信息安全渗透攻防漏洞分享

安全研究员 Wietze Beukema 披露了一个新的 Windows LNK 文件利用方式。该问题允许攻击者通过构造特殊的快捷方式文件，实现目标伪装（target spoofing），同时在后台执行任意 DLL 文件。相关 PoC 已公开在 GitHub 项目 lnk-it-up 中。 这一问题的危险之处在于，LNK 文件表面上可以伪装成一个正常程序或文档，但实际点击后却会加载攻击者指定的 DLL。更进一步，DLL 不仅可以是本地文件，还可以通过 WebDAV 远程路径加载，这意味着攻击者可以在远程服务器上托管恶意 DLL，当用户点击快捷方式时直接远程执行。 研究者还指出，如果系统没有安装 2026 年 2 月发布的 Windows 安全更新，系统的 Mark of the Web（MotW）保护机制将会被绕过。MotW 原本用于标记来自互联网的文件并触发安全警告，但在该场景下可能被忽略，从而使恶意 LNK 更容易被执行。 从攻击链角度来看，这种技术非常适合用于钓鱼或初始访问阶段：攻击者只需要诱导目标下载并打开一个看似正常的快捷方式文件，就可能触发远程 DLL 加载并执行恶意代码。 目前相关 PoC 和演示代码已经公开，有兴趣的研究人员可以查看项目了解具体实现细节： https://github.com/wietze/lnk-it-up

#安全分享 #安全 #红队 #APT #安全研究 #技术分享 #安全工具 #网络安全 开源 C2 框架 Havoc Framework。 Havoc 是一个现代化的 Post-Exploitation Command & Control 平台，主要用于红队行动和渗透测试中的后渗透阶段。整体架构采用 Teamserver + Client + Agent（Demon） 的设计，操作员可以通过客户端统一管理会话、下发任务并控制目标主机。 该框架支持 HTTP / HTTPS / SMB 等多种通信方式，并提供远程命令执行、文件操作、Payload 生成以及会话管理等能力。由于其 GUI 操作体验和模块化设计，很多研究人员认为它在一定程度上类似开源版的 Cobalt Strike。 项目地址

#安全分享 🔥 VMProtect 逆向新思路：利用 LLVM 实现反虚拟化 来自 Hackyboiz 研究员 Banda 的一篇非常优秀的研究系列，深入讲解了如何利用 LLVM IR 对 VMProtect 进行反虚拟化（Devirtualization）。 该研究共分为两篇文章，系统性展示了一种不同于传统逆向的方法： 利用编译器优化能力来“自动还原”虚拟化代码。 研究核心思路 VMProtect 的虚拟化保护通常会： • 将原始函数转换为 自定义 VM 指令 • 通过 VM Interpreter 执行 • 使用大量 控制流混淆 传统逆向通常需要： • 手工分析 VM handler • 重建 VM instruction semantics 而该研究提出的方法是： 直接把 VMProtect handler 提升到 LLVM IR，然后利用 LLVM 的优化能力进行简化。 核心流程： 1️⃣ 提取 VMProtect Handler 2️⃣ Lift 为 LLVM IR 3️⃣ 使用 LLVM Pass 进行优化 4️⃣ 简化控制流 5️⃣ 恢复原始逻辑 结果就是： ➡️ 把 LLVM 编译器变成一个“自动反混淆工具” 技术亮点 ✔ 使用 LLVM 进行 IR 级别分析 ✔ 自动化简化虚拟机指令逻辑 ✔ 显著降低 VMProtect 逆向复杂度 ✔ 对 malware / crackme / protected binary 分析都有参考价值 文章地址： Part 1 Part 2

🧬 IoC 情报 Zig Clipper

a82d031d99b15f8eb5a1d8cc24e55fec6d393d549edde8da9507f3cf17503ce1

Vidar

62338c7764f4e82105ea52fab868e1f04dc2f54bb44c5a47ddac685eacd6ed3c

C2

quartermaster-sec[.]cc
65.21.165[.]15

BSC Smart Contract

0x7CC3cFC1Ac007B8c6566fD2C7419b15a75473468

API

hxxps://data-seed-prebsc-1-s1[.]binance[.]org:8545

🧩 关联基础设施

artisan-advertising[.]cc
brain-game[.]cc
celebration-internet[.]cc
cmicrosoft1[.]click
devops-offensive[.]cc
ed-security-buff[.]cc
evil-toy[.]cc
fast-node[.]com
firewall-sentinel[.]cc
flame-guard[.]cc
lavande-rocket[.]cc
en.hugo-lapp[.]co
kr.hugo-lapp[.]co

⭐ 参考研究 https://fluxsec.red/analysing-an-AutoIt-infostealer-distributed-on-reddit

#安全分享 #安全 #IOC #情报 #安全情报 新型恶意软件：疑似 Zig 编写的加密货币剪贴板劫持器 安全研究人员发现一条 多阶段恶意软件感染链，用于投递新的 加密货币剪贴板窃取器（Crypto Clipper），该恶意程序很可能使用 Zig 语言编写。 完整分析报告： https://vmray.com/analyses/vidar-drops-zig-based-crypto-stealer/report/overview.html 🧬 攻击链结构：

Vidar Infostealer
        ↓
SFX Self-Extracting Archive
        ↓
AutoIt Loader（高度混淆）
        ↓
Zig Crypto Stealer

其中 Vidar 作为初始加载器释放混淆的 AutoIt 脚本，再由脚本注入并执行最终的 Zig 窃密程序。 ⚙️ 技术细节 1️⃣ AutoIt Loader AutoIt 脚本包含多种混淆与规避机制： Payload 在运行时： • RC4 解密 • LZNT1 解压 • 内存注入执行 同时脚本还包含： • 大量垃圾代码 • 反沙箱检测 • 反杀毒检测 • 时间延迟规避 2️⃣ Zig Crypto Stealer 最终阶段恶意程序主要功能： 剪贴板劫持（Clipboard Hijacking） 运行逻辑： • 持续轮询系统剪贴板 • 匹配多种加密货币地址格式 包括： • BTC • ETH 当检测到地址时： 1️⃣ 将受害者地址发送到 C2 2️⃣ 替换为攻击者钱包地址 属于典型 Crypto Clipper 攻击模式。 🧠 技术特点：EtherHiding 恶意程序使用 EtherHiding 技术： 攻击者将 C2地址写入 BSC（Binance Smart Chain）智能合约。 恶意程序通过 API 查询链上数据，从而解析真实 C2。 优势： • 无需硬编码 C2 • 更难被封禁 • 可动态更新 C2 📡 当前观察 研究人员发现： 近期样本已不再投递 Zig Clipper，而是开始分发 新的未知 payload。

#安全分享 Kali Linux + LLM：完全本地化的 AI 渗透测试助手 Kali 官方最近展示了一种新的安全研究模式： 通过 LLM 用自然语言直接控制 Kali 工具。 这次的方案有几个关键特点： 1️⃣ 完全本地运行： 使用 • Ollama • 本地 LLM • 本地 GPU / CPU 整个系统 无需连接任何云 API。 2️⃣ 自然语言控制渗透工具 你可以直接输入：

Scan the target network and identify open services

LLM 会自动： • 调用 Kali 工具 • 执行扫描 • 分析结果 • 给出下一步攻击建议 3️⃣ AI 自动化渗透测试 LLM 可以自动编排工具，例如： • nmap • dirsearch • nikto • metasploit 未来可能实现： AI 自动完成完整渗透测试流程 Recon → Exploit → Post Exploitation 4️⃣ 安全研究的重要趋势 这意味着： 未来的渗透测试将越来越像“对话式操作系统” 一句话即可完成复杂攻击链。 Kali 官方文章 https://www.kali.org/blog/kali-llm-ollama-5ire/ 相关讨论 https://x.com/somi_ai/status/2031330089133289981

#娱乐 确实南蚌

#安全工具 #安全分享 #安全 #红队 GitHub 提供免费虚拟机，为什么很多人还在付费购买云代理？ 最近看到一个非常有意思的项目 **Fluffy-Barnacle**，它把 GitHub Codespaces 直接“翻转”为一个完整代理链路。 核心架构如下： 1️⃣ GitHub Codespaces 免费虚拟机作为入口节点 2️⃣ 通过 SSH 隧道建立 SOCKS5（支持 Burp 导出） 3️⃣ 利用 *.app.github.dev 的 HTTPS 通道 4️⃣ 自动部署 Cloudflare Workers 进行重定向 / 捕获 / 自定义域 5️⃣ 建立完整 WireGuard 路由 6️⃣ 自动代理工具接管流量 最终形成： 轮换出口 IP → SOCKS5 → HTTPS → WireGuard → 自动代理工具 简单理解就是： 把 GitHub 免费提供的计算资源变成一个可自动化管理的代理网络。 这种思路对于： • 安全研究 • 网络实验 • 自动化代理链 • 渗透测试环境搭建 都有一定参考价值。 项目地址

#APT #情报 #IOC Sample Hash (MD5)

3ba252288bde5cd59db0903b26edecd2
d45696ee33baef59ae97d7a54af221d7

C2 Endpoint

load.erasecloud.n-e[.]kr/fwrite.php

Malware Config

Bot ID format:
BCryptGenRandom{8}

Authorization header:
Bearer [A/U-botID]

Response Data RC4 Key:
#RsfsetraW#@EsfesgsgAJOPj4eml;

Export Function:
hello

#安全工具 #安全分享 #二进制 #windows

Telegram必备的搜索引擎，极搜JISOU帮你精准找到，想要的群组、频道、视频、音乐 👉 t.me/jisou?start=a_1200135666

#安全工具 #AI 一个用于查询与分析安全检测规则的 MCP Server。 该项目整合了多种主流检测规则体系，让 LLM 能够直接检索、理解并分析安全检测规则，为检测工程与安全研究提供支持。 核心功能： • 支持查询 Sigma / Splunk / Elastic / KQL 等检测规则 • 为 LLM 提供统一的安全检测规则接口 • 可用于检测工程、规则分析与安全研究 • 构建可被 AI 调用的检测规则知识库 对于 检测工程（Detection Engineering）和 AI + Security 研究方向来说，这是一个非常有价值的工具项目。 项目地址

Telegram必备的搜索引擎，极搜JISOU帮你精准找到，想要的群组、频道、视频、音乐 👉 t.me/jisou?start=a_1200135666

#安全分享 #安全情报 #网络战争 #APT 🚨 Ctrl-Alt-Intel 揭露了 MuddyWater 近期与伊朗情报机构有关的 APT 攻击活动 - 使用了 10 个以上的 CVE。 - 定制开发的C2 - EtherHiding恶意软件 敏感数据被盗 links Another C2: 141[.]11.187.165 (moz folder - similar targets, tools, persian comments ,etc.)