恶意软件理论基础
恶意软件(Malware)的定义很宽泛:凡是在计算机系统上执行非预期行为的软件,都可以归入这个范畴。破坏系统功能、窃取敏感数据、获取未授权访问权限、强制展示广告……这些都算。”病毒”只是其中一种形态,用它来代指所有恶意软件,就像用”感冒”来描述所有疾病一样,早就不够用了。
阅读更多恶意软件(Malware)的定义很宽泛:凡是在计算机系统上执行非预期行为的软件,都可以归入这个范畴。破坏系统功能、窃取敏感数据、获取未授权访问权限、强制展示广告……这些都算。”病毒”只是其中一种形态,用它来代指所有恶意软件,就像用”感冒”来描述所有疾病一样,早就不够用了。
阅读更多DFIR,全称 Digital Forensics and Incident Response(数字取证与事件响应),可以拆成两部分来理解:
两者合在一起,就构成了处置安全事件的完整闭环——确定损害范围、还原攻击路径、溯源攻击者身份,并提供防止类似事件再次发生的关键情报。
阅读更多经过对B004镜像服务器深入排查,基本确定黑客通过IIS viewstate反序列化漏洞获取服务器初始权限,进一步植入恶意dll加载到IIS内存,实现网站劫持和后门通信。黑客使用ccprotect驱动实现恶意dll和驱动文件的隐藏。
阅读更多在真实的安全运营场景中,我们往往是在“事情已经发生之后”才介入:告警触发、业务异常、用户反馈异常登录……随后启动应急响应流程。但随着攻击手段的不断演进,仅靠这种被动响应的方式,已经越来越难以应对复杂攻击。
威胁狩猎,正是在这种背景下逐渐成为安全运营体系中不可或缺的一环。
阅读更多