Akamai研究人员Ben Barnea在Windows Server服务中发现了一个重要的漏洞，鉴于此漏洞影响较大，建议客户尽快做好自查及防护。该漏洞被分配为CVE-2022-30216，风险评分为8.8。Windows Server服务在处理特制请求时存在漏洞，经过身份认证的远程攻击者可利用此漏洞在目标系统上执行代码。该漏洞利用了Server服务实现的安全回调过程中的一个单字节缓冲区溢出漏洞（off-by-one）。单字节缓冲区溢出，其中最常见的是边界验证不严，通常包括循环次数错误和字符串操作不合适而造成的。

0x00 前言假定以下测试环境：我们获得了内网VMware ESXI的控制权限，发现VMware ESXI上安装了Windows域控服务器。本文仅在技术研究的角度介绍从VMware ESXI横向移动到该Windows域控服务器的方法，结合利用思路，给出防御检测的方法。0x02 简介本文将要介绍以下内容：· 利用思路· 常用命令· 实现方法0x03 利用思路通过VMware ESXI管理虚拟机，创建快照文件，从快照文件中提取出有价值的信息。

早在4月，微软公布了Windows 11的一系列新的安全功能，并表示它们即将在操作系统的"未来版本"中出现。事实证明，该公司在这一声明中指的是Windows 11 2022更新--现在正在推送。微软已经证实，它在几个月前宣布的所有安全改进措施现在都可以在Windows 11中普遍使用。 Windows 11中的智能应用控制设置这次更新的重头戏是智能应用控制，它由人工智能模型驱动，有助于检测和阻止潜在的不安全应用在电脑上运行。智能应用控制建立在Windows Defender应用控制（WDAC）的基础上。

##企业安全建设实践 95 个 ##金融群 74 个 #群周报 48 个 #网络安全 77 个 #信息安全 53 个 0x1 本周话题TOP4话题1：招聘丨西北工业大学网络安全与信息化建设岗A1:这被搞了，想起来招人了。非事业编，外包吗？另一个问题：这临时起意，能有多少预算买设备？A2:事件驱动，网络安全三同步呢？A3:非事业编，什么时候被攻击这事不会被当作zz事件素材后，岗位可能就撤了。A4：高校的安全建设貌似都没怎么跟上，攻防演习，高校是重灾区。这么大事件都没开放个事业编出来，唏嘘。可以理解成派遣。A5：大多数企业都没有资源，高校这样更正常。

关于MICROSOFT WINDOWS NFS V4 的漏洞频频出现，七月份，趋势科技研究团队就公布了一个CVE-2022-30136，该漏洞是在网络文件系统 （NFS） 的实现中发现的，并且是由于对 NFSv4 请求的处理不当造成的。未经身份验证的攻击者可以利用此漏洞在 SYSTEM 上下文中执行任意代码。NFS v4是NFS v3的继承版本，主要针对WAN环境部署NFS做出改进并提出NFS分布式文件系统方案。NFSv4为虚拟分配提供的新特性。随着存储虚拟分配功能的普及使用，nfsv4可以为预留固定大小的存储空间;同样在文件系统上删除文件后，也能够在存储上面释放相应空间。

简介Windows Defender ，现名 Microsoft Defender，曾用名 Microsoft Anti Spyware ，是一个杀毒程序，可以运行在 Windows XP 和 Windows Server 2003 操作系统上，并已内置在 Windows Vista ， Windows 7 ， Windows 8 ， Windows 8.1 ， Windows 10 和 Windows 11 中。它的测试版于2005年1月6日发布，在2005年6月23日、2006年2月17日微软又发布了更新的测试版本。Windows Defender的定义库更新很频繁。

#“雪花”创作激励计划 172个 本文为看雪论坛优秀文章看雪论坛作者ID：一半人生一引言一篇有关Windows VPN代理技术分享，并不讨论VPN方案和隧道加密代理，而是NDIS小端数据包到应用层原理技术探讨分享。个人Windows下用过两个OpenVpn驱动版本，tap-windows 5.0(Ndis 5.0)版本 <= win7，tap-windows 6.0(Ndis 6.0)版本 >= win8。

微软表示，一个由伊朗政府撑腰的威胁组织一直在多起攻击中滥用BitLocker Windows功能，以加密受害者的系统，微软将它跟踪分析的这个组织编号为DEV-0270（又名Nemesis Kitten）。微软的威胁情报团队发现，该威胁组织能够快速利用新披露的安全漏洞，并在攻击中广泛使用非本地二进制文件（LOLBIN）。这与微软的发现结果：DEV-0270在使用BitLocker相一致，这项数据保护功能可在运行Windows 10、Windows 11或Windows Server 2016 及更高版本的设备上提供全卷加密服务。

微软表示，一个由伊朗政府撑腰的威胁组织一直在多起攻击中滥用BitLocker Windows功能，以加密受害者的系统，微软将它跟踪分析的这个组织编号为DEV-0270（又名Nemesis Kitten）。微软的威胁情报团队发现，该威胁组织能够快速利用新披露的安全漏洞，并在攻击中广泛使用非本地二进制文件（LOLBIN）。这与微软的发现结果：DEV-0270在使用 BitLocker相一致，这项数据保护功能可在运行Windows 10、Windows 11或Windows Server 2016及更高版本的设备上提供全卷加密服务。

9月8日，中国网络安全产业联盟（CCIA）公布了经由第三方评测机构检测，奇安信天擎终端安全管理系统独家入选第二批《实践指南》标准的 Windows 7 操作系统安全加固防护产品目录。2020年1月，微软宣布停止对Windows7操作系统的更新服务，付费拓展安全更新也将于2023年1月到期。但Windows7操作系统在我国党政机关和企事业单位仍在大量使用，且短时间内无法升级新版操作系统，直接面临漏洞利用攻击带来的相关系统瘫痪、信息泄露和财产受损等安全风险。

以下文章来源于微步在线应急响应团队 ，作者Phobos 微步在线应急响应团队 . 探究和还原事件的本质，您身边坚定的安全守护者！ 听说了吗？某某企业被勒索了、员工没办法开机办公，甚至还有某某行业巨头被勒索了，赎金高达成百上千万！时不时，网上就会有这样一些消息被披露出来，被勒索的企业覆盖医疗、制造等行业居多，不乏行业巨头。当然，被勒索企业的入侵手法不尽相同。作为一个常年处在一线的应急响应工程师，日常看到很多应对勒索病毒入侵事件的真实场景，普遍都相对被动，不知所措，每次都觉得非常可惜。本文更偏向一个科普性的文章，是一些常见的Windows勒索病毒应急思路和常见问题的梳理。

0. TL; DR本文分享一个有意思的项目 pi-defender[1]（Process Injection Defender）。其在内核层阻断所有可能的进程注入，并通过签名和白名单来很大程度减少误杀。搜索发现该技巧早有人提出，本文仅借此项目进行分析。

Windows 11包括一个自动执行重复性任务的工具Power Automate，为用户节省了大量的时间。然而，一位安全研究人员说，这也能为黑客节省大量时间，他质疑其自动化工具的脆弱性，但正如关于网络安全的惯例，人类的自满可能是最薄弱的环节。 访问：阿里云1核2G云服务器低至1折 最高可得500元满减优惠券 一家研究公司最近公布了攻击者劫持随Windows 11自带的自动化工具的方法，以在网络上传播恶意软件和窃取数据。这个过程需要满足一些权限上条件，但这标志着IT安全的另一个关注领域。

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站（adlab.venustech.com.cn）研究背景2022年8月9日，微软发布了月度安全更新，共修补121个漏洞，包括PPP协议、SMB协议、NFS协议等远程代码漏洞。启明星辰ADLab对其中的NFS漏洞（CVE-2022-34715）进行了漏洞分析与验证。协议简介NFSv4协议允许用户以访问本地文件系统的相同方式访问远程文件共享，使用开放网络计算(ONC)和远程过程调用(RPC)来交换控制消息。一个NFSv4请求包含RPC协议头和NFS procedures两部分。

智利国家计算机安全和事件响应小组 (CSIRT) 发布消息称，勒索软件攻击影响了该国政府机构的运营和在线服务。据悉，智利国家政府机构运营的Microsoft 和 VMware ESXi 服务器，在上周突遭勒索软件攻击，不法黑客停止了所有正在运行的虚拟机，并以“.crypt”的文件扩展名加密了文件数据。智利 CSIRT 称，这次攻击中使用的恶意软件还具有从 Web 浏览器窃取凭据、列出可移动设备进行加密以及使用执行超时逃避防病毒检测的功能。为了获得赎金，不法黑客向智利 CSIRT 提供了一个沟通渠道，协商支付赎金，防止文件泄露并解锁加密数据。

 关于hoaxshell hoaxshell是一款功能强大的非传统Windows反向Shell，当前版本的Microsoft Defender和部分反病毒解决方案基本无法检测到hoaxshell的存在。该工具易于使用，不仅可以生成其自己的PowerShell Payload，而且还可以支持加密（SSL），可以帮助广大研究人员测试Windows系统的安全性。当前版本的hoaxshell已在最新的Windows 11企业版和Windows 10专业版进行过测试。

泛星安全团队泛星安全团队第9篇文章声明文章内容为学习记录，请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。工具、漏洞知识点总结Run PE技术、windows敏感api隐藏实现一、Run PE技术的实现图例整个流程如上图，实际是将PEB中ImagebaseAddress的位置从原进程替换为了恶意进程，原进程的映像基址为0x400000，我们新挂载的恶意基址为0xA00000，只需要在整个进程运行起来之前替换ImagebaseAddress的基址为恶意程序的基址即可。

国内即时消息应用MiMi被植入后门，攻击安卓、iOS、Windows和macOS平台。MiMiMiMi是一款主要针对国内用户的即时消息应用，有Windows、macOS、安卓和iOS版本。桌面版用ElectronJS框架开发，该框架是依赖node.js的跨平台框架，允许开发者使用HTML、JS和CSS创建应用。MiMi并没有进行推广，网站(www.mmimchat[.]com)只有一个下载链接，没有详细的介绍，也没有社交媒体推广链接。图1 Mimi网站（www.mmimchat[.]com）网站的最近修改时间是7月26日。

Bypass_AV msf免杀，ShellCode免杀加载器 ，免杀shellcode执行程序 ，360&火绒&Windows Defender代码够简单，估计要不了多久就进特征库了，被杀了再去改几个特征码照样又可以免杀，作者的github保持更新，可以去瞅瞅。

Hackernews 编译，转载请注明出处： Donot Team黑客，又名APT-C-35，为其Jaca Windows恶意软件框架添加了新功能。 Donot团队自2016年以来一直活跃，重点关注政府、军事组织、外交部以及印度、巴基斯坦、斯里兰卡、孟加拉国和其他南亚国家的大使馆。 2021年10月，大赦国际发布的一份报告表示，“Donot团队利用Android应用程序伪装成安全聊天应用程序和恶意电子邮件，针对多哥著名人权捍卫者进行攻击。过去，在南亚以外的攻击中发现了Donot团队间谍软件。调查还发现了这些攻击中使用的间谍软件和基础设施，与印度网络安全公司Innefu Labs之间的联系。

被称为 “午夜后 “和” 莎辛那 “这两个恶意软件程序的设计目的都是监视和报告运行 Windows 操作系统的受感染远程主机上的操作，并执行 CIA 指定的恶意操作。 自今年 3 月以来，维基解密发布了数十万份文件和秘密黑客工具，该组织声称这些文件和工具来自美国中央情报局（CIA）。最新一批是泄密组织 “Vault 7” 系列的第 8 版。“午夜后” 恶意软件框架根据维基解密的一份声明，“午夜后” 允许其运营商在目标系统上动态加载和执行恶意负载。

    上周，公司将“统一组件”作为正式考核项了，搞得我们好紧张。既然部署了就干吧，找找看有没有存货了。翻着公众号里的文章，虽然时间都不久远，我还是产生了一些陌生感和距离感。感叹时间、精力、体力不比以前了，按领导的说法就是有“躺平、装睡、麻痹”思想。没办法，往大了说，是维护好二十大网上安保，小了说就是一切工作围绕考核干，不考的不干或少干。连情怀也是如此，难怪喜欢董宇辉的人越来越多，太珍贵了！    这个工具开发于2009年，最后收笔是2015年，前前后后、陆陆续续地添加功能，可以看出，这个工具开发时饱含了我大量的心血。

根据Proofpoint的安全研究员卡费恩（Kafeine）的说法，另一组网络犯罪分子正在使用美国国家安全局（NSA）创建的、上个月被影子经纪公司（Shadow Brokers）抛弃的同一个永恒蓝色漏洞，用一种名为阿德尔库兹。这一恶意活动几周来一直没有引起注意，因为与WannaCry不同，该恶意软件不安装勒索软件或通知受害者，而是悄悄地用只有我的恶意软件才能感染未打补丁的计算机莫内罗“一种类似比特币的加密货币。

 据外媒，近日美国网络安全和基础设施安全局在已知可利用漏洞（Known Exploited Vulnerabilities）目录下新增了2个新的漏洞。其中1个漏洞存在于Windows Support Diagnostic Tool (MSDT)，并以零日的形式存在2年多时间，有充足的证据表明被黑客利用。这两个安全漏洞都被标记为高严重性评分，并且是目录遍历漏洞，可以帮助攻击者在目标系统上植入恶意软件。其中第一个漏洞被官方跟踪为CVE-2022-34713，MSDT中的安全漏洞允许攻击者将恶意可执行文件放入Windows启动文件夹。

LNK、MLNK、WINDOWS1. 可执行文件概述Windows文件资源管理器（explorer.exe）是LOLbin链中最靠前的离地二进制文件，攻击者通过滥用恶意的Windows快捷方式(LNK文件)来执行恶意软件。研究团队对来自VirusTotal 的27510个代表性LNK恶意文件进行大规模分析发现：快捷方式指向Windows文件资源管理器（explorer.exe）的数量位居榜首（约占 87.2%），其次是powershell.exe（7.3%）、wscript.exe（4.4%）和rundll32.exe（0.5%）。LNK文件目前在攻击者的恶意软件部署和持久化利用中非常流行。

 Dridex 是目前活跃的技术最先进的银行木马之一。该恶意软件的主要目标是从受害者那里窃取银行凭证。Dridex 自 2014 年以来一直存在，并在持续不断的更新，这些更新帮助该恶意软件进化并变得越来越强大。 样本信息：MD5107a3bef0da9ab2b42e3e0f9f843093bSHA1fc5d6fc2cbb1d95864f5ed26b50e4ebe68333eab 样本概述：该样本外层是一个 loader，最终的 payload 是一个 Dridex 木马。 运行流程： 详细分析：1，解密并展开自身携带的 payload (PE1.exe) 与 shellcode。

项目作者：i11us0ry项目地址：https://github.com/i11us0ry/winlog一、工具介绍一款基于go的windows信息收集工具，主要收集目标设备rdp端口登录、mstsc远程连接记录、mstsc密码和安全事件中。

作者：jq09042022年8月12日清晨，安恒信息中央研究院下属的猎影实验室、卫兵实验室的研究成果《Windows本地提权在野0day狩猎之旅》在BlackHat USA 2022大会发布。议题中阐述到对于安全厂商和威胁狩猎人员，捕获在野0day漏洞是一件极具挑战的事情，研究员们基于过去多年历史技术案例复盘研究，提出一套有效的Windows本地提权漏洞检测方法，目前利用该方法多次捕获到Windows在野0day漏洞。此外通过对比不同方法的优劣，研究员们给出了对未来Windows本地提权漏洞的一些洞见。

美国网络安全和基础设施安全局 (CISA)基于目前掌握的证据，在已知可利用漏洞（Known Exploited Vulnerabilities）目录下新增了 2 个新的漏洞。其中 1 个漏洞存在于 Windows Support Diagnostic Tool (MSDT)，并以零日（0-Day）的形式存在 2 年多时间，有充足的证据表明被黑客利用。 访问：阿里云服务器精选特惠：1核1G云服务器低至0.9元/月 这两个安全漏洞都被标记为高严重性评分，并且是目录遍历漏洞，可以帮助攻击者在目标系统上植入恶意软件。

点击上方"蓝字"关注我们吧！8月8日，中国网络安全产业联盟（CCIA）公布了Windows 7 操作系统安全加固指引防护产品目录（第1批），安天智甲终端防御系统成功入选。安天基于二十多年的威胁实战经验、以及对操作系统安全加固相关技术的持续工程实践积累，为《网络安全标准实践指南——Windows 7 操作系统安全加固指引》的形成提供了大量技术支持与经验素材。具体可参考此前安天公众号发布的《关于<Windows 7 操作系统安全加固指引>的技术解读与运维思路》。