01概述 2023年下半年，安天CERT（安全研究与应急处理中心）在日常邮件监测中发现，境外APT攻击组织通过模仿我“慧眼行动”官方组织机构，向相关科研机构发送钓鱼邮件，以附件形式投放特洛伊木马，以实施后续攻击。邮件包含一个压缩包附件，压缩包内为一个构造的可执行文件。该文件基于文件名、图标和与正常文件捆绑三种伪装方式，模仿成相关活动的申报客户端。打开可执行文件后，会连接到攻击者服务器下载后续攻击载

1. 背景概述 移动威胁情报团队在日常狩猎活动中发现伪装成MoviesWatch的恶意样本攻击活动，该样本基于DogRat开源间谍木马V3版本开发而来，并在DogRat木马的基础上削减了恶意功能模块且攻击者能够直接下达远控指令，以降低受害者的警惕性。 一旦安装，样本会窃取受害设备的通讯录、短信、图片、录音、装机应用列表、剪贴板和地理位置等大量隐私数据。攻击者利用Replit服务器搭建的Telegr

伊朗 Crambus 间谍组织（又名 OilRig、APT34）在 2023 年 2 月至 9 月期间对中东政府进行了长达八个月的入侵。在入侵过程中，攻击者窃取了文件和密码，并在一个案例中安装了PowerShell后门（称为PowerExchange），用于监控从Exchange服务器发送的传入邮件，以执行攻击者以电子邮件形式发送的命令，并将结果秘密转发给攻击者。至少 12 台计算机上发生了恶意活

ToddyCat 是我们在去年的一份出版物中描述的高级 APT 攻击者。该组织于 2020 年 12 月开始活动，负责对欧洲和亚洲知名实体进行多组攻击。 我们的第一篇出版物重点介绍了他们的主要工具：Ninja Trojan 和 Samurai Backdoor，我们还描述了用于启动它们的加载程序集。我们描述了攻击者如何利用 Microsoft Exchange 中的漏洞破坏公开暴露的服务器，他们如

一、概述 2023年9月份，绿盟科技伏影实验室全球威胁狩猎系统监测到多个基于Mirai开发而来的新型僵尸网络变种家族来势汹汹，其中以hailBot， kiraiBot以及CatDDoS最为活跃，正在加速传播，大范围布局，已构成不小的威胁，这引起了我们的警惕。我们将通过本文来披露这三个新型Mirai变种的技术细节及全球威胁狩猎系统监测到的数据。 近年来，基于Mirai架构开发而来的僵尸网络木马越来越

在广阔的开源生态系统中，影子偶尔会移动。虽然这个领域依靠协作和知识共享而蓬勃发展，但它也是掠夺者的游乐场，从新手黑客到协调良好的民族国家行为者。近几个月来，这样一种威胁不断出现、不断增长并完善其武器库。 自 4 月初以来，我们 Checkmarx 供应链安全团队一直在追踪该恶意行为者，记录其演变的每一步。我们一直在积极观察攻击者，他们似乎在不断完善自己的技术。 这是一个攻击者从简单到巧妙规避的故事

2023年，网络威胁领域呈现出一些新的发展趋势，攻击类型趋于多样化，例如：从MOVEit攻击可以看出勒索攻击者开始抛弃基于加密的勒索软件，转向窃取数据进行勒索；同时，攻击者们还减少了对传统恶意软件的依赖，转向利用远程监控和管理（RMM）等合法工具；此外，为了绕过端点检测和响应（EDR）的防护，基于身份的攻击还在继续激增。 日前，专业网络媒体CRN访谈了Huntress、CrowdStrike、Zs

🔔1. 什么是SQL注入？ SQL注入(SQL Injection)是一种代码注入技术,是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。简单来说,SQL注入攻击者通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,传入后端的SQL服务器执行。结果是可以执行恶意攻击者设计的任意SQL命令。例如,Web应用程序具有以下登

微软本周发布了CBL Mariner 2.0.20230924，作为其内部Linux发行版的最新版本。此次发布背后的驱动力是在最近的GCC安全漏洞影响Arm 64位构建的软件后，推出重建的AArch64包。 CVE-2023-4039于9月中旬因GCC -fstack保护器 在针对AArch64时打开漏洞的功能。CVE-2023-4039允许攻击者利用动态大小的本地变量中的现有缓冲区溢出进行攻击，

一、概述 近期，绿盟科技伏影实验室在日常威胁狩猎过程中发现了一种依托钓鱼文档的新型攻击流程，并通过深入研究确认了两种新型木马程序以及多种少见的攻击技战术。 伏影实验室认为该新型攻击流程来自一个新型攻击者，该攻击者具备较高技术水平与谨慎的攻击态度，而本次捕获到的钓鱼攻击活动是该攻击者对特定目标进行定向打击的一部分，是其实现域内渗透的主要手段。 伏影实验室将该攻击者命名为AtlasCross，并将新型

威胁类型： 后门 简单描述： 近日，深盾实验室在运营工作中发现攻击者通过即时聊天软件传播Cobaltstrike。 恶意文件描述 近日，深盾实验室在运营工作中发现攻击者通过即时聊天软件传播Cobaltstrike。 事件分析 传播途径：攻击者通过即时聊天软件进入与目标人员相关的群聊，以获取目标人员的信息和行为习惯。一旦攻击者确定了目标人员，他们会通过私聊的方式向目标人员发送伪装成看似合法的文件，以

一般信息 2023 年 8 月 10 日，政府计算机应急响应小组 CERT-UA 记录了政府机构之间大量分发的钓鱼电子邮件，主题为“[CERT-UA#5086] 怀疑登录到您的邮箱”，据称是代表CERT-UA 使用国家特殊通信局的标志。 上述电子邮件包含更改密码的请求以及模拟 Roundcube 软件 Web 界面的 Web 资源链接。 如果单击链接并输入身份验证数据，登录名和密码将使用 HTTP

一、攻击活动分析   1.攻击流程分析   在我们的观察中，疑似攻击者通过Skype发送诱饵文件下载链接，之后用户通过谷歌浏览器下载了含有恶意文档的压缩文件。一旦用户被诱导打开该文件，攻击者则利用伪装成Microsoft信息的技巧，诱使用户启用宏功能。一旦用户上钩，宏将被激活并释放EarlyRat，然后开始窃取用户信息和执行恶意命令。 图1 攻击流程图 2.载荷投递分析   攻击者以冒充Micro

AhnLab 安全紧急响应中心 (ASEC) 确认了攻击者安装硬币挖矿程序的过程，该挖矿程序使用受感染系统中的系统资源来挖掘虚拟货币。我们通过AhnLab的EDR产品介绍利用系统资源挖掘虚拟货币的Coin Miner的检测过程。 图 1. 执行攻击者命令 图 1 显示了攻击者在受感染系统中使用的相同命令。您可以检查检测到的有关如何使用 CMD 进程通过 PowerShell 命令运行 PowerS

计算机网络在给我们带来便利的同时，也存在很多安全隐患，比如信息伪造，病毒入侵，端点监听，SQL 注入等，给我们日常生活造成很严重的影响。 那么这篇文章我就跟大家聊聊常见的网络安全隐患，只作为科普，不能作为网安系列文章。 网络安全性威胁的种类 在网络通信中可能会受到各种各样的潜在的安全性威胁，这些威胁总的来讲可以大致分为下面几类： 截获(interception)：攻击者从网络上窃听他人的通信内容。

深度聊聊CSRF攻击 前言 公司有项目需要入国网供电公司的内网，需要经过电科院的检测。虽然项目后端是Java，暂时不太熟，但是想详细聊聊CSRF攻击，为什么攻击者能拿到被攻击网站的cookie，以及Django项目该如何防范 仅是抛砖引玉，希望能引发大家的思考 1. csrf攻击的定义 CSRF 攻击指的是跨站请求伪造，攻击者诱导用户进入一个第三方网站，然后该网站向被攻击网站发送跨站请求。如果用户

技术背景 随着计算机技术的发展，计算机研究人员根据现有语言的缺陷，尝试创造出更好的编程语言，而新技术在造福计算机社区的同时，往往会被攻击组织所盯上，成为攻击者的崭新的武器开发语言。 对传统的安全检测设备和安全研究人员而言，新语言相对晦涩且冷门，具有语言本身的特性。在面对传统的安全措施时，绕过更加轻松，使得安全设备增大识别和检测难度，大大增加安全防御成本。 在这些新的编程语言中，Nim语言尤其受到了

什么是渗透测试？ 就是一种通过模拟恶意攻击者的技术与方法，挫败目标系统安全控制措施，取得访问控制权，并发现具备业务影响后果安全隐患的一种安全测试与评估方法。 简单来说渗透测试是通过各种手段对目标进行一次渗透（攻击），通过渗透测试目标的安全防护能力和安全防护意识。 渗透过程的底层基础是目标系统存在安全漏洞，可以使得攻击者在未授权情况下访问或破坏系统，导致信息系统面临安全风险。而利用安全漏洞造成入侵或

（图片来源网络，侵删） LINUX是一个开源的操作系统，它具有高度的可定制性和安全性。作为一个广泛使用的Linux发行版，Debian在安全方面有着很高的声誉。蜜罐是一种用于识别和分析网络攻击的安全工具，通过模拟真实系统的服务和漏洞，吸引攻击者并记录他们的活动。在这篇文章中，我们将介绍如何在Debian上安装蜜罐。 蜜罐是一个特殊设计的系统或网络，用于吸引和监视攻击者的活动。它模拟了真实系统的服务

PHP和机器学习：如何进行网络攻击检测与防护 引言：随着互联网的快速发展，网络安全问题变得越来越重要。网络攻击者不断进化和改进他们的攻击手段，使得传统的安全防护手段逐渐显得力不从心。机器学习作为一种强大的技术，为网络安全提供了新的解决方案。本文将介绍如何使用PHP和机器学习技术来进行网络攻击检测与防护。 一、网络攻击的常见类型在开始使用机器学习来进行网络攻击检测与防护之前，我们先了解一下网络攻击的