嘶吼

往期回顾：

2024.9.9—2024.9.15安全动态周回顾

2024.9.2—2024.9.8安全动态周回顾

2024.8.26—2024.9.1安全动态周回顾

2024.8.19—2024.8.25安全动态周回顾

2024.8.12—2024.8.18安全动态周回顾

2024.8.5—2024.8.11安全动态周回顾

2024.7.29—2024.8.4安全动态周回顾

9月19日，北京威努特技术有限公司（以下简称“威努特”）与华为技术有限公司（以下简称“华为”）宣布正式达成合作。

双方在上海的第九届华为全联接大会中举行了鲲鹏合作签约仪式，华为鲲鹏计算业务总裁李义、华为中国政企大企业系统部计算产品总监孙建、威努特董事长兼CEO龙国东、威努特交通行业系统部副总经理石岩等11人出席并见证签约。华为中国政企国资央企系统部总经理曾成钢，威努特副总经理杨璐分别代表双方签约。

ICT作为全球数字经济和智能世界的基石，在AI、云、大数据、IoT等前沿技术的驱动下，正以前所未有的速度改变着我们的生活和工作方式。面向未来，双方将在以鲲鹏为计算底座的一体机销售、原生开发、联合解决方案与产品等方面开展全面合作，推出深度行业化的方案与产品，构建领先的技术竞争力。同时，在各自核心业务领域深化合作，充分利用双方资源、服务和经验等各方面优势增强市场竞争力，持续为合作项目提供充分的支持，实现强强联手，共建繁荣生态，达成互利共赢。

近日，蚂蚁安全正式对外开放新一代软件供应链安全技术——源蜥，2024年源蜥将开放200名免邀请试用名额（https://cybersec.antgroup.com/），推动行业软件供应链安全技术升级。

与传统软件组成成份分析技术（Software Composition Analysis，SCA）相比，源蜥“新”在哪里？能解决用户的哪些痛点？

1、传统SCA用户面临的问题

传统SCA的用户，经常会遇到SCA扫描动辄报出数万个漏洞，即使只关注高危以上的漏洞，也有数千个。面对这数以千计的高危漏洞：

一方面，漏洞修复的成本很高，全部修复会严重拖累业务的快速发展，在企业内部难以落地；

另一方面，如果不修复这些漏洞，对企业有严重安全威胁的漏洞也会淹没在其中，使企业面临着较大的安全风险。

2、原因分析

传统SCA检测漏洞主要包括三个环节，如图1所示：

（1）对应用程序做软件物料清单(Software Bill of Materials，简称SBOM）分析得到依赖的组件清单

（2）采集和分析得到漏洞情报

（3）通过组件清单关联漏洞情报得到漏洞

图1 传统SCA漏洞检测原理

传统SCA之所以会动辄报出数万个漏洞，主要原因有两点：

（1）传统SCA做SBOM分析的粒度都是组件级，只要应用程序依赖了含漏洞的组件，不管应用程序是否调用了漏洞的触发点，都会被认为存在漏洞，导致了大量的误报

（2）业界公开的漏洞情报非常多，传统SCA只关注了漏洞自身的危害等级，而没关注漏洞实际在业界被利用的风险，从而将大量不存在利用风险的漏洞也推给用户去修复。

例如，仅2023年披露的CVE漏洞就超过2.6万个，但即使是其中一些危害等级很高的漏洞，很可能也没有公开的POC或被在野利用尝试，利用风险很低，也无需用户重点关注。

3、源蜥技术“新”在哪

【源蜥】针对以上用户痛点，依托蚂蚁安全团队在【程序分析】和【威胁情报】领域业界领先的技术优势，创新的提出并实现了【“函数级”SBOM】和【漏洞利用风险分析】两项技术，让用户聚焦应用程序实际会触发、且业界实际存在较大利用风险的漏洞，大幅降低用户的软件供应链漏洞运营成本，如图2。

图2 源蜥漏洞检测原理

3.1 函数级SBOM技术

由于绝大多数漏洞的触发都是有一个或多个触发函数，只有应用程序及其依赖的二三方组件实际调用了一个漏洞触发点的函数，漏洞才有可能被实际触发，才是需要用户重点关注的漏洞。

函数级SBOM就是在组件级SBOM分析的基础上，利用蚂蚁安全海量的源码分析、存储和查询技术，对应用及其依赖的二三方组件进一步“画像”，“绘制”出应用程序依赖的所有函数的清单。

源蜥通过将应用的SBOM分析能力从【组件级】提升到【函数级】，帮助用户精准过滤了大量误报“漏洞”，提效60%以上。

图3 源蜥函数级SBOM分析技术

3.2 漏洞利用风险分析

源蜥通过多维度的漏洞情报信息，只对用户透出经过分析存在被实际利用风险的漏洞，如POC已公开的漏洞/已被在野尝试利用的漏洞，减少无利用风险的漏洞情报80%以上。

在筛选出高利用风险漏洞情报的基础上，源蜥还会分析出该漏洞的触发点函数，从而结合函数级SBOM精准分析出实际有影响的漏洞。

图4 源蜥漏洞利用风险分析技术

4、小结

软件供应链漏洞一般影响面较广，容易被外部攻击者利用，对企业的安全性有较大威胁，也是每年HW Top类型的风险，是企业高优先级要关注和处置的安全风险。

但传统SCA工具由于SBOM粒度较粗、漏洞情报不区分实际被利用的风险，导致动辄扫描出上万漏洞，在企业难以落地。

针对这一用户痛点，蚂蚁安全在业界率先提出了新一代软件供应链安全技术——源蜥，源蜥利用蚂蚁安全团队在程序分析和威胁情报领域业界领先的技术优势，创新的提出并实现了【“函数级”SBOM】和【漏洞利用风险分析】两项技术，让用户聚焦应用程序实际会触发、且业界实际存在较大利用风险的漏洞，不再苦于动辄扫描出的数万漏洞而束手无策，大幅提升了安全团队的运营效率。

源蜥新一代软件供应链安全技术与传统SCA核心能力对比

技术体验

https://cybersec.antgroup.com 

2024年对外开放200名免邀请试用名额，有任何技术相关的问题或建议，欢迎扫码加入钉钉群沟通

据报道：当地时间17日下午，黎巴嫩首都贝鲁特以及黎巴嫩东南部和东北部多地发生寻呼机爆炸事件。黎巴嫩公共卫生部长阿卜亚德称，爆炸已造成9人死亡，约有2800人受伤，其中约200人伤情危重。

爆炸不仅造成了人员的伤亡，还对当地的基础设施和社会秩序造成了严重的破坏，黎巴嫩真主党发表声明认为以色列对寻呼机爆炸负有 “全部责任”，并誓言要采取报复行动。这一事件使得本就紧张的地区局势更加扑朔迷离，也让国际社会对该地区的未来走向充满了担忧。

在当今数字化时代，通讯安全问题变得日益重要，人们越来越依赖各种通讯设备和网络进行信息交流和业务往来。然而，通讯安全风险也在不断增加，从个人隐私泄露到企业商业机密被窃取，从网络诈骗到黑客攻击，通讯安全问题已经成为了我们不得不面对的严峻挑战。

寻呼机爆炸事件就是一个典型的例子，虽然寻呼机在现代社会已经逐渐被淘汰，但这起事件却提醒我们，在信息爆炸的时代，我们不能忽视任何一种通讯方式的安全问题，必须时刻保持警惕，采取有效的措施来保护我们的通讯安全。

目前，国内的网络安全环境面临着诸多挑战，随着国际贸易摩擦的不断加剧和地缘政治的不稳定，使用国外厂商的通讯产品（如某信）存在一定的风险，某些国外通讯厂商可能会受到其本国政府的压力，对国内企业进行恶意攻击或窃取敏感信息，这种情况已经在一些国际事件中得到了证实，给国内企业带来了巨大的损失。

即便是国内的通讯安全厂商（如某安），如果其数据中心在境外，也难以确保数据的安全和杜绝被攻击的风险，境外的数据中心可能会受到当地法律法规的限制，或数据在跨境传输过程中被窃取或篡改，给企业和个人带来严重的安全隐患。

从安全的层面来说，邮件系统作为最常用的办公软件之一，承载着企业运营的海量数据，尤其涉及企业商业资产、战略规划等重要信息。因此，选择一款足够安全、专业、高效的邮箱产品，是建立企业安全的重要一步。

CACTER邮件安全产品核心技术依托自研国产反垃圾引擎和国内最大的企业级邮件安全大数据中心，并致力于提供信创国产化解决方案，采用完全自主研发的技术，通过使用国产化的硬件设备、芯片、操作系统和数据库，实现从底层到上层的全面自主可控，满足合规要求，为用户提供更加安全可靠的通讯保障和精准的安全防护。

邮件安全问题及综合解决方案

上个世纪七十年代，电子邮件占据了互联网的前身ARPANET上流量的75%，是最主要的应用。随着互联网的发展，电子邮件在全面普及后，被各种各样的即时通讯软件抢走了不少风头。然而，其始终还是被社会所认可的主流网络通讯渠道，但是也成为最易被攻击的目标。

当前电子邮件已经成为恶意连接、病毒木马的重要传播途径，研究发现网络安全事件中八成都和电子邮件有关。据Cofense的《2023年度电子邮件安全报告》，2022年全年恶意钓鱼电子邮件增加了569%，与证书/凭据钓鱼相关的活跃威胁报告增加了478%，恶意软件增加了44%。商业电子邮件欺诈（BEC）连续第8年成为最严重的网络犯罪形式之一，在全球90%的地区造成了机构数十亿美元的损失。利用人工智能、机器人进行信息窃取的恶意活动显著增加，攻击成本较低且快速有效，发起的混合攻击更难被检测和发现。

面对高校师生，对外的学术联系非常依赖电子邮件。如何保障好高校电子邮件账号的安全，确保研究人员对外学术联系的安全性、及时性、准确性，是值得电子邮件管理员关注的重要问题。可以在弄清威胁来源的基础上，及时发现并阻断入侵威胁，提升安全防护能力。

一、了解主要安全威胁来源

攻击者通过多种方式和渠道对邮件账号发起攻击，常见的手段有：

1.弱密码：使用生日、电话号码等容易被猜测的密码，或者在多个平台重复使用同一密码，都可能让攻击者轻易破解。

2.社交工程攻击：攻击者通过伪装成可信赖的联系人，诱使用户透露敏感信息，如密码、验证码等。

3.钓鱼邮件：伪装成官方邮件，诱导用户点击含有恶意代码的链接，从而获取账号信息。

4.技术漏洞：攻击者利用Webmail、SMTP、POP3、IMAP等攻击渠道和服务协议的漏洞，进行恶意操作，如发送垃圾邮件、盗取用户信息等。

二、加强异常行为监测与处置

管理员需要加强对邮件系统的监测，及时发现邮件账号被入侵的情况。定期检查邮件发送和接收的异常行为，如突然增加的邮件数量、非正常时间的登录记录等。深入分析系统日志，寻找异常登录、异常操作等线索，这可能表明账号已经被攻击。可以采取有效措施阻断相关威胁，如自行编写脚本封禁账号，一旦发现账号有异常行为，如发送大量垃圾邮件，应立即封禁该账号，防止进一步的损害。

以Coremail XT5为例，可以编写脚本通过日志排查同时发信给至少20个收件人的发信账号，根据每天最多批量发送3次进行筛选，与批量发信邮箱地址白名单比对后，封禁用户。
其中白名单文件white.list格式为一行一个邮箱地址。

三、提升邮件系统防御能力

保障邮件账号的安全需要从源头防止、及时发现和有效阻断攻击，但长远来看，还是要加防御防御能力和用户意识。

1.提升邮件系统技术防御能力
可以从启用双因素认证、防密码暴露、防钓鱼邮件和防垃圾邮件等方面，增强邮件系统的技术防护能力。

启用双因素认证：双因素认证增加了额外的安全层，即使密码被盗，攻击者也难以访问账户。可以结合所在高校的实际情况，采取短信验证、硬件令牌、认证APP等方式。除了密码，还需要通过手机验证码、生物识别等方式进行二次验证，增加攻击的难度。

定期更新密码：密码暴露是账户被黑的主要原因之一，可以采取复杂密码策略、定期更换等方式，提升安全性，如可要求用户设置包含大小写字母、数字和特殊字符的复杂密码，并定期提醒用户更改密码，避免重复使用旧密码。

强化技术措施：采取有效的防御措施识别和阻止钓鱼攻击，比如采取SPF、DKIM、DMARC、黑白名单等技术来检查邮件真实性，也可考虑部署邮件安全网关，使用基于规则和机器学习的垃圾邮件过滤器来自动检测并拦截钓鱼邮件、垃圾邮件等威胁。邮件系统应当提供必要的安全设置，如登录警告、IP限制等，增强账号防护。

2.对敏感数据加强授权管控
在条件许可的情况下，还可部署数据防泄漏系统，识别可定位敏感数据位置、监控敏感数据的使用情况以及采取阻断和审批加密的策略，有效避免内部人员无意或恶意的数据外泄。

3.加强用户安全培训
对师生加强网络安全培训，定期对师生普及网络安全知识，重点针对管理人员、科研人员定期进行安全意识培训，在使用电子邮件时注意防范社会工程学攻击，如钓鱼攻击及欺诈邮件。

超过 1,000 个配置错误的 ServiceNow 企业实例被发现将包含敏感公司信息的知识库 (KB) 文章暴露给外部用户和潜在威胁者。暴露的信息包括个人身份信息 、内部系统详细信息、用户凭据、实时生产系统的访问令牌以及取决于知识库主题的其他重要信息。

尽管 ServiceNow 在 2023 年的更新明确旨在改进访问控制列表 (ACL)，但这仍然是一个重大问题。

公开的知识库文章

ServiceNow 是一个基于云的软件平台，企业使用它来管理跨不同部门和流程的数字工作流。它是一个完整的解决方案，包含 IT 服务和 IT 运营管理、人力资源任务、客户服务管理、安全工具集成和知识库。

知识库功能充当文章存储库，用户可以在其中共享操作指南、常见问题解答和其他内部程序，供有权查看这些内容的用户使用。但是，由于许多此类文章并非公开发布，因此它们可能包含有关组织的敏感信息。

在 2023 年发布有关 ServiceNow 数据泄露的报告后，该公司推出了一项安全更新，引入了新的 ACL，以防止未经身份验证访问客户数据。然而，AppOmni 表示，大多数 ServiceNow 知识库使用的是用户标准权限系统而不是 ACL，这使得更新的用处不大。

此外，一些面向公众的、暴露客户信息的小部件没有收到 2023 ACL 更新，并继续允许未经身份验证的访问。因此，Costello 表示，面向公众的 ServiceNow 小部件上配置错误的访问控制仍可用于查询知识库中的数据，而无需任何身份验证。

AppOmni 在发布的新报告中表示：“受影响的企业认为这些实例本质上是敏感的，例如 PII、内部系统详细信息以及实时生产系统的有效凭证/令牌。”使用 Burp Suite 等工具，恶意分子可以向易受攻击的端点发送大量 HTTP 请求，以暴力破解知识库文章编号。

研究人员解释说，知识库文章 ID 以 KBXXXXXXX 格式递增，因此威胁者可以通过从 KB0000001 开始递增 KB 编号来暴力破解 ServiceNow 实例，直到找到一个无意中暴露的实例。

AppOmni 开发了一个概念验证攻击，以说明外部如何在没有身份验证的情况下访问 ServiceNow 实例、捕获用于 HTTP 请求的令牌、查询公共小部件以检索 KB 文章，以及暴力破解所有托管文章的 ID。

示例请求（左）和令牌拦截（右）

阻止未经授权的访问

AppOmni 建议 SecureNow 管理员通过设置适当的“用户标准”（可以读取/不能读取）来保护 KB 文章，阻止所有未经授权的用户。

“任何用户”或“访客用户”等标准会导致配置无法保护文章免受任意外部访问。如果没有明确需要公开访问知识库，管理员应将其关闭，以防止文章在互联网上被访问。

研究人员还强调了特定的安全属性，即使在配置错误的情况下，也可以保护数据免遭未经授权的访问。这些是：

·glide.knowman.block_access_with_no_user_criteria（True）：确保如果未为 KB 文章设置用户标准，则自动拒绝经过身份验证和未经身份验证的用户访问。

·glide.knowman.apply_article_read_criteria（True）：要求用户对单个文章具有明确的“可以阅读”访问权限，即使他们对整个 KB 具有“可以贡献”访问权限。

·glide.knowman.show_unpublished（False）：阻止用户查看草稿或未发布的文章，其中可能包含敏感的未审核信息。

·glide.knowman.section.view_roles.draft（管理员）：定义可以查看草稿状态的知识库文章的角色列表。

·glide.knowman.section.view_roles.review（管理员）：定义可以查看审核状态的知识库文章的角色列表。

·glide.knowman.section.view_roles.stagesAndRoles（管理员）：定义可以查看自定义状态的知识库文章的角色列表。

最后，建议激活 ServiceNow 预先构建的开箱即用 (OOB) 规则，该规则会自动将来宾用户添加到新创建的知识库的“无法读取”列表中，要求管理员在需要时专门授予他们访问权限。

网安秘字〔2024〕115号

各有关单位：

为指导各相关组织开展敏感个人信息识别等工作，秘书处组织编制了《网络安全标准实践指南——敏感个人信息识别指南》。

本《实践指南》给出了敏感个人信息识别规则以及常见敏感个人信息类别和示例，可用于指导各组织识别敏感个人信息，也可为敏感个人信息处理和保护工作提供参考。

全国网络安全标准化技术委员会秘书处

2024年9月14日 

文章源自于：全国网安标委

近日，黎巴嫩境内连续发生的寻呼机、对讲机等通讯设备爆炸事件震惊全球，不仅造成了重大的人员伤亡和财产损失，也引发了国际社会对于供应链安全、网络安全及电子设备安全的深刻反思。对此360集团创始人周鸿祎在其新近发布的短视频中直呼这是“网络战和真实物理作战的结合”，并指出此次事件暴露出两个层面的安全问题，一是供应链安全，二是网络安全。

为什么供应链安全如此重要？以黎巴嫩寻呼机爆炸案为例，事件发生后，国际社会普遍认为，在寻呼机内安装炸药并使其能够在接受特定信号后自爆的过程即为一种典型的“供应链攻击”方式，即通过对产品的生产和流通环节进行干预或篡改以达到恶意目的的一种策略。

“试想一下，一辆新能源汽车如果电路被动了手脚，甚至不需要安放炸弹，只要让电池短路就能引发车辆起火或爆炸”，周鸿祎说。

与供应链安全相对应，网络安全在智能设备日渐普及的今天也极为重要。各类设备如智能手机、智能家居等均可通过互联网连接至云端服务器获取服务与支持，由于它们通常具备开放接口以便用户接入各类应用和服务，也因此增加了遭受外界非法侵入的可能性。周鸿祎指出，黎巴嫩寻呼机爆炸事件展示了一种新型的网络攻击手段，即不再局限于信息窃取、系统瘫痪、攻击智能设备，还能通过控制物理设备直接引发物理伤害和人员伤亡。

“随着无人驾驶汽车的普及，只要入侵车企的网络就能远程让你的车在公路上停下，或者在停车场里启动，横冲直撞不听指挥。”周鸿祎认为，随着人工智能的发展，智能终端越来越多，被植入和渗透的风险加大，所有系统都可能成为攻击目标。网络安全防御压力增大，轻则被窃听或数据窃取，重则产生爆炸等物理破坏。

那么应如何维护供应链及网络安全？周鸿祎认为最重要的是要把安全“抓在自己手里”。

“我们现在每个终端产品都依赖全球供应链，由大量的供应商来完成。如何确保生产、运输、仓储过程中每个环节都可控，安全尤为重要，尤其是对关乎国家安全的设备和技术，应该加速自主研发和生产，确保设备的可信性和安全性，避免被外部力量动手脚”，周鸿祎说，“所以加强供应链的安全管理势在必行”。

对于网络安全方面，周鸿祎认为需要加强网络攻击的探测和感知能力，积累大量安全大数据，提高对网络攻击的感知能力。

事实上，网络攻击距离我们的日常生活并不遥远，甚至可以说是无孔不入。资料显示，360集团实现每天云查杀560亿次，发现各类安全事件1亿次，帮助企业每天拦截勒索攻击超过100万次、挖矿攻击1000万次，破解了“看不见”国家级网络攻击的“卡脖子”难题。累计捕获境外国家级APT组织54个，占国内总数的98%，包括某西方大国对武汉市地震监测中心、西北工业大学的网络攻击，也因此成为遭受该国国防部、商务部“双重制裁”的唯一一家中国网安企业。

“360在网络攻击的探测和感知拦截方面做了很多工作，将近20年免费杀毒积累了大量的安全大数据，这些数据结合我们团队每天的实战攻防，使360建立起一套对网络攻击感知能力极强的技术体系。我们也会从这件事情中汲取教训，加强安全防护，守护国家安全，共同迎接网络安全新的挑战”，周鸿祎说。

2024年9月13日，由工业和信息化部网络安全产业发展中心（工业和信息化部信息中心）、北京市经济和信息化局联合中关村科学城管理委员会、北京市海淀区四季青镇人民政府共同主办的第九届“创客中国”网络安全中小企业创新创业大赛总决赛，在北京圆满落幕。梆梆安全移动应用全生命周期管理平台项目，成功晋级决赛并斩获“企业组卓越奖”奖项。

大赛背景

本届大赛以“汇智聚才，共筑网安”为核心主题，落实创新驱动发展战略，营造有利于网络安全中小企业成长的良好环境，加快引领数字中国建设，集聚创业资源，打造网络安全中小企业和创客交流展示、项目孵化、产融对接、协同创新的平台，发掘和培育一批产业领域内优秀项目和团队，加快建设高水平的网络安全产业园，推动网络安全产业高质量发展，助力制造强国、网络强国和数字中国建设。大赛旨在集聚创新创业资源，为网络安全中小企业和创客提供交流展示、项目孵化、产融对接、协同创新的平台鼓励自主创新，培育网络安全新质生产力，助力网络强国、数字中国建设，推动经济高质量发展。

大赛自5月启动以来，来自44个城市共计297个网络安全领域企业与创客项目踊跃报名参赛，获得各界广泛关注。从项目征集至决赛历时130+天，经过初赛评审、复赛路演，最终企业组12个、创客组6个项目角逐决赛奖项。

经过投资专家、技术专家、行业专家、管理专家等10位重量级评委的研究评审，梆梆安全移动应用全生命周期管理平台项目荣获企业组卓越奖。

梆梆安全移动应用全生命周期管理平台

随着移动互联网的急速发展和智能手机的普及，移动应用数量迅速增长，为用户提供了丰富的服务和便利。然而，这也带来了应用质量参差不齐、安全风险增加等问题。恶意应用、数据泄露、隐私侵犯等安全事件频发，给用户的个人信息和财产安全带来了严重威胁。因此，如何确保移动应用的安全性和合规性成为了一个亟待解决的问题。同时，移动应用生态复杂，包括应用商店、开发者、分发渠道等多个环节，每一个环节都可能存在安全风险。

因此，建立全面的应用监管体系势在必行，确保应用从开发到发布的全过程都能得到安全保障。梆梆安全移动应用全生命周期管理平台以安全加固增强基础防范，以API监测增强流量防范，以风险监测增强运营防范，以安全测试夯实基线检查，覆盖了移动应用的开发、测试、发布、分发到监管的全过程，拥有全面的技术体系。这使得平台能够提供从源码保护、漏洞扫描到安全监测等全方位的安全服务。

作为中小企业和创客交流展示、项目落地、产融对接的重要平台，本场大赛激发了参赛企业的创新活力和发展潜力，同时也发掘和孵化出一批网络安全领域具有关键核心技术的创新型项目，为构建网络安全产业发展良好生态提供技术和人才支撑，对推动网络安全人才培养，鼓励产业技术创新，赋能产业高质量发展具有重要意义。

本次获奖，代表了行业专家对梆梆安全及其移动安全产品服务的认可。未来，梆梆安全将不断提升移动安全技术实力，保持创新激情和探索精神，为推动我国网络安全产业发展贡献力量，为各行业客户持续提供优质安全服务，和广大同业一道，为守卫网络空间的清朗与安全添砖加瓦。

1 事件概述

当地时间2024年9月17日下午，黎巴嫩首都贝鲁特以及黎巴嫩东南部和东北部多地发生大量寻呼机（BP机）爆炸事件。黎巴嫩真主党第一时间在其Telegram频道上发布消息称，爆炸发生在当地时间下午3时30分左右，影响了真主党各机构的“工作人员”，有“大量”人受伤。截至18日16时，以色列时报援引黎巴嫩公共卫生部门数据称，爆炸造成11人死亡，约4000人受伤，其中约500人双目失明。

基于本事件最初被多方报道为网络攻击触发的事件，为梳理实际情况，安天组成了由安天CERT、战略情报中心、无线安全技术研发组的混合分析团队进行如下分析。经综合研判，我们初步分析认为这是一起基于供应链（含配送物流）侧，将爆炸物和通讯设备相结合，利用远程信号激活控制电路，实现批量触发爆炸的严重事件。整体研判分析过程如下：

2 事件影响范围

根据媒体和网络信息，爆炸主要发生在黎巴嫩真主党势力强大的地区，特别是贝鲁特南部郊区和贝卡地区，导致此次爆炸事件发生的原因是使用特定品牌型号的寻呼机，根据目前采集信息来看包括了Gold Apollo Pager AP-900 GP和AR-924等型号，上述型号为中国台湾地区金阿波罗公司品牌的寻呼机。但也有未充分验证的消息说爆炸寻呼机也包括Motorola LX2、Teletrim等品牌。此次发生爆炸的通讯设备是在手机普及时代已被绝大多数人所弃用的寻呼机。但由于寻呼机有作为纯信号接受设备，不发射信号，难以被定位的优势。因此在地缘安全形势复杂的黎巴嫩，被黎巴嫩真主党成员以及黎政府重要岗位人员大量使用。网络信源称，真主党向金阿波罗公司订购了3,000多台寻呼机，分发给黎巴嫩各地的成员，以及伊朗和叙利亚的真主党盟友手中。事件发生后，真主党证实其大量成员受伤，另据伊朗国家媒体IRNA证实，伊朗驻黎巴嫩大使穆杰塔巴·阿马尼在寻呼机爆炸事件中受伤。

图2-1 scmp提供的Pager explosion地图

电子监控技术在以色列对黎巴嫩的袭击中发挥着重要作用。以色列国防军此前表示，以色列在真主党活动区域安装了监控摄像头和遥感系统，并定期派遣无人侦察机越过黎以边界监视真主党。此外，据消息透露，根据手机定位数据，以色列空袭行动已精准定点清除了数名真主党高级指挥官。因而，从2024年2月开始，真主党下令放弃使用手机等设备以避免以色列和美国间谍软件的渗透，采用技术含量更低的老式通讯手段，包括寻呼机和暗语口头传递等。可以判断，此次爆炸针对特定型号寻呼机发送特定信息编码，明显是一次主要针对黎巴嫩真主党的目标人群，通过供应链预置和网络攻击实现的定向攻击活动。

多年以来，以色列与黎巴嫩持续发生军事冲突，就在爆炸发生的几个小时前，以色列安全机构表示，挫败了真主党企图使用可控远程引爆的爆炸装置暗杀一名前以色列高级官员的行动。黎巴嫩记者、《大西洋月刊》特约撰稿人金·加塔斯17日在接受CNN采访时称，“这显然是以色列针对真主党特工的一次有针对性的袭击”，袭击目的可能有三种：一是显示情报掌控能力，二是进行威慑迫使真主党屈服，三是可能作为对黎发动大规模袭击的前奏，先制造真主党内部混乱。

3 寻呼机爆炸原因猜测

根据现场残骸照片，发生爆炸的寻呼机指向中国台湾金阿波罗公司（Gold Apollo）生产的AP-900 GP、AR-924两款寻呼机产品。但金阿波罗公司18日发布消息称，发生爆炸的寻呼机是由该公司品牌授权的一家欧洲代理商匈牙利BAC·CONSULTING·KFT公司制造的。3年前与这家欧洲代理商建立合作关系。整体上我们倾向即使寻呼机由BAC·CONSULTING·KFT制造，其整个工艺和规格应与金阿波罗公司同构，可以视为代工贴牌产品，在其机理上不应有较大差异。

图 3‑1 寻呼机相关图片

事件相关的寻呼机型号及参数如下表所示：

表 3‑1 AP-900寻呼机参数

产品外观

产品型号

AP-900  

频率范围

UHF 450~470 MHz

VHF 135~174 MHz

寻呼门限

1200bps-7μV/M

2400bps-9μV/M

512bps-5μV/M

POCSAG码速率

512 / 1200 / 2400bps

频道间隔

12.5KHz,   25KHz

编码格式

POCSAG

干扰抑制

40dB

警报音强度

87db @ 10 cm

电文代码

8

电池类型与数量

AAA碱性电池，随产品包含1块电池

尺寸

80.7毫米（长）55.4毫米（宽）20毫米（高）

重量

49.6克

表 3‑2 AR-924寻呼机参数

产品外观

产品型号

AR-924

频率范围

UHF: 450~470MHz

寻呼门限

512bps:-110dBm

1200bps:-108dBm

2400bps:-106dBm

POCSAG码速率

512/1200/2400bps for POCSAG

频道间隔

25KHz

编码格式

POCSAG

干扰抑制

>40dB

警报音强度

未知

电文代码

8, Frame independent

电池类型与数量

锂电池，最长可使用85天，电池充满电2.5小时，USB-C充电，保护电路模块（PCM）技术

尺寸

73（长）50（宽）27（高）毫米

重量

95克（含电池）

4 寻呼机工作过程

寻呼机是一种无线通讯设备，主要用于接收短消息或通知。它在发送端和接收端之间通过无线电信号传输信息，广泛应用于需要即时通信的场合，如医疗、服务业、紧急救援等。

寻呼系统由发送端（寻呼中心/基站）、寻呼发射机、控制系统、传输介质、接收端（寻呼机）组成，其工作过程如下图所示。

图4‑1 寻呼系统工作原理图

寻呼系统工作时，操作员首先通过寻呼机向控制站发送消息，并指定目标寻呼机的号码或地址，控制站对发送信息进行调制、编码后通过基站发送。寻呼机收到基站信号后，对信号进行解调、解码，判断自身号码或地址是否与消息中的一致，若一致，则向用户发出提示并显示消息内容。

5 爆炸物分析

本事件的初始报道中，不少描述为以色列通过网络攻击入侵寻呼机，通过让电池升温方式导致爆炸。根据后续综合信息分析和技术分析，明显可以认为相关报道不符合实际情况。

5.1 电池能量分析

以AP-900 GP使用的AAA碱性电池为例，可以计算其储存的总能量。

容量：AAA碱性电池的典型容量约为1000毫安时（mAh）

电压：标称电压为1.5伏特（V）

电池储存的总能量可以通过以下公式计算：能量（瓦特时）=电压（伏特）×容量（安时），将容量从毫安时转换为安时：1000 mAh=1 Ah，计算总能量：能量=1.5 V×1 Ah=1.5瓦特时（Wh），将能量转换为焦耳（J）：1瓦特时等于3600焦耳，能量（焦耳）=1.5 Wh×3600 J/Wh=5400 J。电池的总能量储存约为5400焦耳。

然而，爆炸物的威力不在于总能量，而在于能量的释放速率，1kg TNT爆炸放出的总能量，不及1kg优质煤完全燃烧放出的总能量，但TNT等炸药能在数百万分之一秒的时间内释放出所有爆炸能量，这是爆炸物有着巨大破坏力等根本来源。无论是碱性电池或锂电池，都不具备瞬间释放的机理条件。因此从现场伤亡的情况看，电池短路即使引起起火，释放能量的速率也远不足以造成这样程度的杀伤威力。完全可以肯定爆炸是由高爆物产生的。

5.2 爆炸装药型号信息与猜测

从能量释放速率角度分析，明显均不可能达到目前已有信息中的视频、文字信息中的爆炸后果。目前技术专家已经普遍认为，根据强度和速度判断爆炸显然是由一种爆炸物引起的。从具体火炸药类型看，必然不是黑火药、烟火剂等一般爆炸物，只能是猛炸药。而事件中的猛炸药要稳定（寻呼机运输装卸过程中必然要稳定），又要容易起爆，在体积小的同时威力还要足够，雷酸银（雷银）等高感度起爆药，以及一般民间自制的TATP等不稳定过氧化物均不太可能，TNT等需要较多量起爆药才能起爆的不易起爆芳香族硝基化合物可能性也不大，相对容易起爆，威力（猛度）又大的PETN（季戊四醇四硝酸酯，戊四硝酯，又称太安，猛度高于TNT）等硝酸酯类炸药可能性比较大。整体来看，寻呼机本身在事件中所起到的是遥控触发器加爆炸物承载容器的作用。目前网络信息多半推断为PETN（季戊四醇四硝酸酯），关于爆炸装药在电池内部还是在寻呼机内部，目前信息尚不足以支撑判断，分析小组整体倾向爆炸装药在电池内部，这亦可解释出现目前未确定信源反馈的其他电子设备爆炸情况，是由于将带有爆炸物的电池装入其他电器的后果，但其他信息则目前难以判断。

6 寻呼机触发爆炸原理分析

从目前已发生爆炸的两款寻呼机型号分别为，Gold Apollo公司型号为AP-900 GP、AR-924的两款寻呼机产品，据BBC报道及一些新闻报道显示，爆炸是在寻呼机使用者在收到一串“字母数字”短信后发生爆炸，为此可推断，该设备在供应链环节被植入“爆炸物”，并对寻呼机触发机制进行了重新编码或植入引爆用传感器。对于第一种推断，我们推测该设备需要在供应链中进行两个步骤的操作，第一个步骤为对寻呼机设备进行编程配置，用户设备触发。第二个步骤为在寻呼机设备中预置爆炸物结合装置电路，改造引爆条件电路。对于第二种推断，该设备需要在供应链中预置爆炸物与写有引爆逻辑的传感器，并调整电路连接。我们分析了相关产品的资料包括软件编程设置信息。绘制了多种路径的触发原理，但避免信息滥用，在公开版分析报告中屏蔽具体触发过程分析和图示等内容，仅在报送主管部门版本中保留了相关信息。

7 供应链预置分析

此次爆炸，外界普遍认为是基于供应链侧的通讯设备预置爆炸物。整体倾向预制过程应为仓储和物流环节，而非生产制造环节。如事件发生后，爱德华·斯诺登在X上发文称（见下图），该事件使他想起曾在2013年曝光大规模监控事件时披露，美国国家安全局（NSA）如何在机场拦截运往目标国家的计算机网络设备，安装植入物，然后重新包装发往目标，以渗透目标网络。斯诺登称，“十年过去了，（在此期间）运输安全从未得到改善”，暗指黎巴嫩寻呼机事件与美以情报机构的供应链预置不无关系。

图7-1 斯诺登张贴图片为NSA人员劫持配送中的路由设备替换固件照片

美国国家安全局（NSA）前情报分析员戴维·肯尼迪称，从网上分享的视频中看到的爆炸似乎“规模太大，不可能是远程直接黑客攻击，导致寻呼机超载并引起锂电池爆炸”，“更有可能的是，以色列在真主党中安插了人员，寻呼机中可能植入了炸药，只有收到特定信息时才会爆炸”。肯尼迪认为，“实现这一目标所需的复杂性令人难以置信，需要许多不同的情报组件和执行。人力情报（HUMINT）是实现这一目标的主要方法，同时拦截供应链以对寻呼机进行修改。”

特别需要关注排查分析的是如果确如金阿波罗公司声明所言，相关寻呼机由欧洲BAC·CONSULTING·KFT代工生产。这其中有令人费解之处，由于中国台湾地区的人力成本较低，而欧洲人力成本较高，寻呼机又是一种落后技术产品，而相关欧洲厂商提出将制造转移到欧洲本土，是不太寻常的事情，这是否实际是情报机构前置布局，仍需要深度观察。

8 结论

基于电信设备进行遥控爆炸暗杀，并非罕见事件。国内外多起治安案件、以及国际大量恐怖主义案件中，都曾有寻呼机或手机出现，但本事件鲜明的差异为：

1) 本事件寻呼机同时具有触发器和爆炸容器双重属性；历史事件多数以寻呼机作为触发器，但并不作为爆炸物容器。

2) 本事件寻呼机有可能实现了基于特定信号触发，以实现统一触发；多数事件由寻呼机收到信号即触发，而非需要特定信号触发。

3) 本事件是对特定群体的批量定向攻击；而历史事件或者为针对个体目标的定向攻击，或者针对群体目标的无差别攻击。

综上所有分析，我们研判该事件整体上是一起基于供应链侧作业，将爆炸物和通讯设备相结合，利用远程信号激活控制机理，实现批量触发爆炸的严重地缘安全事件，是组合了供应链预置、电磁频谱攻击、情报搜集、人力作业等在内复杂杀伤链过程，是精心策划的跨越物理域、网空和信号频谱域与认知域的联合作业。从作业过程来看，网络攻击作业在其中可能扮演了持续情报采集作用，如获取相关物流信息、摸排目标组织运行规律等，包括最终触发信号如果不是由电子战设备所释放，则也不排除其寻呼台设备遭遇网络入侵的情况。但整体来看，本事件的主导因素依然是物理、传统电磁频谱和人力作业。不应过度夸大网络攻击在其中的作用，而应基于客观严谨的分析，深入总结事件的规律性因素，包括：

1) 网络装备的主导性在平时，物理装备的主导性在战时，依然是目前的基础战争逻辑。

2) 对于低网络依赖的主体很难依赖网络作业达成关键效果，但集合物理、电磁、和认知频谱可能形成压倒性效能。

3) 试图通过逆信息化的方式来实现自身安全可能将带来更大的安全被动。

面对这种复合作业方式，让我们必须走出窄带网络安全视角，从总体国家安全视角，以大网络安全看待未来的斗争与挑战。强化人防、物防、技防结合，将安全要素贯穿全生命周期中。

中东烽火，更让我们看到国家强大方能安宁。

参考链接

1) The Mystery of Hezbollah’s Deadly Exploding Pagers

https://www.wired.com/story/pager-explosion-hezbollah/

2) At least 3 types of pagers were planted with bombs

https://twitter.com/clashreport/status/1836105986831966483

3) Hezbollah blames Israel after pager explosions kill nine and injure thousands in Lebanon

https://www.bbc.co.uk/news/articles/cd7xnelvpepo

4) Product Family-Alpha Gold

https://americanmessaging.net/wp-content/uploads/2019/10/unication_gold_pps.pdf

5) Alphanumeric Pager (AP-900)

https://www.gapollo.com.tw/product/ap-900/

6) Gold Apollo Rugged Pager AR924- Apollo systems

https://web.archive.org/web/20240917160632/https://apollosystemshk.com/product/42.html

7) Rugged Pager AR924 - GOLD APOLLO

https://web.archive.org/web/20240917152704/https://www.gapollo.com.tw/rugged-pager-ar924/

8) scmp   pager explosion

https://www.scmp.com/news/world/middle-east/article/3278939/hezbollah-blames-israel-deadly-pager-blasts-lebanon-how-was-it-done

当前，以大模型为代表的人工智能技术持续快速发展、应用不断泛化和深化，为社会生产生活充分注入前所未有的新动能、新活力，激发全球各国广泛关注。然而，正如双刃剑之喻，人工智能在加快应用的同时，面临的安全挑战和风险也与日俱增，其深远影响或波及我国经济的繁荣基石、社会的和谐稳定乃至民众福祉。在此背景下，亟需构筑坚实的人工智能安全治理体系，妥善应对人工智能安全风险，保障人工智能安全、快速、有序发展。

遵循习近平总书记提出的“坚持以人为本、智能向善”的理念和宗旨，积极响应并贯彻落实《全球人工智能治理倡议》，全国网络安全标准化技术委员会制定《人工智能安全治理框架》（以下简称“《框架》”），于2024年全国网络安全宣传周正式发布。《框架》不仅标志着我国在人工智能安全治理领域取得了标志性进展，更为社会各界提供了指导蓝本和参考依据，有力促进了人工智能安全治理工作的持续深化与优化。聚焦于构建全方位、全链条的治理体系，旨在推动形成覆盖人工智能发展全周期、全要素的治理格局，是推动人工智能健康发展和规范应用的关键依据。

一、制定《人工智能安全治理框架》的背景认识

近年来，我国高度重视人工智能治理工作，习近平总书记在“一带一路”国际高峰合作论坛上亲自宣布提出《全球人工智能治理倡议》，围绕人工智能发展、安全、治理三方面系统阐述了人工智能治理中国方案，指出人工智能治理攸关全人类命运，强调要坚持发展和安全并重的原则看待人工智能。《框架》的发布为社会各界贯彻落实《全球人工智能治理倡议》提供了坚实的支撑，同时也成为推动人工智能安全治理工作向更深层次、更广泛领域迈进的关键力量。

《框架》系统总结并分享了我国人工智能安全治理工作中取得的研究成果和经验，为国内外各界提供了深入学习、准确理解及高效识别人工智能安全风险的详尽指南，为构建多方协同的全链条安全治理机制提供助力，为全球人工智能安全治理工作贡献中国智慧。《框架》的公开发布再次凸显了我国一直以来作为全球人工智能大国，以及人工智能安全治理引领者的负责任态度与担当。

二、《人工智能安全治理框架》内容理解

《框架》主要包含四部分内容，一是治理原则，二是安全风险，三是技术应对与综合治理措施，四是安全开发应用指引。

《框架》首先阐述了人工智能安全治理的理念和原则，提出了包容审慎、确保安全，风险导向、敏捷治理，技管结合、协同应对，开放合作、共治共享四项原则，为开展人工智能安全治理工作开展提供整体思路。

按照风险管理思路，《框架》紧密结合人工智能特性，系统梳理了人工智能重大安全风险，为有效识别人工智能安全风险提供了基本依据。一是包括偏见歧视、训练数据被投毒、数据泄露等由人工智能自身技术缺陷和不足带来的内生安全风险，二是包括被用于违法犯罪活动、加剧信息茧房、制作虚假新闻等由人工智能被不当使用、滥用、恶意利用带来的应用安全风险。

针对不同类型安全风险，《框架》从技术、管理两方面提出防范应对措施，为应对人工智能安全风险提供整体指导。针对模型、数据、系统等方面的内生安全风险，提出安全开发运维、输出内容标识等技术应对措施，并推动负责任研发应用体系、供应链安全保障等综合治理措施。针对网络、现实、认知、伦理等方面的应用安全风险，提出安全防护机制、最终用途追溯等技术应对措施，并实施分类分级管理、人才培养等综合治理措施。

同时，《框架》还提出了人工智能安全开发应用的指引，为不同主体开展人工智能相关活动给出了具体的安全指引规范，包括模型算法研发者如何进行人工智能安全开发、服务提供者如何安全提供人工智能服务、重点领域使用者以及社会公众如何安全应用人工智能。

三、以标准工作促进《框架》有效落地

《框架》的发布为推动各方就人工智能安全治理达成共识、协调一致起到了促进作用。加强人工智能安全治理，需要社会各方的共同努力、紧密协作。在标准工作方面，积极推动人工智能安全标准工作，通过标准促进《框架》的有效落地实施。

一是加快构建并持续完善人工智能安全标准体系，统筹规划、合理布局，通过标准凝聚各方在人工智能安全方面的共识，助力构建开放、公正、有效的治理机制。

二是大力推动重点急需标准研制工作，包括生成式人工智能服务安全基本要求、训练数据安全规范、数据标注安全规范，以及人工智能生成合成内容标识方法等重点网络安全国家标准。

三是聚焦行业领域安全问题开展标准化工作探索，在金融、能源、电信、交通、民生等行业领域，组织相关单位开展标准化研究，防范化解人工智能安全风险，保障人工智能的应用安全。

四是加强《框架》及人工智能安全标准宣贯，面向网络安全企业、科研机构、地方主管部门，开展人工智能安全标准宣讲，同时利用新媒体、新渠道加强标准宣贯，推动标准落地实施。

文章来源自：全国网安标委

9月12-13日，由国家信息中心《信息安全研究》杂志社和广州市政务服务和数据管理局主办的关键信息基础设施安全防护专家认证培训（第4期）在广东省广州市顺利召开。本次培训聚焦互联网政务应用安全，邀请政府有关部门和行业专家学者等嘉宾代表围绕数字政府建设、数据安全治理、关保攻防安全实践等议题内容展开交流，共同探索互联网政务应用的安全发展之道。

梆梆安全作为国内移动安全领域代表企业受邀参加本次会议，解决方案总监张廷伦作《互联网移动政务应用面临的新型攻击与防护实践》的主题分享，聚焦移动政务应用所面临的攻击趋势与风险挑战，从人脸识别绕过、API接口攻击、业务渠道攻击等多个热点场景进行深入剖析，并提出端到端&全渠道的互联网移动政务应用安全防护思路，实现动静结合联动协同防御，不同渠道实时联防联控，与在场嘉宾分享先进技术理念与安全场景最佳实践。

随着政务数字化建设的不断深化，各类政务服务应用应运而生。从应用形态上，已由最初的门户网站拓展到了APP、小程序、公众号等多元化的新应用形态，现在又逐步向“超级APP”的方向发展。与此同时，针对移动端的新型网络攻击层出不穷，人脸识别绕过、业务欺诈、数据泄露、渠道洗钱、盗版仿冒等安全风险随之而来，安全威胁类型也趋于多样化，包括定制ROM、云手机、注入攻击、抓包篡改等，传统WAF、API安全网关等安全机制已很难有效应对，给电子政务行业的安全防护与合规建设带来极大挑战。

监管要求持续加码

互联网移动政务应用安全建设加速

电子政务系统的安全保障对于政府的有效运作至关重要，由于政府部门在处理公共事务时涉及大量的机密和敏感信息，这些信息的安全直接关系到国家的安全、社会的稳定以及公民的隐私保护。近年来，国家在政务服务领域密集出台多项网络安全法律法规和政策文件，以对互联网政务应用进行建设指导。

2023年6月，国家信息中心牵头编制的GB/T 35282—2023《信息安全技术 电子政务移动办公系统安全技术规范》正式发布，聚焦政务办公和政务服务两大移动应用场景，重点解决政务移动办公终端、通信、接入、应用、数据等方面安全问题。标准中对政务服务移动应用管理和安全监测方面的安全技术要求如下：

1. 移动应用管理

·应支持对政务APP进行安全防护和加固，防止受到恶意程序的破坏、破解和篡改； 

·应支持对政务APP进行安全检测和签名，并通过应用商店或授权渠道统一提供下载。

2. 安全监测

·应支持对移动终端的网络攻击行为进行监测和告警，包括但不限于模拟器攻击、框架攻击、位置欺诈、域名欺诈等； 

·应支持对移动政务应用的异常访问和操作行为进行监测和告警，包括但不限于账户登录异常、数据下载异常、可疑网络访问、操作异常等；

·应支持对移动政务应用程序和服务端存在的安全漏洞和脆弱性进行持续监测。 

2024年5月，中央网信办、中央编办、工业和信息化部、公安部等四部门联合发布《互联网政务应用安全管理规定》，为保障互联网政务应用安全稳定运行和数据安全，强调了针对互联网政务应用的安全监测能力建设要求：

·各地区、各部门应当对本地区、本行业机关事业单位互联网政务应用开展日常监测和安全检查。

·机关事业单位应当建立完善互联网政务应用安全监测能力，实时监测互联网政务应用运行状态和网络安全事件情况。

构建端到端全渠道防御体系

梆梆安全护航政务服务高质量发展

通过建设端到端全渠道的安全联动机制，实现前后端业务风险的联动机制保障未来业务安全运行，监测人脸绕过、数据泄漏、业务欺诈等黑灰产攻击，并进行此类安全事件处置、溯源，确保互联网移动政务应用安全、合规运营。

1.静态防御措施全渠道覆盖

由于线上渠道众多，且部分API接口存在多渠道API接口共用，攻击者在发起攻击时，往往会选择防护能力最弱的渠道发起攻击，故在做静态防御措施时需要针对于全渠道进行静态防御。

2.动静结合&端到端联动

动静结合的安全防御策略是一种使用广泛的安全防御思路，动态安全防御机制需要与现有的静态防御机制进行联动及协同防御。端到端的全渠道API安全防御思路中，动态防御机制需要能够：

·实时感知客户端风险：加固破解、动态攻击等，将前端风险感知与后端流量感知结合，实现端到端的安全协同；

·前端风险感知能力亦需要纳入当前的静态保护范围，防止被逆向分析。

3.实时防御&全渠道联动

针对前端风险的防御机制需做到实时防御，同时防御措施需要多样化，需覆盖不同业务渠道，不同渠道安全防御能力也能联防联控，如针对APP的攻击识别情报能够同步对轻应用侧协同。

方案已在包括国家多个省、市级互联网移动政务应用安全建设中落地应用，满足电子渠道攻击溯源、业务违规联动监测、便民缴费业务反洗钱、电子渠道零信任安全体系、敏感数据防泄漏等移动政务终端场景安全建设需求，合理性及适用性得到充分验证与认可，切实保障政务移动办公、公众政务服务等移动业务的安全运行，为数字政府服务的安全稳健发展提供有力支持。

随着数字技术的蓬勃发展，使得移动政务应用成为各级政府单位高效办公、服务公众的重要渠道，其面临的安全风险和挑战愈发严峻，国家也对提高互联网政务应用安全防护水平，保障和促进互联网政务应用安全稳定运行提出明确要求，数字政府安全建设任重而道远。未来，梆梆安全将继续发挥自身在网络安全中的研究积累和技术创新，不断打磨、优化安全产品与服务，为政务应用的安全运转和顺利运行提供安全防御支撑，为我国数字政府服务高质量发展保驾护航。

黑客瞄准 Oracle WebLogic 服务器，用一种名为“Hadooken”的新 Linux 恶意软件感染它们，该恶意软件会启动一个加密矿工和一个分布式拒绝服务 (DDoS) 攻击工具。

获得的访问权限还可能用于对 Windows 系统执行勒索软件攻击。容器安全解决方案公司 Aqua Security 的研究人员在蜜罐上观察到了这种攻击，威胁者由于凭证薄弱而攻破了蜜罐。

Oracle WebLogic Server 是一款企业级 Java EE 应用服务器，用于构建、部署和管理大规模分布式应用程序。该产品常用于银行和金融服务、电子商务、电信、政府组织和公共服务。

攻击者之所以将 WebLogic 视为目标，是因为它在业务关键型环境中非常受欢迎，这些环境通常拥有丰富的处理资源，是加密货币挖矿和 DDoS 攻击的理想选择。

Hadooken 猛烈攻击

一旦攻击者破坏环境并获得足够的权限，他们就会下载名为“c”的 shell 脚本和名为“y”的 Python 脚本。

研究人员表示，这两个脚本都会释放 Hadooken，但 shell 代码还会尝试在各个目录中查找 SSH 数据，并利用这些信息攻击已知服务器。此外，“c”还会在网络上横向移动以分发 Hadooken。

在已知主机上搜索 SSH 密钥

反过来，Hadooken 会投放并执行加密货币挖矿程序和 Tsunami 恶意软件，然后设置多个 cron 作业，这些作业的名称和有效负载执行频率都是随机的。

Tsunami 是一种 Linux DDoS 僵尸网络恶意软件，它通过对弱密码进行暴力攻击来感染易受攻击的 SSH 服务器。

攻击者之前曾使用 Tsunami 对受感染的服务器发起 DDoS 攻击和远程控制，而它再次被发现与 Monero 矿工一起部署。

Aqua Security 研究人员强调，Hadooken 将恶意服务重命名为“-bash”或“-java”，以模仿合法进程并与正常操作混合。

完成此过程后，系统日志将被清除以隐藏恶意活动的迹象，从而使发现和取证分析变得更加困难。

对 Hadooken 二进制文件的静态分析揭示了与 RHOMBUS 和 NoEscape 勒索软件家族的联系，但在观察到的攻击中没有部署勒索软件模块。

研究人员推测，在某些条件下，例如在操作员进行手动检查后，服务器访问权限可能会被用来部署勒索软件。未来版本也有可能引入此功能。

Hadooken 攻击概述

此外，在提供 Hadooken (89.185.85[.]102) 的其中一台服务器上，研究人员发现了一个 PowerShell 脚本，该脚本下载了适用于 Windows 的 Mallox 勒索软件。

有报道称，该 IP 地址用于传播勒索软件，因此我们可以假设威胁者不仅针对 Windows 端点执行勒索软件攻击，还针对 Linux 服务器，以攻击大型组织经常使用的软件来启动后门和加密矿工 - Aqua Security

根据研究人员使用 Shodan 搜索引擎对联网设备进行搜索的结果显示，公共网络上已有超过 230,000 台 Weblogic 服务器。

Check Point 的 CloudGuard 专为现代首席信息安全官打造，因其从代码到云端的统一云基础设施保护而广受认可 

2024 年 9 月 ，领先的云端 AI 解决方案网络安全平台提供商 Check Point 软件技术有限公司（纳斯达克股票代码：CHKP）在最新的《GigaOm 安全策略即代码探测报告》中被评为领导者。作为保护云环境的 Infinity 平台的一部分，Check Point CloudGuard 提供了强大的代码安全防护功能，有助于企业抵御不断演变的网络威胁。

Check Point 软件技术公司云安全副总裁 Paul Barbosa 表示：“Check Point 深知确保云端数字资产的安全性和完整性面临着一系列挑战。正因如此，我们很高兴地宣布，我们在 GigaOm 的安全策略即代码报告中被评为领导者。这一殊荣是对Check Point创新型 CloudGuard 解决方案的高度肯定。该解决方案支持用户将安全防护无缝融入开发流程中，确保从一开始就提供强大保护。”

随着企业在日常运营中越来越依赖高级软件，确保这些代码安全对于保护敏感信息和确保无缝运营而言变得至关重要。云从业者需要可靠的安全防护解决方案来满足这一需求，例如云原生应用保护平台 (CNAPP) 的代码安全防护。Check Point 的《2024 年云安全报告》显示，只有 21% 的企业注重预防措施，以防患于未然，这充分表明当前云安全策略方面存在着明显差距。通过采用“安全策略即代码”，公司可以优先采取主动安全措施，简化安全管理，减少错误，并助力团队在开发初期快速消除各种威胁，从而确保云环境安全。

GigaOm 分析师 Whit Walters 表示：“CloudGuard 利用了 Check Point 深厚的网络安全专业知识，并无缝集成了 Infinity 平台，可为不同环境提供高级威胁防御和安全管理功能。CloudGuard 非常适合在复杂的多云或混合环境中开展业务运维的用户，尤其是有着严格的 DevOps 要求的企业。”

CloudGuard 代码安全的其他功能包括：

· 跨 CI/CD 流水线的集成式安全防护：具有不受语言限制的无缝安全扫描功能，可及早检测并解决漏洞和暴露密钥问题，从而降低生产安全风险

· 自动化 DevSecOps 实践：实施统一的安全策略并满足法规遵从要求，同时优化安全运营，与 DevOps 无缝集成，在不影响安全性的前提下实现快速开发

· 高级威胁检测和防御：对漏洞、恶意软件及薄弱安全防护实践进行可靠检测，降低发生代价高昂的安全事件的可能性

· 可行修复和持续改进：针对安全问题提供精确的修复措施，支持开发人员迅速处理漏洞并持续改进其安全防护实践

了解 Check Point CloudGuard 如何帮助一家欧洲顶级投资银行保护其开发环境。通过将安全防护贯穿于开发生命周期的每个阶段，该解决方案帮助该银行保护了代码和基础设施，发现了漏洞，并加强了其整体安全防护。

请点击此处，免费阅读《GigaOm 安全策略即代码探测报告》。

9月9日至9月15日，2024年国家网络安全宣传周举办，今年网安周继续以“网络安全为人民，网络安全靠人民”为主题。

9月10日，梆梆安全党支部积极参与到由海淀区委网信办在阳春新纪元社区举办的“网络安全宣传进社区”活动中，一同将网络安全知识送到社区居民的家门口，为社区居民筑起了一道坚实的数字防护网，让网络安全意识延伸到社区的每一个角落，走进每一位居民的心中。

梆梆安全党支部青年先锋队走进布满五彩斑斓的宣传海报、生动有趣的图片展览的活动现场，在社区广场中布置了梆梆安全互动展台，展开了一场内容丰富、贴近生活的宣传和问答。

党员们向居民发放网络安全的宣传册，用生动的案例引得围观居民连连点头，纷纷表示要警惕这类网络陷阱，让参与者不仅可以学习到如何保护个人信息不被泄露，还能了解到最新的网络诈骗手法，提高警惕。

青年党员程显龙通过生动的案例讲解，让居民对电信诈骗有了更深刻的认识。程显龙说：“随着移动互联网的普及，手机安全问题日益突出。我们呼吁大家要时刻保持警惕，不要随意下载不明来源的应用程序，以免遭受病毒攻击或个人信息泄露。”

梆梆安全党支部此次走进社区宣讲活动，通过展位展示与面对面的交流，让社区居民感受到了海淀驻区企业的温度和责任，让我们通过网络安全宣传周这个良好契机，能够将网络安全知识，普及到每一个家庭，每一个个体。梆梆安全党支部积极履行社会责任，用心用智讲述网安故事，也希望通过本次活动的宣讲，让网络安全意识深入人心，为形成全社会共同参与的良好氛围献一份力。

下一步，梆梆安全党支部将会继续以多种形式参与、举办网络安全宣传进社区、进学校、进园区等系列活动，让网络安全愈加深入人心，共同营造稳定、健康、和谐的网络环境，共筑数字防护网，守护好我们的网络安全家园！

珠江水岸，南海之门。2024年国家网络安全宣传周于9月9日在广州南沙隆重举行。

网络安全为人民、网络安全靠人民。2024网安周开幕式、系列论坛、座谈会、主题日一场场引人注目、影响广泛的活动陆续展开，网络安全领域专家学者、从业人士以及致力于网安事业的高校师生、社会大众等齐聚一堂，共同展现出一幅全民行动、共同筑牢网络安全防线的生动画面。

个人信息保护分论坛

9月10日上午

梆梆安全 · 陈 露

9月10日上午，由中央网信办网络数据管理局指导，中国互联网协会主办的“个人信息保护分论坛”在广州南沙举行。政府部门、行业组织、互联网企业等相关单位共聚一堂，探讨当下个人信息保护的实践路径。广东省委网信办一级巡视员许华，中央网信办网络数据管理局数据安全监管处副处长王兆兴出席论坛并致辞。

梆梆安全陈露受邀在论坛上作主题为《监管驱动下的移动应用隐私合规建设》演讲，聚焦移动应用隐私合规监管态势，围绕高频问题剖析监管驱动下的移动应用隐私合规建设思路。

信息化时代，APP覆盖每一个人工作生活的方方面面，移动应用安全作为网络安全的重要组成部分，与人民群众的利益息息相关。随着国家个人信息保护体系不断完善，监管部门对个人信息保护的治理行动持续进行，移动应用安全治理也越来越受到应用开发者、运营者、使用者、包括监管者的高度重视。APP违规收集个人信息，强制、频繁、过度索取权限等问题依然是当下出现的高频问题，梆梆安全通过个人信息保护策略建设、合规融入开发阶段、移动应用隐私合规评估等动作助力个人信息保护。

网络安全博览会

9月11日上午

梆梆安全 · 刘 洋

9月11日上午，2024年国家网络安全宣传周网络安全博览会暨网络安全产品和服务供需洽谈会持续进行中，博览会作为国家网络安全宣传周重要活动之一，聚焦网络安全高质量发展主线，通过开展网络安全行业展示、业务洽谈、网安人才现场招聘，群众互动体验等多种形式，打造集行业交流、人才对接、科普宣传于一体的“新型博览会”。

梆梆安全刘洋作主题为《移动应用端到端全渠道的安全防护体系实践》演讲，针对当前移动端应用安全风险及移动应用安全事件提出的移动应用全渠道的整体安全建设防护体系，对移动应用端的数据安全和漏洞风险进行解析同时对移动应用端攻防对抗进行全渠道安全建设体系，聚焦移动应用的运营安全，通过全渠道的安全防护手段，保障移动应用的安全运营。

在2024年国家网络安全宣传周系列论坛、博览会等重要活动中，梆梆安全资深安全专家从多元视角与观众深入分享，吸引了众多行业监管、移动应用开发者、高校师生、媒体等驻足交流。未来，梆梆安全会继续深耕移动应用安全领域，助力大众增强网络安全防范意识，积极践行维护网络安全使命，合力共建网络强国。

9月10日，国内安全行业知名第三方权威机构——GoUpSec 正式发布2024年中国网络安全行业《邮件安全产品及服务购买决策参考》，从产品功能、应用行业、成功案例、安全策略等维度对各厂商邮件安全产品及服务进行调研了解，旨在帮助 CISO 拨开营销迷雾，提高市场能见度，全面了解潜在邮件安全战略合作合作伙伴。凭借在邮件安全领域深耕多年的防护技术与综合解决方案能力，梆梆安全被评为邮件安全“酷厂商”。

本次报告共收录7家国内网络安全厂商，共计11个安全产品及服务，具体成功实施案例17例，适用于政府、医疗、金融、互联网、国央企、能源、制造业、交通、教育等重点行业。梆梆安全自主研发的移动应用安全加固平台、应用安全测评平台、移动应用安全监测平台，凭借对邮件移动端的安全保障能力及差异化技术优势，经严格资质审核后成功入选，标志着行业与用户对梆梆安全技术成果的认可，也表明梆梆安全是值得信赖的邮件安全产品和服务供应商之一。

电子邮件是政府和企业沟通的主要渠道之一，同时也是多年来网络攻击和实战攻防演习的首要目标和媒介。随着生成式AI技术的普及，RaaS等勒索软件运营模式的流行，深度伪造等新的攻击手段和技术工具快速迭代，新型邮件攻击技术的应用给邮件安全工作带来了严峻的挑战。与此同时，针对远程/混合办公、移动办公、BYOD的移动端漏洞利用、恶意软件投放和数据泄露等威胁事件也频繁发生。

作为业界率先实现基于移动应用的VMP虚拟化保护技术、建立系统化移动应用安全保护技术体系的安全厂商，梆梆安全针对邮件安全系统项目提出了“应用加固+基线检测+威胁感知”的全面解决方案。以安全加固增强基础防范，针对Android、iOS、鸿蒙等多版本应用使用静态防护和动态防护加固技术；以安全测试夯实基线检查，对移动应用上线前进行安全检测，全方位检测应用中存在的代码安全问题；以风险监测增强运营防范，通过移动应用威胁感知平台，发现移动应用运行过程中可能遭受到的攻击与威胁，保护用户个人隐私信息安全及数据安全。

梆梆安全在网络安全技术上积极探索，围绕移动安全、物联网安全、数据安全、内容安全、安全服务帮助用户制定网络安全建设规划，构筑覆盖全网络环境的新型信息安全立体纵深防御系统，大幅提升企业安全能力水平。未来，梆梆安全将继续聚焦移动业务场景和安全需求，深耕安全技术创新，推进科技成果转化与落地，致力于为客户提供更稳定、更高效的安全产品、解决方案和安全服务，为国家网络安全发展贡献梆梆力量。

Check Point 的最新威胁指数报告显示，RansomHub 继续位居榜首，Meow 勒索软件因其新型攻击手段和强大破坏力而风头渐起。

2024 年 9 月 ，领先的云端 AI 网络安全平台提供商 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）发布了其 2024 年 8 月《全球威胁指数》报告。该指数报告显示，勒索软件仍占主导地位，RansomHub 依然是头号勒索软件团伙。这一勒索软件即服务 (RaaS) 变体的前身是 Knight 勒索软件，自更名以来便快速蔓延，在全球范围内攻击了 210 多家受害者。与此同时，Meow 勒索软件风头渐起，攻击重点从文件加密转向在数据泄露市场上兜售被盗数据。

上月，RansomHub 巩固了其作为头号勒索软件威胁的地位。这种 RaaS 操作利用复杂的加密技术，针对 Windows、macOS、Linux 等系统，尤其是 VMware ESXi 环境展开猛烈攻击。

8 月份，Meow 勒索软件风头渐起，首次跻身主要勒索软件排行榜第二位。Meow 是已知 Conti 勒索软件的变体，现已将攻击重点从文件加密转向数据提取，并将其勒索网站转变为数据泄露市场。在这种模式下，被盗数据被兜售给出价最高者，这不同于传统的勒索软件敲诈策略。

Check Point 软件技术公司研究副总裁 Maya Horowitz 表示：“RansomHub 成为 8 月份的头号勒索软件威胁，这充分说明勒索软件即服务的复杂性与日俱增。各机构需要提高警惕。Meow 勒索软件的兴起凸显了向数据泄露市场的转变，即越来越多的被盗数据被兜售给第三方，而不仅仅是发布到网上，这是勒索软件运营组织的一种新型牟利方式。随着这些威胁持续演变，企业必须时刻保持警惕，采取主动安全防护措施，并不断加强防御，以有效应对日益复杂的攻击。”

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

FakeUpdates 是本月最猖獗的恶意软件，全球 8% 的机构受到波及，其次是 Androxgh0st 和 Phorpiex，分别影响了全球 5% 和 5% 的机构。 

1. ↔ FakeUpdates – FakeUpdates（又名 SocGholish）是一种使用 JavaScript 编写的下载程序。它会在启动有效载荷之前先将其写入磁盘。FakeUpdates 通过许多其他恶意软件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）引致进一步破坏。

2. ↔ Androxgh0st - Androxgh0st 是一个针对 Windows、Mac 及 Linux 平台的僵尸网络。在感染初始阶段，Androxgh0st 利用多个漏洞，特别是针对 PHPUnit、Laravel 框架和 Apache Web 服务器的漏洞。该恶意软件会窃取 Twilio 账户信息、SMTP 凭证、AWS 密钥等敏感信息，并利用 Laravel 文件收集所需信息。它有不同的变体，可扫描不同的信息。

3. ↑ Phorpiex - Phorpiex 是一种僵尸网络，因通过垃圾邮件攻击活动分发其他恶意软件家族并助长大规模性勒索攻击活动而广为人知。

最常被利用的漏洞  

1. ↔ HTTP 载荷命令行注入（CVE-2021-43936，CVE-2022-24086）– 现已发现一种 HTTP 载荷命令行注入漏洞。远程攻击者可以通过向受害者发送特制的请求来利用此漏洞。攻击者可通过该漏洞在目标计算机上执行任意代码。 

2. ↔ Zyxel ZyWALL 命令注入 (CVE-2023-28771) - 这是一种存在于 Zyxel ZyWALL 中的命令注入漏洞。远程攻击者可利用该漏洞在受影响系统上执行任意操作系统命令。

3. ↔ HTTP 标头远程代码执行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-1375）- HTTP 标头允许客户端和服务器传递带 HTTP 请求的其他信息。远程攻击者可能会使用存在漏洞的 HTTP 标头在受感染机器上运行任意代码。 

主要移动恶意软件

本月，Joker 位列最猖獗的移动恶意软件榜首，其次是 Anubis 和 Hydra。 

1. ↔ Joker – 一种存在于 Google Play 中的 Android 间谍软件，可窃取短消息、联系人列表及设备信息。此外，该恶意软件还能够在广告网站上偷偷地为受害者注册付费服务。

2. ↔ Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来，它已经具有一些额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。

3. ↑ Hydra – Hydra 是一种银行木马，可通过要求受害者启用高危权限来在每次入侵银行应用时窃取银行凭证。

主要勒索软件团伙 

这些数据基于从双重勒索勒索软件团伙运营的勒索软件“羞辱网站”（攻击者在这些网站上公布受害者信息）获得的洞察分析。本月，RansomHub 是最猖獗的勒索软件团伙，其攻击数量占已发布攻击的 15%，其次是 Meow 和 Lockbit3，分别占 9% 和 8%。

1. RansomHub – RansomHub 是一种勒索软件即服务 (RaaS) 操作，据称是已知 Knight 勒索软件的翻版。2024 年初，RansomHub 在地下网络犯罪论坛上初露锋芒，因其针对各种系统（包括 Windows、macOS、Linux，尤其是 VMware ESXi 环境）发起的破坏性攻击活动，以及采用的复杂加密方法而臭名昭著。

2. Meow - Meow 勒索软件是一种基于 Conti 勒索软件的变体，因能够加密受感染系统上的各种文件而广为人知。它会在文件名后添加“.MEOW”扩展名，然后留下一封名为“readme.txt”的勒索信，要求受害者通过电子邮件或 Telegram 联系攻击者，谈判赎金支付事宜。Meow 勒索软件通过各种向量传播，包括未受保护的 RDP 配置、垃圾电子邮件及恶意下载，并使用 ChaCha20 加密算法来锁定文件，不包括“.exe”和文本文件。

3. Lockbit3 – LockBit 是一种以 RaaS 模式运行的勒索软件，于 2019 年 9 月首次发现。它主要瞄准各个国家和地区的大型企业和政府机构。

往期回顾：

2024.9.2—2024.9.8安全动态周回顾

2024.8.26—2024.9.1安全动态周回顾

2024.8.19—2024.8.25安全动态周回顾

2024.8.12—2024.8.18安全动态周回顾

2024.8.5—2024.8.11安全动态周回顾

2024.7.29—2024.8.4安全动态周回顾

2024.7.22—2024.7.28安全动态周回顾