“满当当的昨天，
富意义的今天～”

今日主题：01 HW日记、02 冰蝎3.0更新

01 HW日记

今天打探的几家比较安静，监控告警安静、各个群安静，情报信息比较少。可能因为昨天用力过猛吧，相对昨天安静。

但也有个别说快被打穿了。。。

看来攻击的目标都是很集中的，先挑软柿子捏吧

虽然大多数防守相对很安静，但是还是要提高警惕，不高估对手，也不低估对手。

两天过去了，hw过去了七分之一，希望后面的日子都安安静静滴，大家开开心心的回家。

希望今年  依旧平安夜，希望今年  看到更多的技术手段。希望今年  认识更多优秀的网络安全人才。

总之今天，一切还是静悄悄的

今年如去年一样啊，出入机房调试设备，但是还好，今年做足了准备，穿厚了衣服～

去年hw日志：

一年中，四月是很美好的一个月

又到了人间四月天

北方-花红柳绿的时节，万物复苏，呈现出生机勃勃的美丽景象。

南方-四月的小雨，四月的微风

在最美的四月天里，不负春光，光芒万丈。

“生活不会因为进入了黑夜而停止 凌晨一点也有灯光闪闪发亮 意思是你不动 生活会推着你走 每个人都很累 但每个人都在自己的世界里好好努力 无论你当前在坚持什么 请别轻易放弃”

送给每一个还在苦苦坚持的网安人儿～愿今年hw，各位收获满满～

今日情报：来源于毕方安全实验室

CS TeamSever新增IP(0408)

175.24.95.2
154.216.84.221
204.44.76.161
42.51.14.210
36.112.132.29
134.122.133.134
157.119.95.51
154.216.82.15
168.206.185.206
120.77.33.117
176.121.14.229
54.169.224.86
46.246.84.74
185.141.26.140
168.206.186.211
168.206.191.193
121.4.213.91
135.181.123.20
154.216.82.6
168.206.186.221
124.71.160.77
162.0.213.149
91.134.124.63
124.70.82.229
45.32.32.213

CS TeamSever新增IP(0409)

60.25.162.218
1.15.177.188
82.156.183.99
47.118.33.103
147.135.78.150
119.29.70.150
192.161.51.168
49.7.211.25
121.199.62.198
147.135.76.211
106.14.133.133
8.140.75.86
194.36.191.12
47.242.233.1
194.26.25.131
149.28.14.175
8.140.150.177
47.110.147.243
104.168.166.124
54.38.106.100
139.129.243.114
45.76.25.185
114.118.5.91
119.45.207.42
8.135.50.123
81.68.193.109
158.247.197.131
8.135.53.33
68.183.17.92
82.156.244.34
160.124.162.136
172.105.86.5
47.111.176.86
18.216.148.237
51.81.131.76
68.183.50.245
45.76.51.228
180.215.199.245
43.242.201.131
47.93.243.111
45.76.195.42
198.46.190.14
8.141.60.36
23.98.34.144
167.179.72.115
167.179.68.203
111.229.90.183
45.77.171.104
103.56.19.57
39.105.66.241
168.206.187.202
209.250.242.234
119.28.55.55
47.242.57.81
52.65.139.101
213.227.154.171
45.76.177.3
154.216.78.119
35.246.190.253
119.29.38.129
81.70.9.196
218.253.251.103
107.174.240.180
152.136.99.26
34.92.195.182
45.88.12.225
147.135.79.43
40.76.215.67
216.83.53.150
128.199.185.87
47.110.136.82
8.140.183.180
149.248.52.105
47.100.100.6
47.94.44.158
47.94.222.68
47.118.63.29
107.148.165.150
43.242.201.130
1.15.48.111
147.135.78.220
47.150.224.26
42.180.125.165
39.103.211.111
91.241.19.169
82.156.176.60
49.234.90.76
147.135.78.200
107.174.65.5
94.140.115.211
149.28.166.109
103.234.72.97
43.242.201.132
152.32.174.16
46.161.27.203
8.142.1.28
72.237.117.122
45.63.114.237
113.118.192.111
94.191.81.202
45.77.42.219
134.209.68.131
77.83.159.52
147.135.78.53
167.179.109.158
47.119.132.237
158.247.219.80
207.148.105.228
168.206.184.208
43.242.201.134
186.202.57.168
52.229.173.177
45.76.195.242
13.80.156.175
83.167.16.138
207.148.106.234
202.182.102.20
23.224.4.18
112.74.48.255
121.43.175.108
104.42.133.202
23.94.4.62
47.117.118.10
5.154.191.141
51.158.169.165
103.30.40.221
47.97.90.50
49.235.232.178
68.183.97.181
23.224.4.22
81.69.199.142
168.206.186.216
45.77.12.223
147.135.78.239
185.106.123.103
8.130.28.250
14.128.35.168
63.32.43.70
174.138.0.82
139.180.194.158
185.106.123.107
92.38.163.46
51.81.153.75
39.105.171.24
45.77.75.175
47.113.192.46
42.51.34.77
108.61.220.42
121.41.231.75
147.135.78.119
111.229.90.33
122.237.103.68
83.171.236.24
104.248.127.227
104.225.235.176
198.74.125.224
49.234.93.169
45.63.124.77
23.224.4.21
103.56.19.130
89.45.4.80
81.68.119.112
45.76.49.68
111.177.18.141
18.191.148.25
45.76.208.172
144.126.220.248
103.234.72.155
52.188.70.29
20.185.56.169
80.78.23.214
34.96.250.204
154.44.177.192
51.81.134.160
1.15.220.135
157.119.95.53
61.124.39.43
192.161.161.67
157.119.95.54
107.172.29.162
1.14.4.51
119.45.200.223
81.70.78.198

钓鱼邮件

钓鱼邮件【可信度 100%】 

        来源网络情报，发现钓鱼邮件内含有恶意 execl 文件，文件点击可造成远程控制等威胁，微步在线已验 证。 

        1）封禁 IP192.31.96.152；

        2）注意恶意邮件后缀@rainmetal.cn，不要点击此类邮件后缀发送的邮件。

安悉CERT

最近微信上被频繁分享的公众号“安悉CERT”推文“2021.4.8 HVV|情报共享”推文被印证该0 Day情报实为钓鱼攻击，该公众号目前已自行注销并被公安屏蔽。

推文内容很可能含有名为“终端安全自检工具”的钓鱼文件。文件SHA256:

9ca6449c0586a77c55586bcc7adfaef2c3cc53da4713c5ed57fced15a3054545，该后门反连117.18.237.29，相关IP为117.18.237.29，23.218.94.137.

2021年4月9日 星期五  阴

我们依然坚挺。

网站平安,waf平安，IPS平安，IDS平安，防火墙平安，网络设备平安，EDR平安，蜜罐平安，HIDS平安，VPN平安，路由器平安，交换机平安，负载均衡平安，杀毒软件平安，邮箱平安，UTM平安，抗D平安，堡垒机平安，域控平安，服务器平安

以为一切平安，原来是内网被日穿，告警都被人关了！

02 冰蝎3.0更新

红队武器库之 - 冰蝎3.0更新、Cobalt Strike 4.3 Licensed更新

Behinder_v3.0 Beta 7

###2021.4.8 v3.0 Beta 7 更新日志

修复：
1.数据库查询内容显示不正常；
2.关闭主界面后，虚拟终端后台线程继续请求；
3.某些场景下中文路径显示乱码；
4.优麒麟系统无法弹出窗口；
5.备忘录不能自动保存；
6.某些场景下提示数据库被锁定；
7.目标https证书过期连接问题；
8.Jar包体积缩小，Jar包执行不再区分操作系统平台，提供跨平台版本；
9.去除了一些特征；
10.其他一些问题；

新增：
1.反弹shell中增加CobaltStrike一键上线；
2.新增Java内存马注入功能，支持多种Web容器，包括但不限于Tomact、jboss、weblogic；
3.新增反向DMZ功能，可以将VPS或本地局域网监听端口映射进目标内网，在目标内网不出网的情况下，实现目标内网反向木马回连；
4.反弹Shell支持一键穿透，在目标内网不能出网的情况下，可以实现将meterpreter、shell、CobaltStrike直接上线至本地、本地局域网主机、远程VPS。msfconsole、CobaltStrike Server不再需要部署在公网；
5.新增Shell关键字搜索功能；
6.新增shell批量存活检测功能；
7.新增Shell多选删除；
8.新增老版本数据库Shell批量导入；
9.新增文件时间戳修改功能；
10.文件管理UI细节优化；
11.增加基于端口映射的的Socks代理；内网直接将Socks代理服务开到远程VPS；
12.命令行优化，支持命令历史记录；

补充：beta7版本客户端不再内置JavaFX库，请使用Java8运行；Java 11及以后的版本，需要下载JavaFX库；

https://github.com/rebeyond/Behinder/releases/download/Behinder_v3.0_Beta_7/Behinder_v3.0_Beta_7.zip

# Cobalt Strike 4.3 (March 3, 2021)
02fa5afe9e58cb633328314b279762a03894df6b54c0129e8a979afcfca83d51	Cobalt Strike 4.3 Licensed (cobaltstrike.jar)

本文始发于微信公众号（LemonSec）：2021HW平安夜 ｜ 04/10-全民皆兵