应急响应中常见的安全产品
WAF、LB、IDS、IPS、Firewall、Sandbox、DLP、EDR……这些安全产品在日常安全运维中各司其职,但一旦进入应急响应阶段,它们的角色会发生明显变化,从“防护组件”变成“取证节点”。本文站在应急响应的真实视角,梳理在安全事件处理中最常见、也最容易被误解的安全产品:它们各自能解决什么问题,又在哪些场景下真正发挥价值。
阅读更多WAF、LB、IDS、IPS、Firewall、Sandbox、DLP、EDR……这些安全产品在日常安全运维中各司其职,但一旦进入应急响应阶段,它们的角色会发生明显变化,从“防护组件”变成“取证节点”。本文站在应急响应的真实视角,梳理在安全事件处理中最常见、也最容易被误解的安全产品:它们各自能解决什么问题,又在哪些场景下真正发挥价值。
阅读更多在 Active Directory 环境中,Pass-the-Hash(PtH)是横向移动阶段最常见、也最难根除的技术之一。它不需要破解密码,不需要知道明文,只需要一段 NTLM 哈希,攻击者就能以目标账号的身份登录远程主机。正因为它直接复用了 Windows 认证协议的底层机制,检测和防御的难度远高于普通的账号密码攻击。
阅读更多在 Active Directory 环境中,DCSync 是一种极具破坏性的凭据窃取技术。它不需要攻击者在域控上执行代码,也不需要物理接触服务器——只需一组足够高权限的域账号,就能把整个域的密码哈希”同步”走。在真实的红队行动与 APT 案例中,DCSync 几乎已经成为域内权限达顶之后的标准动作。
阅读更多在 Active Directory 环境中,NTLM Relay 是一种非常经典、同时也极具现实威胁性的横向移动技术。它并不依赖漏洞利用,而是滥用了 NTLM 认证协议本身的设计缺陷。在实际应急响应中,这类攻击往往隐藏在“看似正常的登录行为”之中,如果没有针对性的检测思路,很容易被忽略。
阅读更多在企业级 Windows 域环境中,Kerberos 是最核心的身份认证机制之一。而一旦 Kerberos 的根基被攻破,攻击者就可能获得对整个域的“无限通行证”——这正是 Golden Ticket(黄金票据)攻击 的本质。
阅读更多在 Active Directory 环境中,NTDS.dit 是最核心、也是最危险的一份数据。一旦这份文件落入攻击者手中,基本可以视为整个域已经失守。在应急响应过程中,如果我们忽略了对 NTDS 数据库转储行为的监控,往往意味着攻击者离拿下域控不远了。
阅读更多在 Active Directory 域环境中,LDAP 是一个再正常不过的存在。无论是用户登录、计算机加入域,还是服务账户访问资源,底层几乎都绕不开 LDAP 查询。从运维视角看,这是“基础设施的必要操作”;但从攻击者视角看,LDAP 则是快速摸清整个域环境结构的捷径。
阅读更多在 Active Directory 环境中,Kerberoasting 是一种非常经典、也非常“务实”的攻击方式。攻击者并不需要管理员权限,只要拥有一个普通的域用户账号,就可以对配置不当的服务账号发起攻击。
阅读更多