嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com
嘶吼是一家新兴的互联网安全新媒体,为您带来不一样的互联网安全新视界。嘶吼的出现将为信息安全领域带来更有力量的声音,我们的每一声嘶吼,都如雷贯耳;每一个步伐,都掷地有声!
一款名为“Pixnapping”的新型侧信道攻击近期频繁出现,恶意安卓应用无需获取任何权限,即可通过窃取其他应用或网页显示的像素、重构像素内容来提取敏感数据。 这些数据可能包括各类高敏感私人信息,例如加密通信应用Signal的聊天记录、Gmail邮件内容,以及谷歌身份验证器生成的双因素认证验证码。 一、攻击核心特点:适配全补丁安卓设备,30秒可窃取2FA码 该攻击由7名美国大学研究人员设计并验证,即便在安装了所有安全补丁的现代安卓设备上仍能生效,且窃取2FA验证码的时间可缩短至30秒以内。 谷歌曾试图在9月的安卓系统更新中修复该漏洞(漏洞编号CVE-2025-48561),但研究人员成功绕过了这一防护措施。目前,有效的修复方案预计将在2025年12月的安卓安全更新中推出。 二、Pixnapping攻击原理:借SurfaceFlinger机制与GPU漏洞提取像素 1. 攻击执行流程 攻击始于恶意应用滥用安卓的“意图(intents)系统”,启动目标应用或网页——此时目标窗口会被提交至系统的“合成进程”,该进程的作用是将多个同时显示的窗口合并渲染。 下一步,恶意应用会定位目标像素(例如构成2FA验证码数字的像素),并通过多次图形操作判断这些像素是“白色”还是“非白色”。 研究人员通过启动“遮罩活动”实现单个像素隔离:该遮罩活动处于前台,遮挡目标应用,同时将遮罩窗口设置为“除攻击者选定位置的像素为透明外,其余均为不透明白色”,从而单独暴露目标像素。 在攻击过程中,恶意应用会放大隔离后的像素——这一操作利用了SurfaceFlinger实现模糊效果时的“特性缺陷”,该缺陷会产生类似“拉伸”的效果,便于像素识别。 模糊的 1x1 子区域拉伸成更大的彩色斑块 当所有目标像素都被提取后,研究人员会采用类似光学字符识别(OCR)的技术,区分出每个字符或数字。研究人员解释道:“从原理上看,这相当于恶意应用在截取本不应被其访问的屏幕内容。” 2. 关键技术支撑:GPU.zip侧信道攻击 为窃取像素数据,研究人员采用了“GPU.zip侧信道攻击”——该攻击利用现代GPU的图形数据压缩机制,泄露视觉信息。 尽管数据泄露速率相对较低(每秒0.6至2.1个像素),但研究人员通过优化手段证明,仍可在30秒内提取2FA验证码或其他敏感数据。 三、攻击影响范围:覆盖主流安卓设备与系统版本 研究人员在多款设备上验证了Pixnapping攻击的有效性,包括谷歌Pixel 6/7/8/9系列、三星Galaxy S25,涉及的安卓系统版本从13到16,所有测试设备均存在漏洞。 由于Pixnapping依赖的底层机制在旧版安卓系统中同样存在,因此绝大多数安卓设备及旧版系统大概率也面临风险。 研究人员还分析了近10万个谷歌应用商店应用,发现通过安卓意图系统可调用数十万种操作,这表明该攻击的适用范围极为广泛。 四、典型数据窃取场景示例 研究人员在技术论文中列出了以下数据窃取案例(均为未优化状态下的耗时): ·谷歌地图:时间轴条目约占54264至60060个像素,提取一条条目需20至27小时; ·Venmo:通过隐式意图可打开个人资料、余额、交易记录、账单等页面,账户余额区域约占7473至11352个像素,提取需3至5小时; ·谷歌短信:通过显式/隐式意图可打开对话窗口,目标区域约占35500至44574个像素,提取需11至20小时;攻击可通过检测“蓝色vs非蓝色”或“灰色vs非灰色”像素,区分发送与接收的短信; ·Signal:通过隐式意图可打开对话窗口,目标区域约占95760至100320个像素,提取需25至42小时;即便开启Signal的“屏幕安全”功能,攻击仍能成功。 当前,谷歌与三星均已承诺在年底前修复相关漏洞,但目前尚无GPU芯片厂商宣布针对“GPU.zip侧信道攻击”的补丁计划。 尽管9月的安卓更新已缓解了最初的漏洞利用方式,但谷歌后续收到了研究人员提交的“绕过原修复方案”的更新攻击方法。目前谷歌已开发出更彻底的补丁,将随12月的安卓安全更新一同发布。 谷歌表示,利用该数据泄露技术需获取目标设备的特定信息——正如研究人员所指出的,这导致攻击成功率较低。此外,当前核查显示,谷歌应用商店中暂无利用Pixnapping漏洞的恶意应用。
近日,360安全智能体首家通过中国软件评测中心智能体能力成熟度评估,在“钓鱼邮件研判”和“网络告警研判”两大核心场景中,双双获评L3成熟级认证,这不仅彰显了360在智能体技术应用上的领先实力,也标志着其在企业安全运营与产业智能化转型中,稳居行业第一梯队。 当前,我国智能体产业迎来从技术探索到场景落地的关键时期。面对不同行业的差异化需求,如何验证智能体的实战能力,成为推动行业发展的核心议题。中国软件评测中心(工业和信息化部软件与集成电路促进中心)牵头开展智能体能力成熟度评估工作,旨在系统验证智能体在功能、效能及可信可靠水平方面的综合表现,为行业用户提供选型参考。L3级作为成熟级,代表智能体面向复杂跨场景任务,具备自主任务规划能力,可像领域专家一样,独立完成任务,并具备多工具调用能力,任务执行成功率比较高。 作为国内唯一兼具数字安全和人工智能双重能力的企业,360依托海量安全数据,以CoE多专家协同安全大模型架构为基础,通过安全场景专项化训练,形成安全垂类大模型,完成终端行为归因、网络告警研判、钓鱼邮件深度解析等专项安全任务,推出一系列面向实战的安全智能体,帮助企业进行针对性安全防护能力提升,低成本、高效率地实现24小时不间断安全守护。 此次通过成熟级认证的“钓鱼邮件研判智能体”与“网络告警研判智能体”,不仅在自主决策、复杂场景应对和跨系统协同等方面表现卓越,更意味着360安全智能体已超越基础自动化,迈入真正的“智能化”阶段,成为企业可依赖的“安全数字专家”。 360钓鱼邮件研判智能体:为“社会工程学攻击”布下天罗地网 利用海量高质量邮件数据,通过对安全大模型进行专项训练,形成钓鱼邮件专用检测模型,结合强大的文件沙箱等多种检测工具能力,利用“Workflow + MCP”相结合的方式,构建钓鱼邮件智能体,实现强大的自然语言理解、攻击意图推理、思维链研判能力、灵活的工具调用以及海量安全知识储备。无论是附件加密、多模态欺骗,还是社会工程学攻击,它都能精准识别、主动拦截,为企业构筑起一道动态进化的反钓鱼智慧屏障。 360网络告警研判智能体:化“被动响应”为“主动处置” 依托海量网络日志数据,以CoE安全大模型为基座,通过强化学习的方式进行网络告警研判场景专项化训练,,形成网络告警研判垂类大模型,结合智能体平台、安全知识库、安全工具库,共同构建360网络告警研判智能体。对网络日志进行智能化深度研判分析,自动输出智能研判思考过程、研判结果、证据链路等,形成完整事件档案,让防御能力从被动响应变成主动出击,提升了安全运营的整体效率。 在实际应用中,以安全运营为例,由钓鱼邮件研判智能体、网络告警研判智能体等组成的“智能体蜂群”大幅提升了安全运营效率:事件平均研判时间从120分钟大幅缩短至5分钟,平均溯源调查时间从4小时降低至10分钟,推动安全运营迈入分钟级响应时代,整体研判效率实现15倍提升。 本次两大智能体双双通过权威认证,不仅巩固了360公司在AI安全领域的领导地位,也为整个行业树立了智能体能力建设与评估的范本。未来,360将继续以更智能、更成熟的产品与解决方案,护航数字中国建设,领航智能新时代。
如今企业的核心资产 早已从“设备”变成“数据” 客户信息、交易记录 研发成果、运营数据 …… 这些藏在服务器里的“数字金矿” 一旦遭遇泄露、篡改或勒索 轻则面临百万级罚款 重则直接断送业务根基 但不少企业提起“做数据安全” 总觉得“投入大、落地难” 其实找对方向 也能“轻量化、精准化”落地 今天就从数据安全核心逻辑出发 给企业一份 可落地的操作指南 第一步: 先“摸清家底”,别让数据“裸奔” 很多企业做安全的第一步 连自己有哪些数据 存在哪里、谁在使用 都不清楚 就盲目买防火墙、装杀毒软件 相当于“家里没盘点清楚 就先给大门装了10把锁” 根本防不住 内部泄露或精准攻击 正确的做法是 先做“数据资产梳理”: 用自动化工具 扫描全业务系统 包括云服务器、本地数据库 员工电脑、移动硬盘 把数据按“敏感等级”分类 比如 “客户身份证号、银行卡信息” 属于敏感数据 “公开的产品介绍” 属于非敏感数据 给每类数据贴“标签” 记录数据的“产生源头 存储位置、使用权限” 比如标注 “财务数据 ——仅财务总监及3名专员可查看 ——存储于加密服务器” 重点盯紧“流动中的数据” 员工通过微信传文件 外部合作方调用数据接口 远程办公时访问公司数据 这些场景 最容易出漏洞 要做到 “每一次数据流转都有记录” 比如:某连锁零售企业 之前总丢客户消费数据 后来通过资产梳理发现 有相当比例的门店员工 用私人U盘拷贝客户信息 却没人管控 梳理后 给敏感数据加了“拷贝预警” 漏洞直接堵上 第二步: 按“场景设防”,别搞“一刀切” 数据安全 不是“一套方案包打天下” 不同场景的风险点 天差地别 研发团队的“代码数据” 怕被窃取 财务部门的“交易数据” 怕被篡改 客服部门的“客户信息” 怕被泄露 盲目上“全量防护” 不仅成本高 还会影响业务效率 企业要针对核心场景 做“精准防护” ——数据存储场景—— 核心敏感数据必须“加密存储” 比如用国密算法 加密数据库 即使硬盘被盗 数据也解不开 敏感数据 可做“脱敏处理” 比如展示客户信息时 把“138****1234” 代替完整手机号 ——数据传输场景—— 员工传文件、系统间传数据 必须用“加密通道” 杜绝“明文传输” 之前某金融企业 因为用普通邮件 传贷款合同 被黑客截获 导致上千客户信息泄露 ——数据使用场景—— 给员工设“最小权限” 比如客服 只能看客户的基础联系方式 不能看完整身份证号 同时做“操作审计” 员工删数据、改数据 都会留下日志 一旦出问题能精准溯源 就像某制造业企业 针对“研发图纸”这个核心数据 专门做了 “权限+水印+审计” 三重防护 只有研发组长能下载图纸 下载后图纸自带员工姓名水印 谁打开、谁转发都有记录 第三步: 别忘“人”的防线,漏洞常在内部 很多企业以为 “数据安全是技术的事” 却忽略了最关键的一环——人 根据行业报告 大部分数据泄露事件 不是因为黑客多厉害 而是员工的“无心之失” 点了钓鱼邮件、用弱密码 把公司数据存在私人云盘…… 还有一部分 就是“内部恶意泄露” 比如离职员工 拷贝客户数据卖钱 所以“人的管理”必须跟上 ——定期做安全培训—— 别搞枯燥的PPT宣讲 用真实案例更有效 比如给员工看 “某公司员工点钓鱼邮件 导致服务器被勒索 全公司停摆X天”的视频 再教他们“如何识别钓鱼链接 怎么设置强密码” ——建“容错机制”—— 员工发现自己可能泄露了数据 别害怕被处罚 要鼓励他们“第一时间上报” 某互联网企业 就有“安全上报绿色通道” 员工误传数据后10分钟内上报 技术团队及时拦截 没造成损失 还免了员工的处罚 ——离职“数据交接”要严—— 员工离职前 必须注销所有系统账号 交还工作设备 技术部门要检查 设备里有没有拷贝敏感数据 同时回收数据访问权限 某医疗机构 因为离职医生带走 患者病历数据 不仅被罚款 还丢了合作资质。 其实数据安全的核心 不是“把数据锁起来不用” 而是 “在安全和业务效率之间找平衡” 既不让数据变成 “没人管的裸奔资产” 也不让安全措施变成 “业务的绊脚石” 如果你的企业还在为 “不知道数据藏在哪” “防不住泄露风险” “不知道从哪下手做安全” 发愁 来源:重庆信通设计院天空实验室
一个大规模僵尸网络正通过超10万个IP地址,针对美国境内的远程桌面协议(RDP)服务发起攻击。该攻击活动始于10月8日,威胁监控平台GreyNoise的研究人员根据IP地址来源判断,此次攻击由一个跨多国的僵尸网络发起。 远程桌面协议(RDP)是一种支持远程连接并控制Windows系统的网络协议,通常供管理员、技术支持人员及远程办公人员使用。 攻击者常通过多种方式利用RDP实施攻击,包括扫描开放的RDP端口、暴力破解登录密码、利用协议漏洞,或发起时序攻击等。 攻击核心手段:两种RDP相关攻击方式,精准枚举用户账户 研究人员发现,此次僵尸网络主要依赖两种与RDP相关的攻击手法: 1. RD Web访问时序攻击:探测RD Web访问端点,在匿名认证流程中通过检测响应时间差异,推断出系统中的有效用户名; 2. RDP Web客户端登录枚举:与RDP Web客户端的登录流程交互,通过观察服务器行为及响应的差异,枚举系统中的用户账户。 GreyNoise最初通过巴西地区异常的流量激增发现该攻击活动,随后在更多国家和地区监测到类似攻击行为,涉及阿根廷、伊朗、墨西哥、俄罗斯、南非、厄瓜多尔等。该公司表示,僵尸网络中被劫持设备所在的国家/地区总数已超100个。 来自巴西的异常活动激增 几乎所有发起攻击的IP地址都拥有相同的TCP指纹;尽管部分IP的“最大分段大小”存在差异,但研究人员认为,这是由僵尸网络的不同集群导致的。 防御建议:阻断攻击IP+强化RDP安全配置 为抵御此类攻击,安全研究人员建议系统管理员应尽快采取以下措施: ·阻断发起攻击的IP地址,同时检查日志中是否存在可疑的RDP探测行为; ·核心防御原则:不要将远程桌面连接暴露在公网中,建议通过搭建虚拟专用网络、启用多因素认证等方式,为RDP访问增加额外安全层。
一款名为RondoDox的新型大规模僵尸网络,正针对30多种不同设备中的56个漏洞发起攻击,其中包括首次在Pwn2Own黑客大赛期间披露的漏洞。 攻击者的目标涵盖各类暴露在外的设备,包括数字录像机(DVR)、网络录像机(NVR)、闭路电视系统(CCTV)和网络服务器,且自6月以来一直在活跃运作。 RondoDox僵尸网络采用了Trend Micro研究人员的策略。即同时使用多个漏洞利用工具,以实现感染量最大化,即便这类操作会产生大量明显痕迹也不例外。 自FortiGuard Labs发现RondoDox以来,该僵尸网络似乎已扩大了其利用的漏洞列表,其中包括CVE-2024-3721和CVE-2024-12856这两个漏洞。 大规模的n-day漏洞利用 在最新发布的一份报告中,RondoDox利用了CVE-2023-1389漏洞。该漏洞存在于TP-Link Archer AX21无线路由器中,最初是在2022年多伦多Pwn2Own大赛上被演示披露的。 Pwn2Own是由Trend Micro零日漏洞计划(Zero Day Initiative,简称ZDI)每年举办两次的黑客大赛。在大赛中,白帽黑客团队会演示针对广泛使用产品中零日漏洞的利用方法。 RondoDox TP-Link 漏洞利用时间表 安全研究人员指出,僵尸网络开发者会密切关注Pwn2Own大赛期间演示的漏洞利用技术,并迅速将其武器化。2023年Mirai僵尸网络对CVE-2023-1389漏洞的利用,就是典型案例。 以下是RondoDox攻击武器库中包含的2023年后的n-day漏洞列表: ·Digiever设备——CVE-2023-52163 ·QNAP设备——CVE-2023-47565 ·LB-LINK设备——CVE-2023-26801 ·TRENDnet设备——CVE-2023-51833 ·D-Link设备——CVE-2024-10914 ·TBK设备——CVE-2024-3721 ·Four-Faith设备——CVE-2024-12856 ·Netgear设备——CVE-2024-12847 ·AVTECH设备——CVE-2024-7029 ·TOTOLINK设备——CVE-2024-1781 ·Tenda设备——CVE-2025-7414 ·TOTOLINK设备——CVE-2025-1829 ·Meteobridge设备——CVE-2025-4008 ·Edimax设备——CVE-2025-22905 ·Linksys设备——CVE-2025-34037 ·TOTOLINK设备——CVE-2025-5504 ·TP-Link设备——CVE-2023-1389 老旧漏洞(尤其是已达生命周期终点设备中的漏洞)风险极高,因为这类漏洞更可能长期处于未修复状态。而仍在支持范围内的硬件中的较新漏洞同样危险,因为许多用户在设备设置完成后,往往会忽略固件更新。 安全研究人员发现,RondoDox整合了针对18个命令注入漏洞的利用工具,这些漏洞尚未分配漏洞标识。它们会影响D-Link网络附加存储(NAS)设备、TVT和LILIN品牌的DVR、Fiberhome、ASMAX及Linksys路由器、Brickcom摄像头,以及其他未明确标识的终端设备。 RondoDox及其他僵尸网络攻击防御建议 为防范RondoDox及其他僵尸网络攻击,建议人们可采取以下措施: 1. 为设备安装最新可用的固件更新,并更换已达生命周期终点(EoL)的设备。 2. 建议对网络进行分段,将关键数据与连接互联网的物联网设备(IoT)或访客网络隔离开来。 3. 将设备默认凭据替换为安全性更高的密码。
微软获悉黑客正利用Chakra JavaScript引擎中的零日漏洞获取目标设备访问权限后,已对Edge浏览器的Internet Explorer(IE)模式访问权限实施限制。 目前,微软未披露过多技术细节,但表示威胁者将社会工程学手段与Chakra引擎漏洞相结合,实现了远程代码执行。 微软Edge安全团队负责人Gareth Evans表示:“团队近期收到情报显示,威胁者正滥用Edge浏览器中的IE模式,非法访问毫无防备的用户设备。” 一、IE模式背景:为兼容旧技术保留,却成攻击突破口 尽管Internet Explorer的支持服务已于2022年6月15日终止,但微软Edge浏览器仍保留了IE模式——该模式用于兼容部分仍在使用的旧技术(ActiveX控件、Flash插件),这类技术常见于少量企业应用及政府门户网站。 今年8月,Edge安全团队发现,威胁者会引导目标用户访问“外观仿官方的伪造网站”,并通过页面交互元素诱导用户以IE模式加载该页面。 在利用Chakra引擎零日漏洞后,攻击者会进一步利用第二个漏洞提升权限、突破浏览器沙箱限制,最终完全控制目标设备。 Evans未提供这两个被利用漏洞的标识信息,仅透露Chakra引擎的零日漏洞目前尚未修复。 二、防护措施:限制IE模式激活方式,强化用户操作意图验证 为降低风险,微软已移除Edge浏览器中“便捷激活IE模式”的途径,包括专用工具栏按钮、右键上下文菜单选项及汉堡菜单(右上角三点菜单)中的相关入口。 现在,用户若需启用IE模式,需手动进入“设置> 默认浏览器> 允许”路径,手动指定需以Internet Explorer模式加载的网页。 IE模式 此次权限限制旨在确保IE模式的激活是“用户有意为之的操作”;此外,通过手动指定“允许以IE模式加载的网站列表”,可大幅降低攻击者通过伪造网站诱导用户的成功率。 需注意的是,上述访问限制不适用于商业用户(企业用户)。这类用户仍可通过企业策略配置,正常使用Edge浏览器的IE模式,以保障旧有业务系统的兼容性。
Qilin勒索软件团伙宣称,近期对啤酒巨头朝日(Asahi)发起的攻击系其所为。据悉,该攻击导致朝日集团在日本的业务运营中断。 朝日集团控股有限公司是日本最大的酿酒企业,以生产朝日超爽等畅销啤酒著称,同时也涉足软饮料及其他饮品领域。其业务覆盖国内外市场,在欧洲和亚洲拥有广泛布局。 9月底,该公司在遭遇网络攻击后暂停了日本分部的运营,其他地区分部未受影响。此次攻击导致朝日的订单与物流业务停滞,呼叫中心及客户服务平台也无法正常运作。 10月,朝日集团证实自身遭遇勒索软件攻击,但未披露实施该安全事件的团伙名称。该公司表示:事件发生后,已立即成立应急响应总部展开调查,确认服务器遭到勒索软件攻击。 随后,Qilin勒索软件团伙认领了这起针对朝日啤酒巨头的攻击,并泄露了27GB的被盗数据,其中包括员工文件与财务文档。该团伙窃取了9323个文件,并在其Tor数据泄露站点上发布了29张被盗文档的照片,涉及合同、员工信息、财务数据及业务资料等内容。 朝日集团已发布最新公告,确认攻击中被盗的数据已出现在网络上。公司正调查数据泄露范围,并将通知受影响方。公告中写道:“后续调查证实,因近期攻击可能被非法转移的数据已在互联网上被发现。正开展调查以确定可能被非法转移信息的性质和范围。若调查确认非法数据转移造成任何影响,公司将立即发出通知。” 此次事件影响了在日本的技术资产。尽管调查仍在进行中,但目前尚无迹象表明其他数据和系统受到影响。目前,朝日表示其日本子公司已部分或全面恢复生产,产品发货也已重启。
在当前数据作为国家战略资源和关键生产要素的背景下,梆梆安全基于在数据安全领域的技术积累与实践经验,参与了由北京软件和信息服务业协会牵头制定的T/BSIA 024—2025《数据企业评估规范》团体标准的编写工作。作为该标准的参编单位之一,梆梆安全围绕数据识别与分类、API接口防护、个人信息保护、隐私合规治理及安全技术体系建设等关键环节,提供了技术建议与实践案例,为评估规范的科学性、系统性与可操作性提供了支撑。此次参与标准制定,既是对梆梆安全在数据安全领域实践能力的认可,也体现了企业推动行业规范发展的责任意识。 《数据企业评估规范》作为数据产业系统性评估类标准,确立了数据企业评估的评估原则、评估程序,规定了基本要求、评估要求、评估程序、管理与监督等要求,适用于评估机构对数据企业进行符合性评估。 作为数据产业的参与者,梆梆安全深耕数据安全多年,构建覆盖多场景的数据安全能力建设体系。在数据泄露防护、数据分类分级、数据安全治理、个人信息保护、API安全监测防护等关键技术领域持续突破,通过API安全平台、移动应用合规平台、全渠道应用安全监测平台、数据安全合规审计、个人信息隐私合规评估与咨询服务等智能化自研产品与服务,打造覆盖数据全生命周期的防护方案,针对复杂应用环境提供具备落地性和可持续性的安全能力支撑,满足高水平动态安全需求。 发展数据产业是深化数据要素市场化配置改革、构建以数据为关键要素的数字经济的重要举措,是推进国家大数据战略、加快建设数字中国的重要支撑。在数据合规制度体系日趋完善的背景下,企业数据合规建设已刻不容缓。 梆梆安全将持续深耕数据安全、可信数据流通与企业合规体系建设,加大关键领域研发投入,积极参与行业标准制定与技术生态共建,推动数据安全评估体系不断优化与广泛落地。我们愿与各方携手,共同筑牢数据安全屏障,充分释放数据要素价值,为构建健康、有序、可持续的数据要素市场生态贡献安全力量。
近日,安全牛发布《实战网络靶场应用指南(2025版)》,指出网络靶场已从基础教学工具升级为国家网络空间安全战略的关键基础设施。新一代靶场以“实战+AI”为双引擎,依托高仿真环境,实现常态化、可量化的闭环运行。应用场景持续纵深拓展,覆盖工控、车联网、5G等关键领域。AI技术深度融合,推动场景生成、智能攻防与决策支持全面智能化。测试评估体系加速向自动化、标准化演进,通过标准解构与工具集成,实现环境快速构建与任务高效执行。 梆梆安全凭借在移动安全靶场领域的创新实践,深度融合AI技术赋能产品智能化,成功入选该指南的特色厂商推荐名单。 网络靶场特色厂商 · 推荐理由 梆梆安全定位聚焦于移动应用和APP安全领域,将实战网络靶场理念应用于移动安全,为企业提供验证移动应用安全策略和测试漏洞的解决方案。通过自动化分析引擎,以及自动化流量分析引擎能够有效提升效率,并具备识别AI人脸仿冒的能力,这对于金融、身份认证等对生物识别安全要求极高的移动应用场景,提供了关键的安全保障。 ——《实战网络靶场应用指南(2025版)》 随着移动应用在金融、政务、教育、医疗等关键领域的广泛普及,支付、认证等业务对人脸等生物识别验证的依赖日益加深,移动端安全威胁日益严峻,传统防护手段难以应对高强度、高隐蔽性的新型攻击。梆梆安全基于十余年移动安全领域的技术积累与实战经验,以AI为核心驱动力、深度融合实战化场景,构建了集“安全测试、对抗演练、AI智能分析、场景编排、知识沉淀、能力建设、人才培养”于一体的靶场平台——梆梆移动安全能力平台。 ·集成自研AI助手“小梆管家”,基于模型专项训练,具备移动安全专业知识问答、测试流程引导等能力,显著降低安全人员的技术门槛。 ·内置多类引擎(静态/动态分析、人脸绕过、流量分析等),支持对加固应用进行自动化脱壳、Hook注入、加密流量解析等高阶测试,有效在商业加固、运行环境检测、人脸识别等强对抗场景下,简化攻击操作,快速验证应用防护有效性、生物特征验证薄弱点。 ·提供标准化SOP流程与专家知识库,支持任务编排与工具集成,实现从“人防”到“技防+智防”的转变,助力企业构建具备自适应进化能力的移动安全防御体系。 梆梆移动安全能力平台以“实战化、体系化、智能化”为核心,围绕移动应用全生命周期安全需求,覆盖多维应用场景:标准化移动应用安全测试流程建设、移动应用渗透测试效率提升、移动应用供应链安全测试、攻防演练与安全竞赛赋能、移动应用防护有效性验证、安全测试经验沉淀与传承、高校移动安全实训与产教融合。 截至目前,梆梆移动安全能力平台已在金融、检测机构、教育等多个关键行业实现落地应用,其业务贴合度与实战有效性在这些高要求场景中得到了充分验证,并取得了显著成效。 展望未来,梆梆安全将继续以AI深度赋能平台升级,聚焦于智能流量分析等关键技术的突破,为高强度对抗演练、防御体系的有效性验证及实战型安全人才的培养,提供坚实的能力支撑,筑牢数字化业务的安全根基。
一款名为ClayRat的新型安卓间谍软件,正通过伪装成谷歌相册、TikTok、YouTube等热门应用及服务,诱骗潜在受害者。 该恶意软件以俄罗斯用户为攻击目标,攻击渠道包括Telegram频道和看似正规的恶意网站。它能够窃取短信、通话记录、通知,还能拍摄照片,甚至拨打电话。 移动安全公司Zimperium的恶意软件研究人员表示,在过去三个月里,他们已记录到600多个该软件样本以及50个不同的投放程序。这一数据表明,攻击者正积极采取行动,扩大攻击规模。 新型安卓间谍软件ClayRat攻击行动 ClayRat攻击行动以该恶意软件的命令与控制(C2)服务器命名。该行动用精心设计的钓鱼入口和已注册域名,这些入口和域名与正规服务页面高度相似。 这些网站要么直接提供安卓安装包文件(APK),要么将访客重定向至提供该文件的Telegram频道,而受害者对此毫不知情。 为让这些网站显得真实可信,攻击者添加了虚假评论、虚增了下载量,还设计了类似谷歌应用商店的虚假用户界面,并附上如何侧载APK文件以及绕过安卓安全警告的分步说明。 在后台加载间谍软件的虚假更新来源 Zimperium指出,部分ClayRat恶意软件样本起到投放程序的作用。用户看到的应用界面是虚假的谷歌应用商店更新页面,而加密的有效负载则隐藏在应用的资源文件中。 该恶意软件采用“基于会话”的安装方式在设备中潜伏,以此绕过安卓13及以上版本的系统限制,并降低用户的怀疑。这种基于会话的安装方式降低了用户感知到的风险,提高了用户访问某一网页后,间谍软件成功安装的可能性。 一旦在设备上激活,该恶意软件会将当前设备作为跳板,向受害者的联系人列表发送短信,进而利用这一新“宿主”感染更多受害者。 Telegram传播ClayRat植入程序 ClayRat间谍软件的功能 在受感染设备上,ClayRat间谍软件会获取默认短信处理程序权限。这使得它能够读取所有收到的和已存储的短信,在其他应用之前拦截短信,还能修改短信数据库。 ClayRat成为默认的SMS处理程序 该间谍软件会与C2服务器建立通信,其最新版本中采用AES-GCM加密算法进行通信加密。之后,它会接收12种支持的命令中的一种,具体命令如下: ·get_apps_list——向C2服务器发送已安装应用列表 ·get_calls——发送通话记录 ·get_camera——拍摄前置摄像头照片并发送至服务器 ·get_sms_list——窃取短信 ·messsms——向所有联系人群发短信 ·send_sms/make_call——从设备发送短信或拨打电话 ·notifications/get_push_notifications——捕获通知和推送数据 ·get_device_info——收集设备信息 ·get_proxy_data——获取代理WebSocket链接,附加设备ID,并初始化连接对象(将HTTP/HTTPS协议转换为WebSocket协议,同时安排任务执行) ·retransmishion——向从C2服务器接收到的号码重发短信 一旦获得所需权限,该间谍软件会自动获取联系人信息,并通过程序编写短信,向所有联系人发送,从而实现大规模传播。 目前,Zimperium已与Google共享了完整的 IoC,谷歌Play Protect现在能拦截ClayRat间谍软件的已知版本和新型变种。但研究人员强调,该攻击行动规模庞大,仅三个月内就记录到了600多个相关样本,因此需要继续持谨慎态度应对。
近期,美国众议院呼吁美国及其盟友扩大对中国芯片制造设备的出口禁令,尤其加码管控可用于自主研发芯片制造工具的核心零部件,这将直接卡住国产半导体设备研发制造的关键环节。禁令高压下,国产半导体设备厂商正加速追赶高端领域。深圳市政府也释放信号称国内领先半导体设备厂商将公布“新惊喜”,然而,企业在突破技术壁垒时,核心研发数据、设备制造文件等关键信息的安全防护难题也随之凸显,成为亟需解决的课题。 深圳某半导体设备厂商的实践早已给出了破局方向:作为专注于半导体装备及零部件设备研发生产的企业,该厂商选择与深耕邮件安全领域的 CACTER 合作,引入 CACTER 邮件数据防泄露系统(以下简称 “CACTER EDLP”)成功守住了数据泄露防线,也为湾区乃至全国半导体企业提供了可借鉴的安全方案 客户背景:深圳某半导体厂商的“邮件数据防护刚需” 深圳某半导体设备厂商,专注于半导体装备及零部件、电子制造设备研发生产,服务国内顶级半导体制造企业与科研机构。在中外半导体竞争白热化、技术封锁升级的当下,该厂商大量设计图纸、技术参数、制造文件等核心数据均依赖邮件传输,且内部信息流转频繁,一旦泄露,不仅会让多年研发成果归零,还可能被竞争对手利用,阻碍企业在高端设备突破、影响国内半导体产业链自主可控进程。 三大核心能力,守护半导体企业邮件数据“零泄露” 1. 精准识别:1000余种格式识别,防止漏检风险 针对半导体行业复杂的数据形态,CACTER EDLP能精准识别rar、zip压缩包等1000余种常见办公文件格式,不管是设备设计文件还是相关技术文档,在邮件传输时都能精准无漏地检测。即使敏感信息藏在文档嵌入的图片里,系统也能把这些“隐身”内容挖出来,防止数据漏检风险。 2.灵活管控:部门分层管控,安全效率双在线 考虑到半导体企业研发、采购、生产部门的需求差异,CACTER EDLP具备“分层管控制度”:给研发、采购等核心部门划成“重点管控区”,发邮件要走“双人审批+内容脱敏”;普通部门邮件支持自动抄送监管人员,员工发件时完全没感知,既不影响效率又能全流程盯防;支持重点岗位邮件实时审核,不用再挨个手动批,节省大量时间。 3.应急召回:错发邮件一键止,合规溯源有保障 数据一旦发错,后果不堪设想。CACTER EDLP和企业的Coremail邮件系统无缝对接,哪怕含敏感信息的邮件已经发出去,管理员也能一键召回站内邮件,避免敏感数据在内部扩散。每一步操作都有记录,满足核心行业的合规审计要求,不用担心后续查不到溯源。 客户证言 据深圳某半导体设备厂商安全负责人反馈,过去为防范邮件传输中设计图、技术参数的泄露问题,团队不得不投入较多精力进行人工核查;CACTER EDLP上线后,通过文件识别、审批流转、错发召回的全流程防护,摆脱了数据安全管理对人工的过度依赖,大幅优化了管理效率。 当前,半导体设备国产化率已从25%跃升至45%,这背后是无数像深圳某半导体设备厂商这样的企业数年的研发心血。而CACTER EDLP的核心价值,就是守护好这些来之不易的成果 —— 通过精准识别、灵活管控与应急召回,让企业在与上下游协同、内部研发推进时,不再为邮件数据泄露忧心。 截至目前,CACTER EDLP已服务于中大型企业、金融机构及政府部门等众多客户,还凭借突出的产品表现,荣获广东软协 “优秀产品”、信通院 “铸基计划” 产品全景图等权威认可。未来,CACTER将继续深耕,以更扎实的邮件安全技术,成为国产半导体产业稳健前行的可靠“守门人”。
AI邮件安全的“破”与“立” 大模型邮件网关,让邮件防护更准,运维更省 10月16日周四15:00 线上直播 引言: 每天处理海量邮件,依然担心有漏网之鱼? 传统防护面对AI钓鱼邮件,感觉“力不从心”? 这场直播带你解锁“懂业务”的大模型邮件安全网关,凭借精准识别实现省心运维,通过AI研判提升防护效能。 重磅嘉宾来分享 数世咨询创始人兼总经理 李少鹏 鹏华基金高级运维工程师 侯严励 CACTER高级产品经理 杨敏 直播亮点抢先看 行业之“破”:大模型重构攻防,企业邮件安全面临哪些新挑战? 技术之“立”:3大核心功能,如何利用AI读懂邮件“潜台词”? 实践之“证”:听鹏华基金分享传统网关体验,大模型网关如何接棒增效?
今年8月,微软调整了“主动防护计划”(MAPP),大幅限制了中国区成员提前获取漏洞详情及PoC代码的权限。这一事件远非企业层面的技术合作调整,而是深刻折射出地缘政治博弈背景下全球网络安全生态的深层矛盾。 作为数字安全领域的领军企业,360数字安全集团直面这一严峻形势,依托20年实战攻防经验积累,重磅推出“360自动化漏洞情报分析平台”。该平台不仅实现了从“情报依赖”到“自主可控”的关键跨越,更成为国内首个成功自建类MAPP平台体系的创新实践,系统性解决了“情报断供”带来的技术卡脖子问题,为行业发展提供了可参考的标杆范式。 行业困局之下 中国安全需坚定自主创新 过去,微软MAPP计划曾为我国网络安全提供了宝贵的情报预警窗口,如今这一窗口的关闭,使整个行业的应急响应链条面临系统性冲击:由于缺乏详细技术细节,漏洞机理解析与风险评估变得迟缓而困难;基于模糊描述开发的检测规则与虚拟补丁,其准确性和覆盖面也大打折扣;最终,从漏洞公开到部署有效防护的周期被被动拉长,显著扩大了客户资产的暴露面与安全风险。 面对“情报滞后”的短期挑战与“技术依赖”的长期风险,中国网络安全产业必须走出一条以自主创新为内核、以生态构建为支撑、以协同合作为助力的自立自强之路。 首要在于技术攻坚,必须集中力量突破漏洞挖掘与分析等核心能力,将防御的主动权牢牢握在自己手中。 根本在于生态筑基,必须打通从国产芯片、操作系统到安全应用的整个技术链条,打造内循环的、安全可控的数字基础设施,才能从根本上化解“断供”风险。 长远在于协同破壁,亟需摒弃孤立思维,推动行业内深度协作与能力互补,共建一个开放、共赢的健康安全生态,全面提升我国网络安全的整体韧性与发展水平。 破局“断供”挑战 360自动化漏洞情报分析平台发布 面对“断供”挑战,360以二十年实战攻防经验为基石,展现出强劲的自主创新能力。作为国内唯一兼具数字安全与人工智能双重核心能力的企业,360长期奋战在抵御国家级APT攻击及黑灰产网络犯罪的最前线,已构建起完备的基础数据生产与分析体系,并具备全球网络威胁扫描、实时感知及持续监测的全链路能力。 基于多年的深厚积淀,360自主研发的“360自动化漏洞情报分析平台”已全面发布。该平台实现了对Windows补丁的“自动化、深度二进制关联分析”技术突破,能够在补丁发布后的极短时间内,全自动精准定位存在安全风险的代码变更,并输出“函数级别”的高精度漏洞情报。 这一创新实践有效助力摆脱对外部情报源的依赖,将“补丁本身”转化为最可靠的情报来源,通过三大维度突破重塑安全能力基座,成为国内首个成功自建类MAPP平台体系的标杆案例,为构建自主可控的网络安全生态提供了关键技术支撑。 一是实现顶尖速度:依托自动化流水线,能将补丁在分钟级内转化为可行动的情报,实现对威胁的“同步响应”,终结了情报滞后时代。 二是实现极致精准:分析直指函数级代码,精准洞察漏洞根源与攻击逻辑,提供了远超文本描述的本质性洞察,让防护措施有的放矢。 三是实现绝对自主:全链路技术自主可控,确保在任何情况下,能够提供不依赖外部的、稳定可靠的高级安全能力。 由于这场挑战已延伸至整个国内安全生态,为此,360还同步推出了可订阅的Windows安全补丁函数级情报服务,旨在将平台能力赋能于行业。通过该服务的实时推送机制,用户不仅可在补丁发布后立即获取精确到函数级别的漏洞详情;同时,该服务还可大幅压缩漏洞分析周期与应急响应时间,实现从“被动等待”到“主动获取”的效率跃升;并能够为各类安全产品及服务持续注入高时效、高精度的情报能力,最终推动国内安全生态从“单点防御”向“全链协同”的智能进化,筑牢自主可控的安全基座。 此次360自动化漏洞情报分析平台的推出,将以“技术赋能+生态共建”双引擎驱动,加速构建开放协同、互利共赢的大情报生态。未来,360将携手更多行业伙伴持续完善独立自主的漏洞响应体系,共同筑牢国家级的数字安全屏障,以坚实的情报能力护航中国网络安全的高质量发展。
依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经公安部计算机信息系统安全产品质量监督检验中心检测,34款移动应用存在违法违规收集使用个人信息情况,具体通报如下: 1、未逐一列出收集、使用个人信息的目的、方式、范围。涉及17款移动应用如下: 《王者代练》(版本2.2.28,华为应用市场)、《首汽租车》(版本6.2.2,应用宝)、《去上网(去哒)》(版本1.9.37,vivo应用商店)、《潮自拍》(版本5.5.84,小米应用商店)、《极速二维码》(版本3.2.8,小米应用商店)、《闪电扫码大师》(版本2.2.1,小米应用商店)、《艺愿星》(版本3.6.22,vivo应用商店)、《UU跑腿》(版本7.5.1.0,vivo应用商店)、《酒便利》(版本3.12.02,vivo应用商店)、《爱口袋》(版本5.0.12,vivo应用商店)、《蝶变志愿》(版本5.1.4,vivo应用商店)、《二三里》(版本7.7.4,vivo应用商店)、《爱宠游》(版本1.4.3,vivo应用商店)、《凹凸租车》(版本6.7.5,vivo应用商店)、《盼之代售》(版本4.6.8,小米应用商店)、《民宿掌柜》(版本1.8.6,百度手机助手)、《51信用卡管家》(版本12.10.9,豌豆荚)。 2、在申请打开可收集个人信息的权限时,未同步告知用户其目的。涉及1款移动应用如下: 《云集》(版本4.20.09041,vivo应用商店)。 3、在申请收集用户等个人敏感信息时,未同步告知用户其目的。涉及1款移动应用如下: 《房车生活家》(版本5.7.9,vivo应用商店)。 4、征得用户同意前就开始收集个人信息。涉及4款移动应用如下: 《凹凸租车》(版本6.7.5,vivo应用商店)、《圆梦志愿》(版本7.3.1,豌豆荚)、《亲宝宝》(版本11.7.5,豌豆荚)、《云集》(版本4.20.09041,vivo应用商店)。 5、实际收集的个人信息超出用户授权范围。涉及17款移动应用如下: 《王者代练》(版本2.2.28,华为应用市场)、《首汽租车》(版本6.2.2,应用宝)、《去上网(去哒)》(版本1.9.37,vivo应用商店)、《潮自拍》(版本5.5.84,小米应用商店)、《极速二维码》(版本3.2.8,小米应用商店)、《闪电扫码大师》(版本2.2.1,小米应用商店)、《艺愿星》(版本3.6.22,vivo应用商店)、《UU跑腿》(版本7.5.1.0,vivo应用商店)、《酒便利》(版本3.12.02,vivo应用商店)、《爱口袋》(版本5.0.12,vivo应用商店)、《蝶变志愿》(版本5.1.4,vivo应用商店)、《二三里》(版本7.7.4,vivo应用商店)、《爱宠游》(版本1.4.3,vivo应用商店)、《凹凸租车》(版本6.7.5,vivo应用商店)、《盼之代售》(版本4.6.8,小米应用商店)、《民宿掌柜》(版本1.8.6,百度手机助手)、《51信用卡管家》(版本12.10.9,豌豆荚)。 6、个人信息保护政策中描述需要收集的个人信息超出相关功能的必要范围。涉及1款移动应用如下: 《志愿》(版本3.5.5,OPPO软件商店)。 7、配置文件中声明的可收集个人信息的权限超出相关功能的必要范围。涉及4款移动应用如下: 《陌单》(版本5.4.4,应用宝)、《志愿》(版本3.5.5,OPPO软件商店)、《艺愿星》(版本3.6.22,vivo应用商店)、《阳光志愿填报》(版本8.3.8449,华为应用市场)。 8、实际收集的个人信息超出相关功能的必要范围,涉及2款移动应用如下: 《蚂蚁短租》(版本9.11.8,华为应用市场)、《租租车》(版本5.4.250911,OPPO软件商店)。 9、实际收集个人信息的频率超出相关功能的必要范围。涉及3款移动应用如下: 《凹凸租车》(版本6.7.5,vivo应用商店)、《云集》(版本4.20.09041,vivo应用商店)、《添猫司机》(版本9.40.5.0003,vivo应用商店)。 10、提前要求用户打开非当前功能所需的可收集个人信息权限。涉及3款移动应用如下: 《365日历》(版本7.8.3,华为应用市场)、《去上网(去哒)》(版本1.9.37,vivo应用商店)、《凹凸租车》(版本6.7.5,vivo应用商店)。 11、强制要求用户提供非必要的个人信息。涉及4款移动应用如下: 《脉脉》(版本6.6.82,华为应用市场)、《玩吧》(版本11.6.3,华为应用市场)、《哈哈喵开黑》(版本2.4.0,OPPO软件商店)、《凹凸租车》(版本6.7.5,vivo应用商店)。 12、未向用户提供个人信息相关投诉渠道或功能。涉及3款移动应用如下: 《房车生活家》(版本5.7.9,vivo应用商店)、《高考志愿手册》(版本2.1.1,豌豆荚)、《爱宠游》(版本1.4.3,vivo应用商店)。 13、未向用户提供更正或补充其个人信息的具体途径。涉及1款移动应用如下: 《途乐民宿》(版本2.6.8,OPPO软件商店)。 14、注销账户的流程中设置不合理的条件或提出额外要求。涉及2款移动应用如下: 《UU跑腿》(版本7.5.1.0,vivo应用商店)、《二三里》(版本7.7.4,vivo应用商店)。 15、广告存在误导、欺骗用户行为。涉及2款移动应用如下: 《手电王》(版本1.6.0,小米应用商店)、《闪电扫码大师》(版本2.2.1,小米应用商店)。 上期通报的公安部计算机信息系统安全产品质量监督检验中心检测发现的38款违法违规移动应用,经复测仍有8款存在问题,相关移动应用分发平台已予以下架。 (注:以上所列移动应用检测时间为2025年9月1日至2025年9月19日) 来源:国家网络安全通报中心 本次通报的34款移动应用涵盖出行租车、生活服务、工具软件、教育咨询、社交娱乐、金融管理等多个高频使用领域,侧面反映出目前部分企业在用户数据收集和处理方面存在系统性合规漏洞,也暴露出企业在数据治理与合规体系建设上的严重滞后。违规行为主要归纳为以下几类: ·透明度缺失:未明确告知收集目的、方式与范围; ·权限滥用:在申请敏感权限时未同步说明用途,或超出功能必要范围; ·收集行为越界:包括提前收集、超范围收集、超频次收集; ·用户权利保障不足:未提供投诉、更正或注销渠道,甚至设置不合理注销条件; ·误导性行为:部分应用广告存在欺骗用户情形。 在监管持续收紧的背景下,企业须将“隐私合规”置于产品设计的核心。梆梆安全建议: ·贯彻“最小必要”原则,严格限制个人信息收集范围与频率; ·增强透明度,在权限申请时同步告知目的,确保用户知情同意; ·完善用户权利机制,建立畅通的投诉、更正与注销流程; ·开展定期合规自查与技术检测,防范策略文件与实际行为脱节。 梆梆安全依托十余年深耕移动安全领域的技术沉淀与实践经验,系统性搭建了专业的移动应用合规检测框架,通过覆盖应用全生命周期的自动化检测与深度分析,精准识别隐私合规性问题并输出风险评估报告及整改建议,助力企业高效构建合规防线。 梆梆安全移动应用合规检测框架
微软威胁情报报告称,在小规模攻击中检测到XCSSET macOS恶意软件的新变种。该变种新增多项功能,包括强化浏览器定向攻击、剪贴板劫持及改进的持久化机制。 XCSSET是一款模块化macOS恶意软件,兼具信息窃取与加密货币窃取功能,可从受感染设备中窃取“备忘录”数据、加密货币钱包信息及浏览器数据。 其传播方式为:搜索设备中存储的其他Xcode项目并植入恶意代码,待目标项目编译构建时,恶意软件便会随之执行。 据悉,XCSSET恶意软件专门针对软件开发人员常用的Xcode项目进行感染,并在Xcode项目编译构建过程中启动运行。据微软评估认为,这种感染与传播模式,利用的是开发苹果或macOS相关应用的开发者之间共享项目文件的行为。 新变种的核心升级点 微软观察到该新变种存在多项关键改动,攻击能力显著增强: 1. 扩展浏览器数据窃取范围:新变种通过安装经篡改的开源工具HackBrowserData构建版本,尝试窃取Firefox浏览器数据。该工具可从浏览器数据存储区中解密并导出数据。 2. 升级剪贴板劫持组件:新增的剪贴板监控功能会扫描macOS剪贴板中与加密货币地址相关的正则表达式模式。 一旦检测到加密货币地址,就会将其替换为攻击者控制的地址——这意味着受感染设备上的用户发起的加密货币转账,会被篡改为向攻击者地址转账。 攻击者与剪贴板劫持者使用的加密货币地址 3. 新增持久化手段:包括创建LaunchDaemon条目以执行~/.root恶意载荷,以及在/tmp目录中伪造“系统设置.app(System Settings.app)”,以此伪装自身活动,确保设备重启后仍能维持恶意驻留。 攻击现状与防御建议 目前该新变种尚未广泛传播,微软表示仅在小规模攻击中发现其踪迹。研究人员已向Apple通报相关发现,并正与GitHub合作移除相关恶意代码仓库。 为防范此类恶意软件,建议采取以下措施: ·及时更新macOS系统及各类应用——鉴于XCSSET此前曾利用包括零日漏洞在内的多个漏洞发起攻击,版本更新是关键防护手段; ·开发者在编译Xcode项目前,务必仔细检查项目内容,尤其是接收他人共享的项目文件时,更需严格核验安全性。
中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意IP,境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联,网络攻击类型包括建立僵尸网络、后门利用等,对中国国内联网单位和互联网用户构成重大威胁。相关恶意网址和恶意IP归属地主要涉及:美国、德国、加拿大、巴西、印度尼西亚、拉脱维亚、土耳其、捷克、摩洛哥。主要情况如下: 一、恶意地址信息 (一)恶意地址:rzchi.duckdns.org 关联IP地址:66.85.26.200 归属地:美国/加利福尼亚州/洛杉矶 威胁类型:后门 病毒家族:RemCos 描述:RemCos是一款远程管理工具,发布于2016年。最新版本的RemCos能够执行多种恶意活动,包括键盘记录、截取屏幕截图和窃取密码,攻击者可以利用受感染系统的后门访问权限收集敏感信息并远程控制系统。 (二)恶意地址:205.185.115.242 归属地:美国/内华达州/拉斯维加斯 威胁类型:僵尸网络 病毒家族:Gafgyt 描述:这是一种基于因特网中继聊天(IRC)协议的物联网僵尸网络病毒,主要通过漏洞利用和内置的用户名、密码字典进行Telnet和SSH暴力破解等方式进行扩散传播。可对网络设备进行扫描,攻击网络摄像机、路由器等IoT设备,攻击成功后,利用僵尸程序形成僵尸网络,对目标网络系统发起分布式拒绝服务(DDoS)攻击,可能造成大面积网络瘫痪。 (三)恶意地址:trannynet.adgods.uk 关联IP地址:23.132.28.196 归属地:德国/黑森州/美因河畔法兰克福 威胁类型:僵尸网络 病毒家族:Mirai 描述:这是一种Linux僵尸网络病毒,通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散,入侵成功后可对目标网络系统发起分布式拒绝服务(DDoS)攻击。 (四)恶意地址:negro07d8090.duckdns.org 关联IP地址:172.111.162.252 归属地:加拿大/安大略/多伦多 威胁类型:后门 病毒家族:NjRAT 描述:该后门是一种由 C#编写的远程访问木马,具备屏幕监控、键盘记录、密码窃取、文件管理(上传、下载、删除、重命名文件)、进程管理(启动或终止进程)、远程激活摄像头、交互式 Shell(远程命令执行)、访问特定 URL 及其它多种恶意控制功能,通常通过移动存储介质感染、网络钓鱼邮件或恶意链接进行传播,用于非法监控、数据窃取和远程控制受害者计算机。 (五)恶意地址:pipeiro.ddns.net 关联IP地址:177.157.188.182 归属地:巴西/圣保罗州/圣保罗 威胁类型:后门 病毒家族:NjRAT 描述:该后门是一种由 C#编写的远程访问木马,具备屏幕监控、键盘记录、密码窃取、文件管理(上传、下载、删除、重命名文件)、进程管理(启动或终止进程)、远程激活摄像头、交互式 Shell(远程命令执行)、访问特定 URL 及其它多种恶意控制功能,通常通过移动存储介质感染、网络钓鱼邮件或恶意链接进行传播,用于非法监控、数据窃取和远程控制受害者计算机。 (六)恶意地址:103.181.182.245 归属地:印度尼西亚/雅加达/雅加达 威胁类型:僵尸网络 病毒家族:Mirai 描述:这是一种Linux僵尸网络病毒,通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散,入侵成功后可对目标网络系统发起分布式拒绝服务(DDoS)攻击。 (七)恶意地址:erfffxz.bounceme.net 关联IP地址:41.216.189.108 归属地:拉脱维亚/里加市/里加 威胁类型:僵尸网络 病毒家族:Mirai 描述:这是一种Linux僵尸网络病毒,通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散,入侵成功后可对目标网络系统发起分布式拒绝服务(DDoS)攻击。 (八)恶意地址:bmtxf0usc.localto.net 关联IP地址:212.64.215.198 归属地:土耳其/伊斯坦布尔/伊斯坦布尔 威胁类型:后门 病毒家族:DarkKomet 描述:一种后门程序,允许攻击者使用图形用户界面控制感染的主机,运行后能够修改系统设置、记录键盘、截图、捕获声音摄像头,通过套接字建立与控制服务器的连接,侦听来自远程服务器的命令、执行下载文件、启动程序、运行脚本等操作。 (九)恶意地址:67.159.18.115 归属地:捷克/布拉格/布拉格 威胁类型:僵尸网络 病毒家族:Gafgyt 描述:这是一种基于因特网中继聊天(IRC)协议的物联网僵尸网络病毒,主要通过漏洞利用和内置的用户名、密码字典进行Telnet和SSH暴力破解等方式进行扩散传播。可对网络设备进行扫描,攻击网络摄像机、路由器等IoT设备,攻击成功后,利用僵尸程序形成僵尸网络,对目标网络系统发起分布式拒绝服务(DDoS)攻击,可能造成大面积网络瘫痪。 (十)恶意地址:netwoasysn.ddnsgeek.com 关联IP地址:41.250.136.90 归属地:摩洛哥/卡萨布兰卡/塞塔特大区/提特迈利勒 威胁类型:后门 病毒家族:AsyncRAT 描述:一种后门木马,采用C#语言编写,主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL,以及访问特定URL等。主要通过移动介质、网络钓鱼等方式进行传播,现已发现多个关联变种,部分变种主要针对民生领域的联网系统。 二、排查方法 (一)详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录,查看是否有以上恶意地址连接记录,如有条件可提取源IP、设备信息、连接时间等信息进行深入分析。 (二)在本单位应用系统中部署网络流量检测设备进行流量数据分析,追踪与上述网址和IP发起通信的设备网上活动痕迹。 (三)如果能够成功定位到遭受攻击的联网设备,可主动对这些设备进行勘验取证,进而组织技术分析。 三、处置建议 (一)对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕,重点关注其中来源未知或不可信的情况,不要轻易信任或打开相关文件。 (二)及时在威胁情报产品或网络出口防护设备中更新规则,坚决拦截以上恶意网址和恶意IP的访问。 (三)向公安机关及时报告,配合开展现场调查和技术溯源。 文章来源自:国家网络安全通报中心
近日,Fortinet全球威胁研究与响应实验室(FortiGuard Labs)监测到一起针对中文用户的大规模SEO (Search Engine Optimization) 投毒攻击活动,涉及仿冒DeepL等知名软件的虚假网站、高度混淆的恶意攻击载荷及多阶段攻击链。Fortinet中国区技术总监张略深入解读了此次攻击的技术特点与安全启示。 攻击技术实现与搜索引擎优化深度融合 总体来看,此类攻击呈现出专业化、持久化和高隐蔽性特征,反映出网络犯罪团伙正在不断优化其攻击工具和方法,企业应尽快构建覆盖“终端-网络-情报-响应”的多维防护体系。 此次攻击的创新之处首先在于其对SEO机制的精准操控。攻击者通过注册与合法网站高度相似的域名(如deepl-fanyi[.]com),并利用SEO插件操纵搜索引擎排名,使恶意网站在搜索结果中获得靠前位置。此外,这种手法的特别之处还在于,攻击者甚至在HTML源代码中嵌入特定注释信息以增强隐蔽性,这使得普通用户很难辨别网站真伪。 在技术实现层面,攻击链采用多阶段动态加载机制。通过nice.js脚本发起初始请求,获取二级下载链接,最终投放将合法应用与恶意组件捆绑的MSI安装包,并利用Windows Installer的CustomAction机制触发恶意代码执行,这种“合法包装”的策略使安全检测难度倍增。这种精心设计的流程使得用户在不知不觉中下载并安装了恶意软件,凸显出现代网络攻击的高度欺骗性。 反检测能力显著提升,针对性对抗安全软件 FortiGuard Labs深入分析显示,该恶意软件家族(被评估为Winos变体)采用了多层次的反分析技术: · 进程验证:仅在父进程为msiexec.exe(Windows Installer)时才执行,有效规避沙箱环境检测 · 休眠完整性检查:通过向百度发送两次HTTP请求并计算间隔,判断是否在分析环境中运行 · ACPI表检查:通过检测桌面文件数量和ACPI表特征,识别虚拟化环境 这些技术手段表明,攻击者已具备相当高的技术水平,能够针对主流安全工具的检测机制进行精准规避。更令人不安的是,恶意软件还会针对360TotalSecurity等中文环境常用安全软件进行针对性规避,通过抢占资源消耗干扰分析效率,这种“本土化”的攻击策略使得中文用户面临更高风险。 模块化架构支持灵活攻击与持久化控制 FortiGuard Labs分析表明,该恶意软件采用高度模块化的“心跳-监控-命令控制”三重架构,展现出相当成熟的攻击能力。心跳模块负责持续采集系统信息、用户身份、防病毒软件状态和运行进程;监控模块则专注于跟踪焦点窗口、持久化状态和配置文件变化;命令控制模块支持多达17类远程指令,包括插件注入、键盘记录、加密钱包劫持和屏幕捕捉等高级功能。 此外,攻击者还建立了完善的插件体系,可根据需要动态投递功能模块。观察到的插件包括DifferentScreen.bin、Telegram.bin等,这些插件进一步扩展了攻击范围,使威胁行为者能够根据特定目标灵活调整攻击策略,显示出攻击者具备高度的组织化和专业化特征。 SEO投毒攻击揭示网络安全威胁关键趋势 此次攻击事件揭示了网络安全威胁的几个关键趋势: 1. 攻击本土化:攻击者越来越擅长针对特定语言和地区的用户设计攻击策略,中文环境成为重点目标。 2. 攻击复杂化:从简单的恶意软件下载,发展为包含多层规避、复杂通信和数据窃取的完整攻击链。 3. 攻击经济化:加密货币劫持功能的加入,表明攻击者已将网络安全威胁与经济利益紧密结合。 企业防护需要体系化升级与主动防御能力 面对快速演进的SEO投毒攻击,张略建议采取以下多层面防护策略: • 用户层面:下载软件时务必核对域名,避免点击搜索结果中排名靠前但域名不正规的链接;优先使用官方渠道下载软件。 • 企业层面:部署具备AI驱动的威胁防护系统,如FortiGuard Antivirus,可有效检测并拦截W64/Agent.D31A!tr、W64/ShellCodeLoader.6BFD!tr等恶意软件变种。 • 技术层面:强化端点防护,特别是对Windows Installer和注册表操作的监控;启用内容解除和重构服务,防止文档中嵌入的恶意宏。 • 认知层面:加强安全意识培训,帮助用户识别SEO投毒攻击的特征,特别是在中文环境下使用软件时的域名验证。 Fortinet一体化安全架构提供全面防护 基于FortiGuard Labs的研究成果,Fortinet已经实现对相关攻击活动的全链路覆盖检测,恶意攻击载荷可被准确识别。通过FortiGate、FortiEDR、FortiClient等产品的协同联动,可以有效防御从初始投毒、恶意代码执行到横向移动的完整攻击链。 Fortinet将持续协同全球威胁情报网络和本地安全团队,为企业提供实时防护更新和事件响应支持。建议用户全面启用FortiGuard AI驱动沙箱、应用程序防火墙及终端行为检测功能,构建多层次、主动式的安全防护体系,实现对未知威胁的提前拦截和有效管控。 随着数字化转型的深入,网络攻击手段也在不断演进。企业需要保持高度警惕,采用更加智能和集成的安全解决方案,才能在这场持续演进的安全攻防战中保持主动,确保业务安全和数据保护。Fortinet将继续致力于为企业提供全方位的网络安全保障,共同应对日益复杂的网络威胁环境。
背景介绍 当前,我们正步入以AI为技术主导的智能驱动新阶段。但在AI赋能网络安全能力的同时,其自身也可能暴露出前所未有的新型攻击面,使得网络空间的攻防博弈变得更加复杂与不对称。在全球范围内,针对关键基础设施与核心数据资产的供应链攻击、AI生成式威胁、高级可持续攻击(APT)等各种攻击形式交织叠加,网络安全已成为保障数字世界稳定运行的关键防线。 在此背景下,我国的网络安全产业建设进入以“高水平科技自立自强”为目标的深度攻坚期。回顾2024年,随着《网络安全技术+信息技术安全评估准则》等多项国家标准的扎实落地,产业政策体系持续完善,为高质量发展奠定了更为坚实的根基。进入2025年,企业安全实践加速从“合规驱动”转向“能力构建”,愈发强调安全技术的实效、自适应与场景化融合。 为应对新阶段的安全挑战,各领域厂商积极推动技术革新与服务升级,在人工智能安全、数据安全、云原生安全、工业互联网安全等前沿方向持续突破。为精准洞察这一产业变革脉络,表彰在技术创新、行业实践与品牌引领方面展现出卓越“势能”的优秀企业,嘶吼安全产业研究院正式启动 《嘶吼2025中国网络安全产业势能榜》 调研评选工作。 本次评选将深度聚焦“综合型”、“专精型”、“创新型”三大厂商类别为核心框架,并重点凸显企业的技术创新、市场增长、落地转化、稳健运营及品牌影响力等多维度的综合势能表现。我们将基于严谨的调研数据与应用价值,遴选具备技术实力、服务品质与发展潜能的标杆企业,为产业生态的优化与市场选型提供多维度参考。 评选介绍 本次评选打破过往调研中对“静态成果”的聚焦,转向以“增长势能”为核心评估锚点。通过追踪企业年度动态变化轨迹,捕捉AI时代下网络安全企业的核心竞争力演化规律,既立足当前产业基本面,更前瞻性地预判企业在技术迭代与市场变革中的发展潜力,构建 “从确定到趋势、从结果到动能” 的新型评估框架。 本次调研依托网络安全产业“技术密集·迭代迅速·合规驱动”的关键特点,构建“稳·增·新·转·形”五维立体、可量化的评估模型,既从微观视角考察各企业在各维度上的独立发展情况,又从宏观视角展现中国网络安全产业全景发展格局。 1. 稳・聚定力:筑牢企业发展根基 作为企业抵御行业波动的核心屏障,该维度着重聚焦组织与运营内核的稳定性,其核心价值在于判断企业是否具备持续参与市场竞争的底层支撑力。 2. 增・生长力:解码企业健康发展晴雨表 紧密贴合产业高速增长特性,以多维度增长数据反映企业良性发展态势,该维度数据既体现企业个体经营质量,更折射产业发展活力。 3. 新・创新力:驱动产业技术迭代 重点评估企业推陈出新的适配能力,此维度直接关联企业在技术竞速中的核心竞争力与应变能力。 4. 转・转化力:打通创新实践闭环 重点评估科研投入向实际价值的转化效率,该维度破解了 “重研发轻应用” 的行业痛点,着重凸显企业技术落地的实战价值。 5. 形・品牌力:彰显市场生态影响力 作为企业市场价值的直接体现,从行业认可度与市场辐射力双重维度评估,其核心作用在于呈现企业在产业生态中的影响力与资源整合能力。 参与方式 关注公众号“嘶吼专业版”,回复“势能榜2025”即可下载《嘶吼2025中国网络安全产业势能榜调研表》。 厂商自主报名,根据自身企业性质从“综合型”、“专精型”、“创新型”三类中选择一类进行材料申报,嘶吼安全产业研究院分析团队从报名厂商中依据填写的真实数据进行公平评选。 “综合型”、“专精型”、“创新型”的界定如下: “综合型”的界定:企业定位立足于提供全方位综合解决方案/产品而非专一方向,公司业务可能涵盖数据安全、信创安全、基础设施安全、业务安全、物联网安全、工控安全、边界安全、移动安全、应用安全、云安全、安全服务等至少5个方向,每个主要具体方向年度实际营收不低于1000万元人民币,固定员工人数(不含外包)为300人以上。 “专精型”的界定:企业定位立足于提供专精方向解决方案/产品,如专注数据安全、信创安全、基础设施安全、业务安全、物联网安全、工控安全、移动安全、边界安全、云安全、应用安全等1-2类,已形成较为稳定的客户和销售渠道,专精业务相关年度实际营收不低于1000万元人民币或近2年新增股权融资总额2000万元以上,固定员工人数(不含外包)为100人以上。 “创新型”的界定:企业成立时间为2020年1月1日以后或主营业务转移网络安全方向时间不超过5年,融资轮次为B轮以下(不含B轮),成立之初是基于某种创新,如技术、服务、解决方案等,目前企业的主要精力为打磨产品,拓展销售渠道和客户,固定员工人数(不含外包)不足70人。 填写说明 1 务必客观、真实填写该问卷,嘶吼安全产业研究院分析师团队会综合历年数据进行数据校验,如偏差过大,将直接取消参与本次榜单评选资格 2 调研表中所有项目均为必填项,后附有填写说明和具体填写示例,请按说明要求填写,方便后续嘶吼分析师团队整理数据,请注意:不要删减行列 3 问卷填写过程的一切问题,可直接和嘶吼调研团队进行沟通,问卷最后附咨询微信二维码 4 如无问题,请于10月29日前提交问卷,并与企业logo ai格式源文件一并发送至指定邮箱:shankala@4hou.com 5 最终获选企业名单及数量根据实际调研情况评出
Redis官方针对CVE-2025-49844漏洞发布预警,该漏洞为Lua脚本漏洞,可通过释放后使用(UAF)实现远程代码执行(RCE),但攻击者需先获得认证访问权限方可利用。 Redis披露了这一高危RCE漏洞,漏洞编号为CVE-2025-49844(又称“RediShell”),CVSS评分为10.0(最高危级别)。攻击者可通过恶意Lua脚本利用垃圾回收机制触发“释放后使用”漏洞,进而实现远程代码执行。 漏洞核心信息:13年历史漏洞,突破沙箱限制 网络安全公司Wiz于2025年5月16日发现该漏洞,并向Redis官方报告。这是一个存在13年的“释放后使用”漏洞,恶意Lua脚本可借此突破沙箱限制,在主机上执行任意代码。 该漏洞利用了Redis源代码中存在约13年的‘释放后使用’(UAF)内存损坏问题。已获得认证的攻击者可发送特制恶意Lua脚本——这是Redis默认支持的功能——突破Lua沙箱,在Redis主机上执行任意原生代码。这将使攻击者获得主机系统的完全访问权限,进而窃取、删除或加密敏感数据,劫持资源,并在云环境中横向移动。 漏洞披露时间线 1. 2025年5月16日:Wiz在柏林Pwn2Own赛事期间,首次向Redis提交漏洞报告; 2. 2025年10月3日:Redis发布安全公告,并为该漏洞分配CVE-2025-49844编号; 3. 2025年10月6日:Wiz研究团队发布相关博客文章,公开漏洞细节。 RediShell攻击链 CVE-2025-49844(RediShell)的攻击链流程如下:攻击者发送恶意Lua脚本触发“释放后使用”漏洞→突破Lua沙箱并执行任意代码→开启反向shell维持持久化访问→窃取凭证(如.ssh文件、IAM令牌、证书)→安装恶意软件或挖矿程序→从Redis及主机中窃取数据→利用被盗令牌访问云服务、提升权限,并横向渗透以进一步攻陷其他系统。 风险影响与防御建议 研究人员警告,该漏洞可能被用于发起实际攻击,包括窃取凭证、部署恶意软件、窃取数据,或横向渗透至其他云服务。不过,利用该漏洞需先获得Redis实例的认证访问权限,因此保护Redis实例的关键在于:避免暴露在公网、设置高强度认证。 Redis安全公告明确:“[CVE-2025-49844] Lua脚本‘释放后使用’漏洞可能导致远程代码执行。已认证用户可通过特制Lua脚本操纵垃圾回收机制,触发‘释放后使用’漏洞,进而可能实现远程代码执行。” 漏洞影响范围与修复方案 影响版本:所有支持Lua脚本功能的Redis版本均受该漏洞影响(GitHub公告明确指出:“支持Lua脚本的所有Redis版本均存在此问题”)。 官方修复:Redis于2025年10月3日发布修复版本,包括6.2.20、7.2.11、7.4.6、8.0.4及8.2.2,建议立即升级。 临时缓解措施:通过访问控制列表(ACLs)限制“EVAL”和“EVALSHA”命令的使用,仅允许可信用户执行Lua脚本或其他高风险命令。 由于约75%的云环境使用Redis,该漏洞潜在影响范围极广。Wiz总结道:“RediShell(CVE-2025-49844)是影响所有Redis版本的高危安全漏洞,其根源在于底层Lua解释器。全球有数以十万计的Redis实例暴露在公网,该漏洞对各行业企业均构成重大威胁。”因此,建议企业立即对Redis实例进行排查,优先处理暴露在公网的问题。
篇首语:之前杨叔抱怨过国产谍战剧,都过于强调人物塑造,但在监视技术上的展示已落后时代太多,于是就有读者留言说别对导演要求太高......OK,那今天给大家分享一部影史上非常著名的窃听题材电影。 虽然是1974年上映的老电影,但在对技术的细节描述上,杨叔认为,依然可以“吊打”现在很多所谓的国产间谍剧,具体如何,咱们展开来聊聊~ 注:以下内容符合OSINT国际开源情报搜集标准,仅供交流与参考。 01 电影《窃听大阴谋》 《窃听大阴谋 The Conversation》(1974) 是一部引人入胜的关于监视和妄想症的电影。可能很多人都不知道,这部电影被誉为导演科波拉的最佳作品之一。对,他就是电影《教父》的导演。 嗯,这部电影诞生在两部《教父》电影之间,当时科波拉导演找来吉恩•哈克曼饰演窃听专家,想拍出一个没有隐私的年代,人们如何相处自处的故事。听起来似乎和当年港片《东成西就》的出现一样,都是在原计划影片筹备期拍摄的短期低成本影片,但没想到也成了佳作。 剧情概要:Harry Caul 在旧金山开了一家侦探公司,他最近的一单生意是去窃听一对男女的对话。他在一个广场附近精心布下层层窃听手段,来捕捉这对男女所说的每一句话。却不想他正陷入一场巨大的阴谋中...... 1974 年,这部《窃听大阴谋》电影上映时,尼克松总统正因为水门事件濒临辞职,窃听一词正成为全国热议的话题。 再加上正值揭破水门事件真相的调查报道大作《惊天大阴谋》一书的出版,观众们不免浮想联翩。那时候在美国,几乎每个人都对隐藏的麦克风和窃听很感兴趣,令人哭笑不得是,这居然也促进了调查窃听行业和反窃听检测服务的一个高速发展期。 另外,在电影《窃听大阴谋》中,代表邪恶象征的是一个公司,而不是CIA中央情报局或其他什么政府机构——当时很多评论家怀疑这也是《窃听大阴谋》持续受欢迎的原因之一。比起其他许多电影都明显地带有政治色彩而言,这部影片捕捉了一个时代的时代精神,但没有特别与任何事件或意识形态联系在一起。 影片的主人公Harry,是一位技术监视与窃听的专家,如下图所示,他的实验室里堆满了各类无线电窃听器材、电子信号分析设备、音频录制与调试设备等等。 02 电影中的窃听细节还原 虽然是1974年的老电影,但科波拉导演显然并不想仅仅做做样子忽悠观众,而是选择在专业人士的支持下,不但展示了当时较为领先的窃听与监视技术,而且通过窃听专家的心路历程,来折射出整个时代的迷茫。 后面获得奥斯卡奖项的另一部描述前东德情报机构STASI监视民众的电影《The Lives of Others》译为:《窃听风暴》,也走了这个路线。杨叔之前去德国柏林时,专门参观了由原东德国家安全机构STASI总部大楼改造的“STASI博物馆”,感兴趣的朋友可以看这篇: 全面监听:以斯塔西的名义 接下来,杨叔将一一列举《窃听大阴谋》影片中出现的窃听器材: 01.枪式远距离定向拾音装备 影片中,开展远程监视的调查人员,在高处使用配有瞄准镜的枪式远距离拾音器,戴上高灵敏度的降噪耳机,从瞄准镜里跟随目标的移动,就可以将其声音放大并降噪处理后,通过无线信号同步传输给监听车。 当然,还有个办法就是找个会“唇语”的人,通过望远镜来“实时翻译”,这也是可行的。 上图影片里这辆标准的无线电监听车,在当时的年代里非常典型。在现代社会中,这类内部改装的用于技术监视的专业车辆,通常在行业内被称为“技侦车”。 02.改装无线电音频放大器材 有意思的是,为了方便听到被监视两人的交谈内容。影片中,调查人员除了使用上面提到的枪式远距离拾音设备,还通过便衣跟踪人员,使用伪装后的无线电音频放大装置,贴近目标去窃听。 如下图所示,是伪装成礼品包装盒的无线电音频放大装置,可以第一时间将附近话音放大并通过无线电传输出去,这样,监听车里就可以实时接听到监视目标的交谈话音。 不过影片中,跟踪监视人员似乎引起了目标人物的注意~~ 杨叔:嗯,对于保持警惕的人来说,相对确实可能发现跟踪监视的痕迹,但受过专门的反跟踪训练可能效果会更好。03.电话窃听 影片中,在窃听器材展示会上,有位商家提到了电话窃听的使用方式,这个属于典型的“摘机窃听”模式。「PPES-101 固定电话反窃听课程」的学员们应该很熟悉吧。 虽然窃听器材商人很努力地介绍,但可惜男主心不在焉~ 04.“隔墙听”设备 顾名思义,这类设备就是可以隔着墙壁偷听到相邻房间内的谈话。早期的“隔墙听”设备,探针是必不可少的组件之一。关于“隔墙听”这类音频放大设备,更多介绍可以关注杨叔之前写的这篇软文: 隔墙有耳 | 专业偷听几十年 影片中,男主角寻找到卫生间里的一处管线位置,然后用冲水声作掩护,迅速在墙上戳出一个细细的洞,然后将探针插入洞并固定,连接隔墙听设备并进行调试,便清晰地听到了隔壁的声音。 上面这个截图,也是该片的经典镜头之一。 05.钢笔型无线电窃听器材 真实情况下,改装类器材其实才是监视首选。因为这些改造类的器材更加小巧隐蔽,更容易藏匿在某些环境中。 影片中,有这么一款外型是钢笔的无线电窃听器材,在当时已经算是高科技器材。当大家笑话Harry作为窃听专家,还被人窃听的时候,男主才回忆起:之前在展会上只是稍一疏忽,就被人用赠送礼品方式,在口袋上插了一支改装的窃听笔。 下图是与影片里描述的1970年代同一时期的窃听配套录制产品,呐,是不是很像? 杨叔:想想挺有趣,这款钢笔型密录器材当年算是先进的改装窃听器材,现在却是民用市场上常见的录音偷拍器材之一。 03 窃听者,人恒以窃听之 在电影凄凉的最后一幕中,男主角 Harry 拆毁了他的公寓,寻找隐藏的录音设备。 他先检查了那些窃听器常被部署的地方:他检查了一个相框,研究了一个电气开关的内部。查看了通风口看,并检查了挂在窗户上的窗帘。他仔细检查了书架上的摆设,然后目光停留在一个小的石膏圣母玛利亚雕像上。 Harry太震惊了,无法继续看下去,他把注意力转向了一个灯具和一部电话。但不自觉地又转向了雕像。麦克风真的在里面吗? Harry 最后看了一眼——停顿了一下,仿佛在请求原谅——然后用拳头砸碎了偶像,书柜也随着倒在地上,但里面还是什么都没有。 Harry 感到绝望。他撕掉墙纸,拉起地板,但仍然没有发现任何窃听器。 整部电影的最后,一个模拟闭路监控画面的镜头,在哈利公寓的废墟中来回地缓慢扫描,这个经典的镜头暗示着: 男主角依然处于被监视中。 04 面向专业人士的展会 嗯,这部影片里面,有一些有趣的细节,比如: 哈哈,虽然影片拍摄于1974年,这一幕在当时也带有些许讽刺,因为那个时候打着安全技术旗号的公司,很多都是窃听公司,甚至创始人都是情报机构监视部门出来的人。但是, 这类监视主题的专业技术与设备展会,却是真实存在的。 杨叔曾去过几个类似的展会,比如在某个海外专业监视器材展会上,来自不同国家的监视技术厂商与情报分析员们,会分享不同的主题内容。 下图是做城市技术侦查车的欧洲厂商分享。 下图是某个欧洲情报分析的厂商,分享关于OSINT开源情报中如何识别伪造的新闻。 还有很多有趣的器材展示分享,这个就不在公众号里放图了,杨叔还是在「PPES 物理安全专家系列课程」中再做对应分享太吧~ 对了,今年11月,杨叔计划组队赴欧洲参会,欢迎老学员们和企业团队报名参加。有兴趣有时间的同学们,可以先去办签证准备了~ 最后,再分享一些《窃听大阴谋》的不同版本海报。 ----END-----
9月25-26日,2025年国企党建创新实践交流会在京举行,大会由中国企业文化研究会主办,汇集政企学研各界嘉宾,聚智献策,共探国企党建创新实践新路径。 中国企业文化研究会在不断探索、深入研究党建与企业文化建设的理论创新和实践融合的背景下,面向全国开展“2025年国企党建创新实践成果”评选,旨在深入总结国企党建工作创新经验,扎实推进新时代、新征程国企党建创新工作发展,为企业高质量发展提供有力保障。本次共有来自全国范围的1000余项申报案例,经专家组审定,最终评选出创新成果356项,共设三个等级。北京梆梆安全科技有限公司(以下简称:梆梆安全)“红色网安·梆梆护航”党建品牌案例获评 “2025年国企党建创新实践技术成果” 二等等级。 红色网安 梆梆护航 在当今数字化时代,网络安全企业肩负着守护国家网络安全、保障社会经济稳定发展的重任。梆梆安全深刻认识到党建工作在企业发展中的引领作用,积极探索党建创新实践。通过构建党建与业务深度融合的机制、打造特色党建文化活动、加强党员先锋队伍建设等举措,有效提升了企业的凝聚力、创新力和竞争力,为网络安全事业的高质量发展提供了坚强的政治保障和组织支撑,实现了党建工作与企业发展的同频共振,形成了可复制、可推广的党建创新模式,为网络安全行业党建工作的开展提供了有益借鉴。 梆梆安全始终致力于支撑网络与信息化事业高质量发展,凭借持续创新的安全能力,切实履行责任,为数字城市筑牢安全屏障,全力守护每一道安全运行关口。未来,梆梆安全将进一步强化党建引领,持续擦亮“红色网安·梆梆护航”党建品牌,不断探索党建工作新模式、新方法,推动党建工作与发展经营深度融合、高效联动,助力企业高质量发展,展示党建工作新成效。
近日,广东盈世CACTER邮件安全团队与清华大学联合攻关的《电子邮件网关漏洞的检测方法、装置、电子设备及介质》正式获得国家知识产权局发明专利授权(专利号:ZL202411385399.X)。此专利通过自动化、系统化检测邮件网关协议层漏洞,弥补传统检测效率低、覆盖不全的短板,目前已集成在CACTER邮件安全网关产品中。 产学研协同破局:CACTER联合清华攻克邮件网关漏洞检测痛点 传统邮件网关检测陷入“深层逻辑漏洞发现难、检测成本高耗时长”痛点:协议层隐蔽漏洞难检测,手动做样本效率赶不上威胁迭代。这项专利则以“取合法样本→变异→筛选→自动测试”流程,按协议自动造样本,既补全漏洞覆盖,又加快检测速度,为企业邮件网关漏洞检测提质增效。 这并非CACTER与清华大学首次合作——自2019年建立战略伙伴关系以来,双方已累计拿下3项核心技术专利、发表2篇国际顶级学术论文,还共同发布多份邮件安全协议生态研究报告,主办多届Datacon邮件安全竞赛,为行业培育专业人才。2024年更是获得智谱AI大模型商用授权,为AI驱动的邮件安全注入新动能。 而此次联合斩获的邮件网关核心专利,正是这一“产学研用”闭环模式的生动实践,让CACTER在吸收顶尖资源的同时,不断强化产品竞争力。 筑牢技术壁垒:76项专利与21000+客户见证 这项新专利,是CACTER长期深耕邮件安全技术的缩影。截至目前,CACTER已拥有76项发明专利与101项软件著作权,全产品均以自研技术为核心——基础网关、大模型网关反垃圾拦截率可达99.8%、恶意邮件响应速度缩短至秒级;安全海外中继凭借智能DNS+SDN策略保障全球邮件高效收发;邮件数据防泄露系统可精准辨别1000余种常见文件,解析并拦截内部敏感信息等,至今已服务金融、政府、教育、医疗等关键行业21,000+家客户。 面对日益复杂的邮件安全威胁,CACTER将以此次网关漏洞检测专利技术为起点,持续深化与清华大学的学术联动——探索更智能的漏洞预判技术以覆盖更多场景,结合企业需求迭代产品。始终“技术为本、安全为先”,为不同领域企业打造更适配的长效邮件安全方案。
近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现PS1Bot恶意软件持续活跃,其主要攻击目标为Windows用户,可能导致敏感信息泄露、系统受控等风险。 PS1Bot是一种采用PowerShell与C#编写的高级模块化恶意软件框架,于2025年初开始活跃。攻击者利用恶意广告和搜索引擎优化投毒(SEO Poisoning),诱导受害者下载带有热门搜索关键词的恶意压缩包文件,包内的JavaScript文件充当下载器,诱导用户执行恶意程序,随后从命令与控制(C2)服务器获取PowerShell脚本,并利用C盘序列号生成唯一C2 URL,恶意程序通过内存执行机制不断轮询C2服务器,可执行信息窃取、键盘记录、屏幕截取、加密货币钱包盗取等多种恶意行为。此外,其内存执行机制使其能够规避传统防病毒检测,同时其模块化设计使其能够根据需要快速部署更新或新增恶意功能,进一步对用户隐私和财务安全造成更大威胁。 建议相关单位和用户立即组织排查,及时更新防病毒软件,实施全盘病毒查杀,谨慎点击陌生链接或下载不明文件,强化PowerShell安全,并可通过及时修复安全漏洞、定期备份数据等措施,防范网络攻击风险。 文章来源自:网络安全威胁和漏洞信息共享平台
与Lapsus$、Scattered Spider、ShinyHunters团伙有关联的“Trinity of Chaos”勒索软件组织,通过Salesforce漏洞攻击了39家企业,并在TOR网络上搭建了数据泄露站(DLS)。 该组织疑似与上述三大团伙存在关联,其搭建的泄露站包含39家受影响企业的信息,涵盖墨西哥航空、法国航空、谷歌、思科、斯特兰蒂斯集团、澳洲航空等——这些企业均因针对Salesforce漏洞实例及其他漏洞的恶意网络攻击而受损。正如Resecurity威胁情报报告中所述的那样,该团伙计划持续开展攻击,且已转向传统勒索软件的运作模式。 泄露站信息与攻击事件 数据泄露站列出的受害者包含近期遭袭企业,其中汽车巨头斯特兰蒂斯集团于2025年9月21日披露,一场数据泄露影响了其北美用户。而在此之前,英国豪华汽车制造商捷豹路虎也遭该团伙攻击,导致零售与生产业务严重中断。 值得注意的是,多数泄露数据样本虽无密码,却包含大量个人身份信息。这一特征或证实,被盗数据大概率源自受影响的Salesforce实例:攻击者通过语音钓鱼攻击,以及窃取用于Salesloft的Drift AI聊天集成功能的OAuth令牌,获取了这些数据。 目前,此事已促使美国联邦调查局发布紧急预警,明确企业应监控的技术指标,以判断自身Salesforce环境是否遭入侵。 团伙活动现状:未“收手”且影响或超预期 Resecurity此前报告揭露,由臭名昭著的Lapsus$、ShinyHunters、Scattered Spider组成的联盟,正发起一场迅速蔓延、规模或远超预期的全球网络犯罪活动。尽管该联盟近期传出“收手”说法,但Trinity of Chaos仍在针对头部企业实施协同黑客攻击与勒索,且有多起重大数据泄露尚未公开。 报告指出,秘密勒索事件正激增——意味着该团伙的实际影响范围,可能远大于目前已曝光的规模。该团伙声称,若受害者10月10日后仍未付款,将更新数据泄露站;据其透露,新版泄露站将包含超15亿条记录。 潜在风险与行业影响 Resecurity分析师提醒,目前仅是新受害者与新事件浮出水面的阶段。由于秘密勒索持续,且团伙利用“恶名”胁迫企业沉默,财富100强企业、金融服务、科技、航空、零售及汽车行业的数据泄露全貌,才刚刚开始显现。 网络安全专家表示,犯罪分子可能大规模滥用被盗数据,包括用于有害人工智能应用。掌握受害者及所属行业背景后,威胁者可通过数据挖掘提取关键信息,并将受害者数据集与其他信息关联,进而策划复杂社会工程学骗局、定向钓鱼攻击与身份盗窃——大型企业与政府部门或成主要目标。
引言 三周前,国外黑客在GitHub上发布了一个针对宇树机器人的安全项目UniPwn。经多家媒体在九月底的报道与解读,“宇树机器人出现人传人漏洞”的说法迅速扩散。作为UniPwn报告中唯一被引用的中国安全研究团队,DARKNAVY·深蓝特此发布本期产业观察。 9月20日,国外黑客Bin4ry(Andreas Makris)与KF(Kevin Finisterre)在GitHub发布了名为UniPwn的项目[1]。 熟悉黑客领域的人从名称即可窥其用途:Uni取自宇树(Unitree),Pwn则是黑客术语,意为“攻破”。是的,UniPwn披露了宇树机器人/机器狗蓝牙服务中存在的一个可导致设备被攻破的命令注入漏洞。 这是宇树首次被发现蓝牙安全漏洞吗?并不是,它既不是宇树被发现的第一个漏洞,也并非最严重的一个——事实上,该漏洞还与DARKNAVY此前向宇树报告的一个漏洞“撞洞”了。 不同的是,UniPwn此次选择了直接公开攻击代码。 9月25日,权威期刊《IEEE Spectrum》对UniPwn进行了技术报道[2],将其称为“宇树机器人的可蠕虫式漏洞(Wormable Vulnerability)”。随后媒体纷纷跟进,“宇树出现人传人漏洞/蠕虫/病毒”等说法不胫而走。 在后疫情时代,“人传人”无疑是挑动公众神经的敏感词。那么,这一漏洞是否真的具备“人传人”能力? DARKNAVY在分析UniPwn后确认,该漏洞真实存在,且与我们此前报告给宇树的内容一致,成功利用该漏洞会导致机器人/狗可被近场劫持、恶意控制。 关于“人传人”,我们认为科学严谨的表述应为:该蓝牙漏洞确属无需交互的“可蠕虫式漏洞”,但利用本漏洞触发“(机器)人传(机器)人”传染攻击,不仅需要“近场” ,还有一个前提,即,受害者机器主人手机与机器人蓝牙必须处于未连接状态,否则攻击/传播方无法做到“随时随地抢占连接”并感染目标机器,这一前提条件在UniPwn的报告中被有意或无意地忽略了。 但鉴于宇树机器人目前还依赖射频遥控器和手机 APP 远程遥控两种不占用蓝牙的方式来控制运动,且我们推测未来机器人终将摆脱人工遥控,我们最终认定:本蓝牙漏洞的“人传人”特性,的确具备理论现实双重可能。 回到UniPwn事件:“国外、黑客、公开、攻击……”这些字眼,让人不由联想到九月初的另一则消息——9月2日,宇树官方宣布启动IPO计划。 国外黑客为何选在此时公开漏洞?这是否会是一场针对中国新高科技产业的“狙击”? UniPwn作者在文档中说明了公开原因:今年5月,他们就已向宇树报告了漏洞细节,然而,起初宇树还对设立漏洞赏金计划态度积极,但随后沟通频率降低,甚至还出现宇树对接人“不记得有这么回事”的情况,7月25日宇树发布新版R1机器人后,双方沟通彻底中断,直至9月下旬作者公开漏洞攻击代码。 能理解吗?因为厂商的“不致谢、不回应、不修复”而公开漏洞,只是被忽视的黑客无奈之举……他们所言是否属实?根据DARKNAVY团队二十多年白帽黑客社区经历,以及与宇树的“沟通经验”,恐怕事实确实如此。 三年前的2022年,DARKNAVY的前身KeenTeam主办的GeekPwn黑客大赛,就曾联络宇树报告机器狗的远程劫持漏洞。然而,与国外黑客收到的回应相比,我们得到的是更加令人无语的“零回复”。 GeekPwn 2022比赛上,宇树Go1机器狗被远程劫持 对可以帮助产品更安全的报告置之不理,这奇怪吗?其实并不。二十多年前,尚不知安全为何物的微软,甚至还曾傲慢地将发现和指出Windows漏洞的黑客研究员冠以“evil邪恶”之名。以至于Windows漏洞在随后的一段时间内,白帽黑客放弃报告、黑帽黑客则暗中恶意利用,最终受害的还是用户和微软自身。 DARKNAVY对厂商的“已读不回”并不意外,不过我们始终未像国外黑客那样转而公开漏洞,但我们也看到,国内不少科技新贵对网络安全,表现出如“巨婴”般的自负且敏感:我技术遥遥,岂容黑客用“小小漏洞”质疑? 令人遗憾的真相是,根据DARKNAVY的跟踪研究,多数新科技企业对产品安全的重视和投入的安全防护手段,仅仅用于保护自身知识产权,如加密混淆算法和代码以防窃密,因为让他们“头大”的是“被破解”风险。 这在商业竞争激烈的今天,可以理解。但同时,由于对专业网络安全的理解和攻击防御知识储备存在天然缺失或忽视,这些新科技企业的产品设计与代码层面低级安全漏洞频出,用户隐私和安全面临极大挑战。 或许,这些科技新贵可以思考一下:产品安全,最应该保护的是谁?算法“被防护了”,用户呢?我们无法想象,一台汽车会把引擎层层上锁以防技术窃密,而不给座舱安装哪怕一个安全气囊。 宇树曾尝试在有过漏洞的模块里加密混淆代码 代码混淆能消灭漏洞吗?UniPwn给出了回答 产品是否安全,攻击视角的真实对抗无疑是最科学的检验手段。两周后的10月24日,即将在上海举办的GEEKCON大赛(前身GeekPwn)会站在用户安全场景角度,测试公开在售产品的漏洞防御水平。参赛的白帽黑客们将进行多项隐私与物理安全挑战,包括: “能否一分钟内通过未知漏洞植入代码,远程截获流行AI眼镜主人所听到的声音、看到的画面?” “能否仅凭一句自然语言对话,就触发未知漏洞执行,通过互联网远程攻破目标机器人并取得完整最高权限,任意操控机器人做出危害人身安全的动作?” “能否远程触发未知漏洞,瞬间让无人机直接坠毁?” 按照惯例,GEEKCON不会公开任何未知新漏洞的技术细节,项目挑战成功、且经赛事组委科学客观验证后,我们仍会将漏洞负责任地披露给厂商,提醒他们尽快修复。我们朴素地期望,能在新科技产品存在的安全缺陷尚未大规模影响真实世界之前,“种下一颗不让未来变坏的种子”。 然而,面对新科技企业未知的安全态度,白帽安全研究员们也不禁忐忑:如果挑战成功,意味着发现了新科技产品存在更多漏洞缺陷,我们会不会“在厂商IPO前收到对方律师函”?甚至“被扣上与境外势力联手打击民族产业的帽子”?…… 图片2014年首届GeekPwn大赛上,锤子手机被成功攻破 十一年前,KeenTeam在北京举办首届GeekPwn大赛,赛前我们邀请被选手选中的各家厂商现场观摩见证。与多数厂商的茫然或愤怒不同,锤子创始人罗永浩主动提供两台锤子手机参赛,并在锤子手机被攻破后于微博发长文,大方承认不足,公开致谢GeekPwn和白帽黑客帮助锤子提前发现和消灭安全漏洞。 2014年的罗永浩与2025年的科技新贵们,在对漏洞、黑客与安全的理解和态度上,会有云泥之别吗? GeekPwn九年前和央视3·15晚会共同发出“智能领域的安全漏洞,同样属于质量问题”的行业提醒。在中国制造的成长中,不乏视产品安全为底线的民族企业:通车前工程师坐上火车头极限测试,让中国高铁行稳;面对“鼻尖解锁手机”漏洞刮骨疗毒鸿蒙开物,让华为重信;八十年代砸冰箱立质量底线,让海尔赢心。如今的新科技企业们是否可以此为镜?欲戴此冠,必受其重。 对于UniPwn公开的漏洞,宇树已于9月29日在X上作出回应[3],从“感谢外界监督”到“已开始组建安全团队”,宇树确有进步,值得点赞。 但我们也注意到,声明中还有一句放在括号里的话:“(网络上有很多夸大其词的传言)”。委屈的背后似乎仍多少有一种“巨婴”心态的流露:人们在欺负我。 我们不免隐忧:如果连对自身安全漏洞的批评都无法正视,厂商还能创造出令人安全安心的智能产品吗? 2015年,GeekPwn联合谷歌大脑Ian Goodfellow开启了第一届AI安全挑战赛。彼时的AI界,与如今的机器人、AI眼镜、无人机等各种新科技领域一样,一样的如日中天,也一样的对安全无知、对黑客研究员无视。 当微软、华为、小米、微信、支付宝、字节等巨头纷纷走过安全的无知期,组建安全团队、支持黑客赛事、公开致谢白帽、求助外部专业机构,特别是苹果和特斯拉更是将网络安全视为核心竞争力、几乎不计成本投入时,我们却听闻,宇树的工作人员已经“不欢迎分析其产品安全的研究员购买产品”了[4]。 但愿,这只是又一则“夸大其词的传言”。 结语 世界上不存在没有漏洞的系统,漏洞永远无法完全消除,所有安全努力的目标就是尽可能提前发现和消灭未知缺陷、尽可能增加攻击者成本,这是网络安全的根基常识。 “这个世界的漏洞,并非因为黑客才存在, 恰恰是因为被黑客发现才得以修复。” ---GEEKCON 真正的巨人成长史,必定伴随着开始尊重安全常识、正视自身安全意识和能力不足的阵痛。DARKNAVY愿意共力与见证,每个优秀的新科技企业都能真正认识到安全对于用户的价值,成长为用户真正可信赖的巨人。 参 考: [1] https://github.com/Bin4ry/UniPwn [2] https://spectrum.ieee.org/unitree-robot-exploit [3] https://x.com/UnitreeRobotics/status/1972667504276210004 [4] https://x.com/d0tslash/status/1922694733870055621 头图来源:电影《i, Robot - 机械公敌》
篇首语:自2016年成立起,RC²一直致力于推广商业秘密保护与高管隐私保护的多方面合作与落地,通过联合国内外有影响力的行业机构、行业协会、商会等共同组织沙龙、研讨会、私享会及赛事,包括海外专家跨国交流等活动。 而近些年随着国家要求加强商业秘密保护的政策逐一推出,加上企业对于自身商业与高管隐私需求的快速增长,以及国内外不断涌现出的各种商业暗战隐私侵犯事件,RC²也开启与战略伙伴的进阶深度合作。 经过半年的筹备,今天,RC²正式宣布推出第一个国内隐私保护联盟成员: RC² × 网宇商检 • 高级隐私保护联合认证中心~ 注:一直以来,感谢大家的支持,RC²会更加努力不断前进。 1、网宇商检•联合隐私保护认证中心 2025年9月,东莞,RC² × 网宇商检 • 高级隐私保护联合认证中心,正式成立~ 根据双方深度战略合作框架,RC²反窃密实验室为网宇商检,专门设计了基于TSCM架构的商业秘密保护服务体系,包括面向企业用户展示、体验及轻量级培训的两个代表性模拟演训间。 大家可以先睹为快: 酒店隐私风险展示&演训间 作为RC²演训间序列中最受欢迎的场景之一,主要结合RC²持续跟进的国内外最新偷拍案件威胁情报,展示目前市面上最主要的酒店偷拍风险场景,让企业客户及学员们能够在实战场景中学习反偷拍,加强个人隐私保护能力。 如上图,可以看到,在酒店模拟间的电视屏幕上,会呈现出部分隐私暴露模拟效果。可供在这个房间学习/体验反偷拍检测的来宾及学员,作为答疑解惑和意识培养参考。 办公室商业风险展示&演训间 同样结合了RC²不断更新的国内外最新商业窃密案件威胁情报,将主要的风险类型按照不同威胁级别进行实体化展示,以便于企业高管团队来现场时,能实际感受可能遭遇的商业恶性竞争风险,包括桌面摆件窃听、暗藏的非法录音、被改装的特色礼品、第三方恶意窃听等。 同时配备了来自国内外不同型号的便携式检测设备,可供来宾和学员们开展检测体验与实际技能的学习。 PS:目前在东莞中心部署的演训间,全部基于RC²最新第五代实验室框架设计演化而成。 特别说明下:这个问题经常有人问起:所谓“演训间”并不是找一间空房间随意布置挂个牌就叫“专业演训间”或“专业模拟间” 在TSCM标准化要求中,主要在于操控体系化的处理,及为后续升级做出冗余设计。 所以,找一个房间单纯地摆放或在桌下粘贴几个模块,这样初级的设计,在RC²体系中,已定义为第一代设计中难度系数为最低级1的类型。 除模拟环境外,RC²还提供了精选的非法器材展示,以便合作伙伴在开展诸如信息安全周活动、沙龙等活动时,可供来宾了解真实商业安全风险,并留下深刻印象。 非法器材风险展示 以市面流通的典型非法器材为主,包括恶意改装的无线鼠标、加“料”的桌面礼品、GPS车辆跟踪器、针孔器材原型等等,可以给人非常直观的印象,非常适合在诸如企业安全周、安全保密活动展示。 欢迎东莞及周边的企业单位与商会会员,到访位于东莞市南城区天安数码城H1栋的“网宇商检”本部,来身临其境地感受体验下商业安全与隐私风险吧~ 2、RC²隐私保护联盟与支持 RC²反窃密实验室成立至今已有九年,通过对内部标准与TSCM技术体系的不断研究与持续迭代,协助RC²积累了全方位的TSCM行业数据,伴随着逐年递增的技术与客户口碑,才堆砌出RC²创立“隐私保护联盟”的基石。 RC²为推动行业的健康发展,协助企业在商业秘密保护与隐私安全上的完善与升级,一直坚持各取所长互惠互利的战略合作模式: 战略伙伴:发挥自身客户资源&市场优势 RC²:专注全方位商业安全服务&技术支持 为了全面协助战略合伙伴开展商业秘密保护方面业务的落地,RC²将配合开展一系列战略合作支持,具体包括: • 模拟演训间设计及部署 • 隐私保护活动展示策划 • 合作方商业活动宣讲支持 • 不同主题私享会支持 • 商业秘密保护课程合作 • DCCE高管隐私保护等专项课合作 • PPES系列专家课程合作 • 企业专业安全检测服务合作 • 商业安全威胁情报合作 ...... 关于上述内容,杨叔已经在之前的软文里多次提及,就不再一一赘述,感兴趣的朋友可以关注下公众号,或访问RC²官方网站查看;有意向合作方可直接联系客服,到访实验室面谈。 ★ RC²官网:http://www.tscmchina.com 接下来, 杨叔重点聊聊RC²的实验室发展史: RC²实验室&模拟演训间的版本迭代 过去九年,通过与国际最前沿的多家TSCM演训中心的对标学习,再结合RC²积累的近20门专业课程数百个实验中涉及的技术点,在自身储备的TSCM技术威胁情报支持下,RC²已接连设计并落地了多个版本实验室,具体分别为: 2017,上海,初代实验室,80平米 2019,上海,第二代实验室,240平米 2021,上海,第三代实验室,280平米 2023,深圳,第四代实验室,700平米 2025,......,第五代实验室 2017~2018年,RC²初代实验室,只有2间共计80平米的房间,在有限的空间内做了简单的布置以便开展内部反偷拍、反窃听训练和技术研究~ 2019~2021年,RC²第二代实验室,占地240平米,建有3个不同场景演训间,下图分别是实验室正门、实验隔离区、主教室、PPES专家小班课,及学员在酒店模拟演训间做反偷拍训练等。 2022~2023年,RC²第三代实验室,占地近300平米,升级了原有3个场景的演训间,下图分别是实验室外部通道,内部大厅、办公室与酒店模拟演训间训练、给邻居公司肥猫咪做X光透视等。 2023~2025年,RC²第四代实验室,暨与深圳信息通信研究院共同成立的「电磁信息安全联合实验室」,占地700平米,建有4个不同场景的演训间,下图分别是TSCM专业设备、研究测试区、会议室演训间、专业信号屏蔽室、活动区,及面向高级学员的TSCM海外专家课程等等。 PS:通过一年多的研究与实验筹备,数十万的前期研究投入,搭建近20个模拟/数字/VoIP电话解决方案、国际国内品牌消防系统方案、及特殊线路等...... 直到今年8月,RC²终于完成了「PPES-109 强弱电线路安全检测课程」的筹备及内部分享,实现了国内TSCM领域无此类课程储备的零的突破,预计今年10月起会正式面向高级学员推出~ 2025~2026,RC²第五代实验室,已经在不断升级设计中蓄势待发,欢迎期望未来在商业秘密保护、高管隐私保护、物理安全等方面拓展业务并寻求专业合作方的朋友们联系RC²,欢迎到访实验室面谈合作事宜~ 3、国际化合作 第一个国际化「RC² × 香港侦探总会 • 高级隐私保护联合认证中心」已于2024年11月底,在深圳挂牌。当时,香港侦探总会一行人在会长Jeff He的带领下,专程从HK驱车到深圳参加揭牌仪式。 RC²反窃密实验室将与香港侦探总会,在此基础上开展一系列课程、市场活动和业务方面的合作,并通过RC²持续更新的商战威胁情报,来协助企业学员与高净值客户加强对商业秘密与隐私风险的应对防护。 嗯,第二个海外联合认证中心,也将在近期落地~敬请期待 最后,RC²反窃密实验室希望通过多年来自身积累和不断钻研,可以为各大企业与整个行业进步提供切实的体系化支持~ 感谢一直以来支持RC²的各大企业客户、战略合作方和数千位老学员们,也欢迎更多新的合作伙伴加入隐私保护联盟,同时也期待见到新同学们~ ----END-----
黑客被发现利用SEO搜索引擎广告,推广伪造的Microsoft Teams安装程序,这些程序会向Windows设备植入Oyster后门,为攻击者获取企业网络初始访问权限铺路。 Oyster恶意软件又名Broomstick、CleanUpLoader,是一款2023年年中首次出现的后门程序,目前已与多起攻击活动相关联。该恶意软件能为攻击者提供受感染设备的远程访问权限,支持执行命令、部署额外恶意载荷及传输文件等操作。 Oyster通常通过“仿冒热门IT工具”的恶意广告活动传播,曾伪装成Putty、WinSCP等工具;Rhysida等勒索软件团伙也利用过这款恶意软件入侵企业网络。 虚假Teams安装程序的攻击链条 Blackpoint SOC发现这场新型恶意广告与SEO活动中,威胁者针对“Teams download”等搜索词布局——当用户搜索相关关键词时,会触发推广虚假下载网站的广告。 恶意的微软 Teams 下载网站在 Bing 尽管广告内容与域名未仿冒微软官方域名,但会引导用户进入伪装成微软Teams下载页面的teams-install[.]top网站。点击页面中的“下载链接”后,用户会获取名为“MSTeamsSetup.exe”的文件,该文件名与微软官方Teams安装程序完全一致。 假冒微软 Teams 网站分发 Oyster 恶意软件安装程序 这款恶意的MSTeamsSetup.exe文件使用了“4th State Oy”与“NRM NETWORK RISK MANAGEMENT INC”两家机构的数字证书进行签名,以此增强文件的可信度。 但该文件执行后,会向设备的%APPDATA%\Roaming文件夹释放名为CaptureService.dll的恶意动态链接库。为实现持久化控制,安装程序还会创建名为“CaptureService”的计划任务,每11分钟执行一次该DLL,确保设备重启后后门仍能保持活跃。 攻击特点与防御建议 此类活动与此前“伪装谷歌Chrome、微软Teams安装程序传播Oyster”的攻击模式高度相似,印证了SEO恶意广告仍是黑客入侵企业网络的主流手段。他们以可信软件为幌子,分发常见后门程序。与今年早些时候发现的虚假PuTTY攻击活动类似,威胁者正利用用户对搜索结果及知名品牌的信任,获取初始访问权限。 由于IT管理员是黑客获取高权限凭据的重点目标,因此建议管理员:仅从经过验证的官方域名下载软件,避免点击搜索引擎中的广告链接。
研究人员提出一种新方法,并开发出概念验证工具“EDR-Freeze”。该工具证明,攻击者可借助微软Windows错误报告(WER)系统,从用户模式中规避安全解决方案的检测。 这种技术无需依赖漏洞驱动程序,就能让端点检测与响应(EDR)工具等安全代理陷入“休眠”状态。 安全研究员TwoSevenOneThree(别名Zero Salarium)发现,通过将WER框架与MiniDumpWriteDump API结合,可以无限期地暂停EDR和杀毒软件进程的活动。 目前已有的EDR禁用方法多基于“自带漏洞驱动程序(BYOVD)”技术:攻击者获取合法但存在漏洞的内核驱动程序,通过利用漏洞提升权限。而BYOVD攻击存在明显缺陷,例如需将驱动程序植入目标系统、绕过执行防护机制,还要清除可能暴露攻击行为的内核级痕迹。 相比之下,EDR-Freeze被描述为“更隐蔽”的方法:无需内核驱动程序,完全在用户态运行,且仅依赖Windows系统默认自带的合法组件。 EDR-Freeze的工作原理 WerFaultSecure是Windows错误报告系统的组件,以“受保护进程轻量模式(PPL)”权限运行,其设计用途是收集敏感系统进程的崩溃转储文件,用于调试和诊断分析。 MiniDumpWriteDump是DbgHelp库中的一款API,功能是生成进程内存与状态的快照(即“小型转储文件”)。在生成快照的过程中,它会先暂停目标进程的所有线程,待操作完成后再恢复线程运行。 EDR-Freeze的核心逻辑,是借助WerFaultSecure触发MiniDumpWriteDump——在生成转储文件时,MiniDumpWriteDump会暂时暂停目标进程的所有线程;而攻击者会在此时暂停WerFaultSecure进程本身,导致转储工具无法恢复目标进程,最终使杀毒软件进程陷入“停滞”状态。 该研究员将这种攻击定义为“竞态条件攻击”,并指出可通过四个步骤复现: 1. 以PPL权限启动WerFaultSecure进程; 2. 向WerFaultSecure传递参数,使其对目标进程ID(PID)调用MiniDumpWriteDump; 3. 持续检测目标进程,直至其被转储操作暂停; 4. 立即以“进程暂停/恢复(PROCESS_SUSPEND_RESUME)”权限打开WerFaultSecure,调用NtSuspendProcess函数冻结转储工具。 研究员还发布了一款可自动执行上述操作的工具,并在Windows 11 24H2系统上进行测试,成功冻结了Windows Defender(微软杀毒软件)进程。 设置参数(左)和暂停Windows Defender(右) 值得注意的是,这种新型攻击利用的是MiniDumpWriteDump与WerFaultSecure的“预期功能”——二者的正常逻辑被串联后形成攻击链,因此这更偏向于Windows的设计缺陷,而非传统意义上的漏洞。 防御建议与后续展望 针对EDR-Freeze的防御并非无计可施,关键在于监控WER是否指向“敏感进程标识符”,如本地安全机构子系统LSASS或安全工具的PID。为此,安全研究员开发了一款工具,可建立WerFaultSecure与微软Defender Endpoint进程的映射关系,辅助检测异常。 此外,微软也可采取措施强化这些Windows组件的安全性,防止被滥用,例如:拦截可疑调用、仅允许对特定PID执行操作,或限制参数的可配置范围。
LastPass(一款密码管理工具)向macOS用户发出安全提示,称有一场攻击活动正通过虚假GitHub仓库分发伪装成热门软件的恶意程序。 这些伪造应用会在“ClickFix攻击”中植入Atomic(又称AMOS)信息窃取恶意软件,且攻击者通过Google和Bing的搜索引擎优化策略推广这些虚假应用。 AMOS是一款“恶意软件即服务”产品,月租费为1000美元,通常以受感染设备上的数据为攻击目标。近期,该恶意软件的开发者新增了后门组件,使攻击者能以隐蔽方式持续控制已攻陷的系统。 攻击细节:伪装超百款软件,借GitHub与ClickFix传播 LastPass表示,除自身产品外,此次攻击还伪装了超100款软件,包括1Password(密码管理工具)、Dropbox(云存储工具)、Confluence(协同办公软件)、Robinhood(股票交易应用)、Fidelity(金融服务软件)、Notion(笔记工具)、Gemini(谷歌AI工具)、Audacity(音频编辑软件)、Adobe After Effects(视频特效软件)、Thunderbird(邮件客户端)及SentinelOne(安全软件)等。 恶意的Google搜索结果 攻击者通过多个账号创建了大量虚假GitHub仓库——此举既能规避平台下架,又能通过优化让仓库在搜索结果中排名靠前。 声称与LastPass有关的GitHub代码库 这些仓库会设置“下载按钮”,引导访问者跳转至二级网站;在该网站中,用户会被诱导将一段命令粘贴到终端(Terminal)以完成“安装”。 这是典型的“ClickFix攻击”:利用受害者不了解命令实际作用的弱点实施攻击。这段命令会通过curl工具请求一个经Base64编码的URL,并将AMOS恶意载荷(install.sh脚本)下载到设备的/tmp目录(临时目录)。 攻击背景与防御建议 针对苹果电脑的ClickFix攻击并非首次出现。此前也有过类似活动,例如Booking.com的攻击,以及近期通过广告推广“macOS特定问题解决方案”的虚假应用攻击。 尽管LastPass仍在持续监控此次攻击,并向GitHub举报虚假仓库,但攻击者可通过自动化工具用新账号快速创建新仓库,导致攻击难以彻底遏制。 为避免遭遇ClickFix攻击,LastPass建议用户采取以下措施: 1. 切勿在系统中运行自身不理解的命令; 2. 在线查找软件时,优先通过软件厂商或项目的官方网站获取安装包——若官网未提供macOS版本,声称提供“非官方版”的渠道大概率为虚假; 3. 若需使用第三方移植的macOS版本,需确认提供方为大众认可的知名机构,且经过安全性验证。
越来越多企业认为,将人工智能融入业务运营是绝佳选择,甚至是绝对必要的举措——AI确实能兼顾实用性与必要性。但许多企业既不了解AI背后潜藏的网络安全风险,也未意识到自身在保障AI部署安全方面的准备严重不足。 无论是为提升内部生产力,还是打造面向客户的创新服务,AI(尤其是生成式AI)都能为企业带来革命性变革。然而,若缺乏安全保障,AI部署引发的问题将远超其带来的价值。没有完善的防护措施,AI非但无法强化防御,反而可能引入漏洞,为网络犯罪分子打开方便之门。 一、AI应用增速远超安全准备进度 企业对AI的需求毋庸置疑。据EY数据显示,92%的技术负责人计划在2025年增加AI相关支出,较2024年增长10%。智能体AI正成为极具变革性的前沿领域,69%的技术负责人表示,企业需借助该技术维持竞争力。 但企业对AI安全的关注度严重不足。世界经济论坛报告指出,66%的企业认为未来12个月内AI将对网络安全产生重大影响,但仅37%的企业在部署前建立了AI安全评估流程。 中小企业面临的风险更为突出——69%的中小企业缺乏AI安全部署保障措施,如训练数据监控、AI资产盘点等。 Accenture的调研也发现了类似差距:77%的企业缺乏基础的数据与AI安全实践,仅20%的企业对自身保护生成式AI模型的能力有信心。 实际上,这意味着大多数企业在拥抱AI时,其系统与数据并未获得真正的安全保障。 二、不安全的AI部署为何危险 未经安全考量的AI部署会带来重大合规风险,更会直接助长网络攻击者的气焰——他们可通过多种方式滥用生成式AI发起攻击: 1. AI驱动的钓鱼与欺诈:WEF指出,47%的企业将AI赋能的网络攻击列为首要担忧,这并非空穴来风——去年有42%的企业遭遇过社会工程学攻击。 2. 模型操纵:Accenture强调,Morris II等AI蠕虫可将恶意提示嵌入模型,劫持AI助手实现数据窃取或垃圾邮件传播。 3. 深度伪造诈骗:犯罪分子正越来越多地利用AI生成的语音、图像和视频实施欺诈。例如,某起攻击中,攻击者利用逼真的语音深度伪造技术冒充意大利国防部长,骗取知名商界人士向海外转账。 AI降低了攻击门槛,使诈骗活动更快速、成本更低,且更难被检测。 三、需从源头构建AI安全防线 企业若想安全地发挥AI的全部价值,就必须树立“安全优先”的理念。不应在事故发生后再补建防御,也不应拼凑多个独立工具,而应从一开始就采用原生集成的网络安全解决方案。借助可通过中央控制台轻松管理、无需手动集成即可协同工作的解决方案,企业可实现以下目标: 1. 将安全嵌入AI开发流程:安全编码、数据加密和对抗性测试应成为每个开发阶段的标准流程。 2. 持续监控与验证模型:需针对模型操纵、数据投毒等新兴风险对AI系统进行持续测试。 3. 整合网络弹性策略:安全不应孤立存在。防御措施需原生集成于端点、网络、云环境和AI工作负载中,这一策略可降低复杂性,防止攻击者利用薄弱环节突破防线。 WEF与Accenture均强调,在AI时代准备最充分的企业,是那些拥有集成策略与强大网络安全能力的组织。 研究显示,仅10%的企业进入了所谓的“重塑就绪区”——即结合成熟的网络策略与集成化的监控、检测和响应能力。处于该阶段的企业遭遇AI赋能网络攻击的概率,比准备不足的企业低69%。 四、托管服务提供商(MSP)与企业的角色 对MSP而言,AI浪潮既是挑战也是机遇。客户对AI工具的需求将日益增长,同时也会依赖MSP保障其安全。 《2025年上半年Acronis网络威胁报告》显示,攻击者已加大对MSP的AI赋能攻击力度。2025年上半年,针对MSP的攻击中逾半数为钓鱼尝试,且主要由AI技术驱动。 因此,MSP必须提供覆盖云、端点和AI环境的集成式防护,确保自身与客户的安全。 对企业而言,未来的发展路径在于平衡雄心与谨慎。AI能提升效率、激发创造力并增强竞争力,但这一切的前提是负责任的部署。 企业应将AI安全列为公司发展的优先事项,建立清晰的治理框架,并确保网络安全团队接受过应对新兴AI驱动威胁的培训。 五、AI部署的未来与安全紧密相连 生成式AI已成为常态,并将更深入地融入企业运营。但在未保障系统安全的情况下仓促推进,犹如在沙地上建造摩天大楼——地基过于薄弱,无法支撑整个建筑。因此,需通过利用集成化、前瞻性的安全措施与解决方案,企业既能释放AI的潜力,又不会加剧自身在勒索软件、欺诈及其他新兴威胁面前的暴露风险。
2025 年上半年,超70家国内企业栽在针对 M365的钓鱼攻击上:黑客滥用 “Direct Send”功能,伪装内部人员发送含伪造二维码的 PDF 邮件,轻松绕过防护。数据显示,Exchange 原生防护仅能拦截约 12% 的已知威胁,M365 面对中文钓鱼、BEC 诈骗等本地化攻击时,更是误判频发、响应滞后。 显然,Exchange 与 M365 的原生防护,并不适配国内企业的 “安全体质”,很容易在本地化防御、新型攻击拦截上 “水土不服”。那问题究竟出在哪?为何这些邮件系统的自带防护,总达不到企业的安全预期? 为何Exchange与M365“原生防护”总是不够用? 要弄清这一点,得先看两者原生防护的核心逻辑 —— 它们主打 “通用化基础防护”,具体短板集中在三点: 1. 防护能力有限,靠“老规则”挡不住新威胁 Exchange主要依赖病毒签名和基础规则,研究显示,其整体威胁拦截率仅为12%左右,剩下88%的风险全靠企业自己承担。 2. 标准化服务,难以适配中国企业需求 M365 的威胁库基于全球数据,对中文钓鱼、区域性 BEC 攻击识别能力弱。面对研发部代码检测、财务部转账核验等差异化需求,完全无法灵活调整。 3. 缺乏实时监测,出事之后才后知后觉 Exchange和M36都没有异常发信行为的实时监控,也没有 “漏网威胁邮件” 的事后处置能力,等发现数据泄露早已无法挽回。 Exchange/M365邮箱安全最新防范指南 CACTER助力三步筑牢国内企业邮件防线 对国内企业来说,Exchange 与 M365原生防护有短板是共识,但一想到重建系统费钱又耽误业务就犯愁。其实不用走“重建”这条路,更简单高效的办法就在眼前:给现有系统配个专业第三方安全网关。CACTER 邮件安全网关通过 “补短板、强管控、快响应” 三步,就能轻松筑牢企业邮件安全墙: 1. 补短板:给原生防护加道 "CACTER专业滤网" 针对原生防护 “检测弱 + 本地化缺” 的问题,CACTER 搭建 “双引擎 + 本地化情报库” 防护网:自研反垃圾引擎联动奇安信、卡巴斯基反病毒引擎,将新病毒、高级钓鱼的拦截率提至 99.8%,直接补上 Exchange对国内恶意邮件仅 12% 拦截率的缺口。 2. 强管控:自定义规则适配企业个性化需求 标准化防护永远跟不上企业差异,CACTER 支持按部门灵活配策略,还自带独家 “高级威胁事后召回” 功能 —— 哪怕新型威胁绕过多引擎检查投到邮箱,也能一键召回接收、域内方向的已投递邮件;同时联动 Coremail 大数据中心情报自动处置恶意邮件,搭配全量日志审计与实时告警,彻底解决原生防护 “出事难补救、人工盯守低效” 的问题。 3. 快响应:依托动态情报应对新型威胁 漏洞与攻击手段更新极快,CACTER 靠实时情报采集与极速迭代抢占防护先机:在全球部署百万个探针邮箱,实时搜集全球最新威胁数据,尤其国内刚出现的钓鱼变种、新病毒;检测引擎规则秒级更新,新威胁一出现就能同步防护策略,让 Exchange/M365 不用等微软全球推送,避免原生防护 “反应慢半拍” 的漏洞。 当Exchange 与 M365 原生防护不够用,正需要像CACTER邮件网关的第三方来补位!现在 CACTER邮件安全网关推出30天免费试用,零成本体验 99.8% 的拦截率。与其等攻击找上门,不如扫码申领试用,让邮件系统真正 “零威胁”,给邮箱安全多份保障!
文本要点: 16+ 大类 28+小类 涵盖弱口令、视频会议系统、小程序、网络“开盒”、共享充电宝、诈骗“小黑盒”、穿戴设备、办公设备、扫描软件等等 要点目录 一、弱口令 案例:移动支付弱密码导致盗刷 案例拓展1:电脑锁屏密码破译原理解密 案例拓展2:认证安全级别排序 二、视频会议系统 案例:部分网络视频会议系统服务器加密不彻底、云端文件不设防 三、APP、小程序 案例1:未经授权获取个人信息,引发电信诈骗 案例2:小程序漏洞造成个人信息泄露(医疗、教育领域) 案例拓展:个人防范方法及运营者法律责任 四、零日漏洞 危害示例:电站被摧毁、企业数据被加密、工业控制系统瘫痪、医疗机构数据风险,医疗设备被控制、社交平台与电商平台数据泄露 示例拓展:普通网民和企业用户如何防范 五、钓鱼邮件 案例:境外组织通过钓鱼邮件控制电脑、手机等终端,搜集情报,危害国家安全 六:网络“开盒” 案例:一个名字就可“开盒”5年内所有个人信息 七、共享充电宝 案例:境外间谍情报机关和别有用心之人利用改装共享充电宝窃取公民个人隐私甚至国家秘密 案例拓展:充电宝窃密原理剖析及防范 八、生活化伪装偷拍偷录装置 危害示例:模拟陌生环境下,各式各样隐秘的偷拍偷录装置 九、视频通话AI换脸 案例:警方破获一起利用“AI换脸”技术实施的诈骗案 案例拓展:视频通话AI换脸演示及防范 十、诈骗设备——“黑盒子” 案例:上海发生一起免费升级宽带 实为安装诈骗设备的案件 十一、摄像头黑客攻击 案例:境外黑客攻击小商店摄像头,从而监控港口 十二、穿戴等设备 案例:境外间谍情报机关攻击个人穿戴等各种物联网设备,搜集情报 十三、打印机、复印机等办公设备 危害示例1:国家安全机关侦办案件中已发现多起通过改装办公设备实施窃密 危害示例2:复印机扫描仪等办公设备内置存储固件或模块存在泄密风险 危害示例3:打印机硒鼓内置的芯片可被改造用于存储打印过的信息,实施窃密 危害示例4:通过网络窃取办公设备中存储的打印、扫描等信息 十四、扫描软件 案例:某机关工作人员违规使用互联网扫描软件扫描涉密会议纪要使该文件自动备份至网盘,导致3年间扫描的127份涉密文件泄露 十五、AI应用 案例:通过“闲聊”“AI”“社交媒体”造成泄密事件,已有多人因该泄密事件被处分 十六:生物特征识别 案例1:境外间谍情报机关通过非法窃取重点目标对象面容信息数据后窃密,危害国家安全 案例2:境外某企业将指纹支付系统直连公司数据库,遭黑客攻击,导致严重失泄密 案例3:某境外公司以发放加密货币代币为噱头在世界范围内扫描收集用户虹膜信息并将数据源转移 来源:重庆信通设计院天空实验室
为健全完善北京市网络和数据安全技术支撑体系,充分发挥首都网络安全技术资源优势,积极应对北京地区网络和数据安全威胁挑战,北京市委网信办聚焦网络安全、数据安全、工控和物联网安全、新型网络威胁应对四大领域,面向社会公开遴选第二届网络安全技术支撑单位(2025-2027)。经过严格评审,梆梆安全凭借扎实的技术实力、丰富的实践经验与高度的社会责任感,入选数据安全领域技术支撑单位。 面对日益复杂的多源数据环境,企业需构建系统化的数据安全技术防护体系,以切实落实数据安全管理与个人信息保护责任。 梆梆安全深耕网络安全领域十五载,已在数据安全方向构建起覆盖“移动应用安全防护”全生命周期的生态体系,具备数据资产识别、分类分级、安全防护、风险监测、合规检查与综合管理等方面的闭环能力,为企业建立动态防御、持续监测与快速响应的数据安全运营机制提供全面支撑。基于智能化的数据识别与用户行为分析技术,梆梆安全能够精准追踪敏感数据流转路径,实时识别并阻断潜在泄露风险,助力企业实现数据安全治理能力的现代化升级。 截至目前,梆梆安全已服务10万家以上企业及开发者用户,安全技术覆盖的移动应用软件超过100万,这些应用已经累计安装在10亿个移动终端上,业务范围广泛覆盖金融、互联网、物联网、政府、运营商、企业、医疗、能源、教育等重点行业。公司曾多次为十九大、两会、G20峰会、金砖国家领导人厦门会晤、上合峰会、中国国际进口博览会等国际国内重大会议活动提供网络安全保障支撑。 作为新一届技术支撑单位,梆梆安全将切实履行责任,依托在网络与数据安全领域积累的专业能力,积极配合北京市委网信办开展相关安全保障与应急响应工作。面向未来,梆梆安全将持续加大技术研发与产品创新力度,紧跟网络安全发展趋势,提供更加专业、可靠的安全服务,助力北京市数字化建设实现高质量、可持续发展。
近期发现的FileFix社会工程学攻击,通过伪装Meta(原Facebook)账号封禁警告,诱导用户在不知情的情况下安装StealC信息窃取恶意软件。 FileFix是ClickFix攻击家族的新变种,这类攻击均通过社会工程学手段,欺骗用户将恶意命令粘贴到操作系统对话框中,谎称这些命令是解决问题的“修复方案”。 该FileFix技术由红队研究员mr.d0x开发,与ClickFix不同的是:它不再诱导用户将恶意PowerShell命令粘贴到Windows“运行”对话框或终端,而是滥用文件资源管理器的地址栏执行命令。 FileFix并非首次用于攻击——此前Interlock勒索软件团伙曾利用它安装远程访问木马(RAT),但早期攻击仅使用FileFix的原始概念验证代码(PoC),未对诱骗手段进行升级。 新型FileFix攻击活动 Acronis公司发现的这场新攻击中,攻击者搭建了多语言钓鱼页面,伪装成Meta客服团队,向用户发出警告:若不查看据称由Meta发送的“事件报告”,其账号将在7天内被封禁。然而,所谓的“报告”并非真实文档,而是用于在目标设备上安装恶意软件的伪装PowerShell命令。 钓鱼页面引导用户执行以下操作:点击“复制”按钮复制看似文件路径的内容→点击“打开文件资源管理器”按钮→将复制的“路径”粘贴到地址栏以打开“报告”。 但实际上,点击“复制”按钮后,Windows剪贴板中保存的是一段插入了大量空格的PowerShell命令——这样一来,当用户粘贴到文件资源管理器时,仅会显示末尾的“文件路径”,隐藏真实的恶意命令。 Acronis解释道:“为让用户误以为粘贴的是‘事件报告’PDF文件的路径,攻击者在载荷末尾设置了一个变量,该变量包含大量空格,且末尾附带伪造路径。” 这种设计能确保地址栏中仅显示文件路径,而不会暴露任何恶意命令。在常规ClickFix攻击中,攻击者会用#符号替代变量——PowerShell会将#后的内容视为开发者注释,从而隐藏恶意代码。 这一改动带来了一个意外优势:若安全检测规则是针对ClickFix的#符号设计的,很可能会遗漏此次攻击。 FileFix攻击冒充Meta支持 此次FileFix攻击的另一大特点是:利用隐写术将“第二阶段PowerShell脚本”与“加密可执行文件”隐藏在一张看似无害的JPG图片中,该图片托管于Bitbucket平台。 用户在不知情的情况下执行第一阶段PowerShell命令后,命令会先下载这张图片,提取其中嵌入的第二阶段脚本,再通过该脚本在内存中解密恶意载荷。 嵌入图像中的第二个PowerShell脚本 最终投放的恶意载荷是StealC信息窃取软件,它会尝试从受感染设备中窃取以下数据: ·网页浏览器(Chrome、Firefox、Opera、腾讯浏览器等)中的凭据与认证Cookie; ·即时通讯软件(Discord、Telegram、Tox、Pidgin)中的凭据; ·加密货币钱包(比特币、以太坊、Exodus等)相关数据; ·云服务凭据(AWS、Azure); ·VPN与游戏应用(ProtonVPN、战网、育碧客户端)中的信息; ·对当前桌面进行截图的权限。 攻击迭代与防御建议 Acronis报告称,过去两周内已观察到该攻击的多个变种,这些变种使用不同的载荷、域名与诱骗话术。通过这些变化,能看到攻击者在社会工程学手段与攻击技术细节两方面的演进。 这可能表明攻击者在测试未来计划使用的基础设施,也可能是攻击者在攻击过程中不断学习、调整策略,为攻击新增迭代版本以提升成功率。 尽管多数企业已对员工开展钓鱼攻击防范培训,但ClickFix与FileFix这类新型攻击手段仍相对新颖,且在持续进化。建议企业向员工普及这类新型攻击手段,对从网站复制内容并粘贴到看似无害的系统对话框中可能存在的风险保持警惕。
前沿技术盛宴,10大议题领航 顶尖专家齐聚,共话 AI 发展 极客市集狂欢,邂逅新奇科技 多轮惊喜抽奖,福利接踵而至 智能时代·可信AI安全 一、峰会日程安排 会议名称:第九届安全开发者峰会(SDC2025) 会议时间:2025年10月23日 9:00-18:00 会议地点:上海龙之梦大酒店(长宁区延安西路1116号) 指导单位:上海市普陀区科学技术委员会 主办单位:看雪社区 *后续每个议题都将单独公布细节,敬请期待! 二、圆桌会谈:AI智能体与未来安全 随着人工智能技术的飞速迭代,AI 智能体已从实验室走向现实应用,深度融入数字经济、网络空间、智能制造等关键领域,成为驱动社会发展的核心力量。然而,技术的突破往往伴随着新的安全挑战 —— 从 AI 模型被篡改、数据隐私泄露,到智能系统遭恶意攻击引发的连锁风险,AI 智能体的安全防护已成为关乎产业稳定、社会信任乃至国家数字安全的重要议题。在此背景下,我们齐聚一堂,以 “AI 智能体与未来安全” 为主题展开深度对话,旨在汇聚多方智慧,剖析当前挑战,探索未来安全发展的有效路径。 主持人:惠志斌 管理学博士,研究员(教授),上海社会科学院互联网研究中心主任,上海赛博网络安全产业创新研究院院长,上海市人工智能与社会发展研究会常务副会长等。主要研究领域为数字经济、数据要素市场、数据安全合规、人工智能治理等,主编《中国网络空间安全发展报告》、《全球数字经济竞争力发展报告》等年度蓝皮书,主持国家和上海等各类研究项目五十余项,在重要专业学术期刊和媒体发表论文和文章近百篇。 嘉宾:崔竞松 武汉大学国家网络安全学院副教授,深圳市汇顶科技股份有限公司安全BU CTO,主要研究方向:密码应用、嵌入式安全、网络安全、DNA编码等,在学术刊物和国际会议上发表学术论文50余篇,拥有发明专利30余项。 嘉宾:何淇丹(Flanker) 京东安全獬豸实验室负责人,高级总监。公安部特聘讲师,民盟上海市委科技专委会委员,黑客奥斯卡Pwnie Awards最佳提权漏洞奖得主,GeekPwn/GeekCon黑客大赛评委,Pwn2Own/Mobile Pwn2Own双料冠军,Black Hat/DEFCON/CanSecWest演讲者。 嘉宾:张作裕 WiFi万能钥匙首席安全官,先后担任蘑菇街、钉钉、阿里健康风险治理一号位,负责对电商、办公、健康、社交及本地零售领域的安全风控体系建设、大型集团对多个子业务的风险治理能力交付、负责学习强国App安全上线、管理并运营国内用户规模最大的黑客社区《黑客X档案》论坛。 嘉宾:刘歆轶 非夕机器人信息安全总监&DPO,负责公司信息安全、网络安全、AI安全及隐私合规等工作。CISA,CISSP资深讲师,ISACA中国特邀专家,中国计算机学会CCF专业会员。曾参与CDPSE、CCAK、CISSP、SSCP等国际安全类认证教材讲义及试题的翻译审核工作。 三、安全训练营 为了让参会者的峰会之旅更加充实,主办方特意安排了【安全训练营】培训活动,于10月22日开班(即峰会前一天)。 *满10人开班,否则全额退款。报名训练营赠峰会门票 1、训练营:《模糊测试,污点分析与大模型的技术碰撞》 培训介绍 本课程聚焦软件安全两大核心领域:模糊测试与代码审计,提供系统化进阶路径。 模糊测试部分涵盖用户态与内核态实践:从工具源码分析(如syzkaller)到实战拓展,结合Web Server与Linux内核漏洞挖掘,深入逻辑漏洞挖掘技巧。 代码审计部分围绕污点分析等关键技术展开,并引入AI逆向分析与漏洞挖掘拓展,提升自动化审计能力。 培训内容 一. 模糊测试 用户态探索 1. 模糊测试工具源码分析 2. 模糊测试工具拓展 3. web server 模糊测试实战 内核态探索 1. syzkaller源码分析 2. linux内核逻辑漏洞挖掘技巧 3. linux内核模糊测试 拓展 二. 代码审计 1. 污点分析技术解析 2. AI逆向分析拓展 3. AI漏洞挖掘拓展 学员福利 -免费获得SDC2025门票1张(价值¥1024) -免费提供培训当天午餐及晚餐 ¥4999 扫码报名 2、《IoT固件安全分析与漏洞挖掘实战培训》 培训介绍 本课程体系涵盖IoT固件安全分析的完整技术链路。从NAND闪存固件提取开始,深入讲解原始转储数据规范化、OOB数据处理及固件重建技术;逆向固件加密体系,掌握解密逻辑还原与实践操作;通过QEMU驱动的IoT固件仿真技术,深入理解仿真原理;最后结合近期热门漏洞案例,完整复盘漏洞分析、仿真验证、动态调试到EXP/PoC开发的全流程,全面提升IoT设备漏洞挖掘与安全研究实战能力。 培训内容 1.固件提取-NAND转储分析之OOB 解析NAND芯片类型和格式 固件重建及文件系统还原 2.固件更新链路与加密体系逆向 固件加解密逻辑分析与还原 固件解密实践 3.QEMU驱动的IoT固件仿真 常见仿真框架与定位 QEMU原理分析 4.漏洞链路复盘与仿真验证(近期未授权RCE) Intelbras 溢出漏洞,漏洞分析、仿真环境构建、动态调试、EXP利用链构建 学员福利 -免费获得SDC2025门票1张(价值¥1024) -免费提供培训当天午餐及晚餐 ¥4999 扫码报名 四、极客市集 本届峰会极客市集展商有:360漏洞云、FreeBuf、安在、博文视点、异步社区/人民邮电出版社 部分商品及礼品展示,欢迎打卡 五、峰会合作伙伴 支持单位联动: 触发条件(三选一): 1)公众号/社媒平台转发大会推文2次(由我们提供内容) 2)录制一段会议祝福视频,展示团队风采 3)提供价值不低于500元的小礼品用于大会互动 不论您是热衷技术传播、还是SRC品牌曝光,SDC 2025 都为您提供精准连接目标人群的绝佳机会。 如您希望进一步了解细节,欢迎随时联系~ 联系人邮箱:service@kanxue.com 六、关于安全开发者峰会(SDC) 安全开发者峰会(Security Development Conference,简称SDC)由国内知名网络安全技术社区——看雪论坛(看雪社区)主办。看雪论坛是业内长期致力于推动网络安全技术发展的非营利性质技术交流社区/论坛,始终以技术共享和行业共建为宗旨。 自2017年11月成功举办首届会议以来,安全开发者峰会始终秉持“技术·干货”的办会原则,聚焦安全编程、软件安全测试、智能设备安全、物联网安全、漏洞挖掘、移动安全、WEB安全、密码学、逆向技术、加密与解密、系统安全等前沿领域,为开发者、安全人员及高端技术从业者提供一个深度交流与分享的高价值平台。 作为国内开发者与安全人才的年度盛事,SDC旨在推动软件开发安全领域的深入探讨与合作,汇聚业界顶尖专家与一线技术人员,助力行业知识共享与技术迭代,持续为互联网及相关行业人士提供最具价值的技术交流机会。 七、扫码报名 立即参会
论坛现场 9月24日,在迎泽宾馆晋泽轩,举行2025第五届太原网络安全高峰论坛。论坛以“合规为基·AI赋能·战略升维”为主题,深入贯彻落实习近平总书记关于网络强国的重要思想,助力筑牢智能时代的数据安全防线和网络安全屏障,凝聚专家智慧破解智能时代的网络安全难题,促进AI赋能网络安全防御创新和数字经济高质量发展。论坛由中关村华安关键信息基础设施安全保护联盟、山西省互联网协会、太原市互联网协会联合主办,太原市互联网协会网络安全专委会、华为云总经销商山西云岫科技股份有限公司承办,绿盟科技集团股份有限公司、北京升鑫网络科技有限公司(青滕云安全)、深圳市联软科技股份有限公司、北京未来智安科技有限公司、山西省数字证书认证中心(有限公司)、太原清众鑫科技有限公司、北京小西牛等保软件有限公司共同协办。 出席和参加本届论坛的领导、专家和嘉宾有:公安部十一局原副局长、一级巡视员、总工程师郭启全,山西省国家密码管理局商用密码管理处处长傅小斌,山西省互联网协会秘书长宋高志,中共太原市委网信办副主任靳海燕,太原市公安局网络安全保卫支队相关同志,民建太原市委专职副主委郭菊英,中共太原市委网信办网络安全和信息化科科长赵伟,中共太原市委宣传部原副部长、太原市互联网协会理事长曹俊清,协会监事长赵宇光,党支部书记庞晋宝,常务副理事长郝晋凯,副理事长曹晋勇、谷慧芳、石刚、康波,秘书长宋庆瑞,中医药专委会主任孟小军、数据安全专委会主任段忱君,华为云山西云业务部解决方案部部长李新奇,山西云岫科技股份有限公司总经理王煜,山西省数字证书认证中心(有限公司)总经理宋瑞东,太原清众鑫科技有限公司董事长靳黎忠以及来自华为云、绿盟科技、未来智安、联软科技、青藤云安全、山西ca、清众鑫、小西牛等企业的行业专家。来自省市党政机关、教育、医疗、金融、渠道商、集成商、测评机构及媒体等领域的嘉宾线上线下共同参与,总人数超过2000人。 中共太原市委宣传部原副部长 太原市互联网协会理事长曹俊清致词 太原市互联网协会理事长曹俊清在致词中说: 当前,我们正处在一个数字化、网络化、智能化深入发展的时代,新一轮科技革命和产业变革迅猛发展,以人工智能为代表的新一代信息技术加速突破应用,互联网以前所未有的深度和广度融入经济社会发展的各领域,重塑着生产生活方式,为我们带来了前所未有的发展机遇和严峻挑战,网络空间的安全问题日益凸显,网络攻击、数据泄露、网络诈骗、信息滥用等风险持续高发,已成为事关国家安全、经济发展、社会稳定和公民权益的全局性、战略性挑战。面对日益严峻复杂的网络安全形势,我们比以往任何时候都更需要凝聚智慧、汇聚力量,共同应对风险挑战。一是洞察趋势,把准脉搏。共同分析当前网络安全领域面临的新风险、新挑战,把握技术演进和产业发展的新动向、新趋势。 二是交流互鉴,共享智慧。分享国内外网络安全的最佳实践、先进技术和成功经验,相互启发,共同进步。 三是汇聚合力,共筑防线。助力党委政府、企业、高校、科研机构和社会组织之间形成更紧密的合作机制,构建多方参与、优势互补、协同联动的网络安全治理新格局。 倡导网络空间命运共同体理念,携手提升关键信息基础设施防护能力、数据安全保障能力和网络安全威胁应对能力,筑牢智能时代的网络安全“防火墙”和数据安全防线。网络安全责任重于泰山。我们要深入贯彻落实习近平总书记关于网络强国的重要思想,助力筑牢智能时代的网络安全屏障。我们相信各位领导和专家嘉宾的精彩分享和深入交流成果,必将为应对智能时代数据安全和网络安全挑战、助力山西太原数字经济高质量发展贡献宝贵的智慧和力量。 华为山西云CTO李新奇讲话 华为山西云CTO李新奇在讲话中说:面对AI时代数据爆炸增长、网络边界模糊、软件漏洞激增、物联网盲区扩大和AI安全风险等五大挑战,网络安全已成为数字经济发展的必答题。华为将网络安全与隐私保护作为公司最高纲领,并置于商业利益至上,通过持续完善网络安全保障体系和推进可信变革,将安全能力打造成为核心竞争力。未来,华为将携手行业伙伴,积极参与政企安全体系、云安全、可信数据空间等领域建设,共同筑牢网络安全屏障,为数字经济高质量发展保驾护航。 太原市公安局网络安全保卫支队相关同志在讲话中说:当前互联网已全面融入社会生活,我们正身处信息化、数字化快速发展的时代。随着科技持续迭代,大数据、人工智能等技术迅猛发展,既为社会进步注入强劲动力,也带来新的挑战。本届论坛聚焦“大模型AI赋能互联网发展”,更为我们提供了宝贵的学习交流平台,必将对今后互联网工作产生积极助力。互联网发展需要共建共治共享,仅靠单一企业、部门或行业难以应对复杂安全挑战,必须凝聚社会各界力量共同参与。希望通过本届论坛,互联网协会能够继续调动社会各界力量,整合各方资源,达成共识,共同发力,携手共建太原清朗安全的网络环境。 中共太原市委网信办副主任靳海燕讲话 中共太原市委网信办副主任靳海燕在讲话中强调: 当今世界,数字技术日新月异,数字经济蓬勃发展,网络安全的基础性、关键性作用日益凸显。它不仅是发展的“助推器”,更是国家安全的“压舱石”。本次论坛以“合规为基、AI赋能、战略升维”为主题,精准把握了时代脉搏,切中了行业发展的关键,对于汇聚智慧、凝聚共识、共同应对新挑战、开创网安新局面具有十分重要的意义。一是始终筑牢“合规为基”的坚固防线。合规是网络安全工作的生命线和基本要求。随着《网络安全法》《数据安全法》《个人信息保护法》等法律法规的深入实施,网络安全工作已全面进入法治化、规范化轨道。我们必须牢固树立法治思维,将合规要求贯穿于网络空间治理、数据安全管理、技术研发应用的全过程。各类网络运营者要切实履行主体责任,建立健全内部合规管理体系,确保网络运行安全、数据处理合法、个人信息得到充分保护。市委网信办将一如既往地加强监管指导,在全市推动形成知法、守法、用法的良好氛围,共同构筑坚实可靠的网络安全合规屏障。二是充分激发“AI赋能”的创新活力。人工智能作为引领未来的战略性技术,正在深刻改变网络安全的力量对比和攻防格局。AI在威胁监测、风险预警、应急响应、溯源反制等方面展现出巨大潜力,为提升网络安全防护的智能化、自动化水平提供了强大动能。我们要积极拥抱变革,鼓励和支持AI技术在网络安全领域的创新应用,研发更智能、更精准、更高效的网络安全产品和解决方案。同时,也必须高度重视AI技术本身带来的新型安全风险,加强伦理规范研究,确保AI安全、可靠、可控地赋能网络安全产业,实现发展与安全协同并进。三、着力实现“战略升维”的格局视野。网络安全是动态的、整体的,而非静态的、孤立的。我们必须跳出单一技术视角,从总体国家安全观的高度进行战略谋划和系统布局。要推动网络安全从传统的被动防护向主动防御、纵深防御转变,从聚焦关键信息基础设施保护向统筹推进数字政府、数字经济、数字社会、数字文化全方位安全转变。要加强网络安全产业生态培育,促进产学研用深度融合,提升产业链供应链韧性和安全水平。由市委网信办主办的2025年国家网络安全宣传周太原活动刚在上周顺利举办,活动聚焦“网络安全为人民,网络安全靠人民”理念,提升了全市数字素养与安全技能。今年以来,我市强化网络安全机制建设,落实网络安全责任制,构建“大网络安全”格局:优化运营中心功能,排查整治系统风险,推动设立首席网络安全官,为全市纪念中国人民抗日战争暨世界反法西斯战争胜利80周年提供了网络安全保障。网络安全关乎全局、关乎未来。正如习近平总书记所言“聪者听于无声,明者见于未形”,愿我们以本次论坛为契机,洞察风险,共筑网络安全防线,深化交流,共同探索网安路径!希望本次论坛能够成为分享真知灼见、碰撞思想火花、促进务实合作的重要平台。为构建清朗网络空间、护航数字太原建设贡献更大的力量。 公安部十一局原副局长、一级巡视员 总工程师郭启全视频讲话 公安部十一局原副局长、一级巡视员、总工程师郭启全通过视频方式发表了讲话,围绕“合规为基、AI赋能、战略升维”主题,深入阐述了“AI+”时代下面临的网络安全新挑战与发展方向。在讲话中说: AI技术是一把双刃剑,在推动社会变革的同时也带来网络攻击升级、数据滥用、生成内容合规等多重风险。面对当前网络安全攻防“不对称”困境,应加快构建现代化综合防控体系,并通过六大举措推进AI与安全深度融合:包括构建打防管控一体化防御体系、加强技术对抗能力建设、深化“三化六防”实践、开展大模型安全评估、建立AI安全生态及提升平战结合的攻防能力。最后他强调,筑牢数字安全屏障是赋能高质量发展、支撑国家重大战略的基石,各方应共同维护网络空间安全,为实现中国式现代化贡献力量。 华为云安全解决方案架构师贾国英演讲 华为云安全解决方案架构师贾国英在演讲中说:AI大模型广泛应用带来新型安全挑战,亟需构建智能、高效的一体化防护体系。华为云依托AI-Native安全架构,实现DDoS/CC等海量攻击的秒级响应与自动压制,成功协助企业抵御千次级以上高强度攻击。在数据与模型安全方面,华为云提供全链路保护,为医疗客户实现“数据零泄露”、助力汽车企业内容合规率提升至95%以上,满足监管要求。他强调,华为云通过“安全智能体+大模型”重构运营范式,将传统人工主导的威胁研判、处置与溯源流程升级为自动化、智能调度模式,极大提升安全运维效率,助力企业在AI时代构建“主动免疫、纵深防御”的安全能力。 绿盟科技AI解决方案专家郝广宾演讲 绿盟科技AI解决方案专家郝广宾带来“大模型安全:构建安全防护体系,应对新型挑战”为主题的演讲。他说:随着大模型深入应用,其安全风险已从传统的内容安全、数据泄露,演进至智能体滥用、供应链攻击和模型越狱等新型挑战。为应对这些问题,国家密集出台多项法规与标准,要求企业开展合规评估与安全防护。绿盟科技提出“一个治理体系、三步规划、五项落实”的防护理念,并推出AI安全防护一体机等产品,覆盖模型训练、部署与应用全生命周期,提供内容过滤、敏感信息防护、红蓝对抗和持续运营等能力,可以有效助力政府、金融、能源等行业构建安全可控的大模型应用体系。绿盟通过技术工具与运营服务相结合,致力于成为企业智能化转型中最坚实的安全守护者,以技术创新为盾,以行业合规为纲,为智能时代筑牢安全基石,共赴可信数字未来。 未来智安创始人兼CEO唐伽佳演讲 未来智安创始人兼CEO唐伽佳发表题为“AI+数智化安全运营平台”的主旨演讲,深度剖析了AI时代企业安全运营的破局之道。他说:随着全球网络安全威胁持续升级,合规监管趋严及新兴攻击手段频出的多重挑战下,企业亟需通过智能化、自动化的安全运营手段来实现高效安全运营。未来智安AI+数智化安全运营平台,能够实现全场景覆盖、全流程自动化与全周期自进化,助力企业完能力、转型、价值等三大转型。他特别强调,AI成功的关键在于“数据×场景×算法×算力” 的协同作用:高质量安全数据为基础,真实业务场景驱动落地,先进算法赋能智能分析,强大算力保障高效执行,共同构建起平台持续进化的核心竞争力。作为AI+安全领域的创新标杆,未来智安将持续以技术突破为核心驱动力,深化AI与数智化技术在安全领域的应用,助力更多企业筑牢安全防线,为网络安全行业的高质量发展注入新动能。 联软科技市场支持部总经理王海军演讲 联软科技市场支持部总经理王海军在演讲中说:我们联软认为在勒索攻击与数据泄露事件频发的当下,企业可把“网络安全韧性”作为整体安全建设的参考方向之一。我们联软结合TDNA架构,融合NIST CSF 2.0与ISO/IEC 27031标准,在金融、大型制造业、央国企及医疗等各行业进行实践验证,通过“权限控制“与”暴露面收敛”实现分层容错、主动防御和智能运营。联软提出的网络安全韧性不仅涉及技术更新,也关系到战略思维架构文化与“底线风险管理”理念的同步变革;面对不断演进的威胁形态,企业可考虑通过组织协同与技术融合,为业务连续、快速恢复及网络与数据安全一体化提供支持,在“AI+威胁”新时代助力构建真正自主、可控、弹性的网络安全体系。 青藤云安全技术总监李鹏演讲 青藤云安全技术总监李鹏在演讲中说:青藤云安全提出以“无相AI安全智能体”为核心的新一代云工作负载安全防护方案,旨在应对AI驱动的自动化攻击与新型安全威胁。面对AI超级黑客利用自动化攻击、数据投毒及供应链风险等挑战,青藤构建了由无相AI智能体驱动的多维度协同防御体系。无相AI深度赋能并整合了青藤主机安全、容器安全、微隔离、RASP等核心产品能力,实现了从底层数据收集到上层智能研判与响应的无缝联动。它能够自动研判主机安全与容器安全告警,并联动微隔离智能遏制内网横向移动,同时利用RASP在应用内部进行精准溯源,从而实现对训练数据篡改、恶意代码植入等攻击的有效遏制。他指出,该方案已成功应用于多家大型企业,其核心优势在于将AI的分析能力与原有产品的防护能力深度融合。基于青藤云安全多产品协同产生的海量数据,无相AI实现告警自动化研判覆盖96% 、准确率高达99% ,将人工研判工作量降低95%以上 。这不仅显著提升了威胁响应与溯源效率,更使安全运营模式从被动的告警处置,向主动的业务场景化威胁狩猎实现了质的飞跃。这一创新模式推动了安全运营的全面自动化与智能化演进,最终助力企业在AI时代构建“主动防御、智能运营、人机共智”的安全新体系,聚力AI智能体,共筑云上未来安全基石。 山西省数字证书认证中心(山西CA)行业总监赵杰演讲 山西省数字证书认证中心(山西CA)行业总监赵杰在演讲中说:密码技术是保障网络与数据安全的核心支撑。面对当前重要信息系统普遍存在的密码应用不广泛、不规范、不安全等问题,商用密码应用安全性评估(密评)已成为国家法律与行业政策的强制要求。作为本省权威认证机构,山西CA依托吉大正元技术底蕴,提供涵盖政务云、城市运管服、医疗、招采、公积金等多领域的密码应用与密评改造服务,助力客户实现全流程可信身份认证、数据加密及电子签章,切实护航业务合规与安全发展。他表示,山西CA以全省覆盖的服务网络和综合密码解决方案,致力于推动山西省国产密码技术深度融入数字化建设,为各行各业筑牢安全底座。本届论坛汇聚各方智慧,聚焦“合规、AI、战略”三大核心,为山西太原网络安全领域提供了切实可行的解决方案与前瞻思路。与会专家分享的实战经验与技术成果,将为本地各行业筑牢安全底座、推动数字化建设提供有力支撑。 论坛盛况
近期发现的npm包“fezbox”通过二维码从攻击者服务器获取窃Cookie恶意软件。该包伪装成实用工具库,借助这种新颖的隐写技术,从受感染设备中窃取用户凭据等敏感数据。 二维码再添恶意用途 二维码传统上为方便使用而设计,用于承载营销内容或分享链接,但攻击者已为其找到新用途——在二维码内部隐藏恶意代码。 本周,Socket威胁研究团队发现一款名为“fezbox”的恶意包被发布至npmjs.com(全球最大的JavaScript与Node.js开源包仓库)。该恶意包包含隐藏指令,会先获取一张内含二维码的JPG图片,随后对图片进行处理,运行攻击流程中的第二阶段混淆载荷。 据npmjs.com数据显示,在仓库管理员下架该包前,其下载量至少已达327次。 fezbox 恶意软件包在 npmjs.com 上 反向存储恶意URL规避检测 已确认,以1.3.0版本为例,恶意载荷主要存在于包内的dist/fezbox.cjs文件中。Socket威胁分析师Olivia Brown解释:“文件中的代码经过了压缩,格式化后可读性会显著提升。”代码中的条件判断语句会先检测应用是否运行在开发环境中。 这通常是一种隐蔽策略。威胁者不想在虚拟环境或非生产环境中暴露行踪,因此常会为漏洞利用的运行时机和方式设置防护栏。若未处于开发环境,代码会在120秒后解析并执行来自反向字符串所指向的二维码中的代码。 在CJS文件中反向存储的恶意链接 上图截图中的字符串反转后为:hxxps://res[.]cloudinary[.]com/dhuenbqsq/image/upload/v1755767716/b52c81c176720f07f702218b1bdc7eff_h7f6pn.jpg Brown表示,将URL反向存储是攻击者的隐蔽手段,目的是绕过代码中查找“以http(s)://开头的URL”的静态分析工具。 二维码藏混淆代码,专攻Cookie窃取 恶意网址返回的二维码 上述URL指向的二维码有别于日常营销或商务场景中常见的二维码——它的密度异常高,承载的数据量远超普通二维码。 事实上,测试发现,普通手机摄像头无法稳定识别该二维码。威胁者专门设计这款条码,用于传递可被“fezbox”包解析的混淆代码。 Brown解释,该混淆载荷会通过document.cookie读取Cookie数据:“随后它会获取用户名和密码,这里同样使用了字符串反转的混淆手段(如将password写为drowssap)。” 若窃取的Cookie中同时包含用户名和密码,载荷会通过HTTPS POST请求将信息发送至https://my-nest-app-production[.]up[.]railway[.]app/users;若不满足条件,则静默退出,不执行任何操作。 攻击创新点:无需人工介入的二维码滥用 此前,我们已见过无数二维码在社会工程学骗局中的应用——从虚假问卷到伪造“停车罚单”等,但这类场景均需人工介入(例如用户扫描二维码后被引导至钓鱼网站)。 而Socket本周的发现展现了二维码滥用的新套路:受感染设备可通过二维码与命令控制(C2)服务器通信,且在代理或网络安全工具看来,这种通信与普通的图片传输流量并无二致。 传统隐写术常将恶意代码隐藏在图片、媒体文件或元数据中,而此次攻击更进一步,印证了威胁者会利用任何可用载体实施攻击的趋势。
篇首语:现在越来越多的公众号都开始用AI生成,别的行业不知道,但TSCM行业中真正有技术含量的内容,目前靠AI肯定是无法提供的,比如可以试着问问AI,如何检测强弱电线路......就会明白杨叔坚持原创软文的原因。 前一阵,杨叔重温了李连杰那部经典的《中南海保镖》,相信很多朋友也都是通过这部影片开始,迷之相信高层领导的身边,一定都是如此这般的大内高手。 杨叔也是这样想的......所以当看到国外这些总理办公室遭遇窃听的报道时,简直匪夷所思,到底是这些国家高层领导身边特勤部门的能力太差,还是因为政坛不稳权利内斗所致? 本篇是杨叔原创“特勤局手册”系列的第9篇,这个系列得到了很多执法机构人士的支持,也希望能一直给大家分享些好玩实用的高级别反窃密及安保知识: ☑特勤局手册 | 美国总统的内部代号 ☑特勤局手册 | 领导人高级别会谈如何反窃密 ☑特勤局手册 | 保密电话都是红色的么? ☑特勤局手册 | 毒品、军火、爆炸物、武装人员偷运的克星 ☑特勤局手册 | 隔着门缝看人的专业人士 ☑特勤局手册 | 铁窗的"地下权柄":违禁手机 ☑特勤局手册 | 新威胁出现,海外超微型针孔偷拍器材 ☑特勤局手册 | 总统车队的电子对抗车 注:以下内容符合OSINT国际开源情报搜集标准,素材全部来自互联网新闻,虽已经过多来源交叉验证,但部分细节可能存在差异,仅供交流与参考。 01 泰国,总理办公室发生窃听事件 2025年7月,泰国总理帕通丹·辛纳瓦他(Paetongtarn Shinawatra)因一通泄露的电话录音被暂停职务。 在2025年6月15日的一通电话中,帕通丹与柬埔寨前强势领导人洪森就不断升级的边界争端进行的17分钟通话被泄露。在泄露的通话中,可以听到帕东丹称呼柬埔寨前强人洪森为“叔叔”,并似乎批评了其军队在上个月边境冲突导致一名柬埔寨士兵死亡后的行动。 录音泄露后,引发了公众和政治争议。,泰国宪法法院暂停了她的职务,等待道德调查。 洪森在其官方脸书主页上发帖称,他已与大约80名柬埔寨官员分享了通话录音,并暗示其中一人可能泄露了音频。这位72岁的资深政客后来发布了这段17分钟通话的完整录音。 “佩东丹向洪森卑躬屈膝,损害了她的总理职位,并损害了泰国的国家利益,”朱拉隆功大学政治学教授提提南·蓬苏迪拉克表示。“她的下台只是时间问题,而且她可能还要承担更多指控。” 边界争端的处理也激起了两国的民族主义热情。在泰国,保守派势力呼吁佩东丹接受指控并辞职。在柬埔寨,数千人上周参加了政府组织的集会,声援政府和军方就此问题采取的立场。 帕通丹的暂停导致泰国政府陷入动荡,增加了政治不稳定性。事件可能影响她的政治生涯和泰国的外交关系。 杨叔:唉,内部录音的泄露,肯定是有内鬼啦~ 02 伊拉克,总理办公室窃听网络被破 2024年,伊拉克总理穆罕默德·什叶派·苏丹尼(Mohammed Shia al-Sudani)的办公室被发现存在窃听网络。 2024年8月,新闻报道称总理办公室内的一个窃听网络被破获,该网络成员包括政府雇员和安全官员,被指控从事非法活动,例如窃听政治人物、开展电子虚假宣传活动以及伪造文件。 伊拉克司法部长法伊克·齐丹(Faiq Zidan)是被窃听网络锁定的多名伊拉克官员之一。情报部门已逮捕七名嫌疑人,其中包括总理穆罕默德·什叶派·苏丹尼办公室的员工和伊拉克情报部门的官员。迄今为止,被拘留的最引人注目的嫌疑人是苏丹尼办公室人事事务副局长穆罕默德·朱希。 这七名嫌疑人与总理办公室以及由苏达尼掌管的伊拉克国家情报局有着直接联系,而且他们还获得了窃听齐丹和执政协调框架核心圈子多位领导人的技术和安全便利,这引发了人们对该网络真正负责人身份的诸多疑问。 尽管总理顾问否认办公室内发生间谍活动,但其他消息来源确认了丑闻的存在,称其为“伊拉克水门事件”。 事件对苏丹尼的政治前景构成威胁,引发了对总理办公室管理和透明度的质疑。调查涉及伊朗革命卫队指挥官的敏感访问,进一步加剧了争议。 杨叔:无语,果然是越是党派纷争发展落后的地方,政治斗争越混乱啊~ 03 巴基斯坦,总理办公室音频泄露事件 2022年10月,巴基斯坦总理谢巴兹·谢里夫(Shehbaz Sharif)下令成立一个委员会,调查几份音频文件的泄露,并对总理办公室的网络安全进行审查。 除五名部长外,该委员会还包括跨部门情报部和情报局的局长,巴基斯坦电信局、联邦调查局的技术专家,以及国家电信和信息技术安全委员会(NTISB)的秘书。 从10月6日起,委员会将在7天时间内,调查在这样一个敏感的办公室,窃听的实现方式,以及是否存在网络安全隐患,并提供报告来确保不会再出现类似的事情。 杨叔:虽然“巴铁”这个词不知道还适不适用,但老巴这次丢人丢大了,亡羊补牢,希望现在已经养成定期做房间“清洁”工作的习惯~ 04 办公室如何防窃听 TSCM反技术窃密体系不是购买一两台甚至整套设备就能解决,而是一套完整的检测、防御、架构与意识培养体系。 国家层面的安全防护更加复杂、深入和全面,作为为最高权力机构服务的特勤局,对于自身能力也有着更高标准要求~~但实际相关的体系与规范都较为复杂,比如对电话线路、弱电线路、消防线路都需要开展深度安全检测,这就需要大量的知识学习、技术储备和场景训练,RC²在开展专项研究时就深刻体会到这一点。 所以今天就不再深入聊技术,不过既然提到海外办公室安全,那就继续关注下出海企业吧~ 首先,出海企业应当关注行业动态,尤其是国际新闻报道。 嗯,最近杨叔分享了一些企业出海的商战案例,通过和很多出海中企沟通,也了解到有很多企业都在遇到各种挫折、问题,甚至针对性措施后,开始在思考中不断调整和完善自身的安全防护与应急体系中快速成长,但有趣的是,也有个别企业,依然会抱着国内的某些思维模式处理,即: 即使国外新闻大社的报道满天飞,对内还想搞现代版“掩耳盗铃”。行为可以理解,但这对企业的海外布局和发展没有任何好处。 毕竟,杨叔之前发布的很多引自公开新闻的商战案例,早已是国内外很多商业智库、情报咨询公司的内部材料,有的甚至会就案例做专题研究,给内部会员分享,或在商业情报平台售卖。 何况通常公开的新闻,从彭博社、连线、BBC等高影响力的新闻大社都会第一时间相继报道或转载,而且若案例中的海外企业官方如已发布公开声明,更没有起诉新闻媒体诽谤造谣,可见确实是真事,那在海外综合浏览量飞速传播下,该看到的人都早已看到,国内软文无非是满足广大民众“吃瓜”心态而已~ 不过即使如此,对于中企,在外媒一致使用真实中企名称和真实高管名字的情况下,杨叔会保持遵循微信公众号关于《微信公众平台运营规范》4.1.2条规定,在确保真实性的前提下,在原案例新闻报道已在大新闻媒体公开发布2个月后,再注明原文引用来源,去除企业关键字并对其它隐私模糊化处理后去做发布。 分享下我们的OSINT开源情报的部分新闻采集源,供企业董秘部门、威胁态势情报部门及OSINT从业者参考~ • 彭博社,Bloomberg • 美联社,AP NEWS • 路透社,Reuters • 英国卫报,The Guardian • 连线,WIRED • 英国广播公司,BBC • 英国独立报,Independent • 美国新闻与世界报道:美新周刊,U.S. News & World Report • 金融時報,Financial Times • 互联网新闻博客,Mashable • 经济学人,The Economist • 西班牙国家报,El País ...... 杨叔已经和即将发布的绝大部分案例类内容,均来自上述新闻媒体的专栏新闻或知名调查记者专栏,欢迎大家就本公众号发布的那些商业安全案例,在上述媒体网站上检索核实~ 其次,企业高层必须清楚风险来自何处,包括但不限于: • 非法录音与电子窃听,依然是当前商业安全的主要威胁之一。 • 私人谈话的内容往往极具价值,所以也是商业刺探的首选目标。 • 巨大利益诱惑下,身边器重的人,也可能不再值得信任。 • 开展关键交流/对话的地点,一直都是商业跟踪定位的主要目标。 • 私人会所在防御物理渗透上较为薄弱,容易遭受第三方窃密。 • 如果已经发现一个窃听器材,那也意味着可能还有更多。 那么,具体该怎么做呢? ■ 重要安全建议 针对本文提及的部分安全风险,以下给出对应的安全建议,仅供参考: • 不定期对核心高管办公室/核心会议室开展专业反窃听检测 • 对内部会所/别墅开展检测,并启动二次安全保密强化改造 • 培养隶属于自己的检测小组,或者选择业内可靠的第三方专业检测团队 • 对有权限进出核心办公环境的保洁、维修及第三方绿植养护人员等加强红区限制;或提升物防安检;或开展背景审查 • 即使是私人谈话,也尽量避免在开放环境下交流,如咖啡厅、开放茶庄等 • 随机改变一些固化的生活工作习惯,比如临时换车前往目的地;临时更换另一个独立安保团队;临时取消预订酒店并更换;更换常喝的咖啡品牌等 还有更多细节与案例,无法一一列出,继续打个小广告哈:企业高管可以通过RC²的各类隐私保护专项课程,了解各类非法监视风险,提升个人隐私保护意识,加强海外团队安全意识等。 相对于中企,很多外企已经加强了海外高管的安全意识培养,甚至平均每年会为高管安排不少于4~8天的外部课程/学习提升预算,这一点就非常值得我们借鉴与学习。 OK,That's All, 10月,我们线下活动上见~ ----END-----
9月23日,第六届国际反病毒大会在天津滨海新区成功举办。本届大会由天津市政府主办,国家计算机病毒应急处理中心、天津市公安局、天津市滨海新区政府承办,以“共同应对病毒威胁 守护数字资产安全”为主题,汇聚了来自国际刑警组织网络犯罪局、亚洲反病毒研究者协会等国内外权威专家与行业领袖,围绕病毒防控与数字资产保护展开深入探讨,分享前沿技术成果与实践经验。 作为本次大会的重要环节,《移动互联网应用安全统计分析报告(2025)》在会议期间正式发布。梆梆安全凭借在移动安全领域的深厚积累,作为报告参编单位受邀出席发布仪式,与各界代表共同见证与交流。 本届会议面向全球人工智能技术加速发展的未来场景,积极探索反病毒技术的前沿创新方向,深化计算机病毒防治国际间的协作交流,共享该领域的最新科研与实践成果,在网络安全领域政策研究、标准制定、解决方案等多层面实现新突破。 会议期间,梆梆安全参与编撰的《移动互联网应用安全统计分析报告(2025)》由国家计算机病毒应急处理中心正式发布,系统梳理了近一年来网络空间安全治理工作面临的突出问题,深入分析当前网络空间面临的新趋势、新风险、新问题,有针对性地提出对策建议,为网络安全主管部门提供决策支持、为行业机构和研究人员提供信息参考。 随着移动互联网技术的快速迭代和犯罪手段的持续演变,移动安全生态治理已成为一项需要长期推进的系统性工程。当前,人工智能、物联网等新技术的深度融合不断催生新的攻击面,例如AI换脸诈骗、物联网设备劫持等新型威胁层出不穷。与此同时,黑产犯罪链条日趋专业化,从恶意代码开发、数据清洗到非法交易已形成完整闭环,导致安全对抗周期延长、防御成本攀升。 此外,安全投入与商业收益之间的平衡、用户隐私保护与数据价值挖掘之间的矛盾,也进一步凸显出治理工作必须在技术攻防、法规完善与行业自律之间实现动态协调。面对这一复杂局面,唯有通过“监管协同、企业自治、技术赋能”的综合治理策略,才能逐步构建具备韧性的移动安全生态体系。 梆梆安全深耕网络安全行业十五载,建立了全面的“移动应用安全防护”生态体系,业务上形成“以移动安全为主体,联动安全服务和物联网安全”的“一体两翼”业务体系,通过专业的安全服务为政府、企业、开发者和消费者等客户打造安全稳固可信的网络空间生态环境;技术、产品、解决方案和咨询服务共同搭建构成“四位一体”的产研体系,软件、硬件与控制的多管齐下,逐步实现由软及硬、由内而外的联防联控。
企业数据泄露,邮件是重灾区。刚看到一份扎心报告:近期,全球权威报告《2025 年人类网络风险现状报告》揭示一组扎心数据:仅 10% 的员工,就占了企业 73% 的高风险行为。更可怕的是,靠传统安全意识培训,最多只能识别 12% 的高风险 —— 这意味着近 9 成人为风险,都藏在 你看不见的“盲区” 里。 员工不小心把客户信息贴进外发邮件、误点钓鱼链接泄露核心文件,甚至有意转发敏感数据…… 这些事一旦发生,轻则合规处罚,重则丢业务、损声誉。 如何才能真正有效地管控邮件数据风险?CACTER邮件数据防泄露系统(简称“CACTER EDLP”)给出了“懂邮件+识人心”的解决方案: CACTER EDLP:防泄露只是基础,管“人”才是关键 传统防护只盯传输安全,却挡不住员工误发敏感文件、拦不住有意泄露数据 ——CACTER EDLP从员工写邮件、加附件到点击发送的每一步,都能提前识别隐患、及时管控: 1. 深度内容扫描:1000 +常见文件格式,敏感信息无处藏 不管员工发的是 Word 合同、Excel 客户表,还是图片里的手写笔记、压缩包嵌套的文件,CACTER EDLP 都能解析识别 —— 哪怕文件被篡改伪装,也能揪出敏感内容。比如含身份证号、银行卡号的文本,或是标着 “机密” 的文档,系统都能精准识别出来,自动检测标注。 2. 自定义审批:敏感邮件,按规则“层层把关” CACTER EDLP 能按公司需求自定义规则:比如普通员工发含客户数据的邮件,需要部门领导审批;核心岗位发机密文件,自动抄送合规部门;甚至能设置 “自动密送”,让管理员实时掌握敏感邮件流向;并且提供“自动生成审批流”“标准对接第三方系统审批”“事件完整留痕”等管理功能,既不影响正常工作,提质增效,又能把风险攥在手里, 3. 智能模型+动态防护:越用越“懂”你的业务 CACTER EDLP内置多样化智能模型及百余种字典词库,还支持 “模糊指纹”—— 管理员只要喂给系统几个敏感样本,它就能自动识别类似内容。比如公司新出的项目方案,不用手动输关键词,系统能自己 “学会” 识别,防护越来越精准。 CACTER EDLP助力多家企业实现“邮件零泄密” 企业数据安全不仅要管”通道“更要 “管人”,邮件作为数据出口,“人为风险” 最易钻空子。目前,CACTER EDLP 已服务中大型企业、金融机构及政府部门等数百家客户,依托全面兼容市面几乎所有邮件系统及私有云托管能力,实现快速上线,越来越多企业靠它实现 “邮件零泄密”。
本周,Cloudflare成功抵御一场分布式拒绝服务(DDoS)攻击,其流量峰值创下新纪录——达22.2太比特每秒(Tbps),数据包速率峰值达106亿包每秒(Bpps)。 DDoS攻击的典型原理是耗尽目标系统或网络资源,最终导致服务变慢甚至瘫痪,使合法用户无法正常访问。 创纪录DDoS攻击频发 流量规模持续攀升 近年来,创纪录级别的DDoS攻击愈发频繁: ·就在三周前,Cloudflare曾抵御了一场规模达11.5 Tbps、51亿PPS的大型攻击,该攻击在当时是公开报道中规模最大的一次; ·而再往前推两个月,该公司还处理过另一起峰值7.3 Tbps的创纪录攻击; ·今年4月,这家互联网巨头已发出警示,称本年度遭遇的DDoS攻击数量创下历史新高。 最新这场攻击属于“流量型DDoS攻击”持续时长虽仅40秒,却是目前Cloudflare抵御过的规模最大攻击。 创纪录攻击的图表 尽管攻击时间短暂,但指向受害者的流量体量极为庞大——约相当于100万个4K视频同时流式传输的流量总和;106亿PPS的数据包速率,约等于全球每个人每秒刷新1.3次网页所产生的数据包量。 如此庞大的数据包量,即便总带宽可控,也会给防火墙、路由器和负载均衡器的请求处理带来极大压力。 攻击溯源:或与AISURU僵尸网络相关 尽管Cloudflare未披露近两次大型DDoS攻击的更多细节,据奇安信XLab研究部门指出,此前那场11.5 Tbps的DDoS攻击由AISURU僵尸网络发起。 研究人员称,AISURU已感染全球超30万台设备。2025年4月,Totolink路由器固件更新服务器遭攻陷后,该僵尸网络的感染量出现激增。 此外,该僵尸网络还针对网络摄像头、硬盘录像机/网络录像机、Realtek芯片,以及T-Mobile、Zyxel、D-Link、Linksys等品牌路由器中的漏洞发起攻击,以扩充其感染设备池。
网络安全研究人员发现,一场持续进行的供应链攻击已导致至少187款npm包被攻陷,这些包中植入了具备自传播能力的恶意载荷,可进一步感染其他npm包。 这场被命名为“Shai-Hulud”的协同式蠕虫攻击于近日启动,最初攻陷的是周下载量超200万次的@ctrl/tinycolor npm包。此后攻击范围大幅扩大,目前已波及CrowdStrike公司npm命名空间下的多个包。 从tinycolor到CrowdStrike:攻击范围逐步扩大 目前,高级后端软件工程师Daniel Pereira向社区发出警示,称全球最大的JavaScript包仓库npmjs.com正遭受大规模软件供应链攻击,并提醒所有人避免安装@ctrl/tinycolor项目的最新版本。 Pereira提醒大家注意持续的npm供应链攻击 过去24小时内,Pereira曾试图通过更隐秘的渠道联系GitHub,告知其这场持续的攻击——“已有大量代码仓库成为目标”,若公开披露可能会让更多人面临风险。 软件供应链安全公司Socket随即对此次攻击展开调查,初步确认至少40款npm包遭攻陷。如今,Socket与Aikido的研究人员均发现了更多受影响的包,使得受攻陷包的总数达到至少187款。 安全公司StepSecurity也发布了技术分析报告,包含反混淆后的代码片段与攻击流程图,基本印证了Socket的初步调查结果。 受影响的包中,包括多个由CrowdStrike的npmjs账号“crowdstrike-publisher”发布的包。 随后,CrowdStrike发言人回应称:在第三方开源仓库(即公共npm仓库)中检测到多款恶意Node包后,已迅速将其移除,并主动轮换了公共仓库中的密钥。这些包并未用于Falcon传感器(CrowdStrike的核心产品),因此该平台未受影响,客户安全仍有保障。 自传播蠕虫利用TruffleHog窃取密钥 遭攻陷的npm包版本中,包含一套针对“同一维护者名下其他包”的自传播机制。Socket研究人员解释称,恶意软件会先下载该维护者发布的所有包,修改包内的package.json文件,植入名为bundle.js的脚本(代码片段如下),重新打包后再发布,从而“实现对下游包的自动木马化感染”。 bundle.js 文件下载 TruffleHog 以提取密钥 bundle.js脚本会调用TruffleHog——这是一款合法的密钥扫描工具,开发者与安全人员常用来检测代码仓库或其他数据源中意外泄露的敏感信息(如API密钥、密码、令牌等)。 但该恶意脚本滥用了这款工具,在主机中搜索令牌与云服务凭证。脚本会验证并利用开发者凭证与持续集成(CI)凭证,在代码仓库中创建GitHub Actions工作流,再将窃取到的信息通过硬编码的Webhook(链接为hxxps://webhook[.]site/bb8ca5f6-4175-45d2-b042-fc9ebb8170b7)外传。 攻击名称“Shai-Hulud”源自遭攻陷包中恶意软件使用的工作流文件“shai-hulud.yaml”,其灵感来自科幻小说《沙丘》系列中的巨型沙虫。 在已发现的其他受攻陷包中,恶意软件与此前版本完全一致,均通过bundle.js执行以下操作: 1. 下载并运行合法密钥扫描工具TruffleHog; 2. 在主机中搜索令牌、云凭证等敏感密钥; 3. 验证发现的开发者凭证与CI凭证是否有效; 4. 在代码仓库中创建未授权的GitHub Actions工作流; 5. 将敏感数据通过硬编码的Webhook端点外传。 攻击背景:近期大规模供应链攻击频发 除了攻击目标包含热门npm包外,此次供应链攻击的“时间节点”也尤为特殊——它发生在同一月份的两起高关注度供应链攻击之后。 9月第一周,一场名为“s1ngularity”的攻击中,AI驱动的恶意软件攻陷了2180个GitHub账户。尽管目前仍在调查此次攻击的根本原因,但包括Pereira在内的业内人士推测,此次攻击的幕后黑手可能与“s1ngularity”的攻击者为同一伙人。 本月早些时候,热门npm包chalk与debug的维护者也在另一场独立攻击中遭遇钓鱼,导致其管理的项目被攻陷。 这些攻击产生的连锁反应已深入软件依赖链,可能影响到广泛使用的项目,例如谷歌Gemini CLI。 安全建议 这些持续发生的攻击,暴露了现代软件供应链的脆弱性——一个恶意拉取请求或一个遭攻陷的维护者账户,就可能引发连锁反应,影响数百个项目。 尽管谷歌、CrowdStrike等厂商强调其核心平台未受影响,但此次事件仍凸显出一个迫切需求:开发者必须加强对软件构建流程与流水线的安全防护。 针对受影响的用户,建议采取以下措施: 1. 审计自身环境与日志,排查是否存在攻陷痕迹; 2. 轮换所有敏感密钥与CI/CD令牌; 3. 检查依赖树,移除包含恶意版本的包; 4. 将依赖包版本锁定到可信发布版本; 5. 限制发布凭证的权限范围。
一个名为“SlopAds”的大规模Android广告欺诈团伙已被瓦解。此前,该团伙通过Google Play商店中的224款恶意应用,日均发起23亿次广告请求。 这一广告欺诈活动由HUMAN公司的Satori威胁情报团队发现。据报告,这些恶意应用的下载量超过3800万次,且通过代码混淆和隐写术隐藏恶意行为,规避谷歌的检测与安全工具的扫描。 SlopAds的影响范围覆盖全球,来自228个国家的用户曾安装过相关应用。该团伙日均发起23亿次广告竞价请求,其中广告曝光量最高的地区为美国(占比30%),其次是印度(10%)和巴西(7%)。 研究人员将该活动命名为“SlopAds”,一方面是因为相关恶意应用表面看似批量生成,类似AI粗制内容;另一方面,也是参考了威胁者命令与控制(C2)服务器上托管的一系列AI主题应用及服务。 与SlopAds广告欺诈活动相关的Android应用程序 SlopAds广告欺诈活动的技术细节 为规避谷歌的应用审核流程与安全软件检测,SlopAds的广告欺诈机制包含多层逃避策略,具体攻击流程如下: 1. 根据安装来源判断行为模式:若用户从Play商店“自然安装”该应用(非通过团伙投放的广告跳转),应用会伪装成正常应用,执行其宣称的功能(如工具类、娱乐类功能); SlopAds 广告欺诈恶意软件工作流程 但如果检测到用户是通过点击团伙投放的广告安装应用,就会通过Firebase远程配置下载一个加密配置文件——该文件包含广告欺诈恶意模块的URL、提现服务器地址及JavaScript载荷。 2. 设备环境验证:应用会进一步判断自身是否安装在“真实用户设备”上,以避开研究人员或安全软件的分析环境。 3. 通过隐写术加载恶意模块:若通过上述所有检测,应用会下载4张PNG图片——这些图片通过隐写术隐藏了恶意APK(安卓应用安装包)的碎片。 使用隐写术将恶意代码隐藏在图像中 图片下载完成后,设备会对其解密并重组,生成完整的“FatModule”恶意软件,该软件是实施广告欺诈的核心组件。 4. 发起广告欺诈并获利:FatModule激活后,会通过隐藏的WebView(网页视图)收集设备与浏览器信息,随后跳转到攻击者控制的广告欺诈(提现)域名。 这些域名伪装成游戏网站或新闻网站,通过隐藏的WebView界面持续加载广告,日均生成超20亿次欺诈性广告曝光与点击,为攻击者创造非法收益。 后续处置与风险预警 HUMAN指出,SlopAds的基础设施包含多个C2服务器及300多个相关推广域名,这表明威胁者原本计划在已发现的224款应用之外,进一步扩大攻击范围。 目前,谷歌已从Play商店下架所有已确认的SlopAds恶意应用,且Android系统的“Google Play Protect”功能已完成更新——若用户设备中仍存在此类应用,该功能会发出警告,提示用户卸载。 根据此次广告欺诈活动的技术复杂度表明,威胁者很可能会调整攻击方案在未来发起新的欺诈活动,用户应随时保持警惕态度。
9月18日至19日,以“破界共生,共启前程”为主题的第二届中国国际通信行业峰会在安徽合肥成功举办。作为国内通信行业年度顶级盛会,本次峰会汇聚了众多通信运营商巨头、全球领先的设备制造商、垂直行业龙头企业以及学术界权威专家,共同探讨行业前沿趋势与创新路径。 凭借在DDoS防护领域深厚的技术积累和领先的AI驱动防御体系,快快网络不仅以组委会常务理事会单位身份受邀出席,更作为云安全代表厂商发表主题演讲,共话通信安全新生态。 随着5G规模化商用及6G研发不断提速、黑客进一步滥用AI技术,DDoS攻击也愈演愈烈,规模、手段和持续性日趋复杂,对通信基础服务构成巨大挑战,传统防护方案已力不从心。作为国内较早专注于DDoS防护领域的云安全服务商,快快网络依托自主研发的多项核心防护技术与AI智能调度系统,构建了以“云计算资源+云安全防护”为基础的立体化产品矩阵,涵盖高防IDC、DDoS原生防护、云防火墙等多层级产品,防护能力达Tb级别,可高效应对超大规模混合攻击。 快快网络副总裁兼渠道总监林柢升基于公司在云计算与云安全领域的十余年技术沉淀,在会上重点分享了AI在DDoS防护中的创新应用与实战案例,并为通信企业提出三大前瞻性建议: 1. 以AI智能驱动安全进入“先知先防”新时代 快快网络将AI深度融入高防体系,创新整合多款大模型与自研轻量模型,构建“边缘+云端”协同联防架构,实现Tb级抗压、毫秒级威胁检测和秒级弹性扩容。通过智能行为分析与联邦学习,误报率和漏报率大幅下降,迭代周期从以周为单位缩短至以天为单位;AIGC智能运维实现告警自动收敛与处置,推动高防能力从“被动响应”全面迈向“实时预判、即时处置”。 2.打造运营商级“防盗打”新标准 快快网络“快卫士”已在某省通信运营商实现全面部署,有效保障多地核心网与数据中心安全。借助智能识别与实时阻断技术,系统可迅速发现并拦截伪造来电、恶意外呼等盗打行为,确保通信业务稳定运行。该方案无需改造现有网络,支持平滑升级与灵活回滚,同时整合计费与风控流程,实现全流程可追溯、合规高效和持续优化,已成为运营商信赖的“防盗打”标杆解决方案 3.携手打造“即开即用”的安全新生态 快快网络携手云厂商、运营商与ISV伙伴,共同打造集高防、WAF、终端防护、漏洞治理与业务抗D于一体的一站式解决方案。依托全球资源节点,提供弹性算力、高效清洗能力和跨区域合规交付,并实现威胁情报实时共享与SLA全程保障,助力各行业客户构建可量化、可持续进化的云上安全体系。 结合以智能调度、异常流量检测和实时行为分析为核心的DDoS智能防护体系,快快网络可实现秒级响应Tb级攻击、自动触发清洗和智能溯源,显著提升了防护精准度并大幅降低误拦截率。目前,快快网络DDoS防护产品已广泛应用于政府、金融、游戏、通信等多个行业,日均防护流量超过数Tb,抵御攻击超千万次,成功处置多起超大规模攻击事件,深受客户信赖。凭借领先的技术实力与市场表现,快快网络已连续多年入选“中国网络安全企业100强”,综合能力与行业影响力突出,成为业界广泛认可的云安全服务提供商。 快快网络展台也成为大会现场的焦点之一。现场不仅展示了低时延、高可用的云计算服务,还重点演示了AI赋能的DDoS防护产品矩阵。这些方案覆盖了从通信基础设施到云业务的端到端智能安全需求,吸引了众多嘉宾驻足交流。技术人员结合实际案例,解答企业在云安全部署、DDoS防御中的具体问题,获得用户认可。现场设置的互动环节也为展位增添人气与亲和力。 面对6G时代“空天地一体化”和“通感算智融合”的发展趋势,通信网络将面临更多元、隐蔽的新型攻击挑战。快快网络将继续秉持“护航网络安全,引领智慧未来”的企业使命,持续优化AI驱动的DDoS主动防御体系与云安全产品矩阵,为千行百业构建更智能、可靠的全链路网络安全屏障,助力我国数字经济安全、稳健发展。
9月17日,厦门市第七届网络安全宣传周开幕式成功举办。作为新一代云安全引领者,快快网络受邀出席此次活动。 厦门市委常委、宣传部部长郭国云,福建省委网信办副主任杨晓冬,厦门市委网信办主任姚玉萍,火炬高新区党工委书记、管委会主任赖建州,厦门市委网信办副主任张智,厦门市公安局副局长林世国,厦门市通信管理局副局长潘晓平等领导莅临快快网络现场展示区,仔细询问公司产品的研发与应用情况,并与现场工作人员亲切交流。 凭借在网络安全领域卓越的技术实力与产品能力,快快网络荣膺厦门市委网信办授予的“2024年度网络安全技术支撑优秀单位”称号,同时再次受聘为“网络安全技术支撑单位”。 自 2014 年成立以来,快快网络逐步组建了专业的安全服务团队,依托旗下云安全系列产品和 7*24 小时快速响应的安全技术服务,构建了线上线下相结合的安全服务体系,为政府、教育、金融、游戏等高安全需求的多个行业用户提供了专业高效的安全服务,并积累了丰富的安全项目经验。此外,结合云计算产品及服务,快快网络积累了从云计算底层架构规划、云资源安全配置到云安全运维防护、云安全威胁检测的全方位技术支撑经验,安全实力稳定可靠。 此次荣誉的获得,是厦门市委网信办对快快网络安全支撑实力的高度肯定与信赖。未来,快快网络将积极履行技术支撑单位职责,持续强化自身在网络安全领域的技术创新优势,不断深化高水平服务能力,为广大用户构筑更加安全的网络环境,为行业打造更可靠的数字经济转型发展空间,全力为国家网络强国战略的深入推进贡献力量。
【梆梆安全监测】 安全隐私合规监管趋势及漏洞风险报告 (0831-0913) ●最新监管动态 监管通报动态 ●监管支撑汇总 梆梆安全监管支撑数据 国家监管数据分析 ●漏洞风险分析 各漏洞类型占比分析 存在漏洞的APP各类型占比分析 01 最新监管动态 1. 监管通报动态 9月3日,安徽通管局依据相关法律法规的要求,在8月检测发现29款APP存在违法违规收集使用个人信息情况。截至目前,尚有8款APP未完成问题整改。逾期不整改的,安徽通管局将依法依规进行处置。 9月5日,宁夏通管局依据相关法律法规,持续开展APP(小程序)个人信息保护和网络数据安全治理。在8月检测发现7款APP(小程序)存在侵害用户权益问题,截至目前,尚有5款小程序未整改,现予以通报。6月宁夏通管局通报了4款存在侵害用户权益行为的小程序并要求整改,截至目前,尚有4款小程序未完成整改,现予以全网下架处置。 9月5日,甘肃通管局依据相关法律法规的要求,持续开展移动互联网应用程序(含小程序)个人信息合规专项整治行动。截至目前,仍有9款应用程序未完成整改工作,现予以公开通报。7月宁夏通管局通报甘肃部分存在侵害用户权益的应用程序并要求整改。截至目前,仍有8款应用程序未按要求完成整改,现予以下架处置。 9月8日,山东通管局依据相关法律法规的要求,深入开展APP侵害用户权益专项整治工作。截至目前,仍有14款APP未完成整改工作,现予以通报。如再次逾期仍未整改到位,山东通管局将视情采取下架等措施。截至9月8日,有2款存在问题的APP经书面要求整改、通报再次要求整改后,仍未在规定时限内完成整改反馈,现予以下架。 9月10日,国家计算机病毒应急处理中心依据相关法律法规,检测发现69款移动应用存在违法违规收集使用个人信息情况。上期通报的病毒处理中心检测发现的70款违法违规移动应用,经复测仍有33款存在问题,相关移动应用分发平台已予以下架。 9月12日,北京通管局依据相关法律法规的要求,持续开展移动互联网应用程序隐私合规和网络数据安全专项整治。截至目前,尚有23款移动互联网应用程序未整改或整改不到位,现予以公开通报。8月3日,北京通管局通报存在侵害用户权益行为的移动互联网应用程序(2025年第七期)。截至目前,仍有11款移动互联网应用程序未整改或整改不到位,现予以全网下架处置。 9月16日,河北通管局依据相关法律法规的要求,持续整治APP侵害用户权益的违规行为。截至目前,尚有27款APP未完成整改,现予以公开通报。整改落实不到位的,河北通管局将视情况采取下架、关停、行政处罚等措施。 9月16日,上海通管局依据相关法律法规的要求,持续整治APP(SDK)侵害用户权益的违规行为。截至目前,尚有42款APP(SDK)未完成整改,现予以下架处理。 02 监管支撑汇总 1. 梆梆安全监管支撑数据 依据近两周监管支撑发现存在隐私合规类问题的APP数据,从APP行业分类及TOP3问题数据两方面来说明。 1)问题行业TOP5: 实用工具类、网络游戏类、本地生活类、学习教育类、其他 2)隐私合规问题TOP3: TOP1:认定方法 2-1 未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等; TOP2:认定方法 3-3 实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围; TOP3:认定方法 3-9 违反其所声明的收集使用规则,收集使用个人信息。 2. 国家监管数据分析 针对国家近两周监管通报数据,依据问题类型,统计涉及APP数量如下: 问题分类问题数量 个保法-51 未采取相应的加密、去标识化等安全技术措施44 164-1 违规收集个人信息42 191-2 未明示收集使用个人信息的目的、方式和范围41 164-5 APP强制、频繁、过度索取权限40 个保法-15 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式34 164-6 APP频繁自启动和关联启动25 个保法-17 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。 前款规定事项发生变更的,应当将变更部分告知个人。24 191-3 未经用户同意收集使用个人信息20 191-1 未公开收集使用规则20 个保法-23 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意17 个保法-31 个人信息处理者处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则;个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意9 164-2 超范围收集个人信息8 164-3 违规使用个人信息6 个保法-24 通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式4 191-6 未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息4 164-4 强制用户使用定向推送3 个保法-30 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外1 191-5 未经同意向他人提供个人信息1 总计343 针对国家近两周监管通报数据,依据APP类型,统计出现通报的APP数量如下: APP类型APP数量 实用工具类45 本地生活类20 用车服务类20 其他19 学习教育类11 网络游戏类10 网上购物类10 在线影音类6 电子图书类5 求职招聘类4 投资理财类4 餐饮外卖类2 即时通信类1 浏览器类1 旅游服务类1 总计159 03 漏洞风险分析 从全国的Android APP中随机抽取了5,912款进行漏洞检测发现,存在中高危漏洞威胁的APP为4,605个,即77.89%以上的APP存在中高危漏洞风险。而这4,605款漏洞应用中,有高危漏洞的应用共3,418款,占比74.22%,有中危漏洞的应用共4,469款,占比97.05%(同一款应用可能存在多个等级的漏洞)。存在不同风险等级漏洞的APP占比如下: 各漏洞类型占比分析 针对不同类型的漏洞进行 统计,应用中高危漏洞数量排名前三的类型分别为Java代码反编译风险、HTTPS未校验主机名漏洞以及动态注册Receiver风险。各漏洞类型占比情况如下图所示: 存在漏洞的APP各类型占比分析 从APP类型来看,实用工具类APP存在漏洞风险最多,占漏洞APP总量的21.98%,其次为教育学习类APP,占比12.79%,生活服务类APP位居第三,占比10.69%,漏洞数量排名前十的类型如下图所示:
目前,研究人员已开发出一种新型Rowhammer攻击变种,能够绕过SK Hynix DDR5内存芯片上的最新防护机制。 Rowhammer攻击的原理是:通过高速读写操作反复访问内存单元的特定行,产生足够强的电干扰,使相邻位(bit)的值在0和1之间异常翻转(即“位翻转”)。攻击者可借此破坏数据、提升系统权限、执行恶意代码,或获取敏感数据。 针对Rowhammer攻击的主流防护机制之一是“目标行刷新(Target Row Refresh,TRR)”——当检测到某一内存行被频繁访问时,TRR会发出额外的刷新指令,从而防止位翻转。 针对DDR5的Rowhammer攻击:以提权为目标 瑞士苏黎世联邦理工学院计算机安全小组与谷歌的研究团队合作,开发了一种名为“Phoenix”的新型DDR5 Rowhammer攻击技术。该技术可通过触发内存芯片中的位翻转,为恶意活动创造条件。 研究团队的测试基于Hynix的DDR5产品——Hynix是全球最大的内存芯片制造商之一,市场份额约36%,但此类安全风险或同样波及其他厂商的产品。 研究人员首先对Hynix为抵御Rowhammer攻击所设计的复杂防护机制进行逆向工程,摸清其工作原理后发现:该防护机制并未对某些刷新间隔进行采样监测,这一漏洞可被攻击者利用。 此外,团队还为Phoenix开发了一种同步方法:当检测到错过某次刷新操作时,攻击程序会自我修正,从而实现对数千次刷新操作的跟踪与同步。 为绕过TRR防护,Phoenix攻击中的Rowhammer模式覆盖了128个和2608个刷新间隔,并仅在精准时机对特定“激活时隙”发起攻击。 借助这套攻击模型,研究人员成功在测试池中所有15块DDR5内存芯片上触发了位翻转,并开发出首个基于Rowhammer的权限提升漏洞利用程序。 测试显示,在“采用默认设置的商用DDR5系统”上,研究人员仅用不到两分钟就获取了具备root权限的shell(命令行界面)。 实际攻击场景测试与风险范围 研究人员还探索了Phoenix攻击技术的实际利用可能性,以验证其能否控制目标系统: 1. 内存读写权限突破:通过攻击页表项(PTEs)构建“任意内存读写原语”时,发现所有测试产品均存在漏洞; 2. SSH认证破解:针对共存虚拟机的RSA-2048密钥发起攻击,试图破坏SSH认证,结果显示73%的双列直插内存模块易受攻击; 3. 本地权限提升:通过篡改sudo二进制文件,尝试将本地权限提升至root级别,在33%的测试芯片上成功实现这一目标。 所有测试过的DDR5模块都对新的Phoenix Rowhammer攻击易感 测试数据表明,所有受测内存芯片均易受Phoenix攻击所使用的至少一种Rowhammer模式影响。其中,覆盖128个刷新间隔的较短模式效果更显著,平均触发的位翻转次数更多。 漏洞评级与防御建议 目前,Phoenix攻击所利用的漏洞已被标记为CVE-2025-6202,危险等级为“高”,影响2021年1月至2024年12月期间生产的所有DIMM内存模块。 尽管Rowhammer是全行业性的安全问题,且无法通过修复现有内存模块彻底解决,但用户可通过将DRAM刷新间隔(tREFI)延长至原来的三倍,来阻止Phoenix攻击。不过,这种操作可能导致内存出现错误或数据损坏,进而引发系统不稳定。 研究团队已发表题为《Phoenix:基于自修正同步的DDR5 Rowhammer攻击》的技术论文,并计划于明年在IEEE安全与隐私研讨会上展示该研究成果。 此外,研究人员还公开了一个资源仓库,内含可复现Phoenix攻击的相关材料,包括:基于现场可编程门阵列(FPGA)逆向工程TRR实现的实验数据,以及概念验证漏洞利用程序的代码。
第三届“天网杯”网络安全大赛决赛于9月23日在天津滨海新区圆满收官,来自全国顶尖网络安全战队激烈角逐,充分展现了卓越的技术实力与专业的攻防能力。经过连续两天的激烈交锋,大赛各项奖项也震撼出炉:最终4支战队斩获一等奖,7支战队夺得二等奖,11支战队获得三等奖。 据悉,作为国内网络安全领域的标杆赛事,大赛由天津市人民政府主办,国家计算机病毒应急处理中心、天津市公安局、天津市滨海新区人民政府、天津市委网信办、天津市科技局、天津市工业和信息化局、天津市人力资源和社会保障局、天津市数据局、公安部第一研究所、公安部第三研究所、天津市科技创新发展中心共同承办,360数字安全集团、先进计算与关键软件(信创)海河实验室、中汽智联技术有限公司、天津市网络与数据安全生态协会、大数据协同安全技术国家工程研究中心、ISC.AI平台、南京赛宁信息技术有限公司,以及29家国内头部科技创新企业联合支持,目前已连续成功举办三届。 本届大赛以“筑牢数字安全屏障,护航国家发展大局”为核心目标,聚焦数字安全、人工智能安全和车联网安全等前沿技术领域,设置关键产品漏洞挖掘挑战赛、人工智能安全挑战赛和智能网联汽车安全挑战赛三大赛道,赛道设计规划构建起从基础软硬件到智能算法再到车联网的完整技术攻防体系,推动网络安全技术实现系统性突破。 在社会各界的热切关注与多方协作下,大赛启动即引发行业共振,成功吸引来自全国的各大高校、企业、科研院所等多类选手报名参赛。经过多轮严格筛选,共有132支战队的530名选手通过资格审查,获得线上初赛资格,最终42支顶尖战队脱颖而出,晋级线下决赛。决赛之中,各支战队均展现出过硬的专业素养和临场应变能力,共同呈现了一场代表国内网络安全技术最高水平的竞技盛宴。 当前,数字经济蓬勃发展,国产化加速推进,人工智能与智能网联汽车等新技术不断涌现,与之相伴的安全挑战也日益凸显。筑牢安全屏障,已成为保障数字经济发展的关键基石。在此背景下,“天网杯”网络安全大赛将持续凝聚政产学研力量,推动技术转化与人才培育,促进产业协同创新,构建起“以赛促研、以赛育才”的生态体系,夯实国家安全人才根基,助力筑牢数字中国的安全底座。
2025年9月23日,在第三届网络空间大会(天津)论坛上,一份对全球网络安全格局具有里程碑意义的报告正式发布。由工业信息安全感知与评估技术工业和信息化部重点实验室、国家计算机病毒应急处理中心、华能信息技术有限公司、中国电力科学研究院信息通信研究所和盛邦安全五家权威机构和企业联合撰写的行业首份《暗网监测年度报告(2024)》公之于众。 报告通过对海量数据的深度分析,系统性地揭示了隐藏在互联网监管之外的“暗网”生态,并对由其引发的五大现实世界威胁发出精准预警,为全球网络安全防御体系的构建提供了关键的数据支撑与战略参考。 撰写人华能信息技术有限公司网络安全运营中心副总监潘中英、盛邦安全安全服务产品线总经理郝龙、盛邦安全安全服务产品线技术专家张其政分别对此报告进行了深入解读与细致剖析,从专业视角为参会人员全面阐释了报告的核心要点、关键数据以及背后所反映出的暗网数据安全态势与应对策略。 潘中英表示:暗网作为网络安全和数据安全新威胁,挑战了传统安全防护模式。面对暗网数据泄露的威胁,需要综合运用技术检测与识别,推动多元主体参与手段,构建全方位、多层次的治理体系。 郝龙表示:《暗网监测年度报告(2024)》揭示出严峻的数据安全形势。过去一年,暗网中数据泄露事件频发,数据安全事件导致用户账号密码、个人身份信息等敏感凭证失窃,严重威胁个人隐私与财产安全。大量非法数据交易在暗网暗流涌动,犯罪分子借此进行数据倒卖、网络诈骗等违法活动,基于此现状,盛邦安全提出了事前数据接口评估,事中数据泄露阻断,事后暗网售卖监测的一体化防护方案,有效应对暗网带来的数据安全风险。 张其政表示:《暗网监测年度报告(2024)》对过去一年的暗网活动态势进行了梳理分析,揭示了暗网近年来的活动特征、技术趋势,结合实际案例为各研究机构提供了全景认知以及应对策略,为相关从业者提供了暗网攻击与防护研究的技术参考。 核心数据揭示惊人现状:2024年全球监测到超30万起暗网威胁 报告指出,暗网已成为网络犯罪和恶意活动的温床,其威胁正以前所未有的复杂性渗透至国家安全、企业运营和个人隐私的各个层面。 全球趋势:2024年,监测到的全球暗网威胁事件总数高达306,143起,且全年呈现波动增长态势,第四季度事件数较第一季度激增121.16% 。其中,美国是暗网攻击最主要的目标,占全球总数的27.64%,其次是中国(8.30%)和法国(5.87%)。从行业分布来看,娱乐(44.39%)、互联网(21.18%)和金融(8.60%)是全球受影响最严重的行业。 中国视角:2024年,我国共发生可监测的暗网威胁事件5,770起。地域上,香港(29.67%)、广东(13.76%)和上海(9.56%)是暗网威胁的高发区。行业方面,金融行业(27.99%)受冲击最为严重,其事件占比是全球平均水平的三倍以上,面临的挑战尤为严峻。 数据贩卖成主流威胁,个人信息泄露触目惊心 报告强调,数据贩卖是暗网最主要的威胁模式。 在全球范围内:在全球范围内,个人数据是被贩卖最多的类型,占比高达58.13%。 在中国范围内:在我国,这一比例更为惊人,个人数据贩卖占比高达78.70% 。报告分析认为,这与我国庞大的人口基数、高互联网普及率以及部分企业“数据规模扩张”与“安全治理滞后”的结构性矛盾有关。 五大未来趋势预测,警示网络空间新挑战 基于2024年的监测数据和事件分析,报告对2025年暗网的发展趋势做出了五大核心预测: 暗网威胁激化政治冲突: 暗网将更多地被用于传播政治敏感信息、策划地缘冲突,成为“信息战”的隐秘载体。 恐怖主义寄生其中: 暗网的匿名性和低成本使其成为恐怖组织招募人员、筹集资金和策划活动的“生存基地”。 “新型暗网商业模式”蔓延: 以GhostSec组织为代表的“黑客服务解决方案”模式,将网络攻击能力打包成服务进行出售,可能成为未来黑客组织效仿的“标杆”。 数据贩卖事件数量持续提升: 漏洞利用速度远快于企业修复速度,加上人工智能等技术降低了攻击门槛,预计数据泄露和贩卖事件将继续快速增长。 攻防技术全面升级: 以生成式AI为代表的新技术正被用于制造更复杂的勒索软件和恶意工具,与此同时,基于威胁情报和人工智能的防御技术也在迅速发展,双方将迎来新一轮的技术对抗。 此次《暗网监测年度报告(2024)》的发布,不仅彰显了我国在网络安全领域的专业研究实力,也体现了多方力量协同应对全球网络威胁的决心。面对日益严峻的暗网挑战,报告呼吁各界加强合作,共同构建更安全、更有韧性的数字未来。 请前往盛邦安全官网,下载《暗网监测年度报告(2024)》 盛邦安全官方网站:https://www.webray.com.cn/
9月24日(周三)15:00:企业出海通邮“不掉线”指南 立即预约:领取千元好礼+API免费调用额度 直播亮点: ·合规不踩坑: 掌握企业出海通邮合规核心要点 ·邮件不卡壳: 解决跨境投递难题保障业务畅达 ·AI 防钓鱼: 应对AI生成钓鱼邮件的防御策略 ·落地有参考: 金融、外贸、制造多行业实战案例 扫码预约直播间,解锁API安全神器、运维高效工具等更多硬核干货,助您出海通邮无忧!