![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
安全
文章平均质量分 57
7Steven7
软件攻城狮
威胁情报专家
展开
-
linux新增文件发现方法
linux新增文件发现方法原创 2022-07-13 17:14:29 · 643 阅读 · 0 评论 -
反沙箱虚拟机 反调试 所用黑名单
反沙箱虚拟机 反调试 所用黑名单BLOCKLISTED USERNAMES AND COMPUTER NAMESBlocklisted keywords for username and computername:15pb 7man2 stella f4kh9od willcarter biluta ehwalker hong lee joe cage jonathan kindsight malware peter miller petermiller ...转载 2021-03-04 10:41:07 · 700 阅读 · 1 评论 -
如何面对安全产品0DAY问题
甲方企业:针对安全产品漏洞,以“拔网线”为代表的过度反应,并不能解决安全产品的0Day问题。甲方企业需要接受漏洞不可避免的现实,用合理的眼光看待安全产品的漏洞,做好漏洞管理消控工作,切不可因噎废食。安全企业:在当前的安全新形势下,安全行业务必要改变过去“重业务,轻安全”的态度。很多安全厂商虽然都拥有自己的攻防团队,但是在自家产品的安全性投入上远远不够。打铁还需自身硬,安全厂商需要把安全的第一道防线放在自己产品的源头,强化自身的开发管理,加强产品的安全性,以及做好相关的升级服务。要充分认识到漏洞披露的重转载 2020-09-28 15:05:07 · 271 阅读 · 0 评论 -
欺骗防御研究综述
欺骗防御(Deception)是防守者得以观察攻击者行为的新兴网络防御战术,通过诱骗攻击者和恶意应用暴露自身,以便研究人员能够设计出有效防护措施。欺骗防御技术可以增强甚至有可能替代威胁检测和响应类产品(TDR),能够提供低误报、高质量的监测数据。因此,企业安全人员在构建自身威胁检测能力时候,应该认真考虑将欺骗防御技术加入其安全防御体系中。在传统安全防御认知中,防守者需要确保所有资产100%安全,而攻击者却只需要抓住一次机会就可以收获成果。但是欺骗防御技术,却跟传统安全模型完全相反。攻击者除非100%正确,转载 2020-09-09 17:08:46 · 1724 阅读 · 1 评论 -
Crescendo:适用于macOS的实时事件查看器(2020)
在2017年之前,研究人员无法轻松监控macOS上某个进程执行的操作,而不得不求助于生成底层系统调用数据的编码脚本。FireEye 于2017年发布了Monitor.app,可在更高级别上收集macOS上的信息; 在一个简化的数据集,与类似的Dtrace。多年来,我创建了许多Monitor.app版本,并收到了用户的积极反馈。不过最近,用户注意到它不适用于macOS Catalina(10.15)…最初,需要使用内核扩展来提供Monitor.app提供的检查功能。不幸的是,内核扩展以特权模式运行,而特权模翻译 2020-07-30 16:02:01 · 416 阅读 · 0 评论 -
MacOS恶意软件驻留技术分析
利用LaunchAgent驻留在macOS上实现驻留的最常见方式是通过LaunchAgent。Mac用户在Library文件夹下都有一个LaunchAgent文件夹,用来指定用户每次登陆后要执行的代码。(10.15版本后会默认隐藏)系统还有一个自己的LaunchAgents文件夹。因为该文件夹是由于macOS自己管理的,默认请求下恶意软件不会进入该文件夹。LaunchAgents以property list file的形式来指定要执行的文件,或包含要执行的命令。因为用户LaunchAgents转载 2020-07-15 17:50:06 · 692 阅读 · 1 评论 -
MacOS下的定时任务
编写任务脚本把要执行的任务写好编写任务描述文件mac的任务描述文件是plist格式的。结构如下:<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict>转载 2020-07-15 17:22:50 · 1230 阅读 · 0 评论 -
网络攻防实战演习之蓝队指南
第一章 概述背景网络实战攻防演习是当前国家、重要机关单位和企业组织用来检验网络安全防御能力的重要手段之一,是当下检验对关键信息系统基础设施网络安全保护工作的重要组成部分。网络实战攻防演习通常是以实际运行的信息系统为攻击目标,通过在一定规则限定下的实战攻防对抗行为,最大限度地模拟真实的网络攻击,并以此来检验目标信息系统的实际安全防护能力和运维保障的有效性。自2016年以来,在国家相关网络安全监管机构的有力推动下,网络实战攻防演习工作日益得到重视,目前具有涉及行业范围广,演练周期长,活动规模大等特点。国家转载 2020-06-24 10:12:16 · 10107 阅读 · 0 评论 -
开源安全项目(企业安全建设)
这是一份安全开源项目清单,收集了一些比较优秀的安全开源项目,以帮助甲方安全从业人员构建企业安全能力。这些开源项目,每一个都在致力于解决一些安全问题。项目收集的思路:一个是关注互联网企业/团队的安全开源项目,经企业内部实践,这些最佳实践值得借鉴。一个是来自企业安全能力建设的需求,根据需求分类,如WAF、HIDS、Git监控等。这个收集是一个长期的过程,我在GitHub创建了这个项目,专门用来收集一些优秀的甲方安全项目。还有很多很好的免费开源项目可供选择,下面列出的还只是其中很少的一部分,我将持续更新这转载 2020-06-18 16:29:03 · 1980 阅读 · 0 评论 -
Linux系统常见的病毒介绍(附解决方案)
Linux系统常见的病毒介绍Linux系统常见的病毒介绍BillGatesDDGSystemdMinerStartMinerWatchdogsMinerXorDDosRainbowMinerLinux系统常见的病毒介绍BillGatesBillGates在2014年被首次发现,由于其样本中多变量及函数包含字符串”gates”而得名,该病毒主要被黑客用于DDos,其特点是会替换系统正常程序(ss、netstat、ps、lsof)进行伪装主机中毒现象:[1] 在/tmp/目录下存在gates.lod、转载 2020-06-16 16:42:23 · 8107 阅读 · 0 评论 -
Android平台上攻击活动追踪
Android平台上APT攻击活动追踪Android平台上APT攻击活动追踪Android平台概况APT组织在Android平台上的攻击活动黑灰产组织在Android平台上的攻击活动Date: 2020-06-08Author : StevenAndroid平台上APT攻击活动追踪Android平台概况1.Android os占据了移动操作系统80%以上的份额2.移动设备是日常生活不可或缺的设备,用于通讯、交易、娱乐、新闻获取、工作等3.移动设备上存储着大量敏感信息包括个人信息、通讯信息等,原创 2020-06-08 16:02:24 · 205 阅读 · 0 评论 -
kinsing挖矿僵尸网络初始化脚本-注释版
#!/bin/sh#Linux ulimit命令用于控制shell程序的资源。连接数设置为最大ulimit -n 65535#删除系统日志rm -rf /var/log/syslog#关闭 /tmp /var/tmp 目录不可更改属性chattr -iua /tmp/chattr -iua /var/tmp/#关闭防火墙 UFW,全称 Uncomplicated Firewall,是通过 iptables 实现的防火墙工具ufw disable#清空iptablesiptables原创 2020-06-01 15:59:23 · 1437 阅读 · 1 评论 -
DNS over HTTPs分析和威胁检测
DNS over HTTPs分析和威胁检测DNS over HTTPs分析和威胁检测概述特性应用实现公共DNS支持利用DNS over HTTPS的恶意软件及活动检测方法情报收集和提取Date: 2019-11-19Author: StevenDNS over HTTPs分析和威胁检测时间修改内容版本号2019-11-20修改检测方法内容:1.旁路流量检测 2.流量劫持和参数分析1.0.12019-11-21增加DoH应用于恶意软件的case1.0.2概述原创 2020-06-08 15:34:10 · 848 阅读 · 0 评论 -
基于机器学习的恶意软件检测(一)
内容1.恶意软件的基本检测方法2.机器学习:概念和定义1.无监督学习2.有监督学习3.深度学习3.网络安全中的机器学习应用细节1.需要大规模代表性数据集2.训练的模型是可解释的3.误报率必须控制到极低4.算法必须能快速适应恶意软件作者的对抗4.机器学习应用1.在预执行中通过相似hash发现新的恶意软件2.在用户机器上的两阶段预执行使用相似hash...翻译 2018-08-10 14:28:06 · 5548 阅读 · 0 评论 -
基于机器学习的恶意软件检测(二)
1.恶意软件的基本检测方法 一个有效的,强大的和可扩展的恶意软件识别模块是每个网络安全产品的关键组成部分。基于预执行和执行后两阶段收集的数据,恶意软件识别模块来决定一个对象是否是一个威胁。 预执行阶段的数据:一个文件在执行前可获得所有数据。这可以包括可执行文件格式描述、代码描述、二进制数据统计、通过代码仿真提取文本字符串和信息机其他相似数据。(静态信息) ...翻译 2018-08-10 15:04:56 · 3832 阅读 · 1 评论 -
网络安全蓝队可用资源收集
网络安全蓝队可用资源收集https://github.com/meitar/awesome-cybersecurity-blueteam网络安全蓝队是识别信息技术系统中的安全漏洞,验证安全措施的有效性以及监控系统以确保实施的防御措施有效的团体。本文列举了蓝队可以用到的开源软件以及专有产品或企业服务。 对于相反的TTP(红队-攻击方),请参阅awesome-pentest。aweso...翻译 2019-08-08 10:40:09 · 1185 阅读 · 0 评论 -
APT41组织分析
以下内容均来自Fireeye公开资料,仅限于学习目的。APT41Double Dragon, a dual espionage and cyber crime operation摘要APT41不仅是受政府赞助的网络攻击小组,也为谋取经济私利进行一些活动。APT41针对医疗保健,高科技和电信进行网络攻击活动,包括建立和维持访问,到2015年中期,有窃取知识产权的活动。...翻译 2019-08-09 19:44:33 · 19777 阅读 · 2 评论 -
企业威胁情报技术能力阶段
企业威胁情报技术能力阶段https://www.freebuf.com/column/200873.html威胁情报自出现以来,已经被越来越多的企业所采用,那么企业的威胁情报能力如何评估呢?相信不少应用了威胁情报的企业也想知道自己的现状,以便指定恰当的目标。威胁情报自出现以来,已经被越来越多的企业所采用,那么企业的威胁情报能力如何评估呢?相信不少应用了威胁情报的企业也想知道自己的现状,...转载 2019-08-14 14:22:15 · 411 阅读 · 0 评论 -
DNS攻击流量识别思考
DNS攻击流量识别思考分析思路考察DNS安全问题,因此首先寻找都有哪些DNS安全问题。主要思路:攻击者思路:搜索搜集对应的攻击类型,依据特征进行检测。 Google Nmap dns攻击插件 Nessus dns攻击插件 防御者思路: 传统厂商检测规则 snort suricata 困难与挑战pcap数据包较大,直接使用wiresha...转载 2019-08-14 16:40:46 · 2207 阅读 · 0 评论 -
基于机器学习的DNS隐蔽隧道检测方法与实现
企业内网环境中,DNS协议是必不可少的网络通信协议之一,为了访问互联网和内网资源,DNS提供域名解析服务,将域名和IP地址进行转换。网络设备和边界防护设备在一般的情况下很少对DNS进行过滤分析或屏蔽,因此将数据或指令藏匿于DNS协议中进行传输是一种隐蔽且有效的手段。在实际场景中,当攻击者拿下某台服务器权限,或服务器被恶意软件、蠕虫、木马等感染之后,通过建立DNS隧道从而达到敏感信息盗窃、文件传输、...转载 2019-08-15 15:29:27 · 6513 阅读 · 5 评论 -
AI在安全中的应用
AI在安全中的应用1.AI提升安全能力在安全应用中机器学习可以应用在那些方面?当不需要精确说明时,机器学习是可以应用的实例:(1)垃圾邮件分类(2)欺诈检测(3)用户账户获取(4)机器人和人对抗(5)和内存安全漏洞检测和利用不同原创 2017-12-29 16:35:43 · 2205 阅读 · 0 评论