概述奇安信威胁情报中心一直在持续跟踪南亚方向的众 多 APT 攻击集合,发表了多篇系统性的技术报告:Operation Magichm[1]、Operation Angi[2]、operation T...
Water Hydra APT组织最新攻击链攻击样本详细分析
安全分析与研究专注于全球恶意软件的分析与研究前言概述 原文首发出处:https://xz.aliyun.com/t/14711先知社区 作者:熊猫正正Water Hydra APT组织于2021年首次...
PPLcontrol:一款功能强大的受保护进程安全控制工具
关于PPLcontrol PPLcontrol是一款功能强大的受保护进程安全控制工具,在该工具的帮助下,广大研究人员可以快速枚举出目标操作系统中受保护的进程,并获取指定进程的保护级别,或给目标进程...
CVE-2024-38014:Windows 安装程序特权提升漏洞
MSI 分析器这个适用于 Linux 的 Python 脚本可以分析 Microsoft Windows *.msi 安装程序文件并指出潜在的漏洞。它由 SEC Consult Vulnerabili...
MSI 文件漏洞的探索
我们经常遇到 MSI 文件。开发者使用它们来提供和打包自己的程序。此格式比标准 EXE 格式更方便,原因如下:能够恢复、安装某些组件数据存储在结构化的表中,可以通过 API 轻松访问通过 SCCM、W...
CVE-2024-36877 微星MSI 主板存在严重漏洞
MSI 是一家领先的计算机硬件制造商,该公司最近披露了一个严重漏洞,编号为CVE-2024-36877,该漏洞影响了其多种主板。该漏洞位于系统管理模式 (SMM) 处理程序中,可能允许攻击者在受影响的...
成熟后门再度投递,银狐变种利用MSI实行远控
近期,火绒威胁情报中心监测到一款伪装成MSI安装包的恶意木马正在传播,火绒安全工程师第一时间提取样本进行分析。分析中发现样本在双击执行后会启动数个cmd进程执行释放的木马,该木马不断从远端服务器上下载...
Windows Installer 的 Custom Actions 攻击面分析
Windows Installer,利用自定义操作一年多以前,我发表了我的关于Windows Installer服务的研究。文章详细解释了MSI修复过程如何在提升的上下文中执行,但由于缺乏模拟可能导致...
Windows 系统中的严重漏洞:攻击者如何完全控制您的 PC
Windows系统上广泛使用的软件MSI Center被发现存在严重安全漏洞。该漏洞分类为CVE-2024-37726,CVSS 评分为 7.8(高)。允许低权限的攻击者完全控制系统。权限提升是指在没...
横扫全球:Grandoreiro银行木马活动
更多全球网络安全资讯尽在邑安全前言近期关注的一些攻击活动中,刷到了有关Grandoreiro银行木马恶意软件活动,此类恶意软件活动主要针对巴西、墨西哥、西班牙和秘鲁国家等,自 2017 年以来,一直是...
新版本 Redline 使用 Lua 字节码逃避检测
近日,研究人员观察到 Redline Stealer 木马的新变种,开始利用 Lua 字节码逃避检测。 遥测分布 根据遥测数据,Redline Stealer 木马已经日渐流行,覆盖北美洲、南...
黑客利用恶意 VPN 安装程序攻击我国用户
近期攻击我国用户的行动有点多啊!中文用户成为了一个新的威胁活动团伙Void Arachne的目标。该团伙利用针对VPN的恶意Windows Installer(MSI)文件,来传播一种名为Winos ...
7