基于被钓鱼主机的快速应急响应
作者:凝 前言 对于linux而言,除了rootkit,大部分的后门均可以使用工具快速排查,但是对于被钓鱼的终端,我们却很难进行有效排查,因此写这篇文章分享一下自己对于windows操作系统应急响应的一些看...
- 7
- 4
- ning凝
- 发布于 2023-12-26 10:00:01
- 阅读 ( 6180 )
ning凝
JA 指纹识全系讲解-JA4+篇
JA4+ 首发于 2023 年九月,是 JA3/3s 的升级替代,它由早期针对 TLS 流量的指纹升级为多样协议的指纹识别方法,变为了指纹集,这也就是后缀带一个`+`的原因了
- 0
- 1
- 385
- 发布于 2024-03-08 09:32:14
- 阅读 ( 5737 )
fan
记录某项目中一次较为顺利的溯源反制过程
从发现攻击IP到反制拿到system权限,再到分析傀儡机上的扫描工具(有球球号),最后还原攻击路径。主打一个分享思路和技巧。
- 3
- 1
- 11123
- 发布于 2024-05-16 09:00:00
- 阅读 ( 3752 )
Yu9
记一次实战中信息收集溯源案例分享
在某次值守中,发现了一个攻击IP ,通过社工信息收集等思路与技巧,结合地图定位与各个渠道信息检索,逐步深入,直到溯源到攻击IP所属人的完整信息,内容详细完整值得一读。
- 3
- 3
- chenwuwu
- 发布于 2024-08-15 10:10:48
- 阅读 ( 2822 )
利用memfd_create实现无文件攻击
当下无文件(fileless)攻击已经越来越流行,由于其无文件执行比较隐蔽和难检测,广受攻击者的喜欢,该植入后门的过程不涉及新文件写入磁盘,也没有修改已有文件,因此可以绕过绝大部分安全软件。另外许多Linux系统会自带各种调试工具、解释程序、编译器和程序库,这些都可以帮助攻击者实现无文件技术隐蔽执行。然而,无文件执行也有一些缺点,就是重启后自动消失,因此需要考虑其他持久化的方式。本文介绍一种利用memfd_create实现无文件攻击的思路。
- 0
- 0
- 十一
- 发布于 2024-06-11 10:00:00
- 阅读 ( 2483 )
记一次(反虚拟+反监测+域名前置)钓鱼样本分析及思考
好久没写文章了,简单写篇样本分析的文章记录下前几天分析的一个样本,这个样本还是比较经典的,做了些反分析的手段,也使用了一些比较流行免杀对抗技术,能够免杀一些杀软;这篇文章我们主要看这个loader怎么做的,以及如何正常分析这样的样本和快速拿到c2;同时也分享一些奇奇怪怪的知识:如何提取样本特征做威胁狩猎以及对样本对抗的一些思考和想法;
- 3
- 2
- Ga0WeI
- 发布于 2024-08-19 09:00:01
- 阅读 ( 2215 )
Ga0WeI
代码艺术:浅析GDB注入魔法
概述 GNU调试器(GDB,GNU Debugger)是一个开源的、强大的调试工具,被广泛应用于类Unix的操作系统。GDB的主要功能之一是允许开发者在程序运行时观察和控制程序的执行流程。通过GDB,开发者可...
- 0
- 0
- 十一
- 发布于 2024-06-11 09:46:31
- 阅读 ( 2068 )
应急响应——让Linux下的隐藏手段(Rootkit)无所遁形
本文主要针对黑灰产相关的蠕木僵毒等恶意软件在Linux上常用的rootkit手段做一些总结,以及详细分析常见应急响应中遇到的进程、文件隐藏手段的原理以及排查和恢复方法;
- 2
- 2
- Ga0WeI
- 发布于 2024-10-08 09:00:02
- 阅读 ( 2014 )
应急响应——全类型JAVA内存马排查
内存马在攻防中的是一个非常常见的手段,因此内存马排查也是每个应急人员必须掌握的技能,而在应急场景中遇到内存马的场景,基本都是基于java的web服务,所以此文主要从应急实践角度总结对一些JAVA常见内存马实现展开排查分析的经验;供防守人员参考;
- 2
- 0
- Ga0WeI
- 发布于 2024-09-26 09:00:02
- 阅读 ( 1891 )
记一次攻防样本——shellcode分析
书接上文,笔者发的一篇对某红队钓鱼样本分析的文章:《记一次(反虚拟+反监测+域名前置)钓鱼样本分析及思考》 本文主要针对上文中样本使用的shellcode展开分析,非常详细的记录了笔者分析该shellcode过程;以及对其使用的相关技术进行分析拆解;
- 0
- 0
- Ga0WeI
- 发布于 2024-10-21 09:00:00
- 阅读 ( 878 )