2024-01-28 微信公众号精选安全技术文章总览

洞见网安 2024-01-28

0x1 结合使用 MiniDumpWriteDump、Donut 和进程注入技术来逃避 Windows Defender 检测

安全狗的自我修养 2024-01-28 22:36:18

本文介绍了一种结合使用 MiniDumpWriteDump、Donut 和进程注入技术来逃避 Windows Defender 检测的方法。通过使用 MiniDump 工具而非常见的 Mimikatz，作者试图演示 MiniDump 的使用并探索逃避 Windows Defender 检测的手段。文章分为准备 MiniDump 恶意软件、使用 Donut 生成 MiniDump 可执行文件的 ShellCode、使用 Golang 注入器创建可执行文件的步骤。作者详细测试了纯 MiniDump、异或加密和注入的组合，发现仅使用 MiniDump 或异或加密容易被 Windows Defender 检测，而结合 MiniDumpWriteDump 函数、XOR、Donut ShellCode 和 Golang Injector 的方式则能成功逃避检测。文章通过 Sysmon 进行检测，展示了相应的事件 ID 配置，包括进程创建、图像加载、进程访问、文件创建等。作者还分析了注入后记事本进程加载的 DLL 文件，发现与 Windows 操作系统上的反恶意软件扫描接口 (AMSI) 相关的 DLL，以及与 Microsoft 调试工具关联的 DLL。最后，作者总结该技术仅适用于 Windows 10，不适用于最新的 Windows 11，同时提到 Sysmon 在检测时需要详细配置，但可能对计算机产生大量日志。

0x2 通过VBS脚本下载文件并执行

Relay学安全 2024-01-28 21:28:57

本文讨论了通过VBS脚本下载并执行文件的技术细节。首先介绍了将可执行文件的后缀更改为其他格式，如.png，以规避静态扫描的安全考虑。文章详细解释了通过conhost（Console Host Process）运行可执行文件的方法，使其看似是一个图片文件。接着，文章提供了VBS脚本的详细代码，通过COM对象和Microsoft.XMLHTTP实现文件下载。为了规避检测，作者使用了GUID进行对象获取。下载的文件可以是图片格式，如.png或.jpg，以增加操作安全性。最终，VBS脚本将下载的文件复制到C:UsersPublic目录，并通过conhost执行。演示展示了脚本成功上线，并通过进程名变化增加潜在的安全性。读者被提醒在传播时注意操作安全性，以避免直接下载可执行文件。

0x3 第七节：云上容器安全威胁（四）防御逃避与窃取凭证

东方隐侠安全团队 2024-01-28 16:06:09

本文作为该系列第六节

0x4 网络运维及安全基础：MAC地址全面介绍之一

wavecn 2024-01-28 15:52:38

网络上虽然有不少关于 MAC 地址的科普内容，但都不完整甚至已经过时，知识需要不断更新。

0x5 密码破译主流工具和口令库

二进制空间安全 2024-01-28 09:24:57

现代信息社会中，密码安全至关重要。文章介绍了密码口令库和破解工具。密码口令库包括常用弱密码，统计显示国内用户使用频率最高的25个弱密码。Kali系统和SecLists提供了弱口令单词列表。CUPP工具可以根据个人信息生成定向的单词列表。登录暴力破解工具Hydra支持SSH、FTP、Web服务器等服务。BurpSuite是专为渗透测试设计的工具集，其中的Intruder功能可进行密码暴力破解。Hashcat利用GPU进行密码破解，支持多种攻击模式。John The Ripper是另一强大密码破解工具，支持字典攻击、暴力攻击和基于规则的攻击。文章将分别介绍每款工具的详细用法。

0x6 信息收集-资产泄露

小黑子安全 2024-01-28 08:30:13

本文介绍了信息收集中的资产泄露问题。首先讨论了通过获取网站备份压缩文件实现源码泄露的漏洞，指出网站管理员不良的备份习惯可能导致此问题。以www.Xiaoheizi.fun为例，说明了在备份网站源码的当前目录下或上一级目录里可能存在备份文件，从而导致源码泄露。接着，文章提到了SVN源码泄露问题，说明了SVN版本控制系统在发布代码时未使用‘导出’功能可能导致.svn隐藏文件夹暴露于外网环境。通过演示http://trafficbonus.com/的情况，展示了如何利用.dirsearch文件扫描工具检测.svn文件夹的存在，以及通过SvnHack工具进行Svn信息泄露辅助。最后，文章提及了利用PHP特性中的composer.json文件泄露网站配置信息的方法，通过在网站url后添加/composer.json进行检测。总体而言，本文通过具体案例分析了不同方式的资产泄露问题，为网络安全学习者提供了实用的信息收集技巧。

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：洞见简报【2024/1/28】