M4 iPad Pro首次支持安全指示灯（SIL）机制 阻止恶意应用对设备的调用

M4 iPad Pro首次支持安全指示灯（SIL）机制 阻止恶意应用对设备的调用 Guilherme Rambo 揭开了这一功能的神秘面纱，他注意到当在 iPad Pro 上调用摄像头和麦克风时，系统会启动一个增强的安全机制。他提到了指示灯是如何通过与硬件更安全的集成而不是单独的软件激活的，这可能会使恶意软件或某些应用程序难以在用户不知情的情况下访问手机。他在 Mastodon 上表示：关于 M4 iPad Pro 的趣事：它是首款支持并使用苹果公司全新安全指示灯（SIL）机制的设备。在使用麦克风或摄像头时，相应的指示灯点会在硬件中有效呈现，从而大大降低了恶意软件或用户空间应用程序在用户不知情的情况下访问这些传感器的可能性。这些灯光安全指示器于 2020 年首次在 iOS 14 中引入。每当使用传感器时，就会出现橙色和绿色小点，告知用户某个应用程序正在使用摄像头或麦克风。苹果似乎为 M4 iPad Pro 选择了一种不同的方法，因为隐私功能现在与硬件紧密相连。以前的指示器与软件有关，而新的安全系统则在更大程度上增强了隐私保护。兰博在发现 M4 芯片中的"安全飞地"（Secure Enclave）后，偶然发现了这种安全机制的升级。然而，这个部件的用途并不明确。后来，安全部件的功能才得以明确，那就是防止恶意程序访问摄像头或麦克风。目前，这项安全措施仅限于 M4 iPad Pro，但我们预计苹果会在今年某个时候将其扩展到 iPhone 16 Pro 和 M4 Mac 系列。苹果公司尚未就这一功能发布任何公告，原因可能是苹果担心其他设备上的隐私和安全功能，因为它们仍然采用以软件为主的方式。 ... PC版： 手机版：

该框架包含多个恶意类。以下是特别值得关注的：

该框架包含多个恶意类。以下是特别值得关注的： MMMaker：下载配置并收集有关设备的信息。 ApiMgr：发送设备数据。 PhotoMgr：在设备上搜索包含关键字的照片并将其上传到服务器。 MMCore：存储有关 C2 会话的信息。 MMLocationMgr：收集设备的当前位置。在我们的测试期间，它没有发送任何数据，因此此类的确切用途尚不清楚。 某些类（例如MMMaker）可能在框架的早期版本中缺失或使用不同的名称，但这并没有改变恶意软件的核心功能。 混淆大大增加了样本的静态分析的复杂性，因为字符串是加密的，程序的控制流也被模糊了。为了快速解密感兴趣的字符串，我们选择了动态分析。我们在 Frida 下运行该应用程序，并捕获了存储这些字符串的_data部分的转储。引起我们注意的是，应用程序的 bundleID 位于解密数据之中 我们的结论如下： 该木马的行为会根据其运行的应用程序而有所不同。 可能被感染的应用程序比我们原先想象的要多。 在调查期间，与这些 ID 关联的部分应用已从 App Store 中移除，而其他一些应用仍然存在且包含恶意代码。列表中的部分 ID 指的是调查期间不包含恶意框架的应用： com.kh-super.ios.superapp com.unicornsoft.unicornhttpsforios 与 Android 专用版本一样，该木马实现了三种 OCR 输出过滤模式：关键字、词长和以加密形式存储在框架内部的“wordlists”文件夹中的本地化词典。遗憾的是，我们无法确定该恶意软件是否确实使用了最后一种方法。我们分析的所有样本均未包含词典链接或在运行时访问过这些词典。 发送包含关键字的选定照片是恶意框架运行的关键步骤。与 Android 应用程序类似，该木马仅在启动负责显示支持聊天的视图控制器时请求访问图库的权限。在初始化阶段，该木马根据其运行的应用程序，用自己的包装器替换相关控制器中的viewDidLoad或viewWillAppear方法，并调用方法+[PhotoMgr startTask:]。然后后者检查应用程序是否有权访问图库，并在需要时请求访问。接下来，如果获得访问权限，PhotoMgr会在可用且未处理过的照片中搜索符合发送条件的照片。 我们认为，此次攻击活动至少针对的是欧洲和亚洲的 Android 和 iOS 用户，如下所示： 所使用的关键词是欧洲和亚洲国家居民的各种母语。 资产内的词典以与关键字相同的方式本地化。 一些应用程序似乎在多个国家运营。一些送餐应用程序支持使用阿联酋、哈萨克斯坦、中国、印度尼西亚、津巴布韦和其他国家的电话号码进行注册。 我们怀疑除欧洲和亚洲之外的其他地区的移动用户也可能成为此次恶意活动的目标。 我们开始调查的第一个恶意模块名为“Spark”。当我们分析 iOS 专用木马时，恶意框架本身的捆绑包 ID“bigCat.GZIPApp”引起了我们的注意。因此得名“SparkCat”。以下是此恶意软件的一些特征： 跨平台兼容性； 使用在移动应用中很少见的 Rust 编程语言； 官方应用市场作为传播载体； 隐秘性，C2 域经常模仿合法服务和伪装成系统包的恶意框架； 混淆，阻碍分析和检测。 结论 不幸的是，尽管官方市场进行了严格审查，并且人们普遍意识到了基于 OCR 的加密钱包盗窃骗局，但受感染的应用程序仍然进入了 Google Play 和 App Store。这种木马特别危险的原因在于，没有迹象表明应用程序中隐藏了恶意植入物。它请求的权限可能看起来像是其核心功能所需的权限，或者乍一看似乎无害。该恶意软件的运行也相当隐秘。这个案例再次打破了 iOS 在某种程度上不受针对 Android 的恶意应用程序威胁影响的神话。以下是一些可以帮助您避免成为此恶意软件受害者的提示： 如果您的设备上安装了受感染的应用程序，请将其删除，并且避免重新安装，直到修复程序发布为止。 避免将包含敏感信息的截图（例如加密钱包恢复短语）存储在图库中。您可以将密码、机密文件和其他敏感信息存储在特殊应用中。 在所有设备上使用强大的安全产品。 我们的安全产品在检测到与此活动相关的恶意软件时返回以下结论： HEUR:Trojan.IphoneOS.SparkCat.* HEUR:Trojan.AndroidOS.SparkCat.*

4、Kaiser

4、Kaiser 一个有趣的病毒，特点包括：无文件的持久性，攻击和反取证能力。 这个项目不是为了逃避反病毒检测而设计的。 恶意软件最有利的属性之一是生存能力，作为保持弹性和逃避安全解决方案检测的一种手段。 这种恶意软件的性质应包括其套件中的反取证能力，以保持其足迹最小，以及篡改系统和取证证据，以防止其被捕获和分析。 与无文件方法相结合，复杂的恶意软件能够在攻击系统的同时保持规避，避开多年来发展和完善的传统检测方法。 Kaiser概念验证恶意软件的设计是为了展示反取证和无文件功能的一个子集。这些功能包括无文件保存和二进制执行，以及反取证对策，即禁用事件日志服务，并主动阻止被感染的机器和自身被取证分析，以防止任何进一步的入侵调查。 5、Anti Forensics Anti-forensics 是在您的电脑上不留痕迹的艺术，它旨在与常见的取证工具作斗争，以防止在您的计算机上进行取证测试的任何渗透。 这是一篇关于取证保护方法的定义和适当调整的文章，值得一读。 基本的东西都讲到了，并且具有一些有趣的表述，于是也包含一些有趣的想法。 6、Metadata Remover 删除不需要的元数据就可以改善隐私。很简单吧。 一个简单的元数据删除工具，用于从图像和视频中删除元数据。用 C 和 Python3 开发。 Python版本支持音频和torrent文件。

随后的调查发现，App Store 中的恶意应用程序感染了包含相同木马的框架。例如，iOS 版 ComeCome 的感染方式与

随后的调查发现，App Store 中的恶意应用程序感染了包含相同木马的框架。例如，iOS 版 ComeCome 的感染方式与 Android 版相同。这是首次在 Apple 官方应用市场中发现感染 OCR 间谍软件的应用程序。 App Store 应用中的恶意框架 我们在 App Store 中检测到一系列嵌入恶意框架的应用程序。我们无法确定感染是供应链攻击的结果还是开发人员的蓄意行为。其中一些应用程序（例如送餐服务）似乎是合法的，而其他一些应用程序显然是为了引诱受害者而构建的。例如，我们看到了同一开发人员开发的几款类似的具有 AI 功能的“消息应用程序”： 除了恶意框架本身之外，一些受感染的应用程序在根文件夹中还包含一个modify_gzip.rb脚本。开发人员显然使用它来将框架嵌入到应用程序中： 该框架本身是用 Objective-C 编写的，并使用HikariLLVM进行混淆。在我们检测到的应用程序中，它有以下三个名称之一： 压缩； 谷歌应用程序开发工具包； 统计。 与 Android 版本一样，iOS 恶意软件也使用了ML Kit接口，该接口可以访问经过训练的 Google OCR 模型来识别文本，以及实现自定义 C2 通信协议的 Rust 库。但是，在这种情况下，它直接嵌入到恶意可执行文件中。与 Android 版本不同，iOS 框架保留了调试符号，这使我们能够识别出几个独特的细节： 这些行显示了框架创建者设备上存储项目的路径，包括用户名： /Users/qiongwu/：项目作者的主目录 /Users/quiwengjing/：Rust 库创建者的主目录 C2-rust 通信模块名为im_net_sys。除了客户端之外，它还包含攻击者服务器可能用来与受害者通信的代码。 该项目的原始名称是GZIP。 该框架包含多个恶意类。以下是特别值得关注的： MMMaker：下载配置并收集有关设备的信息。 ApiMgr：发送设备数据。 PhotoMgr：在设备上搜索包含关键字的照片并将其上传到服务器。 MMCore：存储有关 C2 会话的信息。 MMLocationMgr：收集设备的当前位置。在我们的测试期间，它没有发送任何数据，因此此类的确切用途尚不清楚。 某些类（例如MMMaker）可能在框架的早期版本中缺失或使用不同的名称，但这并没有改变恶意软件的核心功能。 混淆大大增加了样本的静态分析的复杂性，因为字符串是加密的，程序的控制流也被模糊了。为了快速解密感兴趣的字符串，我们选择了动态分析。我们在 Frida 下运行该应用程序，并捕获了存储这些字符串的_data部分的转储。引起我们注意的是，应用程序的 bundleID 位于解密数据之中 我们的结论如下： 该木马的行为会根据其运行的应用程序而有所不同。 可能被感染的应用程序比我们原先想象的要多。 在调查期间，与这些 ID 关联的部分应用已从 App Store 中移除，而其他一些应用仍然存在且包含恶意代码。列表中的部分 ID 指的是调查期间不包含恶意框架的应用： com.kh-super.ios.superapp com.unicornsoft.unicornhttpsforios 与 Android 专用版本一样，该木马实现了三种 OCR 输出过滤模式：关键字、词长和以加密形式存储在框架内部的“wordlists”文件夹中的本地化词典。遗憾的是，我们无法确定该恶意软件是否确实使用了最后一种方法。我们分析的所有样本均未包含词典链接或在运行时访问过这些词典。 发送包含关键字的选定照片是恶意框架运行的关键步骤。与 Android 应用程序类似，该木马仅在启动负责显示支持聊天的视图控制器时请求访问图库的权限。在初始化阶段，该木马根据其运行的应用程序，用自己的包装器替换相关控制器中的viewDidLoad或viewWillAppear方法，并调用方法+[PhotoMgr startTask:]。然后后者检查应用程序是否有权访问图库，并在需要时请求访问。接下来，如果获得访问权限，PhotoMgr会在可用且未处理过的照片中搜索符合发送条件的照片。 我们认为，此次攻击活动至少针对的是欧洲和亚洲的 Android 和 iOS 用户，如下所示： 所使用的关键词是欧洲和亚洲国家居民的各种母语。 资产内的词典以与关键字相同的方式本地化。 一些应用程序似乎在多个国家运营。一些送餐应用程序支持使用阿联酋、哈萨克斯坦、中国、印度尼西亚、津巴布韦和其他国家的电话号码进行注册。 我们怀疑除欧洲和亚洲之外的其他地区的移动用户也可能成为此次恶意活动的目标。 我们开始调查的第一个恶意模块名为“Spark”。当我们分析 iOS 专用木马时，恶意框架本身的捆绑包 ID“bigCat.GZIPApp”引起了我们的注意。因此得名“SparkCat”。以下是此恶意软件的一些特征： 跨平台兼容性； 使用在移动应用中很少见的 Rust 编程语言； 官方应用市场作为传播载体； 隐秘性，C2 域经常模仿合法服务和伪装成系统包的恶意框架； 混淆，阻碍分析和检测。 结论 不幸的是，尽管官方市场进行了严格审查，并且人们普遍意识到了基于 OCR 的加密钱包盗窃骗局，但受感染的应用程序仍然进入了 Google Play 和 App Store。这种木马特别危险的原因在于，没有迹象表明应用程序中隐藏了恶意植入物。它请求的权限可能看起来像是其核心功能所需的权限，或者乍一看似乎无害。该恶意软件的运行也相当隐秘。这个案例再次打破了 iOS 在某种程度上不受针对 Android 的恶意应用程序威胁影响的神话。以下是一些可以帮助您避免成为此恶意软件受害者的提示： 如果您的设备上安装了受感染的应用程序，请将其删除，并且避免重新安装，直到修复程序发布为止。 避免将包含敏感信息的截图（例如加密钱包恢复短语）存储在图库中。您可以将密码、机密文件和其他敏感信息存储在特殊应用中。 在所有设备上使用强大的安全产品。 我们的安全产品在检测到与此活动相关的恶意软件时返回以下结论： HEUR:Trojan.IphoneOS.SparkCat.* HEUR:Trojan.AndroidOS.SparkCat.*

神秘恶意软件在72小时内刷写固件摧毁了一家ISP的60万台路由器

神秘恶意软件在72小时内刷写固件摧毁了一家ISP的60万台路由器 一位用户在留言板上写道："路由器现在只是静静地亮着红灯，"他指的是 Windstream 为他们和隔壁邻居提供的 ActionTec T3200 型路由器。"它们甚至对重置都没有反应"。从 10 月 25 日开始的几天里，许多 Windstream 用户都在留言中报告互联网服务供应商造成了大规模瘫痪。他们说，这是公司推送的更新毒害了设备的结果。Windstream的Kinetic宽带服务在18个州拥有约160万用户，其中包括爱荷华州、阿拉巴马州、阿肯色州、佐治亚州和肯塔基州。对于许多用户来说，Kinetic 是他们与外界联系的重要纽带。另一位用户在同一论坛上写道："我们有 3 个孩子，都在家工作。"这让我们损失了 1500 多美元的业务，没有电视、WiFi，还要花几个小时打电话等等。一家公司可以这样对待客户而不闻不问，太可悲了"。在最终确定路由器永久无法使用后，Windstream 向受影响的客户发送了新的路由器。黑莲实验室将此次事件命名为"南瓜日食"。蓄意行为安全公司 Lumen Technologies 旗下的 Black Lotus Labs 周四发布的一份报告可能会为这一事件提供新的线索，Windstream 公司尚未对此作出解释。Black Lotus 实验室的研究人员称，从 10 月 25 日开始的 72 小时内，恶意软件破坏了 60 多万台路由器，这些路由器连接到一个自治系统号（或 ASN），该自治系统号属于一家未具名的 ISP。虽然研究人员没有指明该互联网服务提供商，但他们报告的细节与 Windstream 用户在 10 月份的信息中详细描述的细节几乎完全吻合。具体而言，大规模"舔舐"开始的日期、受影响的路由器型号、ISP 的描述以及停止运行的 ActionTec 路由器显示静态红灯的情况。Windstream 代表拒绝回答通过电子邮件发送的问题。据 Black Lotus Labs 称，这些路由器保守估计至少有 600000 台是被一个动机同样不明的未知威胁行为者破坏的。该行为者故意使用名为Chalubo 的商品恶意软件，而不是定制开发的工具包来掩盖行踪。Chalubo 内置的一项功能允许行为者在受感染设备上执行自定义Lua脚本。研究人员认为，该恶意软件下载并运行的代码永久性地覆盖了路由器固件。周四的报告指出："我们很有信心地认为，恶意固件更新是一种蓄意行为，目的是造成网络中断，虽然我们预计互联网上会有许多路由器品牌和型号受到影响，但这一事件仅限于单一的 ASN。"研究人员写道:这种性质的破坏性攻击非常令人担忧，尤其是在这种情况下。该互联网服务提供商的服务区域有相当一部分覆盖了农村或服务不足的社区；在这些地方，居民可能无法获得紧急服务，农业企业可能在收获季节丢失了远程监控农作物的关键信息，医疗服务提供商也被切断了远程医疗或病人记录。不用说，在孤立或脆弱的社区，从任何供应链中断中恢复过来都需要更长的时间。得知路由器大规模中断的消息后，Black Lotus Labs 开始在 Censys 搜索引擎上查询受影响的路由器型号。一周的快照很快显示，就在报告开始时，一个特定 ASN 的这些型号路由器下降了 49%。这相当于至少 179,000 台 ActionTec 路由器和超过 480,000 台 Sagemcom 出售的路由器断开连接。路由器与任何 ISP 的不断连接和断开使跟踪过程变得复杂，因为不可能知道路由器的消失是正常流失的结果还是更复杂的原因。黑莲实验室称，据保守估计，在其追踪到的断开连接事件中，至少有 60 万起是 Chaluba 感染设备并永久清除其固件的结果。确定 ASN 后，Black Lotus Labs 发现了在路由器上安装 Chaluba 的复杂多路径感染机制。下图提供了逻辑概述。以研究人员目睹的方式大规模清除路由器的恶意软件并没有多少已知先例。最接近的可能是 2022 年发现的AcidRain，该恶意软件曾导致卫星互联网提供商 Viasat 的 10000 台调制解调器瘫痪。乌克兰和欧洲其他地区遭受的这次网络中断与俄罗斯入侵这个较小邻国的时间相吻合。Black Lotus 实验室的一位代表在接受采访时说，研究人员不能排除影响互联网服务提供商的路由器擦除事件背后是一个民族国家。但到目前为止，研究人员还没有发现这些攻击与他们追踪的任何已知民族国家组织有任何重叠。研究人员尚未确定感染路由器的最初手段。虽然研究人员说他们不知道受影响路由器中存在任何已知漏洞，但威胁者有可能利用了漏洞。其他可能的情况是，威胁者滥用了弱凭据或访问了暴露的管理面板。与众不同的攻击虽然研究人员以前分析过针对家庭和小型办公室路由器的攻击，但他们说，有两件事让这次攻击与众不同。他们解释说：首先，这次攻击导致了受影响设备的硬件更换，这很可能表明攻击者破坏了特定型号的固件。由于受影响的设备数量之多，这次事件是史无前例的在我们的印象中，还没有哪次攻击需要更换超过 60 万台设备。此外，这种类型的攻击以前只发生过一次，AcidRain 被用作主动军事入侵的前兆。他们继续说道：第二个独特之处是，这次活动仅限于特定的 ASN。我们以前看到的大多数活动都是针对特定的路由器型号或常见漏洞，并在多个提供商的网络中产生影响。在这种情况下，我们观察到 Sagemcom 和 ActionTec 设备同时受到影响，而且都是在同一供应商的网络中。这使我们评估这不是单一制造商固件更新错误的结果，因为固件更新通常仅限于特定公司的一种或多种设备型号。我们对 Censys 数据的分析表明，受影响的只有这两种型号。综合上述因素，我们得出结论：尽管我们无法恢复破坏性模块，但该事件很可能是未归属的恶意网络行为者蓄意采取的行动。由于不清楚这些路由器是如何被感染的，研究人员只能提供一些常见的通用建议，以防止此类设备受到恶意软件的感染。这包括安装安全更新、用强密码替换默认密码和定期重启。互联网服务提供商和其他管理路由器的组织应遵循额外的建议，确保管理设备的管理界面的安全。周四的报告包括 IP 地址、域名和其他指标，人们可以用它们来确定自己的设备是否已成为攻击目标或受到攻击。 ... PC版： 手机版：

微软和OpenAI称多国黑客正利用ChatGPT改进网络攻击

微软和OpenAI称多国黑客正利用ChatGPT改进网络攻击 微软在今天的一篇博文中说："网络犯罪集团、民族国家威胁行动者和其他对手正在探索和测试新出现的各种人工智能技术，试图了解它们对其行动的潜在价值以及它们可能需要规避的安全控制。"与俄罗斯军事情报机构有关联的"锶"组织被发现使用 LLMs"了解卫星通信协议、雷达成像技术和特定技术参数"。该黑客组织也被称为 APT28 或 Fancy Bear，在俄罗斯的乌克兰战争期间一直很活跃，此前曾参与2016 年针对希拉里-克林顿总统竞选活动的攻击。据微软称，该小组还一直在使用 LLM 来帮助完成"基本的脚本任务，包括文件操作、数据选择、正则表达式和多进程处理，以实现技术操作的自动化或优化"。一个名为 Thallium 的朝鲜黑客组织一直在使用 LLMs 来研究公开报道的漏洞和目标组织，帮助完成基本的脚本任务，并为网络钓鱼活动起草内容。微软称，名为 Curium 的伊朗组织也一直在使用 LLMs 生成网络钓鱼电子邮件，甚至是用于躲避杀毒软件检测的代码。与中国政府有关联的黑客也在使用 LLMs 进行研究、编写脚本、翻译和改进现有工具。人们一直担心在网络攻击中使用人工智能，特别是出现了像 WormGPT 和 FraudGPT 这样的人工智能工具来协助创建恶意电子邮件和破解工具。美国国家安全局的一位高级官员上个月也警告说，黑客正在利用人工智能让他们的钓鱼邮件看起来更有说服力。微软和 OpenAI 尚未发现任何使用 LLMs 的"重大攻击"，但这两家公司已经关闭了与这些黑客组织相关的所有账户和资产。微软表示："与此同时，我们认为这是一项重要的研究，通过发布来揭露我们观察到的知名威胁行为者试图采取的早期、渐进式行动，并与防御者社区分享我们如何阻止和反击这些行动的信息。"虽然目前人工智能在网络攻击中的应用似乎还很有限，但微软对未来的使用案例（如语音冒充）发出了警告。"人工智能驱动的欺诈是另一个令人严重关切的问题。语音合成就是一个例子，三秒钟的语音样本就能训练出一个听起来像任何人的模型，即使是像语音邮件问候语这样无害的东西，也可以用来获得足够的样本。"微软的解决方案是利用人工智能来应对人工智能攻击。"人工智能可以帮助攻击者提高攻击的复杂程度，而且他们有足够的资源来应对。"微软首席检测分析经理霍马-海蒂法（Homa Hayatyfar）说。"我们已经从微软追踪的 300 多个威胁行为体身上看到了这一点，我们使用人工智能来保护、检测和应对。"微软正在打造一款新的人工智能助手Security Copilot，专为网络安全专业人士设计，用于识别漏洞并更好地理解每天通过网络安全工具产生的大量信号和数据。在 Azure 云遭受重大攻击，甚至俄罗斯黑客监视微软高管之后，这家软件巨头也在全面整顿其软件安全机制。了解更多： ... PC版： 手机版：