天元实验室最新发布了对高级攻防对抗技术热点的研究，重点关注对手技术模拟、高级威胁研判以及安全发展方向。报告涵盖了Web安全中的SafeContentFrame技术、内网渗透工具TaskHound和Get-NetNTLM，以及利用Google Cloud Run实现新型域名前置技术。在终端对抗方面，介绍了EDR-Freeze工具和Zig语言实现的Hell's Gate直接系统调用技术。此外，还分析了Linux内核漏洞CVE-2025-21692、微软易受攻击驱动程序阻止列表，并发布了LKRG 1.0内核运行时防护模块。报告还深入探讨了AI在安全领域的应用，包括LLM自动化分析二进制补丁、AI安全共享责任模型、AI Kill Chain框架以及AI模型反欺骗训练技术。其他内容包括VoidProxy钓鱼平台分析、MalifiScan安全工具、BadPie概念验证工具、SOC2合规扫描器Auditkit、全球间谍软件市场分析、红队评估平台RTAP以及Linux内核调试环境like-dbg。报告还更新了SOC可见性模型为四要素。

🛡️ **Web安全与内网渗透技术更新**：文章详细介绍了SafeContentFrame在安全渲染不受信任Web内容方面的技术特点及应用场景。同时，提供了TaskHound和Get-NetNTLM等用于枚举远程系统特权计划任务和获取NetNTLM凭据的工具，并探讨了利用Google Cloud Run实现新型域名前置技术以创建隐蔽通信通道，以及使用mtprocess替代Win32_Process进行WMI横向移动与凭据转储的方法。

💻 **终端对抗与漏洞分析**：报告聚焦于终端安全，介绍了EDR-Freeze工具利用Windows错误报告技术使EDR和杀毒软件进入休眠状态，以及使用Zig语言实现Hell's Gate直接系统调用技术以实现EDR绕过。在漏洞方面，深入分析了Linux内核ETS调度队列缓冲区下溢漏洞CVE-2025-21692及其远程代码执行PoC，并列出了微软的易受攻击驱动程序阻止列表。此外，发布了LKRG 1.0，一个提供内核完整性检查和漏洞利用检测的Linux内核运行时防护模块。

🤖 **人工智能在安全领域的创新应用**：报告强调了AI在安全领域的多元化应用，包括利用LLM自动化分析二进制补丁差异以发现潜在漏洞，提出了AI安全共享责任模型开源项目，并介绍了AI Kill Chain框架用于建模AI应用攻击。同时，研究了AI模型反欺骗训练技术，以及将思维链可监控性作为AI安全的新机遇。

🔍 **其他安全工具与市场洞察**：文章还介绍了MalifiScan检测恶意软件包的安全工具，BadPie Python包管理风险概念验证工具，以及Auditkit开源SOC2合规扫描器。此外，报告分析了全球间谍软件市场的投资者和中间商角色，并提及了RTAP（红队评估平台）和like-dbg（容器化Linux内核调试环境）。最后，更新了SOC可见性模型，将其从三要素扩展为四要素。

原创 天元实验室 2025-09-26 18:01 北京

关注高级攻防对抗技术热点，研究对手技术进行高级威胁模拟，研判攻击安全发展方向。