Patchwork组织的活动样本分析与拓线 研究背景2022年8月份国内发布了一份报告《南亚Patchwork APT组织新活动特点分析》，里面提及到存在针对国内的攻击痕迹，里面的样本当时都属于私有样本，外部无法获取，因此除了当事人谁都没有办法... 2022-11-19 23:12:7 | 阅读: 18 | 收藏 | OnionSec 攻击 数据 c2 patchwork grat2

ThreatHunting之Yara的应用 yara是一个旨在（但不限于）帮助恶意软件研究人员识别和分类恶意软件样本的开源工具，yara的每一条描述、规则都由一系列字符串和一个布尔型表达式构成，并阐述其逻辑。yara规则可以扫描文件或在运行的进... 2022-11-18 18:22:36 | 阅读: 20 | 收藏 | OnionSec 数据 cafebabe 反病毒 漏洞 病毒

APT32使用的插件化木马分析 最近国内又发布了一份关于APT32攻击活动总结的报告，里面的信息量很大值得仔细阅读并扩展研究来积累检测与分析经验。在本文中我就关注到了插件化木马功能的实现，根据报告的描述，插件的使用位于APT32组织... 2022-11-17 07:8:7 | 阅读: 27 | 收藏 | OnionSec 木马 攻击 键值 注册表

COM逆向分析与还原 恶意软件经常会使用COM机制来实现恶意逻辑，因此对COM机制的理解与分析是比较重要的，有利于对恶意软件深度分析，参考链接中提供的材料会比较详细可配合学习，这里仅是记录之前逆向恶意文件时一个手工还原的过... 2022-11-15 21:2:55 | 阅读: 24 | 收藏 | OnionSec reverse clsid 0ffset 接口类

Windows内核安全之配置双机调试 调试是进行研究的一个必经之路，有本书里提到“调试器下无秘密”也说明了调试的重要性，学习的过程就是慢慢积累解决问题的过程。针对内核级别（ring0）的调试则由于调试时会导致内核中断所以会采用配置双机调试... 2022-11-14 21:1:16 | 阅读: 18 | 收藏 | OnionSec bcdedit 网络 虚拟机 虚拟 双机

反调试之RtlAddVectoredExceptionHandler 在Guloader加载器代码的开头，第一层shellcode解密完成后，接着会对比DJB2算法得到的哈希来获取特定的API函数。如下对比特定hash来导入API函数：F0D2CE31 == ntdll... 2022-11-13 10:53:17 | 阅读: 28 | 收藏 | OnionSec shellcode int3 修复 补丁

CosmicStrand UEFI Bootkit分析与检测 分析背景本案例的固件恶意模块是卡巴斯基从用户处收集的，属于卡巴斯基的客户数据，无法公开传播。作为安全研究人员的我们也没法获取到攻击样本，因此只能根据公开材料与相关的历史经验来进行推导感染过程与细节实现... 2022-10-18 19:53:33 | 阅读: 19 | 收藏 | OnionSec 植入 windows efi bootkit 控制

Linux取证之恢复已删除的二进制文件 通常Linux恶意文件在受害系统中执行后会自删除（根据攻击者编写的后门逻辑大部分情况下是如此），因此文件扫描器和系统完整性检查不会发现落地的二进制文件。如果在应急响应中无法获取到和事件相关的恶意文件，... 2022-8-16 09:46:0 | 阅读: 28 | 收藏 | OnionSec 二进制 recovered 后门 信息

Linux威胁之SSH后门案例学习 SSH后门是Linux环境下比较常见的驻留后门手段，这里介绍的实质是属于pam后门，pam是Linux默认的SSH认证登录机制，因为它是开源的，所以攻击者可以修改源码实现自定... 2022-8-12 17:57:32 | 阅读: 31 | 收藏 | OnionSec pam 后门 ssh 攻击者 攻击

ELF自修改UPX脱壳实践 Linux威胁除了后门这类恶意文件外，就是在分析后门的过程中会遇到加壳的问题，加壳与Windows平台的层级类似，也有压缩壳虚拟壳这些种类，如果遇到虚拟壳的场景，现阶段真的就... 2022-8-11 12:2:17 | 阅读: 205 | 收藏 | OnionSec upx 脱壳 deb libc6 加壳

Linux后门简单分析 如果发现Linux后门，基本上可以认为是服务器资产受损且失陷了。因为Linux服务器的份额确实比较大，而被针对且入侵的风险也会加大。后门BC00C10454FEB0D5C83... 2022-8-10 18:14:52 | 阅读: 41 | 收藏 | OnionSec x1b 后门 rot13 32m prism

情报驱动应急响应读书笔记3 前言上两篇文章提到了对情报的简单梳理与实际工作中应用的简单场景，不过也仅仅只是简单的抛砖引玉。本身计算机安全是一个很大的范畴，每个小方向与大方向如果需要深入研究与实践都是可以... 2022-8-6 15:16:0 | 阅读: 16 | 收藏 | OnionSec 攻击 安全 风险 入侵 反思

趋势科技的一篇会议报告学习【如何监控粗心的攻击者】 前言2021年上半年忙了大半年在工作的方向上，面对业务去努力，有时候顾不上自己的提升与学习。那一段时间以来，思路枯竭，确实是到了需要多读读相关安全论文以及相关优秀文章针对性学... 2022-8-4 15:32:56 | 阅读: 23 | 收藏 | OnionSec 攻击 攻击者 数据 信息

情报驱动应急响应读书笔记2 前言上一篇文章提到了情报，仅仅只是简单的提及了术语中最重要的含义来便于理解。不过目前如果我们从事的是网络安全行业，那么接触的情报大部分情况下都属于威胁情报CTI，按照情报的来... 2022-7-31 23:3:39 | 阅读: 18 | 收藏 | OnionSec 信息 攻击 入侵 攻击者 威胁

情报驱动应急响应读书笔记1 前言《情报驱动应急响应》是一本国外人员撰写的书籍，第一次知道它还是在2020年初朋友圈里看到有小伙伴利用中午休息时间阅读这本书。当时的个人认知很浅，没有经历过一些事情就没有办... 2022-7-30 17:53:38 | 阅读: 22 | 收藏 | OnionSec 攻击 攻击者 威胁 安全 入侵

fake-useragent pypi包供应链投毒事件 在上班路上看到帖子提到供应链投毒事件出现，想起2019年rdpscan后门事件。于是本地自己分析了一下，供应链投毒被一些针对性攻击活动采用，不过今天这个比较简单，应该不属于比... 2022-7-26 00:1:49 | 阅读: 105 | 收藏 | OnionSec pypi useragant 投毒 攻击 镜像

fake-useragent pypi包供应链投毒事件 在上班路上看到帖子提到供应链投毒事件出现，想起2019年rdpscan后门事件。于是本地自己分析了一下，供应链投毒被一些针对性攻击活动采用，不过今天这个比较简单，应该不属于比... 2022-7-25 10:6:54 | 阅读: 44 | 收藏 | OnionSec pypi useragant 投毒 60000 实质