AWS S3(存储桶)理论基础和应急排查思路
在云上应急响应和安全运营场景中,AWS S3 几乎是绕不开的核心基础设施之一。
Amazon S3(Simple Storage Service)是 AWS 提供的对象存储服务,主打高可用、高可靠、可无限扩展。从企业日志、业务数据,到备份、镜像、取证文件,很多关键数据最终都会落在 S3 上。
也正因为它“什么都能存”,一旦配置不当,S3 也是云上数据泄露、勒索攻击、取证对抗中最常被利用的点之一。
阅读更多浏览器应急取证排查思路
在实际的应急响应过程中,很多分析工作都会优先聚焦在主机进程、网络流量或恶意样本本身,但浏览器往往是攻击链中最容易被忽视、却信息量极大的一个环节。
浏览器取证(Browser Forensics)通过还原用户的浏览行为,分析人员可以在多种安全事件中找到关键证据,例如内部人员违规、钓鱼攻击、恶意网站访问、数据外泄等场景。
在部分真实案例中,攻击的“起点”并不是一个可疑的可执行文件,而是一次看似正常的网页访问。
阅读更多应急响应中常见的安全产品
WAF、LB、IDS、IPS、Firewall、Sandbox、DLP、EDR……这些安全产品在日常安全运维中各司其职,但一旦进入应急响应阶段,它们的角色会发生明显变化,从“防护组件”变成“取证节点”。本文站在应急响应的真实视角,梳理在安全事件处理中最常见、也最容易被误解的安全产品:它们各自能解决什么问题,又在哪些场景下真正发挥价值。
阅读更多AD域应急-NTLM Relay攻击狩猎
在 Active Directory 环境中,NTLM Relay 是一种非常经典、同时也极具现实威胁性的横向移动技术。它并不依赖漏洞利用,而是滥用了 NTLM 认证协议本身的设计缺陷。在实际应急响应中,这类攻击往往隐藏在“看似正常的登录行为”之中,如果没有针对性的检测思路,很容易被忽略。
阅读更多AD域应急-Golden Ticket攻击狩猎
在企业级 Windows 域环境中,Kerberos 是最核心的身份认证机制之一。而一旦 Kerberos 的根基被攻破,攻击者就可能获得对整个域的“无限通行证”——这正是 Golden Ticket(黄金票据)攻击 的本质。
阅读更多AD域应急-NTDS.dit 转储狩猎
在 Active Directory 环境中,NTDS.dit 是最核心、也是最危险的一份数据。一旦这份文件落入攻击者手中,基本可以视为整个域已经失守。在应急响应过程中,如果我们忽略了对 NTDS 数据库转储行为的监控,往往意味着攻击者离拿下域控不远了。
阅读更多AD域应急-LDAP枚举行为狩猎
在 Active Directory 域环境中,LDAP 是一个再正常不过的存在。无论是用户登录、计算机加入域,还是服务账户访问资源,底层几乎都绕不开 LDAP 查询。从运维视角看,这是“基础设施的必要操作”;但从攻击者视角看,LDAP 则是快速摸清整个域环境结构的捷径。
阅读更多AD域应急-Kerberoasting攻击狩猎
在 Active Directory 环境中,Kerberoasting 是一种非常经典、也非常“务实”的攻击方式。攻击者并不需要管理员权限,只要拥有一个普通的域用户账号,就可以对配置不当的服务账号发起攻击。
阅读更多