各位 Buffer 周末好，以下是本周「FreeBuf周報」，我們總結推薦了本周的熱點資訊、安全事件、一周好文和省心工具，保證大家不錯過本周的每一個重點！

熱點資訊

1、德國網絡安全負責人因涉嫌“通俄”被解雇

德國內政部長解雇了網絡安全負責人Arne Sch?nbohm，他面臨通過行業協會德國網絡安全委員會與俄羅斯安全服務機構有聯系的指控。

2、《汽車數據處理安全要求》等 14 項網絡安全國家標準獲批發布

根據國家市場監督管理總局、國家標準化管理委員會發布的中華人民共和國國家標準公告（ 2022 年第 13 號），全國信息安全標準化技術委員會歸口的 14 項國家標準正式發布。

3、巴西逮捕了被認為是 Lapsus$ 團伙成員的嫌疑人

巴西聯邦警察在巴伊亞州費拉桑塔納逮捕了一名巴西嫌疑人，據信是 Lapsus$ 黑客團伙的成員。

4、31 名嫌疑人因使用無鑰匙入侵技術盜取汽車，在歐洲被捕

法國、西班牙和拉脫維亞的警方聯合搗毀了一個汽車盜竊團伙，該團伙利用一種欺詐性軟件，在不使用物理鑰匙的情況下盜竊車輛。此次行動共逮捕包括軟件開發者、轉售商、汽車盜賊在內的31名犯罪嫌疑人。

5、研究人員發現微軟Office 365使用損壞的加密算法來保護郵件

新的研究揭示了Microsoft 365中所謂的安全漏洞，由于使用了損壞的加密算法，該漏洞可能被利用來推斷郵件內容。

安全事件

1、微軟被曝可能泄露 2.4TB 客戶敏感數據

10月19日，微軟表示部分客戶的敏感信息可能因配置錯誤的微軟服務器而存泄露風險。威脅情報公司 SOCRadar分析，受影響的數據達2.4TB，涉及來自 111 個國家和地區的 65000 多個實體。

2、澳大利亞零售巨頭泄露220萬用戶數據，并被黑客在線出售

據Security affairs等網站消息，澳大利亞零售巨頭Woolworths 批露了近期旗下子公司MyDeal一起影響 220 萬用戶的數據泄露事件，攻擊者已在黑客論壇上發帖出售被盜數據。

3、俄羅斯對保加利亞發起網絡攻擊

保加利亞政府機構的基礎設施遭到大規模 DDoS 攻擊，包括內務部、國防部、司法部、憲法法院等多個政府部門受到嚴重影響。

4、加密貨幣平臺Mango Markets損失超1億美元，黑客宣布返還6700萬

10月17日，一位自稱對此次攻擊負責的黑客，稱要歸還部分被盜資金，約6700萬美元，余下的金額則當作名義上的漏洞賞金。

5、西門子工業網絡軟件漏洞已影響多款產品

西門子Simatic可編程邏輯控制器（PLC）的一個漏洞可被利用，以檢索硬編碼的全球私人加密密鑰并奪取設備的控制權。

一周好文共讀

1、2022年全球白帽常用工具排行榜TOP 10

幾十年來，攻擊方、白帽和安全從業者的工具不斷演進，成為網絡安全長河中最具技術特色的燈塔，并在一定程度上左右著網絡安全產業發展和演進的方向，成為不可或缺的關鍵要素之一。本文列舉了2022年全球白帽常用工具排行榜TOP10，盤點其各自的特性。

2、微信社工攻擊防護方案

微信聊天作為日常親友溝通，工作交流的主要方式之一，在用戶的潛意識中，往往不會對微信好友時刻保持警惕性，這就給了微信釣魚攻擊者可乘之機。本文拋磚引玉提出攻擊防護思路，各企業人員可根據自家環境情況進行適配和調整。

3、Android逆向分析工具性能對比分析

本文針對國內以及國外知名Android逆向工程工具進行橫向評測。本次測試對比是為了呈現incinerator與PNFSofteware出品的JEB以及國內出品GDA在Android逆向工程能力的對比，從而讓大家更好更直觀的了解相關的詳細信息。

省心工具

1、如何使用SharpNamedPipePTH實現令牌模擬

SharpNamedPipePTH是一款基于C#開發的安全工具，該工具可以利用哈希傳遞技術（Pass-the-Hash）在本地命名管道上進行身份認證，并實現用戶令牌模擬。需要注意的是，該工具需要本地管理員權限或SEImpersonate權限。

2、如何使用DeadFinder尋找失效鏈接

DeadFinder是一款功能強大的鏈接分析工具，該工具可以幫助廣大研究人員快速地尋找目標頁面中的無效鏈接（死鏈）。所謂死鏈，即一個頁面中存在的無法被連接的一條鏈接。這些鏈接如果一直保留在頁面中的話，可能會影響SEO的效果，更嚴重的可能會影響整個網站的安全。因此，DeadFinder便應運而生，在該工具的幫助下，廣大研究人員可以輕松識別和修改這些死鏈。

3、SpyCast：一款功能強大的跨平臺mDNS枚舉工具

SpyCast是一款功能強大的跨平臺mDNS枚舉工具，該工具支持在主動模式下下遞歸查詢服務，也可以在被動模式下僅偵聽多播數據包。因此，廣大研究人員可以使用該工具測試mDNS協議和本地網絡的安全性。

更多信息可以來這里獲取==>>電子技術應用-AET<<