安全资讯报告

使用电磁辐射可获取恶意软件信息

研究人员开发了一种独特的策略，该策略使用来自物联网(IoT)设备的电磁场发射作为旁路，以获取有关针对嵌入式系统的多种类型恶意软件的准确信息，即使使用混淆策略来阻止分析也是如此。

使用旁道数据检测与先前已知模式不同的发射异常，并在检测到类似于恶意软件的可疑行为时触发警报，与系统的通常情况相反。这不仅不需要对目标设备进行任何更改，而且研究中开发的框架还允许检测和分类隐蔽恶意软件，例如内核级rootkit、勒索软件和分布式拒绝服务(DDoS)僵尸网络，如Mirai，以及以前未见过的变体。

侧信道方法涉及在执行30个不同的恶意软件二进制文件以及执行良性视频、音乐、图片和相机相关活动时测量电磁辐射，以训练卷积神经网络(CNN)模型，用于对真实世界的恶意软件样本进行分类三个阶段。特别是，该框架接受可执行文件作为输入，并仅基于侧信道数据生成恶意软件标签。

研究人员使用Raspberry Pi 2B作为目标设备，其具有900MHz四核ARM CortexA7处理器和1GB内存，使用示波器和PA 303 BNC前置放大器的组合采集和放大电磁信号，有效预测在实验设置中，这三种恶意软件类型及其相关家族的准确率分别为99.82%和99.61%。

新闻来源：

https://thedigitalhacker.com/using-electromagnetic-emanations-to-spot-evasive-malware-on-iot-devices/

不要从网页复制粘贴命令——你可能会被黑

程序员、系统管理员、安全研究人员和技术爱好者将网页中的命令复制粘贴到控制台或终端中，他们被警告说他们的系统可能会受到威胁。

技术专家演示了一个简单的技巧，可以让您在从网页复制和粘贴文本之前三思而后行。

安全意识培训平台Wizer的创始人加布里埃尔·弗里德兰德(Gabriel Friedlander)展示了一个明显但令人惊讶的hack，它会让您对从网页复制粘贴命令持谨慎态度。

但弗里德兰德警告说，网页可能会暗中替换剪贴板上的内容，而最终复制到剪贴板上的内容与您打算复制的内容大不相同。

更糟糕的是，如果没有必要的尽职调查，开发人员可能只有在粘贴文本后才意识到他们的错误，此时可能为时已晚。

一位Reddit用户还展示了一个不需要JavaScript的技巧的替代示例：当您复制文本的可见部分时，使用HTML和CSS样式制作的不可见文本会被复制到剪贴板上。

问题不仅在于网站可以使用JavaScript更改您的剪贴板内容。它还可以隐藏HTML中人眼不可见的命令，但会被计算机复制。

新闻来源：

https://www.bleepingcomputer.com/news/security/dont-copy-paste-commands-from-webpages-you-can-get-hacked/

谨防假Telegram Messenger应用程序使用Purple Fox恶意软件入侵PC

Telegram消息传递应用程序的木马安装程序被用于在受感染系统上分发基于Windows的Purple Fox后门。通过将攻击分成几个小文件，这个攻击者能够将大部分攻击逃避安全检测，其中大部分文件的[防病毒]引擎检测率非常低，最后阶段导致紫狐rootkit感染。

PurpleFox于2018年首次被发现，它具有rootkit功能，允许将恶意软件植入安全解决方案无法触及的范围并逃避检测。Guardicore2021年3月的一份报告详细介绍了其蠕虫状传播功能，使后门能够更快地传播。2021年10月，趋势科技研究人员发现了一个名为FoxSocket的.NET植入物，它与Purple Fox一起部署，它利用WebSockets联系其命令和控制(C2)服务器，以建立更安全的通信方式。

2021年12月，趋势科技还揭示了紫狐感染链的后期阶段，通过插入恶意SQL公共语言运行时(CLR)模块来瞄准SQL数据库，以实现持久和隐蔽的执行并最终利用SQL服务器挖矿。

研究人员发现大量恶意安装程序使用相同的攻击链提供相同的Purple Fox rootkit版本，”Zargarov说。“似乎有些是通过电子邮件发送的，而我们认为有些是从网络钓鱼网站下载的。这种攻击的美妙之处在于，每个阶段都被分离到一个不同的文件中，如果没有整个文件集，这些文件就毫无用处。

新闻来源：

https://thehackernews.com/2022/01/beware-of-fake-telegram-messenger-app.html

安全漏洞威胁

微软警告称，Log4j漏洞攻击水平仍然很高

在观察到国家资助的网络犯罪攻击者在12月之前探测系统中的Log4j“Log4Shell”缺陷后，微软已警告Windows和Azure客户保持警惕。

Apache软件基金会于12月9日披露，Log4Shell可能需要数年时间才能修复，因为错误日志软件组件在应用程序和服务中的使用范围非常广泛。

Microsoft警告说，客户可能不知道Log4j问题在他们的环境中有多普遍。CISA官员认为，数以亿计的设备受到Log4j的影响。与此同时，思科和VMware等主要技术供应商继续为受影响的产品发布补丁。

新闻来源：

https://www.zdnet.com/article/log4j-flaw-attacks-are-causing-lots-of-problems-microsoft-warns

CrowdStrike使用英特尔CPU遥测加强漏洞检测

CrowdStrike表示，CPU遥测技术正在为其Falcon平台提供新的硬件增强型漏洞利用检测功能，并将有助于检测复杂的攻击技术，这些技术在缺乏现代反漏洞利用缓解措施的旧PC上很难识别和扩展内存安全保护。

新的检测技术已安装到CrowdStrike的Falcon传感器6.27版中，可用于配备英特尔CPU（第六代或更新版本）、运行Windows 10 RS4或更高版本的系统。

根据CrowdStike安全工程师的一份说明，这项新技术使用英特尔处理器跟踪 (Intel PT)，这是一种CPU功能，可提供广泛的遥测技术，可用于检测和预防代码重用漏洞。 

英特尔PT记录处理器上的代码执行情况，通常用于性能诊断和分析，但CrowdStrike已经找到了一种利用遥测技术来发现以前无法检测到的恶意活动迹象的方法。

“英特尔PT允许CPU不断地将有关当前执行代码的信息写入内存缓冲区，这可用于重建精确的控制流。主要使用场景是在运行时跟踪可执行文件，将跟踪存储在磁盘上，然后对其进行分析以重现已执行的确切指令序列。此功能提供的程序行为可见性使其也可用于安全漏洞检测和调查，”CrowdStrike解释说。

CrowdStrike表示，在启用和支持英特尔处理器跟踪的机器上，其Falcon传感器将为选定的一组程序启用执行跟踪。“每当程序执行关键系统服务（例如创建新进程）时，传感器都会分析捕获的跟踪以查找可疑操作。

CrowdStrike表示，新方法已经证明是有价值的，并且已经检测到几个基于返回的编程（ROP）漏洞利用链。

CrowdStrike表示，通过捕获应用程序的执行跟踪，运行在内核中的安全软件现在可以通过解析捕获的跟踪数据包以及应用程序地址空间中执行的指令来寻找代码重用攻击。 

新闻来源：

https://www.securityweek.com/crowdstrike-beefs-exploit-detection-intel-cpu-telemetry