Everything you care about in one place
Follow feeds: blogs, news, RSS and more. An effortless way to read and digest content of your choice.
Get Feeder4hou.com
嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com
Get the latest updates from 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com directly as they happen.
Follow now 94 followers
Latest posts
Last updated 1 day ago
2025Q1企业邮箱安全报告:三大威胁升级,揭秘应对之法
1 day ago
2025年5月8日,Coremail CACTER邮件安全联合北京中睿天下信息技术有限公司发布《2025年第一季度企业邮箱安全性研究报告》。(以下简称”报告“)报告显示,企业邮箱安全威胁仍在不断升级,整体形势依旧严峻。具体而言,主要面临三大核心威胁:垃圾邮件泛滥成规模、钓鱼邮件精准化升级以及暴力破解攻击持续高发,传统单点防护手段已难以有效应对。在此背景下,CACTER通过技术融合与行业适配,将AI大模型、网关拦截、数据防泄露等能力整合为动态防护机制,为企业邮箱安全提供全方位、多层次的防护保障。(本文摘取季报部分数据呈现)一、垃圾邮件同比34%,境外威胁持续上升报告显示,2025年Q1企业邮箱垃圾邮件总量达9.76亿封,同比激增34.07%。值得注意的是,香港地区以1103.6万封垃圾邮件首次跻身境内攻击源TOP3,成为不可忽视的新型威胁源头。从境外数据来看,美国、马来西亚等老牌攻击源持续活跃,美国已连续4个季度占据境外垃圾邮件发送源榜首,高达2175.2万封。来自马来西亚、捷克、日本的发送量分别为1329.7万封、1256.2万封、1208.3万封。从主题上看,垃圾邮件主题以广告推广和低价值信息为主,例如职业培训、群发广告、模糊职业词诱导等,通过这些看似吸引人的话题,诱使用户点击链接或回复邮件,从而达到推广产品或获取用户信息的目的。二、钓鱼邮件同比激增114.91%,生成式AI为主要推手2025年Q1钓鱼邮件攻击量攀升至2.45亿,较上季度增长16.67%,较去年同期激增114.91%。近年来生成式AI技术的滥用,催生了伪造高管签名、模仿内部通知等新型钓鱼手段,使邮箱用户遭受的攻击数量大幅增加。钓鱼邮件的精准化升级,不仅增加了用户识别的难度,也加剧了数据泄露和经济损失的风险。从境外数据来看,日本跃居美国成为钓鱼邮件攻击的主要来源,其数量远远超过其他国家,达到了1341.2万封。其次为美国,发送量413.7万封;俄罗斯排行第三,发送量340.9万封。从主题上看,钓鱼邮件主题高度呈现紧迫性和权威性,例如使用安全威胁、账号限制、官方伪装等,诱使用户点击链接或泄露敏感信息。三、全域破解攻击量达峰值,呈现量增效降特征2025年Q1企业级用户遭受超过无差别的暴力破解达到47.7 亿次,环比2024年Q4增长13.03%。虽然全域被暴力破解成功的次数为 519.3 万次,成功率仅 0.11%,呈现出量增效降的特征,但攻击量已接近历史峰值,这依然给企业邮箱安全带来了巨大的压力。从被攻击TOP100域名的行业分析来看,企业(占比49%)和教育行业(占比36%)因其具有大量高价值用户数据,成为黑客列为主要攻击目标,远超其他行业。因此企业和教育行业亟需加强邮箱账号的安全防范措施,防止数据泄露。四、三大主要威胁,CACTER出招守护面对 2025 年Q1企业邮箱出现的垃圾邮件规模化泛滥、钓鱼攻击精准化升级、暴力破解持续高发这三大主要威胁,CACTER 提出了针对性的防护建议:1、拦截规模化恶意邮件威胁针对境外垃圾邮件泛滥与普通钓鱼攻击,可采用CACTER邮件安全网关。该产品基于自研反垃圾引擎与威胁情报库,实现动态封堵高频攻击源(如美国、日本IP等),并深度解析邮件主题与内容。2、破解破解AI驱动的高级钓鱼威胁当前 AI 驱动的邮件攻击愈演愈烈,攻击者利用大模型实现 “目标分析-钓鱼生成”...
【附下载】重庆信通设计院:150+AI 大模型安全常用术语解析
1 day ago
本期要点特别说明:本文类别仅为大致分类,请以专业书籍为准本文为节选AI基本术语大语言模型•解释:基于海量文本数据训练的人工智能模型,通过深度学习技术(如 Transformer 架构)实现自然语言的理解、生成、推理等功能,具备处理长文本、上下文关联和复杂语义的能力。•应用场景:广泛应用于自然语言处理任务,如智能对话(Chatbot)、文本生成(文案创作、代码编写)、情感分析、机器翻译等,典型代表包括 DeepSeek、GPT-4、Llama 等。多模态模型•解释:支持文本、图像、语音、视频等多种数据类型输入输出的模型,通过跨模态融合技术实现对复杂信息的综合处理,打破单一模态的局限性。•应用场景:覆盖智能交互(如图文理解、视频分析)、内容创作(图文生成、语音合成)、辅助决策(医疗影像与文本报告结合)等场景,例如 DeepSeek VL2 在电商商品图文分析、苏商银行票据识别中的应用。混合专家模型•解释:通过动态路由机制将输入任务分配至多个 “专家模块” 处理的架构,每个专家专注于特定子任务,实现模型参数的高效利用,降低整体算力消耗。•应用场景:适用于大规模模型训练(如万亿参数模型),典型案例为 DeepSeek 核心架构通过...
超过1200个SAP NetWeaver服务器容易受到主动利用漏洞的攻击
1 day ago
超过1200个暴露在互联网上的SAP NetWeaver实例容易受到一个高严重程度的未经身份验证文件上传漏洞的攻击,该漏洞允许攻击者劫持服务器。SAP NetWeaver是一个应用服务器和开发平台,可以跨不同技术运行和连接SAP和非SAP应用程序。上周,SAP披露了一个未经身份验证的文件上传漏洞,跟踪为CVE-2025-31324,该漏洞存在于SAP NetWeaver Visual Composer中,特别是Metadata Uploader组件。该漏洞允许远程攻击者在没有身份验证的情况下在暴露的实例上上传任意可执行文件,从而实现代码执行和整个系统的危害。包括ReliaQuest、watchtower和Onapsis在内的多家网络安全公司证实,该漏洞在攻击中被积极利用,威胁者利用它在易受攻击的服务器上投放web shell。SAP发言人表示,他们已经意识到了这些攻击,并在2024年4月8日发布了一个解决方案,随后在4月25日发布了一个安全更新,解决了CVE-2025-31324问题。他们没有发现任何此类攻击影响客户数据或系统的案例。广泛用于攻击研究人员现已证实,许多易受攻击的SAP Netweaver服务器暴露在互联网上,使其成为攻击的主要目标。Shadowserver基金会发现了427个暴露的服务器,并提醒大量暴露的攻击面和潜在的严重后果。大多数易受攻击的系统位于美国,其次是印度、澳大利亚、德国、荷兰、巴西和法国等。然而,网络防御搜索引擎Onyphe描绘了一幅更为可怕的画面,他们发现,有1284台易受攻击的服务器暴露在网上,其中474台已经被webshell入侵。Onyphe首席技术官说道:“大约有20家《财富》500强或全球500强企业很容易受到攻击,其中许多企业都受到了损害。”研究人员报告说,这些攻击者正在利用诸如“cache.jsp”和“helper.jsp”这样的名称的webshell。然而,Nextron Research表示,他们也使用随机名称,这使得发现易受攻击的Netweaver实例变得更加困难。虽然服务器的数量并不多,但考虑到大型企业和跨国公司通常使用SAP NetWeaver,风险仍然很大。为了解决该风险,建议按照本公告中供应商的说明应用最新的安全更新。如果无法应用更新,建议采用以下缓解措施:1.限制对/developmentserver/metadata auploader端点的访问。2.如果没有使用Visual...
随着全球紧张局势加剧,针对能源行业的网络威胁激增
1 day ago
据Resecurity调研发现,针对全球能源行业企业的网络攻击正在增加,其中一些与攻击出于地缘政治目的,针对国家基础设施的大规模攻击有关。其中一些攻击代表了旨在针对???家级基础设施的更大规模的活动,作为地缘政治影响力的工具。预计民族国家行为者和外国情报机构将利用这种方法作为未来新一代战争的手段,网络犯罪分子的作用可能会很重要,可以进一步进行网络攻击,并为进攻性网络行动提供基础设施和资源。北美电力可靠性公司(NERC)是一家非营利的国际监管机构,负责执行美国和加拿大的行业标准。该公司去年称,美国电网越来越容易受到网络攻击。根据NERC的数据,电网中易受影响的点的数量正在以每天60个的速度增长。为了应对这些日益增长的威胁,美国能源部(DOE)发布了新的配电系统和分布式能源(DER)网络安全指南。这些指导方针是与全国公用事业监管专员协会(NARUC)合作制定的,旨在为降低风险和提高关键基础设施的网络弹性提供一个共同框架。根据网络安全专家的说法,黑客行动主义是针对能源公司的另一种普遍威胁,与俄罗斯-乌克兰和各种加沙关系的敌对团体有意识形态动机,试图通过宣传各种受害者的OT网络的所谓妥协来建立信誉。这些网络间谍活动主要是由地缘政治因素驱动的,因为俄乌战争、加沙冲突等造成的紧张局势被投射到网络空间。随着敌对行动的加剧,第三次世界大战的潜在可能性越来越大,敌对国家正试图通过渗透西方和西方盟国的关键基础设施网络来展示他们的网络军事能力。幸运的是,这些民族国家的活动绝大多数仅限于间谍活动,而不是像震网那样的攻击,目的是在物理领域造成伤害。针对能源目标的网络攻击越来越多的第二个驱动因素是技术转型,以云计算的采用为标志,这在很大程度上促进了IT和OT网络的日益融合。因此,跨关键基础设施部门的iot - it融合使得联网工业物联网(IIoT)设备和系统更容易被威胁者渗透。具体来说,研究人员已经观察到,攻击者正在使用受损的IT环境作为横向移动到OT网络的中转站。对于勒索软件攻击者来说,攻击OT尤其有利可图,因为这种类型的攻击使攻击者能够在物理上瘫痪能源生产运营,从而使他们能够获得更高的赎金金额。然而,在网络军事或网络恐怖主义场景中,OT系统的破坏对物理环境和人类生命可能是灾难性的。另一个改变能源公司威胁环境的技术趋势是迅速推进人工智能的采用。人工智能不仅降低了某些类型攻击活动的进入门槛,而且人工智能与能源部门网络的日益融合也带来了新的网络风险场景的漩涡。
中央网信办开展 “清朗·整治AI技术滥用” 专项行动
1 day ago
人工智能技术的加速迭代推动其向各行业领域深度渗透,在改变人们生活方式、提升社会生产效率的同时,AI的滥用正成为威胁公民合法权益及隐私安全的新隐患。·某高校学生利用AI程序篡改短信验证码功能,向数千名学生发送淫秽骚扰短信,已被公安机关立案侦查;·某诈骗团伙通过AI换脸技术伪造视频通话,骗取受害者430万元;·某犯罪团伙利用AI技术开发游戏外挂程序,通过模拟玩家真实操作实现相关功能,破坏游戏公平性,涉案金额达3000万元;(图片来源于网络)这些真实案例暴露出AI技术被滥用于网络犯罪时的高效性与危害性,从精准获取个人信息到制造虚假内容,从自动化攻击到深度伪造,技术一旦失控,便可能成为扰乱社会秩序的“帮凶”。面对AI技术滥用乱象,国家重拳出击。中央网信办于2025年持续部署“清朗”系列专项行动,将“整治AI技术滥用”列为八大重点任务之一,并进一步在全国范围内部署开展为期3个月的“清朗·整治AI技术滥用”专项行动。第一阶段:重点整治6类突出问题一是违规AI产品。利用生成式人工智能技术向公众提供内容服务,但未履行大模型备案或登记程序。提供“一键脱衣”等违背法律、伦理的功能。在未经授权同意情况下,克隆、编辑他人声音、人脸等生物特征信息,侵犯他人隐私。二是传授、售卖违规AI产品教程和商品。传授利用违规AI产品伪造换脸视频、换声音频等教程信息。售卖违规“语音合成器”“换脸工具”等商品信息。营销、炒作、推广违规AI产品信息。三是训练语料管理不严。使用侵犯他人知识产权、隐私权等权益的信息。使用网上爬取的虚假、无效、不实内容。使用非法来源数据。未建立训练语料管理机制,未定期排查清理违规语料。四是安全管理措施薄弱。未建立与业务规模相适应的内容审核、意图识别等安全措施。未建立有效的违规账号管理机制。未定期开展安全自评估。社交平台对通过API接口接入的AI自动回复等服务底数不清、把关不严。五是未落实内容标识要求。服务提供者未对深度合成内容添加隐式、显式内容标识,未向使用者提供或提示显式内容标识功能。内容传播平台未开展生成合成内容监测甄别,导致虚假信息误导公众。六是重点领域安全风险。已备案AI产品提供医疗、金融、未成年人等重点领域问答服务的,未针对性设置行业领域安全审核和控制措施,出现“AI开处方”“诱导投资”“AI幻觉”等问题,误导学生、患者,扰乱金融市场秩序。技术源头治理与合规管控第一阶段强化AI技术源头治理,清理整治违规AI应用程序,加强AI生成合成技术和内容标识管理,推动网站平台提升检测鉴伪能力。重点严控生物特征数据滥用(如换脸、换声),打击非法克隆行为以保护隐私;医疗、金融等重点领域的问答服务或需设置行业安全审核和控制措施,防范专业风险。第二阶段:重点整治7类突出问题一是利用AI制作发布谣言。无中生有、凭空捏造涉时事政治、公共政策、社会民生、国际关系、突发事件等各类谣言信息,或擅自妄测、恶意解读重大方针政策。借突发案事件、灾难事故等,编造、捏造原因、进展、细节等。冒充官方新闻发布会或新闻报道,发布谣言信息。利用AI认知偏差生成的内容进行恶意引导。二是利用AI制作发布不实信息。将无关图文、视频拼凑剪辑,生成虚实混杂、半真半假的信息。模糊修改事件发生的时间、地点、人物等要素,翻炒旧闻。制作发布涉财经、教育、司法、医疗卫生等专业领域的夸大、伪科学等不实内容。借助AI算命、AI占卜等误导欺骗网民,传播迷信思想。三是利用AI制作发布色情低俗内容。利用AI脱衣、AI绘图等功能生成合成色情内容或他人不雅图片、视频,衣着暴露、搔首弄姿等软色情、二次元擦边形象,或扮丑风等导向不良内容。制作发布血腥暴力场景,人体扭曲变形、超现实怪物等恐怖诡谲画面。生成合成“小黄文”“荤段子”等性暗示意味明显的小说、帖文、笔记。四是利用AI假冒他人实施侵权违法行为。通过AI换脸、声音克隆等深度伪造技术,假冒专家、企业家、明星等公众人物,欺骗网民,甚至营销牟利。借AI对公众人物或历史人物进行恶搞、抹黑、歪曲、异化。利用AI冒充亲友,从事网络诈骗等违法活动。不当使用AI“复活逝者”,滥用逝者信息。五是利用AI从事网络水军活动。利用AI技术“养号”,模拟真人批量注册、运营社交账号。利用AI内容农场或AI洗稿,批量生成发布低质同质化文案,博取流量。使用AI群控软件、社交机器人批量点赞跟帖评论,刷量控评,制造热点话题上榜。六是AI产品服务和应用程序违规。制作和传播仿冒、套壳AI网站和应用程序。AI应用程序提供违规功能服务,例如创作类工具提供“热搜热榜热点扩写成文”等功能,AI社交、陪聊软件等提供低俗软色情对话服务等。提供违规AI应用程序、生成合成服务或课程的售卖、推广引流等。七是侵害未成年人权益。AI应用程序诱导未成年人沉迷、在未成年人模式下存在影响未成年人身心健康的内容等。违法内容整治与生态治理第二阶段聚焦利用AI技术制作发布谣言、不实信息、色情低俗内容,假冒他人、从事网络水军活动等突出问题,集中清理相关违法不良信息,处置处罚违规账号、MCN机构和网站平台。重点打击AI换脸、声纹克隆实施侵权违法行为。针对AI应用程序,重点整治仿冒、套壳应用程序及违规功能服务,维护网络空间秩序。此次专项行动两阶段均将AI换脸技术滥用纳入治理范围,重点应对生物认证系统暴露的安全隐患。梆梆安全基于近期通报案件,犯罪团伙利用AI技术将静态证件照转为动态视频,通过支付平台人脸识别漏洞篡改账户密码实施盗刷,对深度伪造人脸攻击手段进行深入分析,存在以下两种情况:·非实时伪造人脸视频:攻击者以受害者照片为素材,模拟点头、眨眼等动作利用AI生成伪造视频,通过HOOK技术注入人脸识别环节,以期达到绕过人脸识别的目的。·实时换脸攻击:攻击者采用AI实时换脸工具进行现场拍摄采集视频,并利用受害者照片作为源素材进行换脸,后采用摄像头拍摄高清屏幕的方式,能够实时绕过动作及炫彩光等各种活体校验手段实现攻击渗透。针对上述风险,梆梆安全提供人脸识别业务安全防护解决方案,通过代码加密和通信协议的保护,提升人脸协议和数据破解篡改的攻击门槛,利用安全监测与业务系统的联动,解决应用运行过程中出现的前端技术类攻击行为。面对AI换脸技术与生物认证攻防的持续升级,梆梆安全将加强AI安全核心技术攻关,聚焦人脸识别领域加大研发力度,为行业用户构建动态防御体系精准识别并抵御新型攻击手段,筑牢可信数字环境安全防线。
汽车信息安全测试系统 | 赋能智能网联汽车安全生态,梆梆安全有话说
2 days ago
在十四届全国人大三次会议《政府工作报告》中,“大力发展智能网联新能源汽车”被正式列为国家战略重点。随着产业加速落地窗口期的到来,智能座舱、车路协同等创新技术正深度重塑车联网行业生态。值得关注的是,在产业规模迅速增长的同时,智能网联汽车也暴露出诸多安全隐患。Upstream《2025全球汽车网络安全报告》显示,2024年汽车与智能出行网络安全风险规模和影响持续扩大,高影响(数千至数百万移动资产)事件占比持续增长,占所有事件的60%以上,92%的攻击为远程实施;披露2024年汽车行业相关CVE漏洞422个,同比增长11.6%。(图片来源Upstream《2025全球汽车网络安全报告》)为应对智能网联汽车所面临的安全威胁,车企正在加速构建自身的安全检测体系。在具体实施过程中也面临着如下挑战:·测试人员需深入掌握R155、GB 44495-2024等法律法规和标准,以确保测试过程符合各项合规性要求;·需要具备网络安全、软件开发与安全测试等多领域知识,熟练掌握渗透测试、漏洞扫描和代码审查等技术,以快速识别和发现安全漏洞;·需配置漏洞扫描器、车内通讯测试工具、应用安全测试工具、无线电安全测试工具等多种专业测试工具,以全面评估汽车信息安全整体情况;·为提高测试效率和一致性,需建立标准化测试管理体系,通过制定明晰的测试策略和文档模板,确保各环节操作具有可验证的标准化特征。梆梆安全依托在汽车信息安全领域多年的专业经验和技术积累,融合泰防实验室攻防研究成果,推出了「梆梆安全汽车信息安全测试系统」,专为汽车整车及零部件信息安全开发测试而设计的综合安全评估系统,集成先进的测试方法和工具,对汽车电子控制单元(ECU)、通信协议、以及整车网络进行全面的安全性分析,助力企业构建全生命周期安全合规测评能力。汽车信息安全测试系统梆梆安全汽车信息安全测试系统是一款针对整车和零部件进行信息安全测试和管理的系统,该系统由管理平台和测试工具箱两部分组合而成。·管理平台提供车型、零部件管理、测试项目管理、报告管理、测试工具箱管理等涵盖车辆测试全生命周期关键活动,内置整车、零部件、通信、应用、云服务等方面常用的测试用例和测试工具库。·测试工具箱集成软件无线电、蓝牙、Wi-Fi、芯片安全、NFC、车载以太网、CAN总线等各种软、硬件检测工具。企业可以“开箱即用”的方式开始其信息安全测试工作。一 核心价值1.全面的测试能力:集成多款主流信息安全测试工具,全方位检测车联网系统潜在安全漏洞和风险点,部分测试项目支持脚本自动化测试,提高测试效率。2. 完善的测试管理体系:支持安全测试过程全生命周期管理,系统内置一套标准的测试过程管理体系,确保信息安全测试工作的标准化和规范化。3. 丰富的知识库:内置知识库包含法规标准解读、测试工具操作手册、合规测试用例。支持企业将已有的知识录入系统,实现企业信息安全测试能力的建设和积累,形成企业信息安全测试知识体系。4. 多样化的工作模式:支持在/离线工作模式,可在无网络离线模式下完成整车、零部件的测试工作,待具备网络连接的条件下,再同步所有的测试结果数据到汽车信息安全测试系统,极大方便用户在各种环境开展信息安全测试工作。5. 便捷的生成测试报告:可一键自动生成专业的信息安全测试报告,包括详细的测试记录、测试发现的风险及其修复建议。极大降低用户编写测试报告的工作量,提高用户的工作效率。6. 第三方业务系统集成管理:支持与第三方系统集成,将安全测试管理与企业现有能力平台、全生命周期开发管理平台有效结合,可以大大提升企业的工作能力和效率。二 应用场景汽车制造商:应对测试人才短缺与工具碎片化挑战,系统内置常用的汽车信息安全测试工具并提供测试用例,支持部分自动化测试,可以有效降低测试工作量并提高测试效率。同时解决缺乏系统性信息安全测试管理的问题,实现零部件全生命周期安全数据追踪及供应链风险态势可视化。零部件供应商:打破测试准入门槛,依托预置用例库与多协议兼容能力,快速响应主机厂信息安全验证需求,确保产品合规交付。研究机构:突破工具资源与知识储备瓶颈,内置测试矩阵与安全知识库赋能攻防研究,加速车联网安全技术孵化。监管机构:基于国标合规基线(CNAS标准)构建标准化测试框架,支持车载网关、交互系统等关键模块的合规性验证,达到监管机构标准化、规范化的要求。三 所获荣誉梆梆安全汽车信息安全测试系统荣获2024年中国网络安全产业联盟“网络安全优秀创新成果大赛优胜奖”及“中国网络安全创新创业大赛二等奖”,标志着梆梆安全已实现车联网攻防技术与检测能力体系的产品化应用。2024年7月经中国合格评定国家认可委员会(CNAS)评审,满足GB/T 40856-2021、GB/T 40857-2021两项国家标准的全部检测要求,具备实施汽车网关和车载信息系统的检测工作能力被授予“实验室认可证书”资质。梆梆安全泰防实验室围绕汽车安全检测、渗透测试、创新技术攻关等服务,为智能网联汽车产业提供强有力的全业务支撑。截至目前,梆梆安全已携手主机厂、零部件企业、监管机构及高校科研院所,围绕智能网联汽车全场景安全防护需求展开联合技术攻坚。未来将以创新技术为引擎,持续完善车联网安全合规能力矩阵,赋能智能出行安全,推动车路云一体化生态可信发展。
Luna Moth勒索黑客冒充IT服务台大面积入侵美国公司
3 days ago
被称为Luna Moth的数据盗窃勒索组织,又名Silent Ransom group,已经加大了对美国法律和金融机构的回调网络钓鱼攻击力度。据 EclecticIQ 研究员 Arda Büyükkaya 称,这些攻击的最终目的是窃取数据和实施勒索。Luna Moth,内部称为 Silent Ransom...
“游蛇”黑产攻击肆虐,速启专项排查与处置
4 days ago
1 概述“游蛇”黑产团伙(又名“银狐”、“谷堕大盗”、“UTG-Q-1000”等)自2022年下半年开始活跃至今,针对国内用户发起了大量攻击活动,以图窃密和诈骗,对企业及个人造成了一定的损失。该黑产团伙主要通过即时通讯软件(微信、企业微信等)、搜索引擎SEO推广、钓鱼邮件等途径传播恶意文件,其传播的恶意文件变种多、免杀手段更换频繁且攻击目标所涉及的行业广泛。安天持续对“游蛇”黑产团伙进行跟踪,发布多篇报告。近期,两类较为活跃的恶意样本持续传播:第一类是伪装成文档的恶意程序,此类恶意程序多使用Qt库进行开发,也存在部分恶意程序是在开源软件代码的基础上添加恶意代码形成的,通过释放“白加黑”组件最终执行后门文件。第二类是伪装成应用软件的恶意MSI安装程序,包含正常应用软件安装程序以及其他数十个正常文件,攻击者将“白加黑”组件隐藏在其中,最终执行上线模块及登录模块。“游蛇”黑产团伙仍在频繁地对恶意软件及免杀手段进行更新,并且由于该黑产团伙使用的远控木马及攻击组件的源代码在网络中流传,因此存在更多恶意变种,每天有大量的用户遭受攻击并被植入远控木马。安天CERT建议用户从官方网站下载安装应用程序,避免点击安全性未知的可执行程序、脚本、文档等文件,以免遭受“游蛇”攻击造成损失。用户可以在安天垂直响应平台(https://vs2.antiy.cn)中下载使用“游蛇”专项排查工具和安天系统安全内核分析工具(ATool)对“游蛇”木马进行排查和清除。2 样本分析2.1 伪装成文档的恶意程序列表列举表格 2‑1相关样本文件名称样本文件名称2025年4月份第一批信息列表pdf.exe2025年省局辖区315晚会企业曝光名单.exe2025年4月第二批信息公示pdf.exe2025年4月第一批公示文件pdf.exe2025年稳岗补贴名单.exe关于清明节,放假安排,大家自己查看.exe稽查人员名单.exe2.1.1 通过QT库开发的恶意程序此类恶意程序近期多使用Qt库进行开发,执行后会进行多层反调试检测,并执行大量无效代码以阻碍分析。然后该程序会在内存中执行Shellcode,解密得到一个原名称为“InjectFile.dll”的DLL文件,并执行其“run”导出函数。图 2‑1 InjectFile.dll文件信息此类DLL文件会对当前进程进行判断,然后注入至目标进程的内存中执行,目前发现此类DLL文件的目标进程包括svchost.exe、spoolsv.exe、explorer.exe、winlogon.exe等。图 2‑2此类DLL文件“run”导出函数的主逻辑然后在指定路径中释放“白加黑”组件,通常由一个可执行程序、一个恶意DLL文件以及一个含有Shellcode内容的BIN文件组成。图 2‑3释放“白加黑”组件通过COM接口为释放的“白加黑”组件创建计划任务,计划任务名称为“.NET Framework NGEN...
基于凭证的网络攻击发生后需采取的七个步骤
4 days ago
如今,黑客们进行网络攻击不是横冲直撞的直接闯入,而是采用更隐秘的登录方式。网络犯罪分子会使用有效的凭证,绕过安全系统,同时在监控工具面前显得合法。这个问题很普遍;谷歌Cloud报告称,47%的云数据泄露是由于凭证保护薄弱或不存在造成的,而IBM X-Force将全球近三分之一的网络攻击归咎于账户泄露。那这对企业防御意味着什么呢?用户需要了解有关如何保护系统免受基于凭证的攻击、当防御失败时应该做什么。为什么基于凭证的攻击是黑客的首选方法网络罪犯喜欢基于凭证的攻击有以下几个原因:·易于执行:与更复杂的零日攻击相比,基于凭证的攻击相对容易部署。·成功率高:用户在多个账户上重复使用相同的密码,攻击者更容易获得广泛的访问权限;一把钥匙可以打开许多扇门。·检测风险低:因为它们使用有效的凭据进行攻击,黑客可以混入正常的流量中,从而避开安全警报。·价格便宜:基于凭证的攻击需要最少的资源,但可以产生大量的奖励。黑客可以很容易地(而且花费不高)在暗网上买到一套被盗的凭证,然后使用免费的自动化工具跨多个系统测试凭证。·系统通用:基于凭证的攻击可以在任何需要凭证的地方使用,这意味着黑客有多个潜在的入口点——从web应用程序到云服务。为什么企业会成为攻击首选目标企业会成为基于凭证的黑客的一个有吸引力的目标吗?如果存在一些安全漏洞,那么企业的系统可能比人们想象的更容易受到攻击。以下是企业成为首要目标的原因:·弱密码策略为攻击者创建了一个公开的邀请,使其可以通过自动化工具和通用密码列表轻松猜测或破解凭证·如果不能实现多因素身份验证,即使是最强大的密码也容易被窃取·不充分的安全培训使员工更容易受到网络钓鱼电子邮件、社会工程策略和其他攻击的攻击·糟糕的网络分割让黑客一旦攻破了一个端点就可以开放访问·监视不足会使攻击者在关键系统内操作数天、数周甚至数月而不被发现·员工密码重复使用会放大任何违规行为的影响,因为一个被盗的凭证可以解锁个人和公司环境中的多个系统。当凭证被泄露时应如何应对如果企业成为基于凭证的攻击的目标,应意识到后果会有多么严重。以下是企业在应对攻击时遵循的典型防范步骤:1.初始检测和警报。一旦监控工具检测到异常并提醒安全团队时,企业必须迅速采取行动以限制损害。2.评估和分类。验证警报是否合法。然后,确定哪些系统和帐户受到影响,评估对企业的潜在影响。3.隔离和遏制。切断受感染设备与网络的连接,切断黑客的接入点。撤销对受感染帐户的访问权限,并分割网络以遏制威胁。4.详细的调查。通过分析日志和取证数据跟踪攻击者的活动。确定黑客是如何破坏凭证的,并评估黑客在访问时所做的事情。5.沟通和通知。透明滋生信任,而保密滋生猜疑。考虑到这一点,向所有相关的利益相关者提供清晰、真实的更新,包括高级管理层、法律团队和受影响的用户。6.根除和恢复。开始重建自己的安全系统,让它们更强大。重置所有受损帐户的密码,修补被利用的漏洞,从干净的备份中恢复系统,并实现多因素身份验证。7.事后审查。防范未来攻击的最佳方法是从当前的漏洞中吸取教训。在泄露事件发生后,分析事件响应流程,更新响应计划,并根据经验教训实施额外的安全措施。
中国电信安全:硬币的两面——大模型时代的安全重构
4 days ago
4月29日,中国电信2025智能云生态大会——企业合作论坛在福州举行。论坛旨在落实“人工智能+”行动,探讨AI在行业的创新应用与生态建设,展示中国电信在人工智能领域的成果,推动产业深度融合。天翼安全科技有限公司党委书记、总经理刘紫千出席论坛,并以《硬币的两面——大模型时代的安全重构》为主题发表演讲。人工智能的蓬勃发展为网络安全领域的产品创新与运营模式带来革命性机遇,同时也对AI自身的安全可控提出了严峻挑战,正如硬币有正反两面。拥抱AI赋能安全的效率提升,同时构建坚实的AI防护体系,成为核心议题。AI for Security在AI赋能安全的实践中,中国电信安全公司致力于通过智能化手段实现安全运营效率的持续提升。2023年,中国电信安全公司打造了国内首个安全领域的高质量数据集-阡陌,推出了安全垂类大模型-见微。见微安全大模型深度聚焦网络安全赋能,围绕数据、代码、运营、攻防,构建“四位一体”技术框架,全面覆盖威胁研判、智能运营等核心应用场景,对外全面升级云堤·抗D、天翼安全大脑等产品的核心能力,对内赋能MSSP平台及SOC体系。Security for AI新技术催生新业务引发新风险,自然也需要新的安全能力进行防护。随着AI从1.0时期的对话式向2.0时期的智能体,乃至未来的3.0时期具身智能演进,攻击面也在发生深刻变革。AI过度灵活的交互???式引入了新的攻击变量,不安全的输出、数据边界消融、算力资源滥用(DoS)、智能体权限失控等问题尤为突出。然而,安全的底层逻辑仍然不变,那就是:漏洞的必然存在、权限与信任体系的根基、数据保护的刚需,以及攻防对抗的本质。为了应对这些挑战,中国电信安全公司构建了立体化、多层次的大模型安全动态防护体系。在IaaS和PaaS层,中国电信安全公司能够提供从网络边界到核心算力的防护,通过部署多重防火墙、增强DDoS防护能力,实施实时流量监控与异常检测来加固入口,推进硬件级安全隔离与完整性校验,落实严格的物理安全措施。在DaaS层,提供全生命周期的数据保护,确保数据的完整性与可追溯性。在MaaS层,针对AI模型与交互的特有风险,部署专项防护能力-大模型护栏,采用对抗样本防御、输入过滤净化来抵御针对模型的攻击,约束模型行为,减少不安全输出等原生风险,并通过红蓝对抗演练持续检验和提升防护水位。在SaaS层,提供零信任安全架构,利用动态令牌强化认证,实现用户交互行为监控;并对新兴的Agent智能体工具调用行为进行实时监控、审计与安全评估,确保其安全可控。“以攻促防”是提升安全能力的有效途径。通过构建生成式对抗环境模拟复杂攻击,并积极探索强化学习(RL)驱动的深层隐蔽攻击等前沿技术研究,持续优化防御策略,以应对不断进化的威胁,最终确保AI系统实现真正的安全、可靠、可控,为未来更高级智能应用的发展奠定坚实的安全基石。为应对AI安全挑战,中国电信安全公司整合自身安全能力与实践经验,推出一站式大模型安全运营服务。该服务体系化地融合了风险评测(涵盖环境与模型自身)、纵深防护(覆盖网络、环境、数据、模型、应用)和持续运营(提供7x24小时监控、响应与优化)三大核心环节,形成安全闭环。中国电信安全公司致力于通过专业的安全托管服务,赋能千行百业安全、放心地拥抱和应用AI技术,共同开创并守护智能安全的未来。
安全护智 智惠安全,中国电信一站式大模型安全能力平台重磅发布!
4 days ago
4月30日,第八届数字中国建设峰会·2025智能云生态大会主论坛在福州成功举行。大会围绕数字基础设施、智能云、人工智能、网信安全等前沿话题,旨在打造一场融合政策引领、前沿探索、技术创新与产业落地的交流盛会,携手合作伙伴开展全方位、多领域合作,持续构建开放创新生态,加速新质生产力发展。会上,中国电信一站式大模型安全能力平台重磅发布,安全护智、智惠安全! 天翼安全科技有限公司党委书记、总经理刘紫千指出,人工智能时代AI安全将是高质量发展的基石,立足于中国电信的云改数转和智惠升级的战略,中国电信推出一站式大模型安全能力平台,具备三大核心能力:一、大模型应用的风险预警能力基于中国电信安全公司自主研发的广目资产测绘能力和网络原生的灵犀威胁情报能力,实时动态地感知我国互联网空间中部署的大模型服务,并对其在环境、数据、模型、应用等不同层面的风险进行实时全网探测,呈现宏观的大模型风险态势,实现智算服务的风险可视可知。二、大模型安全的技术检测能力在技术检测方面,AI技术的引用带来了新的变化,例如难以控制的输入、难以预料的输出、数据边界的消融、智能体权限滥用,然而安全的本质仍然不变,包括漏洞的必然存在、权限与信任体系的根基、数据保护的刚需,以及攻防对抗的本质。中国电信安全公司打造大模型安全靶场,基于11种安全的测试方法,对目前主流大模型进行动态实时的安全性检测,为客户提供大模型深度安全检测服务,精准识别模型层安全漏洞,全面排查风险隐患。三、大模型安全护栏能力面对新型攻击面利用所带来的安全挑战,以及传统漏洞与威胁持续演变形成的安全风险,中国电信安全公司构建了多层次、立体化的大模型安全动态防护体系。该体系从前场(业务访问端)、中场(服务开放端)到后场(资源载体端)等不同层面为客户提供全链路的大模型安全防护能力。实践表明,通过加载中国电信提供的大模型安全防护方案,将大大降低攻击者对大模型的攻击成功率,全面提升大模型系统的安全性。中国电信安全公司通过持续迭代、以攻促防的方式,构建生成式对抗环境模拟复杂攻击,持续优化防御策略,以应对高度迭代动态变化的的AI安全风险,打造AI安全防护标杆体系,通过持续技术演进使防护能力与业界前沿标准同频共振。一站式大模型安全能力平台 站在客户的角度,中国电信的AI安全防护体系一定是一站式的能力平台。中国电信安全公司通过整合自身安全能力与实践经验,推出一站式大模型安全能力平台。该平台体系化地融合了风险评测(涵盖传统环境与模型自身)、纵深防护(覆盖网络、环境、数据、模型、应用)和持续运营(提供7x24小时监控、响应与优化)三大核心环节,形成安全闭环,致力于以专业化的安全托管服务,助力千行百业安心拥抱人工智能技术,共同开创智能时代,守护安全未来。在人工智能技术加速迭代、网络安全威胁呈现多元化交织演进的时代背景下,中国电信安全将充分依托技术积淀与资源禀赋优势,构建全方位大模型动态防护体系,实现人工智能安全、可靠、可控。
一封邮件让IT员工”破防”,这类钓鱼邮件千万要警惕!
4 days ago
一封邮件让IT员工”破防”,这类钓鱼邮件千万要警惕!据《2024中国企业邮箱安全报告》显示,2024年伪装成安全通知类主题的钓鱼邮件数量高达192.9万封,其中IT、金融行业成重灾区。这些钓鱼邮件犹如一把暗箭,随时可瓦解企业员工邮箱账号,窃取关键信息。对于企业来说,构筑一道防得住,能反击的安全防线迫在眉睫——CACTER CAC2.0反钓鱼防盗号(以下简称:CAC2.0),是一款同时具备邮件识别过滤、邮箱账号异常监测与准实时告警、泄露账号威胁登录拦截,以及综合型邮件威胁情报(攻击IP、威胁URL、钓鱼邮件主题、重保紧急情报等)的云安全服务,为企业全面防范邮件威胁和邮件账号威胁。案例还原:一场精心设计的“账号认证”骗局2024年12月,某知名IT企业员工小张收到一封“邮件异常登录提醒”的邮件通知,邮件显示其邮箱在几天前在加拿大被异常登录,并要求小张立即进行“安全认证”。小张担心自己被盗号便立即点击链接进行认证。殊不知第二天小张的邮箱已被攻陷,无法登录。经管理员排查发现原来所谓的“安全认证”就是罪魁祸首,这无疑是一场黑客精心设计的“贼喊捉贼”式骗局。 案例源自《2024中国企业邮箱安全性研究报告》此类”安全认证“钓鱼邮件屡见不鲜,黑客伪造企业内部域名绕过常规安全防护体系,利用”异常登录”制造恐慌,精准触发用户应激反应,引导其点击伪装成“安全认证”的恶意链接。一旦邮箱账号被攻陷,邮箱中的核心数据随时都会被泄露.被盗邮箱进一步会作为跳板,渗透企业内部网络,获取更多权限和敏感信息,给企业带来不可挽回的损失。无论企业安全部门还是企业员工,都应对此提高警惕。CAC2.0反钓鱼防盗号:从拦截到反杀我们来看看小张的企业若提前部署CAC2.0后,可以预防哪些风险?1. 反垃圾反钓鱼监测:CAC2.0依据数亿级的垃圾邮件样本特征,可对恶意邮件意图精准分析,并进行恶意URL检测和附件检测,迅速识别恶意钓鱼邮件。 案例直击:小张收到的这封“安全认证”主题的钓鱼邮件将会经由CAC2.0在0.3秒内被识别为“高风险”邮件,直接隔离至垃圾箱。2.邮箱账号防暴:CAC2.0”防???卫士”可快速识别出风险IP登录,即使账号密码正确,邮件系统放行,CAC2.0仍然可拦截不允许登录,并准实时告警,管理员可通过面板查看本域的拦截日志。案例直击:当黑客盗取小张的邮箱账号并尝试登录时,CAC2.0将触发“风险IP拦截”,实时同步向管理员推送告警:检测到异常IP登录。 3.邮件威胁情报系统:CAC2.0会通过邮件实时推送紧急安全情报至管理员邮箱,并结合最新典型威胁邮件案例,分析本域类似的威胁邮件检测及相关收件人,帮助管理员全面掌握自身系统的潜在风险,提前筑牢安全屏障。案例直击:针对小张此类异常行为用户,CAC2.0会在24小时内推送安全报告,帮助管理员排查风险,并采取措施永久封禁攻击IP。员工自保指南:3招识破“贼喊捉贼”针对此类“安全通知“,到底如何防范?CACTER小助手为大家准备一些自保小贴士:1、认清发信人域名:在收到各类“系统通知”时,注意认清发信人域名,办公系统和管理员不可能使用外部域名发送通知。2、识别钓鱼网站:任何系统的安全认证不可能在外部网站进行,识别所谓“安全网站”的域名可以规避大部分钓鱼网站。3、警惕”认证“要求:邮箱系统对异常登录的账号会采取直接进行锁定或要求重置口令,决不会要求输入口令进行”认证“,因此以安全认证为主题的基本可判定为钓鱼邮件。在钓鱼邮件套路无穷的当下,多一份防护,多一份安心,CAC2.0拥有“事前拦截,事中告警,事后处置”的全流程能力,能够在企业邮箱管理的苛刻环境下,提供稳定可靠的服务。