再记一次挖矿病毒应急响应

一、事件发生背景办事处部署的TAR产生挖矿告警,如下图(1)TAR挖矿告警所示。告警显示是售前用来存储文件的服务器(IP:10.33.15.240)中了CoinMiner挖矿病毒。图(1)TAR挖矿告警二、初步...

Read More

记一次与挖矿木马的较量

一、概述本文主要是记录了一次针对挖矿程序的应急响应处理,从三个部分来解读此次事件:1、事件描述部分,确认是否有挖矿程序。2、现场分析部分,讲了是如何一步一步杀掉挖矿程序。...

Read More

记一次挖矿病毒的应急响应

前言人往往就是这个样子,一个人的时候是一种样子,好多人聚在一起的时候就会完全变成另外一种样子。-------《白鹿原》陈忠实start某单位接到上级单位通报存在挖矿病毒,通报的地...

Read More

基于钓鱼攻击的技术点研究

使用Unicode欺骗文件扩展名“RTLO”字符全名为“RIGHT-TO-LEFTOVERRIDE”,是一个不可显示的控制类字符,其本质是unicode 字符。“RTLO”字符可使电脑将任意语言的文字内容按倒...

Read More

python免杀基础之shellcode调用

AUTHOR:ILU什么是shellcodeshellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。 可...

Read More

恶意软件即服务的践行者:窃密木马RedLine

RedLine 是一种窃密恶意软件,以恶意软件即服务(MaaS)的商业模式获利。RedLine 主要针对 Windows 用户发起攻击,收集 Web 浏览器和 FTP 应用程序的登陆凭据、加密钱包信息、信用...

Read More

“url-all-info”浏览器恶意插件窃密木马分析

简述在日常安全分析中发现部分网站url(url中携带token)、网站标题等会发送至外部服务器,找到对应中毒机器中进行分析,分析时发现打开所有网站都会内嵌t.032168.com和url-all-inf...

Read More

攻击者利用GitHub与Netlify分发挖矿木马

今年早些时候,Apache HTTP 服务器被披露存在安全漏洞(CVE-2021-41773),攻击者可以利用该漏洞进行远程命令执行。官方给出的修复方案并不完全,在发现了可以绕过后该漏洞编码再次确...

Read More

记一次小白的第一次内网渗透

网络拓扑因为是一次简单的内网渗透,以上靶机均为Windows Server2008,并且没有装任何的补丁,所以全都可以使用ms17_010(永恒之蓝)进行攻击首先直接使用msf拿到了内网跳板(10....

Read More

应急响应笔记

攻击者攻击网站的简易流程:信息探测->注入/xss点->获取数据->破解密码->登陆后台->上传webshell->提权控制服务器->渗透内网webshell在攻击过程中的作用文件操作,命令执行,...

Read More

木马分析:新型Ursnif银行木马变种技术分析

概述在这篇文章中,我们将跟大家分析一款名叫Ursnif的银行木马,这个木马也被称为Gozi,我们将会详细分析Ursnif银行木马的技术细节,以及它是如何使用Cerberus功能来自动化实现欺诈...

Read More

Metasploit使用

*本工具仅供技术分享、交流讨论,严禁用于非法用途。Quasar使用Quasar是一个简易的木马管理工具https://github.com/quasar/Quasar/releases/tag/v1.4.0这里可以先下载,之后运...

Read More

红日Vulnstack解题记录(二)

前言最近做了做红日的vulnstack,感觉蛮好玩的,写篇文章记录一下解题过程。环境搭建首先配置模拟内外网环境其中,10.10.10.0为内网网段192.168.111.0为模拟外网网段本次靶场靶机...

Read More

记一次套路较深的双家族挖矿事件应急响应

1.1 情况简介某日接到用户电话,用户某应用系统微信公众号平台服务器应用运行异常掉线卡顿,运维人员检查后发现服务器存在占用大量CPU资源的恶意进程,且无法清除该进程,导致WEB应...

Read More

机器学习检测Cobalt Strike木马初探

前言众所周知,cobalt strike作为一个大杀器,已被各种渗透测试团队和真实攻击团队大范围使用,因其功能完善、配置灵活性高等特点,在满足攻击需要和躲避检测方面都有着不俗的表现...

Read More

Discuz 论坛被黑溯源分析

事件介绍: 上周六下午正在看《复仇者联盟4》刚好看绿巨人摔摩托车,突然接到客户电话说他们论坛好像被黑了,在论坛页面点击点评、回复等一系列按钮时会随机被劫持到非法网站。感...

Read More

一次大意的木马清除

起因我有一个朋友。。。 过程按照这个密码,我觉得90%的可能是被爆破了。随即登录进行排查。1. 登录行为定位 通过history发现在扫描全网3389: 看到此处使用yum安装了masscan...

Read More

Tomcat弱口令漏洞攻击研究

*严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。一、实验目的1、在XP系统上搭建Tomcat服务器平台;2、在另一台虚拟机上利用弱口令漏洞上传木马程序,使得XP系统中木马。...

Read More

初学MSF之渗透、提权、免杀(下)

写在前面最近学了学msf,学习了一些简单的模块使用以及渗透、提权、免杀,并使用靶场进行了一次小小的实战,写篇文章记录下。MSF是什么Metasploit是一个免费的、可下载的渗透测...

Read More

南亚APT Bitter 4月攻击样本捕获及分析

背景概述本周NDR团队通过流量分析捕获了南亚Bitter组织对某国的最新攻击样本。Bitter简介Bitter APT团伙,又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork,是...

Read More

深度调研:真实世界里的大规模RAT家族

远程控制木马(Remote Access Trojans,简称为 RAT)是一种主流的恶意程序,它赋予了攻击者远程监控和控制受害者主机的能力。目前,基于 RAT 的攻击已经变得非常普遍,这对个人安全、企...

Read More

初学MSF之渗透、提权、免杀(上)

写在前面最近学了学msf,学习了一些简单的模块使用以及渗透、提权、免 杀,并使用靶场进行了一次小小的实战,写篇文章记录下。MSF是什么Metasploit是一个免费的、可下载的渗透测...

Read More