第十二课 收集威胁情报数据源——TLS证书（一） 01关于TLS证书传输层安全 (TLS) 和安全套接字层 (SSL) 是加密协议，有助于保护网络通信的安全。SSL 最初由 Netscape 在 20 世纪 90 年代开发，3.0 版已于 2015... 2024-1-20 17:54:40 | 阅读: 19 | 收藏 | Desync InfoSec 证书 数据 攻击 信息 安全

【DFIR报告翻译】教科书级基于钻石模型的分析报告 摘要今天这篇报告与thedfirreport以往的报告内容有些许区别。我们获取到了攻击者的主机数据！因此我们可以看到与以往不同角度的分析结果。在今年11月份的时候，我们观测到一台存在目录浏览漏洞的互联... 2023-12-23 17:0:39 | 阅读: 10 | 收藏 | Desync InfoSec 攻击 攻击者 漏洞 sliver windows

【公益课程】Active Directory攻击与防御 Active Directory 攻击与防御01课程介绍微软活动目录域环境在当今的网络环境中扮演着重要的角色，尤其是外企，基本都会使用活动目录域环境来管理用户对象，计算机对象，打印机对象以及一些网络设... 2023-12-20 20:8:7 | 阅读: 29 | 收藏 | Desync InfoSec 攻击 安全 漏洞 免杀 委派

近源渗透评估指南-WiFi篇 声明：本文介绍的内容仅限于于技术研究和交流，请勿使用本文介绍的技术进行未授权的测试。概述在安全评估过程，经常会遇到对无线(Wireless)网络进行渗透测试的需求。最近刚好在写一个针对WiFi的测试指... 2023-12-18 21:36:45 | 阅读: 15 | 收藏 | Desync InfoSec captive 数据 攻击 wlan0 8d

【DFIR报告翻译】一箭双雕，SQL爆破成功后不仅挖矿还勒索 欢迎访问语雀知识库，获取最佳阅读体验：https://www.yuque.com/safestplace/zh4qn2/sg11huyoxpt5xgyf摘要在2022年12月，我们处理了一起从互联网暴... 2023-12-7 18:1:33 | 阅读: 9 | 收藏 | Desync InfoSec powershell 攻击 windows 脚本 tor2mine

Zeek使用与实践探索二 背景又使用了一段时间的zeek，继续将遇到的问题总结出来，分享给大家。如果文章内容对您有所帮助，请购买一本西野七濑的写真集（❌）点赞转发在看（✔），感谢！01日志相关部署完zeek后，采集日志进行后续... 2023-11-23 23:17:0 | 阅读: 20 | 收藏 | Desync InfoSec zeek payload 字段名 nta01 originator

第十一课 收集威胁情报数据源——外部数据集（二） 01开源情报收集框架CIF（Collective Intelligence Framework）情报收集框架，是CSIRTGadgets.org提出的企业情报管理系统，威胁情报的数据需要一个管理系统才... 2023-11-19 22:39:41 | 阅读: 11 | 收藏 | Desync InfoSec 信息 数据 威胁 github otx

【DFIR报告翻译】从NetSupport持久化到AD域失陷 欢迎访问语雀知识库，获取最佳阅读体验：https://www.yuque.com/safestplace/zh4qn2/sg11huyoxpt5xgyf摘要NetSupport Manager是目前市... 2023-11-13 20:14:38 | 阅读: 12 | 收藏 | Desync InfoSec 攻击 攻击者 netsupport windows 入侵

针对入侵分析的一个虚拟机环境v0.1 简介做这个虚拟机的初衷是为入侵分析人员更方便地处理从入侵事件中获取的数据。感谢后台留言的大佬。其实这个环境涉及的场景应该非常有限，所以这个环境应该不会传播很广吧？工具均来自互联网，我们不能保证虚拟机中... 2023-9-17 19:42:2 | 阅读: 28 | 收藏 | Desync InfoSec 虚拟 虚拟机 监控 入侵 3gb

听说你精通蓝队技术，当真？常见攻击工具特征及检测分析 概述攻击者在入侵的过程中，总是会使用一些工具。例如：扫描器、远程控制软件、C2框架、代理隧道等等。而这些工具在网络通信时产生的流量默认情况下都会存在固定的特征。对本文内容感兴趣，欢迎下载文末的完整文档... 2023-6-27 22:14:51 | 阅读: 158 | 收藏 | Desync InfoSec 攻击 代理 隧道 攻击者 流量

第七课 深入理解杀伤链和钻石模型（二） 追踪攻击者的意图经过以上分析我们知道入侵已经达到远程控制阶段，攻击者在获取远程控制后会继续进行内网探测信息收集，或者窃取数据等实现入侵的目标。而我们也需要知道攻击者的后续活动。这通常分成两方面进行分析... 2023-6-27 22:14:45 | 阅读: 18 | 收藏 | Desync InfoSec c2 失陷 数据 流量 攻击

第七课 深入理解杀伤链和钻石模型 SUMMER了解日志仓库Logrotate是一款Linux平台中用于管理日志的工具，它可以实现定期轮换、打包和删除日志文件。结合syslog服务，一些安全成本有限的企业可以自行建设日志存储服务器。在我... 2023-6-22 00:1:43 | 阅读: 16 | 收藏 | Desync InfoSec c2 代理 网络 数据 信息

第六课 入侵分析是情报的主要数据源（五） MITRE ATT&CK攻击者使用的技术战术和工具种类繁多数量庞大，MITRE做了一个伟大的工作，将这些技战术整合到了一个框架中。对于分析师来说，不应该将ATT&CK框架视为一个完美无缺的清单，而是将... 2023-6-20 12:42:17 | 阅读: 14 | 收藏 | Desync InfoSec 攻击 网络 攻击者 信息 技战术

如果安全产品连自己都保护不了，又如何保护客户的网络安全？ 01前言墨菲定律指明"Anything that can go wrong will go wrong."，即如果事情有变坏的可能，不管这种可能性有多小，它总会发生。在网络安全领域也是同样的道理，如果... 2023-6-17 21:39:41 | 阅读: 20 | 收藏 | Desync InfoSec 安全 secwatch ssh 攻击 网络

【DFIR报告翻译】一次优雅的入侵后磁盘擦除 原文链接：https://thedfirreport.com/2023/06/12/a-truly-graceful-wipe-out/【DFIR报告翻译】一次优雅的入侵后磁盘擦除摘要在今年5月份的一... 2023-6-16 07:1:56 | 阅读: 33 | 收藏 | Desync InfoSec 攻击 攻击者 flawedgrace windows cobalt

TrackAssist —— 批量快速溯源辅助脚本 点击蓝字 关注我们  前言最近有一个任务，碰到的需求和以前做过的任务一样，主要是按客户要求做溯源反制，其中就得对外部的攻击IP进行分析（其实就是对发起真实攻击的ip进行筛选排查，看能否进行溯源和反制）... 2023-6-14 11:40:4 | 阅读: 28 | 收藏 | Desync InfoSec 信息 脚本 攻击 gevent 溯源

MISP是什么？ 什么是MISP？MISP（Malware Information Sharing Platform）是一个开源的、免费的威胁情报平台，用于收集、共享和分析关于恶意软件和网络威胁的信息。MISP旨在促进... 2023-6-3 18:17:25 | 阅读: 19 | 收藏 | Desync InfoSec misp 虚拟 虚拟机 威胁 账号

第六课 入侵分析是威胁情报的主要来源（四） CoA矩阵简介我们收集到的每一条情报都应该具有价值和可操作性，可操作性可以是直接使用的（例如：封禁动作），也可以是用于恶意活动归因分析的。这些可操作性的防护手段有的是可以直接在当前组织拥有的设备和技术... 2023-5-29 19:1:8 | 阅读: 12 | 收藏 | Desync InfoSec 攻击 攻击者 入侵 欺骗 coa

【DFIR报告翻译】IcedID恶意宏助攻Nokoyawa勒索软件 01摘要攻击组织已经流行使用IOS文件与LNK快捷方式或OneNote组合使用的方式来投递恶意软件，但我们发现仍然有一些攻击组织喜欢使用Office文档附加宏代码进行钓鱼攻击。在本例中，我们记录了20... 2023-5-23 22:9:43 | 阅读: 14 | 收藏 | Desync InfoSec 攻击 攻击者 windows x90 u003d

【DFIR报告翻译】SEO投毒 一个Gootloader的故事 摘要今年2月份，我们发现了一起边界突破阶段使用了Gootloader（又名GootKit）工具的入侵事件。入侵持续了两天，包括内网探测、权限维持、横向移动、内网信息收集、防御规避、窃取凭证以及远程控制... 2023-5-22 11:59:37 | 阅读: 25 | 收藏 | Desync InfoSec powershell windows 攻击 攻击者 uo