Defense.One

https://www.netspi.com/blog/technical-blog/adversary-simulation/the-future-of-beacon-object-files/

https://github.com/NetSPI/BOF-PE

摘要

本文讨论了 Beacon 对象文件 (BOF) 的未来设计，提出了一种新的 BOF 可移植可执行 (PE) 参考设计，以解决当前开发中的限制和问题。新设计旨在提高代码的可维护性、灵活性，并支持现代 C++ 功能，同时保持与 C2 平台的集成。

关键点

• 自 Cobalt Strike 4.1 推出以来，BOF 支持已成为现代 C2 平台的核心功能，但其设计缺陷逐渐显现。
• 提议的新 BOF PE 设计支持 C++20 功能，能够独立运行或在 C2 环境中运行，解决了符号解析问题并简化了代码维护。
• 与传统的内存 PE 加载器不同，BOF PE 能直接利用 Beacon API，无需额外的输出捕获或参数处理。
• BOF PE 通过信标库实现兼容层，支持独立执行和 C2 环境下的执行。
• 新设计允许通过 BeaconInvokeStandalone API 调用独立执行功能，支持复杂参数的定义和打包。
• BOF PE 完全支持 SEH/C++ 异常，解决了传统 BOF 缺乏异常支持的问题。
• 设计中通过动态链接库的反转函数表机制，增强了异常处理的兼容性，特别是对 x86 和 x64 架构的支持。
• 新设计支持标准 Windows API 导入格式，简化了 API 的使用。
• BOF PE 允许代码模块化和重用，支持多个编译单元和预编译静态库，从而提升开发效率。
• 相较于传统 COFF 文件，BOF PE 提供了更简单的加载器设计，避免了未解析符号问题。
• 提供了三种参考示例 PE 文件，展示了不同的功能和文件大小，以满足不同开发需求。
• 参考设计包含一个概念验证加载器，为 C2 框架实现 BOF PE 支持提供了起点。

https://therealunicornsecurity.github.io/What-not-to-do-with-vms/

独角兽安全博客文章探讨了本地虚拟化环境中的常见配置错误及其潜在风险，重点强调了分层安全模型的重要性以及如何避免虚拟化系统中的安全漏洞。

关键点

• 本地虚拟机备份和磁盘未加密会暴露敏感信息，需加强数据完整性和访问控制。
• Active Directory 的分层安全模型需严格遵守，避免权限提升和攻击扩展。
• 虚拟化环境中存在利用分层漏洞和主动后门攻击的风险，需隔离敏感系统并加强访问控制。
• 系统复杂性增加了配置错误的可能性，HyperV 等工具不支持某些安全功能，需探索改进方法。

https://www.praetorian.com/blog/codeqleaked-public-secrets-exposure-leads-to-supply-chain-attack-on-github-codeql/

摘要

本文讨论了GitHub CodeQL中的一个潜在供应链攻击漏洞，该漏洞源于公开暴露的GitHub Token。通过详细的研究和测试，作者揭示了如何利用该漏洞执行代码、窃取凭据、危害私有代码库的知识产权，以及进一步的供应链攻击。GitHub快速修复了该问题，并为防止类似漏洞提供了一些建议。

关键点

• GitHub CodeQL中的公开秘密暴露可能导致供应链攻击，攻击者可以利用暴露的GitHub Token执行代码或窃取凭据。
• GitHub Actions工作流中的Artifacts可能包含敏感信息，默认情况下这些Artifacts可以公开访问。
• 作者使用了一个名为Actions Artifact Secret Scanner的工具来扫描工作流Artifacts中的秘密，并发现了一个GitHub Token。
• GitHub Token的权限决定了其被利用的潜力，某些Token具有写权限，可以被滥用于创建分支、上传包等操作。
• 通过测试，作者证明攻击者可以在短时间内利用暴露的Token进行恶意操作，例如创建分支和标签。
• 攻击者可以通过覆盖CodeQL的v3标签，将恶意代码注入到使用默认CodeQL配置的所有代码库中，导致大规模影响。
• 攻击还可能导致GitHub Actions缓存中毒，从而进一步危害其他工作流和凭据。
• GitHub快速修复了该漏洞，并发布了CVE-2025-24362安全公告，表明其平台和系统未受到实际危害。
• 作者建议采取措施减少秘密暴露的风险，例如限制GITHUB_TOKEN权限、扫描Artifacts中的秘密等。

https://yl-labs.github.io/posts/red-reaming-havoc-c2/

摘要

本文详细介绍了如何使用Havoc C2框架进行红队渗透测试，包括安装、配置、模块开发、绕过检测机制（如AMSI和ETW）、内存执行PE文件以及如何应对防守方的检测技术。此外，还探讨了通过Suricata等IDS/IPS系统检测Havoc流量的方法，并提出了绕过检测的解决方案。

关键点

• Havoc C2简介：Havoc是一个开源的C2框架，支持模块化开发和绕过检测机制，当前版本为0.7。
• 安装和配置：详细介绍了如何克隆Havoc代码库、安装依赖并构建客户端和服务端。
• AMSI绕过：通过创建自定义模块和BOF（Beacon Object Files）来实现AMSI检测的绕过。
• ETW绕过：开发自定义模块以禁用ETW（Windows事件跟踪），从而隐藏C#代码执行的痕迹。
• 内存执行PE文件：使用peload和perun模块加载和执行PE文件，同时避免磁盘操作。
• PE卸载：通过peunload模块从内存中卸载PE文件，为加载新文件腾出空间。
• 劫持AppDomain：修改C#程序集的AssemblyName以隐藏攻击工具的痕迹。
• PE头清理：提供两种方法清理内存中的PE头信息以减少检测风险。
• Suricata规则检测：创建Suricata规则检测Havoc流量，并分析如何修改Havoc源码以绕过检测。
• 修改魔术字节：通过更新Havoc源码中的魔术字节来改变流量特征，避免被IDS/IPS检测。
• Havoc命令和功能：详细列举了Havoc支持的命令和模块功能，如文件上传、下载、内存注入等。

https://hakaisecurity.io/fortigate-autenticacao-de-desvio-levando-a-assuncao-completa-do-dispositivo/research-blog/

CVE-2022-40684

https://hakaisecurity.io/o-lado-obscuro-do-jwt-explorando-vulnerabilidades-em-tokens/research-blog/

摘要

本文探讨了JSON Web Tokens (JWT) 的潜在安全漏洞，包括弱密钥攻击、None攻击、KID头部注入、JKU头部注入和算法混淆攻击等，并提供了每种漏洞的示例代码、攻击方法以及相应的缓解措施。

关键点

• JWT由Header、Payload和Signature三部分组成，签名用于保证数据的完整性和安全性。
• 使用JavaScript手动创建和验证JWT的示例代码。
• 使用外部库jsonwebtoken创建和验证JWT的示例代码。
• 弱密钥攻击：如果使用弱密钥，攻击者可以通过暴力破解获取密钥并篡改JWT数据。
• None攻击：如果系统允许使用“None”算法，攻击者可以发送无签名的JWT进行身份验证。
• KID头部注入：通过路径遍历或SQL注入，攻击者可以伪造密钥或提取敏感信息。
• JKU头部注入：攻击者可以通过指定恶意URL加载伪造的公钥，从而伪造JWT签名。
• 算法混淆攻击：如果应用允许用户控制JWT的算法，攻击者可以使用对称加密算法并伪造JWT签名。
• 使用JWT时的最佳实践包括：强密钥、禁用“None”算法、限制用户对算法的控制、对KID头部值进行验证和清理，以及保持库的最新版本。

https://www.resecurity.com/blog/article/blacklock-ransomware-a-late-holiday-gift-with-intrusion-into-the-threat-actors-infrastructure

摘要

本文深入探讨了名为“BlackLock”（又名“Eldorado”）的勒索软件组织的活动及其基础设施安全漏洞的利用。Resecurity通过发现并利用BlackLock数据泄露站点（DLS）的漏洞，获取了大量情报，揭示了该组织的运行模式、攻击目标和背后的运作方式。此外，文章还讨论了BlackLock与其他勒索软件项目之间的联系，以及其被DragonForce勒索软件接管的可能性。

关键点

• BlackLock勒索软件（也称为Eldorado或Mamona）自2024年3月开始运营，并在2024年第四季度攻击活动显著增加。
• Resecurity发现了BlackLock在TOR网络数据泄露站点（DLS）中的漏洞，并成功利用该漏洞获取了大量情报，包括基础设施信息、登录时间戳和文件共享账户。
• 通过漏洞利用，Resecurity预测并阻止了一些计划中的攻击，同时警告潜在受害者。
• BlackLock通过电子邮件和地下论坛RAMP招募犯罪合作者，并警告不要攻击BRICS联盟国家及独联体国家。
• BlackLock与Eldorado和Mamona勒索软件项目之间存在代码和受害者名单的重叠，表明这些项目可能由同一组织管理。
• Resecurity利用DLS的漏洞收集了服务器端信息，包括配置文件和凭据。
• BlackLock的操作员使用MEGA文件共享服务存储和传输被盗数据，并通过工具如rclone进行管理。
• Resecurity通过监控BlackLock的活动，提前获取了多个受害者的数据，并与相关机构分享情报以保护受害者。
• DragonForce勒索软件可能接管了BlackLock的基础设施，并公开了其服务器配置文件和聊天记录，导致BlackLock和Mamona项目关闭。
• DragonForce可能通过这些事件巩固其市场地位，吸引了BlackLock的前合作者。
• Resecurity在整个过程中收集了超过7TB的受害者数据，并继续监控DragonForce的活动。

https://www.welivesecurity.com/en/eset-research/you-will-always-remember-this-as-the-day-you-finally-caught-famoussparrow/

摘要

ESET 研究团队分析了与中国有关联的APT组织FamousSparrow的最新活动，发现其开发了两个未记录的SparrowDoor后门版本，并首次使用了ShadowPad后门。文章详细描述了这些工具的技术细节、攻击链和相关网络间谍活动。

关键点

• ESET 研究人员发现FamousSparrow攻击了美国金融行业的一个贸易集团和墨西哥的一个研究机构。
• FamousSparrow部署了两个之前未记录的SparrowDoor后门版本，其中一个是模块化的。
• 这两个版本的SparrowDoor在代码质量和架构方面有显著进步，并实现了命令的并行化。
• FamousSparrow首次被发现使用ShadowPad后门，这是一个与中国威胁行为者相关的工具。
• FamousSparrow自2019年以来一直活跃，最初因攻击酒店而闻名，并扩展到政府、国际组织和企业。
• FamousSparrow的攻击中使用了自定义工具和公开可用工具，包括PowerHub和BadPotato漏洞利用。
• SparrowDoor后门使用了DLL劫持和RC4加密技术，并支持多种命令，如文件操作、网络配置修改和交互式远程Shell。
• 模块化版本的SparrowDoor通过插件机制扩展功能，插件包括键盘记录、文件传输和RDP截图等。
• FamousSparrow的活动与其他APT组织（如Earth Estries和Salt Typhoon）存在部分重叠，但仍被认为是独立的集群。
• FamousSparrow的攻击链包括利用旧版本的Windows Server和Microsoft Exchange漏洞，通过webshell和反射加载器实现初始访问。
• SparrowDoor的C&C服务器使用了自签名TLS证书，其中一些与ShadowPad相关联。
• 研究中还提及了与FamousSparrow相关的其他工具，如Spark RAT和用于LSASS内存转储的工具。

https://blogs.bbhtechycodec.com/Atlassian/2024/Board-Deletion-Bypass-In-Trello.html

揭示Trello中的权限提升漏洞：普通工作区成员可未经授权删除看板

关键点

• 发现了一个权限提升漏洞，允许普通工作区成员绕过工作区管理员设置的删除限制，删除任何看板。
• 漏洞属于“Broken Access Control (BAC)”类别，CVSS评分为6.5（中等），影响包括数据丢失、政策违规和用户信任下降。
• Trello的工作区权限设置允许管理员限制谁可以删除看板，但通过精心设计的PUT请求，普通成员可以将看板移至个人工作区，从而绕过删除限制。
• 报告漏洞后，Trello确认并修复了问题，同时通过Bugcrowd的漏洞赏金计划奖励了$1200。
• 此次发现强调了验证权限逻辑的重要性，并提醒用户和开发者关注前端限制与后端漏洞之间的差距。
  -

https://www.logpoint.com/en/blog/emerging-threats/clickfix-another-deceptive-social-engineering-technique/

点击修复：另一种欺骗性社会工程技术

关键点

• ClickFix是一种复杂的社会工程技术，首次在2024年中期被观察到，已被用于分发多种恶意软件，包括DarkGate、Lumma Stealer和AsyncRAT等。
• 国家级黑客组织，如与伊朗相关的MuddyWater和与俄罗斯相关的APT28，已在网络间谍活动中采用了ClickFix技术。
• 该技术通过钓鱼、恶意广告和SEO投毒等方式引诱用户访问伪装的合法网站，从而欺骗用户执行恶意代码。
• ClickFix常见的攻击链包括伪造的CAPTCHA页面，诱导用户复制并执行恶意命令，这些命令可能通过Windows的mshta.exe来运行。
• 攻击者利用LOLBin（利用现有系统二进制文件）技术，隐藏恶意活动，例如通过PowerShell或bitsadmin.exe下载和执行恶意软件。
• 通过Logpoint SIEM工具可以检测ClickFix活动，包括检测可疑的PowerShell命令、mshta.exe的异常行为以及文件下载的模式。
• 防御建议包括员工培训、分层安全策略（如EDR、SIEM等）、持续监控和日志记录，以及制定明确的事件响应计划。

https://news.sophos.com/en-us/2025/03/28/stealing-user-credentials-with-evilginx/

利用恶意工具Evilginx绕过多因素认证（MFA）并窃取用户凭据的攻击方式及其防御措施。

关键点

• Evilginx基于合法的nginx服务器，通过代理流量模仿真实服务（如Microsoft 365），进行“中间人攻击”（AitM），窃取用户名、密码和会话令牌，从而绕过MFA。
• 攻击者利用Evilginx收集用户数据，包括用户名、密码、会话令牌、IP地址、用户代理和Cookie，并通过导入Cookie直接登录受害者账户。
• 检测方法包括审查Azure和Microsoft 365的日志，如Entra ID登录日志和统一审计日志（UAL），寻找可疑活动和异常令牌使用。
• 防御措施包括预防性和反应性策略，例如迁移至抗钓鱼的FIDO2认证方法、实施条件访问策略、重置用户会话和MFA设备，并检查攻击者活动日志。
• 通过关闭所有会话、重置凭据和清理攻击者设置的规则，可以有效应对Evilginx攻击。
  -

https://eclypsium.com/blog/juniper-routers-attacked-jmagic-tinyshell-backdoor/

平台解决方案资源研究公司
获取演示 参观博客

关键点

• 两个主要的网络攻击故事揭示了针对Juniper路由器的定制后门攻击，包括J-Magic和TINYSHELL，涉及UNC-3886威胁行为者，目标是电信运营商和互联网服务提供商。
• 攻击者利用开源后门软件（如cd00r和Tiny Shell）进行定制，以实现隐秘的恶意行为，攻击设备通常缺乏安全监控和检测能力。
• 网络设备因其较少的监控、已知漏洞和关键基础设施角色，成为攻击者的主要目标，且攻击量在近二十年内显著增加。
• Mandiant提到分析专有网络设备的复杂性增加了调查难度，强调需要保护这些关键系统以维持互联网的稳定性和安全性。
• 2024年被称为“台风之年”，多起APT攻击（如Salt Typhoon、Volt Typhoon等）针对通信基础设施，揭示了国家支持的攻击趋势。
• Sophos在2024年披露了Pacific Rim攻击活动，改进了检测与响应能力，呼吁行业改变网络安全设备维护方式。
• Eclypsium提供检测和防御能力，可监控固件完整性、发现高风险配置，并帮助企业加强网络安全。
• Eclypsium还提供免费评估服务，帮助电信和ISP识别并防御Typhoon家族威胁。

https://beierle.win/2024-12-20-Weaponizing-WDAC-Killing-the-Dreams-of-EDR/