Aggregator

January 6, 2025Over on

HackerNews 编译，转载请注明出处： 去年，针对超过30万个钱包地址的加密货币钱包窃取攻击中，诈骗者盗走了价值4.94亿美元的加密货币。 与2023年相比，这一数字增长了67%，尽管受害者数量仅上升了3.7%，这表明受害者平均持有的加密货币金额更大。 这些数据来自Web3反诈骗平台“Scam Sniffer”，该平台一直在追踪钱包窃取活动，此前曾报告过影响多达10万人的攻击浪潮。钱包窃取器是专门设计用于从用户钱包中窃取加密货币或其他数字资产的钓鱼工具，通常部署在假冒或受攻击的网站上。 2024年，Scam Sniffer观察到30起大规模（超过100万美元）通过钱包窃取器进行的盗窃事件，其中单笔最大盗窃案涉案金额高达5540万美元。 这一事件发生在年初，当时比特币价格上涨推动了钓鱼活动的增加。第一季度，通过钱包窃取攻击共盗走1.87亿美元。 每月损失金额和受影响钱包数量（来源：Scam Sniffer） 今年第二季度，一个名为“Pink Drainer”的知名窃取服务宣布退出，该服务此前曾伪装成记者在钓鱼攻击中攻击Discord和Twitter账户，以进行加密货币窃取。 尽管这导致钓鱼活动有所减少，但诈骗者在第三季度逐渐恢复了势头，其中Inferno服务在8月和9月共造成1.1亿美元损失，位居榜首。 最后，在第四季度，活动有所平息，仅占2024年总损失的10.3%左右。当时，Acedrainer也成为主要参与者之一，占据了窃取器市场的20%，ScamSniffer表示。 窃取器每月活动情况（来源：Scam Sniffer） 大部分损失（85.3%）发生在以太坊上，金额高达1.52亿美元，其中质押（40.9%）和稳定币（33.5%）是目标最集中的领域。 关于2024年观察到的趋势，Scam Sniffer强调了使用假冒的CAPTCHA和Cloudflare页面以及IPFS来逃避检测的做法，以及签名类型的转变，这有助于实施资金盗窃。 具体而言，大多数盗窃案依赖于“Permit”签名（56.7%）或“setOwner”（31.9%）来窃取资金。前者根据EIP-2612标准批准代币支出，后者更新智能合约所有权或管理权限。 另一个值得注意的趋势是，Google Ads和Twitter广告作为钓鱼网站流量的来源的使用增加，攻击者利用被攻破的账户、机器人和假冒代币空投来实现其目标。 X上推动加密货币窃取器的假冒账户数量（来源：Scam Sniffer） 为防止Web3攻击，建议仅与受信任和已验证的网站进行交互，与官方项目网站核对URL，在签名前阅读交易批准提示和权限请求，并在执行前模拟交易。 许多钱包还提供针对钓鱼或恶意交易的内置警告，因此请确保启用这些功能。最后，使用代币撤销工具确保没有激活可疑权限。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

error code: 521

HackerNews 编译，转载请注明出处： 网络安全研究人员已标记出一种名为PLAYFULGHOST的新型恶意软件，该软件具备广泛的信息收集功能，如键盘记录、屏幕截图、音频录制、远程shell以及文件传输/执行等。 据谷歌的托管防御团队称，该后门程序与一种名为Gh0st RAT的已知远程管理工具在功能上有所重叠，而Gh0st RAT的源代码早在2008年就已公开泄露。 PLAYFULGHOST的初始入侵途径包括使用含有行为规范相关诱饵的钓鱼邮件或搜索引擎优化（SEO）投毒技术来分发诸如LetsVPN等合法VPN应用的特洛伊木马版本。 “在一起钓鱼攻击事件中，感染始于诱骗受害者打开伪装成图像文件并使用.jpg扩展名的恶意RAR压缩包，”该公司表示，“当受害者解压并执行该压缩包时，它会释放一个恶意的Windows可执行文件，该文件最终会从远程服务器下载并执行PLAYFULGHOST。” 另一方面，采用SEO投毒的攻击链则试图欺骗不明真相的用户下载含有恶意软件的LetsVPN安装程序，该程序在启动时会释放一个负责检索后门组件的中间有效载荷。 该感染值得注意的一点是，它利用诸如DLL搜索顺序劫持和旁加载等方法来启动一个恶意DLL，然后使用该DLL来解密并将PLAYFULGHOST加载到内存中。 Mandiant表示，它还观察到了一个“更复杂的执行场景”，其中Windows快捷方式（“QQLaunch.lnk”）文件将名为“h”和“t”的两个其他文件的内容组合起来，以构建恶意DLL，并使用重命名的“curl.exe”版本进行旁加载。 PLAYFULGHOST能够使用四种不同的方法在主机上设置持久性：运行注册表项、计划任务、Windows启动文件夹和Windows服务。它拥有一套广泛的功能，能够收集大量数据，包括键盘输入、屏幕截图、音频、QQ账户信息、安装的安全产品、剪贴板内容以及系统元数据等。 此外，它还具备释放更多有效载荷、阻止鼠标和键盘输入、清除Windows事件日志、擦除剪贴板数据、执行文件操作、删除与搜狗、QQ、360安全、Firefox和谷歌Chrome等浏览器相关的缓存和配置文件，以及擦除Skype、Telegram和QQ等消息传递应用程序的配置文件和本地存储的能力。 通过PLAYFULGHOST部署的其他一些工具包括Mimikatz和一个能够隐藏威胁行为者指定的注册表、文件和进程的rootkit。在下载PLAYFULGHOST组件时，还会同时释放一个名为Terminator的开源实用程序，该程序可以通过自带易受攻击的驱动程序（BYOVD）攻击来终止安全进程。 “有一次，Mandiant观察到PLAYFULGHOST有效载荷被嵌入到BOOSTWAVE中，”这家科技巨头表示，“BOOSTWAVE是一种shellcode，它作为附加的可移植可执行（PE）有效载荷的内存释放器。” 针对搜狗、QQ和360安全等应用以及使用LetsVPN诱饵的情况表明，这些感染可能针对的是使用中文的Windows用户。2024年7月，加拿大网络安全供应商eSentire披露了一起类似活动，该活动利用虚假的谷歌Chrome安装程序来传播Gh0st RAT，并使用了一个名为Gh0stGambit的释放器。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

error code: 521

A vulnerability was found in IBM Global Console Manager 16 up to 1.20.0.22574. It has been declared as problematic. This vulnerability affects unknown code of the file prodtest.php of the component Firmware. The manipulation of the argument filename leads to information disclosure. This vulnerability was named CVE-2014-3081. The attack can be initiated remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Apache Tomcat JK Web Server Connector 1.2.19 and classified as critical. Affected by this issue is the function map_uri_to_worker of the component mod_jk.so. The manipulation leads to stack-based buffer overflow. This vulnerability is handled as CVE-2007-0774. The attack may be launched remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

#网站应用 更幽默！当在必应搜索谷歌时微软会弹出仿照谷歌搜索的 UI 让不明真相的用户留在必应。这个仅在用户未登录微软账户时生效，估计是必应产品经理想要通过这种方式忽悠到部分非专业用户

error code: 521

HackerNews 编译，转载请注明出处： 近日，网络安全研究人员揭示了一种新型越狱技术，该技术可能被用于绕过大型语言模型（LLM）的安全防护，产生潜在有害或恶意的回应，Palo Alto Networks Unit 42研究团队将这一多轮（又称多示例）攻击策略命名为“Bad Likert Judge”。 Unit 42团队表示：“该技术要求目标LLM充当裁判，使用李克特量表（一种衡量受访者对陈述同意或不同意程度的评级量表）对给定回应的有害程度进行评分。” “然后，它要求LLM生成包含与量表相匹配的示例的回应。其中，李克特量表得分最高的示例可能包含有害内容。” 近年来，人工智能的普及度急剧上升，同时也催生了一类新的安全漏洞利用方式——提示注入，其专门设计用于通过传递特制的指令（即提示）来使机器学习模型忽略其预期行为。 提示注入的一种特定类型是被称为多轮越狱的攻击方法，该方法利用LLM的长上下文窗口和注意力机制来构造一系列提示，逐步诱导LLM产生恶意回应，而不会触发其内部保护机制。此类技术的示例包括Crescendo和Deceptive Delight。 Unit 42展示的最新方法涉及利用LLM作为裁判，使用李克特心理量表评估给定回应的有害程度，然后要求模型提供与不同得分相对应的不同回应。 在对来自亚马逊网络服务、谷歌、Meta、微软、OpenAI和NVIDIA的六个最先进的文本生成LLM进行的广泛类别测试中显示，与普通的攻击提示相比，该技术平均可将攻击成功率（ASR）提高60%以上。 这些类别包括仇恨言论、骚扰、自残、色情内容、无差别武器、非法活动、恶意软件生成和系统提示泄露。 研究人员表示：“通过利用LLM对有害内容的理解及其评估回应的能力，该技术可以显著提高成功绕过模型安全防护的机会。” “结果表明，内容过滤器可以在所有测试模型中平均将ASR降低89.2个百分点。这表明，在实施LLM的现实世界应用时，将全面的内容过滤作为最佳实践至关重要。” 此前不久，《卫报》的一份报告揭示，通过要求OpenAI的ChatGPT搜索工具总结包含隐藏内容的网页，可以欺骗其生成完全误导性的摘要。 这家英国报纸表示：“这些技术可能被恶意使用，例如，尽管同一页面上存在负面评论，但导致ChatGPT对某个产品给出正面评价。” “第三方仅简单包含隐藏文本（无指令）也可以确保给出正面评价，其中一项测试包括极具正面评价的虚假评论，这些评论影响了ChatGPT返回的摘要。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

error code: 521

HackerNews 编译，转载请注明出处： 针对一个已修复、影响Windows轻量级目录访问协议（LDAP）的安全漏洞，现已发布了一个概念验证（PoC）攻击代码，该漏洞可能触发拒绝服务（DoS）状况。 该越界读取漏洞被追踪为CVE-2024-49113（CVSS评分：7.5）。微软已在2024年12月的“补丁星期二”更新中修复了该漏洞，同时修复的还包括CVE-2024-49112（CVSS评分：9.8），后者是该组件中的一个关键整数溢出漏洞，可能导致远程代码执行。 独立安全研究员Yuki Chen（@guhe120）发现并报告了这两个漏洞。 SafeBreach Labs设计的CVE-2024-49113概念验证攻击代码，代号为LDAPNightmare，旨在使任何未打补丁的Windows服务器崩溃，“除受害者域控制器的DNS服务器具有互联网连接外，无需任何前提条件”。 具体而言，该攻击涉及向受害服务器发送DCE/RPC请求，最终当发送一个“lm_referral”字段为非零值的特制CLDAP引用响应包时，会导致本地安全机构子系统服务（LSASS）崩溃并强制重启。 更糟糕的是，这家位于加利福尼亚州的网络安全公司发现，通过修改CLDAP数据包，还可以利用相同的攻击链实现远程代码执行（CVE-2024-49112）。 微软关于CVE-2024-49113的公告在技术细节上较为简略，但该公司已透露，CVE-2024-49112可通过从不受信任的网络发送RPC请求来利用，从而在LDAP服务的上下文中执行任意代码。 微软表示：“在针对LDAP服务器的域控制器进行攻击的情况下，为了成功，攻击者必须向目标发送特制的RPC调用，以触发对攻击者域的查找。在针对LDAP客户端应用程序进行攻击的情况下，为了成功，攻击者必须说服或诱骗受害者执行对攻击者域的域控制器查找，或连接到恶意的LDAP服务器。然而，未经身份验证的RPC调用将不会成功。” 此外，该公司指出，攻击者还可以使用到域控制器的RPC连接来触发针对攻击者域的域控制器查找操作。 为减轻这些漏洞带来的风险，组织必须应用微软发布的2024年12月补丁。在无法立即打补丁的情况下，建议“实施检测以监控可疑的CLDAP引用响应（具有特定的恶意值集）、可疑的DsrGetDcNameEx2调用和可疑的DNS SRV查询”。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

error code: 521

HackerNews 编译，转载请注明出处： ProjectDiscovery的Nuclei——一款广泛使用的开源漏洞扫描器，近日曝出一个高危安全漏洞。若该漏洞被成功利用，攻击者将能够绕过签名检查，并可能执行恶意代码。 该漏洞被追踪为CVE-2024-43405，其CVSS评分为7.4（满分为10.0），影响Nuclei 3.0.0版本之后的所有版本。 据漏洞描述，“该漏洞源于签名验证过程和YAML解析器在处理换行符时的差异，以及处理多个签名的方式。” “这使得攻击者能够在保持模板良性部分有效签名的同时，向模板中注入恶意内容。” Nuclei是一款旨在探测现代应用程序、基础设施、云平台和网络的漏洞扫描器。其扫描引擎利用YAML文件（即模板）发送特定请求，以确定是否存在漏洞。 此外，它还能够使用代码协议在主机操作系统上执行外部代码，从而为研究人员在安全测试工作流程中提供更多灵活性。 发现CVE-2024-43405的云安全公司Wiz表示，该漏洞源于模板签名验证过程，该过程用于确保官方模板存储库中提供的模板的完整性。 成功利用该漏洞将绕过这一关键验证步骤，使攻击者能够创建能够执行任意代码并访问主机敏感数据的恶意模板。 Wiz研究员Guy Goldenberg在周五的分析中表示：“由于目前签名验证是验证Nuclei模板的唯一方法，因此它可能成为潜在的单一故障点。” 问题的核心在于使用正则表达式（regex）进行签名验证，以及由于同时使用regex和YAML解析器而产生的解析冲突，从而为攻击者打开了引入“\r”字符的大门，该字符可以绕过基于regex的签名验证，并被YAML解析器解释为换行符。 换言之，这些解析不一致性可以被串联起来，创建一个使用“\r”的Nuclei模板，该模板包含第二个“# digest:”行，以绕过签名验证过程，但被YAML解释器解析和执行。 Goldenberg解释道：“Go的基于regex的签名验证将‘\r’视为同一行的一部分，而YAML解析器则将其解释为换行符。这种不匹配允许攻击者注入绕过验证但由YAML解析器执行的内容。” “验证逻辑仅验证第一个‘# digest:’行。在验证过程中会忽略额外的‘# digest:’行，但它们仍保留在要由YAML解析和执行的内容中。” 此外，验证过程包括一个从模板内容中排除签名行的步骤，但仅验证第一行，从而使后续行未经验证但可执行。 在负责任披露后，ProjectDiscovery于2024年9月4日通过3.3.2版本解决了该问题。目前，Nuclei的版本为3.3.7。 Goldenberg说：“攻击者可以制作包含操纵过的‘# digest’行或精心放置的‘\r’换行符的恶意模板，以绕过Nuclei的签名验证。” “当组织在没有适当验证或隔离的情况下运行不受信任的或社区贡献的模板时，就会出现针对此漏洞的攻击向量。攻击者可以利用此功能注入恶意模板，导致任意命令执行、数据泄露或系统妥协。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability has been found in Apple tvOS up to 12.1.1 and classified as critical. Affected by this vulnerability is an unknown functionality of the component Kernel. The manipulation leads to improper resource management. This vulnerability is known as CVE-2019-6208. The attack needs to be approached locally. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

RequestShield RequestShield is a 100% Free and Open Source tool designed to analyze HTTP access.logs and identify suspicious HTTP requests and potential security threats. It uses factors like geolocation, abuse history, request volume, and...

The post RequestShield: analyze HTTP access.logs and identify suspicious HTTP requests and potential security threats appeared first on Penetration Testing Tools.