作者:知道创宇404高级威胁情报团队 时间:2023年11月30日 1. 概述 参考资料 2023年11月,知道创宇404高级威胁情报团队成功捕获到海莲花组织最新的攻击样本。...由于该平台强大的功能及兼容性,许多APT组织也将CS列入自己的武器库中,在以往的APT32攻击活动中我们也经常发现其使用CS作为RAT程序。
1 概述 参考资料 APT-K-47,也被称为Mysterious Elephant,是知道创宇404高级威胁情报团队首先披露活动细节的APT组织。...据推测该组织发源于南亚地区,其攻击活动最早可追溯至2022年。...继2023年8月份披露了源自南亚的新兴APT组织APT-K-47的攻击工具ORPCBackdoor之后,知道创宇404高级威胁情报团队一直密切关注该组织的动向。...在另一台受害机器上,攻击者植入WalkerShell木马,该木马会遍历磁盘,并将攻击者感兴趣的文件回传至一个专用于存储文件的服务器。...,如图21所示: 图21 NimBo-C2项目 3 总结 参考资料 在本次分析中,我们发现了 APT-K-47 组织的攻击活动,这些活动与之前曝光的使用 ORPCBackdoor 的攻击存在明显的差异。
据The Register网站消息,微软已在本周推出两项新服务,让企业安全运营中心 (SOC) 更广泛地访问其每天收集的大量威胁情报。...微软致力于通过自己的产品和Azure云安全能力来保护企业系统,这很大程度上是处理大量的信号和威胁情报来实现。...微软负责安全合规、身份和管理的公司副总裁Vasu Jakkal在宣布新服务的博文中表示,得益于微软自身强有力平台搜集的大量情报及独特洞察力,企业不仅能从中获得关于威胁者活动、行为模式和目标的可靠预测,还可以映射他们的数字环境和基础设施...所有这些信息都会同步至供应商及其安全服务平台,包括其 Defender 以及 Azure 中的 Sentinel 安全信息和事件管理 (SIEM) 服务,并提供实时威胁检测。...随着去年的收购,RiskIQ的收集和安全情报技术也并入微软,通过检测威胁和可疑活动以及补救漏洞来保护企业的攻击面。
近日,腾讯安全威胁情报中心还披露了一项在节假日祝福邮件中携带APT攻击组织的攻击活动,详情可以参阅“APT攻击组织‘黑格莎(Higaisa)’攻击活动披露”。...在一次大型网络攻防演练活动中,为配合某大型企业输出攻防能力,腾讯安全依托威胁情报中心,成功阻断主动攻击3万余次,分析上报安全事件上千次,检测到新型网络武器攻击数十次,帮助客户成功抵御住攻方的网络攻击。...腾讯安全威胁情报提供的三大服务 腾讯安全通过大数据、人工智能等技术加持,依托海量安全数据,结合多年在黑灰产对抗经验,建立了一个强大的威胁情报生产平台,实时地产生各类情报,为各类用户提供最及时、准确、覆盖面全的威胁情报服务...基础威胁情报服务:为了给企业提供高质量威胁情报信息查询服务,腾讯安全推出了为在线环境客户使用的腾讯安知威胁情报云查服务,并且也为专网、内网等非互联网环境客户准备了可私有化部署的腾讯安知威胁情报平台,两款产品通过腾讯威胁情报来检测不同类型的攻击事件...威胁情报云查服务:依托腾讯安全近二十年在网络安全工作中积累的安全经验和大数据情报,为客户提供威胁情报(IoC)查询服务、IP/Domain/文件等信誉查询服务。
在此博客中,我们将分享审查代码库的过程,重点介绍一种特定的技术:使用 CodeQL 查询来大规模分析我们的源代码,并排除存在代码级别的危威胁情报(IoCs)和与 Solorigate 相关的代码模式。...为了保持我们对防御者知识的了解并加快社区对复杂威胁的响应的愿景,微软团队在此次事件期间公开透明地共享了威胁情报,详细的攻击分析和 MITER ATT&CK 技术,高级狩猎查询,事件响应指南以及风险评估工作簿...我们正在开源这些代码级威胁情报的多个 C# 查询,目前可以在 CodeQL GitHub 代码仓库中找到它们。...该仓库中的 Solorigate-Readme.md 包含每个查询的详细说明以及每个查询试图查找的代码级威胁情报。...我们使用 CodeQL 寻找代码级威胁情报的方法 在寻找代码级 Solorigate 威胁情报时,我们使用了两种不同的策略。一种方法是寻找在 Solorigate 代码级威胁情报中脱颖而出的特定语法。
北京时间11月30日,《IDC MarketScape:中国威胁情报安全服务(TISS)市场,2018厂商评估》报告正式发布,腾讯凭借腾讯云覆盖“云管端”的智慧安全体系,以及积累的海量大数据和庞大的黑色产业链情报库等优势...威胁情报及相关安全服务渐渐成为全球企业的刚需,更是成为衡量安全厂商能力的重要标准之一。 而在云时代,是否具备体系化的安全服务模式是提供高效、精准威胁情报安全服务的重要基础。...在报告中,IDC认为腾讯安全提供威胁情报安全服务的优势还在于: 腾讯云在全球拥有大量服务器,每天都经受着各种海量的网络扫描、攻击,腾讯在对各种攻击进行防护的同时将相关数据反哺到威胁情报中,令客户能及时享受到更强的防护能力...目前已基本实现了情报数据与自有安全产品的联动配合,腾讯安全威胁情报服务已融入于腾讯整体安全解决方案中,支持云镜、网站管家、御点、御见、御界等产品,以应对云场景和办公场景不断变化的安全形势需要。...同时,经过威胁情报的加持,腾讯安全的产品能够实现威胁生命周期服务体系,更好地为企业安全产品提升检测能力。 关注腾讯云安全 获取更多资讯 ? 长按二维码关注
战略情报来自更为长期项目的趋势分析,常常采用了例如DBIR和CRS(国会研究服务)的报告形式。战略情报帮助决策者洞悉哪种威胁对业务及公司未来产生最大影响,以及他们应当采取何种措施缓解这些威胁。...你通过哪些IoC发现异常活动?Herman Statman的威胁情报列表为查询战术情报提供了详实的资料。...我曾听人这么说,“新闻才不是情报”,这的确是真的;然而,当需要对你的特定机构、网络或者活动进行分析时,公共领域新闻就成了威胁情报。...你从网络中收集的战略层信息并进行基于网络日常活动进行的分析都归属为威胁形势研究。你以及公共领域信息的动态情报都可以服务于威胁形势研究。...这里列出了一些比较有用的资源,可以帮你了解那些常见的威胁情报模型。 不同的模型可以为不同的目的服务。SWOT方法更适合于实施更高级别的分析,通过与对手的比较发现自身存在的优势和不足。
TDP:TDP和HFish同出一家,TDP是流量分析系统,同时提供HFish的接入功能,在HFish相对早期的版本,我们将HFish接入到TDP系统,尝试让HFish威胁日志接入数据库集群,并在某些安全活动使用...接入蜜罐日志后,并不将威胁日志中的IP与威胁情报进行关联,与威胁情报的关联,是在接入日志之前就完成了,所以需要在HFish中接入IP信誉库API。...图片 IP信誉库:在实践的过程中,蜜罐系统与HIDS系统,在判定IP的威胁时,用了同一套IP信誉库,与TDP不同的是, TDP有本地的威胁情报库,会远程下拉同步威胁情报,所以也没有查询上限的限制, 而其他系统需要通过...HFish可以与SIP、X社区的联动,使用社区的威胁情报查询Key,进行威胁溯源,还可以与自家的流量威胁检测服务产品TDP进行联动。...图片 HFish支持分布式部署管理,支持与X社区联动,取威胁情报,支持与TDP流理分析平联动,关联攻击IP在内网的所有威胁事件,全流量网络连接分析,这些特性是别的单体蜜罐做不到的,提供的服务要比一般的蜜罐
TDP:TDP和HFish同出一家,TDP是流量分析系统,同时提供HFish的接入功能,在HFish相对早期的版本,我们将HFish接入到TDP系统,尝试让HFish威胁日志接入数据库集群,并在某些安全活动使用...IP信誉库:在实践的过程中,蜜罐系统与HIDS系统,在判定IP的威胁时,用了同一套IP信誉库,与TDP不同的是, TDP有本地的威胁情报库,会远程下拉同步威胁情报,所以也没有查询上限的限制, 而其他系统需要通过...HFish可以与SIP、X社区的联动,使用社区的威胁情报查询Key,进行威胁溯源,还可以与自家的流量威胁检测服务产品TDP进行联动。...添加X社区的威胁查询APIKey与IP信誉库进行关联。 申请的API有又上的权限。 大屏幕与TDP的4种视角不同,只有一种模式,但是看着还是很直观的。...HFish支持分布式部署管理,支持与X社区联动,取威胁情报,支持与TDP流理分析平联动,关联攻击IP在内网的所有威胁事件,全流量网络连接分析,这些特性是别的单体蜜罐做不到的,提供的服务要比一般的蜜罐,不能与威胁情报联动
图片使用事件查询语言,也称为EQL。您可以基于威胁情报搜索你环境中的恶意活动、在此视频中,您将学习如何获取威胁情报报告并搜索攻击行为,任何级别的分析师可通过elastic security实现此目标。...视频内容使用事件查询语言也称为EQL您可以基于威胁情报搜索你环境中的恶意活动在此视频中,您将学习如何获取威胁情报报告并搜索攻击行为任何分析师级别都可通过elastic security实现整个数据集可在...,武装每一位分析师我们将EQL查询放在我们的帖子和报告中为社区提供可操作的威胁情报以供使用你可以很容易地复制这个区块并将其粘贴到弹性安全中的关联时间线中并提供可操作的价值无论您是否接触过此操作我们在这里深入研究的例子来自我们的博客文章提供对...your first event correlation rule'和在Training.elastic.co的免费部分运行此查询后呈现的事件将返回结果显示受感染的主机名用户、事件的时间戳、进行调用的进程并以时间线格式提供分析器视图以了解更多详细信息回到威胁情报报告我们可以看到另一个入侵指标这次是以恶意...,因为它用到了sequencesEQL中的sequences允许您想象一系列有序的事件在此查询中,我们要搜索Rundll32.exe启动后建立网络连接并使用cidnmtch字段过滤连接到私有IP地址的那些事件此查询功能强大因为它与威胁情报报告中的行为相匹配但并不依赖于入侵指标一旦验证并提交了查询事件呈现器返回结果采用与前面示例类似的格式从这里
活动背景 据Gartner定义,威胁情报是指已出现或新的资产威胁和危险的、基于证据的信息,包括情景、机制、指标、影响和可行建议,可用来通知企业针对相关威胁或危险做出决策。...一、准入活动的成员身份 1、企业内部安全从业人员 2、企业外部安全服务人员 二、成员权益 获准参与活动的成员,如活动成员(“您”)获得准入并参与活动,活动期间可获得以下权益: 1、威胁信息资讯; 2...、可申请获得资产暴露面发现与漏洞检测能力; 3、活动期间,您可获得高级威胁追溯系统使用权限(其中,企业内部安全从业人员每日最高可查询200次,企业外部安全服务人员每日最高可查询10次); 4、您可获取其他活动成员共享且经主办方复核的威胁信息...2)随积分增加,可自动增加高级威胁追溯系统使用次数 活动期间,活动成员的积分每积50分,该活动成员高级威胁追溯系统账户每日查询次数将自动增加10次,后台自动升级权限。...4、不得提交或公布被攻击目标及具体的系统漏洞; 5、不得公布他人或产品、服务的具体的漏洞风险; 6、不得在活动群内公开恶意样本文件; 7、不得通过非法方式获取威胁信息或是公布来源违法的威胁信息; 8、不得擅自向除主办方外的人员公布威胁信息或是活动群内的任何信息
溯源信息收集 威胁情报信息收集 通过微步情报中心分析得出是未知安全,估计是没来得及做更新,于是换其他情报中心测试。 果然,通过其他情报中心验证,此IP存在恶意攻击行为。...IP反查域名 在前面威胁情报收集之后,该IP是阿里云的一台云服务器,推测应该属于个人的服务器,于是对IP反查绑定的域名,若存在域名,便可以查询域名备案信息,从而溯源到攻击者。...身份信息追踪 获得IP绑定的域名之后,需要查询域名注册的个人信息,查询的方式有很多,比如聚名,笨米网,爱名网等域注册商处。...通过查询多个威胁信息平台,获得注册域名时留下的QQ邮箱(11xxx@qq.com)。 有了QQ邮箱即有了QQ号,就可以检索很多信息,于是进行检索得到了QQ绑定的手机号和微博。...个人身份信息包括但不限于:姓名、性别、出生日期、sfz、手机号、sfz家庭住址、sfz所在公安局、快递收货地址、大致活动范围、银行卡号、支付宝、学历、毕业院校、照片、伴侣、公司、钉钉、飞书等。
在营销活动中,一般活动规则会限制同设备同账号只能参加一次。通过设备指纹技术可以做快速识别是设备上是否绑定多个账号,同一个账号是否在多个设备上登录等。 识别渠道作弊。...业务安全情报的六大功能模块 近日,顶象防御云业务安全情报上线了首个“恶意设备指纹”查询库,只需要输入设备指纹信息,就可以查询该设备的操作系统、设备型号、访问时间、IP地址、来源乃至Token信息。...想体验的用户,只需要登录顶象防御云,点击左侧“设备指纹-设备信息查询”,即可使用。 “恶意设备指纹”查询库是顶象防御云业务安全情报“设备风险核验”模块重要组成部分。...除设备风险核验外,还有行业情报、IP风险核验、电诈风险核验、涉赌涉诈核验、交易风险核验等服务模块。 行业风险情报。...,为安全人员提供及时、准确、有效的情报内容,帮助安全人员系统掌握业务安全态势、威胁路径、影响范围等,分析挖掘出攻击特征、潜在隐患,从而及时有效提升安全应急响应能力,制定科学有效的防控策略。
2、腾讯SOC+安全运营体系,构建响应闭环“安全攻防”最佳效果黄羽:面对指数级增长的威胁和告警,腾讯安全推出SOC+安全运营体系,强调以威胁情报运营和攻防对抗为基础,构建起“情报-攻防-服务-生态”的闭环安全运营体系...针对这一问题,腾讯安全威胁情报中心集成TIX-情报查询社区、TIX-ASM(攻击面管理情报)、TIX-SDK/API(情报原子能力)、TIX-TIP(威胁情报平台)四大产品矩阵,能够基于四大场景为安全运营提质增效...2、腾讯SOC+安全运营体系,构建响应闭环“安全攻防”最佳效果黄羽:面对指数级增长的威胁和告警,腾讯安全推出SOC+安全运营体系,强调以威胁情报运营和攻防对抗为基础,构建起“情报-攻防-服务-生态”的闭环安全运营体系...针对这一问题,腾讯安全威胁情报中心集成TIX-情报查询社区、TIX-ASM(攻击面管理情报)、TIX-SDK/API(情报原子能力)、TIX-TIP(威胁情报平台)四大产品矩阵,能够基于四大场景为安全运营提质增效...针对这一问题,腾讯安全威胁情报中心集成TIX-情报查询社区、TIX-ASM(攻击面管理情报)、TIX-SDK/API(情报原子能力)、TIX-TIP(威胁情报平台)四大产品矩阵,能够基于四大场景为安全运营提质增效
“互联网 +”这种新生态能够为用户提供更加灵活、便利和高价值的服务。...从人才和资本建设这两方面看成长均较为迅速,今年年初前腾讯安全技术专家邓欣加入威胁猎人担任CTO,从战略高度对技术进行规划,打磨好现有的情报服务。...二、产品能力及服务 TH-Karma业务情报监测平台,能够最大程度地满足客户在业务安全防护越来越复杂的大背景下的风控需求。...活动安全: 主要针对企业发起的拉新、营销活动等业务环节,会引来羊毛党的攻击造成营销费用的损失。常见风险类型:优惠获取、抢购秒杀、红包外挂等风险。 支付安全: 主要针对涉及资金交易等业务环节。...业务情报查询接口: 支持手机号风险、IP风险、风险接口、舆情关键词、黑产工具查询,如及时了解攻击源IP的基本信息及IP黑产画像、手机号参与的相关黑产项目情报,用于安全事件回溯。
类似FTP、Telnet等高交互蜜罐,不只是开放各种协议服务的端口监听,还真实的模拟的服务用户的交互逻辑,当攻击者访问蜜罐仿真的服务,蜜罐系统会像真的用户访问FTP、Telnet服务一样, 响应用户的操作...TDP:TDP和HFish同出一家,TDP是流量分析系统,同时提供HFish的接入功能,在HFish相对早期的版本,我们将HFish接入到TDP系统,尝试让HFish威胁日志接入数据库集群,并在某些安全活动使用...接入蜜罐日志后,并不将威胁日志中的IP与威胁情报进行关联,与威胁情报的关联,是在接入日志之前就完成了,所以需要在HFish中接入IP信誉库API。...IP信誉库:在实践的过程中,蜜罐系统与HIDS系统,在判定IP的威胁时,用了同一套IP信誉库,与TDP不同的是, TDP有本地的威胁情报库,会远程下拉同步威胁情报,所以也没有查询上限的限制, 而其他系统需要通过...API来完成IP研判工作,没有本地的威胁情报库,有API每天的调用上限次数限制。
4 月初,Infoblox 专家在6个存在异常 DNS 信标活动的域中发现了DecoyDog,这些域充当该恶意软件的命令和控制 (C2) 服务器: cbox4[.]ignorelist[.]com claudfront...Infoblox 威胁情报主管 Renée Burton 透露,目前DecoyDog 域名服务器、控制器和域的数量已超过20个。...Infoblox发现其中一些服务器只有通过俄罗斯 IP 地址DNS 查询时才会响应,而其他服务器则会响应来自任何地点的任何格式良好的查询。...尽管 Infoblox 得到了信息安全社区(来自主要英特尔供应商、政府机构、威胁研究小组和金融组织)的支持,但该恶意软件的检测结果或其全部范围尚未公开披露。...Infoblox 建议防御者注意,Decoy Dog 和 Pupy 中的 IP 地址代表加密数据,而不是用于通信的真实地址,并关注 DNS 查询和响应,因为它们可以帮助跟踪恶意软件活动。
包括威胁因素、威胁活动、威胁属性等,STIX信息可以直观地展示给分析师或者以JSON形式存储以便快速地进行机器读取 STIX的适用场景包括以下四种: 威胁分析:包括威胁的判断、分析、调查、保留记录等 威胁情报分享...TAXII客户端服务器需求集,以及如下两种主要服务来支持多种通用共享模型 汇聚服务(Collections):由TAXII服务器作为情报中心汇聚威胁情报,TAXII客户端和服务器以请求-响应模型交换信息...,多个客户端可以向同一服务器请求威胁情报信息 通道服务(Channels):由TAXII服务器作为通道,TAXII客户端之间以发布-订阅模型交换信息,通道服务允许一个情报源将数据推送给多个情报用户同时每个情报用户可接收到多个情报源发送的数据...汇聚服务和通道服务可以用不同的方式进行组织,比如:可以将两种服务组合在一起来支持某一可信组的需求,通过这两种服务TAXII可支持所有广泛使用的威胁情报共享模型,包括辐射型(hub-and-spoke)...IP/DNS/URL等信息、安全攻击事件信息、恶意代码活动及特征信息、僵尸网络活动信息、0day/nday漏洞信息、黑客及其组织的TTP(策略技术和过程)信息等方面 轻量型威胁情报共享利用框架将威胁情报信息统一采用
威胁情报在国内已经火了几年,威胁情报怎么用,具体的使用场景是什么,这方面的话题似乎较少。下面想根据个人所知,谈谈这方面,不完善准确的地方也请大家指正。 有些时候情报和威胁情报很容易被划等号,其实不然。...失陷检测情报,即攻击者控制被害主机所使用的远程命令与控制服务器情报。...这类情报基本上都会提供危害等级、攻击团伙、恶意家族等更丰富的上下文信息,来帮助确定事件优先级并指导后续安全响应活动。...IP情报是有关访问互联网服务器的IP主机相关属性的信息集合,许多属性是可以帮助服务器防护场景进行攻击防御或者报警确认、优先级排序工作的。...第一类活动属于事件响应活动的一部分,第二类活动更是有一个高大上的名字“安全狩猎”。 事件响应活动中的安全分析需要本地的日志、流量和终端信息,需要企业有关的资产情报信息,也需要运营级威胁情报。
背景 APT-C-01组织是一个长期针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动的APT团伙,其最早的攻击活动可以追溯到2007年,360威胁情报中心对该团伙的活动一直保持着持续的跟踪...360威胁情报中心对日常的在野恶意代码跟踪流程中发现疑似针对性的APT攻击样本,通过对恶意代码的深入分析,利用威胁情报中心数据平台,确认其与内部长期跟踪的APT-C-01团伙存在关联,并且结合威胁情报数据挖掘到了该团伙更多的定向攻击活动...结合360威胁情报平台对C&C域名进行关联分析。...但从本次攻击活动的分析我们也可以发现对于攻击团伙和其拥有的资源丰富程度,其通常并非拥有无限的控制基础设施资源,所以当持续积累了足够的基础设施相关数据,并结合威胁情报的持续运营,往往可以将看似独立的事件关联到一起并确定指向...目前,基于360威胁情报中心的威胁情报数据的全线产品,包括360威胁情报平台(TIP)、天眼高级威胁检测系统、360 NGSOC等,都已经支持对此APT攻击团伙攻击活动的检测。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
