摘要Proofpoint警告称,TA547集团正在使用名为Rhadamanthys的信息窃取程序攻击数十家德国组织。 Proofpoint研究人员观察到一个被追踪为TA547的威胁行为者,通过发送R...
如何使用Douglas-042为威胁搜索和事件应急响应提速
关于Douglas-042 Douglas-042是一款功能强大的PowerShell脚本,该脚本可以提升数据分类的速度,并辅助广大研究人员迅速从取证数据中筛选和提取出关键数据。 该工具能够搜索和识别...
【权限维持技术】编写PowerShell脚本
免责声明本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。PowerShell脚本PowerShell脚本是...
攻击者通过发送虚假客房预订信息传播MrAnon Stealer恶意软件
FortiGuard实验室最近发现了一个电子邮件钓鱼活动,利用欺骗性的预订信息引诱受害者点击恶意PDF文件。PDF下载了一个用PowerGUI创建的 .NET可执行文件,然后运行PowerShell脚...
解码用于加载cobalt strike shellcode的简单.hta加载器过程
我们将在本文介绍解码用于加载cobalt strike shellcode的简单.hta加载器的过程,接下来用文本编辑器执行初始分析,并使用CyberChef提取嵌入的shellcode,将使用模拟器...
【权限维持技术】PowerShell基础知识
免责声明本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。PowerShell简介PowerShell是由M...
APT28组织通过mockbin API获取敏感信息
01攻击描述近期疑似APT28攻击组织发起了一轮窃密活动,其特点是利用mockbin API获取受害者的敏感信息。山石网科情报中心获取了一批活动样本。分析显示攻击者通过自定义的Nishang脚本窃取N...
一键免杀Exe2PowerShell PowerShell2EXE PS2EXE EXE2PS1
在不同的环境,管理员水平参差不齐,配置的防护策略不一,有些禁止执行PowerShell,遇到这种环境,我们需要执行一些PowerShell脚本,可以将ps1转成exe来执行。当然也有遇到禁止基于web...
工具 | RedTeamPowershellScripts
注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。0x00 简介RedTeamPowershellScripts包含多种红队Powe...
新型挖矿恶意软件Minas的分析
2022年6月,卡巴斯基实验室的研究人员在一个系统进程的内存中发现了一个可疑的shellcode。为此,他们深入分析了shellcode是如何放置到进程中的,以及受感染系统上的威胁隐藏在何处?感染链虽...
Revoke-Obfuscation:一款功能强大的PowerShell混淆检测框架
关于Revoke-Obfuscation Revoke-Obfuscation是一款功能强大的PowerShell混淆检测框架,该框架基于PowerShell开发,并且兼容Pow...
恶意PowerShell脚本分析
恶意PowerShell脚本分析该恶意文件为ACE压缩文件,内含4个jpg文件和一个PE文件,利用WinRAR漏洞(CVE-2018-20250),诱使受害者解压文件触发漏洞释放PE文件到启动目录,等...