各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

热点资讯

1. Crowdstrike蓝屏事件自查结果：错在流程而非人

本周三，CrowdStrike发布了导致全球大规模系统崩溃的初步事件评估报告（PIR）。此前业界传闻该公司潜入了类似SolarWinds供应链攻击的“特工”，但初步调查结果显示是CrowdStrike的更新工具和流程存在漏洞，但CrowdStrike否认自己在该事件中存在“不负责任”的行为。

2. 攻击者正滥用 URL 保护服务来隐藏网络钓鱼链接

据网络安全公司Barracuda近期的一项研究报告，一些攻击者正滥用电子邮件安全服务隐藏恶意链接并传播钓鱼邮件，到目前为止这些攻击已针对至少数百家公司。

3. 谷歌取消在浏览器中弃用第三方cookie的计划，将选择权交还给用户

谷歌近日宣布将放弃在 Chrome 浏览器中逐步淘汰第三方 cookie 的长期计划。在经历了多年的拖延和行业动荡之后，谷歌的这一戏剧性转变标志着广告商的重大胜利和隐私权倡导者的潜在挫折。

4. Wiz 拒绝谷歌 230 亿美元的收购要约

根据最新一期《财富》杂志周一披露，Wiz已向公司1200名员工发了一份内部说明，称Wiz是一家价值120美元的云安全初创公司，正在与谷歌母公司Alphabet进行收购谈判，公司已决定不推进这笔交易，并将继续是一家独立的公司。

5. 离大谱，这家网络公司开始招聘黑客？

网络安全公司KnowBe4并不是招聘黑客，而是黑客策划的一场精密的钓鱼计划。该公司透露，一名朝鲜黑客伪装成IT专家精心地策划了一个复杂的网络钓鱼计划。攻击者设法通过了KnowBe4严格的招聘流程，最终在数据泄露之前被识别并阻止。

安全事件

1. BlackSuit 高级勒索软件策略曝光： 伪装成杀毒软件

Deep Instinct 威胁实验室的深入分析显示，BlackSuit 的战术和技术发生了巨大演变。该勒索软件现在采用的是先进的混淆方法，包括将其有效载荷伪装成奇虎 360 杀毒软件的合法组件

2. Windows蓝屏事件后，虚假CrowdStrike开始钓鱼

在上周五因CrowdStrike更新BUG导致全球Windows系统电脑出现大范围“蓝屏”后，该公司发出警告称，一些网络犯罪分子开始利用虚假的CrowdStrike更新来传播恶意软件。

3. 针对VMware ESXi 虚拟机的新型勒索软件“横空出世”

近日，网络安全公司趋势科技的分析师发现了Play勒索软件的最新Linux版本变种，专门用于加密 VMware ESXi 虚拟机。

4. Telegram曝零日漏洞，允许发送伪装成视频的恶意APK

近日， ESET研究人员发现了一个针对Android Telegram的零日漏洞，该漏洞名为“EvilVideo”，从今年6月开始在一个地下论坛出售，价格不详。

5. R0bl0ch0n TDS——新型附属欺诈计划波及1.1亿用户

近日，世界观察组织的专家团队揭露了一种新型流量分配系统（TDS），该系统与附属营销紧密相关，并在多起欺诈计划中被积极利用。由于其URL重定向中独特的“0/0/0”序列，这一系统被命名为R0bl0ch0n TDS，已经对全球约1.1亿互联网用户造成了影响。

一周好文共读

1. 跨域漏洞链深度解析：从postMessage到CSRF的精密攻击路径

在一次引人入胜的漏洞挖掘之旅中，数月前在一项众测项目中下发现了一串巧妙链接的安全缺陷，这串漏洞链融合了多种技术元素，包括但不限于postMessage的不当使用、JSONP端点的粗疏防护、Web应用防火墙（WAF）的规避、基于DOM的跨站脚本（XSS）在非目标子域名上的运用、CORS配置的宽松策略，以及最终导向的核心目标：对受保护资产实施跨站请求伪造（CSRF）攻击。出于保密原则，本文隐去了识别信息，聚焦于技术细节与故事的精彩之处。【阅读全文】

2. 渗透测试 | 黑白盒某学习刷课漏洞挖掘经验分享

在日常的任务环境中，漏洞的存在对任何系统而言都是巨大的风险隐患。特别是一些比较古老的系统或者存在已知漏洞框架、组件这方面的系统渗透测试，在日常挖掘中，未授权文件下载和越权文件上传，我们应该不在陌生，此类漏洞可定级一中、一高风险。在本次测试中，通过对多个功能模块的代码审计，发现了一些严重的安全问题。【阅读全文】

3. 技战法模板之运营人员视角下的ORB的网络"风险"

笔者在HVV前期，苦逼的准备"技战法"的时候，突然国外某大厂的安全运营中心的一篇博客进入了我的视野，“ORB 网络”（操作中继盒网络）成为在进行APT活动的新宠儿，这篇文章成功的引起了我的注意和兴趣（大家可以参考一下，利用我这篇文章形成一篇不错的技战法）。【阅读全文】

省心工具

1. Hakuin：一款自动化SQL盲注（BSQLI）安全检测工具

Hakuin是一款功能强大的SQL盲注漏洞安全检测工具，该工具专门针对BSQLi设计，可以帮助广大研究人员优化BSQLi测试用例，并以自动化的形式完成针对目标Web应用程序的漏洞扫描与检测任务。

【阅读全文】

2. Domainim：一款高效的企业级网络安全扫描工具

Domainim是一款功能强大的企业级网络安全扫描工具，该工具运行效率高，功能完善，可以帮助广大研究人员针对企业或组织网络执行大规模安全扫描任务。【阅读全文】

3. MasterParser：针对Linux日志的数字取证与事件响应DFIR工具

MasterParser是一款强大的数字取证和事件响应工具，可以帮助广大研究人员轻松分析var/log目录中的Linux日志。【阅读全文】