0x00 前言在渗透测试中，经常会使用到端口转发和代理。端口转发是转发一个网络端口从一个网络节点到另一个网络节点的行为。实际应用中需要考虑两种情况：Client->Transit server->Server：Client能够正向连接Transit server。Transit server直接转发即可Client<-Transit server->Server：Clien

日前无意中得到一个很有意思的rtf文档，沙箱里行为一大堆，文档本身又混淆的很清奇，所以花了一点时间分析了这个样本。大致理清样本的攻击手法和攻击链后，公开部分分析过程，样本和数据，供大家参考。特别感谢Flygend提供的情报和银雁冰在分析过程中关于shellcode解混淆的支持0x00 样本基本信息样本是一个rtf文档，首次上传VT时间是10月24日，由位于中国的用户通过web方式上传。使用编辑器查

Linux作为服务器和IoT设备使用的主要操作系统,针对它的恶意软件也层出不穷。针对Linux设备的恶意软件（以下称为rootkit）通常需要长期驻留于目标操作系统以达到获利目的，所以如何实现驻留也是Linux rootkit作者的重点考虑内容之一，对此，天融信阿尔法实验室进行了可能的思路探索和分析。在接下来的说明中，我们统一使用一个名为evil的静态链接ELF文件作为我们要实现驻留的rootki

前言近日，深信服安全团队在分析安全云脑全网威胁数据时，发现了一个在国内出现的新勒索家族KrakenCryptor，发现版本为KrakenCryptor2.0.7。该版本为目前发现的最新版本，且从10月22号以来，陆陆续续有客户通过安全云脑对该样本进行检测。该勒索软件最新版本使用RSA+AES加密算法，加密后缀也随机生成。详细分析1、样本是用.net框架编写的，并且样本经过混淆，如图所示：2、将样本

 概述Gandcrab家族算是勒索病毒中最“出名”的了，它仅仅在半年的时间了就发布了从v1.0到v5.0.3，截止到我分析前，已经出现了v5.0.5版本了，我这个分析的是v5.0.3的JS脚本产生的勒索病毒。勒索病毒的最终执行的Payload部分我就不分析了，因为和之前的版本上没有太大的改变，但是这个Loader很有意思，用到了在2017年BlackHat大会上提到的ProcessDop

攻击者控制一个经过认证的Twitter帐户，然后将个人资料名称更改为“Elon Musk”，这个骗局就撒下了。然后他们发推文说，他是Elon，正在创造10,000个比特币的最大密码赠品。“我正在发放10 000比特币（BTC）给社会！我离开了特斯拉董事的职位，谢谢大家的支持！我决定为所有使用比特币的读者制作世界上最大的加密赠品。“更糟糕的是，他还给这些帖子买了推特广告进行推广，以便为它们提供更广泛

导语：研究人员开始使用无监督机器学习算法来对大量域名信息数据集进行分析，以发现新的威胁并进行拦截。一旦恶意域名开始活跃，机器学习算法就可以快速识别出攻击活动的恶意域名。研究人员开始使用无监督机器学习算法来对大量域名信息数据集进行分析，以发现新的威胁并进行拦截。一旦恶意域名开始活跃，机器学习算法就可以快速识别出攻击活动的恶意域名。 背景比如在一类在线的恶意活动中使用了许多个域名，并持续了一

最新的微软Edge浏览器的远程代码执行漏洞的细节即将浮出水面，两名研究人员计划公布一份概念验证报告，以及一份总结报告。而且微软没有被告知这个漏洞的细节。11月1日有一条推特消息称，微软Edge再次被发现0day。证据是一张带有浏览器的图片，它似乎启动了Windows自带的计算器应用程序。开发人员Yushi Liang告诉他的粉丝，他的目标是逃离浏览器沙箱，而且他已经与Alexander Kochk

时间：2018-11-06 10:05:10Author: c26 && 童话@0kee Team0x00 前言下午看到一个Gogs远程命令执行漏洞公告，其漏洞修复细节如下：https://github.com/gogs/gogs/commit/a1098384c09bc0d569ec82d19c26415e00cc364bhttps://github.com/go-macaron

简述为了逃避监测，绕过杀软，更好的隐藏自身，很多木马的传输层都使用了隧道技术,那什么是隧道技术（我是谁）？其传输有什么特点（我从哪里来）？隧道技术的现状是怎样的呢（我到那里去）？连问三连击：）隧道技术（Tunneling）：是一种通过使用互联网络的基础设施在网络之间传递数据的方式，使用隧道传递的Data(数据)或 Payload (负载）可以是不同协议的数据帧或包。隧道协议将其它协议的数据帧或