工商银行美国子公司遭LockBit勒索攻击 0x00 事件背景 工商银行（ICBC）是中国最大的商业银行之一，成立于1984年，总部位于北京。作为全球最大的银行之一，ICBC拥有庞大的资产规模和全球业务网络，提供广泛的金融产品和服务，涵盖零售银行、公司银行、金融市场等领域。其国际化业务参与全球金融市场，为客户提供全面的金融解决方案。ICBC在全球银行业排名中一直居于前列，是中国金融体系的重要组成部分，对促进国内外经济发展起着关键作用。 ICBC旗下的ICBC Financial Services 在2023年11月…

Cobalt Strike 研究背景 本次其实主要还是研究其流量特征，并且由于是DFI检测实际上我觉得还挺难看出来的。 但是还是研究一下shellcode的行为看看能不能找出其流量特征。 准备工作 写一个shellcode加载器 #include <stdio.h> #include <windows.h> int main() { char shellcode[] = "<shellcode>"; LPVOID lpAlloc = VirtualAlloc(0, sizeof …

0x00 事件背景 PyPI（Python Package Index）是Python官方的包索引和分发平台。它是一个公共的、全球性的存储库，用于存储、发布和安装Python包和模块。 PyPI允许开发者将他们编写的Python代码打包为可重用的模块或库，并将其发布到PyPI上供其他开发者使用。开发者可以通过使用pip工具（Python的包管理工具）从PyPI上安装所需的模块或库。PyPI提供了一个广泛的Python包，涵盖了各种用途和领域的功能。 0x01 事件过程 2023年4月17日ReversingLabs…

0x00 事件背景 CVE-2023-20871是Pwn2Own温哥华黑客大赛，由STAR Labs团队的安全人员展示的漏洞。其是基于堆栈的缓冲区溢出漏洞，存在于Vmware的虚拟机共享主机设备蓝牙的功能中。 CVE-2023-35829是Linux内核版本6.3.2之前的一个漏洞，其存在于rivers/staging/media/rkvdec/rkvdec.c 的 rkvdec_remove 函数中，是一个UAF（use-after-free，释放后重用）漏洞。 0x01 事件过程 2023年7月3日，GitHu…

0x00 事件背景 NPM（Node Package Manager）是Node.js的软件包管理器，用于管理和分发JavaScript代码库。通过NPM，您可以方便地安装、更新和删除JavaScript库，以及管理项目的依赖关系。 node-pre-gyp是一个用于简化 Node.js 本机模块构建和发布的工具，它提供了统一的构建和安装流程，并自动处理不同平台和架构的差异。这样，开发人员可以更方便地创建和分发本机模块，同时提供更好的跨平台兼容性和易用性。 S3 Bucket是 AWS (Amazon Web Se…

0x00 事件背景 3CX是一家软件公司，该公司提供一个基于软件的电话系统，用于企业或组织内部的通讯。3CX电话系统可以在Windows或Linux服务器上部署，并提供包括VoIP、PSTN和移动电话在内的多种通讯方式。此外，3CX还提供一系列的通讯软件，包括用于电脑、移动设备和浏览器的应用程序，可以让用户通过各种方式与其他人通讯。3CX声称其提供软件给600000多个客户，遍布全球190多个国家。 2023年3月29日，CrowdStrike发出告警，确定具有合法签名的二进制程序3CXDesktopApp具有恶意…