Hvv期间钓鱼域 events02.huawei.com追朔及情报收集

最新推荐文章于 2024-07-23 08:41:46 发布
最新推荐文章于 2024-07-23 08:41:46 发布
阅读量415 收藏
点赞数
分类专栏: 蓝队战术 文章标签: 网络安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34594929/article/details/132312365
版权

字节跳动-刘*龙的简历样本后15日,高风险钓鱼IP地址为:36.99.188.109,额外新增恶意样本(不排除样本检测测试可能)在每一次提交71个或64指标最后检测最低样本指标为5/71

一、 events02.huawei.com

在这里插入图片描述

恶意软件 ICCClient.exe

恶意名称:ICCClient.exe(伪装客户端) 体积14.39MB,YARA 签名匹配中5个,其中一些是重复报警 :
SHA-256:6ef88b0238d639a377a80cb9c86b90af71644cd8e975a516b2c49e5ecdbc4c01

  • 检测可疑双精度Base64 编码的 kernel32 函数,如 OpenProcess、WriteProcessMemory 和
    CreateRemoteThre
  • 检测编码关键字- GetProcAddress
  • 检测编码和加密的 CobaltSrike信标

恶意软件 CPC.exe

恶意名称为:CPC 5/70 体积19.47MB这个是15日未更新的情况,根据最开始那张恶意列表的图,这个CPC最后更改是15日,后来我刷新了一下,AV显示16日凌晨1点左右有更新动作行为,变了成8/71的检测指标
SHA-256:d0e07185e94799aeb86b32dba29f54fb2ad27633a3f827c9f7158c01379be4fa
YARA 签名匹配中5个,其中一些是重复报警 :

  • 检测可疑双精度Base64 编码的 kernel32 函数,如 OpenProcess、WriteProcessMemory 和
    CreateRemoteThre
  • 检测编码关键字- GetProcAddress
  • 检测编码和加密的 CobaltSrike信标

以上可猜测为python打包,轻便,快捷,因为体积基本很大也比较,制作手法基本一致,并无太多其它痕迹,YARA规则捕获也是通过相关的编码加密、危险函数进行编码行为进行告警。

二、样本关联UR

15日的样本包括CPC、ICCClient关系通信URL几乎是:http://cloud.10086.cn/mall_100_100.html,根据红雨滴最初报告样本是使用了域前置隐藏真实C2服务器(CDN隐藏通信手法)。
在这里插入图片描述
追溯15日样本,可以追溯相关关联的URL为以下:

http://kunpeng.huawei.com/mall_100_100.html
https://events02.huawei.com/mall_100_100.html
http://developer.huawei.com/mall_100_100.html
http://cloud.10086.cn/mall_100_100.html

三、关联域

events02.huawei.com.c.cdnhwc1.com
events02.huawei.com
hcdnwsa.global.c.cdnhwc6.com
hcdnw1256.global.c.cdnhwc6.com
www.hikunpeng.com.0bda5447.cdnhwc8.cn
cloud.10086.cn
developer.huawei.com

在这里插入图片描述

David_Jou
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
HVV(护网)蓝队视角的技战法分析
HUANGXIN9898的博客
10-23 1775
智能新型技术的广泛应用,信息基础架构层面变得更加复杂,传统的安全思路已越来越难以适应安全保障能力的要求。必须通过新思路、新技术、新方法,从体系化的规划和建设角度,建立纵深防御体系架构,整体提升面向实战的防护能力。从应对实战角度出发,对甲方现有安全架构进行梳理,以安全能力建设为核心思路,面向主要风险重新设计政企机构整体安全架构,通过多种安全能力的组合和结构性设计,建立起能够具备实战防护能力、有效应对高级威胁、持续迭代演进提升的安全防御体系。CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享。
大华ICC平台联接客户端
12-31
大华ICC平台联接客户端
网络安全最新HVV(护网)蓝队视角的技战法分析_护网技战法报告(1),2024年最新网络安全开发基础作用
2401_84520093的博客
05-10 1558
HVV行动是国家应对网络安全问题所做的重要布局之一。从2016年开始,随着我国对网络安全的重视,演习规模不断扩大,越来越多的单位都加入到HVV行动中,网络安全对抗演练越来越贴近实际情况,各机构对待网络安全需求也从被动构建,升级为业务保障刚需,而2023年的国家HVV目前已经结束。HVV一般分为红蓝两队,也称为红蓝对抗,红队为攻击队,蓝队为防守队。刚开始,蓝队会有初始分值,一旦被攻击成功就会扣除相应的分。而每年对于蓝队的要求都逐渐严格起来,2020年以前蓝队只要能发现攻击就能加分,或者把扣掉的分补回来。
神秘的HVV到底是什么?
Python_0011的博客
09-27 434
HVV行动” 是国家应对网络安全问题所做的重要布局之一,是由政府统一组织的"网络安全实战攻防演习,通过与进攻方的对抗,企事业单位网络、系统以及设备等的安全能力会大大提高。
编写yara规则 检测恶意软件
whatday的专栏
07-31 1808
Yara规则与C语言语法十分相像, 以下是一个简单的规则, 这个规则没有进行任何操作: 1 2 3 4 5 rule HelloRule { condition: false } 规则标识符 规则标识符是上面简单规则示例中跟在rule后的词, 比如单词"dummy"也可以是一个规则标识符, 标识符命名有如下要求: 是由英文字母或数字组成的字符串 可以使用下划线字符 第一个字符不能是数字 对大
yara_sig_tool:从功能块生成 yara 签名的工具
07-08
Yara 签名工具 描述 这是一个用 ruby​​ 编写的实用程序,使用 Capstone 引擎从函数构建 yara 规则。 目前,脚本将通配符引用二进制地址空间内的位置的调用和推送。 要求 顶石引擎 蟹石 转储 选择解析 用法 使用 -h 运行以获取帮助(到目前为止还没有多少) Usage: signature_builder.rb -f ~/Desktop/wmiprivse.exe -o 0x401980 -e 0x401A08 -f, --file FILE Filename -o, --offset NUMBER Beginning Offset -e, --end NUMBER Ending Offset -h, --help
.NET | 2024hvv第1天漏洞威胁情报
ahhacker86的专栏
07-23 321
未经身份验证的攻击者可以利用此漏洞读取系统内部配置文件,造成信息泄露,导致系统处于极不安全的状态。
Hvv网络安全应急预案.zip
04-08
Hvv网络安全应急预案》压缩包中的核心文档是“护网演习网络安全应急预案.pdf”,这份文档通常会包含一套完整的网络安全应急预案,旨在应对可能发生的网络攻击、数据泄露或其他网络安全事件。应急预案是组织在遭遇...
2021.4.8 护网 0day漏洞 POC 与漏洞示例
04-08
至于压缩包内的文件"2021.4.8 HVV _ 情报共享",HVV可能代表了特定的活动、事件或者某种类型的漏洞。文件内容可能包含了更详细的技术分析,包括漏洞是如何工作的,可能的攻击向量,以及如何检测和防止利用这个漏洞的...
hvv面试.md
04-10
hvv面试.md
资产探测与信息收集.pdf
04-22
价值5999,vip免费阅读,可用于实战拟态,渗透测试学习,资源复现,红蓝对抗,攻防打点,漏洞复现,技术考证、权限维持,应急响应,Hvv实战
甲方安全开源项目收集.pdf
04-22
价值5999,vip免费阅读,可用于实战拟态,渗透测试学习,资源复现,红蓝对抗,攻防打点,漏洞复现,技术考证、权限维持,应急响应,Hvv实战
CVE-2020-14871:Oracle Solaris 0-Day漏洞利用在野
爱国小白帽
11-06 1674
Tenable研究院 [Tenable安全](javascript:void(0)???? 今天 研究人员揭示了Oracle Solaris中的关键零日漏洞,该漏洞正在被攻击威胁参与者广泛利用。 背景 11月2日,FireEye的研究人员发表了一篇博客文章,详细介绍了Mandiant事件响应调查的发现,这些研究导致发现了一个被称为UNC1945的未定性(UNC)小组。作为此调查的一部分,他们发现UNC1945正在利用一个严重的Oracle Solaris 0-Day漏洞来安装后门,以此作为攻击的一部分。
恶意软件匹配引擎Yara
Yale的博客
03-29 2177
在使用之前,先来看看yara规则是什么样子的 如下是典型一个yara规则 YARA的规则可以复杂和强大到支持通配符、大小写敏感字符串、正则表达式、特殊符号以及其他特性。 我们在规则定义中有两个主要部分。 第一部分是字符串:用于定义变量。 在这种情况下,变量的类型是字符串。 如果我们有不同类型的变量,可能会有多个部分。 第二部分是条件:我们定义逻辑以匹配预期数据。 关键字: YARA规则的标识符类...
Yara、Snort和Sigma规则
摔不死的笨鸟的博客
03-11 5472
Yara规则是基于二进制文件的静态HEX数据内容实现的扫描规则。简单点说,就是基于原始文件的内容数据扫描规则。 Snort规则是基于IDS入侵检测系统,主要针对流量中数据包内容编写的扫描规则。 SIGMA是一种通用的开放签名格式,允许以简单的方式描述SIEM系统中的相关日志事件。 Yara规则 很多人对yara规则是比较熟悉的。 yara规则根据用途可以分为hunting yara规则和查杀yara规则两种。 hunting作用的yara规则编写相对来说比较简单。除了命中目的样本外,还允许命中更多无关的黑样
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8353
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
强敌环伺:金融业信息安全威胁分析——整体态势
AKAMAI_CHINA的博客
01-29 1095
在Web应用程序和API攻击、零日漏洞以及DDoS攻击等方面,金融服务业一直是最主要的三大被攻击目标垂直行业之一。金融服务业的Web应用程序和API攻击数量同比激增3.5倍,在所有主要行业中增速最快。如何阻止Web应用程序和API攻击利用新发现的零日漏洞针对金融服务业发起的攻击,在24小时内就可以轻松达到每小时数千次的规模,并且会快速达到峰值,这使得防御者几乎没时间打补丁或做出反应。
qt练习控件label控件-lineEdit控件样例代码
最新发布
07-30
qt练习控件label控件-lineEdit控件样例代码
阿里云运维应急手册:HVV排查策略与故障处理
"hvv"可能是特定的技术术语或者缩写,可能代表高级维护验证(High Value Validation)或者高级运维流程的一种级别。 手册由作者sm0nk@柔和字母组合而成,强调了在处理复杂IT环境下的应急响应和故障排除。手册分为多...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

David_Jou

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值