2024年3月

【天问】xz/liblzma后门影响全网软件测绘分析

2024年3月29日,开发人员在SSH性能调查中发现xz组件中包含后门,影响了liblzma库,并且该后门事件已被分配编号CVE-2024-3094。奇安信技术研究院“天问”软件供应链安全监测平台利用积累的海量软件空间测绘数据,发现开源生态中的若干软件存在使用后门组件的情况,其他系统、软件和固件上暂未发现直接使用后门组件的情况。
阅读更多

【天问】PyPI 大规模伪造包名攻击

2024年3月26号,天问Python供应链威胁监测模块发现PyPI中短时间内出现了大量利用包名伪造的恶意包,这些恶意包采用和流行包(例如requests)极其相似的包名来诱导用户下载。这些恶意包会窃取用户隐私信息,并持久化驻留在受害主机中。此次事件中,攻击者所表现的自动化、专业化、组织化值得警惕。
阅读更多

【天穹】DLL侧加载检测功能上线

DLL侧加载是一种利用Windows DLL加载机制,将恶意DLL伪装成合法DLL放置在DLL搜索路径上,由合法程序自动加载后实施恶意行为的攻击技术。这种攻击技术利用了防护软件对合法进程的信任,使得DLL的恶意行为不会触发告警,绕过了防护软件的检测。这种信任机制对降低误报起到重要作用。例如,输入法软件需要将自己的DLL注入到其他软件的内存中,防护软件显然不能将输入法标识为病毒,为了实现这一点,防护软件会检测输入法的签名信息,如果具备合法签名,则不予告警。黑客利用DLL侧加载机制,让受信任软件主动加载执行恶意代码,相比于主动注入,不需要调用VirtualAllocEx这类敏感API,被防护软件告警的几率也更低。
阅读更多

【天穹】Linux内核劫持:深入分析内核rootkit入侵威胁

Linux内核级rootkit技术是一种极为高级的黑客攻击技术,它能够打破Linux系统的安全防御,实现对系统和用户的完全控制。相较于用户态rootkit,内核级的rootkit在操作系统内核层进行操控,更难被发现。一旦成功安装,rootkit就可以在操作系统内核中运行,更加持久和难以清除,并且由于存在于内核级别,它能够篡改内存数据和内核模块,控制权更高,危害更大。
阅读更多

【喜报】研究成果被软件工程国际会议ICST 2024录用

日前,由奇安信技术研究院和中国海洋大学合作完成的研究论文被软件工程领域国际会议ICST 2024(IEEE International Conference on Software Testing, Verification and Validation 2024)录用,论文题目为“Enhanced Fast and Reliable Statistical Vulnerability Root Cause Analysis with Sanitizer”。该研究是中国海洋大学硕士研究生闫卓同学在奇安信技术研究院联合培养期间完成的工作。
阅读更多