当一台设备（源设备）要发送数据包到另一台设备（目标设备）时，源设备将数据包发送到与交换机连接的端口。这个数据包包含了目标设备的MAC地址（在以太网中）或IP地址（在更高层次的交换机中）。 交换机接收到数据包后，会读取数据包的头部信息，特别是目标地址信息。这样，交换机知道了数据包的目标设备是哪一个。 如果是以太网交换机，它会根据源设备的MAC地址学习到哪个端口连接了这台设备。这个学习过程使得交换机能够建立一个MAC地址表，记录着每个MAC地址与连接它的端口的对应关系。 交换机根据目标设备的地址信息，查找MAC地址表来确定数据包应该被转发到哪个端口。交换机会将数据包转发到与目标设备连接的正确端口，从而实现了数据包的准确传输。 交换机的关键特点之一是其高速转发能力。由于交换机在硬件层面进行数据包转发，而不是软件层面，所以它可以以非常高的速度进行操作，几乎没有延迟，从而提供了高效的局域网通信。 除了单播（一对一通信）之外，交换机还可以处理广播和多播数据包。广播数据包会被交换机转发到所有端口，而多播数据包则只会被转发到与多播组成员相连的端口。 高级交换机还可以支持虚拟局域网（VLAN）和质量服务（QoS）等功能，以实现更高级的网络管理和控制。 ...

网络交换机根据其类型和配置可以分为不同类别，包括模块化交换机和固定配置交换机，固定配置交换机又可以分为三种类型：非管理型交换机、智能交换机和管理型交换机。 模块化交换机 模块化交换机是一种高度可配置和灵活的网络设备。 这种类型的交换机允许用户根据他们的特定需求和应用来配置和定制交换机的硬件和软件功能。 模块化交换机的主要特性和优点包括： 扩展性：模块化交换机提供了高度的扩展性，使得它们能够满足不断变化的网络需求。用户可以增加或减少端口，改变端口的速度和类型，或者添加新的功能模块，如防火墙、VPN、内容过滤等。 高性能：由于模块化交换机允许用户定制其硬件和软件配置，它们通常能够提供比固定配置交换机更高的性能和更低的延迟。这使得模块化交换机特别适合于大型企业和数据中心环境。 高可用性：模块化交换机通常具有冗余的电源和冷却系统，以及热插拔的功能模块，这使得它们能够提供高度的可用性和故障恢复能力。 尽管模块化交换机提供了许多优点，但它们也有一些潜在的缺点，包括较高的初始购买成本和管理复杂性。 固定配置交换机 固定配置交换机是预配置的网络设备，它们通常具有固定数量的端口和预设的功能。 虽然这种类型的交换机不如模块化交换机那么灵活和可配置，但它们通常更简单、更易于管理，并且成本更低。 固定配置交换机可以进一步分为以下三种类型： 1. 非管理型交换机 非管理型交换机是最简单、最基础的固定配置交换机类型。 这种交换机通常没有任何配置或管理选项，只需要将它们连接到网络中，它们就会自动开始工作。 非管理型交换机主要用于家庭和小型办公室环境，需要简单、低成本，并且不需要复杂配置或管理的网络设备。 2. 智能交换机 智能交换机是一种中等复杂性的固定配置交换机。 这种交换机提供了一些基本的配置和管理选项，如VLAN管理、QoS优先级设定等，但不支持完全的交换机管理和配置功能。 智能交换机适合于需要一些网络管理和配置，但不需要全功能管理交换机的中小型企业环境。 3. 管理型交换机 管理型交换机是最复杂、最完全的固定配置交换机类型。 这种交换机提供了全面的交换机管理和配置功能，包括VLAN管理、QoS优先级设定。 管理型交换机是最复杂、最完全的固定配置交换机类型。这种交换机提供了全面的交换机管理和配置功能，包括VLAN管理、QoS优先级设定，安全策略，堆叠和聚合链接，以及多层交换等。管理型交换机主要用于大型企业和数据中心环境，需要高度的网络性能和管理功能。 尽管管理型交换机提供了高级的配置和管理功能，但它们的成本和管理复杂性也相对较高。因此，这种类型的交换机主要适合于有专业网络团队并且对网络性能和安全性有高要求的组织。 ...

选择网络交换机时，需要考虑多个因素。 吞吐量： 根据网络的带宽需求，选择适当速度的交换机。通常有千兆以太网（1 Gbps）、十千兆以太网（10 Gbps）和百千兆以太网（100 Gbps）等选项。确保交换机的速度足以支持网络中的数据流量。 端口数量： 确定您需要多少个端口来连接所有设备。考虑网络中的用户数量、服务器、打印机以及其他设备，以便选择具有足够端口的交换机。 以太网供电（PoE）： 如果您计划连接需要供电的设备，如IP电话、监控摄像头或无线接入点，考虑选择支持PoE的交换机。这将减少电缆布线的复杂性，并确保设备正常工作。 可堆叠性： 如果您需要快速扩展网络或希望将多个交换机作为一个单元进行管理，可堆叠交换机是一个好选择。它们可以简化网络管理并提供冗余。 管理功能： 根据您的网络管理需求，选择合适的交换机类型。托管交换机提供广泛的管理和配置选项，而非托管交换机更简单且无需配置。 预算： 预算是一个关键因素，考虑您的财务限制，并在性能和功能之间找到平衡。智能托管交换机通常提供了不错的性价比，但完全托管的交换机功能更全面。 网络拓扑和设计： 考虑您的网络拓扑和设计，确定交换机的位置和连接方式。这将有助于确定所需的交换机类型和数量。 未来扩展： 考虑网络的未来扩展需求，选择具有足够可扩展性的交换机，以便适应将来的增长。 品牌和可靠性： 考虑选择可靠的品牌和供应商，以确保您的网络设备的稳定性和性能。 综合考虑以上因素，可以帮助您选择适合您网络需求的网络交换机，确保网络运行顺畅并满足未来的要求。 ...

2023年9月15日，中央网信办印发《关于进一步加强网络侵权信息举报工作的指导意见》（以下简称《指导意见》），对网络侵权信息举报工作进行系统谋划和整体安排，旨在维护保障广大网民网络合法权益。 中央网信办有关负责人指出，近年来，网络侵权信息时有出现、屡禁不绝，扰乱网络传播秩序，侵害网民网络合法权益，社会反映强烈。网络侵权信息举报工作是网信部门践行网上群众路线的重要举措。制定出台《指导意见》，对推动网络生态治理，更好维护保障广大网民网络合法权益具有重要意义。 中央网信办有关负责人指出，《指导意见》明确网络侵权信息举报工作两大任务。一是切实保护公民个人网络合法权益。要求各地网信部门把握举报受理重点内容和重点领域；建立网络暴力信息举报快速处置通道，从严处置首发、首转、多发、煽动传播网络暴力信息的账号；加强特殊群体网络合法权益保护，优先保护未成年人网络合法权益。二是切实维护企业网络合法权益。要求开设线上涉企举报专区，健全举报查证机制，强化举报政策指导，重点受理处置侵害企业及企业家名誉的虚假不实信息、违法网站和账号，优化网上营商环境，支持各类企业做大做优做强。 中央网信办有关负责人强调，网络侵权成本低、维权成本高，是当前网民举报维权过程中面临的难点问题。《指导意见》要求各地网信部门优化举报服务，完善制度规范，统一研判标准，强化技术支撑，健全处置机制，满足广大网民多层次多样化举报需求。要求各地网信部门压紧压实网站平台主体责任，指导属地网站平台完善分级分类处置举措，建立“限时加私”“争议标签”等工作机制，提升处置效果；严格督导检查，加大惩处力度。 原文链接 http://www.cac.gov.cn/2023-09/15/c_1696347685563097.htm ...

  香港科技中心数码港Cyberport透露，其员工、前雇员和求职者的一些被盗个人数据出现在暗网上。 数码港于8月中旬发现其系统遭到入侵，并向香港警务处（HKPF）和个人资料私隐专员公署（PCPD）报告。9月6日，数码港检测到暗网上提供的一些信息可能与该事件有关，并联系了可能受影响的人员。 一周后，即9月12日，数码港发布另一份声明，确认数码港现有员工、前雇员和求职者的个人数据，包括姓名、联系方式、人力资源相关数据以及少量信用卡记录，被发布在暗网上。 它还为其直到上周才披露这一事件的决定进行了辩护，因为没有证据表明存在任何滥用个人数据的情况，并且它不想引起任何“不必要的担忧”。 它补充道：“我们随后意识到，暗网上提供的一些信息可能与该事件有关，我们立即于[9月6日]发布公告，并联系了可能受到影响的人员。” 数码港网站上介绍显示，数码港拥有1900多名会员，其中包括800多家场内会员和近1100家场外初创企业和科技公司。该技术中心表示，它已经联系了可能受影响的人员，并将提供免费的身份监控服务。它还设立了专门的网站来提供更多信息。 数码港称，作为恶意入侵的受害者，数码港对于所有形式的网络犯罪行为予以严厉谴责。对于本次事件可能带来不便或关注，他们深表遗憾，并向公众保证，数码港已采取积极果断的措施来加强网络安全。如有疑问，可以与其专责团队联系。 香港警方表示，警方的网络安全和技术犯罪局正在进行调查。 与此同时，个人资料私隐专员公署（PCPD）表示，已收到一名受数据泄露影响的人士提出的询问。隐私监管机构表示已对该事件启动合规调查。 另一方面，创新科技及工业局局长孙东则敦促数码港全面提升对网络系统和敏感数据文件的保护，堵住漏洞，避免类似事件再次发生。孙补充说，过去几周数码港多次遭到攻击，但没有再发生数据泄露事件。 香港互联网协会开放数据工作组黄浩华在评论该事件时表示，数码港对数据泄露事件的反应相当的被动。 “虽然数码港为其不提前披露事件的举动进行了辩解，但它应该在发现网络攻击后立即通知所有潜在的受害者。数码港并不知道数据泄漏的范围和潜在受影响的区域，这是不可接受的。数码港有责任适当通知受害者，并进行根本原因分析。” 黄补充说，数码港被视为香港的旗舰科技中心，此次事件可能会影响本地创新科技行业的形象。 香港资讯科技商会名誉会长方宝侨同意他的观点，他表示，除了已知的事件受害者外，数码港还需要告知其合作单位，让他们采取预防措施。 数码港由香港特别行政区政府全资拥有的香港数码港管理有限公司管理。根据官网的介绍，数码港的愿景是成为数码科技枢纽，为香港缔造崭新经济动力。数码港透过培育科技人才、鼓励年轻人创业、扶植初创企业，致力创造蓬勃的创科生态圈；借着与本地及国际策略伙伴合作，促进科技产业发展；同时加快公私营机构采用数码科技，推动新经济与传统经济融合。 数码港受到的是勒索软件攻击 本月早些时候，网络安全信息平台FalconFeedsio首次披露了这起数据泄露事件，该平台在社交媒体上表示，勒索软件团伙Trigona已将数码港添加到其受害者名单中。 总部位于帕洛阿尔托（Palo Alto）的网络风险咨询公司Unit 42表示，Trigona勒索软件团伙相对较新，于2022年10月下旬首次由安全研究人员发现，涉及制造、金融、建筑、农业、营销和高科技行业的企业或组织受到其攻击影响。 据社交媒体帖子称，该勒索软件团伙表示，它已获得数码港超过400GB的内部数据。 黑客还提出以30万美元出售这些信息。网络专家此前估计，假设一个人的个人数据占用1GB，至少涉及400人的信息。 数码港谴责黑客攻击事件。 “我们正在与我们的法律顾问合作，并一直与执法部门充分合作。我们对这一事件可能造成的任何不便或担忧深表遗憾。” “我们想向公众保证，我们已采取积极果断的措施来加强我们网络的安全。” IT资深人士梁伟峰表示，对于作为高科技中心的数码港来说，此次数据泄露事件“有点尴尬”。 “但数码港其实和其他商业机构一样，他们只是以科技企业家为租户。”他说。 梁表示，这一事件给香港所有企业敲响了警钟，“勒索软件攻击可能随时随地发生”，而且“无法保证”可以避免。 数码港提供的一些问题解释说明 1.有哪些资料受到影响? 被存取的个人资料可能包括：一定数量的个人资料，只限于其名称及联络方法 (电话号码，电邮)员工、前员工及求职者的资料 (包括身份证号码、相片、出生日期、住址、受雇资料、社交媒体帐户、学历及银行户口资料)，以及少量员工及前员工的健康资料少量的信用咭资料2.我应如何确认自己是否受到影响? 如果我们认为您可能受到影响，我们会通知您。 若您认为自己可能受到影响，请与我们联系。 3.若我担心资料可能被盗用，我可如何防范？ 我们鼓励任何相关人士留意其帐户中的任何可疑活动或通知。为审慎起见，您可能希望采取一些额外措施，包括定期更改密码，并确保您不会在多个帐户中使用相同的密码。 4.若我受到影响，应该采取什么措施？ 如果我们认为您可能受到影响，我们会通知您。如果您并未收到通知但仍感担忧，您可以即时通知我们。我们将就个别情况，由专人处理。我们亦鼓励任何相关人士留意其帐户中的任何可疑活动或通知。为审慎起见，您可能希望采取一些额外措施，包括定期更改密码，并确保您不会在多个帐户中使用相同的密码。 5.为什么数码港没有在更早时间公布事件？ 数码港在8月中发现部分电脑档案被加密，已立刻采取措施减低任何潜在影响，包括关闭受影响的电脑设备和在独立的网络安全专家协助下迅速展开详细调查，报警处理及向执法部门寻求协助。数码港亦即时加强网络及系统的安全措施，进一步深化数据安全及保护。即使该事件调查需时，影响范围尚未确定，但我们征询了法律及不同专家的意见，经过多方面的考虑，为审慎起见，数码港决定于8月18日通报个人资料私隐专员公署。‍数码港随后了解到暗网上疑似与该事件有关的资料，随即于9月6日作出公布，并通知可能受到影响的人士。 6.您的运营有受影响吗？ 我们的运营并没有受影响。我们亦即时加强网络及系统的安全措施，进一步深化数据安全及保护。 7.您何时会完成调查？ 我们正非常严肃地处理此事，并聘请了独立的网络安全专家来调查和补救本次事件，并仍在进行中。期间，我们已即时加强网络及系统的安全措施，进一步深化数据安全及保护。 8.您对持分者有什么建议？ 尽管我们没有发现任何持分者受到任何伤害，但是我们鼓励您提高网络安全意识，包括留意网络中的任何可疑活动或通知。 9.身分监察服务供应商会为我提供什么服务？可否提供更多的详情？ 我们将委托第三方服务供应商，为受影响人士提供额外的专业身分监察服务，费用全免。服务详情将于稍后公布。 ...

...

暗光纤可以分为两大类：城域光纤和长途光纤，它们在覆盖范围、结构和用途上都有所不同。 1.城域光纤 定位与覆盖范围 城域光纤是一种光纤网络，主要分布在城市内，覆盖人口密集、流量大的地点。 它的目标是将高速光纤连接带到企业的家门口。 这种光纤网络的关键特点是其城市范围，它通常连接城市内的不同区域和商业中心。 优势与用途 城域光纤的优势在于为城市内的企业提供了高度可靠的、高速的连接。 这对于满足日益增长的带宽需求至关重要，尤其是对于需要快速数据传输和实时通信的行业，如金融、医疗保健和媒体。 主要用途包括： 金融交易网络： 金融机构需要低延迟、高带宽的连接，以确保交易的迅速执行。城域光纤提供了低延迟的通信通道，有助于提高交易效率。 数据中心连接： 数据中心之间的高带宽连接对于数据备份、云计算和灾难恢复至关重要。城域光纤可以支持大量数据的快速传输。 企业网络： 许多企业需要可靠的、高速的网络连接，以支持其日常业务。城域光纤提供了满足这些需求的解决方案。 结构与特点 城域光纤通常采用多模光纤，这种光纤具有较大的玻璃芯，允许多种光传输模式。这种结构允许更大的整体带宽潜力，因为有更多的光纤可以传输更多的数据。 此外，由于城域网络覆盖城市内更大的区域，它允许更多独特和多样化的路线选择。这提供了冗余性和容错性，确保即使在网络中的某个部分发生故障时，数据仍然可以传输。 2.长途光纤 定位与覆盖范围 长途光纤是一种覆盖长距离的光纤网络，它的覆盖范围通常跨越数千英里，连接主要市场和城市。 这种光纤网络的关键特点是其长距离连接，通常通过接入点（PoP）使用跨越大陆的路线。 优势与用途 长途光纤的主要优势在于其能够连接遥远的地理区域，提供高带宽和可靠的跨市场连接。这对于跨越大陆的数据传输和全球通信至关重要。 主要用途包括： 全球数据传输： 跨越大陆的长途光纤连接是全球数据传输的关键。它们支持跨国企业的信息交流、云服务和跨大洲的通信。 互联网骨干： 长途光纤构成了互联网骨干网络的一部分，确保数据在不同国家和洲际之间的传输。 跨国企业： 全球化的企业需要可靠的跨国连接，以支持分布在不同地理位置的办公室和设施。 结构与特点 长途光纤主要由单模光纤构成。这些光纤具有较小的玻璃芯，仅允许一种光传输模式。这限制了一次可以传输的数据量，但没有明显的距离限制。 长途光纤的结构更专注于长距离传输，而不是多样性的路线选择。这使得它们非常适合连接遥远的地理区域，而不需要复杂的路由。 3.结合城域与长途光纤 对于大多数企业来说，城域光纤和长途光纤的结合是最理想的解决方案。 这种混合方法允许它们随时随地连接市场并满足客户需求。 企业可以利用城域光纤来连接其办公室和数据中心，同时使用长途光纤来连接不同的城市和全球市场。 这种结合还提供了灵活性和冗余性，确保即使一个连接出现故障，仍然有备用路径可供使用。这对于保持业务的连续性和可用性至关重要。 另外，城域光纤和长途光纤的结构差异也允许企业根据其具体需求进行优化选择。 例如，对于需要高带宽的数据中心连接，城域光纤可能是更合适的选择，因为它们具有更大的带宽潜力。 而对于跨越大洲的全球数据传输，长途光纤可能更具吸引力，因为它们专注于长距离传输而不需要多样性的路线。 ...

提到网站很多人第一反应肯定觉得现在什么年代了，网站早就过时吧! 可以肯定是网站还是能玩的，你别看曾经的很多大佬都不做网站了，纷纷转入短视频、直播带货等领域了，正因为这样竞争也相对要小一些，其实更利于我们起站，有人可能不相信，我给大家看下数据： 这是A5交易网的大致数据，具体的可以去A5查看行情，其实我做站有时候就是参考A5有哪些行业价值高，然后再看那种站容易起来才考虑操作的，这点也是非常关键的。 有的行业有很多大站在前面顶着，我们肯定很难起站，比如一些健康方面的内容，之前我做的母婴和中草药等这种就相当有难度了，因为有很多健康问答的大站，我们抢不到排名，而且他们有相关资质不会有什么其他问题! 其实我接触网站最初应该是在09年，那时候在YY语音上面认识攻防等技术方面的人脉，接触到dz论坛，玩了几年hacker方面的技术，更多是在论坛发布一些教程和专场教学，对，那个时候叫做开专场不叫直播! 14接触到网赚圈子，做了几年的网赚论坛和博客! 18年以后，就着手开始做网站方面的项目了!一直坚持到现在，圈子中基本超过百分之90的人都改行做起了短视频电商等! 接下来就分享一下我这么多年到现在还能玩的4中思路吧!就从备案域名和不备案域名两个方面说吧! 一、需要备案网站起站思路 1、批量备案 现在做百度的优化，有一个非常特别的现象，那就是你不备案，想做起来一个权重网站是相当的有难度了!夸张到你不备案蜘蛛根本就不抓取你的内容，不管你内容有多干都没有用，当然有一些建站历史非常好的站也会抓取，但是给权重又不是很稳定，就很蛋疼! 所以我的思路是，批量申请个体户营业执照，一个营业执照可以备案10个左右的域名，这个有了扩展的空间了!我今年带了几个学员，有学员夸张到有上百张营业执照，也不知道是怎么搞，可能有内部渠道吧!有一个和认识年头比较长的学员前几天也发来了自己的效果! 一个学员做了120个网站，一个成本在300-500左右，可以看到截图中这种网站，差不多有1到3个月的效果，这养的一个站，差不多能卖到3000-5000左右，相当于10倍的利润，当然我说的只是一般的情况，120个站，能卖到上万甚至几万的站，也占一部分，取决于你起站的时间长短，如果你网站能稳定在3个月到半年的时间，那价格肯定也是蹭蹭涨! 这里面的利润是清晰可见的!就不用我细算了，当然如果你资金不是很充裕，也可以少量起站，10个站开始也不也是可以的，大概也就不到3000的成本就开始着手操作!变现周期在1个月到3个月，一般人也能承受的了的! 2、质量网站 用公司执照备案单个或者多个做品牌质量站，这种站对内容质量要求非常高的，因为我们要申请百度的特权，申请之前起码网站要有1000篇左右的高质量优质内容，不然通过率是非常低的，当然还有其他的附加条件，一定要是企业资质，还得在自媒体领域有一定的知名度，大概的意思是在任意自媒体平台有超过10万以上的粉丝! 有人可能听到这个就打退堂鼓了，其实也不是很麻烦，买个号也不是很贵嘛!好点的可能也就万把块钱!当然网站的布局及模板的原创性也是有一定的要求的! 当你别看要求这么苛刻，但是你一旦通过，你就会觉得什么是物超所值的，他这个功能叫做top1，顾名思义就是你的内容会排到第一就很牛皮，我试过采集几万内容不到一个星期的时间，全部都收录了，一部分内容是直接在移动端排名第一! 当然这种网站也弊端，因为是属于官方合作的站点，所以变现就相对局限，我看同行更多的是挂百度联盟的广告!当然如果你有这样一个网站，我相信你会有很多的变现思路，我就不细说了! 二、无需备案的网站起站思路 这个我就不详细说了，因为太简单了，当然前提是你不是纯小白，一看就能懂，我只提供思路!当然这两种都是比较费钱的，大概率huichan用的会比较多! 1、针对搜狗的站点 这种站不需要备案的，就是需要找自带搜狗pr的老域名，而且是大量的，也可以用搜狗有收录的域名，起站效果也可以，这种的特点就是没特点，纯粹看脸，说实话，我玩seo那么多年，完全没明白搜狗的算法，当然操作起来也相对简单暴力，像市面上的采集、生成、AI等一系列内容生产的思路都可以用起来，死命搞内容，别人怎么操作的我不知道，我是这么干的，起步都是几十万内容，如果程序扛不住，那就做站内站，栏目站，一个站多个数据库，就能缓解程序的压力了，当然如果你懂数据库优化，那就更好了! 2、批量做电影网站 电影站其实在圈子的很多很多年了，曾经我也做过权重8的电影站，那个流量真叫一个猛啊，国内各大电影网站的会员是一涨再涨，而且也没什么高质量的好电影产出，很多平台把一些很老的电影都移到VIP专区，所以就导致有很多人不愿意花那个冤枉钱!做这种网站特点就是无广告高清直接看，所以连SEO都可以不用做，流量就能起来，当然这种站，建议是把服务器和域名放到境外更安全，以免后期遇到不必要的麻烦! 以上两种思路，可以用到站群服务器操作来降低成本，搜狗的可以用香港地区的，电影的只能用境外的了! 有人可能认为我是标题党，我想说的是以上都实战的经验，我每个月都会卖个10来站，有的时候少一点，有时候又会有个把站权重价值高，能卖个好几万也是很正常的情况。 其实网站一些其他小思路，网站并不局限以上这些，还可以做一些其他的小站点，我简单的说几个我研究过的或者做过的!曲谱音乐、视频教程、电子书籍。甚至包括软件源码等很多很多，这些都是可以做到全自动变现的! 作者：张子豪 ...

CISA、FBI和美国网络司令部(USCYBERCOM)于本周四（9月7日）发布的一份联合报告显示，国家支持的黑客组织利用针对Zoho和Fortinet关键漏洞攻击了美国一家航空组织。 此次攻击背后的威胁组织尚未公布，联合公告中也并未将攻击者与特定国家联系起来，但USCYBERCOM的新闻稿中将此次攻击活动和伊朗黑客联系了起来。 CISA方面声称，黑客组织至少从 1 月份开始就入侵了航空组织网络。他们此前入侵了一台运行 Zoho ManageEngine ServiceDesk Plus 和 Fortinet 防火墙的互联网外露服务器。 CISA、FBI和CNMF在公告中提到，有高级持续威胁（APT）行为者利用CVE-2022-47966漏洞非法访问了一个面向公众的应用程序（Zoho ManageEngine ServiceDesk Plus），并在其网络中建立了持久性。 该漏洞允许黑客在 ManageEngine 应用程序上远程执行代码。还有其他 APT 行为者利用 CVE-2022-42475 在组织的防火墙设备上建立存在。 正如这三个美国机构所警告的那样，这些威胁组织经常会搜索那些面向互联网却没有打补丁的设备。在渗入目标网络后，攻击者会在被黑的网络基础设施组件上保持持久性。这些网络设备很可能会被用作受害者网络内横向移动的基础或者恶意基础设施。 美国国家安全局建人们采取措施以确保基础设施的安全，这些措施包括但不限于保护所有系统免受所有已知漏洞的攻击、监控远程访问软件的未经授权使用，以及删除不必要（已禁用）的账户和组（尤其是特权账户）。 攻击和确保系统安全的警告 今年 1 月，CISA 下令联邦机构保护其系统免受 CVE-2022-47966 漏洞的攻击，几天后，网上发布了概念验证 (PoC) 漏洞利用代码，威胁方开始攻击未打补丁的 ManageEngine 实例，以打开反向外壳。 在 CISA 发出警告几个月后，朝鲜 Lazarus 黑客组织也开始利用 Zoho 漏洞，成功入侵了医疗机构和一家互联网骨干基础设施提供商。 联邦调查局和 CISA 就国家支持的组织利用 ManageEngine 漏洞攻击关键基础设施，包括金融服务和医疗保健发布了其他多条警报。 正如Fortinet在1月份披露的那样，CVE-2022-42475 FortiOS SSL-VPN漏洞在针对政府组织和相关目标的攻击中也被作为零日漏洞加以利用。 Fortinet 曾在去年11月28日修复了该漏洞，但并未公布该漏洞被利用的具体信息。不过Fortinet 自12 月中旬后已经开始敦促客户为其设备打上补丁，以确保设备安全。 参考来源：Iranian hackers breach US aviation org via Zoho, Fortinet bugs (bleepingcomputer.com) ...

这么高调的黑客，网警还是头一次见   你有装*的权利 我就有让你倒下的实力！打造网络安全，传扬黑客文化！实力、信誉、效率，三结合！ 我们来自……！！！ 嚯，真长见识啊。 这是把违法犯罪当“光辉战绩”？ 把危害他人权益当事业来干了？   （上图为黑客网上发布的小广告） 2023年8月，四川遂宁船山公安成功打掉一本地网络“黑客”犯罪团伙，侦破非法侵犯公民个人信息、非法控制计算机信息系统、非法获取计算机信息系统数据、破坏计算机信息系统等系列案件。 工作室网发“服务广告”警方发现端倪   2023年7月中旬，遂宁船山公安在某短视频平台上发现，有用户发布了上述狂妄、骄傲的“服务广告”。   </p> 网安民警敏锐地意识到，信息背后很可能隐藏着“见不得光“的勾当。   </p> 经过调查民警发现，该“工作室”涉及的“服务”有：DDOS网站攻击、APP系统渗透、指定IP电脑和手机远控，出售攻击软件和教程等。   </p> 随着网安民警接下来几日的深入侦查，发现这个“工作室”团伙近期正在入侵某房产网和某购物网APP。   </p> 遂宁船山公安立即成立专案组，对该案件展开集中攻坚。     </p>   </p>   </p>   </p> 嫌疑人吹嘘“骄人战绩” 犯罪团伙浮出水面   侦查发现，该“工作室”中的一名成员不仅在短视频平台发布“服务”信息，还在其他网络平台聊天，大肆吹嘘自己的高超技术，宣扬自己的“团队”利用黑客技术攻击境内外网站非法牟利的“骄人战绩”。   就怎么说呢……还真是挺嚣张的。   </p> 侦查民警通过对数据的进一步分析研判，发现该名成员并没有像他吹嘘的那样神通广大。实际上他在该团伙中只负责数据销售、资金结算和技术寻租等前端犯罪活动，而在他的背后还隐藏着一个专业的犯罪团伙。   </p> 以他为突破口，警方连日奋战，截至7月底，全面掌握了这一黑客团伙的组织架构和团伙成员信息，团伙头目奉某、唐某浮出水面。   </p>   </p>   </p>   </p> 倒卖大量公民私密信息 警方集中抓捕收网 8月3日晚，专案组兵分三路集中收网抓捕，同时在遂宁市城区某网络技术工作室、河东新区某电竞酒店、内江市资中县一民宿内挡获正在实施攻击网站盗窃用户数据的犯罪行为的嫌疑人4名，现场查扣大量用于作案的网络技术设备。   经查，犯罪嫌疑人奉某、唐某等人成立黑客工作室，招募社会闲散人员加入，利用黑客工具实施DDOS攻击，并通过扫描房产、购物等平台漏洞，用专业手段取得服务器控制权，非法获取公民住址、房产、购物、信用卡等高私密度数据40余万条，为网络**屏蔽敏感词**、网络诈骗、网络水军“输血供料”。   </p> 目前，该团伙被查实的非法牟利金额已超过30万元，犯罪嫌疑人奉某、唐某等人被遂宁船山公安依法采取刑事强制措施，案件正在办理中。 网警提醒：   1.及时更新服务器系统安全漏洞补丁；   </p> 2.加强服务器安全防护能力；   </p> 3.制定有效的风险预警机制，重要数据一定要备份；   </p> 4.发现被“黑客”入侵时，要立即断网，保存好现场的犯罪证据，并马上报警处理。 攻击POS机后台窃取个人信息74万条！4人获刑 据厦门日报报道：一男子伙同他人以攻击企业后台的方式窃取公民个人信息，之后又将信息出售牟利。近日，思明区法院开庭审理了这样一起侵犯公民个人信息案，马某等4人均获刑。因推广业绩不理想 起歪念盗卖信息41岁的马某来自省外，原本是当地一名普通的企业员工。因父亲身患重病、母亲残疾，家庭经济拮据，他在工作之余一直在寻找生财之道。一开始，他尝试进行移动支付终端设备(即POS机)的推广，他找到某科技公司的程序员杨某，让杨某参照一款名为“××宝”的软件尝试开发，用于收集客户信息，以便推广。因业绩不理想，马某萌生了歪念头。他告诉杨某，“××宝”里面的数据很多，如果能够直接拿来用就好了。2022年10月至2023年2月，马某与杨某合谋，非法攻击侵入“××宝”的后台系统，窃取公民个人信息。其间，杨某又找来陈某一起入侵系统。据统计，他们窃取的用户姓名、联系电话、住址等公民个人信息共计742142条。马某事后交代，当时主要是想通过攻击经营类似业务的企业系统来挖掘客户。后来业务还是没有起色，他和杨某一合计，决定售卖这些公民个人信息牟利。马某以每条0.7元的价格将4万余条信息出售给在杭州某技术公司就职的汪某。此后，汪某又加价，以每条0.8-1.2元的价格转售其中的2万余条信息。位于厦门的被害单位发现系统遭遇攻击、数据泄露后向公安机关报案。马某等四人均被抓获。非法获取出售信息 涉案四人皆获刑经查，马某、杨某出售公民个人信息非法牟利共计3万余元，两人在得手后平分了赃款，陈某从杨某处非法获利1万元，汪某出售公民个人信息非法牟利2万余元。思明区法院审理认为，被告人马某、杨某、陈某违反国家有关规定，共同非法获取公民个人信息，其中马某、杨某还共同非法出售公民个人信息，三人的行为情节特别严重。被告人汪某非法获取、出售公民个人信息，情节严重。这四名被告人的行为均构成侵犯公民个人信息罪。考虑到各被告人的犯罪情节、自愿认罪认罚和退赃等悔罪表现，思明区法院一审判处这四名被告人一年九个月至三年不等的有期徒刑，适用缓刑，并处罚金。法官提醒网：上“冲浪”慎填个人信息审理本案的法官表示，依据《刑法》，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处3年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处3年以上7年以下有期徒刑，并处罚金。法官提醒，公民个人务必要树立信息自我保护意识，网上“冲浪”时不轻易安装不明软件，不随便点击聊天中的不明链接，谨慎填写个人信息。此外，合法掌握公民个人信息的行业企业，要牢固树立守法意识，禁止向他人出售或者非法提供公民个人信息。 文章来源 ：公安部网安局、安全圈 ...

2023年8月31日，2023年国家网络安全宣传周新闻发布会在京举行。中央网信办网络安全协调局局长高林，福州市委常委、宣传部部长、统战部部长、一级巡视员陆菁介绍活动筹备情况，并答记者问。 2023年国家网络安全宣传周将于9月11日至17日在全国范围内统一开展。其中，开幕式等重要活动将在福建省福州市举行。高林介绍，今年的网安周以“网络安全为人民，网络安全靠人民”为主题，结合深入学习贯彻党的二十大精神，将深入学习宣传贯彻习近平总书记关于网络强国的重要思想，以及习近平总书记关于网络安全和信息化工作的重要指示精神作为首要任务，围绕党的十八大以来网络安全领域取得的成就开展主题宣传活动，深入宣传《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等重要法律法规、政策文件、国家标准，通过论坛、研讨、展览、竞赛等形式，党政机关、科研机构、高校、企业、社会组织、群众等各方力量广泛参与网络安全宣传活动，全面营造全社会共筑网络安全防线的浓厚氛围。陆菁介绍，本届网安周具有以下特点：一是突出人民性，营造网络安全为人民、网络安全靠人民的浓厚氛围。二是突出创新性，坚持促进发展和依法管理相统一。三是突出融合性，推进网络安全“政产融学研用”融合发展。今年网安周期间，除开幕式外，还将举行网络安全博览会、网络安全技术高峰论坛、网络安全微视频征集，以及主题日、进基层等活动。2023年国家网络安全宣传周由中央宣传部、中央网信办、教育部、工业和信息化部、公安部、中国人民银行、国家广播电视总局、全国总工会、共青团中央、全国妇联等十部门联合举办。各级地方党委网信委统一领导组织本行政区内的网络安全宣传周活动。中央和国家机关各部门组织指导本系统本行业本领域的活动。 文章来源：安全学习那些事儿 ...

为什么很多软件取消了网页版，比如某绿色聊天软件，某团，很简单，网页端不方便收集个人信息，无法精准的给你推送广告，网页版的内容需要从浏览器打开，流量入口是浏览器的，不仅很难追踪我们的信息，广告还会被浏览器插件拦截。 相比网页版，APP拥的权限更大，可以说想看哪里看哪里，可以获取用户的浏览记录、短信内容、相册图片、剪贴板等隐私数据。这些数据经过大数据分析可以清晰地勾勒出用户的喜好和行为模式。 然后app可以进行精准的推荐，将用户感兴趣的内容和广告推送给对方，吸引其停留时间。比如，你在某宝浏览某种生发产品后，很快就会在APP里刷到看到该产品的广告，甚至打开另一款软件，弹出的广告内容也是你在某宝浏览的生发产品相关的广告。 甚至部分APP本质上只是对网页的简单套壳，目的也是为了让用户更长时间的停留，让后台更好地采集用户数据。 为了延长其用户的使用时间，这些软件往往集合了各类功能，内置了许多第三方链接，内容复杂冗杂但对用户形成黏性。为获取更多收入，这些APP还内置了各类借贷、理财推广模块。 手机App的推送广告可能会泄露用户隐私，主要原因如下: 1. 许多App会申请获取用户的联系方式、位置信息、相册等各种权限，这些权限获取到的用户数据会被用于精准推送广告。 2. 某些App会跟踪用户的浏览记录、搜索关键词等，据此进行商品推荐。这在一定程度上会暴露用户的喜好、兴趣等个人信息。 3. 有些App会与第三方广告平台合作，并将用户数据提供给这些平台用于投放精准广告。这存在用户数据被泄露的风险。 4. 即使App本身不会公开泄露用户信息，但通过精准广告也可能可推断出某些个人信息，如年龄、性别、职业等。 然而，并不是所有的App都会泄露用户隐私。对此，用户需要注意以下几点: 1. 谨慎授权App获取私人数据的权限，只提供必要的权限。 2. 阅读App的隐私政策，了解其如何使用及共享用户数据。 3.采取措施保护手机系统及App的安全，防止数据被恶意获取。 4.注意保护个人信息，避免在App中过度填写真实私人信息。 ...

Java面试题：请你谈谈hashCode()和equals()的区别是什么？为什么重写equals()就要重写hashCode()？ 得分点：hashCode() 用途，equals() 用途，hashCode()、equals() 约定 标准回答： 在Java中，hashCode() 方法的主要用途是获取对象的哈希码，而 equals() 方法主要用来比较两个对象是否相等。这两个方法之间存在两个约定： 约定一：相等对象必须具有相同的哈希码 如果两个对象被认为相等，那么它们必须具有相同的哈希码。这意味着如果 equals() 方法返回 true，那么这两个对象的 hashCode() 值也必须相等。 约定二：相等的哈希码不一定表示相等的对象 两个对象的哈希码相等不一定意味着这两个对象相等。换句话说，如果两个对象的 hashCode() 值相等，它们仍然需要通过 equals() 方法进行进一步的比较来确定是否相等。 另外，需要注意的是，默认情况下，Object 类提供的 equals() 方法使用 == 运算符来比较两个对象，即只有两个对象是同一个对象时，才会返回相等的结果。然而，在实际业务中，通常的需求是，如果两个不同的对象的内容相同，就应该认为它们相等。因此，通常需要重写 equals() 方法，以满足业务需求。 由于 hashCode() 方法与 equals() 方法具有联动关系，因此在重写 equals() 方法时，通常也需要重写 hashCode() 方法，以确保这两个方法始终满足上述两个约定。这有助于维护对象在哈希表等数据结构中的正确行为。 ...

文章目录 得分点 标准回答 Java面试题：谈谈==与equals()的区别？ 得分点 == 和 equals() 比较基本变量用法，== 和 equals() 对比引用变量的用法 标准回答 在Java中，== 和 equals() 都是用于判断两个变量是否相等的方式。以下是它们的用法： 基本变量的比较： 使用 == 运算符比较两个基本类型的变量。如果两者都是数值类型（不一定需要数据类型完全相同），只要它们的值相等，== 运算符将返回 TRUE。 引用变量的比较： 对于两个引用变量，只有当它们指向同一个引用时，== 运算符才会返回 TRUE。这意味着它们引用的是同一个对象。 equals() 方法： equals() 方法是 Object 类提供的一个实例方法，因此所有的引用变量都可以调用 equals() 方法来判断它们是否相等。 默认情况下，equals() 方法与 == 运算符没有区别，它同样要求两个引用变量指向同一个对象才会返回 TRUE。 但是，如果我们希望自定义判断相等的标准，可以通过重写 equals() 方法来实现。重写 equals() 方法时，相等条件是由业务要求决定的，因此 equals() 方法的实现是由业务要求决定的。这允许我们根据对象的属性或其他条件来定义相等性。 更多关于==与equals()的区别的深入说明，请参考文章《Java String equals()方法》 ...

g) 亚利桑那州凤凰城的一对夫妇近日承认密谋通过暗网分发海洛因、甲基苯丙胺和对氟芬太尼等多种受控物质。 根据法庭文件，大约从2021年1月到2023年5月，36岁的Cheerish Noel Taylor和35岁的Robert James Fischer在多个暗网市场上使用了“SafeServe”、“Sky_HIGH”等暗网昵称。在这些市场上，他们宣传并销售各种受管制物质，包括冰毒（甲基苯丙胺晶体）、可卡因、海洛因、阿普唑仑（Xanax）、阿得拉（Adderall）、苏博酮（suboxone ）和假药丸，犯罪嫌疑人将这些假药丸宣传为羟考酮，但实际上其中含有对氟芬太尼，这是一种危险的芬太尼类似物质。在犯罪过程中，这两名犯罪嫌疑人利用这些账户在暗网上销售了1100多笔受控物质。 暗网，是互联网中承载暗网市场或隐藏商业网站的一部分。暗网市场类似于合法的电子商务网站，销售或经纪涉及合法产品以及毒品、武器、假币、被盗信用卡详细信息、伪造文件、未经许可的药品、类固醇和其他非法商品的交易。暗网市场与正常的电子商务网站一样配有购物车、促销和客户评论。 费舍尔和泰勒销售假冒羟考酮药丸，并以“pressed m30s”和“blues”的名称进行营销，因为他们知道这些药丸不含羟考酮，而是含有芬太尼或芬太尼类似物。在所谓的“blues”的产品描述中，被告在暗网市场“ASAP Market”网站上的供应商页面表示：“这些不是普通的reg M30，而是压制的，药效很强……只供经验丰富的用户使用。”在另一份所谓的“blues”商品清单中，被告打出“小字提醒：这些不是来自药房，而是从墨西哥压制出来的。只供老手使用，因为这些 AF 药性很强，不适合刚开始使用的人。”的广告。 费舍尔和泰勒还在暗网上出售其他药物，他们将这些药物宣传为合法的制药厂生产的药物。例如，两人以每粒超过13美元的价格出售了他们所描述的“药品Adderall”。 两人通过美国邮政服务在美国全国范围内运送受控物质，并试图将受管制物质伪装在一元店商品的包裹中，如儿童贴纸、珠子、生日卡和季节性礼品。有时，受控物质被藏在玩具包装内。 泰勒定于12月8日被判刑，她将面临10年监禁的强制性最低刑罚。费舍尔计划于2024年1月5日被判刑，他也将面临10年监禁的强制性最低刑罚。对联邦罪行的实际刑罚通常低于最高刑罚。联邦地方法院法官将在考虑美国量刑指南和其他法定因素后确定任何刑罚。 杰西卡·D·阿伯 (Jessica D. Aber)，美国弗吉尼亚州东区检察官；韦恩·A·雅各布斯 (Wayne A. Jacobs)，联邦调查局华盛顿办事处刑事部门特工；美国邮政检验局华盛顿分部督察达蒙·E·伍德 (Damon E. Wood) 在美国地区高级法官 TS 埃利斯三世 (TS Ellis III) 接受两名共谋者认罪后宣布了这一消息。 美国助理检察官希瑟·考尔负责起诉此案。...

Bleeping Computer 网站披露，拥有 500 万安装用户的 WordPress 网站数据迁移插件 All-in-One WP Migration 存在未经身份验证的访问令牌操作漏洞，攻击者可借此访问网站敏感的数据信息。 漏洞被追踪为 CVE-2023-40004，允许未经身份验证的“用户”访问和操纵受影响扩展上的令牌配置，使网络攻击者将网站迁移数据转移到自身的第三方云服务账户或恢复恶意备份，一旦成功利用 CVE-2023-40004 ，导致包括用户详细信息、关键网站数据和专有信息等数据信息泄露。 All-in-One WP Migration 是一款流行的 WordPress 网站迁移工具，适用于非技术和经验不足的用户，允许将数据库、媒体、插件和主题无缝导出到一个易于在新目的地恢复的单个存档中。 Patchstack 表示插件供应商 ServMask 提供的各种高级扩展都包含相同的易受攻击代码片段，这些代码片段在 init 函数中缺乏权限和 nonce 验证。（该代码还存在于 Box 扩展、Google Drive 扩展、One Drive 扩展和 Dropbox 扩展中，这些扩展都是为了方便使用上述第三方平台的数据迁移过程而创建。） 好消息是，由于 All-in-One WP Migration 只在网站迁移项目中使用，通常不会在其它任何时候激活，因此在一定程度上缓解了漏洞带来的安全问题。 供应商已发布漏洞安全更新 2023 年 7 月 18 日，PatchStack 研究员拉菲-穆罕默德（Rafie Muhammad）发现了 CVE-2023-40004 漏洞，随后便报告给了 ServMask 。2023 年 7 月 26 日，供应商 ServMask 发布了安全更新，为 init 函数引入了权限和非 nonce 验证。 已应用的补丁（Patchstack） 建议受影响的第三方扩展用户升级到以下修复版本： Box 扩展：v1.54 Google Drive 扩展：v2.80 OneDrive 扩展：v1.67 Dropbox 扩展：v3.76 此外，研究人员还建议用户使用最新版本的（免费）基础插件 All-in-One WP Migration v7.78。 文章来源： https://www.bleepingcomputer.com/news/security/wordpress-migration-add-on-flaw-could-lead-to-data-breaches/ ...

勒索软件领域的演变已经从涉及Windows有效载荷的传统方法，转变为针对其他平台（最明显的是Linux）的方法。在这种转变中，勒索软件运营商正在缩短不同有效载荷发布之间的时间间隔，并在不同的平台上实现功能均等。 通过有策略地利用Conti、Babuk或Lockbit等知名勒索软件家族的代码，勒索软件运营商正在重用和修改代码库，以创建新的攻击技术。随着越来越多的此类事件曝光，安全团队在防御中保持警惕和适应性变得至关重要。 本文将重点介绍最近发现的几个勒索软件家族，它们都在运行后不久就释放了以Linux/ ESXi为重点的有效载荷。了解这些有效载荷的能力是衡量未来风险的重要一步，也是帮助安全团队有效应对的关键。 Linux勒索软件威胁的兴起 回顾四五年前，知名勒索软件运营商重点关注的还是运行Windows的设备。非windows版本的有效负载需要额外的技能和时间来开发和发布。现在的情况却并非如此，像Rust和Go这样的语言允许恶意软件开发人员快速进行多平台移植。 我们今天看到的威胁场景包括勒索软件运营商同时向多个平台释放有效载荷。在这种方法中，通常针对windows的有效负载与针对linux和/或ESXi的有效负载之间不再存在明显的时间间隔。此外，现在跨平台的有效载荷显示功能均等已成为标准。这些以Linux和ESXi为重点的locker包含了其Windows对应版本的所有必要功能。 现代勒索软件运营商也越来越多地重用构建器和代码，或者修改代码库以满足其需求，同时将主要代码作为模型进行维护。安全研究人员指出，这些漏洞的主要来源是Conti、Babuk和LockBit。这些变体能够针对Linux和VMWare ESXi环境，其目的是加密托管在ESXi服务器上的虚拟机（VM），这些虚拟机通常对业务操作和服务至关重要。 通常，攻击者会利用ESXi中的漏洞、弱凭据或其他安全漏洞来访问虚拟化环境。有效地瞄准和加密虚拟机的能力对勒索软件运营商非常有吸引力。通常在几分钟内，完全虚拟化的基础设施就会被正确且强大的有效负载加密和破坏。 MONTI Locker MONTI Locker的历史可以追溯到2022年中期，当时，它曾针对VMware ESXi 服务器发起了多次攻击。 最新版本的MONTI ESXI勒索软件支持各种命令行参数，其中许多是从Conti继承的，MONTI Locker借用了Conti的代码。然而，最近有迹象表明，MONTI Locker背后的运营商正朝着更加定制化的方向发展。 研究人员最近记录了一个样本，该样本似乎摆脱了旧时基于Conti的加密器以及一些命令行参数。这些较新的示例已删除size、log和vmlist参数。 MONTI Locker可用的命令行参数包括： 参数 函数 - path 通往文件/ volumes的路径 -whitelist 要跳过的虚拟机列表（可以接受.txt文件输入） -vmkill 切换虚拟机终止开关 -vmlist 接受虚拟机名称列表（.txt文件） -detach 从屏幕/终端中分离 -log 创建日志文件 -world-id = 针对VMWare内的特定World ID 【2023年8月MONTI Locker帮助屏幕】 同样值得注意的是，MONTI Locker能够在受影响的服务器上更新MOTD文件（每日消息）。例如，这个文件（/etc/motd）控制用户登录到vCenter时看到的内容。感染后，使用MONTI Locker加密的服务器将显示配置的赎金通知。 【MONTI Locker中的MOTD和Index.html引用】 MONTI Locker的总体攻击量低于本文中的其他一些威胁，因为它们的目标往往是有针对性的。而且，就其感染活动的整体生命周期而言，他们十分擅长玩长期游戏。 Akira勒索软件 Akira勒索软件家族的Linux变体自2023年6月以来就已被观察到，但更广泛的操作可追溯到4月份。Akira勒索软件的初始传播是通过利用易受攻击的公开可用的服务和应用程序来实现的。 传统上，Akira勒索软件的有效载荷也是从Conti继承的。Linux版本的Akira勒索软件使用crypto++库来处理设备上的加密。Akira提供了一个简短的命令集，其中不包括任何在加密之前关闭虚拟机的选项。但是，它们确实允许攻击者通过-n参数对加密速度和受害者实际恢复的可能性进行一些控制。该值越大，文件被加密的内容就越多，这意味着速度越慢，受害者在没有适当解密工具的情况下恢复的可能性也越低。 Akira可用的命令行参数包括： 参数 函数 - encryption_path，-p 通往文件/文件夹的路径 -encryption_percent，-n 部分加密，设置要加密文件的百分比 -share_file，-s 加密的共享驱动器路径 –fork 生成用于加密的子进程 【Akira带有加密和路径参数的最小输出】 【Akira命令行参数】 Trigona Linux Locker Trigona是一个于2022年6月首次发现的勒索软件家族。它是一个多重勒索组织，并且拥有一个公开的博客，上面有受害者信息及其被盗数据。他们的恶意软件有效负载已在Windows和Linux上观察到。 在本文讨论的所有家族中，Trigona的原始Windows有效载荷和linux版本的勒索软件之间的发布间隔最长。虽然Trigona的Windows和Linux版本之间的差距最大，但他们丝毫不落后于其他勒索软件家族。 Trigona专注于linux的有效负载是精简且高效的，它们拥有本榜单中最强大的日志记录和测试输出选项。 Trigona的/erase选项在Windows和Linux版本上都可用。这个选项经常被忽视，但安全团队应该意识到，这个选项允许勒索软件作为各种类型的擦除器。使用Trigona有效载荷，/erase选项将完全删除文件，使其基本上不可恢复。这种行为在一定程度上可以通过组合使用/full选项来调整。如果没有后者，则只能用NULL字节覆盖给定文件的前512KB。当与/full参数结合使用时，将覆盖文件的整个内容。受此影响的文件将被赋予. _deleted扩展名，而不是通常的. _locked扩展名。 Trigona可用的命令行参数包括： 参数 函数 /full 实现完全文件加密 /sleep 设置完全执行前等待的秒数 /fast 部分加密 /erase 覆盖数据 /is_testing 设置测试/调试标志 /test_cid 强制使用特定的计算机ID（用于测试和调试） /test_vid 强制使用特定的受害者ID（用于测试和调试） /allow_system 开启系统路径加密功能 /shdwn 加密完成后强制关闭系统 /path 必选-设置要加密的目标路径 /log 指定日志存放路径 【Trigona以/path参数启动】 【Trigona的final log】 【Trigona命令行参数】 Abyss Locker Abyss Locker勒索软件操作于2023年3月出现，并积极针对VMware ESXi环境。Abyss Locker有效负载的初始交付通过各种方式进行，包括网络钓鱼电子邮件或利用易受攻击的公开可用服务和应用程序。 用于Linux的Abyss Locker有效负载源自Babuk代码库，并且以非常相似的方式运行。此外，Abyss中的加密功能是基于HelloKitty勒索软件中的加密功能。目前还不清楚Abyss Locker、HelloKitty和Vice Society之间的正式合作是如何进行的。Abyss Locker包含特定于esxcli命令行工具的调用，该工具用于管理虚拟设备。 【Abyss Locker中的VMware ESXi命令】 Abyss Locker使用esxcli命令行工具，允许多种模式的虚拟机和进程终止。 esxcli vm process list esxcli vm process kill -t=force -w=%d esxcli vm process kill -t=hard -w=%d esxcli vm process kill -t=soft -w=%d 这些命令影响目标虚拟机关闭的“优雅”程度。根据VMware的文档，最省事的选项（soft option）通常是最受欢迎的。硬选项（hard option）执行立即关闭（假设有特权），而强制选项（force option）只能作为最后的手段使用。但如果需要，Abyss将使用任何和所有这些选项。 Abyss Locker可用的命令行参数包括： 参数 函数 -m 部分加密（5-10-20-25-33-50） - v verbose -d 切换到daemon Start <path> 开始加密的路径 -v创建一个详细的“work.log”文件，显示所选择的加密模式和围绕所遇到的每个文件的加密时间的基准。 【Abyss Locker的工作日志文件】 【Abyss Locker命令选项】 就设备加密的速度而言，Abyss Locker的有效载荷是快速且有效的。随着这个群体继续调整他们的有效载荷，我们预计会看到更多的此类威胁活动。 结语 本文研究了几个突出的Linux和VMWare esxi勒索软件家族，深入研究了特定有效负载的用法和命令行语法。通过在可能的情况下突出已理解的谱系，并关注可用的参数，安全团队可以对有效载荷进行实际操作，增强对威胁的检测能力。 使用Windows有效载荷的攻击与针对其他平台的攻击之间的差异表明，勒索软件的格局在不断演变。随着威胁行为者不断重复他们的策略来逃避检测，如何保持领先于这些趋势的能力将变得至关重要。 原文链接： https://www.sentinelone.com/blog/from-conti-to-akira-decoding-the-latest-linux-esxi-ransomware-families/ ...

警方破获利用ChatGPT实施百万盗刷案件 利用“ChatGPT”“网络暴力”违法犯罪？杭州警方破获多起新型犯罪发布会上，警方通报了这起新型网络犯罪案例。今年4月，杭州市公安局网络警察分局在网上巡查发现，有企业支付账号存在异常，疑似支付密钥被非法获取。立案侦查后，通过大量的数据分析和追踪溯源工作，锁定位于泰国的犯罪嫌疑人谢某，并将其抓获。   </p>   </p> 经查，犯罪嫌疑人谢某擅长网络技术，利用系统漏洞非法获取相关服务器所属企业的支付密钥后，利用ChatGPT编写用于批量盗刷的提款程序，实施批量盗刷企业账户资金的犯罪活动，并通过虚拟币洗钱变现，给相关企业带来了巨大的经济损失。 严打网络犯罪“零容忍”严打新型犯罪强震慑网络暴力违法犯罪严重刺激群众情绪，扰乱网络空间秩序，影响社会安宁。同时，个别网络自媒体为了引流牟利，随意发布未经核实的消息，严重误导舆论，给人民群众生产生活带来干扰。浙江公安机关以打击整治“网络水军”专项行动为依托，重点打击“网络水军”舆情敲诈、造谣滋事、强迫交易等恶性网络暴力违法犯罪，全力维护人民群众人身、财产等合法权益和正常网络秩序。在打击网络谣言方面，浙江公安机关以“百日打谣”专项行动为抓手，持续加强对网络谣言的打击力度，坚持“以打开路、以打促治”，坚决遏制网络谣言高发频发态势。今年以来，共侦办网络谣言案件103起，查处造谣传谣人员131名，清理网络谣言信息5万余条，关停违法账号3326个，整理重点互联网企业、网站1987家。其中杭州、温州等地分别对多个涉及面广、影响力大的本地谣言案事件进行快速查处，及时发布辟谣报道，回应网民关切。   随着全球数字经济时代的到来，以公民个人信息为目标的案件高发。同时，以公民个人信息为核心，滋生出电信诈骗、网络水军等一系列人民群众深恶痛绝的黑灰产业。为此，浙江公安机关深入研究侵犯公民个人信息犯罪规律特点，打源头、断链条，强化发现网上买卖公民个人信息案件的研判，追踪溯源、拓展打击。今年以来，侦办侵犯公民个人信息案件375起，刑事拘留306名。其中温州瓯海破获一起通过小众软件贩卖公民个人信息数据的案件，抓获犯罪嫌疑人11名。近年来，电信网络诈骗、网络**屏蔽敏感词**、网络淫秽等高发犯罪案件作案方式快速迭代更新，由此产生了为此类犯罪提供吸粉引流、技术支撑、资金结算等黑灰产业链。为此，浙江公安机关紧盯黑灰产业链，由点及链，追踪源头，深化网络犯罪生态打击治理。绍兴嵊州打掉一个为电诈团伙提供虚拟币洗钱服务的帮信团伙，抓获犯罪嫌疑人32名，涉案金额2000余万元。 思科VPN被勒索组织盯上，持续遭网络攻击   最近，有越来越多的证据表明Akira勒索软件以思科VPN产品为攻击目标，入侵企业网络、窃取并最终加密数据。 Akira勒索软件是2023年3月推出勒索软件，该组织后来增加了一个Linux加密器，以VMware ESXi虚拟机为目标。 思科 VPN 解决方案被许多行业广泛采用，在用户和企业网络之间提供安全、加密的数据传输，通常供远程工作的员工使用。 据报道，Akira经常利用被攻破的思科 VPN 账户入侵企业网络，而不需要投放额外的后门或设置可能泄露的持久性机制。 Akira 的目标是思科 VPN Sophos 在 5 月份首次注意到 Akira 滥用 VPN 账户的情况，当时研究人员指出，勒索软件团伙使用 "单因素身份验证的 VPN 访问 "入侵了一个网络。 一个名为 "Aura "的事件响应者在 Twitter 上分享了关于入侵活动的更多信息，介绍了他们是如何应对多个 Akira 事件的，这些事件都是使用未受多因素身份验证保护的思科 VPN 账户实施的。 在与 BleepingComputer 的对话中，Aura 表示，由于思科 ASA 缺乏日志记录，所以并尚不清楚 Akira 是通过暴力破解获得 VPN 帐户凭据，还是在暗网市场上购买的。SentinelOne WatchTower 与 BleepingComputer 私下共享的一份报告也聚焦于相同的攻击方法，报告指出 Akira 可能利用了思科 VPN 软件中的一个未知漏洞，在没有 MFA 的情况下绕过了身份验证。SentinelOne 在该团伙勒索页面上发布的泄露数据中发现了 Akira 使用思科 VPN 网关的证据，并在至少 8 个案例中观察到了思科 VPN 相关特征，表明这是勒索软件团伙持续攻击策略的一部分。在八起 "Akira "攻击中发现思科VPN特征  图源：SentinelOne SentinelOne远程访问 RustDesk 此外，SentinelOne WatchTower 的分析师还观察到 Akira 使用 RustDesk 开源远程访问工具来浏览被入侵的网络，这是已知的第一个滥用该软件的勒索软件组织。由于 RustDesk 是一个合法工具，不会引起任何警报，因此它可以隐蔽地远程访问被入侵的计算机。使用 RustDesk 带来的好处包括： 可在 Windows、macOS 和 Linux 上跨平台运行，覆盖 Akira 的全部目标范围 P2P 连接经过加密，因此不太可能被网络流量监控工具标记 支持文件传输，有助于数据外渗，从而简化了 Akira 的工具包 SentinelOne 在 Akira 的最新攻击中观察到的其他 TTP 包括 SQL 数据库访问和操作、禁用防火墙和 启用 RDP、禁用 LSA 保护和禁用 Windows Defender 2023 年 6 月底，Avast 发布了针对 Akira 勒索软件的免费解密程序。但从那之后威胁者已经给加密程序打了补丁，Avast 的工具只能帮助那些旧版本的受害者。...

法国Pole Emploi公司披露的数据泄露事件有了更多进展。据专家称，此次攻击的提供商受害者（Majorel）的名称和数据实际上已被泄露并在暗网上出售。 几名网络专家周五向法新社证实，由一家名为Pôle Emploi公司提供的有关约一千万求职者的个人数据已经泄露并正在暗网上被非法出售。用于文件共享的MOVEit传输应用程序中的安全漏洞被认为是造成此次盗窃的原因。 Pôle emploi于8月23日在一份新闻稿中呼吁求职者保持警惕，此前该公司的一家服务提供商Majorel成为了“网络恶意行为”的受害者。 涉事“服务提供商”现已被点名 本周末，该服务提供商的名字被确定为：Majorel公司。该公司是数据管理、客户管理和呼叫中心方面的专家，由Arvato（贝塔斯曼集团）与摩洛哥Saham公司于2019年合并而成。在法国，该公司与EEDF、住房部、Orange等机构合作。 Majorel在2021年实现了17亿营业额，被认为是该领域严谨且有品质的企业。但它也被BPO和外包客户体验领域的全球领导者Teleperformance收购（以 30 亿欧元）。 “Pôle Emplo数据在暗网上出售已被证实。一个专门出售自己黑进或买进的数据库的知名黑客于8月8日出售了一个2022年的Pôle emploi数据库，该数据库有1020万用户，他以900 美元的价格出售。” Zataz.com网站的Damien Bancal告诉法新社。 网络安全专家Clément Domingo（X（以前称为 Twitter）上的化名 @SaxX）也报告称，该数据在暗网黑客论坛上以900美元的价格出售。据Domingo先生称，该文件包含1020 万个名字，最初是在这个网络犯罪论坛上传播的。8月8日，我们发现最初的数据库，后来又更新了很多信息。 巴黎检察院已介入调查 巴黎检察官办公室的网络犯罪部门已经开始调查以欺诈手段进入并维护自动数据处理系统中的数据。 Pôle Emploi公司在其最初的新闻稿中表示，此次数据泄露涉及“2022年2月注册的人员和停止注册的人员，即注册时间少于 12 个月的人员，即可能有1000万人”。 电话号码和邮箱地址也被黑客窃取？ 该公共机构警告称，不要将“求职者的名字和姓氏、当前或以前的求职状态、社会安全号码“放在网上，但不包括邮箱地址、电话号码、密码和银行详细信息。 “泄露的数据量比Pôle Emploi在8月23日最初的新闻稿中所说的要多得多”，Domingo先生强调了电话号码或邮箱地址的分布情况。 SNCF、施耐德电气、Synlab、Les Hospices Civils de Lyon和Cegedim也被攻击 据德国专业研究机构KonBriefing Research称，这不仅影响到Majorel导致1000万求职者的个人数据被盗，法国5家大型企业也受到关注，全球共有1006家。Cegedim、Les Hospices Civils de Lyon（里昂临终关怀医院）、施耐德电气、SNCF和Synlab（医学分析实验室）均受到影响。 MOVEit的漏洞被Clop勒索软件团伙大肆使用 MOVEit Transfer是一款软件，也是一款专门的应用程序，从逻辑上讲，它允许以安全的方式传输和共享文件。它由Progress Software销售。但MOVEit存在严重漏洞，允许黑客窃取通过MOVEit传输和交换的文件。该案件被认为足够严重，由联邦调查局（FBI）和美国网络安全局（CISA：网络安全和基础设施安全局）进行调查，由Jen Easterly领导。该漏洞被俄罗斯勒索软件团伙Clop大规模利用。...

近日，Tor项目发布Tor 0.4.8版本，正式推出了针对洋葱服务的工作量防御机制Proof-of-Work Defense，旨在优先处理经过验证的网络流量，以阻止拒绝服务（DoS）攻击。 Tor的工作量证明（PoW）防御机制是一种动态的反应机制，在正常使用条件下保持休眠状态。但当洋葱服务受到DoS攻击的压力时，该机制会提示传入的客户端连接执行一系列连续的更复杂操作。然后，洋葱服务将根据客户端表现出的工作量水平对这些连接进行优先级排序。 此举旨在将DoS攻击的成本增加到难以维持的水平，同时优先考虑合法流量，抑制攻击流量。引入工作量证明机制将使大规模攻击成本高昂且不切实际，从而抑制攻击者。因此Tor项目鼓励用户将洋葱服务升级到0.4.8版本。 如果攻击者向onion服务发送大量连接请求，PoW防御会启动增加访问.onion网站所需的计算量。增加的计算量对绝大部分设备是可控的，所耗费时间从5毫秒到30毫秒。攻击流量增加，工作量就会增加，最多需要1分钟的工作量。整个过程对用户是不可见的。 为什么需要更新？ 洋葱服务通过混淆IP地址来优先考虑用户隐私，这种固有设计使其容易受到DoS攻击，而传统的基于IP的速率限制在这些情况下并不能起到很好的保护作用。为了找到替代解决方案，Tor项目设计了一种涉及客户端难题的工作量证明机制，以在不损害用户隐私的情况下阻止DoS攻击。 它是如何工作的？ 工作量证明就像一个票据系统，默认情况下关闭，但通过创建一个优先级队列来适应网络压力。在访问洋葱服务之前，必须解决一个小难题，证明客户端已经完成了一些“工作”。谜题越难，证明用户所做的工作越多，从而证明用户是真实的，而不是试图充斥洋葱服务的僵尸。最终，工作量证明机制阻止了攻击者，同时为真实用户提供了到达目的地的机会。 这对于攻击者和用户意味着什么？ 如果攻击者试图向洋葱服务发送大量请求，并淹没洋葱服务，PoW防御就会启动，并增加访问.onion站点所需的计算量。这种票据系统旨在使大量尝试连接洋葱服务的攻击者处于不利地位。维持此类攻击将需要大量的计算工作，而随着计算力的增加，回报也会越来越少。 然而，对于倾向于一次只提交几个请求的日常用户来说，解决难题所增加的计算量对于大多数设备来说是可以承受的，对于速度较快与稍慢的计算机来说，每次解决的初始时间范围从5毫秒到30毫秒不等。如果攻击流量增加，工作量就会增加，最多大约需要1分钟的工作量。虽然这个过程对用户来说是不可见的，并且使得等待工作量证明解决方案与等待慢速网络连接相当，但它具有明显的优势，那就是通过证明自己的非机器属性，即使在Tor网络面临压力的情况下，也能为用户提供访问Tor网络的机会。 在过去的一年里，Tor项目投入了大量的工作来减轻对Tor网络的攻击并增强对洋葱服务的防御。Tor的PoW防御的引入不仅使洋葱服务成为少数具有内置DoS保护的通信协议之一，而且一旦被各大网站采用，还将有望降低定向攻击对网络速度的负面影响。该系统的动态特性有助于在流量突然激增时平衡负载，确保对洋葱服务的访问更加稳定可靠。...