以“系统失陷”为假设,狩猎者基于安全经验与集成的数据平台,对信息系统进行持续的调查、验证、观测,以召回漏网的已知威胁,识别隐匿的未知威胁,并对威胁事件进行溯源和场景重建,进而固化为安全知识与启发式规则。...为应对这一挑战,高级的威胁分析策略、模型、算法、系统已成为安全产品、安全研究的重要方向。...杀毒软件已能够行之有效的阻拦绝大部分已知文件威胁,如今,面向高级威胁分析场景终端大数据分析,如EDR、集成终端数据的分析平台等应运而生。...从威胁狩猎的主要场景分类出发,下图粗略的对相关工作进行了分组。为了对抗高级威胁,各位作者在方法的命名上也是煞费苦心,各大侦探、神与神兽齐聚一堂,也映衬了APT检测与溯源的高难度系数。 ?...然而,相对于利益驱动下APT等高级威胁的高对抗性、针对性、持续性、长周期等场景特性,溯源数据的挖掘方法研究仍处于初级阶段。
攻击溯源图是描述攻击者攻击行为相关的上下文信息,利用攻击溯源信息来实现威胁评估是当前研究的热点。...本质上是根据外部情报利用专家知识构建相关的威胁子图,然后在攻击溯源图中匹配满足威胁子图的模型的相关子图。...该系统实时的汇总攻击者的攻击行为,并基于kill-chain(攻击链)构建高级溯源图。 ?...为了弥合低级系统调用视角和高级攻击链视角之间的语义差距,HOLMES构建了一个中间层HSG(高级场景图)。...图5 威胁子图示例 HOLMES从一定程度上解决了低级别审计数据与攻击者目标、意图和能力相关高级杀伤链视角之间的巨大语义差距。
研究人员发现依靠系统监控日志数据构造具有较强抽象表达能力的溯源图进行因果关系分析,能有效表达威胁事件的起因、攻击路径和攻击影响,为威胁发现和取证分析提供较高的检测效率和稳健性。...关于终端溯源的工作学术上已有不少研究工作[1],这里基于SPADE[2]工具以及相关的终端采集工具(windows系统的ProcMon[3],linux系统下的audit[4],camflow[5])搭建一个简单的终端溯源图系统...SPADE工具简介 SPADE是一个开源的系统,可以实现溯源数据的推理、存储与查询功能。该系统是一种跨平台的溯源系统,可以应用到区块链、在线社交网络与APT溯源调查中。...SPADE的特性包括: 跨平台 SPADE提供了一种跨平台的数据收集、过滤、存储和查询服务,支持Linux, Mac OS X, and Windows操作系统,使用操作系统各自的审计功能透明地记录所有数据的溯源信息...终端溯源系统搭建 3.1 SPADE安装 Linux系统下的SPADE支持audit工具与camflow工具,其中关于audit日志的方法博客[6]有相关的介绍。
开工的第一周,与同事聊起威胁情报的话题,顺手就搜索整理了一下国内外的威胁情报平台。在这里分享几个威胁情报平台,可通过查询获取威胁情报参考数据。...---- 01、国内威胁情报平台 1、微步在线 https://x.threatbook.cn/ 2、天际友盟RedQueen安全智能服务平台 https://redqueen.tj-un.com/...3、360威胁情报中心 https://ti.360.net/ 4、奇安信威胁情报中心 https://ti.qianxin.com/ 5、VenusEye威胁情报中心 https://www.venuseye.com.cn.../ 6、NTI 威胁情报中心 https://ti.nsfocus.com/ 7、安恒威胁情报中心 https://ti.dbappsecurity.com.cn/ 8、安天威胁情报中心 https...://www.antiycloud.com/ 9、深信服安全中心 https://wiki.sec.sangfor.com.cn/index/abroad 02、国外威胁情报平台 1、IBM X-Force
高级威胁漏洞背景 在高级威胁攻击中,黑客远程投递入侵客户端最喜欢的漏洞是office文档漏洞,就在刚刚结束不久的黑帽子大会上,最佳客户端安全漏洞奖颁给了CVE-2017-0199漏洞,这个漏洞是时下office...f2260d063e3aa2275acc59687e263e9c Shell.exe e8ad2a5650ba9b89c44389f78da205c8 ppsx 总结和漏洞防护建议 目前流行的office高级威胁漏洞趋向于稳定的逻辑漏洞
安全边界日益模糊,为应对高级持续性威胁,提升各类终端系统的“透明度”尤为关键——通过高效的数据采集与分析技术,以识别、溯源、预测内外部攻击者的细粒度系统级行为及关联其上下文。...基于以上能力的实现,TC项目旨在完成细粒度系统级行为的关联,实现在大规模行为中识别异常与恶意意图,发现潜在的APT或其他高级威胁,并提供完整的溯源分析与相关损失评估。...基于大规模溯源数据图识别APT攻击行为,面临溯源依赖图爆炸、威胁大海捞针、性能拓展性差等多方面的技术挑战。...三、总结 DARPA Transparent Computing项目搭建的红蓝对抗演练舞台,吸引了美国终端攻防领域的顶级团队参与,也促成了终端威胁分析领域学术研究与工业技术的快速演进。...终端侧的网络攻防,已成为高级威胁对抗领域的主战场。高效采集与精细的分析齐飞,来打开终端系统的计算黑盒,方能因敌变化取胜。
溯源反制-自搭建蜜罐到反制攻击队 前言 本篇文章结合最近的ps比赛和之前的案例总结了一些作为蓝队的经验,希望能对蓝队溯源得分有所帮助,如果还有其他奇招妙法欢迎师傅们多多交流 溯源反制一直是老生常谈的话题...部署的蜜罐需提前向裁判报备,避免后续扯皮,且蜜罐需单独隔离,防止横向扩散 蜜罐不能太假,如多端口开启不同的web服务,系统要给攻击人员一种是靠自己努力获取成果的假象 如果直接使用xx厂商的云蜜罐,特征十分明显,还很容易在测绘平台上打上蜜罐标签...IP上,域名命名最好以 demo、crm常见字典内字符为主,确保能被子域名扫描器识别到 另外可以通过waf自定义重定向页面至蜜罐地址,加快fofa、hunter等测绘平台的收录速度 蜜罐部署好了,...常规溯源 溯源得分规则需要交叉举证、同时举证攻击者具备网络安全攻击能力,可从态势感知或防火墙上收集攻击者IP 对IP去重后进行指纹识别,例如安全博客、扫描器等等,从这些资产中溯源可以提高效率,这里推荐使用...ehole https://github.com/EdgeSecurityTeam/EHole 举个例子,根据IP进行端口扫描发现到其搭建了灯塔系统 并通过态势感知平台发现其最近有扫描行为,很大概率是攻击队
本文由我在互联网安全大会 ISC 2022 分论坛“以对手为目标的威胁防御——安全情报与高级威胁论坛”中的分享《基于海量样本数据的高级威胁发现》整理而成,内容有所改动。...5279 个;境内被植入后门网站数量为 1838 个;针对境内网站的仿冒页面数量为 16540 个 国家信息安全漏洞共享平台(CNVD)收集整理信息系统安全漏洞 1548 个,其中高危漏洞 546 个...情报生产和高级威胁发现 海量样本数据的运营,用于支持情报生产业务和高级威胁发现业务。接下来我将简单描述一下如何基于海量样本数据运营进行情报生产和高级威胁发现。 什么是威胁情报?...什么是高级威胁? 海量样本数据的运营,支撑的另一项主要的业务是高级威胁发现业务。那么什么是高级威胁呢?...自动化高级威胁发现流程需要持续的改进,才能使“发现高级威胁”的这个终极目标实现可持续,才能使“看见”更进一步。
序言 继上次日志日志服务到审计溯源 第一篇,此文是第二篇,Tone菜鸡继续讲解,包含的领域知识点比较多,但是都是比较基础的,大佬们勿喷,如果自己的网站遭受入侵如何抓住凶手的作案过程以及溯源。...搭建LAMP 安装Apache服务程序 yum安装httpd软件包 ? 将Apache服务添加到开机自启 ? 测试一下 ? ? 安装PHP、MariaDB 安装PHP ? ? 测试站点 ? ?...搭建web日志分析工具 web日志分析工具goaccess ? 配置文件,让他可以实时监控 ? ? 输出测试一下 ? ? ?...好了环境大致搭建完毕,开始模拟白盒渗透测试(自己搞自己),这个cms比较水,所以这个渗透过程不重要,我们只是大致模拟一下被入侵后查看日记溯源 模拟渗透 打开我们的神器appscan开扫 ?...好了开始 我们生成一下web日志分析平台: ? 可以看到appsan扫描一下可真是重型武器,看看这量和仪表盘,所以爱用各种扫描器的小伙伴,在某些情况慎重 ?
镜像导入云服务器需要到下面这个地址下载驱动进行安装,再导出镜像,不然在云服务器会导入失败 https://cloud.tencent.com/document/product/213/17815 搭建成功后把域名解析到...IP上,域名命名最好以 demo、crm常见字典内字符为主,确保能被子域名扫描器识别到 另外可以通过waf自定义重定向页面至蜜罐地址,加快fofa、hunter等测绘平台的收录速度 蜜罐部署好了,...常规溯源 溯源得分规则需要交叉举证、同时举证攻击者具备网络安全攻击能力,可从态势感知或防火墙上收集攻击者IP 对IP去重后进行指纹识别,例如安全博客、扫描器等等,从这些资产中溯源可以提高效率,这里推荐使用...ehole https://github.com/EdgeSecurityTeam/EHole 举个例子,根据IP进行端口扫描发现到其搭建了灯塔系统 并通过态势感知平台发现其最近有扫描行为,很大概率是攻击队...又是一位幸运玩家不小心踩罐,从机器上的python脚本文件找到ICP备案查询的cookie和token burp替换cookie后成功获取攻击者的百度ID 进而互联网搜索其名字的相关信息,发现还搭建了技术博客
原文首发在:奇安信攻防社区https://forum.butian.net/share/2405前言本篇文章结合最近的ps比赛和之前的案例总结了一些作为蓝队的经验,希望能对蓝队溯源得分有所帮助,如果还有其他奇招妙法欢迎师傅们多多交流溯源反制一直是老生常谈的话题...进行后渗透利用镜像导入云服务器需要到下面这个地址下载驱动进行安装,再导出镜像,不然在云服务器会导入失败https://cloud.tencent.com/document/product/213/17815搭建成功后把域名解析到...IP上,域名命名最好以 demo、crm常见字典内字符为主,确保能被子域名扫描器识别到另外可以通过waf自定义重定向页面至蜜罐地址,加快fofa、hunter等测绘平台的收录速度蜜罐部署好了,接下来就是木马的投放选择...并配合文档指导增加可信度和点击率由于攻击队点击蜜罐充满随机性,为了能及时反制可设置上线提醒,具体参考 https://xz.aliyun.com/t/10698接下来就可以静候佳音,等待攻击者上钩,主打的就是一手姜太公钓鱼溯源反制常规溯源溯源得分规则需要交叉举证.../EdgeSecurityTeam/EHole举个例子,根据IP进行端口扫描发现到其搭建了灯塔系统并通过态势感知平台发现其最近有扫描行为,很大概率是攻击队ip去微步进行Ip查询,发现IP绑定了域名,国内域名需要备案实名通过查询该域名
,大佬们勿喷,如果自己的网站遭受入侵如何抓住凶手的作案过程以及溯源。...搭建LAMP 安装Apache服务程序 yum安装httpd软件包 ? 将Apache服务添加到开机自启 ? 测试一下 ? ? 安装PHP、MariaDB 安装PHP ? ? 测试站点 ? ?...搭建web日志分析工具 web日志分析工具goaccess ? 配置文件,让他可以实时监控 ? ? 输出测试一下 ? ? ?...好了环境大致搭建完毕,开始模拟白盒渗透测试(自己搞自己),这个cms比较水,所以这个渗透过程不重要,我们只是大致模拟一下被入侵后查看日记溯源 模拟渗透 打开我们的神器appscan开扫 ?...好了开始 我们生成一下web日志分析平台: ? 可以看到appsan扫描一下可真是重型武器,看看这量和仪表盘,所以爱用各种扫描器的小伙伴,在某些情况慎重 ?
报告摘要 近期,神州网云依靠高级威胁检测引擎并结合天际友盟的威胁情报,精确发现了多起高级威胁组织的攻击,通过快速有效的一键溯源确定了攻击行为及影响。...IP 111.73.45.188的溯源分析 通过网镜高级威胁检测系统的高级恶意行为检测及情报匹配检测到多起恶意IP地址频繁对某数据中心发起Struts2-045攻击行为。 ?...通过溯源平台关联分析 利用威胁情报平台溯源能力对样本(d738afeb7a1d8bc65ce4726ed28c22b4)进行溯源分析,发行多家杀毒厂商认定样本为木马下载器,并且通过可视化的关联出样本的恶意网络行为...通过溯源平台关联分析 利用威胁情报平台溯源能力对样本(19e9c14bdd3a26a7e7463d1837c6f0ba)进行溯源分析,发行多家杀毒厂商认定样本为木马下载器,并且通过可视化的关联出样本的恶意网络行为...结语 集特征监测、行为分析、全流量深度分析、取证、威胁情报、大数据分析等技术为一体的高级威胁检测与威胁情报,可以在更广的领域和范围进行网络信息安全事件的事前警示、事中发现、事后溯源,系统还原的相关网络行为及报警线索自动留存
一、前言 威胁情报是一种基于数据的,对组织即将面临的攻击进行预测的行动。预测(基于数据)将要来临的的攻击。威胁情报利用公开的可用资源,预测潜在的威胁,可以帮助你在防御方面做出更好的决策。...在企业或政府乃至国家,拥有一个高准确度,大数据量的威胁情报库是至关重要的。...二、简介 本文主要针对是初学者,刚起步的搭建自己的威胁情报库的企业,通过简单便捷的python脚本来搭建自己的恶意ip数据库。此恶意数据库的IP来源于国外较为权威的威胁情报。...之所以要收录国外的开源情报威胁库,更大程度上是因为国内各个网络安全公司不会将自己的数据库分享,也是用与我一样的思路爬取国外信息为主。...三、黑名单IP(C&C,恶意软件,垃圾邮件,网络爬虫) 首先,代码将从国外权威平台的威胁情报源下载黑名单IP列表,其中包含(c2 服务器,垃圾邮件,网络爬虫,间谍软件和其他恶意软件)。
在容器内部无法获取容器名称时,如何操作? 当创建容器时,我们可以通过记录容器名称与ID到redis中。 在容器内部,通过 cat /proc/self/cg...
主题公开课,邀请亿欧·TE咨询与行业研究事业部研究总监吴勇、腾讯安全零信任高级产品经理刘现磊、功勋科技安全售前专家董佳亮、腾讯会议售前高级架构师苗文博,就如何优化企业安全架构,提高安全防御能力,实现安全与业务发展的平衡等问题...这一策略主要围绕三个“构建”来进行:一是构建基于安全和策略的统一平台;二是基于安全和策略平台搭建统一的业务、数据开发平台;三是在安全和统一开发平台的基础上构建统一的协同工作台,从而实现安全、业务、AIOT...,包括资产管理、脆弱性管理、资产合规基线;在威胁防护方面,能够聚焦痛点事件/场景打造更简单、有效的威胁防护能力,例如防病毒、漏洞防御、热门威胁防护等;在风险控制方面,iOA配备了高级威胁检测、事件调查与溯源等更全面和易用的威胁溯源与风险控制能力...图片协同办公需求盛行,平台侧要把好“信息安全”关腾讯会议售前高级架构师苗文博则基于多年行业实践和洞察,分享SSO登录和内容加密等安全相关内容。...腾讯会议通过外部情报监控、TSRC漏洞情报收集、定向组件漏洞情报收集,实现对黑产安全动态进行日常监测;应急响应方面,腾讯会议支持7*24小时应急值守、特定节点定向支持、事件分析,当发生安全事件时能够第一时间进行溯源复盘
一、摘要 高级持续性威胁(Advanced Persistent Threat,APT)具有对抗性、隐匿性、低频性、持续性,在配合复杂、定制化的技战术手段,给传统防护检测方案带来挑战。...为提升高级威胁分析的时效性,降低狩猎门槛,探索通过数据驱动的方式提升关键线索定位、攻击路径补齐的自动水平,有着重要的意义。...《Provenance Mining:终端溯源数据挖掘与威胁狩猎》一文,介绍了终端溯源数据(Provenance)以及溯源图(Provenance Graph)的概念。...受害者打开该文档后,Office程序winword.exe将向攻击者搭建的服务端请求下载恶意HTA文件。...限于采集平台的性能开销与技术瓶颈,目前绝大部分溯源数据采集系统所采集的数据是粗粒度的(Coarse-Grained)。
无文件攻击(Fileless Attack)与高级持续威胁(Advanced Persistent Threat, APT)便是此类攻击手法的典型代表。...本文旨在深度剖析无文件攻击与APT的原理、特点、防范策略,并结合实战代码示例,为读者揭示这两种高级攻击手段的内在机制与应对之道。...二、高级持续威胁(APT):隐形的战争APT是一种由有组织、有目的的攻击者发起的、长期潜伏在目标网络中的复杂攻击。...result == 0; } // ...定义WINTRUST_FILE_INFO和WINTRUST_DATA结构及其相关常量...}EDR/EPP解决方案:部署端点检测与响应(EDR)或端点保护平台...四、结语无文件攻击与APT作为高级攻击手段,对企业的网络安全构成了严峻挑战。
在溯源中,安全人员对攻击者某个阶段的攻击特点进行分析,再结合已掌握的威胁情报数据将攻击特点和数据聚类,能够有效掌握攻击者的攻击手法和 IP &域名资产等。...攻击者资产维度可溯源方法及关键点 攻击者资产维度可溯源的方法及关键点,主要如下图: ? 域名自身特点,如:昵称字符串 搭建网站(通过图中四种方法探测资产的现有数据和历史数据) a....样本暴露的信息,如:PDB 信息、个人昵称、存放特马的 Github 账号 蜜罐捕获,如:百度 ID、新浪 ID 等 利用密码找回功能,如:阿里云IP找回、腾讯密码找回、邮箱密码找回 真实身份 社交平台...关于微步在线研究响应团队 微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等...微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
