Defense.One

https://gorosuke5656.hatenablog.com/entry/2025/03/16/142637

这篇文章主要讲述了作者在家庭实验环境中使用Fortigate防火墙的透过模式（透明模式）的经验，并分享了具体的设置步骤、检测方法以及功能验证的结果。

关键点

• Fortigate的透过模式允许在不改变现有网络结构的情况下连接和运行防火墙。
• 作者详细描述了透过模式的设置步骤，包括接口配置、虚拟线对策略、以及日志记录功能的启用。
• 实验中验证了攻击者通信的检测功能，例如SSH连接和HTTP攻击，均成功记录在日志中。
• IPS功能也得到验证，能够有效检测到恶意行为（如访问“etc/passwd”路径）。
• Fortigate的封闭环境中，尽管UTM许可证过期，仍可使用部分功能，但不建议在互联网环境中使用。
• Fortigate支持透过模式下的包捕获功能，与其他防火墙的架构不同。

https://www.esentire.com/blog/from-access-to-encryption-dissecting-hunters-internationals-latest-ransomware-attack

总结

从访问到加密：深入分析猎人国际最新勒索软件攻击

关键点

• eSentire的威胁响应团队（TRU）发现猎人国际通过利用FortiOS和FortiProxy的认证绕过漏洞（CVE-2024-55591）对零售组织进行勒索软件攻击。
• 猎人国际使用VPN访问内部网络资源并执行侦察命令、创建用户账户以及尝试通过RClone和WinSCP工具进行数据外泄。
• 攻击者最终部署了猎人国际勒索软件，使用Rust语言编写的加密二进制文件，并采用AES-256 CTR加密方法。
• 勒索软件通过多线程加密文件，并利用Windows API如CreateToolHelp32Snapshot终止进程。
• 攻击者通过使用双重勒索策略，威胁受害者支付赎金，否则泄露敏感数据到暗网泄露站点。
• eSentire团队迅速识别入侵行为，分析攻击者的战术、技术和程序，并协助客户进行补救。
• TRU建议及时更新关键系统的安全补丁，监控和限制Living-off-the-Land Binaries（LOLBins）访问，以及使用下一代防病毒（NGAV）或端点检测与响应（EDR）解决方案。

https://www.esentire.com/blog/initial-takeaways-from-the-black-basta-chat-leaks

摘要

本文深入分析了“黑巴斯塔”（Black Basta）勒索软件组织的内部聊天记录泄露事件。这些记录揭示了该组织的运作结构、成员动态、目标选择、攻击策略以及其对人工智能和网络安全工具的兴趣。此外，文章还提供了防御勒索软件攻击的建议。

关键点

• 黑巴斯塔勒索软件组织的内部聊天记录泄露，涵盖了近20万条消息，揭示了其运作方式、成员关系及合作伙伴。
• 黑巴斯塔的主要成员包括“GG”、“YY”、“Lapa”、“Tinker”等，他们分别负责领导、技术开发、攻击协调与谈判。
• 该组织优先选择高价值目标，如金融、制造业和能源领域，并利用社交工程和开源情报工具进行攻击。
• 聊天记录显示黑巴斯塔对某些行业和国家较为敏感，例如避免攻击法国和某些医疗机构。
• 黑巴斯塔在Ascension医疗网络攻击后出现内部恐慌，并计划重组和更换品牌以规避进一步的法律和政治风险。
• 该组织使用双重勒索策略，通过加密数据和窃取信息来威胁受害者支付赎金，同时制定详细的电话脚本进行谈判。
• 黑巴斯塔对网络安全工具和服务表现出极大的兴趣，包括测试EDR工具和购买漏洞利用程序。
• AI工具的应用引起了该组织的关注，其中包括使用ChatGPT进行社交工程和生成伪造信件，但实际应用仍有限。
• 黑巴斯塔采用多种初始访问方法，包括钓鱼、凭证填充、恶意广告和漏洞利用，同时也从地下市场购买访问权限。
• 防御建议包括端点检测与响应（EDR）、网络检测与响应（NDR）、零信任策略以及优先修补漏洞等措施。

https://swarm.ptsecurity.com/last-barrier-destroyed-or-compromise-of-fuse-encryption-key-for-intel-security-fuses/

摘要

英特尔的融合安全管理引擎（CSME）安全架构虽然设计精良，但由于硬件实现中的关键漏洞，导致其根本加密密钥（Fuse Encryption Key, FEK）可能被提取，从而完全破坏安全模型。这些漏洞源于架构设计错误和第三方硬件模块的使用，使得攻击者能够通过已知明文攻击等方式提取加密密钥，危及整个平台的安全性。

关键点

• 英特尔CSME的安全架构依赖于两个根信任要素：安全熔丝（Security Fuses）和熔丝加密密钥（FEK），但错误的硬件实现使其易受攻击。
• 安全熔丝通过E-FUSE技术进行一次性编程，数据无法重写，但可以通过扫描电子显微镜等技术进行逆向工程提取。
• FEK是非唯一密钥，在同一微架构的所有芯片中共享，这使得其一旦被提取，将导致整个芯片系列的安全性被破坏。
• 硬件漏洞（如CVE-2019-0090和CVE-2021-0146）允许提取加密的安全熔丝，但无法直接访问FEK。
• CVE-2021-0146利用电压故障注入攻击绕过调试锁定机制，使得安全熔丝可被访问，进一步威胁平台资产。
• 英特尔CSME硬件模块（如OCS）使用非单片设计和第三方库，导致加密模块逻辑复杂性增加，并引入了关键安全漏洞。
• OCS模块的SKS（安全密钥存储）设计存在缺陷，允许通过已知明文攻击提取密钥，包括FEK。
• FEK的非安全模式选择是架构设计中的重大错误，导致其易于被提取且无法通过固件更新修复。
• FEK的提取在Apollo Lake和Gemini Lake平台上成功实现，证明了安全模型的彻底失败。
• 这些漏洞的存在使得旧平台的安全性完全失效，而对新平台的潜在威胁仍然存在。

https://www.huntress.com/blog/crushftp-cve-2025-31161-auth-bypass-and-post-exploitation

总结

CVE-2025-31161 是一种严重的身份验证绕过漏洞，影响 CrushFTP 文件传输应用程序的用户身份验证处理。成功利用该漏洞可使攻击者获得管理员级访问权限，从而进一步利用受害系统。Huntress 提供了漏洞细节、利用方法、以及攻击者的后续利用活动，并建议立即修补受影响版本。

关键点

• CVE-2025-31161 是一种 CVSS 分数为 9.8 的严重漏洞，影响 CrushFTP 版本 10.0.0 至 10.8.3 和 11.0.0 至 11.3.0。该漏洞允许通过 S3 授权头处理绕过身份验证。
• 利用该漏洞后，攻击者可获得管理员账户权限，创建后门账户、访问文件、执行代码以及完全控制受害服务器。
• 2025 年 3 月 30 日左右首次检测到该漏洞的利用活动，Shadowserver 团队报告了约 1,500 个暴露在互联网上的易受攻击实例。
• Huntress 观察到攻击者利用 MeshCentral Agent 和 AnyDesk 等合法远程管理工具，以及恶意软件进行后续利用。
• Proof-of-Concept (PoC) 通过简单的 HTTP 请求实现身份验证绕过，核心在于 Authorization 头和 CrushAuth Cookie 的使用。
• 攻击者可能会通过日志文件（如 CrushFTP.log）留下痕迹，管理员可通过检查日志发现潜在的入侵迹象。
• 攻击者通常会创建隐藏的后门账户，并通过修改登录时间等方式掩盖恶意活动。
• 攻击者在后续利用中可能会上传和部署 MeshAgent 或 AnyDesk，进行持久化访问和进一步操作。
• Telegram Bot 恶意软件 DLL 文件也被观察到上传到受害系统，可能用于收集受感染主机的遥测数据。
• Huntress 开发了检测规则，以发现从 CrushFTP 服务执行的潜在恶意操作。
• Huntress 提供了公开的 Sigma 规则，用于检测 MeshAgent 和 AnyDesk 的利用活动。
• 受影响的公司包括营销、零售和半导体行业，全球范围内可能有多达 130,000 个易受攻击的实例。

https://ii4gsp.github.io/cve-2020-27786/

摘要

本文详细介绍了如何利用 Linux Kernel 5.6.13 中 MIDI 设备的竞争条件和释放后使用漏洞（CVE-2020-27786）进行攻击。文章涵盖了漏洞的技术细节、修复方法、利用技术以及完整的攻击代码。

关键点

• CVE-2020-27786 是一个由竞争条件引发的释放后使用漏洞，存在于 Linux Kernel 的 MIDI 驱动程序中。
• 漏洞利用涉及 snd_rawmidi_ioctl 和 resize_runtime_buffer 函数，这些函数在操作内核缓冲区时存在弱点。
• 修复补丁通过引入 snd_rawmidi_buffer_ref 和 snd_rawmidi_buffer_unref 函数，解决了缓冲区引用计数问题，从而防止释放后使用。
• 利用该漏洞的攻击流程包括通过用户空间控制内核内存分配，并利用用户空间页面错误（userfaultfd）技术来操控内核线程。
• 提供了详细的 KASLR 绕过方法，通过泄露 timerfd_tmrproc 地址来计算内核基地址。
• 攻击者通过构造 ROP 链和虚假函数表，利用释放后使用漏洞覆盖 tty_struct->ops 指针，从而实现任意代码执行。
• 完整的攻击代码展示了如何利用该漏洞获取 root 权限。
• 文章引用了多个相关资源和参考材料，以帮助读者深入了解漏洞利用的技术细节。

https://fluxsec.red/full-spectrum-event-tracing-for-windows-detection-in-the-kernel-against-rootkits

摘要

本文详细探讨了如何在Windows操作系统中使用Rust语言开发EDR（Endpoint Detection and Response）工具Sanctum EDR。文章涵盖了从基础Windows驱动开发到高级ETW（Event Tracing for Windows）旁路技术的研究与防御方法，展示了作者在逆向工程和安全工具开发中的丰富经验与成果。

关键点

• 介绍Sanctum EDR项目，并规划其功能，包括Windows驱动开发和Rust语言的使用。
• 使用Rust创建Windows驱动程序，配置和构建驱动对象，同时实现错误日志记录和IRQL管理。
• 探讨EDR检测技术，如系统调用钩子、内存操作监控（Ghost Hunting），并实现相关功能。
• 通过Rust实现系统调用钩子，检测并阻止恶意行为的内存分配和进程操作。
• 研究和开发保护进程轻量化（Protected Process Light）机制以增强EDR的防御能力。
• 深入分析ETW旁路技术，并测试Sanctum EDR对Remcos RAT和Lazarus rootkit的检测能力。
• 通过逆向工程Windows内核的未公开特性，增强EDR的检测范围和性能。
• 使用事件跟踪和内核级别的Patch Guard技术监控ETW表和相关结构的篡改。
• 研究和实现注册表修改攻击的防御技术，通过过滤驱动阻止关键ETW相关注册表键的删除。
• 讨论用户态和内核态的ETW GUID禁用技术，并提出检测和防御策略。
• 提供多个代码片段和GitHub链接，展示实现过程及实验结果。
• 总结ETW旁路技术的危害及其对现代EDR工具的影响，同时提出改进建议和未来研究方向。

https://tierzerosecurity.co.nz/2025/04/03/ollama-rag.html

摘要

本文探讨了如何使用大语言模型（LLM）和检索增强生成（RAG）技术，结合新西兰信息安全手册（NZISM）和Linux加固配置的最佳实践，来实现自动化任务。通过实验，作者分析了数据质量对结果的重要性，并探讨了使用本地和云GPU环境运行LLM的可行性。

关键点

• 人工智能（AI）、生成式AI和大语言模型（LLM）正在被组织广泛用于流程、应用程序、客户支持、帮助台和安全操作中。
• Tier Zero Security专注于AI安全领域，包括AI红队测试、模型训练的理解、保护措施以及工具的实验（如Microsoft PyRIT和PyRIT-Ship）。
• 研究评估了如何使用LLM来回答与NZISM和Linux加固配置最佳实践相关的问题，确保数据不会发送到第三方API服务。
• 使用Retrieval-Augmented Generation（RAG）方法，通过嵌入模型从向量数据库中检索相关数据并生成上下文化响应。
• 初步测试使用了Verba工具，但由于PDF数据质量问题，结果不理想。
• 转而使用Python LlamaIndex库和Ollama API进行实验，并选择nomic-embed-text作为嵌入模型。
• 数据质量改进包括从NZISM HTML页面抓取控制部分内容，并手动创建基于Markdown格式的Ubuntu 22.04安全最佳实践检查列表。
• 使用Docker容器运行Ollama和测试，配置了低温度参数（0.1）以提高响应的确定性和准确性。
• 测试显示，检索的数据主要准确，但进一步改进需要更结构化和全面的数据。
• 在Vast AI上测试GPU实例（如RTX 3090），显著提升了响应时间，成本较低。
• 结论指出，LLM和RAG可以有效实现一定的任务自动化，但数据质量是关键，未来将优化数据准备方式。
  -

https://www.youtube.com/watch?v=VXb6lwXhCAc

视频介绍了Electron应用的跨平台优势及其在开发中的便利性，同时展示了通过工具提取Slack会话数据的方法，并强调了在企业和个人使用中注意安全问题的重要性。

https://projectblack.io/blog/zendto-nday-vulnerabilities/

摘要

文章分析了ZendTo文件共享软件中存在的两个高危漏洞：未授权的远程代码执行（RCE）和基于类型混淆的身份验证绕过，并详细描述了漏洞的发现、利用方式及修复建议。

关键点

• ZendTo文件共享软件的多个实例未修复未授权的远程代码执行（RCE）漏洞，版本范围为v5.24-3至v6.10-4。
• 未授权的文件投递功能是RCE漏洞的核心，攻击者可以通过操控tmp_name字段执行恶意命令。
• RCE漏洞的根源是开发者为扫描上传文件引入了ClamAV，但未正确清理用户输入，导致命令注入。
• 基于类型混淆的身份验证绕过漏洞影响ZendTo <= v5.03-1，利用了MD5哈希的特性，允许攻击者绕过密码验证登录。
• PHP的类型混淆漏洞可被利用，当MD5哈希值以0e开头并跟随数字时，PHP会将其视为科学计数法，导致验证通过。
• 修复建议包括升级ZendTo到安全版本（>= v6.10-7或>= v5.04-7），并强制用户更新密码至更安全的bcrypt算法。
• 文章强调没有CVE编号并不意味着软件无漏洞，组织应密切关注补丁说明以发现潜在的安全风险。

DefenseOne

https://www.youtube.com/watch?v=c8DgrpwJWw0

https://infosecwriteups.com/how-hackers-exploit-cve-2025-29927-in-next-js-like-a-pro-9997f48ed7ce

https://www.invictus-ir.com/news/cloud-incident-readiness-key-logs-for-cloud-incidents

云端事件准备：云事件的重要日志

关键点

• 本文是系列文章的第二部分，重点讨论云端事件响应中重要的日志选择，并为微软、AWS和谷歌云提供了日志分类和建议。
• 日志分为三类：必须拥有（检测和响应安全事件的关键日志）、应该拥有（提供额外洞察的日志）和可选拥有（用于更深入分析的日志）。
• 微软云的关键日志包括Entra ID登录日志、审核日志、Azure活动日志和统一审核日志，案例分析展示了如何利用这些日志调查加密挖矿事件。
• AWS的关键日志包括CloudTrail管理事件和GuardDuty发现，案例分析展示了如何通过日志调查S3勒索事件。
• 谷歌云的关键日志包括管理活动日志、系统事件审核日志和Google Workspace登录日志，案例分析展示了如何通过日志调查数据泄露事件。
• 提醒企业根据自身使用的云服务选择最相关的日志，避免事件发生时发现缺失关键日志。
• 下一篇文章将讨论在事件发生前或期间可设置或利用的关键基础设施。

https://badoption.eu/blog/2025/04/07/zipcrack.html

总结

本文介绍了一种针对ZIP文件的实际已知明文攻击方法，通过利用ZIP文件中已知的明文文件绕过密码保护。此外，文章详细描述了如何通过工具和技术实现攻击，包括密码破解和明文攻击的具体步骤。

关键点

• ZIP文件的密码保护可能被绕过，尤其是在非AES加密的情况下。通过找到ZIP文件中的一个明文文件，可以利用已知明文攻击实现解密。
• ZIP文件的密码通常较弱，可以尝试使用工具如John the Ripper进行密码破解。
• ZIP文件的加密方式（如Deflate模式）影响攻击的成功率，文章详细阐述了不同压缩方法的特点。
• 使用bkcrack工具可以利用已知明文攻击破解ZIP文件的加密密钥，然后生成一个未加密的ZIP文件。
• 明文攻击对密码强度没有影响，即使密码非常复杂也可通过此方法破解。
• 提供了实用工具和资源，如GrayHatWarfare、Google搜索和dll文件库，用于寻找目标文件的明文版本。
• ZIP文件的密码保护可以通过简单的命令行工具快速检测。

https://www.prizmlabs.io/post/remote-rootkits-uncovering-a-0-click-rce-in-the-supernote-nomad-e-ink-tablet

概述：研究团队PRIZM Labs发现了SuperNote Nomad E-Ink平板电脑的一个严重漏洞，能够通过远程安装0点击Rootkit完全控制设备。漏洞利用包括未认证的文件共享服务、路径遍历以及逻辑“竞争条件”，最终可以绕过设备的文件命名限制并安装恶意固件。文章详细介绍了漏洞分析过程、利用方法以及披露时间线。

关键点

• PRIZM Labs在SuperNote Nomad E-Ink平板电脑中发现了一个严重漏洞，允许攻击者在同一网络中完全控制目标设备。
• 通过Nmap扫描发现设备的端口60002开放，进一步分析表明该端口运行一个自定义HTTP服务。
• 未认证的设备间文件共享功能成为潜在的攻击面，研究团队通过发送带路径遍历的文件成功将恶意文件写入设备的EXPORT目录。
• 利用设备的固件更新机制，PRIZM Labs创建了一个恶意固件镜像并通过路径遍历写入EXPORT目录，从而触发自动更新。
• 由于文件命名规则限制，研究团队通过逻辑“竞争条件”绕过命名问题，确保恶意固件文件正确命名为update.zip。
• 最终的漏洞利用包括创建后门固件镜像并利用设备的自动更新机制安装Rootkit。
• PRIZM Labs与Ratta Software进行了漏洞披露沟通，厂商计划在2024年12月更新中修复问题。

https://www.troyhunt.com/a-sneaky-phish-just-grabbed-my-mailchimp-mailing-list/

摘要

本文记录了Troy Hunt因疲劳和精心设计的网络钓鱼攻击而导致Mailchimp账户被入侵的经历。攻击者通过伪造的登录页面窃取了他的账户凭据，并迅速导出了包含约16,000条记录的邮件列表。文章分析了攻击的细节、Mailchimp的隐私问题，以及如何通过改进认证方式（如使用抗钓鱼的二次验证）来防范类似事件。

关键点

• Troy Hunt因疲劳和疏忽，误信了伪造的Mailchimp登录页面，导致账户凭据泄露。
• 攻击者通过伪造页面获取了OTP，并迅速登录到真实账户，导出了邮件列表。
• 邮件列表包含约16,000条记录，包括已退订用户的数据，Hunt对Mailchimp保存退订用户数据表示不满。
• Hunt迅速更改了密码并联系Mailchimp，账户已被暂时锁定以防止进一步滥用。
• 文章强调了疲劳和心理操纵在网络钓鱼攻击中的作用，并分析了攻击的高明之处。
• Hunt批评Mailchimp未提供抗钓鱼的二次验证，同时计划推动Passkeys等更安全的认证方式。
• Hunt将此次数据泄露事件添加到“Have I Been Pwned”平台中，并向受影响用户发出通知。
• Hunt质疑Mailchimp是否有防自动化控制，并建议优化登录会话管理以减少用户频繁登录的习惯性。
• Hunt提议Mailchimp应为用户提供更多数据处理选择，比如删除退订用户数据。
• 钓鱼邮件可能利用了Mailchimp之前的安全事件泄露的客户列表。
• Hunt计划利用此次事件推动抗钓鱼认证的普及，并注册了相关域名以提高公众意识。

https://www.ibm.com/think/x-force/remotemonologue-weaponizing-dcom-ntlm-authentication-coercions

概要

文章介绍了一种名为RemoteMonologue的攻击方法，该方法利用分布式组件对象模型（DCOM）对象进行NTLM身份验证劫持，旨在规避传统攻击方法的检测，并实现无文件的凭据收集和权限提升。此外，文章还探讨了如何通过修改注册表和利用特定DCOM对象的属性和方法来实施攻击，并提供了防御建议。

关键点

• RemoteMonologue是一种新型攻击工具，利用DCOM对象强制进行NTLM身份验证劫持，无需高级负载或直接访问LSASS。
• DCOM是COM的网络扩展，允许跨网络调用COM对象方法，成为横向移动的重要工具。
• 通过修改COM对象的RunAs注册表键值，可以在目标系统上以交互用户的身份运行DCOM对象，实现会话劫持。
• 攻击者可以利用NTLM身份验证劫持来捕获NTLMv1/v2哈希并进行离线破解或中继攻击。
• 通过NetNTLMv1降级攻击修改LmCompatibilityLevel注册表键值，可迫使系统回退到NTLMv1身份验证。
• 研究分析了多个DCOM对象（如ServerDataCollectorSet、FileSystemImage、UpdateSession），并发现它们的特定属性和方法可用于身份验证劫持。
• RemoteMonologue工具使用Python开发，支持多种攻击模式，包括DCOM对象利用、NetNTLMv1降级攻击和WebClient服务启用等。
• 防御措施包括启用LDAP签名和通道绑定、强制SMB签名、升级至最新Windows版本以及监控DCOM活动和注册表修改等。