- 博客(38)
- 资源 (1)
- 收藏
- 关注
RSS订阅转载 反沙箱虚拟机 反调试 所用黑名单
反沙箱虚拟机 反调试 所用黑名单BLOCKLISTED USERNAMES AND COMPUTER NAMESBlocklisted keywords for username and computername:15pb 7man2 stella f4kh9od willcarter biluta ehwalker hong lee joe cage jonathan kindsight malware peter miller petermiller ...
2021-03-04 10:41:07
653
1
转载 如何面对安全产品0DAY问题
甲方企业:针对安全产品漏洞,以“拔网线”为代表的过度反应,并不能解决安全产品的0Day问题。甲方企业需要接受漏洞不可避免的现实,用合理的眼光看待安全产品的漏洞,做好漏洞管理消控工作,切不可因噎废食。安全企业:在当前的安全新形势下,安全行业务必要改变过去“重业务,轻安全”的态度。很多安全厂商虽然都拥有自己的攻防团队,但是在自家产品的安全性投入上远远不够。打铁还需自身硬,安全厂商需要把安全的第一道防线放在自己产品的源头,强化自身的开发管理,加强产品的安全性,以及做好相关的升级服务。要充分认识到漏洞披露的重
2020-09-28 15:05:07
255
转载 欺骗防御研究综述
欺骗防御(Deception)是防守者得以观察攻击者行为的新兴网络防御战术,通过诱骗攻击者和恶意应用暴露自身,以便研究人员能够设计出有效防护措施。欺骗防御技术可以增强甚至有可能替代威胁检测和响应类产品(TDR),能够提供低误报、高质量的监测数据。因此,企业安全人员在构建自身威胁检测能力时候,应该认真考虑将欺骗防御技术加入其安全防御体系中。在传统安全防御认知中,防守者需要确保所有资产100%安全,而攻击者却只需要抓住一次机会就可以收获成果。但是欺骗防御技术,却跟传统安全模型完全相反。攻击者除非100%正确,
2020-09-09 17:08:46
1681
1
原创 Mac下的一些命令
Mac下清除@例如xattr -d com.apple.FinderInfo /Volumes/My\ Passport/KAI/*
2020-08-03 15:51:20
1194
翻译 Crescendo:适用于macOS的实时事件查看器(2020)
在2017年之前,研究人员无法轻松监控macOS上某个进程执行的操作,而不得不求助于生成底层系统调用数据的编码脚本。FireEye 于2017年发布了Monitor.app,可在更高级别上收集macOS上的信息; 在一个简化的数据集,与类似的Dtrace。多年来,我创建了许多Monitor.app版本,并收到了用户的积极反馈。不过最近,用户注意到它不适用于macOS Catalina(10.15)…最初,需要使用内核扩展来提供Monitor.app提供的检查功能。不幸的是,内核扩展以特权模式运行,而特权模
2020-07-30 16:02:01
376
转载 MacOS恶意软件驻留技术分析
利用LaunchAgent驻留在macOS上实现驻留的最常见方式是通过LaunchAgent。Mac用户在Library文件夹下都有一个LaunchAgent文件夹,用来指定用户每次登陆后要执行的代码。(10.15版本后会默认隐藏)系统还有一个自己的LaunchAgents文件夹。因为该文件夹是由于macOS自己管理的,默认请求下恶意软件不会进入该文件夹。LaunchAgents以property list file的形式来指定要执行的文件,或包含要执行的命令。因为用户LaunchAgents
2020-07-15 17:50:06
620
1
转载 MacOS下的定时任务
编写任务脚本把要执行的任务写好编写任务描述文件mac的任务描述文件是plist格式的。结构如下:<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict>
2020-07-15 17:22:50
1136
转载 网络攻防实战演习之蓝队指南
第一章 概述背景网络实战攻防演习是当前国家、重要机关单位和企业组织用来检验网络安全防御能力的重要手段之一,是当下检验对关键信息系统基础设施网络安全保护工作的重要组成部分。网络实战攻防演习通常是以实际运行的信息系统为攻击目标,通过在一定规则限定下的实战攻防对抗行为,最大限度地模拟真实的网络攻击,并以此来检验目标信息系统的实际安全防护能力和运维保障的有效性。自2016年以来,在国家相关网络安全监管机构的有力推动下,网络实战攻防演习工作日益得到重视,目前具有涉及行业范围广,演练周期长,活动规模大等特点。国家
2020-06-24 10:12:16
9891
转载 开源安全项目(企业安全建设)
这是一份安全开源项目清单,收集了一些比较优秀的安全开源项目,以帮助甲方安全从业人员构建企业安全能力。这些开源项目,每一个都在致力于解决一些安全问题。项目收集的思路:一个是关注互联网企业/团队的安全开源项目,经企业内部实践,这些最佳实践值得借鉴。一个是来自企业安全能力建设的需求,根据需求分类,如WAF、HIDS、Git监控等。这个收集是一个长期的过程,我在GitHub创建了这个项目,专门用来收集一些优秀的甲方安全项目。还有很多很好的免费开源项目可供选择,下面列出的还只是其中很少的一部分,我将持续更新这
2020-06-18 16:29:03
1845
转载 Linux系统常见的病毒介绍(附解决方案)
Linux系统常见的病毒介绍Linux系统常见的病毒介绍BillGatesDDGSystemdMinerStartMinerWatchdogsMinerXorDDosRainbowMinerLinux系统常见的病毒介绍BillGatesBillGates在2014年被首次发现,由于其样本中多变量及函数包含字符串”gates”而得名,该病毒主要被黑客用于DDos,其特点是会替换系统正常程序(ss、netstat、ps、lsof)进行伪装主机中毒现象:[1] 在/tmp/目录下存在gates.lod、
2020-06-16 16:42:23
7845
原创 Android平台上攻击活动追踪
Android平台上APT攻击活动追踪Android平台上APT攻击活动追踪Android平台概况APT组织在Android平台上的攻击活动黑灰产组织在Android平台上的攻击活动Date: 2020-06-08Author : StevenAndroid平台上APT攻击活动追踪Android平台概况1.Android os占据了移动操作系统80%以上的份额2.移动设备是日常生活不可或缺的设备,用于通讯、交易、娱乐、新闻获取、工作等3.移动设备上存储着大量敏感信息包括个人信息、通讯信息等,
2020-06-08 16:02:24
197
原创 DNS over HTTPs分析和威胁检测
DNS over HTTPs分析和威胁检测DNS over HTTPs分析和威胁检测概述特性应用实现公共DNS支持利用DNS over HTTPS的恶意软件及活动检测方法情报收集和提取Date: 2019-11-19Author: StevenDNS over HTTPs分析和威胁检测时间修改内容版本号2019-11-20修改检测方法内容:1.旁路流量检测 2.流量劫持和参数分析1.0.12019-11-21增加DoH应用于恶意软件的case1.0.2概述
2020-06-08 15:34:10
800
原创 kinsing挖矿僵尸网络初始化脚本-注释版
#!/bin/sh#Linux ulimit命令用于控制shell程序的资源。连接数设置为最大ulimit -n 65535#删除系统日志rm -rf /var/log/syslog#关闭 /tmp /var/tmp 目录不可更改属性chattr -iua /tmp/chattr -iua /var/tmp/#关闭防火墙 UFW,全称 Uncomplicated Firewall,是通过 iptables 实现的防火墙工具ufw disable#清空iptablesiptables
2020-06-01 15:59:23
1392
1
转载 基于机器学习的DNS隐蔽隧道检测方法与实现
企业内网环境中,DNS协议是必不可少的网络通信协议之一,为了访问互联网和内网资源,DNS提供域名解析服务,将域名和IP地址进行转换。网络设备和边界防护设备在一般的情况下很少对DNS进行过滤分析或屏蔽,因此将数据或指令藏匿于DNS协议中进行传输是一种隐蔽且有效的手段。在实际场景中,当攻击者拿下某台服务器权限,或服务器被恶意软件、蠕虫、木马等感染之后,通过建立DNS隧道从而达到敏感信息盗窃、文件传输、...
2019-08-15 15:29:27
6238
5
转载 DNS攻击流量识别思考
DNS攻击流量识别思考分析思路考察DNS安全问题,因此首先寻找都有哪些DNS安全问题。主要思路:攻击者思路:搜索搜集对应的攻击类型,依据特征进行检测。 Google Nmap dns攻击插件 Nessus dns攻击插件 防御者思路: 传统厂商检测规则 snort suricata 困难与挑战pcap数据包较大,直接使用wiresha...
2019-08-14 16:40:46
2149
转载 企业威胁情报技术能力阶段
企业威胁情报技术能力阶段https://www.freebuf.com/column/200873.html威胁情报自出现以来,已经被越来越多的企业所采用,那么企业的威胁情报能力如何评估呢?相信不少应用了威胁情报的企业也想知道自己的现状,以便指定恰当的目标。威胁情报自出现以来,已经被越来越多的企业所采用,那么企业的威胁情报能力如何评估呢?相信不少应用了威胁情报的企业也想知道自己的现状,...
2019-08-14 14:22:15
398
翻译 APT41组织分析
以下内容均来自Fireeye公开资料,仅限于学习目的。APT41Double Dragon, a dual espionage and cyber crime operation摘要APT41不仅是受政府赞助的网络攻击小组,也为谋取经济私利进行一些活动。APT41针对医疗保健,高科技和电信进行网络攻击活动,包括建立和维持访问,到2015年中期,有窃取知识产权的活动。...
2019-08-09 19:44:33
19632
2
翻译 网络安全蓝队可用资源收集
网络安全蓝队可用资源收集https://github.com/meitar/awesome-cybersecurity-blueteam网络安全蓝队是识别信息技术系统中的安全漏洞,验证安全措施的有效性以及监控系统以确保实施的防御措施有效的团体。本文列举了蓝队可以用到的开源软件以及专有产品或企业服务。 对于相反的TTP(红队-攻击方),请参阅awesome-pentest。aweso...
2019-08-08 10:40:09
1147
转载 VirtualAPP技术应用及安全分析报告
一、引言 VirtualApp(简称:VA)是一款运行于Android系统的沙盒引擎框架产品,可以理解为轻量级的“Android虚拟机”。VA具有免安装、多开、内外隔离及对于目标App完全控制的能力。VA从表现形式上属于动态加载,但是从技术本质上来说还是通过增加VAMS对启动Intent进行修改,拦截和代理Android系统消息,并且通过自定义的ClassLoader加载和构造未在VA的An...
2019-07-09 14:30:36
956
原创 预警级别的威胁情报(一)
概述 很多人认为威胁情报只能做事后检测,这其实是不全面、不正确的。通过对黑灰产以及APT组织攻击历史数据的分析,我们可以发现其使用的IT资产存在一定的关联特征。利用这种关联特征,不仅可以提高事后检测能力,也可以提供预警能力,即对攻击者可能的发动攻击进行预警,提供可能使用的相关IT数据。在域名方面,Passive DNS数据可以让预警情报成为可能。Passive DNS...
2019-07-04 12:38:31
1955
转载 威胁情报的来历
威胁情报从哪儿来,你知道吗?发布时间:2019-06-27 11:00:12威胁情报是什么?看看官方的一些解释,引用百度百科的内容:根据Gartner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持实际上从安全从...
2019-06-28 17:45:06
2066
转载 在程序分析中应用机器学习时如何将代码向量化的总结和思考
这篇博文提供了关于计算机代码问题的机器学习(ML)的轻量技术介绍,例如检测源代码中的恶意可执行文件或漏洞。代码向量使ML从业者能够解决以前只有高度专业化的软件工程知识才能解决的代码问题。相反,代码向量可以帮助软件分析师利用一般的,现成的ML工具,而无需成为ML专家。在这篇文章中,我介绍了ML代码的一些用例。我还解释了为什么代码向量是必要的以及如何构造它们。最后,我将介绍SEI中代码矢量研...
2019-06-23 22:04:25
1223
转载 IoT 恶意软件攻击剖析
转https://www.ibm.com/developerworks/cn/iot/library/iot-anatomy-iot-malware-attack/index.html如何预防 IoT 设备加入僵尸大军J Steven Perry2017 年 12 月 27 日发布0您的 IoT 设备正在遭受攻击!(打哈欠)哦,我知道了。很长一段时间以来,我一直...
2019-06-17 19:11:02
1556
翻译 基于机器学习的恶意软件检测(二)
1.恶意软件的基本检测方法 一个有效的,强大的和可扩展的恶意软件识别模块是每个网络安全产品的关键组成部分。基于预执行和执行后两阶段收集的数据,恶意软件识别模块来决定一个对象是否是一个威胁。 预执行阶段的数据:一个文件在执行前可获得所有数据。这可以包括可执行文件格式描述、代码描述、二进制数据统计、通过代码仿真提取文本字符串和信息机其他相似数据。(静态信息) ...
2018-08-10 15:04:56
3782
1
翻译 基于机器学习的恶意软件检测(一)
内容1.恶意软件的基本检测方法2.机器学习:概念和定义1.无监督学习2.有监督学习3.深度学习3.网络安全中的机器学习应用细节1.需要大规模代表性数据集2.训练的模型是可解释的3.误报率必须控制到极低4.算法必须能快速适应恶意软件作者的对抗4.机器学习应用1.在预执行中通过相似hash发现新的恶意软件2.在用户机器上的两阶段预执行使用相似hash...
2018-08-10 14:28:06
5492
原创 在Mac OS X平台上运行Docker GUI程序
简介在Linux平台上,运行Docker的GUI是很简单的事情,只要共享DISPLAY变量挂在/tmp/.X11-unix即可。Mac OS X 稍微有些复杂,如下所示。安装基础软件socatsocat用于创建两个节点的双向数据流通信。12$ brew install socat$ socat TCP-LISTEN:6000,reuseaddr,fork UNIX-CLIENT:\"$DIS...
2018-04-02 14:18:52
3177
1
原创 在Ubuntu下run(commaai/openpilot)的测试
在Ubuntu下run(commaai/openpilot)的测试按照docker文件描述,在Ubuntu下手工操作1.在Ubuntu下安装下列模块apt-get update && apt-get install -y build-essential clang vim screen wget bzip2 git libglib2.0-0 python-pip capnproto libcapnp
2018-02-28 10:40:05
1928
原创 AI在安全中的应用
AI在安全中的应用1.AI提升安全能力在安全应用中机器学习可以应用在那些方面?当不需要精确说明时,机器学习是可以应用的实例:(1)垃圾邮件分类(2)欺诈检测(3)用户账户获取(4)机器人和人对抗(5)和内存安全漏洞检测和利用不同
2017-12-29 16:35:43
2170
原创 python读取文件夹下次一级文件夹
def traversalDir_FirstDir(path): list = [] if (os.path.exists(path)): files = os.listdir(path) for file in files: m = os.path.join(path,file) print m
2017-12-27 20:04:29
7509
1
转载 dvwa安装和使用指南
说明本手册作为教学的一部分供大家参考。具体的关于web漏洞的学习大家可以参考《web渗透测试-常见漏洞解析课程》http://edu.51cto.com/course/course_id-5281.html---------------------------------------1. 系统介绍DVWA(dema vulnerable web app
2017-07-11 09:50:02
44401
4
原创 Android APP 加固思路
Android APP 加固思路1.源码保护1.1 Dex文件保护对源文件使用加壳技术实现Dex文件保护,即隐藏原本的Dex文件,然后生成一个Dex壳文件放到APK中1.2 防二次打包在应用程序内加入代码验证自我的签名是否被篡改。常用验证策略:1.Java层签名验证,2.服务器验证(在Android的Java层获取签名信息,上传服务器在服务端进行签名然后返回验证结果),3.NDK技术底层获取签名和验
2017-06-15 21:21:57
712
转载 netstat 命令
netstat 命令可以帮助检查本机的网络状况,man netstat 可以看到对其的基本描述:netstat - Print network connections, routing tables, interface statistics, masquerade connections, and multicast memberships先来一个简单的例子,要显
2016-01-25 22:42:09
272
翻译 Androguard分析工具-API
反编译使用Androguard的API分析APK/DEX/ODEX/AXML/ARSC打开APK这基于你想分析什么类型的应用。如果你有一个传统的APK文件,第一件事就是引入APK模块from androguard.core.bytecodes import apk并且打开你的文件a = apk.APK("pathtoyouruberfile.apk")但是也许你没有到你
2015-10-27 16:03:25
2549
IDAGolangHelper-master.zip
2020-06-08
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人