拆解FBI完整溯源黑客组织核心成员的技术链与时间线 黑鸟 21 hours 42 minutes ago 近日美国伊利诺伊北区法院公开了一份更新版刑事起诉书,揭开了知名黑客组织 Scattered Spider 核心
一款实用且免费的域名安全检测OSINT工具 黑鸟 1 day 21 hours ago 近海外安全社区里有一款免费工具受到不少关注,它就是 Cerast Intelligence Domain Search,主打从海量公开域名中找出暴露的敏感路径与配置错误。 这款工具的出品方是德国 Fulda 的小型软件公司 Cerast Intelligence Einzelunternehmen,团队秉持 security-first 也就是安全优先的理念,业务覆盖多个方向。既有面向普通用户的移动应用,比如用于德国猎鹰考试备考的 Falkner Coach 学习 App,也有专业的 IT 安全产品,比如面向 macOS 的内核级端点安全工具 IronMac,同时也承接各类安全工具与定制软件的开发。 这次的域名搜索工具是其安全产品线中的一个免费公开侧项目,定位是一款轻量化的日常 OSINT 辅助工具。 Cerast Intelligence Domain Search(https://search.cerast-intelligence.com/)是一个免费的 OSINT(开源情报)工具,主要用于搜索已观测域名上的暴露路径和配置错误(exposed paths & misconfigurations)。 数据来源(核心机制)工具主要依赖以下数据流程: Certificate Transparency (CT) 日志(主要/被动数据源) CT 日志是全球公开的、由浏览器厂商和 CA 维护的证书透明度数据库,记录了所有公开信任的 SSL/TLS 证书颁发信息。通过实时监控 CT 日志,工具能快速发现新颁发证书的域名和子域名(尤其是启用 HTTPS 的站点)。这是目前发现海量 subdomain 最有效的方式之一。 主动爬取与探测(主动数据源) 一旦从 CT 日志中发现新域名,工具会主动对这些域名进行扫描,检测常见的暴露文件和路径,并将发现结果索引到可搜索的数据库中。 总结数据流:CT 日志(发现域名)→ 主动探测暴露内容 → 建立可搜索索引。这种方式与传统“被动收集”不同,它结合了被动发现 + 主动验证,能及时捕捉新上线的暴露风险。 核心用途帮助安全从业者快速发现网站上因配置错误导致的敏感信息暴露,例如: .env 文件(环境变量、数据库密码、API Key 等) 开放的 .git 目录 配置文件、数据库 dumps .DS_Store 文件(macOS 元数据,常暴露目录结构) 其他常见 misconfigurations 搜索方式:支持域名子串搜索(substring search),不区分大小写,最少输入 3 个字符即可。 示例搜索词:staging.、test-、.org、dev. 等,能快速定位测试环境、开发域名等高风险目标。
物理隔离也能传数据?揭秘苹果Find My网络的隐蔽数据通道 黑鸟 2 days 21 hours ago 你有没有想过,一台彻底拔掉网线关闭 WiFi,甚至连手机信号都屏蔽的电脑,还有可能被偷走数据?
把系统提示和工具文档转成图片,Claude输入Token大幅降低 黑鸟 3 days 21 hours ago pxpipe 是一个本地代理工具(pxpipe-proxy),专为 Claude Code 打造。
针对欧洲议员的Pegasus间谍软件的苹果手机活动痕迹 黑鸟 3 days 21 hours ago 前欧洲议会议员斯特利奥斯・库洛格卢(Stelios Kouloglou)在任职于飞马间谍软件滥用调查委员会(P
工控安全不能只盯PLC,别漏了许可证管理这个隐形缺口 黑鸟 6 days 21 hours ago 在工业自动化场景里,PLC 编程软件、SCADA 监控系统这类核心工具向来是防护重点,但很少有人会留意负责管理
当大模型学会逆向拆解EDR,终端安全的天平正在倾斜 黑鸟 1 week 1 day ago 在网络安全的攻防对抗里,终端侧的较量始终是最前线的战场。红队成员想在目标主机上站稳脚跟,首先要过的就是 EDR (终端检测与响应系统) 这一关。
覆盖12大技术栈类别的93款开源情报工具 黑鸟 1 week 4 days ago 早在多年前,开源情报就早已不再是收藏夹里的一堆书签。到 2026 年,它已经发展为一个分层化的产业,相关工具分化为不同的细分品类,很少有测评能同时覆盖所有类别。
朝鲜APT新型macOS后门的大模型检测对抗手法 黑鸟 1 week 5 days ago sentinelone新近披露的一款 Rust 语言编写的 macOS 平台植入程序macOS.Gaslight,归属于朝鲜背景的威胁活动集群。 该恶意程序最核心的突破在于,其反分析逻辑跳出了传统沙箱对抗、调试器检测的思路,转而攻击安全行业日益普及的LLM 辅助分析分诊流水线,通过在样本内预置伪造的系统故障信息,诱导大语言模型中断分析或输出错误结论。 macOS.Gaslight的反分析设计,攻击对象并非执行环境,而是分析环节中的 LLM 辅助工具,干扰后续的自动化分析流程。 样本二进制内嵌入了一段 3.5KB 的恶意文本载荷,包含 38 条完全伪造的系统消息,以{{DATA}}作为内容分隔标记,整体采用 Markdown 格式排版。这套结构与安全行业 LLM 分析流水线常用的提示模板框架高度吻合:这类提示模板通常会用固定标记分隔系统指令、样本数据、输出格式,以规范 LLM 的分析行为;而 Gaslight 通过模仿模板的格式与标记,模糊了 “不可信的样本数据” 与 “可信的系统指令 / 环境信息” 之间的边界。 当安全团队将样本的静态字符串、运行日志、反汇编注释等内容直接投喂给 LLM,用于批量生成分析报告、自动判定威胁等级时,这些伪造内容会混入模型的输入上下文,被 LLM 误判为自身分析环境产生的状态信息。 这些伪造消息覆盖了运维与分析场景中大量常见的异常状态,包括令牌过期、工作进程被系统资源管理机制杀死、内存溢出、磁盘空间耗尽、Redis 连接池超时、JSON 解析报错、CI 流水线构建失败、定时备份任务执行异常等,甚至植入了虚假的 “SQL 注入漏洞告警”“静态分析标记异常” 等误导性内容。 最终效果是让 LLM 误以为分析环境出现了连锁故障,进而出现分析流程中断、结果被截断、输出错误的无风险判定,甚至直接拒绝执行本次分析任务。 此类针对分析师与分析工具的提示注入并非全新概念,但野外在野样本的实现程度存在明显代差: 披露的Hades 供应链窃密载荷,仅在文件头部加入伪造的提示注入头 泄露的 Shai-Hulud 恶意代码,仅携带针对 Claude Code 的magic字符串,试图终止特定模型的分析。 上述案例均依赖单条注入内容或头部标记实现,而 macOS.Gaslight 采用 38 条成体系的级联伪造消息,模拟完整的环境故障链路,其伪装规模、场景还原度在已知野外在野恶意样本中均处于较高水平。 该样本的常规反分析手段仅通过dlsym动态解析系统 API 以规避静态符号表检测、动态获取自身可执行文件路径而非硬编码,其核心反分析能力完全聚焦于 LLM 分析链路。
打不死的网络犯罪品牌ShinyHunters:六年进化,从数据贩子到勒索团伙 黑鸟 2 weeks 2 days ago 很多企业的安全模型依然默认,筑牢边界防线加上 MFA(多因素认证),就能挡住大规模数据窃取。