一、准备阶段1.1 基本情况DarkComet (暗黑彗星)是由 Jean-Pierre Lesueur(称为 DarkCoderSc)开发的远程访问木马(称为 RAT),在 2012 年初开始扩散,...
01月17日39 views评论ics
应急响应
干货 | 记一次DarkKomet synaptics 病毒应急响应事件
01月17日39 views评论ics
应急响应
01月17日39 views评论ics
应急响应
DarkKomet synaptics 病毒应急响应事件复盘
免责声明本公众号所发布的文章及工具只限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。导语:DarkComet (暗黑彗星)是由 Jean-Pierre Lesueur(称为 Dark...
12月22日16 views评论ics
应急响应
记一次linux挖矿木马WarmUp的处置
场景受公司委托对客户服务器挖矿木马进行应急处置,客户说服务器很卡让我们排查处置一下,okok,直接远程开搞开搞,所有可疑文件先下载留存,再删除。排查分析使用top命令查看CPU使用率时发现,进程war...
10月26日89 views评论cron
启动项
Linux 应急响应命令总结,收藏版
系统排查系统基本信息CPU 信息CPU 信息:lscpu操作系统信息操作系统信息:uname -a操作系统信息:cat /proc/version模块信息模块信息:lsmod账户信息系统所有账户系统所...
10月21日34 views评论信息
账号
APT 双尾蝎样本分析
本文为看雪论坛优秀文章看雪论坛作者ID:戴夫的小推车一ATP简介双尾蝎是一个长期针对中东地区的高级威胁组织,其最早于2017年被披露。至少自2016年5月起,持续针对巴勒斯坦教育机构、军事机构等重要领...
10月05日26 views评论apt
样本
D-Link DIR815后门漏洞复现分析
前言本文仅用做参考学习。今天的案例是D-Link DIR815后门漏洞,该漏洞是在启动项中写入了远程连接脚本,并且是硬编码写入,造成了远程连接的方式批量泄露。正文从网上下载固件。之后开始进行提取,这里...
10月05日38 views评论漏洞复现
硬编码
如何默认启动到 Linux 系统的旧内核
导读:高兴之余你会觉得有点儿不爽。因为你不得不在每次启动时手动选择较旧的内核。 本文字数:1784,阅读时长大约:2分钟这是一个可能的情景。你的系统收到...
07月20日2 views评论ubuntu
启动项
《入侵生命周期细分实践指南系列》:启动项执行攻击
美创科技为了更好地进行入侵检测和防御,参照各种安全威胁框架和自身的实践与思考,提出了基于入侵生命周期的攻击管理模型,作为美创新一代安全架构的三大支柱之一。入侵生命周期v1.0把入侵过程划分为7个阶段:...
07月17日12 views评论攻击者
生命周期
记一次蔓灵花APT组织针对巴基斯坦定向攻击的样本分析
近日蔓灵花APT组织对巴基斯坦进行一次定向攻击我这个弱鸡就分享一下我的分析记录吧0x00 开始样本一开始文件名是:Update Required Case Enq No 192_2018.docx.c...
07月13日17 views评论apt
注册表
记一次Emotet木马处理案例
0x00、前言用户的安全意识相对薄弱,面对来历不明的链接和附件,容易被诱导从而遭受木马的入侵。在日常使用过程中,有时电脑中病毒后会遇到木马查杀不掉的情况,应该是如何处理呢?下面分享一个Emotet木马...
07月12日8 views评论emotet
启动项
【2022HVV系列】|8-应急响应之入侵排查
目录一、前言二、Windows入侵排查 检查系统账号安全 检查异常端口、进程 检查启动项、计划任务、服务 检查系统相关信息 自动化查杀 日志分析三、Linux入侵排查 账号安全 历史命令 检查异常端口...
05月19日67 views评论windows
服务器
Windows留后门教程(四)——Windows启动项后门
一、Windows启动项后门介绍Windows启动项后门也是攻击者常用的权限维持方式,大体上可以分为两种。一种是重启电脑时自启动后门程序实现权限维持;另一种是点击某应用、服务、程序时自启动后门程序实现...
03月28日110 views评论windows
服务器
