应用安全

Lazarus被称之为为2020年最活跃的APT组织，在攻击中使用的恶意软件属于一个被命名为ThreatNeedle的家族。Lazarus曾使用这个恶意软件攻击各个行业。在2020年中期，捕获到Lazarus正在使用ThreatNeedle对国防工业发起攻击，到目前为止，已经有十几个国家的组织受到影响。

对于大部分远控，包括商业/开源/自研，都提供交互式cmdshell命令执行功能，并且红队在内网拿到驻点的后渗透过程中，也比较热衷于使用这个功能，如果监控这类场景，将极大提升入侵检出率。

Cobalt Strike Beacon提供了很多命令控制的功能，其中有的存在强特征，有的存在弱特征，而剩下的基本没有特征，前两者都可以监控，即使是弱特征通过关联分析也能做到基本无误报的程度，如果内网中存在红队的CS木马，在没有对抗意识的情况下，很容易做出一些『错误』的操作被蓝队检测到。

ADB远程调试接口的攻击面引入来源主要是企业内部移动端或IOT研发的调试需求，或者某些第三方厂商交付的IOT产品没有关闭ADB功能。由于这些设备往往在资产视野范围之外，而且设备上也常没有EDR/HIDS之类的Agent，所以对于红队来说，内网拿下几台IOT设备的驻点，可能会造成蓝队的溯源和取证障碍。

Cisco ASA调试可分为硬件调试和虚拟化调试，其中硬件调试方法可以支持所有版本的ASA系统，虚拟化调试目前只支持ASA 802和ASA 842两个版本，主要原因是只有这两个版本的系统支持虚拟化环境，下面分开讲解两种调试方法。

原文：https://zhuanlan.zhihu.com/p/34358838

Tor 是一个用来在互联网中实现匿名通信的网络系统。当使用者通过 Tor 客户端（例如 Tor 浏览器）连接到互联网时，加密后的流量会从用户出发，先经过入口节点（guard relay）进入 Tor 网路，随后发送到中继节点（middle relay），最后从出口节点（exit relay）发…

评估规则性能 开启profiling-rules功能： 查看…

前置条件准备一个干净的CentOS7环境，部署版本Suric…

转自知乎，作者来自腾讯，原文已被作者删除。

前言

入侵检测是每一个大型互联网企业都要面对的一个难题。

比如，你怎么知道，当前自己公司是不是已经被黑了？是真的没人来黑，还是别人黑了自己没有能力感知到？

价值越大的公司，面临入侵的威胁越大，像Yahoo！这样的互联网鼻祖，在落幕时仍遭遇全量数据失窃的事情，一旦发生在轻资产的数据化公司身上，后果不堪想象。

基于保密的考虑，本文不会提及任何具体的策略。希望直接照搬入…

一、Suricata 分布式IDS项目 目的对办公网流量监听，入侵和违规行为告警

Suricata 由OISF(Open Information Security Foundation )开发为标准libpcap或libpfring接口，支持snort规则。OISF由DHS(United States Department of Homeland Security)及Breach S…