一种基于安全大模型的EDR告警研判机器人

Author: Guannan Wang, Guancheng Li of Tencent Security Xuanwu Lab

0x00 背景

企业为防御网络攻击,常常投资于先进的安全产品,如EDR、NDR、WAF等,这些产品往往依靠特定的规则生成告警,提示企业可能存在的网络威胁。但这些告警规则因为缺乏网络安全领域的先验知识,为企业的安全防御带来了双重挑战:

  • 只依赖具体的规则进行检测会产生大量误报,导致企业难以分辨哪些是检测到真正网络威胁的告警;

  • 用户对告警的理解和反应受限于他们在安全领域的知识水平,这对用户的能力提出了较高的要求。因此,告警的解读和响应通常需要有丰富安全知识和经验的安全专家与企业的运营团队进行紧密合作才能完成。

然而,不仅安全专家招聘成本高,依赖于人工分析的方法也存在效率低下等问题,难以应对告警数量激增的情况。此外,因为告警数据的敏感性,部分企业也担心上传云端等出网的分析方法带来的隐私泄露风险。因此,企业面临着在保障网络安全和把控成本效率之间寻找平衡的难题。

为有效应对安全告警分析的挑战,我们引入了一款基于安全大模型的告警研判机器人,能够对EDR设备上报的告警进行智能分析。这款机器人融合了丰富的安全领域先验知识,能够对告警进行深入研判,自动执行调查和取证工作。我们的方案支持私有化部署,具备出色的专业分析能力并能保证极高的吞吐量,能够助力企业提升告警分析效率,同时降低相关成本。

玄武实验室拥有专业的“攻防+AI”团队,多次助力腾讯在国家攻防演练中荣获前三名。实验室在ChatGPT发布之前就已经开始研究AI在安全领域的应用,并在ChatGPT推出后,进一步加深了对大模型相关技术的研究。

一种大模型端侧隐私保护方案

Author : Yu Chen(alohachen) of Tencent Security Xuanwu Lab

0x00 简介

随着LLM应用的广泛普及,用户对提示词中的隐私信息泄漏的担忧日益增加。我们首次提出了一种可部署在端侧的提示词隐私保护方案,并对其安全性和可用性进行了评估。与安全多方计算(MPC)和Presidio等方案相比,我们的方案具有轻量化、端到端,支持匿名信息还原等优点。

虚假的安全:五大Android厂商自带隐私保护应用脆弱性分析及漏洞利用

Author: Xiangqian Zhang, Huiming Liu of Tencent Security Xuanwu Lab

0x00 简介

本文我们将详细介绍对Android手机厂商自带的隐私保护应用程序的研究。我们调查了排名前五的Android供应商提供的隐私保护应用程序,发现许多应用程序并不能很好地保护我们的隐私安全。我们针对隐私保护应用提出了3种威胁模型,并展示了4个隐私保护应用的攻击案例。该研究已经发表在Black Hat Asia 2021

Domain Borrowing: 一种基于CDN的新型隐蔽通信方法

作者:腾讯安全玄武实验室 dlive, salt

0x00 背景简介

CDN(Content Delivery Network) 是云服务厂商提供的一种Web内容加速分发服务。

对于攻击者来说,CDN提供了大量分布于全球各地的边缘节点IP,并且可以将源服务器隐藏在CDN节点之后,所以CDN非常适合被用于保护C2的通信。

本文介绍了我们在某些CDN实现中发现的一些特性,以及如何利用这些特性隐藏C2通信流量,我们将这种新型的基于CDN的隐蔽通信方法称为Domain Borrowing。

部分快速充电产品存在“BadPower”风险的安全提示

问题简介

腾讯安全玄武实验室在部分快速充电(以下简称快充)产品中发现了一种新型安全问题,并将其命名为“BadPower”。

利用BadPower,攻击者可入侵支持快充技术的充电器等设备,使被入侵的设备在对外供电时输出过高电压,从而导致受电设备的元器件击穿、烧毁, 甚至可能进一步对受电设备所在物理环境产生安全隐患。

深入分析Adobe忽略了6年的PDF漏洞

本文详细分析了 Adobe Acrobat Reader / Pro DC 中近期修复的安全漏洞 CVE-2019-8014 。有趣的是,Adobe 在六年前修复了一个类似的漏洞 CVE-2013-2729 ,正是由于对该漏洞的修复不够完善,才使得 CVE-2019-8014 遗留了长达六年之久。本文同时讨论了如何为此类漏洞编写利用代码。

本文作者:Ke Liu of Tencent Security Xuanwu Lab

Ghidra 从 XXE 到 RCE

作者:腾讯安全玄武实验室 tomato, salt

0x00 背景

Ghidra是 NSA 发布的一款反汇编工具,它的发布引起了安全研究人员的极大兴趣。
有研究人员发现Ghidra在加载工程时会存在XXE,基于笔者之前对XXE漏洞利用研究发现,攻击者可以利用Java中的特性以及Windows操作系统中NTLM认证协议的缺陷的组合来完成RCE。

全网筛查 WinRAR 代码执行漏洞 (CVE-2018-20250)

作者:lywang, dannywei

0x00 背景

WinRAR 作为最流行的解压缩软件,支持多种压缩格式的压缩和解压缩功能。今天,Check Point公司的安全研究员 Nadav Grossman 公开了他在 WinRAR 中发现的一系列漏洞。其中以 ACE 解压缩模块的远程代码执行漏洞(CVE-2018-20250)最具危害力。
WinRAR 为支持 ACE 压缩文件的解压缩功能,集成了一个具有 19 年历史的动态共享库 unacev2.dll。 而此共享库自 2006 年以来再未更新过,也未开启任何漏洞利用缓解技术。Nadav Grossman 在 unacev2.dll 中发现了一个目录穿越漏洞,成功利用此漏洞可导致远程代码执行或 Net-NTLM hash 泄露。

来自微信外挂的安全风险

玄武实验室联合独立安全研究员 em 发现在 Mac OS 上用户量比较大的两款微信防撤回外挂存在安全问题,装了此外挂的用户只要在浏览器里访问攻击者页面并停留一分钟左右,攻击者即可拿到该用户的好友列表,聊天记录,甚至以该用户的身份给好友发送消息,对用户的信息安全造成巨大威胁。