前言 刷到顺丰安全发表关于Velociraptor的文章,提到可以用它实现数据的查询,在应急的时候起很大作用,再加上刷到Velociraptor的一个ppt,笔者觉得挺不错,就来体验下。...后面发现是日志目录权限不足导致的,因此需要给这些目录配置好权限: sudo journalctl -u velociraptor_server -n 50 --no-pager...解析日志内容展示结果,尝试下发该工件: 得到结果,如果日志大的话就要等待一会: 既然体验Velociraptor的原因是因为在应急时有所帮助,那么可以设定这么一个场景: 现在已经发现/tmp/evil...audit日志的函数完成audit日志的解析,就像上面笔者说的,官方文档是真的少,就给个简单的方法名,连输出哪些字段也不知道,只能自己摸索。...hunter任务也不会再次hunter: 总结 本文通过对Velociraptor的初体验,发现Velociraptor是一个非常强大的工作,通过工件可以完成很多采集任务,在应急响应中可以起到很大的作用
所谓好的用户体验 由 Ghostzhang 发表于 2012-07-16 19:20 怎样的用户体验才是好的用户体验呢?...好像有点跑题了,这次的思考是:并不是所有关注用户感受的体验就叫做是“好”的用户体验。 从何而来这想法呢?...上面的唠叨是一个引子,结果就是"不能赚钱的交互不是好交互",简单的说就是好的交互可以赚钱,可是不好的用户体验也是能赚钱的。...但是从商家的角度来说,我们需要考虑几个因素,第一个就是成本,这个是直接决定了能给用户提供最佳体验的上限到哪,好的椅子意味着更高的成本;其次是投入产出比,开门做生意,不为赚钱是很少的,投入越多,意味着盈利周期可能越长...麦当劳的椅子虽然用户体验不是最好的,但却是这么多年来产品与体验最好的平衡,从而实现利润的最大化。 当你再次遇到这种问题时,就知道如何处之泰然了。(本届 年会 的主题)
提出论点 好的研究想法,兼顾摘果子和啃骨头。...两年前,曾看过刘知远老师的一篇文章《好的研究想法从哪里来》,直到现在印象依然很深刻,文中分析了摘低垂果实容易,但也容易撞车,啃骨头难,但也可能是个不错的选择。...学生年代,作为老师的一个不成器弟子,学术上没有什么建树,幸运的毕了业。现如今到了工业界摸爬滚打,虽然换了个环境,但是发现生存的道理没变。 反面例子 不好的工作想法会加剧“卷”的用户体验。...这样的工作体验确实很糟糕。 我的触发点 沿着你造梦的方向先动手干起来。一年前刚开始决定做攻击者画像的时候,其实心里有底也没底。...引用 好的研究想法从哪里来 杜跃进:数据安全治理的基本思路 来都来了。
文章前言 近期在处理一起应急事件时发现攻击者在WEB应用目录下上传了webshell,但是webshell似乎使用了某种加密混淆手法,无法直观的看到其中的木马连接密码,而客户非要让我们连接webshell...> 从上面我们可以看到输出的内容中有一串eval执行的内容,其中的变量正好是我们上面echo出来的内容,随后我们进行替换操作,替换后结果如下所示: 执行结果如下所示: 我去,好无情,竟然还来....,由上面可得到如下对标内容: echo $piaGCV.''; base64_decode echo $pZYgqf.'...> 内容证实为一句话木马,连接密码为q,随后我们使用菜刀连接源webshell,成功交差 文末小结 本篇文章的起源主要是因为客户的需求也是因为个人的好奇心驱动,其中主要介绍了对应急响应过程中编码混淆的webshell...进行层层解码获取webshell连接密码的过程,之前曾写过的webshell免杀实践文章中主要的免杀思路在于借助PHP语言的特性以及函数来实现,感觉后面可以深入再分析一下关于PHP源码混淆加密处理在webshell
什么是应急响应? 通常来说,应急响应泛指安全技术人员在遇到突发事件后所采取的措施和行为。而突发事件则是指影响一个系统正常工作的情况。...多数企业都建立了应急响应的独立团队,通常称为计算机安全应急响应小组(Computer Security Incident Response Team,CSIRT),以响应计算机安全事件。...应急响应涉及多门学科,要求多种能力:通常要求从公司的不同部分获取资源。...人力资源部人员、法律顾问、技术专家、安全专家、公共安全官员、商业管理人员、最终用户、技术支持人员和其他涉及计算机安全应急响应的人员。当然这些人员大部分是兼职的,需要在应急响应工作中进行配合。...编者按:本文作者Sean Mason为思科公司事件应急响应服务部门主管,负责组织该公司内部事件响应实践3年多时间,本文由其作为博文发布在思科官网中。
,但是对于被钓鱼的终端,我们却很难进行有效排查,因此写这篇文章分享一下自己对于windows操作系统应急响应的一些看......作者:凝 前言 对于linux而言,除了rootkit,大部分的后门均可以使用工具快速排查,但是对于被钓鱼的终端,我们却很难进行有效排查,因此写这篇文章分享一下自己对于windows操作系统应急响应的一些看法和心得...首先说钓鱼,钓鱼无异于是进入内网最便捷有效的一种方式 一般来说,一个合格的木马是具备权限维持的一些功能,即添加计划任务或者自启动等等,这也为我们的应急响应增添了不少的难度 实验木马: cs的免杀马+添加自启动...我们运行改exe程序-->弹框 同时cs上线 接下来我们假装什么都不知道,对该电脑进行应急响应 任务资源管理器 我们先说传统的一些套路,通过任务资源管理器查看 可以看到,在我们不进行操作的情况下,我们的恶意...以上也是个人在实际被钓鱼下的应急响应中不断思考形成的自己的一些应急思路,希望能给各位一些帮助
网络安全应急响应的回顾与展望 一.什么是应急响应? 二.网络安全应急响应的启发 三.应急响应在安全保障整体工作中的作用 四.应急响应事件处理的一般阶段 五.安全应急响应的展望 ?...程序运行的效果非常好,其实是太好了以致莫里斯自己很快无法控制,出现了恐慌。...2001 CodeRed 红色代码——中国互联网安全应急预案以及应急响应体系 2001年的CodeRed红色代码事件促进了我国安全应急预案以及应急响应体系产生 红色代码 是2001年7月15日在互联网上观察到的一种电脑蠕虫...如果你有100万两黄金,有两个人地方你可以去放,一个是在沙哈拉沙漠,一个是在人民广场的箱子里,你会选择放在哪里呢?...,拿到我们的Shell,作为对应的安全人员,应有效制定出对应的应急响应流程,做到事件之前的防护,事件之中的检测,以及检测到以后的响应和恢复。
DFIRTriage描述 DFIRTriage这款工具旨在为安全事件应急响应人员快速提供目标主机的相关数据。...该工具在运行过程中,将会自动化执行各种命令,获取到的数据将存储在工具执行目录的根目录下。除此之外,DFIRTriage还可以直接从USB驱动器中运行,也可以通过远程Shell来在目标主机上运行。...; 2、搜索工具为独立的可执行文件-dtfind.exe; 3、双击即可运行 依赖环境 工具库包含正确执行所需的完整工具集,并打包到一个名为“core.ir”的单个文件中。...在Python中运行时,此“.ir”文件是DFIRtriage唯一必需的依赖项,位于名为data的目录中(即“/data/core.ir”)。...DFIRtriage的编译版本嵌入了完整的工具集,不需要添加“./data/core.ir”文件。注:不再使用TZWorks实用程序。
按理说我们这时候应该列出各种图表和操作命令系统截图,来溯源整个入侵的过程,辅助大家理解整个事件的前因后果。这也是“糖果的实验室”公众号,第二次写应急。...还有另一种纯工具实用主义类的介绍性文章,这里有大量的代码和对应的工具介绍,然而这种文章的回应也寥寥无几,一般都是好顶赞。但是还是要特别感谢朋友们的支持,默默的点击收藏的数量应该不是假的。...就算这种场合,也有会在评论里说,他们不关心娱乐,说这口才不适合做什么什么的应该去说相声, 对看文章找错别字的朋友,只能不好意思了。 接着主题说,问题既然这么发生了,接下来如何应急呢?...针对这一点,响应的一个办法就是将所有境外中国以外的服务请求全部关闭掉。 很明显,这个业务是一个地域性很强中文业务。不提供境外支付方式进行交易。大面积的订单都是在中国境内完成。...而业务,自己搭建的防护系统。其实相对更有针对性。因为业务指导自己的薄弱环节在哪里?担心自己哪里可能存在问题。这种问题是定制化的,不一定是通用的防护。系统可以解决的。 如果下次再有类似的入侵。
0X2 病毒查杀 定位到可能存在恶意软件的主机后,首先先使用杀毒软件或者 EDR 工具进行全盘扫描查杀一些简单常见热门的病毒一般都被收录在热门的特征库里面,扫描出来就可以以最小的时间成本识别与解决恶意文件...根据一些杀毒软件的报警就可以标识出恶意软件的类型与名字,如下图 为此一个兰塞姆(勒索)类型的Wannacry(想哭)家族的病毒样本,对于此类情况往往可以直接一键处理较为简单。 ?...通过此图可以发现 mssecsvc.exe 对大量随机的外网IP 的445 端口进行SYN 包的探测,这是Wannacry 病毒的传播过程。...对于一些其他的通信过程流量,我们往往需要通过其他方式来识别,这里推荐的Wireshark 的抓包工具进行抓包识别恶意流量,以下为Nmap的的端口扫描的数据包。 ?...\servicecrsssr.vbs的启动项,就是病毒的自己添加的,定位到路径后直接删除。
应急响应通用方法 查看日志 通过cmd输入eventvwr.msc打开事件查看器 在%SystemRoot%\System32\Winevt\Logs\位置存放着日志文件 常见的事件ID 安全日志...\..\ 内存马 简介:随着攻防演练热度越来越高,攻防双方的博弈,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshell或以文件形式驻留的后门越来越容易被检测到,内存马使用越来越多...base64编码后的结果 冰蝎3.0 快速识别特征方式 1、Accept字段 冰蝎中使用的Accept字段与常规浏览器使用的不同,且每次请求使用的Accept内容都相同 2、长连接 冰蝎通讯默认使用长连接...,避免了频繁的握手造成的资源开销。...默认情况下,请求头和响应头里会带有 Connection: Keep-Alive 3、较长的base64编码的请求包 在加密通讯时,p/jsp shell 会提交base64编码后的请求数据 哥斯拉
Modify:最后一次修改文件内容的时间 Access:最后一次访问文件内容的时间 Change:最后一次文件属性变化的时间 modify修改和change变化的区别是,修改侧重人为修改(用户控制),变化侧重客观变化...改变atime的命令: 改变mtime的命令(管道符改变mtime时不改变atime) vim(查看)、cat grep、sed、awk less、more 改变ctime的命令: 改变mtime的命令...查看方式是: 查看全部时间:选中文件,单击鼠标右键,选择属性 查看修改时间:dir 文件名 /t:w 查看访问时间:dir 文件名 /t:a 查看创建时间:dir 文件名 /t:c 文件时间在应急响应中的作用...文件时间的可信度? 01 攻击者为什么要篡改文件时间? 干扰防守方应急 02 往前改还是往后改?...往前改到入侵开始前的时间,日志量变大可以拖慢防守方的排查效率,如果历史日志被覆盖了还可以影响防守方的排查思路。 往后改到入侵结束后的时间,由于日志没有入侵痕迹从而可以切断防守方的应急线索。
针对蓝队的一些Linux应急响应的一些常规的命令以及一些思路总结一下分享给大家,内容稍长,可以收藏以备不时之需。...查看Linux中占用资源情况(必须是大写的cpu) top -c -o %CPU -c 显示进程的命令行 -p 显示进程的pid cpu占用前5的信息 ps -eo pid,ppid,%mem,%cpu...,cmd --sort=-%cpu | head -n 5 查看网络通信的情况 lsof -i -PnR 寻找pid对应的进程 ps aux | grep [pid] 查看进程打开的文件 lsof...INPUT/OUTPUT -s/d [目标ip] -j ACCEPT/DROP //封闭119.1地址对本机的访问 iptable -L //查看设置的所有规则内容 iptable -F...ls -al /tmp | grep "Feb 10" 敏感目录 /tmp /root /bin /usr/bin /usr/sbin /sbin 被入侵的系统,肯定有文件被改动,通过比较文件的md5
在发现入侵事件时,基于入侵现象进行排查,结合日志进行关联分析,对未知情况作合理的猜测,还原攻击场景,找到漏洞根源,这是很重要的任务。...(2)排查异常进程 查看进程情况,在进程信息中找到了反弹shell命令的特征,base64解码后的通讯ip,与上面发现的一致。执行shell反弹的父进程位60753,该进程为java进程。 ?...(4)web日志分析 java进程所对应的是web应用程序,基于异常命令执行的时间节点,对相关web日志进行分析,确认入侵时间范围内是否存在可疑的行为。 ?...未发现异常的web访问行为,都只有访问网站首页的记录,那么它到底是如何入侵的呢? 合理的猜测:结合前面发现Java进程执行dnslog探测等行为,猜测可能存在框架组件存在远程命令执行漏洞。...(5)web框架组件 在web框架组件中,发现低版本的shiro组件,存在明显的远程命令执行漏洞。
三、文件排查 01、时间点排查 通过恶意程序的ctime确定攻击者的活动时间,并由此排查攻击者创建、修改、查看过的文件(PS:查看过的文件=使用过的命令),来排查其它异常文件和行为。...02、敏感目录排查 排查临时目录下的文件,未发现其它异常文件: 排查命令目录下的文件,未发现被恶意替换的命令: 03、特权文件排查 排查特殊权限的文件,未发现其它异常文件: 四、文件分析 使用沙箱分析攻击者上传的恶意程序...二、随时启用的后门排查 01、SSH账号 排查/etc/passwd和/etc/shadow文件,只有root一个UID是0的超级权限账户,只有root一个账户的shell是可以登录的/bin/bash...成功获得SSH服务root账户的密码。 备注:是我练习篡改ctime时把服务器时间改成2020-11-22的,详见:《应急响应中的文件时间:mtime、atime、ctime》。...同时为了练习应急把SSH设成弱口令,结果忘了把服务器时间改回来就被入侵了。 通过查看相关恶意进程的启动时间,可以知道真实入侵时间是在2023-11-22 10:38:38前后。
Atlassian 上有一些优秀的文档很好地解释了这些概念。 简单来说: 应急角色可随着你响应团队的成长而帮助扩展应急规模。角色有助于分离职责,确保应急工作的各个方面都有专人值守。...我认为,指挥官和联络人是至关重要的——在没有足够培训的前提下增加粒度会扰乱应急工作,并削弱你的响应能力。...第三,使用高效率工具、创建应急文档 鉴于沟通交流在应急响应工作中的重要性,你需要一款高效率工具来传递即时消息并记录操作日志。...为了准备好这个通道,多花费一分钟的停机时间也是值得的。 我坚决反对私有应急响应频道。公司内部使用的公共通道可以提升信息访问的便捷性,从而加强你的响应能力。...这份列表缺失的内容还有很多,但你可以把它当作一个入门包,也可以作为经验丰富的人员在制定应急响应流程中关键环节时的一个参考。 只要记住:深吸一口气、关照好同事、批判系统而非人员、不要着急。祝大家好运!
在本文中,我们会详细介绍针对上述场景的应急响应方案。另外,这一威胁对信息安全策略和安全布局的颠覆,我们可以用一些简单的方法进行缓解。...事件响应 与大多数网络事件一样,你只需要加载备份和配置就能恢复你的基础设施。在这个事件当中,所有的服务器其实并没有受到损害。 在这些情况下,你有两件事要做: 第一,找回域名注册网站上的登陆凭证。...网站凭证是如何失窃的 在这期间,公司应急响应团队中有一部分人员负责恢复网络环境,另一部分人员开始分析凭证失窃的原因。...建立事件响应计划 你需要有一个针对这类事件的详尽的应对措施,咱们总会有用到的时候。...另外,大家需要注意的是,计划中需要包括: 域名注册商的紧急联系方式(联系人和电话号码) 提醒客户的另一个安全途径(非email) 同域名注册商建立常规应急通信流程(如模拟练习) * 参考来源:Linkedin
该脚本使用WMI来获取服务的ACL,并识别非管理员的DC、WD或WO权限。 这些权限中的任何一个都允许持有该权限的用户立即提升到localsystem。
2016 上一顿尝试,发现 Index 的值只有是 0 的时候才有隐藏效果 所以可以通过排查计划任务的注册表,找出所有 Index 为 0 的就可以了 这样检查难度就小很多了,但是如果将计划任务放在了很深的目录...,原来默认存在这么多 Index 为 0 的计划任务 当然这里也打印了我们的隐藏计划任务 test1 这里将 Windows Server 2016 默认的计划任务中 Index 为 0 的详细内容记录下来...计划任务执行效果 计划任务正常执行 这个细节之前的文章里没有写,这才是让应急响应人员头疼的部分 5....,查询不存在的 test5 的时候是找不到指定的文件 如果大家在测试的过程中没有注意细节,很可能与一些发现失之交臂 2. powershell Get-ScheduledTask | findstr "...再次重启计划任务服务 重启后计划任务就没了 如果看过上一篇文章的朋友肯定能知道这是为什么 《计划任务执行由谁决定 | Windows 应急响应》 0x08 总结 一场有意思的对抗 将这类隐藏大体按照以下分类
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。...工具介绍 xpoc是xray2.0系列的第一款工具,它是一款为提供应链漏洞扫描设计的快速应急响应工具 [快速应急] [漏洞扫描] [端口扫描];单文件二进制文件,无依赖,也无需安装,下载后直接使用。...工具特点 支持云端获取POC,可以以最快的速度进行响应紧急响应 使用xray yaml poc脚本格式,支持TCP/UDP协议的插件的编写和加载,并可以使用golang自定义插件实现功能增强 自定义golang...插件,支持更多种类的漏洞测试,支持加载工具插件等 漏洞扫描 向yaml脚注进入新功能 自我义贼虫 网页截图 ......查看所有云端的POC ./xpoc list -a 3. 批量扫描 ./xpoc < targets.txt cat targets.txt | ./xpoc .
领取专属 10元无门槛券
手把手带您无忧上云