看标题是不是觉得绕口，那也没辙。有件事说下：在2023年支付宝合作伙伴大会上，支付宝宣布推出了全新国际版支付宝了! 这场大会卢松松有幸参加，也见证了国际版支付宝的发布。这个全新国际版支付宝主要解决了日常消费如打车、订酒店、吃饭结账、景点购票的问题。支持主流的国际卡如Visa、Mastercard、Diners Club、Discover、JCB等。而且费率还降低了很多。 从目前解决的问题来看，国际支付宝好像还没走出国外，只是解决了老外在国内消费的问题，跟我们关系不大，不过这也是一个大进步了。 这次全新国际版支付宝升级我觉得主要是政策性产品，是面向老外的。这几年老外来中国旅游的人越来越少，而且逐年下降。我觉得最大的一个原因是：支付不方便，做公交、打电话、埋单、订的酒店啥的欧非常不方便。甚至老外连做个公交车都费劲。因为因为老外在国内消费非常不方便，所以这里并不是老外旅游的首选目的地。 另外，就算是支付方便了，有一些问题也要解决比如信用。 另一件事我觉得也能解决：那就是做跨境的人银行卡经常被冻结的问题。国际版支付宝可以在一定程度上解决银行卡经常被冻结的问题，我们很多正经做跨境电商的人的银行卡经常被封，原因就是因为一些不能说的原因老被封。短则1个月，长则1年，严重的还会面临行政罚款或刑事处罚，严重影响了海外电商人的生意和信心。 部分老外用国际版支付宝了、国内的卖家也开始让用其收款了。那未来和PayPa就差不多了。 如果支付宝在多多公关一下，让一些一些主流的电商网站，如shopee、Amazon、Lazada、eBay等都支持国际版支付宝收款的话，那么支付宝在海外也将迎来春天。只是这几年受一些因素影响太大了，一直走不出去。...

1 APT组织相关背景介绍 1.1 响尾蛇组织相关背景介绍 响尾蛇组织， 又称Sidewinder、APT-C-17、T-APT-04，是一个来自于南亚地区的境外APT组织。该组织主要针对中国、巴基斯坦、尼泊尔、斯里兰卡等亚洲地区国家进行网络间谍活动，主要针对高校，新闻，金融，媒体，政府和电信公司进行攻击，以窃取敏感信息为主要目标。该组织的相关攻击活动最早可以追溯到2012年，至今还非常活跃，大多数行动是对巴基斯坦进行攻击，窃取机密信息。 1.2 响尾蛇组织攻击过程 该组织将攻击过程分解成多个阶段，有多次网络下载过程，且连接的C2会检查访问IP所属国家，只允许本次的攻击目标所属国家的IP进行访问，另一方面，为了躲避安全软件的查杀，关键的恶意程序只在内存中执行，最终的远控程序落地为加密数据的形式，需要加载器解密后才执行。 另外响尾蛇组织也会使用开源工具进行攻击活动，在C2的网络特征，域名构造方式有很大的关联性，整体攻击过程比较简单，最终用DLL侧加载的方式在内存中解密执行Cobalt Strike的beacon载荷，实现对用户机器的控制。 此外响尾蛇组织还对Android手机用户进行攻击，通过Google Play散发恶意apk安装包，窃取目标手机中的隐私信息和机密文件。 1.3 响尾蛇组织打点技巧 在响尾蛇组织的相关攻击活动中，该组织伪造发件人邮箱，通过伪造正常的“学院通知”、“政府通知文件”、“热点事件”、“新奇事情（如：暗网数据泄露）”等相关邮件，诱导目标点击其投递的恶意链接或恶意附件，或者伪造政府邮箱登录页面，盗取合法邮箱发送钓鱼邮件。 2 涉及组件详细分析 2.1 DocxDownloader钓鱼组件 响尾蛇组织最常用的鱼叉式钓鱼组件，以抓眼的标题和相关单位的官方文件，在用户打开文档后，机器在不知不觉中被入侵。捕获的部分钓鱼文件如下表： 组件md5 名称 URL 首次上传到VT时间 056d1dc3032d04d7638c02056d5146c9 Circular 31082022.docx https://mo***gov.com/5724/1/3268/2/0/0/0/m/files-11e30891/file.rtf 2022-09-15 10:35:46 UTC b7e63b7247be18cdfb36c1f3200c1dba Product.docx https://cst***.dowmload.net/14668/1/1228/2/0/0/0/m/files-403a1120/file.rtf 2023-03-10 05:14:05 UTC 5efddbdcf40ba01f1571140bad72dccb Leakage of Sensitive Data on Dark Web.docx https://mt***south.org/5974/1/8682/2/0/0/0/m/files-b2dff0ca/file.rtf 2023-03-10 05:21:10 UTC 该组件中会包含一个RTF远程模板的链接，在文档打开时，会自动下载并执行该RTF模板。 打开时会闪过正在下载界面。 2.2 RtfDropper释放器组件 在响尾蛇的历史攻击事件中，rtfdropper组件的使用率非常高，通常文件名为file.rtf，做为docx钓鱼文档的第二阶段载荷，该组件利用office的公式编辑器漏洞CVE-2017-11882，执行释放的javascript脚本文件。 描述 详细信息 名称 file.rtf 文件大小 73294 bytes 文件类型 Rtf 文件功能 Downloader 编译时间 / 开发平台及语言 office Pdb / 是否加壳 否 VT首次上传时间 2022-05-26 18:02:22 UTC md5 54b1157ce8045f2e83340dc5d756f412 sha256 8b4259cb1619bcbf3f6760f0982d0a1d3c67aa26738a3d6f6788bf6c2a5410e5 通过rtfdump分析，可以发现该组件中嵌入了一个1.a文件（javascript脚本文件，文件名是响尾蛇组织固定使用的）和一个Equation.3结构（用于触发公式编辑器漏洞）。 该组件被执行后，公式编辑器在解析Equation.3时，在漏洞函数sub_41160F中数据复制时发生栈溢出，从而导致该函数的返回地址被改写，去执行响尾蛇组织的shellcode。 在shellcode中使用GetCommandLine，然后修改其返回指针指向的内容 解密出一段js脚本并覆盖GetCommandLine返回指针指向的内容。 最后加载mshtml和获取RunHTMLApplication的地址，调用RunHTMLApplication。 RunHTMLApplication给予4个0作为参数，触发RunHTMLApplication去调用GetCommandLine。 因为第一次调用GetCommandLine会从peb中复制一个命令行参数字符串存储在另一个空间中，在这之后GetCommandLine管理这个空间，由于第一次调用是修改了内容，覆盖为js脚本，所以在RunHTMLApplication中的GetCommandLine会得到这个脚本，又因为RunHTMLApplication的流程会去解析这个字符串，被“javascript：”引导去执行js脚本，最后调用CHTMLApp::Run执行js。而这一小段js脚本的作用就是执行1.a脚本文件。 2.3 LnkDownloader钓鱼组件 LnkDownloader是响尾蛇组织最常用的鱼叉式钓鱼攻击的组件之一，经过改进，从利用lnk文件属性中的显示bug隐藏实际的mshta调用，最后变为复制系统的mshta重命名为随机字符再去执行下载。 描述 详细信息 名称 BGI-14.pdf.lnk 文件大小 2217 bytes 文件类型 LNK 文件功能 Downloader 编译时间 / 开发平台及语言 / Pdb / 是否加壳 否 VT首次上传时间 2021-01-02 03:07:30 UTC md5 fa10f48243ea40298e0fa07787e4156c sha256 29022eab3963a624ae886a6f17f94834cb3e55377e0d32a4ad365af83bf74d74 当sLinkFilags中的HasExpString为1时，执行LNK文件会去检查EnviromentVariableDataBlock下的TargetUnicode的文件是否存在，不存在就去检查LinkTargetIDList指向的文件是否存在，存在就执行。LinkTargetIDList的最后一个sIDList中的PrimaryName被设置为hsmta.exe是为了维持HasExpString值不变，因为在检查出EnviromentVariableDataBlock中的TargetUnicode指向的文件不存在时被设置为0。 最后的效果是显示为hsmta.exe来误导用户。   描述 详细信息 名称 ***关于11月22日起工作安排调整的通知.docx.lnk 文件大小 1055 bytes 文件类型 LNK 文件功能 Downloader 编译时间 / 开发平台及语言 / Pdb / 是否加壳 否 VT首次上传时间 2022-11-24 16:42:12 UTC md5 5356a1193252b4fb2265fc8ac10327a1 sha256 f946663a780806693ea3fb034215bd6da25971eb07d28fe9c209594c90ec3225 改进后的lnk文件不再利用显示bug，是将mshta.exe复制并重命名为随机字符.exe，然后就下载执行远程HTA脚本文件。 2.4 DonetLoader加载器组件 响尾蛇组织经典的.net程序加载器，是魔改的开源项目CACTUSTORCH，用于在内存中加载后续的.net DLL程序，该组件分别作为rtf释放的1.a javascript脚本和lnk文件下载的hta文件。 组件md5 名称 文件大小 VT首次提交时间 a9dbf0cbc46dfe0202b534c63bd52a4a 1.a 900000 bytes 2019-08-13 13:49:59 UTC da8d3934fa1ddaf713ec32071eeb2987 file.hta 330170 bytes   db9562258c4a8518e0c6c43cdc0f0151 1.a 4953600 bytes 2022-01-14 07:30:57 UTC 该组织大致经过1年就会对组件进行升级改造，主要是字符串解密模块的修改。从标准base64编码->异或+自定义base64编码->字符反转+多个key异或。 2019：标准base64编码（相关文件md5：a9dbf0cbc46dfe0202b534c63bd52a4a）。 2020：异或+自定义base64编码（相关文件md5：da8d3934fa1ddaf713ec32071eeb2987）。 2021：字符反转+多个key异或（相关文件md5：db9562258c4a8518e0c6c43cdc0f0151）。 后续的加载过程都保留开源项目CACTUSTORCH的加载过程，解密后在内存加载，获取DLL的类对象“App.Program”，提供4个参数，并调用work方法。 2.5 AppDownloader下载器组件分析 在2022年之后，响尾蛇整合了早期的两个组件，开发了AppDownloader组件，通过Donetloader加载调用work方法，根据提供的参数，完成诱饵文件释放和后续载荷下载，并在内存中执行载荷，其真实文件名为App.dll，所以命名为AppDownloader。 名称 组件加载器 加载器md5 首次上传到VT时间 App.dll 1.a b1e0108df9a12d43fdf78e99d3528707 2022-01-14 07:30:57 UTC   描述 详细信息 名称 App.dll 文件大小 2200 bytes 文件类型 DLL 文件功能 Downloader 编译时间 \ 开发平台及语言 .NET Pdb \ 是否加壳 否 VT首次上传时间 2022-01-14 07:30:57 UTC md5 384CF4940E9B819CE8492FCD16EBEA6D Sha256 B8CAB453F7190514DC9F10FF6E549A715E69A2A53ECACBDC0CF0975B56C4E828 该组件是由donetloader加载并调用work方法和传递参数，当第四个参数不为空，则将该参数作为文件名，第三个参数为文件内容，在%temp%目录下释放诱饵文件，并使用mshta.exe打开该诱饵文件。 下载的数据前32位作为异或密钥解密后续的数据，然后再内存中加载。 2.6 ModuleInstaller下载器组件分析 该组件在不断改进中已经演变为一款比较成熟的恶意软件，会对前面阶段产生的痕迹进行清理，还会对不同的杀毒软件执行不同的操作，也采用了免杀效果不错的进程启动方式，使用其文件名ModuleInstaller做为组件名称。 描述 详细信息 名称 ModuleInstaller.dll 文件大小 46080 bytes 文件类型 exe 文件功能 loader 编译时间 2055-09-29 14:31:33 开发平台及语言 .NET pdb \ 是否加壳 否 VT首次上传时间 \ md5 05C1D2FD7F8E5970406B75C01DC6E949 Sha256 8B21AD911DCC66BBA525C95F1B9F9489E96BD2AADD2B7B0CFD2D53531B51231B 该组件的构造函数接收杀毒软件信息，并检测卡巴斯基、avast、avg、360杀毒这4款杀毒软件的存在。 然后根据配置信息“0100S-ABCD”中的第二或者第三个值是否为“1”，清除前面阶段的文件。 首先是清除%temp%\1.a文件，将文件内容改写为“//FFFF”，该1.a文件为前文所提到的donetloader加载器组件。 通过遍历1-4096已打开的文件句柄，获取文件绝对路径，检测路径中是否有"Microsoft\\Windows\\INetCache\\Content.Word"字符串，该路径下的文件为网络下载过程中的缓存文件，响尾蛇组织利用这个处理方式来消除其网络下载过程中产生的缓存文件。 获取系统信息：用户名、机器名，系统位数等系统基础信息。 将获取到的数据使用标准base64解码后，拼接到url的data参数中，随后使用拼接成的url下载配置数据。 将下载后的数据，使用前32位字节作为异或密钥解密后续数据，以相同的操作解密两次后得到配置数据。配置数据中包含后续载荷文件路径、下阶段载荷url，白+黑侧加载组合（control.exe和propsys.dll）。 根据url下载数据并异或解密后，将数据写入配置文件指定的文件中，将系统中的control.exe复制到相同目录下，最终该目录下存在文件：control.exe、control.exe.config、propsys.dll、[随机字符串].[随机字符串]文件，随着后续远控程序的加载可能会多出一些文件。 遇到卡巴斯基在配置字符的控制下，会使用wmi启动mshta执行js脚本去启动control.exe，以及直接向注册表run目录注册开机启动项，启动control.exe。 检测到360杀毒，直接使用process类启动隐藏窗口的control.exe。并创建快捷方式，放置在开机启动目录下。 检测到avast和avg时，注册两个计划任务，分别是延后2分钟执行control.exe和延后2分钟执行向注册表run目录添加开机启动项。 当没有检测目标杀毒软件时，就使用wmi执行schtask.exe添加计划任务，和直接向注册表RUN目录写入开机启动项。 2.7 DLLloader加载器组件分析 该组件作为白+黑 DLL侧加载利用中的恶意DLL，用来在内存中加载响尾蛇组织的关键载荷SystemAppRAT组件，功能单一，会跟据使用的白+黑利用方式变更文件名。 描述 详细信息 名称 Duser.dll，propsys.dll 文件大小 9728 bytes 文件类型 DLL 文件功能 Loader 编译时间 2021-02-09 18:16:50 开发平台及语言 .NET pdb \ 是否加壳 否 VT首次上传时间 \ md5 E4E2C1259EEA903A2953A1601E49797A Sha256 9B2C9C4FCD0BD591A58BDA2CFB8AF1C2E619FBE402CD2D9ACD0643EBB6E84D09 当DLL被加载后，会先进行Amsi绕过，Amsi可以检测.NET程序中调用的方法名，命名空间等信息来检测恶意的.NET程序，通过修改AmsiScanBuffer的前几个字节使得函数直接返回无可疑操作，达成绕过的效果。 随后读取同目录下使用随机字符命名的文件，使用其前32个字节作为异或密钥解密后续数据，解密后的数据为SystemAppRAT组件，用来进行远程控制，最后在内存中加载该组件。 2.8 SystemAppRAT远控分析 响尾蛇组织最常用的远控组件，以加密数据的形式落地为文件，被DLLloader组件加载后在内存中执行，通过自身的网络传输和机密文件收集功能，来控制被入侵的机器，窃取重要信息。   详细信息 名称 SystemApp.dll 文件大小 637952 bytes 文件类型 DLL 文件功能 RAT 编译时间 2064-02-17 19:06:49 开发平台及语言 .NET pdb \ 是否加壳 否 VT首次上传时间 \ md5 D308484A9EFA669979BD1004F8E5D748 Sha256 5CAD4B71A6A99B34FB2F4D60FA8BB5DB6A6F6DABE5468D9B3341CBC04492AAAB 首先从资源中加载配置信息。 解密后的配置信息如下，加密的方式是二进制文件的前32个字符作为key，循环与后续文件内容进行异或得到结果。配置文件中指定C2通信地址，和窃取的目标文件后缀.doc .docx .xls .xlsx .pdf .ppt .pptx。 解析完配置后，注册定时函数TreeRestoreAccessorInstance，每5秒与C2通信一次，并对C2返回的数据做出响应。 执行的命令如下： 命令 内容 1 收集系统信息，信息保存在.sif文件 2 收集文件信息 3 .docx .doc .xls .xlsx .pdf .ppt .pptx .rar .zip路径保存，信息保存在.fls文件 4 将收集到指定文件的路径保存在配置文件中 5 更新c2地址 6 更新是否上传指定文件参数 7 重置指定文件类型 8 设置文件大小限制 9 上传指定文件 10 保存配置 2.9 HtaDownloader组件 在2023年捕获到响尾蛇组织新的下载器组件，负责下载诱饵文档和恶意DLL，将恶意DLL放置到OneDrive目录下，实现侧加载。 描述 详细信息 名称 something.hta 文件大小 680 bytes 文件类型 HTA 文件功能 Downloader 编译时间 / 开发平台及语言 / 是否加壳 否 VT首次上传时间 / md5 2BCE7A8E34E4751C8E421BAA4C4A0ADA Sha256 F0CB23D26AF39BBFAE450F37BC7642B59D30EE346020485FECC5CD8C33D2190A 下载version.dll放置在本地Onedrive目录（%LOCALAPPDATA%\Microsoft\OneDrive\ ），当本地64位的Onedrive.exe和OneDriveStandaloneUpdater.exe执行时会被劫持以加载恶意version.dll，定时执行OneDriveStandaloneUpdater.exe更新Onedrive的计划任务也会变成响尾蛇组织的常驻项。   另外从巴基斯坦的内阁部门官方网站（cabinet.gov.pk）下载“Advisory No. 16”网络安全咨询16号文件，对应钓鱼文件中提及的内容。 2.10 CSloader组件 该组件为HtaDownloader组件下载的恶意DLL，被同目录下的OneDrive加载。 描述 详细信息 名称 version.dll 文件大小 275456 bytes 文件类型 DLL 文件功能 RAT 编译时间 / 开发平台及语言 / 是否加壳 否 VT首次上传时间 / md5 F2974B8D6B0B2774F49642D53BDEE8A4 Sha256 37E3465D6FCCFAE6E1C29526AA015A766F8FC26CC61ED821F3E0B44D794C99EC 其导出函数GetFileInfoSize和GetFileVersionInfoSizeW指向同一个偏移量，是Onedrive.exe导入DLL后会调用的函数。 GetFileInfoSize和GetFileVersionInfoSizeW函数中会调用函数FUN_180001120解密执行后续的载荷。 函数中先读取系统目录下的ntdll中的.text段替换掉当前进程加载的ntdll中的.text，解除函数挂钩，如果有安全软件通过在ntdll中设置钩子实现对进程行为的监控，那么该恶意文件的操作会让这种类型的监控方式失效。 通过计算硬编码16字节的数据的SHA256值，作为AES-256解密的密钥，解密出shellcode，最后执行。 执行的shellcode会反射加载一个Cobalt Strike的beacon，连接攻击者C2：35.175.135.236，实现远程控制。 2.11 ApkDownloader下载器组件分析 响尾蛇组织针对Android手机开发的恶意程序，最早在2020年由趋势科技披露相关技术细节，主要在Google Play上进行传播，该组件主要功能是下载下阶段载荷，最终在入侵手机中窃取WeChat、Outlook、Twitter、Yahoo Mail、Facebook、Gmail和Chrome等数据。目前以披露的部分恶意安装包如下： 组件md5 名称 文件大小 VT首次提交时间 07b41f9c81915c3adad6b3690ab7a99e 226617.apk 10763432 bytes 2023-03-23 09:34:02 UTC 17ccf24c4e09b1bc7ce5c0eb637a4edd Secure VPN_3.9_apkcombo.com.apk 14744189 bytes 2022-06-02 08:06:59 UTC 3DF009405C2226FA5047DE4CAFF3B927 com.securedata.vpn_v3.2.apk 6072227 bytes 2022-06-02 02:28:33 UTC   描述 详细信息 名称 226617.apk 文件大小 10763432 bytes 文件类型 Apk 文件功能 Downloader 编译时间   开发平台及语言 Android pdb \ 是否加壳 否 VT首次上传时间 2023-03-23 09:34:02 UTC md5 07b41f9c81915c3adad6b3690ab7a99e Sha256 7d237d0c62fb14391d40d8875534135a7a73b8ef47956405f4e600918d583f14 该组件先进行字符串解密，将头部的“zzzza”去除后传入函数。 将字符串使用base64解码后，先读取4字节数据，代表AES密钥长度，随后读取32字节的密钥，最后是AES加密的数据，并且该AES密钥也是网络通信数据的AES解密密钥。 根据分析结果得到AES密钥（7e 51 73 44 54 49 ac a1 fe 99 25 f3 25 29 58 e3 5a 45 7c cd 89 d4 87 78 34 3f b2 df c2 60 2c 21），使用AES-256 ECB模式解密数据后得到下阶段载荷的URL。 随后发送网络请求下载下阶段载荷。 该载荷会落地为文件保存为/data/data/<package_name>/files/fex/permFex/8496eac3cc33769687848de8fa6384c3。 最后通过DexClassLoader类加载该DEX文件，执行恶意代码，根据趋势科技报告中提到的信息，后续载荷是对手机信息的窃取。 最后注册计划任务，每10分钟去触发上文的下载执行下阶段载荷的过程。 注册开机广播，检测到开机事件会启动服务，也就是上文提到的下载下阶段DEX载荷和执行载荷。 该组件有多种获取C2的方式。 方法一：如上文的样本(07b41f9c81915c3adad6b3690ab7a99e)将C2硬编码在程序中。 方法二：在样本(17CCF24C4E09B1BC7CE5C0EB637A4EDD)中使用托管在Google Cloud上的Firebase服务提供C2。 方法三：在样本(3DF009405C2226FA5047DE4CAFF3B927)中使用Google Play的Install Referrer 服务获取数据，解密后得到C2。 3 基础设施分析 该组织会运营大量域名来针对东南亚各个地区进行攻击，并且带有访问控制，钓鱼C2上会检测请求IP所属国家，限制非目标国家IP的访问。 3.1 域名构造特征分析 从收集和整理的响尾蛇历史攻击中使用的域名，可以发现该组织比较偏向于使用攻击目标相关的机构官方域名的关键字符串来构造域名。如“*[mod/mofa]-gov*”，“*navy-gov*”，“mail[navy/mod/mofa]*”以伪装成军队和政府单位相关的域名，还有用字符错位、藏字符等方式构造域名，如“*donwloaded.com”，“*downlod.net”，“*downlod.com”。 3.2 URL特征分析 根据狩猎到的所有响尾蛇样本进行分析发现响尾蛇组织的第二阶段载荷下载URL具有明显的特点：固定的分段字符，特定的字符串“/2/0/0/”和”files-[8个随机字符]“，例如： https://[域名]/3679/1/55554/2/0/0/0/m/files-94c98cfb/hta https://[域名]/5974/1/8682/2/0/0/0/m/files-b2dff0ca/file.rtf https://[域名]/669/1/1970/2/0/0/1764305594/2X1R9Tw7c5eSvLpCCwnl0X7C0zhfHLA6RJzJ0ADS/files-82dfc144/appxed 3.3 C2网络特征分析 目前响尾蛇组织的C2有比较明显的特征是jarm="3fd3fd0003fd3fd21c3fd3fd3fd3fd703dc1bf20eb9604decefea997eabff7"和jarm="40d40d40d00040d1dc40d40d40d40de9ab649921aa9add8c37a8978aa3ea88"。且直接访问响尾蛇组织的C2地址，会直接返回404 Not Found，而且该组织多用“nginx”服务器，返回长度多数为“555”和“153”。 4 总结 响尾蛇组织常使用鱼叉攻击对目标进行打点攻击，攻击频率较高，具有一定的危险性。主要针对政府机构和军事单位等行业进行攻击，窃取该类单位的高新技术研究资料或规划信息等，相关行业及单位需要警惕并加强网络防御。另外该组织也常用DLL侧加载和无文件攻击，将关键代码隐藏在正常进程中秘密执行，安全公司应加强相关技术的检测。 5 ATT&CK模型 战术(Tactic) 技术(Technique) 过程(Procedure) TA0043-目标侦查(Reconnaissance) / / 资源开发(Resource Development) T1587.001（构建自定义恶意软件） 响尾蛇组织自定义开发了下载器、文件窃密组件等   T1588.001（获取恶意软件） 响尾蛇组织使用开源DONET加载器进行攻击。 初始访问(Init Access) T1566.001（鱼叉攻击，恶意附件） 响尾蛇组织向目标投递携带恶意附件的邮件。 代码执行(Execute) T1204.002（用户执行恶意鱼叉附件） 用户直接执行响尾蛇组织投递的恶意文件   T1203（针对客户端执行的攻击） 响尾蛇组织利用CVE-2017-11882 持久化(Persistence) T1547.001（Run注册项/启动文件目录自启动） 响尾蛇组织使用的恶意文件使用注册表自启动项实现持久化 T1053.005（计划任务） 响尾蛇组织使用的恶意文件创建计划任务实现持久化 权限提升(Privilege Escalation) / / 防御规避(Dfense Evasion) T1027.009（混淆文件或信息：嵌入式有效负载） 响尾蛇组织使用多种加载器加载恶意载荷 T1574.002（劫持执行流程：DLL侧加载） 响尾蛇组织使用DLL侧加载，在正常软件中加载远控程序。 T1218.005（系统二进制代理执行：mshta） 响尾蛇组织使用系统白文件执行远程hta脚本文件。 T1036.007（扩展名伪装） 响尾蛇组织使用pdf结合lnk的后缀名将恶意文件伪装成pdf文档文件 凭证访问(Credential Access) / / 发现(Discovery) T1518.001（安全软件发现） 响尾蛇组织使用Windows服务 winmgmts:\.\root\SecurityCenter2 检查已安装的防病毒产品。 横向移动(Lateral Movement) / / 信息收集(Collection) T1074.002（数据阶段：本地数据暂存） 响尾蛇组织将收集到信息保存在.sif、.flc、.fls等文件中。 T1005（本地系统数据） 响尾蛇组织使用组件SystemAppRAT等窃取office文档及txt文件等 命令与控制(Command and Control) T1071.001(使用现有web协议进行命令传输) 响尾蛇组织常使用HTTPS进行通信 T1132.001（数据编码/标准编码） 响尾蛇组织常使用base64对通信数据进行编码 数据渗出(Exfiltration) T1041（通过C2通道） 响尾蛇组织使用C2通道渗出数据 影响(Impact) / / 6 参考链接 https://www.group-ib.com/blog/hunting-sidewinder/ https://www.group-ib.com/blog/sidewinder-antibot/ https://mp.weixin.qq.com/s/LaWE4R24D7og-d7sWvsGyg https://www.trendmicro.com/en_us/research/20/a/first-active-attack-exploiting-cve-2019-2215-found-on-google-play-linked-to-sidewinder-apt-group.html https://mp.weixin.qq.com/s/WzmRtSt20musYWOgAEUT1Q https://mp.weixin.qq.com/s/MZadlpXbpCfQAv41rtVm3A https://mp.weixin.qq.com/s/YOyfe4a0PcKET5YiLObW7g ...

苹果iOS16曝出新漏洞：飞行模式下依旧可连接网络   </p> 近日，网络安全研究人员发现iOS 16存在一种新的漏洞利用后持久化技术，即使受害者的苹果设备处于离线状态，也可以利用该技术悄无声息地访问该设备。 Jamf Threat Labs 的研究人员 Hu Ke 和 Nir Avraham 在与 The Hacker News 分享的一份报告中提到：这种方法诱使受害者认为他们设备的飞行模式正常工作，而实际上攻击者在成功利用设备后已经植入了一个虚假的人工飞行模式，该模式会编辑用户界面以显示飞行模式图标，并切断除攻击者应用程序外所有应用程序的互联网连接。 飞行模式允许用户关闭设备中的无线功能，从而有效阻止设备连接到 Wi-Fi 网络、蜂窝数据和蓝牙，以及收发电话和短信。 简而言之，Jamf 设计的这种方法会给用户造成一种 "飞行模式 "已开启的假象，但同时又允许恶意行为者悄悄地为恶意应用程序链接蜂窝网络。 研究人员解释说：当用户打开飞行模式时，网络接口 pdp_ip0（蜂窝数据）将不再显示 ipv4/ipv6 ip 地址。蜂窝网络断开就无法使用，至少在用户看起来是这样。 虽然底层更改由 CommCenter 执行，但用户界面（UI）的修改，如图标转换，则由 SpringBoard 负责。   因此，攻击的目的是设计一种人为的飞行模式，使用户界面的变化保持不变，但为通过其他方式安装在设备上的恶意有效载荷保留蜂窝连接。研究人员说：在没有 Wi-Fi 连接的情况下启用飞行模式后，用户会认为打开 Safari 会显示无法连接互联网。然后会弹出一个通知窗口，提示用户关闭飞行模式。为了实现这个情境，CommCenter 守护进程被用来阻止特定应用程序的蜂窝数据访问，并通过一个挂钩函数将其伪装成飞行模式，该函数会改变警报窗口，使其看起来就像飞行模式的设置已经被打开了。值得注意的是，操作系统内核通过回调例程通知 CommCenter，CommCenter 再通知 SpringBoard 显示弹出窗口。研究人员对 CommCenter 守护进程的进行仔细检查后还发现了一个SQL数据库的存在，该数据库用于记录每个应用程序的蜂窝数据访问状态（又称捆绑 ID），如果某个应用程序被阻止访问蜂窝数据，该数据库就会将标志值设置为 "8"。利用这个已安装应用程序捆绑 ID 数据库，就可以使用以下代码有选择地阻止或允许应用程序访问 Wi-Fi 或蜂窝数据。当与上述其他技术相结合时，这个虚假的'飞行模式'就会看起来与真实的'飞行模式'一样，只是互联网禁令不适用于非应用程序进程，例如后门木马。 黑客拍卖”访问权限“，最高要价 12 万美金   Bleeping Computer 网站披露，某黑客声称入侵了一家大型拍卖行的内部网络系统，并向愿意支付 12 万美元的人提供访问权限。 据悉，安全研究人员对 72 个帖子进行抽样分析时，在一个以提供初始访问代理（IAB）市场而闻名的黑客论坛上发现了这则“广告”。 “昂贵”的网络访问权限 威胁情报公司 Flare 的研究人员在俄语黑客论坛 Exploit 上分析 IAB 三个月（5 月 1 日- 7 月 27 日）内的报价，以便更好了解黑客组织的目标、要价以及活跃度，在此期间， 初始访问经纪人 IABs（黑客中介）为国防、电信、医疗保健和金融服务等18 个行业的 100 多家公司做了”广告“。 Flare 营销副总裁 Eric Clay 在与 BleepingComputer 分享的一份报告中指出针对美国、澳大利亚和英国公司的攻击最常见，考虑到这些国家的生产总值（GDP）很高，这并不奇怪，Clay 还在报告中指出针对金融和零售业实体组织的案例最多，其次是建筑业和制造业。 根据国家/地区以及公司的差异，初始访问代理权限起价为 150 美元，其中大部分是通过 VPN 或 RDP 进行初始访问，大约三分之一价格在 1000 美元以下，但最近黑客论坛上在出售价值 12万美元（当时为BTC4），用于进入价值数十亿美元拍卖行内部网络的访问权限，售卖人员没有提供太多细节，但表示其有权访问多个高端拍卖（即管理面板）的后端。 Flare 指出虽然大多数访问权限都是中低价值的，但偶尔也会有极为独特或高价值的访问权限被拍卖，这样就可能会导致定价与我们的平均定价相比出现极大差异。 访问权限和地理位置 大多数帖子都提到了受害者的地理位置，研究人员为此绘制了一张受害者地理位置分布图，显示美国境外 35 个据称被黑客组织攻击的实体。 基于初始访问”广告“的受害者分布图（源：Flare.io Flare.io） Exploit 论坛上的 IAB 交易仍然在避免针对俄罗斯和独立国家联合体（CIS）国家，但令人惊讶的是，GDP 排名世界第二的中国 IAB 的数量也很少。为此，Clay 透露虽然 IAB 通常会避免将中国作为攻击目标，但还是有一个针对中国人工智能公司的网络访问列表。 值得一提的是，Clay 指出某黑客中介表示可以提供美国一家广播电台的特权访问权限，并称可以利用其来 "播放广告"。 Exploit 论坛帖子中最常见的访问类型是通过 RDP 或 VPN，两者合计占据了数据集中列表中 60%，其余通过云管理员、本地管理员、域用户等与访问帐户相关联的权限占据了 40%。通常情况下，对企业网络的访问来自信息窃取恶意软件，但一些攻击者明确表示可以使用恶意软件、网络钓鱼或利用漏洞等方法。Mathieu Lavoie。 无论初始访问代理使用哪种方法获取网络访问权，实体组织至少应实施对信息窃取恶意软件的监控机制。此外，实体组织也应对初始访问中介发布广告的论坛进行监控，即使受害者的姓名是匿名的，也能帮助企业获得可能的入侵线索。再结合地理位置、收入、行业和访问类型等数据，就足以对潜在违规行为展开调查，这一过程可能会发现需要更强安全性的领域，或识别可能构成风险的设备、服务和账户。...

《孤注一掷》，原来这些人最容易被诈骗 最近，你看了诈骗电影《孤注一掷》吗？“想成功先发疯，不顾一切向钱冲；拼一次富三代，拼命才能不失败；今天睡地板，明天当老板！”诈骗工厂里的被骗去打黑工的人们一次次高呼着朗朗上口的口号。铺天盖地的钞票、被沉入海底的性感美女**屏蔽敏感词**、变卖全部家产后跳楼的赌徒、被打到鼻青眼肿的高新技术程序员、本想出国淘金，却意外落入境外诈骗工厂陷阱的大量受害者......哪怕你没看过这部电影，但这些熟悉的镜头，经典的台词，在抖音等社交平台上持续传播，里面的部分片段甚至还引发了无数网红模仿。   剧照来自《孤注一掷》官方账号 该电影取材自上万起真实诈骗案例，境外网络诈骗全产业链将在大荧幕上被首度揭秘，影片不仅在内容上引人深思，同时在形式上也有其独特之处。影片聚焦于网络诈骗背后的盘根错节，千种万种套路，以揭秘的视角为观众讲述背后的故事，赚足了观众的好奇心和眼泪。 可能有些人认为，电影里演的不过是情节所需罢了，这些境外诈骗离我们很遥远，只要自己不出国不就行吗？事实上，它们离我们真的很近。   骗子的套路，远比我们想象的深在这部电影中，作为诈骗工厂的绝对掌权者，诈骗头目陆秉昆（王传君饰）十分擅长洞悉那些急功近利者的弱点，并将蛊惑人心那一套，玩转到了炉火纯青的地步，其手下阿才（孙阳饰）则负责以暴力相威胁，两人分工合作，从心理和生理进行双重压制。 高薪诱惑实则骗局，海外淘金梦碎 影片开场，自视清高的计算机程序员潘生（张艺兴饰）在被关系户顶掉职位后愤然离职，决定接下某新加坡公司的offer，踏上“新生活”的征程，却不料其实是电诈集团的精心设置的圈套。同时，另一位主角嫩模安娜（金晨饰）遭人诬陷后被公司停职，随后被所谓的“朋友”欺骗，认为出国做赌场**屏蔽敏感词**，真的能淘金。于是主角两人双双落入海外高薪骗局的陷阱。这个角色设定其实也在告诉我们，无论学历高低，无论职业，哪怕是聪明人也一样会被骗。高智商、高学历的人被骗的案例比比皆是。这就是目前境外诈骗最典型的高薪务工骗局。       近年来，不断有人被所谓高薪职位的“年入百万”、“报销机票”、“稳赚不赔”等信息所诱惑，幻想能一夜暴富。然而，在那边等待他们的，并不是什么年薪百万元的工作，而是被限制人身自由，遭受挨饿、毒打、电击等惩罚，以及残害肢体、割取器官等非人折磨，有人甚至因此而命丧他乡。有不少回流人员曾在采访中讲述过境外那些不堪回首的日子，其表示身陷境外诈骗公司的大多是学生、务工人员等年轻群体，偷渡踏出国门的那一刻就是他们噩梦的开始。面对惨无人道的胁迫这些“新入职”的受害者不得不屈从，在酷似监狱的高墙和铁丝网内，被全副武装的保安和打手看守，不得不在诈骗头目的指使下进行电诈、贩毒、**屏蔽敏感词**等违法犯罪活动。要明白，这个世界上没有免费的午餐。任何时候都要谨慎对待网上的诱惑，不要轻信陌生人，更不要盲目前往战乱贫困地区。 十赌十输，“小赌怡情”是最大的骗局 影片中的第二个桥段是围绕赌棍阿天（王大陆饰）展开的。大学还没毕业的他，就已经有房有车，还和几位志同道合的好朋友经营着工作室的小事业，还有一位善解人意的女朋友，原本家境优渥，事业爱情双丰收的他，却沾染上了**屏蔽敏感词**。起初只是小玩两把，之后越来越大越来越不可自拔。诈骗集团利用他的贪欲，一步步引诱他下注，阿天倾尽所有，用自己名下唯一房产孤注一掷，发现被骗后万念俱灰，最终选择了跳楼。而镜头一转，电诈集团据点内欢声不断，头目与马仔们肆意欢庆，庆祝业绩大丰收。一边是一个家庭的破碎，另一边是欢乐的庆祝，强烈的对比令人深思。诸如此类的事件不在少数，打开百度随便一搜就有无数真实案例。 境外诈骗组织往往会为赌徒量身定制一点蝇头小利，让他们自以为抓住了所谓的“幸运”，继而贪欲会将他们带入**屏蔽敏感词**的深渊，负债累累的赌棍们最终无奈之下投身于组织，成为永远不见天日的绝望囚徒。事实上，这种新型**屏蔽敏感词**方式背后有一套从境外向境内、自上而下的组织架构。境外组织者位于架构的顶端，国内各级代理是下线，负责扩大参赌人数，吸纳赌资。境外**屏蔽敏感词**集团通过对正规网站植入黑链、群发短信、微信群、QQ群引流等手段宣传推广，引诱参赌人员注册、充值**屏蔽敏感词**，**屏蔽敏感词**资金通常通过网银或第三方支付平台进行流转。而网络**屏蔽敏感词**往往由所谓的庄家设局，利用提前算好概率、内外串通、APP外挂等手段，欺骗参赌者投注资金，因此网络**屏蔽敏感词**可谓“逢赌必输”。除此之外，**屏蔽敏感词**团伙在微信群、QQ群利用“发红包”功能，通过群聊进行“赌大小”“压数字”等**屏蔽敏感词**活动。还有一些披着棋牌游戏外衣的**屏蔽敏感词**APP，在游戏过程中发生赌注交易，并在赌资提现时，编造所谓“差价”和“汇率”，牟取大量利益。**屏蔽敏感词**是一种极富风险和诱惑力的活动，许多人常常过于轻视其中的风险，抱着侥幸心理去参与。然而，毋庸置疑地，**屏蔽敏感词**的本质就是十赌十输。 现实版境外诈骗，远比电影惨烈百倍千倍 事实上，电影中所呈现的诈骗集团只算中等规模，真实生活中受害者的数量达到惊人的千万级、亿级。每个案件背后，不仅仅是重大的经济损失，更可能牵连到一个个家庭的瓦解与崩溃。阴暗世界的可怕真相远非片中所呈现的那般简单，而诈骗集团使用的手段也并不止有电影中的那几种。 心狠手辣，靠卖血卖器官赚钱 有回流人员在接受采访中曾透露，自己被中介的诱惑下偷渡至缅北，进了诈骗组织被迫成为一名电信网络诈骗客服，每天的伙食就是一个馒头两瓶水，完不成当天安排的“诈骗业绩”就要挨打，针扎手指、被火烫等都是常有的事。他也曾试图逃跑，但结果就是再次被抓回，回去后被抓进满是臭水的水牢里关了15天，并且每天还被抽取大约6罐可乐瓶容量的血，连抽了多日用以卖钱直到他失去意识。据他回忆，曾亲眼目睹其他同事被勒索赎金，如果没钱就用剁手指来偿还赎金，一根手指1万元，连剁三根；还有的人会被黑市医生现场开膛破肚，将能用的器官都“当场噶掉并拿入黑市进行售卖”。当然，也有被直接枪毙的。 人口贩卖，卖淫、电击、水牢是常规操作   据回流者透露，被骗去做电信诈骗的人们，如果业绩少就只能吃狗食，住十几人的大通铺，门窗封死防止逃跑，屋内环境恶劣，气味恶臭。同时，屋外每天24小时有荷枪实弹的雇佣兵看管，被公司买卖的人，甚至要戴着手铐脚铐去工作。如果每天被安排的任务未完成就要接受皮鞭抽打、电击、关水牢、砍手指脚趾等惩罚。长期没有业绩的人会被转卖给组织卖淫或售卖人体器官的公司。回流者称：“中国人在那里是行走的人民币，一个人头的价值少说也在10万元以内。一个20来岁的人，可以卖出去20万元，那里的人口贩卖已经形成了一条黑色产业链。”由此可见，诈骗集团内的黑暗程度是人们想象不到的。在那里，人命甚至是被明码标价的。 吞噬人性，让人倾家荡产的“杀猪盘”   还有一些诈骗组织让“新入职”的受害者冒充“离异高富帅”、“离异白富美”或“单身成功人士”等人设，在网上寻找“猎物”，一步步设下圈套陷阱，他们利用人们内心最渴望的情感需求，以假意骗取异性的信任，让对方陷入情感陷阱中，然后用内幕消息引诱他们投资或者**屏蔽敏感词**。为了让受害人彻底陷入骗局，一些诈骗组织还会特地找好几个漂亮的女模特随时待命。这种方法往往能让人在短时间内产生情感依赖，并心甘情愿“掏空钱包”，有的甚至倾家荡产、负债累累、最终落得一个家破人亡的悲惨结尾。这种犯罪集团采用的诈骗手法俗称“杀猪盘”，具体逻辑分以下几步： 第一步，取得信任（圈猪）。业务员通过网络社交平台锁定受害人，并将自己包装成单身的成功人士进行交友，添加好友后，通过嘘寒问暖来博得受害人信任。 第二步，怂恿投资（养猪）。业务员拉进与受害人的距离骗取信任后，开始向受害人介绍某个投资（福利彩票）平台，引导受害人扫二维码或点击链接进入该平台投钱，诈骗集团人员通过后台操作，先让受害人小赚几笔，受害人尝到甜头后，继续投入大额资金。 第三步，无法提现（杀猪）。当受害人以为获利并要从平台提现时，发现诈骗集团已将其拉黑无法提现。通过这种方式，该诈骗集团骗取数百万元。 所以，任何时候都不要被“天上的馅饼”蒙蔽双眼，对突然出现的“高薪、巨利、暴富”等网络信息统统说不！要增强防骗意识，认清虚拟的网络世界，往往你以为的一夜致富的路，其实背后是一个没有底线的利益团伙铺下的陷阱罢了。 冒充公职人员，伺机植入病毒散尽钱财   冒充身份类诈骗目前已成为电诈案件高发的“重头戏”，在诈骗套路的不断更新变化中，骗子角色扮演的套路越来越深，让人防不胜防。他们会通过伪造的身份信息，冒充银行、政府机构、互联网平台客服等人员，发送虚假的邮件、短信、电话，以获取个人敏感信息，或者诱惑被害人进行转账等。比如之前就曾有过类似案件：骗子通过投资理财、财务交流、公司内部等微信、QQ群或电子邮件，传播名为“2023企业个人最新版所得税缴纳标准”、“电子发票”等压缩文件，打开后文件内容均为空白，实际系木马病毒。一旦财务人员点击下载并解压，就会立即被植入木马病毒，继而骗子就会通过病毒获取电脑后台权限，实现截屏、录屏、监控等方式，“观察”公司财务转账及内部交流情况。待时机成熟后，骗子还会制造卡机、黑屏，并远程控制受害人电脑端微信（QQ或钉钉），删除老板真实聊天账号，添加“克隆”账号（使用相同头像及昵称），进而“指挥”公司财务进行转账。还有骗子会冒充公安民警、军人、消防官兵等公职人员进行诈骗，他们能准确说出你的身份证号、联系方式和家庭住址取得你的信任。并谎称你名下的银行卡涉嫌洗钱、诈骗等，要求你配合调查。他们利用公检法威信力来击破受害人的心理防线，使其陷入恐慌，失去判断。通过聊天工具发送逮捕证、通缉令等材料，还会发来警察办公等视频，进一步击溃受害人的心理防线。最后以配合各种调查为由，循序渐进向当事人索要银行卡号、验证码等信息，最终达到骗取钱款或盗刷当事人各类账户财产的目的。毫无底线的罪行、闭塞恶劣的环境、无孔不入的诈骗手法种类繁多、千变万化，上述几个类别其实不过只是冰山一角。随着网络时代不断发展，未来骗子的诈骗的手段只会越来越“精进”，但万变不离其宗，正所谓“见招拆招”，提高分辨能力，不轻信“天上掉馅饼”的好事，很大程度上能避免许多骗局。淘金梦醒后，只剩人间炼狱 官方曾有统计，目前境外窝点实施的诈骗占了国内总诈骗案件数的六成以上。而这些境外电信诈骗的案件中最大一部分，就来自“诈骗圈的耶路撒冷”——缅甸北部。在许多网络小说和影视剧中，缅甸北部被描绘成一个充斥着机遇的冒险之地，人人都有可能在那里闯出属于自己的一片天地。而现实情况是，由于复杂的历史和政治因素，缅北到现在仍然是一个充斥着混乱、罪恶与杀戮的是非之地。在规模庞大的黑灰产业密切配合下，境外电信网络诈骗已经形成了完整的分工链，从信息买卖、实施诈骗到分赃销赃，一应俱全，甚至还有大数据和AI技术的辅助。像缅北这样的诈骗者聚集地，更是团伙协作，各司其职，环环相扣，剧本越来越专业，对象越来越精准。境外诈骗人员一次次深入窥探人们的心底贪念，只要稍有不慎，就会落入他们精心编织的电信网络诈骗陷阱。“高薪工作，待遇优渥，工作轻松，无需文凭，月薪5万起，包机票，包食宿……”这些招聘信息精准地击中了那些做着发财梦、渴望赚快钱的人们。贪念如罂粟，短期内让人飘飘欲仙。时间一长，便让人深陷泥潭，无法自拔。不管学历再高、也不管你是何种职业，只要贪念一起，在骗子眼中，你就是待宰的羔羊。请谨记天上不会掉馅饼，能砸在你头上的，99%都是陷阱。所有的捷径，都要付出相应的代价，而捷径带你走向的，往往不是成功，更可能是万丈深渊。对于大多数普通人来说，突降的境外的高薪工作背后藏匿的不过是鲜血和无尽的折磨，以及充满暴力与杀戮的黄赌毒产业链。待淘金梦醒后，睁眼再看到的，大概只剩人间炼狱。 反诈课堂|这份老年人防诈骗指南请收好 近年来， 诈骗套路层出不穷， 一些不法分子利用老年人 信息闭塞、渴望健康、认知较弱的特点 骗取老年人钱财。 常见的诈骗套路有哪些？ 01 提供养老服务 以投资养老基地、旅游考察、预售养老床位等项目为名，将老年客户诱骗至所谓养老基地、福利院进行参观、游玩，进而以预售养老床位等名义非法集资。 02 金融投资 “限量发行”“绝世珍藏”等宣传语常被不法分子用来吸引老年人投资，一些不法分子还许诺在短期内会帮助老年人将纪念币进行拍卖以实现“收益翻番”。同时，还有不法分子利用“海外股权”“天使投资”等新兴金融概念混淆视听，诱使老年人购买产品。 03 低价购物 不法分子发布低价二手物品转让信息，一旦与其联系，便以缴纳定金、手续费等为由骗取老年人钱财。 04 免费赠送 老年人十分注重养生，诈骗分子借此诱惑老年人高价购买毫无用处的保健品，某些受疾病困扰的老年人会相信诈骗分子所说的各种“神奇”的偏方疗法。诈骗分子打着免费送鸡蛋、水果、小家电的幌子，租用专门场地向老年人宣传“保健产品”、“治疗药品”，夸大产品功效诱惑老年人，从而实施诈骗。 05 低价旅游 旅行社以低价游、免费游的噱头吸引老年人参团旅游。随后在旅游过程中安排各种购物环节，将商品以高于市场价多倍的价格卖给老人们。除此之外，还有部分旅行社降低住宿、饮食标准，或将各种需要付费的景点排除在低价团费之外。 06 冒充中奖 不法分子以热播电视节目组的名义向老年人发送短信，称对方已被抽选为节目幸运观众，以获得奖金需交手续费、保证金等为由实施诈骗。 7 冒充公检法 诈骗分子通常会伪造相关证件和文件，冒充公安、检察院、法院等工作人员，利用老年人的薄弱法律意识和恐慌心理，以及对子女的关心，声称要执行逮捕，须缴纳保障金等手段，骗取老年人的钱财。 08 黄昏恋 “黄昏恋”骗局其实就是“杀猪盘”骗局的一种，主要针对独身老人，通过网络发展成为网恋后，通过编造各种理由索要钱财，随后拉黑对方，完成诈骗。 09 冒充亲友 不法分子利用非法手段获取老年人信息后，伪装成老年人的亲友，以借款、救急等理由发送短信，要求老年人向其转账汇款。 诈骗手段日益更新，老年人千万要小心！防骗妙招请收好 防诈骗指南 01 戒除贪婪心理   </p>   </p> 不轻信有包治百病的灵丹妙药和天上掉馅饼的免费午餐，不要轻信不明对象及可疑信息，对高息产品提高警惕。 02 强化警戒心理   </p>   </p> 遇事保持冷静，多调查、多思考，面对陌生人不轻易相信、不盲从，个人信息要保密。 03 讲科学，不迷信   </p>   </p> 面对保健养生类诈骗，做到“两要、两不要”，即不要相信有包治百病的神丹妙药，如果患有疾病，主动就医，保健品不能治愈疾病。相反，伪劣的保健品会加重患者的病情，贻误治疗良机。 04 常与亲友沟通   </p>   </p>   </p> 遇到拿不定主意的事情不急于决策，不固执己见，多听取亲友意见，常与亲友交流。从亲属子女角度，则要与家庭中老年人更多交流，对他们给予更多关爱。...

据了解，当年淘宝刚开始上线投入使用的时候，作为一个新生的产品，很多人都难以相信这种虚拟交易，毕竟商品买卖一直都是一手交钱一手交货，突然看不到钱也看不到货，谁也不愿意冒这个险。 直到有了第一个敢于“吃螃蟹”的人，他的名字叫崔卫平。他之所以接受这种交易方式，可能和他在国外留学的经验有关。 他是一位身在日本的留学生，把自己闲置的“富士相机”挂到了淘宝上出售，有一些买家喜欢他的二手相机，但是交易双方对彼此的信任度都很低，所以数码相机一直没有卖出。为了方便交易的顺利完成，阿里巴巴还为淘宝、支付宝设计开发了第三方交易平台，告诉买卖双方交易是有保障的。 最后这台相机在淘宝客服的“热心帮助”下成功出售了，这个记录今天还留在支付宝大楼里。 @新熵的微博...

网站最近人大量的刷恶意关键词，恶意刷流量了，虽然对网站运营没有啥大影响，最多就是影响点搜索引擎的收录，对我这种小站来说没啥大的影响，但是就是有点恶心人。 正常来说，一个关键词搜索量固定，而你的流量统计显示有更多点击，有可能被刷点击，或者看到一些关键词前后带数字的这样的特殊关键词有很高的展现和点击量。 第一种应该是有人故意给你刷点击，第二种，有可能是对方在刷关键词，只不过为了模拟的更真实而点击你的网站，展现也是其刷关键词搜索而得出的结果。 如果排名持续下降，你可以向资源平台反馈，如果得到答复进行处理，你的网站排名依然下降，你还是先看看是否网站本身有什么问题，现在大部分刷量的行为，百度都可以规避。 1.可以通过屏蔽IP/访客码进行屏蔽 A.IP屏蔽： 大多数情况都是使用百度统计作为数据监控的工具。可以在固定时间段内（例如1.7.15.30天）的实时访客数据查看是否有相同的IP或者相同段的IP恶意点击，可以屏蔽IP以及访客码。 一般认为：ip段数据接近或基本完全一致，且数据量大或访问量大，初步判断为异常流量，另外可以观察访问时间短，比如说5s以内的可以看一下搜索词，如果搜索词是那种行业大词，可以判断为异常流量。 B.访客码屏蔽： 访客码可以理解为一个设备，或者一个浏览器，一般来说，一台电脑可以变化多个ip，标识码是相对唯一的，必要时屏蔽标识码来防止异常流量。 2.定期下载搜索词报告 从搜索词可以判断访客的意图，是否符合网民的搜索习惯， 在搜索引擎输入搜索一下，查看其下拉词是否为热门搜索词，一般下拉词也会有因为刷词而被送上热搜的，再进一步判断网民需求；再针对搜索结果出来的页面sem广告位进行分析： A.如果搜索词不符合我们行业需求，可以进行否词处理，避免一直被刷；若该搜索词在搜索出来的页面中没有广告位，也考虑否词，因为在此情况还能被点击，更是说明了用软件刷关键词，属于恶意刷词行为。 B.如果搜索词符合我们的需求，sem排名偏上，此时可以降低出价，减少被点击的次数。 C.有时间还有可能存在刷词的情况，如果这个词在计划或单元积累的数量较多，可以对这些关键词进行分组处理，一般是单独计划，分多个单元，单独对同类词划分后做降价或者暂停处理，等过一段时间后，可以考虑重新回调，回调的时候注意，可以选几个关键词进行小幅度的提升测试，看看还有没有可能被刷。 3.分析地域数据 可以对一段时间内的所有地域数据透视求和后进行分析，可以得到地域的来源数据，地域的数据可能跟百度后台的数据有一定的误差，毕竟百度统计的准确性本身就有不稳定性，也跟安装代码和网站的问题有关，所以不能作为参考的唯一标准。 如果发现异常的地域数据进行ip和搜索词检查，参考上面的操作步骤进行检查。很多时候对于一些成熟的竞价员，一看地域数据就知道是否流量正常了。 如果正常，计算出各个地域的占比，再下载百度后台的地域消费报告进行分析其合理性。可能出现一定误差，只要在合理的比例范围内即可。 如果发现地域ip异常，应该透析后筛选数据最多的ip，对这部分ip进行定位测试，找到ip所在地，看是否为同行所在地，进行屏蔽。 屏蔽ip不是一劳永逸的，主要是起到监控的作用，大家都知道IP会变化，而且IP屏蔽也是有上限的，可以定期根据我们的实时访客报表把以前屏蔽过的做一个检查，有些IP可能可以从屏蔽里面放出来，来增加账户的流量。 我为网站安装了屏蔽插件，效果还是不错的，直接屏蔽了很大一部分，屏蔽IP不太现实因为是动态IP无法防住，本人又用了一个反弹代码，直接反弹相关内容具体我就不详细讲，有需要的单独联系我吧，效果也是不错的，再就是我仔细考虑了到底是最近得罪了哪位高人，没事闲着这样折腾，从攻击时间及近期的时间线上我想到了一个非常有可能的人，所以我就以彼之道还施彼身，你给我刷恶意关键词，我也给你刷恶意关键词，你停止我就停止，当天晚上刷完，第二天就停止，不管是不是因为我刷流量的关系，我只能说做人要善良，都是做网站的人，有必要这样搞吗？好好搞自己网站吧。...

近日，纽约大学和鲁汶大学的研究人员发现大多数VPN产品中都存在长达二十多年的多个漏洞，攻击者可利用这些漏洞读取用户流量、窃取用户信息，甚至攻击用户设备。 “我们的攻击所需的计算资源并不昂贵，这意味着任何具有适当网络访问权限的人都可以实施这些攻击，且不受VPN安全协议限制。换而言之，无论VPN使用何种安全协议，所发现的漏洞都可能被滥用。即使是声称使用“军用级加密”或使用自行开发的加密协议的VPN（包括微软和苹果操作系统的内置VPN）也可能受到攻击。”纽约大学的Nian Xu声称： “即使受害者使用了HTTPS加密，我们的攻击也会泄露用户正在访问哪些网站，这可能会带来重大的隐私风险。” 四大数据泄露漏洞危及全球VPN客户端 研究者发现的四个普遍存在的VPN漏洞的CVE编号分别是：CVE-2023-36672、CVE-2023-35838、CVE-2023-36673和CVE-2023-36671。 CVE-2023-36672：LocalNet攻击导致明文流量泄漏。参考CVSS分数为6.8。 CVE-2023-35838：LocalNet攻击导致流量阻塞。参考CVSS分数为3.1。 CVE-2023-36673：ServerIP攻击与DNS欺骗相结合，可以将流量泄漏到任意IP地址。参考CVSS分数为7.4。 CVE-2023-36671：ServerIP攻击，只有VPN服务器真实IP地址的流量才会被泄露。参考CVSS分数为3.1。 第一对漏洞可在LocalNet攻击中被利用，即当用户连接到攻击者设置的Wi-Fi或以太网时（下图）： LocalNet攻击示意图 后一对漏洞可被攻击者或恶意互联网服务提供商(ISP)所利用，通过不受信任的Wi-Fi/以太网发动ServerIP攻击。 ServerIP攻击示意图 研究人员表示：“这两种攻击都会操纵受害者的路由表，诱骗受害者将流量发送到受保护的VPN隧道之外，从而使对手能够读取和拦截传输的流量。” 除了数据泄露，此类攻击还产生另外一个风险：VPN通常用于保护较旧或不安全的协议，VPN防护失效意味着攻击者随后可以攻击较旧或不安全的协议，例如RDP、POP、FTP、telnet等。 研究者公布了多种攻击的视频演示 （https://www.**屏蔽敏感词**/watch?v=vOawEz39yNY&t=52s），还发布了可用于检查VPN客户端是否易受攻击的脚本（https://github.com/vanhoefm/vpnleaks）。 研究人员补充说：“一旦足够多的VPN设备修补了有关漏洞，如果有必要和/或有益，攻击脚本也将被公开发布。” 苹果设备VPN客户端几乎“全军覆没” 在测试了许多消费者和企业级VPN解决方案后，研究人员发现苹果设备上的VPN客户端几乎全军覆没（无论是Mac电脑、iPhone或iPad），Windows和Linux设备的VPN也很容易受到上述一种或两种攻击。在Android设备上，只有四分之一左右的VPN应用程序容易受到攻击——这可能与Android“精心设计”的API有关。 如上图所示，大多数Windows、macOS和iOS的内置VPN客户端都容易受到攻击，超过三分之一的Linux上的VPN客户端也是如此。 研究人员表示，他们并不知道这些漏洞是否在野外被利用，如果有的话，也很难发现。 据悉，研究人员已经向一些VPN供应商通报了他们发现的漏洞，其中一些供应商已经修复了漏洞，但却没有在更新说明中提及（以遵守研究人员在其研究发表之前的保密要求）。 研究人员在论文的末尾提供了各种设备上经过测试的VPN应用程序的完整列表，可供用户检查自己的VPN应用/客户端是否容易受到攻击。 缓解建议 研究人员指出：“一些VPN产品已经修复漏洞，包括Mozilla VPN、Surfshark、Malwarebytes、Windscribe（可以导入OpenVPN配置文件）和Cloudflare的WARP。” 思科已确认其适用于Linux、macOS和Windows的思科安全客户端和AnyConnect安全移动客户端容易受到CVE-2023-36672的影响，但仅限于特定的非默认配置。Mulvad则表示只有其iOS应用程序容易受到LocalNet攻击。 如果用户的VPN安全更新不可用，研究人员给出的建议是通过禁用本地网络访问来缓解LocalNet攻击。用户还可以通过确保网站使用HTTPS来缓解攻击，现在大多数网站都支持HTTPS。...

2022年，卡巴斯基研究人员调查了一系列针对东欧工业组织的攻击活动。在这些活动中，攻击者的目标是建立一个永久的数据泄露渠道，包括存储在气隙（air-gapped）系统中的数据。 基于这些攻击活动与之前研究过的攻击活动（如ExCone、DexCone）存在诸多相似之处，包括使用的FourteenHi变体、特定的TTP和攻击范围，研究人员非常自信地认为，这些攻击活动背后是一个名为APT31（也被称为“Judgment Panda”和“Zirconium”）的威胁组织。 为了泄露数据并交付下一阶段的恶意软件，威胁行为者滥用基于云的数据存储（例如Dropbox或Yandex Disk）以及用于临时文件共享的服务。他们还使用部署在常规虚拟专用服务器（VPS）上的C2。此外，威胁行为者还会部署一系列植入程序，通过受感染的可移动驱动器从气隙网络收集数据。 对于大多数植入程序，威胁行为者使用了类似的DLL劫持实现（通常与Shadowpad恶意软件相关）和内存注入技术，以及使用RC4加密来隐藏有效载荷并逃避检测。libssl. dll或libcurl.dll被静态链接到植入程序以实现加密的C2通信。 研究人员总共发现了超过15个植入物及其变体。具体来说，攻击中使用的整个植入程序堆栈可以根据其作用分为三类： 用于持久远程访问和初始数据收集的第一阶段植入程序； 用于收集数据和文件的第二阶段植入程序； 第三阶段植入程序和上传数据到C2的工具。 用于远程访问的第一阶段植入程序  FourteenHi变体 FourteenHi是一个恶意软件家族，于2021年在一个名为ExCone的活动中被发现，自2021年3月中旬以来一直保持活跃状态，目标主要是政府实体。在2022年，研究人员发现了用于攻击工业组织的新变种。 各种各样的FourteenHi样本（包括x64和x86）在代码结构、i加载器和C2类型方面都有很大的不同。但是它们的核心特征（如C2通信协议和命令列表）几乎是相同的。 加载方案大体相同的所有变体，包括三个主要组成部分： 易受DLL劫持的合法应用程序。 通过DLL劫持加载的恶意DLL，用于从二进制数据文件中读取和解密FourteenHi有效载荷，并将其注入某些系统进程，如exe或msiexec.exe。 一个二进制数据文件，包含用RC4加密的FourteenHi二进制代码。 所有已知的FourteenHi变体都在其代码中嵌入了配置数据并使用RC4加密。配置定义了活动ID、C2地址和端口。fourenhi x64的配置还定义了它在不带参数执行时为持久化创建的Windows服务的名称和描述。 MeatBall后门 MeatBall后门是研究人员在分析攻击过程中发现的新植入程序。它具有广泛的远程访问功能，包括列出正在运行的进程、连接的设备和磁盘、执行文件操作、捕获屏幕截图、使用远程shell和自我更新。该植入存在于x86和x64的变体中。 该植入程序还使用基于DLL劫持技术的加载方案，但与许多其他植入程序不同的是，其有效载荷存储在恶意DLL加载程序本身中，而不是单独的文件中。 该植入程序与libssl.dll静态链接，以实现加密的C2通信。 植入程序使用Yandex Cloud作为C2 研究人员发现的另一个植入程序是使用Yandex Cloud数据存储作为C2。该植入程序使用基于DLL劫持的加载方案，恶意DLL将存储在单独文件中的植入程序主体解密，并将其注入合法进程的内存中。 该植入程序同样使用静态链接的libcurl.dll进行SSL加密通信，并在主机上收集以下数据： 计算机名； 用户名； IP地址； MAC地址； 操作系统版本； 通往%System%的路径 为了将收集到的数据上传到C2，该植入程序使用嵌入式API令牌发送一个请求，以创建一个目录，该目录的名称对受害主机来说是唯一的。 所有上传和下载的数据均采用RC4算法加密。 用于收集数据和文件的第二阶段植入程序 用于收集本地文件的专用植入程序 2022年5月，研究人员发现了一个用于收集本地文件的专用植入程序。该植入程序使用基于DLL劫持技术的加载方案，其中恶意DLL加载程序通过创建名为“WinSystemHost”的服务来确保持久性，解密并将作为二进制数据存储在单独文件中的有效负载注入到合法进程的内存中。 该植入程序启动“msiexec.exe”，然后从单独的文件读取和解密有效载荷，并将其注入“msiexec.exe”的内存中。 一旦负载开始在“msiexec.exe”的内存中执行，它就会进入由下述6个简单步骤组成的无限循环： 创建文件存储文件夹（如果不存在的话），并找到通往“exe”的路径； 解密字符串； 读取配置并开始搜索所有磁盘上的文件； 复制文件和写日志； 将复制的文件归档并清理； 等待10分钟。 为了渗漏收集到的数据，威胁行为者还使用了一系列植入程序将文档上传到Dropbox。 通过可移动驱动器从气隙网络中窃取数据的植入程序 2022年4月，研究人员发现了一款旨在通过感染可移动驱动器从气隙系统中窃取数据的恶意软件。 【植入程序与可移动介质相互作用的简化图】 第一个（主）模块负责处理可移动驱动器，包括如下操作： 收集驱动器信息； 将每个驱动器的文件系统结构克隆到本地临时文件夹中，并保持结构更新至最新状态； 从硬盘中收集被盗文件并在新连接的硬盘上植入第二步恶意软件； 捕获受感染计算机上的屏幕截图和窗口标题。 该主模块在“%TEMP%”中创建一个文件夹，它将在其中存储日志、连接驱动器的信息和驱动器的内容。 接下来，该植入程序对每个可移动驱动器都创建了一个子文件夹，其中子文件夹的名称与驱动器的序列号相同。 该植入程序还会检查这些文件夹中是否存在以下文件，这些文件可用于感染序列号与文件夹名称匹配的可移动驱动器： “exe”，一个合法的McAfee可执行文件，易受DLL劫持； “dll”，这是第二步有效载荷； “DOC”、“PDF”或“DIR”文件，其中定义了要使用的诱饵链接文件。 上述文件存在于分配给特定可移动驱动器的文件夹中，表明攻击者首先分析了可移动驱动器的内容一段时间，然后才将用于感染特定可移动驱动器的文件复制到指定的文件夹中。 要感染可移动驱动器，主模块只需复制两个文件——“mcods.exe”和第二步恶意软件“McVsoCfg.dll”——到驱动器的根目录，并为这两个文件设置“隐藏”属性。 此外，如果存在第四步恶意软件，它也会与第二步植入程序一起复制到可移动驱动器中。 然后，主模块在可移动驱动器的根目录中生成一个诱饵链接文件。 当用户打开诱饵“.lnk”文件时，操作系统将加载“mcods.exe”，该文件又将加载“McVsoCfg.dll”，并调用其函数“McVsoCfgGetObject”。 【通过受感染的可移动媒介染隔离网段中的计算机的简化图】 之后，该植入程序通过从自己的文件（“McVsoCfg.dll”）中提取第三步恶意软件可执行文件，并将其以“msgui.exe”的名称保存到被攻击主机上的“%APPDATA%”中。 第三步植入程序“msgui.exe”非常小且简单——它被设计成使用“cmd.exe”执行批处理脚本来收集数据，并将输出保存到驱动器的“$RECYCLE.BIN”文件夹中，以便恶意软件的主模块（当连接到最初受感染的主机时）可以收集数据。然后，它会查找要执行的任何第四步文件，然后将其删除（如果存在的话）。 第四步恶意软件由两个文件组成： 有效载荷的简单dropper（类似于第二步恶意软件所使用的）； 该有效载荷实际上是第一步模块的修改版本，也用于收集有关驱动器的信息，收集文件，捕获屏幕截图和按键（当连接到最初受感染的主机时），但没有负责感染可移动驱动器的例程。 两个模块（第一步和第四步）具有相似的配置和数据保存例程： 【通过受感染的可移动媒体在隔离的网段中收集数据的简化图】 为了收集所有被盗数据，威胁行为者使用远程shell来运行旨在上传数据的植入程序。 第三阶段植入程序和上传数据到C2的工具 第三阶段植入程序由威胁行为者通过第一阶段植入程序和第二阶段植入程序进行部署。 第三阶段植入程序与第一阶段植入程序有很多共同之处，包括使用基于云的数据存储（例如Dropbox、Yandex Disk），代码混淆以及实施DLL劫持技术。 用于上传文件到Dropbox的植入程序 一系列用于上传文件到Dropbox的植入程序，被设计成与第二阶段的文件收集植入程序协同工作。 该恶意软件堆栈由三个植入程序组成，形成一个直接的执行链（由三个步骤组成）。 第一步用于持久化，部署和启动第二步恶意软件模块，该模块负责通过调用第三步植入程序将收集到的文件上传到服务器。 在分析中，研究人员确定了在初始攻击几个月后部署的第三步植入程序的五个变体，以及第二步植入程序的两个变体。 执行链中第二步植入的第一个变体旨在解密第三步有效载荷并将其注入合法进程（例如“msiexec.exe”）。除了C2地址外，该链中第三步有效载荷的所有变体几乎相同。 第三步变体中的C2 IP地址引起了研究人员的注意，因为它是本地IP地址。这意味着威胁行为者在公司内部部署了一台C2，并将其用作代理，从无法直接访问互联网的主机上窃取数据。 后来，攻击者部署了第二步植入程序的新变种，其功能包括查找Outlook文件夹中的文件名（即电子邮件帐户名称），执行远程命令，并通过调用第三步植入程序将本地或远程“.rar”文件上传到Dropbox。 要上传本地文件，第二步植入程序要调用第三步植入程序，后者应该已经部署在机器上的静态定义路径“c:/users/public/”或与第二步植入相同的路径上。 所有第三步变体都旨在将从本地机器的“C:\ProgramData\NetWorks\ZZ”收集到的“.rar”文件上传到Dropbox。 手动数据渗漏工具 除了各种植入程序外，研究人员还发现了威胁行为者用于手动数据渗漏的两种工具。 一个名为“AuditSvc.exe”的工具被设计用于上传和下载任意文件到Yandex Disk。OAuth令牌、文件路径和其他一些参数可以作为命令行参数传递。或者，这些参数可以在一个名为“MyLog.ini”的配置文件中定义。 第二个被发现的工具名为“transfer.exe”，旨在从16个支持的临时文件共享服务中任意上传和下载任意文件。 通过Yandex电子邮件服务上传文件的植入程序 通过Yandex电子邮件服务发送文件的植入程序是从Yandex Disk下载的。它还与libcurl.dll进行了静态链接。 该植入程序旨在窃取位于静态路径“C:\Users\Public\Downloads\111.log”的单个文件（该文件已硬编码到植入程序中）。“.log”文件作为附件发送到电子邮件。 “111.log”文件很可能是由前一阶段的植入程序之一产生的，并且可能包含CMD命令的输出或通过上述工具上传到临时数据共享服务的文件的URL。 在一次发送电子邮件的尝试之后，该植入程序就会终止。这样的直接执行流和持久化功能的缺乏可能意味该植入程序更多地被用作一种工具，而非自给自足的服务。 结语 在这项报告中，研究人员分析了威胁行为者用于远程访问、收集数据和上传数据的大量植入程序。 威胁行为者通过将有效载荷以加密形式隐藏在单独的二进制数据文件中，以及通过DLL劫持和内存注入链将恶意代码隐藏在合法应用程序的内存中，使检测和分析威胁变得更加困难。 滥用云服务（例如，Dropbox、Yandex、Google等）的趋势并不新鲜，但它仍在继续扩大，因为当组织的业务流程依赖于这些服务时，想要限制/缓解这种趋势将变得异常艰难。 与此同时，滥用流行的基于云的数据存储，一旦第三方访问威胁行为者使用的存储，就有可能导致被盗数据的二次泄露。 原文链接： https://securelist.com/common-ttps-of-attacks-against-industrial-organizations/110319/ ...

  “Kirin博客”监测发现，近期，据称有俄罗斯政府背景的勒索软件团伙十分高产，继上周新增15名受害者后，LockBit勒索软件团伙又在其暗网数据泄露门户中增加了8名新的受害者，而Clop勒索软件团伙则利用广泛使用的MOVEit文件传输软件中的零日漏洞袭击了科技巨头IBM运营的系统，导致数百万美国人的敏感医疗和健康信息被盗。 LockBit勒索软件狂潮中新的8名受害者 LockBit勒索软件团伙新发布的8名受害者来自世界各地，其中包括总部位于英国的Zaun（生产金属栅栏）、位于迪拜的DIFC法院（负责处理商业和一些民事纠纷）以及两家律师事务所：总部位于曼谷的Siam Premier和瑞典的Luterkort，后者自称是马尔默历史最悠久的律师事务所。 Zaun Limited（英国） Roxcel Trading（奥地利） St Mary’s School（南非） MEAF Machines（奥地利） Max Rappenglitz（德国） Siam Premier（泰国） Luterkort Advokatbyrå（瑞典） Majan（阿联酋） DIFC Courts（阿联酋） > LockBit [\#ransomware](https://twitter.com/hashtag/ransomware?src=hash&ref_src=twsrc%5Etfw) group has added 8 victims to their [\#darkweb](https://twitter.com/hashtag/darkweb?src=hash&ref_src=twsrc%5Etfw) portal: > > – Zaun Limited?? > – Roxcel Trading ?? > – St Mary's School ?? > – MEAF Machines ?? > – Max Rappenglitz ?? > – Siam Premier ?? > – Luterkort Advokatbyrå ?? > – Majan ?? > – DIFC Courts ??[\#DeepWeb](https://twitter.com/hashtag/DeepWeb?src=hash&ref_src=twsrc%5Etfw) [\#CybeRisk](https://twitter.com/hashtag/CybeRisk?src=hash&ref_src=twsrc%5Etfw) [\#CTI](https://twitter.com/hashtag/CTI?src=hash&ref_src=twsrc%5Etfw) [pic.twitter.com/5ImQbAJMr1](https://t.co/5ImQbAJMr1) > > — FalconFeedsio (@FalconFeedsio) [August 13, 2023](https://twitter.com/FalconFeedsio/status/1690676630732058626?ref_src=twsrc%5Etfw) 博客上没有详细说明LockBit声称窃取的数据类型或索要赎金的细节。所有受害者都被给予16天或更短的时间进行赎金谈判，否则他们将面临数据被泄露到暗网的风险。 LockBit勒索软件团伙越来越猖獗 这些新的受害者的消息发布不到一周前，该团伙将15个组织添加到其泄密网站，其中包括拥有25000名居民的加利福尼亚州埃尔塞里托市，以及位于美国同一州的一家名为瓦里安 (Varian) 的医疗保健公司，该公司专门从事肿瘤治疗。该团伙威胁称，如果该公司拒绝支付赎金，就会将癌症患者的医疗数据发布到暗网上。 上个月，LockBit勒索软件团伙在5天内攻击了10名受害者，其中包括日本最大的贸易港口名古屋，导致该港口完全关闭，影响了包括汽车巨头丰田在内的公司的货物运输。 Clop勒索软件团伙利用MOVEit漏洞攻击IBM，数百万美国人的健康数据被盗 负责管理科罗拉多州医疗补助计划的科罗拉多州医疗保健政策和融资部 （HCPF）周五证实，该部门已成为利用MOVEit漏洞进行大规模黑客攻击的受害者，导致超过400万患者的数据被泄露。 HCPF在向受影响者发出的数据泄露通知中表示，数据遭到泄露是因为该州供应商之一 IBM“在正常业务过程中使用MOVEit应用程序移动HCPF数据文件”。 通知指出，虽然HCPF或科罗拉多州政府系统没有受到此问题的影响，但“IBM使用的MOVEit应用程序上的某些HCPF文件已被未经授权的行为者访问。” 这些文件包括患者的全名、出生日期、家庭住址、社会安全号码、医疗补助和医疗保险ID号码、收入信息、临床和医疗数据（包括实验室结果和药物治疗）以及健康保险信息。 HCPF称约有410万人受到影响。 IBM MOVEit系统的入侵也影响了密苏里州社会服务部（DSS），但受影响的人数尚不清楚。密苏里州有超过六百万人口。 在上周发布的数据泄露通知中，密苏里州DSS表示：“IBM 是一家向DSS提供服务的供应商，DSS是一个向符合条件的密苏里州人提供医疗补助服务的国家机构。该数据漏洞并未直接影响任何DSS系统，但影响了属于DSS的数据。” DSS表示，访问的数据可能包括个人姓名、部门客户编号、出生日期、可能的福利资格状态或承保范围以及医疗索赔信息。 虽然科罗拉多州的HCPF和密苏里州的DSS都没有被Clop勒索软件团伙在其暗网数据泄露网站列出，但该团伙声称对大规模黑客攻击负责。 美国国务院曾悬赏1000万美金征集Clop勒索软件团伙的线索 今年以来，Clop勒索软件团伙大肆利用MOVEit漏洞，攻击了美国数十家政府、航空、能源等机构，窃取了大量的内部数据。 > Advisory from [@CISAgov](https://twitter.com/CISAgov?ref_src=twsrc%5Etfw), [@FBI](https://twitter.com/FBI?ref_src=twsrc%5Etfw): > > Do you have info linking CL0P Ransomware Gang or any other malicious cyber actors targeting U.S. critical infrastructure to a foreign government? > > Send us a tip. You could be eligible for a reward.[\#StopRansomware](https://twitter.com/hashtag/StopRansomware?src=hash&ref_src=twsrc%5Etfw) [pic.twitter.com/fAAeBXgcWA](https://t.co/fAAeBXgcWA) > > — Rewards for Justice (@RFJ\_USA) [June 16, 2023](https://twitter.com/RFJ_USA/status/1669740545403437056?ref_src=twsrc%5Etfw) 6月份，美国国务院的正义奖赏计划曾宣布悬赏1000万美元，以获取将Clop勒索软件攻击与外国政府联系起来的信息。...

  近年来，网络攻击的频率显着上升。攻击者越来越多地不仅出于经济利益，而且出于政治动机。各类公司正成为各种形式网络犯罪的受害者，例如网络钓鱼攻击和数据泄露。 为了防范这些威胁，专家建议使用专门的数字风险保护（DRP）服务。这些服务不仅有助于识别互联网隐藏角落中的潜在危险，而且在保护个人声誉方面发挥着至关重要的作用。 然而，问题仍然存在：独立监控暗网是否可行，或者是否建议寻求专业帮助？ 暗网监控，数字风险防护 互联网的底层，也称为“暗网”，已经发展成为一个多功能平台，可以保证网络犯罪分子完全匿名。暗网的范围不断扩大，包括恶意行为者使用的各种工具。即使是看似合法的网站也变成了黑客的工具，包括即时通讯工具、torrents和论坛。 尤其是Telegram，它已成为非法活动的热点，提供了私人频道和聊天等理想条件。此外，近年来进入网络犯罪世界的门槛大大降低，这导致网络攻击规模不断升级。 网络情报和监控的交叉至关重要，因为它不仅仅是侦查犯罪。它需要了解事件背后的动机，并为未来制定预防措施。对暗网的监控在很大程度上依赖于分析人员的手动工作，涉及诸如渗透人员进入暗网黑客论坛或参与招募活动等策略。 数字风险保护平台在保护公司免受犯罪分子利用客户品牌实施的非法活动方面发挥着至关重要的作用。这些非法行为可能包括滥用个人数据收集、品牌欺诈、针对高层管理人员的攻击以及在暗网上暴露敏感信息。 暗网监控如何帮助降低风险 数字风险保护平台利用人工智能的力量，专门用于识别和减轻数字威胁。安全专家普遍认为，数字风险保护不仅有助于降低网络安全风险，还能解决财务、声誉和法律问题。 有趣的是，不使用暗网监控工具的公司可能仍未意识到机密内部信息的潜在泄漏可能性。此外，并非每个人都了解与此类泄漏相关的内在风险。 以下是DRP团队如何减轻网络攻击后果的实际示例。某DRP团队设法从一个暗网地下论坛招募了一名管理员，他愿意以优惠的报酬进行合作。在该论坛中，犯罪分子发布了有关一家大公司内部服务的泄密信息。通过招募过程，专家能够迅速删除这些敏感数据。该公告的可见时间不超过30分钟，防止其他参与者进行任何未经授权的复制。 当今最流行的窃取信息的工具是各种信息窃取程序和键盘记录程序。这些恶意程序旨在从受感染的计算机和手机收集机密数据，例如工作登录凭据、银行卡详细信息等。专家指出，有几个重要项目值得识别，包括出售基础设施访问权、泄露的登录凭证和密码、文件、源代码、公司重要基础设施的照片以及网络犯罪分子的计划。 尽管专家强调了一系列令人震惊的威胁，并且DRP提供了暗网监控的众多好处，但仍有相当一部分公司不知道它的存在。许多组织可能听说过DRP，但尚未将其纳入其安全措施中。 自行开展暗网监控的可行性和挑战 对泄露信息进行切实有效的监控是一项具有挑战性的任务。主要困难之一是如何选择搜索此类信息的来源。这些来源是高度动态的，有些需要专门的技术解决方案，而另一些则根本无法公开访问。发现相关链接并编制有关网络活动的全面统计数据增加了复杂性。 此外，一个重要的考虑因素是确定公司内部谁应负责监控。应该是由内部团队负责，还是外包给第三方专家？ 公司内部的信息资产通常是分散的，需要与各个不同部门协作进行监控。因此，防范数字风险的责任可能超出了主要负责应对事件的信息安全专家。让市场营销、人力资源和律师等其他部门参与进来，可以为这项工作提供宝贵的支持。 确定开展网络跟踪和监控的基本渠道 在开展监控活动时，重要的是不要只关注预定义的渠道列表。为了有效识别漏洞，不仅需要监控暗网，还需要监控可能出现公司关键信息的深网、社交网络和论坛。然而，不同来源的重复数据会使搜索过程变得复杂。人工处理如此大量的数据是不切实际的。 这些数据源的动态性质凸显了开发数字风险保护系统并使之自动化的重要性。。如果没有这样的系统，监控的有效性就会显着降低。此外，网络上的信息经常被删除或审核。如果公司不能及时发现和应对泄漏的数据，人工检索几乎是不可能的。 DRP解决方案的技术方面涉及一个独特的功能：设计用于搜索公开来源信息的算法不一定总能在更私密和非公开的资源中有效发挥作用。必须审查和修改搜索和选择算法，以确保信息检索的准确性和全面性。 DRP客户的结果和成果 通过实施DRP，公司可以有效地满足其各种需求，从监控和警报到分析和事件响应。实施DRP后，企业将获得全面的覆盖，并由高度专业的专家处理整个过程。他们不仅监控和检测潜在威胁，还立即采取行动减轻威胁。 例如，如果客户遇到网络钓鱼攻击，DRP专家可能会进行干预，以阻止欺诈性资源的操作在机密数据泄露的情况下，专家会负责与相关销售商或分销商沟通。此外，他们还协助创建必要的文件，以便向执法机构报告事件，并与客户的信息安全部门合作，协调事件响应工作。 为了确定DRP服务的内部客户，建议评估信息安全部门以及公共关系（PR）、人力资源（HR）和营销部门的具体需求。不同的部门可能负责处理各种类型的威胁。例如，一个团队可能专门打击网络钓鱼企图，而另一个团队则专注于解决内部泄密和内部威胁。对于客户来说，关键是要在组织内部确定具备处理特定数据所需的专业知识的人员。例如，市场营销部门可以负责监控与媒体相关的风险。 DRP趋势和预测 在过去的一两年里，人们对数字风险保护解决方案的兴趣显着增加，导致其客户群显着扩大。五年前，DRP被认为是一种利基产品，主要由国家机构和大型企业使用。然而，现在的情况已经发生了变化，各部门和各行业的客户情况已经多样化。 如今，DRP已覆盖小型企业、零售机构、电子商务平台和各种服务。预计这一趋势未来仍将持续。对于许多行业和组织来说，DRP正在从可自由选择的选项转变为必需的选项。 结论 并非所有公司都完全了解与数据泄漏相关的风险。有些公司甚至对过去的黑客事件一无所知。然而，越来越多的DRP工具的当前和潜在用户热衷于保护自己的品牌和声誉，以及应对经济风险。 网络攻击的普遍性预计将继续增长，从而推动对数字风险保护解决方案的需求增加。虽然公司可以自行监控暗网以识别潜在威胁，但这种方法并不有效或经济上合理。被盗信息的来源不断变化，监控封闭资源需要额外的财务投资和专业技能。 提供数字风险保护服务的专家可以提供全面的服务，满足客户的所有需求，包括监控、警报、分析和事件响应。这些专业人员拥有驾驭错综复杂的网络威胁所需的专业知识。他们积极介绍和招募影子网络中的个人，以迅速收集和删除危险信息。此外，它们在自动化DRP系统并使其适应不断变化的数据源方面发挥着关键作用。 通过利用DRP专家的专业知识，企业可以有效降低数字风险，确保采取积极有效的方法来保护其资产和声誉。这种方法比自我监控更可取，可以让企业专注于其核心业务，同时将数字风险保护的复杂方面留给专业人士。...

众所周知，PHP 是世界上最好的编程语言。 当然大家都知道这只是调侃 PHP 的一个梗，这个梗来自 PHP 官方文档里的一句描述：PHP is the best language for webbing。意思是 PHP 是构建网站最好的语言。这句话，最早出现在2001年7月的PHP文档中。 于是在后来的编程语言论战中，这就变成大家调侃PHP 的一个梗。那么 PHP 到底是不是最好的编程语言呢？虽然这是一个能引起论战的好话题，但并不是一个好问题。当然也没有让所有人满意的答案。我喜欢的一种回答是，哪种语言让你体会到了编程的乐趣，它对于你来说就是最好的。为什么这么说呢？ 1、兴趣是最好的老师 当我们开始学习编程的时候，如果有哪门语言相对来说入门比较容易，能快速看到成果，激发自己的编程兴趣，那么 PHP 是足以胜任的。PHP 本身是弱类型的，不需要特别关注变量的类型，就能写出可以正常运行的代码。另外 PHP 内置了丰富的函数，几乎只要你想到的功能，就有对应的函数。另外现在也有非常强大和成熟的编程框架，以及composer 包管理的加持，可以快速构建非常复杂的站点。 对于初学 web 编程的开发者，我还是会推荐从学习 PHP 开始，特别是编程基础不是很牢固的新手。这样可以让你在初学阶段，不至于从入门到放弃。 2、语言只是工具 语言只是一种工具，就像你用斧子劈开木头，用电钻在墙上打孔。编程语言也只是你达成某种目的的工具而已。有些不同的场景需要你随时切换不同的编程语言来实现。我一直比较反感自称自己是 xx语言程序员的人。这就像木匠不会说自己是锯子木匠，斧子木匠一样。 选择 PHP 入门，之后我们也可以去探索其他语言，比如 python、java、go 等。这样也能体会到不同编程语言的设计初衷。能够在不同的场景选择更适合的语言。有一些人认为：写多了 PHP 再去写强类型语言会很难适应，这也是无稽之谈，我们从小说汉语，也不耽误我们将来学习英语。 最后，如果你有兴趣学习编程，那么别管什么语言，只要你能从中得到编程的乐趣，能够帮助你完成编程入门，后续再去根据实际需要学习更多其他语言，不要给自己设限，更不要把自己限制在某一种编程语言中。比限制在某种语言中，更可怕的是限制在某种语言的某个框架里，离开这个框架就不会写代码。...

作为一名SEO从业者，我们必须知道友情链接是网站优化中不可或缺的一部分。通过与高权重网站的交换友情链接，可实现权重传递，从而帮助自己的网站提升权重，提升关键词排名以及流量，从而带来潜在客户。然而，友情链接的价值也取决于其质量，因此在选择友情链接时要谨慎，选择优质友链。那么，如何寻找适合的友情链接呢？在此本文将介绍友情链接寻找方法和需要注意的几个方面。  一、友情链接寻找方法：  1、网站交换链接平台和QQ群。通过go9go等交换链接平台，可以发布自己的友情链接需求，也可以筛选与自己网站相关的高质量友链，然后直接联系对方进行交换。另外，我们还可以通过加入与自己行业相关的QQ群，发布或观察友链需求，找到适合自己网站的友情链接资源。   2、直接在搜索引擎中搜索。通过在搜索引擎中搜索行业关键词，我们可以找到相关企业网站，尤其是排名靠前的网站，因为这些网站的优化做得比较好。与这些网站交换友情链接，才能真正体现友情链接的价值。直接与网站管理员进行沟通，只要自己的网站与对方网站的优化差异不大，一般都能够交换链接。  3、同行业友情链接资源。通过寻找优化做得好的同行，查找其网站交换的友情链接，筛选出适合自己网站的友链资源，然后与网站管理员沟通，看其是否需要交换友情链接。因为同行业网站的匹配度更高，更容易获得搜索引擎的认可，同时能使优化更加精准，因此这是非常有效的一种方式。   二、友情链接注意事项： 1、选择活跃的网站。只有积极维护、每天更新内容、发布相关外链的网站才能被认为是活跃的网站，这类网站蜘蛛爬取频率更高，相应的权重也更高，对自己网站的优化帮助更大。如何判断网站是否活跃？可以使用站长工具查阅其更新文章的频率、文章收录量、首页快照时间等指标。更新的频率越高，收录量越多，快照更新的越频繁，表明该网站越活跃。 2、优先选择同行业友情链接。同行业友情链接的匹配度较高，更容易获得搜索引擎的认可，同时能够使优化更加精准，因此在选择友情链接资源时，应优先选择同行业的友链。如果实在找不到同行业的友链资源，也可选择上下游企业，但同行业的友链具有更好的效果，能为企业带来更多潜在客户。 友情链接的价值不仅在于数量，更在于质量。因此，我们在选择友情链接时要三思，选取加入适合自己网站的优质友链，以提升自己网站的权重和排名，也为网站带来更多潜在客户。 三、交换友情链接未必会一帆风顺 作为一名SEO从业者，在换链接的过程中遇到了不少困难和挑战。这次换链接，对方要求我们寻找PR大于等于5、alexa世界排名大于等于1万、百度收录正常的IT类网站。但是我意识到这样的要求过于苛刻，于是我重新定位，只选择PR大于等于6、alexa世界排名大于等于8000、百度收录大于等于5000的网站。结果发现这样做难度更大了。 在实践中，我遇到了一些问题。首先，有些网站对于行业限制非常严格，比如只换同一行业的其他网站的链接，这导致我们的选择范围变得非常狭窄。其次，有些网站并不太重视友情链接，甚至没有相关的内容。这时候，我们只能靠人脉和人际关系来找到合适的链接资源。第三，有些网站虽然有友情链接的模块，但是要求我们先在对方网站做上链接，然后才能申请或发送e-mail，这样也会浪费很多时间。最后，有些网站对流量要求也很高，不关注真实IP少的网站。这些都给我们的工作带来了一定的困扰。 在做链接交换的时候，我们需要更加审慎和灵活，遵循行业规则的同时也要充分利用自己的人脉和资源，才能更好地完成任务。 四、怎样通过大站获得高质量友情链接 首先要说的是，在建立软件企业站或服务站的时候，很少需要频繁地更换链接。实际上，许多这样的站点，像DEDECMS和帝国CMS以及其他的cms发布站，几乎不需要更换链接。然而，这些站点在搜索引擎的排名和权重上表现非常优秀。 其次，大站换链接更看重人脉。这要求你与其他站点的站长建立良好的关系。如果你和这些网站的站长之间有着良好的人脉关系，那么换链接就不再是一件棘手的事情了。换链接对双方都是互惠互利的。站长们当然不会放弃这样的机会，只要是对彼此有利的事情，他们会乐意去做的。 最后，想要获得优质的链接，必须认真做站。如果你的网站不够优秀，那么你即使是和人脉很好的站长合作，也很难获得高权重的链接。毕竟，换链接是一种互惠互利的行为。如果你长期依赖朋友关系的帮助，这不利于你与这些关系的发展。就好像两个人在相处的时候，如果一个月入万元，而另一个月入千元，他们之间的交往也会变得吃力。因此，提高自己的水平，做好自己的网站是取得好的链接的关键。 就我的经验而言，我从未建立过一个Alexa世界排名在10万以内或PR超过5的站点，因此有些遗憾。所以，从现在开始，我必须努力打造一个PR5以上、Alexa世界排名10万以内的站点，否则我无法与那些精英站长共进咖啡。...

一、攻防演练概述 自2016年开展首届HW行动以来，越来越多的企业、单位加入到HW行动中来，网络攻防演练越来越贴近实际情况，越来越考验其实际安全能力。HW行动对于我国网络安全行业发展有着巨大的促进作用。假若没有HW行动，大多数企业的安全防护体系建设还停留在预算审批阶段，在没有出现大的安全事件和触碰合规红线之前，企业对于安全方面的投入极为克制。HW失败，一年白干，这虽然是业界的一个段子，但是某些时候还是很有道理的。对于所有网络安全人员来说，这是一次年度大考，攻防演练的成败直接决定了他们本年度的绩效。对于提供驻场服务的安全厂商来说同样十分关键，第二年的攻防演练订单能不能续上就看今年驻场人员的表现。 由于HW行动的所有参与单位，最终根据其所获得的分数进行排名，随意排名靠后的单位就会非常被动。虽然不会面临直接处罚，但是会直接影响其评优等多项工作，重要性毋庸置疑。例如2022年，业界疯传某个金融单位因为在网络攻防演练中表现过于糟糕（系统被打穿），直接导致该单位二把手被撤职，下边安全人员和厂商驻场人员都讨不了好。 在攻防演练中，攻守双方分别是红队和蓝队，红队大多数都是由“国家队”、厂商渗透技术人员组成，其中“国家队”的占比大概是60%左右，负责对目标单位发起实战式网络攻击，以此检验其防护体系的实际安全能力。而蓝队基本基本是由企业/单位安全人员、厂商驻场安全服务人员组成，他们不仅要对抗红队持续发起的各种网络攻击，还要在溯源中固定证据，反制红队人员。 二、给蓝队防守方的11个忠告 1、运气第一，实力第二（手动狗头保命） 哪怕实力不强，运气好没被打破，轻轻松松取得令人羡慕的成绩；运气差，哪怕实力再强也有可能因为一个小错误而崩盘。有时候运气这种东西真的没办法吐槽，大家尽力就好。 2、攻防演练再怎么重视也不为过 攻防演练是检验安全体系建设有效性的关键指标之一，就像前文说的“这是一次安全人员的大考”，因此在攻防演练考试之前安全部门需充分向上管理，强调“攻防演练”的重要性，借此尽可能多申请资源，包括应急演练大屏、防守方专用电脑、部署监控视频等。 不论是驻场人员还是内部福利，有多少搞多少，这样才能更好滴提振士气；同时也要做好向下管理，提前给安全人员打好预防针，使得内部在行动指挥上形成统一。据说2023年HW行动刚刚开始，四川某运营商就已经被打穿，这一消息在网安圈内疯狂传播，不论是出于舆情考虑还是站在攻防演练的重要性上（ZZRW），该运营商的领导层都处于一个十分被动的位置，对于安全人员来说也是一个非常糟糕的消息。 3、神队友还是猪队友决定了攻防演练的成败 对于大多数公司/单位来说，蓝队防守方仅仅依靠公司内部安全人员是万万不行的（类似于电信行业大佬不在统计中），所以必须要找外援。说的再直白一点，攻防演练和篮球足球比赛差不多，在某些时候外援才是决定胜负的关键。如果遇上厉害的大佬，直接躺着就把分拿了。 至于怎么找到靠谱的白帽渗透人员，除了已有的资源外平时可以多参加一些相关会议，积累一些人脉。还有个不太文明的方法，如果有心仪的白帽可以将压力给到合作的厂商，利用他们的白帽资源来完成招募的目标。 不论是新队伍还是老队伍，面试环节都需要严肃对待，防止滥竽充数的混子影响战斗力，包括对人员进行技术能力、背景等方面的审核，确定防守方负责人并构建防守方组织架构，与第三方人员签署保密协 议，向防守人员宣贯防守规则及演练相关要求。 4、能不能写好技战法也是一大关键 一篇合格的技战法可以起到锦上添花的作用，让我们的成绩更加明显，也能让错误变的不那么明显，简单来说就是多得分，少掉分。自2016年开展HW行动以来，攻防演练双方的专业水平已经逐渐提升，防守方越来越多地通过设备联动、纵深防御、应急响应、溯源反制来抵挡攻击方专业的网络攻击。因此防守方技战法撰写的四大核心点分别是设备（体系）联动、纵深防御、应急响应、溯源反制。这四大核心点又可以进一步拆分成多个小点，围绕其中某一个点写深写透，凸显我方在攻防演练中的努力与成绩。 5、资产盘点是攻防演练前的准备 大多教情况下，蓝队对于自己的资产情况把控不够，导致部分资产未能纳入有效监测、防护范围，这就成为了防护体系中的暴露面。红队在发起进攻前，会先收集这些薄弱点，并以此为跳板攻入企业关键系统。 资产是安全运营的基础支撑能力，合格的安全管理是建立在对于资产全面且精准掌握的基础之上，动态、周期性的资产监测以及及时的变更预警是非常必要的，保持对于资产部署分析、业务属性及应用上下游关系等清晰的认知，才能够将企业在互联网的暴漏面进行持续收敛。 公网资产评估:通过收集企业暴露在公网的资产信息和敏感信息，分析存在的未知公网资产、以及业务系统源码、账号密码暴露等安全风险，协助企业在攻击者发起信息收集前收敛外部攻击面，提升企业对自身资产的掌握程度以及应对突发安全事件的能力。 内网资产评估:从内网安全维度对主机安全产品核心功能模块的检测结果进行详细分析，从而发现操作系统、业务系统存在的风险隐患为客户解读并持续跟进风险整改期间各类技术问题，协助企业提升操作系统、业务系统本身的健壮性，进而提高内网横向攻击门槛。 6、溯源与反制是防守方的得分神器 由于攻守双方天然处于不对等地位，因此在攻防演练中防守方如果能够通过主动式欺骗措施（例如高级蜜罐）来诱敌深入，收集信息并固定证据，最终对攻击方进行有效杀伤，将会获得非常多的加分。 溯源反制比较关键的是有效还原攻击链： 攻击者是通过“哪个系统”+“哪个漏洞”打进来的，确认攻击IP有哪些。 攻击者打到内网后做了什么操作，例如“流量代理”+“内网穿透”。 最后总结哪些互联网和内网系统被拿下了，并且通过安全流量设备等方式证明攻击者的攻击动作。 在溯源反制中，攻击源捕获是至关重要的步骤，在网络攻击发生时防守方需要通过各种方法获取攻击者的信息，比如说攻击者开始攻击的时间、攻击的手法、利用的漏洞、入口点是什么、有没有在服务器里留下后门、攻击者的IP地址是什么，被攻击的主机有哪些等。 7、布置好蜜罐 蜜罐是溯源与反制中最关键的技术。在攻防演练中，攻击者常利用的突破口多为对外开放的站点、服务上存在的漏洞、未经严格控制而开放的测试站点等。防守方应当提前分析自身网络特性，找到攻击者最可能“光顾”的区域，加强防护的同时，在相应区域内的关键信息节点部署蜜罐，使攻击者在信息收集阶段受到干扰，进而诱导攻击者对蜜罐发动攻击。 另外，目前不少蜜罐都能够监控和记录攻击者进入蜜罐后的所有动作进行，Web类的蜜罐还可识别和记录攻击者使用的攻击方法和攻击载荷，可作为判断攻击者意图的重要依据。防守方将由蜜罐收集的信息汇总至欺骗伪装平台，由平台进行统一分析，根据攻击者的攻击意图战略调整监控防御节点，做到因“敌“制宜。 最后还可以化被动为主动，充分使用主动诱捕战术。主动诱捕主要作用于演练活动启动前2-3天内，此时攻击方正广泛收集目标资产信息，防守方的目标是污染攻击方掌握的资产情报，并诱导攻击者优先访问伪装探针节点。 8、十二分防范钓鱼邮件 随着攻防演练变的越来越规范，除了使用0Day漏洞等大杀器外，攻击方其实很难对防守方的防护体系进行有效突破。这时候攻击方最常用的打点方式就是网络钓鱼攻击。 一般来说，一个制作精良的钓鱼邮件基本都有以下特征。首先是绕过防火墙等查杀手段，目前有多种免杀技术可供攻击方选择，例如使用分离加载的方法，通过C++编写的加载器，并使用MSF作为C2很容易制作一封免杀的钓鱼邮件。 其次，钓鱼邮件都有极强的针对性，里面包含了大量的社会工程学，是对目标用户发起针对性钓鱼，中招的概率并不低。2020年某集团企业副总就曾被钓鱼，直接导致攻防演练被打穿，该副总也因此被开除。因此，在攻防演练期间，企业所有员工必须高度重视钓鱼邮件，提高警惕性，不乱点击附件、网址等，一旦发现可疑邮件立即向安全部门报告。 最后，防守方成员也是攻击方钓鱼的重点目标。这几天各种0Day漏洞的消息满天飞，不少攻击队趁机利用这些漏洞进行钓鱼，大家切勿上当受骗。 9、安全意识培训很有必要 第8条提到钓鱼邮件，那么就不得不提及安全意识培训，尤其是在攻防演练期间很有必要对全员进行安全意识强化培训。以上文提及的钓鱼邮件为例，安全部门可列举常见的钓鱼邮件，深入分析其各项特征。这里分享一个方法，即在攻防演练之前预先发起一次钓鱼邮件攻击测试，对于中招的员工进行专门的培训，提高其安全意识。 钓鱼邮件只是其中之一，还有诸如弱口令、随意连WiFi、随意插U盘都会带来相应的安全问题，企业若能打出一套漂亮的安全意识提升组合拳，定可以大大减少因此带来的安全风险。因此在培训方面也要下一些功夫，这里建议安全部门可以联合行政、人事或市场人员共同参与，制作高质量的安全意识培训内容，而不是像上课一样照本宣科。在进行安全意识培训时可重点关注四大要素：游戏化、个性化、多样性和高质量内容，力争培训内容新颖有意思，千万不能为了培训而培训。 10、加大近源攻击防备力度 这两年近源攻击开始越来越流行，并且被认为是突破企业安全防线的有力突击技术。不同于通过有线网络进行安全性检测的传统方式，近源渗透测试是指测试人员靠近或位于测试目标建筑内部，利用各类无线通信技术、物理接口和智能设备进行渗透测试。近源渗透涉及到的测试对象非常多，包括WiFi、蓝牙、RFID、ZigBee、蜂窝、Ethernet等各类物联网通信技术，甚至包括智能设备的嵌入式安全。 分享部分近年来近源攻击中攻击队常用的工具，防守方可以有的放矢。 无线网卡：外接无线网卡主要是用来配合kali破解无线密码的，现在一般是通过抓握手包然后跑包来破解。还有其他的方式可以通过伪造SSID钓鱼等等。 WIFI 大菠萝：大菠萝不是吃的那个玩意，可以说是一个钓鱼WiFi。最新版本的大菠萝功能更强大，其实可以替代上面的外接无线网卡了。大菠萝可以捕获握手包并模仿目标AP，甚至可以完全模仿首选网络，从而实现中间人攻击。 EMP干扰器：当前电子设备和电路的工作频率不断提高，而工作电压却逐渐降低，因此对电磁脉冲（EMP）的敏感性和易损性也不断增加。同时，电子系统中的集成电路对电磁脉冲比较敏感，往往一个较大的电磁脉冲，就会使集成块产生误码、甚至电子元器件失效或烧毁等。 变色龙：变色龙主要有三种使用方法，第一种是随机化UID进行模糊测试、第二种是支持IC卡的仿真、第三种是存储多张虚拟化卡。 11、利用情报提升威胁感知能力 在攻防演练场景，威胁情报可以作用于防护的多个环节。威胁情报的作用多在于与所有防护产品融合带来的能力加成，它与检测阻断类产品如防火墙、IPS、WAF等联动可以提升检测准确率，与蜜罐类产品联动可有效助益对攻击者的溯源与反制，威胁情报的价值在于样本量及准确性，从更高维度的视角打通不同安全产品、不同防护阶段、不同防护位置信息交换的壁垒，掌握单点攻击全网可知的防守主动权。 如果企业缺乏相应的费用投入，那么在攻防演练期间也应掌握一些免费的威胁情报资源。斗象科技、微步在线等发力攻防演练的厂商，每年都会在攻防演练前发布一些列的漏洞合集，可供参考。例如斗象科技在7月底发布《2023攻防演练必修高危漏洞集合》，整合了近两年在攻防演练被红队利用最频繁且对企业危害较高的漏洞，包含了详细的漏洞基础信息、检测规则和修复方案，对于防守方来说有一定的参考价值。 三、总结 攻防的路径千千万万，于攻击方而言，一个路径上攻击失败，不代表整体攻击失败；一个路径上防守成功，也不代表整体防守成功。安全的木桶效应始终存在，只要有一条路径上的短板、脆弱点被攻击方利用，没能及时防守，可能就是全面的溃败。 1、大型机构/企业的总部的互联网边界越来越难攻陷。原因是通常总部边界的资产梳理清晰，暴露面控制得较好、高危漏洞修复及时，边界安全设备(VPN/SDP等）收缩办公业务，同时分析检测、蜜罐诱捕等能力建设齐全能快速发现攻击尝试 2、钓鱼(邮件、HR应聘等）成为重要手段，而且难以避免。安全中最脆弱的就是人，包括我们看到诈骗电话极难控制，就是因为人的脆弱性。多数情况下，钓鱼成功率，通常超过20%（100个邮件阅读者中，有20个人点击恶意附件）。在实际案例中，甚至能高达70% 3、通过泄漏/暴破账号登录业务系统，再分析登录后的业务系统漏洞，成功率高，成为惯用手段。受限于各业务系统的普遍性安全开发水平，多数业务的登录后业务接口，发现漏洞并不困难，文件上传、SQL注入等。 4、分子公司/供应商成为关键脆弱点，迂回攻击成功率大幅提升。分子公司、供应商的安全建设参差不齐，容易被发现脆弱点，从而迂回突破到总部。不少非总部单元，有n-day高危漏洞补丁没有打全，被攻击者轻易突破也是时有发生的事情。 5、0day/1day成为关键致胜手段。由于演练时间有限，所以积累、挖掘0day，并在演练期间通过0day/1day进行快速突破，成为关键致胜手段。 本文作者：爱吃炸鸡， 转载请注明来自FreeBuf.COM...

我跟骗子是咋认识的？wb上私信我聊天聊起来的，我本着多认识一个网友的想法，也没有往网恋的方向上去思考。 后这个骗子隔三差五的乱表白，乱“发情”。我回复的也很冷淡，我也想知道他到底想干嘛，断断续续的聊天。 骗子说他在广州做IT，公司是维护线上彩票啊，dubo网站的，说都是维护正规网站的。我也没多在意。 过几天骗子说公司派他去澳门出差，澳门duchang出现了问题要去维护。第二天晚上他就进入正题了，说发现一组数据是开奖号码，让我帮他下注赚钱。 我就帮他玩了几次，当时他账户里的钱从10w变成了28w，然后提现了，我也没有在意。只是觉得emmm真厉害呢……   </p>   </p> 第三天晚上，这位兄弟又让我帮他玩，我当时人在外面洗脚按摩，就没帮他玩。第四天白天的时候，帮他玩了下。 我对这个本身心有存疑，也偷偷注册了一个号，充值了1500，然后他说什么我也跟着下什么，第二把结束以后骗子可能察觉到了，换了高级厅（要10w+本金才能进的厅）。 我这个本金1500的小菜鸡就没法跟着玩了，然后我把偷偷注册的账号里的钱（共赢了两千多一共4k+）全提取出来了，两小时内到账。然后我就觉得，哇这个赚钱的诶！ 晚上骗子说让我也注册一个要带我理财，我再三推脱，我充了4k，然后骗子还不高兴了，说我没出息没志气？？？ 我本来不想充值，然后他说他会帮我一部分，我在想骗子的话也不至于用他的钱帮我吧……然后我就又充了1w，现在里面是1.4w 然后骗子给我充值了4w。   </p> 这个时候我还没有意识到这个是骗局，脑子里就在想怎么把剩下的4.6w搞定，然后开始第一次微粒贷的借贷…骗子这时候还在那边很笃定和我说不会骗我。   </p> 次日醒来，我从拍拍贷、分期乐借了3w出来（因为微粒贷电话我没接到没贷款成功）将3w充值进账号，骗子又帮我充值1.6w，网站本金达到10w了。（迄今我投进去4.4w） 然后下午骗子就带我开始运作了，他说买什么我就跟着买什么，中途骗子让我去问客服有什么活动。   </p> 骗子让我账户预约一个青铜会员，需要往里面充20w。我没有这么多钱，骗子安慰我说这个20w会帮我达成，我这边达成以后再帮他达成。这时候我心一落地说没问题…   </p>   </p> 玩了几把以后，我的账户金额从10w变成了48w，我也瞬间兴奋了！ 骗子和我说一起想办法解决这个20w。我重新点击微粒贷把微粒贷的3.4w借出来充值进去了，还差16.6w。这时候我已经放下戒心和骗子开始聊天了……   </p>   </p> 骗子之前一直不和我用微信聊天，一直用微博聊天，我还一直问，现在看来他给的解释很牵强，但是当时我竟然还相信了…   </p>   </p> 我还在那边做梦…和骗子在那边算账…我可真的是太愚蠢了……   </p>   </p>   </p> 他说次日他会帮忙给我的账户充值16.6w。次日下午的时候，他说他朋友那边暂时只有7w，先充值进去，还差9.6w。再晚一点他又找了2w充值进去，这样就还差7.6w。这时候骗子开始引诱我再次去借贷。   </p>   </p>   </p> 我还傻乎乎的和他说，我发现我的招商公积金贷能贷款15.2w……然后骗子可能激动了，让我借钱出来，而且开始激将法了。   </p> 然后招商贷钱到账以后我立马充值进去，然后很兴奋的进行提现动作，提现两次均失败。我问客服。骗子开始了下一步套路。   </p>   </p>   </p> 这个时候，我还没有反应过来这是骗局！！！还在那边担心，啊钱怎么还不回来…然后我把招商贷剩下的也贷出来了……   </p> 这个时候我投入进去已经23w了… 基本上都是贷款来的… 我也真的是很愚蠢！！！为什么这么大胆！！！！我傻乎乎的把7.2w都交了进去了…… 到了傍晚，骗子又开始他的套路，然后我再次去点击那些贷款。   </p>   </p> 我又从农商的公积金贷款贷了7w……把剩下的六万多解冻金交掉了…… 这个时候银行已经给我打电话了，问我是不是遭遇了电信诈骗。但是我还是没有起疑心，还傻乎乎的和他说了这个事情…   </p> 这个时候的我已经负债30w了… 客服说要等到次日才能解冻，这个时候我还在做着美梦，想着钱到账了我要怎么孝敬父母…   </p> 等到次日10点，我兴冲冲去提现，又提现失败骗子还在那边假意安慰我…这个时候又出来一个保卡费…还要8w多。   </p>   </p>    </p> 骗子又开始稳住我，说一起想办法。   </p>   </p> 我只剩最后的希望了，我把我最后的积蓄基金大概四万多取出来，让骗子再去借4w多，把这个保卡费交了。 我一直在和骗子保持联系，这个时候骗子的态度没有之前的好了，可能是知道利用价值快没有了… 然后骗子为了稳住我，说最后四万他来想办法。   </p>   </p>   </p>   </p>   </p> 这个时候警察叔叔也给我打电话了！！！但是我还是没有相信警察叔叔…我的天我实在太蠢了。   </p>   </p> 因为有一个基金我看错到账时间了要晚一两天才到账，但是这个保卡费要在8号交。正好8号我工资到账，我脑子也蠢，凑上工资刚好4.2w就又汇款了…   </p> 这个时候 这个骗子又开始套路了   </p>   </p>   </p>   </p>   </p> 这个时候，骗子已经开始态度转变，开始反咬一口了。   </p>   </p> 然后骗子开始了拖拉战术…   </p>    </p> 我当时真的很生气，然后我后来自己去京东白条和花呗套现，搞出了4w交进去。当时我自私的想法是钱拿出来我不给这个男的了。 事情发展越来越严重，我这个账户里的钱已经到了86w，下分的时候又失败。客服和我说让我提供几个朋友的卡号，分批下款，不然一下子八十多万下款账户会被冻结，然后我找了朋友的账户给客服了。 客服说我还要交四万多的给银行的“打点费”。我找朋友借了6w，又tm给客服转了。 这个时候我负债40+w了。 我兴冲冲的第二天问客服，客服又说这个下款被银行驳回，现在需要现金交接给我，公司派出三个代表来和我现金交接，我要交给他们6w出行费… 我找朋友东拼西凑又给他凑齐了…… 这时候负债46w+。 又过了24小时，客服和我说这几个人被扣在海关那边了，需要3w的关口费，我又去凑钱… 49w负债了… 又过了24小时，客服又和我说钱被海关扣了，需要我缴纳20%个人所得税，考虑到我特殊情况，公司帮我承担一半我自己交一半，也就是我交8w多。 我又找朋友借了6w，凑齐了八万多给客服。期待着第二天醒来现金到我手里。 到这个时候我负债55w+。   </p> 钱交完我总不安心，还在那边和骗子交流。   </p>   </p> 果然第二天又出现问题了……   </p>   </p> 骗子开始说我不认真“审题”了开始怪我了。   </p> 然后开始不耐烦的语气说话了，应该是知道我没有钱了……   </p>   </p> 因为一直想这个事情，交不出后续的八万多“税款”。我一直担惊受怕的，得了支气管炎咳嗽的不停，我妈看见我脸色不太对，一直问我发生了什么事情。 我实在忍不住和我妈说了，我妈想了很久和我说这是个骗局。 当下我立马崩溃了，哭了两天最后决定去报警了……冷静下来了这几天我真的觉得自己很蠢，看着之前的聊天记录我都觉得有很多的破绽但是我一直没在意。 报完警之后我一直意难平，微博上发了几段话骂骗子，骗子依然当没事人一样，诈骗犯真的没有心！不得好死！！！！真的！！！ 因为自己家里单亲，我从小性子比较内向，也迫切想要自己能够独立。所以我这次也因为我的性格狠狠地吃了大亏。 是我的贪心毁了我，之前我也信誓旦旦觉得我遇到杀猪盘不会被骗。本来想着做美梦…24岁的我年纪轻轻就能拥有几十万的积蓄… 前两天真的崩溃到想离开这个世界。 我所有的压力，都是因为我太想要。所有的痛苦，都是因为太较真了。有些事不能尽你心意，就是提醒你该转弯了。如果事事都如意，那就不叫生活了 ——原谅我现在才懂得这句话。 想了很久还是把我的被骗经历发上来，给大家做个警示。报了警，警察说找回钱的希望很渺茫，又气又恨，就是难找回。所以现在电信诈骗可以这么猖狂。接下来开始慢慢还债了，为自己的错误买单。 这是我的错我也不会逃避。我从没想过能从网上找到恋爱对象，我只是想赚钱证明我自己。父母觉得我就是月光族的命运，我也很不甘，我想赚钱证明自己。是我太过于贪财害了自己。 家里人也商量了会帮我解决这次的贷款。我心里也记着，我接下来也会努力赚钱慢慢还给他们的。是的，我还年轻，我能够努力赚钱。 来源：全民防骗局   </p> 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文   END   </p>     </p>    ...

这些暴利生意，你了解几个?长时间的沉浸在自己的赚钱圈子里，已经让我很长段时间没有认真去发现和关心过身边的其他人到底在做什么生意，靠什么门路赚钱。 前几年写公众号，很喜欢去剖析别人家的项目，什么玩法什么套路都爱琢磨一二。可能是写得太多了，现在看啥都不香了，没什么项目是能够让我听完瞬间热血沸腾的。还是三年前刚刚接触到CSGO游戏搬砖的时候有过这种感受。 01 其实我们身边到处都是赚钱的门路和点子，只是你不善于去发现。发现了也不愿意去做，做了也未必能坚持。就比如在华强北，一部二手手机，拿货90元，有人转手挂闲鱼上就卖150元，淘宝上卖价200元，还是同样的手机，在某某直播间里却被炒到350元。 同样在赛格电子楼里，一台搬砖主机批发价只要120元，而地下城的主播包技术指导，16台为一组，要价16800元，同学们，知道什么是割韭菜吗?如果割韭菜有段位上面的应该算是王者了吧。高耸云端的电子大厦里，排列着大大小小的档口，一台笔记本，一部手机，几件样品，却做着月流水200W以上的电商生意，而租金才一月2W。暴利程度无法想象。 当全国都在打击淘宝违禁内容刷信誉时，我却在成都看到一家违禁内容公司，专搞薅羊毛的生意，员工上百人，做得风生水起，有些生意就是在争议中悄悄崛起，而普通人又怎能理解呢? 02 我认识一个在日本开二奢公司的老板，每天靠帮会员拍卖二奢包包赚得盆满钵满。会员通过他们几百-1000元就能拍到自己想要的包包(7-9成新)，会员把这些包包拿回国内在朋友圈，小红书，某音某宝某闲鱼上挂卖，或者红布林、只二等二手奢侈品平台寄卖，平均售价在3000以上。这暴利程度你能想象吗?只要你不缺流量，这绝对是一桩稳赚不赔的生意。 不瞒大家说，这条暴利生意的链路童话花了好几个月时间已经全部摸清，当时差点就去报考了奢侈品鉴定师资格证的考试。奈何还是手头项目和学员太多，根本腾不出时间去让我干别的。心有余而力不足，只能忍痛放弃。 03 不难看出，当下能赚到钱的，无一例外是靠信息差，赚的就是你不知道的钱，赚的就是你不懂的钱，赚的就是你想赚钱的钱。 赚钱是很高端，很高难度的事吗?未必! 赚钱实际上对智力和认知要求很低，它不需要你有爱因斯坦般通天彻地的“认知”，不信，你看看目前某音上最捞钱的那些个大师，往往都是些厚脸皮、敢吹嘘、觉得老子天下第一实则内核狗屁不通的主，这就是最好的证明。而很多真正的天才艺术家科学家就因为精力配置点没放在商业上，终其一生都穷困潦倒。 可为什么这么多机会还是有很多人赚不到钱呢? 童话觉得，无外乎这么几个原因： 1、为了省钱而不愿意花钱，因为有些商机是要花钱才能接触或者嗅得到的。 2、不愿意走出去结交朋友，因为增长见识方式有很多种，有人通过免费的文字，视频，而有人通过请客与人交谈，朋友的财富就是我们的财富，这句话理解了，也就富了。 3、对任何事情，都处在一个表面的认知层面，刚刚学个皮毛马上又被其他更具诱惑力的东西吸引，导致对任何一件事情都没法领悟到核心要素，就像猴子掰玉米，感觉哪个都新鲜，最终都是竹篮打水一场空。 4、身处的圈子有限，导致自己的思想高度有限，也没有胆量去探索陌生领域，劳其一生，也就那样了。 走在大街上，随处可见蹲在垃圾桶边捡东西吃的年轻人，你别不信，越是大城市，这样的现象越多。有时候我真的很不理解，他们的脑袋里到底在想什么，为什么年纪轻轻就放弃了奋斗选择了躺平。 他们是真的智商有问题吗?是真的没有赚钱的能力吗?其实都不是，是脑子里缺少思想! 人的思想，就好比电脑里安装的软件一样，需要做什么事，就需要安装什么样的软件，一台新电脑，什么软件也没有，啥活也干不了，那跟台废电脑没两样。人也是如此，即使你再健康，你脑海里没思想，不知道自己要做什么，该怎么做，那也跟活死人没两样。 如果把我的思想安装到上面捡垃圾吃的那个人的大脑里，这个人第一时间需要做的，就是去找一份体力劳动的工作，工厂上班也可以，先赚到一点钱，租个房子，买台电脑，拉根网线，一边搬砖一边传授别人如何搬砖，赚两份钱，迅速的赚到第一桶金，然后扩大规模，招聘和他一样的闲散人员帮自己搬砖。(哈哈，举个例而已) 04 大多数人都在祈祷上天能给自己根救命稻草，但你们不知道的是，上天一直在给你们救命稻草，但在很多人看来，都不是，都不像，他们认为，只有上天直接撒钱才算，只有他们张口就能直接得到才算，所以在他们看来，生活是越来越没希望，越来越没奔头。 其实当下很多年轻人都活成了这副德行，把机会不当机会，当成陷阱，或者压根就已经分不清是陷阱，还是机会了。如果你还在埋怨你没有钱，你赚不到钱，那么请先想一想，你脑袋里装了快速赚钱的软件了吗?有没有可供马上执行的详细方案?你这颗大脑CPU还能不能调动你这副慵懒的身躯? 躺平很容易，饿死也很简单，但活着最难，父母那个年代那么难，也没有放弃生养我们，他们冒着生命危险去赚钱，来供我们读书识字，教我们为人处世之道，他们不难吗?再难不也扛下来了?而反观现在的年轻人，动不动就不婚主义，丁克家庭，早早的就放弃了生养下一代的责任。你自己活不下去就算了，还不让下一代活，何其可悲。自己不行就多生宝宝吧，把希望留给下一代，万一生个变异宝宝也不一定呢...

项目介绍： 现在大部分人都有追星的心理 ps： 特别是女孩 但是他们又找不到抢票入口，总算找到了她们也抢不到【人太多】，这个时候就需要我们一起去帮抢，简单理解也就是代抢，因为很难抢到所以需要客户联系我们溢价购买 我们同时可以十几个人或者几十上百人帮他去抢一张门票 直击重点： 为什么说了实现了比上班还要赚的多 因为一张门票在成本的基础上会溢价300-500，这就是我们的利润点 ！ 我们需要做的就是在大麦app或者猫眼app上面去操作帮他们抢票 如果你抢到了那么你可以休息好几天了  </div>...

2010年，刘强东面临破产危机，无奈之下找到了身价400亿的张磊说：“哥，借我7500万美元好吗?”没想到张磊大手一挥：“7500万太少了，我给你3亿美元，嫌多的话就别找我。” 2010年，刘强东的京东还只是一个初创公司，面临严峻的生存危机。为打开局面，他决定大刀阔斧改造物流系统。但手头资金捉襟见肘，无奈之下，他联系上了师兄张磊，请求借贷7500万美元。 没想到张磊立刻报出一个天文数字：“7500万对你来说太少了，我直接给你3亿美元吧，嫌多就别找我!”刘强东听后惊呆了。他原计划只是小规模试点，没想到张磊如此慷慨大方。刘强东犹豫再三，还是接受了张磊的投资。 获得巨资后，刘强东果断放手一搏，决定建立一个世界一流的全自动智能物流系统。他组建了一个高端技术团队，引进国际顶级自动化设备，与亚马逊的系统不相上下。 然而建设之初并不顺利，准备工作和调试屡屡失败，进度严重滞后。刘强东在张磊面前难堪不已。好在刘强东没有放弃，继续鼓励团队坚持下去。就在刘强东快要绝望时，物流系统在2014年终于建成投用，一举实现了从运输到存储的全自动化管理，效率提升数倍。这直接带动了京东业务量的爆发式增长。在智能物流的加持下，京东成功上市。张磊当初的3亿美元也在上市时暴涨至30多亿美元。刘强东在商场上一战成名。 事业有成的刘强东，在背后默默感激着张磊。没想到就在这时，一桩丑闻突然打断了他商业精英的形象。 有女子实名举报刘强东性侵，并提供了详细证据。曝光后，舆论一时炸开锅。刘强东不得不公开道歉，但声誉已毁。这也让人重新审视了他与妻子章泽天的关系。章泽天比刘强东小上许多，两人的婚姻自始受到非议。有人质疑章泽天是为了钱才嫁给刘强东的。尽管章泽天否认了这种说法，但外界依旧有微词。 爆出丑闻后，舆论纷纷猜测章泽天会选择离婚。没想到章泽天违背了所有预测，选择宽容和支持丈夫。她在社交媒体上晒出工作生活照，似乎已经翻篇。这一反应让很多人刮目相看。章泽天是一个极具智慧的女性，她在感情和事业上都做出了让步和平衡。这对异域夫妻给了人们启发。 刘强东也从这场危机中汲取教训。他时刻警醒自己，保持谦逊谨慎的工作态度。他也再次感激起张磊的恩情，没有张磊的支持，就没有后来的一切。 人生路上，难免起起落落。但只要保持积极心态，坚持前行，终可到达新天地。刘强东和章泽天的故事还未完待续，值得期待他们关系的新发展。 作者：超一线游资的微博...

黑五类是对“无实际功效产品”的代称。比如附带风水属性的手串饰品摆件，难以治愈却承诺有效的各种保健品，课程质量低却夸张宣传成功率的培训，还有更离谱的AI彩票机，手机修复器... 为什么存在? 只要有需求，那就是市场。哪怕需求再离谱，也一样有人付费。营销本质是满足客户认为有价值的需求。并不是你自己认为有用的需求。市场不讲感觉，只认理性规律。所以黑五类本质是在收智商税，情绪税。 拿电商平台来说： 售价16.8元，商家拿货成本在4元，不计运费毛利74%。货源要么找厂家自己发，要么是找供应链自己只负责推广。 第一种模式： 如果自己拿货，最终净利润也就在20%-30%运费，退货率，广告费，人员工资，出评补单成本...也就是卖一单赚5元左右，你算算能卖几单? 第二种模式： 圈内最普遍的都是这种玩法。供应链代发，自己只负责推广，分佣比例在70%左右。但是售价在29.9元-39.9元左右，不如前者好卖。推广渠道一般是快手、拼多多、抖音。结算基本都是次日线下。 去年在秦岭玩的时候，有个小兄弟做的是本命佛挂件。在快手做，从开始的视频带货到无人直播间带货。工作室五个人，400台手机，当时那个月到手15万左右。但平台一直在打压，引流策略和号源一直让人头疼。没镰刀吹的那么容易。 第三种模式： 自己做供应链，这个需要有大量资金、选品能力、优秀的达人。没接触过，不做解读。黑五类这玩意，看似门槛不高，但其实是个大坑。即使你具备强大选品能力，供应链优势，运营技术，那这种品也持续不了多久。你还要持续开发新品，并和平台斗智斗勇。其实电商毛利70%以上的品类不计其数。 高风险 而黑五类面对的不仅是平台的打击，政策的打击，还有同行的折磨。稍有不慎一旦踩到红线，轻者罚款没收所得重者踩缝纫机，典型的高风险，低回报。不论道德而言，仅从法律和平台政策来说都不是一个好生意。 现在的电商平台已经不存在流量红利了。强大选品能力、货源优势、资金优势。没以上任意一种条件千万别碰。当一件赚钱的事被拿出来卖或者免费送就已经是垃圾了。没任何例外。 如果再有人天天在你耳边说：这个黑五类有多赚钱...快来跟我学习吧。趁早拉黑举报。 作者：天智说 公众号：天智说...

8月14日，有网友在互联网平台发消息称，湖南岳阳三荷机场的停车场立有『涉密管制区域，禁止特斯拉入内』的警示牌，不允许特斯拉汽车进入，如果特斯拉车主有停车需求，可以把人送过去后，停到机场外十字路口右拐处。随后这一消息在互联网平台引发广泛关注和讨论。 该机场公安接线人员也向媒体证实情况属实，告示已经发布了几个月，解释是“特斯拉车辆带有某种模式，车主离开后会对车身周边环境进行录像”。该工作人员还补充说明，现在很多单位都禁止特斯拉入内，机场员工的特斯拉也不能进入。 此次网友争论的焦点其实也是特斯拉一直存在的问题——不少地区限制特斯拉汽车进入。原因是哨兵模式下的特斯拉会通过前视摄像头、两侧翼子板摄像头和后视摄像头持续监控周围环境，并保存相关视频影像。 出于安全方面的考量，不少重要或涉密地区不允许特斯拉进入。事实上，国外对于特斯拉的特斯拉哨兵模式同样感到担忧。2022年，德国《每日镜报》援引德国柏林警方内部文件报道，柏林警方做出决定，禁止特斯拉汽车进入警局各单位或在警局各单位泊车，原因出在特斯拉汽车摄像头系统身上。 报道称，柏林警方在2022年初发现，特斯拉所有车型都会随时对车辆周边环境进行不间断的视频记录，并将这些记录导出。这些记录长久存储在位于荷兰的服务器上，但车主本人并不知道这些数据是如何被处理的。报道指出，由于特斯拉可以自行决定是否与第三方共享这些信息，警方认为，在这种情况下，也只有执法人员才能确保对个人数据的保护。 特斯拉回应数据泄露 针对此次热搜，特斯拉官方微博发文回应称，哨兵模式是目前主流智能汽车标配的一种智能安全配置，并非特斯拉独有。特斯拉车辆出厂时，该功能默认处于关闭状态，需要车主手动开启才能使用。 在手动启用哨兵模式后，车辆上锁并挂驻车挡时如果检测到附近可能存在损害或者盗窃车辆等威胁时，系统会向车主发出警报，并记录车辆周围的可疑活动，将视频片段保存在已安装的USB设备中为用户带来用车安全保障。目前该功能已协助警方破获了多起车辆损害和失窃案件。与一些品牌可以通过哨兵模式远程查看车辆周围环境不同，目前特斯拉车辆的这些数据只离线存储在车内USB设备中，车主和特斯拉均不能远程在线查看。 另外，特斯拉公司已在中国建立数据中心，以实现数据存储的本地化。所有在中国大陆市场销售车辆所产生的数据，都会存储在中国境内。2021年10月政府主管部门联合发布《汽车数据安全管理若T规定 (试行)》后，特斯拉公司作为首批试点企业，积极参与了主管部门组织的合规试点工作。 哨兵模式争议不断 在特斯拉的官网，目前有队哨兵模式进行解释，并指出“为保护用户的隐私，哨兵模式录像不会传输给特斯拉。对于 2018 年及之后生产的车型（软件版本为 2020.48.5 或更高版本），录像将保存到车载存储器，可以通过车辆的触摸屏直接查看。” 截止到目前，业界对于哨兵模式争议存在已久。据媒体报道，2023年2月荷兰数据保护局（dpa）发出声明称，消费者需要为使用特斯拉“哨兵模式”造成的隐私侵权负全责。 由此可见，哨兵模式的争议在于采集的数据是否安全。特斯拉之所以被禁止入内，很大原因是担忧这些环境数据会被悄悄上传至美国，大量泄露我国机密地区的信息；其次是汽车是否有权利随意采集环境数据？一旦开启哨兵模式，无论数据存储在厂商还是车主的USB中，哨兵模式将会持续收集汽车周围的信息，其中不乏个人隐私方面信息。 也许车主不会主动泄露这些信息，但在数据采集过程中并没有征集路人的同意，这是否涉及侵犯了用户的隐私呢？ ...

武汉地震监测中心被网攻“幕后黑手”已锁定，美国神秘侦察系统即将被曝光 《环球时报》记者14日获悉，针对武汉市应急管理局地震监测中心的网络攻击事件，国家计算机病毒应急处理中心和360公司组成的联合调查组已取得新进展，发现了符合美国情报机构特征的后门恶意软件。下一步有关机构将向外界公开披露美国政府一直处于高度保密的某全球侦察系统，其对我国和世界各国国家安全和世界的和平安全都构成严重安全威胁。 7月26日，武汉市应急管理局地震监测中心报警称，该中心发现部分地震速报数据前端台站采集点网络设备被植入后门程序，此事引起外界广泛关注。国家计算机病毒应急处理中心和360公司随即组成联合调查组赴武汉调查取证。国家计算机病毒应急处理中心高级工程师杜振华对《环球时报》记者表示，目前，联合调查组已经在受害单位的网络中发现了技术非常复杂的后门恶意软件，符合美国情报机构特征，具有很强的隐蔽性，并且通过恶意软件的功能和受影响的系统判断，攻击者的目的是窃取地震监测相关数据，而且具有明显的军事侦察目的。 杜振华 图源：环球时报-环球网 美国情报机构为什么锁定地震监测系统？ 地震之后，各国相关机构会对外公布发布震源位置、震级、深度等相关数据，作为一项民用基础设施，地震监测系统为什么会成为美国情报机构军事侦察的目标呢？杜振华介绍，我国是遭受地震灾害最为严重的国家之一，多次发生造成严重人员和财产损失的地震灾害。“因此我国高度重视地震监测和地震预警工作，为了提高地质灾害的监测预警能力，地震监测数据并不限于震级震源等基本信息，还包括地表变形监测数据、水文监测数据等丰富的地理地质数据；这些数据同时也是具有很高价值的军事情报数据。因此，美国情报机构对地震监测中心的网络攻击是一次有计划有预谋的网络军事侦察行动。” 全国政协委员，安天集团董事长、首席技术架构师肖新光接受《环球时报》记者采访时进一步解释说，震源位置、震级、深度虽然是公开发布的信息，但这是基于多传感器的一个感知计算结果，“这些传感器所感知采集的综合震动声波数据，尤其是次声波数据，对研判地质地形、分析武器系统试验、核试验等均有重要情报价值。” 而且这只是美将网络目标对准地震监测等系统的原因之一，肖新光还分析说，当前这部分信息获取只是相关行为体已被曝光出来的行为活动，还有很多针对其他领域的信息窃取尚未浮出水面。凭借其本身对全球的综合探测能力，加之多方位的入侵窃取和其它综合手段运用，获取我方各种各类遥测数据，再综合其他多源辅助数据，就形成了对我方经济社会运行甚至军事行动的分析、研判、归因、定位等能力。 若攻击者篡改地震监测数据触发误报警，或导致社会恐慌 专家们认为，针对包括地震监测系统在内的民用基础设施遭受到网络攻击也一样会导致非常严重的后果。 杜振华举例说，如果此次攻击者对地震监测系统进行了恶意破坏，当地震发生时，系统就无法有效提供准确数据，影响地震预警和灾害评估工作，进而导致更加严重的人员财产损失，“更加危险的是，如果攻击者篡改地震监测数据，触发误报警，可能导致社会恐慌和秩序混乱，造成无辜群众伤亡。” 肖新光也表示，遥感遥测体系和数据是必须重点保护的国家战略资源。这些数据能从宏观到微观展示我国经济社会的基本运行，是综合决策、应急响应的综合支撑，是国土安全和国家安全的支撑资源。” 肖新光 图源：环球时报-环球网 “美方情报机构不仅针对各种信号情报进行主动采集，也长期以来通过多种方式获取他国地形、地质、地球物理、气象、水文等综合地球系统科学遥感遥测数据作为战略情报，获取手段包括通过盟友情报机制共享，胁迫高科技公司提供，以及利用学术、科研活动套取等。”肖新光表示，此次武汉监测站事件的发现不是偶然的，由此可以判断，网络攻击入侵窃取已成为美方获取他国遥感遥测数据的最低成本途径。美方建设了一系列信号情报采集分析处理系统，如针对电磁信号监听获取的“梯队”项目、针对电信运营商的“主干道”项目、针对美大型IT和互联网厂商的超级访问接口“棱镜”项目等。 肖新光还透露，“我们会同有关部门经过多年持续跟踪，近期将对美国政府的某全球侦察系统进行公开披露，它对我国和世界各国的国家安全和世界的和平安全都构成了严重安全威胁，对此，必须高度警惕、严密防范。” 美对民用设施发动网络攻击违反国际法 事实上，在“棱镜门”、“影子经纪人”和“维基解密”等事件中曝光的美国国家安全局（NSA）、中央情报局（CIA）大量内部文件表明，美国作为名副其实的“黑客帝国”“窃密帝国”，其网络情报收集活动的目标是“无差别”的（包括其盟友），全球范围内的民事机构和个人都是其网络攻击的对象，充分暴露了美国在人权问题上的双重标准和虚伪面孔。 杜振华进一步表示，美国军事情报机构利用自身信息技术优势针对民用基础设施发动网络攻击是明显违反国际法的犯罪行为，严重侵害了我国国家安全和社会公共利益。“事实上，长期以来，美国对我国关键信息基础设施的网络攻击是全方位的，政府机构、高校、科研单位、大型企业都是其网络间谍活动的目标。美国妄图通过这种不正当的手段，全面窃取我国政治、经济、军事、外交等敏感情报，以遏制我国的发展进步，维持美国的世界霸权。” 长期从事计算机病毒防治技术研究工作和应急处置工作的专家杜振华建议，一旦我国关键信息基础设施遭受到有国家背景的网络攻击，相关单位必须第一时间向主管部门报告遭网络攻击情况；严格依据《网络关键设备和网络安全专用产品目录》开展网络安全能力建设；加强供应链安全管理，提高自主可控能力；定期开展网络安全演练，提高应急处置和恢复能力。 肖新光认为，中国网络安全整体产业体系虽然目前市场规模依然较小，但整体上从加密认证、威胁检测防护、系统防护、流量安全等基础能力频谱上来看，技术门类齐全，没有明显短板，“在与威胁的持续对抗，特别是发现、分析、曝光包括美方在内的高级持续性网络攻击方面，中国多家优秀的网络安全企业已经展示了自身的能力，成为了保障国家安全、捍卫网络空间命运共同体安全的产业支撑力量。” 他还表示，在网络安全能力上中国没有必要妄自菲薄，我们可以建立更具备进取性的目标，成为国家治理体系中的能力长板，成为相较于主要地缘竞合方的能力优势，在应对霸权国家综合打压，甚至面临高烈度安全冲突过程中不会成为重大制约和风险软肋，“我们可以通过强化网络安全的公共服务属性建设，通过加强对共性安全能力、弹性机制和网络安全基础设施的建设，达成网络安全风险整体基本可控、增量收敛的目标状态。” 此前报道：武汉地震监测中心遭网络攻击！黑手疑来自美国 来源：环球时报-环球网特约记者 袁宏 ～!    ↓ ...