高级持续性威胁跟踪
关注
分享
扫一扫
文章平均质量分 91
深信服千里目安全实验室
千里目,取自王之涣《登鹳雀楼》“欲穷千里目,更上一层楼”;又有荀子《劝学》“到此岂可千里目,哪知才上一层楼”。寓意均为站得高才能看得远,学无止境,勇攀高峰。在网络安全攻防技术研究领域只有不断地努力钻研,才能不断提高专业技术造诣,进而抵御更多的未知网络安全威胁。我们希望做网络空间的一双眼睛,拥有更加敏锐长远的眼光(Further eye),深度洞察未知网络安全威胁,解读前沿安全技术。
展开
-
Ysoserial Click1利用链分析
click1 gadget构造思路是基于Commons-Collections2的Sink点(com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl)和source点(java.util.PriorityQueue)。Commons-Collections2使用TransformingComparator方法作为PriorityQueue类中的comparator属性值。再Click1 gadget中,作者使用org.apache.click.c原创 2021-10-19 11:14:42 · 284 阅读 · 0 评论 -
AFL二三事——源码分析
AFL二三事——源码分析前言AFL,全称“American Fuzzy Lop”,是由安全研究员Michal Zalewski开发的一款基于覆盖引导(Coverage-guided)的模糊测试工具,它通过记录输入样本的代码覆盖率(代码执行路径的覆盖情况),以此进行反馈,对输入样本进行调整以提高覆盖率,从而提升发现漏洞的可能性。AFL可以针对有源码和无源码的程序进行模糊测试,其设计思想和实现方案在模糊测试领域具有十分重要的意义。深入分析AFL源码,对理解AFL的设计理念和其中用到的技巧有着巨大的帮助,对原创 2021-10-19 11:13:31 · 3076 阅读 · 6 评论 -
【高级持续性威胁追踪】当黑客不讲武德,安全专家也容易被骗
漏洞研究者是大家心目中的安全专家,然而当安全专家的心理弱点被不讲武德的黑客利用,专家电脑上高价值的智力资产就会处于危险的境地,然而更危险的是这些本用于研究目的信息中如果存在可被武器化的内容,就导致研究人员无意中成为这些黑客的帮凶。原创 2021-01-27 11:02:34 · 1725 阅读 · 0 评论 -
【高级持续性威胁追踪】SolarWinds供应链攻击持续跟踪进展
主要内容本文总结了SolarWinds供应链攻击的进展情况,主要包括新发现的技术点解读和攻击相关的最新动态。详尽的攻击链细节1获取初始权限阶段1.1 事件进展1月7号,美国网络安全与基础设施安全局(CISA)更新了其对SolarWinds供应链攻击事件的调查报告《Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector...原创 2021-01-20 11:49:32 · 1404 阅读 · 0 评论 -
【高级持续性威胁追踪】来自Mustang Panda的攻击? 我兔又背锅了!
Mustang Panda 是CrowStrike最早披露的一个APT攻击组织,该组织主要使用的后门是PlugX,CobaltStrike。因为PlugX是一个中国人开发的。所以很多安全公司发现有PlugX的攻击,就宣称这些攻击来自于中国。原创 2021-01-05 15:45:12 · 1847 阅读 · 0 评论 -
【高级持续性威胁跟踪】红队视角看Sunburst后门中的TTPs
最近FireEye披露的黑客组织入侵SolarWinds的供应链攻击让安全从业人员印象深刻。一是影响规模大,SolarWinds官方称受影响的客户数量可能有18000家。二是攻击者留下的后门程序-Sunburst,十分隐蔽和具有迷惑性。原创 2021-01-04 17:52:39 · 2618 阅读 · 0 评论