首页
学习
活动
专区
工具
TVP
发布

聊聊APT的溯源分析

,如果真的需要进行下一步的溯源分析,也只能联系SolarWinds公司配合,进行内部的调查取证分析了,但如果SolarWinds不配合,或者SolarWinds不找你做溯源取证分析,各大安全厂商基本能做的事就是这些了...,所以溯源分析也就到此为止了,至于其他的一些什么分析就是纯猜测了,没啥意义,随便怎么猜测都可以,而且就算SolarWinds找专业的安全厂商进行溯源分析,最后的报告也不会对外发布,黑客的攻击手法的相关细节也不会曝光...APT攻击使用的一种高级技术,所以供应链攻击仅仅是代表了A,仅只有A,是不能叫APT,完整的APT攻击一定是:A-高级,使用了一些高级的攻击手法,比方供应链攻击手法,利用了一些系统或应用的0day漏洞,...尸体”(样本),就在那里大谈溯源分析,APT溯源分析,基本就是纯扯淡,这种报告完全不用看,可以看国内外各大安全厂商发布的APT报告,“尸体”(样本)分析是必不可少的一部分,不管有没有客户现场,如果连简单的...如果一个人跟你说基于AI技术、大数据技术,还有其他啥技术,就可以分析检测未知APT攻击,基本可以断定这个人是不懂APT的,可能连APT是啥都不知道,任何高级安全威胁事件的溯源分析,都不能仅仅依靠产品或者数据

1.5K10

浅谈溯源分析基础技术

恶意样本溯源分析的前提是针对样本,然后进行对样本做逆向分析、网络行为分析、日志行为分析。挖掘出恶意样本的攻击者或者团队的意图。 网络攻击追踪溯源旨在利用各种手段追踪网络攻击的发起者。...恶意样本溯源思路 对恶意样本溯源分析一般需要结合动态调试和静态调试分析,样本分析过程中还需要结合网络抓包数据分析,获取到攻击者的域名信息。...针对恶意样本的溯源分析可以从同源分析、家族溯源、作者溯源这三方面作为突破点进行分析。 同源分析:通过利用恶意样本间的同源关系,挖掘出可溯源痕迹,并根据它们出现的前后关系判定变体来源。...常用溯源分析方法包括域名/IP地址分析、入侵日志监测、全流量分析、同源分析、攻击模型分析等。...(图片来源网络) 溯源分析 步骤流程 在获取到可进行溯源的载体后,我们就可以进行对这载体进行溯源分析。针对溯源分析可以由如下四个步骤流程组成。

1.7K21
您找到你想要的搜索结果了吗?
是的
没有找到

溯源小记

溯源的思路 看对方的目的是什么,就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么操作 逆推回去。看看这些过程都会留下什么日志。...下手的几个点 网站源码分析 日志分析 系统存储的信息分析 分析进程端口 网站源码文件分析 1. 查杀后门 可以使用D盾查杀是否存在网站后门,如果存在webshell,记录下该webshell的信息。...网站日志分析 网站日志一般为 - access.log - error.log 根据上一步分析网站源码得到的信息在对日志文件进行筛选分析,因为日志文件会记录很多信息,如果一条一条分析,不是很现实。...对访问服务器的IP进行统计排序 sudo cat /var/log/apache2/access.log | cut -f1 -d ' '| sort | uniq -c web-log分析工具 系统日志分析.../etc/passwd 可通过该文件分析可疑账号 3. 分析服务器的开机自启程序,分析是否存在后门木马程序。 1. ls -alt /etc/init.d 2.

61220

“暗黑流量”超大规模DDoS溯源分析

经过对攻击源机器进行分析,腾讯云云鼎实验室工程师在机器中发现暗云Ⅲ的变种(暂时命名为暗云Ⅳ),通过对流量、内存DUMP数据等内容进行分析,基本确定本次超大规模ddos攻击由“暗云”黑客团伙发起。...二、详细分析 “暗云”是一个迄今为止最复杂的木马之一,全网普查显示,感染了数以百万的计算机,暗云木马使用了很多复杂的、新颖的技术来实现长期地潜伏在用户的计算机系统中,关于暗云的分析详见http://slab.qq.com.../news/tech/1567.html 我们在对目标机器排查中,发现了MBR中可疑rootkit,在对MBR内容进行分析,我们发现肉鸡机器的MBR与暗云MBR 中INfectedMBR 与 original...与此同时我们在对另外一台机器进行分析的时候,在MBR内容里发现ms.maimai666.com域名内容,机器启动时候会访问23.234.4.130的8064端口,这与腾讯电脑管家关于分暗云Ⅲ的木马在TDI...进一步捕获svchost.exe的内存数据进行分析,也发现了相关域名的请求信息。

3.8K00

Pandas 高级教程——高级时间序列分析

Python Pandas 高级教程:高级时间序列分析 Pandas 提供了强大的时间序列处理功能,使得对时间序列数据进行高级分析变得更加灵活和方便。...在本篇博客中,我们将深入介绍 Pandas 中的高级时间序列分析技术,并通过实例演示如何应用这些功能。 1. 安装 Pandas 确保你已经安装了 Pandas。...导入 Pandas 库 在使用 Pandas 进行高级时间序列分析之前,导入 Pandas 库: import pandas as pd 3....总结 通过学习以上 Pandas 中的高级时间序列分析技术,你可以更灵活地处理和分析时间序列数据。这些方法包括重采样、移动窗口操作、滞后和超前、季节性分解、自相关和偏自相关分析以及时间序列模型的拟合。...希望这篇博客能够帮助你更好地运用 Pandas 进行高级时间序列分析

21710

分析攻击结果?网络攻击溯源和取证

网络攻击的溯源和取证是指通过分析和调查,确定网络攻击的来源和确切证据,以便采取相应的行动,例如对攻击者提起诉讼或采取技术措施防范类似攻击。...最后,攻击的防范比溯源和取证更为重要。应该采取适当的安全措施和应急计划来预防和应对类似的攻击,以最大限度地减少风险和损失。...对于网络攻击的溯源过程,一般可以按照以下几个步骤来进行:收集攻击数据:首先需要从网络设备日志、安全设备日志和应用程序日志等多个方面,收集攻击发生时的数据,以便后续分析。...在实际的溯源过程中,还需要考虑到不同类型攻击的特点和应对方法。比如,对于DDoS攻击,需要分析攻击流量的特点,确定攻击者使用的工具和策略,然后利用反制工具和策略来防御攻击。...综上所述,网络攻击的溯源和取证是一个复杂的过程,需要综合运用技术、法律和管理手段,以追踪攻击来源并收集证据。

1.5K20

事件相关电位ERP的皮层溯源分析

脑电信号的皮层源分析已成为脑活动分析的重要工具。源分析的目的是重建头皮上的脑电图信号的皮层发生器(源)。源重建的质量取决于正问题的精度,进而也取决于反问题的精度。...通过应用源分析计算来识别记录在头皮上的活动的神经发生器,可以克服EEG的空间分辨率差的特点。皮层源分析使用头部头皮记录,并通过计算推断出在皮层中产生信号的来源。...因此,根据脑电图信号提供的功能活动(如振幅和潜伏期的变化)、fMRI获得的结构解剖以及先进的数据处理和分析方法可以确定研究大脑发育的源分析方法。源定位分析可以可以分为偶极子方法或分布式源方法。...我们使用一名6个月大的参与者和12个月大的代表性婴儿的数据进行了分布式源分析。该源分析方法将用于P400 ERP组件的振幅值的研究。...单个MRI扫描的使用克服了使用成人头部模型分析儿童脑电图数据来源所导致的定位错误。源分析头部模型的金标准是单个参与者的MRI。

59440

“大黄蜂”远控挖矿木马分析溯源

通过哈勃同源系统的分析发现,木马作者还在频繁的更新木马功能、感染用户量也在迅速增加,值得引起我们足够 的关注。下面我们会从感染后现象、影响范围、技术分析溯源上做详细介绍和分析。...技术分析: 通过分析发现,该木马启动后,会释放多个可执行文件,我们按其 实现的不同的 功能,将这些可 执行程序,划分为远控模块、挖矿模块和清理模块三个模块,分别用于远程控制、虚拟货币挖矿以及删除清理文件以躲避查杀...通过对发送数据以及加密方式的分析,我们可以看出发送的数据和加密方式和Gh0st远控非常相似,可以认定其为Gh0st远控的变种: ?...溯源: 由上边的分析可以看到该木马访问了7.me和6.me 两个域名,查询其ip地址为50...38 ,位于美国境内。...通过以上的溯源分析,我们可以得到该木马作者的基本画像: 年龄:18岁 地址:福建泉州市 爱好:黑客工具、论坛;王者荣耀 目前,腾讯电脑管家和哈勃分析系统均可以准备识别该类病毒,安装电脑管家的用户无需担心感染该病毒

2K70

入侵溯源难点和云溯源体系建设

(3) 体系化安全溯源知识,工具建设:几乎空白 可能会有同学质疑,很多安全产品也提供此类功能呀? ——亲测过许多安全检测分析产品和工具,取证逻辑上强关联真的不准确!...入侵溯源工具能力局限的本质问题: 基于某一层入侵元素做为起始点的入侵行为分析逻辑都有被灵活多变的渗透测试技巧跳脱的机会,因为攻击动作是动态多向的,溯源工具是静态单向的。...以OSI七层模型为例,还原我们溯源的时候,如何进行路径复现: image.png 安全溯源中常涉及的取证分析元素: 1.时间线分析:(1)最早探测时间(2)入侵时间(3)权限维持时间(4)登录时间 2....个人认为: 溯源样本采样节点,应在OSI七层模型中的每一层数据传输环节,完成日志回传和记录动作。对溯源动作中常涉及的取证元素进行自动化关联,利用机器学习算法进行碰撞分析。...4.2国内领先解决方案: 腾讯云高级威胁追溯系统ATTS: 官方链接:https://cloud.tencent.com/document/product/1017 image.png 可申请试用,ATTS

3.6K201

实战 | 记某次值守中对攻击IP的溯源分析

利用不成功的原因后面也得到确认是因为其在攻击时数据包中存在较为容易猜解key命中了特征库的规则从而触发了告警,进一步确认需要人工核验,心中暗暗自喜还好不是安全事件不然又得出去应急了,随后并对攻击IP进行溯源分析...0x03溯源攻击者 根据攻击IP:112.xx.xx.xx在奇安信威胁研判分析平台捕获到该IP在近期今年的9月25号开始就已经出现了大量的攻击活动迹象,在微步在线情报平台也是在近期9月28开始发现该IP...继续在威胁研判分析平台查询该域名的whois注册信息,虽然该域名目前的whois注册信息显示为空可能域名持有者做了信息保护,但在奇安信威胁研判分析平台是可以查询到域名第一次注册时未更改的历史信息的,得到关键信息注册人...0x05 总结 综合上诉溯源分析得出,攻击IP:112.xx.xx.xx对我市内政府单位实施网络攻击,当前攻击IP所解析的域名为sxxxx.xxxxxd.cc溯源得到该域名持有者真实姓名为王某某地址:上海市...xxxxxxxxxxxx号,关联出其好友真实个人信息刘某某其地址:重庆市xxxxxxxxxx号,以下为溯源关联图。

7.6K31

文档化身商业木马,对“盗神”的分析溯源

近日哈勃分析系统捕捉到一类隐私窃取类木马,也开始利用文档作为自身的传播手段。...据分析,此木马通常定向攻击企业商务用户,目前已经有大量受害者的隐私被窃取,包括黎巴嫩,美国,印度,意大利,马来西亚,韩国,尼日利亚,英国,泰国,希腊,墨西哥,越南等国家,在中国境内也发现有中国台湾和广东的企业用户被植入该木马...木马的攻击流程可以简要地表示为下图: 在这次事件中,哈勃分析系统捕获到的部分情报如下: 此木马的详细技术分析 一、诱导 木马文件是一个带宏的word文档,后缀名为docm。...经过分析,此宏的作用是在Temp目录下的一个随机目录名中释放恶意可执行文件,文件的扩展名为“cmd”(中间带一个空格),而文件的本体并非存放在宏之中,而是存放在文档正文之中。...同时还可以发现,这些邮箱也被用于发送钓鱼邮件,传播带宏的样本: 团体 在最初分析的带宏文档的属性中可以看到,生成该文档的原始语言为波兰语。

96950
领券