
最近这几年攻防对抗愈演愈烈,攻击队被溯源反制的案例也越来越多。我本身从事应急响应,想站在蓝队的视角,基于ESXI实现一套防溯源的攻击环境,本文的所有操作只需要在ESXI和Openwrt上配置。实现在隔离网段中创建的新机器无需任何配置,开机即用的效果。
阅读更多Autopsy 是目前最主流的端到端开源数字取证平台,由 Basis Technology 开发维护。说白了,它把商业取证工具里那些核心功能都搬进来了,还是免费的。不管是 Windows、Linux 还是 Android 的文件系统,Autopsy 都能解析,在速度和覆盖面上完全能满足日常应急响应和取证调查的需求。
阅读更多自计算机系统出现以来,网络攻击者一直利用当时可用的各种攻击向量对系统实施入侵。在早期,由于数字环境规模小、结构简单,攻击方式也相对直接、易于理解。随着时间推移,数字系统不断扩展并演化成庞大而复杂的数字基础设施,随之而来的攻击手法也日趋高级和隐蔽,使得攻击分析与检测变得愈加困难。
在应急响应的实际工作中,要全面理解一次网络入侵事件,必须对攻击者的行为路径、操作步骤和关键决策点进行结构化、标准化的建模。满足这一需求的重要方法之一,就是 MITRE ATT&CK 框架。
阅读更多做过应急响应或者安全运营的人基本都需要了解 SIEM 到底是什么,真正有用吗?答案是:很有用,但前提是你得真正懂它。本文从实际应急响应的角度,把 SIEM 的基础概念、核心组件、主流产品,以及部署规划的关键要点都梳理一遍。
阅读更多SOAR,全称 Security Orchestration, Automation and Response,即安全编排、自动化与响应。简单来说,它是一套能把各种安全工具”串联”起来的技术平台,通过统一采集、分析不同安全产品的数据,再根据分析结果自动触发响应动作,帮安全团队从繁杂的重复性工作中解放出来。
阅读更多在应急响应和取证工作中,我们越来越频繁地面对一个现实:大量关键业务和数据已经不在传统机房,而是在云上运行。理解云计算的基本概念,已经不再是架构师或运维工程师的专属能力,而是每一位安全响应人员的必备基础。
阅读更多python -c import pty; pty.spawn("/bin/bash")
做过渗透的小伙伴对这个命令都不会陌生,通常利用web漏洞进行反弹shell后,都会执行python的pty.spawn得到一个功能相对完善的伪终端,比如支持命令补全、使用vim等需要终端控制的程序。但是这也会导致攻击者执行过的命令被写入到当前用户的.bash_history中。
阅读更多