Category: 威胁情报

简介 在红蓝对抗中，进程注入是攻击者维持访问、绕过防御的经典手段。本文通过一个完整的实验——从向 explorer.exe 注入 shellcode 获取反向 Shell，到使用 PowerShell 脚本与 WinDBG 进行交叉检测——逐层揭开线程注入的攻防细节，并深入解析检测工具背后的内存取证逻辑。 注入 首先，我们使用课程中编写的注入器程序，将一段用于反弹 Shell 的 shellcode 注入到 notepad.exe 或 exploer.exe 进程中。选择 explorer.exe 是因为它通常是用户态下长期运行且拥有合法网络连接权限的进程，注入后不易被察觉。 注入器内部会执行以下关键步骤： 打开目标进程：通过 OpenProcess 获取 notepad.exe 的句柄，申请必要的访问权限（如 PROCESS_VM_WRITE、PROCESS_CREATE_THREAD）。 分配内存：在目标进程虚拟地址空间内调用VirtualAllocEx，申请一块可读、可写、可执行（RWX）的内存区域，大小与 shellcode 匹配。 写入 Shellcode：使用WriteProcessMemory将准备好的反弹 Shell 字节码拷贝到新分配的内存中。 启动远程线程：调用CreateRemoteThread或RtlCreateUserThread等 API，让目标进程执行这片内存中的代码。 执行注入器后，我们的受害者主机会立即显示弹窗信息，证明 shellcode 已在 notepad.exe 的上下文中成功运行。 注入检测 攻击发生后，我们切换到蓝队视角，使用开源 PowerShell 脚本 Get-InjectedThreads.ps1（来自 NetSPI）对系统内所有进程的线程进行扫描。 下载地址： https://gist.github.com/jaredcatkinson/23905d34537ce4b5b1818c3e6405c1d2 $a = Get-InjectedThread; $a 脚本遍历当前系统中的每一个进程，并检查其内部的所有线程。很快，我们捕捉到一个异常项： 从输出可以明确看到，notepad…

摘要 物理供应链正成为APT组织的攻击面，而海洋则是恶意活动的法外之地。本文深度解析如何利用AIS遥测数据、RF射频追踪、地理空间情报及注册商溯源技术，对抗复杂的“影子舰队”与海事网络安全威胁。 在高级威胁分析与开源情报的日常实践中，安全研究员的目光往往紧盯暗网论坛、社交媒体泄露或企业网络暴露面。然而，随着地缘政治格局深度演变与供应链攻击频发，一个庞大、隐蔽且极具战略价值的情报域正逐渐显露——海事开源情报。 地球表面70%被海洋覆盖，承载全球近90%的实物贸易。这片广袤的法外之地，为逃避制裁、非法走私乃至国家级网络战提供了完美的物理掩护。 对红蓝对抗人员、威胁情报分析师及合规审查专家而言，打破“只看代码不看物理世界”的思维局限，理解海事层面的技战术，是补全全局威胁视角的关键一跃。 影子舰队 在海事语境下，最典型的威胁载体被称为“影子舰队”或“暗黑舰队”（Shadow And Dark Fleets）。这并非指某支特定军事力量，而是由超期服役的VLCC组成的松散联盟，专门从事违反国际制裁、走私武器或违禁品的活动。 为在多国高精度情报侦察下生存，该威胁行为体演化出了一套高度成熟的规避与身份混淆机制。 AIS遥测数据的恶意操控 根据IMO规定，超过300总吨的国际航行船舶必须强制配备自动识别系统。AIS通过VHF频段每隔数秒向外广播MMSI、GPS坐标、航向、航速及吃水深度，本质上是船舶的“数字身份证”。 对抗者对AIS的操纵分为三个层级方法，依次排序为： Going Dark（断网静默）：驶入敏感水域或进行非法船对船过驳作业前，船员直接切断AIS收发器物理电源。这将在MarineTraffic等追踪平台上形成一段突兀的轨迹断层——但“空白”本身即是信号。 标识符盗用：攻击者将本船AIS发射器重新编程，播发另一艘合法船舶的MMSI码与船名。这与网络攻击中的IP/MAC欺骗逻辑同构，借此掩护真实航行轨迹。 GPS欺骗与轨迹伪造：这是目前最难防范的技术手段。通过向AIS系统注入伪造GPS坐标输入，或使用软件无线电发射虚假AIS报文，船舶可在物理上停靠受制裁港口装货，而在全球AIS雷达屏幕上显示正在数千海里外正常航行，甚至能完美模拟航速变化与海流影响。 公司架构层面的纵深隐藏 在数字世界，黑客使用多层代理跳板；在物理世界，威胁行为体通过复杂的公司股权嵌套隐藏船舶真实所有者。 单船公司策略：将一艘船的受益所有权注册为一家设立于避障天堂（塞舌尔、马绍尔群岛、英属维尔京群岛等）的单船公司。该公司无其他资产、无员工，仅由信托机构代持。一旦船舶被扣押，直接放弃公司实体，彻底切断追查线索。 船旗跳跃与物理涂装变脸 方便旗滥用：船舶必须在某个国家注册并悬挂该国国旗，受该国法律管辖。影子舰队频繁进行“船旗跳跃”，专门寻找海事监管松懈、不配合国际调查的国家作为注册地。船旗变更的时间密度本身即构成异常指标。 物理层欺骗：为对抗高分辨率卫星成像侦察，船员在大洋深处实施物理改装——重新粉刷甲板颜色以改变俯视特征、用巨型防雨布遮盖关键管道结构、甚至直接在船舷涂改船名与IMO编号，完成物理层面的“身份湮灭”。 跨维度数据交叉验证 面对多层伪装，OSINT分析师的破局之道在于跨维度数据的交叉验证。单一数据源必然存在欺骗可能，但不同物理与数字维度的特征难以同时天衣无缝。 锁定不可变标识符—IMO编号 船名与无线电呼号随时可改，但IMO编号是伴随船舶整个生命周期的唯一数字印记。调查中，一切搜索的起点与锚点必须是IMO。 平台：equasis.org 该平台由法国海事局牵头建立，是极为强大的港口国监督与免费船舶历史数据库。通过输入IMO编号，分析师可执行深度溯源： 历史快照提取：获取船舶自下水以来所有曾用名、历次船旗变更的精确时间戳。若一艘船两年内变更三次船名、四次国旗，直接构成高风险预警信号。 缺陷与扣留数据分析：查阅该船在各国港口的PSC检查记录。影子舰队缺乏正规维护资金与原厂备件，Equasis上常呈现密集的消防、救生及结构性缺陷。 管理层穿透测试：提取“注册船东”与“商业管理人”实体。获取公司名后，切换回传统OSINT商业溯源技术，利用OpenCorporates或当地工商数据库，深挖皮包公司背后的实益控制人。 异常行为模式分析 当AIS数据存在（即便是伪造的），也需从中提取违反常理的逻辑漏洞。 可用平台： MarineTraffic.com VesselFinder.com “吃水深度”的致命漏洞：AIS报文中包含一个常被忽视的字段——吃水深度。这是识别非法STS过驳的关键。轨迹回放中发现：两艘油轮在某海域接近，速度降至0节并持续数小时。A船相遇前吃水深（满载），相遇后吃水变浅（空载）；B船则相反，相遇后吃水骤增。无论当事方如何抵赖，这在技术层面构成了公海秘密转移原油的完整证据链。 航线逻辑异常：识别不符合航行逻辑的“Z”字形折返跑、在非锚地区域长时间停机漂流、或以近乎不可能的恒定速度直线穿越复杂海域——后者常常是算法生成伪造轨迹的机器特征。 跨域SIGINT与GEOINT 当AIS彻底静默，调查需降级到物理特征与替代通信通道。 RF射频信号侦测：即使关闭AIS，巨轮通常不敢同时关闭船载导航雷达。船员也可能使用卫星通信设备甚至移动电话。通过具备射频侦测能力的商业低轨卫星星座，可捕获并定位海洋中未知的射频辐射源，实现粗粒度地理定位。 高分卫星图像比对：利用SAR卫星穿透云层与夜幕探测金属反射体，或使用光学卫星获取高分影像。参考独立情报机构TankerTrackers的方法论——通过对比甲板颜色、油管布局的独特几何特征，即使船名被物理涂改，亦能从数千艘同级油轮中实现目标的唯一锁定。 海上民兵的OSINT分析 除运输型影子舰队外，海事OSINT的另一重要研究对象是执行地缘政治任务的“灰色力量”——海上民兵。 这些船只外观伪装成商业渔船，但行为模式与物理配置与渔业生产无关： 加固船体：通过高清图像分析可发现，此类“渔船”拥有异常坚固的钢制船首（用于冲撞），甲板安装高压水炮或被遮盖的重型武器基座。 群聚与长期部署：AIS历史数据显示，民兵船队在争议岛礁附近进行长达数周的“成建制部署”，不执行捕捞作业，而是密集排列形成“海上拒止带”，阻挡他国执法船只。 追踪海上民兵活动轨迹，往往能提前预判该区域未来数月的地缘冲突热度。 港口关键设施的OT安全 海事威胁已从大洋深处延伸至港口OT网络，直接冲击连接数字与物理世界的工控系统。 岸桥起重机的后门隐患 以处理数百万个标准集装箱（TEU）的现代化深水港为例，其核心设备是巨型集装箱岸桥（STS Cranes）,它是高度自动化、实时联网的大型计算节点。…

导语 在过去的二十年间，技术的迭代速度与冲突形态的演变，已远远超越了传统国防政策与军事流程的适应步伐。为了应对这一挑战，一家名为 Sandtable 的新兴国防科技公司，正通过其创新的人工智能平台，为作战规划的现代化注入新的活力。通过深度融合 AI、人类判断与沉浸式三维地理空间技术，Sandtable 旨在重塑军事决策的速度、精度与深度。 https://vimeo.com/1155108047?fl=pl&fe=cm Sandtable 传统的军事规划、协同与推演，在很大程度上仍依赖于二维图像、电子表格、纸质文档，乃至实体的沙盘。这种模式不仅效率低下，而且将关键决策人员集中于同一物理空间，本身就构成了巨大的安全风险。 在2024 年，由美国陆军退伍军人和研究人员组成的 Sandtable 公司，敏锐地洞察到了这一痛点。他们认识到，现代战争的要素——无论是无人机、反无人机技术，还是电磁频谱战——都真实存在于三维空间之中。因此，任何作战规划都必须能够真实地复现这个三维世界。 “我们所模拟和规划的一切，都发生在现实的三维空间里，我们必须有能力再现这个现实，” Sandtable 的首席运营官 Brady Moore 指出，“而这，正是我们需要 Cesium 的原因。” Sandtable 的核心理念，是将时间动态的三维地理空间技术引入军事规划的核心。其平台致力于打造一个交互式的、融合多源异构数据的作战环境，支持人类指挥团队与自主系统（如无人机集群）在任何地点进行协同规划与评估。 https://vimeo.com/1155158284?fl=pl&fe=cm AI + 3D Sandtable 的解决方案通过其两大核心原型产品——Mentat 和 Navigator——将人工智能与人类判断力相结合，旨在加速军事决策流程 (Military Decision-Making Process, MDMP) 的关键阶段。 Mentat 技术栈: 基于 CesiumJS 构建。 功能: Mentat 是一个作战方案 (Course-of-Action, COA) 的快速开发与分析平台。它能够在一个标准浏览器中，将书面命令、概念草图以及各类开放数据集（如土壤密度与成分数据）叠加在真实世界的三维地形之上。 AI 赋能: 借助 AI，该平台能够帮助参谋人员快速解析战场模式、对比多种行动方案的优劣、并对关键假设进行压力测试，从而让指挥官能将精力集中在最需要人类判断的环节。 Navigator 技术栈: 基于 Cesium for Unity 构建。 功能: Navigator 提供了一个共享的虚拟环境，支持身处各地的参与者通过多种设备（从桌面到…

前言 传统 IDS/IPS 规则关注已知攻击模式，难以发现新型或隐蔽的异常。 传统的工具，如 netstat 或 lsof，虽然功能强大，但命令行输出不够直观；而像 Wireshark 这样的重量级工具，虽然能捕获每一个数据包，但对于只想快速查看实时连接状态的场景来说，又显得有些“杀鸡用牛刀”。 我们开发的全新开源项目——Traffic-monitor，它就可以满足o(￣︶￣)o！ GitHub项目地址： https://github.com/GhostWolfLab/Traffic-monitor Traffic-monitor Traffic-monitor 是一款现代化的网络流量监控工具，它旨在提供一个清晰、实时且用户友好的界面，使其可以一目了然地掌握系统的所有网络活动。它将复杂的网络连接信息，通过一个Web界面，直观地呈现在网页中。 亮点 实时监控：Traffic-monitor通过一个Web UI实时展示所有网络连接。 跨平台：只需要python环境，无论是Windows、Linux还是MacOS，Traffic-monitor都能在系统上原生运行。 多种检测方法： Isolation Forest: 基于孤立森林的异常检测 统计模型: 基于历史基线的3-sigma规则检测 Autoencoder: 深度学习异常检测 PCAP分析：支持上传PCAP文件进行分析。 使用 克隆或进入项目目录 cd Traffic-monitor 安装依赖 pip install -r requirements.txt 启动服务 python app.py 访问界面 打开浏览器访问: http://localhost:5000 实时监听 注：需要管理员权限启动 选择检测方法（Isolation Forest、统计模型 或 Autoencoder） 选择网络接口（或留空自动选择） 可选：设置BPF过滤器（如 tcp） 点击“开始监听”按钮 实时查看检测到的异常流量 分析PCAP文件…