Lazarus被称之为为2020年最活跃的APT组织,在攻击中使用的恶意软件属于一个被命名为ThreatNeedle的家族。Lazarus曾使用这个恶意软件攻击各个行业。在2020年中期,捕获到Lazarus正在使用ThreatNeedle对国防工业发起攻击,到目前为止,已经有十几个国家的组织受到影响。
应用安全
-
-
对于大部分远控,包括商业/开源/自研,都提供交互式cmdshell命令执行功能,并且红队在内网拿到驻点的后渗透过程中,也比较热衷于使用这个功能,如果监控这类场景,将极大提升入侵检出率。
-
Cobalt Strike Beacon提供了很多命令控制的功能,其中有的存在强特征,有的存在弱特征,而剩下的基本没有特征,前两者都可以监控,即使是弱特征通过关联分析也能做到基本无误报的程度,如果内网中存在红队的CS木马,在没有对抗意识的情况下,很容易做出一些『错误』的操作被蓝队检测到。
-
ADB远程调试接口的攻击面引入来源主要是企业内部移动端或IOT研发的调试需求,或者某些第三方厂商交付的IOT产品没有关闭ADB功能。由于这些设备往往在资产视野范围之外,而且设备上也常没有EDR/HIDS之类的Agent,所以对于红队来说,内网拿下几台IOT设备的驻点,可能会造成蓝队的溯源和取证障碍。
-
Cisco ASA调试可分为硬件调试和虚拟化调试,其中硬件调试方法可以支持所有版本的ASA系统,虚拟化调试目前只支持ASA 802和ASA 842两个版本,主要原因是只有这两个版本的系统支持虚拟化环境,下面分开讲解两种调试方法。
-
原文:https://zhuanlan.zhihu.com/p/34358838
Tor 是一个用来在互联网中实现匿名通信的网络系统。当使用者通过 Tor 客户端(例如 Tor 浏览器)连接到互联网时,加密后的流量会从用户出发,先经过入口节点(guard relay)进入 Tor 网路,随后发送到中继节点(middle relay),最后从出口节点(exit relay)发…
-
-
-
转自知乎,作者来自腾讯,原文已被作者删除。
前言
入侵检测是每一个大型互联网企业都要面对的一个难题。
比如,你怎么知道,当前自己公司是不是已经被黑了?是真的没人来黑,还是别人黑了自己没有能力感知到?
价值越大的公司,面临入侵的威胁越大,像Yahoo!这样的互联网鼻祖,在落幕时仍遭遇全量数据失窃的事情,一旦发生在轻资产的数据化公司身上,后果不堪想象。
基于保密的考虑,本文不会提及任何具体的策略。希望直接照搬入…
-
一、Suricata 分布式IDS项目 目的对办公网流量监听,入侵和违规行为告警
Suricata 由OISF(Open Information Security Foundation )开发为标准libpcap或libpfring接口,支持snort规则。OISF由DHS(United States Department of Homeland Security)及Breach S…