翻译：https://www.elastic.co/security-labs/invisible-miners-unveiling-ghostengine Elastic Security Labs 发现了 REF4578，这是一个包含多个恶意模块的入侵集，利用易受攻击的驱动程序来禁用已知的安全解决方案 (EDR)，以进行加密挖矿。 序言 Elastic Security Labs 发现了一个

七*r 发表于 河北 · 2849浏览 · 2024-05-31 10:15

此次Linux应急响应文章主要给大家分享一下具体流程和步骤，以及实际操作起来的流程和踩过的坑，可能大家知道这么操作但是习惯性的遗忘。思路需要，但是思路有实际操作却跟不上思路这不亚于纸上谈兵。如果文章有说的不对或者不够完整的希望大家补充。 目标信息情况 当我们去甲方客户现场做应急响应时，啥也没有，首先要了解目标主机网站部署结构，比如说中间件是否是apache，语言是否是PHP，网站性质是否是CMS还

bcloud 发表于 四川 · 3132浏览 · 2024-05-22 01:56

一、前言 前些天有位师傅在后台私信我，关于通讯流量下资产识别的一些问题，此前有做过相关技术实现，所以交流了不少，后续也整理记录了这篇文章，还是比较有意义。 这次交流让我想起此前的一次流量威胁挖掘分析类业务，发现内网中有一个资产在对整个内网做探测，存活检测、端口和服务识别等，并且匹配到了Nmap的部分字段长度特征，起初以为是内网横向渗透，但经过简单研判，发现是发起扫描的实体是友商的安全设备，将Nma

qianlan 发表于 北京 · 1488浏览 · 2024-05-19 09:58

翻译：https://www.csoonline.com/article/518296/what-is-iam-identity-and-access-management-explained.html 0X00 前言 什么是IAM?答：IAM是一组用于控制用户访问组织内关键信息的流程、政策和工具。 IAM，即身份与访问管理(Identity and Access Management)，是确保

面包and牛奶 发表于 澳大利亚 · 685浏览 · 2024-05-19 08:01

翻译：https://blog.sekoia.io/tycoon-2fa-an-in-depth-analysis-of-the-latest-version-of-the-aitm-phishing-kit/ 0X00 前言 为了增强我们的威胁情报、改善检测能力并识别新的威胁，Sekoia分析师持续进行威胁狩猎，以应对影响我们客户的主要威胁。为此，我们主动搜索并识别新出现的威胁，利用我们的遥测

面包and牛奶 发表于 山东 · 781浏览 · 2024-05-15 14:32

此文章是作为从勒索病毒的角度来进行应急响应，目前勒索病毒很多，并且有许多家族把勒索病毒进行打包售卖，只需通过简单的几步操作就可以让一个略懂皮毛的黑客就可以实施勒索操作，所以勒索的成本很低，也是目前危害最高的安全事件之一。 勒索病毒99%是无法解密的，常见的状态为加后缀，对于不是最新勒索病毒互联网上一般都会有分析文章，告诉它是通过什么入侵传播的。 此片文章主要以windows应急响应为主来简单讲解一

bcloud 发表于 四川 · 1805浏览 · 2024-05-15 14:11

0X00 前言 在线管理财务变得非常方便。通过手机上的几次点击和轻触，我们可以在几秒钟内检查余额、转账，甚至支付账单。但是，安全性是否跟上了这种便利？答案是否定的，一项由IBM公司进行的最新研究显示， 2023年全球数据泄露的平均成本为445万美元，三年内增长了15%。这些泄露可能会暴露敏感的财务数据并中断关键服务，造成重大损失和声誉损害。 随着金融机构将越来越多的操作委托给云计算，保护敏感客户

面包and牛奶 发表于 山东 · 1058浏览 · 2024-05-14 01:00

0X00 前言 在这篇文章中，笔者将会探讨检测Sliver C2攻击的方法，并列举出如何追踪那些利用Sliver框架实现目标的攻击者。笔者在论坛当中经常看见Sliver的教程，于是就写下了这篇文章。 Sliver框架作为一种高级的指挥与控制（C2）工具（如下图），为网络安全威胁行为者提供了不错的渗透工具，攻击者常用于管理和控制被感染的目标主机系统。C2工具的设计可以允许攻击者通过与目标系统在项目

面包and牛奶 发表于 山东 · 2158浏览 · 2024-05-14 01:00

在不久前做某企业的钓鱼邮件演练时，发现企业配置的是某云企业邮箱服务。因为企业不给我的邮箱域名开白名单，导致使用gophish自建的邮箱服务发送的邮件无法成功发送到目标邮箱中，甚至是垃圾箱都不配进，且gophish的代发功能存在bug。种种不顺之下，随手整出了一套轻量化的钓鱼演练方案：不需要在服务器上安装ewomail/postfix ，使用自建的简易接收端来代替gophish，通过swaks+邮件

n*o 发表于 浙江 · 2479浏览 · 2024-05-13 17:57

cobalt strike 是护网中红队比较常用的c2工具 在检测中发现cs后门 可以用以下这几种方式进行反制。 cs上线流程分析 攻击者利用CS Server生成新的Beacon监听（包括一对非对称公私钥）并生成Stager； 攻击者投递Stager到受控主机； 受控主机在Exploit阶段执行小巧的Stager； 受控主机根据Stager Url请求特征向Beacon Staging Se

vghost 发表于 江苏 · 1746浏览 · 2024-05-13 06:42

0X00前言 最近在学习应急响应，碰巧在网上阅读了《理解活动目录攻击》这篇文章，结合自己总结的蓝队手册进行验证，于是就有了如下文章。 0X01 Active Directory是什么？ 自从Microsoft Active Directory问世以来，它就在Windows网络环境中负责在所有网络节点上分派和施行安全策略。它使得用户能够在网络环境中访问多种多样的资源。随着云安全的发展，微软几年前

面包and牛奶 发表于 山东 · 671浏览 · 2024-05-13 01:31

Mysql蜜罐的利用 Mysql任意文件读取 mysql蜜罐通过搭建一个简单的mysql服务，如果攻击者对目标客户进行3306端口爆破，并且用navicat等工具连接蜜罐服务器，就可能被防守方读取本地文件，包括微信配置文件和谷歌历史记录等等，这样很容易被防守方溯源。 mysql中有一个load data local infile函数能够读取本地文件到mysql数据库中。 LOAD DATA IN

vghost 发表于 北京 · 2439浏览 · 2024-05-06 06:24

翻译：https://www.trustedsec.com/blog/okta-for-red-teamers 0X00前言 通过URL分享、邮件分享、脸书分享、推文分享、领英分享，长期以来，红队成员一直在宣扬"不要把域管理员作为评估的目标"，现在看来企业SOC已经在注意了。现在更有可能会看到针对组织的关键服务的目标，许多服务都托管在云上。 随着将部分安全负担委托给云服务的趋势，像Microso

面包and牛奶 发表于 日本 · 1391浏览 · 2024-05-06 04:43

概述 近日（2024年4月25号），悬镜供应链安全情报中心在Pypi官方仓库（https://pypi.org/ ）中捕获1起CStealer窃密后门投毒事件，投毒者连续发布6个不同版本的恶意Py包multiplerequests，目标针对windows平台python开发者，该恶意包在安装时会远程加载CStealer后门到受害者系统上执行，该后门会窃取受害者系统敏感信息、主流浏览器隐私数据、数字

OpenSCA社区 发表于 北京 · 431浏览 · 2024-04-30 08:50

翻译：https://medium.com/foxio/ja4t-tcp-fingerprinting-12fb7ce9cb5a 长话短说 JA4T/S/Scan 是 JA4+ 网络指纹识别工具系列的最新成员。 如何使用它阻止超过 60% 的互联网扫描流量 这些工具增加了对客户端和服务器操作系统、设备、特定应用程序、托管特征进行指纹识别的能力，甚至可以识别连接是否通过隧道、VPN 或代理。如

朝闻道 发表于 湖北 · 1652浏览 · 2024-04-26 06:25