漏洞概述 Essential Addonsfor Elementor是一款功能强大、易于使用的WordPress插件，为使用Elementor建立网站的用户提供了众多额外的功能和组件，使得用户能够更轻松地创建各种网站元素，并且还提供了许多预设计样式和高级功能，使得用户能够更好地管理和定制网站。此外，通过WordPress官方统计（https://api.wordpress.org/plugins/info/1.0/essential-addons-for-elementor-lite.json）可知，它的安装量超过百万。 近期，其密码重置功能存在授权问题，允许未经认证的远程攻击者实现权限提升。 受影响版本 受影响版本：5.4.0 <= Essential Addons for Elementor <= 5.7.1 漏洞分析 问题关键在于Essential Addons for Elementor的密码重置功能没有验证密码重置密钥，就直接改变了指定用户的密码，也就是说攻击者只需知道用户名，就有可能进行密码重置，并获得对应账户的权限。 这里我们采用打补丁前的最新版本（5.7.1）进行分析，具体链接如下：https://downloads.wordpress.org/plugin/essential-addons-for-elementor-lite.5.7.1.zip 先从includes/Classes/Bootstrap.php看起，这段代码是在WordPress中添加一个动作，当网站初始化时触发该动作，调用login_or_register_user() 该函数位于includes/Traits/Login_Registration.php 它的作用是处理登录和注册表单的提交数据，并根据提交的数据调用相应的方法。正如漏洞概述所说，问题关键在于密码重置，所以我们继续跟进reset_password()，它做的第一步操作就是检查page_id和widget_id是否为空，若为空则返回”xxx ID is missing”，用作后续的错误处理，所以我们首先要做的就是给这两个id赋值： 接着代码就会检查eael-resetpassword-nonce的值是否为空，若不为空则通过wp_verify_nonce()进行验证。 那么问题来了，nonce是什么？如何获取？ 在 WordPress 中，nonce 是一个随机字符串，用于防止恶意攻击和跨站请求伪造（CSRF）攻击，它通常与表单一起使用，在表单提交时添加一个随机值，以确保表单只能被特定的用户或请求使用。而关于nonce如何获取，wp_create_nonce()可以做到这一点。 function wp_create_nonce( $action = -1 ) { $user = wp_get_current_user(); $uid = (int) $user->ID; if ( ! $uid ) { /** This filter is documented in wp-includes/pluggable.php */ $uid = apply_filters( 'nonce_user_logged_out', $uid, $action ); } $token = wp_get_session_token( $action ); $i = wp_nonce_tick( $action ); return substr( wp_hash( $i . '|' . $action . '|' . $uid . '|' . $token, 'nonce' ), -12, 10 ); } 但需要注意的是，攻击者无法通过本地生成的 nonce 绕过受害者站点的wp_verify_nonce() 验证，因为他们不能在本地生成与受害者站点相同的 nonce。不过还有一种方法来获取nonce，直接访问主页即可在localize里找到它。 至于原因，则是它被includes/Classes/Asset_Builder.php::load_commnon_asset()设置在localize_object内： 跟踪localize_object不难发现，它被两个函数调用过： 先看add_inline_js()，它用于加载内联js代码和变量。在前端页面加载时，浏览器将加载该代码，并在js中创建名为 localize 的变量，该变量的值就是localize_objects 数组经wp_json_encode()转换的json字符串。 显然，我们刚才直接访问主页发现的localize就是以json格式呈现的。再看frontend_asset_load()，它用于加载前端资源。 最终上述两个函数都会被init_hook()调用，add_inline_js() 被添加到 wp_footer 中，优先级为100，以便在 WordPress 前端页面的页脚中加载内联js代码和变量。而frontend_asset_load() 被添加到 wp_enqueue_scripts 中，优先级为100，以便在 WordPress 前端页面加载时加载所需的前端资源。 之后就是给eael-pass1、eael-pass2赋值，设置新密码了： 当我们满足了上述前提条件以后，再通过rp_login设置想要攻击的用户即可。此时，代码就会借助get_user_by() function get_user_by( $field, $value ) { $userdata = WP_User::get_data_by( $field, $value ); if ( ! $userdata ) { return false; } $user = new WP_User(); $user->init( $userdata ); return $user; } 按我们给定的字段，也就是用户名去检索用户信息： 如果这是真实存在的用户，就调用reset_password() 进行密码重置操作： 漏洞复现 通过以上分析，我们仅需知道用户名以及nonce值，再向受害站点发送满足漏洞触发条件的请求体，即可进行漏洞利用。 当然，之前也提到了受影响的版本，所以漏洞利用之前，需要优先进行版本探测，有两个方法： 第一，由于frontend_asset_load()调用了wp_enqueue_style()来加载css文件，WordPress就会自动将版本号添加到url中，这是为了确保浏览器能够正确缓存css文件，以便在文件更新时将旧文件替换为新文件： function wp_enqueue_style( $handle, $src = '', $deps = array(), $ver = false, $media = 'all' ) { _wp_scripts_maybe_doing_it_wrong( __FUNCTION__, $handle ); $wp_styles = wp_styles(); if ( $src ) { $_handle = explode( '?', $handle ); $wp_styles->add( $_handle[0], $src, $deps, $ver, $media ); } $wp_styles->enqueue( $handle ); } 第四个参数即代表指定样式表的版本号的字符串，如果它有的话，它将作为一个查询字符串添加到URL中，以达到破坏缓存的目的。如果版本号被设置为false，则会自动添加一个与当前安装的WordPress版本相同的版本号。如果设置为null，则不添加版本号。最终生成这样一条url：https://example.com/front-end/css/view/general.min.css?ver=x.x.x 第二，我们也可以通过/wp-content/plugins/essential-addons-for-elementor-lite/readme.txt进行版本探测。 确认受影响的版本以后，就是搜寻真实用户名。同样有多种方式进行探测： 使用 WordPress 的 rss feed 来提取用户名。这是一种用于发布和传递 WordPress 内容的标准格式，包含了站点的最新文章、页面、评论等内容，以及发布时间、作者、分类、标签等相关信息。这些信息可以被其他站点或应用程序订阅和使用，增加当前站点的曝光度。而其中dc:creator标签就包含了作者名称； 使用 WordPress 的 rest api 来获取用户名； 使用了 Yoast 插件提供的站点图来获取用户名。它较于第一种方法的优势在于只能获取到站点中已发布文章的作者信息。如果站点中还有其他用户没有发布文章，那么这些用户的信息是不会被获取的。 除此之外，WordPress也存在默认用户名(admin)，这也是该漏洞最常利用的用户名之一。 做完上述信息收集以后，构造报文即可成功重置任意用户密码： 修复方案 在Essential Addons for Elementor(5.7.2)中，进行reset_password()操作之前，先去做了rp_key的校验。补丁如下：   ...

十一长假期间，多名网友向Kirin博客请求援助称Tor浏览器新版本更新后无法连接Tor网络，后经Kirin博客证实，是由于Tor浏览器的新版本tor.exe被Windows Defender误杀导致。 问题产生与解决方法 10月1日左右，Tor浏览器推出新的64位版本12.5.6，然而，该版本的Tor网络连接程序tor.exe却被最新版本的Windows 10与Windows 11的Windows Defender病毒和威胁防护程序识别为病毒威胁并删除进了隔离区： 已检测：Trojan:Win32/Malgent!MTB 当tor.exe被杀以后，Tor浏览器无法正常连接Tor网络。很多境内网友表示已经**屏蔽敏感词**并能成功访问Google等境外网站，Tor浏览器仍然无法正常连接，无论是默认配置（obfs4）还是选择Snowflake配置，或者更换其他网桥（bridge），并显示如下错误： Tor Browser couldn’t locate you Tor Browser needs to know your location in order to choose the right bridge for you. If you’d rather not share your location, configure your connection manually instead. Component returned failure code: 0x804b000d (NS_ERROR_CONNECTION_REFUSED) [nsIScriptableInputStream.available] 事发后，立即有网友在torproject官方论坛进行了反馈，也有网友在Reddit论坛咨询此问题，并给出了解决方案：卸载12.5.6版本的Tor浏览器，安装12.5.3版本的Tor浏览器即可。 12.5.3版本的Tor浏览器下载地址：https://archive.***********.org/tor-package-archive/torbrowser/12.5.3/ 此外，还可以直接使用12.5.3版本中的tor.exe，下载tor-expert-bundle-12.5.3-windows-x86_64.tar压缩包，找到tor目录中的tor.exe，复制粘贴到Tor浏览器对应的目录（Tor Browser\Browser\TorBrowser\Tor）下。 Tor项目于10月2日紧急在Twitter发布了公告，表示问题已经解决： TorBrowser 12.5.6 不再被 Windows Defender 标记。✔️确保您的 Windows Defender 是最新的，✔️取消隔离 tor.exe，或从我们的网站下载 TorBrowser 重新安装✔️记得检查签名 (1.397.1910. 0) > TorBrowser 12.5.6 no longer flagged by Windows Defender. > ✔️Make sure your Windows Defender is up to date, > ✔️and either unquarantine tor.exe, or reinstall TorBrowser by downloading it from our website – > ✔️ remember to check the signature (1.397.1910.0) > > — The Tor Project (@torproject) [October 2, 2023](https://twitter.com/torproject/status/1708855101308518559?ref_src=twsrc%5Etfw) 意味着10月2日之后，如果还出现此问题，重新安装12.5.6版本的Tor浏览器即可正常使用。 其他Tor浏览器可能无法正常连接的原因 可能性一、国家或地区限制：某些国家或地区的互联网服务提供商可能会限制或阻止连接到Tor网络，可以尝试先使用虚拟专用网络（VPN）或代理服务器等代理工具。 可能性二、本地防火墙限制：有时候电脑的防火墙或者局域网的防火墙阻止了Tor浏览器连接到互联网，可以尝试关闭防火墙再试。 可能性三、Tor浏览器配置问题：Tor浏览器中的网桥配置错误也会导致无法连接到Tor网络，可以尝试恢复默认设置。  ...

  在过去两年中，人们目睹了新的暗网勒索软件集团的不断升级，其中许多要么在几个月内消失，要么改名换姓。 例如以下的勒索软件团队，出现的时间不长，很快就湮没在历史的长河里。 Atom Silo（2021年12月-2022年1月） Black Shadow（2021年12月-2022年8月） Bonaci Group（2021年10月-2021年12月） Cross Lock（2023年4月-2023年7月） Dark Power Ransomware（2023年3月-2023年3月） DarkRace（2023年6月-2023年6月） DataLeak（2022年12月-2023年2月） Karma Leaks（2021年10月-2021年11月） Midas（2021年11月-2022年4月） Monte（2022年9月-2022年9月） Night Sky（2022年1月-2022年1月） Pandora（2022年3月-2022年5月） RedAlert（2022年8月-2022年12月） Rook（2021年12月-2022年1月） Sparta（2022年9月-2022年10月） Spook（2021年10月-2021年10月） Unsafe（2022年12月-2023年7月） Vsop（2022年9月-2023年1月） XingLocker（2021年4月-2022年1月） 但是，Ransomed似乎是又一个在几个月内出现又消失的勒索软件团伙，所有迹象都表明了这一点。 近日，出版物SuspectFile采访了Ransomed勒索软件团伙的负责人，他曾多次试图启动自己的暗网资源，他表示，他宁愿死也不愿被美国联邦调查局（FBI）逮捕。 Ransomed最初的“副标题”是RansomForums，该项目还在一个新的Telegram频道上进行推广。然而，仅仅几天后，论坛和Telegram频道都被封锁和关闭了。 BlackForums论坛的情况也好不到哪里去，这是同一个网络犯罪团伙推出的另一个论坛，主要收集几个月前从其他论坛泄露的旧数据库。该论坛于今年4月9日首次推出，但两个月后，该论坛已无法访问。 该犯罪团伙试图通过位于大西洋和加勒比海之间的尼维斯岛上的新域名注册商/服务器提供商Njalla*使BlackForums.net重新上线。由于提供商Njalla暂停了论坛的发布，论坛再一次不见天日。 *Njalla的所有者是海盗湾的创始人彼得-桑德（Peter Sunde）。 9月2日和16日，BlackForums第无数次尝试上线，这一次依靠的是注册商Tucows Inc.该论坛目前已上线，并进行了全新设计。 该塞尔维亚/保加利亚籍网络犯罪分子最近几周在他的Tox频道上聊天时向记者声称，他曾多次试图“维持”他的项目。然而，根据记者的观察，他的技术似乎并不像他声称的那样先进。事实上，Ransomed.vc网站又再次无法访问。 记者分析称：“我们已经形成这样的观点：该勒索软件团伙的领导者一只脚在现实世界中行走，另一只脚在虚构世界中行走——性格暧昧，有时试图将自己的不安全感和恐惧隐藏在多重人格背后；毫无疑问，他是一个强烈渴望被关注的人，不仅为了金钱，而且为了精神健康而不断努力。” 该勒索软件团伙的负责人首先表示，他不支持对俄罗斯和乌克兰的公司进行攻击，因为“与该组织合作的大多数人都来自那里”。同时，他自称为一半保加利亚人、一半塞尔维亚人，还暗示了对激进保加利亚民族主义者的同情。 当被问及联系前BreachForums员工以了解他们可能在新地点就业时，这位Ransomed的领导者表示，他“不跟狗说话”。他非常详细地谈到了他是否害怕重蹈BreachForums负责人的命运的覆辙，原先的BreachForums的创始人Pompompurin目前正在美国接受调查，这得益于FBI的努力。 该网络黑客说道：“嗯，那是联邦调查局的工作，我并不因此而讨厌他们。至于如果落入FBI魔掌的话，我肯定会想办法自杀。何时何地并不重要。他们可以得到我的身体，但不能得到我。” 记者：你所说的保加利亚国籍有多少真实性？我个人认为你不是保加利亚人，甚至不是俄罗斯人。 Ransomed：我是保加利亚人，也是塞尔维亚人。我现在和将来都会为我们的祖国创造了类似的大师而感到自豪。 我们对”Pulpo”、”Creeper”、”Impotent”、”Kmeta”、”KmetaNaEvropa”和”Promise”等众多化名背后的人形成的印象是，这些化名是该网络黑客声称过去使用过的，记者在DataBreaches的@Dissent发布的故事/访谈中也发现了这些化名。 记者通过与他在Tox上的“聊天”，对他形成了这样一种看法：他一只脚踏在现实世界，一只脚踏在幻想世界。他是一个性格暧昧的人，有时试图用多重身份来掩饰自己的不安和恐惧，毫无疑问，他是一个强烈渴望被人看到的人，不仅不断追求经济上的幸福，也不断追求精神上的幸福。 坦率地说，记者很难相信他这几个月来在各种采访中所说的一切。相反，记者认为他的许多言论都“添加”了大量的想象力，但也许他所描述的就是他真心希望有一天会发生在自己身上的事情。 SuspectFile.com 对 Ransomed.vc 进行的采访 SuspectFile：新项目 Ransomed.vc 于 8 月 15 日正式启动，当天域名由位于大西洋和加勒比海之间的尼维斯岛上的 Njalla* 托管服务器注册： 1337 Services LLC – Charlestown, KN -（此信息将在另一个问题中再次讨论）。您是 Ransomed.vc 的所有者吗？您过去曾使用过哪些昵称？您过去曾是哪些论坛的所有者、管理员或版主？与 *Conor Brian Fitzpatrick (Pompompurin) 以前使用的提供商相同。 Ransomed.vc：是的，我记得他经常使用它。 SuspectFile：你曾经或现在与曾是 BreachForums 团队成员的人有什么联系（如果有的话）？ Ransomed.vc： 我不和狗说话。但有几个好人，比如 armadyl 和 dedale，他们都不傻，其他人只是浪费时间。 SuspectFile: Ransomed.vc 托管在 Tor 平台上。我们是否应该将其视为永久性解决方案，或者您是否计划在不久的将来回到原来的地方来管理一个新的论坛？ Ransomed.vc： 我认为这是我不与 njal.la. 对话的唯一途径。他们最近暂停了我们的域名。 SuspectFile：在你的博客上，你列出了几位受害者，其中我们想关注的是美国的 SFK，你提到他们与 Everest 勒索软件组织共享。你是否打算再次采取与其他组织积极合作的做法？ Ransomed.vc： 我们会一直寻求与任何组织合作。 SuspectFile：几个月前，在与 Everest 的一次谈话中，我们谈到了一个与你们最近几周创建的项目非常相似的新项目。Everest 一直被认为是一个团体，但实际上，”团体 “是由一个人组建的。Everest 提到了联盟计划以及与其他团体合作的可能性。我们是否可以说，你们已经掌握了 Everest 原始项目的所有权？ Ransomed.vc： 不，我自己的想法。 SuspectFile：在最近接受“每日暗网”（https://linktr.ee/dailydarkweb）的采访时，你表示你的组织目前由大约 80 名附属成员组成，从你的回答来看，你似乎并不是对受害者进行攻击的人。如果说你在 Ransomed.vc 内部只负责协调和管理，这是否正确？ Ransomed.vc： 是的，我对一些网站进行过攻击，但我现在太忙了，根本没时间看这些网站。 SuspectFile：在你们博客常见问题的第 2 点，你们规定了联属会员与你们沟通的方法，除英语外，还规定使用俄语。在第 9 点，你们禁止联属会员对俄罗斯和乌克兰实体发动攻击。自然可以推断出，你们既不是德国人，也不是意大利人。但是，如果有的话，你们在 X（推特）频道上将苏联（USSR）列为你们的所在地的动机是什么？ Ransomed.vc：和我共事或为我工作的大多数人都来自那里。当地联邦政府没必要在那里盯着我们。 SuspectFile：这几天，我们发现 BlackForums.net 论坛似乎也与你有关。该域名注册于 9 月 4 日，我们发现注册人联系人再次位于尼维斯岛上的城市查尔斯顿，就像 Ransomed.vc 一样。目前，该论坛的 URL 无法访问（502 坏网关，另一个 DDoS？），但我们可以看到该论坛的结构与 RansomForums 遭受 DDoS 攻击并随后关闭之前的结构非常相似。你们使用的是泄露的论坛数据库，如 BreachForums、Exposed 和 RaidForums，这种说法对吗？ Ransomed.vc： 它不是一个 ddos，只是一个被暂停的域名。 SuspectFile：你是否同意我们的说法，即最近一段时间，你的最新项目引起了执法机构，特别是联邦调查局和欧洲刑警组织的高度关注，你使用的供应商在短短几天内就关闭了你的账户就是证明？你是否担心自己很快就会遭遇像 Pompompurin 这样的黑客一样的命运？ Ransomed.vc：我猜这是他们的工作，我并不因此而讨厌他们。 我只是觉得他们不配活着。关于我落入 FBI 手中的问题，我总能找到自杀的方法。无论何时何地，所以他们可能会得到我的尸体，但不能得到我。 SuspectFile： 最后一个私人问题，当然你可以不回答：我们有机会与你交流了几天。您的包容和经常开玩笑的态度给我们留下了深刻的印象。然而，我们也在你的博客上读到了一些段落，其中对那些阅读你文章的人有一种轻微但明显的傲慢态度。您性格中的这些方面是代表了真实的自我，还是为了掩盖您这一行的人如果想在一天结束时 “完好无损地回家 “而应该始终怀有的恐惧和怀疑？ Ransomed.vc： 我的真实自我与我在这里所展示的面孔并不接近。在现实生活中，我没有那么咄咄逼人，也不会做我在网上做的任何事情。我过着美好而高品质的生活。 SuspectFile: 谁和你一起运行 ransomed.vc？如果你回答说你没有合作者，我们也不会感到惊讶，因为你更喜欢自己管理一切，而不是依赖某个你无法直接控制的人。 Ransomed.vc： 我就是运营 ransomed.vc 的人，没有其他人管理它。 SuspectFile：去年 8 月，DataBreaches.net 的 @Dissent 发表了一篇采访你的文章，在你的一条回复中，我们看到你说你会离开你的这份 “工作”，享受生活，你有过这样的想法吗？ Ransomed.vc： 我就快退休了。再干几年吧。 ...

Tor浏览器13.0现在可以从Tor浏览器下载页面和Tor项目的分发目录]中获取。 这是基于Firefox ESR 115的Tor浏览器的第一个稳定版本，它整合了一年来上游发布的变更。在此过程中，Tor项目的工作人员审查了Firefox的变更日志，以查找可能对Tor浏览器用户的隐私和安全产生负面影响的问题，并在必要时禁用任何有问题的补丁。 特别值得注意的是，Tor浏览器在过渡到Firefox ESR 115后获得了可访问性方面的改进。虽然眼尖的用户可能已经注意到用户界面的细微视觉变化（例如，内部链接现在带有下划线），但Tor 浏览器 13.0的第一个版本继承了Mozilla在Firefox 113中引入的重新设计的辅助功能引擎，显著提高了使用屏幕阅读器和其他辅助技术的人们的性能。 本次大版本更新的变化： 更新了应用程序图标 Tor项目的工作人员称，今年早些时候花了一些时间将Mullvad浏览器的图标艺术化，以创建支持其在各个平台发布所需的各种资源，包括符合各平台约定的应用程序、安装程序和文档图标。在了解每个平台的当前要求的同时，他们还发现了Tor浏览器存在一些差距，于是开始同时为Tor浏览器开发新图标。 需要指出的是，Tor浏览器目前的图标（有时被称为”洋葱标志”）是在四年多前通过社区投票选择的，以取代Tor浏览器8.5中的较旧的紫色和绿色地球。考虑到社区对其选择的参与度、网民的认可度以及大家仍然喜欢现有图标的简单事实，官方工作人员选择将焦点放在改进而不是完全替换它。 这样的工作背后的一个动机是不忘初心的理念，即保护隐私的产品不应该是纯粹的功利性，而还可以激发快乐。然而，也有实际的好处：遵循平台约定提供更好的一致性，可识别的应用程序和安装程序图标有助于防止用户错误，吸引新用户使每个人受益，因为匿名喜欢陪伴。 更新了主页 Tor项目的工作人员称，在过去的一年里，他们一直在重写Tor浏览器的后端，这提供了机会来重建一直没有改变的少数内部页面之一：主页（通常以内部引用“about:tor”）。Tor浏览器13.0的主页现在展示了新的应用程序图标、简化的设计以及通过切换到DuckDuckGo洋葱站点来“洋葱化”DuckDuckGo搜索的功能。继续改进浏览器可访问性的工作，重新设计的主页还为使用屏幕阅读器和其他辅助技术的用户提供了更好的支持。 现有的Tor浏览器用户可以庆幸的是，以前的主页会偶尔陷入的臭名昭著的“红屏”错误状态已经远去。在后端重写的过程中，删除了自动连接Tor网络的检查，该检查是旧版Tor启动器的保留，其中引导是由在浏览器界面出现之前运行的扩展处理的。由于在Tor浏览器10.5中引入的更紧密的tor集成和浏览器内引导体验，该检查背后的旧逻辑经常会失败，并在某些情况下向一些用户显示“红屏”，即使他们的连接正常。 官方表示，事实上，自从Tor浏览器10.5以来，其收到的关于默认tor配置下的用户看到“红屏”的所有报告都被证明是误报，导致了不必要的警报。尽管该检查对于运行非默认配置的用户来说仍然有用，但这样做的两个主要环境（Tails和Whonix）都没有使用“about:tor”作为默认的新选项卡或主页。对于其他人，其在重新设计的主页上添加了一个新横幅来代替红屏，以检查Tor是否已连接并按预期工作。 更新了大的窗口 旧的Tor浏览器窗口比较小，是为了避免指纹识别，但是从浏览器而言，新窗口应该更大，并且在Tor浏览器 13.0中，对于大多数桌面用户来说，应该以更有用的横向纵横比呈现。 在Tor浏览器 9.0中引入了字母装箱技术（Letterboxing），以允许用户调整浏览器窗口的大小，而无需担心根据内部内容窗口（有时被称为”视口”）舍入到200 x 100像素的倍数来调整浏览器窗口的大小，而不必担心被指纹识别。该技术的工作原理是将大多数用户的窗口大小分组到一系列常见的“存储桶”中，从而保护这些存储桶中的各个用户不被根据其窗口或屏幕大小挑选出来。 为了在打开新窗口时保留这些保护措施，旧版本的Tor浏览器覆盖了平台的默认设置，并会选择一个符合字母装箱步骤的尺寸，最大不超过1000 x 1000像素。然而，虽然在过去可能还好，但1000像素的最大宽度对于现代Web不再适用。例如，在许多新网站上，第一个响应式断点位于1000-1200像素的范围内，这意味着默认情况下，Tor浏览器用户将收到为平板电脑和移动设备设计的网站菜单和布局。或者，在某些网站上，用户将收到桌面版本，但会有水平滚动条的干扰。这自然会导致这些网站的用户需要手动展开每个新窗口才能使用。 为此，新版本的Tor浏览器将新窗口的最大尺寸提高到1400 x 900像素，并修改了字母装箱步骤以匹配。由于宽度的增加，Tor浏览器13.0中的桌面版本应该不再会在较大屏幕上触发响应式断点，而绝大多数桌面用户将看到与现代浏览器更为一致的横向纵横比。选择这个特定尺寸是通过分析数据来提供更大的新窗口空间，而不会超过它们的实用性。作为额外的好处，Tor浏览器用户不再需要像以前那样频繁地手动更改窗口大小，从而将更多的用户保持在默认桶中。 这是Tor浏览器 13.0的主要更新。这一版本包括一系列可访问性和用户体验的改进，以及更现代的应用程序图标和主页。这些变化旨在提高Tor浏览器的性能和可用性，使其更适合广大用户，尤其是使用屏幕阅读器和辅助技术的人们。新版本还解决了一些以往版本中的问题，例如”红屏”错误状态，同时改进了窗口大小和显示效果，以更好地适应现代Web。 用户可以从Tor浏览器下载页面或分发目录中获取Tor浏览器13.0，体验这些新功能和改进。...

Redis支持多种数据类型来表示集合 （Set），每种类型都具有不同的特点和适用场景。 以下是Redis支持的主要集合数据类型及其特点： 1、无序集合（Unordered Set）：无序集合使用SET数据类型来表示，它是一个无序的字符串集合。 特点：元素无序存储，不允许重复元素。 常见操作：添加元素、删除元素、检查元素是否存在、获取所有元素。 2、有序集合（Ordered Set）：有序集合使用ZSET数据类型来表示，它是一个有序的字符串集合，每个元素都关联一个分数（score），用于排序。 特点：元素按照分数进行排序，不允许重复元素。 常见操作：添加元素（指定分数）、删除元素、根据分数范围获取元素、按分数范围获取排名靠前的元素等。 3、集合（Set）：集合使用SET数据类型来表示，它是一个无序的字符串集合，但不允许重复元素。 特点：元素无序存储，不允许重复元素。 常见操作：添加元素、删除元素、检查元素是否存在、获取所有元素、集合运算（并集、交集、差集）。 4、哈希集合（Hash Set）：哈希集合使用HASH数据类型来表示，它是一个键值对的集合，每个键都映射到一个值。 特点：键值对存储，每个键都是唯一的。 常见操作：设置键值、获取键值、删除键值、检查键是否存在、获取所有键值对等。 ...

Redis是一个多功能的内存缓存和数据存储系统，适用于许多应用场景，其中一些主要的应用场景包括： 1、缓存：最常见的用途是用作高性能缓存层，以减轻数据库负载。它可以用于存储频繁访问的数据，如网页内容、会话状态、API调用结果等，以减少对后端数据存储的请求。 2、会话管理：Redis可用于管理用户会话状态，例如Web应用程序中的用户登录状态、购物车内容等。由于其快速的读写速度，适用于需要快速访问和更新的数据。 3、消息队列：Redis支持发布/订阅模式，可以用作轻量级的消息队列系统，用于异步任务处理、事件处理等。 4、计数器和排行榜：Redis的原子增减操作非常适合用于计数器和排行榜应用，如社交媒体的点赞数、阅读数、排名等。 5、实时分析：Redis的有序集合和位图数据结构使其成为实时分析和计数的理想工具，可用于记录用户活动、页面访问量等。 6、地理空间应用：Redis支持地理空间数据，可以用于构建地理位置应用，如附近的位置查找、位置跟踪等。 7、缓存预热：可以在系统启动时使用Redis加载缓存，以减少系统冷启动时的性能开销。 8、分布式锁：Redis可以用于实现分布式锁，确保多个客户端之间的协作和数据一致性。 9、任务队列：用作任务队列，用于管理和分发后台任务，如数据处理、图像处理等。 10、实时通知：通过发布/订阅模式，Redis可以用于实时通知和事件处理，如聊天应用程序、即时通讯等。 11、数据缓存：用作中间数据缓存，将数据从慢速数据存储（如磁盘数据库）加载到快速内存存储中。 12、在线游戏：Redis的低延迟和高吞吐量使其适用于在线游戏，用于处理游戏状态、玩家数据和实时通信。 13、物联网（IoT）应用：Redis可以用于处理物联网设备生成的大量实时数据，如传感器数据和设备状态。 14、存储临时数据：可以用来存储临时数据，如临时验证码、令牌等，以及其他临时数据需求。 ...

IPv6 地址不太可能用完。 IPv6采用了128位地址，这相当于2的128次方，也就是340万亿亿亿亿个地址。 这个数字几乎是地球上每个人都能拥有数百亿个地址的数量级。 实际上，IPv6的地址空间如此之大，以至于难以想象会耗尽。 相比之下，IPv4的32位地址空间只能支持大约43亿个地址。 由于互联网的爆炸性增长，IPv4的地址已经枯竭，这迫使引入了各种技术，如网络地址转换（NAT），以在有限的地址下支持更多设备。 IPv6的设计不仅仅是为了解决地址枯竭问题，还考虑了未来的互联网需求，包括大规模的物联网设备和智能城市。 它提供了更多的地址以支持这些新兴应用。 此外，IPv6还引入了一些新功能，如改进的网络性能、安全性和移动性，这些功能将为用户带来巨大好处。 ...

IPv6采用了128位地址，相比IPv4的32位地址，拥有更广泛的地址空间。 理论上，IPv6支持多达340亿亿亿亿个唯一地址，这个数字足够庞大，足以满足未来数十年内的设备增长需求。 即便考虑到地址空间的某些部分保留供特殊用途，IPv6的可用地址数量仍然是庞大的。 另一个IPv6的亮点是其灵活的地址分配方法。 网络运营商可以获得大型地址块，以满足其大规模部署的需求，而小型企业和家庭用户也可以获得足够的地址，以支持其未来的扩展计划。 这种分配方法的灵活性确保了地址资源的合理分配和可持续性。 此外，IPv6引入了预留地址范围，以满足各种特殊需求。 例如，有一种地址范围用于私有网络（ULA），另一种用于环回测试。 这些预留地址范围使网络管理员能够更好地管理地址分配，同时确保了全球范围内的唯一性。 相较于IPv4，IPv6减少了对网络地址转换（NAT）的依赖。 IPv6的地址空间足够大，不再需要频繁使用NAT来解决地址不足的问题，这有助于简化网络结构，提高网络性能。 IPv6的设计考虑了未来互联网的需求，包括支持物联网（IoT）和智能设备的不断增长。 这意味着IPv6具备了未来的可扩展性，可以适应新兴技术的快速发展。 ...

特点 IPv4 IPv6 基本性能 32位地址 128位地址 数据包大小 需要576字节，可选分段 需要1280字节，可选分段 配置性能 必须手动配置和安装 基本配置可选，功能取决于需求 网络性能 需要手动建立基本网络结构或使用DHCP 自动配置，减少基本网络结构的需求 碎片测试和性能 分段机制使用标准传输和转发路由 传输过程用于分片实现和改进 移动性能 基本网络拓扑，限制移动性和互操作性 提供嵌入式互操作性和移动性功能 安全性和性能 缺乏内部安全层，依赖于应用程序 内置Internet协议安全（IPSec），更安全 支持和性能升级 大型社区和文档库支持 最活跃的社区之一，广泛支持IPv6 路由性能 支持多种路由协议 缺乏特定路由协议支持，依赖静态路由 高级功能性能 NAT设备用于地址转换，增强端到端完整性 更多可用地址空间，实现直接寻址过程 速度 更大标头，但简化结构，更快的传输 直接连接，更快的传输，TCP级别验证 校验和 有校验和 没有校验和 组播支持 ✔ ✔ 广播支持 ✔ ✘ DNS记录 指针 (PTR) 记录、IN-ADDR.ARPA DNS 域 指针 (PTR) 记录、IP6.ARPA DNS 域 本地子网组管理 互联网组管理协议 (IGMP) 组播侦听器发现 (MLD) IP 转 MAC 解决方案 广播ARP 多播邻居请求 ...

IPv6的优点 更多唯一地址：IPv6的128位地址提供了比IPv4多得多的地址空间，可以为每个设备分配一个唯一的IP地址。这解决了IPv4中地址枯竭的问题，使得支持大规模互联网连接成为可能。 新设备支持：IPv6是一种现代的协议，旨在适应新设备的连接需求。它更适合支持未来的物联网（IoT）设备和智能家居设备等新兴技术。 没有子网划分问题：IPv6引入了更灵活的地址分配方法，消除了IPv4中的子网划分问题。这使得网络管理更加简化，减少了资源浪费。 IPv6的缺点 较长的地址：IPv6地址比IPv4地址长得多，这可能使得地址难以记忆。IPv6地址通常以冒号分隔的八组四位十六进制数表示，例如：2001:0db8:85a3:0000:0000:8a2e:0370:7334。 尚未得到所有网站的支持：尽管IPv6得到了广泛的支持，但并不是所有网站和互联网服务都已经完全支持IPv6。这可能导致在IPv6-only网络上访问某些IPv4-only的内容时需要进行协议转换或代理。 可能存在系统问题：一些旧版操作系统和网络设备可能存在与IPv6的兼容性问题。尤其是在升级到IPv6时，可能需要额外的配置和测试，以确保一切正常运行。 ...

开源免费，适合中小型公司将代码放置在该系统中 差异化的版本管理，离线同步以及强大单独分支管理功能 便捷的GUI操作界面以及强大的账户权限管理功能 集成度很高，能够集成绝大多数的开发工具 支持内置HA，保证在高并发下仍旧实现高可用性 ...

buntu 23.10 “Mantic Minotaur” 再度亮相，搭载了 GNOME 45，以及众多引人瞩目的升级。 又一次，一如既往的一年一度，我们迎来全新的 Ubuntu 发布！ 这次发布的版本是 Ubuntu 23.10，这不是一个长期支持（LTS）版本，它的代号是 “Mantic Minotaur” （预言牛头人）。 非 LTS 版本更偏向于满足那些想要获取到 Ubuntu 最新以及最出众特性的用户。 对于那些希望长时间坚守一个版本的用户，我们建议使用 LTS 版本，比如 Ubuntu 20.04和Ubuntu 22.04。 总之，让我们深入了解这次发布的新版本，去发现其中的亮点。 ? Ubuntu 23.10 将会 提供九个月的支持，一直到 2024 年 7 月为止。 ⭐ Ubuntu 23.10：新版调整了什么？ 即使这是一个非 LTS 发布，但是 Ubuntu 23.10 却包含了许多有趣的新特性和升级。 一些主要亮点包括： 更新升级的安装程序 受限的非特权用户命名空间 GNOME 45 全新的壁纸 基于 Flutter 的应用商店 Linux 内核 6.5 更新升级的安装程序 首先，Ubuntu 23.10 的安装程序 开始实验性地支持两大重要功能： 其一是 TPM 支持的全盘加密（FDE），这意味着采用全新的加密机制。它将与你主板上的 TPM 芯片协同运作。 其二是期待已久的 ZFS 支持再次回归到安装程序中，它在Ubuntu 23.04被移除。 ? 更广泛的 TPM 支持的全盘加密硬件支持将在 Ubuntu 24.04 LTS 中推出。 受限的非特权用户命名空间 Ubuntu 23.10 首次推出一项新的安全功能。它限制了内核的 “非特权用户命名空间” 特性，这有助于应用程序创建更安全的沙箱环境。 这个特性很有用，那为什么要限制它呢? 原因在于，这个内核特性可能被攻击者利用。 为了消除与这个特性相关的风险，AppArmor将被用于有选择地允许/禁止非特权用户命名空间。 这个安全特性默认是关闭的，但可以通过命令行选择开启。Canonical 将搜集用户反馈，然后可能决定通过更新将其设为默认。 GNOME 45 Ubuntu 23.10 提供了最新发布的 GNOME 45桌面环境，它包括了优化过的系统设置应用、更新的核心应用，并新增了两个应用，名为放大镜Loupe 和快照Snapshot。 新的 药丸形工作空间指示器也在这次发布中首次亮相，虽然不是每个人都会喜欢。 新的壁纸 Ubuntu 23.10 版本发布，也不忘继续传统，推出了全新的壁纸，这些壁纸主题都与其代号保持一致。所有壁纸看起来都非常不错，这些都是从几个月前举行的 Mantic Minotaur壁纸比赛中被选中的。 你可以通过 官方博客查找更多有关这些极酷壁纸的信息。 ? 我个人特别喜欢 “Bodacious Bovine” 的浅色/深色版本。 基于 Flutter 的应用商店 得益于在 Ubuntu 23.10 上推出了 全新的 基于 Flutter 的商店，Canonical 推将 Ubuntu 各种元素 Flutter 化的努力见到了效果。这个新商店拥有更新的布局、全新的应用视图，以及更好的搜索功能。 你在其中可以找到 Snap 和 Deb 包。 Linux 内核 6.5 首先，让我们来了解下让一切变为可能的原动力。Ubuntu 23.10 版本采用了相对更新的 Linux 内核 6.5。 这一特性让 Ubuntu 能够使用到一些新的硬件支持，如 Wi-Fi 7、USB4、针对 AMD FreeSync 视频的即插即用支持，以及对 AMD Radeon RX 7000 系列显卡的超频支持等。 ?️ 其他变动 除了之前提到的特性，还有一些其他值得注意的变动： 支持最新发布的 树莓派 5和HiFive Pro P550。 为 PPA 提供增强的安全性。 对 Rust 的支持进一步增强。 加入了 Shotwell 0.32。 推出了全新升级的平铺辅助工具。 ...

Github分布式在线代码托管仓库，个人版本可直接在线免费使用，企业版本收费且需要服务器安装。 GitLab分布式在线代码仓库托管仓库软件，分社区免费版和企业收费版本，都需要服务器安装。 ...

支持金丝雀部署,蓝绿部署等 支持网关高度定制化场景,类似原生nginx一样所有参数可配置 提供七层流量处理能力与丰富的高级路由功能。 强大的路由功能 基于内容、源IP的路由。 支持HTTP标头改写、重定向、重写、限速、跨域、会话保持等。 支持请求方向转发规则和响应方向转发规则，其中响应方向转发规则可以通过扩展Snippet配置实现。 支持HTTP,HTTPS,WebSocket,WSS和gRPC等协议 非证书变更时可支持配置的热更新 具有较好的可观测能力 支持通过Access Log采集日志。 支持通过Prometheus进行监控和告警配置 较好的运维能力.自行维护组件,可配置HPA进行扩缩容等 良好的服务治理能力 服务发现支持K8s。 服务灰度支持金丝雀。 服务高可用支持限流。 ...

在Kubernetes集群中，Ingress作为集群内服务对外暴露的访问接入点，其几乎承载着集群内服务访问的所有流量。 Ingress是Kubernetes中的一个资源对象，用来管理集群外部访问集群内部服务的方式。 我们可以通过Ingress资源来配置不同的转发规则，从而达到根据不同的规则设置访问集群内不同的Service所对应的后端Pod。 ...

Linux Mint 背后的人们一直在努力推出主要版本，例如 Linux Mint 21.2和LMDE 6。 一系列的发布似乎并没有停止，因为我们现在以 “Linux Mint 21.2 Edge” 的形式得到了另一个版本。 请允许我告诉你更多相关信息。 Linux Mint 21.2 Edge：可以期待什么？ Linux Mint 21.2 Edge 采用 Linux 内核 6.2，为那些希望运行较新硬件而不喜欢Linux 内核 5.15LTS（常规 Linux Mint 21.2 版本的特性）的用户量身定制。 现在对于 Intel Arc 显卡用户来说绝对是一个不错的 Linux 发行版选择！ 如果你对 “Edge” ISO 感到好奇，请参阅文档： 除了常规 ISO 镜像之外，Linux Mint 有时还会为其最新版本提供 “Edge” ISO 镜像。该镜像附带更新的组件，能够支持最现代的硬件芯片组和设备。 此外，此 ISO 还恢复了对安全启动的支持。对于那些想要它的人来说，这应该是一个有用的附加组件。 不要忘记，Linux Mint 21.2 Edge 仅提供 “Cinnamon” 风格桌面，没有任何 XFCE 或 MATE 风格。 不过，除了更新的硬件支持之外，与常规版本相比，使用 Edge 版本时你不会发现任何差异。 ...

Security Affairs 网站披露，IBM X-Force 研究人员发现威胁攻击者正在利用 Citrix NetScaler 网关存在的CVE-2023-3519 漏洞（CVSS评分：9.8），开展大规模的凭证收集活动。 2023 年 7 月底，Citrix 警告客户 NetScaler 应用交付控制器（ADC）和网关中存在的 CVE-2023-3519 漏洞正在被恶意利用。据悉，该漏洞是一个代码注入漏洞，可导致未经验证的远程代码执行。 美国网络安全和基础设施安全局（CISA）也曾针对 CVE-2023-3519 发出过警示。CISA 透露威胁攻击者正在利用该漏洞在易受攻击的系统上投放 Web 外壳，其目标可能是部署在关键基础设施组织网络中的 NetScaler ADC 设备。 一个月后，非营利组织 Shadowserver Foundation 安全研究人员指出数百台 Citrix Netscaler ADC 和网关服务器已被网络攻击者破坏。 威胁攻击者正在“积极”利用漏洞 X-Force 在为一个客户端进行事件响应活动时发现上述网络攻击活动。客户端报告称在 NetScaler 安装时身份验证缓慢，攻击者利用该漏洞将恶意 Javascript 注入设备“index.html”登录页。 此后，X-Force 在发布的报告中表示附加到合法 "index.html "文件的脚本会加载一个额外远程 JavaScript 文件，该文件会将一个函数附加到 VPN 身份验证页面中的 "登录 "元素，该函数则会收集用户名和密码信息，并在身份验证期间将其发送到远程服务器。 值得一提的是，攻击链从威胁攻击者向"/gwtest/formssso? event=start&target="发送网络请求时便已经开始了，触发 CVE-2023-3519 漏洞后，在 /netscaler/ns_gui/vpn 写入一个简单的 PHP web shell，一旦受害目标设备部署了 PHP web shell，攻击者就会检索设备上 "ns.conf "文件的内容。 然后，攻击者在 "index.html "中添加自定义 HTML 代码，该代码引用了托管在攻击者控制的基础架构上的远程 JavaScript 文件。 附加到 "index.html "的 JavaScript 代码检索并执行后，会将一个自定义函数附加到身份验证页面上的 "Log_On "按钮，恶意代码随及就能够收集身份验证表单中的数据（包括凭据），并通过 HTTP POST 方法将其发送到远程主机。 X-Force 安全研究人员发现本次网络攻击活动中还使用了多个域名，这些域名分别于 8 月 5 日、6 日和 14 日注册，并利用 Cloudflare 掩盖了域名的托管地。在安全研究人员确定威胁攻击者使用的 C2 基础设施后，确定了近 600 个唯一的受害者 IP 地址，这些地址托管着修改过的 NetScaler Gateway 登录页面。 分析显示，大多数受害者分布在美国和欧洲地区，虽然目前研究人员无法将这一活动与任何已知威胁组织联系起来，但已经提取到了入侵指标（IoCs）。 文章来源： https://securityaffairs.com/152199/hacking/citrix-netscaler-credential-harvesting-campaign.html?_gl=1*om0nuo*_ga*NjYyNDMxOTU5LjE2MzU5OTc2MDM.*_ga_NPN4VEKBTY*MTY5NjkwMjg5Ny4xNDYuMC4xNjk2OTAyODk3LjYwLjAuMA..*_ga_8ZWTX5HC4Z*MTY5NjkwMjg5OC4xMjcuMC4xNjk2OTAyODk4LjAuMC4w&_ga=2.237611651.246524512.1696747860-662431959.1635997603 ...

数字化转型浪潮下，为紧跟时代步伐，谋求智能化、高效率发展，各企业“囤积”大量数据资产。这些资产助力企业快速转型同时，蕴藏了大量数据安全风险，特别是工业和信息化领域的企业，生产经营高度依赖智能化设备，一旦出现数据安全问题，势必影响企业良好运转。 因此，目前很多工业和信息化领域的企业都在谋求开展数据安全风险评估工作，但如何开展数据安全风险评估也是许多企业发展的“痛点”。 在这种情况下，工业和信息化部在贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法（试行）》，指导地方行业主管部门、工业和信息化领域数据处理者规范开展风险评估工作的纲领下，研究起草了《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》。 明确数据处理者职责和数据安全管理机构 《征求意见稿》第三条指出工业和信息化部统一管理、监督和指导工业和信息化领域数据安全风险评估工作，组织开展相关评估标准制修订及推广应用。其余各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门，各省、自治区、直辖市通信管理局和无线电管理机构依据职责分别负责监督管理本地区工业、电信、无线电重要数据和核心数据处理者开展数据安全风险评估工作。 对于企业重要数据资产，征求意见稿》第五条和第四条明确要求重要数据和核心数据处理者按照应当按照国家法律法规、行业监管部门有关规定以及评估标准，对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素，及时、客观、有效的原则开展数据安全风险评估，形成真实、完整、准确的评估报告，并对评估结果负责。 数据处理者开展数据安全风险评估的准则 数据安全风险评估工作复杂多变，涉及部门众多，数据处理者很难轻易做到完全独立做好数据安全风险评估工作。《征求意见稿》第七条中表示重要数据和核心数据处理者可以自行或者委托具有工业和信息化数据安全工作经验的第三方评估机构开展评估，评估过程应当建立至少包括组织管理、业务运营、技术保障、安全合规等人员的专业化评估团队，制定完备的评估工作方案，配备有效的技术评测工具。 对于数据安全风险评估过程中可能存在的安全隐患，数据处理者要做好准备，及时采取适当措施消除或降低风险隐患。注意，《征求意见稿》强调在评估工作完成后的 10 个工作日内，应当立刻向本地区行业监管部门报送或更新评估报告。 此外，《征求意见稿》第六条同时提出了重要数据的评估期限，规定重要数据和核心数据处理者每年完成至少一次数据安全风险评估，并形成评估报告。数据安全风险评估结果有效期为一年，自评估报告首次出具之日起计算。在评估有效期出现涉及重要数据、核心数据的安全事件等情况时，要重新开展数据安全风险评估工作。 相关部门做好数据安全风险报告评估及监管 对于数据处理者提交的数据安全风险评估报告，《征求意见稿》第十一条提出行业监管部门根据管理需要，自行或委托专业机构对评估报告进行审核，发现不符合国家及行业有关规定和标准的，通知重要数据和核心数据处理者改正。涉及跨境提供、转移、委托处理重要数据和核心数据的，或者跨主体提供、转移、委托处理核心数据的，地方行业监管部门对评估报告审查后，报工业和信息化部，工业和信息化部按照国家有关规定进行复核。 行业监管部门对于违反国家认证认可相关规定的认证机构，将相关线索移交市场监督管理部门处理。行业监管部门对第三方评估机构的评估活动进行监督管理，对违反法律法规、未按行业规定和标准开展评估活动、未履行保密义务的第三方评估机构，视情按照规定权限和程序进行约谈、通报或指导相关认证机构撤销认证。 最后，《征求意见稿》第十六条和第十七条对涉密做出了明确要求，规定行业监管部门及委托支撑机构的工作人员对在履行职责中知悉的国家秘密、商业秘密、个人信息、评估工作信息等，负有保密义务。对于涉及军事、国家秘密信息等数据处理活动，按照国家有关规定执行。 附件全文：工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）.doc ...

总部位于加利福尼亚州的网络安全公司Resecurity发现了一个全新的暗网市场“InTheBox”（盒子里），为移动恶意软件开发者和运营者提供服务。 “InTheBox”暗网市场 据Resecurity的网络安全研究人员称，至少自2020年5月初以来，TOR网络上的诈骗者和网络犯罪分子就可以使用名为“InTheBox”的新市场。 从那时起，“InTheBox”背后的参与者就私下为其他网络犯罪分子提供网络注入开发服务，但在获得足够的可信度后，该参与者将其扩展到完全产品化的自动化市场。自动化允许其他不良行为者创建订单来接收最新的网络注入，以便进一步实施到移动恶意软件中。对于那些使用专有（或所谓的“私有”）的人来说，移动恶意软件并未广泛出售或出租，因为“InTheBox”正在提供定制开发解决方案。 该市场已发展成为一个成熟的网络犯罪服务促进者，并已成为暗网上最大的出售此类工具的市场，因为有许多独特的工具和网络注入插件可供出售。网络犯罪分子可以利用这些工具进行网上银行和金融欺诈，包括盗窃。 网络注入可以做什么 网络注入（“Webinjects”）类似于“浏览器中间人”攻击。不同之处在于，这些攻击以前使用SpyEye、Zeus和Gozi等恶意软件在个人电脑上进行，而威胁行为者现在已经学会将相同的方法应用于手机等移动设备。 值得一提的是，几乎所有这些都可以用于拦截受害者在使用除网上银行之外的移动设备时可能尝试访问的任何服务的凭证。然后，恶意行为者可能将从所述设备窃取的数据用于任何恶意目的。为了促进成功的凭据拦截，恶意行为者使用所谓的“Webinjects”——恶意软件中使用的自定义模块或数据包，通常会在内容呈现在Web浏览器上之前将HTML或JavaScript代码注入到内容中。因此，webinject可以改变用户在他/她的浏览器上看到的内容，而不是服务器实际上发送的内容。 通常，恶意软件开发人员使用这种方法设计代码来拦截受害者的凭据，这种方法实际上在视觉上看起来完全不可见，因为webinject将解释来自流行服务的合法页面的相同设计。从技术上讲，银行盗窃的成功率取决于网络注入的质量和移动恶意软件的稳定性。在过去的几年里，手机银行恶意软件市场变得非常成熟，大多数暗网参与者不再出售它，而是转而潜在地出租或私下使用它。 由于数字支付与移动应用程序相互关联，网络注入程序可成功提取敏感的金融数据。网络注入可以集成到移动恶意软件中，以拦截银行凭证、社交媒体登录详细信息、支付系统、电子邮件凭证等。 这还不是全部。这些工具还可以收集敏感数据，如信用卡信息、电话号码、个人身份信息和地址。 “InTheBox”暗网市场的严重危害 目前，该暗网市场上有超过1849个恶意工具可供销售，专门针对至少45个国家/地区的主要电子商务和金融机构、支付系统、社交媒体公司和在线零售商。 其中包括英国、美国、巴西、加拿大、哥伦比亚、沙特阿拉伯、墨西哥、巴林、新加坡和土耳其。网络犯罪分子已经将花旗银行、亚马逊、美国银行、PayPal、星展银行、富国银行等知名机构作为目标。2022年11月，他们对该网络注入程序进行了144次更新，以提高其效率和视觉效果。 毫无疑问，“InTheBox”暗网市场可能被称为暗网市场中最大的，也可能是唯一一个为流行类型的移动支付软件提供高质量网络注入的恶意软件的市场。 “InTheBox”背后的团队以每月100美元的超低价格提供网络注入程序，并提供“Unlim”专业级别，允许购买者以2475美元和5888美元的价格生成无限数量的网络注入程序，具体价格取决于其支持的木马。 该市场为各种移动恶意软件系列提供了不同的网络注入模板，这些模板可以单独使用或组合使用以成功执行数据盗窃： 模板“授权数据” 模板“仅询问 PIN” 模板“带有信用卡数据” 模板“包含信用卡数据 + ATM PIN 码” 模板“询问完整数据” “InTheBox”暗网市场背后的运营者 市场运营者与主要移动恶意软件系列的开发者有着密切的联系，例如Ermac、Cerberus、Octopus aka Octo、Hydra、MetaDroid和Alien等主要移动恶意软件。运营“InTheBox”的威胁行为者拥有按地域分类的网络注入程序，不良行为者可以购买这些程序发动攻击。 Resecurity研究人员在他们的博客文章中写道：“自动化允许其他不良行为者创建订单，接收最新的网络注入程序，以便进一步实施到移动恶意软件中。” “InTheBox”暗网市场的管理员的Telegram：@inthebox7，目前的签名是其推广“InTheBox”的明网地址：InTheBox Links。 “InTheBox”暗网市场的新旧地址 “暗网下/AWX”经过对暗网的全局搜索，发现“InTheBox”暗网市场的以下2个暗网V3洋葱域名，是不是诈骗尚不清楚，请勿使用以下网址进行支付购买，请勿用于犯罪用途。 “InTheBox”暗网市场之前的暗网地址： http://*******************************************************************.onion/ “InTheBox”暗网市场新的暗网地址： http://*******************************************************************.onion/ “InTheBox”暗网市场的明网镜像地址： https://injs.me/ 以上网址仅用于网络犯罪研究与调查，请勿用于非法用途，否则必将受到全球法律制裁。 更多暗网新闻动态，请关注“暗网下/AWX”。...

卡巴斯基数字足迹情报专家在影子互联网——暗网上发现了一系列似乎在出售对恶意人工智能工具“WormGPT”的虚假访问权限的网站。这些网站具有类似网络钓鱼的特征，包括不同的设计、定价、支付货币，有些网站需要预付款才能访问试用版。这一趋势虽然不会对用户构成直接威胁，但凸显了GPT模型的黑帽替代品的日益流行，并强调了对强大网络安全解决方案的需求。 网络犯罪社区已经开始利用人工智能功能来帮助他们的业务，暗网目前提供了一系列专为黑客目的而设计的语言模型，例如BEC（商业电子邮件泄露）、恶意软件创建、网络钓鱼攻击等。其中一个模型是“WormGPT”，它是“ChatGPT”的一个版本，与合法版本的“ChatGPT”不同，它缺乏特定的限制，使其成为网络犯罪分子实施攻击（例如BEC商业电子邮件泄露）的有效工具。 网络钓鱼者和诈骗者经常利用某些产品和品牌的知名度进行诈骗，“WormGPT”也不例外。在暗网论坛和非法的Telegram频道中，卡巴斯基专家发现了一些网站和广告，这些网站和广告号称提供对这个恶意AI工具的访问权限，并以其他网络犯罪分子为目标，但是这些网站和广告显然是钓鱼网站。 这些网站在多个方面存在显着差异，并且被设计为典型的网络钓鱼页面。他们有不同的设计和定价。支付方式也各不相同，从WormGPT作者最初提出的加密货币，到信用卡和银行转账。 “在暗网中，不可能绝对肯定地分辨出恶意资源还是靠谱资源。然而，有许多间接证据表明，所发现的网站确实是网络钓鱼网页。众所周知，网络犯罪分子经常互相欺骗。然而，最近的网络钓鱼尝试可能表明这些恶意人工智能工具在网络犯罪社区中的流行程度。卡巴斯基公司数字足迹分析师Alisa Kulishenko解释说：“这些模型在一定程度上促进了攻击的自动化，从而强调了可信网络安全解决方案的日益重要性。” 自“WormGPT”以来，许多类似的产品已在暗网社区中传播，其中包括“FraudGPT”，该威胁行为者声称自己是经过验证的供应商，将其宣传为“没有限制、规则和边界的机器人”。地下暗网市场，包括Empire、WHM、Torrez、World、AlphaBay和Versus。8月，基于Google Bard的DarkBART和DarkBERT网络犯罪聊天机器人出现，当时的研究人员表示，这代表了对抗性人工智能的重大飞跃，包括用于图像的Google Lens集成以及对整个网络地下网络的即时访问知识库。 为了避免与网络犯罪分子在暗网这个互联网阴影部分的活动相关的威胁，值得实施以下安全措施： 使用威胁情报产品，例如卡巴斯基数字足迹智能，以帮助安全分析人员探索对手对其公司资源的看法，并及时发现其潜在的攻击载体。这还有助于提高对网络犯罪分子现有威胁的认识，以便相应地调整防御措施或及时采取应对和消除措施。 选择可靠的端点安全解决方案，例如卡巴斯基网络安全解决方案企业版，它配备了基于行为的检测和异常控制功能，可有效防范已知和未知威胁。 使用安全响应的专用服务，可以帮助抵御引人注目的网络攻击，例如卡巴斯基托管检测和响应服务可以在入侵者达到目的之前，帮助在入侵的早期阶段识别并阻止入侵。如果遇到事件，卡巴斯基事件响应服务将帮助您做出响应并将后果降到最低，例如识别被入侵的节点并保护基础设施在未来免受类似攻击。...