Kali Linux 2024.4 重磅发布，助力网络安全工作再升级

    近日，备受瞩目的 Kali Linux 2024.4 正式发布，带来了众多更新与亮点，为网络安全领域注入新动力。

    在工具方面，此次版本新增了 14 种工具。像 bloodyad 可用于 Active Directory 特权提升，助力挖掘权限相关安全风险；certi 能申请证书并发现模板，利于审计 ADCS 安全状况；chainsaw 可在 Windows 取证工件中快速搜索查找，服务于系统安全事件调查。还有 findomain 实现快速精准的域名识别，hexwalk 用于十六进制分析编辑等。这些工具与更新的库共同优化渗透测试流程，巩固了 Kali Linux 在安全专业人士心中的地位。

    从系统层面看，Python 3.12 成为默认解释器，以 pipx 替代 pip 安装第三方 Python 包，强化了环境隔离，保障应用管理的安全与高效。同时，Kali Linux 告别 i386 内核和镜像，跟随技术趋势聚焦 64 位架构。在 SSH 方面，虽 DSA 密钥被弃用，但通过 kali-tweaks 工具仍能保证对旧协议的兼容，方便连接旧版 SSH 服务器并挖掘潜在漏洞。

    针对 Raspberry Pi 爱好者，Kali Linux 支持从 Raspberry Pi Imager 软件定制，可预先配置用户名、Wi-Fi 凭证和 SSH 密钥等，提升使用体验。桌面环境升级到 GNOME 47，支持强调色定制且保持视觉效果统一，优化了视觉感受。

    Kali NetHunter 也迎来多重更新。Wifipumpkin3 可在移动网络下创建带网假接入点，便于移动渗透测试；支持直接刷写内核，简化操作；NetHunter Store 经更新后可用性与安全性更佳；设备支持扩展至 100 款，涵盖首款 Android 15 兼容设备等，还优化了多设备支持情况并更新索引文件格式。

    此外，Kali Linux 持续加强对 ARM 系统支持，新增对相关设备支持并提升图形性能。社区方面，论坛移至 Discourse 平台，文档更新涵盖 NetHunter 安装等多内容。

    获取方面，新用户可从官网下载 ISO 镜像，老用户用命令 “sudo apt update && sudo apt -y full-upgrade” 就能升级。总之，Kali Linux 2024.4 凭借诸多更新与改进，为渗透测试、安全研究等人员提供更有力的工具与平台，推动网络安全工作不断向前发展。

Windows 内核漏洞遭攻击利用，网络安全警报拉响

    近期，网络安全形势再度严峻，Windows 内核漏洞成为攻击者的新目标。美国网络安全与基础设施安全局（CISA）将两个新漏洞纳入其已知被利用漏洞目录，其中 Windows 内核漏洞尤为引人注目。

    CVE-2024-35250 存在于微软 Windows 内核模式驱动程序中，其特征为不信任指针解引用。这一问题可能导致系统崩溃，更严重的是，攻击者可借此成功获取 SYSTEM 特权并执行任意代码，无疑是对系统安全的重大威胁。微软虽在 12 月的补丁星期二发布中修复了此漏洞，但此前 6 月发布的安全公告中仅提供了有限细节。幸得发现该漏洞并通过趋势科技零日计划向微软报告的 DEVCORE 研究团队努力，确定受影响的系统组件为微软内核流服务（MSKSSRV.SYS）。

    与此同时，CVE-2024-20767 影响 Adobe ColdFusion，涉及不当访问控制。攻击者可利用此类漏洞获取对敏感信息或系统的未授权访问，给网络安全带来显著风险。这些漏洞频繁被恶意网络行为者当作攻击向量，对联邦系统构成了巨大威胁。

    对此，CISA 的《第 22 - 01 号约束性操作指令》（“降低已知被利用漏洞的重大风险”）要求联邦民用行政部门（FCEB）机构在规定期限内修复这些漏洞。CISA 强调，尽管该指令明确针对 FCEB 机构，但强烈建议所有组织采取积极措施以减少遭受网络攻击的风险。各组织可通过优先及时修复目录中的漏洞来提升整体网络安全态势，这是强大漏洞管理策略的关键组成部分。

面具 APT 携复杂多平台恶意软件库再度现身

    一个鲜为人知的网络间谍组织 “面具”（The Mask）被发现与针对拉丁美洲某未具名组织在 2019 年和 2022 年的两轮新攻击有关。卡巴斯基研究人员格奥尔基・库切林（Georgy Kucherin）和马克・里韦罗（Marc Rivero）在上周发布的分析报告中指出：“面具 APT 是一个传奇性的威胁行为者，至少自 2007 年以来一直在进行高度复杂的攻击。其目标通常是政府、外交实体和研究机构等备受瞩目的组织。” 该组织也被称为 “卡雷托”（Careto），早在十多年前的 2014 年 2 月，俄罗斯网络安全公司就记录到其自 2007 年以来已针对超过 380 个独特受害者展开行动，而该黑客组织的起源目前尚不清楚。

    在网络安全方面，其初始访问目标网络的方式是通过鱼叉式网络钓鱼电子邮件，邮件中嵌入指向恶意网站的链接，旨在触发基于浏览器的零日漏洞利用来感染访问者（例如 CVE - 2012 - 0773），之后受害者会被重定向到如 YouTube 或新闻门户网站等良性网站。有证据表明，该威胁行为者已开发出一套全面的恶意软件库，能够针对 Windows、macOS、Android 和 iOS 系统。

    卡巴斯基表示，其发现 “面具” 在 2022 年针对拉丁美洲某组织发动攻击时，使用了一种尚未确定的方法，通过利用名为 WorldClient 的 MDaemon 网络邮件组件来获取立足点并保持持久性。研究人员称：“威胁行为者使用的持久性方法基于 WorldClient 允许加载处理从客户端到邮件服务器的自定义 HTTP 请求的扩展。” 该威胁行为者据说自行编译了扩展，并通过在 WorldClient.ini 文件中添加恶意条目，指定扩展 DLL 的路径来进行配置。

    这个恶意扩展旨在运行能够进行侦察、文件系统交互和执行额外有效载荷的命令。在 2022 年的攻击中，攻击者利用此方法在组织网络内的其他计算机中传播，并部署了一个名为 FakeHMP（“hmpalert.dll”）的植入物。这是借助 HitmanPro Alert 软件的合法驱动程序（“hmpalert.sys”）实现的，利用了该驱动程序未能验证其加载的 DLL 的合法性这一漏洞，从而使得在系统启动期间将恶意软件注入特权进程成为可能。该后门支持广泛的功能，包括访问文件、记录击键以及在受感染主机上部署更多恶意软件。被传送到受感染系统的其他一些工具包括麦克风记录器和文件窃取器。

    网络安全公司的调查进一步发现，同一组织在 2019 年曾遭受过一次攻击，涉及使用两个代号为 Careto2 和 Goreto 的恶意软件框架。Careto2 是 2007 年至 2013 年期间观察到的模块化框架的更新版本，它利用多个插件来截取屏幕截图、监控指定文件夹中的文件修改并将数据泄露到攻击者控制的 Microsoft OneDrive 存储中。另一方面，Goreto 是一个基于 Golang 的工具集，它定期连接到 Google Drive 存储以检索命令并在机器上执行，包括上传和下载文件、从 Google Drive 获取和运行有效载荷以及执行指定的 shell 命令，此外还包含捕获击键和屏幕截图的功能。

    不仅如此，在 2024 年初，该威胁行为者还被检测到使用 “hmpalert.sys” 驱动程序感染某个未确定个人或组织的机器。卡巴斯基表示：“卡雷托能够发明非凡的感染技术，例如通过 MDaemon 电子邮件服务器实现持久性或通过 HitmanPro Alert 驱动程序加载植入物，以及开发复杂的多组件恶意软件。” 这一系列活动表明 “面具” APT 组织的攻击手段日益复杂且多平台化，对网络安全构成了严重威胁，相关组织和个人需提高警惕并加强防范措施。