xHunt活动从2018年7月份一直活跃至今,这个组织的主要目标针对的是科威特政府和航运运输组织。近期研究人员发现,xHunt的攻击者又攻击了科威特一家机构的Microsoft Exchange服务器。虽然我们无法确认攻击者是如何入侵这台Exchange服务器的,但是根据此次事件相关的计划任务创建时间戳,我们发现攻击者早在2019年8月22日之前就已经能够访问这台Exchange服务器了。在此活动中,攻击者使用了两个后门,一个是TriFive,另一个是Snugy的变种版本(这是一个Web Shell,我们称之为BumbleBee)。
研究人员在分析了数十亿次攻击后警告说,Microsoft Office宏,PowerShell等仍在通过网络钓鱼电子邮件分发攻击的网络罪犯中很受欢迎。
今天给大家介绍的是一款名叫Powershell-RAT的Python后门,它可以利用Gmail邮件附件来从目标用户的设备中提取数据。这款RAT可以帮助红队测试人员给任何一台Windows设备安装后门,它不仅可以使用屏幕捕捉功能来跟踪用户的活动,而且还可以通过电子邮件附件来将提取出的数据发送给攻击者。
我们知道,如果攻击者进入域(内网)环境中,攻击影响不敢想象,所以最重要的是快速检测它们。防病毒和EDR解决方案在检测和阻止攻击者方面已经走了很长一段路,但是牛批的黑客很可能通过各种奇技淫巧技术来规避这些控制措施。
防火墙可以阻止反向和绑定 TCP 连接。 然而,大多数时候 ICMP 流量是允许的,故可以将此协议用作隐蔽通道,以获取 shell 并在目标主机上远程执行命令
在2019年5月至6月期间,发现有以前未知的工具被用于针对科威特的运输和航运组织。
下面就是我的亲身经历。 二手电脑 最近,我想买台新电脑,就是那种低端笔记本,可以应付一些轻量级的工作,HP Stream似乎是个不错的选择。而且让我惊喜的是,如果买二手返修电脑,百思买(Best Buy,全球最大家用电器和电子产品零售集团)会给我20%的折扣。销售保证说电脑跟新的没什么两样,而且他们会延长所有的质保期。成交! 每到手一件新宝贝,我总是抑制不住内心的小小激动。电脑就像从未被触摸过,而且所有的文件都封存在袋子里。箱子里甚至有一张纸条写着清理及这名这台机器的技术人员ID。 所以,当我启动电脑看到别
APT组织“ Kimsuky”,据悉最早于2012年开始活动。该组织因为全球性的广泛攻击行动而臭名昭著,主要针对韩国智囊团、美国、俄罗斯和欧洲各个国家。
据BleepingComputer消息,此前一度登上世界前十的银行木马QBot正卷土重来,多家安全研究公司的分析师将此归因于 Squirrelwaffle 的兴起。
0x01 事件经过 2016年2月26日,一个网络安全相关的QQ群内,一名用户分享了一份名为“网络安全宝典.chm”的电子书供大家下载,瑞星网络安全工程师Bfish自然地下载了这本电子书,打算简单翻阅后决定是否收藏。当Bfish打开这个才12K大小的电子书时,感知到了计算机的异常行为,这让他意识到:这本电子书有问题。 在解开这份CHM文档后,瑞星网络安全工程师在一个html页面中找到了原因:这个电子书中的某个HTML页面内,嵌入了一段恶意代码,它可以下载一个PowerShell脚本并执行。顺藤摸瓜,Bf
幂等意味着重复无关紧要。这意味着您可以安全地重试操作而不会出现问题。典型的例子是电梯按钮:你按两次它就不会叫来两部电梯。我们在这里探索为什么我们希望在电子邮件服务器中使用该属性。
Rabbit是一个非常困难的靶机,知识点涉及垂直越权、SQL注入、邮件钓鱼、服务提权、Windows Defender绕过等。通过SQL注入可获取CMS中的账号密码,登陆OWA发送钓鱼邮件获取权限,绕过Windows Defender依靠Apache服务完成提权。感兴趣的同学可以在HackTheBox中进行学习。
由于传播、利用本公众号亿人安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号亿人安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
攻击者正不断研究更复杂的方式逃避恶意软件检测,近期发现攻击者利用PowerShell编写Netwalker勒索软件,直接在内存中执行,没有将实际的勒索软件二进制文件存储到磁盘中。恶意软件利用了反射动态链接库(DLL)注入的技术,也称reflective DLL加载,可以从内存注入DLL,不需要实际DLL文件,也不需要任何Windows加载程序即可注入。
2020年10月1日,DHS CISA发布了SlothfulMedia恶意软件家族信息;2018年6月,研究人员基于未知家庭恶意软件样本中的字符串发,布了名为IAmTheKing家族的第一份报告。
近期,美国司法部宣布,在一项由FBI牵头、名为“猎鸭行动”的行动中,来自美国、法国、德国、荷兰、英国、罗马尼亚和拉脱维亚的多国执法部门联合端掉了老牌僵尸网络Qakbot。该行动不仅摧毁了其基础设施,还在全球“拯救”了70万台受感染的设备。
Arkham是一个中等难度的靶机,但是它的难度可以和困难相媲美。其中涉及了lucks解密、JSF ViewState反序列化、ost邮件分析、UAC绕过等相关知识。ViewState反序列化漏洞让我学到了很多,虽然其中的数据是加密的,但是它提供了一个用于执行攻击的密钥使得我能够成功获取shell,上线后在电子邮件中找到了管理员密码,需要绕过UAC限制拿到最后的flag。感兴趣的同学可以在HackTheBox中进行学习。
通常的钓鱼邮件场景中office的安全问题一直都受到关注,恶意宏文档制作简单,兼容性强,并且攻击成本较小,所以整体占比较大。但是使用恶意宏进行攻击,往往需要用户进行交互,攻击的隐蔽性不强,结合Powershell的攻击方式二者结合还是可以搞一点大事情的。
日前,国外安全公司GData发现一款比较新型的恶意软件,并定义名称为Poweliks,该恶意软件能够持久的感染目标机器,比较新颖的是该软件不会在目标主机上安装任何文件。Poweliks只在计算机的注册
“我们已经成功入侵微软的GitHub私人储存库,并从中窃取了500GB的数据,本来打算在暗网上出售的,现在改变主意了,打算免费发布。”
通过向特定人群发送虚假岗位信息乃至offer,从而秘密植入后门。这一“战术”已经被多个黑客组织运用。
Windows快捷方式包含对系统上安装的软件或文件位置(网络或本地)的引用。自从恶意软件出现之初,便已将快捷方式用作执行恶意代码以实现持久性的一种方法。快捷方式的文件扩展名是.LNK,它为红队提供了很多机会来执行各种格式的代码(exe,vbs,Powershell,scriptlet等)或窃取NTLM哈希值。更隐蔽的方法是修改现有合法快捷方式的属性,但是生成具有不同特征的快捷方式可以为代码执行提供灵活性。
背景 近日,金山毒霸安全中心捕获到一例利用邮件传播的非PE样本,类型为lnk快捷方式文件,执行后会下载勒索病毒,最终会加密用户机器上的文档、图片、视频等重要文件。 引言 攻击者,通过社工(社会工程),
本篇继续阅读学习《内网安全攻防:渗透测试实战指南》,本章系统的介绍了域内横向移动的主要方法,复现并剖析了内网域方面最重要、最经典的漏洞,同时给出了相应的防范方法
有证据表明,Emotet背后的运营团队Mealybug已经从维护自己的自定义银行木马发展成为了其他组织的恶意软件的分销商。
AlienVault公司的业务主要针对中小型企业提供统一安全管理平台(USM)、开放式威胁情报交换平台(OTX)等网络安全产品,AlienVault开放威胁交换(OTX)是全球权威的开放威胁信息共享和分析网络。OTX提供了一个由威胁研究人员和安全专业人员组成的全球社区,有来自140个国家的5万多名参与者,每天贡献400多万个威胁指标。
Microsoft Office可以说是使用最广泛的办公软件。然而就是因为这样,也使它成为了黑客的主要攻击目标之一,例如在网络安全对抗赛中红队会用它来窃取域哈希,甚至执行任意代码。 从以往的攻击手法上看,在Microsoft Office中执行任意代码往往是通过宏来实现的。那么,有没有其它方法可以实现任意代码执行呢?答案是肯定的。SensePost就发现了一种利用DDE(动态数据交换)协议,来执行任意代码的方法。办公产品内有许多可通过DDE接收代码并执行的地方,本文我将为大家演示一些这类攻击的常用手
研究人员最近发现了新的黑客组织攻击活动,被命名为TA2101,其目标是在德国公司和组织安装后门恶意软件。
2022年底,卡巴斯基报告了BlueNoroff的最近活动,这是一个以窃取加密货币而闻名的经济驱动型威胁团伙。该组织通常利用Word文档,使用快捷方式文件进行初始入侵。然而,该组织最近采用了新的方法来传播其恶意软件。
近期美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞目录中增加了两个漏洞。其中一个已经在Windows支持诊断工具(MSDT)中作为零日漏洞了潜在了两年多的时间,并且它具有公开可用的漏洞利用代码。这两个安全问题的严重程度都很高,并且是目录遍历漏洞,可以帮助攻击者在目标系统上植入恶意软件。该漏洞编号为CVE-2022-34713,非正式地称为DogWalk,MSDT中的安全漏洞允许攻击者将恶意可执行文件放入Windows启动文件夹。 该问题最初是由研究员Imre Rad于2020年1月向微软报告的
卡巴斯基实验室(Kaspersky Lab)ICS CERT发现了一系列带有恶意附件的网络钓鱼电子邮件,主要针对的是与工业生产相关的企业和机构。网络钓鱼电子邮件伪装成合法的商业邀请函,主要被发送给位于俄罗斯的工业企业,且每一封电子邮件的内容都与目标收件人所从事的工作有很大的相关性。
Phobos 勒索软件是 Dharma/Crysis 勒索软件的变种,自从 2019 年被发现后攻击活动一直很活跃,但样本的迭代升级并不多。
在iPhone和Mac之间共享联系人很容易,因为这两个设备都是在苹果的云中同步的。但你知道你也可以与Windows10电脑共享iPhone联系人吗?下面开始讲解!
最近,利用冠状病毒爆发事件展开的攻击活动频出,主要的攻击形式为针对个人的网络钓鱼。基于这个现状,笔者整理了几类比较典型的攻击案例,借此希望帮助大家更好地识别虚假、恶意信息。
大量带有恶意附件的电子邮件发送到南美洲与欧洲的企业。从 2022 年 8 月 12 日开始针对西班牙、葡萄牙、罗马尼亚和南美洲多个国家的企业进行发送,后续针对德国与阿根廷的企业发起了更大规模的攻击,迄今为止已经发送了超过 26000 封邮件。
研究人员近日发现攻击者使用 DBatLoader 分发 Remcos RAT,并且主要针对东欧的机构与企业进行攻击。DBatLoader 通常会滥用公有云基础设施来部署恶意软件,而 Remcos RAT 也是各种网络犯罪分子经常使用的远控木马。 攻击者常常会通过钓鱼邮件分发远控木马,也会利用存储在压缩文件中的 TrickGate 加载程序、恶意 ISO 文件以及嵌入图片中的 VBScript 脚本 URL 进行传播。最近,乌克兰 CERT 披露了有关针对乌克兰国家机构进行攻击的行为,攻击中使用了加密的压缩文
用Python自动化日常任务很容易。通过api和库的结合,您可以轻松地设置系统来抓取网站、发送电子邮件、管理数据和分析。
Discord上的一项新恶意软件活动使用Babadeda加密器来隐藏针对加密、NFT和DeFi社区的恶意软件。
Proofpoint 在一份报告中指出 TA453 使用各种云托管服务提供了一个新感染链,该链部署了新确定的 PowerShell 后门 GorjolEcho。一旦得到机会,TA453 就会移植其恶意软件,并试图启动一个名为 NokNok 的苹果风格的感染链。此外,研究人员发现 TA453 还在其无休止的间谍活动中使用了多角色模拟。
在这篇文章中,我们将从攻击者的角度介绍如何使用Azure信息保护(Azure Information Protection,AIP)来改进网络钓鱼技术。这个想法是在一次测试工作过程中产生的,当时我正在为无法将钓鱼邮件投递到用户的收件箱中而绞尽脑汁,因为它在途中就被沙箱拦截了。后来,我突然想到可以借助AIP(Rights Management Service,权限管理服务)来保护附件,甚至电子邮件,使得它们只能被指定的收件人打开。这样一来,即使沙箱截获了相关的文件也没有关系,因为它根本无法读取其中的内容。
一、发送邮件的配置 在学习flask-mail来发送电子邮件的时候遇到了一些问题,其实都是些小问题,现在记录下来以便于以后查看。 1、首先flask-mail的安装 pip install flas
把 Copilot 按钮放在 Windows 桌面的任务栏,甚至实体键盘上,用大模型提升每个人的生产效率。
关于DataSurgeon DataSurgeon是一款多功能的数据提取工具,该工具专为网络安全事件应急响应、渗透测试和CTF挑战而设计。在该工具的帮助下,广大研究人员可以快速从文本内容中提取出各种类型的敏感数据,其中包括电子邮件、电话号码、哈希、信用卡、URL、IP地址、MAC地址、SRV DNS记录等等! 该工具基于Rust语言开发,当前版本的DataSurgeon支持在Windows、Linux和macOS操作系统上使用。 提取功能 1、电子邮件; 2、文件; 3、电话号码;
项目地址 https://github.com/Al1ex/APT-GUID 📷 项目介绍 整理APT领域的一些资料,涉及但不仅限于以下几个方面 APT攻击工具 APT分析报告 APT攻击技巧 工具整理 信息收集 主动情报收集 EyeWitness可以获取网站的屏幕快照,提供一些服务器信息,并在可能的情况下标识默认凭据 https://github.com/ChrisTruncer/EyeWitness AWSBucketDump 可用于快速枚举AWS S3 Buckets以寻找战利品的工具 https
由于红队不同于一般的渗透测试,强调更多的是如何搞进去拿到相应机器权限或者实现某特定目的,而不局限于你一定要在什么时间,用什么技术或者必须通过什么途径去搞,相比传统渗透测试,红队则更趋于真实的入侵活动,这种场景其实对防御者的实战对抗经验和技术深度都是比较大的挑战
相信大多数人第一次看到“无文件恶意软件”时都会心生疑问,真的没有文件?没有文件又如何实施攻击?如何检测?如何防御……别急,通过本篇文章,将为你解答所有疑惑!
在赛门铁克《互联网安全威胁报告》中,对2018年全球威胁活动、网络犯罪趋势和攻击者动机进行了深入剖析,提出了自己的最新见解。其中,分析数据来自全球最大的民用威胁情报网络,即赛门铁克全球情报网络。该网络覆盖全球1.23亿个攻击传感器,日均拦截威胁数量达1.42亿个,有效跟踪全球157多个国家/地区的威胁活动。
Lazarus跨平台框架 攻击者正在不断开发自己的TTP(战术,技术和程序)和工具集。但是,多平台恶意工具集很少见,7月报告了Lazarus开发的多平台恶意软件框架。研究人员在2018年4月发现该框架的第一批样本(称为“ MATA”)。从那时起,Lazarus不断开发MATA, 现有适用于Windows,Linux和macOS操作系统的版本。 MATA框架由几个组件组成,包括加载器,协调器(一旦设备被感染,负责管理和协调进程),一个C&C服务器和各种插件。 Lazarus已使用MATA渗透到世界各地的组织
电子邮件在我们日常生活中有着广泛的应用,在注册各类网站时,通常需要发送验证码作为身份验证,邮箱验证和短信验证一样,也是身份验证的一种重要方式。电子邮件的出现可以方便我们的正常收发邮件,但由于垃圾邮件过多,严重影响了人们使用电子邮件的使用体验,人们需要花费更多的时间去过滤没有用的邮件,同时也浪费了网络邮件的电子资源。
本篇文章我们主要介绍MailSniper的几个模块(Get-GlobalAddressList、Invoke-PasswordSprayOWA、Invoke-PasswordSprayEWS)在渗透中的应用
领取专属 10元无门槛券
手把手带您无忧上云