去年11月Google TAG发布了一篇[1]针对MacOS的水坑攻击调查报告，在红队的攻击几乎都以windows下的压缩包投毒为主的当下 能有一起针对Mac如此精良的攻击值得好好复盘分析。

这是我们第三次对在野利用的0-day漏洞进行年度回顾[2020年，2019年]。每年，我们都对所有已检测到并公之于众的在野0-day漏洞进行回顾，并总结我们认为的趋势和收获。这份报告的宗旨，并非详细说明各个漏洞，而是把当年的漏洞作为整体进行分析，寻找趋势、差距、经验教训、成功案例等。如果您对单个漏洞的分析感兴趣的话，可以访问我们的根本原因分析库。

目前，时间已经来到2022年第一季度末，我们不妨花一些时间来回顾一下2021年出现的安全案例，并总结去年观察到的一些顶级战术、技术及流程（tactics, techniques and procedures，TTP）。总的来说，我们在2021年报告了20起安全事件，其中绝大多数与初始访问代理恶意软件（Trickbot、IcedID、BazarLoader等）相关，这些恶意软件通常用于入侵全域和投放勒索软件。

自2012年以来，OAuth 2.0已被全球各地的在线服务提供商广泛部署。此后，与OAuth相关的安全问题不时被曝光，并且，其中的大多数问题是由协议的实现中的安全问题所致。对于OAuth标准来说，其中的用户代理重定向机制是认证授权过程中的一个相对薄弱环节，因为开发人员和运维人员很难正确地认识、理解和实现所有细微而关键的各种需求。在本文中，我们首先回顾安全社区了解OAuth重定向威胁的历程，并介绍OAuth规范的发展过程，以及针对当前版本的最佳实践。然后，我们将为读者介绍一种新型的OAuth重定向攻击技术，该技术能够通过主流浏览器和移动应用程序中的重定向处理方式来利用URL解析漏洞。

我们在三月底对在UC浏览器中下载和运行未验证代码的潜在可能性进行了报告。今天我们将详细探讨这个过程如何发生以及黑客如何利用这个漏洞。

人在做，天在看。
利用Powershell执行攻击由于其绕过现有病毒查杀体系的有效性，已经成为目前日益泛滥的攻击手段，不论普遍撒网的勒索软件还是定向的针对性攻击都有可能采用。360天眼实验室一直对此类样本做持续的监测， 5月份以来，我们注意到一类比较特别的样本，发现其有两个比较鲜明的特点。

近日，360安全中心收到多起用户反馈，手机中了一种难以清理的病毒，某些用户尝试自行清理掉病毒，发现删除病毒文件vold.apk后，会再次重现。通过分析，发现此病毒已经寄生到系统底层，定时恢复APK实现自我保护。随着反馈用户数量急剧上升，360急救箱已下发紧急查杀方案，全面支持清理该手机病毒。

人在做，天在看。

近期360天眼实验室捕获到一例针对印度的定向攻击样本，样本利用了沙虫漏洞的补丁绕过漏洞CVE-2014-6352，经分析确认后我们认为这是趋势科技在今年三月份发布的名为“Operation C-Major”APT攻击活动的新样本。关于C-Major行动的相关内容，有兴趣的读者可以在文后的参考链接中查看。

从z神@explorer发表关于《来pwn我一下好吗》的write up已经过去一段时间了，这篇write up对于我这样的Linux漏洞攻防新手来说很多地方都是很难理解的，后来结合这篇write up，我又调试了一下这个pwn me的题目，发现无论是从error出的题目，还是z神写的write up，都特别精彩，有很多值得学习的地方。

我国电脑用户当中,使用盗版软件是非常普遍的现象,从盗版的 Windows 系统到各种收费软件的“破解版”等等。

互联网上也充斥着各种帮助用户使用盗版的“激活工具”、“破解工具”,投其所好地帮助用户使用盗版软件。但是“天下没有免费的午餐”,除了一部分破解爱好者提供的无害的免费激活工具之外,病毒制造者也瞄准了盗版人群,他们利用提供激活工具的机会,将恶性病毒植入用户电脑。

近期，360烽火实验室发现一类潜藏两年之久的Android木马，被利用专门从事私彩赌博、短信诈骗活动。该木马集远程控制、中间人攻击、隐私窃取于一身，能够在受害者不知情的情况下，拦截并篡改任意短信，监控受害者的一举一动。通过对该类木马的追踪发现，常见的社交类软件也在攻击中被利用。

近期，孟加拉国、厄瓜多尔、越南、菲律宾等多个国家的银行陆续曝出曾经遭遇黑客攻击并试图窃取金钱事件，这些事件中黑客都瞄准了SWIFT银行间转账系统，对相关银行实施攻击和窃取。360追日团队深入分析了截获的黑客攻击越南先锋银行所使用的恶意代码样本，并由此对此次事件中的黑客攻击技术进行了初步探索。

近日哈勃分析系统截获了一批新型浏览器劫持木马 “暗影鼠”，该木马通常被打包在压缩包内伪装视频播放器通过网页进行传播。该木马的主要功能是对浏览器访问导航页的流量进行劫持，重定向到自己的推广页，非法获取推广利润。该木马最早出现是在今年的4月末，5月初开始小范围传播，但是从5月23开始突然爆发，高峰期全网中此木马用户数超过30W每日，保守估计近期木马作者以此获利总额有近百万元人民币。

日前实验室捕获一个样本。远远望去，像是搜狗输入法，在测试机中点开一看，弹出一款游戏的物价表，再看PE文件属性，还带正常着数字签名，一副人畜无害的样子。经过一番认真分析后。发现远没有这么简单，这里就分析过程记录一下，希望其他安全工作者有些许帮助。

人在做，天在看。
2015年5月底360天眼实验室发布了海莲花APT组织的报告，揭露了一系列长期对我国的关键部门进行针对性攻击窃取机密数据的攻击活动。
相关的报告：