应急响应
文章平均质量分 56
Sumarua
向之所欣,俯仰之间已为陈迹
展开
-
奇安信vpn存在未授权管理用户遍历及任意账号密码修改
奇安信vpn存在未授权管理用户遍历及任意账号密码修改,已复现原创 2023-06-07 14:42:33 · 795 阅读 · 0 评论 -
关于2022年3月APT-C-41伪装为WinRar.exe攻击的终端侧应急响应排查点
APT-C-41又被称为蓝色魔眼、StrongPity、Promethium,至少自2012年以来一直处于活跃状态。2022年3月,该组织伪装成常用压缩软件WinRAR.exe安装包进行情报刺探的攻击活动样本。本次攻击活动使用了水坑攻击。...原创 2022-07-15 15:27:29 · 1086 阅读 · 0 评论 -
利用蜜罐反制蓝队
第一天分配了目标和任务,登录攻击机,脚本自动收集信息,子域名、解析IP、github、信箱哗啦哗啦都出来了,注意到有个叫oldoa.xxx-inc.com的子域名,指向阿里云的ip,心头一喜,先拿这个入手,nmap一把梭,发现开了22、443、3306等常用端口。443的确是一个OA系统,前端代码看不出是什么框架,估计是是定做的,窃喜,这种系统漏洞一般比较多。22端口小小的爆破下,很快就找到有个低权限弱密码,ssh可以登录,但是发现shell怪怪的,各种不正常,心里一沉,要完蛋, 踩坑了,不会是蜜罐吧……全原创 2022-07-12 18:06:06 · 1326 阅读 · 0 评论 -
在应急响应过程中,有什么好的方法可以寻找某一日期创建的文件?
Q:在应急响应过程中,有什么好的方法可以寻找某一日期创建的文件?A:我会通过以下的方式来查找:原创 2022-07-12 17:26:14 · 1884 阅读 · 0 评论 -
木马病毒清除方式
紫狐(Purple Fox)Rootkit木马病毒,最早在2018年被网络安全人员发现,该恶意软件存在多种蠕虫化传播方式并使用驱动级维权方式,难清除是安全从业人员遇到最大的问题,在这里我们给大家提供一些入侵方式解读及清除方式。执行方式:清除方式:安全模式启动 因为恶意的dll为ring-3级别的,正常情况下相关的dll无法直接删除,需要重启以安全模式才能删除,直接重启,按F8进入安全模式。删除恶意的dll文件 直接搜一下相关的dll文件,其格式为MSxxxxxxapp.dll,其中xxxxxx原创 2022-07-11 20:12:09 · 3858 阅读 · 0 评论 -
事件4624是登录成功!?!真的如此吗?
当我们看到事件id为4624时,第一时间就会想到是攻击者登录成功了,但事实真的如此吗?让我们深入探究原创 2022-07-08 17:07:57 · 7029 阅读 · 1 评论 -
通过Github进行外部溯源
应急响应小妙招原创 2022-07-08 17:02:52 · 1580 阅读 · 0 评论 -
应急响应实施方案
应急响应实施方案文章目录应急响应实施方案1 准备阶段(Preparation)1.1.1 负责人准备内容1.1.2 技术人员准备内容1.1.3 场人员准备内容2. 检测阶段(Examination)1 准备阶段(Preparation)目标:在事件真正发生前为应急响应做好预备性的工作。角色:技术人员、市场人员。内容:根据不同角色准备不同的内容。输出:《准备工具清单》、《事件初步报告表》、《实施人员工作清单》[z1]1.1.1 负责人准备内容制定工作方案和计划;提供人员和物质原创 2021-10-24 21:59:47 · 5064 阅读 · 1 评论