安全脉搏

高质量的全球互联网安全媒体和技术平台,安全技术爱好者最佳的交流社区。

3690人订阅
阿里集团招聘:安全攻防专家(威胁检测) 团队简介: 阿里云安全团队成立于2009年,致力于打造全球最安全的云智能平台和帮助千万企业解决安全问题。目前为遍布全球的企业客户提供安全产品和解决方案,每天帮助中国40%的网站防御36亿次攻击,2000次DDoS攻击。由阿里云所成功防御的大流量DDoS攻击,占全国的一半以上。 联系方式: 微信:LoerPe(简历投递请注明来自安全脉搏) 工作地点: 杭州 岗位描述 阿里经济体生产网入侵检测能力建设: 基于网络日志、主机日志通过规则/模型对生产网的入侵进行检测; 分析各类的安全威胁和安全事件,并不断优化和完善相应的检测能力; 跟踪国内外安全动态,了解最新的攻击手法。 岗位要求 如下能力,擅长其中两项或某项特别优秀均可: WAF/I...
活动 | 2019年终冲刺!谁能登顶,在此一役! 2019年接近尾声 是时候展现你们真正的实力 全力冲击
青藤云安全:如何为SOC注入“源头活水”? 高级网络威胁等网络犯罪屡见不鲜,层出不穷。由于数据被盗、服务中断及声誉受损,导致企业的网络攻击损失也不断攀升。加之有关信息安全的法律法规相继颁布,以及各企业日益加强对第三方关系的管理,使用SIEM、SOC等产品来加强安全态势感知,已成为大家共同的选择。 虽然SOC目前在国外发展的热火朝天,但在国内,由于缺乏充足的建设和维护经验,导致SOC难以充分发挥其预期效果,很多企业都将其当成数据存储工具或SIEM工具来使用。 目前,在国外,SOC服务通常是以一种类似于SaaS服务的SOC-as-a-service(SOC即服务)方式来提供的,发展得如火如荼。如果参考国外的成熟经验,将SOC作为一项完整的态势感知解决方案,即可享受SOC所带来的诸多效益。即...
TrickBot的演变历程 一、背景 TrickBot银行木马首次出现在2016年,主要是通过挂马网页、钓鱼邮件的方式进行传播,最终进行窃取网银账号密码等操作。在此之前,深信服安全团队就对TrickBot银行木马进行跟踪,并发布了分析文章《TrickBot银行木马归来袭击全球金融机构》与《TrickBot银行木马下发Ryuk勒索病毒企业损失惨重》,鉴于该家族近期较为活跃,我们从其演变历程的角度给大家揭晓TrickBot银行木马背后那些事。 二、初出江湖 2016年9月TrickBot银行木马在针对澳大利亚银行和金融服务客户时首次被发现,开始进入安全研究员的视线,并且发现TrickBot与Dyre有非常多的相似之处,具有许多相同的功能,不同之处在于编码方式(Dyre主要使用C语言、TrickBot主要使用C++)...
安卓爆影响所有版本的StrandHogg漏洞 Promon安全研究人员发现了一个危险的安卓漏洞——StrandHogg。攻击者利用该漏洞可以将恶意软件伪装成合法的APP,而且用户并不会意识到自己被攻击了。该漏洞影响所有的安卓版本,包括最新的安卓 10,研究人员同时发现有36个恶意app正在利用该漏洞,同时top 500的app都处于危险中。 漏洞详情 漏洞 StrandHogg是一种唯一且独特的攻击方式,可以在无需设备root权限的情况下对设备发起复杂的攻击。该漏洞利用安卓多任务系统中的弱点来使恶意app可以伪装成设备中的其他app来发起攻击。该漏洞利用是基于taskAffinity的,该安卓控制设备允许任意app(包括恶意app)在多任务系统中自由显示为任意身份。恶意app通过在一个或多个活动中设置taskAffinity来匹...
青藤云安全细述:三大云安全工具(CASB、CSPM、CWPP)的使用场景 近年来,随着云计算市场的发展,不少企业都开始选择业务上云,并且企业并不只是采用一种云,而是采用多种云相互结合的方式,例如,公有云、私有云、混合云等等。企业采用多云方式已发展为主流趋势。 然而,业务上云之后也并非一劳永逸。由于云安全策略的制定总是滞后于云服务的使用,存储在云中的****的泄露风险也相应增加。国内外的类似安全事件也层出不穷,例如今年,AWS托管的Capital One美国和加拿大1.06亿客户的个人数据发生泄露。下图比较形象地展示出,云计算还面临多账号权限管理、可视化问题以及一系列合规问题。 图1:云服务使用的理想状态和现实状况的差别 由于“云安全”的概念所涉范围非常广,本文只针对Gartner提出的比较流行的三...
Window权限维持(五):屏幕保护程序 屏幕保护是Windows功能的一部分,使用户可以在一段时间不活动后放置屏幕消息或图形动画。众所周知,Windows的此功能被威胁参与者滥用为持久性方法。这是因为屏幕保护程序是具有.scr文件扩展名的可执行文件,并通过scrnsave.scr实用程序执行。 屏幕保护程序设置存储在注册表中,从令人反感的角度来看,最有价值的值是: HKEY_CURRENT_USERControl PanelDesktopSCRNSAVE.EXEHKEY_CURRENT_USERControl PanelDesktopScreenSaveActiveHKEY_CURRENT_USERControl PanelDesktopScreenSaverIsSecureHKEY_CURRENT_USERControl PanelDesktopScreenSaveTimeOut 屏幕保护程序–注册表项 可以通过命令提示符或从PowerShell控制台修改或添加注册表项。由于.scr...
Window权限维持(四):快捷方式 Windows快捷方式包含对系统上安装的软件或文件位置(网络或本地)的引用。自从恶意软件出现之初,便已将快捷方式用作执行恶意代码以实现持久性的一种方法。快捷方式的文件扩展名是.LNK,它为红队提供了很多机会来执行各种格式的代码(exe,vbs,Powershell,scriptlet等)或窃取NTLM哈希值。更隐蔽的方法是修改现有合法快捷方式的属性,但是生成具有不同特征的快捷方式可以为代码执行提供灵活性。 Empire Empire包含一个持久性模块,该模块可以后门合法的快捷方式(.LNK),以执行任意的PowerShell有效负载。现有快捷方式的目标字段将被修改以执行存储在注册表项中的base64脚本。 usemodule persistence/userland/backdoor_lnk Empire–后门现...
Window权限维持(三):新服务 如果未正确配置Windows环境中的服务或这些服务可以用作持久性方法,则这些服务可能导致权限提升。创建一个新的服务需要管理员级别的特权,它已经不是隐蔽的持久性技术。然而,在红队的行动中,针对那些在威胁检测方面还不成熟的公司,可以用来制造进一步的干扰,企业应建立SOC能力,以识别在其恶意软件中使用基本技术的威胁。 命令行实现 如果帐户具有本地管理员特权,则可以从命令提示符创建服务。参数“ binpath ”用于执行任意有效负载,而参数“ auto ”用于确保恶意服务将自动启动。 sc create pentestlab binpath= "cmd.exe /k C:temppentestlab.exe" start="auto" obj="LocalSystem"sc start pentestlab CMD –新服务 或者,可...
利用计划任务进行权限维持的几种姿势 译文声明:本文由Bypass整理并翻译,仅用于安全研究和学习之用。 原文地址:https://pentestlab.blog/2019/11/04/persistence-scheduled-tasks/ Windows操作系统提供了一个实用程序(schtasks.exe),使系统管理员能够在特定的日期和时间执行程序或脚本。这种行为可作为一种持久性机制被red team利用。通过计划任务执行持久性不需要管理员权限,但如果已获得提升的权限,则允许进一步操作,例如在用户登录期间或在空闲状态期间执行任务。 计划任务的持久化技术可以手动实现,也可以自动实现。有效负载可以从磁盘或远程位置执行,它们可以是可执行文件、powershell脚本或scriptlet的形式。这被认为是一种旧的持久性技术,但是它仍然可以在red t...