根据微软官方公告,WIndows 7操作系统正式结束ESU支持,这也就意味着官方不会再向企业用户推出任何安全补丁。Win7系统发布于2009年10月,并于2015年结束了主流支持、2020年结束外延支持,仅提供付费ESU安全补丁,并于2023年1月完全结束服务。
发布时间:
2023-01-31 11:58 |
阅读:7634 | 评论:0 |
标签:
windows
本文来自“白帽子社区红队知识星球”作者:白帽子社区红队-伟大宝宝白帽子社区红队知识星球一个专属于红队的高级威胁技术研究星球星球主要面向高级持续性威胁领域技术的研究。目前已在研究或发表技术成果的主题主要涵盖持久化控制、反溯源、后门传播、免杀、钓鱼伪装技术、Windows系统服务漏洞研究、开源产品漏洞研究等领域,目前已有以下7大板块:【产品漏洞】【内网穿透】【权限维持】【系统提权】【内网渗透】【免杀技术】【技术研究】还可以与嘉宾大佬们接触,在线答疑微信群、互相探讨,不定时进行技术直播分享。
发布时间:
2023-01-30 21:23 |
阅读:34531 | 评论:0 |
标签:
windows 密码
安全研究人员发现了一种新的数据擦除恶意软件,他们命名为 SwiftSlicer,旨在覆盖 Windows 操作系统使用的关键文件。这种新的恶意软件是在最近一次针对乌克兰目标的网络攻击中发现的,归因于Sandworm,这是一个为俄罗斯总参谋部主要情报局 (GRU) 工作的黑客组织,是特种技术主要中心 (GTsST) 军事单位74455的一部分。虽然目前关于 SwiftSlicer 的详细信息很少,但网络安全公司 ESET 的安全研究人员表示,他们发现了在乌克兰的一次网络攻击期间部署的破坏性恶意软件。
发布时间:
2023-01-30 13:22 |
阅读:20645 | 评论:0 |
标签:
黑客 windows
安全研究人员发现了一种新的数据擦除恶意软件,他们命名为SwiftSlicer,旨在覆盖Windows操作系统使用的关键文件。 安全研究人员发现了一种新的数据擦除恶意软件,他们命名为SwiftSlicer,旨在覆盖Windows操作系统使用的关键文件。这种新的恶意软件是在最近针对乌克兰目标的网络攻击中发现的,并归因于Sandworm,这是一个为俄罗斯总参谋部主要情报局(GRU)工作的黑客组织,是特殊技术主要中心(GTsST)军事单位74455的一部分。
发布时间:
2023-01-29 21:34 |
阅读:40545 | 评论:0 |
标签:
黑客 windows
安装与使用git clone https://github.com/t3l3machus/Villaincd ./Villainpip3 install -r requirements.txt以 root 身份运行:Villain.py [-h] [-p PORT] [-x HOAX_PORT] [-c CERTFILE] [-k KEYFILE] [-u] [-q]Villain 具有内置的自动混淆有效载荷功能,旨在帮助用户绕过 AV 解决方案(针对 Windows 有效载荷)。每个生成的有效负载只会工作一次。已经使用过的有效负载不能重新用于建立会话。
APC 注入是一种在单独的活动进程的地址空间中执行任意代码的方法。
APC 注入通常通过将恶意代码附加到进程线程的 APC 队列[1]来执行。排队的 APC 函数在线程进入可变状态时执行。[1]现有受害者进程的句柄首先使用本机 Windows API 调用创建,例如OpenThread. 此时QueueUserAPC可以用来调用一个函数。
APC 注入的一种变体,涉及创建一个暂停的进程,在该进程的入口点(以及可能的后续反恶意软件挂钩)之前,可以通过 APC 编写和执行恶意代码。AtomBombing 是另一种变体,它利用 APC 调用先前写入全局原子表的恶意代码。
发布时间:
2023-01-24 19:01 |
阅读:159828 | 评论:0 |
标签:
注入 windows
如果你本周上班打开电脑发现任务栏和开始菜单中常用的Windows程序快捷方式都不见了,不要惊慌,这只是微软的又一次安全更新导致的“乌龙事件”。
上周五,微软发布了Microsoft Defender签名更新,其中包括对攻击面减少(ASR)规则的更改,该规则在配置管理器中名为“阻止来自Office宏的Win32 API调用”,在Intune中则是“从Office宏代码导入Win32”。
总之,这个新规则能检测并阻止恶意软件使用VBA宏调用Win32 API。
通常在入侵过程中,禁用目标计算机的防御措施的能力会很有用。对于那些已经测试过 Microsoft 操作系统默认嵌入的安全解决方案 Windows Defender 的渗透测试人员,您会同意我的看法,它自首次发布以来已经有了很大改进,尤其是具有 Windows 云容量的最新版本10. 因此,我们很可能在入侵过程中迟早会遇到这种杀毒软件。
发布时间:
2023-01-17 02:54 |
阅读:69913 | 评论:0 |
标签:
windows
前言Microsoft Defender,最初称为Microsoft AntiSpyware,是微软推出的一款杀毒软件。相信大家对Windows Defender 的防御性能还是没有怀疑的,毕竟最了解Windows系统的还得是微软自己。但是这货也比较令人头疼,毕竟它检测到问题直接就杀了,然后弹窗告诉用户“我已经拦截了一个XXX”。完全属于先斩后奏。今天正好看到大佬的文章,跟着学习一下Windows defender相关的知识。
发布时间:
2023-01-16 18:26 |
阅读:72496 | 评论:0 |
标签:
渗透 windows
关于Villain Villain是一款针对Windows和Linux操作系统设计和开发的后门生成与多会话处理工具,该工具允许广大研究人员与兄弟服务器或其他运行了Villain的设备进行连接,并共享他们的后门会话,以方便广大研究人员和团队之间的协同工作。Villain生成Payload所采用的机制基于HoaxShell实现,也可以说Villain在这方面是HoaxShell的一个升级版本。
点击上方"蓝字"关注我们吧!作为长期关注系统安全的厂商,安天一直跟进着Windows 7 停服后的安全问题,积极协助相关部门和政企用户做了大量工作(相关链接可在文末查看)。01Window 7 系统正式停服2020年1月14日起,微软已正式停止对 Windows 7 和 Windows Sever 2008 的维护,用户需要额外购买ESU(付费外延扩展支持)才能获得上述两个系统的补丁更新和系统升级服务。如今三年过去了,微软已于2023年1月10日停止ESU服务,这意味着企业和个人用户再也无法获得微软针对 Windows 7 操作系统的安全服务。
发布时间:
2023-01-14 12:35 |
阅读:85622 | 评论:0 |
标签:
windows
漏洞描述Windows Server Backup (WSB) 是 Windows 上的备份和 Windows 恢复工具。美创安全实验室监测到一则Windows Backup Service权限提升漏洞的信息,漏洞编号:CVE-2023-21752,漏洞等级:严重。该漏洞存在于Windows Server Backup (WSB)中,经过身份认证的攻击者可利用此漏洞提升至 SYSTEM 权限。鉴于此漏洞影响较大,且 PoC 及 EXP 已在互联网公开,建议客户尽快做好自查,及时更新至最新版本。
发布时间:
2023-01-13 11:55 |
阅读:316653 | 评论:0 |
标签:
漏洞 CVE windows
Windows Backup Service 提供Windows 设备上的备份和还原功能。近日,奇安信CERT监测到 Windows Backup Service权限提升漏洞(CVE-2023-21752) PoC 及 EXP 已在互联网公开,经过身份认证的攻击者可利用此漏洞提升至 SYSTEM 权限。奇安信CERT已第一时间复现此漏洞。鉴于此漏洞影响较大,且 PoC 及 EXP 已公开,漏洞的现实威胁进一步提升,建议客户尽快做好自查,及时更新至最新版本。
从本周二开始,微软将不再为专业版和企业版的Windows 7提供扩展安全更新。与此同时,雷德蒙公司鼓励Windows 7设备用户升级到更高的Windows操作系统版本,特别是Windows 11,尽管它在市场表现上仍然落后于老的Windows 10系统。
2009年10月,微软推出了Windows7,后来分别在2015年1月和2020年1月达到其支持结束和延长支持结束的日期。这促使希望停留在Windows 7的用户转向微软的扩展安全更新(ESU)计划。然而,这一计划的更新也将于1月10日星期二结束,与Windows 8.1的EOS时间节点一致。
微软建议那些将受到影响的人升级他们的系统或设备。
微软在周二的例行更新中发布了Windows 8.1的最后一次安全更新。Windows 8.1没有获得与Windows 7相同的 Extended Security Updates 扩展安全更新待遇,因此在最后一个安全更新释出之后,微软将停止支持 Windows 8.1,用户可以继续使用,但微软或其它任何人不会再修复安全问题。微软也在周二发布了Windows 7的最后一次安全更新,但此后还是会有商业公司继续提供付费更新,ACROS Security 的第三方安全平台 0patch 将会至少支持 Windows 7 两年,每年付费25美元。
发布时间:
2023-01-10 13:22 |
阅读:64098 | 评论:0 |
标签:
windows 安全 微软
威胁行为者正在使用精心制作的口袋妖怪NFT卡牌游戏网站,来分发NetSupport远程访问工具并控制受害者的设备。在媒体报道发布时,在线网站“pokemon-go[.]io”依然在声称拥有围绕 Pokemon 特许经营权构建的新 NFT 纸牌游戏,可为用户提供战略乐趣以及 NFT 投资利润。据悉,NetSupport RAT 可执行文件(“client32.exe”)及其依赖项安装在%APPDATA%路径的新文件夹中。它们被设置为“隐藏”以帮助逃避对文件系统执行手动检查的受害者的检测。同时,安装程序会在 Windows 启动文件夹中创建一个条目,以确保 RAT 将在系统启动时执行。
微软将在本周二的例行更新中释出 Windows 8.1 的最后一次安全更新。Windows 8.1 没有获得与 Windows 7 相同的 Extended Security Updates 扩展安全更新待遇,因此在最后一个安全更新释出之后,微软将停止支持 Windows 8.1,用户可以继续使用,但微软或其它任何人不会再修复安全问题。微软也将在周二释出 Windows 7 的最后一次安全更新,但此后还是会有商业公司继续提供付费更新,ACROS Security 的第三方安全平台 0patch 将会至少支持 Windows 7 两年,每年付费 25 美元。
发布时间:
2023-01-09 15:14 |
阅读:79402 | 评论:0 |
标签:
windows 安全 微软
威胁者正在使用精心制作的 Pokemon NFT 纸牌游戏网站来分发 NetSupport 远程访问工具并控制受害者的设备。 威胁者正在使用精心制作的 Pokemon NFT 纸牌游戏网站来分发 NetSupport 远程访问工具并控制受害者的设备。在撰写本文时仍在在线的网站“pokemon-go[.]io”声称拥有围绕 Pokemon 特许经营权构建的新 NFT 纸牌游戏,为用户提供战略乐趣以及 NFT 投资利润。考虑到 Pokemon 和 NFT 的流行,恶意门户的运营商应该不难通过垃圾邮件、社交媒体帖子等吸引观众访问该网站。
IT之家 1 月 7 日消息,趋势科技本周四发布报告称,Dridex 银行恶意软件的衍生版本正伪装成普通文档,通过电子邮件附件在 macOS 平台进行传播。报告中指出该恶意程序原本是针对 Windows 平台的,但现在黑客改变了攻击策略,扩大战团影响 macOS 平台。趋势科技通过对 Dridex 恶意文件样本进行深入的分析发现,该恶意文件采用 Mach-O 文件,后者是可以在 macOS 和 iOS 平台上运行的可执行文件。这些恶意软件使用的文件扩展名包括 .o、.dylib 和 .bundle。Mach-O 文件包含一个恶意文档,一旦用户打开它就会自动运行。
研究人员近日披露了一种从未见过的跨平台恶意软件,这种恶意软件已经感染了一系列广泛的Linux和Windows设备,包括小型办公室路由器、FreeBSD设备和大型企业服务器。安全公司Lumen的研究部门Black Lotus Labs(黑莲花实验室)称该恶意软件为Chaos,这个名称在恶意软件使用的函数名、证书和文件名中一再出现。直到4月16日当第一批控制服务器投入实际使用时,Chaos才浮出水面。从6月到7月中旬,研究人员发现了数百个独特的IP地址,这些IP地址代表受Chaos攻击的设备。
我们将在本文讨论攻击者在其攻击中是否选择内核级访问的原因。Windows内核威胁长期以来一直受到攻击者的青睐,因为它可以让攻击者获得高特权访问和检测规避能力。时至今日,这些难以消除的威胁仍然是恶意活动攻击链的关键组成部分。事实上,SentinelOne最近发现攻击者滥用Microsoft签名的驱动程序,对电信、业务流程外包(BPO)、托管安全服务提供商(MSSP)和金融服务行业的组织进行有针对性的攻击。本月,SophosLabs还报告称,他们发现了一个加密签名的Windows驱动程序和一个可执行的加载器应用程序,该应用程序可以终止目标设备上的端点安全进程和服务。
发布时间:
2022-12-31 15:40 |
阅读:129317 | 评论:0 |
标签:
windows 分析
我们将在本文讨论攻击者在其攻击中是否选择内核级访问的原因。Windows内核威胁长期以来一直受到攻击者的青睐,因为它可以让攻击者获得高特权访问和检测规避能力。时至今日,这些难以消除的威胁仍然是恶意活动攻击链的关键组成部分。事实上,SentinelOne最近发现攻击者滥用Microsoft签名的驱动程序,对电信、业务流程外包(BPO)、托管安全服务提供商(MSSP)和金融服务行业的组织进行有针对性的攻击。本月,SophosLabs还报告称,他们发现了一个加密签名的Windows驱动程序和一个可执行的加载器应用程序,该应用程序可以终止目标设备上的端点安全进程和服务。
发布时间:
2022-12-31 13:31 |
阅读:137116 | 评论:0 |
标签:
windows 分析
01关于通用日志文件系统通用日志文件系统(CLFS)是Windows Vista引入的一种新的日志机制,它负责提供一个高性能、通用的日志文件子系统,专用客户端应用程序可以使用该子系统,多个客户端可以共享该子系统用来优化日志访问,任何需要日志记录或者是恢复支持的用户模式的应用程序都可以使用CLF。02使用通用日志文件系统•创建日志文件CreateLogFile:创建或者打开日志文件(.blf)。
发布时间:
2022-12-26 11:45 |
阅读:112161 | 评论:0 |
标签:
windows 日志
Chaes is a threat originally documented in November 2020 by Cybereason in attacks aimed at stealing customer data from one of Latin America’s most relevant marketplaces and its financial services co
发布时间:
2022-12-22 11:41 |
阅读:144486 | 评论:0 |
标签:
AI windows
1.掉线问题在渗透测试过程中,一般VPN代理来进行渗透,但是如果VPN突然掉线了,那么就很可能使用我们的真实IP就暴露了。如何保证一旦VPN掉线就自动
发布时间:
2022-12-21 21:05 |
阅读:154600 | 评论:0 |
标签:
自动 windows VPN
阅读: 9耳朵问了个问题,怎样批量修改文件名为从1开始的数字,在不下软件的情况下。至少可以写个rename.bat,内容如下,支持目录树——
发布时间:
2022-12-21 10:13 |
阅读:124638 | 评论:0 |
标签:
安全分享 windows
乌克兰政府实体在其网络安装了带有木马ISO文件的Windows 10程序后,遭到了有针对性的黑客攻击。日前,乌克兰政府实体在其网络首先通过伪装成合法 Windows 10 安装程序的木马化 ISO 文件遭到破坏后遭到有针对性的攻击。据悉,这些恶意安装程序提供的恶意软件能够从受感染的计算机收集数据、部署其他恶意工具并将窃取的数据泄露到攻击者控制的服务器。2022年5月创建的用户在 toloka[.]to Ukrainian Torrent Tracker 上托管了此活动中推送的 ISO 之一。
微软取消了多个Microsoft硬件开发者账号,原因是这些账号通过Windows Hardware Developer Program认证程序递交的驱动在获得签名之后被用于包括勒索软件在内的网络攻击。微软称,安全公司SentinelOne、Mandiant和Sophos在10月19日报告了这些活动,随后的调查发现 Microsoft Partner Center的多个开发者账号参与了递交恶意驱动获得微软签名的活动。安全研究人员称,他们发现了一种新的工具包,包含了名为 STONESTOP (加载器) 和POORTRY(内核模式驱动)的组件被用于网络攻击,其中POORTRY有微软签名。
乌克兰政府实体在其网络安装了带有木马ISO文件的Windows 10程序后,遭到了有针对性的黑客攻击。这些恶意安装程序所加载的恶意软件能够从被攻击的计算机中收集数据,部署额外的恶意工具,并将窃取的数据渗透到攻击者控制的服务器。在这次活动中推送的ISO文件中有一个是由2022年5月创建的托管在toloka[.]to乌克兰洪流跟踪器上。网络安全公司Mandiant说:ISO被配置为禁用Windows计算机将发送至微软的典型安全遥测,并阻止自动更新和许可证验证。此次的攻击活动,无论是从通过窃取可赚钱的信息还是部署勒索软件或加密软件,都没有迹象表明入侵的经济动机。
据BleepingComputer12月14日消息,微软在最近的一次“星期二更新”中修复了一个备受关注的、编号为CVE-2022-44698的零日漏洞,攻击者可用来规避 Windows SmartScreen 安全功能并提供 Magniber 勒索软件和 Qbot 恶意软件的有效负载。攻击者使用恶意的独立 JavaScript 文件来利用零日漏洞绕过 Windows 显示的 Mark-of-the-Web 安全警告,该警告可以提醒用户应谨慎对待来自 Internet 的文件。