External Trust Abuse：Make non-transitive transitive 人生就是一列开往坟墓的列车，路途上会有很多站，很难有人可以自始至终陪着走完。当陪你的人要下车时，即使不舍也该心存感激，然后挥手道别。——宫崎骏01背景介绍在Windows活动目录环境，存在森林信任(f... 2023-3-19 09:0:46 | 阅读: 9 | 收藏 | Desync InfoSec corp1 referral 信任 grandchild rubeus

PowerShell offensive is dead！Really? 当我对所有事情都厌倦的时候，我就会想到你，想到你在世界某个地方生活着、存在着，我就愿意去承受一切。你的存在对我很重要。from 《美国往事》01简介在PowerShell无文件攻击流行了一段时间后，微... 2023-3-16 07:3:22 | 阅读: 58 | 收藏 | Desync InfoSec powershell payload 脚本 bypass

【DFIR报告翻译】DFIR2022年度总结 年终总结虽然已经进入2023年，但是对2022年入侵技术的变化和发展进行回顾和总结还是很重要的。这份年度报告基于我们处理过的入侵案例以及新型恶意软件数据，我们将讨论攻击者最常使用的TTP技战术。并且我... 2023-3-8 21:28:12 | 阅读: 35 | 收藏 | Desync InfoSec 攻击 攻击者 数据 远程

巧用Windows事件日志“隐藏”载荷 点击蓝字 关注我们  背景根据卡巴斯基发布的研究报告发现一项恶意活动，其中的技术涉及将shellcode直接放入Windows事件日志，Windows事件日志可以被攻击者用来掩盖特洛伊木马病毒的恶意使... 2023-3-3 08:47:54 | 阅读: 31 | 收藏 | Desync InfoSec 0x8b windows 数据 载荷 0x52

【DFIR报告翻译】窃取数据，睡觉，然后继续窃取数据 摘要这篇入侵案例发生在2022年8月，起初我们发现攻击者通过投递包含恶意VBA宏的Word文档获取了一台主机权限。攻击者在失陷主机部署C2后门并进行权限维持。随后开始了一轮信息收集，包括网络扫描，用户... 2023-2-14 10:33:0 | 阅读: 18 | 收藏 | Desync InfoSec 攻击 脚本 windows 攻击者 powershell

MS17-010告警的检测与研判 概述今天想填一个遗留了挺长时间的问题。之前总会被客户问到产品中关于MS17-010的告警到底准不准？攻击结果显示成功是真的成功了吗？因为告警相关的规则也不可能是我们现场研判人员写的，所以被问到的时候总... 2023-2-5 19:17:18 | 阅读: 95 | 收藏 | Desync InfoSec 攻击 ms17 漏洞 suricata fscan

【DFIR报告翻译】攻击者是如何发现共享文件的——ShareFinder 摘要    我们的许多报告都专注于攻击者使用的技术、战术、流程（TTPs）和攻击者使用的工具。当攻击者突破网络边界获取到失陷主机的控制权后，首要的工作就是进行信息收集和内网探测。网络共享便是信息收集和... 2023-1-25 22:39:48 | 阅读: 99 | 收藏 | Desync InfoSec sharefinder 共享 网络 攻击 攻击者

【DFIR报告翻译】从Follina漏洞利用到域渗透 自从今年早些时候Follina (CVE-2022-30190)漏洞被公开，攻击者在各种钓鱼活动中都有利用该漏洞进行攻击。本次入侵案例，攻击组织标记为TA570，使用被劫持的电子邮箱投递pay... 2023-1-24 12:17:12 | 阅读: 7 | 收藏 | Desync InfoSec windows qbot sigma 注入 github

【DFIR报告翻译】BumbleBee精准制导Meterpreter 摘要这是一篇2022年5月的入侵案例，攻击者通过联络表单钓鱼的方式邮递BumbleBee恶意软件成功突破网络边界。我们之前已经披露过2个有关BumbleBee的案例(1, 2)，本篇报告与前两篇案例皆... 2023-1-24 12:17:8 | 阅读: 11 | 收藏 | Desync InfoSec 攻击 攻击者 windows bumblebee cobalt

【DFIR报告翻译】Emotet+Cobalt Strike套餐——Lnk 文件导致域范围的勒索软件 摘要本案例发生在2022年6月，攻击者利用Emotet成功获取目标网络访问权限并且在网络内驻留了8天。在此期间利用Cobalt Strike进行了数次网络探测和横向移动。使用 Tactical RMM... 2023-1-19 10:3:18 | 阅读: 23 | 收藏 | Desync InfoSec 攻击 攻击者 windows 15184

【DFIR报告翻译】打开来自Ursnifs的礼物 摘要SUMMARY我们在2022年8月收到一起Ursnif恶意软件引发的入侵事件。攻击者部署Cobalt Strike并使用管理员用户在网络中进行横向移动。Ursnif 恶意软件家族（通常也称为 Go... 2023-1-19 10:3:11 | 阅读: 12 | 收藏 | Desync InfoSec windows 攻击 bd2c bin1 攻击者

一次利用DLL侧载挖矿事件应急响应 一旦对他人的苦难视而不见，苦难就会在我们中间蔓延。——《失明症漫记》01简介前几天威胁分析同学发现某客户环境中存在挖矿事件告警，本来以为就是个简单的挖矿事件，用杀毒软件扫描下就能解决，但是客户先用某数... 2022-11-9 07:6:58 | 阅读: 17 | 收藏 | Desync InfoSec 信息 网络 225 windows

利用CyberChef&1768脚本获取IOC 使用CyberChef还原stageless的exe文件Cobalt Strike提供了一系列自动生成恶意攻击文件的快捷操作。今天就来看看Web Driver-by生成的一键上线脚本，怎么还原出exe... 2022-9-12 18:33:23 | 阅读: 11 | 收藏 | Desync InfoSec 脚本 cyberchef powershell 上线 数据