溯源思路总结 溯源分析可以揭示攻击者在网络中的行动路径,通过分析攻击过程中的各个环节,包括入侵点、传播方式、横向移动路径等,可以了解攻击者是如何进入系统、获取权限以及传播恶意活动的。 高质量的溯源分析...
01月07日32 views评论ip
域名
溯源思路总结
01月07日32 views评论ip
域名
01月07日32 views评论ip
域名
webshell网络安全应急响应
Webshell通常指JSP、ASP、PHP 等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作、命令执行功能,是一种网页后门。攻击者在入侵一个网站后,通常会将 Webshell 后门文件...
01月07日88 views评论webshell
脚本
九维团队-青队(处置)| 《事件响应和计算机取证》之为不可避免的事件做好准备(四)
前言本文为《Incident-Response-&-Computer-Forensics》(事件响应和计算机取证-第三版)书籍的翻译稿。因整体篇幅较长,将会在本公众号拆分为多篇推送。为保证内容...
01月06日19 views评论九维团队
事件响应
计划任务的攻防战 | Window 应急响应
0x00 简介 一些安全研究员发现,通过修改创建的计划任务的注册表,同时删除计划任务文件,可以完全隐藏计划任务,并且执行不受影响大家想了解相关技术,可以查看以下文章https://mp.weixin....
01月06日39 views评论powershell
应急响应
计划任务执行由谁决定 | Windows 应急响应
0x00 简介 由于 Windows 不开源,而 Windows 的某一项服务可能受多个配置项影响,所以很多研究员通过逆向的方式,分析服务调用过程,推测执行流程,例如 https://mp.weixi...
01月04日188 views评论注册表
计划任务
通用型漏洞的应急响应
【应急响应】黑客入侵应急响应分析手工排查
Author: sm0nk@猎户攻防实验室 行文仓促,不足之处,还望大牛指正。 1 事件分类 常见的安全事件: 1.Web入侵:挂马、篡改、Webshell 2.系统入侵:系统异常、RDP爆破、SSH...
01月04日285 views评论alt
ls
记一次门罗币挖矿病毒处置
背景:某客户被政务服务中心通报中了挖矿病毒,要求进行处置现场处置:1,发现通报的是一台CENTOS系统的服务器,发现有大量占用CPU资源的进程kheiper,看到这个进行直接就知道是门罗币的挖矿了,2...
01月03日49 views评论virustotal
挖矿病毒
应急响应 | 企业安全开发生命周期(SDL)实践
前言 应急响应并不仅仅是对被黑的机器进行检查是否中了botnet病毒、是否被rootkit或者是否被挂了webshell等操作。实际上,它涉及到的技术含量非常高,包括如何定位问题、如何修复漏洞以及如何...
12月30日67 views评论企业
应急响应
干货|基于被钓鱼主机的快速应急响应
免责声明由于传播、利用本公众号亿人安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号亿人安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
12月28日43 views评论应急响应
计划任务
恶意域名的dns查询响应
一、起因(一)告警信息某天,某APT平台检测发现,内网DNS服务器的53端口,多次向某IP地址(IP1)发送恶意域名(ilo.brenz.pl)的dns解析响应。经查,IP1不是内网主机的IP地址,而...
12月25日130 views评论dns解析
tcpdump
流量劫持网络安全应急响应
流量劫持在网络安全事件中比较常见,它是一种通过在应用系统中植入恶意代码、在网络中部署恶意设备、使用恶意软件等手段,控制客户端与服务端之间的流量通信、篡改流量数据或改变流量走向,造成非预期行为的网络攻击...
12月25日72 views评论dns服务器
网络安全应急响应
96