笔者在最近的安全沙龙上,同僚们表现出对应急响应方法论的渴求。所以我想通过真实案例来讲一下应急响应周期建设,以起到抛砖引玉之效,给大佬们的工作带来参考价值。 ? 自建的一个应急响应周期模型: ?...一、预备阶段 这个阶段涉及安全红蓝对抗的蓝军安全建设,应用系统/基础设施加固,进行应急响应演练。...,该情况会对您的业务和华为云的服务产生影响,违反了《华为云用户协议》及相关的法律法规。...五、恢复 恢复操作常赋予基础设施和应用系统进行,对于资产能够快速恢复,同时更好的协调响应。...应急管理定义在事故过程中和事故之后应该做的事情。为响应紧急事件、保持操作连续性以及处理重要中断而需要采取的行动必需记录在案,并让操作员工能随时获取。
1、情况概述 该案例是前期应急处置的一起因安全问题导致的内网不稳定的情况。写下来,和大家一起讨论应急响应的一些思路及其中间遇到的一些坑,欢迎大牛指点、讨论。...情况是这样的:某用户发现在网络经常出现内网中断的情况,经其内部分析,初步判定可能为其在云上的一台虚拟服务器(Linux)异常导致,但是前期对这台虚拟主机进行常规的安全检查与数据包分析,并没有发现其有异常情况...但是考虑到用户的环境为云环境,其带宽、性能资源非常丰富,加上正常情况下,黑客入侵某一台服务器后,大都会进行内网渗透,内网渗透的话可以中间人、扫描等方式,如果人间人或者扫描的话很大可能会导致其内网不稳定。...4、应急响应不是渗透测试,需要根据现有的信息分析黑客是利用什么漏洞入侵的、入侵的IP、时间、并且入侵之后做了什么等。因此我们在应急响应时不要搞反主次,把应急响应当成渗透测试。...5、应急响应分析不仅仅局限于web这一块,系统这一块同样需要分析。如其账号、连接、进程、安装程序、自启动程序等。
腾讯云服务器的优势包括:高性能、稳定可靠、安全保障以及灵活扩展等具体内容如下:1.高性能: 通过采用先进的硬件配置,腾讯云服务器能够提供卓越的计算和存储性能,适应不同应用场景的需求。...4.灵活扩展: 用户可以根据实际的业务需求,随时对服务器进行升级或降级,优化资源配置,避免资源浪费。腾讯云服务器适用于包括但不限于:开发者、中小企业、学生以及对云计算感兴趣的个人用户等群体。...具体如下:1.开发者和企业: 腾讯云提供一系列服务,支持名种互联网使用场景,尤其适合于需要弹性web引擎、云数据存储、云数据库等服务的开发者和企业。...总之,在选择云服务器时,用户应考虑实际业务场景和需求,比如对于需要搭建集群或处理高并发、高10业务的场景,选择适用范围更广的云服务器可能更加合适,腾讯云也提供了原生运维部署工具,帮助用户高效安全管理业务应用...你在用腾讯云服务器嘛,点赞关注我或者留言帮您申请折扣优惠,在官网的基础上再打折
8月30号23点多,小程序更新了开发者工具,官方说法是: “ 为了让开发者更高效地开发和发布小程序,微信开发者工具全新改版上线,并新增测试系统、腾讯云工具、运维性能监控、小程序分阶段发布、WXS脚本语言等...界面确定比之前好看多了,但最吸引我的一点儿无非就是“免费”使用腾讯云,这个免费要加引号,截图如下: ?...需要设置域名,这时只提供注册新域名功能,这不坑人嘛?要重新买个域名,然后备案成功之后才可用,所以,不要真以为是免费的~ ?...域名已经配置成功,但是,未备案,还是没办法使用,接下来自己去备案去了~ 总结:腾讯云在小程序里面打着免费的嚎头,吸引用户在腾讯云上注册域名,并后续使用腾讯云的产品。...当然,如果你真有云服务的使用场景时,可能就会考虑一下腾讯云,毕竟相比阿里云服务,他确实算的上免费~
腾讯安全云鼎实验室一直致力于云安全技术研究,对安全生态的构建和优化以及全球信息安全的动向与发展有着自己独到的见解,此次也该非常荣幸地通过了Xcon的话题征集,受邀参与分享。 ?...随着云计算的大规模普及,公有云的应急响应趋势已逐渐"被动响应"发展为"主动感知"。一方面云计算的灵活性、可扩展性和性价比吸引了更多的企业上云。...另一方面云计算的网络开放,资源共享特性也给网络攻击提供了更为广阔的土壤。传统单点对抗的应急响应已无法满足云时代的复杂攻击形态和规模。 ?...8月20日9:30-10:30,腾讯安全云鼎实验室专家焦小博带你走进《云原生自动化应急响应》,结合云计算的特点和云安全领域多年的应急溯源实战经验,将云平台和事件的应急响应和取证相结合。...通过案例和数据了解公有云安全威胁和应急响应现状,呈现一个云原生背景下完全自动化的入侵溯源方案,帮助应急响应人员在最短时间内定位入侵途径、溯源取证和输出应急策略,并通过实际运营为大家展示验证其效果。
什么是应急响应? 通常来说,应急响应泛指安全技术人员在遇到突发事件后所采取的措施和行为。而突发事件则是指影响一个系统正常工作的情况。...多数企业都建立了应急响应的独立团队,通常称为计算机安全应急响应小组(Computer Security Incident Response Team,CSIRT),以响应计算机安全事件。...应急响应涉及多门学科,要求多种能力:通常要求从公司的不同部分获取资源。...人力资源部人员、法律顾问、技术专家、安全专家、公共安全官员、商业管理人员、最终用户、技术支持人员和其他涉及计算机安全应急响应的人员。当然这些人员大部分是兼职的,需要在应急响应工作中进行配合。...编者按:本文作者Sean Mason为思科公司事件应急响应服务部门主管,负责组织该公司内部事件响应实践3年多时间,本文由其作为博文发布在思科官网中。
网络安全应急响应的回顾与展望 一.什么是应急响应? 二.网络安全应急响应的启发 三.应急响应在安全保障整体工作中的作用 四.应急响应事件处理的一般阶段 五.安全应急响应的展望 ?...---- 一.什么是应急响应?...---- 二.网络安全应急响应的启发 1988 Moris - 第一个计算机应急响应组织出现 1988年11月,罗伯特·塔潘·莫里斯(Robert Tappan Morris,著名密码学家Robert...2001 CodeRed 红色代码——中国互联网安全应急预案以及应急响应体系 2001年的CodeRed红色代码事件促进了我国安全应急预案以及应急响应体系产生 红色代码 是2001年7月15日在互联网上观察到的一种电脑蠕虫...,拿到我们的Shell,作为对应的安全人员,应有效制定出对应的应急响应流程,做到事件之前的防护,事件之中的检测,以及检测到以后的响应和恢复。
很多用户在初次选择云服务器商家的时候,往往不知道怎么选择哪个云服务商好,因为国内云服务商众多,各有各的特点,但是目前选择腾讯云的用户越来越多了,我们就来说说为什么上云要首选阿里云。...云服务-760×90.jpg 全面 腾讯云 CVM 为您提供全面广泛的服务内容。 1.多地域多可用区:中国大陆地域覆盖华南、华东、华北、西南四个地域。...4.专业团队,可靠保障 云安全是由具备多年安全经验与历练的腾讯安全团队倾力打造,为云服务用户提供的专业安全服务,值得您的信赖。...如果您已注册腾讯云账户,您可以直接 登录 CVM 控制台 ,对您的 CVM 进行操作。...2.腾讯云 CVM 提供 API 体系,您可使用 API 便捷的将云服务器与您的内部监控、运营系统相结合,实现贴近业务需求、完全自动化的业务运维体系。
最近参加了Xcon2020安全技术峰会,趁热打铁跟大家聊聊云平台上的原生自动化应急响应。 随着云计算的大规模普及,公有云的应急响应趋势已逐渐从"被动响应"发展为"主动感知"。...如何在攻击前做好预防措施,攻击后快速有效的自动化溯源取证和风险收敛已经成为云时代应急响应技术的核心竞争力。 应急响应的发展 我认为近代应急响应的发展可分为两个时代:IDC时代和云时代。...应急响应的核心价值就是在安全事件突发时,快速有序的处理,最大限度的快速恢复业务和减少损失。因此响应和恢复速度将是云上应急响应的核心竞争力。...腾讯安全云鼎实验室结合多年的云上运营和实践经验设计出云原生自动化应急方案。...以上的就是本次要分享的云原生自动化应急响应方案,此方案通过与云平台基础设施相结合,利用大数据智能化分析和自动化手段有效的解决了应急响应中的三大难题。希望本次分享可以帮助大家做好云上的应急响应。
,但是对于被钓鱼的终端,我们却很难进行有效排查,因此写这篇文章分享一下自己对于windows操作系统应急响应的一些看......作者:凝 前言 对于linux而言,除了rootkit,大部分的后门均可以使用工具快速排查,但是对于被钓鱼的终端,我们却很难进行有效排查,因此写这篇文章分享一下自己对于windows操作系统应急响应的一些看法和心得...首先说钓鱼,钓鱼无异于是进入内网最便捷有效的一种方式 一般来说,一个合格的木马是具备权限维持的一些功能,即添加计划任务或者自启动等等,这也为我们的应急响应增添了不少的难度 实验木马: cs的免杀马+添加自启动...我们运行改exe程序-->弹框 同时cs上线 接下来我们假装什么都不知道,对该电脑进行应急响应 任务资源管理器 我们先说传统的一些套路,通过任务资源管理器查看 可以看到,在我们不进行操作的情况下,我们的恶意...以上也是个人在实际被钓鱼下的应急响应中不断思考形成的自己的一些应急思路,希望能给各位一些帮助
应急响应通用方法 查看日志 通过cmd输入eventvwr.msc打开事件查看器 在%SystemRoot%\System32\Winevt\Logs\位置存放着日志文件 常见的事件ID 安全日志...\..\ 内存马 简介:随着攻防演练热度越来越高,攻防双方的博弈,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshell或以文件形式驻留的后门越来越容易被检测到,内存马使用越来越多...base64编码后的结果 冰蝎3.0 快速识别特征方式 1、Accept字段 冰蝎中使用的Accept字段与常规浏览器使用的不同,且每次请求使用的Accept内容都相同 2、长连接 冰蝎通讯默认使用长连接...,避免了频繁的握手造成的资源开销。...默认情况下,请求头和响应头里会带有 Connection: Keep-Alive 3、较长的base64编码的请求包 在加密通讯时,p/jsp shell 会提交base64编码后的请求数据 哥斯拉
按理说我们这时候应该列出各种图表和操作命令系统截图,来溯源整个入侵的过程,辅助大家理解整个事件的前因后果。这也是“糖果的实验室”公众号,第二次写应急。...就算这种场合,也有会在评论里说,他们不关心娱乐,说这口才不适合做什么什么的应该去说相声, 对看文章找错别字的朋友,只能不好意思了。 接着主题说,问题既然这么发生了,接下来如何应急呢?...这是一种比较常见的入侵。特别是在各种云厂商的服务上。 其实每家云服务厂商都有自己的防护系统。但即使有这些防护系统,云主机被入侵的概率也是不小的。姜老师面临一个比较尴尬的局面就是。...往往这种被入侵的事件发生的概率很高的。但是我们一般都有多少种途径来解决这种问题?像这种云服务。他们本身提供的防护系统不起作用。一般这时候的云服务使用者不会再另外构建一个自己的安全防护系统。...针对这一点,响应的一个办法就是将所有境外中国以外的服务请求全部关闭掉。 很明显,这个业务是一个地域性很强中文业务。不提供境外支付方式进行交易。大面积的订单都是在中国境内完成。
DFIRTriage描述 DFIRTriage这款工具旨在为安全事件应急响应人员快速提供目标主机的相关数据。...该工具在运行过程中,将会自动化执行各种命令,获取到的数据将存储在工具执行目录的根目录下。除此之外,DFIRTriage还可以直接从USB驱动器中运行,也可以通过远程Shell来在目标主机上运行。...; 2、搜索工具为独立的可执行文件-dtfind.exe; 3、双击即可运行 依赖环境 工具库包含正确执行所需的完整工具集,并打包到一个名为“core.ir”的单个文件中。...在Python中运行时,此“.ir”文件是DFIRtriage唯一必需的依赖项,位于名为data的目录中(即“/data/core.ir”)。...DFIRtriage的编译版本嵌入了完整的工具集,不需要添加“./data/core.ir”文件。注:不再使用TZWorks实用程序。
根据一些杀毒软件的报警就可以标识出恶意软件的类型与名字,如下图 为此一个兰塞姆(勒索)类型的Wannacry(想哭)家族的病毒样本,对于此类情况往往可以直接一键处理较为简单。 ?...通过此图可以发现 mssecsvc.exe 对大量随机的外网IP 的445 端口进行SYN 包的探测,这是Wannacry 病毒的传播过程。...对于一些其他的通信过程流量,我们往往需要通过其他方式来识别,这里推荐的Wireshark 的抓包工具进行抓包识别恶意流量,以下为Nmap的的端口扫描的数据包。 ?...Windows核心进程 // 如 2.系统进程// svchost.exe(Windows服务主进程) 、lsm.exe(本地回话管理器) 3.用户进程 // qq.exe(腾讯QQ主程序) 、chrom.exe...\servicecrsssr.vbs的启动项,就是病毒的自己添加的,定位到路径后直接删除。
针对蓝队的一些Linux应急响应的一些常规的命令以及一些思路总结一下分享给大家,内容稍长,可以收藏以备不时之需。...查看Linux中占用资源情况(必须是大写的cpu) top -c -o %CPU -c 显示进程的命令行 -p 显示进程的pid cpu占用前5的信息 ps -eo pid,ppid,%mem,%cpu...,cmd --sort=-%cpu | head -n 5 查看网络通信的情况 lsof -i -PnR 寻找pid对应的进程 ps aux | grep [pid] 查看进程打开的文件 lsof...INPUT/OUTPUT -s/d [目标ip] -j ACCEPT/DROP //封闭119.1地址对本机的访问 iptable -L //查看设置的所有规则内容 iptable -F...ls -al /tmp | grep "Feb 10" 敏感目录 /tmp /root /bin /usr/bin /usr/sbin /sbin 被入侵的系统,肯定有文件被改动,通过比较文件的md5
在发现入侵事件时,基于入侵现象进行排查,结合日志进行关联分析,对未知情况作合理的猜测,还原攻击场景,找到漏洞根源,这是很重要的任务。...(2)排查异常进程 查看进程情况,在进程信息中找到了反弹shell命令的特征,base64解码后的通讯ip,与上面发现的一致。执行shell反弹的父进程位60753,该进程为java进程。 ?...(4)web日志分析 java进程所对应的是web应用程序,基于异常命令执行的时间节点,对相关web日志进行分析,确认入侵时间范围内是否存在可疑的行为。 ?...未发现异常的web访问行为,都只有访问网站首页的记录,那么它到底是如何入侵的呢? 合理的猜测:结合前面发现Java进程执行dnslog探测等行为,猜测可能存在框架组件存在远程命令执行漏洞。...(5)web框架组件 在web框架组件中,发现低版本的shiro组件,存在明显的远程命令执行漏洞。
于是我接受了他的建议,写下这篇文章。 如果你搜索过应急响应(Incident Response)这个概念,会发现有很多结果是关于应急角色(incident role)的。...Atlassian 上有一些优秀的文档很好地解释了这些概念。 简单来说: 应急角色可随着你响应团队的成长而帮助扩展应急规模。角色有助于分离职责,确保应急工作的各个方面都有专人值守。...我认为,指挥官和联络人是至关重要的——在没有足够培训的前提下增加粒度会扰乱应急工作,并削弱你的响应能力。...第三,使用高效率工具、创建应急文档 鉴于沟通交流在应急响应工作中的重要性,你需要一款高效率工具来传递即时消息并记录操作日志。...为了准备好这个通道,多花费一分钟的停机时间也是值得的。 我坚决反对私有应急响应频道。公司内部使用的公共通道可以提升信息访问的便捷性,从而加强你的响应能力。
在本文中,我们会详细介绍针对上述场景的应急响应方案。另外,这一威胁对信息安全策略和安全布局的颠覆,我们可以用一些简单的方法进行缓解。...事件响应 与大多数网络事件一样,你只需要加载备份和配置就能恢复你的基础设施。在这个事件当中,所有的服务器其实并没有受到损害。 在这些情况下,你有两件事要做: 第一,找回域名注册网站上的登陆凭证。...网站凭证是如何失窃的 在这期间,公司应急响应团队中有一部分人员负责恢复网络环境,另一部分人员开始分析凭证失窃的原因。...建立事件响应计划 你需要有一个针对这类事件的详尽的应对措施,咱们总会有用到的时候。...另外,大家需要注意的是,计划中需要包括: 域名注册商的紧急联系方式(联系人和电话号码) 提醒客户的另一个安全途径(非email) 同域名注册商建立常规应急通信流程(如模拟练习) * 参考来源:Linkedin
该脚本使用WMI来获取服务的ACL,并识别非管理员的DC、WD或WO权限。 这些权限中的任何一个都允许持有该权限的用户立即提升到localsystem。
2016 上一顿尝试,发现 Index 的值只有是 0 的时候才有隐藏效果 所以可以通过排查计划任务的注册表,找出所有 Index 为 0 的就可以了 这样检查难度就小很多了,但是如果将计划任务放在了很深的目录...,原来默认存在这么多 Index 为 0 的计划任务 当然这里也打印了我们的隐藏计划任务 test1 这里将 Windows Server 2016 默认的计划任务中 Index 为 0 的详细内容记录下来...计划任务执行效果 计划任务正常执行 这个细节之前的文章里没有写,这才是让应急响应人员头疼的部分 5....,查询不存在的 test5 的时候是找不到指定的文件 如果大家在测试的过程中没有注意细节,很可能与一些发现失之交臂 2. powershell Get-ScheduledTask | findstr "...再次重启计划任务服务 重启后计划任务就没了 如果看过上一篇文章的朋友肯定能知道这是为什么 《计划任务执行由谁决定 | Windows 应急响应》 0x08 总结 一场有意思的对抗 将这类隐藏大体按照以下分类
领取专属 10元无门槛券
手把手带您无忧上云