Webshell之威胁情报分析(1)--工具同源分析

最新推荐文章于 2024-06-11 14:51:46 发布
最新推荐文章于 2024-06-11 14:51:46 发布
阅读量219 收藏
点赞数
原文链接:https://my.oschina.net/swfeng/blog/538833
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

      通过威胁情报,可以帮助我们从被动安全到主动安全的转变,当然这里谈到的主动安全不是说直接攻击对手,而是在攻击者有攻击企图的早期就能预警到,并进行行为监控,并能及时采取Action。

      安全行业有一副图经常被引用(据说最早出自tk之手),也经常看到这副图的修改稿。威胁情报分析,实质也就是挖掘整体黑色产业链,主动的监控、切断相关环节,并对恶意工具的制作者、攻击者、卖家买家等进行查出,从而达到主动防御的效果。

141333_Ux8c_2278460.jpg

       关于Webshell的“战略情报”分析,主要包含攻击者画像、攻击行为画像、工具同源分析(作者画像)、事件整体影响画像,本文为第一篇,主要介绍工具同源分析,即攻击工具的作者画像。

      工具同源分析,其实就是找出攻击工具或木马的作者,类似“星系”,我们要“打击”攻击者,同时也要找到“恶意工具”的制造者。

      这里主要看图,就不详细介绍,通过大量的Webshell样本,结合威胁情报库进行深入的分析,找出攻击工具的作者。

141318_jqbc_2278460.jpg

       后面会通过一些实例进行介绍。通过威胁情报,从被动安全到主动安全的转变,你将会赢得整个战役,而不是一场战斗。(Use threat intelligence Win the war – not the battle)。


转载于:https://my.oschina.net/swfeng/blog/538833

weixin_34099526
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[网络安全提高篇] 一一六.恶意代码同源分析及BinDiff软件基础用法
杨秀璋的专栏
10-12 5828
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文详细介绍Token关键词的抽取方法,它是指Powershell中具有特定含义的字段,主要通过官方提供的接口实现。这篇文章将详细讲解恶意代码同源分析和BinDiff软件基础用法,首先介绍恶意代码同源分析原理,其次介绍BinDiff工具的原理知识和安装过程,最后介绍BinDiff软件基础用法和Diaphora开源工具。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
强大的webshell管理工具-哥斯拉
12-27
2. **分类与分析**:将检测到的Webshell按照类型、危险级别进行分类,帮助用户理解每个后门的潜在威胁。 3. **交互式管理**:提供一个用户友好的界面,让用户可以直接通过哥斯拉与Webshell进行交互,如执行命令、...
同源策略
aaron_cs的专栏
01-24 1984
概念:同源策略是客户端脚本(尤其是Javascript)的重要的安全度量标准。它最早出自Netscape Navigator2.0,其目的是防止某个文档或脚本从多个不同源装载。   这里的同源指的是:同协议,同域名和同端口。精髓:   它的精髓很简单:它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在沙箱时,它们应该只被允许访问来自同一站点的资源,而不是那些来
网络安全人士必备的16个威胁情报分析网站_威胁分析网站
最新发布
2401_84215240的博客
06-11 3267
SIC定位于企业本地化数字风险与威胁情报管理平台,致力于帮助用户实现多源情报接入、聚合、管理、共享与应用,并完成自身面临的钓鱼欺诈网站/APP/社媒等数字风险的落地与处置,帮助企业全面感知外部风险,建立私有情报视图,同时SIC可与天际友盟威胁情报网关TIG产品或用户自有安全产品进行衔接联动,为用户提供TI Feed和TI Lookup双模式情报应用能力,精细情报管理应用,提升威胁检测与处置效能,助力企业构建本地化的情报运营体系,打造智能安全运营。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。
TIG:一款威胁情报收集小工具
weixin_43977912的博客
04-05 650
根据Gartner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。 威胁情报分为四种类型: 战略威胁情报 战略威胁情报(Strategic Threat Intelligence)提供
网络安全工程师常用的威胁情报分析平台有哪些?
程序员阿飘 的博客
02-03 364
在进行渗透过程中,也可以借助一些商用或者非商业平台来进行信息搜索及验证,主要针对邮箱、IP、域名、文件md5、apk文件等进行搜索,整理和完善线索信息。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。一、国内威胁情报平台。
网络安全人士必备的16个威胁情报分析网站
Python_paipai的博客
02-20 6688
SIC定位于企业本地化数字风险与威胁情报管理平台,致力于帮助用户实现多源情报接入、聚合、管理、共享与应用,并完成自身面临的钓鱼欺诈网站/APP/社媒等数字风险的落地与处置,帮助企业全面感知外部风险,建立私有情报视图,同时SIC可与天际友盟威胁情报网关TIG产品或用户自有安全产品进行衔接联动,为用户提供TI Feed和TI Lookup双模式情报应用能力,精细情报管理应用,提升威胁检测与处置效能,助力企业构建本地化的情报运营体系,打造智能安全运营。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。
D盾-webshell检测必备工具
07-09
D盾的功能比较强大, 最常见使用方式包括如下功能:1、查杀webshell,隔离可疑文件;2、端口进程查看、base64解码以及克隆账号检测等辅助工具;3、文件监控。第一个是D盾的主要功能,后面功能是D盾的辅助功能,但是...
webshell-dictionary-master 上千个webshell合集
09-29
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后...
威胁情报下资产测绘的_关键行业分析.pdf
08-10
在网络安全领域,威胁情报下资产测绘的关键行业分析是一项至关重要的任务。这涉及到对网络空间的安全管理,特别是对基础设施安全和资产的全面理解。资产测绘旨在摸清组织在网络空间中的“家底”,包括内外网资源、...
基于机器学习的Webshell检测工具-go语言开发
11-09
基于机器学习的Webshell检测工具(linux) 描述 WXEL是基于神经网络学习算法对文件压缩比、熵、最长字符、内容特征等进行学习评估,协助安全人员针对Webshell的监察。 使用 获取训练样本 1.需要在sample/webshell...
机器学习-检测webshell
07-18
基于决策树的webshell检测,k-近邻算法是基于实例的学习,使用算法时我们必须有接近实际数据 的训练样本数据,k-近邻算法必须报错全部数据集,如果训练数据集的很大 必须使用大量的存储空间,此外,由于必须对数据集中的每个数据计算距离, 实际使用可能非常耗时 k-近邻算法的另一个缺陷时它无法给出任何数据的基础结构信息,因此我们也无法知晓 平均实例样本和典型实例样本具有什么特征。 决策树也是最经常使用的数据挖掘算法 决策树的优势在于数据形式非常容易理解 决策树的一个重要任务时为了数据中所蕴含的知识信息,因此决策树可以使用不熟悉的 数据集合,并从中提取出一系列规则 决策树 优点:计算复杂度不高,输出结果易于理解,对中间值的缺失不敏感 可以处理不相关特征数据 缺点:可能会产生过度匹配的问题。 适用数据类型:数值型和标称型。 我们必须采用量化的方法判断如何划分数据。 在划分数据集之前之后信息发生的变化称为信息增益,知道如何计算信息增益 我们就可以计算每个特征值划分数据集获得的信息增益,获得信息增益最高的特征 就是最好的选择。 如何计算信息增益,集合信息的度量方式,集合信息的度量方式称为香农熵。或熵。
HoBOT同源分析 专注代码安全 引领行业应用
manok的专栏
08-10 1244
何为同源分析? 软件领域引用医学领域的DNA基因序列检测中的同源分析。在软件领域,是指对软件中引用的构件是否来自于同一个构件发布源的代码分析和检测技术。 在目前开源文化日益盛行的今天,开源软件已经被大量应用到软件开发环节,提升了研发效率,但是由于对开源认识上的不全面,导致对开源软件的发布、管理、运用等存在着诸多问题,尤其是对软件系统安全带来了极大的风险。在引用开源组件的同时,也把组件中的安全...
网络安全之webshell攻击过程及解析
为安全而生,分享各类网络攻击及其应对方法
12-11 1438
Webshell攻击是一种黑客通过上传WebShell脚本到目标服务器,以获取服务器执行操作权限的攻击方式。WebShell是一种恶意脚本,通常以ASP、JSP或PHP等语言编写,可以提供攻击者对受攻击服务器的完全控制权。攻击者可以利用WebShell执行各种恶意操作,如浏览文件系统、获取服务器信息、上传和下载文件、执行系统命令、修改和删除文件等。
认识威胁情报系统
weixin_34095889的博客
05-06 211
认识威胁情报系统 OSSIM布道师  李晨光 
网络安全-webshell详解(原理、攻击、检测与防御)
热门推荐
关注网络安全、云原生安全
09-14 6万+
简介 原理 攻击 WebShell管理工具 Cknife中国菜刀 antSword中国蚁剑 冰蝎动态二进制加密网站管理客户端 weevely3Weaponized web shell Altmanthe cross platform webshell tool in .NET Webshell SniperManage your website via terminal quasibotcomplex webshell manager, quasi-http botne...
如何从海量数据中挖掘威胁情报
weixin_33696106的博客
09-06 483
本文讲的是 : 如何从海量数据中挖掘威胁情报? , 【IT168 编译】正如有些有见地的员工所指出,“威胁情报”是还没有明确定义的令人困惑的概念。如果你到处问问“什么是威胁情报?”,你会得到各种对解决方案和服务的描述,从恶意软件数据库到签名检测工具和IDS/IPS系统,再到现场咨询服务等。   然而,在乍看之下,这两个词一起看似乎立刻有了意义。“...
基于威胁情报的攻击组织画像与溯源
xumesang的专栏
01-27 1万+
原文:点击打开链接 一、溯源案例两则 (一)白象组织溯源​         首先,我们来看溯源白象事件[1]的整体过程。此事件的主要点在样本侧。因为安天在这方面有一定储备,在一千个样本中提取PDB开发路径,进而关注到“neeru”等一些有特殊意义的用户名,我们将其单独提出来,直接在Facebook等一些社交网站进行追踪,其中大部分是典型xx国人名,但人名也会有很多
开源情报订阅OpenTaxii+mysql+nginx 配置教程
weixin_33967071的博客
07-07 190
转自我的博客 安装过程中注意点 官方给出的service.yml配置文件中默认使用https作为请求方式,所以如果不能提供https服务的话,请注释掉 opentaxii默认安装是0.1.9,但是0.1.9有个关于格式的问题,所以,如果实际环境中发现无法push 和pull 数据,请使用0.1.8版本 经测试,opentaxii+mys...
Webshell安全分析实践:从威胁情报到事件响应
“藏经阁-‘从’到TI(威胁情报)‘到’IR(事件响应) — Webshell安全分析实践谈.pdf” 这篇文档是关于Webshell安全分析和事件响应的实践经验分享,由陈中祥,守望者实验室的创始人撰写。文档主要涵盖了以下几个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值