翻译：https://www.genians.co.kr/blog/threat_intelligence/dropbox 太长不看 通过冒充政策会议、咨询会议、调查问卷、讲座指导等方式引诱他人 最初的方法从普通电子邮件开始，并使用反应式鱼叉式网络钓鱼策略 合法利用Dropbox的多级攻击链和TutorialRAT攻击 确认是 APT43 组织 BabyShark 威胁活动的延伸 1. 概述

朝闻道 发表于 湖北 · 1000浏览 · 2024-05-06 08:40

遍历MiniFilter的CommunicationPort 前言 MiniFilter是Windows操作系统的一个文件过滤驱动的框架。 CommunicationPort是MiniFilter的一个用来通讯（通常是和应用层）的手法。 CommunicationPort比DeviceIoControl更加高级，先进，好用。具体的不再这里论述了 CommunicationPort即是ServerP

correy · 807浏览 · 2024-05-06 01:05

遍历Windows操作系统的网卡驱动 前言 Windows操作系统的网卡驱动，大多是通过NdisMRegisterMiniportDriver注册的，即常说的MiniportDriver。 关于硬件的，物理的网卡的驱动，少有人去搞它，除非了解它的原理和性能啥的。 但是关于虚拟的网卡，可以搞一搞，也许能搞出一些事情来，如：VPN等其他的网络安全通讯等。 IDA的简单分析 NdisMRegisterM

correy · 677浏览 · 2024-05-06 01:03

原文链接：https://intezer.com/blog/incident-response/intro-to-malware-net-executable-file/#h-conclusions 欢迎来探讨.NET恶意软件逆向的世界。作为一名安全人员，你可能知道.NET 框架是一把双刃剑，该框架因其能够实现快速而强大的应用程序开发而受到普通开发者和恶意程序编写者的欢迎。 为什么要投入时间和精力

likemeatl 发表于 广东 · 827浏览 · 2024-05-03 10:27

翻译： https://medium.com/@sam.rothlisberger/embed-a-malicious-executable-in-a-normal-pdf-or-exe-81ee5339707e 免责声明：使用这些工具和方法对未获得明确许可的主机进行测试是非法的。使用这些工具和方法可能造成的任何麻烦均由您自行负责。 今天，我们将展示如何创建一个看起来像 PDF、word文档或网

朝闻道 发表于 湖北 · 875浏览 · 2024-04-30 05:16

翻译：https://www.deepinstinct.com/blog/uncorking-old-wine-zero-day-cobalt-strike-loader 执行摘要 深度本能威胁实验室发现疑似针对乌克兰的针对性行动 该操作使用CVE-2017-8570作为初始向量 该行动无法归因于任何已知的威胁行为者 该行动使用了针对Cobalt Strike Beacon的定制加载器。 活动概览

朝闻道 发表于 湖北 · 595浏览 · 2024-04-29 08:33

WinAPI（Windows API）是指微软公司提供的用于开发 Windows 系统应用程序的一组应用程序编程接口（API）。它为开发人员提供了访问 Windows 操作系统的底层功能和服务的途径，使开发者能够创建 Windows 应用程序、驱动程序和其他系统软件 首先设置导入c语言库 #include <windows.h> #include <stdio.h> #i

Ba1_Ma0 发表于 四川 · 1172浏览 · 2024-04-28 07:31

原文链接：https://riccardoancarani.github.io/2023-11-07-attacking-an-edr-part-3/ 介绍 DISCLAMER：这篇文章是与Devid Lana合作完成的。你可以在这里找到他的博客：https://her0ness.github.io 在本系列的第三部分也是最后一部分中，我们将更深入地挖掘 EDR 的upload进程，并发现一些逻辑

n1ji1 发表于 北京 · 794浏览 · 2024-04-27 06:25

前言 本来想着挖掘一个白加黑，通过已经加载的DLL，给他替换掉，然后利用的这个过程，随后就有了这篇文章。 1.分析程序 1.1签名验证？ 前面的操作就不说了，发现加载了的DLL中有两个DLL，然后放在一起，我们运行后发现了，会提示签名验证失败。 这里我看了下，验证他的签名是对的，但是为什么会这样，随后我注意到了它加载的DLL可能会很多，也注意到了，对于一些加载的dll他都会验证签名： 并且会

cmrex 发表于 广东 · 1096浏览 · 2024-04-26 02:50

翻译：https://decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining/ 简介 Avast 发现并分析了劫持 eScan 防病毒更新机制以分发后门和挖矿程序的恶意软件活动 Avast 向 eScan 防病毒软件和印度 CERT

朝闻道 发表于 湖北 · 739浏览 · 2024-04-25 01:35

简介 - 我们离开的地方 DISCLAMER：这篇文章是与Devid Lana合作完成的。你可以在这里找到他的博客：her0ness - 攻击 EDR 第 2 部分 从我们上次的研究开始，我们继续探索 EDR 解决方案的攻击面，在我们的审查下 STRANGETRINITY。上次，我们重点介绍了 EDR 配置中的排除项（可以理解为白名单），这些排除项允许我们执行其他方式无法执行的操作。这一次，我们的

n1ji1 发表于 北京 · 504浏览 · 2024-04-24 13:49

原文链接：https://riccardoancarani.github.io/2023-08-03-attacking-an-edr-part-1/ 译者开头说两句 这个系列的文章主要不是将通过一些流量加密，SYSCALL，内存加密等等操作来绕过EDR检测，而是从EDR产品设计的角度来寻找可能存在的缺陷（毕竟EDR也是一款软件，同样可能存在某些设计缺陷），通过缺陷来篡改EDR本身的功能，从而达到

n1ji1 发表于 北京 · 737浏览 · 2024-04-22 16:12

翻译：https://www.mcafee.com/blogs/other-blogs/mcafee-labs/redline-stealer-a-novel-approach/ 作者：Mohansundaram M 和 Neil Tyagi 在野观察到 Redline Stealer 木马的新压缩包变体，它利用 Lua 字节码执行恶意行为。 mcafee遥测数据显示，这种恶意软件非常流行，覆盖

朝闻道 发表于 湖北 · 677浏览 · 2024-04-20 14:29

翻译：https://asec.ahnlab.com/en/64106/ AhnLab安全情报中心（ASEC）最近确认Notepad++的基本插件“mimeTools.dll”已被修改和分发。恶意 mimeTools.dll 文件包含在某些版本的 Notepad++ 软件包安装程序中，并伪装成合法的软件包文件。 mimeTools是一个执行Base64等编码功能的模块，如下图所示，基本上已经包含在

朝闻道 发表于 湖北 · 848浏览 · 2024-04-19 07:16

Windows PE程序底层结构分析 PE（Portable Executable）是一种Windows操作系统下可执行文件的标准格式 Windows PE程序结构和Linux的elf程序结构类似，首先一个名为simple64.exe程序里有一个头文件和一个段文件，头文件里主要存放的是可执行文件的技术详细信息，段文件里主要存放的是可执行文件的内容 在头文件里的内容有DOS头信息，PE的头信息，

Ba1_Ma0 发表于 四川 · 1110浏览 · 2024-04-17 09:26