情报背景近期，微软发现并公布了 Nobelium APT 组织在获得 Active Directory 联合服务 (AD FS) 服务器的管理权限后使用的后门 MagicWeb。MagicWeb 通过替换 AD FS 合法 DLL 的方式植入恶意代码，控制 AD FS 的身份验证过程和认证证书，使攻击者可以用特殊的证书，以任意用户的身份通过 AD FS 的认证。

##企业安全建设实践 95 个 ##金融群 74 个 #群周报 48 个 #网络安全 77 个 #信息安全 53 个 0x1 本周话题TOP4话题1：招聘丨西北工业大学网络安全与信息化建设岗A1:这被搞了，想起来招人了。非事业编，外包吗？另一个问题：这临时起意，能有多少预算买设备？A2:事件驱动，网络安全三同步呢？A3:非事业编，什么时候被攻击这事不会被当作zz事件素材后，岗位可能就撤了。A4：高校的安全建设貌似都没怎么跟上，攻防演习，高校是重灾区。这么大事件都没开放个事业编出来，唏嘘。可以理解成派遣。A5：大多数企业都没有资源，高校这样更正常。

安全公司 Mandiant 报告，朝鲜黑客组织 NC4034 (aka Temp.Hermit 或 Labyrinth Chollima)在一次针对媒体公司的钓鱼攻击中使用了木马版 PuTTY 和 KiTTY SSH 客户端。PuTTY 以及其分支 KiTTY 都是流行的开源 SSH 客户端。攻击者首先向目标发送邮件提供亚马逊的工作机会，然后通过 WhatsApp 进行后续通信，发送了名为 amazon_assessment.iso 的文件，其中包含了 IP 地址和登陆凭证，以及木马版的 PuTTY (PuTTY.exe)，攻击者诱骗受害者打开文件运行木马版本以进行技能评估。

电商软件 FishPig 的分发服务器遭黑客入侵，攻击者在付费软件模块 Magento 2 中植入后门，导致使用 Magento 2 的客户系统感染了 Rekoobe，该后门允许攻击者向被感染的服务器远程发送指令。FishPig 督促客户重新安装或更新现有扩展。FishPig 正在调查攻击者是如何入侵其系统的，暂时还不清楚是通过服务器漏洞还是应用程序漏洞。FishPig 是一家 Magento-WordPress 集成销售商，Magento 是一个开源电商平台，FishPig 的软件被多达 2 万个网站使用。这次供应链攻击只影响付费的 Magento 2 模块。

网络安全研究人员对一个被称为TA505的金融威胁组织使用的先前未记录的软件控制面板进行了深入研究。瑞士网络安全公司PRODAFT在与《黑客新闻》分享的一份报告中表示：“该集团经常改变其恶意软件攻击策略，以应对全球网络犯罪趋势”。“它机会主义地采用新技术，以便在更广泛的网络安全行业流行之前获得对受害者的影响力”。TA505还以邪恶公司、金德雷克、杜达尔、因德里克蜘蛛和SectorJ04的名义被追踪，是臭名昭著的Dridex银行特洛伊木马背后的一个激进的俄罗斯网络犯罪辛迪加，近年来与一系列勒索活动有关。据说这也与2021 9月份出现的树莓罗宾攻击有关，恶意软件和Dridex之间的相似性被发现。

图1 常见的后门攻击场景深度神经网络（DNN）十分容易受到后门攻击。被植入后门的模型会将带有触发器的样本归类为特定的目标类别。后门检测技术能够检视模型是否已经被植入后门，从而防止后门攻击可能带来的危害。现有的后门检测算法通常需要访问原始的有毒训练数据、目标DNN的参数或者每一个预测标签的置信度等先验知识。然而这在实际的应用中往往是不被满足的，如图1所示：模型部署在云端，智能手机或者边缘设备上，之于用户或者防御者是一个黑盒，防御者只能通过查询模型最终输出的硬标签。本文提出从优化的角度处理后门检测问题，并证明了对抗优化的目标函数是后门检测的一个边界。

近日，有安全公司发现一名为TeslaGun，且未被记录的软件控制面板，据悉该控制面板为网络犯罪团伙TA505所用。黑客组织TA505 ，又名Evil Corp，自2014年以来一直活跃，主要针对零售和银行等领域目标。黑客组织TA505以规避技术而闻名，PRODAFT 专家分析认为该组织已经针对至少8160个目标开展了大规模的网络钓鱼活动，受害者多为金融机构或相关从业人员。至于ServHelper 后门，则是一款由Delphi 编写的恶意软件。下载ServHelper 后门设置反向 SSH 隧道，则可通过端口3389上的远程桌面协议 (RDP) 访问受感染的系统。

2021年9月1日，《中华人民共和国数据安全法》正式实施，从法律层面对数据的分类分级、数据要素的流通与保护提出了更加明确的要求。传统的数据保护手法包括加密、水印等，近年来伴随着AI技术在各个专业领域的深度渗透，在AI算法的加持下，数据保护也迎来了新一轮的挑战与机遇。研究中发现，传统的图片水印很容易被现有的AI去水印网络去除，对图片及版权的保护造成极大的威胁。

导读       今天，小编为大家简要介绍一篇发表于IEEE Network的论文。Yi Zhao, Ke Xu, Haiyang Wang, Bo Li, Ruoxi Jia. “Stability-Based

背景蜜罐产品有个功能是对任何端口的访问都会被记录，即使是"nmap扫描后显示关闭"的端口访问也会被记录。它的实现原理是iptables的NFLOG。学习NFLOG概念后，我想到也可以用它来做后门通信。本文包括以下内容讨论NFLOG是什么用NFLOG机制实现后门的优势分析NFQUEUE后门demo希望能对主机安全感兴趣的读者有点帮助NFLOG是什么它是一个target，就像ACCEPT、DROP等可以作为iptables -j后的参数值。

国内即时消息应用MiMi被植入后门，攻击安卓、iOS、Windows和macOS平台。MiMiMiMi是一款主要针对国内用户的即时消息应用，有Windows、macOS、安卓和iOS版本。桌面版用ElectronJS框架开发，该框架是依赖node.js的跨平台框架，允许开发者使用HTML、JS和CSS创建应用。MiMi并没有进行推广，网站(www.mmimchat[.]com)只有一个下载链接，没有详细的介绍，也没有社交媒体推广链接。图1 Mimi网站（www.mmimchat[.]com）网站的最近修改时间是7月26日。

回想起大约两个月前，我们报告了Samba网络软件中一个7年前的严重远程代码执行漏洞，允许黑客远程完全控制易受攻击的Linux和Unix机器。我们将该漏洞命名为SambaCry，因为它与两个多月前在全球造成严重破坏的WannaCry勒索软件所利用的Windows SMB漏洞相似。趋势科技（Trend Micro）的研究人员警告称，尽管该漏洞已于5月下旬修复，但一款新的恶意软件目前正在利用该漏洞攻击物联网（IoT）设备，尤其是网络连接存储（NAS）设备。

Hackernews 编译，转载请注明出处： SolarWinds供应链攻击背后的黑客与另一个“高度目标化”的后门恶意软件有关，该恶意软件可用于保持对受损环境的持久访问。 微软威胁情报团队称之为MagicWeb，该开发重申了Nobelium对开发和维护专用功能的承诺。 Nobelium是这家科技巨头的绰号，因为2020年12月针对SolarWinds的复杂攻击曝光了一系列活动，并与俄罗斯民族国家黑客组织APT29，Cozy Bear或The Dukes重叠。 微软表示：“Nobelium仍然非常活跃，同时针对美国、欧洲和中亚的政府组织、非政府组织、政府间组织和智囊团开展了多项活动。

Hackernews 编译，转载请注明出处： 与流行智能手机品牌相关的廉价安卓设备型号是假冒版本，其中包含多个特洛伊木马，旨在攻击WhatsApp和WhatsApp Business消息传递应用程序。 Doctor Web于2022年7月首次发现的特洛伊木马，是在至少四款不同智能手机的系统分区中发现的：P48pro、radmi note 8、Note30u和Mate40。 这家网络安全公司在8月22日发布的一份报告中表示：“这些事件是由于被攻击的设备是著名品牌型号的仿冒品而造成的。

近期，火绒安全团队发现“即刻PDF阅读器”内置后门程序，该后门程序会在用户不知情的情况下，从C&C服务器上下载恶意配置文件，再根据配置文件下载恶意模块到用户电脑中。目前发现该病毒会肆意收集用户个人隐私信息，如：QQ号、淘宝昵称、电商购物记录、电商和搜索引擎搜索记录等隐私数据。通过对其代码和功能进行对比、溯源发现，该病毒和2020年就被火绒安全曝光的“起点PDF阅读器”、“新速压缩”等软件存在同源性，并且其同源样本已经多次被火绒发现并查杀。病毒查杀图该病毒作者通过开发类似上述软件并内置后门程序来收集用户个人隐私数据已长达数年。

近些年来，人们越来越多地关注神经网络后门攻击的研究。相比于对抗样本和毒化攻击来讲，后门攻击更加灵活，几乎可以发生在深度学习过程的每个阶段。然而，大多数现有的后门攻击方法很容易被一些简单的数据预处理（如旋转、放缩、裁剪等）所防御，而且用于后门攻击的触发模式也不够隐蔽，极易被人眼察觉。为了解决隐蔽性和鲁棒性的局限，我们提出了一种称为“毒墨水”后门攻击方法。

IT之家8 月 13 日消息，据 Six Colors 报道，苹果除了重新设计 macOS 13 Ventura 的系统设置 App 外，还在 macOS Ventura 中移除了于 10.0 版本推出的网络位置功能。该功能允许用户在不同位置、不同情况下切换不同的网络偏好。苹果的一份说明文件显示，该功能在以下情况较为有用：你在工作和家里使用同一类型的网络（如以太网），但你在工作中使用的设置不允许你的 Mac 在家里自动连接到同一类型的网络。

#PSRC 121 个 #漏洞分析 15 个 >>>> 0x01 背景在研究Outlook相关的后门技术时，发现除了基于Outlook规则、表单、主页相关的后门外还有另外一种后门。据该技术发现者说，该技术还没有被红队和蓝队所关注。而目前ATT&CK技术项中，也确实还未收录该种Outlook后门技术。另外，该后门是通过攻击者向用户发送一封包含特定关键字的邮件进行主动触发从而执行，与平时一般使用的“被动触发“后门明显不同。因此，对该技术进行实验并记录。

据Bleeping Computer网站7月26日消息，微软 365 Defender 研究团队在当天公布的一项研究调查中表示，攻击者正越来越多地使用恶意 Internet 信息服务 (IIS) Web 服务器扩展，对未打补丁的 Exchange 服务器部署后门。与Web Shell相比，利用IIS 扩展能让后门更加隐蔽，通常很难检测到其安装的确切位置，并且使用与合法模块相同的结构，为攻击者提供了近乎完美的持久性机制。

#php 3 个 #漏洞挖掘 41 个 #后门分析 1 个 #代码审计 2 个 作者：小老弟你怎么回事@深信服深蓝实验室天慧战队目标一个站发现版权和标题都是XX源码下载网，那目标源码可能是网上下载的，于是我也搞了一套源码回本地开始测试。我习惯网上这种能下载到的源码一般很大可能是存在后门，先D盾杀查一把梭，果然源码有混淆，然后一个藏在images目录下的php非常可疑，还调用了phpinfo()。当然事情远没有这么简单，打开该文件后发现进行了混淆编码，于是尝试哪些php解密工具进行解密。但是并不能解开，或者说不是一些常见的加密和混淆的方案。

来自网络安全公司 ESET 的研究团队近日发现了一种新型 macOS 恶意程序 CloudMensis，一旦 Mac 设备感染就会安插后门，用于渗透本地网络、记录键盘敲击、查看文档和屏幕截图，窃取重要敏感信息。该恶意软件甚至可以从已经删除的存储中恢复电子邮件、附件和相关文件。 访问：阿里云“无影云电脑” 支持企业快速实现居家办公 访问: 苹果在线商店(中国) - MacCloudMensis 恶意软件会将这些资料上传到 pCloud、Yandex Disk 和 Dropbox 这样的公共云存储系统，以便于攻击者后续使用。ESET 发现这些上传的文件会自动按照月份和受害者名称进行命名排序。

据Bleeping Computer网站7月19日消息，未知身份的攻击者正在使用以前未被检测到的恶意软件对 MacOS设备部署后门。据悉，ESET研究人员于 2022 年 4 月首次发现这种新恶意软件，并将其命名为 CloudMensis，其主要目的是从受感染的 Mac 中收集敏感信息。该恶意软件支持数十种命令，包括屏幕截图、窃取文档、记录键盘信息等。根据ESET的分析，攻击者在 2022 年 2 月 4 日用 CloudMensis 感染了首台 Mac，感染媒介未知。

2021 年，我们注意到几个攻击者在利用 Microsoft Exchange 服务器中的一个 ProxyLogon 类型漏洞后在 IIS 中部署后门的趋势。将 IIS 模块作为后门释放，使攻击者能够保持对目标组织的 IT 基础设施的持久、延缓更新和相对隐蔽的访问；无论是收集电子邮件、更新进一步的恶意访问，还是秘密管理可被用作恶意基础设施的受感染服务器。2022 年初，研究人员发现了一个这样的 IIS 后门：SessionManager。 2022 年 4 月下旬，研究人员发现的大多数样本仍未在流行的在线文件扫描服务中标记为恶意，目前SessionManager 仍部署在 20 多个组织中。

“WMI是微软为基于Web的企业管理（WBEM）规范提供的一个实现版本，而WBEM则是一项行业计划，旨在开发用于访问企业环境中管理信息的标准技术。WMI使用公共信息模型（CIM）行业标准来表示系统、应用程序、网络、设备和其他托管组件。”实际上，所谓事件过滤器只不过就是一个WMI类，用于描述WMI向事件使用者传递的事件。于此同时，事件过滤器还给出了WMI传递事件的条件。需要在系统上以管理员身份运行才能创建事件实例。1.WMI事件WMI事件一共有3个部分组成：1.1.FilterWMI 筛选器组件允许我们使用 Windows 管理规范 (WMI) 规则。

本周四，卡巴斯基的安全团队发布了一份令人担忧的报告。报告指出在 Exchange 服务器上发现了一个全新的、难以检测的后门。这种名为 SessionManager 的恶意软件于 2022 年初首次被发现。 访问：阿里云“无影云电脑” 支持企业快速实现居家办公 访问:微软中国官方商城 - 首页Exchange 被全球多个国家的政府、医疗机构、军事组织、非政府组织等广泛使用，因此该后门的破坏力可以说是非常惊人的。卡巴斯基安全团队表示 SessionManager 恶意软件样本目前并没有被大多数主流在线文件扫描服务标记。此外，在 90% 的目标组织中，SessionManager 感染会持续存在。

IT之家 7 月 2 日消息，卡巴斯基的安全团队本周四发布了一份令人担忧的报告。报告指出在 Exchange 服务器上发现了一个全新的、难以检测的后门，该后门可用于获取长久的、未被检测到的电子邮件访问权限，甚至接管目标组织的基础设施，而这正是曾经专注于利用 ProxyLogon Microsoft Exchange 服务器漏洞的攻击者发现的新漏洞。卡巴斯基的研究人员表示，现在的攻击者逐渐呈现出一种趋势，他们将恶意后门模块部署在 Windows 的互联网信息服务 (ISS) 服务器（如 Exchange 服务器）中，从而引起类似 SessionManager 的一系列高危漏洞。

后门攻击通过在训练样本中添加恶意触发器，对模型安插后门并在测试阶段控制模型的预测结果。后门攻击无疑对深度模型的安全训练和部署提出了巨大挑战。针对上述问题，由西电网信院、迪肯大学，索尼AI，墨尔本大学和UIUC合作完成的Anti-Backdoor Learning: Training Clean Models on Poisoned Data的后门防御论文在NeurIPS2021上发表。本文首次提出了反后门学习理论和方法，它旨在有毒的后门数据上训练出一个干净的模型。

一个不可检测的「后门」，随之涌现诸多潜伏问题，我们距离「真正的」机器安全还有多远？作者 | 王玥、刘冰一、黄楠编辑 | 陈彩娴试想一下，一个植入恶意「后门」的模型，别有用心的人将它隐藏在数百万和数十亿的参数模型中，并发布在机器学习模型的公共资源库。

近日，有观察人士发现，勒索软件HelloXD新部署了一个后门——MicroBackdoor，旨在加强其对受感染主机的持续远程访问。勒索软件HelloXD首次出现在威胁场景发生于2021年11月30日，它借鉴了勒索软件Babuk的代码。自2021年9月以来，Babuk的身影就一直活跃在俄语黑客论坛之中。不同于其他勒索软件，该勒索团伙并不通过泄密网站联系受害者，而是通过即时聊天系统TOX和基于洋葱模型的通讯实体工具进行联系。恶意软件HelloXD主要针对的是Windows和Linux 系统。

发表于 收录于合集 摘  要ZScaler研究人员警告说，与伊朗有关联的Lyceum APT组织使用新的基于.NET的DNS后门来攻击能源和电信领域的组织。ICS安全公司Dragos的研究人员于2019年8月早些时候首次记录了Lyceum APT小组的活动，该公司将其追踪为Hexane。Dragos 报告称，Hexane专注于石油和天然气行业的组织以及电信提供商。该组织至少从 2018 年年中就开始活跃起来，随着中东紧张局势的升级，它在 2019 年初加强了活动。