NetworkMiner 3.1 Released ,  Monday, 01 December 2025 08:20:00 (UTC/GMT)... 2025-12-1 08:20:0 | 阅读: 3 | 收藏 | NETRESEC Network Security Blog - www.netresec.com njrat c2 redline mc

Optimizing IOC Retention Time 嗯，用户让我帮忙总结一篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”这样的开头。首先，我需要仔细阅读这篇文章，理解它的主要观点。 文章主要讨论了指标（IOC）的保留时间优化。里面提到了很多关于C2服务器的生命周期，比如90%的C2服务器寿命不到5天，93%不到14天。这说明IOC的有效时间其实很短。接着提到了“痛苦金字塔”，说明低层的IOC容易被替换，而高层的虽然更难检测，但更有效。 然后文章讲到很多组织保留旧的IOC太久，导致资源浪费和误报增加。还提到了Ghost IOC的概念，即那些已经失效的IOC被继续监控的情况。最后建议要根据IOC的类型和时间来优化保留策略，减少误报风险。 现在我需要把这些要点浓缩到100字以内。要确保涵盖主要观点：IOC的有效期短、保留过久的问题、金字塔模型、Ghost IOC的影响以及优化建议。 可能的结构是：先说文章主题，然后提到研究结果和问题，接着提到解决方案和建议。这样在有限字数内传达完整信息。 最后检查一下是否符合要求：中文、100字以内、直接描述内容。确保没有使用开头模板。 </think> 文章探讨了安全事件响应中指标（IOC）的有效性和保留时间问题。研究表明多数C2服务器寿命仅几天至两周，长期保留旧IOC不仅浪费资源，还增加误报风险。建议根据 IOC 类型和时间进行优化管理，并优先使用更可靠的长寿命指标以降低误报率。... 2025-11-6 12:5:0 | 阅读: 37 | 收藏 | NETRESEC Network Security Blog - www.netresec.com pyramid positives pain c2 lived

Online Network Forensics Class Erik Hjelmvik将于2025年2月23日至26日举办在线网络取证培训“Network Forensics for Incident Response”，分析包含黑客和恶意软件流量的PCAP文件。课程时间为每天13:00至17:00 CET（7am至11am EDT），限15人，费用920欧元（早鸟价828欧元）。适合蓝队、事件响应者和执法部门人员参加。... 2025-10-20 11:48:1 | 阅读: 18 | 收藏 | NETRESEC Network Security Blog - www.netresec.com network attendees erik attackers eur

Gh0stKCP Protocol Gh0stKCP是一种基于KCP的C2协议，用于PseudoManuscrypt和ValleyRAT等恶意软件。其握手阶段采用独立会话ID实现NAT穿透，并通过特定检测方法识别该协议。... 2025-9-24 09:40:0 | 阅读: 27 | 收藏 | NETRESEC Network Security Blog - www.netresec.com kcp gh0stkcp c2 handshake yy

Define Protocol from Traffic (XenoRAT) 文章介绍了一种通过提供协议示例来定义协议的方法，CapLoader可基于此实现无需IP和端口的协议识别（PIPI）。视频展示了如何识别XenoRAT C2协议，并提供了相关IOC信息。... 2025-8-21 12:50:0 | 阅读: 18 | 收藏 | NETRESEC Network Security Blog - www.netresec.com c2 caploader xenorat 24727 pipi

PureRAT = ResolverRAT = PureHVNC PureRAT是一种远程访问木马（Remote Access Trojan），允许攻击者远程控制他人的计算机。其功能包括查看屏幕、操控鼠标键盘、访问摄像头和麦克风、记录按键、上传下载文件以及代理网络流量。该恶意软件与ResolverRAT和PureHVNC属于同一家族。识别该恶意软件的特征包括特定的C2端口（如56001-56003）、TLS 1.0通信以及自签名证书等。... 2025-8-12 15:43:0 | 阅读: 17 | 收藏 | NETRESEC Network Security Blog - www.netresec.com purerat resolverrat attacker morphisec victim

PureLogs Forensics PureLogs恶意软件通过伪装成PDF文件传播，实际为加密的DLL文件。该DLL被注入到InstallUtil.exe进程并连接C2服务器。分析揭示了其行为模式及多个IOC指标。... 2025-7-2 11:52:0 | 阅读: 22 | 收藏 | NETRESEC Network Security Blog - www.netresec.com purelogs vastkupan daupinslenj wp installutil

CapLoader 2.0.1 Released CapLoader 2.0.1发布，修复了多个小错误，并新增了更好的协议识别和IP查找警报功能。该版本改进了内置端口无关协议检测，并修复了处理损坏PCAP文件和其他性能问题。... 2025-7-1 13:48:0 | 阅读: 22 | 收藏 | NETRESEC Network Security Blog - www.netresec.com dnsbl caploader tuesday resolves victim

Detecting PureLogs traffic with CapLoader CapLoader通过Port Independent Protocol Identification (PIPI)功能识别PureLogs恶意软件的C2协议，无需依赖端口号。该功能在2.0版本中添加，并使用来自malware-traffic-analysis.net的数据进行分析，提供了相关IOC指标。... 2025-6-9 14:26:0 | 阅读: 18 | 收藏 | NETRESEC Network Security Blog - www.netresec.com caploader purelogs analysis pipi monday

CapLoader 2.0 Released CapLoader 2.0发布, 新增QUIC解析器、威胁警报、自定义协议检测及更多恶意软件协议识别功能; 优化了用户界面响应速度和内存使用效率, 并支持VPN检测。... 2025-6-2 13:47:0 | 阅读: 16 | 收藏 | NETRESEC Network Security Blog - www.netresec.com caploader threatfox flows drag c2

Comparison of tools that extract files from PCAP 文章介绍了多种从PCAP文件中提取文件的工具，包括NetworkMiner、Wireshark和Zeek等，并比较了它们对HTTP、FTP、SMB等多种协议的支持情况。这些工具各有特点，支持范围有所不同。... 2025-5-5 16:5:0 | 阅读: 14 | 收藏 | NETRESEC Network Security Blog - www.netresec.com zeek network njrat imap

Decoding njRAT traffic with NetworkMiner 文章介绍了一种使用NetworkMiner工具分析njRAT恶意软件网络流量的方法，并展示了从流量中提取的关键证据和相关指标。... 2025-4-28 06:0:0 | 阅读: 12 | 收藏 | NETRESEC Network Security Blog - www.netresec.com njrat c2 network bladabindi

How to Install NetworkMiner in Linux 本文介绍了如何在Linux系统中安装和使用NetworkMiner进行网络流量分析。步骤包括安装Mono和GTK2、下载并解压NetworkMiner、运行程序以及通过PCAP-over-IP技术实时捕获和传输数据包。还提供了创建快捷方式的方法，并指出某些Linux发行版已预装该工具。... 2025-4-10 07:30:0 | 阅读: 25 | 收藏 | NETRESEC Network Security Blog - www.netresec.com mono download gtk2 57012

Online Network Forensics Training Erik Hjelmvik将于2025年5月12日至15日在线举办网络取证培训课程，分为四次4小时session，分析包含多种入侵案例的14GB PCAP数据集。费用为960欧元，限15人报名。... 2025-4-7 06:25:0 | 阅读: 9 | 收藏 | NETRESEC Network Security Blog - www.netresec.com network netresec attackers hjelmvik erik

NetworkMiner 3.0 Released NetworkMiner 3.0 introduces new protocols (QUIC, CIP, UMAS, Remcos RAT), improved passive OS fingerprinting, enhanced filtering, and UI adaptions for Linux. It extracts MSS values for VPN detection and adds JA3/JA4 fingerprinting for TLS analysis. The update also includes faster parsing for Professional users and OSINT enhancements.... 2025-4-4 10:53:0 | 阅读: 18 | 收藏 | NETRESEC Network Security Blog - www.netresec.com c2 remcos cip umas

How to set PCAP as default save file format in Wireshark 文章介绍了如何在Wireshark中将默认保存文件格式从pcapng改为pcap，并解释了pcapng包含更多敏感元数据的原因。同时提供了使用命令行工具生成无元数据 pcap 文件的方法，并指出用户需注意避免无意中泄露个人信息。... 2025-2-25 10:33:0 | 阅读: 17 | 收藏 | NETRESEC Network Security Blog - www.netresec.com pcapng mergecap dumpcap polls github

PolarProxy 1.0.1 Released PolarProxy 1.0.1新增JA4指纹支持、基于TLS错误代码的规则匹配、规则集热加载功能，并升级至.NET 8以提升性能和稳定性。... 2025-2-7 10:10:0 | 阅读: 11 | 收藏 | NETRESEC Network Security Blog - www.netresec.com polarproxy ja4 ruleset errorcode

Blocking Malicious sites with a TLS Firewall ,  Monday, 27 January 2025 10:45:00 (UTC/GMT)... 2025-1-27 10:45:0 | 阅读: 8 | 收藏 | NETRESEC Network Security Blog - www.netresec.com polarproxy proxy malicious ruleset windows

VoIP tab in NetworkMiner Professional Erik Hjelmvik ,  Friday, 04 October 2024 06:... 2024-10-4 14:20:0 | 阅读: 8 | 收藏 | NETRESEC Network Security Blog - www.netresec.com voip friday hjelmvik erik

Browsers tab in NetworkMiner Professional ,  Thursday, 03 October 2024 09:10:00 (UTC/... 2024-10-3 17:10:0 | 阅读: 7 | 收藏 | NETRESEC Network Security Blog - www.netresec.com 150312 pwned thursday hints