各位 FreeBufer 周末好~以下是本周的「FreeBuf 周報」,我們總結推薦了本周的熱點資訊、優質文章和省心工具,保證大家不錯過本周的每一個重點!
熱點資訊
1、Atlassian 解決了一個關鍵的 Jira 身份驗證繞過漏洞
3、谷歌修復了 VirusTotal 平台的高危 RCE 漏洞
4、對俄羅斯宣戰以來,匿名者累計泄露 5.8TB 數據
5、藉由 Hack DHS 計劃,美國國土安全部系統發現了 122 個安全漏洞
8、美國懸賞 1000 萬美元,徵集 6 名俄羅斯沙蟲組織成員線索
10、研究發現,支付贖金只占勒索攻擊事件總損失的 15%
優質文章1、Gartner 2022 安全與風險趨勢
3 月初,Gartner 確認了 2022 年的七大安全與風險趨勢。Gartner 表示,安全和風險管理領導者需要應對七大趨勢,才能保護企業不斷擴張的數字足跡免受 2022 年及以後新威脅的影響。
Gartner 研究副總裁 PeterFirstbrook 表示:「全球企業正面臨着複雜的勒索軟件攻擊、針對數字供應鏈的攻擊和深層漏洞。此次疫情加快了混合工作模式的發展和上雲速度,這給 CISO 提出了一道難題:如何保護日益分散化的企業,同時解決資深安全人員的短缺問題。
2、軟件成分安全分析(SCA)能力的建設與演進
隨着 DevSecOps 概念的逐漸推廣和雲原生安全概念的快速普及,研發安全和操作環境安全現在已經變成了近兩年行業非常熱的詞彙。在研發安全和應急響應的日常工作中,每天都會收到大量的安全風險信息,由於目前在系統研發的過程中,開源組件引入的比例越來越高,所以在開源軟件治理層面需要投入很多精力。但是由於早期技術債的問題,很多企業內部在整個研發流程中對使用了哪些開源組件,這些開源組件可能存在嚴重的安全隱患等相關的問題幾乎是沒有任何能力去收斂,所以多年前的 SCA(Software Composition Analysis 軟件成分分析)技術又重出江湖,變成了這一部分風險治理的神器。本文主要探討的範圍是利用 SCA 技術實現對開源組件風險治理相關能力的建設與落地。
3、深度剖析 MuddyWater 武器庫之 POWERSTATS 後門
MuddyWater APT 組織於 2017 年 2 月被 Unit42 披露命名,被認為是來源於伊朗的 APT 組織,主要針對中東地區進行攻擊。該組織早期的攻擊活動與 FIN7 組織有關聯,但由於其動機完全不同所以被劃分為兩個不同的組織。MuddyWater 組織的攻擊通常始於向組織發送有針對性的電子郵件,然後從該組織內受感染的系統中竊取合法文件,然後將其武器化並分發給其他受害者。其攻擊的特點是善於使用高度混淆的PowerShell 後門,被稱為 POWERSTATS。MuddyWater 自被披露以來一直活躍,不斷有安全公司披露相關新樣本及其後門新變種,其攻擊TTP也在不斷更新。2018 年 5 月以來其主要目標轉移為中東地區的國家的電信和 IT 服務行業、政府機構和軍事實體等。
4、從電信網絡詐騙角度剖析,詐騙資金是如何流轉的?
近年來,隨着我國經濟社會向數字化快速轉型,犯罪結構發生了根本性變化,傳統犯罪持續下降,以電信網絡詐騙為代表的新型犯罪快速上升成為「主流」,嚴重阻礙了我國數字經濟的健康發展。面對嚴峻的電信網絡詐騙現狀,公安部陸續開展了各類專項行動,國家反詐中心去年共緊急止付涉案資金 3200 余億元,攔截詐騙電話 15.5 億次、成功避免 2800 余萬名民眾受騙。
本文從電信網絡詐騙手法、洗錢方式、產業鏈為切入點,深度剖析電信網絡詐騙背後衍生的洗錢產業,對相關反制手段、思路予以探討,望能起到拋磚引玉的目的,集思廣益。
5、谷歌 Project Zero 報告披露 2021 年 0-day 漏洞利用全球趨勢
「Project Zero」是一項由谷歌成立的互聯網安全項目,成立時間為 2014 年 7 月。該團隊主要由谷歌內部頂尖安全工程師組成,旨在發現、追蹤和修補全球性的軟件安全漏洞。自 2019 起,團隊每年會對過去一年內檢測到的 0-day漏洞在野利用進行回顧並發布報告。2021年內,「Project Zero」共檢測並披露了 58 個在野外的 0-day 漏洞,這一數字創下了項目 2014 年成立以來的新紀錄。本篇報告中,「Project Zero」團隊詳細向我們介紹了被檢測到的 58 個 0-day 漏洞的類型和攻擊模式,並分析了 2021 年 0-day 數據暴增的原因。另外,在報告中,我們也可以清晰地看到團隊在 2022 年的工作方向。
省心工具1、如何使用 linWinPwn 自動枚舉活動目錄並檢測安全漏洞
linWinPwn 是一個功能強大的 Bash 腳本,能夠幫助廣大研究人員以自動化的方式實現活動目錄枚舉以及安全漏洞掃描。該腳本基於很多現有工具實現其功能,其中包括:impacket、bloodhound、crackmapexec、ldapdomaindump、lsassy、smbmap、kerbrute和adidnsdump。
2、如何使用 Uncover 通過多個搜索引擎快速識別暴露在外網中的主機
Uncover是一款功能強大的主機安全檢測工具,該工具本質上是一個Go封裝器,並且使用了多個著名搜索引擎的API來幫助廣大研究人員快速識別和發現暴露在外網中的主機或服務器。該工具能夠自動化完成工作流,因此我們可以直接使用該工具所生成的掃描結果並將其集成到自己的管道工具中。當前版本的Uncover支持Shodan、Shodan-InternetDB、Censys和Fofa搜索引擎API。
3、如何使用 GitBleed 從 Git 庫鏡像中提取數據
GitBleed 是一款針對 Git 庫鏡像的安全檢測工具,該工具包含了多個 Shell 腳本,可以幫助廣大研究人員下載克隆的 Git 庫和 Git 庫鏡像,然後從中提取各種數據,並分析兩者之間的不同之處。
