绕过EDR:构造Office宏欺骗父进程和命令行参数
大多数现代EDR解决方案都使用行为检测的方式,允许根据其行为来检测恶意软件,而不是仅仅使用IoC(例如:文件哈希值、域名)。在这篇文章中,我给出了欺骗新进程的父进程和命令行参数这两种技术的VBA实现方法。
大多数现代EDR解决方案都使用行为检测的方式,允许根据其行为来检测恶意软件,而不是仅仅使用IoC(例如:文件哈希值、域名)。在这篇文章中,我给出了欺骗新进程的父进程和命令行参数这两种技术的VBA实现方法。
一段时间以来,我们持续在追踪Trickbot银行木马恶意活动。近期,我们发现了一个恶意软件变种,Trend Micro将其检测为TrojanSpy.Win32.TRICKBOT.TIGOCDC,该恶意软件使用分布式垃圾邮件分发,在附件中带有包含恶意宏的Microsoft Word文档
Unit 42团队用了六个月的时间研究了位于中国的网络犯罪集团Rocke,该恶意组织是针对云计算领域最著名的威胁行为者。在我们最近发布的云威胁报告中,发布了对Rocke的调查结果。
近期,研究人员发现VMware ESXi、Workstation和Fusion存在一个越界写入漏洞,可以使用特制的Shader文件触发。
本文将主要分析在线广告如何工作、恶意广告是什么、恶意广告的危险性,并列举在现实生活中的例子,最后将说明组织和个人如何能保护自己免受这些威胁的困扰。
该报告主要基于我们的威胁情报研究,提供了我们内部APT报告的代表性结论,并将我们认为大家应该关注的重大事件和发现公之于众。