ADCFFS是一个 PowerShell 脚本,可用于利用 AD CS 容器配置错误,从而允许从任何子域到整个林入侵的权限提升和持久性。该工具还可用于首先扫描林以确定它是否容易受到攻击,并可以纠正权限...
初探免杀与持久化
“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”...
神秘APT组织The Mask重现江湖:十年沉寂后的再度崛起
大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【....
应急响应案例2-Windows Rootkit系列之紫狐病毒(驱动隐藏)
1. 概述一般情况下,常规的如恶意dll注入到svchost.exe进程以后,若没有持久化的话我们直接重启svchost.exe即可清除相关的恶意dll;若存在持久化的话,一般情况下是通过注册表、服务...
银狐又又又变种了!新银狐木马样本分析在此
恶意文件名称:未知威胁类型:RAT简单描述:银狐组织通过微信或其它通讯软件以公司名单为诱饵传播给用户,经用户解压并运行exe文件后,即开始与攻击者控制的C2通信。事件描述近期,深盾终端实验室在运营工作...
Linux LKM 内核模块持久化
Linux LKM Persistence 在八月份,Ruben Groenewoud[1] 发表了两篇关于 Linux 持久化机制的详细[2]文章[3],随后又发布了一个名为 PANIX[4] 的测...
【MalDev-05】持久化基础与实战-1
05-持久化01-注册表run键通过修改注册表实现开机启动(太明显了,是个安全软件都会检测)先写一个helloword#include <windows.h>int WINAPI WinM...
【MalDev-05】持久化基础与实战-2
03-DLL搜索顺序劫持 发现C:Program Filesinternet explorersuspend.dll 需要管理员权限把恶意dll文件复制到C:Program Filesinternet...
Microsoft Dev Tunnels 前置 C2、持久化及更多
Microsoft Dev Tunnels Tunnelling C2 and More攻击者总是在寻找方法融入环境,以便在不被发现的情况下建立 C2 通道。利用合法工具进行恶意活动是他们常用的方法。...
疑似南美盲眼鹰组织伪造司法文件投DcRat后门事件分析
APT-C-36(盲眼鹰)近期伪造司法部门文件投DcRat后门事件分析 2024-11-20, APT组织:盲眼鹰, AI评估:7分(APT报告) 近期,我们监测到APT-C-36(盲眼鹰)组...
APT-C-36(盲眼鹰)近期伪造司法部门文件投DcRat后门事件分析
APT-C-36盲眼鹰APT-C-36(盲眼鹰)是一个疑似来自南美洲的APT组织,主要目标位于哥伦比亚境内,以及南美的一些地区,如厄瓜多尔和巴拿马。该组织自2018年被发现以来,持续发起针对哥伦比亚国...
更隐秘的Office持久化-GlobalDotName
前言 Office模板可以实现在每次office启动时执行模板中的宏代码,每个office应用程序都使用某种形式的模板,以Office Word为例,当打开word文档时,会自动加载...
12