据BleepingComputer5月28日消息，一种新型"浏览器文件压缩包"钓鱼工具被试验出可滥用ZIP域名，在浏览器中显示虚假的WinRAR或Windows文件资源管理器窗口，以诱导用户启动恶意文件。ZIP域名是本月由谷歌推出的8个新高级域名（TLD）之一，用户可用于托管网站或电子邮件地址，如bleepingcomputer.zip。自该域名名发布以来，人们对它们是否可能给用户带来网络安全风险进行了相当多的讨论。虽然一些专家认为这种担心被夸大，但主要可能存在的问题是一些网站会自动将以'.zip'结尾的字符串（如setup.zip）变成一个可点击的链接，从而被恶意软件利用进行攻击和传播。如今

近年来，勒索软件持续占据新闻头条。为了谋取利益，攻击者开始以各种类型的组织为目标——从医疗保健和教育机构到服务提供商和工业组织——几乎影响到我们生活的方方面面。2022年，卡巴斯基解决方案检测到超过7420万次勒索软件攻击尝试，比2021年(6170万)增加了20%。尽管2023年初勒索软件攻击数量略有下降，但它们却表现得更加复杂，且更具针对性。时值全球反勒索软件日(5月12日)，卡巴斯基回顾了2022年影响勒索软件格局的事件以及去年预测的趋势，讨论了新兴趋势，并对不久的将来进行了预测。2022年勒索软件报告回顾去年，卡巴斯基详细讨论了三个趋势：威胁行为者试图开发跨平台勒索软件，使其尽可能具有

最新的2023年4月全球威胁指数表明，研究人员发现了通过恶意PDF文件分发的大量Qbot恶意垃圾邮件活动，这些文件附加到以多种语言显示的电子邮件中。与此同时，物联网(IoT)恶意软件Mirai在利用TP-Link路由器中的一个新漏洞后一年内首次上榜，而医疗保健则上升为第二大受攻击行业。上个月看到的Qbot活动涉及一种新的交付方法，即向目标发送一封电子邮件，其中的附件包含受保护的PDF文件。下载这些文件后，Qbot恶意软件就会安装在设备上。研究人员发现了以多种不同语言发送垃圾邮件的实例，这意味着组织可以成为全球范围内的目标。上个月还见证了最流行的物联网恶意软件之一Mirai的回归。研究人员发现它

6.1Lab9-1程序分析首先，进行静态分析，使用strings。CreateFileARegQueryValueExARegOpenKeyExARegSetValueExARegCreateKeyExARegDeleteValueAWideCharToMultiByteGetModuleHandleAGetEnvironmentVariableASetEnvironmentVariableASOFTWARE\Microsoft\XPSHTTP/1.0GETSLEEPcmd.exe>>NULhttp://www.practicalmalwareanalysis.com%SYSTEMROOT%\

OSS和CDN都是一些常用的通过流量计费的，如果被恶意刷新将会造成一些不必要的财产损失。本文主要记录一些关于阿里云的oss的防刷措施。首先我们分两种情况来排查：1、恶意referer访问2、恶意ip库脚本刷新一、恶意referer访问对于这种访问，常用的是对oss对象设置防盗链来防止。二、恶意ip库脚本刷新的阿里云文档里面说到提供下面的三种办法将Bucket访问权限改为私有，通过签名后的URL对外提供服务。私有Bucket可以增加恶意下载的成本，但是也需要业务端集成签名算法，详情请参见集成签名算法，因此会产生一定的开发成本。（推荐）迁移数据到新的Bucket中，详情请参见迁移数据，通过高防IP

安全资讯报告微软默认禁用Excel4.0宏以阻止恶意软件微软已宣布Excel4.0(XLM)宏现在将默认禁用，以保护客户免受恶意文档的侵害。10月，该公司首次在Microsoft365消息中心更新中透露，如果用户或管理员没有手动打开或关闭该功能，它将在所有租户中禁用XLM宏。从2021年7月开始，Windows管理员还可以使用组策略和用户使用Excel信任中心的“启用VBA宏时启用XLM宏”设置来手动禁用此功能。XLM（又名Excel4.0）宏是默认的Excel宏格式，直到Excel5.0于1993年发布，当时微软首次引入仍然是默认格式的VBA宏。然而，尽管已停止使用XLM，但威胁行为者在30

一、恶意代码定义与分类恶意代码（MaliciousCode）：是一种违背目标系统安全策略的程序代码，会造成目标系统信息泄露、资源滥用，破坏系统的完整性及可用性。它能够经过存储介质或网络进行传播，从一台计算机系统传到另外一台计算机系统，未经授权认证访问或破坏计算机系统恶意代码的种类：包括计算机病毒(ComputerVirus)、蠕虫(Worms)、特洛伊木马(TrojanHorse)、逻辑炸弹(LogicBombs)、细菌(Bacteria)、恶意脚本(MaliciousScripts)和恶意ActiveX控件、间谍软件(Spyware)等恶意代码分类随着计算机技术的普及和信息网络化的发展，恶意

1.对分析有用的窗口函数窗口Functionswindow 位于左半部分列举可执行文件中的所有函数，可以在众多函数中过滤出想要的函数。这个窗口也对每一个函数关联了一些标志（FLS等），这其中最有用的是L，指明是库函数。字符串窗口Stringswindow（Shift+F12）显示所有的字符串，可以右键Setup来修改它的属性导入表窗口Importswindow列举一个文件的所有导入函数导出表窗口Exportswindow列举一个文件的所有导出函数，分析DLL文件时很有用结构窗口Structures列举所有活跃数据结构的布局。这个窗口也提供用自己创建的数据结构作为内存布局模板的能力2.常用快捷键

一、hfish简介HFish是一款社区型免费蜜罐，侧重企业安全场景，从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发，为用户提供可独立操作且实用的功能，通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。HFish具有超过40种蜜罐环境、提供免费的云蜜网、可高度自定义的蜜饵能力、一键部署、跨平台多架构、国产操作系统和CPU支持、极低的性能要求、邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性，帮助用户降低运维成本，提升运营效率。二、hfish2搭建环境：CentOSLinuxrelease7.9.20092.1安装dockeryuminstal

终于忙完初稿，开心地写一篇博客。您可能之前看到过我写的类似文章，为什么还要重复撰写呢？只是想更好地帮助初学者了解病毒逆向分析和系统安全，更加成体系且不破坏之前的系列。因此，我重新开设了这个专栏，准备系统整理和深入学习系统安全、逆向分析和恶意代码检测，“系统安全”系列文章会更加聚焦，更加系统，更加深入，也是作者的慢慢成长史。换专业确实挺难的，逆向分析也是块硬骨头，但我也试试，看看自己未来四年究竟能将它学到什么程度，漫漫长征路，偏向虎山行。享受过程，一起加油~前文详细介绍Cape沙箱批量分析，通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Re