ducc20180301的博客

经过多年网络安全工作，一直缺乏网络安全的整体视角，网络安全的全貌到底是什么，一直挺迷惑的。目前网络安全的分类和厂家非常多，而且每年还会冒出来不少新的产品。但这些产品感觉还是像盲人摸象，只看到网络安全的一个点，而不是一个整体。最近无意看到了网络安全能力成熟度模型(C2M2)，有种相见恨晚的感觉。它是一套自成体系的模型，内容比较全面，更贴近企业落地。它的目的是帮助所有一定规模的组织评估和改进其网络安全，并加强其运营弹性。

在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权、防御规避战术，本期我们为大家介绍ATT&CK 14项战术中凭证访问战术第13-17种子技术，后续会介绍凭证访问其他子技术，敬请关注。

在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权、防御规避战术，本期我们为大家介绍ATT&CK 14项战术中凭证访问战术第7-12种子技术，后续会介绍凭证访问其他子技术，敬请关注。

在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权、防御规避战术，本期我们为大家介绍ATT&CK 14项战术中凭证访问战术第1-6种子技术，后续会介绍凭证访问其他子技术，敬请关注。

在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权战术理论知识及实战研究、部分防御规避战术，本期我们为大家介绍ATT&CK 14项战术中防御规避战术第37-42种子技术，后续会介绍其他技术，敬请关注。

在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权战术理论知识及实战研究、部分防御规避战术，本期我们为大家介绍ATT&CK 14项战术中防御规避战术第31-36种子技术，后续会介绍防御规避其他子技术，敬请关注。

在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权战术理论知识及实战研究、部分防御规避战术，本期我们为大家介绍ATT&CK 14项战术中防御规避战术第25-30种子技术，后续会介绍防御规避其他子技术，敬请关注。

V13版本主要更新了更为详细的检测指导，有效提升网络安全防御技术，针对ATTCK每一类攻击技术，可以根据V13版本输出的细粒度检测指导，清晰地了解防御检测思路，选择合适的数据源进行数据采集分析，细化告警规则模型，有效提升告警精准度，降低告警误报，缩短从威胁检测-溯源分析-处置响应的闭环时间，从被动防御向纵深主动防御持续提升！

在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权战术理论知识及实战研究、部分防御规避战术，本期我们为大家介绍ATT&CK 14项战术中防御规避战术第19-24种子技术，后续会介绍防御规避其他子技术，敬请关注。

在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行战术、持久化战术（一）及（二）知识，本期我们为大家介绍ATT&CK 14项战术中持久化战术（三）涉及的剩余子技术，后续会陆续介绍其他战术内容，敬请关注。

前几期文章中，我们介绍了ATT&CK中侦察、资源开发、初始访问、执行战术、持久化战术的知识。那么从前文中介绍的相关持久化子技术来开展测试，进行更深一步的分析。本文主要内容是介绍攻击者在运用持久化子技术时，在相关的资产服务器或者在PC机器上所产生的特征数据进行分析，使安全运维人员在后续工作中应当如何去进行预防和快速响应。

在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行战术、持久化战术（一）知识，本期我们为大家介绍ATT&CK 14项战术中持久化战术（二）涉及的6项子技术，后续会陆续介绍其他战术内容，敬请关注。

文的主要内容是介绍 APT 攻击者在 Windows 系统下持久运行恶意代码的常用手段，其中的原理是什么，是怎样实现的，安全运维人员如何及时发现，我们应该从哪些方面预防和检测。

安全的目标这二十年来没有发生太本质的变化，唯一的变化就是规模和业务复杂度一直在膨 胀，但计算机的理论又很多年没有发生根本变化。从安全投入看，各种市场分析报告的结论都是投入一年比一年高。这就难免让人产生一个巨大问题，安全创新一浪又一浪，安全投入一天天涨，安全问题还是很多，到底哪里出了问题呢？

在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问战术理论知识及实战研究，本期我们为大家介绍ATT&CK 14项战术中的执行战术前6项技术内容，下期介绍执行战术后6项技术内容，敬请关注。

在前几期文章中我们介绍了ATT&CK中侦察及资源开发战术理论知识及实战研究，通过实战场景验证行之有效的检测规则、防御措施，本期我们为大家介绍ATT&CK 14项战术中初始访问战术，后续会陆续介绍其他战术内容，敬请关注。

在前两期文章中我们介绍了ATT&CK中侦察战术理论知识及实战研究，通过实战场景验证行之有效的检测规则、防御措施，本期我们为大家介绍ATT&CK 14项战术中资源开发战术，后续会陆续介绍其他战术内容，敬请关注。

上篇文章《ATT&CK V10版本战术介绍-侦察》中介绍了侦察的一些理论知识，本章主要对侦察进行技术验证。侦察包括涉及对手主动或被动收集可用于支持目标定位的信息的技术。

在上一篇文章《2021 ATT&CK v10版本更新指南》中我们整体介绍了什么是ATT&CK、ATT&CK发展历史、应用场景、v10版本更新说明等内容，本期我们为大家介绍ATT&CK 14项战术中开篇侦察战术，后续会陆续介绍其他的战术内容，敬请关注。

MITRE ATT&CK 是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。

一、OWASP介绍OWASP被视为Web应用安全领域的权威参考，在2009年发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则。国际信用卡数据安全技术PCI标准更将其列为必要组件。OWASP组织为英国GovCERTUK提供SQL注入参考和为欧洲网络与信息安全局（ENISA), 云计算风险评估参考。OWASP TOP 10为IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要

概述在《软件定义安全》中介绍了所有的安全产品本质上就是对安全业务的软件开发。本文介绍WAF的核心内容和核心逻辑。一、WAF的作用Web应用防护墙（WebApplication Firewall，简称WAF）是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品，主要用于防御针对网络应用层的攻击，像SQL注入、跨站脚本攻击、参数篡改、应用平台漏洞攻击、拒绝服务攻击等。1.1 为什么要上WAFWAF是专门为保护基于Web应用程序而设计的，传统的防火墙，是.

概述在《软件定义安全》中介绍了所有的安全产品本质上就是对安全业务的软件开发，在《安全产品的核心逻辑-防火墙》中介绍了防火墙的核心点和核心逻辑。在《安全产品的核心逻辑-IPS/IDS》中介绍ips/ids的核心内容和核心逻辑。本文接着对常用的杀毒软件做下分析。一、杀毒软件的作用杀毒软件（Anti-virusSoftware），也称反病毒软件或防毒软件，是用于消除电脑中的病毒、特洛伊木马、蠕虫等恶意软件的计算机威胁检测处理的一类软件。杀毒软件一般由扫描器、病毒库与虚拟机组成。二、基本..

概述在《软件定义安全》中介绍了，所有的安全产品本质上就是对安全业务的软件开发，在《安全产品的核心逻辑-防火墙》中介绍了防火墙的核心点和核心逻辑。本文介绍ips/ids的核心内容和核心逻辑。一、IPS/IDS作用IPS（Intrusion Prevention System）入侵防御系统，部署在网络入口，一般放在防火墙后面，通过分析网络流量，检测攻击行为，并实时阻断攻击行为，保护企业信息系统不受侵害。IDS（Intrusion Detection System）入侵检测系统，和IPS的主要差异

概述在《软件定义安全》中介绍了，所有的安全产品本质上就是对安全业务的软件开发，既然是软件开发就会遵守软件开发的逻辑和过程。我们抛开复杂的产品宣传，来直接分析下每种安全产品最核心的逻辑是什么，这样有助于对安全产品有更深入的理解。在《软件定义安全》中也提到了，很多产品和方案是混合在一起的，就是传统上的一个产品在新的一些产品中变成了一个模块，这个时候对产品的理解就增加了复杂度，这里先介绍一下单独的一个产品功能，理解了一系列单独的产品逻辑后，后面的组合产品的功能就容易理解了。一、防火墙的作用防火墙，

概述大多数的安全产品都和软件有关系，现在很多公司卖的安全硬件盒子也是操作系统加安全软件的结合体，操作系统本身也是软件。所以软件是安全的一个重要组成部分，甚至在某种程度上说软件决定安全产品，软件定义安全。一、软件无处不在在这个瞬息万变的时代，软件扮演着越来越重要的角色，人们可以随时随地用手机或平板电脑办公，手机或平板上运行的都是软件。在很多业务领域中，都需要打通PC和移动平台。凭借互联网和云计算解决方案，企业可以实现软件产品的本地化和全球部署发布。随着信息技术的发展，世界正在变得更加“智慧

一、Sysmon介绍Sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。系统监视器（Sysmon）是Windows系统服务和设备驱动程序，一旦安装在系统上，便会驻留在系统重新引导期间，以监视系统活动并将其记录到Windows事件日志中。它提供有关进程创建，网络连接以及文件创建时间更改的详细信息。可以使用相关日志收集工具，收集事件并随后对其进行分析，可以识别恶意或异常活动，并了解入侵者和恶意软件如何在您的网络上运行。Sysmon包括以下功能：1、

概述随着企业对IT的依赖程度越来越高，对安全的投入也越来越高。安全建设的投入应该是多少呢？这个不能一概而论，需要根据企业的业务和阶段来分析，这个可以参考之前的《安全建设的原则》和《安全建设的任务》。一、业界情况以美国白宫公布的2021财政年预算为例，美国联邦政府一直高度重视网络安全投入，其2021财年IT总预算为922亿美元，其中网络安全领域总预算188亿美元，比2020财年高出14亿美元。网络安全预算占IT预算的20.4%，也就是说，美国政府在IT上每投入10块钱，就有2块钱花在安全上。事

导读由于篇幅所限，遂将此文分为上下两篇，上篇侧重讲原理，下篇会结合原理讲述若干实际案例。概述从 Google 的 BeyondCorp 计划说起。Google 的这项行动计划名为 BeyondCorp ，目的是为了彻底打破内外网之别。其基本假设是——内部网络实际上跟互联网一样危险，原因有两点： 一旦内网边界被突破，攻击者就很容易访问到企业内部应用。 现在的企业越来越多采用移动和云技术，边界保护变得越来越难。所以干脆一视同仁，不外区分内外网，用一致的手段去对待。 本

一、引言前几期我们介绍了关于主机的相关日志分析和威胁场景，介绍了基于账号登陆异常的检测，基于账号异常行为的检测，基于数据泄露/篡改的检测，基于进程异常的检测。本期我们将介绍对于网络设备中相关的日志进行分析。二、分析检测1.交换机端口状态频繁改变告警发生场景：一般情况而言，交换机的端口在被使用时为UP状态，未使用时为Down状态。如果状态频繁改变，会给网络链路和数据传送带来影响。攻击方式：交换机端口物理线路问题或端口工作方式以及或者为环路状态。检测思路：可以通过人工查看原始的交换机

引言在企业内承担整体安全分析的产品一般是SIEM类产品，这类产品主要的作用是收集网络中所有的安全日志并进行分析。在《运维必看：日志标准化必须面对的4类问题》中介绍了日志标准化的一些原则和方法。有了原则和方法后就需要做更细致的分析。在细致分析中，对日志进行标记统一的类别就非常重要。使用分类法创建日志分类的好处主要有： 厂商独立性，不同设备对同一个事物的描述往往不一样，通过统一的分类来屏蔽不同厂商的差异。 分析人员不需要记住环境中所有设备的特定名称，只需要了解分类名称就好。对其他分析更容易、

引言在《安全建设的任务》一文提到了安全建设的一个很重要的任务是资产管理，但是在和很多客户沟通的过程中发现，资产管理很难做。那为什么资产管理难做呢？本文主要分析这块内容，并提出一些参考做法。资产管理的一些术语： 配置管理数据库(CMDB)：Configuration Management Database 它是一种包含每一个配置项全部关联细节以及配置项之间重要关联细节的数据库 配置项(CI)：Configuration Item 配置项信息覆盖了企业网络中的应用、操作系统、补丁、.

引言之前介绍了安全的本质和安全建设的原则，了解了安全的本质是对数据的机密性、完整性、可用性的防护能力；安全建设的原则主要是：关注结果，关注整体，最小化原则，发挥优势，保持乐观。那安全建设应该做什么呢？这就是本文的主要内容，安全建设的任务。这些任务是在安全本质和安全建设原则的基础上提炼而来。安全的内容涵盖很多方面，企业的规模和性质也各不相同，本文提到的任务尽量忽略各个企业的特点，找到一些对所有企业都普遍适用的任务。这些任务包括：设定目标、决策、人的培养、资产管理、收集检测和响应。一、设定目标毋

引言在很多安全分析类产品建设的过程中都会涉及到关联分析，比如日志分析、SOC、态势感知、风控等产品。之前的文章中阐述过五种最常见的关联分析模型，在文中也介绍了：要想达到很好的关联分析效果，前提是对采集过来的日志进行标准化解析。解析的维度越多、内容越准确，对关联分析的支撑性就越强。下面就来介绍一下日志解析的一些常用内容。一、概述很多公司在自己的产品介绍中描述产品有多少种日志解析规则等等，当然，这种内置的解析规则对这类产品发挥了很重要的作用。但这种方式也存在一些问题：首先，经过时间的推移就会

引言在很多安全分析类产品建设的过程中都会涉及到关联分析，比如日志分析、soc、态势感知、风控等产品。关联分析可以认为是这类产品中最核心的能力之一。这个概念从命名上看就知道，千人千面，每个人的想法和理解都各不相同。很多甲方都会提关联分析，如果再细问要做什么样的关联分析，估计大多数甲方都不太能详细描述出来，很多乙方对此也是藏着掖着，可能是核心机密不愿意细说。下面就来聊一下我对关联分析模型的一点思考。一、概述有很多公司在自己的产品介绍中说自己的产品有多少种内置规则等等，仔细分析就会发现，很

免责声明：攻击复现场景均为本地搭建靶机测试环境，涉及复现方式相关，仅作个人拓展学习了解。一、概述计算机网络的安全性主要包括网络服务的可用性、网络信息的保密性和网络信息的完整性。数据时代的不断进步，也产生了一些安全问题。数据安全和设备安全更是网络安全中的两个重要内容。关于Windows主机的安全防护，大概分为以下几个方面：账户管理、本地策略、服务、网络协议、注册表管理、文件系统与权限、Windows系统自身安全。如何去发现Windows主机的一些潜在或者已经存在的威胁，以怎样的检测排查思路去分析。

随着国家的重视，法律制度的出台，最近几年国内网络安全特别火，每年各地都会举行各种网络安全大会，甚至国家都设立“中国国家网络安全宣传周”，为了“共建网络安全，共享网络文明”而开展的主题活动，于每年9月第三周在全国各省区市统一举行。那网络安全的本质到底是什么呢？相信这个在很多人眼里是不一样的。有人说安全是漏洞；有人说安全是对抗；有人说安全是信任；有人说安全是风险；有人说安全是人的安全是意识；有人说安全是成本；有人说安全是管理等等。那到底什么是网络安全呢？从字面看网络安全分为两词，一个是网络，一个是安全。在汉

引言第一期我们梳理了linux日志中5类常见的安全威胁场景：Linux的iptables被关闭、权限重置、用户的增加/删除/更改的行为审计、指定目录创建/删除/修改文件、linux用户su至root多次失败。本期我们继续梳理linux用户组/密码重置、账户提权、SSH跳板登录、账号短时间内创建删除、删除/修改/移动审计日志、主机开启大量监听端口这6类安全威胁场景，通过日志分析如何有效检测，降低安全威胁隐患。一、安全威胁如何检测1.Linux用户组/密码重置告警发生场景：每一个用户都由一个唯.

引言随着《网络安全法》正式成为法律法规，等级保护系列政策更新，“安全” 对于大部分企业来说已成为“强制项”。然而，网络空间安全形势日趋复杂和严峻。席卷全球的勒索病毒在全球范围大爆发，对企业的正常工作，造成巨大影响。高级持续性威胁(APT攻击)、鱼叉攻击、内部员工和外包人员的越权操作，也在不断的威胁着企业核心数据安全。如何检测安全威胁事件？通过海量日志分析能有效发现安全威胁事件的蛛丝马迹，触发告警，防患于未然。分析的准确性取决于是否制定了行之有效的告警规则，告警规则与攻击思路是否吻合。攻防一体，只有了解尽

等级保护，是我国信息安全保障的基本制度。《网络安全法》第二十一条规定：国家实行网络安全等级保护制度。为适应新技术的发展，解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要，由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作，等级保护于2019年12月1日正式进入2.0时代。等级保护制度2.0国家标准对保障和促进国家信息化发展，提升国家关键信息基础设施安全保护能力，维护国家网络空间安全具有里程碑的意义。一、等保2.0架构及要求等保2.0充分体现了“一个中心三重防御“