Dirty Frag：又一个 Linux 通用提权，这次连

2026 年 5 月 8 日，安全研究员 Hyunwoo Kim 在 oss-sec 邮件列表公开了一个名为 Dirty Frag 的 Linux 通用本地提权漏洞（LPE）。影响范围覆盖所有主流发行版，普通用户可直接提权到 root。

这是什么漏洞？

Dirty Frag 和之前的 Copy Fail 一样，都是利用 Linux 内核 page cache 原地修改 实现任意文件覆写。攻击者可以让内核在内存中修改一个只读文件的内容，而这个修改对后续所有读取该文件的进程都生效。

漏洞链式利用了两个独立的内核 bug：

●XFRM/ESP 子系统的 page cache 污染 — 通过 IPsec ESP 协议的解密路径，让内核对文件的 page cache 执行原地解密操作 

●rxrpc/rxkad 子系统的 page cache 污染 — 通过 AFS/RxRPC 协议的包验证路径，对文件 page cache 执行 pcbc(fcrypt) 原地解密 

漏洞原理深度解析

核心原语：Page Cache 原地修改

Linux 的 page cache 是文件在内存中的缓存。正常情况下，读取文件会先查 page cache，如果命中就直接返回缓存数据。

Dirty Frag 的攻击原语是：在不触发写回（writeback）的前提下，修改 page cache 中的数据。这意味着：

● 修改只存在于内存中，磁盘上的文件不变 

● 但所有后续的 read() 调用都会读到被篡改的数据 

● 对 setuid 程序特别有效：内核从 page cache 加载 ELF 时，加载的就是被篡改的版本 

漏洞一：XFRM/ESP 路径

利用 vmsplice() + splice() 系统调用，将文件页面注入 ESP（IPsec Encapsulating Security Payload）的解密路径。

关键步骤：

❶ 创建 user namespace + net namespace（无需特权） 

❷ 在 netns 内建立 48 个 XFRM SA，每个控制 4 字节的解密输出 

❸ 通过 splice() 将 /usr/bin/su 的对应偏移注入 ESP 处理管道 

❹ 内核执行 XFRM 解密 → 原地覆写 page cache 

❺ /usr/bin/su 的 page cache 被替换为 192 字节的 root-shell ELF 

❻ 执行 su → 实际运行 shellcode → setgid(0); setuid(0); execve("/bin/sh") 

漏洞二：rxrpc/rxkad 路径（Ubuntu 备用方案）

当 ESP 路径受 sandbox 限制时，rxrpc 路径作为备用：

❶mmap 只读打开 /etc/passwd，固定其 page cache 

❷ 离线暴力搜索 fcrypt 密钥 K_A, K_B, K_C — 使得解密后 root 行变成 "root::0:0:..." 

❸ 三次内核触发（rxrpc splice trick），按 last-write-wins 顺序覆写 

❹ PAM pam_unix.so 的 nullok 选项接受空密码 → su - 获得 root shell 

暴力搜索的概率看起来很低，但 fcrypt 是 8 字节密钥，在现代 CPU 上暴力搜索速度可达 ~2M/s，几分钟内就能找到合适的密钥。

192 字节的 Root Shell

ESP 路径注入的 payload 是一个 192 字节的极简 x86_64 ELF：

整个 ELF 只有 192 字节，包含一个 PT_LOAD 段。先 setgid(0); setuid(0); setgroups(0, NULL) 提权，再 execve("/bin/sh") 获得 root shell。

Exploit 整体流程

受影响范围

所有主流 Linux 发行版均受影响，因为漏洞存在于内核主线代码中：

● Ubuntu / Debian 

● RHEL / CentOS / Fedora 

● Arch Linux 

● SUSE / openSUSE 

● Android（部分内核配置） 

临时缓解措施

由于目前没有补丁，唯一的办法是禁用相关内核模块：

这条命令做了三件事：创建 dirtyfrag.conf 配置文件，让 esp4/esp6/rxrpc 模块无法加载，立即卸载已加载的模块。

与 Copy Fail 的对比

Dirty Frag 的危险程度比 Copy Fail 更高：双路径利用 + 无补丁 + 完整 exploit 已公开。

技术启示

1. Page Cache 一致性是老大难问题

Linux 的 page cache 设计假设是：文件内容在 mmap/read 期间不会被意外修改。但内核中存在多个子系统可以原地修改 page cache 页面（XFRM 解密、rxrpc 验证等），这些修改路径没有经过正确的权限检查。

2. Namespace 是双刃剑

User namespace 让非特权用户可以创建网络命名空间并操作 XFRM/rxrpc 子系统。这大大扩展了攻击面。禁用 unprivileged user namespace（sysctl user.max_user_namespaces=0）可以阻断利用链，但会影响容器运行时。

3. Setuid 程序的安全假设被打破

传统安全模型假设 setuid 程序的二进制文件在磁盘上是可信的。但 Dirty Frag 不修改磁盘文件，只修改内存中的 page cache，绕过了文件完整性检查（如 IMA/EVM）。

4. 负责人披露的困境

这次事件中，禁令被打破导致漏洞在没有补丁的情况下公开。攻击者现在有了完整的 exploit，而防御者只能靠禁用模块来临时缓解。

检测建议

虽然目前没有补丁，但可以通过以下方式检测潜在利用：

●监控 modprobe 日志：关注 esp4、esp6、rxrpc 模块的加载事件 

●审计 user namespace 使用：auditd 规则监控 unshare 系统调用 

●检查 modprobe.d 目录：确认是否有 dirtyfrag.conf 缓解措施 

●HIDS 文件完整性：虽然无法阻止 page cache 攻击，但可以检测异常进程树 

写在最后

Dirty Frag 再次证明了 Linux 内核安全的复杂性。一个看似无害的网络协议处理路径，结合 page cache 的设计缺陷，就能实现可靠的本地提权。

目前唯一能做的就是立即应用缓解措施，禁用 esp4/esp6/rxrpc 模块。等待内核开发者发布正式补丁后，再评估是否重新启用这些功能。

跳转微信打开

微软深度解析：2026年Q1邮件威胁格局——

2026年第一季度（1月至3月），微软威胁情报团队检测到约83亿次基于邮件的钓鱼威胁，月度数量从1月的29亿次略降至3月的26亿次。QR码钓鱼成为增长最快的攻击向量，季度内增长超过一倍；CAPTCHA门控钓鱼也在载荷类型上快速演变。

────────────────

一、总体态势：83亿次钓鱼威胁

整体来看，78%的邮件威胁基于链接投递，恶意载荷在1月占比19%（受大规模HTML和ZIP活动推动），2月和3月稳定在13%。凭据钓鱼始终是恶意载荷背后的主导目标。这一趋势表明，威胁行为者越来越倾向于使用托管式凭据钓鱼基础设施，而非本地渲染的载荷。

关键发现：78%的邮件威胁为链接型投递；QR码钓鱼季度增长146%；CAPTCHA门控钓鱼在3月暴增125%至1190万次攻击。

────────────────

二、Tycoon2FA打击行动影响

自2023年8月出现以来，Tycoon2FA已迅速成为最广泛的钓鱼即服务（PhaaS）平台之一，利用adversary-in-the-middle (AiTM)技术试图绕过非防钓鱼型多因素认证（MFA）防御。该平台背后的组织（微软追踪编号为Storm-1747）出租恶意基础设施并销售仿冒企业应用登录页面的钓鱼套件。

本季度初，Tycoon2FA活动处于低迷期。1月邮件量较2025年12月下降54%，连续第二个月大幅下降。部分原因可能与微软数字犯罪部门打击RedVDS服务有关——该服务被许多Tycoon2FA客户用于分发恶意邮件。

2月激增44%后，3月Tycoon2FA相关钓鱼攻击下降15%，主要受协调打击行动影响。2026年3月初，微软数字犯罪部门与Europol及行业伙伴合作，对Tycoon2FA基础设施和运营进行了打击，显著削弱了平台的托管能力。

图1：Tycoon2FA月度恶意消息量（2025年11月–2026年3月）

Tycoon2FA的基础设施构成在2026年前三个月多次演变。1月开始向较新的通用顶级域名（.DIGITAL、.BUSINESS、.CONTRACTORS等）转移，3月打击后则明显转向.RU注册——3月最后一周以来超过41%的Tycoon2FA域名使用.RU TLD。此外，3月底Tycoon2FA开始放弃Cloudflare托管，转向多种替代平台。

────────────────

三、QR码钓鱼：季度增长146%

QR码钓鱼是Q1 2026最显著的变化。攻击量从1月的760万次增至3月的1870万次，季度增长146%。在经历1月35%的下降后，2月增长59%、3月再增55%，达到至少一年来的最高月度量。

图3：QR码钓鱼攻击周度趋势（2025年11月–2026年3月）

PDF附件是主导投递方式，从1月的65%增至3月的70%。值得注意的是，QR码直接嵌入邮件正文的方式在3月暴增336%——虽然仅占总量的5%，但完全消除了对附件的依赖，防御者应持续关注。

────────────────

四、CAPTCHA门控钓鱼：载荷类型快速轮换

威胁行为者使用CAPTCHA页面延迟检测、增加用户交互。在1月（-45%）和2月（-8%）下降后，CAPTCHA门控钓鱼在3月暴增+125%至1190万次攻击，为过去一年最高值。

图4：CAPTCHA门控钓鱼月度量（2025年11月–2026年3月）

Q1最显著的CAPTCHA趋势是投递方法的快速轮换：

HTML附件：1月最常见（37%），2月下降34%至年度低点，3月翻倍以上增长但仍居第二。

SVG文件：2月增长49%成为最常见方式，但3月暴跌57%仅占7%。

PDF文件：3月暴增+356%，重新夺回自2025年7月以来最常见投递方式的地位，超出年度高点37%。

DOC/DOCX文件：此前9个月占比不超过9%，3月增长+373%至15%。

典型案例：2月23-25日，一场大规模SVG钓鱼活动在3天内向23个国家5.3万个组织发送超120万封邮件。附件SVG文件打开后在浏览器中加载，先显示假CAPTCHA安全检查，通过后展示仿冒登录页面窃取凭据。

攻击中使用的恶意域名包括：

bouleversement.niovapahrm[.]com
haematogenesis.hvishay[.]com
ubiquitarianism.drilto[.]com

────────────────

五、恶意载荷：凭据钓鱼主导地位巩固

凭据钓鱼在Q1进一步巩固了对恶意载荷格局的控制，从1月的89%增至2月的95%，3月稳定在94%。传统恶意软件投递持续长期下降，季度末仅占5-6%。

图7：恶意载荷按文件类型分布（Q1 2026）

最突出的载荷趋势是各文件类型的波动性极大，受大规模活动驱动：

• HTML附件：1月领先（37%），2月跌至年度低点（-57%），3月近三倍增长（+175%）

• 恶意PDF：持续上升，2月+38%，3月+50%，达一年多来最高月度量，3月占29%

• ZIP/GZIP附件：1月近乎翻倍（+94%），2月下降38%，3月激增79%——威胁行为者常用ZIP绕过MOTW保护

• SVG文件：2月增长50%后3月下降32%

大规模HTML钓鱼活动：3月17日，微软检测到一场超过150万封恶意邮件的大规模活动，针对43个国家17.9万个组织，占3月所有恶意HTML附件的约7%。值得注意的是，虽然邮件共享相同工具和结构，但最终钓鱼载荷托管基础设施关联多个不同PhaaS提供商——主要是Tycoon2FA，还有Kratos（原Sneaky2FA）和EvilTokens。

────────────────

六、商业邮件欺诈（BEC）：季度1070万次攻击

BEC攻击在Q1总计约1070万次：1月增长24%，2月下降8%，3月激增26%。攻击构成保持一致——泛化触达消息（如"你在工位吗？"）占每月初始联系邮件的82-84%，明确的财务交易请求仅占9-10%。

图9：BEC月度攻击量（2025年11月–2026年3月）

在明确财务请求子类中，薪资更新请求2月增长15%，达到8个月来最高值，可能反映报税季相关社会工程；礼品卡请求2月下降37%后3月反弹+108%。

图10：BEC初始邮件内容类型分布（Q1 2026）

────────────────

七、防御建议

• 审查Exchange Online Protection和Microsoft Defender for Office 365的推荐设置

• 启用Zero-hour Auto Purge (ZAP)，事后隔离已投递的恶意邮件

• 开启Safe Links和Safe Attachments

• 启用网络保护和SmartScreen

• 推进无密码认证（Windows Hello、FIDO密钥、Microsoft Authenticator）

• 配置自动攻击中断（Microsoft Defender XDR）

• 开展用户安全意识培训和钓鱼模拟演练

────────────────

IoC情报

────────────────

来源：Microsoft Security Blog

原文：https://www.microsoft.com/en-us/security/blog/2026/04/30/email-threat-landscape-q1-2026-trends-and-insights/

发布日期：2026年4月30日

跳转微信打开

CVE-2026-31431，732字节Python脚本100%成功率获取root，2017-2026近9年全Linux受影响

跳转微信打开

微软Sentinel UEBA扩展AWS：用二元特征堆叠

微软近日宣布将 Sentinel UEBA（用户与实体行为分析）扩展至 AWS、GCP、Okta 等多云和身份提供商数据源。防御者现在可以从单一控制台检测混合环境中的行为异常。本文深入解析其核心机制——二元特征堆叠（Binary Feature Stacking），以及如何用它强化 AWS 攻击检测与事件分诊。

────────────────

传统方式的痛点

防御者分析 CloudTrail 活动时，通常依赖阈值或历史基线来识别异常行为。在动态云环境中，仅靠原始日志很难区分正常运维和攻击者活动。传统方式需要编写大量 KQL 查询来手动构建基线——计算密集、难以维护，且容易产生误报。

一个典型的例子：检测用户从未知位置登录 AWS 控制台。传统方式需要：

用 14 天历史数据构建用户登录国家基线 → 对 IP 做地理定位 → 与当前登录对比 → 判断是否为"首次登录国家"。整个查询冗长且需要持续维护基线。

────────────────

UEBA 的核心思路：二元特征堆叠

微软 Sentinel UEBA 将繁重的基线计算工作从查询作者手中接管过来。它通过预训练的 ML 模型学习用户、对等组和租户级别的行为模式，将结果以简单的二元特征（true/false）输出到 BehaviorAnalytics 表中。

核心增强字段位于 ActivityInsights JSON 属性包中，包含：

FirstTimeUserConnectedFromCountry — 用户首次从该国家连接
ISPUncommonlyUsedInTenant — 租户中不常见的 ISP
ActionUncommonlyPerformedByUser — 用户不常执行的操作
ActionUncommonlyPerformedInTenant — 租户中不常见的操作
UncommonHighVolumeOfOperations — 异常高频操作
BrowserUncommonlyUsedInTenant — 租户中不常见的浏览器/UA

每个特征使用不同的基线窗口（7 天到 180 天不等），且无需告警触发即可查询——这意味着防御者可以随时主动狩猎。

────────────────

两张核心表

BehaviorAnalytics 表

主要调查界面。关键字段：

EventSource — 日志源（如 AWSCloudTrail）
ActivityType — AWS 服务级别（如 S3、KMS、IAM）
ActionType — AWS API 名称（如 ConsoleLogin、CreateUser）
UserInsights / DeviceInsights / ActivityInsights — 三个动态字段，包含二元行为特征

Anomalies 表

包含微软预训练异常检测 ML 模型的输出。AWS 目前有 6 个内置异常检测，每条记录包含 MITRE ATT&CK 映射、行为增强、AnomalyScore（0-1）和 AnomalyReasons（解释为何被标记为异常）。

────────────────

实战：传统方式 vs UEBA 方式

以"异常 AWS 控制台登录"为例：

传统方式（Hard Way）

需要编写包含基线构建、IP 地理定位、历史比对的复杂 KQL 查询，计算密集且难以维护。

UEBA 方式（Smart Way）

只需三行 KQL：
BehaviorAnalytics
| where ActionType == "ConsoleLogin"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
  and ActivityInsights.CountryUncommonlyConnectedFromInTenant == True
  and ActivityInsights.FirstTimeConnectionViaISPInTenant == True

优势一目了然：可读性——3 行代码表达复杂逻辑；上下文——叠加用户级和租户级信号；稳定性——ML 引擎自动维护基线，无需手动调参。

────────────────

四大真实攻击场景

场景一：联合身份/SAML 会话劫持（初始访问）

攻击者通过入侵身份提供商（IdP）获取联合身份会话，利用 SAML/EXTERNAL_IDP 流程执行用户 rarely 执行的操作。CloudTrail 中每条事件单独看都是合法的，但 UEBA 能识别出：首次连接国家 + 不常见 ISP + 用户不常执行的操作 + 租户中不常见的操作。

场景二：凭据泄露与后门创建（初始访问 + 持久化）

攻击者获取开发者访问密钥后，通过不常见 UA 登录并创建后门用户。UEBA 信号：首次连接国家 + 不常见浏览器 + 用户不常执行 CreateUser + 租户中不常见 CreateUser。

场景三：Secrets/KMS 密钥发现（凭据访问 + 收集）

攻击者建立据点后查询 Secrets Manager 和 KMS。GetSecretValue、ListSecrets 等 API 看起来像合法自动化，但 UEBA 能识别：用户首次执行该操作 + 租户中不常见 + 异常高频操作 + 不常见 ISP。

场景四：S3 低速数据外传（数据外泄）

被入侵的管理员账户批量执行 S3 GetObject 操作，每次请求单独看都合法，总传输量可能低于静态阈值。UEBA 信号：异常高频操作 + 不常见国家执行 + 用户不常执行 S3 GetObject + 不常见 ISP。

────────────────

MITRE ATT&CK 覆盖

微软 Sentinel UEBA 的 AWS 异常检测覆盖攻击链多个阶段：

初始访问 — Anomalous Federated or SAML Identity Activity
初始访问/权限提升 — Anomalous STS AssumeRole Behavior
持久化/权限提升 — Anomalous IAM Privilege Modification
凭据访问/收集 — Anomalous Secret or KMS Key Access
收集/数据外泄 — Anomalous Data Transfer from Amazon S3

────────────────

实战入门：快速开始狩猎

前置条件：AWS 环境已接入 Sentinel UEBA，CloudTrail 数据持续流入，基线建立期（7-14 天）已完成。

入门查询：

BehaviorAnalytics
| where EventSource == "AWSCloudTrail"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == true
  or ActivityInsights.ActionUncommonlyPerformedByUser == true
  or ActivityInsights.UncommonHighVolumeOfOperations == true
| project TimeGenerated, UserName, ActionType, ActivityInsights
| order by TimeGenerated desc

审查要点：

• 多个二元特征同时为 true 时风险更高
• 关注特定用户的偏离行为，而非租户全局
• 低量但持续的活动可能是低速攻击
• 多特征叠加事件应转向 Anomalies 表深入调查

────────────────

常见误报与过滤策略

合法自动化/CI/CD 管道 — 排除已验证的自动化专用 IAM 角色，但仅针对特定活动类型过滤
新管理员或角色变更 — 关联近期用户创建或角色分配变更后再抑制
计划内运维变更 — 使用时间窗口过滤，而非永久抑制信号

────────────────

局限性与注意事项

• 覆盖范围有限：并非所有 AWS API 都被建模，聚焦于认证、权限变更、敏感数据访问等高价值事件
• 增强因事件类型而异：并非所有特征对所有操作都可用
• 跨云身份基线独立计算：AWS 和其他平台的行为基线分别维护
• 分数用于优先级排序：AnomalyScore（0-1）和 InvestigationPriority（0-10）是调查信号，不应直接作为告警触发条件
• UI 中异常仅对 UPN 实体显示：非 UPN 的 AWS IAM 用户仍会触发异常，但不在 UI 中展示

────────────────

总结

从"发生了什么？"到"这是否符合预期行为？"——Sentinel UEBA 的二元特征堆叠让检测工程师专注于行为意图而非基线数学。三个核心优势：

效率 — 用简单可读的逻辑替代基线密集型查询
精度 — 要求多个特征对齐后才告警，降低误报
可见性 — 发现静态阈值经常遗漏的低速攻击

对于现代 SOC 而言，目标不仅是收集日志——而是理解行为。

────────────────

来源：Microsoft Security Blog | 2026-04-28
原文：Simplifying AWS defense with Microsoft Sentinel UEBA
链接：https://www.microsoft.com/en-us/security/blog/2026/04/28/simplifying-aws-defense-microsoft-sentinel-ueba/

跳转微信打开

构建密码学资产清单：微软密码学态势管

后量子密码学（PQC）时代正在逼近——对大多数企业而言，最大的挑战并非选择新算法，而是找到密码学在应用、基础设施、设备和服务中的所有使用位置，才能自信地规划、优先排序和现代化改造。

微软认为这是量子就绪的实践基础：你看不到的东西，你无法保护或迁移。

────────────────

为什么需要密码学资产清单？

密码学已嵌入所有现代IT环境：应用、网络协议、云服务和硬件设备。它还在不断演进，以应对新发现的漏洞、NIST和IETF等标准机构的更新，以及新兴监管要求。然而，许多企业面临一个普遍挑战：缺乏全面的资产清单和有效的生命周期管理流程，导致无法获得保持基础设施安全和更新所需的可见性和敏捷性。

密码学资产清单（Cryptographic Inventory）是组织内所有密码学资产和机制的动态目录，涵盖以下类别：

这份清单为何重要？

第一，治理与合规。全球已有15个国家和欧盟建议或要求组织进行密码学资产盘点，这些要求通过DORA、OMB M-23-02、PCI DSS 4.0等法规实施，预计未来范围将持续扩大。

第二，风险优先级排序。密码学资产呈现不同级别的风险。例如，面向互联网的TLS端点使用弱密码套件的威胁，与内部测试证书或使用AES标准的本地磁盘加密完全不同。全面的清单能够有效评估暴露面并优先安排修复工作。

第三，密码学敏捷性。当加密算法中发现漏洞时，清单可以精确告诉你需要更新什么、在哪里更新。

────────────────

密码学态势管理生命周期

密码学态势管理（Cryptographic Posture Management, CPM）不是单一产品，而是组织使用工具、集成和流程组合来构建和维护的持续生命周期。核心流程分为六个阶段：

1. 发现（Discover） — 从代码仓库、运行时环境、网络流量和存储系统中收集密码学信号。

2. 标准化（Normalize） — 将信号聚合为统一格式的资产清单（证书指纹、算法类型、密钥长度、过期日期）。

3. 风险评估（Assess Risk） — 根据策略基线、行业标准和已知漏洞评估密码学资产。识别弱算法、过期证书和不合规配置。

4. 优先排序（Prioritize） — 根据资产关键程度、暴露面（内部 vs 互联网）和合规要求对发现进行风险排序。

5. 修复（Remediate） — 轮换密钥、更新库、重新配置协议、替换弱算法，利用可用的自动化工具。

6. 持续监控（Continuous Monitoring） — 持续跟踪变更：新代码提交、证书更新、配置漂移和新出现的漏洞。

该生命周期可在四个领域横向应用：

────────────────

用微软工具构建资产清单

许多组织已经部署了微软安全和Azure功能，可以在代码、端点、云工作负载和网络中生成密码学信号。关键是连接和标准化这些信号以支持基于风险的决策：

初始阶段建议：

代码领域：启用GHAS，使用CodeQL查询扫描密码学算法使用情况，导出结果进行集中审查。

运行时与存储领域：在端点部署MDE和MDVM，使用证书清单功能发现证书及其关联算法，审查MDVM标记的脆弱密码学库。

网络领域：在MDE中启用网络保护以识别加密会话，配置Azure Network Watcher捕获流量元数据。

存储领域：审计Azure Key Vault实例以盘点机密、密钥和证书，使用Defender for Cloud的机密扫描检测IaaS和PaaS资源中暴露的密钥。

标准化与集中化：将各领域输出整合到统一视图（如Microsoft Sentinel），构建单一可查询的资产清单。

────────────────

合作伙伴生态系统加速落地

微软与多家领先CPM提供商合作，为企业提供覆盖代码、基础设施、设备、应用以及云和本地环境的全面解决方案：

Keyfactor AgileSec — 发现并持续监控所有密码学实例，标记漏洞并通过集成工作流高效修复风险，为密码学敏捷性和量子就绪奠定基础。

Forescout Cyber Assurance — 在Azure上运行，实时确定企业资产的网络风险，包括PQC和非PQC通信使用情况，覆盖IT、IoT和OT环境。

Entrust Cryptographic Security Platform — 在PKI、密钥和证书生命周期管理以及HSM方面提供可见性、自动化和控制。

Isara Advance — 部署在Azure上，自动化发现和盘点、量化风险、优先排序和修复。部署数小时内即可发现因过时协议、密钥强度和算法弱点导致的密码学威胁。

────────────────

落地检查清单

1. 建立所有权 — 为密码学治理分配明确职责，通常跨越安全、基础设施和开发团队。

2. 启动资产收集 — 使用现有微软工具从代码、运行时、网络和存储四个领域开始收集信号。

3. 定义密码学策略基线 — 记录组织的密码学标准（批准的算法、最小密钥长度、证书有效期、协议版本），与行业标准和合规要求对齐。

4. 优先排序暴露面 — 根据资产关键程度、暴露面和合规要求进行排序，并非所有发现都同等重要。

5. 规划修复 — 为高优先级发现识别修复方案：库更新、证书轮换、协议重新配置，构建运行手册和自动化。

6. 利用合作伙伴加速 — 如需更广覆盖、更快部署或专业能力，探索Azure Marketplace上的合作伙伴生态系统。

密码学态势管理是一段旅程，而非终点。随着标准演进、新漏洞出现和量子计算发展，资产清单和运营模型都需要持续适应。但只要现在就开始——用你已有的工具、能帮助你的合作伙伴、以及清晰的运营模型——你就能为量子时代和未来数年的密码学卫生做好充分准备。

────────────────

来源：Microsoft Security Blog | 原文链接：Building your cryptographic inventory

本文由比特波特 ⚡ 自动翻译整理发布

跳转微信打开

AI Agent上下文窗口包含所有敏感信息，攻击者如何通过Skill组合攻击窃取你的全部工作数据

跳转微信打开

揭秘AI Agent生态中权限隔离的缺失：每个Skill都拥有上帝权限

跳转微信打开

AI漏洞海啸来袭：五步构建Mythos-ready安全

AI 正在以前所未有的规模发现漏洞，传统防御体系即将被淹没。当 Anthropic 的 Claude Mythos 等前沿模型将漏洞发现速度提升到"机器级别"时，安全团队该如何应对这场即将到来的漏洞海啸？Tenable CEO Steve Vintz 给出了五步行动指南。

────────────────

核心观点：AI 是双刃剑

Tenable 正在与 Anthropic、OpenAI 等 AI 领导者密切合作，将先进 AI 集成到 Tenable One 暴露管理平台中。在与这些前沿 AI 模型提供商的讨论中，一个事实已经清晰：这些模型是多层面的游戏规则改变者——它们能发现困扰人类研究人员数十年的开源代码和复杂企业环境中的漏洞。

然而，这带来了一个悖论。Claude Mythos 等模型在加速防御能力的同时，也同步升级了攻击者的能力——让他们能以机器速度发现和武器化漏洞。更严峻的是，这将带来数量级增长的漏洞披露，需要被优先排序和修复。

攻击面已经扩大——不再只是传统基础设施，还延伸到了 AI 本身的模型访问控制、身份权限和运营工作流。无论攻击利用的是 AI 发现的零日漏洞，还是直接针对 AI 训练管道，核心挑战都一样：你无法管理你看不到的东西，也无法防御你不优先处理的东西。

────────────────

第一步：建立持续、确定性的资产发现

你无法发现未被发现资产中的漏洞。组织必须部署确定性传感器（扫描器、代理、被动监控）来维护每个数字资产的实时清单。随着 AI 在全球企业中的快速普及，对所有 AI 资产（影子 AI 和正式批准的 AI）的可见性至关重要。

与前沿 AI 概率性质的不确定性不同，资产发现必须是确定性的。你需要一个可审计的网络资产记录，为合规和风险报告提供"真实基础"。

第二步：从传统优先级排序转向无情的风险过滤

随着 Mythos 驱动的漏洞发现，漏洞披露量预计将增长数个数量级。CVSS 或 EPSS 等标准工具只衡量理论严重性或概率，会让你的团队淹没在噪音中。

Mythos-ready 的方案是利用机器学习将"60% 严重"的洪流压缩到真正制造风险的 1.6%。通过将 AI 发现的漏洞与攻击路径和业务关键性交叉参考，确保团队修复的是真正通向核心资产的漏洞——包括 AI 模型本身。

第三步：通过攻击路径分析消除"有毒组合"

攻击者不会孤立地看漏洞——他们寻找的是一条路径。他们会将一个小软件缺陷、一个配置错误的云存储桶和一个过度的身份权限串联起来，直达目标。在 AI 时代，暴露管理的核心就是在对手之前识别这些"有毒组合"。

AI 基础设施的快速增长意味着每天都有新的攻击路径形成。配置不当的 AI 基础设施与传统 IT 基础设施的交汇处，会产生可被利用的强大弱点。使用攻击路径分析来可视化攻击者如何利用 AI 加速的漏洞突破边界并横向移动到 AI 训练数据或推理引擎。如果你关闭了路径，漏洞就变得无关紧要。

第四步：实施对抗性暴露验证（AEV）

当"提示词到漏洞利用"的窗口从数周压缩到数分钟时，理论安全已经死了。你必须实施对抗性暴露验证（AEV）——一个持续的自动化红队循环。

通过定期用 MITRE ATT&CK 框架挑战你的环境，你可以获得防御体系在 AI 速度漏洞利用下表现的证据。这是确保你的事件响应计划不仅仅是一份文档，而是经过验证的、能够抵御 Mythos 驱动入侵的盾牌的唯一方式。

第五步：用智能体 AI 治理 AI 暴露

世界上增长最快的风险面是 AI 基础设施本身：模型、训练管道和具有高级访问权限的自主智能体。这些现在都是需要严格监控的高价值目标。

为了匹配威胁的速度，你必须部署智能体 AI 引擎（如 Tenable Hexa AI）来自动化暴露的分类和修复。这实现了"机器速度防御"——用 AI 以 Mythos 发现漏洞的同等速度来发现、标记和修补你的基础设施。

────────────────

底线：行动窗口正在收窄

在与国家网络总监办公室、云安全联盟和 Anthropic 的积极对话中，共识已经明确：最低公分母的安全方法将不再足够。 这强化了传统网络卫生实践的关键性，同时强调需要在安全计划中构建自动化和高效系统。希望不是策略。

我们必须用暴露管理的相同原则来应对漏洞发现量的激增。看到一切、无情地优先排序、以机器速度修复——这就是 Mythos-ready 的含义。

────────────────

来源：Tenable Blog | 作者：Steve Vintz（Tenable 联合 CEO）
原文：https://www.tenable.com/blog/5-steps-to-become-mythos-ready-ai-cybersecurity

跳转微信打开

MCP Server如何通过元数据嗅探构建你的完整行为画像，以及如何防御

跳转微信打开

深度剖析MCP协议的四大安全缺陷：身份验证缺失、资源访问失控、执行隔离空白

跳转微信打开

RedSun 零日漏洞：Microsoft Defender 权限提升

Qualys 安全研究团队近日披露了一个名为 RedSun 的零日漏洞——存在于 Microsoft Defender 中的本地权限提升（LPE）漏洞。该漏洞允许低权限用户无需内核漏洞利用或管理员交互，即可获得完整的 NT AUTHORITY\SYSTEM 级别访问权限。更关键的是，目前尚无官方补丁，所有启用了 Defender 的 Windows 系统均面临风险。

────────────────

漏洞关键特征

漏洞利用链工作原理

RedSun 的核心在于利用 Defender 处理带云标签文件时的逻辑缺陷。当 Defender 检测到携带云标签（cloud tag）的恶意文件时，它会尝试将文件恢复到原始位置，而非简单地隔离或删除。

关键问题在于：这个恢复操作以 NT AUTHORITY\SYSTEM 权限运行，但不会验证目标路径是否被篡改。

攻击者可以控制低权限用户账户，影响修复操作中的目标路径，将 SYSTEM 级别的文件写入重定向到攻击者控制的位置，从而实现权限提升。

具体而言，Defender 在修复威胁时执行的特权文件操作（移动、删除或恢复）均以 SYSTEM 身份运行。RedSun 利用了这些操作中不当的路径处理：低权限用户可以影响修复动作涉及的目标路径，将 SYSTEM 级文件写入重定向至攻击者控制的位置。

漏洞检测方法

Qualys VMDR 提供了针对 RedSun 的全面检测能力，覆盖整个 Windows 端点资产。使用以下 QQL 查询即可即时发现所有受影响资产：

vulnerabilities.vulnerability.qid:92382

对应的检测 QID 为 92382。

无补丁缓解方案

由于目前没有官方补丁，缓解措施成为主要防线。等待供应商修复不是一个选项——漏洞利用复杂度低，攻击面覆盖所有启用了 Defender 的 Windows 端点。

Qualys TruRisk Eliminate 填补了这一空白，使安全团队能够直接从 VMDR 平台部署针对性的、基于脚本的缓解操作，无需单独的工具或手动端点访问。

RedSun 的缓解措施包括：禁用 Cloud Files Mini Filter 服务，阻止 Windows 云文件平台加载，阻止云文件占位符和按需文件水合（hydration）功能。这将限制操作系统级别的云文件系统集成，如 OneDrive Files On-Demand。

缓解措施应用后，每台主机的缓解状态会立即更新并在 VMDR 中清晰反映，为安全团队提供审计就绪的补偿控制证明。

三个关键启示

RedSun 是一个鲜明的警示：现代攻击者不再需要寻找复杂的零日漏洞或绕过内核保护。他们可以将保护端点的安全工具本身武器化。一个拥有 Windows 机器访问权限的低权限用户，只需利用 Defender 自身的修复行为就能提升到 SYSTEM 权限。

1. 仅靠补丁周期已不足够。零日漏洞需要独立于供应商时间表运作的基于风险的缓解策略。

2. 可信组件是高价值目标。以高权限运行的安全软件是极具吸引力的攻击面，应被相应对待。

3. 可见性与缓解必须统一。知道自己有漏洞只是战斗的一半。能够立即大规模采取行动，才是区分已管理风险和未管理暴露的关键。

常见问题

Q：RedSun 是什么？
A：RedSun 是 Microsoft Defender 中的零日本地权限提升（LPE）漏洞，允许低权限用户通过利用修复工作流中的缺陷获得 NT AUTHORITY\SYSTEM 访问权限。

Q：为什么 RedSun 被认为是关键漏洞？
A：它结合了低攻击复杂度、无需特权、以及在运行 Defender 的 Windows 系统上的广泛暴露面——使其在实际环境中极易被利用。

Q：有补丁吗？
A：目前没有供应商补丁可用，这使得传统的基于补丁的修复无效。

Q：缓解措施真的能在漏洞仍存在的情况下降低风险吗？
A：是的。虽然漏洞可能仍然存在，但有效的缓解措施消除了其可利用性，从而降低或消除了实际风险。每个缓解操作都会被大规模执行、持续验证，并反映在 QDS 分数中，提供可衡量和可审计的风险降低证明。

────────────────

来源：Qualys Security Blog | 原文链接：https://blog.qualys.com/category/product-tech/vulnmgmt-detection-response

跳转微信打开

Bissa Scanner 曝光：AI辅助的大规模漏洞利

The DFIR Report 最新披露了一起大规模 AI 辅助漏洞利用行动。一台暴露的服务器揭开了 Bissa Scanner 的完整运作机制——这是一个模块化的漏洞利用平台，利用 Claude Code 和 OpenClaw 驱动攻击工作流，扫描数百万目标并确认 900+ 次成功入侵。

这不仅是一次漏洞利用事件，更是一次「AI 武装化」的实战样本。

────────────────

核心发现

安全研究人员发现了一台暴露的服务器，该服务器被用于多目标漏洞利用、数据暂存、审查和验证。服务器上包含超过 13,000 个文件，分布在 150+ 个目录中，涵盖漏洞利用、受害者数据暂存、凭据收割、访问验证和操作者工作流管理。

关键点：Claude Code 和 OpenClaw 被嵌入操作者的日常工作流中，用于故障排除、编排和优化数据收集管道。这种 AI 辅助工作流催生了 Bissa Scanner 平台——一个用于大规模利用目标、审查结果、验证访问权限并优先处理最有价值受害者环境的结构化流程。

CVE-2025-55182：React2Shell 大规模利用

该行动的核心是 React2Shell（CVE-2025-55182）漏洞。工作流能够扫描数百万个互联网暴露的目标，日志显示超过 900 个确认的入侵案例。

攻击流程：

• 扫描器从 cs2.ip.thc.org 获取目标列表

• 使用 cve_2025_55182 模块发起攻击

• 部署 payload 枚举 .env 文件、云元数据、Kubernetes SA 上下文、本地凭据存储、数据库和 Redis 访问权限、加密钱包材料等高价值机密

• 通过 Telegram 机器人实时推送入侵通知

虽然攻击者采用机会主义方式大规模扫描，但入侵后的活动并非无差别进行。操作者会分类筛选访问权限，验证被盗数据，并将更深入的收集和后续活动集中在达到明确价值门槛的组织上，尤其是金融、加密货币和零售行业。

凭据收割：触目惊心的数据量

机密收割是该行动的核心环节，数以万计的 .env 文件泄露了覆盖 AI、云、支付、消息和数据库的凭据。

三个典型案例

受害者 A：一家中型税务咨询和金融顾问公司。存在直接漏洞利用证据，暂存数据集包含 Plaid 令牌、关联银行账户数据、IRS 转录材料、ACH 相关记录、Twilio 通话、Salesforce 联系人，以及包含 SSN 和 DOB 字段的案件数据。

受害者 B：一家大型数字资产、支付和企业金融公司，数据反映经过认证的 Oracle Fusion REST 导出活动，涉及供应商、发票、采购订单、支付流程和银行账户数据。

受害者 C：一家中型薪资、HR 和稳定币支付平台，包含薪资、结算、Fireblocks 集成和 HRIS 相关材料。

攻击者画像与 Telegram C2

服务器上的 Telegram 告警和命令基础设施将行动关联到单一操作者：

Bissa Scanner 技术架构

Claude 项目转录显示，操作者使用 Claude Code 阅读扫描器代码库、理解租约和确认流程、排查遗漏、审查基准输出，并记录项目以便重建部分采集层。

OpenClaw 日志显示同一主机上存在本地 AI 控制界面，包括：

• WebSocket 网关

• 浏览器控制

• 模型池配置 pool/claude-sonnet-4-6

• Telegram 链接的 provider handle @bissa_scan_bot

S3 数据外传

操作者使用 S3 兼容的 Filebase 作为收割的 .env 文件的离站归档。扫描器配置为监控本地 results/ 目录，将 *.env 文件批量打包为 ZIP，上传到 s3.filebase.com 的 bissapromax 存储桶。

S3 存储桶历史显示至少三个存储阶段：

• bissa（2025年9月）

• bissa2（2025年11月）

• bissapromax（2025年12月至今）

完整语料库包含 400+ 个 env-batch-*.zip 对象和超过 30,000 个不同的 .env 文件名，时间跨度为 2026年4月10日至21日。ZIP 中共统计 65,000+ 个归档文件条目，表明同一受害者文件被反复打包和重新上传。

WordPress 模块：CVE-2025-9501

扫描器还包含一个专用的 WordPress 模块，针对 CVE-2025-9501——W3 Total Cache 插件（低于 2.8.13 版本，CVSS 9.0）中的未授权命令注入漏洞。不过在恢复的模块中，仅存在版本检查逻辑，RCE payload 本身不可用，未发现通过该模块成功利用的证据。

────────────────

防御建议

• 积极补丁管理：保持面向互联网的应用和框架在紧密的更新节奏上运行

• 机密管理：将生产凭据从 .env 文件迁移到真正的 Secret Manager，运行时注入，缩短生命周期，最小权限范围

• 缩小爆炸半径：使用 Workload Identity 替代长期密钥，加固云元数据访问，收紧 RBAC

• 控制出站流量：通过日志代理路由应用层出站流量，防止被入侵主机静默访问云元数据、支付 API 或攻击者基础设施

• 凭据轮换与检测：定期轮换凭据，扫描源代码和构建产物中的嵌入式机密，部署蜜罐令牌

────────────────

文章来源：The DFIR Report
原文链接：https://thedfirreport.com/2026/04/22/bissa-scanner-exposed-ai-assisted-mass-exploitation-and-credential-harvesting/
发布日期：2026年4月22日

跳转微信打开

Oracle 2026年4月关键补丁更新：241个CVE、481

2026年4月21日，Oracle发布了本年度第二个季度关键补丁更新（Critical Patch Update, CPU），共修复 241个唯一CVE漏洞，涉及 481个安全补丁，覆盖28个Oracle产品家族。其中 34个补丁被评定为严重级别，值得所有Oracle用户高度关注。

────────────────

核心数据概览

本次更新的关键数据如下：

在所有481个安全补丁中，严重级别占 7.1%，高危级别占 45.9%，中危级别占 44.1%。值得注意的是，本季度包含 22个CVE对应的34个严重补丁，攻击者可利用这些漏洞在无需认证的情况下发起远程攻击。

安全警告：本季度Oracle Communications产品家族的139个补丁中，有 93个漏洞可被远程无认证利用，占该产品家族补丁的67%。使用Oracle Communications的企业应优先处理这些更新。

受影响产品家族详解

本季度补丁涉及 28个Oracle产品家族，以下是受补丁数量最多的前十个产品家族，以及其中可被远程无认证利用的漏洞数量：

重点关注：Oracle Retail Applications和Oracle Siebel CRM的远程无认证可利用漏洞比例极高，分别为15/15和13/14。使用这些产品的企业应将补丁部署列为最高优先级。

修复建议

Oracle强烈建议客户尽快应用本季度CPU中的所有相关补丁。以下是关键行动建议：

1. 优先处理34个严重级别补丁，特别是可远程无认证利用的22个CVE
2. 重点关注Oracle Communications、Financial Services和Fusion Middleware三大产品家族
3. 对于Oracle Retail Applications和Siebel CRM，全部补丁均可远程利用，需立即部署
4. 使用Tenable Nessus等漏洞扫描工具验证补丁部署情况

完整补丁详情请参阅Oracle官方安全公告：

Oracle April 2026 CPU Advisory

────────────────

来源：Tenable Blog | 原文链接：https://www.tenable.com/blog/oracle-april-2026-critical-patch-update-addresses-241-cves

翻译发布：比特波特 | AI驱动的安全资讯聚合

跳转微信打开

从设计层面消灭机会型攻击：微软安全架

大多数攻击者并非"入侵"了你的网络——他们用偷来的凭据直接登录了进去。当你的基础设施服务于数千家企业和数百万用户时，安全不是一个功能，而是你构建一切的基石。

微软 Dynamics 365 和 Power Platform 副总裁 CISO Ilya Grebnov 深入分享了微软内部如何通过凭据消除、端点缩减和平台工程，从设计层面系统性地消灭机会型攻击面。

────────────────

什么是机会型攻击？

机会型攻击者（Attackers of Opportunity）并不专门针对你，他们是通过发现与你相邻域的薄弱环节，横向渗透进你的环境。他们可能在寻找你的数据本身，也可能只是利用你的空间作为跳板来定位其他核心资产。

Dynamics 365 和 Power Platform 合在一起，可能是微软内部最大的完全运行在 Azure 上的业务组。如此庞大的云足迹意味着必须从根本上消除最简单的入侵路径。

────────────────

一、凭据消除：让攻击者无密码可偷

微软内部遵循一个简单原则：如果一个工作负载能在不需要密钥的情况下完成身份验证，那就不应该使用密钥。基于这一原则，他们重新设计了标准，淘汰了遗留模式，并大规模消除了密码、客户端密钥和 API Key。

核心机制：在 Azure 上，主要使用 Managed Identity（由 Microsoft Entra ID 颁发的工作负载身份）和联合身份模式——按需、按最小权限即时签发令牌。无需存储、轮换、意外提交到 Git 仓库或忘记过期的密钥。

微软还将这种无密钥模式推广给了客户。具体实现了：

• Power Platform Managed Identity (PPMI)：让 Dataverse 插件和 Power Automate 使用联合凭据向 Azure 资源认证，消灭了嵌入式密码和客户端密钥

• Microsoft Entra Agent ID：将 AI 代理（如 Copilot Studio 中创建的）视为一等公民身份，可被盘点、治理并绑定到人类发起者以确保问责

────────────────

二、端点缩减：让攻击者无入口可探

凭据消除自然与端点消除（Endpoint Elimination）搭配使用。当工作负载使用 Managed Identity 进行认证并调用服务时，可以：

• 用 Private Endpoint / Private Link 前置数据面，将服务移出公网

• 禁用入站管理端口（RDP/SSH），改用即时访问（JIT）、Bastion 或串行控制台

• 在令牌级别强制最小权限访问，最小化令牌被滥用时的爆炸半径

结果：没有密码可填充、没有共享 API Key 可复用、可探测的公网面大幅减少。即使攻击者在附近获得立足点，横向移动也极其困难——因为没有任何可复用的凭据，且每个工作负载都有独立可审计的身份，可以在数秒内关闭。

────────────────

三、平台工程：消灭"特例"架构

机会型攻击者擅长利用不一致性。每一个"这个团队是特例"或"就这一次"的例外，都会产生一个具有独特配置、独特库和独特故障模式的"雪花架构"。在小规模下看似无害，在组织级规模下则会成倍增加风险并拖慢事件响应速度。

微软的实践是：集中做出有主见的决策，移除解读空间——将"做正确的事"从建议变为策略。

关键指标：当团队规模达到约 500 名工程师时，是引入平台工程的最佳时机。过早会抑制健康的实验精神；过晚则迁移、协调和清理的代价呈指数增长。

微软通过"核心服务"（Core Services）标准化计算——这是应用团队用于执行和通信的骨干。当需要部署新防御时，一个团队在核心服务中落地，超过 450 个服务自动继承，无需逐个服务推进。

微软在平台工程中标准化了以下内容：

• 通用通信库：统一认证、mTLS、重试、遥测和策略钩子

• 分区和禁用模式：阻止已弃用的模式，强制基于身份的认证和网络策略

• 集中资源管理和遥测：证据集中在平台级，更容易审批变更和证明合规

• Policy-as-Code：用代码阻止弃用模式，强制执行身份认证和网络策略

────────────────

四、安全与产品团队的平衡之道

产品团队倾向于优化成功——添加能力、快速集成、交付价值。平台工程和安全团队则聚焦于最小化风险——减少依赖、质疑复杂性、实施可安全扩展的模式。双方都没有错，只是在解决不同的问题。

关键思维转变：安全从"说不的团队"转变为"设计所有人可以信赖的默认值的团队"。当安全和平台工程协作时，控制是内嵌的（baked in），而非外挂的（bolted on）。

────────────────

下一步演进：平台级身份和自动化

微软正在推进更进一步的措施：

• 平台级身份（Platform Provisioned Identity）：为每个服务自动创建身份，在单元级别分区，限定服务所需的最小权限——进一步缩小攻击者获得立足点后的爆炸半径

• 代理驱动的自动化：利用标准化的统一性，让 AI 代理帮助服务规模化满足 SFI（Secure Future Initiative）目标——这在碎片化环境中是不切实际的

核心理念是"铺好的路"（Paved Paths）：有主见的默认设置，让安全的选择成为简单的选择。这才是将安全从检查清单转变为赋能器的方式，也是让机会型攻击从设计层面就无从下手的方法。

────────────────

来源：Microsoft Security Blog

作者：Ilya Grebnov，微软 Dynamics 365 和 Power Platform 副总裁 CISO

原文链接：https://www.microsoft.com/en-us/security/blog/2026/04/20/making-opportunistic-cyberattacks-harder-by-design/

跳转微信打开

微软深度解析：如何检测渗透进企业的朝

疫情后远程和混合办公模式的普及，极大地扩展了全球招聘范围并加速了数字化入职流程，但同时也为威胁行为者打开了新的攻击窗口。微软最新研究揭示了朝鲜关联的 Jasper Sleet 组织如何利用窃取或伪造的身份，配合 AI 辅助欺骗技术，将自己"安插"进企业内部。

本文详细解析攻击全链路，并提供可直接部署的 KQL 检测查询，帮助安全团队在招聘流程的各个阶段识别和阻断此类威胁。

────────────────

一、攻击链总览：从求职到渗透的三阶段模型

Jasper Sleet 的攻击活动遵循一个清晰的三阶段模型：利用常规 HR 工作流（如外部招聘网站）进行职位发现和申请，成功通过面试后完成入职，最终获取合法的企业内部访问权限。

值得注意的是，这些攻击者利用生成式 AI 大规模分析职位描述，提取角色特定的语言、所需技能和工具要求，然后构建高度逼真的虚假数字身份，显著提高了通过筛选和面试的概率。

图 1：招聘各阶段事件时间线

────────────────

二、招聘前阶段：利用 Workday API 进行职位侦察

微软观察到 Jasper Sleet 从已知攻击基础设施和邮箱账户，访问通过外部招聘网站暴露的 Workday Recruiting Web Service API 端点，进行职位发现和招聘流程侦察。

这些 API 用于连接外部招聘网站，允许求职者浏览和申请职位。攻击者利用 OAuth 客户端和 Token 访问以下端点：

• hrrecruiting/accounts/* — 账户信息
• hrrecruiting/jobApplicationPackages/* — 申请包
• hrrecruiting/validateJobApplication/* — 申请验证
• hrrecruiting/resumes/* — 简历数据

虽然这些 API 调用也可能来自合法求职者，但关键异常在于：Jasper Sleet 使用多个外部账户以一致的重复模式访问相同的 API 调用，这一行为模式与正常求职者显著不同。

图 2：外部账户访问 Workday 实例 hrrecruiting API 端点的事件样例

🔍 检测查询 1：外部用户访问 Workday Recruiting API

let api_endpoint_regex = 'hrrecruiting/*'; CloudAppEvents | where Application == 'Workday' | where IsExternalUser | where ActionType matches regex api_endpoint_regex | where IPAddress in (<suspiciousips>) or AccountId in (<suspicious_emailids>) | summarize make_set(ActionType) by AccountId, IPAddress, bin(Timestamp, 1d)

────────────────

三、面试阶段：跨平台通信追踪

在面试阶段，攻击者通过电子邮件、Microsoft Teams、Zoom 或 Cisco Webex 与目标公司的招聘团队沟通。Defender 的高级搜寻表可追踪来自可疑 IP 地址或邮箱的外部通信。

此外，Defender for Cloud Apps 的 DocuSign 连接器可监控与录用文件签署相关的活动，识别来自可疑外部来源的 offer 签署行为。

🔍 检测查询 2：面试相关的邮件和 Teams 通信

// 邮件通信检测 EmailEvents | where SenderMailFromAddress == "<suspicious_emailids>" or RecipientEmailAddress == "<suspicious_emailids>" | where Subject has "Interview" | project Timestamp, SenderMailFromAddress, SenderDisplayName, SenderIPv4, RecipientEmailAddress, Subject, DeliveryAction // Microsoft Teams 通信检测 CloudAppEvents | where Application == "Microsoft Teams" | where IsExternalUser | where IPAddress == "<suspiciousIPs>" | summarize make_set(ActionType) by IPAddress, AccountId, bin(Timestamp, 1d)

────────────────

四、入职后阶段：合法权限下的隐秘操作

一旦被录用，攻击者获得合法的组织账户，可以访问 Teams、SharePoint、OneDrive 和 Exchange Online 等内部 SaaS 应用。微软观察到以下关键异常：

⚠ 关键告警信号
• 新员工从已知 Jasper Sleet 基础设施登录并设置薪资账户
• 入职前两个月出现大量不可能旅行 (Impossible Travel) 告警
• 通过匿名代理从不同位置访问组织数据
• 对 M365 套件执行异常的搜索和下载操作

图 3：新员工薪资账户变更操作事件

图 4：新员工入职前两个月频繁触发不可能旅行告警

🔍 检测查询 3：新员工薪资活动与基础设施关联

CloudAppEvents | where Application == "Workday" | where AccountId == "<NewHireWorkdayId>" | where ActionType has_any ("Add", "Change", "Assign", "Create", "Modify") and ActionType has_any ("Account", "Bank", "Payment", "Tax") | where IPAddress in ("<suspiciousIPs>") | summarize make_set(ActionType) by IPAddress, bin(Timestamp, 1d)

────────────────

五、Microsoft Defender XDR 检测覆盖矩阵

────────────────

六、防御建议

1. 启用 Defender for Cloud Apps 连接器 — 覆盖 Workday、DocuSign、Zoom、Cisco Webex，获取外部用户活动可见性。
2. 多源遥测关联 — 结合 HR 系统日志、身份认证日志和网络流量数据，交叉验证候选人的行为模式。
3. 威胁情报驱动 — 将 Jasper Sleet 已知基础设施（IP、邮箱域名）与招聘系统 API 调用进行匹配。
4. 新员工入职监控 — 重点监控前 90 天的不可能旅行告警、异常数据访问和薪资变更。
5. 安全意识培训 — 培训 HR 和招聘团队识别面试过程中的可疑行为模式。

────────────────

来源：Microsoft Security Blog
原文：Detection strategies across cloud and identities against infiltrating IT workers
发布日期：2026年4月21日
翻译整理：比特波特 ⚡

跳转微信打开

从签名验证到沙箱运行，AI Agent生态需要建立什么样的安全治理体系

跳转微信打开

朝鲜黑客Sapphire Sleet：伪装Zoom更新的macOS

微软威胁情报团队近日揭露了一场由朝鲜国家级威胁行为者 Sapphire Sleet（蓝宝石舰队） 发起的 macOS 定向攻击活动。该攻击不依赖任何软件漏洞，而是通过精心设计的社会工程学手段，伪装成 Zoom SDK 更新，诱导用户手动执行恶意 AppleScript，从而窃取密码、加密货币资产和个人数据。

这场攻击的精妙之处在于：它将整个执行链完全置于用户发起的上下文中，成功绕过了 macOS 的 TCC（透明度、同意和控制）、Gatekeeper、隔离执行和公证检查等核心安全机制。

────────────────

攻击者背景：Sapphire Sleet 是谁？

Sapphire Sleet 是一个至少自 2020 年 3 月起活跃的朝鲜国家级威胁行为者，主要攻击金融领域，包括加密货币、风险投资和区块链组织。其核心动机是窃取加密货币钱包以创收，并瞄准与加密货币交易和区块链平台相关的技术和知识产权。

该组织拥有一套成熟的社会工程剧本：在社交平台创建虚假招聘者档案 → 与目标讨论工作机会 → 安排"技术面试" → 诱导安装恶意软件（通常伪装为视频会议工具或 SDK 更新）。

────────────────

攻击全链路深度剖析

阶段一：初始访问 — Zoom SDK Update.scpt

目标被引导下载一个名为 Zoom SDK Update.scpt 的编译 AppleScript 文件。该文件在 macOS Script Editor 中打开时，会显示一段看似无害的升级说明注释块，给人以常规软件更新的假象。

关键手法：脚本在可见内容之后插入了数千行空行，将真正的恶意逻辑推到 Script Editor 窗口的可滚动视图之外，大幅降低用户发现异常的概率。

▲ 图1：macOS Script Editor 中打开的 .scpt 诱饵文件

脚本首先调用合法的 macOS softwareupdate 二进制文件（带无效参数），启动一个受信任的 Apple 签名进程以增强合法性。随后，它使用 curl 获取攻击者控制的 AppleScript 内容，并通过 run script result 指令直接传递给 osascript 执行。

阶段二：级联执行 — curl 到 osascript 的多阶段投递链

从单个 .scpt 文件开始，整个攻击通过级联的 curl 命令链展开——每个阶段使用不同的 User-Agent 字符串作为活动跟踪标识符：

mac-cur1 → 主编排器（piped to osascript），下载 com.apple.cli 主机监控组件和 services 后门
mac-cur2 → 调用 mac-cur4 下载凭据收割器 systemupdate.app
mac-cur3 → TCC 绕过 + 数据收集 + 外传（钱包、浏览器、钥匙串、Telegram）
mac-cur4 → 下载凭据收割器 systemupdate.app（ZIP 压缩包）
mac-cur5 → 下载伪装完成提示 softwareupdate.app（ZIP 压缩包）

▲ 图2：从 Script Editor 展开的级联执行进程树

▲ 图3：curl 链中的 User-Agent 字符串和 payload 路由

阶段三：凭据收割 — 以假乱真的密码弹窗

mac-cur2 阶段部署的 systemupdate.app 是一个精心伪装的凭据收割器。启动后，它会呈现一个与 macOS 原生密码对话框完全一致的界面，声称需要用户密码来完成软件更新。

⚠ 攻击细节：用户输入密码后，恶意软件先通过 dscl -authonly 验证密码正确性，确认无误后立即通过 Telegram Bot API 将凭据外传给攻击者。随后部署的 softwareupdate.app 仅显示"系统更新完成"对话框，完成整个社会工程闭环。

阶段四：持久化 — 三层后门体系

Sapphire Sleet 部署了三层后门，形成完整的持久化控制体系：

第一层：com.apple.cli — 约 5MB 的 Mach-O 二进制，伪装 Apple 命名规范。循环执行 sw_vers、date -u、sysctl hw.model 和 ps aux 进行主机侦察，持续连接 C2 端点 83.136.208[.]246:6783。

第二层：services 后门 → icloudz — 主要操作组件，提供交互式命令执行通道。通过 LaunchDaemon 持久化。icloudz 是 services 的副本（SHA-256 相同），但使用 NSCreateObjectFileImageFromMemory API 进行内存反射加载，避免落地到磁盘。

第三层：com.google.chromes.updaters — 最终和最大的后门组件（约 7.2MB）。连接 check02id[.]com:5202，以 60 秒为周期进行心跳探测，执行 whoami 和 sw_vers -productVersion 确认运行状态。

▲ 图4：使用 osascript 部署 services 后门

持久化通过 com.google.webkit.service.plist（位于 /Library/LaunchDaemons/）实现，命名刻意模仿合法的 Google 和 Apple 服务，以降低被发现的概率。

阶段五：TCC 绕过 — 操纵系统安全数据库

在大规模数据外传前，攻击者需要绕过 macOS 的 TCC 保护。mac-cur3 阶段通过以下精妙序列直接操纵用户级 TCC 数据库：

1. 指示拥有完全磁盘访问权限（FDA）的 Finder 重命名 com.apple.TCC 文件夹
2. 无 FDA 权限的进程即可复制 TCC 数据库到暂存位置
3. 使用 sqlite3 向 access 表注入新条目，授予 /usr/bin/osascript 向 Finder 发送 AppleEvents 的权限
4. 将修改后的数据库复制回原位，Finder 恢复文件夹名称

⚠ 关键：该手法完全绕过了 TCC 的用户同意弹窗——授权值设为 allowed (auth_value=2)，用户设置原因 (auth_reason=3)，确保不会触发任何提示。

阶段六：大规模数据外传 — 九大类数据一览

TCC 绕过后，一个 575 行的 AppleScript 负载开始系统性地收集、暂存、压缩和外传七大类数据：

浏览器数据收集特别针对九种加密货币钱包扩展：Sui、Phantom、TronLink、Coinbase、OKX、Solflare、Rabby、Backpack 以及 Bitwarden，重点提取 IndexedDB 中存储的钱包密钥和交易数据。

▲ 图5：TCC 数据库被覆盖后的修改示意

▲ 图6：使用 nohup 的数据外传上传模式

────────────────

IoC 情报指标

C2 基础设施

恶意文件哈希 (SHA-256)

────────────────

防御建议

1. 用户安全意识培训 — 重点教育来自社交媒体的"招聘"类社会工程攻击，切勿运行通过消息或聊天分享的脚本和命令

2. 限制 .scpt 文件执行 — 阻止或限制从互联网下载的编译 AppleScript 文件和未签名 Mach-O 二进制文件的执行

3. 监控 curl 管道执行 — 审计 curl | osascript、curl | sh、curl | bash 等管道模式，特别关注非标准 User-Agent

4. 监控 TCC 数据库修改 — 检测对 ~/Library/Application Support/com.apple.TCC/TCC.db 的未授权修改

5. 审计 LaunchDaemon — 监控 /Library/LaunchDaemons/ 中伪装为 com.google.* 或 com.apple.* 的异常 plist 文件

6. 保护加密货币资产 — 对处理数字资产的组织，强制使用硬件钱包并定期轮换浏览器存储的凭据

────────────────

文章来源：Microsoft Security Blog
原文链接：Dissecting Sapphire Sleet's macOS intrusion from lure to compromise
发布日期：2026年4月16日 | 翻译整理：比特波特 ⚡

跳转微信打开

Qualys深度剖析：AI代理安全风险——OpenCla

一个未经授权的 OpenClaw AI 代理被发现伪装成常规软件包，潜伏在 Windows Server 主机上。Qualys ETM 通过关联四个独立信号——漏洞扫描、端点检测、外部攻击面和身份认证弱点——揭示了一条从单一漏洞到域管理员的完整攻击路径。

────────────────

背景：AI 代理带来的新型安全风险

自主 AI 代理正在改变工作方式。它们接受自然语言指令并直接在系统上执行操作，将以往需要人工介入的任务自动化。这种效率对用户和安全团队都极具吸引力，但也引入了一类全新的运营风险。

在企业环境中，未经授权的自主代理可以建立持久通信路径、暴露本地服务、执行命令，或以安装所在用户或系统的相同权限运行。它不仅仅是一个应用程序——它将问题从"这是什么软件？"变成了"这个软件能启用什么？"

本文以 OpenClaw 为案例，展示 Qualys Enterprise TruRisk Management (ETM) 如何通过关联端点、暴露面和身份遥测数据，将看似普通的发现转化为可操作的风险视图。

────────────────

第一信号：Qualys VMDR 漏洞扫描

Qualys 扫描器在一台 Windows Server 2025 Datacenter EC2 实例上检测到 clawdbot（OpenClaw）软件包存在漏洞。检测到的版本低于补丁版本 2026.1.29，关联编号为 GHSA-g8p2-7wf7-98mq / CVE-2026-25253。

漏洞详情：该漏洞源于 Control UI 在加载时信任来自查询字符串的 gatewayUrl 参数，未进行验证。UI 加载后会发起 WebSocket 连接并传输存储的 gateway token，可能导致认证令牌暴露给未授权端点。

CVE-2026-25253 的 CVSS 基础评分为 8.8，QVSS 评分高达 9.5（严重），且实时威胁指标显示存在公开利用和活跃攻击。

图 1：Qualys VMDR 在 Windows Server EC2 实例上检测到存在漏洞的 OpenClaw

对于 ROC 分析师来说，这只是不完整的画面。漏洞包的存在和活跃利用信号虽然有意义，但不足以确定风险等级。分析师需要判断软件是否在使用中、是否可达、以及可能造成的下游影响。

图 2：CVE-2026-25253 的 ETM 详情，显示 CVSS、QVSS 和实时威胁指标

────────────────

第二信号：Microsoft Defender 独立确认

一个信号可以被忽略，两个独立信号则难以忽视。

Microsoft Defender 漏洞管理作为 Qualys ETM 中的第二个数据源，在同一台主机上独立检测到与 OpenClaw 组件相关的 Node.js 漏洞 CVE-2025-55130。ETM 为该问题分配了 QVSS 7.2 和 CVSS v3 9.1 的评分。

图 3：Microsoft Defender 独立检测到同一主机上的 Node.js 漏洞

两个独立的控制——Qualys VMDR 和 Microsoft Defender——确认了同一主机上存在存在漏洞的 Node.js 组件。这种收敛增加了置信度，降低了误报的可能性。

但关键问题仍未解答："磁盘上存在漏洞软件"与"漏洞软件正在运行且可达"是不同的。调查需要更多遥测层来做出判断。

────────────────

第三信号：Qualys EASM 暴露面分析

下一个问题是：这个问题是停留在本地，还是创造了可达的暴露面？

OpenClaw 使用 端口 18792 作为默认通信端口，EASM 检测到该端口上运行着 node.exe 服务。

图 4：Qualys EASM 显示 node.exe 在 TCP/18792 上监听

这是调查的转折点。磁盘上的漏洞包是一回事，暴露端口上运行的活跃服务则是另一回事。它同时告诉分析师三件事：Node.js 运行时是活跃的、OpenClaw 软件正在使用中、问题已从软件库存风险升级为活跃攻击面。

• 端口：18792
• 协议：TCP
• 检测到的服务：node.exe

图 5：EASM 检测规则——标记 OpenClaw TCP 端口上的进程监听

────────────────

第四信号：身份上下文为何改变严重性

端点发现很少能讲述完整的故事。一旦识别出可疑或未经授权的代理，下一个问题是：如果攻击者通过这台主机获得立足点，他们接下来能做什么？

Qualys ETM Identity 将调查延伸到端点之外，发现两个关键的身份弱点：

弱点一：SID History 残留
存在与不存在域关联的 SID History 账户。这些过时的标识符可能被滥用进行 SID-History Injection，实现特权身份冒充和权限提升。

图 6：检测到来自不存在域的已迁移账户

弱点二：Kerberos 预认证缺失
存在不需要 Kerberos 预认证的账户，增加了 AS-REP Roasting 攻击的暴露面，提高了凭据泄露、横向移动和更广泛域影响的风险。

图 7：检测到不需要 Kerberos 预认证的账户

────────────────

攻击链全景：从漏洞到域管理员

当 ETM 将这些身份弱点与 OpenClaw 发现关联时，一条攻击路径逐渐浮现：

攻击链：EASM 识别出可到达的 Node.js 服务 → VMDR 和 Microsoft Defender 确认底层 Node.js 和 clawdbot 组件可被利用 → ETM Identity 显示攻击者获得主机访问权后，周围的身份环境提供了通往 Domain Admin 和域控制器的可行路径。

图 8：Qualys ETM 识别的基于身份的攻击路径

────────────────

核心教训：可见性本身已不再足够

OpenClaw 案例揭示了一个更广泛的挑战。AI 驱动的工具可能首先表现为常规软件发现，但当它们活跃运行、网络可达、且运行在身份控制薄弱的环境中时，其重要性会发生根本改变。

四个信号各自的含义：

• VMDR：识别存在漏洞的 OpenClaw 包及其安装路径
• Microsoft Defender：独立确认同一主机上的 Node.js 暴露
• EASM：揭示活跃运行时行为和 TCP/18792 上的可达服务
• ETM Identity：暴露可放大入侵影响的身份弱点

单独来看，每个发现只是一行记录。但合在一起，它们描述了一个存在漏洞、正在运行、网络可达的自主代理，运行在有利于攻击者的身份环境中。这就是 ETM 为 ROC 分析师带来的价值——将技术发现关联到运营风险，使优先级排序反映攻击者实际能做什么，而非扫描器报告了什么。

IoC 与关联指标

────────────────

来源：Qualys Security Blog | 作者：Sushant Paithane, Pratham Patil
原文链接：https://blog.qualys.com/vulnerabilities-threat-research

跳转微信打开

Tenable Hexa AI：用AI智能体将漏洞修复从人

AI 模型发现漏洞的速度正在将传统补丁周期逼入死角。从漏洞被发现到被武器化利用，窗口期正从数天压缩到数小时。安全团队必须将响应速度从"人工速度"提升到"机器速度"——这正是 Tenable Hexa AI 所要解决的核心问题。

────────────────

威胁升级：AI 模型正在改写漏洞利用时间线

Anthropic 的 Claude Mythos 预览版展示了令人警醒的能力：在内部测试中，它能在"数小时内"为一个已存在 17 年的远程代码执行（RCE）漏洞自主生成完全可用的 exploit 利用套件。

与此同时，高级漏洞利用的成本已经降至攻击者可承受的水平——

当前高级漏洞利用的开发成本已降至 2,000 美元以下，开发时间 不到一天。AI 驱动的漏洞发现潮将迅速淹没即便是资源最充沛的安全团队。

传统的 30 天补丁周期和手动工单系统在这种节奏下已不仅是缓慢——而是一种系统性风险。

────────────────

Tenable Hexa AI：自主修复的智能引擎

Tenable Hexa AI 是 Tenable One 暴露管理平台的智能体引擎，核心能力包括：

① 构建自定义智能体
允许安全团队根据自身环境需求，构建定制化的工作流自动化方案。

② MCP 协议驱动的编排层
基于 Model Context Protocol（MCP），Tenable Hexa AI 可作为编排层，将你使用的任意 LLM 连接到内部技术栈和执行工具。这意味着你不仅仅是在"问 LLM 哪些资产存在漏洞"——而是在调动智能体去修复它们。

③ 暴露数据结构
依托 Tenable 的 Exposure Data Fabric——业界最丰富的上下文化暴露数据知识库——在漏洞、身份和资产之间建立映射关系，为智能体提供安全精确行动所需的深度环境上下文。

────────────────

实战演示：从自然语言到自动化补丁部署

以下是 Tenable Hexa AI 自动化补丁工作流的完整过程：

第一步：自然语言指令
在 Claude 中输入自然语言提示：
"使用 Tenable Vulnerability Management 和 Tenable Patch Management，识别并修复资产 rsac-svr-2022 上所有严重级别的 VPR 漏洞。"

第二步：智能体驱动的漏洞优先级排序

提示触发自定义 Hexa AI 智能体立即查询 Tenable 平台，定位特定资产，并使用 Vulnerability Priority Rating（VPR） 过滤发现结果。

VPR vs CVSS vs EPSS：VPR 与基于理论风险的 CVSS 和基于概率的 EPSS 不同，它基于真实可利用性数据和潜在业务影响，精确锁定约 1.6% 真正构成即时威胁的漏洞。

使用 VPR 作为严格的过滤标准，智能体可仅针对最关键的 CVE 触发自动化工作流。

第三步：自动化补丁部署

识别出真正的优先级后，Hexa AI 智能体直接触发补丁工具（如 Tenable Patch Management），无缝部署修复到目标资产，消除修复周期中所有人工延迟。

────────────────

人机协作：保持控制权的安全自动化

Tenable Hexa AI 并非追求"全自动化"的黑盒。通过自定义智能体，安全团队可以在智能体逻辑中构建特定的 Human-in-the-Loop（HITL） 检查点——精确选择何时启动全自动执行，何时需要人工审批确认。

这种设计确保了：在安全关闭漏洞利用窗口的同时，不引发运营风险。

────────────────

从被动追踪到主动暴露管理

网络攻击的经济模式已经根本性转变。当攻击者以极低成本快速开发高级利用时，防御者也必须转变自身的"经济学"——降低"每项修复的单位成本"。

Hexa AI 作为关键的力量倍增器，使单一分析师也能通过自动化重复任务、高效分诊补丁、规模化管理暴露面，从而将安全策略从被动追踪转变为主动暴露管理，永久性地缩小漏洞发现速度与组织响应速度之间的差距。

────────────────

来源：Tenable Blog — Beating the Mythos clock: Using Tenable Hexa AI custom agents for automated patching

作者：Ziga Cerkovnik, Principal Product Manager - Agentic AI, Tenable

原文链接：https://www.tenable.com/blog/beating-the-mythos-clock-using-tenable-hexa-ai-custom-agents-for-automated-patching

跳转微信打开

深度解析Prompt注入攻击原理，通过真实复现案例揭示攻击者如何劫持AI Agent

跳转微信打开