Yara规则 YARA（Yet Another Recursive Acronym）是一种用于识别和分类恶意软件的工具。它是恶意软件研究和反病毒领域的重要工具。YARA规则是一种描述文件或内容特征的文本格式，用于检测和识别文件中的特定模式或特征。 一个Yara规则由三部分组成，规则名称和元数据、字符串部分以及条件部分。 规则名称和元数据： 每个YARA规则都有一个唯一的名称。 元数据部分包含作者

person 发表于 美国 · 986浏览 · 2024-07-29 09:28

翻译：https://www.proofpoint.com/us/blog/threat-insight/clipboard-compromise-powershell-self-pwn 关键发现 Proofpoint的研究人员发现了一种越来越流行的技术，该技术通过巧妙的社会工程手段诱导用户运行PowerShell并安装恶意软件。 研究人员注意到，威胁行为者TA571和ClearFake活动集群

朝闻道 发表于 湖北 · 825浏览 · 2024-06-18 07:52

原文：https://www.elastic.co/security-labs/dipping-into-danger WARMCOOKIE 一览 Elastic Security Labs 在四月下旬观察到了一波针对环境的电子邮件营销活动，这些营销活动部署了一个基于通过 HTTP cookie 参数发送的数据的新后门，我们称之为 WARMCOOKIE。在初步处理过程中，我们的团队发现代码与 e

七*r 发表于 河北 · 708浏览 · 2024-06-17 09:27

翻译：https://www.huntress.com/blog/smugglers-gambit-uncovering-html-smuggling-adversary-in-the-middle-tradecraft 太长不看 Huntress发现了一个大规模网络钓鱼活动的基础设施，其中可能包括一些新颖的网络攻击手法，这些手法结合了HTML隐藏技术、iframe注入以及通过透明代理进行会话劫持

朝闻道 发表于 湖北 · 875浏览 · 2024-06-13 06:30

REF: https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed/ 前言： 自2024年3月以来，IBM X-Force一直在追踪几起大规模的网络钓鱼攻击活动，这些攻击活动传播了Grandoreiro银行木马，该木马很可能是作为一种恶意软件即服务（MaaS）运作的。对恶意软件的分析揭示了字符串解密和

vghost 发表于 北京 · 1111浏览 · 2024-06-07 03:27

概念介绍 DOS(Denial of Service，拒绝服务攻击)是指攻击者通过向目标系统发送大量请求或利用系统漏洞使其无法正常提供服务或资源给合法用户的一种攻击手段，DOS攻击的目标是削弱或完全中断目标系统的正常运行，导致服务不可用，与之相近的DDOS则主要是指流入受害者的流量来自许多不同的来源，DOS或DDOS攻击类似于一群人挤进商店或企业的大门，不让合法的一方进入商店或企业，扰乱正常的运作

Al1ex 发表于 四川 · 839浏览 · 2024-06-07 02:10

翻译：https://www.cyfirma.com/research/vidar-stealer-an-in-depth-analysis-of-an-information-stealing-malware/ 在CYFIRMA，我们致力于提供有关普遍威胁和恶意实体使用的策略的最新见解，这些威胁和策略针对的是组织和个人。这项深入的研究关注于Vidar Stealer，一种作为服务型恶意软件运行的

面包and牛奶 发表于 山东 · 779浏览 · 2024-06-06 13:12

网页篡改实验 【实验目的】 通过本次实验需要掌握如何判断网页篡改，同时还需掌握相关的网页篡改的应急响应的排查方式，学会相关的系统，日志，漏洞发现，安全加固等技能。 【知识点】 进行此实验需要掌握判断网页篡改的方式，系统排查方法，日志排查方法，网神漏扫的使用以及椒图相关的waf加固。知识点详情参考任务文档预备知识。 【场景描述】 A企业的web服务器遭遇到黑客攻击，服务器上的网站首页被黑客劫持，当正

1406690967378372 发表于 上海 · 1739浏览 · 2024-05-31 08:20

MySQL安全加固 【实验目的】 通过本实验掌握并实现MySQL基础加固。 【知识点】 1. validate_password插件 （1）validate_password插件是mysql5.6以后可以引入的一个新密码校验插件,可通过配置对用户密码长度、强度进行管理。validate_password文件名后缀根据平台的不同而不同(例如：.so对于Unix和类Unix系统，.dll对于Windo

1406690967378372 发表于 上海 · 1020浏览 · 2024-05-31 15:01

翻译：https://www.synacktiv.com/publications/hijacking-github-runners-to-compromise-the-organization ；由于该文章的遣词造句非常拗口，译者会加入注释，来帮助读者更好的理解这篇文章的技术。 0X00 前言 在最近的一次工作中，我们设法侵入了一个企业关于允许注册自托管运行器的GitHub应用程序。事实证明，

面包and牛奶 发表于 日本 · 739浏览 · 2024-06-02 08:05

0X00 前言 电子证据必然要成为未来法治社会的“证据之王”。笔者作为一个咨询方向的小白，笔者觉得笔者有必要知道电子证据是什么？电子证据如何取证？电子证据如何审查？电子证据如何运用？电子证据的证明是怎么进行的？ 一般情况下，提到电子证据，大家想到的第一件事情就是，能不能通过电子证据确定犯罪？如果判定为犯罪，那么电子证据的入门门槛是多少？答案非常简单50条就够了（我们也要注意电子证据量刑不均衡的特

面包and牛奶 发表于 日本 · 753浏览 · 2024-06-01 07:53

一、前言 此次分析样本来源于开源威胁情报，样本单链路多阶段执行，使用了白加黑、测加载等技术，其中所有C2均使用非自有第三方合法资源托管恶意载荷。 这可能是考虑于免杀成本、安全策略绕过等原因，对这类广撒网的恶意邮件投递也不再直接投递远控本体，也是近年许多APT组织战术手法的发展趋势。 二、背景 据信APT28是有俄罗斯国家背景的黑客组织，此类手法首次曝光于某国计算机应急响应小组报告中。 三、病毒样本

qianlan 发表于 日本 · 956浏览 · 2024-05-31 09:17

一、前言 此次分析样本来源于开源威胁情报渠道，样本多阶段链路执行，最终由二进制".a3x"(经编译的AutoIt脚本)文件释放和执行Darkgate恶意软件，其中初始恶意载荷”.html“有比较巧妙的构思。使用的部分手法相对少见，整体执行链路制作也比较精致，遂学习记录。 二、背景 此次样本暂未同源到APT背景，但是就检索到同类型样本的诱导描述、钓鱼邮件投递目标来看，是针对韩国政务或其他单位组织实

qianlan 发表于 日本 · 1001浏览 · 2024-05-28 07:19

引言 在当下, ChatGPT 爆火, 大量产品开始接入到 ChatGPT 等 AI 工具. 但是, 在这个新兴的领域, 在与用户交互的时候如果被别有用心的人进行提示词攻击, 可能会泄露喂给 GPT 的数据, 更甚至于污染提示词, 导致其他用户的输入数据被外带泄露. 研究研究这类安全问题显得也比较重要了. 前置 如无特别说明, 以下我们针对的是 OpenAI 的 gpt-3.5-turbo-012

kengwang 发表于 四川 · 2952浏览 · 2024-05-27 17:10

通过结合正则表达式、Whois 记录和域名注册商来跟踪 APT SideWinder 域名 威胁行为者通常利用基于域的基础设施来托管和促进恶意操作。当他们部署这些新域时，常常会无意间留下某些特征或行为模式。这些模式可以被用来创建签名，从而将当前的恶意活动与过去已知的活动关联起来。 开发这些签名可能相当困难，并且很少有关于如何执行这些签名的公开文档。今天，我们将研究在 X/Twitter 上共享的一

朝闻道 发表于 湖北 · 785浏览 · 2024-05-30 08:43