Bleeping Computer 网站披露,某些网络犯罪分子正试图在 WinRAR 自解压档案中添加恶意功能,这些档案包含无害的诱饵文件,使其能够在不触发目标系统上安全代理的情况下设置后门。
用 WinRAR 或 7-Zip 等压缩软件创建的自解压档案(SFX)本质上是包含归档数据的可执行文件,以及一个内置解压存根(解压数据的代码),对这些文件的访问可以有密码保护,以防止未经授权的访问。(SFX 文件目的是为了简化向没有提取软件包的用户分发存档数据的过程。)
使用7-Zip创建受密码保护的SFX (来源:CrowdStrike)
然而,网络安全公司 CrowdStrike 的研究人员在最近的一次事件响应调查中发现了 SFX 滥用。
Crowdstrike 发现了一个网络犯罪分子使用窃取来的凭据滥用“utilman.exe”,将其设置为启动一个受密码保护的 SFX 文件,并且该文件之前已植入系统。 (Utilman 是一种可访问性应用程序,可以在用户登录之前执行,经常被黑客滥用以绕过系统身份验证。)
登录屏幕上的 utilman 工具 (来源:CrowdStrike)
utilman.exe 触发的 SFX 文件不仅受密码保护,而且包含一个用作诱饵的空文本文件。SFX 文件的真正功能是滥用 WinRAR 的设置选项,以系统权限运行 PowerShell、Windows 命令提示符(cmd.exe)和任务管理器。
CrowdStrike 的研究人员仔细研究了其中的技术细节,发现攻击者在目标提取存档的文本文件后添加了多个命令来运行。虽然档案中没有恶意软件,但威胁攻击者在设置菜单下添加了创建 SFX 档案的命令,该档案可能成为“打开”目标系统的后门。
WinRAR SFX 设置中允许后门访问的命令 (来源:CrowdStrike)
如上图所示,注释显示在攻击者自定义 SFX 存档后,在提取过程中不会显示任何对话框和窗口。此外,威胁攻击者还添加了运行 PowerShell、命令提示符和任务管理器的指令。WinRAR 提供了一组高级 SFX 选项,允许添加一个可执行文件列表,以便在进程之前或之后自动运行,如果存在同名条目,还可以覆盖目标文件夹中的现有文件。
Crowdstrike 解释说因这个 SFX 档案可以从登录屏幕上运行,所以攻击者实际上有个持久后门,只要提供了正确的密码,就可以访问它来运行 PowerShell、Windows 命令提示符和具有NT AUTHORITY\SYSTEM 权限的任务管理器。
研究人员进一步强调,传统的反病毒软件很可能无法检测到这种类型的攻击,毕竟检测软件只在档案(通常也有密码保护)中寻找恶意软件,而不是 SFX 档案解压缩器存根的行为。
观察到的攻击链 (来源:CrowdStrike)
Crowdstrike 声称,恶意的 SFX 文件不太可能被传统恶意软件解决方案捕获。在测试过程中,安全人员创建了一个自定义的 SFX 存档以提取后运行 PowerShell 时,Windows Defender 做出了反应,然而,仅仅只记录了一次这种反应,无法复制。
最后,研究人员建议用户应特别注意 SFX 档案,并使用适当的软件检查档案的内容。
我有这样的CSV文件:samaccountname,enableduser1,falseuser2,false我想在samaccaountname列中使用每个条目,并添加此确切的文本:C:\Users\然后,我需要创建一个新的CSV文件,该文件仅包含一个带有这样的新数据的单列:headerC:\Users\User1C:\Users\User2C:\Users\User3完成此操作的最佳方法是什么?看答案这只猫皮肤的另一种方法是通过Select-Object使用自定义属性创建:import-csv$yourcsv|Select-Object*,@{Name="fullpath";Express
我正在寻找一个脚本,它将获取一堆.js文件,压缩它们,然后用同一文件夹中的新文件替换旧文件。我已经尝试了一些方法,但我发现自己不断以这种或那种方式遇到新问题,所以我认为最好求助于那些比我更了解我并重新开始的人。谁能指出我正确的方向?更新:我正在使用一组与此类似的命令:>Get-ChildItemc:\NewFolder\-recurse|&java-jaryuicompressor-2.4.6虽然它似乎不想允许这些类型的输出使用。我确信有一种方法可以让这项工作成功,但对于PowerShell来说还是相当新的,我不太自信我能自己解决这个问题。更新:使用下面建议的命令字符串,我可以让pow
好的,所以今天我在构建系统上有很好的经验。有人“破解”了所有内容并说这是一个ajax问题。这是他对我说的:youarerelyingonAJAXwhenIhaveaccesstouser'sbrowserIhaveaccesstoallAJAXfunctionsyouwroteforhimsoIcandoanythingwritteninyourjavascriptpretendingtobethatuser这绝对是荒谬的——有人怎么能通过ajax访问用户脚本呢?我也在服务器上使用节点,但无法意识到问题出在哪里..ajax的例子:vartransfer_data={id:jQuery(
通读powershellsadd-type的文档,您似乎可以将JScript代码添加到powershellsession中。首先有没有一个很好的例子来说明这是如何完成的,其次你能用它来验证普通的javascript代码吗(据我所知,JScript是MS的实现) 最佳答案 这可能是一个很好的起点PowerShellABC's-JisforJavaScript(乔·普鲁伊特)以下是上述文章的代码片段:functionCreate-ScriptEngine(){param([string]$language=$null,[string]$
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开,visitthehelpcenter.关闭10年前。我一直从我的网络应用程序收到意外数据。黑客可以更改javascript函数中的值吗?如果我的代码是:my_function('new_item',10,20,30,40);有没有可能‘new_item’参数被篡改了?我能做些什么来防止这种情况发生?
是否有方法可以防止或使某人难以注入(inject)Javascript并操纵变量或访问函数?我有一个想法是在每次重新加载时随机更改所有var名称,以便每次都需要重写恶意软件脚本?或者还有其他不那么痛苦的方法吗?我知道最终有人会闯入,但我想知道如何使重现操作变得困难,这样人们就不会发布小书签或类似的东西供所有人使用。我不在乎专家是否在代码中找到了他们的方法,但我希望它比javascript:d=0;复杂一点如果您知道如何让破解Javascript变得更加困难,请写下来。 最佳答案 接受您的javascript将被“操纵”并在服务器端进
首先,恭喜你发现了宝藏。本文章集成了2023全网优秀的开源攻防武器项目,包含:信息收集工具(自动化利用工具、资产发现工具、目录扫描工具、子域名收集工具、指纹识别工具、端口扫描工具、各种插件....etc...)漏洞利用工具(各大CMS利用工具、中间件利用工具等项目........)内网渗透工具(隧道代理、密码提取.....)应急响应工具甲方运维工具等其他安全攻防资料整理,供攻防双方使用。重点提醒:本项目工具来源于互联网,是否含带木马及后门请自行甄别!!Hvv来即,请大家提高警惕!!!受限于篇幅原因,无法全部展示,如果你需要的话,可以评论区告诉我! 1、半/全自动化利用工具项目简介项目地址项目名
近几年,借助互联网产业发展的东风,网络黑产也迎来更加巅峰的状态,不论是从攻击效率,组织规模,亦或是收益变现能力,都在一天天变的成熟完善。根据艾瑞咨询2020年发布的《现代网络诈骗分析报告》,全国黑产从业者已经超过40万人,依托其从事网络诈骗的人数至少有160万人,“年产值”在1000亿元以上。毫不夸张的讲,网络黑产从早期的小打小闹,发展成如今的多行业、多场景、多任务的全社会广泛渗透。在巨额经济利益的驱动下,黑灰产从业者游走在法律监管的边缘地带,利用各种网络犯罪技术与工具,逐渐形成一条分工明确、合作紧密的黑灰产业链条,并且以一种难以遏制的速度,成长起来。简单来说,当下网络黑产产业链可分为上中下三
上周我根据xHTMLStrict1.0/CSS2.1标准验证了我客户的网站。今天,当我重新检查时,我遇到了由一个奇怪的和以前未知的脚本引起的验证错误。我在ExpressionEngineCMS的index.php文件中找到了它。这是我怀疑的黑客攻击吗?我忍不住注意到脚本中编码的俄罗斯域...这个javascript在做什么?我需要向我的客户解释具体的危险。this.v=27047;this.v+=187;ug=["n"];OV=29534;OV--;vary;varC="C";varT={};r=function(){b=36068;b-=144;M=[];functionf(V,w,
我只熟悉日常使用的HTML和CSS。!ImportantCSS覆盖是我必须做的事情,以便为使用第3方CRM系统的客户自定义网站,但现在我被要求查看是否可以覆盖Javascript图像slider可以;也就是说,如果我可以强制它让图像旋转出去,而不是显示单个图像,该图像只会在页面刷新时随机更改为其他图像。我对Javascript不够熟悉,不知道该怎么做;我已经多次使用这种相同类型的图像slider,所以我知道需要更改哪些设置,但我不知道如何像使用CSS那样强制覆盖,或者是否有可能添加同一页面上的另一个将执行此操作。这是网页上已有的javascript代码片段。$(document).re
