1、情况概述 该案例是前期应急处置的一起因安全问题导致的内网不稳定的情况。写下来,和大家一起讨论应急响应的一些思路及其中间遇到的一些坑,欢迎大牛指点、讨论。...情况是这样的:某用户发现在网络经常出现内网中断的情况,经其内部分析,初步判定可能为其在云上的一台虚拟服务器(Linux)异常导致,但是前期对这台虚拟主机进行常规的安全检查与数据包分析,并没有发现其有异常情况...但是考虑到用户的环境为云环境,其带宽、性能资源非常丰富,加上正常情况下,黑客入侵某一台服务器后,大都会进行内网渗透,内网渗透的话可以中间人、扫描等方式,如果人间人或者扫描的话很大可能会导致其内网不稳定。...4、应急响应不是渗透测试,需要根据现有的信息分析黑客是利用什么漏洞入侵的、入侵的IP、时间、并且入侵之后做了什么等。因此我们在应急响应时不要搞反主次,把应急响应当成渗透测试。...5、应急响应分析不仅仅局限于web这一块,系统这一块同样需要分析。如其账号、连接、进程、安装程序、自启动程序等。
笔者在最近的安全沙龙上,同僚们表现出对应急响应方法论的渴求。所以我想通过真实案例来讲一下应急响应周期建设,以起到抛砖引玉之效,给大佬们的工作带来参考价值。 ? 自建的一个应急响应周期模型: ?...一、预备阶段 这个阶段涉及安全红蓝对抗的蓝军安全建设,应用系统/基础设施加固,进行应急响应演练。...,该情况会对您的业务和华为云的服务产生影响,违反了《华为云用户协议》及相关的法律法规。...五、恢复 恢复操作常赋予基础设施和应用系统进行,对于资产能够快速恢复,同时更好的协调响应。...应急管理定义在事故过程中和事故之后应该做的事情。为响应紧急事件、保持操作连续性以及处理重要中断而需要采取的行动必需记录在案,并让操作员工能随时获取。
文章前言 近期在处理一起应急事件时发现攻击者在WEB应用目录下上传了webshell,但是webshell似乎使用了某种加密混淆手法,无法直观的看到其中的木马连接密码,而客户非要让我们连接webshell...> 从上面我们可以看到输出的内容中有一串eval执行的内容,其中的变量正好是我们上面echo出来的内容,随后我们进行替换操作,替换后结果如下所示: '; base64_decode 紧接着我们再对上面的内容中的变量进行替换得到如下的结果: 内容证实为一句话木马,连接密码为q,随后我们使用菜刀连接源webshell,成功交差 文末小结 本篇文章的起源主要是因为客户的需求也是因为个人的好奇心驱动,其中主要介绍了对应急响应过程中编码混淆的webshell...进行层层解码获取webshell连接密码的过程,之前曾写过的webshell免杀实践文章中主要的免杀思路在于借助PHP语言的特性以及函数来实现,感觉后面可以深入再分析一下关于PHP源码混淆加密处理在webshell
腾讯安全云鼎实验室一直致力于云安全技术研究,对安全生态的构建和优化以及全球信息安全的动向与发展有着自己独到的见解,此次也该非常荣幸地通过了Xcon的话题征集,受邀参与分享。 ?...随着云计算的大规模普及,公有云的应急响应趋势已逐渐"被动响应"发展为"主动感知"。一方面云计算的灵活性、可扩展性和性价比吸引了更多的企业上云。...另一方面云计算的网络开放,资源共享特性也给网络攻击提供了更为广阔的土壤。传统单点对抗的应急响应已无法满足云时代的复杂攻击形态和规模。 ?...8月20日9:30-10:30,腾讯安全云鼎实验室专家焦小博带你走进《云原生自动化应急响应》,结合云计算的特点和云安全领域多年的应急溯源实战经验,将云平台和事件的应急响应和取证相结合。...通过案例和数据了解公有云安全威胁和应急响应现状,呈现一个云原生背景下完全自动化的入侵溯源方案,帮助应急响应人员在最短时间内定位入侵途径、溯源取证和输出应急策略,并通过实际运营为大家展示验证其效果。
什么是应急响应? 通常来说,应急响应泛指安全技术人员在遇到突发事件后所采取的措施和行为。而突发事件则是指影响一个系统正常工作的情况。...多数企业都建立了应急响应的独立团队,通常称为计算机安全应急响应小组(Computer Security Incident Response Team,CSIRT),以响应计算机安全事件。...应急响应涉及多门学科,要求多种能力:通常要求从公司的不同部分获取资源。...人力资源部人员、法律顾问、技术专家、安全专家、公共安全官员、商业管理人员、最终用户、技术支持人员和其他涉及计算机安全应急响应的人员。当然这些人员大部分是兼职的,需要在应急响应工作中进行配合。...编者按:本文作者Sean Mason为思科公司事件应急响应服务部门主管,负责组织该公司内部事件响应实践3年多时间,本文由其作为博文发布在思科官网中。
最近参加了Xcon2020安全技术峰会,趁热打铁跟大家聊聊云平台上的原生自动化应急响应。 随着云计算的大规模普及,公有云的应急响应趋势已逐渐从"被动响应"发展为"主动感知"。...如何在攻击前做好预防措施,攻击后快速有效的自动化溯源取证和风险收敛已经成为云时代应急响应技术的核心竞争力。 应急响应的发展 我认为近代应急响应的发展可分为两个时代:IDC时代和云时代。...应急响应的核心价值就是在安全事件突发时,快速有序的处理,最大限度的快速恢复业务和减少损失。因此响应和恢复速度将是云上应急响应的核心竞争力。...腾讯安全云鼎实验室结合多年的云上运营和实践经验设计出云原生自动化应急方案。...以上的就是本次要分享的云原生自动化应急响应方案,此方案通过与云平台基础设施相结合,利用大数据智能化分析和自动化手段有效的解决了应急响应中的三大难题。希望本次分享可以帮助大家做好云上的应急响应。
,但是对于被钓鱼的终端,我们却很难进行有效排查,因此写这篇文章分享一下自己对于windows操作系统应急响应的一些看......作者:凝 前言 对于linux而言,除了rootkit,大部分的后门均可以使用工具快速排查,但是对于被钓鱼的终端,我们却很难进行有效排查,因此写这篇文章分享一下自己对于windows操作系统应急响应的一些看法和心得...首先说钓鱼,钓鱼无异于是进入内网最便捷有效的一种方式 一般来说,一个合格的木马是具备权限维持的一些功能,即添加计划任务或者自启动等等,这也为我们的应急响应增添了不少的难度 实验木马: cs的免杀马+添加自启动...我们运行改exe程序-->弹框 同时cs上线 接下来我们假装什么都不知道,对该电脑进行应急响应 任务资源管理器 我们先说传统的一些套路,通过任务资源管理器查看 可以看到,在我们不进行操作的情况下,我们的恶意...以上也是个人在实际被钓鱼下的应急响应中不断思考形成的自己的一些应急思路,希望能给各位一些帮助
网络安全应急响应的回顾与展望 一.什么是应急响应? 二.网络安全应急响应的启发 三.应急响应在安全保障整体工作中的作用 四.应急响应事件处理的一般阶段 五.安全应急响应的展望 ?...---- 二.网络安全应急响应的启发 1988 Moris - 第一个计算机应急响应组织出现 1988年11月,罗伯特·塔潘·莫里斯(Robert Tappan Morris,著名密码学家Robert...2001 CodeRed 红色代码——中国互联网安全应急预案以及应急响应体系 2001年的CodeRed红色代码事件促进了我国安全应急预案以及应急响应体系产生 红色代码 是2001年7月15日在互联网上观察到的一种电脑蠕虫...在这一天,受感染的主机数量达到了359,000台。 三.应急响应在安全保障整体工作中的作用 问题:怎么样才算是“安全的”?...,拿到我们的Shell,作为对应的安全人员,应有效制定出对应的应急响应流程,做到事件之前的防护,事件之中的检测,以及检测到以后的响应和恢复。
应急响应通用方法 查看日志 通过cmd输入eventvwr.msc打开事件查看器 在%SystemRoot%\System32\Winevt\Logs\位置存放着日志文件 常见的事件ID 安全日志...\..\ 内存马 简介:随着攻防演练热度越来越高,攻防双方的博弈,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshell或以文件形式驻留的后门越来越容易被检测到,内存马使用越来越多...base64编码后的结果 冰蝎3.0 快速识别特征方式 1、Accept字段 冰蝎中使用的Accept字段与常规浏览器使用的不同,且每次请求使用的Accept内容都相同 2、长连接 冰蝎通讯默认使用长连接...,避免了频繁的握手造成的资源开销。...默认情况下,请求头和响应头里会带有 Connection: Keep-Alive 3、较长的base64编码的请求包 在加密通讯时,p/jsp shell 会提交base64编码后的请求数据 哥斯拉
按理说我们这时候应该列出各种图表和操作命令系统截图,来溯源整个入侵的过程,辅助大家理解整个事件的前因后果。这也是“糖果的实验室”公众号,第二次写应急。...就算这种场合,也有会在评论里说,他们不关心娱乐,说这口才不适合做什么什么的应该去说相声, 对看文章找错别字的朋友,只能不好意思了。 接着主题说,问题既然这么发生了,接下来如何应急呢?...这是一种比较常见的入侵。特别是在各种云厂商的服务上。 其实每家云服务厂商都有自己的防护系统。但即使有这些防护系统,云主机被入侵的概率也是不小的。姜老师面临一个比较尴尬的局面就是。...往往这种被入侵的事件发生的概率很高的。但是我们一般都有多少种途径来解决这种问题?像这种云服务。他们本身提供的防护系统不起作用。一般这时候的云服务使用者不会再另外构建一个自己的安全防护系统。...针对这一点,响应的一个办法就是将所有境外中国以外的服务请求全部关闭掉。 很明显,这个业务是一个地域性很强中文业务。不提供境外支付方式进行交易。大面积的订单都是在中国境内完成。
DFIRTriage描述 DFIRTriage这款工具旨在为安全事件应急响应人员快速提供目标主机的相关数据。...该工具在运行过程中,将会自动化执行各种命令,获取到的数据将存储在工具执行目录的根目录下。除此之外,DFIRTriage还可以直接从USB驱动器中运行,也可以通过远程Shell来在目标主机上运行。...; 2、搜索工具为独立的可执行文件-dtfind.exe; 3、双击即可运行 依赖环境 工具库包含正确执行所需的完整工具集,并打包到一个名为“core.ir”的单个文件中。...在Python中运行时,此“.ir”文件是DFIRtriage唯一必需的依赖项,位于名为data的目录中(即“/data/core.ir”)。...DFIRtriage的编译版本嵌入了完整的工具集,不需要添加“./data/core.ir”文件。注:不再使用TZWorks实用程序。
根据一些杀毒软件的报警就可以标识出恶意软件的类型与名字,如下图 为此一个兰塞姆(勒索)类型的Wannacry(想哭)家族的病毒样本,对于此类情况往往可以直接一键处理较为简单。 ?...通过此图可以发现 mssecsvc.exe 对大量随机的外网IP 的445 端口进行SYN 包的探测,这是Wannacry 病毒的传播过程。...对于一些其他的通信过程流量,我们往往需要通过其他方式来识别,这里推荐的Wireshark 的抓包工具进行抓包识别恶意流量,以下为Nmap的的端口扫描的数据包。 ?...Windows核心进程 // 如 2.系统进程// svchost.exe(Windows服务主进程) 、lsm.exe(本地回话管理器) 3.用户进程 // qq.exe(腾讯QQ主程序) 、chrom.exe...\servicecrsssr.vbs的启动项,就是病毒的自己添加的,定位到路径后直接删除。
针对蓝队的一些Linux应急响应的一些常规的命令以及一些思路总结一下分享给大家,内容稍长,可以收藏以备不时之需。...查看Linux中占用资源情况(必须是大写的cpu) top -c -o %CPU -c 显示进程的命令行 -p 显示进程的pid cpu占用前5的信息 ps -eo pid,ppid,%mem,%cpu...,cmd --sort=-%cpu | head -n 5 查看网络通信的情况 lsof -i -PnR 寻找pid对应的进程 ps aux | grep [pid] 查看进程打开的文件 lsof...INPUT/OUTPUT -s/d [目标ip] -j ACCEPT/DROP //封闭119.1地址对本机的访问 iptable -L //查看设置的所有规则内容 iptable -F...ls -al /tmp | grep "Feb 10" 敏感目录 /tmp /root /bin /usr/bin /usr/sbin /sbin 被入侵的系统,肯定有文件被改动,通过比较文件的md5
5月23日,“腾讯云+未来”峰会在广州再次召开,腾讯联合三大运营商成立的数字广东公司也亮相此次峰会,并举办了“云上科技共建数字广东”的启动仪式, 为什么广东省能走在“数字中国”前面?...“用电量--经济”、“用云量--数字经济”这种逻辑是有实际数据做支撑的,据腾讯研究院与腾讯云联手调研测算,将全国388个城市的用云量结合《中国互联网+指数报告(2018)》测算的各个城市数字经济规模进行相关性分析...对接腾讯、华为等互联网前沿企业,数字广东能成为政企合作的标杆吗? 1、硬实力:开放的广东与技术领先的腾讯 政和企都要有足够的能力支撑其数字化变革,硬实力是前提。...而腾讯的业界地位也是不容小觑,此次腾讯云+峰会召开,还为城市装上会思考分析、能判断决策的城市超级大脑,为破解广东省数字化转型瓶颈与难题提供了系统的解决方案。...用马化腾的话说,腾讯要做的就是“数字化助手”,有大量的消费者的连接终端。
在发现入侵事件时,基于入侵现象进行排查,结合日志进行关联分析,对未知情况作合理的猜测,还原攻击场景,找到漏洞根源,这是很重要的任务。...(2)排查异常进程 查看进程情况,在进程信息中找到了反弹shell命令的特征,base64解码后的通讯ip,与上面发现的一致。执行shell反弹的父进程位60753,该进程为java进程。 ?...(4)web日志分析 java进程所对应的是web应用程序,基于异常命令执行的时间节点,对相关web日志进行分析,确认入侵时间范围内是否存在可疑的行为。 ?...未发现异常的web访问行为,都只有访问网站首页的记录,那么它到底是如何入侵的呢? 合理的猜测:结合前面发现Java进程执行dnslog探测等行为,猜测可能存在框架组件存在远程命令执行漏洞。...(5)web框架组件 在web框架组件中,发现低版本的shiro组件,存在明显的远程命令执行漏洞。
在本文中,我们会详细介绍针对上述场景的应急响应方案。另外,这一威胁对信息安全策略和安全布局的颠覆,我们可以用一些简单的方法进行缓解。...事件响应 与大多数网络事件一样,你只需要加载备份和配置就能恢复你的基础设施。在这个事件当中,所有的服务器其实并没有受到损害。 在这些情况下,你有两件事要做: 第一,找回域名注册网站上的登陆凭证。...网站凭证是如何失窃的 在这期间,公司应急响应团队中有一部分人员负责恢复网络环境,另一部分人员开始分析凭证失窃的原因。...建立事件响应计划 你需要有一个针对这类事件的详尽的应对措施,咱们总会有用到的时候。...另外,大家需要注意的是,计划中需要包括: 域名注册商的紧急联系方式(联系人和电话号码) 提醒客户的另一个安全途径(非email) 同域名注册商建立常规应急通信流程(如模拟练习) * 参考来源:Linkedin
于是我接受了他的建议,写下这篇文章。 如果你搜索过应急响应(Incident Response)这个概念,会发现有很多结果是关于应急角色(incident role)的。...Atlassian 上有一些优秀的文档很好地解释了这些概念。 简单来说: 应急角色可随着你响应团队的成长而帮助扩展应急规模。角色有助于分离职责,确保应急工作的各个方面都有专人值守。...我认为,指挥官和联络人是至关重要的——在没有足够培训的前提下增加粒度会扰乱应急工作,并削弱你的响应能力。...第三,使用高效率工具、创建应急文档 鉴于沟通交流在应急响应工作中的重要性,你需要一款高效率工具来传递即时消息并记录操作日志。...为了准备好这个通道,多花费一分钟的停机时间也是值得的。 我坚决反对私有应急响应频道。公司内部使用的公共通道可以提升信息访问的便捷性,从而加强你的响应能力。
该脚本使用WMI来获取服务的ACL,并识别非管理员的DC、WD或WO权限。 这些权限中的任何一个都允许持有该权限的用户立即提升到localsystem。
2016 上一顿尝试,发现 Index 的值只有是 0 的时候才有隐藏效果 所以可以通过排查计划任务的注册表,找出所有 Index 为 0 的就可以了 这样检查难度就小很多了,但是如果将计划任务放在了很深的目录...计划任务执行效果 计划任务正常执行 这个细节之前的文章里没有写,这才是让应急响应人员头疼的部分 5....上面能够被排查出来,是因为存在无 SD 项的文件夹,如果攻击者再变态一点,直接把注册表中文件夹都删除了,会怎么样呢?...再次重启计划任务服务 重启后计划任务就没了 如果看过上一篇文章的朋友肯定能知道这是为什么 《计划任务执行由谁决定 | Windows 应急响应》 0x08 总结 一场有意思的对抗 将这类隐藏大体按照以下分类...pwd=yjxy 提取码: yjxy 插个 flag ,如果恶趣味的攻击者向计划任务执行日志中定期写一堆不存在的计划任务日志那会怎么样 ? 真的遇到了,但愿你是个不认真的人~
1.4 应急处置 根据上述分析结论,应急处置如下: 已删除被攻击者恶意上传至oa服务器的web后门文件jsp、tt.jsp、ts.jsp、aaa.jsp、tunnel.jsp; 已删除被攻击者恶意上传的内网渗透工具包...2 详细分析过程 2.1 OA系统服务器 2.1.1 日志分析 根据IPS告警情况,4月15日15点34分左右存在webshell上传行为触发告警,动作为RESET重置,怀疑此刻存在攻击行为,立即进行应急响应...根据最早的异常文件test3.jsp文件的修改时间,进行web日志关联排查,发现16点59分日志共记录了6条攻击者记录,第一条即为攻击者117.136.38.153尝试访问test3.jsp后门文件,响应码为...红方攻击思路: 信息收集(域名、子域名、云防护cdn、C段、端口banner、中间件); 社工(邮件钓鱼、U盘钓鱼等); 手握0day,一步到位; ip代理节点池,通过动态变化的ip进行扫描攻击,防止被蓝方通过真实...安全监测、防护设备告警误报研判、重点关注内向外的异常流量。 流量回溯,发现0day的利器。同时也是应急响应溯源分析的有力工具。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM
