Remcos Alerts from FlowCarp in EveBox ,  Friday, 08 May 2026 11:49:00 (UTC/GMT)... 2026-5-8 11:49:0 | 阅读: 22 | 收藏 | NETRESEC Network Security Blog - www.netresec.com remcos flowcarp evebox eve ja3

FlowCarp Identifies Protocols ,  Monday, 04 May 2026 14:53:00 (UTC/GMT)... 2026-5-4 14:53:0 | 阅读: 19 | 收藏 | NETRESEC Network Security Blog - www.netresec.com flowcarp eve pcapng broker c2

CISA mixup of IOC domains 嗯，用户让我帮忙总结一篇文章，控制在100字以内，而且不需要特定的开头。首先，我得仔细阅读文章内容，理解主要信息。 文章主要讲的是CISA在报告中发布的IOCs有问题，比如域名拼写错误。GTIG和Mandiant的报告发现这些IOCs和中国黑客有关，而CISA原本是针对俄罗斯的。这可能是因为CISA在发布时出现了混淆或者打字错误。 接下来，我需要提取关键点：CISA报告中的IOCs与GTIG报告有重叠，但可能存在拼写错误；特别是两个域名的例子，“accesscan.org”和“glize.com”可能是误写。此外，GTIG报告中的相关域名属于Dynu Systems，常被恶意使用。 然后，我要把这些信息浓缩到100字以内，确保涵盖主要问题：CISA IOC混淆、拼写错误、涉及不同威胁组织以及域名归属情况。 最后，检查语言是否简洁明了，没有使用复杂的术语，并且符合用户的要求。 </think> CISA报告中提到的IOC域名与GTIG报告存在重叠,但部分域名疑似拼写错误,例如"accesscan.org"与"accesscam.org","glize.com"可能来自误写。GTIG报告中的相关域名属于Dynu Systems,常被恶意利用,而CISA提及的某些域名则为合法网站。... 2026-2-26 09:35:0 | 阅读: 11 | 收藏 | NETRESEC Network Security Blog - www.netresec.com gtig glize thursday 141a aa25

njRAT runs MassLogger 嗯，用户让我帮忙总结一下这篇文章的内容，控制在一百个字以内，而且不需要以“文章内容总结”或“这篇文章”这样的开头，直接写描述即可。首先，我需要仔细阅读文章内容，抓住主要信息。 文章主要讲的是njRAT这个远程访问木马，已经存在超过十年，仍然很受欢迎。作者用NetworkMiner Professional来解码njRAT的C2流量，提取了截图、命令和传输的文件。PCAP文件显示攻击者下载了受害者的全分辨率截图。此外，还提到了njRAT的命令如CAP、inv和rn，以及传输的DLL和EXE文件是gzip压缩的。MassLogger被用来窃取凭证，并通过特定邮箱和SMTP服务器发送数据。最后列出了相关的IOC列表。 现在需要把这些信息浓缩到100字以内。要涵盖njRAT的功能、NetworkMiner的作用、提取的内容、MassLogger的作用以及IOC列表。可能需要简化一些技术细节，但要保留关键点。 比如：“njRAT是一种远程访问木马，可窃取截图、执行命令并传输文件。NetworkMiner Professional可用于解码其C2流量并提取相关数据。MassLogger被用于窃取凭证并通过特定邮箱发送。”这样大概在100字左右。 再检查一下是否遗漏了关键点：njRAT的历史、NetworkMiner的作用、提取的内容类型、MassLogger的功能以及IOC列表。可能需要稍微调整句子结构以确保信息完整且简洁。 </think> njRAT是一种远程访问木马，可窃取截图、执行命令并传输文件。NetworkMiner Professional可用于解码其C2流量并提取相关数据。MassLogger被用于窃取凭证并通过特定邮箱发送。... 2026-2-2 19:39:0 | 阅读: 9 | 收藏 | NETRESEC Network Security Blog - www.netresec.com njrat rn masslogger

Decoding malware C2 with CyberChef 视频教程演示如何使用CyberChef解码恶意软件C2流量，包括从Hex、XOR等操作解码反向壳会话和PowerShell负载，并提供PCAP文件下载链接及IOC列表。... 2026-1-20 12:10:0 | 阅读: 5 | 收藏 | NETRESEC Network Security Blog - www.netresec.com cyberchef powershell network c2 4444

Latrodectus BackConnect 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得通读整篇文章，抓住主要信息。 文章主要讲的是Latrodectus后门被用来投放BackConnect RAT，这个RAT使用了与IcedID和QakBot相同的C2协议。作者用NetworkMiner Professional解析了这个流量，展示了攻击者如何通过VNC、反向shell等手段入侵系统。此外，还提到了攻击者的一些键盘错误以及后续的恶意软件投放。 接下来，我需要将这些要点浓缩成100字以内的总结。要注意不要使用“文章内容总结”这样的开头，直接描述内容即可。 可能的结构是：Latrodectus后门用于投放BackConnect RAT，该RAT利用特定协议进行攻击活动，包括VNC会话和反向shell。NetworkMiner Professional帮助解析了这些流量，并展示了攻击者的活动细节。 现在检查字数是否符合要求，并确保所有关键点都被涵盖。 </think> 文章描述了Latrodectus后门用于投放BackConnect RAT的活动，该RAT利用与IcedID和QakBot相同的C2协议进行攻击。通过NetworkMiner Professional解析的流量显示，攻击者使用反向VNC、Shell等手段入侵系统，并投放了Cobalt Strike和Brute Ratel等恶意软件。... 2025-12-10 13:0:0 | 阅读: 23 | 收藏 | NETRESEC Network Security Blog - www.netresec.com backconnect reverse vnc attacker

NetworkMiner 3.1 Released ,  Monday, 01 December 2025 08:20:00 (UTC/GMT)... 2025-12-1 08:20:0 | 阅读: 9 | 收藏 | NETRESEC Network Security Blog - www.netresec.com njrat c2 redline mc

Optimizing IOC Retention Time 嗯，用户让我帮忙总结一篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”这样的开头。首先，我需要仔细阅读这篇文章，理解它的主要观点。 文章主要讨论了指标（IOC）的保留时间优化。里面提到了很多关于C2服务器的生命周期，比如90%的C2服务器寿命不到5天，93%不到14天。这说明IOC的有效时间其实很短。接着提到了“痛苦金字塔”，说明低层的IOC容易被替换，而高层的虽然更难检测，但更有效。 然后文章讲到很多组织保留旧的IOC太久，导致资源浪费和误报增加。还提到了Ghost IOC的概念，即那些已经失效的IOC被继续监控的情况。最后建议要根据IOC的类型和时间来优化保留策略，减少误报风险。 现在我需要把这些要点浓缩到100字以内。要确保涵盖主要观点：IOC的有效期短、保留过久的问题、金字塔模型、Ghost IOC的影响以及优化建议。 可能的结构是：先说文章主题，然后提到研究结果和问题，接着提到解决方案和建议。这样在有限字数内传达完整信息。 最后检查一下是否符合要求：中文、100字以内、直接描述内容。确保没有使用开头模板。 </think> 文章探讨了安全事件响应中指标（IOC）的有效性和保留时间问题。研究表明多数C2服务器寿命仅几天至两周，长期保留旧IOC不仅浪费资源，还增加误报风险。建议根据 IOC 类型和时间进行优化管理，并优先使用更可靠的长寿命指标以降低误报率。... 2025-11-6 12:5:0 | 阅读: 47 | 收藏 | NETRESEC Network Security Blog - www.netresec.com pyramid positives pain c2 lived

Online Network Forensics Class Erik Hjelmvik将于2025年2月23日至26日举办在线网络取证培训“Network Forensics for Incident Response”，分析包含黑客和恶意软件流量的PCAP文件。课程时间为每天13:00至17:00 CET（7am至11am EDT），限15人，费用920欧元（早鸟价828欧元）。适合蓝队、事件响应者和执法部门人员参加。... 2025-10-20 11:48:1 | 阅读: 24 | 收藏 | NETRESEC Network Security Blog - www.netresec.com network attendees erik attackers eur

Gh0stKCP Protocol Gh0stKCP是一种基于KCP的C2协议，用于PseudoManuscrypt和ValleyRAT等恶意软件。其握手阶段采用独立会话ID实现NAT穿透，并通过特定检测方法识别该协议。... 2025-9-24 09:40:0 | 阅读: 33 | 收藏 | NETRESEC Network Security Blog - www.netresec.com kcp gh0stkcp c2 handshake yy

Define Protocol from Traffic (XenoRAT) 文章介绍了一种通过提供协议示例来定义协议的方法，CapLoader可基于此实现无需IP和端口的协议识别（PIPI）。视频展示了如何识别XenoRAT C2协议，并提供了相关IOC信息。... 2025-8-21 12:50:0 | 阅读: 22 | 收藏 | NETRESEC Network Security Blog - www.netresec.com c2 caploader xenorat 24727 pipi

PureRAT = ResolverRAT = PureHVNC PureRAT是一种远程访问木马（Remote Access Trojan），允许攻击者远程控制他人的计算机。其功能包括查看屏幕、操控鼠标键盘、访问摄像头和麦克风、记录按键、上传下载文件以及代理网络流量。该恶意软件与ResolverRAT和PureHVNC属于同一家族。识别该恶意软件的特征包括特定的C2端口（如56001-56003）、TLS 1.0通信以及自签名证书等。... 2025-8-12 15:43:0 | 阅读: 30 | 收藏 | NETRESEC Network Security Blog - www.netresec.com purerat resolverrat attacker morphisec victim

PureLogs Forensics PureLogs恶意软件通过伪装成PDF文件传播，实际为加密的DLL文件。该DLL被注入到InstallUtil.exe进程并连接C2服务器。分析揭示了其行为模式及多个IOC指标。... 2025-7-2 11:52:0 | 阅读: 30 | 收藏 | NETRESEC Network Security Blog - www.netresec.com purelogs vastkupan daupinslenj wp installutil

CapLoader 2.0.1 Released CapLoader 2.0.1发布，修复了多个小错误，并新增了更好的协议识别和IP查找警报功能。该版本改进了内置端口无关协议检测，并修复了处理损坏PCAP文件和其他性能问题。... 2025-7-1 13:48:0 | 阅读: 26 | 收藏 | NETRESEC Network Security Blog - www.netresec.com dnsbl caploader tuesday resolves victim

Detecting PureLogs traffic with CapLoader CapLoader通过Port Independent Protocol Identification (PIPI)功能识别PureLogs恶意软件的C2协议，无需依赖端口号。该功能在2.0版本中添加，并使用来自malware-traffic-analysis.net的数据进行分析，提供了相关IOC指标。... 2025-6-9 14:26:0 | 阅读: 25 | 收藏 | NETRESEC Network Security Blog - www.netresec.com caploader purelogs analysis pipi monday

CapLoader 2.0 Released CapLoader 2.0发布, 新增QUIC解析器、威胁警报、自定义协议检测及更多恶意软件协议识别功能; 优化了用户界面响应速度和内存使用效率, 并支持VPN检测。... 2025-6-2 13:47:0 | 阅读: 23 | 收藏 | NETRESEC Network Security Blog - www.netresec.com caploader threatfox flows drag c2

Comparison of tools that extract files from PCAP 文章介绍了多种从PCAP文件中提取文件的工具，包括NetworkMiner、Wireshark和Zeek等，并比较了它们对HTTP、FTP、SMB等多种协议的支持情况。这些工具各有特点，支持范围有所不同。... 2025-5-5 16:5:0 | 阅读: 18 | 收藏 | NETRESEC Network Security Blog - www.netresec.com zeek network njrat imap

Decoding njRAT traffic with NetworkMiner 文章介绍了一种使用NetworkMiner工具分析njRAT恶意软件网络流量的方法，并展示了从流量中提取的关键证据和相关指标。... 2025-4-28 06:0:0 | 阅读: 17 | 收藏 | NETRESEC Network Security Blog - www.netresec.com njrat c2 network bladabindi

How to Install NetworkMiner in Linux 本文介绍了如何在Linux系统中安装和使用NetworkMiner进行网络流量分析。步骤包括安装Mono和GTK2、下载并解压NetworkMiner、运行程序以及通过PCAP-over-IP技术实时捕获和传输数据包。还提供了创建快捷方式的方法，并指出某些Linux发行版已预装该工具。... 2025-4-10 07:30:0 | 阅读: 33 | 收藏 | NETRESEC Network Security Blog - www.netresec.com mono download gtk2 57012

Online Network Forensics Training Erik Hjelmvik将于2025年5月12日至15日在线举办网络取证培训课程，分为四次4小时session，分析包含多种入侵案例的14GB PCAP数据集。费用为960欧元，限15人报名。... 2025-4-7 06:25:0 | 阅读: 12 | 收藏 | NETRESEC Network Security Blog - www.netresec.com network netresec attackers hjelmvik erik