TailsOS：匿名反取证Linux+持久性（加密）

TailsOS：匿名反取证Linux+持久性（加密） TailsOS是反取证Linux：提供元数据清理工具，并完全在内存中运行 它不需要硬盘，这为记者、反抗者和世界上危险地区的其他用户提供了反取证优势。 【更多相关安全性教程见我们的《变得难以被追踪的简单方法》系列；在列表-5中汇总】 Tails的伟大之处在于，你可以把它带到任何地方，借用另一台电脑，并把整个系统放在一个U盘上。本视频将详细研究TailsOS。 #TailsOS #linux #antiforensic

中国环境部：已淘汰29种类持久性有机污染物

中国环境部：已淘汰29种类持久性有机污染物 中国生态环境部称，中国已成功淘汰29种类持久性有机污染物，每年避免数十万吨持久性有机污染物的产生和环境排放。 据澎湃新闻报道，生态环境部新闻发言人裴晓菲在星期三（5月29日）的例行新闻发布会上称，中国作为《关于持久性有机污染物的斯德哥尔摩公约》文书制定和首批签约国，大力推进持久性有机污染物控制行动。 裴晓菲介绍，持久性有机污染物是重要的新污染物，具有环境持久性、生物蓄积性、远距离环境迁移的潜力，并对人体健康或生态环境产生不利影响。 裴晓菲说，中国大力推进持久性有机污染物控制行动，提前完成在用含多氯联苯电力设备的100%下线与废弃含多氯联苯电力设备的100%环境无害化处置两个公约目标。 具体达成的目标方面，裴晓菲称，中国实现了二𫫇英类排放四个下降：重点行业烟气二𫫇英排放强度大幅下降，向大气排放的二𫫇英总量在2012年达峰后逐步下降，大气环境中二𫫇英浓度相应呈下降趋势，一般人群膳食二𫫇英类平均摄入量低于世界卫生组织的健康指导值且呈下降趋势。 2024年5月29日 7:03 PM

TripleCross 是一个Linux eBPF rootkit，它展示了 eBPF 技术的攻击性能力。

TripleCross 是一个Linux eBPF rootkit，它展示了 eBPF 技术的攻击性能力。 这是一个学生的学士论文，项目里有比较完整的设计文档、技术原理、任务管理甘特图等。。 产品功能设计的比较复杂，功能比较完善，对eBPF感兴趣的同学可以学习一下。 特征： 一个库注入模块，通过在进程的虚拟内存中写入来执行恶意代码。 一个执行劫持模块，它修改传递给内核的数据以执行恶意程序。 一个本地权限提升模块，允许以 root 权限运行恶意程序。 具有 C2功能的后门，可以监控网络并执行从远程 rootkit 客户端发送的命令。它包含多个激活触发器，因此这些动作可以秘密传输。 一个rootkit 客户端，允许攻击者建立 3 种不同类型的类似 shell 的连接，以发送远程控制 rootkit 状态的命令和操作。 一个持久性模块，可确保 rootkit 保持安装状态，即使在重新启动事件之后也能保持完全权限。 一个隐藏模块，对用户隐藏与 rootkit 相关的文件和目录。 | #eBPF

lsyncd，一个linux下的文件同步辅助工具

lsyncd，一个linux下的文件同步辅助工具 Lsyncd 监视本地目录树事件监视器接口（inotify 或 fsevents）。它在几秒钟内聚合和组合事件，然后生成一个（或多个）进程以同步更改。默认情况下这是rsync。因此，Lsyncd 是一种轻量级的实时镜像解决方案，它相对容易安装，不需要新的文件系统或块设备，也不会影响本地文件系统的性能。 Rsync+ssh 是一种高级操作配置，它使用 SSH 操作文件和目录直接在目标上移动，而不是通过网络重新传输移动目标。 通过配置文件可以实现细粒度的定制。自定义操作配置甚至可以在从 shell 脚本到用Lua 语言编写的代码的级联层中从头开始编写。这样就可以实现简单、强大和灵活的配置。 简单来说，lsyncd可以兼听linux的文件增删改事件来决定什么时候同步文件，默认基于rsync来做底层同步。 || #工具

Linux内核被发现重大安全漏洞

Linux内核被发现重大安全漏洞 研究人员在Linux内核中发现了一个漏洞，使一些低权限账户有可能在一些流行的发行版上获得root权限，包括Ubuntu、Debian和Fedora都受到了影响。该漏洞被命名为Sequoia，它存在于文件系统层。这个安全问题被认为影响了自2014年以来发布的所有版本的Linux内核，这意味着大量的发行版都有漏洞。具体来说，该漏洞是一个size_t到int的类型转换漏洞，可以被利用来提升权限。 研究人员成功利用了这种不受控制的越界写入，实现了在Ubuntu 20.04、Ubuntu 20.10、Ubuntu 21.04、Debian 11和Fedora 34工作站的默认安装上获得了完全的root权限；其他Linux发行版当然也有漏洞，而且可能被利用。利用这一漏洞完成提权需要大约5GB的内存。

一种以前未被发现的恶意软件品牌正被用于针对 #Linux 系统的攻击

一种以前未被发现的恶意软件品牌正被用于针对 #Linux 系统的攻击 据网络安全公司 ESET 的研究人员称，这种名为 FontOnLake 的恶意软件似乎是精心设计的，虽然正在积极开发，但已经包括远程访问选项、凭证盗窃功能，并能够初始化代理服务器。 FontOnLake 样本于2020年5月首次出现在 VirusTotal 上，但与这些文件相连的命令和控制（C2）服务器被禁用，研究人员说这可能是由于上传的原因。 研究人员指出，该恶意软件所针对的 Linux 系统可能位于包括东南亚在内的地区。 ESET认为，操作者对被抓住和他们的活动暴露 “过于谨慎”，因为几乎所有获得的样本都使用不同的C2服务器地址和各种端口。此外，该恶意软件的作者利用了C/C++和一些第三方库，如 Boost 和 Protobuf。 FontOnLake 是模块化的恶意软件，利用自定义二进制文件来感染目标机器并执行恶意代码。虽然ESET仍在调查FontOnLake，但该公司表示，在其已知的组件中，有被用来加载后门、rootkits和收集信息的木马应用程序。 总共有三个后门也与 FontOnLake 有关。这些后门都是用C++编写的，并创建了一个通往同一C2的桥梁，用于数据外流。此外，它们能够发出 “心跳” 命令，以保持这种连接的活性。 FontOnLake 总是与一个内核模式的 rootkit 一起，在受感染的 Linux 机器上保持持久性。据 Avast 称，该 rootkit 是基于开源的 Suterusu 项目。 以下是ESET发布的技术白皮书，研究 FontOnLake。 #ThreatIntelligence #malware