TGINSIGHT CHAT
FutaGuard
@FutaGuard
科技我們是 FutaGuard 這個頻道專門發送最新的關於隱私的新聞,提供不同的網路安全新觀點。 歡迎到 https://git.futa.gg 關注我們 想討論也歡迎到 @Adblock_TW by @kachowlife
最近帖子
第 3/14 页 · 共 159 条
发布 5月6日
淺看「TaiwanSupplyChainAttack 取證數據庫」 (5/6) 5. 一堆奇怪的文件 大神在 repo 裡面還有附上許多文件例如 iPhone plist, Android 持久性 shell 監控後門! iPhone 那些文件問了我們的 3C 大神皮老大 但是比起 iOS 的,這看起來更像 macOS 的 大致上是一些關於相簿分析人臉並歸類的結果(iOS/macOS 會自動整理同一個臉孔的照片) 同時我也看了一下 Android 持久性 Shell 監控後門竊取權限 那東西叫做 Android adb,全名叫做 Android Debug Bridge 是一種常見的 Android 開發工具/接口,你可以把它刪了,但你手機可能會連不上電腦就是了 就這樣,我今天 2025/05/06 一個下午就沒了 請還我時間好嗎?
发布 5月6日
淺看「TaiwanSupplyChainAttack 取證數據庫」 (4/6) 4. 多重感染向量分析 行動通訊網路: 1. 基站(eNodeB)強制下發惡意OTA更新(SIM卡無關性攻擊) 固網/WiFi環境: 1. ISP層級中間人攻擊(HTTPS流量注入) 2. 遭入侵之IoT路由設備(中華電信管理節點) 1. 強制下發惡意OTA更新 > 我問了幾個業內人士表示沒聽過這種神奇技術 2. ISP MiTM 注入 HTTPS 攻擊 > 首先你先了解一下 HTTPS 憑證的運作過程,如果這段是指前面提到的 gmer.net 網頁錯誤,那麼是因為人家根本沒有配置 TLS 憑證。 3. 中華電信 IoT 路由設備管理入侵? > 中華電信本來就可以遠端升級你的小烏龜才能讓你家網路更安全 https://unlash.tw/ https://devco.re/blog/2019/11/11/HiNet-GPON-Modem-RCE/
发布 5月6日
淺看「TaiwanSupplyChainAttack 取證數據庫」 (3/6) 浪費了八分鐘之後,我決定浪費更多時間來看接下來 GPT 還寫了哪些東西 3. 核心級Rootkit植入技術 網路傳播機制: 中華電信網路架構實施之攻擊手法: 偽造TLS憑證鏈 (利用預置根憑證: Chunghwa Telecom Co., Ltd. (ePKI Root Certification Authority) Chunghwa Telecom Co., Ltd. (HiPKI Root CA - G1) DNS快取投毒攻擊 (強制更新導向) 區域網路ARP欺騙攻擊 (針對網咖等高風險環境) 硬體供應鏈攻擊: 電信商銷售設備出廠即搭載經竄改之韌體映像檔(boot.img、vendor.img) 1. 偽造 TLS 憑證鏈 > 有沒有一種可能中華電信的 ePKI 以及 HiPKI 是你自然人憑證、銀行簽發委託中華電信的憑證中心簽發的軟體安裝的? http://eca.hinet.net/index.htm https://publicca.hinet.net/repository.htm https://publicca.hinet.net/HiPKI-01.htm https://chtca.hinet.net/repository.html 2. DNS 快取投毒? > 有沒有投毒我不知道,但防止你連到詐騙網站上,另外這叫 RPZ 不叫什麼投毒 https://rpz.nog.tw/ 3. 硬體供應鏈攻擊 > 這就很可怕了,請你幫我們 dump 出 boot.img 並告訴我們哪裡被篡改了,篡改了什麼?並且做了些什麼?
发布 5月6日
淺看「TaiwanSupplyChainAttack 取證數據庫」 (2/6) 在看了一堆意義不明且空泛的 system dump log 之後,我決定來看第二項指控 2. 通訊基礎設施攻擊 透過中華電信網路架構進行系統性攻擊: - 行動通訊網路(4G/5G eNodeB基站) - 公共/企業WiFi熱點 - 家用寬頻網路 - 網咖網路環境 此攻擊基礎設施已實現 全台範圍設備感染,具備持續性監控、資料竊取及遠端控制能力。 台灣地區目前電腦 與 網路下載檔案的實際情形 已利用 「Windows 螢幕錄影」將畫面上傳至 YouTube 頻道:@iamontou1023 https://youtu.be/K7IQyfpk4Tc?si=_uLom-bZ-Bf89_eD 然後我浪費我生命八分鐘看這奇怪的操作,打開 FireFox 瀏覽器,然後把 DNS 改成 Cloudflare DoH 接著強制瀏覽 HTTPS,接著下載 gmer 文件顯示 HTTPS 錯誤不安全,接著又到 majorgeeks 下載 malwarebytes 的 Anti-Rootkit 工具被轉跳到廣告頁面,接著又在 majorgeeks 中尋找 kaspersky 的 TDSSKiller 在卡巴斯基官網中顯示 404 畫面一轉又到 GitHub 下載 OpenArk,FireFox 提示含有病毒,並將檔案上傳到 VirusTotal 掃描說檔案被動過手腳...之類的操作。 看完只覺得我想討回我這八分鐘。 1. 為何 FireFox 開啟 Cloudflare DoH 以及僅允許 HTTPS 後,gmer.net 會顯示不安全。 > 人家根本沒開 https 當然不安全(下面附圖) 2. 在 majorgeeks 下載 Anti-Rootkit 轉跳到廣告頁面? > 無法復現 > 重新測試後發現是被我的檔廣告軟體擋住了,是 malwarebytes 對子網域 downloads.malwarebytes.org 沒有做好 301, 302 轉跳處理 經調查 malwarebytes 在 2016 將網址從 .org 換成 .com 而在那之前檔案下載服務外包給 StackPath 一家 CDN 公司,該 CDN 公司在 2019 賣給其他公司,因此因為年代久遠配置不得宜導致沒有 301, 302 到 .com 去 3. OpenArk 下載顯示有病毒 > 這類工具經常被誤判,同時防毒軟體在多種情況下誤判也很正常 FYI https://github.com/BlackINT3/OpenArk/issues/175 4. PC Hunter 病毒 > 同上 5. 火絨安全有毒 > 同上 6. PSTools 有毒 > 同上,順便補充微軟中間有一行紫色提示框框 Some anti-virus scanners report that one or more of the tools are infected with a "remote admin" virus. None of the PsTools contain viruses, but they have been used by viruses, which is why they trigger virus notifications. 7. Sysinternals 有毒 > 同上 8. 7-zip.org 有毒 > 同上 補充資料: https://forums.malwarebytes.com/topic/195557-did-malwarebytes-forum-change-its-domain/
发布 5月6日
淺看「TaiwanSupplyChainAttack 取證數據庫」 (1/6) 今天在網路上有人突然丟了一個很嚴肅的東西,害我足足被硬控了十分鐘,表情從凝重一路變成看笑話的心態;這其中太多吐槽點了,且涉及的知識過於廣泛,因此其中我不懂的地方我會向該領域的人請教。 1. 韌體層級惡意程式預置 首先這位大神說了 於電信商通路裝置(台灣大哥大經銷之 Google Pixel 8a、遠傳電信經銷之 OPPO A3x 裝置)植入經簽章之惡意韌體 查看 Repo 內的檔案只有一堆崩潰日誌,我打開檔案逐一瀏覽 - Google Pixel 8a > 都是崩潰日誌並沒有看到任何惡意韌體之類的跡象,文章內也沒有提出任何證明只有甩出一堆崩潰日誌 - GrapheneOS > 貼了一個開源手機作業系統的 system error log,同樣的我也不知道要看什麼哪裡有惡意韌體,我只有看到打包的時候遺漏了 libbox.so 導致 linkerror,如果 opensource 有這麼大的漏洞你應該可以拿到不少獎金 https://grapheneos.org/source - OPPO A3x > 同上 - Google Pixel 5 > 略
发布 5月6日
好久沒來一發大的報導,期待一下
发布 4月7日
這兩天詐騙集團起床了,全都是監理站繳費 望周知
发布 4月1日
太精彩了,所以我要發一篇 Windscribe 一樣在今年發愚人節 Email,不過這次不是什麼 Windscribe 密碼管理器,而是要販賣你的資料,然而隨著郵件點擊進去發現商店掛著你的資料顯示已售罄,隨即下面是一個下載按鈕,會打開一張圖片,放大仔細看你會看到 https://swag.windscribe.com/products/your-personal-data-dump-text-format Congratulations, you have been April fooled by the greatest April foolers on the planet. Take a moment to compose yourself. We will never betray you, That’s Mozilla’s Job 恭喜你,你被地球上最偉大的愚人節惡作劇者愚弄了。請花點時間冷靜一下。我們絕不會背叛你,那是 Mozilla 的工作。 😂 😂 😂 😂 😂 😂 😂 😂 😂 😂
发布 3月27日
Have I Been Pawned 創始人 Tony Hunt,自稱在時差嚴重且疲勞的狀態下,不慎點擊了一封偽裝成Mailchimp的釣魚郵件,並手動輸入帳號資訊以及憑證,攻擊者迅速登入並導出了他約 16,000 條郵件列表記錄,數據包含電子郵件地址、IP地址、地理位置資料...等等 重點 1. Mailchimp保留了已取消訂閱用戶的數據 2. 使用者取消訂閱時沒有明確說明訂閱資料會被保留 3. 是針對性攻擊 我個人是覺得他應該只是坐在椅子上書舒服服講講幹話的那種管理階層,畢竟我所知道的資訊安全專家不是藥娘就是福瑞 另外此次攻擊洩漏事件他也自己列上去了 > https://haveibeenpwned.com/PwnedWebsites#TroyHuntMailchimpList https://www.troyhunt.com/a-sneaky-phish-just-grabbed-my-mailchimp-mailing-list/
发布 3月22日
+888 user 可能要注意,大半夜第一次遇到新的釣魚手法,攻擊方會利用 telegram 第三方登入請求對你發送廣告,例如下方 踢低吸, we received a request to log in on airdrop.釣魚網址.sbs with your Telegram account. To authorize this request, use the 'Confirm' button below. Browser: Unknown browser on Unknown OS IP: 72.195.34.59 (United States) If you didn't request this, use the 'Decline' button or ignore this message. ⌛️ Session expired 這時不小心點了 Confirm 可能會被授權奇怪的東西,如果你沒有及時反應可能也會好奇點開網址只看看,就可能進到釣魚頁面陷阱 這招有點妙啊,一方面你根本不可能把通知帳號給檢舉也不能 Ban 了他 有點東西啊 😧
发布 3月6日
500 stars 剛剛跟路人討來的
发布 2月19日
Bitwarden 官方手機端加入了 SimpleLogin 以及 AnonAddy 的自建 Endpoint 選項 參考 https://t.me/FutaGuard/95 https://github.com/bitwarden/android/pull/4708