FreeBuf

3278 篇文章
183 人订阅

PowerShell

FB客服

欧洲黑客组织通过已签名的垃圾邮件来实现多阶段恶意软件加载

在过去的几个月时间里,研究人员观察到了多个新型的恶意垃圾邮件活动。在这些攻击活动中,攻击者使用了一种多阶段恶意软件加载器来传播GootKit银行木马,而这个新出...

663
FB客服

抵御无文件型恶意软件的那些事儿

目前,针对企业环境的无文件型恶意软件威胁正在日趋增长。无文件型恶意软件所使用的代码不需要驻留在目标Windows设备上,而普通的Windows安装程序涉及到很多...

1013
FB客服

RSAC 2019 | 从Comcast看DevSecOps实践

在RSA 2019大会上,DevSecOps 是热词之一,大会还特设了DevSecOps Day来探讨这一主题。组委会以Comcast公司的DevSecOps实...

1002
FB客服

AutoRDPwn v4.8:一款功能强大的隐蔽型攻击框架

今天给大家介绍的是一款名叫AutoRDPwn的隐蔽型攻击框架,实际上AutoRDPwn是一个PowerShell脚本,它可以实现对Windows设备的自动化攻击...

761
FB客服

DNS劫持欺骗病毒“自杀”

某天忽然发现公司上百台机器中了变种的挖矿病毒DTLMiner,该病毒传播方式有多种,主要利用永恒之蓝漏洞、弱口令、mimikatz抓取域密码,数据库弱口令等方式...

1093
FB客服

使用presentationhost.exe绕过AppLocker白名单限制

Presentationhost.exe是一个内置的Windows可执行文件,用于运行XAML浏览器应用程序(即.xbap文件)。在多个AppLocker白名单...

1072
FB客服

初探伪装在Office宏里的反弹Shell

通常的钓鱼邮件场景中office的安全问题一直都受到关注,恶意宏文档制作简单,兼容性强,并且攻击成本较小,所以整体占比较大。但是使用恶意宏进行攻击,往往需要用户...

1012
FB客服

如何使用serviceFu这款功能强大的远程收集服务帐户凭据工具

在近期所进行的安全审计活动中,我们的团队设计出了一种新的安全工具,并希望能跟整个社区一起分享。

862
FB客服

从远程桌面服务到获取Empire Shell

本文将为大家详细介绍如何在只能访问远程桌面服务,且有 AppLocker 保护 PowerShell 处于语言约束模式下获取目标机器 Empire shell。...

1704
FB客服

一款使用PowerShell和证书来加密文件的工具

在之前的两篇文章中,我已经教大家如何使用证书加解密文件,但总的来说操作过程还是有些繁杂。今天我将为你们提供一个文件加密工具,来自动化的帮我们完成这些过程。关于证...

1370
FB客服

GhostMiner解析:无文件挖矿的新姿势

近期,Minerva的研究团队又发现了一种新的挖矿攻击-GhostMiner,这种新型的恶意挖矿软件主要挖的是门罗币,它使用了高级无文件技术,并能够在全球范围内...

1382
FB客服

FireEye发布调查报告,混淆技术成为了2017年攻击者最喜欢用的技术之一

在2017年上半年,我们发现使用命令行逃逸技术和混淆技术的攻击者数量正在显著增加,网络间谍组织和专门针对金融领域的黑客组织仍在继续采用最先进的应用白名单绕过技术...

3547
FB客服

如何使用PowerShell实现命令控制以及安全检查绕过

Windows操作系统在全球市场上的占比是大家有目共睹的,而现代Windows平台都默认安装了PowerShell,而且系统管理员还可以毫无限制地访问和使用Po...

2657
FB客服

CVE-2017-8759完美复现(另附加hta+powershell弹框闪烁解决方案)

CVE-2017-8759 是前几天出的 0 DAY ,搜了下,国内几乎没有人复现,这个洞总体来说,危害很大,而且比CVE-2017-0199 更难防御。 漏...

30110
FB客服

Powershell最佳安全实践

? 写在前面的话 其实很早之前,攻击者就已经开始使用合法工具来渗透目标网络并实现横向攻击了。理由很简单:使用合法工具可以降低被检测到的几率,而且进过授权的工具...

56210
FB客服

如何使用Windows卷影拷贝服务恢复文件和文件夹

什么是卷影拷贝? 从Windows XP SP2和Windows Server 2013开始,微软就向Windows操作系统中引入了一项名叫卷影拷贝的服务(Vo...

3286
FB客服

利用PowerShell Empire实现Word文档DDE攻击控制

? 近期,有安全人员发现了一种DynamicData Exchange (DDE)协议绕过MSWord和MSExcel宏限制,不需使用MSWord和MSExc...

2578
FB客服

Powershell编码与混淆

在powershell中最常使用的编码就是base64编码了,今天主要说一下Invoke-Obfuscation 这个powershell混淆编码框架,这也是著...

2527
FB客服

如何利用日志来监控和限制PowerShell攻击活动

写在前面的话 近期,我一直在我客户的网络环境中分析PowerShell攻击,根据我的分析以及研究结果,我发现了几种方法来帮助研究人员检测潜在的PowerShel...

2545
FB客服

Invoke-PSImage:将PS脚本隐藏进PNG像素中并用一行指令去执行它

今天给大家介绍的是一个名叫Invoke-PSImage的Power Shell脚本,而这个脚本可以将目标PS脚本嵌入到一个PNG图片文件的像素点中,并允许我们使...

2346

扫码关注云+社区

领取腾讯云代金券