微软-滥用文件托管服务进行身份网络钓鱼
https://www.microsoft.com/en-us/security/blog/2024/10/08/file-hosting-services-misused-for-identity-phishing/
https://www.microsoft.com/en-us/security/blog/2024/10/08/file-hosting-services-misused-for-identity-phishing/
Microsoft News
File hosting services misused for identity phishing
Since mid-April 2024, Microsoft has observed an increase in defense evasion tactics used in campaigns abusing file hosting services like SharePoint, OneDrive, and Dropbox. These campaigns use sophisticated techniques to perform social engineering, evade detection…
TrafficLLM:用于网络流量分析的大型语言模型
https://github.com/ZGC-LLM-Safety/TrafficLLM
https://github.com/ZGC-LLM-Safety/TrafficLLM
GitHub
GitHub - ZGC-LLM-Safety/TrafficLLM: The repository of TrafficLLM, a universal LLM adaptation framework to learn robust traffic…
The repository of TrafficLLM, a universal LLM adaptation framework to learn robust traffic representation for all open-sourced LLM in real-world scenarios and enhance the generalization across dive...
利用过渡域名实现劫持海量邮件服务器和TLS/SSL证书
https://mp.weixin.qq.com/s/454yJPcl3Gh8gfnio1qPAg
https://mp.weixin.qq.com/s/454yJPcl3Gh8gfnio1qPAg
文章列举了必要的基础设施清单,包括员工设备、服务器、域名和 IP 地址的库存,以及确保所有设备的日志都被送到集中式日志服务器。接着,文章提供了八种威胁搜寻的具体策略,包括系统用户登录、登录到不同位置、在工作时间以外登录、通过 SSH 使用密码登录、从已知代理或 TOR 网络登录、从其他国家登录、从 “不可能” 的地点登录以及失败登录后成功登录等。每种策略都附有相应的命令或方法来检测异常行为。文章还提到了使用 GeoIP、时间分桶和 NOC 声誉 API 等工具来辅助威胁搜寻。
https://trunc.org/learning/threat-hunting-using-your-logs-part-I
https://trunc.org/learning/threat-hunting-using-your-logs-part-I
Trunc Logging
Threat Hunting: A Basic Guide to Log Analysis for finding attackers
Learn how to proactively identify cybersecurity threats through log analysis. This guide covers essential threat-hunting techniques, from detecting suspicious logins to flagging anomalies, ensuring your organization's defenses stay ahead of attackers.
👍3
Rule Explorer(REx)是一个规则浏览器,提供了与多个流行的开放式安全检测规则集交互的平台,旨在帮助用户更好地理解和探索检测环境,并支持通过 Elastic Stack 的强大搜索和可视化功能进行数据分析。
https://rulexplorer.io/
https://rulexplorer.io/
本文详细记录了如何在 Cobalt Strike 4.0 及以上版本中,结合域名注册商(如 GoDaddy)和 Microsoft Azure 云平台,创建和配置 DNS 侦听器。
https://redops.at/en/blog/cobalt-strike-dns-listener
https://redops.at/en/blog/cobalt-strike-dns-listener
斯坦福CS229 I 机器学习 I 构建大型语言模型(LLMs)
https://www.youtube.com/watch?v=9vM4p9NN0Ts
https://www.youtube.com/watch?v=9vM4p9NN0Ts
YouTube
Stanford CS229 I Machine Learning I Building Large Language Models (LLMs)
For more information about Stanford's Artificial Intelligence programs visit: https://stanford.io/ai
This lecture provides a concise overview of building a ChatGPT-like model, covering both pretraining (language modeling) and post-training (SFT/RLHF). For…
This lecture provides a concise overview of building a ChatGPT-like model, covering both pretraining (language modeling) and post-training (SFT/RLHF). For…
👍3
2024 年 OSINT Summit https://youtube.com/playlist?list=PLs4eo9Tja8bi1RZyKT_HlN48QLIRW6HhG&si=l2YSK1H_w8uNjJUC
2023年 OSINT Summit: https://youtube.com/playlist?list=PLs4eo9Tja8bhylkl08gOAilnbdD3dFYiv&si=qTWy0KbWIbNlsF8w
2022 年 OSINT Summit:https://youtube.com/playlist?list=PLs4eo9Tja8biLhHrp8W-N9LheHjUkaSDr&si=_Y7DX2xVXQEy8TFE
2023年 OSINT Summit: https://youtube.com/playlist?list=PLs4eo9Tja8bhylkl08gOAilnbdD3dFYiv&si=qTWy0KbWIbNlsF8w
2022 年 OSINT Summit:https://youtube.com/playlist?list=PLs4eo9Tja8biLhHrp8W-N9LheHjUkaSDr&si=_Y7DX2xVXQEy8TFE
ETW 取证 - 为什么使用 Windows 事件跟踪而不是 EventLog?
文章指出了 Windows 操作系统日志中的 EventLog 在调查恶意软件感染等安全事件时的局限性,可能无法提供足够的信息。随后介绍了 ETW(Event Tracing for Windows),这是一种可以记录内核和进程生成的事件的系统,用于调试和性能监视,同时也被用于 EDR 产品和防病毒软件的检测逻辑。ETW 能够默认记录操作系统中的各种行为作为事件,因此比 EventLog 提供更多的信息。文章还探讨了如何在没有文件签名的情况下从磁盘或内存中恢复 ETW 事件,并提供了一种从内存映像中恢复 ETW 事件的方法。作者开发了一个名为 etw-scan 的 Volatility3 插件,用于从内存映像中恢复 ETW 事件,并提供了该插件的 GitHub 链接。
https://blogs.jpcert.or.jp/en/2024/11/etw_forensics.html
文章指出了 Windows 操作系统日志中的 EventLog 在调查恶意软件感染等安全事件时的局限性,可能无法提供足够的信息。随后介绍了 ETW(Event Tracing for Windows),这是一种可以记录内核和进程生成的事件的系统,用于调试和性能监视,同时也被用于 EDR 产品和防病毒软件的检测逻辑。ETW 能够默认记录操作系统中的各种行为作为事件,因此比 EventLog 提供更多的信息。文章还探讨了如何在没有文件签名的情况下从磁盘或内存中恢复 ETW 事件,并提供了一种从内存映像中恢复 ETW 事件的方法。作者开发了一个名为 etw-scan 的 Volatility3 插件,用于从内存映像中恢复 ETW 事件,并提供了该插件的 GitHub 链接。
https://blogs.jpcert.or.jp/en/2024/11/etw_forensics.html
JPCERT/CC Eyes
ETW Forensics - Why use Event Tracing for Windows over EventLog? - - JPCERT/CC Eyes
Many people may think of EventLogs when one mentions Windows OS logs. When investigating incidents such as malware infections, it is common to analyze the Windows OS EventLogs to find traces that may help uncover the incident. However, since the...
👍1
PowerHuntShares 2.0 帮助网络安全团队和渗透测试人员更好地识别、理解、攻击和修复他们所保护的 Active Directory 环境中的 SMB 共享。每个黑客都有一个关于滥用 SMB 共享的故事,但这是网络安全团队仍然难以防御的攻击面。该项目旨在提供一个开放的概念验证工具,用于创建全面的共享清单,利用统计数据、图表、图形和语言模型来了解共享的背景、总结关系、评估风险并确定修复的优先级。
https://github.com/NetSPI/PowerHuntShares
https://www.netspi.com/blog/technical-blog/network-pentesting/powerhuntshares-2-0-release/?utm_source=organic_social&utm_medium=organic_social&utm_campaign=tech_blog&utm_term=powerhuntshares-2.0
https://github.com/NetSPI/PowerHuntShares
https://www.netspi.com/blog/technical-blog/network-pentesting/powerhuntshares-2-0-release/?utm_source=organic_social&utm_medium=organic_social&utm_campaign=tech_blog&utm_term=powerhuntshares-2.0
GitHub
GitHub - NetSPI/PowerHuntShares: PowerHuntShares is an audit script designed in inventory, analyze, and report excessive privileges…
PowerHuntShares is an audit script designed in inventory, analyze, and report excessive privileges configured on Active Directory domains. - NetSPI/PowerHuntShares