安全团队发现一起看似普通的用户登录事件,实际上隐藏着一起针对24个用户的攻击。攻击者使用微软Azure CLI,在墨西哥数据中心尝试登录多个账户,每次尝试不超过两次以避免触发暴力破解检测,并使用IP地址范围2001:0470:c8e0::/48规避基于IOC的检测。通过分析整个租户的登录活动,而非单个用户,安全团队成功识别出这起攻击。这强调了从租户层面分析日志的重要性,可以发现隐藏在普通用户行为背后的恶意活动。
本文探讨了 macOS 在 Apple Silicon (ARM64) 架构下,NULL 指针解引用漏洞为何不再可被利用来进行权限提升攻击。历史上,攻击者曾通过各种技巧,例如在 32 位系统上映射 NULL 页,来利用此类漏洞执行恶意代码。然而,macOS 经过多年的安全增强,特别是引入 SMEP、PAN、PXN 和 PAC 等硬件和软件保护机制,以及移除 32 位支持和强化内核内存管理后,使得这类攻击变得极其困难,甚至不可能。如今,在现代 macOS 系统上,NULL 指针解引用漏洞几乎只能造成拒绝服务 (DoS) 攻击,无法再被用于权限提升。文章详细分析了这些安全增强措施,并总结了报告此类漏洞前的必要检查清单。
Canvas指纹技术常用于反欺诈,但欺诈者也开发出伪造技术绕过检测。本文深入探讨了欺诈者如何利用Zenrows等平台的技巧,以及Canvas Blocker等浏览器扩展程序来修改Canvas指纹,并分析了两种检测方法:通过像素值验证和函数一致性检查来识别伪造行为。这两种方法分别通过验证预设像素颜色和检查原生函数原型或错误堆栈来判断Canvas指纹是否被篡改。
ESET研究人员发现了一个名为“SparkCat”的跨平台恶意软件,它潜伏在Google Play和App Store中,已感染超过24万次下载。该恶意软件通过嵌入恶意SDK,利用OCR技术识别用户相册中的加密钱包恢复短语图片,并将其发送到C2服务器。攻击者使用Rust编写了定制的C2通信协议,增加了分析难度。该恶意软件的目标是窃取用户的加密货币,并通过多种方式规避安全措施。
Kaspersky发现的恶意软件家族POISONPLUG.SHADOW(Shadowpad)使用了自定义的混淆编译器ScatterBrain,极大地增加了分析难度。Google威胁情报小组(GTIG)与FLARE团队合作,通过逆向工程技术,对ScatterBrain进行了深入分析,并开发出一个独立的静态反混淆器库。该库能够处理ScatterBrain的三种保护模式(Selective,Complete,Complete "headerless"),去除其控制流图混淆、指令变异和导入表保护等机制,从而还原被混淆的二进制文件。这项研究成果有助于提升对高级恶意软件的防御能力。
安全工程师Soatok发表博文,对Session聊天应用的密码学设计提出质疑。文章指出Session使用128位种子生成Ed25519密钥,存在被批量碰撞攻击的风险,并提供了相应的PoC代码。此外,文章还批评了Session在签名验证过程中存在设计缺陷,以及移除前向保密机制的决定。Soatok认为Session的密码学设计存在严重的安全隐患,不建议用户使用。
安全研究员发现了一个影响Windows BitLocker的严重漏洞,攻击者无需物理拆卸设备,只需通过网络连接和键盘,即可在默认的“设备加密”设置下提取磁盘加密密钥。该漏洞利用了Windows启动管理器中的一个缺陷,允许攻击者降级启动管理器到易受攻击的版本,从而绕过安全启动机制。虽然微软已在2022年底修复了该漏洞,但由于安全启动标准中的设计缺陷,该漏洞至今仍可被利用。文章详细解释了漏洞的利用过程,并提出了几种缓解措施,包括启用预启动PIN码或应用KB5025885补丁。
本文揭示了一种名为定时攻击的巧妙攻击方法。攻击者通过反复调用一个看似安全的函数 `checkSecret`,并精确测量其执行时间,来推断出秘密值。即使 `checkSecret` 函数本身没有明显的安全漏洞,但由于其内部实现中存在“提前退出”机制,导致部分匹配的猜测耗时更长,从而泄露信息。文章详细介绍了利用这种时间差异,结合汤普森采样算法和Trie树数据结构,高效地猜测密码的过程,并讨论了如何在网络环境下应对更复杂的噪声。最终,文章强调了避免直接比较敏感数据的重要性,建议使用哈希或其它安全算法,并设置合理的速率限制。
Nyxelf是一款强大的恶意Linux ELF二进制文件分析工具,它结合静态分析(readelf、objdump和pyelftools)和基于QEMU的动态沙箱分析,提供UPX解包、系统调用跟踪和进程/文件活动监控等功能,并通过pywebview提供直观的GUI界面。其JSON输出功能方便自动化工作流程,是安全研究人员和逆向工程师的利器。
本文揭露了一个利用TPM2自动解锁磁盘加密的漏洞。攻击者只需短暂的物理接触,便可在未修改TPM状态的情况下解密磁盘。该漏洞源于大多数系统在解密分区时未能验证LUKS身份。攻击者可利用未加密的引导分区中的initrd镜像信息,创建具有已知密钥的伪造LUKS分区,诱导系统执行恶意init程序,从而获得原始磁盘密钥。解决方法包括使用TPM PIN或在initrd中正确验证LUKS身份。
一份针对LastPass Android应用4.11.18.6150版本的隐私报告揭示了其内置7个追踪器和36个权限。这些追踪器包括AppsFlyer、Google Analytics等,用于收集用户数据。权限涵盖位置信息、网络访问、读取存储等敏感内容。报告指出,部分权限级别较高,可能存在隐私风险。用户需谨慎评估其隐私影响。
一项新的研究发现GitHub上存在450万个疑似虚假的点赞(star),这些虚假点赞主要用于推广短期存在的恶意软件仓库,例如伪装成盗版软件、游戏作弊器或加密货币机器人。研究人员开发了一个名为StarScout的工具,能够检测异常的点赞行为。研究表明,虚假点赞活动自2024年以来急剧增加,虽然虚假点赞者在用户画像上与普通用户无异,但其活动模式异常。虽然短期内虚假点赞能起到推广作用,但长期来看反而会成为负担。这项研究对平台管理员、开源从业者和供应链安全研究人员具有重要意义。
本文介绍了一种通过内存转储绕过Windows 11 BitLocker加密的方法。攻击者通过物理访问设备,在系统重启时获取内存中的完整卷加密密钥(FVEK)。作者使用名为Memory-Dump-UEFI的工具,在UEFI环境下完成内存转储,并从转储文件中提取FVEK密钥。文章详细介绍了步骤,包括创建可启动U盘、强制重启系统、从U盘启动工具、分析内存转储文件,以及使用pool tags定位FVEK密钥等。最后,文章强调了使用合适的工具(如dislocker)来解锁BitLocker保护的分区。