Aggregator

随着2024年的落幕，全球网络安全领域经历了一系列深刻变化和挑战。这一年，我们见证了网络攻击的规模和复杂性达到了前所未有的水平，从勒索软件的全球肆虐到数据泄露事件的惊人规模，网络安全事件的频发不仅考验了各国的安全防御能力，也暴露了数字化世界中的脆弱性。AI技术的双刃剑效应愈发明显，一方面，它被用作增强网络防御的利器，另一方面，它也成为网络犯罪分子的新武器。 本文基于HackerNews网站数据，以“创宇资讯”视角出发，筛选并总结出了2024年备受关注的网络安全热点事件，排名不分先后。它们不仅定义了这一年的网络安全态势，也预示着未来的趋势和挑战。 1、Ivanti的零日漏洞被大规模利用 2024年1月，Ivanti公司披露了两个影响其Ivanti Connect Secure VPN（前称Pulse Secure）和Ivanti Policy Secure设备的零日漏洞。这两个漏洞允许攻击者绕过身份验证并执行命令注入，进而可能导致未授权的远程代码执行（RCE）和内部网络的横向移动。 CVE-2023-46805：这是一个认证绕过漏洞，攻击者可以通过路径遍历来绕过访问控制检查。 CVE-2024-21887：这是一个命令注入漏洞，允许具有管理员权限的认证用户发送特殊构造的请求并在设备上执行任意命令。 攻击者，被称为UNC5221或UTA0178，利用这些漏洞在野外进行攻击。他们使用多个自定义恶意软件家族，在某些情况下，通过在设备内对合法文件进行木马化来植入恶意代码。这些漏洞的影响非常广泛，因为Ivanti Connect Secure作为SSL-VPN解决方案，对于潜在攻击者来说是一个极具吸引力的目标，它们寻求进入企业内部网络的入口点。如果被破坏，可能会给恶意行为者提供进入敏感组织系统和数据存储库的立足点。因此，了解和加强围绕Ivanti Connect Secure的安全措施对于保护潜在网络威胁和入侵至关重要。 在漏洞被披露后，美国网络安全和基础设施安全局（CISA）发布了紧急指令，要求所有联邦机构在2024年2月2日之前断开受影响的Ivanti产品与网络的连接，并在已经受到威胁的情况下执行额外的取证分析和清理步骤。Ivanti也发布了补丁，以解决所有受影响产品的安全问题。 这次事件显示了攻击者对新发现漏洞的迅速利用能力，增加了各行业面临的安全风险，特别是对于那些依赖于VPN解决方案来保护网络访问的组织。这也强调了及时应用安全补丁和维护强大的网络安全措施的重要性。 相关阅读： https://hackernews.cc/archives/49790 2、超大规模数据泄露事件曝光 2024年1月，网络安全领域遭遇了一次前所未有的挑战，研究人员揭露了一起涉及260亿条记录的超大规模数据泄露事件。这次泄露的数据不仅数量惊人，而且来源多样，包括了多家国际知名企业和机构，如Twitter、Adobe、LinkedIn等。泄露的数据种类繁多，涵盖了大量个人身份信息、账户凭证、电子邮件地址和电话号码等敏感信息，对全球网络安全构成了严重威胁。 这一事件由网络安全专家Bob Diachenko及其团队发现。初步调查显示，泄露的数据来源复杂多样，既有多个先前已泄露的数据库和历史数据，也包括通过非法渠道收集的信息。泄露数据的存储方式和数量表明，这些数据可能由网络犯罪分子或数据经纪人收集，并与跨境数据交换及恶意组织的合作有着密切联系。这一事件不仅暴露了个人隐私和敏感信息的安全风险，也凸显了全球数据保护和网络安全管理的紧迫性和重要性。 相关阅读： https://hackernews.cc/archives/49414 3、勒索团伙LockBit遭执法机构重锤 2024年2月，一个名为“克洛诺斯行动”（Operation Cronos）的联合执法行动在全球范围内对臭名昭著的勒索软件组织LockBit发起了毁灭性的打击。这次行动由11个国家的执法机构共同参与，包括美国、法国、英国等，取得了显著的成果。 在这次行动中，两名LockBit的运营者在波兰和乌克兰被捕，执法部门扣押了超过200个可能包含受害者支付的勒索金的加密钱包。此外，执法部门从查获的LockBit服务器中获取了超过1,000个解密密钥，并基于这些密钥开发了一个免费的解密工具，供受害者恢复加密文件。LockBit的服务器和基础设施被查获，其数据泄露站点也被接管，用于发布解密工具和悬赏通知。 法国和美国司法当局针对其他LockBit威胁行为者发出了三份国际逮捕令和五项起诉书。此次全球行动由英国国家犯罪局(NCA)领导，并在欧洲由欧洲刑警组织和欧洲司法局协调。欧洲刑警组织表示，为期数月的行动最终成功捣毁了LockBit组织犯罪活动所依赖的主要平台和其他关键基础设施。 这次行动的成功不仅展示了国际合作在打击网络犯罪方面的力量，也为全球网络安全领域树立了一个重要的里程碑。通过这次行动，执法机构不仅重创了LockBit的基础设施，还获取了大量情报，包括与其合作过的组织信息以及利用LockBit服务危害全球网络安全的信息。这些成果对于预防未来的网络犯罪活动和保护全球网络安全具有重要意义。 相关阅读： https://hackernews.cc/archives/50030 https://hackernews.cc/archives/50057 4、联合健康集团子公司Change Healthcare遭到勒索软件攻击 2024年2月，美国医疗支付服务提供商Change Healthcare遭受了一起严重的勒索软件攻击事件，导致约1亿人的个人信息受到影响。这次攻击由臭名昭著的勒索软件组织ALPHV/BlackCat声称负责。攻击者通过从缺乏多因素认证的Citrix门户获取的被盗凭证访问了Change Healthcare的系统，并在网络中潜伏了大约九天，未被发现，随后部署了勒索软件。 此次攻击干扰了超过100个Change Healthcare应用程序，包括牙科、药房、医疗记录、临床服务、注册、收入和付款等多个应用程序服务中断，影响了全国范围内的计费、保险索赔处理、处方药交付等关键功能。由于系统被加密，许多医院和药房无法正常处理索赔和接收付款，导致医疗服务中断。此外，攻击还导致了大量敏感数据被盗，包括个人身份信息、医疗记录、账单记录和保险数据等。 与此次攻击相关的总成本预计超过24.5亿美元，包括赎金支付、恢复工作和法律责任。据报道，Change Healthcare支付了2200万美元的赎金，尽管这一支付并未阻止另一个名为RansomHub的组织进行进一步的敲诈。这次攻击不仅对Change Healthcare造成了巨大的经济损失，也对美国医疗保健系统的正常运作造成了严重影响。 相关阅读： https://hackernews.cc/archives/50120 https://hackernews.cc/archives/51728 https://hackernews.cc/archives/56184 5、Snowflake被黑导致165家企业数据泄露 Snowflake数据泄露事件是2024年春季发生的一系列针对使用Snowflake云存储服务的组织的大规模数据泄露。根据谷歌Mandiant的报告，至少有165家组织受到了影响，包括Ticketmaster、Advance Auto Parts、Santander等知名企业。这些泄露事件并非由于Snowflake自身的环境问题，而是由于客户凭证被泄露，且许多受影响账户没有启用多因素身份验证（MFA）。 攻击者，被Mandiant归因于UNC5537，是一个以经济动机为驱动的威胁行为者，涉嫌从Snowflake客户环境中窃取大量记录。他们通过窃取的客户凭证入侵Snowflake客户实例，并在网络犯罪论坛上发布出售受害者数据的广告，试图敲诈受害者。UNC5537主要位于北美，另有一名成员在土耳其。 这次事件不仅对Snowflake造成了财务损失和声誉损害，还引发了多起针对Snowflake及其他受影响公司如AT&T、Santander Bank、Ticketmaster、Lending Tree和Advanced Auto Parts的集体诉讼。此外，受影响组织的员工数据，如用户名、密码和独特的网络地址也受到了影响。泄露的数据包括个人身份信息，如姓名、地址、信用卡信息和用户名。 Snowflake在识别出导致泄露的原因后，通知了其客户，并建议他们实施MFA以防止未经授权访问其数据库。这一事件强调了多因素身份验证在强大网络安全策略中的重要性。如果所有第三方承包商都实施了MFA，黑客就不会获得访问Snowflake系统的机会。 相关阅读： https://hackernews.cc/archives/53057 6、戴尔公司数据安全事件 2024年5月，戴尔科技集团（Dell Technologies）遭受了一起重大的数据泄露事件，影响了约4900万用户。一名自称为Menelik的黑客在网络犯罪论坛上声称拥有包含4900万条戴尔客户记录的数据库，并试图出售这些数据。这些记录涉及自2017年至2024年间购买戴尔产品的客户。 泄露的数据包括客户的姓名、实际家庭住址、选购的戴尔产品和订单详情以及服务标签、商品描述、订购日期和相关的保修信息等。戴尔公司强调，被盗信息中不包含任何财务或付款信息、电子邮件地址或电话号码。数百万客户面临潜在的身份盗窃和钓鱼攻击风险。此次泄露还削弱了客户对戴尔保护客户数据能力的信任。戴尔因泄露事件面临巨大的财务损失，包括调查、补救、法律费用和潜在的监管罚款。公司股价在披露后也出现了下跌。 戴尔数据泄露事件强调了组织必须持续投资于强大的网络安全措施以保护敏感数据免受不断演变的威胁，实施主动监控系统以实时检测和响应潜在泄露，以及在危机期间与客户和利益相关者进行开放和诚实的沟通对于维护信任和最小化损害至关重要。 相关阅读： https://hackernews.cc/archives/52293 7、《纽约时报》重大数据泄露事故 2024年6月，《纽约时报》揭露了一起严重的数据泄露事件，其严重性在于泄露的数据规模和敏感性。一名匿名黑客在4chan论坛上公开了大约270GB的数据，这些数据包含了约360万个文件。泄露的数据不仅包括《纽约时报》网站和移动应用程序的源代码，还涵盖了内部工具的敏感信息，这些信息对于保护新闻机构的网络安全至关重要。 这次数据泄露事件对《纽约时报》来说是一个重大打击，因为它不仅暴露了其技术基础设施的脆弱性，还可能危及到其记者和员工的安全。源代码的泄露可能会导致未来的网络攻击更加针对性和有效，因为攻击者可以利用这些信息来发现和利用系统的安全漏洞。 此外，这一事件也凸显了即使是全球知名的新闻机构也可能成为网络犯罪的目标，这进一步强调了加强网络安全措施的重要性，以及对内部数据进行更好的保护和管理的必要性。《纽约时报》和其他组织必须从这次事件中吸取教训，加强其网络安全防御，以防止未来发生类似的数据泄露。 相关阅读： https://hackernews.cc/archives/53066 8、微软蓝屏故障横扫全球 2024年7月，全球范围内发生了一起严重的IT系统故障事件，主角是美国网络安全企业CrowdStrike的一次错误更新。这次更新导致全球超过850万台Windows设备出现“蓝屏”死机现象，影响范围极广，包括航空公司、铁路运输、金融机构、广播电台、医疗机构、支付系统等关键基础设施。具体来说，CrowdStrike Falcon Sensor的一个关键更新导致了Windows系统出现大面积BSOD（蓝屏死机）错误，这不仅影响了个人用户，还对企业运营造成了严重影响。 此次事件中，包括美国航空、达美航空和联合航空在内的主要航空公司报告了严重的中断，航班停飞，值机系统无法运行，许多乘客被困或面临严重延误。此外，全球有4.1万个航班被推迟，逾4600个航班被取消，经济损失以十亿美元计算。CrowdStrike的美股盘前跌超13%，微软跌2%，CrowdStrike市值一夜蒸发近百亿美元，创2022年以来最差单日表现。 中国企业在这次蓝屏风波中相对“独善其身”，背后原因是众多关系国计民生的行业普遍使用国产终端安全防护软件，国产网络安全防护产品以更加可靠、稳定和智能的本土特色广泛服务于广大政企客户。这次事件不仅给全球IT基础设施的韧性与安全性带来了深刻检验，也凸显了全球对少数供应商软件依赖所构成的严重风险，一旦出现问题，后果可能比不运作的后果更严重。 相关阅读： https://hackernews.cc/archives/54253 9、AT&T客户敏感信息泄露 2024年7月，美国电信巨头AT&T遭遇了一起重大的数据泄露事件，影响了约1.09亿名客户的敏感信息。这次泄露的数据主要托管在Snowflake云服务公司，包括了客户手机和固定电话的号码、通话和短信记录，以及通话时的位置信息。值得注意的是，虽然泄露的数据不包括通话或短信的内容、社会保障号码、出生日期或其他个人身份信息，但这些元数据仍然可能被用来追踪用户的行为和联系。 AT&T在4月19日得知了这次数据泄露事件，并发现其与3月的一起安全事件无关。被盗的数据涉及2022年5月1日至2022年10月31日六个月期间的记录，以及2023年1月2日以来少数客户的记录。这次泄露事件被追溯到Snowflake平台上的AT&T工作区，并未影响AT&T的网络。目前，尚不清楚AT&T出于何种原因将客户数据存储在Snowflake中。 面对这一严峻的形势，AT&T迅速启动了内部及外部调查，并与执法部门紧密合作。目前至少有一名涉案人员被捕。同时，公司正在采取措施关闭非法接入点，以努力遏制数据泄露的进一步扩散。此次事件再次将美国电信行业的客户数据保护问题推向风口浪尖，引发了公众对个人信息安全的深切忧虑。 相关阅读： https://hackernews.cc/archives/53763 https://hackernews.cc/archives/53815 10、黎巴嫩传呼机、对讲机两轮爆炸 2024年9月，黎巴嫩经历了一场前所未有的安全危机，一系列与对讲机和传呼机相关的爆炸事件震惊了全球。这些爆炸主要针对黎巴嫩真主党成员，造成了数十人死亡和数千人受伤。爆炸事件分为两个阶段：第一阶段为寻呼机爆炸，第二阶段为对讲机爆炸。在寻呼机爆炸发生后的24小时内，对讲机也发生了爆炸，许多爆炸发生在因寻呼机爆炸事件而聚集的人群中，包括葬礼和医院。 据报道，以色列情报机构摩萨德涉嫌在黎巴嫩真主党订购的寻呼机内安放了爆炸物，这些寻呼机的电路板经过特殊设计，难以被检测到异常。当这些寻呼机接收到特定代码时，就会被引爆。这种将日常通讯工具转变为致命武器的行为，不仅展示了技术“双刃剑”的特性，也暴露了全球供应链安全的重大漏洞。 这一事件引起了国际社会的广泛关注和强烈反响。各国政府对遇难者表示哀悼，并对黎巴嫩政府表示支持，同时呼吁彻查事件真相，严惩幕后黑手。联合国等国际组织也表达了对地区紧张局势加剧的担忧，并呼吁各方保持克制，共同维护中东地区的和平与稳定。黎巴嫩传呼机、对讲机两轮爆炸事件不仅是一次针对特定组织的攻击，更是对全球供应链安全和平民生活安全的一次警示。 相关阅读： https://hackernews.cc/archives/55523 https://hackernews.cc/archives/55544 11、美国国家公共数据公司（NPD）敏感信息泄露事件 美国国家公共数据公司（NPD）遭遇的敏感信息泄露事件是2024年最严重的数据安全事件之一。NPD是一家背景调查公司，主要从非公开来源收集个人身份信息（PII）。今年4月，NPD遭受了网络攻击，导致29亿条个人记录被泄露，这被认为是历史上第二大数据泄露事件。泄露的信息包括社会安全号码、姓名和地址等敏感数据。黑客USDoD在地下论坛上出售这些数据，声称拥有与29亿人相关的个人数据。 这次泄露的数据量巨大，涵盖了2019年至2024年间的信息，总计达到277.1GB。这些数据的泄露不仅对个人隐私构成了严重威胁，也可能被用于身份盗窃和金融欺诈等犯罪活动。由于无法产生足够的收入来解决潜在的负债及相关费用，加之医疗机构等客户禁止有背景问题的企业提供服务，NPD最终由其母公司Jerico Pictures于10月2日向佛罗里达州南区法院申请破产。 NPD的数据安全管理漏洞暴露了其在保护敏感信息方面的不足，包括未及时修补的软件缺陷和不严密的访问控制机制。这一事件凸显了处理个人敏感数据的组织在全球范围内面临的数据安全挑战，以及加强数据保护措施的紧迫性。 相关阅读： https://hackernews.cc/archives/55839 12、网络安全迎来 AI 新挑战 2024年，随着人工智能领域的不断进步，AI和深伪技术被黑客利用发起更大规模、更复杂且难以检测的攻击，黑客进行身份伪造、欺诈活动等行为变得更加容易和高效。比如通过深伪技术生成的虚假视频或音频可以欺骗用户，使其相信是真实可信的信息来源，从而实施诈骗。此外，AI算法还可以自动分析大量数据，寻找目标人群的弱点，并定制个性化的钓鱼邮件或社交媒体消息，提高攻击的精准度和成功率。这种新型的诈骗方式不仅对个人用户构成威胁，也给企业和政府机构带来了巨大的安全挑战。例如，2024年3月，在一起针对德国数十家机构网络钓鱼活动中，研究人员发现攻击者使用的 PowerShell 脚本很有可能由AI辅助创建。 AI的崛起无疑为网络安全领域带来了前所未有的挑战，仿佛打开了潘多拉的魔盒。在不远的未来，我们预期将会见证更多借助于AI技术进行的攻击事件，这些攻击将更加复杂、难以预测和防御。同时，这也迫切要求防御领域采取积极的改进措施，以应对这一新兴威胁。 相关阅读： https://hackernews.cc/archives/51536 https://hackernews.cc/archives/55750 https://hackernews.cc/archives/56188       数据来源 https://hackernews.cc/，转载请注明出处

error code: 521

在CTF中，内存取证一般指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析，提取flag或者与flag相关重要信息。

在CTF中，内存取证一般指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析，提取flag或者与flag相关重要信息。

在CTF中，内存取证一般指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析，提取flag或者与flag相关重要信息。

近期，火绒威胁情报中心监测到 XMRig 挖矿病毒正在通过破解软件进行传播，该破解软件下载链接由 CSDN 用户在其发布的文章中提供。目前，火绒安全产品可对上述病毒进行拦截查杀。

在CTF中，内存取证一般指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析，提取flag或者与flag相关重要信息。

随着业务的不断扩展和市场需求的增长，火绒安全寻求更多优秀的合作伙伴加入我们的行列。我们特别开启了渠道伙伴招募计划，期待与更多志同道合的伙伴一起把握行业趋势，共同开拓市场潜力，携手共创网络安全的美好未来

随着互联网的发展，各类软件的功能日益强大，市面上出现了越来越多的付费软件或提供高级功能的订阅服务。为了进行教育与学习、或是节省成本以获取软件的高级功能，寻求并使用未经官方授权的破解软件或许已经成为一种

声明：Tide安全团队原创文章，转载请声明出处！文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！内存取证是指从计算机内存（RAM

A vulnerability was found in Moxa EDR-810, EDR-8010, EDR-G902, EDR-G903, EDR-G9004, EDR-G9010, EDF-G1002-BP, NAT-102, OnCell G4302-LTE4 and TN-4900 up to 5.12.37 and classified as very critical. This issue affects some unknown processing. The manipulation leads to reliance on security through obscurity. The identification of this vulnerability is CVE-2024-9138. The attack may be initiated remotely. There is no exploit available.

A vulnerability has been found in Moxa EDR-8010, EDR-G9004, EDR-G9010, EDF-G1002-BP, NAT-102, OnCell G4302-LTE4 and TN-4900 and classified as very critical. This vulnerability affects unknown code. The manipulation leads to os command injection. This vulnerability was named CVE-2024-9140. The attack can be initiated remotely. There is no exploit available.

#科技资讯 印度政府关于 VPN 的新规正在执行，多款 VPN 因未能保存用户信息而被要求下架，包括 Cloudflare 的 1.1.1.1 等。这项规定始于 2022 年 9 月，

HomeAndroidCameraFileCopy – 开发者一定是个天才，不用网络，用空气传输文件[Android]

A vulnerability, which was classified as problematic, was found in iTerm2 3.5.6/3.5.7/3.5.8/3.5.9/3.5.10. This affects an unknown part of the file /tmp/framer.txt of the component Terminal Command Handler. The manipulation leads to sensitive information in log files. This vulnerability is uniquely identified as CVE-2025-22275. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.