- 博客(11)
- 收藏
- 关注
RSS订阅原创 流量威胁检测工具开发之路(6)
工具开发有了新的进展,感谢!AdminTony师傅给我的思路。新添加了pacp流量包解析和多线程。工具现在可以自动化分析pcap流量包中所有的http/https协议攻击(同时),还是傻瓜式的甚至不需要你打开pacp包,更不需要你一个个的输入要分析的txt文件,即可分析完成。接下来就开始工具使用的展示这个是一个疑似存在攻击的流量包(我们常在应急响应的时候需要进行简单的流量分析),如果事件很紧急,怎么能让普通的运维或者安全小白迅速进行简单的pcap包分析以完成应急响应的初步确定?
2022-04-09 12:37:01
5530
原创 流量威胁检测工具开发之路(4)
工具名暂时定为追踪者,让恶意行为无所遁形这几天一直都保持写10个小时代码,随着功能的添加,对于我来说感觉越来越难,慢慢去打磨吧工具暂时有点成效了,然后展示一下工具如何检测多重加密的爆破报文这个是一个攻击的payload,网站是我们自己团队的网站usafe.club如果做过流量分析的小伙伴,就会发现他是一个经过base加密的登录包base解密后是这样的, 可以看出来是一个疑似爆破的行为然后在安全设备上,往往是这样的经过再一次url加密的报文把
2022-03-21 13:25:05
332
原创 流量威胁检测工具开发之路(1)
准备每隔一段时间,记录一下自己开发工具的进度和界面这个工具是我在2021年实习的时候就想做的一件事,很多的安全设备高级中其实没有完整的标注,需要分析人员去通过查看请求包和返回包的内容进行研判。希望能做一个可视化的工具,方便自己也能给初学流量分析的同学一个小小的帮助。(1)初步建好了工具的开发框架,后期会完善功能连接数据库,做成GUI等可视化界面(恶补python中),希望傻瓜式工具能帮助小白简单的进行流量分析。...
2022-03-17 13:49:34
10566
1
原创 流量分析实战-反弹和通信
攻击场景:两台外连主机A和B,分别对内网主机C进行frp反弹执行命令与执行命令返回数据的接收因为种种原因,当时没法写现在写出来的记忆比较模糊,到最后还是有很多的疑问没有解决还有很多不确定没法佐证首先接到项目同事发来的可疑ip,这个ip对我们的甲方进行了一系列攻击,并在特定时间平台爆出存在frp反弹的告警,需要我通过流量进行威胁狩猎,佐证是否攻击成功通过科莱的回溯分析,首先在互联网区域进行回溯,查看此ip在互联网区域的行为因为是在hw,所以红
2021-12-05 12:22:09
665
原创 我为什么选择入门安全数据分析?
今天一位大神给我分享了一些知乎中关于安全数据分析的文章,十分感谢(数据分析文章太少了)。我看了期中阿里一位云安全工程师写的一篇“安全数据分析入门”。简单也和大家聊聊我为什么选择这个方向,我相信大家选择安全这行的目的肯定是为了能做出一些成绩,获得一些成就。随着国家越来越提倡安全,网站和软件上的安全越来越牢固,这对于各个行业都是好消息,但是对于我们这些安全初学者却有些尴尬。研究的攻击手法的利用难度越来越高,产出变得越来越困难(对于我个人),越来越多的年轻面孔参与进入攻击方向。我之前也打过半年的红队,当然我的成长
2021-11-08 16:33:11
383
原创 LOL决赛夜钓鱼攻击分析
今天是LOL决赛夜,朋友圈和群里很多人发图一的链接,会自动跳转到B站,我看了一下认为有点问题。首先是大学生群体中大规模转发了这种自动跳转b站的url,并且url不相同。第二我进行分析了一下,发现这个url域名没有网页回显,只有加上路径才会跳转到b站。第三,可疑域名的注册信息基本上一个月一换。第四访问后会自动访问DGA域名,和一个wo结尾的域名。然后会下载恶意远控软件和键盘记录软件。下面是部分分析图,希望大家别乱点如果不幸点了,请杀毒并且查看是否存在Initial ize这个文件...
2021-11-08 16:27:16
146
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人