红:DNS fast flux
概述 DNS fast flux是一种技术,它涉及将多个IP地址与单个域名关联,并快速更改这些IP地址。有时会使用数百甚至数千个IP地址。攻击者使用DNS fast flux来保持其网络属性的运行,隐藏其恶意活动的真正来源,阻止安全团队封锁其IP地址。这种技术通常由僵尸网络(botnets)使用。 攻击者需要他们的网站保持运行,以执行网络钓鱼攻击、托管恶意软……
红:通过rtlFlsAlloc回调执行 shellcode
纤程 https://learn.microsoft.com/en-us/windows/win32/procthread/fibers 纤程(fiber)是一种需要应用程序手动调度的执行单元,本质上是可以随意换入和换出的寄存器和堆栈状态,并反映在它们正在执行的线程上。纤程在调度它们的线程的上下文中运行。每个线程可以调度多个纤程。一般来说,纤程在设计良好的多……
红:浏览器中的浏览器(BITB)攻击
概述 https://github.com/mrd0x/BITB 对于安全专业人员而言,URL 通常是域中最受信任的方面。 IDN Homograph和DNS 劫持等攻击可能会降低 URL 的可靠性,但不会降低到使 URL 不可靠的程度。 弹出登录窗口 当我们通过 Google、Microsoft、Apple 等对网站进行身份验证时,我们经常会看到一个弹出窗……
蓝:Protected Process Light
概述 Protected Process Light (PPL) 是 Windows 10 引入的一种安全机制,用于增强进程的安全性,以抵御恶意代码攻击和数据泄露。PPL 是一种进程保护技术,它将进程的可信度划分为四个级别,每个级别都有相应的安全特性和限制。 PPL 技术的实现是通过 Windows 操作系统的内核,将进程标记为“受保护进程”。当进程被标记为……
红:URL与保留字符与语义攻击
背景 参考链接:https://inquest.net/blog/2022/07/05/automated-twitter-post-decoded-shellcode @符号作为URL的保留符号,参考RFC 3986 语义攻击 在7.6中发现语义攻击 ……
红:在 Excel 中执行远程 VBA 脚本
这种技术很有趣,它有点类似于 Microsoft Word 中的“远程模板”技术。 该技术基本上是通过插入一个名为“customUI.xml”的 XML 文件将自定义 UI 功能添加到 Excel 文档中。自定义 UI 是 Microsoft 设计的一项功能,用于允许对 Microsoft Office 文档进行 UI 自定义,并且它已被攻击者滥用来创建特制……
红:利用Windows Perception Simulation Service横向移动技术实现DLL劫持
ServiceMove 参考地址:https://github.com/netero1010/ServiceMove-BOF ServiceMove 是一种有趣的横向移动技术的 POC 代码,它通过滥用 Windows 感知模拟服务来实现 DLL 劫持代码执行。每次启动“Windows 感知模拟服务”时,都会加载一个不存在的 DLL 文件(即 hid.dll……
红:本地二进制文件和脚本(Living Off The Land Binaries and Scripts)-LOLBin
简介 https://lolbas-project.github.io/ https://github.com/LOLBAS-Project/LOLBAS/blob/master/README.md ”Living off the land“这个词是由 Christopher Campbell (@obscuresec) 和 Matt Grae……
红:攻击者获取网络访问权限的 10 种方式
1. 不强制 执行 多因素身份验证 (MFA) 当不良行为者如此关注网络钓鱼、受信任的关系和有效帐户等技术时,MFA 尤其有用。这些方法中的任何一种都可能对受影响的组织产生严重的长期影响。这不仅仅是他们如何进入,而是他们之后会做什么。 一家被勒索软件和数据泄露击倒的公司可能经历了几个攻击阶段才能达到这一点。想象一下,如果所有这些都从未发生过,因为初始进入点(……
- 1
- 2