LoginOpenVPN 恶意DNS告警反查 VPN 客户端
最近在处理MSS安全告警的时候遇到的问题:部署了 OpenVPN 的服务器上,HIDS 检测到了恶意域名的 D
Reading view
USB应急响应取证排查
在实际的应急响应和安全事件调查中,USB 几乎永远是一个“被低估的风险点”。USB 不需要复杂的攻击链,也不依
从应急响应视角理解威胁狩猎
在真实的安全运营场景中,我们往往是在“事情已经发生之后”才介入:告警触发、业务异常、用户反馈异常登录……随后启
当C2藏在CDN后面:域前置在真实入侵中的应急响应思路
在应急排查现场,大家最怕的一类情况不是“清晰的恶意域名或 IP”,而是那种表面看起来一切正常的 HTTPS 流
内网横移中的RDP威胁狩猎
在大量真实入侵事件中,远程桌面协议(RDP)几乎已经成为攻击者进行横向移动的“标配工具”。这个最初由微软设计、
云上应急响应理论基础
在应急响应和取证工作中,我们越来越频繁地面对一个现实:大量关键业务和数据已经不在传统机房,而是在云上运行。理解
从应急响应视角看 MITRE ATT&CK 框架
自计算机系统出现以来,网络攻击者一直利用当时可用的各种攻击向量对系统实施入侵。在早期,由于数字环境规模小、结构
反弹Shell执行pty泄露黑客命令记录?
做过渗透的小伙伴对这个命令都不会陌生,通常利用web漏洞进行反弹shell后,都会执行python的pty.s
密码保护:内网gitlab代码仓库离奇删库事件溯源
无法提供摘要。这是一篇受保护的文章。
一次情报更新引发的DNSLOG告警排查
最近MSS运营中收到一条主机安全的告警,某客户的机器触发DNSLOG告警。但是这台机器本身也不提供服务,也没有
密码保护:某黑产组织使用Ccprotect驱动保护隐藏IIS恶意dll排查分析
无法提供摘要。这是一篇受保护的文章。
0889挖矿团伙rootkit后门溯源排查记录
近期发现某国内的黑客团伙用0889.org作为恶意样本地址和通信域名,后面简称0889组织。最近一次排查某云上
密码保护:某APT组织溯源记录
无法提供摘要。这是一篇受保护的文章。
使用KAPE自动化采集并分析Windows取证数据
KAPE(Kroll Artifact Parser and Extractor)用于获取和解析 Window
Windows磁盘取证-回收站和搜索索引
在进行取证调查时,Windows 回收站被视为重要的证据来源,因为通过文件资源管理器和任何回收站感知程序删除的
Windows磁盘取证-SRUM 数据库
SRUM 被认为是取证信息的金矿,因为它包含特定 Windows 系统上发生的所有活动。SRUM 跟踪和记录程
Windows高级事件日志分析
Windows中有许多没有默认开启的事件日志,比如进程创建、DNS查询、文件监控、网络连接等。开启这些高级事件
开发ko内核模块,无依赖实现监控DNS请求进程
监控Linux主机发起DNS请求的进程是应急响应中经常遇到的一个问题。虽然可以通过systemtap或者ebp
使用Sysmon进行威胁狩猎
Sysmon (System Monitor) 是一种 Windows 系统服务和设备驱动程序,一旦安装在系统
应急响应-统计日志中单个ip访问流量大小
在某次应急排查中,收到网安的自查通告。xxx系统在某一天被某境外组织访问,通信流量xxMb。 分析思路 由于该
密码保护:rm -rf /* 全盘数据被删除后的溯源取证
无法提供摘要。这是一篇受保护的文章。
云上 rm -rf / 应急流程
被rm -rf / 支配的恐惧,应该是每个人的噩梦。但云上遇到系统全盘删除的问题,处理会容易很多。本文以腾讯云
