互联网技术寻回犬【第二期】2024-03-011

由于微信限制超链接，大家感兴趣可以移步到语雀查阅

消息

• 隐身暗网市场大规模勒索买家、卖家- 让暗网市场关闭是可能发生的最糟糕的事情，对吗？如果市场经营者敲诈买家和卖家怎么办？我们将在 4 月 1 日看看这是否会成为有史以来最大的暗网市场数据转储。

• 民族国家演员午夜暴雪攻击后微软行动的更新- 俄罗斯演员仍然在微软，这一次使用“不同类型的秘密”来访问源代码和“内部系统”。

• 居住在加利福尼亚州的中国公民因窃取谷歌人工智能相关商业机密而被捕- 被告涉嫌在为两家中国科技公司秘密工作时窃取谷歌技术。

技术和写作

• 说朋友并输入：以数字方式开锁高级智能锁（第 2 部分：发现的漏洞） - 数字锁容易受到各种攻击，但对于大多数威胁模型来说，砖块比暴露的调试端口构成更大的威胁。

• 模糊器开发 3：构建 Bochs、MMU 和文件 I/0 - 如果您对模糊器完全感兴趣，则必须阅读该系列。

• YARP 作为 C2 重定向器- 通过YARP 项目的C2 重定向器。这是我的微软为内部工程师构建的解决方案，用作反向代理。如果您要放弃 apache/nginx 重写规则，您的团队可以探索潜在的选择。

• MacOS 恶意软件开发- 本文探讨了 macOS 恶意软件开发，涵盖架构、安全功能和编码实践。好读！

• 通过 Windows 主题泄露 NTLM 凭据- 该问题已于 1 月份修补（CVE-2024-21320），但提醒人们，NTLM 在消除之前将继续成为一个痛点。

• Git-Rotate: Leveraging GitHub Actions for Password Spraying - 销毁你的 github 帐户的好方法，但这种跳出框框的思维非常棒。

• Power Query for Red Teamers: Unleashing the Potential of M Language and Macros - 这篇博文探讨了 Power Query 对于红队人员的潜力，强调了用于数据操作的 M 语言和用于获取可操作见解的宏。

• 使用 QEMU 进行网络隧道？- 使用 QEMU 进行内部访问的创造性方式。

• Smishing with EvilGophish - 使用 EvilGophish 发送那些讨厌的短信。我想知道有多少红队实际上正在模拟/模拟这种攻击向量。

• 无浏览器 Entra 设备代码流程- 无需浏览器即可执行 Entra OAuth 2.0 设备代码流程中的每一步（包括用户身份验证步骤）！

• 劫持和欺骗上下文菜单选项- 劫持 SentinelOne 的“扫描威胁”上下文菜单选项并创建您自己的持久性选项。

• 不受欢迎的来宾：滥用 Azure 来宾访问转储用户、组等- 友好提醒来宾访问可以为您的组织做什么。访客访问枚举和攻击向量已经存在相当长一段时间了。

• Windows 事件跟踪 (ETW)：您的友好邻居 IPC 机制- 使用 ETW 作为您的 C2 通信通道？邪恶。虽然尚未发布 PoC，但确实引发了一些关于横向移动流量应该如何避免检测的讨论和思考。

• 错误配置管理器：被忽视和特权过高- :fire: Specterops 团队正在粉碎它。这引入了 SCCM 攻击矩阵并标准化了 SCCM 攻击命名。

• 在 Cloudflare Workers (174 LOC) 中构建 AITM 攻击工具- 对 MITM 检测和攻击的研究不断加强。此要点 (cloudflare-worker-proxy.js)包含 PoC。攻击力非常强大。

• CVE-2024-21378 — Microsoft Outlook 中的远程执行代码- NetSPI 撰写了有关如何发现 CVE-2024-21378 的文章，这是通过同步表单对象进行身份验证的 RCE 漏洞。

• NextChat：一个 AI 聊天机器人，让你可以与任何你想交谈的人交谈- 为ChatGPT-Next-Web披露的未修补的 SSRF 详细信息。对于那些想要获得 chatGPT UI 的人来说，这似乎是一个流行的开源项目。

• WebAssembly Smuggling: It WASM't me - 使用 Web Assembly 将您的 HTML 走私提升到一个新的水平。现在你的走私可以让白宫高兴，因为你可以用 Rust 编写它。

工具和漏洞

• Parasite-Invoke - 通过其他人签名的程序集隐藏您的 P/Invoke 签名

• ADeleginator - 使用 ADeleg 查找 Active Directory 中不安全的受托者和资源委派的配套工具

• 错误配置管理器- 错误配置管理器是所有已知的 Microsoft 配置管理器技术以及相关防御和强化指南的中心知识库。

• yasha - 另一个安全标头分析器。

• Nemesis - Mythic 的 Nemesis 代理。

• NimPlant v1.3 - “大量代码重构和各种增强。”

• brew-lpe-via-periodic - Intel macOS 上的 Brew 本地权限升级漏洞.

杂项

本节介绍上周未发布但对我来说是新的新闻、技术、文章、工具和题外话。

• 我们有帮助吗？有趣的观点。关于信息安全现状的发人深省的注释。

• Freyja Purple Team Agent - Freyja 是 Golang Purple Team 代理，可编译为 Windows、Linux 和 macOS x64 可执行文件。

• CloudGrappler 简介：适用于云环境的强大开源威胁检测工具- 对于那些需要解决方案来查找云环境中已知邪恶的小型团队来说，这是一个潜在的框架。问题是，当这些指标仍然相关时，您从哪里获得它们？

• gitlab-secrets - 该工具分析给定的 Gitlab 存储库并搜索包含潜在秘密或有趣信息的悬空或强制推送的提交。

• dockerc - 单个可执行编译器的容器映像。

• PoolParty - 一组完全无法检测的滥用 Windows 线程池的进程注入技术。

统计数据

受监控的 Twitter 帐户：425 (+0)

监控的博客：371 (+2)

如果你也喜欢这些内容，想要第一时间看到这些内容，请关注我的公众号：

微信搜索“OSINT研习社”

当然你也可以在语雀查看到相同的内容：

https://www.yuque.com/plague/he3rta?# 《互联网技术寻回犬【期刊】》