记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Patchwork APT组织针对某医疗卫生机构相关人员攻击活动分析

 作者:安恒威胁情报中心-猎影实验室事件背景Patchwork(白象、摩诃草、APT-C-09、Dropping Elephant)是一个疑似具有印度国家背景的APT组织,该组织长期针对中国、巴基斯坦等南亚地区国家的政府、医疗、科研等领域进行网络攻击窃密活动。近期安恒威胁情报中心猎影实验室捕获到多个Patchwork组织攻击活动样本,本次样本主要通过鱼叉式钓鱼邮件进行传播,样本以“登记表”和“巴基斯坦国防官员住房登记表”等相关内容作为诱饵,最终释放“BADNEWS”后门程序进行窃密活动。
发布时间:2022-01-13 18:34 | 阅读:6229 | 评论:0 | 标签:apt 攻击 HW 分析

黑客组织 Patchwork 感染自己开发的恶意程序 导致内部系统被曝光

印度相关的黑客组织 Patchwork 自 2015 年 12 月以来一直很活跃,主要通过鱼叉式网络钓鱼攻击针对巴基斯坦。在 2021 年 11 月底至 12 月初的最新活动中,Patchwork 利用恶意 RTF 文件投放了 BADNEWS(Ragnatela)远程管理木马(RAT)的一个变种。但有趣的是这次活动却误伤了他们自己,使得安全研究人员得以一窥它的基础架构。 本次活动首次将目标锁定在研究重点为分子医学和生物科学的几位教员身上。令人讽刺的是,攻击者利用自己的 RAT 感染了自己的电脑,从而让安全公司 Malwarebytes 收集到了他们电脑和虚拟机的按键和屏幕截图。
发布时间:2022-01-13 12:28 | 阅读:5730 | 评论:0 | 标签:安全快讯 Patchwork 黑客 恶意程序 HW

黑客组织Patchwork感染自己开发的恶意程序 导致内部系统被曝光

本次活动首次将目标锁定在研究重点为分子医学和生物科学的几位教员身上。令人讽刺的是,攻击者利用自己的 RAT 感染了自己的电脑,从而让安全公司 Malwarebytes 收集到了他们电脑和虚拟机的按键和屏幕截图。通过分析,Malwarebytes 认为本次活动是 BADNEWS RAT 的一个新的变种,叫做 Ragnatela,通过鱼叉式网络钓鱼邮件传播给巴基斯坦的相关目标。Ragnatela 在意大利语中意为蜘蛛网,也是 Patchwork APT 使用的项目名称和面板。
发布时间:2022-01-12 12:21 | 阅读:8324 | 评论:0 | 标签:黑客 恶意程序 HW

与印度有关的 Patchwork APT 感染了自己的系统,暴露了其操作

在最近的一次活动中,一名与印度有关的威胁行为者被追踪为 Patchwork(又名 Dropping Elephant),他使用了 BADNEWS 后门的新变体,称为 Ragnatela(意大利语中的“蜘蛛网”)。然而,该组织在使用 RAT 感染其基础设施后成为头条新闻,允许研究人员分析其操作。APT 组织至少从 2015 年开始就一直活跃, 之前的行动针对世界各地的军事和政治个人,它对巴基斯坦的组织表现出特别的兴趣。2021 年底,Malwarebytes 研究人员观察到 APT 小组针对的是研究重点是分子医学和生物科学的教职员工。
发布时间:2022-01-11 17:41 | 阅读:8467 | 评论:0 | 标签:apt HW

2021蓝队HW | 初级面试简单总结

声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
发布时间:2021-12-21 16:41 | 阅读:16398 | 评论:0 | 标签:HW 蓝队 蓝队HW

首站起航 | 绿盟科技TechWorld2021·创新派技术沙龙成功举办

全文共1920字,阅读大约需4分钟。12月8日,绿盟科技TechWorld再集结,首届创新派技术沙龙在北京成功举办。活动以“汇聚创新火花,点亮未来安全”为主题,围绕云原生、5G、网络空间测绘、智能安全运营、数据安全等领域展开深入交流。绿盟科技集团首席安全专家、创新中心负责人刘文懋博士主持活动。绿盟科技集团首席安全专家、创新中心负责人刘文懋博士云下到云上的快“劫”方式绿盟科技星云实验室安全研究员阮博男表示,符号链接机制可以在不同的操作系统中实现,初衷是方便管理、减少冗余,但由其引发的安全漏洞却层出不穷,云原生时代尤甚。
发布时间:2021-12-09 17:40 | 阅读:15881 | 评论:0 | 标签:HW

10月下旬APT组织Patchwork伪装巴基斯坦联邦税务局的鱼叉攻击活动

阅读:21一、概述近期,绿盟科技伏影实验室捕获了一封疑似针对巴基斯坦新能源、高新技术等重点企业的钓鱼文档。经过分析,伏影实验室确认该钓鱼文档来自APT组织Patchwork在今年10月份发动的鱼叉攻击活动,文档被伪装成带有巴基斯坦联邦税务局抬头的税收减免申请表,被用于窃取符合减税条件的国家重点企业员工的个人信息。二、组织概要Patchwork,又称为Dropping Elephant、APT-C-09或摩诃草,是一个具有印度背景的老牌APT组织。
发布时间:2021-11-02 21:34 | 阅读:24174 | 评论:0 | 标签:安全分享 FBR October Pakistan Patchwork 鱼叉攻击 apt 攻击 HW

【警惕HW诈骗】HW行动10W血汗钱应该如何追回!

认识四年的朋友竟然骗了我,在今年2021年2月份左右网名:【王艾】真名:施X亮向我开始要人,准备开始今年的HW行动。出于信任我将我们学员介绍给了他,经过面试选拔,其中五个学员面试成功。当面试成功后,为了防止黑中介,我还特地叫他一定要:签订合同是否背对背付款付款时间因为涉及到税务原因,王艾自身没有公司,所以找了【安徽科盾】来与我们学员签订合同。
发布时间:2021-09-18 19:06 | 阅读:46726 | 评论:0 | 标签:HW

内网渗透之DNS隧道搭建(1)

前言 年初有幸参加了一次hvv,我主要负责内网渗透的部分,包括代理搭建,横向移动等等。那个时候,也是刚刚接触内网没两个月,赶鸭子上架的学了一下就上了战场。好在运气不错,通过weblogic的反序列化RCE拿到系统权限,后来发现了一个尴尬的问题,目标主机不出网,借助搜索引擎,大佬们都在用reGeorgh和Pystinger,这两款工具都是使用webshell来进行socks代理,进而穿透内网,后面确实也达到目的,进内网水了波分。回学校复盘的时候,发现还有一种更厉害的姿势。。。搭建DNS隧道。 DNS隧道介绍 DNS隧道,是隧道技术中的一种。
发布时间:2021-08-30 17:55 | 阅读:36517 | 评论:0 | 标签:内网渗透 dns2tcp dnscat dns隧道 HTTP https HW iodine 横向移动 渗透 DNS

TechWorld2021技术嘉年华,解锁“不一样”的技术盛会

当今,网络空间和物理空间的边界不断融合,网络安全和信息化作为一体之两翼也在进行一种融合,网络安全产业伴随着“融合”持续升级发展。7月30日 ,以“融合•Convergency”为主题的TechWorld2021绿盟科技技术嘉年华在北京顺利召开,会上同期举行了中国信通院-绿盟科技 5G安全联合实验室战略合作签约仪式及“鲲鹏论坛”成立仪式。此次大会汇集来自全球的行业精英和技术爱好者,聚焦网络空间安全发展、创新数字化应用、新时代信息化与工业化等内容,在产研发展、技术创新、跨界合作等方面展开深度讨论,为产业融合注入新动能。
发布时间:2021-07-31 00:33 | 阅读:34317 | 评论:0 | 标签:HW

参加绿盟科技2021 Techworld是一种怎样的体验?

2021年7月30日,2021 TechWorld绿盟科技技术嘉年华成功在京举办!绿盟科技TechWorld技术大会一直是业内数一数二的技术研讨型峰会。作为网络安全行业的领军企业,绿盟科技的科研成果备受关注,其技术具有很高的前沿性和指向性。参加绿盟科技2021 Techworld是一种怎样的体验?本次会议主题为“融合 · CONVERGENCY”,大会采用变色龙效果作为主视觉设计,很好的诠释了如今网络安全技术需要在新时代背景下创新与融合。
发布时间:2021-07-30 22:38 | 阅读:37589 | 评论:0 | 标签:HW

纯享版技术交流盛会 | TechWorld2021绿盟科技技术嘉年华不负热爱

全文共1391字,阅读大约需要3分钟。TechWorld2021TechWorld2021绿盟科技技术嘉年华7月30日 香格里拉酒店网络安全大咖、安全技术发烧友再度集结让思想交融,智慧碰撞不负每一份对技术的热爱五大看点,不容错过技术嘉年华聚焦前沿话题,汇聚顶级大咖技术嘉年华聚焦前沿技术、热点话题,绿盟科技资深安全专家现场分享智慧安全3.0融合之道、攻防实践、安全研究及创新技术成果。更汇聚华为、施耐德、腾讯安全、滴滴出行等多家公司顶级大咖及高校网络安全专家,演讲内容覆盖产、学、研、用、策,把握产业发展未来,多维度探索安全技术开拓趋势。
发布时间:2021-07-02 17:48 | 阅读:46623 | 评论:0 | 标签:HW

记一次hw行动中的渗透测试

#安全研究院 68个 作者:橄榄 编辑:白帽子社区运营团队    "白帽子社区在线CTF靶场BMZCTF,欢迎各位在这里练习、学习,BMZCTF全身心为网络安全赛手提供优质学习环境,链接(http://www.bmzclub.cn/)"    前言本文总结一下今年某次hw渗透测试过程,虽然现在的教育机构越来越重视安全,但没有绝对的安全,所谓的安全性其实都是相对的。1.信息踩点在这里其实没办法去做一些有价值的收集,只能踩点,踩坑。
发布时间:2021-06-20 16:34 | 阅读:40419 | 评论:0 | 标签:渗透 HW

HW蓝队之恶意程序快速定位

扫一扫关注公众号,长期致力于安全研究前言:本章讲解恶意代码分析前期的收集情况0x01 前期分析在HW攻防中,红队的木马种类多之又多,而好多蓝队只会看看日志就去吃泡面了....更夸张来说红队做了免杀之后,蓝队甚至都无法发现。分析工具准备:PEView,strings,Process Explorer,Process Monitor,AateDNS,NetCat等。恶意代码的前期分析,根据一些简单的工具来进行判断该木马进行了哪些操作,并更好的下一步操作0x02  实战分析流程本次以恶意代码分析书中的Lab3-01的程序进行分析。
发布时间:2021-06-16 00:39 | 阅读:42297 | 评论:0 | 标签:恶意程序 HW

网曝疑似美团安全工程师用钓鱼软件攻击拼多多被带走调查,HW误攻击?

前两天,山西太原警方公布了一起入侵计算机系统案,案件中表示嫌疑人用伪装成拼多多公司邮箱的账号,向拼多多内部员工发送大量钓鱼邮件。通过邮件内部的木马程序非法获取到公司员工邮箱账号密码,数份个人简历、薪资信息等内容。在警方公布案件隔天,便有某媒体爆出,被抓获嫌疑人系美团的安全工程师。这一消息爆出可真是炸了锅了!要说这行业竞争是常有的事,动用技术手段就少见了,现实版资本谍战??还有媒体说是HVV误攻击的,因为案件发生时正值HVV期间,很可能是演练中一次越级误攻击。据警方公布显示,4月7日至18日,多个邮箱伪装成拼多多公司账号,向员工发送大量邮件。
发布时间:2021-06-04 12:51 | 阅读:50325 | 评论:0 | 标签:攻击 安全 钓鱼 HW 美团

2021HW多个总结模版

#2021HW 2个 今天终于结束了2021HW行动,中间的心酸曲折与案例回顾本来想写点,但总结回顾相关文章挺多了,不喜欢重复。从前天开始就有小伙伴已经开始接总结报告了,向我寻求一份模板,毕竟有保密协议,脱敏的道路还是有些累的,所以此文章主要是模板,内容未必真实,帮大家解决最后一公里路程,希望有点帮助——从HW的痛苦中结束,投入到70周年重保的痛苦中去~~~由于每家企业防护手段不一、组织架构不一,并且以下案例未必真实,所以完全照抄的可能性不大,所以仅供参考~~~: 201X年X月X日-201X年X月X日,XX发起了针对关键信息基础设施进行攻防演练的HW工作。
发布时间:2021-04-23 11:06 | 阅读:51627 | 评论:0 | 标签:HW

HW终于结束了来写总结(hw总结模板)

摘要】今年到写总结的时间了,我们整理了一下去年总结的模版并带一个实例,由于每家企业防护手段不一、组织架构不一,并且以下案例未必真实,所以完全照抄的可能性不大,所以仅供参考~~~:...今年到写总结的时间了,我们整理了一下去年总结的模版并带一个实例,由于每家企业防护手段不一、组织架构不一,并且以下案例未必真实,所以完全照抄的可能性不大,所以仅供参考~~~:    201X年X月X日-201X年X月X日,XX发起了针对关键信息基础设施进行攻防演练的HW工作。
发布时间:2021-04-23 11:06 | 阅读:72889 | 评论:0 | 标签:HW

2021HW总结之表白篇

#2021HVV 6 #攻防演练 1 #HW遇到爱情 1 2021年HW圆满结束,看着各位小哥哥、小姐姐的表白,作为单身狗的我好生羡慕呢。你有表白,或者被表白了吗?
发布时间:2021-04-23 03:14 | 阅读:79863 | 评论:0 | 标签:HW

芯盾时代零信任安全落地案例:HW行动

公安部研究制定的《贯彻落实网络安全等保制度和关保制度的指导意见》,明确指出网络安全工作“三化六防”的措施,即实战化、体系化、常态化的思路,以及动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的措施。经实践证明,网络安全保护已全面进入实战化阶段。经过多年建设的网络安全,HW期间仍不可避免的被攻击队打穿,主要是因为用户仍然采用传统边界防护理念,即垒高墙和区域隔离的模式,因各区域的安全级别不同,需要在安全区域之间部署防火墙、IPS、防毒墙、WAF等安全防护设备,以此应对外界攻击。
发布时间:2021-04-20 13:40 | 阅读:86943 | 评论:0 | 标签:芯盾时代 零信任 安全 HW

2021HW参考 | 浅谈攻击溯源的一些常见思路

文章来源:https://blog.csdn.net/momo_sleet/article/details/957372880x0 背景攻击溯源作为安全事故中事后响应的重要组成部分,通过对受害资产与内网流量进行分析一定程度上还原攻击者的攻击路径与攻击手法,有助于修复漏洞与风险避免二次事件的发生。攻击知识可转换成防御优势,如果能够做到积极主动且有预见性,就能更好地控制后果。说人话:被黑了就要知道为什么被黑了怎么被黑的,不能这么不明不白。 0x1 主体思路溯源的过程当中的时候除开相关的技术手段之外,首先还是需要确认一个整体的思路。
发布时间:2021-04-18 09:59 | 阅读:92405 | 评论:0 | 标签:攻击 HW

HW行动之攻方视角:弱口令一击即中

据统计,在HW行动中最让守方摸不清的,就是有多少开放资产。而45%以上的攻击行为,都是从弱口令开始。不妨从攻方视角,看一次真实的渗透攻击,知己知彼,方可百战不殆。Step 1:收集基本信息首先拿到目标URL和IP,收集Whois信息、网段、域名,扫描开放端口,检查端口开放服务是否有漏洞等等。发现目标主机开放了很多“不可知”的服务。Step 2:逐一检查每个端口提供的服务这一步完全是体力活,要挨个查看每个端口提供的服务是否存在安全隐患。它的难易取决于攻方的经验,因为如果打开扫描器,IP就会被封。在查看过程中,查找到某链接存在弱密码,使用admin/123456即可登录系统后台。
发布时间:2021-04-16 11:18 | 阅读:67781 | 评论:0 | 标签:HW

HW第N天状态

今天依然没有告警,客户今天收到消息要升级设备,需要删除旧包替换为新包,大领导终于在茫茫勤奋工作人海中看到了吃零食喝饮料摸鱼的我,笑着跟我说:”来,升级一下系统“,我心里一想,我就是一个外包,我哪里会升级设备,当时不是说好盯着屏幕看告警就好了吗。于是我缓缓的说了一下:”好,上SSH”,我用了积攒好几年在lol中和队友和谐交流的手速快速的打上了ssh的账号和密码,此时此刻,大领导看我的飞快手速,和熟练的打开Xshell,满意的笑了笑。我的大脑像被电流电到一样,浑身热血沸腾,仿佛化身为了十年经验的安全专家。
发布时间:2021-04-14 14:17 | 阅读:55814 | 评论:0 | 标签:轻松一刻 HW

【2021HW | 蓝队干货】Windows手工入侵排查思路

Bypass Author Bypass Bypass 致力于分享原创高质量干货,包括但不限于:渗透测试、WAF绕过、代码审计、安全运维。 闻道有先后,术业有专攻,如是而已。 Windows系统被入侵后,通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等,给业务系统带来不稳定等诸多问题。一些病毒木马会随着计算机启动而启动并获取一定的控制权,启动方式多种多样,比如注册表、服务、计划任务等,这些都是需要重点排查的地方。另外,需要重点关注服务器日志信息,并从里面挖掘有价值的信息。
发布时间:2021-04-14 11:25 | 阅读:99775 | 评论:0 | 标签:入侵 windows HW

2021护网日记(七)-4/13 HW漫漫,看好革命的本钱

4月13日,天气:晴,大风,夜班。今天心情略微有些沉重,听说有兄弟在这次HVV的过程中倒下了,希望这不是真的。夜班凌晨5点多实在太困了,趴在桌上睡着了,还做梦了,梦中我收了很多0day。划重点▶一切正常,尽在掌握▶HW领导发货了,撑不住就休息▶blue teame 被远控了▶湖南区域“网络崩了”因“光杆故障”▶安全专家身份继续做实一  一切正常,尽在掌握waf正常、EDR正常、全流量正常、态势正常、预警正常、应急正常、溯源正常、钓鱼正常、段子正常。
发布时间:2021-04-14 00:52 | 阅读:72093 | 评论:0 | 标签:护网 HW

2021年4月13日 HW情报快讯

截止到2021年4月13日20点40分,cnvd新收录高危漏洞7个,列表如下:Chrome浏览器被爆出远程代码执行漏洞国外安全研究员发布了Chrome 远程代码执行 0Day漏洞的POC详情,漏洞为“严重”级别。攻击者利用此漏洞,构造一个恶意的web页面,用户访问该页面时,会造成远程代码执行。该0day漏洞已被验证,目前Google只针对该漏洞发布了beta测试版Chrome(90.0.4430.70)修复,Chrome正式版( 89.0.4389.114)仍受漏洞影响。
发布时间:2021-04-13 22:14 | 阅读:98948 | 评论:0 | 标签:情报 HW

2021护网日记(五)-4/11 今天的HW报告怎么写?

4月11日,天气:忙着干活,忘了。正式护网第四天,经过前三天的磨合和调整,误报明显稍多了,攻击也少多了,开始头疼HW日报了。轻松一下,吃一下今天的瓜一、红队钓鱼,因涉乱伦,扣除1000分,当面道歉,“斗象”发声明1、某红队钓鱼邮件(内容过于生猛,强烈不建议)2、处罚单3、斗象科技声明二、“韩毅”后续,热度渐消,恢复正常了“没有 网络安全,就没有国家安全”,横批“骐跃信息”三、今天的报告怎么写?甲方精心准备的红牛、酸奶、面包、辣条。。。甲方领导脸色越来越难看,自己是不是要被抛弃了,抛弃也是一种出局。
发布时间:2021-04-12 01:39 | 阅读:313983 | 评论:0 | 标签:护网 HW

Day3 HW 蓝队防守笔记 冰蝎毒更新

#蓝队防守 4 #红蓝对抗 4 作者:@oldhand 诗词歌赋  今天是HW的第三天,我们没挂,一个有若干红队攻击人员和杂牌军组成的防守团队,很多小伙伴给我抱怨晚班太辛苦,很多设备都是误报,请稍安勿躁,小心火防。    进入我们放松环节,反正我们都是红队出身去防守系统怕什么呢。用自己的攻击方式换个角度来防守而已。思路上能对的上。具体实施上还是有很多不同,红队在于攻击,蓝队在于防守,使用的分析工具完全不一样,团队还是以大带小的策略,实现无缝的防守策略。虞美人·春花秋月何时了【作者】李煜【朝代】五代春花秋月何时了?往事知多少。
发布时间:2021-04-11 20:22 | 阅读:91417 | 评论:0 | 标签:HW

2021年4月10日 HW情报快讯

截止到2021年4月10日23点10分,cnvd新收录高危漏洞9个,详情如下:01安全工具2个安全工具发布更新,具体信息如下:1、冰蝎Behinder_v3.0 Beta 72021.4.8修复问?
发布时间:2021-04-11 02:00 | 阅读:78832 | 评论:0 | 标签:情报 HW

2021HW平安夜 | 04/11-势如破竹

#2021HW系列文章 4个 “满当当的昨天,富意义的今天~”今日主题:01 HW日记、02 Fofa搜索Cobalt Strike的小技巧01 HW日记今天的告警有点多,不仅自己值守的单位,其他伙伴值守的单位也是全天的应急今天攻击队伍似乎一直在发力不过今天也传来了很多的捷报,比如防守队伍溯源到了攻击者,一时压力好大,要抓紧溯源呀~作为对手我不希望你们拿分数,但是作为一个网安人,我希望攻击队伍有个好成绩,同时也矛盾的希望防守方有个好成绩,总之,对抗的最后是网络技术的升级。有没有发现今年国外的ip特别多,特别特别多。
发布时间:2021-04-11 02:00 | 阅读:103738 | 评论:0 | 标签:HW

补天-HW20210408-日报

感谢以下合作伙伴支持:
发布时间:2021-04-09 00:05 | 阅读:65226 | 评论:0 | 标签:HW

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求打赏·赞助·支持💖

标签云

本页关键词