情报背景在CVE-2022-41091的安全补丁更新后,Windows会将MoTW标记传播到ISO中包含的所有内容并在文件打开时显示安全警告,这意味着用ISO等非NTFS格式文件打包恶意宏文档进行投递...
攻击技术研判 | 绕过Chrome安全首选项无交互安装恶意扩展
情报背景近期,Volexity发现了一个在成功入侵目标系统后部署于Google Chrome上的恶意扩展。扩展利用VBS脚本通过修改相应配置文件,绕过Chrome安全首选项机制进行安装而无需用户交互,...
攻击技术研判 | 宏文档攻击及Python恶意载荷防御规避新思路
情报背景近期卡巴斯基的研究人员发布了针对DeathStalker的追加分析报告,攻击者对攻击链的隐蔽性进行了较大的改进,在宏文档攻击日渐式微的今天带来一些新鲜的检测对抗思路。本文将对攻击者在宏文档攻击...
攻击技术研判 | 曝光一周年,向日葵RCE漏洞在野利用再现
组织名称未知战术标签打击突破、命令控制、防御规避技术标签向日葵RCE、BYOVD、防御削弱情报来源https://asec.ahnlab.com/en/47088/情报背景ASEC的安全研究员于本月发...
攻击技术研判 | 针对仿真与静态分析的代码混淆技术
情报背景近期,SentinelLABS的研究员补充了在首届LabsCon上介绍的Metador的Mafalda后门相关信息,对其中代码混淆的分析与仿真对抗技术进行了深入的介绍。Mafalda在一定程度...
攻击技术研判|滥用Web3的变色龙网络钓鱼攻击
情报背景Web 1.0时代大部分网站由静态页面组成,Web 2.0是基于“网络作为平台”的理念,并以用户创建的内容为中心,上传到论坛、社交媒体和网络服务、博客以及其他服务。“Web3”指的是“基于区块...
攻击技术研判 | 后宏时代:PPT鼠标悬停事件的新利用
情报背景近期,Cluster25的研究员发现了全新的PowerPoint代码执行技术。攻击者罕见地利用了PPT中的鼠标悬停事件来执行代码,以此作为恶意宏与URL超链接的替代方案,使得钓鱼文档在宏被严格...
攻击技术研判|狡兔三窟,寄生公开服务的隐匿文档攻击
情报背景近期来自PT Expert Security的研究人员发布了关于Cloud Atlas攻击团伙近期的文档钓鱼攻击的分析报告。本文将对Cloud Atlas在本次攻击事件中的邮件网关绕过技术、借...
攻击技术研判 | 钓鱼攻击技术的再升级
情报背景近期,Splunk 威胁研究团队对QakBot的攻击手法的演进进行了分析,在这之中不乏有各种技术的改进利用和创新。其中,QakBot在对钓鱼技术的改进更是细腻,本文将对文中的钓鱼技术改进进行剖...
攻击技术研判|Roshtyak中使用的内存防御规避策略
情报背景AVAST的研究人员近期对Roshtyak恶意DLL进行了完整逆向,揭示了很多其使用的高级样本技巧,这些技巧非常有趣且属于首次出现,被AVAST认为Roshtyak是他们见过反分析最成功的恶意...
攻击技术研判|利用.NET NativeAOT特性的新型攻击手法
情报背景近期来自WithSecure的安全研究人员对名为DUCKTAIL的攻击组织的攻击活动,及其.NET武器化迭代过程进行了分析。该组织使用.NET作为其主要武器的开发语言,并依据实战需要测试与调整...
攻击技术研判|一种在行末隐藏有效载荷的新供应链攻击技术
情报背景近期,Phylum检测到数十个新发布的Pypi软件包执行供应链攻击,在这些软件包中,通过隐藏的__import__将窃取程序投递到开发人员的机器上。攻击者利用代码审核者所使用IDE默认的不换行...