Category: APT攻击

摘要 在攻击者与防御者的持续军备竞赛中，最新锐的攻击手法总是被紧盯，而最古老的合法功能却常常成为完美的隐匿空间。SYLK 文件格式正是这一规律的最新注脚。 SYLK 诞生于 1980 年代，设计目标是仅使用可显示的 ANSI 字符，让不同应用程序之间能可靠地交换表格数据。它的文件扩展名 .slk 至今仍被 Microsoft Office 默认映射到 Excel，涵盖 2010、2013、2016 乃至更新版本。此前，安全研究员 Matt Nelson 已演示过将 DDE（动态数据交换）攻击与 SYLK 结合的方法，且该方法已被多起真实恶意软件样本所采用。 本文则进一步揭示一个更严重的滥用维度：SYLK 可以直接承载 Excel 4.0/XLM 宏，且这一能力在当前安全生态中几乎未被充分认知和检测。在 VBA 宏已受到层层监视的今天，XLM 宏在 .slk 容器中的复活，为攻击者提供了一条低风险、高成功率的新通道。 SYLK特权 在对攻击面进行任何深入拆解之前，必须首先理解 SYLK 在网络防御体系中的特殊地位——它不是靠漏洞获得特权，而是靠“默认信任”。 受保护视图沙箱的豁免 当文件从互联网或不受信任来源下载时，Windows 会为其附加“网络标记”（Mark of the Web, MotW）。对于常规 Office 文件，这会触发受保护视图沙箱，阻止宏执行并显示醒目的安全警告。然而，SYLK 文件格式并不适用此沙箱。用户双击打开恶意 .slk 文件时，不会看到受保护视图的屏障。 邮件与浏览器网关的通行证 在典型的攻击链中，.slk 文件在传输阶段几乎不被拦截： MS Outlook 阻止附件列表：不包含 .slk。 OWA（Outlook Web Access）默认阻止扩展名列表：同样不包含 .slk。 Chrome…

摘要 在现有社交媒体的今天，聊天视频是社交的一种手段，而面部活体检测则成为抵御身份欺诈的最后一道屏障。但是，攻击者可以通过虚拟摄像头注入预录视频，绕过面部活体检测的传感器层。 本文深入拆解这一攻击手法的实施方式及其背后的技术逻辑，并探讨对身份验证体系的深层威胁与防御方向。 身份验证 在数字世界里，“证明你是你”是一个根本性的安全命题。主流的身份验证方式可以分为四个递进的层级： 知识因子：密码、PIN码、安全问题。这是成本最低、也最容易被钓鱼和爆破的方式。 持有因子：一次性验证码、硬件令牌。增加了攻击成本，但SIM卡劫持和OTP拦截已相当成熟。 文档因子：身份证、护照、驾照。通过OCR提取信息并与数据库比对，但证件伪造产业已高度工业化。 生物特征因子：人脸、指纹、虹膜、声纹。因为“身体无法被窃取”，被视为最强验证手段。 其中，面部识别因其非接触、低摩擦的特性，成为金融、加密货币交易平台等高风险场景的首选。但它回答的仅仅是“这是对的人吗？”，而一个更前置的问题——“这是真人吗？”——则由面部活体检测来回答。 面部活体检测的本质，是判断摄像头前呈现的到底是一个真实的、有生命的人类，还是一个伪造的呈现物。根据实现方式，它分为两大流派： 类型 机制 优势 劣势 被动活体检测 无需用户配合，通过分析输入图像的纹理、光照、颜色空间等特征判断真伪 用户体验好，快速无感 对输入质量要求高，低光环境等场景表现不佳 主动活体检测 要求用户做出指定动作（转头、眨眼、追踪移动物体等） 难以用预录视频欺骗 体验繁琐，用户容易不耐   然而，这个看似坚固的防御体系，正在面临一种根本性的威胁——攻击者选择直接欺骗传感器本身。 传统呈现攻击 在学术界，对生物识别传感器的攻击被称为“呈现攻击”，常见有三种形态： 2D静态欺骗：将目标的高清照片打印在纸上，或显示在手机、显示器屏幕上，对着摄像头展示。 视频重放攻击：播放预先录制或AI生成的视频，而非静态图像。 3D硅胶面具：制作高仿真的三维面具，物理上覆盖攻击者的面部。 2019年曾发生过一起轰动行业的真实案例：诈骗者使用硅胶面具，通过Skype视频通话冒充法国外交部长，骗取了高达9000万美元的资金。 在这三种方法中，视频重放攻击看似最经济，但存在两个难以克服的技术短板： 一是质量损失。 当预录视频通过显示器屏幕再次被摄像头捕获时，会经历一次“二次采样”——摄像头的CMOS传感器重新捕捉屏幕发出的光线，这个过程必然引入： 颜色空间退化：原始视频的HSV/HSL色彩信息被压缩并二次编码，饱和度与亮度曲线发生偏移； 对焦/模糊损失：显示器的像素网格与摄像头的对焦系统之间产生摩尔纹或柔焦效果； RGB通道失真：屏幕的背光光谱与自然光不同，灰度层次被压缩。 二是显示器物理特征的暴露。 任何显示屏都无法完全隐藏自身的存在： 屏幕表面的眩光和反射； 特定角度的色度偏移； 显示器刷新率导致的频闪（50Hz/60Hz的电网频率残留）。 这些特征正是活体检测系统重点捕捉的异常信号。2019年Black Hat大会上展示的硬件级视频注入方案虽然有效，但基于专用芯片（如TC358749XBG）的搭建成本高、资源消耗大，不具备大规模滥用条件。 这就引出了一个关键问题：能不能绕过“显示器呈现”这个环节，直接把视频信号注入给验证系统？ 虚拟摄像头注入 核心思路极为简洁： 传统攻击：真人视频 → 显示器播放 → 摄像头“看”屏幕 → 验证系统 注入攻击：预录视频…

简介 Redis自定义模块允许用户扩展Redis的功能，添加新的命令和数据类型。这种灵活性使得Redis不仅仅是一个键值存储，还可以用于更复杂的应用场景。然而，这也带来了潜在的安全风险，攻击者可能利用这些自定义模块执行恶意命令。下面是关于Redis自定义模块执行命令的介绍和漏洞利用方法。 Redis自定义模块介绍 Redis自定义模块是从Redis 4.0版本开始引入的，允许开发者编写自己的模块并加载到Redis中。模块可以用C语言编写，并编译成动态库（.so文件），然后通过Redis命令加载。 创建模块文件：编写一个简单的C语言文件，例如malicious_module.c #include <stdio.h> #include <stdlib.h> #include <string.h> #include "redismodule.h" int MaliciousCommand(RedisModuleCtx *ctx, RedisModuleString **argv, int argc) { RedisModule_ReplyWithSimpleString(ctx, "Malicious code executed!"); return REDISMODULE_OK; } int RedisModule_OnLoad(RedisModuleCtx *ctx, RedisModuleString **argv, int argc) { if (RedisModule_Init(ctx, "malicious_module", 1, REDISMODULE_APIVER_1) == REDISMODULE_ERR) { return REDISMODULE_ERR; } if (RedisModule_CreateCommand(ctx, "malicious_command", MaliciousCommand, "write", 1, 1,…