概述 悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库，结合程序动静态分析方法对潜在风险的开源组件包进行分析和监测，捕获大量开源组件恶意包投毒攻击事件。2024 年 1 月份，悬镜供应链安全情报中心在 Npm 官方仓库（https://www.npmjs.com/）和 Pypi 官方仓库（https://pypi.org/）上共捕获 675 个不同版本的恶意投毒包，其中 Npm 仓库投毒占比

OpenSCA社区 发表于 北京 · 1404浏览 · 2024-02-29 07:53

一、前言 此篇是https://xz.aliyun.com/t/13810 文章的续篇，在海量流量中做威胁线索挖掘一定是需要自动化框架的，SURICATA是一个开源的网络入侵检测系统（IDS）和入侵防御系统（IPS），它可以捕获通讯流量并对其做协议解析，识别或防御通讯流量中可疑或恶意的行为。国内多数厂商基于流量的IDS的数据包捕获、协议解析、检测引擎等关键模块都是在此基础上做修改和扩展优化的。 我

qianlan 发表于 四川 · 7863浏览 · 2024-02-28 09:01

前言 记录一些流量分析的基础，帮助初学读者认识恶意数据包分析。全是生产环境经验需要全面叙述，所以有点啰嗦，不过个人感觉干货满满，若是不喜叙述性文字，可以直接跳转至后面具体案例的部分。 就我个人经验来说，我觉得流量分析有以下一些特点或者现象。 流量分析最重要的还是熟悉网络架构、协议及字段信息，毕竟流量就摆在那，也不用去做多么复杂的操作，常用协议也不多，特征见多了，就会越来越简单。 你要有自动化的思

qianlan 发表于 新加坡 · 7262浏览 · 2024-02-23 07:36

前言 近日3CX企业级电话管理系统供应商遭遇供应链攻击，国外各大安全厂商纷纷发布了相关的分析报告，这是一起非常严重的供应链攻击事件，涉及到很多安全层面的问题，根据3CX网站介绍，3CX在全球190+国家拥有超过60W的安装量超过1200万用户，同时3CX已任命知名网络安全公司Mandiant(已被Google收购，专业从事网络安全事件调查分析的网络安全公司)，对这起供应链攻击事件进行调查，前两天笔

熊猫正正 发表于 广东 · 819浏览 · 2024-02-12 07:42

前言 前段时间群里有兄弟发了两个0day漏洞的POC，如下所示： 一般这种POC是不会随便发出来的，不是葫芦娃，就是木马后门之类的。 趁今天休息，笔者简单看了看这个样本，攻击者在反溯源分析方面做了一点功课，可能是个钓鱼老手。 针对上面的钓鱼攻击样本，笔者画了一个简单的流程图，如下所示： 分析 1.解压POC包之后，如下所示： 2.打开解压缩后文件目录下的漏洞poc.py脚本，该poc.py代

熊猫正正 发表于 广东 · 832浏览 · 2024-02-11 07:28

前言 黑客组织最早在2020年左右就开始使用SocGholish框架发起攻击活动，该框架模拟多个浏览器(Chrome、FireFox)更新、Flash Player更新等网站，通过钓鱼、水坑、社会工程技术等攻击手法诱骗受害者访问网站，并点击下载更新脚本，安装各种恶意软件。 近日，笔者捕获到黑客组织利用SocGholish框架进行新一轮攻击活动，并对该攻击活动进行了详细分析。 攻击流程 攻击流程图，

熊猫正正 发表于 广东 · 741浏览 · 2024-02-11 07:16

概述 一年一度的活动结束了，各位红蓝队的兄弟们都辛苦了，活动虽然己经结束，但是真实的攻击从来没有停止过，安全意识要常态化，跟之前一样笔者及笔者团队今年仍然以协助其他团队进行样本的分析、溯源等相关工作，主要负责处理一些其他团队处置不过来的或者处理不了的复杂攻击样本，整个活动阶段一共分析处置了几十例“奇形怪状”的各种不同类型的攻击样本。 去年笔者在活动之后的随记中重点提到了笔者及笔者团队的沙箱工具，沙

熊猫正正 发表于 广东 · 1127浏览 · 2024-02-11 07:04

00X0前言 看完奇安信的2023年的APT报告后，发现APT组织常规的手段还是以钓鱼邮件为主。而我有幸作为跨国企业安全团队的一员，有幸参与到了在复杂域环境与跨地区情况下的安全运营人员的日常生活。因为笔者所处的企业经常受到钓鱼攻击，且企业的XX域监控和XX态势感知的检测报告当中，钓鱼攻击和挖矿病毒常常位于前列，这个时候钓鱼攻击的处理邮件的优先级就非常高了。 00X1钓鱼邮件浅析 通过阅读《奇安

面包and牛奶 发表于 上海 · 1852浏览 · 2024-02-09 06:03

在23年末，我加入了一家数据安全公司，经历了许多挑战。在脱离安服的马甲之后，短短一个月内接触到了Ga、网信办的检查项目，主要涉及数据安全和边界安全。本文将介绍实际检查需求及相应的解决方案。 一、概念介绍 我们先来聊聊什么是数据安全，什么又是边界安全，涵盖哪些内容，方便各位师傅们有一个大概的认知。 数据安全：通过采取必要措施，确保网络数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力

喝咖啡的羊驼 发表于 浙江 · 964浏览 · 2024-02-05 02:12

0x00 前言 本文详细的对此类远控软件目录信息特征的获取方法做了探究，希望可以帮助到有相关侦察&比赛需求的师傅，本文仅作学习使用，切莫用作非法 0x01 非默认路径如何找到文件夹 桌面存在图标 【右键】——【打开文件所在位置】——【打开log文件夹】 桌面不存在图标 【任务栏搜索向日葵】——【打开文件位置】——【打开log文件夹】 0x02 如何找到日志中的IP信息 环境介绍 远程控

d*湖 发表于 天津 · 2556浏览 · 2024-02-03 16:46

0X00前言 我们正步入云计算的时代，虚拟服务器和存储空间等资源，通常是通过编写部署脚本方式配置。虽然，这些资源几乎是随时可以启用的，但是在不再需要时删除它们并不那么容易。如果仅仅删除云资源，并没有删除所有可能指向配置的记录，无论是在配置文件还是在程序代码中，都会为攻击者提供相当便捷的"后门"。 0X01云占用攻击介绍 云安全的风险、威胁和挑战：风险是指数据丢失或弱点被攻击的可能性；威胁是一种

面包and牛奶 发表于 上海 · 942浏览 · 2024-02-02 10:38

背景介绍 在之前有接到领导临时安排的一个任务，要求部署一套可以置于互联网上的蜜罐环境，并且要求实现对本公司最新协同办公系统在野利用0day的捕获，同时也需要实现对在野利用Nday的态势感知和各类可疑攻击行为的捕获，之后通过对攻击行为分析确定协同办公系统存在的脆弱点并进行修复，从而全面提升协同办公系统的安全性 蜜罐介绍 蜜罐(Honeypot)是一个专门为攻击者量身定制且包含大量漏洞的系统，其目的是

Al1ex 发表于 四川 · 1673浏览 · 2024-01-23 13:45

应急响应之入侵排查 应急事件： web入侵：网页挂马、主页篡改、Webshell 系统入侵：病毒木马、勒索软件、远控后门 网络攻击：DDOS攻击、DNS劫持、ARP欺骗 Windows入侵排查： 检查系统账号安全： 1. 查看服务器是否存在可疑账号/新增账号 如果windows系统被入侵，我们首先要查看攻击者是否创建了账号进行了远程登录 打开 cmd 窗口，输入lusrmgr.msc命令，查

SpiritM0nK3y 发表于 亚太地区 · 2008浏览 · 2024-01-21 02:20

前言 钓鱼，搞攻防的师傅们，做红队的师傅们都知道，但是对于在企业实施演练，具体的各种细节，只有经历过一次，把坑踩过了，才知道一些注意事项，阿鑫分享一下大型企业钓鱼演练的一些总结和经验，希望下次有师傅做这个，能够看到阿鑫的文章，避免踩到坑 钓鱼准备 首先是我们攻击方，需要准备的东西，钓鱼的主题，服务器，域名，邮件服务器这三样东西，我们一个一个细说 关于钓鱼的主题，可能是钓账号密码，可能是是恶意附件钓

阿鑫鑫鑫鑫哥哥 发表于 四川 · 2245浏览 · 2024-01-20 06:17

linux基线排查 1.账号管理与认证授权 用户账号口令设置 awk -F: '($2==""){print$1}' /etc/shadow 检查是否存在空口令账号（$2表示第二个值 其实就是密码的值$1表示第一个值其实就是用户名） 有输出则存在，无输出则不存在 检查一下参数 vim /etc/login.defs PASS_MAX_DAYS 密码最长过期天数 参考值90 PASS_MI

Cabbage 发表于 广东 · 1229浏览 · 2024-01-17 03:45