TOP5 | 头条：美国海军发布《网络空间优势愿景》

美国海军发布《网络空间优势愿景》；

标签：美国，海军，网络空间优势愿景

2022年10月，美海军部首席网络顾问克里斯·克利里签发《网络空间优势愿景》（以下简称《愿景》），首次正式提出3S原则（即安全、生存、打击），指导海军部开展各项日常网络对抗活动以及危机、冲突爆发时的网络空间活动，谋求构建网络空间优势，并强调3S原则是维持制海权的基础，使海军和海军陆战队能够在网络对抗环境下持续作战。

信息技术、网络、数据、关键基础设施、平台、武器系统的网络安全是构建网络空间优势的基础。对手国家和势力正在不断研发新型漏洞刺探技术，海军部不能忽视网络空间的脆弱性，要持续投入动态网络安全技术，抵御网络攻击。《愿景》提出，海军部要持续部署一流的网络安全防护措施，留住人才，努力营造网络安全与网络作战职业文化。

即使拥有最尖端、敏捷的网络安全能力，仍无法确保防住一切网络攻击。《愿景》提出，弹性是成功的关键，海军部必须能够“抗损毁”。一方面，要培训舰（艇）员、陆战队员、文职人员、承包商等非网络空间力量，在拒止、降级环境下持续作战，提高其快速反应与恢复能力。另一方面，要在装备研发、采办过程中，不断深化落实将网络安全“嵌入”新装备发展的制度，同时增强已部署平台的网络防御能力。其间，要把网络安全的有效性摆在首位，而不是降低采购成本。

网络空间是作战域，也是机动空间。海军部必须将其视为与陆海空传统作战域同等重要的作战空间。仅凭系统、设施、网络静态防护等被动防御手段远远不够。作为一体化威慑的重要组成部分，海军部要主动利用网络空间动态投射力量。这需要训练有素、装备精良的网络部队，前出防御，持续交锋，快速产生非动能效应。《愿景》提出，海军和海军陆战队要在网络空间联合行动，并能够在作战指挥官指定的时间、地点建立网络空间优势。

信源：蓝海星智库

云南网警打击一批通讯营业厅“内鬼”；

标签：中国，云南，网警，电信营业厅

新办的手机卡莫名其妙收到验证码，自用的手机号在不知情的情况下注册成为多个平台的新用户，究竟是谁出卖了你的手机号？有，有内鬼？

近些年，在金钱的诱惑下，个别通讯营业厅工作人员利用帮客户办理业务的机会，擅自将客户的手机号码及验证码提供给他人，给公民的个人生活及经济利益造成困扰及损害。

近期，按照“净网2022”工作部署，云南公安机关网安部门全力组织开展工作，打击了一批营业厅里的“内鬼”。

2022年7月，德宏梁河县公安局网安大队民警工作发现，一网络运营商指定专营店店长匡某利用工作便利，将客户实名登记的电话卡非法提供给他人使用。

面对办案民警的询问调查，匡某承认自己曾利用为客户办理业务的机会，将客户的手机号码发送给他人，并留意收集客户手机收到的验证码，以此获得“奖励”。

2022年7月，昆明寻甸县公安局网安大队工作发现，某通讯公司寻甸分公司营销部工作人员保某、马某在推广和办理开卡业务时，在客户不知情的情况下，用客户身份信息多开电话卡，并将号卡提供给“地推”人员用于注册网络账号，截至案发时二人共获利近四万余元。

寻甸网安大队立即对该通讯公司寻甸分公司开展“一案双查”，查实该公司经理杨某为“冲业绩”，授意工作人员在为客户办理业务时利用客户信息多开电话卡，其中保某、马某为谋取利益，将多开的电话卡提供给“地推”人员。

2022年8月，玉溪华宁县公安局网安大队接到群众举报，辖区内一手机店的店主杨某，将部分客户的手机号码和验证码非法出售给他人获利。

在办理该案件的过程中，民警发现该手机店铺系某通信集团华宁分公司“渠道”代理网点。

在前期调查的基础上，华宁县公安局网络安全保卫大队启动“一案双查”工作，对该通信集团华宁分公司在个人信息收集、保护的制度、措施等开展调查。

经查实，该公司与杨某经营的店铺系合作代理关系，双方在签订的合作代理协议中明确了对公民个人信息的收集、保护条款。

但实际执行过程中，双方只重视经营销售，未把保护个人信息的制度、措施及监督、管理责任等落到实处，最终导致公民个人信息从该手机店内泄露。

根据《中华人民共和国网络安全法》，公安机关对上述案例中的人员、通讯公司依法予以处罚。

个人信息不是敛财工具，未经本人许可不得随意泄露和买卖。相关服务提供单位要完善内部管理制度，加强从业人员网络安全和法治教育，依法依规使用公民个人信息，杜绝泄露公民个人信息。

信源：云南网警

广泛使用的SQLite数据库被曝高危漏洞；

标签：SQLite，数据库，高危漏洞

SQLite数据库中已披露了一个高严重性漏洞，该漏洞是2000年10月代码更改的一部分，可能使攻击者崩溃或控制程序。

该漏洞被追踪为CVE-2022-35737（CVSS评分：7.5），已有22年历史，会影响SQLite版本1.0.12至3.39.1，并在2022年7月21日发布的版本3.39.2中得到解决。

“CVE-2022-35737在64位系统上是可利用的，可利用性取决于程序的编译方式。”Trail of Bits研究人员Andreas Kellas在今天发表的一篇技术文章中表示。

当编译库时没有堆栈金丝雀时，任意代码执行是确认的，但是当堆栈金丝雀存在时，任意代码执行是未确认的，并且在所有情况下都确认拒绝服务。

SQLite是用C语言编程，使用最广泛的数据库引擎，默认情况下包含Android、iOS、Windows和macOS，以及流行的web浏览器，如谷歌Chrome、Mozilla Firefox和Apple Safari。

Trail of Bits发现的漏洞涉及一个整数溢出漏洞，当超大字符串输入作为参数传递给printf函数的SQLite实现时，就会出现该漏洞，而PRINTF函数又会使用另一个函数来处理字符串格式化（“sqlite3_str_vappendf”）。

然而，漏洞库成功武器化的前提是字符串包含%Q、%Q或%w格式替换类型，当用户控制的数据写入超出堆栈分配缓冲区的边界时，可能会导致程序崩溃。

Kellas解释道：“如果格式字符串包含’！’特殊字符以启用unicode字符扫描，那么在最坏的情况下就有可能实现任意代码执行，或者导致程序无限期地挂起和循环。”

该漏洞也是几十年前被认为不切实际的一个例子——分配1GB字符串作为输入——随着64位计算系统的出现而变得可行。

Kellas说：“当系统主要是32位体系结构时，这个bug在编写时（可以追溯到SQLite源代码中的2000年）可能看起来并不是一个错误。”

信源：https://thehackernews.com/2022/10/22-year-old-vulnerability-reported-in.html

Hive勒索组织宣称已攻击塔塔电力，数据可能外泄；

标签：Hive勒索组织，塔塔电力，网络攻击

前不久印度最大的电力集团塔塔电力公布遭遇网络攻击。10月25日，Hive勒索组织宣称对此次网络攻击负责。

Hive成员声称从塔塔电力窃取了数据并对外公布数据截图，Hive声称，其在10月3日加密了塔塔电力的数据，但与塔塔的赎金谈判失败。一般情况下，如果目标公司拒绝支付赎金，谈判失败，威胁行为者通常会选择泄露或出售窃取的数据。

一名研究人员Rakesh Krishnan分享了被盗数据的截屏，截图信息显示，被盗数据包括塔塔电力员工个人身份信息（PII）、国民身份证（Aadhar）卡号、PAN（税务账户）号、工资信息、工程图纸、财务、银行记录和客户信息等。

10月14日，塔塔电力公司在一份股票文件中披露遭到网络攻击，IT基础设施和部分IT系统受影响，但并未透露有关攻击者的信息。

塔塔电力在公告中表示，“公司已经采取措施尽快恢复系统，目前所有关键操作系统运转正常。但为了全面预防，我们对员工和门户和接触点实施了限制访问和预防性检查。”该文件当时由公司秘书H.M. Mistry签署。

关于Hive勒索组织

Hive勒索组织比其网站显示的更加活跃和激进，自2021年6月底面世之后，其附属机构平均每天攻击三家公司。

据了解，该团伙采用一套多样化的战术、技术和程序，这使得被攻击企业难以抵御其攻击。联邦调查局此前也曾警告过这一点。

今年9月，Hive声称是纽约赛马协会、加拿大贝尔公司的子公司以及纽约的应急响应和救护车服务提供商网络攻击活动的幕后黑手。

去年，Hive对Memorial卫生系统的攻击导致了手术和诊断操作取消，病人数据被盗。

信源：奇安网情局

有人在 GitHub 上利用虚假 PoC 漏洞利用钓鱼；

标签：GitHub，虚假 PoC ，网络钓鱼

莱顿高级计算机科学研究所的研究人员在GitHub上发现了数以千计存在问题的存储库，这些存储库为各种漏洞提供虚假的概念验证（PoC），并借此隐藏传播恶意软件。

GitHub是最大的代码托管平台之一，研究人员用它来发布PoC漏洞，以帮助安全社区验证漏洞的修复或确定一个漏洞的影响和范围。

据莱顿高级计算机科学研究所的研究人员称，如果不包括被证实的恶作剧软件，以虚假PoC进行掩饰，实际上上恶意软件的可能性可能高达10.3%。

数据收集和分析

研究人员使用以下三种机制分析了47300多个储存库，包含2017年至2021年期间披露的漏洞：

• IP地址分析：将PoC的发布者IP与公共封锁名单以及VT和AbuseIPDB进行比较。

• 二进制分析：对提供的可执行文件及其哈希值运行VirusTotal检查。

• 十六进制和Base64分析：在执行二进制和IP检查之前对混淆的文件进行解码。

在提取的150734个独特的IP中，有2864个与封锁名单条目相匹配，1522个在Virus Total的反病毒扫描中被检测为恶意的，其中1069个存在于AbuseIPDB数据库中。二进制分析检查了一组6160个可执行文件，发现共有2164个恶意样本托管在1398个存储库中。

总的来说，在测试的47313个软件库中，有4893个软件库被认为是恶意的，其中大部分涉及到2020年的漏洞。报告中包含了一小部分带有虚假PoC的软件库，这些软件库正在传播恶意软件。研究人至少分享了60个案例，然而这些例子仍然是存活的，并且正在被GitHub取缔。

PoC中的恶意软件

通过仔细研究其中一些案例，研究人员发现了大量不同的恶意软件和有害脚本，从远程访问木马到Cobalt Strike。

一个有趣的案例是CVE-2019-0708的PoC，通常被称为 “BlueKeep”，它包含一个base64混淆的Python脚本，从Pastebin获取一个VBScript。该脚本是Houdini RAT，一个基于JavaScript的老式木马，支持通过Windows CMD执行远程命令。

在另一个案例中，研究人员发现了一个假的PoC，这是一个收集系统信息、IP地址和用户代理的信息窃取器。这是另一个研究人员之前创建的安全实验，所以用自动工具找到它是对研究人员的确认，他们的方法是有效的。

还有一些没有在技术报告中体现的例子，例如：

PowerShell PoC包含一个用base64编码的二进制文件，在Virus Total中被标记为恶意的。

Python PoC包含一个单行代码，用于解码在Virus Total中被标记为恶意的base64编码的有效载荷。

伪造的BlueKeep漏洞包含一个被大多数反病毒引擎标记为恶意的可执行文件，并被识别为Cobalt Strike。一个隐藏在假PoC中的脚本，其中有不活跃的恶意组件，但如果其作者愿意，依旧可以造成损害。

如何保持安全

盲目相信GitHub上未经验证的仓库是不可取的，因为其内容没有经过审核，所以用户在使用前要对其进行审查。建议软件测试人员仔细检查他们下载的PoC，并在执行之前尽可能多地进行检查。

专家认为，所有测试人员都应该遵循这三个步骤。

1. 仔细阅读你即将在你或你客户的网络上运行的代码。

2. 如果代码太模糊，需要太多的时间来手动分析，就在一个环境中（例如一个隔离的虚拟机）进行沙盒测试，并检查你的网络是否有可疑的流量。

3. 使用开源的情报工具，如VirusTotal来分析二进制文件。

目前，研究人员已经将他们发现的所有恶意软件库报告给GitHub，但在所有这些软件库被审查和删除之前，还需要一些时间，所以许多软件库仍然对公众开放。

信源：https://www.freebuf.com/news/347905.html