TheNote
RSS SANS Internet Storm Center... 笔记
GooglePlay AppStore

RSS SANS Internet Storm Center, InfoCON: 绿色

isc.sans.edu"网站是SANS Institute的一部分,该机构是网络安全培训和认证最受信任的机构之一。该网站主要集中于信息资源,提供了网络安全领域的各种资源。 isc.sans.edu的首页提供了SANS Internet Storm Center关于网络威胁和漏洞的实时更新。这些信息以dashboard形式显示,包括最新更新、威胁级别图表和分数框。 他们提供了一个诊断项目,包括恶意软件签名、威胁feed和规则集,以进行完整的网络安全分析。此外,isc.sans.edu网站还为网络安全专业人士提供教育和培训,并设有讨论网络安全话题的论坛。 网站的主要部分包括: 1. InfoStorms:追踪和报告storms,同时提供了缓解即时威胁的步骤。 2. 威胁:该类别包括当前全球网络威胁。 3. 免费工具:网站上有多种免费工具可供测试和评估系统对网络威胁的抵抗力。 4. 教育:他们提供了多种网络安全培训课程供选择。 5. 漏洞:该部分披露了过去的漏洞信息,并指导如何缓解它们。
SANS Internet Storm Center, InfoCON: green isc.sans.edu
RSS isc.sans.edu
RSS Hunter RSS Hunter 2024年8月23日

笔记线程

从 VHDX 文件到 Remcos RAT(6 月 16 日,星期二)

昨天,有读者向我们报告了一个恶意 ZIP 压缩包(SHA256: a0104921a2d37ab87482ac9a9f5c3713479c118846c3e999178e75b81620c094[1])。解压后,其中包含一个 VHDX 文件,该文件在挂载后会披露恶意 JavaScript 代码(在现代 Windows 操作系统上,挂载是自动执行的):
From a VHDX File to a Remcos RAT, (Tue, Jun 16th) isc.sans.edu
CdXz5zHNQW_ugB8x5PIDr.png
RSS Hunter RSS Hunter 6月16日

过去三年中,对 framing 保护安全头的使用有何变化?(周三,6 月 10 日)

早在 2023 年,我曾撰写过一篇日记 [1],探讨了互联网上最热门的 100 万个域名(基于 Tranco 列表 [2])中,X-Frame-Options 和包含 frame-ancestors 指令的内容安全策略(CSP)标头的使用情况及其设置方式。鉴于自那时起已过去三年,我认为重新进行分析并观察其间是否有任何变化会很有趣。
How has use of framing protection security headers changed in the past 3 years?, (Wed, Jun 10th) isc.sans.edu
CdXz5zHNQW_IdWQNNsK4E.png
RSS Hunter RSS Hunter 6月10日

Microsoft 2026年6月补丁星期二(6月9日,星期二)

微软今日发布了针对 204 个漏洞的补丁。其中 38 个漏洞被评定为严重级别,另有三个漏洞在今日之前已公开披露。六个漏洞影响微软云解决方案,无需用户采取任何操作。此外,微软已将 360 个影响 Chromium 的漏洞整合进其 Edge 浏览器。
Microsoft June 2026 Patch Tuesday, (Tue, Jun 9th) isc.sans.edu
RSS Hunter RSS Hunter 6月9日

TeamPCP 供应链活动:截至 2026 年 6 月 7 日(周一,6 月 8 日)”

本日记继续追踪互联网风暴中心(Internet Storm Center)对 TeamPCP 供应链活动的监测,该活动首次记录于 SANS 白皮书《当安全扫描器变成武器》中,最近一次更新见处理程序日记《截至 2026 年 5 月 24 日的活动》。自那次更新以来,事态发展至两个新领域:美国政府正式介入并掌握了该活动,以及更广泛的攻击者群体,他们现已利用 TeamPCP 上月开源的 Mini Shai-Hulud 框架。
TeamPCP Supply Chain Campaign: Activity Through 2026-06-07, (Mon, Jun 8th) isc.sans.edu
RSS Hunter RSS Hunter 6月8日

“邪恶的 MSI 背景卷土重来!”,(6 月 5 日,星期五)

几个月前,我曾撰写一篇关于嵌入 JPEG 图片中的有效载荷的日记。那是一个带有 MSI 品牌标识的背景 [1]。昨天,我又发现了一个!看来这种技术正变得越来越流行。这次,它始于一封包含 WeTransfer 链接的邮件。
The Evil MSI Background is Back!, (Fri, Jun 5th) isc.sans.edu
CdXz5zHNQW_fvTme5iyKs.png
RSS Hunter RSS Hunter 6月5日

继续扫描 swagger.json,(6 月 3 日,星期三)

企业应用程序仍常使用 SOAP 等复杂标准来构建 Web 服务。SOAP 的主要优势在于其严密且广泛的标准体系,能够支持由 Web 服务治理的企业范围内的互操作性。SOAP 的缺点在于:首先,尽管它通常基于 HTTP 传输,但并未充分利用 HTTP 的特性,从而导致不必要的复杂性。其次,人们不再阅读文档(RTFM),而当今开发者往往不重视精心的系统设计,倾向于将代码直接扔进集成开发环境(IDE)以观察其效果;若无法通过这种方式实现,他们甚至可能直接“凭感觉”编写代码。
Continuing Scans for swagger.json, (Wed, Jun 3rd) isc.sans.edu
CdXz5zHNQW_UvMTQ7U5w5.png
RSS Hunter RSS Hunter 6月3日

带有 SVG 文件的新式钓鱼邮件(6 月 2 日,星期二)

在过去的几天里,我的 SANS ISC 邮箱收到了大量包含 SVG 文件的邮件。SVG(可缩放矢量图形)是一种用于图形和图标的网络友好型矢量文件格式。邮件正文中没有 URL,仅包含“一张图片”,这正是传递恶意内容的理想方式。威胁行为者此前曾多次使用此类技术 [1]。
New Wave Of Phishing Emails with SVG Files, (Tue, Jun 2nd) isc.sans.edu
CdXz5zHNQW_6gsqoqMRul.png
RSS Hunter RSS Hunter 6月2日

对上传至 DShield 传感器的年度文件分析(5 月 27 日,星期三)

利用过去一年收集的数据,通过 Kibana 执行以下两条 ES|QL 查询对数据进行汇总,展示了过去一年中上传至两个 DShield 传感器(本地和云端)的威胁列表。我已按月份对活动进行排序,以显示每月上传至传感器的文件演变情况。活动峰值出现在冬季月份(2025 年 12 月至 2026 年 2 月),并在 2026 年 3 月开始下降,每个传感器均呈现此趋势。
Analysis of a Year of Files Uploaded to DShield Sensors, (Wed, May 27th) isc.sans.edu
CdXz5zHNQW_gsAcMK39gA.png
RSS Hunter RSS Hunter 5月28日

从边界和终端日志重构 Akira 勒索软件杀伤链(5 月 27 日,星期三)

大多数关于 Akira 的分析报告都聚焦于勒索信或加密过程。等到这些信息出现时,有价值的取证工作已经结束。对防御者而言真正重要的问题出现在更早的阶段:他们是如何入侵的?何时获取了域管理员权限?在恶意二进制文件执行之前,他们接触了什么?这些答案存在于影响发生之前的日子里,它们位于两个几乎从未被关联的日志源中:边界防火墙和 Windows 事件通道。
Reconstructing an Akira Ransomware Kill Chain from Perimeter and Endpoint Logs, (Wed, May 27th) isc.sans.edu
CdXz5zHNQW_93IR1k2xiV.png
RSS Hunter RSS Hunter 5月27日

高级语言中栈字符串示例,(5 月 23 日,星期六)

本周,我参加了 SEC670[1] 培训(“红队工具——开发 Windows 植入程序、Shellcode 及命令与控制”)。在我看来,该培训与 FOR610 或 FOR710(恶意软件分析)高度契合,因为它从相反的角度切入恶意软件:不是进行逆向工程,而是编写恶意代码!拥有另一种视角总是令人受益匪浅。
An Example of Stack String in High Level Language, (Sat, May 23rd) isc.sans.edu
CdXz5zHNQW_akbFJiIWgF.png
RSS Hunter RSS Hunter 5月23日

跨平台NPM窃取者,(5月22日,星期五)

我发现了一个 Node.js 窃密器,其混淆程度相当高。该文件无法直接运行,因为它在 VT 上以“extracted-decoded.js"(并经过重新格式化)的形式上传。其 SHA256 哈希值为 049300aa5dd774d6c984779a0570f59610399c71864b5d5c2605906db46ddeb9[1]。由于在沙箱中无法正常运行,因此仅进行了静态分析。
Cross-Platform NPM Stealer, (Fri, May 22nd) isc.sans.edu
RSS Hunter RSS Hunter 5月22日

Linux 中的选择性 HTTP 代理(Thu, May 21st)

最近,Rob 介绍了一款名为 Proxifier 的工具,它可以拦截特定进程发出的请求。Proxifier 支持 Windows、macOS 和 Android 系统。但目前我尚未看到适用于 Linux 的通用选项。像 Proxifier 这样的工具的优势在于能够针对特定软件进行操作。对于调试、逆向工程及类似任务而言,选择特定进程非常有用,因为它能减少需要过滤的噪声,从而简化分析工作。
Selective HTTP Proxying in Linux, (Thu, May 21st) isc.sans.edu
RSS Hunter RSS Hunter 5月21日

[访客日记] 新的恶意软件库意味着新的特征码,(周五,5 月 15 日)

:root { --isc-maroon: #7a1f1f; --isc-maroon-dark: #5e1717; --isc-link: #0066cc; --isc-text: #1a1a1a; --isc-muted: #555; --isc-rule: #d0d0d0; --isc-code-bg: #f4f4f4; --isc-code-text: #c0392b; --isc-block-bg: #1e1e1e; --isc-block-text: #e6e6e6; --isc-callout-bg: #fafafa; --isc-table-header: #ececec; }
[Guest Diary] New Malware Libraries means New Signatures, (Fri, May 15th) isc.sans.edu
CdXz5zHNQW_GtQ11GEKYa.png
RSS Hunter RSS Hunter 5月15日

Outlook 垃圾邮件文件夹中链接预览功能的简单绕过方法(5 月 14 日,星期四)

除了作为 Microsoft Outlook 存放疑似垃圾邮件的文件夹外,Outlook 垃圾邮件文件夹还具有另一项功能,在识别恶意邮件时可能非常有用。任何被放入该文件夹的电子邮件都会移除所有格式,且邮件中包含的所有链接的目标地址将向用户显示,如下列图片所示,它们展示了同一封邮件在位于收件箱和位于垃圾邮件文件夹时的状态。
Simple bypass of the link preview function in Outlook Junk folder, (Thu, May 14th) isc.sans.edu
CdXz5zHNQW_G7WCE3NWMv.png
RSS Hunter RSS Hunter 5月14日

Cookie 有助于我们提供服务。使用我们的服务或点击我同意,即表示您同意 我们使用 Cookie