自计算机系统出现以来,网络攻击者一直利用当时可用的各种攻击向量对系统实施入侵。在早期,由于数字环境规模小、结构简单,攻击方式也相对直接、易于理解。随着时间推移,数字系统不断扩展并演化成庞大而复杂的数字基础设施,随之而来的攻击手法也日趋高级和隐蔽,使得攻击分析与检测变得愈加困难。
在应急响应的实际工作中,要全面理解一次网络入侵事件,必须对攻击者的行为路径、操作步骤和关键决策点进行结构化、标准化的建模。满足这一需求的重要方法之一,就是 MITRE ATT&CK 框架。
阅读更多python -c import pty; pty.spawn("/bin/bash")
做过渗透的小伙伴对这个命令都不会陌生,通常利用web漏洞进行反弹shell后,都会执行python的pty.spawn得到一个功能相对完善的伪终端,比如支持命令补全、使用vim等需要终端控制的程序。但是这也会导致攻击者执行过的命令被写入到当前用户的.bash_history中。
阅读更多【标题】:xxxxx 发现 DNS 恶意请求 【客户名称】:xxxxxxx 【风险等级】:高 【告警时间】:2025-06-12 【事件类型】:恶意请求行为 【受影响资产】:xxxxxxx 【详情】:[机器:xxxxxxx,请求恶意域名:mst2.mymst007.info,进程: C:\Windows\System32\wbem\scrcons.exe,请求次数:5,首次请求时间:2025-06-12 23:03:43, 最近请求时间:2025-06-12 23:03:43]
最近MSS运营中收到一条主机安全的告警,某客户的机器触发DNSLOG告警。但是这台机器本身也不提供服务,也没有公网ip,甚至已经很长时间都没人登录过,查看记录已经稳定运行几年时间了。这样的机器为什么会突然产生DNSLOG告警?
阅读更多近期发现某国内的黑客团伙用0889.org作为恶意样本地址和通信域名,后面简称0889组织。最近一次排查某云上挖矿的case,发现该组织通过jenkins RCE漏洞突破边界,内网横向后拿到主机权限后,批量下发挖矿和rootkit后门。
挖矿就没什么好说的,本文重点分析该组织的rootkit后门隐藏手法以及应急排查思路。
阅读更多macOS 目前使用的文件系统称为 Apple File System(APFS)。APFS 在 2017 年随 macOS High Sierra 引入,并取代了之前的 HFS+(Mac OS X 使用的旧文件系统)。Apple 转向 APFS 的主要原因是增强加密能力,从而提升安全性,同时在多个领域也做了改进,包括:
阅读更多