概述2022年5月份,奇安信威胁情报中心发表了《Operation Dragon Breath(APT-Q-27):针对博彩行业的降维打击》一文,披露了金眼狗(奇安信内部跟踪编号APT-Q-27)针对...
【红队技巧】如何将恶意文件伪装成正常文件
免责声明本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号团队不为此承担任何责任。使用场景在护网行动中可能会使用社会工程学进行攻...
初探Linux内核eBPF之恶意程序行为监控
0x00 关于eBPFeBPF是BPF技术的一个扩展,而BPF (Berkeley Packet Filter) 是一种内核技术,最初用于高效过滤网络数据包。它可以让操作系统内核从用户空间接收过滤规则...
应急实战(15):340个网页被挂马了
目录1. Preparation2. Detection3. Containment 3.1 删除恶意程序 3.2清除挂马代码4. Eradication5. Recovery6. Fol...
应急实战(14):巧妙的恶意程序
目录1. Preparation 1.1 开启日志记录 1.2 优化日志策略 1.3 部署安全产品2. Detection 2.1 安全产品告警3. Containment ...
应急实战(13):被上传了一堆恶意程序
目录1. Preparation 1.1 部署安全设备2. Detection 2.1 安全设备告警3. Containment 3.1 终止进程相关恶意程序 /usr/sbin/h...
应急实战(12):小小挖矿竟留4个后门
1. Preparation 1.1 部署安全设备2. Detection 2.1 安全设备告警3. Con...
红队技术:恶意程序开发初级篇1-payload载入点
恶意程序开发技术在红队技术中既是重点也是难点,学会恶意程序开发首先有利于对操作系统底层机制的进一步了解,其次也有助于对免杀程序的研究,以及对恶意脚本的逆向分析等。本系列将由简至繁介绍恶意程序开发中的相...
进程注入系列Part 1 常见的进程注入手段
本期作者/shadow 前言 进程注入是一种众所周知的技术,恶意程序利用它在进程的内存中插入并执行代码。进程注入是一种恶意程序广泛使用的防御规避技术。大多数情况下,恶意程序使用进程注入来动...
应急实战(9):一次简简单单的应急
目录1. Prepare 1.1 开启日志记录 1.2 优化日志策略2. Detect 2.1 运维发现3. Contain 3.1 暂无需要遏制的事项4. Eradicate...
应急实战(8):一次平平无奇的应急
Prepare开启系统日志记录开启中间件日志记录开启数据库日志记录Detect华为云告警Contain切断主机网络终止恶意进程删除恶意程序Eradicate清除自启服务后门未发现其他后门漏洞入口排查修...
从一次攻击过程看EDR的作用
一、EDR是什么? EDR是最近比较流行的一个产品,其全称为:Endpoint Detection and Response,端点检测与响应平台。 EDR不是杀毒软件,不是杀毒的升级版...