嘶吼

声明：以下内容均来自RC²反窃密实验室联合承办的正式赛事活动，活动均已向监管单位报备，一切均在合法、合规、可控下开展，仅供交流与参考。

01 电磁信息安全联合实验室

RC²与深圳信通院成立的「电磁信息安全联合实验室」，隶属于深圳信通院电磁空间安全研究中心，是目前国内最大的集电磁安全技术研究、模拟场景测试、设备专业检测、TSCM专业培训于一体的TSCM领域安全技术研究实验室。

实验室占地700平米，内设4个符合国际TSCM标准的专业模拟测试间、1个专业信号屏蔽室、2个设备操作间和2个专业教室等。

感谢中国信息通信研究院南方分院（深圳信通院）对RC²的认可与信任，本次BUGPWN赛事，得以再次在「电磁空间安全研究中心」成功举办~

★专业词解读：TSCM

Technical Surveillance CounterMeasures，即技术反窃密，是一套基于技术防护理念的商业秘密保护体系，包括通过专业检测技术侦测窃密器材和潜在风险，配合行业技术威胁情报，识别可能存在技术渗透的安全弱点等。

其中，BUGSWEEP反窃密检测服务，将对机构的技术安全状况进行专业评估，通常包括对目标机构及其周边开展彻底的信号频谱、电器线路和物理检查。（以上解释来自RC²反窃密实验室）

02 第2届BUGPWN比赛介绍

下面回顾第2届BUGPWN赛事的相关信息：

首先，BUGPWN的命名来源：

杨叔当初设定这个名字主要是受到了GEEKPWN大赛的启发，所以，也特别感谢GEEKPWN 国际极客安全大赛（现更名为GEEKCON）创始人王琦（大牛蛙）、XCON安全峰会创始人王英健（呆神）、百度CSO陈洋及各位行业专家的大力支持与鼓励。

BUGPWN 赛事的主旨，主要有：

目前，BUGPWN TSCM 黑盒挑战赛的「技术专家评委池」里，已包含英国、意大利、俄罗斯、日本及中国内地与香港等国家与地区的资深从业者。本届赛事的4位专家评委来自日本及中国内地与香港地区，明年预计将有更多海外专家评委加入BUGPWN。

本届赛事组织方：

本届赛事承办方：

比赛地点：

第2届赛事分三个不同难度场景，来考核各参赛队的现场处理能力。

每个场景都将在三个层面进行考核：

• 排查成功率

• 排查专业度

• 环境损坏度

简单解释下：

★ 排查成功率，即在限定时间内对指定场景开展检测，找寻出不同难度系数器材（技术组评判）。

★ 排查专业度，即在比赛期间，考核参赛团队间配合、装备的熟悉度等（专家评委评判）。

★ 环境损坏度，本赛事充分考虑到实际场景，强调对商业环境的保护，没有复原环境或造成直接损坏的都将严重失分。

不过在充分考虑了第1届参赛队伍的参赛建议后，在第2届BUGPWN重新修订了技术分与评委分的占比，以及出题的侧重.....却没想到今年的比赛过程更是跌宕起伏，让人感慨不已~

以下是第2届BUGPWN TSCM 黑盒挑战赛的部分精彩片段。

BUGPWN TSCM 黑盒挑战赛 定位为遵循国际TSCM行业标准，采取定向邀请制的专业TSCM交流赛事，今年还在现场赛事结束后增加了闭门分享环节，主题是「全球窃听器材的技术发展现状」，很遗憾不能公布太多细节。

今年第二届赛事的合作方已增加至30多家，特别感谢青藤云安全、百度安全、安卫普科技、赛安威视、ALUBA、香港侦探总会、安在、ASIS CHINA、HackingGroup、狮子会、骇极、上海中联律所等合作方对本届BUGPWN赛事的赞助与大力支持，感谢大家共同参与推进国内TSCM商业秘密保护行业的发展~

03 我们2025再见

回顾第2届BUGPWN赛事，无论是组委会的国内外专家，还是本次多个受邀参赛队伍，以及为赛事保障的技术组和后勤组的小伙伴们，还有诸多合作方，数周来，大家都在为之努力和付出，在此由衷地向大家表示诚挚的感谢

从比赛难度而言，BUGPWN组委会综合考虑了近些年全球商业窃密真实案例中出现的非法器材，及目前网络/黑市上正在销售的主要器材类型，并预估参赛队伍的水平，依托实验室的模拟训练环境专门设计了不同难度系数的场景。

从参赛团队技术水平来说，大部分参赛团队均来自大型跨国企业内部一线检测队伍，也都参加过RC²不同深度的课程，这可能会在经验和技能上造成一定偏差。

第1与第2届「BUGPWN TSCM 黑盒挑战赛」主要面向国内TSCM专业团队的定向邀请，预计2025年，将邀请更多专业团队甚至海外专家、小组参加，我们衷心地期望BUGPWN能够通过国际赛事交流等方式，促进国内TSCM行业的进步和良性发展！

无论是参加赛事，还是日常从事BUGSWEEP工作，下面这句话来自国外某TSCM行业著作，杨叔也送给参赛的各位同学，共勉：

“Remember, the walls have ears.”

“永远保持警惕，隔墙有耳。”

2025，我们明年再见......

Google于11月20日发布了Android 16的首个开发者预览版，梆梆安全基于移动应用预兼容加固框架技术，率先实现了“零修改”完美兼容适配Android 16首个开发者预览版。

Google从Android 16起，改变了以往每年只发布一个大版本的节奏，以更快的迭代节奏实现新版本推送。

根据谷歌官方发布的时间表，预计Android 16将会在2025年Q2发布正式版本。

·2024年Q4发布Android 16开发者预览版；

·2025年Q1发布Android 16公开测试版；

·2025年Q2发布Android 16稳定版和正式版。

梆梆安全移动应用预兼容加固框架

梆梆安全作为移动应用加固技术领跑者，始终坚持以客户为中心，以技术为导向，基于多年移动应用安全技术的积累，建立了高效的Android系统预兼容、自适应的安全加固框架技术，可以第一时间完成对Android系统新版本的兼容适配支持，做好客户安全服务的基础保障工作。

目前，梆梆安全与Google、OPPO、VIVO、小米、荣耀、三星等手机厂商建立了全面的技术合作伙伴关系，共同开展Android系统、手机硬件、加固技术的多方协同验证，确保应用加固技术的兼容性、稳定性和安全性。

梆梆安全出品的《2024年Q3移动应用安全风险报告》来了！以梆梆安全移动应用监管平台2024年Q3监测、分析的移动应用安全态势为基础，为大家重点和深度分析国内移动应用攻击技术及安全趋势发展，为移动应用安全建设工作提供有效建议和参考。

01 全国移动应用概况

梆梆安全移动应用监管平台对国内外1000+活跃应用市场实时监测的数据显示，2024年7月1日至2024年9月30日新发布的应用中，归属全国的Android应用总量为203,224款，涉及开发者总量62,156家。

从Q3新发布的APP分布区域来看，广东省APP数量位居第一，约占全国APP总量的20.02%，位居第二、第三的区域分别是北京市和上海市，对应归属的APP数量是34,301、19,843个。具体分布如图1所示：

图1 全国APP区域分布TOP10

从APP的功能和用途类型来看，实用工具类APP数量稳居首位，占全国APP总量的 19.92% ；教育学习类APP位居第二，占全国APP总量的13.78%；商务办公类APP排名第三，占全国 APP总量的9.44%。各类型APP占比情况如图2所示：

图2 全国APP类型分布TOP10

02 全国移动应用安全分析概况

梆梆安全移动应用监管平台通过调用不同类型的自动化检测引擎，对全国Android应用进行抽样检测，风险应用从盗版（仿冒）、境外数据传输、高危漏洞、个人隐私违规4个维度综合统计，风险应用数量如图3所示：

图3 风险应用数量统计

01 漏洞风险分析

从全国Android APP中随机抽取98,945款进行漏洞检测，发现存在漏洞威胁的APP为75,513个，即76.32%以上的APP存在中高危漏洞风险。在75,513款APP漏洞中，高危漏洞占比74.26%，中危漏洞占比96.74%（同一APP可能存在多个等级漏洞）。

对不同类型的漏洞进行统计，大部分漏洞可以通过应用加固方案解决。应用漏洞数量排名前三的类型分别为JAVA代码反编译风险、HTTPS未校验主机名漏洞，及动态注册Receiver风险。

从APP类型来看，实用工具类APP存在的漏洞风险最多，占漏洞APP总量的20.08%；其次为教育学习类APP，占比11.42%；商务办公类APP位居第三，占比9.17%。漏洞数量排名前10的APP类型如图4所示：

图4 存在漏洞的APP类型TOP10

02 盗版（仿冒）风险分析

盗版APP指未经版权所有人同意或授权的情况下，利用非法手段在原APP中加入恶意代码，进行二次发布，造成用户信息泄露、手机感染病毒，或其他安全危害的APP。从全国的Android APP中随机抽取770款进行盗版（仿冒）引擎分析，检测出盗版（仿冒）APP 762个，其中实用工具、新闻阅读、教育学习类APP是山寨APP的重灾区，各类型占比情况如图5所示：

图5 盗版（仿冒）APP类型TOP10

03 境外传输数据分析

2024年3月22日，中央网络安全和信息化委员会办公室正式发布《促进和规范数据跨境流动规定》，同时发布《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》以指导企业落实数据出境合规义务，充分体现我国通过加强数据跨境监管，维护国家安全的监管思路。、

从全国的Android APP中随机抽取17,462款Android APP进行境外数据传输引擎分析，发现其中1,549款应用存在往境外的IP传输数据的情况，从统计数据来看，发往澳大利亚的最多，占比53.58%；其次是发往美国，占比35.18%。无论是针对移动应用程序自身程序代码的数据外发行为，还是针对第三方SDK的境外数据外发行为，都建议监管部门加强对数据出境行为的监管。数据传输至境外国家占比排行情况如图6所示：

图6 数据传输至境外国家占比TOP10

从APP类型来看，实用工具类APP往境外IP传输数据的情况最多，占境外传输APP总量的18.66%；其次为其他类APP，占比12.33%；生活服务类APP占境外传输数据APP总量的8.65%，位列第三。各类型占比情况如图7所示：

图7 境外传输数据APP各类型占比TOP10

04 个人隐私违规分析

作为联网才能正常工作的移动应用，采集网络权限、系统权限以及 WiFi 权限是比较正常的，但移动应用是否应该采集用户短信、电话以及位置等“危险权限”，需要根据应用本身的合法业务需求进行分析 。

基于国家《信息安全技术个人信息安全规范》《APP违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等相关要求，从全国Android APP中随机抽取17,462款进行合规引擎分析，检测出66.12%的APP涉及隐私违规现象，如违规收集个人信息、超范围收集个人信息、强制用户使用定向推送功能等。各违规类型占比情况如图8所示：

图8 个人隐私违规类型占比情况

从APP类型来看，实用工具类APP存在个人隐私违规问题最多，占检测总量的18.14%；其他类APP存在的隐私违规问题占检测总量的12.01%，位居第二；教育学习类APP存在的隐私违规问题占检测总量的11.29%，位居第三。涉及个人隐私违规APP各类型占比如图9所示：

图9 个人隐私违规APP类型TOP10

05 第三方SDK风险分析

第三方SDK是由广告平台、数据提供商、社交网络和地图服务提供商等第三方服务公司开发的工具包，APP开发者、运营者出于开发成本、运行效率考量，普遍在APP开发设计过程中使用第三方软件开发包（SDK）简化开发流程。从全国的Android APP中随机抽取88,926款进行第三方SDK引擎分析，检测出95.24%的应用内置了第三方SDK。如果SDK有安全漏洞，可能导致包含该SDK的应用程序受到攻击。

从APP类型来看，实用工具类APP内置第三方SDK的数量最多，占比20.23%；其次为教育学习类APP，占比11.9%；商务办公类APP位列第三，占比9.04%。内置第三方SDK应用各类型APP占比如图10所示：

图10 内置第三方SDK应用各类型APP占比TOP10

06 应用加固现状分析

随着移动APP渗透到人们生活的方方面面，黑灰产业也随之壮大，应用若没有防护，则无异于“裸奔”，对APP进行安全加固可有效防止其被逆向分析、反编译、二次打包、恶意篡改等。从全国的Android APP中随机抽取148,607款进行加固引擎检测，检测出已加固的应用仅占应用总量的38.11%。

从应用类型来看，APP加固率排名前三的分别是政务、金融、新闻类APP。不同APP类型加固占比如图11所示：

图11 不同APP类型加固占比

随着移动互联网的快速发展，以手机等移动智能设备为载体的移动互联网应用程序深入到社会生产生活的方方面面，移动端承载了越来越多企业及用户的生产业务和敏感数据，是整体安全体系建设的重要一环。

而在外网防御越来越完善的今天，攻击者更喜欢在“移动端”上找到突破口，恶意软件猖獗、个人信息违规收集、数据恶意滥用等风险问题层出不穷，网络攻击愈演愈烈，漏洞威胁持续升级，对个人及企业的数据和财产安全构成严重威胁。

在信息技术应用创新发展的大趋势下，梆梆安全始终以客户为中心，以持续的研发投入和产品创新，从技术、服务两个层面建立全面的移动应用安全和物联网安全防护生态体系，构建了应用设计开发、应用测试、应用发布、应用运维在内的 APP 全生命周期安全解决方案，形成从保护、加固、检测到监管、测评、响应的全栈产品和服务能力，深入治理 APP、小程序、快应用等应用程序乱象，已经成为各行业厂商值得信赖的合作伙伴。

数字时代，移动互联网持续渗透，推动数字化、信息化深入社会生活发展的方方面面，移动端渠道的业务重要性与安全性的要求越来越高。在移动应用数量和业务丰富度爆发式增长的当下，梆梆安全勇担“保护您的软件”的企业使命，致力于应用技术百家争鸣，应用体验百花齐放，让互联网用户拥有更美好、更安全、更合规的数智生活。

近期，由中国互联网协会中小企业发展工作委员会主办的“2024大模型数字生态发展大会暨铸基计划年中会议”在北京成功召开。大会邀请了通信、金融、证券、汽车、制造、能源、交通等行业超800家企业共计1000余名企业代表，共同探讨行业数字化转型场景开放及行业共性需求，聚焦数字化转型高质量发展。

会上正式发布了《高质量数字化转型产品及服务全景图（2024上半年度）》（以下简称“全景图”）和《高质量数字化转型技术解决方案集（2024上半年度）》（以下简称“解决方案集”）。Coremail XT安全增强电子邮件系统V6.0、CACTER邮件安全网关系统和CACTER邮件数据防泄露系统均入选了全景图和解决方案集。

在2024年，铸基计划深入数字化转型需求侧企业内部进行调研发现，传统企业已经着手制定数字化转型的战略及计划，但仍存在着对数字化转型认知不全面、策略不明确、执行不到位、效果不明显等诸多问题。市场上数字化转型产品细分领域众多，产品种类繁杂，需求方难以全面广泛了解其产品及服务能力。

为更好的解决上述问题，中国信通院启动了《高质量数字化转型产品及服务全景图》编制工作，收集并筛选了800家企业的申报，最终选出400余家企业的产品，覆盖26个领域，汇总成为2024年上半年度“全景图”。

同时，中国信通院“铸基计划” 还发起了高质量数字化转型技术解决方案征集活动，评选出若干数字化转型领域典型技术创新案例，旨在树立行业标杆、扩大产业影响，促进数字化转型技术创新、应用和服务的示范推广，全面推动国内数字化转型的创新发展。

Coremail XT安全增强电子邮件系统V6.0、CACTER邮件安全网关和CACTER邮件数据防泄露系统EDLP均入选了此次全景图和解决方案集，再次印证了我司在邮件产品和邮件安全产品领域的行业权威认可。

展望未来，Coremail将持续坚持自主创新，深化邮件技术研究，提供更可靠、好用的邮件产品，助力企业数字化升级转型。CACTER也将继续深耕邮件安全领域，优化产品品质、提高服务水平，致力于提供一站式邮件安全解决方案，推动邮件安全行业的数字化发展。

CACTER云商城

CACTER云商城是CACATER官方线上商城（链接：mall.cacter.com），作为一个面向全球用户的全新在线平台，CACTER云商城涵盖应用软硬件、服务以及Webrisk API等多种的高性能邮件安全产品。在这里，您可以轻松掌握最新邮件安全商品动态、了解商城的优惠活动等，享受一站式的购物便利。

CACTER云商城优势

1、便捷体验：在线轻松选购，快速响应需求。自助查询价格、下单交易、申请试用、在线议价，一切尽在掌握。

2、价格优惠：即日起至2024年12月31日，通过CACTER云商城成功续费云网关、安全海外中继且当季度付款70%以上，即可享受1年95折，2年9折优惠。

3、专业护航：专业服务团队在线解答，为您提供及时的在线支持和解决方案。

CACTER云商城——邮件安全产品

CACTER邮件安全网关（本地网关/云网关）

CACTER邮件安全网关基于自主研发的神经网络平台NERVE2.0深度学习能力，全面检测并拦截各类恶意邮件，包括垃圾邮件、钓鱼邮件、病毒邮件及BEC诈骗邮件；反垃圾准确率高达99.8%，误判率低于0.02%。CACTER邮件安全网关支持软件/硬件/云部署，支持X86/信创环境。

CACTER Email Webrisk API

CACTER Email Webrisk API集成了Coremail邮件安全大数据中心的能力，具备恶意URL检测功能，通过多种方式采集钓鱼样本，并利用大模型的文本意图理解能力和多模态算法，准确判断邮件链接是否为钓鱼链接。此外，Webrisk API还集成风险IP情报库，具备爆破攻击IP检测功能，可对邮件服务器登录失败的IP进行风险查询，并对返回高风险的IP进行封锁，阻断恶意攻击流量，降低服务器被攻击风险。

安全管理中心SMC2

安全管理中心SMC2支持监测失陷账号、网络攻击、主机威胁，拥有邮件审计、用户行为审计、用户威胁行为分析等能力，并提供账号锁定、IP加黑、邮件召回、告警等处置手段，简化管理，助力邮件系统安全运营。安全管理中心SMC2提供持独立部署，支持支持X86/信创环境。

CACTER邮件数据防泄露系统（软/硬件）

邮件数据防泄露系统EDLP基于深度内容识别技术，根据不同安全级别采用不同算法和策略，支持多种响应规则，对敏感数据通过邮件系统外发的行为，提供事后审计和提醒，以及事中审批和拦截，预防并阻止有意或无意的邮件数据泄露行为，保障企业数据安全。CACTER邮件数据防泄露系统支持单机部署、双机（模块双主）部署，可选购硬件/软件，支持X86/信创环境。

CAC2.0反钓鱼防盗号

CAC2.0反钓鱼防盗号是一款同时具备威胁邮件识别过滤、可疑邮件提示、邮箱账号异常监测与准实时告警、泄露账号威胁登录拦截，以及综合型邮件威胁情报（攻击IP、威胁URL、钓鱼邮件主题、重保紧急情报等）的云安全服务。 全面防范“邮件威胁”和“账号威胁”，拥有“事前拦截，事中告警，事后处置”的全流程能力，能够在企业邮箱管理的苛刻环境下，提供稳定可靠的服务。

威胁情报订阅

威胁情报订阅服务是一款面向企业用户提供的综合型邮件威胁情报系统。网罗典型威胁邮件案例，侦测本域异常行为用户，实时推送紧急安全情报，助力安全员掌握最新的典型邮件威胁与自身系统的潜在风险、为企业建设信息安全屏障提供全面的情报支撑。

安全海外中继

安全海外中继针对跨境交流的收发延迟、链路不稳定，海外恶意邮件威胁等问题，依托全球优质中继服务器，智能选择最优质通道进行投递和接收，融合反垃圾网关技术，保障海外交流安全通畅。

·安全海外接收：针对境外投往境内客户邮件系统的邮件，智能化分配不同邮件传输通道投递回境内，提高收信成功率与收信速度。同时对邮件进行反钓鱼、反垃圾、反病毒检测，确保投往境内的邮件安全。

·安全海外转发：为用户提供全球专线投递通道 ，可享受到国内外高带宽网速，又保证投递使用的IP信誉，从而提高邮件发送到其他邮箱的成功率，以及降低投递延迟。

MITRE 分享了今年最常见和最危险的 25 个软件弱点列表，其中包含 2023 年 6 月至 2024 年 6 月期间披露的 31,000 多个漏洞。

软件弱点是指在软件代码、架构、实现、或设计时，攻击者可以利用它们来破坏运行易受攻击软件的系统，从而获得对受影响设备的控制权并访问敏感数据或触发拒绝服务攻击。

MITRE 表示：“这些漏洞通常很容易发现和利用，但可能会导致可利用的漏洞，使对手能够完全接管系统、窃取数据或阻止应用程序运行。” 

揭示这些漏洞的根本原因可以为投资、政策和实践提供强有力的指导，以从一开始就防止这些漏洞的发生，从而使行业和政府利益相关者受益。

为了创建今年的排名，MITRE 在分析了 31,770 个 CVE 记录中的漏洞后，根据其严重性和频率对每个漏洞进行了评分，这些漏洞“将受益于重新映射分析”并在 2023 年和 2024 年报告，重点关注添加到 CISA 已知漏洞的安全漏洞被利用的 KEV 目录。

这份年度清单确定了攻击者经常利用的最关键的软件漏洞来危害系统、窃取敏感数据或破坏基本服务， CISA 强烈鼓励企业审查此列表并使用它来告知其软件安全策略。优先考虑开发和采购流程中的这些弱点有助于防止软件生命周期核心的漏洞。

CISA 还定期发布“设计安全”提醒，重点显示广为人知且已记录的漏洞，尽管有可用且有效的缓解措施，但这些漏洞尚未从软件中消除，其中一些是为了应对持续的恶意活动而发布的。

5 月和 3 月，网络安全机构又发布了两个“设计安全”提醒，敦促技术高管和软件开发人员防止其产品和代码中的路径遍历和 SQL 注入 (SQLi) 漏洞。

上周，FBI、NSA 和网络安全机构发布了去年 15 个经常被利用的安全漏洞清单，表示攻击者主要针对零日漏洞（已披露但尚未修补的安全漏洞） ）。

到 2023 年，大多数最常被利用的漏洞最初都被作为零日漏洞利用，这比 2022 年有所增加，当时只有不到一半的最常被利用的漏洞被作为零日漏洞利用。

数据要素政策密集落地，我国公共数据资源开发利用将提速。近日，中共中央办公厅、国务院办公厅印发的《关于加快公共数据资源开发利用的意见》（以下简称《意见》）10月9日正式对外发布，其中提出到2025年，公共数据资源开发利用制度规则初步建立，培育一批数据要素型企业。

与此同时，《国家数据标准体系建设指南》《公共数据资源授权运营实施规范（试行）》等多个数据要素相关文件也于近期密集发布。当数据成为与土地、劳动力、资本、技术相提并论的第五大生产要素，将形成巨大市场空间。

那么数据要素企业如何看待相关政策对行业或公司带来的影响？财联社记者近日专访盛邦安全(688651.SH)副总裁、董秘袁先登。

以下为访谈实录：

财联社：《意见》提出在市场需求大、数据资源多的行业和领域，拓展应用场景，鼓励经营主体利用公共数据资源开发产品、提供服务。在场景应用方面我们有哪些做的比较好的案例可以分享吗？

袁先登：首先，在数据资源方向，安全行业需要数据库和引擎来支撑其工作。当识别一个资产是否有漏洞时，要将其与背后的漏洞库做对比，分析是否与漏洞库特征相一致，以此来判断该资产是否有漏洞。比如在做安全防护时，可以通过与防护规则库作对比来判断是否是攻击行为。

在这方面，我们有漏洞库、防护规则库、网络资产特征库、网络资产数据库。举例来说，网络资产特征库可以通过分析设备的突出特征及与网络资产特征库的对比来识别设备。这四个库就是我们的数据资源，目前盛邦的一部分收入来源于数据类产品与服务，我们每年都会收取产品订阅升级费用，用户缴费后，就可享受最新升级的数据库，这是目前数据变现的一个案例。

其次，盛邦安全帮助客户建立数据资产体系从而让它产生价值。比如我们有IP威胁管控设备，IP行为记录就是数据要素，我们的设备可以帮助客户连接到数据要素，让他们实时得到所有IP过往行为的记录，以此来及时识别有潜在威胁的IP。

在使用数据要素时，从收集到整理，会发现一个IP可能有多个来源，迭加判断IP性质时，可能会产生冲突。针对该情况我们有多元异构数据融合平台，可以把不同渠道的各种数据加以整合，当有矛盾发生时，盛邦安全可以通过算法得到正确的数据判断供用户参考。

除此之外，我们有网络空间地图，它融合了网络资产特征库、网络资产数据库的数据，客户通过使用网络空间地图获得库中的数据，对自身资产进行分析。

财联社：盛邦安全在数据要素市场中的角色定位是怎样的？

袁先登：我也注意到近日国家发改委、国家数据局等部门印发的《国家数据标准体系建设指南》，《指南》将整个数据标准体系分为七个模块。盛邦安全在数据要素市场的探索目前有两个方面。首先，我们是网络资产数据资源的提供者，网络资产就是互联网的各种设备、网站等。我们的产品可以探测到这些资产的数据，并进行加工处理，产生数据要素，最后提供给社会。

第二，盛邦安全可以为其中的数据资源、数据技术、融合应用和安全保障方面提供产品和解决方案。比如数据技术方面涉及到的汇聚技术，我们的网络空间资产探测产品可以对数据进行收集，数据处理技术可以通过多元异构数据融合平台对数据进行处理。

总的来看，在数据资源方面，我们致力于为社会提供网络资产、数据资源，同时在数据技术、数据应用和数据安全方面为各行业客户提供产品和解决方案。

财联社：如何看待《意见》发布对公司带来的机会？

袁先登：首先将对我们带来机遇，在整个数据设施中，一种是基础设施，比如网线、服务器，这些基础设施在交换的过程中就会用到我们的产品。此外，数据量越来越大，随之而来对数据安全的要求也越来越高，对安全产品、安全服务的需求也会增大。

但毕竟数据是近几年的新兴概念，与普通的实体产品相比，大家对数据的质量、准确率与应用了解并不多，所以还需在应用层面多做一些与应用场景结合的分析，将应用场景更直接地显现出来。

财联社：从顶层设计来看，推动数据要素市场化已经是大势所趋，目前公众对公共数据开放的授权运营模式比较关注，你认为在实践中具体应如何推进？

袁先登：首先，凡是数据一定会有数据库，那么数据库平台的安全是就是最核心的问题。其次，在使用端，有本地化使用和远程接入使用两种方式。本地化使用针对大客户，他们对自身安全要求较高。其余可以选择远程接入的方式，数据存储在某个集中的地方，管控成本会减小。

采用远程接入方式，也有两个需要关注的方面——接入环节和认证环节的安全问题，这两个环节虽然研究了很多年，但之前侧重在攻防方面，现在涉及到数据方面，很多技术还有待升级。

财联社：除了以上几点问题，你认为还有哪些需要我们注意的地方？

袁先登：盛邦是新一代网络网络安全公司，目前市场上做数据要素业务的安全公司还是比较少的。传统安全公司可能比较侧重于安全防护与安全检测相关业务。与其不同，盛邦的愿景是做网络空间资产治理的领航者，从成立起的定位就在网络资产治理，致力于让网络空间更有序。

在我们的概念里，安全是一个最基本的要求，一个企业的所有网络资产除了要求安全之外，还要求合理、科学、平衡，能够易于管控和高效运行。首先就要识别资产的状态，在这个过程中我们积累了大量的网络资产特征库、网络资产数据库，也有机会参与数据要素相关业务。

在全部业务中，传统、通用的安全产品占比较小，盛邦比较侧重于做新型场景化的产品，围绕某类特定的客户、行业的特定需求做定制产品。在这个过程中可以接触到客户的业务，进而接触到数据接入、数据认证。加之网络空间地图产品的开发，使数据要素的功能和资源整合在一起，形成可以为国家应急管控、城市治理、交通运输、金融服务、科技创新等提供数据应用的大平台。

财联社：针对数据业务相关，盛邦接下来是怎样的业务布局？

袁先登：首先我们要识别与数据要素相关的客户，把客户在数据要素使用方面的产品技术集中推广，让客户知道我们的产品在数据要素方面起的作用，助力客户在数据要素方面处于领先状态。我们后续会投入更多研发资源到数据技术方向，研发更多的产品。

同时，为了护航数字经济发展，维护新兴产业安全，盛邦安全在近十几年来一直在专注做四件事。第一件事为对数字经济新产物的安全进行评估和检测；第二件事为形成联防联控的防御贡献力量；第三件事为构建用于实现对虚拟数字空间管理管控的网络空间；第四件事为持续完善例如卫星互联网等新兴产业的业务布局。

原文链接

近日，一则安全事件刷爆了朋友圈：10月12日，多名网友反映收到了来自“某省教育厅”的短信，短信内容中带有黄色网站非法链接。经查，这些短信并非某省教育厅发送，而是不法分子入侵了短信平台后，以教育厅的名义发送的。该事件引发了广泛的社会关注和担忧。

✦ 事件分析

短信平台群发短信通常需要和短信服务平台公司合作通过API接口实现。短信平台API接口是一种用于实现短信发送和接收功能的编程接口，它允许合作的短信服务平台公司将自己的应用程序与短信平台的功能进行集成，可以方便地调用短信平台提供的各种功能，如短信发送、状态查询等。

在某省教育厅短信平台被入侵事件中，暴露了短信平台在安全防护机制、身份认证和监控预警等存在缺陷。不法分子可能通过API接口发送了包含非法链接的短信，包含但不限于通过弱口令、身份认证信息的窃取或伪造、系统漏洞的利用、失效的API接口验证以及不当的权限管理等来实现诈骗和信息传播，试图诱骗用户点击并泄露个人信息。可见，加强API接口的安全防护刻不容缓。

✦ 防护建议

针对此类事件，盛邦安全推出面向短信业务平台的API安全治理方案，结合API安全当前面临的典型问题，覆盖API学习、API画像、攻击防护、权限保护、API审计和应急响应等各个阶段，以业务风险识别与防护控制为核心目标，通过对业务流量的识别分析来梳理API接口，在此基础上通过数据建模、行为建模和算法分析等技术，实现API接口识别与梳理、数据调用识别与保护、接口访问安全控制及审计等安全能力，从而实现面向API接口全生命周期的安全监测与治理。

✦ 五大核心能力

主被动结合的API学习引擎

方案采用主动学习与被动流量分析相结合的API学习引擎，可以全面梳理业务中存在的API资产，并结合流量特征进行语义提取，识别API状态、用途等属性，从而实现标签化的画像管理。

启发式攻击检测与防护引擎

采用特征检测、语义分析与AI学习三合一的启发式检测引擎，通过对已知的攻击规则与行为特征简化判断逻辑，并对引擎持续训练，提升针对未知风险的发现能力，从而对API相关的注入攻击、命令攻击、异常访问和非法内容进行防护处置。

基于人机识别的API访问控制

基于流量变化和行为特点等角度进行建模分析，梳理API访问的基线并进行动态跟踪，对未授权访问、未知请求、非法调用和异常高频请求等行为进行识别判断，并利用反向校验、访问限制和白名单等方式进行访问控制。

面向业务的API数据调用管控

采用全面的检查点和丰富的数据处理模型，结合业务特点，对组织敏感数据、个人隐私信息、业务关键信息和系统账户口令等进行精准识别、统计和分类梳理，并结合擦除、替换和访问限制等手段来达到脱敏保护等目的。

面向API生命周期的态势监控

基于时间、空间、业务属性和数据类型等多种维度对API资产进行监控，对API上线状态、运行状况、调用可靠性、数据合法性以及威胁态势进行综合研判，实现API资产的细粒度审计和可视化分析。

✦ 方案价值

防止未经授权的访问

通过加强API安全防护，可以确保只有授权用户才能访问API，防止未经授权的访问和数据泄露。

监控和审计API行为

建立回溯审计和监控措施，对业务、短信服务、短信网关三个环节发送的短信回执进行校验，对数量、频率、内容的异常情况进行阈值预警和阻断，防止被攻击者非法调用。

保护敏感数据

对发送内容进行审查过滤，对敏感数据的流转进行监控和过滤，避免非法信息传播，防止敏感数据的泄露。

随着教育数字化转型的加速，网络和数据安全威胁日益严峻。此次事件再次凸显了API安全防护的重要性。各单位应高度重视API安全问题，采取有效措施加强防护与管理，确保短信平台的安全性和可靠性。同时，个人也应提升安全意识，有效识别并过滤恶意信息，保护自身合法权益。让我们共同维护网络空间的安全和有序，助力教育数字化转型健康发展。

原文链接

总部位于俄罗斯的 RomCom 网络犯罪组织在最近针对欧洲和北美 Firefox 和 Tor 浏览器用户的攻击中发现了两个零日漏洞。

第一个漏洞 (CVE-2024-9680) 是 Firefox 动画时间线功能中的释放后使用错误，该功能允许在 Web 浏览器的沙箱中执行代码。 Mozilla 于 2024 年 10 月 9 日（ESET 报告该漏洞一天后）修补了该漏洞。

利用的第二个零日漏洞是 Windows 任务计划程序服务中的权限升级漏洞 (CVE-2024-49039)，该漏洞允许攻击者在 Firefox 沙箱之外执行代码。 Microsoft 在本月初（即 11 月 12 日）修复了此安全漏洞。

RomCom 将这两个漏洞作为零日链漏洞利用，帮助他们无需用户交互即可获得远程代码执行。他们的目标只需访问一个由攻击者控制的恶意制作的网站，该网站会在其系统上下载并执行 RomCom 后门。

根据攻击中使用的 JavaScript 漏洞之一的名称 (main-tor.js)，威胁者还针对 Tor 浏览器用户（根据 ESET 的分析，版本 12 和 13）。

RomCom 攻击流程

ESET 研究员表示：“妥协链由一个虚假网站组成，该网站将潜在受害者重定向到托管漏洞的服务器，如果漏洞成功，就会执行 shellcode，下载并执行 RomCom 后门。”

虽然不知道假网站的链接是如何分发的，但是，如果使用易受攻击的浏览器访问该页面，则有效负载会被丢弃并在受害者的计算机上执行，无需用户交互。

一旦部署在受害者的设备上，该恶意软件使攻击者能够运行命令并部署额外的有效负载。将两个零日漏洞链接在一起，就会为 RomCom 提供了无需用户交互的漏洞。这种复杂程度也表明了威胁者获取或开发隐秘能力的决心和手段。

此外，这些攻击中成功利用攻击的次数最终导致 RomCom 后门部署在受害者的设备上，这使得人们有理由相信这是一次广泛的活动。根据 ESET 遥测数据，潜在目标的数量从每个国家一名受害者到多达 250 名受害者不等。

这并不是 RomCom 第一次利用零日漏洞进行攻击。 2023 年 7 月，其运营商利用多个 Windows 和 Office 产品中的零日漏洞 (CVE-2023-36884) 攻击参加立陶宛维尔纽斯北约峰会的组织。

RomCom（也被追踪为 Storm-0978、Tropical Scorpius 或 UNC2596）与出于经济动机的活动、精心策划的勒索软件和勒索攻击以及凭证盗窃（可能旨在支持情报行动）有关。该威胁组织还与 Industrial Spy 勒索软件行动有关，该组织后来转向地下勒索软件。

据 ESET 称，RomCom 现在还针对乌克兰、欧洲和北美的组织进行跨行业的间谍攻击，包括政府、国防、能源、制药和保险。

网安秘字〔2024〕152号

各有关单位：

落实《全球数据跨境流动合作倡议》，为促进粤港澳大湾区个人信息跨境安全有序流动，网安标委秘书处联合香港私隐公署编制了《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》。

本《实践指南》规定了粤港澳大湾区（内地、香港）个人信息处理者或者接收方，在大湾区内地和香港间通过安全互认方式进行大湾区内个人信息跨境流动应遵守的基本原则和要求，适用于指导大湾区内个人信息处理者开展个人信息跨境处理活动。

附件：《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》

全国网络安全标准化技术委员会秘书处

2024年11月21日

文章来源自：全国网安标委

以“拥抱以人为本、智能向善的数字未来——携手构建网络空间命运共同体”为主题的2024年世界互联网大会乌镇峰会于11月19日至22日在浙江乌镇举行。盛邦安全受邀参与本次峰会，董事长权小文入选人工智能专委会推进计划牵头人，并参与“2024年世界互联网大会乌镇峰会智能交通论坛”专题对话环节，与业界专家学者共同探讨智联网环境下网络安全前沿技术与发展趋势。

图片来源于世界互联网大会官方

2024年世界互联网大会乌镇峰会，谋划了一系列新议题、新亮点，世界互联网大会人工智能专业委员会正式在会上成立。盛邦安全积极响应，董事长权小文入选专委会推进计划牵头人名单。作为大会国际组织成立后设立的第一个专业化、常态化分支机构，专委会将搭建人工智能国际交流合作平台，开展专题研讨、成果分享、倡议发布等活动，推动人工智能技术以人为本、向上向善。

权小文表示，人工智能在提高社会生产效率、突破技术难题、新应用方面有巨大作用，对于人工智能建议提前做好约束和规范，通过制度约束，加强人工智能技术应用的监管，加强国际合作，倡导技术向善的价值观。

图片来源于世界互联网大会官方

以“智联未来，交通无界—共创智能交通新生态”为主题的智能交通论坛将于11月22日上午召开。盛邦安全董事长权小文受邀参加“智能网联汽车与交通基础设施的协同”专题对话，聚焦智慧交通，分享如何利用卫星互联网推动智能交通安全防护系统的全面升级。

今年，世界互联网大会乌镇峰会迈入第11个年头，正式开启“下一个十年”的新篇章。这十年间网络安全作为护航国家数字经济发展的核心力量，与行业生态紧密协同、持续发展。盛邦安全作为世界互联网大会的会员单位，将继续充分发挥其在网络安全领域的积淀与优势，为构建网络空间命运共同体贡献中国智慧和力量，携手各界共绘“下一个十年”的辉煌未来。

原文链接

近日，FCIS 2024网络安全创新大会在上海召开，第十届WitAwards 2024 中国网络安全年度评选颁奖盛典同步隆重举行（以下简称WIT）。盛邦安全DayDayMap全球网络空间资产测绘平台凭借领先的IPv6探测技术、显著的科研属性以及灵活的应用场景，荣获WIT2024年度安全技术变革TOP10。

WIT已连续举办九届，是业内广受关注的网络安全创新大奖评选。旨在以专业的角度和公正的态度，发掘优秀行业案例，树立年度标杆。其中，年度安全技术变革TOP10的设立是为了表彰引领或代表了网络安全技术重大变革的创新成果，不仅是对技术本身突破性的认可，更是对这些技术变革者在推动行业进步、提升全球网络安全水平方面所做贡献的肯定。此次荣获WIT2024年度安全技术变革TOP10，是对DayDayMap在网络网络安全领域技术变革的影响力、推动网络空间测绘进步、解决安全挑战以及激发未来创新等方面表现的高度认可。

www.daydaymap.com

DayDayMap是一款集产学研一体的全球网络空间资产测绘平台，聚焦空间测绘科研领域，拥有领先的空间测绘技术，丰富的IPv6测绘数据，让网络空间资产可感知、易定位、更有价值。平台提供全面、精准、实时的全球网络空间资产测绘服务，能够自动扫描和智能识别用户在互联网上的多元资产，包括域名、IP地址、端口、服务、组件等信息。通过构建详尽的资产和主机画像，揭示出互联网资产的暴露边界，并精准识别各类资产属性，实现互联网资产的可查、可定位。

应用场景

借助DayDayMap平台，各类组织能全面提升对其在线资产分布的洞察力，强化对数字化资产的整体管理和安全保障；增强组织对未知威胁的预警和响应能力，全面掌控网络空间资产的安全态势，及时感知并减轻潜在安全风险；优化资产安全管理成本，实现安全防护与经济效益的双重提升。

盛邦安全致力于从网络空间视角剖析数字世界， 2022年，盛邦安全率先发布首个网络空间地图——网络空间坤舆图，实现了网络空间与地理空间的关联与映射。2024年，盛邦安全又发布了DayDayMap这一里程碑式的平台，为网络空间地图做底层数据赋能。盛邦安全从未停止过在网络空间测绘领域的深耕与探索，未来，盛邦安全也将紧抓技术变革的浪潮，持续加大投入，不断突破技术边界，为用户提供更加精准、高效的网络空间安全服务，携手共创安全的数字世界。

原文链接

11月22日，世界互联网大会乌镇峰会智能交通论坛在浙江乌镇举行，本次论坛以“智联未来，交通无界——共创智能交通新生态 ”为主题，汇聚了全球的重量级嘉宾，包括科摩罗、交通运输部等政府领导，全球移动通信系统协会、中欧数字协会、中亚学院、同济大学中国交通研究院等多个国际组织、高校机构及企事业单位代表参会。

乌镇峰会汇聚了全球前沿话题与创新观点，众多参会代表就智能交通发展趋势、安全建设、产业协作等方面，探讨在新技术快速发展情况下，如何推动智能交通领域的创新与融合。盛邦安全董事长权小文受邀参加“智能网联汽车与交通基础设施的协同”专题对话并发表观点看法。

交通运输部科技司副司长林强表示，近年来，积极推动新一代信息技术与交通运输行业融合发展，交通智能化水平不断迈上新台阶。而发展智能交通是一项复杂的系统工程，需要各方协作，打通创新链的各个环节。我国有丰富的交通场景，海量的运输数据和广阔的市场空间，智能交通必将大有可为。他同时提出要深入推进人工智能技术和交通运输的融合，持续健全技术和标准的体系、推动应用场景落地、尤其是坚持安全可靠，守好网络安全底线，健全网络安全责任体系，切实保障交通运输行业重要网络和系统安全的稳定运行。

在专题对话环节，权小文同交通运输部公路科学研究院主任周炜、广州小鹏汽车科技有限公司副总裁陈涵就人工智能驱动下的智能交通新生态、产业创新应用以及网络安全等进行深入交流研讨。针对车路协同、智能汽车互动等安全问题，权小文表示，安全是智能交通发展的重中之重。网络安全是产业发展的伴生体，在数字化交通的发展中，安全不仅是传统意义上的物理安全，还包括网络安全和数据安全。这些安全问题随着交通技术的发展，如低空经济、车路协同等，呈现出指数级增长的趋势，而非传统安全所能简单解决。

就车路协同而言，其本质是一场数字化、智能化的融合革命。而卫星互联网通过部署大量卫星构建覆盖全球的星座网络，它提供超高速、低延时、更稳定的网络连接支持，特别是在地面网络覆盖不到的偏远地区，对于智能交通领域尤为重要。因此需要对安全问题给予足够的重视，确保网络安全与数据安全，是新业态稳健前行的重中之重。

为了应对这些安全挑战，需要构建一个全面的安全防护体系，加密是最佳技术路径。权小文提出，卫星互联网使得网络共享，而用户类型多样，对于通信安全的要求各异。因此，从卫星到通信网关的数据传输，最有效且成本最低的方式是加密方案。盛邦安全在行业内率先提出卫星互联网安全解决方案，依托在网络安全与卫星通信安全方面的双重优势，针对不同的应用场景，形成了车载、机载（包括无人机）以及船舰载等相关的芯片和解决方案，为客户提供包括漏洞检测、防御体系建设以及链路级加密在内的完整解决方案、量身定制的产品和服务，助力新的交通应用场景安全防护升级，护航智能交通生态体系协同发展。

面对智能交通领域的发展与安全挑战，盛邦安全正积极探索并实施全面的安全策略，推动智能交通向更加智能、便捷、可持续的方向发展，为全球交通体系的转型升级贡献力量，共创智能交通的美好未来。

原文链接

一种名为 Interlock 的相对较新的勒索软件正采用不寻常的方法创建加密器来针对 FreeBSD 服务器，以攻击世界各地的组织。 

Interlock 于 2024 年 9 月底出现，此后声称对六个组织发起攻击，在未支付赎金后在其数据泄露网站上发布了被盗数据。美国密歇根州就是受害者之一，于 10 月初遭受了网络攻击。

关于勒索软件的操作，人们知之甚少，其中一些信息来自 10 月初的事件响应者 Simo，他在 Interlock 勒索软件事件中发现了一个新的后门 [VirusTotal]。

不久之后，网络安全研究人员 MalwareHuntTeam 发现了用于 Interlock 操作的 Linux ELF 加密器 [VirusTotal]。安全研究人员尝试在虚拟机上测试它，但它立即崩溃了。

检查可执行文件中的字符串表明它是专门为 FreeBSD 编译的，Linux“File”命令进一步确认它是在 FreeBSD 10.4 上编译的。然而，即使在 FreeBSD 虚拟机上测试示例，也无法让示例正确执行。

虽然针对 VMware ESXi 服务器和虚拟机创建的 Linux 加密器很常见，但为 FreeBSD 创建的加密器却很少见。已知的唯一创建 FreeBSD 加密器的勒索软件操作是现已解散的 Hive 勒索软件操作，该操作于 2023 年被 FBI 破坏。

本周，有安全研究人员分享说，他们发现了 FreeBSD 的额外样本ELF 加密器 [VirusTotal] 和操作的 Windows 加密器 [VirusTotal] 示例。

并表示威胁者可能创建了 FreeBSD 加密器，因为该操作系统通常用于关键基础设施，攻击可能会造成广泛的破坏。 

Interlock 针对 FreeBSD，因为它广泛用于服务器和关键基础设施。攻击者可以破坏重要服务，索要巨额赎金，并强迫受害者付款。

Interlock 勒索软件

虽然无法让 FreeBSD 加密器正常工作，但 Windows 版本在虚拟机上运行没有问题。Windows 加密器将清除 Windows 事件日志，如果启用了自删除，将使用 DLL 通过 rundll32.exe 删除主要二进制文件。

加密文件时，勒索软件会将 .interlock 扩展名附加到所有加密文件名中，并在每个文件夹中创建勒索信息。

Interlock 加密的文件

这份勒索字条名为 !__README__!.txt，简要描述了受害者文件发生的情况、发出的威胁以及 Tor 协商和数据泄露站点的链接。

联锁勒索信

每个受害者都有一个唯一的“公司 ID”，与电子邮件地址一起用于在威胁者的 Tor 协商站点上注册。与最近的许多其他勒索软件操作一样，面向受害者的谈判站点仅包含一个可用于与威胁者进行通信的聊天系统。

Interlock 暗网谈判网站

在进行攻击时，Interlock 将破坏公司网络并从服务器窃取数据，同时横向传播到其他设备。完成后，威胁者会部署勒索软件来加密网络上的所有文件。

被盗数据被用作双重勒索攻击的一部分，威胁者威胁称，如果不支付赎金，就会公开泄露这些数据。

Interlock数据泄露现场

有媒体了解到，勒索软件操作要求的赎金从数十万美元到数百万美元不等，具体金额取决于其规模。

2024年9月29日，《工业和信息化领域数据安全合规指引》公开征求意见，聚焦数据处理者在履行数据安全保护义务过程中的难点问题，明确数据安全合规依据，提供实务指引，指导数据处理者开展数据安全合规管理，提升数据安全保护能力。

2024年11月19日，为贯彻落实《数据安全法》《网络数据安全管理条例》《工业和信息化领域数据安全管理办法（试行）》等法律政策要求，引导工业和信息化领域数据处理者规范开展数据处理活动，中国钢铁工业协会、中国有色金属工业协会、中国石油和化学工业联合会、中国建筑材料联合会、中国机械工业联合会、中国汽车工业协会、中国纺织工业联合会、中国轻工业联合会、中国电子信息行业联合会、中国计算机行业协会、中国通信企业协会、中国互联网协会、中国通信标准化协会、中国中小企业国际合作协会、中国通信学会、工业和信息化部商用密码应用产业促进联盟、工业信息安全产业发展联盟等单位组织编制了《工业和信息化领域数据安全合规指引》（简称《合规指引》）。现已将《合规指引》印发，在履行数据安全保护义务时，有利于支撑数据处理者全面、准确、规范开展数据安全合规管理，共同维护数据安全、促进行业健康发展。

数据作为新型生产要素，是数字化、网络化、智能化的基础，已快速融入生产、分配、流通等各环节，保障数据安全，事关国家安全大局。工业和信息化领域是数字经济发展的主阵地和先导区，是推进数字经济做强做优做大的主力军。

随着数字化转型进入全面加速期，数据的价值和重要性不断提升，数据泄露、篡改、破坏导致的影响日趋严重。国家层面对数据安全更加重视，《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》《数据出境安全评估办法》《促进和规范数据跨境流动规定》等数据安全相关法律法规、政策文件不断颁布实施，为开展数据安全监管和保护工作提供了根本遵循，对数据处理者落实数据安全保护责任义务指明了方向、提出了要求。

工业和信息化部作为工业和电信行业数据安全工作的主管部门，结合行业实际，衔接法律法规，陆续出台发布了《工业和信息化领域数据安全管理办法（试行）》《工业和信息化领域数据安全行政处罚裁量指引（征求意见稿）》《工业和信息化领域数据安全风险评估实施细则（试行）》《工业和信息化领域数据安全事件应急预案（试行）》等政策文件， 细化了工业和信息化领域数据处理者合法合规开展数据处理活动的实施路径和主要内容。

工业和信息化领域数据处理者可参照本指引开展数据处理活动全生命周期安全保护工作。本指引所称工业和信息化领域数据处理者是指数据处理活动中自主决定处理目的、处理方式的工业企业、 软件和信息技术服务企业、电信和互联网企业，以及无线电频率、台（站）使用单位等工业和信息化领域各类主体。数据处理过程中涉及工业和信息化领域数据的其他有关主体，可参照本指引落实数据安全责任义务。

点击文末“阅读原文”即可下载：《工业和信息化领域数据安全合规指引》.pdf 

文章来源自：中国互联网协会

11月19日至22日，以“拥抱以人为本、智能向善的数字未来——携手构建网络空间命运共同体”为主题的2024年世界互联网大会乌镇峰会在浙江乌镇举行。在11月22日举办的世界互联网大会乌镇峰会智能交通论坛上，远江盛邦（北京）网络安全科技股份有限公司（下称“盛邦安全”）董事长权晓文表示，安全在智能交通发展进程中占据着重中之重的地位，面对智能交通相关产业发展过程中涌现出的一系列安全挑战，构建一个全面、完善的安全防护体系迫在眉睫。

盛邦安全董事长权晓文在乌镇峰会期间接受媒体采访 摄影 陈超然

今年，世界互联网大会乌镇峰会进入“新十年”。权晓文表示，在这11年的发展历程中，乌镇峰会规模和影响力不断扩大，国际参与度日益提高，见证了中国互联网行业的快速崛起与蓬勃发展，也见证了网络安全产业从最初提供单一功能产品逐步向提供更贴合行业需求、更具综合性的解决方案的转变。如今，网络安全行业正进入变革期，面临着诸多调整与创新挑战，希望明年的乌镇峰会能够继续发挥其积极影响力，持续推动整个行业不断向前发展，为构建更加安全、稳定、繁荣的网络空间奠定坚实基础。

文章来源自：国际在线

近日，2023年度北京市科学技术奖揭晓。盛邦安全与国家工业信息安全发展研究中心等单位联合申报的“面向工业互联网云边协同场景的攻击面智能感知技术及应用”项目荣获北京市科学技术进步奖二等奖，再次彰显了盛邦安全在关键核心技术攻关中的卓越能力和创新实力。

为深入贯彻落实习近平新时代中国特色社会主义思想，全面贯彻党的二十大精神，坚定实施创新驱动发展战略，切实把创新作为引领发展的第一动力，加快建设北京国际科技创新中心，北京市政府对为科学技术进步、国际科技创新中心建设、首都经济社会发展做出突出贡献的科技人员和组织给予奖励。此次共有19位科学家和196项成果获奖，覆盖了多个前沿领域，彰显了北京在关键技术突破与创新方面的优势，为首都的高质量发展注入了源源不断的科技动能。

盛邦安全此次联合申报的获奖项目，针对工业互联网安全防御面临的诸多挑战，重点突破了“工业互联网资产暴露面有效无损探测”“新型未知漏洞挖掘分析与识别检测”“云边协同场景中攻击预测溯源”等难题，提出了一套面向工业互联网云边协同场景的攻击面智能感知技术，为工业互联网安全防护提供了全新解决方案。

近年来，北京科技企业在创新要素整合和资源集聚方面持续发力，不断推动科技与产业深度融合。此次获奖再次展现了盛邦安全在技术研发和成果转化方面的卓越能力。未来，公司将继续以科技创新为核心驱动力，深耕前沿技术领域，为推动首都高质量发展和全球科技创新贡献更多力量。

1 概述

InterLock勒索攻击组织被发现于2024年9月，该组织通过网络钓鱼、漏洞利用、搭载于其他恶意软件和非法获取凭证等多种手段渗透受害者网络，窃取敏感信息并加密数据，实施双重勒索，以此对受害者施加压力。暂未发现该组织通过勒索软件即服务（RaaS）模式招募附属成员以扩大非法收益的情况。目前，已监测到该组织开发了针对Windows、Linux和FreeBSD系统的加密载荷。在Windows系统中，InterLock勒索软件采用“AES+RSA”算法对文件进行加密。感染的迹象包括文件名后添加“.interlock”扩展名，以及出现名为“!README!.txt”的勒索信。截至目前，尚未发现任何工具能够有效解密由InterLock勒索软件加密的数据。

InterLock组织在暗网中运营一个名为“InterLock Worldwide Secrets Blog”的网站，公开受害者信息。该网站包含组织介绍、联系方式、受害者资料以及从受害者系统中窃取的数据等。对于每位受害者，攻击者创建独立的信息板块，列出受害者名称、官网链接、信息概览、被盗文件类型和数量。攻击者利用公开受害者信息和部分被盗文件作为要挟，迫使受害者为防数据被出售或公开而支付赎金或满足其他非法要求。截至2024年11月21日，该网站已公布7名受害者的信息，但实际受害数量可能更多。攻击者可能基于多种原因选择不公开或删除某些信息，例如在与受害者达成协议，或受害者支付赎金换取了信息的移除。

InterLock组织所使用的勒索加密载荷和攻击技战术等特征揭示了其与Rhysida组织[1]之间可能的联系。自2023年5月被发现以来，Rhysida组织一直以RaaS和双重勒索模式进行运营，但自2024年10月以来，其攻击活跃度有所下降。在当前复杂的网络犯罪生态和全球执法机构对勒索攻击组织的持续打击下，InterLock与Rhysida之间的关系引发了多种推测：InterLock可能是Rhysida的一个分支或附属机构，继承了其技术和战术；或者Rhysida组织的部分成员因内部分歧或其他原因而另立门户，成立了InterLock；还有一种可能是Rhysida组织为了规避执法机构的打击，以InterLock的新名义继续其非法活动。这些推测基于两个组织在勒索软件操作和战术上的相似性，以及网络犯罪组织内部常见的动态和逃避策略。相关勒索软件及其组织信息可见计算机病毒百科（https://www.virusview.net/RansomwareAttack）。

经验证，安天智甲终端防御系统（简称IEP）可实现对InterLock勒索软件的有效查杀。

2 组织情况

表 2‑1 组织概览

组织名称

InterLock

出现时间

2024年9月

入侵方式

网络钓鱼、漏洞利用、搭载于其他恶意软件和非法获取凭证

典型加密后缀

.interlock

解密工具

暂未发现公开的解密工具

加密系统

Windows、Linux、FreeBSD

攻击模式

非定向与定向攻击模式

常见行业

医疗、金融、教育、制造、公共管理

是否双重勒索

是

勒索信

InterLock勒索软件于2024年9月被MOXFIVE发现[2]，根据勒索信中预留的信息判定该勒索软件是由InterLock勒索攻击组织使用。

图 2‑1 组织暗网页面

在暗网中网站页面设置了“自我介绍”信息栏，表明自己的身份和发起勒索攻击的原因等内容。

图 2‑2 组织“自我介绍”内容

InterLock组织自2024年10月13日发布第一名受害者信息以来，截至11月21日已陆续发布7名受害者信息，实际受害数量可能更多。

图 2‑3 受害者信息栏

3 样本功能与技术梳理

3.1样本标签

表 3‑1 InterLock勒索软件样本标签

病毒名称

Trojan/Win32.InterLock[Ransom]

原始文件名

matrix

MD5

F7F679420671B7E18677831D4D276277

文件大小

1.89 MB (1,982,464字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2024-10-11 04:47:13 UTC

数字签名

无

加壳类型

无

编译语言

Visual C/C++

VT首次上传时间

2024-10-13 17:10:43 UTC

VT检测结果

57/73

3.2样本分析

样本执行支持4种执行参数，具体功能如下表所示：

表 3‑2 功能参数

参数

功能

--directory

加密指定文件夹

--file

加密指定文件

--delete

自删除

--system

创建系统计划任务

样本包含大量混淆代码，并通过代码自解密恢复正常代码执行，以此增加分析难度，减少代码静态特征。

图 3‑1 样本代码混淆

如果指定了自删除参数，则在加密结束后，释放文件%Temp%\tmp

若指定了计划任务参数，则会创建名为TaskSystem的计划任务。

图 3‑2 创建计划任务

避免因加密导致系统崩溃或加密到杀毒软件文件，不对特定文件夹进行加密。

图 3‑3 绕过加密的文件夹

具体绕过加密的文件夹信息如下表所示：

表 3‑3 绕过加密的文件夹

绕过加密的文件夹

$Recycle.Bin

Boot

Documents and Settings

PerfLogs

ProgramData

Recovery

Windows

System Volume Information

AppData

WindowsApps

Windows Defender

WindowsPowerShell

Windows Defender Advanced Threat   Protection

避免因加密导致系统崩溃，不对特定后缀名和特定文件名的文件进行加密。

图 3‑4 绕过加密的后缀名及文件名

具体绕过加密的后缀名及文件名信息如下表所示：

表 3‑4 绕过加密的后缀及文件名

绕过加密的后缀及文件名

.bin

.diagcab

.hta

.scr

.dll

.cab

.diagcfg

.ico

.sys

.exe

.cmd

.diagpkg

.msi

.ini

.ps1

.com

.drv

.ocx

.url

.psm1

.cur

.hlp

Thumbs.db

样本使用LibTomCrypt加密库。

图 3‑5 LibTomCrypt加密库

在要加密的目标文件末尾填充字节，直至文件大小为16字节的倍数，对齐AES加密分组大小。

图 3‑6 填充目标文件末尾

样本采用AES-CBC和RSA加密算法，样本会为每个文件生成独立的48个字节长度的随机数，将其前32字节作为AES密钥对整个文件进行加密。同时将这48个字节的随机数使用RSA非对称加密后附加在加密的文件的末尾。总体加密逻辑如下所示。

图 3‑7 加密逻辑

使用AES加密文件的代码如下，文件所有内容均会被加密。

图 3‑8 采用AES加密算法

勒索信相关内容。

图 3‑9创建勒索信相关代码

清除入侵痕迹，在样本执行结束后调用API清除相关日志。

图 3‑10 清除相关日志

4 防护建议

建议企业用户部署专业的终端安全防护产品，对本地新增和启动文件进行实时检测，并周期性进行网内病毒扫描。安天智甲终端安全系列产品（以下简称“智甲”）依托安天自研威胁检测引擎和内核级主动防御能力，可以有效查杀本次发现病毒样本。

智甲具备内核级防护能力，基于内核驱动持续监控进程等内存对象操作行为动作，研判是否存在持久化、提权、信息窃取等攻击动作，并且结合勒索行为特征库检测，可分析进程行为是否疑似勒索攻击行为，对发现的勒索攻击可在第一时间进行阻断。

图 4‑1 发现病毒时，智甲第一时间拦截并发送告警

智甲提供统一安全管理中心，管理员可通过管理中心快速完成对网内安全事件的查看、分析、处置等操作，提升安全管理效率。

图 4‑2 可通过智甲统一管理平台对威胁进行一键处置

参考链接

[1]2023年活跃勒索攻击组织盘点 [R/OL].(2024-01-25)

https://www.antiy.cn/research/notice&report/research_report/RansomwareInventory.html

[2]MOXFIVE Threat Actor Alert - INTERLOCK Ransomware [R/OL].(2024-09-30)

https://www.moxfive.com/resources/moxfive-threat-actor-spotlight-interlock-ransomware

1 概述

近期，安天CERT监测到一起挖矿木马攻击事件，该挖矿木马从2024年3月开始出现，并持续更新攻击脚本。该挖矿木马的典型特点是针对操作系统类型下载对应的挖矿程序、检查系统环境是否有curl、Python、Perl等工具，如果有则使用这些工具下载挖矿程序，如果没有会进行下载适配、根据CPU算力动态调整运行参数，不会饱和使用CPU资源，避免因消耗过多资源被用户感知发现。该挖矿木马因其在脚本中多次出现“app”字符串，故安天CERT将该挖矿木马命名为“app Miner”。

经验证，安天智甲终端防御系统可实现该挖矿木马的有效查杀。

2 攻击流程

app Miner挖矿木马首先会执行一系列功能模块中的功能，如根据CPU线程数估算门罗币（Monero）挖矿的哈希率、根据CPU算力动态调整运行参数、遍历指定目录尝试找到一个足够空间投放挖矿木马的目录、根据受害主机操作系统类型和架构等，生成一个格式化的文件名、查找感染系统中正在运行的竞品挖矿进程等等。之后会从指定的URL上下载挖矿程序、设置挖矿配置文件进行挖矿。该挖矿木马还有很多函数具有多种功能，但默认状态下脚本未开启这些功能或待开发中，其中主要包括计划任务函数、服务函数、进程检查函数等等。

图 2‑1 攻击流程图

3 脚本功能分析

根据CPU线程数估算Monero挖矿的哈希率，然后基于这个哈希率动态计算并选择一个端口号。用于配置一个挖矿程序以选择适当的端口进行通信。这样的设计可能是为了在不同机器上运行时根据机器的不同性能选择合适的设置。

图 3‑1 估算Monero挖矿的哈希率

根据CPU核数的70%，按指定公式调用mathlib计算结果。比如，对于16核CPU，这一结果为4096。通过控制线程数量的方式，让CPU的资源占用不饱和。

图 3‑2 动态调整CPU功率

遍历一系列目录（如$HOME，$PWD，/var/tmp，/dev/shm，/var/run，/tmp），尝试在这些目录中找到一个可写的目录，并检查其是否有足够的可用空间。

图 3‑3 遍历指定目录并查看目录可用空间大小

根据操作系统类型、架构以及是否需要压缩和加密，来生成一个格式化的文件名。该功能通常用于生成特定平台和配置的可执行文件或包的名称，以便在不同环境中识别和使用。

图 3‑4 格式化文件名

查找系统中正在运行的竞品挖矿进程，支持精确匹配和模式匹配。它根据系统上可用的工具（如pgrep、ps、pidof）选择最佳方式进行查找，并在这些工具不可用时，通过手动遍历/proc文件系统进行查找，当查找到竞品挖矿进程后，使用pkill、killall、kill等命令进行结束进程。

图 3‑5 查找正在运行的竞品挖矿进程

更改挖矿程序落地目录的权限。

图 3‑6 更改挖矿程序落地目录的权限

从指定的URL下载挖矿程序，并根据受害者机器上的工具进行下载操作。如wget、curl、perl、Python 2.x和Python 3.x等。

图 3‑7 下载挖矿程序

设置挖矿配置文件，矿池地址为207.180.217.230:80。

图 3‑8 设置挖矿配置文件

4 事件对应的ATT&CK映射图谱

针对攻击者投放挖矿木马的完整过程，安天梳理本次攻击事件对应的ATT&CK映射图谱如下图所示。

图 4‑1 事件对应的ATT&CK映射图谱

攻击者使用的技术点如下表所示：

表 4‑1 事件对应的ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

执行

利用命令和脚本解释器

使用bash脚本命令

持久化

利用外部远程服务

创建服务

利用计划任务/工作

创建计划任务

提权

滥用提升控制权限机制

修改文件权限

防御规避

修改文件和目录权限

修改文件权限和目录权限

发现

发现系统信息

发现系统架构等信息

影响

资源劫持

占用CPU资源

5 防护建议

针对挖矿攻击，安天建议企业采取如下防护措施：

1.安装终端防护：安装反病毒软件，针对不同平台建议安装安天智甲终端防御系统Windows/Linux版本；

2.加强SSH口令强度：避免使用弱口令，建议使用16位或更长的口令，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令；

3.及时更新补丁：建议开启自动更新功能安装系统补丁，服务器应及时更新系统补丁；

4.及时更新第三方应用补丁：建议及时更新第三方应用如Redis等应用程序补丁；

5.开启日志：开启关键日志收集功能（安全日志、系统日志、错误日志、访问日志、传输日志和Cookie日志），为安全事件的追踪溯源提供基础；

6.主机加固：对系统进行渗透测试及安全加固；

7.部署入侵检测系统（IDS）：部署流量监控类软件或设备，便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统（PTD）以网络流量为检测分析对象，能精准检测出已知海量恶意代码和网络攻击活动，有效发现网络可疑行为、资产和各类未知威胁；

8.安天服务：若遭受恶意软件攻击，建议及时隔离被攻击主机，并保护现场等待安全工程师对计算机进行排查；安天7*24小时服务热线：400-840-9234。

建议企业用户部署专业的终端安全防护产品，对本地新增和启动文件进行实时检测，并周期性进行网内病毒扫描。安天智甲终端安全系列产品（以下简称“智甲”）依托安天自研威胁检测引擎和内核级主动防御能力，可以有效查杀本次发现病毒样本。

智甲客户端通过主动防御能力实时检测本地脚本执行行为，对执行脚本进行威胁检测，一旦发现启动脚本为恶意文件，可自动拦截并向用户发送风险告警，保障终端环境安全。

图 5‑1运行恶意脚本时智甲成功拦截

智甲还为用户提供统一管理平台，管理员可通过平台集中查看网内威胁事件详情，并批量进行处置，提高终端安全运维效率。

图 5‑2 通过智甲管理中心可对安全事件统一管理和处置

6 IoCs

IoCs

157.230.106[.]100

111.48.208[.]225

207.180.217[.]230

185.213.26[.]27

199B790D05724170F3E6583500799DB1

C0ED4F906576C06D861302E8CF924309