每日安全动态推送(2-23)

Tencent Security Xuanwu Lab Daily News

• [Tools] GitHub - DvorakDwarf/Infinite-Storage-Glitch: ISG lets you use YouTube as cloud storage for ANY files, not just video:

   ・ 该工具可以将任意文件以视频形式存储，将视频上传到视频网站进而使用其免费的云存储 – 

• [Network] 2022 in review: DDoS attack trends and insights - Microsoft Security Blog:

   ・ 微软对2022年DDoS攻击的趋势分析 – 

• Escaping misconfigured VSCode extensions:

   ・ 作者审计了vscode中的两款插件，利用插件中的XSS漏洞，以DNS rebind、dns-prefetch等方法绕过保护，从而达到泄露ssh私钥发送给攻击者的攻击效果。 – 

• [PDF] https://arxiv.org/pdf/2302.00923.pdf:

   ・ Amazon的语言模型仅使用1 billion个参数就可以达到91.68%的准确率，超过了用了175 billion个参数的GPT-3.5（准确率75.17%），该模型已开源。 – 

• r/netsec - A Deep Dive Into a PoshC2 Implant:

   ・ 解读 PoshC2 渗透框架代码实现 – 

• CVE-2022-39952:

   ・ Fortinet FortiNAC CVE-2022-39952的POC，未授权解压缩可导致任意文件写入，通过crontab实现RCE – 

• [Tools] Analyzing Shellcode with GPT:

   ・ 使用OPENAI达芬奇模型(ChatGPT的背后模型)分析shellcode的功能 – 

• [Tools, Browser] Let's build a Chrome extension that steals everything:

   ・ 编写一个Chrome浏览器扩展，尽可能地窃取用户信息，包括cookie，浏览历史，tab截图等等。 – 

* 查看或搜索历史推送内容请访问：

* 新浪微博账号：腾讯玄武实验室