开卷有益 · 不求甚解前言InfoSec 社区在提供对勒索软件和恶意软件攻击的洞察力方面非常出色。有很多出色的贡献者共享妥协指标 (IOC) 和各种其他数据。社区成员和供应商发布了有关已发生的各种攻击...
Windows应急响应拆弹指南:深入排查潜伏在系统启动项中的定时炸弹
大家好,我是你们的技术探险家!想象一下,你刚刚经历了一场惊心动魄的应急响应,成功清除了正在内存中活动的恶意软件。你松了一口气,准备重启服务器恢复业务。但,你真的“赢”了吗?重启的那一刻,可能正是攻击者...
Hijack Windows MareBackup 计划任务实现本地提权分析
Hijack Windows MareBackup 计划任务实现本地提权分析一、前言一个很有意思的提权以及权限维持的点:MareBackup。虽然这个任务表面看起来无害,但在某些特定条件下,低权限用户...
网安原创文章推荐【2025/6/23】
2025-06-23 微信公众号精选安全技术文章总览洞见网安 2025-06-23 0x1 从隐藏参数到账户接管红云谈安全 2025-06-23 22:13:11 本文探讨了网络安全中一个名为“更改电...
Windows应急响应之入侵排查技巧
常见的应急响应事件分类:web入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门、挖矿木马网络攻击:DDOS攻击、DNS劫持、ARP欺骗、流量劫持 入侵排查思路 web入...
Linux提权-Cron计划任务提权
1、简介Cron词来自Crontab,存在于/etc 目录中。Cron任务用于通过在服务器上的特定日期和时间执行命令来调度任务。最常用于系统管理员作业,例如备份或清理 /tmp/目录等。2、Cron语...
ATT&CK 在野数据分析
根据威胁防御中心的统计,在 2019 年 4 月至 2021 年 7 月一共在野观测到 184 项技术,共计超过六百万次。按频次分布,其中 TOP 15 的技术项占发现总技术项的 90%,且这些技术中...
windows 应急响应之入侵排查技巧
常见的应急响应事件分类:web入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门、挖矿木马网络攻击:DDOS攻击、DNS劫持、ARP欺骗、流量劫持 入侵排查思路 web入...
Windows留后门教程(二)——Windows计划任务后门
一、Windows计划任务后门介绍 计划任务是经常被攻击者拿来利用的控制点,计划任务可以让目标主机在特定的时间执行我们预先准备的后门程序从而帮助我们进行权限维持。 二、Windows计划任务后门-教程...
通过环境变量劫持实现的权限提升——MareBackup计划任务
前言环境变量劫持是一种利用程序在搜索可执行文件、动态链接库(DLL)或配置文件时依赖环境变量路径顺序的弱点进行攻击的手段。攻击者通过篡改环境变量中路径的排列顺序,或将恶意文件放置到靠前的环境变量路径中...
苦涩结局:揭秘八年间谍丑闻(上)
这是一个由两部分组成的博客系列,详细介绍了与 Threatray 合作开展的研究。本系列博客的第二部分可在其网站上找到。 分析师注:在整个博客中,研究人员已经消除了受 TA397 控制的指标并修改了某...
针对我国的印度 apt 间谍活动全面解析
诱饵邮件诱饵邮件引言TA397(也称为Bitter)是一个活跃至少八年的网络间谍组织,研究表明其很可能受印度政府支持,专注于针对具有战略利益的地区的组织进行情报收集。本文整合了Proofpoint和T...