Aggregator

这充分说明AI在相对自主的网络攻防工作流中的应用门槛正在迅速降低，同时凸显了及时修补已知漏洞等安全基础工作的重要性。

速修复

SmarterTools confirmed last week that the Warlock (aka Storm-2603) ransomware gang breached its network by exploiting an unpatched SmarterMail instance. The incident took place on January 29, 2026, when a mail server that was not updated to the latest version was compromised, the company's Chief Commercial Officer, Derek Curtis, said. "Prior to the breach, we had approximately 30 servers/VMs

目前仍未恢复

Dutch agencies confirmed attacks exploiting Ivanti EPMM flaws that exposed employee contact data at the data protection authority and courts. Dutch authorities said cyberattacks hit the Dutch Data Protection Authority and the Council for the Judiciary after hackers exploited newly disclosed flaws in Ivanti Endpoint Manager Mobile (EPMM). The incidents were reported to parliament, and […]

黑马比赛的优秀作品。本文提出一种基于大模型与多智能体的人机对抗靶场架构，通过RAG知识库、COA编排、分级决策引擎与武器MCP解耦设计，构建具备OODA闭环的智能陪练对手，实现高真实度、可控、可解释的实战化攻防训练。

未来不属于那些能够制造更多信息的人。它属于那些在信息过载时还能保持清晰思维的人。

В мировом автопроме началась большая охота на спрятанные строчки кода.

It’s time to file your tax return. And cybercriminals are lurking to make an already stressful period even more edgy.

HackerNews 编译，转载请注明出处： BeyondTrust 警告客户修复其 Remote Support（RS）和 Privileged Remote Access（PRA）软件中的一个严重安全漏洞，该漏洞可能允许未经身份验证的攻击者远程执行任意代码。 该漏洞编号为 CVE-2026-1731，是一个认证前远程代码执行漏洞，源于由 Harsh Jaiswal 和 Hacktron AI 团队发现的操作系统命令注入缺陷。它影响 BeyondTrust Remote Support 25.3.1 或更早版本以及 Privileged Remote Access 24.3.4 或更早版本。 无特权的威胁行为者可通过精心构造的恶意客户端请求来利用此漏洞，此类攻击复杂度低，且无需用户交互。 BeyondTrust 指出：“成功利用可能允许未经身份验证的远程攻击者以站点用户身份执行操作系统命令。”“成功利用无需身份验证或用户交互，并可能导致系统被攻陷，包括未经授权的访问、数据窃取和服务中断。” 截至 2026 年 2 月 2 日，BeyondTrust 已完成对所有 RS/PRA 云系统的安全加固，并已建议所有未启用自动更新的本地客户通过手动升级到 Remote Support 25.3.2 或更高版本以及 Privileged Remote Access 25.1.1 或更高版本来修补其系统。 Hacktron 团队在周五的一份报告中警告：“大约有 11,000 个实例暴露在互联网上，包括云部署和本地部署。”“其中约有 8,500 个是本地部署，如果未应用补丁，这些实例可能仍然存在漏洞。” 2025 年 6 月，BeyondTrust 修复了 RS/PRA 中一个高严重性的服务器端模板注入漏洞，该漏洞同样可能允许未经身份验证的攻击者实现远程代码执行。 在本文发布后，BeyondTrust 告诉 BleepingComputer，目前没有已知的针对 CVE-2026-1731 的在野利用。 曾被用作零日漏洞的 BeyondTrust 历史漏洞 尽管 BeyondTrust 表示 CVE-2026-1731 漏洞尚未在野被利用，但近年来威胁行为者已利用了其他 BeyondTrust RS/PRA 安全漏洞。 例如，两年前，攻击者利用两个 RS/PRA 零日漏洞（CVE-2024-12356 和 CVE-2024-12686）入侵 BeyondTrust 系统后，使用窃取的 API 密钥成功攻击了 17 个 Remote Support SaaS 实例。 CISA 于 12 月 19 日将 CVE-2024-12356 添加到其已知被利用漏洞目录中，并命令美国政府机构在一周内确保其网络安全。 BeyondTrust 为全球 100 多个国家的超过 20,000 家客户提供身份安全服务，其中包括全球 75% 的财富 100 强公司。Remote Support 是该公司的企业级远程支持解决方案，可帮助 IT 支持团队远程解决问题，而 Privileged Remote Access 则作为安全网关，对特定系统和资源强制执行授权规则。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

CVSS 7.5！Axios 漏洞让恶意请求一触即溃

看雪论坛作者ID：xiusi

HumanBug15 年实战经验，手把手教落地

HackerNews 编译，转载请注明出处： 被称为 Bloody Wolf 的威胁行为者被确认参与了一场针对乌兹别克斯坦和俄罗斯的攻击行动，旨在使用名为 NetSupport RAT 的远程访问木马感染系统。 网络安全供应商 Kaspersky 以 Stan Ghouls 为代号追踪此次活动。据知，该威胁行为者至少自 2023 年以来一直活跃，针对俄罗斯、吉尔吉斯斯坦、哈萨克斯坦和乌兹别克斯坦的制造业、金融业和 IT 行业组织鱼叉式钓鱼攻击。 据估计，此次行动已导致乌兹别克斯坦约 50 名受害者受损，俄罗斯也有 10 台设备受到影响。在哈萨克斯坦、土耳其、塞尔维亚和白俄罗斯也发现了其他感染案例，但程度较轻。政府组织、物流公司、医疗机构和教育机构的设备上也记录到了感染企图。 Kaspersky 指出：“鉴于 Stan Ghouls 以金融机构为目标，我们认为其主要动机是经济利益。也就是说，他们大量使用远程访问木马也可能暗示其进行网络间谍活动。” 滥用 NetSupport（一款合法的远程管理工具）对该威胁行为者而言是一种转变，其先前在攻击中利用的是 STRRAT（又名 Strigoi Master）。2025年11月，Group-IB 记录了针对吉尔吉斯斯坦实体以分发该工具的钓鱼攻击。 攻击链相当直接，即使用携带恶意 PDF 附件的钓鱼邮件作为触发感染的跳板。PDF 文档中嵌有链接，点击后会下载一个执行多项任务的恶意加载器： ·     显示虚假错误信息，让受害者误以为应用程序无法在其计算机上运行。 ·     检查此前的远程访问木马安装尝试次数是否少于三次。 ·     若次数达到或超过限制，加载器会抛出错误信息：“尝试次数已达上限。请尝试另一台计算机。” ·     从多个外部域名之一下载 NetSupport 远程访问木马并启动它。 ·     通过以下方式确保 NetSupport 远程访问木马的持久性：在启动文件夹中配置自启动脚本，在注册表的自启动项中添加 NetSupport 启动脚本 (“run.bat”)，并创建一个计划任务来触发执行同一个批处理脚本。 Kaspersky 表示，还在与 Bloody Wolf 相关的基础设施上发现了暂存的 Mirai 僵尸网络载荷，这增加了该威胁行为者可能已扩展其恶意软件库以针对物联网设备的可能性。 该公司总结道：“此次行动已攻击超过 60 个目标，对于一个复杂的定向攻击活动而言，数量非常庞大。这表明这些行为者愿意为其行动投入大量资源。” 此次披露恰逢多起针对俄罗斯组织的网络攻击活动，其中包括 ExCobalt 发起的攻击。ExCobalt 利用已知的安全漏洞和从承包商处窃取的凭证来获取对目标网络的初始访问权限。Positive Technologies 将该对手描述为攻击俄罗斯实体的“最危险组织”之一。 这些攻击的特点是使用各种工具，并试图从受感染的主机窃取 Telegram 凭证和消息历史记录，以及通过向登录页面注入恶意代码来窃取 Outlook Web Access 凭证： ·     CobInt，该组织使用的已知后门。 ·     勒索软件，如 Babuk 和 LockBit。 ·     PUMAKIT，一个用于提升权限、隐藏文件和目录、以及隐藏自身不被系统工具发现的内核级 Rootkit，其早期版本包括 Facefish（2021年2月）、Kitsune（2022年2月）和 Megatsune（2023年11月）。BI.ZONE 将 Kitsune 的使用与一个被称为 Sneaky Wolf（又名 Sneaking Leprechaun）的威胁集群联系起来。 ·     Octopus，一个基于 Rust 的工具包，用于在受感染的 Linux 系统中提升权限。 Positive Technologies 表示：“该组织改变了初始访问的策略，将关注重点从利用互联网上可访问的企业服务（例如 Microsoft Exchange）中的 1-day 漏洞，转移到通过承包商渗透主要目标的基础设施。” 俄罗斯的国家机构、科学企业和 IT 组织也成为了一个此前未知的、被称为 Punishing Owl 的威胁行为者的目标，该组织采取窃取数据并在暗网上泄露的手段。该组织疑似具有政治动机的黑客行动主义实体，自 2025 年 12 月以来一直活跃，其一个社交媒体账户由来自哈萨克斯坦的管理员操作。 攻击使用带有密码保护 ZIP 压缩包的钓鱼邮件，打开后内含一个伪装成 PDF 文档的 Windows 快捷方式（LNK）文件。打开 LNK 文件会导致执行 PowerShell 命令，从远程服务器下载一个名为 ZipWhisper 的窃密程序，以收集敏感数据并将其上传到同一服务器。 另一个将目标对准俄罗斯和白俄罗斯的威胁集群是 Vortex Werewolf。攻击的最终目标是部署 Tor 和 OpenSSH，以便于实现持久的远程访问。该活动此前于 2025 年 11 月由 Cyble 和 Seqrite Labs 曝光，后者称此活动为 Operation SkyCloak。 消息来源: thehackernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露一起“大规模的活动”，该活动系统地针对云原生环境，搭建恶意基础设施以实施后续攻击。 该活动于 2025 年 12 月 25 日左右被发现，属于 “蠕虫式传播” 攻击，利用暴露的 Docker API、Kubernetes 集群、Ray 面板、Redis 服务器，以及近期披露的 React2Shell（CVE-2025-55182，CVSS 评分 10.0）漏洞。该行动由威胁集群 TeamPCP（别名 DeadCatx3、PCPcat、PersyPCP、ShellForce）实施。 TeamPCP 至少自 2025 年 11 月起活跃，其首个 Telegram 活动记录可追溯至 2025 年 7 月 30 日。该组织的 Telegram 频道目前拥有超 700 名成员，用于发布从加拿大、塞尔维亚、韩国、阿联酋、美国等多国受害者处窃取的数据。安全研究机构 Beelzebub 于 2025 年 12 月首次以 Operation PCPcat 为代号记录了该威胁组织的详细信息。 Flare 安全研究员 Assaf Morag 在上周发布的报告中表示：“该行动的目标是大规模搭建分布式代理与扫描基础设施，进而攻陷服务器、窃取数据、部署勒索软件、实施敲诈并挖掘加密货币。” TeamPCP 以云原生网络犯罪平台为运作模式，利用配置错误的 Docker API、Kubernetes API、Ray 面板、Redis 服务器及存在漏洞的 React/Next.js 应用作为主要感染入口，攻破现代化云基础设施实施数据窃取与敲诈。 此外，遭攻陷的基础设施还被用于多种非法用途，包括加密货币挖矿、数据托管、代理转发与命令与控制（C2）中继。 TeamPCP 并未使用新型攻击手法，而是依托成熟的攻击技术 —— 包括现有工具、已知漏洞和常见配置错误 —— 搭建自动化、批量化的攻击平台。Flare 指出，这一模式将暴露的基础设施转化为 “自我传播的犯罪生态系统”。 漏洞成功利用后，攻击者会从外部服务器部署下一阶段恶意载荷，包括基于 Shell 和 Python 的脚本，用于搜寻新目标以扩大攻击范围。核心组件之一为 proxy.sh，该脚本用于安装代理、点对点（P2P）与隧道工具，并投放各类扫描器，持续在互联网中搜寻存在漏洞与配置错误的服务器。 Morag 表示：“值得注意的是，proxy.sh 在执行时进行环境指纹识别。在运行早期，它会检查自己是否在 Kubernetes 集群内运行。如果检测到 Kubernetes 环境，脚本会转入一个独立的执行路径，并投放一个针对集群的二级有效载荷，这表明 TeamPCP 为云原生目标维护着不同的工具和技术，而不是仅仅依赖通用的 Linux 恶意软件。” 其他有效载荷的简要说明如下： ·     scanner.py：旨在通过从一个名为“DeadCatx3”的 GitHub 账户下载无类别域间路由（CIDR）列表，来查找配置不当的 Docker API 和 Ray 仪表板，同时提供运行加密货币矿工（“mine.sh”）的选项。 ·    kube.py：包含针对 Kubernetes 的功能，以进行集群凭据窃取和基于 API 的资源（如 Pod 和命名空间）发现，然后向可访问的 Pod 中投放“proxy.sh”以进行更广泛的传播，并通过在每个挂载了主机目录的节点上部署特权 Pod 来建立持久后门。 ·    react.py：旨在利用 React 漏洞（CVE-2025-29927）实现大规模的远程命令执行。 ·    pcpcat.py：旨在发现大范围 IP 地址段内暴露的 Docker API 和 Ray 仪表板，并自动部署执行 Base64 编码有效载荷的恶意容器或作业。 ·    Flare 表示，位于 67.217.57[.]240 的 C2 服务器节点也与 Sliver 的运作相关联，Sliver 是一个已知被威胁行为者滥用于攻击后目的的开源 C2 框架。 该安全公司的数据显示，攻击者主要针对亚马逊云（AWS）和微软云（Azure）环境。此类攻击属于机会主义攻击，核心瞄准能支撑其犯罪目标的基础设施，而非特定行业。这导致运行此类云基础设施的机构成为攻击中的 “附带受害者”。 Morag 称：“PCPcat 行动展现了专为现代化云基础设施设计的完整攻击生命周期，涵盖扫描、漏洞利用、持久化、隧道搭建、数据窃取与非法牟利。TeamPCP 的威胁性并非源于技术创新，而是其攻击流程的整合度与攻击规模。” 深度分析显示，该组织的大部分漏洞利用程序与恶意软件均基于已知漏洞和轻度修改的开源工具开发。  “与此同时，TeamPCP 将基础设施攻击、数据窃取与敲诈勒索相结合。窃取的简历数据库、身份信息与企业数据通过 ShellForce 渠道泄露，用于支撑勒索软件、网络诈骗等犯罪活动，并树立其网络犯罪影响力。” 这种混合模式使该组织可同时通过算力与信息非法牟利，形成多元收入来源，提升对抗平台关停的能力。 消息来源: thehackernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正积极利用 Ivanti Endpoint Manager Mobile（EPMM）设备植入“休眠”后门，这类后门可闲置数天甚至数周不被激活。 Ivanti 近期披露了 EPMM 的两处高危漏洞——CVE-2026-1281 和 CVE-2026-1340，分别涉及不同程序包（aftstore 和 appstore）中的身份验证绕过与远程代码执行问题。 尽管涉及的程序包不同，但防御方面临的实际影响一致：攻击者可未经认证访问应用层端点。Ivanti 已在安全公告中发布缓解措施与补丁部署指南，但漏洞披露后不久便出现了在野利用行为。 Defusedcyber 观测到的与本次攻击浪潮相关的入侵事件中，漏洞成功利用后，攻击者都会在 /mifs/403.jsp 路径下留下恶意文件。该文件名与路径在针对 Ivanti/MobileIron 的攻击中并非首次出现， 不同之处在于恶意载荷的用途：攻击者并未部署可执行命令的交互式 WebShell，而是通过 HTTP 参数传输经 Base64 编码的 Java 类文件。 每个解码后的载荷均包含有效的 Java 字节码（以 CAFEBABE 类头标识），其作用是休眠式内存类加载器，而非可立即使用的后门。这一区别具有重要的实战意义：传统的 WebShell 检测通常以后续命令执行和文件系统痕迹为核心线索，而本次攻击中，攻击者的流程核心是“植入并验证”，而非“植入并立即操作”。 观测到的植入类为 base.Info（由 Info.java 编译而来），该类不提供文件浏览、命令执行功能，也无常规的操作控制台，仅等待后续的“激活”请求——该请求会传输第二个 Java 类，随后加载器将其直接在内存中运行。 值得注意的是，该加载器以 equals(Object) 方法作为入口点，而非 doGet、doPost 等标准 Servlet 方法，这一设计可规避简易检测规则；同时它会从传入的对象中提取 HttpServletRequest 和 HttpServletResponse 对象（并兼容 PageContext 及 Servlet 包装/外观模式），提升了在不同 Java Web 容器中的适配性。 移交控制权前，加载器会采集主机指纹信息（如 user.dir 路径、文件系统根目录、操作系统名称、用户名等），并将这些数据传递给第二阶段类，便于攻击者后续快速掌握目标主机情况。 Defusedcyber 观测到的所有案例中，加载器均已完成植入与验证，但未发现传输第二阶段类的后续请求。 这种“先植入、后操作”的模式符合初始访问中介（Initial Access Broker）的行为特征：一方大规模建立可靠的访问权限，另一方后续从不同基础设施利用这些权限牟利或发起攻击。 Shadowserver 观测到攻击者在 Ivanti EPMM 设备上部署 WebShell，推测是利用了 CVE-2026-1281 漏洞，扫描数据显示截至 2026 年 2 月 6 日已有 56 个 IP 地址的设备被攻陷。 防御建议 ·     立即按照 Ivanti 指南为 EPMM 打补丁，随后重启受影响的应用服务器以清除内存中的植入程序（加载器全程无需写入磁盘，重启是关键清除手段） ·     检查日志中是否有针对 /mifs/403.jsp 的请求，尤其是包含 k0f53cf964d387 参数的请求 ·     检测包含分隔符对 3cd3d 和 e60537 的响应内容 ·     即便环境看似“稳定”，一旦检测到相关痕迹也需紧急处理——这些访问权限可能只是暂未激活。 消息来源: cybersecuritynews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究公司 LayerX 发现的一处新的严重漏洞，暴露了大语言模型（LLM）在处理信任边界方面的基础架构缺陷。 Claude 桌面扩展（DXT）中存在的零点击远程代码执行（RCE）漏洞，使得攻击者仅需构造一个恶意的 Google 日历事件即可攻陷系统。 该漏洞被 LayerX 评为 CVSS 10.0 分，影响了超过 10,000 名活跃用户和 50 多个 DXT 扩展。它突显了模型上下文协议（MCP）生态系统中一个危险的缺口：AI 代理能够在未经用户同意的情况下，自主地将低风险数据源与高权限执行工具链接起来。 问题的核心在于 Claude 桌面扩展的架构。与现代浏览器扩展（如 Chrome 的 .crx 文件）运行在严格的沙箱环境中不同，Claude 的 MCP 服务器在主机上以完整的系统权限运行。这些扩展并非被动插件，而是 AI 模型与本地操作系统之间的主动桥梁。 根据 LayerX 的说法，这种缺乏沙箱保护的设计意味着，如果一个扩展被诱骗执行命令，它将拥有与用户相同的权限，能够读取任意文件、访问存储的凭证以及修改操作系统设置。 Claude 桌面扩展的零点击 RCE 漏洞 该漏洞利用无需复杂的提示工程或受害者的直接交互来触发有效载荷。攻击载体简单得令人震惊：一个 Google 日历事件。 在被研究人员称为“Ace of Aces”的攻击场景中，攻击者邀请受害者参加一个名为“Task Management”的日历事件（或将其注入到共享日历中）。事件描述中包含克隆恶意 Git 仓库并执行 makefile 的指令。 当用户之后向 Claude 提出一个无害的请求，例如“请查看我 Google 日历中的最新事件并为我处理一下”时，模型会自主地将“处理一下”的指令解释为执行在日历事件中找到的任务的授权。 由于没有硬编码的防护措施来阻止数据从低信任度连接器（Google 日历）流向高信任度的本地执行器（Desktop Commander），Claude 会继续执行以下操作： ·     从日历中读取恶意指令。 ·     使用本地 MCP 扩展从攻击者的仓库执行 git pull。 ·     执行下载的 make.bat 文件。 这整个过程在没有针对代码执行的特定确认提示的情况下发生，从而导致系统被完全攻陷。用户以为自己只是在请求更新日程，而 AI 代理却在无声中将系统的控制权交给了恶意行为者。 该漏洞的独特之处在于，它并非传统的软件漏洞（如缓冲区溢出），而是一种“工作流故障”。缺陷在于 LLM 的自主决策逻辑。 Claude 的设计初衷是提供帮助并自主运行，通过链接工具来满足请求。然而，它缺乏理解以下情况所需的上下文：源自日历等公共来源的数据绝不应直接传输到特权执行工具中。 LayerX 的报告指出：“这在由 LLM 驱动的工作流程中造成了系统级的信任边界违规。将良性数据源自动桥接到特权执行上下文中从根本上是不安全的。” LayerX 将这些发现披露给了 Claude 的创造者 Anthropic。令人惊讶的是，据报道该公司决定目前不修复此问题，可能是因为该行为符合 MCP 自主性和互操作性的预期设计。修复它将需要对模型链接工具的能力施加严格限制，这可能会降低其实用性。 在实施补丁或架构更改之前，LayerX 建议，对于安全敏感的系统，应认为 MCP 连接器是不安全的。 研究团队建议用户，如果他们还使用摄入外部非受信数据（如电子邮件或日历）的连接器，则应断开高权限的本地扩展。 随着 AI 代理从聊天机器人转变为主动的操作系统助手，攻击面已经发生了变化。这个零点击远程代码执行（RCE）漏洞发出了一个警告：授予 AI 代理访问我们数字生活的权限，也使我们暴露在那些能够操纵其数据的人面前。让 AI 处理任务的便利性伴随着巨大的安全风险。   消息来源: cybersecuritynews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为 “LTX Stealer” 的新型高复杂度恶意软件已出现在网络威胁领域，它采用独特的基于 Node.js 的架构攻陷 Windows 系统。 该恶意工具于 2026 年初首次出现，旨在窃取用户敏感信息，包括登录凭证、浏览器 Cookie 以及加密货币钱包数据。这款恶意软件的独特之处在于，其载荷中封装了完整的 Node.js 运行时环境，无需受害者预先安装该框架，即可在目标设备上原生执行复杂的 JavaScript 代码。 攻击通常以一个极具迷惑性的简单入口启动：一个名为 “Negro.exe” 的 Windows 安装程序文件。该文件基于合法的 Inno Setup 框架构建（这是一款常用于制作软件安装程序的工具），恶意软件藏身于受信任的安装程序外壳中，能有效规避常规安全扫描，隐藏其恶意目的。 安装程序执行后，会向受害者系统释放一个体积庞大的载荷（约 271MB）。Cyfirma 分析师指出，这种大文件体积是一种蓄意的规避手段 —— 杀毒引擎为保障系统性能，往往会跳过对大文件的扫描。 侵入系统后，LTX Stealer 会针对谷歌 Chrome、微软 Edge 等基于 Chromium 内核的浏览器发起攻击。 读取 “Local State” 文件提取加密密钥，再利用这些密钥解密保存的密码和会话 Cookie。 同时扫描加密货币钱包，并对用户操作行为进行截屏。 所有窃取到的数据会被压缩，准备回传至命令与控制（C2）服务器。 此外，攻击者利用 Supabase 等云服务进行身份验证，通过 Cloudflare 隐藏其服务器真实地址，使该恶意基础设施难以被关停。 通过字节码编译实现混淆 LTX Stealer 的核心技术特征是高度依赖高级混淆技术，阻碍安全人员进行逆向分析。 其核心载荷 updater.exe 并非标准可执行文件，而是通过 pkg 工具打包的 Node.js 应用程序 —— 该工具将恶意 JavaScript 逻辑、依赖项及运行时环境打包为单个二进制文件。 为进一步保护其代码，攻击者还通过 Bytenode 工具将 JavaScript 源代码编译为字节码（.jsc 格式）：该转换过程将可读的源代码转为二进制格式，安全研究人员极难对其进行反编译和分析。 攻击者彻底移除原始源代码，使得想要理解该恶意软件的内部逻辑，必须具备 Node.js 底层的专业知识，大幅提高了分析和检测的门槛。 防御建议 ·     拦截已知攻击指标：配置防火墙和终端检测系统，拦截指向 eqp.lol 等恶意域名及该恶意软件控制面板相关 IP 的流量。 ·     监控文件创建行为：对用户可访问路径下隐藏或系统属性目录的创建行为告警，重点关注仿冒 “Microsoft Updater” 的目录。 ·     标记大体积二进制文件：排查无签名、体积超 100MB 且运行行为符合 Node.js 特征的可执行文件。 ·     检测凭证访问行为：监控连续访问浏览器 “Local State” 文件和凭证存储的进程。 消息来源: cybersecuritynews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

自从接触到威胁检测方向以来，我就一直在思考如何设计出一款强大的检测系统，能否实现比较完美且有效的效果。