各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!
勒索软件 LockBit 团伙发布了从波音公司窃取的数据,波音是一家服务商用飞机和国防系统的最大航空航天公司之一,数据泄露之前,LockBit 黑客表示波音忽视了数据将公开的警告,并威胁要发布大约 4GB 最新文件的样本。
伊朗国家级行动者被观察到使用一种以前未记录的命令与控制(C2)框架,名为 MuddyC2Go,作为针对以色列的攻击的一部分。
11 月 12 日晚,阿里云疑似出现故障,淘宝、咸鱼、钉钉、阿里云盘等诸多阿里系产品出现无法访问或服务异常,相关话题齐刷刷冲上热搜。据网友反映,不同 App 崩溃的反应各不相同,有的无法登陆,有的页面突然空白,有的显示 404。
网络安全研究人员追踪到 Imperial Kitten 黑客组织针对以色列运输、物流和技术公司发起新一轮网络攻击活动。
马来西亚皇家警方宣布已将 BulletProftLink 网络钓鱼即服务(PhaaS)平台查封。据悉,该平台拥有数千名用户,并向用户提供约 300 多个网络钓鱼模板。
Intel 修复了其现代台式机、服务器、移动和嵌入式 CPU(包括最新的 Alder Lake、Raptor Lake 和 Sapphire Rapids 微体系结构)中的一个高严重性 CPU 漏洞。
为更好贯彻落实数据安全法、网络安全法等相关法律的要求,加强会计师事务所数据安全管理,规范会计师事务所数据处理活动,财政部、国家网信办联合起草了《会计师事务所数据安全管理暂行办法(征求意见稿)》(以下简称《征求意见稿》)。
安全公司 Checkmarx 报告称,自今年 1 月以来,共有八个不同的开发工具中包含隐藏的恶意负载。最近一个是上个月发布的名为"pyobfgood"的工具。与之前的七个软件包一样,pyobfgood 伪装成一款合法的混淆工具,开发人员可以使用它来防止代码的逆向工程和篡改。一旦执行,它会安装一个恶意负载,使攻击者几乎完全控制开发人员的机器。
CISA 警告美国各联邦机构,Juniper (瞻博网络)设备中出现 4 安全漏洞,各部门要警惕网络攻击者利用漏洞发动远程代码执行(RCE)攻击。
国际物流公司 DP World Australia 遭遇网络攻击,严重破坏了澳大利亚多个大型港口的正常货运。
Pass The Hash 即哈希传递攻击,简称 PTH,该攻击方法通过找到与账户相关的密码散列值 NTLM Hash 来进行攻击的。由于在 Windows 系统 NTLM 认证的 TYPE 3 消息计算 Response 的时候,客户端是使用用户的 NTLM Hash 进行计算的,而不是用户密码进行计算的。因此在模拟用户登录或对访问资源的用户进行身份认证的时候,是不需要用户明文密码的,只需要用户 Hash。攻击者可以利用 NTLM HASH 直接远程登录目标主机或反弹 Shell。【阅读原文】
认识到网络安全日益增长的重要性,以及对日益复杂且数量增加的黑客攻击的防范,交易撮合者在未来一年仍会积极谨慎地进行并购,本文介绍了 2023 年被认为有较大影响的并购交易案例。【阅读原文】
本次多层网络域渗透项目旨在模拟红队攻击人员在授权情况下对目标进行渗透,从外网打点到内网横向穿透,最终获得整个内网权限的过程,包含 Laravel Debug mode RCE(CVE-2021-3129)漏洞利用,Docker 逃逸,Redis 未授权访问漏洞,SSH 密钥利用,非约束委派和约束委派,NTLM 中继攻击,SMB Relay 攻击,哈希传递,黄金票据和白银票据,CVE-2020-1472 提权等等。【阅读原文】
Electron_shell 是一款功能强大且隐蔽性极强的远程访问红队工具,该工具基于 JavaScript 语言开发,专为红队研究人员设计,可以利用 Electron 的功能来实现命令注入,并实现了其他的远程控制方法。【阅读原文】
VTScanner 是一款基于 Python 3 开发的通用安全检测工具,可以帮助广大研究人员对选定的目录执行全面的文件扫描,以实现对恶意软件的检测和分析。该工具能够与 VirusTotal API 无缝集成,可以更好地帮助我们了解目标文件/目录的安全性。【阅读原文】
z9 是一款功能强大的 PowerShell 恶意软件检测与分析工,该工具可以帮助广大研究人员从 PowerShell 日志的事件记录中检测基于 PowerShell 实现的恶意软件组件。【阅读原文】