使用Sysmon进行威胁狩猎
Sysmon (System Monitor) 是一种 Windows 系统服务和设备驱动程序,一旦安装在系统上,它就会在系统重启后继续驻留,以监视系统活动并将其记录到 Windows 事件日志中。Sysmon 记录的事件日志非常详细,提供了进程执行、文件系统活动、网络级事件、Windows 注册表事件和其他 Windows 特定进程(如命名管道)的可视化。
阅读更多Sysmon (System Monitor) 是一种 Windows 系统服务和设备驱动程序,一旦安装在系统上,它就会在系统重启后继续驻留,以监视系统活动并将其记录到 Windows 事件日志中。Sysmon 记录的事件日志非常详细,提供了进程执行、文件系统活动、网络级事件、Windows 注册表事件和其他 Windows 特定进程(如命名管道)的可视化。
阅读更多在某次应急排查中,收到网安的自查通告。xxx系统在某一天被某境外组织访问,通信流量xxMb。
阅读更多RITA(Real Intelligence Threat Analytics)是一款用于网络安全分析和威胁检测的开源工具。它收集、解析和分析网络流量数据,提供对网络活动的洞察,并允许安全专业人员检测和应对安全事件。RITA 提供实时警报,并允许用户执行网络取证和事件响应任务。
该框架以 TSV 格式接收 Zeek Logs,目前支持以下主要功能:
被rm -rf / 支配的恐惧,应该是每个人的噩梦。但云上遇到系统全盘删除的问题,处理会容易很多。本文以腾讯云为例,记录应急流程。
经测试使用SSD硬盘执行rm -rf / 后是无法恢复数据的,如果是使用SSD硬盘就不要对数据恢复抱有太大的希望了。
阅读更多应急响应过程中,经常会遇到黑客删文件的情况。比如上面这种黑客执行 echo > /root/.bash_history
的方式来删除文件,如果没有事先部署主机安全agent做命令审计,这种情况基本都无解。
但通过魔改debugfs的源码,解决了这一类痛点。
阅读更多某内网k8s集群主机安全告警存在ssh爆破成功的记录,上机排查发现该主机存在长达几个月的异常ssh登录,每天固定凌晨0点-4点出现ssh登录记录,并且同一个ip的ssh登录失败和成功的记录交叉出现。
初步判定这是一起非入侵导致的应急事件,但是该如何定位k8s容器出现异常ssh登录的原因呢?
阅读更多