edr - 第 11 | CN-SEC 中文网

安全文章

TA Phone Home：EDR 规避测试揭露勒索者工具包

执行摘要本文回顾了一起威胁行为者试图绕过 Cortex XDR 却未成功的事件。通过进一步深入研究该事件，我们发现该过程反而让我们深入了解了威胁行为者的操作。在最近一次涉及勒索企图的调查中，我们发现一...

11月10日12 views评论

阅读全文

安全文章

使用 rundll32 执行 shellcode 文件

描述基于 HWSyscalls 的 DLL Shellcode 自注入器/运行器，理想情况下被认为是使用 rundll32 执行的。如果受害者端点有权访问攻击者控制的 SMB 共享，则可能授予无文件执...

11月06日19 views评论

阅读全文

安全文章

HookChain：深入探究高级 EDR 绕过技术

HookChain: 深入解析高级 EDR 绕过技术HookChain 是一种新型技术，通过利用底层 Windows API 并操控系统调用与用户态钩子的交互方式，来绕过终端检测与响应(EDR)解决方...

11月03日226 views评论

阅读全文

安全开发

红队武器开发系列：利用 Windows 线程池 API 和 I/O 完成回调来实现代理 DLL 加载

简介本文介绍如何利用 Windows 线程池 API 和 I/O 完成回调来实现代理 DLL 加载。这种方式可以避免 EDR（端点检测与响应）监测到返回地址位于 shellcode 内存区域的情况，...

11月01日41 views评论

阅读全文

安全文章

[HITBSecConf2024 — 曼谷] COMMSEC：我的第一个也是最后一个 Shellcode 加载器

[HITBSecConf2024 — 曼谷] COMMSEC：我的第一个也是最后一个 Shellcode 加载器什么是 Shellcode？Shellcode 被描述为一组注入并由被利用程序执行的指令...

11月01日17 views评论

阅读全文

安全文章

堆栈欺骗和内存扫描绕过

在这之前，我们介绍了如何使用sleepmask轻松绕过yara规则从而绕过卡巴斯基一类的基于传统的内存扫描的AV（反病毒软件），但问题来了，除了这类检测手段之外，还有基于堆栈检测的EDR，特别是最近一...

10月31日74 views评论

阅读全文

安全开发

一种几乎绕过所有EDR的shellcode加载器

摘要该程序代码使用C#编写,使用特定的Windows API函数组合绕过EDR和防病毒软件, 能够将Payload安全注入到内存而不会被检测到,从而通过反向Shell建立远程连接。代码基于Windo...

10月30日37 views评论

阅读全文

安全新闻

深度研究APT组织Strom0978的高级注入技术StepBear

简介在2024-04-23的时候,qax的威胁情报团队披露了一个史无前例的攻击手法:《EDR的梦魇：Storm-0978使用新型内核注入技术“Step Bear”》https://ti.qianxin...

10月28日20 views评论

阅读全文

安全职场

安全的岗位薪资的构成

1. 持续的事件压力和实时响应网络安全团队经常处于待命状态，因为勒索软件攻击或数据泄露等事件需要立即引起注意。高级持续性威胁 (APT) 也可能几个月都无法被发现，需要分析师仔细梳理日志以识别渗透点，...

10月25日34 views评论

阅读全文

安全新闻

威胁 Windows 和 Linux 系统的新型跨平台勒索软件：Cicada3301

近年来，网络犯罪世界出现了新的、日益复杂的威胁，能够影响广泛的目标。这一领域最令人担忧的新功能之一是Cicada3301勒索软件，最近由几位网络安全专家进行了分析。他们有机会采访了这一危险威胁背后的勒...

10月24日44 views评论

阅读全文

安全新闻

Red Team 利用 EDRSilencer 工具绕过安全工具进行攻击

在恶意攻击事件中，我们观察到一种名为 EDRSilencer 的红队操作工具，它试图识别安全工具并将其警报静音到管理控制台。网络安全公司趋势科技的研究人员表示，攻击者正试图将 EDRSilencer ...

10月24日21 views评论

阅读全文

安全漏洞

深信服EDR远程命令执行 PoC

漏洞复现 poc： /tool/log/c.php?strip_slashes=system&host=id 漏洞证明：文笔生疏，措辞浅薄，望各位大佬不吝赐教，万分感谢。原文...

10月23日51 views评论

阅读全文

TA Phone Home：EDR 规避测试揭露勒索者工具包

使用 rundll32 执行 shellcode 文件

HookChain：深入探究高级 EDR 绕过技术

红队武器开发系列：利用 Windows 线程池 API 和 I/O 完成回调来实现代理 DLL 加载

[HITBSecConf2024 — 曼谷] COMMSEC：我的第一个也是最后一个 Shellcode 加载器

堆栈欺骗和内存扫描绕过

一种几乎绕过所有EDR的shellcode加载器

深度研究APT组织Strom0978的高级注入技术StepBear

安全的岗位薪资的构成

威胁 Windows 和 Linux 系统的新型跨平台勒索软件：Cicada3301

Red Team 利用 EDRSilencer 工具绕过安全工具进行攻击

深信服EDR远程命令执行 PoC

在线咨询

微信