2024-02-03 微信公众号精选安全技术文章总览

洞见网安 2024-02-03

0x1 Windows 应急响应手册发布

NOP Team 2024-02-03 22:46:07

愿心中的火永不熄灭！

0x2 常规安全检查阶段 | Windows 应急响应

NOP Team 2024-02-03 22:46:07

愿心中的火永不熄灭！

0x3 冰蝎魔改(特征混淆流量加密)

Piusec 2024-02-03 15:27:56

魔改冰蝎可以更改流量特征以及添加自己的加密协议，从而达到免杀的效果，因为强特征杀毒软件很容易识别，当我们修改了特征它就无法判断是否为恶意流量，更改协议也是一个道理，杀毒软件病毒库里面已经存放了冰蝎中内置的6个加密协议。

0x4 记录第一次申请CVE编号过程

安全逐梦人 2024-02-03 14:24:37

本文记录了作者首次申请CVE编号的过程。作者选择对小型CMS进行代码审计，最终发现MRCMS存在存储型XSS漏洞和任意文件读取漏洞。在SystemController.java中的set方法中，未对输入进行任何过滤，导致XSS漏洞。而在FileController.java的edit方法中，通过GET请求可以跨目录读取文件，存在任意文件读取漏洞。作者详细分析了漏洞产生的代码路径。随后，作者介绍了CVE编号的申请流程，包括在CVE官方网站查询是否已有相关漏洞，并提交申请。最终，作者在一个月后成功获得CVE编号。

0x5 威胁情报 | APT-K-47 组织利用新木马工具发起窃密攻击活动

知道创宇404实验室 2024-02-03 10:00:36

本文报道了知道创宇404高级威胁情报团队对APT-K-47组织最新活动的详细分析。APT-K-47，又称Mysterious Elephant，起源于南亚地区，攻击活动最早可追溯至2022年。其攻击手法主要围绕社会工程学，使用CHM、CVE-2017-11882漏洞文档和WinRAR漏洞进行钓鱼。攻击目标涵盖俄罗斯、巴基斯坦、孟加拉国、美国等国家。2023年8月，曝光了APT-K-47的攻击工具ORPCBackdoor。最新攻击中，该组织使用一款未公开的木马工具，成功入侵后下载ORPCBackdoor及其他恶意载荷，窃取文件并将数据回传至C2服务器。攻击者还窃取了浏览器密码信息。详细分析了攻击链，包括三个恶意载荷：ORPCBackdoor、DemoTrySpy（窃取Chrome密码）和NixBackdoor。WalkerShell用于磁盘遍历和文件回传，Nimbo-C2作为C2框架。总体而言，APT-K-47组织在2024年2月再次展开攻击活动，使用新的入侵方式和工具，展现了其持续演进的趋势。

0x6 逐步探索Antivirus和 EDR 规避技术-第3部分

安全狗的自我修养 2024-02-03 08:40:35

0x7 “定时监控并自动关闭指定的多进程的脚本”

蓝胖子之家 2024-02-03 06:00:33

该文章介绍了一款定时监控并自动关闭指定多进程的脚本，适用于清理电脑上不必要的后台进程，提高系统性能和工作效率。通过在tk.txt文件中逐行写入需要关闭的进程名称，脚本定时执行，自动关闭这些进程。脚本采用UTF-8编码以支持中文字符显示，并通过设置命令行窗口的标题、大小和颜色提升用户体验。脚本通过tasklist和taskkill命令实现进程的查找和终止，成功关闭的进程会在命令行窗口中输出时间和进程名称，失败则输出错误信息。用户可通过观察命令行窗口中的信息了解进程的关闭情况。使用方法简单，只需创建tk.txt文件，将需要关闭的进程名称逐行写入，与脚本文件放在同一目录下，双击运行即可。脚本会每隔10秒循环执行一次，直到手动关闭命令行窗口或按下Ctrl+C终止脚本。

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：洞见简报【2024/2/3】