各位Buffer周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

热点资讯

1、Sliver 取代 Cobalt Strike 成黑客渗透工具“新宠”

攻击者逐渐弃用 Cobalt Strike 渗透测试套件，转而使用不太知名的类似框架。开源跨平台工具 Sliver 正取代 Brute Ratel 成为受攻击者青睐的武器。

2、借助 DDoS，LockBit 勒索软件正变得更加凶险

据 Bleeping Computer 网站 8 月 28 日消息，LockBit 勒索软件团伙宣布，他们正着手改进对分布式拒绝服务 (DDoS) 攻击的防御，以应对来自安全机构的攻击，并借此来大力提高自身勒索实力。

3、暗网上正在出售 COVID-19 患者数据

Security Affairs 网站披露，研究人员发现了从泰国医学科学部泄漏的患者个人身份信息（PII），其中包含部分 COVID-19患者的数据信息。

4、美国联邦贸易委员会起诉数据中间商 Kochava，涉及售卖上亿手机敏感位置数据

据 TechCrunch 消息，美国联邦贸易委员会（FTC）在当地时间 8 月 29 日宣布，已对数据中间商 Kochava提起诉讼，称其出售数亿手机的地理位置数据，这些涉及个人隐私信息的数据可能会使人们暴露在“耻辱、跟踪、歧视、失业甚至肢体暴力”的威胁中。

5、黑客利用天文望远镜拍摄的图像传播恶意软件

据 Bleeping Computer 网站 8 月 30 日消息，威胁分析师发现了一个名为“GO#WEBBFUSCATOR”的新恶意软件活动，该活动依赖网络钓鱼电子邮件、恶意文档和来自詹姆斯韦伯望远镜的空间图像来传播恶意软件。

安全事件

1、损失不可估计！网传用友等头部软件厂商遭勒索攻击

国内知名技术社区 qidao123.com 消息，我国多个安全技术社群开启疯狂吐槽模式，网传以用友为代表的头部管理软件厂商遭遇大规模勒索攻击，从而影响到无数下游企业，引发了难以想象的危害，其损失暂时无法估计。

2、密码管理巨头 LastPass 遭遇网络攻击，源代码已泄露

据 Bleeping Computer 报道，密码管理巨头 LastPass 两周前遭到黑客攻击，尽管公司在发现攻击行为后已经拼命进行阻止，但是结果令人感到惋惜，黑客依旧突破了封锁，可窃取该公司的源代码和专有技术信息。

3、影响 750 万用户，俄流媒体平台“START”已公开承认

俄罗斯流媒体平台“START”（start.ru）已经承认，此前有关数据泄露影响数百万用户的传言为真。START平台的管理员称，黑客从公司系统中窃取了 2021 年的数据库，目前正在在线分发样本。

4、最高超过 20 万，谷歌发布开源漏洞奖励计划

谷歌再次出台新的举措，推出了开源软件漏洞奖励计划 (OSS VRP)，是首批特定于开源的漏洞计划之一。奖励金额从 100 美元到 31337 美元（约合人民币 21 万+）不等，以保护生态系统免受供应链攻击。

5、TikTok 曝高危漏洞允许一键式帐户劫持，回应称已修复

据 The Verge 8 月 31 日消息，TikTok 安卓版存在一个高危漏洞，攻击者可能借此实现一键式账户劫持，影响数亿用户。微软 365 防御研究小组在一篇博文中披露了该漏洞的细节，影响范围为 23.7.3 之前的安卓版本。在微软向 TikTok 报告后，该漏洞已打上补丁。

一周好文共读

1、全网首篇 | 深入解读《医疗卫生机构网络安全管理办法》

2022 年 8 月 29 日，国家卫生健康委、国家中医药局、国家疾控局发布了《医疗卫生机构网络安全管理办法》（以下简称《办法》），自印发之日起开始实施。《办法》共计三十四条，分为总则、网络安全管理、数据安全管理、监督管理、管理保障五个大章节。

2、2021 Owasp Top 10 逐个击破之 A08：软件和数据完整性故障

最新的 2021 Top 10 已经出来了，我们从 A01 开始进行一次详细解读，本系列会详细介绍各个漏洞的变化与内容，并会着重介绍新增的漏洞情况。本篇解读 A08 Software and Data Integrity Failures（软件和数据完整性故障）。

3、老挝数据合规重点解读

老挝正在进行数字化转型，信息和通信技术产业快速发展，老挝政府制定了 2030 年信息和通信技术产业发展愿景、信息和通信技术产业发展战略等一系列规划和政策，并在 2015 年出台了《打击和预防网络犯罪法》，2017 年出台了《信息通信技术法》以及《电子数据保护法》等法律法规。但据世界银行消息，与其他可比区域经济体相比，老挝在互联网服务的可访问性、质量和可负担性等方面都明显落后，如互联网价格较高、大容量数据传输所需的固定宽带尤其受到限制等。

安全工具

1、如何使用 HRSDT 检测 HTTP 请求走私

HTTP 请求走私是一种严重的安全漏洞，攻击者可以利用恶意 HTTP 请求来绕过安全控制措施并获得未经授权的访问权，然后在目标服务器上执行恶意操作。这款工具的主要目的就是为了帮助广大研究人员在给定的主机上检测HTTP请求走私漏洞。

2、hoaxshell：一款功能强大的非传统 Windows 反向 Shell

hoaxshell 是一款功能强大的非传统 Windows 反向 Shell，当前版本的 Microsoft Defender 和部分反病毒解决方案基本无法检测到 hoaxshell 的存在。该工具易于使用，不仅可以生成其自己的 PowerShell Payload，而且还可以支持加密（SSL），可以帮助广大研究人员测试 Windows 系统的安全性。

3、如何使用 crAPI 学习保护 API 的安全

crAPI 是一个针对 API 安全的学习和研究平台，在该工具的帮助下，广大研究人员可以轻松学习和了解排名前十的关键 API 安全风险。因此，crAPI 在设计上故意遗留了大量安全漏洞，我们可以通过 crAPI 学习和研究 API 安全。crAPI 采用了现代编程架构，该工具基于微服务架构构建，只需建立一个账号，即可开启我们的 API 安全研究之旅。