容器销毁后能否提取容器内标准输出的日志?

基于ESXI部署防溯源的攻击环境

最近这几年攻防对抗愈演愈烈,攻击队被溯源反制的案例也越来越多。我本身从事应急响应,想站在蓝队的视角,基于ESXI实现一套防溯源的攻击环境,本文的所有操作只需要在ESXI和Openwrt上配置。实现在隔离网段中创建的新机器无需任何配置,开机即用的效果。

阅读更多

从应急响应视角看 MITRE ATT&CK 框架

自计算机系统出现以来,网络攻击者一直利用当时可用的各种攻击向量对系统实施入侵。在早期,由于数字环境规模小、结构简单,攻击方式也相对直接、易于理解。随着时间推移,数字系统不断扩展并演化成庞大而复杂的数字基础设施,随之而来的攻击手法也日趋高级和隐蔽,使得攻击分析与检测变得愈加困难。

在应急响应的实际工作中,要全面理解一次网络入侵事件,必须对攻击者的行为路径、操作步骤和关键决策点进行结构化、标准化的建模。满足这一需求的重要方法之一,就是 MITRE ATT&CK 框架

阅读更多

SOAR 基础:从规划到落地

SOAR,全称 Security Orchestration, Automation and Response,即安全编排、自动化与响应。简单来说,它是一套能把各种安全工具”串联”起来的技术平台,通过统一采集、分析不同安全产品的数据,再根据分析结果自动触发响应动作,帮安全团队从繁杂的重复性工作中解放出来。

阅读更多

云上应急响应理论基础

在应急响应和取证工作中,我们越来越频繁地面对一个现实:大量关键业务和数据已经不在传统机房,而是在云上运行。理解云计算的基本概念,已经不再是架构师或运维工程师的专属能力,而是每一位安全响应人员的必备基础。

阅读更多

反弹Shell执行pty泄露黑客命令记录?

python -c import pty; pty.spawn("/bin/bash")

做过渗透的小伙伴对这个命令都不会陌生,通常利用web漏洞进行反弹shell后,都会执行python的pty.spawn得到一个功能相对完善的伪终端,比如支持命令补全、使用vim等需要终端控制的程序。但是这也会导致攻击者执行过的命令被写入到当前用户的.bash_history中。

阅读更多