What Did the Attacker Read? MailItemAccessed Tells You read file error: read notes: is a directory... 2025-10-2 07:0:0 | 阅读: 26 | 收藏 | NVISO Labs - blog.nviso.eu attacker

Lunar Spider Expands their Web via FakeCaptcha Lunar Spider利用CORS漏洞入侵网站并注入FakeCaptcha框架，通过恶意JavaScript生成iframe覆盖原页面内容。该框架监控用户点击并发送数据到Telegram频道。攻击链涉及MSI下载器和恶意DLL Latrodectus V2，最终用于网络初始访问和后续勒索软件部署。该团伙主要活跃于欧洲金融部门。... 2025-10-1 07:0:0 | 阅读: 39 | 收藏 | NVISO Labs - blog.nviso.eu windows spider latrodectus powershell fakecaptcha

You name it, VMware elevates it (CVE-2025-41244) Broadcom披露VMware本地权限提升漏洞CVE-2025-41244，影响VMware Tools和Aria Operations。该漏洞允许无特权用户通过恶意二进制文件在特权上下文中执行代码。NVISO发现零日利用始于2024年10月，并怀疑中国背景的威胁组织UNC5174可能利用此漏洞进行初始访问。... 2025-9-29 17:9:42 | 阅读: 27 | 收藏 | NVISO Labs - blog.nviso.eu privileged sdmp aria nviso

Securing Microsoft Entra ID: Lessons from the Field – Part 1 文章探讨了微软Entra ID的安全性，重点在于混合身份配置、条件访问策略及特权访问的安全性。作者分析了常见的配置错误和安全威胁，如钓鱼攻击和令牌盗窃，并强调了遵循零信任原则的重要性。... 2025-9-25 08:0:0 | 阅读: 24 | 收藏 | NVISO Labs - blog.nviso.eu entra microsoft cloud security

Detection Engineering: Practicing Detection-as-Code – Deployment – Part 6 文章探讨了检测开发生命周期中部署阶段的复杂性及关键组件，包括API消费者设计、凭证管理、速率限制和错误处理，并介绍了手动、基于发布和自动触发的部署方法以及多租户并行部署策略。... 2025-9-23 08:0:0 | 阅读: 22 | 收藏 | NVISO Labs - blog.nviso.eu packs qa deployments displayname pipelines

Vulnerability Management – common understanding and language enable teamwork 文章介绍了漏洞管理的基本概念和术语，讨论了其生命周期、风险管理的重要性及与合规性要求的关系，并通过实例说明关键术语。... 2025-9-11 07:0:0 | 阅读: 14 | 收藏 | NVISO Labs - blog.nviso.eu security software asset identify

Detection Engineering: Practicing Detection-as-Code – Versioning – Part 5 文章讨论了软件工程中版本控制的重要性，并将其扩展到检测工程（Detection-as-Code）。通过日历版本（CalVer）和语义版本（SemVer）两种方案，文章详细介绍了如何管理检测规则和内容包的版本更新，并通过自动化脚本确保版本一致性。此外，文章还探讨了可追溯性和生成发布说明的方法，以帮助团队有效跟踪和管理检测内容的变化。... 2025-9-9 08:0:0 | 阅读: 18 | 收藏 | NVISO Labs - blog.nviso.eu detections packs versioning incremented repository

Detection Engineering: Practicing Detection-as-Code – Documentation – Part 4 文章介绍了如何利用Jinja模板将YAML和JSON文件转换为Markdown格式，并通过Azure DevOps管道自动化生成检测文档。同时，借助Git命令和Python脚本自动生成变更日志，并将其发布到Wiki中，确保团队能够及时了解检测库的变化。... 2025-8-26 08:0:0 | 阅读: 23 | 收藏 | NVISO Labs - blog.nviso.eu detections renamed packs quarter

Shedding Light on PoisonSeed’s Phishing Kit NVISO分析了PoisonSeed的MFA-resistant钓鱼工具包，该工具包模仿Google、SendGrid等公司登录界面，窃取用户凭证并绕过双重认证。攻击者利用这些信息建立基础设施以发送与加密货币相关的垃圾邮件，并自动化下载电子邮件列表。该工具包通过Precision-Validated Phishing技术验证用户身份，并捕获认证信息以实现对账户的完全控制。... 2025-8-12 08:0:0 | 阅读: 22 | 收藏 | NVISO Labs - blog.nviso.eu loginform victim phishing poisonseed

Detection Engineering: Practicing Detection-as-Code – Validation – Part 3 文章讨论了如何通过实施验证检查来提高检测存储库的质量和一致性。内容包括使用Azure Pipelines和JSON模式验证检测、内容包和存储库结构，并涵盖分支策略、URL检查、拼写验证等自动化流程。... 2025-8-5 07:2:0 | 阅读: 26 | 收藏 | NVISO Labs - blog.nviso.eu detections pipelines packs kusto displayname

Stop Hardcoding Passwords A Deep Dive into CyberArk’s Central CredentialProvider (CCP)Introd... 2025-8-1 07:0:0 | 阅读: 24 | 收藏 | NVISO Labs - blog.nviso.eu ccp cyberark tenable nessus security

Refinery raid 这篇文章介绍了如何使用Labshock搭建虚拟油厂环境，并通过Modbus协议进行渗透测试。文章详细指导如何在Ubuntu上安装Docker并构建Labshock环境，并演示了从侦察PLC和SCADA系统到通过Modbus协议读取和写入数据的过程。最终展示了如何编写Python脚本控制虚拟泵的操作，并讨论了现实中的类似攻击案例及其对工业控制系统安全的影响。... 2025-7-29 07:0:0 | 阅读: 27 | 收藏 | NVISO Labs - blog.nviso.eu plc labshock modbus pumps mbtget

Why Microsoft’s New Sentinel Data Lake Actually Matters 微软推出Sentinel Data Lake解决方案，帮助用户以更低的成本存储大量日志数据，并支持长期保留和历史查询。该方案将热数据和冷数据分开存储，热数据用于实时检测和快速查询，冷数据用于长期存储和合规需求。通过这种方式，用户可节省高达85%的成本，并实现长达12年的日志保留。... 2025-7-25 14:59:28 | 阅读: 29 | 收藏 | NVISO Labs - blog.nviso.eu lake tier kql hot cold

Detection Engineering: Practicing Detection-as-Code – Repository – Part 2 文章第二部分探讨了Detection-as-Code中设计检测存储库的关键要素，包括Git平台选择、分支策略、存储库结构、检测标准化、分类法及内容包，并强调根据团队需求调整设计以避免过度工程化。... 2025-7-17 08:0:0 | 阅读: 17 | 收藏 | NVISO Labs - blog.nviso.eu detections development repository network packs

Detection Engineering: Practicing Detection-as-Code – Introduction – Part 1 这篇文章介绍了检测工程（Detection Engineering）的基本概念和 Detection-as-Code 方法。通过 Detection Development Life Cycle (DDLC) 的六个阶段（需求收集、设计、开发、测试与部署、监控和持续测试），文章详细讲解了如何系统化地开发和管理威胁检测逻辑，并强调了 Detection-as-Code 在提升协作性、一致性、质量、效率和可扩展性方面的优势。这种方法适用于 MSSP 和内部 SOC 等场景。... 2025-7-8 08:0:0 | 阅读: 31 | 收藏 | NVISO Labs - blog.nviso.eu detections development software repository practicing

Tracking historical IP assignments with Defender for Endpoint logs 在网络安全事件中，追踪CEO笔记本电脑的IP地址变化以确定攻击者是否横向移动。利用微软Defender XDR和MDE工具中的DeviceNetworkInfo表，通过KQL查询分析IP地址历史，生成会话记录以识别设备连接时间段。... 2025-6-19 07:0:0 | 阅读: 26 | 收藏 | NVISO Labs - blog.nviso.eu ipaddresses sessionid adapter deviceid ipver

Intercepting traffic on Android with Mainline and Conscrypt 这篇文章介绍了Android系统中证书管理的变化，特别是从Android 14开始通过Mainline模块Conscrypt管理和更新根证书的方式。作者详细讲解了AlwaysTrustUserCerts模块如何支持从Android 7到16 Beta的版本，并通过复制用户证书到系统目录并挂载到Conscrypt的apex目录来解决HTTPS流量拦截问题。... 2025-6-5 07:0:0 | 阅读: 26 | 收藏 | NVISO Labs - blog.nviso.eu apex 1970 conscrypt security 0k

Crisis Management – Beacon in the Storm 本文探讨了危机管理在应对勒索软件等网络安全威胁中的重要性，强调了建立有效的危机管理团队和沟通策略的关键作用。通过透明的信息传递和内外部利益相关者的有效互动，企业可以更好地应对危机并减少损失。同时，合规性和事后总结也是提升企业抗风险能力的重要环节。... 2025-4-17 07:0:0 | 阅读: 17 | 收藏 | NVISO Labs - blog.nviso.eu crisis parties ransomware identify

How to hunt & defend against Business Email Compromise (BEC) 商业电子邮件泄露（BEC）是一种常见的网络攻击手段，通过钓鱼邮件获取用户凭证并访问敏感信息或发起内部钓鱼攻击。文章介绍了通过分析登录日志、地理位置等指标进行威胁狩猎的方法，并建议实施多因素认证、条件访问策略和提升用户安全意识以减少风险。... 2025-3-21 07:30:0 | 阅读: 32 | 收藏 | NVISO Labs - blog.nviso.eu ipaddress trusttype

Attack and Defense in OT: Enhancing Cyber Resilience in Industrial Systems with Red Team Operations 文章探讨了工业环境中运营技术（OT）安全的重要性，并通过红队评估模拟攻击展示了如何识别和缓解威胁。案例分析揭示了网络攻击和物理入侵的风险，并提出了加强邮件安全、权限管理、网络分段和物理安全等措施以提升安全性。... 2025-2-28 09:10:0 | 阅读: 29 | 收藏 | NVISO Labs - blog.nviso.eu network security operational attacker cleaning