加拿大多伦多大学公民实验室的研究人员在检查一部 iPhone 手机时，发现了一个零点击 0day 漏洞正被利用感染以色列公司 NSO Group 的间谍软件 Pegasus。该漏洞利用链被称为 BLASTPASS，能感染运行最新版本 iOS 16.6 的 iPhone 手机，整个过程不需要任何交互。攻击者可通过 iMessage 账号向受害者发送包含有恶意图像的 PassKit 附件去利用该漏洞。苹果已经释出了 iOS 16.6.1 修复漏洞。研究人员表示会在未来公布漏洞利用的更多细节，他们建议 iPhone 用户立即更新。

Shawn the R0ck 写道：2023年3月，微星国际（MSI）遭受了由Money Message勒索软件组织发起的一次重大攻击。不幸的是，这不仅仅是一次随机泄露。事后的调查揭示了内部数据的泄露，包括高度敏感的信息，如BootGuard私钥。该私钥是英特尔硬件信任和加密密钥管理系统的核心组成部分，意味着存在一个难以轻易修复的漏洞，使得特定设备型号的主要安全机制可以被绕过。此外，泄露的数据还暴露了UEFI固件镜像签名密钥，进一步加剧了这次安全漏洞的严重性。
BootGuard安全机制与CPU微码和CSME共同构成了英特尔核心安全机制的基础。它作为硬件信任系统中的关键完整性保护机制，而UEFI固件则是计算机系统中重要的底层软件组件。通过成功攻击漏洞（例如：CVE-2020-8705）或获取来自OEM/ODM制造商的私钥，BootGuard的被破坏使得威胁行为者可以利用UEFI实现的缺陷、配置错误和其他漏洞来绕过多个已建立的安全措施和缓解措施，例如：SMM_BWP、BWE/BLE、PRx硬件安全机制、SecureBoot以及内核安全缓解技术，如HCVI、PatchGuard、kASLR、KDEP、SMEP、SMAP。此外，主流的杀毒软件和EDR/XDR系统变得无效，使攻击者持久控制被入侵的设备。Hardcore Matrix团队经过广泛研究，重建了制造商缺失的内部工具，并成功执行了针对MSI Modern-15-B12M笔记本电脑（配备英特尔第12代CPU：i5-1235U）的全面攻击链。演示涵盖了BootGuard私钥重签名、胶囊更新重签名和SMM根套件部署等活动。这个令人信服的演示视频凸显了供应链威胁的严重性，展示了它们在现实世界中的影响。该演示不涵盖操作系统内核攻击技术或SMM启动套件，因为这些技术已经有多个开源实现进行了文档化。
当前，全球面临严峻形势，恶意软件/勒索软件攻击中使用引导套件的情况日益增多。微星国际泄露的OEM签名密钥进一步加剧了x86固件安全本就脆弱的状态。尽管如此，许多人（包括安全专业人员）仍然难以理解源自操作系统以下层面的威胁的重要性。考虑一下，如果引导套件被植入加密托管密钥管理服务节点的固件中，可能造成的后果。这样的攻击可以通过利用内存扫描和钩子来轻松实现弱熵作为一种服务。在这种情况下，攻击者可以通过轻微的暴力攻击从公共链中窃取私钥，而无需实际接触托管基础设施。
然而，没有必要因此陷入恐慌，也不明智地寄希望于像RISC-V或Rust这样的“未来技术”。相反，尝试掌控每个设备的安全供应过程是一个可行的计划。听起来像个好计划！坚持这个该死的计划！这是一个很好的起点，不是吗？

微软在 7 月份披露，中国黑客组织 Storm-0558 入侵了它的 Azure 云服务，访问了多名美国政府官员的电邮账号。本周三微软官方博客披露了此次攻击的更多细节。软件巨人称，黑客盗取了该公司一名工程师的账号，该账号能访问调试环境，其中包括了崩溃转储（crash dump）。它的调查发现，由于被称为“竞争条件”的 bug，2021 年 4 月发生的一次消费者签名系统崩溃留下的信息包含有机密的签名密钥，密钥原本应该在崩溃转储过程中移除。两年后黑客访问了崩溃转储获得了密钥。利用密钥黑客伪造了令牌访问了 OWA 和 Outlook.com。从 5 月 15 日起黑客访问了大约 25 个组织的账号，而直到 6 月中旬客户警告之后微软才获悉此次入侵。微软表示，黑客是通过窃取令牌的恶意程序盗取了工程师的账号，但没有进一步透露恶意程序是如何安装的，是否有其他工程师账号被入侵。

Android 操作系统正日益封闭，最新的 Android 14 将进一步限制对系统证书的修改。Google 是从 2016 年发布的 Android 7（Nougat）起将设备上信任 CA 列表的权力从用户转移到设备供应商和第三方应用开发者。以前 Android 系统允许用户创建自己的 CA 并信任它，拦截设备上的 HTTPS 流量，查看设备上正在发送和接收的内容，可以进行修改或阻止。即将在未来几个月释出的 Android 14 将 CA 证书的管理转移到了一个独立更新的组件，由 Google Play 提供更新。一方面它对普通用户的安全是好事，但另一方面它进一步限制了开发者，即使 root 设备也将无法修改系统证书。

流行的开源代码编辑器 Notepad++ 发现了多个缓冲溢出漏洞，允许攻击者执行任意代码。Notepad++ 尚未发布补丁修复漏洞。GitHub Security Lab 的安全研究员 Jaroslav Lobačevski 发现，Notepad++ 使用的部分函数和库存在堆缓冲区写溢出和堆缓冲区读取溢出漏洞，这些漏洞的风险评分从 5.5（中危）到 7.8（高危）不等。他是在四月底报告了漏洞，但直到 Notepad++ 发布最新版本 v8.5.6 漏洞仍然没有修复，因此根据披露政策公开了漏洞和 PoC。

根据 Interisle Consulting Group 的研究，美国国家顶级域名 .US 被广泛用于钓鱼攻击。研究人员分析了 2022 年 5 月 1 日至 2023 年 4 月 30 日期间的 600 万份钓鱼攻击报告，发现了 30,000 个 .US 钓鱼域名。其它主要国家的域名很少像 .US 那样广泛用于钓鱼。.US 由美国商务部的国家电信资讯管理局（NTIA）监管，但 NTIA 将其外包给了最大的域名注册商 GoDaddy。NTIA 要求 GoDaddy 采取措施确保域名注册者居住在美国或在美国有组织机构。GoDaddy 显然在这方面有欠缺。

梭子鱼网络在 5 月 20 日披露其 Email Security Gateway（ESG） 发现了一个 0day——远程命令注入漏洞 CVE-2023-2868。而这个 0day 从去年 10 月起被活跃利用了 8 个月，被攻击者利用安装恶意程序窃取敏感数据。梭子鱼在六月初发布了不同寻常的声明，建议客户直接替换受影响的设备。现在我们知道了原因：修复的设备又重新感染了恶意程序。安全公司 Mandiant 发表报告称，黑客组织 UNC4841 早就做好了反制漏洞修补的准备。从去年 10 月开始 UNC4841 选择性的感染了部分梭子鱼客户，数量大约在 400-500 左右。在梭子鱼发布补丁堵上漏洞之后，UNC4841 再次选择性的对部分高价值目标释出了 DepthCharge、SkipJack 和 FoxTrot/FoxGlove 三种恶意程序。其中 DepthCharge 被认为最复杂，它设计在 ESG 清除掉恶意程序之后重新感染，方法是在备份配置中隐藏恶意代码。

美国国家光学天文台（NOIRLab）在 8 月 1 日遭到网络攻击，迫使它临时关闭了位于夏威夷的双子北座望远镜和位于智利的双子南座望远镜。NOIRLab 上周四发表声明称正与网络安全专家合作，以尽可能快的恢复望远镜运行。NOIRLab 称调查还在进行之中，因此没有披露更多攻击细节。在攻击发生前，美国国家反情报和安全中心曾就此发出警告。

一位未透露名字的黑客入侵了间谍软件公司 WebDetetive，删除了其间谍软件监视的设备信息，阻止其客户继续收集数据。黑客在一份声明中称，间谍软件用户不会再从其目标获得任何新数据，因为 #fuckstalkerware。黑客称 WebDetetive 监视的设备有逾 7.6 万台，应用服务器上有逾 1.5 GB 的数据被删除。黑客还从入侵中窃取到了 WebDetetive 客户的信息，包括 IP 地址和针对的目标设备。

在 8 月份的 Windows Certificate Trust List 更新中，微软禁用了 VeriSign Class 3 Public Primary Certification Authority – G5，结果导致应用如 QuickBooks 和 Avatax 无法启动，让系统管理员不知所措，因为导致了问题微软在三天后回滚了更新。该 CA 原属于赛门铁克，因在 2015 年错误签发了 google.com 证书以及后续发现有大量错误签发行为而不再被信任。赛门铁克在 2017 年将其 CA 业务出售给了 VeriSign。微软称，VeriSign Class 3 Public Primary Certification Authority – G5 在 2019 年起就不再被信任，该 CA 当时被设为 NotBefore，也就是 NotBefore 日期后签发的证书不再被信任，但之前签发的证书仍然被信任。在 8 月的证书信任更新中，微软将该 CA 设为 Disable，也就是被禁用。但此举导致了部分客户遭遇问题，微软随后回滚了更新。

法国政府的失业登记和救助机构的网站 Pôle emploi 被入侵，有一千万用户受到影响。被暴露的信息包括全名和社会安全号码，电邮地址、电话号码、密码和银行数据等不受影响。造成 Pôle emploi 被入侵的罪魁祸首被认为与 MOVEit 有关。MOVEit 是一个广泛使用的文件传输程序，今年早些时候 MOVEit 曝出的一个高危漏洞导致其客户遭遇数据大规模被盗。MOVEit 的漏洞允许 SQL 注入，通过输入特制字符串，攻击者可以诱骗 Web 应用返回敏感数据，赋予管理系统权限等。安全公司披露攻击者在利用漏洞疯狂抓取数据，而攻击者与勒索软件组织 Clop 有关。但目前 Clop 尚未证实是否是该组织入侵了 Pôle emploi。

Shawn the R0ck 写道：现代网络安全运营中心主要依赖于两个关键要素：基于agent的安全解决方案，在台式机、笔记本和服务器操作系统上运行；以及威胁分析系统，通常称为安全信息与事件管理（SIEM）系统或扩展检测与响应（XDR）系统充当安全大脑的角色。然而，网络安全行业面临两个主要挑战。首先，大多数安全解决方案未能在操作系统（OS）及OS以下层面提供全面的威胁检测，导致这一关键领域容易受到攻击。安全大脑本身或者周边的安全产品被攻陷并不是一件有趣的事情，安全领域最尴尬之处莫过于次。其次，威胁分析系统通常缺乏与最佳安全实践相一致的强大保护措施，这可能无意中导致安全漏洞。针对这些挑战，HardenedVault开发了一种基于开源SIEM/XDR工具Wazuh的解决方案，以展示HardenedVault可以如何解决这些问题。该工具与VED无缝集成，扩展了对Linux内核运行时的监控维度，实时监控漏洞提权、容器逃逸和rootkit，同时提供了其他安全措施，如CIS合规性，为已识别的威胁提供了强大的解决方案。VED能够将SIEM/XDR的监控维度扩展到Linux内核运行时，以应对特权升级、容器逃逸和Rootkits等安全威胁，这是一个强大的增强功能。通过整合这一功能，VED可以为内核中潜在的安全威胁提供全面的可见性和检测能力。这确保了主动防御，并增强了系统的整体安全状态，从而保护系统免受复杂的攻击和未经授权的访问尝试。目前，HardenedVault在AWS上提供了Hardened SIEM/XDR，方便集成和部署。对于那些有兴趣在自建机房环境中实施类似解决方案的用户，HardenedVault将乐意提供帮助。

Tor 项目宣布了设计抵御 DoS 攻击的工作量防御机制（Proof-of-Work Defense）。工作量证明 PoW 是一种动态的反应机制，在正常工作条件下保持休眠。当 onion 服务面临压力时，PoW 将提示传入的客户端连接连续执行复杂操作，onion 服务将根据客户端的工作量水平进行连接优先排序。此举旨在将 DoS 攻击的成本增加到难以维持的水平，优先考虑合法流量，抑制攻击流量。onion 服务因为优先考虑客户的隐私混淆 IP 地址而容易遭到 DoS 攻击，传统的基于 IP 的速率限制无效，因此 Tor 项目设计了一种工作量证明机制，在不影响客户隐私的同时遏制 DoS 攻击。如果攻击者向 onion 服务发送大量连接请求，PoW 防御会启动增加访问 .onion 网站所需的计算量。增加的计算量对绝大部分设备是可控的，所耗费时间从 5 毫秒到 30 毫秒。攻击流量增加，工作量就会增加，最多需要 1 分钟的工作量。整个过程对用户是不可见的。

松散的黑客组织 Lapsus$ 的两名成员：18 岁的 Arion Kurtaj 和另一名 17 岁少年被控入侵了多家知名公司，窃取数据并以威胁泄露数据为由进行勒索。 Arion Kurtaj 被认为是 Lapsus$ 的领导人之一，他去年两次因为 Lapsus$ 相关黑客活动而被捕。他被控入侵了金融科技公司 Revolut、拼车服务商 Uber 和游戏开发商 Rockstar Games。在保释期间，他使用化名 teapotuberhacker 泄露了正在开发中的《侠盗猎车 6( Grand Theft Auto 6)》游戏视频。他通过黑客活动窃取了逾 300 个 BTC，绝大部分钱都花在赌博或被其他黑客盗走了。

WinRAR 上周修复了一个高危漏洞 CVE-2023-40477，该漏洞允许远程攻击者通过引诱受害者打开一个特制的 RAR 压缩文件去执行任意代码。安全公司 Group IB 周三公开了该漏洞的更多细节。该漏洞从今年四月起就开始被利用，攻击者通过证券交易论坛引诱受害者打开含有恶意代码的压缩文件，利用漏洞攻击者可以伪造文件扩展，在伪造的 .jpg 或 .txt 等文件格式中隐藏恶意脚本。当受害者打开文件，攻击者可以远程执行代码，安装 DarkMe、GuLoader 和 Remcos RAT 等系列恶意软件，然后从经纪帐户中提取出资金。Group-IB 称它跟踪到了至少 130 名受害者，但经济损失和受害者总数尚不清楚。

WinRAR 修复了一个高危漏洞 CVE-2023-40477，该漏洞允许远程攻击者通过引诱受害者打开一个特制的 RAR 压缩文件去执行任意代码。该漏洞需要欺骗用户因此危险等级评分略低为 7.8/10。该漏洞是 Zero Day Initiative 的 研究员 goodbyeselene 发现的，2023 年 6 月 8 日报告给开发商 RARLAB，漏洞存在于恢复卷处理过程中，是未能正确验证用户提供的数据导致的。RARLAB 在 8 月 2 日释出 WinRAR v6.23 修复了该漏洞。WinRAR 用户需要尽可能快的升级。WinRAR v6.23 还修复了另一个会导致错误文件初始化的漏洞。

DEF CON 安全会议的主会场因炸弹威胁而大规模疏散人群。消防人员和警方对大楼进行了彻底搜寻但没有找到可疑物品。主办方取消了当晚的庆祝活动，令与会者大失所望。DEF CON 安全会议于 8 月 10 日举行，13 日结束。主办方表示他们收到了可疑包裹的报告，被要求从大楼里撤离。炸弹威胁被认为是一次恶作剧，但恶作剧者毁掉了所有人的夜晚。有报道称，今年的 DEF CON 会议吸引了逾 3 万人参加，相比下 Black Hat 安全会议只有大约 2 万人。

去年二月，俄罗斯入侵乌克兰占领了人类历史上最严重核灾难发生地切尔诺贝利。随后传感器显示当地的辐射值提高了。乌克兰核监管机构认为，这可能是由于重型军用车辆搅动了仍然受到 1986 年事故污染的土壤造成的。这一解释被广泛接受。但一组环境学家发表论文认为搅动土壤不可能造成辐射值提高，认为真正的原因是电子战武器造成的干扰。现在一位网络安全专家 Ruben Santamarta 在分析了数据模式后认为辐射值提高很可能是网络攻击造成的，黑客远程或能直接访问服务器的人纂改了数据。如果数据真的被操纵，这可能会破坏对辐射监测系统的信任，改变数据公开发表的方法。辐射监测系统的数据是接近实时公布的，如果数据能被纂改，那么攻击者能在数据被验证前引发公众恐慌。

2008 年 8 月初，几位 MIT 学生准备在拉斯维加斯举行的黑客大会 Defcon 上谈论他们找到方法免费搭乘波士顿的地铁系统。但波士顿地铁管理机构 MBTA 提起了诉讼并获得了限制令，禁止他们发表演讲。演讲被取消，但学生们制作的幻灯片在与会者中间广泛传播并发布在网上。2021 年夏天 15 岁高中生 Matty Harris 和 Zachary Bertocchi 在搭乘波士顿地铁时谈论了此事，他们好奇是否能重复 MIT 学生的工作，实现免费搭乘地铁。他们一开始认为不可能，因为此事被广泛报道，波士顿地铁应该早就修复了问题。他们发现，波士顿地铁并没有修复问题。他们在今年举行的 Defcon 黑客大会上谈论了他们的研究结果，这一次没人起诉他们。两名高中生和他们的黑客朋友 Noah Gibson 和 Scott Campbell 扩展了 MIT 学生的工作。MIT 学生当时针对的是磁卡，而 MBTA 已经淘汰了磁卡采用了 RFID 非接触式智能卡 CharlieCard。他们对卡进行了逆向工程，能对卡片任意充值，甚至能提供可以无限免费乘车的 MBTA 员工卡。这几位青少年称，MBTA 邀请他们前往其总部，并礼貌的请求他们隐藏部分技术细节，增加其他黑客复制的难度。

Shawn the R0ck 写道：我们很高兴地介绍 VED-eBPF，这是一种创新的概念验证实现，展示了 eBPF（扩展伯克利数据包过滤器）技术在为 Linux 系统提供强大的内核安全监控和漏洞检测方面的能力。VED-eBPF 利用 eBPF 的功能，提供对内核漏洞和 Rootkit 的运行时分析和检测。开源版本使用 AGPLv3 许可证发布。
使用 eBPF 增强内核安全 eBPF 是一种内核中的虚拟机，可以在内核中执行代码，无需修改内核源代码。通过 VED-eBPF，我们利用 eBPF 的潜力来跟踪安全敏感的内核行为并检测可能表示恶意活动的异常情况。
VED-eBPF 的关键特性：
控制流完整性（wCFI）：VED-eBPF 包含 wCFI，专注于检测控制流劫持攻击。通过跟踪内核调用栈，VED-eBPF 生成一个有效调用位置的位图，并根据此位图验证返回地址。任何无效的返回地址（表示堆栈已被破坏）都会触发安全事件进行进一步分析。
特权提升检测（PSD）：VED-eBPF 集成了 PSD，用于检测未经授权的特权提升。通过监视内核中的凭证结构的变化，VED-eBPF 在特定函数调用之前和之后比较凭证，以识别任何未经授权的修改。当检测到非法特权提升时，会生成一个安全事件进行分析。
VED-eBPF 的工作原理 VED-eBPF 将 eBPF 程序附加到相关的内核函数，实现执行流程的跟踪和安全事件的提取。然后，这些事件将通过 perf 缓冲区提交到用户空间进行进一步分析，确保实时检测潜在威胁。
加入我们，探索 eBPF 的安全能力 我们邀请所有对利用 eBPF 进行安全缓解感兴趣的安全爱好者、研究人员和开发人员一起探索 VED-eBPF。通过利用 eBPF 的跟踪能力和 perf 缓冲区，VED-eBPF 展示了如何实时提取和分析关键的安全事件，以识别新出现的内核威胁。