流量防火墙检测接着收集受害者主机信息。其中包括用户名称、主机IP、主机名、操作系统版本号、硬盘内存、cpu、驱动、语言、系统目录、GUID、以及显示器等信息，并将这些信息拼接在一起。图18

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站（adlab.venustech.com.cn）01漏洞概述4月7日，seongil-wi在github上披露了Node.js模块vm2

恶意程序进行驻留此外，该恶意代码还会对运行环境进行检测，一旦发现虚拟机、调试器、抓包软件、静态分析工具、进程dump、任务管理器，注册表、冰点还原、沙箱等进程则退出执行。检测代码如下图所示：图15

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站（adlab.venustech.com.cn）01概

fds的顺序可能导致注册的fds在io_uring被释放之前被释放。当io_uring线程处理io_uring请求时，会使用到可能被提前释放的file，进而触发漏洞。3.1

pro）。但多次分析同一APK时，速度较快，因为不再需要反编译APK。占用磁盘空间大。以小米手机为例，300个预装App分析后占用的磁盘大小为40G~60G。5.3

2022年，启明星辰ADLab研究方向重点包括攻防技术安全研究、黑客攻击与威胁研究、主流操作系统及应用安全研究、Web安全研究、云安全研究、智能终端安全研究、工控物联网安全研究、车联网安全研究，其中部分研究文章已通过ADLab公众平台发布，为方便大家查阅我们对全年发布的主要研究文章进行了整理。点击报告标题即可阅读全文！攻防技术研究分析Shor量子算法推演与分析为什么量子叠加态还能参与计算？量子计算机又是如何解决特定问题的？本文从量子计算最为重要的算法—Shor算法开始详细探讨，分析如何破解RSA？详细分析了Shor算法的实现过程，整数周期数及非整数周期数下Shor算法分析，Shor算法概率评估，并结合实例进行分析。红队视角下的Windows

https://www.leavesongs.com/PENETRATION/docker-php-include-getshell.html#0x06-pearcmdphp[2]

slab碎片整理，为堆喷做准备。（2）缓存跨越（cross-cache）当为特定类型的对象创建专用的内存缓存时，该缓存中将只存在该类型的对象，从而防止不同类型的对象相邻。但是，不同slab

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站（adlab.venustech.com.cn）近两年Atlassian

ACL格式，是HP打印机的固件格式数据，可以通过PRINT的方式进行打印机固件升级，未找到官方文档，我们找到了两个版本的固件。（1）HP

dump等方面有良好的规避性。这里值得一提的是，使用MalSecLogon这种方式创建进程并不需要seclogon服务开启，因为在进行RPC调用后，如果失败将会启动seclogon服务。

Server.Config.xml，将Server应用证书从默认的自签名证书修改为由CA颁发的证书。然后，将CA证书添加到Server的信任证书列表中。最后，启动该OPC

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站（adlab.venustech.com.cn）漏洞概述Centreon是一款开源的分布式IT和应用监控软件，具有丰富的监控功能和超高的灵活性。Centreon底层采用nagios监视系统运行状态和网络信息，nagios通过ndoutil模块将监控数据写入数据库，Centreon读取该数据并即时展现监控信息，同时通过Centreon可以管理和配置所有nagios。因此，使用

报文处理过程IGSS在创建socket并设置监听等一系列初始化操作后，转入如下的代码，即等待连接事件并进入sub_4B3090：第一个红框中，传入sub_4B3090的第一个参数

LockBit命令参数简介当执行加密相关操作时，程序将在受害主机中搜索VMware虚拟机相关的路径与文件，并且判断是否具有相关的命令执行权限，如果找到相关文件则程序继续运行，反之则终止运行：图24

,那么生成公私钥的过程如下：（1）生成两个足够大的素数p,q，得到合数N=p*q，然后计算得到p-1和q-1的最小公倍数L。（2）生成e,使得e和L互质，且满足1

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站（adlab.venustech.com.cn）研究背景2022年8月9日，微软发布了月度安全更新，共修补121个漏洞，包括PPP协议、SMB协议、NFS协议等远程代码漏洞。启明星辰ADLab对其中的NFS漏洞（CVE-2022-34715）进行了漏洞分析与验证。协议简介NFSv4协议允许用户以访问本地文件系统的相同方式访问远程文件共享，使用开放网络计算(ONC)和远程过程调用(RPC)来交换控制消息。一个NFSv4请求包含RPC协议头和NFS

Chrome发布更新[1]，修复了11个安全问题，同时指出CVE-2022-2856存在在野利用。对此，启明星辰ADLab对该漏洞进行了跟踪分析。二、影响版本

发送消息。接收端想要接收消息，首先要对mojo::PendingReceiver进行绑定，最常见的就是将其绑定为mojo::Receiver。一旦pipe上有可读的消息，Receiver

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站（adlab.venustech.com.cn）01背景近期，开源安全社区oss-security披露了多个Linux内核netfilter模块相关漏洞，漏洞均出现在netfilter子系统nftables中，其中两个漏洞在内核中存在多年，并且均可用于内核权限提升。漏洞编号分别为：CVE-2022-32250，该漏洞类型为释放重引用；CVE-2022-1972，该漏洞类型为越界读写；CVE-2022-34918，该漏洞类型为堆溢出。02相关介绍2.1

播我们发现，虽然黑客组织也通过社交媒体渠道、论坛等方式推广其恶意应用，不过推广仍以百度、搜狗、搜搜等搜索引擎渠道为主。攻击者通过修改原始钱包，向其中添加恶意代码，生成“imToken”

本次攻击流程图在此次攻击中，攻击者伪装为某交通部门的安全技术部工作人员，向集团公司内部员工发送以《【紧急】Windows-MS驱动漏洞补丁措施》为主题带有恶意攻击载荷的钓鱼邮件。图11

恶意文件信息当用户打开VBS文件后，恶意代码会在“C:\ProgramData\”目录下释放“radio.d”文件，并将经过base64编码进行后的数据写入到该文件中，具体内容如下图所示。图14

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站（adlab.venustech.com.cn）一、背景自2022年2月24日俄乌冲突升级为全面战争后，俄罗斯试图通过“闪电战”的战术快速结束战争的目的落空，直到2个多月的今天，此次战争仍处于胶着状态，俄乌双方均遭受到了非常严重的损失和伤亡。在残酷的战争之下，双方仍然不断地在网络战场上进行着激烈的较量。在战争爆发当日，启明星辰ADLab就对双方网络战相关的威胁情报进行了整理，并且对乌克兰背后的网络攻击和相关情报活动进行深入分析，发布了相关分析文章《乌克兰战争背后的网络攻击和情报活动》；在3月份我们应邀撰写了《【网络战】从乌克兰战争谈现代战争的第二战场》的长篇报告，结合历史上的对战争起着关键作用的网络战案例以及乌克兰和俄罗斯之间长达30年的网络对抗案例，全面分析了现代战争下的网络战技术、思想、作用及影响；近期，我们又接连捕获到多起针对乌克兰政府和单位的网络攻击活动，攻击者借以“乌克兰防御方式”、“乌克兰报告_最终”、“日益复杂的俄乌危机解释”和“泄露的克里姆林宫电子邮件显示明斯克协议”等具有高度迷惑性的热点诱饵文档进行攻击，试图窃取相关政府单位的机密信息。本文将对自战争以来我们所监控到的网络攻击事件进行梳理和汇总，同时从多个角度出发，对部分典型的网络攻击事件进行深入剖析。二、近期攻击事件回顾自战争爆发以来，网络空间就成了俄乌双方博弈和交锋的第二战场，根据乌克兰CERT近期发布的消息，乌克兰已经受到了至少12个黑客组织的攻击。在这些攻击中，黑客组织不仅针对乌克兰政府、电信、国防、军队等要重要部门展开网络攻击，甚至还直接对乌克兰能源等基建设施进行了破坏性网络攻击。根据启明星辰ADLab的威胁情报数据及乌克兰CERT-UA的公开报告，我们对自2022年3月以来乌克兰所遭受的部分网络攻击安全事件进行了梳理和汇总，相关网络攻击事件的时间线如下图所示。实际上，这些统计的网络攻击事件仅仅是实际攻击情况的冰山一角；但仍不难看出，战争期间针对乌克兰的网络攻击者众多，其中不乏“InvisiMole”、“Vermin”、“APT-28”等著名黑客组织，相关网络攻击活动亦格外频繁。3月6日，启明星辰ADLab监测到了一批针对乌克兰政府机构的网络攻击活动。在此次攻击活动中，攻击者利用携带恶意宏或漏洞恶意文件作为初始攻击载荷，诱使受害者信任并执行后续的QuasarRAT恶意木马，试图从受害主机中窃取敏感文件。乌克兰CERT也将此次事件的攻击者命名为“UAC-0086”，攻击者使用的部分诱饵文档如下所示。（1）诱饵文档示例一：伪装成ISW（战争研究研究所）机构文件（2）诱饵文档示例二：伪装成“Hunter

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站（adlab.venustech.com.cn）一、概述启明星辰ADLab在近几个月内，注意到多起将发件人伪装为物流货运公司的定向邮件钓鱼活动，伪装的对象包含“深圳市运**际物流有限公司”、“上海印**际货运代理有限公司深圳分公司”和“中**运散货运输有限公司”。目前我们监测到的受攻击目标有”徐州**光电科技有限公司”（主要从事光电器件研发）和“华**通股份有限公司”（主要从事智能汽车制造），可能还有更多的潜在攻击目标未被发现，攻击者似乎倾向于对一些新兴科技行业发起攻击，值得相关企业提高警惕，加强防范措施。通过溯源我们并没有发现任何与本次攻击相关的现有攻击组织，该组织在窃密木马中内嵌的用于窃密信息回传的发送者邮箱和接收者邮箱均来自伊朗，这在一定程度让我们误以为攻击者来自伊朗，但是通过更进一步分析发现，这些邮箱均是黑客组织窃取的邮箱，其中还包含大量的凭证。由于该组织特别擅长伪装，尤其喜欢使用已窃取的邮件凭证来攻击目标，无论是恶意邮件攻击，还是用于回传数据的SMTP信道，都极难溯源和追踪黑客，因此我们将该组织命名为“海黄蜂”，该组织就像“海黄蜂”一样隐秘而不易被发现却能给人致命一击。“海黄蜂”组织比较倾向于先攻下一些海运类公司并窃取这些公司邮箱凭证，然后以这些公司的名义对其真实的目标发起攻击，攻击的对象以新兴的科技企业为主，当前可以确定的受害国家有中国、伊朗、韩国和阿联酋。目前所发现的攻击活动主要以携带有窃密木马的钓鱼邮件为主，窃密使用了“Agent

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站（adlab.venustech.com.cn）01前言近期，启明星辰ADLab在工业控制系统漏洞监测中发现Schneider发布了交互式图形SCADA系统（Interactive

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站（adlab.venustech.com.cn）一、漏洞概述ClickHouse是俄罗斯yandex公司于2016年开源的云数据库管理系统，ClickHouse广泛应用于云平台的大数据分析应用中，其用户包括uber、ebay、德意志银行、阿里巴巴、腾讯等。近日，JFrog安全研究团队披露了在ClickHouse

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站（adlab.venustech.com.cn）01漏洞详情近日，研究人员披露了一个Linux内核本地权限提升漏洞，发现在copy_page_to_iter_pipe和

言近年来，在PWN2OWN比赛Ubuntu桌面系统破解项目中，Linux内核eBPF机制一直是热门的攻击面。本文分析的CVE-2021-3489是在PWN2OWN

”的新型APT组织。紧接着的1月14日，乌克兰外交部、教育部、内政部、能源部等部门因受到大规模网络攻击而关闭；到2月15日时，乌克兰国防部、武装部队等多个军方网站、以及乌克兰最大银行的两家银行

Page（JSP）的支持。由于Tomcat本身也内含了一个HTTP服务器，它也可以被视作一个单独的Web服务器。2022年1月27日，Apache发布安全公告，公开了Apache

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站（adlab.venustech.com.cn）漏洞概述WordPress是目前全球流行的三大内容管理系统之一，其核心模块（Core）出现漏洞的情况相对较少。近期，WordPress核心模块被披露存在一处SQL注入漏洞(CVE-2022–21661)。针对该高危漏洞，启明星辰ADLab研究员第一时间进行了详细分析和验证。受影响版本受影响版本：WordPress

Server中的一个缓冲区溢出漏洞（CVE-2021-44790），该漏洞存在于mod_lua解析器中，当服务器解析恶意请求时触发缓冲区溢出，可导致拒绝服务或执行任意代码。02影响范围

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站（adlab.venustech.com.cn）一、漏洞概述近期，启明星辰ADLab在工业控制漏洞监控中发现工控厂商Moxa的Modbus网关存在高危漏洞（CVE-2021-4161），ICS-CERT的评分高达9.8。针对该高危漏洞，ADLab研究员第一时间进行了详细分析和验证。1.1

最终方案：1.升级最新版本，目前最新版本为log4j-2.15.1-rc1，相比log4j-2.15.0修复了其它安全问题，在业务许可的情况下建议升级到log4j-2.15.1-rc1。2.

REvilREvil也被称为Sodinokibi，是一个臭名昭著的勒索团伙，其攻击最早可以追溯到2019年4月。该勒索团伙作案频繁，并曾攻击过多个大型公司如美国领先的视频传输提供商SeaChange

info.lnk为本次捕获到的恶意快捷方式木马，其和往常的恶意快捷方式一样，具有该组织的混淆特征。该快捷方式木马利用Windows对话框属性最多只能显示260个字节的特性来构造并隐藏恶意代码。图33

对于APT34爆破Exchange邮件账户的手段，我们复盘了该组织被曝光的各类攻击武器，其中Jason能够用于窃取邮件账户信息，并可以针对Exchange服务器（07到17版本）的邮件账户进行爆破。

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站（adlab.venustech.com.cn）漏洞概述2021年04月13日，Fourscore研究实验室与JSOF合作，披露了一组新的DNS漏洞，被称为NAME:WRECK。这些漏洞影响了四种流行的TCP/IP堆栈--即FreeBSD、IPnet、Nucleus

ADLab成立于1999年，是中国安全行业最早成立的攻防技术研究实验室之一，微软MAPP计划核心成员，“黑雀攻击”概念首推者。截止目前，ADLab已通过CVE累计发布安全漏洞近1100个，通过

该Dropper模块的入口点在WindowsFormsApplication1处（如图4-11），其首先通过调用SelectedCard类中的D_D_D_D函数对名为“xor4”的资源数据进行解密。

Strike样本的IOC进行了更加深入的溯源，结合关联样本的出现时间、技术运用、攻击链条以及公开的研究报告等资料，发现了多个著名的攻击团伙和APT组织，关联信息如表8所示。GroupsCobalt

ADLab成立于1999年，是中国安全行业最早成立的攻防技术研究实验室之一，微软MAPP计划核心成员，“黑雀攻击”概念首推者。截止目前，ADLab已通过CVE累计发布安全漏洞1000余个，通过

[mwifiex]->mwifiex_set_mgmt_ies [mwifiex]->mwifiex_uap_parse_tail_ies

ADLab成立于1999年，是中国安全行业最早成立的攻防技术研究实验室之一，微软MAPP计划核心成员，“黑雀攻击”概念首推者。截止目前，ADLab已通过CVE累计发布安全漏洞近1000个，通过

index)获取某个合约指定storage索引的数据。因此，secrete并不是一个不可获取的私有数据，攻击者只需要访问该合约storage中的数据就可以构造confiscate

采用P2P方式将部分符合条件的感染机作为代理节点（伪C&C），样本的功能组件下载、恶意邮件群发、银行凭证窃取与上传、浏览器网页登录凭证窃取与上传、邮箱登录凭证窃取与上传等功能均采用不同代理点来传输。

5、通过百度个人账户来更新C&C服务器地址。目前涉及到的攻击者百度账户页面有http://www.baidu.com/p/dajiahao188384/detail

更多资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站（adlab.venustech.com.cn）漏洞描述2017年6月，微软发布的补丁修复了多个远程执行漏洞，其中包括CVE-2017-8543