Zerotier + Openwrt异地组网高阶配置
和朋友一起协同开发,需要打通双方的局域网互访,所以考虑到vpn的场景。一开始考虑frp+openvpn的实现。frp实现点对点穿透,openvpn负责组网。但是感觉这样配置较为繁琐,双方都需要部署frp和openvpn,体验不是很友好。
探索了多种方案最终选择了Zerotier,一个自带P2P打洞的vpn,同时满足需要。只需要自建一台有公网ip的moon服务器就可以高效实现各个zerotier节点之间的打洞。
阅读更多0889挖矿团伙rootkit后门溯源排查记录
近期发现某国内的黑客团伙用0889.org作为恶意样本地址和通信域名,后面简称0889组织。最近一次排查某云上挖矿的case,发现该组织通过jenkins RCE漏洞突破边界,内网横向后拿到主机权限后,批量下发挖矿和rootkit后门。
挖矿就没什么好说的,本文重点分析该组织的rootkit后门隐藏手法以及应急排查思路。
阅读更多Macos 应急响应取证基础
macOS 文件系统
macOS 目前使用的文件系统称为 Apple File System(APFS)。APFS 在 2017 年随 macOS High Sierra 引入,并取代了之前的 HFS+(Mac OS X 使用的旧文件系统)。Apple 转向 APFS 的主要原因是增强加密能力,从而提升安全性,同时在多个领域也做了改进,包括:
阅读更多AWS S3(存储桶)理论基础和应急排查思路
在云上应急响应和安全运营场景中,AWS S3 几乎是绕不开的核心基础设施之一。
Amazon S3(Simple Storage Service)是 AWS 提供的对象存储服务,主打高可用、高可靠、可无限扩展。从企业日志、业务数据,到备份、镜像、取证文件,很多关键数据最终都会落在 S3 上。
也正因为它“什么都能存”,一旦配置不当,S3 也是云上数据泄露、勒索攻击、取证对抗中最常被利用的点之一。
阅读更多浏览器应急取证排查思路
在实际的应急响应过程中,很多分析工作都会优先聚焦在主机进程、网络流量或恶意样本本身,但浏览器往往是攻击链中最容易被忽视、却信息量极大的一个环节。
浏览器取证(Browser Forensics)通过还原用户的浏览行为,分析人员可以在多种安全事件中找到关键证据,例如内部人员违规、钓鱼攻击、恶意网站访问、数据外泄等场景。
在部分真实案例中,攻击的“起点”并不是一个可疑的可执行文件,而是一次看似正常的网页访问。
阅读更多应急响应中常见的安全产品
WAF、LB、IDS、IPS、Firewall、Sandbox、DLP、EDR……这些安全产品在日常安全运维中各司其职,但一旦进入应急响应阶段,它们的角色会发生明显变化,从“防护组件”变成“取证节点”。本文站在应急响应的真实视角,梳理在安全事件处理中最常见、也最容易被误解的安全产品:它们各自能解决什么问题,又在哪些场景下真正发挥价值。
阅读更多AD域应急-NTLM Relay攻击狩猎
在 Active Directory 环境中,NTLM Relay 是一种非常经典、同时也极具现实威胁性的横向移动技术。它并不依赖漏洞利用,而是滥用了 NTLM 认证协议本身的设计缺陷。在实际应急响应中,这类攻击往往隐藏在“看似正常的登录行为”之中,如果没有针对性的检测思路,很容易被忽略。
阅读更多AD域应急-Golden Ticket攻击狩猎
在企业级 Windows 域环境中,Kerberos 是最核心的身份认证机制之一。而一旦 Kerberos 的根基被攻破,攻击者就可能获得对整个域的“无限通行证”——这正是 Golden Ticket(黄金票据)攻击 的本质。
阅读更多