- 简介
- 目录大纲
- 最新文档
FL10 远控后门
0x00 整体流程 0x01 梳理现场情况 采集并确定 ioc 信息 从内网 dns 服务器、dns 防火墙、流量审计设备等设备获取 从 EDR、态势感知等设备获取 根据ioc信息确定远控后门具体家族类型 Virustotal 深信服威胁情报中心 微步在线 venuseye 安恒威胁情报中心 360威胁情报中心 绿盟威胁情报中心 AlienVault RedQueen安全智能服务平台 IBM ……
myh0st - 2025年7月22日 08:22
FL09 勒索病毒
0x00 整体流程 0x01 勒索病毒简述 勒索病毒是让人比较无奈的恶意程序,大部分都是只有攻击者才能解密 近期和一些勒索解密团队合作后发现,其实还是有解密的可能的,是否能够解密,如何判断需要专业团队来完成 但还是那句话,把应急解密或者赎金的钱用在数据备份,安全防护上才是较为明智的选择 0x02 梳理现场情况 保护现场 保护现场很重要,即使重装系统也建议保留一份镜像,尤其是与本次攻击相关的关……
myh0st - 2025年7月21日 20:26
FL08 挖矿病毒
0x00 整体流程 0x01 梳理现场情况 采集并确定 ioc 信息 从内网 dns 服务器、dns 防火墙、流量审计设备等设备获取 根据ioc信息确定挖矿程序具体家族类型 Virustotal 深信服威胁情报中心 微步在线 venuseye 安恒威胁情报中心 360威胁情报中心 绿盟威胁情报中心 AlienVault RedQueen安全智能服务平台 IBM X-Force Exchange……
myh0st - 2025年7月21日 20:25
FL07 隧道
为了隐匿流量,攻击者常常使用隧道来进行流量加密与混淆 隧道事件的事件来源一般有以下几种: 流量设备发现存在网络隧道 主机安全程序发现存在网络隧道或相关文件、进程 排查过程中发现存在跳板机痕迹等,进而发现隧道 运维相关人员发现异常端口等 其实大家可以发现,处理隧道与处理远控后门没有太大的区别,因为隧道本身就是后门大概念中的一部分,所以也是通过各种特征找到 PID ,进而处理 大多数协议隧道都……
myh0st - 2025年7月21日 20:24
FL06 恶意软件包供应链攻击
0x00 梳理现场情况 采集并确定 ioc 信息 恶意软件包供应链攻击的事件来源可能有很多,例如主动 rpm -Va 或 debsums --all 检查或被动流量侧、EDR侧检测到恶意程序等,因此这部分以发现恶意软件包程序 pid 为开始 确认攻击信息准确性 安全设备、人、上级/行业/监管单位的通报都不见得是准确的,做二次研判是必要的,能够帮我应急响应人员确定整体排查思路 询问历史被攻击情况……
myh0st - 2025年7月21日 20:23
FL05 非持续事件 - Linux
0x00 简介 持续性的挖矿、远控后门等可以通过直接排查发现,但是在实际工作中,很多恶意行为(访问恶意域名、连接恶意IP)只集中出现了几次,无法直接通过网络连接找到恶意进程及文件或者有些恶意程序处置结束后,无法确定是否已经清理完整 可以通过短时间/长时间网络监控来解决 0x01 确定目标域名或IP 如果目标域名或者IP是某一知名组织的,可以将该组织或者种类病毒的域名和IP都收集进行监控 0x0……
myh0st - 2025年7月21日 20:22
DK006 smtp 暴力破解
邮件服务这块一直是企业突破口的重灾区,主要涉及三个协议 SMTP, POP3, IMAP 简单来说,SMTP负责发,POP3、IMAP负责收,POP3协议客户端收到邮件,服务器端就会将其删除,除非有特殊的配置,可能在一些方面有其用途。IMAP则弥补了这一缺陷,客户端该收收,服务端还给你保存着,同时你在客户端的各种配置操作都会在服务器上进行同步 按照其用途来说,三种协议都有身份认证的过程,对于这种出……
myh0st - 2025年7月21日 20:21
DK005 Mongodb 暴力破解
Mongodb 曾经也出现过未授权访问漏洞,具体可以参照Freebuf 上的文章 https://www.freebuf.com/vuls/212799.html 3.0之前版本的MongoDB,默认监听在0.0.0.0,3.0及之后版本默认监听在127.0.0.1。 3.0之前版本,如未添加用户管理员账号及数据库账号,使用--auth参数启动时,在本地通过127.0.0.1仍可无需账号密码登录……
myh0st - 2025年7月21日 20:20
DK004 Redis 未授权访问&暴力破解
未授权访问漏洞,洞如其名,因为不需要授权,所以可能会导致一顿恶意操作 没啥说的,直接连接就好 加固方案 设置密码,并且密码足够复杂 将redis.conf 中的 requirepass 前的注释打开,并且设置一个复杂密码 按照需求进行收口,如果仅仅是本机使用,可以绑定IP为 127.0.0.1 修改配置文件后需要重启redis生效 redis 默认是不记录日志的,可以通……
myh0st - 2025年7月21日 20:19
DK003 FTP 暴力破解
ftp服务端以 vsftpd为例,其他服务端思路类似,日志记录可能不同 vsftpd配置过程 网络连接 可以看到,现在存在一条已经建立的连接,从 192.168.197.101的56806端口连接到192.168.197.129的21端口 如果存在暴力破解,网络连接情况如下: 有大量的ESTABLISHED状态和TIME_WAIT状态的网络连接 当前的ftp会话 ftp和ssh不……
myh0st - 2025年7月21日 20:18