Mutex绕过 CobaltStrike 的 YARA 规则 f0b627fc 来逃避 EDR
YARA 规则规避概述在 White Knight Labs 的一篇关于使用 Cobalt Strike 规避 EDR 的博客文章中,他们讨论了绕过针对 Cobalt Strike 的 YARA 规则
阅读全文如何使用MSSQL CLR组件绕过EDR
几天前,我处理了一个涉及MSSQL数据库的勒索事件,该事件可能会逃避EDR检测。我打算分享整个过程。在分析情况后,我发现根本原因是一个弱密码 - 本质上是一种字典密码。黑客能够使用此弱密码登录到数据库
阅读全文无休止的漏洞:macOS 漏洞被利用九次
这是我在OBTS v7.0会议上的演讲的博客文章。幻灯片已上传到这里。苹果必须发布多少个补丁才能真正修复漏洞?答案是“随风飘荡”。🙈我在 macOS 的PackageKit框架中发现了一个有趣的逻辑漏
阅读全文调查勒索软件团伙使用的匿名 VPS 服务
调查网络犯罪的挑战之一是攻击者用来发动攻击的基础设施。过去 25 年来,网络犯罪基础设施发生了巨大变化,现在涉及劫持 Web 服务、内容分发网络 (CDN)、住宅代理、快速通量 DNS、域生成算法 (
阅读全文Go 供应链攻击:恶意软件包利用 Go 模块代理缓存实现持久性
Socket 研究人员在 Go 生态系统中发现了一个恶意的域名抢注包,它冒充了广泛使用的BoltDB数据库模块 ( github.com/boltdb/bolt ),该模块受到 Shopify 和 H
阅读全文AMD贴片会影响EPYC和RYZEN处理器的高度SMM漏洞
AMD 发布了安全补丁,修复了影响其系统管理模式 (SMM) 的两个高严重性漏洞。SMM 是 AMD 处理器固件中的特权执行环境。如果利用这些漏洞,特权攻击者可以执行任意代码,并可能损害系统完整性。这
阅读全文PowerShell 漏洞 - 现代 APT 及其恶意脚本策略
在这篇博客中,我们将首先介绍 PowerShell,解释为什么它是红队成员最喜欢的工具。从那里,我们将探索它的内存加载功能,并详细了解 AMSI(反恶意软件扫描接口),包括它的深入运作方式。然后,我将
阅读全文2025 年 EDR 规避的新趋势
您已经知道端点检测和响应 (EDR)会监控 Windows API 调用是否存在可疑行为。通常,他们使用用户模式 API 挂钩等技术来拦截 ntdll.dll 中的函数。到目前为止,我们使用了诸如直接
阅读全文首次分析 Apple 的 USB 限制模式绕过 (CVE-2025-24200)
Apple 发布了 iOS 18.3.1 (build ) 来修补公民实验室报告的与辅助功能22D72框架相关的漏洞。让我们来分析一下吧!漏洞公告可在此处找到。以下是直接摘自 Apple 网站的概述:
阅读全文CVE-2025-1240:Winzip漏洞打开了远程代码执行的门
WinZip 中发现了一个令人担忧的漏洞,可能允许远程攻击者在受影响的系统上执行任意代码。该漏洞被标记为 CVE-2025-1240,存在于 WinZip 解析 7Z 文件的方式中,如果用户与恶意文件
阅读全文使用 ShellcodePack 进行 DLL 劫持
下面是使用 BallisKit ShellcodePack(版本 2.7.2 及以上)执行一些 DLL 劫持的小教程。在我们的例子中,我们将使用 thumbcache.dll 上的 COM 劫持来在每
阅读全文