本周安全动态 DNS失误新C2骗局成真

摘要：在五月份，张有福在Mozilla安全邮件列表上发布消息，指出Financijska agencija（Fina）为IP地址1.1.1.1颁发了TLS证书，尽管Cloudflare并未请求或授权此证书，揭示了TLS证书系统的重大漏洞。Linux用户在终端中复制命

在五月份，张有福在Mozilla安全邮件列表上发布消息，指出Financijska agencija（Fina）为IP地址1.1.1.1颁发了TLS证书，尽管Cloudflare并未请求或授权此证书，揭示了TLS证书系统的重大漏洞。Linux用户在终端中复制命令需谨慎，以防恶意软件威胁。CSS的演变使其具备数据窃取潜力，但仍受限于字符串操作功能。创新的指挥与控制技术如MeetC2和MeshC2展现了研究人员和威胁行为者的创造力。研究表明，说服技巧可影响大型语言模型的行为，揭示了AI的脆弱性。此外，网络摄像头诈骗愈演愈烈，开源恶意软件的出现令人担忧。Silent Signal和Trail of Bits的研究揭示了IBM i主机系统和Electron/Chrome应用中的安全漏洞。

在五月份，互联网上发生了一件相当重要的事情，尽管直到九月三日才有人注意到。张有福在Mozilla的一个安全邮件列表上发布了一条信息，强调Financijska agencija（Fina）为IP地址1.1.1.1颁发了一份TLS证书。这个地址可能听起来很熟悉，你可能会对其含义产生疑问。

首先，是的，确实可以为IP地址颁发TLS证书。例如，你可以通过Let’s Encrypt为你的IP地址获取一个数字TLS证书。此外，1.1.1.1被认为是Cloudflare的公共DNS解析器，它明显利用了DNS over HTTPS（DoH）。至关重要的是，Cloudflare并没有请求或授权这份证书，这使得这一事件显得尤为重要。

这种情况展示了TLS证书系统中的一个主要漏洞。在Microsoft根证书程序中，有超过300个受信任的证书颁发机构，Financijska agencija（Fina）也在其中。仅仅由任何一个受信任的机构颁发的一份有缺陷的证书就可能破坏系统的完整性。令人担忧的是，居然花了四个月的时间才有人发现并报告这个问题。

我常常建议Linux新手在将命令复制粘贴到Linux终端时要小心。这种谨慎不仅是因为可能出现的恶作剧——例如执行rm -rf /或一个fork bomb——还因为恶意软件的威胁，这并非Linux系统所特有。例如，Cloudflare的一条看似真实的通知指示用户在Mac机器的终端中复制并粘贴一个看似无害的字符串。

然而，这个命令具有误导性。它实际上涉及解码一个base64编码的字符串，该字符串会从Internet执行一个脚本，然后开始搜索敏感文件进行上传。虽然这种方法并不新颖，但仍在积极使用，并且为信任来自互联网的命令的风险提供了宝贵的教训。

虽然称CSS为图灵完备可能有些牵强，但它确实获得了使用if语句的能力，并且能够从远程站点进行后台下载。当这两种能力结合在一起时，就创造了数据窃取的潜在途径。

尽管有这些进展，但仍然存在显著的限制，可能会阻碍CSS在此类用途上的广泛采用。值得注意的是，CSS缺乏字符串操作功能，这意味着if语句只能匹配完整的字段值。因此，仅使用CSS提取信息时，必须事先知道要寻找的内容。

研究人员和威胁行为者在开发指挥与控制（C2）技术方面展现出的创造力总是令人着迷。其中一个显著的例子是MeetC2，它展示了通过日历事件使用Google日历进行C2的方法。这种方法有效，因为通常没有安全解决方案会阻止访问Google日历，方便在日历事件中添加注释。

另一个我相当熟悉的创新C2方法是MeshC2。这个聪明但有些小众的工具使用Meshtastic在远程主机上执行命令。由Sophos的研究员Eric Escobar开发，这个工具在进行渗透测试时，尤其是在出现连接问题时，可以变得非常有价值。

说服涉及影响的艺术。例如，当一位汽车销售员为潜在客户买饮料时，这是一种旨在说服的策略。同样，当谈判者模仿对方的小习惯时，他们也在利用说服技巧。各种方法，从权威诉求到框架，都被用来影响人们，但成功率各有不同。问题是：这些技巧是否也能在大型语言模型（LLM）上有效？

一项预印本研究表明，说服确实可以影响AI的行为。就像人类的说服可能导致某人做出不明智的购买一样，它也可能鼓励AI超越其编程限制。在研究中，两个测试案例涉及要求LLM返回侮辱性言辞和提供利多卡因的食谱。虽然这并不是“越狱”LLM的唯一方法，但它突显了AI在某些方面与人类共享的一些脆弱性。

如果你管理自己的邮件服务器或定期检查垃圾邮件文件夹，可能会遇到来自诈骗者的邮件，声称在你进行不当活动时已经控制了你的网络摄像头。历史上，这种说法通常没有根据，仅仅是为了敲诈毫无防备的人。不幸的是，似乎有人对此表示挑战，开发了试图执行那些经典诈骗所承诺的恶意软件。令人震惊的是，这种恶意软件是开源的。

Silent Signal的研究人员调查了IBM i主机系统，并因此识别出一个CVE。这个漏洞涉及重放攻击和后续的命令注入。初步方法促进了盲代码执行，但第二阶段的挑战是找到更实用的东西，而SQL成为了关键解决方案。

最后，Trail of Bits团队正在检查在Electron甚至Chrome内运行应用程序时出现的应用程序完整性问题。尽管这些二进制文件可能已签名，但程序的一部分——堆快照——仍然未签名。这个功能被用来加快这些应用程序内的页面加载速度，也可以被利用来妥协应用程序的内部状态，绕过现有的安全控制。虽然Electron已经解决了这个问题，但在某些情况下，Chrome本身可能仍然对这一有趣的漏洞保持脆弱。

来源：老孙科技前沿

标签： dns c2 骗局 dns失误 c2骗局

本文地址：http://news.43b.com.cn/a/988828.html

免责声明：本站系转载，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与本站联系，我们将在第一时间删除内容!