 服务器、Windows 11 机器和 Kali 机器，以及如何设置 Wazuh XDR/SIEM 解决方案。作者还展示了如何使用 WireGuard 从任何地方连接到实验室，并提供了相应的配置步骤。

最后，作者总结了自己的经验，并建议根据实验室的复杂性调整硬件配置。文章还提供了一系列参考资源供读者进一步学习。

观点

Ludus 是一个简化搭建和管理安全实验室的工具，它支持模板和预建的实验室环境，使用 YAML 文件进行配置，便于定制和分享实验室环境。
在安装 Ludus 时，需要使用以太网连接，并确保安装 Debian 12 时启用了 SSH 服务器。
Ludus 提供了一系列的模板，可以用来快速部署虚拟机，并且支持添加新的模板来扩展实验室的功能。
GOAD 是一个可以快速搭建活动目录环境的工具，它支持多种环境配置，并且可以与 Ludus 集成使用。
实验室环境可以通过修改 YAML 配置文件来添加额外的服务，如 Exchange 服务器和 Wazuh XDR/SIEM 解决方案。
使用 WireGuard 可以安全地从远程位置连接到本地实验室环境，这需要在路由器上配置端口转发。
硬件资源对于运行复杂的实验室环境至关重要，建议根据实验室的需求选择合适的硬件配置。

参考资源：

Ludus 官方文档：https://docs.ludus.cloud/
Ludus 模板仓库：https://github.com/Croko-fr/ludus-templates
Ludus Ansible 角色仓库：https://github.com/ChoiSG/ludus_ansible_roles
Ludus AD 漏洞仓库：https://github.com/Primusinterp/ludus-ad-vulns
Ludus 范围仓库：https://github.com/jessefmoore/Ludus-Ranges/tree/main

sy64

https://www.assetnote.io/resources/research/why-nested-deserialization-is-harmful-magento-xxe-cve-2024-34102

https://sansec.io/research/cosmicsting

总结

网页主要介绍了 Magento 电子商务平台中的一个关键的 XML 外部实体注入漏洞（CVE-2024-34102），该漏洞允许未经身份验证的攻击者执行远程代码执行（RCE），并讨论了如何通过分析和调试来发现这一漏洞。

摘要

Magento 是互联网上最受欢迎的电子商务解决方案之一，截至 2023 年底，估计有超过 140,000 个实例在运行。Adobe 最近的 Magento 安全通知中指出了一个关键的、不需要身份验证的 XML 外部实体注入漏洞（CVE-2024-34102），评分为 CVSS 9.8。Assetnote 的安全研究团队发现，尽管漏洞的严重性很高，但当时并没有公开的利用证明。为了保护他们的攻击面管理平台客户免受潜在的利用，他们开发了一个 proof-of-concept（PoC）。该漏洞允许攻击者窃取 app/etc/env.php 文件，该文件包含用于生成 JWT 的加密密钥，进而可以操纵 Magento 的 API。此外，该漏洞可以与 PHP 过滤器链的最新研究结果（CVE-2024-2961）结合，导致远程代码执行（RCE）。XXE 漏洞的更广泛影响包括任何本地文件或远程 URL 的内容泄露。

Assetnote 讨论了漏洞的严重性，原始漏洞报告者 Sergey Temnikov 的工作，以及 SanSec 提出的紧急修复方案的多次更新。通过比较未修复和修复版本的 Magento，Assetnote 发现了该漏洞的关键线索。他们通过设置 Magento 开发环境并使用 XDebug 和 PhpStorm 进行调试，最终找到了可以利用的 SimpleXMLElement 实例化路径。他们详细描述了 Magento 的输入反序列化机制，以及如何通过构造函数和 setter 方法递归地实例化内部类。最终，他们成功地构造了一个可以控制参数的 SimpleXMLElement 实例，从而导致信息泄露。

观点

Magento XXE 漏洞（CVE-2024-34102）的严重性在于它允许攻击者窃取敏感的配置文件，并可能结合其他漏洞导致 RCE .
初始的紧急修复方案可能会被攻击者绕过，这表明在应急修复时，同行评审的重要性以及漏洞技术细节的公开至关重要 .
通过比较未修复和修复版本的 Magento，Assetnote 的研究团队发现了该漏洞的关键线索，并通过设置开发环境和调试代码来确定漏洞的利用路径 .
Magento 的输入反序列化机制，特别是其递归特性，为攻击者提供了一个巨大的攻击面，使得可以利用内部类的构造函数和 setter 方法来实现恶意操作 .
Assetnote 的研究团队最终通过构造一个包含可控参数的 SimpleXMLElement 实例来成功利用该漏洞，导致信息泄露 .

https://cside.dev/blog/new-ttps-in-stealing-pii-and-financial-information-from-magento-websites

sy64

https://xphantom.nl/posts/crypto-attack-jenkins/

总结

网页主要介绍了如何利用 CVE-2024-23897 漏洞在 Jenkins 中实现从有限的文件读取到完全访问的攻击过程。

摘要

文章首先介绍了 CVE-2024-23897 漏洞，这是一个存在于 Jenkins 中的严重漏洞，允许攻击者读取服务器上的任意文件，可能导致远程代码执行。该漏洞源于 args4j 库的问题，当参数以“@”字符开头时，该库会自动将文件内容扩展为命令参数。尽管该漏洞可能导致远程代码执行，但在线资源通常没有提供具体的技术细节和 POC。文章接着列举了实现远程代码执行的条件，包括资源根 URL、“记住我” Cookie 以及绕过 CSRF 保护等。在实际案例中，上述条件均未得到满足。文章还提到了读取二进制文件的限制，并指出即使能够访问如 $/credentials.xml 和 $/secrets/master.key 等文件，也无法单独解密凭证。攻击者需要结合 master.key、hudson.util.Secret 二进制文件和加密的凭证才能实现解密。由于 hudson.util.Secret 文件包含非打印字符，直接读取会遇到编码问题，文章提供了一种解决方法。此外，文章还分析了 UTF-8 编码中的替换字符 EF BF BD，并指出在不同编码环境下，替换字节会有所不同。最后，文章通过实例演示了如何分析加密文件、获取初始化向量 (IV) 和密文，并介绍了如何使用 Rust 代码进行暴力破解，以及如何验证破解结果的有效性。文章作者在 Macbook M1 Pro 上执行破解脚本，大约需要9到18分钟。文章最后提到了对漏洞警告的谨慎态度，强调了解决问题时要注意编码问题和潜在的误导。

观点

CVE-2024-23897 漏洞允许攻击者读取 Jenkins 服务器上的任意文件，可能导致远程代码执行，但在线资源通常没有提供具体的技术细节和 POC。
实现远程代码执行需要满足特定的条件，如资源根 URL、“记住我” Cookie 和绕过 CSRF 保护，但在文章中提到的案例中，这些条件均未满足。
即使能够访问 $/credentials.xml 和 $/secrets/master.key 等文件，也无法单独解密凭证，需要结合 master.key、hudson.util.Secret 和加密的凭证。
hudson.util.Secret 文件包含非打印字符，直接读取会遇到编码问题，需要使用特定的方法处理。
UTF-8 编码中的替换字符 EF BF BD 在不同编码环境下，替换字节会有所不同，这对于破解过程中的字节解析至关重要。
分析加密文件、获取初始化向量 (IV) 和密文是破解过程中的关键步骤。
使用 Rust 代码进行暴力破解时，可以通过检查解密后的文本是否以 ----- 开头来验证私钥的正确性。
在 Macbook M1 Pro 上执行破解脚本，大约需要9到18分钟，这表明破解过程是可行的，但也反映了破解的复杂性和时间成本。
对漏洞警告要谨慎，解决问题时要注意编码问题和潜在的误导。

sy64

https://research.checkpoint.com/2025/large-scale-exploitation-of-legacy-driver/

总结

Check Point Research 揭露了一场大规模的网络攻击活动，攻击者利用已知的、但未被Microsoft易受攻击驱动程序阻止列表识别的旧版 Truesight 驱动程序（版本 2.0.2）漏洞，来部署 EDR/AV 杀手模块，目的是绕过安全措施并在受害者系统上传播最终阶段的有效载荷，如 Gh0st RAT 变体。这一活动主要影响了中国地区的用户，其中约 75% 的受害者位于中国。

摘要

Check Point Research（CPR）发现了一场大规模的网络攻击活动，该活动利用了旧版 Truesight 驱动程序（版本 2.0.2）的漏洞。攻击者通过修改特定的 PE 部分，生成了 2,500 多个变体，这些变体虽然具有不同的哈希值，但仍保持有效的数字签名。这种攻击手法允许攻击者绕过 Windows 策略漏洞，该漏洞允许在最新版本的 Windows 操作系统上加载未被 Microsoft 易受攻击驱动程序阻止列表和常见检测机制识别的驱动程序。攻击者使用公共云中国区域的基础设施来托管有效载荷并操作其 C2 服务器。初始阶段的恶意样本充当下载器/加载器，通常伪装成知名应用程序，通过网络钓鱼方法分发，并与 EDR/AV 杀手模块一起，旨在让受感染的机器准备好传递最终阶段的有效载荷。CPR 将此问题报告给了 MSRC，导致了 Microsoft 易受攻击驱动程序阻止列表的更新，有效阻止了此次活动中利用的旧式驱动程序的所有变体。此外，CPR 还分享了关于攻击者如何利用旧版 Truesight 驱动程序绕过高级安全措施的技术细节，以及如何进一步逃避检测，包括操作系统中的文件哈希值变更和驱动程序的多个变体生成等。

观点

利用旧版驱动程序的漏洞：攻击者利用了 Truesight 驱动程序的已知漏洞，特别是版本 2.0.2，因为它未被 Microsoft 易受攻击驱动程序阻止列表识别，同时也绕过了 LOLDrivers 项目引常见检测机制。
逃避检测的技巧：攻击者通过修改 PE 文件的特定部分，生成了多个变体，同时保持签名有效，以逃避检测。
基础设施与受害者地域：攻击者使用公共云中国区域的基础设施，大约 75% 的受害者位于中国，其余的主要来自亚洲其他地区。
初始阶段样本的分发：初始阶段的恶意样本通过网络钓鱼方法分发，伪装成知名应用程序，如哄骗网站和消息应用程序中的网络钓鱼渠道。
EDR/AV 杀手模块：这些样本部署了 EDR/AV 杀手模块，用于关闭或绕过受害者系统上的安全解决方案，为最终有效载荷的传播做好准备。
Gh0st RAT 最终有效载荷：最终阶段的有效载荷通常是 Gh0st RAT 变体，这是一种知名的远程控制木马，能够远程控制受害者的计算机。
微软的应对措施：CPR 报告给 MSRC 后，Microsoft 更新了其易受攻击驱动程序阻止列表，阻止了旧版 Truesight 驱动程序的所有变体。
未来导向的检测规则：研究者强调，未来导向的检测规则对于发现尚未被广泛识别的攻击活动至关重要，这一点得到了在此次活动中的证实。
**

sy64

https://schoenbaum.medium.com/inside-the-breach-of-british-airways-how-22-lines-of-code-claimed-380-000-victims-8ce1582801a0

sy64

https://sansec.io/research/cosmicsting

摘要

CosmicSting漏洞（CVE-2024-34102）是近年来影响Magento和Adobe Commerce商店最严重的安全问题，攻击者利用该漏洞窃取加密密钥并注入恶意脚本，从而窃取客户数据并可能远程执行代码。文章详述了攻击的影响、受影响的版本、攻击阶段、时间线、防御措施以及多个攻击团伙的行动模式。

关键点

CosmicSting漏洞是近年来最严重的Magento和Adobe Commerce漏洞，影响范围大，攻击频率高达每小时5至30次。
攻击者通过窃取app/etc/env.php文件中的加密密钥，利用Magento API修改CMS块，注入恶意JavaScript以窃取客户数据。
漏洞的CVSS评分为9.8（满分10），Adobe建议立即修补漏洞。
受影响的版本包括Magento和Adobe Commerce 2.4.7及更早版本。
攻击分阶段进行，包括读取加密密钥、生成JSON Web Token（JWT）以访问API并注入恶意脚本。
时间线显示从漏洞修复发布到大规模攻击仅用了15天，多个攻击波次导致大规模数据泄露。
防御措施包括升级到最新版本、更换加密密钥并禁用旧密钥，或应用Adobe提供的独立补丁。
临时解决方案包括阻止对CMS块API的请求，但无法完全防止攻击。
多个攻击团伙参与，包括Ondatry、Polyovki、Bobry、Surki、Khomyaki等，每个团伙使用不同的技术和目标。
攻击者利用伪造的支付表单、隐藏恶意代码、WebSocket通信等多种方式窃取数据。
攻击者使用多个恶意域名和IP地址进行数据外泄和攻击。
文章列出了详细的攻击指标，包括恶意域名、IP地址和恶意脚本特征。
根据文章内容，攻击团伙使用了以下技术手段：

一、数据窃取与密钥利用

XXE漏洞利用
- 通过构造恶意XML请求读取app/etc/env.php文件，窃取加密密钥（encryption_key）
- 典型攻击日志示例：
  157.230.230.193 - "POST /rest/V1/guest-carts/123456/estimate-shipping-methods HTTP/1.1" 404 148
API滥用
- 使用被盗密钥生成JWT令牌，通过Magento API修改CMS块（如PUT /V1/cmsBlock/{id}）

二、恶意脚本注入技术

隐藏编码技术
- Group Bobry：利用空白Unicode字符（如\u2003、\u2006）将二进制代码嵌入HTML
- Group Laski：通过动态偏移量解码（String.fromCharCode(code - [动态数值])）绕过静态分析
伪装技术
- Group Polyovki：注入<script src="https://cdnstatics.net/lib.js">直接加载恶意库
- Group Surki：通过SVG图像onload事件触发恶意代码（示例代码：
  <svg onload="!function(e){...}(atob('...'))">）
CSP绕过
- Group Surki：通过Google翻译服务代理加载恶意脚本（如https://translate.google.co.in/translate?hl=gu&sl=en&u=恶意URL）

三、持久化与远程控制

WebSocket通信
- Group Surki：使用WebSocket（如wss://accept.bar/common）动态下发攻击指令
- Group Burunduki：通过自定义端口WebSocket（wss://jgueurystatic.xyz:8101）实时更新恶意逻辑
远程代码执行（RCE）
- Group Belki：结合CNEXT漏洞（CVE-2024-2961）在服务器植入后门进程（如[raid5wq]、[kswapd0]）

四、数据外泄技术

加密与混淆
- Group Ondatry：使用自定义混淆算法（如变量名d57841、v69451动态拼接恶意代码）
- Group Khomyaki：使用JSEncrypt库加密数据后外传
隐蔽通道
- Group Peschanki：通过__ffsj Cookie存储数据，利用阿里云IP（https://106.14.40.200）外泄
- Group Bobry：将数据伪装成图片请求（如https://statspots.com/get/?s=加密数据）

五、基础设施特征

| 团伙名称 | 恶意域名示例 | 服务器IP（示例） | 注册商/托管商 |
|----------------|---------------------------------------|-----------------------|---------------------|
| Group Polyovki | cdnstatics.net | 185.175.225.116 | Cloudflare |
| Group Khomyaki | jgueurystatic.xyz | 82.202.165.xx（俄罗斯JSC网络） | Hostinger |
| Group Laski | markettz.com、statepulseapp.com | 142.252.84.169 | Namecheap |

六、攻击链整合示例

graph TD
  A[扫描暴露的Magento实例] --> B[利用CVE-2024-34102读取env.php]
  B --> C{是否获取有效密钥?}
  C -->|是| D[生成JWT接管API]
  C -->|否| A
  D --> E[修改CMS块注入恶意JS]
  E --> F[劫持支付表单]
  F --> G[通过WebSocket/C2服务器外传数据]

sy64

https://github.com/OscarBataille/CVE-2025-26794

⚠️⚠️ CVE-2025-26794 Exim邮件传输代理易受远程SQL注入攻击，已发布PoC

sy64

https://www.akamai.com/blog/security-research/2025-february-fortinet-critical-vulnerabilities

https://www.akamai.com/blog/security-research/2024-august-vpn-post-exploitation-techniques-black-hat

总结

网页主要介绍了Akamai研究人员Ben Barnea对Fortinet的VPN解决方案进行的安全研究，包括获取固件、设置调试环境、解密以及发现和分析多个漏洞，这些漏洞可能导致拒绝服务（DoS）和远程代码执行（RCE）。

摘要

Akamai的Ben Barnea研究人员对Fortinet的VPN解决方案进行了深入的安全研究。首先，他介绍了如何获取Fortinet提供的虚拟机固件，并详细描述了如何创建一个调试环境，包括解密文件系统、设置GDB调试器以及创建一个完整的shell环境。研究人员在这个过程中遇到了许多挑战，包括绕过VMware的调试特性问题、解决QEMU运行VM的问题，以及克服许可证限制。随着Fortinet发布了新版本的VPN固件，Ben Barnea又面临了新的加密算法，他详细描述了新旧加密算法的差异，并最终成功解密了新版本的固件。

在研究过程中，Ben Barnea发现了多个漏洞，包括一个OOB写入NULL字节的漏洞、野指针拷贝漏洞、设备DoS漏洞、Web服务器DoS漏洞和OOB读取漏洞。他些漏洞存在于VPN设备的管理Web服务器中，部分漏洞可以被未认证的攻击者利用。研究人员对这些漏洞进行了详细的分析和尝试性的利用，虽然并未发现可以直接导致远程代码执行的关键漏洞，但这些发现表明VPN设备仍然存在安全风险，需要持续的研究和保护。

最后，Ben Barnea强调了VPN设备作为攻击目标的重要性，并鼓励其他安全研究人员继续寻找和分析VPN漏洞，以提高整体的网络安全性。

观点

VPN设备是攻击者入侵组织网络的关键目标，因为它们通常暴露在互联网上。
安全研究人员在分析Fortinet的VPN解决方案时，需要克服多个技术挑战，包括获取固件、解密文件系统、设置调试环境以及绕过许可证限制。
Fortinet在新版本的VPN固件中使用了新的加密算法，这增加了安全研究的难度，但研究人员最终成功解密了固件。
研究人员发现了多个漏洞，包括OOB写入、野指针拷贝、设备DoS、Web服务器DoS和OOB读取漏洞，这些漏洞可能被未认证的攻击者利用。
尽管并未发现可以直接导致远程代码执行的关键漏洞，但这些发现表明VPN设备仍然存在安全风险，需要持续的研究和保护。
安全研究人员应该继续寻找和分析VPN漏洞，以提高整体的网络安全性。

sy64

https://blog.sekoia.io/polaredge-unveiling-an-uncovered-iot-botnet/

总结

网页主要分析了 PolarEdge 僵尸网络，这是一种针对边缘设备的高级 TLS 后门，揭示了攻击者的基础设施和恶意软件的payload分析，并提供了针对该僵尸网络的指标（IoCs）。

摘要

Sekoia.io 的威胁检测与研究（TDR）团队发现并分析了 PolarEdge 僵尸网络，该网络至少自 2023 年末以来活跃，并已感染全球超过 2000 个资产。PolarEdge 利用了 CVE-2023-20118 漏洞，通过远程代码执行（RCE）部署 webshell 或 TLS 后门。分析揭示了攻击者的基础设施，包括分发和报告服务器，以及与 PolarSSL（现在称为 Mbed TLS）相关的多个证书。此外，还发现了针对 Asus、QNAP 和 Synology 设备的其他 payload。攻击者使用的 IP 地址和域名通常与 Huawei Cloud 和 Green Floid LLC 等服务提供商有关。Sekoia.io 继续监测该威胁，并提供了相关的指标供检测和防御使用。

观点

PolarEdge 僵尸网络的复杂性和操作者的技术水平表明这是一种重大的网络威胁。该僵尸网络的 payload 复杂，能够针对多种设备进行操作，并且具有自我销毁和持久化的能力。
攻击者利用了边缘设备的易感性，这些设备通常是可接入互联网的路由器和存储设备。这些设备的易感性使得它们成为攻击者入侵和建立僵尸网络的理想目标。
PolarEdge 僵尸网络的目的尚不明确，但有理由推测它可能用于将受感染的边缘设备转变为操作中继盒（ORB），以促进进一步的网络攻击活动。
攻击者的基础设施包括分发和报告服务器，这些服务器通常位于特定的云服务提供商，如 Huawei Cloud，并使用特定的证书和域名。这些基础设施的发现对于追踪和分析攻击者的行为至关重要。
Sekoia.io 提供了一系列的指标（IoCs），这些指标可以帮助组织检测和防御 PolarEdge 僵尸网络的威胁。这些指标包括恶意软件的 SHA256 哈希值、与分发和报告基础设施相关的 IP 地址和域名。
分析表明，PolarEdge 僵尸网络可能与 Stark Industries Solutions 和 Green Floid LLC 等与 Proxyline 相关的组织有关，这些组织可能与俄罗斯的虚拟私人网络（VPN）和代理服务有关。